Call Us: (+62).817.410.4747

Bagaimana internet positif Telkom bekerja?

Dengan diwajibkan internet sehat melalui Permen Nomor 19 tahun 2014. Telkom sebagai ISP mempunyai program internet-positif untuk para pelanggannya. Internet-positif merupakan respon dari Permen tentang internet sehat. Pada ISP besar lainnya juga mempunyai program sendiri untuk menanggapi internet sehat. Mengapa kali ini penulis kali ini ingin mengupas tentang internet-positif pada ISP Telkom, selain ISP yang sering digunakan, internet-positif sendiri mempunyai lebih dari satu cara untuk memblokir situs yang dilarang.

Sekali lagi, disini penulis tidak membahas dari segi kebijakan yang dikeluarkan pemerintah, tapi menganalisa dari segi teknologi yang digunakan oleh internet-positif untuk menjalankan blokir situs dan domain yang diterapkan ke pelanggannya. Penulis juga tidak mengajari cara mengatasinya, penulis hanya membuktikan secara ilmiah dari pengalaman penulis tentang jaringan internet. Untuk router yang digunakan menggunakan Mikrotik dan sistem operasi Ubuntu.

Internet-positif sendiri menerapkan blokir situs atau domain melalui dua cara yang akan diterangkan di bawah ini.

DNS Poisoning

Secara sederhana oleh internet-positif semua jalur paket untuk service DNS akan dibelokkan ke DNS milik internet-positif. Protocol UDP dan TCP port 53 akan dialihkan ke DNS milik internet-positif. Jika ada client yang request domain atau situs yang termasuk dalam blacklist maka domain tersebut akan di-resolve ke IP milik internet-positif. Apapun IP DNS yang dimasukkan (sekalipun IP tersebut tidak berfungsi sebagai DNS Server), tetap saja domain bisa ter- resolve.

[root@MikroTik] > ip dns print                         
              servers: 123.4.5.6,7.8.9.10
      dynamic-servers: 
allow-remote-requests: yes
  max-udp-packet-size: 4096
 query-server-timeout: 2s
  query-total-timeout: 10s
           cache-size: 2048KiB
        cache-max-ttl: 1w
           cache-used: 28KiB
[root@MikroTik] > ping oanda.com
  SEQ HOST              SIZE TTL TIME  STATUS
    0 118.98.97.151     56   56  47ms 
    1 118.98.97.151     56   56  46ms
    sent=2 received=2 packet-loss=0% min-rtt=45ms max-rtt=47ms
    [root@MikroTik] > ping indonesia.oanda.com
  SEQ HOST              SIZE TTL TIME  STATUS           
    0 118.98.97.151     56   58  45ms
    1 118.98.97.151     56   58  46ms 
    sent=2 received=2 packet-loss=0% min-rtt=45ms max-rtt=46ms 
[root@MikroTik] > ping www.yahoo.com
  SEQ HOST              SIZE TTL TIME  STATUS
    0 106.10.139.246    56   52  58ms
    1 106.10.139.246    56   52  57ms 
    sent=2 received=2 packet-loss=0% min-rtt=57ms max-rtt=58ms
Pada tampilan di atas terlihat bahwa DNS server yang diisi asal-asalan akan bisa me- resolve domain. Setelah domain di-resolve oleh DNS internet-positif maka DNS internet-positif akan melakukan sedikitnya 3 respon
  1. Jika domain termasuk dalam blacklist (oanda.com), maka akan ditampilkan http://internet-positif.org
  2. Jika domain tidak ditemukan (indonesia.oanda.com), maka akan ditampilkan http://v3.mercusuar.info
  3. Jika domain ditemukan dan tidak termasuk dalam blacklist (www.yahoo.com) maka tampilan domain asli akan ditampilkan.
Untuk cek DNS server yang sedang dipakai, bisa klik http://ipleak.net

Solusi

Karena request DNS selalu di arahkan ( redirect) ke DNS milik internet-positif maka bisa digunakan tunnel untuk "membungkus" packet DNS ( TCP/ UDP port 53). Jika tunnel dapat dilewati DNS, maka router internet-positif tidak mendeteksi lagi protocol TCP/ UDP port 53, jadi resolve domain akan direspon oleh DNS yang dipilih.

[root@MikroTik] > ip dns print                      
                servers: 8.8.8.8,8.8.4.4
        dynamic-servers: 
  allow-remote-requests: yes
    max-udp-packet-size: 4096
   query-server-timeout: 2s
    query-total-timeout: 10s
             cache-size: 2048KiB
          cache-max-ttl: 1w
             cache-used: 16KiB
[root@MikroTik] > ping oanda.com          
  SEQ HOST                      SIZE TTL TIME  STATUS                                           
    0 198.105.26.93                            timeout 
    1 198.105.26.93                            timeout
    sent=2 received=0 packet-loss=100% 

[root@MikroTik] > ping indonesia.oanda.com
invalid value for argument address:
    invalid value of mac-address, mac address required
    invalid value for argument ipv6-address
    while resolving ip-address: name does not exist
Setelah koneksi ke DNS server "dibungkus" via tunnel, maka hanya terjadi 2 respon pada request domain.
  1. Untuk request domain yang eksis akan mendapatkan IP Address yang benar
  2. Untuk request domain yang tidak eksis akan ditampilkan info jika domain tidak eksis.

