BAB V PENUTUP

5.2. Saran

Pada saat penulis melakukan penelitian untuk menerapkan firewall

berbasis open-source ini banyak keterbatasan yang dapat penulis lakukan di tempat penelitian, karena adanya kebijakan perusahaan. Sebelumnya perusahaan lebih memilih menggunakan sistemfirewall dalam bentuk perangkat (hardware)

yang berharga mahal. Perangkat seperti itu tidak efisien dan flexible dalam pengembangannya, karena tidak dapat melakukan penambahan fitur danupgrade

pada hardware nya agar lebih kuat untuk digunakan. Untuk lebih mengoptimalkan kinerjafirewallIPCop ini, penulis menyarankan hal-hal sebagai berikut :

1. Kepada APL PLN Mampang , pengembangan firewall lebih lanjut akan sangat berguna untuk melindungi aset perusahaan dari ancaman eksternal maupun internal.

2. Penggunaan hardware yang berspesifikasi lebih tinggi, tentunya berimplikasi pada kinerja sistem firewall yang meningkat dalam menjalankan service yang diaktifkan dan melakukan tugasnya mengamankan jaringan.

3. Dari sisisoftware,pengupdate-an dari rilis terbaru harus dilakukan secara berkala untuk memperbaiki kinerja firewall menjadi lebih baik dengan penambahan fitur-fitur terbaru.

4. Untuk pengembangan lebih lanjut, ada baiknya menggunakan add-ons tambahan lain yang dapat melakukan filtering lebih lengkap lagi khususnya padalayer application.

5. Dari segi arsitektur firewall yang digunakan dapat di-upgrade dalam bentuk arsitektur lain yang lebih baik dalam menangani keseluruhan komponen jaringan, seperti server dan jaringan nirkabel (wireless), sehingga semua zona interface pada IPCop dapat digunakan dengan baik dan memberikan perlindungan yang lebih menyeluruh.

6. Pengembangan firewall juga dapat digabungkan dengan sistem keamanan dan manajemen jaringan yang lain seperti honeypot dalam memberikan informasi bagi network administrator dan mikrotik dalam melakukan manajemenbandwith danload balancing.

DAFTAR PUSTAKA Ariyus, Dony, Computer Security, Andi, Yogyakarta, 2006

Ariyus, Dony,Intrusion Detection System, Andi, Yogyakarta, 2007 Brenton, Chris dan Hunt, Cameron,Network Security. PT Elex Media

Komputindo, Jakarta, 2005

Cisco Official Website, “Internetworking Technology Handbook”. http://www.cisco.com/univercd/cc/td/doc/cisintwk/itc_doc/introwan.htm, diakses tanggal 28 Oktober 2009, 13.51 WIB.

Dempster, Barrie dan James, Eaton-Lee, Configuring IPCop Firewalls, Packt Publishing, Birmingham, 2006.

Farununuddin, Rakhmat, Membangun Firewall dengan IPTables di Linux, Elex Media Komputindo, Jakarta, 2006.

Feibel, Werner, Encyclopedia of Networking, Second Edition, SYBEX Inc, California, 1996.

Fyodor, Remote OS Detection Via TCP/IP Stack Finger Printing, 1998.

http://www.insecure.org/nmap/nmap-fingerprint-article.txt, diakses

tanggal 26 Oktober 2009, 09.21 WIB

Goldman, James E dan Rawles, Philip T, Applied Data Communications: A Business Oriented ApproachThrid Edition, Wiley John&Sons, Inc, New York, 2001.

Kamus Besar Bahasa Indonesia, Yudhistira, Jakarta, 2008

Komar, Brian, Ronald Beekelaar&Joern Wettern,Firewalls For Dummies, Second Edition, Wiley Publishing Inc, Indiana, 2003.

