Metode Pengamanan Sistem Komputer dan Ja
Metode Pengamanan Sistem Komputer
dan Jaringan Internet dengan IP Tables, Proxy
dan Portsentry
Kresno Aji NIM: 15.52.07261 , Bambang Sugiantoro2
Magister Teknik Informatika STMIK AMIKOM Yogyakarta1
Jl. Ringroad Utara Condong Catur Depok Sleman Yogyakarta, 55283
Teknik Informatika UIN Sunan Kalijaga Yogyakarta2
Jl. Marsda Adisucipto Yogyakarta 55281
Email: [email protected] , [email protected]
Ringkasan
Router merupakan gerbang utama dari komputer pengguna akhir menuju ke internet dan sebaliknya. Dengan adanya Router, pengguna bisa berselancar dengan mudah,
mengirim surat elektronik menuju ke alamat target dan sebaliknya, berikut kegiatan lain
yang terkait dengan dunia internet.
Namun di balik semua fungsi dan kemudahan tersebut, Router juga menjadi sasaran
utama para peretas di satu sisi dan juga menjadi sarana bagi pengguna untuk melakukan
hal-hal yang melebihi wewenang dan haknya.
Makalah ini akan membahas tentang pembuatan sistem keamanan komputer dan jaringan perkantoran yang bergerak di bidang shipping, export - import dan logistik. Rancangan sistem dengan membangun PC Router yang diinstal sistem operasi Linux beserta
perangkat Firewall dan Proxy untuk pengamanan jaringan dan membatasi akses dari
masing-masing pengguna sesuai dengan ketetapan yang dibuat oleh pihak manajemen.
1
Pendahuluan
nyertainya. Ketiga, pihak kantor melakukan
pemasaran menggunakan telemarketing, dimana pengiriman penawaran dan salinan dokumen dilakukan melalui email.
Dengan demikian, hampir seluruh kegiatan
kantor menggunakan media internet sebagai
wahana komunikasi dan operasional perkantoran. Gangguan internet lebih dari sepuluh
menit bisa mengganggu operasional kantor.
Namun hambatan tidak hanya datang dari
masalah putusnya jaringan internet, masalah
utama yang dihadapi adalah virus jaringan,
e-mail spamming, sampai dengan penggunaan komputer kantor untuk kegiatan di luar
pekerjaan.
Untuk mengantisipasi hal-hal tersebut di
atas maka dibuat Router dengan menggunakan sistem operasi Linux dengan layanan: Mail Server menggunakan Postfix, NAT
Perkembangan dunia usaha yang semakin
kompleks menuntut penggunaan sistem komputasi yang bisa mengampu semua kebutuhan tersebut. Selain itu, kebutuhan akan
jaringan internet yang cepat untuk mendukung operasional bisnis perkantoran juga sangat tinggi, mengingat beban kerja dari kantor yang bergerak di bidang shipping dimana internet merupakan kebutuhan utama bagi kantor dalam menjalankan bisnisnya.
Kantor shipping membutuhkan dukungan
internet untuk pengurusan dokumen pabean,
dimana digunakan sistem informasi Bea Cukai yang harus diakses melalui internet Kedua, pihak kantor harus senantiasa mengakses situs vendor di luar negeri untuk pemberitahuan muatan berikut dokumen yang me1
/ Firewall menggunakan IPTables dan Proxy Thomas J. Watson Research di IBM dan dimenggunakan Squid.
luncurkan pada bulan Desember 1998. [4]
2
2.0.1
Kajian Pustaka
Linux
R
adalah sistem operasi yang pertama
Linux
kali dibuat oleh Linus Torvalds melalui proGambar 2: Logo Postfix
yek pertamanya yang dinamakan Linux kernel di Helsinki - Finlandia pada tahun 1991.
Sistem operasi ini pertama kali berjalan pada
Pada perkembangan berikutnya, banyak
personal computer dengan processor 80386. komunitas opensource yang ikut berkecim[3]
pung dalam perbaikan dan penambahan
fasilitas-fasilitas baru hingga saat ini.
2.0.3
R
merupakan layanan Proxy Server
Squid
dari sistem operasi Unix dan variannya termasuk Linux, yang berfungsi untuk mendukung kecepatan (caching proxy) akses web,
ftp dan layanan internet lainnya. Selain itu,
Squid juga mendukung layanan Secure Web
(https) [5]
Gambar 1: Logo Linux
Sistem operasi ini pertama kali didedikasikan kepada teman-teman mahasiswanya
di seluruh dunia yang berkeinginan untuk
R
‘ namun terkendala pamenggunakan Unix
da harganya yang sangat mahal untuk kanR
bisa digutong ukuran mahasiswa. Linux
nakan secara gratis, bahkan dilakukan perubahan dan pengembangan lebih lanjut dengan tetap menyertakan kode asalnya (source
code).
Dengan bantuan perlindungan hukum dari
GNU GPL, Linux sekarang telah berkembang
pesat dan beranak-pinak dalam berbagai distribusi Linux (Linux distro). Mulai dari Debian, Slackware, RedHat dan SuSE sampai
dengan Mikrotik dan Android yang dipakai
pada smartphone sekarang.
2.0.2
Squid
Gambar 3: Logo Squid Proxy
Cara kerja dari Proxy Server yang utama
adalah menyimpan halaman-halaman web
yang sering diakses oleh pengguna lokal, sehingga seolah-olah situs web tersebut bisa diakses dengan lebih cepat oleh para pengguna
komputer yang terhubung ke Server yang dipasang layanan proxy tersebut.
Seiring berjalannya waktu dan perkembangan jaringan internet dengan pita lebar
dan kecepatan tinggi, maka penggunaan Server Proxy juga semakin berkurang. Hal ini
dikarenakan pengguna bisa mengakses situssitus yang diinginkan dengan lebih cepat tanpa perlu mengunakan layanan Server Proxy di gerbang utamanya (gateway). Namun
Postfix
R
merupakan layanan Mail Transfer
Postfix
Agent (MTA) atau pengiriman email berbasis
opensource sebagai alternatif selain sendmail. Postfix dibuat oleh Wietse Venema dan
2
sampai saat ini, Server Proxy masih tetap digunakan pada Server-Server utama (gateway
/ backbone) untuk mengatur dan membatasi
akses internet pada situs-situs tertentu atau
pun untuk membatasi hak-hak pengguna dalam menggunakan jaringan internet.
portsentry, hostsentry, dan logsentry. Namun
versi gratisnya masih bisa diunduh di SourceForge.net [6]
2.0.5
Firewall merupakan sistem pengamanan
yang dilakukan dengan cara melakukan penyaringan (filtering) paket data yang masuk
dan keluar jaringan. Hanya paket yang sesuai
dengan ketentuan yang telah ditetapkan bisa
melewati firewall untuk menjangkau jaringan
tertentu. Firewall bisa berupa perangkat lunak atau perangkat keras yang ditanamkan
perangkat lunak (software) di dalamnya untuk melakukan penyaringan paket data. [7]
Firewall memiliki segmentasi, antara lain
sebagai berikut:
• Kelebihan teknologi Proxy:
1. Memberikan tingkat keamanan
yang lebih baik dibandingkan
paket penyaringan,
2. Dapat manangani permasalahan
secara penuh pada lapis aplikasi.
