4.16.3 membuat laporan konfigurasi sistem keamanan

1. Tujuan Praktikum

• Mengenalkan pada mahasiswa tentang konsep dasar firewall
• Mahasiswa mampu melakukan proses filtering menggunakan iptables

2. Dasar Teori

Pada Firewall adalah sistem atau sekelompok sistem yang menetapkan kebijakan kendali akses antara dua jaringan. Secara prinsip, firewall dapat dianggap sebagai sepasang mekanisme : yang pertama memblok lalu lintas, yang kedua mengijinkan lalu lintas jaringan. Firewall dapat digunakan untuk melindungi jaringan anda dari serangan jaringan oleh pihak luar, namun firewall tidak dapat melindungi dari serangan yang tidak melalui firewall dan serangan dari seseorang yang berada di dalam jaringan anda, serta firewall tidak dapat melindungi anda dari program-program aplikasi yang ditulis dengan buruk.

Secara umum, firewall biasanya menjalankan fungsi:

• Analisa dan filter paket

Data yang dikomunikasikan lewat protokol di internet, dibagi atas paket-paket. Firewall dapat menganalisa paket ini, kemudian memperlakukannya sesuai kondisi tertentu. Misal, jika ada paket a maka akan dilakukan b. Untuk filter paket, dapat dilakukan di Linux tanpa program tambahan.

• Bloking isi dan protokol

REPORT THIS AD

Firewall dapat melakukan bloking terhadap isi paket, misalnya berisi applet Jave, ActiveX, VBScript, Cookie.

• Autentikasi koneksi dan enkripsi

Firewall umumnya memiliki kemampuan untuk menjalankan enkripsi dalam autentikasi identitas user, integritas dari satu session, dan melapisi transfer data dari intipan pihak lain. Enkripsi yang dimaksud termasuk DES, Triple DES, SSL, IPSEC, SHA, MD5, BlowFish, IDEA dan sebagainya.

Secara konseptual, terdapat dua macam firewall yaitu :

• Network level

Firewall network level mendasarkan keputusan mereka pada alamat sumber, alamat tujuan dan port yang terdapat dalam setiap paket IP. Network level firewall sangat cepat dan sangat transparan bagi pemakai. Application level firewall biasanya adalah host yang berjalan sebagai proxy server, yang tidak mengijinkan lalu lintas antar jaringan, dan melakukan logging dan auditing lalu lintas yang melaluinya

• Application level.

Application level firewall menyediakan laporan audit yang lebih rinci dan cenderung lebih memaksakan model keamanan yang lebih konservatif daripada network level firewall. Firewall ini bisa dikatakan sebagai jembatan. Application-Proxy Firewall biasanya berupa program khusus, misal squid

3. Langkah Percobaan

Membangun desain jaringan seperti gambar dibawah ini :

• Guest OS 1 : memiliki dua interface jaringan yaitu bridge adapter (dhcp) dan host only (192.168.184.100)
• Guest OS 2 : memiliki satu interface jaringan yaitu host only (192.168.184.101)
• Guest OS 3 : memiliki satu interface jaringan yaitu host only (192.168.184.102)

• HOST OS

1. Masuk sebagai root

Sebelum melakukan percobaan ini, pastikan telah masuk sebagai root dengan menggunakan perintah dibawah ini, untuk password yang dimasukkan disesuaikan dengan password dari user.

# sudo su

REPORT THIS AD

2. Mengubah konfigurasi dhcp untuk VMware Player dengan cara menonaktifkan (memberi tanda # pada awal baris) semua baris yang ada di file dhcp.conf. Sehigga IP Address dari vmware dapat dikonfigurasi secara statis. Adapun perintah yang digunakan adalah :

# nano /etc/vmware/vmnet1/dhcp/dhcp.conf

3. Restart VMWare

Untuk memastikan konfigurasi telah tersimpan maka dilakukan restart pada vmware dengan menggunakan perintah :

# service vmware restart

4. Cek IP Address

Langkah berikutnya yaitu melihat alamat IP vmnet1 pada terminal OS. Alamat IP itulah yang nantinya akan digunakan untuk melakukan konfigurasi alamat IP VMware player secara statis. Adapaun perintah yang digunakan adalah :

# ifconfig

• GUEST OS 1

1. Mengubah konfigurasi interface eth1 menjadi statis

Mengubah alamat IP dari eth1 menjadi statis dengan cara mengubah file /etc/network/interfaces. Adapun alamat IP dari eth1 adalah 192.168.184.100. Alamat 192.168.184.0/24 diambil dari alamat IP dari vmnet1 yang ada di Host OS.

