Menu
Pasang iklan SEO disini Murah, 25000 setahun dan dapatkan Trafik setiap harinya

Menginstalasi Dan Mengkonfigurasi Firewall pada Server TIK.JK04.017.01

Mar
07
2015
by : Bupeko. Posted in : blog

MATERI PELATIHAN BERBASIS KOMPETENSI SEKTOR TELEMATIKA SUB SEKTOR JARINGAN KOMPUTER DAN SISTEM ADMINISTRASI MENGINSTALASI DAN MENGKONFIGURASI FIREWALL PADA SERVER TIK.JK04.017.01 BUKU INFORMASI DEPARTEMEN TENAGA KERJA DAN TRANSMIGRASI R.I. DIREKTORAT JENDERAL PEMBINAAN PELATIHAN DAN PRODUKTIVITAS Jl. Jend. Gatot Subroto Kav.51 Lt.7.B Jakarta Selatan DAFTAR ISI Hal Daftar Isi 1 BAB I PENGANTAR 3 1.1. Konsep Dasar Pelatihan Berbasis Kompetensi 3 1.2. Penjelasan Modul 3 1.3. Pengakuan Kompetensi Terkini (RCC) 6 1.4. Pengertian-pengertian Istilah 6 BAB II STANDAR KOMPETENSI 9 2.1. Peta Paket Pelatihan 9 2.2. Pengertian Unit Standar 9 2.3. Unit Kompetensi yang Dipelajari 9 2.3.1. Judul Unit 9 2.3.2. Kode Unit 9 2.3.3. Deskripsi Unit 9 2.3.4. Elemen Kompetensi 10 2.3.5. Kriteria Unjuk Kerja 10 2.3.6. Batasan Variabel 10 2.3.7. Panduan Penilaian 10 2.3.8. Kompetensi Kunci 12 BAB III STRATEGI DAN METODE PELATIHAN 16 3.1. Strategi Pelatihan 16 3.2. Metode Pelatihan 17 BAB IV MATERI UNIT KOMPETENSI 16 4.1. Menentukan kebijakan keamanan jaringan 16 4.1.1. Kebijakan yang fleksibel untuk pengaksesan Internet, administrasi web, dan layanan elektronik umum lainnya ditentukan. 17 4.1.2. Kebijakan pengaksesan layanan yang menyediakan keseimbangan antara melindungi jaringan dengan ketersediaan akses bagi user ditentukan. 17 4.1.3. Kebijakan perancangan firewall ditentukan mengijinkan atau menolak penggunaan suatu layanan. 18 4.1.4. Kebijakan terhadap pengaksesan informasi ditentukan (membedakan penanganan terhadap pengakses yang berasal dari luar dengan pengakses dari dalam jaringan). 18 4.1.5. Kebijakan dial in dan dial out ditentukan (memaksa pengakses dari luar untuk melalui proses otentifikasi (advance authentication) dan mencegah penggunaan perangkat yang belum disetujui). 18 4.1.6. Kebijakan penyaringan paket (packet filtering) diterapkan. 19 4.2. Mengidentifikasi kebutuhan pembangunan firewall 19 4.2.1. Kebutuhan secara menyeluruh diidentifikasi 19 4.2.2. High level risk assessment dilakukan 20 4.2.3. Perangkat keras yang diperlukan ditentukan 21 4.3. Memasang Firewall 22 4.3.1. Perangkat lunak yang diperlukan (NOS, utility dan sebagainya) diinstall 22 4.3.2. Mesin dihubungkan ke jaringan lalu dikonfigurasi 36 4.3.3. Pengujian dilakukan 39 4.3.4. Proxy server di-setup dan dikonfigurasi 45 4.4. Membuat Dokumentasi 46 4.4.1. Konfigurasi Firewall dicatat 46 4.4.2. Hasil Pengujian dicatat 46 BAB V SUMBER-SUMBER YANG DIPERLUKAN UNTUK PENCAPAIAN KOMPETENSI 45 5.1. Sumber Daya Manusia 45 5.2. Sumber-sumber Perpustakaan 46 5.3. Daftar Peralatan/Mesin dan Bahan 46 DAFTAR PUSTAKA BAB I PENGANTAR 1.1. Konsep Dasar Pelatihan Berbasis Kompetensi • Apakah pelatihan berdasarkan kompetensi? Pelatihan berdasarkan kompetensi adalah pelatihan yang memperhatikan pengetahuan, keterampilan dan sikap yang diperlukan di tempat kerja agar dapat melakukan pekerjaan dengan kompeten. Standar Kompetensi dijelaskan oleh Kriteria Unjuk Kerja. • Apakah artinya menjadi kompeten ditempat kerja? Jika Anda kompeten dalam pekerjaan tertentu, Anda memiliki seluruh keterampilan, pengetahuan dan sikap yang perlu untuk ditampilkan secara efektif ditempat kerja, sesuai dengan standar yang telah disetujui. 1.2 Penjelasan Modul Modul ini dikonsep agar dapat digunakan pada proses Pelatihan Konvensional/Klasikal dan Pelatihan Individual/Mandiri. Yang dimaksud dengan Pelatihan Konvensional/Klasikal, yaitu pelatihan yang dilakukan dengan melibatkan bantuan seorang pembimbing atau guru seperti proses belajar mengajar sebagaimana biasanya dimana materi hampir sepenuhnya dijelaskan dan disampaikan pelatih/pembimbing yang bersangkutan. Sedangkan yang dimaksud dengan Pelatihan Mandiri/Individual adalah pelatihan yang dilakukan secara mandiri oleh peserta sendiri berdasarkan materi dan sumber-sumber informasi dan pengetahuan yang bersangkutan. Pelatihan mandiri cenderung lebih menekankan pada kemauan belajar peserta itu sendiri. Singkatnya pelatihan ini dilaksanakan peserta dengan menambahkan unsur-unsur atau sumber-sumber yang diperlukan baik dengan usahanya sendiri maupun melalui bantuan dari pelatih. 1.2.1 Desain Modul Modul ini didisain untuk dapat digunakan pada Pelatihan Klasikal dan Pelatihan Individual/mandiri : • Pelatihan klasikal adalah pelatihan yang disampaiakan oleh seorang pelatih. • Pelatihan individual/mandiri adalah pelatihan yang dilaksanakan oleh peserta dengan menambahkan unsur-unsur/sumber-sumber yang diperlukan dengan bantuan dari pelatih. 1.2.2. Isi Modul a. Buku Informasi Buku informasi ini adalah sumber pelatihan untuk pelatih maupun peserta pelatihan. b. Buku Kerja Buku kerja ini harus digunakan oleh peserta pelatihan untuk mencatat setiap pertanyaan dan kegiatan praktik baik dalam Pelatihan Klasikal maupun Pelatihan Individual / mandiri. Buku ini diberikan kepada peserta pelatihan dan berisi : Kegiatan-kegiatan yang akan membantu peserta pelatihan untuk mempelajari dan memahami informasi. • Kegiatan pemeriksaan yang digunakan untuk memonitor pencapaian keterampilan peserta pelatihan. • Kegiatan penilaian untuk menilai kemampuan peserta pelatihan dalam melaksanakan praktik kerja. c. Buku Penilaian Buku penilaian ini digunakan oleh pelatih untuk menilai jawaban dan tanggapan peserta pelatihan pada Buku Kerja dan berisi : • Kegiatan-kegiatan yang dilakukan oleh peserta pelatihan sebagai pernyataan keterampilan. • Metode-metode yang disarankan dalam proses penilaian keterampilan peserta pelatihan. • Sumber-sumber yang digunakan oleh peserta pelatihan untuk mencapai keterampilan. • Semua jawaban pada setiap pertanyaan yang diisikan pada Buku Kerja. • Petunjuk bagi pelatih untuk menilai setiap kegiatan praktik. • Catatan pencapaian keterampilan peserta pelatihan. 1.2.3. Pelaksanaan Modul Pada pelatihan klasikal, pelatih akan : • Menyediakan Buku Informasi yang dapat digunakan peserta pelatihan sebagai sumber pelatihan. • Menyediakan salinan Buku Kerja kepada setiap peserta pelatihan. • Menggunakan Buku Informasi sebagai sumber utama dalam penyelenggaraan pelatihan. • Memastikan setiap peserta pelatihan memberikan jawaban / tanggapan dan menuliskan hasil tugas praktiknya pada Buku Kerja. Pada Pelatihan individual / mandiri, peserta pelatihan akan : • Menggunakan Buku Informasi sebagai sumber utama pelatihan. • Menyelesaikan setiap kegiatan yang terdapat pada buku Kerja. • Memberikan jawaban pada Buku Kerja. • Mengisikan hasil tugas praktik pada Buku Kerja. • Memiliki tanggapan-tanggapan dan hasil penilaian oleh pelatih. 