Upload File

laporan hybrid firewall

26
 Nama : Aburizal K Kelas : XI TKJ-B HYBRID FIREWALL DIAGNOSA LAN Instruktur : Rudi Haryadi Chandra Dewi L I. Pendahuluan Hybrid Firewall merupakan gabungan antara firewall dengan proxy, yang dimana user yang terdapat dalam perlindungannya mendapat pengawalan berlapis dari firewall (contoh: iptables) dan proxy server. Cara dari hybrid firewall ini dengan melaukan aksi redirect menuju port atau alamat dari proxy server tersebut, dengan cara ini memudahkan user untuk tidak melakukan setting proxy server. Proxy sendiri dapat dipahami sebagai pihak ketiga yang berdiri ditengah-tengah antara kedua pihak yang saling berhubungan dan berfungsi sebagai perantara, sedemikian sehingga pihak pertama dan pihak kedua tidak secara langsung berhubungan, akan tetapi masing-masing berhubungan dengan perantara, yaitu Proxy. Sebuah analogi; bila seorang mahasiswa meminjam buku di perpustakaan, kadang si mahasiswa tidak diperbolehkan langsung mencari dan mengambil sendiri buku yang kita inginkan dari rak, tetapi kita meminta buku tersebut kepada petugas, tentu saja dengan memberikan nomor atau kode bukunya, dan kemudian petugas tersebut yang akan mencarikan dan mengambilkan bukunya. Dalam kasus diatas, petugas perpustakaan tersebut telah bertindak sebagai perantara atau Proxy. Petugas tersebut juga bisa memastikan dan menjaga misalnya, agar mahasiswa hanya bisa meminjam buku untuk mahasiswa, dosen boleh meminjam buku semua buku, atau masyarakat umum hanya boleh meminjam buku tertentu. II. Tujuan Siswa mampu mengkonfigurasi hybrid firewall dengan benar

Upload: aburizal-kusnadi

Post on 21-Jul-2015

164 views

Category:

Documents


1 download

Report

TRANSCRIPT

Nama : Aburizal K Kelas : XI TKJ-B

HYBRID FIREWALL

DIAGNOSA LAN Instruktur : Rudi Haryadi Chandra Dewi L

I. Pendahuluan

Hybrid Firewall merupakan gabungan antara firewall dengan proxy, yang dimana user yang terdapat dalam perlindungannya mendapat pengawalan berlapis dari firewall (contoh: iptables) dan proxy server. Cara dari hybrid firewall ini dengan melaukan aksi redirect menuju port atau alamat dari proxy server tersebut, dengan cara ini memudahkan user untuk tidak melakukan setting proxy server. Proxy sendiri dapat dipahami sebagai pihak ketiga yang berdiri ditengah-tengah antara kedua pihak yang saling berhubungan dan berfungsi sebagai perantara, sedemikian sehingga pihak pertama dan pihak kedua tidak secara langsung berhubungan, akan tetapi masing-masing berhubungan dengan perantara, yaitu Proxy. Sebuah analogi; bila seorang mahasiswa meminjam buku di perpustakaan, kadang si mahasiswa tidak diperbolehkan langsung mencari dan mengambil sendiri buku yang kita inginkan dari rak, tetapi kita meminta buku tersebut kepada petugas, tentu saja dengan memberikan nomor atau kode bukunya, dan kemudian petugas tersebut yang akan mencarikan dan mengambilkan bukunya. Dalam kasus diatas, petugas perpustakaan tersebut telah bertindak sebagai perantara atau Proxy. Petugas tersebut juga bisa memastikan dan menjaga misalnya, agar mahasiswa hanya bisa meminjam buku untuk mahasiswa, dosen boleh meminjam buku semua buku, atau masyarakat umum hanya boleh meminjam buku tertentu.

II. TujuanSiswa mampu mengkonfigurasi hybrid firewall dengan benar

III. Data TeknisA. TopologiBerikut Topologi yang digunakan : A1. Redirect Port

Topologi 1

Dalam topologi ini, router berperan ganda sebagai firewall dan sekaligus sebagai proxy server, sehingga firewall cukup melakukan redirect port yang asalnya 80 menjadi 3128 sebagai port dari proxy server, sehingga client tidak perlu melakukan setting proxy server di browsernya.

A2. Redirect Address

Topologi 2

Kali ini router yang berfirewall tidak dipasang sebagai proxy server, sehingga perlu adanya redirect address dan port, maka firewall tinggal melakukan pembelokan ke 10.10.10.2:3128 ketika ada permintaan http dari client. Sehingga client tidak perlu melakukan settingan proxy server di browsernya.

