Uncategories Mengamankan database dengan iptables

Mengamankan database dengan iptables

06.47

Keamanan Database

Salah satu bentuk penyerangan yang dapat dilakukan terhadap database server adalah Denial of Service (DoS) attack. Penyerangan tersebut dilakukan terhadap port – port tertentu dengan frekuensi yang sangat tinggi. Apabila sebuah server database mengalami serangan DoS maka seluruh resource yang ada pada server tersebut akan digunakan oleh aplikasi database. Dan apabila resource server tersebut tidak tersedia lagi, maka hal terburuk yang dapat terjadi adalah berhenti beroperasinya server dengan kondisi file – file tempat menyimpan data terkunci oleh proses aplikasi MySQL yang sedang berjalan. Penguncian file – file yang menyimpan data dapat mengakibatkan data – data tersebut tidak dapat lagi digunakan. Untuk mengatasi percobaan – percobaan penyerangan dalam bentuk DoS maka mekanisme pengamanan dengan menggunakan firewall harus dilakukan.
Pada prakteknya, firewall akan melakukan filterisasi terhadap packet – packet yang dikirimkan kepada server database sehingga dapat dirancang sebuah skenario pemilihan komputer client mana saja yang dapat membuka koneksi dengan komputer server. Pada paparan berikut ini akan diperlihatkan perintah – perintah yang harus dilakukan untuk memfilterisasi packet – packet yang dikirimkan kepada server database. 

root@efrizal:/# iptables -A INPUT -p tcp -i eth0 -s 192.168.1.3 –sport 1024:65535 –dport 3306 -m state –state NEW,ESTABLISHED -j ACCEPT root@efrizal:/#

Potongan perintah diatas berfungsi untuk memberikan hak akses kepada komputer dengan IP adress 192.168.1.3 untuk membuka koneksi ke port 3306 pada server database.
_________________________________________________________________________________________________________________________________________________________________________________________ 
root@efrizal:/# iptables -A OUTPUT -p tcp -o eth0 --sport 3306 -d 192.168.1.3 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT 
root@efrizal:/#
Perintah diatas berfungsi untuk memberikan hak akses koneksi dari server dengan port 3306 kepada komputer 192.168.1.3. Hal tersebut bertujuan untuk memberikan akses terhadap data response yang dikirimkan oleh server kepada komputer 192.168.1.3.
root@efrizal:/# iptables -A INPUT -p tcp -i eth0 -s 192.168.1.2 --sport 1024:65535 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT 
root@efrizal:/#
Perintah iptables diatas berfungsi untuk memberikan hak akses kepada komputer dengan IP adress 192.168.1.2 untuk membuka koneksi ke port 3306 pada server database.
root@efrizal:/# iptables -A OUTPUT -p tcp -o eth0 --sport 3306 -d 192.168.1.2 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT 
root@efrizal:/#
Perintah iptables diatas berfungsi untuk memberikan hak akses koneksi dari server dengan port 3306 kepada komputer dengan IP address 192.168.1.2. Hal tersebut bertujuan untuk memberikan akses terhadap data reponse yang dikirimkan oleh server kepada komputer 192.168.1.2.
root@efrizal:/# iptables -A OUTPUT -p tcp -o eth0 --sport 3306 -d 192.168.1.0/24 --dport 1024:65535 -m state --state ESTABLISHED -j REJECT 
root@efrizal:/#
Perintah iptables diatas berfungsi untuk menutup hak akses terhadap dari server dengan port 3306 kepada komputer-komputer yang berasal dari sub network dengan jangkauan ip address 192.168.2.1-192.168.2.254.
root@efrizal:/# iptables -A OUTPUT -p tcp -o eth0 --sport 3306 -d 192.168.2.0/24 --dport 1024:65535 -m state --state ESTABLISHED -j REJECT 
root@efrizal:/#
_____________________________________________________________________________________________________________________________________________________________________________________
Perintah diatas berfungsi untuk menutup hak akses terhadap pengiriman response yang dikirimkan oleh database server kepada komputer-komputer yang berasal dari sub network dngan jangkauan ip address 192.168.2.1-192.168.2.254.
root@efrizal:~# iptables -nL 
Chain INPUT (policy ACCEPT) 
target     prot opt source               destination         ACCEPT     tcp  --  192.168.1.3          0.0.0.0/0           tcp spts:1024:65535 dpt:3306 state NEW,ESTABLISHED 
ACCEPT     tcp  --  192.168.1.3          0.0.0.0/0           tcp spts:1024:65535 dpt:3306 state NEW,ESTABLISHED 
ACCEPT     tcp  --  192.168.1.2          0.0.0.0/0           tcp spts:1024:65535 dpt:3306 state NEW,ESTABLISHED 
REJECT     tcp  --  192.168.2.0/24       0.0.0.0/0           tcp spts:1024:65535 dpt:3306 state NEW,ESTABLISHED reject-with icmp-port-unreachable 
Chain FORWARD (policy ACCEPT) 
target     prot opt source               destination         Chain OUTPUT (policy ACCEPT) 
target     prot opt source               destination         ACCEPT     tcp  --  0.0.0.0/0            192.168.1.3         tcp spt:3306 dpts:1024:65535 state ESTABLISHED 
ACCEPT     tcp  --  0.0.0.0/0            192.168.1.2         tcp spt:3306 dpts:1024:65535 state ESTABLISHED 
REJECT     tcp  --  0.0.0.0/0            192.168.2.0/24      tcp 
_______________________________________________________________________________________________________________________________________________________________________________________________________--
ssumber  :   http://efrizalzaida.wordpress.com/2012/08/24/mengamankan-database-dengan-iptables/

Share this

Unknown

Related Posts

Next
« Prev Post
Previous
Next Post »
Langganan: Posting Komentar (Atom)