Friday, 15 July 2016

LAPORAN PRAKTIKUM | Keamanan Data | DMZ | Politeknik Elektronika Negeri Surabaya

Dasar Teori

Demilitarized zone adalah Sebuah proses untuk meningkatkan security sebuah host yang menyediakan service tertentu yang dapat diakses untrusted network / jaringan public. Dengan cara menempatkan host di dalam sebuah area demilitarized dan meneruskan agar service agar tetap bisa diakses ke public network, disatu sisi service tetap bisa diakses oleh untrusted network, namun disatu sisi host/server tetap berada di area trusted network.

Pada praktikum ini untuk main router yang dipakai untuk DMZ menggunakan PC Router dengan Operating system Debian Jessie.

C:\Users\Lenovo\Downloads\images.jpg

Public service DMZ
Dalam kasus ini kami akan membangun jaringan Demilitarized zone pada kampus pens dengan ketentuan sebagai berikut.
4 Subnet terhubung langsung dengan main router(3 subnet IP public, dan 1 subnet menggunakan private ip)
Terdapat 3 server yang menjalankan critical service(DNS, HTTP, Mail)
1 Server sebagai honeypot.
Topology yang akan kita bangun :

Gambar 2:  Topologi jaringan
Untuk membangun topologi diatas disediakan subnet ip sebagai berikut :







 Konfigurasi Demilitarized Zone (DMZ) menggunakan GNS3 dan virtualbox

1. Siapkan topologi jaringan yang akankita implementasikan
2. Siapkan Image yang akan dipakai sebagai OS host, dalam hal ini kita akan menggunakan satu image virtualbox (.ova atau .vdi) dan untuk host yang menggunakan Sistem operasi yang sama cukup memakai fitur linked clone yang ada virtualbox
3. Membuat VM menggunakan linked HDD yang ada di virtualbox.
C:\Users\Notebook\Downloads\captured\Image 5.png

Pilih opsi re-initialize MAC ->linked clone.


Buat 4 Virtual machine yang masing-masing akan kita jadikan host di gns3.


Setting interface vm.

4. Membuat Topology jaringan dengan menggunakan gns3 (dengan Virtualbox)
a. Create VM template

b. Add Device and Interface.

Konfigurasi Host

1. InternetHost :
Dalam topologi diatas public network terkoneksi secara peer sehingga hanya ada dua host yang terkoneksi.
Ifconfig eth0 202.9.85.1/30

route add defaut 202.9.85.9

b. DNS Server :

ifconfig eth0 202.9.85.11/29
route add defaut 202.9.85.9

c. Mail Server

ifconfig eth0 202.9.85.12/29
route add defaut 202.9.85.9

4. Honeypot network
Honeypot dmz sengaja dipisahkan menggunakan subnet tersendiri.

ifconfig eth0 202.9.85.6/30
route add defaut 202.9.85.5

5. Local network
Local network menggunakan  private ip
IP : 192.168.1.0/24
Gateway : 192.168.1.1

Topologi yang akan di bangun

Konfigurasi main router(OS Debian Jessie).

1. Interface :
Eth0 : IP Address 202.9.85.2/30
Eth1 : IP Address 202.9.85.9/29
Eth2 : IP Address 202.9.85.5/30
Eth3 : IP Address 192.168.1.1/24


2. Konfigurasi rule pada main router.
Sebelumnya enable ip4_forward pada iptables.
Echo 1 > /proc/sys/net/ipv4/ip_forward

a. Akses ke internet
Localnetwork Internet == Allow
Honeypot Internet == Allow
DMZ Internet == Allow


Iptables –t nat –A POSTROUTING –o eth3 –j MASQUERADE

Perintah diatas akan mengaktifkan NAT dari semua interface yang output trafficnya melalui eth3 akan di MASQUERADE

b. Akses dari Internet/public DMZ network(Web server, DNS Server, Mail Server)
Traffic dari Internet tidak di perbolehkan mengakses secara langsung ke Server yang di dalam DMZ area, namun Service HTTP, DNS dan Mail pada server akan di forward ke public interface 202.9.85.2


iptables -F
iptables -X

iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# DMZ untuk DNS
iptables -A INPUT -p tcp -m multiport -d 202.85.9.2 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -m multiport -d 202.85.9.10 --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -d 202.85.9.2 --dport 53 -j DNAT --to 202.85.9.10:53

iptables -A INPUT -p udp -m multiport -d 202.85.9.2 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -m multiport -d 202.85.9.10 --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p udp -m multiport -d 202.85.9.2 --dport 53 -j DNAT --to 202.85.9.10:53

#DMZ untuk Webserver
iptables -A INPUT -p tcp -m multiport -d 202.85.9.2 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp- m multiport -d 202.85.9.10 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -d 202.85.9.2 --dport 80 -j DNAT --to 202.85.9.10

iptables-save > ~/dmz.txt


Pada setting iptables diatas terlihat bahwa semua paket tcp dengan destinasi 202.85.9.2 dengan port 80 akan di redirect ke ip web server 202.9.85.10:80



1. Test Konfigurasi DMZ.

  1. Internet DMZ
  1. Internet Internal Network
  1. DMZ Internet
  1. DMZ Internal Network
  1. Internal Network DMZ

  1. Internal Network Internet

  1. Akses web server DMZ dari Internet


Kesimpulan

DMZ digunakan untuk meningkatkan security sebuah host yang menyediakan service tertentu yang terhubung akses ke untrusted network / jaringan public. Dengan cara menempatkan host di dalam sebuah area demilitarized dan melakukan forwarding service agar tetap bisa diakses ke public network, disatu sisi service tetap bisa diakses oleh public/untrusted network, namun disatu sisi host/server tetap berada di area trusted network.
Sehingga serangan ke server bisa di minimalisir karena server dengan service yang vital tersebut tidak bisa diakses langsung.


Posted by at
Labels:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)