SMK N 3 Singaraja

Teknik Komputer Dan J aringan

Membuat Desain Keamanan J aringan 1
FIREWALL

Keamanan adalah hal yang penting dalam segala hal. Selayaknya sebuah rumah
memiliki pagar, server kita pun membutuhkan 'pagar'. Apalagi server selalu terhubung
dengan internet. Isu keamanan sangat penting untuk melindungi server dan data yang
tersimpan di dalamnya. Pagar tersebut bernama firewall atau Tembok Api.
Firewall merupakan suatu cara atau mekanisme yang diterapkan baik terhadap
hardware, software ataupun sistem itu sendiri dengan tujuan untuk melindungi, baik
dengan menyaring, membatasi atau bahkan menolak suatu atau semua hubungan/kegiatan
suatu segmen pada jaringan pribadi dengan jaringan luar yang
bukan merupakan ruang lingkupnya. Segmen tersebut dapat merupakan sebuah
workstation, server, router, atau local area network (LAN) anda.

Karakteristik Firewall
Berikut ini adalah karakteristik dari sebuah firewall:
Seluruh hubungan/kegiatan dari dalam ke luar, harus melewati firewall. Hal ini dapat
dilakukan dengan cara memblok/membatasi baik secara fisik semua akses terhadap
jaringan lokal, kecuali melewati firewall. Banyak sekali bentuk jaringan yang
memungkinkan agar konfigurasi ini terwujud.
Hanya kegiatan yang terdaftar/dikenal yang dapat melewati/melakukan hubungan,
hal ini dapat dilakukan dengan mengatur policy pada konfigurasi keamanan lokal.
SMK N 3 Singaraja
Teknik Komputer Dan J aringan
Membuat Desain Keamanan J aringan 2
Banyak sekali jenis firewall yang dapat dipilih sekaligus berbagai jenis policy yang
ditawarkan.
Firewall itu sendiri haruslah kebal atau relatif kuat terhadap serangan/kelemahan. hal
ini berarti penggunaan sistem yang dapat dipercaya dan dengan sistem yang relatif
aman.

Fungsi Dasar Firewall
Ketika traffic sampai di firewall, maka firewall akan memutuskan traffic mana
yagn diizinkan dan mana yang tidak diizinkan, didasarkan pada aturan yang telah
didefinisikan sebelumnya. Adapun fungsi dasar firewall adaalah sebagai berikut:
1. Mengatur dan mengontrol lalu lintas jaringan
2. Melakukan autetifikasi terhadap akses
3. Melindungi sumber daya dalam jaringan privat
4. Mencatat semua kejadian, dan melaporkan kepada administrator.

Proses-proses pada firewall
Pada firewall terjadi beberapa proses yang memungkinkannya melindungi jaringan. Ada
tiga macam. Proses yang terjadi pada firewall, yaitu:
1. Modifikasi header paket, digunakan untuk memodifikasi kualitas layanan bit paket
TCP sebelum mengalami proses routing.
2. Translasi alamat jaringan, translasi yang terjadi dapat berupa translasi satu ke
satu(one to one), yaitu satu alamat IP privat dipetakan kesatu alamat IP publik atau
translasi banyak kesatu (many to one) yaitu beberapa alamat IP privat dipetakan
kesatu alamat publik.
3. Filter paket, digunakan untuk menentukan nasib paket apakah dapat diteruskan atau
tidak.

Jenis-jenis Firewall
Ada beberapa jenis firewall, antara lain sebagai berikut:
Software Firewall
SMK N 3 Singaraja
Teknik Komputer Dan J aringan
Membuat Desain Keamanan J aringan 3
Software Firewall adalah program yang berjalan pada background komputer.
Software ini mengevaluasi setiap request dari jaringan dan menentukan apakah request
itu valid atau tidak.
Kelebihan yang dimiliki software firewall:
Harganya murah.
Mudah dikonfigurasi.
Kekurangan software firewall:
Memakan sumber daya dari komputer (CPU, memory, ruang disk) sehingga dapat
menyebabkan inkompatibilitas pada sistem operasi.
Terdapat versi yang berbeda untuk sistem operasi yang berbeda, jadi harus
dipastikan bahwa software firewall yang diinstall adalah versi yang sesuai dengan
sistem operasi Anda.
Dibutuhkan beberapa copy yang berbeda untuk tiap sistem dalam jaringan Anda.

