LOGIST SERVER FIREWALL
Pengertian Loglist server Firewall
Loglist server firewall yaitu suatu kegiatan yang mendata semua aliran data yang masuk pada level aplikasi
di server.
Analisis laporan hasil kerja server firewall
Pada tahap pengujian yang telah dibangun, sistem keamanan tersebut akan
diuji menggunakan tools uji keamanan berikut :
1. Nmap (Network
Mapper)
Nmap digunakan untuk melakukan port scan/port sweep yang bertujuan untuk mengumpulkan informasi/reconnaissance terhadap komputer target yaitu layanan apa saja yang disediakan oleh komputer target atau web server Private Cloud. Pada pengujian sistem keamanannya dilakukan dua kali percobaan (percobaan 1 dan 2) yang masing-masing percobaan menggunakan fitur Nmap TCP Connect () Scan, yang dimana scan ini mengirim paket TCP utuh (SYNSYN_ACK-ACK) pada komputer target kemudian periksa hasil data log sistem keamanan terhadap scan tersebut. Untuk dapat melakukan Nmap TCP Connect () Scan, ketikkan perintah berikut pada terminal: Nmap –sT 192.168.10
Nmap digunakan untuk melakukan port scan/port sweep yang bertujuan untuk mengumpulkan informasi/reconnaissance terhadap komputer target yaitu layanan apa saja yang disediakan oleh komputer target atau web server Private Cloud. Pada pengujian sistem keamanannya dilakukan dua kali percobaan (percobaan 1 dan 2) yang masing-masing percobaan menggunakan fitur Nmap TCP Connect () Scan, yang dimana scan ini mengirim paket TCP utuh (SYNSYN_ACK-ACK) pada komputer target kemudian periksa hasil data log sistem keamanan terhadap scan tersebut. Untuk dapat melakukan Nmap TCP Connect () Scan, ketikkan perintah berikut pada terminal: Nmap –sT 192.168.10
2. Hping3
Hping3 digunakan untuk melakukan serangan DOS (Denial Of Service) yang berupa ICMP Flood yang dimana bertujuan untuk membanjiri komputer target dengan paket ICMP_ECHO_REQUEST yang berjumlah sangat banyak sehingga dapat menghabiskan resource (CPU Usage) yang dimiliki komputer target. Untuk pengujian sistem keamanannya dilakukan dua kali percobaan ICMP Flood yang masing-masing dilakukan selama 30 detik terhadap web 37 server cloud dan periksa hasil data log sistem keamanan serta dampak yang dihasilkan pada web server, dalam hal ini CPU Usage web server cloud. Untuk dapat melakuan ICMP Flood menggunakan Hping3, ketikkan perintah berikut pada terminal: hping3 –p 80 --flood –-icmp 192.168.1.10
Hping3 digunakan untuk melakukan serangan DOS (Denial Of Service) yang berupa ICMP Flood yang dimana bertujuan untuk membanjiri komputer target dengan paket ICMP_ECHO_REQUEST yang berjumlah sangat banyak sehingga dapat menghabiskan resource (CPU Usage) yang dimiliki komputer target. Untuk pengujian sistem keamanannya dilakukan dua kali percobaan ICMP Flood yang masing-masing dilakukan selama 30 detik terhadap web 37 server cloud dan periksa hasil data log sistem keamanan serta dampak yang dihasilkan pada web server, dalam hal ini CPU Usage web server cloud. Untuk dapat melakuan ICMP Flood menggunakan Hping3, ketikkan perintah berikut pada terminal: hping3 –p 80 --flood –-icmp 192.168.1.10
Agar proses analisa data log dari setiap keadaan pengujian lebih efisien
dan mudah dianalisa, maka untuk setiap pengujian file log akan dihapus kemudian
dibuat kembali, serta log daemon serta sistem keamanan yang digunakan
direstart. Ini agar dalam setiap pengujian paket yang di-log oleh Iptables/Psad
dapat berjumlah hingga ribuan paket sehingga dapat menyebabkan kesulitan dalam
menganalisa data log dari setiap keadaan pengujian pada PC Router. Serta sampel
log yang diambil adalah paket yang berada di urutan terakhir agar lebih
memudahkan serta efisien dalam menganalisa paket tersebut.
