Ahmad Fauzie
Oleh:
Ahmad Fauzie
0072020172
Skripsi
Sebagai Salah Satu Syarat untuk Memperoleh Gelar
Sarjana Komputer
Skripsi
Sebagai Salah Satu Syarat untuk Memperoleh Gelar
Saijana Komputer
Pada Fakultas Sains dan Teknologi
oleh
Ahmad Fauzie
0072020172
Menyetujui
Pembimbing I
Mengetahui,
J urusan TI/SI
JURUSAN TEKNIK INFORMATIKA DAN SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UIN SYARIF HIDAYATULLAI-I JAKARTA
NIM 0072020172
Dapat diterima sebagai syarat kelulusan untuk memperoleh gelar Sarjana Komputer
.Turusan Teknik lnformatika, Fakultas Sains dan Teknologi UIN Syarif I-Iidayatullah
Jakarta.
Menyetujui,
Dasen Pembimbing
(<~.
., \~
. . J~
f:\"'--'/
Mengetalmi,
Ketua Jurnsan
AHMAD FAUZIE
0072020172
ABSTRAK
pada Fakultas Sain dan Teknologi Jurusan Teknik Informatika Universitas Islam
skripsi ini jauh dari sempurna. Oleh karena itu penulis sangat mengharapkan kritik
syukur serta hormat penulis mengucapkan terimakasih pada semua pihak yang
telah memberikan bantuan, bimbingan, dan pengarahan se1ta dukungan moril dan
sebesar-besarnya kepada:
I. Bapak Ir. Bakri Lakatjong, M.T, M.Kom selaku Ketua Jurusan Teknik
2. Bapak DR. Ir. Syopiansyah Jaya Putra, M.Sis, selaku Dekan Fakultas Sain
Dasen Pembimbing I.
3. Bapak Amir Dahlan, S.T, M.T, selaku Dosen Pembimbing II
7. Bapak Hasan dan Bapak Didi, terimakasih atas fasilitas yang diberikan.
Marwani yang telah memberikan kasih sayang yang tiada hingga dan do'a
I 0. Ka wan karibku Riza, Fachri, Arif dan kawan yang lain yang tidak bisa
saya sebutkan satu persatu, saya ucapkan terimakasih atas segala canda
Akhir kata, penulis berharap penulisan skripsi ini dapat bermanfaat bagi
Jakarta, baik sebagai bahan karya tulis berupa informasi, perbandingan maupun
Pennlis
DAFTARISI
ABSTRAK ..................................................................................................... i
2.2.1 Privacy/Confidentiality.................................................. 9
2.2.2 Integrity ........................................................................ 10
2.2.4 Availability................................................................... 10
2.2.6 Non-repudiation............................................................ 11
System) .............................................................. 13
http://www.redhat.com ................................. 27
http://www.securityresponse.symantec.com 28
Lain ................................................................... 33
3.l.l.4.ll.4DNATTarget. .............. 42
3.1.1.4.11.5 MASQUERADE
Target.. ........................ 43
3.1.1.4.11.6 REDIRECT Target ...... 43
JARINGAN .................................................................................... 48
pengamananjaringan komputer................................................. 53
DAFTAR PUSTAKA
LAMP IRAN
DAFTAR ISTILAH
DAFTAR TABEL
Gambar 12: Halaman Analisa Keseluruhan Dari Sistem Keamanan Jaringan ..... 59
Dihasilkan ...................................................................................... 62
Lampiran I: Tabel Hubungan referensi model OSI dengan protokol internet ..... 74
Lampiran 16: Gambar Jaringan PT. PLN (Persero) P3B .................................... 103
PENDAHULUAN
mengenal batas wilayah kedaulatan suatu negara telah memudahkan kita untuk
masa kini yang pada gilirannnya dipakai sebagai sarana untuk berkomunikasi,
sehingga antar sesama pengguna mungkin tidak menyadari mulai giat melakukan
brain storming dan mulai memahami permasalahan tanpa harus bersikap impulsif,
sistem tingkah laku tertentu, melalui pola-pola pengujian dengan unsur dominan
berupa pengalaman dan budaya dalam penggunaan informa:;i. Oleh karena itu ha!
tersebut di atas harus diakui olch semua unsur lapisan atau kalangan di belahan
semua orang di dunia telah memberikan kontribusi tak ternilai bagi masyarakat,
masyarakat itu sendiri. Bebasnya akses ke dunia maya tanpa kontrol dan
2
keamana.n sistem komputer menyebabkan setiap orang tanpa batas usia dapat
Maka dari itu, sistem keamanan berbasis intemet telah diimplementasikan untuk
bagi PT. PLN (Persero) Penyaluran dan Pusat Pengatur Beban Jawa - Bali (P3B)
Dan pada era global serta dinamis ini keamanan sistem infonnasi
dapat terus dipertahankan dan ditingkatkan, karena jaringan internet yang sifatnya
umum dan global dinilai tidak aman dan mudah untuk disusupi oleh user atau
oknum yang tidak bertanggung jawab untuk merusak sistem dan mengambil data-
Penyaluran dan Pusat Pengatur Beban Jawa - Bali (P3B) bagi semua pihak maka
PT. PLN (Persero) P3B Sub Bidang Teknologi lnfonnasi perlu menerapkan suatu
sistem keamanan jaringan yang handal dan mempunyai kemampuan yang tinggi
agar tidak dapat ditembus oleh pihak-pihak yang tidak berhak. Selain itu, pihak
perusahaan juga merasa perlu untuk membatasi pemakaian internet pada jam-jam
tertentu agar waktu kerja tidak disalahgunakan karyawan untuk mengakses situs-
3
1. Jenis Firewall apakah yang akan dipakai oleh PT. PLN (Persero) Penyaluran
dan Pusat Pengatur Behan Jawa - Bali (P3B) Sub Bidang Teknologi
tersebut?
4
digunakan di PT. PLN (Persero) Penyaluran dan Pusat Pengatur Beban Jawa -
Bali (P3B) Sub Bidang Teknologi Informasi untuk keamanan jaringan komputer
Untuk mengetahui dan mempelajari peranan serta cara ke1ja dari Iptables
terhadap proteksi akses jaringan intenet pada PT. PLN (Persero) Penyaluran dan
a. Bagi Penulis
Penyaluran dan Pusat Pengatur Beban Jawa - Bali (P3B) Sub Bidang
TI.
b. Bagi Perusahaan
c. Bagi Pembaca
Semoga penulisan ini berguna bagi pihak lain atau pembaca sebagai
informasi, khususnya bagi pembaca yang mempunyai minat yang sama dalam
Dalam penulisan skripsi ini, agar didapatkan data yang akurat, sesuai dan
I . Observasi
mengetahi.Ji tata cara kerjanya, dan menganalisa hasil kerja dari aplikasi tersebut.
6
2. Studi Pustaka
BABI PENDAHULUAN
Dalam bab ini akan dibahas materi tentang teori tentang sistem
OSI model serta penge1iian Iptables serta konsep dasar dan cara kerja
JARINGAN
Dalam bab ini diuraikan mengenai lokasi penelitian dan sejarah singkat
http://www.veniceflorida.com.
LANDASAN TEORI
jaringan komputer tersebut terhubung ke jaringan luar, yang secara teknis tentu
siapa saja dapat mengakses jaringan milik suatu perusahaan tersebut. Hal ini
menjadi kendala apabila user luar yang mengakses, mempunyai suatu niat yang
buruk terhadap segala macam komponen jaringan perusahaan, mulai dari data,
integritas sistem yang digunakan untuk memagari dan menjaga semua sumber
daya dan unsur-unsur yang terdapat pada suatu jaringan !computer, bentuk
besar saja, akan tetapi sekarang banyak perusahaan menengah sampai berskala
9
sebagainya.
Dan masih banyak lagi tujuan clan maksud yang lainnya namun tidak
yaitu privacy, integrity, authentication, dan availability. Se lain ha! di atas, masih
ada dua aspek lain yang berkaitan dengan electronic commerce, yaitu access
menjaga informasi clari orang yang tidak berhak mengakses. Privacy lebih kearah
dengan data yang diberikan Ice pihak lain untuk keperluan tertentu (misalnya
10
sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk
2.2.2 Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin
pemilik inforrnasi. Adanya virus, trojan horse, atau pernakai lain yang mengubah
2.2.3 Authentication
adalah betul-betul orang yang dimaksud, atau server yang kita hubungi adalah
2.2.4 Availability
clisebut clengan "denial of service attack!' (DoS attack), dimana server clikirimi
2.2.6 Non-repudiation
sistem infonnasi dapat dilakukan melalui beberapa layer yang berbeda. Misalnya
di layer "transport", dapat digunakan "Secure Socket Layer" (SSL). Metoda ini
urnum digunakan untuk server web. Secara fisik, sistem anda dapat juga
sehingga data-data anda atau e-mail anda tidak dapat dibaca oleh orang yang tidak
berhak.
dan 'access control'. lmplementasi dari mekanisme ini antara lain dengan
authentication dengan menuliskan 'userid' dan 'password'. Salah satu cara untuk
Seringkali sistem dalam ha! ini perangkat keras dan perangkat lunak
ditambahkan. Proteksi ini dapat berupa filter (secara umum) dan yang lebih
spesifik adalah firewall. Filter dapat digunakan untuk memfilter e-mail, informasi,
akses, atau bahkan dalam level packet. Firewall merupakan sebuah perangkat
yang diletakkan antara Internet dengan jaringan internal, Informasi yang keluar
atau masuk harus melalui firewall ini. Firewall bekerja dengan mengamati paket
maka akses dapat diatur berdasarkan IP address, port, dan arah informasi. Detail
adanya tamu tak diundang (intruder) atau adanya serangan (attack). Nama lain
dari sistem ini adalah "intruder detection system" (JDS). Sistem ini dapat
Portsentry. Sebuah program bantu yang cukup "ringan" dan tidak begitu
sistemjaringan kecil.
