22 Mar 2012

Koneksi Internet akibat port 5900

Tulisan ini adalah bagian dari dinamika konflik ISP dan pelanggan, di mana “mereka” adalah pihak ISP dan “kami” adalah pelanggan. Mereka dan Kami terikat dengan satu perjanjian normatif: Kami Bayar, Mereka Melayani. Namun ada satu hal yang dilanggar dalam hal ini, bahwa Kami nyaris tak dianggap sebagai pelanggan.

Adalah port 5900 yang saya gunakan untuk mempermudah pekerjaan sehari-hari saya, itupun saya pakai hanya dari pukul 5 sore dan tak lebih dari satu jam pemakaian. Saya gunakan port 5900 itu untuk koneksi VNC, sehingga proses penggabungan file pdf bisa saya kerjakan dari rumah, tanpa harus menunggu berlama-lama di kantor sampai cetak koran selesai.

Namun, seminggu lalu, port ini ditutup tanpa alasan yang jelas. Maka, dengan keluguan saya tanyakan sama NOC dari ISP yang saya sebut “mereka” tadi. Katanya ini perintah dari pusat/Jakarta. O.. begitu.

Kemudian saya hubungi penguasa ISP di Jakarta, sekedar klarifikasi, apakah benar penutupan port ini atas perintah Jakarta? Dijawab, silakan berkoordinasi dengan penguasa cabang Batam, Nah Loh???

Lalu, penguasa ISP Jakarta memforward email yang saya kirim ke jakarta– ke cabang Batam, dan didapatkan jawaban yang berbeda dengan alasan pertama tadi: telah ditemukan indikasi kebocoran internet dari ip 27.124.94.xxx dan ini berlangsung lama dan sudah dimonitoring.

Kebocoran internet ini adalah bahasa nonformal, mungkin yang dimaksud oleh NOC kita ini koneksi internet kami dipakai secara legal oleh pihak lain. Maka dari itu semua port ditutup, kecuali yang umum saja, semisal port 80,8080, dan 21.

Apakah benar demikian?
Nanti dulu, jangan sampai salah diagnosa.

Pemakaian koneksi internet oleh pihak lain diluar pelanggan ip sekian, paling dekat dengan istilah “proxy”, artinya ip kami dipakai sebagai proxynya orang lain, bisa proxy berbayar atau free proxy.

Bagaimana membuktikan ip kami dipakai sebagai proxynya orang lain?
sangat gampang, cek saja ip publik tadi di sini, masukkan ip dan port yang dicurigai. misalkan, dicurigai kebocoran dari port 5900 (sesuai asumsi dasar NOC tadi) maka ditulis 27.124.94.xxx:5900. Jika yang dicurigai port 8080, maka ditulis 27.124.94.xxx:8080.

JIka hasilnya adalah WORKING, bearti benar port itu pintu kebocoran, jika hasilnya IS NOT WORKING, maka BOHONG jika port itu sumber kebocoran.

Gampang kan?

Lalu bagaimana NOC tadi bilang ada kebocoran serius dan membuat kesimpulan sepihak dengan vonis “port 5900″ bermasalah?
Ini perlu pembicaraan serius, apalagi yang bersangkutan katanya menyimpan screenshoot pengaturan di router yang mengarah ke pemakaian internet ilegal tadi. (Saya sudah kirim emaail, meminta kepastian masalah ini, termasuk penyelesaiannya.)

Aplikasi Gbridge, Biang KebocoranKah?
Asumsi kebocoran kedua adalah penggunaan aplikasi gbridge, dimana aplikasi ini mengkombinasikan aantara platform googletalk dan UltraVNC. Aplikasi ini bekerja pada salah satu port 5901,5902,5903 dan tidak di 5900.

Prinsip kerja aplikasi ini adalah koneksi antar komputer di relay oleh server gbridge.
Gampangnya begini:

a. Laptop dengan nama markesot
b. Komputer kantor dengan nama AKA BOGOR
c. Di dua perangkat ini diinstallkan aplikasi gbridge, dengan akun gmail yang sama (loginnya emang pake gmail)
d. ketika “markesot” mengeksekusi “AKA BOGOR”, maka hubungan antar dua komputer ini dijembatani (relayed) oleh gbridge. dan ada alamat umumnya, menjadi “akabogor.emailGmailAnda.gbridge.net”

dengan aplikasi ini, komputer Markesot bisa mengambil file seolah “AKA BOGOR” adalah direktori lokal, namun aksesnya tidak lewat file explorer, tapi browser. Gambar ini akan membantu ente mendapakan gambaran nyatanya.

