Difference between revisions of "UEC: Security"

From OnnoWiki
Jump to navigation Jump to search
(New page: Eucalyptus provides ingress filtering for the instances based on the concept of security groups. A Security Group is a named set of rules that Eucalyptus applies to the incoming packets fo...)
 
 
(3 intermediate revisions by the same user not shown)
Line 1: Line 1:
Eucalyptus provides ingress filtering for the instances based on the concept of security groups. A Security Group is a named set of rules that Eucalyptus applies to the incoming packets for the instances in Managed and Managed-NOVLAN modes. You can specify a security group while launching an instance. Each security group can have multiple rules associated with it. Each rule specifies the source IP/network, protocol type, destination ports etc. Any packet matching these parameters specified in a rule is allowed in. Rest of the packets are blocked.
+
Eucalyptus memberikan ingress filtering untuk instance berbasis pada konsep security group. Sebuah Security Group adalah sekumpulan aturan yang dijalankan oleh Eucalyptus terhadap paket yang masuk ke instance di mode Managed dan Managed-NOVLAN. Kita dapat menentukan sebuah security group pada saat menjalankan sebuah instance. Setiap security group dapat mempunyai banyak aturan terkait dengannya. Setiap aturan menentukan source IP/network, tipe protocol, port tujuan dll. Semua paket yang cocok dengan parameter yang di tentukan akan di ijinkan. Paket lainnya akan di blokir.
  
A security group that does not have any rules associated with it causes blocking of all incoming traffic.
+
WARNING: sebuah security group yang tidak mempunyai aturan yang terkait dengannya akan memblokir semua traffic yang masuk.
  
The mechanism only provides ingress filtering and does not provide any egress filtering. As a result all outbound traffic is allowed. If you need to implement egress filtering, you will need to implement that inside the instance using a firewall.
+
Mekanisme yang akan hanya memberikan ingress filtering dan tidak memberikan egress filtering. Akibatnya semua outbound traffic akan di ijinkan. Jika kita perlu mengimplementasikan egress filtering, kita perlu menjalankan dari dalam instance menggunakan firewall.
  
Tools like Hybridfox let you manage security groups and also let you specify a security group while launching an instance.
+
Tool seperti Hybridfox akan memudahkan kita dalam memanage manage security group dan memungkinkan kita menset sebuah security group pada saat menjalankan sebuah instance.
  
Here are a few euca commands to manage security groups:
+
Berikut adalah beberapa perintah euca untuk memanage security group:
  
Create a security group named “webservers” :
+
Buat security group dengan nama “webservers” :
view source
 
print?
 
1 uecadmin@client1:~$ euca-add-group -d "Web Servers" webservers
 
  
Add a rule to the security group “webservers” allowing icmp and tcp traffic from a.b.c.d :
+
uecadmin@client1:~$ euca-add-group -d "Web Servers" webservers
view source
 
print?
 
1 uecadmin@client1:~$ euca-authorize -P tcp -s a.b.c.d webservers
 
2 uecadmin@client1:~$ euca-authorize -P icmp -s a.b.c.d webservers
 
  
The added rules can be viewed with euca-describe-groups command
+
Tambahkan aturan ke security group “webservers” yang mengijinkan traffic icmp dan tcp dari a.b.c.d :
view source
 
print?
 
1 $ euca-describe-groups
 
2 GROUP  admin  default default group
 
3 GROUP  admin  webservers      Web Servers
 
4 PERMISSION      admin  webservers    ALLOWS  icmp   -1      -1      FROMCIDR    0.0.0.0/0
 
5 PERMISSION      admin  webservers    ALLOWS  tcp     22      22      FROMCIDR    0.0.0.0/0
 
  
Launch an instance associated with the security group “webservers” :
+
uecadmin@client1:~$ euca-authorize -P tcp -s a.b.c.d webservers
view source
+
uecadmin@client1:~$ euca-authorize -P icmp -s a.b.c.d webservers
print?
 
1 uecadmin@client1:~$ euca-run-instances emi-XXXXXXXX -k mykey -g webservers
 
  
List the details of the existing security groups :
+
Aturan yang kita tambahkan dapat dilihat menggunakan perintah euca-describe-groups
view source
 
print?
 
