TUGAS MAKALAH

FIREWALL

Nama : Bagus Hidayat Putra

kelas : XII TKJ 2
SMK YP 17 CILEGON

I.

DEFINISI FIREWALL

Firewall atau tembok-api adalah sebuah sistem atau perangkat yang mengizinkan lalu lintas
jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak
aman. Umumnya, sebuah tembok-api diterapkan dalam sebuah mesin terdedikasi, yang
berjalan pada pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya. Tembok-api
umumnya juga digunakan untuk mengontrol akses terhadap siapa saja yang memiliki akses
terhadap jaringan pribadi dari pihak luar ataupun pencuri data lainnya, Disamping itu
Firewall merupakan suatu cara/sistem/mekanisme yang diterapkan baik terhadap hardware ,
software ataupun sistem itu sendiri dengan tujuan untuk melindungi, baik dengan menyaring,
membatasi atau bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada
jaringan pribadi dengan jaringan luar yang bukan merupakan ruang lingkupnya.

I.II PENGGUNAAN FIREWALL

Firewall secara umum di peruntukkan untuk melayani :
1. mesin/komputer
Setiap individu yang terhubung langsung ke jaringan luar atau internet dan menginginkan
semua yang terdapat pada komputernya terlindungi.
2. Jaringan
Jaringan komputer yang terdiri lebih dari satu buah komputer dan berbagai jenis topologi
jaringan yang digunakan, baik yang di miliki oleh perusahaan, organisasi dsb.

2. FIREWALL PADA WINDOWS DAN LINUX

1.I Firewall pada windows
Dengan integrasi IPSec, Windows firewall akan mengecek keaslian dari pengguna,
komunikasi, cakupan, akses bertingkat dan perlindugan data yang rahasia. Selain itu tentu
saja dengan fasilitas ini akan menigkatkan nilai tambah dan investasi.Windows 7 telah
menyertakan windows firewall dalam sistem operasinya seperti pada windows server 2008
dengan Active directory dan group policy. Windows firewall juga didisain dalam mendukung
pihak ketiga dalam solusi keamanan dengan menggunakan scriptable application
programming interface (API).
Lapisan keamanan ini dapat dikontrol melalui group policy atau programming skript untuk
menyaring pemakai, computer atau aplikasi yang ada. IP sec dapat mengetahui keaslian
pemakai, computer sebagai bagian dari kebijakan pengamanan.
. Contoh dari firewall jenis ini adalah Microsoft Windows Firewall (yang telah terintegrasi
dalam sistem operasi Windows XP Service Pack 2, Windows Vista dan Windows Server 2003
Service Pack 1), Symantec Norton Personal Firewall, Kerio Personal Firewall, dan lain-lain.
Personal Firewall secara umum hanya memiliki dua fitur utama, yakni Packet Filter Firewall
dan Stateful Firewall.
Mengaktifkan Firewall dalam Windows XP

Microsoft Windows XP dilengkapi dengan sistem keselamatan dalam bentuk firewall. Sistem
ini dikenali dengan nama ICF atau Internet Connection Firewall. ICF amat diperlukan
sebagai perlindungan jika komputer anda berada dalam rangkaian lebih-lebih lagi jika
komputer anda bersambung terus ke talian Internet.
Untuk mengaktifkan ICF dalam Windows XP SP1:
1) Klik Start -> Settings -> Control Panel
2) Klik ikon Network Connections
3) Pilih ikon sambungan yang ingin dilindungi, klik kanan dan pilih Properties
4) Pilih tab Advanced
5) Di bagian Internet Connection Firewall, tandakan Protect my computer and
6) Klik OK
Untuk mengaktifkan ICF dalam Windows XP SP2:
1) Klik Start -> Run, taipkan Firewall.cpl dan tekan Enter
2) Pilih tab General
3) Klik On (recommended)
4) Klik OK
Beberapa software Firewall yang dapat digunakan untuk melindungi system antara lain :
1. Zone Labs Mengembangkan ZoneAlarm, firewall yang fungsinya untuk penggunaan
pribadi. Anda harus hati-hati menavigasi situs untuk men-download versi gratis kecuali Anda
memilih untuk membeli komersial (dan lebih kuat) ZoneAlarm Security Suite atau
ZoneAlarm Pro. Pada 29 Oktober 2008, ini masih didukung.
2. Sunbelt Software Memiliki Sunbelt Kerio Personal Firewall. anda dapat mencoba dengan
bebas selama 30 hari, setelah itu program ini otomatis tidak aktif untuk firewall kurang kuat
kecuali Anda memilih untuk membayar biaya pendaftaran.
3. Agnitum Memiliki versi freeware untuk perangkat lunak firewall mereka, Outpost Firewall
Gratis. Namun, tapi software ini di buat 15 Januari 2006, dan di rilis tahun 2002 mungkin
sudah tidak memadai untuk digunakan dengan berkembangnya spayware.

