BAB 4 PERANCANGAN DAN EVALUASI Firewall adalah titik
advertisement
BAB 4 PERANCANGAN DAN EVALUAS I Firewall adalah titik tunggal masuk dan keluar jaringan yang aman. Di dalam sebuah jaringan, firewall dimaksudkan untuk menghentikan lalu lintas tidak sah dari satu jaringan ke jaringan lain. Semua paket melewati firewall dan tidak ada paket yang keluar atau masuk bebas melalui tempat lain. Firewall menolak akses jaringan dalam pada batas jaringan dalam yang dapat dipercaya. Karena paket ditolak sebelum mereka mencapai device yang menjalankan servis tertentu, firewall akan memproteksi sebagian besar vulnerability pada aplikasi dan sistem operasi perusahaan. Pada bab 4 ini, kami akan menerangkan langkah-langkah yang digunakan dalam membuat sistem keamanan menggunakan firewall. Serta dijelaskan beberapa kelebihan dan kelemahan yang dapat ditimbulkan dari sistem keamanan yang baru dibandingkan dengan sistem keamanan yang sedang berjalan saat ini. Firewall juga dapat membatasi hak akses sesuai dengan kebutuhan user yang menginginkan untuk mengakses datanya pada jaringan. Autentikasi berguna untuk melindungi keamanan data dari pihak yang tidak memiliki kewenangan dalam mengakses data tersebut. Hal ini dilakukan agar proses bisnis di PT M icroreksa Infonet dapat berjalan dengan baik. Pada bab 3 telah diindentifikasi ancaman yang mungkin menyerang pada jaringan PT M icroreksa. Dalam bab 4 akan dijelaskan apa yang diperlukan untuk menahan ancaman yang berupa serangan virus pada mail server, DOS pada web server dan hak akses yang dibatasi sesuai dengan kebutuhan user. Dalam bab ini juga akan dijelaskan mengenai serangan terhadap mail server dan penanggulangannya. Berdasarkan analisis yang telah dilakukan terhadap frekuensi serangan terhadap mail server yang ada di PT M icroreksa Infonet maka kami memberikan solusi dengan memasang sebuah hardware yang telah dikonfigurasi. 4.1 Usulan Perancangan Firewall Berdasarkan analisis yang dilakukan pada bab sebelumnya, permasalahan yang menuntut untuk sebuah solusi yang dapat digunakan untuk menjamin kepastian bahwa pengiriman data dilakukan dari divisi administrasi. Oleh karena itu solusi yang sesuai untuk menghadapi permasalahan tersebut adalah dengan menggunakan teknologi firewall. Pada bagian ini juga akan dijelaskan mengenai tipe firewall yang akan digunakan, merancang arsitektur firewall dan security policy pada firewall. 4.1.1 Jenis Firewall Sesuai dengan kriteria yang telah dijabarkan di bab 3, perancangan firewall pada sistem keamanan jaringan PT M icroreksa Infonet menggunakan firewall berupa hardware dengan jenis Stateful Inspection Paket Filter yang disesuaikan dengan kebutuhan hasil dari identifikasi ancaman pada penjelasan sebelumnya. Firewall jenis dapat memberikan tingkat keamanan tinggi, tangguh dan reliabilitas yang sangat tinggi. Firewall ini memiliki keunggulan yaitu memiliki dasar perlindungan berupa keamanan untuk menangani serangan virus pada mail server, mencegah serangan pada web server dan penanganan hak akses. Pemasangan firewall dapat diatur dan dijalankan sesuai dengan kebutuhan oleh aplikasi berbasis GUI yang dapat dijalankan di web browser, sehingga mempermudah dalam membangun sistem keamanan firewall. Walaupun konfigurasi dilakukan dengan aplikasi berbasis GUI, tetapi sebenarnya perintahperintah dalam basis command line yang dieksekusikan di latar belakang. Firewall yang dibutuhkan memiliki kecepatan lebih dari 300 M bps agar aspek keamanan dengan kecepatan dapat terpenuhi. Tersedia lima interface Fast Ethernet 10/100 untuk memenuhi kebutuhan sebagai interface inside, outside dan Demilitary Zone (DMZ). Cara kerja firewall yaitu mengadakan pemerikasaan paket-paket data berdasarkan urutan tertentu. Pengetian yang baik mengenai urutan pemeriksaan ini perlu dipahami agar nantinya pada saat membuat akses (access rule) dapat mengetahui bagaimana access rule tersebut diterapkan pada Firewall. Urutan pemerikasaan yang dilakukan oleh firewall adalah sebagai berikut : 1. Paket data yang mencoba akses ke interface firewall akan diperiksa asal dan tujuannya. Jika paket data datang dari interface dengan security tingkat rendah ke interface tingkat tinggi (low-to-high), maka paket data tersebut akan diizinkan lewat hanya jika telah tersedia access list (daftar akses) yang mengizinkan koneksi tersebut. 2. Sedangkan paket data datang dari interface dengan security tingkat tinggi ke interface tingkat rendah (high-to-low) akan diizinkan lewat, kecuali jika dibuat akses list yang menolak (deny) koneksi tersebut. 