Hardware Firewall
Hardware firewall adalah firewall yang dipasang pada komputer, yang
menghubungkan komputer dengan modem.
Kelebihan hardware firewall:
Menyediakan perlindungan yang lebih banyak dibandingkan dengan software
firewall. Sebuah hardware firewall dapat melindungi keseluruhan jaringan.
Hardware firewall beroperasi secara independen terhadap sistem operasi dan
aplikasi perangkat lunak sehingga kinerja sistem tidak akan terganggu.
Kekurangan hardware firewall:
Cenderung lebih mahal dari software firewall. Namun, jika Anda memiliki
beberapa mesin yang harus dilindungi akan lebih murah untuk membeli satu
hardware firewall dibandingkan membeli beberapa copy dari sebuah software
firewall.
Karena tidak berjalan independen, konfigurasi hardware firewall cukup sulit.

J enis firewall secara konseptual
Ada 2 yaitu:
SMK N 3 Singaraja
Teknik Komputer Dan J aringan
Membuat Desain Keamanan J aringan 4
1. Personal Firewall
Didesain untuk melindungi komputer yang terhubung ke jaringan dari akses yang
tidak dikehendaki. Firewall jenis ini akhir-akhir ini berkembang menjadi sebuah
kumpulan program yang bertujuan untuk mengamankan komputer secara total,
dengan ditambahkannya fitur pengamanan tambahan semacam perangkat proteksi
terhadap virus, antispy, anti spam, dll. Bahkan beberapa produk firewall lainnya
dilengkapi dengan fungsi pendeteksian gangguan jaringan. Contoh firewall jenis
ini adalah Microsoft Windows Firewall, Symante Norton Personal Firewall,
Kerio Personal Firewall dan lain-lain. personal firewall secara umum hanya
memiliki dua fitur utama yaitu Packet Filter Firewall dan Stateful Firewall.
2. Network Firewall
Didesain untuk melindungi jaringan secara keseluruhan dari berbagai serangan.
Umumnya dijumpai dalam dua bentuk, yaitu sebuah perangkat terdedikasi atau
sebuah perangkat lunak yang diinstalasikan dalam sebuah server. Contoh firewall
ini adalah Microsoft Internet Security and Acceleration Server (ISA Server),
Cisco PIX, Cisco ASA, iptables dalam system operasi GNU/Linux, pf dalam
keluarga system operasi Unix BSD. Network firewall ini secara umum memiliki
beberapa fitur utama yaitu apa yang dimiliki oleh personal firewall (packet filter
firewall dan stateful firewall), Circuit Level Gateway, Application Level
Gateway, dan juga NAT Firewall. Firewall ini umumnya bersifat transparan(tidak
terlihat) dari pengguna dan menggunakan teknologi routing untuk menentukan
packet mana yang diizinkan dan packet mana yang ditolak.

Teknologi Firewall

1. Packet Filtering Gateway (Router, Cisco IOS, dll.) ->Stateless
2. Application Level Gateway / Proxy-based (NAI Gauntled, Axent Raptor, dll.)
3. Circuit Level Gateway
4. Statefull Multi Layer Inspection Firewall (Checkpoint FW-1, PIX, dll.)

Packet Filtering Firewall
Dalam packet filtering firewall, firewall menguji lima karakteristik dari sebuah paket,
SMK N 3 Singaraja
Teknik Komputer Dan J aringan
Membuat Desain Keamanan J aringan 5
yaitu:
Alamat IP sumber
Port sumber
Alamat IP tujuan Port tujuan
Protokol IP (TCP atau UDP)

Berdasarkan aturan yang telah dikonfigurasikan ke dalam firewall, paket akan di
izinkan untuk lewat atau ditolak. Jika firewall menolak paket, maka firewall akan
mengirimkan pesan ke pengirim untuk memberi tahu bahwa paketnya telah ditolak.
Routers adalah bentuk yang paling umum dari metode packet filtering firewall ini.

