3.1 Pengalamatan IP
Pengalamatan IP pada laborotoriun jaringan mengunakan alamat local, yaitu alamat yang tidak dikenal oleh dunia luar. Alamat ini diberikan pada komputer-komputer yang ada pada gedung tersebut. Alamat IP tersebut yaitu 192.168.2.x dengan subnetmask 255.255.255.0. Jangkauan alamat IP yang dihasilkan adalah 192.168.2.1 – 192.168.2.145. Alamat lokal yang diberikan tersebut diatur oleh admin jaringan agar tidak terjadi IP konflik. Administrator juga telah mengatur dengan sedemikian rupa sehingga alamat IP lokal tersebut dapat melakukan koneksi ke internet.
Laboratorium jaringan adalah salah satu ruangan yang mendapat IP lokal tersebut. Dengan pemberian IP tersebut dan memiliki sambungan ke internet maka tidak menutup kemungkinan jaringan internal lab. Jaringan untuk disusupi oleh pihak luar.
Untuk mengatasi hal tersebut perlu dibuat firewall pada lab. Jaringan guna melindungi jaringan internal lab. Hal ini dilakukan dengan cara menutup terlebih dahulu semua koneksi yang datangnya dari luar, setelah itu dilakukan penyaringan paket apa saja yang boleh melewati firewall. Penyaringan disini juga difungsikan untuk membatasi akses komputer peserta kursus, misalnya firewall membatasi alamat-alamat IP tertentu yang diperbolehkan koneksi ke ftp server lab. Jaringan. Penggunaan firewall juga dapat memudahkan asisten untuk
mengendalikan komputer peserta kursus dari komputer yang digunakan assisten. Semua hal di atas dapat diwujudkan dengan penggunaan firewall tipe penyaringan paket.
Pengalamat IP dilakukan berdasarkan posisi baris. Pada gambar di bawah ini dapat dilihat pembagian IP berdasarkan baris. Dibagi menjadi 5 kelompok yaitu baris 1, baris 2, baris 3, baris 4 dan baris 5. Selain baris, pengalamatan IP yang baru juga diberikan untuk komputer server dan tayangan.
Gambar : Perencanaan IP untuk komputer baris
Switch1 Hub 1 Hub 2 Hub 3 Hub 4 Hub 5 Switch 2 Sambungan ke internet
Komputer tayangan alamat IP 10.1.1.5
Baris 1 Alamat Network 10.6.1.0 /24 Baris 2 Alamat Network 10.7.1.0 /24
Baris 3 Alamat Network 10.8.1.0 /24
Baris 4 Alamat Network 10.9.1.0 /24
Baris 5 Alamat Network 10.10.1.0 /24
Komputer Firewall Lab jaringan
3.1.1 Pengalamatan IP untuk komputer baris
Berikut ini adalah parameter-parameter yang digunakan dalam konfigurasi alamat jaringan untuk komputer baris.
Parameter jaringan baris 1
* Alamat Jaringan = 10.6.1.0 /24 * Netmask = 255.255.255.0
* Range IP = 10.6.1.1 – 10.6.1.254 * Alamat Broadcast = 10.6.1.255
* Gateway = 10.6.1.1 Parameter jaringan baris 2
* Alamat Jaringan = 10.7.1.0 /24 * Netmask = 255.255.255.0 * Range IP = 10.7.1.1 – 10.7.1.254 * Alamat Broadcast = 10.7.1.255 * Gateway = 10.7.1.1 Switch 3 Server Linux 1 Alamat IP 10.1.1.6 Windows 2000 Server Alamat IP 10.1.1.7
Server Linux 2 Alamat IP 10.1.1.8 Server Novell 4.11
Parameter jaringan baris 3 * Alamat Jaringan = 10.8.1.0 /24 * Netmask = 255.255.255.0 * Range IP = 10.8.1.1 – 10.8.1.254 * Alamat Broadcast = 10.8.1.255 * Gateway = 10.8.1.1 Parameter jaringan baris 4
* Alamat Jaringan = 10.9.1.0 /24 * Netmask = 255.255.255.0
* Range IP = 10.9.1.1 – 10.9.1.254 * Alamat Broadcast = 10.9.1.255
* Gateway = 10.9.1.1 Parameter jaringan baris 5
* Alamat Jaringan = 10.10.1.0 /24 * Netmask = 255.255.255.0
* Range IP = 10.10.1.1 – 10.10.1.254 * Alamat Broadcast = 10.10.1.255
* Gateway = 10.10.1.1
3.1.2 Pengalamatan IP untuk komputer server dan tayangan Berikut adalah parameter-parameter yang digunakan dalam konfigurasi alamat jaringan untuk komputer server dan tayangan.
