Endian merilis versi final 2.2 Endian Firewall Community

Kabar gembira bagi rekan-rekan penguna endian firewall versi community. Saya baru melihat di situs resminya, pada tanggal 28 Mei 2009, Endian akhirnya mengeluarkan rilis Final versi 2.2 Endian Firewall Communitiy. Banyak perbaikan bug dari versi rilis kandidatnya. File isonya bisa didownload di sini.

Untuk melakukan upgrade dari versi lama Anda harus mendaftarkan diri ke link ini. Kemudian kita diminta untuk konfirmasi, pastikan email yang dimasukkan valid. Dan kita akan diberikan instruksi langkah-langkahnya. Berikut langkah yang dianjurkan oleh Endian :

Now follow these 5 steps to keep your Endian Firewall Community up to date:

1. Enable SSH access on your firewall
2. Open your favorite SSH terminal and connect to the firewall (On Windows you may use putty)
3. If your Endian Firewall Community is older than version 2.2 please run

   root@efw-2:~ # rpm -ivh http://updates.endian.org/upgrade.rpm

4. Run the efw-upgrade script
   

   root@efw-2:~ # efw-upgrade
   Please choose the appropriate channel for your environment and hit [ENTER]:
   1) Production (stable releases)
   2) Development (bleeding edge)
   1
   Please enter your username and hit [ENTER]:
   email_anda@domain.com

Fitur-fitur baru ditambahkan :

• Multi-WAN with Failover

Support for multiple Uplinks/WANs

Automatic WAN Uplink Failover

Monitoring of WAN Uplinks

• Network Address Translation (NAT)

Source NAT (SNAT)

• Network Security

DNS Proxy/Routing

• Virtual Private Networks (VPN)

Support for VPN over HTTPS Proxy (OpenVPN)

X.509 and 2 factor based authentication

Pushing of DNS settings and Routes to clients (OpenVPN)

Automatic connection failover (OpenVPN)

• Logging/Reporting

Rule-based logging settings (Firewall Rules)

Selamat Mencoba!!!

Plugin-plugin Cacti

Kelebihan lain dari cacti adalah adanya plugin-plugin yang disediakan oleh komunitas yang cukup luas dari cactiusers.org.

Berikut list plugin cacti yang tersedia:

• Boost : Untuk meningkatkan performance Cacti
• Clog : Untuk menambah tab untuk melihat log Cacti
• Discovery : auto discovery untuk mendeteksi snmp dari perangkat pada jaringan komputer diluar subnet yang ada.
• Docs : Untuk membuat dokumen-2 di dalam Cacti
• Flowviewer : Viewer untuk melihat aliran data yang dicapture oleh netflow pada router cisco.
• Host Info : Menampilkan informasi tentang versi server Cacti
• Login Mod : Untuk mengubah tampilan halaman login Cacti
• Mac Track : melacak MAC Address dan Port pada perangkat yang mengaktifkan snmp
• Monitor : memonitor kondisi up/down dari perangkat yang dimonitor, juga disertai alert suara.
• Ntop : menampilkan aplikasi Ntop pada tab Cacti
• Realtime : Menampilkan grafik cacti secara realtime setiap 5 detik.
• Router Configs : Membackup dan menampilkan konfigurasi router
• Settings : Seting dan konfigurasi Cacti
• SSL : mengakses cacti dengan SSL
• Syslog : Menampilkan syslog database Cacti
• Thold : Menampilkan up down dari host
• Tools : Tool untuk mengecek service HTTP FTP POP3 dan SMTP
• Update : Menampilkan semua plugin yang terinstall dan untuk cek update terbaru

Endian Firewall 2.2 RC3 telah dirilis

Akhirnya pada tanggal 7 Oktober Endian Firewall merilis EFW versi 2.2 RC3, namun pada tanggal 7 dan 8, file isonya tidak bisa didownload, kelihatannya terjadi salah link, seharusnya ke sourceforge.net. Pada hari ini, baru bisa didownload, silakan download di link ini.