Nazir, Moh,Metode Penelitian, Ghalia Indonesia, Jakarta, 2003

Oetomo, Budi Sutedjo Dharma dkk, Konsep dan Aplikasi Pemrograman Client Server dan Sistem Terdistribusi, Andi, Yogyakarta, 2006

Ogletree, Terry William,Practical Firewalls, Que Publishing, Canada, 2000 Pressman, Roger S, “Rekayasa Perangkat Lunak: Pendekatan Praktisi (Buku

Satu)”. Terj. Dari Software Engineering: A Practitioner’s Approach , oleh L. N. Harnaningrum, Andi, Yogyakarta, 1997

Purbo, Onno W. Buku Pegangan Pengguna ADSL dan Speedy, Elex Media Komputindo, Jakarta, 2006

RFC 2616, 1999, HTTP/1.1.179, hlm. http://www.ietf.org/rfc/rfc2616.txt, diakses tanggal 26 Oktober 2009, pk.11.46 WIB

Stallings, William, Komunikasi Data dan Komputer: Jaringan Komputer, Terj dari Data and Computer Communications, Six Edition, oleh Thamir Abdul Hafedh Al-Hamdany, Salemba Teknika, Jakarta, 2000

Strebe, Matthew dan Charles Perkins,Firewall 24 Seven, Second Edition, SYBEX Inc, California, 2002

Syafrizal, Melwin,Pengantar Jaringan Komputer.Andi ,Yogyakarta, 2006. Tanenbaum, Andrew S, Computer Network, Fourth Edition, Prentice Hall, Inc,

New Jersey, 2003.

Virtual Box website. About Virtual Box. http://www.virtualbox.org/, diakses tanggal 15 Oktober 2010, 14.35

Wahana Komputer,Konsep Jaringan Komputer dan Pengembangannya, Salemba Infotek, Jakarta, 2003

Zwicky, Elizabeth D, Simon Cooper & D. Brent Chapman, Building Internet Firewall, Second Edition, O’Reilly Publishing, California, 2000

LAMPIRAN A WAWANCARA

Sesi I Tanggal 31 September 2009

Tujuan : Mengetahui kondisi jaringan dan diskusi desain teknologi yang tepat. Narasumber : Tjahjana

Jabatan : Koordinator LAHTA PT. PLN (PERSERO) APL Mampang Pertanyaan :

1. Bagaimana kondisi jaringan yang ada disini?

Dapat dilihat bahwa jaringan yang ada sudah berjalan dengan cukup baik, dengan menggunakan toplogi Star.

2. Bagaimana penggunaan internet disini?

Untuk melakkan akses internet, kami sudah berlangganan dengan salah satu ISP milik anak perusahaan PLN, akan tetapi kurang begitu stabil dan banyak memiliki keterbatasan, karena adanya keterbatasanbandwith untuk tiap-tiap kantor cabang.

Saya punya rencana untuk mengganti ISP tersebut dengan milik Telkom, khusus untuk kantor disni agar akses internet lebih stabil dan tidak menganggu aktivitas karyawan. Akan tetapi khawatir akan tingkat keamanannya karena kita langsung terkoneksi tanpa adanya alat pengaman jaringan.

3. Apakah dengan kondisi tersebut anda yakin dengan tingkat keamanannya? Jika tidak, adakah rencana untuk menggunakan perangkat keamanan tambahan pada jaringan?

Beberapa saat mungkin kita tidak terlalu memikirkan isu keamanan, akan tetapi untuk akses internet langsung dapat menyebabkan user tidak bertanggung jawab terhadap informasi yang diaksesnya pada internet, yang dapat mengakibatkan timbul masalah keamanan dikemudian hari. Rencana untuk membeli suatu device firewall memang sudah ada, akan tetapi harganya relatif cukup mahal. Sebisa mungkin lebih baik memanfaatkan sumber daya yang sudah ada.

4. Sudah pernah menerapkanfirewall berbasis PC menggunakan Linux sebelumnya?

Saya sering mendengar teknologi tersebut, tetapi belum pernah diterapkan di sini. Saya rasa teknologi tersebut ada manfaatnya jika diterapkan di sini. Dikarenakan kita memiliki berberapa PC yang tidak terpakai, dan bisa untuk dijadikan sebuah firewall berbasis PC, apalagi kita tidak harus membeli lisensi apabila menggunakan sistem operasi Linux.

Sesi II Tanggal 3 Januari 2010

Tujuan : Mengetahui sejauh mana kemudahan penggunaan sistem yang baru dan manfaat dibanding sistem yang lama.

Narasumber : Tjahjana

Jabatan : Koordinator LAHTA PT. PLN (PERSERO) APL Mampang Pertanyaan :

1. Bagaimana penggunaan IPCop sebagaifirewalldisini?

Penggunaan IPCop sangat mudah, tidak seperti yang saya bayangkan sebelumnya. Saya pikir sistem operasi Linux itu sulit penggunaannya. Untuk konfigurasinya cukup mudah. Tidak harus mengetahui sistem operasi Linux secara keseluruhan, karena dibantu oleh interface web nya yang cukup user friendly. Mungkin untuk level advance dibutuhkan administrator jaringan yang benar-benar mengerti akan keamanan jaringan dan sistem operasi Linux.