2 Snort. Program bantu ini berfungsi memeriksa data-data yang masuk dan
IDS yang sangat baik dalam melindungi sistem. Ketika lids aktif, maka
bahkan root sekalipun mempunyai akses yang sangat terbatas sekali dalam
mengkonfigurasikan sistem.
Amerika telah menyadap semua data yang lewat dari seluruh penjuru
dunia. Perlu diketahui bahwa hampir semua server utama atau backbone
Dan masih banyak tools untuk IDS lainnya yang clapat digunakan untuk
satu kunci yang sama digunakan untuk melakukan enkripsi dan dekripsi. Pada
berbeda. Telnet atau remote login digunakan untuk mengakses sebuah "remote
site" atau komputer melalui sebuah jaringan komputer. Akses ini dilakukan
password. Informasi tentang userid dan password ini dikirimkan melalui jaringan
password ini. Untuk menghindari ha! ini, enkripsi dapat digunakan untuk
DES atau Blowish (dengan menggunakan kunci session yang dipertukarkan via
15
RSA atau Diffie-Helhnan) sehingga tidak dapat dibaca oleh orang yang tidak
berhak.
harus melakukan bentuk pengamanan yang lain yaitu dengan memasang pemantau
integritas sistem, mengamati berkas-berkas log dan Backup data secara rutin.
sistem keamanan jaringan kita dapat lebih terproteksi dari pihak-pihak yang tidak
bertanggung jawab.
coretan password atau manual yang dibuang tanpa dihancurkan. Wiretapping atau
hal-hal yang berhubungan dengan akses ke kabel atau komputer yang digunakan
juga dapat dimasukkan ke dalam kelas ini. Denial of service, yaitu akibat yang
ditimbulkan sehingga servis tidak dapat diterima oleh pemakai juga dapat
16
pesan (yang dapat berisi apa saja karena yang diutamakan adalah banyaknya
jumlah pesan). Beberapa waktu yang lalu ada lubang keamanan dari implementasi
protocol TCP/IP yang dikenal dengan istilah Syn Flood Attack, dimana sistem
(host) yang dituju dibanjiri oleh pennintaan sehingga dia menjadi terlalu sibuk
kepada manusia (pemakai dan pengelola). Ada sebuah teknik yang dikenal dengan
istilah "social engineering" yang sering digunakan oleh kriminal untuk berpura-
pura sebagai orang yang berhak mengakses informasi. Misalnya kriminal ini
berpura-pura sebagai pemakai yang lupa passwordnya dan minta agar diganti
yang digunakan untuk mengelola data. Seorang kriminal dapat memasang virus
sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack
recove1y).
yang digunakan untuk memperbaiki dan hal-hal lain yang hilang adalah
sekitar $100 juta. Di tahun 1990 Morris dihukum (convicted) dan hanya
didenda $I 0.000.
Massachusetts.
(down) selama beberapa jam. Tempat yang diserang antara lain: Yahoo!,
18
tools untuk mencari program TRINOO atau Tribal Flood Net (TFN) yang
grc.com yang terdiri dari dua (2) Tl connection menjadi habis. Steve
(via JRC), dan akhirnya menemukan beberapa ha! tentang DoS attack ini.
Akhir Januari 1999. Domain yang digunakan untuk Timar Timur (.TP)
diserang sehingga hilang. Domain untuk Timor Timur ini diletakkan pada
Amerika Utara.
Januari 2000. Beberapa situs web Indonesia diacak-acak oleh cracker yang
Situs yang diserang tennasuk Bursa Efek Jakarta, BCA, Indosatnet. Selain
situs yang besar tersebut masih banyak situs lainnya yang tidak dilaporkan.
kembali Fabian Clone beraksi dengan menjebol web milik Bank Bali.
banking.
dua atau lebih !computer yang saling berhubungan dan dapat berkomunikasi antara
20
adalah data, satu komputer dapat berhubungan dengan komputer lain dan saling
berkomunikasi (salah satunya bertukar data) tanpa harus 1m:mbawa disket ke satu
komputer ke komputer lainnya seperti yang biasa kita lakukan. Ada beberapajenis
2.7.1 Host-Terminal
suatu dumb terminal. Karena Dumb Terminal hanyalah sebuah monitor yang
dilakukan di dalam server, oleh karena itu maka suatu s1)rver haruslah sebuah
sistem komputer yang memiliki kemampuan pemrosesan data yang tinggi dan
yang dapat diberikan oleh server, misalnya adalah pengaksesan berkas, peripheral,
database, dan lain sebagainya. Sedangkan client adalah sebuah terminal yang
sebuah terminal client melakukan pemrosesan data di terminalnya sendiri dan hal
itu menyebabkan spesifikasi dari server tidaklah harus memiliki performansi yang
21
tinggi, dan kapasitas penyimpanan data yang besar karena sernua pernrosesan data
dengan media kabel. Secara prinsip, hubungan peer to peer ini adalah bahwa
setiap !computer dapat berfungsi serbagai server (penyedia layanan) dan client,
dalam satu lokasi atau gedung, Hal ini akan mendapat pembahasan tersendiri pada
Merupakan gabungan dari LAN, yang ruang lingkupnya dapat saja satu
seluruh dunia, jaringan jenis ini rnembutuhkan minimal satu server untuk setiap
LAN, dan membutuhkan minimal dua server yang mempunyai lokasi yang
2.7.6 Intemet
dunia yang sating terhubung membentuk satu jaringan besar !computer. Dalam
jaringan ini dibatasi layanannya sebagai berikut : FTP, E-Mail, Chat, Telnet,
protokol TCP/IP, walaupun ada sebagian kecil yang menggunakan jenis lain (!PX
2. 7. 7 Intranet
Internet. Apabila kita lihat dari lingkupannya atau jangkauannya maka jaringan ini
host dari suatu mesin. IP Address adalah sekelompok bilangan biner 32 bit yang
di bagi menjadi 4 bagian yang masing-masing bagian itu terdiri dari 8 bit (sering
desimal.
23
pengalamatan IP. Pada tabel tersebut x adalah NetlD dan y adalah HostlD
2.8.2 Subnetting
bagian-bagian yang lebih kecil lagi. Tujuan dalam melakukan subnetting ini
adalah:
tidak.
3. Keteraturan
(255-255.255.0)
24
subnetting dalarn jaringan tersebut. Langkah pertarna yang harus kita lakukan
yang rnasing-masing blok minimal terdiri dari 48 host. Seperti kita telah ketahui
berikut:
255/5=51
00110011
------------- (negasi)
komputer diperlukan sebuah aturan baku yang standar dan disetejui berbagai
pihak. Seperti halnya dua orang yang berlainan bangsa, maka untuk
interpreter identik dengan protokol. Untuk itu maka badan dunia yang menangani
aturan baku yang dikenal dengan narna model referensi OSI (Open Sistem
rnengembangkan protokolnya.
Model referensi OSI terdiri dari 7 lapisan, mulai dari lapisan fisik
sampai dengan aplikasi. Model referensi ini tidak hanya berguna untuk produk-
produk LAN saja, tetapi dalam membangung jaringan Internet sekalipun sangat
diperlukan. Hubungan antara model referensi OSI dengan protokol Internet bisa
dilihat dalam Tabel Hubungan referensi model OSI dengan protokol Internet.
(lihat Jampiran).
tetapi juga diselenggarakan oleh badan dunia lainnya sep(:rti ITU (International
produk LAN bahkan memakai standar yang dihasilkan IEEE. Kita bisa lihat
misalnya badan pekerja yang dibentuk oleh IEEE yang banyak membuat
standarisasi peralatan telekomunikasi sepe1ii yang t.ertera pada tabel badan pekerja
2.10 Port
Port sangat penting dalam proses komunikasi data, baik itu melalui
Ada beberapa macam definisi port berdasarkan fisik dan logic tetapi
fungsi yang dihasilkan tetap sama yaittJ, berfungsi sebagai jembatan atau saluran
penghubung antara suatu device ke device yang lainnya atau bisa juga sebagai
1. Port adalah suatu soket atau st.op kontak yang digunakan untuk
"A socket used to connect external peripherals such a~: keyboards, pointing
2. Di dalam suatu jaringan komunikasi, port adalah suatu saluran logis yang
connections."
melewatkan data keluar atau masuk pada suatu device komputer. Komputer
menghubungkan disk drive, monitor, dan keyboard. Dan sepetti juga halnya
"A hardware location for passing data in and out of a computing device.
