Penyerang menemukan cara canggih untuk menembus bahkan jaringan jarak jauh yang dilindungi oleh sistem deteksi dan pencegahan intrusi. Tidak ada IDS/IPS yang dapat menghentikan atau meminimalkan serangan peretas yang bertekad untuk mengambil alih jaringan Anda. Konfigurasi yang tidak tepat memungkinkan penyerang melewati semua tindakan keamanan jaringan yang diterapkan.
Dalam artikel ini, saya akan menjelaskan bagaimana teknisi keamanan atau administrator sistem dapat mencegah serangan ini.
Lebih banyak sumber daya Linux
- Lembar contekan perintah Linux
- Lembar contekan perintah Linux tingkat lanjut
- Kursus online gratis:Ikhtisar Teknis RHEL
- Lembar contekan jaringan Linux
- Lembar contekan SELinux
- Lembar contekan perintah umum Linux
- Apa itu container Linux?
- Artikel Linux terbaru kami
Hampir semua distribusi Linux dilengkapi dengan firewall bawaan untuk mengamankan proses dan aplikasi yang berjalan di host Linux. Sebagian besar firewall dirancang sebagai solusi IDS/IPS, yang tujuan utamanya adalah untuk mendeteksi dan mencegah paket jahat mendapatkan akses ke jaringan.
Firewall Linux biasanya dilengkapi dengan dua antarmuka:iptables dan ipchains. Kebanyakan orang menyebut antarmuka ini sebagai "firewall iptables" atau "firewall ipchains." Kedua antarmuka dirancang sebagai filter paket. Iptables bertindak sebagai firewall stateful, membuat keputusan berdasarkan paket sebelumnya. Ipchains tidak membuat keputusan berdasarkan paket sebelumnya; oleh karena itu, ini dirancang sebagai firewall stateless.
Pada artikel ini, kita akan fokus pada firewall iptables, yang hadir dengan kernel versi 2.4 dan seterusnya.
Dengan firewall iptables, Anda dapat membuat kebijakan, atau serangkaian aturan yang diurutkan, yang mengomunikasikan ke kernel bagaimana seharusnya memperlakukan kelas paket tertentu. Di dalam kernel terdapat kerangka kerja Netfilter. Netfilter adalah kerangka kerja dan nama proyek untuk firewall iptables. Sebagai kerangka kerja, Netfilter memungkinkan iptables untuk menghubungkan fungsi yang dirancang untuk melakukan operasi pada paket. Singkatnya, iptables bergantung pada kerangka Netfilter untuk membangun fungsionalitas firewall seperti memfilter data paket.
Setiap aturan iptables diterapkan ke rantai di dalam tabel. Sebuah rantai iptables adalah kumpulan aturan yang dibandingkan dengan paket dengan karakteristik serupa, sementara tabel (seperti nat atau mangle) menjelaskan beragam kategori fungsionalitas. Misalnya, tabel mangle mengubah data paket. Jadi, aturan khusus yang mengubah data paket diterapkan padanya, dan aturan pemfilteran diterapkan ke tabel filter karena tabel filter memfilter data paket.
Aturan Iptables memiliki serangkaian kecocokan, bersama dengan target, seperti Drop atau Deny , yang menginstruksikan iptables apa yang harus dilakukan dengan paket yang sesuai dengan aturan. Jadi, tanpa target dan serangkaian kecocokan, iptables tidak dapat memproses paket secara efektif. Target hanya mengacu pada tindakan spesifik yang akan diambil jika sebuah paket cocok dengan aturan. Kecocokan, di sisi lain, harus dipenuhi oleh setiap paket agar iptables dapat memprosesnya.
Sekarang setelah kita memahami cara kerja firewall iptables, mari kita lihat cara menggunakan firewall iptables untuk mendeteksi dan menolak atau menghapus alamat palsu.
Mengaktifkan verifikasi alamat sumber
Langkah pertama yang saya, sebagai teknisi keamanan, lakukan saat menangani alamat palsu dari host jarak jauh adalah mengaktifkan verifikasi alamat sumber di kernel.
Verifikasi alamat sumber adalah fitur tingkat kernel yang menjatuhkan paket yang berpura-pura berasal dari jaringan Anda. Ini menggunakan metode filter jalur balik untuk memeriksa apakah sumber paket yang diterima dapat dijangkau melalui antarmuka yang digunakan.
Untuk mengaktifkan verifikasi alamat sumber, gunakan skrip shell sederhana di bawah ini daripada melakukannya secara manual:
#!/bin/sh
#author’s name: Michael K Aboagye
#purpose of program: to enable reverse path filtering
#date: 7/02/18
#displays “enabling source address verification” on the screen
echo -n "Enabling source address verification…"
#Overwrites the value 0 to 1 to enable source address verification
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
echo "completed"
Skrip sebelumnya, saat dijalankan, menampilkan pesan Enabling source address verification tanpa menambahkan baris baru. Nilai default filter jalur terbalik adalah 0,0, yang berarti tidak ada validasi sumber. Jadi, baris kedua hanya menimpa nilai default 0 menjadi 1. 1 berarti kernel akan memvalidasi sumber dengan mengonfirmasi jalur sebaliknya.
Terakhir, Anda dapat menggunakan perintah berikut untuk menghapus atau menolak alamat palsu dari host jarak jauh dengan memilih salah satu dari target berikut:DROP atau REJECT . Namun, saya sarankan menggunakan DROP untuk alasan keamanan.
Ganti placeholder “IP-address” dengan alamat IP Anda sendiri, seperti yang ditunjukkan di bawah ini. Selain itu, Anda harus memilih untuk menggunakan REJECT atau DROP; kedua target tidak bekerja bersama.
iptables -A INPUT -i internal_interface -s IP_address -j REJECT / DROP
iptables -A INPUT -i internal_interface -s 192.168.0.0/16 -j REJECT/ DROP
Artikel ini hanya memberikan dasar-dasar tentang cara mencegah serangan spoofing dari host jarak jauh menggunakan firewall iptables.