PENERAPAN STATEFUL FIREWALL PADA ARSITEKTUR DUAL- HOMED HOST (STUDI KASUS : PT PLN(PERSERO) APL MAMPANG)
Skripsi Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Komputer (S.Kom)
Oleh ARIEFATI WIRATAMA NIM: 104091002861
PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA 2010 M./1431 H.
x PENERAPAN STATEFUL FIREWALL PADA ARSITEKTUR DUAL- HOMED HOST (STUDI KASUS : PT PLN(PERSERO) APL MAMPANG)
Skripsi
Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Komputer
Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
Oleh
ARIEFATI WIRATAMA
104091002861
PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA 2010 M/1431 H
xi PENERAPAN STATEFUL FIREWALL PADA ARSITEKTUR DUAL- HOMED HOST (STUDI KASUS : PT PLN(PERSERO) APL MAMPANG)
Skripsi Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Komputer
Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta Oleh : Ariefati Wiratama 104091002861 Menyetujui, Pembimbing I, Pembimbing II,
Arini, M.T M.Eng. Victor Amrizal, M.Kom NIP. 19760131 200901 2 001 NIP. 150 411 288
Mengetahui, Ketua Program Studi Teknik Informatika
Yusuf Durrachman, M.Sc, MIT NIP. 19710522 200604 1 002
xii PENGESAHAN UJIAN Skripsi yang berjudul ”PENERAPAN STATEFULL FIREWALL PADA ARSITEKTUR DUAL-HOMED HOST (Studi Kasus : PT. PLN(PERSRO) APL Mampang)” telah diuji dan dinyatakan lulus dalam sidang munaqosah Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta. Pada ”Hari”, XX Juni 2010. Skripsi ini telah diterima sebagai salah satu syarat untuk memperoleh gelar sarjana strata satu (S1) program studi Teknik Informatika
Jakarta, Juni 2010 Menyetujui, Penguji I, Penguji II,
Husni Teja Sukmana, Ph.D Herlino Nanang, MT NIP. 1977103 200112 1 03 NIP.19731209 200501 1 002
Pembimbing I, Pembimbing II,
Arini, MT, M.Eng. Victor Amrizal, M.Kom NIP. 19760131 200901 2 001 NIP. 150 411 288 Mengetahui,
Dekan, Fakultas Sains dan Teknologi Ketua Program Studi, Teknik Informatika
DR. Syopiansyah Jaya Putra, M. Sis Yusuf Durrachman, MIT NIP. 19680117 200112 1 001 NIP. 19710522 200604 1 002
xiii PERNYATAAN
DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR –
BENAR HASIL KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN
SEBAGAI SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI
ATAU LEMBAGA MANAPUN.
Jakarta, Juni 2010
Ariefati Wiratama
NIM. 104091002861
xiv ABSTRAK
Ariefati Wiratama. Penerapan Statefull Firewall pada Arsitektur Dual-Homed Host. Dibimbing oleh ARINI dan VICTOR AMRIZAL
Keamanan jaringan merupakan kebutuhan yang penting bagi personal terlebih lagi perusahaan. Minimnya fungsi dari personal firewall dan mahalnya sebuah hardware firewall ini lah yang menjadi kendala dalam penerapan suatu firewall. IPCop merupakan suatu statefull firewall yang memfilter dari layer transport sampai layer application. IPCop diterapkan pada arsitektur firewall dual-homed host yang menggunakan sedikitnya 2NIC pada sebuah PC. IPCop, juga bertindak sebagai proxy yang transparan sebagai gateway untuk mengakses layanan internet dan melakukan access-control kepada user. Di dalam penelitian ini pembangunan sistem terdiri dari beberapa elemen yang mendefinisikan fase, tahapan, langkah, atau mekanisme proses spesifik. Tahapan dalam pembangunan ini terdiri dari analisis, desain, simulasi prototipe, pengamatan/monitoring, dan manajemen. Firewall diuji dengan akses konten internet yang diblokir dan port scanning. Hasil pengujian menunjukkan bahwa penerapan statefull firewall yang menggunakan arsitektur dual-homed host pada PT.PLN(PERSERO) APL Mampang dapat berjalan dengan baik sebagai firewall yang mudah dikonfigurasi untuk mengamankan jaringan.
Kata kunci : stateful firewall, dual-homed host, IPCop
xv KATA PENGANTAR
Assalamu¶alaikum Warahmatullahi Wabarakatuh
Segala puji kehadirat Allah SWT yang telah memberikan nikmat iman, nikmat islam, dan nikmat hidup sehingga penulis dapat menyelesaikan skripsi ini dengan baik. Shalawat dan salam semoga tetap tercurahkan kepada suri tauladan kita Rasulullah Muhammad SAW yang telah berhasil membawa manusia ke dalam dunia yang penuh peradaban. Amin.
Skripsi merupakan salah satu tugas wajib mahasiswa sebagai persyaratan untuk menyelesaikan program studi Strata 1 (S1) di Universitas Islam Negeri
Syarif Hidayatullah Jakarta. Sejauh ini penulis menyadari sepenuhnya masih banyak kekurangan-kekurangan pada skripsi ini, yang disebabkan karena terbatasnya kemampuan dan pengetahuan yang penulis miliki, Dalam penyusunan skripsi ini, penulis mendapat bimbingan dan bantuan dari berbagai pihak, oleh karena itu perkenankanlah pada kesempatan ini penulis mengucapkan terima kasih kepada :
1. DR. Syopiansyah Jaya Putra, M.Sis, selaku Dekan Fakultas Sains dan
Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta
2. DR. Yusuf Durrachman, MIT selaku Ketua Program Studi Teknik
Informatika.
3. Arini, MT, M.Eng dan Victor Amrizal, M.Kom, selaku Pembimbing I dan
Pembimbing II, yang secara kooperatif, penuh kesabaran memberikan nasihat
xvi dan saran-saran berharga secara bijak dan membantu membimbing penulis
dalam penyelesaian skripsi ini.
4. Seluruh Dosen Program Studi Teknik Informatika yang tidak dapat penulis
sebutkan satu persatu, terima kasih atas pengajaran dan ilmunya yang
bermanfaat bagi penulis.
5. Staf karyawan Fakultas Sains dan Teknologi dan Prodi TI, yang telah banyak
membantu penulis dalam hal administrasi di kampus.
6. Manajer PT. PLN PERSERO APL Mampang, beserta seluruh staff yang telah
banyak membantu penulis dalam penelitian di lapangan.
Akhir kata semoga skripsi ini bermanfaat bagi penulis khususnya dan
bagi para pembaca umumnya, sebagai manusia dengan segala kerendahan
hati, penulis menyadari bahwa skripsi ini masih jauh dari kesempurnaan.
Saran dan kritik yang konstruktif dari pembaca sangat penulis harapkan.
Semoga pembaca memperoleh tambahan pengetahuan setelah membacanya.
Wassalamu¶alaikum Warahmatullahi Wabarakatuh
Jakarta, Juni 2010
Penulis
xvii LEMBAR PERSEMBAHAN
Skripsi ini khusus penulis persembahkan kepada pihak-pihak yang telah memberikan dukungan baik secara moril maupun materil dalam menyelesaikan penelitian skripsi ini , diantaranya adalah :
1. Orang tua tercinta, Ayahanda H. Zainal Fanani dan Ibunda Hj. Yulia
Herliyanti, yang telah menunggu penulis menyelesaikan kuliah dengan
penuh kesabaran dan kasih sayang, yang selalu memberikan nasehat,
bimbingan dan motivasi. Semoga Allah selalu melimpahkan rahmat dan
ampunan-Nya kepada Ayahanda dan Ibunda. Amin
2. Adik–adikku, Renaldi Fardani dan Egi Yunandi yang sering
mengingatkan penulis untuk rajin mengerjakan skripsi dengan
menanyakan kapan penulis lulus.
3. Ulul Azmi, yang telah mendampingi penulis selama penulisan skripsi
ini dan tidak bosan-bosannya menanyakan tentang skripsi penulis setiap
hari serta memberikan dorongan, motivasi, bantuan dan semangat
kepada penulis.
4. Sahabat – sahabatku semua, Insan, Hirzi, Razka, Udin, Arie, Sidik,
Fajar, Edoy, Taufiq terima kasih untuk motivasi, inspirasi dan bantuan
kalian selama ini, semoga persahabatan ini adalah awal dari
persaudaraan kita kedepannya, dan tetap semangat untuk mewujudkan
semua cita-cita kita.
xviii 5. Teman – teman TI UIN Syarif Hidayatullah khususnya TIC angkatan
2004 senang sekali bisa mengenal kalian selama lebih dari 5 tahun ini,
semoga kita selalu sukses kedepannya dan terus terjalin persaudaraan
kita.
xix DAFTAR ISI
Lembar Judul ...... i
Lembar Persetujuan Pembimbing ...... ii
Lembar Pengesahan Ujian ...... iii
Lembar Pernyataan ...... iv
Abstrak ...... v
Kata Pengantar ...... vi
Lembar Persembahan ...... viii
Daftar Isi ...... x
Daftar Gambar ...... xiv
Daftar Tabel ...... xvii
Daftar Lampiran ...... xviii
BAB I PENDAHULUAN ...... 1
1.1. Latar Belakang ...... 1
1.2. Perumusan Masalah...... 2
1.3. Batasan Masalah ...... 3
1.4. Tujuan dan Manfaat Penulisan ...... 4
1.5. Metoe Penelitian ...... 5
1.5.1. Metode Pengumpulan Data ...... 5
1.5.2. Metode Pembangunan Sistem …...... 5
1.6. Sistematika Penulisan ...... 7
BAB II LANDASAN TEORI ...... 9
xx 2.1. Definisi Penerapan ...... 9
2.2. Jaringan Komputer ...... 9
2.2.1 Pengertian Jaringan Komputer ...... 9
2.2.2 Model Referensi OSI ...... 10
2.2.3 Topologi ...... 13
2.3. Keamanan Jaringan Komputer ...... 14
2.4. Aspek-aspek Keamanan Komputer ...... 14
2.4.1 Jenis Ancaman Keamanan jaringan ...... 17
2.4.2 Pengujian Keamanan ...... 18
2.5. Firewall ...... 19
2.5.1. Definisi dan Konsep Firewall ...... 19
2.5.2. Jenis-jenis Firewall ...... 20
2.5.3. Fungsi dan Fitur Firewall ...... 22
2.5.4. Arsitektur Dasar Firewall ...... 23
2.5.4.1. Single-Box Architectures ...... 23
2.5.4.2. Screened Subnet Architectures ...... 24
2.5.4.3. Screened Host Architectures ...... 25
2.5.5. Teknologi Firewall ...... 26
2.5.6. Tipe dan Cara Kerja Firewall ...... 26
2.5.7. Proxy Server Firewall ...... 33
2.5.7.1 Definisi dan Konsep Proxy Server ...... 33
2.5.7.2 Jenis Proxy Server ...... 34
2.6. Router ...... 34
xxi 2.6.1. Jenis-jenis Router ...... 35
2.7. Sistem Operasi Linux ...... 37
2.7.1 Struktur Direktori Linux ...... 37
2.8. IPCop ...... 40
2.8.1. Interface jaringan IPCop ...... 41
2.8.2. Fitur dari IPCop ...... 43
2.8.3. Kelebihan IPCop ...... 44
2.9. Virtual Box ...... 46
2.10.SSH (Secure Shell) ...... 46
2.10.1 Kegunaan SSH ...... 47
2.10.2 Tools SSH ...... 48
BAB III METODE PENELITIAN ...... 50
3.1. Waktu dan Tempat Penelitian ...... 50
3.2. Peralatan Penelitian ...... 50
3.3. Metode Pengumpulan Data ...... 52
3.4. Metode Pembangunan Sistem ...... 52
BAB IV HASIL DAN PEMBAHASAN ...... 57
4.1. Analysis (Analisis) ...... 57
4.1.1. Identify ...... 57
4.1.2 Understand ...... 58
4.1.3 Analyze ...... 59
4.1.4 Report ...... 62
4.2 Design (Perancangan) ...... 62
xxii 4.2.1 Perancangan Topologi Jaringan ...... 62
4.2.2 Perancangan Infrastruktur ...... 66
4.3 Simulation Prototyping (Prototipe Simulasi) ...... 67
4.4 Implementation (Implementasi) ...... 69
4.4.1 Implementasi Topologi Jaringan ……...…...... 69
4.4.2 Implementasi Sistem Operasi ...... 70
4.4.3 Konfigurasi Pasca Instalasi ...... 75
4.4.4 Pengujian Konektivitas ...... 78
4.4.5 Pengujian akses pada Web-Interface ...... 79
4.4.6 Instalasi Add-ons IPCop ...... 80
4.4.7 Konfigurasi Add-Ons ...... 84
4.5 Tahap Monitoring ...... 87
4.5.1 Monitoring DHCP Server ...... 87
4.5.2 Monitoring Status ...... 88
4.5.3 Pengujian Keamanan Firewall ...... 89
4.6 Tahap Manajemen ...... 93
BAB V PENUTUP ...... 95
5.1. Kesimpulan ...... 95
5.2. Saran ...... 96
DAFTAR PUSTAKA ...... 98
Lampiran 101
xxiii DAFTAR GAMBAR
Gambar 2.1. Arsitektur Model Referensi OSI ...... 11
Gambar 2.2. Ilustrasi Sebuah Firewall ...... 19
Gambar 2.3. Taksonomi Firewall...... 20
Gambar 2.4. Screening Router ...... 23
Gambar 2.5. Arsitektur Dual-Homed Host ...... 24
Gambar 2.6. Arsitektur screened Subnet ...... 24
Gambar 2.7. Arsitektur Screened Host ...... 25
Gambar 2.8. Packet-Filtering Firewall dilihat pada lapisan OSI ...... 28
Gambar 2.9. Circuit level gateway dilihat pada lapisan OSI ...... 29
Gambar 2.10. Application Firewall dilihat pada lapisan OSI ...... 30
Gambar 2.11. Stateful Firewall dilihat pada lapisan OSI ...... 32
Gambar 2.12. Mekanisme kerja Proxy Server ...... 33
Gambar 2.13. Struktur direktori Linux ...... 38
Gambar 2.14. Konfigurasi IPCop Firewall dengan empat interface ...... 43
Gambar 3.1 Diagram Ilustrasi Metode Penelitian ...... 56
Gambar 4.1 Topologi yang ada dan sedang berjalan di APL PLN Mampang 63
Gambar 4.2 Topologi Jaringan yang akan diterapkan di APL PLN
Mampang...... 64
Gambar 4.3 Hasil dari proses simulasi pada mesin virtual ...... 68
Gambar 4.4 Tampilan Instalasi IPCop ...... 70
Gambar 4.5 Tampilan hostname IPCop ...... 71
xxiv Gambar 4.6 Tampilan konfigurasi network IPCop ...... 71
Gambar 4.7 Tampilan konfigurasi Green interface IPCop ...... 72
Gambar 4.8 Tampilan konfigurasi Red interface IPCop ...... 73
Gambar 4.9 Tampilan konfigurasi DHCP Server ...... 74
Gambar 4.10 Menetukan password untuk account root ...... 75
Gambar 4.11 Tampilan Boot Loader ...... 76
Gambar 4.12 Tampilan Awal Linux IPCop ...... 77
Gambar 4.13 Tampilan Konfigurasi alamat IP ...... 78
Gambar 4.14 Tampilan ping dan reply Firewall IPcop ...... 79
Gambar 4.15 Tampilan Login ke IPCop Web ………………………...... 80
Gambar 4.16. Tampilan Home Web Interface ...... 80
Gambar 4.17 Tampilan menu WinSCP login ...... 81
Gambar 4.18 Tampilan Window Manager WinSCP ...... 82
Gambar 4.19 RSA2 fingerprint authentication pada PuTTY ...... 83
Gambar 4.20 Tampilan Remote Login Putty ...... 83
Gambar 4.21 File yang telah berhasil di copy ...... 84
Gambar 4.22 Konfigurasi pada Advanced Proxy ...... 85
Gambar 4.23 Konfigurasi pada URL Filtering ...... 86
Gambar 4.24. Tampilan IP yang tersebar melalui DHCP server ...... 88
Gambar 4.25. Tampilan service dan server yang dijalankan pada mesin
Firewall ...... 88 Gambar 4.26. Tampilan Routing Table ...... 89 Gambar 4.27. Pengiriman pake ICMP yang diblok ...... 90
xxv Gambar 4.28. Content Filtering pada Proxy ...... 90 Gambar 4.29. Transparansi Layanan Protokol HTTP ...... 91 Gambar 4.30. NMAP Port Scanning pada interface Green ...... 92 Gambar 4.31. IDS mencatat serangan yang terjadi ...... 93
xxvi DAFTAR TABEL
Tabel 2.1. Jenis Topologi Jaringan ...... 13
Tabel 2.2. Perbandingan IpCop dengan beberapa produk firewall
berdasarkan fitur dan platform ...... 45
Tabel 4.1 Perbandingan Penelitian ...... 59
Tabel 4.2 Perangkat Keras ...... 66
Tabel 4.3 Daftar alamat IP ...... 67
Tabel 4.4 Tabel Perangkat Lunak dan Tool ...... 67
xxvii DAFTAR LAMPIRAN
LAMPIRAN A Wawancara ……………………………………………... A
LAMPIRAN B Konfigurasi IPTables ...... B
LAMPIRAN C File Konfigurasi squid.conf ……………………………. C
LAMPIRAN D SNORT Rules …………………………………………. D
xxviii BAB I
PENDAHULUAN
1.1 Latar Belakang
Keamanan jaringan komputer sudah menjadi faktor yang penting
dan dibutuhkan pada suatu instansi maupun perorangan yang
menggunakan internet sebagai media dalam melakukan suatu transaksi
bisnis atau pertukaran informasi.
Dalam suatu jaringan komputer faktor keamanan digunakan untuk
melindungi aset-aset informasi milik pribadi maupun publik. Banyak cara-
cara dan metode yang telah diuji-coba dan digunakan untuk mengamankan
suatu jaringan komputer, akan tetapi masih banyak terjadi aktifitas
serangan dan eksploitasi terhadap celah keamanan suatu sistem komputer.
Banyaknya ancaman pada jaringan komputer memerlukan adanya
suatu pelindung atau dinding pengaman yang dapat melindungi jaringan
tersebut. Salah satu bentuk pengamanan adalah dengan menggunakan
firewall sebagai pelindung terluar dari infrastruktur jaringan komputer
lokal terhadap keluar-masuknya data dalam jaringan komputer lokal yang
berhubungan dengan internet.
Keberadaan personal firewall yang terdapat pada sistem operasi
Windows atau software aplikasi pihak ketiga, memiliki efek negatif dalam
penggunaan resource yang cukup besar dan dapat membebani jalannya
xxix sistem operasi. Selain itu penggunaan firewall yang berupa hardware pun
memiliki harga yang relatif cukup mahal untuk diimplementasikan.
IpCop merupakan suatu sistem operasi distribusi Linux yang
diperuntukkan khusus sebagai firewall yang menggunakan hardware PC.
Sifatnya yang open source dan gratis membuatnya lebih mudah untuk
dikonfigurasi dan tidak membutuhkan lisensi untuk membelinya. Dari segi
hardware penggunaan IPCop hanya membutuhkan sebuah PC komputer
stand-alone untuk menjadikanya sebuah sistem operasi lengkap dengan
administrasi firewall yang handal. Kemudahan lain yang ditawarkan oleh
firewall berbasis linux ini adalah tersedianya antarmuka berbasis web yang
dapat diakses dan mudah dikonfigurasi melalui remote access, sehingga
kita dapat mengatur dan mengontrol firewall tersebut dengan mudah tanpa
harus berinteraksi langsung dengan hardware firewall tersebut.
Sebagai sebuah firewall, IPCop melakukan fungsinya sebagai
perangkat pengaman jaringan komputer internal dengan melakukan
pengontrolan, pengaturan dan pembatasan terhadap hak akses user yang
terhubung ke internet. untuk meningkatkan kualitas keamanan jaringan
komputer.
1.2 Perumusan Masalah
Dalam penyelesian tugas akhir ini dirumuskan beberapa masalah yang
dihadapi yaitu:
1. Bagaimana melindungi jaringan komputer yang dimiliki
xxx perusahaan dengan menerapkan suatu network firewall berbasis
opensource kedalam infrastruktur jaringan.
2. Bagaimana menerapkan stateful firewall pada arsitektur dual-
homed host menggunakan hardware yang ekonomis dan handal
pada infrastruktur jaringan.
3. Bagaimana menentukan pengaturan yang baik pada firewall
tersebut, sehingga dapat meminimalisir gangguan pada jaringan
yang dimiliki.
4. Bagaimana melihat bahwa IPCop firewall dapat membantu
meningkatkan keamanan jaringan komputer.
1.3 Batasan Masalah
Batasan masalah yang akan diteliti pada penelitian ini
adalah sebagai berikut :
1. Mengimplementasikan sebuah network firewall berbasis open
source menggunakan distribusi IPCop.
