H.G. Ramadhan, Author at Herza.ID

Stateful Mitigation: Pentingnya, dan Bagaimana Kami Menyediakannya

Herza Cloud telah bekerjasama dengan Path.net telah menerapkan jaringan global yang tangguh menggunakan stateful mitigation. Pelajari apa itu, dan bagaimana teknisi kami memanfaatkannya untuk unggul dalam perlindungan DDoS untuk Anda.

Apa itu Stateful Mitigation?

Ketika kita berbicara tentang “status”, ini mengacu pada informasi yang dipertahankan tentang urutan paket tertentu. Ini biasanya dilakukan dengan melacak pengidentifikasi, termasuk namun tidak terbatas pada, alamat IP dan port sumber dan tujuan. Ketika sebuah paket tiba, pencarian dapat dilakukan di tabel koneksi untuk mengidentifikasi apakah paket tersebut milik koneksi yang ada atau tidak. Status sudah ada dalam banyak kasus penggunaan yang berbeda. Transmission Control Protocol (TCP) adalah protokol layer transport berorientasi koneksi yang membutuhkan jabat tangan tiga arah sebelum dua perangkat akhir dapat berkomunikasi. Ketika paket SYN (“sinkronisasi”) diterima, yang merupakan langkah pertama pembentukan koneksi, sumber daya harus dialokasikan untuk “mengingat” klien (status). Dalam kasus kami, kami ingin membahas bagaimana ini cocok dengan mitigasi DDoS.

Aoa itu Stateful Mitigation — Source: ResearchGate

Mengapa itu penting?

Biasanya, serangan DDoS dapat dikurangi dengan memblokir lalu lintas dengan atribut berbeda dari lalu lintas yang sah. Ini mungkin termasuk nilai tidak valid yang tidak sesuai dengan protokol. Misalnya, header TCP dapat membawa flag, tetapi hanya beberapa kombinasi yang masuk akal dan dengan demikian diizinkan untuk digunakan oleh aplikasi. Bit SYN digunakan selama pembentukan koneksi, sedangkan FIN digunakan untuk mengakhiri koneksi. Mengingat informasi ini, tidak masuk akal jika keduanya digunakan secara bersamaan. Paket SYN-FIN dapat diblokir secara efektif tanpa risiko menjatuhkan serangan apa pun. Ini menimbulkan pertanyaan: Jadi mengapa mitigasi stateful penting?

Sayangnya, hal ini tidak selalu terjadi. Untuk serangan yang lebih canggih, lalu lintas DDoS tidak dapat difilter begitu saja dengan memeriksa karakteristik paket. Dalam hal ini, kita tidak dapat memutuskan apakah suatu paket harus dijatuhkan atau tidak tanpa mengetahui bagaimana paket tersebut berhubungan dengan lalu lintas yang dikirim sebelumnya. Di sinilah peran negara. Menggunakan mitigasi stateful, kita dapat memblokir paket-paket ini yang berasal dari serangan DDoS yang tidak dapat dibedakan dari lalu lintas yang sah.

Vektor yang paling umum

Anda mungkin bertanya-tanya apa serangan canggih yang menuntut mitigasi stateful ini. Di bawah ini, saya membahas beberapa strategi yang mungkin digunakan penyerang untuk mengatasi penerapan mitigasi DDoS yang tidak stateful atau tidak mengimplementasikan state dengan cukup baik.

SYN-ACK Floods

Paket SYN-ACK adalah langkah kedua dalam jabat tangan tiga arah TCP. Dalam model klien-server di mana klien adalah yang memulai koneksi, server akan membalas klien dengan SYN-ACK (“pengakuan sinkronisasi”). Banjir SYN-ACK adalah saat penyerang mencoba menjenuhkan sumber daya host dengan mengirimkan paket-paket ini dengan kecepatan tinggi, dengan maksud untuk membanjiri sistem atau jaringan. Saat paket SYN-ACK tiba di server, ia harus mencoba mencari tahu mengapa ia menerima lalu lintas di luar negara bagian ini. Dengan sejumlah besar paket ini tiba dengan cepat, sistem akan terlalu sibuk mencoba menangani lalu lintas jahat sehingga tidak dapat menangani lalu lintas yang sah. Bahkan untuk penyebaran kecil firewall stateful, hal ini menantang untuk dikurangi. Modul stateful harus melakukan pencarian untuk memeriksa apakah paket yang datang milik koneksi yang ada. Bergantung pada kekuatan pemrosesannya dan solusi yang digunakan, ini mungkin jauh lebih baik, tetapi tetap tidak ideal.

Ada dua cara berbeda bagi penyerang untuk melakukan banjir SYN-ACK. Yang pertama melibatkan penggunaan botnet, dan memiliki semua perangkat yang terinfeksi (sering disebut sebagai “bot”, “budak”, atau “zombie”) mengirim paket TCP SYN-ACK palsu ke target. Dengan sejumlah besar bot yang tersedia untuk penyerang, dia dapat dengan cepat membebani target dengan lebih banyak lalu lintas daripada yang dapat ditanganinya.

Metode lain, yang menjadi lebih menonjol selama setahun terakhir, disebut sebagai refleksi TCP. Dalam serangan ini, penyerang mengirimkan paket TCP SYN palsu ke server yang sah. Paket palsu ini memiliki alamat IP sumber yang dipalsukan dengan milik korban. Setelah paket SYN palsu tiba di server, tidak ada cara untuk mengetahui bahwa alamat IP sumber yang disimpan di header IP sebenarnya bukan milik pengirim. Server membalas ke host dengan paket SYN-ACK. Dalam hal ini, tuan rumah adalah korbannya, dan menerima lalu lintas yang tidak diinginkan dari perangkat yang sepenuhnya sah. Ini disebut refleksi karena penyerang telah menggunakan host lain untuk memantulkan permintaannya, dan dari sana memantulkannya ke korban. Ketika ini terjadi puluhan atau ratusan ribu kali per detik, target dapat dengan mudah dibanjiri dengan lalu lintas serangan yang terlalu banyak sehingga tidak dapat menerima lalu lintas yang sah, sehingga menyebabkan Distributed Reflected Denial of Service (DRDoS). Perangkat yang paling umum digunakan sebagai reflektor (host memantulkan lalu lintas ke korban) biasanya adalah server web, tetapi bisa juga berupa server SMTP atau layanan TCP lainnya.

ACK Floods

Sama seperti banjir SYN-ACK, paket TCP out-of-state ini digunakan untuk membingungkan host dan menghabiskan sumber daya dengan mengirimkan paket yang bukan milik koneksi yang ada. Kami tidak akan membahas terlalu banyak detail tentang banjir ACK karena cara kerjanya sangat mirip dengan banjir SYN-ACK, kecuali hanya ada satu cara yang masuk akal untuk meluncurkan serangan ini. Seperti kebanyakan serangan lainnya, botnet digunakan untuk mengirim paket TCP ACK buatan dari sejumlah besar perangkat IoT yang terinfeksi.

UDP Floods

Kami telah membahas cara jabat tangan tiga arah TCP dapat disalahgunakan untuk merusak jaringan lain di Internet. Bagaimana dengan protokol lain?

Dengan sebagian besar serangan berbasis UDP, mereka cukup mudah untuk dimitigasi. Untuk amplifikasi UDP, seseorang dapat memilih untuk menilai-batas vektor amplifikasi umum, seperti Memcache. Dengan banjir umum yang dikirim dari botnet, lalu lintas DDoS biasanya dapat dihentikan dengan mengidentifikasi atribut umum yang membedakannya dari lalu lintas biasa. Seperti yang telah kami katakan, ini tidak selalu terjadi, dan dengan protokol tanpa koneksi yang sering dimanfaatkan untuk melancarkan serangan, tidak terkecuali UDP.

Mari kita lihat beberapa lalu lintas yang berasal dari klien di server game.

Sekarang mari kita periksa serangan DDoS yang dikirim ke jenis server game yang sama.

Wahhh, yang mana?! Dengan memeriksa dua sampel lalu lintas yang berbeda ini, kami tidak memiliki cara untuk mengetahui mana klien yang sah, dan mana yang merupakan serangan DDoS! Dengan serangan yang cukup terfokus, penyerang dapat menyesuaikannya agar terlihat sangat mirip dengan lalu lintas reguler untuk layanan tersebut. Ini membutuhkan mitigasi stateful lanjutan untuk membuat keputusan pada paket berdasarkan lalu lintas sebelumnya.

Bagaimana Herza Cloud menangani stateful mitigation

Banyak penyedia mitigasi DDoS gagal memitigasi serangan canggih semacam itu; Deteksi DDoS berbasis tanda tangan tidak dapat mengenali banjir tertentu, dan lalu lintas klien yang sah seringkali dapat dihentikan dalam proses mitigasi serangan semacam itu. Server game sangat rentan untuk menyelesaikan bencana bahkan dari serangan kecil, dan terutama jika layanan mitigasi menyebabkan hilangnya paket untuk klien. Path telah menerapkan firewall yang sepenuhnya stateful untuk memblokir jenis serangan yang paling canggih sekalipun, termasuk namun tidak terbatas pada, banjir SYN, SYN-ACK, dan ACK. Ketika serangan DDoS akan segera terjadi, jaringan global 2,8 Tbps kami bekerja untuk menyaring semua bentuk serangan, baik negara diperlukan atau tidak untuk memitigasinya. Baru-baru ini, kami telah memperkenalkan filter aplikasi, yang memfilter lalu lintas di tepi yang tidak membatasi layanan yang ingin dilindungi pengguna. Anda dapat membaca lebih lanjut tentang filter aplikasi Path di sini. Semua filter ini bersifat stateful, artinya kita tidak hanya dapat mencegah lalu lintas yang tidak menarik bagi aplikasi, tetapi juga lalu lintas yang tidak masuk akal untuk diterima aplikasi mengingat keadaan saat ini dipertahankan tentang host tertentu.

