AIJ - Troubleshooting Firewall (BAB 4)(Kelas XII)
ВАВ 4
Troubleshooting Firewall
A. KOMPETENSI DASAR
1. Menganalisis permasalahan firewall
2. Memperbaiki konfigurasi firewall
Dalam membangun suatu firewall ada beberapa langkah penting yang dilakukan untuk memastikan firewall berjalan dengan baik. Langkah-langkah ini adalah:
a. Mengidenftifikasi bentuk jaringan yang dimiliki
Mengetahui bentuk jaringan yang dimiliki khususnya toplogi yang di gunakan serta protocol jaringan, akan memudahkan dalam mendesain sebuah firewall
b. Menentukan Policy atau kebijakan
Penentuan Kebijakan atau Policy merupakan hal yang harus di lakukan, baik atau buruknya sebuah firewall yang di bangun sangat di tentukan oleh policy/kebijakan yang di terapkan. Diantaranya:
c. Menentukan
apa saja yang perlu di layani. Artinya, apa saja yang akan dikenai policy
atau kebijakan yang akan dibuat
d. Menentukan individu
atau kelompok-kelompok yang akan dikenakan policy atau kebijakan tersebut
e. Menentukan layanan-layanan
yang di butuhkan oleh tiap tiap individu atau kelompok yang menggunakan jaringan.Berdasarkan setiap layanan yang digunakan oleh individu atau kelompok tersebut akan ditentukan bagaimana konfigurasi terbaik yang akan membuatnya semakin aman
f. Menerapkankan semua policy atau kebijakan tersebut
g. Menyiapkan Software atau Hardware yang akan digunakan
Baik itu operating system yang mendukung atau software-software khusus pendukung firewall seperti ipchains, atau iptables pada linux, dsb. Serta konfigurasi hardware yang akan mendukung firewall tersebut.
h. Melakukan test konfigurasi
Pengujian terhadap firewall yang telah selesai di bangun haruslah dilakukan, terutama untuk mengetahui hasil yang akan didapatkan, caranya dapat menggunakan tool tool yang biasa dilakukan untuk mengaudit seperti nmap.
Sistem pada paket filtering merupakan sistem yang digunakan untuk mengontrol keluar, masuknya paket dari antara host yang didalam dan host yang yang diluar tetapi sistem ini melakukannya secara selektif. Sistem ini dapat memberikan jalan atau menghalangi paket yang dikirimkan melewati router. Router ini menjadi filter dengan menganalisa bagian header dari setiap paket yang dikirimkan.
Karena bagian header dari paket ini berisikan informasi penting yaitu :
• IP source address.
• IP destination address.
• Protocol (dengan melihat apakah paket tersebut berbentuk TCP, UDP atau ICMP).
• Port sumber dari TCP atau UDP.
• Port tujuan dari TCP atau UDP.
• Tipe pesan dari ICMP.
• Ukuran dari paket.
Cara kerja sistem packet filtering ini adalah mengawasi secara individual dengan melihat melalui router, sedangkan router yang telah dimaksud adalah sebuah perangkar keras yang dapat berfungsi sebagai sebuah server karena alat ini harus membuat keputusan untuk merouting seluruh paket yang diterima. Alat ini juga harus menentukan seperti apakah pengiriman paket yang telah didapat itu kepada tujuan yang sebenarnya. Dalam hal ini router tersebut saling berkomunikasi dengan protokol-protokol untuk me-routing,
Pada saat paket data di alamatkan ke tujuan, komputer tujuan harus mengetahui yang harus dilakukan pada paket tersebut, protocol TCP/IP menggunakan salah satu dari 65,536 pengelamatan penomeran port. Port number inilah yang akan membedakan antara satu aplikasi dengan aplikasi lainnya atau satu protocol dengan protocol lainnya pada saat proses transmisi data antara sumber dan tujuan.
