Networking With Debian Lenny

Networking with Debian �Lenny�

Al�yan - NRP 2205 100 170

Jurusan Teknik Elektro, Fakultas Teknologi Industri, InstitutTeknologi Sepuluh Nopember (ITS) Surabaya

Operating System (OS) Debian pertama kali diperkenalkan pada 16 Agustus1993 oleh Ian Murdock, seorang mahasiswa di Universitas Purdue, Jerman.Awalnya Murdock menyebut sistemnya dengan sebutan "Debian Linux Release".Murdock meluncurkan distribusi baru Linux karena termotivasi oleh kurangnyaperawatan dan juga lemahnya pertahanan distribusi Linux sebelumnya terhadapbugs.

Dalam Debian Manifesto, Murdock menginginkan agar distribusi Debiandikembangkan secara terbuka dengan semangat Linux dan GNU. Dia memberinama Debian sebagai gabungan kata dari nama pacarnya (sekarang istrinya)Debra dan namanya sendiri. Proyek Debian tumbuh secara lamban pada awal-nya dan me-rilis versi 0.9x pada tahun 1994 dan 1995. Port pertama yangdikembangkan untuk arsitektur computer lain dimulai pada 1995 dan versi 1.xDebian mulai di-rilis pada tahun 1996.

Tabel 1. versi yang telah dan akan di-rilis Debian:versi code name tanggal rilis

1.2 1.1 Buzz 17 juni 19961.3 Rex 12 des 19962.0 Bo 5 juni 19972.1 Hamm 24 juli 19982.2 Slink 9 maret 19993.0 Potato 15 agustus 20003.1 Woody 19 juli 20024.0 Sarge 6 juni 2005TBA Etch 8 april 2007- Lenny direncanakan sept 2008, saat ini sedang testing

Instalasi Debian Lenny

Debian Lenny bisa dibilang merupakan Operating System yang sangat kayaaplikasi. Ia hadir dengan membawa aplikasi yang sangat lengkap dalam bentukpackages atau paket-paket. Perkembangannya pun begitu cepat, sehingga takcukup jika kita hanya meng-install-nya dari CD saja. Akan lebih baik jika kita

1

menginstallnya dengan langsung terhubung ke internet dan meng-unduh paket-paket Debian Lenny dari mirror yang menyediakan package Lenny di internet.

Kali ini, kami meng-install Debian Lenny dengan langsung terhubung keinternet. Koneksi internet ini nanti akan sangat berguna untuk mendapatkanpackage dari Debian Lenny yang sangat banyak. Untuk instalasi system dasar,tetap menggunakan installer dari CD-ROM.

Langkah-langkah instalasi secara umum adalah sebagai berikut:

1. Nyalakan PC dan masukkan CD installer sistem dasar Debian Lenny

2. ubah �rst boot device pada BIOS menjadi CD-ROM

3. ikuti petunjuk instalasi pada tiap-tiap langkah

4. saat proses akan ditanya zona tempat PC berada, kami pilih Indonesia

5. ditanya apakah kon�gurasi internetnya memakai DHCP atau tidak, kamipilih tidak dan memasukkan IP Address dan info lain tentang PC secaramanual

6. saat proses juga akan diminta melakukan proses partisi. Kami men-settingpartisi LVM (Logical Volume Manager) dan juga men-set partisi yang ter-enkripsi

7. saat proses akan ditanya apakah memakai koneksi ke mirror ataukah tidak,jika ya akan dicarikan lokasi mirror terdekat. Kami pilih tidak, karenakami akan men-settingnya nanti ketika system dasar telah ter-install

8. proses akan mendeteksi hardware yang dipakai. Jika berhasil maka prosesinstalasi system dasar akan berlanjut.

Proses instalasi system dasar akan memakan waktu yang cukup lama. Setelahselesai, maka kita akan berhadapan dengan konsol shell yang memaksa kitamenggunakan perintah dasar bahasa shell dalam bentuk command line dioalogkarena kita belum memiliki tampilan gra�s berupa GNOME atau pun KDE.

Setelah system dasar selesai di-install, kini kami berhadapan dengan konsolshell yang memaksa kami menggunakan command line.

1. pertama kita set sambungan ke mirror di /etc/network/source.list denganmenggunakan perintah nano /etc/network/source.list

mirror yang kami pakai adalah :

http://mirror.computer.ee.its.ac.id/debian lenny main contrib non-free

dengan DNS 202.46.129.2

2. kami juga perlu meng-con�gure koneksi Ethernet card yang tersambungke PC dengan perintah

ifcon�g

2

3. setelah itu, kami juga men-start layanan networking dengan perintah

/etc/init.d/networking start

4. sebelummeng-unduh package dari mirror, kami update dulu dengan mengetikperintah

apt-get update

5. setelah itu, kita perlu menginstall system dasar untuk tampilan GNOMEsebagai tampilan gra�s atau GUI (Graphical User Interface). Paket-paketyang perlu di-install di antaranya: xbase-clients, xserver-xorg, xserver-xfree86, xfonts, lalu yang terakhir adalah gnome

6. sebelum mengunduh package dan meng-install-nya, ada baiknya menge-cek keberadaaan package tersebut terlebih dahulu dengan menggunakanperintah:

apt-cache search [package yang dicari]

7. untuk meng-unduh package, gunakan perintah:

apt-get install [package yang diinstall]

8. Sebelum masuk ke tampilan gnome, ada baiknya kita mengecek ulangapakah package-package dasar untuk masuk ke tampilan gnome sepertiyang disebutkan di atas telah ter-install semua.

Untuk masuk ke GNOME, ketikkan perintah gdm.

Setelah kita masuk ke tampilan gnome, kita akan lebih mudah melakukan set-ting karena tampilannya sudah memakai tampilan gra�s yang tentunya sangatmembantu. Sekarang kita bisa menikmati tampilan gra�s gnome. Berbagailayanan aplikasi yang dibawa debian pun dapat kita manfaatkan.

Hampir segala macam bentuk ekstensi �le dapat dikenali dan dibaca denganbaik oleh system debian lenny ini. Namun, ternyata kita tidak lama menikmatitampilan gra�s ini. Untuk proses instalasi dan setting aplikasi atau layanan yangdiberikan lenny pada jaringan ternyata harus memakai command line dialogmelalui terminal shell console.

Aplikasi-aplikasi yang diberikan

Debian Lenny

1 Partisi Terenkripsi

Setting partisi yang ter-enkripsi telah diatur sejak saat instalasi. Namun, pass-word enkripsinya baru disetting setelah instalasi selesai. Proses enkripsi partisimembutuhkan instalasi package cryptsetup.

3

Proses Pembuatan Partisi Ter-Enkripsi

1. Siapkan system dg meng-install program cryptsetup, dmsetup, gparted

root:~# apt-get install cryptsetup dmsetup gparted

2. buat partisi baru dg cfdisk / tools partisi hardisk lainnya (gparted, fdisk,dll), lalu reboot.

misal : partisi baru adalah /dev/sda6

3. Inisialisasi partisi baru dengan cara :

root:~# cryptsetup luksFormat /dev/sda6

4. Open / Mapping ke /dev/mapper dengan cara :

root:~# cryptsetup luksOpen /dev/sda6 CRYPT-DATA

5. Format device baru tsb dg �lesystem yg anda inginkan

root:~# mkfs.reiserfs -l CRYPT-DATA /dev/mapper/data

6. Mounting partisi yg sudah terenkripsi bisa dilakukan dg 2 step, yaitu :

(a) Mapping ke /dev/mapper/CRYPT-DATA (step 3)

root:~# cryptsetup luksOpen /dev/sda6 CRYPT-DATA

(b) Lalu mount-lah ke direktori yg anda inginkan

root:~# mount /dev/mapper/CRYPT-DATA /data

Penting :

• Partisi yg terenkripsi ini tidak bisa dibuka secara langsung, melainkanharus di lakukan perintah spt diatas utk kemudian muncul sebagai devicebaru yaitu /dev/mapper/CRYPT-DATA. Setelah muncul pada direktori/dev/mapper, device baru ini bisa kita format, bisa kita baca (mount)selayaknya device pada umumnya.

