DESAIN MEDIA PEMBELAJARAN BAHASA INDONESIA BERBASIS DIGITAL.pptx
Teori modul 3_konfigurasi firewal
1. SYAIFUL AHDAN, M.T.
Fakultas Teknik dan Ilmu Komputer
Universitas Teknokrat Indonesia
2017
Firewal IPTABLES
http://kambing.ui.ac.id/onnopurbo/library/library-ref-ind/ref-ind-3/network/network-security/adm_iptables_praktis.pdf
2. 2Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
Tujuan Pembelajaran
1. Mengenalkan pada mahasiswa tentang konsep
dasar firewall
2. Mahasiswa mampu melakukan proses filtering
menggunakan iptables
3. 3Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
Dasar Teori
● Firewall adalah sistem atau sekelompok sistem yang
menetapkan kebijakan kendali akses antara dua jaringan.
● firewall dapat dianggap sebagai sepasang mekanisme :
● memblok lalu lintas.
● mengijinkan lalu lintas jaringan.
● Firewall dapat digunakan untuk melindungi jaringan anda dari
serangan jaringan oleh pihak luar, namun firewall tidak dapat
melindungi dari serangan yang tidak melalui firewall dan
serangan dari seseorang yang berada di dalam jaringan anda,
serta firewall tidak dapat melindungi anda dari program-
program aplikasi yang ditulis dengan buruk.
4. 4Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
Fungsi Firewal
Secara umum, firewall biasaya menjalankan fungsi :
● Analisa dan filter paket
Data yang dikomunikasikan lewat protokol di internet, dibagi
atas paket-paket. Firewall dapat menganalisa paket ini,
kemudian memperlakukannya sesuai kondisi tertentu. Misal,
jika ada paket a maka akan dilakukan b. Untuk filter paket,
dapat dilakukan di Linux tanpa program tambahan.
● Bloking isi dan protokol
Firewall dapat melakukan bloking terhadap isi paket, misalnya
berisi applet Jave, ActiveX, VBScript, Cookie.
5. 5Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
Jenis Firewall
Secara Konseptual terdapat dua macam firewal :
● Network level
Firewall network level mendasarkan keputusan mereka pada
alamat sumber, alamat tujuan dan port yang terdapat dalam setiap
paket IP. Network level firewall sangat cepat dan sangat transparan
bagi pemakai. Application level firewall biasanya adalah host yang
berjalan sebagai proxy server, yang tidak mengijinkan lalu lintas
antar jaringan, dan melakukan logging dan auditing lalu lintas yang
melaluinya
● Application level
Application level firewall menyediakan laporan audit yang lebih rinci
dan cenderung lebih memaksakan model keamanan yang lebih
konservatif daripada network level firewall.Firewall ini bisa
dikatakan sebagai jembatan. Application-Proxy Firewall biasanya
berupa program khusus, misal squid.
6. 6Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
IPTABLES
tools dalam sistem operasi linux yang berfungsi sebagai alat
untuk melakukan filter (penyaringan) terhadap (trafic) lalulintas
data.
● sebagai pengatur lalulintas data.
● Dengan iptables dapat mengatur semua lalulintas dalam
komputer, lalulintas masuk dan keluar, ataupun traffic yang
sekedar melewati komputer.
7. 7Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
Policy & Target
a) Input
b) Output
c) Forward
Firewall IPTables packet filtering memiliki tiga aturan (Policy) yaitu :
Selain aturan (Policy) firewall iptables juga mempunyai
parameter yang disebut dengan TARGET, yaitu status yang
menentukan koneksi di iptables diijinkan lewat atau tidak.
