Pertemuan VII Materi Firewall

7.1 Kompetensi Akhir yang Direncanakan

• Memahami dasar-dasar firewall

• Memahami konfigurasi firewall 7.2 Teori Singkat

Pendahuluan

Firewall merupakan komponen-komponen yang membatasi akses antara jaringan internal dengan internet, atau antar jaringan pada umumnya.

Kegunaan Firewall diantaranya:

• Membatasi gerak orang yang masuk ke dalam jaringan internal

• Membatasi gerak orang yang keluar dari jaringan internal

• Mencegah penyerang mendekati pertahanan yang berlapis Apa yang bisa dilakukan firewall?

• Firewall adalah choke point, yakni pusat “checkpoint sekuriti”. Lebih baik memusatkan “keluar masuk” pada satu titik, ketimbang harus melakukan pemantauan di semua tempat.

• Firewall bisa memaksakan sekuriti policy. Misalnya jangan sampai ada orang luar yang bisa mengakses directory service dari perusahaan yang berisis arsip pegawai.

• Firewall bisa mencatat aktifitas Internet dengan efektif, termasuk yang gagal melakukan hacking

• Firewall bisa membatasi orang lain mengintip-intip jaringan internal, dan kalaupun terhack, maka yang kena hack cuma bagian tertentu saja.

Apa yang tidak dapat dilakukan firewall?

• Firewall tidak bisa melindungi dari serangan orang dalam

• Firewall tidak bisa melindungi serangan yang tidak melalui firewall tersebut (tidak melalui choke point). Misalnya ada yang memasang dial-up service, sehingga jaringan bisa diakses lewat modem.

• Firewall tidak bisa melindungi jaringan internal terhadap serangan-serangan model baru.

• Firewall tidak bisa melindungi jaringan terhadap virus.

7.3 Pelaksanaan Praktikum

• Mahasiswa wajib menggunakan sistem operasi linux agar dapat melakukan konfigurasi dengan scripting yang manual

• Mahasiswa diperbolehkan menggunakan firewall "bawaan" linux yaitu iptables

• Mahasiswa melakukan ujicoba konfigurasi firewall yang sudah dibangun

7.4 Latihan

• Umumnya firewall "bawaan" linux sudah terinstall secara langsung, misal iptables.

• Cek konfigurasi firewall yang sudah ada dengan mengetikkan perintah berikut:

Gambar 14 Cek iptables sistem

• Cek policy sistem yang sudah dikonfigurasi oleh iptables

Gambar 15 Policy iptables pada sistem

• Konfigurasikan rules yang dapat melakukan block terhadap layanan web dan FTP, perintahnya adalah sebagai berikut:

#iptables -A FORWARD -m state -state NEW -m multiport -s 192.168.1.2/24 -d 0/0 -p tcp -dport www, -j REJECT

#iptables -A FORWARD -m state -state NEW -m multiport -s 192.168.1.2/24 -d 0/0 -p tcp -dport ftp, -j REJECT

#iptables -restore, iptables save

• Cek koneksi dengan melakukan ping ke komputer lain, misalnya:

Gambar 16 Koneksi ping yang dibolehkan

• Apabila koneksi tersebut diblok oleh firewall maka hasilnya:

Gambar 17 Koneksi yang ditolak oleh firewall

7.5 Tugas

• Buat laporan praktikum materi Firewall, kemudian kumpulkan laporan dalam bentuk PDF, ke elearning, maksimal pengumpulan H-1 sebelum perkuliahan.

• Format laporannya:

• Cover, Nama MK, Identitas Mahasiswa, Praktikum Materi apa

• Silakan dokumentasikan proses konfigurasi rules untuk melakukan blok terhadap layanan tertentu

• Berikan gambar (tampilan screenshot) kemudian lakukan ujicoba rules untuk memastikan rulesnya sudah berjalan dengan baik.

• Mohon data yang digunakan sebagai eksperimen wajib menggunakan/menyinggung terkait identitas mahasiswa seperti nim, nama mahasiswa, dll

7.6 Daftar Pustaka

1. http://idris.lecturer.pens.ac.id/netsec/Modul5-Firewall.pdf 2. Triawan Adi Cahyanto - Modul Keamanan Komputer

3. https://www.howtogeek.com/177621/the-beginners-guide-to-iptables-the-linux- firewall/

Pertemuan VIII Materi Keamanan Web

8.1 Kompetensi Akhir yang Direncanakan

• Memahami dasar-dasar secure programming pada aplikasi web

• Memahami contoh serangan pada aplikasi web

• Memahami teknik menanggulangi serangan 8.2 Teori Singkat

Pendahuluan

Keamanan web atau web security adalah suatu proses untuk mengamankan suatu web.