Untuk dapat melewatkan paket data dari sumber ke tujuan pada router terdapat protocol pengelamatan atau routing protocol yang saling mengupdate antara satu dengan yang lainya agar dapat melewatkan data sesuai dengan tujuannya. Di peralatan router layer 3 diperlukan konfigurasi khusus agar paket data yang masuk dan keluar dapat diatur, Access Control List (ACL) adalah pengelompokan paket berdasarkan kategori yang mengatur lalu lintas network. Dengan menggunakan ACL ini bisa dilakukan filtering dan blocking paket data yang yang masuk dan keluar dari network atau mengatur akses ke sumber daya di network
Pada implementasi firewall di router Mikrotik, pengaturan untuk packer filtering mengacu pada fitur yang tersedia pada Mikrotik. Packet filtering ini diwujudkan dalam filter rule yang dikonfigurasikan pada menu Firewall. Filter rule biasanya digunakan untuk melakukan kebijakan boleh atau tidaknya sebuah trafik ada dalam jaringan, identik dengan accept atau drop. Pada menu Firewall Filter Rules terdapat 3 macam chain yang tersedia. Chain tersebut antara lain adalah Forward, Input, Output. Adapun fungsi dari masing-masing chain tersebut adalah sebagai berikut:
• Forward : Digunakan untuk memproses trafik paket data yang hanya melewati router. Misalnya trafik dari jaringan public ke local atau sebaliknya dari jaringan local ke public, contoh kasus seperti pada saat melakukan browsing. Trafik laptop browsing ke internet dapat dimanage oleh firewall dengan menggunakan chain forward. • Input : Digunakan untuk memproses trafik paket data yang masuk ke dalam router melalui interface yang ada di router dan memiliki tujuan IP Address berupa ip yang terdapat pada router. Jenis trafik ini bisa berasal dari jaringan public maupun dari jaringan lokal dengan tujuan router itu sendiri. Contoh: Mengakses router menggunakan winbox, webfig, telnet baik dari Public maupun Local.
• Output : Digunakan untuk memproses trafik paket data yang keluar dari router. Dengan kata lain merupakan kebalikan dari 'Input'. Jadi trafik yang berasal dari dalam router itu sendiri dengan tujuan jaringan Public maupun jaringan Local. Misal dari new terminal winbox, ping ke ip google. Maka trafik ini bisa ditangkap dichain output.
Sedangkan filter rule yang bisa dilakukan untuk pengaturan NAT (Network Address Translation) adalah dst-nat dan src-nat yang mempunyai fungsi sendiri-sendiri. Pada menu Firewall \ NAT terdapat 2 macam opsi chain yang tersedia, yaitu dst-nat dan src-nat. Dan fungsi dari NAT sendiri adalah untuk melakukan pengubahan Source Address maupun Destination Address. Kemudian fungsi dari masing-masing chain tersebut adalah sebagai berikut:
• dstnat : Memiliki fungsi untuk mengubah destination address pada sebuah paket data. Biasa digunakan untuk membuat host dalam jaringan lokal dapat diakses dari luar jaringan (internet) dengan cara NAT akan mengganti alamat IP tujuan paket dengan alamat IP lokal. Jadi kesimpulan fungsi dari chain ini adalah untuk mengubah/mengganti IP Address tujuan pada sebuah paket data.
• srcnat_: Memiliki fungsi untuk mengubah source address dari sebuah paket data. Sebagai contoh kasus fungsi dari chain ini banyak digunakan ketika melakukan akses website dari jaringan LAN. Secara aturan untuk IP Address local tidak diperbolehkan untuk masuk ke jaringan WAN, maka diperlukan konfigurasi ‘srcnat' ini. Sehingga IP Address lokal akan disembunyikan dan diganti dengan IP Address public yang terpasang pada router.
Pada menu Firewall – Mangle terdapat 4 macam pilihan untuk chain, yaitu Forward, Input, Output, Prerouting, dan Postrouting. Mangle sendiri memiliki fungsi untuk menandai sebuah koneksi atau paket data, yang melewati route, masuk ke router, ataupun yang keluar dari router. Pada implementasinya Mangle sering dikombinasikan dengan fitur lain seperti Management Bandwith, Routing policy, dll. Adapun fungsi dari masing-masing chain yang ada pada mangle adalah sebagai berikut:
• Forward, Input, Output : Untuk penjelasan mengenai Forward, Input, dan Output sebenarnya tidak jauh berbeda dengan apa yang telah diuraikan pada Filter rul diatas. Namun pada Mangle, semua jenis trafik paket data forward, input, dan out bisa ditandai berdasarkan koneksi atau paket atau paket data.
• Prerouting : Merupakan sebuah koneksi yang akan masuk ke dalam router dan melewati router. Berbeda dengan input yang mana hanya akan menangkap trafik yang masuk ke router. Trafik yang melewat router dan trafik yang masuk kedalam router dapat ditangkap di chain prerouting.
• Postrouting : Kebalikan dari prerouting, postrouting merupakan koneksi yang akan keluar dari router, baik untuk trafik yang melewati router ataupun yang keluar dari router.
Sedangkan untuk opsi atau pilihan action dari setiap rule yang digunakan, perlu diperhatikan penggunaannya. Fungsi dari setiap pilihan action ini adalah:
• accept : Paket diterima. Paket jika sudah diterima tidak akan dilanjutkan pada Rule berikutnya. Sehingga jika ada dua buah rule, yang mana akses ke semua port pada Destination IP pada rule pertama telah di accept, apabila ada rule kedua dengan Destination IP yang diblock port tertentu, maka yang dibaca oleh Firewall rule adalah rule pertama, Firewall rule kedua tidak dilanjutkan.