2. Tipe firewall yang digunakan adalah stateful firewall pada
arsitektur firewall dual-homed host menggunakan sebuah PC
yang juga bertindak sebagai router gateway dan proxy .
3. Konfigurasi pada add-ons untuk melakukan filtering
dilakukan pada web interface IPCop.
4. Pengujian terhadap firewall dilakukan dengan menggunakan
port scanning attack dan pengujian URL atau text-content.
xxxi 1.4. Tujuan Dan Manfaat Penulisan
Dalam penulisan skripsi ini, penulis menguraikan tujuan dan
manfaat dari tujuan yang dibahas, yaitu
1.4.1 Tujuan Penelitian
Tujuan dari penelitian ini adalah menjawab berbagai
permasalahan yang telah penulis uraikan pada perumusan masalah,
yaitu :
1. Menerapkan sistem firewall berbasis open source yang ekonomis
dalam mengamankan jaringan.
2. Memberikan kemudahan untuk melakukan manjemen dan
pengaturan access-control sebagai usaha meningkatkan keamanan
jaringan pada perusahaan.
1.4.2 Manfaat Penelitian
1. Bagi Penulis :
a. Mengerti dan memahami konsep keamanan jaringan
komputer dan implementasinya.
b. Mengerti dan mampu mengimplementasikan firewall yang
berbasis Linux.
2. Bagi Universitas :
a. Dapat dijadikan sebagai bahan referensi untuk penelitian
yang akan datang.
xxxii b. Sebagai bahan evaluasi bagi universitas dalam
mengembangkan keilmuan.
3. Bagi Pengguna :
a. Memberikan solusi terhadap penghematan biaya infrastruktur
keamanan jaringan komputer.
b. Administrator jaringan akan lebih mudah mengatur lalu-lintas
data dan informasi yang melewati jaringan.
1.5 Metode Penelitian
Metode penelitian yang digunakan dalam penulisan tugas akhir ini
meliputi :
1.5.1. Metode Pengumpulan Data
1. Studi Lapangan.
Melalui observasi dan wawancara atau pengamatan langsung,
penulis dapat menemukan berbagai data dan keterangan yang
dibutuhkan dalam melakukan penelitian.
2. Studi Pustaka
Penulis melakukan studi pustaka untuk menambah referensi
akan teori-teori yang diperlukan dengan membaca dan
mempelajari literatur-literatur yang mendukung penelitian ini.
Diantaranya buku-buku, diktat, catatan, makalah dan artikel baik
cetak maupun elektronik
1.5.2. Metode Pembangunan Sistem
xxxiii Dalam penulisan skripsi ini penulis menggunakan tahapan sebagai berikut :
1. Analysis (Analisis)
Merupakan tahap awal dimana dilakukan proses
pengumpulan data, dan identifikasi masalah secara lengkap
kemudian didefinisikan kebutuhan yang diperlukan dalam
pengembangan jaringan. Tahap ini bertujuan untuk menentukan
solusi yang didapat dari aktivitas-aktivitas tersebut.
2. Design (Perancangan)
Pada tahap ini mendefinisikan bagaimana cara sistem dapat
bekerja, sesuai dengan analisis yang telah dilakukan
sebelumnya.Sehingga dapat menghasilkan spesifikasi desain atau
rancangan sistem yang akan dikembangkan.
3. Simulation Prototyping
Pada tahap ini akan dilakukan simulasi terhadap prototipe
sistem yang akan dibangun sebagai simulasi dari implementasi
sistem nyata. Penulis membuat prototipe sistem pada lingkungan
virtual dengan menggunakan mesin virtual, sehingga tidak akan
mempengaruhi lingkungan sistem nyata.
4. Implementation (Penerapan)
Pada tahap ini spesifikasi rancangan yang dihasilkan akan
digunakan sebagai panduan instruksi implementasi pada
lingkungan nyata berdasarkan desain yang sudah dibuat pada tahap
xxxiv perancangan. Aktivitas yang dilakukan yaitu instalasi dan
konfigurasi pada sistem yang akan dibangun.
5. Monitoring (Pengawasan)
Tahapa ini menggolongkan aktivitas pengujian (testing) dan
pengamatan terhadap sistem yang sudah diimplementasikan. Proses
pengujian dan pengamatan dilakukan, untuk melihat apakah sistem
yang sudah dibangun sudah berjalan dengan baik.
6. Management
Pada tahapan ini pendekatan dilakukan terhadap kebijakan
atau policy yang perlu dibuat untuk mengatur agar sistem yang
telah dibangun berjalan dengan baik dan berlangsung lama dan
unsur reliability terjaga.
1.6. Sistematika Penulisan
Dalam skripsi ini, pembahasan yang penulis sajikan
terbagi dalam lima bab, yang secara singkat akan diuraikan
sebagai berikut :
BAB I PENDAHULUAN
Bab ini membahas tentang latar belakang, perumusan masalah,
batasan masalah, tujuan dan manfaat penelitian, metodologi
penelitian dan sistematika penulisan.
BAB II LANDASAN TEORI
xxxv Bab ini membahas tentang teori-teori mengenai jaringan
komputer, keamanan komputer dan firewall.Selain itu akan
dibahas pula beberapa teori pendukung lainnya.
BAB III METODE PENELITIAN
Pada bab ini akan dijelaskan metodologi yang digunakan
diantaranya metode pengumpulan data dan metode
pengembangan sistem. dalam penelitian ini.
BAB IV HASIL DAN PEMBAHASAN
Dalam bab ini diuraikan hasil analisis dan implementasi jaringan
komputer yang dibuat dengan penerapan firewall IPCop.
BAB V PENUTUP
Bab ini adalah bab terakhir yang menyajikan kesimpulan serta
saran dari apa yang telah diterangkan dan diuraikan pada bab-
bab sebelumnya.
xxxvi BAB II
LANDASAN TEORI
2.1 Definisi Penerapan
Menurut Kamus Besar Bahasa Indonesia (2008), penerapan dapat berarti : 1.
Proses, cara, perbuatan menerapkan. 2. Pemasangan. 3. Pemanfaatan; perihal mempraktikkan.
Dari definisi di atas dapat ditarik kesimpulan mengenai arti penerapan pada penelitian ini, yaitu mempraktikkan, memasang, atau memanfaatkan stateful firewall pada arsitektur dual-homed host.
2.2 Jaringan Komputer
Penerapan suatu firewall sangat erat kaitannya dengan jaringan komputer.
Karena komponen–komponen yang ada sudah sesuai dengan definisi jaringan komputer.
2.2.1 Pengertian Jaringan Komputer
Menurut Syafrizal (2005 : 2), Jaringan Komputer adalah kumpulan
“interkoneksi” antara 2 komputer autonomous atau lebih yang terhubung
dengan media transmisi kabel atau tanpa kabel (wireless). Bila sebuah
komputer dapat membuat komputer lainnya restart, shutdown, atau
xxxvii melakukan kontrol lainnya, maka komputer – komputer lainnya tersebut bukan autonomous.
Sedangkan menurut Dharma Oetomo, et al, (2006 :21) Jaringan komputer adalah sekelompok komputer otonom yang saling dihubungkan satu dengan lainnya menggunakan protokol komunikasi melalui media komunikasi, sehingga dapat saling berbagi data dan informasi, aplikasi – aplikasi dan program – program lainnya, berbagi pakai perangkat keras seperti printer, hard disk, alat pemindai dan sebagainya.
Jadi selain interkoneksi antara 2 komputer atau lebih, jaringan komputer juga membutuhkan protokol – protokol untuk saling berkomunikasi. Definisi protokol menurut Syafrizal (2006 : 63)
“Protokol merupakan himpunan aturan – aturan yang memungkinkan komputer satu dapat berhubungan dengan komputer lain. Aturan – aturan ini meliputi tatacara bagaimana agar komputer bisa saling berkomunikasi; biasanya berupa bentuk (model) komunikasi, waktu (saat berkomunikasi), barisan (traffic saat berkomunikasi), pemeriksaan error saat transmisi data, dan lain – lain. “
2.2.2 Model Referensi OSI
ISO (International Standard Organization) mengembangkan suatu model konseptual arsitektur komunikasi untuk mendukung interoperabilitas antar sistem, agar seluruh perangkat jaringan menjadi kompatibel satu sama lain (terlepas dari penggunaan hardware dan software spesifik serta karakteristik sistem jaringannya) yang bernama Model Referensi OSI (Open
System Interconnection), karena model ini menghubungkan (interkoneksi)
xxxviii antar sistem terbuka (sistem yang bebas berkomunikasi dengan sistem lain
(Stallings, 2000:21).
Gambar 2.1. Arsitektur Model Referensi OSI (Tanenbaum,2003: 37)
Model OSI ini dibagi ke dalam 7 lapisan (layer). Masing – masing
layer mempunyai tugas sendiri–sendiri. Disebutkan di dalam Wahana
Komputer (2005 :23) layer OSI tersebut, yaitu :
a. Layer ke-7 : Application. Layer ini bertugas menyediakan akses
jaringan untuk program aplikasi. Program aplikasi dan layanan sistem
dapat memperoleh akses jaringan melalui proses yang berjalan pada
layer ini.
xxxix b. Layer ke-6 : Presentation. Layer ini bertugas untuk memastikan data
yang sedang dilewatkan menuju layer aplikasi telah dikonversi. Proses
konversi data akan menjadi sebuah format yang dimengerti oleh
proses – proses layer aplikasi. c. Layer ke-5 : Session. Layer ini bertugas untuk mengadakan,
mempertahankan dan memutus komunikasi di antara aplikasi –
aplikasi atau proses – proses yang berjalan di jaringan. d. Layer ke-4 : Transport. Layer ini bertugas mentransimisikan pesan
dari host pengirim ke tempat tujuan akhir yang menerima. Layer ini
juga bertugas membuat sirkuit virtual di antara dua titik di dalam
jaringan dan memastikan integritas data. e. Layer ke-3 : Network. Layer ini bertugas untuk melakukan rutinitas
paket melalui multiple jaringan. Layer network beroperasi tanpa
memperhatikan protokol pokok yang digunakan. f. Layer ke-2 : Data Link. Layer terbagi ke dalam 2 sub-layer, LLC
(Logical Link Control) dan MAC (Media Access Control). LLC
memaketkan byte yang diterima dari sublayer MAC yang berada di
bawah sehingga menjadi format yang mudah dibaca oleh lapisan
jaringan di atasnya. MAC mempunyai tugas khusus untuk
memperoleh akses ke jaringan pada saat yang tepat. g. Layer ke-1 : Physical. Layer ini bertugas untuk mengirim dan
menerima data dari/ke media fisik, seperti perangkat keras, konektor,
kabel, dan media radio/satelit.
xl 2.2.3 Topologi
Menurut Syafrizal (2006 : 39), Topologi jaringan atau arsitektur jaringan adalah gambaran perencanaan hubungan antarkomputer dalam
Lokal Area Network yang umumnya menggunakan kabel (sebagai media transmisi), dengan konektor, Ethernet card, dan perankat pendukung lainnya.
Berikut ini adalah beberapa jenis arsitektur pada jaringan komputer lokal:
Tabel 2.1 Jenis Topologi Jaringan Topolgi Diagram Keterangan Bus Menggunakan backbone kabel tunggal yang diakhiri pada kedua sisi backbone tersebut. Komunikasi dilakukan dengan menghubungkan host ke backbone. Ring Menghubungkan satu host ke host lainnya secara serial, tehubung langsung pada setiap host secara berurutan hingga membentuk lingkaran/ring.
Star Merupakan bentuk topologi jaringan yang berupa konvergensi dari node tengah ke setiap node atau pengguna. Semua kabel dari masing-masing host terhubung ke suatu konsentrator berupa hub atau switch. Tree / Topologi ini disebut juga sebagai topologi Hierarchical jaringan bertingkat. Node pusat terhubung dengan satu atau lebih node lain yang berada pada satu tingkat lebih rendah di dalam suatu hirarki melalui link point-to- point. Mesh Jenis topologi yang menempatkan node secara tidak beraturan, terdiri darii 2 jenis : fully connected (keseluruhan) dan partially connected (sebagian).
xli Hybrid Jenis topologi yang dibangun dari satu atau lebih interaksi dari satu atau lebih jaringan yang berdasar kepada jenis topolgi jaringan yang berbeda 2.3 Keamanan Jaringan Komputer
Menurut Ariyus (2007:3), dasar keamanan jaringan komputer secara umum adalah komputer yang terhubung ke network, mempunyai ancaman lebih besar daripada komputer yang tidak terhubung kemana-mana. Maka dapat ditarik kesimpulan bahwa, keamanan jaringan komputer adalah usaha-usaha yang berhubungan dengan kemanan suatu jaringan komputer dan dilakukan untuk mengamankan jaringan komputer tersebut.
2.4. Aspek-aspek Keamanan Komputer
Keamanan komputer meliputi beberapa aspek dasar diantaranya adalah authentication, integrity, non-repudiation, authority, confidentiality, privacy, availability dan access control.
a. Authentication
Aspek ini berhubungan dengan metode untuk memastikan bahwa
informasi tersebut betul-betul asli dan pihak yang mengakses atau
memberikan informasi tersebut juga asli. Masalah yang ada bermacam-
macam, sebagai contoh adalah masalah untuk membuktikan keaslian dari
suatu dokumen yang dapat dilakukan dengan teknologi digital signature.
Masalah lainnya adalah berhubungan dengan access control, yaitu
berhubungan dengan pembatasan terhadap orang yang dapat mengakses
informasi tersebut. Terdapat berbagai macam cara yang dapat dilakukan
xlii untuk meningkatkan aspek keamanan ini, seperti digunakannya digital
certificate dan smart card. b. Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa
seizin pemilik informasi. Konsistensi data atau informasi harus dalam
keadaan utuh, lengkap, akurat dan asli sesuai dengan pihak pemilik
informasi tersebut. Adanya masalah dalam keamanan komputer seperti
virus, trojan horse atau perubahan informasi tanpa izin pemilik informasi
harus dihadapi. Contoh serangan yang biasa disebut "man in the middle
attack", dimana seseorang menempatkan dirinya ditengah jalannya suatu
komunikasi data dan menyamar sebagai orang lain sehingga ia dapat
mengetahui informasi yang sedang berjalan. Kita dapat menggunakan
teknologi enkripsi dan digital signature.
c. Non-Repudiation
Aspek ini bertujuan untuk menjaga agar seseorang tidak dapat
menyangkal telah melakukan suatu proses pengiriman informasi. Sebagai
contoh, seseorang yang mengirimkan email untuk memesan suatu barang
tidak dapat menyangkal bahwa dia yang telah mengirimkan email tersebut.
Aspek ini sangat penting dalam hal electronic commerce. Penggunaan
digital signature dan certificates juga kriptografi secara umum dapat
mengamankan aspek ini. Akan tetapi hal ini masih harus didukung oleh
pihak terkait sehingga status digital signature itu legal.
d. Authority
xliii Aspek ini bertujuan untuk menjamin kewenangan yang dialokasikan
hanya untuk individu atau sumber daya yang dipercaya dan sudah sah. e. Confidentiality
Aspek ini ditujukkan untuk menjaga informasi dari orang asing yang
tidak berhak untuk mengakses informasi tersebut dan menjamin
perlindungannya dari penyingkapan yang tidak sah atau penyadapan dari
pihak yang tidak berwenang. Contoh hal yang berhubungan dengan
confidentiality adalah data-data yang sifatnya pribadi seperti nama, tanggal
lahir dan sebagainya merupakan data-data yang ingin diproteksi
penggunaan dan penyebarannya.. f. Privacy
Sama seperti pada aspek confidentiality, aspek ini ditujukkan untuk
menjamin kerahasiaan informasi yang kita miliki, khususnya yang bersifat
pribadi. Sebagai contoh adlah email seseorang tidak boleh dibaca oleh
administrator, karena yang berhak adalah orang yang mempunyai email
tersebut. Serangan terhadap aspek privacy misalnya dengan melakukan
penyadapan (sniffer) terhadap hal yang bukan menjadi haknya. Salah satu
usaha yang dilakukan untuk meningkatkan privacy adalah dengan
menggunakan teknologi kriptografi. g. Availability
Aspek ini berhubungan dengan ketersediaan informasi ketika
dibutuhkan. Aspek ini fatal akibatnya apabila berhasil diserang oleh orang
yang tidak bertanggung jawab. Contoh masalah dari aspek ini adalah
xliv ketika suatu sistem informasi berhasil diserang dan membuat ketiadaan
informasi. Contoh serangan pada aspek availability adalah DDoS
(Distributed Denial of Service), dimana server akan menerima permintaan
secara terus menerus yang membuat sumber daya sistem tidak berfungsi
sehingga menimbulkan keadaan hang, down atau bahkan crash. h. Access Control
Pada aspek ini mekanisme yang digunakan adalah pengaturan
terhadap hak akses suatu informasi. Hal ini biasanya berhubungan dengan
klasifikasi data (public, private, confidential, top secret) dan user (guest,
admin, top manager, dsb) mekanisme authentication dan juga privacy.
Access control seringkali dilakukan dengan cara menggunakan kombinasi
userid/password atau dengan menggunakan mekanisme lain (seperti id
card, biometrics).
2.4.1 Jenis Ancaman Keamanan Jaringan
Berdasarkan pengaruh terhadap sistem jaringan, ancaman dapat dibedakan sebagai beikut (Feibel, 1996:906):
1. Internal atau Eksternal. Ancaman dapat berasal baik dari dalam
maupun luar entitas sistem jaringan.
2. Kesenjangan atau Kebetulan. Ancaman dapat disebabkan karena
kesenjangan (sistematis) atau secara kebetulan.
3. Aktif atau Pasif. Dampak utama ancaman aktif adalah kerusakan
sistem, sedangkan pada ancaman pasif kerusakan pada sistem
xlv adalah efek samping dari serangan.
2.4.2 Pengujian Kemanan Infrastruktur organisasi IT memiliki sejumlah cara untuk menguji efektifias sistem keamana jaringannya, melalui sejumlah aktivitas pengujian berikut ini (Greg et al,. 2006:20) :
a. Physical Entry. Simulasi untuk menguji pengendalian fisik
terhadap sejumlah entitas atau sumber-daya fisik organisasi.
b. Security Audits. Pengujian ini bertujuan untuk mengevaluasi
seberapa dekat kecocokan antar prosedur kebijakan dengan
tindakan yang sudah ditentukan.
c. Vulnerability Scanning. Menngunakan sejumlah perangkat
serangan untuk menguji komputer atau segmen jaringan spesifik
untuk mengenali atau menemukan kelemahan sistem atau aplikasi.
d. Ethical Hacks (Penetration Testing). Melakukan simulasi
vulnerability scanning untuk menguji komputer atau segmen
jaringan spesifik dan dapat dilakukan melalui internet (remote)
terhadap sejumlah protokol layanan spesifik.
e. Stolen Equipment Attack. Simulasi yang dilakukan dan
berhubungan dengan keamanan fisik dan keamanan komunikasi
yang bertujuan untuk mendapatkan informasi.
f. Signal Security Attack. Simulasi ini bertujuan untuk mendapatkan
titik akses nirkabel atau modem.
xlvi g. Social Engineering Attack. Menggunakan teknik sosial untuk
mendapatkan informasi penting sistem keamanan jaringan.
2.5. Firewall
2.5.1. Definisi dan Konsep Firewall
Firewall adalah sebuah sistem atau perangkat yang mengizinkan lalu
lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu
lintas jaringan yang tidak aman. Umumnya, sebuah firewall
diimplementasikan dalam sebuah mesin terdedikasi, yang berjalan pada
pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya (jaringan
eksternal). Firewall umumnya juga digunakan untuk mengontrol akses
terhadap siapa saja yang memiliki akses terhadap jaringan pribadi dari pihak
luar. Saat ini istilah firewall menjadi istilah generik yang merujuk pada
sistem yang mengatur komunikasi antar dua jaringan yang berbeda.
Mengingat saat ini banyak perusahaan yang memiliki akses ke internet dan
juga tentu saja jaringan korporat di dalamnya, maka perlindungan terhadap
aset digital perusahaan tersebut dari serangan para hacker, pelaku spionase,
ataupun pencuri data lainnnya, menjadi esensial.
Gambar 2.2. Ilustrasi Sebuah Firewall (sumber : www.wlaf.lib.in.us/firewall.jpg)
xlvii Menurut Purbo (2006;123) Firewall atau IP filtering biasanya digunakan untuk mengontrol traffic yang masuk atau keluar (dari/atau ke sistem jaringan kompuetr internal). Biasanya digunakan sebagai pertahanan untuk menangkal masuknya serangan dari internet. Firewall merupakan perangkat jaringan yang dibangun dari software, hardware, atau kombinasi dari keduanya yang berada diantara dua segmen jaringan berbeda, dan bertugas memeriksa traffic data yang mengalir melewatinya dengan menggunakan sejumlah kriteria kebijakan keamanan untuk menentukan apakah akses traffic dapat diizinkan untuk melewati firewall dan memasuki sistem jaringan atau tidak.