Menggunakan poller cactid atau spine pada Cacti di Linux

Spine, atau biasa disebut Cactid, merupakan poller alternatif untuk Cacti, selain cmd.php yang merupakan poller default dari cacti. Bedanya adalah dengan spine, polling data menjadi lebih cepat. Poller ini ditulis dengan bahasa C, dan ditautkan secara langsung ke library net-snmp, sehingga meminimalkan waktu polling data.

Perlukan kita menggunakan Spine?

Poller cmd.php digunakan dengan waktu runtime terbatas, sebesar 300 detik(5 menit). Jika waktu polling yang ada melebihi waktu ini maka kita perlu mempertimbangkan menggunakan spine/cactid. Namun sebelumnya coba tuning dengan menaikkan nilai pada parameter "Maximum Concurrent Poller Processes"(ada di tab Poller), sebelum beralih ke spine.

Untuk menentukan selama berapa lama cmd.php melakukan polling, jalankan perintah berikut di dalam direktori cacti(jangan lupa parameter Maximum Concurrent Poller Processes diset 1):

Contoh diatas menunjukkan cmd.php membutuhkan waktu 63.36 detik untuk menjalankan 1 proses polling.

Sekarang saatnya kita melakukan instalasi dan kompilasi program spine di Linux.
Syarat wajib untuk menginstall spine, harus ada :

• net-snmp-devel
• mysql
• mysql-devel
• openssl-devel

Langkah-langkah kompilasi dan setup :
1. Download cacti-spine-xxx.tar.gz dari sini.
2. Buka kompresi.

# tar -xvzf cacti-spine-xxx.tar.gz

3. Masuk ke direktori cacti-spine. Lakukan sbb :
#./configure
#make
4. Program spine dan file konfigurasinya akan terinstall secara default di /usr/local/spine/
5. Edit file spine.conf di /usr/local/spine/etc :

DB_Host localhost
DB_Database cacti
DB_User cactiuser
DB_Pass password_kamu
DB_Port 3306

Untuk menggunakan spine hanya 2 parameter yang harus diisi dan dipilih

Ini adalah path dari program spine, diakses pada Configuration --> Settings --> Paths

Rubah Poller Type menjadi spine. diakses melalui Configuration --> Settings --> Poller

Menampilkan grafik cacti agar mudah dibaca dan enak dilihat

Untuk menampilkan penggunaan bandwidth pada cacti kita harus login(jika ada authentikasi), baru kita dapat gambar grafiknya dari cacti. Kita mesti masuk ke Graph Management dan masuk ke bagian yang mau kita lihat seperti berikut :


Untuk membuat tampilan lebih baik kita buat skrip dari php, untuk menampilkan grafik agar lebih enak dilihat. Walaupun simpel, tampilan halaman depannya adalah sbb :

Jadi jika kita memiliki link WAN yang cukup banyak dan ada link ke Internet yang terpusat, Sebagai contoh kita bagi per Area. Jadi indexa.php untuk Java & Bali Area, indexab.php, untuk Sumatera Area, indexc.php untuk Kalimantan Area, indexb.php untuk Sulawesi Area dan indexi.php untuk Backbone Internet dan seterusnya.
Contoh skripnya sbb :

index.php(halaman depan dari tampilan mrtg kita) :


header.inc.php(menu dibagian atas secara horisontal):


indexi.php(link untuk Backbone Internet) :
misalnya, indexi. php untuk link internet


Untuk index yang lainnya bisa mengkopi dari indexi.php diatas, tinggal dimodifikasi saja sesuai keinginan kita.

Semua skrip php ditaruh di direktori mrtg. Karena saya pakai Centos, saya taruh di /var/www/html/mrtg. Jadi jika kita mau akses tinggal arahkan web browser ke http://ip_server_cacti/mrtg/index.php

Tampilan menjadi sbb :.

Membangun Cacti(Network Monitoring) di Linux Part 5

Agar grafis bisa periodik ditampilkan maka perlu dibuat cron(sebagai task scheduler).

Login sebagai cactiuser.

#su cactiuser
$ crontab -e

lalu masukkan baris berikut

*/5 * * * * php /var/www/html/cacti/poller.php > /dev/null 2>&1
*/3 * * * * sh /var/www/html/cacti/copymon > /dev/null 2>&1

keterangan :
baris pertama, setiap 5 menit poller.php, ini untuk generate grafik.
baris kedua, setiap 3 menit akan mengkopi dari direktori montemp ke mon.