Paket yang di log merupakan paket yang memiliki prefix sebagaimana berikut
:
- “INVALID PKT “ Paket yang termasuk/memiliki prefix ini adalah paket yang tidak sesuai/invalid dengan state yang ada. Artinya tidak termasuk kedalam koneksi apapun yang berjalan/ada pada server.
- “SPOOFED IP “ Paket yang memiliki prefix ini adalah paket yang berasal dari LAN 1 yang memiliki alamat sumber sama dengan alamat IP dari LAN 2.
- “DROP PKT “ Paket yang memiliki prefix ini adalah paket yang tidak sesuai dengan rules yang ada pada firewall.
- “ICMP FLOOD “ Paket yang memiliki prefix ini adalah paket yang terdeteksi sebagai paket DOS ICMP Flood.
Pengujian PC Router sebagai Firewall
Pada pengujian PC Router sebagai Firewall, fitur keamanan firewall yang
digunakan yaitu Iptables. Dimana firewall Iptables sudah terkonfigurasi dan
diatur paket-paket apa saja kah yang diijinkan masuk kedalam jaringan/web
server dan 38 mana yang tidak (rules and policy). Paket yang tidak sesuai
dengan rules/policy yang diterapkan akan di log dan data log tersebut akan
dianalisis.
Pengujian menggunakan Nmap
Digunakan Nmap TCP Connect Scan () untuk melakukan port scan/sweep terhadap
web server cloud dan melihat hasilnya apakah firewall berfungsi dengan baik.
Berikut merupakan hasil tampilan dari Nmap ketika firewall diterapkan.
Tampilan Hasil Scan Nmap Firewall on
Pada tampilan hasil scan Nmap pada gambar diatas, didapatkan hasil bahwa
Nmap telah melakukan Port Scan pada web server selama 17,48 detik dan layanan
(service) yang ada pada web server cloud adalah untuk http (port 80), https
(port 443) dan DNS (port 53). Tetapi yang dalam keadaan terbuka (open/tersedia
pada web server tersebut) adalah layanan untuk http dan https (port 80 dan
443), sedangkan untuk layanan DNS (port 53), walaupun pada web server ada
layanan untuk DNS tetapi web server tidak menyediakannya untuk client karena
dalam keadaan tertutup (closed). Berikut merupakan hasil data log Iptables
terhadap port scan yang dilakukan oleh Nmap.
Tampilan Jumlah Paket Data Log Firewall on
Pada tampilan diatas, didapatkan hasil bahwa Iptables telah melakukan log
berjumlah 2006 paket yang dimana paket-paket tersebut berasal dari port scan
yang dilakukan oleh Nmap yang sebelumnya. Paket tersebut di log dan drop oleh
Iptables karena tidak sesuai dengan rules dan policy yang diterapkan pada
firewall. Hasil analisa ini didapat dari Prefix paket yang dilog tersebut yaitu
“DROP PKT”, seperti yang digambarkan pada Gambar diatas dan detil isi paket
pada Gambar dibawah ini
Tampilan Sampel Paket Data Log
Pada Gambar diatas merupakan sampel paket yang di-log oleh Iptables. Isi
sampel paket tersebut berupa nilai-nilai yang ada pada TCP/IP header yang
dimiliki oleh paket tersebut. Untuk penjelasan detil mengenai sampel paket log
Iptables seperti yang digambarkan pada Gambar diatas akan dijelaskan di bagian
lampiran.
Ketika dilakukan pengujian nmap scan kembali, hasil data log Iptables
bertambah dari yang asalnya 2006 menjadi 4012 paket. Dari hasil yang didapat
tersebut tidak berbeda jauh dengan pengujian sebelumnya (PC Router sebagai
Firewall), dimana ketika dilakukan nmap scan kembali setelah percobaan pertama
paket yang di-log oleh Iptables bertambah sekitar 1990-2010 paket.
Komentar
Posting Komentar