I.II Firewall pada Linux

Firewall Pada Linux
Firewall yang pertama kali dibuat adalah sebuah mesin Unix yang menjadi perantara antara
sebuah LAN dengan Internet. Jika seorang user ingin mengakses Internet maka ia harus login
terlebih dahulu ke mesin Unix untuk kemudian mengakses dari situ. Begitu pula ketika
seorang user ingin mendownload data dari Internet maka ia harus download terlebih dahulu
pada mesin Unix, baru dipindah pada workstation user.
Linux memiliki fasilitas firewall di kernelnya. Hampir semua distribusi Linux
mengkonfigurasikan kernelnya dengan fasilitas firewall. Firewall di Linux dikonfigurasi
dengan menggunakan program ipchains pada kernel 2.2, ipfwadm pada kernel versi 2.0,
dan ipnatctl serta iptables untuk kernel versi 2.3/2.4. Artikel ini akan menggunakan
ipchains karena kebanyakan distribusi Linux saat ini menggunakan kernel versi 2.2 dan

kernel versi 2.4 belum dirilis pada saat artikel ini dibuat.
Ipchains berguna untuk memodifikasi tabel firewall di dalam kernel Linux. Kernel Linux
kemudian akan menggunakan tabel tersebut sebagai instruksi untuk melakukan sesuatu
terhadap paket TCP/IP yang masuk melalui komputer Linux yang bersangkutan.
Firewall sendiri terbagi menjadi dua jenis yakni :
1. Filtering Firewalls yang akan memblok dan melewatkan paket paket tertentu
2. Proxy Servers berfungsi sebagai perantara koneksi
Packet Filtering Firewalls
Packet filter adalah sebuah software yang memeriksa header dari paket ketika paket
tersebut lewat, dan memutuskan tindakan apa yang dilakukan terhadap paket tersebut.
Apakah paket tersebut di-DROP (misal dengan menghapus paket tersebut), ACCEPT(misal,
paket tersebut diteruskan ke tujuannya), atau hal lain yang lebih kompleks.
Pada Linux, packet filtering ditanamkan pada kernel ( sebagai modul kernel, atau
digabungkan ke dalam kernel). Penerapan packet filtering sudah cukup lama sejak kernel 1.1.
Versi pertamanya, masih banyak mencontoh cara kerja ipfw milik BSD (Sistem Operasi
buatan University California atBerkeley), dibuat oleh Alan Cox pada akhir 1994.
Berkembang menjadi ipfwadm pada kernel 2.0, ipchains pada kernel 2.2 dan terakhir iptables
sejak kernel 2.4.
Packet Filtering Firewalls dengan Iptables
Iptables merupakan paket program yang disertakan secara default oleh banyak distro
bersama dengan kernel versi 2.4. Pada iptables nantinya kita akan banyak berhubungan
dengan aturanaturan(rules) yang menentukan tindakan apa yang akan dilakukan terhadap
sebuah paket. Aturan-aturan ini dimasukan dan dihapus pada tabel packet filtering yang
terdapat pada kernel. Sekedar mengingatkan kernel adalah jantung sistem operasi yang
terus berada pada memori sejak computer booting hingga komputer dimatikan. Sehingga
aturan apapun yang kita tentukan akan hilang pada saat terjadi rebooting, namun demikian
terdapat beberapa cara agar aturan-aturan yang telah kita buat dapat di kembalikan pada saat
Linux booting, yaitu :
1. Menggunakan perintah iptables-save, untuk menyimpan aturan-aturan yang telah
ditentukan dalam sebuah file, dan iptables-restore, untuk memanggil file aturan yang
telah dibuat.
2.
2. Meletakannya pada sebuah skrip yang akan berjalan pada saat inisialisasi Linux.
Macam macam firewall pada Linux
Dalam UNIX, terdapat sejumlah program firewall yang populer digunakan dan
tersedia satu paket dalam system operasi. Program firewall tersebut diantaranya
adalah ipfwadm, ipchains, dan iptables. Berbagai varian Linux yang telah beredar
menggunakan versi kernel nya masing-masing. Dukungan terhadap keamanan
(security) data juga tergantung dari versi kernel. Firewall atau dinding api yang
didukung oleh kernel versi lama, versi 2.0, adalah ipfwadm. Jenis firewall ini
memiliki banyak kekurangan fitur seperti yang tersedia dalam IPChains. Ipfwadm
hanya men-support tiga target untuk sebuah paket: accept, deny, atau reject,

