PERANCANGAN DAN ANALISIS SISTEM EMBEDDED LINUX FIREWALL (1)
Ferrianto Gozali dan (2)Muchammad Fachri Jurusan Teknik Elektro Fakultas Teknologi Industri Universitas Trisakti (1)
[email protected] (2)http://www.fachri.com
Abstract Sistem Embedded Linux Firewall adalah suatu sistem embedded untuk keamanan jaringan komputer dengan proteksi multi-lapisan. Sistem dirancang dengan menggunakan perangkat keras Embedded Networking Aewin SCB-6971 dengan sistem operasi Linux Zeroshell 1.0 yang bersifat open source. Sistem menjalankan dua fungsi yaitu sebagai packet filter dan proxy server. Perangkat ini melindungi pada batasan jaringan global dengan jaringan internal yang digunakan bersamaan oleh banyak host pada jaringan internal. Kemudahan melakukan konfigurasi dan administrasi keamanan jaringan global yang dipakai bersamaan oleh banyak host secara terpusat. Sistem dirancang dengan menginstalasi distribusi system operasi linux live filesystem ke perangkat keras embedded yang memiliki network adapter lebih dari satu, kemudian mengkonfigurasikan layanan jaringan yang diberikan ke host internal serta aturan-aturan firewall dan konten aplikasi yang diblokir. Pengujian sistem menunjukkan Sistem Embedded Linux Firewall mampu bekerja dengan baik sesuai dengan yang direncanakan. Kata kunci: Sistem Embedded, Firewall, JaringanKomputer
Pendahuluan Pemanfaatan internet saat ini sudah hampir meliputi seluruh aktifitas kehidupan di sekitar kita, mulai dari perkantoran skala besar, menengah atau kecil yang biasa disebut Small Office/Home Office (SOHO), institusi-institusi pemerintah dan pendidikan, rumah tangga sampai pada perangkat bergerak (mobile device). Sejalan dengan itu tingkat ancaman terhadap keamanan penggunaannya pun meningkat. Terdapat beberapa jenis ancaman keamanan yang dihadapi dalam penggunaan internet, seperti Intrusions yaitu pengaksesan system komputer diluar hak penggunan, Denial of Service yaitu serangan yang bertujuan untuk mencegah penggunaan sistem komputer dan pencurian data, dll. Untuk membantu mencegah gangguan keamanan internet terhadap jaringan komputer internal yang disebabkan oleh serangan terhadap keamanan jaringan komputer, diperlukan pengendalian dalam bentuk pembatasan penggunaan internet pada jaringan komputer internal dengan menerapkan piranti keamanan yang terdiri dari proxy server dan paket filter. Pengadaan ini bersifat boros karena masingmasing piranti membutuhkan sistem komputer yang terdedikasi. Pemanfaatan sistem embedded merupakan salah satu alternatif solusi untuk hal ini. Pengembangan perangkat keamanan jaringan komputer berupa paket filter dan proxy server yang ditanam pada satu perangkat embedded jaringan komputer menggunakan sistem operasi linux yang bersifat open source. Studi Pustaka Internet Firewall berfungsi sebagai pencegah terhadap bahaya pada jaringan internet agar tidak menyebar ke jaringan internal yang berada dalam pembatasan oleh Firewall(Elisabeth, 2001). Satu Firewall jaringan dapat melindungi sistem komputer dalam jumlah banyak sekaligus dari serangan yang dilakukan dari luar jaringan (Wes Noonan, 2006). Sebuah Firewall seringkali dipasang pada sebuah titik dimana jaringan internal yang akan dilindungi tersambung ke internet (Elisabeth, 2001) seperti pada gambar1.
Gambar 1.Penempatan Firewall pada jaringan
1
Embedded linux firewall akan bekerja sebagai hybrid gateway dari jaringan internal menuju jaringan internet, fitur keamanan dan layanan jaringan yang disediakan pada Embedded Linux Firewall adalah 1. Iptables packet filter firewall chain rules 2. Http antivirus transparent proxy server
Arsitektur sistem embedded linux firewall dapat dilihat pada gambar 2. Pemisahan jaringan dilakukan untuk memberi perlakuan yang berbeda terhadap kebijakan keamanan jaringan komputer. Terhadap jaringan perimeter, Embedded Linux Firewall melakukan port forwarding terhadap seluruh host yang ada di jaringan perimeter tersebut dan menyediakan proteksi packet filter (Matthew, 2002). Sedangkan pada jaringan internal, seluruh proteksi dan layanan keamanan yang telah disebutkan di atas dijalankan.
