penerapan stateful firewall pada arsitektur...
TRANSCRIPT
x
PENERAPAN STATEFUL FIREWALL PADA ARSITEKTUR DUAL-
HOMED HOST
(STUDI KASUS : PT PLN(PERSERO) APL MAMPANG)
SkripsiSebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Komputer (S.Kom)
OlehARIEFATI WIRATAMA
NIM: 104091002861
PROGRAM STUDI TEKNIK INFORMATIKA
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI
SYARIF HIDAYATULLAH
JAKARTA
2010 M./1431 H.
xi
PENERAPAN STATEFUL FIREWALL PADA ARSITEKTUR DUAL-
HOMED HOST
(STUDI KASUS : PT PLN(PERSERO) APL MAMPANG)
Skripsi
Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Komputer
Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
Oleh
ARIEFATI WIRATAMA
104091002861
PROGRAM STUDI TEKNIK INFORMATIKA
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI
SYARIF HIDAYATULLAH
JAKARTA
2010 M/1431 H
xii
PENERAPAN STATEFUL FIREWALL PADA ARSITEKTUR DUAL-HOMED HOST
(STUDI KASUS : PT PLN(PERSERO) APL MAMPANG)
SkripsiSebagai Salah Satu Syarat Untuk Memperoleh Gelar
Sarjana Komputer
Fakultas Sains dan TeknologiUniversitas Islam Negeri Syarif Hidayatullah Jakarta
Oleh :
Ariefati Wiratama104091002861
Menyetujui,Pembimbing I,
Arini, M.T M.Eng.NIP. 19760131 200901 2 001
Pembimbing II,
Victor Amrizal, M.KomNIP. 150 411 288
Mengetahui,
Ketua Program Studi Teknik Informatika
Yusuf Durrachman, M.Sc, MITNIP. 19710522 200604 1 002
xiii
PENGESAHAN UJIAN
Skripsi yang berjudul ”PENERAPAN STATEFULL FIREWALL PADAARSITEKTUR DUAL-HOMED HOST (Studi Kasus : PT. PLN(PERSRO) APLMampang)” telah diuji dan dinyatakan lulus dalam sidang munaqosah FakultasSains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta. Pada”Hari”, XX Juni 2010. Skripsi ini telah diterima sebagai salah satu syarat untukmemperoleh gelar sarjana strata satu (S1) program studi Teknik Informatika
Jakarta, Juni 2010Menyetujui,
Penguji I, Penguji II,
Husni Teja Sukmana, Ph.D Herlino Nanang, MT NIP. 1977103 200112 1 03 NIP.19731209 200501 1 002
Pembimbing I, Pembimbing II,
Arini, MT, M.Eng. Victor Amrizal, M.KomNIP. 19760131 200901 2 001 NIP. 150 411 288
Mengetahui,
Dekan, Fakultas Sains dan Teknologi Ketua Program Studi, Teknik Informatika
DR. Syopiansyah Jaya Putra, M. Sis Yusuf Durrachman, MITNIP. 19680117 200112 1 001 NIP. 19710522 200604 1 002
xiv
PERNYATAAN
DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR –
BENAR HASIL KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN
SEBAGAI SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI
ATAU LEMBAGA MANAPUN.
Jakarta, Juni 2010
Ariefati Wiratama
NIM. 104091002861
xv
ABSTRAK
Ariefati Wiratama. Penerapan Statefull Firewall pada Arsitektur Dual-HomedHost. Dibimbing oleh ARINI dan VICTOR AMRIZAL
Keamanan jaringan merupakan kebutuhan yang penting bagi personal terlebih lagiperusahaan. Minimnya fungsi dari personal firewall dan mahalnya sebuahhardware firewall ini lah yang menjadi kendala dalam penerapan suatu firewall.IPCop merupakan suatu statefull firewall yang memfilter dari layer transportsampai layer application. IPCop diterapkan pada arsitektur firewall dual-homedhost yang menggunakan sedikitnya 2NIC pada sebuah PC. IPCop, juga bertindaksebagai proxy yang transparan sebagai gateway untuk mengakses layanan internetdan melakukan access-control kepada user. Di dalam penelitian ini pembangunansistem terdiri dari beberapa elemen yang mendefinisikan fase, tahapan, langkah,atau mekanisme proses spesifik. Tahapan dalam pembangunan ini terdiri darianalisis, desain, simulasi prototipe, pengamatan/monitoring, dan manajemen.Firewall diuji dengan akses konten internet yang diblokir dan port scanning. Hasilpengujian menunjukkan bahwa penerapan statefull firewall yang menggunakanarsitektur dual-homed host pada PT.PLN(PERSERO) APL Mampang dapatberjalan dengan baik sebagai firewall yang mudah dikonfigurasi untukmengamankan jaringan.
Kata kunci : stateful firewall, dual-homed host, IPCop
xvi
KATA PENGANTAR
Assalamu alaikum Warahmatullahi Wabarakatuh
Segala puji kehadirat Allah SWT yang telah memberikan nikmat iman,
nikmat islam, dan nikmat hidup sehingga penulis dapat menyelesaikan skripsi ini
dengan baik. Shalawat dan salam semoga tetap tercurahkan kepada suri tauladan
kita Rasulullah Muhammad SAW yang telah berhasil membawa manusia ke
dalam dunia yang penuh peradaban. Amin.
Skripsi merupakan salah satu tugas wajib mahasiswa sebagai persyaratan
untuk menyelesaikan program studi Strata 1 (S1) di Universitas Islam Negeri
Syarif Hidayatullah Jakarta. Sejauh ini penulis menyadari sepenuhnya masih
banyak kekurangan-kekurangan pada skripsi ini, yang disebabkan karena
terbatasnya kemampuan dan pengetahuan yang penulis miliki, Dalam penyusunan
skripsi ini, penulis mendapat bimbingan dan bantuan dari berbagai pihak, oleh
karena itu perkenankanlah pada kesempatan ini penulis mengucapkan terima kasih
kepada :
1. DR. Syopiansyah Jaya Putra, M.Sis, selaku Dekan Fakultas Sains dan
Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta
2. DR. Yusuf Durrachman, MIT selaku Ketua Program Studi Teknik
Informatika.
3. Arini, MT, M.Eng dan Victor Amrizal, M.Kom, selaku Pembimbing I dan
Pembimbing II, yang secara kooperatif, penuh kesabaran memberikan nasihat
xvii
dan saran-saran berharga secara bijak dan membantu membimbing penulis
dalam penyelesaian skripsi ini.
4. Seluruh Dosen Program Studi Teknik Informatika yang tidak dapat penulis
sebutkan satu persatu, terima kasih atas pengajaran dan ilmunya yang
bermanfaat bagi penulis.
5. Staf karyawan Fakultas Sains dan Teknologi dan Prodi TI, yang telah banyak
membantu penulis dalam hal administrasi di kampus.
6. Manajer PT. PLN PERSERO APL Mampang, beserta seluruh staff yang telah
banyak membantu penulis dalam penelitian di lapangan.
Akhir kata semoga skripsi ini bermanfaat bagi penulis khususnya dan
bagi para pembaca umumnya, sebagai manusia dengan segala kerendahan
hati, penulis menyadari bahwa skripsi ini masih jauh dari kesempurnaan.
Saran dan kritik yang konstruktif dari pembaca sangat penulis harapkan.
Semoga pembaca memperoleh tambahan pengetahuan setelah membacanya.
Wassalamu alaikum Warahmatullahi Wabarakatuh
Jakarta, Juni 2010
Penulis
xviii
LEMBAR PERSEMBAHAN
Skripsi ini khusus penulis persembahkan kepada pihak-pihak yang
telah memberikan dukungan baik secara moril maupun materil dalam
menyelesaikan penelitian skripsi ini , diantaranya adalah :
1. Orang tua tercinta, Ayahanda H. Zainal Fanani dan Ibunda Hj. Yulia
Herliyanti, yang telah menunggu penulis menyelesaikan kuliah dengan
penuh kesabaran dan kasih sayang, yang selalu memberikan nasehat,
bimbingan dan motivasi. Semoga Allah selalu melimpahkan rahmat dan
ampunan-Nya kepada Ayahanda dan Ibunda. Amin
2. Adik–adikku, Renaldi Fardani dan Egi Yunandi yang sering
mengingatkan penulis untuk rajin mengerjakan skripsi dengan
menanyakan kapan penulis lulus.
3. Ulul Azmi, yang telah mendampingi penulis selama penulisan skripsi
ini dan tidak bosan-bosannya menanyakan tentang skripsi penulis setiap
hari serta memberikan dorongan, motivasi, bantuan dan semangat
kepada penulis.
4. Sahabat – sahabatku semua, Insan, Hirzi, Razka, Udin, Arie, Sidik,
Fajar, Edoy, Taufiq terima kasih untuk motivasi, inspirasi dan bantuan
kalian selama ini, semoga persahabatan ini adalah awal dari
persaudaraan kita kedepannya, dan tetap semangat untuk mewujudkan
semua cita-cita kita.
xix
5. Teman – teman TI UIN Syarif Hidayatullah khususnya TIC angkatan
2004 senang sekali bisa mengenal kalian selama lebih dari 5 tahun ini,
semoga kita selalu sukses kedepannya dan terus terjalin persaudaraan
kita.
xx
DAFTAR ISI
Lembar Judul ..................................................................................................
Lembar Persetujuan Pembimbing ..................................................................
Lembar Pengesahan Ujian .............................................................................
Lembar Pernyataan ........................................................................................
Abstrak .....................................................................................................
Kata Pengantar ...............................................................................................
Lembar Persembahan .....................................................................................
Daftar Isi ........................................................................................................
Daftar Gambar ................................................................................................
Daftar Tabel ...................................................................................................
Daftar Lampiran .............................................................................................
BAB I PENDAHULUAN .............................................................................
1.1. Latar Belakang ..................................................................................
1.2. Perumusan Masalah...........................................................................
1.3. Batasan Masalah ...............................................................................
1.4. Tujuan dan Manfaat Penulisan .........................................................
1.5. Metoe Penelitian ...............................................................................
1.5.1. Metode Pengumpulan Data ....................................................
1.5.2. Metode Pembangunan Sistem …............................................
1.6. Sistematika Penulisan .......................................................................
BAB II LANDASAN TEORI ......................................................................
i
ii
iii
iv
v
vi
viii
x
xiv
xvii
xviii
1
1
2
3
4
5
5
5
7
9
xxi
2.1. Definisi Penerapan ............................................................................
2.2. Jaringan Komputer ...........................................................................
2.2.1 Pengertian Jaringan Komputer ..............................................
2.2.2 Model Referensi OSI .............................................................
2.2.3 Topologi .................................................................................
2.3. Keamanan Jaringan Komputer ..........................................................
2.4. Aspek-aspek Keamanan Komputer ...................................................
2.4.1 Jenis Ancaman Keamanan jaringan .......................................
2.4.2 Pengujian Keamanan ..............................................................
2.5. Firewall .............................................................................................
2.5.1. Definisi dan Konsep Firewall ................................................
2.5.2. Jenis-jenis Firewall ................................................................
2.5.3. Fungsi dan Fitur Firewall ......................................................
2.5.4. Arsitektur Dasar Firewall .......................................................
2.5.4.1. Single-Box Architectures ..............................................
2.5.4.2. Screened Subnet Architectures .....................................
2.5.4.3. Screened Host Architectures .........................................
2.5.5. Teknologi Firewall .................................................................
2.5.6. Tipe dan Cara Kerja Firewall .................................................
2.5.7. Proxy Server Firewall ............................................................
2.5.7.1 Definisi dan Konsep Proxy Server ................................
2.5.7.2 Jenis Proxy Server .........................................................
2.6. Router ...............................................................................................
9
9
9
10
13
14
14
17
18
19
19
20
22
23
23
24
25
26
26
33
33
34
34
xxii
2.6.1. Jenis-jenis Router ...................................................................
2.7. Sistem Operasi Linux .......................................................................
2.7.1 Struktur Direktori Linux ........................................................
2.8. IPCop ...............................................................................................
2.8.1. Interface jaringan IPCop ........................................................
2.8.2. Fitur dari IPCop .....................................................................
2.8.3. Kelebihan IPCop ....................................................................
2.9. Virtual Box .......................................................................................
2.10.SSH (Secure Shell) ..........................................................................
2.10.1 Kegunaan SSH ......................................................................
2.10.2 Tools SSH .............................................................................
BAB III METODE PENELITIAN ............................................................
3.1. Waktu dan Tempat Penelitian ...........................................................
3.2. Peralatan Penelitian ..........................................................................
3.3. Metode Pengumpulan Data ...............................................................
3.4. Metode Pembangunan Sistem ...........................................................
BAB IV HASIL DAN PEMBAHASAN .....................................................
4.1. Analysis (Analisis) ............................................................................
4.1.1. Identify ...................................................................................
4.1.2 Understand .............................................................................
4.1.3 Analyze ..................................................................................
4.1.4 Report ....................................................................................
4.2 Design (Perancangan) ........................................................................
35
37
37
40
41
43
44
46
46
47
48
50
50
50
52
52
57
57
57
58
59
62
62
xxiii
4.2.1 Perancangan Topologi Jaringan .............................................
4.2.2 Perancangan Infrastruktur ......................................................
4.3 Simulation Prototyping (Prototipe Simulasi) .....................................
4.4 Implementation (Implementasi) .........................................................
4.4.1 Implementasi Topologi Jaringan ……...…............................
4.4.2 Implementasi Sistem Operasi ................................................
4.4.3 Konfigurasi Pasca Instalasi ....................................................
4.4.4 Pengujian Konektivitas ..........................................................
4.4.5 Pengujian akses pada Web-Interface .....................................
4.4.6 Instalasi Add-ons IPCop ........................................................
4.4.7 Konfigurasi Add-Ons ............................................................
4.5 Tahap Monitoring ..............................................................................
4.5.1 Monitoring DHCP Server ......................................................
4.5.2 Monitoring Status ..................................................................
4.5.3 Pengujian Keamanan Firewall ...............................................
4.6 Tahap Manajemen ..............................................................................
BAB V PENUTUP ........................................................................................
5.1. Kesimpulan .......................................................................................
5.2. Saran ..................................................................................................
DAFTAR PUSTAKA ...................................................................................
Lampiran
62
66
67
69
69
70
75
78
79
80
84
87
87
88
89
93
95
95
96
98
101
xxiv
DAFTAR GAMBAR
Gambar 2.1. Arsitektur Model Referensi OSI ................................................
Gambar 2.2. Ilustrasi Sebuah Firewall ............................................................
Gambar 2.3. Taksonomi Firewall....................................................................
Gambar 2.4. Screening Router ........................................................................
Gambar 2.5. Arsitektur Dual-Homed Host .....................................................
Gambar 2.6. Arsitektur screened Subnet ........................................................
Gambar 2.7. Arsitektur Screened Host ...........................................................
Gambar 2.8. Packet-Filtering Firewall dilihat pada lapisan OSI ....................
Gambar 2.9. Circuit level gateway dilihat pada lapisan OSI ..........................
Gambar 2.10. Application Firewall dilihat pada lapisan OSI .........................
Gambar 2.11. Stateful Firewall dilihat pada lapisan OSI ...............................
Gambar 2.12. Mekanisme kerja Proxy Server ................................................
Gambar 2.13. Struktur direktori Linux ...........................................................
11
19
20
23
24
24
25
28
29
30
32
33
38
Gambar 2.14. Konfigurasi IPCop Firewall dengan empat interface ..............
Gambar 3.1 Diagram Ilustrasi Metode Penelitian ...........................................
Gambar 4.1 Topologi yang ada dan sedang berjalan di APL PLN Mampang
Gambar 4.2 Topologi Jaringan yang akan diterapkan di APL PLN
Mampang..........................................................................................................
Gambar 4.3 Hasil dari proses simulasi pada mesin virtual ............................
Gambar 4.4 Tampilan Instalasi IPCop ............................................................
Gambar 4.5 Tampilan hostname IPCop ..........................................................
43
56
63
64
68
70
71
xxv
Gambar 4.6 Tampilan konfigurasi network IPCop .........................................
Gambar 4.7 Tampilan konfigurasi Green interface IPCop .............................
Gambar 4.8 Tampilan konfigurasi Red interface IPCop .................................
Gambar 4.9 Tampilan konfigurasi DHCP Server ...........................................
Gambar 4.10 Menetukan password untuk account root ..................................
Gambar 4.11 Tampilan Boot Loader ..............................................................
Gambar 4.12 Tampilan Awal Linux IPCop ....................................................
Gambar 4.13 Tampilan Konfigurasi alamat IP ...............................................
Gambar 4.14 Tampilan ping dan reply Firewall IPcop ...................................
Gambar 4.15 Tampilan Login ke IPCop Web ……………………….............
Gambar 4.16. Tampilan Home Web Interface ................................................
Gambar 4.17 Tampilan menu WinSCP login ................................................
Gambar 4.18 Tampilan Window Manager WinSCP .......................................
Gambar 4.19 RSA2 fingerprint authentication pada PuTTY ..........................
Gambar 4.20 Tampilan Remote Login Putty ..................................................
Gambar 4.21 File yang telah berhasil di copy .................................................
Gambar 4.22 Konfigurasi pada Advanced Proxy ...........................................
Gambar 4.23 Konfigurasi pada URL Filtering ...............................................
Gambar 4.24. Tampilan IP yang tersebar melalui DHCP server ....................
Gambar 4.25. Tampilan service dan server yang dijalankan pada mesin
Firewall ...........................................................................................................
Gambar 4.26. Tampilan Routing Table ...........................................................
Gambar 4.27. Pengiriman pake ICMP yang diblok ........................................
71
72
73
74
75
76
77
78
79
80
80
81
82
83
83
84
85
86
88
88
89
90
xxvi
Gambar 4.28. Content Filtering pada Proxy .................................................
Gambar 4.29. Transparansi Layanan Protokol HTTP .....................................
Gambar 4.30. NMAP Port Scanning pada interface Green ...........................
Gambar 4.31. IDS mencatat serangan yang terjadi .........................................
90
91
92
93
xxvii
DAFTAR TABEL
Tabel 2.1. Jenis Topologi Jaringan ................................................................
Tabel 2.2. Perbandingan IpCop dengan beberapa produk firewall
berdasarkan fitur dan platform ......................................................
Tabel 4.1 Perbandingan Penelitian .................................................................
Tabel 4.2 Perangkat Keras .............................................................................
Tabel 4.3 Daftar alamat IP .............................................................................
Tabel 4.4 Tabel Perangkat Lunak dan Tool ...................................................
13
45
59
66
67
67
xxviii
DAFTAR LAMPIRAN
LAMPIRAN A Wawancara ……………………………………………...
LAMPIRAN B Konfigurasi IPTables ................................................
LAMPIRAN C File Konfigurasi squid.conf …………………………….
LAMPIRAN D SNORT Rules ………………………………………….
A
B
C
D
xxix
BAB I
PENDAHULUAN
1.1 Latar Belakang
Keamanan jaringan komputer sudah menjadi faktor yang penting
dan dibutuhkan pada suatu instansi maupun perorangan yang
menggunakan internet sebagai media dalam melakukan suatu transaksi
bisnis atau pertukaran informasi.
Dalam suatu jaringan komputer faktor keamanan digunakan untuk
melindungi aset-aset informasi milik pribadi maupun publik. Banyak cara-
cara dan metode yang telah diuji-coba dan digunakan untuk mengamankan
suatu jaringan komputer, akan tetapi masih banyak terjadi aktifitas
serangan dan eksploitasi terhadap celah keamanan suatu sistem komputer.
Banyaknya ancaman pada jaringan komputer memerlukan adanya
suatu pelindung atau dinding pengaman yang dapat melindungi jaringan
tersebut. Salah satu bentuk pengamanan adalah dengan menggunakan
firewall sebagai pelindung terluar dari infrastruktur jaringan komputer
lokal terhadap keluar-masuknya data dalam jaringan komputer lokal yang
berhubungan dengan internet.
Keberadaan personal firewall yang terdapat pada sistem operasi
Windows atau software aplikasi pihak ketiga, memiliki efek negatif dalam
penggunaan resource yang cukup besar dan dapat membebani jalannya
xxx
sistem operasi. Selain itu penggunaan firewall yang berupa hardware pun
memiliki harga yang relatif cukup mahal untuk diimplementasikan.
IpCop merupakan suatu sistem operasi distribusi Linux yang
diperuntukkan khusus sebagai firewall yang menggunakan hardware PC.
Sifatnya yang open source dan gratis membuatnya lebih mudah untuk
dikonfigurasi dan tidak membutuhkan lisensi untuk membelinya. Dari segi
hardware penggunaan IPCop hanya membutuhkan sebuah PC komputer
stand-alone untuk menjadikanya sebuah sistem operasi lengkap dengan
administrasi firewall yang handal. Kemudahan lain yang ditawarkan oleh
firewall berbasis linux ini adalah tersedianya antarmuka berbasis web yang
dapat diakses dan mudah dikonfigurasi melalui remote access, sehingga
kita dapat mengatur dan mengontrol firewall tersebut dengan mudah tanpa
harus berinteraksi langsung dengan hardware firewall tersebut.
Sebagai sebuah firewall, IPCop melakukan fungsinya sebagai
perangkat pengaman jaringan komputer internal dengan melakukan
pengontrolan, pengaturan dan pembatasan terhadap hak akses user yang
terhubung ke internet. untuk meningkatkan kualitas keamanan jaringan
komputer.