1.3 Pengakuan Kompetensi Terkini (RCC) • Apakah Pengakuan Kompetensi Terkini (Recognition of Current Competency). Jika Anda telah memiliki pengetahuan dan keterampilan yang diperlukan untuk elemen unit kompetensi tertentu, Anda dapat mengajukan pengakuan kompetensi terkini (RCC). Berarti Anda tidak akan dipersyaratkan untuk belajar kembali. • Anda mungkin sudah memiliki pengetahuan dan keterampilan, karena Anda telah : a. Bekerja dalam suatu pekerjaan yang memerlukan suatu pengetahuan dan keterampilan yang sama atau b. Berpartisipasi dalam pelatihan yang mempelajari kompetensi yang sama atau c. Mempunyai pengalaman lainnya yang mengajarkan pengetahuan dan keterampilan yang sama. 1.4 Pengertian-pengertian Istilah Profesi Profesi adalah suatu bidang pekerjaan yang menuntut sikap, pengetahuan serta keterampilan/keahlian kerja tertentu yang diperoleh dari proses pendidikan, pelatihan serta pengalaman kerja atau penguasaan sekumpulan kompetensi tertentu yang dituntut oleh suatu pekerjaan/jabatan. Standardisasi Standardisasi adalah proses merumuskan, menetapkan serta menerapkan suatu standar tertentu. Penilaian / Uji Kompetensi Penilaian atau Uji Kompetensi adalah proses pengumpulan bukti melalui perencanaan, pelaksanaan dan peninjauan ulang (review) penilaian serta keputusan mengenai apakah kompetensi sudah tercapai dengan membandingkan bukti-bukti yang dikumpulkan terhadap standar yang dipersyaratkan. Pelatihan Pelatihan adalah proses pembelajaran yang dilaksanakan untuk mencapai suatu kompetensi tertentu dimana materi, metode dan fasilitas pelatihan serta lingkungan belajar yang ada terfokus kepada pencapaian unjuk kerja pada kompetensi yang dipelajari. Kompetensi Kompetensi adalah kemampuan seseorang untuk menunjukkan aspek sikap, pengetahuan dan keterampilan serta penerapan dari ketiga aspek tersebut ditempat kerja untuk mwncapai unjuk kerja yang ditetapkan. Standar Kompetensi Standar kompetensi adalah standar yang ditampilkan dalam istilah-istilah hasil serta memiliki format standar yang terdiri dari judul unit, deskripsi unit, elemen kompetensi, kriteria unjuk kerja, ruang lingkup serta pedoman bukti. Sertifikat Kompetensi Adalah pengakuan tertulis atas penguasaan suatu kompetensi tertentu kepada seseorang yang dinyatakan kompeten yang diberikan oleh Lembaga Sertifikasi Profesi. Sertifikasi Kompetensi Adalah proses penerbitan sertifikat kompetensi melalui proses penilaian / uji kompetensi. BAB II STANDAR KOMPETENSI 2.1. Peta Paket Pelatihan Modul yang sedang Anda pelajari ini adalah untuk mencapai satu unit kompetensi, yang termasuk dalam satu paket pelatihan, yang terdiri atas unit-unit kompetensi berikut: TIK.JK04.004.01 Memonitor dan mengadministrasi keamanan Sistem TIK.JK04.017.01 Menginstalasi dan mengkonfigurasi firewall pada server 2.2. Pengertian Unit Standar Kompetensi Apakah Standar Kompetensi? Setiap Standar Kompetensi menentukan : a. Pengetahuan dan keterampilan yang diperlukan untuk mencapai kompetensi. b. Standar yang diperlukan untuk mendemonstrasikan kompetensi. c. Kondisi dimana kompetensi dicapai. Apa yang akan Anda pelajari dari Unit Kompetensi ini? Anda akan diajarkan untuk menginstalasi dan mengkonfigurasi Firewall pada Server. Berapa lama Unit Kompetensi ini dapat diselesaikan? Pada sistem pelatihan berdasarkan kompetensi, fokusnya ada pada pencapaian kompetensi, bukan pada lamanya waktu. Namun diharapkan pelatihan ini dapat dilaksanakan dalam jangka waktu tiga sampai lima hari. Pelatihan ini ditujukan bagi semua user terutama yang tugasnya berkaitan dengan jaringan seperti staff support dan staff admin jaringan. Berapa banyak/kesempatan yang Anda miliki untuk mencapai kompetensi? Jika Anda belum mencapai kompetensi pada usaha/kesempatan pertama, Pelatih Anda akan mengatur rencana pelatihan dengan Anda. Rencana ini akan memberikan Anda kesempatan kembali untuk meningkatkan level kompetensi Anda sesuai dengan level yang diperlukan. Jumlah maksimum usaha/kesempatan yang disarankan adalah 3 (tiga) kali. 2.3. Unit Kompetensi yang Dipelajari Dalam sistem pelatihan, Standar Kompetensi diharapkan menjadi panduan bagi peserta pelatihan untuk dapat : • mengidentifikasikan apa yang harus dikerjakan peserta pelatihan. • memeriksa kemajuan peserta pelatihan. • menyakinkan bahwa semua elemen (sub-kompetensi) dan criteria unjuk kerja telah dimasukkan dalam pelatihan dan penilaian. JUDUL UNIT : Menginstal Dan Mengkonfigurasi Firewall Pada Server KODE UNIT : TIK.JK04.017.01 DESKRIPSI UNIT : Unit ini menjelaskan kompetensi yang berkaitan dengan kegiatan membangun suatu firewall yang berfungsi membatasi akses ke jaringan komputer internal, agar keamanan data dapat terjaga ELEMEN KOMPETENSI KRITERIA UNJUK KERJA 01 Menentukan kebijakan keamanan jaringan 1.1 Kebijakan yang fleksibel untuk pengaksesan Internet, administrasi web, dan layanan elektronik umum lainnya ditentukan. 1.2 Kebijakan pengaksesan layanan yang menyediakan keseimbangan antara melindungi jaringan dengan ketersediaan akses bagi user ditentukan. 1.3 Kebijakan perancangan firewall ditentukan mengijinkan atau menolak penggunaan suatu layanan. 1.4 Kebijakan terhadap pengaksesan informasi ditentukan (membedakan penanganan terhadap pengakses yang berasal dari luar dengan pengakses dari dalam jaringan). 1.5 Kebijakan dial in dan dial out ditentukan (memaksa pengakses dari luar untuk melalui proses otentifikasi (advance authentication) dan mencegah penggunaan perangkat yang belum disetujui). 1.6 Kebijakan penyaringan paket (packet filtering) diterapkan. 02 Mengidentifikasi kebutuhan pembangunan firewall 2.1 Kebutuhan secara menyeluruh diidentifikasi. 2.2 High level risk assesment dilakukan. 2.3 Perangkat keras yang diperlukan ditentukan. 03 Memasang firewall 3.1 Perangkat lunak yang diperlukan (NOS, utility dan sebagainya) diinstal. 3.2 Mesin dihubungkan ke jaringan lalu dikonfigurasi. 3.3 Pengujian dilakukan. 3.4 Level keamanan ditentukan. 3.5 Proxy server di-setup dan dikonfigurasi. 04 Membuat dokumentasi 4.1 Konfigurasi firewall dicatat. 4.2 Hasil pengujian dicatat. BATASAN VARIABEL 1. Unit ini berlaku untuk seluruh sektor teknologi informasi dan komunikasi. 2. Dalam melaksanakan unit kompetensi ini didukung dengan tersedianya: Sistem Operasi Peralatan Perangkat keras dapat berupa sistem komputer, sistem jaringan, router, gateway, dsb PANDUAN PENILAIAN 1. Pengetahuan dan keterampilan penunjang Untuk mendemontrasikan kompetensi, memerlukan bukti keterampilan dan pengetahuan di bidang berikut ini : 1.1 Pengetahuan dasar 1.1.1 Mengenai arsitektur jaringan 1.1.2 Mengenai protokol TCP/IP dan referensi OSI 1.1.3 Mengenai Keamanan sistem jaringan dari virus, spyware, hack, dsb 1.2 Keterampilan dasar 1.2.1 Keahlian menggunakan Sistem Operasi 1.2.2 Kemampuan mengoperasikan perangkat keras dan perangkat lunak dalam sistem jaringan 1.2.3 Kemampuan menggunakan tools jaringan 2. Konteks penilaian Kompetensi harus diujikan di tempat kerja atau di tempat lain secara praktek dengan kondisi kerja sesuai dengan keadaan normal. 