• Tidak ada hasil yang ditemukan

PENGATURAN PAKET DATA

Dalam dokumen BAB I TEORI DASAR FIREWALL (Halaman 43-53)

Pada jaringan terdapat beberapa paket data yang dapat diatur dan dilewatkan pada firewall. Jenis-jenis paket data ini adalah paket ICMP, paket TCP dan paket UDP.

4.1 Paket ICMP

Ping (Packet Internet Grouper) adalah utilitas diagnosis untuk mengetahui apakah sebuah komputer terkoneksi dengan komputer yang lain. Utilitas ini bekerja dengan cara mengirimkan paket ICMP.

Pada aturan yang dibuat di bawah ini, dibatasi alamat IP apa saja yang boleh melakukan ping, khususnya ke mesin firewall. Hal ini dilakukan karena utilitas ping dapat digunakan untuk meng-crash suatu host dengan mengirimkan oversize data dan memperlambat koneksi ke internet.

IPTABLES –A OUPUT -p icmp –s 192.168.2.130 –j ACCEPT

IPTABLES –A INPUT –p icmp –s 10.1.1.1 /24 -d 192.168.2.130 –j

ACCEPT

IPTABLES –A OUPUT -p icmp –s 10.1.1.1 –j ACCEPT

IPTABLES –A INPUT –p icmp –s 10.1.1.0 /24 -d 10.1.1.1 –j ACCEPT

IPTABLES –A OUPUT -p icmp –s 10.6.1.1 –j ACCEPT

IPTABLES –A INPUT –p icmp –s 10.1.1.0 /24 -d 10.6.1.1 –j ACCEPT

IPTABLES –A INPUT –p icmp –s 10.6.1.0 /24 -d 10.6.1.1 –j ACCEPT

IPTABLES –A OUPUT -p icmp –s 10.7.1.1 –j ACCEPT

IPTABLES –A INPUT –p icmp –s 10.1.1.0 /24 -d 10.7.1.1 –j ACCEPT

IPTABLES –A INPUT –p icmp –s 10.7.1.0 /24 -d 10.7.1.1 –j ACCEPT

IPTABLES –A OUPUT -p icmp –s 10.8.1.1 –j ACCEPT

IPTABLES –A INPUT –p icmp –s 10.1.1.0 /24 -d 10.8.1.1 –j ACCEPT

IPTABLES –A INPUT –p icmp –s 10.8.1.0 /24 -d 10.8.1.1 –j ACCEPT

IPTABLES –A OUPUT -p icmp –s 10.9.1.1 –j ACCEPT

IPTABLES –A INPUT –p icmp –s 10.1.1.0 /24 -d 10.9.1.1 –j ACCEPT

IPTABLES –A INPUT –p icmp –s 10.9.1.0 /24 -d 10.9.1.1 –j ACCEPT

IPTABLES –A OUPUT -p icmp –s 10.10.1.1 –j ACCEPT

IPTABLES –A INPUT –p icmp –s 10.1.1.0 /24 -d 10.10.1.1 –j ACCEPT

IPTABLES –A INPUT –p icmp –s 10.10.1.0 /24 -d 10.10.1.1 –j ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.1.1.0 /24 -d 10.6.1.1 – j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.1.1.0 /24 -d 10.7.1.1 – j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.1.1.0 /24 -d 10.8.1.1 – j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.1.1.0 /24 -d 10.9.1.1 – j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.1.1.0 /24 -d 10.10.1.1 – j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.6.1.0 /24 -d 10.1.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.6.1.0 /24 -d 10.7.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.6.1.0 /24 -d 10.8.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.6.1.0 /24 -d 10.9.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.6.1.0 /24 -d 10.10.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.7.1.0 /24 -d 10.1.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.7.1.0 /24 -d 10.6.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.7.1.0 /24 -d 10.8.1.0/24 –j

IPTABLES –A FORWARD –p icmp –s 10.7.1.0 /24 -d 10.9.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.7.1.0 /24 -d 10.10.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.8.1.0 /24 -d 10.1.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.8.1.0 /24 -d 10.6.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.8.1.0 /24 -d 10.7.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.8.1.0 /24 -d 10.9.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.8.1.0 /24 -d 10.10.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.9.1.0 /24 -d 10.1.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.9.1.0 /24 -d 10.6.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.9.1.0 /24 -d 10.7.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.9.1.0 /24 -d 10.8.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.9.1.0 /24 -d 10.10.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.10.1.0 /24 -d 10.1.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.10.1.0 /24 -d 10.6.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.10.1.0 /24 -d 10.7.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.10.1.0 /24 -d 10.8.1.0/24 –j

