sistem keamanan jaringan

Makalah Praktikum Komunikasi Data

SISTEM KEAMANAN JARINGAN DENGAN FIREWALL

1

KATA PENGANTAR

Bismillahirrahmanirrahim

Segala puji hanya bagi ALLAH SWT Tuhan semesta alam, sang

pencipta yang Maha Mendengar dan Maha Mengetahui. Shalawat serta

salam semoga selalu tercurahkan kepada Rasulullah SAW, kepada

keluarga, para sahabat, dan umatnya.

Makalah ini dibuat untuk memenuhi kelulusan Mata Praktikum

Computer & Communication dengan judul "Sistem Keamanan Jaringan

dengan Firewall”.

Penyusun mengucapkan terimakasih kepada rekan-rekan asisten

yang telah membagi ilmunya dengan kami serta pihak-pihak lain yang

tidak dapat disebutkan di sini. Apa yang penyusun persembahkan masih

jauh dari kesempurnaan, masukan dari pembaca masih terus diharapkan.

Dan semoga makalah ini dapat memberi manfaat bagi kemajuan teknologi

dan mendapat ridho dari-Nya.

Wassalam

Bandung, November 2001

Penyusun



2

DAFTAR ISI KATA PENGANTAR …………………………………………………………..1

DAFTAR ISI ….…………………………………………………………………..2

ABSTRAKSI ……………………………………………………………………..3

BAB I PENDAHULUAN ………………………………………………..4

Latar Belakang ………………………………………………….4

Maksud dan Tujuan …………………………………………….4

Dasar Teori ………………………………………………………4

BAB II KONSEP FIREWALL …………………………………………..12

Pendekatan Firewall ………………………………………….12

Arsitektur Firewall ……………………………………………..15

BAB III MENGGUNAKAN IPCHAINS SEBAGAI FIREWALL …….18

Pendahuluan …………………………………………………..18

Network Policy …………………………………………………18

Chains dan Rules ……………………………………………..18

IP dan Masking ………………………………………………..21

IPCHAINS ……………………………………………………….21

Port Forwarding ………………………………………………..24

BAB IV PENUTUP ………………………………………………………26



3

ABSTRAKSI Keamanan jaringan menjadi semakin penting dengan semakin banyaknya

waktu yang dihabiskan orang untuk berhubungan. Mengganggu

keamanan jaringan sering lebih mudah daripada fisik atau lokal, dan lebih

umum. Perkembangan Internet dan jaringan internal yang semakin pesat

menuntut adanya pengamanan terhadap jaringan internal dari

kemungkinan adanya serangan dari jaringan eksternal.

Salah satu cara yang banyak digunakan adalah dengan menggunakan

firewall. yang membatasi akses antara sebuah jaringan yang diproteksi

dan internet, atau antara kumpulan-kumpulan jaringan lainnya. Firewall

dapat berupa hardware dalam bentuk router atau komputer, atau software

yang menjalankan sistem gateway, atau kombinasi keduanya.

IPCHAINS sebagai salah satu Aplikasi dari Firewall dapat dimanfaatkan

dalam mengamankan komputer anda. Selain itu IPCHAINS sangat mudah

untuk diimplementasikan dan dikonfigurasi ulang sesuai dengan

kebutuhan kita.



4

BAB I PENDAHULUAN

LATAR BELAKANG Perkembangan Internet dan jaringan internal yang semakin pesat


kemungkinan adanya serangan dari jaringan eksternal. Banyak sekali

metode yang dapat digunakan untuk mendeteksi serangan atau

penyusupan oleh jaringan eksternal, dari mulai paket sniffing, network

scanner, monitoring layanan, keamanan mail, dan firewall. Salah satu cara

yang banyak digunakan adalah dengan menggunakan firewall. Dengan

firewall kita bisa menolak, memperbolehkan atau menyaring paket yang

mencoba masuk ke dalam jaringan kita.

MAKSUD DAN TUJUAN Tujuan dari pengimplementasian Firewall adalah untuk membangun suatu

jaringan dengan tingkat keamanan yang sangat tinggi dengan cara untuk

membatasi informasi yang dibolehkan masuk dan keluar dari jaringan

lokal anda.

Dengan demikian firewall dapat mengendalikan apa yang diterima dan

dikirim dari Internet dan LAN anda.

DASAR TEORI

Keamanan jaringan menjadi semakin penting dengan semakin

banyaknya waktu yang dihabiskan orang untuk berhubungan ke internet.

