ANALISIS PENERAP AN FIREWALL SEBAGAI SISTEM KEAMANAN JARINGAN PADA PT. PLN (Persero) PENYALURAN DAN PUSAT PEN GATUR BEBAN Jawa - Bali (P3B)
Ahmad Fauzie
FAKULTAS SAINS DAN TEKNOLOGI UNIVERSITAS ISLAM NEGERJ! SYARIF HIDAYATULLAH JAKARTA 1425 HI 2004 M
ANALISIS PENERAP AN FIREWALL SEBAGAI SISTEM KEAMANAN .JARINGAN PADA PT. PLN (PerserQ) PENYALURAN DAN PUSAT PENGATUR BEBAN Jawa - Bali (P3B)
Oleh: Ahmad Fauzie 0072020172
Skripsi Sebagai Salah Satu Syarat untuk Memperoleh Gelar Sarjana Komputer
Fakultas Sains dan Teknologi Universitas Islam Negeri SyarifHidayatullah Jakarta
FAKULTAS SAINS DAN TEKNOLOGI UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA 1425 HI 2004 M
ANALISIS PENERAP AN FIREWALL SEBAGAI SISTEM KEAMANAN ,JARINGAN PADA PT. PLN (Persero) PENYALURAN DAN PUSAT PENGATUR BEBAN Jawa - Bali (P3B)
Skripsi Sebagai Salah Satu Syarat untuk Memperoleh Gelar Saijana Komputer Pada Fakultas Sains dan Teknologi
oleh Ahmad Fauzie 0072020172
Menyetujui Pembimbing I
DR. Syopians ah Jaya Putra, M.Sis NIP. 150 317 965
Mengetahui, J urusan TI/SI
Amir Dahlan, S.T, M.T
JURUSAN TEKNIK INFORMATIKA DAN SISTEM INFORMASI FAKULTAS SAINS DAN TEKNOLOGI UIN SYARIF HIDAYATULLAI-I JAKARTA Dengan ini menyatakan bahwa Skripsi yang ditulis oleh : Nama
Ahmad Fauzie
NIM
0072020172
Program Studi Judul Skripsi
: Teknik lnformatika Analisis
Penerapan
Keamanan
Jaringan
Firewall Pada
Sebagai
PT.
PLN
Sistem (Persero)
Penyaluran Dan Pusat Pengatur Beban Jawa - Bali (P3B) Dapat diterima sebagai syarat kelulusan untuk memperoleh gelar Sarjana Komputer .Turusan Teknik lnformatika, Fakultas Sains dan Teknologi UIN Syarif I-Iidayatullah Jakarta. Jakarta, 16 Juli 2004 Menyetujui, Dasen Pembimbing Pembimbing II,
Pembimbing I,
· .·, \~ . . J~ (····<~. f:\"'--'/
DR Syopi"!' hy' Pom., M S" NIP: 150 317 956
Am~afil~~' ST, M.Kom
Mengetalmi, Ketua Jurnsan
Jaya Putra, M.Sis 17 956
Ir. Bak1i La Katjong, M.T, M.Kom NIP. 470 035 764
PERNYATAAN DENGAN !NI SAYA MENYATAKAN BAHWA SKRIPSI IN! BENARBENAR HASIL KARY A SENDIRI YANG BELUM PERNAH DIAJUKAN SEBAGAI SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI ATAU LEMBAGA MANAPUN.
Jakarta, Juli 2004
AHMAD FAUZIE 0072020172
ABSTRAK AHMAD FAUZIE, Analisis Penerapan Firewall Sebagai Sistem Keamanan Jaringan Pada PT. PLN (Persero) Penyaluran dan Pusat Pengatur Beban Jawa-Bali (P3B). (Di bawah bimbingan SYOPIANSAH JAYA PUTRA dan AMIR DAHLAN).
Teknologi jaringan komputer berkembang dengan sangat pesat, bahkan dengan hadirnya internet yang secara teknis tidak terhalang oleh jarak dan waktu, sehingga proses komunikasi dan pertukaran data dapat dilakukan dengan mudah. Tetapi akibat dari perkembangan teknologi tersebut telah mengarah kepada suatu eksploitasi lubang keamanan sistem jaringan komputer. Hal ini dapat menjadi masalah yang besar apabila tidak ditangani dengan benar, karena dengan tereksploitasinya lubang keamanan, maka pengguna yang tidak berhak dapat dengan mudah melakukan kejahatan-kejahatan dalam dunia cyber yang dikenal dengan sebutan Cyber Crime, seperti snijjing, spoofing, DoS Attack dan lainnya yang dapat dikategorikan sebagai kejahatan dalam dunia maya. Skripsi ini menitik beratkan permasalahan pada analisa penerapan firewall sebagai sebuah sistem keamanan jaringan komputer pada PT. PLN (Persero) Penyaluran dan Pusat Pengatur Beban Jawa-Bali (P3B) Sub Bidang Tl. Diharapkan dapat memberikan suatu pengettian tentang p1~ranan firewall dalam mengamankan jaringan lokal terhadap kemungkinan serangan dari pihak-pihak yang tidak bertanggung jawab. Proses analisa dilakukan melalui langkah-langkah yang sistematis dan ada tiga parameter yang menjadi landasan dalam menarik kesimpulan yaitu port dalam keadaan stealth, close dan open. Prosesnya dilakukan melalui situs-situs internet yang menyediakan layanan probing dan scanning port seperti grc.com, Symantec.com dan veniceflorida.com, sehingga dihasilkan suatu analisis yang dapat menggambarkan suatu sistem keamanan komputer secara deskriptif dan menyeluruh. Basil probing dan scanning yang telah dilakukan didapatkan hasil portport yang sangat penting dan rawan akan terjadinya penerobosan oleh para cracker berada dalam kondisi stealth, yang bermti bahwa port-port tersebut dalam keadaan sangat baik dan sulit bagi para cracker untuk menembusnya. Dari hasil analisa yang didapat dapat ditarik suatu kesimpulan bahwa dengan menerapkan Iptables sebagai firewall sudah dapat mengamankan sistem jaringan komputer. Tetapi ha! mt juga tergantung dari kecakapan Administrator jaringan dalam mengkonfigurasikan firewall. Untuk lebih meningkatkan keamanan jaringan, sebaiknya Administrator jaringan harus sering memperbaharui sistem keamanan jaringan yang telah ada serta menambahkan beberapa aplilrnsi keamanan jaringan, terus memantau se1ia mencari kelemahan-kelemahan yang terdapat pada' sistem keamanan jaringan yang dikelolanya, sehingga akan didapat sistej11 keamanan \~''· jaringan yang benar-benar handal.
KATA PENGANTAR
Dengan
memanjatkan puji serta syukur kehadirat Allah SWT,
Alhamdulillah atas rahmat dan hidayah-Nya yang telah dilimpahkan sehingga penulis dapat menyelesaikan penulisan skripsi ini. Penulisan skripsi ini bertujuan untuk memenuhi persyaratan akademik pada Fakultas Sain dan Teknologi Jurusan Teknik Informatika Universitas Islam Negeri Syarif Hidayatullah Jakarta untuk memperoleh gelar sarjana SI pada bidang teknik informatika. Penulis menyadari bahwa materi maupun cam penyajian penulisan skripsi ini jauh dari sempurna. Oleh karena itu penulis sangat mengharapkan kritik dan saran yang membangun guna memperbaiki kekurangan-kekeurangan yang ada pada penulisan skripsi ini. Berkenaan dengan selesainya penulisan skripsi ini, malca dengan rasa syukur serta hormat penulis mengucapkan terimakasih pada semua pihak yang telah memberikan bantuan, bimbingan, dan pengarahan se1ta dukungan moril dan materil. Dan dalam kesempatan ini penulis mengucapkan terimakasih yang sebesar-besarnya kepada:
I. Bapak Ir. Bakri Lakatjong, M.T, M.Kom selaku Ketua Jurusan Teknik Informatika Universitas Islam Negeri Syarif Hidayatullah Jakarta. 2. Bapak DR. Ir. Syopiansyah Jaya Putra, M.Sis, selaku Dekan Fakultas Sain dan teknologi Universitas Islam Negeri Syarif Hidayatullah Jakmta dan Dasen Pembimbing I.
3. Bapak Amir Dahlan, S.T, M.T, selaku Dosen Pembimbing II 4. Bapak Ir. Karmen Tarigan, Manager TI PT. PLN P3B. 5. Bapak Ir. Wiyono, selaku pembin1bing dari PT. PLN P3B. 6. Bapak Ir. Eris, selaku pembimbing dari PT. PLN P3B. 7. Bapak Hasan dan Bapak Didi, terimakasih atas fasilitas yang diberikan. 8. Ayahanda tercinta, Bapak H. Jayadi dan Ibunda tersayang, !bu Hj. Marwani yang telah memberikan kasih sayang yang tiada hingga dan do'a kan ananda selalu. 9. Kakak-kakakku serta adik-adikku tercinta terimakasih atas segala dukungan dan semangat serta canda yang selalu memberikan inspirasi. I 0. Ka wan karibku Riza, Fachri, Arif dan kawan yang lain yang tidak bisa saya sebutkan satu persatu, saya ucapkan terimakasih atas segala canda dan tawanya serta saran dan kritiknya. Akhir kata, penulis berharap penulisan skripsi ini dapat bermanfaat bagi semua pihak terutama kawan-kawan Teknik Informatika UIN Syarif Hidayatullah Jakarta, baik sebagai bahan karya tulis berupa informasi, perbandingan maupun dasar untuk penelitian lebih lanjut.
Jakarta, Juli 2004
Pennlis
DAFTARISI
ABSTRAK ..................................................................................................... i KAT A PENGANTAR ..................................................................................... ii DAFTAR 181 ................................................................................................... iv DAFTAR TABEL .......................................................................................... x DAFTAR GAMBAR ...................................................................................... xi DAFTAR LAMPIRAN ................................................................................... xii BAB I
PENDAHULUAN .......................................................................... 1 1. 1 Latar Belakang Masalah ........................................................... 1 1.2 Pernmusan Masalah .................................................................. 3 1.3 Pembatasan Masalah ................................................................ 4 1.4 Tujuan dan Kegunaan Penulisan .............................................. 4 1.4.1
Tujuan Penulisan.......................................................... 4
1.4.2
Kegunaan Penulisan ..................................................... 4
1.5 Metodologi Penulisan .............................................................. 5 1.6 Sistematika Penulisan .............................................................. 6 BAB II
TINJAUAN PUSTAKA ................................................................ 8 2.1 Teori Sistem Keamanan Jaringan Komputer.............................. 8 2.1.1
Pengertian sistem keamanan jaringan komputer............. 8
2.1.2
Maksud dan tujuan digunakannya networking security .. 8
2.2 Aspek-aspek Dalam Keamanan Komputer ................................ 9 2.2.1
Privacy/Confidentiality.................................................. 9
2.2.2
Integrity ........................................................................ 10
2.2.3
Authentication ............................................................... 10
2.2.4
Availability................................................................... 10
2.2.5
Access control............................................................... 11
2.2.6
Non-repudiation............................................................ 11
2.3 Beberapa Cara Pengamanan Jaringan Komputer ....................... 11 2.3.1
Mengatur akses (access control) .................................... 11
2.3.2
Menutup servis yang tidak digunakan ............................ 12
2.3.3
Memasang proteksi ....................................................... 12
2.3.4
Pemantau adanya serangan ..................................... :...... 13 2.3.4.1 Perangkat bantu IDS (Intrussion Detection System) .............................................................. 13
2.3.5
Penggunaan Enkripsi untuk meningkatkan Kean1anan ... 14
2.4 Klasifikasi Kejahatan Komputer ........................................ ,...... 15 2.4.1
Keamanan yang bersifat fisik (physical securif)~ ........... 15
2.4.2
Keamanan yang berhubungan dengan orang (personel) . 16
2.4.3
Keamanan dari data dan media serta tek:nik komunikasi 16
2.4.4
Keamanan dalam operasi................. .............................. 17
2.5 Contoh Kasus Gangguan Pada Jaringan Komputer.................... 17 2.6 Masalah Keamanan yang Berhubungan Dengan Indonesia ........ 18 2. 7 Teori Tentang Jaringan ............................................................. 20 2.7.1
Host-Terminal ............................................................... 20
2. 7.2
Client Server................................................................. 20
2.7.3
Peer to Peer ................................................................... 21
2.7.4
LAN (Local Area Network) ........................................... 21
2. 7 .5
WAN (Wide Area Network)........................................... 22
2.7.6
Internet. .......................................................................... 22
2.7.7
Intranet.. ........................................................................ 22
2.8 Penamaan Alamat IP (Logical Address) .................................... 23 2. 8.1
Pembagian kelas IP........................................................ 23
2.8.2
Subnetting ..................................................................... 24
2.9 Model Referensi OSI dan Standarisasi ................... ................. 25 2.10 Port .......... ~ .............................................................................. 26 2. I 0.1 Definisi port................................................................. 27 2.10.1. l Definisi port yang diambi! dari situs http://www.redhat.com ................................. 27
2.10.1.2 Definisi port berdasarkan situs http://www.securityresponse.symantec.com 28
2.11 Sejarah dan Konsep IPTABLES .............................................. 29 2.11.1 Keunggulan pada IPTABLES ...................................... 30 BAB III METODOLOGI PENELITIAN ...... ................................................ 31 3 .1 Analisa Teknis .................................................. ....................... 31 3.1.1
Installing Iptables .......................................................... 31 3.1.1.1 Perjalanan paket yang diforward ke host yang Lain ................................................................... 33 3.1.1.2 Perjalanan paket yang ditujukan bagi host lokal 34
3 .1.1.3 Perjalanan paket yang berasal dari host lokal ... 34 3.1.1.4 Sintaks IPTables .............................................. 35 3.1.1.4.1
Table ............................................... 35
3.1.1.4.2
Command ....................................... 36
3.1.1.4.3
Option ............................................. 36
3.1.1.4.4
Generic Matches ............................. 36
3.1.1.4.5
Implicit Matches ............................. 36
3.1.1.4.6 TCP Matches .................................. 37 3.1.1.4.7 UDP Matches .................................. 37 3.1.1.4.8
ICMP Matches ................................ 38
3.1.1.4.9
Explicit Matches ............................. 38 3.1.1.4.9.1 MAC Address ................ 39 3.1.1.4.9.2 Multipo11 Matches ......... 39 3.1.1.4.9.3 Owner Matches .............. 39 3.1.1.4.9.4 State Matches ................ 40
3.1.1.4. l 0 Target/Jump .................................... 40 3.1.1.4.11 ParameterTambahan ....................... 41 3.1.1.4.11.1 LOG Target. ................ 41 3. l.1.4.11.2 REJECT Target............ 41 3.1.1.4.11.3 SNAT Target.. ............. 42 3.l.l.4.ll.4DNATTarget. .............. 42 3.1.1.4.11.5 MASQUERADE Target.. ........................ 43
3.1.1.4.11.6 REDIRECT Target ...... 43 3.1.2 Konfigurasi Iptables ...................................................... 44 3.1.3
Testing Konfigurasi ....................................................... 45
3 .1.4
Analisa Hasil.. ............................................................... 45
3.1.5
Usulan Selusi ................................................................ 46
3.2 Teknik Analisa Data ................................................................ 46 BAB IV ANALISA DAN USULAN SOLUSI SISTEM KEAMANAN JARINGAN .................................................................................... 48 4.1 Lokasi Penelitian ..................................................................... 48 4.1.1
Sejarah singkat ............................................................. 48
4.1.2
Perkembangan pernsahaan ............................................ 48 4.1.2. l Visi ................................................................... 49 4.1.2.2 Misi .................................................................. 49
4.1.3 Struktur organisasi .:........................................................ 49 4.2 Karakteristik dan Jenis Firewall yang digunakan ..................... 52 4.2.1
Karakteristik Firewall .................................................... 52
4.2.2
Jenis Firewall yang digunakan ....................................... 53
4.3 Analisis Efektifitas Penggunaan Iptables sebagai sistem pengamananjaringan komputer................................................. 53 4.3. l
Analisa sistem keamanan jaringan menggunakan webtools.grc.com ......... ...... .................. .......... .............. 54
4.3.2
Analisa sistem keamananjaringan menggunakan webtools symantec.com ............................................... 59
4.3.3
Analisa sistem kcamananjaringan menggunakan · webtools veniceflorida.com .......................................... 63
4.4 Usnlan Solnsi .......................................................................... 67 BAB V
KESIMPULAN DAN SARAN ....................................................... 70 5.1 Kesimpnlan ............................................................................... 70 5.2 Saran ........................................................................................ 70
DAFTAR PUSTAKA LAMP IRAN DAFTAR ISTILAH
DAFTAR TABEL
Tabel 1: Pembagian Kelas IP ............................................................................. 23 Tabel 2: Contoh Deskripsi Hasil Pengujian yang Dilakukan .............................. 47
DAFTAR GAMBAR
Gambar I: Konsep Dasar Sebuah Firewall ......................................................... 29 Garnbar 2: Bagan Analisa Teknis ....................................................................... 31 Garnbar 3: Diagram Rantai Firewall (Firewall Chain) ........................................ 32 Garnbar 4: TCP Matches .................................................................................... 37 Garnbar 5: UDP Matches ................................................................................... 38 Gambar 6: ICMP Matches ................................................................................. 38 Gambar 7: Halaman Muka grc.com ................................................................... 54 Gambar 8: Halaman Security Test ..................................................................... 54 Gambar 9: Halaman Autentifikasi Proses ........................................................... 55 Gambar 10: Halaman Pemilihan Port ....................................................... :......... 55 Gambar 11: Halaman Hasil Dari Proses Probing ................................................ 56 Gambar 12: Halaman Analisa Keseluruhan Dari Sistem Keamanan Jaringan ..... 59 Gambar 13: Halaman Probing Port Symantec.com ............................................. 60 Gambar 14: Halaman Analisa Trojan Horse ....................................................... 61 Gambar 15: Halaman Analisa Persentase Kemungkinan Resiko yang Dihasilkan ...................................................................................... 62 Gambar 16: Halaman Hasil Probing ................................................................... 63
DAFTAR LAMPIRAN
Lampiran I: Tabel Hubungan referensi model OSI dengan protokol internet ..... 74 Lampiran 2: Tabel Badan Pekerja di IEEE ......................................................... 76 Lampiran 3: PORT NUMBERS ......................................................................... 77 Lampiran 4: Tabel Forwaded Packets ................................................................. 83 Lampiran 5: Tabel Destination Local Host (our own machine) .......................... 84 Lampiran 6: Tabel Source local host (our own machine) ..................................... 85 Lampiran 7: Tabel Connnand .................................................................. :......... 86 Lampiran 8: Tabel Option .................................................................................. 88 Lampiran 9: Tabel Generic Matches .................................................................. 89 Lampiran 10: Tabel TCP Matches ..................................................................... 90 Lampiran 11: Tabel Target/Jump ....................................................................... 92 Lampiran 12: Tabel ICMP Types .................. :.................................................... 94 Lampiran 13: Contoh Gambar Proses Firewall ................................................... 95 Lampiran 14: Gambar Diagram Proses Filtering Paket. ...................................... 97 Lampiran 15: Rule Script Konfignrasi Iptables .................................................. 98 Lampiran 16: Gambar Jaringan PT. PLN (Persero) P3B .................................... 103 Lampiran 17: Gambar Program Aplikasi Antisniff............................................. 104 Lampiran 18: Gambar Program Aplikasi Attacker ............................................. 105
BABI PENDAHULUAN
1.1 Latar Belakang Masalah
Kehadiran Revolusi Infonnasi sejak dua dasawarsa terakhir yang tidak mengenal batas wilayah kedaulatan suatu negara telah memudahkan kita untuk saling berkomunikasi tanpa halangan apapun. Ditambah lagi dengan telah hadirnya Website-Website yang ikut meramaikan Khazanah teknologi informasi masa kini yang pada gilirannnya dipakai sebagai sarana untuk berkomunikasi, sehingga antar sesama pengguna mungkin tidak menyadari mulai giat melakukan brain storming dan mulai memahami permasalahan tanpa harus bersikap impulsif,
dan terlalu emosional. Perkembangan global internet sebagai milik publik menyiratkan adanya
harapan-harapan
akan
te1jadinya
perubahan
ruang
dan jarak.