Circuit Level Gateway
Circuit Level gateway memonitor TCP handshaking antar paket dari klien atau server
yang dipercaya ke host yang tidak dipercaya dan sebaliknya, untuk mengetahui apakah
session yang diminta itu sah. Dalam menyaring paket dengan menggunakan cara ini,
circuit level gateway bergantung kepada data yang terkandung pada header paket. Untuk
menentukan apakah session yang diminta itu sah, circuit level gateway menggunakan
proses sebagai berikut:
Client yang dipercaya meminta sebuah servis Gateway menerima servis tersebut
dengan asumsi bahwa client memenuhi criteria dasar penyaringan
Gateway membuka sebuah koneksi ke host yang tidak dipercaya
SMK N 3 Singaraja
Teknik Komputer Dan J aringan
Membuat Desain Keamanan J aringan 6
Gateway memonitor TCP handshaking yang terjadi
Request session dinyatakan sah hanya pada kondisi tertentu pada session
Setelah gateway menyatakan sah, gateway akan membangun sebuah koneksi.
Dari sini, circuit level gateway tinggal menyalin dan meneruskan paket tanpa
melakukan penyaringan kembali.
Gateway memiliki sebuah tabel yang mencatat koneksi yang sedang terbangun, yang
akan mengizinkan data untuk diteruskan jika informasi sessionnya berada dalam tabel.
Ketika session selesai, gateway akan menghilangkan informasi tersebut pada tabel.

Application Level Gateway
Application-level gateway (gateway yang bekerja pada layer aplikasi pada layer-layer
OSI) dapat menangani proses store-and-forward- terhadap lalu lintas jaringan.
Application level gateway deprogram untuk mengerti lalu lintas pada layer 7 model OSI,
sehingga application level gateway ini menyediakan control terhadap akses pada level
user dan level protocol aplikasi. Lebih jauh lagi, application-level gateway ini dapat
digunakan untuk mengelola secara cerdas semua penggunaan aplikasi. Kemampuan
untuk melakukan log dan control terhadap semua lalu lintas yang keluar atau masuk
adalah salah satu kelebihan utama dari application-level gateway. Gateway tersebut
memiliki sistem keamanan tambahan di dalamnya yang dibangun sesuai dengan
kebutuhan.
SMK N 3 Singaraja
Teknik Komputer Dan J aringan
Membuat Desain Keamanan J aringan 7


Untuk tiap aplikasi yang di relay, application level gateay menggunakan kode khusus.
Karena kode khusus inilah application-level gateway menyediakan level keamanan yang
tinggi, Untuk tiap jenis aplikasi yang ditambahkan ke jaringan (dan membutuhkan
proteksi), maka dibutuhkan kode khusus yang baru untuk aplikasi tersebut. Sehingga,
kebanyakan application level gateway menyediakan suatu subset yang terbatas untuk
aplikasi-apliaksi dan servis-servis dasar.

Statefull Packet-filter-Based Firewalls
Model firewall ini merupakan penggabungan dari ketiga firewall sebelumnya. Firewall
jenis ini akan bekerja pada lapisan Aplikasi, Transport dan Internet. Dengan
penggabungan ketiga model firewall yaitu Packet Filtering Gateway, Application Layer
Gateway dan Circuit Level Gateway, mungkin dapat dikatakan firewall jenis ini
merupakan firewall yang, memberikan fitur terbanyak dan memeberikan tingkat
keamanan yang paling tinggi.

