Metode Pengamanan Server DG Ip Tables Proxy Portsentry PDF
Metode Pengamanan Server DG Ip Tables Proxy Portsentry PDF
Ringkasan
Router merupakan gerbang utama dari komputer pengguna akhir menuju ke inter-
net dan sebaliknya. Dengan adanya Router, pengguna bisa berselancar dengan mudah,
mengirim surat elektronik menuju ke alamat target dan sebaliknya, berikut kegiatan lain
yang terkait dengan dunia internet.
Namun di balik semua fungsi dan kemudahan tersebut, Router juga menjadi sasaran
utama para peretas di satu sisi dan juga menjadi sarana bagi pengguna untuk melakukan
hal-hal yang melebihi wewenang dan haknya.
Makalah ini akan membahas tentang pembuatan sistem keamanan komputer dan ja-
ringan perkantoran yang bergerak di bidang shipping, export - import dan logistik. Ran-
cangan sistem dengan membangun PC Router yang diinstal sistem operasi Linux beserta
perangkat Firewall dan Proxy untuk pengamanan jaringan dan membatasi akses dari
masing-masing pengguna sesuai dengan ketetapan yang dibuat oleh pihak manajemen.
1
/ Firewall menggunakan IPTables dan Proxy Thomas J. Watson Research di IBM dan di-
menggunakan Squid. luncurkan pada bulan Desember 1998. [4]
2 Kajian Pustaka
2.0.1 Linux
Linux
R
adalah sistem operasi yang pertama
kali dibuat oleh Linus Torvalds melalui pro-
yek pertamanya yang dinamakan Linux ker- Gambar 2: Logo Postfix
nel di Helsinki - Finlandia pada tahun 1991.
Sistem operasi ini pertama kali berjalan pada Pada perkembangan berikutnya, banyak
personal computer dengan processor 80386. komunitas opensource yang ikut berkecim-
[3] pung dalam perbaikan dan penambahan
fasilitas-fasilitas baru hingga saat ini.
2.0.3 Squid
Squid
R
merupakan layanan Proxy Server
dari sistem operasi Unix dan variannya ter-
masuk Linux, yang berfungsi untuk mendu-
kung kecepatan (caching proxy) akses web,
ftp dan layanan internet lainnya. Selain itu,
Gambar 1: Logo Linux Squid juga mendukung layanan Secure Web
(https) [5]
2
sampai saat ini, Server Proxy masih tetap di- portsentry, hostsentry, dan logsentry. Namun
gunakan pada Server-Server utama (gateway versi gratisnya masih bisa diunduh di Source-
/ backbone) untuk mengatur dan membatasi Forge.net [6]
akses internet pada situs-situs tertentu atau
pun untuk membatasi hak-hak pengguna da- 2.0.5 Firewall
lam menggunakan jaringan internet.
Firewall merupakan sistem pengamanan
• Kelebihan teknologi Proxy: yang dilakukan dengan cara melakukan pe-
nyaringan (filtering) paket data yang masuk
dan keluar jaringan. Hanya paket yang sesuai
1. Memberikan tingkat keamanan dengan ketentuan yang telah ditetapkan bisa
yang lebih baik dibandingkan melewati firewall untuk menjangkau jaringan
paket penyaringan, tertentu. Firewall bisa berupa perangkat lu-
2. Dapat manangani permasalahan nak atau perangkat keras yang ditanamkan
secara penuh pada lapis aplikasi. perangkat lunak (software) di dalamnya un-
[7] tuk melakukan penyaringan paket data. [7]
Firewall memiliki segmentasi, antara lain
• Kekurangan teknologi Proxy: sebagai berikut:
3
adanya sistem keaman pada jaringan internet
dan intranet ini bisa mengurasi resiko penye-
rangan, baik terhadap server maupun user.
Selain itu bisa membatasi akses pengguna se-
suai dengan wewenang yang ditetapkan.
