Makalah Semniar Kerja Praktek

KONFIGURASI FIREWALL POLICY MICROSOFT ISA SERVER 2006

Oleh : Jony Hermawan (L2F005545) Abstrak Untuk mendukung kualitas transmisi data melalui jaringan komputer dibutuhkan jaringan komputer yang memiliki keandalan tinggi. Dan salah satu kriteria jaringan computer yang baik adalah jaringan computer yang memiliki tingkat keamanan yang tinggi pula. Salah satu cara yang bisa dilakukan adalah dengan menggunakan Firewall. Firewall merupakan perangkat keras ataupun perangkat lunak yang diatur untuk mengirimkan, menolak atau menjadi proxy melalui sebuah jaringan computer yang memiliki tingkat kepercayaan yang berbeda. Pada makalah ini akan di bicarakan mengenai penggunaan teknlogi firewall policy dengan mengaplikasikan Microsoft ISA Server 2006 sebagai perangkat lunak firewall. Dengan semakin berkembangnya teknologi jaringan komputer maka Microsoft ISA Server merupakan sebuah jawaban untuk keandalan jaringan komunikasi komputer dan jaminan keamanan komputer tersebut. Dan dalam pelaksanaan kerja praktek, dilakukan dengan pengamatan dan melakukan wawancara terhadap karyawan perusahaan dan pembimbing lapangan. PT. PLN (Persero)mengaplikasikan teknologi ISA Server sebagai perangkat lunak firewall dan dalam penggunaannya perangkat lunak firewall ini lebih banyak digunakan untuk memberikan perlindungan dari akses public dibandingkan dengan perlindungan dari dalam keluar.

Kata kunci: firewall, Microsoft ISA Server 2006, ISA Server Client

I. 1.1

PENDAHULUAN

Latar Belakang Perkembangan teknologi jaringan komputer yang semakin pesat saat ini menuntut keandalan dan keamanan jaringan yang semakin baik pula. Keamanan jaringan dalam hal ini adalah perlindungan jaringan komputer dari serangan worm, serta berbagai bentuk pencurian data. Terlebih lagi dalam dunia bisnis dengan persaingan yang ketat sekarang ini. Perusahaan dengan oknum yang tidak bertanggung jawab akan menghalalkan berbagai macam cara untuk memenangkan persaingan dengan memanfaatkan hacker untuk melakukan pencurian data saingannya maupun menyerang dengan menggunakan worm. Peralatan jaringan yang bisa menunjang keamanan jaringan adalah firewall. Firewall merupakan perangkat keras ataupun perangkat lunak yang diatur untuk mengirimkan, menolak atau menjadi proxy melalui sebuah jaringan computer yang memiliki tingkat kepercayaan yang berbeda. Saat ini teknologi perangkat lunak firewall yang digunakan oleh PT. PLN (PERSERO) Distribusi JATENG dan DIY adalah Microsoft Internet Security and Acceleration (ISA) Server 2006. Microsoft Internet Security and Acceleration (ISA) Server 2006 merupakan perangkat lunak firewall dan server Web

Cache yang dibangun di atas sistem operasi Microsoft Windows Server 2003TM. ISA server 2006 digunakan untuk keamanan jaringan, manajemen dan direktori, untuk kendali akses berbasis policy, akselerasi, dan manajemen internetworking.

TUJUAN Mengenal dan memahami mengenai gambaran teknologi keamanan jaringan pada PT. PLN PEMBATASAN MASALAH Dalam penulisan laporan kerja praktek ini penulis membatasi masalah yang akan dibahas pada Konfigurasi firewall policy Microsoft ISA Server 2006. II. 2.1 DASAR TEORI 1.3

1.2

Pengertian firewall Firewall merupakan perangkat keras ataupun perangkat lunak yang diatur untuk mengirimkan, menolak atau menjadi proxy melalui sebuah jaringan computer yang memiliki tingkat kepercayaan yang berbeda. Contoh sederhananya adalah koneksi antara internet yang merupakan zona tanpa kepercayaan dan sebuah jaringan computer internal yang merupakan zona yang memiliki kepercayaan lebih tinggi. Sebuah