1.2 Perumusan Masalah
Dalam penyelesian tugas akhir ini dirumuskan beberapa masalah yang
dihadapi yaitu:
1. Bagaimana melindungi jaringan komputer yang dimiliki
xxxi
perusahaan dengan menerapkan suatu network firewall berbasis
opensource kedalam infrastruktur jaringan.
2. Bagaimana menerapkan stateful firewall pada arsitektur dual-
homed host menggunakan hardware yang ekonomis dan handal
pada infrastruktur jaringan.
3. Bagaimana menentukan pengaturan yang baik pada firewall
tersebut, sehingga dapat meminimalisir gangguan pada jaringan
yang dimiliki.
4. Bagaimana melihat bahwa IPCop firewall dapat membantu
meningkatkan keamanan jaringan komputer.
1.3 Batasan Masalah
Batasan masalah yang akan diteliti pada penelitian ini
adalah sebagai berikut :
1. Mengimplementasikan sebuah network firewall berbasis open
source menggunakan distribusi IPCop.
2. Tipe firewall yang digunakan adalah stateful firewall pada
arsitektur firewall dual-homed host menggunakan sebuah PC
yang juga bertindak sebagai router gateway dan proxy .
3. Konfigurasi pada add-ons untuk melakukan filtering
dilakukan pada web interface IPCop.
4. Pengujian terhadap firewall dilakukan dengan menggunakan
port scanning attack dan pengujian URL atau text-content.
xxxii
1.4. Tujuan Dan Manfaat Penulisan
Dalam penulisan skripsi ini, penulis menguraikan tujuan dan
manfaat dari tujuan yang dibahas, yaitu
1.4.1 Tujuan Penelitian
Tujuan dari penelitian ini adalah menjawab berbagai
permasalahan yang telah penulis uraikan pada perumusan masalah,
yaitu :
1. Menerapkan sistem firewall berbasis open source yang ekonomis
dalam mengamankan jaringan.
2. Memberikan kemudahan untuk melakukan manjemen dan
pengaturan access-control sebagai usaha meningkatkan keamanan
jaringan pada perusahaan.
1.4.2 Manfaat Penelitian
1. Bagi Penulis :
a. Mengerti dan memahami konsep keamanan jaringan
komputer dan implementasinya.
b. Mengerti dan mampu mengimplementasikan firewall yang
berbasis Linux.
2. Bagi Universitas :
a. Dapat dijadikan sebagai bahan referensi untuk penelitian
yang akan datang.
xxxiii
b. Sebagai bahan evaluasi bagi universitas dalam
mengembangkan keilmuan.
3. Bagi Pengguna :
a. Memberikan solusi terhadap penghematan biaya infrastruktur
keamanan jaringan komputer.
b. Administrator jaringan akan lebih mudah mengatur lalu-lintas
data dan informasi yang melewati jaringan.
1.5 Metode Penelitian
Metode penelitian yang digunakan dalam penulisan tugas akhir ini
meliputi :
1.5.1. Metode Pengumpulan Data
1. Studi Lapangan.
Melalui observasi dan wawancara atau pengamatan langsung,
penulis dapat menemukan berbagai data dan keterangan yang
dibutuhkan dalam melakukan penelitian.
2. Studi Pustaka
Penulis melakukan studi pustaka untuk menambah referensi
akan teori-teori yang diperlukan dengan membaca dan
mempelajari literatur-literatur yang mendukung penelitian ini.
Diantaranya buku-buku, diktat, catatan, makalah dan artikel baik
cetak maupun elektronik
1.5.2. Metode Pembangunan Sistem
xxxiv
Dalam penulisan skripsi ini penulis menggunakan tahapan sebagai
berikut :
1. Analysis (Analisis)
Merupakan tahap awal dimana dilakukan proses
pengumpulan data, dan identifikasi masalah secara lengkap
kemudian didefinisikan kebutuhan yang diperlukan dalam
pengembangan jaringan. Tahap ini bertujuan untuk menentukan
solusi yang didapat dari aktivitas-aktivitas tersebut.
2. Design (Perancangan)
Pada tahap ini mendefinisikan bagaimana cara sistem dapat
bekerja, sesuai dengan analisis yang telah dilakukan
sebelumnya.Sehingga dapat menghasilkan spesifikasi desain atau
rancangan sistem yang akan dikembangkan.
3. Simulation Prototyping
Pada tahap ini akan dilakukan simulasi terhadap prototipe
sistem yang akan dibangun sebagai simulasi dari implementasi
sistem nyata. Penulis membuat prototipe sistem pada lingkungan
virtual dengan menggunakan mesin virtual, sehingga tidak akan
mempengaruhi lingkungan sistem nyata.
4. Implementation (Penerapan)
Pada tahap ini spesifikasi rancangan yang dihasilkan akan
digunakan sebagai panduan instruksi implementasi pada
lingkungan nyata berdasarkan desain yang sudah dibuat pada tahap
xxxv
perancangan. Aktivitas yang dilakukan yaitu instalasi dan
konfigurasi pada sistem yang akan dibangun.
5. Monitoring (Pengawasan)
Tahapa ini menggolongkan aktivitas pengujian (testing) dan
pengamatan terhadap sistem yang sudah diimplementasikan. Proses
pengujian dan pengamatan dilakukan, untuk melihat apakah sistem
yang sudah dibangun sudah berjalan dengan baik.
6. Management
Pada tahapan ini pendekatan dilakukan terhadap kebijakan
atau policy yang perlu dibuat untuk mengatur agar sistem yang
telah dibangun berjalan dengan baik dan berlangsung lama dan
unsur reliability terjaga.
1.6. Sistematika Penulisan
Dalam skripsi ini, pembahasan yang penulis sajikan
terbagi dalam lima bab, yang secara singkat akan diuraikan
sebagai berikut :
BAB I PENDAHULUAN
Bab ini membahas tentang latar belakang, perumusan masalah,
batasan masalah, tujuan dan manfaat penelitian, metodologi
penelitian dan sistematika penulisan.
BAB II LANDASAN TEORI
xxxvi
Bab ini membahas tentang teori-teori mengenai jaringan
komputer, keamanan komputer dan firewall.Selain itu akan
dibahas pula beberapa teori pendukung lainnya.
BAB III METODE PENELITIAN
Pada bab ini akan dijelaskan metodologi yang digunakan
diantaranya metode pengumpulan data dan metode
pengembangan sistem. dalam penelitian ini.
BAB IV HASIL DAN PEMBAHASAN
Dalam bab ini diuraikan hasil analisis dan implementasi jaringan
komputer yang dibuat dengan penerapan firewall IPCop.
BAB V PENUTUP
Bab ini adalah bab terakhir yang menyajikan kesimpulan serta
saran dari apa yang telah diterangkan dan diuraikan pada bab-
bab sebelumnya.
xxxvii
BAB II
LANDASAN TEORI
2.1 Definisi Penerapan
Menurut Kamus Besar Bahasa Indonesia (2008), penerapan dapat berarti : 1.
Proses, cara, perbuatan menerapkan. 2. Pemasangan. 3. Pemanfaatan; perihal
mempraktikkan.
Dari definisi di atas dapat ditarik kesimpulan mengenai arti penerapan pada
penelitian ini, yaitu mempraktikkan, memasang, atau memanfaatkan stateful
firewall pada arsitektur dual-homed host.
2.2 Jaringan Komputer
Penerapan suatu firewall sangat erat kaitannya dengan jaringan komputer.
Karena komponen–komponen yang ada sudah sesuai dengan definisi jaringan
komputer.
2.2.1 Pengertian Jaringan Komputer
Menurut Syafrizal (2005 : 2), Jaringan Komputer adalah kumpulan
“interkoneksi” antara 2 komputer autonomous atau lebih yang terhubung
dengan media transmisi kabel atau tanpa kabel (wireless). Bila sebuah
komputer dapat membuat komputer lainnya restart, shutdown, atau
xxxviii
melakukan kontrol lainnya, maka komputer – komputer lainnya tersebut
bukan autonomous.
Sedangkan menurut Dharma Oetomo, et al, (2006 :21) Jaringan
komputer adalah sekelompok komputer otonom yang saling dihubungkan
satu dengan lainnya menggunakan protokol komunikasi melalui media
komunikasi, sehingga dapat saling berbagi data dan informasi, aplikasi –
aplikasi dan program – program lainnya, berbagi pakai perangkat keras
seperti printer, hard disk, alat pemindai dan sebagainya.
Jadi selain interkoneksi antara 2 komputer atau lebih, jaringan
komputer juga membutuhkan protokol – protokol untuk saling
berkomunikasi. Definisi protokol menurut Syafrizal (2006 : 63)
“Protokol merupakan himpunan aturan – aturan yangmemungkinkan komputer satu dapat berhubungan dengankomputer lain. Aturan – aturan ini meliputi tatacara bagaimanaagar komputer bisa saling berkomunikasi; biasanya berupa bentuk(model) komunikasi, waktu (saat berkomunikasi), barisan (trafficsaat berkomunikasi), pemeriksaan error saat transmisi data, danlain – lain. “
2.2.2 Model Referensi OSI
ISO (International Standard Organization) mengembangkan suatu
model konseptual arsitektur komunikasi untuk mendukung interoperabilitas
antar sistem, agar seluruh perangkat jaringan menjadi kompatibel satu sama
lain (terlepas dari penggunaan hardware dan software spesifik serta
karakteristik sistem jaringannya) yang bernama Model Referensi OSI (Open
System Interconnection), karena model ini menghubungkan (interkoneksi)
xxxix
antar sistem terbuka (sistem yang bebas berkomunikasi dengan sistem lain
(Stallings, 2000:21).
Gambar 2.1. Arsitektur Model Referensi OSI (Tanenbaum,2003: 37)
Model OSI ini dibagi ke dalam 7 lapisan (layer). Masing – masing
layer mempunyai tugas sendiri–sendiri. Disebutkan di dalam Wahana
Komputer (2005 :23) layer OSI tersebut, yaitu :
a. Layer ke-7 : Application. Layer ini bertugas menyediakan akses
jaringan untuk program aplikasi. Program aplikasi dan layanan sistem
dapat memperoleh akses jaringan melalui proses yang berjalan pada
layer ini.
xl
b. Layer ke-6 : Presentation. Layer ini bertugas untuk memastikan data
yang sedang dilewatkan menuju layer aplikasi telah dikonversi. Proses
konversi data akan menjadi sebuah format yang dimengerti oleh
proses – proses layer aplikasi.
c. Layer ke-5 : Session. Layer ini bertugas untuk mengadakan,
mempertahankan dan memutus komunikasi di antara aplikasi –
aplikasi atau proses – proses yang berjalan di jaringan.
d. Layer ke-4 : Transport. Layer ini bertugas mentransimisikan pesan
dari host pengirim ke tempat tujuan akhir yang menerima. Layer ini
juga bertugas membuat sirkuit virtual di antara dua titik di dalam
jaringan dan memastikan integritas data.
e. Layer ke-3 : Network. Layer ini bertugas untuk melakukan rutinitas
paket melalui multiple jaringan. Layer network beroperasi tanpa
memperhatikan protokol pokok yang digunakan.
f. Layer ke-2 : Data Link. Layer terbagi ke dalam 2 sub-layer, LLC
(Logical Link Control) dan MAC (Media Access Control). LLC
memaketkan byte yang diterima dari sublayer MAC yang berada di
bawah sehingga menjadi format yang mudah dibaca oleh lapisan
jaringan di atasnya. MAC mempunyai tugas khusus untuk
memperoleh akses ke jaringan pada saat yang tepat.
g. Layer ke-1 : Physical. Layer ini bertugas untuk mengirim dan
menerima data dari/ke media fisik, seperti perangkat keras, konektor,
kabel, dan media radio/satelit.
xli
2.2.3 Topologi
Menurut Syafrizal (2006 : 39), Topologi jaringan atau arsitektur
jaringan adalah gambaran perencanaan hubungan antarkomputer dalam
Lokal Area Network yang umumnya menggunakan kabel (sebagai media
transmisi), dengan konektor, Ethernet card, dan perankat pendukung
lainnya.
Berikut ini adalah beberapa jenis arsitektur pada jaringan komputer
lokal:
Tabel 2.1 Jenis Topologi JaringanTopolgi Diagram Keterangan
Bus Menggunakan backbone kabel tunggalyang diakhiri pada kedua sisi backbonetersebut. Komunikasi dilakukan denganmenghubungkan host ke backbone.
Ring Menghubungkan satu host ke host lainnyasecara serial, tehubung langsung padasetiap host secara berurutan hinggamembentuk lingkaran/ring.
Star Merupakan bentuk topologi jaringan yangberupa konvergensi dari node tengah kesetiap node atau pengguna. Semua kabeldari masing-masing host terhubung kesuatu konsentrator berupa hub atau switch.
Tree /Hierarchical
Topologi ini disebut juga sebagai topologijaringan bertingkat. Node pusat terhubungdengan satu atau lebih node lain yangberada pada satu tingkat lebih rendah didalam suatu hirarki melalui link point-to-point.
Mesh Jenis topologi yang menempatkan nodesecara tidak beraturan, terdiri darii 2 jenis :fully connected (keseluruhan) dan partiallyconnected (sebagian).
xlii
Hybrid Jenis topologi yang dibangun dari satuatau lebih interaksi dari satu atau lebihjaringan yang berdasar kepada jenistopolgi jaringan yang berbeda
2.3 Keamanan Jaringan Komputer
Menurut Ariyus (2007:3), dasar keamanan jaringan komputer secara umum
adalah komputer yang terhubung ke network, mempunyai ancaman lebih besar
daripada komputer yang tidak terhubung kemana-mana. Maka dapat ditarik
kesimpulan bahwa, keamanan jaringan komputer adalah usaha-usaha yang
berhubungan dengan kemanan suatu jaringan komputer dan dilakukan untuk
mengamankan jaringan komputer tersebut.
2.4. Aspek-aspek Keamanan Komputer
Keamanan komputer meliputi beberapa aspek dasar diantaranya adalah
authentication, integrity, non-repudiation, authority, confidentiality, privacy,
availability dan access control.
a. Authentication
Aspek ini berhubungan dengan metode untuk memastikan bahwa
informasi tersebut betul-betul asli dan pihak yang mengakses atau
memberikan informasi tersebut juga asli. Masalah yang ada bermacam-
macam, sebagai contoh adalah masalah untuk membuktikan keaslian dari
suatu dokumen yang dapat dilakukan dengan teknologi digital signature.
Masalah lainnya adalah berhubungan dengan access control, yaitu
berhubungan dengan pembatasan terhadap orang yang dapat mengakses
informasi tersebut. Terdapat berbagai macam cara yang dapat dilakukan
xliii
untuk meningkatkan aspek keamanan ini, seperti digunakannya digital
certificate dan smart card.
b. Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa
seizin pemilik informasi. Konsistensi data atau informasi harus dalam
keadaan utuh, lengkap, akurat dan asli sesuai dengan pihak pemilik
informasi tersebut. Adanya masalah dalam keamanan komputer seperti
virus, trojan horse atau perubahan informasi tanpa izin pemilik informasi
harus dihadapi. Contoh serangan yang biasa disebut "man in the middle
attack", dimana seseorang menempatkan dirinya ditengah jalannya suatu
komunikasi data dan menyamar sebagai orang lain sehingga ia dapat
mengetahui informasi yang sedang berjalan. Kita dapat menggunakan
teknologi enkripsi dan digital signature.
c. Non-Repudiation
Aspek ini bertujuan untuk menjaga agar seseorang tidak dapat
menyangkal telah melakukan suatu proses pengiriman informasi. Sebagai
contoh, seseorang yang mengirimkan email untuk memesan suatu barang
tidak dapat menyangkal bahwa dia yang telah mengirimkan email tersebut.
Aspek ini sangat penting dalam hal electronic commerce. Penggunaan
digital signature dan certificates juga kriptografi secara umum dapat
mengamankan aspek ini. Akan tetapi hal ini masih harus didukung oleh
pihak terkait sehingga status digital signature itu legal.
d. Authority
xliv
Aspek ini bertujuan untuk menjamin kewenangan yang dialokasikan
hanya untuk individu atau sumber daya yang dipercaya dan sudah sah.
e. Confidentiality
Aspek ini ditujukkan untuk menjaga informasi dari orang asing yang
tidak berhak untuk mengakses informasi tersebut dan menjamin
perlindungannya dari penyingkapan yang tidak sah atau penyadapan dari
pihak yang tidak berwenang. Contoh hal yang berhubungan dengan
confidentiality adalah data-data yang sifatnya pribadi seperti nama, tanggal
lahir dan sebagainya merupakan data-data yang ingin diproteksi
penggunaan dan penyebarannya..
f. Privacy
Sama seperti pada aspek confidentiality, aspek ini ditujukkan untuk
menjamin kerahasiaan informasi yang kita miliki, khususnya yang bersifat
pribadi. Sebagai contoh adlah email seseorang tidak boleh dibaca oleh
administrator, karena yang berhak adalah orang yang mempunyai email
tersebut. Serangan terhadap aspek privacy misalnya dengan melakukan
penyadapan (sniffer) terhadap hal yang bukan menjadi haknya. Salah satu
usaha yang dilakukan untuk meningkatkan privacy adalah dengan
menggunakan teknologi kriptografi.
g. Availability
Aspek ini berhubungan dengan ketersediaan informasi ketika
dibutuhkan. Aspek ini fatal akibatnya apabila berhasil diserang oleh orang
yang tidak bertanggung jawab. Contoh masalah dari aspek ini adalah
xlv
ketika suatu sistem informasi berhasil diserang dan membuat ketiadaan
informasi. Contoh serangan pada aspek availability adalah DDoS
(Distributed Denial of Service), dimana server akan menerima permintaan
secara terus menerus yang membuat sumber daya sistem tidak berfungsi
sehingga menimbulkan keadaan hang, down atau bahkan crash.
h. Access Control
Pada aspek ini mekanisme yang digunakan adalah pengaturan
terhadap hak akses suatu informasi. Hal ini biasanya berhubungan dengan
klasifikasi data (public, private, confidential, top secret) dan user (guest,
admin, top manager, dsb) mekanisme authentication dan juga privacy.
Access control seringkali dilakukan dengan cara menggunakan kombinasi
userid/password atau dengan menggunakan mekanisme lain (seperti id
card, biometrics).
2.4.1 Jenis Ancaman Keamanan Jaringan
Berdasarkan pengaruh terhadap sistem jaringan, ancaman dapat
dibedakan sebagai beikut (Feibel, 1996:906):
1. Internal atau Eksternal. Ancaman dapat berasal baik dari dalam
maupun luar entitas sistem jaringan.
2. Kesenjangan atau Kebetulan. Ancaman dapat disebabkan karena
kesenjangan (sistematis) atau secara kebetulan.
3. Aktif atau Pasif. Dampak utama ancaman aktif adalah kerusakan
sistem, sedangkan pada ancaman pasif kerusakan pada sistem
xlvi
adalah efek samping dari serangan.
2.4.2 Pengujian Kemanan
Infrastruktur organisasi IT memiliki sejumlah cara untuk menguji
efektifias sistem keamana jaringannya, melalui sejumlah aktivitas pengujian
berikut ini (Greg et al,. 2006:20) :
a. Physical Entry. Simulasi untuk menguji pengendalian fisik
terhadap sejumlah entitas atau sumber-daya fisik organisasi.
b. Security Audits. Pengujian ini bertujuan untuk mengevaluasi
seberapa dekat kecocokan antar prosedur kebijakan dengan
tindakan yang sudah ditentukan.
c. Vulnerability Scanning. Menngunakan sejumlah perangkat
serangan untuk menguji komputer atau segmen jaringan spesifik
untuk mengenali atau menemukan kelemahan sistem atau aplikasi.
d. Ethical Hacks (Penetration Testing). Melakukan simulasi
vulnerability scanning untuk menguji komputer atau segmen
jaringan spesifik dan dapat dilakukan melalui internet (remote)
terhadap sejumlah protokol layanan spesifik.
e. Stolen Equipment Attack. Simulasi yang dilakukan dan
berhubungan dengan keamanan fisik dan keamanan komunikasi
yang bertujuan untuk mendapatkan informasi.
f. Signal Security Attack. Simulasi ini bertujuan untuk mendapatkan
titik akses nirkabel atau modem.
xlvii
g. Social Engineering Attack. Menggunakan teknik sosial untuk
mendapatkan informasi penting sistem keamanan jaringan.
2.5. Firewall
2.5.1. Definisi dan Konsep Firewall
Firewall adalah sebuah sistem atau perangkat yang mengizinkan lalu
lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu
lintas jaringan yang tidak aman. Umumnya, sebuah firewall
diimplementasikan dalam sebuah mesin terdedikasi, yang berjalan pada
pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya (jaringan
eksternal). Firewall umumnya juga digunakan untuk mengontrol akses
terhadap siapa saja yang memiliki akses terhadap jaringan pribadi dari pihak
luar. Saat ini istilah firewall menjadi istilah generik yang merujuk pada
sistem yang mengatur komunikasi antar dua jaringan yang berbeda.
Mengingat saat ini banyak perusahaan yang memiliki akses ke internet dan
juga tentu saja jaringan korporat di dalamnya, maka perlindungan terhadap
aset digital perusahaan tersebut dari serangan para hacker, pelaku spionase,
ataupun pencuri data lainnnya, menjadi esensial.