B. Alat & BahanB1. Mesin untuk topologi1, memerlukan 2 mesin : (1. Proxy server, Firewall, Router : Debian 5 :spesifikasi

2. Client : Ubuntu Desktop 10.10. :spesifikasi

)

Untuk topologi 2, memerlukan 3 mesin : (1. Proxy server : Debian 5spesifikasi

2. Firewall, Router : Ubuntu Server 10.04 :Spesifikasi

3. Client : Ubuntu Desktop 10.10 :Spesifikasi

) B2. Aplikasi 1. Squid : Proxy server 2. Iptables: Firewall (sudah terinstalasi sudah terinstalasi di firewall) 3. Mozilla Firefox : Browser (sudah terinstalasi di client)

IV. Langkah KerjaPada laporan kali ini terdapat beberapa sub bagian antara lain : A. Konfigurasi Proxy server : A1. Cache management A2. Konfigurasi Access Control List (ACL) B. Konfigurasi transparent proxy : B1. Redirect port B2. Redirect Address C. Konfigurasi keamanan proxy C1. Konfigurasi autentifikasi proxy

A. Konfigurasi Proxy Server1. Aplikasi yang digunakan ialah squid (vers 2.7), untuk menginstallnya lakukan perintah :apt-get install squid

2. Setelah itu lakukan kostumisasi di bagian /etc/squid/squid.conf nano /etc/squid/squid.conf Selanjutnya ikuti konfigurasi di bawah ini, karena didalam squid.conf banyak sekali option maka tambahkan konfigurasi dibawah dari konfigurasi default atau hapus yang default dan ganti dengan yang dibawah ini,

A1. Cache Management Masukan konfigurasi seperti di gambar

Gambar a1

Gambar a2

cantumkan identias sebagai pemilik atau pihak yang bertanggung jawab terhadap proxy server seperti pada gambar a2 Jangan lupa buat terlebih dahulu direktori /cache dan atur hak kepemilikannya agar dapat diakses oleh semua mkdir /cache chmod R 777 /cache

Berikut bebrapa pengertian dari option diatas,http_port 3128 icp_port 0 : port yang digunakan squid (3128) : port yang digunakan untuk sesame proxy server saling berhubungan : besar ukuran dari memori yang digunakan proxy (besar max 1/8 dari memori mesin , contoh besar memory 128 mb maka maximumnya ialah 16 MB,maka 8 MB masih bisa digunakan untuk besaran memorinya)

cache_mem 8 MB

cache_swap_low 90 cache_swap_high 95 : besar ukuran dari swap memori cache (dalam %), begitu mencapai angka low cache akan mulai dihapus, dan ketika mencapai high penghapusan ini akan semakin sering dan agresif

maximum_object_size 16 MB minimum_object_size 4 KB : batasan ukuran yang memungkinkan di save ke dalam cache, object yang di save berkisar antara minimum size maximum size , contoh maka object yang akan di save kedalam cache yaitu yang berukuran 4KB-16MB. : besaran object yang akan dipertahankan dalam cache, ketika terjadi pengosongan cache maka besar minimum yang dipetahankan cache yaitu 4 MB

maximum_object_size_in_memory 4 MB

fqdncache_size 1024

: besar cache fqdn (untuk translasi alamat dengan domain)

cache_replacement_policy heap GDSF memory_replacement_policy heap GDSF : algoritma yang digunakan ketika pergantian cache

cache_dir ufs /usr/local/squid/cache

100 20 10

Lokasi dari cache, 100 merupakan ukuran cache dalam MB, 20 ialah banyaknya direktori pada level 1 , 10 yaitu banyaknya direktori pada level2 (di dalam direktori level 1 terdapat masing masing 10 direktori lagi)

visible_hostname

: nama mesin yang akan dimunculkan begitu ada tampilan error : nama administrator (berupa link mailto), berisi seorang yang bertanggung jawab akan proxy server tersebut

cache_mgr

tambahkan transparent setelah http_port untuk ketika membangun transparent proxy

Opsi tambahan

A2. Konfigurasi Access Control List (ACL)

Gambar a2

Berikut pengertian dari acl diatas : acl situs dstdomain .twitter.com .kshownow.net http_access deny situs acl yang memiliki jenis dstdomain memiliki parameter nama domain sebagai parameternya, diblok atau tidaknya tergantung dari action yang diberikan di http_access apakah itu allow (membolehkan)atau deny (melarang). Untuk kasus diatas initinya : melakukan blok terhadap situs yang berdomain .twitter.com dan .kshownow.net (situs tersebut hanya contoh silahkan diubah sesuai kebutuhan). acl kata url_regex i /etc/squid/kataterlarang http_access deny kata acl yang memiliki jenis url_regex memiliki inputan kata sebagai parameternya, dan direktori tersebut ialah note yang berisi kata terlarang contohnya sebagai berikut,

