Tugas Keamanan DataIPTable

1. Summary IPTABLEIPTABLES

iptables adalah suatu tools dalam sistem operasi linux yang berfungsi sebagai alat untuk melakukan filter (penyaringan) terhadap (trafic) lalulintas data. Secara sederhana digambarkan sebagai pengatur lalulintas data. Dengan iptables inilah kita akan mengatur semua lalulintas dalam komputer kita, baik yang masuk ke komputer, keluar dari komputer, ataupun traffic yang sekedar melewati komputer kita.

PRINSIP KERJA IPTABLE

Paket masuk diproses berdasarakan tujuan :

a. Destination IP untuk Firewall masuk proses inputb. Destination IP bukan untuk firewall tapi diteruskan masuk proses FORWARD

Selanjutnya dicocokkam berdasarkan table policy yang dipunyai firewall apakah di – accept atau di – drop

Firewall Machine

SINTAKS IPTABLES

Opsi :

1. –A : menambah satu aturan baru ditempatkan pada posisi terakhir iptables –A INPUT …

2. –D : menghapus rule iptables –D INPUT 1 iptables –D –s 202.154.178.2 …

3. –I : menambah aturan baru penempatan bisa disisipkan sesuai nomor iptables –I INPUT 3 –s 202.154.178.2 –j ACCEPT

4. –R : mengganti rule iptables –R INPUT 2 –s –s 202.154.178.2 –j ACCEPT

5. –F : menghapus seluruh rule iptables –F

6. –L : melihat rule iptables –L

PARAMETER

1. –p [!] protocol : protocol yang akan dicekIptables –A INPUT –p tcp …

2. –s [!] address/[mask] : memeriksa kecocokan sumber paketIptables –A INPUT –s 10.252.44.145 …

3. –d [!] address/[mask] : memeriksa kecocokan tujuan paketIptables –A INPUT –d 202.154.178.2 …

4. –j target : menentukann nasib paket, target misal ACCEPT/ DROP/ REJECTIptables –A INPUT –d 202.154.178 –j DROP

5. –i [!] interface name : identifikasi kartu jaringan tempat masuknya dataIPTABLES –A INPUT –i eth0 …

6. –o [!] interface_name : identifikasi kartu jaringan tempat keluarnya paketIptables –A OUTPUT –o eth1 …

MATCH IPTABLES

1. --mac address : matching apket berdasarkan nomor MAC AddressIptables –m mac –mac-address 44:45:53:54:00:FF

2. Multiport : mendefinisikan banyak portIptables –m multiport –source-oprt 22,25,110,80 –j ACCEPT

3. State : mendefinisikan state dari koneksiIptables –A INPUT –m state –state NEW, ESTABLISH –j ACCEPT

TARGET / JUMP IPTABLES

1. ACCEPT, setiap paket langsung diterimaIptables –A INPUT –p tcp –dport 80 –j ACCEPT

2. DROP, paket datang langsung dibuangIptables –A INPUT –p tcp –dport 21 –j DROP

3. REJECT, paket yang ditolak akan dikirimi pesan ICMP errorIptables –A INPUT –p tcp –dport 21 –j REJECT

4. SNAT, sumber paket dirubah, biasanya yang memiliki koneksi internetIptables –t nat –A POSROUTING –p tcp –o eth0 –j SNAT –to-source 202.154.178.2

5. DNAT, merubah tujuan alamat paket. Biasanya jika server alamat Ipnya lokal, supaya internet bisa tetap akses diubah ke public Iptables –t nat –A PREPROUTING –p tcp –d 202.154.178.2 –dport 80 –j DNAT –todestination 192.168.1.1

6. MASQUERADE, untuk berbagi koneksi internet dimana no_ipnya terbatas, sebagai mapping ip lokal ke public Iptables –t nat –A POSTROUTING –o eth0 –dport 80 –j MASQUERADE

7. REDIRECT, sigunakan untuk transparent proxy Ipatbles –t nat –A PREROUTING –p tcp –d 0/0 –dport 80 –j REDIRECT –to-port 8080

