Posted on

10 Command Line Tools untuk Monitoring Performa Linux Server

10 Command Line Tools untuk Monitoring Performa Linux Server

Merupakan pekerjaan yang sangat sulit bagi setiap Sistem Administrator atau Network Administrator untuk memantau dan melakukan debugging atas kendala pada Kinerja VPS atau Dedicated Server setiap hari. Setelah menjadi Linux Administrator selama beberapa tahun di industri IT, saya jadi tahu betapa sulitnya memonitor dan menjaga sistem tetap berjalan. Untuk alasan ini, kami telah menyusun daftar 10 alat pemantauan dengan CLI yang sering digunakan yang mungkin berguna untuk setiap Sistem Administrator Linux / Unix. Perintah-perintah ini tersedia dalam semua distro Linux dan dapat bermanfaat untuk memantau dan menemukan penyebab sebenarnya dari masalah kinerja. Daftar perintah yang ditunjukkan di sini sangat cukup bagi Anda untuk memilih salah satu yang cocok untuk skenario pemantauan Anda.

Untuk mengerti mengenai VPS atau Dedicated Server, silahkan baca Artikel kami tentang Apa itu VPS Hosting dan Kenapa Memilih Dedicated Server.

1. Top – Untuk Monitoring Proses di Linux

Perintah “Top” adalah program pemantauan kinerja yang sering digunakan oleh banyak sistem administrator untuk memantau kinerja VPS Murah atau Dedicated Server Linux dan tersedia di banyak sistem operasi seperti Linux / Unix. Perintah top digunakan untuk menampilkan semua proses real-time yang berjalan dan aktif dalam daftar yang diurutkan dan memperbaruinya secara teratur. Ini menampilkan penggunaan CPU, penggunaan memori, Swap Memory, Ukuran Cache, Ukuran Buffer, PID Proses, Pengguna, Perintah dan banyak lagi. Ini juga menunjukkan memori tinggi dan pemanfaatan CPU dari proses yang berjalan. Perintah top sangat berguna bagi sistem administrator untuk memantau dan mengambil tindakan yang benar bila diperlukan. Mari kita lihat perintah top dalam tampilan di Terminal SSH.

[root@herza ~]# top

2. VmStat – Menampilkan Statistik Virtual Memory

Perintah Linux VmStat digunakan untuk menampilkan statistik memori virtual, kernerl threads, disk, proses sistem, blok I/O, interupsi, aktivitas CPU dan banyak lagi. Secara default, perintah vmstat tidak tersedia di sistem Linux, Anda perlu menginstal paket yang disebut sysstat yang mencakup program vmstat. Penggunaan umum format perintah adalah.

[root@herza ~]# vmstat
procs -----------memory---------- ---swap-- -----io---- -system-- ------cpu-----
 r  b   swpd   free   buff  cache   si   so    bi    bo   in   cs us sy id wa st
 0  0      0 160205056   2124 422484    0    0    40     6   68  101  1  0 99  0  0

3. Lsof – Daftar File yang Terbuka

Perintah Lsof digunakan di banyak sistem seperti Linux / Unix yang digunakan untuk menampilkan daftar semua file yang terbuka dan prosesnya. File yang terbuka termasuk file disk, soket jaringan, pipa, perangkat dan proses. Salah satu alasan utama untuk menggunakan perintah ini adalah ketika disk tidak dapat di-unmount dan menampilkan kesalahan bahwa file sedang digunakan atau dibuka. Dengan perintah ini Anda dapat dengan mudah mengidentifikasi file mana yang digunakan. Format yang paling umum untuk perintah ini adalah.

[root@herza ~]# lsof

COMMAND     PID      USER   FD      TYPE     DEVICE     SIZE       NODE NAME
init          1      root  cwd       DIR      104,2     4096          2 /
init          1      root  rtd       DIR      104,2     4096          2 /
init          1      root  txt       REG      104,2    38652   17710339 /sbin/init
init          1      root  mem       REG      104,2   129900     196453 /lib/ld-2.5.so
init          1      root  mem       REG      104,2  1693812     196454 /lib/libc-2.5.so
init          1      root  mem       REG      104,2    20668     196479 /lib/libdl-2.5.so
init          1      root  mem       REG      104,2   245376     196419 /lib/libsepol.so.1
init          1      root  mem       REG      104,2    93508     196431 /lib/libselinux.so.1
init          1      root   10u     FIFO       0,17                 953 /dev/initctl

4. Tcpdump – Analisa Paket Jaringan

Tcpdump salah satu penganalisa paket jaringan berbasis CLI atau program sniffer paket yang paling banyak digunakan yang digunakan menangkap atau memfilter paket TCP/IP yang diterima atau ditransfer pada interface tertentu melalui jaringan. Ini juga menyediakan opsi untuk menyimpan paket yang diambil dalam file untuk analisis nanti. Tcpdump hampir tersedia di semua distribusi Linux utama.

[root@herza ~]# tcpdump -i bond0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on bond0, link-type EN10MB (Ethernet), capture size 262144 bytes
21:27:22.123753 IP faeyza.herza.id.8492 > 192.168.111.190.57182: Flags [P.], seq 2011851315:2011851503, ack 2285624019, win 313, length 188
21:27:22.124601 IP faeyza.herza.id.47194 > one.one.one.one.domain: 57506+ PTR? 190.111.168.192.in-addr.arpa. (46)
21:27:22.165263 IP 192.168.111.190.57182 > faeyza.herza.id.8492: Flags [.], ack 188, win 8207, length 0
21:27:22.492830 ARP, Request who-has 192.168.111.52 tell gateway, length 46
21:27:22.493065 ARP, Reply 192.168.111.52 is-at 00:16:3e:07:a3:14 (oui Unknown), length 28
21:27:22.732856 ARP, Request who-has faeyza.herza.id tell gateway, length 46
21:27:22.732884 ARP, Reply faeyza.herza.id is-at 2c:44:fd:7a:14:90 (oui Unknown), length 28
21:27:22.856754 ARP, Request who-has gateway tell 192.168.111.52, length 28
21:27:22.856848 ARP, Reply gateway is-at 74:4d:28:5c:4e:fd (oui Unknown), length 46
21:27:22.957364 ARP, Request who-has gateway tell 192.168.111.190, length 46
21:27:23.418149 STP 802.1w, Rapid STP, Flags [Learn, Forward], bridge-id 8000.74:4d:28:5c:4e:fd.8001, length 43
21:27:23.585423 IP one.one.one.one.domain > faeyza.herza.id.47194: 57506 1/1/0 A 36.86.63.182 (139)
21:27:23.587798 IP faeyza.herza.id.40443 > one.one.one.one.domain: 27688+ PTR? 188.111.168.192.in-addr.arpa. (46)
21:27:23.696104 IP 192.168.111.217.53563 > 239.255.255.250.ssdp: UDP, length 125

15 packets captured
52 packets received by filter
0 packets dropped by kernel
4 packets dropped by interface

5. Netstat – Statistik Network

Netstat adalah alat perintah untuk memantau statistik paket jaringan yang masuk dan keluar serta statistik interface itu sendiri. Ini adalah alat yang sangat berguna bagi setiap sistem administrator untuk memantau kinerja jaringan dan memecahkan masalah terkait jaringan.

[root@herza ~]# netstat -a | more

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State
tcp        0      0 *:mysql                     *:*                         LISTEN
tcp        0      0 *:sunrpc                    *:*                         LISTEN
tcp        0      0 *:realm-rusd                *:*                         LISTEN
tcp        0      0 *:ftp                       *:*                         LISTEN
tcp        0      0 localhost.localdomain:ipp   *:*                         LISTEN
tcp        0      0 localhost.localdomain:smtp  *:*                         LISTEN
tcp        0      0 localhost.localdomain:smtp  localhost.localdomain:42709 TIME_WAIT
tcp        0      0 localhost.localdomain:smtp  localhost.localdomain:42710 TIME_WAIT
tcp        0      0 *:http                      *:*                         LISTEN
tcp        0      0 *:ssh                       *:*                         LISTEN
tcp        0      0 *:https                     *:*                         LISTEN

6. Htop – Pemantauan Proses Linux

Htop adalah alat pemantauan proses Linux interaktif dan real time yang jauh lebih maju. Ini sangat mirip dengan perintah top Linux tetapi memiliki beberapa fitur yang kaya seperti interface yang user-friendly untuk mengelola proses, tombol shortcut, tampilan vertikal dan horizontal dari proses dan banyak lagi. Htop adalah alat pihak ketiga dan tidak termasuk dalam sistem Linux, Anda harus menginstalnya menggunakan alat pengelola paket YUM. Untuk informasi lebih lanjut tentang instalasi, baca artikel kami di bawah ini.