Perkembangan tersebutjuga diramalkan menqju pada terbentuknya entitas dengan sistem tingkah laku tertentu, melalui pola-pola pengujian dengan unsur dominan berupa pengalaman dan budaya dalam penggunaan informa:;i. Oleh karena itu ha! tersebut di atas harus diakui olch semua unsur lapisan atau kalangan di belahan bumi ini, yang tentu saja berbeda-beda impaknya. Internet sebagai suatu teknologi informasi yang dapat diakses oleh semua orang di dunia telah memberikan kontribusi tak ternilai bagi masyarakat, namun ha! itu juga menyebabkan penyalahgunaan yang dapat merugikan masyarakat itu sendiri. Bebasnya akses ke dunia maya tanpa kontrol dan
2
keamana.n sistem komputer menyebabkan setiap orang tanpa batas usia dapat mengakses situs-situs terlarang seperti pomografi, kekerasan dengan leluasa. Maka dari itu, sistem keamanan berbasis intemet telah diimplementasikan untuk menanggulangi ha! tersebut. Penggunaan dan pemanfaatan teknologi informasi berbasis internet bagi PT. PLN (Persero) Penyaluran dan Pusat Pengatur Beban Jawa - Bali (P3B) Sub Bidang Teknologi Infonnasi merupakan salah satu implementasi produk teknologi
yang
dijadikan
tulang
punggung sekaligus
urat
nadi
dalam
meningkatkan kine1ja perusahaan. Dan pada era global serta dinamis ini keamanan sistem infonnasi berbasis intemet mutlak diperlukan agar kelan.caran dan profesionalisme kerja dapat terus dipertahankan dan ditingkatkan, karena jaringan internet yang sifatnya umum dan global dinilai tidak aman dan mudah untuk disusupi oleh user atau oknum yang tidak bertanggung jawab untuk merusak sistem dan mengambil datadata penting perusahaan yang sifatnya sangat rahasia. Pentingnya peranan dan tu gas dari perusahaan PT. PLN (Persero) Penyaluran dan Pusat Pengatur Beban Jawa - Bali (P3B) bagi semua pihak maka PT. PLN (Persero) P3B Sub Bidang Teknologi lnfonnasi perlu menerapkan suatu sistem keamanan jaringan yang handal dan mempunyai kemampuan yang tinggi agar tidak dapat ditembus oleh pihak-pihak yang tidak berhak. Selain itu, pihak perusahaan juga merasa perlu untuk membatasi pemakaian internet pada jam-jam tertentu agar waktu kerja tidak disalahgunakan karyawan untuk mengakses situs-
3
situs terlarang, ini merupakan bentuk pencegahan dini untuk meningkatkan kine1ja karyawan perusahaan. Berdasarkan hal-hal tersebut diatas, maim penulis sangat tertarik untuk mengadakan pembahasan lebih lanjut mengenai masalah tersebut sebagai topik penulisan dengan judul "ANALISIS PENERAPAN FIREWALL SEBAGAI SISTEM KEAMANAN JARINGAN PADA PT. PLN (Persero) Penyaluran dan Pnsat Pengatur Behan Jawa-Bali (P3B)"
1.2 Perumusan Masalah Sesuai dengan latar belakang dan pembatasan masalah tersebut, maka permasa,lahan yang akan dibahas dalam skripsi ini adalah : 1. Jenis Firewall apakah yang akan dipakai oleh PT. PLN (Persero) Penyaluran
dan Pusat Pengatur Behan Jawa - Bali (P3B) Sub Bidang Teknologi Informasi dalam pengamananjaringan berbasis internet. 2. Apakah dengan Firewall yang digunakan dapat mengamankan
sistem
jaringan komputer di PT. PLN (Persero) Penyaluran dan Pusat Pengatur Behan Jawa - Bali (P3B)? 3. Apakah
ada
kemungkinan
lubang
keamanan
walaupun
telah
mengimplementasikan Firewall sebagai Sistem keamanan jaringan? 4. Apakah ada solusi yang efektif dari permasalahan lubang keamanan tersebut?
4
1.3 Pembatasan Masalah
Sesuai dengan inti dari penulisan skripsi, maim penulis akan membatasi ruang lingkup pada proses analisa efektifitas penerapan firewall mempergunakan aplikasi Iptables bagi keamanan jaringan komputer yang digunakan di PT. PLN (Persero) Penyaluran dan Pusat Pengatur Beban Jawa Bali (P3B) Sub Bidang Teknologi Informasi untuk keamanan jaringan komputer dalam mengantisipasi gangguan dari pihak-pihak yang tidak bertanggungjawab.
1.4 Tujuan Dan Kegnnaan Pennlisan Dalam pembuatan skripsi ini, penulis menguraikan tujuan dan kegunaan dari tulisan yang dibahas, yaitu:
1.4.1
Tnjnan Pennlisan Untuk mengetahui dan mempelajari peranan serta cara ke1ja dari Iptables
terhadap proteksi akses jaringan intenet pada PT. PLN (Persero) Penyaluran dan Pusat Pengatm Beban Jawa - Bali (P3B).
1.4.2
Kegunaan Penulisan
a. Bagi Penulis I). Untuk memenuhi salah satu syarat dalam menyelesaikan kurikulum tingkat akhir Fakultas Sain dan Teknologi Jmusan Teknik Informatika Universitas Islam Negeri Syarif Hidayatullah Jakarta
5
2). Menambah wawasan penulis tentang teknologi jaringan komputer, khususnya sistem keamanan jaringan komputer berbasis internet dengan aplikasi
Iptables pada perusahaan PT. PLN (Persero)
Penyaluran dan Pusat Pengatur Beban Jawa - Bali (P3B) Sub Bidang
TI. b. Bagi Perusahaan Dengan Penelitian yang dilakukan, semoga penulisan penelitian ini dapat memberikan
kontribusi
pemikiran
bagi
manajemen
perusahaan
didalam
mengambil keputusan berkenaan dengan teknologi jaringan komputer khususnya sistem keamanan jaringan yang digunakannya. c. Bagi Pembaca Semoga penulisan ini berguna bagi pihak lain atau pembaca sebagai informasi, khususnya bagi pembaca yang mempunyai minat yang sama dalam pengembangan sistem keamanan jaringan !computer.
1.5 Metodologi Penulisan Dalam penulisan skripsi ini, agar didapatkan data yang akurat, sesuai dan hasil yang objektif, maka penulis mempergunakan metode-metode: I . Observasi Penulis mengamati secara langsung pemakaian aplikasi Iptables dengan mengetahi.Ji tata cara kerjanya, dan menganalisa hasil kerja dari aplikasi tersebut.
6
2. Studi Pustaka Penulis mendapatkan informasi yang menunJang atau mendukung penulisan skripsi dari buku-buku dan situs internet. 3. Analisa teknis penerapan firewall. Ada beberapa analisa teknis yang digunakan dalarn analisa penerapan firewall ini, yaitu: installing aplikasi Iptables, konfigurasi firewall, testing konfigurasi, analisa firewall dan usulan solusi.
1.6 Sistematika Penulisan
Sistematika penulisan skripsi yang mernpakan laporan analisa hasil penelitian terdiri atas : BABI
PENDAHULUAN
Pada bab ini dibahas tentang latar belakang penulisan, perumusan masalah, batasan masalah, tujuan dan kegunaan penulisan, metodologi penulisan, dan sistematika penulisan. BAB II
TINJAUAN PUSTAKA
Dalam bab ini akan dibahas materi tentang teori tentang sistem keamanan komputer, teori jaringan, Penamaan IP, pemahaman tentang OSI model serta penge1iian Iptables serta konsep dasar dan cara kerja Iptables pada Server Linux Mandrake 8.2. BAB III METODOLOGI PENELITIAN
Pada bab ini
menerangkan mengenai
analisa teknis yang
menjelaskan tentang metodologi pengambilan kesimpulan dari hasil analisa
tersebut.
7
BAB IV ANALISA DAN USULAN
SOLUSI SISTEM KEAMANAN
JARINGAN
Dalam bab ini diuraikan mengenai lokasi penelitian dan sejarah singkat PT. PLN (P3B), karakteristik dan jenis Firewall yang digunakan, analisa efektifitas penggunaan lptables sebagai sebuah sistem keamanan jaringan komputer dengan mengacu kepada hasil probing yang dilakukan
oleh
http://www.grc.com,
http://www.symantec.com,
http://www.veniceflorida.com. BAB V
KESIMPULAN DAN SARAN
Bab ini merupakan bab terakhir dari skripsi yang menyajikan kesimpulan-kesimpulan apa yang telah diuraikan dari bab-bab sebelumnya. Selain itu diberikan pula saran-saran yang mungkin berguna bagi kemajuan perusahaan.
BAB II LANDASAN TEORI
2.1 Teori Sistem Keamanan Jariangan Kompnter Keamanan jaringan komputer merupakan suatu kebutuhan yang sangat vital untuk diimplementasikan didalam sebuah jaringan komputer, apalagi bila jaringan komputer tersebut terhubung ke jaringan luar, yang secara teknis tentu siapa saja dapat mengakses jaringan milik suatu perusahaan tersebut. Hal ini menjadi kendala apabila user luar yang mengakses, mempunyai suatu niat yang buruk terhadap segala macam komponen jaringan perusahaan, mulai dari data, operating sistem dan lainnya.
2.1.l
Pengertian Sistem Keamanan Jaringan Komputer Sistem keamanan komputer dapat didefinisikan sebagai sebuah
integritas sistem yang digunakan untuk memagari dan menjaga semua sumber daya dan unsur-unsur yang terdapat pada suatu jaringan !computer, bentuk pengamanannya bisa berupa hardware maupun software yang telah diberikan fasilitas untuk suatu pengamananjaringan.
2.1.2 Maksud dan tujuan digunakannya Networking security Networking security digunakan tidak hanya oleh perusahaan berskala besar saja, akan tetapi sekarang banyak perusahaan menengah sampai berskala
9
kecil
suclah
mengimplementasikannya.
Maksud
clan
tujuan digunakannya
networking security adalah sebagai berikut :
I. Untuk lebih mengoptimalkan kine1ja perusahaan dengan stabilitas komunikasi dan informasi yang baik. 2. Melindungi data-data perusahaan yang sangat vital clan tidak semua orang boleh mengaksesnya, seperti : data-data klien, keuangan dan sebagainya. 3. Sebagai bentuk antisipasi dari serangan cracker yang mencoba masuk kedalam sistem komputer utama. Dan masih banyak lagi tujuan clan maksud yang lainnya namun tidak disebutkan satu persatu.
2.2
Aspek-aspek dalam keamanan komputer Keamanan komputer (computer security) melingkupi empat aspek,
yaitu privacy, integrity, authentication, dan availability. Se lain ha! di atas, masih ada dua aspek lain yang berkaitan dengan electronic commerce, yaitu access
control clan non-repudiation.
2.2.1
Privacy I Confidentiality Inti utama aspek privacy atau confidentiality adalah usaha untuk
menjaga informasi clari orang yang tidak berhak mengakses. Privacy lebih kearah data-data yang sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang diberikan Ice pihak lain untuk keperluan tertentu (misalnya
10
sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan
tertentu
tersebut.
Usaha-usaha
yang
dapat
dilakukan
untuk
meningkatkan privacy dan confidentiality adalah dengan menggunakan teknologi kriptografi (dengan enkripsi dan dekripsi).
2.2.2 Integrity Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik inforrnasi. Adanya virus, trojan horse, atau pernakai lain yang mengubah informasi tan pa ij in rnerupakan contoh rnasalah yang harus dihadapi. Penggunaan
enkripsi dan digital signature, rnisalnya, dapat rnengatasi rnasalah ini.
2.2.3 Authentication Aspek ini berhubungan dengan metoda untuk rnenyatakan bahwa inforrnasi betul-betul asli, orang yang rnengakses atau memberikan informasi adalah betul-betul orang yang dimaksud, atau server yang kita hubungi adalah betul-betul server yang asli.
2.2.4 Availability Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan. Contoh hambatan adalah serangan yang sering clisebut clengan "denial of service attack!' (DoS attack), dimana server clikirimi permintaan (biasanya palsu) yang bertubi-tubi.
11
2.2.5
Access Control Aspek ini berhubungan dengan cara pengaturan akses kepada informasi.
2.2.6
Non-repudiation · Aspek ini rnenjaga agar seseorang tidak dapat rnenyangkal telah
rnelakukan sebuah transaksi.
2.3 Beberapa cara pengamanan jaringan komputer Pada umunya, pengamanan dapat dikategorikan menjadi dua jenis: pencegahan (preventif! dan pengobatan (recovery). Usaha pencegahan dilakukan agar sistem informasi tidak rnerniliki lubang keamanan, sementara usaha-usaha pengobatan dilakukan apabila lubang keamanan sudah dieksploitasi. Pengamanah sistem infonnasi dapat dilakukan melalui beberapa layer yang berbeda. Misalnya di layer "transport", dapat digunakan "Secure Socket Layer" (SSL). Metoda ini urnum digunakan untuk server web. Secara fisik, sistem anda dapat juga diarnankan dengan rnenggunakan "firewall" yang memisahkan sistem anda dengan Internet. Penggunaan teknik enkripsi dapat dilakukan di tingkat aplikasi sehingga data-data anda atau e-mail anda tidak dapat dibaca oleh orang yang tidak berhak.
2.3.1
Mengatnr akses (Access Control) Salah satu cara yang umum digunakan untuk mengamankan informasi
adalah dengan rnengatur akses ke informasi melalui rnekanisme 'authentication'
12
dan 'access control'. lmplementasi dari mekanisme ini antara lain dengan menggunakan
'password'.
Di
sistem
UNIX
dan
Windows
NT,
untuk
menggunakan sebuah sistem atau komputer, pemakai diharuskan melalui proses
authentication dengan menuliskan 'userid' dan 'password'. Salah satu cara untuk mempersulit pengacau untuk mendapatkan berkas yang berisi password (meskipun terenkripsi) adalah dengan menggunakan 'shadow password'.
2.3.2
Menutup servis yang tidak digunakan Seringkali sistem dalam ha! ini perangkat keras dan perangkat lunak
diberikan dengan beberapa servis dijalankan secarai default. Untuk mengamankan sistem, servis yang tidak diperlukan dimatikan.
2.3.3
Memasang Proteksi Untuk lebih meningkatkan keamanan sistem informasi, proteksi dapat
ditambahkan. Proteksi ini dapat berupa filter (secara umum) dan yang lebih spesifik adalah firewall. Filter dapat digunakan untuk memfilter e-mail, informasi, akses, atau bahkan dalam level packet. Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan jaringan internal, Informasi yang keluar atau masuk harus melalui firewall ini. Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang melewatinya. Berdasarkan konfigurasi dari firewall maka akses dapat diatur berdasarkan IP address, port, dan arah informasi. Detail dari konfigurasi bergantung kepada masing-masingfirewall.
13
2.3.4
Pemantau adanya serangan Sistem pemantau (monitoring system) digunakan untuk mengetahui
adanya tamu tak diundang (intruder) atau adanya serangan (attack). Nama lain dari sistem ini adalah "intruder detection system" (JDS). Sistem ini dapat memberitahu administrator melalui e-mail maupun melalui mekanisme lain seperti melalui pager.
2.3.4.1 Perangkat bantn IDS (Intrnssion Detection System) Berikut adalah beberapa perangkat lunak bantu yang bisa digunakan untuk pendeteksi penyusup : Portsentry. Sebuah program bantu yang cukup "ringan" dan tidak begitu sulit untuk mengkonfigurasikan dan menggunakannya. Cocok untuk sistemjaringan kecil. 2
Snort. Program bantu ini berfungsi memeriksa data-data yang masuk dan melaporkan
ke
administrator
apabila
ada
"gerak-gerik"
yang
mencurigakan. Bekerja dengan prinsip program sniffer yaitu mengawasi paket-paket yang melewati jaringan. 3
LIDS (Linux Intrussiou Detection Sysfom) merupakan salah satu tools IDS yang sangat baik dalam melindungi sistem. Ketika lids aktif, maka bahkan root sekalipun mempunyai akses yang sangat terbatas sekali dalam mengkonfigurasikan sistem.
4
Carnivore. Sebenarnya tools ini lebih bisa dianggap sebagai sniffer daripada IDS. Dikembangkan di amerika, kini Carnivore oleh FBI
14
dipasang di semua server yang berfungsi sebagai tulang-punggung
(backbone) Internet yang ada di Amerika. Sehingga secara tidak langsung Amerika telah menyadap semua data yang lewat dari seluruh penjuru dunia. Perlu diketahui bahwa hampir semua server utama atau backbone yang ada di dunia ini berlokasi di Amerika Serikat. Dan masih banyak tools untuk IDS lainnya yang clapat digunakan untuk lebih meningkatkan keamanan sistem.
2.3.5
Penggunaan Enkripsi untuk meningkatkan keamanan Salah satau mekanisme untuk meningkatkan keamanan adalah dengan
menggunakan teknologi enkripsi.
Data-data yang anda kirimkan diubah
sedemikian rupa sehingga tidak mudah disadap. Pada symmetric cryptography, satu kunci yang sama digunakan untuk melakukan enkripsi dan dekripsi. Pada sistem public-key cryptography, enkripsi dan dekripsi menggunakan kunci yang berbeda. Telnet atau remote login digunakan untuk mengakses sebuah "remote
site" atau komputer melalui sebuah jaringan komputer. Akses ini dilakukan dengan menggunakan hubungan TCP/IP dengan menggunakan userid dan
password. Informasi tentang userid dan password ini dikirimkan melalui jaringan komputer secara terbuka. Akibatnya ada kemungkinan seorang yang nakal melakukan "sniffing" dan mengumpulkan infonnasi tentang pasangan userid dan password ini. Untuk menghindari ha! ini, enkripsi dapat digunakan untuk melindungi adanya snijjing. Paket yang dikirimkan dienkripsi dengan algoritma DES atau Blowish (dengan menggunakan kunci session yang dipertukarkan via
15
RSA atau Diffie-Helhnan) sehingga tidak dapat dibaca oleh orang yang tidak berhak. Selain dari bentuk antisipasi diatas diharap para administrator juga harus melakukan bentuk pengamanan yang lain yaitu dengan memasang pemantau integritas sistem, mengamati berkas-berkas log dan Backup data secara rutin. Seteleh kita melakukan prosedur-prosedur diatas maka diharapkan sistem keamanan jaringan kita dapat lebih terproteksi dari pihak-pihak yang tidak bertanggung jawab.
2.4 Klasifikasi Kejahatan Komputer Kejahatan komputer dapat digolongkan kepada yang sangat berbahaya sampai
ke yang hanya mengesalkan (annoying).
Menurut David !cove
berdasarkan lubang keamanan, keamanan dapat diklasifikasikan menjadi empat:
2.4.1
Keamanan yang bersifat fisik (physical security): Termasuk akses orang ke gedung, peralatan, dan media yang
digunakan. Beberapa bekas penjahat komputer (cracken) mengatakan bahwa mereka sering pergi ke tempat sampah untuk mencari berkas-berkas yang mungkin memiliki informasi tentang keamanan. Misalnya pernah diketemukan coretan password atau manual yang dibuang tanpa dihancurkan. Wiretapping atau hal-hal yang berhubungan dengan akses ke kabel atau komputer yang digunakan juga dapat dimasukkan ke dalam kelas ini. Denial of service, yaitu akibat yang ditimbulkan sehingga servis tidak dapat diterima oleh pemakai juga dapat
16
dimasukkan ke dalam kelas ini. Denial of service dapat dilakukan misalnya dengan mematikan peralatan atau membanjiri saluran komunikasi dengan pesanpesan (yang dapat berisi apa saja karena yang diutamakan adalah banyaknya jumlah pesan). Beberapa waktu yang lalu ada lubang keamanan dari implementasi protocol TCP/IP yang dikenal dengan istilah Syn Flood Attack, dimana sistem
(host) yang dituju dibanjiri oleh pennintaan sehingga dia menjadi terlalu sibuk dan bahkan dapat berakibat macetnya sistem (hang).
2.4.2
Kcamanan yang bcrhnbnngan dengan orang (personcl) Termasuk identifikasi, dan profit resiko dari orang yang mempunyai
akses (pekerja). Seringkali kelemahan keamanan sistem informasi bergantung kepada manusia (pemakai dan pengelola). Ada sebuah teknik yang dikenal dengan istilah "social engineering" yang sering digunakan oleh kriminal untuk berpurapura sebagai orang yang berhak mengakses informasi. Misalnya kriminal ini berpura-pura sebagai pemakai yang lupa passwordnya dan minta agar diganti menjadi kata lain.
2.4.3
Keamanan dari data clan media serta teknik komunikasi Yang termasuk di dalam kelas ini adalah kelemahan dalam software
yang digunakan untuk mengelola data. Seorang kriminal dapat memasang virus atau trojan horse sehingga dapat mengumpulkan informasi (seperti password) yang semestinya tidak berhak diakses.
17
2.4.4
Keamanan dalam operasi Tennasuk prosedur yang digunakan untuk mengatur dan mengelola
sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack
recove1y).
2.5 Contoh Kasus Gangguan Pada jaringan komputer Jebolnya sistem kemanan tentunya membawa dampak. Ada beberapa contoh akibat dari jebolnya sistem keamanan, antara lain: •
1988. Keamanan sistem mail sendmail dieksploitasi oleh Robert Tapan Morris sehingga melumpuhkan sistem Internet. Kegiatan ini dapat diklasifikasikan sebagai "denial of service attac/C'. Diperkirakan biaya yang digunakan untuk memperbaiki dan hal-hal lain yang hilang adalah sekitar $100 juta. Di tahun 1990 Morris dihukum (convicted) dan hanya didenda $I 0.000.
•
10 Maret 1997. Seorang hacker dari Massachusetts berhasil mematikan sistem telekomunikasi di sebuah airport lokal (Worcester, Massachusetts) sehingga mematikan komunikasi di control tower dan menghalau pesawat yang hendak mendarat. Dia juga mengacaukan sistem telepon di Rutland, Massachusetts.
•
7 Februari 2000 (Senin) sampai dengan Rabu pagi, 9 Februari 2000. Beberapa web terkemuka di dunia diserang oleh "distributed denial of
service attack" (DDoS attack) sehingga tidak dapat memberikan layanan (down) selama beberapa jam. Tempat yang diserang antara lain: Yahoo!,
18
Buy.com, eBay, CNN, Amazon.com, ZDNet, E-Trade. FB mengeluarkan tools untuk mencari program TRINOO atau Tribal Flood Net (TFN) yang diduga digunakan untuk melakukan serangan dari berbagai penjurn dunia. •
4 Mei 2001. Situs Gibson Research Corp. (grc.com) diserang Denial of
Service attack oleh anak berusia 13 tahun sehingga bandwidth dari grc.com yang terdiri dari dua (2) Tl connection menjadi habis. Steve Gibson kemudian meneliti software yang digunakan untuk menyerang (DoS bot, SubSeven trojan), channel yang digunakan untuk berkomunikasi (via JRC), dan akhirnya menemukan beberapa ha! tentang DoS attack ini. Informasi lengkapnya ada di situs www.grc.com. •
Juni 200 I. Peneliti di UC Berkeley dan University of Maryland berhasil menyadap data-data yang berada pada jaringan wireless LAN (IEEE 802.11 b) yang mulai marak digunakan oleh perusahaan-perusahaan.
