Firewall yang dikonfigurasi dengan benar adalah salah satu aspek terpenting dari keamanan sistem secara keseluruhan. Secara default, Ubuntu dilengkapi dengan alat konfigurasi firewall yang disebut UFW (Uncomplicated Firewall). UFW adalah front-end yang mudah digunakan untuk mengelola aturan firewall iptables dan tujuan utamanya adalah membuat pengelolaan iptables lebih mudah atau seperti namanya tidak rumit(Uncomplicated).
Prasyarat
Sebelum Anda mulai dengan tutorial ini, pastikan Anda masuk ke server Anda dengan akun pengguna dengan hak sudo atau dengan pengguna root. Praktik terbaik adalah menjalankan perintah administratif sebagai pengguna sudo ataupun root. Jika Anda tidak memiliki pengguna sudo di sistem Ubuntu Anda, Anda dapat membuatnya dengan mengikuti instruksi ini.
Prasyarat
Sebelum Anda mulai dengan tutorial ini, pastikan Anda masuk ke server Anda dengan akun pengguna dengan hak sudo atau dengan pengguna root. Praktik terbaik adalah menjalankan perintah administratif sebagai pengguna sudo ataupun root. Jika Anda tidak memiliki pengguna sudo di sistem Ubuntu Anda, Anda dapat membuatnya dengan mengikuti instruksi ini.
Instal UFW
Firewall Tidak terinclude pada paket ubuntu/ mint harus diinstal secara terlebih dahulu pada sistem Anda, Anda dapat menginstal paket dengan mengetik:
$ sudo apt install ufw
$ sudo apt install ufw
Periksa Status UFW
Setelah instalasi selesai, Anda dapat memeriksa status UFW dengan perintah berikut
Setelah instalasi selesai, Anda dapat memeriksa status UFW dengan perintah berikut
$ sudo ufw status verbose
UFW dinonaktifkan secara default. Jika Anda belum pernah mengaktifkan UFW sebelumnya, hasilnya akan terlihat seperti ini:
Output
Status: inactive
Jika UFW diaktifkan, output akan terlihat mirip dengan yang berikut:
Default UFW
Secara default, UFW akan memblokir semua koneksi yang masuk dan memungkinkan semua koneksi keluar. Ini berarti bahwa siapa pun yang mencoba mengakses server Anda tidak akan dapat terhubung kecuali Anda secara khusus membuka port, sementara semua aplikasi dan layanan yang berjalan di server Anda akan dapat mengakses dunia luar.
Secara default, UFW akan memblokir semua koneksi yang masuk dan memungkinkan semua koneksi keluar. Ini berarti bahwa siapa pun yang mencoba mengakses server Anda tidak akan dapat terhubung kecuali Anda secara khusus membuka port, sementara semua aplikasi dan layanan yang berjalan di server Anda akan dapat mengakses dunia luar.
Kebijakan default didefinisikan dalam file / etc / default / ufw dan dapat diubah menggunakan perintah sudo ufw default <policy> <chain>.
Kebijakan firewall adalah dasar untuk membangun aturan yang lebih rinci dan ditetapkan pengguna. Dalam kebanyakan kasus, Kebijakan Default UFW awal adalah titik awal yang baik.
Profil Aplikasi
Ketika menginstal paket dengan perintah apt, itu akan menambahkan profil aplikasi ke direktori /etc/ufw/applications.d. Profil ini menjelaskan layanan dan berisi pengaturan UFW.
Anda dapat mendaftar semua profil aplikasi yang tersedia di server Anda dengan mengetik:
Kebijakan firewall adalah dasar untuk membangun aturan yang lebih rinci dan ditetapkan pengguna. Dalam kebanyakan kasus, Kebijakan Default UFW awal adalah titik awal yang baik.
Profil Aplikasi
Ketika menginstal paket dengan perintah apt, itu akan menambahkan profil aplikasi ke direktori /etc/ufw/applications.d. Profil ini menjelaskan layanan dan berisi pengaturan UFW.