Sebagian besar produk yang digunakan untuk melindungi jaringan kami dari serangan DDoS diimplementasikan menggunakan eBPF dan XDP untuk kecepatan pemrosesan paket bare-metal, dan hanya perangkat keras tingkat perusahaan tingkat atas yang digunakan untuk mencapai kinerja paling mutakhir.

Perlindungan DDoS menggunakan eBPF/XDP

“Bekerja lebih cerdas, bukan lebih keras” adalah motif yang didukung oleh para Engineer di Herza Cloud, itulah sebabnya kami terus mengembangkan teknik mitigasi DDoS (Distributed Denial-of-Service) dengan cara yang belum pernah terjadi sebelumnya menggunakan kekuatan eBPF dan XDP. Penambahan terbaru kami, yang dikenal sebagai filter, memungkinkan pelanggan menerima perlindungan tanpa hambatan dari banyak serangan yang berbeda, baik yang dikenal maupun tidak dikenal, dengan mengklik tombol.

Cara kerja eBPF dan XDP

Jika Anda tidak familiar dengan apa itu eBPF atau XDP, kami memberikan pengenalan singkat tentang teknologi yang cukup baru ini di postingan blog kami berjudul Apa itu eBPF, XDP and Network Security. Pada dasarnya, ini memungkinkan seseorang untuk memfilter paket secara terprogram dengan kecepatan sangat tinggi. Perusahaan besar seperti Cloudflare dan Facebook sudah memanfaatkan fleksibilitasnya untuk memeras kinerja sebanyak mungkin dari sistem mereka.

Mengatasi solusi mitigasi DDoS saat ini

Cara paling menonjol untuk bertahan melawan serangan DDoS melibatkan penerapan beberapa aturan untuk memblokir serangan yang umum dan dikenal. Solusi ini sering mendasarkan stacking mereka pada pemfilteran berurutan, di mana rangkaian aturan diterapkan. Setiap kali sebuah paket datang, paket tersebut harus melintasi setiap aturan satu per satu hingga menemukan kecocokan. Pendekatan ini secara linier akan meningkatkan seberapa mahal untuk memfilter paket, dan membatasi skalabilitas seiring berkembangnya aturan. iptables, program ruang pengguna untuk memfilter paket di kernel Linux, adalah salah satu penyebab terbesar, namun tidak jelas berapa banyak perusahaan yang masih menggunakan perangkat lunak ini untuk mendorong mitigasi DDoS mereka.

iptables performance (source: RedHat Developers)

Kekhawatiran lain adalah di mana penyaringan paket dilakukan. Banyak layanan menggunakan “pusat scrubbing”, yang melibatkan pengubahan rute lalu lintas jauh untuk mengurangi serangan, dan dengan demikian menurunkan kinerja. Dalam skenario tertentu, overhead dari pengalihan yang mahal ini dapat berdampak pada jaringan hampir sama buruknya dengan serangan itu.

Lebih mendasar lagi, masalahnya terletak pada pola pikir. Dengan Internet yang terus tumbuh dan berkembang, penyerang tidak terlalu jauh di belakang. Serangan DDoS baru meningkat setiap hari, dan terlepas dari upaya terbaik, tidak mungkin untuk melacak setiap serangan. Ini menimbulkan pertanyaan tentang bagaimana penyedia mitigasi DDoS tradisional akan menangani serangan yang belum mereka temui.

Ketika Aplikasi Filter Lebih Berfungsi

Menggunakan firewall rules, seringkali sulit untuk mengungkapkan dengan tepat apa yang diinginkan pengguna. Biasanya, tingkat kontrol paling terperinci yang dapat Anda terima mencakup kemampuan memfilter pada lapisan transport, yang hanya mencakup UDP dan TCP. Meskipun ini bagus untuk memblokir serangan yang tidak terkoordinasi dengan baik dengan memblokir atau membatasi lalu lintas di porta, ini tidak cukup.

Misalnya, Anda memiliki server OpenVPN yang berjalan di port UDP 1194. Jika lalu lintas UDP di port lain tidak diperlukan, mungkin terlihat seperti ini:

PROTOCOL	SOURCE IP	SOURCE PORT	DESTINATION PORT	ACTION
UDP			1194	Accept
UDP				Drop

Jika serangan DDoS berbasis UDP menargetkan port selain 1194, solusi ini akan berfungsi dengan baik. Namun, apa yang akan dilakukan ACL (Access Control List) ini ketika penyerang menargetkan port UDP 1194? Itu akan mengizinkannya! Ini belum tentu kesalahan firewall Anda karena melakukan sesuatu selain yang diperintahkan; itu memberikan persis apa yang diminta. Masalahnya adalah bahwa pengguna tidak memiliki tingkat kontrol yang cukup baik untuk mewakili apa yang diperlukan dengan benar. Yang ingin kami sampaikan adalah bahwa semua lalu lintas OpenVPN harus diizinkan di port ini, bukan semua lalu lintas UDP. Dengan berapa banyak serangan DDoS yang menyalahgunakan properti UDP tanpa koneksi, mengizinkan semuanya tidak dapat diterima. Jadi bagaimana kita membuat keputusan pada paket yang setepat mungkin? Jawabannya: filter aplikasi pada Layer 7.

Di Herza Cloud, kami telah menghilangkan rasa frustrasi itu. Menggunakan eBPF/XDP, filter aplikasi diterapkan di tepi jaringan untuk jumlah protokol yang terus bertambah. Segera setelah filter diterapkan, semua lalu lintas yang menuju ke layanan tertentu melewati filter aplikasi ini, di mana perangkat lunak memastikan bahwa setiap paket terbatas pada konvensi yang digunakan aplikasi. Ini dilakukan melalui penelitian yang cermat untuk menemukan apa yang membedakan paket milik aplikasi yang ingin kami lindungi dari paket lain. Semua filter aplikasi kami menggunakan Stateful Mitigation untuk memblokir jenis Floods / DDoS yang paling canggih sekalipun. Bersihkan lalu lintas melewati dengan mulus, sementara paket berbahaya atau tidak sah ditolak; semua tanpa intervensi apa pun yang diperlukan, atau kemungkinan bahwa lalu lintas klien dapat dihentikan dalam proses. Saat ini kami telah membuat filter aplikasi untuk sejumlah layanan berbeda, termasuk OpenVPN, TeamSpeak 3, TLS, dan banyak lagi!

Hasil

Sejak rilis awal filter aplikasi kami, klien mendapat manfaat dari tingkat ketahanan yang tak tertandingi terhadap DDoS, apakah itu serangan volumetrik, banjir aplikasi bandwidth rendah, atau apa pun di antaranya! Filter aplikasi Path bukan hanya cara yang lebih logis untuk menyediakan pemfilteran paket, tetapi juga sangat efisien, sangat terukur, dan lebih tahan masa depan. Path berencana untuk melanjutkan perluasan teknologi ini, karena infrastruktur kami menjadi lebih modular.

One of our application filters are shown above withstanding an attack

Apa itu eBPF, XDP and Network Security?

Akhir-akhir ini sedang trending pertanyaan apa itu eBPF dan XDP. Di Herza Cloud, Salah satu inovasi terbaru untuk solusi Anti DDoS adalah pengembangan kami untuk Firewall Filter Layer 7 dengan eBPF dan XDP.

Kami tidak takut merusak barang dan bergerak cepat. Kami telah memupuk budaya teknik yang kuat yang mendorong inovasi dan kami yakin ini penting, karena memungkinkan anggota tim kami melakukan yang lebih baik waktu demi waktu.

eBPF dan XDP adalah teknologi terbaru yang perlu Anda tambahkan ke kosakata tren teknologi trending saat ini, bersama dengan Blockchain dan Cyberwarfare.

Dalam artikel ini, kami akan menyelami sedikit tentang kegunaan eBPF dan XDP, namun kami akan berfokus pada bagaimana kami menggabungkan teknologi menarik ini kedalam keamanan jaringan kami, terkhusus layanan keamanan Anti DDoS dan berbagi bagian dari perjalanan kami melakukannya.

Apa itu eBPF?

Apa yang dimulai dengan tujuan sederhana dari pemfilteran paket jaringan, eBPF dengan cepat berkembang menjadi salah satu alat paling kuat yang tersedia untuk Linux. Diadopsi oleh orang-orang seperti Netflix, Amazon, Google, Microsoft dll dan dijuluki “Kekuatan super untuk Linux” oleh beberapa orang, ini memungkinkan Anda untuk menjalankan “ring 3 user-space code” dalam kernel pada ring 0, di dalam mesin virtual.

eBPF telah terbukti menjadi alat yang sangat berharga untuk pemfilteran serta klasifikasi paket, diagnostik dan pelacakan jaringan, serta analisis kinerja antara lain di dalam Herza Cloud.

