firewall
Content
Bagi sebuah server yang terhubung ke internet, penggunaan firewall amatlah penting. Mengapa? Karena dengan adanya firewall dapat mencegah atau setidaknya mengeliminir akses luar yang tidak dikehendaki. Nah pada umumnya firewall akan menghasilkan log. Log ini adalah catatan / report yang berisi informasi tentang paket yang diblokir oleh firewall kita seperti asal paket, port yang digunakan, waktu, protokol, dsb. Misal ada orang luar yang mengakses port 80 (http) kita, dan port tersebut sudah di set supaya diblokir oleh firewall, maka pada saat kejadian firewall otomatis akan merekamnya dan mencatatnya pada log. Semisal penggunaan firewall shorewall pada distro semacam fedora, redhat dan sebangsanya secara default akan mencatatkan lognya di /var/log/messages sebaris log dikutip dari /var/log/messages : Apr 21 19:08:36 pemerintah kernel: Shorewall:net2all:DROP:IN=eth0 OUT= MAC=00:00:00:00:00:21:00:0a:55:33:e4:33:33:00 xsrc=66.123.12.12 DST=72.14.207.99 LEN=40 TOS=0x00 PREC=0x00 TTL=49 ID=22739 PROTO=UDP SPT=5000 DPT=5000 LEN=20 Sebaris dua baris mungkin tidak masalah. Tapi bagaimana bila isinya ratusan bahkan ribuan baris..?? Bila harus membaca satu persatu .. wah... akan sangat melelahkan. Nah disinilah fungsi dan guna log analyzer. Salah satu log analyzer yang penulis sempat coba adalah fwlogwatch-1.1 Bisa didowload gratis dari situsnya di: http://fwlogwatch.inside-security.de/ BTW sebelum menginstalasinya, perlu diingat program ini memiliki dependency dengan aplikasi yang namanya flex - aplikasi ini hanya digunakan saat ngompail aja. Untuk redhat bisa download disini. Langkah instalasi fwlogwatch: # tar zxvf fwlogwatch-1.1.tar.gz # cd fwlogwatch-1.1/ # make # make install # make install-config Program akan terinstall di /usr/local/sbin/fwlogwatch dan file configurasinya di /etc/fwlogwatch.config. Secara default apabila dijalankan maka fwlogwatch akan menghasilkan output dalam format html. Untuk menyimpannya dalam file html cukup jalankan program diikuti opsi -o dan nama file. Misal akan disimpan dalam file result.htm maka cukup ketikkan: /usr/local/sbin/fwlogwatch -o result.htm Berikut adalah contoh opsi tambahan:
/usr/local/sbin/fwlogwatch -w -l 12h -s -z -d -N -e -o result.htm keterangan: # -N lihat nama servis default misal http untuk port 80, smtp untuk port 25, dst # -e lihat waktu terakhir kali dicatat log # -t lihat waktu pertama kali dicatat log # -z lihat intervalnya # -n lihat / lookup hostnamenya (tidak direkomendasikan, karena makan bnyak waktu) # -l 12h = lihat log dalam 12 jam terakhir #-y lihat flag nya, SYN ato lainnya # -w format output html # -s tampilkan source / ip asal # -d tampilkan destination / ip target hasilnya: Gambar 01: http://linux.gue.or.id/wp-content/uploads/2006/04/fwlogwatch.gif coba kita lihat baris ke 4, dari kolom kiri ke kanan artinya: 10 = artinya tercatat di log sebanyak 10 kali, terakhir tercatat pada jam 23:30, selisih antara yang pertama dan terakhir 4 menit, dalam hal ini oleh firewall (shorewall) paket tersebut di blok / di DROP, interface di lancard pertama, protokol tipe udp, asal dari ip 202.43.193.120 port 3479 diarahkan ke ip lokal (xxxxx) di port 1047. Selain cara tersebut bisa juga kita jalankan fwlogwatch ini sebagai web daemon, dan selanjutnya hasilnya dapat kita akses via web.. Caranya ? Mudah buka file /etc/fwlogwatch.config dengan editor kesukaan, misalnya joe lalu set misal menjadi: # i ipchains # n netfilter # f ipfilter # c Cisco IOS # p Cisco PIX # e NetScreen # w Windows XP # l Elsa Lancom # s Snort # #Abaikan yang ip sourcenya: exclude_src_host = 202.43.193.0/24 --> yahoo!messenger exclude_src_host = 66.218.70.0/24 --> yahoo!messenger recent = 12h --> log dalam 12 jam terakhir parser = in resolve_services = yes resolve_hosts = yes
input = /var/log/messages src_ip = on dst_ip = on protocol = on src_port = on dst_port = on tcp_opts = on realtime_response = yes pidfile = /var/run/fwlogwatch.pid run_as = nobody server_status = yes bind_to = 192.168.7.22 --> ip lokal server listen_port = 888 --> port yang akan dibuka listen_to = 192.168.7.25 --> hanya ip ini yang diberi ijin akses status_user = admin status_password = i5HkCpAA/A1lE refresh = 60 --> refresh setiap 60 detik i5HkCpAA/A1lE --> Unix DES Encrypted pass, cara buat ketik di konsol htpasswd -nb user password **** Pastikan port 888 tidak diblokir oleh firewall!! **** selanjutnya jalankan sebagai daemon: # /usr/local/sbin/fwlogwatch supaya dijalankan otomatis setiap kali server hidup bisa letakkan shortcut misal di /etc/rc.d/rc.local selanjutnya akses via browser di http://192.168.7.22:888 dan masukkan user: admin, serta passwordnya :) btw untuk ngetes / scan server kita bisa coba http://scan.sygatetech.com/stealthscan.html Also, if you are running any type of security program, which logs any form of attack, you may see log entries from IP address’s 207.33.111.35, 207.33.111.36 or 207.33.111.37. This is not an attack on your computer or network. Please do not be alarmed by these logs. "Gambar 02 - scan sygate berhasil di blok: http://linux.gue.or.id/wpcontent/uploads/2006/04/fwlogwatch2.gif" Bila hasil report fwlogwatch ada ip seperti 207.33.111.35, 207.33.111.36 or 207.33.111.37 atau hostnamenya scan.sygate.com, maka berarti firewall kita berhasil melog scan mereka. Selamat mencoba :D..