Gambar 2.ArsitekturEmbedded Linux Firewall Sebagai packet filter dan application-level gateway yang dijadikan ke dalam satu sistem komputer, maka Embedded Linux Firewall berfungsi untuk melakukan proteksi terhadap lapisan Network Layer, Transport Layer dan Application Layer (Gheorge L, 2006). Hubungan antara fungsi packet filtering dan proxy server pada lapisan jaringan yang dilindungi dapat dilihat pada Gambar 3. Proxy Server Stateful Packet Filter Application Layer
Transport Control
Packet Data
Protocol Layer Internet Protocol
Filtered Packet Data Presentation Layer
Layer Session Layer
Gambar 3.Hubungan Lapisan Jaringan Dengan Fungsi Pada Embedded Linux Firewall Metodologi Penelitian Penelitian dilakukan dengan melakukan pengembangan sistem, implementasi ke jaringan komputer dan ujicoba dengan melakukan penyerangan ke jaringan yang dilindungi embedded linux firewall tersebut, Tahapan pengembangan sistem Embedded Linux Firewall dilakukan dengan tahapan seperti pada gambar 4 berikut.
2
Tahap Persiapan Pemilihan Perangkat Keras Embedded
Pemilihan Distribusi Sistem Operasi
Unduh Source Code Ke Server
Tahap Instalasi dan Konfigurasi Sistem Penginstalan dan Konfigurasi Awal Linux Zeroshell Ke Perangkat Embedded
Tahap Konfigurasi Pelayanan Jaringan
Tahap Konfigurasi Proxy Server
Tahap Konfigurasi Packet Filter
Persiapan Fitur Pelayanan Jaringan Pada Distribusi Sistem Operasi
Penyetelan Layanan HAVP (Http Antivirus Proxy)
Penentuan Packet Filter Policy
Penterjemahan Ke Bentuk Iptables Rules
Penyetelan Layanan DHCP, DNS,Captive Portal dan Routing dengan NAT
Sistem error
Konfigurasi Iptables Rules Pada Zeroshell Web GUI
Tahap Konfigurasi Layanan DHCP, DNS,Captive dan Routing dengan NAT
Konfigurasi Layanan HAVP
Debug
Sistem error Debug
Sistem error Debug Sistem Berjalan Dengan baik
Sistem Berjalan Dengan baik
Tahap Pengintegrasian Konfigurasi Jaringan Sesuai Arsitektur Firewall
Debug
Sistem Diimplementasi
Sistem error
Gambar 4.Tahap Pengembangan Sistem Embedded Linux Firewall Perangkat Keras Diagram blok arsitektur perangkat keras embedded yang digunakan ditunjukkan oleh gambar 5 berikut ini: Ethernet Adapter 0
BIOS Chipset
Ethernet Adapter 1
General Purpose x86 Microprocessor
BUS Ethernet Adapter 2 Ethernet Adapter 3
RAM
Compact Flash Card Perangkat Keras Embedded
Gambar 5.Arsitektur Perangkat Keras Embedded Perangkat keras sistem embedded mengunakan Embedded Networking Aewin SCB-6971 dengan spesifikasi sbb: • • • • • •
CPU: AMD Geode LX800-500 MHz processor Chipset: AMD Geode CS5536 BIOS: Award 512KB Flash BIOS Memory: 1 x DDR DIMM 400MHz w/o ECC registered Up to 1GB with 1 slot Onboard Expansion Slots: 1 x Mini PCI slot Ethernet Adapter: 4 10/100Mbps (Realtek® 8139CL+)
3
• • •
Storage: Compact Flash 1 x CompactFlash™ Type II Socket I/O: Serial 1 Console Port Power Supply 25 Watt
Sistem operasi sistem embedded menggunakan Linux Zeroshell 1.0 yang bersifat open source (www.zeroshell.net). IPtables IPtables merupakan salah satu tool firewall yang bekerja menggunakan prinsip packet filter dalam kernel system operasi linux (Iwan, 2001). IPTables bekerja pada layer Internet danTransport (Michael Rash, 2007). HAVP HAVP merupakan transparent proxy server tanpa cache dengan penyaringan anti virus.Sebagai sebuah gateway aplikasi dalam penterjemahan permintaan http, HAVP melakukan dekripsi pada URL yang dikunjungi oleh pengguna.HAVP juga menyediakan fitur URL blacklisting dan whitelisting.