Parameter jaringan untuk komputer tayangan * Alamat IP = 10.1.1.5
* Alamat jaringan = 10.1.1.0 * Alamat Broadcast = 10.1.1.255 * Gateway = 10.1.1.1 Parameter jaringan untuk server linux 1 * Alamat IP = 10.1.1.6
* Netmask = 255.255.255.0 * Alamat jaringan = 10.1.1.0
* Alamat Broadcast = 10.1.1.255 * Gateway = 10.1.1.1 Parameter jaringan untuk server linux 2 * Alamat IP = 10.1.1.8
* Netmask = 255.255.255.0 * Alamat jaringan = 10.1.1.0
* Alamat Broadcast = 10.1.1.255 * Gateway = 10.1.1.1
3.1.3 Pengalamatan IP untuk komputer firewall
Berikut adalah parameter-parameter yang digunakan dalam konfigurasi alamat jaringan untuk komputer firewall.
Parameter untuk mesin firewall. Alamat IP kartu jaringan
* eth0 = 192.168.2.130 Alamat Virtual IP untuk eth0 * eth0:1 = 10.1.1.1
* eth0:2 = 10.6.1.1 * eth0:3 = 10.7.1.1 * eth0:4 = 10.8.1.1
* eth0:5 = 10.9.1.1 * eth0:6 = 10.10.1.1
Konfigurasi Kartu Jaringan.
Edit file /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 BOOTPROTO=static I PADDR=192.168.2.130 NETMASK=255.255.255.0 NETWORK=92.168.2.0 BROADCAST=192.168.2.255 ONBOOT=yes
Untuk membuat virtual IP pada eth0 dapat dilakukan dengan menggunakan perintah berikut :
Ifconfig eth0:1 10.1.1.1 netmask 255.255.255.0 Ifconfig eth0:2 10.6.1.1 netmask 255.255.255.0 Ifconfig eth0:3 10.7.1.1 netmask 255.255.255.0 Ifconfig eth0:4 10.8.1.1 netmask 255.255.255.0 Ifconfig eth0:5 10.9.1.1 netmask 255.255.255.0 Ifconfig eth0:6 10.10.1.1 netmask 255.255.255.0
Perlu diketahui bahwa virtual IP akan hilang bila komputer di-reboot ulang. Untuk mengatasinya adalah dengan memasukkan perintah diatas pada file etc rc.d rc.local. Setelah itu dijalankan perintah dibawah ini.
[root@firewall best]# service network restart
Shutting down interface eth0: [
SUKSES ]
Shuttimg down loopback interface: [
Disabling IPv4 packet forwarding: [ SUKSES ]
Setting network parameter: [
SUKSES ]
Bringing up loopback interface: [
SUKSES ]
Bringing up loopback interface: [
SUKSES ]
Enabling IPv4 packet forwarding: [
SUKSES ]
Enabling up interface eth0: [
SUKSES ]
[root@firewall Desktop]# [
SUKSES ]
Setelah itu dilakukan pemeriksaan konfigurasi jaringan yang telah dibuat apakah sudah sesuai dengan yang diinginkan dengan mengetikan perintah ifconfig pada konsole.
