PENERAPAN STATEFUL FIREWALL PADA ARSITEKTUR DUALHOMED HOST (STUDI KASUS : PT PLN(PERSERO) APL MAMPANG)
Skripsi Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Komputer (S.Kom)
Oleh ARIEFATI WIRATAMA NIM: 104091002861
PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA 2010 M./1431 H.
x
PENERAPAN STATEFUL FIREWALL PADA ARSITEKTUR DUALHOMED HOST (STUDI KASUS : PT PLN(PERSERO) APL MAMPANG)
Skripsi Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Komputer Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta
Oleh ARIEFATI WIRATAMA 104091002861
PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA 2010 M/1431 H
xi
PENERAPAN STATEFUL FIREWALL PADA ARSITEKTUR DUALHOMED HOST (STUDI KASUS : PT PLN(PERSERO) APL MAMPANG) Skripsi Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Komputer Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta Oleh : Ariefati Wiratama 104091002861 Menyetujui, Pembimbing I,
Pembimbing II,
Arini, M.T M.Eng. NIP. 19760131 200901 2 001
Victor Amrizal, M.Kom NIP. 150 411 288 Mengetahui,
Ketua Program Studi Teknik Informatika
Yusuf Durrachman, M.Sc, MIT NIP. 19710522 200604 1 002
xii
PENGESAHAN UJIAN Skripsi yang berjudul ”PENERAPAN STATEFULL FIREWALL PADA ARSITEKTUR DUAL-HOMED HOST (Studi Kasus : PT. PLN(PERSRO) APL Mampang)” telah diuji dan dinyatakan lulus dalam sidang munaqosah Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta. Pada ”Hari”, XX Juni 2010. Skripsi ini telah diterima sebagai salah satu syarat untuk memperoleh gelar sarjana strata satu (S1) program studi Teknik Informatika Jakarta, Juni 2010 Menyetujui, Penguji I,
Penguji II,
Husni Teja Sukmana, Ph.D NIP. 1977103 200112 1 03
Herlino Nanang, MT NIP.19731209 200501 1 002
Pembimbing I,
Pembimbing II,
Arini, MT, M.Eng. NIP. 19760131 200901 2 001
Victor Amrizal, M.Kom NIP. 150 411 288 Mengetahui,
Dekan, Fakultas Sains dan Teknologi
Ketua Program Studi, Teknik Informatika
DR. Syopiansyah Jaya Putra, M. Sis NIP. 19680117 200112 1 001
Yusuf Durrachman, MIT NIP. 19710522 200604 1 002
xiii
PERNYATAAN
DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR – BENAR HASIL KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN SEBAGAI SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI ATAU LEMBAGA MANAPUN.
Jakarta, Juni 2010 Ariefati Wiratama NIM. 104091002861
xiv
ABSTRAK Ariefati Wiratama. Penerapan Statefull Firewall pada Arsitektur Dual-Homed Host. Dibimbing oleh ARINI dan VICTOR AMRIZAL Keamanan jaringan merupakan kebutuhan yang penting bagi personal terlebih lagi perusahaan. Minimnya fungsi dari personal firewall dan mahalnya sebuah hardware firewall ini lah yang menjadi kendala dalam penerapan suatu firewall. IPCop merupakan suatu statefull firewall yang memfilter dari layer transport sampai layer application. IPCop diterapkan pada arsitektur firewall dual-homed host yang menggunakan sedikitnya 2NIC pada sebuah PC. IPCop, juga bertindak sebagai proxy yang transparan sebagai gateway untuk mengakses layanan internet dan melakukan access-control kepada user. Di dalam penelitian ini pembangunan sistem terdiri dari beberapa elemen yang mendefinisikan fase, tahapan, langkah, atau mekanisme proses spesifik. Tahapan dalam pembangunan ini terdiri dari analisis, desain, simulasi prototipe, pengamatan/monitoring, dan manajemen. Firewall diuji dengan akses konten internet yang diblokir dan port scanning. Hasil pengujian menunjukkan bahwa penerapan statefull firewall yang menggunakan arsitektur dual-homed host pada PT.PLN(PERSERO) APL Mampang dapat berjalan dengan baik sebagai firewall yang mudah dikonfigurasi untuk mengamankan jaringan. Kata kunci : stateful firewall, dual-homed host, IPCop
xv
KATA PENGANTAR
Assalamu alaikum Warahmatullahi Wabarakatuh Segala puji kehadirat Allah SWT yang telah memberikan nikmat iman, nikmat islam, dan nikmat hidup sehingga penulis dapat menyelesaikan skripsi ini dengan baik. Shalawat dan salam semoga tetap tercurahkan kepada suri tauladan kita Rasulullah Muhammad SAW yang telah berhasil membawa manusia ke dalam dunia yang penuh peradaban. Amin. Skripsi merupakan salah satu tugas wajib mahasiswa sebagai persyaratan untuk menyelesaikan program studi Strata 1 (S1) di Universitas Islam Negeri Syarif Hidayatullah Jakarta. Sejauh ini penulis menyadari sepenuhnya masih banyak kekurangan-kekurangan pada skripsi ini, yang disebabkan karena terbatasnya kemampuan dan pengetahuan yang penulis miliki, Dalam penyusunan skripsi ini, penulis mendapat bimbingan dan bantuan dari berbagai pihak, oleh karena itu perkenankanlah pada kesempatan ini penulis mengucapkan terima kasih kepada : 1.
DR. Syopiansyah Jaya Putra, M.Sis, selaku Dekan Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta
2.
DR. Yusuf Durrachman, MIT selaku Ketua Program Studi Teknik Informatika.
3.
Arini, MT, M.Eng dan Victor Amrizal, M.Kom, selaku Pembimbing I dan Pembimbing II, yang secara kooperatif, penuh kesabaran memberikan nasihat
xvi
dan saran-saran berharga secara bijak dan membantu membimbing penulis dalam penyelesaian skripsi ini. 4.
Seluruh Dosen Program Studi Teknik Informatika yang tidak dapat penulis sebutkan satu persatu, terima kasih atas pengajaran dan ilmunya yang bermanfaat bagi penulis.
5.
Staf karyawan Fakultas Sains dan Teknologi dan Prodi TI, yang telah banyak membantu penulis dalam hal administrasi di kampus.
6.
Manajer PT. PLN PERSERO APL Mampang, beserta seluruh staff yang telah banyak membantu penulis dalam penelitian di lapangan.
Akhir kata semoga skripsi ini bermanfaat bagi penulis khususnya dan bagi para pembaca umumnya, sebagai manusia dengan segala kerendahan hati, penulis menyadari bahwa skripsi ini masih jauh dari kesempurnaan. Saran dan kritik yang konstruktif dari pembaca sangat penulis harapkan. Semoga pembaca memperoleh tambahan pengetahuan setelah membacanya. Wassalamu alaikum Warahmatullahi Wabarakatuh Jakarta, Juni 2010
Penulis
xvii
LEMBAR PERSEMBAHAN
Skripsi ini khusus penulis persembahkan kepada pihak-pihak yang telah memberikan dukungan baik secara moril maupun materil dalam menyelesaikan penelitian skripsi ini , diantaranya adalah : 1. Orang tua tercinta, Ayahanda H. Zainal Fanani dan Ibunda Hj. Yulia Herliyanti, yang telah menunggu penulis menyelesaikan kuliah dengan penuh kesabaran dan kasih sayang, yang selalu memberikan nasehat, bimbingan dan motivasi. Semoga Allah selalu melimpahkan rahmat dan ampunan-Nya kepada Ayahanda dan Ibunda. Amin 2. Adik–adikku,
Renaldi Fardani dan Egi Yunandi yang sering
mengingatkan penulis untuk rajin mengerjakan skripsi dengan menanyakan kapan penulis lulus. 3. Ulul Azmi, yang telah mendampingi penulis selama penulisan skripsi ini dan tidak bosan-bosannya menanyakan tentang skripsi penulis setiap hari serta memberikan dorongan, motivasi, bantuan dan semangat kepada penulis. 4. Sahabat – sahabatku semua, Insan, Hirzi, Razka, Udin, Arie, Sidik, Fajar, Edoy, Taufiq terima kasih untuk motivasi, inspirasi dan bantuan kalian selama ini, semoga persahabatan ini adalah awal dari persaudaraan kita kedepannya, dan tetap semangat untuk mewujudkan semua cita-cita kita.
xviii
5. Teman – teman TI UIN Syarif Hidayatullah khususnya TIC angkatan 2004 senang sekali bisa mengenal kalian selama lebih dari 5 tahun ini, semoga kita selalu sukses kedepannya dan terus terjalin persaudaraan kita.
xix
DAFTAR ISI
Lembar Judul .................................................................................................. i Lembar Persetujuan Pembimbing ..................................................................
ii
Lembar Pengesahan Ujian .............................................................................
iii
Lembar Pernyataan ........................................................................................
iv
Abstrak .....................................................................................................
v
Kata Pengantar ...............................................................................................
vi
Lembar Persembahan ..................................................................................... viii Daftar Isi ........................................................................................................
x
Daftar Gambar ................................................................................................ xiv Daftar Tabel ...................................................................................................
xvii
Daftar Lampiran .............................................................................................
xviii
BAB I PENDAHULUAN ............................................................................. 1 1.1. Latar Belakang ..................................................................................
1
1.2. Perumusan Masalah...........................................................................
2
1.3. Batasan Masalah ...............................................................................
3
1.4. Tujuan dan Manfaat Penulisan .........................................................
4
1.5. Metoe Penelitian ...............................................................................
5
1.5.1. Metode Pengumpulan Data .................................................... 5 1.5.2. Metode Pembangunan Sistem …............................................
5
1.6. Sistematika Penulisan .......................................................................
7
BAB II LANDASAN TEORI ......................................................................
9
xx
2.1. Definisi Penerapan ............................................................................
9
2.2. Jaringan Komputer ...........................................................................
9
2.2.1
Pengertian Jaringan Komputer ..............................................
9
2.2.2
Model Referensi OSI .............................................................
10
2.2.3
Topologi .................................................................................
13
2.3. Keamanan Jaringan Komputer .......................................................... 14 2.4. Aspek-aspek Keamanan Komputer ................................................... 14 17
2.4.1
Jenis Ancaman Keamanan jaringan .......................................
2.4.2
Pengujian Keamanan .............................................................. 18
2.5. Firewall .............................................................................................
19
2.5.1. Definisi dan Konsep Firewall ................................................
19
2.5.2. Jenis-jenis Firewall ................................................................
20
2.5.3. Fungsi dan Fitur Firewall ......................................................
22
2.5.4. Arsitektur Dasar Firewall ....................................................... 23 2.5.4.1. Single-Box Architectures ..............................................
23
2.5.4.2. Screened Subnet Architectures .....................................
24
2.5.4.3. Screened Host Architectures ......................................... 25 2.5.5. Teknologi Firewall ................................................................. 26 2.5.6. Tipe dan Cara Kerja Firewall ................................................. 26 2.5.7. Proxy Server Firewall ............................................................
33
2.5.7.1 Definisi dan Konsep Proxy Server ................................ 33 2.5.7.2 Jenis Proxy Server ......................................................... 34 2.6. Router ............................................................................................... 34
xxi
2.6.1. Jenis-jenis Router ................................................................... 35 2.7. Sistem Operasi Linux ....................................................................... 37 Struktur Direktori Linux ........................................................
37
2.8. IPCop ...............................................................................................
40
2.8.1. Interface jaringan IPCop ........................................................
41
2.8.2. Fitur dari IPCop .....................................................................
43
2.8.3. Kelebihan IPCop ....................................................................
44
2.7.1
2.9. Virtual Box ....................................................................................... 46 2.10.SSH (Secure Shell) ..........................................................................
46
2.10.1 Kegunaan SSH ......................................................................
47
2.10.2 Tools SSH .............................................................................
48
BAB III METODE PENELITIAN ............................................................
50
3.1. Waktu dan Tempat Penelitian ........................................................... 50 3.2. Peralatan Penelitian ..........................................................................
50
3.3. Metode Pengumpulan Data ............................................................... 52 3.4. Metode Pembangunan Sistem ........................................................... 52 BAB IV HASIL DAN PEMBAHASAN .....................................................
57
4.1. Analysis (Analisis) ............................................................................ 57 4.1.1. Identify ...................................................................................
57
4.1.2
Understand .............................................................................
58
4.1.3
Analyze ..................................................................................
59
4.1.4
Report ....................................................................................
62
4.2 Design (Perancangan) ........................................................................
62
xxii
4.2.1
Perancangan Topologi Jaringan .............................................
62
4.2.2
Perancangan Infrastruktur ......................................................
66
4.3 Simulation Prototyping (Prototipe Simulasi) ..................................... 67 4.4 Implementation (Implementasi) .........................................................
69
4.4.1
Implementasi Topologi Jaringan ……...…............................
69
4.4.2
Implementasi Sistem Operasi ................................................
70
4.4.3
Konfigurasi Pasca Instalasi ....................................................
75
4.4.4
Pengujian Konektivitas ..........................................................
78
4.4.5
Pengujian akses pada Web-Interface .....................................
79
4.4.6
Instalasi Add-ons IPCop ........................................................
80
4.4.7
Konfigurasi Add-Ons ............................................................
84
4.5 Tahap Monitoring ..............................................................................
87
4.5.1
Monitoring DHCP Server ......................................................
87
4.5.2
Monitoring Status ..................................................................
88
4.5.3
Pengujian Keamanan Firewall ...............................................
89
4.6 Tahap Manajemen .............................................................................. 93 BAB V PENUTUP ........................................................................................ 95 5.1. Kesimpulan .......................................................................................
95
5.2. Saran .................................................................................................. 96 DAFTAR PUSTAKA ...................................................................................
98
Lampiran
101
xxiii
DAFTAR GAMBAR
Gambar 2.1. Arsitektur Model Referensi OSI ................................................
11
Gambar 2.2. Ilustrasi Sebuah Firewall ............................................................ 19 Gambar 2.3. Taksonomi Firewall....................................................................
20
Gambar 2.4. Screening Router ........................................................................
23
Gambar 2.5. Arsitektur Dual-Homed Host .....................................................
24
Gambar 2.6. Arsitektur screened Subnet ........................................................
24
Gambar 2.7. Arsitektur Screened Host ...........................................................
25
Gambar 2.8. Packet-Filtering Firewall dilihat pada lapisan OSI ....................
28
Gambar 2.9. Circuit level gateway dilihat pada lapisan OSI ..........................
29
Gambar 2.10. Application Firewall dilihat pada lapisan OSI .........................
30
Gambar 2.11. Stateful Firewall dilihat pada lapisan OSI ...............................
32
Gambar 2.12. Mekanisme kerja Proxy Server ................................................
33
Gambar 2.13. Struktur direktori Linux ...........................................................
38
Gambar 2.14. Konfigurasi IPCop Firewall dengan empat interface ..............
43
Gambar 3.1 Diagram Ilustrasi Metode Penelitian ........................................... 56 Gambar 4.1 Topologi yang ada dan sedang berjalan di APL PLN Mampang
63
Gambar 4.2 Topologi Jaringan yang akan diterapkan di APL PLN Mampang.......................................................................................................... 64 Gambar 4.3 Hasil dari proses simulasi pada mesin virtual ............................
68
Gambar 4.4 Tampilan Instalasi IPCop ............................................................
70
Gambar 4.5 Tampilan hostname IPCop ..........................................................
71
xxiv
Gambar 4.6 Tampilan konfigurasi network IPCop .........................................
71
Gambar 4.7 Tampilan konfigurasi Green interface IPCop .............................
72
Gambar 4.8 Tampilan konfigurasi Red interface IPCop ................................. 73 Gambar 4.9 Tampilan konfigurasi DHCP Server ...........................................
74
Gambar 4.10 Menetukan password untuk account root .................................. 75 Gambar 4.11 Tampilan Boot Loader ..............................................................
76
Gambar 4.12 Tampilan Awal Linux IPCop ....................................................
77
Gambar 4.13 Tampilan Konfigurasi alamat IP ...............................................
78
Gambar 4.14 Tampilan ping dan reply Firewall IPcop ................................... 79 Gambar 4.15 Tampilan Login ke IPCop Web ………………………............. 80 Gambar 4.16. Tampilan Home Web Interface ................................................
80
Gambar 4.17 Tampilan menu WinSCP login ................................................
81
Gambar 4.18 Tampilan Window Manager WinSCP ....................................... 82 Gambar 4.19 RSA2 fingerprint authentication pada PuTTY .......................... 83 Gambar 4.20 Tampilan Remote Login Putty ..................................................
83
Gambar 4.21 File yang telah berhasil di copy ................................................. 84 Gambar 4.22 Konfigurasi pada Advanced Proxy ...........................................
85
Gambar 4.23 Konfigurasi pada URL Filtering ...............................................
86
Gambar 4.24. Tampilan IP yang tersebar melalui DHCP server ....................
88
Gambar 4.25. Tampilan service dan server yang dijalankan pada mesin Firewall ........................................................................................................... 88 Gambar 4.26. Tampilan Routing Table ........................................................... 89 Gambar 4.27. Pengiriman pake ICMP yang diblok ........................................ 90 xxv
Gambar 4.28. Content Filtering pada Proxy ................................................. 90 Gambar 4.29. Transparansi Layanan Protokol HTTP ..................................... 91 Gambar 4.30. NMAP Port Scanning pada interface Green ........................... 92 Gambar 4.31. IDS mencatat serangan yang terjadi ......................................... 93
xxvi
DAFTAR TABEL
Tabel 2.1. Jenis Topologi Jaringan ................................................................
13
Tabel 2.2. Perbandingan IpCop dengan beberapa produk firewall berdasarkan fitur dan platform ......................................................
45
Tabel 4.1 Perbandingan Penelitian ................................................................. 59 Tabel 4.2 Perangkat Keras .............................................................................
66
Tabel 4.3 Daftar alamat IP .............................................................................
67
Tabel 4.4 Tabel Perangkat Lunak dan Tool ................................................... 67
xxvii
DAFTAR LAMPIRAN
LAMPIRAN A Wawancara ……………………………………………... A LAMPIRAN B Konfigurasi IPTables ................................................
B
LAMPIRAN C File Konfigurasi squid.conf ……………………………. C LAMPIRAN D
SNORT Rules ………………………………………….
xxviii
D
BAB I PENDAHULUAN
1.1
Latar Belakang Keamanan jaringan komputer sudah menjadi faktor yang penting dan
dibutuhkan
pada
suatu
instansi
maupun
perorangan
yang
menggunakan internet sebagai media dalam melakukan suatu transaksi bisnis atau pertukaran informasi. Dalam suatu jaringan komputer faktor keamanan digunakan untuk melindungi aset-aset informasi milik pribadi maupun publik. Banyak caracara dan metode yang telah diuji-coba dan digunakan untuk mengamankan suatu jaringan komputer, akan tetapi masih banyak terjadi aktifitas serangan dan eksploitasi terhadap celah keamanan suatu sistem komputer. Banyaknya ancaman pada jaringan komputer memerlukan adanya suatu pelindung atau dinding pengaman yang dapat melindungi jaringan tersebut. Salah satu bentuk pengamanan adalah dengan menggunakan firewall sebagai pelindung terluar dari infrastruktur jaringan komputer lokal terhadap keluar-masuknya data dalam jaringan komputer lokal yang berhubungan dengan internet. Keberadaan personal firewall yang terdapat pada sistem operasi Windows atau software aplikasi pihak ketiga, memiliki efek negatif dalam penggunaan resource yang cukup besar dan dapat membebani jalannya
xxix
sistem operasi. Selain itu penggunaan firewall yang berupa hardware pun memiliki harga yang relatif cukup mahal untuk diimplementasikan. IpCop merupakan suatu sistem operasi distribusi Linux yang diperuntukkan khusus sebagai firewall yang menggunakan hardware PC. Sifatnya yang open source dan gratis membuatnya lebih mudah untuk dikonfigurasi dan tidak membutuhkan lisensi untuk membelinya. Dari segi hardware penggunaan IPCop hanya membutuhkan sebuah PC komputer stand-alone untuk menjadikanya sebuah sistem operasi lengkap dengan administrasi firewall yang handal. Kemudahan lain yang ditawarkan oleh firewall berbasis linux ini adalah tersedianya antarmuka berbasis web yang dapat diakses dan mudah dikonfigurasi melalui remote access, sehingga kita dapat mengatur dan mengontrol firewall tersebut dengan mudah tanpa harus berinteraksi langsung dengan hardware firewall tersebut. Sebagai sebuah firewall, IPCop melakukan fungsinya sebagai perangkat pengaman jaringan komputer internal dengan melakukan pengontrolan, pengaturan dan pembatasan terhadap hak akses user yang terhubung ke internet. untuk meningkatkan kualitas keamanan jaringan komputer.