• add-dst-to-address-list : Menambahkan destination address ke address list specified by address-list parameter.
• add-src-to-address-list : Menambahkan source address ke address list specified by address-list parameter. • drop : Menolak paket secara diam-diam. User tidak akan diberi tahu kalau paket tersebut ditolak oleh firewall.
• jump : Lompat ke rule chain yang spesifik dengan pendefinisian nilai baru pada parameter target jump. Jika dilihat pada chain hanya ada 3 rule flow standar yaitu input, forward dan flow. Dengan jump, dapat ditambahkan chain baru dengan nama sesuai keinginan, sehingga rule akan membaca dan melompati rule-rule lainnya yang tidak ada parameter tersebut. Sehingga hal ini akan menghemat resource CPU, terlebih lagi jika di dalam router terdapat puluhan bahkan ratusan firewall rule.
• log : Menambahkan pesan ke dalam log sistem berisikan data berikut : in-interface, out-interface, src-mac, protocol, src-ip:port->dstip:port dan panjang paket. Setelah packet selesai kemudian akan dilanjutkan ke rule berikutnya yang ada di list firewall rule, hampir sama seperti passthrough.
• passthrough : menyetujui rule tersebut dan melanjutkan ke rule berikutnya. (digunakan untuk statistik).
• reject : Menolak paket dan memberikan pesan ICMP reject.
• return : melewatkan kembali kontrol ke chain dari tempat dimana jump dilakukan
• tarpit : captures and holds TCP connections (replies with SYN/ACK to the inbound TCP SYN packet). Maksudnya ini digunakan biasanya untuk mengelabui hacker yang biasa melakukan port scanner, seolah-olah port tersebut terlihat terbuka namun ketika hacker mencoba masuk lewat port tersebut tidak ada respon sama sekali karena dalam TCP, komunikasi antar dua jalur haruslah sama-sama mengirimkan SYN dan ACK. Dengan tarpit maka SYN nya saja yang dikirim sedangkan ACK nya tidak akan dikirim
Ketiga fitur pengaturan firewall tersebut harus diperhatikan dengan baik untuk menghindari kesalahan dalam konfigurasi jaringan yang berakibat pada tidak berfungsinya jaringan (untuk koneksi internet) atau bahkan adanya penyusup yang hendak melakukan perbuatan yang tidak baik. Umumnya ada beberapa kesalahan dalam konfigurasi router Mikrotik yang bisa terjadi, di antaranya adalah: ada komputer klien yang tidak bisa terhubung dengan jaringan internet atau kecepatan koneksi internet terasa amat lambat, meskipun komputer klien tersebut terhubung dengan jaringan lokal (mendapatkan alamat IP address yang dihasilkan dari DHCP server Mikrotik). Terkadang komputer klien masih bisa mengakses konten yang dilarang. Permasalahan ini umum terjadi, dan perlu dilakukan troubleshooting untuk mengatasinya. Di mulai dari pengecekan jaringan secara fisik pada klien yang bermasalah, kemudian tes koneksi menggunakan tool jaringan, sampai pada pengecekan pada konfigurasi Firewall di Mikrotik. Meskipun masih ada kelemahan, seperti bisa masuknya (login) perangkat jaringan (komputer atau smartphone) orang yang tidak bertanggung jawab (hacker), sampai pada beberapa website terlarang masih bisa dilewati. Tugas admin jaringan harus selalu memperbarui dan mengupdate sistem keamanan jaringan dengan cara lebih teliti dalam konfigurasi Firewall di router tersebut.
2. Teknik konfigurasi ulang firewall
Konfigurasi ulang firewall dilakukan oleh seorang admin jaringan berguna untuk memastikan jaringan komputer dan internet berfungsi dengan baik, dan pengaturan filtering paket data baik dari klien di dalam jaringan internal ataupun dari jaringan luar (internet) berjalan sebagaimana mestinya. Ada beberapa konfigurasi firewall yang perlu dilakukan yaitu:
a. Mengijinkan beberapa IP address klien untuk melakukan koneksi internet. Pada konfigurasi ini source address diisi dengan IP klien yang boleh menggunakan koneksi internet. Contoh, yang diperbolehkan untuk koneksi internet (browsing menggunakan http (port 80) dan https (port 443)) adalah IP address 192.168.10.2 sampai dengan 192.168.10.30
b. Memblokir website atau situs tertentu berdasarkan IP address. Caranya adalah melihat ip address website yang akan diblokir dengan perintah nslookup di Windows.