4
mengirim email. 5 Hasil dan Pembahasan
10. 3 PC di bawah IT Department diberi ak-
ses penuh ke jaringan internet bagi mere- Sesuai dengan kesepakatan, maka PC Server
ka yang membutuhkannya terkait untuk diinstall dengan Linux Fedora release 16, de-
penelusuran logistik dan akses ke pabean ngan konfigurasi sebagai berikut:
dan perusahaan induk di Taiwan. 1. eth1
Untuk lengkapnya bisa dilihat pada arsi-
tektur jaringan pada figur 5 berikut ini:
Alamat IP Publik : 122.129.x.x
Subnet Mask : 255.255.255.248
Gateway : 122.129.x.x -
192.168.11.254
DNS1 : 192.168.11.254
DNS2 : 122.129.x.x
DNS3 : 122.129.x.x
2. eth2
Alamat IP privat : 192.168.3.2
Netmask : 255.255.255.0
Gateway : 192.168.11.254
Gambar 5: Skema arsitektur jaringan yang
akan dipasang
5.1 IPtables
Berikutnya, membuat setting konfigurasi un-
tuk mengijinkan akses ke internet dan mem-
4.1 Rancangan Hardware blokir port-port yang ditengarai rawan ma-
lware dan menjalankan transparent proxy se-
Server yang akan digunakan sebagai PC Ro- perti berikut ini:
uter, sekaligus Firewall / Proxy Server me- #!/bin/sh
miliki spesifikasi minimal sebagai berikut: server=’192.168.11.254/32’
mail=’192.168.11.253/32’
- Processor :
Processor Dual printer=’192.168.11.212/32’
Core dan atau
yang setara # /etc/sysconfig/user-nat
- RAM : 4 GB echo 1 > /proc/sys/net/ipv4/ip_forward
- Slot Ethernet : 2 buah echo 1 > /proc/sys/net/ipv4/icmp_ratelimit
- Harddisk : 1 TB
modprobe ip_conntrack
Sedangkan port-port yang akan diblokir modprobe ip_conntrack_irc
adalah sebagai berikut: modprobe ip_nat_irc
modprobe ip_nat_amanda
No. Alamat Jenis Keterangan modprobe ip_nat_ftp
Port Port modprobe ip_nat_snmp_basic
modprobe ip_nat_tftp
1. 130-140 TCP Drop Blaster
modprobe iptable_nat
Worm
2. 130-140 UDP Drop Messe- iptables -F
nger Worm iptables -X
3. 445 TCP Blaster Worm iptables -X -t nat
4. 445 UDP Blaster Worm iptables -F -t nat
5. 6800 - 6900 TCP Worm
6. 6800 - 6900 UDP Worm iptables -I POSTROUTING -t nat -s
5
192.168.11.0/24 -d 0/0 MASQUERA- d
-j 195.215.8.145 -m mac –mac-source
DE 00:0E:A6:77:D3:B4 -j DROP
iptables -A FORWARD -p udp -i eth0
# Internet Drop! # -d 64.246.49.61 -m mac –mac-source
iptables -A FORWARD -s 192.168.11.1/32 -p 00:0E:A6:77:D3:B4 -j DROP
tcp –dport 80 -j DROP iptables -A FORWARD -p udp -i eth0
iptables -A FORWARD -s 192.168.11.251/32 -p -d 64.246.49.60 -m mac –mac-source
tcp –dport 80 -j DROP
00:0E:A6:77:D3:B4 -j DROP
iptables -A FORWARD -p udp -i eth0
#iptables -A FORWARD -s 192.168.11.252/32
-d 64.246.48.23 -m mac –mac-source
-p tcp –dport 80 -j DROP
00:0E:A6:77:D3:B4 -j DROP
# Skype Drop!! #
# Transparent Proxy #
iptables -A FORWARD -s 192.168.11.230/32 -p iptables -t nat -A PREROUTING -p tcp -d