sedangkan rule-rule ipchains dapat memiliki enam built-in target. Ipfwadm

sesungguhnya hanya cocok untuk firewall level IP sederhana saja, juga IP
masquerading. Untuk mesin-mesin Linux yang menggunakan kernel 2.2 ke atas, maka
sudah mendukung ipchains, program firewall yang lebih powerful dari ipfwadm. Pada
prakteknya ipchains adalah program pengganti ipfwadm yang telah banyak digunakan
untuk kode IP firewall lama.
Saat ini versi kernel Linux yang baru adalah versi 2.4.x yang mensupport iptables.
Iptables adalah pengganti ipchains. Iptables memiliki fitur yang lebih banyak daripada
ipchains. Poin poin utama tentang iptables antara lain adalah connection tracking
capability, misal kemampuan untuk melakukan inspeksi paket. Fitur ini bekerja untuk
icmp dan udp sebagaimana koneksi-koneksi tcp. Menyederhanakan perilaku paketpaket dalam melakukan negosiasi built-in chain (INPUT, OUTPUT, FORWARD).
Separasi sempurna terhadap packet filtering dan network address translation (NAT).
Salah satu fungsi firewall adalah untuk mengantisipasi serangan-serangan DoS atau
DdoS, yaitu peningkatan bandwith yang tidak wajar. Firewall yang kita gunakan
adalah Advane Policy Firewall atau disingkat dengan APF.
3. APF adalah firewall berbasis iptables yang dirancang untuk kebutuhan internet saat
ini dan dijalankan di linux.
Terdapat 3 bagian filtering yang dilakukan oleh APF, yaitu :
1. Static rule base policies
2. Connection based stateful policies
3. Sanity based policies
Penjelasan dari ketiga bagian di atas adalah sebagai berikut :
Static Rule Base Policie
adalah metode yang paling tradisional yang merupakan rules firewall yang bersifat
tetap yang bertugas menangani traffic pada kondisi normal
Connection Based Stateful Policies
untuk melakukan pembedaan atas paket-paket data untuk bermacam-macam tipe
koneksi. Hanya paket-paket yang jelas koneksinya yang diijinkan (allow) oleh
firewall, sedangkan paket lainnya akan ditolak (reject).
Sanity Based Policies
ialah kemampuan firewall untuk mengenali bermacam-macam traffic pattern guna
mengetahui metode peyerang atau mempelajari traffic agar sesuai dengan internet
standards.

Arsitektur Firewall
Ada beberapa arsitektur firewall. Pada artikel ini hanya akan dijelaskan
beberapa diantaranya, yaitu : dual-homed host architecture, screened host
architecture, dan screened subnet architecture.
1. Arsitektur Dual-Homed Host
Arsitektur Dual-home host dibuat disekitar komputer dual-homed host, yaitu
komputer yang memiliki paling sedikit dua interface jaringan. Untuk
mengimplementasikan tipe arsitektur dual-homed host, fungsi routing pada host ini
di non-aktifkan. Sistem di dalam firewall dapat berkomunikasi dengan dual-homed
host dan sistem di luar firewall dapat berkomunikasi dengan dual-homed host,

tetapi kedua sistem ini tidak dapat berkomunikasi secara langsung.

Gambar 3. Arsitektur dual-homed host

Dual-homed host dapat menyediakan service hanya dengan menyediakan proxy
pada host tersebut, atau dengan membiarkan user melakukan logging secara
langsung pada dual-homed host.
2. Arsitektur Screened Host
Arsitektur screened host menyediakan service dari sebuah host pada jaringan
internal dengan menggunakan router yang terpisah. Pada arsitektur ini,
pengamanan utama dilakukan dengan packet filtering.

Gambar 4. Arsitektur screened host

Bastion host berada dalam jaringan internal. Packet filtering pada screening router
dikonfigurasi sehingga hanya bastion host yang dapat melakukan koneksi ke
Internet (misalnya mengantarkan mail yang datang) dan hanya tipe-tipe koneksi
tertentu yang diperbolehkan. Tiap sistem eksternal yang mencoba untuk
mengakses sistem internal harus berhubungan dengan host ini terlebih dulu.
Bastion host diperlukan untuk tingkat keamanan yang tinggi.

3. Arsitektur Screened Subnet

Arsitektur screened subnet menambahkan sebuah layer pengaman tambahan pada

arsitekture screened host, yaitu dengan menambahkan sebuah jaringan perimeter
yang lebih mengisolasi jaringan internal dari jaringan Internet.

