Tips dibawah ini boleh digunakan oleh penyedia jaringan hotspot/sejenisnya terutama yang menggunakan billing antamedia hotspot. Sebenarnya kasus ini sudah lama saya ketahui cuma dalam beberapa hari ini issue ini semakin membesar dan ternyata inilah trick yang sering digunakan oleh orang banyak. Hari ini saya akan memberitahukan caranya kepada para penyedia jaringan bagaimana caranya melindungi jaringan anda agar tidak terjadi kasus kebobolan pencurian akses.
Berikut ini beberapa tips agar server hotspot anda aman dan tidak bisa di bobol oleh orang yang mungkin iseng:
1. Jangan pernah memberikan daftar situs whitelist, daftar IP whitelist, dan daftar MAC whitelist.
Ini kesalahan yang sangat fatal dan sangat mungkin untuk bisa di eksploitasi lebih lanjut oleh orang yang tahu. Sebagai contoh ketika saya mencoba memberikan daftar google.com kedalam situs whitelist maka semua jaringan yang terhubung dengan google dapat dibuka oleh user tanpa otoritas. Sedangkan IP dan MAC whitelist bisa dicuri dengan teknik “sniffer” jadi sebaiknya jangan ada whitelist untuk IP dan MAC juga semua harus otorisasi kedalam server.
Contoh: Ketika saya terhubung dengan AP dimana saya diperbolehkan mengakses google.com tanpa perlu login/otorisasi kedalam billing. Kemudian saya mencari di google.com dengan kata kunci “istanto” maka akan keluar daftar situs istanto. Apa yang terjadi ketika saya mencoba membuka salah satu hasil pencarian? server akan menganggap saya memiliki hak untuk mengakses halaman “istanto” padahal itu sebenarnya diluar akses situs whitelist. Dimana untuk kelanjutannya sang penyerang bisa memanipulasi jalur data yang dilewati. (kalau tidak percaya silahkan dicoba sendiri).
2. Berikan IP policy & FireWall jika server anda dikendalikan dengan remote.
Semua daftar pelanggan, jenis layanan, QOS, dan lain sebagainya ada didalam server yang dimana harus di proteksi hanya boleh diakses oleh orang yang memiliki otoritas penuh terhadap server. Berikanlah IP policy jika anda hanya memperbolehkan anda sendiri untuk mengakses server anda dengan remote. Selain itu berikanlah password yang tidak mudah ditebak dan proteksi flood dimana kalau terjadi kasus “brute force” server akan otomatis memblokir semua koneksi dari IP yang mencoba masuk kedalam server anda.
Sedangkan FireWall disini hanya perlu kita fungsikan untuk menutup akses dari luar menuju ke dalam. Mudahnya begtini sebagai contoh: Kita menggunakan port 123 sebagai port untuk remote, jika ada permintaan dari luar menuju port 123 disinilah tugas firewall untuk mematikan semua hubungan pada port 123 yang dilakukan dari IP di luar jaringan.
3. Semua user yang terhubung pada gateway harus melakukan otorisasi.
Inilah kesalahan fatal para operator Indonesia yang umumnya terjadi. Sebagai contoh saya ingat sekali ada jaman dimana smart-telecom memperbolehkan user dan login terhubung pada gateway dengan menggunakan username dan password sembarangan. Misalnya user:saya password:ganteng. Jika ini boleh terjadi maka kebanyakan orang bisa memanipulasi jalur data yang ada. Untuk mengatasi ini buatlah sebuah rules dimana semua user yang terhubung pada gateway harus melakukan otorisasi agar system tau QOS dan Limiter yang (mungkin) diberlakukan untuk tiap user. Sebagai tambahan jika user mencoba terhubung pada gateway tanpa otorisasi sebaiknya jangan diperbolehkan kalau ingin benar-benar aman.
4. Berikan IP khusus untuk setiap MAC address.
Kasus ini pernah terjadi ketika salah satu client saya mengirimkan sms ke saya dan memberitahukan dia tidak bisa terhubung dengan AP. Ketika saya periksa ternyata ada orang lain yang terhubung dengan AP menggunakan MAC client saya. Ada kemungkinan besar sang “pencuri” tersebut menggunakan teknik sniffer sehingga dia tau MAC client saya. Maka saya melakukan perubahan untuk semua client MAC mereka saya record kedalam AP dan tidak akan saya lepaskan sebelum melewati 30 hari. Sang pencuri akhirnya menyerah dan pergi.
5. Blokir semua akses keluar jika client menggunakan DNS selain DNS default.
Sebenarnya ini agak susah dilakukan namun saya yakin ada tools atau program tambahan yang bisa membantu kita untuk melakukan ini. Pemblokiran ini untuk melindungi bypass jalur yang dimana biasanya orang-orang tersebut lebih suka menggunakan Open DNS/Google DNS. Dengan pemblokiran ini minimal bisa mengurangi beberapa orang yang mencoba memanipulasi jalur utama yang seharusnya dilewati.
No comments:
Post a Comment