[7]
• Kekurangan teknologi Proxy:
• Public Zone, merupakan wilayah
umum ayng terhubung dengan jaringan
internet, [7]
1. baru dapat mengantisipasi sebagian kondisi informasi yang salah dari
suatu komunikasi,
• DeMilitary Zone (DMZ), merupakan
security boundary area atau batas wilayah aman yang terletak di antara jaringan internal (private LAN) dan jaringan
publik (Internet).
2. Penggunaan pada tingkat aplikasi tentu dapat mengganggu kinerja
aplikasi tersebut,
3. Mengabaikan kandungan informasi
pada lapis yang lebih rendah.
2.0.4
Firewall
• Server Farm Zone, merupakan wilayah dimana terpasang sub server yang
dibutuhkan oleh pihak-pihak internal.
Misalnya Server Billing System yang
dipasang pada Departemen Keuangan,
yang berfungsi untuk menjalankan sistem keuangan secara internal.
Portsentry
Portsentry dibuat oleh Psionic Technologies pada tahun 2003 menggunakan bahasa C.
Fungsi utama dari Portsentry adalah untuk
menutup / memblokir port-port TCP / UDP
yang tidak diperlukan oleh sistem namun bisa menjadi pintu belakang sistem bagi para
peretas yang dalam melakukan aksinya.
Cara kerjanya sederhana, Portsentry akan
menutup port-port TCP / UDP sesuai dengan ketentuan yang sudah ditetapkan di dalam file konfigurasi. Selanjutnya, Portsentry akan melakukan pemblokiran akses bagi
pengguna yang dicurigai sebagai peretas ketika mencoba mengakses port-port yang sudah
ditutup tersebut. Alamat IP dari para pengguna yang diblokir tersebut berada pada file
/etc/hosts.deny.
Saat ini Portsentry diakuisisi oleh Cisco
dan menjadi bagian dari Trisentry, yang merupakan perangkat pendeteksian, meliputi:
• Internal Zone (Private Zone), merupakan wilayah internal di balik firewall,
dimana pengguna / user lokal berada.
3
3.1
Metode Penelitian
Subyek Penelitian
Subyek penelitian yang akan dibahas pada
jurnal ini adalah “Metode Pengamanan Sistem Komputer dan Jaringan Internet" dengan studi kasus pada sebuah instansi swasta” yang bergerak di bidang shipping, logistik dan Export Import. Diharapkan dengan
3
adanya sistem keaman pada jaringan internet
dan intranet ini bisa mengurasi resiko penyerangan, baik terhadap server maupun user.
Selain itu bisa membatasi akses pengguna sesuai dengan wewenang yang ditetapkan.
3.2
Metode Pengumpulan Data
Metode pengumpulan data yang dilakukan
bertujuan agar hasil dari penelitian dan analisa lebih terarah serta penelitian yang dilakukan menjadi lebih akurat. Kelengkapan Gambar 4: Skema Jaringan dengan Firewall
data yang diperoleh dapat memberikan kon- dan Regulasi
tribusi dalam proses penyusunan jurnal dalam waktu yang lebih singkat. Adapun beberapa metode yang dilakukan dalam pengum2. Firewal; / Proxy Server dipasangi dua
pulan data terdiri dari:
alamat IP, masing-masing Public IP
yang mengarah kepada public zone dan
1. Studi Pustaka
Private IP yang mengarah kepada PrivaMetode pengumpulan data dengan cate Zone / jalur internal,
ra membaca referensi di internet, jurnal
3. Untuk mengantisipasi penyusupan damaupun sumber data lain yang dimakri pihak eksternal, maka perlu dipasang
sudkan untuk mendapatkan konsep teoportsentry yang berfungsi untuk menuri yang mengena terhadap masalah yang
tup port-port yang tidak digunakan dan
akan diteliti serta mencari informasi termemblokir external user yang berusaha
kait pembahasan masalah terkait pada
melakukan penyusupan,
forum opensource di internet.
4. Memblokir port-port yang memungkinkan penyebaran virus jaringan dan worm,
2. Observasi Lapangan
5. untuk mengatur dan membatasi user
Pengumpulan data melalui pengamatan
access sesuai dengan aturan yang ditesecara langsung pada objek yang diteliti
tapkan pihak manajemen, pada Server
untuk memperoleh informasi yang tepat
akan dipasang Squid dan IP Tables,
dan sistematis. Meliputi instalasi, set6. Penggunaan Proxy selain untuk membating konfigurasi, tool yang dipakai dan
tasi akses internal user, juga berfungpengujian jaringan LAN dan internet.
si untuk menampung cache dari situssitus yang sering diakses. Namun tidak menyimpan ataupun membatasi pe4 Model Perancangan
nyimpanan cache-cache dari situs-situs
yang sering update ataupun situs yang
Berdasarkan pembahasan dengan narasumterkait dengan operasional perusahaan
ber pada subyek terkait, bisa ditarik be(bypass). Misalnya, situs pabean dan sinang merah sesuai dengan rancangan jaringtus perusahaan induk di Taiwan.
an yang ditampilkan pada figur 4 di bawah
7. Akses internet dan jaringan secara peini:
nuh diberikan kepada komisaris dan
Adapun penjelasannya adalah sebagai berCEO perusahaan serta IT Department.
ikut:
8. Direktur, Marketing Manager dan Finance Department Manager diberi akses
1. Dipasang Firewall / Proxy Server pada
internet secara penuh.
jalur yang menghubungkan public zone
9. Staff pada masing-masing departemen
(internet) dengan private zone (jaringan
internal),
hanya diberi akses untuk menerima dan
4
mengirim email.
5 Hasil dan Pembahasan
10. 3 PC di bawah IT Department diberi akses penuh ke jaringan internet bagi mere- Sesuai dengan kesepakatan, maka PC Server
ka yang membutuhkannya terkait untuk diinstall dengan Linux Fedora release 16, depenelusuran logistik dan akses ke pabean ngan konfigurasi sebagai berikut:
1. eth1
dan perusahaan induk di Taiwan.
