MAKALAH SISTEM KEAMANAN JARINGAN

Thursday, 23 May 20136comments

Pada era global ini, keamanan sistem informasi berbasis Internet harus sangat diperhatikan, karena jaringan komputer Internet yang sifatnya publik dan global pada dasarnya tidak aman. Pada saat data terkirim dari suatu terminal asal menuju ke terminal tujuan  dalam Internet, data itu akan melewati sejumlah terminal yang lain yang berarti akan memberi kesempatan pada user Internet yang lain untuk menyadap atau mengubah data tersebut.

Sistem keamanan jaringan komputer yang terhubung ke Internet harus direncanakan dan dipahami dengan baik agar dapat melindungi sumber daya yang berada dalam jaringan tersebut secara efektif. Apabila ingin mengamankan suatu jaringan maka harus ditentukan terlebih dahulu tingkat ancaman (threat) yang harus diatasi, dan resiko yang harus diambil maupun yang harus dihindari. Berikut ini akan dibahas mengenai ancaman (threat) , kelemahan, dan Policy keamanan (security policy) jaringan.

Ancaman
Pada dasarnya, ancaman datang dari seseorang yang mempunyai keinginan memperoleh akses ilegal ke dalam suatu jaringan komputer. Oleh karena itu, harus ditentukan siapa saja yang diperbolehkan mempunyai akses legal ke dalam sistem, dan ancaman-ancaman yang dapat mereka timbulkan. Ada beberapa tujuan yang ingin dicapai oleh penyusup dan, sangat berguna apabila dapat membedakan tujuan­tujuan tersebut pada saat merencanakan sistem keamanan jaringan komputer. Beberapa tujuan para penyusup adalah :

1.Pada dasarnya hanya ingin tahu system dan data yang ada pada suatu system jaringan komputer yang dijadikan sasaran. Penyusup yang bertujuan seperti ini sering disebut dengan The Curius.

2.Membuat sistem jaringan menjadi down, atau mengubah tampilan situs web. Penyusup yang mempunyai tujuan seperti ini sering disebut sebagai The Malicious

3.Berusaha untuk menggunakan sumner daya di dalam sistem jaringan komputer untuk memperoleh popularitas. Penyusup seperti ini sering disebut sebagai The High-Profile Intruder.

4.Ingin tahu data apa saja yang ada di dalam jaringan komputer untuk selanjutnya dimanfaatkan untuk mendapatkan uang. Penyusup seperti ini sering disebut sebagai The Competition.

Kelemahan
Kelemahan menggambarkan seberapa kuat sistem keamanan suau jaringan komputer terhadap jaringan komputer yang lain, dan kemungkinan bagi seseorang untuk mendapat akses ilegal ke dalamnya.

Security Policy
Policy menyediakan kerangka-kerangkan untuk membuat keputusan yang spesifik, misalnya mekanisme apa yang akan digunakan untuk melindungi jaringan. Security Policy juga merupakan dasar untuk mengembangkan petunjuk pemrograman yang aman untuk diikuti user maupun bagi administrator sistem. Sebuah Security Policy. mencakup hal-hal seperti berikut:

1.Deskripsi secara detail tentang lingkungan teknis dari situs, hukum yang berlaku, otoritas dari policy tersebut, dan filosofi dasar untuk digunakan pada saat menginterpretasikan policy tersebut.
2.Analisa resiko yang mengidentifikasi resource dari jaringan, ancaman yang dihadapi oleh resource tersebut.
3.Petunjuk bagi administrator sistem untuk mengelola sistem.
4.Definisi bagi user tentang hal-hal yang boleh dilakukan.
5.Petunjuk untuk kompromi terhadap media dan penerapan hukum yang ada.

Faktor-faktor yang berpengaruh terhadap keberhasilan Secutity Policy antara lain adalah:
1.Komitmen dari pengelola jaringan.
2.Dukungan teknologi untuk menerapkan security policy tersebut.
3.Keektifan penyebaran policy tersebut.
4.Kesadaran semua user terhadap keamanan jaringan.

Teknik-teknik yang dapat digunakan untuk mendukung keamanan jaringan antara lain:
1.Authentikasi terhadap sistem.
2.Audit sistem untuk akuntanbilitas dan rekonstruksi.
3.Enkripsi terhadap sistem untuk penyimpanan dan pengiriman data penting.
4.Tool-tool jaringan, misalnya firewall dan proxy.


Insiden Keamanan Jaringan
Insiden keamanan jaringan adalah suatu aktivitas terhadap suatu jaringan komputer yang memberikan dampak terhadap keamanan sistem yang secara langsung atau tidak bertentangan dengan security policy sistem tersebut. Secara garis besar, insiden dapat diklasifikasikan menjadi: probe, scan, account compromize, root compromize, packet sniffer, denial of service, exploitation of trust, malicious code, dan infrastructure attacks. Berikut ini akan dibahas mengenai jenis-­jenis insiden tersebut.

    Probe
Sebuah probe dapat dikenali dari adanya usaha-usaha yang tidak lazim untuk memperoleh akses ke dalam suatu sistem atau untuk menemukan informasi tentang sistem tersebut. Salah satu contohnya adalah usaha untuk login ke dalam sebuah account yang tidak digunakan. Probing ini dapat dianalogikan sebagai usaha untuk memasuki sebuah ruangan yang dengan mencoba-coba apakah pintunya terkunci apa tidak.

