MEMBANGUN FIREWALL

PADA SISTEM OPERASI FREEBSD 5.4 DENGAN

MENGGUNAKAN APLIKASI IPFIREWALL (IPFW)

  

Skripsi

Diajukan untuk Memenuhi Salah Satu Syarat

Memperoleh Gelar Sarjana Sains

Program Studi Ilmu Komputer

  

Oleh :

SAMUEL BEREK LUAN

NIM : 013124011

PROGRAM STUDI ILMU KOMPUTER

  

FAKULTAS MATEMATIKA DAN ILMU PENGETAHUAN ALAM

UNIVERSITAS SANATA DHARMA

  PERSEMBAHAN

  ! """"

  #### $%%&

  """" &%' &%' &%' &%' ####

  #

  Hanya sekedar kata....................

  ( ( ( ( ))))

• , *+ ,
• , *+ ,
• #### #### " " "" ,,,, + * + * * +

  #### ,,,, + * + * + * + *

• ( ( ( ( #### ....

  "" " "

• ,,,, *

  

ABSTRAK

  Konfigurasi firewall ini dibangun pada sistem operasi Freebsd 5.4 dengan aplikasi IPFirewall (IPFW) dengan tambahan natd untuk network address translation (NAT). IPFW tergantung pada rule-rule yang dibuat berdasarkan kebijakan yang sudah ditentukan. Seorang administrator dapat menuliskan rule ataupun memodifikasi rule yang sudah ada dengan menggunakan perintah- perintah tertentu untuk lebih meningkatkan keamanan jaringan.

  IPFW mempunyai command yang mudah ditulis oleh admin untuk membangun sistem keamanan yang lebih baik

  

ABSTRACT

  This firewall configuration builds on Freebsd 5.4 operating system using

  IPFirewall (IPFW) application with natd additionally as network address translation (NAT). IPFW depend on rules which according to determined policy. An administrator can write or modifications the rule using certain commands to improve network security.

  IPFW have easy commands which are running easy by admin.

KATA PENGANTAR

  Puji syukur ke hadirat Tuhan yang telah melimpahkan rahmat dan kasih- Nya sehingga penulis bisa menyelesaikan skripsi ini.

  Skripsi ini ditulis untuk memenuhi salah satu syarat memperoleh gelar sarjana sains Fakultas Matematika dan Ilmu Pengetahuan Alam, Program Studi Ilmu Komputer Universitas Sanata Dharma.

  Dalam penulisan skripsi penulis menyadari banyak pihak yang telah memberikan sumbangan baik pikiran, waktu, tenaga, bimbingan dan dorongan pada penulis sehingga akhirnya skripsi ini dapat terselesai. Oleh karena itu dengan segala kerendahan hati penulis menyampaikan ucapan terima kasih kepada:

  1. Pak Iwan Binanto S.Si selaku dosen pembimbing untuk kesabaran, bantuan dan arahan selama penulis menyusun skripsi

  2. Ir. Ign. Aris Dwiatmoko M.Sc selaku Dekan Fakultas Matematika dan Ilmu Pengetahuan Alam

  3. Ibu P.H. Prima Rosa selaku Kepala Program Studi Ilmu Komputer untuk kesabaran, bantuan dan dorongan yang diberikan baik selama kuliah maupun dalam menyelesaikan skipsi ini.

  4. Bapak Y. Joko Nugroho, S.Si,M.kom selaku dosen penguji yang telah memberikan saran dan kritik demi kesempurnaan skripsi ini.

  5. Ibu Anastasia Rita Widiarti,S.Si,M.Kom selaku dosen penguji yang telah

  6. Seluruh Dosen Pengajar Fakultas MIPA yang telah membimbing penulis selama kuliah di Universitas Sanata Dharma.

  7. Mas Tukijo dan semua staff sekretariat MIPA atas bantuan dan pelayanan yang telah diberikan kepada penulis selama ini.

  8. Karyawan laboratorium komputer, Mas Widodo dan Mas Susilo. Terima kasih atas bantuan dan masukan-masukan yang berharga buat penulis.

  9. Almarhum ayah tercinta yang ada di Sorga dan Ibu yang tidak lelah selalu mendoakan, memberi semangat dan menemani di setiap langkah. Kalian adalah segala galanya..

  10. Kakak-kakak ku, Dedi dan Ina yang selalu memberi semangat dan doa aku yang kecil ini.

  11. Tomy, Ari, Rolens, Ruly, Roy, Ening, Lina, Desi, Yanti, Mujib, Ferdi dan teman-teman ikom’01 lainnya. Terima kasih untuk dukungannya. Tetap semangat bro. Untuk Ening dan Lina maju terus pantang mundur.

  12. Teman-teman kost camp 108 pimpinan Bpk.Karjo dan Ibu se-keluarga :Ariel, Made, Wawan, Parto, Endri, Ade, Theo, Dony, Agus Pati. Terima kasih untuk dukungannya. Untuk ariel terima kasih ya pinjaman komputernya.

  13. Teman-teman kos seberang: Novi, Eni kecil, Diana, Evi, Mery, Yanti KKN, Abang, Iwan wawo, Willi, Marcell yang selalu menyapa disaat bertemu “kapan kamu ujian skripsi sam ?”. Pertanyaan yang selalu memberi semangat untuk bangkit.

