BAB IV PENGUJIAN SISTEM DAN PEMBAHASAN

4.3 Pengujian firewall

Dalam melakukan pengujian ini di gunakan beberapa source tipe address. Tipe address yang ada mewakili semua yang dirancang pada rule-rule firewall. Pengujian dilakukan dengan membuka dan menutup layanan yang dapat diakses oleh client.

a. Pengujian dengan ping dan traceroute

ICMP (Internet control Message Protokol) di desain sebagai sebuah diagnosa protocol. Ping dan traceroute merupakan alat dalam mendiagnosa sebuah jaringan apakah jaringan tersebut terhubung atau tidak.

Sebelum di tolak aksesnya oleh firewall, client dapat melakukan ping ke komputer server( internet) dengan hasil eksekusi :

Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\IKOM>ping 172.21.202.5 Pinging 172.21.202.5 with 32 bytes of data:

Reply from 172.21.202.5: bytes=32 time<1ms TTL=127 Reply from 172.21.202.5: bytes=32 time<1ms TTL=127 Reply from 172.21.202.5: bytes=32 time<1ms TTL=127 Reply from 172.21.202.5: bytes=32 time<1ms TTL=127 Ping statistics for 172.21.202.5:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0MS, Average = 0ms C:\Documents and Settings\IKOM>

Setelah dilakukan perubahan pada konfigurasi firewall, client tidak dapat lagi melakukan ping dan akan tampak:

Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\IKOM>ping 172.21.202.5 Pinging 172.21.202.5 with 32 bytes of data: Request timed out.

Request timed out. Request timed out. Request timed out.

Ping statistics for 172.21.202.5:

Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), C:\Documents and Settings\IKOM>

Pengujian yang dilakukan adalah jika akses ping diijinkan, maka firewall akan mengijinkan paket data dari jaringan internal menuju ke internet melewati sistemnya begitu juga sebaliknya melewatkan paket balasan dari jaringan internet untuk menuju jaringan internal.

Dalam melakukan pengujian ini traceroute digunakan untuk mengetahui titik titik mana saja yang dilewati oleh paket data untuk sampai kepada tujuan. Dalam rule firewall yang dibuat, client dapat melakukan traceroute ke komputer internet. Hasil eksekusi sebagai berikut:

Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\IKOM>tracert 172.21.202.5 Tracing route to 172.21.202.5 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms 192.168.1.1 2 <1 ms <1 ms <1 ms 172.21.202.5 Trace complete

C:\Documents and Settings\IKOM>

Adapun rule untuk kedua tools diagnosa diatas adalah

#####menyetujui LAN untuk melakukan ping keluar

$cmd allow icmp from any to any icmptypes 8 in via $IF_LAN $cmd allow icmp from any to any icmptypes 0 out via $IF_LAN

#####menyetujui LAN untuk menjalankan traceroute

Dari rule yang ada diatas firewall mengijinkan komputer LAN untuk melakukan ping ke komputer internet dan melakukan traceroute.

b. Pengujian dengan ssh

Sama halnya dengan telnet, ssh digunakan untuk remote lain tehadap sebuah komputer lain yang berada dalam suatu jaringan. Kelebihan dibandingkan dengan telnet adalah ssh mampu melakukan enkripsi terhadap paket data yang dilewatkan sehingga data lebih aman. Dalam pengujian ini komputer firewall dijadikan ssh server dengan menginstall paket open ssh. Jika komputer yang digunakan adalah linux ataupun freebsd dapat menjalankan perintah root#ssh root@nomor ip.

Dari komputer client yang menggunakan windows menggunakan program putty untuk me remote mesin yang diinginkan. Pertama jalankan program putty. Setelah itu isi IP Address komputer yang akan diremote.

Dibawah ini merupakan hasil eksekusi dari program putty:

login as: root

Using keyboard-interactive authentication. Password:

Last login: Tue Mar 20 03:14:47 2007 from 192.168.1.2 Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994

The Regents of the University of California. All rights reserved.

Ikom#

Setelah muncul tanda prompt (#) kita dapat menuliskan perintah-perintah.

