LAPORAN RESMI KEAMANAN JARINGAN KONFIGURASI FIREWALL
-
Upload
uswarendy -
Category
Engineering
-
view
323 -
download
8
Transcript of LAPORAN RESMI KEAMANAN JARINGAN KONFIGURASI FIREWALL
1
LAPORAN RESMI KEAMANAN JARINGAN
KONFIGURASI FIREWALL
1. Summary IPTABLES
“iptables is a networking administration command-line tool on Linux which
interfaces to the kernel-provided Netfilter modules. This allows for stateless and
stateful firewalls and NAT. It is useful to think of IPtables as being a specialized
firewall-creation programming language.”
IPTABLES adalah sebuah administrasi command line jaringan di Linux yang
menghubungkan kernel. IPTables bisa diartikan sebagai Bahasa pemrograman yang
dikhususkan untuk membuat firewall.
Iptables membolehkan seorang system administrator untuk mengkonfigurasi
table yang disediakan oleh Kernel Linux Firewall, urutan, serta aturan.
Prinsip kerja IPTABLES ini diproses berdasarkan tujuan:
Jika Destination IP untuk Firewall , Maka masuk proses Input
Jika Destination IP bukan untuk firewall tapi diteruskan, Maka masuk proses
Forward
Konsep Dasar:
Iptables digunakan untuk menginspeksi, memodifikasi, memforward , meredirect
dan/ atau mendrop paket Ipv4. Code untuk memfilter paket Ipv4 sudah terdapat
pada kernel dan diorganisasikan ke koleksi table dengan setiap tujuan yang spesifik.
Table ini dibuat dari beberapa rangkaian urutan yang didefinisikan dan urutan yang
mengandung aturan yang dilalui melalui order. Setiap peraturan mengandung
prediksi dari potensial kecocokan dan mengandung aksi atau tindakan tertentu yang
akan dijalankan jika prediksi ini bernilai true.
USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A
2
Pada gambar diatas, setiap paket yang menuju ke sebuah network/jaringan akan
melalui fase fase yang ada digambar diatas. Biasanya, paket yang dating dari internal
network dan eksternal network diperlakukan dengan beda.
Tables:
Iptables mengandung 5 table:
1. Raw yang digunakan hanya untuk mengkonfigurasi paket sehingga paket bebas
dari connection tracking
2. Filter adalah default table dan dimana semua aksi diasosiakan/berhubungan
dengan firewall
3. NAT digunakan untuk network address translation
4. Mangle yang digunakan untuk perubahan packet.
5. Security yang digunakan untuk Mandatory Access Control networking rules.
Chains:
Table yang mengandung list dari rules/aturan aturan yang diikuti oleh urutan
tertentu. Default table Filter terdiri dari 3 built ini chains: Input, Output, Forward
yang mana diaktifkan pada point tertentu pada proses filter.
USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A
3
Rules:
Filter paket didasarkan dari rules , yang mana dispesifikasikan oleh beberapa
kecocokan( kondisi yang harus dipenuhi sehingga rules ini bisa diaplikasikan) dan 1
target(action yang diambil ketika paket yang ada cocok dengan semua kondisi).
Rules yang ada ini bisa berupa interfaces apa yang dating apakah eth0/eth1, dan
tipe dari paket yang dating bisa berupa ICMP,UDP, atau TCP atau port tujuan dari
paket.
Transversing Chains:
Sebuah paket network yang diterima dari bermacam interfaces, mengubah
traffic control chains of tables. Hasil keputusan dari routing yang pertama
melibatkan penentuan destinasi akhir dari paket yang dating. Hasil keputusan
Subsequent routing melibatkan penentuan interfaces yang akan menangani paket
yang akan keluar.
Modules:
Ada banyak modul yang bisa digunakan untuk mengextend iptables seperti
conlimit, conntrack, limit dan recent. Modul modul ini menambahkan fungsionalitas
baru yang memungkinkan rules filtering yang kompleks.
2. Bagaimana membuat rule IP Tables persistent di system anda? Jelaskan
1. Pada sistem berbasis Debian terbaru konfigurasi iptables dapat dibuat dengan
menggunakan paket iptables persistent. Yaitu dengan menginstall paket tersebut
terlebih dahulu, dengan perintah apt-get install iptables-persistent
2. Lalu atur konfigurasi yang diperlukan pada direktori /etc/iptables. Untuk
mengkonfigurasi ruleset dari IPV4, maka buka file /etc/iptables/rules.v4. File
USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A
4
ruleset harus dalam format yang sesuai dengan perintah iptables-restore.
Berikut adalah contoh format untuk mengkonfigurasi tabel filter IPV4.