Anda dapat mendaftar semua profil aplikasi yang tersedia di server Anda dengan mengetik:
$
sudo ufw app list
Tergantung pada paket yang diinstal pada sistem Anda, output akan terlihat mirip dengan yang berikut:
Available applications:
Apache
Apache Full
Apache Secure
CUPS
OpenSSH
Apache
Apache Full
Apache Secure
CUPS
OpenSSH
Untuk menemukan informasi lebih lanjut tentang profil tertentu dan rules yang disertakan, gunakan perintah berikut:
$ sudo ufw app info ' Apache Full'
Outout :
Profile: Apache Full
Title: Web Server (HTTP,HTTPS)
Description: Apache v2 is the next generation of the omnipresent Apache web
server.
Ports:
80,443/tcp
Title: Web Server (HTTP,HTTPS)
Description: Apache v2 is the next generation of the omnipresent Apache web
server.
Ports:
80,443/tcp
Seperti yang Anda lihat dari output di atas profil ' Apache Full' membuka port 80 dan 443.
Izinkan Koneksi SSH
Sebelum mengaktifkan firewall UFW kita perlu menambahkan aturan yang akan memungkinkan koneksi SSH yang masuk. Jika Anda terhubung ke server Anda dari lokasi yang jauh, yang hampir selalu terjadi dan Anda mengaktifkan firewall UFW sebelum secara eksplisit mengizinkan koneksi SSH yang masuk, Anda tidak akan lagi dapat terhubung ke server Ubuntu Anda.
Untuk mengkonfigurasi firewall UFW Anda untuk memungkinkan koneksi SSH yang masuk, ketikkan perintah berikut:
$ sudo ufw allow ssh
Output
Rules updated
Rules updated (v6)
Jika Anda mengubah port SSH ke port khusus alih-alih port 22, Anda harus membuka port itu.
Misalnya, jika daemon ssh Anda mendengarkan pada port 4422, maka Anda dapat menggunakan perintah berikut untuk mengizinkan koneksi pada port tersebut:
Misalnya, jika daemon ssh Anda mendengarkan pada port 4422, maka Anda dapat menggunakan perintah berikut untuk mengizinkan koneksi pada port tersebut:
$
sudo ufw allow 4422/tcp
Aktifkan UFW
Sekarang firewall UFW Anda telah dikonfigurasi untuk memungkinkan koneksi SSH yang masuk, kami dapat mengaktifkannya dengan mengetik:
Sekarang firewall UFW Anda telah dikonfigurasi untuk memungkinkan koneksi SSH yang masuk, kami dapat mengaktifkannya dengan mengetik:
$
sudo ufw enable
Output :
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup
Firewall is active and enabled on system startup
Anda akan diperingatkan bahwa mengaktifkan firewall dapat mengganggu koneksi ssh yang ada, cukup ketik y dan tekan Enter.
Izinkan koneksi di port lain
Bergantung pada aplikasi yang berjalan di server Anda dan kebutuhan spesifik Anda, Anda juga harus mengizinkan akses masuk ke beberapa port lain.
Di bawah ini kami akan menunjukkan kepada Anda beberapa contoh tentang cara mengizinkan koneksi masuk ke beberapa layanan yang paling umum:
Bergantung pada aplikasi yang berjalan di server Anda dan kebutuhan spesifik Anda, Anda juga harus mengizinkan akses masuk ke beberapa port lain.
