laporan pendahuluan firewall
TRANSCRIPT
1
LAPORAN PENDAHULUAN KEAMANAN DATA
FIREWALL
Oleh : Iftitah Sita Devi Andani | 2103 131 043 & M. Ramasatria F. | 2103 131 058
Konsep FirewallSalah satu lapisan pertahanan yang mengatur hubungan komputer dengan dunia luar melalui interogasi setiap traffic, packet, dan port-port yang diatur dengan rule-rule yang ada. Dilakukan dengan cara a. Menyaring hubungan /kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar
yang bukan merupakan ruang lingkupnyab. Membatasi hubungan /kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar
yang bukan merupakan ruang lingkupnyac. Menolak hubungan /kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar
yang bukan merupakan ruang lingkupnya
Konfigurasi SederhanaPC (jaringan local) <==> firewall <==> internet (jaringan lain)
Firewall Topologi : Basic Two – interface Firewall (no DMZ)a. Connect ke ISP menggunakan DSL, Cable
Modem, ISDN, Dial – upb. Menyediakan untuk “Internet Connection
Sharing” dari sebuah alamat IP public single untuk sebuah jaringan local menggunakan SNAT / Masquerading
2
Firewall Topologi : Three – interface Firewall (with DMZ)
a. Menyediakan internet connection sharing dari satu atau lebih alamat IP publicb. Mempunyai sebuah DMZ yang berisi beberapa server yang terbuka untuk internetc. Jika sebuah server dihack, firewall dan jaringan Local tidak menyepakati
Tipe Firewall
Berdasarkan mekanisme cara kerja
a. Packet Filtering : memfilter paket berdasarkan sumber, tujuan dan atribut paket (filter berdasarkan IP dan Port). Yang difilter IP, TCP, UDP, dan ICMP hraders dan Port Number
b. Application Level : biasa disebut proxy firewall, filter biasa berdasarkan content paketc. Circuit Level Gateway : filter berdasarkan sesi komunikasi, dengan pengawasan sesi
handshake. Terdapat sesi NEW / ESTABLISHd. Statefull Multiplayer Inspection Firewall : kombinasi dari ketga tipe firewall diatas
Circuit Level / Stateful Inspection Firewalls
a. Default BehaviorMembolehkan koneksi yang diinialisasi oleh sebuah host internal. Tidak memperbolehkan koneksi yang diinialisasi oleh sebuah host external. Bisa mengubah default behavior dengan ACL.
b. Untuk DMZ implementation
DMZ Configuration
a. Tempat web server dalam jaringan DMZb. Hanya membolehkan port web (TCP Port 80 dan 443)
3
c. Tidak membolehkan web server mengakses ke jaringan nadad. Membolehkan local network untuk manage web server (SSH)e. Tidak membolehkan server untuk konek ke internetf. Patching tidak sesuai
IPTABLES
iptables adalah suatu tools dalam sistem operasi linux yang berfungsi sebagai alat untuk melakukan filter (penyaringan) terhadap (trafic) lalulintas data. Secara sederhana digambarkan sebagai pengatur lalulintas data. Dengan iptables inilah kita akan mengatur semua lalulintas dalam komputer kita, baik yang masuk ke komputer, keluar dari komputer, ataupun traffic yang sekedar melewati komputer kita.
PRINSIP KERJA IPTABLE
Paket masuk diproses berdasarakan tujuan :
a. Destination IP untuk Firewall masuk proses inputb. Destination IP bukan untuk firewall tapi diteruskan masuk proses FORWARD
Selanjutnya dicocokkam berdasarkan table policy yang dipunyai firewall apakah di – accept atau di – drop
4
5
Firewall Machine
SINTAKS IPTABLES
Opsi :
1. –A : menambah satu aturan baru ditempatkan pada posisi terakhir iptables –A INPUT …
2. –D : menghapus rule iptables –D INPUT 1 iptables –D –s 202.154.178.2 …
3. –I : menambah aturan baru penempatan bisa disisipkan sesuai nomor iptables –I INPUT 3 –s 202.154.178.2 –j ACCEPT
4. –R : mengganti rule iptables –R INPUT 2 –s –s 202.154.178.2 –j ACCEPT
5. –F : menghapus seluruh rule iptables –F
6. –L : melihat rule iptables –L
PARAMETER
1. –p [!] protocol : protocol yang akan dicekIptables –A INPUT –p tcp …
6
2. –s [!] address/[mask] : memeriksa kecocokan sumber paketIptables –A INPUT –s 10.252.44.145 …
3. –d [!] address/[mask] : memeriksa kecocokan tujuan paketIptables –A INPUT –d 202.154.178.2 …
4. –j target : menentukann nasib paket, target misal ACCEPT/ DROP/ REJECTIptables –A INPUT –d 202.154.178 –j DROP
5. –i [!] interface name : identifikasi kartu jaringan tempat masuknya dataIPTABLES –A INPUT –i eth0 …
6. –o [!] interface_name : identifikasi kartu jaringan tempat keluarnya paketIptables –A OUTPUT –o eth1 …
MATCH IPTABLES
1. --mac address : matching apket berdasarkan nomor MAC AddressIptables –m mac –mac-address 44:45:53:54:00:FF
2. Multiport : mendefinisikan banyak portIptables –m multiport –source-oprt 22,25,110,80 –j ACCEPT
3. State : mendefinisikan state dari koneksiIptables –A INPUT –m state –state NEW, ESTABLISH –j ACCEPT
