IMPLEMENTASI KEAMANAN JARINGAN KOMPUTER LOKAL MENGGUNAKAN MAC ADDRESS BERBASIS PERANGKAT LUNAK OPEN SOURCE PADA PT. CAHAYA MULTI DIMENSI PALEMBANG Muhammad Dwi Prabowo Jurusan Teknik Informatika STMIK PalComTech Palembang Abstrak Perkembangan ilmu pengetahuan dan teknologi informasi komunikasi saat ini sangat pesat khususnya dibidang komputer yang digunakan sebagai alat bantu dalam menyelesaikan pekerjaan. PT Cahaya Multi Dimensi Palembang merupakan sebuah perusahaan yang dalam setiap aktivitasnya juga membutuhkan komunikasi dan akses melalui jaringan komputer. Pada penelitian ini dibangun sebuah PC Router untuk jaringan LAN (Local Area Network) dan WLAN(Wireless Local Area Network) yang mempunyai sistem keamanan menggunakan MAC Address dengan berbasis perangkat lunak open source Bind9, dhcp3-server, mac address filtering, anti arp poisoning dan dengan pengaturan ip tables diatas sistem operasi debian 6.0. Walaupun pada penelitian ini hanya dibangun sebuah pc router yang mempunyai sistem keamanan jaringan dengan menggunakan MAC Address filtering dan anti arp poisoning, namun diharapkan dapat menjadi solusi bagi jaringan untuk saat ini. Kata kunci : komputer, internet, keamanan, mac address, server, pc router dan arp.
PENDAHULUAN Jaringan komputer bukanlah sesuatu yang baru saat ini. Hampir di setiap perusahaan, perkantoran atau insatansi pemerintahan terdapat jaringan komputer untuk memperlancar arus informasi dan komunikasi di dalam perusahaan, perkantoran atau insatansi pemerintahan tersebut. Sebuah jaringan komputer dan internet merupakan alat dan media yang saling berhubungan, dimana dalam jaringan tersebut beberapa komputer dihubungkan satu sama lainnya menggunakan suatu media dan protokol komunikasi tertentu, sehingga dapat saling berbagi data, informasi dan berkomunikasi sesama pengguna komputer yang terhubung di dalam jaringan tersebut. PT. Cahaya Multi Dimensi adalah perusahaan yang bergerak dibidang kontraktor yang merupakan Kantor Cabang di Palembang yang mewakili Kantor Pusat di Jakarta yang memfasilitasi seluruh keperluan kerja dari PT. Cahaya Multi Dimensi Palembang, mulai dari persiapan/perencanaan tender, persiapan safety meeting, perlengkapan barang-barang inventaris kantor, serta pengadaan kendaraan operasional yang diperlukan PT. Cahaya Multi Dimensi Palembang. Teknologi jaringan yang digunakan oleh perusahaan adalah teknologi jaringan wired yaitu teknologi yang memanfaatkan media kabel sebagai penghubung antar jaringan, yang digunakan sebagai media komunikasi antar komputer, dan mendapatkan koneksi melalui satu provider internet dalam satu jaringan lokal. Ditinjau dari segi keamanan, penerapan dan pemanfaatan jaringan didalam perusahaan tersebut tidak memiliki sistem keamanan jaringan yang cukup efektif, oleh karena itu dibutuhkan suatu sisitem pengaman jaringan agar jaringan komputer perusahaan tersebut dapat terjaga dengan baik.
1
Secara umum, tujuan utama dari keamanan sebuah jaringan dan informasi adalah untuk memberikan availability (ketersediaan), integrity (integritas), dan confidentiality (kerahasiaan) terhadap pengguna. Oleh sebab itu, akan dirancang sebuah PC Router yang selain berfungsi sebagai pengatur jalur lalu-lintas internet baik dari jaringan wired maupun wireless, juga berfungsi sebagai sistem keamanan jaringan dengan menggunakan MAC Address, sehingga jaringan tersebut dapat dimanfaakan secara optimal dan juga memiliki keamanan jaringan yang cukup efektif. MAC Address adalah sebuah mekanisme dimana sebuah peralatan yang akan melakukan akses pada sebuah titik akses sudah terdaftar terlebih dahulu. Dalam sebuah komputer, MAC Address ditetapkan ke sebuah kartu jaringan atau NIC (Network Interface Card) yang digunakan untuk menghubungkan komputer yang bersangkutan ke jaringan. Jika dalam sebuah jaringan terdapat dua kartu jaringan yang memiliki MAC Address yang sama, maka akan terjadi konflik alamat dan komputer tidak dapat saling berkomunikasi antara satu dengan lainnya. Hubungan MAC address dengan sistem keamanan pada jaringan komputer lokal adalah memberikan suatu kepastian terhadap pemakaian akses internet yang tersedia melalui media transmisi data berupa wireless, terhadap host atau komputer client yang digunakan apakah sudah terdaftar atau belum pada sistem, jika terdapat dua kartu jaringan yang memiliki MAC Address yang sama maka salah satunya tidak akan dapat masuk kedalam jaringan. LANDASAN TEORI Implementasi Menurut Koniyo (2007:279), Implementasi merupakan kegiatan akhir dari proses penerapan sistem baru dimana sistem yang baru ini akan dioperasikan secara menyeluruh. Terhadap sistem yang baru itu sudah harus dilakukan proses analisis dan desain secara terinci. Berdasarkan pengertian di atas dapat disimpulkan bahwa implementasi adalah suatu pelaksanaan atau penerapan yang bisa bermanfaat sehingga menghasilkan suatu perubahan dari sistem yang lama. Komunikasi Data Menurut Yuhefizar (2008:21), Komunikasi data merupakan proses pemindahan data (message) dari satu komputer (node) ke komputer lainnya dalam suatu jaringan komputer melalui suatu media dan dengan seperangkat aturan (protokol). 