1.2
Perumusan Masalah Dalam penyelesian tugas akhir ini dirumuskan beberapa masalah yang dihadapi yaitu: 1. Bagaimana
melindungi
jaringan
xxx
komputer
yang
dimiliki
perusahaan dengan menerapkan suatu network firewall berbasis opensource kedalam infrastruktur jaringan. 2. Bagaimana menerapkan stateful firewall pada arsitektur dualhomed host menggunakan hardware yang ekonomis dan handal pada infrastruktur jaringan. 3. Bagaimana menentukan pengaturan yang baik pada firewall tersebut, sehingga dapat meminimalisir gangguan pada jaringan yang dimiliki. 4. Bagaimana melihat bahwa IPCop firewall dapat membantu meningkatkan keamanan jaringan komputer.
1.3
Batasan Masalah Batasan masalah yang akan diteliti pada penelitian ini adalah sebagai berikut : 1. Mengimplementasikan sebuah network firewall berbasis open source menggunakan distribusi IPCop. 2. Tipe firewall yang digunakan adalah stateful firewall pada arsitektur firewall dual-homed host menggunakan sebuah PC yang juga bertindak sebagai router gateway dan proxy . 3. Konfigurasi
pada
add-ons
untuk
melakukan
filtering
dilakukan pada web interface IPCop. 4. Pengujian terhadap firewall dilakukan dengan menggunakan port scanning attack dan pengujian URL atau text-content.
xxxi
1.4. Tujuan Dan Manfaat Penulisan Dalam penulisan skripsi ini, penulis menguraikan tujuan dan manfaat dari tujuan yang dibahas, yaitu 1.4.1 Tujuan Penelitian Tujuan
dari
penelitian
ini
adalah
menjawab
berbagai
permasalahan yang telah penulis uraikan pada perumusan masalah, yaitu : 1. Menerapkan sistem firewall berbasis open source yang ekonomis dalam mengamankan jaringan. 2. Memberikan
kemudahan untuk
melakukan
manjemen
dan
pengaturan access-control sebagai usaha meningkatkan keamanan jaringan pada perusahaan.
1.4.2 Manfaat Penelitian 1. Bagi Penulis : a.
Mengerti dan memahami konsep keamanan jaringan komputer dan implementasinya.
b.
Mengerti dan mampu mengimplementasikan firewall yang berbasis Linux.
2. Bagi Universitas : a. Dapat dijadikan sebagai bahan referensi untuk penelitian yang akan datang.
xxxii
b. Sebagai
bahan
evaluasi
bagi
universitas
dalam
mengembangkan keilmuan. 3. Bagi Pengguna : a. Memberikan solusi terhadap penghematan biaya infrastruktur keamanan jaringan komputer. b. Administrator jaringan akan lebih mudah mengatur lalu-lintas data dan informasi yang melewati jaringan.
1.5
Metode Penelitian Metode penelitian yang digunakan dalam penulisan tugas akhir ini meliputi : 1.5.1. Metode Pengumpulan Data 1. Studi Lapangan. Melalui observasi dan wawancara atau pengamatan langsung, penulis dapat menemukan berbagai data dan keterangan yang dibutuhkan dalam melakukan penelitian. 2. Studi Pustaka Penulis melakukan studi pustaka untuk menambah referensi akan teori-teori yang diperlukan dengan membaca dan mempelajari literatur-literatur yang mendukung penelitian ini. Diantaranya buku-buku, diktat, catatan, makalah dan artikel baik cetak maupun elektronik 1.5.2. Metode Pembangunan Sistem
xxxiii
Dalam penulisan skripsi ini penulis menggunakan tahapan sebagai berikut : 1. Analysis (Analisis) Merupakan
tahap
awal
dimana
dilakukan
proses
pengumpulan data, dan identifikasi masalah secara lengkap kemudian didefinisikan
kebutuhan
yang
diperlukan dalam
pengembangan jaringan. Tahap ini bertujuan untuk menentukan solusi yang didapat dari aktivitas-aktivitas tersebut. 2. Design (Perancangan) Pada tahap ini mendefinisikan bagaimana cara sistem dapat bekerja,
sesuai
dengan
analisis
yang
telah
dilakukan
sebelumnya.Sehingga dapat menghasilkan spesifikasi desain atau rancangan sistem yang akan dikembangkan. 3. Simulation Prototyping Pada tahap ini akan dilakukan simulasi terhadap prototipe sistem yang akan dibangun sebagai simulasi dari implementasi sistem nyata. Penulis membuat prototipe sistem pada lingkungan virtual dengan menggunakan mesin virtual, sehingga tidak akan mempengaruhi lingkungan sistem nyata. 4. Implementation (Penerapan) Pada tahap ini spesifikasi rancangan yang dihasilkan akan digunakan
sebagai
panduan
instruksi
implementasi
pada
lingkungan nyata berdasarkan desain yang sudah dibuat pada tahap
xxxiv
perancangan. Aktivitas yang dilakukan yaitu instalasi dan konfigurasi pada sistem yang akan dibangun. 5. Monitoring (Pengawasan) Tahapa ini menggolongkan aktivitas pengujian (testing) dan pengamatan terhadap sistem yang sudah diimplementasikan. Proses pengujian dan pengamatan dilakukan, untuk melihat apakah sistem yang sudah dibangun sudah berjalan dengan baik. 6. Management Pada tahapan ini pendekatan dilakukan terhadap kebijakan atau policy yang perlu dibuat untuk mengatur agar sistem yang telah dibangun berjalan dengan baik dan berlangsung lama dan unsur reliability terjaga.
1.6. Sistematika Penulisan Dalam skripsi ini, pembahasan yang penulis sajikan terbagi dalam lima bab, yang secara singkat akan diuraikan sebagai berikut : BAB I
PENDAHULUAN Bab ini membahas tentang latar belakang, perumusan masalah, batasan masalah, tujuan dan manfaat penelitian, metodologi penelitian dan sistematika penulisan.
BAB II
LANDASAN TEORI
xxxv
Bab ini membahas tentang teori-teori mengenai jaringan komputer, keamanan komputer dan firewall.Selain itu akan dibahas pula beberapa teori pendukung lainnya. BAB III
METODE PENELITIAN Pada bab ini akan dijelaskan metodologi yang digunakan diantaranya
metode
pengumpulan
data
dan
metode
pengembangan sistem. dalam penelitian ini. BAB IV
HASIL DAN PEMBAHASAN Dalam bab ini diuraikan hasil analisis dan implementasi jaringan komputer yang dibuat dengan penerapan firewall IPCop.
BAB V
PENUTUP Bab ini adalah bab terakhir yang menyajikan kesimpulan serta saran dari apa yang telah diterangkan dan diuraikan pada babbab sebelumnya.
xxxvi
BAB II LANDASAN TEORI
2.1 Definisi Penerapan Menurut Kamus Besar Bahasa Indonesia (2008), penerapan dapat berarti : 1. Proses, cara, perbuatan menerapkan. 2. Pemasangan. 3. Pemanfaatan; perihal mempraktikkan. Dari definisi di atas dapat ditarik kesimpulan mengenai arti penerapan pada penelitian ini, yaitu mempraktikkan, memasang, atau memanfaatkan stateful firewall pada arsitektur dual-homed host.
2.2 Jaringan Komputer Penerapan suatu firewall sangat erat kaitannya dengan jaringan komputer. Karena komponen–komponen yang ada sudah sesuai dengan definisi jaringan komputer.
2.2.1 Pengertian Jaringan Komputer Menurut Syafrizal (2005 : 2), Jaringan Komputer adalah kumpulan “interkoneksi” antara 2 komputer autonomous atau lebih yang terhubung dengan media transmisi kabel atau tanpa kabel (wireless). Bila sebuah komputer dapat membuat komputer lainnya restart, shutdown, atau
xxxvii
melakukan kontrol lainnya, maka komputer – komputer lainnya tersebut bukan autonomous. Sedangkan menurut Dharma Oetomo, et al, (2006 :21) Jaringan komputer adalah sekelompok komputer otonom yang saling dihubungkan satu dengan lainnya menggunakan protokol komunikasi melalui media komunikasi, sehingga dapat saling berbagi data dan informasi, aplikasi – aplikasi dan program – program lainnya, berbagi pakai perangkat keras seperti printer, hard disk, alat pemindai dan sebagainya. Jadi selain interkoneksi antara 2 komputer atau lebih, jaringan komputer
juga
membutuhkan
protokol
–
protokol
untuk
saling
berkomunikasi. Definisi protokol menurut Syafrizal (2006 : 63) “Protokol merupakan himpunan aturan – aturan yang memungkinkan komputer satu dapat berhubungan dengan komputer lain. Aturan – aturan ini meliputi tatacara bagaimana agar komputer bisa saling berkomunikasi; biasanya berupa bentuk (model) komunikasi, waktu (saat berkomunikasi), barisan (traffic saat berkomunikasi), pemeriksaan error saat transmisi data, dan lain – lain. “
2.2.2 Model Referensi OSI ISO (International Standard Organization) mengembangkan suatu model konseptual arsitektur komunikasi untuk mendukung interoperabilitas antar sistem, agar seluruh perangkat jaringan menjadi kompatibel satu sama lain (terlepas dari penggunaan hardware dan software spesifik serta karakteristik sistem jaringannya) yang bernama Model Referensi OSI (Open System Interconnection), karena model ini menghubungkan (interkoneksi)
xxxviii
antar sistem terbuka (sistem yang bebas berkomunikasi dengan sistem lain (Stallings, 2000:21). Gambar 2.1. Arsitektur Model Referensi OSI (Tanenbaum,2003: 37)
Model OSI ini dibagi ke dalam 7 lapisan (layer). Masing – masing layer mempunyai tugas sendiri–sendiri. Disebutkan di dalam Wahana Komputer (2005 :23) layer OSI tersebut, yaitu : a.
Layer ke-7 : Application. Layer ini bertugas menyediakan akses jaringan untuk program aplikasi. Program aplikasi dan layanan sistem dapat memperoleh akses jaringan melalui proses yang berjalan pada layer ini. xxxix
b. Layer ke-6 : Presentation. Layer ini bertugas untuk memastikan data yang sedang dilewatkan menuju layer aplikasi telah dikonversi. Proses konversi data akan menjadi sebuah format yang dimengerti oleh proses – proses layer aplikasi. c.
Layer ke-5 : Session. Layer ini bertugas untuk mengadakan, mempertahankan dan memutus komunikasi di antara aplikasi – aplikasi atau proses – proses yang berjalan di jaringan.
d. Layer ke-4 : Transport. Layer ini bertugas mentransimisikan pesan dari host pengirim ke tempat tujuan akhir yang menerima. Layer ini juga bertugas membuat sirkuit virtual di antara dua titik di dalam jaringan dan memastikan integritas data. e.
Layer ke-3 : Network. Layer ini bertugas untuk melakukan rutinitas paket melalui multiple jaringan. Layer network beroperasi tanpa memperhatikan protokol pokok yang digunakan.
f.
Layer ke-2 : Data Link. Layer terbagi ke dalam 2 sub-layer, LLC (Logical Link Control) dan MAC (Media Access Control). LLC memaketkan byte yang diterima dari sublayer MAC yang berada di bawah sehingga menjadi format yang mudah dibaca oleh lapisan jaringan di atasnya. MAC mempunyai tugas khusus untuk memperoleh akses ke jaringan pada saat yang tepat.
g. Layer ke-1 : Physical. Layer ini bertugas untuk mengirim dan menerima data dari/ke media fisik, seperti perangkat keras, konektor, kabel, dan media radio/satelit.
xl
2.2.3 Topologi Menurut Syafrizal (2006 : 39), Topologi jaringan atau arsitektur jaringan adalah gambaran perencanaan hubungan antarkomputer dalam Lokal Area Network yang umumnya menggunakan kabel (sebagai media transmisi), dengan konektor, Ethernet card, dan perankat pendukung lainnya. Berikut ini adalah beberapa jenis arsitektur pada jaringan komputer lokal:
Topolgi Bus
Ring
Star
Tree / Hierarchical
Mesh
Tabel 2.1 Jenis Topologi Jaringan Diagram Keterangan Menggunakan backbone kabel tunggal yang diakhiri pada kedua sisi backbone tersebut. Komunikasi dilakukan dengan menghubungkan host ke backbone. Menghubungkan satu host ke host lainnya secara serial, tehubung langsung pada setiap host secara berurutan hingga membentuk lingkaran/ring. Merupakan bentuk topologi jaringan yang berupa konvergensi dari node tengah ke setiap node atau pengguna. Semua kabel dari masing-masing host terhubung ke suatu konsentrator berupa hub atau switch. Topologi ini disebut juga sebagai topologi jaringan bertingkat. Node pusat terhubung dengan satu atau lebih node lain yang berada pada satu tingkat lebih rendah di dalam suatu hirarki melalui link point-topoint. Jenis topologi yang menempatkan node secara tidak beraturan, terdiri darii 2 jenis : fully connected (keseluruhan) dan partially connected (sebagian). xli
Hybrid
Jenis topologi yang dibangun dari satu atau lebih interaksi dari satu atau lebih jaringan yang berdasar kepada jenis topolgi jaringan yang berbeda
2.3 Keamanan Jaringan Komputer Menurut Ariyus (2007:3), dasar keamanan jaringan komputer secara umum adalah komputer yang terhubung ke network, mempunyai ancaman lebih besar daripada komputer yang tidak terhubung kemana-mana. Maka dapat ditarik kesimpulan bahwa, keamanan jaringan komputer adalah usaha-usaha yang berhubungan dengan kemanan suatu jaringan komputer dan dilakukan untuk mengamankan jaringan komputer tersebut.
2.4. Aspek-aspek Keamanan Komputer Keamanan komputer meliputi beberapa aspek dasar diantaranya
adalah
authentication, integrity, non-repudiation, authority, confidentiality, privacy, availability dan access control. a. Authentication Aspek ini berhubungan dengan metode untuk memastikan bahwa informasi tersebut betul-betul asli dan pihak yang mengakses atau memberikan informasi tersebut juga asli. Masalah yang ada bermacammacam, sebagai contoh adalah masalah untuk membuktikan keaslian dari suatu dokumen yang dapat dilakukan dengan teknologi digital signature. Masalah lainnya adalah berhubungan dengan access control, yaitu berhubungan dengan pembatasan terhadap orang yang dapat mengakses informasi tersebut. Terdapat berbagai macam cara yang dapat dilakukan
xlii
untuk meningkatkan aspek keamanan ini, seperti digunakannya digital certificate dan smart card. b. Integrity Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seizin pemilik informasi. Konsistensi data atau informasi harus dalam keadaan utuh, lengkap, akurat dan asli sesuai dengan pihak pemilik informasi tersebut. Adanya masalah dalam keamanan komputer seperti virus, trojan horse atau perubahan informasi tanpa izin pemilik informasi harus dihadapi. Contoh serangan yang biasa disebut "man in the middle attack", dimana seseorang menempatkan dirinya ditengah jalannya suatu komunikasi data dan menyamar sebagai orang lain sehingga ia dapat mengetahui informasi yang sedang berjalan. Kita dapat menggunakan teknologi enkripsi dan digital signature. c. Non-Repudiation Aspek ini bertujuan untuk menjaga agar seseorang tidak dapat menyangkal telah melakukan suatu proses pengiriman informasi. Sebagai contoh, seseorang yang mengirimkan email untuk memesan suatu barang tidak dapat menyangkal bahwa dia yang telah mengirimkan email tersebut. Aspek ini sangat penting dalam hal electronic commerce. Penggunaan digital signature dan certificates juga kriptografi secara umum dapat mengamankan aspek ini. Akan tetapi hal ini masih harus didukung oleh pihak terkait sehingga status digital signature itu legal. d. Authority
xliii
Aspek ini bertujuan untuk menjamin kewenangan yang dialokasikan hanya untuk individu atau sumber daya yang dipercaya dan sudah sah. e. Confidentiality Aspek ini ditujukkan untuk menjaga informasi dari orang asing yang tidak berhak untuk mengakses informasi tersebut dan menjamin perlindungannya dari penyingkapan yang tidak sah atau penyadapan dari pihak yang tidak berwenang. Contoh hal yang berhubungan dengan confidentiality adalah data-data yang sifatnya pribadi seperti nama, tanggal lahir dan sebagainya merupakan data-data yang ingin diproteksi penggunaan dan penyebarannya.. f. Privacy Sama seperti pada aspek confidentiality, aspek ini ditujukkan untuk menjamin kerahasiaan informasi yang kita miliki, khususnya yang bersifat pribadi. Sebagai contoh adlah email seseorang tidak boleh dibaca oleh administrator, karena yang berhak adalah orang yang mempunyai email tersebut. Serangan terhadap aspek privacy misalnya dengan melakukan penyadapan (sniffer) terhadap hal yang bukan menjadi haknya. Salah satu usaha yang dilakukan untuk meningkatkan privacy adalah dengan menggunakan teknologi kriptografi. g. Availability Aspek ini berhubungan dengan ketersediaan informasi ketika dibutuhkan. Aspek ini fatal akibatnya apabila berhasil diserang oleh orang yang tidak bertanggung jawab. Contoh masalah dari aspek ini adalah
xliv
ketika suatu sistem informasi berhasil diserang dan membuat ketiadaan informasi. Contoh serangan pada aspek availability adalah DDoS (Distributed Denial of Service), dimana server akan menerima permintaan secara terus menerus yang membuat sumber daya sistem tidak berfungsi sehingga menimbulkan keadaan hang, down atau bahkan crash. h. Access Control Pada aspek ini mekanisme yang digunakan adalah pengaturan terhadap hak akses suatu informasi. Hal ini biasanya berhubungan dengan klasifikasi data (public, private, confidential, top secret) dan user (guest, admin, top manager, dsb) mekanisme authentication dan juga privacy. Access control seringkali dilakukan dengan cara menggunakan kombinasi userid/password atau dengan menggunakan mekanisme lain (seperti id card, biometrics).
2.4.1 Jenis Ancaman Keamanan Jaringan Berdasarkan pengaruh terhadap sistem jaringan, ancaman dapat dibedakan sebagai beikut (Feibel, 1996:906): 1. Internal atau Eksternal. Ancaman dapat berasal baik dari dalam maupun luar entitas sistem jaringan. 2. Kesenjangan atau Kebetulan. Ancaman dapat disebabkan karena kesenjangan (sistematis) atau secara kebetulan. 3. Aktif atau Pasif. Dampak utama ancaman aktif adalah kerusakan sistem, sedangkan pada ancaman pasif kerusakan pada sistem
xlv
adalah efek samping dari serangan.
2.4.2 Pengujian Kemanan Infrastruktur organisasi IT memiliki sejumlah cara untuk menguji efektifias sistem keamana jaringannya, melalui sejumlah aktivitas pengujian berikut ini (Greg et al,. 2006:20) : a. Physical Entry. Simulasi untuk menguji pengendalian fisik terhadap sejumlah entitas atau sumber-daya fisik organisasi. b. Security Audits. Pengujian ini bertujuan untuk mengevaluasi seberapa dekat kecocokan antar prosedur kebijakan dengan tindakan yang sudah ditentukan. c. Vulnerability
Scanning.
Menngunakan
sejumlah
perangkat
serangan untuk menguji komputer atau segmen jaringan spesifik untuk mengenali atau menemukan kelemahan sistem atau aplikasi. d. Ethical
Hacks
(Penetration
Testing).
Melakukan
simulasi
vulnerability scanning untuk menguji komputer atau segmen jaringan spesifik dan dapat dilakukan melalui internet (remote) terhadap sejumlah protokol layanan spesifik. e. Stolen
Equipment
Attack.
Simulasi
yang
dilakukan
dan
berhubungan dengan keamanan fisik dan keamanan komunikasi yang bertujuan untuk mendapatkan informasi. f. Signal Security Attack. Simulasi ini bertujuan untuk mendapatkan titik akses nirkabel atau modem.
xlvi
g. Social Engineering Attack. Menggunakan teknik sosial untuk mendapatkan informasi penting sistem keamanan jaringan.
2.5. Firewall 2.5.1. Definisi dan Konsep Firewall Firewall adalah sebuah sistem atau perangkat yang mengizinkan lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas
jaringan
yang
tidak
aman.
Umumnya,
sebuah
firewall
diimplementasikan dalam sebuah mesin terdedikasi, yang berjalan pada pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya (jaringan eksternal). Firewall umumnya juga digunakan untuk mengontrol akses terhadap siapa saja yang memiliki akses terhadap jaringan pribadi dari pihak luar. Saat ini istilah firewall menjadi istilah generik yang merujuk pada sistem yang mengatur komunikasi antar dua jaringan yang berbeda. Mengingat saat ini banyak perusahaan yang memiliki akses ke internet dan juga tentu saja jaringan korporat di dalamnya, maka perlindungan terhadap aset digital perusahaan tersebut dari serangan para hacker, pelaku spionase, ataupun pencuri data lainnnya, menjadi esensial.