    Scan
Scan adalah kegiatan probe dalam jumlah yang besar dengan menggunakan tool secara otomatis. Tool tersebut secara otomatis dapat mengetahui port-port yang terbuka pada host lokal maupun host remote, IP address yang aktif, bahkan bisa untuk mengetahui sistem operasi yang digunakan pada host yang dituju. Contoh tool scaner adalah NMAP

    Account Compromise
Account compromise adalah penggunaan account sebuah komputer secara ilegal oleh seseorang yang bukan pemilik acoount tersebut. Account compromise dapat mengakibatkan korban mengalami kehilangan atau kerusakan data. Sebuah insiden account compromise dapat berakibat lebih lanjut, yaitu terjadinya insiden root compromise, yang dapat menyebabkan kerusakan lebih besar.

    Root Compromise
Root compromise mirip dengan accountcompromise, dengan perbedaan account yang digunakan secara ilegal adalah account yang mempunyai privilege sebagai administrator sistem. Istilah root diturunkan dari sebuah account pada sistem berbasis UNIX yang mempunyai privelege tidak terbatas. Penyusup yang berhasil melakukan root compromise dapat melakukan apa saja pada sistem yang menjadi korban, termasuk menjalankan program,mengubah kinerja system,dan menyembunyikan jejak penyusup.

    Packet Sniffer
Packet Sniffer adalah suatu device, baik perangkat lunak maupun perangkat keras yang digunakan untuk memperoleh informasi yang melewati jaringan komputer. Kegunaan dari packet sniffer adalah membuat NIC (Network Interface Card), contohnya Ethernet, dalam mode promiscuous sehingga dapat menangkap semua traffic dalam jaringan. Mode promiscuous adalah mode di mana semua workstation pada jaringan komputer “mendengar” semua traffic, tidak hanya traffic yang dialamatkan ke workstation itu sendiri. Jadi workstation pada mode promiscuous dapat “mendengarkan” traffic dalam jaringan yang dialamatkan kepada workstation lain.

Sebuah sniffer dapat berupa kombinasi dari perangkat lunak dan perangkat keras. Keberadaan sniffer di dalam jaringan sangat sulit untuk dideteksi karena sniffer adalah program aplikasi yang sangat pasif dan tidak membangkitkan apa-apa, dengan kata lain tidak meninggalkan jejak pada sistem.

    Denial Of Service (Dos)
Sumber daya jaringan yang berharga antara lain komputer dan database, serta pelayanan-pelayanan (service) yang disediakan oleh organisasi pemilik jaringan. Kebanyakan user jaringan memanfaatkan pelayanan-pelayanan tersebut agar pekerjaan mereka menjadi efisien. Bila pelayanan ini tidak dapat dipergunakan karena sebab-sebab tertentu, maka tentu saja akann menyebabkan kehilangan produktivitas. Sulit untuk memperkirakan penyebab Denial Of Service. Berikut ini adalah contoh penyebab terjadinya Denial Of Service:
1.Kemungkinan jaringan menjadi tidak berfungsi karena kebanjiran traffic.
2.Kemungkinan ada virus yang menyebar dan menyebabkan sisten komputer menjadi lamban atau bahkan lumpuh.
3.Kemungkinan device yang melindungi jaringan dirusak.

    Eksploitasi Terhadap Kepercayaan
Seringkali komputer-komputer di dalam jaringan mempunyai hubungan kepercayaan antara satu dengan yang lain. Sebagai contoh, sebelum mengeksekusi perintah, komputer akan memeriksa suatu set dai file-file yang menspesifikasikan komputer lain yang ada di dalam jaringan tersebut yang diizinkan untuk menggunakan perintah tersebut. Bila penyerang dapat membuat identitas merka tersamar sehingga seolah-olah sedang menggunakan komputer yang dipercayai, mka penyerang tersebutakan dapat memperoleh akses ke komputer lain secara ilegal.

    Malicious Code
Malicious code adalah suatu program yang bila dieksekusi akan menyebabkan sesuatu yang tidak diinginkan di dalam user. User sistem biasanya tidak memperhatikan program ini hingga ditemukan kerusakan. Yang termasuk malicious code adalah trojan horse, virus, dan worm. Trojan horse dan virus biasanya disusupkan ke dalam suatu file atau program. Worm adalah program yang dapat menduplikasikan diri dan menyebar tanpa intervensi manusia setelah program tersebut dijalankan. Virus juga mempunyai kemungkinan untuk menduplikasikan diri namun biasanya memerlukan intervensi dari user komputer untuk menyebar ke program atau sistem yang lain. Malicious code ini dapat menyebabkan kerusakan atau kehilangan data yang serius

Perkembangan Internet dan jaringan internal yang semakin pesat menuntut adanya pengamanan terhadap jaringan internal dari kemungkinan adanya serangan dari jaringan eksternal. Banyak sekali metode yang dapat digunakan untuk mendeteksi serangan atau penyusupan oleh jaringan eksternal, dari mulai paket sniffing, network scanner, monitoring layanan, keamanan mail, dan firewall. Salah satu cara yang banyak digunakan adalah dengan menggunakan firewall. Dengan firewall kita bisa menolak, memperbolehkan atau menyaring paket yang mencoba masuk ke dalam jaringan kita.