Manajemen Password pada partisi ter-Enkripsi

Pada dasarnya partisi terenkripsi ini bisa diumpamakan sebagai suatu rumahyang memiliki banyak pintu. Pintu-pintu itulah yang bisa kita buatkan kunci(baca : password), setiap pintu pada awalnya adalah tertutup, ketika kita mem-buatkan kunci (key / password) pada pintu tersebut, maka barulah pintu itubisa kita buka dg kunci yg kita buat. Oleh karena itu untuk masuk ke dalamrumah, kita hanya memerlukan salah satu kunci saja. Partisi terenkripsi inibisa diberi maksimal 8 slot kunci, dimana hanya dengan memiliki salah satukunci saja kita sudah bisa mengakses partisi tersebut.

1. Menambahkan key / password (maximal ada 8 key, yaitu slot 0 s.d slot 7)

root:~# cryptsetup luksAddKey /dev/sda6.

Ketika proses menambahkan kunci ini, anda akan ditanya tentang salahsatu kunci yg sudah dibuat.

4

2. Melihat password yg ada pada partisi

root:~# cryptsetup luksDump /dev/sda6

3. Delete key / password pada slot tertentu

root:~# cryptsetup luksDelKey /dev/sda6 1

Perintah diatas berarti akan mendelete key pada slot 1. Ketika prosesmenghapus kunci, anda akan ditanya tentang salah satu kunci yg ada.

4. Ganti password dengan cara :

Menambahkan key / password baru spt pada no (1) Lalu delete passwordlama pada slot yg ingin anda hapus spt pada no (3)

2 LVM (Logical Volume Manager)

LVM telah disetting saat instalasi. LVM adalah sebuah manajemen penyimpandi sistem operasi GNU/Linux yang menyediakan �eksibilitas dalam membuatdan mengubah partisi dalam sebuah disk. LVM menambahkan lapisan antaraantarmuka I/O kernel dengan perangkat �sik untuk mendapatkan logical-viewdari penyimpan.

Dengan adanya lapisan inilah kita dapat melakukan perubahan partisi baikitu resize, penghapusan, dan lain-lain secara live pada sistem baik untuk satuatau lebih media. Kemudahan tersebut akan membuat administrator maupunpengguna lebih nyaman dalam melakukan manajemen dan alokasi ruang peny-impan hingga penamaan volume. Selain itu kita dapat melakukan snapshotdan membuat block-device salinan sebuah partisi atau lebih untuk mencatatstatusnya dengan tujuan backup.

3 DNS (Domain Name System) Server

Domain Name System adalah suatu sistem yang membuat alamat IP (yangdalam bentuk numerik) suatu host dapat dikenali dengan suatu nama (domainname) yang umum dikenal dan sebaliknya. Misalnya, situs resmi ITS memilikialamat IP sekian, namun orang umum tidak akan mudah mengingat alamatdalam bentuk numeric tersebut. Dengan adanya DNS, kita bisa mengaksesalamat IP situs ITS dengan mengakses nama domain-nya yang mudah kitaingat, yaitu www.its.ac.id.

Dalam jaringan yang kami buat, kami membuat domain bakti.lab dengandebian lenny sebagai server-nya dan host-host yaitu: winserver, solaris, freebsd,suse dan fedora. Tiap host memiliki IP address masing-masing seperti dalamgambar 2 di atas. Tiap host dikenali melalui alamat IP-nya masing-masing.Dengan adanya DNS server, kami akan membuat agar tiap host dapat dikenalibukan hanya dari alamat IP-nya saja, tapi juga dengan alamat domainnya yangunik untuk masing-masing host.

5

Untuk memberikan servis DNS server, kami menggunakan bind9. Kon�g-urasi bind9 mencakup kon�gurasi forward DNS dan juga reverse DNS. ForwardDNS berguna untuk menerjemahkan domain name ke IP address. SedangkanReverse DNS untuk menerjemahkan IP address ke domain name.

Berikut ini adalah langkah-langkah instalasi dan kon�gurasi bind9 untukjaringan yang kami buat.

1. Install bind9

root:~#apt-get install bind9

setelah meng-install, kita tak langsung bisa memakai service bind9 ini.Kita perlu menyetting �le-�le kon�gurasi sesuai kondisi jaringan yang kitamiliki.

2. edit �le /etc/bind/named.conf.options Isinya sebagai berikut:

options { directory "/var/cache/bind";

// If there is a �rewall between you and nameservers you want

// to talk to, you might need to uncomment the query-source

// directive below. Previous versions of BIND always asked

// questions using port 53, but BIND 8.1 and later use an unprivileged

// port by default.

// query-source address * port 53;

// If your ISP provided one or more IP addresses for stable

// nameservers, you probably want to use them as forwarders.

// Uncomment the following block, and insert the addresses replacing

// the all-0's placeholder.

// forwarders {

// 0.0.0.0;

//

};

auth-nxdomain no;

# conform to RFC1035 listen-on-v6 { any; };

# Tambahan

version none;

allow-query { 10.122.67.0/24; 192.168.1.0/24; 192.168.0.0/24; 10.10.2.0/24;

192.168.2.0/24; 10.10.0.0/24; };

allow-transfer { none; };

};

Sekarang kita perlu me-restart servis bind9

6

/etc/init.d/bind9 restart

lalu kita edit �le /etc/bind/named.conf.local

// Do any local con�guration here zone "bakti.lab" {

type master;

�le "/etc/bind/db.bakti.lab";

};

zone "camp.lab" {

type master;

�le "/etc/bind/db.camp.lab";

};

zone "2.168.192.in-addr.arpa" {

type master;

�le "/etc/bind/db.2.168.192";

};

zone "1.168.192.in-addr.arpa" {

type master;

�le "/etc/bind/db.1.168.192";

};

//Consider adding the 1918 zones here, if they are not used in your

// organization

//include "/etc/bind/zones.rfc1918";

3. buat �le untuk Forward DNS dengan nama /etc/bind/db.namadomain

forward DNS berguna untuk menterjemahkan nama domain ke IP addressyang bersesuaian

• �le etc/bind/db.bakti.lab:

$TTL 24h bakti.lab.

IN SOA baktilab.bakti.lab. root.bakti.lab (

2007062800 ; serial

3h ; refresh

30m ; retry

7d ; expire

3h ; negative caching ttl );

;Name server

bakti.lab. IN NS 202.46.129.2.;

7

;Host-host

baktilab.bakti.lab IN A 192.168.1.2

Solaris.bakti.lab IN A 192.168.0.2

FreeBSD.bakti.lab IN A 10.10.2.2

• �le /etc/bind/db.camp.lab:

$TTL 24h

camp.lab. IN SOA debian.camp.lab. root.camp.lab (

2007062800

3h

30m

7d

3h);

;Name server

camp.lab. IN NS 10.122.67.110;

;Host-host

debian.camp.lab. IN A 10.122.67.110

suse.camp.lab. IN A 192.168.2.2

fedora.camp.lab. IN A 10.10.0.18

4. buat �le untuk reverse DNS dengan nama /etc/bind/db.IPaddress

reverse DNS berguna untuk menterjemahkan IP address ke nama domain-nya

• �le /etc/bind/db/1/db.1.68.192

$TTL 24h

bakti.lab. IN SOA baktilab.bakti.lab root.bakti.lab (

2007062800

3h

30m

7d

3h);

;Nameserver

bakti.lab. IN NS 202.46.129.2;

;host-host

2.1.168.192.in-addr.arpa. IN PTR baktilab.bakti.lab.