2.5.2. Jenis-jenis Firewall
Secara garis besar firewall dibagi menjadi 2 jenis, yaitu Personal
Firewall dan Network Firewall. Dibawh ini adalah gambar dan penjelasan tentang jenis firewall.
Gambar 2.3. Taksonomi Firewall (http://hzfenghe.com/book/FirewallFundamentals/ch02lev1sec1.html)
xlviii a. Personal Firewall
Personal Firewall didesain untuk melindungi sebuah komputer
yang terhubung ke jaringan dari akses yang tidak dikehendaki.
Firewall jenis ini akhir-akhir ini berevolusi menjadi sebuah kumpulan
program yang bertujuan untuk mengamankan komputer secara total
dengan ditambahkannya beberapa fitur pengamanan tambahan
semacam perangkat proteksi terhadap virus, anti-spyware, anti-spam,
dan lainnya. Bahkan beberapa produk firewall lainnya dilengkapi
dengan fungsi pendeteksian gangguan keamanan jaringan (Intrusion
Detection System). Contoh dari firewall jenis ini adalah Microsoft
Windows Firewall (yang telah terintegrasi dalam sistem operasi
Windows XP Service Pack 2, Windows Vista dan Windows Server
2003 Service Pack 1), Symantec Norton Personal Firewall, Kerio
Personal Firewall, dan lain-lain. Personal Firewall secara umum
hanya memiliki dua fitur utama, yakni Packet Filter Firewall dan
Stateful Firewall. b. Network Firewall
Pada penelitian ini penulis menggunakan firewall jenis ini.
Network Firewall didesasin untuk melindungi jaringan secara
keseluruhan dari berbagai serangan. Umumnya dijumpai dalam dua
bentuk, yakni sebuah perangakat terdedikasi atau sebagi sebuah
perangkat lunak yang diinstalasikan dalam sebuah server. Contoh
dari Firewall ini adalah Microsoft Internet Security and
xlix Acceleration Server (ISA Server), CISCO PIX, CISCO ASA,
IPTables dalam sistem operasi GNU/Linux, personal Firewall
dalam keluarga sistem operasi UNIX BSD, serta SunScreen dari
Sun Microsystem, Inc. Yang dibundel dalam sistem operasi Solaris.
Network Firewall secara umum memiliki bebrapa fitur utama,
yakni apa yang dimiliki oleh personal firewall (packet filter
firewall dan stateful firewall), Circuit Level Gateway, Application
Level Gateway, dan juga NAT firewall. Network firewall umumnya
bersifat transparan (tidak terliihat) dari pengguna dan
menggunakan teknologi routing untuk menentukan paket mana
yang diizinkan dan mana paket yang akan ditolak.
2.5.3 Fungsi dan Fitur Firewall
Firewall berwenang untuk menentukan traffic mana yang boleh diteruskan dan mana yang tidak berdasarkan ruleset yang berisi kriteria kebijakan keamanan. Berikut ini adalah beberapa fungsi Firewall (Ariyus,
2006:311)
a. Berfungsi sebagai dinding penghambat yang tidak mengizinkan
user yang tidak memiliki hak terhadap jaringan, untuk
melakukan akses guna melindungi jaringan dari hal-hal yang
tidak diinginkan.
l b. Berfungsi sebagai platform dari fungsi internet yang tidak aman,
yang meliputi penerjemahan alamat jaringan, dari alamat lokasi
ke alamat internet (public).
c. Melayani platform untuk Ipsec menggunakan tunnel made dan
firewall juga bias digunakan oleh Virtual Private Network.
d. Berfungsi sebagai monitor atas kejadian-kejadian yang
berhubungan dengan keamanan system yang akan memberikan
keterangan kepada system seperti mencatat (aktivitas firewall)
ke file log, alarm yang bisa diimplemetasikan sistem firewall
(untuk kepentingan audit).
2.5.4.Arsitektur Dasar Firewall
2.5.4.1. Single-Box Architectures
Arsitektur yang menempatkan satu mesin untuk berperan sebagai
firewall yang ditempatkan diantara dua segmen jaringan berbeda.
Arsitektur ini disebut Multiple-Purpose Boxes (satu mesin dengan
banyak fungsi), jenis penerapannya adalah sebagai berikut :
a. Screening Router. Menggunakan screening router tunggal yang
berfungsi ganda sebagai packet filtering dan firewall.
li Gambar 2.4. Screening Router (Zwicky, 2000:81)
b. Dual-Homed Host. Dibangun dari dual-homed host yaitu computer
yang menggunakan sedikitnya dua unit NIC untuk menghubungkan
dua atau lebih segmen jaringan berbeda.
Gambar 2.5. Arsitektur Dual-Homed Host (Zwicky, 2000:82)
2.5.4.2 Screened Subnet Architectures
Arsitektur ini menambahkan lapisan keamanan pada screened host architecture dengan menambah jaringan parameter yang lebih mengisolasi system jaringan internal dari Internet. +
lii Gambar 2.6. Arsitektur screened Subnet (Zwicky, 200:85)
a. Bastion Host. Ditempatkan di dalam jaringan parameter, karena
melalui host inilah semua koneksi dari/ke Internet diarahkan, untuk
kemudian ditentukan apakah dapat memasuki system jaringan
internal atau tidak. b. Interior Router (Choke Router). Router internal yang bertugas
mengamankan system jaringan internal baik dari Internet maupun
dari jaringan parameter. c. Exterior Router (Acsess Router). Router ekstrenal mengamankan
jaringan internal dan parameter dari Internet.
2.5.4.3. Screened Host Architectures
Arsitektur ini menempatkan bastion host didailam jaringan internal
(dengan perangkat router terpisah). Unit bastion host adalah satu-satunya mesin di system jaringan internal yang dapat berkomunikasi dengan internet.
liii Gambar 2.7. Arsitektur Screened Host (Zwicky, 2000:84)
2.5.5. Teknologi Firewall
Menurut Zwicky (2000:68), teknologi Firewall meliputi:
a. Paket Filtering. Mekanisme untuk secara selektif mengendalikan
arus paket dari dan/atau ke system jaringan internal menggunakan
sejumlah criteria kebijakan keamanan (rute set).
b. Proxy Service. Mekanisme untuk berkomunikasi dengan server
eksternal dengan bertindak sebagai perantara bagi layanan aplikasi
protocol spesifik system internal, karena bekerja pada layer
aplikasi, Firewall jenis ini juga dinamakan Application Layer
Gaterway Firewall atau Proxy Server Firewall.
c. NAT (Network Address Translation). Mekanisme pemetaan alamat
IP public ke alamat IP Privat atau sebaliknya. NAT membantu
liv memperkuat system pengendalian Firewall terhapad koneksi ke
luar dan kedalam system jaringan internal, membatasi incoming
traffic, dan menyembunyikan konfigurasi jaringan internal.
2.5.6. Tipe dan Cara Kerja Firewall
a. Packet-Filtering Firewall.
Pada bentuknya yang paling sederhana, sebuah Firewall adalah
sebuah router atau komputer yang dilengkapi dengan dua buah NIC
(Network Interface Card) yang mampu melakukan penapisan atau
penyaringan terhadap paket-paket yang masuk. Perangkat jenis ini
umumnya disebut dengan packet-filtering router. Firewall jenis ini
bekerja dengan cara membandingkan alamat sumber dari paket-paket
tersebut dengan kebijakan pengontrolan akses yang terdaftar dalam
Access Control List Firewall, router tersebut akan mencoba
memutuskan apakah hendak meneruskan paket yang masuk tersebut
ke tujuannya atau mengehentikannya. Pada bentuk yang lebih
sederhana lagi, Firewall hanya melakukan pengujian terhadap alamat
IP atau nama domain yang menjadi sumber paket dan akan
menentukan apakah hendak meneruskan atau menolak paket tersebut.
Meskipun demikian, paket filtering router tidak dapat digunakan
untuk memberikan akses (atau menolaknya) dengan menggunakan
basis hak-hak yang dimiliki oleh pengguna.
Packet–filtering router juga dapat dikonfigurasikan untuk
menghentikan dan mengizinkan beberapa jenis lalu lintas jaringan.
lv Umumnya, hal ini dilakukan dengan mengaktifkan/menonaktifkan
port TCP/IP dalam sistem Firewall tersebut. Sebagai contoh, port 25
SMTP umumnya dibiarkan terbuka oleh beberapa Firewall untuk
mengizinkan email dari internet masuk ke dalam jaringan privat,
sementara port lainnya seperti port 23 yang digunakan oleh Protokol
Telnet dapat dinonaktifkan untuk mencegah pengguna Internet untuk
mengakses layanan yang terdapat dalam jaringan privat tersebut.
Firewall juga dapat memberikan semacam pengecualian (exception)
agar beberapa aplikasi dapat melewati Firewall tersebut. Dengan
menggunakan pendekatan ini, keamanan akan lebih kuat tetepi
memiliki kelemahan yang signifikan yakni kerumitan konfigurasi
terhadap Firewall: daftar Access Control List Firewall akan
membesar seiring dengan banyaknya alamat IP, nama domain, atau
port yang dimasukkan ke dalamnya, selain juga exception yang
diberlakukan.
Gambar 2.8. Packet-Filtering Firewall dilihat pada lapisan OSI (sumber: faranudin, 2005:3)
lvi b. Circuit Level Gateway.
Firewall jenis lainnya adalah Circuit-Level Gateway, yang
umunya berupa komponen dalam sebuah proxy server. Firewall jenis
ini beroperasi pada level yang lebih tinggi dalam model referensi OSI
(bekerja pada session layer) daripada Packet Filter Firewall.
Modifikasi ini membuat Firewall jenis ini berguna dalam rangka
menyembunyikan informasi mengenai jaringan terproteksi, meskipun
Firewall ini tidak melakukan penyaringan terhadap paket-paket
individual yang mengalir dalam koneksi. Dengan menggunakan
Firewall jenis ini, koneksi yang terjadi antara pengguna dan jaringan
pun disembunyikan dari pengguna. Pengguna akan dihadapkan secara
langsung dengan Firewall pada saat proses pembuatan koneksi dan
Firewall pun akan membentuk koneksi dengan sumber daya jaringan
yang hendak diakses oleh pengguna setelah mengubah alamat IP dari
paket yang ditransmisikan oleh dua belah pihak. Hal ini
mengakibatkan terjadinya sebuah sirkuit virtual (virtual circuit) antara
pengguna dan sumber daya jaringan yang ia akses.
lvii Gambar 2.9. Circuit level gateway dilihat pada lapisan OSI (sumber: faranudin, 2005:4)
Firewall ini dianggap lebih aman dibandingkan dengan Packet-
Filtering Firewall, karena pengguna eksternal tidak dapat melihat IP
jaringan internal dalam paket-paket yang ia terima, melainkan alamat
IP dari Firewall. Protokol yang populer digunakan sebagai Circuit-
Level Firewall Gateway adalah SOCKS v5. c. Application Level Firewall
Firewall jenis lainnya adalah Application Level Gateway atau
biasa disebut sebagai Proxy Firewall, yang umumnya juga merupakan
komponen dari sebuah proxy server. Firewall ini tidak mengizinkan
paket yang datang untuk melewati Firewall secara langsung. Tetapi,
aplikasi proxy yang berjalan dalam komputer yang menjalankan
Firewall meneruskan permintaan tersebut kepada layanan yang
tersedia dalam jaringan privat dan kemudian meneruskan respons dari
lviii permintaan tersebut kepada komputer yang membuat permintaan
pertama kali yang terletak dalam jaringan publik yang tidak aman.
Gambar 2.10. Application Firewall dilihat pada lapisan OSI (sumber: faranudin, 2005:5) d. NAT Firewall.
NAT (Network Address Translation) Firewall secara otomatis
menyediakan proteksi terhadap sistem yang berada di balik Firewall
karena NAT Firewall hanya mengizinkan koneksi yang datang dari
komputer-komputer yang berada di balik Firewall. Tujuan dari NAT
adalah untuk melakukan multiplexing terhadap lalu lintas dari jaringan
internal untuk kemudian menyampaikannya kepada jaringan yang
lebih luas (MAN, WAN, Internet) seolah-olah paket tersebut datang
dari sebuah alamat IP atau beberapa alamat IP. NAT Firewall
membuat tabel dalam memori yang mengandung informasi mengenai
koneksi yang dilihat oleh Firewall. Tabel ini akan memetakan alamat
jaringan internal ke alamat eksternal. Kemampuan untuk menaruh
lix keseluruhan jaringan di belakang sebuah alamat IP didasarkan
terhadap pemetaan terhadap port-port dalam NAT Firewall. e. Stateful Firewall.
Sateful Firewall merupakan sebuah Firewall yang
menggabungkan keunggulan yang ditawarkan oleh packet-filtering
Firewall, NAT Firewall, Circuit-Level Firewall dan Proxy Firewall
dalam satu sistem. Statefull Firewall dapat melakukan filtering
terhadap lalu lintas berdasarkan karakteristik paket, seperti halnya
packet-filtering Firewall, dan juga memiliki pengecekan terhadap sesi
koneksi untuk meyakinkan bahwa sesi koneksi yang terbentuk
tersebut diizinkan. Tidak seperti Proxy Firewall atau Circuit Level
Firewall, Stateful Firewall pada umumnya didesain agar lebih
transparan (seperti halnya packet-filtering Firewall atau NAT
Firewall). Akan tetapi, stateful Firewall juga mencakup beberapa
aspek yang dimiliki oleh application level Firewall, sebab ia juga
melakukan inspeksi terhadap data yang datang dari lapisan aplikasi
(application layer) dengan menggunakan layanan tertentu. Firewall
ini hanya tersedia pada beberapa Firewall kelas atas, semacam Cisco
PIX. Karena menggabungkan keunggulan jenis-jenis Firewall lainnya,
stateful Firewall menjadi lebih kompleks.
lx Gambar 2.11 Stateful Firewall dilihat pada lapisan OSI (sumber: faranudin, 2005:5)
f. Virtual Firewall
Virtual Firewall adalah sebutan untuk beberapa Firewall logis
yang berada dalam sebuah perangkat fisik (komputer atau perangkat
Firewall lainnya).Pengaturan ini mengizinkan bebrapa jaringan agar
dapat diproteksi oleh sebuah Firewall yang unik yang menjalankan
kebijakan kemanan yang juga unik, cukup dengan menggunakan satu
buah perangkat. Dengan menggunakan Firewall jenis ini, sebuah ISP
(Internet Service Provider) dapat manyediakan layanan Firewall
kepada para pelanggannya, sehingga dapt mengamankan lalu lintas
jaringan mereka, hanya dengan menggunakan satu buah perangkat.
Hal ini jelas merupakan penghematan biaya yang signifikan, meski
Firewall jenis ini hanya tersedia pada Firewall kelas atas seperti Cisco
PIX 535.
2.5.7. Proxy Server Firewall
2.5.7.1. Definisi dan Konsep Proxy Server
lxi Proxy merupakan elemen lain (bertindak sebagai perantara) untuk suatu permintaan atas penggunaan protocol spesifik (Feibel,
1996:854). Server merupakan seperangkat (kombinasi software dan hardware) yang menerima dan memberika sejumlah layanan spesifik dari dan ke pengguna didalam suatu segmen jaringan. Proxy server disebut juga application-layer gateway Firewall atau application proxy karena selain dapat bertindak sebagai perantara sejumlah layanan aplikasi yang menggunakan protokol spesifik (seperti HTTP,
FTP), karena bekerja pada layer aplikasi, proxy server mampu memeriksa keseluruhan porsi data aplikasi dari paket IP.
Gambar 2.12. Mekanisme kerja Proxy Server (Strebe,
2002:144)
Client proxy berinteraksi dengan proxy server, meminta layanan
(protokol) spesifik, proxy server akan memeriksa layanan yang diinginkan dan berkomunikasi dengan server yang bersangkutan
(public server) menerima hasil prosesnya dan memberikannya lagi pada pengguna. Packet filter hanya dapat memeriksa header paket,
lxii sementara sistem proxy dapat memeriksa keseluruhan data aplikasi
pada paket. Sistem proxy juga akan memperbaharui paket dengan
memodifikasi sejumlah parameter paket IP, sedangkan packet filter
tidak.
2.5.7.2 Jenis Proxy Server
Berdasarkan mekanisme konfigurasinya, implmentasi sistem
proxy dapat dibedakan menjadi dua jenis, yaitu ( RFC 2616, 1999:9) :
a. Non-Transparent Proxy Server Firewall. System proxy jenis
ini, membutuhkan mekanisme konfigurasi secara manual
pada setiap parameter sistem proxy di setiap sumber daya
yang membutuhkan akses terhadap layanan proxy.
b. Transparent Proxy Sever Firewall. Sistem proxy jenis ini
secara otomatis mengambil alih dan mengarahkan
permintaan layanan proxy client agar dapat berkomunikasi
dengan proxy server.
Pada penelitian ini penulis menggunakan mekanisme sistem
proxy jenis Transparent.
2.6 Router
Router adalah sebuah perangkat jaringan yang berfungsi untuk meneruskan paket-paket dari sebuah network ke network yang lainnya (baik LAN ke LAN atau LAN ke WAN) sehingga host-host yang ada pada sebuah network bisa
lxiii berkomunikasi dengan host-host yang ada pada network yang lain.Wahyudin(2004:3)
Router juga digunakan untuk membagi protokol kepada anggota jaringan yang lainnya, dengan adanya router maka sebuah protokol dapat di-sharing kepada perangkat jaringan lain. Contoh aplikasinya adalah jika kita ingin membagi IP Address kepada anggota jaringan maka kita dapat menggunakan router, ciri-ciri router adalah adanya fasilitas DHCP (Dynamic Host Configuration
Procotol), dengan mensetting DHCP, maka kita dapat membagi IP Address, fasilitas lain dari Router adalah adanya NAT (Network Address Translator) yang dapat memungkinkan suatu IP Address atau koneksi internet disharing ke IP
Address lain.
2.6.1 Jenis – Jenis Router
Ada beberapa Jenis Router yang dapat digunakan diantaranya adalah :
1. Router Aplikasi
Router aplikasi adalah aplikasi yang dapat kita install pada sistem
operasi, sehingga sistem operasi tersebut akan memiliki kemampuan
seperti router, contoh aplikasi ini adalah Winroute, WinGate, SpyGate,
WinProxy dan lain-lain.
2. Router Hardware
Router Hardware adalah merupakan hardware yang memiliki
kemampuan seperti router, sehingga dari hardware tersebut dapat
memancarkan atau membagi IP Address dan men-sharing IP Address,
lxiv pada prakteknya Router hardware ini digunakan untuk membagi
koneksi internet pada suatu ruang atau wilayah, contoh dari router ini
adalah access point, wilayah yang dapat mendapat Ip Address dan
koneksi internet disebut Hot Spot Area.
3. Router PC
Router PC adalah sebuah komputer yang berfungsi sebagai Router
dengan sistem operasi yang memiliki fasilitas untuk membagi dan
mensharing IP Address, jadi jika suatu perangkat jaringan (pc) yang
terhubung ke komputer tersebut akan dapat menikmati IP Address atau
koneksi internet yang disebarkan oleh Sistem Operasi tersebut, contoh
sistem operasi yang dapat digunakan adalah semua sistem operasi
berbasis client server, semisal Windows NT, Windows NT 4.0,
Windows 2000 server, Windows 2003 Server, MikroTik (Berbasis
Linux), dan lain-lain. PC (Personal Komputer) Router adalah sebuah
komputer yang berfungsi sebagai router. PC Router dapat diterapkan
dengan menggunakan spesifikasi minimal :
1. Dua buah NIC
2. OS *nix (BSD, Linux, Unix), OS Windows Server, Open
Solaris, dst
Pada penerapan yang dilakukan pada tempat penelitian di APL PLN
Mampang, penulis menggunakan jenis Router PC yang tergabung pada firewall sekaligus gateway.
lxv 2.7 Sistem Operasi Linux
Linux adalah nama yang diberikan kepada sistem operasi komputer bertipe
Unix. Linux merupakan salah satu contoh hasil pengembangan perangkat lunak bebas dan sumber terbuka utama. Seperti perangkat lunak bebas dan sumber terbuka lainnya pada umumnya, kode sumber linux dapat dimodifikasi, digunakan dan didistribusikan kembali secara bebas oleh siapapun.
Linux pertama kali ditemukan oleh Linus Torvalds dari Universitas Helsinki pada tahun 1991 dan berkembang dengan pesat melalui Internet. Linux mempunyai sifat yang multi user dan multi tasking, yang dapat berjalan di berbagai platform termasuk prosesor Intel 386 maupun yang lebih tinggi. Sistem operasi ini mengimplementasikan standar POSIX. Linux dapat berinteroperasi secara baik dengan sistem operasi yang lain, termasuk Apple, Microsoft dan
Novell.