3. Paket yang datang akan diperiksa berdasarkan statefull session table (tabel status session). Jika telah ada di tabel, maka paket akan diteruskan berdasarkan tabel status tersebut. Jika paket ditentukan sebagai session baru, maka paket tersebut akan diperiksa berdasarkan access-list yang diterapkan pada interface. 4. Setelah paket diizinkan lewat inbound security check, paket tersebut dimasukkan pada firewall yang akan melakukan inbound network translation (destination NAT). 5. Firewall akan membuat baris baru pada stateful session table. Paket akan diteruskan ke tujuan berdasarkan routing table (tabel rute) yang dibuat. 6. Paket akan diteruskan ke tujuannya. 4.1.2 Arsitektur Firewall Topologi di bawah ini merupakan rancangan topologi yang diimplementasikan di mana firewall ditempatkan di antara router dengan switch utama. Kemudian di dalam firewall, paket data yang datang akan dicek apakah sesuai dengan security policy yang ada. Jika tidak sesuai dengan security policy yang ada maka data tersebut akan ditolak. Traffic yang menuju jaringan PT M icroreksa Infonet dari group perusahaan akan melewati sebuah router. Kemudian router terhubung dengan firewall yang selanjutnya terhubung dengan switch utama. Hal ini bermanfaat agar setiap data yang masuk dan keluar dapat diidentifikas i untuk dilakukan filter serta mengatur paket data yang masuk sesuai dengan security policy yang ada. Fungsi firewall pada sistem jaringan di PT M icroreksa Infonet adalah sebagai garis pertahanan terdepan karena memang firewall diletakan setelah switch utama sebelum terhubung ke jaringan luar melalui router. Berikut ini adalah gambar arsitektur firewall dalam jaringan PT M icroreksa Infonet. Gambar 4.1 Arsitektur Firewall dalam jaringan PT M icroreksa Infonet Secara logika, implementasi DM Z yang akan diterapkan pada jaringan PT M icroreksa Infonet adalah ditempatkan di belakang firewall (DMZ behind firewall). Artinya firewall melakukan filtering yang lebih ketat untuk setiap paket data yang berasal dari luar jaringan PT M icroreksa Infonet yang menuju DM Z daripada paket data yang berasal dari jaringan internal PT M icroreka Infonet menuju DM Z. Dalam penerapannya, security policy dalam firewall untuk menyaring paket data yang masuk dari jaringan internal perusahaan yang menuju DM Z akan lebih longgar dibandingkan dengan security policy untuk menyaring paket data yang masuk dari jaringan publik yang menuju DMZ. Dengan demikian, akses terhadap resource yang berada di dalam DM Z (web server dan mail server) akan lebih mudah jika diakses dari jaringan internal PT M icroreksa Infonet dibandingkan dengan dari luar jaringan perusahaan. Hal ini berkaitan dengan penjelasan dalam bab 3 bahwa aktivitas bisnis dari PT M icroreksa Infonet banyak menggunakan email dalam melakukan komunikasi data, terutama di oleh user yang berada di dalam jaringan perusahaan. Sementara itu, pada bab 3 juga telah disebutkan bahwa website perusahaan yang lebih ditujukan kepada pelanggan yang sebelumnya telah menjalin kerjasama dengan PT M icroreksa Infonet (selected customer). Dengan alasan di atas maka kebijakan yang diambil diperketat untuk akses dari luar jaringan PT M icroreksa Infonet. 4.1.3 Security policy pada Firewall Policy atau kebijakan pada firewall menentukan segala sesuatu dari penggunaan sumber daya perusahaan yang dapat diterima dalam jaringan perusahaan. Tanpa suatu kebijakan, firewall akan menjadi kompleks, rumit untuk dikelola, dan gangguan keamanan dapat terjadi sehari-hari. Tanpa suatu kebijakan untuk memandu penerapan firewall, maka firewall itu sendiri dapat juga mendatangkan suatu masalah keamanan. Oleh karena itu dirasa sangat penting untuk membuat kebijakan keamanan firewall sebelum memasang firewall pada sistem jaringan suatu organisasi. Langkah-langkah yang ditempuh untuk membuat suatu kebijakan firewall adalah sebagai berikut: 1. Identifikasi Aplikasi Jaringan yang Diperlukan Suatu kebijakan firewall menggambarkan bagaimana firewall seharusnya menangani traffic aplikasi-aplikasi seperti web, email, ataupun transfer file. Sebelum kebijakan dapat dibuat, beberapa bentuk analisis harus dilakukan pada aplikasi-aplikasi dan bagaimana aplikasiaplikasi tersebut akan diamankan. Sesuai dengan aktivitas bisnis yang telah dibahas pada bab 3, PT M icroreksa Infonet dalam menjalankan proses bisnisnya, seperti untuk melakukan proses pertukaran data, mengakses data di server, melakukan komunikasi antar karyawan dan bisa juga digunakan untuk melakukan order barang. Beberapa perangkat lunak (software) yang digunakan dalam perusahaan ini antara lain M icrosoft Excel, M icrosoft Word, M icrosoft Outlook dan Internet Explorer 8.0 (kegunaan masing-masing perangkat lunak ini dalam perusahaan juga telah dijabarkan di bab 3). Perangkat lunak yang telah