Nama: Yusuf Cahya Pratama No Absen : 32 I.

Hybird Firewall

Pemateri : Rudi Haryadi Chandra Dewi L. Tanggal : 10 Mei 2012

Tujuan Agar siswa dapat melakukan konfigurasi hybrid firewall dengan baik. Pendahuluan Hybrid Firewall merupakan gabungan antara firewall dengan proxy, yang dimana user yang terdapat dalam perlindungannya mendapat pengawalan berlapis dari firewall (contoh: iptables) dan proxy server. Cara dari hybrid firewall ini dengan melaukan aksi redirect menuju port atau alamat dari proxy server tersebut, dengan cara ini memudahkan user untuk tidak melakukan setting proxy server. Proxy dapat dipahami sebagai pihak ketiga yang berdiri di tengah-tengah antara kedua pihak yang saling berhubungan dan berfungsi sebagai perantara, sedemikian sehingga pihak pertama dan pihak kedua tidak secara langsung berhubungan, akan tetapi masing-masing berhubungan dengan perantara, yaitu proxy. Dan ACL (Access Control List) adalah suatu daftar aturan dan perlakuan untuk aturan tersebut. Alat dan Bahan 1. PC/Laptop 2. Koneksi Internet 3. Virtual Box (Ubuntu server/desktop yang telah terinstall squid) 4. Aplikasi tambahan pada virtual yaitu mini-httpd Topologi 1

II.

III.

IV.

Gambar Topologi 1. V. Langkah Kerja 1 1. Install Aplikasi Proxy (disini saya menggunakan squid3) 2. Buat direktori Log dan Cache untuk proxy 3. Konfigurasi file /etc/squid3/squid.conf sesuai kebutuhan Disini saya menggunakan virtual proxy dengan spesifikasi sebagai berikut

CPU : default (Amd APU 1GHZ) RAM : 512 MB Graphic : 12 MB NIC : 2 interfaces (Internal network dan NAT) Karena spesifikasi seperti diatas maka saya mengkonfigurasi squid.conf seperti berikut

a. b. c. d.

e. f.

g.

Gambar konfigurasi. Keterangan: Cache memory : memory cache yang tersimpan karena dianjurkan maksimal 1/8 dari memory fisik saya menggunakan 64 MB Cache swap low : data minimum yang tersimpan di swap memory (dalam persen) Cache swap high : data maximum yang tersimpan di swap memory (dalam persen) Maximum object size : ukuran data maksimum yang dapat tersimpan yaitu saya mengatur 16284 KB atau 16 MB data yang dapat masuk karena itu merupakan ukuran standard maximal yang masuk. Minimum object size : ukuran data minimum yang dapat tersimpan yaitu 4 KB karena itu ukuran standard minimal yang masuk. Maximum object size in memory : ukuran data maximum yang dapat tersimpan, berbeda dengan maximum object size, in memory adalah data yang dapat tersimpan di ram, disini saya mengatur hanya 2 MB yang masuk disesuaikan dengan penggunaan, karena ini hanya untuk tugas. Fqdncache size : menyimpan ip beserta domain, bila ada kesalahan ketik domain akan otomatis mengacu ke website yang hampir sama nama domain yang sering dikunjungi oleh pengguna proxy tersebut, disini saya mengatur standar agar sesuai untuk tugas sekolah.

4. Untuk konfigurasi Authentication pada /etc/squid/squid.conf a. Install program tambahan yaitu mini-httpd #apt-get install mini-httpd b. Buat user yang akan digunakan dalam authentification seperti gambar 1.1 # htpasswd c /etc/squid/passwd (nama user1) # htpasswd /etc/squid/passwd (nama user2)

Gambar 1.1 c. Lakukan konfigurasi dengan menambahkan script seperti gambar 1.2

Gambar 1.2 Keterangan :

a) auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd :

lokasi password squid dan pembantu program yang telah disetting sebelumnya

b) auth_param basic children 5 : jumlah authtentication pada suatu user

berlaku sebelum hangus.

c) auth_param basic realm Yusuf proxy khusus yang tampan : Text yang
terlihat saat memasukan password dan user

d) auth_param basic credentialsttl 2 hours : seberapa lama user itu mampu

login secara terus menerus

e) auth_param basic casesensitive off : saat mengetikan user dan password,

huruf besar dan kecil mempengaruhi disini saya tidak menggunakannya karena repot

f) acl yusuftampan proxy_auth yusufjelek

http_access deny yusuftampan adalah tidak mengizinkan user bernama Yusufjelek masuk. d. Save konfigurasinya, lalu restart squid #invoke-rc.d squid3 restart 5. Lakukan konfigurasi NAT pada proxy #Iptables t nat A POSTROUTING s 192.168.1.2 o eth1 j MASQUERADE 6. REDIRECT Port dengan menggunakan perintah seperti gambar dibawah ini pada proxy.

REDIRECT port.

