Category Archives: Security

Installing Cisco ACS 5.2 in a VMware Virtual Machine

Cisco Secure Access Control Server merupakan salah satu produk Cisco yang berguna bagi security administrators yang menangani dan memaintain network dan application security. Software ini berlisensi dan untuk bisa mendownload harus memiliki partner dengan Cisco. Software ini saya download dari login perusahaan di Cisco sebagai salah satu partner. Versi yang saya download adalah ACS_v5.2.0.26 iso file dan saya deploy di Blade server dengan Vmware Esxi 5.  Prosenya saya create new virtual guest dan assign requirement dan arahkan booting up ke file iso tersebut untuk memulai instalasi.

Continue reading

Installasi EMS(Element Management System) BGF ECI Telecom

Salah satu produk EC Telecom adalah Broadgate BG9305 merupakan etehrnet switches yang berguna untuk meng enables seluruh converge dan data transport melalui fiber dan copper cable.

?

Perusahaan dari Israel ini juga mengeluarkan software EMS(Element Management System) BGF yang dapat diinstall pada Windows 2003 Server. Konsep topologynya sebagai berikut :


Berikut Instalasi ECI EMS-BGF pada server Windows 2003 :

Continue reading

Install DNS,DHCP,Webserver,Proxy,FTP,DDOS protection,IDS

Kelebihan OS Linux adalah dapat menempatkan beberapa services runing bersamaan dalam satu server. Tujuan membuat satu server linux berisi DNS, DHCP, Webserver, Proxy, FTP, IDS, DDOS protection, MRTG, Webmin adalah :

– Distro Centos 5.5 sebagai sistem operasi Linux yang free dan mudah diinstall.

– DNS menggunakan BIND ISC untuk nameserver(primary DNS) domain perusahaan ini. Primary DNS disini menghandle NS,MX,Web perusahaan. Untuk settingan MX di pointing ke server mail server perusahaan ini beda mesin menggunakan Zimbra.

– DHCP menggunakan DHCP dari ISC berfungsi untuk pemberian intenet address ototmatis ke seluruh komputer karyawan di perusahaan ini yang sudah tersambung dalam jaringan local area network(LAN)

– Webserver mengunakan Apache, berfungsi sebagai tempat file-file website domain perusahaan yang dapat diakses menggunakan www atau http, Apache juga dapat diset untuk meng host domain-domain lain yang dimiliki perusahaan ini.

– Proxy menggunakan SQUID sebagai cache proxy gateway akses browsing semua komputer karyawan. Untuk access filtering digunakan SQUIDGUARD dan Shalla’s Blacklists

– IDS sebagai security intrusion detection dalam hal ini menggunakan The Advanced Intrusion Detection Environment (AIDE)

– DDOS protection untuk menghadapin serangan baik dari incoming dan outgoing. Untuk ini digunakan APF(Advanced Policy-based Firewall), BFD(Brute Force Detection), mod_dosevasive, dan mod_security.

– FTP menggunakan VSFTP yang berfungsi sebagai file transfer ke webserver prusahaan jika untuk mengupdate website perusahaan.

– MRTG menggunakan mrtg untuk visual monitoring bandiwdth management baik pada server ini, server lain,dan router. Data dari mrtg bisa di capture dan diberikan ke ISP jika didapat kapasitas Bandwidth yang disewa jauh dibawah rata-rata.

Cukup bicara teori, sekarang dilanjutkan ke instalasi dan konfigurasi, yang dalam artikel ini sistem operasi Linux  distro Centos 5.5 sudah diinstall minimalis.

[root@ns1 gtoms]# uname -a
Linux ns1.xyz.co.id 2.6.18-194.11.1.el5 #1 SMP Tue Aug 10 19:09:06 EDT 2010 i686 i686 i386 GNU/Linux

[root@ns1 gtoms]# cat /etc/redhat-release
CentOS release 5.5 (Final)
Continue reading

Instalasi IP Camera untuk rumah,warnet,kantor

Manfaat IP Camera dapat memantau toko/kantor/pabrik dari rumah, dan banyak lainnya. Dapat memantau dari jarak jauh, kantor perwakilan-cabang dari pusat secara langsung (dengan remote camera, wireless camera, IP Camera, kamera cctv Internet atau via satelit). Dapat mengawasi rumah (babby sitter/pembantu dll) selagi anda bekerja di kantor, mengawasi pegawai, murid sekolah, dll.

Instalasi IP Camera kali ini untuk memantau sebuah usaha warung internet, dimana pemiliknya membeli sebuah ip camera dan ditempatkan di tempat usahanya dan dapat memantau perkembangan usahanya dari luar melalui internet.  Usahanya terdiri dari warnet, fotocopy, wartel.  Topology jaringannya secara singkat sbb :

ip camera——->switch——>server proxy—–>modem ADSL Speedy——>internet<—–pemilik usaha

Langganan internetnya menggunakan Speedy Biz 3 MB jadi sudah memiliki IP Static di modemnya yang tidak berubah-rubah. Untuk proses instalasinya :

1. Pasang IP Camera disalah satu sudut yang strategis di tempat usahanya

2. Hubungkan ip camera ke switch(hub) menggunakan cable LAN(rj45), Setting IP dan port pada IP Camera device dalam hal ini diberikan IP Privat(local)

3. Forward Port ip camera dari modem ADSL Speedy ke server Proxy, kemudian dari server proxy forward port ip camera ke IP device IP Camera.