Gambar 2.2. Ilustrasi Sebuah Firewall (sumber : www.wlaf.lib.in.us/firewall.jpg)
xlvii
Menurut Purbo (2006;123) Firewall atau IP filtering biasanya digunakan untuk mengontrol traffic yang masuk atau keluar (dari/atau ke sistem jaringan kompuetr internal). Biasanya digunakan sebagai pertahanan untuk menangkal masuknya serangan dari internet. Firewall merupakan perangkat jaringan yang dibangun dari software, hardware, atau kombinasi dari keduanya yang berada diantara dua segmen jaringan berbeda, dan bertugas memeriksa traffic data yang mengalir melewatinya dengan menggunakan sejumlah kriteria kebijakan keamanan untuk menentukan apakah akses traffic dapat diizinkan untuk melewati firewall dan memasuki sistem jaringan atau tidak.
2.5.2. Jenis-jenis Firewall Secara garis besar firewall dibagi menjadi 2 jenis, yaitu Personal Firewall dan Network Firewall. Dibawh ini adalah gambar dan penjelasan tentang jenis firewall.
Gambar 2.3. Taksonomi Firewall (http://hzfenghe.com/book/FirewallFundamentals/ch02lev1sec1.html)
xlviii
a. Personal Firewall Personal Firewall didesain untuk melindungi sebuah komputer yang terhubung ke jaringan dari akses yang tidak dikehendaki. Firewall jenis ini akhir-akhir ini berevolusi menjadi sebuah kumpulan program yang bertujuan untuk mengamankan komputer secara total dengan ditambahkannya beberapa fitur pengamanan tambahan semacam perangkat proteksi terhadap virus, anti-spyware, anti-spam, dan lainnya. Bahkan beberapa produk firewall lainnya dilengkapi dengan fungsi pendeteksian gangguan keamanan jaringan (Intrusion Detection System). Contoh dari firewall jenis ini adalah Microsoft Windows Firewall (yang telah terintegrasi dalam sistem operasi Windows XP Service Pack 2, Windows Vista dan Windows Server 2003 Service Pack 1), Symantec Norton Personal Firewall, Kerio Personal Firewall, dan lain-lain. Personal Firewall secara umum hanya memiliki dua fitur utama, yakni Packet Filter Firewall dan Stateful Firewall. b. Network Firewall Pada penelitian ini penulis menggunakan firewall jenis ini. Network Firewall didesasin untuk melindungi jaringan secara keseluruhan dari berbagai serangan. Umumnya dijumpai dalam dua bentuk, yakni sebuah perangakat terdedikasi atau sebagi sebuah perangkat lunak yang diinstalasikan dalam sebuah server. Contoh dari Firewall ini adalah Microsoft Internet Security and xlix
Acceleration Server (ISA Server), CISCO PIX, CISCO ASA, IPTables dalam sistem operasi GNU/Linux, personal Firewall dalam keluarga sistem operasi UNIX BSD, serta SunScreen dari Sun Microsystem, Inc. Yang dibundel dalam sistem operasi Solaris. Network Firewall secara umum memiliki bebrapa fitur utama, yakni apa yang dimiliki oleh personal firewall (packet filter firewall dan stateful firewall), Circuit Level Gateway, Application Level Gateway, dan juga NAT firewall. Network firewall umumnya bersifat
transparan
(tidak
terliihat)
dari
pengguna
dan
menggunakan teknologi routing untuk menentukan paket mana yang diizinkan dan mana paket yang akan ditolak.
2.5.3 Fungsi dan Fitur Firewall Firewall berwenang untuk menentukan traffic mana yang boleh diteruskan dan mana yang tidak berdasarkan ruleset yang berisi kriteria kebijakan keamanan. Berikut ini adalah beberapa fungsi Firewall (Ariyus, 2006:311) a. Berfungsi sebagai dinding penghambat yang tidak mengizinkan user yang tidak memiliki hak terhadap jaringan, untuk melakukan akses guna melindungi jaringan dari hal-hal yang tidak diinginkan.
l
b. Berfungsi sebagai platform dari fungsi internet yang tidak aman, yang meliputi penerjemahan alamat jaringan, dari alamat lokasi ke alamat internet (public). c.
Melayani platform untuk Ipsec menggunakan tunnel made dan firewall juga bias digunakan oleh Virtual Private Network.
d. Berfungsi
sebagai
monitor
atas
kejadian-kejadian
yang
berhubungan dengan keamanan system yang akan memberikan keterangan kepada system seperti mencatat (aktivitas firewall) ke file log, alarm yang bisa diimplemetasikan sistem firewall (untuk kepentingan audit).
2.5.4.Arsitektur Dasar Firewall 2.5.4.1. Single-Box Architectures Arsitektur yang menempatkan satu mesin untuk berperan sebagai firewall yang ditempatkan diantara dua segmen jaringan berbeda. Arsitektur ini disebut Multiple-Purpose Boxes (satu mesin dengan banyak fungsi), jenis penerapannya adalah sebagai berikut : a. Screening Router. Menggunakan screening router tunggal yang berfungsi ganda sebagai packet filtering dan firewall.
li
Gambar 2.4. Screening Router (Zwicky, 2000:81)
b. Dual-Homed Host. Dibangun dari dual-homed host yaitu computer yang menggunakan sedikitnya dua unit NIC untuk menghubungkan dua atau lebih segmen jaringan berbeda.
Gambar 2.5. Arsitektur Dual-Homed Host (Zwicky, 2000:82) 2.5.4.2 Screened Subnet Architectures Arsitektur ini menambahkan lapisan keamanan pada screened host architecture
dengan
menambah
jaringan
parameter
mengisolasi system jaringan internal dari Internet.
lii
yang +
lebih
Gambar 2.6. Arsitektur screened Subnet (Zwicky, 200:85)
a.
Bastion Host. Ditempatkan di dalam jaringan parameter, karena melalui host inilah semua koneksi dari/ke Internet diarahkan, untuk kemudian ditentukan apakah dapat memasuki system jaringan internal atau tidak.
b.
Interior Router (Choke Router). Router internal yang bertugas mengamankan system jaringan internal baik dari Internet maupun dari jaringan parameter.
c.
Exterior Router (Acsess Router). Router ekstrenal mengamankan jaringan internal dan parameter dari Internet.
2.5.4.3. Screened Host Architectures Arsitektur ini menempatkan bastion host didailam jaringan internal (dengan perangkat router terpisah). Unit bastion host adalah satu-satunya mesin di system jaringan internal yang dapat berkomunikasi dengan internet.
liii
Gambar 2.7. Arsitektur Screened Host (Zwicky, 2000:84)
2.5.5. Teknologi Firewall Menurut Zwicky (2000:68), teknologi Firewall meliputi: a.
Paket Filtering. Mekanisme untuk secara selektif mengendalikan arus paket dari dan/atau ke system jaringan internal menggunakan sejumlah criteria kebijakan keamanan (rute set).
b.
Proxy Service. Mekanisme untuk berkomunikasi dengan server eksternal dengan bertindak sebagai perantara bagi layanan aplikasi protocol spesifik system internal, karena bekerja pada layer aplikasi, Firewall jenis ini juga dinamakan Application Layer Gaterway Firewall atau Proxy Server Firewall.
c.
NAT (Network Address Translation). Mekanisme pemetaan alamat IP public ke alamat IP Privat atau sebaliknya. NAT membantu
liv
memperkuat system pengendalian Firewall terhapad koneksi ke luar dan kedalam system jaringan internal, membatasi incoming traffic, dan menyembunyikan konfigurasi jaringan internal. 2.5.6. Tipe dan Cara Kerja Firewall a.
Packet-Filtering Firewall. Pada bentuknya yang paling sederhana, sebuah Firewall adalah sebuah router atau komputer yang dilengkapi dengan dua buah NIC (Network Interface Card) yang mampu melakukan penapisan atau penyaringan terhadap paket-paket yang masuk. Perangkat jenis ini umumnya disebut dengan packet-filtering router. Firewall jenis ini bekerja dengan cara membandingkan alamat sumber dari paket-paket tersebut dengan kebijakan pengontrolan akses yang terdaftar dalam Access Control List Firewall, router tersebut akan mencoba memutuskan apakah hendak meneruskan paket yang masuk tersebut ke tujuannya atau mengehentikannya. Pada bentuk yang lebih sederhana lagi, Firewall hanya melakukan pengujian terhadap alamat IP atau nama domain yang menjadi sumber paket dan akan menentukan apakah hendak meneruskan atau menolak paket tersebut. Meskipun demikian, paket filtering router tidak dapat digunakan untuk memberikan akses (atau menolaknya) dengan menggunakan basis hak-hak yang dimiliki oleh pengguna. Packet–filtering router juga dapat dikonfigurasikan untuk menghentikan dan mengizinkan beberapa jenis lalu lintas jaringan. lv
Umumnya, hal ini dilakukan dengan mengaktifkan/menonaktifkan port TCP/IP dalam sistem Firewall tersebut. Sebagai contoh, port 25 SMTP umumnya dibiarkan terbuka oleh beberapa Firewall untuk mengizinkan email dari internet masuk ke dalam jaringan privat, sementara port lainnya seperti port 23 yang digunakan oleh Protokol Telnet dapat dinonaktifkan untuk mencegah pengguna Internet untuk mengakses layanan yang terdapat dalam jaringan privat tersebut. Firewall juga dapat memberikan semacam pengecualian (exception) agar beberapa aplikasi dapat melewati Firewall tersebut. Dengan menggunakan pendekatan ini, keamanan akan lebih kuat tetepi memiliki kelemahan yang signifikan yakni kerumitan konfigurasi terhadap Firewall: daftar Access Control List Firewall akan membesar seiring dengan banyaknya alamat IP, nama domain, atau port yang dimasukkan ke dalamnya, selain juga exception yang diberlakukan.
Gambar 2.8. Packet-Filtering Firewall dilihat pada lapisan OSI (sumber: faranudin, 2005:3)
lvi
b.
Circuit Level Gateway. Firewall jenis lainnya adalah Circuit-Level Gateway, yang umunya berupa komponen dalam sebuah proxy server. Firewall jenis ini beroperasi pada level yang lebih tinggi dalam model referensi OSI (bekerja pada session layer) daripada Packet Filter Firewall. Modifikasi ini membuat Firewall jenis ini berguna dalam rangka menyembunyikan informasi mengenai jaringan terproteksi, meskipun Firewall ini tidak melakukan penyaringan terhadap paket-paket individual yang mengalir dalam koneksi. Dengan menggunakan Firewall jenis ini, koneksi yang terjadi antara pengguna dan jaringan pun disembunyikan dari pengguna. Pengguna akan dihadapkan secara langsung dengan Firewall pada saat proses pembuatan koneksi dan Firewall pun akan membentuk koneksi dengan sumber daya jaringan yang hendak diakses oleh pengguna setelah mengubah alamat IP dari paket
yang ditransmisikan
oleh dua
belah pihak.
Hal
ini
mengakibatkan terjadinya sebuah sirkuit virtual (virtual circuit) antara pengguna dan sumber daya jaringan yang ia akses.
lvii
Gambar 2.9. Circuit level gateway dilihat pada lapisan OSI (sumber: faranudin, 2005:4)
Firewall ini dianggap lebih aman dibandingkan dengan PacketFiltering Firewall, karena pengguna eksternal tidak dapat melihat IP jaringan internal dalam paket-paket yang ia terima, melainkan alamat IP dari Firewall. Protokol yang populer digunakan sebagai CircuitLevel Firewall Gateway adalah SOCKS v5. c.
Application Level Firewall Firewall jenis lainnya adalah Application Level Gateway atau biasa disebut sebagai Proxy Firewall, yang umumnya juga merupakan komponen dari sebuah proxy server. Firewall ini tidak mengizinkan paket yang datang untuk melewati Firewall secara langsung. Tetapi, aplikasi proxy yang berjalan dalam komputer yang menjalankan Firewall meneruskan permintaan tersebut kepada layanan yang tersedia dalam jaringan privat dan kemudian meneruskan respons dari
lviii
permintaan tersebut kepada komputer yang membuat permintaan pertama kali yang terletak dalam jaringan publik yang tidak aman.
Gambar 2.10. Application Firewall dilihat pada lapisan OSI (sumber: faranudin, 2005:5)
d.
NAT Firewall. NAT (Network Address Translation) Firewall secara otomatis menyediakan proteksi terhadap sistem yang berada di balik Firewall karena NAT Firewall hanya mengizinkan koneksi yang datang dari komputer-komputer yang berada di balik Firewall. Tujuan dari NAT adalah untuk melakukan multiplexing terhadap lalu lintas dari jaringan internal untuk kemudian menyampaikannya kepada jaringan yang lebih luas (MAN, WAN, Internet) seolah-olah paket tersebut datang dari sebuah alamat IP atau beberapa alamat IP. NAT Firewall membuat tabel dalam memori yang mengandung informasi mengenai koneksi yang dilihat oleh Firewall. Tabel ini akan memetakan alamat jaringan internal ke alamat eksternal. Kemampuan untuk menaruh
lix
keseluruhan jaringan di belakang sebuah alamat IP didasarkan terhadap pemetaan terhadap port-port dalam NAT Firewall. e.
Stateful Firewall. Sateful
Firewall
merupakan
sebuah
Firewall
yang
menggabungkan keunggulan yang ditawarkan oleh packet-filtering Firewall, NAT Firewall, Circuit-Level Firewall dan Proxy Firewall dalam satu sistem. Statefull Firewall dapat melakukan filtering terhadap lalu lintas berdasarkan karakteristik paket, seperti halnya packet-filtering Firewall, dan juga memiliki pengecekan terhadap sesi koneksi untuk meyakinkan bahwa sesi koneksi yang terbentuk tersebut diizinkan. Tidak seperti Proxy Firewall atau Circuit Level Firewall, Stateful Firewall pada umumnya didesain agar lebih transparan (seperti halnya packet-filtering Firewall atau NAT Firewall). Akan tetapi, stateful Firewall juga mencakup beberapa aspek yang dimiliki oleh application level Firewall, sebab ia juga melakukan inspeksi terhadap data yang datang dari lapisan aplikasi (application layer) dengan menggunakan layanan tertentu. Firewall ini hanya tersedia pada beberapa Firewall kelas atas, semacam Cisco PIX. Karena menggabungkan keunggulan jenis-jenis Firewall lainnya, stateful Firewall menjadi lebih kompleks.
lx
Gambar 2.11 Stateful Firewall dilihat pada lapisan OSI (sumber: faranudin, 2005:5)
f.
Virtual Firewall Virtual Firewall adalah sebutan untuk beberapa Firewall logis yang berada dalam sebuah perangkat fisik (komputer atau perangkat Firewall lainnya).Pengaturan ini mengizinkan bebrapa jaringan agar dapat diproteksi oleh sebuah Firewall yang unik yang menjalankan kebijakan kemanan yang juga unik, cukup dengan menggunakan satu buah perangkat. Dengan menggunakan Firewall jenis ini, sebuah ISP (Internet Service Provider) dapat manyediakan layanan Firewall kepada para pelanggannya, sehingga dapt mengamankan lalu lintas jaringan mereka, hanya dengan menggunakan satu buah perangkat. Hal ini jelas merupakan penghematan biaya yang signifikan, meski Firewall jenis ini hanya tersedia pada Firewall kelas atas seperti Cisco PIX 535.
2.5.7. Proxy Server Firewall 2.5.7.1. Definisi dan Konsep Proxy Server
lxi
Proxy merupakan elemen lain (bertindak sebagai perantara) untuk suatu permintaan atas penggunaan protocol spesifik (Feibel, 1996:854). Server merupakan seperangkat (kombinasi software dan hardware) yang menerima dan memberika sejumlah layanan spesifik dari dan ke pengguna didalam suatu segmen jaringan. Proxy server disebut juga application-layer gateway Firewall atau application proxy karena selain dapat bertindak sebagai perantara sejumlah layanan aplikasi yang menggunakan protokol spesifik (seperti HTTP, FTP), karena bekerja pada layer aplikasi, proxy server mampu memeriksa keseluruhan porsi data aplikasi dari paket IP.
Gambar 2.12. Mekanisme kerja Proxy Server (Strebe, 2002:144) Client proxy berinteraksi dengan proxy server, meminta layanan (protokol) spesifik, proxy server akan memeriksa layanan yang diinginkan dan berkomunikasi dengan server yang bersangkutan (public server) menerima hasil prosesnya dan memberikannya lagi pada pengguna. Packet filter hanya dapat memeriksa header paket,
lxii
sementara sistem proxy dapat memeriksa keseluruhan data aplikasi pada paket. Sistem proxy juga akan memperbaharui paket dengan memodifikasi sejumlah parameter paket IP, sedangkan packet filter tidak.
2.5.7.2 Jenis Proxy Server Berdasarkan mekanisme konfigurasinya, implmentasi sistem proxy dapat dibedakan menjadi dua jenis, yaitu ( RFC 2616, 1999:9) : a.
Non-Transparent Proxy Server Firewall. System proxy jenis ini, membutuhkan mekanisme konfigurasi secara manual pada setiap parameter sistem proxy di setiap sumber daya yang membutuhkan akses terhadap layanan proxy.
b.
Transparent Proxy Sever Firewall. Sistem proxy jenis ini secara
otomatis
mengambil
alih
dan
mengarahkan
permintaan layanan proxy client agar dapat berkomunikasi dengan proxy server. Pada penelitian ini penulis menggunakan mekanisme sistem proxy jenis Transparent. 2.6 Router Router adalah sebuah perangkat jaringan yang berfungsi untuk meneruskan paket-paket dari sebuah network ke network yang lainnya (baik LAN ke LAN atau LAN ke WAN) sehingga host-host yang ada pada sebuah network bisa
lxiii
berkomunikasi
dengan
host-host
yang
ada
pada
network
yang
lain.Wahyudin(2004:3) Router juga digunakan untuk membagi protokol kepada anggota jaringan yang lainnya, dengan adanya router maka sebuah protokol dapat di-sharing kepada perangkat jaringan lain. Contoh aplikasinya adalah jika kita ingin membagi IP Address kepada anggota jaringan maka kita dapat menggunakan router, ciri-ciri router adalah adanya fasilitas DHCP (Dynamic Host Configuration Procotol), dengan mensetting DHCP, maka kita dapat membagi IP Address, fasilitas lain dari Router adalah adanya NAT (Network Address Translator) yang dapat memungkinkan suatu IP Address atau koneksi internet disharing ke IP Address lain.
2.6.1 Jenis – Jenis Router Ada beberapa Jenis Router yang dapat digunakan diantaranya adalah : 1. Router Aplikasi Router aplikasi adalah aplikasi yang dapat kita install pada sistem operasi, sehingga sistem operasi tersebut akan memiliki kemampuan seperti router, contoh aplikasi ini adalah Winroute, WinGate, SpyGate, WinProxy dan lain-lain. 2. Router Hardware Router Hardware adalah merupakan hardware yang memiliki kemampuan seperti router, sehingga dari hardware tersebut dapat memancarkan atau membagi IP Address dan men-sharing IP Address,
lxiv
pada prakteknya Router hardware ini digunakan untuk membagi koneksi internet pada suatu ruang atau wilayah, contoh dari router ini adalah access point, wilayah yang dapat mendapat Ip Address dan koneksi internet disebut Hot Spot Area. 3. Router PC Router PC adalah sebuah komputer yang berfungsi sebagai Router dengan sistem operasi yang memiliki fasilitas untuk membagi dan mensharing IP Address, jadi jika suatu perangkat jaringan (pc) yang terhubung ke komputer tersebut akan dapat menikmati IP Address atau koneksi internet yang disebarkan oleh Sistem Operasi tersebut, contoh sistem operasi yang dapat digunakan adalah semua sistem operasi berbasis client server, semisal Windows NT, Windows NT 4.0, Windows 2000 server, Windows 2003 Server, MikroTik (Berbasis Linux), dan lain-lain. PC (Personal Komputer) Router adalah sebuah komputer yang berfungsi sebagai router. PC Router dapat diterapkan dengan menggunakan spesifikasi minimal : 1. Dua buah NIC 2. OS *nix (BSD, Linux, Unix), OS Windows Server, Open Solaris, dst
Pada penerapan yang dilakukan pada tempat penelitian di APL PLN Mampang, penulis menggunakan jenis Router PC yang tergabung pada firewall sekaligus gateway.
lxv
2.7 Sistem Operasi Linux Linux adalah nama yang diberikan kepada sistem operasi komputer bertipe Unix. Linux merupakan salah satu contoh hasil pengembangan perangkat lunak bebas dan sumber terbuka utama. Seperti perangkat lunak bebas dan sumber terbuka lainnya pada umumnya, kode sumber linux dapat dimodifikasi, digunakan dan didistribusikan kembali secara bebas oleh siapapun. Linux pertama kali ditemukan oleh Linus Torvalds dari Universitas Helsinki pada tahun 1991 dan berkembang dengan pesat melalui Internet. Linux mempunyai sifat yang multi user dan multi tasking, yang dapat berjalan di berbagai platform termasuk prosesor Intel 386 maupun yang lebih tinggi. Sistem operasi ini mengimplementasikan standar POSIX. Linux dapat berinteroperasi secara baik dengan sistem operasi yang lain, termasuk Apple, Microsoft dan Novell. Ada beberapa jenis linux yang sudah dibuat dan masing-masing memiliki karakteristik yang hampir sama, perbedaan hanya terletak pada beberapa perintah dasarnya saja, Redhat, Mandrake, Debian dan Suse merupakan bebrapa jenis distribusi Linux yang terkenal.