disebutkan di atas diperlukan dalam pertukaran informasi pada komunikasi jaringan PT M icroreksa Infonet, baik di dalam perusahaan, komunikasi dengan perusahaan mitra, maupun dengan publik. M icrosoft Outlook pada PT M icroreksa Infonet secara umum digunakan untuk mengirimkan data melalui email. PT M icroreksa Infonet memiliki mail server sendiri dalam menyediakan layanan dalam menampung dan mendistribusikan email. Protokol yang digunakan dalam mail server perusahaan adalah SM TP, POP3, dan IM AP. SMTP digunakan untuk pengiriman email, POP3 digunakan untuk mengambil email dalam server, dan IM AP digunakan untuk mengakses email yang berada di mail server. Internet Explorer digunakan dalam perusahaan untuk untuk melakukan pengiriman data secara elektronik baik berupa dokumen seperti dokumen pemesanan dan juga daftar harga dengan menggunakan koneksi internet. Selain itu Internet Explorer juga dapat digunakan untuk mengakses web server melalui protokol HTTP dan HTTPS. PT M icroreksa Infonet juga memiliki web server yang digunakan untuk mengelola website perusahaan. 2. Identifikasi Kerapuhan yang Berhubungan dengan Aplikasi Pada bagian permasalahan yang dihadapi dalam bab 3 telah dijelaskan di mana terdapat tiga masalah keamanan jaringan yang dihadapi PT M icroreksa Infonet yaitu ancaman virus yang masuk bersama email menuju mail server perusahaan, ancaman keamanan terhadap web server perusahaan, serta kebutuhan perusahaan dalam memastikan transfer data dikirim dari divisi administrasi dalam komunikasi antara PT M icroreksa Infonet dengan perusahaan mitra. Dengan demikian, dibutuhkan suatu kebijakan keamanan yang mengatur traffic-traffic yang berhubungan dengan masalah yang ditemukan, yaitu traffic SM TP, POP3, IMAP dan HTTP. 3. Analisis Nilai Keuntungan dari Metoda-metoda untuk Pengamanan Aplikasi Solusi untuk masalah pertama dan kedua adalah dengan pemilihan firewall dengan kriteria yang telah dijabarkan dalam usulan pemecahan masalah pada bab 3. Dalam upaya melindungi mail server, diberikan policy dalam firewall untuk menutup traffic selain SM TP, POP3 dan IMAP yang menuju mail server perusahaan dan juga policy untuk menutup traffic selain HTTP yang menuju web server sebagai upaya melindungi web server perusahaan. Untuk masalah ketiga, solusi yang akan diberikan diletakkan pada security policy di dalam firewall. Policy yang diberikan adalah dengan memperbolehkan traffic SM TP yang berasal selain dari divisi administrasi yang menuju jaringan perusahaan mitra serta menolak jenis traffic yang sama selain dari divisi admnistrasi menuju perusahaan mitra. Aturan ini memberikan akses hanya kepada divisi admnistrasi dalam melakukan pengiriman email yang menuju perusahaan mitra. Dengan demikian kepastian bahwa informasi yang dikirim dari PT M icroreksa Infonet kepada perusahaan mitra dapat ditingkatkan dan juga mengurangi ancaman terhadap integritas data yang dikirim. 4. Pembuatan Matriks Traffic Aplikasi yang Menunjukkan Metoda Pengamanan Berdasarkan permasalahan yang telah diidentifikasi melalui langkah-langkah di atas, maka metoda keamanan yang akan digunakan dapat ditunjukkan dalam matriks traffic aplikasi berikut ini: Firewall TCP/IP Firewall Firewall Security Application Location Direction Security Security policy policy Servis policy (Outside) (Inside) (DM Z) Permit only from IP range 192.168.0.3- SM TP Any In Permit Deny 192.168.0.6 to network 209.59.194.0/ 24, 205.12.1.0/24 and 200.1.1.0/24; Permit inside from network to internet POP3 IMAP Any Any In Deny In Deny Permit only Permit only from inside from inside network network Permit only Permit only from inside from inside network network Permit only HTTP Any In Deny from inside Permit network Permit only HTTPS Any In Deny from inside Deny network Tabel 4.1 M atriks Traffic Aplikasi Firewall Tabel di atas memperlihatkan gambaran bagaimana firewall akan menangani traffic aplikasi seperti email yang ditunjukkan dalam protokol SM TP, POP3 dan IMAP serta traffic pada web server yang ditunjukkan dalam protokol HTTP dan HTTPS. Dalam tabel di atas, aturan yang dibuat diletakkan pada direction atau arah paket yang masuk pada setiap interface. Seperti yang telah dibahas di bab 3, jumlah port Ethernet yang akan digunakan adalah tiga buah. Port pertama digunakan untuk koneksi dengan router, port kedua digunakan untuk koneksi dengan switch utama yang terhubung ke jaringan internal, dan port ketiga digunakan untuk DM Z. Dengan demikian dibutuhkan tiga buah interface yaitu inside, outside dan DMZ, di mana masing-masing interface mewakili port Ethernet secara logic. Interface inside mewakili port Ethernet pertama yang memiliki tingkat keamanan