MAKSUD DAN TUJUAN
Tujuan dari pengimplementasian Firewall adalah untuk membangun suatu jaringan dengan tingkat keamanan yang sangat tinggi dengan cara untuk membatasi informasi yang dibolehkan masuk dan keluar dari jaringan lokal anda. Dengan demikian firewall dapat mengendalikan apa yang diterima dan dikirim dari Internet dan LAN anda.

DASAR TEORI
Keamanan jaringan menjadi semakin penting dengan semakin banyaknya waktu yang dihabiskan orang untuk berhubungan ke internet. Mengganggu keamanan jaringan sering lebih mudah daripada fisik atau lokal, dan lebih umum. Terdapat sejumlah alat yang baik untuk membantu keamanan jaringan, dan semakin banyak disertakan dalam software atau OS.

A. Packet Sniffers
Salah satu cara umum yang digunakan penyusup untuk memperoleh akses ke banyak sistem di jaringan anda adalah dengan menggunakan sebuah packet sniffer pada host yang telah diganggu.

Sniffer ini mendengarkan port Ethernet untuk hal-hal seperti

"Password" dan "Login" dan "su" dalam aliran paket dan kemudian mencatat lalu lintas setelahnya. Dengan cara ini, penyerang memperoleh password untuk sistem yang bahkan tidak mereka usahakan untuk dibongkar.

Password teks biasa adalah sangat rentan terhadap serangan ini. Di masa sekarang, penyerang bahkan tidak perlu mengganggu sebuah sistem untuk melakukan hal ini, mereka dapat membawa laptop atau pc ke suatu gedung dan menyadap ke jaringan anda. Dengan menggunakan ssh atau metode password terenkripsi lainnya dapat mencegah serangan ini. Hal-hal seperti APOP untuk rekening pop juga dapat mencegah serangan ini.

B. Pelayanan sistem dan tcp_wrappers
Segera setelah anda menaruh sistem anda di sembarang jaringan, hal pertama yang harus dilihat adalah pelayanan yang butuh anda tawarkan. Pelayanan-pelayanan yang tidak perlu anda tawarkan seharusnya ditiadakan sehingga anda memiliki satu hal yang tidak perlu dikhawatirkan dan penyerang memiliki satu hal kurangnya untuk mencari lubang.
Beberapa pelayanan yang ingin anda biarkan ada adalah:
• ftp untuk transfer file
• telnet untuk remote machine
• mail, seperti pop-3 atau imap untuk mail
• identd untuk mengatur layanan
• time untuk waktu

Jika anda adalah pemakai dialup rumahan, kami menyarankan anda menolak seluruhnya. tcpd juga mencatat usaha yang gagal untuk mengakses pelayanan, sehingga ini dapat memberi anda ide bahwa anda sedang diserang. Jika anda menambahkan pelayanan baru, anda harus pasti mengkonfigurasinya untuk menggunakan tcp_wrappers berbasis TCP. Sebagai contoh, pemakai dial-up normal dapat mencegah orang luar koneksi ke mesin anda, namun masih memiliki kemampuan untuk menerima surat, dan membuat hubungan jaringan ke Internet.

C. Memverifikasi Informasi DNS Anda
Memelihara informasi DNS tentang seluruh host di jaringan anda agar tetap baru dapat membantu meningkatkan keamanan. Bilamana ada host yang tidak dijinkan terhubung ke jaringan anda, anda dapat mengenalinya dengan tidak adanya masukan DNS. Banyak pelayanan dapat dikonfigurasi untuk tidak menerima koneksi dari host yang tidak memiliki masukan DNS yang valid.

D. Monitoring identd
identd adalah program kecil yang umumnya berjalan di inetd. Ia mencatat pelayanan tcp apa yang dijalankan pemakai, dan kemudian melaporkannya kepada yang meminta.Banyak orang salah mengerti kegunaan identd, sehingga meniadakannya atau memblok seluruh site yang memintanya. identd ada bukan untuk membantu remote site. Tidak ada cara untuk mengetahui jika data yang anda peroleh dari remote identd benar atau tidak.

Tidak ada autentikasi dalam permintaan identd. Program ini dijalankan karena ia membantu anda, dan adalah titik data lain dalam penelusuran. Jika identd anda tidak terganggu, maka anda mengerti ia memberi tahu remote site nama pemakai atau orang-orang yang menggunakan pelayanan tcp. Jika admin pada remote site datang kepada anda dan memberitahu pemakai anda berusaha menghack ke site mereka, anda dapat secara mudah mengambil tindakan terhadap pemakai tersebut.

Jika anda tidak menjalankan identd, anda harus melihat banyak catatan, memperkirakan siapa yang ada pada saat itu, dan secara umum membutuhkan waktu yang lebih banyak untuk menelusuri pemakai. identd yang disertakan dalam banyak distribusi lebih mudah dikonfigurasi daripada yang diperkirakan orang. Anda dapat meniadakan identd untuk pemakai tertentu, anda dapat mencatat seluruh permintaan identd, anda bahkan dapat memiliki identd mengembalikan uid daripada nama pemakai atau bahkan NO-USER.