Langkah selanjutnya adalah membuat rule firewall filtering untuk website tersebut dengan fitur firewall filtering dengan chain forward, dst-address adalah IP address youtube dan action drop. Berhubung website youtube menggunakan 4 IP address, maka lkukan langkah ini untuk semua IP address tersebut
c. Memblokir website atau situs tertentu berdasarkan content, misalnya akses download
untuk file dengan ekstensi *.3gp atau dengan kata yang mengandung konten yang terlarang, misalnya porn. Contoh berikut ini menggunakan perintah CLI di console.
d. Untuk membuat tanda dari IP address di Mikrotik, misalnya untuk IP address tertentu diperbolehkan mengakses jaringan internet atau kelompok IP address tertentu tidak diperbolehkan mengakses internet. Misalnya, IP address 192.168.10.254 adalah IP address admin, dan IP address 192.168.10.2 sampai dengan 192.168.10.253 adalah IP address klien. Jika melalui Perintah Text (CLI) , perintahnya adalah :
Selanjutnya dilakukan konfigurasi untuk address-list tersebut. Seperti pada pembuatan rule filter sebelumnya untuk mengijinkan atau memblokir untuk suatu koneksi. Misalnya konfigurasi sebagai berikut untuk IP admin yang diperbolehkan mendownload file berekstensi ISO sedangkan IP klien dilarang dengan perintah CLI sebagai berikut:
• ip firewall filter add chain=forward src-address-list="IP Admin" action="accept"
• ip firewall filter add chain=forward src-address-list="IP Client” content=.iso action="drop"
C. TUGAS MANDIRI
1. Sebutkan beberapa header suatu paket data dalam jaringan komputer!
2. Bagaimana cara kerja packet filtering dalam firewall?
3. Sebutkan beberapa software firewall gratis untuk komputer personal!
4. Apa manfaat dari penerapan DMZ (DeMilitarized Zone) dalam jaringan komputer?
5. Jelaskan apa yang Anda ketahui tentang Iptables?
D. TUGAS KELOMPOK
Buatlah kelompok yang terdiri dari 3 siswa. Diskusikan tema tentang firewall berikut ini, tulislah hasilnya dan presentasikan!
1. Teknik yang digunakan untuk membangun firewall
2. Kebijakan apa saja yang diterapkan dalam firewall dalam menyediakan perlindungan terhadap jaringan komputer.
3. Karakteristik firewall.
4. Fungsi Firewall forward
5. Konsep transparant firewall.
E. UJI KOMPETENSI
1. Yang tidak termasuk dalam komponen sistem firewall adalah
A. Komputer
B. Router
C. Server
D. Sistem operasi
E. Switch/hub
2. Dalam jaringan komputer, sistem DMZ berada di posisi ...
A. Di antara modem dengan router
B. Di antara router dengan jaringan lokal
C. Di belakang jaringan lokal
D. Di antara modem dengan jaringan internet
E. Di ISP
3. Fitur chain forward digunakan untuk ...
A. memproses trafik paket data yang hanya melewati router
B. memproses trafik paket data yang masuk ke dalam router melalui interface yang ada di router dan memiliki tujuan IP Address berupa ip yang terdapat pada router
C. memproses trafik paket data yang keluar dari router
D. memproses paket data yang rusak
E. membuang paket data
4. Fitur chain input digunakan untuk ...
A. memproses trafik paket data yang hanya melewati router
B. memproses trafik paket data yang masuk ke dalam router melalui interface yang ada di router dan memiliki tujuan IP Address berupa ip yang terdapat pada router
C. memproses trafik paket data yang keluar dari router
D. memproses paket data yang rusak
E. membuang paker data
5. Fitur chain output digunakan untuk ...
A. memproses trafik paket data yang hanya melewati router
B. memproses trafik paket data yang masuk ke dalam router melalui interface yang ada di router dan memiliki tujuan IP Address berupa ip yang terdapat pada router
C. memproses trafik paket data yang keluar dari router
D. memproses paket data yang rusak
E. membuang paket data
6. Untuk memblokir koneksi jaringan ke layanan FTP, maka digunakan port ...
A. 21
B. 80
C. 8080
D. 3125
E. 110
7. Pilihan protokol untuk memblokir perintah ping dari klien adalah ...
A. tcp
B. icmp
C. igmp
D. udp
E. hmp
8. Contoh perintah memblokir situs (ip address publik) adalah sebagai berikut, kecuali
A. ip firewall filter add chain=forward dst-address=202.146.4.100 action=drop
B. ip firewall filter add chain=forward dst-address=202.134.0.190 action=drop
C. ip firewall filter add chain=forward dst-address=172.217.194.91 action=drop
D. ip firewall filter add chain=forward dst-address=192.168.146.4 action=drop
E. ip firewall filter add chain=forward dst-address=118.198.213.18 action=drop
9. Firewall yang merupakan sebuah computer yang dibekali dengan dua buah Network Interface Card (NIC) yang mana fungsinya menyaring berbagai paket yang masuk adalah ...
