Jejak Berjejak

Saya memimpikan suatu saat nanti penetrasi Internet di Indonesia bisa menjangkau sampai pelosok, dan harga bandwidth tidak menjadi barang yang mahal lagi. Dalam skala yang kecil impian ini saya wujudkan dalam visi dan misi di KHotSpot .
Dimana setiap orang bisa ‘connect’, terhubung, online dan berkolaborasi dimanapun dan kapanpun. Sudah mulai banyak gadget yang menawarkan fitur ‘wifi’ nya disamping defaultnya modem GSM/CDMA, dll. Artinya user bisa memaksimalkan penggunaan gadgetnya untuk bisa ‘connect’, yang mana suatu saat menggunakan fasilitas modem GSM/CDMA nya untuk akses Internet, dan suatu saat lain bisa mengaktifkan fitur wifi nya untuk bisa akses hotspot yang tersebar dimana-mana. Asumsinya produktivitasnya meningkat dan bisa maksimal.

Yang bisa saya bayangkan sekarang dan kelihatannya sudah mulai terwujud adalah, suatu ketika user hanya membutuhkan satu tools untuk bisa terhubung dan berkolaborasi, yakni hanya cukup dengan Web Browser! dengan web browser seperti itulah maka orang bisa menggunakan beragam tools online yang tersedia di Internet untuk bisa produktif dan berkolaborasi dengan yang lainnya. Jika selama ini banyak dikenal server appliance atau network appliance (aplikasi yang di bundling dengan hardware) mungkin akan ada client appliance yang isinya cukup hanya web browser. Karena semua aplikasi yang dibutuhkan telah tersedia online di Internet, jadi tidak diperlukan instalasi di lokal komputer. Tentunya dari sisi perangkat keras tidak memerlukan spek yang tinggi sekedar tool semacam web brower, OS nya pun bisa menggunakan yang free semisal Linux.
Coba perhatikan tools-tools online dan ‘free’ yang sudah bermunculan saat ini:
Aplikasi office bisa menggunakan Google Document.
Aplikasi untuk brainstorming semisal Min Map bisa menggunakan bubbl.us
Aplikasi Scheduler, Notes, Task Manager, Contact, Boorkmark, Credential bisa menggunakan E-InformationOrganizer.
Aplikasi Finansial bisa menggunakan budgetpulse.
Kesimpulannya dengan tools-tools ini bisa membantu kita agar tetap bisa produktif dan terhubung dimanapun dan kapanpun.

Saya berkarir di bidang IT cukup lama akan tetapi dikenal sebagai orang IT yang Fakir. Maksudnya IT yang Fakir Bandwidth (FB) . Banyak angan-angan punya akses internet unlimited dan bisa dipakai anywhere dan anytime, cuma kelamaan mikir dan pilih-pilih provider, dan akhirnya ngak jadi-jadi memilih.

Alhamdulillah sekarang kondisinya berbalik, kalo dulu saya “Fakir Bandwidth” namun sekarang boleh dibilang “Juragan Bandwidth” (walau masih dalam skala kecil) yang bisa bagi-bagi bandwidth unlimited dan non quota dengan harga yang terjangkau.

Masih terkait dengan tulisan saya sebelumnya mengenai Titik Balik. Penjelasannya saya uraikan di tulisan ini. Ini menjadi penanda dititik inilah saya mulai merintis wirausaha. Melalui proses pergulatan yang cukup panjang dan cukup berdarah-darah (dalam versi saya), akhirnya saya mulai merintis ISP Wireless kecil-kecilan (masih skala RT/RW). Sejak inilah saya mulai melakukan langkah kecil, dengan apa yang saya punya saat ini, dengan apa yang mampu saya lakukan saat ini demi menjemput impian-impian besar saya.

Dengan mengucap syukur Alhamdulillah kehadirat Allah SWT atas berkat perkenanNya lah saya bisa melakukan ini. Dan berkat do’a dan dukungan keluarga saya bisa merintis usaha. Dan tak lupa saya ucapkan terima kasih kepada komunitas TanganDiatas (TDA) khususnya TDA Bekasi yang mana saya mendapatkan ‘pencerahan’ mengenai wirausaha setelah mengikuti acara Festival Wirausaha Bekasi 2010 di Bekasi Square, 12-13 Juni 2010. Perjalanan yang cukup melelahkan dari Serang Banten ke Bekasi Jabar (AKAP, Antar Kota Antar Propinsi) terbayar sudah dengan materi-materi yang dasyat dan mampu membuat saya ‘action’.

Saya merintis usaha Krakatau HotSpot (atau dikenal dengan nama KHot Spot) di tempat saya tinggal sekarang (Serang-Banten). Jika teman-teman ingin mengetahui lebih jauh tentang KhotSpot silakan mampir di alamat blog: http://khotspot.wordpress.com. Tema saya disini adalah Internet Sehat, Berkualitas (Unlimited dan Non Quota) dengan harga yang Terjangkau.

Quote from KungFu Panda:
Yesterday is history,
tomorrow is a mystery,
but today is a gift.
That is why it is called the present.