4. Si pemilik Usaha akan dapat mengakses IP Camera melalui IP Static(Public) ADSL Speedy dengan port IP Camera.

Berikut instalasinya yang sempat saya dokumentasikan dengan text dan capture gambar :

Continue reading

Setup Enterprise Security Client, ACR38 SmartCard Reader, Starcoss SPK2.3

Enterprise Security Client (ESC) adalah user interface untuk dapat memformat dan memanage smart cards. Bagian ini merupakan bagian front end untuk user dalam sebuah lingkup pekerjaan Certificate System, yang dalam hal ini saya menggunakan Dogtag Certificate System. ESC dapat digunakan pada smart Card yang sudah mendukung Javacard 2.1 / Global Platform 2.0.1 compliant. Saya masih menunggu kiriman Java Card dari India dan Eropa, yaitu SmartCafeExpert 3.2 dan JCOP 31 V 2.2, saat ini masih menggunakan card Starcoss SPK2.3 produksi Jerman.

Untuk membaca smart cards diperlukan reader dalam hal ini menggunakan ACR38 SmartCard Reader USB yang dapat diinstall pada OS Windows dan OS Linux. Kali ini saya coba pada distro Fedora 13 (Codename: Goddard)

Instalasi ESC,ACR38, pada sistem operasi Linux distro  Fedora 13 :

Continue reading

Setup Public Key Infrastructure dengan Dog Tag Certificate System

Asimetrik Kriptografi sangat penting dalam menjaga keamanan dalam berkomunikasi di internet. Sistem Asimetrik Kriptografi menggunakan kunci public dan kunci private. Keduanya diperlukan dalam transaksi dan digital signature di internet. Sebelumnya saya menggunakan EJBCA maka kali ini saya menggunakan Dog Tag Certificate System keluaran Red Hat inc.

Dogtag memiliki features seperti : Certificate issuance, revocation, dan retrieval, Certificate Revocation List (CRL) generation dan publishing, Certificate profiles, Simple Certificate Enrollment Protocol (SCEP), Local Registration Authority (LRA) for organizational authentication and policies, Encryption key archival and recovery, dan Smartcard lifecycle management Token profiles,Token enrollment, on-hold, key recovery, and format, Face-to-face enrollment with the security officer workstation interface.

Disamping dipakai untuk smart card, Dog Tag Certification system juga dipakai oleh Militer Amerika Serikat untuk mengidentifikasi semua tentaranya.  Pernah kan, lihat film perang Hollywood kalau tentara Amerika Serikat itu selalu memakai 2 kalung dilehernya yang dinamakan Dog Tag seperti gambar logo diatas,  Indentitas/Data didalam kalung(dog tag) tersebut berisi nama, Social Security number, blood type dan religion. Jadi jika tentaranya mati, satu dog tag nya diambil dan satu lagi tetap tinggal di lehernya.  Satu kalung yang diambil itu untuk  update data identitas tentara tersebut disemua sistem komputer militer Amerika Serikat. Dog Tag dapat dipakai juga sebagai  password/identitas tentara jika sedang mengunakan fasilitas militer dan sebagainya.

Dogtag Certificate System memiliki 6 subsystems :
-Certificate Authority (CA) – implemented in Java
-Data Recovery Manager (DRM) – implemented in Java
-Online Status Procotol Protocol Manager (OCSP) – implemented in Java
-Token Key Service (TKS) – implemented in Java
-Registration Authority (RA) – implemented in Perl
-Token Processing System (TPS) – implemented in C and C++

Pembuatan Public Key Infrastructure dengan Dog Tag Certificate System kali ini terdiri dari Instalasi dan Konfigurasi dengan environment :

-Sistem operasi pada server : OS Linux distro Centos 5.4
-389 Directory Server (Open Source LDAP)
-Dog Tag Certificate System 1.3 (repo EPEL)
-Java,Tomcat Web Server,Perl,Ant,Apache,mod_nss

Berikut proses instalasi dan konfigurasi, saya menggunakan OS Linux distro Centos 5.4 32 bit dan sudah terinstall dengan baik :

Instalasi Tools :

[root@i ~]# rpm -ev tomcat-native.i386

[root@i ~]# yum install db4-devel gzip rpm rpm-build subversion tar wget zip

[root@i ~]# yum install perl

[root@i ~]# yum install ant

[root@i ~]# yum install ant-junit

[root@i ~]# java -version
java version “1.6.0”
OpenJDK Runtime Environment (build 1.6.0-b09)
OpenJDK Client VM (build 1.6.0-b09, mixed mode)

Jika belum terinstall bisa install menggunakan yum install java-1.6.0-openjdk.

