analisis penerap an firewall pt. pln (persero) · pdf fileanalisis penerap an firewall sebagai...
TRANSCRIPT
ANALISIS PENERAP AN FIREWALL
SEBAGAI SISTEM KEAMANAN JARINGAN PADA
PT. PLN (Persero) PENY AL URAN DAN PUSAT PEN GA TUR BEBAN
Jawa - Bali (P3B)
Ahmad Fauzie
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERJ!
SY ARIF HIDAYATULLAH
JAKARTA
1425 HI 2004 M
ANALISIS PENERAP AN FIREWALL
SEBAGAI SISTEM KEAMANAN .JARINGAN PADA
PT. PLN (PerserQ) PENY AL URAN DAN PUSAT PEN GA TUR BEBAN
Jawa - Bali (P3B)
Oleh:
Ahmad Fauzie
0072020172
Skripsi
Sebagai Salah Satu Syarat untuk Memperoleh Gelar
Sarjana Komputer
Fakultas Sains dan Teknologi
Universitas Islam Negeri SyarifHidayatullah Jakarta
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI
SY ARIF HIDAYATULLAH
JAKARTA
1425 HI 2004 M
ANALISIS PENERAP AN FIREWALL
SEBAGAI SISTEM KEAMANAN ,JARINGAN PADA
PT. PLN (Persero) PENYALURAN DAN PUSAT PENGATUR BEBAN
Jawa - Bali (P3B)
Skripsi
Sebagai Salah Satu Syarat untuk Memperoleh Gelar
Saijana Komputer
Pada Fakultas Sains dan Teknologi
Pembimbing I
oleh
Ahmad Fauzie
0072020172
Menyetujui
DR. Syopians ah Jaya Putra, M.Sis NIP. 150 317 965
Mengetahui, J urusan TI/SI
Amir Dahlan, S.T, M.T
JURUSAN TEKNIK INFORMATIKA DAN SISTEM INFORMASI FAKULTAS SAINS DAN TEKNOLOGI
UIN SY ARIF HIDAYATULLAI-I JAKARTA
Dengan ini menyatakan bahwa Skripsi yang ditulis oleh :
Nama Ahmad Fauzie
NIM 0072020172
Program Studi
Judul Skripsi
: Teknik lnformatika
Analisis Penerapan Firewall Sebagai Sistem
Keamanan Jaringan Pada PT. PLN (Persero)
Penyaluran Dan Pusat Pengatur Beban Jawa - Bali
(P3B)
Dapat diterima sebagai syarat kelulusan untuk memperoleh gelar Sarjana Komputer
.Turusan Teknik lnformatika, Fakultas Sains dan Teknologi UIN Syarif I-Iidayatullah
Jakarta.
Jakarta, 16 Juli 2004
Menyetujui,
Dasen Pembimbing
Pembimbing I,
DR Syopi"!' hy' Pom., M S" NIP: 150 317 956
Mengetalmi,
Jaya Putra, M.Sis 17 956
Pembimbing II,
(····<~. ··.·, \~ J~ f:\"'--'/ . . Am~afil~~' ST, M.Kom
Ketua Jurnsan
Ir. Bak1i La Katjong, M.T, M.Kom NIP. 470 035 764
PERNYATAAN
DENGAN !NI SAYA MENYATAKAN BAHWA SKRIPSI IN! BENAR
BENAR HASIL KARY A SENDIRI YANG BELUM PERNAH DIAJUKAN
SEBAGAI SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI
ATAU LEMBAGA MANAPUN.
Jakarta, Juli 2004
AHMAD FAUZIE
0072020172
ABSTRAK
AHMAD FAUZIE, Analisis Penerapan Firewall Sebagai Sistem Keamanan Jaringan Pada PT. PLN (Persero) Penyaluran dan Pusat Pengatur Beban Jawa-Bali (P3B). (Di bawah bimbingan SYOPIANSAH JAYA PUTRA dan AMIR DAHLAN).
Teknologi jaringan komputer berkembang dengan sangat pesat, bahkan dengan hadirnya internet yang secara teknis tidak terhalang oleh jarak dan waktu, sehingga proses komunikasi dan pertukaran data dapat dilakukan dengan mudah. Tetapi akibat dari perkembangan teknologi tersebut telah mengarah kepada suatu eksploitasi lubang keamanan sistem jaringan komputer. Hal ini dapat menjadi masalah yang besar apabila tidak ditangani dengan benar, karena dengan tereksploitasinya lubang keamanan, maka pengguna yang tidak berhak dapat dengan mudah melakukan kejahatan-kejahatan dalam dunia cyber yang dikenal dengan sebutan Cyber Crime, seperti snijjing, spoofing, DoS Attack dan lainnya yang dapat dikategorikan sebagai kejahatan dalam dunia maya.
Skripsi ini menitik beratkan permasalahan pada analisa penerapan firewall sebagai sebuah sistem keamanan jaringan komputer pada PT. PLN (Persero) Penyaluran dan Pusat Pengatur Beban Jawa-Bali (P3B) Sub Bidang Tl. Diharapkan dapat memberikan suatu pengettian tentang p1~ranan firewall dalam mengamankan jaringan lokal terhadap kemungkinan serangan dari pihak-pihak yang tidak bertanggung jawab. Proses analisa dilakukan melalui langkah-langkah yang sistematis dan ada tiga parameter yang menjadi landasan dalam menarik kesimpulan yaitu port dalam keadaan stealth, close dan open. Prosesnya dilakukan melalui situs-situs internet yang menyediakan layanan probing dan scanning port seperti grc.com, Symantec.com dan veniceflorida.com, sehingga dihasilkan suatu analisis yang dapat menggambarkan suatu sistem keamanan komputer secara deskriptif dan menyeluruh.
Basil probing dan scanning yang telah dilakukan didapatkan hasil portport yang sangat penting dan rawan akan terjadinya penerobosan oleh para cracker berada dalam kondisi stealth, yang bermti bahwa port-port tersebut dalam keadaan sangat baik dan sulit bagi para cracker untuk menembusnya. Dari hasil analisa yang didapat dapat ditarik suatu kesimpulan bahwa dengan menerapkan Iptables sebagai firewall sudah dapat mengamankan sistem jaringan komputer. Tetapi ha! mt juga tergantung dari kecakapan Administrator jaringan dalam mengkonfigurasikan firewall. Untuk lebih meningkatkan keamanan jaringan, sebaiknya Administrator jaringan harus sering memperbaharui sistem keamanan jaringan yang telah ada serta menambahkan beberapa aplilrnsi keamanan jaringan, terus memantau se1ia mencari kelemahan-kelemahan yang terdapat pada' sistem keamanan jaringan yang dikelolanya, sehingga akan didapat sistej11 keamanan jaringan yang benar-benar handal. \~''·
KATA PENGANTAR
Dengan memanjatkan puji serta syukur kehadirat Allah SWT,
Alhamdulillah atas rahmat dan hidayah-Nya yang telah dilimpahkan sehingga
penulis dapat menyelesaikan penulisan skripsi ini.
Penulisan skripsi ini bertujuan untuk memenuhi persyaratan akademik
pada Fakultas Sain dan Teknologi Jurusan Teknik Informatika Universitas Islam
Negeri Syarif Hidayatullah Jakarta untuk memperoleh gelar sarjana SI pada
bidang teknik informatika.
Penulis menyadari bahwa materi maupun cam penyajian penulisan
skripsi ini jauh dari sempurna. Oleh karena itu penulis sangat mengharapkan kritik
dan saran yang membangun guna memperbaiki kekurangan-kekeurangan yang
ada pada penulisan skripsi ini.
Berkenaan dengan selesainya penulisan skripsi ini, malca dengan rasa
syukur serta hormat penulis mengucapkan terimakasih pada semua pihak yang
telah memberikan bantuan, bimbingan, dan pengarahan se1ta dukungan moril dan
materil. Dan dalam kesempatan ini penulis mengucapkan terimakasih yang
sebesar-besarnya kepada:
I. Bapak Ir. Bakri Lakatjong, M.T, M.Kom selaku Ketua Jurusan Teknik
Informatika Universitas Islam Negeri Syarif Hidayatullah Jakarta.
2. Bapak DR. Ir. Syopiansyah Jaya Putra, M.Sis, selaku Dekan Fakultas Sain
dan teknologi Universitas Islam Negeri Syarif Hidayatullah Jakmta dan
Dasen Pembimbing I.
3. Bapak Amir Dahlan, S.T, M.T, selaku Dosen Pembimbing II
4. Bapak Ir. Karmen Tarigan, Manager TI PT. PLN P3B.
5. Bapak Ir. Wiyono, selaku pembin1bing dari PT. PLN P3B.
6. Bapak Ir. Eris, selaku pembimbing dari PT. PLN P3B.
7. Bapak Hasan dan Bapak Didi, terimakasih atas fasilitas yang diberikan.
8. Ayahanda tercinta, Bapak H. Jayadi dan Ibunda tersayang, !bu Hj.
Marwani yang telah memberikan kasih sayang yang tiada hingga dan do'a
kan ananda selalu.
9. Kakak-kakakku serta adik-adikku tercinta terimakasih atas segala
dukungan dan semangat serta canda yang selalu memberikan inspirasi.
I 0. Ka wan karibku Riza, Fachri, Arif dan kawan yang lain yang tidak bisa
saya sebutkan satu persatu, saya ucapkan terimakasih atas segala canda
dan tawanya serta saran dan kritiknya.
Akhir kata, penulis berharap penulisan skripsi ini dapat bermanfaat bagi
semua pihak terutama kawan-kawan Teknik Informatika UIN Syarif Hidayatullah
Jakarta, baik sebagai bahan karya tulis berupa informasi, perbandingan maupun
dasar untuk penelitian lebih lanjut.
Jakarta, Juli 2004
Pennlis
DAFTARISI
ABSTRAK ..................................................................................................... i
KAT A PEN GANT AR ..................................................................................... ii
DAFT AR 181 ................................................................................................... iv
DAFTAR TABEL .......................................................................................... x
DAFTAR GAMBAR ...................................................................................... xi
DAFTAR LAMPIRAN ................................................................................... xii
BAB I PENDAHULUAN .......................................................................... 1
1. 1 Latar Belakang Masalah ........................................................... 1
1.2 Pernmusan Masalah .................................................................. 3
1.3 Pembatasan Masalah ................................................................ 4
1.4 Tujuan dan Kegunaan Penulisan .............................................. 4
1.4.1 Tujuan Penulisan .......................................................... 4
1.4.2 Kegunaan Penulisan ..................................................... 4
1.5 Metodologi Penulisan .............................................................. 5
1.6 Sistematika Penulisan .............................................................. 6
BAB II TINJAUAN PUSTAKA ................................................................ 8
2.1 Teori Sistem Keamanan Jaringan Komputer .............................. 8
2.1.1 Pengertian sistem keamanan jaringan komputer............. 8
2.1.2 Maksud dan tujuan digunakannya networking security .. 8
2.2 Aspek-aspek Dalam Keamanan Komputer ................................ 9
2.2.1 Privacy/Confidentiality .................................................. 9
2.2.2 Integrity ........................................................................ 10
2.2.3 Authentication ............................................................... 10
2.2.4 Availability................................................................... 10
2.2.5 Access control............................................................... 11
2.2.6 Non-repudiation............................................................ 11
2.3 Beberapa Cara Pengamanan Jaringan Komputer ....................... 11
2.3.1 Mengatur akses (access control) .................................... 11
2.3.2 Menutup servis yang tidak digunakan ............................ 12
2.3.3 Memasang proteksi ....................................................... 12
2.3.4 Pemantau adanya serangan ..................................... : ...... 13
2.3.4.1 Perangkat bantu IDS (Intrussion Detection
System) .............................................................. 13
2.3.5 Penggunaan Enkripsi untuk meningkatkan Kean1anan ... 14
2.4 Klasifikasi Kejahatan Komputer ........................................ , ...... 15
2.4.1 Keamanan yang bersifat fisik (physical securif)~ ........... 15
2.4.2 Keamanan yang berhubungan dengan orang (personel) . 16
2.4.3 Keamanan dari data dan media serta tek:nik komunikasi 16
2.4.4 Keamanan dalam operasi................. .............................. 17
2.5 Contoh Kasus Gangguan Pada Jaringan Komputer.................... 17
2.6 Masalah Keamanan yang Berhubungan Dengan Indonesia ........ 18
2. 7 Teori Tentang Jaringan ............................................................. 20
2.7.1 Host-Terminal ............................................................... 20
2. 7 .2 Client Server................................................................. 20
2.7.3 Peer to Peer ................................................................... 21
2.7.4 LAN (Local Area Network) ........................................... 21
2. 7 .5 WAN (Wide Area Network)........................................... 22
2.7.6 Internet. .......................................................................... 22
2.7.7 Intranet.. ........................................................................ 22
2.8 Penamaan Alamat IP (Logical Address) .................................... 23
2. 8.1 Pembagian kelas IP........................................................ 23
2.8.2 Subnetting ..................................................................... 24
2.9 Model Referensi OSI dan Standarisasi ................... ................. 25
2.10 Port .......... ~ .............................................................................. 26
2. I 0.1 Definisi port................................................................. 27
2.10.1. l Definisi port yang diam bi! dari situs
http://www.redhat.com ................................. 27
2.10.1.2 Definisi port berdasarkan situs
http://www.securityresponse.symantec.com 28
2.11 Sejarah dan Konsep IPTABLES .............................................. 29
2.11.1 Keunggulan pada IPT ABLES ...................................... 30
BAB III METODOLOGI PENELITIAN ...... ................................................ 31
3 .1 Analisa Teknis .................................................. ....................... 31
3.1.1 Installing Iptables .......................................................... 31
3.1.1.1 Perjalanan paket yang diforward ke host yang
Lain ................................................................... 33
3.1.1.2 Perjalanan paket yang ditujukan bagi host lokal 34
3 .1.1.3 Perjalanan paket yang berasal dari host lokal ... 34
3.1.1.4 Sintaks IPTables .............................................. 35
3.1.1.4.1 Table ............................................... 35
3.1.1.4.2 Command ....................................... 36
3.1.1.4.3 Option ............................................. 36
3.1.1.4.4 Generic Matches ............................. 36
3.1.1.4.5 Implicit Matches ............................. 36
3.1.1.4.6 TCP Matches .................................. 37
3.1.1.4.7 UDP Matches .................................. 37
3.1.1.4.8 ICMP Matches ................................ 38
3.1.1.4.9 Explicit Matches ............................. 38
3.1.1.4.9.1 MAC Address ................ 39
3.1.1.4.9.2 Multipo11 Matches ......... 39
3.1.1.4.9.3 Owner Matches .............. 39
3.1.1.4.9.4 State Matches ................ 40
3.1.1.4. l 0 Target/Jump .................................... 40
3.1.1.4.11 ParameterTambahan ....................... 41
3.1.1.4.11.1 LOG Target. ................ 41
3. l.1.4.11.2 REJECT Target............ 41
3.1.1.4.11.3 SNAT Target.. ............. 42
3.l.l.4.ll.4DNATTarget. .............. 42
3.1.1.4.11.5 MASQUERADE
Target.. ........................ 43
3.1.1.4.11.6 REDIRECT Target ...... 43
3.1.2 Konfigurasi Iptables ...................................................... 44
3.1.3 Testing Konfigurasi ....................................................... 45
3 .1.4 Analisa Hasil.. ............................................................... 45
3.1.5 Usulan Selusi ................................................................ 46
3.2 Teknik Analisa Data ................................................................ 46
BAB IV ANALISA DAN USULAN SOLUSI SISTEM KEAMANAN
JARINGAN .................................................................................... 48
4.1 Lokasi Penelitian ..................................................................... 48
4.1.1 Sejarah singkat ............................................................. 48
4.1.2 Perkembangan pernsahaan ............................................ 48
4.1.2. l Visi ................................................................... 49
4.1.2.2 Misi .................................................................. 49
4.1.3 Struktur organisasi .: ........................................................ 49
4.2 Karakteristik dan Jenis Firewall yang digunakan ..................... 52
4.2.1 Karakteristik Firewall .................................................... 52
4.2.2 Jenis Firewall yang digunakan ....................................... 53
4.3 Analisis Efektifitas Penggunaan Iptables sebagai sistem
pengamananjaringan komputer ................................................. 53
4.3. l Analisa sistem keamanan jaringan menggunakan
webtools.grc.com ......... ...... .................. .......... .............. 54
4.3.2 Analisa sistem keamananjaringan menggunakan
webtools symantec.com ............................................... 59
4.3.3 Analisa sistem kcamananjaringan menggunakan ·
webtools veniceflorida.com .......................................... 63
4.4 Usnlan Solnsi .......................................................................... 67
BAB V KESIMPULAN DAN SARAN ....................................................... 70
5.1 Kesimpnlan ............................................................................... 70
5.2 Saran ........................................................................................ 70
DAFT AR PUST AKA
LAMP IRAN
DAFTAR ISTILAH
DAFTAR TABEL
Tabel 1: Pembagian Kelas IP ............................................................................. 23
Tabel 2: Contoh Deskripsi Hasil Pengujian yang Dilakukan .............................. 47
DAFTAR GAMBAR
Gambar I: Konsep Dasar Sebuah Firewall ......................................................... 29
Garnbar 2: Bagan Analisa Teknis ....................................................................... 31
Garnbar 3: Diagram Rantai Firewall (Firewall Chain) ........................................ 32
Garnbar 4: TCP Matches .................................................................................... 37
Garnbar 5: UDP Matches ................................................................................... 38
Gambar 6: ICMP Matches ................................................................................. 38
Gambar 7: Halaman Muka grc.com ................................................................... 54
Gambar 8: Halaman Security Test ..................................................................... 54
Gambar 9: Halaman Autentifikasi Proses ........................................................... 55
Gambar 10: Halaman Pemilihan Port ....................................................... : ......... 55
Gambar 11: Halaman Hasil Dari Proses Probing ................................................ 56
Gambar 12: Halaman Analisa Keseluruhan Dari Sistem Keamanan Jaringan ..... 59
Gambar 13: Halaman Probing Port Symantec.com ............................................. 60
Gambar 14: Halaman Analisa Trojan Horse ....................................................... 61
Gambar 15: Halaman Analisa Persentase Kemungkinan Resiko yang
Dihasilkan ...................................................................................... 62
Gambar 16: Halaman Hasil Probing ................................................................... 63
DAFTAR LAMPIRAN
Lampiran I: Tabel Hubungan referensi model OSI dengan protokol internet ..... 74
Lampiran 2: Tabel Badan Pekerja di IEEE ......................................................... 76
Lampiran 3: PORT NUMBERS ......................................................................... 77
Lampiran 4: Tabel Forwaded Packets ................................................................. 83
Lampiran 5: Tabel Destination Local Host (our own machine) .......................... 84
Lampiran 6: Tabel Source local host (our own machine) ..................................... 85
Lampiran 7: Tabel Connnand .................................................................. : ......... 86
Lampiran 8: Tabel Option .................................................................................. 88
Lampiran 9: Tabel Generic Matches .................................................................. 89
Lampiran 10: Tabel TCP Matches ..................................................................... 90
Lampiran 11: Tabel Target/Jump ....................................................................... 92
Lampiran 12: Tabel ICMP Types .................. : .................................................... 94
Lampiran 13: Contoh Gambar Proses Firewall ................................................... 95
Lampiran 14: Gambar Diagram Proses Filtering Paket. ...................................... 97
Lampiran 15: Rule Script Konfignrasi Iptables .................................................. 98
Lampiran 16: Gambar Jaringan PT. PLN (Persero) P3B .................................... 103
Lampiran 17: Gambar Program Aplikasi Antisniff ............................................. 104
Lampiran 18: Gambar Program Aplikasi Attacker ............................................. 105
1.1 Latar Belakang Masalah
BABI
PENDAHULUAN
Kehadiran Revolusi Infonnasi sejak dua dasawarsa terakhir yang tidak
mengenal batas wilayah kedaulatan suatu negara telah memudahkan kita untuk
saling berkomunikasi tanpa halangan apapun. Ditambah lagi dengan telah
hadirnya Website-Website yang ikut meramaikan Khazanah teknologi informasi
masa kini yang pada gilirannnya dipakai sebagai sarana untuk berkomunikasi,
sehingga antar sesama pengguna mungkin tidak menyadari mulai giat melakukan
brain storming dan mulai memahami permasalahan tanpa harus bersikap impulsif,
dan terlalu emosional.
Perkembangan global internet sebagai milik publik menyiratkan
adanya harapan-harapan akan te1jadinya perubahan ruang dan jarak.
Perkembangan tersebutjuga diramalkan menqju pada terbentuknya entitas dengan
sistem tingkah laku tertentu, melalui pola-pola pengujian dengan unsur dominan
berupa pengalaman dan budaya dalam penggunaan informa:;i. Oleh karena itu ha!
tersebut di atas harus diakui olch semua unsur lapisan atau kalangan di belahan
bumi ini, yang tentu saja berbeda-beda impaknya.
Internet sebagai suatu teknologi informasi yang dapat diakses oleh
semua orang di dunia telah memberikan kontribusi tak ternilai bagi masyarakat,
namun ha! itu juga menyebabkan penyalahgunaan yang dapat merugikan
masyarakat itu sendiri. Bebasnya akses ke dunia maya tanpa kontrol dan
2
keamana.n sistem komputer menyebabkan setiap orang tanpa batas usia dapat
mengakses situs-situs terlarang seperti pomografi, kekerasan dengan leluasa.
Maka dari itu, sistem keamanan berbasis intemet telah diimplementasikan untuk
menanggulangi ha! tersebut.
Penggunaan dan pemanfaatan teknologi informasi berbasis internet
bagi PT. PLN (Persero) Penyaluran dan Pusat Pengatur Beban Jawa - Bali (P3B)
Sub Bidang Teknologi Infonnasi merupakan salah satu implementasi produk
teknologi yang dijadikan tulang punggung sekaligus urat nadi dalam
meningkatkan kine1ja perusahaan.
Dan pada era global serta dinamis ini keamanan sistem infonnasi
berbasis intemet mutlak diperlukan agar kelan.caran dan profesionalisme kerja
dapat terus dipertahankan dan ditingkatkan, karena jaringan internet yang sifatnya
umum dan global dinilai tidak aman dan mudah untuk disusupi oleh user atau
oknum yang tidak bertanggung jawab untuk merusak sistem dan mengambil data
data penting perusahaan yang sifatnya sangat rahasia.