1 euca-describe-groups
 
  
Remove the rule for icmp traffic from the source ip a.b.c.d from the security group “webservers” :
+
$ euca-describe-groups
view source
+
GROUP  admin  default default group
print?
+
GROUP  admin  webservers      Web Servers
1 uecadmin@client1:~$ euca-revoke -P icmp -s a.b.c.d webservers
+
PERMISSION      admin  webservers    ALLOWS  icmp   -1      -1      FROMCIDR    0.0.0.0/0
 +
PERMISSION      admin  webservers    ALLOWS  tcp    22      22      FROMCIDR    0.0.0.0/0
 +
 
 +
Jalankan sebuah instance dengan menggunakan security group “webservers” :
 +
 
 +
uecadmin@client1:~$ euca-run-instances emi-XXXXXXXX -k mykey -g webservers
 +
 
 +
Lihat daftar detail dari security groups yang ada :
 +
 
 +
euca-describe-groups
 +
 
 +
Buang aturan untuk traffic icmp dari sumber IP a.b.c.d untuk security group “webservers” :
 +
 
 +
uecadmin@client1:~$ euca-revoke -P icmp -s a.b.c.d webservers
 +
 
 +
Buang / delete security group “webservers” :
 +
 
 +
euca-delete-group webservers
  
Delete the security group “webservers” :
 
view source
 
print?
 
1 euca-delete-group webservers
 
  
 
==Referensi==
 
==Referensi==
  
 
* http://cssoss.wordpress.com/2010/05/10/eucalyptus-beginner%E2%80%99s-guide-%E2%80%93-uec-edition-chapter-8-%E2%80%93%C2%A0security/
 
* http://cssoss.wordpress.com/2010/05/10/eucalyptus-beginner%E2%80%99s-guide-%E2%80%93-uec-edition-chapter-8-%E2%80%93%C2%A0security/
 
  
 
==Pranala Menarik==
 
==Pranala Menarik==
  
* [[Ubuntu Enterprise Cloud: Eucalyptus Beginner’s Guide]] '''RECOMMENDED'''
+
* [[Ubuntu Enterprise Cloud: Panduan Untuk Pemula]] '''RECOMMENDED'''
 
* [[Ubuntu Enterprise Cloud: Instalasi UEC]]
 
* [[Ubuntu Enterprise Cloud: Instalasi UEC]]
 
* [[Cloud Computing]]
 
* [[Cloud Computing]]

Latest revision as of 07:49, 22 March 2011

Eucalyptus memberikan ingress filtering untuk instance berbasis pada konsep security group. Sebuah Security Group adalah sekumpulan aturan yang dijalankan oleh Eucalyptus terhadap paket yang masuk ke instance di mode Managed dan Managed-NOVLAN. Kita dapat menentukan sebuah security group pada saat menjalankan sebuah instance. Setiap security group dapat mempunyai banyak aturan terkait dengannya. Setiap aturan menentukan source IP/network, tipe protocol, port tujuan dll. Semua paket yang cocok dengan parameter yang di tentukan akan di ijinkan. Paket lainnya akan di blokir.

WARNING: sebuah security group yang tidak mempunyai aturan yang terkait dengannya akan memblokir semua traffic yang masuk.

Mekanisme yang akan hanya memberikan ingress filtering dan tidak memberikan egress filtering. Akibatnya semua outbound traffic akan di ijinkan. Jika kita perlu mengimplementasikan egress filtering, kita perlu menjalankan dari dalam instance menggunakan firewall.

Tool seperti Hybridfox akan memudahkan kita dalam memanage manage security group dan memungkinkan kita menset sebuah security group pada saat menjalankan sebuah instance.

Berikut adalah beberapa perintah euca untuk memanage security group:

Buat security group dengan nama “webservers” :

uecadmin@client1:~$ euca-add-group -d "Web Servers" webservers

Tambahkan aturan ke security group “webservers” yang mengijinkan traffic icmp dan tcp dari a.b.c.d :

uecadmin@client1:~$ euca-authorize -P tcp -s a.b.c.d webservers
uecadmin@client1:~$ euca-authorize -P icmp -s a.b.c.d webservers

Aturan yang kita tambahkan dapat dilihat menggunakan perintah euca-describe-groups

$ euca-describe-groups
GROUP   admin   default default group
GROUP   admin   webservers      Web Servers
PERMISSION      admin   webservers     ALLOWS  icmp    -1      -1      FROMCIDR     0.0.0.0/0
PERMISSION      admin   webservers     ALLOWS  tcp     22      22      FROMCIDR     0.0.0.0/0

Jalankan sebuah instance dengan menggunakan security group “webservers” :

uecadmin@client1:~$ euca-run-instances emi-XXXXXXXX -k mykey -g webservers

Lihat daftar detail dari security groups yang ada :

euca-describe-groups

Buang aturan untuk traffic icmp dari sumber IP a.b.c.d untuk security group “webservers” :

uecadmin@client1:~$ euca-revoke -P icmp -s a.b.c.d webservers

Buang / delete security group “webservers” :

euca-delete-group webservers


Referensi

Pranala Menarik