2. Bagaimana penggunaan sistem ini secara keseluruhan?

Penggunaan sistem firewall ini secara keseluruhan cukup baik, beberapa pengaturan hak akses bagi user telah berjalan sesuai dengan yang diinginkan. User tidak dapat mengakses beberapa website yang dilarang dan membatasi user yang dapat terkoneksi ke internet, sehingga jam kerja dapat dimanfaatkan dengan baik oleh karyawan.Program – program yang ada juga berjalan dengan baik.

3. Apa saja kelemahan yang dirasakan pada sistem yang baru ini?

Yang saya rasakan mungkin untuk pengaturan lebih detail dan spesifik membutuhkan seorang administrator jaringan yang baik dalam mengelola

jaringan, dikarenakan kita juga harus melakukan pembaruan dalam pengaturan kemanan, sesuai perkembangan teknologi nya.

Narasumber : Toni Jabatan : Staff CATER

1. Dari karyawan sendiri bagaimana penggunaan sistem yang baru ini? Saya rasa penggunaan sistem ini cukup memberikan batasan bagi kami sebagai karyawan untuk mengakses website yang tidak diijinkan oleh perusahaan. Selain itu ada beberapa komputer staff yang sama sekali tidak bisa untuk melakukan akses internet.

LAMPIRAN B Konfigurasi IPTables #!/bin/sh

#

# $Id: rc.firewall,v 1.7.2.24 2007/11/17 08:12:29 owes Exp $ #

eval $(/usr/local/bin/readhash /var/ipcop/ppp/settings) eval $(/usr/local/bin/readhash /var/ipcop/ethernet/settings) if [ -f /var/ipcop/red/iface ]; then

IFACE=`/bin/cat /var/ipcop/red/iface 2> /dev/null | /usr/bin/tr -d '\012'`

fi

if [ -f /var/ipcop/red/device ]; then

DEVICE=`/bin/cat /var/ipcop/red/device 2> /dev/null | /usr/bin/tr -d '\012'`

fi

iptables_init() {

# Flush all rules and delete all custom chains

/sbin/iptables -F /sbin/iptables -t nat -F /sbin/iptables -t mangle -F /sbin/iptables -X /sbin/iptables -t nat -X /sbin/iptables -t mangle -X # Set up policies

/sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT ACCEPT

# Empty LOG_DROP and LOG_REJECT chains

/sbin/iptables -N LOG_DROP

/sbin/iptables -A LOG_DROP -m limit --limit 10/minute -j

LOG

/sbin/iptables -A LOG_DROP -j DROP

/sbin/iptables -N LOG_REJECT

/sbin/iptables -A LOG_REJECT -m limit --limit 10/minute -j LOG

/sbin/iptables -A LOG_REJECT -j REJECT

# This chain will log, then DROPs packets with certain bad combinations

# of flags might indicate a port-scan attempt (xmas, null, etc)

/sbin/iptables -N PSCAN

/sbin/iptables -A PSCAN -p tcp m limit limit 10/minute

-j LOG --log-prefix "TCP Scan? "

/sbin/iptables -A PSCAN -p udp m limit limit 10/minute

-j LOG --log-prefix "UDP Scan? "

/sbin/iptables A PSCAN p icmp m limit limit 10/minute -j LOG --log-prefix "ICMP Scan? "

/sbin/iptables -A PSCAN -f m limit limit 10/minute

-j LOG --log-prefix "FRAG Scan? " /sbin/iptables -A PSCAN -j DROP

# New tcp packets without SYN set - could well be an obscure type of port scan

# that's not covered above, may just be a broken windows machine

/sbin/iptables -N NEWNOTSYN

/sbin/iptables -A NEWNOTSYN -m limit --limit 10/minute -j

LOG --log-prefix "NEW not SYN? "