1. Sumber (Source), Membangkitkan sinyal data yang harus ditransmisikan. Kemudian mengubah sinyal data ke dalam sinyal yang dapat ditransmisikan. 2. Sistem Transmisi (Transmission System), Membawa sinyal data. 3. Penerima (Recieve), Mengubah sinyal yang diterima ke data. 4. Tujuan (Destination), Menerima data. Terlihat seperti gambar dibawah ini :
2
Sumber : Yuhefizar (2008:21). Gambar 1. Model Komunikasi Data Dari gambar diatas dapat dijelaskan bahwa data berasal dari komputer klien, lalu dikirm melalui modem dalam bentuk sinyal analog yang dapat melintasi jalur transmisi jaringan telepon, kemudian sinyal diterima oleh modem dan diterjemahkan kedalam bentuk digital bit stream dan ditangkap oleh Server. Jaringan Komputer Menurut Sofana (2008:3), Jaringan Komputer adalah kumpulan beberapa komputer yang saling terhubung satu sama lain melalui media perantara. Media peratara ini bisa berupa media kabel ataupun nirkabel. Topologi Jaringan Topologi adalah suatu aturan bagaimana menguhubungkan komputer (node) satu sama lain secara fisik dan pola hubungan antara komponen-komponen yang berkomunikasi melalui media/peralatan jaringan seperti: server, workstation, hub/switch, dan pengkabelannya (media transmisi data) (Sofana 2008:7). Topologi Jaringan adalah susunan atau pemetaan interkoneksi antara node, dari suatu jaringan, baik secara fisik (rill) dan logis (virtual). Topologi menggambarkan metode yang digunakan untuk melakukan pengkabelan secara fisik dari suatu jaringan (Sopandi, 2008:27). Model Referensi OSI Menurut Wahana (2006:6), Model referensi OSI (Open System Interconnection) merupakan salah satu arsitektur jaringan komputer yang dibuat oleh ISO (International for Standarization Organization) untuk memecahkan masalah kompabilitas device antar vendor, dengan menyediakan standarisasi yang dapat digunakan oleh para vendor dalam membuat device. Model Referensi OSI juga merupakan sebuah framework dalam pembuatan dan mengimplementasikan standar jaringan. Model OSI terdiri dari tujuh lapisan, seperti gambar berikut ini :
Sumber: (Wahana Komputer, 2006:21) Gambar 2. Model OSI
3
Jaringan Komputer Lokal Nirkabel (WLAN) Jaringan Komputer Lokal Nirkabel (WLAN) adalah teknologi jaringan tanpa kabel, dimana jaringan tersebut menggunakan teknologi gelombang radio untuk pertukaran data. Jaringan Nirkabel ini dimaksudkan sebagai solusi alternatife media untuk menjangkau pengguna yang tidak terlayani oleh jaringan kabel, serta untuk mendukung pengguna yang sifatnya bergerak atau berpindah-pindah (Jhonsen dan Edison, 2005:3). HASIL DAN PEMBAHASAN Desain Topologi Jaringan Topologi yang penulis rancang untuk kantor PT. Cahaya Multi Dimensi Palembang yaitu hanya menambahkan sebuah Access Point dan sebuah PC sebagai PC Router yang memiliki 2 unit LAN Card yaitu eth0, eth1. Eth0 digunakan untuk jalur server ke modem ADSL dengan alamat IP 192.168.2.2, kemudian jaringan internet dari modem tersebut diteruskan ke eth1 yang digunakan untuk mengkoneksikan PC Router ke jaringan LAN pada kantor PT. Cahaya Multi Dimensi Palembang dengan alamat IP 192.168.10.1/29 dan eth2 digunakan untuk mengkoneksikan PC Router ke Access Point untuk jaringan WLAN yang menggunakan alamat IP 192.168.20.1/29, adapun perhitungan subnetnya adalah sebagai berikut : PT. Cahaya Multi Dimensi Palembang mempunyai komputer sebanyak 3 komputer. Network Address yang penulis tentukan untuk LAN adalah ip kelas C yaitu 192.168.10.0 dan WLAN 192.168.20.0 dengan subnetmask-nya 29 adalah 255.255.255.248, dilihat dalam angka binernya adalah 11111111.11111111.11111111.11111000. dalam perhitungan subnet terdapat rumus sebagai berikut : a. Jumlah Subnet = 2x b. Jumlah Host Per Subnet = 2y – 2 c. Blok Subnet = kelipatan dari 256 – n Keterangan dari rumus : x = jumlah dari banyaknya biner 1 pada oktat terakhir subnetmask y = jumlah dari banyaknya biner 0 pada oktat terakhir subnetmask n = nilai angka desimal pada oktat terakhir subnetmask jadi berdasarkan rumus perhitungan diatas dengan subnetmask /29 adalah : a. Jumlah Subnet : 25 = 32 b. Jumlah Host Per Subnet : 23 – 2 = 8 – 2 = 6 c. Mencari nilai n : n = (1x2)7+ (1x2)6+ (1x2)5+ (1x2)4+ (1x2)3+0+0+0 = 128+64+32+16+8 = 248 Blok Subnet : 256 – 248 = 8 Hasil dari kelipatan 8 : 0, 8, 16, 24, 32, 40, 48, .......,248.