2.2.10.10.in-addr.arpa. IN PTR FreeBSD.bakti.lab.

2.0.168.192.in-addr.arpa. IN PTR Solaris.bakti.lab.

8

• File /etc/bind/db.2.168.192

$TTL 24h

2.168.192.in-addr.arpa. IN SOA debian.camp.lab. root.camp.lab (

2007062800

3h

30m

7d

3h);

;nameserver

camp.lab. IN NS 10.122.67.110.;

;host-host

18.0.10.10.in-addr.arpa. IN PTR fedora.camp.lab.

2.2.168.192.in-addr.arpa. IN PTR suse.camp.lab.

110.67.122.10.in-addr.arpa. IN PTR debian.camp.lab.

5. sekarang servis bind sudah siap dipakai

ketik perintah /etc/init.d/bind9 restart

4 Shorewall (�rewall)

Shorewall merupakan salah satu jenis �rewall yang berguna untuk mem-protectjaringan agar terhindar dari gangguan hacker yang mencoba merusak jaringankita. Shorewall juga berfungsi sebagai pintu akses dari dan ke jaringan kita.Oleh karena itu, berbagai macam aturan tertentu dapat kita terapkan padasetting shorewall untuk menghindari hal-hal yang tidak kita inginkan terjadipada jaringan kita.

Shorewall memanfaatkan prinsip IPTables. Pada dasarnya kita dapat mem-buat sebuah �rewall dengan menggunakan IPTables. Namun, IPTables terkesansangat rumit bagi orang kebanyakan. Dengan adanya shorewall, membuat �re-wall tidak lagi terasa sulit, karena pada dasarnya shorewall merupakan IPtablesyang disederhanakan. Perintah yang kita tuliskan pada shorewall akan meng-generate IPTables.

Jelaskan tentang IPTablesLangkah-langkah untuk instalasi dan setting shorewall adalah sebagai berikut:

1. install shorewall

apt-get install shorewall

2. edit �le kon�gurasi /etc/shorewall/shorewall.conf

##################################

9

S T A R T U P E N A B L E D

##################################

STARTUP_ENABLED=Yes

3. modi�kasi �le zones /etc/shorewall/zones

#ZONETYPE OPTIONS IN OUT

# OPTIONS OPTIONS

fw �rewall

net ipv4

loc ipv4

loc1 ipv4

4. modi�kasi �le interfaces /etc/shorewall/interfaces

##################################

#ZONE INTERFACE BROADCAST OPTIONS

net eth0 detect tcp�ags,dhcp,route�lter,nosmurfs,logmartians

loc eth1 detect tcp�ags,nosmurfs

loc1 eth2 detect

5. modi�kasi �le policy /etc/shorewall/policy

#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST

# # Note about policies and logging:

# This �le contains an explicit policy for every combination of

# zones de�ned in this sample. This is solely for the purpose of

# providing more speci�c messages in the logs. This is not

# necessary for correct operation of the �rewall, but greatly

# assists in diagnosing problems. The policies below are logically

# equivalent to:

# # loc net ACEPT

# net all DROP info

# all all REJECT info

# # The Shorewall-perl compiler will generate the individual policies #below from the above general policies if you set

# EXPAND_POLICIES=Yes in shorewall.conf.

# Policies for tra�c originating from the local LAN (loc)

# # If you want to force clients to access the Internet via a proxy server# in your DMZ, change the following policy to REJECT info.

10

loc net ACCEPT

loc1 net ACCEPT

# If you want open access to DMZ from loc, change the following policy

# to ACCEPT. (If you chose not to do this, you will need to add a rule

# for each service in the rules �le.)

loc loc1 REJECT info

loc $FW REJECT info

loc all REJECT info

## Policies for tra�c originating from the �rewall ($FW)

# # If you want open access to the Internet from your �rewall, changethe

# $FW to net policy to ACCEPT and remove the 'info' LOG LEVEL.

$FW net REJECT info

$FW loc1 REJECT info

$FW loc REJECT info

$FW all REJECT info

# # Policies for tra�c originating from the De-Militarized Zone (dmz)

# # If you want open access from DMZ to the Internet change the fol-lowing

# policy to ACCEPT. This may be useful if you run a proxy server in

# your DMZ.

#loc1 net REJECT info

loc1 $FW REJECT info

loc1 loc REJECT info

loc1 all REJECT info

# # Policies for tra�c originating from the Internet zone (net)

# net loc1 DROP info

net $FW DROP info

net loc DROP info

net all DROP info

# THE FOLLOWING POLICY MUST BE LAST

all all REJECT info

6. modi�kasi �le routestopped /etc/shorewall/routestopped

######################################

#INTERFACE HOST(S)

11

eth1 192.168.1.0/24

eth2 192.168.2.0/24

7. modi�kasi �le rules /etc/shorewall/rules

#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE

# PORT PORT(S) DEST LIMIT

# # # # Accept DNS connections from the �rewall to the Internet

#DNS/ACCEPT $FW net

Web/ACCEPT $FW net

Web/ACCEPT loc $FW

Web/ACCEPT loc1 $FW

## Accept SSH connections from the local network to the �rewall andDMZ #SSH/ACCEPT loc $FW

Web/ACCEPT loc net

Web/ACCEPT loc1 net

SSH/ACCEPT loc loc1

SSH/ACCEPT loc1 $FW

SSH/ACCEPT loc1 loc

SSH/ACCEPT net loc

SSH/ACCEPT net loc1

## DMZ DNS access to the Internet

##DNS/ACCEPT net loc

DNS/ACCEPT loc1 $FW

DNS/ACCEPT loc $FW

# Reject Ping from the "bad" net zone.

Ping/REJECT net $FW

## Make ping work bi-directionally between the dmz, net, Firewall andlocal zone

# (assumes that the loc-> net policy is ACCEPT).

#Ping/ACCEPT loc $FW

Ping/ACCEPT loc1 $FW

Ping/ACCEPT loc loc1

Ping/ACCEPT loc1 loc

Ping/ACCEPT $FW net

Ping/ACCEPT $FW net

12

Ping/ACCEPT loc1 net

Ping/ACCEPT loc net

ACCEPT $FW net icmp 80

ACCEPT $FW loc icmp 80

ACCEPT $FW loc1 icmp 80

# Uncomment this if using Proxy ARP and static NAT and you want toallow ping from

# the net zone to the dmz and loc

#Ping/ACCEPT net dmz

#Ping/ACCEPT net loc

ACCEPT loc1 net tcp 22,80,8080,901,20,25,110

ACCEPT loc net tcp 22,80,8080,21,901,20,25,110

ACCEPT fw net tcp 22,80,8080,21,901,20,25,110

ACCEPT fw loc tcp 22,80,8080,21,901,20,25,110

ACCEPT fw loc udp 53,161,25,110

#ACCEPT loc loc1 tcp 901

#ACCEPT loc

ACCEPT fw loc1 udp 53,161,25,110

ACCEPT fw loc1 tcp 22,80,8080,21,901,20,25,110

#ACCEPT loc net udp 53,161,25,110

#ACCEPT loc1 net udp 53,161,25,110

ACCEPT fw net udp 53,161,25,110

ACCEPT loc fw tcp 22,80,8080,21,901,20,25,110

ACCEPT loc fw udp 53,161,25,110

ACCEPT all all icmp 80

8. service shorewall kini dapat kita gunakan Stop service shorewall

/etc/init.d/shorewall stop

Lalu start service shorewall

/etc/init.d/shorewall start

5 NAT (Network Address Translation) dan IPMasquerade

Network Address Translation (NAT) atau biasa jug adisebu IP masqueradingadalah suatu teknik untuk mengirimkan dan kemudian menerima tra�c dalam

13

jaringan melalui router yang melibatkan penulisan kembali alamat IP dari sum-ber (Source) dan Tujuan (Destination) serta alamat port TCP/UDP selamapaket ditransmisikan. Dengan NAT, sejumlah host dalam suatu jaringan dapatmeng-akses internet dengan menggunakan satu alamat IP public yang sama.