E. Menggunakan software Scanner Jaringan
 sejumlah paket software berbeda yang melakukan penelusuran berdasarkan port dan pelayanan mesin atau jaringan. SATAN dan ISS adalah dua yang paling dikenal. Software ini berhubungan ke mesin sasaran (atau seluruh mesin sasaran di suatu jaringan) di semua port yang ada, dan berusaha menentukan pelayanan apa yang sedang berjalan.

Berdasarkan informasi ini, anda dapat menemukan mesin yang rentan terhadap eksploitasi tertentu pada server.
SATAN (Security Administrators Tool for Analyzing Networks) adalahsebuah penelusur port dengan antara muka web. Ia dapat dikonfigurasi untuk melakukan pemeriksaan ringan, menengah, atau berat pada mesin atau pada jaringan mesin. Akan merupakan ide yang baik untuk memperoleh SATAN dan memeriksa mesin atau jaringan anda, dan membenahi masalah-masalah yang ditemukan.

ISS (Internet Security Scanner) adalah penelusur berdasarkan port yang lain. Ia lebih cepat daripada SATAN, dan mungkin lebih baik untuk jaringan yang besar. Namun demikian, SATAN memberikan lebih banyak informasi.

F. Amankan Sendmail, qmail dan MTA
Salah satu pelayanan penting yang dapat anda sediakan adalah server surat. Sayangnya, ia juga sangat rentan diserang, karena banyaknya tugas yang harus dilakukan dan dibutuhkannya ijin khusus. Pergunakan MTA yang dirancang dengan perhatian pada keamanan yang sangat tinggi, selain itu cepat dan stabil serta aman.

G. Serangan Denial of Service
Serangan denial of service adalah saat ketika penyerang berusaha menggunakan beberapa sumber daya hingga terlalu sibuk untuk menjawab permintaan yang resmi, atau menolak pemakai resmi mengakses mesin anda Serangan-serangan semacam ini meningkat dengan cepat pada tahun-tahun belakangan ini. Beberapa yang populer dan terbaru ditampilkan di bawah ini. Perhatikan bahwa yang baru selalu muncul setiap saat, sehingga ini hanya merupakan contoh :
• SYN Flooding - SYN flooding adalah serangan denial of service jaringan. Ia mengambil keuntungan dari "loophole" dalam koneksi TCP yang tercipta.
• Pentium "F00F" Bug - Ini baru ditemukan bahwa serangkaian kode assembly yang dikirim ke prosesor asli Intel Pentium akan mereboot mesin. Ini mempengaruhi setiap mesin dengan prosesor Pentium (bukan klon, atau Pentium Pro atau PII), tidak tergantung pada sistem operasi yang dijalankan.
• Ping Flooding - Ping flooding adalah serangan denial of service brute force sederhana. Penyerang mengirim "flood" paket ICMP ke mesin anda. Jika mereka melakukan ini dari host dengan bandwidth yang lebih baik daripada milik anda, mesin anda tidak akan mampu mengirim sesuatu ke jaringan. Variasi serangan ini, disebut "smurfing" mengirim paket ICMP ke host dengan IP kembalian mesin anda, memungkinkan mereka membanjiri anda dengan sedikit terdeteksi. Jika anda diserang ping flood, gunakanlat seperti tcpdump untuk menentukan asal paket (atau tampaknya berasal), kemudian hubungi provider anda dengan informasi ini. Ping flood dapat secara mudah dihentikan di level router atau dengan menggunakan firewall.
• Ping o' Death - Serangan Ping o' Death disebabkan lebih besarnya paket ICMP ECHO REQUEST yang datang daripada yang dapat ditangani struktur data kernel . Oleh karena mengirim sebuah paket "ping" besar (65.510 byte) ke banyak sistem akan membuat mereka hang atau bahkan crash, masalah ini secara cepat disebut "Ping o' Death". Ini telah lama diperbaiki, dan tidak perlu dikhawatirkan lagi.
• Teardrop / New Tear - Salah satu eksploit terbaru yang melibatkan bug yang ada di kode fragmentasi IP pada platform Linux dan Windows. .

H. Keamanan NFS (Network File System)
NFS adalah protokol file sharing yang paling banyak digunakan. Ia memungkinkan server untuk mengekspor seluruh filesystem ke mesin lain dengan dukungan nfs filesystem pada kernelnya (atau beberapa dukungan client jika mereka bukan mesin Linux). Banyak site menggunakan NFS untuk bertugas sebagai direktori home untuk pemakai, sehingga tak peduli mesin apa yang dimasuki, mereka akan selalu memiliki file-filenya. Terdapat sedikit "keamanan" dibolehkan dalam mengekspor filesystem. Anda dapat membuat peta nfsd pemakai root remote ke pemakai nobody, membatasi akses total ke file-file yang diekspor.

Namun demikian, karena pemakai individu memiliki akses ke file-file mereka (atau paling tidak uid yang sama), superuser remote dapat login atau su ke rekening mereka dan memiliki akses total ke file-file mereka. Ini hanya penghalang kecil bagi seorang penyerang yang memiliki akses untuk melakukan mount filesystem remote anda. Jika harus menggunakan NFS, pastikan anda mengekspor ke mesin-mesin yang anda butuh untuk ekspor saja. Jangan pernah mengekspor seluruh direktori root anda, ekspor hanya direktori yang perlu anda ekspor.