[root@herza ~]# htop
Pemantauan Proses Linux dengan Htop

Untuk instalasi Htop, baca: Instal Htop (Linux Process Monitoring) di Linux

7. Iotop – Monitor Linux Disk I/O

Iotop juga sangat mirip dengan perintah Top dan program Htop, tetapi memiliki fungsi akuntansi untuk memantau dan menampilkan waktu nyata I/O Disk dan proses. Alat ini sangat berguna untuk menemukan proses yang tepat dan proses pembacaan atau penulisan disk yang digunakan.

[root@herza ~]# iotop
Monitor Linux Disk I/O

8. Iostat – Input/Output Statistics

IoStat adalah alat sederhana yang akan mengumpulkan dan menunjukkan statistik sistem input dan output penyimpanan perangkat. Alat ini sering digunakan untuk melacak masalah kinerja perangkat penyimpanan termasuk perangkat, disk lokal, disk jarak jauh seperti NFS.

[root@herza ~]# iostat
Linux 3.10.0-1062.12.1.vz7.131.10 (jakarta.herza.id)    06/18/2020      _x86_64_        (40 CPU)

avg-cpu:  %user   %nice %system %iowait  %steal   %idle
          18.08    0.00    8.83    0.19    0.00   72.90

Device:            tps    kB_read/s    kB_wrtn/s    kB_read    kB_wrtn
sda             361.86      2677.22      4201.82 13940722347 21879529034
dm-0             80.45       166.08       546.61  864821314 2846308241
dm-1            298.36      2437.17      3326.29 12690704790 17320495805
dm-2              1.35        11.81       298.35   61505561 1553531436
ploop32696        4.56         3.51        28.74   18290730  149658641
ploop15306        8.87         5.11        40.70   26616882  211943321
ploop20652        5.97         7.15       150.44   37257207  783382093
ploop51400        0.05         0.09         0.19     487960    1013405
ploop41804       23.46         2.63       242.41   13706706 1262256976
ploop42553        7.34         1.47        31.97    7634166  166483344
ploop34082        3.68        25.17        30.01  131060599  156259387

9. IPTraf – Real Time IP LAN Monitoring

IPTraf adalah utilitas pemantauan real time network (IP LAN) berbasis konsol sumber untuk Linux. Ini mengumpulkan berbagai informasi seperti monitor lalu lintas IP yang melewati jaringan, termasuk informasi flag TCP, rincian ICMP, gangguan traffic TCP / UDP, paket koneksi TCP dan jumlah byne. Ini juga mengumpulkan informasi statistik antarmuka umum dan yang disembunyikan dari TCP, UDP, IP, ICMP, non-IP, kesalahan checksum IP, aktivitas antarmuka dll.

[root@herza ~]# iptraf-ng
IPTraf

10. Psacct or Acct – Monitor Aktivitas Pengguna

Psacct atau Acct sangat berguna untuk memonitor setiap aktivitas pengguna pada sistem. Kedua daemon berjalan di latar belakang dan terus mengawasi aktivitas keseluruhan masing-masing pengguna pada sistem dan juga sumber daya apa yang dikonsumsi oleh mereka.

Alat-alat ini sangat berguna bagi sistem administrator untuk melacak setiap aktivitas pengguna seperti apa yang mereka lakukan, perintah apa yang mereka keluarkan, berapa banyak sumber daya yang digunakan oleh mereka, berapa lama mereka aktif pada sistem dll.

Untuk instalasi dan contoh penggunaan perintah, baca artikel di Monitor Aktivitas Pengguna dengan psacct atau acct

Posted on

Panduan Dasar Mikrotik CLI (Command Line Interface)

Login ke Terminal CLI Mikrotik

Jika Anda adalah pengguna VPS Mikrotik dari Herza.ID, maka Panduan Dasar Mikrotik CLI ini akan sangat berguna untuk melakukan maintenance melalui VNC jika Anda tidak dapat mengakses Winbox melalui Internet.

Kita dapat menggunakan beberapa cara untuk mengakses Mikrotik CHR, yaitu melalui Web Console, Winbox GUI, SSH dan beberapa layanan lainnya yang harus diakses dengan koneksi Internet. Tetapi, bagaimana jika terjadi kesalahan dalam konfigurasi Mikrotrik CHR Anda, dan mengakibatkan, VPS Mikrotik Anda tidak dapat diakses melalui Internet. Maka satu satunya cara adalah dengan mengakses VPS Mikrotik Anda melalui VNC pada Panel VPS Anda.

Baca juga Artikel kami tentang Cara Menginstall Mikrotik CHR di VPS.

Mengkonfigurasi Mikrotik CHR menggunakan perintah CLI tentunya lebih menantang daripada akses melalui GUI seperti Winbox dan Browser. Karena minimum kita harus menguasai logika susunan perintah Mikrotik itu sendiri. Dan mengkonfigurasi Mikrotik menggunakan CLI mempunyai beberapa kelebihan, diantaranya untuk mengakses Mikrotik bisa dengan menggunakan telnet, ssh, kabel serial, menu terminal pada winbox atau pada tutorial kali ini, kita akan mengakses Mikrotik menggunakan VNC melalui Panel VPS.

Akses Mikrotik CHR melalui VNC

1. Login ke Clientarea dan klik pada menu Layanan > Layanan Saya. Pada Halaman tersebut, silahkan Klik Layanan VPS Mikrotik Anda. Maka akan muncul menu seperti dibawah ini.

Akses Menu VNC pada Panel VPS Anda

2. Klik menu VNC pada Panel VPS Anda, kemudian dilanjutkan dengan mengklik Launch HTML 5 VNC Client seperti pada gambawah dibawah ini.

Akses VNC pada VPS Mikrotik Anda

3. Setelah itu, maka Virtual Console akan terbuka melalui Port VNC (Virtual Network Computing).

Tampilan Default pada VNC

4. Silahkan Login dengan memasukkan Username dan Password Anda. Maka Anda akan login ke Terminal CLI Mikrotik CHR Anda.

Login ke Terminal CLI Mikrotik

5. Hal yang pertama kita lakukan, jika terjadi kesalahan konfigurasi pada Mikrotik CHR Anda, kita akan melakukan Reset ke Default setting dengan memasukkan perintah berikut.

/system reset-configuration
Reset Mikrotik CHR

Konfirmasi akan diminta untuk melakukan Reset, dan tekan y kemudian Enter. Maka sekarang Mikrotik akan mereset ke konfigurasi default.

6. Masukkan username default Mikrotik yaitu admin dan password dikosongkan saja kemudian tekan Enter.

7. Setelah login ke Terminal CLI Mikrotik CHR, yang pertama kita lakukan adalah mengeset nama Mikrotik CHR Anda dan Timezone.

/system identify set name=Herza
/system clock
set time-zone-autodetect=no
set time-zoe-name=Asia/Jakarta
/system clock print
Konfigurasi Awal Mikrotik CLI

8. Setelah itu, kita akan menginput IP VPS Mikrotik Anda agar dapat terhubung ke Internet. IP ini bisa Anda dapatkan dengan menghubungi Technical Support. 

/ip address
add address=192.168.1.10/24 interface=ether1
/ip route add gateway=192.168.1.1
/ip route print
Setelah IP terinput, maka kita bisa melihat konfigurasi IP seperti diatas

9. Jika Anda pengguna VPS Tunneling dan melakukan Instalasi Mikrotik CHR sendiri, maka kemungkinan besar Anda tidak dapat mengakses Winbox Anda secara langsung. Dikarenakan Port Winbox default 8291 telah kami Blokir Akses nya dari luar untuk menghindari Brute Force bagi User yang lupa mengganti Port Default Winbox mereka.

Untuk awal, masukkan perintah berikut untuk memeriksa Port Service yang terbuka di Mikrotik CHR Anda.

/ip service print

Pada tampilan diatas, kita bisa melihat bahwa Port Winbox masih menggunakan Port standar yaitu 8291. Nah, mari kita lanjutkan perintah berikut untuk mengganti Port Winbox Anda.

/ip service edit winbox port

Maka, Anda akan melihat tampilan seperti diatas. Silahkan rubah port tersebut sesuai dengan port yang ingin Anda gunakan. Ingat jangan gunakan port 0 sd 1024 karena port tersebut sudah digunakan oleh layanan yang sudah di definisikan secara baku, pakailah port di atas 1024 misalnya menjadi 18291 jangan gunakan port diatas 65535 https://en.wikipedia.org/wiki/Port_(computer_networking)

Setelah itu, tekan tombol CTRL O pada keyboard Anda untuk menyimpan dan keluar dari file editor. Maka, sekarang Port Winbox Anda telah berubah.