Mengganggu keamanan jaringan sering lebih mudah daripada fisik atau

lokal, dan lebih umum.

Terdapat sejumlah alat yang baik untuk membantu keamanan

jaringan, dan semakin banyak disertakan dalam software atau OS.



5

A. Packet Sniffers

Salah satu cara umum yang digunakan penyusup untuk

memperoleh akses ke banyak sistem di jaringan anda adalah dengan

menggunakan sebuah packet sniffer pada host yang telah diganggu.

Sniffer ini mendengarkan port Ethernet untuk hal-hal seperti

"Password" dan "Login" dan "su" dalam aliran paket dan kemudian

mencatat lalu lintas setelahnya. Dengan cara ini, penyerang

memperoleh password untuk sistem yang bahkan tidak mereka

usahakan untuk dibongkar. Password teks biasa adalah sangat rentan

terhadap serangan ini.

Di masa sekarang, penyerang bahkan tidak perlu mengganggu

sebuah sistem untuk melakukan hal ini, mereka dapat membawa

laptop atau pc ke suatu gedung dan menyadap ke jaringan anda.

Dengan menggunakan ssh atau metode password terenkripsi

lainnya dapat mencegah serangan ini. Hal-hal seperti APOP untuk

rekening pop juga dapat mencegah serangan ini.

B. Pelayanan sistem dan tcp_wrappers

Segera setelah anda menaruh sistem anda di sembarang jaringan, hal

pertama yang harus dilihat adalah pelayanan yang butuh anda

tawarkan. Pelayanan-pelayanan yang tidak perlu anda tawarkan

seharusnya ditiadakan sehingga anda memiliki satu hal yang tidak

perlu dikhawatirkan dan penyerang memiliki satu hal kurangnya untuk

mencari lubang.

Beberapa pelayanan yang ingin anda biarkan ada adalah:

• ftp untuk transfer file

• telnet untuk remote machine

• mail, seperti pop-3 atau imap untuk mail



6

• identd untuk menagtur layanan

• time untuk waktu

Jika anda adalah pemakai dialup rumahan, kami menyarankan anda

menolak seluruhnya. tcpd juga mencatat usaha yang gagal untuk

mengakses pelayanan, sehingga ini dapat memberi anda ide bahwa

anda sedang diserang. Jika anda menambahkan pelayanan baru,

anda harus pasti mengkonfigurasinya untuk menggunakan

tcp_wrappers berbasis TCP. Sebagai contoh, pemakai dial-up normal

dapat mencegah orang luar koneksi ke mesin anda, namun masih

memiliki kemampuan untuk menerima surat, dan membuat hubungan

jaringan ke Internet.

C. Memverifikasi Informasi DNS Anda

Memelihara informasi DNS tentang seluruh host di jaringan anda agar

tetap baru dapat membantu meningkatkan keamanan. Bilamana ada

host yang tidak dijinkan terhubung ke jaringan anda, anda dapat

mengenalinya dengan tidak adanya masukan DNS. Banyak

pelayanan dapat dikonfigurasi untuk tidak menerima koneksi dari host

yang tidak memiliki masukan DNS yang valid.

D. Monitoring identd

identd adalah program kecil yang umumnya berjalan di inetd. Ia

mencatat pelayanan tcp apa yang dijalankan pemakai, dan kemudian

melaporkannya kepada yang meminta.Banyak orang salah mengerti

kegunaan identd, sehingga meniadakannya atau memblok seluruh

site yang memintanya. identd ada bukan untuk membantu remote site.

Tidak ada cara untuk mengetahui jika data yang anda peroleh dari

remote identd benar atau tidak. Tidak ada autentikasi dalam

permintaan identd.

Program ini dijalankan karena ia membantu anda, dan adalah titik

data lain dalam penelusuran. Jika identd anda tidak terganggu, maka



7

anda mengerti ia memberi tahu remote site nama pemakai atau uid

orang-orang yang menggunakan pelayanan tcp. Jika admin pada

remote site datang kepada anda dan memberitahu pemakai anda

berusaha menghack ke site mereka, anda dapat secara mudah

mengambil tindakan terhadap pemakai tersebut. Jika anda tidak

menjalankan identd, anda harus melihat banyak catatan,

memperkirakan siapa yang ada pada saat itu, dan secara umum

membutuhkan waktu yang lebih banyak untuk menelusuri pemakai.

identd yang disertakan dalam banyak distribusi lebih mudah

dikonfigurasi daripada yang diperkirakan orang. Anda dapat

meniadakan identd untuk pemakai tertentu, anda dapat mencatat

seluruh permintaan identd, anda bahkan dapat memiliki identd

mengembalikan uid daripada nama pemakai atau bahkan NO-USER.