Personal computers have various types of po1ts, including internal ports for
1
http://\vww .redhal.con1/docs/glossary/i ndex.htn1l#P
28
connecting disk drives, monitors, and keyboards, as well as external ports, for
2. Pada jaringan komunikasi TCP/IP dan UDP, port adalah nama yang
diberikan kepada suatu titik akhir dari sebuah koneksi logis. Angka-angka
port mengidentifikasi jenis port. Sebagai contoh, komunikasi data TCP/IP dan
"In TCP/IP and UDP networks, port is the name given to an endpoint of a
logical connection. Port numbers identify types of ports. For example, both
TCP and UDP use port 80 for transporting HTTP data. A threat may attempt
Linux versi 2.4 keatas yang disebut netfilter. Untuk m<!mahami penggunaan
iptables, pemahaman mengenai firewall dan konsep dasar TCP/IP harus sudah
2
htlp://securityresponse.symantec.com/avcenter/refa.htm!#p
3 http ://securi tyres po nse. sy1nan tec.con1/avcen ter/refa. html #p
29
dikuasai. Waiau bagairnanapun, ini akan rnenguraikan konsep dasar firewall yang
ini rnerupakan dasar dari penggunaan IPTables. Ada banyak resource yang
mendokumentasikan konsep dasar tentang TCP/IP, baik itu secara online maupun
cetak.
network interface card, sebab hal ini bisa menjalankan fungsi packet forwarding.
Disarankan seorang user menggunakan linux dengan kernel 2.4 ke atas, karena
linux dengan kernel 2.4 ke atas sudah merniliki dukungan Iptables secara default,
sehingga tidak perlu rnengkompilasi ulang kernel yang sedang digunakan. Bagi
(Persero) (Persero) P3B kami menggunakan Linux Mandrake Versi 8.0 yang
lpchains, antara lain adalah dengan adanya penambahan Table NAT, Mangle, dan
Tanda pada setiap paket yang di filter. Linux mandrake versi 8.0 maupun redhat
versi 7.1 yang mendukung kernel versi 2.4.x tentu clidalam distribusinya
tidak dapat beke1ja? Secara sederhana, jawabannya adalah modul paket Iptable
METODOLOGI PENELITIAN
Installing Iptables
Konfigurasi
Iptables
Testing
Konfigurasi
Pembahasan pacla BAB IV I
Analisa Hasil Pembahasan pada BAB IV I
Usulan Solusi Pembahasan pada BAB IV I
atau RedHat sudah menye1iakannya dalam paket linux versi terbam. Dan setelah
32
terinstal maka sudah ada aturan-aturan baku yang dapat dijadikan bahan untuk
/etc/rc.d/init.d/iptables.
penyaringan, daftar tersebut dinamakan rantai firewall (firewall chain) atau sering
disebut chain saja. Ketiga chain tersebut adalah INPUT, OUTPUT dan
FORWARD.
~-_"'-T~l-:::::::::>(2"~""'~"~"'E''::::c=~ Foaw~
_ MA~HIK j ROUTIUG ~
l"Al<l.IT
J<lit.UAR
INPIJY PftO-:;;;-i__
LO~
chain. Pada saat sebuah paket sampai pada sebuah lingkaran, maka disitulah
te1jadi proses penyaringan. Rantai akan memutuskan nasib paket tersebut. Apabila
keputusammya adalah DROP, maka paket tersebut akan di-drop. Tetapi jikarantai
tersebut.
menyatakan ''.iika paket memiliki infomiasi awal (header) seperti ini, maka inilah
yang harus dilakukan terhadap paket". Jika aturan terse but tidak sesuai dengan
paket, maka aturan berikutnya akan memproses paket tersebut. Apabila sampai
33
aturan terakhir yang ada, paket tersebut belum memenuhi salah satu aturan, maka
kernel akan melihat kebijakan bawaan (default) untuk memutuskan apa yang
hams dilakukan kepada paket tersebut. Ada dua kebijakan bawaan yaitu default
sebagai berikut:
3. Paket masuk ke chain PREROUTING pada table Mangle. Chain ini berfungsi
untuk me-mangle (menghaluskan) paket, seperti mernbah TOS, TTL dan Jain-lain.
4. Paket masuk ke chain PREROUTING pada tabel nat. Chain ini berfungsi
Translation).
5. Paket mengalami keputusan routing, apakah akan diproses oleh host lokal atau
7. Paket masuk ke chain POSTROUTJNG pada tabel nat. Chain ini berfungsi
9. Paket kembali berada pada jaringan fisik, contoh LA1'1. Libat gambar pada lampiran
6. Paket masuk ke chain INPUT pada tabel filter untuk mengalami proses
penyaringan.
jaringan.
5. Pake! mengalami keputusan routing, seperti ke mana paket hams pergi dan
3.1.1.4.1 Table
Di sini bisa dintukan apakah paket akan di-DROP, LOG, ACCEPT atau
REJECT
3.1.1.4.2 Command
Command pada baris perintah IPTables akan memberitahu apa yang harus
3.1.1.4.3 Option
Dengan kata lain, sintaks generic matches akan sarna untuk se:mua protokol. Setelah
protokol didefnrisikan, maka baru didefmisikan aturan yang Jebih spesifik yang
dimiliki oleh protokol tersebut. Hal ini dilakukan karena tiap-tiap protokol memiliki
tertentu. Implicit Match merupakan sekumpulan rule yang akan diload setelah tipe
37
protokol disebutkan. Ada 3 Implicit Match berlaku untuk tigajenis protokol, yaitu
yang mendeskripsikan status paket untuk untuk membuka atau menutup koneksi.
untuk protokol UDP lebih sedikit dari pada TCP. Ada dua macam match untuk
UDP:
kondisi-kondisi jaringan yang lain. Hanya ada satu implicit match untuk tipe protokol
ICMP, yaitu :
--icmp-type
berdasarkan MAC source address. Perlu diingat bahwa MAC hanya berfungsi
port range lebih dari sati:i, yang berfungsi jika ingin didefinisikan aturan yang
sama untuk beberapa port. Tapi hal yang perlu diingat bahwa kita tidak bisa
menggunakan port matching standard dan multiport matching dalam waktu yang
bersamaan.
atau pemiliklowner paket terse but. Match ini bekerja dalam chain OUTPUT, akan
tetapi penggunaan match ini tidak terlalu luas, sebab ada beberapa proses tidak
memiliki owner.
owner. Salah satu penggunannya adalah bisa mencegah user selain yang
Match ini rnendefinisikan state apa saja yang cocok. Ada 4 state yang
untuk paket yang akan mernulai koneksi barn. ESTABLISHED digunakan jika
FTP data transfer yang menyertai sebuah koneksi TCP atau UDP. INVALID
adalah paket yang tidak bisa diidentifikasi, bukan mernpakan bagian dari koneksi
yang ada.
3.1.1.4.10 Target/Jump
yang mernenuhi kriteria atau match. Jump rnemerlukan sebuah chain yang lain
dalam tabel yang sama. Chain tersebut nantinya akan dimmmki oleh paket yang
prosedur/fungsi dari program utanm. Sebagai contoh dibuat sebuah chain yang
41
Ada beberapa option yang bisa digunakan bersamaan dengan target ini.
Yang pertama adalah yang digunakan untuk menentukan tingkat log. Tingkatan
log yang bisa digunakan adalah debug, info, notice, warning, err, crit, alert dan
string yang tertulis pada awalan log, sehingga memudahkan pembacaan log
terse but.
dan menolak untuk memproses lebih lanjut paket tersebut. Tetapi, REJECT akan
pada chain INPUT, OUTPUT dan FORWARD atau pada chain tambahan yang
host-unreachable
Target ini berguna untuk melakukan perubahan alamat asal dari paket
(Source Network Address Translation). Target ini berlaku untuk tabel nat pada
chain POSTROUTING, dan hanya di sinilah SNAT bisa dilakukan. Jika paket
dalam koneksi terse but juga akan mengalami ha! yang sama.
194.236.50.155-194.236.50.160: 1024-32000
header dari paket-paket yang memenuhi kriteria match. DNAT hanya bekerja
43
untuk tabel nat pada chain PREROUTING dan OUTPUT atau chain buatan yang
sanm seperti target SNAT, tetapi target ini tidak memerlukan option --to-source.
yang tidak tetap seperti dial-up atau DHCP yang akan memberi pada kita nomor IP
yang berubah-ubah. Seperti halnya pada SNAT, target ini hanya bekerja untuk tabel
ke mesin itu sendiii. Target ini wnunmya digunakan W1hlk mengarahkan paket yai1g
menuju suatu port tertentu untuk memasuki suatu aplikasi proxy, lebih jauh lagi ha!
ini sangat bergW1a untuk membangW1 sebuah sistem jai'ingart yai1g menggW1akan
transparent prmy. Contolmya kita iI1gin menga!ihkai1 semua koneksi yang menuju
port http untuk memasuki aplikasi http proxy misalnya squid. Target ini hai1ya
44
bekerja untuk tabel nat pada chain PREROUTING dm1 OUTP1JT atau pada chain
3128
File rc.fircwallfircwall
#!/bin/bash
BASEDIR= 11 /root/firewall 11
if -f $BASEDIR/config.txt ]; then
. $BASEDIR/config.txt
fi
##########################################ii################
###########
$DEPMOD -a
parameter stealth, close.open untuk port-port yang diuji. Pembahasan lebih detail
Usulan solusi merupakan bagian dari penelitian skripsi ini. Solusi tersebut
parameter yang akan dijadikan acuan berhasil atau tidaknya sistem keamanan
jaringan dalam melindungi semua unsur yang terdapat dalam jaringan adalah
sebagai berikut:
1. Hasil yang didapat untuk port 21,23,25,79,80 adalah stealth maka firewall
sistem jaringan.