Apakah ini yang dimaksud kebocoran internet? Jika benar, maka yang ditutup adalah port 5901-5903, bukan 5900. Sehingga-ibarat kata,” jika memang dilumbung ada tikus, jangan kau bakar lumbungnya untuk membunuh tikus”

Aplikasi torrent terlibat?
Dalam aplikasi torrent aktifitas transfer file ada dua, download dan upload. ketika progress file yang didownload belum 100 persen, maka download, jika hasil download sudah 100 persen, maka dia akan melakukan “seed” alias upload ke peer lain. Jika saya atur alokasi bandwidth untuk download unlimited (0) dan upload alias seed menjadi 1 kb/s, apakah bisa dikataan kebocoran? o..ow… ntar dulu men. Pikir-pikir dulu deh.

Terakhir, Rule pada Mikrotik bermasalah?
Jika rule yang dia maksud adalah pada ip > proxy yang saya atur seperti pada halaman ini, maka bearti NOC ini salah diagnosa. Perlu dibantu untuk menelusuri dugaan kebocoran tadi.

Kesimpulan:

Jika dugaan adalah ada kebocoran masif koneksi internet, validasi dulu dugaan itu dengan menguji ip address di web penguji proxy (online proxy checker). atau dengan memeriksa persatuan komputer, atau cek virus (dibantu teknisi lokal).

Klien adalah pelanggan, perlakukanlah sebagaimana layaknya pelanggan. Apa kebutuhannya, cukupi saja selama tidak melanggar kontrak kesepahaman. Jika pelanggan butuh port 5900, kenapa memaksakan diri untuk menutupnya–apalagi dengan dugaan yang simpangsiur dan tidak mantap.

Jangan biarkan setiap permasalahan itu menguap begitu saja. Kupas sampai tuntas, biar tak ada dusta yang tersisa. Jika dugaannya adalah kebocoran, mari lakukan audit bersama, sehingga ditemukan biang masalahnya. Jangan sampai “memburu satu tikus–lumbung padi yang dibakar”.

Jangan pernah berhenti Belajar, dan hati-hatilah dengan orang yang sadar–ketika anda tidak sadar– bahwa anda sedang berbohong.

Update 14 Januari 2012:
email yang saya kirim sudah dibalas. berikut ini petikannya.

Ip 27.124.94.xxx di index google sebagai free proxy port 8080, saya temukan bulan september 2011, di monitoring pemakain akses upload untuk P terjadi loncatan. Dengan persetujuan Bapak A mulai bulan September port tersebut di tutup, silahkan check di link berikut:

http://www.blackhatworld.com/blackhat-seo/proxy-lists/359434-180-public-proxies.html

http://freeproxylists.co/proxy-list/September-27-2011/transparent-proxy

dan ini jawaban saya:

Terimakasih atas balasannya.

dari sisi saya, ketika mendapatkan list seperti itu, saya menguji ip dan port disini http://www.ip-adress.com/Proxy_Checker/
sekedar memvalidasi, apakah informasi yg disampaikan pada thread itu scam atau tidak.

jadi, walaupun tertulis di web blackhat dan ada kebocoran,– setelah kita uji di web penguji proxy — kita bisa mendapatkan kepastian masalah dan penyelesainyanya.

jadi, yg bocor itu bukan diport 5900,?
terimakasih atas tanggapannya.

———————————————————————————————————————

Jadi, pendekatan analogi diperlukan untuk memecahkan masalah ini.
misalkan, Izul dan Mark bertengkar, keesokan harinya Mark ditemukan tewas. Menurut pengakuan tetangganya si izul yang membunuh.—Maka, apakah Anda akan menyimpulkan izul yang membunuhnya?
O…oo nanti dulu.

Makanya dibalasan itu saya sertakan kebiasaan saya untuk memvalidasi dugaan free proxy itu di web http://www.ip-adress.com/Proxy_Checker/– apa susahnya?

memang benar terjadi upload yg tak wajar, tapi caranya bukan dengan mencari ip itu di google, langsung uji dong di http://www.ip-adress.com/Proxy_Checker/, sebab, web semisal freeproxylist itu berkepentingan dengan konten yang mereka pasang disitu, semakin banyak tampil free proxy list, semakin banyak pula traffic kunjungan ke web mereka–sebanding dengan pendapatan mereka.

Upload tak wajar = benar
ip jadi free proxy = eit, nanti dulu. — uji dulu di web ip-adress.com/Proxy_Checker

Silakan Koreksi Cara Berpikir dan Analisa saya!

No comments:

Post a Comment