Artikel ini https://lwn.net/Articles/740157/ dapat memberikan informasi lebih lanjut tentang eBPF.

Apa itu XDP?

“XDP atau eXpress Data Path memberikan performa tinggi, jalur data jaringan yang dapat diprogram di kernel Linux sebagai bagian dari IO Visor Project. XDP menyediakan pemrosesan paket bare metal pada titik terendah dalam tumpukan perangkat lunak yang menjadikannya ideal untuk kecepatan tanpa mengurangi kemampuan pemrograman. Selain itu, fungsi baru dapat diimplementasikan secara dinamis dengan jalur cepat terintegrasi tanpa modifikasi kernel” – iovisor.org

Lihat https://www.iovisor.org/technology/xdp untuk informasi lebih lanjut tentang XDP.

eBPF dan XDP untuk Keamanan Jaringan

Mengapa kita ingin menggunakan eBPF dan XDP?

Hanya karena itu sangat memperkuat kemampuan Deteksi, Analisis, dan Mitigasi serangan DDoS dengan lebih terarah. Dengan memfilter paket pada tingkat silikon dengan perangkat keras seperti Mellanox Connect-X5, kami dapat mengungguli solusi lain yang telah kami uji secara andal.

Selain manfaat kinerja yang jelas, eBPF dan XDP bersama-sama memungkinkan kami menambahkan lapisan keamanan tambahan pada tingkat serendah mungkin. Hal ini bersama-sama dengan teknologi keamanan jaringan milik kami lainnya menambahkan hingga melebihi persyaratan Keamanan dari setiap Pemerintah, Perusahaan atau organisasi mana pun dengan data sensitif, dan platform Herza Cloud Network Intelligence & Analytics menyediakan analitik berkelanjutan secara real-time, memberi pelanggan visibilitas yang tak tertandingi dan wawasan yang dibutuhkan melalui jaringan dan infrastruktur.

Tapi seperti teknologi baru lainnya, ini bukannya tanpa masalah dan bahkan kadang-kadang kita merasa seperti kita memotong diri kita sendiri di ujung tombak, karena area yang kita injak benar-benar belum dieksplorasi.

Mari ambil cuplikan kode untuk menemukan data header IP terkait dengan header ETH (kode ini dapat ditemukan di beberapa contoh eBPF, dan kami juga menggunakan versinya):

static __always_inline bool parse_eth(struct ethhdr* eth,
                                      void* data_end,
                                      u16* eth_proto,
                                      u64* l3_offset) {
    u16 eth_type = eth->h_proto;
    u64 offset = 0;

    if ((void*)(eth + 1) > data_end)
        return false;

    /* Skip non 802.3 Ethertypes */
    if (unlikely(ntohs(eth_type) < ETH_P_802_3_MIN))
        return false;

        /* Handle (double) VLAN tagged packet */
#pragma unroll
    for (int i = 0; i < 2; ++i) {
        if (eth_type == htons(ETH_P_8021Q) || eth_type == htons(ETH_P_8021AD)) {
            struct vlan_hdr* vlan_hdr;

            vlan_hdr = (void*)eth + offset;
            offset += sizeof(*vlan_hdr);
            if ((void*)(eth + 1) + offset > data_end)
                return false;
            eth_type = vlan_hdr->h_vlan_encapsulated_proto;
        }
    }

    *eth_proto = ntohs(eth_type);
    *l3_offset = offset;
    return true;
}

Dalam hal ini offset memiliki salah satu dari 3 nilai constant values: 0, sizeof(struct vlan_hdr) atau 2 * sizeof(struct vlan_hdr), yang terlihat saat melihat bytecode yang dikompilasi. offset disimpan dalam register r4, dan inilah yang terjadi padanya:

$ llvm-objdump -S -no-show-raw-insn xdp_l3offset_kern.o

; offset = 0;
      15:       r4 = 0
; offset += sizeof(*vlan_hdr);
      20:       r4 = 4
; offset += sizeof(*vlan_hdr);
      26:       r5 = r4
      27:       r5 += 4
      // ...
      35:       r4 = r5

We know that the value is [0-8], and the in-kernel eBPF verifier knows it too, as it tracks registers’ values to make sure that operations on the packet are well defined:

    if (eth_proto == ETH_P_IP) {
        struct iphdr* ip = (void*)(eth + 1) + l3_offset;
        if ((void*)(ip + 1) > data_end)
            return XDP_DROP;

        // Will print the protocol number to /sys/kernel/debug/tracing/trace_pipe
        bpf_trace_printk("ipproto: %u\n", ip->protocol);
    }

$ llvm-objdump -S -no-show-raw-insn xdp_l3offset_kern.o

; struct iphdr* ip = (void*)(eth + 1) + l3_offset;
; r2 contains the packet pointer
      42:       r2 += r4

Pada hari-hari awal pengembangan kami dengan XDP dan eBPF, kami mengalami banyak masalah dan karenanya kami dengan senang hati membagikan informasi ini dengan komunitas open source yang lebih luas dengan harapan dapat membantu seseorang di luar sana.

Kami juga senang untuk membagikan informasi ini sebagai pembaruan dan bersemangat untuk memberi tahu Anda berita dan berbagi pembaruan sepanjang perjalanan teknologi kami, dan saat kami merilis fitur dan produk baru, kami akan terus mengabari Anda.

Ransomware Baru ESXiArgs Menyerang Server VMware ESXi di Seluruh Dunia

ESXiArgs Ransomware, ransomware baru yang menargetkan server VMware ESXi, telah menyebar dalam skala besar di seluruh dunia, termasuk diantaranya beberpaa perusahaan di Indonesia juga terdampak. Penyerang memanfaatkan kerentanan eksekusi kode jarak jauh CVE-2021-21974, yang sebelumnya ditangani dan diungkapkan dalam peringatan keamanan VMware pada Februari 2021, untuk mendapatkan akses dan menyebarkan ESXiArgs.

1. Ikhtisar ESXiArgs Ransomware

Sangfor FarSight Labs baru-baru ini mengamati ransomware baru yang menargetkan server VMware ESXi, dijuluki oleh para peneliti sebagai ESXiArgs. VMware ESXi Server adalah hypervisor bare metal (Tipe-1) yang dikembangkan untuk vSphere, perangkat lunak pengembangan aplikasi berbasis kontainer dan virtualisasi server VMware. Serangan ESXiArgs mulai muncul dalam skala besar pada bulan Februari tahun ini. Penyerang mengeksploitasi contoh yang belum ditambal dari kerentanan eksekusi kode jarak jauh (RCE) CVE-2021-21974 di server ESXi untuk menyebarkan file berbahaya, menyebabkan limpahan tumpukan di layanan OpenSLP.

Eksploitasi Kerentanan

Kerentanan, yang secara khusus memengaruhi layanan OpenSLP, dapat dieksploitasi melalui port UDP 427 oleh pelaku ancaman yang tidak diautentikasi untuk mendapatkan eksekusi kode jarak jauh dalam serangan dengan kompleksitas rendah. Pada rilis artikel ini, ada 2.453 server yang terpengaruh di seluruh dunia. CVE-2021-21974 memengaruhi versi VMware ESXi berikut:

Versi 7.x sebelum ESXi70U1c-17325551 6
Versi 6.7.x sebelum ESXi670-202102401-SG
Versi 6.5.x sebelum ESXi650-202102101-SG

Menurut intelijen ancaman, ESXi versi 6.0.x dan 5.5.x juga telah diserang. Namun, penasihat keamanan VMware tentang CVE-2021-21974 tidak menentukan bahwa versi ini terpengaruh.

2. Analisis Ransomware ESXiArgs

Analisis Sangfor FarSight Labs menunjukkan 5 file yang terlibat dalam serangan ransomware ESXiArgs. File-file ini terletak di folder /tmp/ dari server korban. Nama file berbahaya ini dan deskripsinya adalah sebagai berikut:

encrypt – enkripsi (file ELF)
encrypt.sh – file fungsi sebelum menjalankan encryptor
public.pem – kunci publik dalam algoritma enkripsi RSA yang digunakan untuk mengenkripsi file
motd – file catatan tebusan dalam format teks
index.html – file catatan tebusan dalam format HTML

Sampel dimulai dengan parameter, yang diverifikasi pada tahap awal peluncuran program. Setelah sampel dimulai dengan parameter yang benar, operasi berikut akan dijalankan.

Catatan Ransomware

Nama file catatan tebusan adalah “How to Restore Your Files.html”. Korban diminta untuk membayar uang tebusan dalam bitcoin dan mendapatkan kunci dekripsi di TOX_ID untuk memulihkan file terenkripsi mereka atau mencegah kebocoran data mereka.

encrypt.sh

Logika skrip shell encrypt.sh dirangkum dalam diagram berikut:

Ubah File Konfigurasi

Mengubah nama file VMDK (file disk mesin virtual) dan VSWP (file swap mesin virtual) untuk menambah kesulitan bagi korban untuk menemukan dan memulihkan data asli setelah file dienkripsi.

