Category Archives: Uncategorized

Installasi KAS for Business 11

Sudah lama juga saya tidak menulis Blog saya , setelah lalu memberikan sedikit pengajaran kepada Client yang membutuhkan informasi lebih lanjut mengenai sebuah antivirus buatan Rusia yaitu Kaspersky for Business.

Hari ini saya akan memberikan informasi bagaimana cara menginstall KAS for Business yang bisa digunakan untuk perusahaan sekala Medium dan Enterprise.

Seperti yang kita tahu , KAS atau Kaspersky antivirus merupakan salah satu pemain lama untuk Antivirus yang diambil darinama pembuat Antivirus tersebut yaitu : Eugene Kaspersky yang juga seorang pakar sekurity sekaligus CEO dari Perusahan Security “Kaspersky Lab”.

KAS terdiri dari :

  1. Kaspersky Security Center Server.
  • Mengumpulkan Events , dan Sebagai Pembuat report.
  • Menyimpan and Mendistribusikan Semua Config
  • Install dan Meng-Uninstall Applikasi.

     2. Kaspersky Security Center Console.

  • Adalah sebuah Server Interface , dimana Administrator dapat melihat Status Proteksi dan Paramater untuk Konfigurasi.

     3. Kaspersky Security Center Network Agent.

  • Mengantarkan semua Event dari Kaspersky Endpoint Security ke Kaspersky Security Center.
  • Mengantarkan Semua Konfig dari Kaspersky Security Center ke Kaspersky Endpoint Security.

     4. Kaspersky Endpoint Security.

  • Mendeteksi dan Memblokir Semua Ancaman dari Luar dan Dalam.
  • Memastikan Koneksi Network dalam keadaan terkontrol.
  • Menjaga semua program dalam keadaan terkontrol.
  • Mengontrol Akses menuju perangkat dan website.
  • Mengenkripsi File dan Drives.

Apa yang diberikan oleh KAS ??

Berikut Proteksi yang diberikan :

Advanced Treat Protection :

  • Kaspersky Security Network.

Yaitu :

Program meminta Reputasi dari program dan webpages dari Kaspersky LAB , dengan memberikan informasi terkini mengenai Ancaman , melindungi dan melawan serangan menjadi Nol dan memberikan informasi yang jelas jika terkena serangan.

  • Behavior Detection.

Yaitu :

Memonitor apa yang dilakukan oleh Aplikasi , dan menganalisa program-program yang berjalan dan yang dilakukan oleh Individu. Memberhentikan applikasi yang berindikasi Malware , khususnya program yang mengenkripsi file.

  • Exploit Prevention.

Memonitor file-file apa yang menyebabkan rentan diserang dan melindungi upaya menjalankan file atau program yang bisa di eksekusi oleh seorang user.

  • Host Intrusion Prevention.

Memonitor aktifitas software pada komputer , mengijinkan atau memblok program-program yang mempunyai reputasi buruk untuk merubah system konfigurasi dan user files.Mencegah dari perubahan system operasi dan software lainya.

  • Remidiation Engine.

Menyimpan perubahan dan mengembalikanya seperti semula sebelum terjadinya perubahan yang dilakukan oleh program-program yang mencurigakan yang sudah terdeteksi sebelumnya.

Monitor DC Linux dengan osQuery

Salah satu dari evolusi teknologi adalah pembuatan osQuery , yang digunakan untuk Query information pada system yang ada pada datacenter. Query ini memungkinkan mengekspose operating system menggunakan High Performance database yang mana dapat di Query dengan SQL-base.

Utility ini dapat diinstall pada OS Linux , Windows dan menggunakan Admin account untukmendapatkan semua informasi yang dibutuhkan dari server ( Profile Performance , Security dan lain-lainya ).

Contoh ini akan menggunakan OS Linux Ubuntu 18.04.