I. NIS (Network Information Service) (dahulu YP)

Network Information Service (dahulu YP) adalah suatu cara mendistribusikan informasi ke sekelompok mesin. Master NIS menyimpan tabel informasi dan mengkonversinya ke file peta NIS. Peta ini kemudian melayani jaringan, memungkinkan mesin klien NIS untuk memperoleh login, password, direktori home dan informasi shell.

Hal ini memungkinkan pemakai merubah password mereka sekali dan berlaku pula di seluruh mesin dalam domain NIS. NIS tidak seluruhnya aman. Ia tidak pernah dimaksudkan demikian. Ia dimaksudkan untuk berguna dan sederhana. Setiap orang dapat menduga nama domain NIS anda (di setiap tempat di Net) dapat memperoleh salinan file passwd, dan menggunakan Crack dan John the Ripper terhadap password pemakai anda. Juga, adalah mungkin untuk menipu NIS dan melakukan berbagai trik kotor. Jika anda harus menggunakan NIS, pastikan anda paham bahayanya. Terdapat pengganti NIS yang lebih aman, disebut NIS+.

J. Firewall
Firewall adalah suatu cara untuk membatasi informasi yang dibolehkan masuk dan keluar dari jaringan lokal anda. Umumnya host firewall terhubung ke Internet dan LAN lokal anda, dan akses LAN anda ke Internet hanya melalui firewall. Dengan demikian firewall dapat mengendalikan apa yang diterima dan dikirim dari Internet dan LAN anda. Terdapat beberapa tipe dan metode setting firewall. Mesin-mesin Linux dapat menjadi firewall yang baik dan murah. Kode firewall dapat dibangun langsung ke dalam kernel . Ada beberapa alat yang memungkinkan anda merubah tipe lalu lintas jaringan yang anda bolehkan secara on the fly. Anda dapat pula mencatat tipe lalu lintas jaringan tertentu. Firewall adalah teknik yang sangat berguna dan penting dalam mengamankan jaringan anda. Penting untuk menyadari bahwa anda tidak boleh pernah berpikir bahwa dengan memiliki firewall, anda tidak perlu mengamankan mesin-mesin di baliknya.

KONSEP FIREWALL

Perkembangan Internet dan jaringan internal yang semakin pesat menuntut adanya pengamanan terhadap jaringan internal dari kemungkinan adanya serangan dari jaringan eksternal. Salah satu cara yang banyak digunakan adalah dengan menggunakan firewall. Firewall (dari buku Building Internet Firewalls, oleh Chapman dan Zwicky) didefinisikan sebagai sebuah komponen atau kumpulan komponen yang membatasi akses antara sebuah jaringan yang diproteksi dan internet, atau antara kumpulan-kumpulan jaringan lainnya. Firewall dapat berupa hardware dalam bentuk router atau komputer, atau software yang menjalankan sistem gateway, atau kombinasi keduanya.

Dalam artikel ini akan dijelaskan komponen-komponen dasar dan beberapa arsitektur yang banyak digunakan dalam membuat suatu firewall. Pendekatan Firewall Ada empat pendekatan yang digunakan dalam membuat firewall, yaitu : packet filtering, proxy server. Application proxy, dan SOCKS proxy.


1. Packet Filtering
Sistem packet filtering melakukan packet routing antara jaringan internal dengan jaringan eksternal secara selektif. Sistem ini melewatkan atau memblok packet data yang lewat sesuai dengan aturan yang telah ditentukan. Router pada sistem ini disebut screening

router. Untuk mengetahui bagaimana cara kerja packet filtering, kita harus mengetahui perbedaan antara router biasa dengan sebuah screening router. Router biasa hanya melihat alamat IP tujuan dari suatu packet data dan mengarahkannya ke jalur yang terbaik agar packet data tersebut sampai ke tujuannya. Bila router tidak dapat melakukannya, packet data akan dikembalikan ke sumbernya. Screening router tidak hanya menentukan apakah router dapat melewatkan suatu packet data atau tidak, tetapi juga menerapkan suatu aturan yang akan menentukan apakah packet data tersebut akan dilewatkan atau tidak. Pemfilteran ini didasarkan pada :
1. IP sumber dan IP tujuan dari packet data
2. Port sumber dan port tujuan dari data
3. Protokol yang digunakan (TCP, UDP, ICMP, dan sebagainya)
4. Tipe pesan ICMP


2. Proxy Server
Proxy server adalah aplikasi khusus atau program server yang berjalan pada host firewall, baik pada dual-homed host yang memiliki sebuah interface ke jaringan internal dan interface lain ke jaringan eksternal, atau pada bastion host yang memiliki akses ke Internet dan dapat diakses oleh mesin internal. Program ini menangani request requestuntuk service-service Internet dari user dan melewatkannya ke service yang sebenarnya. Proxy menyediakan koneksi pengganti dan bertindak selaku gateway terhadap service-service tersebut. Oleh karena itu proxy sering juga disebut gateway level aplikasi.

Proxy server menghubungkan user pada jaringan internal dengan service pada Internet. User dan service tersebut tidak berkomunikasi secara langsung. Masing-masing berhubungan dengan proxy dan proxy yang menangani hubungan antara user dan service di belakang layar.

Proxy server dapat membatasi apa yang dapat dilakukan oleh user, karena proxy dapat memutuskan apakah suatu request dari user diperbolehkan atau ditolak.