Pentingnya peranan dan tu gas dari perusahaan PT. PLN (Persero)
Penyaluran dan Pusat Pengatur Beban Jawa - Bali (P3B) bagi semua pihak maka
PT. PLN (Persero) P3B Sub Bidang Teknologi lnfonnasi perlu menerapkan suatu
sistem keamanan jaringan yang handal dan mempunyai kemampuan yang tinggi
agar tidak dapat ditembus oleh pihak-pihak yang tidak berhak. Selain itu, pihak
perusahaan juga merasa perlu untuk membatasi pemakaian internet pada jam-jam
tertentu agar waktu kerja tidak disalahgunakan karyawan untuk mengakses situs-
3
situs terlarang, ini merupakan bentuk pencegahan dini untuk meningkatkan
kine1ja karyawan perusahaan.
Berdasarkan hal-hal tersebut diatas, maim penulis sangat tertarik untuk
mengadakan pembahasan lebih lanjut mengenai masalah tersebut sebagai topik
penulisan dengan judul "ANALISIS PENERAPAN FIREWALL SEBAGAI
SISTEM KEAMANAN JARINGAN PADA PT. PLN (Persero) Penyaluran
dan Pnsat Pengatur Behan Jawa-Bali (P3B)"
1.2 Perumusan Masalah
Sesuai dengan latar belakang dan pembatasan masalah tersebut, maka
permasa,lahan yang akan dibahas dalam skripsi ini adalah :
1. Jenis Firewall apakah yang akan dipakai oleh PT. PLN (Persero) Penyaluran
dan Pusat Pengatur Behan Jawa - Bali (P3B) Sub Bidang Teknologi
Informasi dalam pengamananjaringan berbasis internet.
2. Apakah dengan Firewall yang digunakan dapat mengamankan sistem
jaringan komputer di PT. PLN (Persero) Penyaluran dan Pusat Pengatur
Behan Jawa - Bali (P3B)?
3. Apakah ada kemungkinan lubang keamanan walaupun telah
mengimplementasikan Firewall sebagai Sistem keamanan jaringan?
4. Apakah ada solusi yang efektif dari permasalahan lubang keamanan
tersebut?
4
1.3 Pembatasan Masalah
Sesuai dengan inti dari penulisan skripsi, maim penulis akan
membatasi ruang lingkup pada proses analisa efektifitas penerapan firewall
mempergunakan aplikasi Iptables bagi keamanan jaringan komputer yang
digunakan di PT. PLN (Persero) Penyaluran dan Pusat Pengatur Beban Jawa -
Bali (P3B) Sub Bidang Teknologi Informasi untuk keamanan jaringan komputer
dalam mengantisipasi gangguan dari pihak-pihak yang tidak bertanggungjawab.
1.4 Tujuan Dan Kegnnaan Pennlisan
Dalam pembuatan skripsi ini, penulis menguraikan tujuan dan kegunaan
dari tulisan yang dibahas, yaitu:
1.4.1 Tnjnan Pennlisan
Untuk mengetahui dan mempelajari peranan serta cara ke1ja dari Iptables
terhadap proteksi akses jaringan intenet pada PT. PLN (Persero) Penyaluran dan
Pusat Pengatm Beban Jawa - Bali (P3B).
1.4.2 Kegunaan Penulisan
a. Bagi Penulis
I). Untuk memenuhi salah satu syarat dalam menyelesaikan kurikulum
tingkat akhir Fakultas Sain dan Teknologi Jmusan Teknik Informatika
Universitas Islam Negeri Syarif Hidayatullah Jakarta
5
2). Menambah wawasan penulis tentang teknologi jaringan komputer,
khususnya sistem keamanan jaringan komputer berbasis internet
dengan aplikasi Iptables pada perusahaan PT. PLN (Persero)
Penyaluran dan Pusat Pengatur Beban Jawa - Bali (P3B) Sub Bidang
TI.
b. Bagi Perusahaan
Dengan Penelitian yang dilakukan, semoga penulisan penelitian ini dapat
memberikan kontribusi pemikiran bagi manajemen perusahaan didalam
mengambil keputusan berkenaan dengan teknologi jaringan komputer khususnya
sistem keamanan jaringan yang digunakannya.
c. Bagi Pembaca
Semoga penulisan ini berguna bagi pihak lain atau pembaca sebagai
informasi, khususnya bagi pembaca yang mempunyai minat yang sama dalam
pengembangan sistem keamanan jaringan !computer.
1.5 Metodologi Penulisan
Dalam penulisan skripsi ini, agar didapatkan data yang akurat, sesuai dan
hasil yang objektif, maka penulis mempergunakan metode-metode:
I . Observasi
Penulis mengamati secara langsung pemakaian aplikasi Iptables dengan
mengetahi.Ji tata cara kerjanya, dan menganalisa hasil kerja dari aplikasi tersebut.
6
2. Studi Pustaka
Penulis mendapatkan informasi yang menunJang atau mendukung
penulisan skripsi dari buku-buku dan situs internet.
3. Analisa teknis penerapan firewall.
Ada beberapa analisa teknis yang digunakan dalarn analisa penerapan
firewall ini, yaitu: installing aplikasi Iptables, konfigurasi firewall, testing
konfigurasi, analisa firewall dan usulan solusi.
1.6 Sistematika Penulisan
Sistematika penulisan skripsi yang mernpakan laporan analisa hasil
penelitian terdiri atas :
BABI PENDAHULUAN
Pada bab ini dibahas tentang latar belakang penulisan, perumusan
masalah, batasan masalah, tujuan dan kegunaan penulisan, metodologi
penulisan, dan sistematika penulisan.
BAB II TINJAUAN PUSTAKA
Dalam bab ini akan dibahas materi tentang teori tentang sistem
keamanan komputer, teori jaringan, Penamaan IP, pemahaman tentang
OSI model serta penge1iian Iptables serta konsep dasar dan cara kerja
Iptables pada Server Linux Mandrake 8.2.
BAB III METODOLOGI PENELITIAN
Pada bab ini menerangkan mengenai analisa teknis yang
menjelaskan tentang metodologi pengambilan kesimpulan dari
hasil analisa tersebut.
7
BAB IV ANALISA DAN USULAN SOLUSI SISTEM KEAMANAN
JARINGAN
Dalam bab ini diuraikan mengenai lokasi penelitian dan sejarah singkat
PT. PLN (P3B), karakteristik dan jenis Firewall yang digunakan,
analisa efektifitas penggunaan lptables sebagai sebuah sistem keamanan
jaringan komputer dengan mengacu kepada hasil probing yang
dilakukan oleh http://www.grc.com, http://www.symantec.com,
http://www.veniceflorida.com.
BAB V KESIMPULAN DAN SARAN
Bab ini merupakan bab terakhir dari skripsi yang menyajikan
kesimpulan-kesimpulan apa yang telah diuraikan dari bab-bab
sebelumnya. Selain itu diberikan pula saran-saran yang mungkin
berguna bagi kemajuan perusahaan.
BAB II
LANDASAN TEORI
2.1 Teori Sistem Keamanan Jariangan Kompnter
Keamanan jaringan komputer merupakan suatu kebutuhan yang sangat
vital untuk diimplementasikan didalam sebuah jaringan komputer, apalagi bila
jaringan komputer tersebut terhubung ke jaringan luar, yang secara teknis tentu
siapa saja dapat mengakses jaringan milik suatu perusahaan tersebut. Hal ini
menjadi kendala apabila user luar yang mengakses, mempunyai suatu niat yang
buruk terhadap segala macam komponen jaringan perusahaan, mulai dari data,
operating sistem dan lainnya.
2.1.l Pengertian Sistem Keamanan Jaringan Komputer
Sistem keamanan komputer dapat didefinisikan sebagai sebuah
integritas sistem yang digunakan untuk memagari dan menjaga semua sumber
daya dan unsur-unsur yang terdapat pada suatu jaringan !computer, bentuk
pengamanannya bisa berupa hardware maupun software yang telah diberikan
fasilitas untuk suatu pengamananjaringan.
2.1.2 Maksud dan tujuan digunakannya Networking security
Networking security digunakan tidak hanya oleh perusahaan berskala
besar saja, akan tetapi sekarang banyak perusahaan menengah sampai berskala
9
kecil suclah mengimplementasikannya. Maksud clan tujuan digunakannya
networking security adalah sebagai berikut :
I. Untuk lebih mengoptimalkan kine1ja perusahaan dengan stabilitas
komunikasi dan informasi yang baik.
2. Melindungi data-data perusahaan yang sangat vital clan tidak semua
orang boleh mengaksesnya, seperti : data-data klien, keuangan dan
sebagainya.
3. Sebagai bentuk antisipasi dari serangan cracker yang mencoba masuk
kedalam sistem komputer utama.
Dan masih banyak lagi tujuan clan maksud yang lainnya namun tidak
disebutkan satu persatu.
2.2 Aspek-aspek dalam keamanan komputer
Keamanan komputer (computer security) melingkupi empat aspek,
yaitu privacy, integrity, authentication, dan availability. Se lain ha! di atas, masih
ada dua aspek lain yang berkaitan dengan electronic commerce, yaitu access
control clan non-repudiation.
2.2.1 Privacy I Confidentiality
Inti utama aspek privacy atau confidentiality adalah usaha untuk
menjaga informasi clari orang yang tidak berhak mengakses. Privacy lebih kearah
data-data yang sifatnya privat sedangkan confidentiality biasanya berhubungan
dengan data yang diberikan Ice pihak lain untuk keperluan tertentu (misalnya
10
sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk
keperluan tertentu tersebut. Usaha-usaha yang dapat dilakukan untuk
meningkatkan privacy dan confidentiality adalah dengan menggunakan teknologi
kriptografi (dengan enkripsi dan dekripsi).
2.2.2 Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin
pemilik inforrnasi. Adanya virus, trojan horse, atau pernakai lain yang mengubah
informasi tan pa ij in rnerupakan contoh rnasalah yang harus dihadapi. Penggunaan
enkripsi dan digital signature, rnisalnya, dapat rnengatasi rnasalah ini.
2.2.3 Authentication
Aspek ini berhubungan dengan metoda untuk rnenyatakan bahwa
inforrnasi betul-betul asli, orang yang rnengakses atau memberikan informasi
adalah betul-betul orang yang dimaksud, atau server yang kita hubungi adalah
betul-betul server yang asli.
2.2.4 Availability
Aspek availability atau ketersediaan berhubungan dengan ketersediaan
informasi ketika dibutuhkan. Contoh hambatan adalah serangan yang sering
clisebut clengan "denial of service attack!' (DoS attack), dimana server clikirimi
permintaan (biasanya palsu) yang bertubi-tubi.
11
2.2.5 Access Control
Aspek ini berhubungan dengan cara pengaturan akses kepada informasi.
2.2.6 Non-repudiation
· Aspek ini rnenjaga agar seseorang tidak dapat rnenyangkal telah
rnelakukan sebuah transaksi.
2.3 Beberapa cara pengamanan jaringan komputer
Pada umunya, pengamanan dapat dikategorikan menjadi dua jenis:
pencegahan (preventif! dan pengobatan (recovery). Usaha pencegahan dilakukan
agar sistem informasi tidak rnerniliki lubang keamanan, sementara usaha-usaha
pengobatan dilakukan apabila lubang keamanan sudah dieksploitasi. Pengamanah
sistem infonnasi dapat dilakukan melalui beberapa layer yang berbeda. Misalnya
di layer "transport", dapat digunakan "Secure Socket Layer" (SSL). Metoda ini
urnum digunakan untuk server web. Secara fisik, sistem anda dapat juga
diarnankan dengan rnenggunakan "firewall" yang memisahkan sistem anda
dengan Internet. Penggunaan teknik enkripsi dapat dilakukan di tingkat aplikasi
sehingga data-data anda atau e-mail anda tidak dapat dibaca oleh orang yang tidak
berhak.
2.3.1 Mengatnr akses (Access Control)
Salah satu cara yang umum digunakan untuk mengamankan informasi
adalah dengan rnengatur akses ke informasi melalui rnekanisme 'authentication'
12
dan 'access control'. lmplementasi dari mekanisme ini antara lain dengan
menggunakan 'password'. Di sistem UNIX dan Windows NT, untuk
menggunakan sebuah sistem atau komputer, pemakai diharuskan melalui proses
authentication dengan menuliskan 'userid' dan 'password'. Salah satu cara untuk
mempersulit pengacau untuk mendapatkan berkas yang berisi password
(meskipun terenkripsi) adalah dengan menggunakan 'shadow password'.
2.3.2 Menutup servis yang tidak digunakan
Seringkali sistem dalam ha! ini perangkat keras dan perangkat lunak
diberikan dengan beberapa servis dijalankan secarai default. Untuk mengamankan
sistem, servis yang tidak diperlukan dimatikan.
2.3.3 Memasang Proteksi
Untuk lebih meningkatkan keamanan sistem informasi, proteksi dapat
ditambahkan. Proteksi ini dapat berupa filter (secara umum) dan yang lebih
spesifik adalah firewall. Filter dapat digunakan untuk memfilter e-mail, informasi,
akses, atau bahkan dalam level packet. Firewall merupakan sebuah perangkat
yang diletakkan antara Internet dengan jaringan internal, Informasi yang keluar
atau masuk harus melalui firewall ini. Firewall bekerja dengan mengamati paket
IP (Internet Protocol) yang melewatinya. Berdasarkan konfigurasi dari firewall
maka akses dapat diatur berdasarkan IP address, port, dan arah informasi. Detail
dari konfigurasi bergantung kepada masing-masingfirewall.
13
2.3.4 Pemantau adanya serangan
Sistem pemantau (monitoring system) digunakan untuk mengetahui
adanya tamu tak diundang (intruder) atau adanya serangan (attack). Nama lain
dari sistem ini adalah "intruder detection system" (JDS). Sistem ini dapat
memberitahu administrator melalui e-mail maupun melalui mekanisme lain
seperti melalui pager.
2.3.4.1 Perangkat bantn IDS (Intrnssion Detection System)
Berikut adalah beberapa perangkat lunak bantu yang bisa digunakan
untuk pendeteksi penyusup :
Portsentry. Sebuah program bantu yang cukup "ringan" dan tidak begitu
sulit untuk mengkonfigurasikan dan menggunakannya. Cocok untuk
sistemjaringan kecil.
2 Snort. Program bantu ini berfungsi memeriksa data-data yang masuk dan
melaporkan ke administrator apabila ada "gerak-gerik" yang
mencurigakan. Bekerja dengan prinsip program sniffer yaitu mengawasi
paket-paket yang melewati jaringan.
3 LIDS (Linux Intrussiou Detection Sysfom) merupakan salah satu tools
IDS yang sangat baik dalam melindungi sistem. Ketika lids aktif, maka
bahkan root sekalipun mempunyai akses yang sangat terbatas sekali dalam
mengkonfigurasikan sistem.
4 Carnivore. Sebenarnya tools ini lebih bisa dianggap sebagai sniffer
daripada IDS. Dikembangkan di amerika, kini Carnivore oleh FBI
14
dipasang di semua server yang berfungsi sebagai tulang-punggung
(backbone) Internet yang ada di Amerika. Sehingga secara tidak langsung
Amerika telah menyadap semua data yang lewat dari seluruh penjuru
dunia. Perlu diketahui bahwa hampir semua server utama atau backbone
yang ada di dunia ini berlokasi di Amerika Serikat.
Dan masih banyak tools untuk IDS lainnya yang clapat digunakan untuk
lebih meningkatkan keamanan sistem.
2.3.5 Penggunaan Enkripsi untuk meningkatkan keamanan
Salah satau mekanisme untuk meningkatkan keamanan adalah dengan
menggunakan teknologi enkripsi. Data-data yang anda kirimkan diubah
sedemikian rupa sehingga tidak mudah disadap. Pada symmetric cryptography,
satu kunci yang sama digunakan untuk melakukan enkripsi dan dekripsi. Pada
sistem public-key cryptography, enkripsi dan dekripsi menggunakan kunci yang
berbeda. Telnet atau remote login digunakan untuk mengakses sebuah "remote
site" atau komputer melalui sebuah jaringan komputer. Akses ini dilakukan
dengan menggunakan hubungan TCP/IP dengan menggunakan userid dan
password. Informasi tentang userid dan password ini dikirimkan melalui jaringan
komputer secara terbuka. Akibatnya ada kemungkinan seorang yang nakal
melakukan "sniffing" dan mengumpulkan infonnasi tentang pasangan userid dan
password ini. Untuk menghindari ha! ini, enkripsi dapat digunakan untuk
melindungi adanya snijjing. Paket yang dikirimkan dienkripsi dengan algoritma
DES atau Blowish (dengan menggunakan kunci session yang dipertukarkan via
15
RSA atau Diffie-Helhnan) sehingga tidak dapat dibaca oleh orang yang tidak
berhak.
Selain dari bentuk antisipasi diatas diharap para administrator juga
harus melakukan bentuk pengamanan yang lain yaitu dengan memasang pemantau
integritas sistem, mengamati berkas-berkas log dan Backup data secara rutin.
Seteleh kita melakukan prosedur-prosedur diatas maka diharapkan
sistem keamanan jaringan kita dapat lebih terproteksi dari pihak-pihak yang tidak
bertanggung jawab.
2.4 Klasifikasi Kejahatan Komputer
Kejahatan komputer dapat digolongkan kepada yang sangat berbahaya
sampai ke yang hanya mengesalkan (annoying). Menurut David !cove
berdasarkan lubang keamanan, keamanan dapat diklasifikasikan menjadi empat:
2.4.1 Keamanan yang bersifat fisik (physical security):
Termasuk akses orang ke gedung, peralatan, dan media yang
digunakan. Beberapa bekas penjahat komputer (cracken) mengatakan bahwa
mereka sering pergi ke tempat sampah untuk mencari berkas-berkas yang
mungkin memiliki informasi tentang keamanan. Misalnya pernah diketemukan
coretan password atau manual yang dibuang tanpa dihancurkan. Wiretapping atau
hal-hal yang berhubungan dengan akses ke kabel atau komputer yang digunakan
juga dapat dimasukkan ke dalam kelas ini. Denial of service, yaitu akibat yang
ditimbulkan sehingga servis tidak dapat diterima oleh pemakai juga dapat
16
dimasukkan ke dalam kelas ini. Denial of service dapat dilakukan misalnya
dengan mematikan peralatan atau membanjiri saluran komunikasi dengan pesan
pesan (yang dapat berisi apa saja karena yang diutamakan adalah banyaknya
jumlah pesan). Beberapa waktu yang lalu ada lubang keamanan dari implementasi
protocol TCP/IP yang dikenal dengan istilah Syn Flood Attack, dimana sistem
(host) yang dituju dibanjiri oleh pennintaan sehingga dia menjadi terlalu sibuk
dan bahkan dapat berakibat macetnya sistem (hang).
2.4.2 Kcamanan yang bcrhnbnngan dengan orang (personcl)
Termasuk identifikasi, dan profit resiko dari orang yang mempunyai
akses (pekerja). Seringkali kelemahan keamanan sistem informasi bergantung
kepada manusia (pemakai dan pengelola). Ada sebuah teknik yang dikenal dengan
istilah "social engineering" yang sering digunakan oleh kriminal untuk berpura
pura sebagai orang yang berhak mengakses informasi. Misalnya kriminal ini
berpura-pura sebagai pemakai yang lupa passwordnya dan minta agar diganti
menjadi kata lain.
2.4.3 Keamanan dari data clan media serta teknik komunikasi
Yang termasuk di dalam kelas ini adalah kelemahan dalam software
yang digunakan untuk mengelola data. Seorang kriminal dapat memasang virus
atau trojan horse sehingga dapat mengumpulkan informasi (seperti password)
yang semestinya tidak berhak diakses.
17
2.4.4 Keamanan dalam operasi
Tennasuk prosedur yang digunakan untuk mengatur dan mengelola
sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack
recove1y).
2.5 Contoh Kasus Gangguan Pada jaringan komputer
Jebolnya sistem kemanan tentunya membawa dampak. Ada beberapa
contoh akibat dari jebolnya sistem keamanan, antara lain:
• 1988. Keamanan sistem mail sendmail dieksploitasi oleh Robert Tapan
Morris sehingga melumpuhkan sistem Internet. Kegiatan ini dapat
diklasifikasikan sebagai "denial of service attac/C'. Diperkirakan biaya
yang digunakan untuk memperbaiki dan hal-hal lain yang hilang adalah
sekitar $100 juta. Di tahun 1990 Morris dihukum (convicted) dan hanya
didenda $I 0.000.
• 10 Maret 1997. Seorang hacker dari Massachusetts berhasil mematikan
sistem telekomunikasi di sebuah airport lokal (Worcester, Massachusetts)
sehingga mematikan komunikasi di control tower dan menghalau pesawat
yang hendak mendarat. Dia juga mengacaukan sistem telepon di Rutland,
Massachusetts.
• 7 Februari 2000 (Senin) sampai dengan Rabu pagi, 9 Februari 2000.
Beberapa web terkemuka di dunia diserang oleh "distributed denial of
service attack" (DDoS attack) sehingga tidak dapat memberikan layanan
(down) selama beberapa jam. Tempat yang diserang antara lain: Yahoo!,
18
Buy.com, eBay, CNN, Amazon.com, ZDNet, E-Trade. FB mengeluarkan
tools untuk mencari program TRINOO atau Tribal Flood Net (TFN) yang
diduga digunakan untuk melakukan serangan dari berbagai penjurn dunia.
• 4 Mei 2001. Situs Gibson Research Corp. (grc.com) diserang Denial of
Service attack oleh anak berusia 13 tahun sehingga bandwidth dari
grc.com yang terdiri dari dua (2) Tl connection menjadi habis. Steve
Gibson kemudian meneliti software yang digunakan untuk menyerang
(DoS bot, SubSeven trojan), channel yang digunakan untuk berkomunikasi
(via JRC), dan akhirnya menemukan beberapa ha! tentang DoS attack ini.
Informasi lengkapnya ada di situs www.grc.com.
• Juni 200 I. Peneliti di UC Berkeley dan University of Maryland berhasil
menyadap data-data yang berada pada jaringan wireless LAN (IEEE
802.11 b) yang mulai marak digunakan oleh perusahaan-perusahaan.