Untuk lengkapnya bisa dilihat pada arsitektur jaringan pada figur 5 berikut ini:
Alamat IP Publik : 122.129.x.x
Subnet Mask
: 255.255.255.248
Gateway
: 122.129.x.x
192.168.11.254
DNS1
: 192.168.11.254
DNS2
: 122.129.x.x
DNS3
: 122.129.x.x
2. eth2
Alamat IP privat : 192.168.3.2
Netmask
: 255.255.255.0
Gateway
: 192.168.11.254
Gambar 5: Skema arsitektur jaringan yang
akan dipasang
5.1
IPtables
Berikutnya, membuat setting konfigurasi untuk mengijinkan akses ke internet dan memblokir port-port yang ditengarai rawan ma4.1 Rancangan Hardware
lware dan menjalankan transparent proxy seServer yang akan digunakan sebagai PC Ro- perti berikut ini:
uter, sekaligus Firewall / Proxy Server me#!/bin/sh
miliki spesifikasi minimal sebagai berikut:
server=’192.168.11.254/32’
- Processor
mail=’192.168.11.253/32’
printer=’192.168.11.212/32’
:
Processor Dual
Core dan atau
yang setara
- RAM
: 4 GB
- Slot Ethernet : 2 buah
- Harddisk
: 1 TB
# /etc/sysconfig/user-nat
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/icmp_ratelimit
modprobe
Sedangkan port-port yang akan diblokir modprobe
modprobe
adalah sebagai berikut:
modprobe
modprobe
No.
Alamat
Jenis Keterangan
modprobe
Port
Port
modprobe
1. 130-140
TCP Drop Blaster
modprobe
2. 130-140
UDP
3.
4.
5.
6.
TCP
UDP
TCP
UDP
445
445
6800 - 6900
6800 - 6900
Worm
Drop Messenger Worm
Blaster Worm
Blaster Worm
Worm
Worm
iptables
iptables
iptables
iptables
iptables
5
ip_conntrack
ip_conntrack_irc
ip_nat_irc
ip_nat_amanda
ip_nat_ftp
ip_nat_snmp_basic
ip_nat_tftp
iptable_nat
-F
-X
-X -t nat
-F -t nat
-I
POSTROUTING
-t
nat
-s
192.168.11.0/24
DE
-d
0/0
-j
MASQUERA- d
195.215.8.145
-m
mac
–mac-source
00:0E:A6:77:D3:B4 -j DROP
iptables -A FORWARD -p udp -i eth0
# Internet Drop! #
-d
64.246.49.61
-m
mac
–mac-source
iptables -A FORWARD -s 192.168.11.1/32 -p 00:0E:A6:77:D3:B4 -j DROP
tcp –dport 80 -j DROP
iptables -A FORWARD -p udp -i eth0
iptables -A FORWARD -s 192.168.11.251/32 -p -d
64.246.49.60
-m
mac
–mac-source
tcp –dport 80 -j DROP
00:0E:A6:77:D3:B4 -j DROP
iptables -A FORWARD -p udp -i eth0
#iptables -A FORWARD -s 192.168.11.252/32
-d
64.246.48.23
-m
mac
–mac-source
-p tcp –dport 80 -j DROP
00:0E:A6:77:D3:B4 -j DROP
# Skype Drop!! #
# Transparent Proxy #
iptables -A FORWARD -s 192.168.11.230/32 -p iptables -t nat -A PREROUTING -p tcp -d
localhost –dport 80 -j ACCEPT
udp -i eth0 -d 66.235.180.9 -j DROP
iptables -A FORWARD -s 192.168.11.230/32 -p iptables -t nat -A PREROUTING -p tcp –dport
udp -i eth0 -d 66.235.181.9 -j DROP
80 -j REDIRECT –to-port 8080
iptables -A FORWARD -s 192.168.11.230/32 -p
udp -i eth0 -d 80.160.91.12 -j DROP
# Firewall for Mail Server #
iptables -A FORWARD -s 192.168.11.230/32 -p
udp -i eth0 -d 80.161.91.25 -j DROP
iptables -A INPUT -p udp -m udp –dport
iptables -A FORWARD -s 192.168.11.230/32 -p 631 -j ACCEPT
udp -i eth0 -d 212.72.49.141 -j DROP
iptables -A INPUT -m state –state NEW -m
iptables -A FORWARD -s 192.168.11.230/32 -p
tcp -p tcp –dport 110 -j ACCEPT
udp -i eth0 -d 212.72.49.142 -j DROP
iptables -A INPUT -m state –state NEW -m
tcp -p tcp –dport 143 -j ACCEPT
iptables -A FORWARD -p udp -i eth0
iptables -A INPUT -m state –state NEW -m
-d
66.235.180.9
-m
mac
–mac-source
tcp -p tcp –dport 443 -j ACCEPT
00:0E:A6:77:D3:B4 -j DROP
iptables -A INPUT -m state –state NEW -m
iptables -A FORWARD -p udp -i eth0
tcp -p tcp –dport 2112 -j ACCEPT
-d
66.235.181.9
-m
mac
–mac-source
iptables -A INPUT -m state –state NEW -m
00:0E:A6:77:D3:B4 -j DROP
tcp -p tcp –dport 25 -j ACCEPT
iptables -A FORWARD -p udp -i eth0
iptables -A INPUT -m state –state NEW -m
-d
80.160.91.12
-m
mac
–mac-source
tcp -p tcp –dport 80 -j ACCEPT
00:0E:A6:77:D3:B4 -j DROP
iptables -A FORWARD -p udp -i eth0
# Virus Drop !!
-d
80.161.91.25
-m
mac
–mac-source
iptables -A INPUT -s 0/0 -p udp –destination00:0E:A6:77:D3:B4 -j DROP
port 130:140 -j DROP
iptables -A FORWARD -p udp -i eth0 iptables -A OUTPUT -s 0/0 -p udp –destinationd
212.72.49.141
-m
mac
–mac-source
port 130:140 -j DROP
00:0E:A6:77:D3:B4 -j DROP
iptables -A FORWARD -s 0/0 -p udp –
iptables -A FORWARD -p udp -i eth0 destination-port 130:140 -j DROP
d
212.72.49.142
-m
mac
–mac-source
iptables -A INPUT -s 0/0 -p udp –destination00:0E:A6:77:D3:B4 -j DROP
port 445 -j DROP
iptables -A FORWARD -p udp -i eth0 iptables -A OUTPUT -s 0/0 -p udp –destinationd
212.72.49.143
-m
mac
–mac-source
port 445 -j DROP
00:0E:A6:77:D3:B4 -j DROP
iptables -A FORWARD -s 0/0 -p udp –
iptables -A FORWARD -p udp -i eth0 destination-port 445 -j DROP
d
195.215.8.141
-m
mac
–mac-source
iptables -A INPUT -s 0/0 -p udp –destination00:0E:A6:77:D3:B4 -j DROP
port 6800:6900 -j DROP
iptables -A FORWARD -p udp -i eth0 -
6
qmqpd_timeout = 3000s
smtp_connect_timeout = 300s
smtp_helo_timeout = 3000s
smtp_quit_timeout = 3000s
smtp_rset_timeout = 20s
iptables -A OUTPUT -s 0/0 -p udp –destinationport 6800:6900 -j DROP
iptables -A FORWARD -s 0/0 -p udp –
destination-port 6800:6900 -j DROP
5.2
perubahan
angka
pada
mailbox_size_limit = 2048000000 dan message_size_limit = 1024000000 dimaksudkan
untuk penambahan kapasitas attachment
yang bisa disertakan. Dalam konfigurasi ini
dilakukan penambahan kapasitas penyertaan
file pada email yang akan dikirim mencapai
10 MB.
Untuk menjalankan dan mengaktifkannya
secara permanen, bisa dengan mengetikkan
sintaks perintah berikut ini:
$ sudo systemctl enable postfix
$ sudo /etc/init.d/postfix start
Portsentry
Setelah instalasi portsentry berhasil, untuk
menjalankan secara otomatis bisa disisipkan
di dalam file /etc/rc.local, sebagai berikut:
/usr/local/psionic/portsentry/portsentry
/usr/local/psionic/portsentry/portsentry
/usr/local/psionic/portsentry/portsentry
/usr/local/psionic/portsentry/portsentry
-atcp
-audp
-stcp
-sudp
Sedangkan file konfigurasi portsentry.conf
berada pada /usr/local/psionic/portsentry/.