Ada beberapa jenis linux yang sudah dibuat dan masing-masing memiliki karakteristik yang hampir sama, perbedaan hanya terletak pada beberapa perintah dasarnya saja, Redhat, Mandrake, Debian dan Suse merupakan bebrapa jenis distribusi Linux yang terkenal.
2.7.1 Struktur Direktori Linux
Struktur direktori pada linux sama dengan struktur direktori pada
windows yaitu menerap sistem pohon (tree). File sistem linux terbagi dalam
beberapa direktori, direktori tersebut mempunyai fungsi yang berbeda-beda.
lxvi Gambar 2.13 Struktur direktori Linux (sumber: www-uxsup.csx.cam.ac.uk/ /verzeichnisse_baum.png)
Berikut ini akan dijelaskan masing-masing direktori tersebut , yaitu : a. Merupakan akar dari semua di rektori b. /root
Merupakan direktori untuk user root. Dalam sistem linux user root
mempunyai otoritas penuh terhadap sistem. User root dapat merusak
sistem, memperbaiki sistem, menambah user baru dan lain sebagainya.
User baru dalam hal ini adalah user biasa dimana ruang lingkupnya
hanya sebatas menjalankan aplikasi terkecuali diberi izin oleh user
root. c. /boot
Merupakan direktori penting dalam kaitannya dengan proses booting
linux. Dalam direktori ini merupakan image kernel linux. d. /etc
Merupakan direktori yang didalamnya termuat file konfigurasi
program. Misalnya, file konfigurasi init yaitu /etc/initab yang mengatur
tempat sistem berjalan apakah berbasis grafis (run level 5) atau console
(run level 3)
lxvii e. /bin
Merupakan direktori penting yang berisi program esential. Program
esential yaitu program eksekusi jika program tersebut dijalankan
contohnya perintah Is (Melihat Isi Direktori). f. /sbin
Merupakan direktori yang berisi program esential untuk sysadmin.
Seperti halnya direktori /bin. g. /var
Merupakan direktori yang berisi file-file dinamis misalnya dile log dan
sebagainya. h. /home
Merupakan direktori yang berisi home direktori user biasa. i. /dev
Merupakan direktori yang berisi device seperti /dev/fd0 untuk floopy,
/dev/hda hardisk, /dev/cdroom cdroom, /dev/ ttys0 untuk port mouse
dan sebagainya. j. /tmp
merupakan direktori yang mempunyai file temporary (sementara). k. /usr
Merupakan berisi file-file program untuk menjalankan program yang
bersangkutan.
lxviii 2.8. IPcop
IPCop merupakan sebuah turunan sistem operasi Linux dan dikhususkan untuk beroperasi sebagai sebuah Firewall, dan hanya sebagai Firewall. IPCop menyediakan penerapan Firewall yang berbasis hardware PC dan pengaturan yang simple dan mudah.
IPCop merupakan software yang dikenal sebagai Open Surce Software
(OSS). Sebagai bagian dari OSS, IPCop dikeluarkan dalam lisensi GNU General
Public License (GPL). Dibawah lisensi GPL, pengguna IPCop diberi kebebasan untuk melihat, mengubah, dan mendistribusikan kembali source code atau kode program dari software.
Sebelum IPCop dibuat, sudah ada SmoothWall terlebih dahulu
(http://www.smoothwall.org). Smoothwall merupakan merupkan distribusi yang sangat mirip dengan IPCop pada saat ini, dan semua kode inisial pada IPCop adalah kode Smoothwall. Smoothwall memiliki dua lisensi untuk merilis jenis
Firewall gratis secara komersial. Produk komersial memiliki fungsionalitas yang lebih baik, yang mengakibatkan konflik antara tujuan dari pengembangan yang gratis dan paket komersial dimana untuk memperbaiki sebuah prduk yang gratis maka akan membuat produk yang berbayar menjadi tidak laku.
Pengembang IPCop saat ini memilih untuk mengembangkan sistem yang sudah ada pada pada Smoothwall, dan membuat suatu cabang baru dari software tersebut, dan merilisnya murni sebagai non-komersial OSS.
lxix 2.8.1. Interface Jaringan IPCop
IPCop mendukung sampai empat interface jaringan, yang masing- masing terhubung dengan jaringan yang berbeda. Keempat jaringan yang tersedia tersebut diikenali dengan warna yang sudah ditentukan untuk kemudahan administrasi.
Green Network Interface. Pada segmen jaringan Green dari IPCop merepresentasikan jaringan internal. Sebuah IPCop Firewall secara otomatis akan mengizinkan semua koneksi dari segmen Green ke semua segmen lainnya.
Segmen Green adalah sebuah Ethernet Network Interface Card (NIC), dan tidak ada dukungan untuk device lain. Sebuah jaringan lokal adalah seperti sebuah hub yang disambungkan ke dalam interface Green, atau beberapa switch, sebuah bridge layer dua atau bahkan sebuah router.
Red Network Interface. Sama seperti interface jaringan Green, interface jaringan Red selalu tersedia. Interface jaringan Red merepresentasikan Internet atau suatu segmen jaringan yang tidak terpercaya (pada topologi yang lebih besar).
Tujuan utama dari Firewall IPCop adalah untuk melindungi segmen
Green, Blue dan Orange dan host yang terhubung dengan jaringan dari traffic, users, dan host pada segmen Red. Segmen jaringan Red bersifat ter-
Firewall dengan baik dan tidak akan membuka port dalam jumlah besar kedalam segmen jaringan internal. Secara default tidak ada port yang dibuka.
lxx Orange Network Interface. Interface jaringan Orange merupakan sebuah optional yang dirancang sebagai jaringan DMZ
(http://www.Firewall.cx/dmz.php). Dalam terminologi militer, sebuah DMZ adalah area dimana aktivitas militer tidak diizinkan. Dalam terminologi
Firewall, DMZ memiliki pengertian yang sama, sebagai sebuah segmen jaringan diantara jaringan internal suatu organisasi dan jaringan eksternal seperti Internet. Pada segmen ini, server terlindungi dari Internet oleh
Firewall, akan tetapi terpisah dari klien internal yang berada pada zona yang terproteksi lebih baik dibelakang garis depan.
DMZ merupakan sebuah segmen jaringan yang tidak terpecaya
kedua setelah interface jaringan Red. Host pada segmen jaringan Orange
tidak dapat terkoneksi pada segmen jaringan Green dan Blue.
Blue Network Interface. Interface jaringan Blue bersifat optional
yang merupakan penambahan yang cukup baru pada IPCop yang terdapat
pada rilis versi 1.4. jaringan ini secara spesifik dikhususkan untuk segmen
wireless yang terpisah. Host pada segmen Blue tidak dapat terhubung ke
jaringan Green kecuali melalui spesifik pinholes seperti pada jaringan
Orange.
Menggunakan zona Blue juga merupakan cara yang baik untuk
memisahkan host dalam penggunaan jaringan, seperti subnet dari
workstation yang digunakan oleh beberapa kelompok staf atau pengguna
lain.
lxxi Dibawah ini adalah ilustrasi topologi IPCop dengan keempat
interface Barrie et al., 2006
Gambar 2.14. Konfigurasi IPCop Firewall dengan empat interface
(Barrie et al., 2006 :67)
2.8.2. Fitur dari IPCop
IPCop memiliki fitur Firewall yang cukup lengkap dan baik, ia juga memiliki web-interface yang dapat diakses dari client secara remote sehingga memudahkan network administrator untuk melakukan pengaturan dan manajemen fungsi dari IPCop tersebut. Beberapa fitur dari IPCop :
1. IPTABLES-based Firewall
2. Interface eksternal dapat berupa modem Analog, ISDN atau
ADSL modem dan dapat mendukung koneksi ADSL PPtP atau
PPPoE ke Ethernet atau modem USB.
3. Mendukung DMZ
4. Interface administrasi berbasis Web GUI
5. Server SSH untuk Remote Access
6. DHCP server
lxxii 7. Caching DNS
8. TCP/UDP port forwarding
9. Intrusion Detection System
10. Mendukung VPN dengan protokol IPSec
2.8.3. Kelebihan IPCop a. Free (aplikasi bebas): IPCop didistibusikan dibawah lisensi GPL.
Berbeda dengan Mikrotik, Norton Firewall, Mc Affee Firewall yang
berbayar. b. Simple : Dalam proses instalasi cukup sederhana, serta memiliki
dukungan dari komunitas yang cukup baik di Indonesia maupun dunia.
Panduan instalasi dan pengelolaan tersedia secara memadai
memungkinkan user yang memiliki latar belakang pengetahuan terbatas
seperti kebanyakan tenaga TI bisa menerapkannya. c. Complete and Stable: Meski sederhana IPCop diakui memiliki fitur dan
tingkat keamanan yang tinggi layaknya firewall level corporate,
reliabalitasnya pun sangat baik sesuai standar keamanan linux. Tersedia
banyak aplikasi tambahan (addon), seperti URL Filter, Block Out traffic
(BOT), Who is Online (wio), Advance proxy, cop filter, open VPN dsb. d. Minimum hardware requirement : Mesin firewall dengan IP Cop cukup
dengan CPU Pentium I Harddisk 5 Gb 2 lancard 10 Mbps telah
berfungsi dengan baik. Yang harus diperhatikan adalah ketahanan CPU
yang harus hidup selama akses internet digunakan.
lxxiii 2.9. Virtual Box
Berdasarkan situs resmi Virtual Box (2009), Virtual Box adalah produk virtualisasi x86 yang powerful untuk pengguna awam maupun enterprise.
Software ini memiliki fitur – fitur yang banyak, performa tinggi untuk kalangan enterprise, dan juga sebagai solusi bagi professional. Software ini tersedia secara gratis sebagai software opensource dibawah naungan GNU General Public
License (GPL). Pada saat proses simulasi, penulis menggunakan bantuan software ini.
Beberapa fitur dari VirtualBox antara lain :
a. Modularity.
b. Virtual machine descriptions in XML.
c. Guest Additions for Windows and Linux.
d. Shared folders. Virtual USB Controllers.
e. Remote Desktop Protocol. USB over RDP.
2.10. SSH (Secure Shell)
Pada penelitian ini penulis menggunakan dua tools untuk melakukan SSH login kedalam mesin IPCop. Pada awalnya SSH dikembangkan oleh Tatu Yl nen di Helsinki University of Technology. SSH memberikan alternatif yang secure terhadap remote session tradisional dan file transfer protocol seperti telnet dan relogin Protokol SSH mendukung otentikasi terhadap remote host, yang dengan demikian meminimalkan ancaman pemalsuan identitas client lewat IP address spoofing maupun manipulasi DNS. Selain itu SSH mendukung beberapa protokol
lxxiv enkripsi secret key untuk membantu memastikan privacy dari keseluruhan komunikasi, yang dimulai dengan username/password awal.
Algoritma enkripsi yang didukung oleh SSH di antaranya TripleDES
(Pengembangan dari DES oleh IBM), BlowFish (BRUCE SCHNEIER), IDEA
(The International Data Encryption Algorithm), dan RSA (The Rivest-Shamir-
Adelman). Dengan berbagai metode enkripsi yang didukung oleh SSH, Algoritma yang digunakan dapat diganti secara cepat jika salah satu algoritma yang diterapkan mengalami gangguan. SSH menyediakan suatu virtual private connection pada application layer, mencakup interactive logon protocol (ssh dan sshd) serta fasilitas untuk secure transfer file (scd). Setelah meng-instal SSH, sangat dianjurkan untuk mendisable telnet dan relogin.
Implementasi SSH pada linux diantaranya adalah OpenSSH. SSH merupakan paket program yang digunakan sebagai pengganti yang aman untuk relogin, rsh dan rcp.
2.10.1. Kegunaan SSH
SSH dirancang untuk menggantikan protokol telnet dan FTP. SSH
merupakan produk serbaguna yang dirancang untuk melakukan banyak
hal, yang kebanyakan berupa penciptaan tunnel antar host. Dua hal penting
SSH adalah console login (menggantikan telnet) dan secure filetransfer
(menggantikan FTP), tetapi dengan SSH anda juga memperoleh
kemampuan membentuk source tunnel untuk melewatkan
HTTP,FTP,POP3, dan apapun lainnya melalui SSH tunel.
lxxv 2.10.2. Tools SSH
Pada penelitian ini penulis menggunakan SSH tools untuk
melakukan remote administration kedalam mesin firewall.
a. Putty
Putty adalah klien SSH dan telnet, yang dikembangkan awalnya
oleh Simon Tatham untuk platform Windows. Putty dapat melakukan
remote login ke komputer remote. Putty adalah perangkat lunak open
source yang tersedia dengan kode sumber dan dikembangkan dan
didukung oleh sekelompok relawan.
b. WinSCP
WinSCP merupakan freeware SFTP (SSH File Transfer Protocol)
dan SCP (Secure CoPy) client untuk Windows menggunakan SSH
(Secure Shell) dan kini telah mencapai versi 4.2.6. Tujuan utamanya
adalah untuk mengamankan ketika Kita menyalin file dari komputer lokal
ke komputer remote.
Di luar fungsi dasar di atas, WinSCP juga dapat mengelola
beberapa tindakan lain kepada file dalam sistem Windows, seperti operasi
dasar kepada file, yaitu menyalin dan memindahkan file. Satu dari dua
program yang dapat dipilih yaitu memungkinkan pengguna untuk
mengelola file lokal. Sebagian besar operasi dapat dilakukan secara
rekursif untuk file dalam folder.
lxxvi Lebih lanjut, WinSCP dapat bertindak sebagai remote editor, yaitu jika kita klik file, misalnya dokumen teks dalam file dalam perintah jarak jauh, transfer file ke komputer lokal dan membukanya di editor yang sudah terintegrasi. Setiap kali dokumen disimpan, versi remote akan diperbarui secara otomatis.
Pengembangan WinSCP dimulai sekitar Mei 2000 dan pada awalnya diselenggarakan oleh University of Economics di Praha. Sejak
16 Juli 2003 WinSCP berlisensi di bawah GPL. WinSCP sangat populer di kalangan ahli Jailbreak iPhone sebagai cara untuk mentransfer data ke atau dari perangkat dan bahkan hadir dengan edisi portabel yang berguna jika kita ingin menggunakan perangkat USB atau dropbox.
lxxvii BAB III
METODE PENELITIAN
3.1. Waktu dan Tempat Penelitian
Penelitian ini dilakukan dari bulan Agustus sampai September 2009
yang bertempat APL PLN Mampang. Alasan pemilihan APL PLN Mampang
sebagai tempat penelitian karena belum diterapkannya suatu pengaman pada
jaringan komputer yang ada sehingga dibutuhkan sebuah sistem yang mampu
berfungsi sebagai solusi pengamanan yang handal dan terjangkau untuk
jaringan komputer yang ada pada APL PLN Mampang.
3.2. Peralatan Penelitian
Sebagai sarana peneltian, diperlukan adanya alat penelitian. Alat yang
digunakan dalam penelitian ini dibagi menjadi dua bagian, yaitu perangkat
keras (hardware) dan perangkat lunak (software). Perangkat keras yang
digunakan adalah komputer dan perangkat jaringan untuk membuat suatu
jaringan dapat terkoneksi. Sedangkan untuk perangkat lunak adalah
kebutuhan sebuah sistem operasi yang mendukung jaringan dan software-
software pendukung aplikasi jaringan.
Untuk dapat membuat sebuah sistem yang benar-benar dapat berfungsi
secara baik dan menyeluruh diperlukan adanya lingkungan perangkat keras
dan perangkat lunak sebagai berikut :
1. Lingkungan Perangkat Keras
lxxviii Perangkat keras yang digunakan dalam penelitan ini meliputi dari
komputer router (PC router), komputer client dan perangkat jaringan
lainnya sebagaimana berikut ini:
a. Komputer firewall sekaligus router gateway yang mempunyai
spesifikasi Pentium 4 2,4 GHz, memori DDR 256MB GB, 2 kartu
jaringan (TP-Link tipe PCI dan onboard Realtek RTL8139 Family
PCI Fast Ethernet NIC), HDD 30GB, CD-ROM
b. Komputer client, mempunyai spesifikasi minimum intel pentium 4 2,4
GHz, memori DDR 1GB, VGA 64 MB, Hardisk 40 GB, 1 kartu
jaringan, CD ROM dan monitor 15 inci.
c. Perangkat Jaringan dan Alat Pendukung seperti kabel UTP, dan alat-
alat non jaringan seperti kabel listrik.
2. Lingkungan Perangkat Lunak
Perangkat lunak yang digunakan dalam penelitian tugas akhir ini
dibagai menjadi dua bagian, yaitu perangkat lunak untuk server dan
perangkat lunak untuk client :
a. Perangkat Lunak untuk firewall : Sistem Operasi Linux IPCop 1.4.20,
built-in Apache web server, DHCP server, DNS Server, SSH Server,
Proxy Server(Squid), Intrusion Detection System (SNORT).
b. Perangkat Lunak untuk client sekaligus remote host : Sistem Operasi
Windows XP, Web Browser Mozilla, Putty, WinSCP, nmap.
3.3. Metode Pengumpulan Data
lxxix Pengumpulan data merupakan proses pengadaan data primer untuk keperluan penelitian. Berikut ini adalah metode pengumpulan data.yang digunakan oleh penulis :
a. Studi Lapangan, yaitu observasi yang penulis lakukan dengan terjun
langsung ke lapangan untuk mendapatkan informasi terkait dengan
penelitian yang dilakukan untuk melihat sistem yang telah berjalan, serta
bagaimana sistem keamanan baru dapat diterapkan dengan menggunakan
firewall IPCop.
b. Studi Pustaka. Metode ini dilakukan dengan penelusuran dan
pembelajaran melalui media kepustakaan seperti buku, makalah, literature,
websites yang berkaitan dengan keamanan jaringan, firewall dan IPCop
yang berbasis open source untuk menambah pengetahuan terhadap sistem
yang akan diterapkan.
c. Studi Literatur. Metode ini dilakukan dengan membandingkan penelitian
sebelumnya atau penelitian yang sejenis dengan penelitian yang sekarang
dilakukan
3.4. Metode Pembangunan Sistem
Penulis melakukan pembangunan sistem yang terdiri dari fase atau tahapan sebagai berikut :
a. Analysis (Analisis)
Pembangunan dimulai dengan fase analisis. Pada tahap ini dilakukan
proses perumusan permasalahan, mengidentifikasi konsep dari Firewall,
network interface pada IPCop. Kemudian mengumpulkan dan mendefinisikan
lxxx kebutuhan seluruh komponen sistem tersebut, sehingga sepesifikasi kebutuhan mengenai sistem firewall IPCop dapat diperjelas. Analisis itu sendiri penulis bagi menjadi beberapa tahap. Tahap ini meliputi :
1. Identify. Penulis melakukan identifikasi permasalahan yang dihadapi
sehingga dibutuhkan proses pengembangan lebih lanjut.
2. Understand. Penulis memahami mekanisme kerja sistem yang telah
berjalan pada tempat penelitian sehingga dapat mengetahui bagaimana
sistem baru akan dibangun dan dikembangkan.
3. Analyze. Penulis melakukan analisis terhadap sistem yang sedang
berjalan, dan memberikan usulan sistem baru yang lebih baik untuk
diterapkan. Penulis juga melakukan studi kelayakan dan melihat
kebutuhan sistem yang akan dibangun atau dikembangkan.
4. Report. Tahapan ini melakukan aktifitas pembuatan laporan yang
berisisi rincian komponen dan elemen yang dibutuhkan dalam
penelitian. b. Design (Perancangan)
Tahapan selanjutnya adalah design. Jika tahap analisis
mendefinisikan “apa yang harus dilakukan sistem”, maka tahap
perancangan mendefinisikan “bagaimana cara sistem itu dapat
melakukannya”. Pada fase ini, spesifikasi kebutuhan sistem yang akan
dibangun, yang merupakan hasil dari tahap analisis, digunakan untuk
menghasilkan spesifikasi desain atau rancangan sistem yang akan
dikembangkan. Penulis tidak melakukan perancangan skema jaringan dari
lxxxi awal, melainkan hanya menambahkan (extended) skema jaringan yang
telah ada. c. Simulation Prototyping (Prototipe Simulasi)
Tahap selanjutnya adalah pembuatan prototipe sistem yang akan
dibangun, sebagai simulasi dan implementasi sistem produksi. Dengan
demikian penulis dapat mengetahui gambaran umum dari proses
komunikasi, keterhubungan dan mekanisme kerja dari interkoneksi
keseluruhan elemen sistem yang akan dibangun. Penulis membangun
prototipe sistem ini pada lingkungan virtual dengan menggunaka mesin
virtual, yaitu Virtual Box 3.12, dengan pertimbangan bahwa proses
kesalahan yang mungkin terjadi tidak akan mempengaruhi lingkungan
sistem nyata dan proses pembangunan prototipe dapat jauh lebih cepat. d. Implementation (Implementasi)
Tahap selanjutnya adalah implementasi, dimana pada fase ini
spesifikasi rancangan solusi yang dihasilkan pada fase perancangan,
digunakan sebagai panduan intruksi implementasi pada lingkungan nyata.