Mr Sandiaga Salahudin Uno and me, UKMGoesOnline event, July 22, 2010, Nikko Hotel Jakarta

Berhubung pembahasan mengenai zabbix akan menjadi panjang, maka bahasan khusus mengenai zabbix saya pindah ke blog http://islamet.wordpress.com/. untuk yang berminat dengan zabbix, silakan mengikutinya di blog saya tersebut sebagai sarana share dan tukar informasi. Terima kasih.

Dalam tutorial ini saya menggunakan Ubuntu 9.04 Server 32 bit, di mesin Intel Pentium 4, dengan memori 512MB (Silakan refer ke situs zabbix, untuk kebutuhan hardware yang optimal untuk implementasi zabbix tsb). Versi zabbix yang digunakan adalah 1.8.1.
Berikut adalah langkah-langkah instalasi Zabbix:
1.Instalasi Ubuntu (default for Ubuntu Server Edition)
# instal LAMP Server
# instal openssh
Setelah server terinstal, jangan lupa:
# apt-get update
# apt-get upgrade
Agar download modulnya bisa lebih cepat ganti /etc/apt/sources.list nya dengan mirror yang ada di Indonesia.

2.Pastikan komponen-komponen berikut sudah terinstal terlebih dahulu sebelum menginstal zabbix
# install build-essential
# install apache2, libapache2-mod-php5
# install php5, php5-gd, php5-mysql, php5-cli, php5-snmp
# install mysql-server, mysql-devel, libmysqlclient15, libmysqlclient15-dev
# install libsnmp-base libsnmp-dev libsnmp15 snmp snmpd
Opsional
# install libiksemel3 libiksemel-dev
# install libcurl4-openssl-dev
# install libxml2 libxml2-dbg libxml2-dev libxml2-utils
# install fping
# install jabber
# install phpmyadmin
Disini saya menggunakan database mysql (silakan sesuaikan instalasi database jika menggunakan database lain). Komponen phpmyadmin saya pakai untuk maintain database via web browser.

3.Membuat user dan grup Zabbix dan masukan ke grup admin
# sudo adduser zabbix
# sudo adduser zabbix admin

4.Download dan ekstrak source zabbix
# su - zabbix
# sudo -t 45 -o zabbix_download.log http://prdownloads.sourceforge.net/zabbix/zabbix-1.8.1.tar.gz?download &
# tar zxvpf zabbix-1.8.1.tar.gz

5.Create database zabbix
sudo mysql -u root -p
password:
create database zabbix character set utf8;
quit;

cd create/schema
cat mysql.sql | mysql -u root -p zabbix
cd ../data
cat data.sql | mysql -u root -p zabbix
cat images_mysql.sql | mysql -u root -p zabbix

6.Konfigurasi dan kompile source code
zabbix@netmoni:~/zabbix-1.8.1$
shell> ./configure –enable-server –enable-agent –with-mysql –with-net-snmp –with-jabber –with-libcurl

7.Make and instal
for agent
shell> sudo make
for server
shell> sudo make install

8.Konfigurasi /etc/services
sudo nano /etc/services
Tambahkan baris berikut:
zabbix-agent 10050/tcp Zabbix Agent
zabbix-agent 10050/udp Zabbix Agent
zabbix-trapper 10051/tcp Zabbix Trapper
zabbix-trapper 10051/udp Zabbix Trapper

9.Konfigurasi /etc/inetd.conf
sudo nano /etc/inetd.conf
zabbix_agent stream tcp nowait.3600 zabbix /opt/zabbix/bin/zabbix_agent

10.Konfigurasi /etc/zabbix/zabbix_agent.conf
sudo mkdir /etc/zabbix
sudo chown -R zabbix.zabbix /etc/zabbix/
cp misc/conf/zabbix_* /etc/zabbix/
sudo nano /etc/zabbix/zabbix_agent.conf
Server=127.0.0.1 ubah menjadi ip (server Zabbix)

11.Konfigurasi /etc/zabbix/zabbix_agentd.conf
sudo nano /etc/zabbix/zabbix_agentd.conf
Server=127.0.0.1 ubah menjadi (ip server zabbix)
dan buang # from ListenIP=127.0.0.1 dan ubah menjadi ListenIP=X.X.X.X (ip server zabbix)

12.Konfigurasi /etc/zabbix/zabbix_server.conf
sudo nano /etc/zabbix/zabbix_server.conf
# Database user
DBUser=zabbix
# Database password
DBPassword=password123
dan buang # dan ListenIP=127.0.0.1 dan ubah menjadi ListenIP=X.X.X.X (ip server zabbix)
ubah path untuk fping:
FpingLocation=/usr/bin/fping

13.Copy init.d scripts
sudo cp misc/init.d/debian/zabbix-server /etc/init.d
sudo cp misc/init.d/debian/zabbix-agent /etc/init.d

Edit script dimana file zabbix ditempatkan di folder /usr/sbin (/usr/bin untuk versi sebelumnya).
sudo nano /etc/init.d/zabbix-server
Perhatikan baris berikut:
DAEMON=/home/zabbix/bin/${NAME}
dan ganti dengan:
DAEMON=/usr/sbin/${NAME} (old versions use /usr/bin/${NAME})
Simpan dan keluar.

sudo nano /etc/init.d/zabbix-agent
Perhatikan baris berikut:
DAEMON=/home/zabbix/bin/${NAME}
dan ganti dengan:
DAEMON=/usr/sbin/${NAME} (old versions use /usr/bin/${NAME})
Simpan dan keluar.