Alasan saya membuat 2 direktori, mon dan montemp : montemp menyimpan hasil generate poller, dan mon untuk menyimpan hasil yang dibaca oleh skrip di direktori mrtg.
Direktori mrtg : grafis akan ditampilkan di sini, digunakan untuk memantau network dengan tampilan yang lebih baik dan terstruktur.

copymon adalah skrip sederhana yang saya buat sendiri, isinya sbb :

#!/bin/sh
cp -pr /var/www/html/montemp/* /var/www/html/mon

Membangun Cacti(Network Monitoring) di Linux Part 4

Kita perlu membuat beberapa konfigurasi untuk Cacti, secara umum semuanya ada pada bagian Configuration --> Settings.

Berikut konfigurasi minimal yang harus kita seting di cacti :

Tab General :
Yang perlu diperhatikan adalah pada SNMP Utility Version, RRDTool Utility Version, SNMP Version, SNMP Communitiy, SNMP Timeout, dan SNMP Port Number.

Tab Paths :
Path disini hanya menunjukkan letak dari program seperti : utiliti snmp, rrdtool, php, log dan spine.

Tab Poller :
Yang perlu diperhatikan "poller type" dan "maximum concurrent poller process".
poller type : cmd.php atau spine
maximum concurent poller process : jumlah proses poller dalam satu saat.

Tab Graph Export :
Yang perlu diperhatikan export method, export directory dan export timing.
export method, pilih Clasic(local path) untuk menyimpan grafis yang dihasilkan.
export directory : direktori kita meletakkan file-file hasil generate dari cacti
export timing : waktu default setiap x menit, defaultnya 5 menit sekali(300s)
Tab Visual :
Berisi konfigurasi ukuran font, jumlah baris per halaman dari device, graph management.

Membangun Cacti(Network Monitoring) di Linux Part 3

Konfigurasi setelah instalasi cacti, dilakukan via web browser.
Saya menggunakan cacti versi 0.8.7b. Jadi langkah-langkahnya sbb :

1. Point web browser ke http://ip_server_cacti/cacti/
2. Klik Next

3. Pilih New Install(untuk instalasi baru), dan klik Next.

4. Cek semua konfigurasi, jika OK biasanya semuanya ada tanda OK:File FOUND

5. Klik Finish.

Membangun Cacti(Network Monitoring) di Linux Part 2

Ekstrak tarball ke direktori /var/www/html.

#tar xzvf cacti-xxxxxx.tar.gz

Akan terbentuk direktori cacti-xxxxxx, rubah menjadi cacti saja biar simpel.

#mv cacti-version cacti

Buat database cacti:

#mysqladmin -u root -p create cacti

Impor skrip untuk membuat tabel database cacti:

#mysql -u root -p cacti <>

Buat user lokal di sistem linux :

#useradd cactiuser

Buat username dan password untuk database Cacti.

#mysql -u root -p mysql
mysql> GRANT ALL ON cacti.* TO cactiuser@localhost IDENTIFIED BY 'password_kamu';
mysql> flush privileges;

Edit include/config.php dan tentukan jenis database, nama database, host, user dan password yang sebelumnya sudah dibuat.

$database_type = "mysql";
$database_default = "cacti";
$database_hostname = "localhost";
$database_username = "cactiuser";
$database_password = "password_kamu";

Set permisi dari direktori cacti dengan user yang kita buat sebelumnya, misal : cactiuser. Masuk ke direktori /var/www/html

#chown -R cactiuser:cactiuser cacti
       

Arahkan web browser ke : http://ip_address_server/cacti/

Login dengan username/password : admin. Dengan segera kita diminta ganti password baru.