NAT menyembunyikan alamat-alamat IP yang dikelola secara internal darijaringan-jaringan eksternal dengan menerjemahkan alamat internal pribadi men-jadi alamat eksternal umum. Hal ini mengurangi biaya registrasi alamat IPdengan cara membiarkan para pelanggan memakai alamat IP yang tidak terdaf-tar secara internal melalui suatu terjemahan ke sejumlah kecil alamat IP yangterdaftar secara eksternal. Hal ini juga menyembunyikan struktur jaringan in-ternal, mengurangi resiko penolakan serangan layanan terhadap sistem internal.

6 Shaper dan Tra�c Shaping

Tra�c Shaping adalah suatu usaha untuk mengatur tra�c dalam suatu jaringandengan tujuan meningkatkan performa jaringan atau memperkecil bandwidthyang digunakan dengan cara men-delay packet. Lebih spesi�k lagi, Tra�c Shap-ing adalah segala bentuk aksi yang dilakukan pada sekelompok paket yangmenyebabkan terjadinya tambahan delay pada paket tersebut.

Tra�c Shaping menyediakan suatu metode untuk mengontrol volume tra�cyang dikirim dari dan ke dalam jaringan kita dalam periode tertentu, ataumembatasi rate maximum data yang di-transmisikan (rate limiting). Kontrolini dapat dilakukan dengan banyak cara dan juga karena banyak alasan. Namunbiasanya, tra�c shaping dapat dicapai dengan men-delay paket.

Tra�c Shaping biasanya dipakai di ujung depan sebuah jaringan (padaserver) untuk mengontrol tra�c mernuju jaringan, tapi juga bisa dilakukan olehsumber tra�c yang bersangkutan (misal komputer atau network card) atau olehsebuah elemen dalam jaringan.

7 SPF dan RBL

Kita semua pasti mengetahui bahwa bila ada email yang masuk ke kita, makapasti email itu dikirimkan melalui salah satu server SMTP di muka bumi ini.Yang kemudian menjadi permasalahan adalah: "Apakah server yang mengir-imkan email itu memang berhak mengirimkan email atas nama domain yangdipakai?".

Contoh kasus: Saya menggunakan domain sokam.or.id, dan alamat serverSMTP saya katakanlah 10.11.12.13. Seharusnya, yang mengirimkan email den-gan menggunakan domain sokam.or.id hanyalah alamat IP tersebut. Kemudianbagaimana kalau ada yang mengirim menggunakan domain sokam.or.id namunberasal dari IP 192.168.5.3? Apakah IP itu juga berhak?

Di sinilah peran SPF hadir untuk membantu kita menentukannya.

14

Mekanisme

Informasi SPF disimpan dalam DNS dengan menggunakan record TXT untukdomain yang bersangkutan. Contoh kasus: Saya ingin menambahkan recordSPF untuk domain sokam.or.id. SMTP server yang berhak mengirim emaildengan alamat sokam.or.id adalah server itu sendiri (10.11.12.13), serta sebuahserver lagi dengan alamat IP 5.6.7.8. Bentuk record DNS ini kira-kira sepertiini:

sokam.or.id. IN TXT "v=spf1 mx ip4:5.6.7.8 -all"Dengan setup seperti di atas, bila server SMTP yang beralamat 2.3.4.5 men-

girimkan email dengan domain sokam.or.id, maka email tersebut dianggap se-bagai SPAM. Bagaimana dengan domain yang tidak mempublish record SPF?segala SMTP server yang mengirim email menggunakan domain tersebut diang-gap valid.

Instalasi

root# apt-get install libmail-spf-query-perl

Kon�gurasi SPF

Kon�gurasi SPF ini dilakukan pada �le kon�gurasi post�x, yakni master.cf danmain.cf.

�le master.cf

Tambahkan baris di bawah ini.policy unix - n n - - spawn user=nobody argv=/usr/bin/perl /usr/local/sbin/post�x-

policyd.pl

�le main.cf

Tambahkan check_policy_service unix:private/policy pada bagian smtpd_recipient_restrictions,sehingga lengkapnya seperti potongan di bawah ini.

smtpd_recipient_restrictions =permit_mynetworks,permit_sasl_authenticated,reject_non_fqdn_hostname,reject_non_fqdn_sender,reject_non_fqdn_recipient,reject_unauth_destination,reject_unauth_pipelining,reject_invalid_hostname,check_policy_service unix:private/policy

Perhatikan bagian kon�gurasi yang dicetak tebal.Restartlah post�x/etc/init.d/post�x restart

15

8 DHCP Server

Dynamic Host Con�guration Protocol (DHCP) adalah suatu protocol dalamjaringan untuk memberikan informasi TCP/IP kepada host client. Tiap clientyang terhubung kepada server DHCP akan diberi kon�gurasi jaringannya olehserver DHCP mulai dari info IP address, gateway dan DNS Server-nya.

DHCP sangat berguna pada kon�gurasi jaringan yang membutuhkan aksescepat. Ketika mengkon�gurasi system client, administrator tak perlu mema-sukkan informasi IP address, gateway, netmask ataupun DNS servernya. Clientmendapatkan informasi ini dari DHCP server.

DHCP juga sangat berguna ketika administrator ingin megganti IP addressdari sejumlah system. Administrator cukup mengubah satu kon�gurasi DHCPpada server untuk mengubah alamat IP, tanpa perlu mengkon�gurasi ulangsystem. Jika DNS server jaringan berubah, perubahan tak perlu dilakukanpada semua client, tapi cukup pada DHCP server.

Lebih lanjut, jika sebuah laptop disetting sebagi DHCP client, maka ia bisaberpindah dari satu jaringan ke jaringan lain selama dalam jaringan tersebutada DHCP server yang membolehkannya terhubung ke dalam jaringan.

Kon�gurasi DHCP server

Langkah-langkah instalasi dan kon�gurasi dhcp server yang kami lakukan adalahsebagai berikut:

1. meng-install dhcp server

root:~# apt-get install dhcp3-server

2. kon�gurasi DHCP Server

kita perlu memodi�kasi �le /etc/dhcp3/dhcpd.conf

berikut ini adalah isi �le kon�gurasinya:

subnet 192.168.1.0

netmask 255.255.255.0 {

range 192.168.1.1 192.168.1.50;

option domain-name "bakti.lab";

deny unknown-clients;

}

subnet 192.168.2.0

netmask 255.255.255.0 {

range 192.168.2.1 192.168.2.50;

option domain-name "camp.lab";

deny unknown-clients;

}

16

3. restart service dhcp

/etc/init.d/dhcp3-server restart

4. sekarang service DHCP server dapat dimanfaatkan

9 FTP (File Transfer Protocol)

FTP (File Transfer Protocol) adalah sebuah protocol yang merupakan standaruntuk transfer �le antar host dalam sebuah jaringan. FTP merupakan salahsatu protocol yang paling awal dikembangkan, dan masih digunakan hinggasaat ini untuk download dan juga upload �le antara klien FTP dan server FTP.Sebuah server FTP diakses dengan menggunakan Universal Resource Identi�er(URI) dengan format ftp://namaserver.