Aktifitas pada fase implementasi diantaranya :
1. Merancang topologi jaringan dengan penambahan device baru pada
skema jaringan, yaitu berupa hardware firewall.
2. Melakukan instalasi dan konfigurasi terhadap firewall yang akan
diterapkan.
3. Melakukan tes konektivitas antara client dan mesin firewall
.
lxxxii e. Monitoring (Pengawasan)
Fase ini penulis melakukan proses pengujian. Hal ini mengingat
bahwa proses pengujian dilakukan melaui aktivitas pengoperasian dan
pengamatan sistem yang sudah dibangun/dikembangkan dan sudah
diimplementasikan untuk memastikan sistem firewall sudah berjalan
dengan baik dan benar, serta sudah menjawab semua pertanyaan dan
permasalahan spesifik yang dirumuskan.
Pengujian dilakukan pada setiap fungsi di setiap komponen sistem
pada lingkungan nyata. Dalam hal ini penulis melakukan pengujian pada
fungsionalitas (interkoneksi) perangkat jaringan komputer (seperti
komputer host, switch dan modem), IPCop firewall. f. Management (Pengelolaan)
Pada tahapan terakhir adalah aktivitas perawatan, pemeliharaan dan
pengelolaan, karena proses manajemen/pengelolaan sejalan dengan
aktivitas perawatan/pemeliharaan sistem. Jaminan efektivitas dari
interkoneksi sistem menjadi masukan pada tahap ini untuk menghasilkan
keluaran berupa jaminan fleksibilitas dan kemudahan pengelolaan serta
pengembangan sistem firewall berbasis Linux di masa yang akan datang.
lxxxiii Perencanaan Skripsi
Metode Pengumpulan Data
Pembangunan Sistem
Studi
Studi Identify Waktu StudiPenelitian Feasibilitas Analysis Understan Perangkat Penelitian Analyze
Report
Perancangan Sistem Perancangan Design (IPCop box firewall, Topologi Implementasi Sistem network interface) Jaringan firewall IPCop.
Simulation Persiapan Pembangunan Pengujian Pengujian Pengujian Sistem Prototyping Lingkungan Prototipe dan InterkonektivitasVirtual Komponen jaringan Jaringan Komponen dengan firewall Simulasi Sistem jaringan dengan IPCop
Implementati Implementasi Topologi Jaringan
Monitoring Gambar 3.1 Diagram Ilustrasi Metode Penelitian
Management Pengelolaan Pengelolaan Sistem Jaringan Sistem firewall IPCop
Perumusan Kesimpulan Pembuatan Laporan
lxxxiv BAB IV
HASIL DAN PEMBAHASAN
4.1 Analysis (Analisis)
Tahap analisis penulis bagi menjadi menjadi empat fase, yaitu : identify
(mengidentifikasi rumusan permasalahan), understand (memahami rumusan permasalahan dan memahami bentuk penyelesaian permasalahan), analyze
(analisis kebutuhan sistem rancangan) dan report (pelaporan yang berisi spesifikasi dari hasil analisis). Penulis melakukan analisis terhadap kebutuhan sistem firewall yang akan diterapkan pada tempat penelitian secara keseluruhan, baik dari perangkat keras (hardware) maupun perangkat lunak (software).
Analisis yang dilakukan penulis adalah sebagai berikut :
4.1.1 Identify
Jaringan yang terdapat pada tempat penelitian terhubung dengan
internet atau untrusted network yang memiliki resiko terhadap akses
eksternal yang dapat merusak jaringan, tidak terdapatnya sistem pengaman
dapat mengganggu aktivitas keluar-masuk data dalam jaringan. Aktivitas
browsing di internet pun dapat menjadi ancaman yang cukup serius terhadap
suatu jaringan komputer. Banyak website jahat di internet yang dapat
melakukan aktivitas penyusupan atau penyerangan oleh pihak-pihak yang
tidak bertanggung jawab untuk mendapatkan hak akses ilegal dan merusak
sistem jaringan komputer kita. Dari observasi dan wawancara yang telah
dilakukan dilakukan, penulis menyimpulkan dibutuhkannya suatu
lxxxv komponen jaringan tambahan, yaitu firewall sebagai pintu gerbang yang bertugas menyaring dan mengontrol akses terhadap jaringan yang dimiliki oleh perusahaan.
Penggunaan personal firewall yang terdapat pada sistem operasi
Windows dirasakan masih kurang efisien untuk menangani masalah keamanan jaringan yang ada. Penggunaan suatu network firewall yang bersifat independen dalam infrastruktur jaringan lebih reliable dalam menangani masalah keamanan jaringan pada jaringan yang lebih besar. dan firewall yang terdapat di pasaran baik berupa software atau hardware memiliki harga yang cukup mahal, seperti CISCO PIX.
4.1.2 Understand
Hasil identifikasi rumusan permasalahan diatas membutuhkan pemahaman yang baik agar dapat menghasilkan solusi yang tepat untuk digunakan pada lingkungan penelitian. Dengan menggunakan metode studi pustaka penulis memanfaatkan perpustakaan dan internet untuk mengumpulkan sejumlah data dan informasi dari berbagai sumber dalam bentuk buku-buku, makalah, literatur, artikel dan berbagai situs web mengenai topik permasalahan terkait. Hasilnya digunakan untuk memahami permasalahan yang terjadi untuk merumuskan solusi efektif dalam menyelesaikan berbagai rumusan permasalahan. Permasalahan ini pulalah yang penulis gunakan untuk merancang, membangun dan mengimplementasikan sistem yang diharapkan dapat mengatasi rumusan masalah yang ada.
lxxxvi Setelah melakukan pemahaman terhadap masalah yang ada penulis berfokus terhadap konsep kemanan jaringan, penggunaan network firewall, pembatasan hak akses beserta metode penyerangan terhadap sistem.
4.1.3 Analyze
Hasil pemahaman penulis akan digunakan sebagai masukan untuk menganalisis sistem yang dapat mengatasi rumusan permasalahan. Hasil analisis dapat penulis rumuskan sebagai berikut : a. Mengimplementasikan sistem firewall lebih khususnya adalah sebuah
stateful firewall yang berbasis open-source dengan menggunakan
distribusi Linux IPCop. Sistem ini bertanggung jawab sebagai pintu
gerbang layanan akses internet kepada client untuk melindungi
jaringan dari penyusup dan memberikan batasan-batasan akses kepada
pengguna. Sistem firewall ini dibangun sebagai web proxy yang
transparan (transparent proxy) dengan konfigurasi client sistem proxy
dilakukan secara otomatis dan juga bertindak sebagai DHCP server
untuk memberikan alamat IP address secara otomatis ke semua host
yang menjadi client nya. b. Penulis akan menerapakan sistem firewall pada tempat penelitian
dengan menggunakan arsitektur firewall yang berjenis dual-homed
host, yaitu dengan menggunakan sedikitnya dua unit NIC(Network
Interface Card) pada mesin firewall pada sebuah PC, yang berwenang
secara langsung berkomunikasi dengan jaringan luar atau internet
lxxxvii (external network). Firewall juga dapat bertindak sebagai sebuah PC
Router untuk melakukan static routing ke segmen jaringan yang
berbeda. c. Studi Feasibilitas
1. Feasibilitas Ekonomi
Jika ditinjau dari studi kelayakan sistem pada sisi ekonomi,
sistem yang penulis kembangkan merupakan suatu penambahan pada
sistem jaringan yang sedang berjalan. Dengan menggunakan sebuah
firewall yang berbasis open source, kita tidak harus membayar lisensi
dari software yang kita gunakan dan penggunaan hardware yang
minimal memungkinkan untuk berjalannya sistem firewall ini. Dari
sisi ekonomis, hal ini menjadi salah satu faktor penghematan biaya
bagi perusahaan atau pengguna lain.
2. Feasibilitas Teknis
Dari sisi teknis, kinerja sistem yang akan penulis bangun telah
dapat dibuktikan kestabilannya pada lingkungan virtual dalam
menangani keluar-masuk akses pada jaringan, yang dapat dilihat pada
grafik monitoring. Karena sifatnya sebagai distribusi khusus firewall,
maka tidak terdapat GUI(Graphical User Inerface) pada sistem
operasinya, sehingga dapat meringankan kinerja hardware, akan tetapi
dengan adanya antarmuka web untuk mengakses mesin firewall
tersebut, selanjutnya dapat memudahkan kita untuk melakukan
pengaturan kebijakan yang kita gunakan secara remote.
lxxxviii 3. Feasibilitas Legal
Pada pengembangan sistem ini, penulis melakukan penelitian
pada APL PLN Mampang sebagai studi kasusnya. Oleh karena itu,
legalitas sistem ini sendiri telah teruji.
4. Alternatif
Pengembangan alternatif yang dapat dilakukan antara lain
adalah pengembangan dengan menggunakan arsitektur firewall dan
topologi jaringan yang berbeda.
4.1.4 Report
Proses akhir dari fase analisis adalah pelaporan yang berisi detail atau rincian dari berbagai komponen atau elemen sistem yang dibutuhkan.
Berbagai elemen atau komponen tersebut mencakup : a. Spesifikasi sistem yang akan dibangun adalah sebuah mesin firewall
yang bertindak sebagai router gateway dari jaringan dengan
menggunakan pengaturan tertentu untuk membatasi dan menyaring akses
dari jaringan eksternal ke jaringan internal, ataupun sebaliknya. Penulis
juga menjadikan firewall tersebut sebagai web proxy yang menangani
permintaan dan pelayanan akses internet dari client. b. Spesifikasi software yang akan digunakan diantaranya adalah sistem
operasi jaringan menggunakan distribusi Linux IPCop 1.4.20 yang
bertindak sebagai firewall sekaligus web proxy, Windows XP SP2
sebagai sistem operasi client dan sistem operasi komputer yang berperan
sebagai remote administrator firewall, nmap, SynAttack sebagai aplikasi
lxxxix untuk mencoba ketahanan fungsionalitas firewall.
4.2 Design (Perancangan)
Pada tahap ini dilakuakan perancangan terhadap sistem firewall yang akan dibangun dengan menggunakan rincian spesifikasi kebutuhan dari sistem yang telah dihasilkan pada tahapan analisis. Penulis membagi proses perancangan menjadi :
4.2.1 Perancangan Topologi Jaringan
Pada tahap ini penulis pertama-tama akan menentukan jenis skema
jaringan yang akan digunakan untuk mengimplementasikan sistem nantinya.
Skema yang dirancang merupakan skema kecil yang ditambahkan
(extended) kedalam topologi jaringan yang sudah ada sebelumnya, dengan
kata lain penulis tidak merubah skema jaringan yang telah ada pada tempat
penelitian, akan tetapi menambahkannya. Pada awalnya jaringan yang sudah
berjalan melakukan koneksi internet langsung melalui modem ADSL,
sehingga tidak terdapat mekanisme filtering terhadap konten dan paket data
dari client yang terdapat pada jaringan.
xc Gambar 4.1 Topologi yang ada dan sedang berjalan di APL PLN
Mampang
Skema jaringan yang ditambahkan merupakan ekspansi dari jaringan yang pada dasarnya menggunakan topologi star dengan menggunakan device Switch (Cisco Catalyst 2950 series) sebagai konsentrator dan berada dibawah modem ADSL. Sehingga sistem nantinya firewall yang diterapkan akan terhubung dengan jaringan eksternal melalui modem ADSL dan jaringan internal dengan switch.
Pada perancangan skema jaringan yang akan diterapkan , sistem firewall menggunakan duah buah IP address pada kedua interfase nya, yaitu interface Green untuk jaringan internal dan Red untuk melakukan komunikasi dengan modem ADSL yang memiliki terhubung langsung ke
ISP.
xci Gambar 4.2 Topologi Jaringan yang akan diterapkan di APL PLN
Mampang
Rincian keterangan dari gambar rancangan topologi jaringan komputer diatas adalah sebagai berikut :
1. Jenis topologi yang diterapkan adalah Extended Star (hybrid).
2. Alamat IP yang digunakan menggunakan kelas A (subnet-mask
255.255.255.0) untuk interface Green, mengikuti pengalamatan yang
sudah ada pada struktur jaringan APL PLN Mampang. Sedangkan untuk
inteface Red menggunakan kelas C, mengikuti modem ADSL yang
memiliki IP default kelas C.
3. Pada mesin firewall penulis mengunakan dua unit NIC yang masing-
masing menghubungkan mesin dengan dua segmen jaringan yang
xcii berbeda. Unit NIC-0 adalah interface Eth0 yang terhubung melalui kabel
straight ke konsentrator switch. Unit NIC-1 adalah interface Eth1 yang
terhubung langsung dengan modem ADSL melaui kabel straight.
4. Pada client didefinisikan sebgai LAN internal. Client hanya memiliki
satu unit NIC yaitu interface Eth0 yang menghubungkannya secara tidak
langsung dengan sistem jaringan komputer internal melalui switch.
5. Switch digunakan sebagai konsentrator sebgai media untuk
mengonsentrasikan seluruh host/pengguna sistem jaringan komputer
internal.
Yang memegang peranan penting pada sistem ini tentunya terletak
pada mesin firewall yang yang telah terpasang sistem operasi IpCop yang
berfungsi sebagai firewall dan juga router gateway untuk melakukan
semua aktifitas yang masuk (inbound) dan aktifitas keluar (outbound).
Penempatan IpCop disini bertujuan agar segala macam aktifitas yang
melewatinya dapat terawasi dan tercatat, sehingga kita dapat menetukan
policy atau pengaturan kebijakan berdasarkan informasi yang juga
tercatat pada IpCop tersebut.
4.2.2 Perancangan Infrastruktur
Pada tahapan ini, selanjutnya dilakukan kegiatan perancangan
infrastruktur sistem firewall itu sendiri. Penulis menspesifikasikan seluruh
komponen atau elemen yang dibutuhkan untuk membangun sebuah sistem
xciii firewall serta merancang interkoneksi antar komponen/ elemen sistem. Dari
hasil analisa di atas maka penulis dapat menyimpulkan beberapa perangkat
yang diperlukan :
No Item Spesifikasi Jumlah Intel Pentium 4 2.4 1 GHZ, Maxtor 30 GB, 1 PC ROUTER + Firewall RAM DDR 256 MB, 2 Realtek NIC Pentium 4 2.8 GHZ, 1 Seagate 40GB, DDR 1 2 Client GB, Realtek Onboard NIC. 3. Modem ADSL TP Link 1 Cross-over dan straight 50 m 4. Kabel UTP Belden 5. RJ 45 - 1 Pack T 6. Crimping Tool 1 abe
l 4.1 Perangkat Keras
Selain itu penulis juga melakukan beberapa perincian kelas IP untuk jaringan ini, berikut adalah perincian IP tersebut :
Perangkat / Interface Alamat IP Gateway Alamat DNS mesin Firewall Gateway + Eth 0 10.3.56.20/24 Firewall Eth 1 192.168.1.2 / 24 192.168.1.1/24
xciv Zone Internal Client Eth 0 10.3.56.1 – 10.3.56.20/24 10.3.56.20 10.3.56.254 /24 Tabel 4.2 Daftar alamat IP
Software Fungsi IPCop 1.4.20 Sistem Operasi Firewall Virtual Box Version 3.1.2 Edition Program Virtualisasi Windows XP Professional SP2 Sistem Operasi Client Windows 7 Ultimate Sistem Operasi Client Putty Telnet dan SSH client winscp406 SFTP dan FTP client Advanced Proxy IPCop add-ons URL Filter IPCop add-ons Nmap, command prompt Aplikasi untuk pengujian firewall (pinger). Mozilla Firefox Browser Internet Tabel 4.3 Tabel Perangkat Lunak dan Tool
4.3 Simulation Prototyping (Prototipe Simulasi)
Pada tahap ini penulis membangun prototipe dari sistem baru yang akan dibangun dan diimplementasikan dengan menggunakan mesin virtual sebagai alat bantu simulasi pada lingkungan virtual. Simulation Prototyping mendemonstrasikan fungsionalitas sistem yang akan dibangun.
Penulis menggunakan software Virtual Box 3.1.2 untuk memvirtualisasikan sistem yang akan dibangun sebagai prototipe simulasi. Fase pembangunan prototipe dimaksudkan untuk memenuhi sejumlah tujuan : a. Menjamin efektivitas fungsionalitas dan interkoneksi antar elemen atau
komponen sistem.
xcv b. Memperkecil resiko kegagalan saat proses pembangunan dan implementasi
sistem pada lingkungan nyata. c. Menjamin bahwa sistem sudah memenuhi kriteria spesifikasi perancangan
sistem dan sudah menjadi solusi dari rumusan permasalahan. d. Menjamin bahwa kesalahan yang terjadi pada saat proses perancangan,
pembangunan dan implementasi tidak menganggu dan tidak mempengaruhi
lingkungan sistem nyata.
Gambar 4.3 Hasil dari proses simulasi pada mesin virtual
4.4 Implementation (Implementasi)
Tahap perancangan telah selesai dilakukan, maka fase selanjutnya adalah dilakukan implementasi atau penerapan detail rancangan topologi tambahan dan rancangan sistem pada jaringan yang telah berjalan. Detail rancangan akan
xcvi digunakan sebagi instruksi atau panduan tahap implementasi agar sistem yang dibangun dapat relevan dengan sistem yang sudah dirancang. Proses implementasi terdiri dari pembangunan topologi jaringan, instalasi sistem operasi firewall dan add-ons pendukungnya serta konfigurasinya. Hal tersebut dilakukan dengan tujuan agar seluruh komponen dapat bekerjasama dengan baik dan benar.
4.4.1 Implementasi Topologi Jaringan
Sebagaimana yang telah kita bahas sebelumnya bahwa yang penulis
lakukan disini adalah melakukan pengadaan sistem firewall untuk
perusahaan yang bisa memenuhi kebutuhan perusahaan dalam hal keamanan
jaringan komputer, selain itu juga diharapkan penambahan firewall berbasis
open source tidak memakan biaya terlalu banyak sehingga menjadi solusi
biaya bagi perusahaan itu sendiri. Topologi yang digunakan dapat dilihat
pada tahap perancangan, dimana topologi yang digunakan berjenis extended
star (hybrid), dimana firewall yang juga berfungsi sebagai gateway
diletakkan antara jaringan internal (LAN) dan jaringan eksternal (internet)
dengan menggunakan konsentrator berupa switch.
4.4.2 Implementasi Sistem Operasi
Dalam penerapan rancangan arsitektur/ topologi sistem jaringan, penulis melakukan instalasi sistem operasi pada mesin yang nantinya akan digunakan sebagai firewall dan diterapkan kedalam skema jaringan yang sudah ada. Pada
xcvii dasarnya, proses instalasi dari IPCop firewall sama seperti proses pada instalasi sistem operasi Linux lainnya. Hal tersebut dikarenakan IPCop merupakan sistem operasi Linux yang merupakan turunan dari Smoothwall dengan menggunakan kernel 2.4.
Gambar 4.4 Tampilan Instalasi IPCop
Pada proses instalasi sistem operasi ini kita akan diberi pilihan-pilihan untuk menkonfigurasi firewall yang akan kita install. Kita juga akan memberi nama atau hostname pada mesin IPCop, dimana hostname tersebut berfungsi untuk mengenali PC kita pada jaringan yang ada.
Gambar 4.5 Tampilan hostname IPCop
xcviii Setelah kita memberi nama hostname pada mesin firewall IPCop, proses instalasi mewajibkan kita untuk memilih konfigurasi jaringan yang akan kita gunakan pada mesin firewall tersebut, penulis memilih konfigurasi jaringan sesuai dengan jumlah NIC atau kartu jaringan yang kita gunakan pada mesin firewall ini.
Gambar 4.6 Tampilan konfigurasi network IPCop
Penulis memilih konfigurasi “GREEN + RED” karena pada mesin firewall yang penulis implemetasikan hanya menggunakan dua unit NIC yang dialokasikan sebagai interface Green untuk segmen jaringan internal (LAN) dan interface Red yang terhubung dengan modem ADSL sebagai segmen jaringan eksternal (internet).