Bila ada yang salah mohon untuk dikoreksi. Bila ada kurang mohon ditambahkan. Dan bila ada pengetahuan baru mohon di informasiin. :) thanks!
/usr/local/sbin/fwlogwatch -w -l 12h -s -z -d -N -e -o result.htm keterangan: # -N lihat nama servis default misal http untuk port 80, smtp untuk port 25, dst # -e lihat waktu terakhir kali dicatat log # -t lihat waktu pertama kali dicatat log # -z lihat intervalnya # -n lihat / lookup hostnamenya (tidak direkomendasikan, karena makan bnyak waktu) # -l 12h = lihat log dalam 12 jam terakhir #-y lihat flag nya, SYN ato lainnya # -w format output html # -s tampilkan source / ip asal # -d tampilkan destination / ip target hasilnya: Gambar 01: http://linux.gue.or.id/wp-content/uploads/2006/04/fwlogwatch.gif coba kita lihat baris ke 4, dari kolom kiri ke kanan artinya: 10 = artinya tercatat di log sebanyak 10 kali, terakhir tercatat pada jam 23:30, selisih antara yang pertama dan terakhir 4 menit, dalam hal ini oleh firewall (shorewall) paket tersebut di blok / di DROP, interface di lancard pertama, protokol tipe udp, asal dari ip 202.43.193.120 port 3479 diarahkan ke ip lokal (xxxxx) di port 1047. Selain cara tersebut bisa juga kita jalankan fwlogwatch ini sebagai web daemon, dan selanjutnya hasilnya dapat kita akses via web.. Caranya ? Mudah buka file /etc/fwlogwatch.config dengan editor kesukaan, misalnya joe lalu set misal menjadi: # i ipchains # n netfilter # f ipfilter # c Cisco IOS # p Cisco PIX # e NetScreen # w Windows XP # l Elsa Lancom # s Snort # #Abaikan yang ip sourcenya: exclude_src_host = 202.43.193.0/24 --> yahoo!messenger exclude_src_host = 66.218.70.0/24 --> yahoo!messenger recent = 12h --> log dalam 12 jam terakhir parser = in resolve_services = yes resolve_hosts = yes
input = /var/log/messages src_ip = on dst_ip = on protocol = on src_port = on dst_port = on tcp_opts = on realtime_response = yes pidfile = /var/run/fwlogwatch.pid run_as = nobody server_status = yes bind_to = 192.168.7.22 --> ip lokal server listen_port = 888 --> port yang akan dibuka listen_to = 192.168.7.25 --> hanya ip ini yang diberi ijin akses status_user = admin status_password = i5HkCpAA/A1lE refresh = 60 --> refresh setiap 60 detik i5HkCpAA/A1lE --> Unix DES Encrypted pass, cara buat ketik di konsol htpasswd -nb user password **** Pastikan port 888 tidak diblokir oleh firewall!! **** selanjutnya jalankan sebagai daemon: # /usr/local/sbin/fwlogwatch supaya dijalankan otomatis setiap kali server hidup bisa letakkan shortcut misal di /etc/rc.d/rc.local selanjutnya akses via browser di http://192.168.7.22:888 dan masukkan user: admin, serta passwordnya :) btw untuk ngetes / scan server kita bisa coba http://scan.sygatetech.com/stealthscan.html Also, if you are running any type of security program, which logs any form of attack, you may see log entries from IP address’s 207.33.111.35, 207.33.111.36 or 207.33.111.37. This is not an attack on your computer or network. Please do not be alarmed by these logs. "Gambar 02 - scan sygate berhasil di blok: http://linux.gue.or.id/wpcontent/uploads/2006/04/fwlogwatch2.gif" Bila hasil report fwlogwatch ada ip seperti 207.33.111.35, 207.33.111.36 or 207.33.111.37 atau hostnamenya scan.sygate.com, maka berarti firewall kita berhasil melog scan mereka. Selamat mencoba :D..
Bila ada yang salah mohon untuk dikoreksi. Bila ada kurang mohon ditambahkan. Dan bila ada pengetahuan baru mohon di informasiin. :) thanks!