10. Sekarang VPS Mikrotik Anda dapat diakses melalui Winbox

Demikianlah beberapa setingan dasar Mikrotik yang menggunakan Perintah Dasar CLI – command line interface Mikrotik yang telah kita buat, semoga ada manfaatnya. Jangan lupa membaca Konfigurasi Dasar untuk Mengamankan Router Mikrotik Anda.

Posted on

Cara Konfigurasi Firewalld di CentOS 7

Firewall yang dikonfigurasi dengan benar adalah salah satu aspek terpenting dari keamanan sistem Linux secara keseluruhan. Pada kesempatan ini kita akan membahas Cara Konfigurasi Firewalld di CentOS 7. Hal ini akan sangat berguna bagi Anda yang menggunakan layanan VPS Murah dan Dedicated Server dari Herza.ID.

FirewallD adalah solusi firewall lengkap yang mengelola aturan sistem iptables dan menyediakan antarmuka D-Bus untuk mengoperasikannya. Dimulai dengan CentOS 7, FirewallD menggantikan iptables sebagai alat manajemen firewall default pada Sistem Linux Anda.

Jika Anda lebih menyukai untuk menggunakan layanan IPTables daripada FirewallD, maka silahkan membaca Artikel kami tentang Panduan Dasar Menggunakan IPTables.

Dalam tutorial ini, kami menunjukkan kepada Anda cara mengatur firewall dengan FirewallD pada sistem CentOS 7 Anda dan menjelaskan kepada Anda konsep dasar FirewallD.

Sebelum Anda mulai dengan tutorial ini, pastikan Anda masuk ke server Anda dengan akun pengguna dengan hak sudo atau dengan pengguna root. Praktik terbaik adalah menjalankan perintah administratif sebagai pengguna sudo daripada user root.

Jika Anda tidak memiliki pengguna sudo di sistem CentOS Anda, Anda dapat membuatnya dengan mengikuti pada Artikel kami Cara Membuat User Sudo di CentOS 7.

Konsep Dasar Firewalld

FirewallD menggunakan konsep zona dan layanan, ketimbang pengaturan menggunakan chain dan rules dengan iptables. Berdasarkan zona dan layanan yang akan Anda konfigurasi, Anda dapat mengontrol lalu lintas apa yang diizinkan atau tidak diizinkan ke dan dari sistem.

FirewallD dapat dikonfigurasi dan dikelola menggunakan utilitas command-line firewall-cmd.

Zona Firewalld

Zona adalah seperangkat aturan yang ditentukan yang menetapkan lalu lintas apa yang harus diizinkan berdasarkan tingkat kepercayaan pada jaringan yang terhubung dengan komputer Anda. Anda dapat menetapkan antarmuka dan sumber jaringan ke zona.

Berikut adalah zona yang disediakan oleh FirewallD yang dipesan sesuai dengan tingkat kepercayaan zona dari tidak dipercaya menjadi tepercaya:

  • drop: Semua koneksi yang masuk terputus tanpa pemberitahuan. Hanya koneksi keluar yang diizinkan.
  • block: Semua koneksi masuk ditolak dengan pesan icmp-host-dilarang untuk IPv4 dan icmp6-adm-dilarang untuk IPv6n. Hanya koneksi keluar yang diizinkan.
  • public: Untuk digunakan di area publik yang tidak terpercaya. Anda tidak mempercayai komputer lain di jaringan, tetapi Anda dapat mengizinkan koneksi masuk yang dipilih.
  • external: Untuk digunakan pada jaringan eksternal dengan penyamaran NAT diaktifkan ketika sistem Anda bertindak sebagai gateway atau router. Hanya koneksi masuk terpilih yang diizinkan.
  • internal: Untuk digunakan pada jaringan internal ketika sistem Anda bertindak sebagai gateway atau router. Sistem lain pada jaringan umumnya dipercaya. Hanya koneksi masuk terpilih yang diizinkan.
  • dmz: Digunakan untuk komputer yang berlokasi di zona demiliterisasi Anda yang memiliki akses terbatas ke seluruh jaringan Anda. Hanya koneksi masuk terpilih yang diizinkan.
  • work: Digunakan untuk mesin kerja. Komputer lain di jaringan umumnya dipercaya. Hanya koneksi masuk terpilih yang diizinkan.
  • home: Digunakan untuk mesin rumah. Komputer lain di jaringan umumnya dipercaya. Hanya koneksi masuk terpilih yang diizinkan.
  • trusted: Semua koneksi jaringan diterima. Percayai semua komputer di jaringan.

Layanan firewall

Layanan Firewalld adalah aturan yang telah ditentukan yang berlaku di dalam zona dan menentukan pengaturan yang diperlukan untuk memungkinkan lalu lintas masuk untuk layanan tertentu.

Firewalld Runtime dan Pengaturan Permanen

Firewalld menggunakan dua set konfigurasi yang terpisah, runtime, dan konfigurasi permanen.

Konfigurasi runtime adalah konfigurasi yang sedang berjalan, dan tidak persisten saat reboot. Ketika layanan Firewalld dimulai, ia memuat konfigurasi permanen, yang menjadi konfigurasi runtime.

Secara default, ketika membuat perubahan pada konfigurasi Firewalld menggunakan utilitas firewall-cmd, perubahan diterapkan pada konfigurasi runtime. Untuk membuat perubahan permanen, Anda perlu menggunakan opsi –permanent.

Menginstal dan Mengaktifkan FirewallD

  1. Firewalld diinstal secara default pada CentOS 7, tetapi jika tidak diinstal pada sistem Anda, Anda dapat menginstal paket dengan mengetik:
    yum install firewalld
  2. Layanan Firewalld dinonaktifkan secara default. Anda dapat memeriksa status firewall dengan perintah:
    firewall-cmd --state
    Jika Anda baru saja menginstal atau tidak pernah diaktifkan sebelumnya, perintah akan memberikan jawaban not running atau tidak berfungsi. Jika tidak, Anda akan melihat running atau berfungsi.
  3. Untuk memulai layanan FirewallD dan mengaktifkannya pada tipe boot:
    systemctl start firewalld
    systemctl enable firewalld

Konfigurasi FirewallD

Dalam panduan konfgurasi firewalld kali ini, kita akan mebahas penggunaan zona publik sebagai zona default. Jadi dalam Tutorial ini, kita tidak akan membahas zona zona lainnya pada FirewallD agar tidak perlu repot malakukan konfigurasi FirewallD tingkat lanjutan. Kita akan membuat rule untuk default-zone tersebut dan ketika firewalld direstart, maka zona tersebut akan menjadi zona yang ditetapkan pada interface.

Tahapan selanjutnya adalah dengan membuat rule pada firewall atas layanan yang diizinkan untuk berfungsi dengan FirewallD. Dan paling pertama dan utama, adalah dengan mengizinkan layanan SSH, karena kita membutuhkan koneksi SSH untuk remote server administratif jarak jauh. Jika layanan SSH tidak diizinkan dalam firewalld, maka kita tidak dapat login ke Server.

Port default pada SSH adalah menggunakan Port 22. Jika Anda belum mengubah port tersebut dari CentOS 7, Anda dapat mengaktifkan layanan SSH hanya dengan mengetik nama layanannya seperti dibawah ini:

firewall-cmd --permanent --add-service=ssh

Jika Anda telah melakukan perubahan port SSH pada server Anda, maka Anda akan harus menentukan port baru tersebut secara eksplisit dan menghapus layanan SSH Default pada firewalld agar port 22 tidak dapat diakses oleh Publik.

sudo firewall-cmd --permanent --remove-service=ssh 
sudo firewall-cmd --permanent --add-port=5555/tcp

Baca juga Artikel kami mengenai 10 Cara Mengamakan Server Linux Anda. Pada Artikel tersebut, kita membahas tentang cara merubah Port SSH Default pada Sistem Linux Anda.

Hal tersebut adalah langkah awal yang perlu Anda lakukan untuk mempertahankan akses administratif ke server Anda. Tahapan selanjutnya adalah dengan menambahkan layanan lainnya yang ingin Anda gunakan dengan membuka firewall untuk layanan-layanan tersebut.

