APLIKASI KEAMANAN SISTEM INFORMASI (Firewall)

 Assalamu'alaikum Wr.Wb.

Selamat Datang di Blog saya 😊 Semoga materi yang saya share di Blog ini bisa bermanfaat buat saya dan kalian semua.

PENGERTIAN FIREWALL

    Firewall adalah sistem keamanan yang melindungi komputer Anda dari berbagai ancaman di jaringan internet. Firewall ini bekerja sebagai sekat atau tembok yang membatasi komputer dari jaringan internet. Melalui “tembok api” inilah Anda bisa mengatur data, informasi, dan kegiatan apa yang boleh lalu lalang dari jaringan internet ke komputer dan begitu pula sebaliknya.

    Terdapat dua macam firewall, yaitu hardware dan software. Keduanya memiliki konfigurasi atau pengaturan yang berbeda. Meski begitu, keduanya tetap memiliki fungsi utama yang sama: melindungi keamanan jaringan.

    Firewall berbasis hardware merupakan piranti keras yang terdapat dalam sistem jaringan, misalnya router. Firewall macam ini memerlukan konfigurasi untuk dapat bekerja secara efektif. Untuk dapat bekerja, firewall menggunakan teknik filter untuk menentukan packet utama, sumber, dan tujuannya. Secara internal sistem akan membandingkan data menurut aturan yang ditetapkan. Kemudian, ia memutuskan data mana yang perlu di-drop atau diteruskan ke tujuan.

    Firewall berbasis software merupakan solusi untuk perlindungan jaringan bagi pengguna internet di rumah. Biasanya firewall ini diciptakan dalam bentuk aplikasi terpisah maupun sebagai fitur tambahan dari anti-virus. Jenis firewall macam ini melindungi trafik inbound dan juga outbound, selain juga menghindarkan Anda dari virus Trojan serta Worm.

CARA KERJA FIREWALL

    Firewall bekerja dengan menyaring data (packet) antara jaringan di internet. Ia bisa membolehkan atau tidak membolehkan suatu packet diakses oleh sebuah komputer.

    Ada tiga cara yang digunakan firewall untuk mengamankan jaringan. Firewall bisa menggunakan satu, dua, atau mengombinasikan ketiga cara berikut untuk mengamankan jaringan. Simak penjelasan berikut untuk lebih lengkapnya:

    Pertama, packet filtering atau stateless. Artinya, firewall menggunakan aturan tertentu untuk melihat boleh tidaknya suatu data masuk ke jaringan. Setiap packet diperiksa secara sendiri-sendiri atau dalam isolasi. Jika packet dikirim dalam grup, maka setiap packet akan diperiksa secara satu per satu.

    Ketika sebuah packet dianggap berbahaya maka ia takkan diijinkan masuk. Sebaliknya, ketika packet dianggap aman maka dia akan diteruskan ke sistem yang meminta.

    Kedua, proxy service. Ini merupakan aplikasi yang bekerja sebagai penghubung antara sistem jaringan. Aplikasi proxy berada di dalam firewall dan bertugas untuk memeriksa packet yang saling ditukarkan dalam jaringan.

    Sistem ini bisa dikatakan lebih efektif. Sebab, semua informasi yang diperiksa secara tersentralisasi. Cara kerja macam ini bisa dikatakan lebih canggih karena proxy service berusaha menciptakan hubungan antarjaringan yang mirip. Proxy seolah menghubungkan jaringan secara langsung, padahal ia hanya berusaha meng-copy mekanisme yang mirip.

    Ketiga, stateful inspection. Sistem ini menelusuri packet yang diterima dengan aktivitas-aktivitas sebelumnya. Packet yang diterima kemudian diperiksa dalam database packet. Jika packet berkonotasi positif atau tidak menunjukkan risiko bahaya, maka ia akan diteruskan ke sistem yang meminta.

    Ketika firewall selesai memeriksa packet, ia kemudian akan merespons dengan salah satu dari tiga cara. Pertama, accept atau terima. Artinya, firewall akan memperbolehkan trafik untuk melewati jaringan. Kedua, reject atau tolak. Ini berarti firewall menolak trafik untuk lewat dan membalasnya dengan tampilan “unreachable error”. Terakhir, drop atau lewati di mana firewall menolak trafik tanpa mengirimkan pesan.