3. Aspek penting penilaian Aspek yang harus diperhatikan : 3.1 Kemampuan untuk membangun dan mengkonfigurasikan firewall. 3.2 Kemampuan untuk melakukan pengujian firewall berdasarkan kebutuhan. 4. Kaitan dengan unit-unit lainnya 4.1 Unit ini didukung oleh pengetahuan dan keterampilan dalam unit kompetensi yang berkaitan dengan: 4.1.1 TIK.JK04.004.01 Memonitor dan mengadministrasi keamanan sistem 4.2 Pengembangan pelatihan untuk memenuhi persyaratan dalam unit ini perlu dilakukan dengan hati-hati. Untuk pelatihan pra-kejuruan umum, institusi harus menyediakan pelatihan yang mempertimbangkan serangkaian konteks industri seutuhnya tanpa bias terhadap sektor tertentu. Batasan variabel akan membantu dalam hal ini. Untuk sektor tertentu/ khusus, pelatihan harus disesuaikan agar dapat memenuhi kebutuhan sektor tersebut. Kompetensi Kunci NO KOMPETENSI KUNCI DALAM UNIT INI TINGKAT 1 Mengumpulkan, mengorganisir dan menganalisa informasi 3 2 Mengkomunikasikan ide-ide dan informasi 2 3 Merencanakan dan mengorganisir aktivitas-aktivitas 2 4 Bekerja dengan orang lain dan kelompok 3 5 Menggunakan ide-ide dan teknik matematika 1 6 Memecahkan masalah 2 7 Menggunakan teknologi 2 BAB III STRATEGI DAN METODE PELATIHAN 3.1. Strategi Pelatihan Belajar dalam suatu sistem Berdasarkan Kompetensi berbeda dengan yang sedang “diajarkan” di kelas oleh Pelatih. Pada sistem ini Anda akan bertanggung jawab terhadap belajar Anda sendiri, artinya bahwa Anda perlu merencanakan belajar Anda dengan Pelatih dan kemudian melaksanakannya dengan tekun sesuai dengan rencana yang telah dibuat. Persiapan/perencanaan a. Membaca bahan/materi yang telah diidentifikasi dalam setiap tahap belajar dengan tujuan mendapatkan tinjauan umum mengenai isi proses belajar Anda. b. Membuat catatan terhadap apa yang telah dibaca. c. Memikirkan bagaimana pengetahuan baru yang diperoleh berhubungan dengan pengetahuan dan pengalaman yang telah Anda miliki. d. Merencanakan aplikasi praktik pengetahuan dan keterampilan Anda. Permulaan dari proses pembelajaran a. Mencoba mengerjakan seluruh pertanyaan dan tugas praktik yang terdapat pada tahap belajar. b. Merevisi dan meninjau materi belajar agar dapat menggabungkan pengetahuan Anda. Pengamatan terhadap tugas praktik a. Mengamati keterampilan praktik yang didemonstrasikan oleh Pelatih atau orang yang telah berpengalaman lainnya. b. Mengajukan pertanyaan kepada Pelatih tentang konsep sulit yang Anda temukan. Implementasi a. Menerapkan pelatihan kerja yang aman. b. Mengamati indicator kemajuan personal melalui kegiatan praktik. c. Mempraktikkan keterampilan baru yang telah Anda peroleh. Penilaian Melaksanakan tugas penilaian untuk penyelesaian belajar Anda. 3.2. Metode Pelatihan Terdapat tiga prinsip metode belajar yang dapat digunakan. Dalam beberapa kasus, kombinasi metode belajar mungkin dapat digunakan. Belajar secara mandiri Belajar secara mandiri membolehkan Anda untuk belajar secara individual, sesuai dengan kecepatan belajarnya masing-masing. Meskipun proses belajar dilaksanakan secara bebas, Anda disarankan untuk menemui Pelatih setiap saat untuk mengkonfirmasikan kemajuan dan mengatasi kesulitan belajar. Belajar Berkelompok Belajar berkelompok memungkinkan peserta untuk dating bersama secara teratur dan berpartisipasi dalam sesi belajar berkelompok. Walaupun proses belajar memiliki prinsip sesuai dengan kecepatan belajar masing-masing, sesi kelompok memberikan interaksi antar peserta, Pelatih dan pakar/ahli dari tempat kerja. Belajar terstruktur Belajar terstruktur meliputi sesi pertemuan kelas secara formal yang dilaksanakan oleh Pelatih atau ahli lainnya. Sesi belajar ini umumnya mencakup topik tertentu. BAB IV MATERI UNIT KOMPETENSI MENGINSTALASI DAN MENGKONFIGURASI FIREWALL PADA SERVER Tujuan Instruksional Umum Siswa mampu menceritakan dan menjelaskan proses instalasi Firewall pada Server Siswa mampu melakukan instalasi dan konfigurasi Firewall pada server Tujuan Instruksional Khusus Siswa mampu menjelaskan kebutuhan awal dalam menginstalasi firewall Siswa mampu menjelaskan kebutuhan perangkat keras Siswa mampu menjelaskan kebutuhan perangkat lunak Siswa mampu menjelaskan bagaimana prosedur instalasi Network Operating System Siswa mampu menjelaskan bagaimana prosedur instalasi paket program firewall Siswa mampu menjelaskan bagaimana mengkonfigurasi firewall Siswa mampu menjelaskan bagaimana kebijakan atau policy yang digunakan pada Firewall Siswa mampu melakukan testing koneksi melalui firewall 4.1. Menentukan kebijakan keamanan jaringan Sebuah jaringan memerlukan pengamanan untuk melindungi aset dan informasi yang ada dari serangan hackers. Untuk itu perlu adanya kebijakan keamanan jaringan yang cukup komprehensif. Dalam suatu jaringan komputer yang terkoneksi ke Internet, server adalah sebuah komputer yang menyediakan service atau layanan aplikasi Internet. Untuk dapat menjalankan aplikasi layanan Internet (Internet service) tersebut maka dibutuhkan perangkat keras yang disesuaikan dengan kebutuhan dan kapasitas yang sesuai. 4.1.1. Kebijakan yang fleksibel untuk pengaksesan Internet, administrasi web, dan layanan elektronik umum lainnya ditentukan. Sebuah jaringan LAN biasanya terhubung ke Internet. Agar supaya klien yang terhubung ke dalam jaringan tersebut dapat mengakses jaringan Internet, maka dibutuhkan kebijakan untuk mengijinkan atau menutup akses Internet tersebut. Di Internet terdapat berbagai aplikasi seperti HTTP, FTP, Telnet, E-Mail dan layanan elektronik umum lainnya. Sebuah firewall yang menjadi gateway harus dapat melayani kebutuhan klien untuk akses Internet tersebut, dan sepatutnya kebijakan tersebut dapat diatur secara fleksibel. Misalnya ketika sekelompok orang ingin melakukan chatting menggunakan Instant Messaging seperti Yahoo! Messenger, maka jika kebijakan di dalam jaringan sebelumnya menutup akses tersebut, maka layanan tersebut harus bisa dengan mudah untuk membuka atau menutup tanpa mengganggu layanan yang lain. Layanan yang biasanya diperlukan untuk akses Internet biasanya adalah: akses web, e-mail, instant messaging, dan FTP. 4.1.2. Kebijakan pengaksesan layanan yang menyediakan keseimbangan antara melindungi jaringan dengan ketersediaan akses bagi user ditentukan. Kebijakan akses tersebut harus dapat menyediakan keseimbangan dalam arti ketersediaan firewall ini harus dapat melindungi jaringan dari serangan hackers di lain pihak, kebutuhan akan akses harus dapat terpenuhi. Untuk itu perlu ditetapkan terlebih dulu siapa klien yang dapat mengakses layanan Internet dan siapa yang tidak bisa. Kebijakan ini juga harus dapat mengatur siapa dapat mengakses layanan apa. Selain itu kebijakan yang diterapkan di firewall ini juga dapat melindungi user lain di Internet agar jaringan kita tidak digunakan oleh orang-orang yang tidak bertanggung jawab dengan tujuan menyerang jaringan lain di Internet. 