Yang perlu kita lakukan adalah melakukan
editing pada file tersebut pada bagian berikut ini:
#
these
for
Proxy / Squid
bare-bones langkah terakhir adalah setting Proxy mela#TCP_PORTS="1,11,15,110,111,...
" lui file /etc/squid.conf, dengan konfigurasi se#UDP_PORTS="1,7,9,69,161,...."
bagai berikut:
Lakukan penambahan alamat port yang kihttp_port 8080 transparent
ta inginkan pada daftar tersebut di atas.
icp_port 3130
5.3
Use
5.4
just
udp_incoming_address 0.0.0.0
udp_outgoing_address 255.255.255.255
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin ?
no_cache deny QUERY
cache_mem 64 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 10240 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
cache_replacement_policy lru
memory_replacement_policy lru
cache_dir ufs /squid/cache 30270 256 512
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
mime_table /etc/squid/mime.conf
Postfix
Program aplikasi Postfix sudah terpasang pada saat instalasi Linux pertama kali, yang
perlu dilakukan adalah melakukan setting file /etc/postfix/main.cf dan melakukan perubahan pada baris berikut ini:
...............
queue_minfree = 1024000000
mailbox_size_limit = 2048000000
message_size_limit = 1024000000
smtp_data_done_timeout = 6000s
smtp_data_init_timeout = 1200s
smtp_data_xfer_timeout = 1800s
ipc_idle = 1000s
ipc_timeout = 36000s
ipc_ttl = 10000s
lmtp_lhlo_timeout = 3000s
lmtp_mail_timeout = 3000s
lmtp_quit_timeout = 3000s
lmtp_rcpt_timeout = 3000s
lmtp_rset_timeout = 200s
7
pid_filename /var/run/squid.pid
debug_options ALL,1
client_netmask 255.255.255.255
ftp_user [email protected]
ftp_list_width 32
ftp_passive on
ftp_sanitycheck on
ftp_telnet_protocol on
redirect_children 10
auth_param basic children 10
auth_param basic realm Squid proxy-caching
web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 563 #https, snews
..............
acl office src 192.168.11.0/24
acl it1 src 192.168.11.208/32
acl it2 src 192.168.11.209/32
acl direktur src 192.168.11.200/32
acl marketing src 192.168.11.224/32
acl ops src 192.168.11.250/32
acl cadangan1 src 192.168.11.251/32
acl mail src 192.168.11.252/32
acl printer src 192.168.11.212/32
acl oracle1 src 192.168.11.216/32
acl oracle2 src 192.168.11.232/32
acl oracle3 src 192.168.11.236/32
acl blokir url_regex "/etc/squid/blokir"
acl kecuali url_regex "/etc/squid/kecuali"
http_access allow manager localhost
http_access allow it1
http_access allow it2
http_access deny kecuali all
http_access allow oracle1
http_access allow oracle2
http_access allow oracle3
...........
http_access deny all
http_reply_access allow all
miss_access allow all
...........
refresh_pattern ˆftp: 1440 20% 10080
refresh_pattern bola 0 20% 1440
refresh_pattern kompas 110 20% 1440 ignorereload
refresh_pattern detik 400 20% 4320 ignorereload
refresh_pattern bbc 400 20% 4320 ignore-reload
refresh_pattern kompas 400 20% 4320 ignorereload
refresh_pattern suara 400 20% 4320 ignorereload
refresh_pattern news 400 20% 4320 ignorereload
refresh_pattern tempo 400 20% 4320 ignorereload
refresh_pattern jpg 259200 60% 259200 ignorereload
refresh_pattern gif 259200 60% 259200 ignorereload
refresh_pattern mail 10 20% 4320
refresh_pattern quios 1110 20% 4320
refresh_pattern download 259200 60% 259200
refresh_pattern flash 259200 60% 2592000
refresh_pattern facebook 259200 60% 2592000
refresh_pattern youtube 259200 60% 259200
refresh_pattern . 272800 60% 1728000
..............
..............
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 553
acl Safe_ports port 80 #http
acl Safe_ports port 81 #http
6
Kesimpulan
1. Router / Firewall Server ini bekerja dengan dilengkapi aplikasi IP Tables, Portsentry dan Squid sebagai Proxy Server,
2. Selama tiga tahun server berjalan tidak
ada permasalahan yang berarti, bahkan
penyebaran virus jaringan dan spam serta malware bisa ditekan secara maksimal.
3. Penempatan Proxy Server dalam satu
PC dengan Router / Firewall secara teknis sebenarnya kurang aman, sebaiknya
posisinya ada di lapis kedua (second layer), dipasang pada PC terpisah dan
menggunakan IP privat,
4. Sehubungan dengan pertimbangan ekonomis, maka semua aplikasi tersebut di
8
atas berjalan dalam satu PC.
7
Rekomendasi
Jika masalah keamanan menjadi isu utama,
maka sebaiknya Router / Firewall Server dipasang secara terpisah dengan Proxy Server.
Penulis menyadari bahwa jurnal ini jauh
dari sempurna, untuk itu penulis mengharapkan ada yang berkeinginan untuk menyempurnakan dan mengembangkan jurnal
ini sesuai dengan perkembangan teknologi
yang ada dan juga bisa mengantisipasi ancaman malware yang semakin berkembang
pesat.
Pustaka
[1] Rumalutur, Sonny., Analisis Keamanan
Jaringan Wireless LAN (WLAN) Pada
PT. PLN (Persero) Wilayah P2B Area
Sorong, Jurnal Teknologi dan Rekayasa,
Volume 19 No. 3, Desember 2014.
[2] Mustofa, Muh Masruri., Aribowo,
Eko,Penerapan Sistem Keamanan Honeypod dan IDS pada Jaringan Nir
kabel, Universitas Ahmad Dahlan.
[3] www.linuxfondation.org
[4] www.postfix.org
[5] www.squid-cache.org
[6] Symantec Corporation
[7] Depkominfo, Standard Operational Procedure.