Konfigurasi yang dilakukan terhadap dua interface jaringan yang sudah kita tentukan tadi juga dilakukan dalam proses instalasi ini, sehingga pada saat kita telah selesai melakukan konfigurasi jaringan, IPCop sudah dapat langsung dapat berjalan dan dikenali oleh jaringan. Konfigurasi interface jaringan ditunjukkan pada gambar dibawah ini :
a. Konfigurasi Interface Green
xcix Gambar 4.7 Tampilan konfigurasi Green interface IPCop
Konfigurasi alamat IP diatas dilakukan dengan memberikan alamat kepada interface eth0 yaitu Green interface dengan menggunakan alamat IP yang sudah berjalan pada infrastruktur jaringan APL PLN Mampang sebelumnya. Alamat IP yang digunakan adalah kelas A, dengan IP
10.3.56.20 dan subnet mask 255.255.255.0 direpresentasikan dalam format
CIDR (/24). Penggunaan alamat IP kelas A adalah agar host yang berada pada jaringan dapat berkomunikasi dengan jaringan WAN PLN apabila tidak menggunakan gateway pada IPCop yang menggunakan modem
ADSL, sedangkan penggunaan subnet mask 255.255.255.0 dikarenakan jumlah host yang terdapat pada jaringan kurang dari 254. b. Konfigurasi Interface Red
c Gambar 4.8 Tampilan konfigurasi Red interface IPCop
Konfigurasi alamat IP diatas dilakukan dengan memberikan alamat kepada interface eth1 yaitu Red interface dengan menggunakan alamat IP yang berbeda network dengan alamat IP yang digunakan pada interface
Green. Kita dapat memilih apakah alamat IP yang digunakan pada interface
Red berupa Static, DHCP, PP0E atau PPTP. Pada penelitian ini penulis menggunakan alamat IP yang bersifat Static untuk untuk digunakan pada interface Red. IP ini digunakan untuk melakukan koneksi secara langsung dengan interface LAN yang terdapat pada modem ADSL, dengan mengikuti alamat IP yang dimiliki modem ADSL secara default dan meruapakan sau network, yaitu 192.168.1.0.
c. Konfigurasi DHCP Server
ci Gambar 4.9 Tampilan konfigurasi DHCP Server
IPCop juga dapat berfungsi sebagai DHCP Server yang akan
membagikan alamat IP secara otomatis, sehingga kita tidak perlu melakukan
pengisian alamat IP secara manual pada tiap-tiap host yang terhubung pada
jaringan.
Konfigurasi yang telah dilakukan terhadap interface yang digunakan pada mesin firewall, dilanjutkan dengan proses intalasi yang akan meminta kita untuk membuat password pada account root. Account root ini bertindak sebagai administrator atau lebih dikenal dengan istilah super user pada Linux, yang dapat melakukan modifikasi terhadap system (IPCop hanya menggunakan satu user, yaitu root pada console firewall). Password ini digunakan untuk mengakses console atau command line pada mesin firewall untuk melakukan instalasi ataupun konfigurasi lebih lanjut secara text-based.
cii Gambar 4.10 Menetukan password untuk account root
Selain memasukkan password untuk account root, IPCop juga akan meminta untuk membuat password pada user account admin, selanjutnya user account ini digunakan oleh penulis untuk melakukan administrasi firewall dengan interface web yang dimiliki opleh IPCop. Dan yang terakhir adalah menentukan password untuk backup yang akan digunakan untuk mengeksport backup key.
4.4.3 Konfigurasi Pasca Instalasi
Sistem akan melakukan booting ulang. Sistem akan menampilkan pilihan boot loader yang ada pada mesin firewall. IPCop menggunakan boot loader
GRUB untuk memilih pilihan booting. Pada hal ini penulis hanya memiliki satu buah sistem operasi yaitu IPCop sehingga tidak ada boot loader lain selain milik
IPCop.
ciii Gambar 4.11 Tampilan Boot Loader
Terdapat empat pilihan konfigurasi kernel yang tersedia dan dapat kita pilih pada menu boot loader IPCop, yaitu :
a. IPCop, konfigurasi kernel ini cocok untuk mesin atau komputer yang
memiliki single processor dengan motherboard yang tidak mendukung
Advanced Configuration and Power Interface (ACPI). Konfigurasi
kernel ini adalah yang paling dasar dan dapat berjalan pada sebagian
besar processor dan motherboard.
b. IPCop SMP, konfigurasi kernel ini cocok untuk motherboard yang
memiliki lebih dari satu processor, Symetric Multiprocessing (SMP).
Kita dapat memilih pilihan konfigurasi ini apabila pada motherboard
yang kita gunakan memiliki lebih dari satu processor.
c. IPCop (ACPI enabled), adalah konfigurasi yang memungkinkan IPCop
untuk memonitor hardware seperti temperatur processor dan konsumsi
daya yang digunakan.
d. IPCop SMP (ACPI enabled), konfigurasi kernel ini mendukung
civ processor dengan hyperthreading, HT, SMP dan ACPI.
Karena komputer yang penulis gunakan hanya memiliki satu processor pada motherboard nya, maka pada pilihan booting diatas memilih opsi pertama untuk melakukan booting ke dalam sistem operasi IPCop.
Setelah melakukan booting ke dalam sistem operasi Linux IPCop, pada tampilan awal IPCop yang berupa text-based kita akan menjumpai menu login, kita akan login dengan account super user atau root dengan cara kita isikan menu login dengan root dan kita masukan password dari root tersebut untuk melakukan konfigurasi dan pengaturan melalui command line.
Gambar 4.12 Tampilan Awal Linux IPCop setelah kita melakukan booting ke dalam sistem operasi IPCop, kita akan melihat apakah semua konfigurasi yang kita lakukan pada interface jaringan saat proses instalasi sudah sesuai pada masing-masing kartu jaringan. Kita dapat mengetikkan perintah root@spicop:~ # ifconfig
Perintah diatas akan memberikan informasi terhadap interface jaringan yang kita gunakan berikut alamat IP yang kita gunakan.
cv eth0 Link encap : Ethernet HWaddr 08:00:27:9A:F5:FE inet addr : 10.3.56.20 Bcast:10.3.56.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:7058 errors:0 dropped:0 overruns:0 frame:0 TX packets:7813 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:585233 (571.5 KB) TX bytes:2007038 (1.9 MB) Interrupt:10 Base address:0xd020 eth1 Link encap : Ethernet HWaddr 08:00:27:DF:DB:05 inet addr : 192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:334 errors:0 dropped:0 overruns:0 frame:0 TX packets:29 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:44768 (43.7 KB) TX bytes:1218 (1.1 KB) Interrupt:10 Base address:0xd240 lo Link encap : Local Loopback inet addr : 127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:47 errors:0 dropped:0 overruns:0 frame:0 TX packets:47 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:3128 (3.0 KB) TX bytes:3128 (3.0 KB)
Gambar 4.13 Tampilan Konfigurasi alamat IP Output diatas didapatkan setelah kita melakukan konfigurasi kartu jaringan pada tahapan implementasi sistem operasi, yang sudah dibahas pada sub bab 4.5.2
4.4.4 Pengujian Konektivitas
Setelah kita selesai mengkonfigurasi jaringan baik konfigurasi komputer firewall maupun komputer clien, maka saatnya sekarang untuk mencoba konfigurasi jaringan tersebut sudah berjalan atau belum. Testing sistem jaringan ini dilakukan apakah alamat IP yang sudah kita konfigurasi pada tahap 4.5.3 dapat diakses dengan baik oleh client.
cvi Kita dapat mengetikan perintah ping pada komputer client untuk melihat apakah client sudah terkoneksi dengan mesin firewall sebagai gateway pada jaringan.
C:\>ping 10.3.56.20 Apabila perintah diatas menghasilkan reply yang terdapat pada gambar 4.14 maka konfigurasi alamat IP telah berjalan. Dan kita dapat melakukan akses kedalam interface web IPCop dan melakukan monitoring lebih lanjut.
Gambar 4.14 Tampilan ping dan reply Firewall IPcop
4.4.5 Pengujian akses pada Web-Interface
Fitur utama dari IPCop adalah melakukan administrasi firewall secara remote dari komputer client melalui web-interface yang disediakan oleh IPCop.
Untuk dapat mengakses web-interface IPCop kita dapat mengetikkan secara langsung alamat eth0 atau interface Green IPCop menggunakan sebuah web browser secara secure menggunakan https pada port 445.
cvii Gambar 4.15 Tampilan Login ke IPCop Web
Gambar 4.16. Tampilan Home Web Interface
Pada Gambar 4.16 merupakan menu home pada web interface IPCop apabila kita telah berhasil melakukan login dengan account admin.
4.4.6. Instalasi Add-Ons IPCop
PC Firewall yang sudah terinstall IPCop hanya menampilkan interface berbasis teks untuk melakukan konfigurasi IPCop secara low-level. Selanjutnya kita dapat melakukan akses ke dalam console melalui putty. Untuk diakses melalui interface web dan bekerja sebagai stateful firewall, sebaiknya kita
cviii melakukan instalasi paket add-ons yang akan kita gunakan pada web interface nanti.
Add-ons atau paket tambahan yang akan ditambahkan pada penelitian ini merupakan sebuah add-ons yang berupa proxy dengan basis SQUID, sehingga natinya pengaturan-pengaturan yang dilakukan secara sederhana di dalam web interface, akan masuk ke dalam file squid.conf yang terdapat dalam direktori system operasi IPCop.
Untuk meng-copy file adv-proxy dan URL Filter, kita membutuhkan SFTP dan SCP client pada komputer host untuk berkomunikasi dengan mesin IPCop.
Gambar 4.17 Tampilan menu WinSCP login Pada penelitian ini penulis menggunakan tools WinSCP untuk
melakukan transfer file. Kita harus melakukan login terlebih dahulu ke mesin
firewall IPCop dengan SSH menggunakan port nomor 222, karena IPCop tidak
menggunakan standard port 22 yang lazim digunakan untuk SSH. Dengan
memasukkan nama host atau alamat IP dan user name root berikut password
cix nya. Pada saat session login, komputer kita akan menyimpan rsa2 key yang
diberikan oleh server.
Proses akan dilanjtkan terdapat window manager untuk melakukan
transfer files antar host dengan mesin firewall IPCop. Kita dapat langsung
memindahkan file yang kita inginkan dari host ke dalam struktur direktori
IPCop secara drag and drop, dalam hal ini kita akan mengkopi file intalasi
add-ons ke folder /tmp yang terdapat sistem operasi IPCop.
Gambar 4.18 Tampilan Window Manager WinSCP Setelah file berhasil kita copy kedalam direktori IPCop kita akan masuk ke antarmuka console IPCop secara remote dengan menggunakan PuTTY, untuk melakukan instalasi Add-Ons kedalam IPCop dan agar kita dapat mengkonfigurasi nya nanti melalui interface web.
cx Gambar 4.19 RSA2 fingerprint authentication pada PuTTY
Gambar 4.20 Tampilan Remote Login Putty Apabila kita telah berhasil masuk ke dalam console IPCop melalui PuTTY dengan menggunakan account root, kita dapat melihat file yang telah kita copy sebelumnya ke dalam folder /tmp, dan selanjutnya dapat kita lakukan modifikasi file tersebut.
cxi Gambar 4.21 File yang telah berhasil di copy a. Instalasi Adv Proxy
01 tar ±xzf ipcop-advproxy- Ekstrak file advance proxy 3.0.4.tar.gz 02 cd ipcop-advproxy-3.0.4 Masuk kedalam direktori 03 ipcop-advproxy/install Install adv-proxy
b. Instalasi URL Filter
01 tar ±xzf ipcop-urlfilter- Ekstrak file url filter 1.9.3.tar.gz 02 cd ipcop-urlfilter-1.9.3- Masuk kedalam direktori 3.0.4 03 ipcop-urlfilter/install Install url-filter
4.4.7 Konfigurasi Add-Ons
Untuk melakukan konfigurasi sederhana pada add-ons yang telah kita install ke dalam IPCop, kita dapat melakukannya melalui menu pada interface web, pada dropdown menu Services akan terdapat tambahan menu baru sesuai add-ons yang sudah kita install, yaitu Advanced Proxy dan URL Filter.
cxii Pengaturan yang dilakukan pada Advanced Proxy dapat dilakukan dengan memberikan checklist pada pilihan Enable On Green dan Transparent On Green, dimana Proxy akan dilakukan untuk memfilter packet data yang melewati interface Green dan bersifat Transparent menggunakan port 800, sehingga tidak diperlukannya pengaturan yang terdapat pada browser di komputer client.
Access control dapat dilakukan dengan mendaftarkan standard port yang biasa digunakan dan berdasarkan network. Untuk melakukan access-control berdasarkan network terhadap host yang diizinkan dan tidak diizinkan pada jaringan untuk mengakses internet, kita dapat memasukkan alamat IP nya pada daftar Unrestricted atau Banned IP Address, begitu juga dengan MAC Address nya. Keterangan ditunjukkan pada Gambar 4.22.
Gambar 4.22 Konfigurasi pada Advanced Proxy
Untuk pengaturan pada URL Filter kita dapat memilih kategori yang akan di blok seperti; ads, hacking, drugs, porn dsb. Selain itu kita juga dapat membuat
cxiii custom blacklist dan whitelist daftar domain ataupun URL yang berbahaya dan tidak boleh di akses oleh client pada jaringan kita. Penggunaan custom expression list dapat digunakan untuk memfilter konten yang disisipkan pada alamat URL oleh client yang mengakses web melalui browser.
Gambar 4.23 Konfigurasi pada URL Filtering
4.5 Tahap Monitoring
Pembangunan sistem mengkategorikan proses pengujian pada fase pengawasan (monitoring). Hal ini dikarenakan pengawasan sistem yang sudah
cxiv dibangun atau dikembangkan hanya dapat dilakukan jika sistem sudah dapat bekerja sesuai dengan kebutuhan. Proses pengujian (testing) dibutuhkan untuk menjamin dan memastikan bahwa system yang dibangun sudah sesuai memenuhi spesifikasi rancangan dan memenuhi kebutuhan.
4.5.1 Monitoring DHCP Server
Kita telah melakukan pengaturan pada DHCP server pada saat
instalasi sistem operasi IPCop dilakukan, pada tahap monitoring kita akan
melihat apakah DHCP server tersebut sudah bekerja dengan baik dan
memberikan alamat IP kepada user yang terhubung kedalam jaringan.
Daftar alamat IP yang diberikan oleh DHCP server dapat kita lihat pada web
interface IPCop pada menu DHCP Configuration.
Gambar 4.24 merepresentasikan MAC Address, IP Address, Hostname
dan waktu expires dari IP yang diberikan oleh DHCP server kepada host
yang terhubung dan terdaftar dalam jaringan.
cxv Gambar 4.24. Tampilan IP yang tersebar melalui DHCP server
4.5.2 Monitoring Status
Pada web interface IPCop terdapat menu Status, yang dapat kita gunakan untuk melihat status sistem dan network monitoring terhadap beberapa item.
Gambar 4.25. Tampilan service dan server yang dijalankan pada mesin
Firewall
Gambar 4.26. Tampilan Routing Table
IPcop juga bertindak sebagai PC Router untuk melakukan suatu perintah routing dalam menghubungkan dua buah segmen jaringan yang
cxvi berbeda, dalam hal ini penulis melakukan pengupdatean routing table
dengan menambahkan sebuah perintah routing untuk menghubungkan
interface Green, yaitu eth0 dengan interface Red (eth1).
4.5.3 Pengujian Keamanan Firewall
Pada tahap pengujian ini, penulis akan melakukan beberapa pengujian terhadap firewall IPCop yang sudah diterapkan dan berjalan pada struktur jaringan pada tempat penelitian, yaitu APL PLN Mampang. Pengujian dilakukan untuk melihat sejauh mana tingkat keamanan dari firewall IPCop tersebut.
a. PING test atau pengiriman paket ICMP
Dalam kondisi standar setelah instalasi, pengiriman paket ICMP atau
PING dapat dilakukan oleh client untuk melakukan test koneksi terhadap
firewall. Akan tetapi pada menu Firewall Options didalam interface web
IPCop dapat men-disable ping response pada tiap interface, sehingga kita
tidak mendapatkan reply dari mesin firewall. Cara ini baik dilakukan
untuk mencegah adanya eksploitasi lebih lanjut.
Gambar 4.27. Pengiriman pake ICMP yang diblok
b. Pengujian Transparent Proxy
cxvii Untuk menguji efektifitas dari transparent proxy yang sudah
dilakukan dengan menggunakan Advance Proxy dan URL Filtering.
Dengan memasukkan domain atau URL yang sudah di filter sebelumnya.
Pada field alamat URL kita memasukkan http://www.playboy.com.
Hasilnya proxy berhasil memblok akses pengguna. Pengujian ini juga bisa
dilakukan dengan alamat IP.
Gambar 4.28. Content Filtering pada Proxy
Untuk membuktikan fungsi transparansi dari proxy, maka penulis akan mengujinya dan memastikan bahwa tidak ada parameter proxy apapun yang disertakan pada aplikasi web browser untuk dapat memanfaatkan akses web.
cxviii Gambar 4.29. Transparansi Layanan Protokol HTTP c. Pengujian Port Scanning
Pada tahap ini penulis melakukan pengujian terhadap port yang
dibuka pada firewall, baik pada interface Green (eth0) dengan alamat IP
10.3.56.20 dan interface Red (eth1) dengan alamat IP 192.168.1.2. Tools
yang digunakan adalah nmap untuk melakukan scanning. Proses scanning
ini dapat menghasilkan suatu informasi yang cukup penting bagi seorang
hacker atau pihak yang tidak bertanggung jawab dalam melakukan
eksploitasi terhadap sistem keamanan jaringan.
cxix Gambar 4.30. NMAP Port Scanning pada interface Green
Dari hasil scanning yang didapatkan pada gambar 4.29, proses
scanning yang dilakukan dari jaringan internal memperlihatkan bahwa ada
beberapa port yang terbuka, yang dipakai oleh firewall untuk menjalankan
service nya, sedangkan sebanyak 994 port tertutup. d. Pengujian Komponen IDS
Komponen IDS yang dipakai pada firewall IPCop adalah SNORT
yang bertugas untuk mencatat dan memberikan informasi terhadap jenis
serangan tertentu. Pada pengaturan didalam web interface IPCop
sebelumnya sudah diaktifkan service IDS pada interface Green dan Red.
Berdasarkan pengujian port scanning yang dilakukan sebelumnya pada
tahap C, yang melakukan scanning terhadap interface Red dan Green,
maka komponen IDS pada firewall akan melakukan pencatatan dan
memberikan log terhadap suatu serangan yang telah terjadi.
cxx Gambar 4.31. IDS mencatat serangan yang terjadi
4.6 Tahap Management
Fase selanjutnya adalah manajemen (pengelolaan). Fase ini meliputi
aktivitas pengelolaan dan pemeliharaan dari keseluruhan sistem jaringan dan
sistem firewall yang telah dibangun. Fase manajemen melalui serangkaian
proses pengelolaan, pemeliharaan atau perawatan dilakukan untuk sejumlah
tujuan:
a. Memperbaiki sejumlah kesalahan yang terdapat pada penerapan
sistem sebelumnya (sistem yang sudah ada).
b. Manambahkan fungsionalitas atau komponen spesifik atau fitur
tambahan terbaru untuk melengkapi kekurangan pada sistem
sebelumnya.
cxxi c. Mengadaptasi sistem yang sudah dibangun terhadap platform dan
teknologi baru dalam mengatasi sejumlah perkembangan
permasalahan baru yang muncul.
Pada penerapan Firewall yang penulis lakukan, fase manajeman direpresentasikan dengan sejumlah aktivitas berikut : a. Menambahkan add-ons yang lain pada firewall untuk lebih
memperkuat ketahanan firewall dalam melindungi jaringan. b. Memperbarui versi rilis dari firewall, karena versi terbaru menjamin
perbaikan dan penambahan fitur. c. Penyesuaian piranti keras dari mesin firewall agar dapat beradaptasi
dengan perkembangan kebutuhan sistm jaringan komputer, seperti
penambahan RAM, Peningkatan kapasitas media penyiimpanan
(hardisk) untuk melakukan caching proxy dan lain sebagainya.
Dengan demikian, fase pemeliharaan dan pengelolaan dapat secara efektif menjamin kehandalan kinerja dari Firewall.
cxxii BAB V
PENUTUP
5.1 Kesimpulan
Rumusan kesimpulan dari keseluruhan rangkaian proses penelitian yang
telah penulis lakukan adalah sebagai berikut :
1. Penerapan network firewall berbasis open source pada infrastruktur
jaringan mampu untuk melindungi jaringan komputer yang kita miliki dari
ancaman , dapat dilihat pada Gambar 4.2.
2. tateful firewall dapat berjalan dengan baik pada arsitektur firewall dual-
homed host dengan hardware yang ada dan cukup handal dalam
menangani keamanan pada jaringan, dapat dilihat pada Gambar 4.16.
3. Pengaturan yang tepat pada firewall IPCop dalam melakukan monitoring,
manajemen, dan administrasi melaui interface web dapat mempermudah
administrator jaringan untuk meminimalisir gangguan yang terjadi. Dapat
dilihat pada Gambar 4.23, 24, 25 ,26.
4. Komponen Add-Ons yang berbasis proxy dan Intrusion Detection System
telah berhasil berjalan dengan baik sebagai perantara bagi client untuk
mengakses layanan internet dan IDS dapat mendeteksi aktivitas yang
terjadi dan mampu untuk meningkatkan keamanan jaringan yang dimiliki
oleh perusahaan, daapt dilihat pada Gambar 4.27, 28, 31.