4.1.3. Kebijakan perancangan firewall ditentukan mengijinkan atau menolak penggunaan suatu layanan. Seperti telah dijelaskan di atas, sebelum kita menentukan kebijakan terhadap layanan akses yang dapat digunakan pada jaringan kita, diperlukan perancangan terlebih dulu terhadap aturan dan aplikasi yang digunakan. Perancangan yang baik akan membantu administrator dalam melakukan perawatan jaringan dan menentukan langkah-langkah yang diperlukan dalam pengambilan keputusan. Sebaliknya program yang dipasang juga harus dapat melakukan perubahan dengan cepat terhadap kebijakan di firewall yang telah ditetapkan. 4.1.4. Kebijakan terhadap pengaksesan informasi ditentukan (membedakan penanganan terhadap pengakses yang berasal dari luar dengan pengakses dari dalam jaringan). Internet adalah jaringan global yang dapat diakses dari mana pun juga. Demikian juga dengan jaringan kita, ketika jaringan kita terhubung ke Internet, maka jaringan kita dapat mengakses situs mana pun juga dan sebaliknya dapat diakses dari mana pun juga di jagad maya ini. Untuk itu perlu dibedakan perlakukan terhadap penanganan akses yang berasal dari luar dan dari dalam jaringan. Hal ini sekali lagi adalah untuk melindungi aset dan informasi yang terdapat dalam jaringan kita. 4.1.5. Kebijakan dial in dan dial out ditentukan (memaksa pengakses dari luar untuk melalui proses otentifikasi (advance authentication) dan mencegah penggunaan perangkat yang belum disetujui). Sudah sepatutnya setiap aset dan informasi yang terdapat dalam jaringan dilindungi oleh suatu proses otentifikasi yang cukup komprehensif. Hal ini adalah agar tidak setiap orang dapat masuk ke dalam jaringan kita sehingga aset terutama informasi yang berharga dapat dicuri, misalnya adalah password, database dan sebagainya. Di lain pihak, kita juga harus dapat menjaga agar user kita tidak memanfaatkan jaringan dalam kita untuk melakukan perbuatan yang melanggar hukum melalui Internet. 4.1.6. Kebijakan penyaringan paket (packet filtering) diterapkan. Setiap data yang mengalir melalui TCP/IP disebut sebagai paket. Setiap paket data tersebut dikenali melalui karakteristik yang unik sehingga melalui mekanisme tertentu kita bisa melakukan penyaringan paket (packet filtering) yang dapat diterapkan baik paket yang masuk maupun paket yang keluar melalui jaringan dalam kita. 4.2. Mengidentifikasi kebutuhan pembangunan firewall 4.2.1. Kebutuhan secara menyeluruh diidentifikasi. Untuk membangun sebuah jaringan yang memiliki pengamanan firewall, maka dibutuhkan perangkat keras yang digunakan sebagai server. Selain perangkat keras, sistem operasi harus di-instalasi agar jaringan dapat berfungsi dengan baik. Sistem operasi jaringan yang ada antara lain Windows Server 2000, Windows Server 2003, Linux dengan berbagai distribution nya seperi Fedora, Mandriva, Debian, Ubuntu dll, kemudian sistem Unix lain seperti FreeBSD dan Sun Solaris. Selanjutnya pada server tersebut diinstalasi paket program Firewall pada Server yang bisa berbasis Windows seperti WinGate dan Microsoft ISA Server atau pada Linux seperti Firestarter dan Shorewall. Adapun fungsi dari firewall tersebut secara umum adalah : o Melindungi server dari serangan hacker (jika dipasang di standalone server) o Membatasi layanan yang disediakan oleh server melalui jaringan Internet o Melindungi dari serangan Denial of Service (DoS) Selain terpasang di server, sebuah server juga dapat bertindak sebagai firewall atau gateway untuk sebuah jaringan lokal. Dengan demikian server memiliki fungsi sebagai pintu masuk yang dijaga secara aman untuk sebuah jaringan lokal dapat terkoneksi ke jaringan Internet. Untuk lebih jelasnya, berikut gambaran jaringan dimana Firewall bisa dipasang sebagai gateway, maupun dipasang di tiap-tiap server sebagai pengaman dalam melindungi service atau layanan yang disediakan. 4.2.2. High level risk assesment dilakukan. Pengujian terhadap keamanan jaringan juga harus memenuhi berbagai macam kriteria, termasuk sampai ke dalam high level risk atau tingkat ancaman paling tinggi. Sebuah firewall yang baik seharusnya dapat menahan serangan sampai tingkat yang paling tinggi, walaupun peran seorang administrator jaringan dan system administrator diperlukan untuk memantau kinerja dan kinerja sistem jaringan termasuk kinerja server yang dimiliki. Dengan memantau setiap aktifitas jaringan dari luar maupun dalam, kita bisa melihat pola serangan dan berbagai usaha untuk dapat masuk ke dalam jaringan kita. Pencatatan aktifitas dan pengetahuan mengenai pola serangan hackers dibutuhkan untuk dapat menentukan tindakan apa yang harus dilakukan ke dalam firewall tersebut. 4.2.3. Perangkat keras yang diperlukan ditentukan. Sebuah server adalah komputer yang memiliki kapasitas lebih besar dari workstation. Dari segi memory, hal ini untuk mendukung multiple task yang aktif pada saat yang bersamaan. Harddisk yang lebih besar juga dibutuhkan untuk menyimpan data. Server juga harus memiliki extra expansion slots pada system board nya untuk memasang beberapa device seperti printer dan beberapa NIC. Kelebihan lain dari sebuah server adalah kemampuan untuk memiliki beberapa CPU. Hal ini untuk dapat menangani dan merespon permintaan user yang cukup banyak. GambarServer Server dapat menjadi repositori dalam mengontrol perangkat keras yang akan di-share pada user seperti printer (print server) dan sistem file (file server), sehingga biaya pengadaan perangkat keras dapat dioptimalkan karena resources yang ada dapat di-share. Server aplikasi dapat berfungsi termasuk web server menggunakan HTTP, File Transfer Protocol (FTP), dan Domain Name System (DNS). Selain itu dapat digunakan sebagai Mail Server menggunakan protocol e-mail standard seperti Simple Mail Transfer Protocol (SMTP), Post Office Protocol 3 (POP3) dan Internet Messaging Access Protocol (IMAP). File sharing protocol termasuk Sun Microsystems Network File System (NFS) dan Microsoft Server Message Block (SMB). Saat ini, banyak vendor yang menyediakan jasa pembuatan server khusus yang dapat memenuhi kebutuhan user dan dengan mudah melakukan perawatan serta penambahan hardware baru. Vendor-vendor tersebut antara lain adalah sebagai berikut: DELL HP IBM SUN Microsystem Yang perlu diingat adalah spesifikasi dari server tersebut dapat memenuhi kebutuhan lalu lintas data dalam sebuah jaringan. Semakin banyak lalu lintas data yang mengalir dan diatur melalui server tersebut, semakin besar kapasitas atau spesifikasi dari server tersebut. Kemampuan prosesor yang tinggi dapat membantu dalam melayani permintaan layanan aplikasi atau service Internet. Berikut contoh spesifikasi yang dapat digunakan untuk sebuah Proxy Server: Processor Xeon 3 GHz (Single Core atau Multi Core) Harddisk SCSI 80 GB (lebih besar lebih baik) NIC FastEthernet atau Gigabit Ethernet (rata-rata memiliki 1 atau 2 NIC) 4.3. Memasang Firewall 4.3.1. Perangkat lunak yang diperlukan (NOS, utility dan sebagainya) diinstal. Sebagai