Klien FTP dapat menghubungi server FTP dengan membuka alamat URItersebut. FTP menggunakan protokol Transmission Control Protocol (TCP)untuk komunikasi data antara klien dan server, sehingga di antara kedua kom-ponen tersebut akan dibuatlah sebuah sesi komunikasi sebelum transfer datadimulai. Sebelum membuat koneksi, port TCP nomor 21 di sisi server akan"mendengarkan" percobaan koneksi dari sebuah klien FTP dan kemudian akandigunakan sebagai port pengatur (control port) untuk

1. membuat sebuah koneksi antara klien dan server,

2. mengizinkan klien untuk mengirimkan sebuah perintah FTP kepada serverdan juga

3. mengembalikan respons server ke perintah tersebut.

Sekali koneksi kontrol telah dibuat, maka server akan mulai membuka port TCPnomor 20 untuk membentuk sebuah koneksi baru dengan klien untuk mentrans-fer data aktual yang sedang dipertukarkan saat melakukan pengunduhan danpenggugahan.

Ada dua tipe FTP berdasarkan cara user masuk ke server FTP, yaitu secaraanonymous dan authenticated:

• Anonymous

Pada anonymous FTP, pengguna tidak memerlukan account pada serversebagai ijin masuk. Biasanya, username yang digunakan adalah 'anony-mous'. Account ini tidak memerlukan password. Walaupun user biasanyadiminta mengisi alamat email sebagai password, namun biasanya hal initidak memerlukan veri�kasi dan user bisa langsung masuk ke server FTP.Tapi, ini juga tergantung kon�gurasi FTP server yang bersangkutan.

• Authenticated

Dengan authenticated FTP, user memerlukan account dan password untukbisa masuk ke ftp server.

17

FTP server yang kami pakai untuk memberikan servis FTP adalah proftpd.Langkah-langkah setting proftpd yang kami lakukan adalah sebagai berikut:

1. install proftpd

root:~#apt-get install proftpd

2. modi�kasi �le kon�gurasi /etc/ptoftpd.conf

# /etc/proftpd/proftpd.conf � This is a basic ProFTPD con�guration �le.

# To really apply changes reload proftpd after modi�cations.

# Includes DSO modules Include /etc/proftpd/modules.conf

# Set o� to disable IPv6 support which is annoying on IPv4 only boxes.

#UseIPv6 on

ServerName "Debian"

ServerType standalone

DeferWelcome o�

MultilineRFC2228 on

DefaultServer on

ShowSymlinks on

TimeoutNoTransfer 600

TimeoutStalled 600

TimeoutIdle 1200

DisplayLogin welcome.msg

DisplayChdir .message true

ListOptions "-l"

DenyFilter \*.*/

# Use this to jail all users in their homes

# DefaultRoot ~

# Users require a valid shell listed in /etc/shells to login.

# Use this directive to release that constrain.

# RequireValidShell o�

# Port 21 is the standard FTP port.

Port 21

# In some cases you have to specify passive ports range to by-pass

# �rewall limitations. Ephemeral ports can be used for that, but

# feel free to use a more narrow range.

# PassivePorts 49152 65534

18

# If your host was NATted, this option is useful in order to

# allow passive tranfers to work. You have to use your public

# address and opening the passive ports used on your �rewall as well. #MasqueradeAddress 1.2.3.4

# To prevent DoS attacks, set the maximum number of child processes

# to 30. If you need to allow more than 30 concurrent connections

# at once, simply increase this value. Note that this ONLY works

# in standalone mode, in inetd mode you should use an inetd server

# that allows you to limit maximum number of processes per service

# (such as xinetd)

MaxInstances 30

# Set the user and group that the server normally runs at.

User root Group nogroup

# Umask 022 is a good standard umask to prevent new �les and dirs

# (second parm) from being group and world writable.

Umask 022

# Normally, we want �les to be overwriteable.

AllowOverwrite on

# Uncomment this if you are using NIS or LDAP via NSS to retrievepasswords:

# PersistentPasswd o�

# This is required to use both PAM-based authentication and local pass-words

# AuthOrder *mod_auth_pam.c mod_auth_unix.c

# Be warned: use of this directive impacts CPU average load!

# Uncomment this if you like to see progress and transfer rate with ftpwho

# in downloads. That is not needed for uploads rates.

# # UseSendFile o� # Choose a SQL backend among MySQL or Post-greSQL.

# Both modules are loaded in default con�guration, so you have to specifythe backend

# or comment out the unused module in /etc/proftpd/modules.conf.

# Use 'mysql' or 'postgres' as possible values.

# #<IfModule mod_sql.c>

# SQLBackend mysql #</IfModule>

TransferLog /var/log/proftpd/xferlog

19

SystemLog /var/log/proftpd/proftpd.log

<IfModule mod_quotatab.c>

QuotaEngine o�

</IfModule>

<IfModule mod_ratio.c>

Ratios o�

</IfModule>

# Delay engine reduces impact of the so-called Timing Attack describedin

# http://security.lss.hr/index.php?page=details&ID=LSS-2004-10-02

# It is on by default.

<IfModule mod_delay.c>

DelayEngine on

</IfModule>

<IfModule mod_ctrls.c>

ControlsEngine o�

ControlsMaxClients 2

ControlsLog /var/log/proftpd/controls.log

ControlsInterval 5

ControlsSocket /var/run/proftpd/proftpd.sock

</IfModule>

<IfModule mod_ctrls_admin.c>

AdminControlsEngine o�

</IfModule>

# Alternative authentication frameworks

#Include /etc/proftpd/ldap.conf

#Include /etc/proftpd/sql.conf

# This is used for FTPS connections

#Include /etc/proftpd/tls.conf

# A basic anonymous con�guration, no upload directories.

<Anonymous ~ftp>

User ftp

Group nogroup

# We want clients to be able to login with "anonymous" as well as "ftp"

UserAlias anonymous ftp

20

# Cosmetic changes, all �les belongs to ftp user

DirFakeUser on ftp DirFakeGroup on ftp RequireValidShell o�

# Limit the maximum number of anonymous logins

MaxClients 10

# We want 'welcome.msg' displayed at login, and '.message' displayed

# in each newly chdired directory.

DisplayLogin welcome.msg

DisplayChdir .message

# Limit WRITE everywhere in the anonymous chroot

<Directory *>

<Limit WRITE>

DenyAll

</Limit>

</Directory>

# Uncomment this if you're brave.

#<Directory incoming>

# Umask 022 is a good standard umask to prevent new �les and dirs

# (second parm) from being group and world writable.

Umask 022

<Limit READ WRITE>

DenyAll

</Limit>

<Limit STOR>

AllowAll

</Limit>

</Directory>

</Anonymous>

10 NFS (Network File Sharing)

Network File Sharing (NFS) adalah metode yang paling banyak digunakan un-tuk �le sharing antar sistem yang menggunakan UNIX. NFS memungkinkanclient terhubung ke remote server dan me-mount �le system yang ada padaserver ke �le system yang ada pada client seakan �le system tersebut adalahdrive milik client. Bergantung pada akses yang dimilikinya, client dapat memi-liki akses read dan write kepada NFS server.

Langkah-langkah kon�gurasi NFS Server adalah sebagai berikut:

21

1. install nfs-kernel-server

root:~# apt-get install nfs-common nfs-kernel-server

2. meng-kon�gurasi �le /etc/exports

mengatur �le mana yang di-share, untuk siapa saja �le tersebut kita sharedan juga permission yang akan kita berikan.