14.Kopikan file zabbix dari sourcenya
sudo cp /home/zabbix/zabbix-1.8.1/src/zabbix_agent/zabbix_agent /usr/sbin/
sudo cp /home/zabbix/zabbix-1.8.1/src/zabbix_agent/zabbix_agentd /usr/sbin/
sudo cp /home/zabbix/zabbix-1.8.1/src/zabbix_get/zabbix_get /usr/sbin/
sudo cp /home/zabbix/zabbix-1.8.1/src/zabbix_sender/zabbix_sender /usr/sbin/
sudo cp /home/zabbix/zabbix-1.8.1/src/zabbix_server/zabbix_server /usr/sbin/

15.Setting permission dan set agar zabbix dapat start ketika mesin booting
sudo chmod 755 /etc/init.d/zabbix-server
sudo update-rc.d zabbix-server defaults
sudo chmod 755 /etc/init.d/zabbix-agent
sudo update-rc.d zabbix-agent defaults

16.Start server dan agent Zabbix
Start server zabbix:
sudo /etc/init.d/zabbix-server start
Start agent:
sudo /etc/init.d/zabbix-agent start
Sekarang cek dan pastikan semuanya berjalan
ps -aux | grep zabbix
Disini akan terlihat sejumlah zabbix server dan zabbix_client running dan ini pertanda semuanya ok.

17.Konfigurasi Web interface
sudo mkdir /home/zabbix/public_html
sudo cp -R frontends/php/* /home/zabbix/public_html/
Edit /etc/apache2/sites-enabled/000-default:
sudo nano /etc/apache2/sites-enabled/000-default
sudo nano /etc/apache2/sites-enabled/000-default ; Zabbix adalah default site
Perhatikan baris berikut: ====================================
DocumentRoot /var/www

Options FollowSymLinks
AllowOverride None

Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all

Ganti dengan baris berikut:: ====================================
Alias /zabbix /home/zabbix/public_html/

AllowOverride FileInfo AuthConfig Limit Indexes
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec

18.Lakukan penyesuain di file php.ini
sudo nano /etc/php5/apache2/php.ini
Lakukan perubahan untuk item-item berikut:
max_execution_time = 600 ; Maximum execution time of each script, in seconds
memory_limit = 256
post_max_size = 32M
date.timezone = Asia/Jakarta
mbstring.func_overload = 2

19.Browsing Web Zabbix
http://netmoni.dfina.com/zabbix/
dan
Monitoring sql via phpmyadmin
http://netmoni.dfina.com/phpmyadmin

Troubleshooting
#Langkah ke 6. Konfigurasi dan kompile source code, jika muncul pesan berikut:
configure: error: MySQL library not found
solusi: sudo apt-get install libmysqlclient15-dev
configure: error: Not found NET-SNMP library
solusi: sudo apt-get install libsnmp-dev

#Ketika melakukan restart Apache muncul pesan error berikut:
apache2: Could not reliably determine the server’s fully qualified domain name, using 10.1.1.240 for ServerName
Solusi:
echo netmoni.dfina.com > /etc/hostname
/bin/hostname -F /etc/hostname
sudo /etc/init.d/apache2 restart

lakukan edit /etc/apache2/apache2.conf dan di akhir file masukan baris berikut:
servername netmoni.dfina.com

Perintah untuk restart service:
restart mysql:
sudo /etc/init.d/mysql restart
restart apache:
sudo /etc/init.d/apache2 restart
zabbix-server restart:
sudo /etc/init.d/zabbix-server restart
zabbix-agent restart:
sudo /etc/init.d/zabbix-agent restart

Log file untuk TroubleShooting sebagai berikut:
/tmp/zabbix_server.log
/tmp/zabbix_agentd.log
/var/log/daemon.log
/var/log/auth.log

Jika sudah sampai ke langkah 19, langkah selanjutnya adalah tahapan instalasi zabbix. Ini akan dibahas pada tulisan berikutnya. Semoga bermanfaat.

Pengalaman selama ini berhadapan dengan client biasanya ‘tidak’ terlalu menaruh perhatian dengan tools monitoring jaringan, dengan anggapan bahwa network mereka saat ini baik-baik saja, dan pengadaan monitoring jaringan akan menjadi cost di budget IT mereka. Biasanya mereka akan mulai ‘peduli’ jika sudah mulai muncul masalah dan mulai menggangu proses bisnis mereka.
Dari sekian banyak fitur yang sangat menarik dari zabix (http://www.zabbix.com/features.php), ada satu hal yang bagi saya jadi point menarik dihubungkan dengan kenyataan yang didapati di client tsb yakni terkait dengan lisensi. Zabbix memiliki lisensi GPL. Klop jadinya, lisensi GPL, plus fitur yang sangat menarik dari zabbix.

Jika kita belum sempat uji coba dengan tool seperti cacti, nagios, opennms, prtg, dll, tapi ingin mengambil keputusan secara cepat dan tepat dalam memilih mana cocok dengan kebutuhan di network sendiri dan sesuai dengan budget, ada baiknya membaca link-link berikut:
1. Wiki: Comparison of Network Monitoring Systems: http://en.wikipedia.org/wiki/Comparison_of_network_monitoring_systems
2. Tulisan blog Christoph Haas’, yang membandingkan beberapa network monitoring: http://workaround.org/node/304
3. di Googling aja dan meminta advis di milist atau forum-forum.

