Mengamankan Server Linux atau Windows dengan Dome9 Cloud Security

Menggunakan shared server untuk hosting website sudah bukan jamannya lagi, karena Dedicated Server atau VPS sudah semakin murah dan terjangkau. Ambil contoh layanan di Hetzner, dengan hanya € 3.90 (atau sekitar 60 ribuan rupiah) kita sudah bisa mendapatkan VPS dengan 1 CPU Core, 1 GB RAM, 25 GB SSD, 2 TB trafik. Atau dengan € 26.89 (atau sekitar 400 ribuan rupiah) kita bisa mendapatkan Dedicated Server dengan spesifikasi Intel Core i7-2600, 2×750 GB SATA, 16 GB RAM. Cukup murah bukan?
Akan tetapi mungkin ketakutan akan serangan ke server, menjadi salah satu kendala orang lebih memilih shared server ketimbang VPS/Dedicated Server. Padahal dengan Dome9 Cloud Security, proteksi server jadi lebih mudah dan aman; gratis pula!

Apa Itu Dome9 Cloud Security?

Dome9 adalah sebuah sistem pengelolaan firewall, menghapus kompleksitas menginstal dan mengelola firewall di sebuah server. Dome9 sangat mudah diinstal, bahkan bagi anda yang tidak terlalu ahli mengelola server.

Jadi apa fungsi firewall untuk server? Di semua komputer; baik desktop, laptop dan server; baik Windows, Linux dan Mac; tertanam firewall secara default. Pada komputer desktop atau laptop, firewall berfungsi secara global berfungsi memblokir koneksi internet tertentu. Tetapi pada server, konfigurasi firewall akan menjadi lebih kompleks; mungkin ada sebagian trafik yang ingin anda ijinkan, atau port sebagian anda buka, sebagian lagi ingin anda blokir; atau anda hanya ingin mengijinkan IP tertentu yang mengakses port tertentu, dan konfigurasi kompleks lainnya.

Lihat gambar dibawah ini untuk contoh konfigurasi firewall menggunakan Dome9:

Dome9 Cloud Security

Pada contoh diagram diatas, konfigurasi firewall adalah sebagai berikut:

  • Seluruh trafik port 80 dan 443 (HTTP dan HTTPS) dibuka di server agar semua orang bisa mengakses website kita.
  • Pada port 22 untuk akses SSH, hanya IP tertentu yang bisa mengaksesnya. Contoh kasus pada server-server saya, saya hanya mengijinkan akses port 22 melalui VPN yang sebelumnya sudah saya deploy.
  • Sedangkan untuk port-port selain 80, 443 dan 22; koneksi ditutup.

Dengan Dome9, kita akan dengan mudah mengaplikasikan konfigurasi yang diinginkan dengan mudah ke semua server. Bayangkan jika tanpa Dome9, anda harus melakukan konfigurasi satu persatu setiap menginstal firewall. Buang-buang waktu bukan?

Bagaimana cara Dome9 melakukan pengelolaan firewall di server? Dome9 melakukan pengelolaan firewall menggunakan agent. Kita harus menginstal software agent terlebih dulu di server kita agar Dome9 bisa melakukan pengelolaan. Ikuti langkah-langkah berikut.

Buat Akun di Dome9

Silahkan buat akun terlebih dulu di Dome9. Selama 14 hari setelah pendaftaran, anda akan mendapatkan layanan enterprise, setelah 14 hari jika anda tidak melakukan pembayaran, otomatis akan downgrade ke layanan Dome9 Lite Cloud. Jangan khawatir, dengan layanan Dome9 Lite Cloud yang gratis ini sudah cukup untuk mengelola firewall pada server anda.

Install Dome9 di Server

Setelah berhasil membuat akun, silahkan login. Kemudian pilih menu “Protect”, dan pilih “Install New Agent”. Pilih jenis OS server anda, Windows atau Linux.

Hingga saya menulis blog ini, Dome9 kompatibel dengan OS Server:

  • Windows 2012 | 8
  • Windows 2008 R2 | 7
  • Windows 2008 | Vista
  • Windows 2003 (support terbatas)
  • RHEL: Versi 5,6 and 7 (32/64 bit)
  • CentOS: Versi 5,6 and 7 (32/64 bit)
  • Ubuntu: 9.10 – 14.4 (32/64 bit)
  • Debian: Versi 6,7
  • Amazon Linux AMI (32/64 bit)
  • Untuk distro Linux yang tidak tertulis diatas, anda harus melakukan instalasi tar.gz secara manual.

Sebagai contoh dibawah, saya akan instal agent Dome9 di server Debian. Saya pilih instalasi untuk Linux, pada kolom Security Groups bisa menggunakan konfigurasi default dari Dome9, atau lewati saja dan kita konfigurasi nanti. Kemudian di kolom Server name, isi dengan nama server yang akan kita instal, isi dengan sembarang nama yang diinginkan. Selanjutnya salin perintah pada kolom Please log in to your Linux Server as root and run:. Salin dan jalankan di server anda (ingat anda harus login sebagai root).

Ketika perintah dieksekusi, secara otomatis akan melakukan instalasi agent Dome9. Jika instalasi sukses, maka nama server akan muncul di halaman “Protected Assests”.
Install Dome9 di Server

Membuat Agent Security Groups

Agent Security Groups adalah konfigurasi firewall yang akan kita aplikasikan ke server. Untuk membuat Agent Security Groups, klik ikon + pada halaman Agent Security Groups. Beri nama yang diinginkan.

Seperti gambar diagram diatas sebelumnya, saya hanya akan membuka penuh trafik pada port 80 & 443 (HTTP, HTTPS); membuka akses port 22 (SSH) hanya untuk IP address VPN Server; dan memblokir/menutup port-port lainnya. Jadi konfigurasi saya adalah sebagai berikut:

Membuat Agent Security Groups

NOTE: Pada konfigurasi diatas, saya menambahkan policy spesial, agar Cloudflare bisa mengakses website kita. Untuk itu di kolom IP Whitelist, saya tambahkan policy MagicIP Cloudflare yang sudah tersedia. Jika anda tidak menggunakan Cloudflare, bisa dihapus policy ini.

Mengapilasikan Agent Security Groups ke Server

Pilih menu “Network Security” -> “Protected Assets”. Kemudian pilih server yang ingin kita aplikasikan policy yang sudah kita buat sebelumnya. Selanjutnya klik tombol “+ ATTACH” dan pilih nama Agent Security Groups, dan klik “ATTACH” (lihat gambar dibawah). Dan secara otomatis agent Dome9 akan mengaplikasikan policy di server kita.

NOTE: Jika ada 2 policy, anda bisa menghapus salah satu policy, agar tidak timpang tindih. Tetapi anda tidak bisa menghapus semua policy, minimal harus ada satu policy yang di attach.

Mengapilasikan Agent Security Groups ke Server

Dan selesai sudah kita menginstal “satpam” pada server kita :). Jika ada usaha serangan ke server kita (misal SSH Brute Force Attack), otomatis Dome9 akan melakukan block atau reject. Log aktivitas Dome9 dapat dilihat di syslog, atau anda bisa memonitor & membaca file syslog dengan mudah menggunakan log management seperti Papertrail, yang akan saya ulas di tulisan yang akan datang.

Leave a Reply

Your email address will not be published. Required fields are marked *