Membangun Cacti(Network Monitoring) di Linux Part 1

Untuk membangun Cacti di Linux sebenarnya sama dengan di versi Windows, cuma bedanya hanya pada paket AMP(Apache, MySQL dan PHP) dan beberapa paket software yang dibutuhkan. Biasanya paket ini sudah terinstall secara default di hampir semua distribusi Linux yang ada. Pada tutorial kali ini saya menggunakan Distro Linux Centos 5.1 dari Distro Elastix 0.9.2-4. Pada distro ini sudah terinstall paket Apache versi 2.2.3, Mysql 5.0.22 dan PHP 5.1.6

Cacti sendiri mensyaratkan paket sbb:

• Apache
• PHP
• MySQL
• php-mysql
• php-snmp
• php-gd
• net-snmp

Secara default di Elastix 0.9.2-4 tidak ada rrdtool dan karena kita juga butuh snmpwalk, snmpget, snmpbulkwalk dan snmpgetnext, oleh karena itu kita perlu install net-snmp-utils.

#yum install net-snmp-utils

Ada kendala untuk install rrdtool dengan menggunakan yum, yum repository yang ada tidak mengakomodir rrdtool, oleh karena itu kita perlu menambahkan yum repositori dari dag.wieers.com. Saya menggunakan yum untuk installasinya, syaratnya server kita terkoneksi ke internet.

Saya men-download rpmforge-release-0.3.6-1.el5.rf.i386.rpm dari sini.

# wget http://dag.wieers.com/rpm/packages/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.i386.rpm

Dan lakukan :

#rpm -ivh rpmforge-release-0.3.6-1.el5.rf.i386.rpm

Maka akan terbentuk file rpmforge.repo di dalam direktori /etc/yum.repos.d/, yang isinya sbb :

# Name: RPMforge RPM Repository for Red Hat Enterprise 5 - dag
# URL: http://rpmforge.net/
[rpmforge]
name = Red Hat Enterprise $releasever - RPMforge.net - dag
#baseurl = http://apt.sw.be/redhat/el5/en/$basearch/dag
mirrorlist = http://apt.sw.be/redhat/el5/en/mirrors-rpmforge
#mirrorlist = file:///etc/yum.repos.d/mirrors-rpmforge
enabled = 1
protect = 0
gpgkey = file:///etc/pki/rpm-gpg/RPM-GPG-KEY-rpmforge-dag
gpgcheck = 1

Setelah itu lakukan :

#yum install rrdtool

Konfigurasi PHP, Apache dan MySQL
Untuk konfigurasi PHP, di Elastix sudah tidak perlu di otak-atik lagi.

Untuk Apache dengan versi 2, karena menggunakan PHP 5, konfigurasi di file /etc/httpd/conf/httpd.conf, harus ada baris berikut :

# Load config files from the config directory "/etc/httpd/conf.d".
Include conf.d/*.conf

dan

# PHP is an HTML-embedded scripting language which attempts to make it
# easy for developers to write dynamically generated webpages.
LoadModule php5_module modules/libphp5.so
#
# Cause the PHP interpreter to handle files with a .php extension.
AddHandler php5-script .php
AddType text/html .php
#
# Add index.php to the list of files that will be served as directory
# indexes.
DirectoryIndex index.php

Sedang untuk MySQL paling hanya mengganti password root-nya, seperti berikut :

#mysqladmin --user=root password password_kamu
#mysqladmin --user=root --password reload

Endian Firewall 2.2 RC1 dirilis

Kabar gembira, Endian Firewall 2.2 RC1 telah dirilis pada tanggal 23 April 2008. Makin mendekati kenyataan untuk dirilisnya EFW 2.2 secara penuh. Diperkirakan akhir Mei 2008 versi final rilis akan diluncurkan. Banyak bug dan perbaikan dilakukan pada rilis RC1 ini.
Kesuksesan lain dari EFW adalah sudah didownload sebanyak 250.000 kali semenjak diluncurkan dari Mei 2005.