2. Hasil yang didapat untuk port 21,23,25,79,80 adalah close maka firewall
3. Jika hasil yang didapat untuk port 21,23,25,79,80 adalah open maka firewall
Berikut ini adalah tabel.2 contoh deskripsi basil pengujian yang dilakukan
Pusat Pengatur Beban Jawa-Bali Sub Bidang Teknologi Infommsi yang berkaitan
sekali denganjudul yang diambil penulis, yang berlokasi di Cinere Jakarta Selatan.
dan Tata Kerja Unit Bisnis Strategis Penyalnran dan Pusat Pengatur Beban Jawa
Bali, maka PT PLN (Persero) P3B yang merupakan unit pusat laba (profit center)
berubah menjadi unit pusat investasi (investment center) dengan nama Penyaluran
fungsinya sangat penting, untuk itu PT. PLN (Persero) P3B harus memiliki visi
dan misi, tinjauan organisasi, dan ruang lingkup usaha untuk dapat memberikan
layanan yang sebaik mungkin, adapun isi dari visi dan misi itu adalah :
49
4.1.2.1 V'isi
listrik dengan kualitas pelayanan setara kelas dunia, yang mampu memenuhi
kesejahteraan masyarakat.
4.l.2.2 Misi
1. Melakukan usaha transmisi tenaga listrik yang efisien, andal, an1an dan
ramah lingkungan;
kredibel;
Struktur organisasi terdiri dari dua kata, yaitu kata s.truktur yang berarti
kata susunan atau bentuk, sedangkan organisasi adalah sekumpulan orang yang
50
beke1ja secara bersama untuk mencapai suatu tujuan. Jadi struktur organisasi yaitu
susunan atau bentuk yang terdiri dari sekumpulan orang yang masing-masing
mempunyai tugas dan tanggung jawab berbeda se1ia sating bekerja secara
unit kegiatan kantor besar, terdiri dari region-region yang masing-masing region
didukung pula oleh UPT (Unit Pelayanan Transmisi), UJT (Unit Jasa Teknik) dan
Peranan dan tugas staf-staf yang terkait secara langsung dan bertanggung
jaringan LAN dan WAN baik itu internet, extranet dan internet di PT. PLN
1. Sistem Analyst.
akan datang.
program.
dating
berikut:
53
melewatinya
firewall yang digunakan adalah Iptables yang sudah terdapat satn paket dalam
Jaringan Komputer
probing dan scanning port melalui webtools yang disediakan oleh sitns-sitns yang
2. Kemudian klik online internet secudty test atau klik shields up.
3. Langkah selanjutnya akan ada dua pilihan proses, klik command button
Pl"*"' ta.~ Jud mnn1u" '" lad .-.,u Nno:!<lr u;..-..-ili pOlnb<
Y~m uu <>fh ........... ,_.,,.K; YUl'>b~ .... """"'"" '"""'' "'" .... ,,,,,.,....,not..UKO "'"''''"'""'-
.,,,..,u.., <O nd qU "'""n<MI"'"" <tf
P<l<M! .. 101< I<>"'<<> lnh"'.~"'""-'" \.>yow
'""'"''""' 5hlol4UU t.- .. ...!;p1<>ko ""' .. ..,,, . . ....,.,._,., .._,..,.,, , . . , .. ,.,, ""'"' "'"' ,...,1> ... o "'""'
rir..:~~:.:::.::~:.~:::~...l=.1"~-:.-:.: :.~: ::::<>..w ::. .~::::.':'.. -:!!.~'- t!:':'..:,":!'i: .:;~.~:..~ ...:~ ..~ ...
1<0 11<eo><.....,no1< "'"'d r.om , .,,-.,,., <>l<h Hovi.. wm b
lH"' nr "'>' ''" ny ....... H .. wh . . 0Y0t<
''""'d; "'""d .,,.4 i.yu ""'""'
)f You"''"" P'""n! 11.. ,.,11 p0dm~ "'~"' l.041 >nh<l b"olh '""'"" .. "" houl<I up-.t"'
,._ """'"' ~'""' "''' ,,..,.,>11~"'~'"""' J"''""" u~..~u.7H ...i,,.,. ~u.1.~.u~. ,,.,. " .. ~'"' "'"
............... a ... ,""" - . - ., .... o ........ ,.,,,Ou 1.rtHUOIO!I TTIMJ>T ''"'
, . . . . . .Q . . . . . . . . . . . . . . . . . . . .
TT~>< ... ~""'~"""'""'""~<"~ ..... """"" .......,, .,)yol " ' """~~ '"'""'"'"""" tht >'"" '""'"'""
~ool"o vO."" """''"'"'~""""""''lo\<\ 1>1010 ~ "~' " ........,..d M "'"" "'"""'""- i.. .,~..,.
'"" u IY ~.........
Common Ports.
'" Fin:t time us a rs should start by chocking lhair Wlndowi~ Fiie Sharing aud Common
Ports: vulnarabilitio with tha 'Fila Sharing and comm.on Ports buttons bn!ow.
.
F" For oriontatlon and lnfonnatian about tho Port Authority :i;ys:tem, click tho Homo or
Holp Icons ln the titlltbar , , ,
/,~f~'~;~)~~~'.f\,:iiilil:iltlilliltill/1!ilm
. :: lr\f9JtTHl,tic)ri ::about;.\,'\'lp<to\'.i.!.(f,.1,1
. ::::::;;~n~;:.~r,it~_r;i;.~~.~8/:~:~in.~;~~1
The followlnQ pages provide addltlonal
background, Insight, end esststance:
56
Telnet
Thetel.sNaevlbENCi!WHATSOEVER'thatiil
p_ort-(or even-any compUter) exlstscifthls'IP
SMTP address!
HTTP
"l"H1t~;it~i:ilWil)~NcriVl~~l8e\JE~::h~t
pe>}t_ _(_~{\~~--~tj;;_a,hy'.CoiliP_Uter):'exlstS'-iit
1
a_9~r~-~-J-::'.;_'x'i'-ilttff}~:;::1<:~}:::_;ji;:{:}if:;]i:;::,{;'.;;:k'. :;:;,t:
NNTP
58
J,hi'.e"is~c}'~YJ\lE~~.~.~Hf,tsp~Y,.eR,fh~t~i.t,
,:. port> (or--eV'eil'Bl1y't:dmp uter) 'exists_. at;l:h\silP.:>>
Host a'dCfreSS!"'"'' >>''"\ ,-,,_-,,c;_.' - '" -__ "- ' - - ', ,", "'-"'/':''
Host
Th~re Is. NO ~VIl)ENCEWHATSOEVEithat~.;.
port.;'(br eyetrany cdrnputer) exlsts:at;,th_IS'~RL{-f: 1\
Host add.' re:s._-_SJ-./.'. 'S5 '..h-g.;: ' ~:;>y,_:- - 'VY>:;)V'~
_-,_ -------""<<
to3o
There.ls.NO EYIDENCE WHA'(SOEl,/ERth~t~': .
part _(or eve_rJ a_ny computer) exlsts?_t th\s _ I~;1 -_':-,
addre~sl - "
You may click on the Text Summary button to receive a condensed textual
report of the Common Ports Probe findings displayed above.
You may also click on any port number link above to jump to detailed
information about that port contained in our Port Authority database.
For help and information about the meaning and importance of "Open",
"Closed" and "Stealth" port statuses, please see our Internet port Status
Definitions
Dari basil yang didapat tidak ada satnpun port dari port yang didefinisikan
diatas yaitu port 21, 23, 25, 79,80 yang berindikator closed ataupun open. Semua
port memiliki nilai Stealth, yang berarti jaringan dalam keadaan aman dari
symantec.com
rnerniliki perbedaan konfigurasi rnaupun basil dengan tes sebelurnnya. Hal ini
dirnaksudkan agar ada perbedaan pada basil analisa. Perbedaan yang dilakukan
adalah dengan rnernbuka port 22 (ssh), sehingga basil yang terlibat adalab babwa
sistem kearnanan jaringan rentan akan babaya penyerangan oleb para cracker.
Dan perlu ada antisipasi dari pibak administrator sistern kearnanan jaringan
3. Ada dua basil yang didapat, yaitu basil scanning port dan basil check
r/6- _$.;i~;~~::;'.i=;
,__ ....;.. .._,. ..~.~~~;:;;:;;';),'.:;;,~... ->Wl
_~_...._"~~~. '..:.~
.Qst.U.