4
Tabel 1. Hasil Perhitungan Subnetting Keterangan
IP LAN
IP WLAN
Subnet
192.168.10.0 192.168.20.0
Host Pertama
192.168.10.1 192.168.20.1
Host Terakhir
192.168.10.6 192.168.20.6
Broadcast
192.168.10.7 192.168.20.7
Topologi jaringan yang Peneliti rancang dan akan digunakan pada Kantor PT. Cahaya Multi Dimensi Palembang adalah seperti pada gambar berikut ini :
Gambar 3. Perencanaan Topologi Jaringan pada PT. Cahaya Multi Dimensi Palembang Pada gambar desain topologi diatas, dijelaskan bahwa sebuah PC Router akan dibuat pada jaringan komputer lokal yang ada pada PT. Cahaya Multi Dimensi Palembang, dimana PC tersebut selain akan digunakan sebagai Router bagi jaringan komputer lokal baik itu LAN maupun WLAN atau sebagai pusat lalu lintas data, juga akan digunakan sebagai pengaman jaringan komputer lokal khusunya pada jaringan Wireless LAN dengan mengunakan MAC Address. Berbeda dengan topologi kantor sebelumnya yang hanya menghubungan semua client ke modem melalui sebuah switch. Instalasi dan Konfigurasi PC Router a. Konfigurasi IP Address Langkah pertama yang dilakukan untuk mengatur IP Address adalah memberi ip pada interfaces eth0, eth1 dan eth2.
5
root@debian:~#nano /etc/network/interfaces Gambar 4. Perintah Membuka File Interfaces Setelah masuk ke dalam file /etc/network/interfaces, masukan ip address static, subnetmask, network, broadcast, gateway dan DNS untuk interfaces eth0, eth1, dan eth2. # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface #allow-hotplug eth0 #NetworkManager iface eth0 inet dhcp
auto eth0 iface eth1 inet static address 192.168.2.2 netmask 255.255.255.252 gateway 192.168.2.1 network 192.168.2.0 auto eth1 iface eth2 inet static address 192.168.10.1 netmask 255.255.255.248 network 192.168.10.0 broadcast 192.168.10.7 auto eth2 iface eth3 inet static address 192.168.20.1 netmask 255.255.255.248 network 192.168.20.0 broadcast 192.168.20.7 Gambar 5. Isi File Konfigurasi Interfaces Setelah melakukan konfigurasi terhadap interfaces lalu keluar sekaligus menyimpan dengan menekan tombol “ctrl + x” kemudian tekan tombol “y” pada keyboard dan tekan tombol “enter”. Setelah itu restart interfaces dengan mengetikan perintah : root@debian:~# /etc/init.d/networking restart Gambar 6. Perintah Menrestart Interfaces Untuk melihat apakah ip sudah terpasang atau belum pada interfaces-nya ketikan perintah “ifconfig” pada super user.
6
root@debian:~# ifconfig Gambar 7. Perintah Melihat IP Interfaces Setelah ip sudah terpasang pada interfaces yang akan digunakan, langkah berikutnya adalah mengaktifkan ipforward yang terletak pada direktori /etc/sysctl.conf dengan mengganti nilai 0 menjadi nilai 1. # Uncomment the next line to enable packet forwarding net.ipv4.ip_forward=1 Gambar 8. Konfigurasi File sysctl.conf b. Konfigurasi PC Router Langkah pertama yang adalah meneruskan paket antar interface dengan mengetik perintah iptables di dalam file /etc/rc.local sehingga aturan yang digunakan tidak hilang saat komputer server di restart, untuk membuka file tersebut ketik dengan perintah: root@debian:~# nano /etc/rc.local Gambar 9. Perintah Membuka File rc.local Perintah iptables ini digunakan untuk meneruskan paket antar network berikut perintahperintahnya.
!/bin/sh –e # # rc.local # # This script is executed at the end of each multiuser runlevel. # Make sure that the script will "exit 0" on success or any other # value on error. # # In order to enable or disable this script just change the execution # bits. # # By default this script does nothing. iptables -t nat -A POSTROUTING 192.168.10.0/255.255.255.248 -d 0/0 –j MASQUERADE
–s
iptables -t nat -A POSTROUTING 192.168.20.0/255.255.255.248 -d 0/0 -j MASQUERADE Gambar 10. Isi File rc.local
-s
Setelah itu simpan file dengan menekan tombol Ctrl + O pada keyboard kemudian keluar dengan menekan tombol Ctrl +X. c. Update Repository Agar dapat memasang perangkat lunak yang dibutuhkan maka harus Update repository menggunakan perintah berikut.
