HOMED HOST
(STUDI KASUS : PT PLN(PERSERO) APL MAMPANG)
Skripsi
Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Komputer (S.Kom)
Oleh
ARIEFATI WIRATAMA
NIM: 104091002861
x
PENERAPAN STATEFUL FIREWALL PADA ARSITEKTUR DUAL-
HOMED HOST
(STUDI KASUS : PT PLN(PERSERO) APL MAMPANG)
Skripsi
Oleh
ARIEFATI WIRATAMA
104091002861
xi
PENERAPAN STATEFUL FIREWALL PADA ARSITEKTUR DUAL-
HOMED HOST
(STUDI KASUS : PT PLN(PERSERO) APL MAMPANG)
Skripsi
Sebagai Salah Satu Syarat Untuk Memperoleh Gelar
Sarjana Komputer
Mengetahui,
Ketua Program Studi Teknik Informatika
xii
PENGESAHAN UJIAN
Skripsi yang berjudul ”PENERAPAN STATEFULL FIREWALL PADA
ARSITEKTUR DUAL-HOMED HOST (Studi Kasus : PT. PLN(PERSRO) APL
Mampang)” telah diuji dan dinyatakan lulus dalam sidang munaqosah Fakultas
Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta. Pada
”Hari”, XX Juni 2010. Skripsi ini telah diterima sebagai salah satu syarat untuk
memperoleh gelar sarjana strata satu (S1) program studi Teknik Informatika
xiii
PERNYATAAN
Ariefati Wiratama
NIM. 104091002861
xiv
ABSTRAK
Keamanan jaringan merupakan kebutuhan yang penting bagi personal terlebih lagi
perusahaan. Minimnya fungsi dari personal firewall dan mahalnya sebuah
hardware firewall ini lah yang menjadi kendala dalam penerapan suatu firewall.
IPCop merupakan suatu statefull firewall yang memfilter dari layer transport
sampai layer application. IPCop diterapkan pada arsitektur firewall dual-homed
host yang menggunakan sedikitnya 2NIC pada sebuah PC. IPCop, juga bertindak
sebagai proxy yang transparan sebagai gateway untuk mengakses layanan internet
dan melakukan access-control kepada user. Di dalam penelitian ini pembangunan
sistem terdiri dari beberapa elemen yang mendefinisikan fase, tahapan, langkah,
atau mekanisme proses spesifik. Tahapan dalam pembangunan ini terdiri dari
analisis, desain, simulasi prototipe, pengamatan/monitoring, dan manajemen.
Firewall diuji dengan akses konten internet yang diblokir dan port scanning. Hasil
pengujian menunjukkan bahwa penerapan statefull firewall yang menggunakan
arsitektur dual-homed host pada PT.PLN(PERSERO) APL Mampang dapat
berjalan dengan baik sebagai firewall yang mudah dikonfigurasi untuk
mengamankan jaringan.
xv
KATA PENGANTAR
Segala puji kehadirat Allah SWT yang telah memberikan nikmat iman,
nikmat islam, dan nikmat hidup sehingga penulis dapat menyelesaikan skripsi ini
dengan baik. Shalawat dan salam semoga tetap tercurahkan kepada suri tauladan
skripsi ini, penulis mendapat bimbingan dan bantuan dari berbagai pihak, oleh
karena itu perkenankanlah pada kesempatan ini penulis mengucapkan terima kasih
kepada :
1. DR. Syopiansyah Jaya Putra, M.Sis, selaku Dekan Fakultas Sains dan
Informatika.
3. Arini, MT, M.Eng dan Victor Amrizal, M.Kom, selaku Pembimbing I dan
xvi
dan saran-saran berharga secara bijak dan membantu membimbing penulis
4. Seluruh Dosen Program Studi Teknik Informatika yang tidak dapat penulis
sebutkan satu persatu, terima kasih atas pengajaran dan ilmunya yang
5. Staf karyawan Fakultas Sains dan Teknologi dan Prodi TI, yang telah banyak
6. Manajer PT. PLN PERSERO APL Mampang, beserta seluruh staff yang telah
Akhir kata semoga skripsi ini bermanfaat bagi penulis khususnya dan
hati, penulis menyadari bahwa skripsi ini masih jauh dari kesempurnaan.
Saran dan kritik yang konstruktif dari pembaca sangat penulis harapkan.
Penulis
xvii
LEMBAR PERSEMBAHAN
1. Orang tua tercinta, Ayahanda H. Zainal Fanani dan Ibunda Hj. Yulia
kepada penulis.
Fajar, Edoy, Taufiq terima kasih untuk motivasi, inspirasi dan bantuan
xviii
5. Teman – teman TI UIN Syarif Hidayatullah khususnya TIC angkatan
2004 senang sekali bisa mengenal kalian selama lebih dari 5 tahun ini,
kita.
xix
DAFTAR ISI
Abstrak ..................................................................................................... v
xx
2.1. Definisi Penerapan ............................................................................ 9
xxi
2.6.1. Jenis-jenis Router ................................................................... 35
xxii
4.2.1 Perancangan Topologi Jaringan ............................................. 62
Lampiran 101
xxiii
DAFTAR GAMBAR
Gambar 2.9. Circuit level gateway dilihat pada lapisan OSI .......................... 29
Gambar 4.1 Topologi yang ada dan sedang berjalan di APL PLN Mampang 63
Mampang.......................................................................................................... 64
Gambar 4.3 Hasil dari proses simulasi pada mesin virtual ............................ 68
xxiv
Gambar 4.6 Tampilan konfigurasi network IPCop ......................................... 71
Gambar 4.25. Tampilan service dan server yang dijalankan pada mesin
Firewall ...........................................................................................................
88
Gambar 4.26. Tampilan Routing Table ...........................................................
89
Gambar 4.27. Pengiriman pake ICMP yang diblok ........................................
90
xxv
Gambar 4.28. Content Filtering pada Proxy .................................................
90
Gambar 4.29. Transparansi Layanan Protokol HTTP .....................................
91
Gambar 4.30. NMAP Port Scanning pada interface Green ...........................
92
Gambar 4.31. IDS mencatat serangan yang terjadi .........................................
93
xxvi
DAFTAR TABEL
xxvii
DAFTAR LAMPIRAN
xxviii
BAB I
PENDAHULUAN
cara dan metode yang telah diuji-coba dan digunakan untuk mengamankan
Windows atau software aplikasi pihak ketiga, memiliki efek negatif dalam
xxix
sistem operasi. Selain itu penggunaan firewall yang berupa hardware pun
Sifatnya yang open source dan gratis membuatnya lebih mudah untuk
firewall berbasis linux ini adalah tersedianya antarmuka berbasis web yang
kita dapat mengatur dan mengontrol firewall tersebut dengan mudah tanpa
komputer.
dihadapi yaitu:
xxx
perusahaan dengan menerapkan suatu network firewall berbasis
yang dimiliki.
xxxi
1.4. Tujuan Dan Manfaat Penulisan
yaitu :
1. Bagi Penulis :
berbasis Linux.