yang lebih rendah (low level security), interface outside mewakili port Ethernet kedua yang memilki tingkat keamanan yang lebih tinggi (high level security), sedangkan interface DM Z mewakili port Ethernet ketiga yang digunakan untuk layanan kepada publik. Ketiga interface ini di dalamnya akan diterapkan aturanaturan tentang bagaimana firewall membuat keputusan terhadap setiap paket yang datang apakah paket tersebut diperbolehkan lewat, ditolak ataupun dibuang. Berkaitan permasalahan ketiga tentang kebutuhan perusahaan dalam memastikan transfer data dikirim dari divis administrasi dalam komunikasi antara PT M icroreksa Infonet dengan perusahaan mitra yang telah diidentifikasikan sebelumnya, aturan yang diberikan adalah memberikan akses hanya kepada divisi admnistrasi dalam melakukan pengiriman email yang menuju perusahaan mitra. Untuk itu setiap traffic SM TP yang akan menuju ke jaringan perusahaan mitra (PT M itrasoft Infonet, PT Artha Infotama dan PT Ebiz Cipta Solusi) hanya diperbolehkan lewat jika berasal dari range IP 192.168.0.3 s/d 192.168.0.6. Ini adalah range IP untuk divisi admisnistrasi. Dengan demikian hanya divisi administrasi yang dapat mengirim email ke perusahaan mitra. 5. Pembuatan Seperangkat Aturan (Ruleset) Dasar Firewall dari Matriks Traffic Aplikasi Seperangkat aturan atau ruleset digunakan sebagai mekanisme untuk menerapkan kontrol keamanan. Isi dari ruleset menentukan kemampuan yang nyata dari suatu firewall. Pada bab 3 telah dijelaskan bahwa jenis firewall yang dipilih sebagai solusi yang sesuai dengan permasalahan yang ada adalah Stateful Inspection Paket Filter. Dengan melihat cara kerja firewall jenis Stateful Inspection Paket Filter, maka ruleset yang akan digunakan berisi hal-hal berikut ini: a. Suatu tindakan, seperti memperbolehkan (permit), menolak (deny) atau menjatuhkan (drop) paket dengan tidak memberikan suatu tanggapan ke pengirim paket. b. Beberapa karakteristik dari layer 4 tentang komunikasi yaitu protokol dan port tujuan. Contohnya adalah HTTP (TCP port 80) untuk port tujuan web server. c. Alamat sumber dari paket, yaitu alamat layer 3 dari sistem komputer atau perlengkapan paket jaringan berasal. Contohnya adalah suatu alamat IP seperti 192.168.0.5. d. Alamat tujuan dari paket, yaitu alamat layer 3 dari sistem komputer atau perlengkapan paket jaringan yang sedang dituju. e. Informasi tentang interface dari firewall, seperti interface inside, outside atau DMZ. Ruleset firewall dapat dibangun setelah melengkapi matriks traffic aplikasi, di mana dalam hal ini matriks traffic aplikasi telah dibuat pada langkah sebelumnya. Sesuai dengan matriks traffic aplikasi yang berasal dari identifikasi permasalahan keamanan jaringan PT M icroreksa Infonet, maka terbentuk 29 aturan atau rules yang akan digunakan sebagai policy di dalam firewall. Aturan ini bekerja dari atas ke bawah dengan algoritma if-else, yaitu jika kondisi paket data yang masuk telah sesuai dengan suatu aturan maka aturan yang berada di bawahnya diabaikan. Berikut aturan-aturan tersebut beserta penjelasannya: Gambar 4.2 Ruleset ¾ interface: outside(inbound) 1. Perbolehkan ICMP pakets dari jaringan inside 192.168.0.0/24 ke sembarang Aturan ini memperbolehkan endpoint device dari jaringan internal perusahaan untuk melalukan ping ke internet. 2. Perbolehkan HTTP traffic (TCP port 80) dari jaringan inside 192.168.0.0/24 ke sembarang Aturan ini memperbolehkan endpoint device dari jaringan internal perusahaan untuk mengakses suatu website, contohnya adalah http://www.klub-mentari.com. 3. Perbolehkan HTTPS traffic (TCP port 443) dari jaringan inside 192.168.0.0/24 ke sembarang HTTPS merupakan versi aman dari HTTP yang menyediakan autentikasi dan komunikasi tersandi. Aturan ini memperbolehkan endpoint device dari jaringan internal perusahaan untuk mengakses website telah terenkripsi seperti https://www.klikbca.com. 4. Perbolehkan SMTP traffic (TCP port 25) dari jaringan inside host 192.168.0.3 ke jaringan PT Mitrasoft Infonet 209.59.194.0/24 5. Perbolehkan SMTP traffic (TCP port 25) dari jaringan inside host 192.168.0.4 ke jaringan PT Mitrasoft Infonet 209.59.194.0/24 6. Perbolehkan SMTP traffic (TCP port 25) dari jaringan inside host 192.168.0.5 ke jaringan PT Mitrasoft Infonet 209.59.194.0/24 7. Perbolehkan SMTP traffic (TCP port 25) dari jaringan inside host 192.168.0.6 ke jaringan PT Mitrasoft Infonet 209.59.194.0/24 IP dengan range 192.168.0.3-192.168.0.6 adalah IP yang digunakan pada divisi administrasi. Aturan dari nomor 47 ini memperbolehkan divisi administrasi untuk melakukan pengiriman email kepada jaringan PT M itrasoft Infonet. 