udp -i eth0 -d 66.235.180.9 -j DROP localhost –dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.11.230/32 -p iptables -t nat -A PREROUTING -p tcp –dport
udp -i eth0 -d 66.235.181.9 -j DROP 80 -j REDIRECT –to-port 8080
iptables -A FORWARD -s 192.168.11.230/32 -p
udp -i eth0 -d 80.160.91.12 -j DROP # Firewall for Mail Server #
iptables -A FORWARD -s 192.168.11.230/32 -p
udp -i eth0 -d 80.161.91.25 -j DROP iptables -A INPUT -p udp -m udp –dport
iptables -A FORWARD -s 192.168.11.230/32 -p 631 -j ACCEPT
udp -i eth0 -d 212.72.49.141 -j DROP
iptables -A INPUT -m state –state NEW -m
iptables -A FORWARD -s 192.168.11.230/32 -p
tcp -p tcp –dport 110 -j ACCEPT
udp -i eth0 -d 212.72.49.142 -j DROP
iptables -A INPUT -m state –state NEW -m
tcp -p tcp –dport 143 -j ACCEPT
iptables -A FORWARD -p udp -i eth0
iptables -A INPUT -m state –state NEW -m
-d 66.235.180.9 -m mac –mac-source
tcp -p tcp –dport 443 -j ACCEPT
00:0E:A6:77:D3:B4 -j DROP
iptables -A INPUT -m state –state NEW -m
iptables -A FORWARD -p udp -i eth0
tcp -p tcp –dport 2112 -j ACCEPT
-d 66.235.181.9 -m mac –mac-source
iptables -A INPUT -m state –state NEW -m
00:0E:A6:77:D3:B4 -j DROP
tcp -p tcp –dport 25 -j ACCEPT
iptables -A FORWARD -p udp -i eth0
iptables -A INPUT -m state –state NEW -m
-d 80.160.91.12 -m mac –mac-source
tcp -p tcp –dport 80 -j ACCEPT
00:0E:A6:77:D3:B4 -j DROP
iptables -A FORWARD -p udp -i eth0
# Virus Drop !!
-d 80.161.91.25 -m mac –mac-source
iptables -A INPUT -s 0/0 -p udp –destination-
00:0E:A6:77:D3:B4 -j DROP
port 130:140 -j DROP
iptables -A FORWARD -p udp -i eth0 -
iptables -A OUTPUT -s 0/0 -p udp –destination-
d 212.72.49.141 -m mac –mac-source
port 130:140 -j DROP
00:0E:A6:77:D3:B4 -j DROP
iptables -A FORWARD -s 0/0 -p udp –
iptables -A FORWARD -p udp -i eth0 -
destination-port 130:140 -j DROP
d 212.72.49.142 -m mac –mac-source
iptables -A INPUT -s 0/0 -p udp –destination-
00:0E:A6:77:D3:B4 -j DROP
port 445 -j DROP
iptables -A FORWARD -p udp -i eth0 -
iptables -A OUTPUT -s 0/0 -p udp –destination-
d 212.72.49.143 -m mac –mac-source
port 445 -j DROP
00:0E:A6:77:D3:B4 -j DROP
iptables -A FORWARD -s 0/0 -p udp –
iptables -A FORWARD -p udp -i eth0 -
destination-port 445 -j DROP
d 195.215.8.141 -m mac –mac-source
iptables -A INPUT -s 0/0 -p udp –destination-
00:0E:A6:77:D3:B4 -j DROP
port 6800:6900 -j DROP
iptables -A FORWARD -p udp -i eth0 -
6
iptables -A OUTPUT -s 0/0 -p udp –destination- qmqpd_timeout = 3000s
port 6800:6900 -j DROP smtp_connect_timeout = 300s
iptables -A FORWARD -s 0/0 -p udp – smtp_helo_timeout = 3000s
destination-port 6800:6900 -j DROP smtp_quit_timeout = 3000s
smtp_rset_timeout = 20s
7
pid_filename /var/run/squid.pid acl Safe_ports port 21 #ftp
debug_options ALL,1 acl Safe_ports port 443 563 #https, snews
client_netmask 255.255.255.255 ..............