2.6 Masalah keamanan yang berhnbnngan dengan Indou:esia
Meskipun Internet di Indonesia masih dapat tergolong baru, sudah ada
beberapa kasus yang berhubungan dengan keamanan di Indonesia. Dibawah ini
akan didaftar beberapa contoh masalah atau topik tersebut, yaitu:
• Akhir Januari 1999. Domain yang digunakan untuk Timar Timur (.TP)
diserang sehingga hilang. Domain untuk Timor Timur ini diletakkan pada
sebuah server di Irlandia yang bernama Connect-Ire/and. Pemerintah
Indonesia yang disalahkan atau dianggap melakukan kegiatan hacking ini.
Menurut keterangan yang diberikan oleh administrator Connect~Ireland,
19
18 serangan dilakukan secara serempak dari seluruh penjuru dunia. Akan
tetapi berdasarkan pengamatan, domain Timor Timur tersebut dihack dan
kemudian ditambahkan sub domain yang bernama "need.Ip". Berdasarkan
pengamatan situasi, "need.tp" merupakan sebuah perkataan yang sedang
dipopulerkan oleh "Beavis and Bullhead' (sebuah acara TV di MTV).
Dengan kata lain, crackers yang melakukan serangan tersebut
kemungkinan penggemar (atau paling tidak, pernah nonton) acara Beavis
dan Butthead itu. Jadi, kemungkinan dilakukan oleh seseorang dari
Amerika Utara.
• Januari 2000. Beberapa situs web Indonesia diacak-acak oleh cracker yang
menamakan dirinya "fabianclone" dan "naisenodni" (Indonesian dibalik).
Situs yang diserang tennasuk Bursa Efek Jakarta, BCA, Indosatnet. Selain
situs yang besar tersebut masih banyak situs lainnya yang tidak dilaporkan.
• Seorang cracker Indonesia (yang dikenal dengan nama he) tertangkap di
Singapura ketika mencoba menjebol sebuah perusahaan di Singapura.
• September dan Oktober 2000. Setelah berhasil membobol bank Lippo,
kembali Fabian Clone beraksi dengan menjebol web milik Bank Bali.
Perlu diketahui bahwa kedua bank ini member[kan layanan Internet
banking.
2. 7 Teori Ten tang Jaringan
Network atau jaringan, dalam bidang komputer dapat diartikan sebagai
dua atau lebih !computer yang saling berhubungan dan dapat berkomunikasi antara
20
kompute'i· satu dengan lainnya, sehingga akan menimbulkan suatu effisiensi,
sentralisasi dan optimasi kerja. Pada jaringan komputer yang dikomunikasikan
adalah data, satu komputer dapat berhubungan dengan komputer lain dan saling
berkomunikasi (salah satunya bertukar data) tanpa harus 1m:mbawa disket ke satu
komputer ke komputer lainnya seperti yang biasa kita lakukan. Ada beberapajenis
jaringan komputer dilihat dari cara pemrosesan data dan pengaksesannya.
2.7.1 Host-Terminal
Dimana terdapat sebuah atau lebih server yang dihubungkan dalam
suatu dumb terminal. Karena Dumb Terminal hanyalah sebuah monitor yang
dihubungkan dengan menggunakan kabel RS-232, maka pemrosesan data
dilakukan di dalam server, oleh karena itu maka suatu s1)rver haruslah sebuah
sistem komputer yang memiliki kemampuan pemrosesan data yang tinggi dan
penyimpanan data yang sangat besar.
2. 7.2 Client Server
Dimana sebuah server atau lebih yang dihubungkan dengan beberapa
client. Server bertugas menyediakan layanan, bennacam·macam jenis layanan
yang dapat diberikan oleh server, misalnya adalah pengaksesan berkas, peripheral,
database, dan lain sebagainya. Sedangkan client adalah sebuah terminal yang
menggunakan layanan tersebut. Perbedaannya dengan hubungan dumb terminal,
sebuah terminal client melakukan pemrosesan data di terminalnya sendiri dan hal
itu menyebabkan spesifikasi dari server tidaklah harus memiliki performansi yang
21
tinggi, dan kapasitas penyimpanan data yang besar karena sernua pernrosesan data
yang rnerupakan permintaan dari client dilakukan di terminal client.
2. 7 .3 Peer to Peer
Dimana terdapat beberapa terminal !computer yang dihubungkan
dengan media kabel. Secara prinsip, hubungan peer to peer ini adalah bahwa
setiap !computer dapat berfungsi serbagai server (penyedia layanan) dan client,
keduanya dapat difungsikan dalam suatu waktu yang bersamaan.
Sedangkan apabila kita lihat dari sisi lingkupan atau jangkauan,
jaringan dapat dibagi menjadi beberapa jenis, yaitu :
2.7.4 LAN (Local Area Network)
Hanya terdapat beberapa server dan ruang lingkupnya hanya terdapat
dalam satu lokasi atau gedung, Hal ini akan mendapat pembahasan tersendiri pada
sub bahasan berikutnya.
2.7.5 WAN (Wide Area Network)
Merupakan gabungan dari LAN, yang ruang lingkupnya dapat saja satu
lokasi, rnisalnya gedung be11ingkat, atau dapat tersebar di beberapa lokasi di
seluruh dunia, jaringan jenis ini rnembutuhkan minimal satu server untuk setiap
LAN, dan membutuhkan minimal dua server yang mempunyai lokasi yang
berbeda untuk membentuknya.
22
2.7.6 Intemet
Internet adalah sekumpulan jaringan yang berlokasi terse bar di seluruh
dunia yang sating terhubung membentuk satu jaringan besar !computer. Dalam
jaringan ini dibatasi layanannya sebagai berikut : FTP, E-Mail, Chat, Telnet,
Conference, News Group, Mailing List. Biasanya jaringan ini menggunakan
protokol TCP/IP, walaupun ada sebagian kecil yang menggunakan jenis lain (!PX
Novell Netware, NetBios, dan lain-lainnya).
2. 7. 7 Intranet
Jenis jaringan ini merupakan gabungan dari LAN/WAN dengan
Internet. Apabila kita lihat dari lingkupannya atau jangkauannya maka jaringan ini
adalah jenis LAN/WAN yang memberikan layanan seperti layanan internet
kepada terminal clientnya. Perbedaan mencolok Intranet dengan Internet adalah
Intranet melayani satu organisasi tertentu saja.
2.8 Penamaan Alamat IP (Logical Address)
IP Address digunakan untuk mengidentifikasi .interface jaringan pada
host dari suatu mesin. IP Address adalah sekelompok bilangan biner 32 bit yang
di bagi menjadi 4 bagian yang masing-masing bagian itu terdiri dari 8 bit (sering
disebut lPV 4). Umumnya penamaan yang digunakan adalah berdasarkan bilangan
desimal.
23
2.8.1 Pembagian kelas IP
Alamat IP dibagi menjadi kelas-kelas yang masing-masing mempunyai
kapasitas jumlah IP yang berbeda-beda. Pada Tabel 1.1 ditampilkan kelas-kelas
pengalamatan IP. Pada tabel tersebut x adalah NetlD dan y adalah HostlD
Ke las Fonnat Ki saran Jumlah IP
A Oxxxxxxx. yyyyyyyy. yyyyyyyy. yyyyyyy 0.0.0.0-127.255 .255.255 16.777.214
B I Oxxxxxx.yyyyyyyy. yyyyyyyy. yyyyyyy 128.0.0.0-l ') 1.255.255.255 65.532
c 11 Oxxxxx. yyyyyyyy. yyyyyyyy. yyyyyyy 192.0.0.0 -?.23.255.255 254
Tabet 1: Pembagian kelas IP
2.8.2 Subnetting
Subnetting adalah pembagian suatu kelompok alamat IP menjadi
bagian-bagian yang lebih kecil lagi. Tujuan dalam melakukan subnetting ini
adalah:
I. Membagi suatu kelasjaringan menjadi bagian-bagian yang lebih kecil.
2. Menempatkan suatu host, apakah berada dalam satu jaringan atau
tidak.
3. Keteraturan
Kelas A subnet : 11111111.0000000.00000000.00000000 (255.0.0.0)
Kelas B subnet: 11111111.11111111.00000000.00000000 (255.255.0.0)
Ke las c subnet 11111111.11111111.11111111.00000000
(255-255.255.0)
24
Misal suatu jaringan dengan IP jaringan 192.168.10.0 ingin rnernbagi rnenjadi 5
jaringan kecil (rnasing-rnasing 48 host), yang artinya harus dilakukan proses
subnetting dalarn jaringan tersebut. Langkah pertarna yang harus kita lakukan
adalah rnernbagi IP jaringan tersebut (192.168.10.0 <- kelas C) rnenjadi blok-blok'
yang rnasing-masing blok minimal terdiri dari 48 host. Seperti kita telah ketahui
bahwa tiap-tiap kelas C mempunyai 255 IP rnaka perhitungannya adalah sebagai
berikut:
255/5=51
masing-rnasing subnet rnempunyai 49 alamat IP (masing-masing diarnbil 2 untuk
IP broadcast dan IP network).
Berikut adalah pengelornpokan dari jaringan-jaringan tersebut :
l. 192.168.10.0 - 192.168. J 0.50 digunakan oleh jaringan I
2. 192.168. l 0.51 - 192.168.10.10 I digunakan oleh jaringan 2
3. 192.168. I 0.102 - 192.168.10.152 digunakan oleh jaringan 3
4. 192.168. l 0.153 - 192.168.10.203 digunakan oleh jaringan 4
5. 192.168.10.204 - 192.168.10.224 digunakan oleh jaringan 5
Untuk pernbagian 51 host : 51 = 00110011 (biner). Nilai 8 bit
tertinggi dari subnetting kelas C adalah : 255 = 11111111
00110011
------------- (negasi)
11001100 (8 bit terakhir dari subnet kelas C) = 204 ,
rnaka IP subnetmask nya: 255.255.255.204
25
2.9 Model rcfercnsi OSI clan Standarisasi
Untuk menyelenggarakan komunikasi berbagai macam vendor
komputer diperlukan sebuah aturan baku yang standar dan disetejui berbagai
pihak. Seperti halnya dua orang yang berlainan bangsa, maka untuk
berkomunikasi memerlukan penerjemah/interpreter atau satu bahasa yang
dimengerti kedua belah fihak. Dalarn dunia komputer dan telekomunikasi
interpreter identik dengan protokol. Untuk itu maka badan dunia yang menangani
rnasalah standarisasi ISO (International Standardization Organization) membuat
aturan baku yang dikenal dengan narna model referensi OSI (Open Sistem
Interconnection). Dengan demikian diharapkan semua vendor perangkat
telekomunikasi haruslah berpedoman dengan model referensi ini dalam
rnengembangkan protokolnya.
Model referensi OSI terdiri dari 7 lapisan, mulai dari lapisan fisik
sampai dengan aplikasi. Model referensi ini tidak hanya berguna untuk produk
produk LAN saja, tetapi dalam membangung jaringan Internet sekalipun sangat
diperlukan. Hubungan antara model referensi OSI dengan protokol Internet bisa
dilihat dalam Tabel Hubungan referensi model OSI dengan protokol Internet.
(lihat Jampiran).
Standarisasi masalah jaringan tidak hanya dilakukan oleh ISO saja,
tetapi juga diselenggarakan oleh badan dunia lainnya sep(:rti ITU (International
Telecommunication Union), ANSI (American National Standard Institute), NCITS
(National Committee for Information Technology Standardization), bahkan juga
oleh lembaga asosiasi profesi IEEE (Institute of Electrical and Electronics
26
Enginee1's) dan A TM-Forum di Amerika. Pada prakteknya bahkan vendor-vendor
produk LAN bahkan memakai standar yang dihasilkan IEEE. Kita bisa lihat
misalnya badan pekerja yang dibentuk oleh IEEE yang banyak membuat
standarisasi peralatan telekomunikasi sepe1ii yang t.ertera pada tabel badan pekerja
di IEEE (Lihat lampiran).
2.10 Port
Port sangat penting dalam proses komunikasi data, baik itu melalui
koneksi TCP/IP maupun UDP.
2.10.1 Definisi port
Ada beberapa macam definisi port berdasarkan fisik dan logic tetapi
fungsi yang dihasilkan tetap sama yaittJ, berfungsi sebagai jembatan atau saluran
penghubung antara suatu device ke device yang lainnya atau bisa juga sebagai
logis yang mengidentifikasi suatu protocol komunikasi.
2.10.1.1 Definisi port yang diambil dari situs http://www.redhat.com :
1. Port adalah suatu soket atau st.op kontak yang digunakan untuk
menghubungkan peralatan eksternal seperti keyboard, alat penunjuk,
scanners, dan printers ke sistem komputer
27
"A socket used to connect external peripherals such a~: keyboards, pointing
devices, scanners, and printers to computer systems. " 1
2. Di dalam suatu jaringan komunikasi, port adalah suatu saluran logis yang
rnengidentifikasi suatu protocol komunikasi, seperti po1t 23 untuk koneksi
secure shell (ssh)
"ln a communications network, a logical channel which identifies a
communications protocol, such as port 23 for Secure Shell (SSHl
connections."
2.10.1.2 definisi port berdasarkan situs
http ://seen rityresponse.syma ntec.co 111
1. Port adalah suatu penempatan perangkat keras untuk megirim atau
melewatkan data keluar atau masuk pada suatu device komputer. Komputer
mempunyai beberapa jenis port, termasuk yaitu port internal untuk
menghubungkan disk drive, monitor, dan keyboard. Dan sepetti juga halnya
pelabuhan eksternal digunakan untuk menghubungkan modem, printer,
mouse dan berbagai peralatan lainnya.
"A hardware location for passing data in and out of a computing device.
Personal computers have various types of po1ts, including internal ports for
1 http:/ /\vww .redhal.con1/ docs/glossary/i ndex.htn1l#P
28
connecting disk drives, monitors, and keyboards, as well as external ports, for
connecting modems, printers, mouse devices, and other peripheral devices."2
2. Pada jaringan komunikasi TCP/IP dan UDP, port adalah nama yang
diberikan kepada suatu titik akhir dari sebuah koneksi logis. Angka-angka
port mengidentifikasi jenis port. Sebagai contoh, komunikasi data TCP/IP dan
UDP kedua-duanya menggunakan port 80 sebagai transportasi data HTTP.
Suatu ancaman keamanan pada jaringan komputer bisa menggunakan port
port te1tentu pada jaringan komunikasi TCP/IP.
"In TCP/IP and UDP networks, port is the name given to an endpoint of a
logical connection. Port numbers identify types of ports. For example, both
TCP and UDP use port 80 for transporting HTTP data. A threat may attempt
to use a particular TCP/IP port."'
Keterangan lengkapnya lihat tabel port pada halaman lampiran.
2.11 Sejarah dan konsep IPTABLES
Ip tables adalah perisian untuk mengawal modul .firewall dalam kernel
Linux versi 2.4 keatas yang disebut netfilter. Untuk m<!mahami penggunaan
iptables, pemahaman mengenai firewall dan konsep dasar TCP/IP harus sudah
2 htlp://securityresponse.symantec.com/avcenter/refa.htm!#p
3 http :// securi tyres po nse. sy1nan tec.con1/ a vcen ter/refa. html #p
29
dikuasai. Waiau bagairnanapun, ini akan rnenguraikan konsep dasar firewall yang
bisa digunakan aplikasi firewall lain.
Pengetahuan dasar mengenai TCP/IP harus sudah dikuasai karena ha!
ini rnerupakan dasar dari penggunaan IPTables. Ada banyak resource yang
mendokumentasikan konsep dasar tentang TCP/IP, baik itu secara online maupun
cetak.
Hal berikutnya yang harus dipersiapkan oleh pengguna adalah sebuah
komputer yang terinstall Linux. komputer tersebut sedikitnya memiliki 2 buah
network interface card, sebab hal ini bisa menjalankan fungsi packet forwarding.
Disarankan seorang user menggunakan linux dengan kernel 2.4 ke atas, karena
linux dengan kernel 2.4 ke atas sudah merniliki dukungan Iptables secara default,
sehingga tidak perlu rnengkompilasi ulang kernel yang sedang digunakan. Bagi
yang menggunakan kernel 2.2 atau sebelumnya, harus melakukan kompilasi
kernel untuk memasukkan dukungan Iptables. Dalam penelitian di PT. PLN
(Persero) (Persero) P3B kami menggunakan Linux Mandrake Versi 8.0 yang
sudah menggunakan kernel 2.4.
Gb. I Konsep dasar sebuah Firewall
30
2.11.l Keunggulan pada IPTABLES.
Iptables memiliki keunggulan dibanding dengan firewall lain sepe1ii
lpchains, antara lain adalah dengan adanya penambahan Table NAT, Mangle, dan
Tanda pada setiap paket yang di filter. Linux mandrake versi 8.0 maupun redhat
versi 7.1 yang mendukung kernel versi 2.4.x tentu clidalam distribusinya
menyertakan paket Iptables. Didalam paket Iptables ini disertakan program
program dasar termasuk file konfigurasi yang siap dipakai.
Namun pada beberapa milis sering dipertanyakan, mengapa Jptables
tidak dapat beke1ja? Secara sederhana, jawabannya adalah modul paket Iptable
tersebut tidak diaktifkan atau malah tidak terinstalasi sama sekali.
BAB III
METODOLOGI PENELITIAN
3.1 Analisa Tekr.is
Ada beberapa analisa teknis yang digunakan dalam melakukan penelitian
ini, yaitu seperti yang digambarkan bagan dihalaman berikut:
Installing Iptables
Konfigurasi Iptables
Testing Konfigurasi
Analisa Hasil
Usulan Solusi
Pembahasan pacla BAB IV I
Pembahasan pada BAB IV I
Pembahasan pada BAB IV I
Gambar.2 Bagan analisa teknis
3.1.1 Installing lptables
Untuk instalasi dan konfigurasi Iptables sebenamya Linux Mandrake
atau RedHat sudah menye1iakannya dalam paket linux versi terbam. Dan setelah
32
terinstal maka sudah ada aturan-aturan baku yang dapat dijadikan bahan untuk
pengembangan lebih lanjut. Skrip dasar ini terdapat pada direktori
/etc/rc.d/init.d/iptables.
Iptables memiliki tiga macam daftar aturan bawaan dalam tabel
penyaringan, daftar terse but dinamakan rantai firewall (firewall chain) a tau sering
disebut chain saja. Ketiga chain tersebut adalah INPUT, OUTPUT dan
FORWARD.
~-••_"'-T~l-:::::::::>(2"~"§"'~"~"'E''::::c=~ Foaw~ _ MA~HIK j ROUTIUG ~
INPIJY PftO-:;;;-i__ LO~
l"Al<l.IT J<lit.UAR
Gambar .3. Diagram rantai firewall (firewall c:hain)
Pada diagram tersebut, lingkaran menggambarkan ketiga nmtai atau
chain. Pada saat sebuah paket sampai pada sebuah lingkaran, maka disitulah
te1jadi proses penyaringan. Rantai akan memutuskan nasib paket tersebut. Apabila
keputusammya adalah DROP, maka paket tersebut akan di-drop. Tetapi jikarantai
memutuskan untuk ACCEPT, maka paket akan dilewatkan melalui diagram
terse but.
Sebuah rantai adalah aturan-aturan yang telah ditentukan. Setiap aturan
menyatakan ''.iika paket memiliki infomiasi awal (header) seperti ini, maka inilah
yang harus dilakukan terhadap paket". Jika aturan terse but tidak sesuai dengan
paket, maka aturan berikutnya akan memproses paket tersebut. Apabila sampai
33
aturan terakhir yang ada, paket tersebut belum memenuhi salah satu aturan, maka
kernel akan melihat kebijakan bawaan (default) untuk memutuskan apa yang
hams dilakukan kepada paket tersebut. Ada dua kebijakan bawaan yaitu default
DROP dan default ACCEPT.
Jalannya sebuah paket melalui diagram tersebut bisa dicontohkan
sebagai berikut:
3.1.1.1 Perjalanan paket yang diforward ke host yang lain,
1. Paket berada pada jaringan fisik, contoh internet.
2. Paket masuk ke interface jaringan, contoh ethO.
3. Paket masuk ke chain PREROUTING pada table Mangle. Chain ini berfungsi
untuk me-mangle (menghaluskan) paket, seperti mernbah TOS, TTL dan Jain-lain.
4. Paket masuk ke chain PREROUTING pada tabel nat. Chain ini berfungsi
utamanya untuk melakukan DNAT (Destination Network Address
Translation).
5. Paket mengalami keputusan routing, apakah akan diproses oleh host lokal atau
diternskan ke host Jain.
6. Paket masuk ke chain FORWARD pada tabel filter. Disinlah proses
pemfilteran yang utam.a terjadi.
7. Paket masuk ke chain POSTROUTJNG pada tabel nat. Chain ini berfungsi
utamanya untuk melakukan SNAT (Source Network Address Translation).
34
8. Paket keluar menuju inte1face jaringan, contoh elhl.
9. Pak et kembali berada pada jaringan fisik, contoh LA1'1. Libat gambar pada lampiran
3.1.1.2 Pcrjalanau pakct yang ditujukan bagi host Iolrnl
I. Paket berada dalamjaringan fisik, contoh internet.
2. Paket masuk ke inteiface jaringan, contoh ethO.
3. Paket masuk ke chain PREROUTING pada tabel mangle.
4. Paket masuk ke chain PREROUTING pada tabel nat.
5. Paket mengalami kepu.tusan routing.
6. Paket ·masuk ke chain INPUT pada tabel filter untuk mengalami proses
penyaringan.
7. Paket akan diterima oleh aplikasi lokal.
3.1.1.3 Pcrjalanan paket yang berasal dari host lokal
I. Aplikasi lokal menghasilkan paket data yang akan dikirimkan melalui
jaringan.
2. Paket memasuki chain OUTPUT pada tabel mangle.
3. Paket memasuki chain OUTPUTpada tabel nat.
4. Paket memasuki chain OUTPUT pada tabel.filter.
35
5. Pake! mengalami keputusan routing, seperti ke mana paket hams pergi dan
melalui interface mana.
6. Paket masuk ke chain POSTROUTING pada label NAT.
7. Paket masuk ke inte1face jaringan, contoh ethO.
8. Paket berada padajaringan fisik, contoh internet.
3.1.1.4 Sintaks IPTables
Secara umum sintaks iptables dapat dilihat dibawah ini:
iptables {-t table} command {match} [target/jump J
3.1.1.4.1 Table
Iptables memiliki 3 buah tabel, yaitu NAT, MANGLE dan FILTER.