E. Menggunakan software Scanner Jaringan

Terdapat sejumlah paket software berbeda yang melakukan

penelusuran berdasarkan port dan pelayanan mesin atau jaringan.

SATAN dan ISS adalah dua yang paling dikenal. Software ini

berhubungan ke mesin sasaran (atau seluruh mesin sasaran di suatu

jaringan) di semua port yang ada, dan berusaha menentukan

pelayanan apa yang sedang berjalan. Berdasarkan informasi ini, anda

dapat menemukan mesin yang rentan terhadap eksploitasi tertentu

pada server.

SATAN (Security Administrators Tool for Analyzing Networks) adalah

sebuah penelusur port dengan antara muka web. Ia dapat

dikonfigurasi untuk melakukan pemeriksaan ringan, menengah, atau

berat pada mesin atau pada jaringan mesin. Akan merupakan ide

yang baik untuk memperoleh SATAN dan memeriksa mesin atau

jaringan anda, dan membenahi masalah-masalah yang ditemukan.



8

ISS (Internet Security Scanner) adalah penelusur berdasarkan port

yang lain. Ia lebih cepat daripada SATAN, dan mungkin lebih baik

untuk jaringan yang besar. Namun demikian, SATAN memberikan

lebih banyak informasi.

F. Amankan Sendmail, qmail dan MTA

Salah satu pelayanan penting yang dapat anda sediakan adalah

server surat. Sayangnya, ia juga sangat rentan diserang, karena

banyaknya tugas yang harus dilakukan dan dibutuhkannya ijin khusus.

Pergunakan MTA yang dirancang dengan perhatian pada keamanan

yang sangat tinggi, selain itu cepat dan stabil serta aman.

G. Serangan Denial of Service

Serangan denial of service adalah saat ketika penyerang berusaha

menggunakan beberapa sumber daya hingga terlalu sibuk untuk

menjawab permintaan yang resmi, atau menolak pemakai resmi

mengakses mesin anda.

Serangan-serangan semacam ini meningkat dengan cepat pada

tahun-tahun belakangan ini. Beberapa yang populer dan terbaru

ditampilkan di bawah ini. Perhatikan bahwa yang baru selalu muncul

setiap saat, sehingga ini hanya merupakan contoh :

• SYN Flooding - SYN flooding adalah serangan denial of service

jaringan. Ia mengambil keuntungan dari "loophole" dalam koneksi

TCP yang tercipta.

• Pentium "F00F" Bug - Ini baru ditemukan bahwa serangkaian kode

assembly yang dikirim ke prosesor asli Intel Pentium akan

mereboot mesin. Ini mempengaruhi setiap mesin dengan prosesor

Pentium (bukan klon, atau Pentium Pro atau PII), tidak tergantung

pada sistem operasi yang dijalankan.



9

• Ping Flooding - Ping flooding adalah serangan denial of service

brute force sederhana. Penyerang mengirim "flood" paket ICMP ke

mesin anda. Jika mereka melakukan ini dari host dengan

bandwidth yang lebih baik daripada milik anda, mesin anda tidak

akan mampu mengirim sesuatu ke jaringan. Variasi serangan ini,

disebut "smurfing" mengirim paket ICMP ke host dengan IP

kembalian mesin anda, memungkinkan mereka membanjiri anda

dengan sedikit terdeteksi. Jika anda diserang ping flood, gunakan

alat seperti tcpdump untuk menentukan asal paket (atau

tampaknya berasal), kemudian hubungi provider anda dengan

informasi ini. Ping flood dapat secara mudah dihentikan di level

router atau dengan menggunakan firewall.

• Ping o' Death - Serangan Ping o' Death disebabkan lebih besarnya

paket ICMP ECHO REQUEST yang datang daripada yang dapat

ditangani struktur data kernel . Oleh karena mengirim sebuah paket

"ping" besar (65.510 byte) ke banyak sistem akan membuat mereka

hang atau bahkan crash, masalah ini secara cepat disebut "Ping o'

Death". Ini telah lama diperbaiki, dan tidak perlu dikhawatirkan lagi.