Gambar 5. Arsitektur screened subnet

Jaringan perimeter mengisolasi bastion host sehingga tidak langsung terhubung ke
jaringan internal. Arsitektur screened subnet yang paling sederhana memiliki dua
buah screening router, yang masing-masing terhubung ke jaringan perimeter.
Router pertama terletak di antara jaringan perimeter dan jaringan internal, dan
router kedua terletak di antara jaringan perimeter dan jaringan eksternal (biasanya
Internet). Untuk menembus jaringan internal dengan tipe arsitektur screened
subnet, seorang intruder harus melewati dua buah router tersebut sehingga jaringan
internal akan relatif lebih aman.

SISTEM KEAMANAN JARINGAN

Keamanan jaringan menjadi semakin penting dengan semakin banyaknya
waktu yang dihabiskan orang untuk berhubungan. Mengganggu keamanan jaringan
sering lebih mudah daripada fisik atau lokal, dan lebih umum.
Terdapat sejumlah alat yang baik untuk membantu keamanan jaringan, dan
semakin banyak disertakan dalam software atau OS.
A. Packet Sniffers
Salah satu cara umum yang digunakan penyusup untuk memperoleh akses ke
banyak sistem di jaringan anda adalah dengan menggunakan sebuah packet
sniffer pada host yang telah diganggu. Sniffer ini mendengarkan port Ethernet
untuk hal-hal seperti "Password" dan "Login" dan "su" dalam aliran paket dan
kemudian mencatat lalu lintas setelahnya. Dengan cara ini, penyerang
memperoleh password untuk sistem yang bahkan tidak mereka usahakan untuk
dibongkar. Password teks biasa adalah sangat rentan terhadap serangan ini.
Di masa sekarang, penyerang bahkan tidak perlu mengganggu sebuah sistem
untuk melakukan hal ini, mereka dapat membawa laptop atau pc ke suatu gedung
dan menyadap ke jaringan anda.
Dengan menggunakan ssh atau metode password terenkripsi lainnya dapat
mencegah serangan ini. Hal-hal seperti APOP untuk rekening pop juga dapat
mencegah serangan ini.

B. Pelayanan sistem dan tcp_wrappers

Segera setelah anda menaruh sistem anda di sembarang jaringan, hal pertama
yang harus dilihat adalah pelayanan yang butuh anda tawarkan. Pelayananpelayanan
yang tidak perlu anda tawarkan seharusnya ditiadakan sehingga anda
memiliki satu hal yang tidak perlu dikhawatirkan dan penyerang memiliki satu
hal kurangnya untuk mencari lubang.
Beberapa pelayanan yang ingin anda biarkan ada adalah:
ftp untuk transfer file
telnet untuk remote machine
mail, seperti pop-3 atau imap untuk mail
identd untuk menagtur layanan
time untuk waktu
Jika anda adalah pemakai dialup rumahan, kami menyarankan anda menolak
seluruhnya. tcpd juga mencatat usaha yang gagal untuk mengakses pelayanan,
sehingga ini dapat memberi anda ide bahwa anda sedang diserang. Jika anda
menambahkan pelayanan baru, anda harus pasti mengkonfigurasinya untuk
menggunakan tcp_wrappers berbasis TCP. Sebagai contoh, pemakai dial-up
normal dapat mencegah orang luar koneksi ke mesin anda, namun masih memiliki
kemampuan untuk menerima surat, dan membuat hubungan jaringan ke Internet.
C. Memverifikasi Informasi DNS Anda
Memelihara informasi DNS tentang seluruh host di jaringan anda agar tetap baru
dapat membantu meningkatkan keamanan. Bilamana ada host yang tidak
dijinkan terhubung ke jaringan anda, anda dapat mengenalinya dengan tidak
adanya masukan DNS. Banyak pelayanan dapat dikonfigurasi untuk tidak
menerima koneksi dari host yang tidak memiliki masukan DNS yang valid.
D. Monitoring identd
identd adalah program kecil yang umumnya berjalan di inetd. Ia mencatat
pelayanan tcp apa yang dijalankan pemakai, dan kemudian melaporkannya
kepada yang meminta.Banyak orang salah mengerti kegunaan identd, sehingga
meniadakannya atau memblok seluruh site yang memintanya. identd ada bukan
untuk membantu remote site. Tidak ada cara untuk mengetahui jika data yang
anda peroleh dari remote identd benar atau tidak. Tidak ada autentikasi dalam
permintaan identd.
Program ini dijalankan karena ia membantu anda, dan adalah titik data lain dalam
penelusuran. Jika identd anda tidak terganggu, maka anda mengerti ia memberi
tahu remote site nama pemakai atau uid orang-orang yang menggunakan
pelayanan tcp. Jika admin pada remote site datang kepada anda dan memberitahu
pemakai anda berusaha menghack ke site mereka, anda dapat secara mudah
mengambil tindakan terhadap pemakai tersebut. Jika anda tidak menjalankan
identd, anda harus melihat banyak catatan, memperkirakan siapa yang ada pada
saat itu, dan secara umum membutuhkan waktu yang lebih banyak untuk
menelusuri pemakai.
identd yang disertakan dalam banyak distribusi lebih mudah dikonfigurasi
daripada yang diperkirakan orang. Anda dapat meniadakan identd untuk pemakai
tertentu, anda dapat mencatat seluruh permintaan identd, anda bahkan dapat
memiliki identd mengembalikan uid daripada nama pemakai atau bahkan NOUSER.
E. Menggunakan software Scanner Jaringan