Penggunannya disesuaikan dengan sifat dan karakteristik masing-masing. Fungsi
dari masing-masing tabel tersebut lihat pada halaman lampiran.
a. NAT : Secara umum digunakan untuk melaknkan Network Address
Translation. NAT·adalah penggantianfield alamat asal atau alaniat tujuan
dari sebuah paket.
b. MANGLE : Digunakan untuk melaknkan penghalusan (mangle) paket,
seperti TTL, TOS dan MARK.
36
c. FILTER : Secara umum, inilah pemfilteran paket yang sesungguhnya ..
Di sini bisa dintukan apakah paket akan di-DROP, LOG, ACCEPT atau
REJECT
3.1.1.4.2 Command
Command pada baris perintah IPTables akan memberitahu apa yang harus
dilakukan terhadap lanjutan sintaks perintah. Umumnya dilakukan penambahan atau
penghapusan sesuatu dari tabel atau yang lain.
3.1.1.4.3 Option
Option digunakan dikombinasikan dengan command tertentu yang akan
menghasilkan suatu variasi perintah.
3.1.1.4.4 Generic Matches
Generic Matches arlinya pendefinisian kriteria yang berlaku secara umum.
Dengan kata lain, sintaks generic matches akan sarna untuk se:mua protokol. Setelah
protokol didefnrisikan, maka baru didefmisikan aturan yang Jebih spesifik yang
dimiliki oleh protokol tersebut. Hal ini dilakukan karena tiap-tiap protokol memiliki
karakteristik yang berbeda, sehingga memerlukan perlakuan khusus.
3.1.1.4.5 Implicit Matches
Implicit Matches adalah match yang spesifik untuk tipe protokol
tertentu. Implicit Match merupakan sekumpulan rule yang akan diload setelah tipe
37
protokol disebutkan. Ada 3 Implicit Match berlaku untuk tigajenis protokol, yaitu
TCP matches, UDP matches dan ICMP matches.
3.1.1.4.6 TCP matches
Client Firewall Server
Gambar.4 TCP Matches
3.1.1.4.7 UDP Matches
Karena protokol UDP bersifat connectionless, maka tidak ada flags
yang mendeskripsikan status paket untuk untuk membuka atau menutup koneksi.
Paket UDP juga tidak memerlukan acknowledgement. Sehingga Implicit Match
untuk protokol UDP lebih sedikit dari pada TCP. Ada dua macam match untuk
UDP:
--sport atau --source-port
--dport atau --destination-port
38
[Client ~_F_i_rewal __ I _ _,__s_e_n_·~
Gambar.5 UDP Matches
3.1.1.4.8 ICMP Matches
Paket ICMP digunakan untuk mengirimkan pesan .. pesan kesalahan dan
kondisi-kondisi jaringan yang lain. Hanya ada satu implicit match untuk tipe protokol
ICMP, yaitu :
--icmp-type
Client Firewall Server
Gambar.6 ICMP Matches
3.1.1.4.9 Explicit Matches
Ada beberapa bagian dari Explicit Matches, yaitu :
39
3.1.1.4.9.1 MAC Address
Match jenis ini berguna untuk melakukan pencocokan paket
berdasarkan MAC source address. Perlu diingat bahwa MAC hanya berfungsi
untuk jaringan yang menggunakan teknologi ethernet.
iptables -A INPUT -m mac -mac-source 00:00:00:00:00:01
3.1.1.4.9.2 Multiport Matches
Ekstensi Multiport Matches digunakan untuk mendefinisikan port atau
port range lebih dari sati:i, yang berfungsi jika ingin didefinisikan aturan yang
sama untuk beberapa port. Tapi hal yang perlu diingat bahwa kita tidak bisa
menggunakan port matching standard dan multiport matching dalam waktu yang
bersamaan.
iptables -A INPUT-p tcp -m multiport --source-port 22,53,80,J I 0
3.1.1.4.9.3 Owner Matches
Penggunaan match ini untuk mencocokkan paket berdasarkan pembuat
atau pemiliklowner paket terse but. Match ini bekerja dalam chain OUTPUT, akan
tetapi penggunaan match ini tidak terlalu luas, sebab ada beberapa proses tidak
memiliki owner.
iptab/es -A OUTPUT-m owner --uid-owner 500
40
Kita juga bisa memfilter berdasarkan group ID de:ngan sintaks --gid
owner. Salah satu penggunannya adalah bisa mencegah user selain yang
dikehendaki untuk mengakses internet rnisalnya.
3.1.1.4.9.4 State Matches
Match ini rnendefinisikan state apa saja yang cocok. Ada 4 state yang
berlaku, yaitu NEW, ESTABLISHED, RELATED dan INVALJD. NEW digunakan
untuk paket yang akan mernulai koneksi barn. ESTABLISHED digunakan jika
koneksi telah tersarnbung dan paket-paketnya rnernpakan bagian dari koneki
tersebut. RELATED digunakan untuk paket-paket yang bukan bagian dari
koneksi tetapi rnasih berhubungan dengan koneksi tersebut, contolmya adalah
FTP data transfer yang menyertai sebuah koneksi TCP atau UDP. INVALID
adalah paket yang tidak bisa diidentifikasi, bukan mernpakan bagian dari koneksi
yang ada.
iptables -A INPUT-rn state --state RELATED,ESTABLISHED
3.1.1.4.10 Target/Jump
Target atau jump adalah perlakuan yang diberikan terhadap paket-paket
yang mernenuhi kriteria atau match. Jump rnemerlukan sebuah chain yang lain
dalam tabel yang sama. Chain tersebut nantinya akan dimmmki oleh paket yang
mernenuhi kriteria. Analoginya iitlah chain barn nanti berlaku sebagai
prosedur/fungsi dari program utanm. Sebagai contoh dibuat sebuah chain yang
41
bemama tcp _packets. Setelah ditambahkan aturan-aturan ke dalam chain tersebut,
kemudian chain tersebut akan direferensi dari chain input.
iptables -A INPUT-p tcp -j tcp _packets
3.l.1.4.11 Parameter Tambahan
Beberapa target yang lain biasanya memerlukan parameter tambahan:
3.1.1.4.11.1 LOG Target
Ada beberapa option yang bisa digunakan bersamaan dengan target ini.
Yang pertama adalah yang digunakan untuk menentukan tingkat log. Tingkatan
log yang bisa digunakan adalah debug, info, notice, warning, err, crit, alert dan
emerg.Yang kedua adalah -j LOG --log-prefix yang digunakan untuk memberikan
string yang tertulis pada awalan log, sehingga memudahkan pembacaan log
terse but.
iptables -A FORWARD-p tcp-j LOG --log-level debug
iptables-A INPUT-p tcp-j LOG --log-prefix "INPUT Packets"
3.1.1.4.11.2 REJECT Target
Secara umum, REJECT bekerja seperti DROP, yaitu memblok paket
dan menolak untuk memproses lebih lanjut paket tersebut. Tetapi, REJECT akan
mengirimkan error message ke host pengirim paket tersehut. REJECT bekerja
42
pada chain INPUT, OUTPUT dan FORWARD atau pada chain tambahan yang
dipanggil dari ketiga chain tersebut.
iptables -A FORWARD -p tcp -dport 22 -j REJECT--reject-with icmp
host-unreachable
Ada beberapa tipe pesan yang bisa dikirirnkan yaitu icmp-net-
unreachable, icmp-host-unreachable, icmp-port-unreachable, icmp-proto-
unrachable, icmp-net-prohibited dan icmp-host-prohibited.
3.1.1.4.11.3 SNAT Target
Target ini berguna untuk melakukan perubahan alamat asal dari paket
(Source Network Address Translation). Target ini berlaku untuk tabel nat pada
chain POSTROUTING, dan hanya di sinilah SNAT bisa dilakukan. Jika paket
pe1tama dari sebuah koneksi mengalami SNAT, maka paket-paket berikutnya
dalam koneksi terse but juga akan mengalami ha! yang sama.
iptables -t nat -A POSTROUTING -o ethO -j SNAT --to-source
194.236.50.155-194.236.50.160: 1024-32000
3.1.1.4.11.4 DNAT Target
Berlawanan dengan SNAT, DNAT digunakan untuk melakukan
translasi field alamat tujuan (Destination Network Address Translation) pada
header dari paket-paket yang memenuhi kriteria match. DNAT hanya bekerja
43
untuk tabel nat pada chain PREROUTING dan OUTPUT atau chain buatan yang
dipanggil oleh kedua chain tersebut.
iptables -t nat-A PREROUTING-p tcp -d 15.45.23.67 --dport 80-j
DNAT--to-destination 192.168. 0.2
3.1.1.4.11.5 MASQUERADE Target
Secara umum, target MASQUERADE beketja dengan cara yang han1pir
sanm seperti target SNAT, tetapi target ini tidak memerlukan option --to-source.
MASQUERADE memang didesain untuk beke1ja pada komputer dengan koneksi
yang tidak tetap seperti dial-up atau DHCP yang akan memberi pada kita nomor IP
yang berubah-ubah. Seperti halnya pada SNAT, target ini hanya bekerja untuk tabel
nat pada chain POSTROUTING.
iptables -t nat -A POSTROUTING-o pppO-j MASQUERADE
3.1.1.4.11.6 REDIRECT Target
Target REDIRECT digunakan untuk mengalihka11 jwusan (redirect) paket
ke mesin itu sendiii. Target ini wnunmya digunakan W1hlk mengarahkan paket yai1g
menuju suatu port tertentu untuk memasuki suatu aplikasi proxy, lebih jauh lagi ha!
ini sangat bergW1a untuk membangW1 sebuah sistem jai'ingart yai1g menggW1akan
transparent prmy. Contolmya kita iI1gin menga!ihkai1 semua koneksi yang menuju
port http untuk memasuki aplikasi http proxy misalnya squid. Target ini hai1ya
44
bekerja untuk tabel nat pada chain PREROUTING dm1 OUTP1JT atau pada chain
buatan yang dipanggil dari kedua chain tersebut.
iptables -t nat -A PREROUTING-i ethl -p tcp --dport 80-j REDIRECT--to-port
3128
3.1.2 Konfigurasi Iptables
Konfigurasi lptables terdiri dari tujuh file konfigurasi. Berikut ini
adalah konfigurasi lptables sebagai firewall.
File rc.fircwall •• fircwall
#!/bin/bash
BASEDIR= 11 /root/firewall 11
if -f $BASEDIR/config.txt ]; then
. $BASEDIR/config.txt
fi
##########################################ii################
###########
#
# kernel modules and ip forwarding capability
#
#
$DEPMOD -a
$MODPROBE ip_tables #Panggil modul ip_tables
$MODPROBE ip'_conntrack # Panggil modul ip_~onntrack
$MODPROBE iptable_filter # Panggil modul iptables_filter
$MODPROBE iptable_nat # Panggil modul iptables_nat
$MODPROBE iptable_mangle # Panggil modul iptables_mangle
$MODPROBE ipt_LOG # Panggil modul ipt_LOG
$MODPROBE ipt_mac # Panggil rnodul ipt_mac
$MODPROBE ipt_MASQUERADE # Panggil modul ipt_Ml\SQUERADE
$MODPROBE ipt_REJECT # Panggil modul ipt_FtEJECT
$MODPROBE ipt_state # Panggil modul ipt_state
$MODPROBE ip_nat_ftp # Panggil modul ipt_nat_ftp
$MODPROBE ip_conntr_ftp #Panggil modul ip __ conntr_ftp
$MODPROBE ip_nat_irc # Panggil modul ipt_nat_irc
$MODPROBE ip_conntr_irc # l?anggil modul i1>t_conntr_irc
echo l > /proc/sys/net/ipv4/ip_forward
Konfigurasi Iptables selengkapnya lihat pada lampiran
3.1.3 Testing Konfigurasi
45
Testing konfigurasi menggunakan webtools grc.com, Symantec.com dan
venicejlorida.com. pembahasan secara mendetail disajikan pada Bab IV.
3.1.4 Analisa Basil
Analisa hasil probing yang telah dilakukan, dibuat berdasarkan parameter
parameter stealth, close.open untuk port-port yang diuji. Pembahasan lebih detail
di diuraikan pada Bab IV.
46
3.1.5 Usulan Solusi
Usulan solusi merupakan bagian dari penelitian skripsi ini. Solusi tersebut
diu~;ulkan sebagai bentuk antisipasi dari serangan-serangan yang dilakukan oleh
pihak-pihak luar. Bahasan selengkapnya pada Bab IV.
3.3 Telmik Analisa Data
Teknik yang digunakan dalam menganalisis data adalah dengan
menguji secara langsung objek yang akan diuji di situs internet
http://www.grc.com dan http://www.symantec.com,
http://www.veniceflorida.com yang menyediakan fasilitas scan dan probing port,
parameter yang akan dijadikan acuan berhasil atau tidaknya sistem keamanan
jaringan dalam melindungi semua unsur yang terdapat dalam jaringan adalah
sebagai berikut:
1. Hasil yang didapat untuk port 21,23,25,79,80 adalah stealth maka firewall
dinyatakan tangguh dalam pengertian firewall tersebut dapat melindungi
sistem jaringan.
2. Hasil yang didapat untuk port 21,23,25,79,80 adalah close maka firewall
tersebut beresiko mengalami penerobosan oleh cracker yang pintar, tapi
kondisinya masih dalam taraf aman.
3. Jika hasil yang didapat untuk port 21,23,25,79,80 adalah open maka firewall
tersebut gaga! melindungi sistem jaringan.
47
Berikut ini adalah tabel.2 contoh deskripsi basil pengujian yang dilakukan
Port Service Acuan status 1 Acuan status 2 Acuan status 3
21 FTP Stealth! Close Open
Baik Kurang Baik I Hati-hati Gaga! I Buruk
23 Telnet Stealth! Close Open
Baik Kurang Baik I Hati-hati Gaga! I Buruk
25 SMTP Stealth! Close Open
Baik Kurang Baik I Hati-hati Gaga! I Burnk
79 Finger Stealth! Close Open
Baik Kurang Baik I Hati-hati Gaga! I Buruk
80 HTTP Stealth! Close Open
Baik Kurang Baik I Hati-hati Gaga! I Burnk
Dari data-data hasil analisa sistem tersebut dengan mudah dapat
disimpulkan apakah sistem Keamanan Jaringan dengan aplikasi Iptables tersebut
dapat mengamankan jaringan dengan baik atau tidak.
BAB IV
ANALISA DAN USULAN SOLUSI
SISTEM KEAMANAN JARINGAN
4.1 Lokasi Penelitian
Lokasi penelitian dilakukan pada PT. PLN (Persero) Penyalman dan
Pusat Pengatur Beban Jawa-Bali Sub Bidang Teknologi Infommsi yang berkaitan
sekali denganjudul yang diambil penulis, yang berlokasi di Cinere Jakarta Selatan.
4.1.1 Sejarah Singkat. ·
Dengan terbitnya Surat Keputusan Direksi PT PLN (Persero) Nomor
257 .K/O I O/DIR/2000 tanggal 2 November 2000, tentang Pembentukan Organisasi
dan Tata Kerja Unit Bisnis Strategis Penyalnran dan Pusat Pengatur Beban Jawa
Bali, maka PT PLN (Persero) P3B yang merupakan unit pusat laba (profit center)
berubah menjadi unit pusat investasi (investment center) dengan nama Penyaluran
dan Pusat Pengatur Beban Jawa Bali (P3B).
4.1.2 Perkemba11ga11 Pcrnsabaan.
PT. PLN (Persero) P3B merupakan perusahan yang dituntut untuk
dapat memberikan layanan yang semaksimal dan sebaik mungkin karena
fungsinya sangat penting, untuk itu PT. PLN (Persero) P3B harus memiliki visi
dan misi, tinjauan organisasi, dan ruang lingkup usaha untuk dapat memberikan
layanan yang sebaik mungkin, adapun isi dari visi dan misi itu adalah :
49
4.1.2.1 V'isi
Diakui sebagai pengelola transmisi, operasi sistem dan transaksi tenaga
listrik dengan kualitas pelayanan setara kelas dunia, yang mampu memenuhi
harapan stakeholders, dan memberikan kontribusi dalam peningkatan
kesejahteraan masyarakat.
4.l.2.2 Misi
1. Melakukan usaha transmisi tenaga listrik yang efisien, andal, an1an dan
ramah lingkungan;
2. Melaksanakan pengelolaan operasi sistem tenaga listrik yang andal,
aman, bennutu dan ekonomis;
3. Melaksanakan pengelolaan transaksi tenaga listrik yang transparan dan
kredibel;
4. Melaksanakan pengembangan dan pemberdayaan sumberdaya manusia
(SDM) yang kompeten dan profesional;
5. Mengembangkan usaha di luar usaha pokok yang dapat memberikm1
konllibusi pada perolehan laba usaha.
4.1.3 STRUKTUR ORGANISASI.
Struktur organisasi terdiri dari dua kata, yaitu kata s.truktur yang berarti
kata susunan atau bentuk, sedangkan organisasi adalah sekumpulan orang yang
50
beke1ja secara bersama untuk mencapai suatu tujuan. Jadi struktur organisasi yaitu
susunan atau bentuk yang terdiri dari sekumpulan orang yang masing-masing
mempunyai tugas dan tanggung jawab berbeda se1ia sating bekerja secara
bersama untuk mencapai suatu tujuan.
Struktur organisasi PT. PLN (Persero) P3B merupakan suatu kumpulan
unit kegiatan kantor besar, terdiri dari region-region yang masing-masing region
didukung pula oleh UPT (Unit Pelayanan Transmisi), UJT (Unit Jasa Teknik) dan
sub region saling terkoneksi dengan jaringan internet.
Berikut daftar unit Penyaluran PT PLN (Persero) P3B:
I. PT. PLN (Persero) Region Jawa-Banten.
2. PT. PLN (Persero) Region Jawa Baral.
3. PT. PLN (Persero) Region Jawa Tengah dan DIY.
4. PT. PLN (Persero) Region Jawa Timur
5. PT. PLN (Persero) Sub Region Bali
Peranan dan tu gas staf-staf yang terkait secara langsung dan bertanggung
jawab dengan pengoperasian dan penggunaan semua fasilitas komputerisasi pada
jaringan LAN dan WAN baik itu internet, extranet dan internet di PT. PLN
(Persero) P3B dipaparkan sebagai berikut:
);> Sub Bidang Teknologi Infonnasi :
1. Sistem Analyst.
Fungsi dan Tanggungjawab:
+ Menganalisa dan mendefinisikan kebutuhan aplikasi baik itu yang
ada (existing) atan yang baru akan dibuat.
51
+ Merancang ( desain aplikasi) a tau mengimprovisasi : proses sistem
yang sedang berjalan sesuai dengan kebutuhan saat ini dan yang
akan datang.
+ Membuat persiapan untuk spesifikasi kebutuhan sistem
pengembangan atau aplikasi sebagai acuan petmtjuk programmer.
+ Membuat sistem procedure dan user instructions.
2. Sistem Programmer.
Fungsi dan Tanggungjawab:
+ Be1ianggung jawab terhadap pemeliharaan, improvement, dan uji
coba dari operating sistem, library software, sistem utilities
program.
+ Mengkoordinasikan antara operating sistem dan aplikasi.
+ Mengawasi hubungan dari aplikasi dan sistem program.
3. Programmer atau programmer aplikasi
Fungsi dan tanggung jawab :
+ Mengidentifikasi kebutuhan' program yang se:mai dengan sistem
desain yang telah ditentukan oleh Sistem Analyst
+ Membuat flowchart logic dari sebuah program atau function atau
obyek
+ Membuat coding dalam suatu progran1 languagt:
+ Melakukan· testing dan debug dalam suatu program
+ Mempersiapkan dokumentasi program
4. Networking Sistem Administrator
Fungsi dan tanggm1g jawab:
+ Melakukan persiapan kebutuhan jaringan dalam suatu aplikasi
+ Melakukan studi-studi untuk meningkatkan unjuk kerja jaringan
+ Mendesainjaringan data untuk kebutuhan aplikasi
+ Melakukan monitoring unjuk ke1ja sistem jaringan
5. WEB Administrator
Fungsi dan tanggung j awab
52
+ Melakukan identifikasi kebutuhan web saat ini dan yang akan
dating
+ Mengalokasikan web dalam jaringan Intranet, Extranet, Internet
+ Melakukan pemeliharaan contents dari web
+ Melakukan pengawasan terhadap pemakai jaringan Intranet atau
Extranet serta Internet.
4.2 Karakteristik dan jenis Firewall yang digunakan
Dalam proses implementasi sistem keamanan jaringan digunakan
firewall yang mempunyai karakteristik dan jenis yang disesuaikan dengan
kebutuhan perusahaan dilihat dari berbagai segi keamanan data perusahaan.
4.2.1 Karakteristik Firewall
Firewall yang digunakan sebagai sistem pengaman jaringan di PT. PLN
Penyaluran dan Pusat Pengatur Behan Jawa-Bali mempunyai karakteristik sebagai
berikut:
53
1. Firewall ini terdapat pada Linux dengan kernel versi 2.4x
2. Hanya dapat bekerja di sistem operasi linux
3. Firewall ini tidak memerlukan lisensi khusus karena telah terdapat
dalam satn paket linux
4. Firewall diletakkan diantara internet dengan jaringan internal
5. Informasi yang keluar atau masuk harus melalui firewall ini
6. Bekerja dengan mengamati paket IP (internet protocol) yang
melewatinya
7. · Dapat melakukan fungsifiltering dan fungsi proxy
4.2.2 J enis Firewall yang digunakan
Sesuai dengan sistem operasi yang digunakan sebagai server maka
firewall yang digunakan adalah Iptables yang sudah terdapat satn paket dalam
Linux dengan kernel versi 2.4x keatas.
4.3 Analisa Efektifitas Penerapan Iptables sebagai Sistem Pengamanan
Jaringan Komputer
Pada proses analisa sistem keamanan jaringan, agar mendapatkan hasil
yang benar-benar aknrat, metode yang dilakukan adalah dengan melakukan
probing dan scanning port melalui webtools yang disediakan oleh sitns-sitns yang
menyediakan layanan tersebut.
Ada beberapa sitns yang menyediakan layanan probing port diantaranya
adalah: http://www.grc.com/, http://www.veniceflorida.com/,
http://www.dwam.com/, dan http://www.symantec.com/.