Content Filtering di port 80

Cara kedua yang digunakan internet-positif yaitu Content Filtering port 80. Pada router internet-positif berfungsi menemukan kararter yang terdapat pada blacklist, jadi para pengguna ISP internet-positif walaupun sudah bisa berhasil "membungkus" request pada DNS server terpilih belum tentu bisa membuka situs blacklist pada port 80. Untuk pembuktian bahwa TCP port 80 akan dilakukan content filtering pada internet-positif sebagai berikut.

tidar@tidar-pico:~$ telnet www.shelleylubben.com 80
Trying 54.210.55.162...
Connected to master-yuvu5xxcq7lwe.us.platform.sh.
Escape character is '^]'.
GET / HTTP/1.1
host: www.shelleylubben.com

HTTP/1.1 307
Date: Sat, 25 Apr 2015 19:22:30 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Cache-Control: no-cache
Location: http://internet-positif.org/page.block?d=d3d3LnNoZWxsZXlsdW
Connection: close
Resolve domain ke IP address sudah benar tetapi dialihkan ke internet-positif.org. Sekarang dicoba service https (port 443)
tidar@tidar-pico:~$ openssl s_client -connect www.shelleylubben.com:443
...--cert info--...
GET / HTTP/1.1
host: www.shelleylubben.com    

HTTP/1.1 200 OK
Date: Sat, 25 Apr 2015 19:35:10 GMT
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Connection: keep-alive
X-Drupal-Cache: HIT
Content-Language: en
X-Generator: Drupal 7 (http://drupal.org)
Cache-Control: public, max-age=300
Last-Modified: Sat, 25 Apr 2015 19:31:39 GMT
Expires: Sun, 19 Nov 1978 05:00:00 GMT
Vary: Cookie
Vary: Accept-Encoding
X-Platform-Processor: yuvu5xxcq7lwe-master--php
X-Platform-Router: yuvu5xxcq7lwe-master--router
X-Platform-Cache: HIT
Dari kedua percobaan di atas maka dapat disimpulkan bahwa request domain pada port 80 akan disaring terlebih dahulu pada router internet-positif, hal ini juga akan mengakibatkan jeda waktu pada request port 80, karena router harus mencocokan nama domain pada blacklist.

Solusi

Perlu juga ditambahkan tunnel untuk TCP /80 (http) untuk setiap koneksi ke non IIX. Kenapa non- IIX? Karena biasanya situs yang terlarang secara fisik berapa di luar Indonesia.

Kesimpulan

Dengan menggunakan tunnel untuk TCP& UDP/53 serta TCP/80 maka sudah dapat terbebas dari DNS Poisoning dan Content Filtering pada internet-positif milik Telkom.

Tentang domain yang digunakan sebagai sample

Untuk informasi, penulis tidak berhubungan secara langsung dengan domain tersebut. Kedua domain tersebut masuk dalam blacklist internet sehat.

  1. Oanda.com. Oanda adalah broker forex (foreign exchange) dimana seseorang dapat berdagang mata uang asing di situs tersebut.
  2. shelleylubben.com adalah official domain milik mantan bintang porno Shelley Lubben yang sekarang dia merupakan pegiat anti pornografi dan pendiri pink cross. Salah satu misinya menyelamatkan seseorang dari kecanduan pornografi.

Read 4955 times Last modified on 07 May 2015, 12:23 PM
Tidar Tanjung

I'm a routing engineer. Trust me, I will show the best path for you.

2 comments

  • Comment Link AneNoMouse 29 Mar 2016, 5:47 AM posted by AneNoMouse

    Saya amat-amati lebih jauh lagi, makin banyak hal-hal yang dapat "dikerjakan" oleh transparent proxy-nya telkom ini.

    Tidak hanya sebatas redirect dns query (dns cache poisoning) dan content filtering saja. Termasuk soal push ads juga sepertinya merupakan salah satu peranan dari transparent proxy telkom.

    Selain itu response HTTP Header pun dimainkan oleh transparent proxy ini, misalnya saja soal : accept-ranges, cache control seperti private dan no-transform.

    Bahkan SSL certificate pada domain tertentu pun pun di intercept oleh transparent proxy ini, sehingga browser akan menampilkan invalid certificate, karena certificate yg diterima oleh browser adalah SSL certificate milik telkom bukan dari domain yang dituju.

    Apakah punya tips tertentu pak untuk menangkal http header (dari sisi server) agar tidak di modifikasi oleh transparent proxy-nya telkom? Terutama untuk website yang masih menggunakan plain http.

    Terima kasih.

  • Comment Link AneNoMouse 29 Mar 2016, 5:47 AM posted by AneNoMouse

    Saya amat-amati lebih jauh lagi, makin banyak hal-hal yang dapat "dikerjakan" oleh transparent proxy-nya telkom ini.

    Tidak hanya sebatas redirect dns query (dns cache poisoning) dan content filtering saja. Termasuk soal push ads juga sepertinya merupakan salah satu peranan dari transparent proxy telkom.

    Selain itu response HTTP Header pun dimainkan oleh transparent proxy ini, misalnya saja soal : accept-ranges, cache control seperti private dan no-transform.

    Bahkan SSL certificate pada domain tertentu pun pun di intercept oleh transparent proxy ini, sehingga browser akan menampilkan invalid certificate, karena certificate yg diterima oleh browser adalah SSL certificate milik telkom bukan dari domain yang dituju.

    Apakah punya tips tertentu pak untuk menangkal http header (dari sisi server) agar tidak di modifikasi oleh transparent proxy-nya telkom? Terutama untuk website yang masih menggunakan plain http.

    Terima kasih.

Leave a comment

Make sure you enter all the required information, indicated by an asterisk (*). HTML code is not allowed.

Positive SSL