Gambar 6. Blok Diagram HAVP Packet Filtering Urutan kerja packet filtering pada sistem dilaksanakan sesuai dengan gambar flowchart pada gambar 7 berikut.
Gambar 7. Flowchart Kerja Packet Filter Proxy Server Urutan kerja Proxy server pada sistem dapat dilihat pada gambar 8 berikut.
4
Gambar 8. Flowchart Kerja Proxy Server Hasil dan Pembahasan Pengujian Fungsi Packet Filter 1. Pengujian pertama dilakukan untuk mengetahui kemampuan sistem dalam menghadapi serangan packet spoofing pada network layer, topologi jaringan pengujian ditunjukkan gambar 9.
Gambar 9.Topologi Jaringan Pengujian Dengan Packet Spoofing Dari hasil pengamatan terlihat Embedded linux firewall mampu melakukan drop terhadap paket yang termasuk spoofing setelah menerimanya pada sekuen kedua disebabkan sekuen pertama masih berstatus “UNREPLIED”. 2. Pengujian kedua dilakukan untuk mengetahui kemampuan sistem dalam menghadapi serangan port scanning pada transport layer. Topologi jaringan pengujian ditunjukkan oleh gambar 10. Dari pengujian yang dilakukan terlihat sistem dapat mengenali dan melakukan dropping 84,6% paket SYN Stealth Scanning oleh embedded linux firewall.
Gambar 10.Topologi Jaringan Pengujian Dengan Port Scanning
5
Pengujian Fungsi Proxy Server Pengujian terhadap fungsi proxy server bertujuan untuk mengetahui kemampuan blocking blacklist url oleh http proxy server pada embedded linux firewall.Topologi jaringan pengujian proxy server ditunjukkan pada gambar11 berikut.
Gambar 11.Topologi Jaringan Pengujian Proxy Server Dari hasil pengujian, dapat dilihat bahwa: 1. Fungsi proxy server pada sistem dapat melakukan blocking terhadap seluruh URL yang termasuk kedalam blacklisted URL. 2. Proxy log juga menunjukkan bahwa sistem dapat melakukan pemblokiran lebih dari 1 client yang berbeda dengan pengaksesan blacklisted url yang berbeda pada waktu yang bersamaan dan dari proxy server log dapat diketahui 8 internal client yang berbeda tidak dapat mengakses URL yang di block oleh proxy server. Kesimpulan Berdasarkan hasil pengujian dari penggunaan sistem embedded linux firewall, dapat disimpulkan sebagai berikut: 1. Pada percobaan serangan packet spoofing, fungsi packet filter dengan iptables pada embedded linux firewall merupakan stateful packet filter karena dropping packet dilakukan dengan memperhatikan urutan dari paket yang dikirim. Prosentase keberhasilan penolakan serangan packet spoofing pada embedded linux firewall sebesar 50%. 2. Pada percobaan serangan port scanning, fungsi packet filter dengan iptables pada embedded linux firewall memiliki tingkat penolakan terhadap probe port scanning sebesar 84,6%. 3. Pada percobaan pengaksesan blacklisted URL, fungsi proxy server pada embedded linux firewall dapat melakukan pemblokiran terhadap pengaksesan URL yang termasuk kategori blacklisted pada proxy server pada seluruh host yang ada pada jaringan internal secara bersamaan dengan tingkat keberhasilan pemblokiran 100% pada jaringan secara keseluruhan dan 100% pada tiap-tiap host internal embedded linux firewall . Daftar Pustaka 1. Gheorghe, Lucian.Designing and Implementing Linux Firewalls and QoS using net filter, iproute2, NAT, and L7-filter.Birmingham:Packt Publishing, 2006. 2. Noonan,Wes and Dubrawsky,Ido. Firewall Fundamentals. Cisco Press, 2006. 3. Rash, Michael. Linux Firewalls.San Francisco : No Starch Press, 2007 4. Sofana, Iwan. Mudah membangun Server dengan fedora.Bandung : Informatika, 2008 5. Strebe, Matthew and Perkins, Charles. Firewalls 24Seven.Second Edition.San Francisco: SYBEX, 2002. 6. Zwicky, Elizabeth D et.al. Building Internet Firewalls. Release Team [OR], 2001.
6