[root@firewall Desktop]# ifconfig
eth0 Link encap: Ethernet HWaddr 00:07:95:AC:DC:35
inet addr: 192.168.2.130 Bcast : 192.168.2.255 Mask: 255.255.255.0
UP BROADCAST MULTICAST MTU : 1500 METRIC : 1 RX packet: 0 error: 0 dropped: 0 overruns: 0 carrier: 0
Collisions: 0 txqueuelen: 100
RX bytes: 0 (0.0 b) TX bytes:129738 (126,6 Kb)
Interrupt:5 Base address: 0xcc00
eth1 Link encap: Ethernet HWaddr 00:07:95:AC:DC:35
inet addr: 10.1.1.1 Bcast : 10.255.255.255 Mask: 255.255.255.0
UP BROADCAST MULTICAST MTU : 1500 METRIC : 1 Interrupt:5 Base address: 0xcc00
Eth2 Link encap: Ethernet HWaddr 00:07:95:AC:DC:35
inet addr: 10.6.1.1 Bcast : 10.255.255.255 Mask: 255.255.255.0
UP BROADCAST MULTICAST MTU : 1500 METRIC : 1 Interrupt:5 Base address: 0xcc00
Eth3 Link encap: Ethernet HWaddr 00:07:95:AC:DC:35
inet addr: 10.7.1.1 Bcast : 10.255.255.255 Mask: 255.255.255.0
UP BROADCAST MULTICAST MTU : 1500 METRIC : 1 Interrupt:5 Base address: 0xcc00
Eth4 Link encap: Ethernet HWaddr 00:07:95:AC:DC:35
inet addr: 10.8.1.1 Bcast : 10.255.255.255 Mask: 255.255.255.0
UP BROADCAST MULTICAST MTU : 1500 METRIC : 1 Interrupt:5 Base address: 0xcc00
Eth5 Link encap: Ethernet HWaddr 00:07:95:AC:DC:35
inet addr: 10.9.1.1 Bcast : 10.255.255.255 Mask: 255.255.255.0
UP BROADCAST MULTICAST MTU : 1500 METRIC : 1 Interrupt:5 Base address: 0xcc00
Eth6 Link encap: Ethernet HWaddr 00:07:95:AC:DC:35
inet addr: 10.10.1.1 Bcast : 10.255.255.255 Mask: 255.255.255.0
UP BROADCAST MULTICAST MTU : 1500 METRIC : 1 Interrupt:5 Base address: 0xcc00
inet addr: 127.0.0.1 Mask: 255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packet: 1372 errors: 0 dropped: 0 overruns: 0 frame: 0
TX packets: 1372 errors: 0 dropped: 0 overruns: 0 carriers: 0
collisions: 0 txqueuelen: 0
RX bytes: 92891 (90. 7 Kb) TX bytes: 92891 (90. 9 Kb)
Perintah dibawah ini digunakan untuk melihat tabel routing dari firewall, Gateway semua komputer baris, server dan tayangan yang ada pada lab. Jaringan ditujukan ke mesin firewall tersebut. Sedangkan mesin firewall itu sendiri ditujukan ke alamat IP 192.168.2.1 yaitu alamat IP yang sudah ditetapkan oleh administrator jaringan gunadarma sebagai gateway untuk menuju ke jaringan internet.
[root@firewall Desktop]# route –n Kernel IP routing table
Destination Gateway Genmask Flag Metric Ref
User Iface 10.6.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 10.8.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 10.10.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 10.7.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
10.1.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 10.9.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 127.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 0 lo 0.0.0.0 0.0.0.0 255.0.0.0 UG 0 0 0 eth0 [root@firewall Desktop]# 3.2 Perencanaan firewall
Arsitektur Firewall yang digunakan pada laboratorium jaringan adalah arsitektur DHG ( Dual Homed Gateway ). Pada arsitektur ini terdapat komputer yang menjadi bagian yang dianggap memiliki peranan yang paling penting dalam pengamanan jaringan internal.
Gambar: Arsitektur Firewall Laboratorium Jaringan
INTERNET
Jaringan Internal Netlab Dual Homed Host Bastion Host Firewall Netlab
Selain itu juga berperan untuk memenuhi semua kebutuhan komputer pada jaringan internal untuk berhubungan dengan dunia luar. Komputer tersebut dinamakan sebagai bastion host.
3.3 Hal-hal yang harus dilakukan sebelum membuat firewall Setelah dilakukan konfigurasi alamat IP dan ditentukan jenis firewall yang digunakan maka langkah selanjutnya adalah pembuatan mesin firewall, karena firewall merupakan pembatas jaringan internal maka pada mesin firewall perlu diperhatikan hal-hal sebagai berikut :
3.3.1 Pemeriksaan service yang berjalan
Sebelum dibuat aturan rantai firewall, sebelumnya perlu diperiksa terlebih dahulu service yang berjalan pada mesin firewall. Banyak program yang dapat memeriksa service dan port apa saja yang terbuka. Dalam penulisan ini dipakai perangkat lunak nmap-3.30.
[root@firewall best]# nmap localhost
Starting nmap 3.30 ( http://www. Insecure.org/nmap/ ) at 2004-06-07
07:07 WIT
Interesting ports on localhost ( 127.0.0.1):
(The 1638 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
23/tcp open telnet
3128/tcp open squid-http
6000/tcp open X11
10000/tcp open snet-sensor-mgmt
Nmap run completed - - 1 IP address (1 host up) scanned in 2.508
second
[root@firewall best]#
3.3.2 Mematikan service yang tidak diperlukan
Dengan tampilan di atas dapat terlihat banyak pelayanan yang dilakukan oleh mesin firewall, seperti telnet, ssh, untuk mengendalikan komputer lain, finger untuk memberikan informasi tentang user, webmin merupakan administrator berbasis web.