7
root@debian:~# apt-get update Gambar 11. Update Repository d. Konfigurasi DNS Langkah selajutnya yang dilakukan untuk mengkonfigurasi DNS server adalah menginstall terlebih dahulu Bind9 pada Debian Server. Dengan mengetikan perintah seperti pada gambar berikut root@debian:~# apt-get install bind9 Gambar 12. Instalasi DNS Server Setelah itu edit file /etc/bind/named.conf.local dengan mengetik peritah sebagai berikut root@debian:~# nano /etc/bind/named.conf.local Gambar 13. Membuka File named.conf.local Tambahkan isi file named.conf.local seperti pada gambar berikut. zone “dimensi.com” type master; file “/etc/bind/db.cmd”; };
zone “10.168.192.in-addr.arpa” { type master; file “/etc/bind/db.1.10.168.192”; }; Gambar 14. Isi File named.conf.local Setelah itu copy isi file db.local dan db.127 ke dalam file db.cmd dan db.1.10.168.192 dengan perintah berikut. root@debian:~# cp /etc/bind/db.local /etc/bind/db.cmd root@debian:~# cp /etc/bind/db.127 /etc/bind/db.1.10.168.192 Gambar 15. Perintah Copy File db.local dan db.127 Langkah selajutnya buka isi file db.cmd dengan mengetikan perintah. root@debian:~# nano /etc/bind/db.cmd Gambar 16. Perintah Membuka File db.cmd Lalu edit isi file db.cmd menjadi isi file seperti pada gambar berikut ini.
8
; ; BIND data file for local loopback interface ; $TTL 604800 dimensi.com. IN SOA dimensi.com. root.dimensi.com. ( 2 604800 86400 2419200 604800 )
; Serial ; Refresh ; Retry ; Expire ; Negative Cache TTL
; dimensi.com. IN NS dimensi.com. dimensi.com. IN A 192.168.10.1 ns.dimensi.com.IN A 192.168.10.1 Gambar 17. Isi File db.cmd Setelah itu simpan isi file tersebut dan tutup filenya. kemudian untuk masuk ke dalam file db.1.10.168.192 ketik perintah seperti gambar berikut ini. ; ; BIND data file for local loopback interface ; $TTL 604800 10.168.192.in-addr.arpa. IN SOA dimensi.com. root.dimensi.com. ( 1 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; 10.168.192.in-addr.arpa. IN NS ns.dimensi.com. 1.10.168.192.in-addr.arpa. IN PTR ns.dimensi.com. Gambar 18. Isi File db.1.10.168.192 Setelah selesai mengedit file db.1.10.168.192 simpan dan tutup filenya. Kemudian untuk memasukan DNS address-nya, ketik perintah seperti berikut ini. root@debian:~# nano /etc/resolv.conf Gambar 19. Perintah Membuka File resolv.conf Lalu masukan perintah seperti gambar berikut ini kedalam file resolv.conf tersebut. # Generated By NetworkManager search dimensi.com Gambar 20. Isi File resolv.conf Setelah itu simpan dan tutup file-nya dan restart bind9-nya dengan mengetikan perintah berikut ini. root@debian:~# /etc/init.d/bind9 restart Gambar 21. Perintah untuk Menrestart Bind
9
Untuk membuktikan bahwa DNS server-nya sudah berjalan. Untuk itu perlu dilakukan tes melalui komputer client.
Gambar 22. Tes DNS Server Sukses e. Instalasi dan Konfigurasi DHCP Server Untuk jaringan wireless pada client PC Router dibutuhkan DHCP server. Untuk membuat DHCP server dibutuhkan program dhcp3-server. Untuk mendapatkan dan menginstall program dhcp3-server menggunakan perintah berikut. root@debian:~# apt-get install dhcp3-server Gambar 23. Menginstall DHCP server Setelah program dhcp3-server ter-install, sekarang saatnya untuk meng-edit file dhcpd.conf pada direktori /etc/dhcp/dhcpd.conf dengan mengetik perintah sebagai berikut. root@debian:~# nano /etc/dhcp/dhcpd.conf Gambar 24. Perintah Membuka File dhcpd.conf Kemudian edit isi file tersebut dengan isi seperti dibawah ini. # A slightly different configuration for an internal subnet. subnet 192.168.20.0 netmask 255.255.255.248 { range 192.168.20.2 192.168.20.6; option domain-name-servers 8.8.8.8, 8.8.4.4; option domain-name “www.dimensi.com”; option routers 192.168.20.1; option broadcast-address 192.168.20.7; default-lease-time 600; max-lease-time 7200; } host wlan1{ hardware ethernet 1C:65:9D:90:59:91 ; fixed-address 192.168.20.2 ; } Host wlan1{ hardware ethernet 00:11:D8:CF:A5:21 ; fixed-address 192.168.20.3 ; } Gambar 25. Isi File dhcpd.conf
10
Setelah mengedit file dhcpd.conf simpan file tersebut. Kemudian lanjut untuk mengedit file isc-dhcp-server yang terdapat pada direktori /etc/default/isc-dhcp-server. Dengan menggunakan perintah berikut. root@debian:~# nano /etc/default/isc-dhcp-server Gambar 26. Perintah Membuka File isc-dhcp-server Setelah file tersebut terbuka masukan eth yang akan di pilih agar menjadi DHCP, eth yang dipilih adalah eth2. Kemudian edit file tersebut dengan isi seperti dibawah ini. # On what interfaces should the DHCP server (dhcpd) serve requests? # Separate multiple interfaces with spaces, e.g. “eth0 eth1”. INTERFACES=”eth2” Gambar 27. Isi File isc-dhcp-server Kemudian simpan file tersebut, lalu restart dhcpnya. Untuk merestart dhcp gunakan perintah berikut. root@debian:~# /etc/init.d/isc-dhcp-server restart Gambar 28. Perintah untuk merestart dhcp server f.