ACCEPT

IPTABLES –A FORWARD –p icmp –s 10.10.1.0 /24 -d 10.9.1.0/24 –j

ACCEPT

Permintaan paket data berupa jenis icmp yang berasal dari alamat IP yang tidak terdefisikan akan langsung ditolak. Pada aturan di atas, ditentukan alamat IP yang diijinkan melewati firewall. Sebagai contoh, pada rantai OUTPUT ditentukan paket paket data jenis icmp dapat dilewatkan bila alamat IP sumbernya 10.1.1.1 dan pada rantai INPUT dibuat aturan hanya alamat jaringan 10.1.1.0/24 yang boleh memasuki firewall tetapi dengan IP tujuannya yaitu 10.1.1.1 yang dalam hal ini merupakan alamat IP mesin firewall. Pada rantai FORWARD dibuat aturan agar tiap baris dapat mengirimkan paket icmp ke baris lainnya.

4.2 Paket TCP

Berikut ini adalah utilitas yang menggunakan paket TCP dalam operasinya yang dipakai pada laboratorium jaringan.

4.2.1 FTP (File Transfer Protocol)

Digunakan untuk transfer file dalam jaringan. Pada lab. Jaringan terdapat ftp server dan aturan dibuat untuk membatasi alamat IP yang dapat mengakses ftp server tersebut.

IPTABLES –A FORWARD -p tcp –d 10.6.1.2 - -sport 21 -j ACCEPT

IPTABLES –A FORWARD -p tcp –s 10.6.1.2 - - dport 22 -j ACCEPT

IPTABLES –A FORWARD -p tcp –d 10.7.1.2 - -sport 21 -j ACCEPT

IPTABLES –A FORWARD -p tcp –s 10.7.1.2 - - dport 22 -j ACCEPT

IPTABLES –A FORWARD -p tcp –d 10.8.1.2 - -sport 21 -j ACCEPT

IPTABLES –A FORWARD -p tcp –s 10.8.1.2 - - dport 22 -j ACCEPT

Aturan diatas membuat alamat IP yang telah didefinisikan dapat mengakses ftp server. Hal ini dikarenakan untuk alamat IP tersebut diijinkan melewati firewall jika port tujuannya 21.

[root@baris1 root]#ftp ftp>open

(to) 10.1.1.7

Connected to 10.1.1.7

220 win2knet Microsoft FTP Service (Version 5.0). KERBEROS_V4 rejected as an authentication type

Name (10.1.1.7:root): admin 331 Password:

230 User admin logged in.

Remote system type is windows_NT. ftp> ls

227 Entering Passive Mode (10,1,1,7,13,213).

125 Data connection already open; Transfer starting.

04-03-04 12:58PM <DIR> Kursus Linux

04-03-04 12:58PM <DIR> Kursus Win2k

226 Trasfer complete. ftp> ls

227 Entering Passive Mode (192,168,2,120,13,214). 125 Data connection already open; Transfer starting.

11-16-97 12.26AM 203199 ARJ.EXE

04-03-04 01:01PM <DIR> Citrix Metaframe

04-03-04 01:00PM <DIR> Citrix Metaframe Xp

04-03-04 01:03PM <DIR> Slide Kursus Win2k

12-11-03 11:51AM 1484181 Citrix802.2.exe 12-11-03 11:51AM 1484211 Citrix802.3.exe 12-19-04 08:16AM 1480594 DOSimage.exe 04-19-04 09:00PM <DIR> NIC538nwclient 04-03-04 01:03PM <DIR> WFCLIENT 12-11-03 11:51AM 433152 WINIMAGE.EXE 226 Transfer complete. ftp>quit 221 [root@baris1 root]# 4.2.2 SSH (Secure Shell)

SSH adalah program untuk login ke komputer lain dan mengendalikan komputer tersebut serta dapat mengeksekusi perintah-perintah. Fungsi SSH hampir sama dengan telnet tetapi

SSH lebih aman karena SSH memiliki kemampuan untuk mengenkripsi password.