Gambar 2.2. Ilustrasi Sebuah Firewall(sumber : www.wlaf.lib.in.us/firewall.jpg)
xlviii
Menurut Purbo (2006;123) Firewall atau IP filtering biasanya
digunakan untuk mengontrol traffic yang masuk atau keluar (dari/atau ke
sistem jaringan kompuetr internal). Biasanya digunakan sebagai pertahanan
untuk menangkal masuknya serangan dari internet. Firewall merupakan
perangkat jaringan yang dibangun dari software, hardware, atau kombinasi
dari keduanya yang berada diantara dua segmen jaringan berbeda, dan
bertugas memeriksa traffic data yang mengalir melewatinya dengan
menggunakan sejumlah kriteria kebijakan keamanan untuk menentukan
apakah akses traffic dapat diizinkan untuk melewati firewall dan memasuki
sistem jaringan atau tidak.
2.5.2. Jenis-jenis Firewall
Secara garis besar firewall dibagi menjadi 2 jenis, yaitu Personal
Firewall dan Network Firewall. Dibawh ini adalah gambar dan penjelasan
tentang jenis firewall.
Gambar 2.3. Taksonomi Firewall(http://hzfenghe.com/book/FirewallFundamentals/ch02lev1sec1.html)
xlix
a. Personal Firewall
Personal Firewall didesain untuk melindungi sebuah komputer
yang terhubung ke jaringan dari akses yang tidak dikehendaki.
Firewall jenis ini akhir-akhir ini berevolusi menjadi sebuah kumpulan
program yang bertujuan untuk mengamankan komputer secara total
dengan ditambahkannya beberapa fitur pengamanan tambahan
semacam perangkat proteksi terhadap virus, anti-spyware, anti-spam,
dan lainnya. Bahkan beberapa produk firewall lainnya dilengkapi
dengan fungsi pendeteksian gangguan keamanan jaringan (Intrusion
Detection System). Contoh dari firewall jenis ini adalah Microsoft
Windows Firewall (yang telah terintegrasi dalam sistem operasi
Windows XP Service Pack 2, Windows Vista dan Windows Server
2003 Service Pack 1), Symantec Norton Personal Firewall, Kerio
Personal Firewall, dan lain-lain. Personal Firewall secara umum
hanya memiliki dua fitur utama, yakni Packet Filter Firewall dan
Stateful Firewall.
b. Network Firewall
Pada penelitian ini penulis menggunakan firewall jenis ini.
Network Firewall didesasin untuk melindungi jaringan secara
keseluruhan dari berbagai serangan. Umumnya dijumpai dalam dua
bentuk, yakni sebuah perangakat terdedikasi atau sebagi sebuah
perangkat lunak yang diinstalasikan dalam sebuah server. Contoh
dari Firewall ini adalah Microsoft Internet Security and
l
Acceleration Server (ISA Server), CISCO PIX, CISCO ASA,
IPTables dalam sistem operasi GNU/Linux, personal Firewall
dalam keluarga sistem operasi UNIX BSD, serta SunScreen dari
Sun Microsystem, Inc. Yang dibundel dalam sistem operasi Solaris.
Network Firewall secara umum memiliki bebrapa fitur utama,
yakni apa yang dimiliki oleh personal firewall (packet filter
firewall dan stateful firewall), Circuit Level Gateway, Application
Level Gateway, dan juga NAT firewall. Network firewall umumnya
bersifat transparan (tidak terliihat) dari pengguna dan
menggunakan teknologi routing untuk menentukan paket mana
yang diizinkan dan mana paket yang akan ditolak.
2.5.3 Fungsi dan Fitur Firewall
Firewall berwenang untuk menentukan traffic mana yang boleh
diteruskan dan mana yang tidak berdasarkan ruleset yang berisi kriteria
kebijakan keamanan. Berikut ini adalah beberapa fungsi Firewall (Ariyus,
2006:311)
a. Berfungsi sebagai dinding penghambat yang tidak mengizinkan
user yang tidak memiliki hak terhadap jaringan, untuk
melakukan akses guna melindungi jaringan dari hal-hal yang
tidak diinginkan.
li
b. Berfungsi sebagai platform dari fungsi internet yang tidak aman,
yang meliputi penerjemahan alamat jaringan, dari alamat lokasi
ke alamat internet (public).
c. Melayani platform untuk Ipsec menggunakan tunnel made dan
firewall juga bias digunakan oleh Virtual Private Network.
d. Berfungsi sebagai monitor atas kejadian-kejadian yang
berhubungan dengan keamanan system yang akan memberikan
keterangan kepada system seperti mencatat (aktivitas firewall)
ke file log, alarm yang bisa diimplemetasikan sistem firewall
(untuk kepentingan audit).
2.5.4.Arsitektur Dasar Firewall
2.5.4.1. Single-Box Architectures
Arsitektur yang menempatkan satu mesin untuk berperan sebagai
firewall yang ditempatkan diantara dua segmen jaringan berbeda.
Arsitektur ini disebut Multiple-Purpose Boxes (satu mesin dengan
banyak fungsi), jenis penerapannya adalah sebagai berikut :
a. Screening Router. Menggunakan screening router tunggal yang
berfungsi ganda sebagai packet filtering dan firewall.
lii
Gambar 2.4. Screening Router (Zwicky, 2000:81)
b. Dual-Homed Host. Dibangun dari dual-homed host yaitu computer
yang menggunakan sedikitnya dua unit NIC untuk menghubungkan
dua atau lebih segmen jaringan berbeda.
Gambar 2.5. Arsitektur Dual-Homed Host (Zwicky, 2000:82)
2.5.4.2 Screened Subnet Architectures
Arsitektur ini menambahkan lapisan keamanan pada screened host
architecture dengan menambah jaringan parameter yang lebih
mengisolasi system jaringan internal dari Internet. +
liii
Gambar 2.6. Arsitektur screened Subnet (Zwicky, 200:85)
a. Bastion Host. Ditempatkan di dalam jaringan parameter, karena
melalui host inilah semua koneksi dari/ke Internet diarahkan, untuk
kemudian ditentukan apakah dapat memasuki system jaringan
internal atau tidak.
b. Interior Router (Choke Router). Router internal yang bertugas
mengamankan system jaringan internal baik dari Internet maupun
dari jaringan parameter.
c. Exterior Router (Acsess Router). Router ekstrenal mengamankan
jaringan internal dan parameter dari Internet.
2.5.4.3. Screened Host Architectures
Arsitektur ini menempatkan bastion host didailam jaringan internal
(dengan perangkat router terpisah). Unit bastion host adalah satu-satunya
mesin di system jaringan internal yang dapat berkomunikasi dengan
internet.
liv
Gambar 2.7. Arsitektur Screened Host (Zwicky, 2000:84)
2.5.5. Teknologi Firewall
Menurut Zwicky (2000:68), teknologi Firewall meliputi:
a. Paket Filtering. Mekanisme untuk secara selektif mengendalikan
arus paket dari dan/atau ke system jaringan internal menggunakan
sejumlah criteria kebijakan keamanan (rute set).
b. Proxy Service. Mekanisme untuk berkomunikasi dengan server
eksternal dengan bertindak sebagai perantara bagi layanan aplikasi
protocol spesifik system internal, karena bekerja pada layer
aplikasi, Firewall jenis ini juga dinamakan Application Layer
Gaterway Firewall atau Proxy Server Firewall.
c. NAT (Network Address Translation). Mekanisme pemetaan alamat
IP public ke alamat IP Privat atau sebaliknya. NAT membantu
lv
memperkuat system pengendalian Firewall terhapad koneksi ke
luar dan kedalam system jaringan internal, membatasi incoming
traffic, dan menyembunyikan konfigurasi jaringan internal.
2.5.6. Tipe dan Cara Kerja Firewall
a. Packet-Filtering Firewall.
Pada bentuknya yang paling sederhana, sebuah Firewall adalah
sebuah router atau komputer yang dilengkapi dengan dua buah NIC
(Network Interface Card) yang mampu melakukan penapisan atau
penyaringan terhadap paket-paket yang masuk. Perangkat jenis ini
umumnya disebut dengan packet-filtering router. Firewall jenis ini
bekerja dengan cara membandingkan alamat sumber dari paket-paket
tersebut dengan kebijakan pengontrolan akses yang terdaftar dalam
Access Control List Firewall, router tersebut akan mencoba
memutuskan apakah hendak meneruskan paket yang masuk tersebut
ke tujuannya atau mengehentikannya. Pada bentuk yang lebih
sederhana lagi, Firewall hanya melakukan pengujian terhadap alamat
IP atau nama domain yang menjadi sumber paket dan akan
menentukan apakah hendak meneruskan atau menolak paket tersebut.
Meskipun demikian, paket filtering router tidak dapat digunakan
untuk memberikan akses (atau menolaknya) dengan menggunakan
basis hak-hak yang dimiliki oleh pengguna.
Packet–filtering router juga dapat dikonfigurasikan untuk
menghentikan dan mengizinkan beberapa jenis lalu lintas jaringan.
lvi
Umumnya, hal ini dilakukan dengan mengaktifkan/menonaktifkan
port TCP/IP dalam sistem Firewall tersebut. Sebagai contoh, port 25
SMTP umumnya dibiarkan terbuka oleh beberapa Firewall untuk
mengizinkan email dari internet masuk ke dalam jaringan privat,
sementara port lainnya seperti port 23 yang digunakan oleh Protokol
Telnet dapat dinonaktifkan untuk mencegah pengguna Internet untuk
mengakses layanan yang terdapat dalam jaringan privat tersebut.
Firewall juga dapat memberikan semacam pengecualian (exception)
agar beberapa aplikasi dapat melewati Firewall tersebut. Dengan
menggunakan pendekatan ini, keamanan akan lebih kuat tetepi
memiliki kelemahan yang signifikan yakni kerumitan konfigurasi
terhadap Firewall: daftar Access Control List Firewall akan
membesar seiring dengan banyaknya alamat IP, nama domain, atau
port yang dimasukkan ke dalamnya, selain juga exception yang
diberlakukan.
Gambar 2.8. Packet-Filtering Firewall dilihat pada lapisan OSI(sumber: faranudin, 2005:3)
lvii
b. Circuit Level Gateway.
Firewall jenis lainnya adalah Circuit-Level Gateway, yang
umunya berupa komponen dalam sebuah proxy server. Firewall jenis
ini beroperasi pada level yang lebih tinggi dalam model referensi OSI
(bekerja pada session layer) daripada Packet Filter Firewall.
Modifikasi ini membuat Firewall jenis ini berguna dalam rangka
menyembunyikan informasi mengenai jaringan terproteksi, meskipun
Firewall ini tidak melakukan penyaringan terhadap paket-paket
individual yang mengalir dalam koneksi. Dengan menggunakan
Firewall jenis ini, koneksi yang terjadi antara pengguna dan jaringan
pun disembunyikan dari pengguna. Pengguna akan dihadapkan secara
langsung dengan Firewall pada saat proses pembuatan koneksi dan
Firewall pun akan membentuk koneksi dengan sumber daya jaringan
yang hendak diakses oleh pengguna setelah mengubah alamat IP dari
paket yang ditransmisikan oleh dua belah pihak. Hal ini
mengakibatkan terjadinya sebuah sirkuit virtual (virtual circuit) antara
pengguna dan sumber daya jaringan yang ia akses.
lviii
Gambar 2.9. Circuit level gateway dilihat pada lapisan OSI(sumber: faranudin, 2005:4)
Firewall ini dianggap lebih aman dibandingkan dengan Packet-
Filtering Firewall, karena pengguna eksternal tidak dapat melihat IP
jaringan internal dalam paket-paket yang ia terima, melainkan alamat
IP dari Firewall. Protokol yang populer digunakan sebagai Circuit-
Level Firewall Gateway adalah SOCKS v5.
c. Application Level Firewall
Firewall jenis lainnya adalah Application Level Gateway atau
biasa disebut sebagai Proxy Firewall, yang umumnya juga merupakan
komponen dari sebuah proxy server. Firewall ini tidak mengizinkan
paket yang datang untuk melewati Firewall secara langsung. Tetapi,
aplikasi proxy yang berjalan dalam komputer yang menjalankan
Firewall meneruskan permintaan tersebut kepada layanan yang
tersedia dalam jaringan privat dan kemudian meneruskan respons dari
lix
permintaan tersebut kepada komputer yang membuat permintaan
pertama kali yang terletak dalam jaringan publik yang tidak aman.
Gambar 2.10. Application Firewall dilihat pada lapisan OSI(sumber: faranudin, 2005:5)
d. NAT Firewall.
NAT (Network Address Translation) Firewall secara otomatis
menyediakan proteksi terhadap sistem yang berada di balik Firewall
karena NAT Firewall hanya mengizinkan koneksi yang datang dari
komputer-komputer yang berada di balik Firewall. Tujuan dari NAT
adalah untuk melakukan multiplexing terhadap lalu lintas dari jaringan
internal untuk kemudian menyampaikannya kepada jaringan yang
lebih luas (MAN, WAN, Internet) seolah-olah paket tersebut datang
dari sebuah alamat IP atau beberapa alamat IP. NAT Firewall
membuat tabel dalam memori yang mengandung informasi mengenai
koneksi yang dilihat oleh Firewall. Tabel ini akan memetakan alamat
jaringan internal ke alamat eksternal. Kemampuan untuk menaruh
lx
keseluruhan jaringan di belakang sebuah alamat IP didasarkan
terhadap pemetaan terhadap port-port dalam NAT Firewall.
e. Stateful Firewall.
Sateful Firewall merupakan sebuah Firewall yang
menggabungkan keunggulan yang ditawarkan oleh packet-filtering
Firewall, NAT Firewall, Circuit-Level Firewall dan Proxy Firewall
dalam satu sistem. Statefull Firewall dapat melakukan filtering
terhadap lalu lintas berdasarkan karakteristik paket, seperti halnya
packet-filtering Firewall, dan juga memiliki pengecekan terhadap sesi
koneksi untuk meyakinkan bahwa sesi koneksi yang terbentuk
tersebut diizinkan. Tidak seperti Proxy Firewall atau Circuit Level
Firewall, Stateful Firewall pada umumnya didesain agar lebih
transparan (seperti halnya packet-filtering Firewall atau NAT
Firewall). Akan tetapi, stateful Firewall juga mencakup beberapa
aspek yang dimiliki oleh application level Firewall, sebab ia juga
melakukan inspeksi terhadap data yang datang dari lapisan aplikasi
(application layer) dengan menggunakan layanan tertentu. Firewall
ini hanya tersedia pada beberapa Firewall kelas atas, semacam Cisco
PIX. Karena menggabungkan keunggulan jenis-jenis Firewall lainnya,
stateful Firewall menjadi lebih kompleks.
lxi
Gambar 2.11 Stateful Firewall dilihat pada lapisan OSI(sumber: faranudin, 2005:5)
f. Virtual Firewall
Virtual Firewall adalah sebutan untuk beberapa Firewall logis
yang berada dalam sebuah perangkat fisik (komputer atau perangkat
Firewall lainnya).Pengaturan ini mengizinkan bebrapa jaringan agar
dapat diproteksi oleh sebuah Firewall yang unik yang menjalankan
kebijakan kemanan yang juga unik, cukup dengan menggunakan satu
buah perangkat. Dengan menggunakan Firewall jenis ini, sebuah ISP
(Internet Service Provider) dapat manyediakan layanan Firewall
kepada para pelanggannya, sehingga dapt mengamankan lalu lintas
jaringan mereka, hanya dengan menggunakan satu buah perangkat.
Hal ini jelas merupakan penghematan biaya yang signifikan, meski
Firewall jenis ini hanya tersedia pada Firewall kelas atas seperti Cisco
PIX 535.
2.5.7. Proxy Server Firewall
2.5.7.1. Definisi dan Konsep Proxy Server
lxii
Proxy merupakan elemen lain (bertindak sebagai perantara)
untuk suatu permintaan atas penggunaan protocol spesifik (Feibel,
1996:854). Server merupakan seperangkat (kombinasi software dan
hardware) yang menerima dan memberika sejumlah layanan spesifik
dari dan ke pengguna didalam suatu segmen jaringan. Proxy server
disebut juga application-layer gateway Firewall atau application
proxy karena selain dapat bertindak sebagai perantara sejumlah
layanan aplikasi yang menggunakan protokol spesifik (seperti HTTP,
FTP), karena bekerja pada layer aplikasi, proxy server mampu
memeriksa keseluruhan porsi data aplikasi dari paket IP.
Gambar 2.12. Mekanisme kerja Proxy Server (Strebe,
2002:144)
Client proxy berinteraksi dengan proxy server, meminta layanan
(protokol) spesifik, proxy server akan memeriksa layanan yang
diinginkan dan berkomunikasi dengan server yang bersangkutan
(public server) menerima hasil prosesnya dan memberikannya lagi
pada pengguna. Packet filter hanya dapat memeriksa header paket,
lxiii
sementara sistem proxy dapat memeriksa keseluruhan data aplikasi
pada paket. Sistem proxy juga akan memperbaharui paket dengan
memodifikasi sejumlah parameter paket IP, sedangkan packet filter
tidak.
2.5.7.2 Jenis Proxy Server
Berdasarkan mekanisme konfigurasinya, implmentasi sistem
proxy dapat dibedakan menjadi dua jenis, yaitu ( RFC 2616, 1999:9) :
a. Non-Transparent Proxy Server Firewall. System proxy jenis
ini, membutuhkan mekanisme konfigurasi secara manual
pada setiap parameter sistem proxy di setiap sumber daya
yang membutuhkan akses terhadap layanan proxy.
b. Transparent Proxy Sever Firewall. Sistem proxy jenis ini
secara otomatis mengambil alih dan mengarahkan
permintaan layanan proxy client agar dapat berkomunikasi
dengan proxy server.
Pada penelitian ini penulis menggunakan mekanisme sistem
proxy jenis Transparent.
2.6 Router
Router adalah sebuah perangkat jaringan yang berfungsi untuk meneruskan
paket-paket dari sebuah network ke network yang lainnya (baik LAN ke LAN
atau LAN ke WAN) sehingga host-host yang ada pada sebuah network bisa
lxiv
berkomunikasi dengan host-host yang ada pada network yang
lain.Wahyudin(2004:3)
Router juga digunakan untuk membagi protokol kepada anggota jaringan
yang lainnya, dengan adanya router maka sebuah protokol dapat di-sharing
kepada perangkat jaringan lain. Contoh aplikasinya adalah jika kita ingin
membagi IP Address kepada anggota jaringan maka kita dapat menggunakan
router, ciri-ciri router adalah adanya fasilitas DHCP (Dynamic Host Configuration
Procotol), dengan mensetting DHCP, maka kita dapat membagi IP Address,
fasilitas lain dari Router adalah adanya NAT (Network Address Translator) yang
dapat memungkinkan suatu IP Address atau koneksi internet disharing ke IP
Address lain.
2.6.1 Jenis – Jenis Router
Ada beberapa Jenis Router yang dapat digunakan diantaranya adalah :
1. Router Aplikasi
Router aplikasi adalah aplikasi yang dapat kita install pada sistem
operasi, sehingga sistem operasi tersebut akan memiliki kemampuan
seperti router, contoh aplikasi ini adalah Winroute, WinGate, SpyGate,
WinProxy dan lain-lain.
2. Router Hardware
Router Hardware adalah merupakan hardware yang memiliki
kemampuan seperti router, sehingga dari hardware tersebut dapat
memancarkan atau membagi IP Address dan men-sharing IP Address,
lxv
pada prakteknya Router hardware ini digunakan untuk membagi
koneksi internet pada suatu ruang atau wilayah, contoh dari router ini
adalah access point, wilayah yang dapat mendapat Ip Address dan
koneksi internet disebut Hot Spot Area.
3. Router PC
Router PC adalah sebuah komputer yang berfungsi sebagai Router
dengan sistem operasi yang memiliki fasilitas untuk membagi dan
mensharing IP Address, jadi jika suatu perangkat jaringan (pc) yang
terhubung ke komputer tersebut akan dapat menikmati IP Address atau
koneksi internet yang disebarkan oleh Sistem Operasi tersebut, contoh
sistem operasi yang dapat digunakan adalah semua sistem operasi
berbasis client server, semisal Windows NT, Windows NT 4.0,
Windows 2000 server, Windows 2003 Server, MikroTik (Berbasis
Linux), dan lain-lain. PC (Personal Komputer) Router adalah sebuah
komputer yang berfungsi sebagai router. PC Router dapat diterapkan
dengan menggunakan spesifikasi minimal :
1. Dua buah NIC
2. OS *nix (BSD, Linux, Unix), OS Windows Server, Open
Solaris, dst
Pada penerapan yang dilakukan pada tempat penelitian di APL PLN
Mampang, penulis menggunakan jenis Router PC yang tergabung pada
firewall sekaligus gateway.
lxvi
2.7 Sistem Operasi Linux
Linux adalah nama yang diberikan kepada sistem operasi komputer bertipe
Unix. Linux merupakan salah satu contoh hasil pengembangan perangkat lunak
bebas dan sumber terbuka utama. Seperti perangkat lunak bebas dan sumber
terbuka lainnya pada umumnya, kode sumber linux dapat dimodifikasi, digunakan
dan didistribusikan kembali secara bebas oleh siapapun.
