FIREWALL DENGAN MENGGUNAKAN

IPTABLES

OLEH

N a m a : I n d r a K u s u m a

N i m : 0 8 0 5 3 1 1 1 0 3 0

F A K U L T A S I L M U K O M P U T E R

U N I V E R S I T A S S R I W I J AY A

2008

Daftar Isi

Daftar IsiBAB I. PENDAHULUAN…………………………………………………………………….

4I.1 Latar

Belakang………………………………………………………………… 4I.2

Tujuan…………………………………………………………………………… 4I.3 Pembatasan

Masalah……………………………………………………… 4I.4 Sistematika

Penulisan…………………………………………………….. 5BAB II. LANDASAN TEORI………………………………………………………………… 6

II.1 Dasar Teori IPTABLES…………………………………………………6II.2 NAT…………………………………………………………………………

13BAB III. PEMBAHASAN

III.1 Install IPTABLESIII.2 Contoh Rule

BAB IV. KESIMPULAN DAN SARAN………………………………………………….. 19

IV.1 Kesimpulan. ………………………………………………………………… 19

IV.2 Saran…………………………………………………………………………. 19

2

Daftar Pustaka……………………………………………………………………………….

20

Daftar GambarGambar 1. Skema INPUT ke Firewall……………………………………………

7Gambar 2. Skema OUTPUT dari Firewall………………………………………

7Gambar 3. Skema FORWARD……………………………………………………..

8Gambar 4 Instalasi IPTABLES…………………………………………………….

14Gambar 5 Penulisan IPTABLES……………………………………………. …….

15Gambar 6 File penyimpanan rule dari IPTABLES……………………..........

15Gambar 7……………………………………..………………………………………..15Gambar 8……………………………………..………………………………………..16Gambar 9……………………………………..………………………………………..16Gambar 10……………………………………..………………………………………16Gambar 11……………………………………..………………………………………17Gambar 12……………………………………..………………………………………17

3

Gambar 13 Kumpulan rule dari IPTABLES……………………………………..18

BAB IPENDAHULUAN

I. 1 Latar Belakang

Perkembangan teknologi informasi khususnya jaringan komputer dan layanan-layanannya di satu sisi mempermudah pekerjaan manusia sehari-hari, akan tetapi di sisi lain timbul masalah yang sangat serius, yakni faktor keamanan. Dalam jaringan komputer apalagi jaringan komputer yang terpusat seperti jaringan perbankkan masalah faktor keamanan sangat penting karena tidak semua informasi dan data bersifat terbuka untuk umum.

4

Salah satu aspek keamanan sistem jaringan komputer adalah dengan menggunakan mekanisme filtering. Melalui mekanisme ini, siapapun yang ingin mengakses ke suatu sistem jaringan komputer akan di filter baik itu IP Address source, IP Address Destination, MAC Addrees, port tujuan hingga protocol berdasarkan rules atau kebijakan yang dibuat untuk mengamankan jaringan komputer tersebut.

I.2 TujuanTujuan penelitian ini adalah :

Mempelajari sebuah mekanisme filtering di firewall untuk memperkuat pertahanan sistem jaringan komputer terhadap serangan.

Mampu mengimplementasikan metode Firewall Dengan Menggunakan IPTABLES di suatu sistem jaringan komputer

I.3 Pembatasan MasalahMasalah dibatasi pada pembahasan filtering Firewall dengan

menggunakan IPTABLES : teori dasar, penggunaan, percobaan, tanpa perbandingan dengan metode filtering atau hal serupa lainnya. Kemudian akan dilakukan percobaan penggunaan IPTABLES.

I.4 Sistematika Penulisan

Bab I. Pendahuluan,

Berisi tentang latar belakang judul, tujuan penelitian, sistematika penulisan.

Bab II. Landasan Teori,

Berisi tentang Landasan Teori dari iptables.

Bab III. Pembahasan,

Berisi tentang cara penggunaan dan implementasi iptables.

Bab IV. Kesimpulan,

5

Berisi tentang kesimpulan dari apa yang telah dijelaskan pada Bab-bab sebelumnya.

BAB IILANDASAN TEORI

II.1 Konsep DasarIptables merupakan salah satu firewall popular dan powerfull yang

tersedia di sistem operasi Linux . Gambaran umum, iptables digunakan untuk konfigurasi, merawat dan memeriksa rules tables tentang filter paket IP yang terdapat di kernel linux. Tiap-tiap tables memiliki beberapa bawaan chains kernel linux. Setiap chains memiliki list atau daftar aturan untuk mencocokkan suatu paket yang datang. Setiap aturan tersebut berfungsi

6

memberikan keputusan eksekusi apa yang akan dilakukan bila paket yang datang cocok dengan aturan yang telah dibuat.