zona dengan tingkat kepercayaan menengah terletak antara internet dan sebuah jaringan computer terpercaya seringkali disebut dengan jaringan jaringan perimeter atau Demilitarized Zone (DMZ). Firewall bisa menjadi hal yang sia-sia jika tidak dikonfigurasi dengan benar. Perlu diperlakukan peraturan Default Deny yang mengizinkan hubungan jaringan yang sudah benar2 diizinkan. Namun kebanyakan hanya digunakan peraturan Default Allow yang memperbolehkan semua lalulintas data kecuali diblok secara spesifik. Konfigurasi ini akan lebih membahayakan hubungan jaringan dan system. 2.2 Microsoft ISA Server 2006 Microsoft Internet Security Acceleration (ISA) Server 2006 merupakan perangkat lunak Firewall dan server Web Cache yang dibangun di atas system operasi Microsoft Windows Server 2003TM. ISA server 2006 digunakan untuk keamanan jaringan, manajemen dan direktori untuk kendali akses berbasis policy, akselerasi, dan manajemen internetworking. Internet menyediakan peluang bagi berbagai macam organisasi untuk saling berhubungan dengan pelanggan, rekanan, dan karyawan. Meskipun menyediakan peluang tersebut, internet juga memiliki kelemahan dalam resiko keamanan data dalam system. ISA Server didesain untuk menyediakan sebuah Firewall berlapis untuk melindungi sumberdaya jaringan dari bahaya virus, hacker, dan akses yang tidak diizinkan. Web Cache ISA Server 2006 memungkinkan pengorganisasian untuk menghemat bandwidth jaringan dan menyediakan akses web yang lebih cepat dengan memberikan objek secara local dibandingkan melalui jaringan pada internet. Tipe Client pada ISA Server ISA Server menggunakan berbagai lapisan komunikasi untuk melindungi jaringan. Pada lapisan paket, ISA Server mengimplemetasikan sebuah Firewall policy. Dengan cara ini ISA Server mengendalikan data pada interface jaringan, memeriksa lalu lintas data sebelum mencapai tujuan. Data diperbolehkan lewat hanya setelah Microsoft Firewall service mengolah aturan yang menentukan apakah permintaan akan dilaksanakan. ISA Server melindungi tiga tipe client yaitu client Firewall, client secureNAT, dan client web proxy. 1. Client Firewall Client Firewall adalah computer yang memiliki perangkat lunak Firewall client yang telah dipasang dan berfungsi. Permintaan dari client Firewall diarahkan kepada layanan Firewall pada computer ISA Server. Hal ini untuk menentukan apakah akses diperbolehkan atau tidak. Setelah itu, permintaan tersebut dapat disaring lagi oleh penyaringan aplikasi 2.3

dan tambahan lainnya. Layanan Firewall juga diperbolehkan melayani objek tersebut dari cache ISA Server 2. Client SecureNAT Client ini adalah computer yang tidak memiliki perangkat lunak Firewall client di dalamnya. Permintaan dari client secureNAT diarahkan ke driver NAT terlebih dahulu, yang mengganti alamat IP yang valid pada internet untuk alamat IP dari client secureNAT. Permintaan tersebut kemudian diarahkan ke layanan Firewall untuk menentukan apakah akses diperbilehkan atau tidak. Kemudian permintaan tersebut dapat disaring lagi oleh penyaringan aplikasi dan tambahan lainnya. 3. Client Web Proxy Permintaan dari client ini diarahkan ke layanan Firewall pada computer ISA Server. Hal ini dilakukan untuk menentukan apakah akses diperbolehkan atau tidak. Tanpa memperhatikan tipe client, ketika ISA Server menerima sebuah permintaan HTTP, client diperlakukan seolah-olah sebuah client web proxy meskipun client tersebut adalah client Firewall ataupun client secireNAT. Bila pada aplikasi web pada computer client dikonfigurasi untuk menggunakan ISA Server, semua permintaan web akan dikirimkan langsung ke layanan Firewall termasuk HTTP, FTP, dan HTTPS. 2.4 Caching pada ISA Server

ISA Server dapat dikembangkan menjadi sebuah caching server yang menyediakan akses server lebih cepat terhadap konten yang diminta oleh client. ISA server mempertahankan sebuah cache terpusat yang terdiri atas objek yang sering diminta, yang dapat di akses pleh berbagai jenis browser web. Objek yang diambil dari disk cache membutuhkan pengolahan yang jauh lebih sedikit daripada objek yang diambil dari jaringan lain. Hal ini akan meningkatkan kinerja browser client, menurunkan waktu pengguna dan menurunkan penggunaan bandwidth.