2.6 Masalah keamanan yang berhnbnngan dengan Indou:esia Meskipun Internet di Indonesia masih dapat tergolong baru, sudah ada beberapa kasus yang berhubungan dengan keamanan di Indonesia. Dibawah ini akan didaftar beberapa contoh masalah atau topik tersebut, yaitu: •
Akhir Januari 1999. Domain yang digunakan untuk Timar Timur (.TP) diserang sehingga hilang. Domain untuk Timor Timur ini diletakkan pada sebuah server di Irlandia yang bernama Connect-Ire/and. Pemerintah Indonesia yang disalahkan atau dianggap melakukan kegiatan hacking ini. Menurut keterangan yang diberikan oleh administrator
Connect~Ireland,
19
18 serangan dilakukan secara serempak dari seluruh penjuru dunia. Akan tetapi berdasarkan pengamatan, domain Timor Timur tersebut dihack dan kemudian ditambahkan sub domain yang bernama "need.Ip". Berdasarkan pengamatan situasi, "need.tp" merupakan sebuah perkataan yang sedang dipopulerkan oleh "Beavis and Bullhead' (sebuah acara TV di MTV). Dengan
kata
lain,
crackers
yang
melakukan
serangan
tersebut
kemungkinan penggemar (atau paling tidak, pernah nonton) acara Beavis
dan Butthead itu. Jadi, kemungkinan dilakukan oleh seseorang dari Amerika Utara. •
Januari 2000. Beberapa situs web Indonesia diacak-acak oleh cracker yang menamakan dirinya "fabianclone" dan "naisenodni" (Indonesian dibalik). Situs yang diserang tennasuk Bursa Efek Jakarta, BCA, Indosatnet. Selain situs yang besar tersebut masih banyak situs lainnya yang tidak dilaporkan.
•
Seorang cracker Indonesia (yang dikenal dengan nama he) tertangkap di Singapura ketika mencoba menjebol sebuah perusahaan di Singapura.
•
September dan Oktober 2000. Setelah berhasil membobol bank Lippo, kembali Fabian Clone beraksi dengan menjebol web milik Bank Bali. Perlu diketahui bahwa kedua bank ini member[kan layanan Internet
banking.
2. 7 Teori Ten tang Jaringan Network atau jaringan, dalam bidang komputer dapat diartikan sebagai dua atau lebih !computer yang saling berhubungan dan dapat berkomunikasi antara
20
kompute'i· satu dengan lainnya, sehingga akan menimbulkan suatu effisiensi, sentralisasi dan optimasi kerja. Pada jaringan komputer yang dikomunikasikan adalah data, satu komputer dapat berhubungan dengan komputer lain dan saling berkomunikasi (salah satunya bertukar data) tanpa harus 1m:mbawa disket ke satu komputer ke komputer lainnya seperti yang biasa kita lakukan. Ada beberapajenis jaringan komputer dilihat dari cara pemrosesan data dan pengaksesannya.
2.7.1
Host-Terminal Dimana terdapat sebuah atau lebih server yang dihubungkan dalam
suatu dumb terminal. Karena Dumb Terminal hanyalah sebuah monitor yang dihubungkan dengan menggunakan kabel RS-232, maka pemrosesan data dilakukan di dalam server, oleh karena itu maka suatu s1)rver haruslah sebuah sistem komputer yang memiliki kemampuan pemrosesan data yang tinggi dan penyimpanan data yang sangat besar.
2. 7.2
Client Server Dimana sebuah server atau lebih yang dihubungkan dengan beberapa
client. Server bertugas menyediakan layanan, bennacam·macam jenis layanan yang dapat diberikan oleh server, misalnya adalah pengaksesan berkas, peripheral, database, dan lain sebagainya. Sedangkan client adalah sebuah terminal yang menggunakan layanan tersebut. Perbedaannya dengan hubungan dumb terminal, sebuah terminal client melakukan pemrosesan data di terminalnya sendiri dan hal itu menyebabkan spesifikasi dari server tidaklah harus memiliki performansi yang
21
tinggi, dan kapasitas penyimpanan data yang besar karena sernua pernrosesan data yang rnerupakan permintaan dari client dilakukan di terminal client.
2. 7.3
Peer to Peer Dimana terdapat beberapa terminal !computer yang dihubungkan
dengan media kabel. Secara prinsip, hubungan peer to peer ini adalah bahwa setiap !computer dapat berfungsi serbagai server (penyedia layanan) dan client, keduanya dapat difungsikan dalam suatu waktu yang bersamaan. Sedangkan apabila kita lihat dari sisi lingkupan atau jangkauan, jaringan dapat dibagi menjadi beberapa jenis, yaitu :
2.7.4 LAN (Local Area Network) Hanya terdapat beberapa server dan ruang lingkupnya hanya terdapat dalam satu lokasi atau gedung, Hal ini akan mendapat pembahasan tersendiri pada sub bahasan berikutnya.
2.7.5 WAN (Wide Area Network) Merupakan gabungan dari LAN, yang ruang lingkupnya dapat saja satu lokasi, rnisalnya gedung be11ingkat, atau dapat tersebar di beberapa lokasi di seluruh dunia, jaringan jenis ini rnembutuhkan minimal satu server untuk setiap LAN, dan membutuhkan minimal dua server yang mempunyai lokasi yang berbeda untuk membentuknya.
22
2.7.6 Intemet
Internet adalah sekumpulan jaringan yang berlokasi terse bar di seluruh
dunia yang sating terhubung membentuk satu jaringan besar !computer. Dalam jaringan ini dibatasi layanannya sebagai berikut : FTP, E-Mail, Chat, Telnet, Conference, News Group, Mailing List. Biasanya jaringan ini menggunakan protokol TCP/IP, walaupun ada sebagian kecil yang menggunakan jenis lain (!PX Novell Netware, NetBios, dan lain-lainnya).
2. 7. 7 Intranet Jenis jaringan ini merupakan gabungan dari LAN/WAN dengan Internet. Apabila kita lihat dari lingkupannya atau jangkauannya maka jaringan ini adalah jenis LAN/WAN yang memberikan layanan seperti layanan internet kepada terminal clientnya. Perbedaan mencolok Intranet dengan Internet adalah Intranet melayani satu organisasi tertentu saja.
2.8 Penamaan Alamat IP (Logical Address) IP Address digunakan untuk mengidentifikasi .interface jaringan pada
host dari suatu mesin. IP Address adalah sekelompok bilangan biner 32 bit yang di bagi menjadi 4 bagian yang masing-masing bagian itu terdiri dari 8 bit (sering disebut lPV4). Umumnya penamaan yang digunakan adalah berdasarkan bilangan desimal.
23
2.8.1
Pembagian kelas IP Alamat IP dibagi menjadi kelas-kelas yang masing-masing mempunyai
kapasitas jumlah IP yang berbeda-beda. Pada Tabel 1.1 ditampilkan kelas-kelas pengalamatan IP. Pada tabel tersebut x adalah NetlD dan y adalah HostlD
Ke las
Fonnat
Ki saran
Jumlah IP
A
Oxxxxxxx. yyyyyyyy. yyyyyyyy. yyyyyyy
0.0.0.0-127.255 .255.255
16.777.214
B
I Oxxxxxx.yyyyyyyy. yyyyyyyy. yyyyyyy
128.0.0.0-l ') 1.255.255.255
65.532
c
11 Oxxxxx. yyyyyyyy. yyyyyyyy. yyyyyyy
192.0.0.0 -?.23.255.255
254
Tabet 1: Pembagian kelas IP 2.8.2
Subnetting Subnetting adalah pembagian suatu kelompok alamat IP menjadi
bagian-bagian yang lebih kecil lagi. Tujuan dalam melakukan subnetting ini adalah: I.
Membagi suatu kelasjaringan menjadi bagian-bagian yang lebih kecil.
2.
Menempatkan suatu host, apakah berada dalam satu jaringan atau tidak.
3.
Keteraturan Kelas A subnet : 11111111.0000000.00000000.00000000 (255.0.0.0) Kelas B subnet: 11111111.11111111.00000000.00000000 (255.255.0.0) Ke las
c
(255-255.255.0)
subnet
11111111.11111111.11111111.00000000
24
Misal suatu jaringan dengan IP jaringan 192.168.10.0 ingin rnernbagi rnenjadi 5 jaringan kecil (rnasing-rnasing 48 host), yang artinya harus dilakukan proses subnetting dalarn jaringan tersebut. Langkah pertarna yang harus kita lakukan adalah rnernbagi IP jaringan tersebut (192.168.10.0 <- kelas C) rnenjadi blok-blok' yang rnasing-masing blok minimal terdiri dari 48 host. Seperti kita telah ketahui bahwa tiap-tiap kelas C mempunyai 255 IP rnaka perhitungannya adalah sebagai berikut: 255/5=51 masing-rnasing subnet rnempunyai 49 alamat IP (masing-masing diarnbil 2 untuk IP broadcast dan IP network). Berikut adalah pengelornpokan dari jaringan-jaringan tersebut : l. 192.168.10.0 - 192.168. J0.50 digunakan oleh jaringan I
2. 192.168. l 0.51 - 192.168.10.10 I digunakan oleh jaringan 2 3. 192.168. I 0.102 - 192.168.10.152 digunakan oleh jaringan 3 4. 192.168. l 0.153 - 192.168.10.203 digunakan oleh jaringan 4 5. 192.168.10.204 - 192.168.10.224 digunakan oleh jaringan 5 Untuk pernbagian 51 host : 51 = 00110011 (biner). Nilai 8 bit tertinggi dari subnetting kelas C adalah : 255 = 11111111 00110011 ------------- (negasi) 11001100 (8 bit terakhir dari subnet kelas C) = 204 , rnaka IP subnetmask nya: 255.255.255.204
25
2.9 Model rcfercnsi OSI clan Standarisasi
Untuk
menyelenggarakan
komunikasi
berbagai
macam
vendor
komputer diperlukan sebuah aturan baku yang standar dan disetejui berbagai pihak.
Seperti
halnya dua orang yang berlainan
bangsa,
maka untuk
berkomunikasi memerlukan penerjemah/interpreter atau satu bahasa yang dimengerti kedua belah fihak. Dalarn dunia komputer dan telekomunikasi interpreter identik dengan protokol. Untuk itu maka badan dunia yang menangani rnasalah standarisasi ISO (International Standardization Organization) membuat aturan baku yang dikenal dengan narna model referensi OSI (Open Sistem
Interconnection).
Dengan
demikian
diharapkan
semua
vendor perangkat
telekomunikasi haruslah berpedoman dengan model referensi
ini dalam
rnengembangkan protokolnya. Model referensi OSI terdiri dari 7 lapisan, mulai dari lapisan fisik sampai dengan aplikasi. Model referensi ini tidak hanya berguna untuk produkproduk LAN saja, tetapi dalam membangung jaringan Internet sekalipun sangat diperlukan. Hubungan antara model referensi OSI dengan protokol Internet bisa dilihat dalam Tabel Hubungan referensi model OSI dengan protokol Internet. (lihat Jampiran). Standarisasi masalah jaringan tidak hanya dilakukan oleh ISO saja, tetapi juga diselenggarakan oleh badan dunia lainnya sep(:rti ITU (International
Telecommunication Union), ANSI (American National Standard Institute), NCITS (National Committee for Information Technology Standardization), bahkan juga oleh lembaga asosiasi profesi IEEE (Institute of Electrical and Electronics
26
Enginee1's) dan ATM-Forum di Amerika. Pada prakteknya bahkan vendor-vendor produk LAN bahkan memakai standar yang dihasilkan IEEE. Kita bisa lihat misalnya badan pekerja yang dibentuk oleh IEEE yang banyak membuat standarisasi peralatan telekomunikasi sepe1ii yang t.ertera pada tabel badan pekerja di IEEE (Lihat lampiran).
2.10
Port Port sangat penting dalam proses komunikasi data, baik itu melalui
koneksi TCP/IP maupun UDP.
2.10.1 Definisi port Ada beberapa macam definisi port berdasarkan fisik dan logic tetapi fungsi yang dihasilkan tetap sama yaittJ, berfungsi sebagai jembatan atau saluran penghubung antara suatu device ke device yang lainnya atau bisa juga sebagai logis yang mengidentifikasi suatu protocol komunikasi.
2.10.1.1
Definisi port yang diambil dari situs http://www.redhat.com :
1. Port adalah suatu soket atau st.op kontak yang digunakan untuk menghubungkan
peralatan eksternal seperti
scanners, dan printers ke sistem komputer
keyboard,
alat
penunjuk,
27
"A socket used to connect external peripherals such
a~:
keyboards, pointing
devices, scanners, and printers to computer systems. " 1
2. Di dalam suatu jaringan komunikasi, port adalah suatu saluran logis yang rnengidentifikasi suatu protocol komunikasi, seperti po1t 23 untuk koneksi
secure shell (ssh)
"ln a communications network, a logical channel which identifies a communications protocol, such as port 23 for Secure Shell (SSHl
connections."
2.10.1.2 definisi port berdasarkan situs http ://seen rityresponse.syma ntec.co 111 1. Port adalah suatu penempatan perangkat keras untuk megirim atau melewatkan data keluar atau masuk pada suatu device komputer. Komputer mempunyai beberapa jenis port, termasuk yaitu port internal untuk menghubungkan disk drive, monitor, dan keyboard. Dan sepetti juga halnya pelabuhan eksternal digunakan untuk menghubungkan modem, printer,
mouse dan berbagai peralatan lainnya. "A hardware location for passing data in and out of a computing device. Personal computers have various types of po1ts, including internal ports for
1
http://\vww .redhal.con1/docs/glossary/i ndex.htn1l#P
28
connecting disk drives, monitors, and keyboards, as well as external ports, for connecting modems, printers, mouse devices, and other peripheral devices."2 2. Pada jaringan komunikasi TCP/IP dan UDP, port adalah nama yang diberikan kepada suatu titik akhir dari sebuah koneksi logis. Angka-angka port mengidentifikasi jenis port. Sebagai contoh, komunikasi data TCP/IP dan UDP kedua-duanya menggunakan port 80 sebagai transportasi data HTTP. Suatu ancaman keamanan pada jaringan komputer bisa menggunakan portport te1tentu pada jaringan komunikasi TCP/IP. "In TCP/IP and UDP networks, port is the name given to an endpoint of a logical connection. Port numbers identify types of ports. For example, both TCP and UDP use port 80 for transporting HTTP data. A threat may attempt to use a particular TCP/IP port."' Keterangan lengkapnya lihat tabel port pada halaman lampiran.
2.11
Sejarah dan konsep IPTABLES Ip tables adalah perisian untuk mengawal modul .firewall dalam kernel
Linux versi 2.4 keatas yang disebut netfilter. Untuk m
2
htlp://securityresponse.symantec.com/avcenter/refa.htm!#p
3 http ://securi tyres po nse. sy1nan tec.con1/avcen ter/refa. html #p
29
dikuasai. Waiau bagairnanapun, ini akan rnenguraikan konsep dasar firewall yang bisa digunakan aplikasi firewall lain. Pengetahuan dasar mengenai TCP/IP harus sudah dikuasai karena ha! ini rnerupakan dasar dari penggunaan IPTables. Ada banyak resource yang mendokumentasikan konsep dasar tentang TCP/IP, baik itu secara online maupun cetak. Hal berikutnya yang harus dipersiapkan oleh pengguna adalah sebuah komputer yang terinstall Linux. komputer tersebut sedikitnya memiliki 2 buah
network interface card, sebab hal ini bisa menjalankan fungsi packet forwarding. Disarankan seorang user menggunakan linux dengan kernel 2.4 ke atas, karena linux dengan kernel 2.4 ke atas sudah merniliki dukungan Iptables secara default, sehingga tidak perlu rnengkompilasi ulang kernel yang sedang digunakan. Bagi yang menggunakan kernel 2.2 atau sebelumnya, harus melakukan kompilasi kernel untuk memasukkan dukungan Iptables. Dalam penelitian di PT. PLN (Persero) (Persero) P3B kami menggunakan Linux Mandrake Versi 8.0 yang sudah menggunakan kernel 2.4.
Gb. I Konsep dasar sebuah Firewall
30
2.11.l Keunggulan pada IPTABLES.
Iptables memiliki keunggulan dibanding dengan firewall lain sepe1ii lpchains, antara lain adalah dengan adanya penambahan Table NAT, Mangle, dan Tanda pada setiap paket yang di filter. Linux mandrake versi 8.0 maupun redhat versi 7.1 yang mendukung kernel versi 2.4.x tentu clidalam distribusinya menyertakan paket Iptables. Didalam paket Iptables ini disertakan programprogram dasar termasuk file konfigurasi yang siap dipakai. Namun pada beberapa milis sering dipertanyakan, mengapa Jptables tidak dapat beke1ja? Secara sederhana, jawabannya adalah modul paket Iptable tersebut tidak diaktifkan atau malah tidak terinstalasi sama sekali.
BAB III
METODOLOGI PENELITIAN
3.1 Analisa Tekr.is Ada beberapa analisa teknis yang digunakan dalam melakukan penelitian ini, yaitu seperti yang digambarkan bagan dihalaman berikut:
Installing Iptables
Konfigurasi Iptables
Testing Konfigurasi
Pembahasan pacla BAB IV
I
Analisa Hasil
Pembahasan pada BAB IV
I
Usulan Solusi
Pembahasan pada BAB IV
I
Gambar.2 Bagan analisa teknis
3.1.1
Installing lptables Untuk instalasi dan konfigurasi Iptables sebenamya Linux Mandrake
atau RedHat sudah menye1iakannya dalam paket linux versi terbam. Dan setelah
32
terinstal maka sudah ada aturan-aturan baku yang dapat dijadikan bahan untuk pengembangan
lebih
lanjut.
Skrip
dasar
ini
terdapat
pada
direktori
/etc/rc.d/init.d/iptables. Iptables memiliki tiga macam daftar aturan bawaan dalam tabel penyaringan, daftar tersebut dinamakan rantai firewall (firewall chain) atau sering disebut chain saja. Ketiga chain tersebut adalah INPUT, OUTPUT dan
FORWARD.
~-••_"'-T~l-:::::::::>(2"~"§"'~"~"'E''::::c=~ Foaw~ _
MA~HIK
j
ROUTIUG
INPIJY
~
l"Al
J
PftO-:;;;-i__
LO~
Gambar .3. Diagram rantai firewall (firewall c:hain) Pada diagram tersebut, lingkaran menggambarkan ketiga nmtai atau chain. Pada saat sebuah paket sampai pada sebuah lingkaran, maka disitulah te1jadi proses penyaringan. Rantai akan memutuskan nasib paket tersebut. Apabila keputusammya adalah DROP, maka paket tersebut akan di-drop. Tetapi jikarantai memutuskan untuk ACCEPT, maka paket akan dilewatkan melalui diagram tersebut. Sebuah rantai adalah aturan-aturan yang telah ditentukan. Setiap aturan menyatakan ''.iika paket memiliki infomiasi awal (header) seperti ini, maka inilah yang harus dilakukan terhadap paket". Jika aturan terse but tidak sesuai dengan paket, maka aturan berikutnya akan memproses paket tersebut. Apabila sampai
33
aturan terakhir yang ada, paket tersebut belum memenuhi salah satu aturan, maka kernel akan melihat kebijakan bawaan (default) untuk memutuskan apa yang hams dilakukan kepada paket tersebut. Ada dua kebijakan bawaan yaitu default DROP dan default ACCEPT.
Jalannya sebuah paket melalui diagram tersebut bisa dicontohkan sebagai berikut:
3.1.1.1 Perjalanan paket yang diforward ke host yang lain,
1. Paket berada pada jaringan fisik, contoh internet. 2. Paket masuk ke interface jaringan, contoh ethO. 3. Paket masuk ke chain PREROUTING pada table Mangle. Chain ini berfungsi untuk me-mangle (menghaluskan) paket, seperti mernbah TOS, TTL dan Jain-lain. 4. Paket masuk ke chain PREROUTING pada tabel nat. Chain ini berfungsi
utamanya
untuk
melakukan
DNAT
(Destination
Network
Address
Translation).
5. Paket mengalami keputusan routing, apakah akan diproses oleh host lokal atau diternskan ke host Jain. 6. Paket masuk ke chain FORWARD pada tabel filter. Disinlah proses pemfilteran yang utam.a terjadi. 7. Paket masuk ke chain POSTROUTJNG pada tabel nat. Chain ini berfungsi utamanya untuk melakukan SNAT (Source Network Address Translation).
34
8. Paket keluar menuju inte1face jaringan, contoh elhl. 9. Paket kembali berada pada jaringan fisik, contoh LA1'1. Libat gambar pada lampiran
3.1.1.2
Pcrjalanau pakct yang ditujukan bagi host Iolrnl
I. Paket berada dalamjaringan fisik, contoh internet. 2. Paket masuk ke inteiface jaringan, contoh ethO. 3. Paket masuk ke chain PREROUTING pada tabel mangle. 4. Paket masuk ke chain PREROUTING pada tabel nat. 5. Paket mengalami kepu.tusan routing. 6. Paket ·masuk ke chain INPUT pada tabel filter untuk mengalami proses penyaringan. 7. Paket akan diterima oleh aplikasi lokal.
3.1.1.3
Pcrjalanan paket yang berasal dari host lokal
I. Aplikasi lokal menghasilkan paket data yang akan dikirimkan melalui jaringan. 2. Paket memasuki chain OUTPUT pada tabel mangle. 3. Paket memasuki chain OUTPUTpada tabel nat. 4. Paket memasuki chain OUTPUT pada tabel.filter.
35
5. Pake! mengalami keputusan routing, seperti ke mana paket hams pergi dan melalui interface mana. 6. Paket masuk ke chain POSTROUTING pada label NAT. 7. Paket masuk ke inte1face jaringan, contoh ethO. 8. Paket berada padajaringan fisik, contoh internet.