Ada dua keputusan / target bawaan yaitu default DROP dan default ACCEPT ACCEPT

Akses diterima dan diizinkan melewati firewall

DROP

Mengesampingkan paket data yang datang dan tidak memberikan reply. Sehingga paket yang datang langsung dibuang begitu saja tanpa memberikan balasan report kepada pengirim paket. Untuk menangani masalah tersebut, Solusi yang lebih baik gunakan REJECT.

REJECT

REJECT pada dasarnya sama seperti DROP. Menolak paket data yang datang. Perbedaan REJECT dengan DROP, REJECT memberikan pesan error kepada client yang mengakses.

Chains tersebut adalah INPUT, OUTPUT dan FORWARD INPUT

Mengatur paket data yang akan memasuki firewall dari arah intranet maupun internet. Kita bisa mengelola komputer mana saja yang bisa mengakses server atau jaringan kita melalui firewall. Misal :

Dari arah Intranet : hanya komputer dengan IP 10.10.10.5 saja yang bisa akses SSH dan yang lain tidak boleh.

Dari arah Internet : Mengeblok IP source 192.168.58.254 yang pernah menyerang jaringan, agar tidak dapat masuk ke jaringan kita.

ACCEPTACCEPT/DROP

7

internet

Server FirewallDROP

Gambar 1. Skema INPUT ke Firewall

Penjelasan dari Gambar 1Pada gambar diatas dapat dijelaskan bahwa, jika ada request ke server dari internet, firewall akan memfiltering IP source dari request tersebut berdasarkan rules yang telah dibuat dengan menggunakan iptables, jika IP source tersebut tidak diblock untuk mengakses server maka ip source tersebut diijinkan lewat (ACCEPT) tetapi jika IP source tersebut diblock maka request dari ip source tersebut akan ditolak (DROP).

OUTPUT

Mengatur paket data yang keluar dari firewall ke arah intranet maupun internet. Biasanya output tidak diset, karena bisa membatasi kemampuan firewall itu sendiri.

ACCEPT/DROP ACCEPT

DROP

Gambar 2. Skema OUTPUT dari Firewall

Penjelasan dari Gambar 2Pada gambar 2 dapat dijelaskan bahwa, jika ada request dari jaringan lokal (LAN) ke internet, firewall akan memfiltering IP source dari request tersebut berdasarkan rules yang telah dibuat dengan menggunakan iptables, jika IP source tersebut tidak diblock untuk mengakses internet maka ip source tersebut diijinkan lewat (ACCEPT) tetapi jika IP source tersebut diblock maka request dari ip source tersebut akan ditolak (DROP). Ilustrasi : misalkan hanya komputer dengan ip 10.10.10.1 saja yang boleh akses ke internet, sedangkan komputer lain tidak boleh.

8

LAN internet

FORWARD

Mengatur paket data yang melintasi firewall dari arah internet ke intranet maupun sebaliknya. Policy forward paling banyak dipakai saat ini untuk mengatur koneksi internet berdasarkan port, mac address dan alamat IP.

ACCEPT/DROP ACCEPT/DROP

DROP DROP

Gambar 3. Skema FORWARD

Penjelasan dari Gambar 3

Pada gambar 3 dapat dijelaskan bahwa, jika ada request dari jaringan lokal (LAN) ke internet maupun sebaliknya, firewall akan memfiltering IP source dari request tersebut berdasarkan rules yang telah dibuat dengan menggunakan iptables, jika IP source tersebut tidak diblock untuk mengakses kejaringan lokal maupun mengakses ke jarigngan internet maka ip source tersebut diijinkan lewat (ACCEPT) tetapi jika IP source tersebut diblock maka request dari ip source tersebut akan ditolak (DROP).

II.2 Sintaks Iptables

Setelah kita mengetahui konsep dasar dari iptables, penjelasan selanjutnya mengenai sintaks dari iptables. Untuk dapat mengimplementasikan iptables ke mesin Linux sebagai firewall kita harus mengetahui aturan penulisan ( sintaks ) dari iptables tersebut.Beikut ini sintaks dari iptables

iptables [command] [chain] [options] [target]

9

LAN internet

[command]

Command pada baris perintah IPTABLES akan memberitahu apa yang harus dilakukan terhadap lanjutan sintaks perintah. Umumnya dilakukan penambahan atau penghapusan sesuatu dari tabel atau yang lain.

