TUGAS KEAMANAN JARINGAN

Nama: ENDAH TURUNSIH

Nim :611080004

ARSITEKTUR DE-MILITERISED ZONE (DMZ)

1. PENDAHULUAN

1.1 FIREWALL

Firewall merupakan suatu mekanisme yang diterapkan terhadap hardware,

software ataupun sistem itu sendiri untuk melindungi,dengan
menyaring,membatasi atau bahkan menolak hubungan/kegiatan suatu segmen
pada jaringan pribadi dengan jaringan luar yang bukan merupakan ruang
lingkupnya. Segmen tersebut dapat merupakan sebuah workstation, server,
router, atau local area network (LAN).

INTERNET INTERNAL

Firewall

Firewall mempunyai beberapa tugas :

• Mengimplementasikan kebijakan keamanan di jaringan (site security policy).
Jika aksi tertentu tidak diperbolehkan oleh kebijakan ini, maka firewall harus
mengagalkannya.
• Melakukan filtering paket data dari/menuju firewall, diseleksi berdasarkan IP
address, nomor port atau tujuannya, dan disesuaikan dengan kebijakan
security.
• Mencatat insiden-insiden yang mencurigakan berupa usaha-usaha
menembus kebijakan keamanan.
• Merencanakan sistem firewall (jenis fasilitas disediakan bagi para pemakai,
level resiko-security yang bisa diterima, banyak waktu, biaya dan keahlian
yang tersedia
 Firewall umumnya terdiri dari bagian filter (disebut juga screen atau choke)
dan bagian gateway (gate). Filter berfungsi untuk membatasi akses,
mempersempit kanal, atau untuk memblok kelas trafik tertentu. Terjadinya
pembatasan akses, berarti akan mengurangi fungsi jaringan.

Firewall pada Linux menggunakan Iptables yang mampu memblok

/meneruskan paket berdasarkan IP address, protokol, port. Iptables sudah
terinstal saat kita melakukan instalasi Linux di komputer. Fungsi dari iptables
adalah :

• Kendali, paket yang masuk ke dalam kernel Linux dapat diatur policy-nya,
berdasarkan port, tipe protocol jenis koneksi dan berbagai fitur lainnya.
• Keamanan, dengan kendali yang dimiliki terhadap semua paket data yang
masuk kedalam kernel, maka keamanan system juga akan dapat terjaga. Kita
dapat memilih paket-paket yang bias masuk dan tidak bias masuk ke dalam
kernel kita.
• Monitoring, semua paket yang melewati system dapat dimonitor, terutama
bermanfaat pada gateway jaringan, sehingga kita bisa mengatur policy
jaringan local kita.

Keterbatasan Firewall sehingga perlu DMZ:

• Firewall tidak dapat mencegah penyerang yang menggunakan modem untuk

memasuki/keluar dari jaringan internal, modem sama sekali melewati firewall dan
proteksinya.
• Firewall tidak dapat mendukung kebijakan password anda atau mencegah
penyalahgunaan password. Kebijakan password dalam area ini menjadi penting
karena ia hanya akan menerima mereka yang memiliki otoritas.
• Firewall tidak efektif untuk menahan resiko-resiko keamanan nonteknis
seperti social engineering.
• Firewall merupakan wadah dari banyak traffic karena ia memfokuskan traffic
dan keamanan dalam suatu tempat sehingga berpotensi mengalami gangguan.
• Celah akan timbul ketika port terbuka saat jaringan lokal mengakses jaringan
DMZ-server

1.2 VPN

VPN merupakan suatu bentuk jaringan privat yang melalui jaringan publik
(internet), dengan menekankan pada keamanan data dan akses global melalui
 internet. Hubungan ini dibangun melalui suatu tunnel (terowongan) virtual
antara 2 node.

Arsitektur vpn

Langkah-langkah membangun jaringan VPN adalah :

1. Pada VPN gateway membuat shared key dan certificate

2. Mengirimkan key tersebut kepada client yang akan melakukan koneksi
3. Membangun koneksi dengan menggunakan key yang telah didapat dari suatu
VPN
Gateway

Cara kerja VPN:

Jalur VPN antar dua cabang dikunci dengan kunci khusus, dan hanya para orang
atau komputer yang memiliki kunci ini yang dapat membuka dan nampak di data
pengirim. Semua data dikirim dari Sydney ke London atau dari London ke Sydney
harus terenkripsi sebelum dan didekripsi setelah transmisi. Encryption melindungi
data didalam koneksi seperti dinding dari suatu terowongan melindungi kereta dari
gunung di sekitar itu. Ini menjelaskan mengapa VPN sering dikenal sebagai
terowongan (tunnel) atau VPN tunneling, dan teknologinya sering disebut tunneling
—even jika tidak ada mekanika kwantum lain yang melibatkan.Metoda encryption
yang tepat dan menyediakan kunci bagi semua partisi melibatkan salah satu dari
faktor pembeda utama antar VPN solusi yang berbeda.Suatu koneksi VPN yang
secara normal dibangun antara dua akses router internet yang dilengkapi dengan
suatu firewall dan perangkat lunak VPN. Perangkat lunak harus diset sampai
menghubungkan pada VPN partner, firewall harus di-set sampai bias mengakses,
dan menukar data antara VPN partner dengan encryption. Encryption kunci harus
disajikan untuk semua VPN partner, sedemikian sehingga data yang ditukar
hanyadapat dibaca oleh VPN partner yang diberi hak.