Linux pertama kali ditemukan oleh Linus Torvalds dari Universitas Helsinki
pada tahun 1991 dan berkembang dengan pesat melalui Internet. Linux
mempunyai sifat yang multi user dan multi tasking, yang dapat berjalan di
berbagai platform termasuk prosesor Intel 386 maupun yang lebih tinggi. Sistem
operasi ini mengimplementasikan standar POSIX. Linux dapat berinteroperasi
secara baik dengan sistem operasi yang lain, termasuk Apple, Microsoft dan
Novell.
Ada beberapa jenis linux yang sudah dibuat dan masing-masing memiliki
karakteristik yang hampir sama, perbedaan hanya terletak pada beberapa perintah
dasarnya saja, Redhat, Mandrake, Debian dan Suse merupakan bebrapa jenis
distribusi Linux yang terkenal.
2.7.1 Struktur Direktori Linux
Struktur direktori pada linux sama dengan struktur direktori pada
windows yaitu menerap sistem pohon (tree). File sistem linux terbagi dalam
beberapa direktori, direktori tersebut mempunyai fungsi yang berbeda-beda.
lxvii
Gambar 2.13 Struktur direktori Linux(sumber: www-uxsup.csx.cam.ac.uk/ /verzeichnisse_baum.png)
Berikut ini akan dijelaskan masing-masing direktori tersebut , yaitu :
a. Merupakan akar dari semua di rektori
b. /root
Merupakan direktori untuk user root. Dalam sistem linux user root
mempunyai otoritas penuh terhadap sistem. User root dapat merusak
sistem, memperbaiki sistem, menambah user baru dan lain sebagainya.
User baru dalam hal ini adalah user biasa dimana ruang lingkupnya
hanya sebatas menjalankan aplikasi terkecuali diberi izin oleh user
root.
c. /boot
Merupakan direktori penting dalam kaitannya dengan proses booting
linux. Dalam direktori ini merupakan image kernel linux.
d. /etc
Merupakan direktori yang didalamnya termuat file konfigurasi
program. Misalnya, file konfigurasi init yaitu /etc/initab yang mengatur
tempat sistem berjalan apakah berbasis grafis (run level 5) atau console
(run level 3)
lxviii
e. /bin
Merupakan direktori penting yang berisi program esential. Program
esential yaitu program eksekusi jika program tersebut dijalankan
contohnya perintah Is (Melihat Isi Direktori).
f. /sbin
Merupakan direktori yang berisi program esential untuk sysadmin.
Seperti halnya direktori /bin.
g. /var
Merupakan direktori yang berisi file-file dinamis misalnya dile log dan
sebagainya.
h. /home
Merupakan direktori yang berisi home direktori user biasa.
i. /dev
Merupakan direktori yang berisi device seperti /dev/fd0 untuk floopy,
/dev/hda hardisk, /dev/cdroom cdroom, /dev/ ttys0 untuk port mouse
dan sebagainya.
j. /tmp
merupakan direktori yang mempunyai file temporary (sementara).
k. /usr
Merupakan berisi file-file program untuk menjalankan program yang
bersangkutan.
lxix
2.8. IPcop
IPCop merupakan sebuah turunan sistem operasi Linux dan dikhususkan
untuk beroperasi sebagai sebuah Firewall, dan hanya sebagai Firewall. IPCop
menyediakan penerapan Firewall yang berbasis hardware PC dan pengaturan
yang simple dan mudah.
IPCop merupakan software yang dikenal sebagai Open Surce Software
(OSS). Sebagai bagian dari OSS, IPCop dikeluarkan dalam lisensi GNU General
Public License (GPL). Dibawah lisensi GPL, pengguna IPCop diberi kebebasan
untuk melihat, mengubah, dan mendistribusikan kembali source code atau kode
program dari software.
Sebelum IPCop dibuat, sudah ada SmoothWall terlebih dahulu
(http://www.smoothwall.org). Smoothwall merupakan merupkan distribusi yang
sangat mirip dengan IPCop pada saat ini, dan semua kode inisial pada IPCop
adalah kode Smoothwall. Smoothwall memiliki dua lisensi untuk merilis jenis
Firewall gratis secara komersial. Produk komersial memiliki fungsionalitas yang
lebih baik, yang mengakibatkan konflik antara tujuan dari pengembangan yang
gratis dan paket komersial dimana untuk memperbaiki sebuah prduk yang gratis
maka akan membuat produk yang berbayar menjadi tidak laku.
Pengembang IPCop saat ini memilih untuk mengembangkan sistem yang
sudah ada pada pada Smoothwall, dan membuat suatu cabang baru dari software
tersebut, dan merilisnya murni sebagai non-komersial OSS.
lxx
2.8.1. Interface Jaringan IPCop
IPCop mendukung sampai empat interface jaringan, yang masing-
masing terhubung dengan jaringan yang berbeda. Keempat jaringan yang
tersedia tersebut diikenali dengan warna yang sudah ditentukan untuk
kemudahan administrasi.
Green Network Interface. Pada segmen jaringan Green dari IPCop
merepresentasikan jaringan internal. Sebuah IPCop Firewall secara otomatis
akan mengizinkan semua koneksi dari segmen Green ke semua segmen
lainnya.
Segmen Green adalah sebuah Ethernet Network Interface Card (NIC),
dan tidak ada dukungan untuk device lain. Sebuah jaringan lokal adalah
seperti sebuah hub yang disambungkan ke dalam interface Green, atau
beberapa switch, sebuah bridge layer dua atau bahkan sebuah router.
Red Network Interface. Sama seperti interface jaringan Green,
interface jaringan Red selalu tersedia. Interface jaringan Red
merepresentasikan Internet atau suatu segmen jaringan yang tidak
terpercaya (pada topologi yang lebih besar).
Tujuan utama dari Firewall IPCop adalah untuk melindungi segmen
Green, Blue dan Orange dan host yang terhubung dengan jaringan dari
traffic, users, dan host pada segmen Red. Segmen jaringan Red bersifat ter-
Firewall dengan baik dan tidak akan membuka port dalam jumlah besar
kedalam segmen jaringan internal. Secara default tidak ada port yang
dibuka.
lxxi
Orange Network Interface. Interface jaringan Orange merupakan
sebuah optional yang dirancang sebagai jaringan DMZ
(http://www.Firewall.cx/dmz.php). Dalam terminologi militer, sebuah DMZ
adalah area dimana aktivitas militer tidak diizinkan. Dalam terminologi
Firewall, DMZ memiliki pengertian yang sama, sebagai sebuah segmen
jaringan diantara jaringan internal suatu organisasi dan jaringan eksternal
seperti Internet. Pada segmen ini, server terlindungi dari Internet oleh
Firewall, akan tetapi terpisah dari klien internal yang berada pada zona yang
terproteksi lebih baik dibelakang garis depan.
DMZ merupakan sebuah segmen jaringan yang tidak terpecaya
kedua setelah interface jaringan Red. Host pada segmen jaringan Orange
tidak dapat terkoneksi pada segmen jaringan Green dan Blue.
Blue Network Interface. Interface jaringan Blue bersifat optional
yang merupakan penambahan yang cukup baru pada IPCop yang terdapat
pada rilis versi 1.4. jaringan ini secara spesifik dikhususkan untuk segmen
wireless yang terpisah. Host pada segmen Blue tidak dapat terhubung ke
jaringan Green kecuali melalui spesifik pinholes seperti pada jaringan
Orange.
Menggunakan zona Blue juga merupakan cara yang baik untuk
memisahkan host dalam penggunaan jaringan, seperti subnet dari
workstation yang digunakan oleh beberapa kelompok staf atau pengguna
lain.
lxxii
Dibawah ini adalah ilustrasi topologi IPCop dengan keempat
interface Barrie et al., 2006
Gambar 2.14. Konfigurasi IPCop Firewall dengan empat interface
(Barrie et al., 2006 :67)
2.8.2. Fitur dari IPCop
IPCop memiliki fitur Firewall yang cukup lengkap dan baik, ia juga
memiliki web-interface yang dapat diakses dari client secara remote
sehingga memudahkan network administrator untuk melakukan pengaturan
dan manajemen fungsi dari IPCop tersebut. Beberapa fitur dari IPCop :
1. IPTABLES-based Firewall
2. Interface eksternal dapat berupa modem Analog, ISDN atau
ADSL modem dan dapat mendukung koneksi ADSL PPtP atau
PPPoE ke Ethernet atau modem USB.
3. Mendukung DMZ
4. Interface administrasi berbasis Web GUI
5. Server SSH untuk Remote Access
6. DHCP server
lxxiii
7. Caching DNS
8. TCP/UDP port forwarding
9. Intrusion Detection System
10. Mendukung VPN dengan protokol IPSec
2.8.3. Kelebihan IPCop
a. Free (aplikasi bebas): IPCop didistibusikan dibawah lisensi GPL.
Berbeda dengan Mikrotik, Norton Firewall, Mc Affee Firewall yang
berbayar.
b. Simple : Dalam proses instalasi cukup sederhana, serta memiliki
dukungan dari komunitas yang cukup baik di Indonesia maupun dunia.
Panduan instalasi dan pengelolaan tersedia secara memadai
memungkinkan user yang memiliki latar belakang pengetahuan terbatas
seperti kebanyakan tenaga TI bisa menerapkannya.
c. Complete and Stable: Meski sederhana IPCop diakui memiliki fitur dan
tingkat keamanan yang tinggi layaknya firewall level corporate,
reliabalitasnya pun sangat baik sesuai standar keamanan linux. Tersedia
banyak aplikasi tambahan (addon), seperti URL Filter, Block Out traffic
(BOT), Who is Online (wio), Advance proxy, cop filter, open VPN dsb.
d. Minimum hardware requirement : Mesin firewall dengan IP Cop cukup
dengan CPU Pentium I Harddisk 5 Gb 2 lancard 10 Mbps telah
berfungsi dengan baik. Yang harus diperhatikan adalah ketahanan CPU
yang harus hidup selama akses internet digunakan.
lxxiv
2.9. Virtual Box
Berdasarkan situs resmi Virtual Box (2009), Virtual Box adalah produk
virtualisasi x86 yang powerful untuk pengguna awam maupun enterprise.
Software ini memiliki fitur – fitur yang banyak, performa tinggi untuk kalangan
enterprise, dan juga sebagai solusi bagi professional. Software ini tersedia secara
gratis sebagai software opensource dibawah naungan GNU General Public
License (GPL). Pada saat proses simulasi, penulis menggunakan bantuan software
ini.
Beberapa fitur dari VirtualBox antara lain :
a. Modularity.
b. Virtual machine descriptions in XML.
c. Guest Additions for Windows and Linux.
d. Shared folders. Virtual USB Controllers.
e. Remote Desktop Protocol. USB over RDP.
2.10. SSH (Secure Shell)
Pada penelitian ini penulis menggunakan dua tools untuk melakukan SSH
login kedalam mesin IPCop. Pada awalnya SSH dikembangkan oleh Tatu Yl nen
di Helsinki University of Technology. SSH memberikan alternatif yang secure
terhadap remote session tradisional dan file transfer protocol seperti telnet dan
relogin Protokol SSH mendukung otentikasi terhadap remote host, yang dengan
demikian meminimalkan ancaman pemalsuan identitas client lewat IP address
spoofing maupun manipulasi DNS. Selain itu SSH mendukung beberapa protokol
lxxv
enkripsi secret key untuk membantu memastikan privacy dari keseluruhan
komunikasi, yang dimulai dengan username/password awal.
Algoritma enkripsi yang didukung oleh SSH di antaranya TripleDES
(Pengembangan dari DES oleh IBM), BlowFish (BRUCE SCHNEIER), IDEA
(The International Data Encryption Algorithm), dan RSA (The Rivest-Shamir-
Adelman). Dengan berbagai metode enkripsi yang didukung oleh SSH, Algoritma
yang digunakan dapat diganti secara cepat jika salah satu algoritma yang
diterapkan mengalami gangguan. SSH menyediakan suatu virtual private
connection pada application layer, mencakup interactive logon protocol (ssh dan
sshd) serta fasilitas untuk secure transfer file (scd). Setelah meng-instal SSH,
sangat dianjurkan untuk mendisable telnet dan relogin.
Implementasi SSH pada linux diantaranya adalah OpenSSH. SSH
merupakan paket program yang digunakan sebagai pengganti yang aman untuk
relogin, rsh dan rcp.
2.10.1. Kegunaan SSH
SSH dirancang untuk menggantikan protokol telnet dan FTP. SSH
merupakan produk serbaguna yang dirancang untuk melakukan banyak
hal, yang kebanyakan berupa penciptaan tunnel antar host. Dua hal penting
SSH adalah console login (menggantikan telnet) dan secure filetransfer
(menggantikan FTP), tetapi dengan SSH anda juga memperoleh
kemampuan membentuk source tunnel untuk melewatkan
HTTP,FTP,POP3, dan apapun lainnya melalui SSH tunel.
lxxvi
2.10.2. Tools SSH
Pada penelitian ini penulis menggunakan SSH tools untuk
melakukan remote administration kedalam mesin firewall.
a. Putty
Putty adalah klien SSH dan telnet, yang dikembangkan awalnya
oleh Simon Tatham untuk platform Windows. Putty dapat melakukan
remote login ke komputer remote. Putty adalah perangkat lunak open
source yang tersedia dengan kode sumber dan dikembangkan dan
didukung oleh sekelompok relawan.
b. WinSCP
WinSCP merupakan freeware SFTP (SSH File Transfer Protocol)
dan SCP (Secure CoPy) client untuk Windows menggunakan SSH
(Secure Shell) dan kini telah mencapai versi 4.2.6. Tujuan utamanya
adalah untuk mengamankan ketika Kita menyalin file dari komputer lokal
ke komputer remote.
Di luar fungsi dasar di atas, WinSCP juga dapat mengelola
beberapa tindakan lain kepada file dalam sistem Windows, seperti operasi
dasar kepada file, yaitu menyalin dan memindahkan file. Satu dari dua
program yang dapat dipilih yaitu memungkinkan pengguna untuk
mengelola file lokal. Sebagian besar operasi dapat dilakukan secara
rekursif untuk file dalam folder.
lxxvii
Lebih lanjut, WinSCP dapat bertindak sebagai remote editor, yaitu
jika kita klik file, misalnya dokumen teks dalam file dalam perintah jarak
jauh, transfer file ke komputer lokal dan membukanya di editor yang
sudah terintegrasi. Setiap kali dokumen disimpan, versi remote akan
diperbarui secara otomatis.
Pengembangan WinSCP dimulai sekitar Mei 2000 dan pada
awalnya diselenggarakan oleh University of Economics di Praha. Sejak
16 Juli 2003 WinSCP berlisensi di bawah GPL. WinSCP sangat populer
di kalangan ahli Jailbreak iPhone sebagai cara untuk mentransfer data ke
atau dari perangkat dan bahkan hadir dengan edisi portabel yang berguna
jika kita ingin menggunakan perangkat USB atau dropbox.
lxxviii
BAB III
METODE PENELITIAN
3.1. Waktu dan Tempat Penelitian
Penelitian ini dilakukan dari bulan Agustus sampai September 2009
yang bertempat APL PLN Mampang. Alasan pemilihan APL PLN Mampang
sebagai tempat penelitian karena belum diterapkannya suatu pengaman pada
jaringan komputer yang ada sehingga dibutuhkan sebuah sistem yang mampu
berfungsi sebagai solusi pengamanan yang handal dan terjangkau untuk
jaringan komputer yang ada pada APL PLN Mampang.
3.2. Peralatan Penelitian
Sebagai sarana peneltian, diperlukan adanya alat penelitian. Alat yang
digunakan dalam penelitian ini dibagi menjadi dua bagian, yaitu perangkat
keras (hardware) dan perangkat lunak (software). Perangkat keras yang
digunakan adalah komputer dan perangkat jaringan untuk membuat suatu
jaringan dapat terkoneksi. Sedangkan untuk perangkat lunak adalah
kebutuhan sebuah sistem operasi yang mendukung jaringan dan software-
software pendukung aplikasi jaringan.
Untuk dapat membuat sebuah sistem yang benar-benar dapat berfungsi
secara baik dan menyeluruh diperlukan adanya lingkungan perangkat keras
dan perangkat lunak sebagai berikut :
1. Lingkungan Perangkat Keras
lxxix
Perangkat keras yang digunakan dalam penelitan ini meliputi dari
komputer router (PC router), komputer client dan perangkat jaringan
lainnya sebagaimana berikut ini:
a. Komputer firewall sekaligus router gateway yang mempunyai
spesifikasi Pentium 4 2,4 GHz, memori DDR 256MB GB, 2 kartu
jaringan (TP-Link tipe PCI dan onboard Realtek RTL8139 Family
PCI Fast Ethernet NIC), HDD 30GB, CD-ROM
b. Komputer client, mempunyai spesifikasi minimum intel pentium 4 2,4
GHz, memori DDR 1GB, VGA 64 MB, Hardisk 40 GB, 1 kartu
jaringan, CD ROM dan monitor 15 inci.
c. Perangkat Jaringan dan Alat Pendukung seperti kabel UTP, dan alat-
alat non jaringan seperti kabel listrik.
2. Lingkungan Perangkat Lunak
Perangkat lunak yang digunakan dalam penelitian tugas akhir ini
dibagai menjadi dua bagian, yaitu perangkat lunak untuk server dan
perangkat lunak untuk client :
a. Perangkat Lunak untuk firewall : Sistem Operasi Linux IPCop 1.4.20,
built-in Apache web server, DHCP server, DNS Server, SSH Server,
Proxy Server(Squid), Intrusion Detection System (SNORT).
b. Perangkat Lunak untuk client sekaligus remote host : Sistem Operasi
Windows XP, Web Browser Mozilla, Putty, WinSCP, nmap.
3.3. Metode Pengumpulan Data
lxxx
Pengumpulan data merupakan proses pengadaan data primer untuk
keperluan penelitian. Berikut ini adalah metode pengumpulan data.yang
digunakan oleh penulis :
a. Studi Lapangan, yaitu observasi yang penulis lakukan dengan terjun
langsung ke lapangan untuk mendapatkan informasi terkait dengan
penelitian yang dilakukan untuk melihat sistem yang telah berjalan, serta
bagaimana sistem keamanan baru dapat diterapkan dengan menggunakan
firewall IPCop.
b. Studi Pustaka. Metode ini dilakukan dengan penelusuran dan
pembelajaran melalui media kepustakaan seperti buku, makalah, literature,
websites yang berkaitan dengan keamanan jaringan, firewall dan IPCop
yang berbasis open source untuk menambah pengetahuan terhadap sistem
yang akan diterapkan.
c. Studi Literatur. Metode ini dilakukan dengan membandingkan penelitian
sebelumnya atau penelitian yang sejenis dengan penelitian yang sekarang
dilakukan
3.4. Metode Pembangunan Sistem
Penulis melakukan pembangunan sistem yang terdiri dari fase atau tahapan
sebagai berikut :
a. Analysis (Analisis)
Pembangunan dimulai dengan fase analisis. Pada tahap ini dilakukan
proses perumusan permasalahan, mengidentifikasi konsep dari Firewall,
network interface pada IPCop. Kemudian mengumpulkan dan mendefinisikan
lxxxi
kebutuhan seluruh komponen sistem tersebut, sehingga sepesifikasi
kebutuhan mengenai sistem firewall IPCop dapat diperjelas. Analisis itu
sendiri penulis bagi menjadi beberapa tahap. Tahap ini meliputi :
1. Identify. Penulis melakukan identifikasi permasalahan yang dihadapi
sehingga dibutuhkan proses pengembangan lebih lanjut.
2. Understand. Penulis memahami mekanisme kerja sistem yang telah
berjalan pada tempat penelitian sehingga dapat mengetahui bagaimana
sistem baru akan dibangun dan dikembangkan.
3. Analyze. Penulis melakukan analisis terhadap sistem yang sedang
berjalan, dan memberikan usulan sistem baru yang lebih baik untuk
diterapkan. Penulis juga melakukan studi kelayakan dan melihat
kebutuhan sistem yang akan dibangun atau dikembangkan.
4. Report. Tahapan ini melakukan aktifitas pembuatan laporan yang
berisisi rincian komponen dan elemen yang dibutuhkan dalam
penelitian.
b. Design (Perancangan)
Tahapan selanjutnya adalah design. Jika tahap analisis
mendefinisikan “apa yang harus dilakukan sistem”, maka tahap
perancangan mendefinisikan “bagaimana cara sistem itu dapat
melakukannya”. Pada fase ini, spesifikasi kebutuhan sistem yang akan
dibangun, yang merupakan hasil dari tahap analisis, digunakan untuk
menghasilkan spesifikasi desain atau rancangan sistem yang akan
dikembangkan. Penulis tidak melakukan perancangan skema jaringan dari
lxxxii
awal, melainkan hanya menambahkan (extended) skema jaringan yang
telah ada.
c. Simulation Prototyping (Prototipe Simulasi)
Tahap selanjutnya adalah pembuatan prototipe sistem yang akan
dibangun, sebagai simulasi dan implementasi sistem produksi. Dengan
demikian penulis dapat mengetahui gambaran umum dari proses
komunikasi, keterhubungan dan mekanisme kerja dari interkoneksi
keseluruhan elemen sistem yang akan dibangun. Penulis membangun
prototipe sistem ini pada lingkungan virtual dengan menggunaka mesin
virtual, yaitu Virtual Box 3.12, dengan pertimbangan bahwa proses
kesalahan yang mungkin terjadi tidak akan mempengaruhi lingkungan
sistem nyata dan proses pembangunan prototipe dapat jauh lebih cepat.
d. Implementation (Implementasi)
Tahap selanjutnya adalah implementasi, dimana pada fase ini
spesifikasi rancangan solusi yang dihasilkan pada fase perancangan,
digunakan sebagai panduan intruksi implementasi pada lingkungan nyata.