2.7.1 Struktur Direktori Linux Struktur direktori pada linux sama dengan struktur direktori pada windows yaitu menerap sistem pohon (tree). File sistem linux terbagi dalam beberapa direktori, direktori tersebut mempunyai fungsi yang berbeda-beda.
lxvi
Gambar 2.13 Struktur direktori Linux (sumber: www-uxsup.csx.cam.ac.uk/ /verzeichnisse_baum.png)
Berikut ini akan dijelaskan masing-masing direktori tersebut , yaitu : a. Merupakan akar dari semua di rektori b. /root Merupakan direktori untuk user root. Dalam sistem linux user root mempunyai otoritas penuh terhadap sistem. User root dapat merusak sistem, memperbaiki sistem, menambah user baru dan lain sebagainya. User baru dalam hal ini adalah user biasa dimana ruang lingkupnya hanya sebatas menjalankan aplikasi terkecuali diberi izin oleh user root. c. /boot Merupakan direktori penting dalam kaitannya dengan proses booting linux. Dalam direktori ini merupakan image kernel linux. d. /etc Merupakan direktori yang didalamnya termuat file konfigurasi program. Misalnya, file konfigurasi init yaitu /etc/initab yang mengatur tempat sistem berjalan apakah berbasis grafis (run level 5) atau console (run level 3)
lxvii
e. /bin Merupakan direktori penting yang berisi program esential. Program esential yaitu program eksekusi jika program tersebut dijalankan contohnya perintah Is (Melihat Isi Direktori). f. /sbin Merupakan direktori yang berisi program esential untuk sysadmin. Seperti halnya direktori /bin. g. /var Merupakan direktori yang berisi file-file dinamis misalnya dile log dan sebagainya. h. /home Merupakan direktori yang berisi home direktori user biasa. i. /dev Merupakan direktori yang berisi device seperti /dev/fd0 untuk floopy, /dev/hda hardisk, /dev/cdroom cdroom, /dev/ ttys0 untuk port mouse dan sebagainya. j. /tmp merupakan direktori yang mempunyai file temporary (sementara). k. /usr Merupakan berisi file-file program untuk menjalankan program yang bersangkutan.
lxviii
2.8. IPcop IPCop merupakan sebuah turunan sistem operasi Linux dan dikhususkan untuk beroperasi sebagai sebuah Firewall, dan hanya sebagai Firewall. IPCop menyediakan penerapan Firewall yang berbasis hardware PC dan pengaturan yang simple dan mudah. IPCop merupakan software yang dikenal sebagai Open Surce Software (OSS). Sebagai bagian dari OSS, IPCop dikeluarkan dalam lisensi GNU General Public License (GPL). Dibawah lisensi GPL, pengguna IPCop diberi kebebasan untuk melihat, mengubah, dan mendistribusikan kembali source code atau kode program dari software. Sebelum
IPCop
dibuat,
sudah
ada
SmoothWall
terlebih
dahulu
(http://www.smoothwall.org). Smoothwall merupakan merupkan distribusi yang sangat mirip dengan IPCop pada saat ini, dan semua kode inisial pada IPCop adalah kode Smoothwall. Smoothwall memiliki dua lisensi untuk merilis jenis Firewall gratis secara komersial. Produk komersial memiliki fungsionalitas yang lebih baik, yang mengakibatkan konflik antara tujuan dari pengembangan yang gratis dan paket komersial dimana untuk memperbaiki sebuah prduk yang gratis maka akan membuat produk yang berbayar menjadi tidak laku. Pengembang IPCop saat ini memilih untuk mengembangkan sistem yang sudah ada pada pada Smoothwall, dan membuat suatu cabang baru dari software tersebut, dan merilisnya murni sebagai non-komersial OSS.
lxix
2.8.1.
Interface Jaringan IPCop IPCop mendukung sampai empat interface jaringan, yang masing-
masing terhubung dengan jaringan yang berbeda. Keempat jaringan yang tersedia tersebut diikenali dengan warna yang sudah ditentukan untuk kemudahan administrasi. Green Network Interface. Pada segmen jaringan Green dari IPCop merepresentasikan jaringan internal. Sebuah IPCop Firewall secara otomatis akan mengizinkan semua koneksi dari segmen Green ke semua segmen lainnya. Segmen Green adalah sebuah Ethernet Network Interface Card (NIC), dan tidak ada dukungan untuk device lain. Sebuah jaringan lokal adalah seperti sebuah hub yang disambungkan ke dalam interface Green, atau beberapa switch, sebuah bridge layer dua atau bahkan sebuah router. Red Network Interface. Sama seperti interface jaringan Green, interface
jaringan
Red
selalu
tersedia.
Interface
jaringan
Red
merepresentasikan Internet atau suatu segmen jaringan yang tidak terpercaya (pada topologi yang lebih besar). Tujuan utama dari Firewall IPCop adalah untuk melindungi segmen Green, Blue dan Orange dan host yang terhubung dengan jaringan dari traffic, users, dan host pada segmen Red. Segmen jaringan Red bersifat terFirewall dengan baik dan tidak akan membuka port dalam jumlah besar kedalam segmen jaringan internal. Secara default tidak ada port yang dibuka.
lxx
Orange Network Interface. Interface jaringan Orange merupakan sebuah
optional
yang
dirancang
sebagai
jaringan
DMZ
(http://www.Firewall.cx/dmz.php). Dalam terminologi militer, sebuah DMZ adalah area dimana aktivitas militer tidak diizinkan. Dalam terminologi Firewall, DMZ memiliki pengertian yang sama, sebagai sebuah segmen jaringan diantara jaringan internal suatu organisasi dan jaringan eksternal seperti Internet. Pada segmen ini, server terlindungi dari Internet oleh Firewall, akan tetapi terpisah dari klien internal yang berada pada zona yang terproteksi lebih baik dibelakang garis depan. DMZ merupakan sebuah segmen jaringan yang tidak terpecaya kedua setelah interface jaringan Red. Host pada segmen jaringan Orange tidak dapat terkoneksi pada segmen jaringan Green dan Blue. Blue Network Interface. Interface jaringan Blue bersifat optional yang merupakan penambahan yang cukup baru pada IPCop yang terdapat pada rilis versi 1.4. jaringan ini secara spesifik dikhususkan untuk segmen wireless yang terpisah. Host pada segmen Blue tidak dapat terhubung ke jaringan Green kecuali melalui spesifik pinholes seperti pada jaringan Orange. Menggunakan zona Blue juga merupakan cara yang baik untuk memisahkan host dalam penggunaan jaringan, seperti subnet dari workstation yang digunakan oleh beberapa kelompok staf atau pengguna lain.
lxxi
Dibawah ini adalah ilustrasi topologi IPCop dengan keempat interface Barrie et al., 2006
Gambar 2.14. Konfigurasi IPCop Firewall dengan empat interface (Barrie et al., 2006 :67) 2.8.2. Fitur dari IPCop IPCop memiliki fitur Firewall yang cukup lengkap dan baik, ia juga memiliki web-interface yang dapat diakses dari client secara remote sehingga memudahkan network administrator untuk melakukan pengaturan dan manajemen fungsi dari IPCop tersebut. Beberapa fitur dari IPCop : 1.
IPTABLES-based Firewall
2.
Interface eksternal dapat berupa modem Analog, ISDN atau ADSL modem dan dapat mendukung koneksi ADSL PPtP atau PPPoE ke Ethernet atau modem USB.
3.
Mendukung DMZ
4.
Interface administrasi berbasis Web GUI
5.
Server SSH untuk Remote Access
6.
DHCP server
lxxii
7.
Caching DNS
8.
TCP/UDP port forwarding
9.
Intrusion Detection System
10. Mendukung VPN dengan protokol IPSec
2.8.3. Kelebihan IPCop a.
Free (aplikasi bebas): IPCop didistibusikan dibawah lisensi GPL. Berbeda dengan Mikrotik, Norton Firewall, Mc Affee Firewall yang berbayar.
b.
Simple : Dalam proses instalasi cukup sederhana, serta memiliki dukungan dari komunitas yang cukup baik di Indonesia maupun dunia. Panduan
instalasi
dan
pengelolaan
tersedia
secara
memadai
memungkinkan user yang memiliki latar belakang pengetahuan terbatas seperti kebanyakan tenaga TI bisa menerapkannya. c.
Complete and Stable: Meski sederhana IPCop diakui memiliki fitur dan tingkat keamanan yang tinggi layaknya firewall level corporate, reliabalitasnya pun sangat baik sesuai standar keamanan linux. Tersedia banyak aplikasi tambahan (addon), seperti URL Filter, Block Out traffic (BOT), Who is Online (wio), Advance proxy, cop filter, open VPN dsb.
d.
Minimum hardware requirement : Mesin firewall dengan IP Cop cukup dengan CPU Pentium I Harddisk 5 Gb 2 lancard 10 Mbps telah berfungsi dengan baik. Yang harus diperhatikan adalah ketahanan CPU yang harus hidup selama akses internet digunakan.
lxxiii
2.9. Virtual Box Berdasarkan situs resmi Virtual Box (2009), Virtual Box adalah produk virtualisasi x86 yang powerful untuk pengguna awam maupun enterprise. Software ini memiliki fitur – fitur yang banyak, performa tinggi untuk kalangan enterprise, dan juga sebagai solusi bagi professional. Software ini tersedia secara gratis sebagai software opensource dibawah naungan GNU General Public License (GPL). Pada saat proses simulasi, penulis menggunakan bantuan software ini. Beberapa fitur dari VirtualBox antara lain : a.
Modularity.
b.
Virtual machine descriptions in XML.
c.
Guest Additions for Windows and Linux.
d.
Shared folders. Virtual USB Controllers.
e.
Remote Desktop Protocol. USB over RDP.
2.10. SSH (Secure Shell) Pada penelitian ini penulis menggunakan dua tools untuk melakukan SSH login kedalam mesin IPCop. Pada awalnya SSH dikembangkan oleh Tatu Yl nen di Helsinki University of Technology. SSH memberikan alternatif yang secure terhadap remote session tradisional dan file transfer protocol seperti telnet dan relogin Protokol SSH mendukung otentikasi terhadap remote host, yang dengan demikian meminimalkan ancaman pemalsuan identitas client lewat IP address spoofing maupun manipulasi DNS. Selain itu SSH mendukung beberapa protokol
lxxiv
enkripsi secret key untuk membantu memastikan privacy dari keseluruhan komunikasi, yang dimulai dengan username/password awal. Algoritma enkripsi yang didukung oleh SSH di antaranya TripleDES (Pengembangan dari DES oleh IBM), BlowFish (BRUCE SCHNEIER), IDEA (The International Data Encryption Algorithm), dan RSA (The Rivest-ShamirAdelman). Dengan berbagai metode enkripsi yang didukung oleh SSH, Algoritma yang digunakan dapat diganti secara cepat jika salah satu algoritma yang diterapkan mengalami gangguan. SSH menyediakan suatu virtual private connection pada application layer, mencakup interactive logon protocol (ssh dan sshd) serta fasilitas untuk secure transfer file (scd). Setelah meng-instal SSH, sangat dianjurkan untuk mendisable telnet dan relogin. Implementasi SSH pada linux diantaranya adalah OpenSSH. SSH merupakan paket program yang digunakan sebagai pengganti yang aman untuk relogin, rsh dan rcp.
2.10.1. Kegunaan SSH SSH dirancang untuk menggantikan protokol telnet dan FTP. SSH merupakan produk serbaguna yang dirancang untuk melakukan banyak hal, yang kebanyakan berupa penciptaan tunnel antar host. Dua hal penting SSH adalah console login (menggantikan telnet) dan secure filetransfer (menggantikan FTP), tetapi dengan SSH anda juga memperoleh kemampuan
membentuk
source
tunnel
untuk
HTTP,FTP,POP3, dan apapun lainnya melalui SSH tunel.
lxxv
melewatkan
2.10.2. Tools SSH Pada penelitian ini penulis menggunakan SSH tools untuk melakukan remote administration kedalam mesin firewall. a.
Putty Putty adalah klien SSH dan telnet, yang dikembangkan awalnya
oleh Simon Tatham untuk platform Windows. Putty dapat melakukan remote login ke komputer remote. Putty adalah perangkat lunak open source yang tersedia dengan kode sumber dan dikembangkan dan didukung oleh sekelompok relawan. b. WinSCP WinSCP merupakan freeware SFTP (SSH File Transfer Protocol) dan SCP (Secure CoPy) client untuk Windows menggunakan SSH (Secure Shell) dan kini telah mencapai versi 4.2.6. Tujuan utamanya adalah untuk mengamankan ketika Kita menyalin file dari komputer lokal ke komputer remote. Di luar fungsi dasar di atas, WinSCP juga dapat mengelola beberapa tindakan lain kepada file dalam sistem Windows, seperti operasi dasar kepada file, yaitu menyalin dan memindahkan file. Satu dari dua program yang dapat dipilih yaitu memungkinkan pengguna untuk mengelola file lokal. Sebagian besar operasi dapat dilakukan secara rekursif untuk file dalam folder.
lxxvi
Lebih lanjut, WinSCP dapat bertindak sebagai remote editor, yaitu jika kita klik file, misalnya dokumen teks dalam file dalam perintah jarak jauh, transfer file ke komputer lokal dan membukanya di editor yang sudah terintegrasi. Setiap kali dokumen disimpan, versi remote akan diperbarui secara otomatis. Pengembangan WinSCP dimulai sekitar Mei 2000 dan pada awalnya diselenggarakan oleh University of Economics di Praha. Sejak 16 Juli 2003 WinSCP berlisensi di bawah GPL. WinSCP sangat populer di kalangan ahli Jailbreak iPhone sebagai cara untuk mentransfer data ke atau dari perangkat dan bahkan hadir dengan edisi portabel yang berguna jika kita ingin menggunakan perangkat USB atau dropbox.
lxxvii
BAB III METODE PENELITIAN 3.1. Waktu dan Tempat Penelitian Penelitian ini dilakukan dari bulan Agustus sampai September 2009 yang bertempat APL PLN Mampang. Alasan pemilihan APL PLN Mampang sebagai tempat penelitian karena belum diterapkannya suatu pengaman pada jaringan komputer yang ada sehingga dibutuhkan sebuah sistem yang mampu berfungsi sebagai solusi pengamanan yang handal dan terjangkau untuk jaringan komputer yang ada pada APL PLN Mampang. 3.2. Peralatan Penelitian Sebagai sarana peneltian, diperlukan adanya alat penelitian. Alat yang digunakan dalam penelitian ini dibagi menjadi dua bagian, yaitu perangkat keras (hardware) dan perangkat lunak (software). Perangkat keras yang digunakan adalah komputer dan perangkat jaringan untuk membuat suatu jaringan dapat terkoneksi. Sedangkan untuk perangkat lunak adalah kebutuhan sebuah sistem operasi yang mendukung jaringan dan softwaresoftware pendukung aplikasi jaringan. Untuk dapat membuat sebuah sistem yang benar-benar dapat berfungsi secara baik dan menyeluruh diperlukan adanya lingkungan perangkat keras dan perangkat lunak sebagai berikut :
1. Lingkungan Perangkat Keras
lxxviii
Perangkat keras yang digunakan dalam penelitan ini meliputi dari komputer router (PC router), komputer client dan perangkat jaringan lainnya sebagaimana berikut ini: a.
Komputer firewall sekaligus router gateway yang mempunyai spesifikasi Pentium 4 2,4 GHz, memori DDR 256MB GB, 2 kartu jaringan (TP-Link tipe PCI dan onboard Realtek RTL8139 Family PCI Fast Ethernet NIC), HDD 30GB, CD-ROM
b.
Komputer client, mempunyai spesifikasi minimum intel pentium 4 2,4 GHz, memori DDR 1GB, VGA 64 MB, Hardisk 40 GB, 1 kartu jaringan, CD ROM dan monitor 15 inci.
c.
Perangkat Jaringan dan Alat Pendukung seperti kabel UTP, dan alatalat non jaringan seperti kabel listrik.
2. Lingkungan Perangkat Lunak Perangkat lunak yang digunakan dalam penelitian tugas akhir ini dibagai menjadi dua bagian, yaitu perangkat lunak untuk server dan perangkat lunak untuk client : a. Perangkat Lunak untuk firewall : Sistem Operasi Linux IPCop 1.4.20, built-in Apache web server, DHCP server, DNS Server, SSH Server, Proxy Server(Squid), Intrusion Detection System (SNORT). b. Perangkat Lunak untuk client sekaligus remote host : Sistem Operasi Windows XP, Web Browser Mozilla, Putty, WinSCP, nmap. 3.3. Metode Pengumpulan Data
lxxix
Pengumpulan data merupakan proses pengadaan data primer untuk keperluan penelitian. Berikut ini adalah metode pengumpulan data.yang digunakan oleh penulis : a. Studi Lapangan, yaitu observasi yang penulis lakukan dengan terjun langsung ke lapangan untuk mendapatkan informasi terkait dengan penelitian yang dilakukan untuk melihat sistem yang telah berjalan, serta bagaimana sistem keamanan baru dapat diterapkan dengan menggunakan firewall IPCop. b. Studi
Pustaka.
Metode
ini
dilakukan
dengan
penelusuran
dan
pembelajaran melalui media kepustakaan seperti buku, makalah, literature, websites yang berkaitan dengan keamanan jaringan, firewall dan IPCop yang berbasis open source untuk menambah pengetahuan terhadap sistem yang akan diterapkan. c. Studi Literatur. Metode ini dilakukan dengan membandingkan penelitian sebelumnya atau penelitian yang sejenis dengan penelitian yang sekarang dilakukan 3.4. Metode Pembangunan Sistem Penulis melakukan pembangunan sistem yang terdiri dari fase atau tahapan sebagai berikut : a. Analysis (Analisis) Pembangunan dimulai dengan fase analisis. Pada tahap ini dilakukan proses perumusan permasalahan, mengidentifikasi konsep dari Firewall, network interface pada IPCop. Kemudian mengumpulkan dan mendefinisikan lxxx
kebutuhan seluruh komponen sistem tersebut, sehingga sepesifikasi kebutuhan mengenai sistem firewall IPCop dapat diperjelas. Analisis itu sendiri penulis bagi menjadi beberapa tahap. Tahap ini meliputi : 1.
Identify. Penulis melakukan identifikasi permasalahan yang dihadapi sehingga dibutuhkan proses pengembangan lebih lanjut.
2.
Understand. Penulis memahami mekanisme kerja sistem yang telah berjalan pada tempat penelitian sehingga dapat mengetahui bagaimana sistem baru akan dibangun dan dikembangkan.
3.
Analyze. Penulis melakukan analisis terhadap sistem yang sedang berjalan, dan memberikan usulan sistem baru yang lebih baik untuk diterapkan. Penulis juga melakukan studi kelayakan dan melihat kebutuhan sistem yang akan dibangun atau dikembangkan.
4.
Report. Tahapan ini melakukan aktifitas pembuatan laporan yang berisisi rincian komponen dan elemen yang dibutuhkan dalam penelitian.
b. Design (Perancangan) Tahapan
selanjutnya
adalah
design.
Jika
tahap
analisis
mendefinisikan “apa yang harus dilakukan sistem”, maka tahap perancangan
mendefinisikan
“bagaimana
cara
sistem
itu
dapat
melakukannya”. Pada fase ini, spesifikasi kebutuhan sistem yang akan dibangun, yang merupakan hasil dari tahap analisis, digunakan untuk menghasilkan spesifikasi desain atau rancangan sistem yang akan dikembangkan. Penulis tidak melakukan perancangan skema jaringan dari lxxxi
awal, melainkan hanya menambahkan (extended) skema jaringan yang telah ada. c. Simulation Prototyping (Prototipe Simulasi) Tahap selanjutnya adalah pembuatan prototipe sistem yang akan dibangun, sebagai simulasi dan implementasi sistem produksi. Dengan demikian penulis dapat mengetahui gambaran umum dari proses komunikasi, keterhubungan dan mekanisme kerja dari interkoneksi keseluruhan elemen sistem yang akan dibangun. Penulis membangun prototipe sistem ini pada lingkungan virtual dengan menggunaka mesin virtual, yaitu Virtual Box 3.12, dengan pertimbangan bahwa proses kesalahan yang mungkin terjadi tidak akan mempengaruhi lingkungan sistem nyata dan proses pembangunan prototipe dapat jauh lebih cepat. d. Implementation (Implementasi) Tahap selanjutnya adalah implementasi, dimana pada fase ini spesifikasi rancangan solusi yang dihasilkan pada fase perancangan, digunakan sebagai panduan intruksi implementasi pada lingkungan nyata. Aktifitas pada fase implementasi diantaranya : 1.