2. Bagi Universitas :
xxxii
b. Sebagai bahan evaluasi bagi universitas dalam
mengembangkan keilmuan.
3. Bagi Pengguna :
meliputi :
1. Studi Lapangan.
2. Studi Pustaka
xxxiii
Dalam penulisan skripsi ini penulis menggunakan tahapan sebagai
berikut :
1. Analysis (Analisis)
2. Design (Perancangan)
3. Simulation Prototyping
4. Implementation (Penerapan)
xxxiv
perancangan. Aktivitas yang dilakukan yaitu instalasi dan
5. Monitoring (Pengawasan)
6. Management
atau policy yang perlu dibuat untuk mengatur agar sistem yang
sebagai berikut :
BAB I PENDAHULUAN
xxxv
Bab ini membahas tentang teori-teori mengenai jaringan
BAB V PENUTUP
saran dari apa yang telah diterangkan dan diuraikan pada bab-
bab sebelumnya.
xxxvi
BAB II
LANDASAN TEORI
mempraktikkan.
Dari definisi di atas dapat ditarik kesimpulan mengenai arti penerapan pada
komputer.
dengan media transmisi kabel atau tanpa kabel (wireless). Bila sebuah
xxxvii
melakukan kontrol lainnya, maka komputer – komputer lainnya tersebut
bukan autonomous.
antar sistem, agar seluruh perangkat jaringan menjadi kompatibel satu sama
xxxviii
antar sistem terbuka (sistem yang bebas berkomunikasi dengan sistem lain
(Stallings, 2000:21).
layer ini.
xxxix
b. Layer ke-6 : Presentation. Layer ini bertugas untuk memastikan data
dari host pengirim ke tempat tujuan akhir yang menerima. Layer ini
xl
2.2.3 Topologi
lainnya.
lokal:
xli
Hybrid Jenis topologi yang dibangun dari satu
atau lebih interaksi dari satu atau lebih
jaringan yang berdasar kepada jenis
topolgi jaringan yang berbeda
2.3 Keamanan Jaringan Komputer
a. Authentication
xlii
untuk meningkatkan aspek keamanan ini, seperti digunakannya digital
b. Integrity
keadaan utuh, lengkap, akurat dan asli sesuai dengan pihak pemilik
virus, trojan horse atau perubahan informasi tanpa izin pemilik informasi
harus dihadapi. Contoh serangan yang biasa disebut "man in the middle
c. Non-Repudiation
tidak dapat menyangkal bahwa dia yang telah mengirimkan email tersebut.
mengamankan aspek ini. Akan tetapi hal ini masih harus didukung oleh
d. Authority
xliii
Aspek ini bertujuan untuk menjamin kewenangan yang dialokasikan
hanya untuk individu atau sumber daya yang dipercaya dan sudah sah.
e. Confidentiality
Aspek ini ditujukkan untuk menjaga informasi dari orang asing yang
f. Privacy
pribadi. Sebagai contoh adlah email seseorang tidak boleh dibaca oleh
penyadapan (sniffer) terhadap hal yang bukan menjadi haknya. Salah satu
g. Availability
dibutuhkan. Aspek ini fatal akibatnya apabila berhasil diserang oleh orang
yang tidak bertanggung jawab. Contoh masalah dari aspek ini adalah
xliv
ketika suatu sistem informasi berhasil diserang dan membuat ketiadaan
secara terus menerus yang membuat sumber daya sistem tidak berfungsi
h. Access Control
terhadap hak akses suatu informasi. Hal ini biasanya berhubungan dengan
klasifikasi data (public, private, confidential, top secret) dan user (guest,
card, biometrics).
xlv
adalah efek samping dari serangan.
xlvi
g. Social Engineering Attack. Menggunakan teknik sosial untuk
2.5. Firewall
lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu
pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya (jaringan
terhadap siapa saja yang memiliki akses terhadap jaringan pribadi dari pihak
luar. Saat ini istilah firewall menjadi istilah generik yang merujuk pada
Mengingat saat ini banyak perusahaan yang memiliki akses ke internet dan
aset digital perusahaan tersebut dari serangan para hacker, pelaku spionase,
xlvii
Menurut Purbo (2006;123) Firewall atau IP filtering biasanya
dari keduanya yang berada diantara dua segmen jaringan berbeda, dan
apakah akses traffic dapat diizinkan untuk melewati firewall dan memasuki
Firewall dan Network Firewall. Dibawh ini adalah gambar dan penjelasan
xlviii
a. Personal Firewall
hanya memiliki dua fitur utama, yakni Packet Filter Firewall dan
Stateful Firewall.
b. Network Firewall
xlix
Acceleration Server (ISA Server), CISCO PIX, CISCO ASA,
diteruskan dan mana yang tidak berdasarkan ruleset yang berisi kriteria
2006:311)
tidak diinginkan.
l
b. Berfungsi sebagai platform dari fungsi internet yang tidak aman,
li
Gambar 2.4. Screening Router (Zwicky, 2000:81)
lii
Gambar 2.6. Arsitektur screened Subnet (Zwicky, 200:85)
internet.
liii
Gambar 2.7. Arsitektur Screened Host (Zwicky, 2000:84)
liv
memperkuat system pengendalian Firewall terhapad koneksi ke
a. Packet-Filtering Firewall.
sebuah router atau komputer yang dilengkapi dengan dua buah NIC
lv
Umumnya, hal ini dilakukan dengan mengaktifkan/menonaktifkan
diberlakukan.
lvi
b. Circuit Level Gateway.
ini beroperasi pada level yang lebih tinggi dalam model referensi OSI
Firewall jenis ini, koneksi yang terjadi antara pengguna dan jaringan
lvii
Gambar 2.9. Circuit level gateway dilihat pada lapisan OSI
(sumber: faranudin, 2005:4)
lviii
permintaan tersebut kepada komputer yang membuat permintaan
pertama kali yang terletak dalam jaringan publik yang tidak aman.
d. NAT Firewall.
koneksi yang dilihat oleh Firewall. Tabel ini akan memetakan alamat
lix
keseluruhan jaringan di belakang sebuah alamat IP didasarkan
e. Stateful Firewall.
ini hanya tersedia pada beberapa Firewall kelas atas, semacam Cisco
lx
Gambar 2.11 Stateful Firewall dilihat pada lapisan OSI
(sumber: faranudin, 2005:5)
f. Virtual Firewall
Firewall jenis ini hanya tersedia pada Firewall kelas atas seperti Cisco
PIX 535.
lxi
Proxy merupakan elemen lain (bertindak sebagai perantara)
2002:144)
lxii
sementara sistem proxy dapat memeriksa keseluruhan data aplikasi
tidak.
proxy dapat dibedakan menjadi dua jenis, yaitu ( RFC 2616, 1999:9) :
2.6 Router
paket-paket dari sebuah network ke network yang lainnya (baik LAN ke LAN
atau LAN ke WAN) sehingga host-host yang ada pada sebuah network bisa
lxiii
berkomunikasi dengan host-host yang ada pada network yang
lain.Wahyudin(2004:3)
yang lainnya, dengan adanya router maka sebuah protokol dapat di-sharing
kepada perangkat jaringan lain. Contoh aplikasinya adalah jika kita ingin
router, ciri-ciri router adalah adanya fasilitas DHCP (Dynamic Host Configuration
fasilitas lain dari Router adalah adanya NAT (Network Address Translator) yang
Address lain.