  14. Teman-teman kerja di INTERSAT. Terima kasih atas bantuannya. Karena kalian penulis menjadi lebih banyak mengenal tentang jaringan komputer.

  15. Teman-teman chatting di chanel #indofreebsd. Terima kasih telah mengajariku banyak hal-hal baru tetang freebsd.

  16. Semua pihak yang tidak dapat disebutkan satu persatu, terima kasih membantu dalam menyelesaikan tugas akhir ini Penulis menyadari masih banyak kekurangan dalam penulisan skripsi ini, oleh karena itu dengan kerendahan hati penulis mengharapkan kritik dan saran guna penyempurnaan skripsi ini. Akhirnya penulis berharap semoga skripsi ini berguna bagi semua pihak yang membutuhkan.

  Penulis

  

DAFTAR ISI

  HALAMAN JUDUL................................................................................... i HALAMAN PERSETUJUAN.................................................................... ii HALAMAN PENGESAHAN..................................................................... iii HALAMAN PERSEMBAHAN ................................................................. iv PERNYATAAN KEASLIAN KARYA ..................................................... vi ABSTRAK .................................................................................................. vii ABSTRACT................................................................................................ viii KATA PENGANTAR ................................................................................ ix DAFTAR ISI............................................................................................... xii DAFTAR GAMBAR .................................................................................. xv

  BAB I PENDAHULUAN

  1.1 Latar belakang................................................................................ 1

  1.2 Rumusan Masalah .......................................................................... 3

  1.3 Batasan Masalah............................................................................. 3

  1.4 Tujuan Penulisan............................................................................ 3

  1.5 Metodoloi Penulisan ...................................................................... 3

  1.6 Sistematika Penulisan .................................................................... 4

  BAB II DASAR TEORI

  2.1 Sejarah FreeBSD............................................................................ 6

  2.2.1 Tipe-tipe Firewall.................................................................. 14

  a. Packet filtering .................................................................... 14

  b. Appplicaion level gateway.................................................. 15

  c. Stateful Inpection ................................................................ 16

  2.2.2 Arsitektur Firewall ................................................................ 17

  a. Screened Host Firewall system (single-homed bastion) ..... 17

  b. Dual-homed bastion ............................................................ 18

  c. Screened subnet firewall ..................................................... 19

  2.2.3 Demilitarized Zone (DMZ) ................................................... 21

  2.2.4 Network Address Translation (NAT).................................... 22

  2.2.4.1 Tipe NAT ......................................................................... 22

  a. static.................................................................................. 23

  b. dynamic ............................................................................ 23

  2.2.4.2 NATD................................................................................ 25

  2.3 Teknik-teknik dalam menembus sebuah system............................ 25

  2.4 IPFirewall (IPFW).......................................................................... 27

  2.4.1 Perintah IPFW....................................................................... 28

  2.4.2 Aturan IPFW ......................................................................... 29

  2.4.3 Contoh sintaks rule IPFW dan prosesnya ............................. 34

  2.5 Port ................................................................................................. 38

  2.6 Dasar Koneksi TCP........................................................................ 40

  2.7 Dasar Koneksi ICMP ..................................................................... 42

  BAB III PERANCANAN INSTALASI DAN KONFIGURASI

  3.1 Kebutuhan Hardware komputer Firewall...................................... 44

  3.2 Kebutuhan Software....................................................................... 44

  3.3 Konfigurasi jaringan dan penempatan komputer firewall.............. 45

  3.4 Konfigurasi Sistem ........................................................................ 46

  BAB IV PENGUJIAN SISTEM DAN PEMBAHASAN

  4.1 Topologi jaringan dan IP address.................................................. 51

  4.2 Menjalankan NATD...................................................................... 52

  4.3 Pengujian firewall ........................................................................ 53

  a. Pengujian dengan ping dan traceroute....................................... 53

  b. Pengujian dengan SSH.............................................................. 56

  c. Pengujian dengan SCP .............................................................. 59

  d. Pengujian mengakses webserve internet................................... 60

  e. Memantau port dengan menggunakan tool scaner .................... 62

  4.4 Membaca file log........................................................................... 63

  BAB V KESIMPULAN DAN SARAN

  5.1 Kesimpulan .................................................................................... 65

  5.2 Saran .............................................................................................. 65 DAFTAR PUSTAKA ................................................................................ 67 LAMPIRAN

  

DAFTAR GAMBAR

Gambar 2.1 Operasi Firewall...........................................................................13Gambar 2.2 Tipe firewall Paket Filtering .......................................................15Gambar 2.3 Tipe Firewall Application Level Gateway……….………..……16Gambar 2.4 Arsitektur Firewall Screened Host Firewall….…..…….……….18Gambar 2.5 Arsitektur Firewall Dual Homed..................................................19Gambar 2.6 Arsitektur Firewall Screened Subnet............................................20Gambar 2.7 Penempatan DMZ.........................................................................21Gambar 2.8 Contoh Penerapan NAT................................................................24Gambar 2.9 Awal Sebuah Koneksi TCP......................................................... .41Gambar 2.10 Akhir Sebuah Koneksi TCP......................................................... 42Gambar 2.11 Sebuah Koneksi ICMP................................................................ .42Gambar 2.12 Sebuah Koneksi UDP.................................................................. .43Gambar 3.1 Konfigurasi Jaringan.................................................................... 46Gambar 4.1 Topologi jaringandan Penempatan firewall..................................52Gambar 4.2 Menjalankan Aplikasi Putty.........................................................54Gambar 4.3 Akses putty ditolak.......................................................................58Gambar 4.4 Menjalankan aplikasi WinSCP.....................................................59Gambar 4.5 Tampilan WinSCP..................................................................... ..60Gambar 4.6 Akses web server oleh client...................................................... .61Gambar 4.7 Akses web server oleh client ditolak............................................61