Jika Anda berencana untuk menjalankan web server HTTP konvensional, Anda akan harus mengaktifkan layanan http dengan menggunakan perintah sebagai berikut:

sudo firewall-cmd --permanent --add-service=http

Untuk mengizinkan akses SSL/TLS pada Web Server, anda harus mengizinkan traffic https dengan menjalankan perintah ini:

sudo firewall-cmd --permanent --add-service=https

Jika anda membutuhkan akses email dengan SMTP

sudo firewall-cmd --permanent --add-service=smtp

Anda bisa melihat daftar service, kemudian anda bisa memilih apa saja yang ingin anda tambahkan seperti contoh sebelumnya. Untuk melihat list service ketik:

sudo firewall-cmd --get-services

Setelah anda selesai, anda bisa melihat semua service yang telah anda tambahkan dalam daftar rule firewall dan service mana saja yang diizinkan firewall

sudo firewall-cmd --permanent --list-all

Untuk dapat mengizinkan layanan tertentu yang menggunakan Port Custom dengan interface UDP atau TCP, Anda dapat menggunakan perintah yang kurang lebih sama seperti mengizinkan layanan SSH dengan Port Custom seperti dibawah ini:

TCP: sudo firewall-cmd --permanent --add-port=1234/tcp
UDP: sudo firewall-cmd --permanent --add-port=1234/udp

Dan jika Anda ingin mengizinkan traffic dengan rentang port lebih dari satu, maka Anda dapat menggunakan perintah dibawah ini:

sudo firewall-cmd --permanent --add-port=1001-1005/tcp

Kemudian setelah anda siap untuk menerapkan perubahan pada firewalld Anda, silahkan reload firewalld menggunakan perintah:

sudo firewall-cmd --reload

Jika semua berjalan dengan baik, jangan lupa untuk mengaktifkan firewall secara otomatis setelah system reboot.

sudo systemctl enable firewalld

Selesai, kini server anda mempunyai konfigurasi firewall untuk keamanan server dan sedikit lebih tahu bagaimana cara konfigurasi firewalld di centos 7.

Posted on

Apa itu SSD NVMe? Kelebihan dan Perbedaannya

SSD NVMe

NVMe (Non-Volatile Memory Express) adalah protokol yang dibuat khusus untuk SSD (Solid State Drive). NVMe bekerja dengan PCIe (PCI Express) untuk mentransfer data ke dan dari SSD. NVMe memungkinkan penyimpanan cepat di SSD komputer dan merupakan peningkatan dari antarmuka HDD (Hard Disk Drive) yang lebih lama seperti SATA dan SAS. Satu-satunya alasan SATA dan SAS digunakan dengan SSD di komputer adalah bahwa sampai saat ini, hanya HDD yang lebih lambat yang telah digunakan sebagai penyimpanan berkapasitas besar di komputer. Memori flash telah digunakan di perangkat seluler seperti smartphone, tablet, USB drive, dan SD card.

SSD memiliki keunggulan yang jelas dengan akses yang lebih cepat melalui standar bus serial PCIe. NVMe dibangun dari awal sebagai cara baru untuk secara efisien mengakses perangkat penyimpanan yang secara khusus dibangun dengan memori (flash) non-volatile – SSD. NVMe memungkinkan antarmuka bekerja dan berfungsi lebih cepat untuk meningkatkan kecepatan yang mampu dilakukan oleh SSD. Ketika SSD mulai menggantikan Hard Disk Drives (HDD) yang lebih lambat di komputer sebagai penyimpanan utama, antarmuka baru diperlukan untuk memanfaatkan kapabilitas kecepatan yang lebih cepat. Namun, dalam transisi ke SSD, beberapa Komputer telah dilengkapi dengan SSD yang terhubung melalui antarmuka yang secara sama digunakan oleh HDD yang lebih lambat, seperti Serial Attached SCSI (SAS) dan Serial ATA (SATA). Jadi lebih masuk akal untuk menggunakan NVMe dengan SSD.

SSD sudah menjadi sumber utama penyimpanan untuk ponsel cerdas dan tablet. SSD saat ini lebih mahal daripada HDD, dan sering digunakan sebagai cache memori bersamaan dengan HDD untuk mempercepat sistem komputer. SSD tidak memiliki bagian yang bergerak dan dalam banyak hal lebih kuat dari HDD.

Spesifikasi untuk standar NVMe tersedia di nvmexpress.org. Antarmuka SSD alternatif (untuk mengganti HDD pada PC) adalah Serial ATA (SATA), mSATA, atau PCIe. Untuk PCIe, antarmuka PCIe internal dapat digunakan jika SSD berada pada papan sirkuit yang dapat dicolokkan ke slot PCIe pada motherboard. Server modern dapat mengakses SSD melalui Serial SCSI (SAS) yang terpasang, SAS, SATA, PCIe, atau Saluran optic.

SSD berbasis NVMe menggunakan PCIe untuk membuat latensi lebih rendah dari SSD. Faktor bentuk yang digunakan protokol NVMe harus terhubung dengan cara tertentu ke PCIe di dalam komputer. Hingga saat ini, koneksi untuk NVMe dapat dilakukan melalui kartu ekspansi PCIe, konektor U.2 2,5 inci, atau faktor bentuk kecil M.2. Pembuat SSD tampaknya bermigrasi ke PCIe, dengan sebagian besar menggunakan konektor M.2, a.k.a. “Next Generation Form Factor.”

Bagaimana cara kerja NVMe?

Untuk NVMe, “Submission and Completion Queue” yang terdengar rumit adalah salah satu mekanisme yang memanfaatkan teknologi SSD. Perangkat lunak host Queue mengelola dan mengontrol aliran data SSD, membuat dan menghapus antrian terpisah, membatalkan perintah, dan sebagainya. Komputer dengan 4 Core mungkin memiliki empat pasangan antrian untuk memastikan bahwa struktur data disimpan dalam cache inti yang sesuai (lihat Gambar 1). NVMe mendukung beberapa antrian yang dalam dan independen.

VPS SSD NVMe dari Herza.ID

Pada akhir Mei 2020, Herza.ID melaunching layanan baru VPS menggunakan Storage SSD NVMe bagi Anda yang membutuhkan Performance, Kecepatan dan juga Kehandalan dalam mengatur Data Server Anda.

SSD M.2 NVMe melalui Antarmuka PCIe, mampu melayani Sequential Write hingga 1800 MB/s dan Sequential Read hingga 2100 MB/s yang membuat saat ini SSD M.2 NVMe adalah media penyimpanan dengan performance tinggi yang ada.

Herza.ID menyediakan VPS SSD NVMe Indonesia mulai dari harga Rp. 100RBan / Bulan dengan beberapa alternatif paket lainnya. Disamping itu, kami juga menyediakan Paket VPS Murah Indonesia dengan harga mulai dari Rp. 50.000 / bulan. Berikut adalah hasil test VPS NVMe kami dengan bench.sh.

  • NVMe Test

Posted on

Cara Membuat User Sudo di CentOS 7

Cara Membuat User Sudo

Jika Anda dalah pengguna VPS Murah atau Dedicated Server dari Herza.ID, maka Artikel ini akan sangat bermanfaat bagi Anda. Salah satu cara mengamankan server linux anda adalah dengan membuat user sudo yang dapat bertindak sebagai user root, tanpa harus login dengan user root.

Perintah sudo menyediakan mekanisme untuk memberikan hak administrator, biasanya hanya tersedia untuk pengguna root, untuk pengguna normal. Panduan ini akan menunjukkan kepada Anda cara termudah untuk membuat pengguna baru dengan akses sudo di CentOS, tanpa harus memodifikasi file sudoer server Anda. Jika Anda ingin mengonfigurasi sudo untuk pengguna yang ada, cukup lewati ke langkah 3.

Tahapan untuk Membuat User Sudo Baru

  1. Masuk ke server Anda sebagai user root.
    ssh root@server_ip_address
  2. Gunakan perintah adduser untuk menambahkan pengguna baru ke sistem Anda. Pastikan untuk mengganti username dengan pengguna yang ingin Anda buat.
    adduser username
  3. Gunakan perintah passwd untuk memperbarui kata sandi pengguna baru tersebut.
    passwd username
    Setel dan konfirmasikan kata sandi pengguna baru saat diminta. Buatlah kata sandi yang susah untuk dikenali!
Changing password for user username.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
  1. Gunakan perintah usermod untuk menambahkan pengguna ke grup wheel. Secara default, pada CentOS, anggota grup wheel memiliki hak sudo.
usermod -aG wheel username
  1. Uji akses sudo pada akun pengguna baru dengan cara sebagai berikut.
  • Gunakan perintah su untuk beralih ke akun pengguna baru.
    su – username
  • Sebagai pengguna baru, verifikasi bahwa Anda dapat menggunakan sudo dengan menambahkan “sudo” ke perintah yang ingin Anda jalankan dengan hak superuser.
    sudo command_to_run
  • Sebagai contoh, Anda dapat membuat daftar isi direktori / root, yang biasanya hanya dapat diakses oleh pengguna root.
    sudo ls -la /root
  • Pertama kali Anda menggunakan sudo dalam suatu sesi, Anda akan dimintai kata sandi akun pengguna. Masukkan kata sandi untuk melanjutkan.
    [sudo] password for username:
  • Jika pengguna Anda berada di grup yang tepat dan Anda memasukkan kata sandi dengan benar, perintah yang Anda keluarkan dengan sudo harus dijalankan dengan hak akses root.

