Pengenalan Kriptografi dan Firewall

Pengenalan Kriptografi dan Firewall

iyan@greits.com

Pengenalan Kriptografi dan Firewall

Kriptografi
Kriptografi adalah suatu ilmu yang mempelajari pengamanan informasi melalui teknik-teknik matematika. Dalam kriptografi kita mengenal dua jenis proses, yaitu enkripsi dan dekripsi.

Enkripsi
Proses penyandian suatu informasi(plaintext) menjadi informasi yang tersandikan(ciphertext). Proses ini terjadi menggunakan suatu fungsi atau algoritma enkripsi. Untuk lebih jelasnya kita dapat lihat pada gambar :

Gambar 1 Proses Enkripsi

Dekripsi
Proses pengembalian informasi yang tersandikan(ciphertext) menjadi informasi yang dapat dimengerti(plaintext). Proses ini juga menggunakan suatu fungsi atau algoritma dekripsi. untuk lebih jelasnya lihat gambar dibawah :

Gambar 2 Proses Dekripsi

Pengenalan Kriptografi dan Firewall

Teknik-teknik Penyandian
Penyandian Simetrik
Pada penyandian simetrik, terdapat satu kunci yang digunakan untuk melakukan proses enkripsi dan dekripsi. Jadi kedua belah yang akan melakukan pertukaran informasi harus memiliki kunci yang sama. Contoh aplikasi penyandian ini adalah Enigma, yaitu mesin penyandian yang digunakan oleh Jerman pada Perang Dunia II. Enigma menghasilkan ratusan kunci yang dibukukan menjadi buku kunci. Lalu lintas pengiriman data dengan gelombang radio pada waktu itu dienkripsi dan didekripsi oleh kunci harian. Di jaman sekarang ini beberapa implementasi penyandian simetrik diantaranya DES(Data Encryption Standard), Triple-DES, Blowfish dan IDEA. Pada penyandian simetrik keamanan sangat tergantung pada kombinasi banyaknya kunci. Sebagai contoh penyandian DES dengan panjang kunci 56 bit, maka kemungkinan terdapat 256 kunci atau sama dengan 72.057.594.037.927.936 kunci. Angka diatas mungkin tampak sangat banyak, tetapi komputer pada saat ini dapat menebak seluruh kombinasi kunci dalam hitungan hari. Sebuah komputer khusus bahkan dapat menebaknya dalam hitungan jam. Mungkin juga karena hal tersebut, penyandian simetrik seperti Triple-DES, Blowfish dan IDEA, menggunakan kunci sepanjang 128 bit. Sehingga terdapat 2128 kunci, yang walaupun jika semua komputer yang ada di dunia ini digabungkan, dibutuhkan waktu yang sangat lama untuk menebak kombinasi kunci yang tepat. Namun demikian kelemahan utama dari penyandian ini adalah mekanisme untuk mengamankan kunci dan mengirimkan kunci tersebut kepada orang yang kita tuju. Cara kerja penyandian simetrik adalah sebagai berikut :

Gambar 3 Penyandian Simetrik

Penyandian Asimetrik
Pada penyandian asimetrik, terdapat dua buah kunci, untuk enkripsi dan dekripsi. Untuk enkripsi disebut public key dan dapat diberikan kepada siapa saja, dan untuk dekripsi disebut private key, yang dibawa oleh pemilik kunci. Jika suatu informasi dienkripsi menggunakan public key maka hanya private key saja yang bisa membuka enkripsi tersebut.

Pengenalan Kriptografi dan Firewall

Keuntungan dari penyandian asimetrik adalah hanya dibutuhkan satu kunci bagi siapa saja yang ingin berkomunikasi dengan kita. Sedangkan kelemahannya adalah kecepatan enkripsinya yang jauh lebih lambat dibandingkan penyandian simetrik. Contoh implementasi dari penyandian asimetrik diantaranya RSA(Rivest, Shamir, dan Adleman) yang keamanannya bergantung pada sulitnya memfaktorkan bilangan prima besar. Contoh lain seperti Diffie-Helman dan Elgamal.

Gambar 4 Penyandian Asimetrik

Penyandian Hybrid
Penyandian Hybrid bekerja dengan menggabungkan kelebihan kedua jenis penyandian diatas. Pertama informasi dienkripsi menggunakan penyandian simetrik, lalu kuncinya dienkripsi menggunakan penyandian asimetrik. Dengan demikian keamanan informasi dan kunci menjadi lebih terjamin. Untuk lebih meningkatkan keamanan maka dibuat kunci penyandian simetrik secara acak, disebut juga session key.