3. Application Proxy
Proxy Server yang menghubungkan segala komunikasi ke jaringan luar maka, server tersebut dapat mencatat seluruh pekerjaan yang dilakukan oleh orang yang melakukan pekerjaan baik keluar maupun masuk jaringan. Selain itu Proxy server juga dapat mengenali user  yang boleh masuk atau keluar jaringan sehingga sebelum seorang user masuk atau keluar meminta untuk melakukan login



4. SOCKS Proxy
SOCKS Proxy server seperti metode switching dengan Switch Board, dimana dengan simple dapat menghubungkan sistem ke luar jaringan secara langsung. Arsitektur Firewall Ada beberapa arsitektur firewall. Pada artikel ini hanya akan dijelaskan beberapa diantaranya, yaitu : dual-homed host architecture, screened host architecture, dan screened subnet architecture.

Arsitektur Dual-Homed Host
Arsitektur Dual-home host dibuat disekitar komputer dual-homed host, yaitu komputer yang memiliki paling sedikit dua interface jaringan. Untuk mengimplementasikan tipe arsitektur dual-homed host, fungsi routing pada host ini di non-aktifkan. Sistem di dalam firewall dapat berkomunikasi dengan dual-homed host dan sistem di luar firewall dapat berkomunikasi dengan dual-homed host, tetapi kedua sistem ini tidak dapat berkomunikasi secara langsung.

Dual-homed host dapat menyediakan service hanya dengan menyediakan proxy pada host tersebut, atau dengan membiarkan user melakukan logging secara langsung pada dual-homed host.

Arsitektur Screened Host
Arsitektur screened host menyediakan service dari sebuah host pada jaringan internal dengan menggunakan router yang terpisah. Pada arsitektur ini, pengamanan utama dilakukan dengan packet filtering. Bastion host berada dalam jaringan internal. Packet filtering pada screening router dikonfigurasi sehingga hanya bastion host yang dapat melakukan koneksi ke Internet (misalnya mengantarkan mail yang datang) dan hanya tipe-tipe koneksi tertentu yang diperbolehkan. Tiap sistem eksternal yang mencoba untuk mengakses sistem internal harus berhubungan dengan host ini terlebih dulu. Bastion host diperlukan untuk tingkat keamanan yang tinggi.

Arsitektur Screened Subnet
Arsitektur screened subnet menambahkan sebuah layer pengaman tambahan pada arsitekture screened host, yaitu dengan menambahkan sebuah jaringan perimeter yang lebih mengisolasi jaringan internal dari jaringan Internet. Jaringan perimeter mengisolasi bastion host sehingga tidak langsung terhubung ke jaringan internal. Arsitektur screened subnet yang paling sederhana memiliki dua buah screening router, yang masing-masing terhubung ke jaringan perimeter. Router pertama terletak di antara jaringan perimeter dan jaringan internal, dan router kedua terletak di antara jaringan perimeter dan jaringan eksternal (biasanya Internet). Untuk menembus jaringan internal dengan tipe arsitektur screened subnet, seorang intruder harus melewati dua buah router tersebut sehingga jaringan internal akan relatif lebih aman.

IP CHAINS
makalah ini bertujuan memberikan pengertian dasar pemakaian ipchains sebagai firewall. Karena IPCHAINS sangat fleksibel, mudah diubah-ubah, dan tidak memerlukan konfigurasi yang sangat sulit Network Policy. Hal pertama yang perlu anda pikir dalam menggunakan firewall adalah policy (aturan) apa yang akan anda gunakan. Dalam hal ini adalah policy Accept (menerima) atau policy Deny (menolak). Policy accept, adalah segala sesuatu yang tidak disebutkan untuk ditolak akan diterima, sedangkan policy deny akan menolak apa saja yang tidak disebutkan.

Policy yang lebih baik adalah policy deny, karena hanya perlu menambahkan service yang ingin dibuka, dan yang lain akan ditolak secara defaultnya. Policy accept membutuhkan aturan filtering yang banyak, karena kita harus menyebutkan semua yang service yang ingin anda blokir.

Chains & Rules
Kedua istilah tersebut dalam memahami IPCHAINS, karena jika tidak tahu akan mendapatkan masalah untuk memahami bagaimana IPCHAINS bekerja.

1. Chains
Ada 4 jenis chain, sebaiknya kita mulai dari 3 yang pertama sehingga anda dapat mengerti apa yang dimaksud dengan chain. Ketika suatu paket masuk network interface akan melalui input chain, jika paket  meninggalkan network interface akan melalui output chain; dan jika paket mencoba "melompat" dari suatu interface ke interface lain akan melalui forward chain. Jadi secara singkat dapat kita katakan :
• Ketika suatu paket mencoba mengakses jaringan kita harus melalui input chain.
• Ketika suatu paket mencoba meninggalkan jaringan kita harus melalui output chain.
• Ketika suatu paket mencoba melompat ke interface lain (bayangkan ip forward) akan melalui forward chain.

Chain ke 4 adalah user defined chain, yang mana didefinisikan oleh user sendiri.

