All posts by fmgersang

IT Guys..... have 4 Children.... ordinary people .... Living in some place ....

Installasi KAS for Business 11

Sudah lama juga saya tidak menulis Blog saya , setelah lalu memberikan sedikit pengajaran kepada Client yang membutuhkan informasi lebih lanjut mengenai sebuah antivirus buatan Rusia yaitu Kaspersky for Business.

Hari ini saya akan memberikan informasi bagaimana cara menginstall KAS for Business yang bisa digunakan untuk perusahaan sekala Medium dan Enterprise.

Seperti yang kita tahu , KAS atau Kaspersky antivirus merupakan salah satu pemain lama untuk Antivirus yang diambil darinama pembuat Antivirus tersebut yaitu : Eugene Kaspersky yang juga seorang pakar sekurity sekaligus CEO dari Perusahan Security “Kaspersky Lab”.

KAS terdiri dari :

  1. Kaspersky Security Center Server.
  • Mengumpulkan Events , dan Sebagai Pembuat report.
  • Menyimpan and Mendistribusikan Semua Config
  • Install dan Meng-Uninstall Applikasi.

     2. Kaspersky Security Center Console.

  • Adalah sebuah Server Interface , dimana Administrator dapat melihat Status Proteksi dan Paramater untuk Konfigurasi.

     3. Kaspersky Security Center Network Agent.

  • Mengantarkan semua Event dari Kaspersky Endpoint Security ke Kaspersky Security Center.
  • Mengantarkan Semua Konfig dari Kaspersky Security Center ke Kaspersky Endpoint Security.

     4. Kaspersky Endpoint Security.

  • Mendeteksi dan Memblokir Semua Ancaman dari Luar dan Dalam.
  • Memastikan Koneksi Network dalam keadaan terkontrol.
  • Menjaga semua program dalam keadaan terkontrol.
  • Mengontrol Akses menuju perangkat dan website.
  • Mengenkripsi File dan Drives.

Apa yang diberikan oleh KAS ??

Berikut Proteksi yang diberikan :

Advanced Treat Protection :

  • Kaspersky Security Network.

Yaitu :

Program meminta Reputasi dari program dan webpages dari Kaspersky LAB , dengan memberikan informasi terkini mengenai Ancaman , melindungi dan melawan serangan menjadi Nol dan memberikan informasi yang jelas jika terkena serangan.

  • Behavior Detection.

Yaitu :

Memonitor apa yang dilakukan oleh Aplikasi , dan menganalisa program-program yang berjalan dan yang dilakukan oleh Individu. Memberhentikan applikasi yang berindikasi Malware , khususnya program yang mengenkripsi file.

  • Exploit Prevention.

Memonitor file-file apa yang menyebabkan rentan diserang dan melindungi upaya menjalankan file atau program yang bisa di eksekusi oleh seorang user.

  • Host Intrusion Prevention.

Memonitor aktifitas software pada komputer , mengijinkan atau memblok program-program yang mempunyai reputasi buruk untuk merubah system konfigurasi dan user files.Mencegah dari perubahan system operasi dan software lainya.

  • Remidiation Engine.

Menyimpan perubahan dan mengembalikanya seperti semula sebelum terjadinya perubahan yang dilakukan oleh program-program yang mencurigakan yang sudah terdeteksi sebelumnya.

Tunnel

Tunnel adalah dimana local devices dapat berkomunikasi dengan remote devices dimana remote devices adalah termasuk local devices juga. Ada banyak tipe/model Tunnel , VPN ( Virtual Private Network ) adalah termasuk Tunnel , GRE ( Generic Routing Encapsulation ) membuat Tunnel , SSH ( Secure Shell ) juga termasuk membuat Tunnel.

GRE ( Generic Routing Encapsulation )

GRE mengijinkan remote network untuk ditampilkan menjadi local network. GRE tidak menawarkan enkripsi tetapi dia memforward broadcast dan multicast. Jika kita menginginkan routing protocol untuk dijalankan atau merubah routing melalui tunnel , anda mungkin membutuhkan GRE Tunnel. GRE Tunnel sering di bundle dengan VPN Tunnel untuk memberikan keuntungan yaitu enkripsi.

VPN ( Virtual Private Network )

VPN tunnel mengijinkan remote network menjadi local network. VPN akan mengenkripsi semua informasi sebelum dikirimkan melalui network , tetapi dia tidak akan memforward multicast dan broadcast packet. Karena itu VPN sering di bundle dengan GRE agar bisa melewatkan routing.

Ada 2 tipe VPN , yaitu : Point to Point dan Remote Access

1.Point to Point , menawarkan konektivitas antara dua remote router , membuat virtual link antara ke dua router tersebut.

2.Remote Access , adalah single user access tunnel antara user dan router , firewall atau VPN concentrator.

Remote access VPN biasanya dibutuhkan client software untuk diinstall pada pc ataupun laptop , dan client berkomunikasi dengan perangkat VPN untuk membuat sebuah personal virtual link.