Penyandian Hash
Penyandian hash, biasa digunakan untuk pengamanan password dan digital signature. Pada sistem Linux misalnya password yang dimasukkan oleh user, dienkripsi dengan penyandian hash, hasil penyandian ini kemudian dibandingkan dengan hasil hash yang terdapat pada file /etc/password. Sedangkan digital signature bertujuan agar orang mendapatkan dokumen/program yang sama dengan sumbernya. Contohnya sebuah dokumen dienkripsi dengan penyandian hash, hasilnya adalah signature dari dokumen tersebut. Bila seseorang ingin memeriksa apakah dokumen miliknya sama dengan dokumen sumber, maka dia pun dapat melakukan penyandian hash pada dokumen yang dimilikinya, dan signature dari dokumen miliknya dibandingkan dengan signature dari dokumen sumber. Beberapa algoritma penyandian hash diantaranya SHA(Secure Hash Algorithm), MD5, dan DSA.

Pengenalan Kriptografi dan Firewall

Implementasi Kriptografi
Pada Linux kita bisa menggunakan program gnupg yang biasanya sudah disertakan pada beberapa distribusi Linux. Jika anda ingin mendapatkan versi terbarunya anda dapat mengambilnya di www.gnupg.org.

Membuat pasangan kunci penyandian asimetrik

Pertama-tama kita akan membuat pasangan kunci penyandian asimetrik, caranya ketikkan perintah berikut pada konsole
[iyan@IyaNet iyan]$ gpg --gen-key gpg (GnuPG) 1.2.3; Copyright (C) 2003 Free Software Foundation, Inc. This program comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it under certain conditions. See the file COPYING for details. Please select what kind of key you want: (1) DSA and ElGamal (default) (2) DSA (sign only) (5) RSA (sign only) Your selection?

Terdapat tiga pilihan kunci, DSA dan Elgamal jika kita juga ingin melakukan enkripsi dan dekripsi dokumen, DSA dan RSA jika hanya ingin membuat signature. Karena kita juga ingin melakukan enkripsi dokumen maka kita pilih opsi nomor 1. Selanjutnya akan muncul pilihan panjang kunci yang kita inginkan. Panjang minimum kunci adalah 768 bit.
DSA keypair will have 1024 bits. About to generate a new ELG-E keypair. minimum keysize is 768 bits default keysize is 1024 bits highest suggested keysize is 2048 bits What keysize do you want? (1024)

Misalkan kita pilih panjang kunci default (1024 bit). Selnajutnya akan muncul pilihan untuk berapa lama umur kunci yang kita buat. Jika kita pilih angka 0 maka kunci tidak akan pernah habis masa berlakunya.
Requested keysize is 1024 bits Please specify how long the key should be valid. 0 = key does not expire <n> = key expires in n days <n>w = key expires in n weeks <n>m = key expires in n months <n>y = key expires in n years Key is valid for? (0)

Pilihan berikutnya adalah ID pemilik komentar/julukan, dan alamat e-mail.

kunci,

formatnya

terdiri

dari

nama,

You need a User-ID to identify your key; the software constructs the

Pengenalan Kriptografi dan Firewall

user id from Real Name, Comment and Email Address in this form: "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>" Real name:

Selanjutnya anda dapat menggunakan pasangan kunci ini untuk berbagai keperluan.

Enkripsi dan dekripsi dokumen

Misalkan anda memiliki sebuah dokumen dengan nama rahasia.doc, kemudian anda ingin mengenkripsinya dengan penyandian asimetrik menjadi sebuah file bernama doc.crypt, maka ketikkan perintah berikut
[iyan@IyaNet iyan]$ gpg --output iyan@greits.com rahasia.rtf doc.crypt --encrypt --recipient

Sedangkan perintah untuk mengembalikannya ke bentuk semula adalah

[iyan@IyaNet iyan]$ gpg --output rahasia.rtf --decrypt doc.crypt

Bila anda ingin mengenkripsinya dengan menggunakan penyandian simetrik maka anda dapat menggunakan pilihan berikut
[iyan@IyaNet iyan]$ gpg --output doc --symmetric rahasia.rtf Enter passphrase:

Masukkan password untuk melindungi dokumen tersebut, kemudian ulangi untuk konfirmasi. Sedangkan untuk mengembalikan dokumen tersebut ke bentuk asalnya ketikkan perintah
[iyan@IyaNet iyan]$ gpg --output rahasia.rtf --decrypt doc.crypt gpg: CAST5 encrypted data Enter passphrase:

Tampak bahwa dokumen tersebut dienkripsi menggunakan algoritma CAST5.