54
4.3.1 Analisa sistem keamanan jaringau menggunakan webtools grc.com
Langkah-langkah teknis proses analisa yang dilakukan pada situs
grc.corn adalah sebagai berikut:
I. Pertama masuk kehalaman muka dad situs grc.corn, yang mempunyai
alamat: http://www.grc.com/default.htm, kemudian klik ShieldUP!!
Gambar. 7 halaman muka grc.corn
2. Kemudian klik online internet secudty test atau klik shields up.
Gambar. 8 halaman secudty test
-.S_pJnBJtc.,.ti.._Q _ _ _ _ . _ . . 1·m_,.,, Pl -<J"<;" ;i.i;um Th• most trufl•d •nd w:a.1y Ull..0 ... 111\ty thtat wrltton-f<'.it-n\•sS stor•u• d.itta f*C<>ll•rY· ~d lon_o~ t•ml m•inl•n...,cv. Splnru1a I• mv -•t•<J>l•ce. If you don't •llWfld\I ow_n or know- abQut Spl<'!Rit•, en.ell. (>I.It thH• pagu.,_'Th• fi.>t<.>tw o' Vl>\.Jl'_d.,I• could d<Jpand UJ)O!l 11. ti<Orco 1$ .ilLI. iot!l!RMDclant llUIJJ.l.w; ori:;p1nruu1 ·&.O, and fwrtt Is Maxlm<m PG'!'. f11h 2wrn [!!vl''Ull:.•
Shl.cldaUE.I. _ _ -~il.!!.tl:1,a'>• n\l'_.,,,,.,....~,.,.-1!!' Th• lnt•mot'"f ¢>1d<aH, rf\').Ct-popul•r. Nll41>!,. aod lrust&d, ft\lja 11\to""'t ••cUlit~- chacl<l>p and onfo,.,...t\Qn s•rvlca,·And now ln Its Po<t A<ithority fidlU<1N, It'• •l•o th~ moilt-pow•rlul and complat.·; check YOUI' synarn horo, ....0 b•l)!n lo•m"'g about ulklg ths Jnt,1m•t·ll•r..ly,
I eukTer;I• __ . . . . . _ i;;,,ll:ll)fat d<>wn10-.w:l1> J<n•u•• that your-PC' .. pon1on&I flno"'llll c;an not b• <1.unv fo-tiltld by rnalk:lou• "Tn>J;An~·program•-or 111fu••"· Th•'"'-• to Ollis f\l'Jlt vonlon c;f l..<O•kTast, rnolll pon1onal l'ltow•H• oro now ••I• ITom ·•uch "'""'!" •><pll>lt•ll.on.
55
3. Langkah selanjutnya akan ada dua pilihan proses, klik command button
Proceed pertama untuk proses selanjutnya.
Gambar. 9 halaman autentifikasi proses
Pl•"*"' ta.~• Jud• mnn1u" '" l•ad .-.,u Nno:!<l•r u;..-..-il•i•• pOlnb< Y~m uu <>f•h ........... ,_.,,.K; YUl'>•••b~ .... """"'"" ••'"""'' "'" .... ,,,,,.,....,not..UK•O "'"''''"'""'P<l<M! .. 101< I<>•"'<<> .,,,..,u«..,••• <•O• •nd ••qU•••• "'""•n<MI"'"" <tf lnh"'.•~"'""-'" \.>yow '""'"''""'• 5hlol4•U•U t.- .. ...!;p1<>ko ""' .. ..,,, .. ....,.,._,., .._,..,.,, , .. , .. ,.,, ""'"' "'"'° ,...,1> ... o "'""'
rir..:~~:.:::.::~: .. ·~:::~ ... l=.1"~-:.-:.:· :.~: ::::<>..w :: ... ~::::.':'.. -:!!.~'- t!:':'..:,":!'i: .:;~.~: .. ~ ... :~ .. ~ ... 1<0 11<eo><.....,no1< "'"'•d r.om , • .,,-.,,., <>l<h••• Hovi .. • wm b• ''""'d; "'""d •• .,,.4 i.y·u• •• ""'""' •lH"' •nr "'>' ''" •ny ....... H .. wh .. •0Y0t<
)f You•••"''"" • P'""n•! 11 .. ,.,11 p«0dm~ "'~"' l.041 «>nh<l• b•"olh•• '""'"" .. •"" •houl<I up-.t"' ,._ """'"' ~'""' "''' ,,..,., ~"'~'"""' •J"''""" u~.•.~u.7H ...i,,.,. ~u.1.~••.u~ .• ,,.,. " .. ~'"' "'" , ...... Q .................... >11 ............... a ... ,""" •• -.- • ., .... o• ........ ,.,,,Ou• 1.rtHUOIO!I •TTIMJ>T ''"' •TT•~>< ... ~""'~"""'""'•""~<•"~•• ..... """"" ....... ,, • .,)yol "' """~~ '"'""'"'"""" th•t >'"" '""'"'"" •~ool"o •v•O."" ••• """''"'"'~""""""''lo\<\ 1>1010 ~· "~' "• ....... .,..d •M "'"" "'"""'""- i.. .,~..,. '"•••" •u•· IY• ·~ .........
Your lnt111mat connocilon·11as nu Ravqn1a·0Ns
4. Kemudian akan ada beberapa pilihan proses service shieldsup! Pilih
Common Ports.
'"
Gambar. 10 halaman pemilihan port
Fin:t time us a rs should start by chocking lhair Wlndowi~ Fiie Sharing aud Common Ports: vulnarabilitio with tha 'Fila Sharing• and •comm.on Ports• buttons bn!ow.
F" For oriontatlon and lnfonnatian about tho Port Authority :i;ys:tem, click tho Homo or Holp Icons ln the titlltbar , , ,
/,~f~'~;~)~~~'.·f \,:iiilil:iltlilliltill/1!ilm .· :: lr\f9JtTHl,tic)ri ::about;.\,'\'lp<to\'.i.!.(f,.1,1
.. ::·::::;·;~n~;:.~r,it~_r;i;.~~··.~8/:~:~·in.~;~~1 The followlnQ pages provide addltlonal background, Insight, end esststance:
.
56
5. Tunggn dalam beberapa menit maka akan ditampilkan has ii proses
analisa yang telah dilakukan, seperti dibawah ini:
Gambar. 11 Halaman hasil dari proses probing
Port Authority Edition - Internet Vulnerability Profiling by Steve Gibson, Gibson Research Corporation.
Checking the Most Common and Troublesome Internet Ports
This Internet Common Ports Probe attempts to establish standard TCP Internet connections with a collection of standard, well-known, and often vulnerable or troublesome Internet ports on YOUR computer. Since this is being done from our server, successful connections demonstrate which of your ports are "open" or visible and soliciting connections from passing Internet port scanners.
Your computer at IP:
Is being profiled. Please stand by • ..
Your system has achieved a perfect "TruStealth" rating. !Not a single packet - solicited or otherwise - was received from your system as ·a result of our security probing tests. Your system Ignored and refused to reply to repeated Pings (JCMP Echo Requests). From the standpoint of the passing probes of any hacker, this machine does not exist on the Internet. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system wisely remained silent In every way. Very· nice.
Telnet
SMTP
Finger
HTTP
NNTP
Thetel.sNa•evlbENCi!•WHATSOEVER'thatiil····· p_ort-(or even-any compUter) ·exlsts·cifthls'IP address!
Th.ere 1.s .NO E)IIDENCEWHATSOEVER. that a port (or even·anY computer) exists afthls'IP: address! -
"l"H1t~;it~i:ilWil)~NcriVl~~l·§8e\JE~::£h~t·· pe>}t __ _(_~{\~~--~tj;;_a,hy'.CoiliP_Uter):'exlstS'-iit a_·9~r¢·~-~-J-::'.;_'x'i'-ilttff}~:;::1<:~}:::_;ji;:{:}if:;]i:;::,{;'.;;:k'.1:·;:;,t:
:r1J~r•1• ~C>1ev1i?iNfg wfii\'f~6~vfi~r·"· P9it;-_c9r,_~,k-~:fr;~hif,·_c_o_mPuter)"'ex1StS-:- ' -
-:-·a9_g,re~s\!;'~tt;~JM~~\?j:;§[.: -----~t-
57
DCOM
Host
Host
Host
Host
Host
to3o
Tl1e(e!s .. NO.EyfC>ENCE .. WHATSOEVEf(.th~t.~i!• .. •··. port ( or-even·-any··compi.Jter): exlsts--atthls--Ip'. addiifS_sl .,,_- -- --------:- -- ---- ·- ·-· ' - -- _,__ .. -- ---- ' -- ___ _,_-.-. ,,., .. --
Th.ere.1.s NO.EV!DENC.E WH.ATSOEVER•tl1at ~·. port_'(9r·ev:en··any·cornputer) exists at_:_tflls _If{·:-' addi"'eSs! / ·,,-. ,. -- · ·- . __ ,,,_ · ------
Th.•te Is. ~o~yib~N~.EWfi.ATSOEl/E~•th~\liy port (~fl\.eV:el)_.-~oY.•·computer) ·exlsts:_at-:thls<I.e,;;;i a~_ifr~·ss·1\.:: ---·- --- ,, --- . -- -- ---- ,._.,. -----<;,->--
J,hi'.e"•is~c}'~YJ\lE~~.~.~Hf,tsp~Y,.eR,fh~t~i.t, ,:. port> (or·--eV'eil'Bl1y't:dmp uter) 'exists_. at;l:h\silP.:>> a'dCfreSS!"'"'' >>'•'"\ ,-,,_-,,·c;_.' - '" -__ "- ' - - ', ,", "'-"'/':''
Th~re Is. NO ~VIl)ENCEWHATSOEVEithat~·.;. port.;'(br eyetrany cdrnputer) ·exlsts:at;,th_IS'~RL{-f:1\ add.' re:s._-_SJ-·./.'. 'S5 '..h-g.·;: ' ~:;>y,_:- - 'VY>:;)V'~
_-,_ -------""<<
There.ls.NO EYIDENCE WHA'(SOEl,/ERth~t~': .• pa·rt _(or eve_rJ ·a_ny computer) exlsts·?_t th\s __ I~;1-_':-, addre~sl - "
58
You may click on the Text Summary button to receive a condensed textual report of the Common Ports Probe findings displayed above.
You may also click on any port number link above to jump to detailed information about that port contained in our Port Authority database.
For help and information about the meaning and importance of "Open", "Closed" and "Stealth" port statuses, please see our Internet port Status Definitions
Dari basil yang didapat tidak ada satnpun port dari port yang didefinisikan
diatas yaitu port 21, 23, 25, 79,80 yang berindikator closed ataupun open. Semua
port memiliki nilai Stealth, yang berarti jaringan dalam keadaan aman dari
sniffing, proffing, DoS Attack dan gangguan lainnya.
59
4.3.2 Analisa sistem keamanan jal"ingan menggunakan webtools
symantec.com
Analisa yang dilakukan dengan menggunakan webtools Symantec.com,
rnerniliki perbedaan konfigurasi rnaupun basil dengan tes sebelurnnya. Hal ini
dirnaksudkan agar ada perbedaan pada basil analisa. Perbedaan yang dilakukan
adalah dengan rnernbuka port 22 (ssh), sehingga basil yang terlibat adalab babwa
sistem kearnanan jaringan rentan akan babaya penyerangan oleb para cracker.
Dan perlu ada antisipasi dari pibak administrator sistern kearnanan jaringan
dengan rnenarnbahkan beberapa program kearnanan Jainnya.
Berikut ini adalah urutan proses analisa:
1. Masuk kedalarn home page syrnantec.corn
2. Lakukan scanning security jaringan
3. Ada dua basil yang didapat, yaitu basil scanning port dan basil check
Trojan horse, berikut ini adalab hasil-basil yang diperoleh
Garn bar. 12 halarnan analisa keseluruban dari sistern keamanan j aringan
_$.;i~;~·~::;'.i=; .. ~.~~~·;:;;:;;';),'.:;;,~ _~_ .. _"·~~~ .. '..:.~ r/6- , __ ....;.. .._,. ... ->Wl .. .Qst.U.
~:::.r.':'::· ................ _._,,,, .......... y ............. . .. .,,.,..,.., wo• •• T,.j>" ho"'"
'"~--
=-~ ~~.: . .m""-' !t~'l'c~~~~~·::~-:.:·;::::i .. ...... ~·~·~"-
Gambar. 13 halaman probing port Symantec.com
Moro obout your Hlilckor Expovuro Chock_r.,1;1ultS>
~:;.~.:~~·!:::.!:s.;.•"" '·"""' '""' -~--·· ~·.., .~ ........ ,,,,-,,,.,,, ~. •~-~m·• """"'"""~' ••• ... .n,
·-·-----_,.., .. , - \1'_·.:_ - '.• ~g"!.' E~::¥.:~::.:r,::::.::~:~~5;:~~~:;::=:::::_:-_:::L:::::?~-:::~~--:~~ --.'.'_!?<>d ti~-~.:i::~:.f!':': !'~.::z..;:1~:::~=:~== ::.:.~:::~::: •• !'?. ... f~~~~2:*R~~·~s:t:~~:~f::r~3E~~~~~·tfrJ"J;~'F.!.:.;.\::E:'::.t1~1:~.!·Z~:l:i'
~-~~:1r-~~;,,:£~~z-~:~~~~~·.~~::.~~::-"::~!~.::::_:_~~:::~~'.:·~::_=:'!_'~::.: .i:m ·.:.......F.F1~~..,,7.'.:!~~~'.:~~:;7:.:: ~;:*.!~_!";<'::~~::.:=.:~~E:.::.:::::~!'~.:..:::.~1 .. .........
·-·- ;-.."::: .. ~~_,_".:';'::;: .:E:-?O:!· ~~~ .. ~=·;:;~:.~-~~·:.~~".::~~tt!•=~:-3'.::";.:~==··-·J.~!! ~t:..f. !:'!';~7"'.:..· :~::;;.·;:.~:.:. ':O:w.;."~~:. ·.::;:: -:.:.~!:. "::~~:::..:.-.!:: .~.. .,::,h
... ::~.':':=: ~.:.=:7.';;'"'::.""~?:-.".:.'!i'i:!!.'!~:~.o:1:::· .............. ';"..." ....... __ .:i':.,l!
I•• ~r,.~:;,',!,":';;;;:=-.~ .t:":';.:",.";h'.:':.":'l~ '!",."tn'!~~:;~:~~~~""::;~,!',;;;,•~~~!:l, Ci 1unr !ln!IJJ
H> 11np-n11u~. • P'"'"'"! ••• P•••"'"" '*""" >fTT~ um"'""'""•"" II •~ouff ~. _@ --~~:.:.::::.~~~:!-~:=.:.._-----·-------"""'
60
Gambar.14 halaman analisa Trojan Horse
A dcitullod look ut your TroJun Hor!llo Qho.;:k rosult'ii'.
<> ·---·---- --·---·-----·-----·--·-----------1'.Jff!!.!!. ...
"" ........... ·---... -·-·-·-!'.!~·.l.!. _::_':_:__::::___, ____ , _____________________ ._~\.!1
"" :.::::__::::::_ ________________ _,,..,.k "~··~ --.~-~::: . ..::.:::-:~'.'.:::'::. ... ______ ·-···-·-_:_.·---··---··--------',.:.:.,~
·-··-·-·-·--·~=:::~ .. :.'...-:-.:.'. .. ~-·~'.:'~.---·- ------·---·-----·-·····- ·---~l=t!!. ..,
.;_~~:-~-------------------·-----~lli ""' ,..,.,~
"" ----~
"" .. ,,. ...
' .:::: ...... -::::.::::~ .. ·.:. __ .. __ , _______________ , ___ , ______ ~!l.I!.
·-·---~~~:-~~~-----·--·--·--------·-·-·----------· ··-__ __,.,°'?tJ.t
-·--'--·~--~··.'_-.:..""_"c'.·------- ··----
61
...
··~····"•"" ..... -···--------·-·--·----·
. ...
·········.·
·--- ' ' -- ----
-• "'
m -... ··---·-·--.. ··-·---· ----·--·--···-·----·-··- ·--·-·---·-··-----·--'"""'·mi -··--·-·-·--·-"·l!IAllU:i -.......... --·------·-··-----·-·-----··-·--·-·----- ·-·--------·-----"-'"""!!.!!. -·-----·--·---·-----·----·-·--·- ·---·---·-·--·----~!-.I.tit. -----·--------·-·--------·------·----·--·- ··---------·---.11., .. m, ·~~·-··" ... ~... 0 ---------------·-------- ·------~:!l.W!tllll -··--·--·--·------!li-.111! -----·--------------------------......;J!h;!l.11!1
:::~·:::._ . ..:.::=::::_, ____________________________ u=:Lb •• - ......... ev~ olll
------------·-·-----------------------~·-.,,,, ----------- _____________ uu.1u1
62
.
/liiiiWWli't•1ru.:ti·~i-ll~limr'i'YWW"1lm'.iWiirf~m-~·jltjg.w~J\:'"'""""'1!il""''1ll°""""'""'"'"''"""""'""lll
Gambar. 15 halaman analisa persentase kemungkinan resiko yang dihasilkan
AtRi<•""'""""""""l>""''"""''!:I~ ol "uoo"'"' """' "'"''"~
........... ,,.,,_,,.,~,, ......
63
Dari hasil analisa yang dilakukan oleh Symantec.com baik untuk probing
port maupun penelusuran akan bahaya serangan Trojan horse. Dengan perlakuan
dibt1kanya port 22 (ssh), maka dapat dipastikan terdapat lubang keamanan yang
dapat dipergunakan untuk menyerang sistem keamanan jaringan, baik melalui
spoofing, sniffing, maupun melalui DoS Attack, serta jenis-jenis serangan lainnya.
4.3.3 Analisa sistem keamanan jaringan mengg;unakan webtools
veniceflorida.com
Proses analisa melalui webtools veniceflorida.com sangalah sederhana,
tidak seperti proses yang dilakukan oleh webtools sebelumnya. Apabila ingin
melakukan proses analisa yang hams dilakukan hanyalah masuk kedalan1 situs
veniceflorida.com, dan secara otomatis akan dilakukan proses scam1ing dan
probing port.
Hasil analisa yang dihasilkan cukup baik, sama dengan hasil probing yang
dilakukan oleh situs grc.com, dan dengan kondisi konfigurasi Iptables yang sama.
Dengan pengertian bahwa konfigurasi untuk semua layanan komunikasi melalui
port-port ditutup. Hasil analisa yang dilakukan melalui webtools
veniceflorida.com disajikan pada halaman berikut ini.
Gambar. 16 halaman hasil probing
Quickly Check for Connectable Listening Internet Ports
Port Probe attempts to establish standard TCP/IP (Internet) connections on a handful of standard, well-known, and olten vulnerable Internet service ports on YOUR computer. Since this is being done from our server, successful connections clemonstrate which of your ports are "open" and actively soliciting connections from passing Internet port scanners.
Port Service
23 Telnet
79 Finger
Your computer at IP:
Is now being probed. Please stand by •••
Therel~iNp11~~foE'N<:1E' ... ,, • .'l"J l:!Ail?R,t;lit\~.~~11,<i.~,a,,k8PltiJ9~X~~~g~e~3 ··any cbmp~~g.~)''exrsts1at•·this·IP'rw'>i'4li'' address! · ···· · ·
64
so-P_iea:#:e_:bf7-,:~:~--~~,--~():::~,-~-;~;-:·,~~-~-~~~tl'to'.:·:*;i;"~~,~knq:N---w,"~e_n ; t_his :-_rl-~v,t1:;~()ITlP.1_:~~~-1_y.'.fieE? ~: p9~:::~8~-
Port Status Descriptions:
If all of the tested ports were shown to have stealth status, then for all intents and purposes your computer doesn't exist to scanners on th•? Internet!
It means that either your computer Is turned off or disconnected from the Net (which seems unlikely since you must be using it right now!) or an effective stealth firewall is blocking all unauthorized external contact with your computer. This means that it is completely opaque to random scans and direct assault. Even If this machine had previously been scanned and logged by a would-be Intruder, a methodical return to this IP address will lead any attacker to believe that your machine Is turned off, disconnected, or no longer exists. You couldn't ask for anything better.
There's one additional benefit: scanners are actually hurt by probing this machine! You may have noticed how slowly the probing proceeded. This was caused by your firewall! It was required, since your firewall Is discarding the connection-attempt messages sent to your ports. A non-firewalled PC responds Immediately that a connection is either refused or accepted, telling a scanner that it's found a live one ... and allowing it to get·on with its scanning. But your firewall is- acting like a black hole for TCP /IP packets! This means that It's necessary for a scanner to sit around and wait for the maximum round-trip time possible - across the entire Net, Into your machine, and back again - before It can safely conclude that there's no computer at the other end. That's very cool.
FALSE STEALTH REPOR1·s
A "Stealth" port is one from which no reply is received (neither acceptance nor refusal) in response to a connection initiatio·n request. This ShieldsUP web site sends a series of four connection requests, waiting for any reply after each one. If no reply is received to any of them, the port Is declared to be "Ste'alth11
••• and for all Intents and purpo?es that's exactly what it Is. But Internet 11;packets11 are continually being lost In route to their destination: When Internet 11routers 11 are overloaded with traffic they have no recourse other than to simply drop packets completely, hoping that they will be resent when the destination falls to acknowledge their receipt. This, of course, is why we tty four time!> to get thrOugh.
Therefore, If prime-time Internet congestion coupled with a slow or noisy connection were to cause those four packets to become lost or garbled, our port test would show "Stealth" when your port would have replied If It had ever received the request.
If you suspect that this may have happened during th" assembly of the report above, simply refresh yqur browser1s page to re-run the tests. If the results differ you can presume that congestion or a weak connection were the temporary cause.
NOTE: If your system did NOT show up as Stealth! but you wish that it could, you;ll need to use one of the Inexpensive (or FREE In the case of Zone'Alarm 2!) personal firewalls I've discovered. I will also be creating my _own firewall which you can monitor and be informed of, by adding yourself to my eMalling System. But In the meantime ••• I'd advise you not to· wait! (Especially since ZoneAlarm 2 Is completely FREE for Individual use!)
65
"Closed" is the best you can hope for without a stealth firewall in place.