=-~ ~~.: .m""-' .
!t~'l'c~~~~~::~-:.:;::::i ..
...... ~~~"-
................_._,,,,..........
~:::.r.':'::
...,,.,..,.., wo T,.j>" ho"'"
y ............. .
'"~--
60
~:;.~.:~~!:::.!:s.;."" '"""' '""' -~-- ~.., .~ ........,,,,-,,,.,,, ~. ~-~m """"'"""~' ... .n,
------_,..,.. , - \1'_.:_ - '.
~g"!.' E~::.:~::.:r,::::.::~:~~5;:~~~:;::=:::::_:-_:::L:::::?~-:::~~--:~~ --
.'.'_!?<>d ti~-~.:i::~:.f!':': !'~.::z..;:1~:::~=:~==::.:.~:::~:::
!'?.... f~~~~2:*R~~~s:t:~~:~f::r~3E~~~~~tfrJ"J;~'F.!.:.;.\::E:'::.t1~1:~.!Z~:l:i'
~-~~:1r-~~;,,:~~z-~:~~~~~.~~::.~~::-"::~!~.::::_:_~~:::~~'.:~::_=:'!_'~::.: .i:m
.:.......F.F1~~..,,7.'.:!~~~'.:~~:;7:.:: ~;:*.!~_!";<'::~~::.:=.:~~E:.::.:::::~!'~.:..:::.~1
..
.........
-- ;-..":::..~~_,_".:';'::;:.:E:-?O:! ~~~..~=;:;~:.~-~~:.~~".::~~tt!=~:-3'.::";.:~==-J.~!!
~t:..f.!:'!';~7"'.:..:~::;;.;:.~:.:. ':O:w.;."~~:. .::;:: -:.:.~!:."::~~:::..:.-.!:: .~.. .,::,h
... ::~.':':=: ~.:.=:7.';;'"'::.""~?:-.".:.'!i'i:!!.'!~:~.o:1:::..............';"..." ....... __ .:i':.,l!
I~r,.~:;,',!,":';;;;:=-.~.t:":';.:",.";h'.:':.":'l~ '!",."tn'!~~:;~:~~~~""::;~,!',;;;,~~~!:l,
1unr
Ci
!ln!IJJ
H> 11np-n11u~. P'"'"'"! P"'"" '*""" >fTT~ um"'""'"""" II ~ouff ~. _@
--~~:.:.::::.~~~:!-~:=.:.._------------"""'
61
------- ----------------------------1'.Jff!!.!!.
...
<>
""
_::_':_:__::::___, ____ ,_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _._~\.!1
........... ---... ----!'.!~.l.!.
:.::::__::::::__________________,,..,.k
""
"~~ --.~-~:::...::.:::-:~'.'.:::'::. ... ______ ---_:_.--------------',.:.:.,~
------~=:::~ . :.'...-:-.:.'...~-~'.:'~.---- ---------------- ---~l=t!!.
..,
.;_~~:-~------------------------~lli
""'
,..,.,~
----~
.."""",,.
...'
.::::......-::::.::::~...:. __ .. __ ,_______________ ,___ ,______ ~!l.I!.
----~~~:-~~~----------------------------- -____,.,'?tJ.t
---'--~--~.'_-.:..""_"c'.------- ----
62
...
. ...
.
--- ' ' -- ----
- "'
----------------
~""" .....
--- m
... ------..---- --------------- --------------'"""'mi
---
-------"l!IAllU:i
..........----------------------------- --------------"-'"""!!.!!.
----------------------- -------------~!-.I.tit.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ------------.11.,.. m,
- - - -~~-" - ~...
-
- - - ... - - - - - - - - - - - - - - - ------~:!l.W!tllll 0
------------!li-.111!
------------------------------......;J!h;!l.11!1
...:.::=::::_, ____________________________u=:Lb
:::~:::._
. . . . . . . . . ev~ olll
-
-
------------------------------------~-.,,,,
---------- _____________uu.1u1
/liiiiWWli't1ru.:ti~i-ll~limr'i'YWW"1lm'.iWiirf~m-~jltjg.w~J\:'"'""""'1!il""''1ll""""'""'"'"''"""""'""lll
AtRi<""'""""""""l>""''"""''!:I~
ol "uoo"'"' """' "'"''"~
63
Dari hasil analisa yang dilakukan oleh Symantec.com baik untuk probing
port maupun penelusuran akan bahaya serangan Trojan horse. Dengan perlakuan
dibt1kanya port 22 (ssh), maka dapat dipastikan terdapat lubang keamanan yang
spoofing, sniffing, maupun melalui DoS Attack, serta jenis-jenis serangan lainnya.
veniceflorida.com
tidak seperti proses yang dilakukan oleh webtools sebelumnya. Apabila ingin
melakukan proses analisa yang hams dilakukan hanyalah masuk kedalan1 situs
probing port.
Hasil analisa yang dihasilkan cukup baik, sama dengan hasil probing yang
dilakukan oleh situs grc.com, dan dengan kondisi konfigurasi Iptables yang sama.
Port Service
23 Telnet
Therel~iNp11~~foE'N<: E'
79 Finger any 1
1 . . ,,
.'l"J l:!Ail?R,t;lit\~.~~11,<i.~,a,,k8PltiJ9~X~~~g~e~3
cbmp~~g.~)''exrsts atthisIP'rw'>i'4li''
address!
65
so-P_iea:#:e_:bf7-,:~:~--~~,--~():::~,-~-;~;-:,~~-~-~~~tl'to'.::*;i;"~~,~
knq:N---w,"~e_n ;t_his :-_rl-~v,t1:;~()ITlP.1_:~~~-1_y.'.fieE? ~: p9~:::~8~-
If all of the tested ports were shown to have stealth status, then for all intents
and purposes your computer doesn't exist to scanners on th? Internet!
It means that either your computer Is turned off or disconnected from the Net
(which seems unlikely since you must be using it right now!) or an effective stealth
firewall is blocking all unauthorized external contact with your computer. This
means that it is completely opaque to random scans and direct assault. Even If
this machine had previously been scanned and logged by a would-be Intruder, a
methodical return to this IP address will lead any attacker to believe that your
machine Is turned off, disconnected, or no longer exists. You couldn't ask for
anything better.
There's one additional benefit: scanners are actually hurt by probing this machine!
You may have noticed how slowly the probing proceeded. This was caused by your
firewall! It was required, since your firewall Is discarding the connection-attempt
messages sent to your ports. A non-firewalled PC responds Immediately that a
connection is either refused or accepted, telling a scanner that it's found a live one
... and allowing it to geton with its scanning. But your firewall is- acting like a
black hole for TCP /IP packets! This means that It's necessary for a scanner to
sit around and wait for the maximum round-trip time possible - across the
entire Net, Into your machine, and back again - before It can safely conclude that
there's no computer at the other end. That's very cool.
FALSE STEALTH REPOR1s
A "Stealth" port is one from which no reply is received (neither acceptance nor
refusal) in response to a connection initiation request. This ShieldsUP web site
sends a series of four connection requests, waiting for any reply after each one.
If no reply is received to any of them, the port Is declared to be "Ste'alth 11 and
for all Intents and purpo?es that's exactly what it Is. But Internet 11 ;packets11 are
continually being lost In route to their destination: When Internet 11routers 11 are
overloaded with traffic they have no recourse other than to simply drop packets
completely, hoping that they will be resent when the destination falls to
acknowledge their receipt. This, of course, is why we tty four time!> to get thrOugh.
If you suspect that this may have happened during th" assembly of the report
above, simply refresh yqur browser1s page to re-run the tests. If the results differ
you can presume that congestion or a weak connection were the temporary cause.
NOTE: If your system did NOT show up as Stealth! but you wish that it could,
you;ll need to use one of the Inexpensive (or FREE In the case of Zone'Alarm 2!)
personal firewalls I've discovered. I will also be creating my _own firewall which you
can monitor and be informed of, by adding yourself to my eMalling System. But
In the meantime I'd advise you not to wait! (Especially since ZoneAlarm 2 Is
completely FREE for Individual use!)
66
"Closed" is the best you can hope for without a stealth firewall in
place.
You should stay current with updates from your operating system
vendor since new "exploits" are being continually discovered and
they are first applied upon known-to-exist machines., , like this
one!
If one or more of your ports are shown as OPEN! then one of the
following two situations must be true:
sistem keamanan jaringan dalam keadaan sangat baik, dan kecil kemungkinan
untuk disusupi oleh cracker. Hal ini dapat dibuktikan dengan kondisi port dalam
webtools diatas, menunjukan bahwa sistem jaringan berada dalam keadaan aman,
karena port-po1i yang dapat menjadi lubang keamanan berada pada kondisi
keamanan pada port 22 (ssh), tapi konfigurasi sistem keamanan jaringan memang
pembelajaran dan perbandingan dalam proses analisa. Tapi secara umum sistem
Diantaranya adalah:
68
Program aplikasi lni dibnat oleh LOpht heavy industries, Inc. program
ap likasi ini dapat menscan segmen-segmen dari Network Inte1jace Card. Program
aplikasi ini didesain bekerja secara dna arah yang akan memeriksa, dan
mengidentifikasi mesin apa yang berada pada snatu segmen jaringan. Program ini
dilengkapi juga dengan alarm sebagai pengingat apabila terjadi hal-hal yang
aplikasi ini dapat mengirimkan pesan email kepada administrator jaringan apabila
suatu waktu seda!1g berada ditempat lain. Sedangkan kelemahan dari program ini
adalah tidak dapat mendeteksi adanya serangan DoS Attack, serta tidak dapat
lampiran.
