Network Security – Teknik Telekomunikasi

PENS

MODUL 5
KONFIGURASI
FIREWALL [TCP
WRAPPER]
TUJUAN PEMBELAJARAN:
1. Memperkenalkan konsep dasar firewall yang lain pada linux, yaitu tcp wrapper
2. Memahami perbedaan konsep firewall iptabes dan tcp wrapper
3. Mampu mengaplikasikan tcp wrapper

DASAR TEORI
Pada sistem operasi pada umumnya mempunyai program aplikasi yang jalan pada
sistem operasi tersebut. Pada sistem operasi linux, dikenal istilah service untuk
menggantikan nama aplikasi secara global. Ada beberapa service yang dimanage di linux:
 Beberapa Aplikasi ditimbulkan melalui init
Service ini menyediakan dumb terminal (virtual terminal), dalam satu mesin bisa
menjalankan beberapa terminal biasanya dengan menekan tombol ctrl+alt+Fx.
Dikonfigurasi pada /etc/inittab. Perubahan inittab bisa diaktifkan menggunakan
command init q
 Beberapa Service dimanage pada :
o System V Scripts
Merupakan metode yang paling umum digunakan untuk menaging service,
Biasanya membutuhkan file konfigurasi. Service distart dengan script di
/etc/init.d/. Misal untuk network :
/etc/init.d/network restart atau Service network restart

o inetd
Hanya beberapa service yang ada pada xinetd, service ini tidak memerlukan
start/stop terhadap service. Dan file Konfigurasi yang biasa dipakai adalah :
/etc/inetd.conf  Top level configuration file
/etc/init.d/inetd restart  service specification configuration
TCP Wrapper
Merupakan salah satu pengelolaan service yang diatur pada /etc/inetd.conf dan
system v scripts. Penglolaan service ini bisa melakukan blocking service tertentu kepada
client atau nomor IP tertentu.
Ada dua file yang dipakai untuk melakukan blocking dan unblocking yaitu
/etc/hosts.allow (diperbolehkan access) dan hosts.deny (dilarang akses)
Dengan Basic Syntax sbb :
daemon_list: client_list [:option]
Contoh syntax yang dipakai adalah sbb :
/etc/hosts.allow
vsftpd:192.168.0.
zenhadi@eepis-its.edu
Network Security – Teknik Telekomunikasi
PENS in.telned, portmap: 192.168.0.8

zenhadi@eepis-its.edu
 /etc/host.deny
sshd: ALL EXCEPT .cracker.org EXCEPT trusted.cracker.org
sshd: 192.168.0. EXCEPT 192.168.0.4

TUGAS PENDAHULUAN
1. Sebutkan dan jelaskan dengan singkat apa yang disebut dengan konsep tcp wrapper ?
2. Sebutkan fasilitas tcp wrapper yang ada di linux !
3. Sebutkan contoh konfigurasi menggunakan tcp wrapper.

PERCOBAAN
1. Bangun jaringan sebagai berikut :

NB:
Gunakan dhclient di masing-masing PC untuk mendapatkan IP dari router.
192.168.50.x & y : IP dari router
2. Install paket layanan sebagai berikut pada PC Server :
Misal di kelompok 1 mendapat IP dari router sbb :
192.168.50.10 => jadikan sebagai client
192.168.50.11 => jadikan sebagai server

a. Install telnet-server
# apt-get install telnetd
b. Install openssh
# apt-get install openssh-server

NB :
Untuk konfigurasi telnet :
# vim /etc/inetd.conf
# /etc/init.d/openbsd-inetd restart
Untuk konfigurasi ssh :
# vim
/etc/ssh/sshd_config #
/etc/init.d/ssh restart

b. Amati dan catat, apakah paket tersebut sudah berjalan atau belum :
# netstat –nlptu | grep sshd => untuk ssh
# netstat –nlptu | grep inetd => untuk
telnet # nmap localhost
 c. Lakukan tes koneksi telnet dan ssh dari client ke server, dan pastikan
berhasil.
# telnet 192.168.50.11
# ssh 192.168.50.11