Proses ini berupa suatu mekanisme yang bekerja untuk mencegah akses dan modifikasi oleh pengguna yang tidak dikenal terhadap data dari web yang tersimpan secara online.

Aspek pengamanan web server

• Layanan web server dengan low privilleges Pengaturan akses terhadap web server

• Meminimalkan layanan publik pada mesin yang menjalankan web server

• Menyediakan filesystem khusus untuk layanan web server 8.3 Pelaksanaan Praktikum

• Mahasiswa wajib melakukan instalasi web server yang sudah siap untuk digunakan

• Mahasiswa wajib melakukan teknik serangan menggunakan perangkat lunak burp suite atau nikto atau yang lainnya.

8.4 Latihan

• DVWA memerlukan XAMPP. Bila kalian belum menginstall XAMPP silahkan unduh dari link berikut https://www.apachefriends.org/index.html ;

• Alternatif untuk pengguna Linux dapat menggunakan LAMP. LAMP dapat diunduh pada link berikut: https://bitnami.com/stack/lamp/installer

• Unduh DVWA dari link berikut : http://www.dvwa.co.uk/

• unzip file DVWA dan letakkan di folder htdocs

• Jalankan XAMPP! Jalankan file xampp-control. Kemudian klik tombol start pada opsi Apache dan MySQL.

• Jalankan browser dan buka halaman http://localhost/dvwa/index.php. Jika tampil error database, abaikan dulu. Yang terpenting adalah DVWA telah dapat diakses dari browser.

• Default username : admin

• Default password : password

• Masuk ke setup.php dan create database

• Set security level:low

• Bila terjadi error, lakukan modifikasi pada file config.inc.php; kemudian

• Ujicoba serangan xss, silakan mengacu ke url:

https://jenuardalapang.wordpress.com/2012/10/26/tutorial-xss-attack/

• Teknik mengatasi sql injection dapat mengacu pada url:

https://belajarphp.net/tutorial-mengatasi-serangan-sql-injection/

• Teknik mengatasi serangan xss dapat mengacu pada url:

https://www.ethic.ninja/2014/10/bagaimana-mengatasi-serangan-xss.html

8.5 Tugas

• Buat laporan praktikum materi Keamanan Web, kemudian kumpulkan laporan dalam bentuk PDF, ke elearning, maksimal pengumpulan H-1 sebelum perkuliahan.

• Format laporannya:

• Cover, Nama MK, Identitas Mahasiswa, Praktikum Materi apa

• Konfigurasi DVWA (silahkan lihat di bagian bawah); set security level – low

• Lakukan SQL Injection di DVWA: coba 5 script injection yang berbeda! Laporkan data apa yang anda dapatkan serangan ini!

• Lakukan Cross Site-Scripting (XSS) di DVWA! lakukan 2 script XSS yang berbeda!

• Laporkan serangan command injection di DVWA! Laporkan informasi apa saja yang anda dapatkan pada komputer target melalui serangan ini!

• Scanning 2 website (bebas) dengan nikto. Nikto dapat diunduh pada web berikut: https://cirt.net/Nikto2. Cari informasi :

• Servernya pake apa

• Celah keamanan web tersebut

• Cari penjelasan tentang celah keamanan tersebut !

• Mohon data yang digunakan sebagai eksperimen wajib menggunakan/

menyinggung terkait identitas mahasiswa seperti nim, nama mahasiswa, dll 8.6 Daftar Pustaka

1. https://julismail.staff.telkomuniversity.ac.id/latihan-7-keamanan-web/

2. Triawan Adi Cahyanto - Modul Keamanan Komputer

3. http://edusoftcenter.com/teknik-hacking-dengan-blind-sql-injection/

4. https://jenuardalapang.wordpress.com/2012/10/26/tutorial-xss-attack/

5. https://belajarphp.net/tutorial-mengatasi-serangan-sql-injection/

6. https://www.ethic.ninja/2014/10/bagaimana-mengatasi-serangan-xss.html