Membuat dan memverifikasi signature

Misalkan anda ingin membuat signature dari dokumen algoritma.rtf maka perintahnya adalah sebagai berikut
[iyan@IyaNet iyan]$ gpg --output alg.sig --detach-sig algoritma.rtf

Kemudian untuk memeriksa apakah dokumen yang kita terima valid atau tidak ketikkan perintah
[iyan@IyaNet iyan]$ gpg --verify alg.sig algoritma.rtf gpg: Signature made Mon 17 May 2004 09:44:19 AM WIT using DSA key ID 96BB0041 gpg: Good signature from "Yantisa Akhadi (Aliansi) <iyan@greits.com>"

Tampak bahwa dokumen tersebut valid, jika tidak (misal dokumen algoritma.rtf telah

Pengenalan Kriptografi dan Firewall

dimodifikasi) maka akan muncul pesan
[iyan@IyaNet iyan]$ gpg --verify alg.sig algoritma.rtf gpg: Signature made Mon 17 May 2004 09:44:19 AM WIT using DSA key ID 96BB0041 gpg: BAD signature from "Yantisa Akhadi (Aliansi) <iyan@greits.com>"

Pengenalan Kriptografi dan Firewall

Firewall
Mengapa diberi nama firewall? Mungkin itu pertanyaan yang pertama kali muncul ketika membaca artikel tentang keamanan, baik di Win, Linux maupun sistem operasi apa saja. Menurut istilah konstruksi bangunan, firewall adalah sebuah struktur yang dibuat untuk mencegah penyebaran api. Hampir senada dengan istilah awalnya, Firewall bertujuan menjaga LAN dari "api" akses yang tidak diinginkan dari Internet. Disamping agar pengguna LAN tidak sembarangan mengeluarkan "api" aksesnya ke Internet. Dengan kata lain firewall dibuat untuk membatasi antara dua dunia(LAN dan Internet). Firewall sendiri terbagi menjadi dua jenis 1. Filtering Firewall - yang akan memblok dan melewatkan paket-paket tertentu 2. Proxy Server Firewall - berfungsi sebagai perantara koneksi

Proxy Server
Pada proxy server firewall terdapat satu komputer yang diamankan dengan ketat. Komputer ini disebut juga bastion host. Bastion host dapat dianalogikan sebagai sebuah benteng dengan parit disekelilingnya, pasukan pemanah pada menara, dan gerbang besar dan kuat yang akan memeriksa semua yang berusaha masuk dan keluar dari benteng tersebut. Setiap komputer yang akan berhubungan dengan dunia luar(internet) haruslah login ke bastion host melalui jalur yang aman(misal ssh). Dari bastion host ini client melakukan semua aktivitasnya(browsing, transfer data, chatting, dsb). Bila client mendownload data dari internet, maka data tersebut akan berada pada bastion host. Dari bastion host ini client memindahkannya lagi ke komputer miliknya.

Packet Filtering Firewalls

Packet filter adalah sebuah software yang memeriksa header dari paket ketika paket tersebut lewat, dan memutuskan tindakan apa yang dilakukan terhadap paket tersebut. Apakah paket tersebut di-DROP (misal dengan menghapus paket tersebut), ACCEPT(misal, paket tersebut diteruskan ke tujuannya), atau hal lain yang lebih kompleks.

Pengenalan Kriptografi dan Firewall

Gb. 1 Header Paket IP Pada Linux, packet filtering ditanamkan pada kernel(sebagai modul kernel, atau digabungkan ke dalam kernel). Penerapan packet filtering sudah cukup lama sejak kernel versi 1.1. Versi pertamanya, masih menyontek kerja ipfw milik BSD(Sistem Operasi buatan University California at Berkeley), dibuat oleh Alan Cox pada akhir 1994. Berkembang menjadi ipfwadm pada kernel 2.0, ipchains pada kernel 2.2 dan terakhir iptables sejak kernel 2.4.