1. Router Aplikasi
Router aplikasi adalah aplikasi yang dapat kita install pada sistem
2. Router Hardware
lxiv
pada prakteknya Router hardware ini digunakan untuk membagi
koneksi internet pada suatu ruang atau wilayah, contoh dari router ini
3. Router PC
Solaris, dst
lxv
2.7 Sistem Operasi Linux
Linux adalah nama yang diberikan kepada sistem operasi komputer bertipe
Unix. Linux merupakan salah satu contoh hasil pengembangan perangkat lunak
bebas dan sumber terbuka utama. Seperti perangkat lunak bebas dan sumber
terbuka lainnya pada umumnya, kode sumber linux dapat dimodifikasi, digunakan
Linux pertama kali ditemukan oleh Linus Torvalds dari Universitas Helsinki
pada tahun 1991 dan berkembang dengan pesat melalui Internet. Linux
mempunyai sifat yang multi user dan multi tasking, yang dapat berjalan di
berbagai platform termasuk prosesor Intel 386 maupun yang lebih tinggi. Sistem
secara baik dengan sistem operasi yang lain, termasuk Apple, Microsoft dan
Novell.
Ada beberapa jenis linux yang sudah dibuat dan masing-masing memiliki
karakteristik yang hampir sama, perbedaan hanya terletak pada beberapa perintah
dasarnya saja, Redhat, Mandrake, Debian dan Suse merupakan bebrapa jenis
windows yaitu menerap sistem pohon (tree). File sistem linux terbagi dalam
lxvi
Gambar 2.13 Struktur direktori Linux
(sumber: www-uxsup.csx.cam.ac.uk/ /verzeichnisse_baum.png)
b. /root
Merupakan direktori untuk user root. Dalam sistem linux user root
User baru dalam hal ini adalah user biasa dimana ruang lingkupnya
root.
c. /boot
d. /etc
tempat sistem berjalan apakah berbasis grafis (run level 5) atau console
(run level 3)
lxvii
e. /bin
f. /sbin
g. /var
Merupakan direktori yang berisi file-file dinamis misalnya dile log dan
sebagainya.
h. /home
i. /dev
dan sebagainya.
j. /tmp
k. /usr
bersangkutan.
lxviii
2.8. IPcop
untuk beroperasi sebagai sebuah Firewall, dan hanya sebagai Firewall. IPCop
(OSS). Sebagai bagian dari OSS, IPCop dikeluarkan dalam lisensi GNU General
Public License (GPL). Dibawah lisensi GPL, pengguna IPCop diberi kebebasan
untuk melihat, mengubah, dan mendistribusikan kembali source code atau kode
sangat mirip dengan IPCop pada saat ini, dan semua kode inisial pada IPCop
adalah kode Smoothwall. Smoothwall memiliki dua lisensi untuk merilis jenis
lebih baik, yang mengakibatkan konflik antara tujuan dari pengembangan yang
gratis dan paket komersial dimana untuk memperbaiki sebuah prduk yang gratis
sudah ada pada pada Smoothwall, dan membuat suatu cabang baru dari software
lxix
2.8.1. Interface Jaringan IPCop
kemudahan administrasi.
lainnya.
dan tidak ada dukungan untuk device lain. Sebuah jaringan lokal adalah
beberapa switch, sebuah bridge layer dua atau bahkan sebuah router.
Green, Blue dan Orange dan host yang terhubung dengan jaringan dari
traffic, users, dan host pada segmen Red. Segmen jaringan Red bersifat ter-
Firewall dengan baik dan tidak akan membuka port dalam jumlah besar
kedalam segmen jaringan internal. Secara default tidak ada port yang
dibuka.
lxx
Orange Network Interface. Interface jaringan Orange merupakan
seperti Internet. Pada segmen ini, server terlindungi dari Internet oleh
Firewall, akan tetapi terpisah dari klien internal yang berada pada zona yang
kedua setelah interface jaringan Red. Host pada segmen jaringan Orange
yang merupakan penambahan yang cukup baru pada IPCop yang terdapat
pada rilis versi 1.4. jaringan ini secara spesifik dikhususkan untuk segmen
wireless yang terpisah. Host pada segmen Blue tidak dapat terhubung ke
Orange.
lain.
lxxi
Dibawah ini adalah ilustrasi topologi IPCop dengan keempat
IPCop memiliki fitur Firewall yang cukup lengkap dan baik, ia juga
dan manajemen fungsi dari IPCop tersebut. Beberapa fitur dari IPCop :
1. IPTABLES-based Firewall
3. Mendukung DMZ
6. DHCP server
lxxii
7. Caching DNS
berbayar.
c. Complete and Stable: Meski sederhana IPCop diakui memiliki fitur dan
banyak aplikasi tambahan (addon), seperti URL Filter, Block Out traffic
(BOT), Who is Online (wio), Advance proxy, cop filter, open VPN dsb.
lxxiii
2.9. Virtual Box
Berdasarkan situs resmi Virtual Box (2009), Virtual Box adalah produk
Software ini memiliki fitur – fitur yang banyak, performa tinggi untuk kalangan
enterprise, dan juga sebagai solusi bagi professional. Software ini tersedia secara
License (GPL). Pada saat proses simulasi, penulis menggunakan bantuan software
ini.
a. Modularity.
Pada penelitian ini penulis menggunakan dua tools untuk melakukan SSH
login kedalam mesin IPCop. Pada awalnya SSH dikembangkan oleh Tatu Yl nen
terhadap remote session tradisional dan file transfer protocol seperti telnet dan
relogin Protokol SSH mendukung otentikasi terhadap remote host, yang dengan
spoofing maupun manipulasi DNS. Selain itu SSH mendukung beberapa protokol
lxxiv
enkripsi secret key untuk membantu memastikan privacy dari keseluruhan
Adelman). Dengan berbagai metode enkripsi yang didukung oleh SSH, Algoritma
yang digunakan dapat diganti secara cepat jika salah satu algoritma yang
connection pada application layer, mencakup interactive logon protocol (ssh dan
sshd) serta fasilitas untuk secure transfer file (scd). Setelah meng-instal SSH,
merupakan paket program yang digunakan sebagai pengganti yang aman untuk
hal, yang kebanyakan berupa penciptaan tunnel antar host. Dua hal penting
lxxv
2.10.2. Tools SSH
a. Putty
b. WinSCP
(Secure Shell) dan kini telah mencapai versi 4.2.6. Tujuan utamanya
adalah untuk mengamankan ketika Kita menyalin file dari komputer lokal
ke komputer remote.