JURNAL TENTANG FIREWALL

ANALISIS PERANCANGAN DAN IMPLEMENTASI FIREWALL DAN TRAFFIC FILTERING MENGGUNAKAN CISCO ROUTER

Masalah 

    Di suatu instansi atau perusahaan pastinya banyak sekelompok orang yang menghendaki  pengambilan data secara ilegal ataupun perusakan jaringan pada perusahaan tertentu. Oleh karena itu dibutuhkan suatu penangkal yang dapat melindungi data ataupun dokumen penting, dikenalah firewall dan juga traffic filtering. Firewall sendiri mengandung pengertian sebagai “pos pemeriksa” yang mengevaluasi trafik-trafik yang keluar dan masuk diantara jaringan Internet atau privat dengan dunia luar, mengizinkan trafik-trafik tertentu dan memblok yang lainnya. 

TUJUAN

    untuk meningkatkan pengamanan suatu jaringan yang ada pada suatu perusahaan/instansi dengan cara yang mudah dengan memanfaatkan fungsi dari Cisco Router 1721 series.

SOLUSI

    Solusinya antara lain :

1. Pengenalan Cisco Router Cisco Router adalah peralatan utama yang banyak digunakan pada Jaringan Area Luas atau Wide Area Network (WAN). Dengan Cisco Router, informasi dapat diteruskan ke alamat yang berjauhan dan berada di jaringan komputer yang berlainan.

2. Cisco IOS Cisco IOS (Internetwork Operating System), yaitu suatu sistem operasi yang berfungsi untuk mengatur dan mengkonfigurasi Cisco Router. Seperti sistem operasi DOS untuk komputer, Cisco IOS menggunakan perintah baris (command line) untuk menjalankan suatu perintah.

3. Tingkat Akses

1. User EXEC Mode Tingkatan pertama yang dimasuki setelah berhubungan dengan router, ditandai oleh Router> prompt.

2. Privileged EXEC Mode Dengan mengetikkan perintah enable dari user EXECmode yang ditandai dengan Router#prompt. Pada tingkat privileged mode ini konfigurasi-konfigurasi router dapat diperiksa dan juga bisa masuk ke global configuration mode.

3. Global Configuration Mode Pada tingkat ini, hampir semua ragam konfigurasi router dapat diolah. Cara masuk ke konfigurasi global yaitu dengan mengetikkan perintah configuration terminal atau config t dari router#prompt.

4. Interface Configuration Mode Interface configuration mode adalah suatu mode yang digunakan untuk mengkonfigurasikan suatu interface tertentu.

4.   4. TCP/IP dan Model DoD Pada dasarnya model Dod adalah versi pemadatan model OSI, yang terdiri dari 4 dan bukan tujuh layer, yaitu :

    a. Layer Application

    b. Layer Host-to-Host

    c. Layer Internet

    d. Layer Network Access

5.  5.    Pemberian IP Address Pada LAN umumnya peralatan komputer berada di dalam satu jaringan yang sama. Sedangkan pada WAN, peralatan komputer tersebut berada di dalam jaringan atau subnet yang berbeda-beda dan bahkan dengan menggunakan protokol yang berbeda-beda pula. Agar paket-paket data dari jaringan lokal dapat disampaikan ke jaringan lain, perlu menggunakan router karena hub tidak mampu untuk meneruskan paket-paket ke jaringan yang berlainan atau protokol yang berbeda-beda.

        Router meneruskan paket-paket berdasarkan atas alamat-alamat logika (IP Address) yang diperolehnya. Sebelum router dapat berhubungan satu dengan yang lain dalam jaringan WAN, interface dari router yang akan dihubungkan tersebut harus diberi IP Address static, yang merupakan alamat yang digunakan oleh router untuk meneruskan paket-paket. Pada penelitian ini digunakan IP address yang digunakan bertipe IPv4.

Subnet mask Agar perencanaan alamat subnet bekerja, semua mesin jaringan harus tahu bagian mana dari alamat host yang akan digunakan sebagai alamat subnet. Subnet mask adalah sebuah nilai 32-bit yang memungkinkan penerima paket IP membedakan bagian ID (identifikasi) network dari sebuah alamat IP dengan bagian ID host dari alamat IP tersebut.