9
dan Jaringan Internet dengan IP Tables, Proxy
dan Portsentry
Kresno Aji NIM: 15.52.07261 , Bambang Sugiantoro2
Magister Teknik Informatika STMIK AMIKOM Yogyakarta1
Jl. Ringroad Utara Condong Catur Depok Sleman Yogyakarta, 55283
Teknik Informatika UIN Sunan Kalijaga Yogyakarta2
Jl. Marsda Adisucipto Yogyakarta 55281
Email: [email protected] , [email protected]
Ringkasan
Router merupakan gerbang utama dari komputer pengguna akhir menuju ke internet dan sebaliknya. Dengan adanya Router, pengguna bisa berselancar dengan mudah,
mengirim surat elektronik menuju ke alamat target dan sebaliknya, berikut kegiatan lain
yang terkait dengan dunia internet.
Namun di balik semua fungsi dan kemudahan tersebut, Router juga menjadi sasaran
utama para peretas di satu sisi dan juga menjadi sarana bagi pengguna untuk melakukan
hal-hal yang melebihi wewenang dan haknya.
Makalah ini akan membahas tentang pembuatan sistem keamanan komputer dan jaringan perkantoran yang bergerak di bidang shipping, export - import dan logistik. Rancangan sistem dengan membangun PC Router yang diinstal sistem operasi Linux beserta
perangkat Firewall dan Proxy untuk pengamanan jaringan dan membatasi akses dari
masing-masing pengguna sesuai dengan ketetapan yang dibuat oleh pihak manajemen.
1
Pendahuluan
nyertainya. Ketiga, pihak kantor melakukan
pemasaran menggunakan telemarketing, dimana pengiriman penawaran dan salinan dokumen dilakukan melalui email.
Dengan demikian, hampir seluruh kegiatan
kantor menggunakan media internet sebagai
wahana komunikasi dan operasional perkantoran. Gangguan internet lebih dari sepuluh
menit bisa mengganggu operasional kantor.
Namun hambatan tidak hanya datang dari
masalah putusnya jaringan internet, masalah
utama yang dihadapi adalah virus jaringan,
e-mail spamming, sampai dengan penggunaan komputer kantor untuk kegiatan di luar
pekerjaan.
Untuk mengantisipasi hal-hal tersebut di
atas maka dibuat Router dengan menggunakan sistem operasi Linux dengan layanan: Mail Server menggunakan Postfix, NAT
Perkembangan dunia usaha yang semakin
kompleks menuntut penggunaan sistem komputasi yang bisa mengampu semua kebutuhan tersebut. Selain itu, kebutuhan akan
jaringan internet yang cepat untuk mendukung operasional bisnis perkantoran juga sangat tinggi, mengingat beban kerja dari kantor yang bergerak di bidang shipping dimana internet merupakan kebutuhan utama bagi kantor dalam menjalankan bisnisnya.
Kantor shipping membutuhkan dukungan
internet untuk pengurusan dokumen pabean,
dimana digunakan sistem informasi Bea Cukai yang harus diakses melalui internet Kedua, pihak kantor harus senantiasa mengakses situs vendor di luar negeri untuk pemberitahuan muatan berikut dokumen yang me1
/ Firewall menggunakan IPTables dan Proxy Thomas J. Watson Research di IBM dan dimenggunakan Squid.
luncurkan pada bulan Desember 1998. [4]
2
2.0.1
Kajian Pustaka
Linux
R
adalah sistem operasi yang pertama
Linux
kali dibuat oleh Linus Torvalds melalui proGambar 2: Logo Postfix
yek pertamanya yang dinamakan Linux kernel di Helsinki - Finlandia pada tahun 1991.
Sistem operasi ini pertama kali berjalan pada
Pada perkembangan berikutnya, banyak
personal computer dengan processor 80386. komunitas opensource yang ikut berkecim[3]
pung dalam perbaikan dan penambahan
fasilitas-fasilitas baru hingga saat ini.
2.0.3
R
merupakan layanan Proxy Server
Squid
dari sistem operasi Unix dan variannya termasuk Linux, yang berfungsi untuk mendukung kecepatan (caching proxy) akses web,
ftp dan layanan internet lainnya. Selain itu,
Squid juga mendukung layanan Secure Web
(https) [5]
Gambar 1: Logo Linux
Sistem operasi ini pertama kali didedikasikan kepada teman-teman mahasiswanya
di seluruh dunia yang berkeinginan untuk
R
‘ namun terkendala pamenggunakan Unix
da harganya yang sangat mahal untuk kanR
bisa digutong ukuran mahasiswa. Linux
nakan secara gratis, bahkan dilakukan perubahan dan pengembangan lebih lanjut dengan tetap menyertakan kode asalnya (source
code).
Dengan bantuan perlindungan hukum dari
GNU GPL, Linux sekarang telah berkembang
pesat dan beranak-pinak dalam berbagai distribusi Linux (Linux distro). Mulai dari Debian, Slackware, RedHat dan SuSE sampai
dengan Mikrotik dan Android yang dipakai
pada smartphone sekarang.
2.0.2
Squid
Gambar 3: Logo Squid Proxy
Cara kerja dari Proxy Server yang utama
adalah menyimpan halaman-halaman web
yang sering diakses oleh pengguna lokal, sehingga seolah-olah situs web tersebut bisa diakses dengan lebih cepat oleh para pengguna
komputer yang terhubung ke Server yang dipasang layanan proxy tersebut.
Seiring berjalannya waktu dan perkembangan jaringan internet dengan pita lebar
dan kecepatan tinggi, maka penggunaan Server Proxy juga semakin berkurang. Hal ini
dikarenakan pengguna bisa mengakses situssitus yang diinginkan dengan lebih cepat tanpa perlu mengunakan layanan Server Proxy di gerbang utamanya (gateway). Namun
Postfix
R
merupakan layanan Mail Transfer
Postfix
Agent (MTA) atau pengiriman email berbasis
opensource sebagai alternatif selain sendmail. Postfix dibuat oleh Wietse Venema dan
2
sampai saat ini, Server Proxy masih tetap digunakan pada Server-Server utama (gateway
/ backbone) untuk mengatur dan membatasi
akses internet pada situs-situs tertentu atau
pun untuk membatasi hak-hak pengguna dalam menggunakan jaringan internet.
portsentry, hostsentry, dan logsentry. Namun
versi gratisnya masih bisa diunduh di SourceForge.net [6]
2.0.5
Firewall merupakan sistem pengamanan
yang dilakukan dengan cara melakukan penyaringan (filtering) paket data yang masuk
dan keluar jaringan. Hanya paket yang sesuai
dengan ketentuan yang telah ditetapkan bisa
melewati firewall untuk menjangkau jaringan
tertentu. Firewall bisa berupa perangkat lunak atau perangkat keras yang ditanamkan
perangkat lunak (software) di dalamnya untuk melakukan penyaringan paket data. [7]
Firewall memiliki segmentasi, antara lain
sebagai berikut:
• Kelebihan teknologi Proxy:
1. Memberikan tingkat keamanan
yang lebih baik dibandingkan
paket penyaringan,
2. Dapat manangani permasalahan
secara penuh pada lapis aplikasi.