5.2 Saran
cxxiii Pada saat penulis melakukan penelitian untuk menerapkan firewall berbasis open-source ini banyak keterbatasan yang dapat penulis lakukan di tempat penelitian, karena adanya kebijakan perusahaan. Sebelumnya perusahaan lebih memilih menggunakan sistem firewall dalam bentuk perangkat (hardware) yang berharga mahal. Perangkat seperti itu tidak efisien dan flexible dalam pengembangannya, karena tidak dapat melakukan penambahan fitur dan upgrade pada hardware nya agar lebih kuat untuk digunakan. Untuk lebih mengoptimalkan kinerja firewall IPCop ini, penulis menyarankan hal-hal sebagai berikut :
1. Kepada APL PLN Mampang , pengembangan firewall lebih lanjut akan
sangat berguna untuk melindungi aset perusahaan dari ancaman eksternal
maupun internal.
2. Penggunaan hardware yang berspesifikasi lebih tinggi, tentunya
berimplikasi pada kinerja sistem firewall yang meningkat dalam
menjalankan service yang diaktifkan dan melakukan tugasnya
mengamankan jaringan.
3. Dari sisi software, pengupdate-an dari rilis terbaru harus dilakukan secara
berkala untuk memperbaiki kinerja firewall menjadi lebih baik dengan
penambahan fitur-fitur terbaru.
4. Untuk pengembangan lebih lanjut, ada baiknya menggunakan add-ons
tambahan lain yang dapat melakukan filtering lebih lengkap lagi
khususnya pada layer application.
cxxiv 5. Dari segi arsitektur firewall yang digunakan dapat di-upgrade dalam
bentuk arsitektur lain yang lebih baik dalam menangani keseluruhan
komponen jaringan, seperti server dan jaringan nirkabel (wireless),
sehingga semua zona interface pada IPCop dapat digunakan dengan baik
dan memberikan perlindungan yang lebih menyeluruh.
6. Pengembangan firewall juga dapat digabungkan dengan sistem keamanan
dan manajemen jaringan yang lain seperti honeypot dalam memberikan
informasi bagi network administrator dan mikrotik dalam melakukan
manajemen bandwith dan load balancing.
cxxv DAFTAR PUSTAKA
Ariyus, Dony, Computer Security, Andi, Yogyakarta, 2006
Ariyus, Dony, Intrusion Detection System, Andi, Yogyakarta, 2007
Brenton, Chris dan Hunt, Cameron, Network Security. PT Elex Media
Komputindo, Jakarta, 2005
Cisco Official Website, “Internetworking Technology Handbook”.
http://www.cisco.com/univercd/cc/td/doc/cisintwk/itc_doc/introwan.htm,
diakses tanggal 28 Oktober 2009, 13.51 WIB.
Dempster, Barrie dan James, Eaton-Lee, Configuring IPCop Firewalls, Packt
Publishing, Birmingham, 2006.
Farununuddin, Rakhmat, Membangun Firewall dengan IPTables di Linux, Elex
Media Komputindo, Jakarta, 2006.
Feibel, Werner, Encyclopedia of Networking, Second Edition, SYBEX Inc,
California, 1996.
Fyodor, Remote OS Detection Via TCP/IP Stack Finger Printing, 1998.
http://www.insecure.org/nmap/nmap-fingerprint-article.txt, diakses
tanggal 26 Oktober 2009, 09.21 WIB
Goldman, James E dan Rawles, Philip T, Applied Data Communications: A
Business Oriented Approach Thrid Edition, Wiley John&Sons, Inc, New
York, 2001.
Kamus Besar Bahasa Indonesia, Yudhistira, Jakarta, 2008
Komar, Brian, Ronald Beekelaar&Joern Wettern, Firewalls For Dummies, Second
Edition, Wiley Publishing Inc, Indiana, 2003.
cxxvi Nazir, Moh, Metode Penelitian, Ghalia Indonesia, Jakarta, 2003
Oetomo, Budi Sutedjo Dharma dkk, Konsep dan Aplikasi Pemrograman Client
Server dan Sistem Terdistribusi, Andi, Yogyakarta, 2006
Ogletree, Terry William, Practical Firewalls, Que Publishing, Canada, 2000
Pressman, Roger S, “Rekayasa Perangkat Lunak: Pendekatan Praktisi (Buku
Satu)”. Terj. Dari Software Engineering: A Practitioner’s Approach ,
oleh L. N. Harnaningrum, Andi, Yogyakarta, 1997
Purbo, Onno W. Buku Pegangan Pengguna ADSL dan Speedy, Elex Media
Komputindo, Jakarta, 2006
RFC 2616, 1999, HTTP/1.1.179, hlm. http://www.ietf.org/rfc/rfc2616.txt, diakses
tanggal 26 Oktober 2009, pk.11.46 WIB
Stallings, William, Komunikasi Data dan Komputer: Jaringan Komputer, Terj
dari Data and Computer Communications, Six Edition, oleh Thamir
Abdul Hafedh Al-Hamdany, Salemba Teknika, Jakarta, 2000
Strebe, Matthew dan Charles Perkins, Firewall 24 Seven, Second Edition, SYBEX
Inc, California, 2002
Syafrizal, Melwin, Pengantar Jaringan Komputer. Andi ,Yogyakarta, 2006.
Tanenbaum, Andrew S, Computer Network, Fourth Edition, Prentice Hall, Inc,
New Jersey, 2003.
Virtual Box website. About Virtual Box. http://www.virtualbox.org/, diakses
tanggal 15 Oktober 2010, 14.35
Wahana Komputer, Konsep Jaringan Komputer dan Pengembangannya, Salemba
Infotek, Jakarta, 2003
cxxvii Zwicky, Elizabeth D, Simon Cooper & D. Brent Chapman, Building Internet
Firewall, Second Edition, O’Reilly Publishing, California, 2000
cxxviii LAMPIRAN A
WAWANCARA
Sesi I Tanggal 31 September 2009
Tujuan : Mengetahui kondisi jaringan dan diskusi desain teknologi yang tepat.
Narasumber : Tjahjana
Jabatan : Koordinator LAHTA PT. PLN (PERSERO) APL Mampang
Pertanyaan :
1. Bagaimana kondisi jaringan yang ada disini?
Dapat dilihat bahwa jaringan yang ada sudah berjalan dengan cukup baik,
dengan menggunakan toplogi Star.
2. Bagaimana penggunaan internet disini?
Untuk melakkan akses internet, kami sudah berlangganan dengan salah
satu ISP milik anak perusahaan PLN, akan tetapi kurang begitu stabil dan
banyak memiliki keterbatasan, karena adanya keterbatasan bandwith untuk
tiap-tiap kantor cabang.
Saya punya rencana untuk mengganti ISP tersebut dengan milik Telkom,
khusus untuk kantor disni agar akses internet lebih stabil dan tidak
menganggu aktivitas karyawan. Akan tetapi khawatir akan tingkat
keamanannya karena kita langsung terkoneksi tanpa adanya alat pengaman
jaringan.
cxxix 3. Apakah dengan kondisi tersebut anda yakin dengan tingkat keamanannya?
Jika tidak, adakah rencana untuk menggunakan perangkat keamanan
tambahan pada jaringan?
Beberapa saat mungkin kita tidak terlalu memikirkan isu keamanan, akan
tetapi untuk akses internet langsung dapat menyebabkan user tidak
bertanggung jawab terhadap informasi yang diaksesnya pada internet,
yang dapat mengakibatkan timbul masalah keamanan dikemudian hari.
Rencana untuk membeli suatu device firewall memang sudah ada, akan
tetapi harganya relatif cukup mahal. Sebisa mungkin lebih baik
memanfaatkan sumber daya yang sudah ada.
4. Sudah pernah menerapkan firewall berbasis PC menggunakan Linux
sebelumnya?
Saya sering mendengar teknologi tersebut, tetapi belum pernah diterapkan
di sini. Saya rasa teknologi tersebut ada manfaatnya jika diterapkan di sini.
Dikarenakan kita memiliki berberapa PC yang tidak terpakai, dan bisa
untuk dijadikan sebuah firewall berbasis PC, apalagi kita tidak harus
membeli lisensi apabila menggunakan sistem operasi Linux.
Sesi II Tanggal 3 Januari 2010
Tujuan : Mengetahui sejauh mana kemudahan penggunaan sistem yang baru dan manfaat dibanding sistem yang lama.
cxxx Narasumber : Tjahjana
Jabatan : Koordinator LAHTA PT. PLN (PERSERO) APL Mampang
Pertanyaan :
1. Bagaimana penggunaan IPCop sebagai firewall disini?
Penggunaan IPCop sangat mudah, tidak seperti yang saya bayangkan
sebelumnya. Saya pikir sistem operasi Linux itu sulit penggunaannya.
Untuk konfigurasinya cukup mudah. Tidak harus mengetahui sistem
operasi Linux secara keseluruhan, karena dibantu oleh interface web nya
yang cukup user friendly. Mungkin untuk level advance dibutuhkan
administrator jaringan yang benar-benar mengerti akan keamanan jaringan
dan sistem operasi Linux.
2. Bagaimana penggunaan sistem ini secara keseluruhan?
Penggunaan sistem firewall ini secara keseluruhan cukup baik, beberapa
pengaturan hak akses bagi user telah berjalan sesuai dengan yang
diinginkan. User tidak dapat mengakses beberapa website yang dilarang
dan membatasi user yang dapat terkoneksi ke internet, sehingga jam kerja
dapat dimanfaatkan dengan baik oleh karyawan.Program – program yang
ada juga berjalan dengan baik.
3. Apa saja kelemahan yang dirasakan pada sistem yang baru ini?
Yang saya rasakan mungkin untuk pengaturan lebih detail dan spesifik
membutuhkan seorang administrator jaringan yang baik dalam mengelola
cxxxi jaringan, dikarenakan kita juga harus melakukan pembaruan dalam
pengaturan kemanan, sesuai perkembangan teknologi nya.
Narasumber : Toni
Jabatan : Staff CATER
1. Dari karyawan sendiri bagaimana penggunaan sistem yang baru ini?
Saya rasa penggunaan sistem ini cukup memberikan batasan bagi kami
sebagai karyawan untuk mengakses website yang tidak diijinkan oleh
perusahaan. Selain itu ada beberapa komputer staff yang sama sekali tidak
bisa untuk melakukan akses internet.
cxxxii LAMPIRAN B Konfigurasi IPTables #!/bin/sh # # $Id: rc.firewall,v 1.7.2.24 2007/11/17 08:12:29 owes Exp $ # eval $(/usr/local/bin/readhash /var/ipcop/ppp/settings) eval $(/usr/local/bin/readhash /var/ipcop/ethernet/settings) if [ -f /var/ipcop/red/iface ]; then IFACE=`/bin/cat /var/ipcop/red/iface 2> /dev/null | /usr/bin/tr -d '\012'` fi if [ -f /var/ipcop/red/device ]; then DEVICE=`/bin/cat /var/ipcop/red/device 2> /dev/null | /usr/bin/tr -d '\012'` fi iptables_init() { # Flush all rules and delete all custom chains /sbin/iptables -F /sbin/iptables -t nat -F /sbin/iptables -t mangle -F /sbin/iptables -X /sbin/iptables -t nat -X /sbin/iptables -t mangle -X
# Set up policies /sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT ACCEPT
# Empty LOG_DROP and LOG_REJECT chains /sbin/iptables -N LOG_DROP /sbin/iptables -A LOG_DROP -m limit --limit 10/minute -j LOG /sbin/iptables -A LOG_DROP -j DROP /sbin/iptables -N LOG_REJECT /sbin/iptables -A LOG_REJECT -m limit --limit 10/minute -j LOG /sbin/iptables -A LOG_REJECT -j REJECT
# This chain will log, then DROPs packets with certain bad combinations # of flags might indicate a port-scan attempt (xmas, null, etc) /sbin/iptables -N PSCAN /sbin/iptables -A PSCAN -p tcp -m limit --limit 10/minute - j LOG --log-prefix "TCP Scan? " /sbin/iptables -A PSCAN -p udp -m limit --limit 10/minute - j LOG --log-prefix "UDP Scan? " /sbin/iptables -A PSCAN -p icmp -m limit --limit 10/minute - j LOG --log-prefix "ICMP Scan? " /sbin/iptables -A PSCAN -f -m limit --limit 10/minute - j LOG --log-prefix "FRAG Scan? " /sbin/iptables -A PSCAN -j DROP
cxxxiii # New tcp packets without SYN set - could well be an obscure type of port scan # that's not covered above, may just be a broken windows machine /sbin/iptables -N NEWNOTSYN /sbin/iptables -A NEWNOTSYN -m limit --limit 10/minute -j LOG --log-prefix "NEW not SYN? " /sbin/iptables -A NEWNOTSYN -j DROP
# Chain to contain all the rules relating to bad TCP flags /sbin/iptables -N BADTCP
# Disallow packets frequently used by port-scanners # nmap xmas /sbin/iptables -A BADTCP -p tcp --tcp-flags ALL FIN,URG,PSH -j PSCAN # Null /sbin/iptables -A BADTCP -p tcp --tcp-flags ALL NONE -j PSCAN # FIN /sbin/iptables -A BADTCP -p tcp --tcp-flags ALL FIN -j PSCAN # SYN/RST (also catches xmas variants that set SYN+RST+...) /sbin/iptables -A BADTCP -p tcp --tcp-flags SYN,RST SYN,RST -j PSCAN # SYN/FIN (QueSO or nmap OS probe) /sbin/iptables -A BADTCP -p tcp --tcp-flags SYN,FIN SYN,FIN -j PSCAN # NEW TCP without SYN /sbin/iptables -A BADTCP -p tcp ! --syn -m state --state NEW -j NEWNOTSYN
/sbin/iptables -A INPUT -j BADTCP /sbin/iptables -A FORWARD -j BADTCP
} iptables_red() { /sbin/iptables -F REDINPUT /sbin/iptables -F REDFORWARD /sbin/iptables -t nat -F REDNAT
# PPPoE / PPTP Device if [ "$IFACE" != "" ]; then # PPPoE / PPTP if [ "$DEVICE" != "" ]; then /sbin/iptables -A REDINPUT -i $DEVICE -j ACCEPT fi if [ "$RED_TYPE" == "PPTP" -o "$RED_TYPE" == "PPPOE" ]; then if [ "$RED_DEV" != "" ]; then /sbin/iptables -A REDINPUT -i $RED_DEV -j ACCEPT fi fi fi
cxxxiv # PPTP over DHCP if [ "$DEVICE" != "" -a "$TYPE" == "PPTP" -a "$METHOD" == "DHCP" ]; then /sbin/iptables -A REDINPUT -p tcp --source-port 67 -- destination-port 68 -i $DEVICE -j ACCEPT /sbin/iptables -A REDINPUT -p udp --source-port 67 -- destination-port 68 -i $DEVICE -j ACCEPT fi
# Orange pinholes if [ "$ORANGE_DEV" != "" ]; then # This rule enables a host on ORANGE network to connect to the outside # (only if we have a red connection) if [ "$IFACE" != "" ]; then /sbin/iptables -A REDFORWARD -i $ORANGE_DEV -p tcp -o $IFACE -j ACCEPT /sbin/iptables -A REDFORWARD -i $ORANGE_DEV -p udp -o $IFACE -j ACCEPT fi fi
if [ "$IFACE" != "" -a -f /var/ipcop/red/active ]; then # DHCP if [ "$RED_DEV" != "" -a "$RED_TYPE" == "DHCP" ]; then /sbin/iptables -A REDINPUT -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A REDINPUT -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT fi if [ "$METHOD" == "DHCP" -a "$PROTOCOL" == "RFC1483" ]; then /sbin/iptables -A REDINPUT -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A REDINPUT -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT fi
# Outgoing masquerading /sbin/iptables -t nat -A REDNAT -o $IFACE -j MASQUERADE
fi }
# See how we were called. case "$1" in start) iptables_init
# Limit Packets- helps reduce dos/syn attacks # original do nothing line #/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 10/sec # the correct one, but the negative '!' do nothing...
cxxxv #/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit ! --limit 10/sec -j DROP
# Fix for braindead ISP's /sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# CUSTOM chains, can be used by the users themselves /sbin/iptables -N CUSTOMINPUT /sbin/iptables -A INPUT -j CUSTOMINPUT /sbin/iptables -N CUSTOMFORWARD /sbin/iptables -A FORWARD -j CUSTOMFORWARD /sbin/iptables -N CUSTOMOUTPUT /sbin/iptables -A OUTPUT -j CUSTOMOUTPUT /sbin/iptables -t nat -N CUSTOMPREROUTING /sbin/iptables -t nat -A PREROUTING -j CUSTOMPREROUTING /sbin/iptables -t nat -N CUSTOMPOSTROUTING /sbin/iptables -t nat -A POSTROUTING -j CUSTOMPOSTROUTING
# filtering from GUI /sbin/iptables -N GUIINPUT /sbin/iptables -A INPUT -j GUIINPUT
# Accept everything connected /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# traffic from ipsecX/tun/tap interfaces, before "-i GREEN_DEV" accept everything /sbin/iptables -N IPSECVIRTUAL /sbin/iptables -N OPENSSLVIRTUAL /sbin/iptables -A INPUT -j IPSECVIRTUAL /sbin/iptables -A INPUT -j OPENSSLVIRTUAL /sbin/iptables -A FORWARD -j IPSECVIRTUAL /sbin/iptables -A FORWARD -j OPENSSLVIRTUAL
# localhost and ethernet. /sbin/iptables -A INPUT -i lo -m state --state NEW -j ACCEPT /sbin/iptables -A INPUT -s 127.0.0.0/8 -m state --state NEW -j DROP # Loopback not on lo /sbin/iptables -A INPUT -d 127.0.0.0/8 -m state --state NEW -j DROP /sbin/iptables -A FORWARD -i lo -m state --state NEW -j ACCEPT /sbin/iptables -A FORWARD -s 127.0.0.0/8 -m state --state NEW -j DROP /sbin/iptables -A FORWARD -d 127.0.0.0/8 -m state --state NEW -j DROP /sbin/iptables -A INPUT -i $GREEN_DEV -m state --state NEW -j ACCEPT -p ! icmp /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT
cxxxvi # If a host on orange tries to initiate a connection to IPCop's red IP and # the connection gets DNATed back through a port forward to a server on orange # we end up with orange -> orange traffic passing through IPCop [ "$ORANGE_DEV" != "" ] && /sbin/iptables -A FORWARD -i $ORANGE_DEV -o $ORANGE_DEV -m state --state NEW -j ACCEPT
# allow DHCP on BLUE to be turned on/off /sbin/iptables -N DHCPBLUEINPUT /sbin/iptables -A INPUT -j DHCPBLUEINPUT
# IPsec /sbin/iptables -N IPSECPHYSICAL /sbin/iptables -A INPUT -j IPSECPHYSICAL
# OpenSSL /sbin/iptables -N OPENSSLPHYSICAL /sbin/iptables -A INPUT -j OPENSSLPHYSICAL
# WIRELESS chains /sbin/iptables -N WIRELESSINPUT /sbin/iptables -A INPUT -m state --state NEW -j WIRELESSINPUT /sbin/iptables -N WIRELESSFORWARD /sbin/iptables -A FORWARD -m state --state NEW -j WIRELESSFORWARD
# RED chain, used for the red interface /sbin/iptables -N REDINPUT /sbin/iptables -A INPUT -j REDINPUT /sbin/iptables -N REDFORWARD /sbin/iptables -A FORWARD -j REDFORWARD /sbin/iptables -t nat -N REDNAT /sbin/iptables -t nat -A POSTROUTING -j REDNAT
iptables_red
# DMZ pinhole chain. setdmzholes setuid prog adds rules here to allow # ORANGE to talk to GREEN / BLUE. /sbin/iptables -N DMZHOLES if [ "$ORANGE_DEV" != "" ]; then /sbin/iptables -A FORWARD -i $ORANGE_DEV -m state -- state NEW -j DMZHOLES fi
# XTACCESS chain, used for external access /sbin/iptables -N XTACCESS /sbin/iptables -A INPUT -m state --state NEW -j XTACCESS
# PORTFWACCESS chain, used for portforwarding /sbin/iptables -N PORTFWACCESS
cxxxvii /sbin/iptables -A FORWARD -m state --state NEW -j PORTFWACCESS
# Custom prerouting chains (for transparent proxy and port forwarding) /sbin/iptables -t nat -N SQUID /sbin/iptables -t nat -A PREROUTING -j SQUID /sbin/iptables -t nat -N PORTFW /sbin/iptables -t nat -A PREROUTING -j PORTFW
# Custom mangle chain (for port fowarding) /sbin/iptables -t mangle -N PORTFWMANGLE /sbin/iptables -t mangle -A PREROUTING -j PORTFWMANGLE
# Postrouting rules (for port forwarding) /sbin/iptables -t nat -A POSTROUTING -m mark --mark 1 -j SNAT \ --to-source $GREEN_ADDRESS if [ "$BLUE_DEV" != "" ]; then /sbin/iptables -t nat -A POSTROUTING -m mark --mark 2 -j SNAT --to-source $BLUE_ADDRESS fi if [ "$ORANGE_DEV" != "" ]; then /sbin/iptables -t nat -A POSTROUTING -m mark --mark 3 -j SNAT --to-source $ORANGE_ADDRESS fi
# run local firewall configuration, if present if [ -x /etc/rc.d/rc.firewall.local ]; then /etc/rc.d/rc.firewall.local start fi
# last rule in input and forward chain is for logging. /sbin/iptables -A INPUT -m limit --limit 10/minute -j LOG --log-prefix "INPUT " /sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT " ;; stop) iptables_init # Accept everyting connected /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# localhost and ethernet. /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -i $GREEN_DEV -m state --state NEW - j ACCEPT
if [ "$RED_DEV" != "" -a "$RED_TYPE" == "DHCP" -a "$IFACE" != "" ]; then /sbin/iptables -A INPUT -p tcp --source-port 67 -- destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A INPUT -p udp --source-port 67 -- destination-port 68 -i $IFACE -j ACCEPT fi
cxxxviii if [ "$PROTOCOL" == "RFC1483" -a "$METHOD" == "DHCP" -a "$IFACE" != "" ]; then /sbin/iptables -A INPUT -p tcp --source-port 67 -- destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A INPUT -p udp --source-port 67 -- destination-port 68 -i $IFACE -j ACCEPT fi
# run local firewall configuration, if present if [ -x /etc/rc.d/rc.firewall.local ]; then /etc/rc.d/rc.firewall.local stop fi
/sbin/iptables -A INPUT -m limit --limit 10/minute -j LOG --log-prefix "INPUT " /sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT " ;; reload) iptables_red
# run local firewall configuration, if present if [ -x /etc/rc.d/rc.firewall.local ]; then /etc/rc.d/rc.firewall.local reload fi ;; restart) $0 stop $0 start ;; *) echo "Usage: $0 {start|stop|reload|restart}" exit 1 ;; esac exit 0
cxxxix cxl 1
PENERAPAN STATEFUL FIREWALL PADA ARSITEKTUR DUAL- HOMED HOST (STUDI KASUS : PT PLN (PERSERO) APL MAMPANG)
Arini, Victor Amrizal Ariefati Wiratama Teknik Informatika, Universitas Islam Negri Syarif Hidayatullah, Jakarta
ABSTRAKSI Keamanan jaringan merupakan kebutuhan yang penting bagi personal terlebih lagi perusahaan. Minimnya fungsi dari personal firewall dan mahalnya sebuah hardware firewall ini lah yang menjadi kendala dalam penerapan suatu firewall. IPCop merupakan suatu statefull firewall yang memfilter dari layer transport sampai layer application. IPCop diterapkan pada arsitektur firewall dual-homed host yang menggunakan sedikitnya 2NIC pada sebuah PC. IPCop, juga bertindak sebagai proxy yang transparan sebagai gateway untuk mengakses layanan internet dan melakukan access-control kepada user. Di dalam penelitian ini pembangunan sistem terdiri dari beberapa elemen yang mendefinisikan fase, tahapan, langkah, atau mekanisme proses spesifik. Tahapan dalam pembangunan ini terdiri dari analisis, desain, simulasi prototipe, pengamatan/monitoring, dan manajemen. Firewall diuji dengan akses konten internet yang diblokir dan port scanning. Hasil pengujian menunjukkan bahwa penerapan statefull firewall yang menggunakan arsitektur dual-homed host pada PT.PLN(PERSERO) APL Mampang dapat berjalan dengan baik sebagai firewall yang mudah dikonfigurasi untuk mengamankan jaringan.