Enkripsi File

Semua volume penyimpanan pada host ESXi pertama kali disebutkan sehingga disk virtual yang tidak terpasang ke VM juga dapat terpengaruh.

Volume terenkripsi berisi file dengan ekstensi berikut:

*.vmdk
*.vmx
*.vmxf
*.vmsd
*.vmsn
*.vswp
*.vmss
*.nvram
*.vmem

Penghindaran Pertahanan

Untuk menghindari deteksi dan mencegah pemulihan data, ransomware mencoba melakukan operasi berikut: menghapus semua file log di sistem, menghapus tugas terjadwal, menghapus file cadangan, menghapus semua alamat IP yang ada di file konfigurasi port HTTP, dan menghapus toko/paket/ vmtools.py backdoor file dan file berbahaya awalnya diunggah ke direktori /tmp/.

Mulai Layanan SSH

Enkripsi (Enkripsi)

Perintah startup mencakup parameter startup berikut: file kunci RSA publik, jalur file yang akan dienkripsi, blok data untuk menghindari enkripsi, ukuran blok terenkripsi, dan ukuran file.

Ransomware mengeksekusi dan melakukan beberapa langkah untuk mengenkripsi file sistem.

Fungsi encrypt_file() selanjutnya memanggil fungsi encrypt_simple() untuk melakukan proses enkripsi. Gambar di bawah menunjukkan potongan kode dari fungsi encrypt_file(). Fungsi encrypt_simple terlihat seperti ini:

Proses enkripsi sosemanuk_encrypt adalah sebagai berikut:

Memeriksa apakah nilai yang disimpan dalam hasil kurang dari 0x4F. Ketika nilainya kurang dari 0x4F, operasi eksklusif atau (XOR) dilakukan pada 80LL – (a1 + 128) byte pertama dari teks biasa dengan status internal sandi Sosemanuk. Fungsi kemudian memasuki loop yang mengenkripsi teks biasa yang tersisa di blok 80LL byte setiap kali, memperbarui keadaan internal cipher Sosemanuk setelah setiap blok dienkripsi. Operasi XOR dilakukan pada blok terenkripsi dengan plaintext untuk menghasilkan ciphertext.

Enkripsi penuh untuk file yang lebih kecil dari 128MB
Enkripsi parsial untuk file yang lebih besar dari 128MB (1MB=1024KB)

Menghasilkan Stream Key

3. Indicators of Compromise (IOCs)

i. ESXiArgs ransomware payment address

https://gist.github.com/cablej/c79102960c4615396e8ffc712136744a

ii. MD5

encrypt.sh	d0d36f169f1458806053aae482af5010
encrypt	87b010bc90cd7dd776fb42ea5b3f85d3

4. Solusi

4.1 Saran Perbaikan

Nonaktifkan layanan OpenSLP di ESXi, atau tingkatkan ke ESXi 7.0 U2c, ESXi 8.0 GA, ESXi 7.0 U2c, atau ESXi 8.0 GA (OpenSLP dinonaktifkan secara default).
Periksa apakah file vmtools.py ada di direktori /store/packages/. Jika ditemukan, disarankan untuk segera menghapus file tersebut.
Instal perangkat lunak antivirus, lakukan pemindaian sistem secara teratur, hapus ancaman yang terdeteksi, serta perbarui dan tambal secepat mungkin.
Data penting harus dicadangkan di cloud

4.2 Herza Solutions

Seluruh layanan Baremetal / Dedicated Server Murah dari Herza Cloud telah dilindungi oleh Sangfor Next Generation Firewall dan diperkuat lagi dengan Sangfor Endpoint Secure (Endpoint Detection and Response) memberikan perlindungan terhadap Ransomware ESXiArgs dengan mendeteksi dan menghapus virus. Perbarui perangkat lunak dan basis data virus ke versi terbaru dan tetapkan kebijakan keamanan yang sesuai.

Jadi Anda tidak perlu khawati, untuk menggunakan VMware ESXi di Datacenter Herza Cloud. Hubungi Tim Pre-Sales kami sekarang untuk berkonsultasi.

Apa itu ISO 27001?

ISO/IEC 27001:2013 adalah standar internasional yang terdiri dari persyaratan untuk mengelola keamanan informasi dalam suatu organisasi dan dengan menggunakannya, memungkinkan organisasi dalam bentuk apa pun untuk mengelola keamanan aset seperti informasi keuangan, kekayaan intelektual, detail karyawan, atau informasi yang dipercayakan oleh Pihak ketiga.

Dalam artikel ini, kita akan mengeksplorasi bagaimana ISO 27001 (atau standar ISO/IEC 27001:2013) dapat digunakan untuk menyediakan persyaratan yang berkaitan dengan penetapan, penerapan, pemeliharaan, dan peningkatan berkelanjutan Sistem Manajemen Keamanan Informasi (SMKI). SMKI adalah pendekatan sistematis untuk mengelola permata mahkota organisasi (misalnya aset dan data berharga) dan informasi sensitif sehingga tetap aman dengan menerapkan pendekatan manajemen risiko. Selanjutnya, ada tiga tujuan keamanan utama SMKI untuk sebuah organisasi:

Kerahasiaan — hanya personel yang berwenang yang memiliki hak untuk mengakses informasi.
Integritas — hanya personel yang berwenang yang dapat mengubah informasi.
Ketersediaan — informasi harus dapat diakses oleh personel yang berwenang kapan pun diperlukan.

SMKI terkait dengan dua bagian utama dari standar, sebagai berikut:

Persyaratan

Bagian persyaratan standar menjelaskan karakteristik yang diperlukan bagi organisasi untuk mengelola SMKI dengan benar. Bagian persyaratan terdiri dari sebelas klausa pendek 0 – 10. Klausul 0 – 3 (Pendahuluan, Cakupan, Referensi Normatif dan Istilah dan Definisi) menjelaskan standar dan klausa ISO 27001, sedangkan klausa 4 – 10 mengatur persyaratan wajib untuk SMKI, yang harus diterapkan agar organisasi memenuhi standar.

Standar mengambil pendekatan manajemen risiko untuk melindungi keamanan informasi dari suatu organisasi. Penilaian risiko dilakukan untuk mengetahui potensi risiko terhadap informasi dan kemudian dilakukan perlakuan risiko untuk mengatasinya melalui pengendalian keamanan. Pengendalian keamanan yang digunakan untuk mengatasi risiko berupa kebijakan, prosedur dan pengendalian teknis untuk mengamankan aset. Berikut ini adalah persyaratan wajib untuk SMKI:

4 – Konteks organisasi: Mendefinisikan ruang lingkup yang dimaksudkan dari standar dalam suatu organisasi, persyaratan untuk isu-isu eksternal dan internal dan pihak-pihak yang berkepentingan. Hal ini dapat dicapai dengan memahami organisasi dan konteksnya, harapan para pemangku kepentingan dan ruang lingkup sistem manajemen.
5 – Kepemimpinan: Mendefinisikan tanggung jawab manajemen puncak, konten tingkat tinggi dari Kebijakan Keamanan Informasi, serta peran dan tanggung jawab. Hal ini dapat dicapai dengan mendapatkan komitmen manajemen eksekutif untuk mempertahankan SMKI yang efektif dan kebijakan keamanan, dan secara formal menetapkan peran dan tanggung jawab terkait keamanan.
6 – Perencanaan: Mendefinisikan tujuan keamanan informasi, persyaratan untuk penilaian risiko, perlakuan risiko, dan Pernyataan Penerapan. Tujuan keamanan informasi dapat ditentukan dengan menetapkan rencana tentang cara mencapainya dan mengambil tindakan untuk mengatasi risiko & peluang dalam organisasi.
7 – Dukungan: Mendefinisikan persyaratan untuk ketersediaan sumber daya, kompetensi, kesadaran, komunikasi, dan pengendalian dokumen dan catatan dengan menyediakan sumber daya yang diperlukan, komunikasi, dan pelatihan mengenai kesadaran keamanan informasi.
8 – Operasi: Mendefinisikan penerapan penilaian dan perlakuan risiko, serta kontrol dan proses lain yang diperlukan untuk mencapai tujuan keamanan informasi. Hal ini dapat dicapai dengan melakukan pendekatan berbasis risiko untuk penilaian, mengidentifikasi risiko dan bagaimana hal itu dapat ditangani, mengembangkan rencana penanganan risiko, dan menerapkannya pada risiko yang teridentifikasi.
9 – Evaluasi kinerja: Menentukan persyaratan untuk pemantauan, pengukuran, analisis, evaluasi, audit internal, dan tinjauan manajemen.
10 – Peningkatan: Mendefinisikan persyaratan untuk ketidaksesuaian, koreksi, tindakan korektif, dan peningkatan berkelanjutan dengan memanfaatkan peluang untuk membuat proses dan kontrol keamanan menjadi lebih baik dari waktu ke waktu.