Merancang topologi jaringan dengan penambahan device baru pada skema jaringan, yaitu berupa hardware firewall.
2.
Melakukan instalasi dan konfigurasi terhadap firewall yang akan diterapkan.
3.
Melakukan tes konektivitas antara client dan mesin firewall .
lxxxii
e. Monitoring (Pengawasan) Fase ini penulis melakukan proses pengujian. Hal ini mengingat bahwa proses pengujian dilakukan melaui aktivitas pengoperasian dan pengamatan sistem yang sudah dibangun/dikembangkan dan sudah diimplementasikan untuk memastikan
sistem firewall sudah berjalan
dengan baik dan benar, serta sudah menjawab semua pertanyaan dan permasalahan spesifik yang dirumuskan. Pengujian dilakukan pada setiap fungsi di setiap komponen sistem pada lingkungan nyata. Dalam hal ini penulis melakukan pengujian pada fungsionalitas (interkoneksi) perangkat jaringan komputer (seperti komputer host, switch dan modem), IPCop firewall. f. Management (Pengelolaan) Pada tahapan terakhir adalah aktivitas perawatan, pemeliharaan dan pengelolaan, karena proses manajemen/pengelolaan sejalan dengan aktivitas
perawatan/pemeliharaan sistem.
Jaminan
efektivitas
dari
interkoneksi sistem menjadi masukan pada tahap ini untuk menghasilkan keluaran berupa jaminan fleksibilitas dan kemudahan pengelolaan serta pengembangan sistem firewall berbasis Linux di masa yang akan datang.
lxxxiii
Perencanaan Skripsi Metode Pengumpulan Data
Pembangunan Sistem
Studi Studi
Identify
Waktu Penelitian Studi Feasibilitas Perangkat Penelitian
Understan
Analysis
Analyze Report
Perancangan Topologi Jaringan
Design
Persiapan Pengujian Lingkungan Interkonektivitas Virtual
Simulation Prototyping
Komponen jaringan dengan
Implementati
Perancangan Sistem (IPCop box firewall, Implementasi Sistem network interface) firewall IPCop.
Pengujian Komponen jaringan dengan firewall IPCop
Pembangunan Pengujian Sistem Prototipe dan Simulasi Jaringan Sistem
Implementasi Topologi Jaringan
Monitoring
Gambar 3.1 Diagram Ilustrasi Metode Penelitian Management
Pengelolaan Sistem Jaringan
Perumusan Kesimpulan
lxxxiv
Pengelolaan Sistem firewall IPCop
Pembuatan Laporan
BAB IV HASIL DAN PEMBAHASAN
4.1 Analysis (Analisis) Tahap analisis penulis bagi menjadi menjadi empat fase, yaitu : identify (mengidentifikasi rumusan permasalahan), understand (memahami rumusan permasalahan dan memahami bentuk penyelesaian permasalahan), analyze (analisis kebutuhan sistem rancangan) dan report (pelaporan yang berisi spesifikasi dari hasil analisis). Penulis melakukan analisis terhadap kebutuhan sistem firewall yang akan diterapkan pada tempat penelitian secara keseluruhan, baik dari perangkat keras (hardware) maupun perangkat lunak (software). Analisis yang dilakukan penulis adalah sebagai berikut : 4.1.1 Identify Jaringan yang terdapat pada tempat penelitian terhubung dengan internet atau untrusted network yang memiliki resiko terhadap akses eksternal yang dapat merusak jaringan, tidak terdapatnya sistem pengaman dapat mengganggu aktivitas keluar-masuk data dalam jaringan. Aktivitas browsing di internet pun dapat menjadi ancaman yang cukup serius terhadap suatu jaringan komputer. Banyak website jahat di internet yang dapat melakukan aktivitas penyusupan atau penyerangan oleh pihak-pihak yang tidak bertanggung jawab untuk mendapatkan hak akses ilegal dan merusak sistem jaringan komputer kita. Dari observasi dan wawancara yang telah dilakukan
dilakukan,
penulis
menyimpulkan
lxxxv
dibutuhkannya
suatu
komponen jaringan tambahan, yaitu firewall sebagai pintu gerbang yang bertugas menyaring dan mengontrol akses terhadap jaringan yang dimiliki oleh perusahaan. Penggunaan personal firewall yang terdapat pada sistem operasi Windows dirasakan masih kurang efisien untuk menangani masalah keamanan jaringan yang ada. Penggunaan suatu network firewall yang bersifat independen dalam infrastruktur jaringan lebih reliable dalam menangani masalah keamanan jaringan pada jaringan yang lebih besar. dan firewall yang terdapat di pasaran baik berupa software atau hardware memiliki harga yang cukup mahal, seperti CISCO PIX. 4.1.2 Understand Hasil identifikasi rumusan permasalahan diatas membutuhkan pemahaman yang baik agar dapat menghasilkan solusi yang tepat untuk digunakan pada lingkungan penelitian. Dengan menggunakan metode studi pustaka
penulis
memanfaatkan
perpustakaan
dan
internet
untuk
mengumpulkan sejumlah data dan informasi dari berbagai sumber dalam bentuk buku-buku, makalah, literatur, artikel dan berbagai situs web mengenai topik permasalahan terkait. Hasilnya digunakan untuk memahami permasalahan yang terjadi untuk merumuskan solusi efektif dalam menyelesaikan berbagai rumusan permasalahan. Permasalahan ini pulalah yang
penulis
gunakan
untuk
merancang,
membangun
dan
mengimplementasikan sistem yang diharapkan dapat mengatasi rumusan masalah yang ada.
lxxxvi
Setelah melakukan pemahaman terhadap masalah yang ada penulis berfokus terhadap konsep kemanan jaringan, penggunaan network firewall, pembatasan hak akses beserta metode penyerangan terhadap sistem. 4.1.3 Analyze Hasil pemahaman penulis akan digunakan sebagai masukan untuk menganalisis sistem yang dapat mengatasi rumusan permasalahan. Hasil analisis dapat penulis rumuskan sebagai berikut : a.
Mengimplementasikan sistem firewall lebih khususnya adalah sebuah stateful firewall yang berbasis open-source dengan menggunakan distribusi Linux IPCop. Sistem ini bertanggung jawab sebagai pintu gerbang layanan akses internet kepada client untuk melindungi jaringan dari penyusup dan memberikan batasan-batasan akses kepada pengguna. Sistem firewall ini dibangun sebagai web proxy yang transparan (transparent proxy) dengan konfigurasi client sistem proxy dilakukan secara otomatis dan juga bertindak sebagai DHCP server untuk memberikan alamat IP address secara otomatis ke semua host yang menjadi client nya.
b.
Penulis akan menerapakan sistem firewall pada tempat penelitian dengan menggunakan arsitektur firewall yang berjenis dual-homed host, yaitu dengan menggunakan sedikitnya dua unit NIC(Network Interface Card) pada mesin firewall pada sebuah PC, yang berwenang secara langsung berkomunikasi dengan jaringan luar atau internet
lxxxvii
(external network). Firewall juga dapat bertindak sebagai sebuah PC Router untuk melakukan static routing ke segmen jaringan yang berbeda. c.
Studi Feasibilitas 1. Feasibilitas Ekonomi Jika ditinjau dari studi kelayakan sistem pada sisi ekonomi, sistem yang penulis kembangkan merupakan suatu penambahan pada sistem jaringan yang sedang berjalan. Dengan menggunakan sebuah firewall yang berbasis open source, kita tidak harus membayar lisensi dari software yang kita gunakan dan penggunaan hardware yang minimal memungkinkan untuk berjalannya sistem firewall ini. Dari sisi ekonomis, hal ini menjadi salah satu faktor penghematan biaya bagi perusahaan atau pengguna lain. 2. Feasibilitas Teknis Dari sisi teknis, kinerja sistem yang akan penulis bangun telah dapat dibuktikan kestabilannya pada lingkungan virtual dalam menangani keluar-masuk akses pada jaringan, yang dapat dilihat pada grafik monitoring. Karena sifatnya sebagai distribusi khusus firewall, maka tidak terdapat GUI(Graphical User Inerface) pada sistem operasinya, sehingga dapat meringankan kinerja hardware, akan tetapi dengan adanya antarmuka web untuk mengakses mesin firewall tersebut, selanjutnya dapat memudahkan kita untuk melakukan pengaturan kebijakan yang kita gunakan secara remote.
lxxxviii
3. Feasibilitas Legal Pada pengembangan sistem ini, penulis melakukan penelitian pada APL PLN Mampang sebagai studi kasusnya. Oleh karena itu, legalitas sistem ini sendiri telah teruji. 4. Alternatif Pengembangan alternatif yang dapat dilakukan antara lain adalah pengembangan dengan menggunakan arsitektur firewall dan topologi jaringan yang berbeda. 4.1.4 Report Proses akhir dari fase analisis adalah pelaporan yang berisi detail atau rincian dari berbagai komponen atau elemen sistem yang dibutuhkan. Berbagai elemen atau komponen tersebut mencakup : a. Spesifikasi sistem yang akan dibangun adalah sebuah mesin firewall yang
bertindak
sebagai
router
gateway
dari
jaringan
dengan
menggunakan pengaturan tertentu untuk membatasi dan menyaring akses dari jaringan eksternal ke jaringan internal, ataupun sebaliknya. Penulis juga menjadikan firewall tersebut sebagai web proxy yang menangani permintaan dan pelayanan akses internet dari client. b. Spesifikasi software yang akan digunakan diantaranya adalah sistem operasi jaringan menggunakan distribusi Linux IPCop 1.4.20 yang bertindak sebagai firewall sekaligus web proxy, Windows XP SP2 sebagai sistem operasi client dan sistem operasi komputer yang berperan sebagai remote administrator firewall, nmap, SynAttack sebagai aplikasi
lxxxix
untuk mencoba ketahanan fungsionalitas firewall. 4.2 Design (Perancangan) Pada tahap ini dilakuakan perancangan terhadap sistem firewall yang akan dibangun dengan menggunakan rincian spesifikasi kebutuhan dari sistem yang telah dihasilkan pada tahapan analisis. Penulis membagi proses perancangan menjadi : 4.2.1 Perancangan Topologi Jaringan Pada tahap ini penulis pertama-tama akan menentukan jenis skema jaringan yang akan digunakan untuk mengimplementasikan sistem nantinya. Skema yang dirancang merupakan skema kecil yang ditambahkan (extended) kedalam topologi jaringan yang sudah ada sebelumnya, dengan kata lain penulis tidak merubah skema jaringan yang telah ada pada tempat penelitian, akan tetapi menambahkannya. Pada awalnya jaringan yang sudah berjalan melakukan koneksi internet langsung melalui modem ADSL, sehingga tidak terdapat mekanisme filtering terhadap konten dan paket data dari client yang terdapat pada jaringan.
xc
Gambar 4.1 Topologi yang ada dan sedang berjalan di APL PLN Mampang Skema jaringan yang ditambahkan merupakan ekspansi dari jaringan yang pada dasarnya menggunakan topologi star dengan menggunakan device Switch (Cisco Catalyst 2950 series) sebagai konsentrator dan berada dibawah modem ADSL. Sehingga sistem nantinya firewall yang diterapkan akan terhubung dengan jaringan eksternal melalui modem ADSL dan jaringan internal dengan switch. Pada perancangan skema jaringan yang akan diterapkan , sistem firewall menggunakan duah buah IP address pada kedua interfase nya, yaitu interface Green untuk jaringan internal dan Red untuk melakukan komunikasi dengan modem ADSL yang memiliki terhubung langsung ke ISP.
xci
Gambar 4.2 Topologi Jaringan yang akan diterapkan di APL PLN Mampang Rincian keterangan dari gambar rancangan topologi jaringan komputer diatas adalah sebagai berikut : 1. Jenis topologi yang diterapkan adalah Extended Star (hybrid). 2. Alamat IP yang digunakan menggunakan kelas A (subnet-mask 255.255.255.0) untuk interface Green, mengikuti pengalamatan yang sudah ada pada struktur jaringan APL PLN Mampang. Sedangkan untuk inteface Red menggunakan kelas C, mengikuti modem ADSL yang memiliki IP default kelas C. 3. Pada mesin firewall penulis mengunakan dua unit NIC yang masingmasing menghubungkan mesin dengan dua segmen jaringan yang
xcii
berbeda. Unit NIC-0 adalah interface Eth0 yang terhubung melalui kabel straight ke konsentrator switch. Unit NIC-1 adalah interface Eth1 yang terhubung langsung dengan modem ADSL melaui kabel straight. 4. Pada client didefinisikan sebgai LAN internal. Client hanya memiliki satu unit NIC yaitu interface Eth0 yang menghubungkannya secara tidak langsung dengan sistem jaringan komputer internal melalui switch. 5. Switch
digunakan
sebagai
konsentrator
sebgai
media
untuk
mengonsentrasikan seluruh host/pengguna sistem jaringan komputer internal. Yang memegang peranan penting pada sistem ini tentunya terletak pada mesin firewall yang yang telah terpasang sistem operasi IpCop yang berfungsi sebagai firewall dan juga router gateway untuk melakukan semua aktifitas yang masuk (inbound) dan aktifitas keluar (outbound). Penempatan IpCop disini bertujuan agar segala macam aktifitas yang melewatinya dapat terawasi dan tercatat, sehingga kita dapat menetukan policy atau pengaturan kebijakan berdasarkan informasi yang juga tercatat pada IpCop tersebut.
4.2.2 Perancangan Infrastruktur Pada tahapan ini, selanjutnya dilakukan kegiatan perancangan infrastruktur sistem firewall itu sendiri. Penulis menspesifikasikan seluruh komponen atau elemen yang dibutuhkan untuk membangun sebuah sistem
xciii
firewall serta merancang interkoneksi antar komponen/ elemen sistem. Dari hasil analisa di atas maka penulis dapat menyimpulkan beberapa perangkat yang diperlukan : No
Item
Spesifikasi
Jumlah
Intel Pentium 4 2.4 1 1
PC ROUTER + Firewall
GHZ, Maxtor 30 GB, RAM DDR 256 MB, 2 Realtek NIC Pentium 4 2.8 GHZ, 1
2
Seagate 40GB, DDR 1
Client
GB, Realtek Onboard NIC.
3.
Modem ADSL
4.
Kabel UTP
5. T 6.
TP Link
1
Cross-over dan straight 50 m Belden
RJ 45
-
1 Pack
Crimping Tool
1
abe l 4.1 Perangkat Keras Selain itu penulis juga melakukan beberapa perincian kelas IP untuk jaringan ini, berikut adalah perincian IP tersebut :
Perangkat mesin
/ Interface
Gateway + Firewall
Eth 0 Eth 1
Alamat IP
Gateway
Firewall 10.3.56.20/24 192.168.1.2 / 24
192.168.1.1/24
xciv
Alamat DNS
Client
Eth 0
Zone Internal 10.3.56.1 – 10.3.56.20/24 10.3.56.254 /24 Tabel 4.2 Daftar alamat IP
10.3.56.20
Software IPCop 1.4.20
Fungsi Sistem Operasi Firewall
Virtual Box Version 3.1.2 Edition
Program Virtualisasi
Windows XP Professional SP2
Sistem Operasi Client
Windows 7 Ultimate
Sistem Operasi Client
Putty
Telnet dan SSH client
winscp406
SFTP dan FTP client
Advanced Proxy
IPCop add-ons
URL Filter
IPCop add-ons
Nmap, command prompt (pinger).
Aplikasi untuk pengujian firewall
Mozilla Firefox Browser Internet Tabel 4.3 Tabel Perangkat Lunak dan Tool
4.3 Simulation Prototyping (Prototipe Simulasi) Pada tahap ini penulis membangun prototipe dari sistem baru yang akan dibangun dan diimplementasikan dengan menggunakan mesin virtual sebagai alat bantu
simulasi
pada
lingkungan
virtual.
Simulation
Prototyping
mendemonstrasikan fungsionalitas sistem yang akan dibangun. Penulis menggunakan software Virtual Box 3.1.2 untuk memvirtualisasikan sistem yang akan dibangun sebagai prototipe simulasi. Fase pembangunan prototipe dimaksudkan untuk memenuhi sejumlah tujuan : a.
Menjamin efektivitas fungsionalitas dan interkoneksi antar elemen atau komponen sistem.
xcv
b.
Memperkecil resiko kegagalan saat proses pembangunan dan implementasi sistem pada lingkungan nyata.
c.
Menjamin bahwa sistem sudah memenuhi kriteria spesifikasi perancangan sistem dan sudah menjadi solusi dari rumusan permasalahan.
d.
Menjamin bahwa kesalahan yang terjadi pada saat proses perancangan, pembangunan dan implementasi tidak menganggu dan tidak mempengaruhi lingkungan sistem nyata.
Gambar 4.3 Hasil dari proses simulasi pada mesin virtual
4.4 Implementation (Implementasi) Tahap perancangan telah selesai dilakukan, maka fase selanjutnya adalah dilakukan implementasi atau penerapan detail rancangan topologi tambahan dan rancangan sistem pada jaringan yang telah berjalan. Detail rancangan akan xcvi
digunakan sebagi instruksi atau panduan tahap implementasi agar sistem yang dibangun dapat relevan dengan sistem yang sudah dirancang. Proses implementasi terdiri dari pembangunan topologi jaringan, instalasi sistem operasi firewall dan add-ons pendukungnya serta konfigurasinya. Hal tersebut dilakukan dengan tujuan agar seluruh komponen dapat bekerjasama dengan baik dan benar.
4.4.1 Implementasi Topologi Jaringan Sebagaimana yang telah kita bahas sebelumnya bahwa yang penulis lakukan disini adalah melakukan pengadaan sistem firewall untuk perusahaan yang bisa memenuhi kebutuhan perusahaan dalam hal keamanan jaringan komputer, selain itu juga diharapkan penambahan firewall berbasis open source tidak memakan biaya terlalu banyak sehingga menjadi solusi biaya bagi perusahaan itu sendiri. Topologi yang digunakan dapat dilihat pada tahap perancangan, dimana topologi yang digunakan berjenis extended star (hybrid), dimana firewall yang juga berfungsi sebagai gateway diletakkan antara jaringan internal (LAN) dan jaringan eksternal (internet) dengan menggunakan konsentrator berupa switch.
4.4.2 Implementasi Sistem Operasi Dalam penerapan rancangan arsitektur/ topologi sistem jaringan, penulis melakukan instalasi sistem operasi pada mesin yang nantinya akan digunakan sebagai firewall dan diterapkan kedalam skema jaringan yang sudah ada. Pada
xcvii
dasarnya, proses instalasi dari IPCop firewall sama seperti proses pada instalasi sistem operasi Linux lainnya. Hal tersebut dikarenakan IPCop merupakan sistem operasi Linux yang merupakan turunan dari Smoothwall dengan menggunakan kernel 2.4.
Gambar 4.4 Tampilan Instalasi IPCop Pada proses instalasi sistem operasi ini kita akan diberi pilihan-pilihan untuk menkonfigurasi firewall yang akan kita install. Kita juga akan memberi nama atau hostname pada mesin IPCop, dimana hostname tersebut berfungsi untuk mengenali PC kita pada jaringan yang ada.
Gambar 4.5 Tampilan hostname IPCop
xcviii
Setelah kita memberi nama hostname pada mesin firewall IPCop, proses instalasi mewajibkan kita untuk memilih konfigurasi jaringan yang akan kita gunakan pada mesin firewall tersebut, penulis memilih konfigurasi jaringan sesuai dengan jumlah NIC atau kartu jaringan yang kita gunakan pada mesin firewall ini.
Gambar 4.6 Tampilan konfigurasi network IPCop Penulis memilih konfigurasi “GREEN + RED” karena pada mesin firewall yang penulis implemetasikan hanya menggunakan dua unit NIC yang dialokasikan sebagai interface Green untuk segmen jaringan internal (LAN) dan interface Red yang terhubung dengan modem ADSL sebagai segmen jaringan eksternal (internet). Konfigurasi yang dilakukan terhadap dua interface jaringan yang sudah kita tentukan tadi juga dilakukan dalam proses instalasi ini, sehingga pada saat kita telah selesai melakukan konfigurasi jaringan, IPCop sudah dapat langsung dapat berjalan dan dikenali oleh jaringan. Konfigurasi interface jaringan ditunjukkan pada gambar dibawah ini : a.
Konfigurasi Interface Green
xcix
Gambar 4.7 Tampilan konfigurasi Green interface IPCop Konfigurasi alamat IP diatas dilakukan dengan memberikan alamat kepada interface eth0 yaitu Green interface dengan menggunakan alamat IP yang sudah berjalan pada infrastruktur jaringan APL PLN Mampang sebelumnya. Alamat IP yang digunakan adalah kelas A, dengan IP 10.3.56.20 dan subnet mask 255.255.255.0 direpresentasikan dalam format CIDR (/24). Penggunaan alamat IP kelas A adalah agar host yang berada pada jaringan dapat berkomunikasi dengan jaringan WAN PLN apabila tidak menggunakan gateway pada IPCop yang menggunakan modem ADSL, sedangkan penggunaan subnet mask 255.255.255.0 dikarenakan jumlah host yang terdapat pada jaringan kurang dari 254. b.