3.1.1.4
Sintaks IPTables Secara umum sintaks iptables dapat dilihat dibawah ini: iptables {-t table} command {match} [target/jumpJ
3.1.1.4.1
Table
Iptables memiliki 3 buah tabel, yaitu NAT, MANGLE dan FILTER. Penggunannya disesuaikan dengan sifat dan karakteristik masing-masing. Fungsi dari masing-masing tabel tersebut lihat pada halaman lampiran. a.
NAT : Secara umum digunakan untuk melaknkan Network Address Translation. NAT·adalah penggantianfield alamat asal atau alaniat tujuan dari sebuah paket.
b.
MANGLE : Digunakan untuk melaknkan penghalusan (mangle) paket, seperti TTL, TOS dan MARK.
36
FILTER : Secara umum, inilah pemfilteran paket yang sesungguhnya ..
c.
Di sini bisa dintukan apakah paket akan di-DROP, LOG, ACCEPT atau REJECT
3.1.1.4.2
Command
Command pada baris perintah IPTables akan memberitahu apa yang harus
dilakukan terhadap lanjutan sintaks perintah. Umumnya dilakukan penambahan atau penghapusan sesuatu dari tabel atau yang lain.
3.1.1.4.3
Option
Option digunakan dikombinasikan dengan command tertentu yang akan
menghasilkan suatu variasi perintah.
3.1.1.4.4
Generic Matches
Generic Matches arlinya pendefinisian kriteria yang berlaku secara umum.
Dengan kata lain, sintaks generic matches akan sarna untuk se:mua protokol. Setelah protokol didefnrisikan, maka baru didefmisikan aturan yang Jebih spesifik yang dimiliki oleh protokol tersebut. Hal ini dilakukan karena tiap-tiap protokol memiliki karakteristik yang berbeda, sehingga memerlukan perlakuan khusus.
3.1.1.4.5
Implicit Matches
Implicit Matches adalah match yang spesifik untuk tipe protokol
tertentu. Implicit Match merupakan sekumpulan rule yang akan diload setelah tipe
37
protokol disebutkan. Ada 3 Implicit Match berlaku untuk tigajenis protokol, yaitu TCP matches, UDP matches dan ICMP matches.
3.1.1.4.6
TCP matches
Client
Firewall
Server
Gambar.4 TCP Matches
3.1.1.4.7
UDP Matches Karena protokol UDP bersifat connectionless, maka tidak ada flags
yang mendeskripsikan status paket untuk untuk membuka atau menutup koneksi. Paket UDP juga tidak memerlukan acknowledgement. Sehingga Implicit Match untuk protokol UDP lebih sedikit dari pada TCP. Ada dua macam match untuk UDP: --sport atau --source-port --dport atau --destination-port
38
~_F_i_rewal__I_ _,__s_e_n_·~
[Client
Gambar.5 UDP Matches
ICMP Matches
3.1.1.4.8
Paket ICMP digunakan untuk mengirimkan pesan..pesan kesalahan dan kondisi-kondisi jaringan yang lain. Hanya ada satu implicit match untuk tipe protokol ICMP, yaitu :
--icmp-type
Firewall
Client
Server
Gambar.6 ICMP Matches
3.1.1.4.9
Explicit Matches
Ada beberapa bagian dari Explicit Matches, yaitu :
39
3.1.1.4.9.1
MAC Address
Match jenis ini berguna untuk melakukan pencocokan paket berdasarkan MAC source address. Perlu diingat bahwa MAC hanya berfungsi untuk jaringan yang menggunakan teknologi ethernet.
iptables -A INPUT -m mac -mac-source 00:00:00:00:00:01
3.1.1.4.9.2
Multiport Matches
Ekstensi Multiport Matches digunakan untuk mendefinisikan port atau
port range lebih dari sati:i, yang berfungsi jika ingin didefinisikan aturan yang sama untuk beberapa port. Tapi hal yang perlu diingat bahwa kita tidak bisa menggunakan port matching standard dan multiport matching dalam waktu yang bersamaan.
iptables -A INPUT-p tcp -m multiport --source-port 22,53,80,J I 0
3.1.1.4.9.3
Owner Matches
Penggunaan match ini untuk mencocokkan paket berdasarkan pembuat atau pemiliklowner paket terse but. Match ini bekerja dalam chain OUTPUT, akan tetapi penggunaan match ini tidak terlalu luas, sebab ada beberapa proses tidak memiliki owner.
iptab/es -A OUTPUT-m owner --uid-owner 500
40
Kita juga bisa memfilter berdasarkan group ID de:ngan sintaks --gidowner. Salah satu penggunannya adalah bisa mencegah user selain yang dikehendaki untuk mengakses internet rnisalnya.
3.1.1.4.9.4
State Matches
Match ini rnendefinisikan state apa saja yang cocok. Ada 4 state yang berlaku, yaitu NEW, ESTABLISHED, RELATED dan INVALJD. NEW digunakan untuk paket yang akan mernulai koneksi barn. ESTABLISHED digunakan jika koneksi telah tersarnbung dan paket-paketnya rnernpakan bagian dari koneki tersebut. RELATED digunakan untuk paket-paket yang bukan bagian dari koneksi tetapi rnasih berhubungan dengan koneksi tersebut, contolmya adalah FTP data transfer yang menyertai sebuah koneksi TCP atau UDP. INVALID adalah paket yang tidak bisa diidentifikasi, bukan mernpakan bagian dari koneksi yang ada. iptables -A INPUT-rn state --state RELATED,ESTABLISHED
3.1.1.4.10
Target/Jump
Target atau jump adalah perlakuan yang diberikan terhadap paket-paket yang mernenuhi kriteria atau match. Jump rnemerlukan sebuah chain yang lain dalam tabel yang sama. Chain tersebut nantinya akan dimmmki oleh paket yang mernenuhi kriteria. Analoginya iitlah chain barn nanti berlaku sebagai prosedur/fungsi dari program utanm. Sebagai contoh dibuat sebuah chain yang
41
bemama tcp _packets. Setelah ditambahkan aturan-aturan ke dalam chain tersebut, kemudian chain tersebut akan direferensi dari chain input.
iptables -A INPUT-p tcp -j tcp_packets
3.l.1.4.11
Parameter Tambahan Beberapa target yang lain biasanya memerlukan parameter tambahan:
3.1.1.4.11.1
LOG Target
Ada beberapa option yang bisa digunakan bersamaan dengan target ini. Yang pertama adalah yang digunakan untuk menentukan tingkat log. Tingkatan log yang bisa digunakan adalah debug, info, notice, warning, err, crit, alert dan emerg.Yang kedua adalah -j LOG --log-prefix yang digunakan untuk memberikan
string yang tertulis pada awalan log, sehingga memudahkan pembacaan log terse but.
iptables -A FORWARD-p tcp-j LOG --log-level debug iptables-A INPUT-p tcp-j LOG --log-prefix "INPUT Packets"
3.1.1.4.11.2
REJECT Target
Secara umum, REJECT bekerja seperti DROP, yaitu memblok paket dan menolak untuk memproses lebih lanjut paket tersebut. Tetapi, REJECT akan mengirimkan error message ke host pengirim paket tersehut. REJECT bekerja
42
pada chain INPUT, OUTPUT dan FORWARD atau pada chain tambahan yang dipanggil dari ketiga chain tersebut. iptables -A FORWARD -p tcp -dport 22 -j REJECT--reject-with icmphost-unreachable
Ada beberapa tipe pesan yang bisa dikirirnkan yaitu icmp-netunreachable,
icmp-host-unreachable,
icmp-port-unreachable,
icmp-proto-
unrachable, icmp-net-prohibited dan icmp-host-prohibited.
3.1.1.4.11.3
SNAT Target
Target ini berguna untuk melakukan perubahan alamat asal dari paket (Source Network Address Translation). Target ini berlaku untuk tabel nat pada
chain POSTROUTING, dan hanya di sinilah SNAT bisa dilakukan. Jika paket pe1tama dari sebuah koneksi mengalami SNAT, maka paket-paket berikutnya dalam koneksi terse but juga akan mengalami ha! yang sama. iptables -t nat -A POSTROUTING -o ethO -j SNAT --to-source
194.236.50.155-194.236.50.160: 1024-32000
3.1.1.4.11.4
DNAT Target
Berlawanan dengan SNAT, DNAT digunakan untuk melakukan translasi field alamat tujuan (Destination Network Address Translation) pada header dari paket-paket yang memenuhi kriteria match. DNAT hanya bekerja
43
untuk tabel nat pada chain PREROUTING dan OUTPUT atau chain buatan yang dipanggil oleh kedua chain tersebut.
iptables -t nat-A PREROUTING-p tcp -d 15.45.23.67 --dport 80-j DNAT--to-destination 192.168. 0.2
3.1.1.4.11.5
MASQUERADE Target
Secara umum, target MASQUERADE beketja dengan cara yang han1pir sanm seperti target SNAT, tetapi target ini tidak memerlukan option --to-source. MASQUERADE memang didesain untuk beke1ja pada komputer dengan koneksi yang tidak tetap seperti dial-up atau DHCP yang akan memberi pada kita nomor IP yang berubah-ubah. Seperti halnya pada SNAT, target ini hanya bekerja untuk tabel nat pada chain POSTROUTING.
iptables -t nat -A POSTROUTING-o pppO-j MASQUERADE
3.1.1.4.11.6
REDIRECT Target
Target REDIRECT digunakan untuk mengalihka11 jwusan (redirect) paket ke mesin itu sendiii. Target ini wnunmya digunakan W1hlk mengarahkan paket yai1g menuju suatu port tertentu untuk memasuki suatu aplikasi proxy, lebih jauh lagi ha! ini sangat bergW1a untuk membangW1 sebuah sistem jai'ingart yai1g menggW1akan
transparent prmy. Contolmya kita iI1gin menga!ihkai1 semua koneksi yang menuju port http untuk memasuki aplikasi http proxy misalnya squid. Target ini hai1ya
44
bekerja untuk tabel nat pada chain PREROUTING dm1 OUTP1JT atau pada chain buatan yang dipanggil dari kedua chain tersebut. iptables -t nat -A PREROUTING-i ethl -p tcp --dport 80-j REDIRECT--to-port 3128
3.1.2
Konfigurasi Iptables Konfigurasi lptables terdiri dari tujuh file konfigurasi. Berikut ini
adalah konfigurasi lptables sebagai firewall. File rc.fircwall••fircwall
#!/bin/bash BASEDIR= 11 /root/firewall 11
if
-f $BASEDIR/config.txt ]; then . $BASEDIR/config.txt
fi ##########################################ii################ ########### #
# kernel modules and ip forwarding capability
# # $DEPMOD -a $MODPROBE ip_tables #Panggil modul ip_tables $MODPROBE ip'_conntrack # Panggil modul
ip_~onntrack
$MODPROBE iptable_filter # Panggil modul iptables_filter
45
$MODPROBE iptable_nat # Panggil modul iptables_nat $MODPROBE iptable_mangle # Panggil modul iptables_mangle $MODPROBE ipt_LOG # Panggil modul ipt_LOG $MODPROBE ipt_mac # Panggil rnodul ipt_mac
$MODPROBE ipt_MASQUERADE # Panggil modul ipt_Ml\SQUERADE $MODPROBE ipt_REJECT # Panggil modul ipt_FtEJECT $MODPROBE ipt_state # Panggil modul ipt_state $MODPROBE ip_nat_ftp # Panggil modul ipt_nat_ftp $MODPROBE ip_conntr_ftp #Panggil modul ip__conntr_ftp $MODPROBE ip_nat_irc # Panggil modul ipt_nat_irc $MODPROBE ip_conntr_irc # l?anggil modul i1>t_conntr_irc
echo l > /proc/sys/net/ipv4/ip_forward
Konfigurasi Iptables selengkapnya lihat pada lampiran
3.1.3
Testing Konfigurasi
Testing konfigurasi
menggunakan
webtools grc.com,
Symantec.com dan
venicejlorida.com. pembahasan secara mendetail disajikan pada Bab IV.
3.1.4
Analisa Basil Analisa hasil probing yang telah dilakukan, dibuat berdasarkan parameter-
parameter stealth, close.open untuk port-port yang diuji. Pembahasan lebih detail di diuraikan pada Bab IV.
46
3.1.5
Usulan Solusi Usulan solusi merupakan bagian dari penelitian skripsi ini. Solusi tersebut
diu~;ulkan
sebagai bentuk antisipasi dari serangan-serangan yang dilakukan oleh
pihak-pihak luar. Bahasan selengkapnya pada Bab IV.
3.3 Telmik Analisa Data Teknik yang digunakan dalam menganalisis data adalah dengan menguji
secara
langsung
http://www.grc.com
objek
yang
dan
akan
diuji
di
situs
internet
http://www.symantec.com,
http://www.veniceflorida.com yang menyediakan fasilitas scan dan probing port, parameter yang akan dijadikan acuan berhasil atau tidaknya sistem keamanan jaringan dalam melindungi semua unsur yang terdapat dalam jaringan adalah sebagai berikut: 1. Hasil yang didapat untuk port 21,23,25,79,80 adalah stealth maka firewall
dinyatakan tangguh dalam pengertian firewall tersebut dapat melindungi sistem jaringan. 2. Hasil yang didapat untuk port 21,23,25,79,80 adalah close maka firewall tersebut beresiko mengalami penerobosan oleh cracker yang pintar, tapi kondisinya masih dalam taraf aman. 3. Jika hasil yang didapat untuk port 21,23,25,79,80 adalah open maka firewall tersebut gaga! melindungi sistem jaringan.
47
Berikut ini adalah tabel.2 contoh deskripsi basil pengujian yang dilakukan Port
Service
Acuan status 1
Acuan status 2
Acuan status 3
21
FTP
Stealth!
Close
Open
Baik
Kurang Baik I Hati-hati
Gaga! I Buruk
Stealth!
Close
Open
Baik
Kurang Baik I Hati-hati
Gaga! I Buruk
Stealth!
Close
Open
Baik
Kurang Baik I Hati-hati
Gaga! I Burnk
Stealth!
Close
Open
Baik
Kurang Baik I Hati-hati
Gaga! I Buruk
Stealth!
Close
Open
Baik
Kurang Baik I Hati-hati
Gaga! I Burnk
23
25
79
80
Telnet
SMTP
Finger
HTTP
Dari data-data hasil analisa sistem tersebut dengan mudah dapat disimpulkan apakah sistem Keamanan Jaringan dengan aplikasi Iptables tersebut dapat mengamankan jaringan dengan baik atau tidak.
BAB IV ANALISA DAN USULAN SOLUSI SISTEM KEAMANAN JARINGAN
4.1 Lokasi Penelitian Lokasi penelitian dilakukan pada PT. PLN (Persero) Penyalman dan Pusat Pengatur Beban Jawa-Bali Sub Bidang Teknologi Infommsi yang berkaitan sekali denganjudul yang diambil penulis, yang berlokasi di Cinere Jakarta Selatan.
4.1.1
Sejarah Singkat. · Dengan terbitnya Surat Keputusan Direksi PT PLN (Persero) Nomor
257 .K/O I O/DIR/2000 tanggal 2 November 2000, tentang Pembentukan Organisasi dan Tata Kerja Unit Bisnis Strategis Penyalnran dan Pusat Pengatur Beban Jawa Bali, maka PT PLN (Persero) P3B yang merupakan unit pusat laba (profit center) berubah menjadi unit pusat investasi (investment center) dengan nama Penyaluran dan Pusat Pengatur Beban Jawa Bali (P3B).
4.1.2
Perkemba11ga11 Pcrnsabaan. PT. PLN (Persero) P3B merupakan perusahan yang dituntut untuk
dapat memberikan layanan yang semaksimal dan sebaik mungkin karena fungsinya sangat penting, untuk itu PT. PLN (Persero) P3B harus memiliki visi dan misi, tinjauan organisasi, dan ruang lingkup usaha untuk dapat memberikan layanan yang sebaik mungkin, adapun isi dari visi dan misi itu adalah :
49
4.1.2.1
V'isi Diakui sebagai pengelola transmisi, operasi sistem dan transaksi tenaga
listrik dengan kualitas pelayanan setara kelas dunia, yang mampu memenuhi harapan
stakeholders,
dan
memberikan
kontribusi
dalam
peningkatan
kesejahteraan masyarakat.
4.l.2.2
Misi 1. Melakukan usaha transmisi tenaga listrik yang efisien, andal, an1an dan ramah lingkungan; 2. Melaksanakan pengelolaan operasi sistem tenaga listrik yang andal, aman, bennutu dan ekonomis; 3. Melaksanakan pengelolaan transaksi tenaga listrik yang transparan dan kredibel; 4. Melaksanakan pengembangan dan pemberdayaan sumberdaya manusia (SDM) yang kompeten dan profesional; 5. Mengembangkan usaha di luar usaha pokok yang dapat memberikm1 konllibusi pada perolehan laba usaha.
4.1.3
STRUKTUR ORGANISASI. Struktur organisasi terdiri dari dua kata, yaitu kata s.truktur yang berarti
kata susunan atau bentuk, sedangkan organisasi adalah sekumpulan orang yang
50
beke1ja secara bersama untuk mencapai suatu tujuan. Jadi struktur organisasi yaitu susunan atau bentuk yang terdiri dari sekumpulan orang yang masing-masing mempunyai tugas dan tanggung jawab berbeda se1ia sating bekerja secara bersama untuk mencapai suatu tujuan. Struktur organisasi PT. PLN (Persero) P3B merupakan suatu kumpulan unit kegiatan kantor besar, terdiri dari region-region yang masing-masing region didukung pula oleh UPT (Unit Pelayanan Transmisi), UJT (Unit Jasa Teknik) dan sub region saling terkoneksi dengan jaringan internet. Berikut daftar unit Penyaluran PT PLN (Persero) P3B: I. PT. PLN (Persero) Region Jawa-Banten.
2. PT. PLN (Persero) Region Jawa Baral. 3. PT. PLN (Persero) Region Jawa Tengah dan DIY. 4. PT. PLN (Persero) Region Jawa Timur 5. PT. PLN (Persero) Sub Region Bali Peranan dan tugas staf-staf yang terkait secara langsung dan bertanggung jawab dengan pengoperasian dan penggunaan semua fasilitas komputerisasi pada jaringan LAN dan WAN baik itu internet, extranet dan internet di PT. PLN (Persero) P3B dipaparkan sebagai berikut: );>
Sub Bidang Teknologi Infonnasi :
1. Sistem Analyst. Fungsi dan Tanggungjawab:
+ Menganalisa dan mendefinisikan kebutuhan aplikasi baik itu yang ada (existing) atan yang baru akan dibuat.
51
+ Merancang (desain aplikasi) atau mengimprovisasi : proses sistem yang sedang berjalan sesuai dengan kebutuhan saat ini dan yang akan datang.
+ Membuat
persiapan
untuk
spesifikasi
kebutuhan
sistem
pengembangan atau aplikasi sebagai acuan petmtjuk programmer.
+ Membuat sistem procedure dan user instructions. 2. Sistem Programmer. Fungsi dan Tanggungjawab:
+ Be1ianggung jawab terhadap pemeliharaan, improvement, dan uji coba dari operating sistem, library software, sistem utilities program.
+ Mengkoordinasikan antara operating sistem dan aplikasi. + Mengawasi hubungan dari aplikasi dan sistem program. 3. Programmer atau programmer aplikasi Fungsi dan tanggung jawab :
+ Mengidentifikasi kebutuhan' program yang se:mai dengan sistem desain yang telah ditentukan oleh Sistem Analyst
+ Membuat flowchart logic dari sebuah program atau function atau obyek
+ Membuat coding dalam suatu progran1 languagt: + Melakukan· testing dan debug dalam suatu program
+
Mempersiapkan dokumentasi program
4. Networking Sistem Administrator Fungsi dan tanggm1g jawab:
52
+ Melakukan persiapan kebutuhan jaringan dalam suatu aplikasi + Melakukan studi-studi untuk meningkatkan unjuk kerja jaringan
+ Mendesainjaringan data untuk kebutuhan aplikasi + Melakukan monitoring unjuk ke1ja sistem jaringan 5. WEB Administrator Fungsi dan tanggung j awab
+ Melakukan identifikasi kebutuhan web saat ini dan yang akan dating
+ Mengalokasikan web dalam jaringan Intranet, Extranet, Internet
+ Melakukan pemeliharaan contents dari web + Melakukan pengawasan terhadap pemakai jaringan Intranet atau Extranet serta Internet.
4.2 Karakteristik dan jenis Firewall yang digunakan
Dalam proses implementasi sistem keamanan jaringan digunakan
firewall yang mempunyai karakteristik dan jenis yang disesuaikan dengan kebutuhan perusahaan dilihat dari berbagai segi keamanan data perusahaan.
4.2.1
Karakteristik Firewall
Firewall yang digunakan sebagai sistem pengaman jaringan di PT. PLN Penyaluran dan Pusat Pengatur Behan Jawa-Bali mempunyai karakteristik sebagai berikut:
53
1. Firewall ini terdapat pada Linux dengan kernel versi 2.4x 2. Hanya dapat bekerja di sistem operasi linux 3. Firewall ini tidak memerlukan lisensi khusus karena telah terdapat dalam satn paket linux 4. Firewall diletakkan diantara internet dengan jaringan internal 5. Informasi yang keluar atau masuk harus melalui firewall ini 6. Bekerja dengan mengamati paket IP (internet protocol) yang melewatinya 7. · Dapat melakukan fungsifiltering dan fungsi proxy
4.2.2
J enis Firewall yang digunakan Sesuai dengan sistem operasi yang digunakan sebagai server maka
firewall yang digunakan adalah Iptables yang sudah terdapat satn paket dalam Linux dengan kernel versi 2.4x keatas.