Di bawah ini kami akan menunjukkan kepada Anda beberapa contoh tentang cara mengizinkan koneksi masuk ke beberapa layanan yang paling umum:
Buka port 80 - HTTP
Koneksi HTTP dapat diizinkan dengan perintah berikut:
$
sudo ufw allow http
Tidak denga http Anda dapat menggunakan nomor port, 80:
$
sudo ufw allow 80/tcp
Buka port 443 - HTTPS
Koneksi HTTP dapat diizinkan dengan perintah berikut:
$
sudo ufw allow httpsatau dengan nama aplikasi$ sudo ufw allow 'Nginx HTTPS'
Buka port 8080
Jika Anda menjalankan Tomcat atau aplikasi lain yang pada port 8080 untuk memungkinkan jenis koneksi yang masuk:
$ sudo ufw memungkinkan 8080 / tcp
Jika Anda menjalankan Tomcat atau aplikasi lain yang pada port 8080 untuk memungkinkan jenis koneksi yang masuk:
$ sudo ufw memungkinkan 8080 / tcp
Izinkan Rentang Port
Alih-alih memungkinkan akses ke port tunggal, UFW memungkinkan kami untuk mengizinkan akses ke rentang port. Saat mengizinkan rentang port dengan UFW, Anda harus menentukan protokol, baik tcp atau udp. Misalnya, jika Anda ingin mengizinkan port dari 7100 hingga 7200 pada tcp dan udp, jalankan perintah berikut:
$ sudo ufw izinkan 7100: 7200 / tcp
Alih-alih memungkinkan akses ke port tunggal, UFW memungkinkan kami untuk mengizinkan akses ke rentang port. Saat mengizinkan rentang port dengan UFW, Anda harus menentukan protokol, baik tcp atau udp. Misalnya, jika Anda ingin mengizinkan port dari 7100 hingga 7200 pada tcp dan udp, jalankan perintah berikut:
$ sudo ufw izinkan 7100: 7200 / tcp
$ sudo ufw izinkan 7100: 7200 / udp
Izinkan Alamat IP Tertentu
Untuk mengizinkan akses pada semua port dari mesin di rumah Anda dengan alamat IP 64.63.62.61, tentukan dari yang diikuti oleh alamat IP yang ingin Anda daftar :
Untuk mengizinkan akses pada semua port dari mesin di rumah Anda dengan alamat IP 64.63.62.61, tentukan dari yang diikuti oleh alamat IP yang ingin Anda daftar :
$
sudo ufw allow from 64.63.62.61
Izinkan Subnet
Perintah untuk mengizinkan koneksi ke subnet alamat IP sama dengan ketika menggunakan satu alamat IP, satu-satunya perbedaan adalah bahwa Anda perlu menentukan netmask. Misalnya, jika Anda ingin mengizinkan akses untuk alamat IP mulai dari 192.168.1.1 hingga 192.168.1.254 ke port 3360 (MySQL) Anda dapat menggunakan perintah ini:
Perintah untuk mengizinkan koneksi ke subnet alamat IP sama dengan ketika menggunakan satu alamat IP, satu-satunya perbedaan adalah bahwa Anda perlu menentukan netmask. Misalnya, jika Anda ingin mengizinkan akses untuk alamat IP mulai dari 192.168.1.1 hingga 192.168.1.254 ke port 3360 (MySQL) Anda dapat menggunakan perintah ini:
$
sudo ufw allow from 192.168.1.0/24 to any port 3306
Izinkan Koneksi ke Antarmuka Jaringan Tertentu
Untuk mengizinkan akses pada port tertentu, misalkan port 3360 hanya untuk antarmuka jaringan tertentu eth2, maka Anda perlu menentukan izin masuk dan nama antarmuka jaringan:
$ sudo ufw mengizinkan pada eth2 ke port 3306
Untuk mengizinkan akses pada port tertentu, misalkan port 3360 hanya untuk antarmuka jaringan tertentu eth2, maka Anda perlu menentukan izin masuk dan nama antarmuka jaringan:
$ sudo ufw mengizinkan pada eth2 ke port 3306
Tolak koneksi
Kebijakan default untuk semua koneksi yang masuk diatur untuk menolak dan jika Anda belum mengubahnya, UFW akan memblokir semua koneksi yang masuk kecuali Anda secara khusus membuka koneksi.
Katakanlah Anda membuka port 80 dan 443 dan server Anda sedang diserang dari jaringan 23.24.25.0/24. Untuk menolak semua koneksi dari 23.24.25.0/24 Anda dapat menggunakan perintah berikut:
$ sudo ufw tolak dari 23.24.25.0/24
Jika Anda hanya ingin menolak akses ke port 80 dan 443 dari 23.24.25.0/24 Anda dapat menggunakan perintah berikut:
$ sudo ufw deny from 23.24.25.0/24 to any port 80
$ sudo ufw deny from 23.24.25.0/24 to any port 443
Menulis aturan deny sama dengan menulis aturan allow, Anda hanya perlu mengganti allow denganangkal.
Kebijakan default untuk semua koneksi yang masuk diatur untuk menolak dan jika Anda belum mengubahnya, UFW akan memblokir semua koneksi yang masuk kecuali Anda secara khusus membuka koneksi.