• Teardrop / New Tear - Salah satu eksploit terbaru yang melibatkan

bug yang ada di kode fragmentasi IP pada platform Linux dan

Windows. .

H. Keamanan NFS (Network File System)

NFS adalah protokol file sharing yang paling banyak digunakan. Ia

memungkinkan server untuk mengekspor seluruh filesystem ke mesin

lain dengan dukungan nfs filesystem pada kernelnya (atau beberapa

dukungan client jika mereka bukan mesin Linux).

Banyak site menggunakan NFS untuk bertugas sebagai direktori

home untuk pemakai, sehingga tak peduli mesin apa yang dimasuki,

mereka akan selalu memiliki file-filenya.



10

Terdapat sedikit "keamanan" dibolehkan dalam mengekspor

filesystem. Anda dapat membuat peta nfsd pemakai root remote ke

pemakai nobody, membatasi akses total ke file-file yang diekspor.

Namun demikian, karena pemakai individu memiliki akses ke file-file

mereka (atau paling tidak uid yang sama), superuser remote dapat

login atau su ke rekening mereka dan memiliki akses total ke file-file

mereka. Ini hanya penghalang kecil bagi seorang penyerang yang

memiliki akses untuk melakukan mount filesystem remote anda.

Jika harus menggunakan NFS, pastikan anda mengekspor ke mesin-

mesin yang anda butuh untuk ekspor saja. Jangan pernah

mengekspor seluruh direktori root anda, ekspor hanya direktori yang

perlu anda ekspor.

I. NIS (Network Information Service) (dahulu YP)

Network Information Service (dahulu YP) adalah suatu cara

mendistribusikan informasi ke sekelompok mesin. Master NIS

menyimpan tabel informasi dan mengkonversinya ke file peta NIS.

Peta ini kemudian melayani jaringan, memungkinkan mesin klien NIS

untuk memperoleh login, password, direktori home dan informasi shell.

Hal ini memungkinkan pemakai merubah password mereka sekali dan

berlaku pula di seluruh mesin dalam domain NIS.

NIS tidak seluruhnya aman. Ia tidak pernah dimaksudkan demikian. Ia

dimaksudkan untuk berguna dan sederhana. Setiap orang dapat

menduga nama domain NIS anda (di setiap tempat di Net) dapat

memperoleh salinan file passwd, dan menggunakan Crack dan John

the Ripper terhadap password pemakai anda. Juga, adalah mungkin

untuk menipu NIS dan melakukan berbagai trik kotor. Jika anda harus

menggunakan NIS, pastikan anda paham bahayanya. Terdapat

pengganti NIS yang lebih aman, disebut NIS+.



11

J. Firewall

Firewall adalah suatu cara untuk membatasi informasi yang

dibolehkan masuk dan keluar dari jaringan lokal anda. Umumnya host

firewall terhubung ke Internet dan LAN lokal anda, dan akses LAN

anda ke Internet hanya melalui firewall. Dengan demikian firewall

dapat mengendalikan apa yang diterima dan dikirim dari Internet dan

LAN anda.

Terdapat beberapa tipe dan metode setting firewall. Mesin-mesin

Linux dapat menjadi firewall yang baik dan murah. Kode firewall dapat

dibangun langsung ke dalam kernel . Ada beberapa alat yang

memungkinkan anda merubah tipe lalu lintas jaringan yang anda

bolehkan secara on the fly. Anda dapat pula mencatat tipe lalu lintas

jaringan tertentu.

Firewall adalah teknik yang sangat berguna dan penting dalam

mengamankan jaringan anda. Penting untuk menyadari bahwa anda

tidak boleh pernah berpikir bahwa dengan memiliki firewall, anda tidak

perlu mengamankan mesin-mesin di baliknya.



12

BAB II

KONSEP FIREWALL

Perkembangan Internet dan jaringan internal yang semakin pesat


kemungkinan adanya serangan dari jaringan eksternal. Salah satu cara

yang banyak digunakan adalah dengan menggunakan firewall.

Firewall (dari buku Building Internet Firewalls, oleh Chapman dan

Zwicky) didefinisikan sebagai sebuah komponen atau kumpulan

komponen yang membatasi akses antara sebuah jaringan yang diproteksi

dan internet, atau antara kumpulan-kumpulan jaringan lainnya. Firewall

dapat berupa hardware dalam bentuk router atau komputer, atau software

yang menjalankan sistem gateway, atau kombinasi keduanya. Dalam

artikel ini akan dijelaskan komponen-komponen dasar dan beberapa

arsitektur yang banyak digunakan dalam membuat suatu firewall.