4.3 Analisa Efektifitas Penerapan Iptables sebagai Sistem Pengamanan Jaringan Komputer Pada proses analisa sistem keamanan jaringan, agar mendapatkan hasil yang benar-benar aknrat, metode yang dilakukan adalah dengan melakukan probing dan scanning port melalui webtools yang disediakan oleh sitns-sitns yang
menyediakan layanan tersebut. Ada beberapa sitns yang menyediakan layanan probing port diantaranya adalah:
http://www.grc.com/,
http://www.veniceflorida.com/,
http://www.dwam.com/, dan http://www.symantec.com/.
54
4.3.1 Analisa sistem keamanan jaringau menggunakan webtools grc.com Langkah-langkah teknis proses analisa yang dilakukan pada situs grc.corn adalah sebagai berikut: I.
Pertama masuk kehalaman muka dad situs grc.corn, yang mempunyai alamat: http://www.grc.com/default.htm, kemudian klik ShieldUP!! Gambar. 7 halaman muka grc.corn
2.
Kemudian klik online internet secudty test atau klik shields up. Gambar. 8 halaman secudty test
-.S_pJnBJtc.,.ti.._Q
_
_
_
_.
_
.
.
1·m_,.,, Pl
-<J"<;"
;i.i;um
Th• most trufl•d •nd w:a.1y Ull..0 ... 111\ty thtat wrltton-f<'.it-n\•sS stor•u• d.itta f*C<>ll•rY· ~d lon_o~ t•ml m•inl•n...,cv. Splnru1a I• mv -•t•<J>l•ce. If you don't •llWfld\I ow_n or know- abQut Spl<'!Rit•, en.ell. (>I.It thH• pagu.,_'Th• fi.>t<.>tw o' Vl>\.Jl'_d.,I• could d<Jpand UJ)O!l 11. ti
Shl.cldaUE.I.
_
_
-~il.!!.tl:1,a'>• n\l'_.,,,,.,....~,.,.-1!!'
Th• lnt•mot'"f ¢>1d
!,. aod lrust&d, ft\lja 11\to""'t ••cUlit~- chaclp and onfo,.,...t\Qn s•rvlca,·And now ln Its Po
__
.
.
.
.
.
_ i;;,,ll:ll)fat d<>wn10-.w:l1>
JJ;An~·program•-or 111fu••"· Th•'"'-• to Ollis f\l'Jlt vonlon c;f l..
"'""'!" •>lt•ll.on.
••I•
55
3.
Langkah selanjutnya akan ada dua pilihan proses, klik command button Proceed pertama untuk proses selanjutnya. Gambar. 9 halaman autentifikasi proses
Pl•"*"' ta.~• Jud• mnn1u" '" l•ad
.-.,u Nno:!
Y~m uu <>f•h ........... ,_.,,.K; YUl'>•••b~ .... """"'"" ••'"""'' "'" .... ,,,,,.,....,not..UK•O "'"''''"'""'-
.,,,..,u«..,••• <•O• •nd ••qU•••• "'""•n<MI"'"" yow '""'"''""'• 5hlol4•U•U t.- .. ...!;p1<>ko ""' .. ..,,, . . ....,.,._,., .._,..,.,, , . . , .. ,.,, ""'"' "'"'° ,...,1> ... o "'""' rir..:~~:.:::.::~:.·~:::~...l=.1"~-:.-:.:· :.~: ::::<>..w ::. .~::::.':'.. -:!!.~'- t!:':'..:,":!'i: .:;~.~:..~ ...:~ ..~ ... lnh"'.•~"'""-'"
P•"'<<>
1<0 11<eo><.....,no1< "'"'•d r.om , • .,,-.,,., <>l' ''" •ny ....... H .. wh . . •0Y0t< )f
''""'d; "'""d •• .,,.4 i.y·u• •• ""'""'
You•••"''"" • P'""n•! 11.. ,.,11 p«0dm~ "'~"' l.041 «>nh
,._ """'"' ~'""' "''' ,,..,.,>11~"'~'"""' •J"''""" u~.•.~u.7H ...i,,.,. ~u.1.~••.u~.• ,,.,. " .. ~'"' "'" ............... a ... ,""" •• - . - • ., .... o• ........ ,.,,,Ou• 1.rtHUOIO!I •TTIMJ>T ''"' ..... """"" .......,, •.,)yol " ' """~~ '"'""'"'"""" th•t >'"" '""'"'"" , . . . . . .Q . . . . . . . . . . . . . . . . . . . .
•TT•~>< ... ~""'~"""'""'•""~<•"~••
•~ool"o •v•O."" ••• """''"'"'~""""""''lo\<\ 1>1010 ~· "~' "• ........,..d •M "'"" "'"""'""- i.. .,~..,. '"•••" •u•· IY• ·~.........
Your lnt111mat connocilon·11as nu Ravqn1a·0Ns
4.
Kemudian akan ada beberapa pilihan proses service shieldsup! Pilih Common Ports. Gambar. 10 halaman pemilihan port
'"
Fin:t time us a rs should start by chocking lhair Wlndowi~ Fiie Sharing aud Common Ports: vulnarabilitio with tha 'Fila Sharing• and •comm.on Ports• buttons bn!ow.
F" For oriontatlon and lnfonnatian about tho Port Authority :i;ys:tem, click tho Homo or Holp Icons ln the titlltbar , , ,
/,~f~'~;~)~~~'.·f\,:iiilil:iltlilliltill/1!ilm .· :: lr\f9JtTHl,tic)ri ::about;.\,'\'lp
. ::·::::;·;~n~;:.~r,it~_r;i;.~~··.~8/:~:~·in.~;~~1 The followlnQ pages provide addltlonal background, Insight, end esststance:
.
56
5.
Tunggn dalam beberapa menit maka akan ditampilkan has ii proses analisa yang telah dilakukan, seperti dibawah ini:
Gambar. 11 Halaman hasil dari proses probing Port Authority Edition - Internet Vulnerability Profiling by Steve Gibson, Gibson Research Corporation.
Checking the Most Common and Troublesome Internet Ports This Internet Common Ports Probe attempts to establish standard TCP Internet connections with a collection of standard, well-known, and often vulnerable or troublesome Internet ports on YOUR computer. Since this is being done from our server, successful connections demonstrate which of your ports are "open" or visible and soliciting connections from passing Internet port scanners.
Your computer at IP:
Is being profiled. Please stand by • ..
Your system has achieved a perfect "TruStealth" rating. !Not a single packet - solicited or otherwise - was received from your system as ·a result of our security probing tests. Your system Ignored and refused to reply to repeated Pings (JCMP Echo Requests). From the standpoint of the passing probes of any hacker, this machine does not exist on the Internet. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system wisely remained silent In every way. Very· nice.
57
Telnet Thetel.sNa•evlbENCi!•WHATSOEVER'thatiil····· SMTP
p_ort-(or even-any compUter) ·exlsts·cifthls'IP
address!
Th.ere 1.s .NO E)IIDENCEWHATSOEVER. that a Finger
port (or even·anY computer) exists afthls'IP: address! -
HTTP "l"H1t~;it~i:ilWil)~NcriVl~~l·§8e\JE~::£h~t·· pe>}t_ _(_~{\~~--~tj;;_a,hy'.CoiliP_Uter):'exlstS'-iit 1 a_·9~r¢·~-~-J-::'.;_'x'i'-ilttff}~:;::1<:~}:::_;ji;:{:}if:;]i:;::,{;'.;;:k'. :·;:;,t:
:r1J~r•1• ~C>1ev1i?iNfg wfii\'f~6~vfi~r·"·
P9it;-_c9r,_~,k-~:fr;~hif,·_c_o_mPuter)"'ex1StS-:-:-·a9_g,re~s\!;'~tt;~JM~~\?j:;§[.: -----~t-
NNTP
' -
58
DCOM
Tl1e(e!s . NO.EyfC>ENCE . WHATSOEVEf(.th~t.~i!• ..•··. port (or-even·-any··compi.Jter): exlsts--atthls--Ip'. addiifS_sl .,,_--- --------:- -- ---- ·- ·-· ' - - _,_ .. -- ---- ' - _ _ _,_-.-. , .,.. -
Host
Th.ere.1.s NO.EV!DENC.E WH.ATSOEVER•tl1at ~·. port_'(9r·ev:en··any·cornputer) exists at_:_tflls _If{·:-' addi"'eSs! / ·,,-. ,. -- · ·.__ ,,,_ · ------
Host
Th.•te Is. ~o~yib~N~.EWfi.ATSOEl/E~•th~\liy port (~fl\.eV:el)_.-~oY.•·computer) ·exlsts:_at-:thls--
J,hi'.e"•is~c}'~YJ\lE~~.~.~Hf,tsp~Y,.eR,fh~t~i.t,
Host
,:. port> (or·--eV'eil'Bl1y't:dmp uter) 'exists_. at;l:h\silP.:>>
a'dCfreSS!"'"'' >>'•'"\
,-,,_-,,·c;_.' - '" -__
"- ' - - ', ,", "'-"'/':''
Host Th~re Is. NO ~VIl)ENCEWHATSOEVEithat~·.;. Host
port.;'(br eyetrany cdrnputer) ·exlsts:at;,th_IS'~RL{-f: 1\ add.' re:s._-_SJ-·./.'. 'S5 '..h-g.·;: ' ~:;>y,_:- 'VY>:;)V'~ _-,_
-------""<<
to3o There.ls.NO EYIDENCE WHA'(SOEl,/ERth~t~': .•
pa·rt _(or eve_rJ ·a_ny computer) exlsts·?_t th\s _ I~;1 -_':-, addre~sl
-
"
You may click on the Text Summary button to receive a condensed textual report of the Common Ports Probe findings displayed above. You may also click on any port number link above to jump to detailed information about that port contained in our Port Authority database. For help and information about the meaning and importance of "Open", "Closed" and "Stealth" port statuses, please see our Internet port Status Definitions
Dari basil yang didapat tidak ada satnpun port dari port yang didefinisikan diatas yaitu port 21, 23, 25, 79,80 yang berindikator closed ataupun open. Semua port memiliki nilai Stealth, yang berarti jaringan dalam keadaan aman dari sniffing, proffing, DoS Attack dan gangguan lainnya.
59
4.3.2 Analisa
sistem
keamanan
jal"ingan
menggunakan
webtools
symantec.com Analisa yang dilakukan dengan menggunakan webtools Symantec.com, rnerniliki perbedaan konfigurasi rnaupun basil dengan tes sebelurnnya. Hal ini dirnaksudkan agar ada perbedaan pada basil analisa. Perbedaan yang dilakukan adalah dengan rnernbuka port 22 (ssh), sehingga basil yang terlibat adalab babwa sistem kearnanan jaringan rentan akan babaya penyerangan oleb para cracker. Dan perlu ada antisipasi dari pibak administrator sistern kearnanan jaringan dengan rnenarnbahkan beberapa program kearnanan Jainnya. Berikut ini adalah urutan proses analisa: 1. Masuk kedalarn home page syrnantec.corn 2. Lakukan scanning security jaringan 3. Ada dua basil yang didapat, yaitu basil scanning port dan basil check
Trojan horse, berikut ini adalab hasil-basil yang diperoleh Garnbar. 12 halarnan analisa keseluruban dari sistern keamanan j aringan
_~_...._"·~~~ . '..:.~ r/6- _$.;i~;~·~::;'.i=; ,__ ....;.. .._,. ..~.~~~·;:;;:;;';),'.:;;,~... ->Wl .Qst.U.
................_._,,,,..........
~:::.r.':'::· ...,,.,..,.., wo• •• T,.j>" ho"'"
y ............. .
'"~--
.
=-~ ~~.: .m""-'
!t~'l'c~~~~~·::~-:.:·;::::i ..
......
~·~·~"-
60
Gambar. 13 halaman probing port Symantec.com
Moro obout your Hlilckor Expovuro Chock_r.,1;1ultS> ~:;.~.:~~·!:::.!:s.;.•""
'·"""' '""' -~--·· ~·.., .~ ........,,,,-,,,.,,, ~. •~-~m·• """"'"""~' ••• ... .n,
·-·-----_,..,.. ,
- \1'_·.:_
- '.•
~g"!.' E~::¥.:~::.:r,::::.::~:~~5;:~~~:;::=:::::_:-_:::L:::::?~-:::~~--:~~ .'.'_!?<>d ti~-~.:i::~:.f!':': !'~.::z..;:1~:::~=:~==::.:.~:::~::: ••!'?.... f~~~~2:*R~~·~s:t:~~:~f::r~3E~~~~~·tfrJ"J;~'F.!.:.;.\::E:'::.t1~1:~.!·Z~:l:i'
--
.i:m
~-~~:1r-~~;,,:£~~z-~:~~~~~·.~~::.~~::-"::~!~.::::_:_~~:::~~'.:·~::_=:'!_'~::.: ·.:.......F.F1~~..,,7.'.:!~~~'.:~~:;7:.:: ~;:*.!~_!";<'::~~::.:=.:~~E:.::.:::::~!'~.:..:::.~1
..
.........
·-·- ;-..":::..~~_,_".:';'::;:.:E:-?O:!· ~~~..~=·;:;~:.~-~~·:.~~".::~~tt!•=~:-3'.::";.:~==··-·J.~!! ...
I••
~t:..f.!:'!';~7"'.:..·:~::;;.·;:.~:.:. ':O:w.;."~~:. ·.::;:: -:.:.~!:."::~~:::..:.-.!:: .~..
.,::,h
::~.':':=: ~.:.=:7.';;'"'::.""~?:-.".:.'!i'i:!!.'!~:~.o:1:::·..............';"..." ....... __
.:i':.,l!
~r,.~:;,',!,":';;;;:=-.~.t:":';.:",.";h'.:':.":'l~ '!",."tn'!~~:;~:~~~~""::;~,!',;;;,•~~~!:l, Ci 1unr !ln!IJJ 11np-n11u~. • P'"'"'"! ••• P•••"'"" '*""" >fTT~ um"'""'""•"" II •~ouff ~. _@ --~~:.:.::::.~~~:!-~:=.:.._-----·-------"""' H>
61
Gambar.14 halaman analisa Trojan Horse
A dcitullod look ut your TroJun Hor!llo Qho.;:k rosult'ii'.
... <>
·---·---- --·---·-----·-----·--·-----------1'.Jff!!.!!.
"" :.::::__::::::__________________,,..,.k ""
........... ·---... -·-·-·-!'.!~·.l.!.
_::_':_:__::::___, ____ ,_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _._~\.!1
"~··~ --.~-~:::...::.:::-:~'.'.:::'::. ...
______ ·-···-·-_:_.·---··---··--------',.:.:.,~
·-··-·-·-·--·~=:::~ . :.'...-:-.:.'...~-·~'.:'~.---·- ------·---·-----·-·····- ·---~l=t!!. ..,
.;_~~:-~-------------------·-----~lli
""'
,..,.,~
.."""",,.
----~
...'
.::::......-::::.::::~..·.:. __ .. __ ,_______________ ,___ ,______ ~!l.I!.
·-·---~~~:-~~~-----·--·--·--------·-·-·----------· -·--'--·~--~··.'_-.:..""_"c'.·-------
··----
··-____,.,°'?tJ.t
62
...
. ...
·········.· ·---
'
'
--
----
-•
"'
.
----m
... ··---·-·--..··-·---· ----·--·--···-·----·-··- ·--·-·---·-··-----·--'"""'·mi ··~····"•"" ..... -···--------·-·--·----·
··--·-·-·--·-"·l!IAllU:i
..........--·------·-··-----·-·-----··-·--·-·----- ·-·--------·-----"-'"""!!.!!. ·-----·--·---·-----·----·-·--·- ·---·---·-·--·----~!-.I.tit.
- - - - · - - - - - - - - · - · - - - - - - - - · - - - - - - · - - - - · - - · - ··---------·---.11.,.. m, 0 - - - -·~~·-··" - - - ... - ~... - - - - - - - · - - - - - - - - ·------~:!l.W!tllll ··--·--·--·------!li-.111!
----·--------------------------......;J!h;!l.11!1 :::~·:::._
...:.::=::::_, ____________________________u=:Lb • •-
olll
. . . . . . . . . ev~
------------·-·-----------------------~·-.,,,, ----------
_____________uu.1u1
/liiiiWWli't•1ru.:ti·~i-ll~limr'i'YWW"1lm'.iWiirf~m-~·jltjg.w~J\:'"'""""'1!il""''1ll°""""'""'"'"''"""""'""lll
Gambar. 15 halaman analisa persentase kemungkinan resiko yang dihasilkan
........... AtRi<•""'""""""""l>""''"""''!:I~
ol
"uoo"'"' """' "'"''"~
,,.,,_,,.,~,,
......
63
Dari hasil analisa yang dilakukan oleh Symantec.com baik untuk probing port maupun penelusuran akan bahaya serangan Trojan horse. Dengan perlakuan
dibt1kanya port 22 (ssh), maka dapat dipastikan terdapat lubang keamanan yang dapat dipergunakan untuk menyerang sistem keamanan jaringan, baik melalui spoofing, sniffing, maupun melalui DoS Attack, serta jenis-jenis serangan lainnya.
4.3.3
Analisa
sistem
keamanan
jaringan
mengg;unakan
webtools
veniceflorida.com Proses analisa melalui webtools veniceflorida.com sangalah sederhana, tidak seperti proses yang dilakukan oleh webtools sebelumnya. Apabila ingin melakukan proses analisa yang hams dilakukan hanyalah masuk kedalan1 situs veniceflorida.com, dan secara otomatis akan dilakukan proses scam1ing dan probing port. Hasil analisa yang dihasilkan cukup baik, sama dengan hasil probing yang dilakukan oleh situs grc.com, dan dengan kondisi konfigurasi Iptables yang sama. Dengan pengertian bahwa konfigurasi untuk semua layanan komunikasi melalui port-port
ditutup.
Hasil
analisa
yang
dilakukan
melalui
webtools
veniceflorida.com disajikan pada halaman berikut ini. Gambar. 16 halaman hasil probing Quickly Check for Connectable Listening Internet Ports Port Probe attempts to establish standard TCP/IP (Internet) connections on a handful of standard, well-known, and olten vulnerable Internet service ports on YOUR computer. Since this is being done from our server, successful connections clemonstrate which of your ports are "open" and actively soliciting connections from passing Internet port scanners.
64
Your computer at IP: Is now being probed. Please stand by •••
Port
Service
23
Telnet
Therel~iNp11~~foE'N<: E'
79
Finger
. . ,, 1 •.'l"J l:!Ail?R,t;lit\~.~~11,i'4li'' 1
address! · ···· · ·
65
so-P_iea:#:e_:bf7-,:~:~--~~,--~():::~,-~-;~;-:·,~~-~-~~~tl'to'.:·:*;i;"~~,~ knq:N---w,"~e_n ;t_his :-_rl-~v,t1:;~()ITlP.1_:~~~-1_y.'.fieE? ~: p9~:::~8~-
Port Status Descriptions:
If all of the tested ports were shown to have stealth status, then for all intents and purposes your computer doesn't exist to scanners on th•? Internet! It means that either your computer Is turned off or disconnected from the Net (which seems unlikely since you must be using it right now!) or an effective stealth firewall is blocking all unauthorized external contact with your computer. This means that it is completely opaque to random scans and direct assault. Even If this machine had previously been scanned and logged by a would-be Intruder, a methodical return to this IP address will lead any attacker to believe that your machine Is turned off, disconnected, or no longer exists. You couldn't ask for anything better. There's one additional benefit: scanners are actually hurt by probing this machine! You may have noticed how slowly the probing proceeded. This was caused by your firewall! It was required, since your firewall Is discarding the connection-attempt messages sent to your ports. A non-firewalled PC responds Immediately that a connection is either refused or accepted, telling a scanner that it's found a live one ... and allowing it to get·on with its scanning. But your firewall is- acting like a black hole for TCP /IP packets! This means that It's necessary for a scanner to sit around and wait for the maximum round-trip time possible - across the entire Net, Into your machine, and back again - before It can safely conclude that there's no computer at the other end. That's very cool. FALSE STEALTH REPOR1·s A "Stealth" port is one from which no reply is received (neither acceptance nor refusal) in response to a connection initiatio·n request. This ShieldsUP web site sends a series of four connection requests, waiting for any reply after each one. If no reply is received to any of them, the port Is declared to be "Ste'alth 11 • • • and for all Intents and purpo?es that's exactly what it Is. But Internet 11 ;packets11 are continually being lost In route to their destination: When Internet 11routers 11 are overloaded with traffic they have no recourse other than to simply drop packets completely, hoping that they will be resent when the destination falls to acknowledge their receipt. This, of course, is why we tty four time!> to get thrOugh. Therefore, If prime-time Internet congestion coupled with a slow or noisy connection were to cause those four packets to become lost or garbled, our port test would show "Stealth" when your port would have replied If It had ever received the request. If you suspect that this may have happened during th" assembly of the report above, simply refresh yqur browser1s page to re-run the tests. If the results differ you can presume that congestion or a weak connection were the temporary cause. NOTE: If your system did NOT show up as Stealth! but you wish that it could, you;ll need to use one of the Inexpensive (or FREE In the case of Zone'Alarm 2!) personal firewalls I've discovered. I will also be creating my _own firewall which you can monitor and be informed of, by adding yourself to my eMalling System. But In the meantime ••• I'd advise you not to· wait! (Especially since ZoneAlarm 2 Is completely FREE for Individual use!)
66
"Closed" is the best you can hope for without a stealth firewall in place.
Anyone scanning past your IP address will immediately detect your PC, but "closed" ports will quickly refuse connection attempts. Your computer might still be crashed or compromised through a number of known TCP/IP stack vulnerabilities. Also, since it's much faster for a scanner to re-scan a machine that's known to exist, the presence of your machine might be Jogged for further scrutiny at a later time - for example, when a new TCP/IP stack vulnerability i.s discovered. You should stay current with updates from your operating system vendor since new "exploits" are being continually discovered and they are first applied upon known-to-exist machines., , like this one!