8. Perbolehkan SMTP traffic (TCP port 25) dari jaringan inside host 192.168.0.3 ke jaringan PT Artha Infotama 205.12.1.0/24 9. Perbolehkan SMTP traffic (TCP port 25) dari jaringan inside host 192.168.0.4 ke jaringan PT Artha Infotama 205.12.1.0/24 10. Perbolehkan SMTP traffic (TCP port 25) dari jaringan inside host 192.168.0.5 ke jaringan PT Artha Infotama 205.12.1.0/24 11. Perbolehkan SMTP traffic (TCP port 25) dari jaringan inside host 192.168.0.6 ke jaringan PT Artha Infotama 205.12.1.0/24 Seperti yang telah dijelaskan sebelumnya, IP dengan range 192.168.0.3-192.168.0.6 adalah IP yang digunakan pada divisi administrasi. memperbolehkan Aturan divisi dari administrasi nomor untuk 8-11 ini melakukan pengiriman email kepada jaringan PT Artha Infotama. 12. Perbolehkan SMTP traffic (TCP port 25) dari jaringan inside host 192.168.0.3 ke jaringan PT Ebiz Cipta Solusi 200.1.1.0/24 13. Perbolehkan SMTP traffic (TCP port 25) dari jaringan inside host 192.168.0.4 ke jaringan PT Ebiz Cipta Solusi 200.1.1.0/24 14. Perbolehkan SMTP traffic (TCP port 25) dari jaringan inside host 192.168.0.5 ke jaringan PT Ebiz Cipta Solusi 200.1.1.0/24 15. Perbolehkan SMTP traffic (TCP port 25) dari jaringan inside host 192.168.0.6 ke jaringan PT Ebiz Cipta Solusi 200.1.1.0/24 Sebelumnya telah dijelaskan bahwa IP dengan range 192.168.0.3-192.168.0.6 adalah IP yang digunakan pada divisi administrasi. Aturan dari nomor 8-11 ini memperbolehkan divisi administrasi untuk melakukan pengiriman email kepada jaringan PT Ebiz Cipta Solusi. 16. Tolak SMTP traffic (TCP port 25) dari jaringan inside 192.168.0.0/24 ke jaringan PT Mitrasoft Infonet 209.59.194.0/24 17. Tolak SMTP traffic (TCP port 25) dari jaringan inside 192.168.0.0/24 ke jaringan PT Artha Infotama 205.12.1.0/24 18. Tolak SMTP traffic (TCP port 25) dari jaringan inside 192.168.0.0/24 ke jaringan PT Ebiz Cipta Solusi 200.1.1.0/24 Aturan dari nomor 16-18 ini menolak endpoint device dari jaringan internal perusahaan untuk melakukan pengiriman email kepada jaringan PT M itrasoft Infonet, PT Artha Infotama dan PT Ebiz Cipta Solusi. Seperti yang telah dijelaskan sebelumnya, aturan 4-15 telah memperbolehkan divisi administrasi untuk melakukan pengiriman email ke perusahaan mitra, sedangkan divisi administrasi berada di dalam jaringan internal perusahaan. Karena aturan ini bekerja dari atas ke bawah dengan algoritma if-else, maka dengan kata lain aturan 16-18 ini menolak endpoint device untuk melakukan pengiriman email kepada jaringan PT M itrasoft Infonet, PT Artha Infotama dan PT Ebiz Cipta Solusi yang berasal dari jaringan internal perusahaan, kecuali untuk divisi administrasi. 19. Perbolehkan SMTP traffic (TCP port 25) dari jaringan inside 192.168.0.0/24 ke sembarang 20. Perbolehkan POP3 traffic (TCP port 110) dari jaringan inside 192.168.0.0/24 ke sembarang 21. Perbolehkan IMAP traffic (TCP port 143) dari jaringan inside 192.168.0.0/24 ke sembarang Aturan 19-21 ini memperbolehkan endpoint device dari jaringan internal perusahaan untuk mengirim email ke internet dan membaca email dari internet. 22. Default Tolak Aturan ini merupakan pendekatan dalam perancangan firewall di mana segala sesuatu yang tidak secara eksplisit diizinkan berarti tidak diperbolehkan. Kebijakan ini memblokir semua paket dan koneksi kecuali jika traffic dan koneksi telah diizinkan secara khusus. Pendekatan ini lebih menjamin dibandingankan dengan pendekatan lain lain yang sering digunakan yaitu mengizinkan semua koneksi dan traffic secara default dan kemudian memblokir traffic dan koneksi yang khusus. Dalam hal ini semua aturan khusus telah disebutkan di atas aturan ini. Artinya jika kondisi paket yang datang jika tidak memenuhi aturan-aturan sebelumnya maka paket akan diblok. Oleh karena itu, aturan 22 ini ditempatkan di bagian dasar dalam interface ini. ¾ interface: DM Z (inbound) 23. Perbolehkan ICMP paket dari jaringan inside 192.168.0.0/24 ke DMZ 192.168.2.0/24 Aturan ini memperbolehkan endpoint device dari jaringan internal perusahaan untuk melalukan ping ke DMZ untuk kegunaaan dalam troubleshooting server-server yang berada di dalamnya. 24. Perbolehkan POP3 traffic (TCP port 110) dari jaringan inside 192.168.0.0/24 ke DMZ pada mail server 192.168.0.46. 25. Perbolehkan IMAP traffic (TCP port 143) dari jaringan inside 192.168.0.0/24 ke DMZ pada mail server 192.168.0.46 26. Perbolehkan SMTP traffic (TCP port 25) dari sembarang ke DMZ pada mail server 192.168.0.46 Aturan 24-26 ini memperbolehkan endpoint device dari jaringan internal perusahaan untuk mengirim dan membaca email dengan domain perusahaan. Untuk aturan 26, diperbolehkan email dari perusahaan mitra dan internet masuk ke mail server perusahaan. 