Server, maka dibutuhkan Network Operating System (NOS) untuk dapat melayani aplikasi yang dibutuhkan oleh user. Dalam hal ini NOS berbeda dengan Operating System (OS) biasa yang digunakan oleh klien, misalnya Windows XP atau MacOS. NOS yang digunakan dalam jaringan bermacam-macam. Yang paling populer adalah Linux dan Microsoft Windows Server. Dalam modul ini, perangkat lunak yang digunakan lebih dititiberatkan kepada Linux. Berikut contoh beberapa NOS yang lazim digunakan untuk sebuah server Ada beberapa pertimbangan yang harus dimiliki oleh sebuah sistem operasi untuk server, yaitu: Security Yang berarti sistem operasi harus memiliki fitur keamanan untuk mencegah serangan atau penyalahgunaan pihak luar, misalnya memiliki fitur encryption dan user authentication Robustnes Yang berarti sistem operasi ini dapat menangani jumlah user dan lalu lintas data dari yang kecil sampai besar. Dalam hal ini sistem harus dapat bekerja secara berimbang (load balanced) dan secara redundant. Performance Yang artinya adalah sistem operasi harus dapat beroperasi 24 jam sehari 7 hari seminggu 365 hari setahun tanpa gangguan, bahkan dalam kondisi yang berat sekalipun. Scalability Yang artinya adalah, jika diperlukan penambahan kemampuan maka sistem operasi harus mampu melakukan upgrade hardware seperti prosesor, memori, hard disk. Demikian juga dapat menangani kondisi atau kebutuhan user yang semakin bertambah. Management Yang artinya adalah, sistem dapat diatur atau dikendalikan melalui fasilitas administrasi yang tersedia. Sistem dapat memberikan laporan kondisi secara realtime. Berikut ringkasan pertimbangan yang dibutuhkan dalam memilih sebuah Network Operating System : Jika menggunakan Microsoft Windows sebagai Network Operating System, maka ada beberapa kelebihan dan kelemahan sistem operasi server ini, antara lain sebagai berikut: Unggul dalam GUI (grafis) Lebih mudah untuk instalasi Implementasi untuk sistem keamanan harus terus dipantau dan diberi patch, sehingga sistem dapat terus up-to-date Lisensi Microsoft relatif mahal Sedangkan Linux juga memiliki kelebihan dan kelemahan untuk dijadikan sistem operasi server, antara lain sebagai berikut: Linux memiliki lisensi gratis Dukungan vendor aplikasi terhadap linux semakin meningkat Linux bersifat portabel, dapat berjalan di semua platform komputasi yang ada Linux relatif lebih aman dan stabil karena didukung adanya komunitas open source untuk hal ini. Pengembangan lebih lanjut membutuhkan kemampuan programming dari sistem administrator Sistem operasi yang digunakan adalah Ubuntu Linux. Pertimbangan menggunakan Linux Ubuntu adalah karena proses instalasi nya cukup mudah dan paket program yang cukup banyak di-mirror oleh server-server lokal di Indonesia. Ubuntu linux dapat di download di http://www.ubuntu.com atau di mirror server di Indonesia seperti: http://kambing.vlsm.org/ubuntu/ dan http://mirror.cbn.net.id/, pilih Ubuntu server yang terbaru misalnya: ubuntu-7.04-server-i386.iso Setelah mendapatkan ISO nya kita bisa burn ke dalam CD sebagai bootable CD sehingga dapat langsung diinstalasi ke dalam server. Langkah-langkah instalasi Ubuntu Server adalah: 1. Masukan CD Ubuntu Server, boot ulang dengan CD Drive di set untuk boot pertama kali di BIOS nya. Selanjutnya kita akan mendapatkan layar seperti ini Pilih install to the hard disk, karena dengan demikian kita akan mendapatkan fitur yang lebih lengkap daripada kita install a LAMP (Linux Apache MySQL PHP) server. 2. Pilih bahasa 3. Pilih lokasi 4. Pilih keyboard layout 5. Pada proses ini installasi akan mengecek CD instalasi, hardware, dan konfigurasi jaringan dgn DHCP jika menggunakan dynamic configuration dari ISP atau masukkan IP Address, Subnet Mask, DNS Server jika menggunakan static IP Address. 6. Masukan Hostname, misalnya proxy.acme.com 7. Partisi harddisk, untuk mudahnya kita akan buat satu partisi utama (/) dan partisi swap 8. Selanjutnya proses instalasi dari Ubuntu server akan berjalan dengan sendirinya. Untuk mendapatkan fitur yang lengkap dari Firewall Firestarter, maka dianjurkan untuk menginstalasi GUI pada Linux misalnya KDE atau GNOME. Sebagai catatan, Linux Ubuntu ini membutuhkan koneksi ke Internet untuk mendownload paket program yang dibutuhkan, namun sebagian besar paket program tersebut memang sudah termasuk dalam CD ISO yang didownload pertama kali. Di sisi server, NIC yang menghadap ke client diisi dengan IP Address lokal misalnya 192.168.1.1 dan Subnet Mask 255.255.255.0 dengan gateway dikosongkan. Sedangkan NIC yang menghadap ke Internet, IP Address diisi dengan IP public yang berasal dari ISP dan DNS yang berasal dari ISP pula. Sebelum melakukan proses instalasi dan konfigurasi, sebaiknya dipersiapkan terlebih dulu baik perangkat keras maupun piranti lunak yang dibutuhkan. Untuk perangkat keras server yang akan digunakan sudah disesuaikan dengan kebutuhan dengan spesifikasi minimal yang telah disebutkan di atas. Untuk jaringan lokal, komputer Server telah terhubung melalui kabel UTP yang terkoneksi di switch pada segmen server atau yang biasa disebut DMZ (DeMiliterized Zone). Untuk koneksi ke Internet sebaiknya dipilih koneksi yang dedicated seperti ADSL/VDSL atau Kabel modem dengan IP Address static. Ruangan yang digunakan untuk menyimpan atau menempatkan server sebaiknya berpendingin udara (AC) dengan kelembaban yang disesuaikan. Selain itu, server sebaiknya diletakkan di tempat yang aman, dan tidak mudah dijangkau oleh orang yang tidak memiliki hak atau mengerti tentang jaringan. Switch sebaiknya diletakkan dekat Server, bahkan jika mungkin dibuatkan rak agar rapi. Modem harus disimpan berdekatan dengan server dan jalur telepon. Untuk perangkat lunak firewall yang digunakan adalah Firestarter atau Shorewall. Perangkat lunak ini memungkinkan kita melihat berbagai usaha dari hackers untuk masuk ke sistem kita dari Internet. Dengan memasang firewall, kita bisa membatasi port atau aplikasi apa saja yang diijinkan masuk ke dalam sistem kita. Ubuntu sebenarnya memiliki program yang dinamakan iptables yang sangat berguna untuk membatasi hal ini, namun kita membutuhkan antar-muka (interface) untuk mengelola aturan-aturan atau policy yang sesuai buat jaringan kita. Masing-masing firewall di Linux ini memiliki kemampuan dan karakteristik tersendiri. Berikut fitur dari masing-masing perangkat lunak firewall yang digunakan. Fitur Firestarter: • Merupakan software Open Source, tersedia secara gratis • Antar-muka (interface) yang User friendly, mudah digunakan dan menggunakan antar muka grafis (GUI) • Menggunakan langkah-langkah yang mudah (wizard) untuk melakukan setting firewall pada waktu pertama instalasi • Cocok digunakan pada desktop, server atau sebagai gateway • Monitoring event secara real-time untuk setiap aktifitas di server dapat terlihat dengan jelas, misalnya menunjukkan aktifitas intrusion atau percobaan untuk