If one or more of your ports are shown as OPEN! then one of the
following two situations must be true:
You have servers running on those open ports: If your system is running Internet servers on the ports shown as OPEN, you should stay current with PC Industry security bulletins. New security vulnerabilities are being found continually. When crackers learn of a new vulnerability, they quickly grab their scanner Jogs to search for systems that have been scanned In the past and are of the known-to-be-vulnerable type. This allows
67
Hasil analisa yang didapat dari Veniceflorida.com, menyatakan bahwa sistem keamanan jaringan dalam keadaan sangat baik, dan kecil kemungkinan untuk disusupi oleh cracker. Hal ini dapat dibuktikan dengan kondisi port dalam keadaan Stealth, tanpa ada satupun port yang terbuka. Analisa yang diperoleh berdasarkan hasil dari probing port ketiga webtools diatas, menunjukan bahwa sistem jaringan berada dalam keadaan aman, karena port-po1i yang dapat menjadi lubang keamanan berada pada kondisi Stealth. Hal tersebut berindikasi bahwa sistem keamanan jaringan komputer
dengan menggunakan Iptables dapat melindungi semua bagian dari jaringan komputer, baik data maupun aplikasi-aplikasi yang dipakai. Untuk hasil analisa yang didapat dari Symantec.com, terdapat lubang keamanan pada port 22 (ssh), tapi konfigurasi sistem keamanan jaringan memang dikondisikan berbeda dari konfigurasi sebelumnya, agar dapat menjadi bahan pembelajaran dan perbandingan dalam proses analisa. Tapi secara umum sistem keamanan yang dipakai sudah sangat baik.
4.4 Usulan Solusi Ada berbagai macam aplikasi-aplikasi yang dapat dipakai untuk melindungi dari cracker-cracker yang mencoba masuk kedalam sistem jaringan. Diantaranya adalah:
68
1. Program aplikasi Antisniff Program aplikasi lni dibnat oleh LOpht heavy industries, Inc. program ap likasi ini dapat menscan segmen-segmen dari Network Inte1jace Card. Program aplikasi ini didesain bekerja secara dna arah yang akan memeriksa, dan mengidentifikasi mesin apa yang berada pada snatu segmen jaringan. Program ini dilengkapi juga dengan alarm sebagai pengingat apabila terjadi hal-hal yang dianggap mengancam sistem jaringan. Dan kelebihan lainnya adalah program aplikasi ini dapat mengirimkan pesan email kepada administrator jaringan apabila suatu waktu seda!1g berada ditempat lain. Sedangkan kelemahan dari program ini adalah tidak dapat mendeteksi adanya serangan DoS Attack, serta tidak dapat menutup port 25 apabila terjadi serangan. Gambar apl:ikasi Iihat halanmn lampiran.
2. Program aplikasi Attacker Program aplikasi ini dibuat oleh foundstone Inc, ini dapat mendengarkan
port-port komunikasi TCP/IP maupun UDP, cara kerjanya adalah dengan mendeteksi koneksi komunikasi data pada port-port TC:P/IP dan UDP dan mengirimkan hasilnya dengan menampilkan alamat dari koneksi itu berasal. berikut ini adalah gambar tampilan program aplikasi attacker. Program aplikasi ini memiliki kelemahan yaitu tidak dapat mendeteksi adanya penyusup yang menycrang melalui port 25. Gambar aplikasi Iihat halaman Jampiran.
69
Demikianlah usulan solusi ini ditawarkan, untuk mengatasi atau sebagai bentuk antisipasi daripada serangan yang dilaknkan oleh pihak-pihak yang tidak bet1anggung jawab.
BABV
Kesimpulan dan Saran
5.1 Kesimpulan
Kesimpulan yang dapat diambil dari penulisan skripsi ini adalah : l. Jen is Firewall yang digunkan oleh PT. PLN (Persero) Penyaluran dan Pusat Pengatur Beban Jawa-Bali adalah dengan menerapkan program aplikasi Iptables sebagai sistem keamanan jaringan. 2. Dengan pemakaian lptables sebagai firewall sebenarnya telah cukup untuk memagari jaringan yang terhubung ke Juar, dengan berbagai rnacarn serangan dan ancarnan yang datang dari pihak-pihak yang tidak bertanggung jawab. 3. Webtools yang digunakan dalarn proses probing po1i mampu rnendeteksi adanya Jubang kearnanan. 4. Dalam pengarnanan jaringan kornputer harus memiliki berbagai macarn program aplikasi sistem keamanan seperti Attacker, Antisniff dan program aplikasi anti virus yang handal sepe1ii Norton, agar jaringan menjadi lebih arnan dan sebagai antisipasi apabila diternukan lubang keamanan.
5.2 Saran
Saran yang diusulkan kepada pihak perusahaan dan pihak yang merniliki kepentingan yang sarna dalam ha! sistem kearnanan jaringan !computer, yaitu:
71
I. Agar selalu memperbaharui sistem keamanan jaringan yang telah ada sesuai dengan perkembangan kemajuan teknologi keamanan jaringan komputer, karena perkembangan yang te1jadi sangatlah cepat. 2. Seorang administrator sistem keamanan jaringan harus selalu menambah wawasan tentang perkembangan sistem keamanan jaringan, karena ha] ini sangat bermanfaat sekali sebagai Iangkah
antisipasi dan pengamanan
jaringan yang harus dilakukan. 3. Membuat sistem keamanan jaringan berlapis, seperti misalnya dengan menerapkan Aplikasi Iptables sebagai firewall, Attacker atau Antisniff sebagai pendeteksi dan Norton sebagai anti virus, sehingga sulit bagi cracker atau pihak-pihak lain menembus sistemjaringan yang ada. 4. Pihak manajemen PT. PLN (Persero) harus memberikan dorongan dan bantuan pendidikan dan pelatihan bagi SDM, agar kemampuan praktis menjadi lebih berkualitas. Demikianlah kesimpulan dan saran yang dapat diberikan, semoga bennanfaat bagi semua pihak, terutama bagi PT. PLN (Persero) Penyaluran dan Pusat Pengatur Beban Jawa-Bali (P3B).
DAFTAR PUSTAKA
Andreasson, Oskar, Iptables Tutorial 1.1.19, [email protected], 2001-2003. Anonim, http://www.netfilter.org/, 2 Maret 2004, pk. 16.23 WIB. Anonim,http://iptables-tutorial.frozentux.net/iptables-tutorial.html#RCFJREWALL TXT, 14 Desember 2003, pk. 12.03 WIB. Anonim,
http://iptables-tutorial.frozentux.net/iptables-tutorial.html#RCFLUSH-
IPTABLES TXT, 14 Desember 2003, pk. 11.38 WIB. Anonim, http://www.netfilter.org/documentation/index.html # FAQ, 2 Maret 2004, pk. 16.18 WIB. Anonim, http://www.news.com I News I Item/ Textonly I 0 , 25 ,20278,00.html? pfv, 13 Mei 2004, pk. 21.40 WIB. Anonim, http://www.news.com/News/Item/0,4,20226,00.html,13 Mei 2004, pk. 21.27 WIB. Anonim, http://www.ee.s.iue.edu/-rwalden/networking/icmp.htm, 1 Mei 2004, pk. 21.4 7 WIB Anonim, http://ipsysctl-tutorial.frozentux.net/other/rfc792.txt, 14 Desember 2003, pk. 11.57 WIB. Anonim, http://iptables-tutorial.frozentux.net/other/rfc793. txt, 14 Desember ·2003, pk. 12.13 WIB Anonim, http://iptables-tutorial.frozentux.net/other/ip_ dynaddr. txt, 14 Desember 2003, pk. 12.17 WIB.
73
Anonim, http://www.netfilter.org/unreliable-guides I packet -- filtering - HOWTO
I index.html, 6 Maret 2004, pk. 20.21 WIB. Anonim,
http://www.netfilter.org/unreliable-guides/NAT-HOWTO/index.html,
6 Maret 2004, pk. 20.25 WIB. Anonim, http://www.netfilter.org/unreliable-guides/netfilter - hacking - HOWTO I index.html, 6 Maret 2004, pk. 20.40 WIB. Anonim, http://www.grc.com, 8, 17 Juni 2004, pk. 10.12 WIB. Anonim, http://symantec.com, 25 Juni 2004, pk. 14. 20 WIB. Anonim, http://www.veniceflorida.com, 25 Juni 2004, pk. 14.26 WIB. Linux, Mail Administrator, WebCenter Technologies Inc., 2001. LINUX, System Administrator, WebCenter Technologies Inc., 2001. Mei, Wang, MCSE Tutorial on Networking Essential, E-Book, 2002. Purbo, Onno W., & Wiharjito, Tony, Keamanan Jaringan Internet, Elex Media Komputindo, Penerbit Kelompok Gramedia, Jakarta, 2000. Riza, Taufan, TCP/IP dan Managemen Jaringan, Elex Media Komputindo, Penerbit Kelompok Gramedia, Jakarta, 1999. Sembiring, Jhony I-I,
r. Jaringan Komputer Berbasis .1...,znux, Elex Media
Komputindo, Penerbit Kelompok Gramedia, Jakarta, 2001. Takenbaum, Andrew, Computer Network, 4th ed, 2003. William, Stallings, Data and Computer Communication, 7th ed, 2004.
Lampiran 1 : Table Hubungan refcrensi model OSI dengan protokol Internet.
Lapisan
7
Protokol DHCP (Dynamic Host Configuration Protocol)
Protokol untuk distribusi IP pada jaringan dengan jumlah IP yang terbatas
DNS (Domain Name Server)
Data base nama domain mesin dan nomer IP
FTP (File Protocol)
Protokol untuk transfer file
Transfer
,1-HTTP (HyperText Transfer Protocol)
Aplikasi
I
Protokol untuk transfer file HTML dan Web
\ MIME (Multipurpose Internet Mail Extention)
Protokol untuk mengirim file binary dalam bentuk teks
NNTP (Networ News Transfer Protocol)
Protokol untuk menerima dan mengirim newsgroup
POP (Post Protocol)
Protokol untuk mengambil mail dari server
'
' I
i Aplikasi
I I 6
Office
"i
SMB (Server Message Block)
Protokol untuk transfer berbagai server file DOS dan Windows
I
SMTP
Protokol untuk pertukaran mail
(Simple Mail Protocol) (Simple Management
Presentasi
Protokol untuk manejemen jaringan
Proto'~ol
I
-----1
l 15
Sessi
FTP)
untuk akses dari jarak jauh
Proto!
75
r· - ---
I
4
ITransport
Transport
-r
I i 13
Network
Internet
LLC
2
,-
MAC
1
!
beroriantasi
~-·---
Protokol pertukaran (connectionless)
IP (Internet Protocol)
Protokol untuk menetapkan routing
RIP (Routing Information Protocol)
Protokol untuk memilih routing
(Address ARP Resolution Protocol)
Protokol untuk mendapatkan hardware dari namer IP
informasi
RARP (R.everse ARP)
Protokol untuk mendapatkan namer IP dari hardware
informasi
to Point
Line
data
non-oriantasi
Protokol untuk point ke point
dengan serial
Ethernet, FOOi, ISDN,ATM
Fisik
data
UDP (User Datagram Protocol)
Network Interface
Data link
-- ·---------------------------------- -
,I TCP (Transmission - Protokol pertukaran Protocol) (connection oriented) I Control ------ -.. I
menggunakan
76
Lampiran 2 : Tabcl Badan pckcrja di IEEE ----
Bentuk Kegiatan
Working
Group
Standarisasi interface lapisan atas HILi (High Level Interface) dan Data Link
IEEE802.1
termasuk MAC (Medium Access Control) dan LLC (Logical Link Control).
Standarisnsi lapisan LLC.
IEEE802.3
"
Standarisasi lapisan MAC untuk CSMA/CD (10Base5, 10Base2, lOBaseT, dlL)
A
Standarisasi lapisan MAC untuk Yoken Bus.
IEEE802.5
Standarisasi lapisan MAC untuk Token Ring.
IEEE802.6
Standarisasi lapisan MAC untuk MAN-DQDB (Metropolitan Area NetworkDistributed Queue Dual Bus.) ·------·-·-·-··-·---
[1~~~802 7
, Grup pendukung BTAG (Broadband Technical Advisory Group) pada LAN.
I
l
IEEE802.8
-·-----·-Grup pendukung FOTAG (Fiber Optic Technical Advisory Group.) --
Q
I
Services ) LAN.
IEEE802.10
TPPPRl10
"
·--
Standarisasi ISDN (Integrated Services Digital Network) dan JS (Integrated
Standarisasi masalah pengan1anan jaringan (LAN Security.)
11
Standarisasi masalah wireless LAN dan CSMA/CD bersama IEEE802.3.
12
Standarisasi masalah lOOVG-AnyLAN
77
Lampiran 3 : PORT NUMBERS (last updated 21 June 2004)
The port numbers are divided into three rang,~s: the Well Known Ports,the Registered Ports, and the Dynamic and/or Private Ports. The Well Known Ports are those from 0 through 1023. The Registered Ports are those from 1024 through 49151 The Dynamic and/or Private Ports are those from 49152 through 65535
Hlf UNASSIGNED PORT NUMBERS SHOULD NOT BE USE:D. THE IANA ASSIGN THE NUMBER FOR THE PORT AFTER YOUR APPLICATION HAS APPROVED U if
WILL BEEN
WELL KNOWN PORT NUMBERS The Well Known Ports are assigned by the IANA and on most systems can only be used by system (or root) processes or by ;:>rograms executed by privileged users. Ports are used in the TCP [RFC793] to name the ends of logical connections which carry long term conversations. For the purpose of provi_ding services to unknown callers, a service ::::ontact port is defined. This list specifies the port used by thB server process as
its contact port.
The contact port is sometimes ::::alled the
"well-known port". To the extent possible, the ODP [Rr'C768].
these same port assignments are used with
The range for assigned ports managed by the IANA is 0-1023. Port Assignments: Keyword References
Decimal
0/tcp O/udp
""
tcpmux
l/tcp
Description
Reserved Reserved Jon Postel <[email protected]> TCP Port Service Multiplexer
78
tcpmux
1/udp
# compressnet compressnet compressnet compressnet
2/tcp 2/udp 3/tcp 3/udp
JF JF JF
rje rje
# ii if echo echo # # ii discard discard #
# # systat systat
ii # II daytime daytime
# # ii IF IF if
# qotd qotd
4/tcp 4/udp 5/tcp 5/udp 6/tcp 6/udp 7/tcp 7/udp 8/tcp 8/udp 9/tcp 9/udp 10/tcp 10/udp 11/tcp 11/udp 12/tcp 12/udp 13/tcp 13/udp 14/tcp 14/udp 15/tcp 15/udp 16/tcp 16/udp 17/tcp 17/udp
# msp msp
18/tcp 18/udp
# char gen chargen ftp-data ftp-data ftp ftp II ssh
19/tcp 19/udp 20/tcp 20/udp 21/tcp 21/udp 22/tcp
TCP Port Service Multiplexer Mark Lottor <MI Management Utility Management Utility Compression Process CompreSsion Process Bernie Volz Unassigned Unassigned Remote Job Entry Remote Job Entry Jon Postel <[email protected]> Unassigned Unassigned Echo Echo Jon Postel <[email protected]> Unassigned Unassigned Discard Discard Jon Postel <[email protected]> Unassigned Unassigned Active Users Active Users Jon Postel <[email protected]> Unassigned Unassigned Daytime (RFC 867) Daytime (RFC 867) Jon Postel <[email protected]> Unassigned Unassigned Unassigned [was netstat) Unassigned Unassigned Unassigned Quote of the Day Quote of the Day Jon Postel <[email protected]> Message Send Protocol Message Send Protocol Rina Nethaniel <---none---> Character Generator Character Generator File Transfer [Default Data] File Transfer [Default Data] File Transfer [Control] File Transfer [Control] Jon Postel <[email protected]> SSH Remote Login Protoc:ol
79
ssh
22/udp
11
telnet telnet ll
23/tcp 23/udp 24/tcp 24/udp
ll smtp smtp
""
# # nsw-fe nsw-fe
25/tcp 25/udp 26/tcp 26/udp 27 /tcp 27/udp
11
# 11
msg-icp msg-icp
28/tcp 28/udp 29/tcp 29/udp
11
ll
# msg-auth rnsg-auth 11 11 11
dsp dsp II II #
11 11
# time time
30/tcp 30/udp 31/tcp 31/udp 32/tcp 32/udp 33/tcp 33/udp 34/tcp 34/udp 35/tcp 35/udp 36/tcp 36/udp 37/tcp 37/udp
ii rap rap
38/tcp 38/udp
11
rlp rlp
39/tcp 39/udp
!I 11
# graphics graphics name
40/tcp 40/udp 41/tcp 41/udp 42/tcp
SSH Remote Login Protocol Tatu Ylonen Telnet Telnet Jon Postel <[email protected]> any private mail syste::n any private mail syste::n
Rick Adams Simple Mail Transfer Simple Mail Transfer Jon Postel <[email protected]> Unassigned Unassigned NSW User System FE NSW User System FE Robert Thomas Unassigned Unassigned MSG ICP MSG ICP Robert Thomas Unassigned Unassigned MSG Authentication MSG Authentication Robert Thomas Unassigned Unassigned Display Support Protocol Display Support Protocol Ed Cain Unassigned Unassigned any private printer server any private printer server Jon Postel <[email protected]> Unassigned
Unassigned Ti1ne
Time Jon Postel <[email protected]> Route Access Protocol Route Access Protocol Robert Ullmann <[email protected]>
Resource Location Protocol Resource Location Protocol Mike Accetta <[email protected]> Unassigned Unassigned Graphics Graphics Host Name Server
80
name nameserver name server nicname nicname mpm-flags mpm-flags mpm mpm mpm-snd mpm-snd
42/udp 42/tcp 42/udp 43/tcp 43/udp 44/tcp 44/udp 45/tcp 45/udp 46/tcp 46/udp
.if ni-ftp ni-ftp
47/tcp 47/udp
if auditd auditd
48/tcp 48/udp
if ta ca cs ta ca cs
49/tcp 49/udp
if re-mail-ck re-mail-ck
50/tcp 50/udp
if la-maint la-maint
51/tcp 51/udp
if xns-time xns-time
52/tcp 52/udp
# domain domain
53/tcp 53/udp
if xns-ch xns-ch
54/tcp 54/udp
if isi-gl isi-gl xns-auth xns-auth
55/tcp 55/udp 56/tcp 56/udp
if 57/tcp 57/udp
if xns-mail xns-mail
58/tcp 58/udp
if 59/tcp 59/udp 60/tcp 60/udp
Host Name Server Host Name Server Host Name Server Who Is Who Is MPM FLAGS Protocol MPM FLAGS Protocol Message Processing Module [recv] Message Processing Module [recv] MPM [default send] MPM [default send] jon Postel <[email protected]> NI FTP NI FTP Steve Kille <[email protected]> Digital Audit Daemon Digital Audit Daemon Larry Scott <[email protected]> Login Host Protocol (TACACS) Login Host Protocol (TACACS) Pieter Ditmars Remote Mail Checking Protocol Remote Mail Checking Protocol Steve Dorner <[email protected]> IMP Logical Address Maintenance IMP Logical Address Maintenance Andy Malis <[email protected]> XNS Time Protocol XNS Time Protocol Susie Armstrong Domain Name Server Domain Name Server Paul Mockapetris XNS Clearinghouse XNS Clearinghouse Susie Armstrong ISI Graphics Language ISI Graphics Language XNS Authentication XNS Authentication Susie Armstrong any private terminal access any private terminal access Jon Postel <[email protected]> XNS Mail XNS Mail Susie Armstrong any private file service any private file service Jon Postel <[email protected]> Unassigned Unassigned
81
ni-rnail ni-mai.l
61/tcp 61/udp
# acas acas
62/tcp 62/udp
Jr
whois++ whois++
63/tcp 63/udp
Jr
co via co via
""
tacacs-ds tacacs-ds
64/tcp 64/udp 65/tcp 65/udp
Jr
sgl*net sql ·kn et
66/tcp 66/udp
Jr
bootps bootps boot pc boot pc
67/tcp 67/udp 68/tcp 68/udp
Jr
tftp tftp
69/tcp 69/udp
Jr
gopher gopher
70/tcp 70/udp
~f
netrjs-1 netrjs-1 netrjs-2 netrjs-2 netrjs-3 netrjs-3 netrjs-4 netrjs-4
71/tcp 71/udp 72/tcp 72/udp 73/tcp 73/udp 74/tcp 74/udp
Ir 75/tcp 75/udp
# deos deos if
76/tcp 76/udp 77 /tcp 77 /udp
#
NI MAIL NI MAIL Steve Kille <[email protected]> ACA Services ACA Services E. Wald <[email protected]> whois++ whois++ Rickard Schoultz <[email protected]> Conununications Integrator (CI) Communications Integrator (CI) Dan Smith TACACS-Database Service TACACS-Database Service Kathy Huber Oracle SQL*NET Oracle SQL*NET Jack Haverty <[email protected]> Bootstrap Protocol Server Bootstrap Protocol Server Bootstrap Protocol Client Bootstrap Protocol Client Bill Croft Trivial File· Transfer Trivial File Transfer David Clark Gopher Gopher Mark McCahill <mpm@boO':nbox.micro.umn.edu> Remote Job Service Remote Job Service Remote Job Service Remote Job Service Remote Job Service Remote Job Service Remote Job Service Remote Job Service Bob Braden any private dial out service any private dial out service Jon Postel <[email protected]> Distributed External Object Store Distributed External Object Store Robert Ullmann <[email protected]> any private RJE servic13 any private RJE servic•3 Jon Postel <[email protected]> vettcp vettcp Christopher Leong
vettcp 78/tcp vettcp 78/udp # finger 79/tcp Finger
82
finger
79/udp
jf
http http WWW WWW
www-http www-http
80/tcp 80/udp 80/tcp 80/udp 80/tcp 80/udp
Finger David Zimmerman Worl.d Wide Web HTTP World Wide Web HTTP World Wide Web HTTP World Wide Web HTTP World Wide Web HTTP World Wide Web HTTP
83
Lampiran 4 : Table Forwarded packets
[ciiain
·····1-··--Co1111nent the wire (i.e., Internet)
12··
I
!
in on the interface (i.e., ethO)
13··--· ·· · ri;:;~;~gi~-·-· fPREROUTING · r:ri;i;·~hain ~;orn~li:;;;;;Jrc;;:-mang.. llng packet;·· I 1 l i.e., changing TOS and so on. 4--···-··· ... ,11;:;~1---- P,RER:oufiNa·· - ········ ~~~-~~~~~~::~~f~~~~~~-e;-i~~-~:-~'-:i-,i-ss~~i:-~f~:~ j
II
it will be bypassed in certain cases.