27. Perbolehkan HTTP traffic (TCP port 80) dari sembarang ke DMZ pada web server 192.168.0.45 Aturan ini memperbolehkan semua device baik dari dalam perusahaan maupun dari internet untuk mengakses website perusahaan. 28. Default tolak Aturan ini menolak paket yang tidak sesuai dengan aturan yang telah disebutkan sebelumnya pada interface ini. ¾ interface: inside (inbound) 29. Default tolak Aturan ini menolak semua traffic dari luar perusahaan untuk masuk ke jaringan internal. 4.2 Implementasi Firewall 4.2.1 S oftware dan Hardware yang akan digunakan Rancangan firewall yang diusulkan akan membutuhkan beberapa hardware untuk melakukan konfigurasi pada firewall yang akan dipasang. Berikut ini hardware dan software yang dibutuhkan adalah : Hardware yang dibutuhkan ; Firewall jenis Stateful Inspection Paket Filter Kabel UTP Kabel console Laptop Software yang dibutuhkan : Command Line Interface Aplikasi berbasis GUI 4.2.2 Instalasi Firewall Pada bagian ini akan dijelaskan bagaimana proses installasi firewall. Ini adalah suatu proses untuk memasukkan security firewall yang telah dibuat ke dalam firewall. Proses awal adalah menyediakan firewall yang akan digunakan. Konfigurasi firewall dilakukan menggunakan laptop dengan media kabel konsole dan kabel UTP. Proses konfigurasi tersebut dapat dilakukan melalui web browser yaitu https://192.168.1.1/admin. Proses installasi secara detail dijelaskan di bagian lampiran. Setelah proses instalasi dan konfigurasi, firewall dapat dipasang pada jaringan sesuai dengan arsitektur yang telah dijelaskan sebelumnya. 4.2.3 Konfigurasi Setting Firewall Konfigurasi firewall yang telah dirancang untuk sistem jaringan PT M icroreksa Infonet dan hasilnya dalam bentuk command line dapat dilihat di bagian lampiran. Analisis konfigurasi firewall yang telah dirancang pada sistem jaringan di PT M icroreksa Infonet akan dijelaskan berdasarkan fungsi dan ruleset dari firewall yang sudah terdapat dalam lampiran. Fungsi dan ruleset akan dijelaskan dalam poin-poin berikut : 1. Interface Pemberian nama interface untuk kemudian diterapkan access list di dalamnya yaitu dengan mengetikan perintah sebagai berikut : CiscoASA# config terminal CiscoASA (config)# interface Ethernet0/0 CiscoASA (config-if)# nameif outside CiscoASA (config-if)# security-level 0 CiscoASA (config-if)# ip address 100.100.100.1 255.255.255.0 CiscoASA (config-if)# no shutdown, di mana : a. Ethernet0/0 adalah nama dari Ethernet yang terdapat pada firewall. b. Outside adalah nama untuk setiap interface yang ada dalam firewall. c. Security-level adalah nomor untuk tingkat keamanan. d. 100.100.100.1 dan 255.255.255.0 adalah ip dan subnet mask pada interface tersebut. 2. Access List Acces list digunakan oleh di firewall untuk menyaring (filter) lalu lintas paket data lewat firewall. Paket-paket data yang dating ke firewall disaring untuk menentukan paket data mana yang akan ditolak dan paket data mana yang akan diterima untuk diteruskan ke suatu alamat computer (host) tertentu. Untuk mengkonfigurasi acces list tersebut cukup dengan mengetikkan perintah seperti di bawah ini : CiscoASA(config)# access-list dmz_access_in extended permit tcp any host 192.168.0.46 255.255.255.0 eq smtp , di mana : a. Dmz_access_in adalah nama atau nomor access list yang dibuat. b. Permit adalah parameter untuk megizinkan dan deny adalah parameter untuk menolak. c. Any host adalah alamat dari internet. d. 192.168.0.46 adalah alamat penerima atau dituju. e. 255.255.255.0 adalah selubung untuk source_address dan destination_address yang dipakai. f. eq adalah operator. g. smtp adalah protokol dari paket yang dikirim. h. Parameter “any” sebagai alamat pengirim berarti untuk semua IP Address pengirim. Demikian juga “any” untuk alamat penerima, menandakan semua untuk IP address penerima. 3. NAT, Global dan Static Firewall dapat menggunakan perintah NAT, global dan static untuk memetakan suatu interface ke interface lain pada peralatan. NAT berfungsi mentranslasikan IP address pribadi ke IP address public sehingga lalu lintas data dapat diteruskan oleh router apabila router tersebut mendukung dan menerapkan lalu lintas NAT tersebut. Perintah NAT digunakan untuk memetakan interface internal (dalam) ke interface external (luar) dengan perintah : CiscoASA(config)# static (inside,outside) tcp outside-network www 192.168.0.0 www netmask 255.255.255.0 , dimana : a. Static adalah pemetaan yang permanen antara internal address ke public address. b. Inside,outside adalah nama interface yang akan diberikan rule NAT c. Tcp adalah id dari protokol yang digunakan d. 192.168.0.0 adalah IP address lokal e. 255.255.255.0 adalah subnet mask 4. Virus Scaning Pada firewall yang digunakan ini dapat mencegah setiap virus yang masuk ke dalam jaringan dalam pada perusahaan. Pada firewall ini pecegahan virus yang masuk dilakukan dengan melakukan filter terhadap data yang masuk ke dalam jaringan yang kemudian melakukan scan terhadap data yang masuk. Jika data yang masuk terdapat virus maka virus yang ada di dalam tersebut akan dikarantina dan data yang telah bebas dari virus akan diteruskan untuk masuk ke dalam jaringan dalam perusahaan. 