1.3 PROXY SERVER

Proxy server adalah server yang diletakkan antara suatu aplikasi klien dan
aplikasi server yang dihubungi. Aplikasi klien dapat berupa browser web, klien FTP,
dan sebagainya. Sedangkan aplikasi server dapat berupa server we, server FTP
dan sebagainya. Proxy server yang diletakkan diantara aplikasi klien dan aplikasi
server tersebut, dapat digunakan untuk mengendalikan maupun memonitor lalu
lintas paket data yang melewatinya.

Proxy server punya kemampuan untuk melakukan filter situs yang dikunjungi
maupun filter terhadap pengunjung, sehingga Proxy server dalam hal ini dapat
berlaku sebagai suatu firewall. Selain itu, Proxy server juga punya kemampuan
untuk menyimpan file-file yang berasal dari situs yang pernah dikunjungi

C ache A ccount server

(openLD A P server
)

Internet
C ache
P roxy S erver USER

1.4 FTP SERVER

File Transfer Protokol (FTP) adalah suatu protokol yang berfungsi untuk tukar-
menukar file dalam suatu network yang mensupport TCP/IP protokol. Dua hal
penting yang ada dalam FTP adalah FTP server dan FTP Client. FTP server
menjalankan software yang digunakan untuk tukar menukar file, yang selalu
siap memberian layanan FTP apabila mendapat request dari FTP client. FTP
client adalah komputer yang merequest koneksi ke FTP server untuk tujuan
tukar menukar file (mengupload atau mendownload file).

Tujuan FTP server adalah sebagai berikut :

1. Untuk men-sharing data.
2. Untuk menyediakan indirect atau implicit remote computer.
 3. Untuk menyediakan teempat penyimpanan bagi user.
4. Untuk menyediakan transfer data yang reliable dan efisien.

1.5 DHCP SERVER

2. DMZ

2.1 Pengertian

DMZ (Demilitarized Zone) – atau jaringan perimeter adalah jaringan security

boundary yang terletak diantara suatu jaringan corporate / private LAN dan
jaringan public (Internet). Firewall DMZ ini harus dibuat untuk membuat
segmentasi jaringan untuk meletakkan server yang bisa diakses public dengan
aman tanpa harus bisa mengganggu keamanan system jaringan LAN di jaringan
private.

DMZ bekerja pada seluruh dasar pelayanan jaringan yang membutuhkan

akses terhadap jaringan “Internet atau dunia luar” ke bagian jaringan yang
lainnya. Dengan begitu, seluruh “open port” yang berhubungan dengan dunia
luar akan berada pada jaringan, sehingga jika seorang hacker melakukan
serangan dan melakukan crack pada server yang menggunakan sistem DMZ,
hacker tersebut hanya akan dapat mengakses hostnya saja, tidak pada jaringan
internal.

Secara umum DMZ dibangun berdasarkan tiga buah konsep, yaitu: NAT
(Network Address Translation), PAT (Port Addressable Translation), dan Access
List. NAT berfungsi untuk menunjukkan kembali paket-paket yang datang dari
“real address” ke alamat internal. Misal : jika kita memiliki “real address”
202.8.90.100, kita dapat membentuk suatu NAT langsung secara otomatis pada
data-data yang datang ke 192.168.100.4 (sebuah alamat jaringan internal).
Kemudian PAT berfungsi untuk menunjukan data yang datang pada particular
port, atau range sebuah port dan protocol (TCP/UDP atau lainnya) dan alamat IP
ke sebuah particular port atau range sebuah port ke sebuah alamat internal IP.
Sedangkan access list berfungsi untuk mengontrol secara tepat apa yang datang
dan keluar dari jaringan dalam suatu pertanyaan. Misal : kita dapat menolak
atau memperbolehkan semua ICMP yang datang ke seluruh alamat IP kecuali
untuk sebuah ICMP yang tidak diinginkan.