Pendekatan Firewall Ada empat pendekatan yang digunakan dalam membuat firewall,

yaitu : packet filtering, proxy server. Application proxy, dan SOCKS proxy.

1. Packet Filtering Sistem packet filtering melakukan packet routing antara jaringan

internal dengan jaringan eksternal secara selektif. Sistem ini

melewatkan atau memblok packet data yang lewat sesuai dengan

aturan yang telah ditentukan. Router pada sistem ini disebut screening

router.



13

Gambar 1. Packet filtering dengan menggunakan screening router

Untuk mengetahui bagaimana cara kerja packet filtering, kita harus

mengetahui perbedaan antara router biasa dengan sebuah screening

router. Router biasa hanya melihat alamat IP tujuan dari suatu packet

data dan mengarahkannya ke jalur yang terbaik agar packet data

tersebut sampai ke tujuannya. Bila router tidak dapat melakukannya,

packet data akan dikembalikan ke sumbernya.

Screening router tidak hanya menentukan apakah router dapat

melewatkan suatu packet data atau tidak, tetapi juga menerapkan

suatu aturan yang akan menentukan apakah packet data tersebut

akan dilewatkan atau tidak. Pemfilteran ini didasarkan pada :

1. IP sumber dan IP tujuan dari packet data

2. Port sumber dan port tujuan dari data

3. Protokol yang digunakan (TCP, UDP, ICMP, dan

sebagainya)

4. Tipe pesan ICMP

2. Proxy Server Proxy server adalah aplikasi khusus atau program server yang

berjalan pada host firewall; baik pada dual-homed host yang memiliki

sebuah interface ke jaringan internal dan interface lain ke jaringan

eksternal, atau pada bastion host yang memiliki akses ke Internet dan



14

dapat diakses oleh mesin internal. Program ini menangani request-

request untuk service-service Internet dari user dan melewatkannya ke

service yang sebenarnya. Proxy menyediakan koneksi pengganti dan

bertindak selaku gateway terhadap service-service tersebut. Oleh

karena itu proxy sering juga disebut gateway level aplikasi.

Gambar 2. Penggunaan proxy server pada dual-home host

Proxy server menghubungkan user pada jaringan internal dengan

service pada Internet. User dan service tersebut tidak berkomunikasi

secara langsung. Masing-masing berhubungan dengan proxy dan proxy

yang menangani hubungan antara user dan service di belakang layar.

Proxy server dapat membatasi apa yang dapat dilakukan oleh user,

karena proxy dapat memutuskan apakah suatu request dari user

diperbolehkan atau ditolak.

3. Application Proxy

Proxy Server yang menghubungkan segala komunikasi ke jaringan

luar maka, server tersebut dapat mencatat seluruh pekerjaan yang

dilakukan oleh orang yang melakukan pekerjaan baik keluar maupun

masuk jaringan. Selain itu Proxy server juga dapat mengenali user



15

yang boleh masuk atau keluar jaringan sehingga sebelum seorang

user masuk atau keluar meminta untuk melakukan login 4. SOCKS Proxy

SOCKS Proxy server seperti metode switching dengan Switch

Board, dimana dengan simple dapat menghubungkan sistem ke luar

jaringan secara langsung.

Arsitektur Firewall Ada beberapa arsitektur firewall. Pada artikel ini hanya akan

dijelaskan beberapa diantaranya, yaitu : dual-homed host architecture,

screened host architecture, dan screened subnet architecture.

1. Arsitektur Dual-Homed Host Arsitektur Dual-home host dibuat disekitar komputer dual-homed host,

yaitu komputer yang memiliki paling sedikit dua interface jaringan.

Untuk mengimplementasikan tipe arsitektur dual-homed host, fungsi

routing pada host ini di non-aktifkan. Sistem di dalam firewall dapat

berkomunikasi dengan dual-homed host dan sistem di luar firewall

dapat berkomunikasi dengan dual-homed host, tetapi kedua sistem ini

tidak dapat berkomunikasi secara langsung.

Gambar 3. Arsitektur dual-homed host



16

Dual-homed host dapat menyediakan service hanya dengan

menyediakan proxy pada host tersebut, atau dengan membiarkan user

melakukan logging secara langsung pada dual-homed host.