beberapa tindakan lain kepada file dalam sistem Windows, seperti operasi
dasar kepada file, yaitu menyalin dan memindahkan file. Satu dari dua
lxxvi
Lebih lanjut, WinSCP dapat bertindak sebagai remote editor, yaitu
jika kita klik file, misalnya dokumen teks dalam file dalam perintah jarak
atau dari perangkat dan bahkan hadir dengan edisi portabel yang berguna
lxxvii
BAB III
METODE PENELITIAN
yang bertempat APL PLN Mampang. Alasan pemilihan APL PLN Mampang
jaringan komputer yang ada sehingga dibutuhkan sebuah sistem yang mampu
digunakan dalam penelitian ini dibagi menjadi dua bagian, yaitu perangkat
lxxviii
Perangkat keras yang digunakan dalam penelitan ini meliputi dari
c. Perangkat Jaringan dan Alat Pendukung seperti kabel UTP, dan alat-
dibagai menjadi dua bagian, yaitu perangkat lunak untuk server dan
built-in Apache web server, DHCP server, DNS Server, SSH Server,
lxxix
Pengumpulan data merupakan proses pengadaan data primer untuk
penelitian yang dilakukan untuk melihat sistem yang telah berjalan, serta
firewall IPCop.
dilakukan
Penulis melakukan pembangunan sistem yang terdiri dari fase atau tahapan
sebagai berikut :
a. Analysis (Analisis)
lxxx
kebutuhan seluruh komponen sistem tersebut, sehingga sepesifikasi
berjalan, dan memberikan usulan sistem baru yang lebih baik untuk
penelitian.
b. Design (Perancangan)
lxxxi
awal, melainkan hanya menambahkan (extended) skema jaringan yang
telah ada.
sistem nyata dan proses pembangunan prototipe dapat jauh lebih cepat.
d. Implementation (Implementasi)
diterapkan.
lxxxii
e. Monitoring (Pengawasan)
dengan baik dan benar, serta sudah menjawab semua pertanyaan dan
pada lingkungan nyata. Dalam hal ini penulis melakukan pengujian pada
f. Management (Pengelolaan)
lxxxiii
Perencanaan
Skripsi
Metode Pengumpulan
Data
Pembangunan
Sistem
Studi
Identify Studi
Waktu
Penelitian
Studi
Understan Feasibilitas
Analysis Perangkat
Penelitian
Analyze
Report
Perancangan Sistem
Perancangan
Design (IPCop box firewall,
Topologi Implementasi Sistem network interface)
Jaringan firewall IPCop.
Implementati Implementasi
Topologi
Jaringan
Monitoring
Gambar 3.1 Diagram Ilustrasi Metode Penelitian
lxxxiv
BAB IV
Tahap analisis penulis bagi menjadi menjadi empat fase, yaitu : identify
sistem firewall yang akan diterapkan pada tempat penelitian secara keseluruhan,
4.1.1 Identify
browsing di internet pun dapat menjadi ancaman yang cukup serius terhadap
tidak bertanggung jawab untuk mendapatkan hak akses ilegal dan merusak
sistem jaringan komputer kita. Dari observasi dan wawancara yang telah
lxxxv
komponen jaringan tambahan, yaitu firewall sebagai pintu gerbang yang
oleh perusahaan.
menangani masalah keamanan jaringan pada jaringan yang lebih besar. dan
4.1.2 Understand
pemahaman yang baik agar dapat menghasilkan solusi yang tepat untuk
lxxxvi
Setelah melakukan pemahaman terhadap masalah yang ada penulis
4.1.3 Analyze
Interface Card) pada mesin firewall pada sebuah PC, yang berwenang
lxxxvii
(external network). Firewall juga dapat bertindak sebagai sebuah PC
berbeda.
c. Studi Feasibilitas
1. Feasibilitas Ekonomi
firewall yang berbasis open source, kita tidak harus membayar lisensi
sisi ekonomis, hal ini menjadi salah satu faktor penghematan biaya
2. Feasibilitas Teknis
Dari sisi teknis, kinerja sistem yang akan penulis bangun telah
lxxxviii
3. Feasibilitas Legal
pada APL PLN Mampang sebagai studi kasusnya. Oleh karena itu,
4. Alternatif
4.1.4 Report
Proses akhir dari fase analisis adalah pelaporan yang berisi detail atau
sebagai sistem operasi client dan sistem operasi komputer yang berperan
lxxxix
untuk mencoba ketahanan fungsionalitas firewall.
Pada tahap ini dilakuakan perancangan terhadap sistem firewall yang akan
menjadi :
kata lain penulis tidak merubah skema jaringan yang telah ada pada tempat
sehingga tidak terdapat mekanisme filtering terhadap konten dan paket data
xc
Gambar 4.1 Topologi yang ada dan sedang berjalan di APL PLN
Mampang
device Switch (Cisco Catalyst 2950 series) sebagai konsentrator dan berada
firewall menggunakan duah buah IP address pada kedua interfase nya, yaitu
ISP.
xci
Gambar 4.2 Topologi Jaringan yang akan diterapkan di APL PLN
Mampang
sudah ada pada struktur jaringan APL PLN Mampang. Sedangkan untuk
3. Pada mesin firewall penulis mengunakan dua unit NIC yang masing-
xcii
berbeda. Unit NIC-0 adalah interface Eth0 yang terhubung melalui kabel
satu unit NIC yaitu interface Eth0 yang menghubungkannya secara tidak
internal.
pada mesin firewall yang yang telah terpasang sistem operasi IpCop yang
xciii
firewall serta merancang interkoneksi antar komponen/ elemen sistem. Dari
yang diperlukan :
xciv
Zone Internal
Client Eth 0 10.3.56.1 – 10.3.56.20/24 10.3.56.20
10.3.56.254 /24
Tabel 4.2 Daftar alamat IP
Software Fungsi
IPCop 1.4.20 Sistem Operasi Firewall
Virtual Box Version 3.1.2 Edition Program Virtualisasi
Windows XP Professional SP2 Sistem Operasi Client
Windows 7 Ultimate Sistem Operasi Client
Putty Telnet dan SSH client
winscp406 SFTP dan FTP client
Advanced Proxy IPCop add-ons
URL Filter IPCop add-ons
Nmap, command prompt
Aplikasi untuk pengujian firewall
(pinger).
Mozilla Firefox Browser Internet
Tabel 4.3 Tabel Perangkat Lunak dan Tool
Pada tahap ini penulis membangun prototipe dari sistem baru yang akan
komponen sistem.
xcv
b. Memperkecil resiko kegagalan saat proses pembangunan dan implementasi
rancangan sistem pada jaringan yang telah berjalan. Detail rancangan akan
xcvi
digunakan sebagi instruksi atau panduan tahap implementasi agar sistem yang
dibangun dapat relevan dengan sistem yang sudah dirancang. Proses implementasi
terdiri dari pembangunan topologi jaringan, instalasi sistem operasi firewall dan
tujuan agar seluruh komponen dapat bekerjasama dengan baik dan benar.
open source tidak memakan biaya terlalu banyak sehingga menjadi solusi
biaya bagi perusahaan itu sendiri. Topologi yang digunakan dapat dilihat
melakukan instalasi sistem operasi pada mesin yang nantinya akan digunakan
sebagai firewall dan diterapkan kedalam skema jaringan yang sudah ada. Pada
xcvii
dasarnya, proses instalasi dari IPCop firewall sama seperti proses pada instalasi
sistem operasi Linux lainnya. Hal tersebut dikarenakan IPCop merupakan sistem
kernel 2.4.