4.3 Testing Firewall Di bab 3 telah diidentifkasi bahwa terdapat tiga permasalahan dalam jaringan PT M icroreksa Infonet. Oleh karena itu dibutuhkan suatu percobaan atau testing untuk mengukur sejauh mana efektivitas dari sistem keamanan yang telah dirancang dalam mengatasi permasalahan tersebut. Dalam melakukan testing diperlukan skenario yang berbeda pada tiap-tiap permasalahan. Skenario pada permasalahan pertama dilakukan dengan mengirimkan ancaman berupa virus kepada mail server. Serangan yang dibuat ini merupakan sebuah serangan yang menyerang dokumen pada mail server. Serangan yang akan dilakukan menggunakan komputer yang memiliki alamat IP 192.168.0.100 untuk mewakili alamat IP dari internet. Untuk membuktikan bahwa firewall dapat menahan serangan agar tidak dapat masuk ke dalam mail server maka skenario yang dibuat adalah dengan membuat sebuah virus yang akan dikirimkan. Virus dibuat dengan menggunakan sebuah program virus generator, seperti yang digambarkan pada Gambar 4.3. Gambar 4.3 Generate Virus Virus yang telah dibuat akan dikirim bersama dengan data melalui protokol SM TP. Proses mengirim data ke mail server dengan alamat IP 192.168.0.46 dilakukan dengan mengirim email yang telah terinfeksi oleh virus. Pengiriman paket data dengan menggunakan aplikasi pengirim paket, ditunjukkan pada Gambar 4.4. Pengiriman paket itu dilakukan dua kali, saat sebelum dan sesudah dipasang firewall di antara sisi pengirim dan penerima. Gambar 4.4 Pengiriman Email yang Terinfeksi Virus ke Mail server Sebelum dipasang firewall, virus yang masuk bersamaan dengan email menuju mail server berhasil masuk ke dalam mail server. Sebuah program antivirus dipasang pada mail server untuk mendeteksi virus yang masuk ke mail server. Hasil dari pengujian tersebut dapat dilihat pada Gambar 4.5. Gambar 4.5 Hasil Scan Antivirus Sebelum Pemasangan Firewall Setelah pemasangan firewall terbukti bahwa virus tidak dapat masuk ke dalam mail server. Virus yang masuk bersama dengan data yang masuk sudah discan terlebih dahulu oleh firewall dan kemudian data tersebut diloloskan oleh firewall tetapi virus yang pada data tersebut akan ditahan oleh firewall agar tidak masuk kedalam mail server. Gambar hasil scan dapat dilihat pada Gambar 4.6. Gambar 4.6 Hasil Scan Antivirus Sesudah Pemasangan Firewall Skenario pada permasalah kedua dilakukan dengan mengirimkan ancaman serangan DoS berupa SYN Flood. Permasalahan kedua ini akan dibuat sebuah skenario di mana akan dilakukan sebuah serangan DoS ke dalam web server dengan menggunakan program SYN Flood yang ditunjukkan pada Gambar 4.7. Gambar 4.7 Serangan DOS dengan Teknik SYN Flood Pertama-tama data dari luar serangan dijalankan melalui program SYN Flood dari alamat IP 192.168.0.100. Kemudian serangan SYN Flood dikirim menuju IP 192.168.0.45 yang merupakan alamat IP dari web server PT M icroreksa Infonet. Penyerangan SYN Flood DoS ini dilakukan selama 10 detik. Setelah itu aplikasi penganalisa jaringan yang telah dipasang pada sisi web server sebagai penerima paket akan diaktifkan. Paket data yang berhasil ditangkap aplikasi penganalisa jaringan ditampilkan dalam Gambar 4.8. Gambar 4.8 Paket Data yang M asuk ke Web Server Sebelum Pemasangan Firewall Selanjutnya serangan SYN Flood yang sama kembali dilakukan untuk kali kedua, namun kali ini dengan firewall yang telah terpasang di antara sisi pengirim dan penerima. Setelah itu aplikasi penganalisa jaringan akan menangkap paket – paket yang masuk ke web server. Setelah diaktifkan, aplikasi ini tidak menangkap adanya paket SYN yang masuk ke web server seperti yang ditunjukkan pada Gambar 4.9. Dengan demikian, testing ini membuktikan bahwa firewall dapat menahan serangan DoS. Gambar 4.9 Paket Data yang M asuk ke Web Server Setelah Pemasangan Firewall Permasalahan ketiga adalah membuktikan bahwa data yang berupa email menuju perusahaan mitra hanya boleh dikirim dari divisi administrasi PT M icroreksa Infonet. Untuk permasalahan, testing dilakukan menggunakan dua skenario. Skenario yang pertama adalah percobaan mengirim paket SMTP dari divisi administrasi yang diwakili dengan alamat IP 192.168.0.3. Skenario yang kedua adalah percobaan mengirim paket SM TP dari selain