ftp_user masaji_id@yahoo.com acl office src 192.168.11.0/24
ftp_list_width 32 acl it1 src 192.168.11.208/32
ftp_passive on acl it2 src 192.168.11.209/32
ftp_sanitycheck on acl direktur src 192.168.11.200/32
ftp_telnet_protocol on acl marketing src 192.168.11.224/32
redirect_children 10 acl ops src 192.168.11.250/32
auth_param basic children 10 acl cadangan1 src 192.168.11.251/32
auth_param basic realm Squid proxy-caching acl mail src 192.168.11.252/32
web server acl printer src 192.168.11.212/32
auth_param basic credentialsttl 2 hours acl oracle1 src 192.168.11.216/32
auth_param basic casesensitive off acl oracle2 src 192.168.11.232/32
acl oracle3 src 192.168.11.236/32
refresh_pattern f̂tp: 1440 20% 10080 acl blokir url_regex "/etc/squid/blokir"
refresh_pattern bola 0 20% 1440 acl kecuali url_regex "/etc/squid/kecuali"
refresh_pattern kompas 110 20% 1440 ignore- http_access allow manager localhost
reload http_access allow it1
refresh_pattern detik 400 20% 4320 ignore- http_access allow it2
reload http_access deny kecuali all
refresh_pattern bbc 400 20% 4320 ignore-reload http_access allow oracle1
refresh_pattern kompas 400 20% 4320 ignore- http_access allow oracle2
reload http_access allow oracle3
refresh_pattern suara 400 20% 4320 ignore- ...........
reload http_access deny all
refresh_pattern news 400 20% 4320 ignore- http_reply_access allow all
reload miss_access allow all
refresh_pattern tempo 400 20% 4320 ignore- ...........
reload
refresh_pattern jpg 259200 60% 259200 ignore-
reload 6 Kesimpulan
refresh_pattern gif 259200 60% 259200 ignore-
1. Router / Firewall Server ini bekerja de-
reload
ngan dilengkapi aplikasi IP Tables, Por-
refresh_pattern mail 10 20% 4320
tsentry dan Squid sebagai Proxy Server,
refresh_pattern quios 1110 20% 4320
refresh_pattern download 259200 60% 259200 2. Selama tiga tahun server berjalan tidak
refresh_pattern flash 259200 60% 2592000 ada permasalahan yang berarti, bahkan
refresh_pattern facebook 259200 60% 2592000 penyebaran virus jaringan dan spam ser-
refresh_pattern youtube 259200 60% 259200 ta malware bisa ditekan secara maksi-
refresh_pattern . 272800 60% 1728000 mal.
..............
.............. 3. Penempatan Proxy Server dalam satu
acl all src 0.0.0.0/0.0.0.0 PC dengan Router / Firewall secara tek-
acl manager proto cache_object nis sebenarnya kurang aman, sebaiknya
acl localhost src 127.0.0.1/255.255.255.255 posisinya ada di lapis kedua (second la-
acl to_localhost dst 127.0.0.0/8 yer), dipasang pada PC terpisah dan
acl SSL_ports port 443 553 menggunakan IP privat,
acl Safe_ports port 80 #http
acl Safe_ports port 81 #http
4. Sehubungan dengan pertimbangan eko-
nomis, maka semua aplikasi tersebut di
8
atas berjalan dalam satu PC.
7 Rekomendasi
Jika masalah keamanan menjadi isu utama,
maka sebaiknya Router / Firewall Server di-
pasang secara terpisah dengan Proxy Server.
Penulis menyadari bahwa jurnal ini jauh
dari sempurna, untuk itu penulis mengha-
rapkan ada yang berkeinginan untuk me-
nyempurnakan dan mengembangkan jurnal
ini sesuai dengan perkembangan teknologi
yang ada dan juga bisa mengantisipasi an-
caman malware yang semakin berkembang
pesat.
Pustaka
[1] Rumalutur, Sonny., Analisis Keamanan
Jaringan Wireless LAN (WLAN) Pada
PT. PLN (Persero) Wilayah P2B Area
Sorong, Jurnal Teknologi dan Rekayasa,
Volume 19 No. 3, Desember 2014.
[3] www.linuxfondation.org
[4] www.postfix.org
[5] www.squid-cache.org