Continue reading

Red Hat Certificate System

Salah satu project Red Hat yang sudah open source adalah software Certificate System. Red Hat Certificate System berawal dari Netscape Certificate Management System yang di peroleh Redhat dari AOL(America On Line). AOL seperti kita ketahui telah membeli Netscape seharga $4.2 billion.  Kemudian Red Hat, Inc.  mengambil alih Certificate Management System melalui agreement  dengan AOL.

Versi terakhir Netscape Certificate Management System adalah versi 7.0, kemudian Red Hat mengembangkannya menjadi Red Hat Certificate System 7.1,7.2,7.3, dan sampai saat ini 8.0  Untuk Certificate System versi Fedora Core lahir dengan nama Dogtag Certificate System yang sampai penulisan ini sudah versi 1.3

Pengembangan Certificate System tersebut dipakai untuk bisnis Public Key Infrastructure(PKI), Certificate Authority(CA), keuntungannya karena open source jadi bisa diimplementasikan dengan software opensoucre lainnya.

Pada artikel sebelumnya saya menggunakan software PKI/CA yaitu EJBCA(Enterprise Java Bean Certificate Authority),maka pada artikel selanjutnya akan menggunakan Dogtag Certificate System untuk membuat public key infrastructure dan integrasi dengan smart card. Dog Tag dapat berjalan pada distro menggunakan Centos 5.x dan Fedora Core 12,13 release.

stores userCertificate in Openldap

Artikel ini merupakan kelanjutan dari artikel sebelumnya berjudul : Membuat Certification Authority dengan EJBCA,OCSP,JBOSS,Java,OpenLDAP.

Implementasi ini untuk membuat Open Source PKI Certificate Authority menggunakan EJBCA(Enterprise Java Bean Certificate Authority).  Openldap merupakan directory services yang populer, dan biasanya digunakan untuk  management user dan password pada Openldap. Masalahnya Openldap tidak memiliki fungsi sebagai pembuat certificate dan tidak memiliki ssl certificate, untuk itulah dibutuhkan software third party lain untuk menyempurnakan fungsi LDAP(Lightweight Directory Access Protocol).  Disini EJBCA sebagai ldap client dan difungsikan untuk membuat ldap entries dan publish/stores certificates didalam LDAP.

Hal ini dilakukan jika EJBCA sebagai CA sudah terinstall baik, dan Openldap sudah terinstall baik dan juga sudah memiliki struktur DN(Distinguished Name) dan user existing. Untuk mengadminister pekerjaan ini saya menggunakan Admin web EJBCA dan Userweb EJBCA serta phpLDAPadmin sebagai interface Openldap. EJBCA dan Openldap berbeda mesin menggunaan Linux Debian Server.

Pada Adminweb EJBCA kita sudah membuat Certificate Authority dengan langkah :

-Edit Certificate Authority
-Edit Certificate Profiles
-Edit Publisher
-Edit End Entitiy Profiles
-Add End Entity

Pada phpldapadmin kita sudah terkoneksi baik pada openldap dan struktur user sudah ada dengan user-user didalamnya. Tinggal menunggu pekerjaan EJBCA meletakkan(stores) certificate ke openldap.

Continue reading

Instalasi OCSP Responder

Artikel ini merupakan kelanjutan dari artikel sebelumnya berjudul : Membuat Certification Authority dengan EJBCA,OCSP,JBOSS,Java,OpenLDAP.

Online Certificate Status Protocol (OCSP) sangat dibutuhkan dalam pembuatan public key infrastructure, OCSP merupakan protocol query(relying parties).  OCSP adalah sebuah status protocol yang dapat menghasilkan informasi status certificate secara real time, termasuk data-data yang berisi certificate revocation lists (CRLs).  Instalasi OCSP kali ini masih menggunakan software open source EJBCA.

Server OCSP bisa ditempatkan diluar server EJBCA yang berfungsi sebagai CA(certificateion authority).

Proses instalasi ini berada pada mesin berbeda dengan EJBCA.
Tahapannya :

– Install Java JDK, Ant,JBOSS,EJBCA(ocsp-deploy)

-Install mysql-server dan create username databse ejbca, dan allow grant privileges IP dari server EJBCA., settingan ini pada ocsp-database di server EJBCA. Jadi mysql di server OCSP akan berisi informasi CRLs dari server EJBCA.

ocsp-svr:/ejbca# ant -version
Apache Ant version 1.7.1 compiled on June 27 2008

ocsp-svr:/ejbca# java -version
java version “1.6.0_19”
Java(TM) SE Runtime Environment (build 1.6.0_19-b04)
Java HotSpot(TM) Client VM (build 16.2-b04, mixed mode, sharing)

– Deploy OCSP, source binary EJBCA sudah diekstrak ke /ejbca :

ocsp-svr:/ejbca# cp properties sample ke properties di /ejbca/conf

Continue reading