Firewall Policies
Firewall Policies adalah kebijakan firewall yang memungkinkan Anda untuk memblokir atau mengizinkan jenis lalu lintas jaringan tertentu yang tidak ditentukan dalam policy exception (pengecualian kebijakan).
Firewall policies juga menentukan fitur firewall mana yang diaktifkan atau dinonaktifkan.
Anda dapat menetapkan policy atau kebijakan untuk satu atau beberapa profil firewall.
Program seperti OfficeScan, biasanya dilengkapi dengan serangkaian policy atau kebijakan default, yang dapat Anda modifikasi atau hapus.
Dengan integrasi direktori aktif dan administrasi yang berbasis peran, setiap peran pengguna, tergantung pada izin, dapat membuat, mengonfigurasi, atau menghapus kebijakan untuk domain tertentu dan lain sebagainya.
Network Security
Network Security adalah segala aktivitas yang dirancang untuk melindungi kegunaan dan integritas jaringan dan data Anda.
Ini mencakup teknologi perangkat keras dan perangkat lunak, menargetkan berbagai ancaman, menghentikan mereka dari memasuki atau menyebar di jaringan Anda dan juga merupakan keamanan jaringan yang efektif untuk mengelola akses ke jaringan.
Network security menggabungkan banyak lapisan pertahanan di bagian tepi dan di dalam jaringan.
Setiap lapisan network security (keamanan jaringan) menerapkan policy (kebijakan) dan control (kontrol).
Pengguna yang berwenang mendapatkan akses ke sumber daya jaringan, tetapi pelaku jahat diblokir dari melakukan eksploitasi dan ancaman.
IP Tables
Apa itu IPTables ? IPTables adalah tools atau alat yang di gunakan pada sistem operasi linux dan berfungsi sebagai alat untuk melakukan penyaringan atau filter terhadap lalulintas atau traffic data dalam sebuah server, Secara sederhana digambarkan sebagai pengatur lalulintas data. Inti dari iptables adalah suatu firewall yang membatasi sebuah lalu lintas dari keluar dan masuk ataupun sekedar mengawasi traffic yang melewati komputer kita. Firewall sendiri adalah suatu dinding pembatas yang bertujuan melindungi suatu sistem jaringan.
Untuk mengatur firewall pada linux kita harus menggunakan netfilter, Apa itu netfilter ? Netfilter adalah framework yang menyediakan cara untuk memanipulasi paket-paket network lewat kernel Linux. Sedangkan iptables adalah utility yang digunakan untuk mengatur hal tersebut.
- PREROUTING : Titik dimana kita bisa memanipulasi paket network sebelum memasuki keputusan routing, apakah ia akan masuk ke dalam Linux kita atau cuma sekedar lewat.
- INPUT : Titik dimana kita bisa melakukan pemeriksaan terhadap paket network yang akan masuk ke dalam linux kita.
- OUTPUT : Titik paket dikirim dari mesin itu sendiri akan menlakukan pemeriksaan terhadap linux ketika keluar sebelum routing.
- FORWARD : Titik dimana kita melakukan pemeriksaan terhadap paket network yang hanya menumpang terhadap linux kita.
- POSTROUTING : Titik dimana kita bisa melakukan manipulasi terhadap paket yang akan keluar dari Linux kita.
Dari titik rantai atau chain di atas memiliki syntax iptable dan untuk titik yang berwarna di sebut table, Apa itu table ? Table adalah tempat rule-rule atau aturan yang kita buat dan disimpan. Ada 3 buah table, secara general dapat kita definisikan :
- Table Filter merupakan tempat rule-rule yang berkaitan dengan boleh atau tidaknya suatu paket network melewati sebuah chain di atas.
- Table NAT adalah singkatan dari Network Address Translation, yaitu table tempat rule-rule yang berkaitan dengan manipulasi suatu paket network ketika melewati chain prerouting, postrouting, dan output.
- Table Mangle sendiri adalah tempat rule berkaitan dengan network untuk keperluan advance, seperti QOS (quality of service), packet marking, dan lain-lain.
Sebelum kita melakukan konfigurasi firewall maka pertama kali kita harus mengetahui rule yang akan kita pakai.Hal ini sebagai acuan, apakah jaringan kita dapat meneruskan paket yang datang atau tidak atau memblok semua paket yang akan masuk ke dalam jaringan kita.Dibawah ini merupakan tabel rule yang kita pakai acuan untuk mengkonfigurasi firewall antara lain.