TARGET ada tiga macam yaitu
a) ACCEPT
b) REJECT
c) DROP
8. 8Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
INPUT : untuk filtering trafik yang memasuki firewall
OUTPUT : untuk filtering trafik yang keluar dari firewall
FORWARD : untuk filtering trafik yang melintasi firewall langsung ke internet
Policy
10. 10Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
Policy : Input
Mengatur paket data yang memasuki firewall dari arah intranet
maupun internet. kita bisa mengelola komputer mana saja yang bisa
mengakses firewall. misal: hanya komputer IP 192.168.10.50 yang
bisa SSH ke firewall dan yang lain tidak boleh.
Input
11. 11Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
Policy :Output
Mengatur paket data yang keluar dari firewall ke arah intranet
maupun internet. Biasanya output tidak diset, karena bisa membatasi
kemampuan firewall itu sendiri.
Output
12. 12Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
Policy :Output
Mengatur paket data yang melintasi firewall dari arah internet ke
intranet maupun sebaliknya. Policy forward paling banyak dipakai
saat ini untuk mengatur koneksi internet berdasarkan port, mac
address dan alamat IP.
Forward
13. 13Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
Dua Pendekatan dalam Konfigurasi Firewall
1. Negative List : Port apa saja yang harus ditutup ?
Secara DEFAULT seluruh port dibuka, dan kemudian port tersebut
di TUTUP dan kemudian secara satu per satu port ditutup sesuai
yang diinginkan.
2. Positive List : Port apa saja yang harus dibuka ?
Secara DEFAULT seluruh port ditutup, dan kemudian port tersebut
di TUTUP dan kemudian secara satu per satu port dibuka sesuai
yang diinginkan.
14. 14Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
Dua Pendekatan dalam Konfigurasi Firewall
1. Negative List :
● Mudah Ditutup
● Lebih beresiko lupa menutup port.
2. Positive List :
● Sangat Secure, karena semua port ditutup.
● Relatif lebih sulit di setup
15. 15Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
Konsep NAT Filet / IPTables
PREROUTING
Nat, mangle
INPUT
filter, mangle
FORWARD
filter, mangle
POSTROUTING
Nat, mangle
OUTPUT
filter, nat, mangle
Network : eth0, eth1, ppp0
Local Services : eth0, eth1, ppp0 / Linux Box
www.ftp, smtp,dns
chain
table
16. 16Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
DEFINISI (CHAIN & TABLE)
● PREROUTING :
● INPUT :
Bagian yang digunakan untuk melakukan pemeriksaan terhadap paket network
yang akan MASUK ke dalam Linux.
Bagian yang digunakan untuk memanipulasi Network, sebelum paket
memasuki keputusan routing, apakah paket akan diteruskan ke linux, apakah
hanya ‘lewat’ saja.
● OUTPUT :
Bagian yang digunakan untuk melakukan pemeriksaan terhadap paket network
yang dihasilkan oleh Linux KELUAR sebelum routing.
Bagian yang digunakan untuk melakukan manipulasi terhadap paket yang
akan keluar dari Linux
● POSTROUTING :
● FORWARD :
Bagian yang digunakan untuk melakukan pemeriksaan terhadap paket network
yang hanya LEWAT di Linux
17. 17Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
● PREROUTING
● INPUT
● OUTPUT
● FORWARD
● POSTROUTING
CHAIN
DEFINISI (CHAIN & TABLE)
table adalah tempat rule2/aturan2 yang kita
buat disimpan. Ada 3 buah table, secara
general dapat kita definisikan:
1. Filter
2. NAT
3. Mangle
TABLE
18. 18Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
TABLE FILTER
Table filter adalah tempat rule rule yang berkaitan dengan boleh atau
tidaknya suatu paket network melewati CHAIN
● PREROUTING
● INPUT
● OUTPUT
● FORWARD
● POSTROUTING
FILTER
TABLE
CHAIN
19. 19Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
TABLE NAT
NAT (Network address Translation), yaitu table tempat rule-rule yang
berkaitan dengan manipulasi suatu paket network ketika melewati
CHAIN PREROUTING, POSTROUTING, OUTPUT
● PREROUTING
● INPUT
● OUTPUT
● FORWARD
● POSTROUTING
NAT
TABLE
CHAIN
20. 20Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
TABLE MANGLE
MANGLE, adalah tempat rule-rule yang berkaitan dengan manipulasi
suatu paket network untuk keperluan advance, seperti QoS (Quality
of Service), Packet Marking dll.