Setelah Linux di Install , jalankan perintah sbb :

sudo apt-get update
sudo apt-get upgrade

Install OSQuery

export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY
sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
sudo apt-get install osquery -y

Configure OSQuery

Pertama kita lakukan adalah memberikan OSQuery dapat mengakses syslog , agar bisa dilakukan kita harus install rsyslog dengan cara sbb :

sudo apt-get install rsyslog -y

Berikutnya buat konfigurasi baru sbb :

sudo nano /etc/rsyslog.d/osquery.conf

Dan tambahkan informasi berikut ini didalam config yang baru .

template(
  name="OsqueryCsvFormat"
  type="string"
  string="%timestamp:::date-rfc3339,csv%,%hostname:::csv%,%syslogseverity:::csv%,%syslogfacility-text:::csv%,%syslogtag:::csv%,%msg:::csv%\n"
)
*.* action(type="ompipe" Pipe="/var/osquery/syslog_pipe" template="OsqueryCsvFormat")

Simpan file tersebut dan exit.

Kemudian kita buat Custom OSQuery config dengan perintah sbb :

sudo nano /etc/osquery/osquery.conf

Lalu tambahkan config tersebut dengan informasi dibawah ini :

{
    "options": {
        "config_plugin": "filesystem",
        "logger_plugin": "filesystem",
        "logger_path": "/var/log/osquery",
        "disable_logging": "false",
        "log_result_events": "true",
        "schedule_splay_percent": "10",
        "pidfile": "/var/osquery/osquery.pidfile",
        "events_expiry": "3600",
        "database_path": "/var/osquery/osquery.db",
        "verbose": "false",
        "worker_threads": "2",
        "enable_monitor": "true",
        "disable_events": "false",
        "disable_audit": "false",
        "audit_allow_config": "true",
        "host_identifier": "hakase-labs",
        "enable_syslog": "true",
        "syslog_pipe_path": "/var/osquery/syslog_pipe",
        "force": "true",
        "audit_allow_sockets": "true",
        "schedule_default_interval": "3600"
    },


    "schedule": {
        "crontab": {
            "query": "SELECT * FROM crontab;",
            "interval": 300
        },
        "system_info": {
            "query": "SELECT hostname, cpu_brand, physical_memory FROM system_info;",
            "interval": 3600
        },
        "ssh_login": {
            "query": "SELECT username, time, host FROM last WHERE type=7",
            "interval": 360
        }
    },

    "decorators": {
        "load": [
            "SELECT uuid AS host_uuid FROM system_info;",
            "SELECT user AS username FROM logged_in_users ORDER BY time DESC LIMIT 1;"
        ]
    },

    "packs": {
        "osquery-monitoring": "/usr/share/osquery/packs/osquery-monitoring.conf"
    }
}

Kemudian Save dan close file tersebut.

Lanjutkan dengan menghidupkan service OSQuery dengan perintah sbb :

sudo systemctl start osqueryd
sudo systemctl enable osqueryd

Restart rsyslog dengan perintah sbb :

sudo systemctl restart rsyslog

Penggunaan dasar OSQuery

Untuk mengakses interaktif Query Shell , jalankan perintah dibawah ini :

osqueryi

Untuk melihat Schema System Info , jalankan perintah sbb :

.schema system_info

Untuk melihat informasi secara actual , jalankan perintah sbb :

SELECT * FROM system_info;

Informasi yang ditampilkan sangat banyak , walau begitu kita bisa melihat informasi secara spesifik ( informasi CPU ) dengan perintah sbb :

SELECT cpu_type, cpu_physical_cores, cpu_logical_cores, cpu_microcode FROM system_info;

Untuk melihat kernel info , jalankan perintah sbb :

SELECT * FROM kernel_info;

Demikian sebagian informasi yang bisa didapatkan dengan menggunakan OSQuery , silakan baca manual untuk lebih detailnya.

Office 365 Pro Plus , Sekarang dengan Macro Scanner – Untuk Memblock Malware.

