Friday, 10 April 2015

Sistem Keamanan Jaringan DMZ dan instalasinya

Sistem Keamanan Jaringan (Network Security) pada linux debian
Dengan DMZ (De-Militarized Zone)  
Dan  Cara Instalasinya
      
   



      DMZ singkatan dari De-Militarized Zone adalah sebuah mekanisme untuk mengisolasi suatu jaringan untuk melindungi jaringan internal didalamnya dari serangan-serangan pihak yang tidak bertanggung jawab seperti hacker atau cracker. DMZ melakukan suatu perpindahan layanan dari suatu jaringan ke jaringan yang lain. Salah satu contoh pengimplementasian dari DMZ yang sering dilakukan adalah dengan menempatkan sebuah Server lokal dibelakang sebuah Firewall yang nantinya Server tersebut dapat diakses dari internet menggunakan ip publik milik si Firewall. Jadi mekanismenya dengan cara pengalihan layanan milik Firewall ke layanan milik si Server. Untuk kelas belajar ini, kita akan coba untuk mengalihkan layanan webserver komputer server kalian masing-masing menuju webserver pusat repo.kelasbelajar.cilsy yang berada di ip address 192.168.5.2. Jadi kalau misalnya ip address server debian kalian adalah 192.168.5.241, maka nanti ketika user lain mencoba mengakses webserver dari ip 192.168.5.241, yang terakses bukannya webserver kalian masing-masing, tetapi malah webserver ip address 192.168.5.2.

Layanan yang ada dalam DMZ

Umumnya, setiap layanan yang sedang diberikan kepada pengguna di jaringan eksternal dapat ditempatkan dalam DMZ. Yang paling umum dari layanan ini adalah web server, mail server, ftp server, VoIP server dan DNS server. Dalam beberapa situasi, langkah- langkah tambahan perlu diambil untuk dapat memberikan layanan aman.

Cara Install dan konfigurasi :

Buatlah script baru bernama iptables-dmz :
nano iptables-dmz

Dan masukanlah skrip yg di bawah ini di dalamnya :

!/bin/sh

#Memperbolehkan akses routing dan keluar jaringan
iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#DMZ untuk DNS Server
iptables -A INPUT -p tcp -d 10.42.0.50 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.1.2 --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 10.42.0.50 --dport 53 -j DNAT --to 192.168.1.2:53

iptables -A INPUT -p udp -d 10.42.0.50 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -d 192.168.1.2 --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p udp -d 10.42.0.50 --dport 53 -j DNAT --to 192.168.1.2:53

#DMZ untuk webserver
iptables -A INPUT -p tcp -d 10.42.0.50 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.1.2 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 10.42.0.50 --dport 80 -j DNAT --to 192.168.1.2:80

#DMZ untuk FTP aktif
iptables -A INPUT -p tcp -d 10.42.0.50 --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.1.2 --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 10.42.0.50 --dport 21 -j DNAT --to 192.168.1.2:21

#DMZ untuk FTP passive
iptables -A INPUT -p tcp -d 10.42.0.50 -m multiport --dports 5000:5005 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.1.2 -m multiport --dports 5000:5005 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 10.42.0.50 -m multiport --dports 5000:5005 -j DNAT --to 192.168.1.2

#DMZ untuk mail & webmail
iptables -A INPUT -p tcp -d 10.42.0.50 -m multiport --dports 25,143,80 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.1.2 -m multiport --dports 25,143,80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 10.42.0.50 -m multiport --dports 25,143,80 -j DNAT --to 192.168.1.2

exit 0

Beri hak akses executable filenya :
chmod +x iptables-dmz

Jalankan scriptnya :
./iptables-dmz

Simpan konfigurasinya :
iptables-save > /etc/network/iptables.conf

Kesimpulan

        DMZ adalah suatu area  bagi hackers yang digunakan untuk melindungi system internal yang berhubungan dengan serangan hacker (hack attack). DMZ bekerja pada seluruh dasar pelayanan jaringan yang membutuhkan akses terhadap jaringan “ Internet atau dunia luar” ke bagian jaringan yang lainnya. Dengan begitu, seluruh “open port” yang berhubungan dengan dunia luar akan berada pada jaringan, sehingga jika seorang hacker melakukan serangan dan melakukan crack pada server yang menggunakan sistem DMZ, hacker tersebut hanya akan dapat mengakses hostnya saja, tidak pada jaringan internal. Secara umum DMZ dibangun berdasarkan tiga buah konsep, yaitu: NAT (Network Address Translation), PAT (Port Addressable Translation), dan Access List. NAT berfungsi untuk menunjukkan kembali paket-paket yang datang dari “real address” ke alamat internal. Misal : jika kita memiliki “real address” 202.8.90.100, kita dapat membentuk suatu NAT langsung secara otomatis pada data-data yang datang ke 192.168.100.4 (sebuah alamat jaringan internal). Kemudian PAT berfungsi untuk menunjukan data yang datang pada particular port, atau range sebuah port dan protocol (TCP/UDP atau lainnya) dan alamat IP ke sebuah particular port atau range sebuah port ke sebuah alamat internal IP. Sedangkan access list berfungsi untuk mengontrol secara tepat apa yang datang dan keluar dari jaringan dalam suatu pertanyaan. Misal : kita dapat menolak atau memperbolehkan semua ICMP yang datang ke seluruh alamat IP kecuali untuk sebuah ICMP yang tidak diinginkan.
Untuk mencapai suatu keamanan suatu jaringan komputer yang optimal diperlukan  suatu koordinasi antara pengguna dan Administrator serta  aturan/rule atau otorisasi dalam penggunaan jaringan tsb . Dilain pihak agar diupayakan adanya update software secara berkala  serta menyesuaikan hardwarenya dengan perkembangan teknologi terbaru.

Referensi :
1.       http://www.esaunggul.ac.id/article/membangun-keamanan-jaringan-komputer-dengan-sistem-de-militarised-zone-dmz/
2.       http://ijalshare.blogspot.com/2012/10/dmz-de-militarised-zone.html
3.       http://malingpelajaran.blogspot.com/2013/07/cara-menginstall-dmz-de-militarized.html



Diposkan oleh di
Label:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)