divisi administrasi yang diwakili dengan alamat IP 192.168.0.50. Paket SM TP yang dikirim pada kedua skenario ini sama-sama ditujukan untuk mail server yang berada di perusahaan mitra yang diwakili dengan alamat IP 192.168.0.80. Pada masing-masing skenario, testing akan dilakukan dua kali yaitu pada sebelum dipasang firewall dan sesudah dipasang firewall. Dalam hal ini firewall akan diletakkan di antara sisi pengirim paket dan sisi penerima paket. Pada skenario pertama, paket SMTP akan dikirimkan dari alamat IP 192.168.0.3 menuju alamat IP 192.168.0.80 seperti yang ditampilkan pada Gambar 4.10. Gambar 4.10 Pengiriman Paket SM TP dari Divisi Administrasi ke Mail Server Pengiriman paket ini dilakukan sebanyak 10 kali tanpa meletakkan firewall di antara keduanya. Sebuah aplikasi penganalisa jaringan yang telah dipasang di sisi penerima akan menangkap paket-paket data yang masuk ke alamat IP 192.168.0.80 yang merupakan mail server di perusahaan mitra. Hasilnya akan ditunjukkan pada Gambar 4.11 di bawah ini. Gambar 4.11 Paket SM TP dari Divisi Administrasi M enuju Mail Server Sebelum Pemasangan Firewall Selanjutnya pengiriman paket SM TP dengan sumber dan tujuan yang sama kembali dilakukan sebanyak 10 kali, namun kali ini dengan menempatkan firewall di antara sisi pengirim dan penerima paket. Aplikasi penganalisa jaringan yang telah dipasang akan menangkap paket-paket data yang masuk ke mail server di perusahaan mitra. Setelah aplikasi diaktifkan, diidentifikasi bahwa paket-paket SMTP yang dikirim dari divisi administrasi sampai ke mail server perusahaan mitra, seperti yang ditunjukkan pada Gambar 4.12. Gambar 4.12 Paket SM TP dari Divisi Administrasi M enuju Mail Server Setelah Pemasangan Firewall Pada testing untuk skenario kedua, paket SMTP akan dikirimkan dari alamat IP 192.168.0.30 yang mewakili divisi selain administrasi, menuju alamat IP 192.168.0.80 untuk mewakili mail server di perusahaan mitra. Pengiriman paket dilakukan dengan menggunakan aplikasi pengirim paket, seperti yang ditunjukkan pada Gambar 4.13. Gambar 4.13 Pengiriman Paket SM TP dari Divisi Administrasi ke Mail Server Sama seperti skenario pertama, pengiriman paket ini dilakukan sebanyak 10 kali tanpa meletakkan firewall di antara keduanya. Sebuah aplikasi penganalisa jaringan yang telah dipasang di sisi penerima akan menangkap paket-paket data yang masuk ke alamat IP 192.168.0.80 yang merupakan mail server di perusahaan mitra. Hasilnya akan ditunjukkan pada Gambar 4.14 di bawah ini. Gambar 4.14 Paket SM TP dari Selain Divisi Administrasi M enuju Mail Server Sebelum Pemasangan Firewall Kemudian pengiriman paket SM TP dengan sumber dan tujuan yang sama kembali dilakukan sebanyak 10 kali dengan menempatkan firewall di antara sisi pengirim dan penerima paket. Aplikasi penganalisa jaringan yang telah dipasang akan menangkap paket-paket data yang masuk ke mail server di perusahaan mitra. Setelah aplikasi diaktifkan, pada mail server perusahaan mitra tidak ditemukan paket-paket SM TP yang telah dikirim dari divisi administrasi, seperti yang ditunjukkan pada Gambar 4.15. Gambar 4.15 Paket SM TP dari Selain Divisi Administrasi M enuju Mail server Setelah Pemasangan Firewall Dengan demikian, testing pada permasalahan ketiga telah membuktikan bahwa paket SM TP yang dikirim dari divis administrasi dapat masuk ke dalam mail server sedangkan paket SM TP yang dikirim bukan dari divisi administrasi tidak dapat masuk ke dalam mail server. 4.4 Evaluasi Pada jaringan yang telah terpasang firewall, maka didapat kinerja yang lebih baik dari jaringan yang lama. Berikut ini adalah perbandingan kinerja dari yang sebelumnya dengan yang baru. Jaringan lama : • Mail server dapat dengan mudah terserang virus karena paket data yang masuk ke dalam mail server tidak dibatasi. • Web server dapat dengan mudah terserang oleh serangan Denial of Service karena belum terpasang sistem yang dapat menahan serangan tersebut. • Tidak adanya pembatasan akses terhadap mail server perusahaan mitra dari setiap user di PT M icroreksa Infonet. Seharusnya hanya divis administrasi yang dapat melakukan pengiriman email ke perusahaan mitra. Jaringan baru : • Terdapat pencegahan virus yang masuk ke dalam mail server, karena setiap data yang masuk ke mail server akan dilakukan scan terlebih dahulu. • Pembatasan paket data yang masuk ke dalam web server memungkinkan untuk mencegah ancaman-ancaman yang datang dari luar jaringan termasuk serangan Denial of Service. • M engatasi pengiriman data kepada mail server perusahaan mitra dari pihak selain dari divisi administrasi. Pihak yang memiliki akses ke mail server perusahaan mitra adalah hanya bagian administrasi.