Dibawah ini merupakan rule firewall untuk mengijinkan komputer dengan nomor IP tertentu untuk menjalankan SSH.

#####menyetujui secure telnet dan scp dari ip tertentu #####fungsi ssh

$cmd allow tcp from 192.168.1.2 to 192.168.1.1 22 in via \ $IF_LAN

$cmd allow tcp from 192.168.1.1 22 to 192.168.1.2 out via \ $IF_LAN established

$cmd deny log ip from any to 192.168.1.1 22 in via $IF_LAN

Dari rule yang ada, komputer client dengan IP 192.168.1.2 di ijinkan untuk melakukan SSH terhadap komputer yang bernomor IP 192.168.1.1 dalam hal ini komputer firewall. Sehingga ketika komputer lain akan melakukan SSH terhadap komputer dengan nomor IP 192.168.1.1 maka koneksi akan ditolak. Sebagai contoh client dengan nomor IP 192.168.1.3 melakukan SSH akan muncul tampilan:

c. Pengujian dengan menggunakan SCP

SCP memiliki fungsi yang sama seperti halnya FTP. Namun yang lebih menarik dari SCP adalah file yan dikirimkan akan dienkripsi terlebih dahulu sehingga memiliki tingkat keamanan yang lebih baik dibandingkan dengan FTP. Pada pengujian ini komputer client yang berbasis windows akan mengakses server freebsd dengan menggunakan program WinSCP. Ketika pertama kali program dijalankan masukkan hostname atau alamat IP komputer yang di remote beserta user name dan password. Dalam pengujian ini komputer yang akan diremote adalah komputer firewall dengan IP 192.168.1.1.

Apabila autentikasi berhasil akan terlihat hasil seperti gambar dibawah ini dimana bagian sebelah kiri merupakan file dari komputer local sedangkan disebelah kanan merupakan file komputer yang di remote.

d. Pengujian mengakses webserver internet

Dalam pengujian ini komputer server (internet) menyediakan layanan web server. Dari komputer client yang menggunakan system operasi linux atau freebsd dapat melakukan akses dengan mengetikkan pada konsole root#lynx http://172.21.202.5 sedangkan client yang menggunakan komputer windows dapat mengetikkan alamat tersebut pada browser IE yang ada.

Pada gambar diatas, komputer client dapat mengakses komputer server. Ini dapat terjadi karena dalam rule firewall hal itu diijinkan. Adapun rule firewall yang mengijinkan adalah sebagai berikut :

$cmd allow tcp from any to any 80 setup keep-state

Dari rule yang ada diatas firewall akan mengijinkan semua koneksi TCP dari dan ke manapun dengan tujuan port 80. Apabila dalam rule diganti

$cmd deny tcp from any to any 80 setup keep-state

maka client yang ada tidak dapat mengakses web server tersebut. Dan hasil dari browsernya adalah sebagai berikut:

Gambar 4.6 akses web server oleh client

e. Memantau port dengan menggunakan tool scanner

Fungsi dari scanner ini adalah menemukan port port mana saja yang tidak terfilter oleh firewall sehingga seorang admin dapat melakukan langkah pencegahan dalam meminimalkan gangguan terhadap komputer firewall. Tools yang di gunakan dalam pengujian ini adalah Nmap.

C:\Documents and Settings\IKOM>cd \ C:\>cd program files/nmap

C:\Program Files\Nmap>nmap -p1-6500 192.168.1.1

Starting Nmap 4.20 ( http://insecure.org ) at 2007-03-20 04:00 SE Asia Standard Time

Interesting ports on 192.168.1.1: Not show: 6500 closed ports

PORT STATE SERVICE

22/tcp open ssh

Nmap finished: 1 IP address (1 host up) scanned in 75.479 seconds

C:\Program Files\Nmap>

Dari hasil scanner port yang ada terlihat ada port pada firewall yang terbuka yaitu port 22. port ini dibuka agar dari komputer client yang ditentukan dapat me-remote komputer firewall dalam melakukan konfigurasi dan memantau komputer firewall. Apabila tidak lagi digunakan port ini sebaiknya ditutup.