/sbin/iptables -A NEWNOTSYN -j DROP

# Chain to contain all the rules relating to bad TCP flags /sbin/iptables -N BADTCP

# Disallow packets frequently used by port-scanners # nmap xmas

/sbin/iptables -A BADTCP -p tcp --tcp-flags ALL FIN,URG,PSH -j PSCAN

# Null

/sbin/iptables -A BADTCP -p tcp --tcp-flags ALL NONE -j PSCAN

# FIN

/sbin/iptables -A BADTCP -p tcp --tcp-flags ALL FIN -j PSCAN # SYN/RST (also catches xmas variants that set SYN+RST+...) /sbin/iptables -A BADTCP -p tcp --tcp-flags SYN,RST SYN,RST -j PSCAN

# SYN/FIN (QueSO or nmap OS probe)

/sbin/iptables -A BADTCP -p tcp --tcp-flags SYN,FIN SYN,FIN -j PSCAN

# NEW TCP without SYN

/sbin/iptables -A BADTCP -p tcp ! --syn -m state --state NEW -j NEWNOTSYN

/sbin/iptables -A INPUT -j BADTCP /sbin/iptables -A FORWARD -j BADTCP }

iptables_red() {

/sbin/iptables -F REDINPUT

/sbin/iptables -F REDFORWARD

/sbin/iptables -t nat -F REDNAT # PPPoE / PPTP Device

if [ "$IFACE" != "" ]; then

# PPPoE / PPTP

if [ "$DEVICE" != "" ]; then

/sbin/iptables -A REDINPUT -i $DEVICE -j ACCEPT

fi

if [ "$RED_TYPE" == "PPTP" -o "$RED_TYPE" == "PPPOE" ]; then

if [ "$RED_DEV" != "" ]; then

/sbin/iptables -A REDINPUT -i $RED_DEV -j

ACCEPT

fi fi

# PPTP over DHCP

if [ "$DEVICE" != "" -a "$TYPE" == "PPTP" -a "$METHOD" == "DHCP" ]; then

/sbin/iptables -A REDINPUT -p tcp --source-port 67

--destination-port 68 -i $DEVICE -j ACCEPT

/sbin/iptables -A REDINPUT -p udp --source-port 67

--destination-port 68 -i $DEVICE -j ACCEPT fi

# Orange pinholes

if [ "$ORANGE_DEV" != "" ]; then

# This rule enables a host on ORANGE network to

connect to the outside

# (only if we have a red connection)

if [ "$IFACE" != "" ]; then

/sbin/iptables -A REDFORWARD -i $ORANGE_DEV -p

tcp -o $IFACE -j ACCEPT

/sbin/iptables -A REDFORWARD -i $ORANGE_DEV -p

udp -o $IFACE -j ACCEPT fi

fi

if [ "$IFACE" != "" -a -f /var/ipcop/red/active ]; then

# DHCP

if [ "$RED_DEV" != "" -a "$RED_TYPE" == "DHCP" ]; then

/sbin/iptables -A REDINPUT -p tcp --source-port

67 --destination-port 68 -i $IFACE -j ACCEPT

/sbin/iptables -A REDINPUT -p udp --source-port

67 --destination-port 68 -i $IFACE -j ACCEPT fi

if [ "$METHOD" == "DHCP" -a "$PROTOCOL" == "RFC1483" ]; then

/sbin/iptables -A REDINPUT -p tcp --source-port

67 --destination-port 68 -i $IFACE -j ACCEPT

/sbin/iptables -A REDINPUT -p udp --source-port

67 --destination-port 68 -i $IFACE -j ACCEPT fi

# Outgoing masquerading

/sbin/iptables -t nat -A REDNAT -o $IFACE -j

MASQUERADE fi }

# See how we were called. case "$1" in

start)

iptables_init

# Limit Packets- helps reduce dos/syn attacks # original do nothing line

#/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 10/sec

#/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit ! --limit 10/sec -j DROP

# Fix for braindead ISP's

/sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# CUSTOM chains, can be used by the users themselves

/sbin/iptables -N CUSTOMINPUT

/sbin/iptables -A INPUT -j CUSTOMINPUT

/sbin/iptables -N CUSTOMFORWARD

/sbin/iptables -A FORWARD -j CUSTOMFORWARD

/sbin/iptables -N CUSTOMOUTPUT

/sbin/iptables -A OUTPUT -j CUSTOMOUTPUT /sbin/iptables -t nat -N CUSTOMPREROUTING