6.  6. Protocol routing Supaya suatu paket dapat mencapai tujuannya, diperlukan suatu peralatan untuk mengatur paket-paket tersebut agar mencapai tujuannya dengan jalan yang tersingkat. Untuk itu digunakan router yang fungsi utamanya adalah untuk menentukan jalur dan meneruskan paket-paket dari suatu jaringan ke jaringan lain. Agar router dapat mengetahui bagaimana meneruskan paket-paket ke alamat yang dituju dengan menggunakan jalur yang baik, router menggunakan peta atau tabel routing Routing Information Protocol (RIP ) RIP (Routing Information Protocol) adalah routing protocol yang termasuk jenis distance vektor. RIP menggunakan jumlah lompatan (hop count) sebagai metric dengan 15 hop maksimum. Jadi hop-count yang ke-16 tidak dapat tercapai dan router akan memberikan pesan error ? destination is unreachable? (tujuan tidak tercapai).

7.  7. Access list (ACL) Cisco Router mengunakan metode yang disebut “packet filter” untuk mengatur akses lalulintas data melewati router. Paket-paket data yang datang ke router difilter (disaring) untuk menentukan paket data mana yang akan ditolak dan paket data mana yang akan diteruskan ke suatu alamat jaringan (network address) atau ke suatu alamat komputer (host address) tertentu. Metode paket filter yang dipakai oleh Cisco Router menggunakan daftar akses yang berfungsi sebagai berikut :

a. Setiap paket data yang diterima oleh router dicocokkan dengan isi daftar akses yang diterapkan pada router interface baris per baris

b. Bila ditemukan suatu baris yang cocok, maka paket data tersebut diteruskan atau ditolak berdasarkan perintah dari baris tersebut.

c. Jika tidak ada baris yang cocok, perlu diketahui bahwa semua daftar access list jika dibuat, secara otomatis akan diakhiri dengan perintah ?implicit deny? yang berarti jika ijin tidak disebutkan secara khusus dalam daftar akses maka paket akan ditolak.

8. Daftar Akses IP Extended Daftar Akses IP Extended (Extended IP Access list) lebih rumit dan memiliki lebih banyak parameter yang dapat diatur antara lain: alamat pengirim (source address), alamat penerima (destination address), port number, dan protokol seperti dibawah ini: Router(config)#access-list <nomer daftar akses IP extended> <permit/deny> <protocol> <source address> <wildcard mask> <destination adress> <wildcard mask> <operator> <information port> Lalu diterapkan pada interface yang digunakan, perintahnya adalah Router(config)#<interface yang digunakan> Router (config)#IP access-group <nomer daftar akses IP extended> <in/out>

HASIL

A. Implementasi firewall dan traffic filtering

1. Setting IP address komputer. Agar komputer dapat diakses dari komputer lain maupun dari Router maka perlu diberi IP Address. IP address disini berfungsi sebagai alamat dari suatu device baik itu alamat sumber maupun digunakan alamat tujuan. Konfigurasi IP address pada komputer langkah-langkahnya adalah sebagai berikut :

a. Pilih Setting > network conection > Properties. Pilih Internet Protocol (TCP/IP) lalu Properties untuk masuk ke pengaturan selanjutnya.

b. Setelah pilih menu propertis maka selanjutnya akan tampil Internet Protocol (TCP/IP) Properties.

2. Setting Router Mengkonfigurasi Router Router tidak mempunyai layar monitor untuk berinteraksi dengan network administrator, oleh karena itu, kita membutuhkan sebuah PC untuk men-setup sebuah Router. PC tersebut harus disambungkan ke Router tersebut dengan salah satu dari cara berikut:

1. Melalui Console port

2. Melalui Auxilary Port

3. Melalui Telnet

Pada perancangan penelitian ini hanya menggunakan Console port dalam mengkonfigurasi Router. Men-konfigurasi Router melalui port Console Console port adalah sebuah port pada Router yang disediakan untuk menghubungkan Router tersebut pada “dunia luar”. Sebuah kabel Roll Over dibutuhkan untuk menghubungkan Serial Interfacepada PC dan Console port pada Router tersebut. Setelah Router terhubung dengan PC, Router dapat dikonfigurasi dengan menjalankan aplikasi HyperTerminal dari PC.

a. Konfigurasi hostname dan Interface fastethernet 0. Untuk Setting hostname dan Interface masuk ke mode previledge. langkah-langkahnya adalah sebagai berikut :

1. masuk ke mode previledge dengan cara ketik “enable”, setelah itu ketik hostname untuk memberi nama dari Router yang digunakan dan untuk interfacenya konfigurasi interface fastethernet 0 dengan IP address 192.168.10.4. Perintah “no shut” digunakan untuk mengaktifkan interface fastethernet tersebut.