Anyone scanning past your IP address will immediately detect your PC, but "closed" ports will quickly refuse connection attempts. Your computer might still be crashed or compromised through a number of known TCP/IP stack vulnerabilities. Also, since it's much faster for a scanner to re-scan a machine that's known to exist, the presence of your machine might be Jogged for further scrutiny at a later time - for example, when a new TCP/IP stack vulnerability i.s discovered.
You should stay current with updates from your operating system vendor since new "exploits" are being continually discovered and they are first applied upon known-to-exist machines., , like this one!
If one or more of your ports are shown as OPEN! then one of the
following two situations must be true:
You have servers running on those open ports:
If your system is running Internet servers on the ports shown as
OPEN, you should stay current with PC Industry security bulletins.
New security vulnerabilities are being found continually. When
crackers learn of a new vulnerability, they quickly grab their
scanner Jogs to search for systems that have been scanned In the
past and are of the known-to-be-vulnerable type. This allows
66
67
Hasil analisa yang didapat dari Veniceflorida.com, menyatakan bahwa
sistem keamanan jaringan dalam keadaan sangat baik, dan kecil kemungkinan
untuk disusupi oleh cracker. Hal ini dapat dibuktikan dengan kondisi port dalam
keadaan Stealth, tanpa ada satupun port yang terbuka.
Analisa yang diperoleh berdasarkan hasil dari probing port ketiga
webtools diatas, menunjukan bahwa sistem jaringan berada dalam keadaan aman,
karena port-po1i yang dapat menjadi lubang keamanan berada pada kondisi
Stealth. Hal tersebut berindikasi bahwa sistem keamanan jaringan komputer
dengan menggunakan Iptables dapat melindungi semua bagian dari jaringan
komputer, baik data maupun aplikasi-aplikasi yang dipakai.
Untuk hasil analisa yang didapat dari Symantec.com, terdapat lubang
keamanan pada port 22 (ssh), tapi konfigurasi sistem keamanan jaringan memang
dikondisikan berbeda dari konfigurasi sebelumnya, agar dapat menjadi bahan
pembelajaran dan perbandingan dalam proses analisa. Tapi secara umum sistem
keamanan yang dipakai sudah sangat baik.
4.4 Usulan Solusi
Ada berbagai macam aplikasi-aplikasi yang dapat dipakai untuk
melindungi dari cracker-cracker yang mencoba masuk kedalam sistem jaringan.
Diantaranya adalah:
68
1. Program aplikasi Antisniff
Program aplikasi lni dibnat oleh LOpht heavy industries, Inc. program
ap likasi ini dapat menscan segmen-segmen dari Network Inte1jace Card. Program
aplikasi ini didesain bekerja secara dna arah yang akan memeriksa, dan
mengidentifikasi mesin apa yang berada pada snatu segmen jaringan. Program ini
dilengkapi juga dengan alarm sebagai pengingat apabila terjadi hal-hal yang
dianggap mengancam sistem jaringan. Dan kelebihan lainnya adalah program
aplikasi ini dapat mengirimkan pesan email kepada administrator jaringan apabila
suatu waktu seda!1g berada ditempat lain. Sedangkan kelemahan dari program ini
adalah tidak dapat mendeteksi adanya serangan DoS Attack, serta tidak dapat
menutup port 25 apabila terjadi serangan. Gambar apl:ikasi Iihat halanmn
lampiran.
2. Program aplikasi Attacker
Program aplikasi ini dibuat oleh foundstone Inc, ini dapat mendengarkan
port-port komunikasi TCP/IP maupun UDP, cara kerjanya adalah dengan
mendeteksi koneksi komunikasi data pada port-port TC:P/IP dan UDP dan
mengirimkan hasilnya dengan menampilkan alamat dari koneksi itu berasal.
berikut ini adalah gambar tampilan program aplikasi attacker. Program aplikasi ini
memiliki kelemahan yaitu tidak dapat mendeteksi adanya penyusup yang
menycrang melalui port 25. Gambar aplikasi Iihat halaman Jampiran.
69
Demikianlah usulan solusi ini ditawarkan, untuk mengatasi atau sebagai
bentuk antisipasi daripada serangan yang dilaknkan oleh pihak-pihak yang tidak
bet1anggung jawab.
BABV
Kesimpulan dan Saran
5.1 Kesimpulan
Kesimpulan yang dapat diambil dari penulisan skripsi ini adalah :
l. Jen is Firewall yang digunkan oleh PT. PLN (Persero) Penyaluran dan
Pusat Pengatur Beban Jawa-Bali adalah dengan menerapkan program
aplikasi Iptables sebagai sistem keamanan jaringan.
2. Dengan pemakaian lptables sebagai firewall sebenarnya telah cukup
untuk memagari jaringan yang terhubung ke Juar, dengan berbagai
rnacarn serangan dan ancarnan yang datang dari pihak-pihak yang tidak
bertanggung jawab.
3. Webtools yang digunakan dalarn proses probing po1i mampu
rnendeteksi adanya Jubang kearnanan.
4. Dalam pengarnanan jaringan kornputer harus memiliki berbagai
macarn program aplikasi sistem keamanan seperti Attacker, Antisniff
dan program aplikasi anti virus yang handal sepe1ii Norton, agar
jaringan menjadi lebih arnan dan sebagai antisipasi apabila diternukan
lubang keamanan.
5.2 Saran
Saran yang diusulkan kepada pihak perusahaan dan pihak yang merniliki
kepentingan yang sarna dalam ha! sistem kearnanan jaringan !computer, yaitu:
71
I. Agar selalu memperbaharui sistem keamanan jaringan yang telah ada
sesuai dengan perkembangan kemajuan teknologi keamanan jaringan
komputer, karena perkembangan yang te1jadi sangatlah cepat.
2. Seorang administrator sistem keamanan jaringan harus selalu menambah
wawasan tentang perkembangan sistem keamanan jaringan, karena ha] ini
sangat bermanfaat sekali sebagai Iangkah antisipasi dan pengamanan
jaringan yang harus dilakukan.
3. Membuat sistem keamanan jaringan berlapis, seperti misalnya dengan
menerapkan Aplikasi Iptables sebagai firewall, Attacker atau Antisniff
sebagai pendeteksi dan Norton sebagai anti virus, sehingga sulit bagi
cracker atau pihak-pihak lain menembus sistemjaringan yang ada.
4. Pihak manajemen PT. PLN (Persero) harus memberikan dorongan dan
bantuan pendidikan dan pelatihan bagi SDM, agar kemampuan praktis
menjadi lebih berkualitas.
Demikianlah kesimpulan dan saran yang dapat diberikan, semoga
bennanfaat bagi semua pihak, terutama bagi PT. PLN (Persero) Penyaluran dan
Pusat Pengatur Beban Jawa-Bali (P3B).
DAFTAR PUSTAKA
Andreasson, Oskar, Iptables Tutorial 1.1.19, [email protected], 2001-2003.
Anonim, http://www.netfilter.org/, 2 Maret 2004, pk. 16.23 WIB.
Anonim,http://iptables-tutorial.frozentux.net/iptables-tutorial.html#RCFJREW ALL
TXT, 14 Desember 2003, pk. 12.03 WIB.
Anonim, http://iptables-tutorial.frozentux.net/iptables-tutorial.html#RCFLUSH
IPTABLES TXT, 14 Desember 2003, pk. 11.38 WIB.
Anonim, http://www.netfilter.org/documentation/index.html # FAQ, 2 Maret 2004,
pk. 16.18 WIB.
Anonim, http://www.news.com I News I Item/ Textonly I 0 , 25 ,20278,00.html?
pfv, 13 Mei 2004, pk. 21.40 WIB.
Anonim, http://www.news.com/News/Item/0,4,20226,00.html,13 Mei 2004, pk.
21.27 WIB.
Anonim, http://www.ee.s.iue.edu/-rwalden/networking/icmp.htm, 1 Mei 2004,
pk. 21.4 7 WIB
Anonim, http://ipsysctl-tutorial.frozentux.net/other/rfc792.txt, 14 Desember 2003,
pk. 11.57 WIB.
Anonim, http://iptables-tutorial.frozentux.net/other/rfc793. txt, 14 Desember · 2003,
pk. 12.13 WIB
Anonim, http://iptables-tutorial.frozentux.net/other/ip _ dynaddr. txt, 14 Desember
2003, pk. 12.17 WIB.
73
Anonim, http://www.netfilter.org/unreliable-guides I packet -- filtering - HOWTO
I index.html, 6 Maret 2004, pk. 20.21 WIB.
Anonim, http://www.netfilter.org/unreliable-guides/NAT-HOWTO/index.html,
6 Maret 2004, pk. 20.25 WIB.
Anonim, http://www.netfilter.org/unreliable-guides/netfilter - hacking - HOWTO
I index.html, 6 Maret 2004, pk. 20.40 WIB.
Anonim, http://www.grc.com, 8, 17 Juni 2004, pk. 10.12 WIB.
Anonim, http://symantec.com, 25 Juni 2004, pk. 14. 20 WIB.
Anonim, http://www.veniceflorida.com, 25 Juni 2004, pk. 14.26 WIB.
Linux, Mail Administrator, WebCenter Technologies Inc., 2001.
LINUX, System Administrator, WebCenter Technologies Inc., 2001.
Mei, Wang, MCSE Tutorial on Networking Essential, E-Book, 2002.
Purbo, Onno W., & Wiharjito, Tony, Keamanan Jaringan Internet, Elex Media
Komputindo, Penerbit Kelompok Gramedia, Jakarta, 2000.
Riza, Taufan, TCP/IP dan Managemen Jaringan, Elex Media Komputindo,
Penerbit Kelompok Gramedia, Jakarta, 1999.
Sembiring, Jhony I-I, Jaringan Komputer Berbasis r . .1...,znux,
Komputindo, Penerbit Kelompok Gramedia, Jakarta, 2001.
Takenbaum, Andrew, Computer Network, 4th ed, 2003.
William, Stallings, Data and Computer Communication, 7th ed, 2004.
Elex Media
Lampiran 1 : Table Hubungan refcrensi model OSI dengan protokol Internet.
I I
7
6
15
Lapisan
Aplikasi
Presentasi
Sessi
i Aplikasi
" i
I
I -----1
l
Protokol
DHCP (Dynamic Host Configuration Protocol)
DNS (Domain Name Server)
Protokol untuk distribusi IP pada jaringan dengan jumlah IP yang terbatas
Data base nama domain mesin dan nomer IP
FTP (File Transfer Protokol untuk transfer file Protocol)
,1-HTTP (HyperText I Transfer Protocol) ' \ MIME (Multipurpose
I' Internet Mail
Extention)
Protokol untuk transfer file HTML dan Web
Protokol untuk mengirim file binary dalam bentuk teks
NNTP (Networ News Protokol untuk menerima dan mengirim Transfer Protocol) newsgroup
POP (Post Office Protocol)
SMB (Server Message Block)
SMTP (Simple Mail Protocol)
(Simple Management
FTP)
Protokol untuk mengambil mail dari server
Protokol untuk transfer berbagai server file DOS dan Windows
Protokol untuk pertukaran mail
Protokol untuk manejemen jaringan
Proto'~ol untuk akses dari jarak jauh
Proto!<ol untuk transfer file
I 4 I Transport
-r I
i 13 Network
2 Data link
1
Fisik
!
LLC
MAC
Transport
Internet
Network Interface
75
I r · - --- -- ·---------------------------------- -
I, TCP (Transmission
Control Protocol) I-Protokol pertukaran data beroriantasi
(connection oriented) ,- ------ -- ~-·--- ..
UDP (User Datagram Protocol)
IP (Internet Protocol)
Protokol pertukaran data non-oriantasi (connectionless)
Protokol untuk menetapkan routing
RIP (Routing Protokol untuk memilih routing Information Protocol)
ARP (Address Protokol untuk mendapatkan informasi Resolution Protocol) hardware dari namer IP
RARP (R.everse ARP) Protokol untuk mendapatkan informasi namer IP dari hardware
to Point Protokol untuk point ke point
Line
Ethernet, FOOi,
dengan serial
ISDN,ATM
menggunakan
76
Lampiran 2 : Tabcl Badan pckcrja di IEEE
----
Working Bentuk Kegiatan
Group
IEEE802.1 Standarisasi interface lapisan atas HILi (High Level Interface) dan Data Link
termasuk MAC (Medium Access Control) dan LLC (Logical Link Control).
Standarisnsi lapisan LLC.
IEEE802.3 Standarisasi lapisan MAC untuk CSMA/CD (10Base5, 10Base2, lOBaseT, dlL)
" A Standarisasi lapisan MAC untuk Yoken Bus.
IEEE802.5 Standarisasi lapisan MAC untuk Token Ring.
IEEE802.6 Standarisasi lapisan MAC untuk MAN-DQDB (Metropolitan Area Network-
Distributed Queue Dual Bus.)
·------·-·-·-··-·---
[1~~~802 7 , Grup pendukung BTAG (Broadband Technical Advisory Group) pada LAN.
I l -·-----·--
IEEE802.8 Grup pendukung FOTAG (Fiber Optic Technical Advisory Group.)
-- ·--
I Q Standarisasi ISDN (Integrated Services Digital Network) dan JS (Integrated
Services ) LAN.
IEEE802.10 Standarisasi masalah pengan1anan jaringan (LAN Security.)
TPPPRl10 11 Standarisasi masalah wireless LAN dan CSMA/CD bersama IEEE802.3.
" 12 Standarisasi masalah lOOVG-AnyLAN
77
Lampiran 3 : PORT NUMBERS
(last updated 21 June 2004)
The port numbers are divided into three rang,~s: the Well Known Ports,the Registered Ports, and the Dynamic and/or Private Ports.
The Well Known Ports are those from 0 through 1023.
The Registered Ports are those from 1024 through 49151
The Dynamic and/or Private Ports are those from 49152 through 65535
Hlf UNASSIGNED PORT NUMBERS ASSIGN THE NUMBER FOR THE APPROVED U if
WELL KNOWN PORT NUMBERS
SHOULD NOT PORT AFTER
BE YOUR
USE:D. THE APPLICATION
IANA WILL HAS BEEN
The Well Known Ports are assigned by the IANA and on most systems can only be used by system (or root) processes or by ;:>rograms executed by privileged users.
Ports are used in the TCP [RFC793] to name the ends of logical connections which carry long term conversations. For the purpose of provi_ding services to unknown callers, a service ::::ontact port is defined. This list specifies the port used by thB server process as its contact port. The contact port is sometimes ::::alled the "well-known port".
To the extent possible, these same port assignments are used with the ODP [Rr'C768].
The range for assigned ports managed by the IANA is 0-1023.
Port Assignments:
Keyword References
Decimal
" " tcpmux
0/tcp O/udp
l/tcp
Description
Reserved Reserved Jon Postel <[email protected]> TCP Port Service Multiplexer
tcpmux # compressnet compressnet compressnet compressnet JF
JF
JF
rje rje # ii if echo echo # # ii discard discard # # # systat systat ii # II daytime daytime # # ii IF IF if # qotd qotd # msp msp # char gen chargen ftp-data ftp-data ftp ftp II ssh
1/udp
2/tcp 2/udp 3/tcp 3/udp
4/tcp 4/udp 5/tcp 5/udp
6/tcp 6/udp 7/tcp 7/udp
8/tcp 8/udp 9/tcp 9/udp
10/tcp 10/udp 11/tcp 11/udp
12/tcp 12/udp 13/tcp 13/udp
14/tcp 14/udp 15/tcp 15/udp 16/tcp 16/udp 17/tcp 17/udp
18/tcp 18/udp
19/tcp 19/udp 20/tcp 20/udp 21/tcp 21/udp
22/tcp
TCP Port Service Multiplexer Mark Lottor <MI<[email protected]> Management Utility Management Utility Compression Process CompreSsion Process Bernie Volz <[email protected]> Unassigned Unassigned Remote Job Entry Remote Job Entry Jon Postel <[email protected]> Unassigned Unassigned Echo Echo Jon Postel <[email protected]> Unassigned Unassigned Discard Discard Jon Postel <[email protected]> Unassigned Unassigned Active Users Active Users Jon Postel <[email protected]> Unassigned Unassigned Daytime (RFC 867) Daytime (RFC 867) Jon Postel <[email protected]> Unassigned Unassigned Unassigned [was netstat) Unassigned Unassigned Unassigned Quote of the Day Quote of the Day Jon Postel <[email protected]> Message Send Protocol Message Send Protocol Rina Nethaniel <---none---> Character Generator Character Generator File Transfer [Default Data] File Transfer [Default Data] File Transfer [Control] File Transfer [Control] Jon Postel <[email protected]> SSH Remote Login Protoc:ol
78
ssh 11 telnet telnet ll
ll smtp smtp
" " # # nsw-fe nsw-fe 11 # 11 msg-icp msg-icp 11 ll # msg-auth rnsg-auth 11 11 11 dsp dsp II II #
11 11 # time time ii rap rap 11 rlp rlp !I 11 # graphics graphics name
22/udp
23/tcp 23/udp
24/tcp 24/udp
25/tcp 25/udp
26/tcp 26/udp 27 /tcp 27/udp
28/tcp 28/udp 29/tcp 29/udp
30/tcp 30/udp 31/tcp 31/udp
32/tcp 32/udp 33/tcp 33/udp
34/tcp 34/udp 35/tcp 35/udp
36/tcp 36/udp 37/tcp 37/udp
38/tcp 38/udp
39/tcp 39/udp
40/tcp 40/udp 41/tcp 41/udp 42/tcp
SSH Remote Login Protocol Tatu Ylonen <[email protected]> Telnet Telnet Jon Postel <[email protected]> any private mail syste::n any private mail syste::n Rick Adams <[email protected]> Simple Mail Transfer Simple Mail Transfer Jon Postel <[email protected]> Unassigned Unassigned NSW User System FE NSW User System FE Robert Thomas <[email protected]> Unassigned Unassigned MSG ICP MSG ICP Robert Thomas <[email protected]> Unassigned Unassigned MSG Authentication MSG Authentication Robert Thomas <[email protected]> Unassigned Unassigned Display Support Protocol Display Support Protocol Ed Cain <[email protected]> Unassigned Unassigned any private printer server any private printer server Jon Postel <[email protected]> Unassigned Unassigned Ti1ne Time Jon Postel <[email protected]> Route Access Protocol Route Access Protocol Robert Ullmann <[email protected]> Resource Location Protocol Resource Location Protocol Mike Accetta <[email protected]> Unassigned Unassigned Graphics Graphics Host Name Server
79
name nameserver name server nicname nicname mpm-flags mpm-flags mpm mpm mpm-snd mpm-snd
.if ni-ftp ni-ftp if auditd auditd if ta ca cs ta ca cs if re-mail-ck re-mail-ck if la-maint la-maint if xns-time xns-time # domain domain if xns-ch xns-ch if isi-gl isi-gl xns-auth xns-auth if
if xns-mail xns-mail if
42/udp 42/tcp 42/udp 43/tcp 43/udp 44/tcp 44/udp 45/tcp 45/udp 46/tcp 46/udp
47/tcp 47/udp
48/tcp 48/udp
49/tcp 49/udp
50/tcp 50/udp
51/tcp 51/udp
52/tcp 52/udp
53/tcp 53/udp
54/tcp 54/udp
55/tcp 55/udp 56/tcp 56/udp
57/tcp 57/udp
58/tcp 58/udp
59/tcp 59/udp
60/tcp 60/udp
Host Name Server Host Name Server Host Name Server Who Is Who Is MPM FLAGS Protocol MPM FLAGS Protocol Message Processing Module [recv] Message Processing Module [recv] MPM [default send] MPM [default send] jon Postel <[email protected]> NI FTP NI FTP Steve Kille <[email protected]> Digital Audit Daemon Digital Audit Daemon Larry Scott <[email protected]> Login Host Protocol (TACACS) Login Host Protocol (TACACS) Pieter Ditmars <[email protected]> Remote Mail Checking Protocol Remote Mail Checking Protocol Steve Dorner <[email protected]> IMP Logical Address Maintenance IMP Logical Address Maintenance Andy Malis <[email protected]> XNS Time Protocol XNS Time Protocol
80
Susie Armstrong <Armstrong.wbstl28@XEROX> Domain Name Server Domain Name Server Paul Mockapetris <[email protected]> XNS Clearinghouse XNS Clearinghouse Susie Armstrong <Armstrong.wbstl28@XEROX> ISI Graphics Language ISI Graphics Language XNS Authentication XNS Authentication Susie Armstrong <Armstrong.wbstl28@XEROX> any private terminal access any private terminal access Jon Postel <[email protected]> XNS Mail XNS Mail Susie Armstrong <Armstrong.wbstl28@XEROX> any private file service any private file service Jon Postel <[email protected]> Unassigned Unassigned
ni-rnail ni-mai.l # acas acas Jr whois++ whois++ Jr co via co via " " tacacs-ds tacacs-ds Jr sgl*net sql ·kn et Jr bootps bootps boot pc boot pc Jr tftp tftp Jr gopher gopher ~f netrjs-1 netrjs-1 netrjs-2 netrjs-2 netrjs-3 netrjs-3 netrjs-4 netrjs-4 Ir
# deos deos if
# vettcp vettcp #
61/tcp 61/udp
62/tcp 62/udp
63/tcp 63/udp
64/tcp 64/udp
65/tcp 65/udp
66/tcp 66/udp
67/tcp 67/udp 68/tcp 68/udp
69/tcp 69/udp
70/tcp 70/udp
71/tcp 71/udp 72/tcp 72/udp 73/tcp 73/udp 74/tcp 74/udp
75/tcp 75/udp
76/tcp 76/udp
77 /tcp 77 /udp
78/tcp 78/udp
NI MAIL NI MAIL Steve Kille <[email protected]> ACA Services ACA Services E. Wald <[email protected]> whois++ whois++ Rickard Schoultz <[email protected]> Conununications Integrator (CI) Communications Integrator (CI) Dan Smith <[email protected]> TACACS-Database Service TACACS-Database Service Kathy Huber <[email protected]> Oracle SQL*NET Oracle SQL*NET Jack Haverty <[email protected]> Bootstrap Protocol Server Bootstrap Protocol Server Bootstrap Protocol Client Bootstrap Protocol Client
81
Bill Croft <[email protected]> Trivial File· Transfer Trivial File Transfer David Clark <[email protected]> Gopher Gopher Mark McCahill <mpm@boO':nbox.micro.umn.edu> Remote Job Service Remote Job Service Remote Job Service Remote Job Service Remote Job Service Remote Job Service Remote Job Service Remote Job Service Bob Braden <[email protected]> any private dial out service any private dial out service Jon Postel <[email protected]> Distributed External Object Store Distributed External Object Store Robert Ullmann <[email protected]> any private RJE servic13 any private RJE servic•3 Jon Postel <[email protected]> vettcp vettcp Christopher Leong
finger 79/tcp Finger
82
finger 79/udp Finger jf David Zimmerman <[email protected]> http 80/tcp Worl.d Wide Web HTTP http 80/udp World Wide Web HTTP WWW 80/tcp World Wide Web HTTP WWW 80/udp World Wide Web HTTP www-http 80/tcp World Wide Web HTTP www-http 80/udp World Wide Web HTTP
83
Lampiran 4 : Table Forwarded packets
[ciiain ·····1-··---Co1111nent
the wire (i.e., Internet)
12·· I ! in on the interface (i.e., ethO)
13··--· ·· · ri;:;~;~gi~-·-· f PREROUTING · r:ri;i;·~hain ~;orn~li:;;;;;Jrc;;:-mang .. llng packet;·· I 1 l i.e., changing TOS and so on.
