Wednesday, March 16, 2016

Cara Bina Sistem Keselamatan ICT (Firewall Dan DMZ) [PART 1]

Bina Sistem Keselamatan ICT Firewall DMZ Web Server
Dalam pengkomputeran, firewall adalah sistem keselamatan rangkaian yang memantau dan mengawal trafik rangkaian yang masuk dan keluar berdasarkan peraturan keselamatan yang telah ditetapkan. Biasanya firewall menubuhkan sebuah tembok di antara rangkaian dalaman dan rangkaian luaran, seperti Internet, yang di anggap sebagai rangkaian tidak selamat dan tidak dipercayai. Firewall dikategorikan kepada "Network Firewalls" atau "Host-based Firewall". Network firewall adalah perisian yang dijalankan menggunakan perkakasan komputer biasa yang membolehkan ia menapis antara dua atau lebih trafik rangkaian. Host-based firewall pula menyediakan lapisan perisian pada satu hos yang mengawal lalu lintas rangkaian dalam dan di luar sesebuah komputer/ server. Firewall juga menawarkan fungsi lain pada rangkaian dalaman, contoh nya sebagai DHCP atau VPN server untuk sesebuah rangkaian tersebut.
Saya tak mahu taip panjang lebar mengenai firewall kerana semua maklumat mengenai firewall terlalu banyak tercatat di Internet, baik dari kelebihan, kekurangan, ciri utama dan pelbagai jenis maklumat firewall lagi anda boleh dapatkan dengan hanya menggunakan enjin carian Internet.

Berbalik pada tajuk asal iaitu; Cara Bina Sistem Keselamatan ICT (Firewall Dan DMZ). Hari ini saya akan tunjuk kan bagaimana untuk membina sebuah firewall dengan hanya menggunakan perisian Linux.

Sebelum saya mulakan proses dan cara bina firewall. Kita harus lakar atau buat sebuah diagram atau jadual untuk rangkaian yang menggunakan firewall tersebut.


Diagram dan Jadual Rangkaian: 

Diagram Firewall
Diagram 1: Lakaran Rangkaian
Firewall
Interface
eth0
eth1
eth2
Network
192.168.1.0
172.16.8.0
10.10.10.0
IP Address
192.168.1.2~254
172.16.8.254
10.10.10.254
NIC
VMnet0
VMnet10
VMnet11
Bridge Adapter
Host-Only Adapter
Host-Only Adapter 1

Worksation
Interface
eth0
Network
172.16.8.0
IP Address
DHCP
NIC
VMnet10

DMZ
Interface
eth0
Network
10.10.10.0
IP Address
10.10.10.10
NIC
VMnet11

Siap lakar dan buat jadual, kita boleh mulakan proses dan kerja pemasangan.

Bahan/ Peralatan/ Mesin keperluan:

1.      Ubuntu Server 14.04 (Firewall)
2.      Ubuntu Server 14.04 (DMZ-Web Server)
3.      Workstation (Zorin 10)

Langkah-langkah membangunkan sistem keselamatan ICT (Firewall dan DMZ)

Pasang Workstation

Proses pemasangan Workstation saya langkau. Anda boleh rujuk pada entri:
[Cara Pasang Zorin Pada VMware Atau VirtualBox]

Pasang Firewall

Proses pemasangan Firewall saya langkau. Anda boleh rujuk pada entri:
[Cara Pasang Ubuntu Server Pada VMware Atau VirtualBox]

Cuma pada bahagian Software Selection pilih software yang bersesuaian. Untuk firewall, saya hanya pilih OpenSSH Server sahaja.

Pasang DMZ

Proses pemasangan Web Server saya langkau. Anda boleh rujuk pada entri:
[Cara Pasang Ubuntu Server Pada VMware Atau VIrtualBox]

Pada bahagian Software Selection, pilih OpenSSH Server dan LAMP Server.

Konfigurasi Firewall

Konfigurasi Alamat IP

Menggunakan arahan "sudo nano /etc/network/interfaces" pada firewall dan tetapkan alamat ip seperti diagram 1 dan jadual firewall :-

Interface
Alamat IP
Catatan
eth0
192.168.1.150
WAN
eth1
172.16.8.254
LAN
eth2
10.10.10.254
DMZ

Tetapan Antaramuka Rangkaian

Konfigurasi DHCP Server untuk LAN

1. Jalankan arahan "sudo apt-get install dhcp3-server -y" pada firewall dan tunggu hingga selesai. Alternatif sekiranya anda tiada Internet, anda boleh memuat-turun fail pakej di http://packages.ubuntu.com/precise/isc-dhcp-server

2. Pilih interface LAN iaitu eth1 untuk memberikan servis DHCP dengan menggunakan arahan "sudo nano /etc/default/isc-dhcp-server"

Tetapan Penggunaan Antaramuka Rangkaian DHCP


3. Isikan tetapan DHCP pada dhcpd.conf dengan arahan "sudo nano /etc/dhcp/dhcpd.conf"
    ddns-update-style none;
default-lease-time 1800;
max-lease-time 86400;
authoritative;

option subnet-mask 255.255.255.0;
option routers 172.16.8.254;
option domain-name-servers 8.8.8.8, 8.8.4.4;

subnet 172.16.8.0 netmask 255.255.255.0 {
        range 172.16.8.50 172.16.8.200;
}

    4. Restart DHCP Server dengan arahan "sudo service isc-dhcp-server restart"

    Memberi akses internet kepada LAN menggunakan chain FORWARD

    1. Dengan menggunakan terminal pada workstation, kita menyambung sambungan antara workstation dan firewall menggunakan SSH. Kemudian jalankan arahan "sudo su" untuk akses ke akaun root.

    Akses ke akaun root

    2. Jalankan arahan "nano /etc/sysctl.conf", cari ayat "#net.ipv4.ip_forward=1" dan buang komen pada ayat tersebut
    Tetapan Packet Forwarding ipv4

    Jalankan arahan seperti dibawah juga :-
    echo 1 > /proc/sys/net/ipv4/ip_forward
    3. Seterusnya jalankan arahan seperti berikut :-

    iptables -t nat -A POSTROUTING -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

    Zorin Telah Dapat Akses ke Internet


    Selesai untuk PART 1. Jika ada kelapangan masa, saya akan siapkan PART 2 dengan secepat yang mungkin.

    Sekian.
    Labels: , , , , , ,

    Leave your comments here
    Budi bahasa budaya kita (=

    No comments:

    Post a Comment

    Subscribe to: Post Comments (Atom)