Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)

Tue, 19 Sep 2006 03:07:32 -0700 

Rist. Andy Nugroho wrote:

----- Original Message -----
From: "Hari Hendaryanto" <[EMAIL PROTECTED]>
To: <tanya-jawab@linux.or.id>
Sent: Tuesday, September 19, 2006 4:25 PM
Subject: Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)




Bambang Sumitra wrote:


++ "proteksi hanya IP tertentu saja yg bisa akses"
pendekatan saya hanya IP atau range IP address tertentu saja yg saya
daftarkan yg bisa akses, bukan sebaliknya.
memang betul mas, dgn userid dan password sebenarnya sudah cukup
membatasi,
tapi saya merasa kurang untuk beberapa aplikasi yg memang sifatnya
tertutup
dan kritikal sekali.
untuk hal seperti ini he he ... set paranoid mode=On


kalau menurut saya tetap ada kelemahannya, misalnya IP yang boleh adalah
192.168.2.1 ( punyanya hamid) dan IP 192.168.2.2 ( punyanya anton) tidak
boleh akses, kalau komputer dengan IP 192.168.2.1 lagi off dan anton
dengan IP 192.168.2.2 mengganti IP menjadi 192.168.2.1, bukankah si
anton ini tetep bisa akses.
kecuali kalau emang user tidak bisa ganti IP sendiri atau tidak tahu
cara ganti IP.
atau kecuali jika anda set di iptables dengan filter mac address, tapi
saya pun tak tahu gimana caranya :) ,cuman pernah lihat aja di milis


ini.


semoga membantu,
Bambang



filter mac address juga gak bisa mustinya.karena mac juga bisa dengan
mudahnya di ubah sama mudahnya seperti ganti ip address.

http://www.tech-faq.com/change-mac-address.shtml

kecuali si user/client gak punya akses root/administrator di pc nya.




++ ... dari masukan Om Bambang, Om Ronny dan Om Hari jadi tambah ngeh,
berarti proteksi satu-satunya yg tertinggal cuma login page aja dong kalo
"yg laen bisa dimainin" :(

saat ini saya emang naruhnya baru di localnetwork, rencananya mau ditaruh di
server beneran di internet
rencananya yang boleh akses hanya dari kantor2 cabang tertentu yg notebene
punya range ip address tertentu
rencana saya hanya dari ip address kantor2 cabang tersebut sajalah web yg
saya bikin ini nanti boleh&bisa diakses
apa solusi proteksi yg saya rencanakan ini tetep saja kurang bermanfaat ?

rekan2 ada usulan buat nambah proteksi biar pelindung engga cuma login page
doang ?

makasih banyak :)

salam,
-rianu-



selain pakai login page(+ssl)
kalau cabang2nya pake ip public static sih bisa bikin acl sederhana pakai iptables. 

contoh aja:
di server web nya

iptables -N WEB_ACCESS
iptables -A WEB_ACCESS -s ip_cabang_1 -j RETURN
iptables -A WEB_ACCESS -s ip_cabang_2 -j RETURN
iptables -A WEB_ACCESS -s ip_cabang_3 -j RETURN
......cabang2 lain.....
......cabang2 lain.....
iptables -A WEB_ACCESS -j DROP

iptables -A INPUT -p tcp -m tcp --dport 80 -j WEB_ACCESS
iptables -A INPUT -p tcp -m tcp --dport 443 -j WEB_ACCESS

kalo ada request ke port 80/443 selain dari ip2 cabang di DROP.

kalo ip2 cabangnya dynamic/dhcp entahlah...

CMIIW


regards


PT.CITRA SARI MAKMUR
SATELLITE & TERRESTRIAL NETWORK

Connecting the distance - anytime, anywhere, any content

--
FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab
Unsubscribe: kirim email ke [EMAIL PROTECTED]
Arsip dan info milis selengkapnya di http://linux.or.id/milis

Kirim email ke