Security Controls (Annex A)

Lampiran A / Annex A atau bagian kontrol ISO 27001 berisi satu set 114 kontrol keamanan atau perlindungan standar industri yang dikelompokkan ke dalam 14 bagian, yang diatur dalam kategori berikut:

Kebijakan keamanan informasi: Menentukan arah dan aturan manajemen untuk keamanan informasi sesuai dengan persyaratan bisnis dan undang-undang dan peraturan yang relevan.
Organisasi keamanan informasi: Mendefinisikan struktur organisasi untuk memulai dan mengontrol pelaksanaan keamanan informasi.
Keamanan sumber daya manusia: Memastikan bahwa karyawan dan kontraktor memahami tanggung jawab mereka dan cocok untuk peran yang mereka pertimbangkan; dan menyadari dan memenuhi tanggung jawab keamanan informasi mereka sebelum, selama, dan setelah bekerja.
Manajemen aset: Mengidentifikasi aset organisasi dan menentukan tanggung jawab perlindungan yang sesuai, seperti mencegah pengungkapan yang tidak sah, modifikasi, penghapusan, atau penghancuran informasi yang disimpan di media.
Kontrol akses: Memastikan pembatasan akses ke informasi dan fasilitas pemrosesan informasi, sehingga memastikan akses pengguna yang berwenang, dan untuk mencegah akses yang tidak sah ke sistem dan layanan.
Kriptografi: Memastikan penggunaan kriptografi yang tepat dan efektif untuk melindungi kerahasiaan, keaslian, dan integritas informasi.
Keamanan fisik dan lingkungan: Mencegah akses fisik yang tidak sah, kerusakan, dan gangguan terhadap informasi organisasi dan fasilitas pemrosesan informasi.
Keamanan operasi: Memastikan operasi fasilitas pemrosesan informasi yang benar dan aman.
Keamanan komunikasi: Memastikan perlindungan informasi dalam jaringan dan fasilitas pemrosesan informasi pendukungnya dan menjaga keamanan informasi yang ditransfer dalam suatu organisasi dan dengan entitas eksternal apa pun
Sistem akuisisi, pengembangan, dan pemeliharaan: Memastikan bahwa keamanan informasi merupakan bagian integral dari sistem informasi di seluruh siklus hidup. Ini juga mencakup persyaratan untuk sistem informasi yang menyediakan layanan melalui jaringan publik.
Hubungan pemasok: Memastikan perlindungan aset organisasi yang tersedia bagi pemasok.
Manajemen insiden keamanan informasi: Memastikan pendekatan yang konsisten dan efektif untuk pengelolaan insiden keamanan informasi, termasuk komunikasi tentang peristiwa dan kelemahan keamanan.
Aspek keamanan informasi dari manajemen kelangsungan bisnis: Menanamkan kesinambungan keamanan informasi dalam sistem Manajemen Kontinuitas Bisnis (BCM) organisasi.
Kepatuhan: Mencegah pelanggaran kewajiban hukum, undang-undang, peraturan atau kontrak yang terkait dengan keamanan informasi dan persyaratan keamanan apa pun, termasuk kepatuhan terhadap persyaratan hukum dan kontrak serta tinjauan keamanan informasi.

Menjadi Harus Sesuai ISO/IEC 27001:2013: Siapa, Kapan, Di mana, Mengapa, Bagaimana

Siapa: ISO/IEC 27001:2013 cocok untuk organisasi yang ingin meningkatkan sistem manajemen keamanan informasi mereka menggunakan standar praktik kerja unggulan keamanan informasi yang dikenal luas dan mendapatkan jaminan keamanan wajib.

Kapan: Suatu organisasi dapat menerapkan dan mendapatkan sertifikasi ISO/IEC 27001:2013 kapan saja, tetapi itu tidak wajib. Organisasi dapat memilih untuk menerapkan standar terlebih dahulu dan mendapatkan sertifikasi kemudian ketika organisasi dipaksa oleh peraturan atau ketika organisasi ingin meningkatkan kepercayaan di antara pelanggan dan klien, memberikan jaminan keamanan yang diperluas.

Dimana: Standar dapat diadopsi dan diterapkan di organisasi mana pun terlepas dari ukuran, jenis, sifatnya, milik swasta atau negara, laba atau non laba.

Mengapa: ISO/IEC 27001:2013 akan menguntungkan organisasi dengan menerapkan keamanan secara komprehensif. Ini membantu organisasi mematuhi persyaratan hukum, mencapai keuntungan pemasaran dengan meyakinkan pelanggan tentang keamanan, menurunkan biaya dengan mencegah insiden, dan lebih terorganisir dengan mendefinisikan proses dan prosedur untuk pendekatan terkoordinasi untuk keamanan informasi.

Bagaimana: Sebuah organisasi yang ingin meningkatkan sistem manajemen keamanannya menggunakan ISO/IEC 27001:2013 sebagai standarnya akan menjalani kegiatan berikut:

Analisis kesenjangan: Langkah pertama dalam mencapai kepatuhan, analisis kesenjangan dilakukan baik secara internal maupun oleh pakar keamanan informasi eksternal. Analisis kesenjangan membantu organisasi memahami sepenuhnya persyaratan dan kontrol mana yang mereka lakukan dan tidak patuhi.
Remediasi: Untuk setiap persyaratan dan kontrol yang tidak dipatuhi organisasi, organisasi dapat membuat perubahan pada orang, proses, dan teknologinya agar sesuai.
Ukur, Pantau, dan Tinjau: Kinerja SMKI diperlukan untuk terus-menerus dianalisis dan ditinjau untuk efektivitas dan kepatuhan, selain mengidentifikasi peningkatan pada proses dan kontrol yang ada.
Audit internal: Pengetahuan kerja praktis tentang proses audit utama diperlukan untuk SMKI pada interval yang direncanakan dan juga penting bagi para juara yang bertanggung jawab untuk menerapkan dan mempertahankan kepatuhan ISO/IEC 27001:2013 sebelum melakukan audit sertifikasi oleh auditor eksternal atau organisasi yang berwenang untuk mensertifikasi dan mendaftarkan organisasi sebagai sesuai ISO/IEC 27001:2013.
Sertifikasi dan pendaftaran: Selama audit sertifikasi Tahap Satu, auditor akan menilai apakah dokumentasi memenuhi persyaratan standar ISO/IEC 27001:2013 dan menunjukkan area ketidaksesuaian dan potensi peningkatan sistem manajemen. Setelah perubahan yang diperlukan telah dibuat, organisasi kemudian akan siap untuk audit pendaftaran Tahap Dua. Selama audit Tahap Dua, auditor akan melakukan penilaian menyeluruh untuk menetapkan apakah organisasi mematuhi standar ISO/IEC 27001:2013.

10 Contoh Perintah Ping di Linux Server

Ping adalah utilitas jaringan lintas platform yang sederhana dan banyak digunakan untuk menguji apakah sebuah host dapat dijangkau di jaringan Internet Protocol (IP). Ia bekerja dengan mengirimkan serangkaian pesan ECHO_REQUEST Internet Control Message Protocol (ICMP) ke host target dan menunggu balasan gema ICMP (atau ECHO_RESPONSE).

Jika Anda pengguna VPS Murah dan Dedicated Server Murah dari Herza Cloud, maka Artikel ini akan sangat bermanfaat bagi Anda.

Anda dapat menjalankan tes ping untuk menentukan apakah komputer Anda dapat berkomunikasi dengan komputer lain (host target); ini membantu Anda menentukan:

apakah host target dapat dijangkau (aktif) atau tidak,
untuk mengukur jumlah waktu yang dibutuhkan paket untuk sampai ke host target dan kembali ke komputer Anda (waktu pulang pergi (rtt) dalam berkomunikasi dengan host target)
dan packet loss, dinyatakan sebagai persentase.

Outputnya adalah daftar balasan dari host target bersama dengan waktu yang dibutuhkan paket terakhir untuk mencapai host target dan kembali ke komputer Anda. Ini juga menunjukkan ringkasan statistik pengujian, biasanya termasuk jumlah paket yang dikirim dan yang diterima, persentase kehilangan paket; minimum, maksimum, waktu pulang pergi rata-rata, dan standar deviasi rata-rata (mdev). Jika tes ping gagal, Anda akan melihat pesan kesalahan sebagai output.

Pada artikel ini, kami akan menjelaskan 10 contoh perintah ping praktis untuk menguji keterjangkauan sebuah host di jaringan.

Pelajari Contoh Perintah Ping

1. Anda dapat menjalankan tes ping sederhana untuk melihat apakah host target www.google.com dapat dijangkau atau tidak. Anda juga dapat menggunakan alamat IP alih-alih nama domain seperti yang ditunjukkan.

$ ping www.google.com
OR
$ ping 216.58.212.78

Contoh Hasil Ping

Pinging www.google.com [216.239.38.120] with 32 bytes of data:
Reply from 216.239.38.120: bytes=32 time=1ms TTL=119
Reply from 216.239.38.120: bytes=32 time=1ms TTL=119
Reply from 216.239.38.120: bytes=32 time=2ms TTL=119
Reply from 216.239.38.120: bytes=32 time=1ms TTL=119

Ping statistics for 216.239.38.120:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 2ms, Average = 1ms

Dari hasil perintah diatas, ping berhasil dan tidak ada paket yang hilang. Satu hal penting yang perlu diperhatikan, dalam output tes ping adalah waktu di akhir setiap balasan ping. Dengan asumsi Anda melakukan pengujian ping ke server Anda, maka nilainya di sini sangat penting, tergantung pada jenis aplikasi yang Anda jalankan di server.