Aktifitas pada fase implementasi diantaranya :
1. Merancang topologi jaringan dengan penambahan device baru pada
skema jaringan, yaitu berupa hardware firewall.
2. Melakukan instalasi dan konfigurasi terhadap firewall yang akan
diterapkan.
3. Melakukan tes konektivitas antara client dan mesin firewall
.
lxxxiii
e. Monitoring (Pengawasan)
Fase ini penulis melakukan proses pengujian. Hal ini mengingat
bahwa proses pengujian dilakukan melaui aktivitas pengoperasian dan
pengamatan sistem yang sudah dibangun/dikembangkan dan sudah
diimplementasikan untuk memastikan sistem firewall sudah berjalan
dengan baik dan benar, serta sudah menjawab semua pertanyaan dan
permasalahan spesifik yang dirumuskan.
Pengujian dilakukan pada setiap fungsi di setiap komponen sistem
pada lingkungan nyata. Dalam hal ini penulis melakukan pengujian pada
fungsionalitas (interkoneksi) perangkat jaringan komputer (seperti
komputer host, switch dan modem), IPCop firewall.
f. Management (Pengelolaan)
Pada tahapan terakhir adalah aktivitas perawatan, pemeliharaan dan
pengelolaan, karena proses manajemen/pengelolaan sejalan dengan
aktivitas perawatan/pemeliharaan sistem. Jaminan efektivitas dari
interkoneksi sistem menjadi masukan pada tahap ini untuk menghasilkan
keluaran berupa jaminan fleksibilitas dan kemudahan pengelolaan serta
pengembangan sistem firewall berbasis Linux di masa yang akan datang.
lxxxiv
Gambar 3.1 Diagram Ilustrasi Metode Penelitian
PerencanaanSkripsi
Metode PengumpulanData
PembangunanSistem
Identify
Understan
Analyze
Report
Studi
StudiWaktuPenelitianStudiFeasibilitas
PerangkatPenelitian
PerancanganTopologiJaringan
Perancangan Sistem(IPCop box firewall,network interface)
Analysis
Design
SimulationPrototyping
Implementati
Monitoring
Management
PersiapanLingkungan
Virtual
PembangunanPrototipe danSimulasi Sistem
ImplementasiTopologiJaringan
Implementasi Sistemfirewall IPCop.
PengujianInterkonektivitas
Komponenjaringan dengan
PengujianKomponen jaringan
dengan firewallIPCop
Pengujian SistemJaringan
PengelolaanSistem Jaringan
PengelolaanSistem firewall
IPCop
Perumusan Kesimpulan Pembuatan Laporan
lxxxv
BAB IV
HASIL DAN PEMBAHASAN
4.1 Analysis (Analisis)
Tahap analisis penulis bagi menjadi menjadi empat fase, yaitu : identify
(mengidentifikasi rumusan permasalahan), understand (memahami rumusan
permasalahan dan memahami bentuk penyelesaian permasalahan), analyze
(analisis kebutuhan sistem rancangan) dan report (pelaporan yang berisi
spesifikasi dari hasil analisis). Penulis melakukan analisis terhadap kebutuhan
sistem firewall yang akan diterapkan pada tempat penelitian secara keseluruhan,
baik dari perangkat keras (hardware) maupun perangkat lunak (software).
Analisis yang dilakukan penulis adalah sebagai berikut :
4.1.1 Identify
Jaringan yang terdapat pada tempat penelitian terhubung dengan
internet atau untrusted network yang memiliki resiko terhadap akses
eksternal yang dapat merusak jaringan, tidak terdapatnya sistem pengaman
dapat mengganggu aktivitas keluar-masuk data dalam jaringan. Aktivitas
browsing di internet pun dapat menjadi ancaman yang cukup serius terhadap
suatu jaringan komputer. Banyak website jahat di internet yang dapat
melakukan aktivitas penyusupan atau penyerangan oleh pihak-pihak yang
tidak bertanggung jawab untuk mendapatkan hak akses ilegal dan merusak
sistem jaringan komputer kita. Dari observasi dan wawancara yang telah
dilakukan dilakukan, penulis menyimpulkan dibutuhkannya suatu
lxxxvi
komponen jaringan tambahan, yaitu firewall sebagai pintu gerbang yang
bertugas menyaring dan mengontrol akses terhadap jaringan yang dimiliki
oleh perusahaan.
Penggunaan personal firewall yang terdapat pada sistem operasi
Windows dirasakan masih kurang efisien untuk menangani masalah
keamanan jaringan yang ada. Penggunaan suatu network firewall yang
bersifat independen dalam infrastruktur jaringan lebih reliable dalam
menangani masalah keamanan jaringan pada jaringan yang lebih besar. dan
firewall yang terdapat di pasaran baik berupa software atau hardware
memiliki harga yang cukup mahal, seperti CISCO PIX.
4.1.2 Understand
Hasil identifikasi rumusan permasalahan diatas membutuhkan
pemahaman yang baik agar dapat menghasilkan solusi yang tepat untuk
digunakan pada lingkungan penelitian. Dengan menggunakan metode studi
pustaka penulis memanfaatkan perpustakaan dan internet untuk
mengumpulkan sejumlah data dan informasi dari berbagai sumber dalam
bentuk buku-buku, makalah, literatur, artikel dan berbagai situs web
mengenai topik permasalahan terkait. Hasilnya digunakan untuk memahami
permasalahan yang terjadi untuk merumuskan solusi efektif dalam
menyelesaikan berbagai rumusan permasalahan. Permasalahan ini pulalah
yang penulis gunakan untuk merancang, membangun dan
mengimplementasikan sistem yang diharapkan dapat mengatasi rumusan
masalah yang ada.
lxxxvii
Setelah melakukan pemahaman terhadap masalah yang ada penulis
berfokus terhadap konsep kemanan jaringan, penggunaan network firewall,
pembatasan hak akses beserta metode penyerangan terhadap sistem.
4.1.3 Analyze
Hasil pemahaman penulis akan digunakan sebagai masukan untuk
menganalisis sistem yang dapat mengatasi rumusan permasalahan. Hasil
analisis dapat penulis rumuskan sebagai berikut :
a. Mengimplementasikan sistem firewall lebih khususnya adalah sebuah
stateful firewall yang berbasis open-source dengan menggunakan
distribusi Linux IPCop. Sistem ini bertanggung jawab sebagai pintu
gerbang layanan akses internet kepada client untuk melindungi
jaringan dari penyusup dan memberikan batasan-batasan akses kepada
pengguna. Sistem firewall ini dibangun sebagai web proxy yang
transparan (transparent proxy) dengan konfigurasi client sistem proxy
dilakukan secara otomatis dan juga bertindak sebagai DHCP server
untuk memberikan alamat IP address secara otomatis ke semua host
yang menjadi client nya.
b. Penulis akan menerapakan sistem firewall pada tempat penelitian
dengan menggunakan arsitektur firewall yang berjenis dual-homed
host, yaitu dengan menggunakan sedikitnya dua unit NIC(Network
Interface Card) pada mesin firewall pada sebuah PC, yang berwenang
secara langsung berkomunikasi dengan jaringan luar atau internet
lxxxviii
(external network). Firewall juga dapat bertindak sebagai sebuah PC
Router untuk melakukan static routing ke segmen jaringan yang
berbeda.
c. Studi Feasibilitas
1. Feasibilitas Ekonomi
Jika ditinjau dari studi kelayakan sistem pada sisi ekonomi,
sistem yang penulis kembangkan merupakan suatu penambahan pada
sistem jaringan yang sedang berjalan. Dengan menggunakan sebuah
firewall yang berbasis open source, kita tidak harus membayar lisensi
dari software yang kita gunakan dan penggunaan hardware yang
minimal memungkinkan untuk berjalannya sistem firewall ini. Dari
sisi ekonomis, hal ini menjadi salah satu faktor penghematan biaya
bagi perusahaan atau pengguna lain.
2. Feasibilitas Teknis
Dari sisi teknis, kinerja sistem yang akan penulis bangun telah
dapat dibuktikan kestabilannya pada lingkungan virtual dalam
menangani keluar-masuk akses pada jaringan, yang dapat dilihat pada
grafik monitoring. Karena sifatnya sebagai distribusi khusus firewall,
maka tidak terdapat GUI(Graphical User Inerface) pada sistem
operasinya, sehingga dapat meringankan kinerja hardware, akan tetapi
dengan adanya antarmuka web untuk mengakses mesin firewall
tersebut, selanjutnya dapat memudahkan kita untuk melakukan
pengaturan kebijakan yang kita gunakan secara remote.
lxxxix
3. Feasibilitas Legal
Pada pengembangan sistem ini, penulis melakukan penelitian
pada APL PLN Mampang sebagai studi kasusnya. Oleh karena itu,
legalitas sistem ini sendiri telah teruji.
4. Alternatif
Pengembangan alternatif yang dapat dilakukan antara lain
adalah pengembangan dengan menggunakan arsitektur firewall dan
topologi jaringan yang berbeda.
4.1.4 Report
Proses akhir dari fase analisis adalah pelaporan yang berisi detail atau
rincian dari berbagai komponen atau elemen sistem yang dibutuhkan.
Berbagai elemen atau komponen tersebut mencakup :
a. Spesifikasi sistem yang akan dibangun adalah sebuah mesin firewall
yang bertindak sebagai router gateway dari jaringan dengan
menggunakan pengaturan tertentu untuk membatasi dan menyaring akses
dari jaringan eksternal ke jaringan internal, ataupun sebaliknya. Penulis
juga menjadikan firewall tersebut sebagai web proxy yang menangani
permintaan dan pelayanan akses internet dari client.
b. Spesifikasi software yang akan digunakan diantaranya adalah sistem
operasi jaringan menggunakan distribusi Linux IPCop 1.4.20 yang
bertindak sebagai firewall sekaligus web proxy, Windows XP SP2
sebagai sistem operasi client dan sistem operasi komputer yang berperan
sebagai remote administrator firewall, nmap, SynAttack sebagai aplikasi
xc
untuk mencoba ketahanan fungsionalitas firewall.
4.2 Design (Perancangan)
Pada tahap ini dilakuakan perancangan terhadap sistem firewall yang akan
dibangun dengan menggunakan rincian spesifikasi kebutuhan dari sistem yang
telah dihasilkan pada tahapan analisis. Penulis membagi proses perancangan
menjadi :
4.2.1 Perancangan Topologi Jaringan
Pada tahap ini penulis pertama-tama akan menentukan jenis skema
jaringan yang akan digunakan untuk mengimplementasikan sistem nantinya.
Skema yang dirancang merupakan skema kecil yang ditambahkan
(extended) kedalam topologi jaringan yang sudah ada sebelumnya, dengan
kata lain penulis tidak merubah skema jaringan yang telah ada pada tempat
penelitian, akan tetapi menambahkannya. Pada awalnya jaringan yang sudah
berjalan melakukan koneksi internet langsung melalui modem ADSL,
sehingga tidak terdapat mekanisme filtering terhadap konten dan paket data
dari client yang terdapat pada jaringan.
xci
Gambar 4.1 Topologi yang ada dan sedang berjalan di APL PLN
Mampang
Skema jaringan yang ditambahkan merupakan ekspansi dari jaringan
yang pada dasarnya menggunakan topologi star dengan menggunakan
device Switch (Cisco Catalyst 2950 series) sebagai konsentrator dan berada
dibawah modem ADSL. Sehingga sistem nantinya firewall yang diterapkan
akan terhubung dengan jaringan eksternal melalui modem ADSL dan
jaringan internal dengan switch.
Pada perancangan skema jaringan yang akan diterapkan , sistem
firewall menggunakan duah buah IP address pada kedua interfase nya, yaitu
interface Green untuk jaringan internal dan Red untuk melakukan
komunikasi dengan modem ADSL yang memiliki terhubung langsung ke
ISP.
xcii
Gambar 4.2 Topologi Jaringan yang akan diterapkan di APL PLN
Mampang
Rincian keterangan dari gambar rancangan topologi jaringan
komputer diatas adalah sebagai berikut :
1. Jenis topologi yang diterapkan adalah Extended Star (hybrid).
2. Alamat IP yang digunakan menggunakan kelas A (subnet-mask
255.255.255.0) untuk interface Green, mengikuti pengalamatan yang
sudah ada pada struktur jaringan APL PLN Mampang. Sedangkan untuk
inteface Red menggunakan kelas C, mengikuti modem ADSL yang
memiliki IP default kelas C.
3. Pada mesin firewall penulis mengunakan dua unit NIC yang masing-
masing menghubungkan mesin dengan dua segmen jaringan yang
xciii
berbeda. Unit NIC-0 adalah interface Eth0 yang terhubung melalui kabel
straight ke konsentrator switch. Unit NIC-1 adalah interface Eth1 yang
terhubung langsung dengan modem ADSL melaui kabel straight.
4. Pada client didefinisikan sebgai LAN internal. Client hanya memiliki
satu unit NIC yaitu interface Eth0 yang menghubungkannya secara tidak
langsung dengan sistem jaringan komputer internal melalui switch.
5. Switch digunakan sebagai konsentrator sebgai media untuk
mengonsentrasikan seluruh host/pengguna sistem jaringan komputer
internal.
Yang memegang peranan penting pada sistem ini tentunya terletak
pada mesin firewall yang yang telah terpasang sistem operasi IpCop yang
berfungsi sebagai firewall dan juga router gateway untuk melakukan
semua aktifitas yang masuk (inbound) dan aktifitas keluar (outbound).
Penempatan IpCop disini bertujuan agar segala macam aktifitas yang
melewatinya dapat terawasi dan tercatat, sehingga kita dapat menetukan
policy atau pengaturan kebijakan berdasarkan informasi yang juga
tercatat pada IpCop tersebut.
4.2.2 Perancangan Infrastruktur
Pada tahapan ini, selanjutnya dilakukan kegiatan perancangan
infrastruktur sistem firewall itu sendiri. Penulis menspesifikasikan seluruh
komponen atau elemen yang dibutuhkan untuk membangun sebuah sistem
xciv
firewall serta merancang interkoneksi antar komponen/ elemen sistem. Dari
hasil analisa di atas maka penulis dapat menyimpulkan beberapa perangkat
yang diperlukan :
T
abe
l 4.1 Perangkat Keras
Selain itu penulis juga melakukan beberapa perincian kelas IP untuk
jaringan ini, berikut adalah perincian IP tersebut :
Perangkat /mesin
Interface Alamat IP Gateway Alamat DNS
FirewallEth 0 10.3.56.20/24Gateway +
Firewall Eth 1 192.168.1.2 / 24 192.168.1.1/24
No Item Spesifikasi Jumlah
1 PC ROUTER + Firewall
Intel Pentium 4 2.4
GHZ, Maxtor 30 GB,
RAM DDR 256 MB, 2
Realtek NIC
1
2 Client
Pentium 4 2.8 GHZ,
Seagate 40GB, DDR 1
GB, Realtek Onboard
NIC.
1
3. Modem ADSL TP Link 1
4. Kabel UTPCross-over dan straight
Belden
50 m
5. RJ 45 - 1 Pack
6. Crimping Tool 1
xcv
Zone InternalClient Eth 0 10.3.56.1 –
10.3.56.254 /2410.3.56.20/24 10.3.56.20
Tabel 4.2 Daftar alamat IP
Software FungsiIPCop 1.4.20 Sistem Operasi Firewall
Virtual Box Version 3.1.2 Edition Program Virtualisasi
Windows XP Professional SP2 Sistem Operasi ClientWindows 7 Ultimate Sistem Operasi ClientPutty Telnet dan SSH client
winscp406 SFTP dan FTP client
Advanced Proxy IPCop add-ons
URL Filter IPCop add-onsNmap, command prompt(pinger). Aplikasi untuk pengujian firewall
Mozilla Firefox Browser InternetTabel 4.3 Tabel Perangkat Lunak dan Tool
4.3 Simulation Prototyping (Prototipe Simulasi)
Pada tahap ini penulis membangun prototipe dari sistem baru yang akan
dibangun dan diimplementasikan dengan menggunakan mesin virtual sebagai alat
bantu simulasi pada lingkungan virtual. Simulation Prototyping
mendemonstrasikan fungsionalitas sistem yang akan dibangun.
Penulis menggunakan software Virtual Box 3.1.2 untuk memvirtualisasikan
sistem yang akan dibangun sebagai prototipe simulasi. Fase pembangunan
prototipe dimaksudkan untuk memenuhi sejumlah tujuan :
a. Menjamin efektivitas fungsionalitas dan interkoneksi antar elemen atau
komponen sistem.
xcvi
b. Memperkecil resiko kegagalan saat proses pembangunan dan implementasi
sistem pada lingkungan nyata.
c. Menjamin bahwa sistem sudah memenuhi kriteria spesifikasi perancangan
sistem dan sudah menjadi solusi dari rumusan permasalahan.
d. Menjamin bahwa kesalahan yang terjadi pada saat proses perancangan,
pembangunan dan implementasi tidak menganggu dan tidak mempengaruhi
lingkungan sistem nyata.
Gambar 4.3 Hasil dari proses simulasi pada mesin virtual
4.4 Implementation (Implementasi)
Tahap perancangan telah selesai dilakukan, maka fase selanjutnya adalah
dilakukan implementasi atau penerapan detail rancangan topologi tambahan dan
rancangan sistem pada jaringan yang telah berjalan. Detail rancangan akan
xcvii
digunakan sebagi instruksi atau panduan tahap implementasi agar sistem yang
dibangun dapat relevan dengan sistem yang sudah dirancang. Proses implementasi
terdiri dari pembangunan topologi jaringan, instalasi sistem operasi firewall dan
add-ons pendukungnya serta konfigurasinya. Hal tersebut dilakukan dengan
tujuan agar seluruh komponen dapat bekerjasama dengan baik dan benar.
4.4.1 Implementasi Topologi Jaringan
Sebagaimana yang telah kita bahas sebelumnya bahwa yang penulis
lakukan disini adalah melakukan pengadaan sistem firewall untuk
perusahaan yang bisa memenuhi kebutuhan perusahaan dalam hal keamanan
jaringan komputer, selain itu juga diharapkan penambahan firewall berbasis
open source tidak memakan biaya terlalu banyak sehingga menjadi solusi
biaya bagi perusahaan itu sendiri. Topologi yang digunakan dapat dilihat
pada tahap perancangan, dimana topologi yang digunakan berjenis extended
star (hybrid), dimana firewall yang juga berfungsi sebagai gateway
diletakkan antara jaringan internal (LAN) dan jaringan eksternal (internet)
dengan menggunakan konsentrator berupa switch.
4.4.2 Implementasi Sistem Operasi
Dalam penerapan rancangan arsitektur/ topologi sistem jaringan, penulis
melakukan instalasi sistem operasi pada mesin yang nantinya akan digunakan
sebagai firewall dan diterapkan kedalam skema jaringan yang sudah ada. Pada
xcviii
dasarnya, proses instalasi dari IPCop firewall sama seperti proses pada instalasi
sistem operasi Linux lainnya. Hal tersebut dikarenakan IPCop merupakan sistem
operasi Linux yang merupakan turunan dari Smoothwall dengan menggunakan
kernel 2.4.
Gambar 4.4 Tampilan Instalasi IPCop
Pada proses instalasi sistem operasi ini kita akan diberi pilihan-pilihan untuk
menkonfigurasi firewall yang akan kita install. Kita juga akan memberi nama atau
hostname pada mesin IPCop, dimana hostname tersebut berfungsi untuk
mengenali PC kita pada jaringan yang ada.
Gambar 4.5 Tampilan hostname IPCop
xcix
Setelah kita memberi nama hostname pada mesin firewall IPCop, proses
instalasi mewajibkan kita untuk memilih konfigurasi jaringan yang akan kita
gunakan pada mesin firewall tersebut, penulis memilih konfigurasi jaringan sesuai
dengan jumlah NIC atau kartu jaringan yang kita gunakan pada mesin firewall ini.
Gambar 4.6 Tampilan konfigurasi network IPCop
Penulis memilih konfigurasi “GREEN + RED” karena pada mesin firewall
yang penulis implemetasikan hanya menggunakan dua unit NIC yang
dialokasikan sebagai interface Green untuk segmen jaringan internal (LAN) dan
interface Red yang terhubung dengan modem ADSL sebagai segmen jaringan
eksternal (internet).