Program aplikasi ini dibuat oleh foundstone Inc, ini dapat mendengarkan
mendeteksi koneksi komunikasi data pada port-port TC:P/IP dan UDP dan
berikut ini adalah gambar tampilan program aplikasi attacker. Program aplikasi ini
bentuk antisipasi daripada serangan yang dilaknkan oleh pihak-pihak yang tidak
bet1anggung jawab.
BABV
5.1 Kesimpulan
l. Jen is Firewall yang digunkan oleh PT. PLN (Persero) Penyaluran dan
rnacarn serangan dan ancarnan yang datang dari pihak-pihak yang tidak
bertanggung jawab.
dan program aplikasi anti virus yang handal sepe1ii Norton, agar
lubang keamanan.
5.2 Saran
Saran yang diusulkan kepada pihak perusahaan dan pihak yang merniliki
kepentingan yang sarna dalam ha! sistem kearnanan jaringan !computer, yaitu:
71
sebagai pendeteksi dan Norton sebagai anti virus, sehingga sulit bagi
bennanfaat bagi semua pihak, terutama bagi PT. PLN (Persero) Penyaluran dan
Anonim,http://iptables-tutorial.frozentux.net/iptables-tutorial.html#RCFJREWALL
Anonim, http://iptables-tutorial.frozentux.net/iptables-tutorial.html#RCFLUSH-
21.27 WIB.
Anonim, http://www.netfilter.org/unreliable-guides/NAT-HOWTO/index.html,
Purbo, Onno W., & Wiharjito, Tony, Keamanan Jaringan Internet, Elex Media
Lapisan Protokol
DNS (Domain Name Data base nama domain mesin dan nomer
Server) IP
7 Aplikasi
I Transfer Protocol)
'
\ MIME (Multipurpose Protokol untuk mengirim file binary dalam
' Internet Mail bentuk teks
I Extention)
r - --- -- ---------------------------------- -
,I TCP (Transmission - Protokol pertukaran data beroriantasi
I I Control Protocol) (connection oriented)
4 ITransport Transport ,- ------ -- .. I
~----
Fisik
1
!
76
Group
IEEE802.1 Standarisasi interface lapisan atas HILi (High Level Interface) dan Data Link
termasuk MAC (Medium Access Control) dan LLC (Logical Link Control).
IEEE802.3 Standarisasi lapisan MAC untuk CSMA/CD (10Base5, 10Base2, lOBaseT, dlL)
A
" Standarisasi lapisan MAC untuk Yoken Bus.
-------------
[1~~~802 7 , Grup pendukung BTAG (Broadband Technical Advisory Group) pada LAN.
I l
--------
IEEE802.8 Grup pendukung FOTAG (Fiber Optic Technical Advisory Group.)
-- --
I Q
Standarisasi ISDN (Integrated Services Digital Network) dan JS (Integrated
Services ) LAN.
The port numbers are divided into three rang,~s: the Well Known
Ports,the Registered Ports, and the Dynamic and/or Private Ports.
The Dynamic and/or Private Ports are those from 49152 through 65535
Hlf UNASSIGNED PORT NUMBERS SHOULD NOT BE USE:D. THE IANA WILL
ASSIGN THE NUMBER FOR THE PORT AFTER YOUR APPLICATION HAS BEEN
APPROVED U if
The Well Known Ports are assigned by the IANA and on most systems
can
only be used by system (or root) processes or by ;:>rograms executed
by
privileged users.
Ports are used in the TCP [RFC793] to name the ends of logical
connections which carry long term conversations. For the purpose of
provi_ding services to unknown callers, a service ::::ontact port is
defined. This list specifies the port used by thB server process as
its contact port. The contact port is sometimes ::::alled the
"well-known port".
To the extent possible, these same port assignments are used with
the
ODP [Rr'C768].
Port Assignments:
0/tcp Reserved
O/udp Reserved
"" Jon Postel <postel@isi.edu>
tcpmux l/tcp TCP Port Service Multiplexer
78
[ciiain 1----
Co1111nent
the wire (i.e., Internet)
12 I ! in on the interface (i.e., ethO)
13-- ri;:;~;~gi~-- fPREROUTING r:ri;i;~hain ~;orn~li:;;;;;Jrc;;:-mang.. llng packet;
I 1 l i.e., changing TOS and so on.
4--- ... ,11;:;~1---- P,RER:oufiNa - ~~~-~~~~~~::~~f~~~~~~-e;-i~~-~:-~'-:i-,i-ss~~i:-~f~:~ II
if~{i~~less7~,;;;1i~~1100(i:e::;-ei.;;~~e;~1=--1
'T
1 a bl e .ICl~~h~-
.
r-
1
2 i .. ...................... Routing decision. What ;~~~~~-"~dd;~;~ t~-~se, ---- - !
what outgoing interface to use, and other necessmy I
- -- ... information that needs to be gathered. --I
i~.w w;;;;~~igl;.
Ir_. . . . . fmangle
\
I
.. IO'uTru1' ...................... This .. here
j
I
that you do not filter
side effects.
r;at --10UTPUT----- 1r.~:~ ~~:i~ ~~a~l~ i:~s:i~. to NAT outgoing packets 1
pack.et..s, itissug. ges..te.. d.. . . I
111 this chain since it can have I
I
1 1
-~~-i:-/s-ws-~~r;~v-~fllte;:"~~kct;going outfron-,-th_e_/
1s- jfi11e;.- 10-u-1-i>ur____
110
I - i"~~g;;- WSTROiiiiNG -~~~;~i~~~~J;~~:~~I
I
actual routing decisions. This chain will be hit by
. . . . . . . . . ,. . . . . .
lnat
.. . . . . . . . . . . . . . . .l. . . . . . . .,_. _______,. . . . . . . . . .___,.,. ___. .I
POSTROUTING
both packets just traversing the firewall, as well as
packets created by the firewall itself.
This is where we do SNAT as described earlier. It
!
Command I(eterangan
-D
Perintah ini menghapus suatu aturan pada chain. Dilakukan dengan cara
--delete
menyebutkan secara lengkap perintah yang ingin dihapus atau dengan
ditampilkan, walaupun tidak ada aturan sama sekali pada sebuah tabel.
tersebut.
--policy jika ada sebuah paket yang tidak memenuhi aturan pada baris-baris
~:
Perintah ini akan merubah nama suatu chain.
na1ne-chain
88
Match Keterangan
Match Keterangan
22:80.
hilangkan maim ha! itu bisa kita artikan dari port 0, jika
paket dengan port asal no! sampai dengan 80, atau --sport
--cl port
Penggunaan match ini sama dengan match -source-port.
--destination-port
oleh koma dan tidak boleh ada spasi antar entry, kecuali
menggunakan inversi.
--syn
Match ini akan memeriksa apakah flag SYN di-set dan
ACK clan FIN tidak di-set. Perintah ini sama artinya jika
Target Keterangan
-j ACCEPT Ketika paket cocok dengan daftar match dan target ini
--jump ACCEPT diberlakukan, maka paket tidak akan melalui baris-baris
aturan yang lain dalam chain tersebut atau chain yang lain
biasa.
dan server.
tersebut.
destination address.
chain tersebut.
94
prohibited
1u<:s1111m1011 host administratively prohibited
--1--------- ___,,_
11 1Network unreachable for TOS
unreachable for TOS
14 precedence violation
----------- --1-5 - ----rp;.;;;;;;(J;;~;;;;;;;;1~rr1~;;rr;,<:; -
for network
-iR.~cii1;;c\i'~,: 1;~st
1-------------- -1----------
for TOS and network
- - --
!Redirect for TOS and host
- [Echo request -------- -------- - --------.. --------------- --
1--------------1- ----------
9 IR '"''e advertise1nent
; ............ ------ :..... ,.,______ -----
IO solicitation
11 equals 0 during transit
II equals 0 during reassembly
12 header bad (catchall error)
,.._. -,---
--- ---- ------- -----
12 Required options missing
;________ ,_ ------
13 0 i1rnostamo request (obsolete)
14 reply (obsolete)
r--------- ---------------
r 15
'
0
--- -- --------
!Information request (obsolete)
16 0 n fr..m "' '''" reply (obsolete)
95
Gambar rc.firewall.txt
l:.,~",.1
Not-Nork
)
IP: 192.168.0.0/24
Firewall
IFACE: wtlhO
_ ___._ _ _ IP: 194.236.50.155
Intomat
Gambar rc.DMZ.firewall.txt
~MZ
l 1~~';~8 121
(j----
Trusto-d
lntomal p
Notwork
IP: 192.168.0.0124 {Di;;s-\
~~
IFACE: eth1 !FACE: 19oth2
IP: 192.r16_8~._0_.1~-------~IP_:_19~2.'168.1.'I
Firewall
+rFACE: etl10
--~V_IP_:_1_9_4.236.50.'l 52, 194.236.50. '163,
194.236.50.154,
'I 94.236.50.155
Internet
96
Gambar rc.DHCP.firewall.txt
Trusted
lntamal
Network
IP: 192.11lS.D.0/24
IFACE: eth1
IP: 192.168.D.2
Fire\l\lall
IFACE: elhO
IP: unknovm
Internet
Gambar rc.UTIN.firewall.txt
UnTrustGd
1n1.. tt11iil
Noiw.>rk
IP: 192.100.0.0/24
--~--lFACE: oth1
JP: 192.16l3.0.2
Firewall
IFACE: 6ih0
~--"--- IP: 1!14.:t:llll.50.155
Internet
97
~Network~
mangle
PIUl:IlOlJTING ,
. lllllt---.......