Pada proses instalasi sistem operasi ini kita akan diberi pilihan-pilihan untuk
menkonfigurasi firewall yang akan kita install. Kita juga akan memberi nama atau
xcviii
Setelah kita memberi nama hostname pada mesin firewall IPCop, proses
instalasi mewajibkan kita untuk memilih konfigurasi jaringan yang akan kita
gunakan pada mesin firewall tersebut, penulis memilih konfigurasi jaringan sesuai
dengan jumlah NIC atau kartu jaringan yang kita gunakan pada mesin firewall ini.
dialokasikan sebagai interface Green untuk segmen jaringan internal (LAN) dan
interface Red yang terhubung dengan modem ADSL sebagai segmen jaringan
eksternal (internet).
Konfigurasi yang dilakukan terhadap dua interface jaringan yang sudah kita
tentukan tadi juga dilakukan dalam proses instalasi ini, sehingga pada saat kita
telah selesai melakukan konfigurasi jaringan, IPCop sudah dapat langsung dapat
xcix
Gambar 4.7 Tampilan konfigurasi Green interface IPCop
CIDR (/24). Penggunaan alamat IP kelas A adalah agar host yang berada
c
Gambar 4.8 Tampilan konfigurasi Red interface IPCop
Green. Kita dapat memilih apakah alamat IP yang digunakan pada interface
Red berupa Static, DHCP, PP0E atau PPTP. Pada penelitian ini penulis
ci
Gambar 4.9 Tampilan konfigurasi DHCP Server
pengisian alamat IP secara manual pada tiap-tiap host yang terhubung pada
jaringan.
mesin firewall, dilanjutkan dengan proses intalasi yang akan meminta kita untuk
membuat password pada account root. Account root ini bertindak sebagai
administrator atau lebih dikenal dengan istilah super user pada Linux, yang dapat
yaitu root pada console firewall). Password ini digunakan untuk mengakses
console atau command line pada mesin firewall untuk melakukan instalasi
cii
Gambar 4.10 Menetukan password untuk account root
meminta untuk membuat password pada user account admin, selanjutnya user
account ini digunakan oleh penulis untuk melakukan administrasi firewall dengan
interface web yang dimiliki opleh IPCop. Dan yang terakhir adalah menentukan
password untuk backup yang akan digunakan untuk mengeksport backup key.
boot loader yang ada pada mesin firewall. IPCop menggunakan boot loader
GRUB untuk memilih pilihan booting. Pada hal ini penulis hanya memiliki satu
buah sistem operasi yaitu IPCop sehingga tidak ada boot loader lain selain milik
IPCop.
ciii
Gambar 4.11 Tampilan Boot Loader
Terdapat empat pilihan konfigurasi kernel yang tersedia dan dapat kita pilih
a. IPCop, konfigurasi kernel ini cocok untuk mesin atau komputer yang
kernel ini adalah yang paling dasar dan dapat berjalan pada sebagian
civ
processor dengan hyperthreading, HT, SMP dan ACPI.
Karena komputer yang penulis gunakan hanya memiliki satu processor pada
motherboard nya, maka pada pilihan booting diatas memilih opsi pertama untuk
tampilan awal IPCop yang berupa text-based kita akan menjumpai menu login,
kita akan login dengan account super user atau root dengan cara kita isikan menu
login dengan root dan kita masukan password dari root tersebut untuk melakukan
melihat apakah semua konfigurasi yang kita lakukan pada interface jaringan saat
proses instalasi sudah sesuai pada masing-masing kartu jaringan. Kita dapat
cv
eth0 Link encap : Ethernet HWaddr 08:00:27:9A:F5:FE
inet addr : 10.3.56.20 Bcast:10.3.56.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7058 errors:0 dropped:0 overruns:0 frame:0
TX packets:7813 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:585233 (571.5 KB) TX bytes:2007038 (1.9 MB)
Interrupt:10 Base address:0xd020
pada tahapan implementasi sistem operasi, yang sudah dibahas pada sub bab 4.5.2
konfigurasi jaringan tersebut sudah berjalan atau belum. Testing sistem jaringan
ini dilakukan apakah alamat IP yang sudah kita konfigurasi pada tahap 4.5.3
cvi
Kita dapat mengetikan perintah ping pada komputer client untuk melihat
apakah client sudah terkoneksi dengan mesin firewall sebagai gateway pada
jaringan.
C:\>ping 10.3.56.20
Apabila perintah diatas menghasilkan reply yang terdapat pada gambar 4.14
maka konfigurasi alamat IP telah berjalan. Dan kita dapat melakukan akses
remote dari komputer client melalui web-interface yang disediakan oleh IPCop.
langsung alamat eth0 atau interface Green IPCop menggunakan sebuah web
cvii
Gambar 4.15 Tampilan Login ke IPCop Web
Pada Gambar 4.16 merupakan menu home pada web interface IPCop
kita dapat melakukan akses ke dalam console melalui putty. Untuk diakses
melalui interface web dan bekerja sebagai stateful firewall, sebaiknya kita
cviii
melakukan instalasi paket add-ons yang akan kita gunakan pada web interface
nanti.
Add-ons atau paket tambahan yang akan ditambahkan pada penelitian ini
merupakan sebuah add-ons yang berupa proxy dengan basis SQUID, sehingga
interface, akan masuk ke dalam file squid.conf yang terdapat dalam direktori
Untuk meng-copy file adv-proxy dan URL Filter, kita membutuhkan SFTP
dan SCP client pada komputer host untuk berkomunikasi dengan mesin IPCop.
melakukan transfer file. Kita harus melakukan login terlebih dahulu ke mesin
firewall IPCop dengan SSH menggunakan port nomor 222, karena IPCop tidak
memasukkan nama host atau alamat IP dan user name root berikut password
cix
nya. Pada saat session login, komputer kita akan menyimpan rsa2 key yang
transfer files antar host dengan mesin firewall IPCop. Kita dapat langsung
memindahkan file yang kita inginkan dari host ke dalam struktur direktori
IPCop secara drag and drop, dalam hal ini kita akan mengkopi file intalasi
melakukan instalasi Add-Ons kedalam IPCop dan agar kita dapat mengkonfigurasi
cx
Gambar 4.19 RSA2 fingerprint authentication pada PuTTY
dengan menggunakan account root, kita dapat melihat file yang telah kita copy
sebelumnya ke dalam folder /tmp, dan selanjutnya dapat kita lakukan modifikasi
file tersebut.