IPTABLES –A OUTPUT -p tcp –d 10.1.1.5 - - sport 22 -j ACCEPT

IPTABLES –A OUTPUT -p tcp –d 10.1.1.6 - - sport 22 -j ACCEPT

IPTABLES –A OUTPUT -p tcp –d 10.1.1.7 - - sport 22 -j ACCEPT

IPTABLES –A OUTPUT -p tcp –d 10.1.1.8 - - sport 22 -j ACCEPT

IPTABLES –A INPUT -p tcp –s 10.1.1.5 - - dport 22 -j ACCEPT

IPTABLES –A INPUT -p tcp –s 10.1.1.6 - - dport 22 -j ACCEPT

IPTABLES –A INPUT -p tcp –s 10.1.1.7 - - dport 22 -j ACCEPT

IPTABLES –A INPUT -p tcp –s 10.1.1.8 - - dport 22 -j ACCEPT

IPTABLES –A FORWARD -p tcp –d ! 10.1.1.0 /24 - - sport 22 -j DROP

IPTABLES –A FORWARD -p tcp –s ! 10.1.1.0 /24 - - dport 22 -j DROP

Aturan di atas membuat batasan IP yang diijinkan untuk melakukan ssh. Sebagai contoh, alamat IP 10.1.1.5 yang merupakan alamat IP komputer asisten dapat melakukan ssh ke komputer baris dan mesin firewall. Hal ini dikarenakan pada rantai INPUT, sumber yang berasal dari 10.1.1.5 diijinkan untuk melewati firewall dengan port tujuan 22. Dan pada rantai OUTPUT terdapat tujuan IP yaitu 10.1.1.5 dengan port sumbernya 22 yang boleh melewati firewall. Hal ini tidak berlaku

untuk kondisi sebaliknya. Pada script tidak diberlakukan aturan untuk alamat IP apa saja melakukan ssh ke 10.1.1.5. Oleh karena itu firewall akan melihat kebijakan default yaitu DROP sehingga sambungan ssh ke alamat 10.1.1.5 tidak diijinkan dengan kata lain ditolak. Rantai FORWARD dibuat agar mesin firewall meneruskan IP yang berbeda alamat jaringan, misalnya 10.1.1.5 dengan 10.6.1.6. Pada aturan diatas, alamat IP yang dapat melewati firewall hanya berasal dari alamat jaringan 10.1.1.0 /24.

[root@netlab Desktop]# ssh 10.1.1.1

[email protected]’s passwaord:

Last login: Fri Jun 25 13:40:12 2004 from 10.1.1.3 [root@firewall root]#

Pada contoh di atas dicoba melakukan sambungan ssh ke komputer firewall dari komputer asisten dan ternyata diijinkan melewati firewall.

[root@baris1 tes]# ssh 10.1.1.3

{ koneksi digagalkan }

Pada contoh di atas dicoba melakukan sambungan ssh ke komputer firewall dari komputer baris dan ternyata digagalkan. 4.2.3 Koneksi Internet

IPTABLES –A FORWARD -p tcp - - dport 80 -j ACCEPT IPTABLES –A FORWARD -p tcp - - sport 80 -j ACCEPT

Untuk sambungan ke internet menggunakan port 80, untuk itu dibuat aturan pada rantai FORWARD agar komputer yang port tujuannya 80 diijinkan melewati firewall.

4.3 Paket UDP

Traceroute merupakan tool yang sangat berguna yang bekerja dengan mengirimkan paket UDP dan biasa digunakan untuk mendeteksi dimana keberadaan suatu komputer dan di network mana dia terhubung. Aturan dibuat agar mesin firewall tidak dapat dilacak dengan menggunakan traceroute.

[root@cisco Desktop]# traceroute 10.1.1.1

traceroute to 10.1.1.1 (10.1.1.1), 30 hops max, 38 byte packets

1 * * * 2 * * * 3 * * *

[root@cisco Desktop]#

Dengan pembuatan aturan tersebut, jaringan lokal lab. Jaringan akan sulit untuk ditembus dari luar, sehingga data-data penting yang ada pada lab. Jaringan tidak sampai ke luar. Dan dengan adanya akses kontrol baik terhadap layanan dan arah sangat memudahkan dalam mengontrol komputer yang sedang digunakan.

Dalam dokumen BAB I TEORI DASAR FIREWALL (Halaman 43-53)
Unduh sekarang "BAB I TEORI DASAR FIRE..."

Garis besar

Dokumen terkait