Gambar 1.1 Caching pada ISA Server

Pada gambar di atas dapat kita lihat client pada jaringan internal meminta objek dari server dari jaringan eksternal. Gambar tersebut juga menjelaskan

respon dari ISA server ketika pengguna meminta sebuah objek. Langkah yang terjadi dapat kita lihat sebagai berikut : 1. Client 2 meminta sebuah objek web. 2. ISA server akan memeriksa apakah objek tersebut terdapat dalam cache. Jika objek tersebut terdapat dalam cache maka ISA server akan meminta objek tersebut dari server di internet. 3. Server di internet mengembalikan permintaan objek tersebut. 4. ISA server menggunakan salinan dari objek tersebut pada cachedan mengembalikan objek tersebut pada client 1. 5. Client 2 meminta objek yang sama. 6. ISA server mengembalikan objek dari cache, dan tidak perlu mendapatkan objek tersebut dari internet. III . PELAKSANAAN DAN HASIL KERJA PRAKTEK

9. Menetapkan bagaimana HTTP melalui header, dialihkan atau dikembalikan 10. Memblokir signature HTTP tertentu Membatasi ukuran maksimum dari sebuah header dalam permintaan HTTP 1. Pada console tree dari ISA Server management pilih firewall policy 2. Pada kolom details pilih sebuah aturan server publishing atau aturan akses yang diterapkan 3. Pada tab tasks pilih edit selected rule 4. Pada tab traffic(untuk sebuah aturan server publishing) atau pada tab protocols (untuk sebuah aturan akses) pilih filtering lalu pilih configure HTTP 5. Pada tab general, dalam maximum header length(bytes) masukkan nilai maksimum byte dari suatu header permintaan yang diperbolehkan(URL dan header) sebelum di blokir.

3.3

Pengaturan Penyaringan Per-Aturan

Terdapat tiga pengaturan penyaringan per-aturan untuk firewall policy pada ISA server 2006 1. Pengaturan pada penyaringan FTP 2. Pengaturan pada penyaringan HTTP 3. Pengaturan pada penyarinan RPC 3.3.1 Pengaturan Penyaringan FTP 1. Pada console tree ISA server management pilih firewall policy 2. Pada kolom details pilih sebuah aturan server publishing atau aturan akses yang akan diterapkan kepada trafik FTP 3. Pada tab tasks pilih edit selected rule 4. Pada tab traffic(untuk sebuah aturan server publishing) atau pada tab protocols(untuk sebuah aturan akses)pilih filtering lalu pilih configure FTP 5. Pada tab protocol pilih read only bila upload FTP ingin di blok

Pengaturan pada penyaringan HTTP Pengaturan firewall policy penyaringan HTTP dapat dibagi menjadi beberapa poin sebagai berikut: 1. Membatasi ukuran maksimum dari sebuah header dalam permintaan 2. Membatasi panjang muatan permintaan 3. Membatasi URL tertentu dalam sebuah permintaan 4. Memblokir balasan yang berisi konten yang dapat dieksekusi oleh Windows 5. Memblokir metode HTTP tertentu 6. Memblokir ekstensi HTTP tertentu 7. Memblokir header HTTP tertentu 8. Menetapkan bagaimana header HTTP dikembalikan

3.3.2

Gambar 3.1 Pengaturan panjang maksimal header yang diizinkan

Membatasi panjang muatan permintaan 1. Pada console tree ISA Server management pilih firewall policy 2. Pada kolom details pilih sebuah aturan server publishing atau aturan akses yang akan ditetapkan 3. Pada tab tasks pilih edit selected rule 4. Pada tab traffic(untuk sebuah aturan server publishing) dan pada tab protocol(untuk sebuah aturan akses) pilih filtering dan pilih configure HTTP 5. Pata tab general periksa bahwa allow any payload length tidak dipilih