Konfigurasi yang dilakukan terhadap dua interface jaringan yang sudah kita
tentukan tadi juga dilakukan dalam proses instalasi ini, sehingga pada saat kita
telah selesai melakukan konfigurasi jaringan, IPCop sudah dapat langsung dapat
berjalan dan dikenali oleh jaringan. Konfigurasi interface jaringan ditunjukkan
pada gambar dibawah ini :
a. Konfigurasi Interface Green
c
Gambar 4.7 Tampilan konfigurasi Green interface IPCop
Konfigurasi alamat IP diatas dilakukan dengan memberikan alamat
kepada interface eth0 yaitu Green interface dengan menggunakan alamat IP
yang sudah berjalan pada infrastruktur jaringan APL PLN Mampang
sebelumnya. Alamat IP yang digunakan adalah kelas A, dengan IP
10.3.56.20 dan subnet mask 255.255.255.0 direpresentasikan dalam format
CIDR (/24). Penggunaan alamat IP kelas A adalah agar host yang berada
pada jaringan dapat berkomunikasi dengan jaringan WAN PLN apabila
tidak menggunakan gateway pada IPCop yang menggunakan modem
ADSL, sedangkan penggunaan subnet mask 255.255.255.0 dikarenakan
jumlah host yang terdapat pada jaringan kurang dari 254.
b. Konfigurasi Interface Red
ci
Gambar 4.8 Tampilan konfigurasi Red interface IPCop
Konfigurasi alamat IP diatas dilakukan dengan memberikan alamat
kepada interface eth1 yaitu Red interface dengan menggunakan alamat IP
yang berbeda network dengan alamat IP yang digunakan pada interface
Green. Kita dapat memilih apakah alamat IP yang digunakan pada interface
Red berupa Static, DHCP, PP0E atau PPTP. Pada penelitian ini penulis
menggunakan alamat IP yang bersifat Static untuk untuk digunakan pada
interface Red. IP ini digunakan untuk melakukan koneksi secara langsung
dengan interface LAN yang terdapat pada modem ADSL, dengan
mengikuti alamat IP yang dimiliki modem ADSL secara default dan
meruapakan sau network, yaitu 192.168.1.0.
c. Konfigurasi DHCP Server
cii
Gambar 4.9 Tampilan konfigurasi DHCP Server
IPCop juga dapat berfungsi sebagai DHCP Server yang akan
membagikan alamat IP secara otomatis, sehingga kita tidak perlu melakukan
pengisian alamat IP secara manual pada tiap-tiap host yang terhubung pada
jaringan.
Konfigurasi yang telah dilakukan terhadap interface yang digunakan pada
mesin firewall, dilanjutkan dengan proses intalasi yang akan meminta kita untuk
membuat password pada account root. Account root ini bertindak sebagai
administrator atau lebih dikenal dengan istilah super user pada Linux, yang dapat
melakukan modifikasi terhadap system (IPCop hanya menggunakan satu user,
yaitu root pada console firewall). Password ini digunakan untuk mengakses
console atau command line pada mesin firewall untuk melakukan instalasi
ataupun konfigurasi lebih lanjut secara text-based.
ciii
Gambar 4.10 Menetukan password untuk account root
Selain memasukkan password untuk account root, IPCop juga akan
meminta untuk membuat password pada user account admin, selanjutnya user
account ini digunakan oleh penulis untuk melakukan administrasi firewall dengan
interface web yang dimiliki opleh IPCop. Dan yang terakhir adalah menentukan
password untuk backup yang akan digunakan untuk mengeksport backup key.
4.4.3 Konfigurasi Pasca Instalasi
Sistem akan melakukan booting ulang. Sistem akan menampilkan pilihan
boot loader yang ada pada mesin firewall. IPCop menggunakan boot loader
GRUB untuk memilih pilihan booting. Pada hal ini penulis hanya memiliki satu
buah sistem operasi yaitu IPCop sehingga tidak ada boot loader lain selain milik
IPCop.
civ
Gambar 4.11 Tampilan Boot Loader
Terdapat empat pilihan konfigurasi kernel yang tersedia dan dapat kita pilih
pada menu boot loader IPCop, yaitu :
a. IPCop, konfigurasi kernel ini cocok untuk mesin atau komputer yang
memiliki single processor dengan motherboard yang tidak mendukung
Advanced Configuration and Power Interface (ACPI). Konfigurasi
kernel ini adalah yang paling dasar dan dapat berjalan pada sebagian
besar processor dan motherboard.
b. IPCop SMP, konfigurasi kernel ini cocok untuk motherboard yang
memiliki lebih dari satu processor, Symetric Multiprocessing (SMP).
Kita dapat memilih pilihan konfigurasi ini apabila pada motherboard
yang kita gunakan memiliki lebih dari satu processor.
c. IPCop (ACPI enabled), adalah konfigurasi yang memungkinkan IPCop
untuk memonitor hardware seperti temperatur processor dan konsumsi
daya yang digunakan.
d. IPCop SMP (ACPI enabled), konfigurasi kernel ini mendukung
cv
processor dengan hyperthreading, HT, SMP dan ACPI.
Karena komputer yang penulis gunakan hanya memiliki satu processor pada
motherboard nya, maka pada pilihan booting diatas memilih opsi pertama untuk
melakukan booting ke dalam sistem operasi IPCop.
Setelah melakukan booting ke dalam sistem operasi Linux IPCop, pada
tampilan awal IPCop yang berupa text-based kita akan menjumpai menu login,
kita akan login dengan account super user atau root dengan cara kita isikan menu
login dengan root dan kita masukan password dari root tersebut untuk melakukan
konfigurasi dan pengaturan melalui command line.
Gambar 4.12 Tampilan Awal Linux IPCopsetelah kita melakukan booting ke dalam sistem operasi IPCop, kita akan
melihat apakah semua konfigurasi yang kita lakukan pada interface jaringan saat
proses instalasi sudah sesuai pada masing-masing kartu jaringan. Kita dapat
mengetikkan perintah root@spicop:~ # ifconfig
Perintah diatas akan memberikan informasi terhadap interface jaringan yang
kita gunakan berikut alamat IP yang kita gunakan.
cvi
eth0 Link encap : Ethernet HWaddr 08:00:27:9A:F5:FE
inet addr : 10.3.56.20 Bcast:10.3.56.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7058 errors:0 dropped:0 overruns:0 frame:0
TX packets:7813 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:585233 (571.5 KB) TX bytes:2007038 (1.9 MB)
Interrupt:10 Base address:0xd020
eth1 Link encap : Ethernet HWaddr 08:00:27:DF:DB:05
inet addr : 192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:334 errors:0 dropped:0 overruns:0 frame:0
TX packets:29 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:44768 (43.7 KB) TX bytes:1218 (1.1 KB)
Interrupt:10 Base address:0xd240
lo Link encap : Local Loopback
inet addr : 127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:47 errors:0 dropped:0 overruns:0 frame:0
TX packets:47 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3128 (3.0 KB) TX bytes:3128 (3.0 KB)
Gambar 4.13 Tampilan Konfigurasi alamat IPOutput diatas didapatkan setelah kita melakukan konfigurasi kartu jaringan
pada tahapan implementasi sistem operasi, yang sudah dibahas pada sub bab 4.5.2
4.4.4 Pengujian Konektivitas
Setelah kita selesai mengkonfigurasi jaringan baik konfigurasi komputer
firewall maupun komputer clien, maka saatnya sekarang untuk mencoba
konfigurasi jaringan tersebut sudah berjalan atau belum. Testing sistem jaringan
ini dilakukan apakah alamat IP yang sudah kita konfigurasi pada tahap 4.5.3
dapat diakses dengan baik oleh client.
cvii
Kita dapat mengetikan perintah ping pada komputer client untuk melihat
apakah client sudah terkoneksi dengan mesin firewall sebagai gateway pada
jaringan.
C:\>ping 10.3.56.20
Apabila perintah diatas menghasilkan reply yang terdapat pada gambar 4.14
maka konfigurasi alamat IP telah berjalan. Dan kita dapat melakukan akses
kedalam interface web IPCop dan melakukan monitoring lebih lanjut.
Gambar 4.14 Tampilan ping dan reply Firewall IPcop
4.4.5 Pengujian akses pada Web-Interface
Fitur utama dari IPCop adalah melakukan administrasi firewall secara
remote dari komputer client melalui web-interface yang disediakan oleh IPCop.
Untuk dapat mengakses web-interface IPCop kita dapat mengetikkan secara
langsung alamat eth0 atau interface Green IPCop menggunakan sebuah web
browser secara secure menggunakan https pada port 445.
cviii
Gambar 4.15 Tampilan Login ke IPCop Web
Gambar 4.16. Tampilan Home Web Interface
Pada Gambar 4.16 merupakan menu home pada web interface IPCop
apabila kita telah berhasil melakukan login dengan account admin.
4.4.6. Instalasi Add-Ons IPCop
PC Firewall yang sudah terinstall IPCop hanya menampilkan interface
berbasis teks untuk melakukan konfigurasi IPCop secara low-level. Selanjutnya
kita dapat melakukan akses ke dalam console melalui putty. Untuk diakses
melalui interface web dan bekerja sebagai stateful firewall, sebaiknya kita
cix
melakukan instalasi paket add-ons yang akan kita gunakan pada web interface
nanti.
Add-ons atau paket tambahan yang akan ditambahkan pada penelitian ini
merupakan sebuah add-ons yang berupa proxy dengan basis SQUID, sehingga
natinya pengaturan-pengaturan yang dilakukan secara sederhana di dalam web
interface, akan masuk ke dalam file squid.conf yang terdapat dalam direktori
system operasi IPCop.
Untuk meng-copy file adv-proxy dan URL Filter, kita membutuhkan SFTP
dan SCP client pada komputer host untuk berkomunikasi dengan mesin IPCop.
Gambar 4.17 Tampilan menu WinSCP loginPada penelitian ini penulis menggunakan tools WinSCP untuk
melakukan transfer file. Kita harus melakukan login terlebih dahulu ke mesin
firewall IPCop dengan SSH menggunakan port nomor 222, karena IPCop tidak
menggunakan standard port 22 yang lazim digunakan untuk SSH. Dengan
memasukkan nama host atau alamat IP dan user name root berikut password
cx
nya. Pada saat session login, komputer kita akan menyimpan rsa2 key yang
diberikan oleh server.
Proses akan dilanjtkan terdapat window manager untuk melakukan
transfer files antar host dengan mesin firewall IPCop. Kita dapat langsung
memindahkan file yang kita inginkan dari host ke dalam struktur direktori
IPCop secara drag and drop, dalam hal ini kita akan mengkopi file intalasi
add-ons ke folder /tmp yang terdapat sistem operasi IPCop.
Gambar 4.18 Tampilan Window Manager WinSCPSetelah file berhasil kita copy kedalam direktori IPCop kita akan masuk ke
antarmuka console IPCop secara remote dengan menggunakan PuTTY, untuk
melakukan instalasi Add-Ons kedalam IPCop dan agar kita dapat mengkonfigurasi
nya nanti melalui interface web.
cxi
Gambar 4.19 RSA2 fingerprint authentication pada PuTTY
Gambar 4.20 Tampilan Remote Login PuttyApabila kita telah berhasil masuk ke dalam console IPCop melalui PuTTY
dengan menggunakan account root, kita dapat melihat file yang telah kita copy
sebelumnya ke dalam folder /tmp, dan selanjutnya dapat kita lakukan modifikasi
file tersebut.
cxii
Gambar 4.21 File yang telah berhasil di copya. Instalasi Adv Proxy
01 tar xzf ipcop-advproxy-3.0.4.tar.gz
Ekstrak file advance proxy
02 cd ipcop-advproxy-3.0.4 Masuk kedalam direktori
03 ipcop-advproxy/install Install adv-proxy
b. Instalasi URL Filter
01 tar xzf ipcop-urlfilter-1.9.3.tar.gz
Ekstrak file url filter
02 cd ipcop-urlfilter-1.9.3-3.0.4
Masuk kedalam direktori
03 ipcop-urlfilter/install Install url-filter
4.4.7 Konfigurasi Add-Ons
Untuk melakukan konfigurasi sederhana pada add-ons yang telah kita install
ke dalam IPCop, kita dapat melakukannya melalui menu pada interface web, pada
dropdown menu Services akan terdapat tambahan menu baru sesuai add-ons yang
sudah kita install, yaitu Advanced Proxy dan URL Filter.
cxiii
Pengaturan yang dilakukan pada Advanced Proxy dapat dilakukan dengan
memberikan checklist pada pilihan Enable On Green dan Transparent On Green,
dimana Proxy akan dilakukan untuk memfilter packet data yang melewati
interface Green dan bersifat Transparent menggunakan port 800, sehingga tidak
diperlukannya pengaturan yang terdapat pada browser di komputer client.
Access control dapat dilakukan dengan mendaftarkan standard port yang
biasa digunakan dan berdasarkan network. Untuk melakukan access-control
berdasarkan network terhadap host yang diizinkan dan tidak diizinkan pada
jaringan untuk mengakses internet, kita dapat memasukkan alamat IP nya pada
daftar Unrestricted atau Banned IP Address, begitu juga dengan MAC Address
nya. Keterangan ditunjukkan pada Gambar 4.22.
Gambar 4.22 Konfigurasi pada Advanced Proxy
Untuk pengaturan pada URL Filter kita dapat memilih kategori yang akan
di blok seperti; ads, hacking, drugs, porn dsb. Selain itu kita juga dapat membuat
cxiv
custom blacklist dan whitelist daftar domain ataupun URL yang berbahaya dan
tidak boleh di akses oleh client pada jaringan kita. Penggunaan custom expression
list dapat digunakan untuk memfilter konten yang disisipkan pada alamat URL
oleh client yang mengakses web melalui browser.
Gambar 4.23 Konfigurasi pada URL Filtering
4.5 Tahap Monitoring
Pembangunan sistem mengkategorikan proses pengujian pada fase
pengawasan (monitoring). Hal ini dikarenakan pengawasan sistem yang sudah
cxv
dibangun atau dikembangkan hanya dapat dilakukan jika sistem sudah dapat
bekerja sesuai dengan kebutuhan. Proses pengujian (testing) dibutuhkan untuk
menjamin dan memastikan bahwa system yang dibangun sudah sesuai memenuhi
spesifikasi rancangan dan memenuhi kebutuhan.
4.5.1 Monitoring DHCP Server
Kita telah melakukan pengaturan pada DHCP server pada saat
instalasi sistem operasi IPCop dilakukan, pada tahap monitoring kita akan
melihat apakah DHCP server tersebut sudah bekerja dengan baik dan
memberikan alamat IP kepada user yang terhubung kedalam jaringan.
Daftar alamat IP yang diberikan oleh DHCP server dapat kita lihat pada web
interface IPCop pada menu DHCP Configuration.
Gambar 4.24 merepresentasikan MAC Address, IP Address, Hostname
dan waktu expires dari IP yang diberikan oleh DHCP server kepada host
yang terhubung dan terdaftar dalam jaringan.
cxvi
Gambar 4.24. Tampilan IP yang tersebar melalui DHCP server
4.5.2 Monitoring Status
Pada web interface IPCop terdapat menu Status, yang dapat kita
gunakan untuk melihat status sistem dan network monitoring terhadap
beberapa item.
Gambar 4.25. Tampilan service dan server yang dijalankan pada mesin
Firewall
Gambar 4.26. Tampilan Routing Table
IPcop juga bertindak sebagai PC Router untuk melakukan suatu
perintah routing dalam menghubungkan dua buah segmen jaringan yang
cxvii
berbeda, dalam hal ini penulis melakukan pengupdatean routing table
dengan menambahkan sebuah perintah routing untuk menghubungkan
interface Green, yaitu eth0 dengan interface Red (eth1).
4.5.3 Pengujian Keamanan Firewall
Pada tahap pengujian ini, penulis akan melakukan beberapa pengujian
terhadap firewall IPCop yang sudah diterapkan dan berjalan pada struktur
jaringan pada tempat penelitian, yaitu APL PLN Mampang. Pengujian dilakukan
untuk melihat sejauh mana tingkat keamanan dari firewall IPCop tersebut.
a. PING test atau pengiriman paket ICMP
Dalam kondisi standar setelah instalasi, pengiriman paket ICMP atau
PING dapat dilakukan oleh client untuk melakukan test koneksi terhadap
firewall. Akan tetapi pada menu Firewall Options didalam interface web
IPCop dapat men-disable ping response pada tiap interface, sehingga kita
tidak mendapatkan reply dari mesin firewall. Cara ini baik dilakukan
untuk mencegah adanya eksploitasi lebih lanjut.
Gambar 4.27. Pengiriman pake ICMP yang diblok
b. Pengujian Transparent Proxy
cxviii
Untuk menguji efektifitas dari transparent proxy yang sudah
dilakukan dengan menggunakan Advance Proxy dan URL Filtering.
Dengan memasukkan domain atau URL yang sudah di filter sebelumnya.
Pada field alamat URL kita memasukkan http://www.playboy.com.
Hasilnya proxy berhasil memblok akses pengguna. Pengujian ini juga bisa
dilakukan dengan alamat IP.
Gambar 4.28. Content Filtering pada Proxy
Untuk membuktikan fungsi transparansi dari proxy, maka penulis
akan mengujinya dan memastikan bahwa tidak ada parameter proxy apapun
yang disertakan pada aplikasi web browser untuk dapat memanfaatkan akses
web.
cxix
Gambar 4.29. Transparansi Layanan Protokol HTTP
c. Pengujian Port Scanning
Pada tahap ini penulis melakukan pengujian terhadap port yang
dibuka pada firewall, baik pada interface Green (eth0) dengan alamat IP
10.3.56.20 dan interface Red (eth1) dengan alamat IP 192.168.1.2. Tools
yang digunakan adalah nmap untuk melakukan scanning. Proses scanning
ini dapat menghasilkan suatu informasi yang cukup penting bagi seorang
hacker atau pihak yang tidak bertanggung jawab dalam melakukan
eksploitasi terhadap sistem keamanan jaringan.
cxx
Gambar 4.30. NMAP Port Scanning pada interface Green
Dari hasil scanning yang didapatkan pada gambar 4.29, proses
scanning yang dilakukan dari jaringan internal memperlihatkan bahwa ada
beberapa port yang terbuka, yang dipakai oleh firewall untuk menjalankan
service nya, sedangkan sebanyak 994 port tertutup.
d. Pengujian Komponen IDS
Komponen IDS yang dipakai pada firewall IPCop adalah SNORT
yang bertugas untuk mencatat dan memberikan informasi terhadap jenis
serangan tertentu. Pada pengaturan didalam web interface IPCop
sebelumnya sudah diaktifkan service IDS pada interface Green dan Red.
Berdasarkan pengujian port scanning yang dilakukan sebelumnya pada
tahap C, yang melakukan scanning terhadap interface Red dan Green,
maka komponen IDS pada firewall akan melakukan pencatatan dan
memberikan log terhadap suatu serangan yang telah terjadi.
cxxi
Gambar 4.31. IDS mencatat serangan yang terjadi
4.6 Tahap Management
Fase selanjutnya adalah manajemen (pengelolaan). Fase ini meliputi
aktivitas pengelolaan dan pemeliharaan dari keseluruhan sistem jaringan dan
sistem firewall yang telah dibangun. Fase manajemen melalui serangkaian
proses pengelolaan, pemeliharaan atau perawatan dilakukan untuk sejumlah
tujuan:
a. Memperbaiki sejumlah kesalahan yang terdapat pada penerapan
sistem sebelumnya (sistem yang sudah ada).
b. Manambahkan fungsionalitas atau komponen spesifik atau fitur
tambahan terbaru untuk melengkapi kekurangan pada sistem
sebelumnya.
cxxii
c. Mengadaptasi sistem yang sudah dibangun terhadap platform dan
teknologi baru dalam mengatasi sejumlah perkembangan
permasalahan baru yang muncul.
Pada penerapan Firewall yang penulis lakukan, fase manajeman
direpresentasikan dengan sejumlah aktivitas berikut :
a. Menambahkan add-ons yang lain pada firewall untuk lebih
memperkuat ketahanan firewall dalam melindungi jaringan.
b. Memperbarui versi rilis dari firewall, karena versi terbaru menjamin
perbaikan dan penambahan fitur.
c. Penyesuaian piranti keras dari mesin firewall agar dapat beradaptasi
dengan perkembangan kebutuhan sistm jaringan komputer, seperti
penambahan RAM, Peningkatan kapasitas media penyiimpanan
(hardisk) untuk melakukan caching proxy dan lain sebagainya.
Dengan demikian, fase pemeliharaan dan pengelolaan dapat secara
efektif menjamin kehandalan kinerja dari Firewall.
cxxiii
BAB V
PENUTUP
5.1 Kesimpulan
Rumusan kesimpulan dari keseluruhan rangkaian proses penelitian yang
telah penulis lakukan adalah sebagai berikut :
1. Penerapan network firewall berbasis open source pada infrastruktur
jaringan mampu untuk melindungi jaringan komputer yang kita miliki dari
ancaman , dapat dilihat pada Gambar 4.2.
2. tateful firewall dapat berjalan dengan baik pada arsitektur firewall dual-
homed host dengan hardware yang ada dan cukup handal dalam
menangani keamanan pada jaringan, dapat dilihat pada Gambar 4.16.
3. Pengaturan yang tepat pada firewall IPCop dalam melakukan monitoring,
manajemen, dan administrasi melaui interface web dapat mempermudah
administrator jaringan untuk meminimalisir gangguan yang terjadi. Dapat
dilihat pada Gambar 4.23, 24, 25 ,26.
4. Komponen Add-Ons yang berbasis proxy dan Intrusion Detection System
telah berhasil berjalan dengan baik sebagai perantara bagi client untuk
mengakses layanan internet dan IDS dapat mendeteksi aktivitas yang
terjadi dan mampu untuk meningkatkan keamanan jaringan yang dimiliki
oleh perusahaan, daapt dilihat pada Gambar 4.27, 28, 31.