2. Konfigurasi Interface serial 0 dengan IP address 192.168.20.1. perintah “no shut” digunakan untuk mengaktifkan Interface.

3. Konfigurasi password dan koneksi Telnet dengan password akatel. Username digunakan untuk akses ke telnet dengan password cisco. Line vty 0 4 digunakan untuk setting koneksi telnet

4. Konfigurasi Routing protocol. Routing Protocol yang digunakan adalah dynamic Routing dengan jenis RIP (Routing Information Protocols). Router rip adalah perintah yang digunakan untuk konfigurasi RIP. Selanjutnya network yang terhubung dari router ke jaringannya adalah 192.168.10.0 dan 192.168.20.

5. Setting Access-List Access-List yang digunakan adalah Extended Access-List. Perintah tersebut menunjukkan bahwa Access list yang digunakan adalah extended access list dapat dilihat dari nomer rangenya yaitu 101 bertujuan menolak host 192.168.10.1 untuk mengakses telnet (23) ke host 192.168.20.2.

1. Perintah selanjutnya dengan nomer range 101 bertujuan menolak host 192.168.10.1 untuk mengakses http (80) ke host 192.168.30.2.

2. Permit IP any any menunjukkan pengijinan akses ke telnet dan http selain host 192.168.10.1

3. Access list tersebut diterapkan pada Interface F0

B. Analisis cara kerja sistem perancangan

Setelah mengkonfigurasi seluruh device yang digunakan sekarang saatnya menganalisis cara kerja dari sistem perancangan inplementasi firewall dan Traffic Filtering Adapun IP address dari masing-masing device.

Setelah IP address tersebut diterapkan pada semua device tidak semua device dapat terhubung hanya device yang mempunyai IP address dalam jaringan yang sejenis saja yang dapat terhubung. Oleh karena itu, digunakanlah salah satu fungsi dari IOS Router yang berguna menghubungkan jaringan yang berbeda jaringan yaitu RIP (Routing Information Protocols). Cara kerja dari RIP itu sendiri adalah sebagai berikut :

1. RIP merupakan sebuah Routing Protocol jenis distance-vector. Protocol distance vector menemukan jalur terbaik ke sebuah remote dengan menilai jarak. Route dengan hop yang paling sedikit menujukan network yang dituju akan menjadi Route terbaik.

2. RIP secara default memilki sebuah nilai jumlah hop maksimum yang diijinkan yaitu 15, yang berarti nilai 16 dianggap tidak terjangkau.

3. RIP v1 menggunakan hanya classful Routing, yang berarti semua alat di network harus menggunakan subnet mask yang sama.

4. RIP tidak bekerja berdasarkan kecepatan, melainkan berdasarkan jumalh hop minimum.

Untuk lebih memahami RIP Ketikkan perintah sh IP Route pada mode previledge.

Dapat dianalisa bahwa pada Routing table yang telah dibentuk pada Router Pekalongan memiliki entri menggunakan kode R dan C. Kode C berarti network terhubung secara langsung (direcly connection). Kode R berarti bahwa network menambahkan secara dinamis menggunakan Routing Protocol RIP. Angka [120/1] adalah administrative distance dari Route (120) bersama dengan jumlah hop ke network tersebut (1 hop).

Administrative distance digunakan untuk mengukur apa yang disebut trustworthiness (tingkat kepercayaan) dari informasi Routing. Router yang memiliki AD terendah maka itu yang akan dimasukkan di Routing tabel.

Setelah Router satu dengan yang lain dapat berkomunikasi dengan baik maka selanjutnya adalah melakukan pembatasan akses dari sebuah paket data. Pembatasan akses ini dikenal dengan istilah Traffic Filtering yang apabila diimplementasikan lebih lanjut maka akan menjadi sebuah firewall. Sesuai dengan skenario yang telah dibuat yaitu

a. Menolak host PC 1, menolak host PC 5, untuk mengakses Telnet pada Router Jakarta

b. Menolak host PC 1, menolak host PC 5, untuk mengakses http pada Server Jakarta

c. Mengijinkan yang lainnya untuk mengakses pada Telnet dan http pada Router dan Server Jakarta.