Konfigurasi Firewall
Ada beberapa konfigurasi firewall, sebagai berikut:
Screened Host Firewall system (single-homed bastion)
SMK N 3 Singaraja
Teknik Komputer Dan J aringan
Membuat Desain Keamanan J aringan 8
Pada konfigurasi ini, fungsi firewall akan dilakukan oleh packet filtering router dan
bastion host). Router ini dikonfigurasikan sedemikian rupa sehingga untuk semua arus
data dari Internet, hanya paket IP yang menuju bastion host yang diijinkan. Sedangkan
untuk arus data (traffic) dari jaringan internal, hanya paket IP dari bastion host yang
diijinkan untuk keluar.
Konfigurasi ini mendukung fleksibilitas dalam akses internet secara langsung, sebagai
contoh apabila terdapat web server pada jaringan ini maka dapat dikonfigurasikan agar
web server dapat diakses langsung dari internet. Bastion host8 melakukan fungsi
authentikasi dan fungsi sebagai proxy. Konfigurasi ini memberikan tingkat keamanan
yang lebih baik daripada packet-filtering router atau application-level gateway secara
terpisah.
Screened Host Firewall system (Dual-homed bastion)
Pada konfigurasi ini, secara fisik akan terdapat patahan/celah dalam jaringan.
Kelebihannya dibanding konfigurasi pertama, adapun untuk server-server yang
memerlukan direct access (akses dengan adanya dua jalur yang memisahkan secara fisik
maka akan lebih meningkatkan keamanan langsung) maka dapat diletakkan di
tempat/segment yang langsung berhubungan dengan internet. Hal ini dapat dilakukan
dengan cara menggunakan 2 buah NIC (network interface card) pada bastion host.

Screened subnet firewall
Ini merupakan konfigurasi yang paling tinggi tingkat keamanannya. Karena pada
konfigurasi ini digunakan 2 buah packet filtering router, salah satunya terletak di
8Bastion Host adalah sistem/bagian yang dianggap tempat terkuat dalam sistem
SMK N 3 Singaraja
Teknik Komputer Dan J aringan
Membuat Desain Keamanan J aringan 9
keamanan jaringan oleh administrator atau dapat disebut bagian terdepan yang dianggap
paling kuat dalam menahan serangan, sehingga menjadi bagian terpenting dalam
pengamanan jaringan, biasanya merupakan komponen firewall atau bagian terluar sistem
publik. Umumnya bastion host akan menggunakan sistem operasi yang dapat menangani
semua kebutuhan (misal, Unix, linux, NT). antara internet dan bastion host, sedangkan
sisanya terletak di antara bastian host dan jaringan lokal. Konfigurasi ini membentuk
subnet yang terisolasi.

Adapun kelebihannya adalah :
Terdapat 3 lapisan/tingkat pertahanan terhadap penyusup/intruder .
Router luar hanya melayani hubungan antara internet dan bastion host sehingga
jaringan lokal menjadi tak terlihat (invisible)
Jaringan lokal tidak dapat mengkonstuksi routing langsung ke internet, atau
dengan kata lain, internet menjadi invisible (bukan berarti tidak bisa melakukan
koneksi internet).

Aplikasi pengendalian jaringan dengan menggunakan firewall dapat
diimplementasikan dengan menerapkan sejumlah aturan (chains) pada topologi yang
sudah ada. Dalam hal pengendalian jaringan dengan menggunakan iptables, ada dua hal
yang harus diperhatikan yaitu:
1. Koneksi paket yang menerapkan firewall yang digunakan.
SMK N 3 Singaraja
Teknik Komputer Dan J aringan
Membuat Desain Keamanan J aringan 10
2. Konsep firewall yang diterapkan.
Dengan dua hal ini diharapkan iptables sebagai aturan yang mendefinisikan firewall
dapat mengenali apakah koneksi yang terjadi berupa koneksi baru ( NEW) , koneksi yang
telah ada (ESTABLISH ), koneksi yang memiliki relasi dengan koneksi lainnya (
RELATED ) atau koneksi yang tidak valid ( INVALID ). Keempat macam koneksi itulah
yang membuat IPTables disebut Statefull Protocol .