Berikut Highlight dari EFW 2.2 :

- Enhanced management of WAN/RED connections

• Support for multiple uplinks
• Multiple IPs/networks on each WAN/RED interface in STATIC mode
• Uplink monitoring with automatic failover (ISP failover)
• Uplink editor

- Port Forwarding

• Multiple uplink support, allowing different rules per uplink
• Port Forwarding of traffic coming from VPN endpoints
• Option for rule based Logging
• GUI enhancements

- System Access

• External Access has now been enhanced and renamed to System Access
• Fine grained management of permissions regarding access to the system from LAN, WAN, DMZ and VPN endpoints
• Default policy for firewall/system access is now set to DENY
• Firewall services automatically define ports required for their proper function, but access can be restricted
• Support for ICMP protocol
• GUI enhancements

- Outgoing Firewall

• Support for ICMP protocol
• Handling of multiple sources/ports/protocols per Rule
• GUI enhancements

- Zone Firewall

• DMZ Pinholes has been enhanced and renamed to Zone Firewall
• Fine grained filtering of local network traffic
• Rules based on zones, physical interfaces, MAC addresses
• Support for ICMP protocol
• Handling of multiple sources/ports/protocols per rule
• GUI enhancements

- HTTP Proxy

• Time based access control with multiple time intervals
• Group based web access policies
• Major GUI enhancements

- OpenVPN

• X.509 and 2 factor based authentication
• Pushing of DNS settings to clients
• Pushing of global or per client routes
• Support for NATed VPN endpoints
• Support for VPN over HTTP Proxy
• Automatic connection failover
• Every VPN endpoint is resolvable through DNS (vpn..domain)

- Logs

• Every service supports remote logging
• Daily log rotation
• GUI enhancements

- System

• Accelerated and polished boot process
• Firewall logs rule number and target
• Refactoring of service scripts
• Squid 2.6 with major performace improvements
• Updated packages for ClamAV, Amavis, Postrey and much more

Sumber : website http://www.endian.com

Seting Integrasi FreeRadius dan OpenLDAP

Edit file radiusd.conf, pada bagian ldap, isi server dengan ip address server ldap dan basedn dari server ldap.
Contohnya sbb :
ldap {
server = "192.168.1.2"
# identity = "cn=admin,o=My Org,c=UA"
# password = mypass
basedn = "o=ICT Indonesia"

Beri tanda # pada baris berikut :
#access_attr = "dialupAccess"

Pada bagian authorize buka komen dari baris berikut :
ldap

Pada bagian authenticate buka komen dari baris berikut :
Auth-Type LDAP {
ldap
}

Seting konfigurasi diatas adalah jika ldap server kita menggunakan clear text password. Ini berdasar pengalaman saya, sebelumnya saya mencoba menggunakan fitur dialupAccess dan melakukan komen pada Auth-Type LDAP namun gagal, dan selalu muncul error message sbb :
no dialupAccess attribute - access denied by default
Ini saya test dengan utiliti NTRadPing(bisa didownlod di sini), hasilnya :

Setelah saya rubah dengan men-disable DialupAccess dan meng-enable Auth-Type LDAP, koneksi ke LDAP sukses.

Pada mode debug akan terlihat user dan password dari ldap server sbb :

Jangan lupa untuk menyimpan konfigurasi dan restart service radiusd.

Seting koneksi server FreeRadius dengan NAS ISP

Jika kita memiliki langganan dengan VPN ISP, dan kita memiliki sendiri server FreeRadius, maka kita bisa melakukan integrasi dengan NAS ISP tersebut. Jadi mobile user dapat melakukan koneksi ke Jaringan Private LAN kita dengan melakukan koneksi ke VPN ISP.

Agar integrasi antar NAS ISP dan freeradius kita maka perlu dilakukan seting di freradius kita. Untuk setting koneksi dengan NAS(Network Access Server) ISP sangat mudah, kita tinggal edit file clients.conf di direktori /usr/local/etc/raddb, tambahkan baris berikut :

client 192.168.1.2 {
secret = rahasia
shortname = NAS_ISP
}

• 192.168.1.2 = ip dari NAS ISP
• secret = password yang digunakan oleh NAS ISP sebagai enkripsi dan tanda tangan dengan server radius kita
• shortname = alias dari domain atau ip address NAS ISP

Berikut log yang direkam oleh radacct di /usr/local/var/log/radius/radacct :

Thu May 15 14:02:01 2008
NAS-Identifier = "Juniper IVE"
User-Name = "beni.santoso(Users)[Users]"
Acct-Multi-Session-Id = "beni.santoso(Users)"Thu May 15 14:00:23 2008""
Acct-Link-Count = 2
NAS-IP-Address = 192.168.1.2
NAS-Port = 1
Acct-Status-Type = Start
Framed-IP-Address = 125.161.61.139
Acct-Session-Id = "beni.santoso(Users)"Thu May 15 14:00:23 2008"NC"
Acct-Authentic = RADIUS
Client-IP-Address = 192.168.1.2
Acct-Unique-Session-Id = "53a366e82b8aa8c1"
Timestamp = 1210834921

Setup OpenVPN Client di Windows XP

Download file openvpn-x.x.x-install.exe dari website openvpn.

