Buat IP dan MAC Filter yang jalan dengan DHCP Server  ncuptea blog

Buat IP dan MAC Filter yang jalan dengan DHCP Server

Pendahuluan

Pada jaringan hotspot, RT/RW Net, atau warnet sekalipun komputer klien yang terhubung di belakang server rawan membobol atau membypass aturan yang telah kita tetapkan di mesin server/gateway. Umumnya pada suatu server hotspot menerapkan MAC Filtering namun hal ini masih bisa dimanfaatkan dengan cara meng-kloning mac address klien-klien yang sudah terkoneksi atau yang di bedakan (spesialkan)hak akses nya dan jika itu terjadi dimana suatu MAC Address terkloning maka IP Address nya akan konflik jika kedua host itu sama-sama online, sehingga mengakibatkan ip yang valid akan disconnect atau limited karena pelaku yang meng-klon MAC Address nya akan memaksa meresolvkan IP nya ke gateway supaya di validasi.

Contoh situasi pembobolan/bypass aturan sever di lingkungan kantor/warnet yang terkoneksi dengan kabel UTP (tanpa akses point)

Skemanya jaringan :
komputer klien 1 dan 2----router----internet

Komputer 1 milik karyawan, dimana akses ke internet di block.
Komputer 2 milik direktur, dimana akses ke internet di buka.

Pemakai komputer 1 merasa di batasi dan skill nya mendukung, maka dia kemungkinan besar akan menfaatkan proxy server lain yang valid atau meng-kloning MAC Address atau IP Address milik komputer 2.

Contoh situasi pembobolan/bypass aturan terjadi di lingkungan hotspot atau RT/RW Net
Hal ini paling mudah dengan sosial engine untuk mengetahui MAC/IP Address mana yang terkoneksi (berlaku jika router men-drop mac/ip tertentu), namun jika terkoneksi lokal saja tapi tidak ke jaringan luar etc. Internet maka bisa dengan memanfaatkan tools netcut untuk mengetahui hostname, mac atau ip mana yang dikiranya di allow oleh router bebas dari blockade atau limitasi.

Seorang admin selalu berpikir efisien dan tentu saja tidak mau di repotkan dengan mengurusi ip, netmask, gateway, dan dns server secara manual milik komputer klien...kebayang bukan jika ada puluhan/ratusan klien? haha. Cara paling umum ialah mengimplementasikan Dhcp Server supaya nantinya si klien di beri secara otomatis ip nya.

Back to deksripsi awalnya bagaimana menerapkan keamanan di lokal area dari hal pembobolan/bypass. Disini kita akan memfilter IP dan MAC Address klien yang jalan dengan DHCP Server pada suatu server Linux.

Di anggap dhcp server sudah berjalan normal sebelumnya. Dalam contoh di bawah ini Ip tetap akan di berikan pada suatu MAC Address walaupun secara dhcp.
  • Ubah file konfigurasi Dhcp server, jika di ubuntu ada di /etc/dhcp3/dhcpd.conf :
    subnet 192.168.0.0 netmask 255.255.255.0 {
    range 192.168.0.101 192.168.0.110;
    option domain-name-servers 180.131.144.144;
    option domain-name "bonanza.net";
    option routers 192.168.0.1;
    option broadcast-address 192.168.0.255;
    option subnet-mask 255.255.255.0;
    default-lease-time 600;
    max-lease-time 7200;

    log-facility local7;

    host op-1 {
    hardware ethernet 44:87:FC:ZZ:VV:FA;
    fixed-address 192.168.0.100;
    }
    host user1 {
    hardware ethernet 00:25:11:ZZ:VV:D4;
    fixed-address 192.168.0.101;
    }
    host user2 {
    hardware ethernet 10:78:D2:ZZ:VV:EC;
    fixed-address 192.168.0.102;
    }
    host user3 {
    hardware ethernet 00:E0:4C:ZZ:VV:D3;
    fixed-address 192.168.0.103;
    }
    host user4 {
    hardware ethernet 00:E0:4C:ZZ:VV:52;
    fixed-address 192.168.0.104;
    }
    host user5 {
    hardware ethernet 44:87:FC:ZZ:VV:1F;
    fixed-address 192.168.0.105;
    }
    Keterangan :
    - Dalam contoh hanya 5 klien
    - Yang di warnai merah dapat di ganti sesuka hati
  • Buat file bash seperti di bawah, dalam contoh ini file diletakan di /etc/network/filter.rule :
    #!/bin/bash
    # Bash script IP Address and MAC Address Filtering
    # powered by ncuptea

    files="/etc/network/filter.list"
    device="eth0"

    echo " "
    echo "MAC FILTER STATUS: All connection to droped on device $device"

    iptables -I PREROUTING -t nat -i $device -j DROP
    iptables -I FORWARD -i $device -j DROP
    iptables -A INPUT -i $device -j DROP

    echo " "
    echo "MAC FILTER STATUS: Running on device $device"
    echo "MAC FILTER STATUS: Allow access for IP-ADDRESS and MAC-ADDRESS: "

    cat $files | while read ip_address mac_address; do
    iptables -A INPUT -t filter -i $device -s $ip_address -m mac --mac-source $mac_address -j ACCEPT
    iptables -I PREROUTING -t nat -i $device -s $ip_address -m mac --mac-source $mac_address -j ACCEPT
    iptables -I FORWARD -i $device -s $ip_address -m mac --mac-source $mac_address -j ACCEPT
    echo "$ip_address [ $mac_address ] "
    done

    Keterangan :
    etho yang di warnai merah ialah interfaces LAN
  • Buat file yang berisikan MAC dan IP Address yang sebelumnya sudah terdefinisi di /etc/dhcp3/dhcpd.conf. Dalam contoh file di buat, dinamakan dan diletakan pada /etc/network/filter.list dengan isi berikut :
    192.168.0.100                  00:25:11:ZZ:VV:D4
    192.168.0.101                  00:25:11:ZZ:VV:D4
    192.168.0.102                  10:78:D2:ZZ:VV:EC
    192.168.0.103                  00:E0:4C:ZZ:VV:D3
    192.168.0.104                  00:E0:4C:ZZ:VV:52
    192.168.0.105                  44:87:FC:ZZ:VV:1F

    Save lalu keluar dari editor favorit kita.
  • Rubah permissions file /etc/network/filter.rule supaya bisa di eksekusi :
    chmod +x /etc/network/filter.rule
  • Supaya /etc/network/filter.rule ikut start-up tambahkan paling bawah pada /etc/rc.local sebelum exit 0
  • /etc/network/filter.rule

Selesai, silahkan reboot sebagai tahap akhir.



Referensi :
opensource.telkomspeedy.com
tldp.org

No comments:

Facebook Blogger Plugin: Brought to by CITEUREUP FOUNDATION Enhanced by ncuptea

Post a Comment

Berkomentarlah dengan bijak untuk pengembangan dan sekaligus menjadi pembelajaran kita bersama.

Pilih Name/Url untuk mempermudah memasukan id anda!