3. Beri rule pada server sebagai berikut dan amati yang terjadi dengan melakukan
akses dari client.
 Pada /etc/hosts.allow
a. Agar telnet bisa diakses dari host 192.168.50.10, selain itu akan ditolak
in.telnetd:
192.168.50.10
in.telnetd: ALL: DENY

b. Agar ssh bisa diakses dari host 192.168.50.10, selain itu akan ditolak
sshd: 192.168.50.10
sshd: ALL: DENY

c. Uji rule tersebut, lakukan juga akses ke PC Server kelompok yang lainnya
dan catat hasilnya.

 Pada /etc/hosts.deny, sebelumnya matikan rule pada /etc/hosts.allow dengan

cara memberi tanda pagar (‘#’).
a. Rule yang dibuat :
 Telnet server tidak bisa diakses oleh 192.168.50.10
 Ssh bisa diakses dari host 192.168.50.10, selain itu akan ditolak

b. Perintah untuk rule diatas:

in.telnetd: 192.168.50.10
sshd: ALL EXCEPT
192.168.50.10

c. Uji rule tersebut dari client, lakukan juga akses ke PC Server kelompok
yang lainnya dan catat hasilnya.

 Untuk memberi keterangan pada client, jika tidak dapat melakukan koneksi,
bisa diberi keterangan dengan menggunakan twist, lakukan pada
/etc/hosts.deny
in.telnetd: 192.168.50.10 : twist /bin/echo “Anda
ditolak aksesnya oleh server dgn ip %A, no ip anda
adalah %a”

NB : %a menyatakan no ip client

 Untuk mengetahui status log dari proses diatas :

# tail –f /var/log/syslog
Catat hasilnya.

4. Dari rule diatas, amati yang terjadi, mana yang bisa masuk ke server telnet dan
ssh dan mana yang tidak, catat di laporan.
 5. Hapuslah semua rule pada langkah sebelumnya dan buat sebuah rule, dimana PC
Client bisa mengakses telnet server, tetapi tidak bisa mengakses ssh server.
Gunakan penggabungan rule pada kedua file /etc/hosts.allow dan /etc/hosts.deny
# /etc/hosts.allow
in.telnetd:
192.168.50.10 #
/etc/hosts.deny
ALL : ALL

Ujilah rule anda dengan membuat pengaksesan dari client dan juga coba akses
dari kelompok yang lainnya, dan tuliskan dalam laporan anda apa yang terjadi.

6. Bandingkan hasilnya, dan buat kesimpulan sementara dari hasil percobaan diatas.

LAPORAN RESMI
Daftar Pertanyaan
1. Berikan kesimpulan hasil praktikum yang anda lakukan.
2. Apa perbedaan firewall yang ada pada iptables dan tcp wrapper, jelaskan secara
singkat
3. Berdasarkan praktikum, service apa saja yang bisa diblok atau tida diblok oleh
tcp wrapper?
TUGAS PENDAHULUAN
1. Sebutkan dan jelaskan dengan singkat apa yang disebut dengan konsep tcp wrapper ?
2. Sebutkan fasilitas tcp wrapper yang ada di linux !
3. Sebutkan contoh konfigurasi menggunakan tcp wrapper.
Jawaban :
1. Untuk melakukan packet filtering, dimana untuk membatasi suatu host yang
ingin menggunakan service yang ada di server. Program ini bekerja dengan cara
membungkus inetd(internet daemon) agar lebih aman. Sebagai contoh ada
permintaan koneksi telnet dari internet, jika sistem kita tidak mempunyai tcp
warppers maka inetd akan memanggil telnetd dan session telnet akan terbentuk
tanpa melakukan pembatasan apapun.
2. File-file yang perlu diperhatikan dalam setting TCP wrappers
- /etc/inted.conf,
- /etc/hosts.allow,
- /etc/host.deny.
 KONFIGURASI FIREWALL
[TCP WRAPPER]
Hasil Percobaan :
Topologi Jaringan :