2. Arsitektur Screened Host Arsitektur screened host menyediakan service dari sebuah host pada

jaringan internal dengan menggunakan router yang terpisah. Pada

arsitektur ini, pengamanan utama dilakukan dengan packet filtering.

Gambar 4. Arsitektur screened host

Bastion host berada dalam jaringan internal. Packet filtering pada

screening router dikonfigurasi sehingga hanya bastion host yang dapat

melakukan koneksi ke Internet (misalnya mengantarkan mail yang

datang) dan hanya tipe-tipe koneksi tertentu yang diperbolehkan. Tiap

sistem eksternal yang mencoba untuk mengakses sistem internal harus

berhubungan dengan host ini terlebih dulu. Bastion host diperlukan

untuk tingkat keamanan yang tinggi.

3. Arsitektur Screened Subnet Arsitektur screened subnet menambahkan sebuah layer pengaman

tambahan pada arsitekture screened host, yaitu dengan menambahkan



17

sebuah jaringan perimeter yang lebih mengisolasi jaringan internal dari

jaringan Internet.

Gambar 5. Arsitektur screened subnet

Jaringan perimeter mengisolasi bastion host sehingga tidak langsung

terhubung ke jaringan internal. Arsitektur screened subnet yang paling

sederhana memiliki dua buah screening router, yang masing-masing

terhubung ke jaringan perimeter. Router pertama terletak di antara

jaringan perimeter dan jaringan internal, dan router kedua terletak di

antara jaringan perimeter dan jaringan eksternal (biasanya Internet).

Untuk menembus jaringan internal dengan tipe arsitektur screened

subnet, seorang intruder harus melewati dua buah router tersebut

sehingga jaringan internal akan relatif lebih aman.



18

BAB IV MENGGUNAKAN IPCHAINS SEBAGAI FIREWALL

Pendahuluan

Bab ini bertujuan memberikan pengertian dasar pemakaian ipchains

sebagai firewall. Karena IPCHAINS sangat fleksibel, mudah diubah-ubah,

dan tidak memerlukan konfigurasi yang sangat sulit

Network Policy

Hal pertama yang perlu anda pikir dalam menggunakan firewall adalah

policy (aturan) apa yang akan anda gunakan. Dalam hal ini adalah policy

Accept (menerima) atau policy Deny (menolak).

Policy accept, adalah segala sesuatu yang tidak disebutkan untuk ditolak

akan diterima, sedangkan policy deny akan menolak apa saja yang tidak

disebutkan.

Policy yang lebih baik adalah policy deny, karena hanya perlu

menambahkan service yang ingin dibuka, dan yang lain akan ditolak

secara defaultnya. Policy accept membutuhkan aturan filtering yang

banyak, karena kita harus menyebutkan semua yang service yang ingin

anda blokir.

Chains & Rules

Kedua istilah tersebut dalam memahami IPCHAINS, karena jika tidak tahu

akan mendapatkan masalah untuk memahami bagaimana IPCHAINS

bekerja.

1. Chains

Ada 4 jenis chain, sebaiknya kita mulai dari 3 yang pertama sehingga

anda dapat mengerti apa yang dimaksud dengan chain. Ketika suatu

paket masuk network interface akan melalui input chain; jika paket



19

meninggalkan network interface akan melalui output chain; dan jika paket

mencoba "melompat" dari suatu interface ke interface lain akan melalui

forward chain. Jadi secara singkat dapat kita katakan :

• Ketika suatu paket mencoba mengakses jaringan kita harus melalui

input chain.

• Ketika suatu paket mencoba meninggalkan jaringan kita harus

melalui output chain.

• Ketika suatu paket mencoba melompat ke interface lain

(bayangkan ip forward) akan melalui forward chain.

Chain ke 4 adalah user defined chain, yang mana didefinisikan oleh user

sendiri.

Pada masing-masing chain ini, anda harus mendefinisikan policy yang

akan anda gunakan. Ada 3 policy yang mungkin :

Untuk menggunakan policy accept dapat menggunakan policy :

• ACCEPT.

Untuk menggunakan policy deny akan menggunakan policy:

• DENY

• REJECT

Jika menggunakan policy DENY maka apa yang tidak disebutkan untuk

diterima akan diabaikan oleh kernel, tanpa memberitahukan ke komputer

remote bahwa paket telah diabaikan. Sehingga sangat menghemat

resources sistem anda, cara ini adalah baik dilakukan terhadap orang

yang mencoba melakukan hack terhadap sistem anda.