6. Dalam maksimum payload length masukkan panjang maksimal muatan per pemintaan.

Gambar 3.3 Membatasi URL tertentu dalam sebuah permintaan

Gambar 3.2 Pengaturan panjang muatan permintaan

Membatasi URL tertentu dalam sebuah permintaan 1. Pada console tree dari ISA Server management pilih firewall policy 2. Pada kolom details pilih sebuah aturan server publishing atau aturan akses yang akan diterapkan 3. Pada tab tasks pilih edit selected rule 4. Pada tab traffic (untuk sebuah aturan server publishing) atau pada tab protocols(untuk sebuah aturan akses) pilih filtering lalu pilih configure HTTP 5. Pada tab general, masukkan nilai- nilai yang bersesuaian Dalam maximum URL length(bytes) masukkan panjang URL yang diperbolehkan. Permintaan dengan panjang URL yang melebihi angka yang ditentukan akan di blok Dalam maximum query length (bytes), masukkan panjang maksimal yang diperbolehkan dari query dalam sebuah permintaan. Permintaan dengan panjang query melebihi angka yang dimasukkan akan di blok. Pilih verify normalization untuk menentukan bahwa URL yang berisi karakter lolos (accepted chareacter) setelah normalisasi akan diblok Pilih block high bit character untuk menentukan bahwa URL yang berisi karakter high_bit akan diblok

Memblokir balasan yang berisi konten yang dapat dieksekusi Windows. 1. Pada console tree ISA Server management pilih firewall policy 2. Pada kolom details pilih sebuah aturan server publishing atau aturan akses yang diterapkan. 3. Pada tab tasks pilih edit selected rule 4. Pada tab traffic (utuk sebuah aturan web publishing) atau pada tab protocol (untuk sebuah aturan akses) pilih filtering lalu pilih configure HTTP. 5. Pada tab general pilih block responses containing windows executable content.

Gambar 3.4 Memblokir balasan yang berisi konten yang dapat dieksekusi Windows

Memblokir metode HTTP tertentu 1. Pada console tree dari ISA Server management pilih firewall policy 2. Pada kolom details pilih sebuah aturan web server publishing atau aturan akses yang akan diterapkan 3. Pada tab tasks pilih edit selected rule 4. Pada tab traffic(untuk sebuah aturan server publishing) atau pada tab protocols( untuk sebuah aturan akses) pilih filtering dan kemudian pilih configure HTTP. 5. Dalam tab methods, masukkan nilai-nilai yang bersesuaian Pilih allow all methods untuk mengizinkan semua akses methods Pilih allow only specified methods bila permintaan dengan methods tertentu saja yang diperbolehkan. Pilih block specified method(allow others) bila permintaan akan diperbolehkan kecuali dengan methods tertentu. 6. Bila allow only specified methods atau block specified (allow all others) dipilih, pilih add kemudian masukkan method HTTP dalam method.

4. Pada tab traffic(untuk sebuah aturan server publishing) atau pada tab protocols(untuk sebuah aturan akses) pilih filtering dan kemudian pilih configure HTTP. 5. Pada tab extensions masukkan nilai-nilai yang berseuaian: Pilih allow all extensions bila tidak ada ekstensi yang diblok Pilih allow only specified extensions bila permintaan dengan ekstensi tertentu akan diperbolehkan Pilih block specified extensions(allow all others) jika permintaan akan diperbolehkan kecuali dengan ekstensi tertentu. 6. Bila allow only specified extensions atau block specified extensions(allow others) dipilih, pilih add kemudian masukkan ekstensi HTTP dalam extension 7. Pilih block requests containing ambiguous extensions bila permintaan dengan ekstensi berkas yang tidak dapat ditentukan juga harus diblok,

Gambar 3.6 Memblokir ekstensi HTTP tertentu

Gambar 3.5 Memblokir metode HTTP tertentu

Memblokir ekstensi HTTP tertentu 1. Pada console tree ISA Server management pilih firewall policy 2. Pada kolom details pilih sebuah aturan server publishing atau aturan akses yang akan diterapkan. 3. Pada tab tasks pilih edit selected rule

Memblokir header HTTP tertentu 1. Pada console tree ISA server management pilih firewall policy 2. Pada kolom details pilih sebuah aturan server publishing atau aturan akses yang akan diterapkan 3. Pada tab tasks pilih edit selected rule 4. Pada tab traffic(untuk sebuah aturan server publishing) atau pada protocols( untuk aturan akses) pilih filtering kemudian pilih configure HTTP.