cxi
Gambar 4.21 File yang telah berhasil di copy
a. Instalasi Adv Proxy
Untuk melakukan konfigurasi sederhana pada add-ons yang telah kita install
ke dalam IPCop, kita dapat melakukannya melalui menu pada interface web, pada
dropdown menu Services akan terdapat tambahan menu baru sesuai add-ons yang
cxii
Pengaturan yang dilakukan pada Advanced Proxy dapat dilakukan dengan
dimana Proxy akan dilakukan untuk memfilter packet data yang melewati
interface Green dan bersifat Transparent menggunakan port 800, sehingga tidak
berdasarkan network terhadap host yang diizinkan dan tidak diizinkan pada
jaringan untuk mengakses internet, kita dapat memasukkan alamat IP nya pada
daftar Unrestricted atau Banned IP Address, begitu juga dengan MAC Address
Untuk pengaturan pada URL Filter kita dapat memilih kategori yang akan
di blok seperti; ads, hacking, drugs, porn dsb. Selain itu kita juga dapat membuat
cxiii
custom blacklist dan whitelist daftar domain ataupun URL yang berbahaya dan
tidak boleh di akses oleh client pada jaringan kita. Penggunaan custom expression
list dapat digunakan untuk memfilter konten yang disisipkan pada alamat URL
cxiv
dibangun atau dikembangkan hanya dapat dilakukan jika sistem sudah dapat
menjamin dan memastikan bahwa system yang dibangun sudah sesuai memenuhi
instalasi sistem operasi IPCop dilakukan, pada tahap monitoring kita akan
melihat apakah DHCP server tersebut sudah bekerja dengan baik dan
Daftar alamat IP yang diberikan oleh DHCP server dapat kita lihat pada web
dan waktu expires dari IP yang diberikan oleh DHCP server kepada host
cxv
Gambar 4.24. Tampilan IP yang tersebar melalui DHCP server
Pada web interface IPCop terdapat menu Status, yang dapat kita
beberapa item.
Gambar 4.25. Tampilan service dan server yang dijalankan pada mesin
Firewall
cxvi
berbeda, dalam hal ini penulis melakukan pengupdatean routing table
terhadap firewall IPCop yang sudah diterapkan dan berjalan pada struktur
jaringan pada tempat penelitian, yaitu APL PLN Mampang. Pengujian dilakukan
untuk melihat sejauh mana tingkat keamanan dari firewall IPCop tersebut.
PING dapat dilakukan oleh client untuk melakukan test koneksi terhadap
firewall. Akan tetapi pada menu Firewall Options didalam interface web
IPCop dapat men-disable ping response pada tiap interface, sehingga kita
tidak mendapatkan reply dari mesin firewall. Cara ini baik dilakukan
cxvii
Untuk menguji efektifitas dari transparent proxy yang sudah
Hasilnya proxy berhasil memblok akses pengguna. Pengujian ini juga bisa
akan mengujinya dan memastikan bahwa tidak ada parameter proxy apapun
yang disertakan pada aplikasi web browser untuk dapat memanfaatkan akses
web.
cxviii
Gambar 4.29. Transparansi Layanan Protokol HTTP
dibuka pada firewall, baik pada interface Green (eth0) dengan alamat IP
ini dapat menghasilkan suatu informasi yang cukup penting bagi seorang
cxix
Gambar 4.30. NMAP Port Scanning pada interface Green
beberapa port yang terbuka, yang dipakai oleh firewall untuk menjalankan
sebelumnya sudah diaktifkan service IDS pada interface Green dan Red.
cxx
Gambar 4.31. IDS mencatat serangan yang terjadi
tujuan:
sebelumnya.
cxxi
c. Mengadaptasi sistem yang sudah dibangun terhadap platform dan
cxxii
BAB V
PENUTUP
5.1 Kesimpulan
jaringan mampu untuk melindungi jaringan komputer yang kita miliki dari
2. tateful firewall dapat berjalan dengan baik pada arsitektur firewall dual-
homed host dengan hardware yang ada dan cukup handal dalam
telah berhasil berjalan dengan baik sebagai perantara bagi client untuk
5.2 Saran
cxxiii
Pada saat penulis melakukan penelitian untuk menerapkan firewall
yang berharga mahal. Perangkat seperti itu tidak efisien dan flexible dalam
pada hardware nya agar lebih kuat untuk digunakan. Untuk lebih
berikut :
maupun internal.
mengamankan jaringan.
3. Dari sisi software, pengupdate-an dari rilis terbaru harus dilakukan secara
cxxiv
5. Dari segi arsitektur firewall yang digunakan dapat di-upgrade dalam
sehingga semua zona interface pada IPCop dapat digunakan dengan baik
cxxv
DAFTAR PUSTAKA
http://www.cisco.com/univercd/cc/td/doc/cisintwk/itc_doc/introwan.htm,
California, 1996.
http://www.insecure.org/nmap/nmap-fingerprint-article.txt, diakses
York, 2001.
cxxvi
Nazir, Moh, Metode Penelitian, Ghalia Indonesia, Jakarta, 2003
Oetomo, Budi Sutedjo Dharma dkk, Konsep dan Aplikasi Pemrograman Client
Purbo, Onno W. Buku Pegangan Pengguna ADSL dan Speedy, Elex Media
Strebe, Matthew dan Charles Perkins, Firewall 24 Seven, Second Edition, SYBEX
cxxvii
Zwicky, Elizabeth D, Simon Cooper & D. Brent Chapman, Building Internet
cxxviii
LAMPIRAN A
WAWANCARA
Tujuan : Mengetahui kondisi jaringan dan diskusi desain teknologi yang tepat.
Narasumber : Tjahjana
Pertanyaan :
Dapat dilihat bahwa jaringan yang ada sudah berjalan dengan cukup baik,
satu ISP milik anak perusahaan PLN, akan tetapi kurang begitu stabil dan
Saya punya rencana untuk mengganti ISP tersebut dengan milik Telkom,
khusus untuk kantor disni agar akses internet lebih stabil dan tidak
jaringan.
cxxix
3. Apakah dengan kondisi tersebut anda yakin dengan tingkat keamanannya?
Beberapa saat mungkin kita tidak terlalu memikirkan isu keamanan, akan
Rencana untuk membeli suatu device firewall memang sudah ada, akan
sebelumnya?
di sini. Saya rasa teknologi tersebut ada manfaatnya jika diterapkan di sini.