5.2 Saran
cxxiv
Pada saat penulis melakukan penelitian untuk menerapkan firewall
berbasis open-source ini banyak keterbatasan yang dapat penulis lakukan di
tempat penelitian, karena adanya kebijakan perusahaan. Sebelumnya perusahaan
lebih memilih menggunakan sistem firewall dalam bentuk perangkat (hardware)
yang berharga mahal. Perangkat seperti itu tidak efisien dan flexible dalam
pengembangannya, karena tidak dapat melakukan penambahan fitur dan upgrade
pada hardware nya agar lebih kuat untuk digunakan. Untuk lebih
mengoptimalkan kinerja firewall IPCop ini, penulis menyarankan hal-hal sebagai
berikut :
1. Kepada APL PLN Mampang , pengembangan firewall lebih lanjut akan
sangat berguna untuk melindungi aset perusahaan dari ancaman eksternal
maupun internal.
2. Penggunaan hardware yang berspesifikasi lebih tinggi, tentunya
berimplikasi pada kinerja sistem firewall yang meningkat dalam
menjalankan service yang diaktifkan dan melakukan tugasnya
mengamankan jaringan.
3. Dari sisi software, pengupdate-an dari rilis terbaru harus dilakukan secara
berkala untuk memperbaiki kinerja firewall menjadi lebih baik dengan
penambahan fitur-fitur terbaru.
4. Untuk pengembangan lebih lanjut, ada baiknya menggunakan add-ons
tambahan lain yang dapat melakukan filtering lebih lengkap lagi
khususnya pada layer application.
cxxv
5. Dari segi arsitektur firewall yang digunakan dapat di-upgrade dalam
bentuk arsitektur lain yang lebih baik dalam menangani keseluruhan
komponen jaringan, seperti server dan jaringan nirkabel (wireless),
sehingga semua zona interface pada IPCop dapat digunakan dengan baik
dan memberikan perlindungan yang lebih menyeluruh.
6. Pengembangan firewall juga dapat digabungkan dengan sistem keamanan
dan manajemen jaringan yang lain seperti honeypot dalam memberikan
informasi bagi network administrator dan mikrotik dalam melakukan
manajemen bandwith dan load balancing.
cxxvi
DAFTAR PUSTAKA
Ariyus, Dony, Computer Security, Andi, Yogyakarta, 2006
Ariyus, Dony, Intrusion Detection System, Andi, Yogyakarta, 2007
Brenton, Chris dan Hunt, Cameron, Network Security. PT Elex Media
Komputindo, Jakarta, 2005
Cisco Official Website, “Internetworking Technology Handbook”.
http://www.cisco.com/univercd/cc/td/doc/cisintwk/itc_doc/introwan.htm,
diakses tanggal 28 Oktober 2009, 13.51 WIB.
Dempster, Barrie dan James, Eaton-Lee, Configuring IPCop Firewalls, Packt
Publishing, Birmingham, 2006.
Farununuddin, Rakhmat, Membangun Firewall dengan IPTables di Linux, Elex
Media Komputindo, Jakarta, 2006.
Feibel, Werner, Encyclopedia of Networking, Second Edition, SYBEX Inc,
California, 1996.
Fyodor, Remote OS Detection Via TCP/IP Stack Finger Printing, 1998.
http://www.insecure.org/nmap/nmap-fingerprint-article.txt, diakses
tanggal 26 Oktober 2009, 09.21 WIB
Goldman, James E dan Rawles, Philip T, Applied Data Communications: A
Business Oriented Approach Thrid Edition, Wiley John&Sons, Inc, New
York, 2001.
Kamus Besar Bahasa Indonesia, Yudhistira, Jakarta, 2008
Komar, Brian, Ronald Beekelaar&Joern Wettern, Firewalls For Dummies, Second
Edition, Wiley Publishing Inc, Indiana, 2003.
cxxvii
Nazir, Moh, Metode Penelitian, Ghalia Indonesia, Jakarta, 2003
Oetomo, Budi Sutedjo Dharma dkk, Konsep dan Aplikasi Pemrograman Client
Server dan Sistem Terdistribusi, Andi, Yogyakarta, 2006
Ogletree, Terry William, Practical Firewalls, Que Publishing, Canada, 2000
Pressman, Roger S, “Rekayasa Perangkat Lunak: Pendekatan Praktisi (Buku
Satu)”. Terj. Dari Software Engineering: A Practitioner’s Approach ,
oleh L. N. Harnaningrum, Andi, Yogyakarta, 1997
Purbo, Onno W. Buku Pegangan Pengguna ADSL dan Speedy, Elex Media
Komputindo, Jakarta, 2006
RFC 2616, 1999, HTTP/1.1.179, hlm. http://www.ietf.org/rfc/rfc2616.txt, diakses
tanggal 26 Oktober 2009, pk.11.46 WIB
Stallings, William, Komunikasi Data dan Komputer: Jaringan Komputer, Terj
dari Data and Computer Communications, Six Edition, oleh Thamir
Abdul Hafedh Al-Hamdany, Salemba Teknika, Jakarta, 2000
Strebe, Matthew dan Charles Perkins, Firewall 24 Seven, Second Edition, SYBEX
Inc, California, 2002
Syafrizal, Melwin, Pengantar Jaringan Komputer. Andi ,Yogyakarta, 2006.
Tanenbaum, Andrew S, Computer Network, Fourth Edition, Prentice Hall, Inc,
New Jersey, 2003.
Virtual Box website. About Virtual Box. http://www.virtualbox.org/, diakses
tanggal 15 Oktober 2010, 14.35
Wahana Komputer, Konsep Jaringan Komputer dan Pengembangannya, Salemba
Infotek, Jakarta, 2003
cxxviii
Zwicky, Elizabeth D, Simon Cooper & D. Brent Chapman, Building Internet
Firewall, Second Edition, O’Reilly Publishing, California, 2000
cxxix
LAMPIRAN A
WAWANCARA
Sesi I Tanggal 31 September 2009
Tujuan : Mengetahui kondisi jaringan dan diskusi desain teknologi yang tepat.
Narasumber : Tjahjana
Jabatan : Koordinator LAHTA PT. PLN (PERSERO) APL Mampang
Pertanyaan :
1. Bagaimana kondisi jaringan yang ada disini?
Dapat dilihat bahwa jaringan yang ada sudah berjalan dengan cukup baik,
dengan menggunakan toplogi Star.
2. Bagaimana penggunaan internet disini?
Untuk melakkan akses internet, kami sudah berlangganan dengan salah
satu ISP milik anak perusahaan PLN, akan tetapi kurang begitu stabil dan
banyak memiliki keterbatasan, karena adanya keterbatasan bandwith untuk
tiap-tiap kantor cabang.
Saya punya rencana untuk mengganti ISP tersebut dengan milik Telkom,
khusus untuk kantor disni agar akses internet lebih stabil dan tidak
menganggu aktivitas karyawan. Akan tetapi khawatir akan tingkat
keamanannya karena kita langsung terkoneksi tanpa adanya alat pengaman
jaringan.
cxxx
3. Apakah dengan kondisi tersebut anda yakin dengan tingkat keamanannya?
Jika tidak, adakah rencana untuk menggunakan perangkat keamanan
tambahan pada jaringan?
Beberapa saat mungkin kita tidak terlalu memikirkan isu keamanan, akan
tetapi untuk akses internet langsung dapat menyebabkan user tidak
bertanggung jawab terhadap informasi yang diaksesnya pada internet,
yang dapat mengakibatkan timbul masalah keamanan dikemudian hari.
Rencana untuk membeli suatu device firewall memang sudah ada, akan
tetapi harganya relatif cukup mahal. Sebisa mungkin lebih baik
memanfaatkan sumber daya yang sudah ada.
4. Sudah pernah menerapkan firewall berbasis PC menggunakan Linux
sebelumnya?
Saya sering mendengar teknologi tersebut, tetapi belum pernah diterapkan
di sini. Saya rasa teknologi tersebut ada manfaatnya jika diterapkan di sini.
Dikarenakan kita memiliki berberapa PC yang tidak terpakai, dan bisa
untuk dijadikan sebuah firewall berbasis PC, apalagi kita tidak harus
membeli lisensi apabila menggunakan sistem operasi Linux.
Sesi II Tanggal 3 Januari 2010
Tujuan : Mengetahui sejauh mana kemudahan penggunaan sistem yang baru dan
manfaat dibanding sistem yang lama.
cxxxi
Narasumber : Tjahjana
Jabatan : Koordinator LAHTA PT. PLN (PERSERO) APL Mampang
Pertanyaan :
1. Bagaimana penggunaan IPCop sebagai firewall disini?
Penggunaan IPCop sangat mudah, tidak seperti yang saya bayangkan
sebelumnya. Saya pikir sistem operasi Linux itu sulit penggunaannya.
Untuk konfigurasinya cukup mudah. Tidak harus mengetahui sistem
operasi Linux secara keseluruhan, karena dibantu oleh interface web nya
yang cukup user friendly. Mungkin untuk level advance dibutuhkan
administrator jaringan yang benar-benar mengerti akan keamanan jaringan
dan sistem operasi Linux.
2. Bagaimana penggunaan sistem ini secara keseluruhan?
Penggunaan sistem firewall ini secara keseluruhan cukup baik, beberapa
pengaturan hak akses bagi user telah berjalan sesuai dengan yang
diinginkan. User tidak dapat mengakses beberapa website yang dilarang
dan membatasi user yang dapat terkoneksi ke internet, sehingga jam kerja
dapat dimanfaatkan dengan baik oleh karyawan.Program – program yang
ada juga berjalan dengan baik.
3. Apa saja kelemahan yang dirasakan pada sistem yang baru ini?
Yang saya rasakan mungkin untuk pengaturan lebih detail dan spesifik
membutuhkan seorang administrator jaringan yang baik dalam mengelola
cxxxii
jaringan, dikarenakan kita juga harus melakukan pembaruan dalam
pengaturan kemanan, sesuai perkembangan teknologi nya.
Narasumber : Toni
Jabatan : Staff CATER
1. Dari karyawan sendiri bagaimana penggunaan sistem yang baru ini?
Saya rasa penggunaan sistem ini cukup memberikan batasan bagi kami
sebagai karyawan untuk mengakses website yang tidak diijinkan oleh
perusahaan. Selain itu ada beberapa komputer staff yang sama sekali tidak
bisa untuk melakukan akses internet.
cxxxiii
LAMPIRAN BKonfigurasi IPTables
#!/bin/sh## $Id: rc.firewall,v 1.7.2.24 2007/11/17 08:12:29 owes Exp $#eval $(/usr/local/bin/readhash /var/ipcop/ppp/settings)eval $(/usr/local/bin/readhash /var/ipcop/ethernet/settings)if [ -f /var/ipcop/red/iface ]; then IFACE=`/bin/cat /var/ipcop/red/iface 2> /dev/null |/usr/bin/tr -d '\012'`fiif [ -f /var/ipcop/red/device ]; then DEVICE=`/bin/cat /var/ipcop/red/device 2> /dev/null |/usr/bin/tr -d '\012'`fi
iptables_init() { # Flush all rules and delete all custom chains /sbin/iptables -F /sbin/iptables -t nat -F /sbin/iptables -t mangle -F /sbin/iptables -X /sbin/iptables -t nat -X /sbin/iptables -t mangle -X
# Set up policies /sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT ACCEPT
# Empty LOG_DROP and LOG_REJECT chains /sbin/iptables -N LOG_DROP /sbin/iptables -A LOG_DROP -m limit --limit 10/minute -jLOG /sbin/iptables -A LOG_DROP -j DROP /sbin/iptables -N LOG_REJECT /sbin/iptables -A LOG_REJECT -m limit --limit 10/minute -jLOG /sbin/iptables -A LOG_REJECT -j REJECT
# This chain will log, then DROPs packets with certain badcombinations # of flags might indicate a port-scan attempt (xmas, null,etc) /sbin/iptables -N PSCAN /sbin/iptables -A PSCAN -p tcp -m limit --limit 10/minute -j LOG --log-prefix "TCP Scan? " /sbin/iptables -A PSCAN -p udp -m limit --limit 10/minute -j LOG --log-prefix "UDP Scan? " /sbin/iptables -A PSCAN -p icmp -m limit --limit 10/minute -j LOG --log-prefix "ICMP Scan? " /sbin/iptables -A PSCAN -f -m limit --limit 10/minute -j LOG --log-prefix "FRAG Scan? " /sbin/iptables -A PSCAN -j DROP
cxxxiv
# New tcp packets without SYN set - could well be an obscuretype of port scan # that's not covered above, may just be a broken windowsmachine /sbin/iptables -N NEWNOTSYN /sbin/iptables -A NEWNOTSYN -m limit --limit 10/minute -jLOG --log-prefix "NEW not SYN? " /sbin/iptables -A NEWNOTSYN -j DROP
# Chain to contain all the rules relating to bad TCP flags /sbin/iptables -N BADTCP
# Disallow packets frequently used by port-scanners # nmap xmas /sbin/iptables -A BADTCP -p tcp --tcp-flags ALL FIN,URG,PSH-j PSCAN # Null /sbin/iptables -A BADTCP -p tcp --tcp-flags ALL NONE -jPSCAN # FIN /sbin/iptables -A BADTCP -p tcp --tcp-flags ALL FIN -j PSCAN # SYN/RST (also catches xmas variants that set SYN+RST+...) /sbin/iptables -A BADTCP -p tcp --tcp-flags SYN,RST SYN,RST-j PSCAN # SYN/FIN (QueSO or nmap OS probe) /sbin/iptables -A BADTCP -p tcp --tcp-flags SYN,FIN SYN,FIN-j PSCAN # NEW TCP without SYN /sbin/iptables -A BADTCP -p tcp ! --syn -m state --state NEW-j NEWNOTSYN
/sbin/iptables -A INPUT -j BADTCP /sbin/iptables -A FORWARD -j BADTCP
}
iptables_red() { /sbin/iptables -F REDINPUT /sbin/iptables -F REDFORWARD /sbin/iptables -t nat -F REDNAT
# PPPoE / PPTP Device if [ "$IFACE" != "" ]; then # PPPoE / PPTP if [ "$DEVICE" != "" ]; then /sbin/iptables -A REDINPUT -i $DEVICE -j ACCEPT fi if [ "$RED_TYPE" == "PPTP" -o "$RED_TYPE" == "PPPOE"]; then if [ "$RED_DEV" != "" ]; then /sbin/iptables -A REDINPUT -i $RED_DEV -jACCEPT fi fi fi
cxxxv
# PPTP over DHCP if [ "$DEVICE" != "" -a "$TYPE" == "PPTP" -a "$METHOD" =="DHCP" ]; then /sbin/iptables -A REDINPUT -p tcp --source-port 67 --destination-port 68 -i $DEVICE -j ACCEPT /sbin/iptables -A REDINPUT -p udp --source-port 67 --destination-port 68 -i $DEVICE -j ACCEPT fi
# Orange pinholes if [ "$ORANGE_DEV" != "" ]; then # This rule enables a host on ORANGE network toconnect to the outside # (only if we have a red connection) if [ "$IFACE" != "" ]; then /sbin/iptables -A REDFORWARD -i $ORANGE_DEV -ptcp -o $IFACE -j ACCEPT /sbin/iptables -A REDFORWARD -i $ORANGE_DEV -pudp -o $IFACE -j ACCEPT fi fi
if [ "$IFACE" != "" -a -f /var/ipcop/red/active ]; then # DHCP if [ "$RED_DEV" != "" -a "$RED_TYPE" == "DHCP" ]; then /sbin/iptables -A REDINPUT -p tcp --source-port67 --destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A REDINPUT -p udp --source-port67 --destination-port 68 -i $IFACE -j ACCEPT fi if [ "$METHOD" == "DHCP" -a "$PROTOCOL" == "RFC1483"]; then /sbin/iptables -A REDINPUT -p tcp --source-port67 --destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A REDINPUT -p udp --source-port67 --destination-port 68 -i $IFACE -j ACCEPT fi
# Outgoing masquerading /sbin/iptables -t nat -A REDNAT -o $IFACE -jMASQUERADE
fi}
# See how we were called.case "$1" in start) iptables_init
# Limit Packets- helps reduce dos/syn attacks # original do nothing line #/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flagsSYN,RST,ACK SYN -m limit --limit 10/sec # the correct one, but the negative '!' do nothing...
cxxxvi
#/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flagsSYN,RST,ACK SYN -m limit ! --limit 10/sec -j DROP
# Fix for braindead ISP's /sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -jTCPMSS --clamp-mss-to-pmtu
# CUSTOM chains, can be used by the users themselves /sbin/iptables -N CUSTOMINPUT /sbin/iptables -A INPUT -j CUSTOMINPUT /sbin/iptables -N CUSTOMFORWARD /sbin/iptables -A FORWARD -j CUSTOMFORWARD /sbin/iptables -N CUSTOMOUTPUT /sbin/iptables -A OUTPUT -j CUSTOMOUTPUT /sbin/iptables -t nat -N CUSTOMPREROUTING /sbin/iptables -t nat -A PREROUTING -j CUSTOMPREROUTING /sbin/iptables -t nat -N CUSTOMPOSTROUTING /sbin/iptables -t nat -A POSTROUTING -j CUSTOMPOSTROUTING
# filtering from GUI /sbin/iptables -N GUIINPUT /sbin/iptables -A INPUT -j GUIINPUT
# Accept everything connected /sbin/iptables -A INPUT -m state --stateESTABLISHED,RELATED -j ACCEPT /sbin/iptables -A FORWARD -m state --stateESTABLISHED,RELATED -j ACCEPT
# traffic from ipsecX/tun/tap interfaces, before "-iGREEN_DEV" accept everything /sbin/iptables -N IPSECVIRTUAL /sbin/iptables -N OPENSSLVIRTUAL /sbin/iptables -A INPUT -j IPSECVIRTUAL /sbin/iptables -A INPUT -j OPENSSLVIRTUAL /sbin/iptables -A FORWARD -j IPSECVIRTUAL /sbin/iptables -A FORWARD -j OPENSSLVIRTUAL
# localhost and ethernet. /sbin/iptables -A INPUT -i lo -m state --stateNEW -j ACCEPT /sbin/iptables -A INPUT -s 127.0.0.0/8 -m state --stateNEW -j DROP # Loopback not on lo /sbin/iptables -A INPUT -d 127.0.0.0/8 -m state --stateNEW -j DROP /sbin/iptables -A FORWARD -i lo -m state --stateNEW -j ACCEPT /sbin/iptables -A FORWARD -s 127.0.0.0/8 -m state --stateNEW -j DROP /sbin/iptables -A FORWARD -d 127.0.0.0/8 -m state --stateNEW -j DROP /sbin/iptables -A INPUT -i $GREEN_DEV -m state --stateNEW -j ACCEPT -p ! icmp /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --stateNEW -j ACCEPT
cxxxvii
# If a host on orange tries to initiate a connection toIPCop's red IP and # the connection gets DNATed back through a port forward toa server on orange # we end up with orange -> orange traffic passing throughIPCop [ "$ORANGE_DEV" != "" ] && /sbin/iptables -A FORWARD -i$ORANGE_DEV -o $ORANGE_DEV -m state --state NEW -j ACCEPT
# allow DHCP on BLUE to be turned on/off /sbin/iptables -N DHCPBLUEINPUT /sbin/iptables -A INPUT -j DHCPBLUEINPUT
# IPsec /sbin/iptables -N IPSECPHYSICAL /sbin/iptables -A INPUT -j IPSECPHYSICAL
# OpenSSL /sbin/iptables -N OPENSSLPHYSICAL /sbin/iptables -A INPUT -j OPENSSLPHYSICAL
# WIRELESS chains /sbin/iptables -N WIRELESSINPUT /sbin/iptables -A INPUT -m state --state NEW -jWIRELESSINPUT /sbin/iptables -N WIRELESSFORWARD /sbin/iptables -A FORWARD -m state --state NEW -jWIRELESSFORWARD
# RED chain, used for the red interface /sbin/iptables -N REDINPUT /sbin/iptables -A INPUT -j REDINPUT /sbin/iptables -N REDFORWARD /sbin/iptables -A FORWARD -j REDFORWARD /sbin/iptables -t nat -N REDNAT /sbin/iptables -t nat -A POSTROUTING -j REDNAT
iptables_red
# DMZ pinhole chain. setdmzholes setuid prog adds ruleshere to allow # ORANGE to talk to GREEN / BLUE. /sbin/iptables -N DMZHOLES if [ "$ORANGE_DEV" != "" ]; then /sbin/iptables -A FORWARD -i $ORANGE_DEV -m state --state NEW -j DMZHOLES fi
# XTACCESS chain, used for external access /sbin/iptables -N XTACCESS /sbin/iptables -A INPUT -m state --state NEW -j XTACCESS
# PORTFWACCESS chain, used for portforwarding /sbin/iptables -N PORTFWACCESS
cxxxviii
/sbin/iptables -A FORWARD -m state --state NEW -jPORTFWACCESS
# Custom prerouting chains (for transparent proxy and portforwarding) /sbin/iptables -t nat -N SQUID /sbin/iptables -t nat -A PREROUTING -j SQUID /sbin/iptables -t nat -N PORTFW /sbin/iptables -t nat -A PREROUTING -j PORTFW
# Custom mangle chain (for port fowarding) /sbin/iptables -t mangle -N PORTFWMANGLE /sbin/iptables -t mangle -A PREROUTING -j PORTFWMANGLE
# Postrouting rules (for port forwarding) /sbin/iptables -t nat -A POSTROUTING -m mark --mark 1 -jSNAT \ --to-source $GREEN_ADDRESS if [ "$BLUE_DEV" != "" ]; then /sbin/iptables -t nat -A POSTROUTING -m mark --mark 2-j SNAT --to-source $BLUE_ADDRESS fi if [ "$ORANGE_DEV" != "" ]; then /sbin/iptables -t nat -A POSTROUTING -m mark --mark 3-j SNAT --to-source $ORANGE_ADDRESS fi
# run local firewall configuration, if present if [ -x /etc/rc.d/rc.firewall.local ]; then /etc/rc.d/rc.firewall.local start fi
# last rule in input and forward chain is for logging. /sbin/iptables -A INPUT -m limit --limit 10/minute -j LOG--log-prefix "INPUT " /sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG--log-prefix "OUTPUT " ;; stop) iptables_init # Accept everyting connected /sbin/iptables -A INPUT -m state --stateESTABLISHED,RELATED -j ACCEPT
# localhost and ethernet. /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -i $GREEN_DEV -m state --state NEW -j ACCEPT
if [ "$RED_DEV" != "" -a "$RED_TYPE" == "DHCP" -a "$IFACE"!= "" ]; then /sbin/iptables -A INPUT -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A INPUT -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT fi
cxxxix
if [ "$PROTOCOL" == "RFC1483" -a "$METHOD" == "DHCP" -a"$IFACE" != "" ]; then /sbin/iptables -A INPUT -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A INPUT -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT fi
# run local firewall configuration, if present if [ -x /etc/rc.d/rc.firewall.local ]; then /etc/rc.d/rc.firewall.local stop fi
/sbin/iptables -A INPUT -m limit --limit 10/minute -j LOG--log-prefix "INPUT " /sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG--log-prefix "OUTPUT " ;; reload) iptables_red
# run local firewall configuration, if present if [ -x /etc/rc.d/rc.firewall.local ]; then /etc/rc.d/rc.firewall.local reload fi ;; restart) $0 stop $0 start ;; *) echo "Usage: $0 {start|stop|reload|restart}" exit 1 ;;esacexit 0
cxl
1
PENERAPAN STATEFUL FIREWALL PADA ARSITEKTUR DUAL-HOMED HOST
(STUDI KASUS : PT PLN (PERSERO) APL MAMPANG)
Arini, Victor Amrizal Ariefati WiratamaTeknik Informatika, Universitas Islam Negri Syarif Hidayatullah, Jakarta
ABSTRAKSIKeamanan jaringan merupakan kebutuhan yang penting bagi personal terlebihlagi perusahaan. Minimnya fungsi dari personal firewall dan mahalnya sebuahhardware firewall ini lah yang menjadi kendala dalam penerapan suatu firewall.IPCop merupakan suatu statefull firewall yang memfilter dari layer transportsampai layer application. IPCop diterapkan pada arsitektur firewall dual-homedhost yang menggunakan sedikitnya 2NIC pada sebuah PC. IPCop, juga bertindaksebagai proxy yang transparan sebagai gateway untuk mengakses layananinternet dan melakukan access-control kepada user. Di dalam penelitian inipembangunan sistem terdiri dari beberapa elemen yang mendefinisikan fase,tahapan, langkah, atau mekanisme proses spesifik. Tahapan dalam pembangunanini terdiri dari analisis, desain, simulasi prototipe, pengamatan/monitoring, danmanajemen. Firewall diuji dengan akses konten internet yang diblokir dan portscanning. Hasil pengujian menunjukkan bahwa penerapan statefull firewall yangmenggunakan arsitektur dual-homed host pada PT.PLN(PERSERO) APLMampang dapat berjalan dengan baik sebagai firewall yang mudah dikonfigurasiuntuk mengamankan jaringan.