Konfigurasi Akses Poin DHCP server pada server Debian dibuat untuk membagikan ip dinamis pada client yang menggunakan Notebook. Untuk itu diperlukan perangkat keras Akses Poin sebagai pemberi sinyal Wifi untuk jaringan komputer lokalnya. Untuk mengkonfigurasi Akses poin cukup menggunakan komputer client. Langkah awal yaitu masuk ke dalam web browser dan masukan ip dari akses poin tersebut yaitu 192.168.1.254. Setelah itu, akan masuk ke dalam halaman sistem akses poin tersebut. Lalu, pilih Wireless pada sub menu kemudian pilih Basic Settings dan beri nama pada kolom SSID dengan nama “PT. CMD”, dan pilih kolom Region dengan “Indonesia”, kemudian pilih channel 6 dengan Mode kecepatan 54Mbps dan simpan konfigurasinya. Seperti gambar berikut.
Gambar 29. Konfigurasi SSID Akses Poin
11
Pada konfigurasi akses poin, penulis tidak mengkonfigurasi ip untuk kliennya. Karena, penulis sudah membuat DHCP server pada server debian sebagai pc router. Untuk membuktikan bahwa DHCP server pada debian server sudah berfungsi, penulis menggunakan laptop dari klien untuk dikoneksikan ke pc router. Setelah SSID “PT. CMD” ditemukan pilih SSID “PT. CMD” tersebut klik “Connect”. Jika berhasil maka icon wireless pada taskbar akan berubah menjadi terkoneksi dengan server pc router. Setelah koneksi berhasil, maka untuk membuktikan koneksi ke pc router benar-benar sukses. Untuk itu dilakukan tes ping seperti gambar berikut :
Gambar 30. Tes Koneksi Sukses g. Konfigurasi MAC Address Filtering Dalam membuat konfigurasi MAC Address Filtering penulis membuat Bash script pada file directory /etc/network/filter.rules ketik perintah berikut ini : root@debian:~# nano /etc/network/filter.rules Gambar 31. Perintah membuat file Bash Script Setelah file tersebut terbuka, masukan perintah script seperti berikut ini : #!/bin/bash # Bash script IP Address and MAC Address Filtering files="/etc/network/filter.list" device="eth2" echo " " echo "MAC FILTER STATUS: All connection to droped on device $device" iptables -I PREROUTING -t nat -i $device -j DROP iptables -I FORWARD -i $device -j DROP iptables -A INPUT -i $device -j DROP echo " " echo "MAC FILTER STATUS: Running on device $device" echo "MAC FILTER STATUS: Allow access for IP-ADDRESS and MAC-ADDRESS: "
12
cat $files | while read ip_address mac_address; do iptables -A INPUT -t filter -i $device -s $ip_address -m mac --mac-source $mac_address -j ACCEPT iptables -I PREROUTING -t nat -i $device -s $ip_address -m mac --mac-source $mac_address -j ACCEPT iptables -I FORWARD -i $device -s $ip_address -m mac --mac-source $mac_address -j ACCEPT echo "$ip_address [ $mac_address ] " done
Gambar 32. Isi file Bash Script Selanjutnya buat file filter list sebagai database yang berisi MAC Address client dengan ip yang telah ditentukan di /etc/dhcp/dhcpd.conf tersebut diatas. root@debian:~# nano /etc/network/filter.list Gambar 33. Perintah membuat file filter list Setelah file tersebut terbuka, masukan perintah script seperti berikut ini : 192.168.20.2 1c:65:9d:90:59:91 192.168.20.3 00:11:d8:cf:a5:21 Gambar 34. Isi file filter list Kemudian beri chmod 0777 atau -x untuk file /etc/network/filter.rules seperti gambar berikut : #chmod 0777 /etc/network/filter.rules Gambar 35. Perintah permission file filter.rules Agar setiap kali reboot atau startup program langsung jalan maka buka file /etc/rc.local dan tambahkan /etc/network/filter.rules pada baris terakhir tetapi hapus baris exit 0 seperti gambar berikut : !/bin/sh –e # rc.local # This script is executed at the end of each multiuser runlevel. # Make sure that the script will "exit 0" on success or any other # value on error. # In order to enable or disable this script just change the execution # bits. # By default this script does nothing. iptables -t nat -A POSTROUTING –s 192.168.10.0/255.255.255.248 d 0/0 –j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.20.0/255.255.255.248 d 0/0 -j MASQUERADE /etc/network/filter.rules Gambar 36. Tambahan pada Isi File rc.local