Kesimpulannya solusi zabbix plus linux bisa menjadi pilihan yang tepat!

Di blog ini, saya ingin share pengalaman saya selama ini membantu client dalam implementasi zabbix. Pembahasan pertama di tulisan berikutnya adalah bagaimana instalasi dan konfigurasi zabbix di mesin linux ubuntu 9.04.
Semoga bermanfaat.

Melanjutkan cerita mengenai topologi wireless, berikut adalah contoh konfigurasi untuk backbone (core) switch:
Create Intervlan routing di core (L3) switch
Create 4 buah vlan di Core switch, vlan 1: management vlan, vlan 10: serverfarm vlan, vlan 20: user vlan, vlan 30: guest vlan
interface Vlan1
description Management Device
ip address 10.1.1.1 255.255.255.0
ip helper-address 10.1.10.13
!
interface Vlan10
description ServerFarm VLAN
ip address 10.1.10.1 255.255.255.0
!
interface Vlan20
description User VLAN
ip address 10.1.20.1 255.255.255.0
ip helper-address 10.1.10.13
!
interface Vlan30
description Guest VLAN
ip address 10.1.30.1 255.255.255.0
ip helper-address 10.1.10.13
!

Konfigurasi DHCP Server
Client dhcp akan dibagi menjadi dua yakni user dan guest
ip domain-name idlab.co.id
ip dhcp excluded-address 10.1.20.1 10.1.20.100
ip dhcp excluded-address 10.1.30.1 10.1.30.200
!
ip dhcp pool UserPool
network 10.1.20.0 255.255.255.0
default-router 10.1.20.1
dns-server 10.1.10.13
!
ip dhcp pool GuestPool
network 10.1.30.0 255.255.255.0
default-router 10.1.30.1
dns-server 10.1.10.13

Koneksi etherchannel dari backbone switch ke floor switch
Backbone switch (port fa0/23-24) :
interface Port-channel1
description Backbone to Floor
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface FastEthernet0/23
description Trunk to Floor switch
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode desirable
!
interface FastEthernet0/24
description Trunk to Floor switch
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode desirable

Floor switch (port fa0/23-24) :
interface FastEthernet0/23
description Trunk to Backbone switch
switchport trunk allowed vlan 1,10,20,30
switchport mode trunk
channel-group 1 mode desirable
!
interface FastEthernet0/24
description Trunk to Backbone switch
switchport trunk allowed vlan 1,10,20,30
switchport mode trunk
channel-group 1 mode desirable

Bersambung….
Pembahasan selanjutnya akan dibahas konfigurasi di Floor switch. Semoga membantu.

Alhamdulillah, Sabtu kemarin, 19 September 2009, jam 07.03 telah lahir anak kedua kami, seorang bayi perempuan cantik dengan berat 3.5kg dan panjang 50cm. Sebuah karunia terindah di hari nan fitri setelah penantian selama lebih 6 tahun sejak anak kami yang pertama.
Sulit dilukiskan betapa berbahagianya kami akan kehadiran bayi ini. Doa Ayah padamu nak, “Semoga menjadi anak yang sholehah, dan berbakti pada orang tua.” Amin

Kali ini saya ingin share mengenai konfigurasi dari wireless campus network sederhana dengan menggunakan perangkat Cisco.
Ada tiga point yang ingin saya share disini, agar pembahasannya tidak kepanjangan dalam satu halaman, maka pembahasan konfigurasinya akan saya bagi menjadi empat bagian: pendahuluan, fungsi core switch (backbone switch), fungsi floor switch (access switch), dan fungsi Access Point.

Pendahuluan
Berikut adalah topologi jaringan wireless sederhana:

Untuk contoh topologi ini saya menggunakan perangkat:
Core switch (Layer 3 switch, semisal Catalyst 3560)
Access switch (Layer 2 catalyst, semisal Catalyst 2960)
Access Point (Cisco Access point, semisal Aironet AP-1240)

Berikut adalah point-point yang akan saya share:
1.Core switch berfungsi sebagai:
#Layer 3 switch dengan intervlan routing, disini terdapat tiga vlan: vlan user, guest, dan management
#DHCP server untuk client wireless
#Koneksi core switch/backbone switch ke floor switch menggunakan etherchannel

2.Floor switch, berfungsi sebagai:
#Layer 2 switch, dimana ada 3 vlan: vlan user, vlan guest, dan vlan management

3.Access point berfungsi sebagai:
#Radius Server Lokal.
#Mengijinkan akses beberapa vlan (vlan user, vlan guest, dan vlan management),
#Client wireless yang bisa mengakses jaringan dibagi mejadi dua, pertama user asumsinya bisa akses data/server plus akses internet sedangkan guest hanya diijinkan hanya akses ke internet
#User menggunakan WPA security dan LEAP autentification (disini menggunakan AP sekaligus sebagai Radius server untuk LEAP autentication. Sedangkan guest menggunakan WPA shared key.

Untuk pendahuluan saya rasa cukup. Pada tulisan berikutnya, saya akan share konfigurasi di Core Switch.