Pada masing-masing chain ini, anda harus mendefinisikan policy yang akan anda gunakan. Ada 3 policy yang mungkin :
Untuk menggunakan policy accept dapat menggunakan policy :
• ACCEPT.
Untuk menggunakan policy deny akan menggunakan policy:
• DENY
Jika menggunakan policy DENY maka apa yang tidak disebutkan untuk diterima akan diabaikan oleh kernel, tanpa memberitahukan ke komputer remote bahwa paket telah diabaikan. Sehingga sangat menghemat resources sistem anda, cara ini adalah baik dilakukan terhadap orang yang mencoba melakukan hack terhadap sistem anda.
• REJECT
Jika anda menggunakan policy REJECT, paket yang diabaikan dan suatu suatu ICMP error akan dibangkitkan oleh kernel dan dikirim ke remote host. Hal ini tentu saja memakan resources, dan waktu. Saya menyarankan anda sebaiknya menggunakan policy DENY daripada REJECT. Tetapi ada beberapa pengecualian yang akan dijelaskan selanjutnya.

2. Rules
Kita telah membahas tentang chain, dan chain tersebut tidak melakukan paket filter, chain hanya berupa policy. Sedangkan Rules mengatur aliran dari paket yang melalui chain tersebut, jadi kita dapat memandang rule sebagai suatu himpunan dari kondisi dengan suatu target. Himpunan kondisi tersebut akan digunakan sebagai perbandingan terhadap paket, target didefinisikan sebagai apa yang akan dilakukan terhadap paket tersebut jika merupakan anggota dari himpunan kondisi yang ditentukan. Dalam rule dapat juga diterapkan ACCEPT, REJECT and DENY. Yang mana hanya akan accept, reject atau deny terhadap paket yang memenuhi kondisi pada rules, dalam hal ini policy dari chain tidak akan terpengaruh karena rule ini hanya berlaku untuk paket tersebut.

Jika tidak ada rule untuk suatu paket, policy dari chain akan diterapkan padanya Saran saya adalah senantiasi mengunakan DENY, karena tidak memakan resources sistem yang terlalu besar sebagaimana REJECT. Tetapi ingat jika anda melakukan koneksi ke SMTP, tambahkan suatu rules REJECT paket pada port 113 (auth). Mengapa ? Karena ketika anda melakukan koneksi ke SMTP server, server akan melakukan koneksi ke port auth anda. Jika anda mengunakan DENY terhadap paket, SMTP server akan terus menunggu sampai time out, sedangkan jika menggunakan rules REJECT, SMTP dapat melanjutkan proses walaupun menerima suatu error.

Hal yang perlu anda ketahui adalah rules pertama yang memenuhi syarat akan digunakan, dan proses akan dihentikan disana untuk paket tersebut. IP and Masking Masking digunakan karena masking dapat benar-benar membantu dalam rules. Sedangkan pengertian masking seperti yang diilustrasikan berikut :

Suatu alamat IP dibentuk oleh 4 byte dan satu sama lain dipisahkan oleh sebuah titik. Contoh :

IP: 193.34.13.15 dapat juga ditulis sebagai dalam bentuk binary 11000001.00100010.00001101.00001110 Dan sebagian dari byte ini menunjukan network mask dan sisanya adalah host mask. Masking berguna untuk menentukan jumlah bits, bukan byte tetapi bit (1 byte = 8 bit) yang tetap, dan berapa banyak tidak tetap. Hal ini berarti bahwa 0.0.0.0/0 dapat disamakan sama dengan alamat IP apa saja, dan 134.34.12.12/32 dapat disamakan dengan 134.34.12.12 tetapi 134.34.12.0/24 dapat disamakan dengan IP-IP dari

134.34.12.0 sampai 134.24.12.255. Rahasia untuk memahami hal ini adalah mengkonversi nomor IP dalam notasi binary, bukan dalam bentuk desimal.

IPchains
Untuk memahami IPchains kita perlu menuliskan script-script yang akan membantu dalam memahami IPCHAINS. Script dibawah ini berguna untuk suatu firewall yang akan melakukan masquerading bagi seluruh jaringan. Perhatikan keterangan yang ada agar dapat lebih memahami cara kerja dari IPCHAINS.

Saya mengganggap firewall tersebut memiliki 2 interface yaitu ppp0 keinternet dan eth0 yang terkoneksi ke LAN.

---- Awal dari script ----

# script ipchains oleh Ghost_Rider

# digunakan sebagai contoh pada

# Practical Guide for using ipchains

IPCHAINS = "/sbin/ipchains"

# Mereset semua rules yang ada

$IPCHAINS -F input

$IPCHAINS -F output

$IPCHAINS -F forward

# Menentukan policy

# input akan menggunakan DENY

# output dan forward akan menggunakan ACCEPT

$IPCHAINS -P input DENY

$IPCHAINS -P output ACCEPT

$IPCHAINS -P forward ACCEPT

# Memperbolehkan traffic lokal

$IPCHAINS -A input -i lo -j ACCEPT

$IPCHAINS -A input -i eth0 -j ACCEPT

# eth0 singkatan dari ethernet card yang pertama

# Block semua ip address private yang datang dari ppp0 #(internet)

$IPCHAINS -A input -i ppp0 -s 10.0.0.0/8 -j DENY

$IPCHAINS -A input -i ppp0 -s 172.16.0.0/12 -j DENY

$IPCHAINS -A input -i ppp0 -s 192.168.0.0/16 -j DENY

# DiBLOKIR Karena ketiga address tersebut adalah ip yang hanya digunakan untuk intenal.

# Yang berarti tidak ada host diinternet yang memiliki ip #ini.

# Jadi tidak mungkin mereka datang dari ppp0

# Nampaknya ada yang mencoba melakukan hacking terhadap #jaringan anda dengan spoofing

# Memperbolehkan DNS replies, tetapi hanya primary dan #secondary DNS server dari ISP kita

# misalnya: 194.13.20.19 dan 194.13.20.20 adalah DNS #server ISP kita $IPCHAINS -A input -i ppp0 -p tcp -s 194.13.20.19 53 -j ACCEPT