1. Setting IP address pada Server

2. Install paket layanan sebagai berikut pada pc server :

a. Install telnet-server dan openssh

b. Amati dan catat, apakah paket tersebut sudah berjalan atau belum:

c. Lakukan nmap pada localhost

3. Setting IP addres pada Client

a. Install paket layanan sebagai berikut pada pc client :

b. Amati dan catat, apakah paket tersebut sudah berjalan atau belum :

c. Amati dengan nmap localhost :

d. Lakukan tes koneksi telnet dan ssh dari client ke server, dan pastikan berhasil
Client

4. Beri rule pada server sebagai berikut dan amati yang terjadi dengan melakukan akses dari client
a. Pada /etc/hosts.allow

b. Tes koneksi telnet dan ssh

- dari client dengan alamat ip 192.168.1.13
- dari client dengan alamat ip 192.168.1.15

c. Pada /etc/hosts.deny, sebelumnya matikan rule pada /etc/hosts.allow dengan cara memberi “#”
(client 2)
d. Tes telnet dari host 192.168.1.13

e. Tes ssh dari host 192.168.1.15

f. Untuk memberi keterangan pada client, jika tidak dapat melakukan koneksi bisa diberi
keterangan dengan menggunakan twist, lakukan pada /etc/hosts.deny

g. Tes telnet dari host 192.168.1.13

h. Untuk mengetahui status log dari proses di atas :

Hasil rule yang dibuat
Client Ssh Telnet
192.168.1.13 Bisa mengakses ke server Tidak bisa mengakses ke
server
192.168.1.15 Tidak bisa mengakses ke Bisa mengakses ke server
server

5. Hapuslah semua rule pada langkah sebelumnya dan buat sebuah rule, dimana PC client bisa
mengakses telnet server, tetapi tidak bisa mengakses ssh server. Gunakan penggabungan rule pada
kedua file /etc/hosts.allow dan /etc/hosts.deny
a. Tes telnet dari host 192.168.1.13

