Log server firewall

Untuk post kali ini saya akan share mengenai Log server firewall, untuk lebih lengkapnya baca artikel berikut

Pengertian Loglist server Firewall
Loglist server firewall yaitu suatu kegiatan yang mendata semua aliran data yang masuk pada level aplikasi di server. 


Analisis laporan hasil kerja server firewall
Pada tahap pengujian yang telah dibangun, sistem keamanan tersebut akan diuji menggunakan tools uji keamanan berikut :
  1. Nmap (Network Mapper)
    Nmap digunakan untuk melakukan port scan/port sweep yang bertujuan untuk mengumpulkan informasi/reconnaissance terhadap komputer target yaitu layanan apa saja yang disediakan oleh komputer target atau web server Private Cloud. Pada pengujian sistem keamanannya dilakukan dua kali percobaan (percobaan 1 dan 2) yang masing-masing percobaan menggunakan fitur Nmap TCP Connect () Scan, yang dimana scan ini mengirim paket TCP utuh (SYNSYN_ACK-ACK) pada komputer target kemudian periksa hasil data log sistem keamanan terhadap scan tersebut. Untuk dapat melakukan Nmap TCP Connect () Scan, ketikkan perintah berikut pada terminal: Nmap –sT 192.168.10
  2. Hping3
    Hping3 digunakan untuk melakukan serangan DOS (Denial Of Service) yang berupa ICMP Flood yang dimana bertujuan untuk membanjiri komputer target dengan paket ICMP_ECHO_REQUEST yang berjumlah sangat banyak sehingga dapat menghabiskan resource (CPU Usage) yang dimiliki komputer target. Untuk pengujian sistem keamanannya dilakukan dua kali percobaan ICMP Flood yang masing-masing dilakukan selama 30 detik terhadap web 37 server cloud dan periksa hasil data log sistem keamanan serta dampak yang dihasilkan pada web server, dalam hal ini CPU Usage web server cloud. Untuk dapat melakuan ICMP Flood menggunakan Hping3, ketikkan perintah berikut pada terminal: hping3 –p 80 --flood –-icmp 192.168.1.10
Kali ini saya hanya menjelaskan yang menggunakan Nmap.


Agar proses analisa data log dari setiap keadaan pengujian lebih efisien dan mudah dianalisa, maka untuk setiap pengujian file log akan dihapus kemudian dibuat kembali, serta log daemon serta sistem keamanan yang digunakan direstart. Ini agar dalam setiap pengujian paket yang di-log oleh Iptables/Psad dapat berjumlah hingga ribuan paket sehingga dapat menyebabkan kesulitan dalam menganalisa data log dari setiap keadaan pengujian pada PC Router. Serta sampel log yang diambil adalah paket yang berada di urutan terakhir agar lebih memudahkan serta efisien dalam menganalisa paket tersebut.
Paket yang di log merupakan paket yang memiliki prefix sebagaimana berikut :
  1. “INVALID PKT “ Paket yang termasuk/memiliki prefix ini adalah paket yang tidak sesuai/invalid dengan state yang ada. Artinya tidak termasuk kedalam koneksi apapun yang berjalan/ada pada server. 
  2. “SPOOFED IP “ Paket yang memiliki prefix ini adalah paket yang berasal dari LAN 1 yang memiliki alamat sumber sama dengan alamat IP dari LAN 2.
  3. “DROP PKT “ Paket yang memiliki prefix ini adalah paket yang tidak sesuai dengan rules yang ada pada firewall.
  4.  “ICMP FLOOD “ Paket yang memiliki prefix ini adalah paket yang terdeteksi sebagai paket DOS ICMP Flood.
Pengujian PC Router sebagai Firewall

Pada pengujian PC Router sebagai Firewall, fitur keamanan firewall yang digunakan yaitu Iptables. Dimana firewall Iptables sudah terkonfigurasi dan diatur paket-paket apa saja kah yang diijinkan masuk kedalam jaringan/web server dan 38 mana yang tidak (rules and policy). Paket yang tidak sesuai dengan rules/policy yang diterapkan akan di log dan data log tersebut akan dianalisis.

Pengujian menggunakan Nmap
Digunakan Nmap TCP Connect Scan () untuk melakukan port scan/sweep terhadap web server cloud dan melihat hasilnya apakah firewall berfungsi dengan baik. Berikut merupakan hasil tampilan dari Nmap ketika firewall diterapkan.
Tampilan Hasil Scan Nmap Firewall on
Pada tampilan hasil scan Nmap pada gambar diatas, didapatkan hasil bahwa Nmap telah melakukan Port Scan pada web server selama 17,48 detik dan layanan (service) yang ada pada web server cloud adalah untuk http (port 80), https (port 443) dan DNS (port 53). Tetapi yang dalam keadaan terbuka (open/tersedia pada web server tersebut) adalah layanan untuk http dan https (port 80 dan 443), sedangkan untuk layanan DNS (port 53), walaupun pada web server ada layanan untuk DNS tetapi web server tidak menyediakannya untuk client karena dalam keadaan tertutup (closed). Berikut merupakan hasil data log Iptables terhadap port scan yang dilakukan oleh Nmap.
Tampilan Jumlah Paket Data Log Firewall on
Pada tampilan diatas, didapatkan hasil bahwa Iptables telah melakukan log berjumlah 2006 paket yang dimana paket-paket tersebut berasal dari port scan yang dilakukan oleh Nmap yang sebelumnya. Paket tersebut di log dan drop oleh Iptables karena tidak sesuai dengan rules dan policy yang diterapkan pada firewall. Hasil analisa ini didapat dari Prefix paket yang dilog tersebut yaitu “DROP PKT”, seperti yang digambarkan pada Gambar diatas dan detil isi paket pada Gambar dibawah ini
Tampilan Sampel Paket Data Log
Pada Gambar diatas merupakan sampel paket yang di-log oleh Iptables. Isi sampel paket tersebut berupa nilai-nilai yang ada pada TCP/IP header yang dimiliki oleh paket tersebut. Untuk penjelasan detil mengenai sampel paket log Iptables seperti yang digambarkan pada Gambar diatas akan dijelaskan di bagian lampiran.

Ketika dilakukan pengujian nmap scan kembali, hasil data log Iptables bertambah dari yang asalnya 2006 menjadi 4012 paket. Dari hasil yang didapat tersebut tidak berbeda jauh dengan pengujian sebelumnya (PC Router sebagai Firewall), dimana ketika dilakukan nmap scan kembali setelah percobaan pertama paket yang di-log oleh Iptables bertambah sekitar 1990-2010 paket.

Post a Comment

[blogger][disqus][facebook]

Author Name

Contact Form

Name

Email *

Message *

Powered by Blogger.