Konfigurasi Interface Red
c
Gambar 4.8 Tampilan konfigurasi Red interface IPCop Konfigurasi alamat IP diatas dilakukan dengan memberikan alamat kepada interface eth1 yaitu Red interface dengan menggunakan alamat IP yang berbeda network dengan alamat IP yang digunakan pada interface Green. Kita dapat memilih apakah alamat IP yang digunakan pada interface Red berupa Static, DHCP, PP0E atau PPTP. Pada penelitian ini penulis menggunakan alamat IP yang bersifat Static untuk untuk digunakan pada interface Red. IP ini digunakan untuk melakukan koneksi secara langsung dengan interface LAN yang terdapat pada modem ADSL, dengan mengikuti alamat IP yang dimiliki modem ADSL secara default dan meruapakan sau network, yaitu 192.168.1.0.
c.
Konfigurasi DHCP Server
ci
Gambar 4.9 Tampilan konfigurasi DHCP Server IPCop juga dapat berfungsi sebagai DHCP Server yang akan membagikan alamat IP secara otomatis, sehingga kita tidak perlu melakukan pengisian alamat IP secara manual pada tiap-tiap host yang terhubung pada jaringan.
Konfigurasi yang telah dilakukan terhadap interface yang digunakan pada mesin firewall, dilanjutkan dengan proses intalasi yang akan meminta kita untuk membuat password pada account root. Account root ini bertindak sebagai administrator atau lebih dikenal dengan istilah super user pada Linux, yang dapat melakukan modifikasi terhadap system (IPCop hanya menggunakan satu user, yaitu root pada console firewall). Password ini digunakan untuk mengakses console atau command line pada mesin firewall untuk melakukan instalasi ataupun konfigurasi lebih lanjut secara text-based.
cii
Gambar 4.10 Menetukan password untuk account root
Selain memasukkan password untuk account root, IPCop juga akan meminta untuk membuat password pada user account admin, selanjutnya user account ini digunakan oleh penulis untuk melakukan administrasi firewall dengan interface web yang dimiliki opleh IPCop. Dan yang terakhir adalah menentukan password untuk backup yang akan digunakan untuk mengeksport backup key.
4.4.3 Konfigurasi Pasca Instalasi Sistem akan melakukan booting ulang. Sistem akan menampilkan pilihan boot loader yang ada pada mesin firewall. IPCop menggunakan boot loader GRUB untuk memilih pilihan booting. Pada hal ini penulis hanya memiliki satu buah sistem operasi yaitu IPCop sehingga tidak ada boot loader lain selain milik IPCop.
ciii
Gambar 4.11 Tampilan Boot Loader Terdapat empat pilihan konfigurasi kernel yang tersedia dan dapat kita pilih pada menu boot loader IPCop, yaitu : a.
IPCop, konfigurasi kernel ini cocok untuk mesin atau komputer yang memiliki single processor dengan motherboard yang tidak mendukung Advanced Configuration and Power Interface (ACPI). Konfigurasi kernel ini adalah yang paling dasar dan dapat berjalan pada sebagian besar processor dan motherboard.
b.
IPCop SMP, konfigurasi kernel ini cocok untuk motherboard yang memiliki lebih dari satu processor, Symetric Multiprocessing (SMP). Kita dapat memilih pilihan konfigurasi ini apabila pada motherboard yang kita gunakan memiliki lebih dari satu processor.
c.
IPCop (ACPI enabled), adalah konfigurasi yang memungkinkan IPCop untuk memonitor hardware seperti temperatur processor dan konsumsi daya yang digunakan.
d.
IPCop SMP (ACPI enabled), konfigurasi kernel ini mendukung
civ
processor dengan hyperthreading, HT, SMP dan ACPI. Karena komputer yang penulis gunakan hanya memiliki satu processor pada motherboard nya, maka pada pilihan booting diatas memilih opsi pertama untuk melakukan booting ke dalam sistem operasi IPCop. Setelah melakukan booting ke dalam sistem operasi Linux IPCop, pada tampilan awal IPCop yang berupa text-based kita akan menjumpai menu login, kita akan login dengan account super user atau root dengan cara kita isikan menu login dengan root dan kita masukan password dari root tersebut untuk melakukan konfigurasi dan pengaturan melalui command line.
Gambar 4.12 Tampilan Awal Linux IPCop setelah kita melakukan booting ke dalam sistem operasi IPCop, kita akan melihat apakah semua konfigurasi yang kita lakukan pada interface jaringan saat proses instalasi sudah sesuai pada masing-masing kartu jaringan. Kita dapat mengetikkan perintah root@spicop:~ # ifconfig Perintah diatas akan memberikan informasi terhadap interface jaringan yang kita gunakan berikut alamat IP yang kita gunakan.
cv
eth0
Link encap : Ethernet HWaddr 08:00:27:9A:F5:FE inet addr : 10.3.56.20 Bcast:10.3.56.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:7058 errors:0 dropped:0 overruns:0 frame:0 TX packets:7813 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:585233 (571.5 KB)
TX bytes:2007038 (1.9 MB)
Interrupt:10 Base address:0xd020
eth1
Link encap : Ethernet
HWaddr 08:00:27:DF:DB:05
inet addr : 192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0 UP BROADCAST
RUNNING MULTICAST
MTU:1500
Metric:1
RX packets:334 errors:0 dropped:0 overruns:0 frame:0 TX packets:29 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:44768 (43.7 KB)
TX bytes:1218 (1.1 KB)
Interrupt:10 Base address:0xd240
lo
Link encap : Local Loopback inet addr : 127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436
Metric:1
RX packets:47 errors:0 dropped:0 overruns:0 frame:0 TX packets:47 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:3128 (3.0 KB)
TX bytes:3128 (3.0 KB)
Gambar 4.13 Tampilan Konfigurasi alamat IP Output diatas didapatkan setelah kita melakukan konfigurasi kartu jaringan pada tahapan implementasi sistem operasi, yang sudah dibahas pada sub bab 4.5.2 4.4.4 Pengujian Konektivitas Setelah kita selesai mengkonfigurasi jaringan baik konfigurasi komputer firewall maupun komputer clien, maka saatnya sekarang untuk mencoba konfigurasi jaringan tersebut sudah berjalan atau belum. Testing sistem jaringan ini dilakukan apakah alamat IP yang sudah kita konfigurasi pada tahap 4.5.3 dapat diakses dengan baik oleh client.
cvi
Kita dapat mengetikan perintah ping pada komputer client untuk melihat apakah client sudah terkoneksi dengan mesin firewall sebagai gateway pada jaringan. C:\>ping 10.3.56.20 Apabila perintah diatas menghasilkan reply yang terdapat pada gambar 4.14 maka konfigurasi alamat IP telah berjalan. Dan kita dapat melakukan akses kedalam interface web IPCop dan melakukan monitoring lebih lanjut.
Gambar 4.14 Tampilan ping dan reply Firewall IPcop 4.4.5 Pengujian akses pada Web-Interface Fitur utama dari IPCop adalah melakukan administrasi firewall secara remote dari komputer client melalui web-interface yang disediakan oleh IPCop. Untuk dapat mengakses web-interface IPCop kita dapat mengetikkan secara langsung alamat eth0 atau interface Green IPCop menggunakan sebuah web browser secara secure menggunakan https pada port 445.
cvii
Gambar 4.15 Tampilan Login ke IPCop Web
Gambar 4.16. Tampilan Home Web Interface Pada Gambar 4.16 merupakan menu home pada web interface IPCop apabila kita telah berhasil melakukan login dengan account admin. 4.4.6. Instalasi Add-Ons IPCop PC Firewall yang sudah terinstall IPCop hanya menampilkan interface berbasis teks untuk melakukan konfigurasi IPCop secara low-level. Selanjutnya kita dapat melakukan akses ke dalam console melalui putty. Untuk diakses melalui interface web dan bekerja sebagai stateful firewall, sebaiknya kita
cviii
melakukan instalasi paket add-ons yang akan kita gunakan pada web interface nanti. Add-ons atau paket tambahan yang akan ditambahkan pada penelitian ini merupakan sebuah add-ons yang berupa proxy dengan basis SQUID, sehingga natinya pengaturan-pengaturan yang dilakukan secara sederhana di dalam web interface, akan masuk ke dalam file squid.conf yang terdapat dalam direktori system operasi IPCop. Untuk meng-copy file adv-proxy dan URL Filter, kita membutuhkan SFTP dan SCP client pada komputer host untuk berkomunikasi dengan mesin IPCop.
Gambar 4.17 Tampilan menu WinSCP login Pada penelitian ini penulis menggunakan tools WinSCP untuk melakukan transfer file. Kita harus melakukan login terlebih dahulu ke mesin firewall IPCop dengan SSH menggunakan port nomor 222, karena IPCop tidak menggunakan standard port 22 yang lazim digunakan untuk SSH. Dengan memasukkan nama host atau alamat IP dan user name root berikut password
cix
nya. Pada saat session login, komputer kita akan menyimpan rsa2 key yang diberikan oleh server. Proses akan dilanjtkan terdapat window manager untuk melakukan transfer files antar host dengan mesin firewall IPCop. Kita dapat langsung memindahkan file yang kita inginkan dari host ke dalam struktur direktori IPCop secara drag and drop, dalam hal ini kita akan mengkopi file intalasi add-ons ke folder /tmp yang terdapat sistem operasi IPCop.
Gambar 4.18 Tampilan Window Manager WinSCP Setelah file berhasil kita copy kedalam direktori IPCop kita akan masuk ke antarmuka console IPCop secara remote dengan menggunakan PuTTY, untuk melakukan instalasi Add-Ons kedalam IPCop dan agar kita dapat mengkonfigurasi nya nanti melalui interface web.
cx
Gambar 4.19 RSA2 fingerprint authentication pada PuTTY
Gambar 4.20 Tampilan Remote Login Putty Apabila kita telah berhasil masuk ke dalam console IPCop melalui PuTTY dengan menggunakan account root, kita dapat melihat file yang telah kita copy sebelumnya ke dalam folder /tmp, dan selanjutnya dapat kita lakukan modifikasi file tersebut.
cxi
Gambar 4.21 File yang telah berhasil di copy a. Instalasi Adv Proxy 01 02 03
tar xzf ipcop-advproxy3.0.4.tar.gz
Ekstrak file advance proxy
cd ipcop-advproxy-3.0.4
Masuk kedalam direktori
ipcop-advproxy/install
Install adv-proxy
b. Instalasi URL Filter 01 02 03
tar xzf ipcop-urlfilter1.9.3.tar.gz cd ipcop-urlfilter-1.9.33.0.4
Ekstrak file url filter Masuk kedalam direktori Install url-filter
ipcop-urlfilter/install
4.4.7 Konfigurasi Add-Ons Untuk melakukan konfigurasi sederhana pada add-ons yang telah kita install ke dalam IPCop, kita dapat melakukannya melalui menu pada interface web, pada dropdown menu Services akan terdapat tambahan menu baru sesuai add-ons yang sudah kita install, yaitu Advanced Proxy dan URL Filter. cxii
Pengaturan yang dilakukan pada Advanced Proxy dapat dilakukan dengan memberikan checklist pada pilihan Enable On Green dan Transparent On Green, dimana Proxy akan dilakukan untuk memfilter packet data yang melewati interface Green dan bersifat Transparent menggunakan port 800, sehingga tidak diperlukannya pengaturan yang terdapat pada browser di komputer client. Access control dapat dilakukan dengan mendaftarkan standard port yang biasa digunakan dan berdasarkan network. Untuk melakukan access-control berdasarkan network terhadap host yang diizinkan dan tidak diizinkan pada jaringan untuk mengakses internet, kita dapat memasukkan alamat IP nya pada daftar Unrestricted atau Banned IP Address, begitu juga dengan MAC Address nya. Keterangan ditunjukkan pada Gambar 4.22.
Gambar 4.22 Konfigurasi pada Advanced Proxy Untuk pengaturan pada URL Filter kita dapat memilih kategori yang akan di blok seperti; ads, hacking, drugs, porn dsb. Selain itu kita juga dapat membuat cxiii
custom blacklist dan whitelist daftar domain ataupun URL yang berbahaya dan tidak boleh di akses oleh client pada jaringan kita. Penggunaan custom expression list dapat digunakan untuk memfilter konten yang disisipkan pada alamat URL oleh client yang mengakses web melalui browser.
Gambar 4.23 Konfigurasi pada URL Filtering
4.5 Tahap Monitoring Pembangunan sistem mengkategorikan proses pengujian pada fase pengawasan (monitoring). Hal ini dikarenakan pengawasan sistem yang sudah cxiv
dibangun atau dikembangkan hanya dapat dilakukan jika sistem sudah dapat bekerja sesuai dengan kebutuhan. Proses pengujian (testing) dibutuhkan untuk menjamin dan memastikan bahwa system yang dibangun sudah sesuai memenuhi spesifikasi rancangan dan memenuhi kebutuhan. 4.5.1 Monitoring DHCP Server Kita telah melakukan pengaturan pada DHCP server pada saat instalasi sistem operasi IPCop dilakukan, pada tahap monitoring kita akan melihat apakah DHCP server tersebut sudah bekerja dengan baik dan memberikan alamat IP kepada user yang terhubung kedalam jaringan. Daftar alamat IP yang diberikan oleh DHCP server dapat kita lihat pada web interface IPCop pada menu DHCP Configuration. Gambar 4.24 merepresentasikan MAC Address, IP Address, Hostname dan waktu expires dari IP yang diberikan oleh DHCP server kepada host yang terhubung dan terdaftar dalam jaringan.
cxv
Gambar 4.24. Tampilan IP yang tersebar melalui DHCP server 4.5.2 Monitoring Status Pada web interface IPCop terdapat menu Status, yang dapat kita gunakan untuk melihat status sistem dan network monitoring terhadap beberapa item.
Gambar 4.25. Tampilan service dan server yang dijalankan pada mesin Firewall
Gambar 4.26. Tampilan Routing Table IPcop juga bertindak sebagai PC Router untuk melakukan suatu perintah routing dalam menghubungkan dua buah segmen jaringan yang
cxvi
berbeda, dalam hal ini penulis melakukan pengupdatean routing table dengan menambahkan sebuah perintah routing untuk menghubungkan interface Green, yaitu eth0 dengan interface Red (eth1). 4.5.3 Pengujian Keamanan Firewall Pada tahap pengujian ini, penulis akan melakukan beberapa pengujian terhadap firewall
IPCop yang sudah diterapkan dan berjalan pada struktur
jaringan pada tempat penelitian, yaitu APL PLN Mampang. Pengujian dilakukan untuk melihat sejauh mana tingkat keamanan dari firewall IPCop tersebut. a. PING test atau pengiriman paket ICMP Dalam kondisi standar setelah instalasi, pengiriman paket ICMP atau PING dapat dilakukan oleh client untuk melakukan test koneksi terhadap firewall. Akan tetapi pada menu Firewall Options didalam interface web IPCop dapat men-disable ping response pada tiap interface, sehingga kita tidak mendapatkan reply dari mesin firewall. Cara ini baik dilakukan untuk mencegah adanya eksploitasi lebih lanjut.
Gambar 4.27. Pengiriman pake ICMP yang diblok b. Pengujian Transparent Proxy
cxvii
Untuk menguji efektifitas dari transparent proxy yang sudah dilakukan dengan menggunakan Advance Proxy dan URL Filtering. Dengan memasukkan domain atau URL yang sudah di filter sebelumnya. Pada field alamat URL kita memasukkan http://www.playboy.com. Hasilnya proxy berhasil memblok akses pengguna. Pengujian ini juga bisa dilakukan dengan alamat IP.
Gambar 4.28. Content Filtering pada Proxy Untuk membuktikan fungsi transparansi dari proxy, maka penulis akan mengujinya dan memastikan bahwa tidak ada parameter proxy apapun yang disertakan pada aplikasi web browser untuk dapat memanfaatkan akses web.
cxviii
Gambar 4.29. Transparansi Layanan Protokol HTTP c. Pengujian Port Scanning Pada tahap ini penulis melakukan pengujian terhadap port yang dibuka pada firewall, baik pada interface Green (eth0) dengan alamat IP 10.3.56.20 dan interface Red (eth1) dengan alamat IP 192.168.1.2. Tools yang digunakan adalah nmap untuk melakukan scanning. Proses scanning ini dapat menghasilkan suatu informasi yang cukup penting bagi seorang hacker atau pihak yang tidak bertanggung jawab dalam melakukan eksploitasi terhadap sistem keamanan jaringan.
cxix
Gambar 4.30. NMAP Port Scanning pada interface Green Dari hasil scanning yang didapatkan pada gambar 4.29, proses scanning yang dilakukan dari jaringan internal memperlihatkan bahwa ada beberapa port yang terbuka, yang dipakai oleh firewall untuk menjalankan service nya, sedangkan sebanyak 994 port tertutup. d. Pengujian Komponen IDS Komponen IDS yang dipakai pada firewall IPCop adalah SNORT yang bertugas untuk mencatat dan memberikan informasi terhadap jenis serangan tertentu. Pada pengaturan didalam web interface IPCop sebelumnya sudah diaktifkan service IDS pada interface Green dan Red. Berdasarkan pengujian port scanning yang dilakukan sebelumnya pada tahap C, yang melakukan scanning terhadap interface Red dan Green, maka komponen IDS pada firewall akan melakukan pencatatan dan memberikan log terhadap suatu serangan yang telah terjadi.
cxx
Gambar 4.31. IDS mencatat serangan yang terjadi 4.6 Tahap Management Fase selanjutnya adalah manajemen (pengelolaan). Fase ini meliputi aktivitas pengelolaan dan pemeliharaan dari keseluruhan sistem jaringan dan sistem firewall yang telah dibangun. Fase manajemen melalui serangkaian proses pengelolaan, pemeliharaan atau perawatan dilakukan untuk sejumlah tujuan: a.
Memperbaiki sejumlah kesalahan yang terdapat pada penerapan sistem sebelumnya (sistem yang sudah ada).
b.
Manambahkan fungsionalitas atau komponen spesifik atau fitur tambahan terbaru untuk melengkapi kekurangan pada sistem sebelumnya.
cxxi
c.
Mengadaptasi sistem yang sudah dibangun terhadap platform dan teknologi
baru
dalam
mengatasi
sejumlah
perkembangan
permasalahan baru yang muncul. Pada penerapan Firewall yang penulis lakukan, fase manajeman direpresentasikan dengan sejumlah aktivitas berikut : a.
Menambahkan add-ons yang lain pada firewall untuk lebih memperkuat ketahanan firewall dalam melindungi jaringan.
b.
Memperbarui versi rilis dari firewall, karena versi terbaru menjamin perbaikan dan penambahan fitur.
c.
Penyesuaian piranti keras dari mesin firewall agar dapat beradaptasi dengan perkembangan kebutuhan sistm jaringan komputer, seperti penambahan RAM, Peningkatan kapasitas media penyiimpanan (hardisk) untuk melakukan caching proxy dan lain sebagainya. Dengan demikian, fase pemeliharaan dan pengelolaan dapat secara
efektif menjamin kehandalan kinerja dari Firewall.
cxxii
BAB V PENUTUP
5.1 Kesimpulan Rumusan kesimpulan dari keseluruhan rangkaian proses penelitian yang telah penulis lakukan adalah sebagai berikut : 1.
Penerapan network firewall berbasis open source pada infrastruktur jaringan mampu untuk melindungi jaringan komputer yang kita miliki dari ancaman , dapat dilihat pada Gambar 4.2.
2.
tateful firewall dapat berjalan dengan baik pada arsitektur firewall dualhomed host dengan hardware yang ada dan cukup handal dalam menangani keamanan pada jaringan, dapat dilihat pada Gambar 4.16.
3.
Pengaturan yang tepat pada firewall IPCop dalam melakukan monitoring, manajemen, dan administrasi melaui interface web dapat mempermudah administrator jaringan untuk meminimalisir gangguan yang terjadi. Dapat dilihat pada Gambar 4.23, 24, 25 ,26.
4.
Komponen Add-Ons yang berbasis proxy dan Intrusion Detection System telah berhasil berjalan dengan baik sebagai perantara bagi client untuk mengakses layanan internet dan IDS dapat mendeteksi aktivitas yang terjadi dan mampu untuk meningkatkan keamanan jaringan yang dimiliki oleh perusahaan, daapt dilihat pada Gambar 4.27, 28, 31.
5.2 Saran
cxxiii
Pada saat penulis melakukan penelitian untuk menerapkan firewall berbasis open-source ini banyak keterbatasan yang dapat penulis lakukan di tempat penelitian, karena adanya kebijakan perusahaan. Sebelumnya perusahaan lebih memilih menggunakan sistem firewall dalam bentuk perangkat (hardware) yang berharga mahal. Perangkat seperti itu tidak efisien dan flexible dalam pengembangannya, karena tidak dapat melakukan penambahan fitur dan upgrade pada
hardware
nya
agar
lebih
kuat
untuk
digunakan.