BAB I PENDAHULUAN

1.1 LATAR BELAKANG

  Banyak cara agar sebuah komputer dapat lebih dimaksimalkan dalam penggunaannya. Membuat jaringan/menghubungkan antar dua komputer atau lebih merupakan salah satu contohnya. Dengan adanya jaringan tersebut informasi dapat ditangani dengan cepat dalam pengelolaannya sehingga tidak hanya dibutuhkan pihak internal, tetapi juga pihak pihak eksternal. Semakin berkembangnya jaringan komputer ini melahirkan sebuah istilah internet. Internet merupakan salah satu sarana dalam menyampaikan informasi yang dibutuhkan tanpa hambatan ruang dan waktu. Internet bukan lagi sesuatu yang mewah tetapi menjadi komponen dasar baik bagi perorangan maupun bisnis. Ketika melakukan koneksi komputer ke internet akan didapati beberapa masalah yang berhubungan keamanan. Masalah-masalah tersebut antara lain keamanan data dan keamanan komputer itu sendiri. Perpindahan data melalui koneksi internet tersebut dapat membuka kesempatan kepada orang lain untuk mengintip atau mengubah data melalui upaya-upaya penyusupan dan beberapa tindakan lain yang dapat merusak seperti serangan virus. Untuk saat ini saja sistem-sistem komputer tidak menjamin 100% data yang ada benar benar aman, sehingga perlu adanya usaha yang dapat meminimalkan gangguan-gangguan tersebut.

  

internet dari gangguan-gangguan tersebut. Salah satu contohnya adalah firewall.

  Sebuah firewall pada jaringan dapat melindungi baik user ataupun data yang terdapat pada jaringan lokal dari pengaksesan yang tidak diinginkan dari jaringan luar. Secara konstan firewall mengawasi seluruh aliran yang masuk dan keluar ke koneksi anda, menunggu aliran yang ada untuk dihentikan atau ditolak berdasarkan aturan yang sudah ada. Firewall dapat berbentuk hardware/fisik maupun software. Saat ini terdapat banyak perangkat keras atau hardware yang dapat membentengi atau sebagai firewall sistem seperti contoh cisco, sonicwall dan nokia yang menyertakan perangkat lunak tertentu untuk melakukan konfigurasi firewall. Namun perangkat tersebut harganya cukup mahal. Begitu juga yang bersifat software yang tinggal ditambahkan pada sebuah server atau komputer lain yang dikonfigurasi menjadi firewall seperti checkpoint, McAfee dan Symantech .

  Namun ada juga yang menyediakan aplikasi firewall secara gratis.

  Freebsd

  sebagai salah satu sistem operasi open source menyediakan aplikasi

  

firewall yang bersifat gratis. Aplikasi yang dibutuhkan freebsd agar dapat

  bertindak sebagai firewall antara lain ipfilter atau biasa disebut IPF, ipfirewall atau biasa disebut IPFW dan openbsd atau disebut PF. Aplikasi-aplikasi yang ada dapat mengimplementasikan suatu aturan pada sistem firewall. Dengan adanya aplikasi-aplikasi tersebut seorang administrator dapat melakukan konfigurasi

  

firewall dengan perintah-perintah tertentu dalam meningkatkan keamanan data

dalam suatu jaringan.

  1.2 RUMUSAN MASALAH

  Bagaimana membangun dan mengkonfigurasi sebuah firewall pada Sistem Operasi Freebsd dengan menggunakan aplikasi yang ada ?

  1.3 BATASAN MASALAH

  Pada penulisan skripsi ini yaitu membahas cara membangun firewall pada sistem operasi freebsd dilakukan beberapa batasan, antara lain : a. Tidak semua teknik firewall diterapkan.

  b. Implementasi dilakukan pada jaringan lokal.

  c. Tidak semua layanan internet di bahas.

  d. Konfigurasi dilakukan secara text based.

  e. Menggunakan aplikasi IPFW

  1.4 TUJUAN PENULISAN

  a. Membangun sebuah firewall sebagai penyaring paket menggunakan sistem operasi Freebsd b. Mengetahui kelebihan dan kekurangan firewall menggunakan sistem operasi Freebsd khusnya aplikasi IPFirewall (IPFW)

  1.5 METODOLOGI PENELITIAN

  Adapun metode penelitian yang digunakan penulis dalam menyusun skripsi ini adalah: a. Studi literatur Mengumpulkan dan mempelajari prinsip dan bagaimana konfigurasi sebuah firewall pada sistem operasi freebsd dengan menggunakan aplikasi yang ada dari sumber sumber pustaka dan pencarian data-data melalui internet.

  b. Desain, konfigurasi dan implementasi Melakukan perancangan dan konfigurasi firewall menggunakan aplikasi IPFW pada sistem operasi freebsd serta mengimplementasikannya dengan menuliskan aturan-aturan berdasarkan kebijakan yang ditentukan.

  c. Pengujian sistem Pada tahap ini sistem firewall yng dibangun mengunakan aplikasi yang ada diujikan pada jaringan yang sebenarnya untuk mengetahui apakah sistem firewall yang dibangun sesuai dengan keinginan.