Packet Filtering Firewalls dengan Iptables

Iptables merupakan paket program yang disertakan secara default oleh banyak distro bersama dengan kernel versi 2.4. Pada iptables nantinya kita akan banyak berhubungan dengan aturan-aturan(rules) yang menentukan tindakan apa yang akan dilakukan terhadap sebuah paket. Aturan-aturan ini dimasukan dan dihapus pada tabel packet filtering yang terdapat pada kernel. Sekedar mengingatkan kernel adalah "jantung" sistem operasi yang terus berada pada memori sejak komputer booting hingga komputer dimatikan. Sehingga aturan apapun yang kita tentukan akan hilang pada saat terjadi rebooting, namun demikian terdapat beberapa cara agar aturan-aturan yang telah kita buat dapat di kembalikan pada saat Linux booting, yaitu : 1. 2. Menggunakan perintah iptables-save, untuk menyimpan aturan-aturan yang telah ditentukan dalam sebuah file, dan iptables-restore, untuk memanggil file aturan yang telah dibuat. Meletakannya pada sebuah skrip yang akan berjalan pada saat inisialisasi Linux. Misal mengetikkan semua aturan pada /etc/rc.local.

Untuk no.1 akan dijelaskan kemudian.

Pengenalan Kriptografi dan Firewall

Perjalanan Paket Melintasi Filter

Terdapat tiga daftar aturan pada tabel filter. Daftar-daftar ini disebut "firewall chains" atau "chains". Ketiga chains tersebut adalah INPUT, OUTPUT dan FORWARD. Chains tersebut tersusun kurang lebih sebagai berikut :

PaketMasuk LihatTujuan Lokal T Chain Y ChainINPUT ProsesLokal PaketKeluar ChainOUTPUT

PaketDiteruskan

Gb.2 Perjalanan Paket Ketika paket melewati salah satu chains (INPUT, OUTPUT atau FORWARD), maka chain akan dilihat untuk menentukan "takdir" dari paket tersebut. Jika menurut chain paket tersebut harus di DROP maka paket akan dihapus, begitu juga sebaliknya jika menurut chain paket tersebut di-ACCEPT maka paket tersebut akan melanjutkan perjalanannya. Jadi chain sebenarnya merupakan daftar aturan-aturan. Tiap aturan mengatur tindakan apa yang akan dilakukan terhadap sebuah paket berdasarkan header dari paketnya. Jika aturan pertama tidak cocok dengan header paket maka akan dilanjutkan dengan aturan berikutnya, begiru seterusnya. Hingga apabila tidak ada lagi aturan yang sesuai dengan header paket maka kernel akan melihat pada chain policy, yang berisi aturan/kebijakan umum tentang tindakan terhadap suatu paket. Pada kebanyakan sistem, chain policy biasanya akan men-DROP paket tersebut.

Perintah perintah iptables

Melihat daftar aturan pada chain
Sebelum melakukan penyaringan paket pada sistem, kita terlebih dahulu melihat aturan apa saja yang telah ada dan policy(kebijakan umum) dari suatu chain. Perintah berikut contoh hasilnya adalah sebagi berikut :

10

Pengenalan Kriptografi dan Firewall

[root@localhost root]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source Chain FORWARD (policy ACCEPT) target prot opt source Chain OUTPUT (policy ACCEPT) target prot opt source

destination destination destination

Menolak semua paket yang masuk/keluar

Untuk menolak semua paket yang masuk ke dalam sistem, maka kita perlu menambah aturan ke dalam chain INPUT untuk men-DROP semua paket, sehingga perintahnya adalah
[root@localhost root]# iptables -A INPUT -j DROP

Selanjutnya coba anda hubungi komputer bersangkutan(dalam hal ini alamatnya 192.168.100.10) dari komputer lain, misal dengan program ping, maka akan muncul hasil berikut setelah anda menekan Ctrl-C
[iyan@server:~]$ ping 192.168.100.10 PING 192.168.100.10 (192.168.100.10) 56(84) bytes of data. --- 192.168.100.10 ping statistics --24 packets transmitted, 0 received, 100% packet loss, time 23014ms

Sedangkan jika anda ingin menolak semua paket keluar dari sistem, maka mirip dengan perintah diatas hanya saja chainnya diganti dengan OUTPUT, efeknya tidak jauh berbeda.
[root@localhost root]# iptables -A OUTPUT -j DROP

Untuk penolakan yang lebih "sopan" anda dapat menggunakan aksi (-j) REJECT, misal
[root@localhost root]# iptables -A INPUT -j REJECT

