TK3193 - NE1004 - 2 - 19 - Firewall dan iptables

Download Report

Transcript TK3193 - NE1004 - 2 - 19 - Firewall dan iptables

KEAMANAN JARINGAN
(TK-3193)
Tujuan Mata Kuliah
•
•
•
•
•
Setelah mengikuti matakuliah ini diharapkan
mahasiswa mampu:
Memahami konsep dasar keamanan jaringan
Memahami teknik penyerangan jaringan
Memahami teknik pengamanan jaringan
Memahami Manajemen Resiko Keamanan Jaringan
Mengetahui Aspek Hukum/Legal Keamanan Jaringan
Silabus
1. Teknik Penyerangan
OSI Layer, konsep keamanan jaringan, teknik
penyerangan, …
2. Teknik Pengamanan / Pertahanan
Otentikasi & kriptografi, firewall/iptables, vpn dan
IDS
3. Pengelolaan Resiko Keamanan, beserta
aspek Hukum/Legalitas
Firewall
Definisi
hardware atau software yang melindungi komputer
(yang terhubung dengan jaringan) dari serangan yang
dapat mengganggu faktor condifentiality atau
merusak data atau terganggunya layanan.
Prinsip Dasar Firewall
1. Traffic (Lalu lintas data jaringan) dari dalam
ke luar jaringan atau sebaliknya, harus
melewati firewall
2. Hanya traffic yang sudah ditetapkan dapat
melintasi firewall
3. Firewall harus dipasang pada sebuah sistem
yang aman dari attack.
Batasan Firewall
• Tidak dapat melindungi dari attack yang
berasal dari koneksi/akses yang legitimate.
– Misal: trusted network (kantor cabang), trusted
services (SSL/SSH), dll
• Tidak dapat melindungi dari ancaman internal
• Tidak dapat melindungi secara penuh dari
pertukaran file yang terinfeksi virus atau
worm. (terlalu banyak jenis OS dan virus)
7
Jenis Firewall
•
•
•
•
Packet Filtering Firewall
Statefull Inspection Firewalls
Application-Level Gateway / Application Proxy
Circuit-Level Gateway
Jenis Pemasangan
• Bastion host
• Host Based
• Personal Firewall
Posisi Firewall di jaringan (topologi)
• Dual Homed
• De-Militerized Zone (DMZ) atau Screened
Subnet
• Distributed Firewall
• VPN/IPSec
Jenis Firewall
Packet Filtering Firewall
• Jenis firewall paling sederhana dan cepat.
• Dasar dari semua jenis/sistem firewall lainnya.
• Menguji setiap paket IP (dan TCP, tanpa detail) dan
mengizinkan(permit) atau menolak(deny)
berdasarkan aturan yang ditetapkan
• Membatasi akses ke layanan (ports)
• Pilihan aturan dasar (default policies)
– Menolak semua packet (discard packet), kecuali yang dibolehkan oleh
rule. Disebut juga conservative policy.
– Mengizinkan semua packet(forward/allow packet), kecuali yang
dilarang oleh rule. Disebut juga permissive policy.
Packet Filtering Firewall
13
Packet Filtering Firewall
14
Packet Filtering Firewall
(jenis attack)
• IP address spoofing
– fake source address
– authenticate
• source routing attacks
– attacker sets a route other than default
– block source routed packets
• tiny fragment attacks
– split header info over several tiny packets
– either discard or reassemble before check
15
Statefull Inspection Firewalls
• Melakukan pemeriksaan packet hingga ke status
koneksi.
Misal:
– Memeriksa session
– Memeriksa urutan stream
– Dll
• Dapat mendeteksi paket yang tidak benar (bogus),
biasanya terkait dengan attack atau anomali
konfigurasi di sistem.
Statefull Inspection Firewalls
Application-Level Gateway /
Application Proxy
• Berfungsi sebagai gerbang khusus(proxy) untuk
aplikasi tertentu
– Web, dll
• Memiliki akses penuh atas protokol pada aplikasi.
– Pengguna meminta(request) layanan dari proxy.
– Melakukan validasi atas permintaan dan melakukan
tindakan yang sesuai menurut protokol.
– Dapat membuat log/audit traffic pada tingkat aplikasi
• Perlu proxy untuk setiap aplikasi
– Ada aplikasi yang mendukung mekanisme proxy, ada yang
tidak.
Application-Level Gateway
Circuit-Level Gateway
• Melakukan relay atas 2 koneksi TCP
• Menerapkan keamanan dengan membatasi
bentuk koneksi yang diizinkan
• Setelah aktif, traffic akan diteruskan tanpa
pemeriksaan.
Misal: SOCKS
Circuit-Level Gateway
Jenis Pemasangan
Bastion Host
• Memiliki sistem host yang tangguh
• Menjalankan circuit / application level gateways
• Menyediakan layanan yang dapat diakses oleh sistem
lain (misal: authentication)
• Dapat mendukung lebih dari satu koneksi jaringan
• kemananan dapat dicapai dengan :
–
–
–
–
hardened O/S
essential services
extra auth
Aplikasi proxy modular dan non-privileged
Host-Based Firewalls
• Modul aplikasi yang digunakan untuk mengamankan
sebuah host saja.
Misal: iptables pada sebuah web server
• Keuntungan:
– Dapat mengatur filter sesuai dengan kebutuhan host.
– Memberikan perlindungan yang tidak tergantung pada
topologi jaringan.
– Memberikan layer perlindungan tambahan pada host.
Personal Firewalls
• mengatur traffic antara workstation/PC
dengan internet atau jaringan perusahaan
• Merupakan modul software pada PC. Misal
windows firewall, dll.
• Tujuan utaman adalah untuk menolak akses
yang tidak diinginkan ke PC dan memonitor
aktivitas traffic keluar PC yang berasal dari
mallware.
Posisi Firewall di Jaringan
(topologi)
Dual Homed
DMZ
atau
Screened
subnet
DMZ atau Screened subnet
Distributed
Firewall
VPN
IPTABLES
iptables
• iptables adalah tool administrasi untuk fitur
packet filtering and NAT IPv4 yang disediakan
oleh sistem operasi linux.
• digunakan untuk membuat, mengelola dan
melihat tabel aturan (table) packet filtering
yang digunakan oleh kernel.
Tables, Rules, Chain, Target, Action
• Tabel aturan (table) dapat lebih dari satu dan
masing2nya terdiri dari beberapa chain
• chain dapat berupa chain built-in pada kernel atau
chain yang didefinisikan sendiri
• setiap chain terdiri dari satu set aturan (rule) yang
cocok dengan jenis packet tertentu
• packet-packet yang cocok dengan aturan (rule)
disebut dengan target.
• setiap rule harus menetapkan tindakan (action) yang
akan dilakukan terhadap target.
Pertanyaan?
Tugas B03
1. Pelajari iptables, dan:
–
–
–
Buat mindmap tentang iptables sedetil mungkin.
Cari Packet flow diagram dari iptables dan jelaskan
dikerjakan sendiri(pribadi)
2. Buat jaringan seperti pada diagram dibawah.
–
–
Test ping antar semua host ( 5 tujuan per host) dan ambil screenshot.
Dapat dikerjakan dalam tim maksimal dua (2) orang.
Kumpulkan :
paling lambat Selasa, 13 November 2012 jam 08:00 WIB
ke SISFO dan email .
To
: jimmy at yusandra dot info
Subyek : NE04_B03_NIM_Nama
Topologi Jaringan dan VM