Gambar a3

Aksi selanjutnya tergantung kita, pada umumnya action yang digunakan yaitu deny, sehingga ketika user mengetikan kata tersebut di pencarian, proxy server akan membloknya acl macaddr arp 08:00:27:e7:6c:0c http_access allow macaddr acl ini berfungsi untuk menginputkan macaddress dari client, bisa saja kita hanya memperbolehkan user dengan mac address tertentu untuk menggunakan proxy server ataupun sebaliknya. Untuk contoh aksi yang dilakukan untuk mac address diatas ialah di allow atau di perbolehkan menggunakan proxy server. Ingat arp hanya berlaku untuk alamat mac yang berdada dalam satu network / broadcast domain yang sama. acl lan src 10.10.1.0/24 http_access allow lan acl src berfungsi menentukan siapa saja client yang dilayani oleh proxy server berdasarkan ip dari client tersebut, untuk contoh diatas maka yang menjadi client dari proxy server ialah semua client yang berada dalam network 10.10.1.0/24. acl waktu time MTWHF 06:30-09:30 http_access deny waktu untuk time yaitu pengkontrolan penggunaan proxy server berdasarkan waktu , parameter yang digunakan yaitu hari : Senin (M), Selasa(T), Rabu (W), Kamis(H), Jumat(F), Sabtu(A), Minggu (S). diikuti dengan jamnya. Contoh diatas berarti melarang penggunaan proxy pada hari senin sampai jumat dari jam 06:30 sampai jam 09:30, selebihnya penggunaan proxy server diperbolehkan.

acl all dst 0.0.0.0/0 http_access allow all acl dst yaitu kebalikan dari src, dst yaitu tujuan alamat yang diakses melalui proxy server, untuk contoh diatas ialah memperbolehkan akses kemana pun, untuk versi yang sekarang biasanya cukup aksinya saja tidak perlu menambahkan acl, tap karena versi yang saya gunakan mengharuskan untuk mendeskripsikan all, maka acl inilah yang digunakan.

TambahanSebelum melakukan restart dari squid lakukan pembuatan swap dengan perintah #squid z dan jika tidak ada error lakukan restart service #invoke-rc.d squid restart. Ingat untuk aksi (http_access), semua aksi dibaca dari atas jadi jangan menaruh allow all diatas karena akan membolehkan seluruh aksi dibawahnya.

B. Konfigurasi transparent proxy :Sebelum melakukan konfigurasi transparent proxy, tambahkan chain NAT (masquerade) Iptables t nat A POSTROUTING s (network dari client) o (interface yang berada disebrang dari networki client, interface ke luar) j MASQUERADE B1. Redirect port Untuk redirect port maka topologi yang digunakan ialah topologi 1, perintah

iptables t nat A PREROTUING s 10.10.10.0/24 p tcp m tcp dport 80 j REDIRECT to-port 3128

menambahkan aksi redirect di chain PREROUTING dengan melakukan redirect segala yang berasal dari network 10.10.1.0/24 dengan port 80 (http) berprotokol tcp menjadi port 3128 (squid). m sendiri berarti match atau menyamakan dengan p.

B2. Redirect Address Untuk redirect address maka topologi 2 lah yang digunakan, perintah

Iptables t nat A PREROUTING s 10.10.1.0/24 p tcp m tcp dport 80 j DNAT todestination 10.10.10.2:3128 Menambahkan aksi DNAT di chain PREROUTING, yang berguna melakukan redirect segala yang berasal dari network 10.10.1.0/24 dengan port 80 dan protokol tcp menuju alamat 10.10.10.2 dengan port 3128

C. Konfigurasi keamanan proxy Patut diingat sebelumnya, autentifikasi proxy tidak akan berjalan di transparent proxy, maka dari itu topologi yang disarankan ialah topologi 1, dan lakukan settingan proxy server di browser client C1. Konfigurasi autentifikasi proxy

Sedikit penjelasan dari konfigurasi diatas, auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/pass Dalam autentifikasi terdapat banyak mode metode salah satunya ialah metode ncsa, yang dimana datanya disimpan di /etc/squid/pass. Data tersebut berisi nama user dan password yang dienkripsi. auth_param basic casesensitve off mematikan casesensitive dari form login, sehingga username tidak harus sama persis seperti pada saat mendaftar.

auth_param basic credentialsttl 20 minutes auth_param basic children 4 auth_param basic children 4: Jumlah dari proses autentikasi yang akan dilakukan. auth_param basic credentialsttl 20 minutes :merupakan jumlah jeda waktu validasi yang akan dilakukan untuk meminta username dan password dari user. Dalam hal ini, username diset menjadi 20 menit

auth_param basic realm menampilkan tulisan yang akan muncul di form autentifikasi acl ncsa_users proxy_auth REQUIRED http_access allow ncsa_users menjadikan proxy server membutuhkan autentifikasi sebelumnya.