Koneksi Paket
Koneksi paket yang dalam proses pengirimannya dari pengirim kepada penerima
harus melalui aturan firewall, dapat dikelompokan kepada tiga kelompok koneksi, yaitu :
1. Koneksi TCP
2. Koneksi IP
3. Koneksi UDP

1. Koneksi TCP
Sebuah koneksi TCP dikenal sebagai koneksi yang bersifat Connection Oriented
yang berarti sebelum melakukan pengiriman data, mesin-mesin tersebut akan melalui 3
langkah cara berhubungan ( 3-way handshake ).
2. Koneksi IP
Sebuah frame yang diidentifikasi menggunakan kelompok protokol Internet (IP)
harus melalui aturan firewall yang didefinisikan menggunakan protokol IP sebelum paket
tersebut mendapat jawaban koneksi dari tujuan paket tersebut. Salah satu paket yang
merupakan kelompok protokol IP adalah ICMP, yang sering digunakan sebagai aplikasi
pengujian koneksi ( link ) antar host.
3. Koneksi UDP
Berbeda dengan koneksi TCP, koneksi UDP (Gambar 11.11) bersifat
connectionless. Sebuah mesin yang mengirimkan paket UDP tidak akan mendeteksi
kesalahan terhadap pengiriman paket tersebut. Paket UDP tidak akan mengirimkan
kembali paket-paket yang mengalami error. Model pengiriman paket ini akan lebih
efisien pada koneksi broadcasting atau multicasting.
SMK N 3 Singaraja
Teknik Komputer Dan J aringan
Membuat Desain Keamanan J aringan 11
Untuk membangun sebuah firewall, yang harus kita ketahui pertama-tama adalah
bagaimana sebuah paket diproses oleh firewall, apakah paket-paket yang masuk akan di
buang (DROP) atau diterima (ACCEPT), atau paket tersebut akan diteruskan
(FORWARD) ke jaringan yang lain. Salah satu tool yang banyak digunakan untuk
keperluan proses pada firewall adalah iptables. Program iptables adalah program
administratif untuk Filter Paket dan NAT (Network Address Translation). Untuk
menjalankan fungsinya, iptables dilengkapi dengan tabel mangle, nat dan filter.

NAT (SNAT dan DNAT) NAT (SNAT dan DNAT)

Salah satu kelebihan IPTABLES adalah untuk dapat memfungsikan komputer kita
menjadi gateway menuju internet. Teknisnya membutuhkan tabel lain pada IPTABLES
selain ketiga tabel diatas, yaitu tabel NAT SNAT digunakan untuk mengubah alamat IP
pengirim (source IP address). Biasanya SNAT berguna untuk menjadikan komputer
sebagai gateway menuju ke internet. Misalnya komputer kita menggunakan alamat IP
192.168.0.1. IP tersebut adalah IP lokal. SNAT akan mengubah IP lokal tersebut menjadi
IP publik, misalnya 202.51.226.35. Begitu juga sebaliknya, bila komputer lokal kita bisa
di akses dari internet maka DNAT yang akan digunakan. Mangle pada IPTABLES
banyak digunakan untuk menandai (marking) paket-paket untuk di gunakan di proses-
SMK N 3 Singaraja
Teknik Komputer Dan J aringan
Membuat Desain Keamanan J aringan 12
proses selanjutnya. Mangle paling banyak di gunakan untuk bandwidth limiting atau
pengaturan bandwidth. Fitur lain dari mangle adalah kemampuan untuk mengubah nilai
Time to Live (TTL) pada paket dan TOS ( type of service ).