Terdapat sejumlah paket software berbeda yang melakukan penelusuran

berdasarkan port dan pelayanan mesin atau jaringan. SATAN dan ISS adalah dua
yang paling dikenal. Software ini berhubungan ke mesin sasaran (atau seluruh
mesin sasaran di suatu jaringan) di semua port yang ada, dan berusaha
menentukan pelayanan apa yang sedang berjalan. Berdasarkan informasi ini,
anda dapat menemukan mesin yang rentan terhadap eksploitasi tertentu pada
server.
SATAN (Security Administrators Tool for Analyzing Networks) adalah sebuah
penelusur port dengan antara muka web. Ia dapat dikonfigurasi untuk melakukan
pemeriksaan ringan, menengah, atau berat pada mesin atau pada jaringan mesin.
Akan merupakan ide yang baik untuk memperoleh SATAN dan memeriksa
mesin atau jaringan anda, dan membenahi masalah-masalah yang ditemukan.
ISS (Internet Security Scanner) adalah penelusur berdasarkan port yang lain. Ia
lebih cepat daripada SATAN, dan mungkin lebih baik untuk jaringan yang besar.
Namun demikian, SATAN memberikan lebih banyak informasi.
F. Amankan Sendmail, qmail dan MTA
Salah satu pelayanan penting yang dapat anda sediakan adalah server surat.
Sayangnya, ia juga sangat rentan diserang, karena banyaknya tugas yang harus
dilakukan dan dibutuhkannya ijin khusus.
Pergunakan MTA yang dirancang dengan perhatian pada keamanan yang sangat
tinggi, selain itu cepat dan stabil serta aman.
G. Serangan Denial of Service
Serangan denial of service adalah saat ketika penyerang berusaha menggunakan
beberapa sumber daya hingga terlalu sibuk untuk menjawab permintaan yang
resmi, atau menolak pemakai resmi mengakses mesin anda.
Serangan-serangan semacam ini meningkat dengan cepat pada tahun-tahun
belakangan ini. Beberapa yang populer dan terbaru ditampilkan di bawah ini.
Perhatikan bahwa yang baru selalu muncul setiap saat, sehingga ini hanya
merupakan contoh :
SYN Flooding - SYN flooding adalah serangan denial of service jaringan. Ia
mengambil keuntungan dari "loophole" dalam koneksi TCP yang tercipta.
Pentium "F00F" Bug - Ini baru ditemukan bahwa serangkaian kode assembly
yang dikirim ke prosesor asli Intel Pentium akan mereboot mesin. Ini
mempengaruhi setiap mesin dengan prosesor Pentium (bukan klon, atau
Pentium Pro atau PII), tidak tergantung pada sistem operasi yang dijalankan.
Ping Flooding - Ping flooding adalah serangan denial of service brute force
sederhana. Penyerang mengirim "flood" paket ICMP ke mesin anda. Jika
mereka melakukan ini dari host dengan bandwidth yang lebih baik daripada
milik anda, mesin anda tidak akan mampu mengirim sesuatu ke jaringan.
Variasi serangan ini, disebut "smurfing" mengirim paket ICMP ke host
dengan IP kembalian mesin anda, memungkinkan mereka membanjiri anda
dengan sedikit terdeteksi. Jika anda diserang ping flood, gunakan alat seperti
tcpdump untuk menentukan asal paket (atau tampaknya berasal), kemudian
hubungi provider anda dengan informasi ini. Ping flood dapat secara mudah
dihentikan di level router atau dengan menggunakan firewall.
Ping o' Death - Serangan Ping o' Death disebabkan lebih besarnya paket
ICMP ECHO REQUEST yang datang daripada yang dapat ditangani struktur
data kernel . Oleh karena mengirim sebuah paket "ping" besar (65.510 byte)