C2. Menambahkan user pengguna autentifikasi tersebut, Buat terlebih dahulu text yang nantinya menjadi acuan autentifikasi, berisi user dan password yang dienkrpsi, #htpasswd c /etc/squid/pass abu Keterangan : -c (create) : membuat file tersebut abu :nama user

nantinya tinggal lakukan perintah #htpasswd /etc/squid/pass (nama user), lalu tinggal masukan passwordnya.

*keterangan : jika htpasswd tidak ditemukan Coba lakukan instalasi paket apache2 #apt-get install apache2

C3. Membatasi user di autentifikasi Untuk contoh dari konfigurasi diatas, ialah membatasi akses dari user squid dan membolehkan akses dari user abu acl user proxy_auth abu acl blok proxy_auth squid http_access allow user http_access deny squid dengan begitu user squid tidak dapat mengakses proxy server.

V. Hasil Kerjaa. untuk transparent proxy a1. Redirect port Sebelum

Testing via whatismyip.com Tidak terdeteksi adanya proxy server Sesudah

Melakukan testing melalui situs whatismyip.com , disana terlihat jika koneksi yang dilakukan melewati sebuah proxy server yang visible hostnamenya sama dengan yang dikonfigurasi sebelumnya, ini berarti redirect berhasil dilakukan

a2. Redirect address sebelum

Melalui whatismyip, dinyatakan tidak terdapat proxy server

Sesudah

Melewati situs yang sama, kali ini proxy server terdeteksi

b. cache management Hal yang akan dibuktikan ialah visible_hostname dan cache_mgr, berikut hasilnya

c. Konfigurasi Access Control List c1. acl domain setelah diterapkan (twitter.com)

Sebelum diterapkan

c2. Acl time diluar waktu

Ketika waktu pembatasan berlaku

c3. Acl url_regex sesudah client tidak dapat mencari informasi dengan kata sexy, salah satu kedalam kata yang diblok

Sebelum Client dapat melakukan pencarian dengan kata sexy

c4. acl arp mac address dari client di deny

mac address dari client di allow

c5. acl src client menggunkan ip yang diperbolehkan

Network address client di blok

c6. Acl dst sebelum, ketika destination to anywhere di allowkan

Setelah acl di deny,

d . autentifikasi d1. Menghadirkan form autentifikasi

d2. Menghadirkan fungsi realm

d3. Melakukan blok terhadap satu user (squid)

Form akan merefresh sendiri halaman, dan kembali kosong.

VI. KesimpulanSiswa mampu mengkonfigurasi hybrid firewall dengan benar


LAPORAN RESMI KEAMANAN JARINGAN KONFIGURASI FIREWALL

JENIS-JENIS FIREWALL Ada 2 jenis firewall : Software firewall kelebihan software firewall

Materi - 5 - Firewall

Firewall Risa Nuri

OPTIMALISASI JARINGAN MENGGUNAKAN FIREWALL

Panduan Penggunaan Firewall

Port dalam firewall komputer

paramerter hybrid

Simple Firewall MikroTik

Pembuatan Prototipe Firewall pada Embedded PC Dengan ......berfungsi sebagai firewall dan bagaimana konfigurasinya. • Arsitektur firewall yang dibangun pada sebuah Embedded PC dan

10 tk3193-firewall 2

LAMPIRAN Instalasi Endian Firewall. - digilib.esaunggul.ac.id · L1 LAMPIRAN . Instalasi Endian Firewall. Pada server sistem operasi yang digunakan adalah Endian firewall yang merepukan

LAPORAN TUGAS AKHIR PERANCANGAN HYBRID ENERGY …

Chapter 5 firewall

LAPORAN TUGAS AKHIR OPTIMASI PEMBANGKIT HYBRID PLN-SOLAR

Hybrid Financing

Pembobolan Firewall Bank

Laporan Firewall Dan Iptables

Laporan Pendahuluan Firewall

Firewall mikrotik

Paket Filtering Firewall

Firewall di GNU/Linux

[Files.indowebster.com] Bab11 Firewall

14. Firewall

Laporan Praktek Penerapan Firewall

Firewall di linux dengan snort

Sistem keamanan jaringan (firewall)

Laporan Firewall

Firewall, NAT dan Proxy Server

Memasang firewall

Perangkat Lunak Penguji Kebocoran pada Firewall di Sisi ...repository.uksw.edu/bitstream/123456789/1062/2/ART_Indrastanti R...Firewall server ataupun perangkat keras firewall menerapkan

Tutor hybrid

LAPORAN SKRIPSI PENERAPAN HYBRID LEARNING PADA

Phising Firewall

Security firewall 1