$IPCHAINS -A input -i ppp0 -p tcp -s 194.13.20.20 53 -j ACCEPT

$IPCHAINS -A input -i ppp0 -p udp -s 194.13.20.19 53 -j ACCEPT

$IPCHAINS -A input -i ppp0 -p udp -s 194.13.20.20 53 -j ACCEPT

# Memperbolehkan ssh

# kita tidak perlu melakukan allow -i eth0 ke -dport 22

# karena kita telah menerima segalanya dari etho0

# periksa pada bagian ketia kita meneripa loopback dan #paket ethernet

$IPCHAINS -A input -i ppp0 --dport 22 -j ACCEPT

# Kita akan menolak paket untuk port 113

$IPCHAINS -A input -i ppp0 -p tcp --dport 113 -j REJECT

# Memperbolehkan 3 jenis ICMP

$IPCHAINS -A input -i ppp0 -p icmp --dport 0 -j ACCEPT

$IPCHAINS -A input -i ppp0 -p icmp --dport 3 -j ACCEPT

$IPCHAINS -A input -i ppp0 -p icmp --dport 11 -j ACCEPT

Makalah Praktikum Komunikasi Data

SISTEM KEAMANAN JARINGAN DENGAN FIREWALL

24

# Log everything else

$IPCHAINS -A input -j DENY -l

# Melakukan blokir terhadap alamat LAN tidak boleh akses # ke

www.porno.com dan www.rival.company.com yang #memiliki ip

202.120.12.3 dan 120.10.0.34

$IPCHAINS -A output -i eth0 -d 202.120.12.3 -j DENY

$IPCHAINS -A output -i ppp0 -d 120.10.0.34 -j DENY

# Dan akhirnya kita tambahkan aturan untuk masq

$IPCHAINS -A forward -j MASQ -s 192.68.1.0/24 -d ! 192.168.1.0/24

# Network kita adalah 192.68.1.0/24

# -d ! 192.168.1.0/24 berarti jika tujuannya bukan berada dalam network

kita

# firewall harus melakukan MASQ.

# Tetapi ingat, hanya dengan rule ipchain ini anda tidak dapat melakukan

forward sesuatu, karena firewall tidak melakukan route.

# Hal tersebut untuk routing table.

# Jadi instalasi port forwarding tool (ipmasadm).

Port forwarding

Port Forwarding berguna untuk mengalihkan permintaan kepada Server yang bertanggung jawab menangani permintaan tersebut. Misalnya eksternal IP firewall anda adalah 193.45.12.10 dan host yang memberikan service http adalah 192.168.1.17. Jadi anda harus mengetik seperti ini:

ipmasqadm portfw -a -P tcp -L 193.45.12.10 80 -R 192.168.1.17 80

dimana :
- portfw dapat disebut sebagai forwarding chain untuk ipmasqadm
- a berarti add ke ipchains
- P tcp untuk protocol yang digunakan, dalam hal ini tcp
- L adalah untuk local address, dengan ip dan port
- R untuk redirecting alamat, dengan ip dan port
Untuk membangun suatu jaringan yang memiliki tingkat keamanan yang cukup tinggi dibutuhkan sistem yang mampu mengatur lalu lintas keluar dan masuknya paket ke dalam jaringan lokal kita. Salah satu sistem yang dapat digunakan untuk menolak, meneruskan atau menyaring paketpaket yang akan keluar atau masuk


Artikel terkait:


Donasi Pada Blog Ini Cukup Mengklik Iklan Yang Ada, Klik Anda Sangat Berguna Untuk Kelangsungan Blog Ini. Terima Kasih

+ comments + 6 comments

7 June 2013 19:43

mas Ardiansyah, boleh tdk merangkum tulisan anda untuk di translate ke english utk postingan blog sy dan tetap mereferensikan sumber artikel nama anda dan link blog ini ? wassalam

7 June 2013 20:59

Asal ada referensi link Silahkan aja mas, monggo dicomot..:)
salam blogger

22 July 2013 16:54

lengkap mas saya comot buat referensi tugas..salam blogger :D

22 July 2013 17:23

@Andri Adi NugrohoOke Mas Brohh..

20 November 2013 21:53

KEREN+brmanfaat bgt nih ARTIKEL/BLOG.....SANGAT MEMBANTU,,,,,THNX MAS BRO DAN TRUS2 SHARING.... :)

14 December 2013 11:19

@angga montase iya makasih gan , :)

Post a Comment

 
Support : Creating Website | Johny Template | Mas Template
Copyright © 2011. BANYAK HAL - All Rights Reserved
Template Created by Creating Website Published by Mas Template
Proudly powered by Blogger