Beberapa contoh dari command-A --appendPerintah ini menambahkan aturan pada akhir chain. Aturan akan ditambahkan di akhir baris pada chain yang bersangkutan, sehingga akan dieksekusi terakhir.

-D --deletePerintah ini menghapus suatu aturan pada chain. Dilakukan dengan cara menyebutkan secara lengkap perintah yang ingin dihapus atau dengan menyebutkan nomor baris dimana perintah akan dihapus.

-R --replacePenggunaannya sama seperti --delete, tetapi command ini menggantinya dengan entry yang baru.

-I --insertMemasukkan aturan pada suatu baris di chain. Aturan akan dimasukkan pada baris yang disebutkan, dan aturan awal yang menempati baris tersebut akan digeser ke bawah. Demikian pula baris-baris selanjutnya.

-F --flush

10

Perintah ini mengosongkan aturan pada sebuah chain. Apabila chain tidak disebutkan, maka semua chain akan di-flush.

-N --new-chainPerintah tersebut akan membuat chain baru.

[chain]

Chain melakukan filtering semua paket data yang baik yang masuk maupun yang keluar ke dalam firewall. Dari ketiga chain dibawah inilah kita dapat membuat sebuah sistem filtering yang sesuai dengan kebutuhan.

INPUT

Mengatur paket data yang akan memasuki firewall dari arah intranet maupun internet. Kita bisa mengelola komputer mana saja yang bisa mengakses server atau jaringan kita melalui firewall.

OUTPUT

Mengatur paket data yang keluar dari firewall ke arah intranet maupun internet. Biasanya output tidak diset, karena bisa membatasi kemampuan firewall itu sendiri.

FORWARD

Mengatur paket data yang melintasi firewall dari arah internet ke intranet maupun sebaliknya. Policy forward paling banyak dipakai saat ini untuk mengatur koneksi internet berdasarkan port, mac address dan alamat IP.

[option]Option digunakan dikombinasikan dengan command tertentu yang

akan menghasilkan suatu variasi perintah.

Beberapa contoh dari option-p --protocol

11

Digunakan untuk mengecek tipe protokol tertentu. Contoh protokol yang umum adalah TCP, UDP, ICMP dan ALL. Daftar protokol bisa dilihat pada /etc/protocols.Tanda inversi juga bisa diberlakukan di sini, misal kita menghendaki semua protokol kecuali icmp, maka kita bisa menuliskan --protokol ! icmp yang berarti semua kecuali icmp. menunjukkan protokol. Untuk mengindentifikasikan protokol dalam rule seperti tcp, udp, icmp,dst diperlukan parameter ini.Contoh: iptables -A INPUT -p tcp

-s --sourceKriteria ini digunakan untuk mencocokkan paket berdasarkan alamat IP asal. Alamat di sini bisa berberntuk alamat tunggal seperti 192.168.1.1, atau suatu alamat network menggunakan netmask misal 192.168.1.0/255.255.255.0, atau bisa juga ditulis 192.168.1.0/24 yang artinya semua alamat 192.168.1.x. Kita juga bisa menggunakan iinversi.

-d --destinationDigunakan untuk mecocokkan paket berdasarkan alamat tujuan. Penggunaannya sama dengan match –src.

-i --in-interfaceMatch ini berguna untuk mencocokkan paket berdasarkan interface di mana paket datang. Match ini hanya berlaku pada chain INPUT, FORWARD dan PREROUTING.

-o --out-interfaceBerfungsi untuk mencocokkan paket berdasarkan interface di mana paket keluar. Penggunannya sama dengan --in-interface. Berlaku untuk chain OUTPUT, FORWARD dan POSTROUTING

-j

12

--jumpyaitu jump. Berfungsi untuk memberikan keputusan setelah paket data cocok dengan aturan. Biasanya terdapat di akhir perintah dan diikuti argumen perintah. Contoh : iptables -A INPUT -s 192.168.0.2 -j DROP.

[target]

Target atau jump adalah perlakuan yang diberikan terhadap paket-paket yang memenuhi kriteria di rule iptable atau match.