4--···-··· ... ,11;:;~1---- P,RER:oufiNa·· - ········ ~~~-~~~~~~::~~f~~~~~~-e;-i~~-~:-~'-:i-,i-ss~~i:-~f~:~ II
j it will be bypassed in certain cases.
15 ······ ·· ···· · ······· 1~~:;~~~~l~~~r:1~1;:;;~-~;;~l~:~;:f:::~~~~~~~-f~;:·········1 16-------jmangl~-.. --[FORWARD--··-·---[Th~packet is then sent on to the FORWARD I I ' · I !chain of the mangle table. This can be used for 1
I ) I very specific needs, v1here \Ve want to 111angle the I
I
j I j'packets after the initial routing_ decision, but before I I I the last routmg dec1s1on made JUSt before the I
, ' I jpacket is sent out.
1
7 ...... ,filter ·-·-1FORWAR6··-···· ·-i·····-p-a-c-ke·-·t-g-e.-ts-1-·o·-u-te ... d_o·-,·,···t·o--th .. e·-F··-o·~R-W_A_R~D··-cl·1-a-in-.
Only forwarded packets go through here, and here
I '1 we do all the filtering. Note that all traffic that's
forwarded goes through here (not only in one
I I Id. irec.ti.on.) •. so yo·u· n. eed to think about it when !writing your rule-set.
the wire again (i.e.,
84
Lampiran 5: Table Destination local host (onr own machine)
85
Lampinm 6: Table Source local host (our own machine)
'T bl .ICl~~h~-1 a e . ··················r···-
1 2 i
· ···if ~{i~~less7~,;;;1i~~1100(i:e::;-ei.;;~~e;~1=--1 .. ...................... Routing decision. What ;~~~~~-"~dd;~;~· t~·-~se, ··---- - !
what outgoing interface to use, and other necessmy I ·········-··· --··· ... information that needs to be gathered. ·-·-·I
I fmangle .. IO'uTru1' ...................... This i~.w .. here w;;;;·~~igl;. pack.et .. s, it·i·s···sug. g··e·s .. te .. d...... I \ j that you do not filter 111 this chain since it can have I I I side effects. I r_ ......... r;at ··-·-10UTPUT·--··--··-· 1r.~:~1 ~~:i~1~~a~l~ i:~s:i~. to NAT outgoing packets · 1
1s··- jfi11e;.-· ·10-u-1-·i>ur____ -~~-i:-/1s-10w·s-~~r;~v-~fllte;:"~~kct;going outfron-,-th_e_/
I· - i"~~g;;- WSTROiiiiNG -~~~;~i~~~~J;~~:~~I l
actual routing decisions. This chain will be hit by I both packets just traversing the firewall, as well as packets created by the firewall itself.
r
............ .. ... ,............ . ............................................... ,_ .. _______ , ................... ___ ,.,. ___ .... ! lnat POSTROUTING This is where we do SNAT as described earlier. It I
is suggested that you don't do filtering here since it can have side effects, and certain packets might · slip through even though you set a default policy
I 1 of DROP. rs ............. i--- ........ !.......... ·----· -· ..... iG~es ~lit oo~o;n-e-iot;;;:~~~;c~'.g:::-··-·---· ·-· ---·
the wire (e.g., Internet)
86
Lampiran 7 : Tabcl Command
Command I(eterangan
-A Perintah ini 111enan1bahl<an aturan pad a akhir chain. Aturan akan
--append ditambahkan di akhir baris pacla chain yang bersangkutan, sehingga
akan dieksekusi terakhir
-D Perintah ini menghapus suatu aturan pada chain. Dilakukan dengan cara
--delete menyebutkan secara lengkap perintah yang ingin dihapus atau dengan
menyebutkan nomor baris dimana perintah akan dihapus.
-R Penggunaannya sama seperti -delete, tetapi command ini menggantinya
--replace dengan entry yang baru.
-I Memasukkan aturan pacla suatu baris di chain. Aturan akan dimasukkan
--insert pada baris yang disebutkan, dan aturan awal yang menempati baris
tersebut akan digeser ke bawah. Demikian pula baris-baris selanjutnya.
-L Perintnh ini menampilkan semun aturan padu sebuah tabel. Apabila
--list tabel tidak disebutkan, maka seluruh aturan pada semua tabel akan
ditampilkan, walaupun tidak ada aturan sama sekali pada sebuah tabel.
Command ini bisa dikombinasikan dengan option -v (verbose), -n
(numeric) clan -x (exact).
87
-F Perintah ini mengosongkan aturan pada sebuah chain. Apabila chain
--flush tidak disebutkan, maka semua chain akan di7f/ush.
-N Perintah tersebut akan membuat chain baru.
--ne,v-chain
-X Perintah ini akan menghapus chain yang disebutkan. Agar perintah di
--delete-chain atas berhasil, tidak boleh ada aturan lain yang mengacu kepada chain
tersebut.
-P Perintah ini membuat kebijakan default pada sebuah chain. Sehingga
--policy jika ada sebuah paket yang tidak memenuhi aturan pada baris-baris
yang telah didefinisikan, maka paket akan diperlakukan sesuai dengan
kebijakan default ini.
~: Perintah ini akan merubah nama suatu chain.
na1ne-chain
88
Lampiran 8 : Tabcl Option
Option Command Keterangan Pemakai
-v --list Memberikan output yang lebih detail, --verbose --append utamanya digunakan dengan --list. Jika
--insert digunakan dengan --delete --list, akan menampillmm K (xl.000), --replace M (1.000.000) dan G (1.000.000.000).
-x --list Memberikan outpLlt yang lebih tepat.
--exact -· -n --list Memberikan output yang berbentuk --numeric angka. Alamat IP dan nomor po1i akan
ditampilkan dalam bentuk angka dan
bukan hostname ataupun nama
aplikasi/servis.
--line-number --list Akan menampilkan 11011101' dari daftar
aturan. Hal ni akan mempermudah bagi
kita untuk melakukan modifikasi aturan,
jika kita mau meyisipkan atau menghapus
aturan dengan nomor tertentu.
---mod probe All Memerintahkan IPTables untuk
memanggil modul tertentu. Bisa
digunakan bersamaan dengan semua
command.
89
Lampiran 9 : Tabel Generic Matches
Match Keterangan
-p Digunakan untuk mengecek tipe protokol te1ientu. Contoh --protocol protokol yang umum adalah TCP, UDP, ICMP dan ALL.
Daftar protokol bisa dilihat pada /etc/protocols.
Tanda inversi juga bisa diberlakukan di sini, misal kita
menghendaki semua protokol kecuali icmp, maka kita bisa
menuliskan --protokol ! icmp yang berarti semua kecuali
icmp.
-· -s Kriteria ini digunakan untuk mencocokkan paket --src berdasarkan alamat IP asal. Alamat di sini bisa berberntuk --source alarnat tunggal sepcrti 192.168.1.1, atau suatu al am at
network menggunakan netmask misal
192.168.1.0/255.255.255.0, a tau bis a juga ditulis
192.168.1.0/24 yang artinya semua alamat 192.168.1.x.
Kitajuga bisa rnenggunakan inversi.
-d Digunakan untuk mecocokkan paket berdasarkan alamat --dst tujuan. Penggunaannya sarna dengan match-src --destination
-i Match ini berguna untuk mencocokkan paket berdasarkan --in-interface interface di mana paket datang. A1atch ini hanya berlaku
pada chain INPUT, FORWARD dan PREROUTING
-o Berfungsi untuk mencocokkan paket berdasarkan interface --out-in terfacc di 1nana paket. keluar. Penggunannya sa1na dengan
--in-interface. Berlaku untuk chain OUTPUT,
FORWARD dan POSTROUTING
90
Lampiran 10 : Tabcl TCP matches
Match
--sport
--source-port
--cl port
--destination-port
--tcp-11ags
Keterangan
Match ini berguna untuk mecocokkan paket berdasarkan
port asal. Dalam ha! ini Ida bisa mendefinisikan nomor port
atau na1na service-nya. Daftar nan1a service dan non1or port
yang bersesuaian dapat dilihat di /etc/services.
--sport juga bisa dituliskan untuk range port tertentu.
Misalkan kita ingin mendefinisikan range antara port 22
sampa1 denga11 80, maka kita bisa menuliskan --sport
22:80.
Jika bagian salah satu bagian pada range tersebut kita
hilangkan maim ha! itu bisa kita artikan dari port 0, jika
bagian kiri yang kita hilangkan, atau 65535 jika bagian
kanan yang kita hilangkan. Contohnya --sport :80 mtinya
paket dengan port asal no! sampai dengan 80, atau --sport
1024: artinya paket dengan port asal 1024 sampai dengan
65535.Match inijuga mengenal inversi.
Penggunaan match ini sama dengan match -source-port.
Digunakan untuk mencocokkan paket berdasarkan TCP
--syn
91
flags yang ada pada paket tersebut. Pertama, pengecekan
akan mengambil claftar flag yang akan cliperbanclingkan,
dan kedua, akan n1en1eriksa paket: yang di~set 1, atau on.
Pada kedua list, rnasing-masing entry-nya harus dipisahkan
oleh koma dan tidak boleh ada spasi antar entry, kecuali
spasi antar kedua /isl. Maleh 1111 rnengenali
SYN,ACK,FIN,RST,URG, PSH. Selain itu kita Juga
rnenuliskan ALL clan NONE. Match ini juga bisa
menggunakan inversi.
Match ini akan memeriksa apakah flag SYN di-set dan
ACK clan FIN tidak di-set. Perintah ini sama artinya jika
kita menggunakan match --tcp-tfags SYN,ACK,FIN SYN
Pake! dengan match di atas digunakan untuk melakukan
request koneksi TCP yang baru terhadap server
92
Lampiran 11 : Tabcl Target/Jump
Target
-j ACCEPT
--jump ACCEPT
-j DROP
--jump DROP
-j RETURN
--jump RETURN
Keterangan
Ketika paket cocok dengan daftar match dan target ini
diberlakukan, maka paket tidak akan melalui baris-baris
aturan yang lain dalam chain tersebut atau chain yang lain
yang mereferensi chain tersebut. Akan tetapi paket masih
akan rnemasuki chain-chain pada label yang lain seperti
biasa.
Target ini men-drop paket dan menolak untuk memproses
lebih jauh. Dalam beberapa kasus nrnngkin hal ini kurang
baik, karena akan rneninggalkan dead socket antara client
dan server.
Paket yang menerirna target DROP benar-benar mati dan
target tidak akan rnengirirn informasi tambahan dalam
bentuk apapun kepada client atau server.
Target ini akan mernbuat paket berhenti melintasi aturan
aturan pada chain dimana paket tersebut menemui target
RETURN. Jika chain merupakan subchain dari chain
yang lain, rnaka paket akan kembali ke superset chain di
atasnya dan rnasuk ke baris aturan berikutnya. Apabila
-j MIRROR
93
chain adalah chain utama misalnya INPUT, maka paket
akan dikembalikan kepacla kebijakan default dari chain
tersebut.
Apabila komputer A menjalankan target seperti contoh di
alas, kemuclian komputer B mdakukan koneksi http kc
ko111puter A, 111aka yang akan n1uncul pacla browser
adalah website komputer B itu sendiri. Karena fungsi
utama target ini adalah membalik source address clan
destination address.
Target ini beke1ja pada chain INPUT, FORWARD clan
PREROUTING atau chain buatau yang dipanggil melalui
chain tersebut.
94
Lampiran 12: Table ICMP types
prohibited
1u<:s1111m1011 host administratively prohibited --··1·--------- ___ ,,_
11 1Network unreachable for TOS
unreachable for TOS
14 precedence violation ----------- --1-5 - ----rp;.;;;;;;(J;;~;;;;;;;;1~rr1~;;rr;,<:; -
for network
-iR.~cii1·;;c\i'~,: 1;~st 1-----------·--- -1----------
for TOS and network -- - -
!Redirect for TOS and host - [Echo request -------- -------- - --------.. --------------- --
1----·----------1- -------·-·-·-9 IR '"''e•· advertise1nent
; ............ ------ : ..... ,., ______ -·----IO solicitation
11 equals 0 during transit
I I equals 0 during reassembly
12 header bad (catchall error) , .. _.
12 -,--- --- ---- ··--·----- -·--·--
Required options missing ; ________ ,_ ------
13 0 i1rnostamo request (obsolete)
14 reply (obsolete)
r 15 0 r----······-·---- ·---------------!Information request (obsolete)
' --- -- --------16 0 n fr .. ·m "' '''" reply (obsolete)
Lampiran 13 : contoh gambar proses firewall
Trusto-d lntomal Notwork
Gambar rc.firewall.txt
l:.,~",.1 ) Not-Nork
IP: 192.168.0.0/24
~-~-~:oth1 IP: 192.168.0.2
Firewall
IF ACE: wtlhO __ __. ___ IP: 194.236.50.155
Into mat
Gambar rc.DMZ.firewall.txt
~MZ
IP: 192.168.0.0124 (jl p 1~~';~8 121 {Di;;s-\ ~~ ----IFACE: eth1 !FACE: 19oth2
IP: 192.r16_8~._0_.1~-------~IP_: _19~2.'168.1.'I
Firewall
+rFACE: etl10 --~V_IP_:_1_9_4.236.50.'l 52, ·194.236.50. '163,
194.236.50.154, 'I 94.236.50.155
Internet
95
Gambar rc.DHCP.firewall.txt
Trusted lntamal Network
IP: 192.11lS.D.0/24
Fire\l\lall
Internet
IFACE: eth1 IP: 192.168.D.2
IFACE: elhO IP: unknovm
Gambar rc.UTIN.firewall.txt
UnTrustGd 1n1 .. tt11iil Noiw.>rk
IP: 192.100.0.0/24
--~--lFACE: oth1 JP: 192.16l3.0.2
Firewall
IFACE: 6ih0 ~--"--- IP: 1!14.:t:llll.50.155
Internet
96
Lampiran 14: Gambar Diagram proses filtering pakct
!\outing decision
:tilter OUTPUT
~Network~
mangle PIUl:IlOlJTING ,
. lllllt---.......
Prui.:ROUTINj, .• )
Routing deci1!1ion
97
(
Lampiran 15 : Ruic script Konfigurasi Iptablcs
1. file rc.firewall .. firewall
#!/bin/bash BASEDIR="/root/firewall" if[-f$BASEDIR/eonfig.txt ]; then
. $BASEDIR/eonfig.txt fi fill 111111111111111111111111fill#1111111111111111 II fl fl II II #II fl II 1111111111111111111111111111111111111111111111#1111111111111111111111 II # #kernel 1nodules and ip for\varding capability II fl $DEPMOD -a $MODPROBE ip_tables $MODPROBE ip_conntrack $MODPROBE iptable_f!lter $MODPROBE iptab!e _ nat $MODPROBE iptable_nrnngle $MODPROBE ipt_LOG $MODPROBE ipt_mac $MODPROBE ipt_MASQUERADE $MODPROBE ipt_REJECT $MODPROBE ipt_state $MODPROBE ip_nat_ftp $MODPROBE ip_conntrack_ftp $MODPROBE ip_nat_irc $MODPROBE ip_conntraek_irc echo I > /proc/sys/net/ipv4/ip_forward ####ll##llll###llll##ll#####ll##llll#ll##ll#llilllllllllll##llllllllll###lllllllllllill##ll##llllllll#llllll II II setup default policy and flush all rnles # $!PT -P INPUT DROP $JPT-P FORWARD DROP $!PT -P OUTPUT DROP $!PT -t mangle -F $!PT -t filter -F $!PT -t nat -F $IPT-X llllllllll#llllll.#ll##llllllllllllilll###llll##ll#llll#llllllllllllllllllllll###llll####llll###llll#####ll#ll## II # 111y o\vn chain # $!PT -N my_ TCP $!PT-N my_ICMP $IPT-N my_UDP # pern1it a!l interprocess con1n1unications *thanks to squid* $!PT-A my_TCP-p tcp -s $IPLO-d $!PLO -j ACCEPT # pern1it vvhois and DNS transfer zone $!PT -A my_ TCP -p tep -m multiport --dports 43,53 ci ACCEPT #send reset for NE\V packets but have SYN and ACK bit set active $!PT-A my_TCP -p tep --tcp-flags SYN,ACK SYN,ACK -m state--state NEW -j REJECT-reject-\vith tcp-reset # block all NEW not SYN packets $!PT -A my_ TCP -p tep ! --syn -m state --state NEW ci DROP
98
# accept icn1p only for echo request and echo reply $!PT-A rny_ICMP -p icmp --icmp-typc 8 -j ACCEPT $!PT-A rny_ICMP -p icmp--icmp-lypc 0 ci ACCEPT # accept udp only for \Yhois, na1ne server and tin1e server $!PT -A my_ UDP -p udp -m multi port --dports 43,53, I 23 -j ACCEPT #prevent broadcasts (n1icrosoft net\vork) frotn sho\ving up in the logs $!PT-A rny_UDP -p udp-i $1FJNET-d $1NETBROADCAST--dport 135:139-j DROP #prevent DI~JCP requests fron1 sho\ving up in the logs $!PT-A my_UDP -p udp -i $JFINET-d 255.255.255.255 --dport 67:68 -j DROP ###llll#illl#ll#####llll####llllll###ll####llilllllll#llllll#llllll####ll#ll###ll#1lll##ll##lill#### II # no"\v \Ve load all other rules # if [ -f $BASEDJR/mangle.prerouting ]; then
. $BASEDIR/mangle.prerouting
if [ -r $BASEDIR/nat.prcrouting ]; then , $BASEDIR/nat.prerouting
ti if [ -f $BASEDJR/filter.input ]; then
. $BASEDIR/filter.input ti if [ -f $BASEDIR/filter.output ]; then
. $BASEDIR/filter.output fi if [ -f $BASEDIR/filtcr.forward ]; then
. $BASEDIR/liltcr.fonvard fi if [ -f $BASEDJR/nat.poslrouting ]; then
. $BASEDIR/nat.postrouting fi if[ -f$BASEDJR/anti.syn-Oood ]; then
. $BASEDIR/anti.syn-flood
2. File filter.input . .input II #created by: Niuhan1ad 1The RainMaker' Faiza! # WebCenter Technology Inc. # ###llll###ll#il##llil##ll###ll###ll#####ll#llll##ll#ll#illlll###llll###ll####il#ll#llll#llll#### # II FILTER table FORWARD chain II echo "FILTER FORWARD RULES ... " $!PT -t filter -A FORWARD -p tcp ci my_ TCP $!PT -l filter -A FORWARD -p icmp -j my_JCMP $IPT-t filter -A FORWARD -p udp -.i my_UDP # accept fip and ssh to and fro1n any\vhere $1PT -l filter -A FOR WARD -p tcp --dporl 2 I :22 -j ACCEPT # accept direct http request to our servers $!PT -t liltcr -A FORWARD -p lcp -d 202.162.216.194 --dport 80 ci ACCEPT $!PT -t filter -A FORWARD -p tcp -d 202. I 62.216. 196 --dport 80 ci
99
ACCEPT $1PT-t filter-A FORWARD-p tcp-d 202.162.216.203 --dport 80 ci ACCEPT # accept n1ysq! connection to \V\V\V $1PT -t filter -A FORWARD -p tcp -d 202.162.216.203 --dport 3306 -j ACCEPT # accept sn1tp only froin our local s1ntp server $1PT -t filter -A FOR WARD -p tcp -s $SMTPLOCAL --dport 25 -j ACCEPT # ichal lagi di pwkerto :P $1PT -t filter -A FORWARD -p tcp -s 192.168.37.2 --dport 25 -j ACCEPT #$1PT -t filter -A FORWARD -p tcp -·dport 25 -j LOG ··log-prefix "LOG ER ERIS" #$!PT -t filter -A FORWARD ·P tcp --dport 25 -j DROP # accept ire, ymessenger, and icq only froin our Jan $1PT -t filter -A FORWARD -p tcp -i $1FLAN --dport 6667:7000 -j ACCEPT 11$1PT -t filter ·A FORWARD -p tcp -i $IFLAN -m multiport --dports 5050,5190 -j LOG --log-prefix "[lPTABLES ACCEPT]" $!PT -t filter ·A FORWARD -p tcp -i $!FLAN -m multiport --dports 5050,5190 ci ACCEPT #$1PT -t filter -A FORWARD -p tcp -s 192.168.19.254 -m rnultiport --dports 5000,6900 -j ACCEPT ii accept https for yahoo $1PT -t filter -A FORWARD -p tcp --dport 443 ci ACCEPT # accept yahoo \Veb ca1n $!PT -t filter -A FORWARD -p tcp --dport 5100 -j ACCEPT # accept pop3 only fron1 our Ian $1PT-t filter -A FORWARD -p tcp -i $!FLAN --dport 110 -j ACCEPT # accept ans,ver/reply packets $1PT ·t filter ·A FORWARD -m state --state ESTABLISHED,RELATED ·.i ACCEPT #$!PT ·t filter-A FORWARD ci LOG --log-prefix "[lPTABLES DROP.I"
3. File anti.syn-flood II #created by: Muhan1ad 'The RainMaker' Faiza! II WebCenter Technology Inc. llll##ll##ll####llllll#####il##ll####llll#ll##llllll#ll##llllll#llll###llll/1##11111111#1111111111#1111111111 II II add-on: Anti Syn-Flood II echo "ANTI SYN-FLOOD ... " $TC qdisc del dev $!FLAN ingress 2> /dev/null $TC qdisc add dev $!FLAN handle ffff: ingress $TC filter add dev
100
$!FLAN parent ffff: protocol ip prio 50 handle 1 fw police rate I kbit burst 40 mtu 9k drnp tlowid :I $TC qdisc de! dev $1FINET ingress 2> /elev/null $TC qdisc add dev $1F!NET handle ffff: ingress $TC filter add dcv $1FlNET parent ffff: protocol ip prio 50 handle 1 fw police rate I kbit burst 40 mtu 9k drnp flowid :1
4. File 1nangle.prerouting .. prerouting
# #created by: Muhan1ad 'The RainMakcr' Faizal # WcbCenter Technology Inc. #
llll#lllltltltlllll#tltltltltllllllltl#lllllltltl#tlllllfltl#lllllltltlllll#lltllllltllllllltlllll#lltltllftltlll##lltl#llllflllll ti II FILTER table OUTPUT chain # echo "FILTER OUTPUT RULES ... " $1PT-t filter-A OUTPUT-p tcp -j my_TCP $!PT -t filter -A OUTPUT-s $!PLO -j ACCEPT $!PT -t filter -A OUTPUT -s $!PLAN ci ACCEPT $!PT -t filter -A OUTPUT -s $I PINET -j ACCEPT #$IPT-t filter-A OUTPUT ci LOG --log-prefix "[!!'TABLES DROP]"
5. File nat.postrouting .. postrouting
ti #created by: Muhan1ad 'The RainMakcr' Faizal # WebCenter Technology Inc. #llllllllllllll###llllll#ll#ll###llllllllllllllll#llllllll#llllllll##llllllll#ll#llll#tl#lll#lll###llllllllllll##ll#ll II ii NAT table POSTROUTING chain ii echo "NAT POSTROUTING RULES ... " #enable sin1ple ip forwarding and net\vork address translation $!PT -t nat -A POSTROUTING -o $IFINET -d ! $NETLAN -j SNA T -··to-source $!PINET
6. File nat.prerouting .. prerouting
# #created by: Muhan1ad 'The RainMaker' Faizal # WebCenter Technology Inc. lill##llll#llll#ll#ll#llllllllllllll####llll##ll##ll#llllll/l#ll#il#llllll#ll###llllllll#lll/1111##111111#11111111# II ii NAT table !'REROUTING chain II echo "NAT PREROUTING RULES ... " #accept direct hUp request to our servers $!PT -t nat -A PREROUTING -p tcp -d 202.162.216. I 94 --dport 80 -j ACCEPT $!PT -t nat -A PREROUTING -p tcp -d 202.162.216.194 --dport 80 -j RETURN $IPT -t nat -A PREROUTJNG -p tcp -d 202.162.216.196 --dport 80 ci ACCEPT $!PT -t nat -A PREROUTING -p tcp -d 202.162.216.196 --dport 80 -j RETURN $IPT-t nat-A PREROUTlNG -p tcp-d 202.162.216.203--dport 80-j ACCEPT $IPT-t nat -A PREROUTING -p tcp-d 202.162.216.203 --dpo1180 -j RETURN II redirect all others http and https request to squid $1PT -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to $1PLAN:3 l28 $!PT -t nat -A PREROUTJNG -p tcp --dport 443 -j DNAT --to $!PLAN :3128
101
7. File rc.flush-firewall .. flush-fire\vall
II fl created by: Muhan1ad 'The Rain!\1aker' Faizal # WebCenter Technology Ine. II
##ll####llll#######ll#######ll#ll####ll#llllll##ll##ll#ll#####ll#ll#####ll###ll####ll##ll II fl n1andatory prognuns and additional panunctcr II ARRESTER ="202.162.216.196" MAILSERVER="202. l 62.216. l 94" SMTPLOCAL="J 72.16. J. 17"
DEPMOD='whieh depmod' JP'f='v,rhich iptables' MODPROBE='which modprobe' RMMOD='which rmrnod' TC='whieh te'
II LAN and !NET parameter IFL0=-11!0" IPL0="127.0.0. I"
IFlNET=':ethO" 1PINET="202. I 62.216.200" JNETBROADCAST="202. J 62.2 J 6.207"
IFLAN=11 ethl 11
1PLAN="l 72.16. l .14" NETLAN=" 172.16.0.0/255.255.0.0"
# don't forget to export all defined parainetcrs export ARRESTER MAILSERVER SMTPLOCAL export DEPMOD lPT MODPROBE RMMOD TC export !FLO !PLO JFINET !PINET INETBROADCAST !FLAN !PLAN NETLAN
102
103
Lampiran 16: Gambar jaringan komputer PT. PLN P3B
104
Lampiran 17. Gambar. program aplikasi Antisniff
Program Aplikasi Antisniff untuk konfigurasi jaringan
program aplikasi Antisniff untuk laporan hasil
program aplikasi Antisniff untuk perkembangan penelusuran
program aplikasi Antisniff untuk laporan hasil
program aplikasi Antisniffuntuk pesan peringatan
105
Lampiran 18. Gambar. program aplikasi Attacker
program aplikasi Attacker
DAFT AR ISTILAH
Anti Virus
Program yang dibuat khusus untuk mendeteksi file di dalam suatu
drive apakah terkena virus atau tidak. Program ini sekaligus rnenghilangkan virus
tersebut
Application Layers
Lapisan paling alas dari protokol model OSI (Open System
111terconnectio11s). Tugasnya mengatur segala sesuatu yang berhubungan dengan
pertukaran data/informasi antara pemakai, software aplikasi maupun peralatan
dalam sebuah sistem
ASCII (American Standard Code for Information Interchange)
Standar huruf dan tanda baca untuk komputer. ASCII merupakan kode
berupa karakter 8 bit berbentuk angka I dan 0 untuk mewakili karakter-karakter
alpha numerik
Authentication
Verifikasi dari identitas pemakai terdiri dari nama pemakai, password,
proses, atau sistem computer untuk keamanan jaringan.