[7]
• Kekurangan teknologi Proxy:
• Public Zone, merupakan wilayah
umum ayng terhubung dengan jaringan
internet, [7]
1. baru dapat mengantisipasi sebagian kondisi informasi yang salah dari
suatu komunikasi,
• DeMilitary Zone (DMZ), merupakan
security boundary area atau batas wilayah aman yang terletak di antara jaringan internal (private LAN) dan jaringan
publik (Internet).
2. Penggunaan pada tingkat aplikasi tentu dapat mengganggu kinerja
aplikasi tersebut,
3. Mengabaikan kandungan informasi
pada lapis yang lebih rendah.
2.0.4
Firewall
• Server Farm Zone, merupakan wilayah dimana terpasang sub server yang
dibutuhkan oleh pihak-pihak internal.
Misalnya Server Billing System yang
dipasang pada Departemen Keuangan,
yang berfungsi untuk menjalankan sistem keuangan secara internal.
Portsentry
Portsentry dibuat oleh Psionic Technologies pada tahun 2003 menggunakan bahasa C.
Fungsi utama dari Portsentry adalah untuk
menutup / memblokir port-port TCP / UDP
yang tidak diperlukan oleh sistem namun bisa menjadi pintu belakang sistem bagi para
peretas yang dalam melakukan aksinya.
Cara kerjanya sederhana, Portsentry akan
menutup port-port TCP / UDP sesuai dengan ketentuan yang sudah ditetapkan di dalam file konfigurasi. Selanjutnya, Portsentry akan melakukan pemblokiran akses bagi
pengguna yang dicurigai sebagai peretas ketika mencoba mengakses port-port yang sudah
ditutup tersebut. Alamat IP dari para pengguna yang diblokir tersebut berada pada file
/etc/hosts.deny.
Saat ini Portsentry diakuisisi oleh Cisco
dan menjadi bagian dari Trisentry, yang merupakan perangkat pendeteksian, meliputi:
• Internal Zone (Private Zone), merupakan wilayah internal di balik firewall,
dimana pengguna / user lokal berada.
3
3.1
Metode Penelitian
Subyek Penelitian
Subyek penelitian yang akan dibahas pada
jurnal ini adalah “Metode Pengamanan Sistem Komputer dan Jaringan Internet" dengan studi kasus pada sebuah instansi swasta” yang bergerak di bidang shipping, logistik dan Export Import. Diharapkan dengan
3
adanya sistem keaman pada jaringan internet
dan intranet ini bisa mengurasi resiko penyerangan, baik terhadap server maupun user.
Selain itu bisa membatasi akses pengguna sesuai dengan wewenang yang ditetapkan.
3.2
Metode Pengumpulan Data
Metode pengumpulan data yang dilakukan
bertujuan agar hasil dari penelitian dan analisa lebih terarah serta penelitian yang dilakukan menjadi lebih akurat. Kelengkapan Gambar 4: Skema Jaringan dengan Firewall
data yang diperoleh dapat memberikan kon- dan Regulasi
tribusi dalam proses penyusunan jurnal dalam waktu yang lebih singkat. Adapun beberapa metode yang dilakukan dalam pengum2. Firewal; / Proxy Server dipasangi dua
pulan data terdiri dari:
alamat IP, masing-masing Public IP
yang mengarah kepada public zone dan
1. Studi Pustaka
Private IP yang mengarah kepada PrivaMetode pengumpulan data dengan cate Zone / jalur internal,
ra membaca referensi di internet, jurnal
3. Untuk mengantisipasi penyusupan damaupun sumber data lain yang dimakri pihak eksternal, maka perlu dipasang
sudkan untuk mendapatkan konsep teoportsentry yang berfungsi untuk menuri yang mengena terhadap masalah yang
tup port-port yang tidak digunakan dan
akan diteliti serta mencari informasi termemblokir external user yang berusaha
kait pembahasan masalah terkait pada
melakukan penyusupan,
forum opensource di internet.
4. Memblokir port-port yang memungkinkan penyebaran virus jaringan dan worm,
2. Observasi Lapangan
5. untuk mengatur dan membatasi user
Pengumpulan data melalui pengamatan
access sesuai dengan aturan yang ditesecara langsung pada objek yang diteliti
tapkan pihak manajemen, pada Server
untuk memperoleh informasi yang tepat
akan dipasang Squid dan IP Tables,
dan sistematis. Meliputi instalasi, set6. Penggunaan Proxy selain untuk membating konfigurasi, tool yang dipakai dan
tasi akses internal user, juga berfungpengujian jaringan LAN dan internet.
si untuk menampung cache dari situssitus yang sering diakses. Namun tidak menyimpan ataupun membatasi pe4 Model Perancangan
nyimpanan cache-cache dari situs-situs
yang sering update ataupun situs yang
Berdasarkan pembahasan dengan narasumterkait dengan operasional perusahaan
ber pada subyek terkait, bisa ditarik be(bypass). Misalnya, situs pabean dan sinang merah sesuai dengan rancangan jaringtus perusahaan induk di Taiwan.
an yang ditampilkan pada figur 4 di bawah
7. Akses internet dan jaringan secara peini:
nuh diberikan kepada komisaris dan
Adapun penjelasannya adalah sebagai berCEO perusahaan serta IT Department.
ikut:
8. Direktur, Marketing Manager dan Finance Department Manager diberi akses
1. Dipasang Firewall / Proxy Server pada
internet secara penuh.
jalur yang menghubungkan public zone
9. Staff pada masing-masing departemen
(internet) dengan private zone (jaringan
internal),
hanya diberi akses untuk menerima dan
4
mengirim email.
5 Hasil dan Pembahasan
10. 3 PC di bawah IT Department diberi akses penuh ke jaringan internet bagi mere- Sesuai dengan kesepakatan, maka PC Server
ka yang membutuhkannya terkait untuk diinstall dengan Linux Fedora release 16, depenelusuran logistik dan akses ke pabean ngan konfigurasi sebagai berikut:
1. eth1
dan perusahaan induk di Taiwan.