SSH ( Secure Shell )

SSH adalah sebuah aplikasi client/server yang mengijinkan aplikasi tersebut membuat koneksi ke server dengan aman. Dalam pekerjaan hari-hari biasa digunakan Telnet , tetapi SSH menawarkan enkripsi sebelum data dikirimkan.

GRE Tunnels

 

Monitor DC Linux dengan osQuery

Salah satu dari evolusi teknologi adalah pembuatan osQuery , yang digunakan untuk Query information pada system yang ada pada datacenter. Query ini memungkinkan mengekspose operating system menggunakan High Performance database yang mana dapat di Query dengan SQL-base.

Utility ini dapat diinstall pada OS Linux , Windows dan menggunakan Admin account untukmendapatkan semua informasi yang dibutuhkan dari server ( Profile Performance , Security dan lain-lainya ).

Contoh ini akan menggunakan OS Linux Ubuntu 18.04.

Setelah Linux di Install , jalankan perintah sbb :

sudo apt-get update
sudo apt-get upgrade

Install OSQuery

export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY
sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
sudo apt-get install osquery -y

Configure OSQuery

Pertama kita lakukan adalah memberikan OSQuery dapat mengakses syslog , agar bisa dilakukan kita harus install rsyslog dengan cara sbb :

sudo apt-get install rsyslog -y

Berikutnya buat konfigurasi baru sbb :

sudo nano /etc/rsyslog.d/osquery.conf

Dan tambahkan informasi berikut ini didalam config yang baru .

template(
  name="OsqueryCsvFormat"
  type="string"
  string="%timestamp:::date-rfc3339,csv%,%hostname:::csv%,%syslogseverity:::csv%,%syslogfacility-text:::csv%,%syslogtag:::csv%,%msg:::csv%\n"
)
*.* action(type="ompipe" Pipe="/var/osquery/syslog_pipe" template="OsqueryCsvFormat")

Simpan file tersebut dan exit.

Kemudian kita buat Custom OSQuery config dengan perintah sbb :

sudo nano /etc/osquery/osquery.conf

Lalu tambahkan config tersebut dengan informasi dibawah ini :

{
    "options": {
        "config_plugin": "filesystem",
        "logger_plugin": "filesystem",
        "logger_path": "/var/log/osquery",
        "disable_logging": "false",
        "log_result_events": "true",
        "schedule_splay_percent": "10",
        "pidfile": "/var/osquery/osquery.pidfile",
        "events_expiry": "3600",
        "database_path": "/var/osquery/osquery.db",
        "verbose": "false",
        "worker_threads": "2",
        "enable_monitor": "true",
        "disable_events": "false",
        "disable_audit": "false",
        "audit_allow_config": "true",
        "host_identifier": "hakase-labs",
        "enable_syslog": "true",
        "syslog_pipe_path": "/var/osquery/syslog_pipe",
        "force": "true",
        "audit_allow_sockets": "true",
        "schedule_default_interval": "3600"
    },


    "schedule": {
        "crontab": {
            "query": "SELECT * FROM crontab;",
            "interval": 300
        },
        "system_info": {
            "query": "SELECT hostname, cpu_brand, physical_memory FROM system_info;",
            "interval": 3600
        },
        "ssh_login": {
            "query": "SELECT username, time, host FROM last WHERE type=7",
            "interval": 360
        }
    },

    "decorators": {
        "load": [
            "SELECT uuid AS host_uuid FROM system_info;",
            "SELECT user AS username FROM logged_in_users ORDER BY time DESC LIMIT 1;"
        ]
    },

    "packs": {
        "osquery-monitoring": "/usr/share/osquery/packs/osquery-monitoring.conf"
    }
}

Kemudian Save dan close file tersebut.

Lanjutkan dengan menghidupkan service OSQuery dengan perintah sbb :

sudo systemctl start osqueryd
sudo systemctl enable osqueryd

Restart rsyslog dengan perintah sbb :

sudo systemctl restart rsyslog

Penggunaan dasar OSQuery

Untuk mengakses interaktif Query Shell , jalankan perintah dibawah ini :

osqueryi

Untuk melihat Schema System Info , jalankan perintah sbb :

.schema system_info

Untuk melihat informasi secara actual , jalankan perintah sbb :

SELECT * FROM system_info;

Informasi yang ditampilkan sangat banyak , walau begitu kita bisa melihat informasi secara spesifik ( informasi CPU ) dengan perintah sbb :

SELECT cpu_type, cpu_physical_cores, cpu_logical_cores, cpu_microcode FROM system_info;

Untuk melihat kernel info , jalankan perintah sbb :

SELECT * FROM kernel_info;

Demikian sebagian informasi yang bisa didapatkan dengan menggunakan OSQuery , silakan baca manual untuk lebih detailnya.

Office 365 Pro Plus , Sekarang dengan Macro Scanner – Untuk Memblock Malware.

Microsoft sudah menghidupkan teknology “MacroScanner” untuk melindungi pengguna dari serangan Malicious Macro pada Office 365 Subscriber dan sudah diumumkan pada waktu lalu.