······ · · · ·· · · · 1~~:;~~~~l~~~r: 1~1;:;;~-~;;~l~:~;:f:::~~~~~~~-f~;:·········1
5
1
16-------jmangl~-.. --[FORWARD--··-·---[Th~packet is then sent on to the FORWARD
I
I
1
I
' ·
) j
I
I,
'
7
...... ,filter
1
I I
I I
I ·-·-1FORWAR6··-····
'1
I
I
I
!chain of the mangle table. This can be used for
I j'packets after the initial routing_ decision, but before I very specific needs, v1here
\Ve
want to 111angle the
the last routmg dec1s1on made JUSt before the I jpacket is sent out. ·-i·····-p-a-c-ke·-·t-g-e.-ts-1-·o·-u-te...d_o·-,·,···t·o--th..e·-F··-o·~R-W_A_R~D··-cl·1-a-in-. Only forwarded packets go through here, and here we do all the filtering. Note that all traffic that's forwarded goes through here (not only in one Id. irec.ti.on.) •. so yo·u· n. eed to think about it when !writing your rule-set.
the wire again (i.e.,
84
Lampiran 5: Table Destination local host (onr own machine)
85
Lampinm 6: Table Source local host (our own machine)
'T 1 a bl e
····if~{i~~less7~,;;;1i~~1100(i:e::;-ei.;;~~e;~1=--1
.ICl~~h~.
··················r···-
1 i
2
Routing decision. What ;~~~~~-"~dd;~;~· t~·-~se, · ---- - !
.. ......................
what outgoing interface to use, and other necessmy I information that needs to be gathered.
·········-··· --··· ...
Ir_. . . . . 1s··-
fmangle \
I
·-·-·I
i~.w
w;;;;·~~igl;. pack.et..s, it·i·s···sug. g··e·s..te.. d.. . . I 111 this chain since it can have I
.. IO'uTru1' ...................... This .. here j that you do not filter I side effects.
r;at ··-·-10UTPUT·--··--··-· 1r.~:~ ~~:i~ ~~a~l~ i:~s:i~. to NAT outgoing packets · 1
jfi11e;.-·
·10-u-1-·i>ur____
1
I
110
1
-~~-i:-/s-w·s-~~r;~v-~fllte;:"~~kct;going outfron-,-th_e_/
i"~~g;;- WSTROiiiiNG -~~~;~i~~~~J;~~:~~I I . . . . . . . . . ,. . . . . . .. . . . . . . . . . . . . . . .l. . . . . . . .,_. _______,. . . . . . . . . .___,.,. ___. .I
I· -
actual routing decisions. This chain will be hit by both packets just traversing the firewall, as well as packets created by the firewall itself.
lnat
POSTROUTING
rrs............. Ii--- ........!.......... ·----· -· ..... 1
! This is where we do SNAT as described earlier. It is suggested that you don't do filtering here since it can have side effects, and certain packets might · slip through even though you set a default policy of DROP. iG~es ~lit oo~o;n-e-iot;;;:~~~;c~'.g:::-··-·---··-·---· the wire (e.g., Internet)
86
Lampiran 7 : Tabcl Command
Command
I(eterangan
-A
Perintah ini 111enan1bahl
--append
ditambahkan di akhir baris pacla chain yang bersangkutan, sehingga akan dieksekusi terakhir
-D --delete
Perintah ini menghapus suatu aturan pada chain. Dilakukan dengan cara menyebutkan secara lengkap perintah yang ingin dihapus atau dengan menyebutkan nomor baris dimana perintah akan dihapus.
-R
Penggunaannya sama seperti -delete, tetapi command ini menggantinya
--replace
dengan entry yang baru.
-I
Memasukkan aturan pacla suatu baris di chain. Aturan akan dimasukkan
--insert
pada baris yang disebutkan, dan aturan awal yang menempati baris tersebut akan digeser ke bawah. Demikian pula baris-baris selanjutnya.
-L
Perintnh ini menampilkan semun aturan padu sebuah tabel. Apabila
--list
tabel tidak disebutkan, maka seluruh aturan pada semua tabel akan ditampilkan, walaupun tidak ada aturan sama sekali pada sebuah tabel.
Command ini bisa dikombinasikan dengan option -v (verbose), -n (numeric) clan -x (exact).
87
-F
Perintah ini mengosongkan aturan pada sebuah chain. Apabila chain
--flush
tidak disebutkan, maka semua chain akan di 7f/ush.
-N
Perintah tersebut akan membuat chain baru.
--ne,v-chain
-X
Perintah ini akan menghapus chain yang disebutkan. Agar perintah di
--delete-chain
atas berhasil, tidak boleh ada aturan lain yang mengacu kepada chain tersebut.
-P
Perintah ini membuat kebijakan default pada sebuah chain. Sehingga
--policy
jika ada sebuah paket yang tidak memenuhi aturan pada baris-baris yang telah didefinisikan, maka paket akan diperlakukan sesuai dengan kebijakan default ini.
~:
na1ne-chain
Perintah ini akan merubah nama suatu chain.
88
Lampiran 8 : Tabcl Option
Option
Command
Keterangan
Pemakai -v
--list
Memberikan output yang lebih detail,
--verbose
--append
utamanya digunakan dengan --list. Jika
--insert
digunakan
--delete
--list, akan menampillmm K (xl.000),
--replace
M (1.000.000) dan G (1.000.000.000).
--list
Memberikan outpLlt yang lebih tepat.
--list
Memberikan
-x --exact -· -n --numeric
dengan
output
yang
berbentuk
angka. Alamat IP dan nomor po1i akan ditampilkan dalam bentuk angka dan bukan
hostname
ataupun
nama
aplikasi/servis. --line-number
--list
Akan menampilkan
11011101'
dari daftar
aturan. Hal ni akan mempermudah bagi kita untuk melakukan modifikasi aturan, jika kita mau meyisipkan atau menghapus aturan dengan nomor tertentu. --mod probe
-
All
Memerintahkan
IPTables
untuk
memanggil
modul
tertentu.
Bisa
digunakan
bersamaan
dengan
semua
command.
89
Lampiran 9 : Tabel Generic Matches Match
Keterangan
-p
Digunakan untuk mengecek tipe protokol te1ientu. Contoh
--protocol
protokol yang umum adalah TCP, UDP, ICMP dan ALL. Daftar protokol bisa dilihat pada /etc/protocols. Tanda inversi juga bisa diberlakukan di sini, misal kita menghendaki semua protokol kecuali icmp, maka kita bisa menuliskan --protokol ! icmp yang berarti semua kecuali icmp.
-· -s
Kriteria
--src
berdasarkan alamat IP asal. Alamat di sini bisa berberntuk
--source
alarnat tunggal sepcrti 192.168.1.1, atau suatu al am at
ini
network
digunakan
untuk
menggunakan
192.168.1.0/255.255.255.0,
mencocokkan
paket
netmask
atau
bis a
misal
juga
ditulis
192.168.1.0/24 yang artinya semua alamat 192.168.1.x. Kitajuga bisa rnenggunakan inversi. -d
Digunakan untuk mecocokkan paket berdasarkan alamat
--dst
tujuan. Penggunaannya sarna dengan match-src
--destination -i
Match ini berguna untuk mencocokkan paket berdasarkan
--in-interface
interface di mana paket datang. A1atch ini hanya berlaku pada chain INPUT, FORWARD dan PREROUTING
-o
Berfungsi untuk mencocokkan paket berdasarkan interface
--out-in terfacc
di 1nana paket. keluar. Penggunannya sa1na dengan
--in-interface.
Berlaku
untuk
FORWARD dan POSTROUTING
chain
OUTPUT,
90
Lampiran 10 : Tabcl TCP matches
Match
Keterangan
--sport
Match ini berguna untuk mecocokkan paket berdasarkan
--source-port
port asal. Dalam ha! ini Ida bisa mendefinisikan nomor port atau na1na service-nya. Daftar nan1a service dan non1or port
yang bersesuaian dapat dilihat di /etc/services. --sport juga bisa dituliskan untuk range port tertentu. Misalkan kita ingin mendefinisikan range antara port 22 sampa1 denga11 80, maka kita bisa menuliskan --sport 22:80.
Jika bagian salah satu bagian pada range tersebut kita hilangkan maim ha! itu bisa kita artikan dari port 0, jika bagian kiri yang kita hilangkan, atau 65535 jika bagian kanan yang kita hilangkan. Contohnya --sport :80 mtinya paket dengan port asal no! sampai dengan 80, atau --sport 1024: artinya paket dengan port asal 1024 sampai dengan
65535.Match inijuga mengenal inversi. --cl port
Penggunaan match ini sama dengan match -source-port.
--destination-port --tcp-11ags
Digunakan untuk mencocokkan paket berdasarkan TCP
91
flags yang ada pada paket tersebut. Pertama, pengecekan akan mengambil claftar flag yang akan cliperbanclingkan,
dan kedua, akan n1en1eriksa paket: yang di~set 1, atau on. Pada kedua list, rnasing-masing entry-nya harus dipisahkan oleh koma dan tidak boleh ada spasi antar entry, kecuali spasi
antar
kedua
/isl.
Maleh
rnengenali
1111
SYN,ACK,FIN,RST,URG, PSH. Selain
itu kita Juga
rnenuliskan ALL clan NONE. Match
ini juga bisa
menggunakan inversi. --syn
Match ini akan memeriksa apakah flag SYN di-set dan ACK clan FIN tidak di-set. Perintah ini sama artinya jika kita menggunakan match --tcp-tfags SYN,ACK,FIN SYN
Pake! dengan match di atas digunakan untuk melakukan
request koneksi TCP yang baru terhadap server
92
Lampiran 11 : Tabcl Target/Jump
Target
Keterangan
-j ACCEPT
Ketika paket cocok dengan daftar match dan target ini
--jump ACCEPT
diberlakukan, maka paket tidak akan melalui baris-baris aturan yang lain dalam chain tersebut atau chain yang lain yang mereferensi chain tersebut. Akan tetapi paket masih akan rnemasuki chain-chain pada label yang lain seperti biasa.
-j DROP
Target ini men-drop paket dan menolak untuk memproses
--jump DROP
lebih jauh. Dalam beberapa kasus nrnngkin hal ini kurang baik, karena akan rneninggalkan dead socket antara client dan server.
Paket yang menerirna target DROP benar-benar mati dan target tidak akan rnengirirn informasi tambahan dalam bentuk apapun kepada client atau server.
-j RETURN
Target ini akan mernbuat paket berhenti melintasi aturan-
--jump RETURN
aturan pada chain dimana paket tersebut menemui target RETURN. Jika chain merupakan subchain dari chain yang lain, rnaka paket akan kembali ke superset chain di atasnya dan rnasuk ke baris aturan berikutnya. Apabila
93
chain adalah chain utama misalnya INPUT, maka paket
akan dikembalikan kepacla kebijakan default dari chain tersebut.
-j MIRROR
Apabila komputer A menjalankan target seperti contoh di alas, kemuclian komputer B mdakukan koneksi http kc ko111puter A, 111aka yang akan n1uncul pacla browser
adalah website komputer B itu sendiri. Karena fungsi utama target ini adalah membalik source address clan destination address.
Target ini beke1ja pada chain INPUT, FORWARD clan PREROUTING atau chain buatau yang dipanggil melalui chain tersebut.
94
Lampiran 12: Table ICMP types
prohibited 1u<:s1111m1011 host administratively prohibited
--··1·--------- ___,,_
11
1Network unreachable for TOS unreachable for TOS
14 ----------- --1-5 -
precedence violation ----rp;.;;;;;;(J;;~;;;;;;;;1~rr1~;;rr;,<:;
-
for network
-iR.~cii1·;;c\i'~,: 1;~st
1-----------·--- -1----------
for TOS and network - !Redirect for TOS and host - [Echo request -------- -------- - --------.. --------------- ---
1----·----------1- -------·-·-·-
9
; ............ ------ :..... ,.,______ -·----
IR '"''e•·
advertise1nent solicitation
IO 11
equals 0 during transit
II
equals 0 during reassembly
12 12
13
header bad (catchall error) --- ---- ··--·----- -·--·-Required options missing ;________ ,_ -----0 i1rnostamo request (obsolete)
,.._.
-,---
14
r
reply (obsolete) r----······-·----
15
0
'
16
--- -- -------0
·---------------
!Information request (obsolete) n fr..·m "' '''"
reply (obsolete)
95
Lampiran 13 : contoh gambar proses firewall
Gambar rc.firewall.txt
l:.,~",.1
)
Not-Nork
IP: 192.168.0.0/24
~-~-~:oth1
IP: 192.168.0.2
Firewall IFACE: wtlhO
_ ___._ _ _ IP: 194.236.50.155
Intomat
Gambar rc.DMZ.firewall.txt
Trusto-d
lntomal Notwork
IP: 192.168.0.0124
~MZ
l
1~~';~8 121
(j---p
{Di;;s-\ ~~
IFACE: eth1 !FACE: 19oth2 IP: 192.r16_8~._0_.1~-------~IP_:_19~2.'168.1.'I
Firewall +rFACE: etl10
--~V_IP_:_1_9_4.236.50.'l 52, ·194.236.50. '163, 194.236.50.154, 'I 94.236.50.155
Internet
96
Gambar rc.DHCP.firewall.txt
Trusted
lntamal Network
IP: 192.11lS.D.0/24 IFACE: eth1
IP: 192.168.D.2
Fire\l\lall IFACE: elhO IP: unknovm
Internet
Gambar rc.UTIN.firewall.txt
UnTrustGd 1n1.. tt11iil Noiw.>rk
IP: 192.100.0.0/24 --~--lFACE: oth1 JP: 192.16l3.0.2
Firewall IFACE: 6ih0
~--"--- IP: 1!14.:t:llll.50.155
Internet
97
Lampiran 14: Gambar Diagram proses filtering pakct
~Network~
mangle PIUl:IlOlJTING .
,
lllllt---.......
Prui.:ROUTINj,.•)
Routing deci1!1ion
(
!\outing
decision
:tilter OUTPUT
98
Lampiran 15 : Ruic script Konfigurasi Iptablcs 1. file rc.firewall .. firewall #!/bin/bash BASEDIR="/root/firewall" if[-f$BASEDIR/eonfig.txt ]; then . $BASEDIR/eonfig.txt fi fill 111111111111111111111111fill#1111111111111111 II fl fl II II #II fl II 1111111111111111111111111111111111111111111111#1111111111111111111111 II
# #kernel 1nodules and ip for\varding capability II fl $DEPMOD -a $MODPROBE ip_tables $MODPROBE ip_conntrack $MODPROBE iptable_f!lter $MODPROBE iptab!e_ nat $MODPROBE iptable_nrnngle $MODPROBE ipt_LOG $MODPROBE ipt_mac $MODPROBE ipt_MASQUERADE $MODPROBE ipt_REJECT $MODPROBE ipt_state $MODPROBE ip_nat_ftp $MODPROBE ip_conntrack_ftp $MODPROBE ip_nat_irc $MODPROBE ip_conntraek_irc echo I > /proc/sys/net/ipv4/ip_forward
####ll##llll###llll##ll#####ll##llll#ll##ll#llilllllllllll##llllllllll###lllllllllllill##ll##llllllll#llllll II II setup default policy and flush all rnles
# $!PT -P INPUT DROP $JPT-P FORWARD DROP $!PT -P OUTPUT DROP $!PT -t mangle -F $!PT -t filter -F $!PT -t nat -F $IPT-X
llllllllll#llllll.#ll##llllllllllllilll###llll##ll#llll#llllllllllllllllllllll###llll####llll###llll#####ll#ll## II
# 111y o\vn chain # $!PT -N my_TCP $!PT-N my_ICMP $IPT-N my_UDP # pern1it a!l interprocess con1n1unications *thanks to squid* $!PT-A my_TCP-p tcp -s $IPLO-d $!PLO -j ACCEPT # pern1it vvhois and DNS transfer zone $!PT -A my_TCP -p tep -m multiport --dports 43,53 ci ACCEPT #send reset for NE\V packets but have SYN and ACK bit set active $!PT-A my_TCP -p tep --tcp-flags SYN,ACK SYN,ACK -m state--state NEW -j REJECT-reject-\vith tcp-reset # block all NEW not SYN packets $!PT -A my_TCP -p tep ! --syn -m state --state NEW ci DROP
99
# accept $!PT-A $!PT-A # accept $!PT -A
icn1p only for echo request and echo reply rny_ICMP -p icmp --icmp-typc 8 -j ACCEPT rny_ICMP -p icmp--icmp-lypc 0
ci
ACCEPT
udp only for \Yhois, na1ne server and tin1e server
my_ UDP -p udp -m multi port --dports 43,53, I 23 -j ACCEPT #prevent broadcasts (n1icrosoft net\vork) frotn sho\ving up in the logs
$!PT-A rny_UDP -p udp-i $1FJNET-d $1NETBROADCAST--dport 135:139-j DROP
#prevent DI~JCP requests fron1 sho\ving up in the logs $!PT-A my_UDP -p udp -i $JFINET-d 255.255.255.255 --dport 67:68 -j DROP ###llll#illl#ll#####llll####llllll###ll####llilllllll#llllll#llllll####ll#ll###ll#1lll##ll##lill#### II
# no"\v \Ve load all other rules # if [ -f $BASEDJR/mangle.prerouting ]; then . $BASEDIR/mangle.prerouting if [ -r $BASEDIR/nat.prcrouting ]; then
, $BASEDIR/nat.prerouting
ti if [ -f $BASEDJR/filter.input ]; then . $BASEDIR/filter.input
ti if [ -f $BASEDIR/filter.output ]; then . $BASEDIR/filter.output fi if [ -f $BASEDIR/filtcr.forward ]; then . $BASEDIR/liltcr.fonvard fi if [ -f $BASEDJR/nat.poslrouting ]; then . $BASEDIR/nat.postrouting fi if[ -f$BASEDJR/anti.syn-Oood ]; then . $BASEDIR/anti.syn-flood
2. File filter.input ..input II #created by: Niuhan1ad 1The RainMaker' Faiza! # WebCenter Technology Inc. # ###llll###ll#il##llil##ll###ll###ll#####ll#llll##ll#ll#illlll###llll###ll####il#ll#llll#llll####
# II FILTER table FORWARD chain II echo "FILTER FORWARD RULES ... " $!PT -t filter -A FORWARD -p tcp ci my_TCP $!PT -l filter -A FORWARD -p icmp -j my_JCMP $IPT-t filter -A FORWARD -p udp -.i my_UDP # accept fip and ssh to and fro1n any\vhere $1PT -l filter -A FOR WARD -p tcp --dporl 2 I :22 -j ACCEPT # accept direct http request to our servers $!PT -t liltcr -A FORWARD -p lcp -d 202.162.216.194 --dport 80 ci ACCEPT $!PT -t filter -A FORWARD -p tcp -d 202. I 62.216. 196 --dport 80 ci
100
ACCEPT $1PT-t filter-A FORWARD-p tcp-d 202.162.216.203 --dport 80 ci ACCEPT
# accept n1ysq! connection to \V\V\V $1PT -t filter -A FORWARD -p tcp -d 202.162.216.203 --dport 3306 -j ACCEPT
# accept sn1tp only froin our local s1ntp server $1PT -t filter -A FOR WARD -p tcp -s $SMTPLOCAL --dport 25 -j ACCEPT # ichal lagi di pwkerto :P $1PT -t filter -A FORWARD -p tcp -s 192.168.37.2 --dport 25 -j ACCEPT #$1PT -t filter -A FORWARD -p tcp -·dport 25 -j LOG ··log-prefix "LOG ER ERIS" #$!PT -t filter -A FORWARD ·P tcp --dport 25 -j DROP # accept ire, ymessenger, and icq only
froin our Jan
$1PT -t filter -A FORWARD -p tcp -i $1FLAN --dport 6667:7000 -j ACCEPT 11$1PT -t filter ·A FORWARD -p tcp -i $IFLAN -m multiport --dports 5050,5190 -j LOG --log-prefix "[lPTABLES ACCEPT]" $!PT -t filter ·A FORWARD -p tcp -i $!FLAN -m multiport --dports 5050,5190 ci ACCEPT #$1PT -t filter -A FORWARD -p tcp -s 192.168.19.254 -m rnultiport --dports 5000,6900 -j ACCEPT ii accept https for yahoo $1PT -t filter -A FORWARD -p tcp --dport 443 ci ACCEPT # accept yahoo \Veb ca1n $!PT -t filter -A FORWARD -p tcp --dport 5100 -j ACCEPT # accept pop3 only fron1 our Ian $1PT-t filter -A FORWARD -p tcp -i $!FLAN --dport 110 -j ACCEPT # accept ans,ver/reply packets $1PT ·t filter ·A FORWARD -m state --state ESTABLISHED,RELATED ·.i ACCEPT #$!PT ·t filter-A FORWARD ci LOG --log-prefix "[lPTABLES DROP.I"
3. File anti.syn-flood II #created by: Muhan1ad 'The RainMaker' Faiza! II WebCenter Technology Inc. llll##ll##ll####llllll#####il##ll####llll#ll##llllll#ll##llllll#llll###llll/1##11111111#1111111111#1111111111 II II add-on: Anti Syn-Flood II echo "ANTI SYN-FLOOD ... " $TC qdisc del dev $!FLAN ingress 2> /dev/null $TC qdisc add dev $!FLAN handle ffff: ingress $TC filter add dev $!FLAN parent ffff: protocol ip prio 50 handle 1 fw police rate I kbit burst 40 mtu 9k drnp tlowid :I $TC qdisc de! dev $1FINET ingress 2> /elev/null $TC qdisc add dev $1F!NET handle ffff: ingress $TC filter add dcv $1FlNET parent ffff: protocol ip prio 50 handle 1 fw police rate I kbit burst 40 mtu 9k drnp flowid :1
101
4. File 1nangle.prerouting.. prerouting
# #created by: Muhan1ad 'The RainMakcr' Faizal # WcbCenter Technology Inc. # llll#lllltltltlllll#tltltltltllllllltl#lllllltltl#tlllllfltl#lllllltltlllll#lltllllltllllllltlllll#lltltllftltlll##lltl#llllflllll
ti II FILTER table OUTPUT chain #
echo "FILTER OUTPUT RULES ... " $1PT-t filter-A OUTPUT-p tcp -j my_TCP $!PT -t filter -A OUTPUT-s $!PLO -j ACCEPT $!PT -t filter -A OUTPUT -s $!PLAN ci ACCEPT $!PT -t filter -A OUTPUT -s $I PINET -j ACCEPT #$IPT-t filter-A OUTPUT ci LOG --log-prefix "[!!'TABLES DROP]"
5. File nat.postrouting .. postrouting
ti #created by: Muhan1ad 'The RainMakcr' Faizal # WebCenter Technology Inc. #llllllllllllll###llllll#ll#ll###llllllllllllllll#llllllll#llllllll##llllllll#ll#llll#tl#lll#lll###llllllllllll##ll#ll II ii NAT table POSTROUTING chain
ii echo "NAT POSTROUTING RULES ... " #enable sin1ple ip forwarding and net\vork address translation $!PT -t nat -A POSTROUTING -o $IFINET -d ! $NETLAN -j SNA T -··to-source $!PINET
6. File nat.prerouting .. prerouting
# #created by: Muhan1ad 'The RainMaker' Faizal # WebCenter Technology Inc. lill##llll#llll#ll#ll#llllllllllllll####llll##ll##ll#llllll/l#ll#il#llllll#ll###llllllll#lll/1111##111111#11111111# II ii NAT table !'REROUTING chain II echo "NAT PREROUTING RULES ... " #accept direct hUp request to our servers $!PT -t nat -A PREROUTING -p tcp -d 202.162.216. I 94 --dport 80 -j ACCEPT $!PT -t nat -A PREROUTING -p tcp -d 202.162.216.194 --dport 80 -j RETURN $IPT -t nat -A PREROUTJNG -p tcp -d 202.162.216.196 --dport 80 ci ACCEPT $!PT -t nat -A PREROUTING -p tcp -d 202.162.216.196 --dport 80 -j RETURN $IPT-t nat-A PREROUTlNG -p tcp-d 202.162.216.203--dport 80-j ACCEPT $IPT-t nat -A PREROUTING -p tcp-d 202.162.216.203 --dpo1180 -j RETURN II redirect all others http and https request to squid $1PT -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to $1PLAN:3 l28 $!PT -t nat -A PREROUTJNG -p tcp --dport 443 -j DNAT --to $!PLAN :3128
102
7. File rc.flush-firewall .. flush-fire\vall II fl created by: Muhan1ad 'The Rain!\1aker' Faizal # WebCenter Technology Ine. II ##ll####llll#######ll#######ll#ll####ll#llllll##ll##ll#ll#####ll#ll#####ll###ll####ll##ll II fl n1andatory prognuns and additional panunctcr
II ARRESTER ="202.162.216.196" MAILSERVER="202. l 62.216. l 94" SMTPLOCAL="J 72.16. J. 17"
DEPMOD='whieh depmod' JP'f='v,rhich iptables' MODPROBE='which modprobe' RMMOD='which rmrnod' TC='whieh te' II LAN and !NET parameter IFL0=- 11 !0" IPL0="127.0.0. I" IFlNET=':ethO" 1PINET="202. I 62.216.200" JNETBROADCAST="202. J 62.2 J6.207"
IFLAN= 11 ethl 11 1PLAN="l 72.16. l .14" NETLAN=" 172.16.0.0/255.255.0.0" # don't forget to export all defined parainetcrs export ARRESTER MAILSERVER SMTPLOCAL export DEPMOD lPT MODPROBE RMMOD TC export !FLO !PLO JFINET !PINET INETBROADCAST !FLAN !PLAN NETLAN
103
Lampiran 16: Gambar jaringan komputer PT. PLN P3B
104
Lampiran 17. Gambar. program aplikasi Antisniff Program Aplikasi Antisniff untuk konfigurasi jaringan
program aplikasi Antisniff untuk laporan hasil
program aplikasi Antisniff untuk perkembangan penelusuran
program aplikasi Antisniff untuk laporan hasil
program aplikasi Antisniffuntuk pesan peringatan
105
Lampiran 18. Gambar. program aplikasi Attacker program aplikasi Attacker
DAFT AR ISTILAH
Anti Virus
Program yang dibuat khusus untuk mendeteksi file di dalam suatu drive apakah terkena virus atau tidak. Program ini sekaligus rnenghilangkan virus tersebut
Application Layers
Lapisan paling alas dari protokol model OSI (Open System
111terconnectio11s). Tugasnya mengatur segala sesuatu yang berhubungan dengan pertukaran data/informasi antara pemakai, software aplikasi maupun peralatan dalam sebuah sistem
ASCII (American Standard Code for Information Interchange)
Standar huruf dan tanda baca untuk komputer. ASCII merupakan kode berupa karakter 8 bit berbentuk angka I dan 0 untuk mewakili karakter-karakter alpha numerik
Authentication
Verifikasi dari identitas pemakai terdiri dari nama pemakai, password, proses, atau sistem computer untuk keamanan jaringan.