Hardening Network Infrastructure: Bulletproof Your Systems Before You Are Hacked!
by Wesley J. Noonan ISBN:0072255021 McGraw-Hill/Osborne © 2004 (http://www.amazon.com/Hardening-Network-Infrastructure-Wes-Noonan/dp/0072255021).

If you know the enemy and know yourself, you need not fear the result of a hundred battles. If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. If you know neither the enemy nor yourself, you will succumb in every battle. A general is skillful in attack whose opponent does not know what to defend; and he is skillful in defense whose opponent does not know what to attack.
Sun Tzu, The Art of War

Premise: “Hardening network infrastruktur adalah proses yang panjang, jika bekerja dengan baik, tidak ada kata berhenti, dan itu akan menjadi sesuatu yang rutin.” Disini diartikan bahwa proses hardening network infrastruktur bukan proses sekali jadi, cukup dan kemudian berhenti, akan tetapi merupakan sebuah siklus berupa pacthes, update dan review secara periodik.

1.Lakukan ini Sekarang! - Melakukan 6 Hal Sebelum Melakukan Hal Lain
1.1.Peninjauan Kembali Network Desain
1.2.Implementasi Firewall
1.3.Implementasi Access Control Lists (ACLs)
1.4.Matikan Fitur dan Service yang Tidak Dibutuhkan
1.5.Implementasi Antivirus
1.6.Amankan Koneksi Wireless

4.Bagaimana agar Sukses dalam Melakukan Hardening Network Infrastructure
4.1.Setting Persepsi dan Ekspektasi
4.2.Pembenaran atas Biaya Sekuriti
4.3.Alokasi Sumber Daya dan Isu Training
4.4.Implementasi Lab
4.5.Respon Terhadap Insiden

###
1.Lakukan ini Sekarang! - Melakukan 6 Hal Sebelum Melakukan Hal Lain
1.1.Peninjauan Kembali Network Desain
Dengan mengajukan beberapa pertanyaan:
Dimana koneksi Internet ?
Dimana koneksi eksternal?
Routing protokol apa yang digunakan?
Apakah menjalankan spanning tree protocol?
Apakah memiliki Intrusion Detection/Protection sistem(IDS/IPS)?
Apakah melakukan filtering konten?
Apakah mengimplementasi NAT, dan dimana diimplementasikan?
Apakah menggunakan VLAN untuk segmentasi?
Dimanakah lokasi server?
Apakah memberikan akses VPN/remote akses?
Vendor siapa yang dipakai selama ini?
Apa perangkat network yang dipakai selama ini?
Apakah menggunakan naming convention untuk perangkat?
apakah memiliki segmen khususu managemen?
Mekanisme AAA seperti apa yang digunakan di network?
Apa jenis monitoring/managemen tool yang dipakai?
Apakah menggunakan koneksi wireless?
1.2.Implementasi Firewall
Tipe firewall seperti apa yand diimplementasi di network?
Apakah berupa Application Proxies, Stateful Packet-Inspecting/Filtering Gateway atau berupa Hybrid Firewall?
1.3.Implementasi Access Control Lists (ACLs)
Implementasi proteksi spoofing
Implementasi proteksi TCP SYN attack
Implementasi ICMP filtering
Bloking trafik multicast jika tidak diperlukan
Impelementasi ACL untuk mengontrol Virtual Type Terminal (VTY) access (Telnet and SSH)
Implementasi ACL untuk mengontrol siapa yang memanage router via SNMP
1.4.Matikan Fitur dan Service yang Tidak Dibutuhkan
Mengevaluasi kebutuhan fitur dan service seperti Cisco Discovery Protocol (CDP), HTTP server, Bootp server, IP directed broadcast, NTP service, SNMP service, proxy ARP dan DNS service?
1.5.Implementasi Anti Virus
Lakukan proteksi antivirus untuk semua sistem baik server maupun desktop. Hanya ada satu jalan untuk mencegah penyebaran virus melalui netwok dengan cara mengkarantina sistem yang
terinsfeksi.
1.6.Amankan Koneksi Wireless
Perlunya dibuat kebijakan sekuriti yang untuk koneksi wireless, dibatasi hanya untuk kebutuhan IT support.
Mengijinkan hanya MAC address yang terdaftar saja yang bisa mengakses wireless network.
Menggunakan enkripsi berupa WEP, WPA, atau 802.i. untuk akses wireless.
Menggunakan autentikasi via shared secret key, 802.1x, autentikasi RADIUS atau sertifik yang disupport oleh perangkat keras.