Jika, misalnya, Anda memiliki aplikasi web di mana satu permintaan pengguna menghasilkan begitu banyak kueri ke database untuk menghasilkan hasil di UI, maka waktu ping yang lebih rendah ke server tertentu menyiratkan lebih banyak data yang dikirim tanpa penundaan dan sebaliknya adalah benar.

2. Anda dapat menentukan jumlah ECHO_REQUEST yang akan dikirim setelah ping keluar, menggunakan flag -c seperti yang ditunjukkan (dalam hal ini tes ping akan berhenti setelah mengirim 5 paket).

$ ping -c 5 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=120 time=1.11 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=120 time=0.497 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=120 time=0.653 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=120 time=0.507 ms
64 bytes from 8.8.8.8: icmp_seq=5 ttl=120 time=1.98 ms

--- 8.8.8.8 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 72ms
rtt min/avg/max/mdev = 0.497/1.349/1.977/1.333 ms

3. Tanda -i memungkinkan Anda untuk mengatur interval dalam hitungan detik antara pengiriman setiap paket, nilai defaultnya adalah satu detik.

$ ping -i 3 -c 5 www.google.com

4. Untuk menentukan respons jaringan Anda dalam kondisi beban tinggi, Anda dapat menjalankan “ping flood” yang mengirimkan permintaan secepat mungkin, menggunakan sakelar -f. Hanya root yang dapat menggunakan opsi ini, jika tidak, gunakan perintah sudo untuk mendapatkan hak akses root.

$ sudo ping -f www.google.com
OR
$ sudo ping -f -i 3 www.google.com	#specify interval between requests 

PING www.google.com (172.217.163.36) 56(84) bytes of data.
.......................................................................................................................................................................................^C
--- www.google.com ping statistics ---
2331 packets transmitted, 2084 received, 10% packet loss, time 34095ms
rtt min/avg/max/mdev = 29.096/29.530/61.474/1.417 ms, pipe 4, ipg/ewma 14.633/29.341 ms

5. Anda dapat mengaktifkan ping siaran menggunakan -b seperti yang ditunjukkan.

$ ping -b 8.8.8.8

6. Untuk membatasi jumlah hop jaringan (TTL – Time-to-live) yang dilintasi probe, gunakan flag -t. Anda dapat mengatur nilai apa pun antara 1 dan 255; sistem operasi yang berbeda menetapkan default yang berbeda.

Setiap router yang menerima paket mengurangi setidaknya 1 dari hitungan dan jika hitungan masih lebih besar dari 0, router meneruskan paket ke hop berikutnya, jika tidak maka akan dibuang dan mengirimkan respon ICMP kembali ke komputer Anda.

Dalam contoh ini, TTL telah terlampaui dan tes ping gagal, seperti yang ditunjukkan pada tangkapan layar.

$ ping -t 10 www.google.com

7. Ukuran paket default harus cukup untuk pengujian ping, namun Anda dapat mengubahnya untuk memenuhi kebutuhan pengujian spesifik Anda. Anda dapat menentukan ukuran payload, dalam jumlah byte menggunakan opsi -s, yang akan menghasilkan ukuran paket total dari nilai yang diberikan ditambah 8 byte tambahan untuk header ICMP.

$ ping -s 1000 www.google.com

8. Jika preload ditentukan, ping mengirim banyak paket yang tidak menunggu balasan. Perhatikan bahwa hanya root yang dapat memilih preload lebih dari 3, jika tidak, gunakan perintah sudo untuk mendapatkan hak akses root.

$ sudo ping -l 5 www.google.com

9. Anda juga dapat menyetel waktu untuk menunggu respons, dalam hitungan detik, menggunakan opsi -W seperti yang ditunjukkan.

$ ping -W 10 www.google.com

10. Untuk mengatur batas waktu dalam hitungan detik, sebelum ping keluar terlepas dari berapa banyak paket yang telah dikirim atau diterima, gunakan flag -w.

$ ping -w 10 www.google.com

Catatan: Ping mungkin tidak selalu digunakan untuk menguji konektivitas jaringan, ini hanya memberi tahu Anda apakah alamat IP aktif atau tidak aktif. Biasanya digunakan bersama dengan program traceroute, tetapi, MTR – alat diagnostik jaringan modern menggabungkan fungsionalitas ping dan traceroute dan menawarkan banyak fitur tambahan.

Untuk daftar lengkap alat jaringan, lihat: 10 Perintah Linux untuk Memeriksa Jaringan

Cara Setting DNS Server di Debian & Ubunt

Pada Artikel ini kami akan menjelaskan tentang cara setting DNS Server di Debian Server. File /etc/resolv.conf adalah file konfigurasi utama untuk library resolver DNS Nameserver. Resolver adalah sekumpulan fungsi di C library yang menyediakan akses ke Internet Domain Name System (DNS). Fungsi-fungsi tersebut dikonfigurasi untuk memeriksa entri dalam file /etc/hosts, atau beberapa DNS Nameserver, atau untuk menggunakan database host dari Network Information Service (NIS).

Pada sistem Linux modern yang menggunakan systemd, DNS atau layanan DNS Resolver disediakan untuk aplikasi lokal melalui layanan yang diselesaikan systemd. Secara default, layanan ini memiliki empat mode berbeda untuk menangani resolusi nama Domain dan menggunakan file rintisan DNS systemd (/run/systemd/resolve/stub-resolv.conf) dalam mode operasi default.

File konfigurasi DNS berisi nameserver lokal 127.0.0.53 sebagai satu-satunya DNS Server, dan dialihkan ke file /etc/resolv.conf yang digunakan untuk menambahkan server nama yang digunakan oleh sistem.

Jika Anda menjalankan perintah ls berikut pada /etc/resolv.conf, Anda akan melihat bahwa file ini adalah symlink ke file /run/systemd/resolve/stub-resolv.conf.

Mungkin Anda juga tertarik membaca tentang Menggunakan DNS Publik atau DNS ISP, dan kenapa itu Penting.

$ ls -l /etc/resolv.conf

lrwxrwxrwx 1 root root 39 Feb 15  2019 /etc/resolv.conf -> ../run/systemd/resolve/stub-resolv.conf

Sayangnya, karena /etc/resolv.conf secara tidak langsung dikelola oleh layanan systemd-resolved, dan dalam beberapa kasus oleh layanan jaringan (dengan menggunakan initscripts atau NetworkManager), setiap perubahan yang dilakukan secara manual oleh pengguna tidak dapat disimpan secara permanen atau hanya bertahan untuk sementara waktu.

Pada artikel ini, kami akan menunjukkan cara menginstal dan menggunakan program resolvconf untuk mengatur server nama DNS permanen di file /etc/resolv.conf di bawah distribusi Debian dan Ubuntu Linux.

Kenapa Anda Ingin Mengedit File /etc/resolv.conf?

Alasan utamanya mungkin karena pengaturan DNS sistem salah dikonfigurasi atau Anda lebih suka menggunakan server nama tertentu atau milik Anda sendiri. Perintah cat berikut menunjukkan server nama default di file /etc/resolv.conf di sistem Ubuntu saya.

$ cat /etc/resolv.conf

Dalam hal ini, ketika aplikasi lokal seperti manajer paket APT mencoba mengakses FQDN (Fully Qualified Domain Name) di jaringan lokal, hasilnya adalah kesalahan “Temporary failure in name resolution / Kegagalan sementara dalam resolusi nama” seperti yang ditunjukkan pada tangkapan layar berikutnya.

Hal yang sama terjadi ketika Anda menjalankan perintah ping.

Jadi ketika pengguna mencoba mengatur Nameserver secara manual, perubahan tidak berlangsung lama atau akan hilang setelah reboot. Untuk mengatasi ini, Anda dapat menginstal dan menggunakan utilitas reolvconf untuk membuat perubahan permanen.

Untuk menginstal paket resolvconf seperti yang ditunjukkan pada bagian berikutnya, Anda harus terlebih dahulu mengatur server nama berikut secara manual di file /etc/resolv.conf, sehingga Anda dapat mengakses FQDN server repositori Ubuntu di internet.

nameserver 8.8.4.4
nameserver 8.8.8.8

Menginstall resolvconf di Ubuntu dan Debian

Pertama, perbarui paket perangkat lunak sistem dan kemudian instal resolvconf dari repositori resmi dengan menjalankan perintah berikut.

$ sudo apt update
$ sudo apt install resolvconf

Setelah instalasi resolvconf selesai, systemd akan memicu resolvconf.service untuk dimulai dan diaktifkan secara otomatis. Untuk memeriksa apakah sudah aktif dan berjalan, jalankan perintah berikut.

$ sudo systemctl status resolvconf.service

Jika layanan tidak dimulai dan diaktifkan secara otomatis karena alasan apa pun, Anda dapat memulai dan mengaktifkannya sebagai berikut.

$ sudo systemctl start resolvconf.service 
$ sudo systemctl enable resolvconf.service 
$ sudo systemctl status resolvconf.service

Baca juga Artikel kami tentang Apa itu DNS Root Server untuk mengetahui lebih detail tentang Domain Name Server.