A. Packet Filtering
B. Circuit Level Gateway
C. Application Lever
D. Network Address Translation (NAT)
E. Stateful Firewall
10. Jenis firewall berupa komponen suatu proxy server adalah ...
A. Packet Filtering
B. Circuit Level Gateway
C. Application Lever
D. Network Address Translation (NAT)
E. Stateful Firewall
11. Sebuah firewall dengan fungsinya dalam menggabungkan berbagai keunggulan yang biasanya ditawarkan oleh firewall berjenis packet filtering, Proxy dan Circuit Level dalam suatu system adalah ...
A. Packet Filtering
B. Circuit Level Gateway
C. Application Lever
D. Network Address Translation (NAT)
E. Stateful Firewall
12. Pilihan action di rule firewall berupa penolakan paket data secara diam-diam adalah
A. accept
B. drop
C. jump
D. tarpit
E. log
13. Pilihan action di rule firewall berupa lompat ke rule chain yang spesifik dengan pendefinisian nilai baru pada parameter target adalah ...
A. accept
B. drop
C. jump
D. tarpit
E. log
14 Pilihan action di rule firewall berupa menolak paket dan memberikan pesan na adalah ...
A. accept
B. drop
C. jump
D. reject
E. log
15. Serangan ke jaringan komputer yang disengaja yang bertujuan untuk menghalang
akses user yang legal disebut dengan ...
A. Port scanner
B. SQL injection
C. Denial of Service
D. Virus trojan
E. Hijacking
16. Untuk mengelompokkan IP address berdasarkan kriteria tertentu, maka rule firewall yang dipakai berdasarkan ...
A. Mangle
B. Layer 7 Protocol
C. Interface
D. Address List
E. Time
17. Untuk memfilter waktu koneksi internet, maka rule firewall yang dipakai adalah ...
A. Mangle
B. Layer 7 Protocol
C. Interface
D. Address List
E. Time
18. Untuk memblokir situs seperti youtube, facebook dan lain-lain, maka fitur firewall yang dipakai adalah ...
A. Mangle
B. Layer 7 Protocol
C. Interface
D. Address List
E. Time
19. Untuk memblokir pengguna yang terkoneksi ke jaringan menggunakan laptop, maka rule firewall yang paling tepat untuk memblokir pengguna tersebut berdasarkan ...
A. Mac Address
B. Layer 7 Protocol
C. Interface
D. Address List
E. Time
20. Untuk membatasi pengguna mengakses situs terlarang dan konten terlarang, maka rule firewall yang dipakai berdasarkan ...
A. Mangle
B. Content
C. Interface
D. Address List
E. Mac Address
F. SOAL VARIASI
Isilah titik-titik di bawah ini dengan B jika kalimat disampingnya adalah Benar, dan S jika Salah.
1. [...] Firewall adalah sebuah sistem yang didesain untuk mencegah akses yang tidak sah ke atau dari jaringan pribadi.
2. [... ] NAT adalah salah satu jenis dari firewall
3. [ ... ] Inspeksi stateful adalah cara kerja firewall dengan memonitor paket yang masuk dan keluar, mengizinkannya untuk lewat atau tertahan berdasarkan alamat Internet Protocol (IP), protokol, dan portnya
4. [...] Direction control adalah teknik firewall berdasarkan arah dari berbagai permintaan (request) terhadap layanan yang akan dikenali dan diijinkan melewati firewall
5. [...] Circuit-level Gateway yang biasa juga di kenal sebagai proxy server.
6. [ ... ] Iptables adalah aplikasi firewall yang secara default terpasang pada sistem operasi Windows
7. [...] IPFW atau IP Firewall adalah salah satu service yang dimiliki oleh Operating System FreeBSD untuk membangun sebuah firewall.
8. ....1 Tujuan dari DMZ adalah menambahkan lapisan tambahan keamanan untuk organisasi jaringan area lokal (LAN).
9. [... ] Jika memblokir download suatu file, maka penulisan content contohnya adalah 3gp.*
10. [ ... ] Protocol icmp adalah protocol yang digunakan oleh perintah PING
0 komentar: