P. 1
Sistem Keamanan Jaringan

Sistem Keamanan Jaringan

|Views: 63|Likes:
Published by Rangga Hoengkul

More info:

Categories:Types, School Work
Published by: Rangga Hoengkul on May 03, 2013
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

01/07/2014

pdf

text

original

Makalah Praktikum Komunikasi Data

SISTEM KEAMANAN JARINGAN DENGAN FIREWALL

KATA PENGANTAR

Bismillahirrahmanirrahim Segala puji hanya bagi ALLAH SWT Tuhan semesta alam, sang pencipta yang Maha Mendengar dan Maha Mengetahui. Shalawat serta salam semoga selalu tercurahkan kepada Rasulullah SAW, kepada keluarga, para sahabat, dan umatnya. Makalah ini dibuat untuk memenuhi kelulusan Mata Praktikum Computer & Communication dengan judul "Sistem Keamanan Jaringan dengan Firewall”. Penyusun mengucapkan terimakasih kepada rekan-rekan asisten

yang telah membagi ilmunya dengan kami serta pihak-pihak lain yang tidak dapat disebutkan di sini. Apa yang penyusun persembahkan masih jauh dari kesempurnaan, masukan dari pembaca masih terus diharapkan. Dan semoga makalah ini dapat memberi manfaat bagi kemajuan teknologi dan mendapat ridho dari-Nya. Wassalam

Bandung, November 2001

Penyusun

1

Makalah Praktikum Komunikasi Data

SISTEM KEAMANAN JARINGAN DENGAN FIREWALL

DAFTAR ISI
KATA PENGANTAR …………………………………………………………..1 DAFTAR ISI ….…………………………………………………………………..2 ABSTRAKSI ……………………………………………………………………..3 BAB I PENDAHULUAN ………………………………………………..4 Latar Belakang ………………………………………………….4 Maksud dan Tujuan …………………………………………….4 Dasar Teori ………………………………………………………4 BAB II KONSEP FIREWALL …………………………………………..12 Pendekatan Firewall ………………………………………….12 Arsitektur Firewall ……………………………………………..15 BAB III MENGGUNAKAN IPCHAINS SEBAGAI FIREWALL …….18 Pendahuluan …………………………………………………..18 Network Policy …………………………………………………18 Chains dan Rules ……………………………………………..18 IP dan Masking ………………………………………………..21 IPCHAINS ……………………………………………………….21 Port Forwarding ………………………………………………..24 BAB IV PENUTUP ………………………………………………………26

2

Perkembangan Internet dan jaringan internal yang semakin pesat menuntut adanya pengamanan terhadap jaringan internal dari kemungkinan adanya serangan dari jaringan eksternal.Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL ABSTRAKSI Keamanan jaringan menjadi semakin penting dengan semakin banyaknya waktu yang dihabiskan orang untuk berhubungan. Mengganggu keamanan jaringan sering lebih mudah daripada fisik atau lokal. atau antara kumpulan-kumpulan jaringan lainnya. Selain itu IPCHAINS sangat mudah untuk diimplementasikan dan dikonfigurasi ulang sesuai dengan kebutuhan kita. atau software yang menjalankan sistem gateway. atau kombinasi keduanya. IPCHAINS sebagai salah satu Aplikasi dari Firewall dapat dimanfaatkan dalam mengamankan komputer anda. 3 . Firewall dapat berupa hardware dalam bentuk router atau komputer. Salah satu cara yang banyak digunakan adalah dengan menggunakan firewall. dan lebih umum. yang membatasi akses antara sebuah jaringan yang diproteksi dan internet.

memperbolehkan atau menyaring paket yang mencoba masuk ke dalam jaringan kita. Mengganggu keamanan jaringan sering lebih mudah daripada fisik atau lokal. DASAR TEORI Keamanan jaringan menjadi semakin penting dengan semakin banyaknya waktu yang dihabiskan orang untuk berhubungan ke internet. dan lebih umum. Terdapat sejumlah alat yang baik untuk membantu keamanan jaringan. MAKSUD DAN TUJUAN Tujuan dari pengimplementasian Firewall adalah untuk membangun suatu jaringan dengan tingkat keamanan yang sangat tinggi dengan cara untuk membatasi informasi yang dibolehkan masuk dan keluar dari jaringan lokal anda. monitoring layanan. dan semakin banyak disertakan dalam software atau OS. Salah satu cara yang banyak digunakan adalah dengan menggunakan firewall. network scanner. dan firewall. dari mulai paket sniffing. Dengan firewall kita bisa menolak. 4 . keamanan mail. Dengan demikian firewall dapat mengendalikan apa yang diterima dan dikirim dari Internet dan LAN anda. Banyak sekali metode yang dapat digunakan untuk mendeteksi serangan atau penyusupan oleh jaringan eksternal.Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL BAB I PENDAHULUAN LATAR BELAKANG Perkembangan Internet dan jaringan internal yang semakin pesat menuntut adanya pengamanan terhadap jaringan internal dari kemungkinan adanya serangan dari jaringan eksternal.

Sniffer ini mendengarkan port Ethernet untuk hal-hal seperti "Password" dan "Login" dan "su" dalam aliran paket dan kemudian mencatat lalu lintas setelahnya. Pelayanan sistem dan tcp_wrappers Segera setelah anda menaruh sistem anda di sembarang jaringan. Password teks biasa adalah sangat rentan terhadap serangan ini. seperti pop-3 atau imap untuk mail 5 . Hal-hal seperti APOP untuk rekening pop juga dapat mencegah serangan ini. Beberapa pelayanan yang ingin anda biarkan ada adalah: • • • ftp untuk transfer file telnet untuk remote machine mail. mereka dapat membawa laptop atau pc ke suatu gedung dan menyadap ke jaringan anda. penyerang memperoleh password untuk sistem yang bahkan tidak mereka usahakan untuk dibongkar. Pelayanan-pelayanan yang tidak perlu anda tawarkan seharusnya ditiadakan sehingga anda memiliki satu hal yang tidak perlu dikhawatirkan dan penyerang memiliki satu hal kurangnya untuk mencari lubang. Packet Sniffers Salah satu cara umum yang digunakan penyusup untuk memperoleh akses ke banyak sistem di jaringan anda adalah dengan menggunakan sebuah packet sniffer pada host yang telah diganggu. B.Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL A. hal pertama yang harus dilihat adalah pelayanan yang butuh anda tawarkan. penyerang bahkan tidak perlu mengganggu sebuah sistem untuk melakukan hal ini. Dengan menggunakan ssh atau metode password terenkripsi lainnya dapat mencegah serangan ini. Di masa sekarang. Dengan cara ini.

dan adalah titik data lain dalam penelusuran. namun masih memiliki kemampuan untuk menerima surat. identd ada bukan untuk membantu remote site. anda dapat mengenalinya dengan tidak adanya masukan DNS. Tidak ada autentikasi dalam permintaan identd. Tidak ada cara untuk mengetahui jika data yang anda peroleh dari remote identd benar atau tidak.Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL • • identd untuk menagtur layanan time untuk waktu Jika anda adalah pemakai dialup rumahan. Jika identd anda tidak terganggu. Bilamana ada host yang tidak dijinkan terhubung ke jaringan anda. Ia mencatat pelayanan tcp apa yang dijalankan pemakai. maka 6 . sehingga meniadakannya atau memblok seluruh site yang memintanya. Sebagai contoh. kami menyarankan anda menolak seluruhnya. Memverifikasi Informasi DNS Anda Memelihara informasi DNS tentang seluruh host di jaringan anda agar tetap baru dapat membantu meningkatkan keamanan. Banyak pelayanan dapat dikonfigurasi untuk tidak menerima koneksi dari host yang tidak memiliki masukan DNS yang valid. D. Program ini dijalankan karena ia membantu anda. sehingga ini dapat memberi anda ide bahwa anda sedang diserang. Monitoring identd identd adalah program kecil yang umumnya berjalan di inetd. dan kemudian melaporkannya kepada yang meminta. tcpd juga mencatat usaha yang gagal untuk mengakses pelayanan. pemakai dial-up normal dapat mencegah orang luar koneksi ke mesin anda. C. anda harus pasti mengkonfigurasinya untuk menggunakan tcp_wrappers berbasis TCP. dan membuat hubungan jaringan ke Internet.Banyak orang salah mengerti kegunaan identd. Jika anda menambahkan pelayanan baru.

E. memperkirakan siapa yang ada pada saat itu. dan berusaha menentukan pelayanan apa yang sedang berjalan.Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL anda mengerti ia memberi tahu remote site nama pemakai atau uid orang-orang yang menggunakan pelayanan tcp. Berdasarkan informasi ini. identd yang disertakan dalam banyak distribusi lebih mudah dikonfigurasi daripada yang diperkirakan orang. anda harus melihat banyak catatan. Menggunakan software Scanner Jaringan Terdapat sejumlah paket software berbeda yang melakukan penelusuran berdasarkan port dan pelayanan mesin atau jaringan. Anda dapat meniadakan identd untuk pemakai tertentu. Akan merupakan ide yang baik untuk memperoleh SATAN dan memeriksa mesin atau jaringan anda. Software ini berhubungan ke mesin sasaran (atau seluruh mesin sasaran di suatu jaringan) di semua port yang ada. 7 . SATAN dan ISS adalah dua yang paling dikenal. anda bahkan dapat memiliki identd mengembalikan uid daripada nama pemakai atau bahkan NO-USER. atau berat pada mesin atau pada jaringan mesin. Jika admin pada remote site datang kepada anda dan memberitahu pemakai anda berusaha menghack ke site mereka. anda dapat secara mudah mengambil tindakan terhadap pemakai tersebut. dan membenahi masalah-masalah yang ditemukan. SATAN (Security Administrators Tool for Analyzing Networks) adalah sebuah penelusur port dengan antara muka web. anda dapat menemukan mesin yang rentan terhadap eksploitasi tertentu pada server. Jika anda tidak menjalankan identd. menengah. Ia dapat dikonfigurasi untuk melakukan pemeriksaan ringan. dan secara umum membutuhkan waktu yang lebih banyak untuk menelusuri pemakai. anda dapat mencatat seluruh permintaan identd.

ia juga sangat rentan diserang. Serangan-serangan semacam ini meningkat dengan cepat pada tahun-tahun belakangan ini.Ini baru ditemukan bahwa serangkaian kode assembly yang dikirim ke prosesor asli Intel Pentium akan mereboot mesin. Ini mempengaruhi setiap mesin dengan prosesor Pentium (bukan klon. tidak tergantung pada sistem operasi yang dijalankan. Beberapa yang populer dan terbaru ditampilkan di bawah ini. Perhatikan bahwa yang baru selalu muncul setiap saat. Sayangnya. G.Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL ISS (Internet Security Scanner) adalah penelusur berdasarkan port yang lain. atau Pentium Pro atau PII). • Pentium "F00F" Bug . sehingga ini hanya merupakan contoh : • SYN Flooding . Namun demikian.SYN flooding adalah serangan denial of service jaringan. Serangan Denial of Service Serangan denial of service adalah saat ketika penyerang berusaha menggunakan beberapa sumber daya hingga terlalu sibuk untuk menjawab permintaan yang resmi. atau menolak pemakai resmi mengakses mesin anda. Ia mengambil keuntungan dari "loophole" dalam koneksi TCP yang tercipta. qmail dan MTA Salah satu pelayanan penting yang dapat anda sediakan adalah server surat. Pergunakan MTA yang dirancang dengan perhatian pada keamanan yang sangat tinggi. 8 . dan mungkin lebih baik untuk jaringan yang besar. Ia lebih cepat daripada SATAN. selain itu cepat dan stabil serta aman. Amankan Sendmail. karena banyaknya tugas yang harus dilakukan dan dibutuhkannya ijin khusus. SATAN memberikan lebih banyak informasi. F.

dan tidak perlu dikhawatirkan lagi. Variasi serangan ini. • Teardrop / New Tear . Ping flood dapat secara mudah dihentikan di level router atau dengan menggunakan firewall. H. • Ping o' Death . masalah ini secara cepat disebut "Ping o' Death". Ini telah lama diperbaiki. Jika anda diserang ping flood. sehingga tak peduli mesin apa yang dimasuki. Jika mereka melakukan ini dari host dengan bandwidth yang lebih baik daripada milik anda. gunakan alat seperti tcpdump untuk menentukan asal paket (atau tampaknya berasal). Keamanan NFS (Network File System) NFS adalah protokol file sharing yang paling banyak digunakan.Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL • Ping Flooding . . mesin anda tidak akan mampu mengirim sesuatu ke jaringan. memungkinkan mereka membanjiri anda dengan sedikit terdeteksi. mereka akan selalu memiliki file-filenya. Banyak site menggunakan NFS untuk bertugas sebagai direktori home untuk pemakai. 9 . Ia memungkinkan server untuk mengekspor seluruh filesystem ke mesin lain dengan dukungan nfs filesystem pada kernelnya (atau beberapa dukungan client jika mereka bukan mesin Linux). disebut "smurfing" mengirim paket ICMP ke host dengan IP kembalian mesin anda.Serangan Ping o' Death disebabkan lebih besarnya paket ICMP ECHO REQUEST yang datang daripada yang dapat ditangani struktur data kernel . Penyerang mengirim "flood" paket ICMP ke mesin anda.510 byte) ke banyak sistem akan membuat mereka hang atau bahkan crash. kemudian hubungi provider anda dengan informasi ini.Salah satu eksploit terbaru yang melibatkan bug yang ada di kode fragmentasi IP pada platform Linux dan Windows. Oleh karena mengirim sebuah paket "ping" besar (65.Ping flooding adalah serangan denial of service brute force sederhana.

Jika anda harus menggunakan NIS. Terdapat pengganti NIS yang lebih aman. membatasi akses total ke file-file yang diekspor. 10 . Setiap orang dapat menduga nama domain NIS anda (di setiap tempat di Net) dapat memperoleh salinan file passwd. superuser remote dapat login atau su ke rekening mereka dan memiliki akses total ke file-file mereka. adalah mungkin untuk menipu NIS dan melakukan berbagai trik kotor. Ini hanya penghalang kecil bagi seorang penyerang yang memiliki akses untuk melakukan mount filesystem remote anda. Namun demikian. direktori home dan informasi shell. Peta ini kemudian melayani jaringan. NIS tidak seluruhnya aman. Juga. pastikan anda mengekspor ke mesinmesin yang anda butuh untuk ekspor saja. Hal ini memungkinkan pemakai merubah password mereka sekali dan berlaku pula di seluruh mesin dalam domain NIS. pastikan anda paham bahayanya. Anda dapat membuat peta nfsd pemakai root remote ke pemakai nobody. NIS (Network Information Service) (dahulu YP) Network Information Service (dahulu YP) adalah suatu cara mendistribusikan informasi ke sekelompok mesin. I. password.Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL Terdapat sedikit "keamanan" dibolehkan dalam mengekspor filesystem. disebut NIS+. Master NIS menyimpan tabel informasi dan mengkonversinya ke file peta NIS. dan menggunakan Crack dan John the Ripper terhadap password pemakai anda. Ia tidak pernah dimaksudkan demikian. Jangan pernah mengekspor seluruh direktori root anda. Jika harus menggunakan NFS. karena pemakai individu memiliki akses ke file-file mereka (atau paling tidak uid yang sama). Ia dimaksudkan untuk berguna dan sederhana. memungkinkan mesin klien NIS untuk memperoleh login. ekspor hanya direktori yang perlu anda ekspor.

Anda dapat pula mencatat tipe lalu lintas jaringan tertentu. Dengan demikian firewall dapat mengendalikan apa yang diterima dan dikirim dari Internet dan LAN anda. Mesin-mesin Linux dapat menjadi firewall yang baik dan murah. Firewall adalah teknik yang sangat berguna dan penting dalam mengamankan jaringan anda. 11 . Kode firewall dapat dibangun langsung ke dalam kernel .Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL J. Umumnya host firewall terhubung ke Internet dan LAN lokal anda. Penting untuk menyadari bahwa anda tidak boleh pernah berpikir bahwa dengan memiliki firewall. Ada beberapa alat yang memungkinkan anda merubah tipe lalu lintas jaringan yang anda bolehkan secara on the fly. anda tidak perlu mengamankan mesin-mesin di baliknya. Firewall Firewall adalah suatu cara untuk membatasi informasi yang dibolehkan masuk dan keluar dari jaringan lokal anda. Terdapat beberapa tipe dan metode setting firewall. dan akses LAN anda ke Internet hanya melalui firewall.

yaitu : packet filtering. atau kombinasi keduanya. Application proxy. Pendekatan Firewall Ada empat pendekatan yang digunakan dalam membuat firewall. 1. Firewall (dari buku Building Internet Firewalls. Packet Filtering Sistem packet filtering melakukan packet routing antara jaringan internal dengan jaringan eksternal secara selektif. Firewall dapat berupa hardware dalam bentuk router atau komputer. Sistem ini melewatkan atau memblok packet data yang lewat sesuai dengan aturan yang telah ditentukan. oleh Chapman dan Zwicky) didefinisikan sebagai sebuah komponen atau kumpulan komponen yang membatasi akses antara sebuah jaringan yang diproteksi dan internet. atau software yang menjalankan sistem gateway. 12 . proxy server.Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL BAB II KONSEP FIREWALL Perkembangan Internet dan jaringan internal yang semakin pesat menuntut adanya pengamanan terhadap jaringan internal dari kemungkinan adanya serangan dari jaringan eksternal. Dalam artikel ini akan dijelaskan komponen-komponen dasar dan beberapa arsitektur yang banyak digunakan dalam membuat suatu firewall. Salah satu cara yang banyak digunakan adalah dengan menggunakan firewall. atau antara kumpulan-kumpulan jaringan lainnya. Router pada sistem ini disebut screening router. dan SOCKS proxy.

Bila router tidak dapat melakukannya. IP sumber dan IP tujuan dari packet data 2. Packet filtering dengan menggunakan screening router Untuk mengetahui bagaimana cara kerja packet filtering. UDP. Tipe pesan ICMP 2. baik pada dual-homed host yang memiliki sebuah interface ke jaringan internal dan interface lain ke jaringan eksternal. Screening router tidak hanya menentukan apakah router dapat melewatkan suatu packet data atau tidak. ICMP. atau pada bastion host yang memiliki akses ke Internet dan 13 . tetapi juga menerapkan suatu aturan yang akan menentukan apakah packet data tersebut akan dilewatkan atau tidak. kita harus mengetahui perbedaan antara router biasa dengan sebuah screening router. Protokol yang digunakan (TCP. Proxy Server Proxy server adalah aplikasi khusus atau program server yang berjalan pada host firewall.Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL Gambar 1. Pemfilteran ini didasarkan pada : 1. Port sumber dan port tujuan dari data 3. Router biasa hanya melihat alamat IP tujuan dari suatu packet data dan mengarahkannya ke jalur yang terbaik agar packet data tersebut sampai ke tujuannya. packet data akan dikembalikan ke sumbernya. dan sebagainya) 4.

Oleh karena itu proxy sering juga disebut gateway level aplikasi. Masing-masing berhubungan dengan proxy dan proxy yang menangani hubungan antara user dan service di belakang layar. Proxy server dapat membatasi apa yang dapat dilakukan oleh user. Proxy menyediakan koneksi pengganti dan bertindak selaku gateway terhadap service-service tersebut. User dan service tersebut tidak berkomunikasi secara langsung.Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL dapat diakses oleh mesin internal. server tersebut dapat mencatat seluruh pekerjaan yang dilakukan oleh orang yang melakukan pekerjaan baik keluar maupun masuk jaringan. Selain itu Proxy server juga dapat mengenali user 14 . Penggunaan proxy server pada dual-home host Proxy server menghubungkan user pada jaringan internal dengan service pada Internet. Program ini menangani requestrequest untuk service-service Internet dari user dan melewatkannya ke service yang sebenarnya. karena proxy dapat memutuskan apakah suatu request dari user diperbolehkan atau ditolak. Application Proxy Proxy Server yang menghubungkan segala komunikasi ke jaringan luar maka. Gambar 2. 3.

tetapi kedua sistem ini tidak dapat berkomunikasi secara langsung. 1. Gambar 3. Arsitektur Firewall Ada beberapa arsitektur firewall. SOCKS Proxy SOCKS Proxy server seperti metode switching dengan Switch Board. yaitu komputer yang memiliki paling sedikit dua interface jaringan. Untuk mengimplementasikan tipe arsitektur dual-homed host. Arsitektur Dual-Homed Host Arsitektur Dual-home host dibuat disekitar komputer dual-homed host. yaitu : dual-homed host architecture. fungsi routing pada host ini di non-aktifkan. screened host architecture. dan screened subnet architecture. Arsitektur dual-homed host 15 . Pada artikel ini hanya akan dijelaskan beberapa diantaranya. Sistem di dalam firewall dapat berkomunikasi dengan dual-homed host dan sistem di luar firewall dapat berkomunikasi dengan dual-homed host. dimana dengan simple dapat menghubungkan sistem ke luar jaringan secara langsung.Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL yang boleh masuk atau keluar jaringan sehingga sebelum seorang user masuk atau keluar meminta untuk melakukan login 4.

atau dengan membiarkan user melakukan logging secara langsung pada dual-homed host. Pada arsitektur ini. Gambar 4. Arsitektur screened host Bastion host berada dalam jaringan internal. yaitu dengan menambahkan 16 . Bastion host diperlukan untuk tingkat keamanan yang tinggi. Tiap sistem eksternal yang mencoba untuk mengakses sistem internal harus berhubungan dengan host ini terlebih dulu. 3. Arsitektur Screened Host Arsitektur screened host menyediakan service dari sebuah host pada jaringan internal dengan menggunakan router yang terpisah. 2. pengamanan utama dilakukan dengan packet filtering.Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL Dual-homed host dapat menyediakan service hanya dengan menyediakan proxy pada host tersebut. Packet filtering pada screening router dikonfigurasi sehingga hanya bastion host yang dapat melakukan koneksi ke Internet (misalnya mengantarkan mail yang datang) dan hanya tipe-tipe koneksi tertentu yang diperbolehkan. Arsitektur Screened Subnet Arsitektur screened subnet menambahkan sebuah layer pengaman tambahan pada arsitekture screened host.

seorang intruder harus melewati dua buah router tersebut sehingga jaringan internal akan relatif lebih aman. dan router kedua terletak di antara jaringan perimeter dan jaringan eksternal (biasanya Internet). Router pertama terletak di antara jaringan perimeter dan jaringan internal. 17 .Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL sebuah jaringan perimeter yang lebih mengisolasi jaringan internal dari jaringan Internet. Arsitektur screened subnet Jaringan perimeter mengisolasi bastion host sehingga tidak langsung terhubung ke jaringan internal. Gambar 5. yang masing-masing terhubung ke jaringan perimeter. Arsitektur screened subnet yang paling sederhana memiliki dua buah screening router. Untuk menembus jaringan internal dengan tipe arsitektur screened subnet.

Policy accept membutuhkan aturan filtering yang banyak. dan yang lain akan ditolak secara defaultnya. Karena IPCHAINS sangat fleksibel. Chains & Rules Kedua istilah tersebut dalam memahami IPCHAINS. Policy accept. dan tidak memerlukan konfigurasi yang sangat sulit Network Policy Hal pertama yang perlu anda pikir dalam menggunakan firewall adalah policy (aturan) apa yang akan anda gunakan. karena hanya perlu menambahkan service yang ingin dibuka. mudah diubah-ubah. Policy yang lebih baik adalah policy deny. sedangkan policy deny akan menolak apa saja yang tidak disebutkan.Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL BAB IV MENGGUNAKAN IPCHAINS SEBAGAI FIREWALL Pendahuluan Bab ini bertujuan memberikan pengertian dasar pemakaian ipchains sebagai firewall. 1. adalah segala sesuatu yang tidak disebutkan untuk ditolak akan diterima. karena jika tidak tahu akan mendapatkan masalah untuk memahami bagaimana IPCHAINS bekerja. Ketika suatu paket masuk network interface akan melalui input chain. sebaiknya kita mulai dari 3 yang pertama sehingga anda dapat mengerti apa yang dimaksud dengan chain. Chains Ada 4 jenis chain. karena kita harus menyebutkan semua yang service yang ingin anda blokir. jika paket 18 . Dalam hal ini adalah policy Accept (menerima) atau policy Deny (menolak).

19 .Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL meninggalkan network interface akan melalui output chain. • Ketika suatu paket mencoba meninggalkan jaringan kita harus melalui output chain. Untuk menggunakan policy deny akan menggunakan policy: • • DENY REJECT Jika menggunakan policy DENY maka apa yang tidak disebutkan untuk diterima akan diabaikan oleh kernel. dan jika paket mencoba "melompat" dari suatu interface ke interface lain akan melalui forward chain. yang mana didefinisikan oleh user sendiri. • Ketika suatu paket mencoba melompat ke interface lain (bayangkan ip forward) akan melalui forward chain. Ada 3 policy yang mungkin : Untuk menggunakan policy accept dapat menggunakan policy : • ACCEPT. anda harus mendefinisikan policy yang akan anda gunakan. Jadi secara singkat dapat kita katakan : • Ketika suatu paket mencoba mengakses jaringan kita harus melalui input chain. cara ini adalah baik dilakukan terhadap orang yang mencoba melakukan hack terhadap sistem anda. Pada masing-masing chain ini. tanpa memberitahukan ke komputer remote bahwa paket telah diabaikan. Sehingga sangat menghemat resources sistem anda. Chain ke 4 adalah user defined chain.

paket yang diabaikan dan suatu suatu ICMP error akan dibangkitkan oleh kernel dan dikirim ke remote host. Tetapi ada beberapa pengecualian yang akan dijelaskan selanjutnya. Yang mana hanya akan accept. Himpunan kondisi tersebut akan digunakan sebagai perbandingan terhadap paket. Sedangkan Rules mengatur aliran dari paket yang melalui chain tersebut. target didefinisikan sebagai apa yang akan dilakukan terhadap paket tersebut jika merupakan anggota dari himpunan kondisi yang ditentukan. Hal ini tentu saja memakan resources. Saya menyarankan anda sebaiknya menggunakan policy DENY dari pada REJECT. Jika anda mengunakan DENY terhadap paket.Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL Jika anda menggunakan policy REJECT. Tetapi ingat jika anda melakukan koneksi ke SMTP. reject atau deny terhadap paket yang memenuhi kondisi pada rules. Dalam rule dapat juga diterapkan ACCEPT. karena tidak memakan resources sistem yang terlalu besar sebagaimana REJECT. Rules Kita telah membahas tentang chain. Mengapa ? Karena ketika anda melakukan koneksi ke SMTP server. server akan melakukan koneksi ke port auth anda. 2. chain hanya berupa policy. jadi kita dapat memandang rule sebagai suatu himpunan dari kondisi dengan suatu target. sedangkan jika menggunakan rules REJECT. dan waktu. Jika tidak ada rule untuk suatu paket. tambahkan suatu rules REJECT paket pada port 113 (auth). dan chain tersebut tidak melakukan paket filter. SMTP server akan terus menunggu sampai time out. SMTP dapat melanjutkan proses walaupun menerima suatu error. 20 . REJECT and DENY. dalam hal ini policy dari chain tidak akan terpengaruh karena rule ini hanya berlaku untuk paket tersebut. policy dari chain akan diterapkan padanya Saran saya adalah senantiasi mengunakan DENY.

Script dibawah ini berguna untuk suatu firewall yang akan melakukan masquerading bagi seluruh jaringan. Contoh : IP: 193. Perhatikan keterangan yang ada agar dapat lebih memahami cara kerja dari IPCHAINS. dan proses akan dihentikan disana untuk paket tersebut.34.34. bukan dalam bentuk desimal.12.0/0 dapat disamakan sama dengan alamat IP apa saja.00001101.34.12.00001110 Dan sebagian dari byte ini menunjukan network mask dan sisanya adalah host mask.0 sampai 134.12.Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL Hal yang perlu anda ketahui adalah rules pertama yang memenuhi syarat akan digunakan.15 dapat juga ditulis sebagai dalam bentuk binary 11000001. IP and Masking Masking digunakan karena masking dapat benar-benar membantu dalam rules. Rahasia untuk memahami hal ini adalah mengkonversi nomor IP dalam notasi binary.255.0. Sedangkan pengertian masking seperti yang diilustrasikan berikut : Suatu alamat IP dibentuk oleh 4 byte dan satu sama lain dIPisahkan oleh sebuah titik.13.34. dan berapa banyak tidak tetap.12/32 dapat disamakan dengan 134.34. 21 .24. bukan byte tetapi bit (1 byte = 8 bit) yang tetap.0. IPchains Untuk memahami IPchains kita perlu menuliskan script-script yang akan membantu dalam memahami IPCHAINS.00100010. Hal ini berarti bahwa 0.0/24 dapat disamakan dengan IP-IP dari 134. dan 134.12 tetapi 134.12. Masking berguna untuk menentukan jumlah bits.12.

Awal dari script ---# script ipchains oleh Ghost_Rider # digunakan sebagai contoh pada # Practical Guide for using ipchains IPCHAINS = "/sbin/ipchains" # Mereset semua rules yang ada $IPCHAINS -F input $IPCHAINS -F output $IPCHAINS -F forward # Menentukan policy # input akan menggunakan DENY # output dan forward akan menggunakan ACCEPT $IPCHAINS -P input DENY $IPCHAINS -P output ACCEPT $IPCHAINS -P forward ACCEPT # Memperbolehkan traffic lokal $IPCHAINS -A input -i lo -j ACCEPT $IPCHAINS -A input -i eth0 -j ACCEPT # eth0 singkatan dari ethernet card yang pertama # Block semua ip address private yang datang dari ppp0 #(internet) $IPCHAINS -A input -i ppp0 -s 10.0. ---.0.Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL Saya mengganggap firewall tersebut memiliki 2 interface yaitu ppp0 ke internet dan eth0 yang terkoneksi ke LAN.0/8 -j DENY 22 .

tetapi hanya primary dan #secondary DNS server dari ISP kita # misalnya: 194.13.0/16 -j DENY # DiBLOKIR Karena ketiga address tersebut adalah ip yang #hanya digunakan untuk intenal.19 53 -j ACCEPT $IPCHAINS -A input -i ppp0 -p udp -s 194.20. # Jadi tidak mungkin mereka datang dari ppp0 # Nampaknya ada yang mencoba melakukan hacking terhadap #jaringan anda dengan spoofing # Memperbolehkan DNS replies.16.13.0.20.0/12 -j DENY $IPCHAINS -A input -i ppp0 -s 192.Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL $IPCHAINS -A input -i ppp0 -s 172.20 53 -j ACCEPT # Memperbolehkan ssh # kita tidak perlu melakukan allow -i eth0 ke -dport 22 # karena kita telah menerima segalanya dari etho0 # periksa pada bagian ketia kita meneripa loopback dan #paket ethernet $IPCHAINS -A input -i ppp0 --dport 22 -j ACCEPT # Kita akan menolak paket untuk port 113 $IPCHAINS -A input -i ppp0 -p tcp --dport 113 -j REJECT # Memperbolehkan 3 jenis ICMP $IPCHAINS -A input -i ppp0 -p icmp --dport 0 -j ACCEPT $IPCHAINS -A input -i ppp0 -p icmp --dport 3 -j ACCEPT $IPCHAINS -A input -i ppp0 -p icmp --dport 11 -j ACCEPT 23 .20.20.20.13.13.168.13.19 dan 194.20.0.13.20 adalah DNS #server ISP kita $IPCHAINS -A input -i ppp0 -p tcp -s 194. # Yang berarti tidak ada host diinternet yang memiliki ip #ini.19 53 -j ACCEPT $IPCHAINS -A input -i ppp0 -p tcp -s 194.20 53 -j ACCEPT $IPCHAINS -A input -i ppp0 -p udp -s 194.

company.120.45.rival.1.com yang #memiliki ip 202.0/24 -d ! 192.0. karena firewall tidak melakukan route.17 80 dimana : 24 .68.1.12. # Jadi instalasi port forwarding tool (ipmasadm).12.10 80 -R 192.12.0. Port forwarding Port Forwarding berguna untuk mengalihkan permintaan kepada Server yang bertanggung jawab menangani permintaan tersebut. # Tetapi ingat.porno.68.10.0/24 berarti jika tujuannya bukan berada dalam network kita # firewall harus melakukan MASQ.1.17. Jadi anda harus mengetik seperti ini: ipmasqadm portfw -a -P tcp -L 193.3 -j DENY $IPCHAINS -A output -i ppp0 -d 120.1.12.0/24 # Network kita adalah 192.10 dan host yang memberikan service http adalah 192.1.Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL # Log everything else $IPCHAINS -A input -j DENY -l # Melakukan blokir terhadap alamat LAN tidak boleh akses # ke www.com dan www.168. hanya dengan rule ipchain ini anda tidak dapat melakukan forward sesuatu.1.168.168.45.34 $IPCHAINS -A output -i eth0 -d 202.10.168.120. # Hal tersebut untuk routing table.34 -j DENY # Dan akhirnya kita tambahkan aturan untuk masq $IPCHAINS -A forward -j MASQ -s 192. Misalnya eksternal IP firewall anda adalah 193.0/24 # -d ! 192.3 dan 120.

Salah satu sistem 25 .L adalah untuk local address.a berarti add ke ipchains .portfw dapat disebut sebagai forwarding chain untuk ipmasqadm . dengan ip dan port BAB VI PENUTUP Untuk membangun suatu jaringan yang memiliki tingkat keamanan yang cukup tinggi dibutuhkan sistem yang mampu mengatur lalu lintas keluar dan masuknya paket ke dalam jaringan lokal kita.Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL . dalam hal ini tcp . dengan ip dan port .R untuk redirecting alamat.P tcp untuk protocol yang digunakan.

meneruskan atau menyaring paketpaket yang akan keluar atau masuk 26 .Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL yang dapat digunakan untuk menolak.

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->