13
Setelah itu restart pada server debian tersebut. h. Konfigurasi Anti ARP (Address Resolution Protocol) Dalam penerapan sistem keamanan MAC Address, ancaman keamanan muncul ketika ada upaya untuk memanipulasi pengalamatan nomor IP dan MAC Address terhadap jaringan wireless, proses ini dikenal dengan istilah ARP Poisoning, yaitu suatu cara untuk memanipulasi lalu lintas data dalam sebuah jaringan sehingga dapat menyebabkan gannguan koneksi pada jaringan tersebut. Dalam prakteknya kebanyakan menggunakan software tertentu. Salah satunya dengan menggunakan netcut. Oleh karena itu penulis juga menerapkan sistem keamanan dengan menggunakan Anti ARP Poisoning (http://reintakura.web.id/agar-terhindar-dari-netcut-dan-arp-poisoning/). Untuk membuat Anti ARP Poisoning dibutuhkan pengaturan dengan menggunakan arptables pada pc router. Untuk menginstal arptables, masukan perintah seperti pada gambar berikut ini: root@debian:~# apt-get install arptables Gambar 37. Instalasi arptables Lalu kemudian buat file path ip dan mac addressnya dengan perintah sebagai berikut : root@debian:~# nano /etc/arptables Gambar 38. Perintah membuat file arptables Setelah file tersebut terbuka, masukan perintah script seperti berikut ini : #NBook 1 192.168.20.2 1C:65:9D:90:59:91 #NBook 2 192.168.20.3 00:11:D8:CF:A5:21 #NBook 3 192.168.20.4 #NBook 4 192.168.20.5 #NBook 5 192.168.20.6 Gambar 39. Isi file arptables Kemudian buat bash script di /etc/init.d yang diberi nama "arptables" menggunakan perintah berikut : root@debian:~# nano /etc/init.d/arptables Gambar 40. Perintah membuat file bash script Setelah file tersebut terbuka, masukan perintah script seperti berikut ini : #!/bin/sh PATH=/bin:/usr/bin #Script untuk Anti ARP Poisoning ( ARP Spoofing ) #File: rc.arptables #Parameter ARPTABLES="/sbin/arptables" ARP="/usr/sbin/arp" #File arp tables
14
#192.168.20.2 1C:65:9D:90:59:91 FARPTABLE="/etc/arptables" #Local Interface INT="eth2" #WAN Interfaces WAN1="eth0" if [ ! -e $FARPTABLE ]; then echo $FARPTABLE not found; exit 0; fi if [ ! -x $ARPTABLES ]; then echo $ARPTABLES not found; exit 0; fi arptables_flush() { #Flush Table #reset the default policies in the filter table. # $ARPTABLES -P INPUT ACCEPT $ARPTABLES -P OUTPUT ACCEPT # #flush all the rules in the filter # $ARPTABLES -F # #erase all chains that's not default in filter. # $ARPTABLES -X } case "$1" in start) echo -n "Starting arptables:" arptables_flush # #Filter Table #Set Policies # $ARPTABLES -A INPUT -j ACCEPT -i $WAN1 $ARPTABLES -P INPUT DROP -i $INT $ARPTABLES -A OUTPUT -j ACCEPT -o $WAN1 $ARPTABLES -P OUTPUT DROP -o $INT grep -v '^#' $FARPTABLE | while read i do IP=`echo $i|cut -f1 -d' '` MAC=`echo $i|cut -f2 -d' '` $ARPTABLES -A INPUT -s $IP --source-mac $MAC -j ACCEPT -i $INT $ARPTABLES -A OUTPUT -d $IP --destination-mac $MAC -j ACCEPT -o $INT $ARP -i $INT -s $IP $MAC done touch /tmp/ARPTABLES echo "." ;; stop)
15
echo -n "Stopping arptables:" arptables flush #Flush arp grep -v '^#' $FARPTABLE| while read i do IP=`echo $i|cut -f1 -d' '` $ARP -i $INT -d $IP done rm -f /tmp/ARPTABLES echo "." ;; stat) if [ -f /tmp/ARPTABLES ]; then echo "arptables is on." $ARPTABLES -L -n else echo "arptables is off." $ARPTABLES -L -n fi ;; *) echo "Usage: $0 {start|stop|stat}" exit 1 ;; Esac Gambar 41. Isi file bash script arptables Simpan lalu keluar dari editor. Kemudian beri permissions supaya dapat di eksekusi dengan perintah sebagai berikut : root@debian:~ # chmod 775 /etc/init.d/arptables Gambar 42. Perintah permissions command shell # /etc/init.d/arptables start [status start atau on] # /etc/init.d/arptables stat [status arptables] # /etc/init.d/arptables stop [status arptables stop/off] i.