2. Cek IP Address

REPORT THIS AD

Melakukan cek pada alamat IP apakah sudah sesuai dengan konfigurasi yang telah kita lakukan.

Guest OS1 memiliki dua interfaces yaitu bridge adapter (eth0) dan Host Only (eth1). Alamat IP dari eth0 berasal dari dhcp client. Sedangkan alamat IP dari eth1 berasal konfigurasi yang telah dilakukan pada file /etc/network/interfaces.

3. Mencoba ping Jaringan Lab

Melakukan ping pada jaringan Lab

4. Mencoba ping 192.168.184.1

• GUEST OS 2 dan GUEST OS 3

1. Mengubah interface eth0 menjadi statis

REPORT THIS AD

Mengubah alamat IP dari eth0 menjadi statis dengan cara melakukan konfigurasi pada file /etc/ network/interfaces. Adapun alamat IP dari Guest OS 2 adalah 192.168.184.101. Sedangkan alamat IP dari Guest OS 3 adalah 192.168.184.102. Gateway dari Guest OS 2 dan Guest OS 3 adalah alamat IP dari Guest OS 1 (192.168.184.100) yang berfungsi untuk meneruskan paket data ke Host OS.

• Guest OS 2

• Guest OS 3

2. Mengubah file /etc/resolv.conf

Mengubah isi dari file /etc/resolv.conf dengan cara menambah daftar nameserver pada jaringan PENS

REPORT THIS AD

3. Merestart interface jaringan

Merestart jaringan pada Guest OS 2 dan Guest OS 3 dengan menggunakan perintah :

# /etc/init.d/networking restart

4. Cek konfigurasi jaringan

Memastikan Gateway yang telah kita tambahkan tersimpan dengan mengetikkan perintah :

# route –n

• Guest OS 2

• Guest OS 3

5. Cek IP Address

Melakukan cek IP Address apakah sudah sesuai dengan konfigurasi yang telah kita lakukan dengan mengetikkan perintah :

# ifconfig

• Guest OS 2

• Guest OS 3

• Konfigurasi NAT pada Guest OS 1

REPORT THIS AD

Guest OS 1 merupakan perantara yang menghubungkan Guest OS 2 dan Guest OS 3 terhadap Host OS.

1. Mengaktifkan IP Forward

Mengaktifkan IP Forward dari Guest OS 1 dengan cara mengubah file /etc/sysctl.conf. Fungsi dari IP Forward sendiri digunakan untuk meneruskan paket data dari Guest OS 2 dan Guest OS 3 ke internet.

2. Mengaktifkan konfigurasi pada file sysctl.conf

Adapun perintah yang digunakan adalah :

# sysctl –p /etc/sysctl.conf

3. Merestart iptables

Untuk memastikan tidak ada aturan pada iptables, maka dilakukan restart pada iptables dengan menggunakan perintah :

# iptables –F, # iptables nat –F

4. Cek iptables

Melihat iptables pada Guest OS 1 dan memastikan tidak ada aturan iptables pada Guest OS 1 dengan menggunakan perintah :

# iptables –L –n, # iptbles –t nat –L –n

5. Konfigurasi iptables

Jika tidak terdapat aturan pada iptables, maka langkah berikutnya yaitu melakukan menambahkan aturan pada iptables dengan menggunakan perintah berikut :

# iptables –t nat –A POSTROUTING –s <ip_address_sumber> -d 0/0 –j MASQUERADE

Fungsi dari perintah diatas yaitu untuk mengganti alamat dari Guest OS 2 dan Guest OS 3 yang awalnya IP Private menjadi IP Public sesudah paket masuk kedalam route sehingga bisa terhubung dengan jaringan internet.

6. Menyimpan konfigurasi iptbales

Menyimpan konfigurasi iptbales yang telah dilakukan dengan menggunakan perintah :

# iptables-save

7. Memastikan aturan iptables

Memastikan iptables apakah aturan yang telah ditambahkan telah tersimpan dengan menggunakan perintah :

# iptables –t nat –L –n

6. Ping Jaringan Lab

Mencoba melakukan ping pada jaringan lab dari Guest OS 2 dan Guest OS 3. Jika konfigurasi NAT kita sudah benar maka proses ini akan berhasil.