TARGET / JUMP IPTABLES
1. ACCEPT, setiap paket langsung diterimaIptables –A INPUT –p tcp –dport 80 –j ACCEPT
2. DROP, paket datang langsung dibuangIptables –A INPUT –p tcp –dport 21 –j DROP
3. REJECT, paket yang ditolak akan dikirimi pesan ICMP errorIptables –A INPUT –p tcp –dport 21 –j REJECT
4. SNAT, sumber paket dirubah, biasanya yang memiliki koneksi internetIptables –t nat –A POSROUTING –p tcp –o eth0 –j SNAT –to-source 202.154.178.2
5. DNAT, merubah tujuan alamat paket. Biasanya jika server alamat Ipnya lokal, supaya internet bisa tetap akses diubah ke public Iptables –t nat –A PREPROUTING –p tcp –d 202.154.178.2 –dport 80 –j DNAT –todestination 192.168.1.1
6. MASQUERADE, untuk berbagi koneksi internet dimana no_ipnya terbatas, sebagai mapping ip lokal ke public Iptables –t nat –A POSTROUTING –o eth0 –dport 80 –j MASQUERADE
7. REDIRECT, sigunakan untuk transparent proxy Ipatbles –t nat –A PREROUTING –p tcp –d 0/0 –dport 80 –j REDIRECT –to-port 8080
8. LOG, melakukan pencatatan terhadap aktifitas firewall kita, untuk melihat bisa dibuka /etc/syslog.conf Iptables –A FORWARD –j LOG –log-level-debugIptables –A FORWARD –j LOG –log-tcp-options
7
FIREWALL OPTION
o Mengeluarkan Modul-modul Iptablesa. /sbin/modprobe ip_tablesb. /sbin/modprobe ip_conntrackc. /sbin/modprobe iptable_filterd. /sbin/modprobe iptable_manglee. /sbin/modprobe iptable_natf. /sbin/modprobe ipt_LOGg. /sbin/modprobe ipt_limith. /sbin/modprobe ipt_statei. /sbin/modprobe ip_conntrack_ftpj. /sbin/modprobe ip_conntrack_irck. /sbin/modprobe ip_nat_ftpl. /sbin/modprobe ip_nat_irc
MENGHAPUS RULE IPTABLES
o Menghapus aturan iptables$IPTABLES –F$IPTABLES -t nat –F$IPTABLES -t mangle –F
o Menghapus nama kolom yg dibuat manual$IPTABLES –X$IPTABLES -t nat –X$IPTABLES -t mangle –X
FORWARD
1. iptables –t nat –A POSTROUTING –s IP_number -d 0/0 –j MASQUERADE2. #iptables –A FORWARD –p icmp –s 0/0 –d 0/0 –j ACCEPT3. Iptables –A INPUT –p imcp –s 0/0 –j DROP4. #iptables –A FORWARD –i eth1 –o eth0 –p icmp –s 10.252.105.109 –d 192.168.108.5 –
j ACCEPT5. #iptables –A FORWARD –s 192.168.108.5/24 –d 0/0 –p tcp --dport ftp, -j REJECT
8
SHOREWALLShorewall adalah salah satu tools firewall pada linux yang berbasiskan iptables. Shorewall terdapat konsep “zone” yang memudahkan kita untuk menentukan policy firewall, daripada kita melakukan konfigurasi secara manual dengan iptables. Konfigurasi Shorewall terdapat pada direktori /etc/shorewall, yang minimal terdiri dari zone, interface, rule, policy, dan shorewall.conf
TOPOLOGI SHOREWALL
ZONEo Shorewall membagi jaringan menjadi beberapa zone yang dideskripsikan di
/etc/shorewall/zoneso diibaratkan komputer terdiri dari dua interfaces maka akan kita buat menjadi zone net
dan zone loc, sehingga konfigurasi /etc/shorewall/zones sbb:#ZONE TYPE OPTIONS IN OUT# OPTIONS OPTIONSfw firewallnet ipv4loc ipv4a. Zone net adalah zona internetb. zone loc adalah zona localc. Zona fw mendeskripsikan mesin firewall itu sendiri.
o Penamaan zona terserah kepada kita.
INTERFACES
9
Kemudian kita definisikan interfaces apa saja yang akan kita terapkan zona tadi pada /etc/shorewall/interfaces, konfigurasinya kira-kira seperti :
#ZONE INTERFACE BROADCAST OPTIONS
net eth0 detect norfc1918
loc eth1 detect
RULES
Rules dalah kebijakan yang akan mengatur setiap koneksi yang masuk ke firewall, contoh konfigurasi /etc/shorewall/rules :
#ACTION SOURCE DEST PROTO DEST PORT(S)
Ping/ACCEPT loc:192.168.0.1 $FW
ACCEPT $FW all icmp
Web/ACCEPT all $FW
SSH/ACCEPT loc:192.168.0.1 $FW
POLICY
Policy adalah kebijakan umum yang diterapkan untuk hubungan masing - masing zone jika nanti tidak ada rule yang mendeskripsikannya , misalkan :
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST
loc net ACCEPT
net all DROP info
all all REJECT info
Untuk instalasi berbasis debian biasanya file /etc/shorewall kosong, file-file rule default dapat di copy dari /usr/share/doc/shorewall/default-config serta contoh-contoh konfigurasi juga ada pada /usr/share/doc/shorewall/examples
INSTALLATION
o Remove:~# apt-get remove portmap:~# apt-get remove nfs-common:~# apt-get remove pidentd
10
o Install Shorewall:~# apt-get install shorewall
o Install documentation:~# apt-get install shorewall-doc
CONFIGURATION
o goto shorewall directory:~# cd /etc/shorewall
o look inside:/etc/shorewall# ls
o Change /etc/default/shorewall fromstartup=0tostartup=1
o # vim /etc/default/shorewallchange the startup
ACTIVATE THE FIREWALL
o do this# /etc/init.d/shorewall start
o watch your firewall# iptables –nL | less