masuk ke dalam sistem secara tidak terotorisasi (unauthorized intrussion attempts) • Memungkinkan terjadinya sharing konesi Internet, dan penggunaan DHCP secara optional • Kita dapat menentukan baik policy akses untuk inbound (masuk) maupun outbound (keluar) • Dapat menentukan daftar “hitam” dan “putih” (yang diijinkan dan tidak) untuk situs atau alamat IP di Internet • Dapat melihat event-event di firewall secara real-time • Dapat melihat koneksi jaringan yang sedang aktif, termasuk setiap lalu lintas data yang melalui server kita • Kemampuan untuk meningkatkan Linux kernel dalam menghadapi serangan misalnya flooding, broadcasting dan spoofing • Menyediakan fasilitas untuk tuning ICMP parameters guna menghentikan serangan Denial of Service (DoS) • Mendukung tuning ToS parameters guna meningkatkan layanan untuk user bisa terkoneksi ke server • Mendukung Linux Kernels 2.4 dan 2.6 • Menyediakan Translations atau terjemahan dalam berbagai bahasa (38 bahasa sejak November 2004) Di lain pihak Shoreline Firewall atau biasa disebut sebagai Shorewall adalah tool firewall yang menggunakan konfigurasi Netfilter (iptables). Kita menentukan kebutuhan firewall atau gateway menggunakan sebuah skrip atau file konfigurasi. Shorewall akan membaca konfigurasi tersebut dan dengan bantuan utiliti iptables, Shorewall melakukan konfigurasi terhadap Netfilter untuk menyesuaikan dengan rule atau policy yang telah didefinisikan. Berikut beberapa fitur yang ada pada Shorewall: • Menggunakan koneksi Netfilter untuk melakukan treking koneksi untuk sebuah paket filter. • Dapat digunakan sebagai aplikasi router/firewall/gateway o Mudah untuk dilakukan kustomisasi menggunakan file konfigurasi. o Penggunaan NIC tidak dibatasi. o Memungkinkan kita untuk membagi jaringan ke dalam zones dan dapat memberikan kontrol penuh atas zones tersebut. o Dapat menggunakan multiple interfaces (NIC lebih dari satu) per zone dan multiple zones per interface. o Mendukung nested dan overlapping zones. • Memiliki QuickStart Guides (HOWTOs) untuk membantu kita yang baru pertama kali melakukan set-up sebuah firewall • GUI tersedia dengan menggunakan Webmin versi 1.060 dan seterusnya (http://www.webmin.com) • Dokumentasi yang lengkap tersedia baik dalam bentuk Docbook XML dan HTML. • Dapat menggunakan manajemen pengalamatan yang flexibel atau routing misalnya, kita bisa menggunakan untuk: o Masquerading/SNAT. o Port Forwarding (DNAT). o One-to-one NAT. o Proxy ARP. o NETMAP (butuh kernel 2.6 kernel atau versi 2.4 yang telah dilakukan patched). o Dapat mendukung multiple ISP • Mendukung berbagai GNU/Linux Distributions. o RPM dan Debian packages tersedia. o Termasuk instalasi otomatis, upgrade, un-install untuk user yang tidak dapat menggunakan RPM atau Debian paket. • Media Access Control (MAC) Address Verification. • Traffic Accounting. • Bridge/Firewall support Instalasi Firestarter pada Server Untuk melakukan instalasi Firestarter dengan Ubuntu, maka kita harus menambah “universe” repositori pada /etc/apt/source.list atau di synaptic package manager pada menu Settings-> Repositories. Berikut langkah-langkah dalam instalasi Firestarter: 1. Dengan synaptic package manager kita akan melakukan instalasi dengan terlebih dulu mendownload program Firestarter. Berikut gambar dari synaptic package manager dengan menggunakan GUI KDE. 2. Klik pada tombol search dan ketik Firestarter. 3. Klik Firestarter dan tekan apply, yang mana akan otomatis menginstall aplikasi ini, kemudian sistem akan melakukan reboot. 4. Setelah melakukan reboot maka kita bisa langsung menjalankan aplikasi dengan menjalankan System/Administration/Firestarter. 5. Jika Firestarter baru pertama kali dijalankan, maka akan mulai dengan Wizard 6. Klik tombol Forward dan lanjutkan proses instalasi. 7. Langkah pertama dalam proses instalasi adalah network interface mana yang akan kita lakukan konfigurasi. Jika kita menggunakan Ethernet card, dan memiliki wireless card atau broadband modem terkoneksi langsung ke server, maka pilihannya adalah eth0 atau wlan0. Namun jika kita menggunakan modem, biasanya kita pilih ppp0. Setelah itu kita lanjutkan proses instalasi dengan menekan tombol Forward. 8. Klik tanda check di IP address is assigned via DHCP box, jika kita ingin menggunakan DHCP, selain itu kita gunakan IP static. Lanjutkan ke proses berikutnya dengan menekan tombol Forward. 9. Berikutnya kita akan diberikan pilihan apakah server kita ingin dijadikan sebagai Internet sharing server. Dengan demikian kita membuat server ini menjadi Internet router. Jika tidak, kita bisa melewatkan pilihan ini. 10. Selanjutnya proses instalasi telah selesai. Kita bisa menyimpan konfigurasi ini ke dalam file konfigurasi Firestarter. Instalasi Shorewall pada Server Shorewall adalah suatu tool untuk menampung beberapa perintah dalam Netfilter untuk mengatur lalu lintas data pada server ini. Shorewall memang agak rumit dalam konfigurasi nya namun memiliki kemampuan dan fitur yang lebih banyak dari program firewall lain di Linux. Shorewall sendiri bukan program daemon/service karena hanya menyuruh iptables untuk menjalankan rule atau policynya. Seperti dijelaskan di atas, Shorewall bisa dijalankan pada sebuah server yang memiliki IP tunggal, dua IP atau bahkan tiga IP untuk menangani sebuah jaringan misalnya sebagai Firewall untuk DMZ (Server Farm, Internal network dan Internet). Pada kali ini kita akan bahas Shorewall pada IP tunggal karena digunakan di server. Untuk melakukan instalasi Shorewall ini, kita bisa menggunakan perintah: #apt-get install Shorewall Shorewall-doc Pada Ubuntu Linux perintah ini sekaligus akan menginstalasi program Shorewall dan program-program lain yang mendukungnya (dependencies). Shorewall memiliki file konfigurasi yang terletak pada /etc/Shorewall/Shorewall.conf. Secara default program ini tidak dijalankan, sehingga untuk mengaktifkannya, kita harus mengubah parameter yang terletak pada file /etc/default/Shorewall di bagian startup menjadi “1” # prevent startup with default configuration # set the below variable to 1 in order to allow Shorewall to start startup=0 -> 1 Shorewall melihat network yang aktif sebagai suatu zones atau area. Pada server dengan satu interface, konfigurasi nya memiliki dua zones yaitu: #ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS fw firewall net ipv4 Shorewall zones terletak pada file /etc/Shorewall/zones. Shorewall melihat parameter firewall (fw) sebagai satu area atau zone tersendiri. Aturan atau rule mengenai lalu lintas (traffic) apa yang boleh dan yang tidak boleh melalui interface, diekspresikan dalam istilah zones. • Kita bisa membuat policy default untuk koneksi dari satu zone ke zone yang lain pada file /etc/Shorewall/policy. • Kita bisa mendefinisikan pengecualian terhadap policy tersebut dalam file /etc/Shorewall/rules. 