Untuk lengkapnya bisa dilihat pada arsitektur jaringan pada figur 5 berikut ini:
Alamat IP Publik : 122.129.x.x
Subnet Mask
: 255.255.255.248
Gateway
: 122.129.x.x
192.168.11.254
DNS1
: 192.168.11.254
DNS2
: 122.129.x.x
DNS3
: 122.129.x.x
2. eth2
Alamat IP privat : 192.168.3.2
Netmask
: 255.255.255.0
Gateway
: 192.168.11.254
Gambar 5: Skema arsitektur jaringan yang
akan dipasang
5.1
IPtables
Berikutnya, membuat setting konfigurasi untuk mengijinkan akses ke internet dan memblokir port-port yang ditengarai rawan ma4.1 Rancangan Hardware
lware dan menjalankan transparent proxy seServer yang akan digunakan sebagai PC Ro- perti berikut ini:
uter, sekaligus Firewall / Proxy Server me#!/bin/sh
miliki spesifikasi minimal sebagai berikut:
server=’192.168.11.254/32’
- Processor
mail=’192.168.11.253/32’
printer=’192.168.11.212/32’
:
Processor Dual
Core dan atau
yang setara
- RAM
: 4 GB
- Slot Ethernet : 2 buah
- Harddisk
: 1 TB
# /etc/sysconfig/user-nat
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/icmp_ratelimit
modprobe
Sedangkan port-port yang akan diblokir modprobe
modprobe
adalah sebagai berikut:
modprobe
modprobe
No.
Alamat
Jenis Keterangan
modprobe
Port
Port
modprobe
1. 130-140
TCP Drop Blaster
modprobe
2. 130-140
UDP
3.
4.
5.
6.
TCP
UDP
TCP
UDP
445
445
6800 - 6900
6800 - 6900
Worm
Drop Messenger Worm
Blaster Worm
Blaster Worm
Worm
Worm
iptables
iptables
iptables
iptables
iptables
5
ip_conntrack
ip_conntrack_irc
ip_nat_irc
ip_nat_amanda
ip_nat_ftp
ip_nat_snmp_basic
ip_nat_tftp
iptable_nat
-F
-X
-X -t nat
-F -t nat
-I
POSTROUTING
-t
nat
-s
192.168.11.0/24
DE
-d
0/0
-j
MASQUERA- d
195.215.8.145
-m
mac
–mac-source
00:0E:A6:77:D3:B4 -j DROP
iptables -A FORWARD -p udp -i eth0
# Internet Drop! #
-d
64.246.49.61
-m
mac
–mac-source
iptables -A FORWARD -s 192.168.11.1/32 -p 00:0E:A6:77:D3:B4 -j DROP
tcp –dport 80 -j DROP
iptables -A FORWARD -p udp -i eth0
iptables -A FORWARD -s 192.168.11.251/32 -p -d
64.246.49.60
-m
mac
–mac-source
tcp –dport 80 -j DROP
00:0E:A6:77:D3:B4 -j DROP
iptables -A FORWARD -p udp -i eth0
#iptables -A FORWARD -s 192.168.11.252/32
-d
64.246.48.23
-m
mac
–mac-source
-p tcp –dport 80 -j DROP
00:0E:A6:77:D3:B4 -j DROP
# Skype Drop!! #
# Transparent Proxy #
iptables -A FORWARD -s 192.168.11.230/32 -p iptables -t nat -A PREROUTING -p tcp -d
localhost –dport 80 -j ACCEPT
udp -i eth0 -d 66.235.180.9 -j DROP
iptables -A FORWARD -s 192.168.11.230/32 -p iptables -t nat -A PREROUTING -p tcp –dport
udp -i eth0 -d 66.235.181.9 -j DROP
80 -j REDIRECT –to-port 8080
iptables -A FORWARD -s 192.168.11.230/32 -p
udp -i eth0 -d 80.160.91.12 -j DROP
# Firewall for Mail Server #
iptables -A FORWARD -s 192.168.11.230/32 -p
udp -i eth0 -d 80.161.91.25 -j DROP
iptables -A INPUT -p udp -m udp –dport
iptables -A FORWARD -s 192.168.11.230/32 -p 631 -j ACCEPT
udp -i eth0 -d 212.72.49.141 -j DROP
iptables -A INPUT -m state –state NEW -m
iptables -A FORWARD -s 192.168.11.230/32 -p
tcp -p tcp –dport 110 -j ACCEPT
udp -i eth0 -d 212.72.49.142 -j DROP
iptables -A INPUT -m state –state NEW -m
tcp -p tcp –dport 143 -j ACCEPT
iptables -A FORWARD -p udp -i eth0
iptables -A INPUT -m state –state NEW -m
-d
66.235.180.9
-m
mac
–mac-source
tcp -p tcp –dport 443 -j ACCEPT
00:0E:A6:77:D3:B4 -j DROP
iptables -A INPUT -m state –state NEW -m
iptables -A FORWARD -p udp -i eth0
tcp -p tcp –dport 2112 -j ACCEPT
-d
66.235.181.9
-m
mac
–mac-source
iptables -A INPUT -m state –state NEW -m
00:0E:A6:77:D3:B4 -j DROP
tcp -p tcp –dport 25 -j ACCEPT
iptables -A FORWARD -p udp -i eth0
iptables -A INPUT -m state –state NEW -m
-d
80.160.91.12
-m
mac
–mac-source
tcp -p tcp –dport 80 -j ACCEPT
00:0E:A6:77:D3:B4 -j DROP
iptables -A FORWARD -p udp -i eth0
# Virus Drop !!
-d
80.161.91.25
-m
mac
–mac-source
iptables -A INPUT -s 0/0 -p udp –destination00:0E:A6:77:D3:B4 -j DROP
port 130:140 -j DROP
iptables -A FORWARD -p udp -i eth0 iptables -A OUTPUT -s 0/0 -p udp –destinationd
212.72.49.141
-m
mac
–mac-source
port 130:140 -j DROP
00:0E:A6:77:D3:B4 -j DROP
iptables -A FORWARD -s 0/0 -p udp –
iptables -A FORWARD -p udp -i eth0 destination-port 130:140 -j DROP
d
212.72.49.142
-m
mac
–mac-source
iptables -A INPUT -s 0/0 -p udp –destination00:0E:A6:77:D3:B4 -j DROP
port 445 -j DROP
iptables -A FORWARD -p udp -i eth0 iptables -A OUTPUT -s 0/0 -p udp –destinationd
212.72.49.143
-m
mac
–mac-source
port 445 -j DROP
00:0E:A6:77:D3:B4 -j DROP
iptables -A FORWARD -s 0/0 -p udp –
iptables -A FORWARD -p udp -i eth0 destination-port 445 -j DROP
d
195.215.8.141
-m
mac
–mac-source
iptables -A INPUT -s 0/0 -p udp –destination00:0E:A6:77:D3:B4 -j DROP
port 6800:6900 -j DROP
iptables -A FORWARD -p udp -i eth0 -
6
qmqpd_timeout = 3000s
smtp_connect_timeout = 300s
smtp_helo_timeout = 3000s
smtp_quit_timeout = 3000s
smtp_rset_timeout = 20s
iptables -A OUTPUT -s 0/0 -p udp –destinationport 6800:6900 -j DROP
iptables -A FORWARD -s 0/0 -p udp –
destination-port 6800:6900 -j DROP
5.2
perubahan
angka
pada
mailbox_size_limit = 2048000000 dan message_size_limit = 1024000000 dimaksudkan
untuk penambahan kapasitas attachment
yang bisa disertakan. Dalam konfigurasi ini
dilakukan penambahan kapasitas penyertaan
file pada email yang akan dikirim mencapai
10 MB.
Untuk menjalankan dan mengaktifkannya
secara permanen, bisa dengan mengetikkan
sintaks perintah berikut ini:
$ sudo systemctl enable postfix
$ sudo /etc/init.d/postfix start
Portsentry
Setelah instalasi portsentry berhasil, untuk
menjalankan secara otomatis bisa disisipkan
di dalam file /etc/rc.local, sebagai berikut:
/usr/local/psionic/portsentry/portsentry
/usr/local/psionic/portsentry/portsentry
/usr/local/psionic/portsentry/portsentry
/usr/local/psionic/portsentry/portsentry
-atcp
-audp
-stcp
-sudp
Sedangkan file konfigurasi portsentry.conf
berada pada /usr/local/psionic/portsentry/.