Maka hasil ping ke komputer yang bersangkutan akan tampak sebagai berikut
[iyan@server:~]$ ping 192.168.100.10 PING 192.168.100.10 (192.168.100.10) 56(84) bytes of data. From 192.168.100.10 icmp_seq=1 Destination Port Unreachable From 192.168.100.10 icmp_seq=2 Destination Port Unreachable From 192.168.100.10 icmp_seq=3 Destination Port Unreachable From 192.168.100.10 icmp_seq=4 Destination Port Unreachable From 192.168.100.10 icmp_seq=5 Destination Port Unreachable --- 192.168.100.10 ping statistics --5 packets transmitted, 0 received, +5 errors, 100% packet loss, time 4012ms

11

Pengenalan Kriptografi dan Firewall

Menolak paket berdasarkan alamat IP

Tentunya jika kita memakai perintah sebelumnya akan sama halnya dengan filter tanpa lubang (bukan filter donk!), karena tidak ada paket yang bisa masuk ke sistem. Untuk lebih spesifik kita dapat menyaring berdasarkan alamat IP. Misalkan ada sebuah komputer beralamat IP 192.168.100.11 yang selalu mengganggu komputer kita, untuk menyiasatinya kita gunakan perintah berikut
[root@localhost root]# iptables -A INPUT -s 192.168.100.11 -j DROP

Opsi -s pada perintah diatas berarti source atau sumber paket. Jika kita lihat pada daftar list chain akan muncul hasil sebagai berikut
[root@localhost root]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source DROP all -- 192.168.100.11 Chain FORWARD (policy ACCEPT) target prot opt source Chain OUTPUT (policy ACCEPT) target prot opt source

destination anywhere destination destination

Selain dengan menggunakan alamat IP, anda juga dapat menggunakan nama domain(walaupun hal ini sebenarnya tidak disarankan) dan subnet(cth: 192.168.1.0/24). Misalkan anda tidak ingin paket yang berasal dari www.jorok.com masuk ke komputer anda, dan anda tidak tahu alamat IP nya maka anda dapat mengetikkan perintah
[root@localhost root]# iptables -A INPUT -s www.jorok.com -j DROP

Demikian halnya pula dengan chain OUTPUT, bedanya disini opsi -s (source) diganti dengan -d (destination). Gunanya misalkan anda tidak ingin orang mengakses www.porno.com maka diterapkan aturan berikut
[root@localhost root]# iptables -A OUTPUT -d www.porno.com -j DROP

Menolak paket berdasarkan protokol dan nomor port

Protokol yang biasa digunakan diantaranya TCP, UDP dan ICMP. TCP(Transfer Control Protocol) digunakan oleh web server, file server, proxy server, dll. UDP(User datagram Protocol) digunakan oleh DNS dan SNMP. Sementara protokol ICMP (Internet Control Message Protocol) digunakan oleh perintah ping dan traceroute. Untuk daftar protokol yang lebih lengkap anda dapat melihat /etc/protocols. Contoh kasus, misalkan anda ingin sebuah server DNS hanya menerima paket data dengan protokol UDP maka anda dapat mengetikkan perintah berikut :
[root@localhost root]# iptables -A INPUT -p tcp -j DROP [root@localhost root]# iptables -A INPUT -p icmp -j DROP

12

Pengenalan Kriptografi dan Firewall

Jika anda mengetikkan perintah diatas maka, anda tidak bisa melakukan ping, dan semua jenis service dengan protokol ICMP dan TCP akan di-DROP, kecuali DNS dan SNMP(karena menggunakan protokol UDP). Selain dengan nama protokol anda juga bisa memasukkan nomor dari protokol tersebut(bisa anda lihat di / etc/protocols). Untuk lebih spesifik kita bisa menambahkan nomor port dari protokol yang ingin kita DROP. Sekedar mengingatkan semua service pada server mengikat satu nomor port. Web server pada port 80, FTP server pada port 21, dst. Misal kita ingin server bisa digunakan untuk semua service kecuali browsing maka kita bisa mengetikkan perintah
[root@localhost root]# iptables -A INPUT -p tcp --dport http -j DROP

Selain dengan nama service yang berada pada port tersebut, kita juga bisa menggunakan nomor port. Jadi perintah diatas ekivalen dengan
[root@localhost root]# iptables -A INPUT -p tcp --dport 80 -j DROP

Daftar nomor port beserta nama service yang berjalan pada port tersebut, dapat anda lihat pada /etc/services.