untuk dijadikan sebuah firewall berbasis PC, apalagi kita tidak harus
Tujuan : Mengetahui sejauh mana kemudahan penggunaan sistem yang baru dan
cxxx
Narasumber : Tjahjana
Pertanyaan :
operasi Linux secara keseluruhan, karena dibantu oleh interface web nya
pengaturan hak akses bagi user telah berjalan sesuai dengan yang
dan membatasi user yang dapat terkoneksi ke internet, sehingga jam kerja
3. Apa saja kelemahan yang dirasakan pada sistem yang baru ini?
Yang saya rasakan mungkin untuk pengaturan lebih detail dan spesifik
cxxxi
jaringan, dikarenakan kita juga harus melakukan pembaruan dalam
Narasumber : Toni
Saya rasa penggunaan sistem ini cukup memberikan batasan bagi kami
perusahaan. Selain itu ada beberapa komputer staff yang sama sekali tidak
cxxxii
LAMPIRAN B
Konfigurasi IPTables
#!/bin/sh
#
# $Id: rc.firewall,v 1.7.2.24 2007/11/17 08:12:29 owes Exp $
#
eval $(/usr/local/bin/readhash /var/ipcop/ppp/settings)
eval $(/usr/local/bin/readhash /var/ipcop/ethernet/settings)
if [ -f /var/ipcop/red/iface ]; then
IFACE=`/bin/cat /var/ipcop/red/iface 2> /dev/null |
/usr/bin/tr -d '\012'`
fi
if [ -f /var/ipcop/red/device ]; then
DEVICE=`/bin/cat /var/ipcop/red/device 2> /dev/null |
/usr/bin/tr -d '\012'`
fi
iptables_init() {
# Flush all rules and delete all custom chains
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
/sbin/iptables -X
/sbin/iptables -t nat -X
/sbin/iptables -t mangle -X
# Set up policies
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
# This chain will log, then DROPs packets with certain bad
combinations
# of flags might indicate a port-scan attempt (xmas, null,
etc)
/sbin/iptables -N PSCAN
/sbin/iptables -A PSCAN -p tcp -m limit --limit 10/minute -
j LOG --log-prefix "TCP Scan? "
/sbin/iptables -A PSCAN -p udp -m limit --limit 10/minute -
j LOG --log-prefix "UDP Scan? "
/sbin/iptables -A PSCAN -p icmp -m limit --limit 10/minute -
j LOG --log-prefix "ICMP Scan? "
/sbin/iptables -A PSCAN -f -m limit --limit 10/minute -
j LOG --log-prefix "FRAG Scan? "
/sbin/iptables -A PSCAN -j DROP
cxxxiii
# New tcp packets without SYN set - could well be an obscure
type of port scan
# that's not covered above, may just be a broken windows
machine
/sbin/iptables -N NEWNOTSYN
/sbin/iptables -A NEWNOTSYN -m limit --limit 10/minute -j
LOG --log-prefix "NEW not SYN? "
/sbin/iptables -A NEWNOTSYN -j DROP
iptables_red() {
/sbin/iptables -F REDINPUT
/sbin/iptables -F REDFORWARD
/sbin/iptables -t nat -F REDNAT
cxxxiv
# PPTP over DHCP
if [ "$DEVICE" != "" -a "$TYPE" == "PPTP" -a "$METHOD" ==
"DHCP" ]; then
/sbin/iptables -A REDINPUT -p tcp --source-port 67 --
destination-port 68 -i $DEVICE -j ACCEPT
/sbin/iptables -A REDINPUT -p udp --source-port 67 --
destination-port 68 -i $DEVICE -j ACCEPT
fi
# Orange pinholes
if [ "$ORANGE_DEV" != "" ]; then
# This rule enables a host on ORANGE network to
connect to the outside
# (only if we have a red connection)
if [ "$IFACE" != "" ]; then
/sbin/iptables -A REDFORWARD -i $ORANGE_DEV -p
tcp -o $IFACE -j ACCEPT
/sbin/iptables -A REDFORWARD -i $ORANGE_DEV -p
udp -o $IFACE -j ACCEPT
fi
fi
# Outgoing masquerading
/sbin/iptables -t nat -A REDNAT -o $IFACE -j
MASQUERADE
fi
}
cxxxv
#/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags
SYN,RST,ACK SYN -m limit ! --limit 10/sec -j DROP
cxxxvi
# If a host on orange tries to initiate a connection to
IPCop's red IP and
# the connection gets DNATed back through a port forward to
a server on orange
# we end up with orange -> orange traffic passing through
IPCop
[ "$ORANGE_DEV" != "" ] && /sbin/iptables -A FORWARD -i
$ORANGE_DEV -o $ORANGE_DEV -m state --state NEW -j ACCEPT
# IPsec
/sbin/iptables -N IPSECPHYSICAL
/sbin/iptables -A INPUT -j IPSECPHYSICAL
# OpenSSL
/sbin/iptables -N OPENSSLPHYSICAL
/sbin/iptables -A INPUT -j OPENSSLPHYSICAL
# WIRELESS chains
/sbin/iptables -N WIRELESSINPUT
/sbin/iptables -A INPUT -m state --state NEW -j
WIRELESSINPUT
/sbin/iptables -N WIRELESSFORWARD
/sbin/iptables -A FORWARD -m state --state NEW -j
WIRELESSFORWARD
iptables_red
cxxxvii
/sbin/iptables -A FORWARD -m state --state NEW -j
PORTFWACCESS
cxxxviii
if [ "$PROTOCOL" == "RFC1483" -a "$METHOD" == "DHCP" -a
"$IFACE" != "" ]; then
/sbin/iptables -A INPUT -p tcp --source-port 67 --
destination-port 68 -i $IFACE -j ACCEPT
/sbin/iptables -A INPUT -p udp --source-port 67 --
destination-port 68 -i $IFACE -j ACCEPT
fi
cxxxix
cxl
1
ABSTRAKSI
Keamanan jaringan merupakan kebutuhan yang penting bagi personal terlebih
lagi perusahaan. Minimnya fungsi dari personal firewall dan mahalnya sebuah
hardware firewall ini lah yang menjadi kendala dalam penerapan suatu firewall.
IPCop merupakan suatu statefull firewall yang memfilter dari layer transport
sampai layer application. IPCop diterapkan pada arsitektur firewall dual-homed
host yang menggunakan sedikitnya 2NIC pada sebuah PC. IPCop, juga bertindak
sebagai proxy yang transparan sebagai gateway untuk mengakses layanan
internet dan melakukan access-control kepada user. Di dalam penelitian ini
pembangunan sistem terdiri dari beberapa elemen yang mendefinisikan fase,
tahapan, langkah, atau mekanisme proses spesifik. Tahapan dalam pembangunan
ini terdiri dari analisis, desain, simulasi prototipe, pengamatan/monitoring, dan
manajemen. Firewall diuji dengan akses konten internet yang diblokir dan port
scanning. Hasil pengujian menunjukkan bahwa penerapan statefull firewall yang
menggunakan arsitektur dual-homed host pada PT.PLN(PERSERO) APL
Mampang dapat berjalan dengan baik sebagai firewall yang mudah dikonfigurasi
untuk mengamankan jaringan.
pembatasan terhadap hak akses user yang bersifat transparan (tidak terliihat) dari
terhubung ke internet. untuk meningkatkan pengguna dan menggunakan teknologi
kualitas keamanan jaringan komputer. routing untuk menentukan paket mana
B. Tujuan yang diizinkan dan mana paket yang akan
Tujuan dari penulisan skripsi ini adalah ditolak.
Menerapkan sistem firewall berbasis open C. Stateful Firewall
source yang ekonomis dalam Sateful Firewall merupakan sebuah
mengamankan jaringan dengan Firewall yang menggabungkan
memberikan kemudahan untuk melakukan keunggulan yang ditawarkan oleh packet-
manjemen dan pengaturan access-control filtering Firewall, NAT Firewall, Circuit-
sebagai usaha meningkatkan keamanan Level Firewall dan Proxy Firewall dalam
jaringan pada perusahaan. satu sistem.