Microsoft sudah menghidupkan teknology “MacroScanner” untuk melindungi pengguna dari serangan Malicious Macro pada Office 365 Subscriber dan sudah diumumkan pada waktu lalu.

Technology ini disebut “AntiMalware Scan Interface” atau AMSI yang sebenarnya sudah ada pada thn 2015 dan sekarang sudah di integrasikan pada Office 365 Pro Plus.

Microsoft menghidupkan AMSI ini secara default pada “Monthly Channel” untuk Office 365 Client Application termasuk Word , Excel , Power Point , Access , Visio dan Publishers.

Dengan AMSI dihidupkan dimungkikan untuk mendeteksi perangkat lunak yang berbahaya bahkan dalam code programming yang dikaburkan. IT Proffesional juga akan mendapatkan control yang lebih besar pada saat macro dijalankan.

Dengan AMSI yang diintegrasikan pada Office 365 Pro Plus , IT Pro akan mempunyai Group Policy Security yang baru yaitu “Macro Runtine Scan Scope”. Policy ini digunakan untuk mendisable scanning semua document , enable scanning document atau scanning all document.

Untuk Office 365 Pro Plus yang disewakan AMSI akan menjalankan runtime untuk mendeteksi Malicious code. Sebagai catatan , jangan menjalankan runtime macro pada saat kondisi sbb :

  • Dokumen sedang terbuka dengan setting “Enable All Macros”
  • Dokumen sedang terbuka dari “Trusted Location”
  • Dokumen yang merupakan “Trusted Documen”
  • Dokumen yang mengandung VBA ( Visual Basic Application ) yang digunakan sebagai tanda digital oleh penerbit terpercaya.

Akhir Support Windows 7

Dilansir dari RedmonMag , Tgl 14 January 2019 adalah perhitungan awal sebelum Windows 7 Support berakhir pada 14 January 2020. Yang mana setelah itu Microsoft tidak akan lagi menerbitkan Service Pack untuk patching mutahir pada Windows 7.

Berikut Product Microsoft yang akan berakhir masa supportnya :

  • Windows 2008R2 SP1
  • MsOffice 2010 , End Support pada 13 October 2020
  • SQL Server 2008 SP4 , End Support pada 9 July 2019

Untuk lebih detailnya bisa dilihat pada link dibawah ini :

https://support.microsoft.com/en-us/help/4470235/products-reaching-end-of-support-for-2020

OS Windows 10 merupakan Windows yang selanjutnya menjadi OS Lanjutan Microsoft dan sudah menjadi pilihan pada polling-polling yang diadakan Microsoft.

 

 

RSTP-Rapid Spanning Tree Protocol

Rapid Spanning Tree Protocol dibuat untuk mengizinkan switch untuk secara cepat bertransisi menjadi kondisi “forwarding state” untuk mencegah delay ketika host terkoneksi ke switch atau ketika topology jaringan berubah. STP membutuhkan 30 sampai 50 detik untuk merespons perubahan topology , dimana RSTP akan merespons perubahan menjadi milli detik.

RSTP Role :

rstp role

RSTP Port State :

rstp port state

Catatan :

Port Fast enable pada access port , akan secara langsung menjadi forwarding state dan port akan langsung menjadi up. Dan jangan digunakan pada Trunk Ports , ini kan menjadi masalah dengan loop switch.

Contoh STP :

stp topology

SW0 Config :

SW0(config)#spanning-tree mode rapid-pvst

SW0(config)#interface range 0/1 – 2

SW0(config-if-range)#spanning-tree portfast

SW0(config-if-range)#no shut

SW0(config-if-range)#end

SW0(config)#wr

SW1 Config :

SW1(config)#spanning-tree mode rapid-pvst

SW1(config)#interface range 0/1 – 2

SW1(config-if-range)#spanning-tree portfast

SW1(config-if-range)#no shut

SW1(config-if-range)#end

SW1(config)#wr

SW2 Config :