4.3.2. Mesin dihubungkan ke jaringan lalu dikonfigurasi. Setelah NOS terinstalasi dengan baik, maka mesin firewall yang akan kita gunakan dihubungkan ke dalam jaringan. Proses selanjutnya adalah konfigurasi server agar dapat digunakan sebagai firewall. Konfigurasi Firestarter pada server Pada dasarnya, proses firewall service sudah berjalan dan selanjutnya adalah kita menambahkan policy untuk inbound dan outbound. Jika kita ingin mengijinkan komputer lain untuk bisa mengakses server kita pada protokol SMTP misalnya, maka kita set inbound traffic agar bisa menerima port 25, sebaliknya jika kita ingin mengijinkan semua traffic boleh lewat dari server ini maka outbound policy yang kita set. Berikut contoh tampilan konfigurasi dari Firestarter. Konfigurasi Shorewall pada Server Untuk setiap permintaan koneksi yang masuk ke firewall, akan diperiksa terlebih dulu dalam /etc/Shorewall/rules. Jika tidak ada rule/aturan yang cocok dengan permintaan koneksi tersebut, maka policy pertama pada /etc/Shorewall/policy yang akan dijalankan. Jika sebuah perintah umum didefinisikan di /usr/share/Shorewall/actions atau /usr/share/Shorewall/actions.std, maka perintah itu dulu yang dijalankan. Tujuan dari perintah umum ini adalah: • Secara silent akan men-drop semua traffic yang membebani log kita – misalnya broadcast • Jika traffic tersebut memang benar, maka akan diijinkan oleh firewall – misalnya ICMP fragmentation File /etc/Shorewall/policy yang digunakan oleh server dengan satu interface, dapat menggunakan: #SOURCE ZONE DESTINATION ZONE POLICY LOG LEVEL LIMIT:BURST $FW net ACCEPT net all DROP info all all REJECT info Policy di atas memiliki akan melakukan: 1. mengijinkan semua koneksi dari firewall ke Internet 2. drop (ignore) semua koneksi dari Internet ke firewall 3. selebihnya reject (tolak) semua koneksi Shorewall memiliki serangkaian macro yang dapat digunakan untuk mengijinkan (allow) atau menolak (deny) suatu koneksi. Kita bisa menemukan daftar macro tersebut dengan perintah ls /usr/share/Shorewall/macro.*. Jika kita ingin mengaktifkan koneksi dari internet menuju firewall dan terdapat macro yang sesuai dalam /etc/Shorewall/macro.*, maka format umum yang digunakan di /etc/Shorewall/rules adalah: #ACTION SOURCE DESTINATION PROTO DEST PORT(S) /ACCEPT net $FW Contoh konfigurasi: Kita ingin menjalankan web server dan IMAP server menggunakan firewall system di /etc/Shorewall/rules #ACTION SOURCE DESTINATION PROTO DEST PORT(S) Web/ACCEPT net $FW IMAP/ACCEPT net $FW Kita juga bisa menggunakan perintah umum pada /etc/Shorewall/rules dengan menggunakan: #ACTION SOURCE DESTINATION PROTO DEST PORT(S) ACCEPT net $FW Sehingga contoh di atas dapat berbentuk: #ACTION SOURCE DESTINATION PROTO DEST PORT(S) ACCEPT net $FW tcp 80 ACCEPT net $FW tcp 143 Untuk mengaktifkan dan menonaktifkan Shorewall dalam Ubuntu Linux dapat menggunakan perintah: /etc/init.d/Shorewall start /etc/init.d/Shorewall stop Namun kita harus pastikan bahwa konfigurasi pada /etc/Shorewall/Shorewall.conf memiliki STARTUP_ENABLED=Yes dan /etc/default/Shorewall sudah diganti menjadi STARTUP=1 4.3.3 Pengujian dilakukan Pengujian Firestarter pada Server Pertama, kita akan melihat status dari firewall yang berjalan di server kita. Kita bisa menekan bagian status dan melihat informasi yang ada di sana. Di bagian status terdapat tiga status firewall yaitu: • Active, yang berarti firewall berjalan dengan baik • Disabled, yang berarti firewall sedang tidak aktif (stop) • Locked, yang berarti status firewall sedang lock-down, atau tidak ada satu pun aktifitas yang boleh melewati firewall. Gambar Status Selain itu pada bagian Network status terdapat lima informasi yang dapat kita lihat yaitu: • Device, yaitu interface yang digunakan • Type, yaitu fungsi interface itu sebagai koneksi ke jaringan • Received, yaitu jumlah data yang diterima • Sent, yaitu jumlah data yang terkirim • Activity, yaitu bandwidth yang digunakan. Pada bagian Active connections, kita bisa melihat aktifitas network yang melalui firewall, di bagian ini terdapat lima bagian yang dapat kita lihat yaitu: • Source, yaitu alamat asal koneksi • Destination, yaitu alamat tujuan koneksi • Port, yaitu TCP port yang digunakan • Service, yaitu layanan yang menggunakan port TCP tersebut • Program, yaitu nama program yang digunakan user untuk koneksi tersebut. Informasi tersebut dibedakan menjadi warna-warna yaitu: • Hitam, yang berarti koneksi yang sedang aktif • Abu-abu, yang berarti koneksi telah selesai Pada halaman events, memuat informasi mengenai history dari koneksi yang di-blok oleh firewall. Dari informasi ini kita bisa melakukan perubahan konfigurasi terhadap policy yang kita tentukan. Dengan kode warna, Firestarter dapat memberikan saran untuk tindakan yang harus kita ambil selanjutnya, warna tersebut adalah: • Hitam, biasanya ini adalah usaha dengan mencoba beberapa port di firewall kita dan ter-blok oleh firewall. Hal ini tidak perlu dikuatirkan. • Merah, ada usaha untuk masuk melalui port-port yang tidak lazim. Hal ini perlu kita waspadai, karena kemungkinan ini adalah usaha hackers untuk menyusup ke sistem kita. • Abu-abu, koneksi ini tidak berbahaya, biasanya berupa broadcasts. Ada beberapa bagian informasi yang dapat kita lihat yaitu: • Time, waktu terjadinya koneksi. • Direction, firewall menentukan dari arah mana koneksi berlangsung (inbound/outbound). • In, network device the connection came in through. • Out, network device yang menuju ke luar. • Port, port yang dituju. • Source, alamat IP atau host asal koneksi. • Destination, alamat IP atau host tujuan koneksi. • Length, panjang paket yang di blok. • ToS, Type of Service parameters yang digunakan oleh paket. • Protocol, the network protocol yang digunakan. • Service, nama service yang dituju Pada halaman policy, kita bisa membedakan menjadi dua macam koneksi yaitu inbound dan outbound. Pada inbound traffic policy, terdapat tiga bagian yang dapat kita edit yaitu: • Allow connections from host, yang bisa kita isi dengan alamat host atau IP • Allow service, yaitu service apa yang kita ijinkan (port dan alamat host) • Forward service, akan digunakan kalau kita mengaktifkan internet connection sharing, misalnya kita akan ijinkan user yang share koneksi dengan kita bisa menggunakan service atau layanan tertentu misalnya bittorent. Pada outbound traffic policy, terdapat konfigurasi yang dapat kita gunakan untuk mengendalikan outgoing traffic dari server kita. Pertama, adalah permissive by default, blacklist traffic. Dengan pilihan ini kita menentukan situs mana saja yang tidak diperkenankan untuk dihubungi (block). Di sini kita menentukan daftar hitam (blacklist) dari server-server di luar (Internet) yaitu pada bagian Deny connections to host, dan host dari dalam (LAN) yaitu pada bagian Deny connections from LAN host. Server yang tidak diijinkan untuk dihubungi memiliki kriteria service dan port tertentu, misalnya pada contoh kita memblok (deny) service SMTP di port 25 untuk semua user. Jika kita menggunakan Restrictive by default, whitelist traffic, maka kita menggunakan inbound policy saja, dan semua outgoing traffic akan di blok, kecuali kita menentukan situs mana yang kita ijinkan atau daftar putih (whitelist). Pengujian Shorewall pada Server Sebelum mengaktifkan Shorewall, pastikan bahwa file /etc/default/Shorewall sudah diedit untuk parameter startup=1. Kemudian kita bisa mengaktifkan Shorewall dengan perintah /etc/init.d/Shorewall start. Pada dasarnya konfigurasi file Shorewall di Ubuntu Linux memiliki default configuration di /etc/Shorewall. File konfigurasi itu terdiri dari /etc/Shorewall/zones dan /etc/Shorewall/policy Untuk zones sudah dijelaskan di atas bahwa jika kita memasang firewall pada server yang memiliki single interface (NIC), maka kita hanya mendefinisikan dua zones saja yaitu net yang mewakili network luar (Internet) dan fw yaitu server firewall itu sendiri. 