1.6 SISTEMATIKA PENULISAN

  Sistematika penulisan tugas akhir ini terbagi atas 5 bab dengan garis besar sebagai berikut

Bab I : Pendahuluan Bab ini berisi latar belakang, rumusan masalah, batasan masalah, tujuan penulisan dan sistematika penulisan.

  Bab ini memberi penjelasan mengenai dasar ilmu yang digunakan untuk melakukan penelitian (hubungan teori dan praktek) seperti pengenalan freebsd, aplikasi firewall, dasar dasar rule ipfirewall (IPFW) dan konsep firewall itu sendiri.

  Bab III : Perancangan, Instalasi dan Konfigurasi Jaringan Bab ini membahas tentang perancangan dan konfigurasi sebuah

firewall pada sistem operasi freebsd dengan menggunakan aplikasi yang

tersedia yaitu ipfirewall (IPFW).

  Bab IV : Pengujian sistem dan Pembahasan Bab ini membahas pengujian sistem pada jaringan yang sebenarnya

  dalam hal ini menggunakan jaringan lokal atau intranet. Pada bab ini juga akan dibahas hasil dari pengujian tersebut.

  Bab V : Penutup Bab ini berisi kesimpulan dan saran-saran mengenai penerapan

firewall pada sistem operasi freebsd menggunakan aplikasi ipfirewall

(IPFW).

BAB II DASAR TEORI

2.1 Sejarah FreeBSD

  Freebsd merupakan salah satu dari sekian varian unix BSD selain NetBSD, dan OpenBSD. Sebelumnya, perjalanan varian unix BSD dimulai pada tahun 1973, dimana pada waktu itu Prof Bob Fabry dari Universitas California Berkeley menyatakan minat untuk mendapatkan sistem operasi Unix kepada Ken Thompson dan Dennis Ritchie pada kegiatan ”Symposium on Operating Systems

  

Principles ” di Universitas Purdue. Prof Bob Fabry bermaksud mendapatkan Unix

  untuk eksperimen pada sebuah mainframe milik Universitas Berkeley. Pada tahun 1974 sebuah tape yang berisi Unix versi 4 datang ke Berkeley dan di install- kan oleh mahasiswa pasca sarjana Keith Standiford pada komputer PDP-11/45. Meskipun dianggap cukup mudah dalam menginstal unix, namun pada kenyataannya berbagai masalah dihadapi oleh Keith Standiford dalam menjalankan Unix pada komputer tersebut.

  Pada tahun 1975, departemen Ilmu Komputer Universitas California Berkeley membeli komputer baru sebuah DEC 11/70. Pada tahun yang sama Ken Thompson menjadi Profesor Tamu pada almamaternya yaitu Universitas California Berkeley, Ken Thompson datang dengan membawa sistem operasi Unix versi 6. Dua orang mahasiswa pasca sarjana yaitu Bill Jolitz’s dan Chuck Haley membantu Ken Thompson untuk meng-hacked Unix versi 6 tersebut pada

  Pada akhir musim panas 1976, Ken Thompson kembali ke Bell Labs New Jersey, seiring dengan kepergian Ken Thompson, Bill Jolitz’s dan Chuck Haley mulai mengoprek kernel sistem operasi Unix versi 6 tersebut, berbekal dengan pengalaman satu tahun terakhir mengoprek Unix bersama Ken Thompson sebelumnya.

  Akhirnya pada awal tahun 1977, Bill Jolitz’s mengeluarkan versi free dari ”Berkeley Software Distribution”, pada distribusi pertama mencakup pula compiler Pascal dan editor Ex. Pada tahun 1978 Bill Jolitz’s memutuskan software yang ada pada distribusi harus diperbaharui seiring dengan banyaknya feedback dari komunitas, hasilnya pada tahun 1978 tersebut keluar ”Second Berkeley Software Distribution” atau disingkat 2BSD, termasuk didalamnya compiler Pascal, editor vi dan termcap.

  Pada tahun 1978, Departemen Ilmu Komputer Universitas Berkeley, membeli sebuah komputer VAX-11/780 dari DEC, meskipun komputer tersebut sudah memiliki sistem operasi sendiri yang dikenal dengan nama VMS, namun Departemen Ilmu Komputer menginginkan Unix 32/v (Seventh Edition) dapat berjalan diatas komputer VAX-11/780 tersebut. Lagi-lagi Bill Jolitz’s diminta membantu melakukan porting Unix 32/V tersebut untuk mesin VAX-11/780, pada awal Januari 1979, akhirnya Unix 32/V (Seventh Edition) dapat berjalan dengan mulus pada komputer VAX tersebut, pada saat itu juga Bill Jolitz’s, memutuskan untuk melakukan porting 2BSD untuk komputer VAX dengan pertimbangan komputer VAX tersebut jauh lebih canggih (berarsitektur 32 bit) daripada PDP-11

  Pada bulan Januari 1979 distribusi lengkap telah diselesaikan hasilnya

  3BSD sebagai distribusi sistem VAX pertama dari Berkeley. Pada musim gugur 1979, Prof Bob Fabry, merepson keinginan DARPA (Defense Advanced Research Projects Agency ) untuk memperbaiki 3BSD untuk kepentingan komunitas DARPA, dimana pada waktu itu untuk keperluan mengkoneksikan semua komputer pada pusat-pusat riset. Untuk lebih memantapkan pekerjaan dari DARPA tersebut, Prof Bob Fabry membentuk CSRG (Computer System Research Group ).