SW2(config)#spanning-tree mode rapid-pvst

SW2(config)#interface range 0/1 – 2

SW2(config-if-range)#spanning-tree portfast

SW2(config-if-range)#no shut

SW2(config-if-range)#end

SW2(config)#wr

SW3 Config :

SW3(config)#spanning-tree mode rapid-pvst

SW3(config)#interface range 0/1 – 2

SW3(config-if-range)#spanning-tree portfast

SW3(config-if-range)#no shut

SW3(config-if-range)#end

SW3(config)#wr

SW4 Config :

SW4(config)#spanning-tree mode rapid-pvst

SW4(config)#interface range 0/1 – 2

SW4(config-if-range)#spanning-tree portfast

SW4(config-if-range)#no shut

SW4(config-if-range)#end

SW4(config)#wr

Dan terakhir pada SW1 , kita lakukan perintah sbb :

SW0(config)#spanning-tree vlan 1 root primary

Lihat hasil pada SW0 , dengan perintah sh run , akan terlihat Interface Fa0/1 dan Fa0/2 manjadi portfast.

shrun_sw0

Hasil dari SW1 :

shrun_sw1

Coba check kembali pada sisa switch yang belum di check ( SW2,SW3 dan SW4 ).

 

STP – Spanning Tree Protocol

Spanning Tree Protocol dibuat untuk membatasi kemana switch akan memforward frames , mencegah loop pada redundant switch pada lokal arena network. STP dibuat karena ada beberapa switch yang akan memforward frame pada LAN tanpa adanya intervensi secara langsung.

Ketika STP diaktifkan , STP akan mengijinkan switch untuk mem-block port , yang akan mencegah mereka mem-forward frame jika switch menggunakan redundant link. Pemilihan port yang akan di block dilakukan dengan secara cerdik.

  • STP dibuat agar frame tidak dapat looping secara terus menerus atau tanpa henti.
  • STP membatasi frame dari looping secara terus menerus dengan memeriksa port untuk menentukan apakah port tersebut dalam keadaan terblok. Dan jika dalam keadaan terblok semua traffik akan ditahan dan tidak ada frame yang akan dikirim ke luar dan frame yang masuk pada interface tersebut.

Kenapa kita membutuhkan STP ?

Tanpa STP , Ethernet Frame akan berpotensi untuk looping selamanya. Broadcast storm terjadi ketika frame akan looping secera terus menerus yang akan menyebabkan network menjadi lambat yang akan ber-implikasi pada user dan perangkat yang lain.

Bagaimana STP Bekerja ?

STP memutuskan port mana atau interface yang harus berada pada kondisi “forwarding state” , dengan yang lain atau sisanya akan berkondisi “blocking state”.

Interface yang dalam keadaan Forwarding State akan menerima dan mengirim frame dan yang lain akan dalam kondisi blocking state ( tidak dapat menerima dan mengiriman frame ). STP akan memilih siapa yang akan menjadi “root” jika semua port dalam dalam kondisi “forwarding state”. Dalam pemilihan ini status root ini disebut “root bridge election”.

Sebuah “root bridge election” harus dipilih , root bridge spanning tree adalah yang yang mempunya Bridge ID yang terendah. Bridge ID adalah kombinasi dari priority number dan MAC Address. Default bridge priority adalah 32768 , yang dapat dikonfigurasi pada kelipatan dari 4096. Sebagai contoh bridge ID adalah 32768.0000.1111.2222 , jika switch mempunyai priority yang sama maka yang akan menjadi root bridge adalah yang mempunyai MAC terendah.

Sebagai contoh kasus , jika 2 buah switch mempunya prioroty yang sama yaitu 32768 , kemudian switch 1 mempunyai mac adress 0000.1111.1111 dan switch 2 mempunyai mac address 0000.1111.2222 , maka switch 1 lah yang akan menjadi root bridge karena mempunyai nilai MAC ID yang rendah.