Yang perlu kita lakukan adalah melakukan
editing pada file tersebut pada bagian berikut ini:
#
these
for
Proxy / Squid
bare-bones langkah terakhir adalah setting Proxy mela#TCP_PORTS="1,11,15,110,111,...
" lui file /etc/squid.conf, dengan konfigurasi se#UDP_PORTS="1,7,9,69,161,...."
bagai berikut:
Lakukan penambahan alamat port yang kihttp_port 8080 transparent
ta inginkan pada daftar tersebut di atas.
icp_port 3130
5.3
Use
5.4
just
udp_incoming_address 0.0.0.0
udp_outgoing_address 255.255.255.255
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin ?
no_cache deny QUERY
cache_mem 64 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 10240 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
cache_replacement_policy lru
memory_replacement_policy lru
cache_dir ufs /squid/cache 30270 256 512
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
mime_table /etc/squid/mime.conf
Postfix
Program aplikasi Postfix sudah terpasang pada saat instalasi Linux pertama kali, yang
perlu dilakukan adalah melakukan setting file /etc/postfix/main.cf dan melakukan perubahan pada baris berikut ini:
...............
queue_minfree = 1024000000
mailbox_size_limit = 2048000000
message_size_limit = 1024000000
smtp_data_done_timeout = 6000s
smtp_data_init_timeout = 1200s
smtp_data_xfer_timeout = 1800s
ipc_idle = 1000s
ipc_timeout = 36000s
ipc_ttl = 10000s
lmtp_lhlo_timeout = 3000s
lmtp_mail_timeout = 3000s
lmtp_quit_timeout = 3000s
lmtp_rcpt_timeout = 3000s
lmtp_rset_timeout = 200s
7
pid_filename /var/run/squid.pid
debug_options ALL,1
client_netmask 255.255.255.255
ftp_user [email protected]
ftp_list_width 32
ftp_passive on
ftp_sanitycheck on
ftp_telnet_protocol on
redirect_children 10
auth_param basic children 10
auth_param basic realm Squid proxy-caching
web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 563 #https, snews
..............
acl office src 192.168.11.0/24
acl it1 src 192.168.11.208/32
acl it2 src 192.168.11.209/32
acl direktur src 192.168.11.200/32
acl marketing src 192.168.11.224/32
acl ops src 192.168.11.250/32
acl cadangan1 src 192.168.11.251/32
acl mail src 192.168.11.252/32
acl printer src 192.168.11.212/32
acl oracle1 src 192.168.11.216/32
acl oracle2 src 192.168.11.232/32
acl oracle3 src 192.168.11.236/32
acl blokir url_regex "/etc/squid/blokir"
acl kecuali url_regex "/etc/squid/kecuali"
http_access allow manager localhost
http_access allow it1
http_access allow it2
http_access deny kecuali all
http_access allow oracle1
http_access allow oracle2
http_access allow oracle3
...........
http_access deny all
http_reply_access allow all
miss_access allow all
...........
refresh_pattern ˆftp: 1440 20% 10080
refresh_pattern bola 0 20% 1440
refresh_pattern kompas 110 20% 1440 ignorereload
refresh_pattern detik 400 20% 4320 ignorereload
refresh_pattern bbc 400 20% 4320 ignore-reload
refresh_pattern kompas 400 20% 4320 ignorereload
refresh_pattern suara 400 20% 4320 ignorereload
refresh_pattern news 400 20% 4320 ignorereload
refresh_pattern tempo 400 20% 4320 ignorereload
refresh_pattern jpg 259200 60% 259200 ignorereload
refresh_pattern gif 259200 60% 259200 ignorereload
refresh_pattern mail 10 20% 4320
refresh_pattern quios 1110 20% 4320
refresh_pattern download 259200 60% 259200
refresh_pattern flash 259200 60% 2592000
refresh_pattern facebook 259200 60% 2592000
refresh_pattern youtube 259200 60% 259200
refresh_pattern . 272800 60% 1728000
..............
..............
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 553
acl Safe_ports port 80 #http
acl Safe_ports port 81 #http
6
Kesimpulan
1. Router / Firewall Server ini bekerja dengan dilengkapi aplikasi IP Tables, Portsentry dan Squid sebagai Proxy Server,
2. Selama tiga tahun server berjalan tidak
ada permasalahan yang berarti, bahkan
penyebaran virus jaringan dan spam serta malware bisa ditekan secara maksimal.
3. Penempatan Proxy Server dalam satu
PC dengan Router / Firewall secara teknis sebenarnya kurang aman, sebaiknya
posisinya ada di lapis kedua (second layer), dipasang pada PC terpisah dan
menggunakan IP privat,
4. Sehubungan dengan pertimbangan ekonomis, maka semua aplikasi tersebut di
8
atas berjalan dalam satu PC.
7
Rekomendasi
Jika masalah keamanan menjadi isu utama,
maka sebaiknya Router / Firewall Server dipasang secara terpisah dengan Proxy Server.
Penulis menyadari bahwa jurnal ini jauh
dari sempurna, untuk itu penulis mengharapkan ada yang berkeinginan untuk menyempurnakan dan mengembangkan jurnal
ini sesuai dengan perkembangan teknologi
yang ada dan juga bisa mengantisipasi ancaman malware yang semakin berkembang
pesat.
Pustaka
[1] Rumalutur, Sonny., Analisis Keamanan
Jaringan Wireless LAN (WLAN) Pada
PT. PLN (Persero) Wilayah P2B Area
Sorong, Jurnal Teknologi dan Rekayasa,
Volume 19 No. 3, Desember 2014.
[2] Mustofa, Muh Masruri., Aribowo,
Eko,Penerapan Sistem Keamanan Honeypod dan IDS pada Jaringan Nir
kabel, Universitas Ahmad Dahlan.
[3] www.linuxfondation.org
[4] www.postfix.org
[5] www.squid-cache.org
[6] Symantec Corporation
[7] Depkominfo, Standard Operational Procedure.
9