Berikut ini sebagian dari isi �le /etc/exports

/opt/share 192.168.1.0/24(sync,no_wdelay,subtree_check,rw,root_squash)

192.168.2.0(sync,no_wdelay,subtree_check,rw,root_squash)

3. restart nfs-kernel-server

/etc/init.d/nfs-kernel-server restart

4. sekarang NFS server dapat digunakan

11 LDAP (Lightweight Directory Access Proto-col)

Lightweight Directory Access Protocol (LDAP) adalah protokol aplikasi yangdapat digunakan untuk mengatur dan memodi�kasi layanan direktori yang ber-jalan dalam protokol TCP/IP.

Direktori adalah sekumpulan objek dengan atribut serupa dan diatur dalamurutan logis dan bertingkat. Contoh yang paling mudah adalah direktori teleponyang berisi sekumpulan nama yang diatur secara alfabetis dengan tiap namamemiliki alamat dan nomor telepon. Mengacu pada desain dasar ini, LDAPseringkali digunakan untuk proses autentikasi.

Pohon direktori LDAP dapat mere�eksikan batas-batas organisasi, geogra�s,atau politik bergantung model yang dipilih. Penyebaran LDAP saat ini cen-derung memakai nama Domain Name System (DNS) untuk menempatkan tingkattertinggi dari hirarki. Lebih dalam ke direktori akan muncul entri yang merep-resentasikan manusia, unit organisasi, printer, dokumen, sekelompok orang atauapapun yang merepresentasikan entri tree yang diberikan.

Instalasi

Untuk seting LDAP server, kita memerlukan paket-paket berikut ter-istall:# apt-get install slapd ldap-utils migrationtoolsjawab pertanyaan lalu atur kon�gurasi ulang slapd agar dpkg menanyai kita

bebrapa pertanyaan lagi.#dpkg-recon�gure slapdOmit OpenLDAP server con�guration? ... NoDNS domain name: ... debuntu.local Name of your organization: ... Whatever & Co

22

Admin Password: XXXXXCon�rm Password: XXXXXOK BDBDo you want your database to be removed when slapd is purged? ... NoMove old database? ... YesAllow LDAPv2 Protocol? ... Nosekarang kita telah men-set up domain kita. Start servis LDAP dengan

mengetik:# /etc/init.d/slapd startSetelah itu kita harus menembah user dan grup ke dalam database LDAP

Mengumpulkan database

Dengan menggunakan migration tools kita dapat meng-import semua user dangrup yang ada dari local system ke dalam database LDAP.

#cd /usr/share/migrationtools/Kita harus meng-edit �le kon�gurasi migrationtools migrate_common.ph

mengganti parameter berikut:$DEFAULT_MAIL_DOMAIN = "debuntu.local";$DEFAULT_BASE = "dc=debuntu,dc=local";lalu export nilai berikut:# ./migrate_group.pl /etc/group ~/group.ldif# ./migrate_passwd.pl /etc/passwd ~/passwd.ldifsayangnya, script yang ada tidak membuatkan node Group dan Orang, maka

kita perlu membuatnya. Untuk membuatnya, buatlah �le ~/people_group.ldifdan isi sebagai berikut:

dn: ou=People,dc=debuntu,dc=localou: Peopleobjectclass: organizationalUnitdn: ou=Group,dc=debuntu,dc=localou: Groupobjectclass: organizationalUnitkita telah merubah user dan grup ke dalam format ldif LDAP. Sekarang kita

harus meng-import mereka ke dalam database LDAP.# cd# ldapadd -x -W -D "cn=admin,dc=debuntu,dc=local" -f ~/people_group.ldif

# ldapadd -x -W -D "cn=admin,dc=debuntu,dc=local" -f ~/group.ldif# ldapadd -x -W -D "cn=admin,dc=debuntu,dc=local" -f ~/passwd.ldifdengan:

• -x menunjukkan bahwa kita tidak memakai sasl

23

• -W membutuhkan password

• -D digunakan untuk mengenali administrator

• -f untuk menentukan �le di mana ldapadd menemukan data untuk diambilsekarang, server siap mengidenti�kasi user.

12 IP Alias

IP aliasing adalah suatu metode yang memungkinkan server memberikan lebihdari satu alamat IP bagi suatu interface yang bisa dikenali oleh jaringan luarselain alamat IP asli interface tersebut. IP aliasing berguna dalam hostingsecara virtual Web dan server FTP serta dalam meng-organisasi ulang servertanpa harus merubah kon�gurasi mesin lain (sangat berguna bagi nameserver).Kita bisa memisalkan IP alias sebagai anak kecil yang menumpang ke punggunginterface orang tuanya (yang memiliki alamat utama interface �sik).

Pemberian IP alias kami setting pada �le /etc/network/interfaces dan hasil-nya adalah sebagai berikut:

# This �le describes the network interfaces available on your system# and how to activate them. For more information, see interfaces(5).# The loopback network interface auto lo iface lo inet loopback# The primary network interfaceallow-hotplug eth0#IP Alias untuk eth0auto eth0:0iface eth0:0inet staticaddress 192.168.1.5network 192.168.1.0#IP address eth0auto eth0iface eth0inet staticaddress 10.122.67.110netmask 255.255.255.0network 10.122.67.0broadcast 10.122.67.255gateway 10.122.67.1#IP alias untuk eth2auto eth2:2iface eth2:2inet staticaddress 192.168.2.12#IP address eth2auto eth2iface eth2

24

inet staticaddress 192.168.2.1netmask 255.255.255.0up route add -net 10.10.0.0 netmask 255.255.255.0 gw 192.168.2.2#gateway 192.168.2.1#IP alias untuk eth1auto eth1:1iface eth1:1address 192.168.1.19#IP address eth1auto eth1iface eth1inet staticaddress 192.168.1.1netmask 255.255.255.0up route add -net 10.10.2.0 netmask 255.255.255.0 gw 192.168.1.2up route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.1.2#gateway 192.168.1.0

13 IP Forward

IP Forwarding berguna untuk mem-forward semua request yang ditujukan keurl tertentu untuk diarahkan menuju IP address spesi�k yang sesuai. Misalnya,request ke url www.its.ac.id akan di-redirect ke alamat IP address 202.46.129.23

Secara default, setting IP forward adalah disabled. Hal ini dikarenakansuatu host yang bertindak sebagai client tidak memerlukan IP forward. Na-mun, karena debian Lenny berlaku sebagai router, maka kita perlu meng-enableIP Forward. Untuk meng-enable IP forward, sebelumnya kita perlu mengecekapakah IP forwarding telah enable

cat /proc/sys/net/ipv4/ip_forward 0Jika nilai keluarannya adalah 0, maka hal itu berarti IP forwarding disable.

Untuk meng-enable, kita perlu memodi�kasi �le /etc/sysctl.conf dan menam-bahkan baris berikut:

net.ipv4.ip_forward = 1jika sudah, maka kita tinggal me-restart network kita dengan me-restart

servis procps/etc/init.d/procps.sh restart

25

14 MRTG (Multi Router Tra�c Grapher) danCACTI

MRTG (Multi Router Tra�c Grapher)

adalah suatu tool untuk me-monitor beban tra�c pada suatu link dalam jaringan.MRTG meng-generate suatu halaman HTML yang berisi gambar dalam format�le PNG yang menggambarkan representasi secara Visual dari tra�c yang adadalam suatu link. Setting dan kon�gurasi MRTG cukup mudah dilakukan. Yangharus kita lakukan adalah:

1. Install package MRTG

2. Membuat/memodi�kasi �le kon�gurasi

3. Membuat halaman web untuk tampilan MRTG

Berikut ini adalah tahap-tahap yang kami lakukan dalam proses instalasi dansetting MRTG.