ke banyak sistem akan membuat mereka hang atau bahkan crash, masalah ini
secara cepat disebut "Ping o' Death". Ini telah lama diperbaiki, dan tidak perlu
dikhawatirkan lagi.
Teardrop / New Tear - Salah satu eksploit terbaru yang melibatkan bug yang
ada di kode fragmentasi IP pada platform Linux dan Windows. .
H. Keamanan NFS (Network File System)
NFS adalah protokol file sharing yang paling banyak digunakan. Ia
memungkinkan server untuk mengekspor seluruh filesystem ke mesin lain
dengan dukungan nfs filesystem pada kernelnya (atau beberapa dukungan client
jika mereka bukan mesin Linux).
Banyak site menggunakan NFS untuk bertugas sebagai direktori home untuk
pemakai, sehingga tak peduli mesin apa yang dimasuki, mereka akan selalu
memiliki file-filenya.
Terdapat sedikit "keamanan" dibolehkan dalam mengekspor filesystem. Anda
dapat membuat peta nfsd pemakai root remote ke pemakai nobody, membatasi
akses total ke file-file yang diekspor. Namun demikian, karena pemakai individu
memiliki akses ke file-file mereka (atau paling tidak uid yang sama), superuser
remote dapat login atau su ke rekening mereka dan memiliki akses total ke filefile
mereka. Ini hanya penghalang kecil bagi seorang penyerang yang memiliki
akses untuk melakukan mount filesystem remote anda.
Jika harus menggunakan NFS, pastikan anda mengekspor ke mesin-mesin yang
anda butuh untuk ekspor saja. Jangan pernah mengekspor seluruh direktori root
anda, ekspor hanya direktori yang perlu anda ekspor.

MELINDUNGI FIREWALL PADA LINUX

Semua yang anda lakukan di atas tidak akan berguna jika komputer Linux anda tidak
aman. Seorang cracker akan berusaha untuk menjebol firewall Linux anda setelah
mengetahui bahwa seluruh sistem anda dilindungi oleh firewall. Sebagaimana software pada
umumnya, Linux pun memiliki bug atau kesalahan-kesalahan pemrograman lainnya.
Kelebihan Linux dan software bebas (free software) dibandingkan dengan software tertutup
(closed software) adalah kesalahan-kesalahan pemgrograman (bug) lebih cepat diperbaiki dan
perbaikannya jauh lebih cepat sampai ke pengguna. Ada banyak kasus bug di kernel Linux
yang diperbaiki hanya dalam hitungan jam, sedangkan vendor komersil membutuhkan
berhari-hari dan bahkan lebih dari satu bulan untuk memperbaikinya. Tempat terbaik untuk
mendapatkan informasi mengenai bug-bug tersebut beserta perbaikannya adalah di situs web
distribusi yang anda pakai. Hampir semua vendor distribusi Linux terkemuka memiliki
halaman khusus yang membahas masalah keamanan pada produknya. Beberapa di antaranya
juga memiliki mailing-list khusus untuk mengumumkan masalah keamanan, sehingga anda
tidak perlu repot-repot melihat situs web vendor distribusi setiap hari. Linuxtoday juga
memiliki bagian khusus yang mengumumkan masalah sekuriti Linux pada umumnya

KESIMPULAN
Dengan adanya firewall dalam suatu sistem jaringan komputer diharapkan dapat melindungi
informasi-informasi penting dan dapat memanajemen lalu lintas pengaksesan dari dalam
maupun dari luar sistem. Guna meningkatkan kinerja seluruh bagian bagian terkait
mencapai kemaksimalan suatu koneksi atau jariangan dari dalam maupun luar yang memberi
efek menguntungkan bagi si pengguna ( user ).

Konfigurasi Firewall Linux

Firewall adalah sebuah sistem atau perangkat yang terdapat dalam
berbagai sistem operasi misalkan windows dan linux yang berfungsi sebagai
filter untuk mengizinkan lalu lintas jaringan yang dianggap aman untuk
melaluinya dan mencegah lalu lintas jaringan yang tidak aman.
Untuk di windows firewall terletak di Control Panel dan di System and Security
dan cara mengaktifkannya dan menonaktifkannya-pun sudah banyak yang tahu,
tapi bagaimana di Linux ?
Anda tidak usah bingung, dibawah adalah command untuk mengatur firewall
anda.
Pertama silahkan buka terminal Ubuntu anda dan silahkan ketik :
Untuk menonaktifkan firewall :
sudo ufw disable
Untuk mengaktifkan firewall :
sudo ufw enable
Untuk mengecek status firewall :
sudo ufw status
Untuk mengatur default policy Deny :
sudo ufw default deny
Untuk mengatur default policy Allow :
sudo ufw default allow
Catatan
UFW adalah Uncomplicated Firewall
Secara default, policy akan di set Deny jika anda mengaktifkan ufw dan akan
diset Allow jika menonaktifkan ufw.