4.3.3. Level Keamanan Ditentukan Kita ingin agar hanya service yang berjalan saja yang diijinkan untuk diakses oleh network, misalnya kita memiliki mail server, dan service yang berjalan adalah SMTP, IMAP, POP dan HTTP yang diijinkan, maka kita bisa membuat rule : #ACTION SOURCE DESTINATION PROTO DEST PORT(S) Web/ACCEPT net $FW IMAP/ACCEPT net $FW POP/ACCEPT net $FW HTTP/ACCEPT net $FW Ketika kita mengaktifkan Shorewall maka hanya aplikasi Web, IMAP, POP dan HTTP yang diijinkan oleh firewall, selebihnya akan di drop dan reject sesuai dengan default policy yang ada di /etc/Shorewall/policy. Kita bisa mencoba nya dengan menggunakan telnet atau SSH ke server tersebut. Untuk konfigurasi dengan GUI, Shorewall menggunakan fasilitas dari webmin (http://www.webmin.com/download/modules/Shorewall.wbm.gz). 4.3.4. Proxy server di-setup dan dikonfigurasi Untuk mengkonfigurasi Proxy atau Cache Server ini maka berikut langkah-langkah yang harus dilakukan dengan mengedit file konfigurasi squid. HTTP Port : Merupakan port yang digunakan untuk menjalankan Squid http_port 3128 Untuk konfigurasi port yang dibuka pada konfigurasi squid, minimal rekomendasi adalah: #Recommended minimum configuration: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT 4.4. Membuat Dokumentasi 4.4.1 Konfigurasi Firewall dicatat Setelah melakukan konfigurasi baik menggunakan Firestarter maupun Shorewall, jangan lupa untuk mencatat dan menyimpan konfigurasi tersebut, untuk Shorewall kita bisa melakukan copy file konfigurasi sebagai backup, yaitu semua file yang terdapat di /etc/Shorewall/. Sedangkan untuk konfigurasi Firestarter, kita bisa menyimpan atau melakukan backup, dengan mencatat policy yang kita gunakan 4.4.2. Hasil Pengujian Dicatat Untuk melengkapi dokumentasi maka hasil pengujian baik pengujian menggunakan Firestarter, khususnya pada bagian status dan events, maupun hasil pengujian menggunakan Shorewall terhadap akses ke server yang diperbolehkan atau yang tidak diperbolehkan dicatat dalam buku kerja. Hasil pencatatan ini dimaksudkan untuk dokumentasi jika terjadi perubahan atau kesalahan dalam konfigurasi akibat penambahan dan edit dari konfigurasi yang sudah ada. BAB V SUMBER-SUMBER YANG DIPERLUKAN UNTUK PENCAPAIAN KOMPETENSI 5.1. Sumber Daya Manusia Pelatih Pelatih Anda dipilih karena dia telah berpengalaman. Peran Pelatih adalah untuk : a. Membantu Anda untuk merencanakan proses belajar. b. Membimbing Anda melalui tugas-tugas pelatihan yang dijelaskan dalam tahap belajar. c. Membantu Anda untuk memahami konsep dan praktik baru dan untuk menjawab pertanyaan Anda mengenai proses belajar Anda. d. Membantu Anda untuk menentukan dan mengakses sumber tambahan lain yang Anda perlukan untuk belajar Anda. e. Mengorganisir kegiatan belajar kelompok jika diperlukan. f. Merencanakan seorang ahli dari tempat kerja untuk membantu jika diperlukan. Penilai Penilai Anda melaksanakan program pelatihan terstruktur untuk penilaian di tempat kerja. Penilai akan : a. Melaksanakan penilaian apabila Anda telah siap dan merencanakan proses belajar dan penilaian selanjutnya dengan Anda. b. Menjelaskan kepada Anda mengenai bagian yang perlu untuk diperbaiki dan merundingkan rencana pelatihan selanjutnya dengan Anda. c. Mencatat pencapaian / perolehan Anda. Teman kerja/sesama peserta pelatihan Teman kerja Anda/sesama peserta pelatihan juga merupakan sumber dukungan dan bantuan. Anda juga dapat mendiskusikan proses belajar dengan mereka. Pendekatan ini akan menjadi suatu yang berharga dalam membangun semangat tim dalam lingkungan belajar/kerja Anda dan dapat meningkatkan pengalaman belajar Anda. 5.2. Sumber-sumber Perpustakaan Pengertian sumber-sumber adalah material yang menjadi pendukung proses pembelajaran ketika peserta pelatihan sedang menggunakan Pedoman Belajar ini. Sumber-sumber tersebut dapat meliputi : 1. Buku referensi dari perusahan 2. Lembar kerja 3. Gambar 4. Contoh tugas kerja 5. Rekaman dalam bentuk kaset, video, film dan lain-lain. Ada beberapa sumber yang disebutkan dalam pedoman belajar ini untuk membantu peserta pelatihan mencapai unjuk kerja yang tercakup pada suatu unit kompetensi. Prinsip-prinsip dalam CBT mendorong kefleksibilitasan dari penggunaan sumber-sumber yang terbaik dalam suatu unit kompetensi tertentu, dengan mengijinkan peserta untuk menggunakan sumber-sumber alternative lain yang lebih baik atau jika ternyata sumber-sumber yang direkomendasikan dalam pedoman belajar ini tidak tersedia/tidak ada. 5.3. Daftar Peralatan/Mesin dan Bahan NO UNIT KOMPETENSI KODE UNIT DAFTAR PERALATAN DAFTAR BAHAN KETERANGAN 1. Menginstalasi dan mengkonfigurasi firewall pada server TIK.JK04.017.01 • Unit PC atau Server dengan CD Drive • CD Installer Linux Ubuntu • PC atau Server • Keyboard dan Mouse • CDROM • Koneksi Internet minimal 64Kbps • Daftar Pustaka o Website  http://www.ubuntu.com  http://www.shorewall.net  http://www.fs-security.com  http://en.wikipedia.org o Buku  Sanjaya, Ridwan., MEMBANGUN JARINGAN KOMPUTER DENGAN LINUX, Elex Media Komputindo.  Fanuruddin, Rakhmat., Membangun Firewall dengan IPTables di Linux, Elex Media Komputindo. • Identifikasi kebutuhan jaringan Internet yang akan digunakan • Konfigurasi Internet dari ISP yang digunakan

Testimoni

artikel lainnya Menginstalasi Dan Mengkonfigurasi Firewall pada Server TIK.JK04.017.01

Friday 3 July 2015 | blog

  MODUL PELATIHAN BERBASIS KOMPETENSI SUB SEKTOR METODOLOGI PELATIHAN KERJA     MENGEVALUASI PELAKSANAAN PROGRAM PELATIHAN…

Tuesday 3 March 2015 | blog

MATERI PELATIHAN BERBASIS KOMPETENSI SEKTOR TELEMATIKA SUB SEKTOR JARINGAN KOMPUTER DAN SISTEM ADMINISTRASI     MENGINSTALASI…

Wednesday 11 February 2015 | blog

  MATERI PELATIHAN BERBASIS KOMPETENSI SEKTOR TELEMATIKA SUB SEKTOR COMPUTER TECHNICAL SUPPORT     MELAKUKAN INSTALASI,…

Tuesday 7 July 2015 | blog

Teknik Mengatasi Virus Komputer March 2, 2013 - Komputer - Tagged: Cara Mudah Mengatasi Virus Komputer,…