1. meng-install apache apt-get install apache

2. install MRTG

root:~#apt-get install mrtg

3. membuat �le kon�gurasi /etc/mrtg.cfg

# Global Settings

RunAsDaemon: yes

EnableIPv6: no

WorkDir: /var/www/mrtg

Options[_]: bits,growright

# Targets

Target[10.10.2.0]: -/10.10.2.0:[email protected]

MaxBytes[10.10.20.0]: 1250000

Title[10.10.2.0]: Win Server ke Free BSD - 10.10.2.0

PageTop[10.10.2.0]: <h1> Win Server ke Free BSD - 10.10.2.0</h1>

Unscaled[10.10.2.0]: ymwd

Target[192.168.0.1]: -/192.168.0.1:[email protected]

MaxBytes[192.168.0.1]: 1250000

Title[192.168.0.1]: Win Server ke Solaris - 192.168.0.1

PageTop[192.168.0.1]: <h1> Win Server ke Solaris - 192.168.0.1</h1>

Unscaled[192.168.0.1]: ymwd

26

Target[10.10.0.1]: /10.10.0.1:[email protected]

MaxBytes[10.10.0.1]: 1250000

Title[10.10.0.1]: Suse ke Fedora - 10.10.0.1

PageTop[10.10.0.1]: <h1> Suse ke Fedora - 10.10.0.1</h1>

Unscaled[10.10.0.1]: ymwd

4. membuat halaman web untuk tampilan dengan indexmaker

edit �le /var/www/mrtg/newindex.sh dan tambahkan baris perintah berikut

indexmaker /etc/mrtg.cfg �output /var/www/mrtg/index.html

agar �le yang baru kita buat dapat di-eksekusi, maka ketikkan perintahberikut pada konsol

chmod 770 /var/www/mrtg/newindex.sh

5. sekarang servis MRTG bisa kita pakai

CACTI

CACTI merupakan software monitoring tra�c pada jaringan yang meman-faatkan RRDtool sebagai software graphing/perekam tra�c dan menyajikannyadalam bentuk gra�s. Berikut adalah proses instalasi dan kon�gurasi CACTI

1. Install cacti

root:~# apt-get install cacti

2. Kon�gurasi cacti pada saat proses instalasi, akan diminta untuk meng-kon�gurasi setting MySql dengan wizard. Di akhir proses, sebuah databaseMySql dan cacti yang telah memiliki username akan dibuat secara otoma-tis.

3. Diminta untuk memberi Password user root MySql

4. Lalu, akan diminta memberi Password user MySql Cacti yang baru

5. Kon�rmasi password user MySql Cacti

6. Diminta memilih web server yang akan digunakan oleh Cacti. Pilih apache2

Sekarang Cacti sudah siap digunakan lewat http://localhost/cacti. login defaultdan passwordnya adalah admin. Perhatikan bahwa script poller.php yang men-girim request ke host dikeluarkan oleh user apache2. Untuk mengkon�gurasiulang Cacti, gunakan perintah berikut:

#dpkg-recon�gure cacti Untuk mengaktifkan poller secara manual:

#/usr/share/cacti/site/php5 poller.php kita perlu mengaktifkan pollerpertama kali, lalu akan berjalan secara otomatis setiap 5 menit.

27

15 VOIP (Voice Over Internet Protocol) Server

Voice Over Internet Protocol (VoiP) adalah prinsip yang dikembangkan untuktransmisi suara antara dua device melalui protokol internet.

Server Voip bisa menggunakan software TrixBox. TrixBox yang juga dike-nal dengan 'Asterisk@home' adalah bagian dari distribusi Centos UNIX yangmenyediakan paket opensource untuk internet telephony yang bebasis VoiceOver-IP Asterisk yang terkenal.

Protokol yang digunakan dalam hal ini adalah SIP untuk pen-sinyalan danRTP untuk transmisi suara. Session Initialitation Protocol (SIP) digunakanuntuk mengontrol session multimedia seperti suara atau video call. SedangkanReal-Time Transport Protocol (RTP) digunakan untuk transmisi data multi-media.

16 XDMCP

X Display Manager Control Protocol (XDMCP) menyediakan suatu metodebagi user pada client untuk menjalankan X Display dan berkomunikasi denganserver yang juga menjalankan X Display. Ketika Koneksi telah terjadi, userdapat masuk dan menjalankan program seperti halnya user sedang menjalankanremote pada komputer server.

Station di mana user me-remote server biasa disebut dengan X terminalyang sebenarnya merupakan jendela menuju server. Semua software terletakpada server, semua pemrosesan dilakukan pada CPU server, dan semua �leyang diakses juga terletak pada server. sehingga, X Terminal hampir tidakmemerlukan sumber daya dari dirinya sendiri. Sebaliknya, CPU server haruslahsangat stabil.

Kon�gurasi Dasar

XDMCPmerupakan protokol komunikasi yang sangat bermanfaat untuk menghe-mat sumber daya akan tetapi seperti halnya ftp, protokol ini tidak aman dari ke-mungkinan gangguan hacker. Sangat mudah bagi hacker untuk mengendap ma-suk dan mengambil informasi username dan password yang dilayangkan melaluikoneksi tanpa enkripsi. XDMCP mestinya hanya dijalankan pada jaringan yangterpercaya. Server XDMCP harus menjalankan X Display Manager seperti xdm,kde atau gdm.

Pada dasarnya, jika server telah masuk ke login screen gra�s, maka servertelah menjalankan display manager. Pada server debian lenny yang kami pakaimenggunakan display manager GNOME atau gdm. Untuk mengkon�gurasimesin sebagai XDMCP server, kami mengkon�gurasinya saat booting. Halini kami lakukan dengan memodi�kasi �le /etc/inittab. Hasilnya akan menun-jukkan baris berikut:

id:5:initdefault:lalu ketikkan perintah telinit 5 untuk masuk ke login gra�s.

28

Kita tak perlu tergesa-gesa meng-kon�grasi X terminal. Kita perlu mengecekapakah kon�gurasi XDMCP telah di-enable dan dikon�gurasi untuk layananfonts serta tidak ada �rewall yang menghalangi. Jika semua telah kita cek,maka XDMCP server mestinya dapat berjalan dengan baik.

Kita juga perlu memodi�kasi �le /etc/gdm/gdm.conf dan mengesetEnable=trueAgar X Terminal dapat mengakses servis yang diberikan XDMCP server, X

Terminal harus menjalankan OS yang memiliki kon�gurasi X server. Windowsdapat menggunakan Xming untuk mengakses XDMCP yang diberikan server.

17 Quagga

Quagga adalah sebuah software aplikasi untuk routing protokol.Quagga tersusun atas bebrapa daemon. Satu untuk tiap protokol routing

dan yang lain disebut Zebra yang berlaku sebagai kernel routing manager. Tiapdaemon memiliki kon�gurasi dan terminal interface masing-masing yang bisadiakses melalui telnet. Quagga bekerja secara terpisah dari Operating Sistemdi mana Quagga di-install.

Harus ditekankan bahwa Quagga hanya memiliki kemampuan routing danfungsi yang berhubungan dengannya, seperti route maps dan access list. Quaggatidak menyediakan servis non-routing seperti DHCP server, NFS server atauakses ssh.

18 SSH (Secure Shell)

Menurut RFC (Request For Comment), pengertian dari Secure Shell (SSH):Secure Shell adalah program yang melakukan loging terhadap komputer lain

dalam jaringan, mengeksekusi perintah lewat mesin secara remote, dan me-mindahkan �le dari satu mesin ke mesin lainnya.

Algoritma enkripsi yang didukung oleh SSH di antaranya BlowFish (BRUCESCHNEIER), Triple DES (Pengembangan dari DES oleh IBM), IDEA (The In-ternational Data Encryption Algorithm), dan RSA (The Rivest-Shamir-Adelman).Dengan berbagai metode enkripsi yang didukung oleh SSH, Anda dapat meng-gantinya secara cepat jika salah satu algoritma yang Anda terapkan mengalamigangguan.