Konfigurasi Firewall sederhana

menggunakan Shorewall
Shorewall adalah salah satu tools firewall pada linux yang berbasiskan iptables.
Shorewall terdapat konsep zone yang memudahkan kita untuk menentukan

policy firewall, daripada kita melakukan konfigurasi secara manual dengan

iptables. Misalnya network anda adalah spt gambar dibawah ini :

maka untukmemudahkan kita, asumsikan saja ada 3 zona yang dapat di

definisikan, yaitu :
1. LAN, yaitu jaringan lokal, kita definisikan sebagai zona lok
2. Internet, yaitu koneksi kita ke internet, kita definisikn sebagai zona net
3. Komputer Firewall kita secara otomatis bernama zona $FW
Berikut ini adalah step-by-step konfigurasi yang diterapkan
Install shorewall dari repository terdekat
root@sman20:~# apt-get install shorewall shorewall-doc
Kopi konfigurasi dari template yg ada
root@sman20:~# cd /usr/share/doc/shorewall-common/default-config
root@sman20:~# cp zones /etc/shorewall/
root@sman20:~# cp interfaces /etc/shorewall/
root@sman20:~# cp policy /etc/shorewall/
root@sman20:~# cp rules /etc/shorewall/
Setting Shorewall sebagai berikut :
a. konfigurasi zona
root@sman20:~# vim /etc/shorewall/zones
fw firewall
lok ipv4
net ipv4
b. konfigurasi interface
root@sman20:~# vim /etc/shorewall/interfaces
lok eth0 detect tcpflags,nosmurfs
net eth1 detect tcpflags,nosmurfs
c. konfigurasi policy
root@sman20:~# vim /etc/shorewall/policy
$FW all ACCEPT
lok $FW DROP info
lok net DROP info
net $FW DROP info
net lok DROP info
d. konfigurasi rules

root@sman20:~# vim /etc/shorewall/rules

ACCEPT lok $FW tcp 80
ACCEPT net $FW tcp 80
ACCEPT lok $FW tcp 53
ACCEPT lok $FW udp 53
Testing konfigurasi sebelum menjalankannya
root@sman20:~# shorewall check
root@sman20:~# shorewall start
Coba me-restart shorewall untuk memastikan tidak ada error
root@sman20:~# shorewall restart
root@sman20:~# shorewall safe-restart
Setting Shorewall agar automatis berjalan sewaktu booting
root@sman20:~# vim /etc/default/shorewall
startup=1
Happy securing your self with firewall
reference :
shorewall
shorewall-nat
shorewall-accounting
shorewall-hosts
shorewall-interfaces
shorewall-routestopped
shorewall.conf
shorewall-masq
shorewall-policy
shorewall-rules
shorewall-zones

Setting PC Router dan Firewall pada LINUX

Artikel ini hanyalah sepenggal catatan kecil (referensi pribadi) yang di susun
kembali
berdasarkan sumber-sumber lain dari internet, hasil diskusi dengan paman
Google dan
bibi Yahoo :-). Dengan harapan diposting disini untuk mengingat-ingat kembali
dan
bisa pula menjadi referensi bagi semuanya terutama buat eKa yang meminta
postingan ini melalui Shoutbox beberapa hari yang lalu. Dan khususnya bagi
siswa
saya TKJ yang sedang belajar LINUX dan menghadapi Lomba Kegiatan Siswa
(LKS).