Saya harap artikel singkat ini membantu Anda dalam mengatur server nama DNS permanen di sistem Ubuntu dan Debian Anda. Jika Anda memiliki pertanyaan atau saran, bagikan dengan kami di bagian komentar di bawah.

Apa itu Colocation Server?

Colocation Server atau yang biasa disebut dengan colo, adalah layanan fasilitas Datacenter dimana sebuah entity / perusahaan ataupun perorangan dapat menyewa ruang untuk server dan perangkat keras komputasi lainnya.

Layanan Colocation Server Murah dari Herza telah menyediakan rack, pendinginan, listrik, bandwidth, dan keamanan fisik, sementara pelanggan menyediakan servernya.

Layanan Colocation Server dibagi menjadi dua bagian. Yaitu layanan Unmanaged Colocation dan Managed Colocation. Berikut penjelasan mengenai kedua hal tersebut.

Unmanaged Colocation

Jika Anda membutuhkan Layanan Colocation Server Murah yang tidak terlalu membutuhkan Uptime atau Ketersediaan yang tinggi, maka Unmanaged Colocation cocok untuk Anda. Di sini, semua perangkat keras dan perangkat lunak harus disediakan dan dikelola oleh Anda sendiri. Ini sebenarnya memungkinkan fleksibilitas yang lebih besar untuk apa yang dapat Anda lakukan. Tidak diragukan lagi akan ada lebih banyak pekerjaan dan tanggung jawab untuk Anda, karena Anda perlu melakukan semua peningkatan, menjaga konfigurasi, patch, keamanan, pemecahan masalah, dll.

Managed Colocation

Kebalikannya dengan Managed Colocation Server. Jika Anda membutuhkan layanan dengan SLA / Uptime / Ketersediaan yang tinggi, maka Managed Colocation adalah layanan yang paling tepat untuk Anda. Karena dengan Managed Colocation, Server Anda akan selalu dipantau oleh Tim kami dengan Proactive Monitoring dan Anda akan dihubungi langsung jika terjadi permasalahan dengan Server Anda untuk instruksi atas tindakan yang dibutuhkan, tanpa Anda harus hadir di Datacenter untuk melakukannya sendiri.

Dengan Layanan Managed Service, segala permasalahan dengan perangkat Anda bisa ditangani oleh Tim Datacenter Operation kami 24/7 mulai dari permasalahan perangkat lunak dan juga perangkat keras.

Keunggulan dari Layanan Colocation

Bisnis dapat memanfaatkan beberapa manfaat dengan memanfaatkan layanan colocation. Beberapa manfaat tersebut antara lain:

Menyewa ruang di fasilitas colocation lebih murah daripada membangun atau memperluas Datacenter Anda sendiri dikantor ataupun dirumah.
Fasilitas colocation memungkinkan penyewa untuk menggunakan server dan perangkat keras penyimpanan yang mereka pilih sendiri.
Datacenter colocation mematuhi protokol keamanan fisik yang ketat dan mungkin juga menawarkan perlindungan terhadap serangan siber.
Fasilitas colocation hampir selalu menyediakan layanan dukungan teknis di tempat.

Bangunan dan Fasilitas

Sama seperti ada perbedaan antara gedung perkantoran, ada juga perbedaan antara Datacenter. Beberapa perbedaan ini terkait dengan cara Datacenter dibangun, sementara yang lain lebih berkaitan dengan efisiensi operasional sebuah Datacenter.

Biasanya, Datacenter colocation akan memberi penyewa SLA yang menjamin Uptime dalam jumlah tertentu. Meskipun pusat data mungkin hanya menjamin jumlah waktu aktif tertentu — seperti 95% waktu aktif — waktu aktif Datacenter lebih sering dinyatakan dalam empat tingkatan ini:

Tier 1: Tidak ada redundansi atas Daya, pendinginan, dan konektivitas jaringan yang ditawarkan
Tier 2: Setidaknya beberapa redundansi untuk daya dan pendinginan
Tier 3: Mampu menahan pemadaman listrik 72 jam dan menyediakan SLA / Uptime sebesar 99,99%
Tier 4: Mampu menahan pemadaman listrik selama 96 jam Pusat data biasanya mengekspresikan efisiensinya melalui skor yang dikenal sebagai Power Usage Effectiveness (PUE). Skor ini mencerminkan seberapa efisien pusat data menggunakan daya. Pusat data dengan skor PUE yang baik lebih ramah terhadap lingkungan dan, umumnya, membebankan tarif yang lebih rendah kepada penyewa untuk konsumsi daya. Dan Datacenter Tier 4 mampu memberikan SLA / Uptime sebesar 99,999%

Baca juga Artikel kami berikut tentang Datacenter Tier 4 Pertama di Indonesia

Selain daripada menyediakan Uptime / SLA, penting juga untuk mempertimbangkan bagaimana Datacenter dibangun. Setiap lokasi di dunia rentan terhadap setidaknya satu jenis bencana alam, jadi penting untuk memastikan bahwa Datacenter penyedia colocation dibangun dengan cara yang akan membantunya bertahan dari bencana seperti itu. Pusat data di daerah rawan badai, misalnya, sering dinilai tahan terhadap angin 150 mph.

Keamanan

Sama seperti keamanan yang sangat penting bagi Provider Cloud VPS Murah, keamanan yang baik juga penting bagi penyedia colocation. Penyedia colocation berusaha keras untuk memastikan keamanan fisik Datacenter mereka.

Baca juga Artikel kami tentang Pertimbangan dalam Memilih VPS Murah.

Beberapa penyedia colocation mendirikan pagar di pusat data sebagai cara untuk mengisolasi perangkat keras penyewa mereka. Setiap pagar memiliki gerbang pengunci sehingga penyewa hanya dapat mengakses perangkat keras pusat data mereka sendiri.

Keamanan juga cenderung diterapkan sedemikian rupa sehingga mengharuskan penyewa untuk melewati beberapa pos pemeriksaan keamanan sebelum dapat mengakses perangkat keras pusat data.

Sebagai pemegang ISO 27001:2013 – Sistem Manajemen Keamanan Informasi, Datacenter Herza telah di Audit oleh External Auditor dan menerapkan keamanan berlapis dalam mengakses perangkat di Datacenter Datacenter yang dikelolah oleh kami.

Apa itu Cloudflare? Dan Cara Menggunakannya

Cloudflare adalah perusahaan Amerika yang memberikan layanan seperti DNS, Content Delivery Network (CDN) dan banyak layanan tambahan lainnya untuk membuat Website lebih cepat dan lebih aman. Cloudflare digunakan oleh lebih dari 26 juta situs, menghasilkan lebih dari 1 miliar alamat IP setiap hari. Yah, kedengarannya seperti banyak, dan memang begitu. Tapi mengapa Cloudflare sepopuler ini? Mengapa kami, dan juga banyak perusahaan lain, menggunakan Cloudflare?

Tentang Cloudflare

Perusahaan Cloudflare didirikan pada tahun 2009 oleh Matthew Price, Lee Holloway dan Michelle Zatlyn. Tujuan mereka adalah untuk membantu membangun internet yang lebih baik. Untuk mewujudkannya, mereka meluncurkan beberapa layanan gratis dan berbayar. Jelas mereka melakukan sesuatu dengan baik jika kita melihat hasil tahun 2019. Pada tahun 2019 Cloudflare memiliki omset lebih dari 287 juta dolar (!).

Ada banyak layanan yang ditawarkan Cloudflare, antara lain sebagai berikut:

Content Delivery Network (CDN)
Domain Name System (DNS)
Load Balancing
Accelerated Mobile Pages (AMP)
Cache
Streaming Video
DDoS Protection
Web Application Firewall (WAF)
Dukungan SSL/TLS
DNSSEC
Analitik
Pendaftar domain
Pekerja (untuk pengembang)

Selain layanan mereka, Cloudflare memiliki integrasi standar dengan platform terkenal seperti IBM Cloud, WordPress, Google Cloud, Magento, dan Kubernates.

Bagaimana cara kerja Cloudflare?

Untuk memahami cara kerja Cloudflare, penting untuk melihat kesalahan yang sering dilakukan Website di masa lalu.

Saat mengunjungi Website tanpa Cloudflare, pengunjung Website meminta konten dari server lokal. Namun, ketika ada terlalu banyak pengunjung di server pada saat yang sama, server menjadi kelebihan beban dengan konsekuensi Website yang lambat atau tidak berfungsi.

Sebagai pemilik Website, dan juga sebuah Web Hosting Yang Ideal, ini bukanlah sesuatu yang ingin Anda lihat. Inilah mengapa Cloudflare menemukan solusi untuk ini.

Cloudflare menempatkan server mereka sendiri, dalam bentuk jaringan besar di seluruh dunia, antara Website dan server web. Pengunjung situs web tidak lagi berkomunikasi langsung dengan server, tetapi dengan jaringan Cloudflare yang telah menyimpan konten situs web dan memuatnya melalui server tergantung pada lokasi pengunjung.

Misalnya: Anda memiliki Website yang dihosting di indonesia, dan seseorang dari AS mencoba terhubung ke Website Anda. Permintaan harus menempuh jarak yang jauh (antara situs web dan server web). Cloudflare memecahkan ini dengan menawarkan jaringan server yang sangat besar di seluruh dunia.