  Pada Oktober 1980 lahir 4BSD, selama 9 bulan kedepan sejak kelahirannya sebanyak 150 kopi telah dikirimkan. Lisensi dibuat berdasarkan institusi bukan per komputer. Karena sudah tersebar luas 4BSD banyak menuai kritik terutama masalah kinerja yang dinilai masih lamban daripada VMS. Untuk itu pada Juni 1981, 4.1BSD lahir dengan berbagai macam perbaikan. Pada awalnya distribusi tersebut akan diberi nama 5BSD, namun pihak AT&T keberatan karena akan membingungkan pelanggan, karena pada saat itu terdapat juga sistem operasi Unix system V, untuk itu Berkeley mengalah dan memberi nama distribusi tersebut 4.1BSD. Sebagai pendahuluan release pada April 1982, dikeluarkan 4.1aBSD untuk keperluan lokal saja (Berkeley dan DARPA), pada saat itu banyak kritik dan saran perbaikan untuk 4.1aBSD, untuk itu pada Juni 1982 dikeluarkan 4.1bBSD. Release 4.1b BSD ini cukup stabil dan baik maka pada April 1983 dikeluarkan 4.1c BSD. Dengan sedikit perbaikan pada 4.1c BSD, pada Agustus 1983 dikeluarkan 4.2BSD. 4.2BSD pada saat itu sangat populer, pada saat itu lebih suka menawarkan 4.2BSD ketimbang Unix system V karena 4.2BSD mempunyai fasilitas Networking dan Fast File System.

  Dengan berbagai macam kritik dan feedback, maka pada tengah 1986 di- release 4.3BSD, selanjutnya pada Juni 1988 di-release 4.3BSD Tahoe dan pada Juni 1990 di-release 4.3BSD Reno. Selain release tsb ada pula release networking yaitu: 4.3BSD Net1 pada Maret 1989 dan 4.3BSD Net2 pada Juni 1991.

  Release ini tidak tidak memiliki source code yang bersifat proprietary sehingga dapat secara bebas didistribusikan dalam bentuk source code maupun binary. Release terakhir dari CSRG adalah 4.4BSD, pada saat yang bersamaan juga CSRG me-release 4.4BSD-Lite yang berisi source code non-proprietary dan users tidak perlu memiliki lisensi Unix, namun 4.4BSD-Lite ini mendapat aksi legal dari USL (Unix System Laboratories) yang mengklaim 4.4BSD-Lite mengandung source code asli Unix dari AT&T, hal ini berlanjut hingga ke pengadilan. Setelah 1 tahun proses pengadilan berlangsung akhirnya Bill Jolitz berwenang untuk mengambil bagian dari software yang bukan AT&T dan mengembalikannya menjadi free UNIX. Ini adalah awal lahirnya modern BSD.

  Pada tahun 1992 dan 1993, Jordan K Hubbard, Rod Grimes, dan Nate Williams yang menangani proyek 386BSD, merilis sebuah paket yang dikenal sebagai “Unofficial 386BSD Patchkit”. Dari proses maintain patchkit tersebut melahirkan mekanisme baru yang membentuk “386BSD 0.5”, yang berisi perubahan dan fungsi baru sebagai “the real operating system”. Bagaimanapun, Jolitz mencabut persetujuannya pada proyek patchkit tersebut pada tahun 1993. David Greenman kemudian mengajukan usulan sebuah sistem operasi baru dengan basis patchkit tersebut menjadi sebuah “FreeBSD”.

  Hubbard akhirnya bekerjasama dengan David Greenman (Walnut Creek) untuk mempersiapkan sebuah penanganan distribusi CDROM. Rilis CDROM pertama dari FreeBSD 1.0 dilakukan pada bulan Desember 1993. Dengan mengupgrade basis FreeBSD dari Net/2 ke 4.4BSD Lite. FreeBSD 2.0 dirilis pada bulan November 1994 dan terus berkembang sampai sekarang yang telah mencapai release 6.2.

  Varian BSD

  Secara umum ada dua turunan dari 4.4BSD ini yaitu:

  1. Komersial

  2. Bebas (menggunakan lisensi BSD) Yang termasuk kedalam varian BSD komersial adalah: 1. BSD/OS ( http://www.bsd.com ) BSD/OS dipasarkan oleh BSD, Inc.

  2. DarwinOS (http://developer.apple.com/darwin/) Darwin merupakan bagian penting dari sistem operasi MacOS

  X. Darwin menggabungkan beberapa teknologi dari Mach dengan sistem operasi 4.4BSD.

  Yang termasuk kedalam varian BSD bebas (menggunakan lisensi BSD)

  1. NetBSD (http://www.netbsd.org) NetBSD fokus pada penyediaan sistem operasi NetBSD pada dari 40 arsitektur, mulai dari 64 bit Alpha Server dan desktop system hingga handheld dan embeded system.