● PREROUTING
● INPUT
● OUTPUT
● FORWARD
● POSTROUTING
MANGLE
TABLE
CHAIN
21. 21Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
● PREROUTING
● INPUT
● OUTPUT
● FORWARD
● POSTROUTING
CHAIN
DEFINISI (CHAIN & TABLE)
table adalah tempat rule2/aturan2 yang kita
buat disimpan. Ada 3 buah table, secara
general dapat kita definisikan:
1. Table Filter
2. Table NAT
3. Table mangle
TABLE
22. 22Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
penggunaan firewall iptables untuk mengelolak akses internet.
IP Firewall = 192.168.1.1
IP Administrator = 192.168.1.100
IP Umum = 192.168.1.200
Contoh Firewall iptables
192.168.1.1
192.168.1.100
192.168.1.200
iptables -A INPUT -i eth1 -s 192.168.1.200 -d 192.168.1.1 -p tcp -dport 22-j REJECT
1. Membatasi port number
melarang komputer klien dengan IP 192.168.1.200 mengakses port 22 (ssh) firewall yang memiliki IP
192.168.1.1
192.168.1.150
192.168.1.99
23. 23Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
192.168.1.1
192.168.1.100
192.168.1.200
iptables -A FORWARD -s 192.168.1.99 -d 0/0 -j REJECT
2. Membatasi koneksi 1 alamat IP
Melarang komputer 192.168.1.99 mengakses ke semua tujuan ( -d 0/0)
192.168.1.99
192.168.1.150
Contoh Firewall iptables ( Policy FORWARD)
24. 24Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
192.168.1.1
192.168.1.100
192.168.1.200
iptables -A FORWARD -m iprange -src-range 192.168.1.100-192.168.1.200 -d 0/0 -j REJECT
3. Membatasi koneksi berdasarkan Range IP
Melarang komputer dari range 192.168.1.100 sampai 200 mengakses ke semua tujuan ( -d 0/0)
192.168.1.99
192.168.1.150
Contoh Firewall iptables ( Policy FORWARD)
25. 25Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
Contoh Firewall iptables ( Policy FORWARD)
192.168.1.1
192.168.1.100
192.168.1.200
iptables -A FORWARD -m mac -mac-source 00:30:18:AC:14:41 -d 0/0 -j REJECT
4. Membatasi koneksi berdasarkan Mac Address
Melarang komputer dari range 192.168.1.100 sampai 200 mengakses ke semua tujuan ( -d 0/0)
192.168.1.99
00:30:18:AC:14:41
192.168.1.150
26. 26Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
● Fungsi utama dari NAT adalah untuk melakukan translasi alamat dari satu alamat
ke alamat IP yang lain, biasanya dipakai pada internet gateway.
● iptables juga bisa melakukan NAT alamat Port aplikasi, bisa disebut juga dengan
Port Address Translation (PAT). PAT digunakan untuk membangun beberapa
server seperti mail, web, database maupun datacenter yang diakses melalui
internet hanya dengan satu alamat IP publik.
27. 27Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
● POSTROUTING, yaitu melakukan NAT paket data yang keluar dari firewall,
kebanyakan postrouting dipakai untuk translasi alamat IP.
● PREROUTING, untuk melakukan NAT paket data yang memasuki firewall,
kebanyakan digunakan untuk transparency proxy server dan membangun
beberapa server dengan satu IP publik.
Prinsip Dasar NAT
28. 28Universitas Teknokrat Indonesia - Fakultas Teknik dan Ilmu Komputer
● Translasi alamat yang keluar dari firewall, berarti kita melihat paket data yang
keluar dari kartu LAN.
POSTROUTING