Kata kunci : stateful firewall, dual-homed host, IPCop
I. Pendahuluan Keberadaan personal firewall yang A. Latar Belakang terdapat pada sistem operasi Windows atau Keamanan jaringan komputer sudah software aplikasi pihak ketiga, memiliki menjadi faktor yang penting dan efek negatif dalam penggunaan resource dibutuhkan pada suatu instansi maupun yang cukup besar dan dapat membebani perorangan untuk melindungi aset-aset jalannya sistem operasi. Selain itu informasi yang dimiliki. penggunaan firewall yang berupa Banyaknya ancaman pada jaringan hardware pun memiliki harga yang relatif komputer memerlukan adanya suatu cukup mahal untuk diimplementasikan. pelindung atau dinding pengaman yang Oleh karena itu digunakanlah IpCop dapat melindungi jaringan tersebut. Salah yang merupakan suatu sistem operasi satu bentuk pengamanan adalah dengan distribusi Linux yang diperuntukkan menggunakan firewall sebagai pelindung khusus sebagai firewall dengan terluar dari infrastruktur jaringan komputer menggunakan hardware PC. Firewall ini lokal terhadap keluar-masuknya data dikonfigurasi melalui remote access dalam jaringan komputer lokal yang dengan interaksi melalui antarmuka berhubungan dengan internet. berbasis web dan bekerja dengan melakukan pengontrolan, pengaturan dan 2
pembatasan terhadap hak akses user yang bersifat transparan (tidak terliihat) dari terhubung ke internet. untuk meningkatkan pengguna dan menggunakan teknologi kualitas keamanan jaringan komputer. routing untuk menentukan paket mana B. Tujuan yang diizinkan dan mana paket yang akan Tujuan dari penulisan skripsi ini adalah ditolak. Menerapkan sistem firewall berbasis open C. Stateful Firewall source yang ekonomis dalam Sateful Firewall merupakan sebuah mengamankan jaringan dengan Firewall yang menggabungkan memberikan kemudahan untuk melakukan keunggulan yang ditawarkan oleh packet- manjemen dan pengaturan access-control filtering Firewall, NAT Firewall, Circuit- sebagai usaha meningkatkan keamanan Level Firewall dan Proxy Firewall dalam jaringan pada perusahaan. satu sistem. C. Batasan Masalah Statefull Firewall dapat melakukan Fokus penulisan skripsi ini adalah filtering terhadap lalu lintas berdasarkan Mengimplementasikan sebuah network karakteristik paket, seperti halnya packet- firewall berbasis open source filtering Firewall, dan juga memiliki menggunakan distribusi IPCop, adapun pengecekan terhadap sesi koneksi untuk pengujian terhadap firewall dilakukan meyakinkan bahwa sesi koneksi yang dengan menggunakan port scanning attack terbentuk tersebut diizinkan. dan pengujian URL atau text-content. Tidak seperti Proxy Firewall atau Circuit Level Firewall, Stateful Firewall II. Landasan Teori pada umumnya didesain agar lebih A. Pengertian Firewall transparan (seperti halnya packet-filtering Firewall merupakan perangkat Firewall atau NAT Firewall). Akan tetapi, jaringan yang dibangun dari software, stateful Firewall juga mencakup beberapa hardware, atau kombinasi dari keduanya aspek yang dimiliki oleh application level yang berada diantara dua segmen jaringan Firewall, sebab ia juga melakukan berbeda, dan bertugas memeriksa traffic inspeksi terhadap data yang datang dari data yang mengalir melewatinya dengan lapisan aplikasi (application layer) dengan menggunakan sejumlah kriteria kebijakan menggunakan layanan tertentu. keamanan untuk menentukan apakah akses traffic dapat diizinkan untuk melewati firewall dan memasuki sistem jaringan atau tidak. B. Pengertian Network Firewall Network Firewall didesasin untuk melindungi jaringan secara keseluruhan dari berbagai serangan. Umumnya dijumpai dalam dua bentuk, yakni sebuah perangakat terdedikasi atau sebagi sebuah perangkat lunak yang diinstalasikan dalam sebuah server. Network Firewall secara umum memiliki bebrapa fitur utama, yakni apa Gambar 1 Stateful Firewall dilihat pada yang dimiliki oleh personal firewall lapisan OSI (packet filter firewall dan stateful D. Arsitektur Dual-Homed Host firewall), Circuit Level Gateway, Arsitektur yang menempatkan satu Application Level Gateway, dan juga NAT mesin untuk berperan sebagai firewall firewall. Network firewall umumnya yang ditempatkan diantara dua segmen 3
jaringan berbeda. Arsitektur ini disebut yang terdiri dari enam tahapan proses Multiple-Purpose Boxes (satu mesin spesifik. dengan banyak fungsi) Fase-fase yang digunakan adalah : Dalam penerapannya dibangun dari 1. Analisis dual-homed host yaitu computer yang 2. Desain (Perancangan) menggunakan sedikitnya dua unit NIC 3. Simulasi Prototipe untuk menghubungkan dua atau lebih 4. Implementasi segmen jaringan berbeda. 5. Monitoring 6. Manajemen Fase-fase tersebut nantinya akan saling berkelanjutan dan secara terus menerus digunakan untuk mendapatkan sebuah struktur jaringan yang tepat guna dan efisien serta dinamis dalam menghadapi perubahan-perubahan kebutuhan dalam struktur jaringan perusahaan.
Gambar 2 Arsitektur Dual-Homed Host
Manage III. Metode Penelitian Untuk memperoleh data dan informasi yang diperlukan dalam penelitian ini, ada Monitori Simulatio beberapa metode yang penulis lakukan n diantaranya : Impleme A. Metode Pengumpulan Data a. Studi Lapangan. Melalui observasi Gambar 3 Siklus Pembangunan Sistem atau pengamatan langsung, penulis dapat menemukan berbagai data yang dibutuhkan dalam melakukan IV. Hasil dan Pembahasan penelitian. A. Analisis b. Studi Pustaka. Metode ini dilakukan Penulis melakukan analisis terhadap dengan penelusuran dan kebutuhan sistem firewall yang akan pembelajaran melalui media diterapkan pada tempat penelitian secara kepustakaan seperti buku, makalah, keseluruhan, baik dari perangkat keras literature, websites yang berkaitan (hardware) maupun perangkat lunak dengan keamanan jaringan, firewall (software) dan IPCop yang berbasis open Hasil analisis yang dilakukan dapat source untuk menambah disimpulkan sebagai berikut : pengetahuan terhadap sistem yang a. Belum terdapat alat keamanan jaringan akan diterapkan. yang berupa network firewall. c. Studi Literatur. Metode ini dilakukan b. Anggaran untuk membeli hardware dengan membandingkan penelitian firewall yang terbatas. sebelumnya atau penelitian yang c. Menggunakan firewall open source sejenis dengan penelitian yang berbasi Linux yang ekonomis dan sekarang dilakukan. mudah dalam penerapannya. B. Metode Pembangunan Sistem d. Firewall yang digunakan berjenis Pembangunan sistem yang dilakukan stateful, yang dapat berjalan sebagai pada penelitian ini merupakan suatu siklus web proxy dan DHCP server. 4
e. Penggunaan jenis arsitektur firewall bertujuan agar segala macam aktifitas yang dual-homed host yang menggunakan melewatinya dapat terawasi dan tercatat, duah buah NIC sebagai pencerminan sehingga kita dapat menetukan policy atau dua buah interface pada IPCop. pengaturan kebijakan berdasarkan f. Penerapan dilakukan dengan informasi yang juga tercatat pada IpCop menggunakan topologi extended- tersebut. star(hybrid), tanpa mengubah struktur asli jaringan. Setelah topologi berjalan dengan baik dan kenektivitas antar komponen jaringan B. Penerapan Firewall telah terhubung, kita terlebih dahulu Sebelum dilakukan instalasi dan melakukan instalasi sistem operasi firewall konfigurasi, terlbih dahulu dilakukan yang digunakan, yaitu IPCop. Penggunaan desain mengenai topologi estended-star sistem operasi ini didasari pada yang digunakan. kemudahan dan kemampuannya dalam menyediakan layanan firewall yang baik dan cocok untuk diterapkan pada tempat penelitian. Konfigurasi yang dilakuakan pada saat implementasi sistem operasi adalah : 1. Konfigurasi Interface Green : Konfigurasi dilakukan pada interface Eth0 yang berfungsi sebagai interface Green pada IPCop dengan menggunakan alamat IP yang sudah berjalan pada tempat penelitian. 2. Konfigurasi Interface Red : Konfigurasi dilakukan pada interface Eth1 yang berfungsi sebagai interface Red pada Gambar 5. Desain topologi IPCop dengan menggunakan alamat IP yang berbeda dengan interface Green, Setelah dilakukan perancangan toplogi dan terhubung dengan jaringan maka penelitian dimulai dengan eksternal dalam hal ini adalah internet. menerapkan infratruktur jaringan yang 3. Konfigurasi DHCP Server: DHCP sudah dilakukan penambahan pada server diaktifkan untuk memberikan topologi awalnya. Firewall yang alamat IP secara dinamis kepada user diterapkan memiliki dua buah NIC yang terhubung dengan jaringan (Network Interface Card), NIC yang komputer yang kita miliki. Layanan ini pertama sebagai Eth0 terkoneksi dengan merupakan fitur standard yang dimiliki jaringan internal melalui switch, NIC yang oleh IPCop firewall. Sehingga kedua sebagai Eth1 dan terkoneksi dengan manfaatnya adalah setiap user nantinya modem ADSL. tidak harus mengisikan alamat IP Yang memegang peranan penting apabila baru trhubung dengan jaringan. pada sistem ini tentunya terletak pada mesin firewall yang yang telah terpasang Konfigurasi yang dilakukan pasca sistem operasi IpCop yang berfungsi instalasi sistem operasi digunakan dengan sebagai firewall dan juga router gateway mengakses web interface yang dimiliki untuk melakukan semua aktifitas yang oleh IPCop. Sebelum melakukan masuk (inbound) dan aktifitas keluar konfigurasi tersebut, terlebih dahulu kita (outbound). Penempatan IpCop disini melakukan remote connection melalui 5
SSHAccess dari komputer client untuk Pada konfigurasi URL Filtering kita melakukan penyalinan file add-ons akan melakukan proses filtering dengan kedalam mesin firewall. Pada penelitian memblokir nama domain yang tidak boleh ini penulis menggunakan add-ons diakses oleh client, juga kita dapat Advance-Proxy dan URL-Filtering. melakukan content filtering terhadap kata- kata yang dapat digunakan untuk mengakses website yang dilarang atau berbahaya.
C. Pengujian dan Monitoring. Dalam tahap ini, dilakukan monitoring terhadap firewall yang telah berjalan pada infrastruktur jaringan. a. Monitoring DHCP Server dan Status Dalam tahapan ini kita akan melihat apakah DHCP Server sudah berjalan dengan baik dan dapat memberikan Gambar 6. Konfigurasi Advance Proxy alamat IP kepada semua client yang terhubung kedalam jaringan dan status Advance Proxy melakukan proses firewall atau service yang sedang proxy pada firewall IPCop, dalam hal ini berjalan. kita dapat melakukan filtering atau access b. Pengujian Firewall control list terhadap alamat IP yang Pada tahap pengujian ini, penulis akan diizinkan atau ditolak duntuk melakukan melakukan beberapa pengujian akses terhadap layanan web atau HTTP. terhadap firewall IPCop yang sudah Pengaturan terhadap port yang diizinkan diterapkan dan berjalan pada struktur untuk diakses juga dilakukan pada jaringan pada tempat penelitian, yaitu halaman Advance-Proxy ini dalam web APL PLN Mampang. Pengujian interface IPCop. dilakukan untuk melihat sejauh mana tingkat keamanan dari firewall IPCop tersebut. Pengujian awal dilakukan untuk melihat funsionalitas dasar dari layanan yang disediakan oleh IPCop secara default, yaitu melakukan disable PING atau pengiriman paket ICMP menuju kedua nterface pada IPCop.
Gambar 7. Konfigurasi URL Filtering Gambar 8. Pengujian disable PING 6
c. Pengujian IDS pada Firewall melindungi jaringan komputer yang Setelah kita melihat kinerja firewall kita miliki. dalam melakukan pemblokiran b. Network firewall yang diterapkan terhadap paket ICMP dan layanan dengan tipe stateful firewall dapat HTTP atau pengaksesan web yang berjalan dengan baik pada arsitektur melewati proxy, kita akan melihat firewall dual-homed host dengan funsionalitas IDS yang diaktifkan hardware yang ada dan cukup handal apakah dapat mendeteksi salah satu dalam menangani keamanan pada contoh serangan terhadap firewall jaringan yaitu dengan menggunakan bantuan c. Pengaturan yang tepat pada firewall NMAP port scanning tool dalam IPCop dalam melakukan monitoring, melakukan penetrasi ke salah satu manajemen, dan administrasi melaui interface pada firewall IPCop. interface web dapat mempermudah administrator jaringan untuk meminimalisir gangguan yang terjadi. d. Komponen Add-Ons yang berbasis proxy dan Intrusion Detection System telah berhasil berjalan dengan baik sebagai perantara bagi client untuk mengakses layanan internet dan IDS dapat mendeteksi aktivitas yang terjadi Gambar 9. Port Scanning dan mampu untuk meningkatkan menggunakan NMAP keamanan jaringan yang dimiliki oleh perusahaan Setelah melakukan scanning yang dilakukan dengan bantuan NMAP, kita akan melihat pada tab IDS log yang VI. Daftar Pustaka terdapat pada menu interface IPCop [1] Ariyus, Dony, Computer Security, untuk melihat apakah IDS dapat Andi, Yogyakarta, 2006. mendeteksi proses port scanning. [2] Ariyus, Dony, Intrusion Detection System, Andi, Yogyakarta, 2007. [3] Brenton, Chris dan Hunt, Cameron, Network Security. PT Elex Media [4] Komputindo, Jakarta, 2005.
[5] Cisco Official Website, “Internetworking Technology Gambar 10. IDS Log Handbook”. http://www.cisco.com/univercd/cc/td/d oc/cisintwk/itc_doc/introwan.htm, V. Kesimpulan diakses tanggal 28 Oktober 2009, Dari hasil penerapan dan pengukuran, 13.51 WIB. dapat disimpulkan bahwa : [6] Dempster, Barrie dan James, Eaton- a. Penerapan network firewall berbasis Lee, Configuring IPCop Firewalls, open source pada infrastruktur jaringan Packt Publishing, Birmingham, 2006. yang telah ada dengan mengekspansi toplogi jaringan tersebut mampu untuk 7
[7] Farununuddin, Rakhmat, Membangun [18] RFC 2616, 1999, HTTP/1.1.179, Firewall dengan IPTables di Linux, hlm. Elex Media Komputindo, Jakarta, http://www.ietf.org/rfc/rfc2616.txt, 2006. diakses tanggal 26 Oktober 2009, pk.11.46 WIB [8] Feibel, Werner, Encyclopedia of Networking, Second Edition, SYBEX [19] Stallings, William, Komunikasi Inc, California, 1996. Data dan Komputer: Jaringan Komputer, Terj dari Data and [9] Fyodor, Remote OS Detection Via Computer Communications, Six TCP/IP Stack Finger Printing, 1998. Edition, oleh Thamir Abdul Hafedh http://www.insecure.org/nmap/nmap- Al-Hamdany, Salemba Teknika, fingerprint-article.txt, diakses tanggal Jakarta, 2000. 26 Oktober 2009, 09.21 WIB [20] Strebe, Matthew dan Charles [10] Goldman, James E dan Rawles, Perkins, Firewall 24 Seven, Second Philip T, Applied Data Edition, SYBEX Inc, California, 2002. Communications: A Business Oriented Approach Thrid Edition, Wiley [21] Syafrizal, Melwin, Pengantar John&Sons, Inc, New York, 2001. Jaringan Komputer. Andi ,Yogyakarta, 2006. [11] Kamus Besar Bahasa Indonesia, Yudhistira, Jakarta, 2008. [22] Tanenbaum, Andrew S, Computer Network, Fourth Edition, Prentice [12] Komar, Brian, Ronald Hall, Inc, New Jersey, 2003. Beekelaar&Joern Wettern, Firewalls For Dummies, Second Edition, Wiley [23] Virtual Box website. About Virtual Publishing Inc, Indiana, 2003. Box. http://www.virtualbox.org/, diakses tanggal 15 Oktober 2010, [13] Nazir, Moh, Metode Penelitian, 14.35 Ghalia Indonesia, Jakarta, 2003. [24] Wahana Komputer, Konsep [14] Oetomo, Budi Sutedjo Dharma Jaringan Komputer dan dkk, Konsep dan Aplikasi Pengembangannya, Salemba Infotek, Pemrograman Client Server dan Jakarta, 2003. Sistem Terdistribusi, Andi, Yogyakarta, 2006. [25] Zwicky, Elizabeth D, Simon Cooper & D. Brent Chapman, Building [15] Ogletree, Terry William, Practical Internet Firewall, Second Edition, Firewalls, Que Publishing, Canada, O’Reilly Publishing, California, 2000. 2000 [16] Pressman, Roger S, “Rekayasa Perangkat Lunak: Pendekatan Praktisi (Buku Satu)”. Terj. Dari Software Engineering: A Practitioner’s Approach , oleh L. N. Harnaningrum, Andi, Yogyakarta, 1997. [17] Purbo, Onno W. Buku Pegangan Pengguna ADSL dan Speedy, Elex Media Komputindo, Jakarta, 2006.