Konfigurasi Aturan-aturan IP Tables Aturan-aturan ip tables dibuat didalam file /etc/rc.local untuk masuk kedalam file /etc/rc.local masukan perintah berikut ini : root@debian:~# nano /etc/rc.local Gambar 43. Perintah untuk Masuk ke dalam file rc.local Setelah masuk ke dalam file /etc/rc.local tambahkan perintah-perintah ip tables berikut ini : #Akses Ping dari LAN ke Gateway LAN 1c:7e:e5:5b:bf:93 iptables -I INPUT -p icmp -s 192.168.10.2 -d 192.168.10.1 -j ACCEPT
16
iptables -I INPUT -p icmp -s 192.168.10.3 -d 192.168.10.1 -j DROP iptables -I INPUT -p icmp -s 192.168.10.4 -d 192.168.10.1 -j DROP iptables -I INPUT -p icmp -s 192.168.10.5 -d 192.168.10.1 -j DROP iptables -I INPUT -p icmp -s 192.168.10.6 -d 192.168.10.1 -j DROP #Akses ping dari LAN ke WLAN iptables -I INPUT -p icmp -s 192.168.10.2 -d 192.168.20.1 -j ACCEPT iptables -I INPUT -p icmp -s 192.168.10.3 -d 192.168.20.1 -j DROP iptables -I INPUT -p icmp -s 192.168.10.4 -d 192.168.20.1 -j DROP iptables -I INPUT -p icmp -s 192.168.10.5 -d 192.168.20.1 -j DROP iptables -I INPUT -p icmp -s 192.168.10.6 -d 192.168.20.1 -j DROP #Akses Ping dari WLAN ke Gateway WLAN 00:0e:2e:3e:11:6f iptables -I INPUT -p icmp -s 192.168.20.2 -d 192.168.20.1 -j DROP #Akses Ping dari WLAN ke LAN iptables -I INPUT -p icmp -s 192.168.20.0 -d 192.168.20.1 -j DROP #Akses SSH dari LAN ke Gateway 192.168.10.1 iptables -I INPUT -p tcp -s 192.168.10.2 -d 192.168.\10.1 --dport 22 -j ACCEPT iptables -I INPUT -p tcp -s 192.168.10.3 -d 192.168.\10.1 --dport 22 -j DROP iptables -I INPUT -p tcp -s 192.168.10.4 -d 192.168.\10.1 --dport 22 -j DROP iptables -I INPUT -p tcp -s 192.168.10.5 -d 192.168.\10.1 --dport 22 -j DROP iptables -I INPUT -p tcp -s 192.168.10.6 -d 192.168.\10.1 --dport 22 -j DROP #Akses SSH dari WLAN ke Gateway 192.168.20.1 iptables -I INPUT -p tcp -s 192.168.20.0 -d 192.168.\20.1 --dport 22 -j DROP #Domain Filtering iptables -A INPUT -m string --algo kmp --string youtube.com -j DROP iptables -A FORWARD -m string --algo kmp --string youtube.com -j DROP iptables -A INPUT -m string --algo kmp --string facebook.com -j DROP iptables -A FORWARD -m string --algo kmp --string facebook.com -j DROP iptables -A INPUT -m string --algo kmp --string games.co.id -j DROP iptables -A FORWARD -m string --algo kmp --string games.co.id -j DROP iptables -A INPUT -m string --algo kmp --string twitter.com -j DROP iptables -A FORWARD -m string --algo kmp --string twitter.com -j DROP
17
iptables -A INPUT -m string --algo kmp --string 4shared.com -j DROP iptables -A FORWARD -m string --algo kmp --string 4shared.com -j DROP Gambar 43. Aturan-aturan ip tables Setelah itu simpan dan tutup filenya lalu restart server debiannya. j.
Pengujian Aturan-aturan Iptables Berikut pengujian dari aturan-aturan Iptables yang sudah ditanamkan didalam pc router yang menggunakan sistem operasi debian server. SSH untuk Gateway jaringan LAN yaitu 192.168.10.1 hanya bisa diakses oleh client dengan Ip address 192.168.10.2.
Gambar 44. Akses SSH dari 192.168.10.2 ke Gateway192.168.10.1 Diterima. Selanjutnya Akses SSH dari client WLAN dengan ip address 192.168.20.2 ke Gateway WLAN 192.168.20.1. akan ditolak.
Gambar 45. Akses SSH dari 192.168.20.2 ke Gateway 192.168.20.1 ditolak Selanjutnya adalah tes ping dari jaringan LAN ke jaringan WLAN. Yang bisa melakukan ping ke Gateway WLAN 192.168.20.1 hanyalah komputer dengan ip 192.168.10.2.
18
Gambar 46. Tes Ping dari 192.168.10.2 ke 192.168.20.1 Sukses Selanjutnya adalah tes domain yang di filter ataupun domain yang tidak bisa dikunjungi. Berikut adalah daftar domain yang tidak bisa dikunjungi. Tabel 2. Filter Domain Nama Domain www.youtube.com www.facebook.com www.games.co.id www.twitter.com www.4shared.com Berikut adalah hasil pengujian terhadap domain yang tidak boleh dikunjungi.
Gambar 47. Koneksi ke Domain Facebook ditolak Pada gambar diatas menunjukan bahwa untuk domain yang di filtering salah satu adalah domain youtube tidak dapat di akses. Dan Penulis akan membuka domain email yahoo yang tidak di filtering oleh penulis.
19
Gambar 48. Koneksi ke Domain Yahoo Sukses k. Pengujian MAC Address Filtering pada Client Wireless Berikut ini adalah hasil pengujian MAC Address Filtering client wireless yang tidak terdaftar pada Server MAC Address Filtering seperti gambar berikut ini :
Gambar 49. Client Wireless yang MAC Addressnya Tidak Terdaftar Pada gambar diatas diketahui ada tampilan request time out, ini menandakan bahwa client wireless yang tidak terdaftar tidak dapat terkoneksi ke jaringan internet. Selanjutnya adalah hasil pengujian dari client wireless yang MAC Addressnya terdaftar seperti gambar berikut ini :
20
Gambar 50. Client Wireless yang MAC Addressnya Terdaftar Pada gambar diatas uji koneksi mendapatkan jawaban dengan replay from, itu menandakan bahwa client wireless tersebut telah terkoneksi ke pr router yang penulis buat, dan secara otomatis client wireless tersebut telah terhubung ke jaringan internet. l.