Demikian Tutorial kali ini, dengan informasi yang singkat dan jelas untuk dapat dimengerti mengenai cara membuat user sudo pada CentOS 7. Jangan lupa untuk membaca Artikel kami lainnya seperti Cara Menonaktifkan Login Root di SSH dan penjelasan dan cara penggunakan IPTables dan FirewallD.

Posted on

Cara Mengganti Port RDP Pada Windows Server

Cara Mengganti Port RDP di Windows Server

Ketika Anda telah menyewa VPS Windows RDP Murah dari Herza.ID, maka tutorial ini akan membantu Anda untuk mengerti cara mengganti port rdp pada windows server. Artikel mencakup prosedur untuk mengubah port RDP di Windows Server 2012. Harap dicatat bahwa semua prosedur lebih lanjut dirancang untuk mengubah port RDP, yang akan menyebabkan terputusnya koneksi server pada saat itu; karena itu kami sarankan untuk menggunakan opsi lain untuk menghubungkan ke server misalnya melalui konsol NoVNC pada Panel Server Management. Untuk menyelesaikan tugas ini, Anda perlu mengedit registri sistem operasi. Registri dapat diedit menggunakan editor program yang relevan.

Baca juga Artikel kami tentang 10 Cara Mengamankan Server Windows Anda.

Klik Start dan ketik cmd di kolom pencarian.

Mengganti Port RDP Pada Windows Server

Kemudian akan muncul konsol Command Prompt berwarna hitam. Ketik dan jalankan perintah regedit kemudian tekan Enter.

Pada editor registri, temukan RDP-Tcp, yang dapat dilakukan dengan mengikuti jalur ini

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Editing Registry Editor

Maka perlu untuk menemukan dan membuka elemen Nomor Port seperti pada gambar di atas. Selanjutnya, kemudian beralih ke format input Desimal dan tentukan port baru untuk koneksi RDP (Port yang dipakai bebas, tapi sarankan kami masukkan Port dalam rentang 10000 – 60000.

Regedit RDP Port

Saat memilih port baru untuk koneksi, ingatlah bahwa ada beberapa kategori port yang dirinci berdasarkan jumlahnya:

  1. Angka dari 0 hingga 10213 dikenal sebagai port yang digunakan dan dikendalikan oleh Internet Assigned Numbers Authority (IANA).
  2. Mereka biasanya digunakan oleh berbagai aplikasi sistem OS.
  3. Port dari 1024 hingga 49151 adalah port terdaftar yang ditunjuk oleh IANA. Mereka dapat digunakan untuk menyelesaikan tugas-tugas tertentu.
  4. Nomor port dari 49152 hingga 65535 adalah port dinamis (pribadi) yang dapat digunakan oleh aplikasi atau proses apa pun untuk menyelesaikan tugas kerja.

Mengganti Port RDP

Setelah mengubah port untuk koneksi jarak jauh, perlu untuk membukanya di pengaturan firewall, jika tidak semua upaya koneksi eksternal akan terblokir oleh apliokasi Firewall. Untuk melakukan ini, perlu menggunakan Windows Firewall dengan fitur Keamanan Lanjutan. Anda dapat membukanya dengan masuk ke menu: Server manager -> Tools:

Konfigurasi Windows Firewall

Anda perlu memilih “Inbound Rule“, klik kanan pada item ini dan pilih “New Rule“:

Buat Firewall Rules untuk RDP Port

Kemudian kita akan membuat aturan untuk port tersebut:

RDP Port dengan TCP atau UDP

Kita perlu memilih jenis protokol (TCP atau UDP) dan menentukan port yang kita atur saat mengedit registri (dalam contoh ini kami gunakan Protokol TCP dengan nomor port 60000):

Cara Mengganti Port RDP Pada Windows Server

Langkah berikutnya adalah memilih jenis tindakan yang mengatur aturan yang dibuat tersebut. Dalam kasus kami, perlu untuk mengaktifkan koneksi menggunakan port yang ditentukan.

Setting RDP Port

Langkah selanjutnya adalah menentukan lingkup aturan – tergantung pada di mana server berjalan (dalam workgroup, domain atau akses pribadi):

Konfigurasi Port RDP

Maka perlu untuk memilih nama untuk aturan yang Anda buat (disarankan untuk memilih nama sedemikian rupa sehingga aturan tersebut dapat dengan mudah dikenali antara lain):

Mengganti Port RDP Pada Windows Server - Reboot

Setelah itu server harus di-reboot. Setelah reboot, silahkan login ke menggunakan RDP dengan port baru ke Windows Server Anda.

Posted on

10 Cara Mengamankan Server Windows Anda

10 Cara Mengamankan Windows Server

Jika Anda adalah pengguna VPS Windows RDP Murah dari Herza, Artikel 10 Cara mengamankan server windows ini akan sangat berguna bagi Anda. Untuk semua pengguna Windows Server yang memikirkan keamanan, kami akan berbicara tentang cara paling umum untuk mengamankan lingkungan Windows Anda dari peretas-peretas yang tidak bertanggung jawab. Kami harap Artikel 10 Cara Mengamakan Server Windows ini bisa menambah wawasan Anda dalam Keamanan Windows Server.

Meskipun tidak ada yang 100% aman, Anda dapat menghindari ancaman dengan upaya minimal. VPS Murah dari Herza.ID menawarakan VPS dengan Sistem Operasi Windows dan mudah-mudahan Artikel ini dapat membantu Anda dalam mengamankan Windows Server Anda.

Dan sangat menyenangkan mengetahui bahwa windows Server sama amannya dengan Linux Server mana pun.

Jika Anda pengguna Linux Server dan sedang mencari informasi konfigurasi keamanan untuk Server Anda, silahkan baca Artikel kami 10 Cara Mengamankan Server Linux Anda.

Tetapi mengetahui apa yang harus dilakukan untuk mengamankan server Windows Anda tidak selalu jelas. Semoga Artikel Blog ini akan memberikan sedikit inspirasi untuk wawasan keamanan yang dapat Anda lakukan di server Windows Anda.

10 Cara Mudah untuk Mengamankan Server Windows Anda

Berikut ini ikhtisar cepat yang mencantumkan beberapa cara mudah untuk mengunci keamanan Windows Server, dan menjauhkan para peretas dan malware.

1. Instal hanya komponen OS yang diperlukan

Secara default, Windows ingin menginstal versi lengkap OS. Tetapi sebaliknya, gunakan instalasi kustom minimal.

Komponen yang tidak diperlukan harus ditinggalkan.

Ini meminimalkan percobaan serangan dan mengurangi jumlah tambalan dan pembaruan yang diperlukan untuk pemeliharaan.

2. Ganti Port RDP Default

Peretas sering mendapatkan akses ke server kita menggunakan RDP. Untuk mencegah akses ilegal dari para peretas, ubah port RDP default dari 3389 menjadi salah satu dalam rentang 10000-65535. Jika menggunakan alamat IP khusus untuk menghubungkan, maka Anda dapat menggunakan Opsi Firewall Windows Lanjut dan mengunci akses RDP ke alamat IP tertentu itu saja.

Cara Mengganti Port RDP pada Windows Server

3. Amankan akun ‘Administrator’

Akun superuser default di Windows Server bernama ‘Administrator’, dan sebagian besar serangan brute force ditujukan ke akun ini.

Sementara kebijakan penguncian akun dapat diterapkan ke pengguna lain, pengguna admin tidak pernah bisa dikunci. Cara terbaik untuk menjaga keamanan akun admin Anda adalah mengubah nama pengguna ‘Administrator’ menjadi yang lain.

4. Setup User Account Policies

Jika beberapa pengguna mengakses server Anda, maka Anda wajib menkonfigurasi “User Access Policy”.

  1. Jangan mengizinkan password kosong
  2. Terapkan panjang dan kompleksitas kata sandi minimum
  3. Gunakan kebijakan penguncian (Lockout Policy).
  4. Jangan menyimpan kata sandi menggunakan enkripsi yang dapat dibalik.
  5. Jangan menggunakan kata sandi berbasis kamus.
  6. Aktifkan Sesi timeout untuk user yang tidak aktif.
  7. Aktifkan two-factor authentication.

5. Gunakan Prinsip “Least Privilege”

  1. Hindari potensi masalah keamanan karena kesalahan penanganan hak akses.
  2. Berikan hak minimum yang diperlukan setiap pengguna untuk menjalankan tugasnya (terutama pada partisi OS).
  3. Menyiapkan Kebijakan Grup atau menggunakan komponen Kontrol Akses Basis Peran (RBAC) untuk menentukan batasan akses sesuai dengan kebutuhan Anda sendiri.