Untuk
lebih
mengoptimalkan kinerja firewall IPCop ini, penulis menyarankan hal-hal sebagai berikut : 1.
Kepada APL PLN Mampang , pengembangan firewall lebih lanjut akan sangat berguna untuk melindungi aset perusahaan dari ancaman eksternal maupun internal.
2.
Penggunaan hardware
yang berspesifikasi
lebih tinggi,
tentunya
berimplikasi pada kinerja sistem firewall yang meningkat dalam menjalankan
service
yang
diaktifkan
dan
melakukan
tugasnya
mengamankan jaringan. 3.
Dari sisi software, pengupdate-an dari rilis terbaru harus dilakukan secara berkala untuk memperbaiki kinerja firewall menjadi lebih baik dengan penambahan fitur-fitur terbaru.
4.
Untuk pengembangan lebih lanjut, ada baiknya menggunakan add-ons tambahan lain yang dapat melakukan filtering lebih lengkap lagi khususnya pada layer application.
cxxiv
5.
Dari segi arsitektur firewall yang digunakan dapat di-upgrade dalam bentuk arsitektur lain yang lebih baik dalam menangani keseluruhan komponen jaringan, seperti server dan jaringan nirkabel (wireless), sehingga semua zona interface pada IPCop dapat digunakan dengan baik dan memberikan perlindungan yang lebih menyeluruh.
6.
Pengembangan firewall juga dapat digabungkan dengan sistem keamanan dan manajemen jaringan yang lain seperti honeypot dalam memberikan informasi bagi network administrator dan mikrotik dalam melakukan manajemen bandwith dan load balancing.
cxxv
DAFTAR PUSTAKA Ariyus, Dony, Computer Security, Andi, Yogyakarta, 2006 Ariyus, Dony, Intrusion Detection System, Andi, Yogyakarta, 2007 Brenton, Chris dan Hunt, Cameron, Network Security. PT Elex Media Komputindo, Jakarta, 2005 Cisco
Official
Website,
“Internetworking
Technology
Handbook”.
http://www.cisco.com/univercd/cc/td/doc/cisintwk/itc_doc/introwan.htm, diakses tanggal 28 Oktober 2009, 13.51 WIB. Dempster, Barrie dan James, Eaton-Lee, Configuring IPCop Firewalls, Packt Publishing, Birmingham, 2006. Farununuddin, Rakhmat, Membangun Firewall dengan IPTables di Linux, Elex Media Komputindo, Jakarta, 2006. Feibel, Werner, Encyclopedia of Networking, Second Edition, SYBEX Inc, California, 1996. Fyodor, Remote OS Detection Via TCP/IP Stack Finger Printing, 1998. http://www.insecure.org/nmap/nmap-fingerprint-article.txt,
diakses
tanggal 26 Oktober 2009, 09.21 WIB Goldman, James E dan Rawles, Philip T, Applied Data Communications: A Business Oriented Approach Thrid Edition, Wiley John&Sons, Inc, New York, 2001. Kamus Besar Bahasa Indonesia, Yudhistira, Jakarta, 2008 Komar, Brian, Ronald Beekelaar&Joern Wettern, Firewalls For Dummies, Second Edition, Wiley Publishing Inc, Indiana, 2003.
cxxvi
Nazir, Moh, Metode Penelitian, Ghalia Indonesia, Jakarta, 2003 Oetomo, Budi Sutedjo Dharma dkk, Konsep dan Aplikasi Pemrograman Client Server dan Sistem Terdistribusi, Andi, Yogyakarta, 2006 Ogletree, Terry William, Practical Firewalls, Que Publishing, Canada, 2000 Pressman, Roger S, “Rekayasa Perangkat Lunak: Pendekatan Praktisi (Buku Satu)”. Terj. Dari Software Engineering: A Practitioner’s Approach , oleh L. N. Harnaningrum, Andi, Yogyakarta, 1997 Purbo, Onno W. Buku Pegangan Pengguna ADSL dan Speedy, Elex Media Komputindo, Jakarta, 2006 RFC 2616, 1999, HTTP/1.1.179, hlm. http://www.ietf.org/rfc/rfc2616.txt, diakses tanggal 26 Oktober 2009, pk.11.46 WIB Stallings, William, Komunikasi Data dan Komputer: Jaringan Komputer, Terj dari Data and Computer Communications, Six Edition, oleh Thamir Abdul Hafedh Al-Hamdany, Salemba Teknika, Jakarta, 2000 Strebe, Matthew dan Charles Perkins, Firewall 24 Seven, Second Edition, SYBEX Inc, California, 2002 Syafrizal, Melwin, Pengantar Jaringan Komputer. Andi ,Yogyakarta, 2006. Tanenbaum, Andrew S, Computer Network, Fourth Edition, Prentice Hall, Inc, New Jersey, 2003. Virtual Box website. About Virtual Box. http://www.virtualbox.org/, diakses tanggal 15 Oktober 2010, 14.35 Wahana Komputer, Konsep Jaringan Komputer dan Pengembangannya, Salemba Infotek, Jakarta, 2003
cxxvii
Zwicky, Elizabeth D, Simon Cooper & D. Brent Chapman, Building Internet Firewall, Second Edition, O’Reilly Publishing, California, 2000
cxxviii
LAMPIRAN A WAWANCARA
Sesi I Tanggal 31 September 2009 Tujuan : Mengetahui kondisi jaringan dan diskusi desain teknologi yang tepat. Narasumber : Tjahjana Jabatan : Koordinator LAHTA PT. PLN (PERSERO) APL Mampang Pertanyaan : 1.
Bagaimana kondisi jaringan yang ada disini? Dapat dilihat bahwa jaringan yang ada sudah berjalan dengan cukup baik, dengan menggunakan toplogi Star.
2. Bagaimana penggunaan internet disini? Untuk melakkan akses internet, kami sudah berlangganan dengan salah satu ISP milik anak perusahaan PLN, akan tetapi kurang begitu stabil dan banyak memiliki keterbatasan, karena adanya keterbatasan bandwith untuk tiap-tiap kantor cabang. Saya punya rencana untuk mengganti ISP tersebut dengan milik Telkom, khusus untuk kantor disni agar akses internet lebih stabil dan tidak menganggu aktivitas karyawan. Akan tetapi khawatir akan tingkat keamanannya karena kita langsung terkoneksi tanpa adanya alat pengaman jaringan.
cxxix
3. Apakah dengan kondisi tersebut anda yakin dengan tingkat keamanannya? Jika tidak, adakah rencana untuk menggunakan perangkat keamanan tambahan pada jaringan? Beberapa saat mungkin kita tidak terlalu memikirkan isu keamanan, akan tetapi untuk akses internet langsung dapat menyebabkan user tidak bertanggung jawab terhadap informasi yang diaksesnya pada internet, yang dapat mengakibatkan timbul masalah keamanan dikemudian hari. Rencana untuk membeli suatu device firewall memang sudah ada, akan tetapi harganya relatif cukup mahal. Sebisa mungkin lebih baik memanfaatkan sumber daya yang sudah ada. 4. Sudah pernah menerapkan firewall berbasis PC menggunakan Linux sebelumnya? Saya sering mendengar teknologi tersebut, tetapi belum pernah diterapkan di sini. Saya rasa teknologi tersebut ada manfaatnya jika diterapkan di sini. Dikarenakan kita memiliki berberapa PC yang tidak terpakai, dan bisa untuk dijadikan sebuah firewall berbasis PC, apalagi kita tidak harus membeli lisensi apabila menggunakan sistem operasi Linux.
Sesi II Tanggal 3 Januari 2010 Tujuan : Mengetahui sejauh mana kemudahan penggunaan sistem yang baru dan manfaat dibanding sistem yang lama.
cxxx
Narasumber : Tjahjana Jabatan : Koordinator LAHTA PT. PLN (PERSERO) APL Mampang Pertanyaan : 1. Bagaimana penggunaan IPCop sebagai firewall disini? Penggunaan IPCop sangat mudah, tidak seperti yang saya bayangkan sebelumnya. Saya pikir sistem operasi Linux itu sulit penggunaannya. Untuk konfigurasinya cukup mudah. Tidak harus mengetahui sistem operasi Linux secara keseluruhan, karena dibantu oleh interface web nya yang cukup user friendly. Mungkin untuk level advance dibutuhkan administrator jaringan yang benar-benar mengerti akan keamanan jaringan dan sistem operasi Linux. 2. Bagaimana penggunaan sistem ini secara keseluruhan? Penggunaan sistem firewall ini secara keseluruhan cukup baik, beberapa pengaturan hak akses bagi user telah berjalan sesuai dengan yang diinginkan. User tidak dapat mengakses beberapa website yang dilarang dan membatasi user yang dapat terkoneksi ke internet, sehingga jam kerja dapat dimanfaatkan dengan baik oleh karyawan.Program – program yang ada juga berjalan dengan baik.
3. Apa saja kelemahan yang dirasakan pada sistem yang baru ini? Yang saya rasakan mungkin untuk pengaturan lebih detail dan spesifik membutuhkan seorang administrator jaringan yang baik dalam mengelola
cxxxi
jaringan, dikarenakan kita juga harus melakukan pembaruan dalam pengaturan kemanan, sesuai perkembangan teknologi nya.
Narasumber : Toni Jabatan : Staff CATER 1. Dari karyawan sendiri bagaimana penggunaan sistem yang baru ini? Saya rasa penggunaan sistem ini cukup memberikan batasan bagi kami sebagai karyawan untuk mengakses website yang tidak diijinkan oleh perusahaan. Selain itu ada beberapa komputer staff yang sama sekali tidak bisa untuk melakukan akses internet.
cxxxii
LAMPIRAN B Konfigurasi IPTables #!/bin/sh # # $Id: rc.firewall,v 1.7.2.24 2007/11/17 08:12:29 owes Exp $ # eval $(/usr/local/bin/readhash /var/ipcop/ppp/settings) eval $(/usr/local/bin/readhash /var/ipcop/ethernet/settings) if [ -f /var/ipcop/red/iface ]; then IFACE=`/bin/cat /var/ipcop/red/iface 2> /dev/null | /usr/bin/tr -d '\012'` fi if [ -f /var/ipcop/red/device ]; then DEVICE=`/bin/cat /var/ipcop/red/device 2> /dev/null | /usr/bin/tr -d '\012'` fi iptables_init() { # Flush all rules /sbin/iptables -F /sbin/iptables -t /sbin/iptables -t /sbin/iptables -X /sbin/iptables -t /sbin/iptables -t
and delete all custom chains nat -F mangle -F nat -X mangle -X
# Set up policies /sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT ACCEPT # Empty LOG_DROP and LOG_REJECT chains /sbin/iptables -N LOG_DROP /sbin/iptables -A LOG_DROP -m limit --limit 10/minute -j LOG /sbin/iptables -A LOG_DROP -j DROP /sbin/iptables -N LOG_REJECT /sbin/iptables -A LOG_REJECT -m limit --limit 10/minute -j LOG /sbin/iptables -A LOG_REJECT -j REJECT # This chain will log, then DROPs packets with certain bad combinations # of flags might indicate a port-scan attempt (xmas, null, etc) /sbin/iptables -N PSCAN /sbin/iptables -A PSCAN -p tcp -m limit --limit 10/minute j LOG --log-prefix "TCP Scan? " /sbin/iptables -A PSCAN -p udp -m limit --limit 10/minute j LOG --log-prefix "UDP Scan? " /sbin/iptables -A PSCAN -p icmp -m limit --limit 10/minute j LOG --log-prefix "ICMP Scan? " /sbin/iptables -A PSCAN -f -m limit --limit 10/minute j LOG --log-prefix "FRAG Scan? " /sbin/iptables -A PSCAN -j DROP
cxxxiii
-
# New tcp packets without SYN set - could well be an obscure type of port scan # that's not covered above, may just be a broken windows machine /sbin/iptables -N NEWNOTSYN /sbin/iptables -A NEWNOTSYN -m limit --limit 10/minute -j LOG --log-prefix "NEW not SYN? " /sbin/iptables -A NEWNOTSYN -j DROP # Chain to contain all the rules relating to bad TCP flags /sbin/iptables -N BADTCP # Disallow packets frequently used by port-scanners # nmap xmas /sbin/iptables -A BADTCP -p tcp --tcp-flags ALL FIN,URG,PSH -j PSCAN # Null /sbin/iptables -A BADTCP -p tcp --tcp-flags ALL NONE -j PSCAN # FIN /sbin/iptables -A BADTCP -p tcp --tcp-flags ALL FIN -j PSCAN # SYN/RST (also catches xmas variants that set SYN+RST+...) /sbin/iptables -A BADTCP -p tcp --tcp-flags SYN,RST SYN,RST -j PSCAN # SYN/FIN (QueSO or nmap OS probe) /sbin/iptables -A BADTCP -p tcp --tcp-flags SYN,FIN SYN,FIN -j PSCAN # NEW TCP without SYN /sbin/iptables -A BADTCP -p tcp ! --syn -m state --state NEW -j NEWNOTSYN /sbin/iptables -A INPUT -j BADTCP /sbin/iptables -A FORWARD -j BADTCP } iptables_red() { /sbin/iptables -F REDINPUT /sbin/iptables -F REDFORWARD /sbin/iptables -t nat -F REDNAT # PPPoE / PPTP Device if [ "$IFACE" != "" ]; then # PPPoE / PPTP if [ "$DEVICE" != "" ]; then /sbin/iptables -A REDINPUT -i $DEVICE -j ACCEPT fi if [ "$RED_TYPE" == "PPTP" -o "$RED_TYPE" == "PPPOE" ]; then if [ "$RED_DEV" != "" ]; then /sbin/iptables -A REDINPUT -i $RED_DEV -j ACCEPT fi fi fi
cxxxiv
# PPTP over DHCP if [ "$DEVICE" != "" -a "$TYPE" == "PPTP" -a "$METHOD" == "DHCP" ]; then /sbin/iptables -A REDINPUT -p tcp --source-port 67 -destination-port 68 -i $DEVICE -j ACCEPT /sbin/iptables -A REDINPUT -p udp --source-port 67 -destination-port 68 -i $DEVICE -j ACCEPT fi # Orange pinholes if [ "$ORANGE_DEV" != "" ]; then # This rule enables a host on ORANGE network to connect to the outside # (only if we have a red connection) if [ "$IFACE" != "" ]; then /sbin/iptables -A REDFORWARD -i $ORANGE_DEV -p tcp -o $IFACE -j ACCEPT /sbin/iptables -A REDFORWARD -i $ORANGE_DEV -p udp -o $IFACE -j ACCEPT fi fi
67 67
]; 67 67
if [ "$IFACE" != "" -a -f /var/ipcop/red/active ]; then # DHCP if [ "$RED_DEV" != "" -a "$RED_TYPE" == "DHCP" ]; then /sbin/iptables -A REDINPUT -p tcp --source-port --destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A REDINPUT -p udp --source-port --destination-port 68 -i $IFACE -j ACCEPT fi if [ "$METHOD" == "DHCP" -a "$PROTOCOL" == "RFC1483" then /sbin/iptables -A REDINPUT -p tcp --source-port --destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A REDINPUT -p udp --source-port --destination-port 68 -i $IFACE -j ACCEPT fi
# Outgoing masquerading /sbin/iptables -t nat -A REDNAT -o $IFACE -j MASQUERADE fi } # See how we were called. case "$1" in start) iptables_init # Limit Packets- helps reduce dos/syn attacks # original do nothing line #/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 10/sec # the correct one, but the negative '!' do nothing...
cxxxv
#/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit ! --limit 10/sec -j DROP # Fix for braindead ISP's /sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu # CUSTOM chains, can be used by the users themselves /sbin/iptables -N CUSTOMINPUT /sbin/iptables -A INPUT -j CUSTOMINPUT /sbin/iptables -N CUSTOMFORWARD /sbin/iptables -A FORWARD -j CUSTOMFORWARD /sbin/iptables -N CUSTOMOUTPUT /sbin/iptables -A OUTPUT -j CUSTOMOUTPUT /sbin/iptables -t nat -N CUSTOMPREROUTING /sbin/iptables -t nat -A PREROUTING -j CUSTOMPREROUTING /sbin/iptables -t nat -N CUSTOMPOSTROUTING /sbin/iptables -t nat -A POSTROUTING -j CUSTOMPOSTROUTING # filtering from GUI /sbin/iptables -N GUIINPUT /sbin/iptables -A INPUT -j GUIINPUT # Accept everything connected /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # traffic from ipsecX/tun/tap interfaces, before "-i GREEN_DEV" accept everything /sbin/iptables -N IPSECVIRTUAL /sbin/iptables -N OPENSSLVIRTUAL /sbin/iptables -A INPUT -j IPSECVIRTUAL /sbin/iptables -A INPUT -j OPENSSLVIRTUAL /sbin/iptables -A FORWARD -j IPSECVIRTUAL /sbin/iptables -A FORWARD -j OPENSSLVIRTUAL
NEW NEW NEW NEW NEW NEW NEW NEW
# localhost and ethernet. /sbin/iptables -A INPUT -j ACCEPT /sbin/iptables -A INPUT -j DROP # Loopback not on /sbin/iptables -A INPUT -j DROP /sbin/iptables -A FORWARD -j ACCEPT /sbin/iptables -A FORWARD -j DROP /sbin/iptables -A FORWARD -j DROP /sbin/iptables -A INPUT -j ACCEPT -p ! icmp /sbin/iptables -A FORWARD -j ACCEPT
-i lo
-m state --state
-s 127.0.0.0/8 -m state --state lo -d 127.0.0.0/8 -m state --state -i lo
-m state --state
-s 127.0.0.0/8 -m state --state -d 127.0.0.0/8 -m state --state -i $GREEN_DEV
-m state --state
-i $GREEN_DEV
-m state --state
cxxxvi
# If a host on orange tries to initiate a IPCop's red IP and # the connection gets DNATed back through a server on orange # we end up with orange -> orange traffic IPCop [ "$ORANGE_DEV" != "" ] && /sbin/iptables $ORANGE_DEV -o $ORANGE_DEV -m state --state NEW
connection to a port forward to passing through -A FORWARD -i -j ACCEPT
# allow DHCP on BLUE to be turned on/off /sbin/iptables -N DHCPBLUEINPUT /sbin/iptables -A INPUT -j DHCPBLUEINPUT # IPsec /sbin/iptables -N IPSECPHYSICAL /sbin/iptables -A INPUT -j IPSECPHYSICAL # OpenSSL /sbin/iptables -N OPENSSLPHYSICAL /sbin/iptables -A INPUT -j OPENSSLPHYSICAL # WIRELESS chains /sbin/iptables -N /sbin/iptables -A WIRELESSINPUT /sbin/iptables -N /sbin/iptables -A WIRELESSFORWARD # RED chain, used /sbin/iptables -N /sbin/iptables -A /sbin/iptables -N /sbin/iptables -A /sbin/iptables -t /sbin/iptables -t
WIRELESSINPUT INPUT -m state --state NEW -j WIRELESSFORWARD FORWARD -m state --state NEW -j
for the red interface REDINPUT INPUT -j REDINPUT REDFORWARD FORWARD -j REDFORWARD nat -N REDNAT nat -A POSTROUTING -j REDNAT
iptables_red # DMZ pinhole chain. setdmzholes setuid prog adds rules here to allow # ORANGE to talk to GREEN / BLUE. /sbin/iptables -N DMZHOLES if [ "$ORANGE_DEV" != "" ]; then /sbin/iptables -A FORWARD -i $ORANGE_DEV -m state -state NEW -j DMZHOLES fi # XTACCESS chain, used for external access /sbin/iptables -N XTACCESS /sbin/iptables -A INPUT -m state --state NEW -j XTACCESS # PORTFWACCESS chain, used for portforwarding /sbin/iptables -N PORTFWACCESS
cxxxvii
/sbin/iptables -A FORWARD -m state --state NEW -j PORTFWACCESS # Custom prerouting chains (for transparent proxy and port forwarding) /sbin/iptables -t nat -N SQUID /sbin/iptables -t nat -A PREROUTING -j SQUID /sbin/iptables -t nat -N PORTFW /sbin/iptables -t nat -A PREROUTING -j PORTFW # Custom mangle chain (for port fowarding) /sbin/iptables -t mangle -N PORTFWMANGLE /sbin/iptables -t mangle -A PREROUTING -j PORTFWMANGLE # Postrouting rules (for port forwarding) /sbin/iptables -t nat -A POSTROUTING -m mark --mark 1 -j SNAT \ --to-source $GREEN_ADDRESS if [ "$BLUE_DEV" != "" ]; then /sbin/iptables -t nat -A POSTROUTING -m mark --mark 2 -j SNAT --to-source $BLUE_ADDRESS fi if [ "$ORANGE_DEV" != "" ]; then /sbin/iptables -t nat -A POSTROUTING -m mark --mark 3 -j SNAT --to-source $ORANGE_ADDRESS fi # run local firewall configuration, if present if [ -x /etc/rc.d/rc.firewall.local ]; then /etc/rc.d/rc.firewall.local start fi # last rule in input and forward chain is for logging. /sbin/iptables -A INPUT -m limit --limit 10/minute -j LOG --log-prefix "INPUT " /sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT " ;; stop) iptables_init # Accept everyting connected /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # localhost and ethernet. /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -i $GREEN_DEV -m state --state NEW j ACCEPT if [ "$RED_DEV" != "" -a "$RED_TYPE" == "DHCP" -a "$IFACE" != "" ]; then /sbin/iptables -A INPUT -p tcp --source-port 67 -destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A INPUT -p udp --source-port 67 -destination-port 68 -i $IFACE -j ACCEPT fi
cxxxviii
if [ "$PROTOCOL" == "RFC1483" -a "$METHOD" == "DHCP" -a "$IFACE" != "" ]; then /sbin/iptables -A INPUT -p tcp --source-port 67 -destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A INPUT -p udp --source-port 67 -destination-port 68 -i $IFACE -j ACCEPT fi # run local firewall configuration, if present if [ -x /etc/rc.d/rc.firewall.local ]; then /etc/rc.d/rc.firewall.local stop fi /sbin/iptables -A INPUT -m limit --limit 10/minute -j LOG --log-prefix "INPUT " /sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT " ;; reload) iptables_red # run local firewall configuration, if present if [ -x /etc/rc.d/rc.firewall.local ]; then /etc/rc.d/rc.firewall.local reload fi ;; restart) $0 stop $0 start ;; *) echo "Usage: $0 {start|stop|reload|restart}" exit 1 ;; esac exit 0
cxxxix
cxl
1
PENERAPAN STATEFUL FIREWALL PADA ARSITEKTUR DUALHOMED HOST (STUDI KASUS : PT PLN (PERSERO) APL MAMPANG) Arini, Victor Amrizal Ariefati Wiratama Teknik Informatika, Universitas Islam Negri Syarif Hidayatullah, Jakarta ABSTRAKSI Keamanan jaringan merupakan kebutuhan yang penting bagi personal terlebih lagi perusahaan. Minimnya fungsi dari personal firewall dan mahalnya sebuah hardware firewall ini lah yang menjadi kendala dalam penerapan suatu firewall. IPCop merupakan suatu statefull firewall yang memfilter dari layer transport sampai layer application. IPCop diterapkan pada arsitektur firewall dual-homed host yang menggunakan sedikitnya 2NIC pada sebuah PC. IPCop, juga bertindak sebagai proxy yang transparan sebagai gateway untuk mengakses layanan internet dan melakukan access-control kepada user. Di dalam penelitian ini pembangunan sistem terdiri dari beberapa elemen yang mendefinisikan fase, tahapan, langkah, atau mekanisme proses spesifik. Tahapan dalam pembangunan ini terdiri dari analisis, desain, simulasi prototipe, pengamatan/monitoring, dan manajemen. Firewall diuji dengan akses konten internet yang diblokir dan port scanning. Hasil pengujian menunjukkan bahwa penerapan statefull firewall yang menggunakan arsitektur dual-homed host pada PT.PLN(PERSERO) APL Mampang dapat berjalan dengan baik sebagai firewall yang mudah dikonfigurasi untuk mengamankan jaringan. Kata kunci : stateful firewall, dual-homed host, IPCop I.