Pengujian Anti ARP Poisoning Untuk menguji anti ARP Poisoning yang penulis buat, maka penulis melakukan tes serangan netcut dari client yang MAC Addressnya tidak terdaftar dalam server MAC Address Filtering seperti gambar berikut ini :
Gambar 51. Tes Netcut Berdasarkan gambar diatas menunjukkan bahwa ip gateway dari server MAC Address filter terdeteksi oleh software netcut. Jika client dari MAC Address yang tidak terdaftar tersebut melakukan cut off pada ip client 192.168.20.2 wireless yang terdaftar seperti gambar berikut :
21
Gambar 52. tes serangan netcut maka koneksi client dengan ip 192.168.20.2 akan mengalami gangguan koneksi. Seperti gambar berikut ini :
Gambar 53. Akibat Serangan Netcut Berdasarkan gambar diatas menunjukkan bahwa anti ARP belum diaktifkan. Dan setelah itu penulis akan melakukan pengujian keamanan MAC Address menggunakan anti arp yang dibuat secara manual dengan menambahkan perintah /etc/init.d/arptables start pada server debian di dalam file rc.local dibarisan yang paling bawah. Buka file /etc/rc.local dengan perintah berikut ini: root@debian:~# nano /etc/rc.local Gambar 54. Perintah membuka File rc.local Kemudian tambahkan perintah berikut ini kedalam file tersebut di baris yang paling bawah. /etc/init.d/arptables start Gambar 55. Isi File rc.local Setelah itu simpan dan tutup file tersebut. Dan masukan perintah ini pada server debian. root@debian:~# init 6 Gambar 56. Perintah Restart Server Setelah itu penulis melakukan tes penyerangan dengan software netcut melalui client yang MAC addressnya tidak terdaftar pada server MAC address filter. Seperti gambar berikut ini :
22
Gambar 57. Tes Netcut setelah Anti ARP Aktif Berdasarkan Gambar diatas Menunjukan bahwa ip gateway dari server MAC Address tidak terdeteksi MAC Addressnya. Apabila client yang melakukan serangan dengan software netcut tersebut melakukan cut off pada client dengan ip 192.168.20.2 seperti gambar berikut :
Gambar 58. Tes Serangan Netcut setelah Anti ARP Aktif Maka tidak akan terjadi dampak pada client dengan ip address 192.168.20.2 yang MAC Addressnya sudah terdaftar pada server MAC Address filter. Seperti gambar berikut :
Gambar 59. Keamanan Mac Address dan Anti ARP Sukses Gambar Menunjukan bahwa keamanan MAC Address Filtering dan Anti ARP Poisoning yang penulis buat berjalan dengan sukses. Dengan ini sekian konfigurasi
23
keamanan server menggunakan MAC Address filtering beserta anti ARP Poisoning yang penulis buat. PENUTUP Berdasarkan hasil analisis dan pembahasan dilakukan peneliti, dapat diambil kesimpulan bahwa perlu dibangun server mac address filtering untuk mengamankan jaringan nirkabel PT Cahaya Multi Dimensi Palembang. Dengan menggunakan sistem operasi Debian 6.0 yang berguna sebagai server yang memberi akses jaringan khusus mac address yang terdaftar didalam server mac address filter untuk menjaga keamanan didalam jaringan komputer lokal PT Cahaya Multi Dimensi yang menciptakan komunikasi data yang teratur. Mac address server ini dibuat dengan menggunakan aturan-aturan ip tables dan keamanan anti ARP Poisoning yang dibuat secara manual yang tidak bisa ditembus keamanannya dengan software netcut. Didalam server Mac Address filter ini juga tertanam DHCP server sebagai server yang bekerja untuk memberi ip dinamis untuk client yang menggunakan jaringan nirkabel. Didalam Server Mac Address Filtering ini juga terdapat filter domain yang tidak bisa dikunjungi, sehingga karyawan PT Cahaya Multi Dimensi Palembang dapat mengakses situs yang bermanfaat. Didalam Server Mac Address Filtering ini juga terdapat bind sebagai DNS server jaringan komputer lokal pada PT Cahaya Multi Dimensi Palembang.
DAFTAR PUSTAKA Jhonsen dan Jhon Edison. 2005. Membangun Wireless LAN. Jakarta : PT Elekmedia Komputindo Koniyo, Andri dan Kusrini. 2007. Tuntunan Praktis Membangun Sistem Informasi Akuntansi dengan Visual Basic dan Microsoft SQL Server. Yogyakarta : Penerbit Andi Sofana, Iwan. 2008. Membangun Jaringan Komputer Mudah Membuat Jaringan Komputer (Wire & Wireless) Untuk Pengguna Windows dan Linux. Bandung : Informatika Bandung Sopandi, Dede. 2008. Instalasi dan Konfigurasi Jaringan Komputer. Bandung : Informatika
Wahana Komputer. 2006. Menginstalasi Perangkat Jaringan Komputer. Jakarta : PT Elek Media Komputindo Yuhefizar. 2008. 10 Jam Menguasai Internet Teknologi dan Aplikasinya. Jakarta : PT Elek Media Komputindo (http://reintakura.web.id/agar-terhindar-dari-netcut-dan-arp-poisoning/) diakses tanggal 11 Desember 2011, 12.30 WIB
24