  2. FreeBSD (http://www.freebsd.org) FreeBSD fokus pada optimalisasi PC i386 dan Alpha, sekarang ini juga sudah mendukung IA-64, PC-98, dan UltraSparc. FreeBSD dikenal dengan fitur networking yang cukup handal sehingga digunakan pada web server yahoo (http://www.yahoo.com) dan pada ftp server CDROM,Inc (ftp://ftp.cdrom.com)

  3. OpenBSD (http://www.openbsd.org) OpenBSD fokus pada aspek keamanan (security) dan kriptografi

  (cryptography). OpenBSD merupakan proyek yang terpisah dari NetBSD pada tengah 1995.

2.2 Firewall

  Firewall adalah suatu aturan yang diterapkan baik terhadap perangkat

  keras, perangkat lunak ataupun sistem itu sendiri dengan tujuan untuk melindungi, baik dengan filterisasi, membatasi, ataupun menolak suatu koneksi pada jaringan yang dilindunginya dengan jaringan luar lainnya seperti internet (Muammar

  2004)

  . Firewall merupakan alat untuk mengimplementasikan kebijakan security (security policy). Kebijakan security dibuat berdasarkan pertimbangan antara aplikasi yang disediakan dan impilikasi security-nya. Semakin ketat kebijakan

  

packet inspection (SPI) untuk mencatat semua paket keluar dan tanggapan yang

  mungkin ditimbulkan oleh paket paket tersebut. Dengan selalu mencatat host pada jaringan terproteksi yang menghasilkan paket-paket outbound membuat WAN yang jahat tidak memasuki interface internal. Beberapa aturan dan fitur firewall yang umum adalah sebgai berikut :

  Menolak aliran jaringan yang masuk berdasarkan sumber atau tujuan. Ini merupakan fitur umum sebuah firewall dan merupakan tujuan utama sebuah firewall yaitu menolak aliran yang tidak diinginkan memasuki jaringan.

  Menolak aliran jaringan yang keluar berdasarkan sumber dan tujuan. Beberapa firewall juga dapat menyaring aliran jaringan dari jaringan internal ke jaringan internet. Seperti contoh membatasi akses ke situs-situs tertentu Menolak aliran traffic jaringan berdasarkan isi.

  Firewall

  yang lebih canggih dapat menyaring aliran jaringanuntuk isi yang tidak dapat diterima. Misalnya firewall yang telah terintegrasi dengan dengan sebuah virus scaner dapat menolak file file yang berisi virus sebelum memasuki jaringan anda. Atau firewall yang terintegrasi dengan layanan e-mail akan menyaring e-mail yang tidak dapat diterima. Menyediakan sumber daya internal Selain fungsi utama sebuah firewall yaitu mencegah masuknya aliran jaringan yang tidak diinginkan, firewall juga dapat mengatur pengaksesan Mengijinkan koneksi ke jaringan internal Metode umum bagi karyawan untuk terhubung ke jaringan adalah menggunakan virtual private network (VPN). VPN memungkinkan koneksi yang aman dari internet ke jaringan perusahaan. Melaporkan aliran jaringan dan kegiatan firewall Saat menyaring aliran jaringan dari dan menuju internet, firewall juga harus mencatat ke syslog atau ke tempat penyimpanan lain apa yang telah dikerjakan oleh firewall tersebut, seperti memantau siapa saja yang telah berusaha memasuki jaringan intranet maupun mengakses materi yang kurang sopan ke internet. Gambaran umum sebuah operasi firewall :

  3

  1

  4 Internet

  Firewal

Router

Dalam Luar www Web server

  Host A www.firewall.com

  2 Gambar 2.1 Operasi Firewall Pada ilustrasi di atas firewall tersebut memiliki dua interface fisik yaitu

  interface dalam yang terkoneksi dengan jaringan intranet dan interface luar yang terhubung dengan jaringan internet.

  1. Host A membuka web broser dan ingin melihat sebuah web page dari web

  server www.firewall.com . Host A mengirim permintaan keluar melalui firewall.

  2. Firewall melihat permintaan yang dikirim dari host A dan ditujukan ke

  www.firewall.com . Firewall akan mencatat permintaan keluar dan

  berharap bahwa tanggapan hanya berasal dari web server

  www.firewall.com . Sebuah penanda sesi (session marker) ditempatkan di

  tabel session state firewall yang akan melacak proses komunikasi dari awal sampai selesai. Matrik koneksi juga ditempatkan pada penanda yang dilindungi oleh firewall untuk komunikasi ini.

  3. Tanggapan untuk Host A ke web page permintaan dikirim kembali dari web server www.firewall.com ke Host A melalui firewall.

  4. Firewall memeriksa tabel session state-nya untuk melihat apakah matrik

  yang ada pada sesi ini sesuai dengan koneksi keluar. Jika semua rincian koneksi yang disimpan ini sesuai, firewall mengijinkan traffic inbound

2.2.1 Tipe tipe firewall

  Firewall dapat dibedakan berdasarkan mekanisme atau cara kerjanya. Tipe

  tipe firewall tersebut adalah :

a. Packet filtering

  Packet filtering dapat diartikan sebagai firewall yang bertugas

  melakukan filtrasi terhadap paket-paket yang datang dari luar jaringan

  IP paket dan atribut atribut lainnya dari paket tersebut seperti port TCP atau UDP dari sumber paket, port TCP atau UDP dari tujuan paket dan ukuran paket. Informasi dari setiap paket yang ada alan dianalisa oleh

  

firewall , kemudian menetapkan aksi yang akan dilakukan terhadap paket

tersebut berdasarkan set aturan /program dalam firewall tersebut.