Technology ini disebut “AntiMalware Scan Interface” atau AMSI yang sebenarnya sudah ada pada thn 2015 dan sekarang sudah di integrasikan pada Office 365 Pro Plus.

Microsoft menghidupkan AMSI ini secara default pada “Monthly Channel” untuk Office 365 Client Application termasuk Word , Excel , Power Point , Access , Visio dan Publishers.

Dengan AMSI dihidupkan dimungkikan untuk mendeteksi perangkat lunak yang berbahaya bahkan dalam code programming yang dikaburkan. IT Proffesional juga akan mendapatkan control yang lebih besar pada saat macro dijalankan.

Dengan AMSI yang diintegrasikan pada Office 365 Pro Plus , IT Pro akan mempunyai Group Policy Security yang baru yaitu “Macro Runtine Scan Scope”. Policy ini digunakan untuk mendisable scanning semua document , enable scanning document atau scanning all document.

Untuk Office 365 Pro Plus yang disewakan AMSI akan menjalankan runtime untuk mendeteksi Malicious code. Sebagai catatan , jangan menjalankan runtime macro pada saat kondisi sbb :

  • Dokumen sedang terbuka dengan setting “Enable All Macros”
  • Dokumen sedang terbuka dari “Trusted Location”
  • Dokumen yang merupakan “Trusted Documen”
  • Dokumen yang mengandung VBA ( Visual Basic Application ) yang digunakan sebagai tanda digital oleh penerbit terpercaya.

Akhir Support Windows 7

Dilansir dari RedmonMag , Tgl 14 January 2019 adalah perhitungan awal sebelum Windows 7 Support berakhir pada 14 January 2020. Yang mana setelah itu Microsoft tidak akan lagi menerbitkan Service Pack untuk patching mutahir pada Windows 7.

Berikut Product Microsoft yang akan berakhir masa supportnya :

  • Windows 2008R2 SP1
  • MsOffice 2010 , End Support pada 13 October 2020
  • SQL Server 2008 SP4 , End Support pada 9 July 2019

Untuk lebih detailnya bisa dilihat pada link dibawah ini :

https://support.microsoft.com/en-us/help/4470235/products-reaching-end-of-support-for-2020

OS Windows 10 merupakan Windows yang selanjutnya menjadi OS Lanjutan Microsoft dan sudah menjadi pilihan pada polling-polling yang diadakan Microsoft.

 

 

RSTP-Rapid Spanning Tree Protocol

Rapid Spanning Tree Protocol dibuat untuk mengizinkan switch untuk secara cepat bertransisi menjadi kondisi “forwarding state” untuk mencegah delay ketika host terkoneksi ke switch atau ketika topology jaringan berubah. STP membutuhkan 30 sampai 50 detik untuk merespons perubahan topology , dimana RSTP akan merespons perubahan menjadi milli detik.

RSTP Role :

rstp role

RSTP Port State :

rstp port state

Catatan :

Port Fast enable pada access port , akan secara langsung menjadi forwarding state dan port akan langsung menjadi up. Dan jangan digunakan pada Trunk Ports , ini kan menjadi masalah dengan loop switch.

Contoh STP :

stp topology

SW0 Config :

SW0(config)#spanning-tree mode rapid-pvst

SW0(config)#interface range 0/1 – 2

SW0(config-if-range)#spanning-tree portfast

SW0(config-if-range)#no shut

SW0(config-if-range)#end

SW0(config)#wr

SW1 Config :

SW1(config)#spanning-tree mode rapid-pvst

SW1(config)#interface range 0/1 – 2

SW1(config-if-range)#spanning-tree portfast

SW1(config-if-range)#no shut

SW1(config-if-range)#end

SW1(config)#wr

SW2 Config :

SW2(config)#spanning-tree mode rapid-pvst

SW2(config)#interface range 0/1 – 2

SW2(config-if-range)#spanning-tree portfast

SW2(config-if-range)#no shut

SW2(config-if-range)#end

SW2(config)#wr

SW3 Config :

SW3(config)#spanning-tree mode rapid-pvst

SW3(config)#interface range 0/1 – 2

SW3(config-if-range)#spanning-tree portfast

SW3(config-if-range)#no shut

SW3(config-if-range)#end

SW3(config)#wr

SW4 Config :

SW4(config)#spanning-tree mode rapid-pvst

SW4(config)#interface range 0/1 – 2

SW4(config-if-range)#spanning-tree portfast

SW4(config-if-range)#no shut

SW4(config-if-range)#end

SW4(config)#wr

Dan terakhir pada SW1 , kita lakukan perintah sbb :

SW0(config)#spanning-tree vlan 1 root primary

Lihat hasil pada SW0 , dengan perintah sh run , akan terlihat Interface Fa0/1 dan Fa0/2 manjadi portfast.

shrun_sw0

Hasil dari SW1 :

shrun_sw1

Coba check kembali pada sisa switch yang belum di check ( SW2,SW3 dan SW4 ).