/sbin/iptables -t nat -A PREROUTING -j CUSTOMPREROUTING

/sbin/iptables -t nat -N CUSTOMPOSTROUTING

/sbin/iptables -t nat -A POSTROUTING -j CUSTOMPOSTROUTING # filtering from GUI

/sbin/iptables -N GUIINPUT

/sbin/iptables -A INPUT -j GUIINPUT # Accept everything connected

/sbin/iptables -A INPUT -m state --state

ESTABLISHED,RELATED -j ACCEPT

/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# traffic from ipsecX/tun/tap interfaces, before "-i GREEN_DEV" accept everything

/sbin/iptables -N IPSECVIRTUAL

/sbin/iptables -N OPENSSLVIRTUAL

/sbin/iptables -A INPUT -j IPSECVIRTUAL /sbin/iptables -A INPUT -j OPENSSLVIRTUAL /sbin/iptables -A FORWARD -j IPSECVIRTUAL /sbin/iptables -A FORWARD -j OPENSSLVIRTUAL

# localhost and ethernet.

/sbin/iptables -A INPUT -i lo -m state --state

NEW -j ACCEPT

/sbin/iptables -A INPUT -s 127.0.0.0/8 -m state --state

NEW -j DROP # Loopback not on lo

/sbin/iptables -A INPUT -d 127.0.0.0/8 -m state --state

NEW -j DROP

/sbin/iptables -A FORWARD -i lo -m state --state

NEW -j ACCEPT

/sbin/iptables -A FORWARD -s 127.0.0.0/8 -m state --state NEW -j DROP

/sbin/iptables -A FORWARD -d 127.0.0.0/8 -m state --state NEW -j DROP

/sbin/iptables -A INPUT -i $GREEN_DEV -m state --state

NEW -j ACCEPT -p ! icmp

/sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state

# If a host on orange tries to initiate a connection to IPCop's red IP and

# the connection gets DNATed back through a port forward to a server on orange

# we end up with orange -> orange traffic passing through IPCop

[ "$ORANGE_DEV" != "" ] && /sbin/iptables -A FORWARD -i $ORANGE_DEV -o $ORANGE_DEV -m state --state NEW -j ACCEPT

# allow DHCP on BLUE to be turned on/off

/sbin/iptables -N DHCPBLUEINPUT

/sbin/iptables -A INPUT -j DHCPBLUEINPUT # IPsec

/sbin/iptables -N IPSECPHYSICAL

/sbin/iptables -A INPUT -j IPSECPHYSICAL # OpenSSL

/sbin/iptables -N OPENSSLPHYSICAL

/sbin/iptables -A INPUT -j OPENSSLPHYSICAL

# WIRELESS chains

/sbin/iptables -N WIRELESSINPUT

/sbin/iptables -A INPUT -m state --state NEW -j WIRELESSINPUT

/sbin/iptables -N WIRELESSFORWARD

/sbin/iptables -A FORWARD -m state --state NEW -j WIRELESSFORWARD

# RED chain, used for the red interface

/sbin/iptables -N REDINPUT

/sbin/iptables -A INPUT -j REDINPUT

/sbin/iptables -N REDFORWARD

/sbin/iptables -A FORWARD -j REDFORWARD /sbin/iptables -t nat -N REDNAT

/sbin/iptables -t nat -A POSTROUTING -j REDNAT iptables_red

# DMZ pinhole chain. setdmzholes setuid prog adds rules

here to allow

# ORANGE to talk to GREEN / BLUE.

/sbin/iptables -N DMZHOLES

if [ "$ORANGE_DEV" != "" ]; then

/sbin/iptables -A FORWARD -i $ORANGE_DEV -m state

--state NEW -j DMZHOLES fi

# XTACCESS chain, used for external access

/sbin/iptables -N XTACCESS

/sbin/iptables -A INPUT -m state --state NEW -j XTACCESS # PORTFWACCESS chain, used for portforwarding

/sbin/iptables -A FORWARD -m state --state NEW -j PORTFWACCESS

# Custom prerouting chains (for transparent proxy and port forwarding)

/sbin/iptables -t nat -N SQUID

/sbin/iptables -t nat -A PREROUTING -j SQUID /sbin/iptables -t nat -N PORTFW

/sbin/iptables -t nat -A PREROUTING -j PORTFW # Custom mangle chain (for port fowarding) /sbin/iptables -t mangle -N PORTFWMANGLE

/sbin/iptables -t mangle -A PREROUTING -j PORTFWMANGLE # Postrouting rules (for port forwarding)