107
Bit Unit terkecil dari infonnasi. Satu bit cukup untuk menyatakan perbedaan antara ya dan tidak, atas dan bawah, on dan off, satu dan no!. Komputer harus menampilkan infom1asi dalam bit karena sirkuit ele:ktronik yang dibuat hanya memiliki dua keadaan, on atau off.
Broadcast Pengiriman pesan ke seluruh titik dalam suatu jaringan.
Byte Informasi dengan panjang 8 bit.
Cache Berasal dari kata cash, dipergunakan untuk meningkatkan kecepatan transfer data baik secara sementara maupun pennanen.
Certificate Data yang diperlukan browser untuk mengacak dn.ya yang akan dildrim melalui SSL.
Client Pada Janngan,
client
adalah
sebuah
software
aplikasi
yang
memungkinkan pengguna untuk mengakses servis atau layanan dari !computer server.
!08
Communications
Transfer data antara dua computer oleh suatu device sepe1ti modem atau kabel
Congestion
Kondisi yang terjadi akibat pemanggilan suatu layanan yang melebihi kapasitas yang dapat diterima sebuahjalur komunikasi data.
Connection
keberhasilan dalam menghubungkan dari jaringan komunikasi
Connectionless
Suatu jenis komunikasi antar unit dalam jaringan yang transmisinya dilakukan tanpa pembentukan hubungan pendahuluan.
Cracker
Orang yang memaksa masuk ke satu sistem komputer secara ilegal. Terkadang cracker mengganggu dan menimbulkan kerusakan pada sistem yang dimasuki.
109
Database
Sekumpulan file yang saling terkait dan membentuk suatu bangun data. Database minimal terdiri dari satu file yang cukup untuk dimanipulasi oleh komputer sedemikian rupa.
Denial of Service attack
Istilah yang diberikan untuk upaya serangan dengan jalan menurunkan kine1ja sebuah web site dengan terns menerus mengulang request lee server dari banyak sumber secara simultan. Serangan seperti ini bertujuan membuat server korban jadi kewalahan melayani request yang terkirim clan berakhir dengan menghentikan aktivitas atau berhenti dengan sendirinya karena tak mampu melayani request dan tidak dapat menyediakan pelayanan-pelayanan (denial of service).
Domain Name Sistem
I. Sistem yang menerjemahkan antara alamat IP dan host name Internet. 2. Sistem pemberian alamat yang digunakan dalam lingkungan Internet. Intinya memberi nama lain pada alamat Internet Protocol yang terdiri dari dua bagian, yaih1 identitas organisasi (nama organisasi) dan jenis organisasi(.com, .edu, .net, dsb).
110
Encryption Penerjemahan data menjadi kode rahasia. Enkripsi adalah cara yang paling efektip untuk memperoleh pengamanan data. Untuk membaca file yang dienkrip, ldta harus mempunyai akses terhadap kata sandi yang memungldnkan kita men-dekrip pesan tersebut. Data yang tidak di-enkrip disebut plain text, sedangkan
yang di-enkrip disebut cipher text.
Ethernet Sebuah standar LAN meliputi kabel dan skema protokol komunikasi yang dikembangkan oleh Xerox Corporation. Sekarang Ethernet menjadi protokol yang banyak digunakan dan diadaptasi oleh perusahaan lain.
Exploit Istilah untuk keberadaan sebuah celah keamanan dalam software yang berjalan di sebuah komputer. Lewat exploit inilah peluang untuk melakukan serangan terbuka bagi hacker.
firewall Sebuah software program yang dipasang pada sebuah jaringan dan bertugas memproteksi sistem komputer dengan tujuan mengamankan Network Internal. Kadang-kadang inembutuhkan layanan Proxy untuk mengizinkan suatu
akses pada Web.
111
Hacker
Dalam dunia hacker atau underground orang·orang yang menjadi hacker biasanya akan melalui tahapan-tahapan. Tahapan-tahapan tersebut adalah: 1. Mundane Person
Tingkatan paling bawah. Seseorang pada tingkatan ini pada dasamya tidak tahu sama sekali tentang hacker dan cara-caranya, walaupun ia mungkin memiliki komputer sendiri dan akses Internet. Ia hanya tahu bahwa yang namanya hacker itu membobol sistem kompnter dan melakukan hal-hal yang negatif (tindak kejahatan). 2. Lamer Seseorang pada tingkatan ini masih dibingnngkan oleh seluk beluk hacking karena ia berpikir bahwa melal.."Ukan hacking sama seperti caracara warez (dalam dunia underground berarti menggandakan perangkat lunak secara ilegal). Pengetahuannya tentang hal-hal seperti itu masih minim, tapi sudah mencoba belajar. Seseorang pada tingkatan ini sudah bisa mengirimkan trojan (yang dibuat orang lain) Ice atau pada !computer orang lain ketika .melakukan obrolan pada IRC atau ICQ dan menghapus file-file mereka. Padahal ia sendiri tidak tahu persis bagaimana trojan bekerja. Seseorang yang sukses menjadi hacker biasanya bisa melalui tahapan ini dengan cepat bahkan melompatinya. 3. Wannabe Pada tingkatan ini seseorang sudah mengetahui bahwa melakukan tindakan hack itu lebih dari sekedar menerobos masuk ke !computer orang
112
lain. la lebih menganggap ha! tersebut sebagai sebuah filsafat atau way of life. Akhimya ia jadi ingin tahu lebih banyak lagi. Ia mulai mencari, membaca dan mempelajari tentang metode-metode hacking dari berbagai sumber. 4. Larva Juga dikenal dengan sebutan newbie. Pada tingkatan ini ia sudah memiliki dasar-dasar teknik hacking. Ia akan mencoba menerobos masuk ke sistem orang lain hanya untuk mencoba apa yang sudah ia pelajari. Meskipun demikian, pada tingkatan ini ia 111enge1ii bahwa ketika melakukan hacking ia tidak hams mernsak sistem atau menghapus apa saja jika ha! itu tidak diperlukan untuk menutupijejaknya. 5. Hacker Sebenamya sulit untuk mengatakan tingkatan akhir atau final dari hacker telah tercapai, karena selalu saja ada sesuatu yang barn untuk dipelajari atau ditemukan (mengumpulkan infonnasi dan mempelajarinya dengan ce1mat mernpakan dasar-dasar yang sama bagi seorang hacker) dan ha! tersebut juga tergantung perasaan (feeling). Meskipun demikian, menjadi seorang hacker memang lebih menjurns pada hal pemikiran. Hacker dengan Keahlian. khusus. Seorang hacker dapat mencapai pengalaman dan keahlian pada bidang-bidang tertentu seperti sistem operasi atau sebuah Aplikasi. Dalam ha! ini ada dua tingkatan, yaitu : I. Wizard
113
Istilah ini diberikan pada seseorang yang telah memiliki pengetahuan luas dibidangnya. Kemampuannya tersebut tidak diragukan lagi. 2. Guru Istilah ini digunakan pada seseorang yang mcngetahui semua hal pada
bidangnya,
mengembangkan
bahkan
yang
trik-trik tersendiri
tidak
terdokumentasi.
melampaui
Ia
batasan yang
diperlukan. Kalau bidangnya berkaitan dengan aplikasi, ia tahu lebih banyak daripada pembuat aplikasi tersebut. Karakter hacker yang bersifat merusak, yaitu : I. Dark-side Hacker
lstilah ini diperoleh dari film Star Wars-nya George Lucas. Seorang Dark-side hacker sama seperti Daith Vader (tokoh dalam film Star Wars) yang tertarik dengan kekuatan kegelapan. Hal ini tidak ada hubungannya dengan masalah "baik" atau "j ahat" tapi lebih kepada masalah "sah (sesuai hukum yang berlaku)" dan ••kekacauan". Seorang Dark-side hacker punya kemampuan yang sama clengan semua hacker, tapi "sisi gelap" dari pikirannya membuat ia merijadi unsur berbahaya untuk semua komunitas. 2. Malicious Hacker Istilah untuk menyebut seseorang yang merusak sistem orang lain untuk sekedar iseng (tidak merasa bersalah) tanpa memperoleh apa pun dari tindakannya tersebut.
114
Host
Istilah yang digunakan untuk menunjuk sebuah komputer yang memungkinkan penggunanya terhubung ke Internet.
Internet
lstilah umum yang dipakai untuk menunjuk Network tingkat dunia yang terdiri dari komputer dan layanan servis atau sekitar 30 sampai 50 juta pemakai komputer dan puluhan sistem informasi ternmsuk e-mail, Gopher, FTP dan World Wide Web.
Intranet
Sumber daya infornrnsi yang digunakan unl11k kepentingan internal dari suatu instansi atau perusahaan dengan menggunakan jaringan ]computer yang ada.
Intrusion Detection System
Sama seperti firewall, Intrusion Detection System (IDS) ini merupakan penghambat semua niat jahat yang akan mengganggu sebuah jaringan. Bedanya IDS ini lebih maju selangkah dengan kemampuannya memberi peringatan admin server saat terjadi sebuah aktivitas tertent11 yang tidak diinginkan admin sebagai penanggung jawab. Selain memberi peringatan dini, IDS juga memberi beberapa a lat bantu untuk melacak jenis dan snmber aktivitas terlarang terse but.
115
IP address
Alamat numeric unik dari sebuah komputer di Internet. IP address komputer Anda sama dengan nomor tclepon Anda sendiri dalam fungsinya.
LAN Sebuah jaringan yang dibangun pada sebuah lokasi seperti di rumah ataupun gedung perkantoran. Bisa diartikan juga sebagai sebuah sistem komunikasi komputer yang jaraknya dibatasi tidak lebih dad beberapa kilometer dan menggunakan koneksi high-speed antara 2 hingga I 00 Mbps.
Land Attack
Serangan kepada sistem dengan menggunakan program yang bernama "land". Apabila serangan diarahkan kepada sistem Windows, maka sistem yang tidak diproteksi akan menjadi hang (dan bisa keluar layar biru). Demikian pula apabila serangan diarahkan ke sistem UNIX versi lama, maka sistem akan hang. Jika serangan diarahkan ke sistem Windows NT, maka sistern akan sibuk dengan penggunaan CPU mencapai I 00% untuk beberapa saat seh:ingga sistem terlihat seperti macet. Program land menyerang server yang dituju dengan mengirimkan packet palsu yang seolah-olah berasal dari server yang dituju. Dengan kata lain, source dan destination dari packet dibuat seakan-akan berasal dari server yang dituju. Akibatnya server yang diserang menjadi bingung.
116
Modem (MOdulation/DEModulation) · Sebuah perangkat yang menerjemahkan infonr.1asi digital ke sinyal analog dan sebaliknya.
Network Sekelompok komputer yang terhubung yang bisa saling berbagi sumber daya (seperti printer atau modem) dan data.
Network Adapter Sebuai1 perangkat keras yang digunakan untuk menghubungkan komputer ke jaringan. Sebuah network adapter bisa bernpa kaitu PCI ataupun terhubung dengan sebuah komputer secara ekstemal melalui USB atau parallel poit.
Network Administrator Orang yang bertanggung jawab untuk mengurns network serta membantu para pemakai.
Ping Packet Internet Groper. Suatu program test koneksi yang mengirim suatu paket data kepada host dan menghitung lamanya waktu yang dibutuhkan untuk proses pengiriman tersebut.
117
Ping Broadcast Serangan dengan menggunakan ping ke alamat broadcast, sering disebut juga dcngan smurf. Selurnh komputer (device) yang bcrada di alamat broadcast tersebut akan menjawab.Ping Broadcast biasanya dilakukan dengan menggunakan IP spoofing, yaitu mengubah nomor IP dari datangnya request. Dengan menggunakan IP spoofing, respon dari ping tadi dialamatkan ke komputer yang IP-nya di spoof. Akibatnya komputer tersebut akan menerima banyak packet.
Ping-0-Death Serangan dengan cara eksploitasi program ping dengan memberikan packet yang ukurannya besar ke sistem yang dituju. Beberapa sistem UNIX menjadi hang ketika diserang dengan cara ini. Program ping umum terdapat di berbagai sistem operasi, meskipun umumnya program ping tersebut mengirimkan packet dengan ukuran kecil (tertentu) dan tidak memiliki fasilitas untuk mengubah besarnya packet. Salah satu implementasi program ping yang dapat digunakan untuk mengubah ukuran packet adalah program ping yang ada di sistem operasi Windows 95.
Protokol Suatu kesepakatan mengenai bagaimana komun.ikasi akan dilakukan (Tanenbaum, 1992).
118
Proxy Server Proxy server beke1ja dengan menjembatani komputer ke Internet. Program Internet seperti browser, download manager dan lain-lain berhubungan dengan proxy server, dan proxy server tersebut yang akan berkomunikasi dengan server lain di Internet.
Public Key Encription Sistem enkripsi (penyandian) yang menggnnakan dua kunci, yaitu kunci publik dan kunci privat. Kunci publik diberitalrnkan oleh pemilik dan digunakan oleh semua orang yang ingin mengirimkan pesan terenkripsi kepada pemilik kunci. Kunci privat dignnakan oleh pemilik kunci untuk membuka pesan terenkripsi yang ia terima
Server
1. Sebuah komputer di Internet atau di jaringan lainnya yang menyimpan file dan membuat file terse but tersedia untuk diambil jika dibutuhkan. · 2. Sebuah aplikasi jaringan komputer yang dignnakan untuk melayani banyak pengguna dalam satu jaringan.
Signature Ciri khusus infonnasi pribadi yang digwmkan dalam e-mail atau news group, biasanya beiisi file atau secara otomatis terkait dengan mail atau post
119
Situs Sebua!l komputer yang terhubung oleh Internet, dan menyajikan inforrnasi atau layanan, seperti newsgroups, e-mail, atau halaman web.
Subnet Mask Angka biner 32 bit yang digunakan untuk rnembedakan network ID dengan host ID, menunjukkan letak suatu host, apakah berada di jaringan lokal atau jaringan luar.
TCP/IP (Transmission Control Protocol/Internet Protocol) Protokol komunikasi yang rnula-mula dikembangkan oleh Depmiemen Pe1iahanan AS. TCP/IP menyediakan jalur transp01tasi data sehingga sejumlah data ym1g dikirirn oleh suatu server dapat diterima oleh server yang lain. TCP/IP mernpakan protokol yang memungkinkan sistem di selumh dunia berkomunikasi pada jaringm1 tunggal yang disebut Internet
Trojan Horse Sebuah aplikasi yang didesain untuk melakukan sebuah kecurangan narnun terselubung dengan kebaikan. Biasanya metode yang dipakai adalah dengan rnenyelipkan (attach file lewat e-mail) sebuah file tertentu yang mengandung Trojan Horse namun dengan kernasan menarik. Kalan Trojan Horse berhasil menginfeksi maka bisa dipastikan hacker bisa mendapat akses tak
120
terhingga ke komputer korban. Tiga jenis Trojan Horse yang popular digunakan adalah Bae Orifice, NetBus, dan SubSeven.
Virus sebuah program atau kode yang dapat mereflikasikan dirinya; dapat menginfeksi program-program Jain, boot sector, sector partisi, atau dokumen yang mendukung makro, dengan cara memasukan dirinya sendiri kedalam media itu.kebanyakan virus hanya mereflikasi, tapi banyak juga yang menimbulkai1 kerusakan yang fatal.
Workstation Single-user komputer berdaya penuh yang kebanyakan berjalan di bawah sistem operasi UNIX. Workstation dih1jukan bagi high-end graphics dan aplikasi desain tambahan . Umum disebut juga sebagai graphics workstation. Saat ini, workstation dipakai .untuk menyebut komputer yang terhubung ·ke suatu jaringan.
\Vorrn Program yang dapat mereplikasi dirinya dengan menggunakan media komputer. Sifatnya dekstruktif terhadap disk dan memori juga menyebabkan kerusakan pada sistem dan memperlambat kinerja komputer dalam mengaplikasi sebuah program. Disebut juga virus.