Untuk Traffic Filtering digunakan salah satu fitur IOS Router yaitu Access-List. Access-List yang digunakan disini adalah ACL jenis Extended ACL.

Bahwa Telnet ke Router Jakarta dari Router semarang dan akses http ke komputer Server berhasil. Untuk dapat menjalin koneksi Telnet sebelumnya harus di Setting terlebih dahulu line vty , serta isi semua IP address pada masing-masing device. Sebelum dipasang atau diterapkan Extended ACL maka koneksi akan berjalan dengan baik. Apabila sebuah Router dapat mengakses Telnet maka Router tersebut dapat merusak serta mematikan sistem yang ada pada sebuah Router dimana Router tersebut berperan sebagai gateway di suatu jaringan. oleh karena itulah sebaiknya diterapkan Extended ACL.

Bahwa setelah diterapkan Extended ACL maka koneksi ke Telnet gagal. Extended ACL memeriksa destination, source, protocol. Tidak seperti standart ACL yang hanya dapat memeriksa paketpaket berdasarkan IP address sumber. Cara kerja dari suatu Extended ACL adalah sebagai berikut :

Pada operasi normal saat sebuah paket melintasi Router, maka Router akan mencari rute yang tepat untuk mencapai tujuan dan menetapkan Interface mana yang harus digunakan untuk keluarnya paket dari Router. Saat menggunakan access-list, sebelum paket dapat memasuki atau keluar dari interface router, disana telah terdapat filter-filter yang diberlakukan pada interface tersebut yang akan menguji atau memeriksa paket.

Sebuah access-list terdiri dari daftar rule atau statement yang secara berurut menguji paket-paket yang keluar masuk. Rule-rule ini menguji berbagai informasi spesifik dalam sebuah paket seperti IP address source, IP address destination, protocol. Paket yang masuk diuji terlebih dahulu mengikuti rule-rule yang ditetapkan hingga kondisi tertentu terpenuhi. Jika tidak ada yang terpenuhi pada rule pertama maka paket diserahkan ke baris kedua. Jika tidak ada kondisi yang sesuai, maka terdapat konsekuensi “deny all”.

Adapun penjelasan dari listing konfigurasi adalah sebagai berikut :

1. Pilih sebuah nomer untuk membuat extended ACL. Nomer extended ACL berada dalam range 100-199, untuk penelitian ini digunakan nomer 101

2. Gunakan statement deny Semarang(config)#Access-List 101 deny

3. Karena akan menolak Telnet dan http maka harus memilih TCP sebagai Protocol layer transport. Karena http dan Telnet berada pada Protocol TCP. Semarang(config)#Access-List 101 deny TCP

4. Tambahkan alamat IP sumber yang ingin disaring, kemudian tambahkan alamat host IP tujuan Semarang(config)#Access-List 101 deny TCP host 192.168.10.1 host 192.168.20.2

5. Tambahkan perintah eq Telnet untuk menyaring host 192.168.10.1 melakukan Telnet ke 192.168.20.2. Semarang(config)#Access-List 101 deny TCP host 192.168.10.1 host 192.168.20.2 eq Telnet

6. Tambahkan perintah eq http (80) untuk menyaring host 192.168.10.1 melakukan akses http ke 192.168.30.2. Semarang(config)#Access-List 101 deny TCP host 192.168.10.1 host 192.168.30.2 eq http

7. Sangat penting untuk menambahkan baris ini selanjutnya untuk membuat statement permit. Semarang(config)#Access-List 101 permit IP any any

8. Statement permit tersebut harus diterapkan karena jika hanya menambahkan statement deny, semua akan ditolak.

9. Terapkan Access-List ke FastEthernet 0 pada Router Semarang untuk menghentikan lalu lintas Telnet dan akses ke http pada saat sampai pada Interface yang pertama.

Semarang(config)#int f0

Semarang(config-if)#IP access-group 101 in

Semarang(config-if)#^Z

Terima kasih telah berkunjung, salam blogger.😊

Wassalamu'alaikum Wr.Wb.