Membangun Firewall
Ada beberapa langkah yang dilakukan dalam membangun sebuah firewall.
Caranya adalah dengan melakukan tahapan sebagai berikut:
Mengidentifikasi bentuk jaringan yang dimiliki
Mengetahui bentuk jaringan yang dimiliki khususnya topologi yang digunakan
serta protokol jaringan, akan memudahkan dalam mendesain sebuah firewall
Menentukan Policy atau kebijakan Penentuan kebijakan atau policy merupakan
hal yang harus dilakukan. Baik atau buruknya sebuah firewall yang dibangun
sangat ditentukan oleh policy/kebijakan yang diterapkan. Diantaranya adalah
sebagai berikut:
Menentukan apa saja yang perlu dilayani. Artinya, apa saja yang akan dikenai
policy atau kebijakan yang akan kita buat
Menentukan individu atau kelompok-kelompok yang akan dikenakan policy
atau kebijakan tersebut
Menentukan layanan-layanan yang dibutuhkan oleh setiap individu atau
kelompok yang menggunakan jaringan
Berdasarkan setiap layanan yang digunakan oleh individu atau kelompok
tersebut akan ditentukan bagaimana konfigurasi terbaik yang akan
membuatnya semakin aman
Menerapkankan semua policy atau kebijakan tersebut
Menyiapkan Software atau Hardware yang akan digunakan
Baik itu sistem operasi yang mendukung atau perangkat lunak khusus pendukung
firewall seperti ipchains, atau iptables pada linux, dsb. Serta konfigurasi hardware
yang akan mendukung firewall tersebut. Sistem operasi yang dapat mendukung
firewall antara lain adalah sebagai berikut:
Debian
Ubuntu
SMK N 3 Singaraja
Teknik Komputer Dan J aringan
Membuat Desain Keamanan J aringan 13
Windows XP
FreeBSD 5.2
Fedora 9.0
Melakukan test konfigurasi
Pengujian terhadap firewall yang telah selesai dibangun haruslah dilakukan,
terutama untuk mengetahui hasil yang akan kita dapatkan, caranya dapat menggunakan
tools yang biasa dilakukan untuk mengaudit seperti nmap.

Contoh konfigurasi Firewall di Linux (Ubuntu dan Debian)
3. Block Port
Block port dari interface tertentu
iptables A INPUT i eth0 -p tcp --dport 22 j DROP
Block port dari ip atau subnet tertentu
iptables A INPUT s 192.168.1.2 p tcp --dport 22 j DROP
Atau untuk suatu Subnet
iptables A INPUT s 192.168.1.1/24 p tcp -dport 22 j DROP
Pengecualian sebuah ip yang boleh mengakses suatu port. (selain ip yang
tertulis port tersebut diblock)
iptables A INPUT i eth0 s ! 192.168.1.2 p tcp dport 22 j DROP
Block port berdasarkan waktu
iptables A INPUT p tcp --dport 22 m time --timestart 16:00 --timestop
18:00 j DROP
4. Block Ip
Block ip dari interface tertentu
iptables A INPUT s 192.168.1.2 -i eth0 -j DROP
Block range ip
iptables -A INPUT -m iprange --src-range 192.168.1.3-192.168.1.254 -j
DROP
Pengecualian sebuah ip yang boleh melakukan akses, selain ip tersebut tidak
diijinkan
iptables -A INPUT -i eth0 -s ! 192.168.1.2 -j DROP
SMK N 3 Singaraja
Teknik Komputer Dan J aringan
Membuat Desain Keamanan J aringan 14
Block range ip berdasarkan waktu
iptables -A INPUT -m iprange --src-range 192.168.1.3-192.168.1.254 -m
time --timestart 16:00 --timestop 18:00 -j DROP
5. Block Mac Address
Block mac tertentu
iptables -A INPUT -m mac --mac-source 00:50:56:c0:00:08 -j DROP
Block mac berdasarkan waktu
iptables -A INPUT -m mac --mac-source 00:00:00:00:00:00 -m time --
timestart 16:00 --timestop 18:00 -j DROP
6. Mac Address da nip Filter
Satu komputer hanya bisa melakukan koneksi dengan menggunakan satu ip yang
telah ditentukan. Jika komputer tersebut mengganti ipnya maka komputer tersebut
tidak akan dapat melakukan koneksi.
iptables -A INPUT -m mac mac-source 00:15:4e:30:2c:41 -s ! 192.168.1.78 -j
REJECT
iptables -A FORWARD -m mac mac-source 00:15:4e:30:2c:41 -s ! 192.168.1.78 -j
REJECT
Atau
iptables -I FORWARD -i eth1 -s ! 192.168.1.5 -m mac --mac-source
00:89:CD:64:01:EF -j DROP
iptables -I PREROUTING -t nat -s ! 192.168.1.5 -m mac --mac-source
00:89:CD:64:01:EF -j DROP