/sbin/iptables -t nat -A POSTROUTING -m mark --mark 1 -j SNAT \

--to-source $GREEN_ADDRESS

if [ "$BLUE_DEV" != "" ]; then

/sbin/iptables -t nat -A POSTROUTING -m mark --mark 2

-j SNAT --to-source $BLUE_ADDRESS fi

if [ "$ORANGE_DEV" != "" ]; then

/sbin/iptables -t nat -A POSTROUTING -m mark --mark 3

-j SNAT --to-source $ORANGE_ADDRESS fi

# run local firewall configuration, if present

if [ -x /etc/rc.d/rc.firewall.local ]; then

/etc/rc.d/rc.firewall.local start

fi

# last rule in input and forward chain is for logging.

/sbin/iptables -A INPUT -m limit --limit 10/minute -j LOG

--log-prefix "INPUT "

/sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT "

;; stop)

iptables_init

# Accept everyting connected

/sbin/iptables -A INPUT -m state --state

ESTABLISHED,RELATED -j ACCEPT # localhost and ethernet.

/sbin/iptables -A INPUT -i lo -j ACCEPT

/sbin/iptables A INPUT i $GREEN_DEV m state state NEW -j ACCEPT

if [ "$RED_DEV" != "" -a "$RED_TYPE" == "DHCP" -a "$IFACE" != "" ]; then

/sbin/iptables -A INPUT -p tcp --source-port 67

--destination-port 68 -i $IFACE -j ACCEPT

/sbin/iptables -A INPUT -p udp --source-port 67

--destination-port 68 -i $IFACE -j ACCEPT fi

if [ "$PROTOCOL" == "RFC1483" -a "$METHOD" == "DHCP" -a "$IFACE" != "" ]; then

/sbin/iptables -A INPUT -p tcp --source-port 67

--destination-port 68 -i $IFACE -j ACCEPT

/sbin/iptables -A INPUT -p udp --source-port 67

--destination-port 68 -i $IFACE -j ACCEPT fi

# run local firewall configuration, if present

if [ -x /etc/rc.d/rc.firewall.local ]; then

/etc/rc.d/rc.firewall.local stop

fi

/sbin/iptables -A INPUT -m limit --limit 10/minute -j LOG

--log-prefix "INPUT "

/sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT "

;; reload)

iptables_red

# run local firewall configuration, if present

if [ -x /etc/rc.d/rc.firewall.local ]; then /etc/rc.d/rc.firewall.local reload fi ;; restart) $0 stop $0 start ;; *)

echo "Usage: $0 {start|stop|reload|restart}" exit 1

;; esac exit 0

1

PENERAPAN STATEFUL FIREWALL PADA ARSITEKTUR DUAL-HOMED HOST

(STUDI KASUS : PT PLN (PERSERO) APL MAMPANG) Arini, Victor Amrizal Ariefati Wiratama

Teknik Informatika, Universitas Islam Negri Syarif Hidayatullah, Jakarta

ABSTRAKSI

Keamanan jaringan merupakan kebutuhan yang penting bagi personal terlebih lagi perusahaan. Minimnya fungsi dari personal firewall dan mahalnya sebuah hardware firewall ini lah yang menjadi kendala dalam penerapan suatu firewall. IPCop merupakan suatu statefull firewall yang memfilter dari layer transport sampai layer application. IPCop diterapkan pada arsitektur firewall dual-homed host yang menggunakan sedikitnya 2NIC pada sebuah PC. IPCop, juga bertindak sebagai proxy yang transparan sebagai gateway untuk mengakses layanan internet dan melakukan access-control kepada user. Di dalam penelitian ini pembangunan sistem terdiri dari beberapa elemen yang mendefinisikan fase, tahapan, langkah, atau mekanisme proses spesifik. Tahapan dalam pembangunan ini terdiri dari analisis, desain, simulasi prototipe, pengamatan/monitoring, dan manajemen. Firewall diuji dengan akses konten internet yang diblokir dan port scanning. Hasil pengujian menunjukkan bahwa penerapan statefull firewall yang menggunakan arsitektur dual-homed host pada PT.PLN(PERSERO) APL Mampang dapat berjalan dengan baik sebagai firewall yang mudah dikonfigurasi untuk mengamankan jaringan.

Kata kunci :stateful firewall,dual-homed host,IPCop

I. Pendahuluan A. Latar Belakang

Keamanan jaringan komputer sudah menjadi faktor yang penting dan dibutuhkan pada suatu instansi maupun perorangan untuk melindungi aset-aset informasi yang dimiliki.