2.Urutkan dari Atas - Sistematik Proses Hardening
2.1.Menuliskan Kebijakan Sekuriti
Kebijakan sekuriti yang baik akan menjadi Standard Operating procedure (SOP) yang digunakan setiap orang di organisasi sebagai rujukan mengenai apa yang bisa dilakukan dan apa yang tidak bisa dan bagaimana melakukannya. Sebelum melakukan perubahan di network, baik berupa penambahan perangkat atau mengatur kembali perangkat, harus selalu merujuk kepada kebijakan sekuriti untuk memastikan bahwa apa yang dilakukan sudah sesuai dengan kebijakan sekuriti yang dibuat.
2.2.Hardening Firewall
Dasar-dasar hardening firewall meliputi beberapa hal sebagai berikut:
Hardening remote administration. Mencegah remote administrasi jika memungkinkan, dan mengijinkan hanya remote administratsi yang aman jika memang dibutuhkan.
Implementasi autentikasi dan autorisasi, untuk mengontrol siapa yang log on dan apa yang dilakukan ketika log on.
Hardening sistem operasi. Jika menggunakan sofware-base firewall, harus dilakukan hardening untuk sistem operasi yang mendasarinya, karena ini akan menjadi celah di firewall.
Hardening service firewall dan protokol. Mengijinkan service yanh dibutuhkan, lakukan enkripsi untuk trafik yang tidak aman dengan IPsec, dan hanya mengijinkan host tertentu yang bisa mengakses service tertentu.
Implementasi syslog. Syslog sangat penting untuk tujuan audit, forensik, dan troubleshooting.
Lakukan enkapsulasi trafik syslog dengan IPsec.
Menyediakan redundancy dan fault tolerance, sebagai fungsi failover dalam mengatasi kegagalan perangkat keras.
Hardening routing protokol, kalo memungkinkan selalu gunakanstatik route. Jika harus menggunakan routing protokol dinamik, hanya gunakan protokol yang memiliki mekanisme autentikasi.
2.3.Hardening Network dengan Intrusion Detection and Prevention (IDS and IPS)
Intrusion detection and Prevention, jika diimplementasi dengan baik, akan memberikan pengetahuan yang mendalam apa sebenarnya yang terjadi di network. namun jika tidak, ini hanya akan membuang budget IT. Kunci keberhasilan deploy IDS/IPS adalah harapan realistik seperti apa yang mampu dilakukan dan tidak oleh IDS/IPS tersebut.
2.4.Hardening VPN dan Dial-in Remote Access
VPN dan dial-in memungkinan user remote dan lokasi remote mengakses korporat resources layaknya lokal akses. Selalu pastikan bahwa semua koneksi menggunakan autentikasi, akses dial-in tersentralisasi dan termanage untuk memudahkan kontrol dan filter eksternal trafik. Jika memungkinkan, implementasi callback unuk memastikan bahwa konekasi yang terjadi datangnya dari lokasi yang memiliki otorisasi.
2.5.Hardening Router and Switch
Lakukan hardening management akses seperti console, vty, web GUI, dan auxilary dengan cara menonaktifkan, enkripsi, implementasi username, AAA, dan Banner.
Lakukan hardening service dan feature dengan cara menonaktifkan dan enkapsulasi dengan IPsec.
Lakukan hardening router dengan Implementasi redundancy, hardening routing protokol, implementasi managemen trafik dan IPsec, nonaktifkan interface yang tidak dipakai, implementasi pasif interface, filter update routing, gunakan ACL untuk memfilter trafik.
Lakukan hardening switch dengan melakukan hardening VLAN, VLAN Hopping, Private VLAN, VLAN ACL. Hardening service dan feature switch seperti VLAN Trunking Protocol (VTP), Auto-negotiation, Trunk links, Spanning Tree Protocol (STP), Port security, Dynamic ARP inspection, dan Storm control
2.6.Melindungi Network dengan Content Filters
Filter konten Internet dapat melindungi dari penyalahgunaan penggunaan akses internet, melindungi user dari mengakses website yang menggunakan java dan ActiveX yang dapat mengambil alih komputer serta dapat dilakukan penghematan network bandwidth.
Filter konten email berupa proteksi virus, filter attachment, filter konten, dan kendali atas spam.
2.7.Hardening Wireless LAN
Hardening Wireless Access Point, berupa hardening remote administrasi, konfigurasi Service Set identifier (SSID), konfigurasi logging, konfigurasi service, konfigurasi mode wireless.
Hardening koneksi Wireless LAN, meliputi hardening WEP, WPA menggunakan pre-shared key, WPA menggunakan RADIUS, hardening WLAN dengan VPN.
Hardening klien wireless Windows XP dengan WEP, WPA dengan pre-shared key, dan WPA menggunakan RADIUS/802.x.
2.8.Implementasi AAA (Authentication, Authorization, Accounting)
Implementasi AAA menungkinkan kontrol akses secara tegas untuk setiap session akses ke perangkat network melalui database terpusat. AAA memungkinan memberikan atau membatasi akses sesuai dengan kebutuhan network dan memungkinkan mengetahuai siapa dan kapan yang mengakses perangkat network.
Dua teknologi yang dipakai untuk memberikan AAA pada network infrastruktur:
Remote Authentication Dial-In User Service (RADIUS)
Terminal Access Controller Access Control System (TACACS+)
Perbedaan TACACS+ dengan RADIUS, pertama, TACACS+ menggunakan TCP untuk mengirimkan data, sedangkan RADIUS menggunakan UDP. Kedua, TACACS+ memisahkan operasi autentikasi dan autorisasi dibanding RADIUS yang menggunakan profil tungggal untuk autentikasi dan autorisasi.
Ketiga, TACACS+ dikembangkan oleh Cisco, dan tidak banyak vendor yang support.
2.9.Hardening Network dengan Managemen Network
Managemen network memberikan informasi yang dibutuhkan untuk:
Managemen Fault, yang memungkinkan kita mengidentifikasi fault yang terjadi di network
Managemen Konfigurasi, yang memungkinkan kita untuk meningkatkan sekuriti yang menjamin integritas dan fungsi dari perangkat.
Managemen Accounting, memungkinkan mengetahui apa yang dilakukan oleh pengguna.
Managemen Performa, yang memungkinkan kita memahami pola trafik dan kelakuan network yang memungkinkan kita mengidentifikasi penyimpangan dengan lebih cepat dan akurat.
Managemen Sekuriti, memungkinkan kita tidak hanya melakukan hardening perangkat network, sekaligus menggunakan network untuk melakukan hardening infrastruktur secara umum. Agar managemen network berjalan efektif di network, dimana sebagian besar managemen network protocol tidak aman secara desain, kita bisa menggunakan IPsec untuk mengamankan network protokol, termasuk managemen network yang kita gunakan.
2.10.Implementasi Secure Perimeter
Aspek mendasar dari network perimeter adalah penggunaan DMZ yang tepat yang memungkinkan pembatasan akses dari luar ke resource yang ada. Metode yang efektif untuk mengijinkan akses adalah dengan pendekatan modular, dimana preimeter dikelompokkan sesuai tugas dan fungsinya. Ada 6 modul yang umum diimplementasi:
Modul akses Internet, yang bertujuan memberikan eksternal/Internet akses untuk pengguna internal untuk layanan publik yang umum seperti smtp, www, dan DNS. Kebutuhan sekuriti ditangani oleh firewal, IDS/IPS.
Modul akses VPN/remote, tujuan utamanya adalah memberikan IPsec-base akses VPN koneksi site-to-site untuk host remote. Tambahan, modul ini memberikan akses dial-in dan ISDN untuk remote user. Kebutuhan sekuriti ditangani oleh VPN concentrator, firewal, IDS/IPS.
Modul akses WAN, tujuan utamanya memberikan akses kepada remote site via leased line, packet-switched, atau cell-switched yang disediakan oleh service provider . Kebutuhan sekuriti ditangani oleh firewall atau IPsec tunnel diantara lokasi.
Modul akses Extranet, modul ini memberikan akses remote ke partner strategis dan vendor.
Kebutuhan sekuriti ditangani oleh firewall, IDS, atau kadangkala VPN concetrator.
Modul akses Wireless. Modul ini memberikan akses wireless kepada user untuk bisa mengakses network korporat. Security diberikan oleh protokol seperti WEP, WPA, dan 802.x dan membutuhkan autentikasi klien wireless untuk terciptanya koneksi VPN. Firewall dan IDS/IPS dapat di deploy untuk mengontrol trafik ke dan dari klien wireless.
Modul akses E-commerce. Modul e-commerce biasanya lebih kompleks, fungsinya merupakan campuran diantara modul akses Internet dan modul akses Extranet. IDS/IPS secara ekstensif digunakan untuk memonitor dan menganalisa trafik di modul ini.
2.11.Implementasi Secure Interior
Penerapan Virtual LAN (VLAN) untuk segmentasi network antar subnet, menggunakan Private VLAN (PVLAN) untuk melakukan segmentasi diantara host, dan menggunakan VLAN untuk mengisolasi sistem yang mengalami insiden sehingga tidak mempengaruhi sistem secara keseluruhan.
Desain Enterprise Campus, yang terdiri dari core modul, server modul, distributsi modul, access modul, managemen modul, lab modul.
Hardening Kantor Cabang/Remote, disesuaikan dengan skala besar kecilnya kantor cabang.
Untuk kantor cabang yang memiliki akses internet sendiri, firewall, IDS/IPS dibutuhkan untuk proteksi perimeter modul. Untuk cabang yang menggunakan koneksi WAN, firewall dan IPsec dapat diimpelementasi untuk melindungi data yang melewati WAN. Baik kantor cabang maupun kantor remote tetap diperlakukan seperti interior modul, menggunakan VLAN, PVLAN, IDS/IPS jika dibutuhkan.