8. LOG, melakukan pencatatan terhadap aktifitas firewall kita, untuk melihat bisa dibuka /etc/syslog.conf Iptables –A FORWARD –j LOG –log-level-debugIptables –A FORWARD –j LOG –log-tcp-optionss –A FORWARD –j LOG –log-tcp-options

FIREWALL OPTION

o Mengeluarkan Modul-modul Iptablesa. /sbin/modprobe ip_tablesb. /sbin/modprobe ip_conntrackc. /sbin/modprobe iptable_filterd. /sbin/modprobe iptable_manglee. /sbin/modprobe iptable_natf. /sbin/modprobe ipt_LOGg. /sbin/modprobe ipt_limith. /sbin/modprobe ipt_statei. /sbin/modprobe ip_conntrack_ftpj. /sbin/modprobe ip_conntrack_irck. /sbin/modprobe ip_nat_ftpl. /sbin/modprobe ip_nat_irc

MENGHAPUS RULE IPTABLES

o Menghapus aturan iptables$IPTABLES –F$IPTABLES -t nat –F$IPTABLES -t mangle –F

o Menghapus nama kolom yg dibuat manual$IPTABLES –X$IPTABLES -t nat –X$IPTABLES -t mangle –X

FORWARD

1. iptables –t nat –A POSTROUTING –s IP_number -d 0/0 –j MASQUERADE2. #iptables –A FORWARD –p icmp –s 0/0 –d 0/0 –j ACCEPT3. Iptables –A INPUT –p imcp –s 0/0 –j DROP4. #iptables –A FORWARD –i eth1 –o eth0 –p icmp –s 10.252.105.109 –d

192.168.108.5 –j ACCEPT5. #iptables –A FORWARD –s 192.168.108.5/24 –d 0/0 –p tcp --dport ftp, -j

REJECT

2. Bagaimana membuat rule IP TABLES forwardIPTABLE memiliki 3 role default

1. InputChain yang digunakan untuk koneksi masuk. Contohnya, jika seseorang mencoba untuk melakukan SSH ke komputer Anda, iptables akan mencoba mencocokan alamat IP dan memberikan port pada input chain.

2. OutputChain yang digunakan untuk koneksi keluar.

3. ForwardChain yang digunakan untuk koneksi masuk yang tidak dihantarkan secara lokal.Ada cara yang bisa Anda lakukan untuk memeriksa apakah sistem Anda menggunakan/membutuhkan forward chain.

Untuk mengetahui apakah pengaturan yang sedang digunakan, jalankan perintah iptables –L

1. PercobaanBuat Rule Firewall untuk :

Konfigurasi Jaringan

- Lakukan konfigurasi padafile etc.network nterfaces

- Restart layanan jaringan dengan melakukan perintah service networking restart

- tambahkan route pada iptable seperti berikut ini.

- Setting ip_forward supaya router bisa memforward data

- Setting menggunakan NAT, untuk melihat sudah terinstal atau belum lakukan perintah route –n.

- Lakukan konfigurasi pada client

- Lakukan Test konektivitas pada router dan Client

a. Drop ICMP- Perintah dibawah ini dilakukan jika client diperbolehkan untuk mengakses ICMP

- Berikut isi dari Iptable sebelum icmp di drop

- Untuk melakukan drop icmp, pada ip table tabahkan perintah berikut ini

- Berikut Iptable setelah ICMP didrop

- Lakukan testing pada client apakah icmp bisa digunakan atau idak dengan melakukan ping.

Pada screenshot diatas terlihat client tidak bisa melakukan ping karena ICMP di drop.

b. Drop seluruh paket data dari network 192.108.x.0/24 kecuali paket berisi protokol ssh dan http.

- Lakukan test konektivtas pada client

Pada filezilla tidak dapat melakukan conect pada server karena diblock oleh firewall. Hal ini dikarenakan yang hanya boleh diakses oleh client adalah layanan ssh dan http saja.

Dari percobaan pengaksesan http diatas berhasil dilakukan karena tidak diblok oleh firewall server.