Kata kunci : stateful firewall, dual-homed host, IPCop
I. PendahuluanA. Latar Belakang
Keamanan jaringan komputer sudahmenjadi faktor yang penting dandibutuhkan pada suatu instansi maupunperorangan untuk melindungi aset-asetinformasi yang dimiliki.
Banyaknya ancaman pada jaringankomputer memerlukan adanya suatupelindung atau dinding pengaman yangdapat melindungi jaringan tersebut. Salahsatu bentuk pengamanan adalah denganmenggunakan firewall sebagai pelindungterluar dari infrastruktur jaringan komputerlokal terhadap keluar-masuknya datadalam jaringan komputer lokal yangberhubungan dengan internet.
Keberadaan personal firewall yangterdapat pada sistem operasi Windows atausoftware aplikasi pihak ketiga, memilikiefek negatif dalam penggunaan resourceyang cukup besar dan dapat membebanijalannya sistem operasi. Selain itupenggunaan firewall yang berupahardware pun memiliki harga yang relatifcukup mahal untuk diimplementasikan.
Oleh karena itu digunakanlah IpCopyang merupakan suatu sistem operasidistribusi Linux yang diperuntukkankhusus sebagai firewall denganmenggunakan hardware PC. Firewall inidikonfigurasi melalui remote accessdengan interaksi melalui antarmukaberbasis web dan bekerja denganmelakukan pengontrolan, pengaturan dan
2
pembatasan terhadap hak akses user yangterhubung ke internet. untuk meningkatkankualitas keamanan jaringan komputer.B. Tujuan
Tujuan dari penulisan skripsi ini adalahMenerapkan sistem firewall berbasis opensource yang ekonomis dalammengamankan jaringan denganmemberikan kemudahan untuk melakukanmanjemen dan pengaturan access-controlsebagai usaha meningkatkan keamananjaringan pada perusahaan.C. Batasan Masalah
Fokus penulisan skripsi ini adalahMengimplementasikan sebuah networkfirewall berbasis open sourcemenggunakan distribusi IPCop, adapunpengujian terhadap firewall dilakukandengan menggunakan port scanning attackdan pengujian URL atau text-content.
II. Landasan TeoriA. Pengertian Firewall
Firewall merupakan perangkatjaringan yang dibangun dari software,hardware, atau kombinasi dari keduanyayang berada diantara dua segmen jaringanberbeda, dan bertugas memeriksa trafficdata yang mengalir melewatinya denganmenggunakan sejumlah kriteria kebijakankeamanan untuk menentukan apakahakses traffic dapat diizinkan untukmelewati firewall dan memasuki sistemjaringan atau tidak.B. Pengertian Network Firewall
Network Firewall didesasin untukmelindungi jaringan secara keseluruhandari berbagai serangan. Umumnyadijumpai dalam dua bentuk, yakni sebuahperangakat terdedikasi atau sebagi sebuahperangkat lunak yang diinstalasikan dalamsebuah server.
Network Firewall secara umummemiliki bebrapa fitur utama, yakni apayang dimiliki oleh personal firewall(packet filter firewall dan statefulfirewall), Circuit Level Gateway,Application Level Gateway, dan juga NATfirewall. Network firewall umumnya
bersifat transparan (tidak terliihat) daripengguna dan menggunakan teknologirouting untuk menentukan paket manayang diizinkan dan mana paket yang akanditolak.C. Stateful Firewall
Sateful Firewall merupakan sebuahFirewall yang menggabungkankeunggulan yang ditawarkan oleh packet-filtering Firewall, NAT Firewall, Circuit-Level Firewall dan Proxy Firewall dalamsatu sistem.
Statefull Firewall dapat melakukanfiltering terhadap lalu lintas berdasarkankarakteristik paket, seperti halnya packet-filtering Firewall, dan juga memilikipengecekan terhadap sesi koneksi untukmeyakinkan bahwa sesi koneksi yangterbentuk tersebut diizinkan.
Tidak seperti Proxy Firewall atauCircuit Level Firewall, Stateful Firewallpada umumnya didesain agar lebihtransparan (seperti halnya packet-filteringFirewall atau NAT Firewall). Akan tetapi,stateful Firewall juga mencakup beberapaaspek yang dimiliki oleh application levelFirewall, sebab ia juga melakukaninspeksi terhadap data yang datang darilapisan aplikasi (application layer) denganmenggunakan layanan tertentu.
Gambar 1 Stateful Firewall dilihat padalapisan OSID. Arsitektur Dual-Homed Host
Arsitektur yang menempatkan satumesin untuk berperan sebagai firewallyang ditempatkan diantara dua segmen
3
jaringan berbeda. Arsitektur ini disebutMultiple-Purpose Boxes (satu mesindengan banyak fungsi)
Dalam penerapannya dibangun daridual-homed host yaitu computer yangmenggunakan sedikitnya dua unit NICuntuk menghubungkan dua atau lebihsegmen jaringan berbeda.
Gambar 2 Arsitektur Dual-Homed Host
III. Metode PenelitianUntuk memperoleh data dan informasi
yang diperlukan dalam penelitian ini, adabeberapa metode yang penulis lakukandiantaranya :A. Metode Pengumpulan Data
a. Studi Lapangan. Melalui observasiatau pengamatan langsung, penulisdapat menemukan berbagai datayang dibutuhkan dalam melakukanpenelitian.
b. Studi Pustaka. Metode ini dilakukandengan penelusuran danpembelajaran melalui mediakepustakaan seperti buku, makalah,literature, websites yang berkaitandengan keamanan jaringan, firewalldan IPCop yang berbasis opensource untuk menambahpengetahuan terhadap sistem yangakan diterapkan.
c. Studi Literatur. Metode ini dilakukandengan membandingkan penelitiansebelumnya atau penelitian yangsejenis dengan penelitian yangsekarang dilakukan.
B. Metode Pembangunan SistemPembangunan sistem yang dilakukan
pada penelitian ini merupakan suatu siklus
yang terdiri dari enam tahapan prosesspesifik.Fase-fase yang digunakan adalah :1. Analisis2. Desain (Perancangan)3. Simulasi Prototipe4. Implementasi5. Monitoring6. ManajemenFase-fase tersebut nantinya akan salingberkelanjutan dan secara terus menerusdigunakan untuk mendapatkan sebuahstruktur jaringan yang tepat guna danefisien serta dinamis dalam menghadapiperubahan-perubahan kebutuhan dalamstruktur jaringan perusahaan.
Gambar 3 Siklus Pembangunan Sistem
IV. Hasil dan PembahasanA. Analisis
Penulis melakukan analisis terhadapkebutuhan sistem firewall yang akanditerapkan pada tempat penelitian secarakeseluruhan, baik dari perangkat keras(hardware) maupun perangkat lunak(software)
Hasil analisis yang dilakukan dapatdisimpulkan sebagai berikut :a. Belum terdapat alat keamanan jaringan
yang berupa network firewall.b. Anggaran untuk membeli hardware
firewall yang terbatas.c. Menggunakan firewall open source
berbasi Linux yang ekonomis danmudah dalam penerapannya.
d. Firewall yang digunakan berjenisstateful, yang dapat berjalan sebagaiweb proxy dan DHCP server.
Simulation
Impleme
Manage
Monitori
4
e. Penggunaan jenis arsitektur firewalldual-homed host yang menggunakanduah buah NIC sebagai pencerminandua buah interface pada IPCop.
f. Penerapan dilakukan denganmenggunakan topologi extended-star(hybrid), tanpa mengubah strukturasli jaringan.
B. Penerapan FirewallSebelum dilakukan instalasi dan
konfigurasi, terlbih dahulu dilakukandesain mengenai topologi estended-staryang digunakan.
Gambar 5. Desain topologi
Setelah dilakukan perancangan toplogimaka penelitian dimulai denganmenerapkan infratruktur jaringan yangsudah dilakukan penambahan padatopologi awalnya. Firewall yangditerapkan memiliki dua buah NIC(Network Interface Card), NIC yangpertama sebagai Eth0 terkoneksi denganjaringan internal melalui switch, NIC yangkedua sebagai Eth1 dan terkoneksi denganmodem ADSL.
Yang memegang peranan pentingpada sistem ini tentunya terletak padamesin firewall yang yang telah terpasangsistem operasi IpCop yang berfungsisebagai firewall dan juga router gatewayuntuk melakukan semua aktifitas yangmasuk (inbound) dan aktifitas keluar(outbound). Penempatan IpCop disini
bertujuan agar segala macam aktifitas yangmelewatinya dapat terawasi dan tercatat,sehingga kita dapat menetukan policy ataupengaturan kebijakan berdasarkaninformasi yang juga tercatat pada IpCoptersebut.
Setelah topologi berjalan dengan baikdan kenektivitas antar komponen jaringantelah terhubung, kita terlebih dahulumelakukan instalasi sistem operasi firewallyang digunakan, yaitu IPCop. Penggunaansistem operasi ini didasari padakemudahan dan kemampuannya dalammenyediakan layanan firewall yang baikdan cocok untuk diterapkan pada tempatpenelitian.
Konfigurasi yang dilakuakan padasaat implementasi sistem operasi adalah :
1. Konfigurasi Interface Green :Konfigurasi dilakukan pada interfaceEth0 yang berfungsi sebagai interfaceGreen pada IPCop denganmenggunakan alamat IP yang sudahberjalan pada tempat penelitian.
2. Konfigurasi Interface Red : Konfigurasidilakukan pada interface Eth1 yangberfungsi sebagai interface Red padaIPCop dengan menggunakan alamat IPyang berbeda dengan interface Green,dan terhubung dengan jaringaneksternal dalam hal ini adalah internet.
3. Konfigurasi DHCP Server: DHCPserver diaktifkan untuk memberikanalamat IP secara dinamis kepada useryang terhubung dengan jaringankomputer yang kita miliki. Layanan inimerupakan fitur standard yang dimilikioleh IPCop firewall. Sehinggamanfaatnya adalah setiap user nantinyatidak harus mengisikan alamat IPapabila baru trhubung dengan jaringan.
Konfigurasi yang dilakukan pascainstalasi sistem operasi digunakan denganmengakses web interface yang dimilikioleh IPCop. Sebelum melakukankonfigurasi tersebut, terlebih dahulu kitamelakukan remote connection melalui
5
SSHAccess dari komputer client untukmelakukan penyalinan file add-onskedalam mesin firewall. Pada penelitianini penulis menggunakan add-onsAdvance-Proxy dan URL-Filtering.
Gambar 6. Konfigurasi Advance Proxy
Advance Proxy melakukan prosesproxy pada firewall IPCop, dalam hal inikita dapat melakukan filtering atau accesscontrol list terhadap alamat IP yangdiizinkan atau ditolak duntuk melakukanakses terhadap layanan web atau HTTP.Pengaturan terhadap port yang diizinkanuntuk diakses juga dilakukan padahalaman Advance-Proxy ini dalam webinterface IPCop.
Gambar 7. Konfigurasi URL Filtering
Pada konfigurasi URL Filtering kitaakan melakukan proses filtering denganmemblokir nama domain yang tidak bolehdiakses oleh client, juga kita dapatmelakukan content filtering terhadap kata-kata yang dapat digunakan untukmengakses website yang dilarang atauberbahaya.
C. Pengujian dan Monitoring.Dalam tahap ini, dilakukan monitoring
terhadap firewall yang telah berjalan padainfrastruktur jaringan.a. Monitoring DHCP Server dan Status
Dalam tahapan ini kita akan melihatapakah DHCP Server sudah berjalandengan baik dan dapat memberikanalamat IP kepada semua client yangterhubung kedalam jaringan dan statusfirewall atau service yang sedangberjalan.
b. Pengujian FirewallPada tahap pengujian ini, penulis akanmelakukan beberapa pengujianterhadap firewall IPCop yang sudahditerapkan dan berjalan pada strukturjaringan pada tempat penelitian, yaituAPL PLN Mampang. Pengujiandilakukan untuk melihat sejauh manatingkat keamanan dari firewall IPCoptersebut.Pengujian awal dilakukan untukmelihat funsionalitas dasar darilayanan yang disediakan oleh IPCopsecara default, yaitu melakukan disablePING atau pengiriman paket ICMPmenuju kedua nterface pada IPCop.
Gambar 8. Pengujian disable PING
6
c. Pengujian IDS pada FirewallSetelah kita melihat kinerja firewalldalam melakukan pemblokiranterhadap paket ICMP dan layananHTTP atau pengaksesan web yangmelewati proxy, kita akan melihatfunsionalitas IDS yang diaktifkanapakah dapat mendeteksi salah satucontoh serangan terhadap firewallyaitu dengan menggunakan bantuanNMAP port scanning tool dalammelakukan penetrasi ke salah satuinterface pada firewall IPCop.
Gambar 9. Port Scanningmenggunakan NMAP
Setelah melakukan scanning yangdilakukan dengan bantuan NMAP, kitaakan melihat pada tab IDS log yangterdapat pada menu interface IPCopuntuk melihat apakah IDS dapatmendeteksi proses port scanning.
Gambar 10. IDS Log
V. KesimpulanDari hasil penerapan dan pengukuran,
dapat disimpulkan bahwa :a. Penerapan network firewall berbasis
open source pada infrastruktur jaringanyang telah ada dengan mengekspansitoplogi jaringan tersebut mampu untuk
melindungi jaringan komputer yangkita miliki.
b. Network firewall yang diterapkandengan tipe stateful firewall dapatberjalan dengan baik pada arsitekturfirewall dual-homed host denganhardware yang ada dan cukup handaldalam menangani keamanan padajaringan
c. Pengaturan yang tepat pada firewallIPCop dalam melakukan monitoring,manajemen, dan administrasi melauiinterface web dapat mempermudahadministrator jaringan untukmeminimalisir gangguan yang terjadi.
d. Komponen Add-Ons yang berbasisproxy dan Intrusion Detection Systemtelah berhasil berjalan dengan baiksebagai perantara bagi client untukmengakses layanan internet dan IDSdapat mendeteksi aktivitas yang terjadidan mampu untuk meningkatkankeamanan jaringan yang dimiliki olehperusahaan
VI. Daftar Pustaka[1] Ariyus, Dony, Computer Security,
Andi, Yogyakarta, 2006.
[2] Ariyus, Dony, Intrusion DetectionSystem, Andi, Yogyakarta, 2007.
[3] Brenton, Chris dan Hunt, Cameron,Network Security. PT Elex Media
[4] Komputindo, Jakarta, 2005.
[5] Cisco Official Website,“Internetworking TechnologyHandbook”.http://www.cisco.com/univercd/cc/td/doc/cisintwk/itc_doc/introwan.htm,diakses tanggal 28 Oktober 2009,13.51 WIB.
[6] Dempster, Barrie dan James, Eaton-Lee, Configuring IPCop Firewalls,Packt Publishing, Birmingham, 2006.
7
[7] Farununuddin, Rakhmat, MembangunFirewall dengan IPTables di Linux,Elex Media Komputindo, Jakarta,2006.
[8] Feibel, Werner, Encyclopedia ofNetworking, Second Edition, SYBEXInc, California, 1996.
[9] Fyodor, Remote OS Detection ViaTCP/IP Stack Finger Printing, 1998.http://www.insecure.org/nmap/nmap-fingerprint-article.txt, diakses tanggal26 Oktober 2009, 09.21 WIB
[10] Goldman, James E dan Rawles,Philip T, Applied DataCommunications: A Business OrientedApproach Thrid Edition, WileyJohn&Sons, Inc, New York, 2001.
[11] Kamus Besar Bahasa Indonesia,Yudhistira, Jakarta, 2008.
[12] Komar, Brian, RonaldBeekelaar&Joern Wettern, FirewallsFor Dummies, Second Edition, WileyPublishing Inc, Indiana, 2003.
[13] Nazir, Moh, Metode Penelitian,Ghalia Indonesia, Jakarta, 2003.
[14] Oetomo, Budi Sutedjo Dharmadkk, Konsep dan AplikasiPemrograman Client Server danSistem Terdistribusi, Andi,Yogyakarta, 2006.
[15] Ogletree, Terry William, PracticalFirewalls, Que Publishing, Canada,2000
[16] Pressman, Roger S, “RekayasaPerangkat Lunak: Pendekatan Praktisi(Buku Satu)”. Terj. Dari SoftwareEngineering: A Practitioner’sApproach , oleh L. N. Harnaningrum,Andi, Yogyakarta, 1997.
[17] Purbo, Onno W. Buku PeganganPengguna ADSL dan Speedy, ElexMedia Komputindo, Jakarta, 2006.
[18] RFC 2616, 1999, HTTP/1.1.179,hlm.http://www.ietf.org/rfc/rfc2616.txt,diakses tanggal 26 Oktober 2009,pk.11.46 WIB
[19] Stallings, William, KomunikasiData dan Komputer: JaringanKomputer, Terj dari Data andComputer Communications, SixEdition, oleh Thamir Abdul HafedhAl-Hamdany, Salemba Teknika,Jakarta, 2000.
[20] Strebe, Matthew dan CharlesPerkins, Firewall 24 Seven, SecondEdition, SYBEX Inc, California, 2002.
[21] Syafrizal, Melwin, PengantarJaringan Komputer. Andi ,Yogyakarta,2006.
[22] Tanenbaum, Andrew S, ComputerNetwork, Fourth Edition, PrenticeHall, Inc, New Jersey, 2003.
[23] Virtual Box website. About VirtualBox. http://www.virtualbox.org/,diakses tanggal 15 Oktober 2010,14.35
[24] Wahana Komputer, KonsepJaringan Komputer danPengembangannya, Salemba Infotek,Jakarta, 2003.
[25] Zwicky, Elizabeth D, SimonCooper & D. Brent Chapman, BuildingInternet Firewall, Second Edition,O’Reilly Publishing, California, 2000.