Orang Amerika tidak perlu membuat koneksi dengan server Indonesia lagi, tetapi dia akan terhubung dengan server Cloudflare terdekat di suatu tempat di Amerika Serikat.

DNS Cloudflare

DNS (Domain Name System) adalah sistem dan protokol jaringan yang digunakan di internet untuk menerjemahkan nama komputer ke alamat numerik dan kontroversi. Pengguna internet tidak harus mengingat alamat IP mereka ketika ingin mengunjungi sebuah situs web, tetapi cukup mengisi nama.

Cloudflare menawarkan layanan DNS-nya yang memastikan, dengan kata-katanya sendiri, waktu respons tercepat (waktu reaksi), redundansi yang tak tertandingi, dan langkah-langkah keamanan tingkat lanjut seperti DDoS-blocker terintegrasi dan DNSSEC.

Karena jaringan Cloudflare terdistribusi di seluruh dunia, dengan lebih dari 200 server, ada waktu aktif 100%.

Dengan membawa DNS Anda di bawah Cloudflare dan menggunakan sertifikat SSL-nya, Anda akan secara otomatis mendapatkan WAF (Web Application Firewall) mereka.

Karena Cloudflare adalah yang terbesar, mereka juga memindai alamat IP paling banyak di seluruh dunia dan karenanya memiliki alamat IP tercepat dengan niat buruk yang terlihat yang kemudian dapat segera diblokir.

Karena Cloudflare adalah yang terbesar, mereka memindai alamat IP terbanyak dari perspektif dunia. Oleh karena itu, mereka memiliki, tercepat, terlihat semua alamat IP dengan niat buruk yang dapat segera diblokir.

Serangan DDoS tidak dapat dihindari, namun dapat dibuat tidak berbahaya dengan memblokir alamat/rentang IP atau bahkan wilayah yang lengkap.

Biaya Menggunakan Cloudflare

Pada dasarnya, Anda akan mendapatkan banyak fitur yang dapat Anda gunakan di Cloudflare versi gratis. Anda mendapatkan akses ke CDN, caching dasar, dan perlindungan DDoS.

Namun, ketika Anda ingin menggunakan semua layanan Cloudflare, Anda harus berlangganan versi Pro. Dengan biaya $20 per bulan, Anda akan mendapatkan banyak fitur tambahan dengan versi Pro, seperti kompresi otomatis gambar di situs web Anda, Cloudflare WAF, otomatisasi seluler otomatis, dan banyak lagi. Anda juga dapat membeli add-on secara terpisah.

Daftar berikut menunjukkan semua harga kemungkinan langganan Cloudflare:

Gratis
Pro: $20
Bisnis: $200
Enterpsie: berdasarkan kebutuhan

Bagaimana cara menggunakan Cloudflare

Hal pertama yang harus Anda lakukan adalah membuat akun gratis di situs web Cloudflare. Untuk menginstal/mengonfigurasi Cloudflare, Anda memiliki beberapa opsi. Opsi termudah adalah dengan menonton video ini:

Apa itu CDN? Bagaimana CDN Bekerja?

Content Delivery Network atau yang lebih dikenal dengan singkatan CDN mengacu pada sekelompok server yang didistribusikan secara geografis yang bekerja sama untuk menyediakan pengiriman konten Internet yang cepat. CDN memungkinkan transfer cepat atas aset yang diperlukan untuk memuat konten Internet termasuk halaman HTML, file javascript, stylesheet, gambar, dan video. Popularitas layanan CDN terus berkembang, dan saat ini sebagian besar lalu lintas web dilayani melalui CDN, termasuk lalu lintas dari situs-situs besar seperti Facebook, Netflix, dan Amazon. CDN yang dikonfigurasi dengan benar juga dapat membantu melindungi situs web dari beberapa serangan berbahaya yang umum, seperti serangan Distributed Denial of Service (DDOS).

Apakah CDN sama dengan Web Hosting?

Meskipun CDN tidak meng-host konten dan tidak dapat menggantikan kebutuhan akan Web Hosting Murah, CDN membantu konten cache di tepi jaringan, yang meningkatkan kinerja sebuah website. Banyak website berjuang agar kebutuhan kinerjanya dipenuhi oleh layanan hosting tradisional, itulah sebabnya mereka memilih CDN. Dengan memanfaatkan caching untuk mengurangi bandwidth hosting, membantu mencegah interupsi dalam layanan, dan meningkatkan keamanan, CDN adalah pilihan populer untuk meringankan beberapa masalah utama yang menyertai web hosting tradisional.

Apa keuntungan menggunakan CDN?

Meskipun manfaat menggunakan CDN bervariasi tergantung pada ukuran dan kebutuhan properti Internet, manfaat utama bagi sebagian besar pengguna dapat dibagi menjadi 4 komponen berbeda:

Meningkatkan waktu loading sebuah website – Dengan mendistribusikan konten lebih dekat ke pengunjung Website dengan menggunakan server CDN terdekat (di antara pengoptimalan lainnya), pengunjung mengalami waktu pemuatan halaman yang lebih cepat. Karena pengunjung lebih cenderung mengeklik dari situs yang memuat lambat, CDN dapat mengurangi rasio bounce-back dan meningkatkan jumlah waktu yang dihabiskan orang di situs. Dengan kata lain, situs web yang lebih cepat berarti lebih banyak pengunjung akan tinggal dan bertahan lebih lama.
Mengurangi biaya bandwidth – Biaya konsumsi bandwidth untuk hosting Website adalah pengeluaran utama untuk Website . Melalui caching dan pengoptimalan lainnya, CDN dapat mengurangi jumlah data yang harus disediakan oleh server asal, sehingga mengurangi biaya hosting untuk pemilik Website.
Meningkatkan ketersediaan dan redundansi konten – Sejumlah besar lalu lintas atau kegagalan perangkat keras dapat mengganggu fungsi normal Website. Berkat sifatnya yang terdistribusi, CDN dapat menangani lebih banyak lalu lintas dan menahan kegagalan perangkat keras lebih baik daripada banyak server asal.
Meningkatkan keamanan Website – CDN dapat meningkatkan keamanan dengan menyediakan mitigasi DDoS, peningkatan sertifikat keamanan, dan pengoptimalan lainnya.

Bagaimana cara kerja CDN?

Pada intinya, CDN adalah jaringan server yang terhubung bersama dengan tujuan mengirimkan konten secepat, murah, andal, dan seaman mungkin. Untuk meningkatkan kecepatan dan konektivitas, CDN akan menempatkan server di titik pertukaran antara jaringan yang berbeda.

Internet Exchange Point (IXP) ini adalah lokasi utama di mana penyedia Internet yang berbeda terhubung untuk memberikan akses satu sama lain ke lalu lintas yang berasal dari jaringan mereka yang berbeda. Dengan memiliki koneksi ke lokasi berkecepatan tinggi dan sangat saling berhubungan ini, penyedia CDN dapat mengurangi biaya dan waktu transit dalam pengiriman data berkecepatan tinggi.

Selain penempatan server di IXP, CDN membuat sejumlah optimasi pada transfer data klien/server standar. CDN menempatkan Pusat Data di lokasi strategis di seluruh dunia, meningkatkan keamanan, dan dirancang untuk bertahan dari berbagai jenis kegagalan dan kemacetan Internet.

Latensi – Bagaimana cara CDN meningkatkan waktu muat situs web?

Ketika datang ke Website yang memuat konten, pengguna akan pergi ketika situs melambat. Layanan CDN dapat membantu mengurangi waktu muat dengan cara berikut:

Sifat CDN yang terdistribusi secara global berarti mengurangi jarak antara pengguna dan sumber daya Website. Alih-alih harus terhubung ke mana pun server asal situs web dapat hidup, CDN memungkinkan pengguna terhubung ke pusat data yang lebih dekat secara geografis. Lebih sedikit waktu perjalanan berarti layanan lebih cepat.
Optimalisasi perangkat keras dan perangkat lunak seperti penyeimbangan beban yang efisien dan hard drive solid-state dapat membantu data menjangkau pengguna lebih cepat.
CDN dapat mengurangi jumlah data yang ditransfer dengan mengurangi ukuran file menggunakan taktik seperti minifikasi dan kompresi file. Ukuran file yang lebih kecil berarti waktu pemuatan yang lebih cepat.
CDN juga dapat mempercepat situs yang menggunakan sertifikat TLS/SSL dengan mengoptimalkan penggunaan kembali koneksi dan mengaktifkan TLS false start.

Kesimpulan

Dengan meningkatnya jumlah pengguna global, tekanan pada sumber daya web hosting lebih tinggi dari sebelumnya. Bahkan jika Anda tidak khawatir tentang itu, menggunakan CDN dapat meningkatkan kinerja situs web Anda secara signifikan, terutama bagi pengguna yang tidak dekat dengan server Anda.

Dengan meningkatnya tekanan yang diberikan pada situs web untuk tampil lebih cepat, menggunakan CDN adalah elemen penting untuk meningkatkan kecepatan situs web Anda.

Salah satu CDN yang cukup Popular di dunia ada Cloudflare. Silahkan baca Artikel kami tentang Apa itu Cloudflre? Dan Cara Menggunakannya…

Herza.ID

Our Services

Legal

Archive