Sebenarnya sudah banyak website/blog yang ngulik masalah ini secara tuntas,
sebut
saja Forum Linux, Info Linux, Gudang Linux, DiskusiWeb, Linux Online dll. Akan
tetapi disini saya cuma membahas bagaimana menjadikan Linux yang kita miliki
sebagai gateway yang akan menghubungkan jaringan lokal (LAN) ke dunia luar
(Internet). Dimana, sistem Linux ini akan dijadikan sebagai PC Router dengan
konfigurasi Ip_forwarding, dan NAT+MASQUERADE dengan settingan standard
yang sederhana. Sementara untuk penggunaan Firewall, URL Filter, Squid serta
Delay
Pools (manajemen bandwidth) akan dibahas pada postingan berikutnya.
Installasi ini sudah berhasil dilakukan pada distro linux redhat 9.0 dan fedora
core 6.0
(LINUX TEXT) dengan spesifikasi komputer Intel PIII 866MHz, RAM 256, HDD
20GB, dan 2 buah Ethernet Card (Intel PRO/100 S Desktop Adapter Realtek
RTL8139/810x Familiy Fast Ethernet NIC).
1. Sebelum Setting mintalah IP publik ke ISP lengkap dengan netmask,
broadcast dan
dns-nya. Kemudian tentukan juga IP Lokal yang akan digunakan pada komputer
client. Misal : (eth0) IP : 192.168.1.2 NETMASK : 255.255.255.0 GATEWAY :
192.168.1.1 BROADCAST : 192.168.1.255 NETWORK : 192.168.1.0DNS1 :
202.134.0.155DNS2 : 202.134.2.5
DNS3 : 203.130.193.74
(eth1)IP : 192.168.10.254/24NETMASK : 255.255.255.0BROADCAST :
192.168.10.255
NETWORK : 192.168.10.0
Catatan, loginlah ke mesin linux anda dengan username sebagai ROOT. Untuk
melakukan perubahan tekan tomboll (insert) dan untuk menyimpan perubahan
tekan
escape : wq (write quit).
2. Settinglah IP pada ethernet-0.# vi /etc/sysconfig/network-scripts/ifcfg-eth0ip
static
DEVICE=eth0 BOOTPROTO=static BROADCAST=192.168.1.255
IPADDR=192.168.1.2NETMASK=255.255.255.0NETWORK=192.168.1.0
ONBOOT=yes
dhcpDEVICE=eth0BOOTPROTO=dhcp
ONBOOT=yes
3. Settinglah IP MGW dan HostName, serta DNS Resolver # vi
/etc/sysconfig/network NETWORKING=yes HOSTNAME=router
GATEWAY=192.168.1.1
# vi /etc/resolv.confnameserver 202.134.0.155nameserver 202.134.2.5
nameserver 203.130.193.74
3. Settinglah IP pada ethernet-1# vi /etc/sysconfig/network-scripts/ifcfg-

eth1DEVICE=eth1BOOTPROTO=staticBROADCAST=192.168.10.255IPADDR=19
2.168.10.254NETMASK=255.255.255.0NETWORK=192.168.10.0
ONBOOT=yes
Pastikan default gateway telah mengarah ke IP gateway ISP, # route nDan
untuk
melihat IP masing-masing ethernet cobalah command berikut :
# ifconfig|more
5. Setting IP Forwarding, agar paket dari jaringan client dapat berjalan ke
jaringan di
luarnya melalui gateway.# vi /etc/sysctl.conf
rubah net.ipv4.ip_forward = 0 menjadi net.ipv4.ip_forward = 1
# chkconfig level 2345 network on
# /etc/rc.d/init.d/network restart
Sekarang lakukan testing dengan ngeping ke:# ping 192.168.1.1# ping
202.134.0.155
atau 202.134.2.5# ping www.google.com
# ping 192.168.10.0/24
Jika hasilnya Reply berarti settingnya sudah berhasil dan tinggal selangkah lagi.
6. Agar client atau jaringan lokal (LAN) yang terhubung dengan sistem linux anda
(ke
eth1) dapat mengakses internet, maka settinglah MGW dengan menggunakan
source
NAT IPTables dan Forwarding.# /etc/init.d/iptables stop
# vi /etc/rc.d/rc.nat
: Tambahkan scripts berikut :# !/bin/sh # flushIptables FIptables F t nat#
Script iptables untuk Source NAT sesuai dengan ip di eth0 dan eth1 (IP
Statik)/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.10.0/24 -j SNAT
to-source 192.168.1.2# Script iptables jika ip external eth0 merupakan
DHCP/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.10.0/24 -j
MASQUERADE# Script Forwarding/sbin/iptables -t nat -A PREROUTING -i eth1 -s
192.168.10.0/24 -p tcp dport 80 -j REDIRECT to-ports 3128/sbin/iptables -t nat
-A
PREROUTING -i eth1 -s 192.168.10.0/24 -p udp dport 80 -j REDIRECT to-ports
3128/sbin/iptables -t nat -A PREROUTING -i eth1 -s 192.168.10.0/24 -p tcp dport
8080 -j REDIRECT to-ports 3128
/sbin/iptables -t nat -A PREROUTING -i eth1 -s 192.168.10/24 -p udp dport 8080
-j
REDIRECT to-ports 3128
# chmod +x /etc/rc.d/rc.nat
# iptables L t nat
7. Simpanlah semua hasil konfigurasi di /etc/rc.local, sehingga Anda tidak perlu
harus
melakukan command-command sebelumnya setiap kali sistem di on-kan atau direstart. Lakukan langkah berikut # vi /etc/rc.local: Tambahkan script berikut :#

Local system initialization script# Put any local setup commands in

here:#/etc/rc.d/rc.nat#
echo
Sampai pada tahap ini, berarti Anda sudah selesai membangun sebuah PC router
dengan penerapan ip forwarding dan NAT+Masquerade, untuk mengujinya
lakukan
test ping dari komputer client ke DNS atau ke www.google.com. Jika hasilnya
reply,
berarti internet sudah bisa di akses dari client