Friday 30 October 2009

cara MEMBUAT FIREWALL SEDERHANA

Pada dasarnya, ada dua cara untuk membuat firewall:
1. Buka semua, lalu tutup port port yang tidak diijinkan
2. Tutup semua, lalu buka port port yang diperbolehkan.
Cara pertama paling mudah, karena kalau salah setting, paling paling cuman menjadi kurang aman, tetapi sistem tetap jalan.
Cara kedua lebih sulit, karena kadang kadang kita tidak tahu port port apa saja yang perlu dibuka.
Tulisan ini membahas cara kedua.
Agar tidak rumit, tapi aku usahakan untuk disederhanakan sesederhanaaa mungkin, tapi tetap cukup aman.

Firewall untuk komputer pribadi/workstation kita

Komputer workstation kita biasanya kita gunakan untuk mengakses sesuatu atau server yang ada di jaringan atau di iNternet. Jadi, kita membolehkan paket untuk keluar, dan paket yang masuk haruslah hanya jawaban (reply) dari permintaan (request) kita.
Pertama tama, kita tutup dulu INPUT dan FORWARD:
iptables -P INPUT DROP
     iptables -p FORWARD DROP
Lalu kita buka jawaban masuk
iptables -A INPUT -m state --state related, established -j ACCEPT
Setelah selesai, maka seharusnya kita dapat tetap mengakses internet dengan nyaman, namun komputer kita tidak bakal menjawab permintaan dari luar. Kalau mau lebih paranoid, akses ke luar pun kita bisa tutup (iptables -P OUTPUT DROP), lalu kita ijinkan hanya yang kita perbolehkan saja.

Firewall untuk server kita

Komputer server kita biasanya kita gunakan untuk diakses dari luar. Kalau ada akses keluar, perlu dicurigai, apakah itu backdoor :). Jadi, kita membolehkan paket masuk untuk port port yang kita inginkan, dan paket yang keluar haruslah hanya jawaban (reply) dari permintaan (request) dari luar.
Pertama tama, kita tutup dulu INPUT, OUTPUT dan FORWARD:
iptables -P INPUT DROP
     iptables -P OUTPUT DROP
     iptables -p FORWARD DROP
Lalu kita buka akses masu untuk port yang kita inginkan, misalnya, untuk web server:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Dan kemudian kita buka jawaban dari server kita, misalnya:
iptables -A OUTPUT -p tcp --sport 80 -m state --state related, established -j ACCEPT
Maka webserver kita bisa diakses, tapi:
* Kita tidak bisa mengakses ke luar
* Server kita tidak akan mau menjawab permintaan ke port port yang lain.
Tinggal ditambahkan saja ijin ijin untuk port port yang lain, seperti port 25 untuk mail, port 110 untuk pop-3 dll. Bisa diketik 1 baris per port, atau dengan perulangan for-do.
Sedikit catatan:
Beberapa layanan membutuhkan akses keluar.
Misalnya mail server, agar dapat mengirim e-mail, maka kita harus membuka akses keluar untuk port 25. Begitupun beberapa layanan lain membutuhkan akses akses tertentu. Cara untuk mengetahuinya adalah:
* Matikan firewall
* tcpdump, dan lihat paket paket apa saja yang lewat jika kita mengakses layanan tersebut
* Buka dokumentasi untuk mencocokkannya dengan standard.

No comments:

Post a Comment

Your criticism helps me to be better