• Guest OS 2

• Guest OS 3

7. Ping pens.ac.id

Mencoba melakukan ping url www.pens.ac.id dari Guest OS 2 dan Guest OS 3. Jika konfigurasi NAT kita sudah benar maka proses ini akan berhasil.

• Guest OS 2

• Guest OS 3

8. Install Linx di Guest OS 2 dan Guest OS 3

Adapun perintah yang digunakan adalah sebagai berikut :

# apt-get install linx       

9. Mencoba Linx ke alamat pens.ac.id

Jika konfigurasi kita benar maka proses ini akan berhasil. Adapun perintah yang digunakan adalah sebagai berikut :

# lynk <alamat_website>

• Guest OS 2

• Guest OS 3

10. Menginstall ssh di Guest OS 2 dan Guest OS 3

REPORT THIS AD

Mengintall aplikasi ssh di VM2 dan VM3 dengan menggunakan perintah :

# apt-get install ssh

11. Mencoba ssh ke IP Address teman dari Guest OS 2 dan Guest OS 3

Adapun perintah yang digunakan adalah :

# ssh <nama_user>@<ip_address_tujuan>

• Guest OS 2

• Guest OS 3

12. Manambah aturan policy di NAT Guest OS 1

Langkah berikutnya yaitu menambahkan peraturan akses pada NAT yang ada di VM1. Adapun aturan yang akan diterapkan adalah sebagai berikut :

• Guest OS 2

Hanya memperbolehkan mengakses website dan ssh saja, selain itu semua proses di block. (deny all, allow ssh & web)

• Guest OS 3

Hanya memperbolehkan akses website saja, selain itu semua proses di block. (deny all, allow web)

Iptables –P FORWARD DROP

Digunakan untuk menolak semua paket layanan yang berasal dari Guest OS 2 dan Guest OS 3.

Iptables –A FORWARD –m state RELATED, ESTABLISHED –J ACCEPT

Digunakan untuk mengizinkan paket yang mempunyai status establish.

REPORT THIS AD

Guest OS 2

Iptables –A FORWARD –s 192.168.184.101 –d 0/0 –p tcp –dport ssh –J ACCEPT

Mengizinkan paket ssh yang menuju Guest OS 2

Iptables –A FORWARD –s 192.168.184.101 –d 0/0 –p tcp –dport web –J ACCEPT

Mengizinkan paket ssh yang menuju Guest OS 3

Guest OS 3

Iptables –A FORWARD –s 192.168.184.102 –d 0/0 –p tcp –dport web –J ACCEPT

Mengizinkan paket web (port 80)  yang menuju Guest OS 2

Iptables –A FORWARD –s 192.168.184.102 –d 0/0 –p tcp –dport web –J DROP

Menolak paket web (port 80)  yang menuju Guest OS 2

Iptables –A FORWARD udp –dport 53 –J ACCEPT

Mengizinkan seluruh query DNS pada Guest OS 2 dan Guest OS 3.

13. Melihat hasil konfigurasi

# iptables –Ln

REPORT THIS AD

14. Memcoba Link pens.ac.id dari Guest OS 2 dan Guest OS 3

Jika aturan yang kita tambahkan telah benar, maka kedua Virtual Machine baik itu VM2 maupun VM3 tetap bisa melakukan link ke alamat www.pens.ac.id

• Guest OS 2

• Guest OS 3

15. Mencoba ssh ke IP Address teman dari Guest OS 2 dan Guest OS 3

REPORT THIS AD

Jika peraturan yang kita tambahkan di NAT benar, maka VM2 dapat melakukan ssh sedangkan VM3 tidak dapat melakukan ssh.

• Guest OS 2

1. Guest OS 3

4. Kesimpulan

Dari percobaan yang telah dilakukan maka dapat ditarik kesimpulan  iptables adalah suatu command-line pada Linux dimana interfacenya yang menuju ke kernel menyediakan modul netfilter. Dalam iptables kita dapat mengatur layanan-layanan apa yang boleh maupun tidak diakses oleh user. Default konfigurasi dari iptables sendiri yaitu allow all. Sehingga jika kita ingin memfilter suatu layanan maka kita harus menambahkan aturan terlebih dahulu.