Instalasi SSH

Beberapa paket program utama yang dijadikan satu paket dalam SSH suiteadalah :

1. make-ssh-known-host Skrip Perl yang membuat database dari host-hostyang otomatis dibuat berdasarkan domain.

29

2. scp The Secure Shell Copy Program, mengamankan penggAndaan datadari satu komputer ke komputer lainnya. Data ditransfer dalam bentukenkripsi oleh SSH.

3. ssh The Secure shell client, program yang bekerja seperti telnet. Perintahdapat Anda jalankan secara remote sebagaimana telnet bekerja.

4. ssh-add Menambahkan kunci (key) baru terhadap autentikasi ssh-agent

5. ssh-agent Digunakan untuk autentikasi lewat jaringan dengan model RSA.

6. sshd Secure shell server, secara default bekerja pada port 22.

7. ssh-keygen Program pembuat kunci (key generator) untuk ssh.

Selesai proses instalasi, Anda dapat mulai mengedit �le kon�gurasi untuk SSH:

• /etc/sshd_con�g (File kon�gurasi server)

• /etc/ssh_con�g (File kon�gurasi klien)

Kon�gurasi Server

setelah di-edit, �le /etc/sshd_con�g akan tampak sebagai berikut :# Package generated con�guration �le# See the sshd(8) manpage for details# What ports, IPs and protocols we listen for Port 22# Use these options to restrict which interfaces/protocols sshd will bind to#ListenAddress ::#ListenAddress 0.0.0.0 Protocol 2# HostKeys for protocol version 2HostKey /etc/ssh/ssh_host_rsa_keyHostKey /etc/ssh/ssh_host_dsa_key#Privilege Separation is turned on for securityUsePrivilegeSeparation yes# Lifetime and size of ephemeral version 1 server keyKeyRegenerationInterval 3600ServerKeyBits 768# Logging SyslogFacility AUTH LogLevel INFO# Authentication:LoginGraceTime 120PermitRootLogin yesStrictModes yesRSAAuthentication yesPubkeyAuthentication yes# AuthorizedKeysFile %h/.ssh/authorized_keys# Don't read the user's ~/.rhosts and ~/.shosts �les

30

IgnoreRhosts yes# For this to work you will also need host keys in /etc/ssh_known_hostsRhostsRSAAuthentication no# similar for protocol version 2 HostbasedAuthentication no# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAu-

thentication# IgnoreUserKnownHosts yes# To enable empty passwords, change to yes (NOT RECOMMENDED)PermitEmptyPasswords no# Change to yes to enable challenge-response passwords (beware issues with# some PAM modules and threads)ChallengeResponseAuthentication no# Change to no to disable tunnelled clear text passwords# PasswordAuthentication yes# Kerberos options# KerberosAuthentication no# KerberosGetAFSToken no# KerberosOrLocalPasswd yes# KerberosTicketCleanup yes# GSSAPI options# GSSAPIAuthentication no# GSSAPICleanupCredentials yesX11Forwarding yesX11DisplayO�set 10PrintMotd noPrintLastLog yesTCPKeepAlive yes# UseLogin no# MaxStartups 10:30:60# Banner /etc/issue.net# Allow client to pass locale environment variablesAcceptEnv LANG LC_*Subsystem sftp /usr/lib/openssh/sftp-serverUsePAM yes

Untuk menjalankan sshd, cukup ketikkan sshd pada konsole.# sshdAda beberapa pilihan dalam menjalankan sshd. Pilihan ini diketikkan seba-

gai pre�ks saat menjalankan sshd. Misal :# sshd -g 60 (menjalankan sshd dengan timeout untuk klien 60 detik)

Kon�gurasi Klien

Untuk klien, ssh mempergunakan �le /etc/ssh_con�g. Setelah di-edit, �le terse-but berisi :

# This is the ssh client system-wide con�guration �le. See

31

# ssh_con�g(5) for more information. This �le provides defaults for# users, and the values can be changed in per-user con�guration �les# or on the command line.# Con�guration data is parsed as follows:# 1. command line options# 2. user-speci�c �le# 3. system-wide �le# Any con�guration value is only changed the �rst time it is set.# Thus, host-speci�c de�nitions should be at the beginning of the# con�guration �le, and defaults at the end.# Site-wide defaults for some commonly used options. For a comprehensive# list of available options, their meanings and defaults, please see the# ssh_con�g(5) man page. Host *# ForwardAgent no# ForwardX11 no # ForwardX11Trusted yes# RhostsRSAAuthentication no # RSAAuthentication yes# PasswordAuthentication yes # HostbasedAuthentication no# GSSAPIAuthentication no # GSSAPIDelegateCredentials no# GSSAPIKeyExchange no# GSSAPITrustDNS no#BatchMode no# CheckHostIP yes# AddressFamily any# ConnectTimeout 0# StrictHostKeyChecking ask# IdentityFile ~/.ssh/identity# IdentityFile ~/.ssh/id_rsa# IdentityFile ~/.ssh/id_dsa# Port 22# Protocol 2,1# Cipher 3des#Ciphers#aes128-cbc,3des-cbc,blow�sh-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc

# MACs hmac-md5,hmac-sha1,[email protected],hmac-ripemd160# EscapeChar ~# Tunnel no# TunnelDevice any:any# PermitLocalCommand noSendEnv LANG LC_*HashKnownHosts yesGSSAPIAuthentication yesGSSAPIDelegateCredentials no

32

Dedication

Tulisan ini merupakan hasil dari praktek langsung membuat jaringan komputer(LAN) yang dijalani oleh penulis selama satu minggu penuh. Dilaksanakanpada saat liburan semester Gasal 2007/2008, tepatnya tanggal 20-26 Januari2008 silam. Praktek yang dijalani penulis bersama 5 orang rekannya tersebutmerupakan salah satu dari sekian rangkaian seleksi untuk menjadi warga labB201 (Lab Komputer dan Digital) di Jurusan Teknik Elektro ITS Surabaya.

Saat itu, penulis dan rekan-rekannya diminta untuk membangun sebuahjaringan yang terdiri dari 6 buah PC dengan Operating System (OS) yangberbeda-beda untuk tiap PC. Tiap orang dalam grup tersebut bertanggungjawab terhadap satu buah PC berikut OS-nya. OS yang dipakai di antaranya:Debian Lenny, Windows Server 2003, Open Solaris, Free BSD, Open SuSe, danyang terakhir adalah Fedora.

Selain meng-kon�gurasi jaringan, tiap PC dengan OS-nya yang 'unik' harusdapat memberikan servis aplikasi-aplikasi yang telah ditentukan oleh 'senior'.Penulis sendiri mendapatkan 'jatah' OS Debian Lenny dengan 18 aplikasi yang'kudu' diberikannya. Aplikasi yang diberikan Lenny bisa dibilang paling banyakdan juga paling sulit. Maklum, Debian Lenny bertindak sebagai server dalamjaringan yang dibuat.

Meski di akhir praktek tidak semua servis mampu diselesaikan oleh penulis,tapi penulis coba mencari-cari lagi metode penyelesaian yang tepat dari internetdan belajar dari rekan yang lain. Kalaupun tidak ketemu caranya, penulis cobamemberikan gambaran seperti apakah aplikasi yang dimaksud.

Penulis berharap ilmu yang didapat dari pengalamannya selama mengkon�g-urasi jaringan bersama rekan-rekannya ini akan dapat bermanfaat bagi merekayang ingin belajar meng-administrasi jaringan LAN dengan server berbasis De-bian Lenny.

Surabaya, Maret 2008

ttd

Penulis

33