Wednesday, June 19, 2013

Firewall Iptables

Soal Shift
Dalam pengerjaan soal shift kali ini kami menggunakan topologi dan uml yang sudah di buat di modul 4, sesuai dengan apa yang telah dibangun di packet tracer, untuk lebih jelasnya silahkan baca post saya yang lalu [disini].
Kami mengatur iptables di router ampel karena merupakan router DMZ, dan diisi di rc.local-nya. Cara melihat rc.local adalah $nano /etc/rc.local

a. Semua subnet tidak dapat mengakses TCP port 21, 443, 66 pada DMZ kecuali subnet plaza surabaya, sedangkan port TCP yang diijinkan untuk mengakses DMZ adalah port 80, 8080, 22


b. Mengijinkan semua akses UDP ke DMZ

c. Subnet DMZ tidak dapat di PING dari luar selain dari subnet AJK dan jaringan internal

d. Koneksi kepada DMZ melalui ssh dibatasi sebanyak 5 koneksi

e. Buatlah sebuah perintah IPtables untuk mengatasi synflood

f. Buatlah sebuah perintah IPtables untuk mengatasi force ssh attack

g. Buatlah perintah IPtables untuk memblok paket scanning. Contoh: xmas, fin, scan

h. Subnet TAMAN BUNGKUL hanya bisa diakses oleh subnet PLASA SURABAYA*, subnet PLASA SURABAYA hanya bisa diakses ketika jam kerja (08.00-16.00), subnet SUTOS tidak bisa melakukan koneksi ke Yahoo Messenger dan Facebook serta tidak bisa melakukan streaming video pada hari dan jam kerja (senin-jumat 07.00-17.00) (*Di soal seharusnya menggunakan KEBUN BIBIT, namun di topologi uml kami KEBUN BIBITnya agak error sehingga diganti PLASA SURABAYA)

i. Selain DMZ gunakan NAT untuk mengakses jaringan luar (tidak boleh memakai masquerade)

j. Catat semua log yang di drop oleh firewall 


Cara Mengeceknya:
$iptables -nvxL
-> untuk mengecek lognya (setelah dilakukan perintah hping3 dari host lain)

$hping3 [ip] -S -V -p [port]
-> untuk mengping biasa

$hping3 [ip] --udp -S -V
-> untuk mengecek udp

$hping3 -i u1 -S -p [port] [ip]
-> untuk mengecek synflood
-> u1 itu dalam waktu 1 microsecond

$nmap -sX [host]
-> untuk mengecek blocking packet scanning
-> host itu ipnya ampel (kalo naro syntaxnya di ampel)


Untuk penjelasan mengenai iptables lebih lanjut bisa dilihat di beberapa sumber berikut ini:

No comments:

Post a Comment