6. Nonaktifkan port dan layanan yang tidak perlu

  1. Hanya aktifkan port yang digunakan oleh OS dan komponen yang diinstal.
  2. Nonaktifkan atau tutup port yang tersedia.
  3. Jalankan “Port Scan” sistem untuk mengonfirmasi bahwa semua port non-fungsional dilindungi dengan benar.
  4. Nonaktifkan semua layanan jaringan yang tidak digunakan (Bluetooth, wifi, dll) untuk mencegah akses tidak sah.

7. Aktifkan Windows Firewall dan Antivirus

Mengamankan Windows Server dengan Firewall

Gunakan Windows Firewall untuk menyaring lalu lintas jaringan Anda yang tidak terpercaya. Memang, firewall bisa sulit dikonfiguraso pada awalnya. Tetapi jangan pernah menonaktifkan firewall! Ketidaknyamanan dalam mengaturnya dengan benar layak dilakukan.

Tip: Software Antivirus tepercaya juga disarankan, untuk mendeteksi dan menghilangkan ancaman keamanan, virus, dan malware lainnya.

8. Gunakan Enkripsi Windows BitLocker Drive

Enkripsi Windows BitLocker Drive mengamankan proses booting sistem operasi dan mencegah penambangan data yang tidak sah. Enkripsi BitLocker Drive berfungsi bahkan ketika server tidak dinyalakan! Ini adalah alat anti-peretasan yang sangat efektif terhadap peretasan malware.

9. Backup Server Anda

Cara terbaik untuk benar-benar mengamankan server adalah memahami bahwa tidak ada teknologi yang sempurna, dan bahkan dengan kebijakan keamanan terbaik yang diterapkan, banyak hal bisa terjadi. Mempertahankan backup server secara rutin memberi Anda ketenangan pikiran mengetahui bahwa Anda dapat dengan mudah mengembalikan data saat Anda membutuhkannya. Sama pentingnya dengan melakukan pencadangan adalah pengujian untuk memastikan pemulihan cadangan bekerja dengan sempurna.

10. Selalu Perbaharui Windows Anda

Dan akhirnya, seperti biasa, tetap perbarui Windows Anda. Ini adalah salah satu cara paling sederhana untuk membantu menjaga keamanan server Anda. Anda dapat mengonfigurasi Pembaruan Windows untuk memberi tahu Anda ketika ada pembaruan baru, atau mengizinkannya mengunduh dan menerapkan pembaruan secara otomatis.

Posted on

Cara Mengatasi Gagal Login RDP karena CredSSP Error

Kami sering menerima keluhan dari pengguna VPS Windows RDP Murah Herza.ID yang menggunakan OS Windows Server, bahwa mereka tidak bisa melakukan login ke Windows Server menggunakan RDP dikarenakan CredSSP Error. Maka, pada artikel kali ini, kami akan membahas cara mengatasi gagal login di RDP karena CredSSP Error sewaktu mengakses Windows Server.

Microsoft telah merilis beberapa tambalan keamanan pada Maret 2018 lalu untuk memperbaiki kerentanan pada CredSSP (Credential Security Support Provider Protocol) yang digunakan oleh RDP (Remote Desktop Protocol) pada Windows Server. Tetapi pembaruan ini telah membuat kesalahan otentikasi CredSSP di RDP dan menyebabkan hambatan bagi banyak pengguna.

Microsoft mendorong pembaruan Mei 2018 untuk meningkatkan keamanan dengan menjadikannya wajib bagi komputer klien dan server untuk menginstal pembaruan. Hal ini mengakibatkan windows server tidak dapat diakses melalui RDP untuk banyak pengguna dan membuat banyak untuk me-reboot server mereka untuk memperbaiki masalah dengan menganggapnya sebagai masalah sisi server. Artikel ini akan membantu Anda tentang cara memperbaiki kesalahan Autentikasi CredSSP di Remote Desktop Protocol (RDP).

Baca juga Artikel kami tentang 10 Cara Mengamankan Server Windows Anda sebagai bahan prefentif dalam menjaga keamanan VPS Windows Anda.

Apa itu CredSSP?

“CredSSP” atau “Credential Security Support Provider Protocol” adalah penyedia dukungan keamanan yang membantu mendelegasikan kredensial pengguna secara aman dari komputer klien ke server windows dengan menggunakan TLS (Transport Layer Security) sebagai pipa terenkripsi.

Mengapa dibutuhkan pembaruan?

Pembaruan pada bulan Mei dibuat untuk memperbaiki bagaimana CredSSP memvalidasi permintaan selama proses otentikasi. Microsoft telah menemukan kesalahan credssp di rdp dan menemukan perbaikan untuk kerentanan dengan wajib mengharuskan untuk memperbarui klien dan komputer server agar berfungsi dengan baik.

An authentication error has occurred.
The function requested is not supported

Remote computer: XXX.XXX.XXX.XXX

This could be due to CredSSP encryption oracle remediation.
For more information, see https://go.microsoft.com/fwlink/?linkid=866660

Kesalahan ini disebabkan oleh pembaruan windows yang tidak diinstal di server atau di komputer klien.

Bagaimana Cara Memperbaiki Error CredSSP? 

Untuk memperbaiki masalah ini, Anda perlu menghapus pembaruan dan memutar kembali ke versi yang lebih lama. Tetapi kembali ke versi lama bukanlah praktik terbaik. Anda dapat memperbaikinya dengan mengubah kebijakan grup di komputer lokal untuk menggunakan pengaturan rentan.

Metode 1: Group Policy Editor

1. Pergi ke “Run” (Win Key + R)
2. Ketik “gpedit.msc” kemudian klik “Enter”

Mengatasi Gagal Login RDP karena CredSSP Error

3. Sekarang, cari Computer Configuration -> Administrative Template -> System -> Credentials Delegation -> Encryption Oracle Remediation

Konfigurasi CredSSP melalui Group Policy Editor

4. Klik dua kali pada “Encryption Oracle Remediation”, kemudian pilih “Enable” dan rubah level proteksi menjadi “Vulnerable” dan klik “Apply” atau “Ok”

Tahap 4 memperbaiki Error CredSSP melalaui GPE

Metode 2: RegEdit (Registry Editor)

Anda juga dapat memperbaiki masalah dengan bantuan Editor Registri Windows

Buka Windows Registry dengan mengetik “regedit” pada “Run”

1. Kemudian pilih -> HKEY_LOCAL_MACHINE -> SOFTWARE ->
2. Microsoft -> Windows -> CurrentVersion -> Policies -> System -> CredSSP -> Parameters

Memperbaiki Error CredSSP melalaui RegEdit

3. Klik dua kali pada Kunci “Allow Encryption” dan rubah angkanya menjadi “2”

Tahap dua memperbaiki Error CredSSP melalaui RegEdit

Metode ini juga memberikan hasil yang sama seperti yang dicapai melalui Group Policy Editor (Editor Kebijakan Grup). Anda dapat menggunakan tabel di bawah ini dari Microsoft untuk membandingkan pembaruan windows yang diinstal untuk CredSSP.

Operating systemTSpkg.dll version with CredSSP updateOperating system TSpkg.dll version with CredSSP update CredSSP update
Windows 7 Service Pack 1 / Windows Server 2008 R2 Service Pack 1 6.1.7601.24117 KB4103718 (Monthly Rollup)6.1.7601.24117KB4103718 (Monthly Rollup)
KB4103712 (Security-only update)
Windows Server 20126.2.9200.22432KB4103730 (Monthly Rollup)
KB4103726 (Security-only update)
Windows 8.1 / Windows Sever 2012 R26.3.9600.18999KB4103725 (Monthly Rollup)
KB4103715 (Security-only update)
RS1 – Windows 10 Version 1607 / Windows Server 201610.0.14393.2248KB4103723
RS2 – Windows 10 Version 170310.0.15063.1088KB4103731
RS3 – Windows 10 170910.0.16299.431KB4103727

Posted on

Apa itu Serangan DDoS?

Serangan DDoS

Definisi Serangan DDoS (Distributed Denial of Service)

Serangan DDoS (Distributed Denial of Service) adalah upaya jahat untuk membuat layanan online tidak tersedia bagi penggunanya, biasanya dengan menghentikan sementara atau menangguhkan layanan dari server hostingnya.