  Sebagai contoh :

  Port 23 Web Firewall Internet server

  Port 80

  IP 192.168.2.1

Gambar 2.2 Packet filtering

  Pada gambar diatas sebuah paket dari internet tujuan ke server yang menggunakan IP 192.168.2.1 dengan port 80. Port 80 adalah atribut yang dimiliki oleh paket tersebut. Firewall akan memperbolehkan paket dengan tujuan ke web server yang menggunakan port 80 dan menolak paket yang bertujuan ke web server dengan port 23.

b. Aplication level gateway

  Model ini juga disebut proxy firewall. Filter tidak hanya berdasarkan sumber, tujuan dan atribut paket, tetapi juga isi paket tersebut.

  Mekanisme lain yang dilakukan adalah paket tersebut tidak langsung sampai ke server tetapi hanya sampai firewall saja. Selebihnya firewall akan membuka koneksi baru ke server tujuan setelah paket tersebut diperiksa berdasarkan aturan yang ada. Oleh karena itu proxy firewall secara spesifik tertuju pada suatu layanan jaringan tertentu.

  Proxy firewall melakukan pemeriksaan muatan, menyediakan

  autentikasi dan menjamin bahwa hanya services tertentu yang boleh digunakan. Seperti contoh suatu proxy HTTP dapat menjamin bahwa hanya trafik HTTP yang dizinkan untuk lewat, atau ia juga bisa menyediakan layanan aplikasi khusus seperti halnya penyimpanan pada memori caching.

  Port 23 Web Firewall Internet server

  Port 80 Port 80 http://server.com/ikom/

Gambar 2.3 Application level gateway

  Pada gambar diatas sebuah koneksi akan mengakses URL

  

http://server.com/ikom/ pada web server. Firewall akan mengecek apakah

  koneksi tersebut diperbolehkan dan firewall akan mengecek apakah directory /ikom/ boleh diakses. Bila koneksi diperbolehkan, firewall akan membuka koneksi untuk menghubungkan ke server tujuan.

c. Stateful Inpection

  Dengan menggunakan metode ini, firewall tidak memeriksa setiap paket tetapi membandingkan bagian tertentu dari paket dengan basis data yang berisi informasi yang dapat dipercaya. Firewall ini akan menjaga alur jejak langkah perjalanan setiap koneksi aktif kedalam suatu tabel kondisi.

  Untuk beberapa layanan seperti FTP, firewall ini juga mampu secara dinamis membuka port-port antara dua buah host sehingga kommunikasi bisa berhasil dan setelah itu akan menutupnya jika sudah selesai.

2.2.2 Arsitektur firewall

a. Screened Host Firewall system (single-homed bastion)

  Pada arsitektur ini, fungsi firewall akan dilakukan oleh packet

  filtering router dan bastion host. Router ini dikonfigurasikan sedemikian

  sehingga akan menolak semua trafik kecuali yang ditujukan ke bastion

  host . Sedangkan untuk arus data (traffic) dari jaringan internal tidak

  dilakukan pembatasan sehingga setiap client pada jaringan internal dapat berkomunikasi dengan internet tanpa harus melalui proxy.

  Konfigurasi ini mendukung fleksibilitas dalam akses internet secara langsung, sebagai contoh apabila terdapat web server pada jaringan ini maka dapat di konfigurasikan agar web server dapat diakses langsung dari internet.

  Bastion Host

  melakukan fungsi authentikasi dan fungsi sebagai

  proxy. Konfigurasi ini memberikan tingkat keamanan yang lebih baik

  daripada packet filtering router atau application level gateway secara

  Bastion Host adalah sistem/bagian yang dianggap tempat terkuat

  dalam sistem keamanan jaringan oleh administrator, atau dapat di sebut sebagai bagian terdepan yang dianggap paling kuat dalam menahan serangan, sehingga menjadi bagian terpenting dalam pengamanan jaringan, biasanya merupakan komponen firewall atau bagian terluar sistem publik. Umumnya Bastion host akan menggunakan Sistem operasi yang dapat menangani semua kebutuhan (misal , Unix, linux, NT).

Gambar 2.4 Arsitektur Firewall Screened Host Firewall

b. Dual-homed bastion

  Pada arsitektur ini, secara fisik akan terdapat patahan/celah dalam jaringan. Kelebihannya adalah dengan adanya dua jalur yang memisahkan secara fisik maka akan lebih meningkatkan keamanan. Adapun untuk diletakkan ditempat/segment yang langsung berhubungan dengan internet. Hal ini dapat dilakukan dengan cara menggunakan 2 buah NIC ( network interface Card) pada bastion Host atau yang disebut sebagai dual homed.

  Interface pertama dihubungkan dengan jaringan luar sedangkan interface

  yang satunya lagi dihubungkan dengan jaringan dalam ( lokal )

Gambar 2.5 Arsitektur Firewall Dual-homed

c. Screened subnet firewall

  Firewall dengan arsitektur screened-subnet ini memiliki konfigurasi yang cukup tinggi tingkat keamanannya, karena pada konfigurasi ini digunakan 2 buah packet filtering router, 1 diantara

  internet

  dan bastion host, sedangkan 1 lagi antara bastian host dan jaringan lokal.