Pendahuluan A. Latar Belakang Keamanan jaringan komputer sudah menjadi faktor yang penting dan dibutuhkan pada suatu instansi maupun perorangan untuk melindungi aset-aset informasi yang dimiliki. Banyaknya ancaman pada jaringan komputer memerlukan adanya suatu pelindung atau dinding pengaman yang dapat melindungi jaringan tersebut. Salah satu bentuk pengamanan adalah dengan menggunakan firewall sebagai pelindung terluar dari infrastruktur jaringan komputer lokal terhadap keluar-masuknya data dalam jaringan komputer lokal yang berhubungan dengan internet.
Keberadaan personal firewall yang terdapat pada sistem operasi Windows atau software aplikasi pihak ketiga, memiliki efek negatif dalam penggunaan resource yang cukup besar dan dapat membebani jalannya sistem operasi. Selain itu penggunaan firewall yang berupa hardware pun memiliki harga yang relatif cukup mahal untuk diimplementasikan. Oleh karena itu digunakanlah IpCop yang merupakan suatu sistem operasi distribusi Linux yang diperuntukkan khusus sebagai firewall dengan menggunakan hardware PC. Firewall ini dikonfigurasi melalui remote access dengan interaksi melalui antarmuka berbasis web dan bekerja dengan melakukan pengontrolan, pengaturan dan
2
pembatasan terhadap hak akses user yang terhubung ke internet. untuk meningkatkan kualitas keamanan jaringan komputer. B. Tujuan Tujuan dari penulisan skripsi ini adalah Menerapkan sistem firewall berbasis open source yang ekonomis dalam mengamankan jaringan dengan memberikan kemudahan untuk melakukan manjemen dan pengaturan access-control sebagai usaha meningkatkan keamanan jaringan pada perusahaan. C. Batasan Masalah Fokus penulisan skripsi ini adalah Mengimplementasikan sebuah network firewall berbasis open source menggunakan distribusi IPCop, adapun pengujian terhadap firewall dilakukan dengan menggunakan port scanning attack dan pengujian URL atau text-content. II.
Landasan Teori A. Pengertian Firewall Firewall merupakan perangkat jaringan yang dibangun dari software, hardware, atau kombinasi dari keduanya yang berada diantara dua segmen jaringan berbeda, dan bertugas memeriksa traffic data yang mengalir melewatinya dengan menggunakan sejumlah kriteria kebijakan keamanan untuk menentukan apakah akses traffic dapat diizinkan untuk melewati firewall dan memasuki sistem jaringan atau tidak. B. Pengertian Network Firewall Network Firewall didesasin untuk melindungi jaringan secara keseluruhan dari berbagai serangan. Umumnya dijumpai dalam dua bentuk, yakni sebuah perangakat terdedikasi atau sebagi sebuah perangkat lunak yang diinstalasikan dalam sebuah server. Network Firewall secara umum memiliki bebrapa fitur utama, yakni apa yang dimiliki oleh personal firewall (packet filter firewall dan stateful firewall), Circuit Level Gateway, Application Level Gateway, dan juga NAT firewall. Network firewall umumnya
bersifat transparan (tidak terliihat) dari pengguna dan menggunakan teknologi routing untuk menentukan paket mana yang diizinkan dan mana paket yang akan ditolak. C. Stateful Firewall Sateful Firewall merupakan sebuah Firewall yang menggabungkan keunggulan yang ditawarkan oleh packetfiltering Firewall, NAT Firewall, CircuitLevel Firewall dan Proxy Firewall dalam satu sistem. Statefull Firewall dapat melakukan filtering terhadap lalu lintas berdasarkan karakteristik paket, seperti halnya packetfiltering Firewall, dan juga memiliki pengecekan terhadap sesi koneksi untuk meyakinkan bahwa sesi koneksi yang terbentuk tersebut diizinkan. Tidak seperti Proxy Firewall atau Circuit Level Firewall, Stateful Firewall pada umumnya didesain agar lebih transparan (seperti halnya packet-filtering Firewall atau NAT Firewall). Akan tetapi, stateful Firewall juga mencakup beberapa aspek yang dimiliki oleh application level Firewall, sebab ia juga melakukan inspeksi terhadap data yang datang dari lapisan aplikasi (application layer) dengan menggunakan layanan tertentu.
Gambar 1 Stateful Firewall dilihat pada lapisan OSI
D. Arsitektur Dual-Homed Host Arsitektur yang menempatkan satu mesin untuk berperan sebagai firewall yang ditempatkan diantara dua segmen
3
yang terdiri dari enam tahapan proses spesifik. Fase-fase yang digunakan adalah : 1. Analisis 2. Desain (Perancangan) 3. Simulasi Prototipe 4. Implementasi 5. Monitoring 6. Manajemen Fase-fase tersebut nantinya akan saling berkelanjutan dan secara terus menerus digunakan untuk mendapatkan sebuah struktur jaringan yang tepat guna dan efisien serta dinamis dalam menghadapi perubahan-perubahan kebutuhan dalam struktur jaringan perusahaan.
jaringan berbeda. Arsitektur ini disebut Multiple-Purpose Boxes (satu mesin dengan banyak fungsi) Dalam penerapannya dibangun dari dual-homed host yaitu computer yang menggunakan sedikitnya dua unit NIC untuk menghubungkan dua atau lebih segmen jaringan berbeda.
Gambar 2 Arsitektur Dual-Homed Host III.
Metode Penelitian Untuk memperoleh data dan informasi yang diperlukan dalam penelitian ini, ada beberapa metode yang penulis lakukan diantaranya : A. Metode Pengumpulan Data a. Studi Lapangan. Melalui observasi atau pengamatan langsung, penulis dapat menemukan berbagai data yang dibutuhkan dalam melakukan penelitian. b. Studi Pustaka. Metode ini dilakukan dengan penelusuran dan pembelajaran melalui media kepustakaan seperti buku, makalah, literature, websites yang berkaitan dengan keamanan jaringan, firewall dan IPCop yang berbasis open source untuk menambah pengetahuan terhadap sistem yang akan diterapkan. c. Studi Literatur. Metode ini dilakukan dengan membandingkan penelitian sebelumnya atau penelitian yang sejenis dengan penelitian yang sekarang dilakukan. B. Metode Pembangunan Sistem Pembangunan sistem yang dilakukan pada penelitian ini merupakan suatu siklus
Manage
Monitori
Simulatio n
Impleme
Gambar 3 Siklus Pembangunan Sistem
IV.
Hasil dan Pembahasan A. Analisis Penulis melakukan analisis terhadap kebutuhan sistem firewall yang akan diterapkan pada tempat penelitian secara keseluruhan, baik dari perangkat keras (hardware) maupun perangkat lunak (software) Hasil analisis yang dilakukan dapat disimpulkan sebagai berikut : a. Belum terdapat alat keamanan jaringan yang berupa network firewall. b. Anggaran untuk membeli hardware firewall yang terbatas. c. Menggunakan firewall open source berbasi Linux yang ekonomis dan mudah dalam penerapannya. d. Firewall yang digunakan berjenis stateful, yang dapat berjalan sebagai web proxy dan DHCP server.
4
e. Penggunaan jenis arsitektur firewall dual-homed host yang menggunakan duah buah NIC sebagai pencerminan dua buah interface pada IPCop. f. Penerapan dilakukan dengan menggunakan topologi extendedstar(hybrid), tanpa mengubah struktur asli jaringan. B. Penerapan Firewall Sebelum dilakukan instalasi dan konfigurasi, terlbih dahulu dilakukan desain mengenai topologi estended-star yang digunakan.
Gambar 5. Desain topologi Setelah dilakukan perancangan toplogi maka penelitian dimulai dengan menerapkan infratruktur jaringan yang sudah dilakukan penambahan pada topologi awalnya. Firewall yang diterapkan memiliki dua buah NIC (Network Interface Card), NIC yang pertama sebagai Eth0 terkoneksi dengan jaringan internal melalui switch, NIC yang kedua sebagai Eth1 dan terkoneksi dengan modem ADSL. Yang memegang peranan penting pada sistem ini tentunya terletak pada mesin firewall yang yang telah terpasang sistem operasi IpCop yang berfungsi sebagai firewall dan juga router gateway untuk melakukan semua aktifitas yang masuk (inbound) dan aktifitas keluar (outbound). Penempatan IpCop disini
bertujuan agar segala macam aktifitas yang melewatinya dapat terawasi dan tercatat, sehingga kita dapat menetukan policy atau pengaturan kebijakan berdasarkan informasi yang juga tercatat pada IpCop tersebut. Setelah topologi berjalan dengan baik dan kenektivitas antar komponen jaringan telah terhubung, kita terlebih dahulu melakukan instalasi sistem operasi firewall yang digunakan, yaitu IPCop. Penggunaan sistem operasi ini didasari pada kemudahan dan kemampuannya dalam menyediakan layanan firewall yang baik dan cocok untuk diterapkan pada tempat penelitian. Konfigurasi yang dilakuakan pada saat implementasi sistem operasi adalah : 1. Konfigurasi Interface Green : Konfigurasi dilakukan pada interface Eth0 yang berfungsi sebagai interface Green pada IPCop dengan menggunakan alamat IP yang sudah berjalan pada tempat penelitian. 2. Konfigurasi Interface Red : Konfigurasi dilakukan pada interface Eth1 yang berfungsi sebagai interface Red pada IPCop dengan menggunakan alamat IP yang berbeda dengan interface Green, dan terhubung dengan jaringan eksternal dalam hal ini adalah internet. 3. Konfigurasi DHCP Server: DHCP server diaktifkan untuk memberikan alamat IP secara dinamis kepada user yang terhubung dengan jaringan komputer yang kita miliki. Layanan ini merupakan fitur standard yang dimiliki oleh IPCop firewall. Sehingga manfaatnya adalah setiap user nantinya tidak harus mengisikan alamat IP apabila baru trhubung dengan jaringan. Konfigurasi yang dilakukan pasca instalasi sistem operasi digunakan dengan mengakses web interface yang dimiliki oleh IPCop. Sebelum melakukan konfigurasi tersebut, terlebih dahulu kita melakukan remote connection melalui
5
SSHAccess dari komputer client untuk melakukan penyalinan file add-ons kedalam mesin firewall. Pada penelitian ini penulis menggunakan add-ons Advance-Proxy dan URL-Filtering.
Gambar 6. Konfigurasi Advance Proxy Advance Proxy melakukan proses proxy pada firewall IPCop, dalam hal ini kita dapat melakukan filtering atau access control list terhadap alamat IP yang diizinkan atau ditolak duntuk melakukan akses terhadap layanan web atau HTTP. Pengaturan terhadap port yang diizinkan untuk diakses juga dilakukan pada halaman Advance-Proxy ini dalam web interface IPCop.
Gambar 7. Konfigurasi URL Filtering
Pada konfigurasi URL Filtering kita akan melakukan proses filtering dengan memblokir nama domain yang tidak boleh diakses oleh client, juga kita dapat melakukan content filtering terhadap katakata yang dapat digunakan untuk mengakses website yang dilarang atau berbahaya. C. Pengujian dan Monitoring. Dalam tahap ini, dilakukan monitoring terhadap firewall yang telah berjalan pada infrastruktur jaringan. a. Monitoring DHCP Server dan Status Dalam tahapan ini kita akan melihat apakah DHCP Server sudah berjalan dengan baik dan dapat memberikan alamat IP kepada semua client yang terhubung kedalam jaringan dan status firewall atau service yang sedang berjalan. b. Pengujian Firewall Pada tahap pengujian ini, penulis akan melakukan beberapa pengujian terhadap firewall IPCop yang sudah diterapkan dan berjalan pada struktur jaringan pada tempat penelitian, yaitu APL PLN Mampang. Pengujian dilakukan untuk melihat sejauh mana tingkat keamanan dari firewall IPCop tersebut. Pengujian awal dilakukan untuk melihat funsionalitas dasar dari layanan yang disediakan oleh IPCop secara default, yaitu melakukan disable PING atau pengiriman paket ICMP menuju kedua nterface pada IPCop.
Gambar 8. Pengujian disable PING
6
melindungi jaringan komputer yang kita miliki. b. Network firewall yang diterapkan dengan tipe stateful firewall dapat berjalan dengan baik pada arsitektur firewall dual-homed host dengan hardware yang ada dan cukup handal dalam menangani keamanan pada jaringan c. Pengaturan yang tepat pada firewall IPCop dalam melakukan monitoring, manajemen, dan administrasi melaui interface web dapat mempermudah administrator jaringan untuk meminimalisir gangguan yang terjadi. d. Komponen Add-Ons yang berbasis proxy dan Intrusion Detection System telah berhasil berjalan dengan baik sebagai perantara bagi client untuk mengakses layanan internet dan IDS dapat mendeteksi aktivitas yang terjadi dan mampu untuk meningkatkan keamanan jaringan yang dimiliki oleh perusahaan
c. Pengujian IDS pada Firewall Setelah kita melihat kinerja firewall dalam melakukan pemblokiran terhadap paket ICMP dan layanan HTTP atau pengaksesan web yang melewati proxy, kita akan melihat funsionalitas IDS yang diaktifkan apakah dapat mendeteksi salah satu contoh serangan terhadap firewall yaitu dengan menggunakan bantuan NMAP port scanning tool dalam melakukan penetrasi ke salah satu interface pada firewall IPCop.
Gambar 9. Port menggunakan NMAP
Scanning
Setelah melakukan scanning yang dilakukan dengan bantuan NMAP, kita akan melihat pada tab IDS log yang terdapat pada menu interface IPCop untuk melihat apakah IDS dapat mendeteksi proses port scanning.
VI.
Daftar Pustaka [1] Ariyus, Dony, Computer Security, Andi, Yogyakarta, 2006. [2] Ariyus, Dony, Intrusion Detection System, Andi, Yogyakarta, 2007. [3] Brenton, Chris dan Hunt, Cameron, Network Security. PT Elex Media [4] Komputindo, Jakarta, 2005.
Gambar 10. IDS Log
V.
Kesimpulan Dari hasil penerapan dan pengukuran, dapat disimpulkan bahwa : a. Penerapan network firewall berbasis open source pada infrastruktur jaringan yang telah ada dengan mengekspansi toplogi jaringan tersebut mampu untuk
[5] Cisco Official Website, “Internetworking Technology Handbook”. http://www.cisco.com/univercd/cc/td/d oc/cisintwk/itc_doc/introwan.htm, diakses tanggal 28 Oktober 2009, 13.51 WIB. [6] Dempster, Barrie dan James, EatonLee, Configuring IPCop Firewalls, Packt Publishing, Birmingham, 2006.
7
[7] Farununuddin, Rakhmat, Membangun Firewall dengan IPTables di Linux, Elex Media Komputindo, Jakarta, 2006. [8] Feibel, Werner, Encyclopedia of Networking, Second Edition, SYBEX Inc, California, 1996. [9] Fyodor, Remote OS Detection Via TCP/IP Stack Finger Printing, 1998. http://www.insecure.org/nmap/nmapfingerprint-article.txt, diakses tanggal 26 Oktober 2009, 09.21 WIB [10] Goldman, James E dan Rawles, Philip T, Applied Data Communications: A Business Oriented Approach Thrid Edition, Wiley John&Sons, Inc, New York, 2001. [11] Kamus Besar Bahasa Indonesia, Yudhistira, Jakarta, 2008. [12] Komar, Brian, Ronald Beekelaar&Joern Wettern, Firewalls For Dummies, Second Edition, Wiley Publishing Inc, Indiana, 2003. [13] Nazir, Moh, Metode Penelitian, Ghalia Indonesia, Jakarta, 2003. [14] Oetomo, Budi Sutedjo Dharma dkk, Konsep dan Aplikasi Pemrograman Client Server dan Sistem Terdistribusi, Andi, Yogyakarta, 2006. [15] Ogletree, Terry William, Practical Firewalls, Que Publishing, Canada, 2000 [16] Pressman, Roger S, “Rekayasa Perangkat Lunak: Pendekatan Praktisi (Buku Satu)”. Terj. Dari Software Engineering: A Practitioner’s Approach , oleh L. N. Harnaningrum, Andi, Yogyakarta, 1997. [17] Purbo, Onno W. Buku Pegangan Pengguna ADSL dan Speedy, Elex Media Komputindo, Jakarta, 2006.
[18] RFC 2616, 1999, HTTP/1.1.179, hlm. http://www.ietf.org/rfc/rfc2616.txt, diakses tanggal 26 Oktober 2009, pk.11.46 WIB [19] Stallings, William, Komunikasi Data dan Komputer: Jaringan Komputer, Terj dari Data and Computer Communications, Six Edition, oleh Thamir Abdul Hafedh Al-Hamdany, Salemba Teknika, Jakarta, 2000. [20] Strebe, Matthew dan Charles Perkins, Firewall 24 Seven, Second Edition, SYBEX Inc, California, 2002. [21] Syafrizal, Melwin, Pengantar Jaringan Komputer. Andi ,Yogyakarta, 2006. [22] Tanenbaum, Andrew S, Computer Network, Fourth Edition, Prentice Hall, Inc, New Jersey, 2003. [23] Virtual Box website. About Virtual Box. http://www.virtualbox.org/, diakses tanggal 15 Oktober 2010, 14.35 [24] Wahana Komputer, Konsep Jaringan Komputer dan Pengembangannya, Salemba Infotek, Jakarta, 2003. [25] Zwicky, Elizabeth D, Simon Cooper & D. Brent Chapman, Building Internet Firewall, Second Edition, O’Reilly Publishing, California, 2000.