Katakanlah Anda membuka port 80 dan 443 dan server Anda sedang diserang dari jaringan 23.24.25.0/24. Untuk menolak semua koneksi dari 23.24.25.0/24 Anda dapat menggunakan perintah berikut:
$ sudo ufw tolak dari 23.24.25.0/24
Jika Anda hanya ingin menolak akses ke port 80 dan 443 dari 23.24.25.0/24 Anda dapat menggunakan perintah berikut:
$ sudo ufw deny from 23.24.25.0/24 to any port 80
$ sudo ufw deny from 23.24.25.0/24 to any port 443
Menulis aturan deny sama dengan menulis aturan allow, Anda hanya perlu mengganti allow denganangkal.
Hapus Aturan UFW
Ada dua cara berbeda untuk menghapus aturan UFW, dengan nomor aturan dan dengan menentukan aturan yang sebenarnya.
Menghapus aturan UFW dengan nomor aturan lebih mudah terutama jika Anda baru mengenal UFW. Untuk menghapus aturan dengan nomor aturan terlebih dahulu Anda perlu menemukan nomor aturan yang ingin Anda hapus, Anda bisa melakukannya dengan perintah berikut:
$ sudo ufw status numbered
Output
Status: active
To Action From
-- ------ ----
[ 1] 22/tcp ALLOW IN Anywhere
[ 2] 80/tcp ALLOW IN Anywhere
[ 3] 8080/tcp ALLOW IN Anywhere
Menghapus aturan UFW dengan nomor aturan lebih mudah terutama jika Anda baru mengenal UFW. Untuk menghapus aturan dengan nomor aturan terlebih dahulu Anda perlu menemukan nomor aturan yang ingin Anda hapus, Anda bisa melakukannya dengan perintah berikut:
$ sudo ufw status numbered
Output
Status: active
To Action From
-- ------ ----
[ 1] 22/tcp ALLOW IN Anywhere
[ 2] 80/tcp ALLOW IN Anywhere
[ 3] 8080/tcp ALLOW IN Anywhere
Untuk menghapus aturan nomor 3, aturan yang memungkinkan koneksi ke port 8080, gunakan perintah berikut:
$
sudo ufw delete 3
Metode kedua adalah menghapus aturan dengan menentukan aturan yang sebenarnya, misalnya jika Anda menambahkan aturan untuk membuka port 8069 Anda dapat menghapusnya dengan:
$
sudo ufw delete allow 8069
Nonaktifkan UFW
Jika karena alasan apa pun Anda ingin menghentikan UFW dan menonaktifkan semua aturan yang dapat Anda gunakan:
Jika karena alasan apa pun Anda ingin menghentikan UFW dan menonaktifkan semua aturan yang dapat Anda gunakan:
$
sudo ufw disable
Nanti jika Anda ingin mengaktifkan kembali UTF dan mengaktifkan semua aturan cukup ketik :
$
sudo ufw enable
Reset UFW
Menyetel ulang UFW akan menonaktifkan UFW, dan menghapus semua aturan aktif. Ini bermanfaat jika Anda ingin mengembalikan semua perubahan dan mulai dengan yang baru.
Untuk mengatur ulang UFW cukup ketik perintah berikut:
Menyetel ulang UFW akan menonaktifkan UFW, dan menghapus semua aturan aktif. Ini bermanfaat jika Anda ingin mengembalikan semua perubahan dan mulai dengan yang baru.
Untuk mengatur ulang UFW cukup ketik perintah berikut:
$
sudo ufw reset
Kesimpulan
Anda telah belajar cara menginstal dan mengkonfigurasi firewall UFW di server Ubuntu atau Mint Anda. Pastikan untuk mengizinkan semua koneksi yang masuk yang diperlukan untuk memfungsikan sistem Anda, sambil membatasi semua koneksi yang tidak perlu.
Jika Anda memiliki pertanyaan, silakan tinggalkan komentar di bawah ini.
Anda telah belajar cara menginstal dan mengkonfigurasi firewall UFW di server Ubuntu atau Mint Anda. Pastikan untuk mengizinkan semua koneksi yang masuk yang diperlukan untuk memfungsikan sistem Anda, sambil membatasi semua koneksi yang tidak perlu.
Jika Anda memiliki pertanyaan, silakan tinggalkan komentar di bawah ini.
No comments:
Post a Comment