20

Jika anda menggunakan policy REJECT, paket yang diabaikan dan suatu

suatu ICMP error akan dibangkitkan oleh kernel dan dikirim ke remote

host. Hal ini tentu saja memakan resources, dan waktu.

Saya menyarankan anda sebaiknya menggunakan policy DENY dari

pada REJECT. Tetapi ada beberapa pengecualian yang akan dijelaskan

selanjutnya.

2. Rules

Kita telah membahas tentang chain, dan chain tersebut tidak melakukan

paket filter, chain hanya berupa policy. Sedangkan Rules mengatur aliran

dari paket yang melalui chain tersebut, jadi kita dapat memandang rule

sebagai suatu himpunan dari kondisi dengan suatu target. Himpunan

kondisi tersebut akan digunakan sebagai perbandingan terhadap paket,

target didefinisikan sebagai apa yang akan dilakukan terhadap paket

tersebut jika merupakan anggota dari himpunan kondisi yang ditentukan.

Dalam rule dapat juga diterapkan ACCEPT, REJECT and DENY. Yang

mana hanya akan accept, reject atau deny terhadap paket yang

memenuhi kondisi pada rules, dalam hal ini policy dari chain tidak akan

terpengaruh karena rule ini hanya berlaku untuk paket tersebut. Jika tidak

ada rule untuk suatu paket, policy dari chain akan diterapkan padanya

Saran saya adalah senantiasi mengunakan DENY, karena tidak memakan

resources sistem yang terlalu besar sebagaimana REJECT. Tetapi ingat

jika anda melakukan koneksi ke SMTP, tambahkan suatu rules REJECT

paket pada port 113 (auth). Mengapa ? Karena ketika anda melakukan

koneksi ke SMTP server, server akan melakukan koneksi ke port auth

anda. Jika anda mengunakan DENY terhadap paket, SMTP server akan

terus menunggu sampai time out, sedangkan jika menggunakan rules

REJECT, SMTP dapat melanjutkan proses walaupun menerima suatu

error.



21

Hal yang perlu anda ketahui adalah rules pertama yang memenuhi syarat

akan digunakan, dan proses akan dihentikan disana untuk paket tersebut.

IP and Masking

Masking digunakan karena masking dapat benar-benar membantu dalam

rules. Sedangkan pengertian masking seperti yang diilustrasikan berikut :

Suatu alamat IP dibentuk oleh 4 byte dan satu sama lain dIPisahkan oleh

sebuah titik. Contoh :

IP: 193.34.13.15 dapat juga ditulis sebagai dalam bentuk binary

11000001.00100010.00001101.00001110

Dan sebagian dari byte ini menunjukan network mask dan sisanya adalah

host mask.

Masking berguna untuk menentukan jumlah bits, bukan byte tetapi bit (1

byte = 8 bit) yang tetap, dan berapa banyak tidak tetap. Hal ini berarti

bahwa 0.0.0.0/0 dapat disamakan sama dengan alamat IP apa saja, dan

134.34.12.12/32 dapat disamakan dengan

134.34.12.12 tetapi 134.34.12.0/24 dapat disamakan dengan IP-IP dari

134.34.12.0 sampai 134.24.12.255.

Rahasia untuk memahami hal ini adalah mengkonversi nomor IP dalam

notasi binary, bukan dalam bentuk desimal.

IPchains Untuk memahami IPchains kita perlu menuliskan script-script yang akan

membantu dalam memahami IPCHAINS.

Script dibawah ini berguna untuk suatu firewall yang akan melakukan

masquerading bagi seluruh jaringan. Perhatikan keterangan yang ada

agar dapat lebih memahami cara kerja dari IPCHAINS.



22

Saya mengganggap firewall tersebut memiliki 2 interface yaitu ppp0 ke

internet dan eth0 yang terkoneksi ke LAN.