Prui.:ROUTINj,.)
Routing
deci1!1ion
!\outing
decision
:tilter
OUTPUT
98
#!/bin/bash
BASEDIR="/root/firewall"
if[-f$BASEDIR/eonfig.txt ]; then
. $BASEDIR/eonfig.txt
fi
fill 111111111111111111111111fill#1111111111111111 II fl fl II II #II fl II 1111111111111111111111111111111111111111111111#1111111111111111111111 II
#
#kernel 1nodules and ip for\varding capability
II
fl
$DEPMOD -a
$MODPROBE ip_tables
$MODPROBE ip_conntrack
$MODPROBE iptable_f!lter
$MODPROBE iptab!e_ nat
$MODPROBE iptable_nrnngle
$MODPROBE ipt_LOG
$MODPROBE ipt_mac
$MODPROBE ipt_MASQUERADE
$MODPROBE ipt_REJECT
$MODPROBE ipt_state
$MODPROBE ip_nat_ftp
$MODPROBE ip_conntrack_ftp
$MODPROBE ip_nat_irc
$MODPROBE ip_conntraek_irc
echo I > /proc/sys/net/ipv4/ip_forward
####ll##llll###llll##ll#####ll##llll#ll##ll#llilllllllllll##llllllllll###lllllllllllill##ll##llllllll#llllll
II
II setup default policy and flush all rnles
#
$!PT -P INPUT DROP
$JPT-P FORWARD DROP
$!PT -P OUTPUT DROP
$!PT -t mangle -F
$!PT -t filter -F
$!PT -t nat -F
$IPT-X
llllllllll#llllll.#ll##llllllllllllilll###llll##ll#llll#llllllllllllllllllllll###llll####llll###llll#####ll#ll##
II
# 111y o\vn chain
#
$!PT -N my_TCP
$!PT-N my_ICMP
$IPT-N my_UDP
# pern1it a!l interprocess con1n1unications *thanks to squid*
$!PT-A my_TCP-p tcp -s $IPLO-d $!PLO -j ACCEPT
# pern1it vvhois and DNS transfer zone
$!PT -A my_TCP -p tep -m multiport --dports 43,53 ci ACCEPT
#send reset for NE\V packets but have SYN and ACK bit set active
$!PT-A my_TCP -p tep --tcp-flags SYN,ACK SYN,ACK -m state--state NEW -j REJECT--
reject-\vith tcp-reset
# block all NEW not SYN packets
$!PT -A my_TCP -p tep ! --syn -m state --state NEW ci DROP
99
if [ -r $BASEDIR/nat.prcrouting ]; then
, $BASEDIR/nat.prerouting
ti
if [ -f $BASEDJR/filter.input ]; then
. $BASEDIR/filter.input
ti
if [ -f $BASEDIR/filter.output ]; then
. $BASEDIR/filter.output
fi
if [ -f $BASEDIR/filtcr.forward ]; then
. $BASEDIR/liltcr.fonvard
fi
if [ -f $BASEDJR/nat.poslrouting ]; then
. $BASEDIR/nat.postrouting
fi
if[ -f$BASEDJR/anti.syn-Oood ]; then
. $BASEDIR/anti.syn-flood
ACCEPT
$1PT-t filter-A FORWARD-p tcp-d 202.162.216.203 --dport 80 ci
ACCEPT
# accept n1ysq! connection to \V\V\V
$1PT -t filter -A FORWARD -p tcp -d 202.162.216.203 --dport 3306 -j
ACCEPT
# accept sn1tp only froin our local s1ntp server
$1PT -t filter -A FOR WARD -p tcp -s $SMTPLOCAL --dport 25 -j ACCEPT
# ichal lagi di pwkerto :P
$1PT -t filter -A FORWARD -p tcp -s 192.168.37.2 --dport 25 -j ACCEPT
#$1PT -t filter -A FORWARD -p tcp -dport 25 -j LOG log-prefix "LOG ER ERIS"
#$!PT -t filter -A FORWARD P tcp --dport 25 -j DROP
# accept ire, ymessenger, and icq only froin our Jan
$1PT -t filter -A FORWARD -p tcp -i $1FLAN --dport 6667:7000 -j ACCEPT
11$1PT -t filter A FORWARD -p tcp -i $IFLAN -m multiport --dports
5050,5190 -j LOG --log-prefix "[lPTABLES ACCEPT]"
$!PT -t filter A FORWARD -p tcp -i $!FLAN -m multiport --dports
5050,5190 ci ACCEPT
#$1PT -t filter -A FORWARD -p tcp -s 192.168.19.254 -m rnultiport
--dports 5000,6900 -j ACCEPT
ii accept https for yahoo
$1PT -t filter -A FORWARD -p tcp --dport 443 ci ACCEPT
# accept yahoo \Veb ca1n
$!PT -t filter -A FORWARD -p tcp --dport 5100 -j ACCEPT
# accept pop3 only fron1 our Ian
$1PT-t filter -A FORWARD -p tcp -i $!FLAN --dport 110 -j ACCEPT
# accept ans,ver/reply packets
$1PT t filter A FORWARD -m state --state ESTABLISHED,RELATED .i
ACCEPT
#$!PT t filter-A FORWARD ci LOG --log-prefix "[lPTABLES DROP.I"
3. File anti.syn-flood
II
#created by: Muhan1ad 'The RainMaker' Faiza!
II WebCenter Technology Inc.
llll##ll##ll####llllll#####il##ll####llll#ll##llllll#ll##llllll#llll###llll/1##11111111#1111111111#1111111111
II
II add-on: Anti Syn-Flood
II
echo "ANTI SYN-FLOOD ... "
$TC qdisc del dev
$!FLAN ingress 2> /dev/null
$TC qdisc add dev
$!FLAN handle ffff: ingress
$TC filter add dev
$!FLAN parent ffff: protocol ip prio 50 handle 1 fw police rate I kbit burst 40 mtu 9k drnp tlowid
:I
$TC qdisc de! dev
$1FINET ingress 2> /elev/null
$TC qdisc add dev
$1F!NET handle ffff: ingress
$TC filter add dcv
$1FlNET parent ffff: protocol ip prio 50 handle 1 fw police rate I kbit burst 40 mtu 9k drnp flowid
:1
101
#
#created by: Muhan1ad 'The RainMakcr' Faizal
# WcbCenter Technology Inc.
#
llll#lllltltltlllll#tltltltltllllllltl#lllllltltl#tlllllfltl#lllllltltlllll#lltllllltllllllltlllll#lltltllftltlll##lltl#llllflllll
ti
II FILTER table OUTPUT chain
#
echo "FILTER OUTPUT RULES ... "
$1PT-t filter-A OUTPUT-p tcp -j my_TCP
$!PT -t filter -A OUTPUT-s $!PLO -j ACCEPT
$!PT -t filter -A OUTPUT -s $!PLAN ci ACCEPT
$!PT -t filter -A OUTPUT -s $I PINET -j ACCEPT
#$IPT-t filter-A OUTPUT ci LOG --log-prefix "[!!'TABLES DROP]"
