Rabu, 19 Juni 2013

Modul 5: Implementasi IPTABLES

       Postingan ini merupakan postingan saya sebelumnya. Kali ini akan dibahas mengenai implementasi IPTABLES dalam berbagai macam kasus. Dalam hal ini, jaringan yang digunakan ialah topologi jaringan yang digunakan di modul 4. Gambarnya adalah sebagai berikut.

Contoh kasus beserta sintaks IPTABLES untuk solusinya.
  1. Semua subnet tidak dapat mengakses TCP port 21, 443, 66 pada DMZ, kecuali subnet KEBUN_BIBIT, sedangkan port TCP yang diizinkan untuk mengakses DMZ adalah port 80, 8080, 22.
    Solusi:Network ID (NID) dari server DMZ adalah 10.151.71.144/29, sedangkan NID dari host kebun_bibit adalah 10.51.0.0/27. Sintaks IPTABLES di bawah ini diterapkan pada router yang terhubung langsung dengan DMZ, yaitu router ampel.

    iptables -A FORWARD -p tcp -i eth0 -s 10.51.0.0/27 -d 10.151.71.144/29 -m multiport --dport 21,443,66 -j ACCEPT #menerima dari kebun bibit pada port 21 443 66
    iptables -A FORWARD -p tcp -i eth0 -s 0.0.0.0/0 -d 10.151.71.144/29 -m multiport --dport 80,8080,22 -j ACCEPT #menerima dari semua yang ada di port 80,8080,22

    iptables -A FORWARD -p tcp -i eth0 -s ! 10.51.0.0/27 -d 10.151.71.144/29 -m multiport --dport 21,443,66 -j REJECT #menolak selain dari kebun bibit pada port 21 443 66

  2. Mengizinkan semua akses UDP ke DMZ
    Solusi:Network ID (NID) server DMZ adalah 10.151.71.144/29. Sintaks IPTABLES di bawah ini diterapkan pada router yang terhubung langsung dengan DMZ, yaitu router ampel.

    iptables -A FORWARD -p udp -i eth0 -s 0.0.0.0/0 -d 10.151.71.144/29 -j ACCEPT #semua bisa akses udp ke dmz
  3. Subnet DMZ tidak dapat di-PING dari luar selain subnet AJK dan jaringan internal.
    Solusi:Network ID (NID) server DMZ adalah 10.151.71.144/29. NID dari lab AJK adalah 10.151.36.0/24. NID jaringan internal dari topologi yang digunakan adalah 10.51.0.0/17.  Sintaks IPTABLES di bawah ini diterapkan pada router yang terhubung langsung dengan DMZ, yaitu router ampel.

    iptables -A FORWARD -p icmp -i eth0 -s 10.51.0.0/17 -d 10.151.71.144/29 -j ACCEPT #dmz bisa di ping oleh jaringan internal
    iptables -A FORWARD -p icmp -i eth0 -s 10.151.36.0/24 -d 10.151.71.144/29 -j ACCEPT #dmz bisa di ping oleh AJK

    iptables -A FORWARD -p icmp -i eth0 -s ! 10.51.0.0/17 -d 10.151.71.144/29 -j REJECT #dmz tidak bisa diping jaringan selain internal
    iptables -A FORWARD -p icmp -i eth0 -s ! 10.151.36.0/24 -d 10.151.71.144/29 -j REJECT  #dmz tidak bisa diping selain AJK

  4. Koneksi kepada DMZ melalui ssh dibatasi sebanyak 5 koneksi.
    Solusi:Network ID (NID) server DMZ adalah 10.151.71.144/29. Sintaks IPTABLES di bawah ini diterapkan pada router yang terhubung langsung dengan DMZ, yaitu router ampel.

    iptables -A FORWARD -p tcp -i eth1 -d 10.151.71.144/29 --syn --dport 22 -m connlimit --connlimit-above 5 -j REJECT
  5. Buatlah sebuah perintah IPTABLES untuk mengatasi synflood!
    Solusi:Sintaks IPTABLES di bawah ini diterapkan pada router utama dalam topologi, yaitu router tugu_pahlawan.

    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j REJECT
  6. Buatlah sebuah perintah IPTABLES untuk mengatasi force ssh attack!
    Solusi:Sintaks IPTABLES di bawah ini diterapkan pada router utama dalam topologi, yaitu router tugu_pahlawan.

    iptables -I FORWARD -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
    iptables -I FORWARD -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 4 --name DEFAULT --rsource -j REJECT

  7. Buatlah perintah IPTABLES untuk memblok paket scanning. Contoh: xmas, fin scan.
    Solusi:Sintaks IPTABLES di bawah ini diterapkan pada router utama dalam topologi, yaitu router tugu_pahlawan.

    iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j REJECT
    #Force Fragments packets check

    iptables -A FORWARD -f -j REJECT
    #XMAS packets

    iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j REJECT
    #REJECT all NULL packets

    iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j REJECT
    #Block Spoofing and bad addresses

  8. Subnet TAMAN_BUNGKUL hanya bisa diakses oleh subnet KEBUN_BIBIT, subnet PLAZA_SURABAYA hanya bisa diakses ketika jam kerja (08.00-16.00), subnet SUTOS tidak bisa melakukan koneksi ke Yahoo Messenger dan Facebook serta tidak bisa melakukan streaming video pada hari dan jam kerja (Senin-Jumat 07.00-17.00).
    Solusi:siola:
    iptables -A FORWARD -p all -i eth0 -s 10.51.0.0/27 -d 10.51.116.0/22 -j ACCEPT #menerima dari kebun bibit
    iptables -A FORWARD -p all -i eth0 -s ! 10.51.0.0/27 -d 10.51.116.0/22 -j REJECT #menolak selain dari kebun bibit

    balaikota :
    iptables -A FORWARD -p all -s 0.0.0.0/0 -d 10.51.120.128/25 -m time --timestart 08:00 --timestop 16:00 -j ACCEPT

    stasiun gubeng :
    iptables -A FORWARD -p all -s 0.0.0.0/0 -s 10.51.2.0/23 -d 173.252.110.27 -m time --timestart 07:00 --timestop 17:00 --weekdays Mon,Tue,Wed,Thu,Fri -j REJECT #facebook
    iptables -A FORWARD -p all -s 0.0.0.0/0 -s 10.51.2.0/23 -d 69.171.229.25 -m time --timestart 07:00 --timestop 17:00 --weekdays Mon,Tue,Wed,Thu,Fri -j REJECT #yahoo messenger
    iptables -A FORWARD -p all -s 0.0.0.0/0 -s 10.51.2.0/23 -d 208.65.153.253 -m time --timestart 07:00 --timestop 17:00 --weekdays Mon,Tue,Wed,Thu,Fri -j REJECT #youtube

  9. Selain DMZ gunakan NAT untuk mengakses jaringan luar (tidak boleh menggunakan masquerade).
    Solusi:tugu:
    iptables -t nat -A POSTROUTING -o eth0 -j SNAT -s 10.151.70.73

  10. Catat semua log yang di drop oleh firewall!
    Solusi:
    semua router:
    iptables -N LOGGING
    iptables -A INPUT -j LOGGING

Tidak ada komentar:

Posting Komentar