2.2 Arsitektur

Ada 2 metode dasar dalam merancang DMZ,yaitu:

1. Single firewall/legged model

Pada metode ini ada satu buah firewall dengan minimal 3 interface
jaringan. Jaringan ekternal dari ISP dihubungkan dengan firewall pada
interface jaringan pertama, jaringan internal terhubung ke interface
kedua dan DMZ network terhubung ke interface ketiga. Firewall menjadi
pusat kegagalan pada tipe ini dan harus mampu menangani semua
trafik ke DMZ maupun ke jaringan internal.

Ket: hijau=DMZ

2. Dual firewall

Pada tipe ini ada 2 firewall yang digunakan, firewall pertama disebut
“front end” dikonfigurasikan agar melewatkan trafik hanya ke DMZ.
Sedangkan firewall kedua,disebut “back end” hanya melewatkan trafik
dari DMZ ke jaringan internal.
 2.3 Contoh Topologi

IP Intern et IP D MZ IP LA N
202.46.1.0/30 202.4 6.1.8/29 192.168.1.0/24

IN T E R N E T D MZ LAN

F irew all F irew all

L uar D a lam

S E R V E R P U B L IK SE RVER LAN

Gambar 1 - Topologi DMZ

Topologi yang baik untuk jaringan yang aman, mengunakan 2 firewal.

Firewall pertama (luar) merupakan firewall yang melindungi jaringan luar
(internet) dengan Demiliterized Zone (DMZ) dan LAN, sedangkan firewall kedua
(dalam) melindung jaringan LAN dari jaringan internet dan DMZ. Untuk
mendeteksi adanya penyusup dari luar maka perlu ditrambahkan aplikasi IDS
yang bisa menjadi satu dengan firewall.

2.4 Implementasi pada Jaringan

 LAN

INTERNET

Account server Domain Controller

(openLDAP server) (SAMBA server)

Firewall IDS server Firewall VPN & IDS User

server Proxy
DMZ
server

DNS & DHCP File server

server
FTP server Email server
Web server

Gambar –arsitektur keamanan jaringan

2.5 Konfigurasi

Konfigurasi Firewall luar

Untuk konfigurasi firewall bagian luar, maka perlu ditentukan sevice-service
yang diperbolehkan untuk diakses, yaitu : HTTP, HTTPS, SSH, DNS, PING, SMTP.
Kemudian buat file yang akan berisi skrip untuk konfigurasi firewall luar.

Konfigurasi Firewall dalam

Untuk firewall luar kita tentukan sevice apa yang diperbolehkan untuk
diakses, yaitu : HTTP, HTTPS, SSH, DNS, PING, SMTP.

3. KRIPTOGRAFI PADA DMZ

4. DETEKSI SERANGAN

Metode Pendeteksi Serangan bekerja dengan asumsi bahwa aktivitas penyerang

dapat dibedakan dengan aktivitas yang dilakukan pengguna pada umumnya.
Perbedaan karakteristik antara pengguna dan penyerang termasuk pada kumpulan
parameter yang dikaji dan awal data yang berkomunikasi.

Pendeteksi serangan Host-Based terdiri dari dua tipe yaitu spesifik pada aplikasi
dan spesifik pada sistem operasi. Pada kedua tipe tersebut agen umumnya berada
pada server yang selanjutnya akan dimonitor, melakukan analisis file log,
pengaksesan data, dan file log aplikasi. Sistem keamanan dengan host-based
menggunakan teknik perbandingan antara modul yang dideteksi mengalami
anomali dengan pola normal secara statistik. Pada kasus monitor untuk tipe spesifik
pada sistem operasi, sesi yang abnormal seperti login yang tidak berhasil akan
dibandingkan dengan model behavioral dari penggunaan normal dengan
menggunakan kriteria seperti waktu akses, serta jumlah dan tipe file yang diakses
atau dibuat. Pendeteksi serangan spesifik pada aplikasi umumnya mendefinisikan
sekumpulan aturan yang menggambarkan aktivitas dengan acuan kejadian log.

Umumnya para hacker memulai aktivitasnya dengan melakukan pemindaian

port. Administrator dapat mengkonfigurasi firewall pada umumnya, untuk
mencatat(log) semua kesalahan komunikasi pada server syslog.

Jika terdapat penganalisis, maka dapat dibentuk kumpulan aturan yang akan
mengeksekusi script jika terdapat penolakan 4 koneksi pada port atau protokol
yang berbeda dengan periode 10 detik. Script tersebut secara otomatis menambah
pernyataan deny pada daftar akses firewall, yang selanjutnya firewall akan menolak
semua koneksi dari alamat IP dari port diluar sistem. Daftar deny tersebut dapat
disimpan dalam waktu 30 menit, namun berdampak pada seksi pengumpulan
informasi. Dengan kemampuan fungsi tersebut, maka administrator dapat
mengendalikan tingkat keamanan sistem sebagaimana yang dibutuhkan.

5. CM