C. Batasan Masalah Statefull Firewall dapat melakukan
Fokus penulisan skripsi ini adalah filtering terhadap lalu lintas berdasarkan
Mengimplementasikan sebuah network karakteristik paket, seperti halnya packet-
firewall berbasis open source filtering Firewall, dan juga memiliki
menggunakan distribusi IPCop, adapun pengecekan terhadap sesi koneksi untuk
pengujian terhadap firewall dilakukan meyakinkan bahwa sesi koneksi yang
dengan menggunakan port scanning attack terbentuk tersebut diizinkan.
dan pengujian URL atau text-content. Tidak seperti Proxy Firewall atau
Circuit Level Firewall, Stateful Firewall
II. Landasan Teori pada umumnya didesain agar lebih
A. Pengertian Firewall transparan (seperti halnya packet-filtering
Firewall merupakan perangkat Firewall atau NAT Firewall). Akan tetapi,
jaringan yang dibangun dari software, stateful Firewall juga mencakup beberapa
hardware, atau kombinasi dari keduanya aspek yang dimiliki oleh application level
yang berada diantara dua segmen jaringan Firewall, sebab ia juga melakukan
berbeda, dan bertugas memeriksa traffic inspeksi terhadap data yang datang dari
data yang mengalir melewatinya dengan lapisan aplikasi (application layer) dengan
menggunakan sejumlah kriteria kebijakan menggunakan layanan tertentu.
keamanan untuk menentukan apakah
akses traffic dapat diizinkan untuk
melewati firewall dan memasuki sistem
jaringan atau tidak.
B. Pengertian Network Firewall
Network Firewall didesasin untuk
melindungi jaringan secara keseluruhan
dari berbagai serangan. Umumnya
dijumpai dalam dua bentuk, yakni sebuah
perangakat terdedikasi atau sebagi sebuah
perangkat lunak yang diinstalasikan dalam
sebuah server.
Network Firewall secara umum
memiliki bebrapa fitur utama, yakni apa
Gambar 1 Stateful Firewall dilihat pada
yang dimiliki oleh personal firewall lapisan OSI
(packet filter firewall dan stateful D. Arsitektur Dual-Homed Host
firewall), Circuit Level Gateway, Arsitektur yang menempatkan satu
Application Level Gateway, dan juga NAT mesin untuk berperan sebagai firewall
firewall. Network firewall umumnya yang ditempatkan diantara dua segmen
3
jaringan berbeda. Arsitektur ini disebut yang terdiri dari enam tahapan proses
Multiple-Purpose Boxes (satu mesin spesifik.
dengan banyak fungsi) Fase-fase yang digunakan adalah :
Dalam penerapannya dibangun dari 1. Analisis
dual-homed host yaitu computer yang 2. Desain (Perancangan)
menggunakan sedikitnya dua unit NIC 3. Simulasi Prototipe
untuk menghubungkan dua atau lebih 4. Implementasi
segmen jaringan berbeda. 5. Monitoring
6. Manajemen
Fase-fase tersebut nantinya akan saling
berkelanjutan dan secara terus menerus
digunakan untuk mendapatkan sebuah
struktur jaringan yang tepat guna dan
efisien serta dinamis dalam menghadapi
perubahan-perubahan kebutuhan dalam
struktur jaringan perusahaan.
e. Penggunaan jenis arsitektur firewall bertujuan agar segala macam aktifitas yang
dual-homed host yang menggunakan melewatinya dapat terawasi dan tercatat,
duah buah NIC sebagai pencerminan sehingga kita dapat menetukan policy atau
dua buah interface pada IPCop. pengaturan kebijakan berdasarkan
f. Penerapan dilakukan dengan informasi yang juga tercatat pada IpCop
menggunakan topologi extended- tersebut.
star(hybrid), tanpa mengubah struktur
asli jaringan. Setelah topologi berjalan dengan baik
dan kenektivitas antar komponen jaringan
B. Penerapan Firewall telah terhubung, kita terlebih dahulu
Sebelum dilakukan instalasi dan melakukan instalasi sistem operasi firewall
konfigurasi, terlbih dahulu dilakukan yang digunakan, yaitu IPCop. Penggunaan
desain mengenai topologi estended-star sistem operasi ini didasari pada
yang digunakan. kemudahan dan kemampuannya dalam
menyediakan layanan firewall yang baik
dan cocok untuk diterapkan pada tempat
penelitian.
Konfigurasi yang dilakuakan pada
saat implementasi sistem operasi adalah :
1. Konfigurasi Interface Green :
Konfigurasi dilakukan pada interface
Eth0 yang berfungsi sebagai interface
Green pada IPCop dengan
menggunakan alamat IP yang sudah
berjalan pada tempat penelitian.
2. Konfigurasi Interface Red : Konfigurasi
dilakukan pada interface Eth1 yang
berfungsi sebagai interface Red pada
Gambar 5. Desain topologi IPCop dengan menggunakan alamat IP
yang berbeda dengan interface Green,
Setelah dilakukan perancangan toplogi dan terhubung dengan jaringan
maka penelitian dimulai dengan eksternal dalam hal ini adalah internet.
menerapkan infratruktur jaringan yang 3. Konfigurasi DHCP Server: DHCP
sudah dilakukan penambahan pada server diaktifkan untuk memberikan
topologi awalnya. Firewall yang alamat IP secara dinamis kepada user
diterapkan memiliki dua buah NIC yang terhubung dengan jaringan
(Network Interface Card), NIC yang komputer yang kita miliki. Layanan ini
pertama sebagai Eth0 terkoneksi dengan merupakan fitur standard yang dimiliki
jaringan internal melalui switch, NIC yang oleh IPCop firewall. Sehingga
kedua sebagai Eth1 dan terkoneksi dengan manfaatnya adalah setiap user nantinya
modem ADSL. tidak harus mengisikan alamat IP
Yang memegang peranan penting apabila baru trhubung dengan jaringan.
pada sistem ini tentunya terletak pada
mesin firewall yang yang telah terpasang Konfigurasi yang dilakukan pasca
sistem operasi IpCop yang berfungsi instalasi sistem operasi digunakan dengan
sebagai firewall dan juga router gateway mengakses web interface yang dimiliki
untuk melakukan semua aktifitas yang oleh IPCop. Sebelum melakukan
masuk (inbound) dan aktifitas keluar konfigurasi tersebut, terlebih dahulu kita
(outbound). Penempatan IpCop disini melakukan remote connection melalui
5
SSHAccess dari komputer client untuk Pada konfigurasi URL Filtering kita
melakukan penyalinan file add-ons akan melakukan proses filtering dengan
kedalam mesin firewall. Pada penelitian memblokir nama domain yang tidak boleh
ini penulis menggunakan add-ons diakses oleh client, juga kita dapat
Advance-Proxy dan URL-Filtering. melakukan content filtering terhadap kata-
kata yang dapat digunakan untuk
mengakses website yang dilarang atau
berbahaya.