3.Sekali Tidak Pernah Cukup!
3.1.Tinjau Ulang Kebijakan Sekuriti
Sekuriti adalah proses dan bukan target. Tidak ada kata akhir dalam melakukan hardening infrasktruktur, selalu akan dilakukan update secara kontinu dan selalu dilakukan perubahan kebijakan sekuriti terkait dengan ancaman baru terhadap infrastruktur network. Untuk meninjau ulang kebijakan sekuriti, kita fokus ke beberapa hal:
Apakah kebijakan sekuriti yang telah dibuat itu bekerja? Ada sejumlah alasan mengapa kebijakan sekuriti tidak bekerja:
Pertama, kekurangan pengetahuan, ini bisa diatasi dengan pendidikan dan training.
Kedua, kebijakan sekuriti mempengaruhi proses bisnis. Ini akan menjadi situasi yang sulit karena umumnya akan menjadi isu politis, karena biasanya kebijakan sekuriti akan berlawanan dengan pembatasan atas kemudahan melakukan sesuatu, sehingga orang tidak mudah bersedia mengikuti kebijakan sekuriti.
Ketiga, kebijakan tidak efektif, dalam kasus kebijakan yang dibuat kelihatannya terlihat bagus di atas kertas, dalam tidak dalam prakteknya.Konsekuensinya kebijakan sekuriti harus di reevaluasi untuk memastikan ekspektasi sesuai dengan desain yang dibuat.
Apakah kebijakan sekuriti yang dibuat itu mampu mengetahui semua ancaman yang terjadi terhadap infrastruktur?
Metode yang efektif untuk mengenal ancaman baru adalah dengan mengikuti setiap perkembangan dari industri yang berdedikasi di bidang sekuriti yang mampu memberikan informasi mengenai ancaman baru, pacthes, dan upgrade yang dibutuhkan untuk mengatasi setiap ancaman baru.
Apakah kita memiliki mekanisme pencegahan yang dan kekuatan yang memadai atas kebijakan sekuriti yang ada?
Kebijakan sekuriti yang baik adalah mencegah terjadinya ancaman, dan tidak hanya sekedar mendefinisikan ancaman seperti apa atau apa yang akan dilakukan jika ancaman tersebut benar2 terjadi.
3.2.Tinjau Ulang Bentuk Sekuriti
Dalam kaitan dengan peninjauan ulang bentuk sekuriti, pastikan beberapa hal:
Tinjau kembali apakah kebijakan sekuriti benar-benar telah bekerja? Jika tidak, perlu segera dilakukan perubahan terhadap kebijakan atau perubahan terhadap apa yang dilakukan.
Pastikan selalu bahwa kontrol bekerja sesuai dengan kebijakan sekuriti yang telah dibuat.
Lakukan tinjauan terhadap kelakukan user terkait dengan kebijakan sekuriti. Pastikan user mengikuti kebijakan sekuriti yang telah dibuat.
Lakukan tinjauan terhadap kelakuan administrator , apakah tugas dan kewajibannya sudah sesuai dengan kebijakan sekuriti yang telah dibuat.
3.3.Lakukan Audit Sekuriti
Lakukan sekuriti audit terhadap infrastruktur dengan cara:
Lakukan ceklist terhadap kebijakan yang telah dibuat dengan best practice industri. Ckelist ini dibutuhkan untuk memeriksa dan memvalidasi seluruh kebijakan sekuriti dihbungkan dengan best practice yang berlaku di industri.
Lakukan vulnerability assesment. Assesment ini termasuk testing terhadap vulnerability sistem untuk memastikan bahwa seberapa besar potensi bahaya tersebut terhadap lingkungan.
Lakukan penetration testing untuk memastikan apakah ekspoitasi terhadap vulnerability tersebut akan membypass pertahanan dan mengambil alih akses terhadap sistem.
Lakukan internal audit. Keutungan internal audit adalah berbiaya rendah karena menggunakan sumber daya lokal. Metode yang terbaik adalah memisahkan fungsi audit dengan fungsi IT untuk memastikan bahwa fungsi audit dapat berjalan efektif.
Memanage Perubahan Lingkunan. Hal yang paling sulit dalam melakukan hardening infrastruktur network adalah memanage perubahan itu. Diperlukan perencaaan sebelum melakukan perubahan. Identifikasi sejauh mana kebutuhan akan perubahan, mendefinisikan skope perubahan, mengidentifikasikan perubahan yang dibuat, melakukan analisa resiko, merencanakan perubahan dan melakukan testing terhadapnya. Mendefinisikan team yang melakukan managemen perubahan, komunikasi, mendefinisikan team implementasi, melakukan update semua dokumentasi dan diagram terkait dengan perubahan, dan akhirnya melakukan review terhadap perubahan tersebut agar bisa berjalan secara efektif.