ti
#created by: Muhan1ad 'The RainMakcr' Faizal
# WebCenter Technology Inc.
#llllllllllllll###llllll#ll#ll###llllllllllllllll#llllllll#llllllll##llllllll#ll#llll#tl#lll#lll###llllllllllll##ll#ll
II
ii NAT table POSTROUTING chain
ii
echo "NAT POSTROUTING RULES ... "
#enable sin1ple ip forwarding and net\vork address translation
$!PT -t nat -A POSTROUTING -o $IFINET -d ! $NETLAN -j SNA T -to-source $!PINET
#
#created by: Muhan1ad 'The RainMaker' Faizal
# WebCenter Technology Inc.
lill##llll#llll#ll#ll#llllllllllllll####llll##ll##ll#llllll/l#ll#il#llllll#ll###llllllll#lll/1111##111111#11111111#
II
ii NAT table !'REROUTING chain
II
echo "NAT PREROUTING RULES ... "
#accept direct hUp request to our servers
$!PT -t nat -A PREROUTING -p tcp -d 202.162.216. I 94 --dport 80 -j ACCEPT
$!PT -t nat -A PREROUTING -p tcp -d 202.162.216.194 --dport 80 -j RETURN
$IPT -t nat -A PREROUTJNG -p tcp -d 202.162.216.196 --dport 80 ci ACCEPT
$!PT -t nat -A PREROUTING -p tcp -d 202.162.216.196 --dport 80 -j RETURN
$IPT-t nat-A PREROUTlNG -p tcp-d 202.162.216.203--dport 80-j ACCEPT
$IPT-t nat -A PREROUTING -p tcp-d 202.162.216.203 --dpo1180 -j RETURN
II redirect all others http and https request to squid
$1PT -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to $1PLAN:3 l28
$!PT -t nat -A PREROUTJNG -p tcp --dport 443 -j DNAT --to
$!PLAN :3128
102
II
fl created by: Muhan1ad 'The Rain!\1aker' Faizal
# WebCenter Technology Ine.
II
##ll####llll#######ll#######ll#ll####ll#llllll##ll##ll#ll#####ll#ll#####ll###ll####ll##ll
II
fl n1andatory prognuns and additional panunctcr
II
ARRESTER ="202.162.216.196"
MAILSERVER="202. l 62.216. l 94"
SMTPLOCAL="J 72.16. J. 17"
DEPMOD='whieh depmod'
JP'f='v,rhich iptables'
MODPROBE='which modprobe'
RMMOD='which rmrnod'
TC='whieh te'
IFlNET=':ethO"
1PINET="202. I 62.216.200"
JNETBROADCAST="202. J 62.2 J6.207"
IFLAN= 11 ethl 11
1PLAN="l 72.16. l .14"
NETLAN=" 172.16.0.0/255.255.0.0"
Anti Virus
drive apakah terkena virus atau tidak. Program ini sekaligus rnenghilangkan virus
tersebut
Application Layers
Standar huruf dan tanda baca untuk komputer. ASCII merupakan kode
alpha numerik
Authentication
Bit
perbedaan antara ya dan tidak, atas dan bawah, on dan off, satu dan no!. Komputer
harus menampilkan infom1asi dalam bit karena sirkuit ele:ktronik yang dibuat
Broadcast
Byte
Cache
Certificate
Data yang diperlukan browser untuk mengacak dn.ya yang akan dildrim
melalui SSL.
Client
server.
!08
Communications
Transfer data antara dua computer oleh suatu device sepe1ti modem
atau kabel
Congestion
Connection
Connectionless
Cracker
dimasuki.
109
Database
data. Database minimal terdiri dari satu file yang cukup untuk dimanipulasi oleh
kine1ja sebuah web site dengan terns menerus mengulang request lee server dari
banyak sumber secara simultan. Serangan seperti ini bertujuan membuat server
korban jadi kewalahan melayani request yang terkirim clan berakhir dengan
service).
Internet.
Encryption
paling efektip untuk memperoleh pengamanan data. Untuk membaca file yang di-
enkrip, ldta harus mempunyai akses terhadap kata sandi yang memungldnkan kita
men-dekrip pesan tersebut. Data yang tidak di-enkrip disebut plain text, sedangkan
Ethernet
Exploit
firewall
Hacker
1. Mundane Person
2. Lamer
minim, tapi sudah mencoba belajar. Seseorang pada tingkatan ini sudah
bisa mengirimkan trojan (yang dibuat orang lain) Ice atau pada !computer
orang lain ketika .melakukan obrolan pada IRC atau ICQ dan menghapus
3. Wannabe
tindakan hack itu lebih dari sekedar menerobos masuk ke !computer orang
112
lain. la lebih menganggap ha! tersebut sebagai sebuah filsafat atau way of
life. Akhimya ia jadi ingin tahu lebih banyak lagi. Ia mulai mencari,
sumber.
4. Larva
ke sistem orang lain hanya untuk mencoba apa yang sudah ia pelajari.
5. Hacker
Sebenamya sulit untuk mengatakan tingkatan akhir atau final dari hacker
telah tercapai, karena selalu saja ada sesuatu yang barn untuk dipelajari
ce1mat mernpakan dasar-dasar yang sama bagi seorang hacker) dan ha!
I. Wizard
113
2. Guru
I. Dark-side Hacker
lstilah ini diperoleh dari film Star Wars-nya George Lucas. Seorang
Dark-side hacker sama seperti Daith Vader (tokoh dalam film Star
Wars) yang tertarik dengan kekuatan kegelapan. Hal ini tidak ada
hubungannya dengan masalah "baik" atau "j ahat" tapi lebih kepada
2. Malicious Hacker
untuk sekedar iseng (tidak merasa bersalah) tanpa memperoleh apa pun
Host
Internet
yang terdiri dari komputer dan layanan servis atau sekitar 30 sampai 50 juta
pemakai komputer dan puluhan sistem informasi ternmsuk e-mail, Gopher, FTP
Intranet
dari suatu instansi atau perusahaan dengan menggunakan jaringan ]computer yang
ada.
penghambat semua niat jahat yang akan mengganggu sebuah jaringan. Bedanya
IDS ini lebih maju selangkah dengan kemampuannya memberi peringatan admin
server saat terjadi sebuah aktivitas tertent11 yang tidak diinginkan admin sebagai
penanggung jawab. Selain memberi peringatan dini, IDS juga memberi beberapa
a lat bantu untuk melacak jenis dan snmber aktivitas terlarang terse but.
115
IP address
komputer Anda sama dengan nomor tclepon Anda sendiri dalam fungsinya.
LAN
Sebuah jaringan yang dibangun pada sebuah lokasi seperti di rumah
komunikasi komputer yang jaraknya dibatasi tidak lebih dad beberapa kilometer
Land Attack
"land". Apabila serangan diarahkan kepada sistem Windows, maka sistem yang
tidak diproteksi akan menjadi hang (dan bisa keluar layar biru). Demikian pula
apabila serangan diarahkan ke sistem UNIX versi lama, maka sistem akan hang.
Jika serangan diarahkan ke sistem Windows NT, maka sistern akan sibuk dengan
penggunaan CPU mencapai I 00% untuk beberapa saat seh:ingga sistem terlihat
seperti macet. Program land menyerang server yang dituju dengan mengirimkan
packet palsu yang seolah-olah berasal dari server yang dituju. Dengan kata lain,
source dan destination dari packet dibuat seakan-akan berasal dari server yang
Modem (MOdulation/DEModulation)
Network
Network Adapter
komputer ke jaringan. Sebuah network adapter bisa bernpa kaitu PCI ataupun
terhubung dengan sebuah komputer secara ekstemal melalui USB atau parallel
poit.
Network Administrator
Ping
suatu paket data kepada host dan menghitung lamanya waktu yang dibutuhkan
Ping Broadcast
disebut juga dcngan smurf. Selurnh komputer (device) yang bcrada di alamat
packet.
Ping-0-Death
packet yang ukurannya besar ke sistem yang dituju. Beberapa sistem UNIX
menjadi hang ketika diserang dengan cara ini. Program ping umum terdapat di
packet dengan ukuran kecil (tertentu) dan tidak memiliki fasilitas untuk mengubah
besarnya packet. Salah satu implementasi program ping yang dapat digunakan
untuk mengubah ukuran packet adalah program ping yang ada di sistem operasi
Windows 95.
Protokol
(Tanenbaum, 1992).
118
Proxy Server
dengan proxy server, dan proxy server tersebut yang akan berkomunikasi dengan
kunci publik dan kunci privat. Kunci publik diberitalrnkan oleh pemilik dan
digunakan oleh semua orang yang ingin mengirimkan pesan terenkripsi kepada
pemilik kunci. Kunci privat dignnakan oleh pemilik kunci untuk membuka pesan
Server
file dan membuat file terse but tersedia untuk diambil jika dibutuhkan.
Signature
Ciri khusus infonnasi pribadi yang digwmkan dalam e-mail atau news group,
biasanya beiisi file atau secara otomatis terkait dengan mail atau post
119
Situs
Subnet Mask
dengan host ID, menunjukkan letak suatu host, apakah berada di jaringan lokal
Pe1iahanan AS. TCP/IP menyediakan jalur transp01tasi data sehingga sejumlah data
ym1g dikirirn oleh suatu server dapat diterima oleh server yang lain. TCP/IP
Trojan Horse
dengan rnenyelipkan (attach file lewat e-mail) sebuah file tertentu yang
mengandung Trojan Horse namun dengan kernasan menarik. Kalan Trojan Horse
berhasil menginfeksi maka bisa dipastikan hacker bisa mendapat akses tak
120
terhingga ke komputer korban. Tiga jenis Trojan Horse yang popular digunakan
Virus
menginfeksi program-program Jain, boot sector, sector partisi, atau dokumen yang
Workstation
Single-user komputer berdaya penuh yang kebanyakan berjalan di
bawah sistem operasi UNIX. Workstation dih1jukan bagi high-end graphics dan
aplikasi desain tambahan . Umum disebut juga sebagai graphics workstation. Saat
jaringan.
\Vorrn