-j ACCEPT

Akses diterima dan diizinkan melewati firewall

-j DROP

Mengesampingkan paket data yang datang dan tidak memberikan reply. Sehingga paket yang datang langsung dibuang begitu saja tanpa memberikan balasan report kepada pengirim paket. Untuk menangani masalah tersebut, Solusi yang lebih baik gunakan REJECT.

-j REJECT

REJECT pada dasarnya sama seperti DROP. Menolak paket data yang datang. Perbedaan REJECT dengan DROP, REJECT memberikan pesan error kepada client yang mengakses.

II.2 Network Address Translation (NAT)Pada jaringan komputer, proses Network Address Translation (NAT)

adalah proses penulisan ulang (masquerade) pada alamat IP asal (source) dan/atau alamat IP tujuan (destination), setelah melalui router atau firewall. NAT digunakan pada jaringan dengan workstation yang menggunakan IP Private supaya dapat terkoneksi ke Internet dengan menggunakan satu atau lebih IP Public.

13

Pada tabel NAT, terdiri dari 3 chain yaitu:– PREROUTING, digunakan untuk memilah paket yang akan diteruskan atau untuk semua packet masuk– POSTROUTING, digunakan untuk memilah paket yang telah diteruskan atau untuk semua packet yang keluar– FORWARD, digunakan untuk memilih paket yang melalui router atau untuk semua packet yang di-forward

Proses NAT dilakukan pada data yang akan meninggalkan ROUTER. Sehingga pada iptables untuk pengolahan NAT dilakukan pada chain POSTROUTING. Rule yang diberikan kepada paket data tersebut adalah MASQUERADE.Langkah-langkah membangun NAT dengan iptables pada Linux Router:1. Tentukan NIC mana yang terkoneksi ke internet dan yang terkoneksi ke LAN2. Tentukan Network Address dari LAN, misal 192.168.1.0/243. Menambahkan Rule di iptables# iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -j MASQUERADEDengan menggunakan NAT ini, IP dari LAN akan dapat terkoneksi ke jaringan yang lain, tetapi tidak dapat diakses dari jaringan lain.Pada BAB III, Penulis tidak mengimplementasikan penggunaan NAT di IPTABLES karena harus memiliki dua buah LAN Card.

BAB IIIPEMBAHASAN

Pada BAB ini penulis akan memimplementasikan penggunaan IPTABLES di mesin LINUX, Penulis akan menggunakan distro LINUX Mandriva dan IPTABLES versi 1.3.3.

Alasan mengapa penulis menggunakan distro LINUX Mandriva karena Mandrake atau Mandriva merupakan distro yang di optimasi untuk mesin pentium dan merupakan distro favorit di Indonesia. Distro yang paling

14

cantik, paling sederhana dan mudah dalam penggunaannya sehingga sangat cocok bagi para pemula. Dan tersedia juga dalam bahasa Indonesia. Penulis menggunakan IPTABLES versi 1.3.3 karena sudah merupakan package bawaan LINUX Mandriva yang penulis gunakan untuk mengimplementasikan IPTABLES.

III.1 Instal IPTABLESAgar dapat menggunakan IPTABLES, terlebih dahulu kita harus

menginstall package IPTABLES tersebut.

Gambar 4 Instalasi IPTABLES

Langkah – langkah untuk menginstall IPTALES

1. Masuk ke mode konsole LINUX.2. Ketiks rpm –qa | grep iptables untuk mengecek iptables sudah

terinstall atau belum.3. Jika belum terinstall ketik perintah berikut urpmi iptables, dan sistem

akan meminta untuk memasukkan CD LINUX.

III.2 Contoh Rule

Gambar 5 Penulisan IPTABLES

Langkah – langkah penulisan IPTABLES1. ketik /sbin/iptables -A INPUT -p tcp -s 10.10.10.2/8 --dport 22 -j DROP

15

2. /sbin/iptables-save > /etc/sysconfig/iptables3. /etc/init.d/iptables restart untuk merestart iptables

Rule diatas akan memfilter ip address 10.10.10.2/8 yang masuk / request ke firewall menggunakan protocol tcp dan mengakses port 22 akan di DROP, sehingga ip address 10.10.10.2/8 tidak dapat mengakses port 22 ( SSH ).

Gambar 6 File penyimpanan rule dari IPTABLESPerintah IPTABLES yang diketik penulis seperti pada gambar 5 disimpan disuatu file di derektori /etc/sysconfig/iptables. Untuk membuka file tersebut gunakan perintah vi /etc/sysconfig/iptables.