Menghapus aturan
Setidaknya terdapat tiga cara untuk menghapus aturan pada chain 1. Menghapus semua aturan Untuk menghapus semua aturan pada semua chain maka kita dapat mengetikkan perintah dibawah, opsi -F berarti kita melakukan flushing semua aturan.
[root@localhost root]# iptables -F

2. Mengganti opsi -A dengan -D Pada berbagai contoh diatas, jika kita ingin menambahkan sebuah aturan, tentulah kita beri opsi -A, misal aturan berikut ingin kita hapus
[root@localhost root]# iptables -A INPUT -p tcp -j DROP

Maka kita ganti -A diatas dengan D

[root@localhost root]# iptables -D INPUT -p tcp -j DROP

3. Menghapus berdasar urutan aturan Selain cara diatas ada yang lebih mudah lagi, yaitu dengan melihat nomor urut aturan, misalkan pada daftar aturan terdapat aturan sebagai berikut
[root@localhost root]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination

13

Pengenalan Kriptografi dan Firewall

DROP DROP tcp -icmp -anywhere anywhere anywhere anywhere destination destination tcp dpt:http

Chain FORWARD (policy ACCEPT) target prot opt source Chain OUTPUT (policy ACCEPT) target prot opt source

Dan kita ingin menghapus aturan untuk men-DROP paket icmp agar bisa di-ping dari komputer lain maka kita dapat gunakan perintah berikut
[root@localhost root]# iptables -D INPUT 2

Angka 2 didapat dari urutan aturan tersebut pada chain INPUT.

Menyimpan dan mengembalikan aturan

Setelah anda membuat aturan-aturan yang anda tentukan maka anda dapat menyimpannya ke dalam sebuah file dengan perintah
[root@localhost root]# iptables-save > aturan

File aturan akan dibuat pada direktori yang aktif saat ini. Untuk mengaktifkannya kembali pada firewall, ketikkan perintah berikut
[root@localhost root]# iptables-restore < aturan

Dimana perintah diatas akan mengembalikan semua setting yang telah anda buat ke dalam tabel firewall pada kernel. Anda juga dapat meletakkan perintah diatas pada file /etc/rc.local agar setiap start-up linux, semua aturan akan tetap terjaga.

Merubah kebijakan umum chain

Kebijakan umum dijalankan ketika paket yang melalui firewall tidak memenuhi kriteria yang ada pada suatu chain. Misal terdapat daftar aturan sebagai berikut
[root@localhost root]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source DROP all -- 192.168.100.10 DROP tcp -- 192.168.100.20 Chain FORWARD (policy ACCEPT) target prot opt source Chain OUTPUT (policy ACCEPT) target prot opt source

destination anywhere anywhere destination destination

Policy untuk semua chain diatas adalah ACCEPT, jadi jika terdapat paket yang masuk ke sistem yang bersangkutan dan berasal dari 192.168.100.44 maka paket tersebut akan di-ACCEPT, karena alamat 192.168.100.44 tidak ditentukan secara

14

Pengenalan Kriptografi dan Firewall

eksplisit pada daftar aturan, sehingga mengikuti kebijakan umum. Policy ini berkaitan erat dengan desain keamanan jaringan. Pada keamanan jaringan komputer terdapat dua prinsip dasar 1.Menutup semua pintu akses masuk dan membuka hanya yang diperlukan. Dalam persepsi firewall ini berarti membuat policy menjadi DROP dan kemudian menentukan aturan paket seperti apa saja yang diperbolehkan masuk(ACCEPT). Perintahnya pada iptables adalah
[root@IyaNet root]# iptables -P INPUT DROP

2.Membuka semua pintu akses masuk dan menutup yang tidak diperlukan. Dalam persepsi firewall ini berarti membuat policy menjadi ACCEPT dan kemudian menentukan aturan paket seperti apa saja yang ditolak(DROP). Sekilas kedua hal diatas tampak sama, walaupun sebenarnya banyak perbedaan. Admininstrator jaringan yang mahir, biasa menggunakan prinsip pertama. Jika anda belum terbiasa, anda bisa menggunakan prinsip kedua. Ok, sekarang terserah pada anda desain seperti apa yang akan anda terapkan pada sistem anda. Anda juga berhak menentukan aturan yang terbaik bagi keamanan sistem anda.

15