---- Awal dari script ----

# script ipchains oleh Ghost_Rider

# digunakan sebagai contoh pada

# Practical Guide for using ipchains

IPCHAINS = "/sbin/ipchains"

# Mereset semua rules yang ada

$IPCHAINS -F input

$IPCHAINS -F output

$IPCHAINS -F forward

# Menentukan policy

# input akan menggunakan DENY

# output dan forward akan menggunakan ACCEPT

$IPCHAINS -P input DENY

$IPCHAINS -P output ACCEPT

$IPCHAINS -P forward ACCEPT

# Memperbolehkan traffic lokal

$IPCHAINS -A input -i lo -j ACCEPT

$IPCHAINS -A input -i eth0 -j ACCEPT

# eth0 singkatan dari ethernet card yang pertama

# Block semua ip address private yang datang dari ppp0 #(internet)

$IPCHAINS -A input -i ppp0 -s 10.0.0.0/8 -j DENY



23



# DiBLOKIR Karena ketiga address tersebut adalah ip yang #hanya

digunakan untuk intenal.

# Yang berarti tidak ada host diinternet yang memiliki ip #ini.

# Jadi tidak mungkin mereka datang dari ppp0

# Nampaknya ada yang mencoba melakukan hacking terhadap #jaringan

anda dengan spoofing

# Memperbolehkan DNS replies, tetapi hanya primary dan #secondary

DNS server dari ISP kita

# misalnya: 194.13.20.19 dan 194.13.20.20 adalah DNS #server ISP kita

$IPCHAINS -A input -i ppp0 -p tcp -s 194.13.20.19 53 -j ACCEPT

$IPCHAINS -A input -i ppp0 -p tcp -s 194.13.20.20 53 -j ACCEPT

$IPCHAINS -A input -i ppp0 -p udp -s 194.13.20.19 53 -j ACCEPT

$IPCHAINS -A input -i ppp0 -p udp -s 194.13.20.20 53 -j ACCEPT

# Memperbolehkan ssh

# kita tidak perlu melakukan allow -i eth0 ke -dport 22

# karena kita telah menerima segalanya dari etho0

# periksa pada bagian ketia kita meneripa loopback dan #paket ethernet

$IPCHAINS -A input -i ppp0 --dport 22 -j ACCEPT

# Kita akan menolak paket untuk port 113

$IPCHAINS -A input -i ppp0 -p tcp --dport 113 -j REJECT

# Memperbolehkan 3 jenis ICMP

$IPCHAINS -A input -i ppp0 -p icmp --dport 0 -j ACCEPT





24

# Log everything else

$IPCHAINS -A input -j DENY -l

# Melakukan blokir terhadap alamat LAN tidak boleh akses # ke

www.porno.com dan www.rival.company.com yang #memiliki ip

202.120.12.3 dan 120.10.0.34

$IPCHAINS -A output -i eth0 -d 202.120.12.3 -j DENY

$IPCHAINS -A output -i ppp0 -d 120.10.0.34 -j DENY

# Dan akhirnya kita tambahkan aturan untuk masq

$IPCHAINS -A forward -j MASQ -s 192.68.1.0/24 -d ! 192.168.1.0/24

# Network kita adalah 192.68.1.0/24

# -d ! 192.168.1.0/24 berarti jika tujuannya bukan berada dalam network

kita

# firewall harus melakukan MASQ.

# Tetapi ingat, hanya dengan rule ipchain ini anda tidak dapat melakukan

forward sesuatu, karena firewall tidak melakukan route.

# Hal tersebut untuk routing table.

# Jadi instalasi port forwarding tool (ipmasadm).

Port forwarding Port Forwarding berguna untuk mengalihkan permintaan kepada Server

yang bertanggung jawab menangani permintaan tersebut. Misalnya

eksternal IP firewall anda adalah 193.45.12.10 dan host yang memberikan

service http adalah 192.168.1.17. Jadi anda harus mengetik seperti ini:

ipmasqadm portfw -a -P tcp -L 193.45.12.10 80 -R 192.168.1.17 80

dimana :



25

- portfw dapat disebut sebagai forwarding chain untuk ipmasqadm

- a berarti add ke ipchains

- P tcp untuk protocol yang digunakan, dalam hal ini tcp

- L adalah untuk local address, dengan ip dan port

- R untuk redirecting alamat, dengan ip dan port

BAB VI PENUTUP

Untuk membangun suatu jaringan yang memiliki tingkat keamanan

yang cukup tinggi dibutuhkan sistem yang mampu mengatur lalu lintas

keluar dan masuknya paket ke dalam jaringan lokal kita. Salah satu sistem



26

yang dapat digunakan untuk menolak, meneruskan atau menyaring paket-

paket yang akan keluar atau masuk

sistem keamanan jaringan

Documents