107
Bit
Unit terkecil dari infonnasi. Satu bit cukup untuk menyatakan
perbedaan antara ya dan tidak, atas dan bawah, on dan off, satu dan no!. Komputer
harus menampilkan infom1asi dalam bit karena sirkuit ele:ktronik yang dibuat
hanya memiliki dua keadaan, on atau off.
Broadcast
Pengiriman pesan ke seluruh titik dalam suatu jaringan.
Byte
Informasi dengan panjang 8 bit.
Cache
Berasal dari kata cash, dipergunakan untuk meningkatkan kecepatan
transfer data baik secara sementara maupun pennanen.
Certificate
Data yang diperlukan browser untuk mengacak dn.ya yang akan dildrim
melalui SSL.
Client
Pada Janngan, client adalah sebuah software aplikasi yang
memungkinkan pengguna untuk mengakses servis atau layanan dari !computer
server.
!08
Communications
Transfer data antara dua computer oleh suatu device sepe1ti modem
atau kabel
Congestion
Kondisi yang terjadi akibat pemanggilan suatu layanan yang melebihi
kapasitas yang dapat diterima sebuahjalur komunikasi data.
Connection
keberhasilan dalam menghubungkan dari jaringan komunikasi
Connectionless
Suatu jenis komunikasi antar unit dalam jaringan yang transmisinya
dilakukan tanpa pembentukan hubungan pendahuluan.
Cracker
Orang yang memaksa masuk ke satu sistem komputer secara ilegal.
Terkadang cracker mengganggu dan menimbulkan kerusakan pada sistem yang
dimasuki.
109
Database
Sekumpulan file yang saling terkait dan membentuk suatu bangun
data. Database minimal terdiri dari satu file yang cukup untuk dimanipulasi oleh
komputer sedemikian rupa.
Denial of Service attack
Istilah yang diberikan untuk upaya serangan dengan jalan menurunkan
kine1ja sebuah web site dengan terns menerus mengulang request lee server dari
banyak sumber secara simultan. Serangan seperti ini bertujuan membuat server
korban jadi kewalahan melayani request yang terkirim clan berakhir dengan
menghentikan aktivitas atau berhenti dengan sendirinya karena tak mampu
melayani request dan tidak dapat menyediakan pelayanan-pelayanan (denial of
service).
Domain Name Sistem
I. Sistem yang menerjemahkan antara alamat IP dan host name
Internet.
2. Sistem pemberian alamat yang digunakan dalam lingkungan
Internet. Intinya memberi nama lain pada alamat Internet Protocol
yang terdiri dari dua bagian, yaih1 identitas organisasi (nama
organisasi) dan jenis organisasi(.com, .edu, .net, dsb ).
110
Encryption
Penerjemahan data menjadi kode rahasia. Enkripsi adalah cara yang
paling efektip untuk memperoleh pengamanan data. Untuk membaca file yang di
enkrip, ldta harus mempunyai akses terhadap kata sandi yang memungldnkan kita
men-dekrip pesan tersebut. Data yang tidak di-enkrip disebut plain text, sedangkan
yang di-enkrip disebut cipher text.
Ethernet
Sebuah standar LAN meliputi kabel dan skema protokol komunikasi
yang dikembangkan oleh Xerox Corporation. Sekarang Ethernet menjadi protokol
yang banyak digunakan dan diadaptasi oleh perusahaan lain.
Exploit
Istilah untuk keberadaan sebuah celah keamanan dalam software yang
berjalan di sebuah komputer. Lewat exploit inilah peluang untuk melakukan
serangan terbuka bagi hacker.
firewall
Sebuah software program yang dipasang pada sebuah jaringan dan
bertugas memproteksi sistem komputer dengan tujuan mengamankan Network
Internal. Kadang-kadang inembutuhkan layanan Proxy untuk mengizinkan suatu
akses pada Web.
111
Hacker
Dalam dunia hacker atau underground orang·orang yang menjadi
hacker biasanya akan melalui tahapan-tahapan. Tahapan-tahapan tersebut adalah:
1. Mundane Person
Tingkatan paling bawah. Seseorang pada tingkatan ini pada dasamya
tidak tahu sama sekali tentang hacker dan cara-caranya, walaupun ia
mungkin memiliki komputer sendiri dan akses Internet. Ia hanya tahu
bahwa yang namanya hacker itu membobol sistem kompnter dan
melakukan hal-hal yang negatif (tindak kejahatan).
2. Lamer
Seseorang pada tingkatan ini masih dibingnngkan oleh seluk beluk
hacking karena ia berpikir bahwa melal.."Ukan hacking sama seperti cara
cara warez (dalam dunia underground berarti menggandakan perangkat
lunak secara ilegal). Pengetahuannya tentang hal-hal seperti itu masih
minim, tapi sudah mencoba belajar. Seseorang pada tingkatan ini sudah
bisa mengirimkan trojan (yang dibuat orang lain) Ice atau pada !computer
orang lain ketika .melakukan obrolan pada IRC atau ICQ dan menghapus
file-file mereka. Padahal ia sendiri tidak tahu persis bagaimana trojan
bekerja. Seseorang yang sukses menjadi hacker biasanya bisa melalui
tahapan ini dengan cepat bahkan melompatinya.
3. Wannabe
Pada tingkatan ini seseorang sudah mengetahui bahwa melakukan
tindakan hack itu lebih dari sekedar menerobos masuk ke !computer orang
112
lain. la lebih menganggap ha! tersebut sebagai sebuah filsafat atau way of
life. Akhimya ia jadi ingin tahu lebih banyak lagi. Ia mulai mencari,
membaca dan mempelajari tentang metode-metode hacking dari berbagai
sumber.
4. Larva
Juga dikenal dengan sebutan newbie. Pada tingkatan ini ia sudah
memiliki dasar-dasar teknik hacking. Ia akan mencoba menerobos masuk
ke sistem orang lain hanya untuk mencoba apa yang sudah ia pelajari.
Meskipun demikian, pada tingkatan ini ia 111enge1ii bahwa ketika
melakukan hacking ia tidak hams mernsak sistem atau menghapus apa
saja jika ha! itu tidak diperlukan untuk menutupijejaknya.
5. Hacker
Sebenamya sulit untuk mengatakan tingkatan akhir atau final dari hacker
telah tercapai, karena selalu saja ada sesuatu yang barn untuk dipelajari
atau ditemukan (mengumpulkan infonnasi dan mempelajarinya dengan
ce1mat mernpakan dasar-dasar yang sama bagi seorang hacker) dan ha!
tersebut juga tergantung perasaan (feeling). Meskipun demikian, menjadi
seorang hacker memang lebih menjurns pada hal pemikiran. Hacker
dengan Keahlian. khusus. Seorang hacker dapat mencapai pengalaman
dan keahlian pada bidang-bidang tertentu seperti sistem operasi atau
sebuah Aplikasi. Dalam ha! ini ada dua tingkatan, yaitu :
I. Wizard
113
Istilah ini diberikan pada seseorang yang telah memiliki pengetahuan
luas dibidangnya. Kemampuannya tersebut tidak diragukan lagi.
2. Guru
Istilah ini digunakan pada seseorang yang mcngetahui semua hal
pada bidangnya, bahkan yang tidak terdokumentasi. Ia
mengembangkan trik-trik tersendiri melampaui batasan yang
diperlukan. Kalau bidangnya berkaitan dengan aplikasi, ia tahu lebih
banyak daripada pembuat aplikasi tersebut.
Karakter hacker yang bersifat merusak, yaitu :
I. Dark-side Hacker
lstilah ini diperoleh dari film Star Wars-nya George Lucas. Seorang
Dark-side hacker sama seperti Daith Vader (tokoh dalam film Star
Wars) yang tertarik dengan kekuatan kegelapan. Hal ini tidak ada
hubungannya dengan masalah "baik" a tau "j ahat" tapi lebih kepada
masalah "sah (sesuai hukum yang berlaku)" dan ••kekacauan". Seorang
Dark-side hacker punya kemampuan yang sama clengan semua hacker,
tapi "sisi gelap" dari pikirannya membuat ia merijadi unsur berbahaya
untuk semua komunitas.
2. Malicious Hacker
Istilah untuk menyebut seseorang yang merusak sistem orang lain
untuk sekedar iseng (tidak merasa bersalah) tanpa memperoleh apa pun
dari tindakannya tersebut.
114
Host
Istilah yang digunakan untuk menunjuk sebuah komputer yang
memungkinkan penggunanya terhubung ke Internet.
Internet
lstilah umum yang dipakai untuk menunjuk Network tingkat dunia
yang terdiri dari komputer dan layanan servis atau sekitar 30 sampai 50 juta
pemakai komputer dan puluhan sistem informasi ternmsuk e-mail, Gopher, FTP
dan World Wide Web.
Intranet
Sumber daya infornrnsi yang digunakan unl11k kepentingan internal
dari suatu instansi atau perusahaan dengan menggunakan jaringan ]computer yang
ada.
Intrusion Detection System
Sama seperti firewall, Intrusion Detection System (IDS) ini merupakan
penghambat semua niat jahat yang akan mengganggu sebuah jaringan. Bedanya
IDS ini lebih maju selangkah dengan kemampuannya memberi peringatan admin
server saat terjadi sebuah aktivitas tertent11 yang tidak diinginkan admin sebagai
penanggung jawab. Selain memberi peringatan dini, IDS juga memberi beberapa
a lat ban tu untuk melacak jenis dan snmber aktivitas terlarang terse but.
115
IP address
Alamat numeric unik dari sebuah komputer di Internet. IP address
komputer Anda sama dengan nomor tclepon Anda sendiri dalam fungsinya.
LAN
Sebuah jaringan yang dibangun pada sebuah lokasi seperti di rumah
ataupun gedung perkantoran. Bisa diartikan juga sebagai sebuah sistem
komunikasi komputer yang jaraknya dibatasi tidak lebih dad beberapa kilometer
dan menggunakan koneksi high-speed antara 2 hingga I 00 Mbps.
Land Attack
Serangan kepada sistem dengan menggunakan program yang bernama
"land". Apabila serangan diarahkan kepada sistem Windows, maka sistem yang
tidak diproteksi akan menjadi hang (dan bisa keluar layar biru). Demikian pula
apabila serangan diarahkan ke sistem UNIX versi lama, maka sistem akan hang.
Jika serangan diarahkan ke sistem Windows NT, maka sistern akan sibuk dengan
penggunaan CPU mencapai I 00% untuk beberapa saat seh:ingga sistem terlihat
seperti macet. Program land menyerang server yang dituju dengan mengirimkan
packet palsu yang seolah-olah berasal dari server yang dituju. Dengan kata lain,
source dan destination dari packet dibuat seakan-akan berasal dari server yang
dituju. Akibatnya server yang diserang menjadi bingung.
116
Modem (MOdulation/DEModulation)
· Sebuah perangkat yang menerjemahkan infonr.1asi digital ke sinyal
analog dan sebaliknya.
Network
Sekelompok komputer yang terhubung yang bisa saling berbagi
sumber daya (seperti printer atau modem) dan data.
Network Adapter
Sebuai1 perangkat keras yang digunakan untuk menghubungkan
komputer ke jaringan. Sebuah network adapter bisa bernpa kaitu PCI ataupun
terhubung dengan sebuah komputer secara ekstemal melalui USB atau parallel
poit.
Network Administrator
Orang yang bertanggung jawab untuk mengurns network serta
membantu para pemakai.
Ping
Packet Internet Groper. Suatu program test koneksi yang mengirim
suatu paket data kepada host dan menghitung lamanya waktu yang dibutuhkan
untuk proses pengiriman tersebut.
117
Ping Broadcast
Serangan dengan menggunakan ping ke alamat broadcast, sering
disebut juga dcngan smurf. Selurnh komputer (device) yang bcrada di alamat
broadcast tersebut akan menjawab.Ping Broadcast biasanya dilakukan dengan
menggunakan IP spoofing, yaitu mengubah nomor IP dari datangnya request.
Dengan menggunakan IP spoofing, respon dari ping tadi dialamatkan ke komputer
yang IP-nya di spoof. Akibatnya komputer tersebut akan menerima banyak
packet.
Ping-0-Death
Serangan dengan cara eksploitasi program ping dengan memberikan
packet yang ukurannya besar ke sistem yang dituju. Beberapa sistem UNIX
menjadi hang ketika diserang dengan cara ini. Program ping umum terdapat di
berbagai sistem operasi, meskipun umumnya program ping tersebut mengirimkan
packet dengan ukuran kecil (tertentu) dan tidak memiliki fasilitas untuk mengubah
besarnya packet. Salah satu implementasi program ping yang dapat digunakan
untuk mengubah ukuran packet adalah program ping yang ada di sistem operasi
Windows 95.
Protokol
Suatu kesepakatan mengenai bagaimana komun.ikasi akan dilakukan
(Tanenbaum, 1992).
118
Proxy Server
Proxy server beke1ja dengan menjembatani komputer ke Internet.
Program Internet seperti browser, download manager dan lain-lain berhubungan
dengan proxy server, dan proxy server tersebut yang akan berkomunikasi dengan
server lain di Internet.
Public Key Encription
Sistem enkripsi (penyandian) yang menggnnakan dua kunci, yaitu
kunci publik dan kunci privat. Kunci publik diberitalrnkan oleh pemilik dan
digunakan oleh semua orang yang ingin mengirimkan pesan terenkripsi kepada
pemilik kunci. Kunci privat dignnakan oleh pemilik kunci untuk membuka pesan
terenkripsi yang ia terima
Server
1. Sebuah komputer di Internet atau di jaringan lainnya yang menyimpan
file dan membuat file terse but tersedia untuk diambil jika dibutuhkan.
· 2. Sebuah aplikasi jaringan komputer yang dignnakan untuk melayani
banyak pengguna dalam satu jaringan.
Signature
Ciri khusus infonnasi pribadi yang digwmkan dalam e-mail atau news group,
biasanya beiisi file atau secara otomatis terkait dengan mail atau post
119
Situs
Sebua!l komputer yang terhubung oleh Internet, dan menyajikan
inforrnasi atau layanan, seperti newsgroups, e-mail, atau halaman web.
Subnet Mask
Angka biner 32 bit yang digunakan untuk rnembedakan network ID
dengan host ID, menunjukkan letak suatu host, apakah berada di jaringan lokal
atau jaringan luar.
TCP/IP (Transmission Control Protocol/Internet Protocol)
Protokol komunikasi yang rnula-mula dikembangkan oleh Depmiemen
Pe1iahanan AS. TCP/IP menyediakan jalur transp01tasi data sehingga sejumlah data
ym1g dikirirn oleh suatu server dapat diterima oleh server yang lain. TCP/IP
mernpakan protokol yang memungkinkan sistem di selumh dunia berkomunikasi
pada jaringm1 tunggal yang disebut Internet
Trojan Horse
Sebuah aplikasi yang didesain untuk melakukan sebuah kecurangan
narnun terselubung dengan kebaikan. Biasanya metode yang dipakai adalah
dengan rnenyelipkan (attach file lewat e-mail) sebuah file tertentu yang
mengandung Trojan Horse namun dengan kernasan menarik. Kalan Trojan Horse
berhasil menginfeksi maka bisa dipastikan hacker bisa mendapat akses tak
120
terhingga ke komputer korban. Tiga jenis Trojan Horse yang popular digunakan
adalah Bae Orifice, NetBus, dan SubSeven.
Virus
sebuah program atau kode yang dapat mereflikasikan dirinya; dapat
menginfeksi program-program Jain, boot sector, sector partisi, atau dokumen yang
mendukung makro, dengan cara memasukan dirinya sendiri kedalam media
itu.kebanyakan virus hanya mereflikasi, tapi banyak juga yang menimbulkai1
kerusakan yang fatal.
Workstation
Single-user komputer berdaya penuh yang kebanyakan berjalan di
bawah sistem operasi UNIX. Workstation dih1jukan bagi high-end graphics dan
aplikasi desain tambahan . Umum disebut juga sebagai graphics workstation. Saat
ini, workstation dipakai .untuk menyebut komputer yang terhubung ·ke suatu
jaringan.
\Vorrn
Program yang dapat mereplikasi dirinya dengan menggunakan media
komputer. Sifatnya dekstruktif terhadap disk dan memori juga menyebabkan
kerusakan pada sistem dan memperlambat kinerja komputer dalam mengaplikasi
sebuah program. Disebut juga virus.