#iptables t nat A PREROTUING s 10.10.10.0/24 p tcp m tcp dport 80 j REDIRECT to-port 3128

Keterangan : Dengan melakukan Redirect, segala yang berasal dari network 192.168.1.0 dengan port 80 (http) berprotokol tcp menjadi port 3128 (milik squid). e. Uji koneksi web pada client menggunakan user yusuftampan pada web browser dan akan seperti gambar 1.3 dan 1.4.

Gambar 1.3

f.

Gambar 1.4 Uji koneksi web pada client menggunakan user yusufjelek pada web browser dan akan seperti gambar 1.5, 1.6 dan 1.7.

Gambar 1.5

Gambar 1.6

Gambar 1.7. 7. Untuk konfigurasi acl pada proxy a. Tambahkan transparent pada http_port 3128 seperti gambar 2.0.

Gambar 2.0 b. Tambahkan script seperti Gambar2.1 pada /etc/squid3/squid.conf untuk menambahkan 5 acl berikut.

Gambar 2.1. c. Keterangan :

a) Acl yusuf src 192.168.1.2(client) adalah source IP 192.168.1.2(client)

yang mengakses ke proxy, disini saya memperbolehkan IP 192.168.1.2 (client) untuk mengakses web (http)

b) Acl yusuf2 dst 217.10.79.149 adalah IP server IP address yang akan

diakses, disini saya memperbolehkan (peperonity.com) untuk diakses. IP 217.10.79.149

c) Acl yusuf3 dstdomain zedge.net adalah domainname server yang

akan diakses, disini saya memperbolehkan zedge.net untuk diakses.

d) Acl yusuf4 time AS 10:00-12:00 adalah range atau jadwal waktu

mengakses web, disini saya mengatur agar pada hari sabtu dan minggu tidak bisa mengakses internet pada jam 10:00 sampai dengan jam 12:00

e) Acl yusuf5 time MTWHF 20:00-22:00 adalah range waktu mengakses

web, disini saya mengatur agar dari hari senin sampai dengan jumat pada jam 20:00 sampai dengan 22:00 tidak bisa mengakses web.

f) Acl yusuf6 arp 08:00:27:2b:81:02 adalah MAC address dari si client,

disini saya mengizinkan client mengakses web. d. Restart aplikasi squid3 # invoke-rc.d squid3 restart e. Masuk ke web browser pada client f. Setting web browser agar menggunakan proxy tersebut g. Uji koneksi ke salah satu website (zedge.net) dan hasilnya seperti gambar 2.2.

Gambar 2.2. h. Karena dari konfigurasi diatas saya tidak mengizinkan internetan bila hari senin sampai jumat pada jam 20:00-22:00 dan pada hari sabtu dan minggu pada jam 10:00-12:00 , dan pada saat pengujian diatas diset pada hari senin pukul 15:00 maka si client mendapatkan akses internet. i. Harinya pun diubah menjadi hari Minggu pukul 10:00 pada proxy, dan diuji pada client dan hasilnya seperti gambar 2.3.

j.

Gambar 2.3 Hari pun saya ubah kembali menjadi hari senin pada pukul 20:00 pada proxy, diuji pada client dan hasilnya seperti gambar 2.4.

Gambar 2.4.

VI.

Topologi 2

Gambar topologi 2. VII. Langkah Kerja 2 1. Install Aplikasi Proxy pada proxy (disini saya menggunakan squid3) 2. Buat direktori Log dan Cache untuk proxy 3. Konfigurasi file /etc/squid3/squid.conf sesuai kebutuhan Disini saya menggunakan virtual proxy dengan spesifikasi sebagai berikut CPU : default (Amd APU 1GHZ) RAM : 512 MB Graphic : 12 MB NIC : 2 interfaces (Internal network dan NAT) Karena spesifikasi seperti diatas maka saya mengkonfigurasi squid.conf seperti berikut

Gambar konfigurasi.

Keterangan: a. Cache memory : memory cache yang tersimpan karena dianjurkan maksimal 1/8 dari memory fisik saya menggunakan 64 MB b. Cache swap low : data minimum yang tersimpan di swap memory (dalam persen) c. Cache swap high : data maximum yang tersimpan di swap memory (dalam persen) d. Maximum object size : ukuran data maksimum yang dapat tersimpan yaitu saya mengatur 16284 KB atau 16 MB data yang dapat masuk karena itu merupakan ukuran standard maximal yang masuk. e. Minimum object size : ukuran data minimum yang dapat tersimpan yaitu 4 KB karena itu ukuran standard minimal yang masuk. f. Maximum object size in memory : ukuran data maximum yang dapat tersimpan, berbeda dengan maximum object size, in memory adalah data yang dapat tersimpan di ram, disini saya mengatur hanya 2 MB yang masuk disesuaikan dengan penggunaan, karena ini hanya untuk tugas. g. Fqdncache size : menyimpan ip beserta domain, bila ada kesalahan ketik domain akan otomatis mengacu ke website yang hampir sama nama domain yang sering dikunjungi oleh pengguna proxy tersebut, disini saya mengatur standar agar sesuai untuk tugas sekolah. 4. Untuk konfigurasi Authentication pada /etc/squid/squid.conf a. Install program tambahan yaitu mini-httpd #apt-get install mini-httpd b. Buat user yang akan digunakan dalam authentification seperti gambar 1.1 # htpasswd c /etc/squid/passwd (nama user1) # htpasswd /etc/squid/passwd (nama user2)