# iptables -t <TABLE> -I <CHAIN> -p <Protokol> -s <IPasal/Netmask> -d <IPtujuan/Netmask> -j <ACCEPT/DROP>
Keterangan:
| Nama Rule | Simbol | Keterangan |
|-------------------|--------|------------------------------------------------------------------------------------------------------------------|
| TABLE | -t | TABLE, bisa diisikan dengan filter, nat, atau mangle |
| CHAIN | -l | CHAIN, apabila tablenya filter bisa diisikan INPUT, OUTPUT, atau FORWARD |
| PROTOKOL | -p | Protokol, bisa diisikan tcp, udp, icmp atau all |
| IP asal/Netmask | -s | IPasal, bisa diisikan dengan ip address asal paket (source) |
| IP tujuan/Netmask | -d | IPtujuan, bisa diisikan dengan ip address tujuan paket (destination) |
| ACCEPT/DROP | -j | ACCEPT/DROP, bila ingin mengijinkan data lewat isikan dengan ACCEPT. Bila tidak mengijinkan isikan dengan DROP |NAT dan IPtables
Network Address Translation (NAT) dapat dikerjakan oleh kernel Linux versi 2.4 dengan salah satu dari dua cara berikut:
- Source NAT(SNAT), digunakan untuk menyembunyikan asal paket-paket dengan melakukan pemetaan alamat asal paket-paket yang akan menuju jaringan eksternal ke suatu IP address atau address tertentu. Dengan kemampuan seperti ini, SNAT biasa digunakan sebagai server Masquerader.
- Destination NAT (DNAT), sering digunakan untuk me-redirect secara transparan paket-paket yang masuk ke suatu lokasi (tujuan), misalnya diarahkan ke mesin yang berfungsi sebagai server proxy atau firewall SOCKS.
Salah satu versi dari SNAT adalah IP Masquerade, yang mengijinkan beberapa workstation atau host terkoneksi ke Internet tanpa harus memiliki IP address yang dapat dikenal di jaringan eksternal, Internet. Server yang berfungsi sebagai gateway menyediakan suatu masquerader menggunakan IPTABLES untuk membuat host-host lokal dikenal di jaringan internet dimana IP address yang tercatat adalah IP address gateway, bukan IP address host jaringan lokal.
Proses masquerade paket IP dikerjakan menggunakan substitusi address dan nomor port. IP address paket dari jaringan lokal diubah berdasarkan pada tujuannya.
Berikut adalah aturan sederhananya:
- Paket yang menuju jaringan eksternal (meninggalkan jaringan lokal melalui gateway). IP address asal paket diubah ke IP address mesin masquerader. IP address masquerader bersifat unik pada jaringan ekstemal.
- Paket yang masuk dari jaringan eksternal (menuju jaringan lokal melalui gateway). Alamat paket diubah ke IP address host jaringan lokal. Mesinmesin di dalam jaringan lokal memiliki alamat “private network” yang tidak valid (tidak dikenal) pada jaringan eksternal.
IP Masquerade menggunakan port forwarding untuk mengubah suatu IP address paket. Pada saat sebuah paket sampai dari jaringan eksternal, alamat portnya diperiksa dan dibandingkan terhadap isi tabel masquerade. Jika port yang dibandingkan ditemukan, IP address yang terdapat di dalam header paket diubah dan paket dikirim ke IP address yang telah di-demasquerade.
Ada 3 hal yang harus diperhatikan dalam implementasi NAT:
- Anda harus menambah semua aturan penterjemahan address ke chain-chain dalam tabel NAT.
- Tidak seperti tabel filter, tabel nat menggunakan chain-chain PREROUTING, POSTROUTING dan OUTPUT.
- Masukkan modul-modul kernel untuk menangani protokolprotokol khusus.
Gunakan IPTABLES untuk mensetup suatu aturan masquerade
Contoh berikut memasquerade paket-pake jaringan lokal (192.168.0.0/24) yang keluar menuju intemet atau jaringan eksternal melalui interface ppp0 (koneksi dial-up):IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 --j MASQUERADEiptables -t nat -A POSTROUTING --o eth1 --s 192.168.0.0/24 --j SNAT -tosource 64.110.100.141IPTABLES -t nat -A POSTROUTING -o eth1 --j MASQUERADE
Tidak ada komentar:
Posting Komentar