1. Buka windows explorer, pilih file openvpn-x.x.x-install.exe.

2. Klik kanan pada mouse, lalu klik Open.

3. Klik tombol Next >.

4. Klik tombol I Agree.

5. Klik tombol Next >.

6. Klik tombol Install.

7. Tunggu beberapa saat, akan muncul, pop-up window sebagai berikut :

8. Klik tombol Continue Anyway.

9. Klik tombol Next >.

10. Klik tombol Finish.


11. Di tray akan muncul ikon sbb :


12. Untuk konek ke Openvpn server, pertama-tama kopi file client.ovpn dari directory C:\Program Files\OpenVPN\sampel-config\ ke direktori C:\Program Files\OpenVPN\config.


13. Setelah itu klik kanan pada tray ikon OpenVPN GUI, pilih Edit Config.

14. Tambahkan baris berikut :

dev tap(baris ini dibuang tanda ;)
;dev tun(baris ini diberi tanda ;)
remote ip_address_public_efw 1194
ca /path/cacert.pem
;cert client.crt(baris ini diberi tanda ;)
;key client.key(baris ini diberi tanda ;)
auth-user-pass(baris ini disisipkan dibawah baris diatas)

15. Klik Save.


16. Konek ke internet terlebih dahulu, bisa menggunakan dial up, broadband, atau HSDPA 3.5G, dll.


17. Setelah terkoneksi ke internet, klik kanan pada OpenVPN GUI

18. Klik Connect.

19. Isi Username dan Password yang sudah dibuat pada OpenVPN di EFW. Lalu klik OK.

Atau

20. Finish.

Setup OpenVPN Server di Endian Firewall

1. Masuk ke VPN tab.

2. Akan muncul tampilan berikut :

3. Centang OpenVPN Server enabled, Isi IP pool dengan ip address lokal awal dan akhir, Port biarkan sesuai dengan defaultnya yaitu 1194, untuk Protocol biarkan sesuai dengan defaultnya yaitu UDP. Centang pada Block DHCP response coming from tunnel, jika kita ingin mencegah DHCP Server di lokasi remote(jika ada) mempengaruhi lokal ip address di dalam Firewall.

4. Klik tombol Save dan juga tombol Restart, untuk menjalankan service openvpn, CA Certificate akan muncul, fungsi CA certificate adalah untuk otentikasi koneksi dari sisi klien ke openvpn EFW.

5. Klik Download CA Certificate, hasilnya disimpan di lokal harddisk, dan bagikan ke pengguna mobile vpn(dipakai istilah roadwarrior).

6. Klik tombol OK.

7. Klik tombol Save.
8. Klik tombol Add Account, untuk menambah mobile user.

9. Buat user name baru , misal : beni, isi password dan verify password

10. Untuk Remote Network, dipakai hanya untuk koneksi dari jaringan ke jaringan(koneksi Net2Net), centang use this firewall as default gateway, jika ingin menggunakan EFW sebagai internet gateway untuk klien yang terkoneksi ke openvpn. Klik tombol Save.

11. Kita dapat melihat siapa saja mobile user yang tersambung ke openvpn server EFW pada tampilan Connection status and control dibagian paling bawah dari halaman openvpn

Disini kita juga bisa memutus koneksi user dengan menekan tombol kill, atau jika ingin menolak koneksi dari user tsb, bisa menekan tombol ban.

12. Untuk melihat log dari koneksi yang terjadi pada openvpn, masuk ke Logs à Openvpn Log.
13. Berikut log yang dapat kita lihat dari koneksi yang terbentuk.

14. Selamat mencoba!!!