Berikut ini beberapa rule yang penulis buat untuk mengamankan jaringan.

Gambar 7Artinya : menerima paket TCP dari ip address 192.168.0.1 sampai 192.168.0.20 atau diijinkan untuk ip address 192.168.0.1 sampai 192.168.0.20 mengakses protocol TCP.

16

Gambar 8Artinya : menerima paket TCP dari ip address 192.168.0.1 sampai 192.168.0.20 atau diijinkan untuk ip address 192.168.0.1 sampai 192.168.0.20 mengakses protocol TCP.Sama seperti perintah sebelumnya yang membedakan ialah tata cara penulisan range ip address.

Gambar 9

Artinya : meng-drop semua kiriman paket dari ip address 192.168.0.1 atau ip address 192.168.0.1 tidak diijinkan masuk oleh firewall.

Gambar 10

Artinya : melarang komputer ip address 192.168.0.10 untuk mengakses komputer dengan ip address 192.168.0.1 melalui eth1 ( ethernet card 1)

Gambar11

17

Artinya : menolak akses keluar dari ip address 192.168.0.1 sampai 192.168.0.20 menggunakan protocol tcp. Maksud dari ip address 192.168.0.1/20 merupakan range ip address mulai dari ip address 192.168.0.1 - 192.168.0.20 mengakses protocol TCP.

Gambar 12

Artinya : IPTABLES akan menolak ipaddress yang request , mengakses menggunakan protocol tcp serta menggunakan port 53.

Semua rule yang kita buat akan disimpan ke file iptables, file inilah yang akan menjadi senjata untuk memfilterisasi paket – paket yang akan masuk maupun keluar ataupun kedua – duanya. Sehingga bila ada request, request tersebut akan difilterisasi berdasarkan rule – rule yang telah dibuat.

Gambar 13 Kumpulan rule dari IPTABLES

18

Perintah / rule dari implementasi IPTABLES yang diketik penulis seperti pada gambar – gambar disimpan disuatu file di derektori /etc/sysconfig/iptables. Untuk membuka file tersebut gunakan perintah vi /etc/sysconfig/iptables.

BAB IVKESIMPULAN DAN SARAN

IV.1 KESIMPULANIPTables memang sangat kompleks dan sulit untuk dimengerti.

Waktu yang pembaca butuhkan untuk mempelajarinya tidak akan singkat. IPTables merupakan solusi untuk firewall yang canggih namun ekonomis. Pembaca tidak perlu membeli perangkat firewall yang mahal jika hanya

19

untuk jaringan sederhana berskala menengah. IPTables sudah bisa menguasainya dan gratis pula.

Adapun contoh yang penulis berikan masih tergolong mudah. Silakan pembaca berkreasi sendiri untuk menciptakan rule filter yang sesuai dengan kebutuhan dan secure.

Demikian dasar-dasar dari IPTables beserta komponen-komponennya. Mungkin pembaca masih agak bingung tentang implementasi dari apa yang telah dijelaskan di atas. Insya Allah dalam tulisan yang akan datang, saya akan menjelaskan lebih rinci lagi mengenai iptables dan menggunakan iptables versi terbaru untuk mengimplementasikan rule yang akan dibuat dan memberikan beberapa contoh kasus jaringan yang menggunakan IPTables.

IV.2 SARAN

Penulis menyadari masih banyak terdapat kekurangan pada tulisan ini. Saran-saran dari pembaca sangat dibutuhkan untuk penyempurnaan tulisan – tulisan selanjutnya.

Daftar Pustaka

Michael D. Bauer, Linux Server Security, Second Edition, O’Reilly, January 2005 

Dawson, Purdy, Bautts, Linux Network Administrator’s Guide 3rd Edition, O’Reilly,

February 2005

20

Gregor N. Purdy, Linux iptables Pocket Reference, O’Reilly, Agustus 2004

http://www.pcmedia.co.id/detail.asp?Id=1226&Cid=22&Eid=25

http://wew.id.or.id/comments.asp?id=39

http://www.laluvirtual.web.id/index.php?searchword=iptables&option=com_search&Itemid=

diakses tanggal 27 mei 2008

www.netfilter.org

http://noc.unila.ac.id/~gigih/ebooks/iptables-HOWTO.pdf

http://www.sauronz.com/manuales/Iptables%20Tutorial.pdf

http://linux.or.id/files/Tutor_Mastering_Iptables.pdf

21