Banyaknya ancaman pada jaringan komputer memerlukan adanya suatu pelindung atau dinding pengaman yang dapat melindungi jaringan tersebut. Salah satu bentuk pengamanan adalah dengan menggunakan firewall sebagai pelindung terluar dari infrastruktur jaringan komputer lokal terhadap keluar-masuknya data dalam jaringan komputer lokal yang berhubungan dengan internet.

Keberadaan personal firewall yang terdapat pada sistem operasiWindows atau

software aplikasi pihak ketiga, memiliki efek negatif dalam penggunaan resource

yang cukup besar dan dapat membebani jalannya sistem operasi. Selain itu penggunaan firewall yang berupa

hardware pun memiliki harga yang relatif cukup mahal untuk diimplementasikan.

Oleh karena itu digunakanlah IpCop yang merupakan suatu sistem operasi distribusi Linux yang diperuntukkan khusus sebagai firewall dengan menggunakan hardware PC. Firewall ini dikonfigurasi melalui remote access

dengan interaksi melalui antarmuka berbasis web dan bekerja dengan melakukan pengontrolan, pengaturan dan

2

pembatasan terhadap hak akses user yang terhubung ke internet. untuk meningkatkan kualitas keamanan jaringan komputer. B. Tujuan

Tujuan dari penulisan skripsi ini adalah Menerapkan sistem firewall berbasis open

source yang ekonomis dalam

mengamankan jaringan dengan memberikan kemudahan untuk melakukan manjemen dan pengaturan access-control

sebagai usaha meningkatkan keamanan jaringan pada perusahaan.

C. Batasan Masalah

Fokus penulisan skripsi ini adalah Mengimplementasikan sebuah network firewall berbasis open source

menggunakan distribusi IPCop, adapun pengujian terhadap firewall dilakukan dengan menggunakanport scanningattack

dan pengujian URL atautext-content. II. Landasan Teori

A. Pengertian Firewall

Firewall merupakan perangkat jaringan yang dibangun dari software, hardware, atau kombinasi dari keduanya yang berada diantara dua segmen jaringan berbeda, dan bertugas memeriksa traffic

data yang mengalir melewatinya dengan menggunakan sejumlah kriteria kebijakan keamanan untuk menentukan apakah akses traffic dapat diizinkan untuk melewati firewall dan memasuki sistem jaringan atau tidak.

B. Pengertian Network Firewall

Network Firewall didesasin untuk melindungi jaringan secara keseluruhan dari berbagai serangan. Umumnya dijumpai dalam dua bentuk, yakni sebuah perangakat terdedikasi atau sebagi sebuah perangkat lunak yang diinstalasikan dalam sebuah server.

Network Firewall secara umum memiliki bebrapa fitur utama, yakni apa yang dimiliki oleh personal firewall

(packet filter firewall dan stateful

firewall), Circuit Level Gateway, Application Level Gateway, dan juga NAT firewall. Network firewall umumnya

bersifat transparan (tidak terliihat) dari pengguna dan menggunakan teknologi

routing untuk menentukan paket mana yang diizinkan dan mana paket yang akan ditolak.

C. Stateful Firewall

Sateful Firewall merupakan sebuah

Firewall yang menggabungkan keunggulan yang ditawarkan oleh packet-filtering Firewall, NAT Firewall, Circuit-Level Firewall dan Proxy Firewall dalam satu sistem.

Statefull Firewall dapat melakukan

filtering terhadap lalu lintas berdasarkan karakteristik paket, seperti halnya packet-filtering Firewall, dan juga memiliki pengecekan terhadap sesi koneksi untuk meyakinkan bahwa sesi koneksi yang terbentuk tersebut diizinkan.

Tidak seperti Proxy Firewall atau

Circuit Level Firewall, Stateful Firewall

pada umumnya didesain agar lebih transparan (seperti halnya packet-filtering Firewall atau NATFirewall). Akan tetapi,

stateful Firewall juga mencakup beberapa aspek yang dimiliki oleh application level

Firewall, sebab ia juga melakukan inspeksi terhadap data yang datang dari lapisan aplikasi (application layer) dengan menggunakan layanan tertentu.

Gambar 1 Stateful Firewall dilihat pada lapisan OSI

D. ArsitekturDual-Homed Host

Arsitektur yang menempatkan satu