Gambar 2.6 Arsitektur Firewall Screened subnet

  Adapun kelebihannya adalah :

  3 lapisan/tingkat pertahanan terhadap penyusup/intruder .

• Terdapat
• Router luar hanya melayani hubungan antara internet dan

  bastion host sehingga jaringan lokal menjadi tak terlihat (invisible )

• Jaringan lokal tidak dapat mengkonstuksi routing langsung ke

  internet , atau dengan kata lain, internet menjadi Invinsible (namun tetap bisa melakukan koneksi internet).

• Optimasi penempatan server

2.2.3 Demilitarized Zone (DMZ)

  Ketika kita mengkoneksikan satu atau beberapa server ke internet, ini akan menjadi suatu kendala yang berhubungan dengan keamanan server itu sendiri. Dimana aliran masuk dari jaringan luar akan langsung masuk ke jaringan anda. DMZ sendiri merupakan interface yang berada diantara area jaringan internal dan area aringan untuk umum(internet).

  Firewall akan mengijinkan akses dari jaringan dari luar ke server yang

  telah diisolasi di DMZ dan tidak diarahkan langsung memasuki jaringan internal anda. Seperti dalam gambar berikut ini.

  Interface luar Interface dalam Internet Firewall

  WWW Interface DMZ Jaringan client Mail server

  FTP server Web server

Gambar 2.7 Penempatan DMZ

  Pada gambar diatas terdapat tiga interface card dimana interface pertama dihubungkan dengan dunia luar (internet), interface kedua dihubungkan dengan jaringan dalam dan interface ketiga atau DMZ

  interface dihubungkan dengan sekumpulan server. Aturan yang

• pengguna luar(internet) tidak dibenarkan mengakses rangkaian dalam.
• Pengguna dalam dapat mengakses rangkaian DMZ, tetapi aturan tidak membenarkan rangkaian DMZ masuk ke jaringan dalam.
• Pengguna luar (internet) hanya dibenarkan mengakses servis yang telah disediakan pada rangkaian DMZ yaitu web server, mail server dan FTP server.

2.2.4 Network Address Translation (NAT)

  Keterbatasan alamat IPV4 merupakan masalah pada jaringan global atau

  

Internet . Untuk memaksimalkan penggunakan alamat IP yang diberikan oleh

  Internet Service Provider (ISP) dapat digunakan Network Address Translation atau NAT. NAT membuat jaringan yang menggunakan alamat lokal (private), alamat yang tidak boleh ada dalam tabel routing Internet dan dikhususkan untuk jaringan lokal/intranet, dapat berkomunikasi ke internet dengan jalan ‘meminjam’ alamat IP Internet yang dialokasikan oleh ISP.

2.2.4.1 Dua Tipe NAT

  Dua tipe NAT adalah Static dan Dinamik yang keduanya dapat digunakan secara terpisah maupun bersamaan.

  1. Statik

  Translasi Statik terjadi ketika sebuah alamat lokal (inside) dipetakan ke sebuah alamat global/internet (outside). Alamat lokal dan global dipetakan satu lawan satu secara Statik.

  2. Dinamik

   a. NAT dengan Pool (kelompok)

  Translasi Dinamik terjadi ketika router NAT diset untuk memahami alamat lokal yang harus ditranslasikan, dan kelompok (pool) alamat global yang akan digunakan untuk terhubung ke internet. Proses NAT Dinamik ini dapat memetakan beberapa kelompok alamat lokal ke beberapa kelompok alamat global.

   b. NAT Overload

  Sejumlah IP lokal/internal dapat ditranslasikan ke satu alamat IP global atau outside. Sharing atau pemakaian bersama satu alamat IP ini menghemat penggunakan alokasi IP dari ISP.

  Sharing atau pemakaian bersama satu alamat IP ini menggunakan metoda port multiplexing, atau perubahan port ke paket outbound. Contoh penerapan NAT seperti pada gambar berikut ini Internet

  Komputer A (Gateway)

  IP 172.21.202.98 HUB Komputer B Komputer C

  Komputer D

  IP 192.168.1.2

  IP 192.168.1.3

  IP 192.168.1.4

Gambar 2.8 Contoh penerapan NAT

  Komputer A berfungsi sebagai gateway dari jaringan yang ada di bawahnya. Dan hanya komputer ini yang mempunyai alamat ip register atau alamat IP yang terdaftar. Misalnya komputer B ingin membuka situs

  

www.yahoo.com dengan port 80. sebelum sampai di tujuan, paket data

yang berupa permintaan ini melewati komputer A. NAT membacanya.

  Setelah itu NAT menukarkan alamat ip komputer B dengan alamat IP komputer A dan meneruskan permintaan tadi ke tujuan.

  

www.yahoo.com mendengar permintaan dari komputer A (padahal yang

  meminta adalah komputer B) dan memberikan respon. Setelah sampai ke komputer A, NAT kembali membaca bahwa sesungguhnya respon ini bukan untuk dirinya, melainkan untuk komputer B. Lalu permintaan ini diteruskan ke komputer B.

2.2.4.2 NATD

  Network address translation daemon (Natd) merupakan salah satu

  fasilitas yang menyediakan fungsi NAT pada sistem operasi freebsd yang menggunakan divert socket. Secara normal natd berjalan sebagai daemon pada proses background. Natd akan melakukan pertukaran alamat IP dari bentuk tertentu ke bentuk alamat IP lain.