Salah satu pelayanan yang harus dimatikan adalah finger karena dapat memberikan info kepada siapa saja yang memintanya -walaupun tidak cukup banyak- tetapi memberikan username yang sah yang memungkinkan usaha brute force, maupun usaha sosial engineering. Pada perintah di bawah ini dilakukan pengecekan instalasi finger.
[root@firewall RPMS2]# rpm –qa grep finger finger-sevice-0. 17-5mdk
finger-0.17-5mdk
Terlihat instalasi finger, untuk itu dapat dimatikan dengan cara berikut :
[root@firewall RPMS2]# rpm –e finger
Selanjutnya terlihat pada port yang terbuka terdapat port nomor 10000 yang merupakan service webmin, yaitu administrator berbasis web. Dan pelayanan ini harus segera dimatikan karena rentan terhadap kesalahan pemrograman.
[root@firewall best]# service webmin stop
Stopping Webmin [ SUKSES
]
Pada mesin firewall melayani ssh dan telnet yang fungsinya sama yaitu untuk mengotrol dan mengendalikan suatu komputer, telnet harus segera dimatikan karena penggunaan utilitas ini masih dikategorikan sebagai salah satu utilitas yang dapat membuat lubang keamanan jaringan, karena telnet dalam aksinya tidak melindungi data berupa password dan username yang diberikan untuk mengendalikan host, hal ini dapat dimanfaatkan oleh penyusup untuk memperoleh password tersebut.
Setelah itu diperiksa menggunakan perangkat lunak nmap untuk melihat port – port yang terbuka.
[root@firewall Linux]# nmap localhost
Starting nmap 3.30 ( http://www.insecure.org/map/ ) at
2004-06-07 07:07 WIT
Interesting ports on localhost (127.0.0.1) :
(The 1638 ports scanned but not shown below are in state: closed )
Port State Service
22/tcp open ssh
Nmap run completed - - 1 IP address ( 1 host up) scanned in 2. 508
seconds
[root@firewall Linux]#
3.3.3 Cek perangkat lunak Iptables
Dalam hal pengamanan jaringan lokal laboratorium, seperti pembatasan hak akses dan penyaringan paket dilakukan dengan menggunakan perangkat lunak iptables. Untuk memeriksa apakah Iptables sudah teristall pada ssstem, dapat dilakukan dengan menjalankan perintah berikut.
[root@firewall Linux]# rpm -qa grep iptables iptables-1.2. 8-2mdk
Terlihat bahwa perangkat lunak Iptables yang digunakan adalah versi 1.2.8 untuk linux mandrake. Jika tidak ada, bisa didapatkan pada halaman website http://www.netfilter.org.
3.4 Pembuatan aturan firewall
Aturan dibuat pada komputer yang bertindak sebagai mesin firewall, komputer ini akan menjadi penentu terhadap paket-paket data yang akan masuk dan keluar dari jaringan. Langkah yang dilakukan yaitu :
1. Penghapusan rantai firewall yang ada.
2. Membuat kebijakan default DROP dari masing-masing rantai. 3. Menentukan paket yang diijinkan untuk melewati firewall. Penghapusan aturan pada rantai firewall.
IPTABLES –F INPUT
IPTABLES –F OUTPUT
Setelah itu dibuat kebijakan default menjadi DROP.
IPTABLES –F INPUT DROP IPTABLES –F FORWAD DROP IPTABLES –F OUTPUT DROP
Dengan membuat kebijakan default ke dalam kondisi DROP maka semua yang berhubungan dengan pengiriman paket data akan digagalkan, termasuk didalamnya mesin firewall itu sendiri. Agar mesin firewall dapat mengakses dirinya sendiri, dibuat aturan berikut :
IPTABLES –A INPUT -p all lo -j ACCEPT IPTABLES –A OUTPUT -p all -o lo -j ACCEPT
Selanjutnya dibuat aturan untuk mengontrol paket apa saja yang diperbolehkan untuk melewati firewall serta yang tidak, termasuk pula alamat IP apa saja yang dapat melewati. Penyaringan paket data dilakukan sesuai dengan jenis paket tersebut.
BAB IV