Gambar 1.1 c. Lakukan konfigurasi dengan menambahkan script seperti gambar 1.2

Gambar 1.2 Keterangan :

a) auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd : lokasi password squid dan pembantu program yang telah disetting sebelumnya b) auth_param basic children 5 : jumlah authtentication pada suatu user berlaku sebelum hangus. c) auth_param basic realm Yusuf proxy khusus yang tampan : Text yang terlihat saat memasukan password dan user d) auth_param basic credentialsttl 2 hours : seberapa lama user itu mampu login secara terus menerus e) auth_param basic casesensitive off : saat mengetikan user dan password, huruf besar dan kecil mempengaruhi disini saya tidak menggunakannya karena repot f) acl yusuftampan proxy_auth yusufjelek http_access deny yusuftampan adalah tidak mengizinkan user bernama Yusufjelek masuk. d. Save konfigurasinya, lalu restart squid #invoke-rc.d squid3 restart e. Lakukan konfigurasi NAT pada router firewall #Iptables t nat A POSTROUTING s 192.168.1.2 o eth1 j MASQUERADE f. REDIRECT Port dan IP dengan menggunakan perintah seperti gambar dibawah ini pada proxy.

REDIRECT port dan IP. #Iptables t nat A PREROUTING s 192.168.1.0/24 p tcp m tcp --dport 80 j DNAT --to-destination 192.168.0.0:3128 Keterangan : Menambahkan aksi DNAT berguna melakukan redirect segala yang berasal dari network 192.168.1.0/24 dengan port 80 dan protokol tcp menuju alamat IP192.168.0.0/24 dengan port 3128 g. Uji koneksi web pada client menggunakan user yusuftampan pada web browser dan akan seperti gambar 1.3 dan 1.4.

Gambar 1.3

Gambar 1.4 h. Uji koneksi web pada client menggunakan user yusufjelek pada web browser dan akan seperti gambar 1.5, 1.6 dan 1.7.

Gambar 1.5

Gambar 1.6

Gambar 1.7.

5. Untuk konfigurasi acl pada proxy a. Tambahkan transparent pada http_port 3128 seperti gambar 2.0.

Gambar 2.0 b. Tambahkan script seperti Gambar2.1 pada /etc/squid3/squid.conf untuk menambahkan 5 acl berikut.

Gambar 2.1. c. Keterangan : a) Acl yusuf src 192.168.1.2(client) adalah source IP 192.168.1.2(client) yang mengakses ke proxy, disini saya memperbolehkan IP 192.168.1.2 (client) untuk mengakses web (http) b) Acl yusuf2 dst 217.10.79.149 adalah IP server IP address yang akan diakses, disini saya memperbolehkan IP 217.10.79.149 (peperonity.com) untuk diakses. c) Acl yusuf3 dstdomain zedge.net adalah domainname server yang akan diakses, disini saya memperbolehkan zedge.net untuk diakses. d) Acl yusuf4 time AS 10:00-12:00 adalah range atau jadwal waktu mengakses web, disini saya mengatur agar pada hari sabtu dan minggu tidak bisa mengakses internet pada jam 10:00 sampai dengan jam 12:00 e) Acl yusuf5 time MTWHF 20:00-22:00 adalah range waktu mengakses web, disini saya mengatur agar dari hari senin sampai dengan jumat pada jam 20:00 sampai dengan 22:00 tidak bisa mengakses web. f) Acl yusuf6 arp 08:00:27:2b:81:02 adalah MAC address dari si client, disini saya mengizinkan client mengakses web.

d. e. f. g.

Restart aplikasi squid3 # invoke-rc.d squid3 restart Masuk ke web browser pada client Setting web browser agar menggunakan proxy tersebut Uji koneksi ke salah satu website (zedge.net) dan hasilnya seperti gambar 2.2.

Gambar 2.2. h. Karena dari konfigurasi diatas saya tidak mengizinkan internetan bila hari senin sampai jumat pada jam 20:00-22:00 dan pada hari sabtu dan minggu pada jam 10:00-12:00 , dan pada saat pengujian diatas diset pada hari senin pukul 15:00 maka si client mendapatkan akses internet. i. Harinya pun diubah menjadi hari Minggu pukul 10:00 pada proxy, dan diuji pada client dan hasilnya seperti gambar 2.3.

j.

Gambar 2.3 Hari pun saya ubah kembali menjadi hari senin pada pukul 20:00 pada proxy, diuji pada client dan hasilnya seperti gambar 2.4.

Gambar 2.4.

VIII.

Kesimpulan Siswa dapat mengkonfigurasi, mempraktekan, dan mengaplikasikan Hybird Firewall dengan baik.