b. Tes telnet dari host 192.168.1.15

 - Analisa :
Pada praktikum ini melakukan percobaan firewall namun menggunakan
metode TCP Wrappers, dimana TCP Wrappers yaitu suatu metode yang
digunakan untuk membatasi suatu host yang ingin menggunakan service di
server. Dan program ini bekerja dengan cara membungkus inetd internet
daemon) agar lebih aman, selain itu TCP Wrapper akan memeriksa dulu
berdasarkan pembatasan-pembatasan yang telah disetting kemudia
memutuskan apakah koneksi tersebut akan diizinkan atau tidak. Lapisan
network yang digunakan untuk memonitor dan mengontrol trafik TCP di
server adalah pada level aplikasi. Pengelolaan service ini bisa melakukan
blocking service tertentu kepada client atau no IP tertentu, ada 2 file yang
dipakai untuk melakukan blocking dan unblocking yaitu /etc/hosts.allow dan
hosts.deny.Sebelum melakukan percobaan yaitu membangun jaringan
topologi dimana 1 server dan 3 client, dengan setting network menjadi
bridge.
Setelah membangun jaringan topologi, pada percobaan pertama
mensetting IP Address pada server yaitu : 192.168.1.11, selain setting IP
Address juga menginstall telnet-server dan openssh setelah installan berhasil
yaitu melakukan konfigurasi telnet dan openssh, untuk telnet
“nano/etc/inetd.conf” sedangkan untuk ssh “ nano/etc/ssh/sshd_config”
setelah semuanya telah di config masing-masing konfigurasi di restart. Lalu
pada server juga mengamati paket apa sudah berjalan dengan menggunakan
netstat, untuk ssh “netstat –nlptu | grep sshd” hasilnya ada tcp dan tcp 6
dengan keterangan LISTEN yang berarti sudah berjalan, sedangkan untuk
telnet” netstat –nlptu | grep inetd” keterangannya juga LISTEN yang
menandakan paket sudah berjalan. Kemudian melakukan nmap pada
localhost untuk melihat port mana yang open dengan syntax “ nmap
localhost” hasilnya port yang open yaitu 21,22,23,53 dengan service
ftp,ssh,telnet,dan domain.
Langkah kedua setelah itu beralih konfigurasi ke PC Client, pertama yaitu
setting IP Address “ 192.168.1.13, lalu menginstall paket layanan yaitu telnet
dan ssh. Selanjutnya amati dengan netstat seperti sebelumnya dan nmap pada
localhost. Kemudian melakukan tes koneksi telnet dan ssh dar client ke
server dengan “telnet 192.168.1.11 dan ssh hamzah@192.168.1.11” hasil dari
keduanya berhasil.
Langkah ketiga setelah itu pada server memberi rule untuk blocking dan
unblocking service, dengan “/etc/hosts.allow” dengan konfigurasi :
“ in.telnetd :192.168.1.13”
“in.telnetd:ALL: DENY “
“sshd :192.168.1.13”
“sshd :ALL:DENY”
Selanjutnya tes koneksi, dari client dengan IP 12.168.1.13 untuk ke server
telnet menghasilkan “connection closed by foreign host” sedangkan untuk ssh
nya “ connection to 192.168.1.11 closed” untuk client dengan IP 192.168.1.15
untuk telnet nya menghasilkan “connection closed by foreign host” dan untuk
ssh nya “connection reset by peer” itu semua karena akses telah di deny.
Kemudian selain host.allow ada juga hosts.deny namun sebelumnya untuk
mematikan rule dari /etc/hosts.allow dengan memberi “#” sebelum syntax rule
tersebut. Konfigurasinya berisi
“in.telnetd :192.168.1.13”
“sshd” ALL EXCEPT 192.168.1.13”
Setelah konfigurasi rule tersebut tes koneksi telnet dari host 192.168.1.13 hasilnya
masih sama, selain itu tes ssh dari host 192.168.1.15 hasilnya “connection reset
by peer” kemudian melakukan pemberian keterangan pada client jika tidak dapat
melakukan koneksi bisa diberi keterangan dengan menggunakan twist dengan cara
“in.telnetd: 192.168.1.13 : twist /bin/echo “Anda ditolak aksesnya oleh server d$”
pada tes telnet dari host 192.168.1.13 hasilnya bahwa “anda ditolak aksesnya
oleh server dengan ip 192.168.1.11, nomor ip anda adalaha 192.168.1.13”
untuk mengetahui status log yang telah diproses yaitu menggunakan “tail –f
/var/log/syslog” maka hasil rule yang dibuat dari client 192.168.1.13 ssh bisa
mengkases ke server sedangkan telnet tidak bisa mengakses ke server. Untuk
client dengan ip 192.168.1.15 ssh tidak bisa mengakses ke server sedangkan untuk
telnet bisa mengakses ke server.
Langkah ke-4, menghapus semua rule pada langkah sebelumnya dimana client
bisa mengakses telnet server namun tidak bisa mengakses ssh server maka dari itu
menggunakan penggabungan rule pada kedua file yaitu “/etc/hosts.allow dan
/etc/hosts.deny” sehingga didapat konfigurasinya adalah
“in.telnetd:ALL:ALLOW” pada hosts.allow dan pada hosts.deny berisi “
Sshd:ALL:DENY”

- Kesimpulan :
Pada analisa di atas dapat di beri kesimpulan bahwa :
1. TCP Wrapper akan memeriksa dulu berdasarkan pembatasan-
pembatasan yang telah disetting kemudia memutuskan apakah
koneksi tersebut akan diizinkan atau tidak.
2. Untuk melakukan command pengecualian pada IP address dapat dilakukan dengan
comman nama services, selanjut nya dengan format ALL EXCEPT IP_ADDRESS.
3. Untuk command semua users dapat digunakan ALL: ALLOW dan sebaliknya ALL:
DENY