5. Pada tab headers pilih add 6. Dalam search headers pilih request headers atau response headers 7. Dalam HTTP header masukkan header yang akan diblok

Modify header in response bila ISA server harus mengubah header yang dikembalikan dalam balasan

Gambar 3.7 Memblokir header HTTP tertentu

Menetapkan bagaimana HTTP melalui header dialihkan atau dikembalikan. 1. Pada console tree dari ISA server management pilih firewall policy 2. Pada kolom details pilih sebuah aturan server publishing atau aturan akses yang akan diterapkan 3. Pda tab tasks pilih edit selected rule 4. Pada tab traffic(untuk sebuah aturan server publishing) atau pada tab protocols(untuk sebuah aturan akses) pilih filtering kemudian pilih configure HTTP 5. Dalam tab headers dalam via header pilih salah satu dari pilihan berikut untuk mengatur bagaimana via header akan dialihakn dalam permintaan atau dikembalikan dalam balasan 6. Send default header untuk menggunakan default header 7. Modify header in request and response. Bila sebuah ISA server harus mengganti via header dengan sebuah header yang telah diubah. Memblokir signature HTTP tertentu 1. Pada console tree ISA Server management pilih firewall policy 2. Pada kolom details pilih sebuah aturan server publishing atau aturan akses yang akan diterapkan 3. Pada tab tasks pilih edit selected rule 4. Pada tab traffic (untuk sebuah aturan server publishing) atau pada tab protocols (untuk aturan akses) pilih filtering kemudian pilih configure HTTP. 5. Dalam tab signature pilih add 6. Dalam halaman signature lakukan langkah berikut : Dalam name pilih nama yang akan digunakan untuk mengenali signature Dalam search in pilih request URL, request header, request body, response headers atau response body Dalam signature masukkan string signature yang ketika ditemukan dalam header permintaan tertentu atau pada request body, response headers, response body akan diblok.

Gambar 3.8 Header HTTP yang akan diblokir

Menetapkan bagaimana header HTTP dikembalikan 1. Pada console tree ISA server management pilih firewall policy 2. Pada kolom details pilih sebuah aturan server publishing atau aturan akses yang akan diterapkan 3. Pada tab tasks pilih edit selected rule 4. Pada tab traffic (untuk sebuah aturan server publishing) atau pada tab protocols(untuk sebuah aturan akses) pilih filtering kemudian pilih configure HTTP. 5. Dalam tab header, dalam server header pilih yang bersesuaian Send original header bila ISA Server harus mengembalikan header asli dalam balasan Strip header from response bila ISA server tidak mengembalikan header apapun dalam bahasan

Bila request body atau response body dipilih, dalam form dan to masukkan range dalam body untuk pencarian. Bila request body atau response body dipilih, dalam format pilih text atau binary untuk menandakan format dalam string pencarian.

luar dibandingkan dengan membatasi akses keluar.

DAFTAR PUSTAKA [1] Wired Equivalent Privacy, http://en.wikipedia.org/wiki/Wired_Equivalen t_Privacy, 17 Desember 2005 [2] Keamanan Jaringan Komputer, http://simarmata.gogia.net, 2006 [3] Introduction To Network Security http://www.interhack.net/pubs/networksecurity/networksecurity.html#SECTION000 22000000000000000 [4] http://ilmukomputer.com/

Gambar 3.9 Memblokir signature HTTP tertentu

Jony Hermawan ( L2F005545) Mahasiswa Jurusan Teknik Elektro Konsentrasi Informatika dan Komputer, Fakultas Teknik, Universitas Diponegoro, Semarang. Kerja Praktek Dilaksanakan Di PT. PLN(Persero) Distribusi JATENG DIY.

3.3.3

Mengatur filtering RPC 1. Pada console tree ISA server management pilih firewall policy 2. Pada kolom details pilih sebuah aturan server publishing atau aturan akses yang akan diterapkan. 3. Pada tab tasks pilih edit selected rule 4. Pada tab protocols(untuk sebuah aturan akses) pilih filtering kemudian pilih configure RPC protocol. 5. Pada tab protocol pilih enforce strict RPC compliance bila tidak ada protokol RPC yang diizinkan.

Mengetahui/mengesahkan Dosen Pembimbing

Ir. Kodrat Iman Satoto, MT NIP 132 046 696

IV. KESIMPULAN Dari hasil pengamatan yang dilakukan, diperoleh kesimpulan sebagai berikut : 1. Jaringan komputer di PT. PLN (persero) Distribusi Jateng DIY menggunakan Microsoft ISA Server 2006 sebagai perangkat lunak firewall dan Cisco PIX 525 sebagai perangkat keras firewall. 2. Microsoft ISA Server memiliki kemampuan caching yang mengurangi beban jarigan di PT. PLN (Persero) Distribusi Jateng DIY. 3. Microsoft ISA Server di PT. PLN (Persero) digunakan lebih untuk melindungi akses dari