Contoh kasus beserta sintaks IPTABLES untuk solusinya.
- Semua subnet tidak dapat mengakses TCP port 21, 443, 66 pada DMZ, kecuali subnet KEBUN_BIBIT, sedangkan port TCP yang diizinkan untuk mengakses DMZ adalah port 80, 8080, 22.
Solusi:Network ID (NID) dari server DMZ adalah 10.151.71.144/29, sedangkan NID dari host kebun_bibit adalah 10.51.0.0/27. Sintaks IPTABLES di bawah ini diterapkan pada router yang terhubung langsung dengan DMZ, yaitu router ampel.
iptables -A FORWARD -p tcp -i eth0 -s 10.51.0.0/27 -d 10.151.71.144/29 -m multiport --dport 21,443,66 -j ACCEPT #menerima dari kebun bibit pada port 21 443 66
iptables -A FORWARD -p tcp -i eth0 -s 0.0.0.0/0 -d 10.151.71.144/29 -m multiport --dport 80,8080,22 -j ACCEPT #menerima dari semua yang ada di port 80,8080,22
iptables -A FORWARD -p tcp -i eth0 -s ! 10.51.0.0/27 -d 10.151.71.144/29 -m multiport --dport 21,443,66 -j REJECT #menolak selain dari kebun bibit pada port 21 443 66 - Mengizinkan semua akses UDP ke DMZ
Solusi:Network ID (NID) server DMZ adalah 10.151.71.144/29. Sintaks IPTABLES di bawah ini diterapkan pada router yang terhubung langsung dengan DMZ, yaitu router ampel.
iptables -A FORWARD -p udp -i eth0 -s 0.0.0.0/0 -d 10.151.71.144/29 -j ACCEPT #semua bisa akses udp ke dmz - Subnet DMZ tidak dapat di-PING dari luar selain subnet AJK dan jaringan internal.
Solusi:Network ID (NID) server DMZ adalah 10.151.71.144/29. NID dari lab AJK adalah 10.151.36.0/24. NID jaringan internal dari topologi yang digunakan adalah 10.51.0.0/17. Sintaks IPTABLES di bawah ini diterapkan pada router yang terhubung langsung dengan DMZ, yaitu router ampel.
iptables -A FORWARD -p icmp -i eth0 -s 10.51.0.0/17 -d 10.151.71.144/29 -j ACCEPT #dmz bisa di ping oleh jaringan internal
iptables -A FORWARD -p icmp -i eth0 -s 10.151.36.0/24 -d 10.151.71.144/29 -j ACCEPT #dmz bisa di ping oleh AJK
iptables -A FORWARD -p icmp -i eth0 -s ! 10.51.0.0/17 -d 10.151.71.144/29 -j REJECT #dmz tidak bisa diping jaringan selain internal
iptables -A FORWARD -p icmp -i eth0 -s ! 10.151.36.0/24 -d 10.151.71.144/29 -j REJECT #dmz tidak bisa diping selain AJK - Koneksi kepada DMZ melalui ssh dibatasi sebanyak 5 koneksi.
Solusi:Network ID (NID) server DMZ adalah 10.151.71.144/29. Sintaks IPTABLES di bawah ini diterapkan pada router yang terhubung langsung dengan DMZ, yaitu router ampel.
iptables -A FORWARD -p tcp -i eth1 -d 10.151.71.144/29 --syn --dport 22 -m connlimit --connlimit-above 5 -j REJECT - Buatlah sebuah perintah IPTABLES untuk mengatasi synflood!
Solusi:Sintaks IPTABLES di bawah ini diterapkan pada router utama dalam topologi, yaitu router tugu_pahlawan.
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j REJECT - Buatlah sebuah perintah IPTABLES untuk mengatasi force ssh attack!
Solusi:Sintaks IPTABLES di bawah ini diterapkan pada router utama dalam topologi, yaitu router tugu_pahlawan.
iptables -I FORWARD -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
iptables -I FORWARD -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 4 --name DEFAULT --rsource -j REJECT - Buatlah perintah IPTABLES untuk memblok paket scanning. Contoh: xmas, fin scan.
Solusi:Sintaks IPTABLES di bawah ini diterapkan pada router utama dalam topologi, yaitu router tugu_pahlawan.
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j REJECT
#Force Fragments packets check
iptables -A FORWARD -f -j REJECT
#XMAS packets
iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j REJECT
#REJECT all NULL packets
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j REJECT
#Block Spoofing and bad addresses - Subnet TAMAN_BUNGKUL hanya bisa diakses oleh subnet KEBUN_BIBIT, subnet PLAZA_SURABAYA hanya bisa diakses ketika jam kerja (08.00-16.00), subnet SUTOS tidak bisa melakukan koneksi ke Yahoo Messenger dan Facebook serta tidak bisa melakukan streaming video pada hari dan jam kerja (Senin-Jumat 07.00-17.00).
Solusi:siola:
iptables -A FORWARD -p all -i eth0 -s 10.51.0.0/27 -d 10.51.116.0/22 -j ACCEPT #menerima dari kebun bibit
iptables -A FORWARD -p all -i eth0 -s ! 10.51.0.0/27 -d 10.51.116.0/22 -j REJECT #menolak selain dari kebun bibit
balaikota :
iptables -A FORWARD -p all -s 0.0.0.0/0 -d 10.51.120.128/25 -m time --timestart 08:00 --timestop 16:00 -j ACCEPT
stasiun gubeng :
iptables -A FORWARD -p all -s 0.0.0.0/0 -s 10.51.2.0/23 -d 173.252.110.27 -m time --timestart 07:00 --timestop 17:00 --weekdays Mon,Tue,Wed,Thu,Fri -j REJECT #facebook
iptables -A FORWARD -p all -s 0.0.0.0/0 -s 10.51.2.0/23 -d 69.171.229.25 -m time --timestart 07:00 --timestop 17:00 --weekdays Mon,Tue,Wed,Thu,Fri -j REJECT #yahoo messenger
iptables -A FORWARD -p all -s 0.0.0.0/0 -s 10.51.2.0/23 -d 208.65.153.253 -m time --timestart 07:00 --timestop 17:00 --weekdays Mon,Tue,Wed,Thu,Fri -j REJECT #youtube - Selain DMZ gunakan NAT untuk mengakses jaringan luar (tidak boleh menggunakan masquerade).
Solusi:tugu:
iptables -t nat -A POSTROUTING -o eth0 -j SNAT -s 10.151.70.73 - Catat semua log yang di drop oleh firewall!
Solusi:
semua router:
iptables -N LOGGING
iptables -A INPUT -j LOGGING

Tidak ada komentar:
Posting Komentar