Rabu, 19 Juni 2013

07.51 - No comments

Persoalan Dengan IPTABLES

SOAL SHIFT

1.      semua subnet tidak dapat mengakses TCP port 21, 443, 66 pada DMZ kecuali subnet Kebun Bibit sedangkan port TCP yang diijinkan untuk mengakses DMZ adalah port 80, 8080, 22.
2.      Mengijinkan semua akses UDP ke DMZ
3.      Subnet DMZ tidak dapat di PING dari luar selain dari subnet AJK dan jaringan internal
4.      Koneksi kepada DMZ melalui ssh dibatasi sebanyak 5 koneksi
5.      Buatlah sebuah perintah IPtables untuk mengatasi synflood
6.      Buatlah sebuah perintah IPtables untuk mengatasi force ssh attack
7.      Buatlah perintah IPtables untuk memblok packet scanning . Contoh : xmas,fin,scan
8.      Subnet Taman Bungkul hanya bisa diakses oleh subnet Kebun Bibit, subnet Plasa Surabaya hanya bisa diakses ketika jam kerja (08.00-16.00), subnet sutos tidak bisa melakukan koneksi ke Yahoo messenger dan facebook serta tidak bias melakukan streaming video pada hari dan jam kerja
9.      Selain DMZ gunakan NAT untuk mengakses jaringan ke luar (tidak boleh menggunakan masquerade)
10.  Catat log yang di drop oleh firewall
Jawaban :
1.      semua subnet tidak dapat mengakses TCP port 21, 443, 66 pada DMZ kecuali subnet Admin (Bisma), sedangkan port TCP yang diijinkan untuk mengakses DMZ adalah port 80, 8080, 22


 
iptables -A FORWARD -p tcp -d 10.151.71.151/29 --dport 21 -j REJECT;
iptables -A FORWARD -p tcp -d  10.151.71.151/29 --dport 443 -j REJECT;
iptables -A FORWARD -p tcp -d 10.151.77.151/29 --dport 66 -j REJECT;
iptables -A FORWARD -p tcp -d 10.151.77.151/29 --dport 21 -s 192.1.57.2/26 -j ACCEPT;
iptables -A FORWARD -p tcp -d 10.151.77.151/29 --dport 443 -s 192.1.57.2/26 –j ACCEPT;
iptables -A FORWARD -p tcp -d 10.151.77.151/29 --dport 66 -s 192.1.57.2/26 -j ACCEPT;
iptables -A FORWARD -p tcp -d 10.151.77.151/29 --dport 80 -j ACCEPT;
iptables -A FORWARD -p tcp -d 10.151.77.151/29 --dport 8080 -j ACCEPT;
iptables -A FORWARD -p tcp -d 10.151.77.151/29 --dport 22 -j ACCEPT; 
2.      Mengijinkan semua akses UDP ke DMZ

iptables -A FORWARD -p udp -d 10.151.77.151/29 -j ACCEPT; 
3.      Subnet DMZ tidak dapat di PING dari luar selain dari subnet AJK dan jaringan internal



iptables -A FORWARD -p icmp -d 10.151.77.151/29 -s 10.151.36.0/24 --icmp-type echo-request -j ACCEPT;
iptables -A FORWARD -p icmp -d 10.151.77.151/29 -s 10.151.0.0/22 --icmp-type echo-request -j ACCEPT;
iptables -A FORWARD -p icmp -d 10.151.77.151/29 --icmp-type echo-request -j REJECT; 


4.      Koneksi kepada DMZ melalui ssh dibatasi sebanyak 5 koneksi


 iptables -A INPUT -p tcp -d --dport 22 -i eth0 -m state --state NEW -m recent --set;
     iptables -A INPUT -p tcp -d --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 1 --hitcount 5 -j REJECT;
5.      Buatlah sebuah perintah IPtables untuk mengatasi synflood


  
 iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 3 -j REJECT;


6.      Buatlah sebuah perintah IPtables untuk mengatasi force ssh attack


 
 iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --setiptables -I
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent  --update --seconds 60 --hitcount 4 -j DROP
7.       Buatlah perintah IPtables untuk memblok packet scanning . Contoh : xmas,fin,scan


 Xmas scan
iptables -A INPUT -p tcp --tcp-flags ALL ALL -m limit --limit 3/m --limit-burst 5 -j LOG --log-prefix "Firewall> XMAS-ALL scan "
iptables -A INPUT -p tcp --tcp-flags ALL ALL -m recent --name blacklist_60 --set  -m comment --comment "Drop/Blacklist Xmas/All scan" -j DROP
fin scan
iptables -A INPUT -p tcp --tcp-flags ALL FIN -m limit --limit 3/m --limit-burst 5 -j LOG --log-prefix "Firewall> FIN scan "
iptables -A INPUT -p tcp --tcp-flags ALL FIN -m recent --name blacklist_60 --set  -m comment --comment "Drop/Blacklist FIN scan" -j DROP
8.      Subnet Taman Bungkul hanya bisa diakses oleh subnet Kebun Bibit, subnet Plasa Surabaya hanya bisa diakses ketika jam kerja (08.00-16.00), subnet sutos tidak bisa melakukan koneksi ke Yahoo messenger dan facebook serta tidak bias melakukan streaming video pada hari dan jam kerja


#Taman Bungkul akses Kebun  Bibit
iptables -A FORWARD -p tcp -d 192.1.57.0/24 -s 192.1.40.0/23 -j ACCEPT;
iptables -A FORWARD -p tcp -d 192.1.57.0/24 -j REJECT;
#PS diakses jam kerja
iptables -A FORWARD -p tcp -s 192.1.52.0/23 -m time --timestart 08:00 --timestop 16:00 --weekdays Mon,Tue,Wed,Thu,Fri -j REJECT;
#RejectYM sutos
iptables -A FORWARD -p tcp --dport 5000:5010 -s 192.1.58.0/24 -m time --timestart 08:00 --timestop 16:00 --weekdays Mon,Tue,Wed,Thu,Fri -j REJECT;
#RejectFB sutos
iptables -A FORWARD -p tcp -d www.facebook.com -s 192.1.58.0/24 -m time --timestart
08:00 --timestop 16:00 --weekdays Mon,Tue,Wed,Thu,Fri -j REJECT;
#Reject video stream
iptables -A FORWARD -p udp -s 192.1.58.0/24 -m time --timestart
08:00 --timestop 16:00 --weekdays Mon,Tue,Wed,Thu,Fri -j REJECT 
9.      Selain DMZ gunakan NAT untuk mengakses jaringan ke luar (tidak boleh menggunakan masquerade)


  
 iptables -t nat -A POSTROUTING -o eth2 –j SNAT –to-source 10.151.70.78


10.  Catat log yang di drop oleh firewall


 
 iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP

Kelompok Jarkom E19
M Russlan Hafiz
M Iqbal Rustamadji

0 komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)