4.Bagaimana agar Sukses dalam Melakukan Hardening Network Infrastructure
4.1.Setting Persepsi dan Ekspektasi
Setting persepsi dan ekspektasi pihak user terkait dengan sekuriti, mengurangi ketakutan, mendapatkan kepercayaan user, komunikasi dengan user dan berlaku realistis.
Setting persepsi dan ekspektasi pihak managemen terkait dengan sekuriti, dengan melakukan komunikasi, meyakinkan pihak managemen, dan mendemontarsikan nilai apa yang bisa dicapai dalam proses ini dan tetap berlaku realistis
4.2.Pembenaran atas Biaya Sekuriti
Pembenaran atas Biaya Sekuriti dalam proses hardening infrastruktur dengan cara melakukan analisa resiko: identifikasi resiko dan ancaman, seberapa besar resiko, dan menyeimbangkan antara biaya sekuriti terkait dengan pencegahan dengan biaya pemulihan dan perbaikan.
4.3.Alokasi Sumber Daya dan Isu Training
Kebutuhan akan hardening infrastruktur membutuhkan kedalaman dan keluasan pengetahuan. Ada dua jalan, pertama, yakni dengan merekrut orang yang berpengalaman atau menggunakan jasa konsultan. Kedua, melakukan training kepada karyawan dengan materi yang relevan dan sesuai dengan kebutuhan dalam upaya hardening infrasktrutur.
4.4.Implementasi Lab
Implementasi pertama kali di Lab untuk kebutuhan testing produk, teknologi, sebelum diimplementasikan terhadap organisasi.
4.5.Respon Terhadap Insiden
Respon Terhadap Insiden dapat membantu menentukan apa yang harus dilakukan ketika insiden terjadi. Diperlukan Team yang khusus dalam menangani insiden, yang dapat melakukan upaya terbaik dalam menangani insiden tersebut.