3. Konfigurasi yang telah dilakukan sebelumnya tidak dapat tersimpan secara
otomatis. Oleh karena itu, versi terbaru dari iptables-persistent ini akan
membuat file konfigurasi ketika paket diinstall. Agar file konfigurasi yang sudah
diatur sebelumnya dapat tersimpan, maka dapat digunakan perintah iptables-
save untuk IPV4 dan iptables-save command untuk IPV6. Perintahnya adalah
iptables-save > /etc/iptables/rules.v4
4. Karena layanan iptables-persistent akan secara otomatis dilakukan ketika sistem
reboot, sehingga langkah selanjutnya adalah start iptables-persistent yang telah
disimpan konfigurasinya dengan perintah service iptables-persistent start
3. Buat rule firewall untuk :
a. Drop icmp dari network 10.252.108.0/24
b. Drop seluruh packet dari network 192.168.x.0/24 kecuali packet berisi
protokol HTTP dan SSH
a. Drop icmp dari network 10.252.108.0/24
1. Buat rule rule firewall sebagai berikut :
Setting memblok request ke jaringan 10.252.108.0/24 dengan perintah :
Untuk mengatasi paket data yang masuk
iptables –A INPUT –s 10.252.108.0/24 0/0 –p icmp –icmp-type echo-
request –j DROP
Untuk menghasilkan paket data yang diteruskan
USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A
5
iptables –A OUTPUT –s 10.252.108.0/24 0/0 –p icmp –icmp-type echo-
request –j DROP
Untuk mengalihkan paket data yang datang
iptables –A FORWARD –s 10.252.108.0/24 0/0 –p icmp –icmp-type echo-
request –j DROP
Cek rule firewall
Lalu coba lakukan ping ke jaringan 10.252.108.0/24, baik melalui
jaringan lokal ataupun client
USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A
6
Pada setting memblok icmp type request ini, jaringan hanya akan
melakukan blok request pada saat ada IP address lain melakukan koneksi
atau melakukan ping. Sehingga jaringan lain tidak bisa melakukan
koneksi pada jaringan ini.
Setting memblok reply ke jaringan 10.252.108.0/24 dengan perintah :
Untuk mengatasi paket data yang masuk
iptables –A INPUT –s 10.252.108.0/24 0/0 –p icmp –icmp-type echo-
reply –j DROP
Untuk menghasilkan paket data yang diteruskan
iptables –A OUTPUT –s 10.252.108.0/24 0/0 –p icmp –icmp-type echo-
reply –j DROP
Untuk mengalihkan paket data yang datang
iptables –A FORWARD –s 10.252.108.0/24 0/0 –p icmp –icmp-type echo-
reply –j DROP
Cek rule firewall
Lalu coba lakukan ping ke jaringan 10.252.108.0/24, baik melalui
jaringan lokal ataupun client
USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A
7
Pada setting memblok icmp type reply ini, jaringan hanya akan
melakukan blok reply pada saat ada IP address yang ada dalam jaringan
lain melakukan koneksi atau melakukan ping. Namun sebenarnya
jaringan lain tersebut bisa melakukan koneksi atau melakukan request ke
jaringan ini tetapi jaringan tersebut tidak mendapatkan reply dari
jaringan 10.252.108.0/24.
Setting memblok icmp ke jaringan 10.252.108.0/24 dengan perintah :
Untuk mengatasi paket data yang masuk
iptables –A INPUT –s 10.252.108.0/24 0/0 –p icmp –j DROP
Untuk menghasilkan paket data yang diteruskan
iptables –A OUTPUT –s 10.252.108.0/24 0/0 –p icmp –j DROP
Untuk mengalihkan paket data yang dating
iptables –A FORWARD –s 10.252.108.0/24 0/0 –p icmp –j DROP
Cek rule firewall
Lalu coba lakukan ping ke jaringan 10.252.108.0/24, baik melalui
jaringan lokal ataupun client
USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A
8
Pada setting memblok icmp type ini, jaringan akan melakukan
semua blok baik reply maupun request, pada saat ada IP address yang ada
dalam jaringan lain melakukan koneksi atau melakukan ping.
b. Drop seluruh packet dari network 192.168.x.0/24 kecuali packet berisi protokol
HTTP dan SSH
Dari komputer Router buat rule rule firewall sebagai berikut :
Mendrop seluruh packet kecuali packet berisi protocol SSH
iptables –A FORWARD –s 192.168.10.0/24 –d 0/0 –p tcp –dport ssh –j ACCEPT
Mendrop seluruh packet kecuali packet berisi protocol HTTP
iptables –A FORWARD –s 192.168.10.0/24 –d 0/0 –p tcp –dport http –j ACCEPT
Mendrop seluruh packet
iptables –A FORWARD –s 192.168.10.0/24 –d 0/0 –p tcp –j ACCEPT
Cek rule firewall
USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A
9
Lakukan koneksi lagi ke web, ssh dan ftp pada jaringan 192.168.10.0/24, catat
hasilnya dan harus sesuai dengan rule, jika tidak sesuai ganti nomor urut rule
firewall yang anda masukkan dan pastikan rule terpenuhi
USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A
10
Alur Paket
USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A
11
A. Alur Routing Meneruskan Paket Ke Jaringan Lain
Analisa : dari ip 192.168.1.0/24 melalui routing akan diteruskan ke
jaringan 0/0 ini dinamakan dengan postrouting NAT, kemudian setelah
diteruskan akan di translasikan ke jaringan public yaitu 0/0 ini yang dinamakan
masquerade.
B. Drop Jaringan Public Ketika Melakukan Request Terhadap Jaringan Local
Analisa : jaringan public melalui local routing akan melakukan request
terhadap jaringan local 192.168.1.0/24, kemudian jaringan public tersebut akan
diblok dengan drop icmp sehingga tidak bisa melakukan akses terhadap jaringan
192.168.1.0/24
C. Drop Akses Jaringan Public Kecuali Port 80,21,23
USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A
12
Analisa : jaringan public melakukan akses terhadap jaringan
192.168.1.0/24 melalui local route, kemudian jaringan tersebut hanya
mengijinkan untuk port 80 yaitu http, port 21 ftp, dan port 23 yaitu ssh dan
melakukan drop terhadap jaringan public kecuali port 80,21, dan 22.
USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A