Serangan DDoS per Detik

Serangan DDoS biasanya diluncurkan dari berbagai perangkat yang gampang dihack, sering didistribusikan secara global dalam apa yang disebut sebagai botnet. Ini berbeda dari serangan denial of service (DoS) lainnya, dalam hal ini menggunakan satu perangkat yang terhubung ke Internet (satu koneksi jaringan) untuk membanjiri target dengan lalu lintas jahat. Nuansa ini adalah alasan utama keberadaan kedua definisi yang agak berbeda ini.

Secara umum, serangan DoS dan DDoS dapat dibagi menjadi tiga jenis:

Serangan Berbasis Volume

Termasuk dengan cara membanjiri UDP, ICMP, dan membanjiri paket palsu lainnya. Tujuan serangan adalah untuk menjenuhkan bandwidth Website yang diserang, dan besarnya diukur dalam bit per detik (Bps).

Serangan Protokol

Termasuk SYN-Flood, serangan paket terfragmentasi, Ping of Death, Smurf DDoS dan banyak lagi. Jenis serangan ini menghabiskan sumber daya server aktual, atau orang-orang dari peralatan komunikasi menengah, seperti firewall dan load balancer, dan diukur dalam paket per detik (Pps).

Serangan Lapisan Aplikasi

Termasuk serangan rendah dan lambat, membanjiri GET / POST, serangan yang menargetkan kerentanan Apache, Windows atau OpenBSD dan banyak lagi. Terdiri dari permintaan yang tampaknya sah dan tidak bersalah, tujuan serangan ini adalah untuk menghancurkan Web Server, dan besarnya diukur dalam Permintaan per detik (Rps).

Jenis serangan DDoS umum

Beberapa jenis serangan DDoS yang paling umum digunakan adalah:

UDP-Flood

UDP-Flood, menurut definisi, adalah setiap serangan DDoS yang membanjiri target dengan paket User Datagram Protocol (UDP). Tujuan serangan adalah membanjiri port acak pada host jarak jauh. Ini menyebabkan Server berulang kali memeriksa aplikasi yang mendengarkan di port itu, dan ketika tidak ada aplikasi ditemukan, maka host membalas dengan paket ICMP ‘Destination Unreachable’. Proses ini menguras sumber daya host, yang pada akhirnya dapat menyebabkan tidak dapat diaksesnya Server tersebut

ICMP (Ping) Flood

Pada prinsipnya, ini mirip dengan UDP-Flood, ICMP-Flood membanjiri sumber daya target dengan paket ICMP Echo Request (ping), umumnya mengirimkan paket secepat mungkin tanpa menunggu balasan. Jenis serangan ini dapat menghabiskan bandwidth keluar dan masuk, karena server korban akan sering berusaha merespons dengan paket ICMP Echo Reply, yang mengakibatkan perlambatan keseluruhan sistem yang signifikan.

SYN Flood

Serangan DDoS SYN Flood

Serangan DDoS SYN-Flood mengeksploitasi kelemahan yang diketahui dalam urutan koneksi TCP (“three-way handshake”), di mana permintaan SYN untuk memulai koneksi TCP dengan host harus dijawab oleh respons SYN-ACK dari host itu, dan kemudian dikonfirmasi oleh respons ACK dari pemohon. Dalam skenario SYN-Flood, pemohon mengirim beberapa permintaan SYN, tetapi tidak menanggapi respon dari SYN-ACK, atau mengirim permintaan SYN dari alamat IP palsu. Bagaimanapun juga, sistem host terus menunggu pengakuan untuk setiap permintaan yang ada, mengikat sumber daya sampai tidak ada koneksi baru dapat dibuat, dan pada akhirnya menghasilkan penolakan layanan.

Ping of Death

Serangan ping of death (“POD”) melibatkan penyerang yang mengirimkan beberapa ping yang cacat atau jahat ke komputer. Panjang IP paket maksimum (termasuk header) adalah 65.535 byte. Namun, Data Link Layer biasanya memberikan batasan pada ukuran frame maksimum – misalnya 1500 byte melalui jaringan Ethernet. Dalam hal ini, paket IP besar dibagi menjadi beberapa paket IP (dikenal sebagai fragmen), dan host penerima menyusun kembali fragmen IP ke dalam paket lengkap. Dalam skenario Ping of Death, setelah manipulasi konten fragmen berbahaya, penerima berakhir dengan paket IP yang lebih besar dari 65.535 byte saat dipasang kembali. Ini dapat meluap buffer memori yang dialokasikan untuk paket, menyebabkan penolakan layanan untuk paket yang sah.

Slowloris

Slowloris adalah serangan yang sangat tertarget, memungkinkan satu server web untuk menjatuhkan server lain, tanpa mempengaruhi layanan atau port lain pada jaringan target. Slowloris melakukan ini dengan memegang sebanyak mungkin koneksi ke server web target yang terbuka selama mungkin. Ini menyelesaikan dengan membuat koneksi ke server target, tetapi hanya mengirimkan sebagian permintaan. Slowloris secara konstan mengirim lebih banyak header HTTP, tetapi tidak pernah menyelesaikan permintaan. Server yang ditargetkan menjaga setiap koneksi palsu ini terbuka. Ini pada akhirnya melebihi kumpulan koneksi konkurensi maksimum, dan mengarah pada penolakan koneksi tambahan dari klien yang sah.

Amplifikasi NTP

Dalam serangan amplifikasi NTP, pelaku mengeksploitasi server Network Time Protocol (NTP) yang dapat diakses publik untuk membanjiri server yang ditargetkan dengan lalu lintas UDP. Serangan didefinisikan sebagai serangan amplifikasi karena rasio kueri-ke-respons dalam skenario seperti itu berkisar antara 1:20 dan 1: 200 atau lebih. Ini berarti bahwa setiap penyerang yang memperoleh daftar server NTP terbuka (mis., Dengan menggunakan alat seperti Metasploit atau data dari Proyek NTP Terbuka) dapat dengan mudah menghasilkan serangan DDoS volume tinggi, bandwidth tinggi yang menghancurkan.

HTTP Flood

Serangan DDoS HTTP Flood

Dalam serangan DDoS HTTP-Flood, penyerang mengeksploitasi permintaan HTTP GET atau POST yang tampaknya sah untuk menyerang Web Server atau Aplikasi. HTTP Flood tidak menggunakan paket cacat, teknik spoofing atau refleksi, dan membutuhkan bandwidth lebih sedikit daripada serangan lain untuk menjatuhkan situs atau server yang ditargetkan. Serangan itu paling efektif ketika memaksa server atau aplikasi untuk mengalokasikan sumber daya maksimum yang mungkin dalam menanggapi setiap permintaan tunggal.

Solusi Herza.ID menangani Serangan DDoS

Herza.ID secara mulus dan komprehensif melindungi situs web terhadap ketiga jenis serangan DDoS, masing-masing menangani dengan toolset dan strategi pertahanan yang unik:

Serangan Berbasis Volume

Herza.ID melawan serangan-serangan ini dengan menyerapnya dengan jaringan global pusat scrubbing yang berskala, sesuai permintaan, untuk melawan serangan DDoS multi-gigabyte.

Serangan Protokol

Herza.ID mengurangi jenis serangan ini dengan memblokir lalu lintas “buruk” bahkan sebelum mencapai situs tersebut, meningkatkan teknologi identifikasi pengunjung yang membedakan antara pengunjung situs web yang sah (manusia, mesin pencari, dll.) Dan klien otomatis atau jahat.

Serangan Lapisan Aplikasi

Herza.ID mengurangi serangan Lapisan Aplikasi dengan memantau perilaku pengunjung, memblokir bot buruk yang diketahui, dan menantang entitas yang mencurigakan atau tidak dikenal dengan uji JS, tantangan Cookie, dan bahkan CAPTCHA.

Saat ini, Layanan Herza.ID menerapkan beberapa Layanan Anti DDoS & Scrubbing. Dan khusus untuk Layanan VPS Singapore Murah kami, telah termasuk Layanan Anti DDoS & Scrubbing Paket Basic / Standar yang mana dapat menampunng threshold serangan DDoS sampai dengan 5 Gbps.

Dalam semua skenario ini, Herza.ID menerapkan solusi perlindungan DDoS di luar jaringan Anda, artinya hanya lalu lintas yang disaring yang mencapai host Anda. Selain itu, Herza.ID mempertahankan basis pengetahuan ancaman DDoS yang luas, yang mencakup metode serangan baru dan yang muncul. Informasi yang terus diperbarui ini dikumpulkan di seluruh jaringan kami – mengidentifikasi ancaman baru saat mereka muncul, mendeteksi pengguna jahat yang dikenal, dan menerapkan solusi secara real-time di semua jaringan layanan Herza.ID.

Posted on

Cara Mencegah Serangan DDoS: 5 Tips untuk Menjaga Website Anda Aman

Pencegahan Serangan DDoS

Korban jatuh dari serangan DDoS (Distributed Denial of Service) dapat menjadi bencana besar: Biaya rata-rata untuk organisasi atas serangan DDoS yang berhasil adalah sekitar $ 100.000 untuk setiap jam serangan itu berlangsung, menurut perusahaan keamanan Cloudflare. Itulah kenapa Mencegah Serangan DDoS sangat penting untuk diterapkan.

Ada juga biaya jangka panjang: kehilangan reputasi, degradasi merek, dan pelanggan yang hilang, semuanya mengarah pada bisnis yang hilang. Itu sebabnya perlu menginvestasikan sumber daya yang signifikan untuk mencegah serangan DDoS, atau setidaknya meminimalkan risiko menjadi korban, daripada berkonsentrasi pada bagaimana menghentikan serangan DDoS begitu telah dimulai.

Mencegah Serangan DDoS

Pada artikel pertama dalam seri ini, kami membahas cara mencegah serangan DDoS. Jika Anda cukup beruntung untuk selamat dari serangan – atau cukup bijaksana untuk berpikir ke depan – sekarang kita akan membahas pencegahan serangan DDoS tersebut.

Mengerti Apa itu Serangan DDoS

Serangan volumetrik dasar dari Denial of Service (DoS) sering melibatkan cara membombardir alamat IP dengan volume lalu lintas (traffic) yang besar. Jika alamat IP mengarah ke server Web, traffic yang sah atau bersih tidak akan dapat menghubunginya dan Website menjadi tidak dapat diakses. Jenis lain dari serangan DoS adalah serangan flood, di mana sekelompok server dibanjiri permintaan yang perlu diproses oleh mesin korban. Ini sering dihasilkan dalam jumlah besar oleh skrip yang berjalan pada mesin yang terkompromikan yang merupakan bagian dari botnet, dan mengakibatkan melelahkan sumber daya server korban seperti CPU atau memori.

Serangan DDoS beroperasi pada prinsip yang sama, kecuali traffic jahat yang dihasilkan dari berbagai sumber, meskipun diatur dari satu titik pusat. Fakta bahwa sumber traffic DDoS didistribusikan, membuat pencegahan serangan DDoS jauh lebih sulit daripada mencegah serangan DoS yang berasal dari satu alamat IP.

Cari tahu lebih lanjut tentang Defenisi dan Jenis serangan DDoS

Alasan lain yang mencegah serangan DDoS adalah sebuah tantangan adalah bahwa banyak dari serangan hari ini adalah serangan “amplifikasi”. Ini melibatkan pengiriman paket data kecil ke server yang terkompromi dan dikonfigurasi dengan buruk di seluruh dunia, yang kemudian merespons dengan mengirimkan paket yang jauh lebih besar ke server yang sedang diserang. Contoh yang terkenal dari ini adalah serangan amplifikasi DNS, di mana permintaan DNS 60 byte dapat mengakibatkan respons 4.000 byte terkirim ke korban – sebuah faktor amplifikasi sekitar 70 kali ukuran paket asli.

Baru-baru ini, hacker telah mengeksploitasi fitur server yang disebut memcache untuk meluncurkan serangan amplifikasi memcached, di mana permintaan 15 byte dapat menghasilkan respons 750 kb, faktor amplifikasi lebih dari 50.000 kali ukuran paket asli. Serangan DDoS terbesar di dunia, diluncurkan terhadap Github pada awal tahun 2018, adalah serangan amplifikasi memcached yang memuncak pada 1,35 Tbps data yang mengenai server Github.

Manfaat bagi pelaku jahat dari serangan amplifikasi adalah bahwa mereka hanya membutuhkan bandwidth dalam jumlah terbatas yang mereka miliki untuk melancarkan serangan yang jauh lebih besar pada korban mereka daripada yang bisa mereka lakukan dengan menyerang korban secara langsung.

Baca juga Artikel kami tentang 10 Cara Mengamankan Server Linux Anda.

5 Cara untuk Mencegah Serangan DDoS

1. Bangun redundansi ke dalam infrastruktur Anda

Untuk membuatnya sesulit mungkin bagi penyerang untuk berhasil meluncurkan serangan DDoS terhadap server Anda, pastikan Anda membangun redundansi di beberapa Datacenter dengan sistem load balancing yang baik untuk mendistribusikan traffic di antara mereka. Jika memungkinkan, pusat data ini harus di wilayah yang berbeda, atau setidaknya di berbagai provinsi di negara yang sama.

Agar strategi ini benar-benar efektif, penting untuk Anda memastikan bahwa Data Center terhubung ke jaringan yang berbeda dan bahwa tidak ada hambatan jaringan yang jelas atau titik kegagalan tunggal pada jaringan ini.

Mendistribusikan Server Anda secara geografis dan topografi akan menyulitkan penyerang untuk berhasil menyerang lebih dari sebagian server Anda, membuat server lain tidak terpengaruh dan mampu melakukan setidaknya beberapa lalu lintas tambahan yang biasanya ditangani oleh server yang terpengaruh.

2. Konfigurasikan perangkat keras jaringan Anda terhadap serangan DDoS

Ada sejumlah perubahan konfigurasi perangkat keras sederhana yang dapat Anda lakukan untuk membantu mencegah serangan DDoS.

Misalnya, mengonfigurasi firewall atau router Anda untuk mematikan paket ICMP yang masuk atau memblokir respons DNS dari luar jaringan Anda (dengan memblokir port UDP 53) dapat membantu mencegah serangan volumetrik berbasis DNS dan ping tertentu.

Layanan VPS Singapore Murah dari Herza.ID, telah dilengkapi oleh Paket Standar dari Layanan Anti DDoS kami dengan Scrubbing Thresholds Volumetric Attack sampai 5 Gbps.

3. Menggunakan perangkat keras dan perangkat lunak anti-DDoS

Server Anda harus dilindungi oleh firewall jaringan dan firewall aplikasi web yang lebih khusus, dan Anda mungkin harus menggunakan load balancers juga. Banyak vendor perangkat keras sekarang menyertakan perlindungan perangkat lunak terhadap serangan protokol DDoS seperti serangan SYN Flood, misalnya, dengan memantau berapa banyak koneksi tidak lengkap yang ada dan membilasnya ketika jumlahnya mencapai nilai ambang batas yang dapat dikonfigurasi.

Modul perangkat lunak tertentu juga dapat ditambahkan ke beberapa perangkat lunak server web untuk menyediakan beberapa fungsi pencegahan DDoS. Sebagai contoh, Apache 2.2.15 dikirimkan dengan modul yang disebut mod_reqtimeout untuk melindungi dirinya dari serangan lapisan aplikasi seperti serangan Slowloris, yang membuka koneksi ke server web dan kemudian menahannya terbuka selama mungkin dengan mengirimkan permintaan sebagian hingga server tidak dapat menerima lagi koneksi baru.

4. Menggunakan alat perlindungan DDoS

Banyak vendor keamanan termasuk NetScout Arbor, Fortinet, Check Point, Cisco dan Radware menawarkan peralatan yang berada di depan firewall jaringan dan dirancang untuk memblokir serangan DDoS sebelum serangan tersebut masuk dalam jaringan kita.

Mereka melakukan ini menggunakan sejumlah teknik, termasuk melakukan baseline perilaku lalu lintas dan kemudian memblokir lalu lintas abnormal, dan memblokir lalu lintas berdasarkan tanda serangan yang dikenal.

Kelemahan utama dari jenis perlindungan serangan DDoS ini adalah bahwa peralatan itu sendiri terbatas dalam jumlah traffic throughput yang dapat mereka tangani. Sementara peralatan canggih mungkin dapat memeriksa traffic yang masuk dengan kecepatan hingga 80 Gbps, serangan DDoS saat ini dapat dengan mudah menjadi urutan besarnya lebih besar dari ini.

5. Lindungi DNS Server Anda

Jangan lupa bahwa aktor jahat mungkin dapat membuat Web Server Anda offline dengan melakukan DDoS kepada server DNS Anda. Untuk alasan itu, penting bahwa server DNS Anda memiliki redundansi, dan menempatkannya di Data Center yang berbeda di belakang load balancers juga merupakan ide bagus. Solusi yang lebih baik mungkin adalah pindah ke penyedia DNS berbasis cloud yang dapat menawarkan bandwidth tinggi dan beberapa titik kehadiran di Data Center di seluruh dunia. Layanan ini dirancang khusus dengan mempertimbangkan pencegahan DDoS.

Mudah-mudahan informasi diatas dapat memberikan kita wawasan tambahan dalam bagaimana cara melindungi Server atau Website kita dari serangan DDoS yang sangat berbahaya.