Juni | 2014 | nurlaela saputri

Nama : Nurlaela Saputri

NoReg : 5235127251

Prodi : P.TIK NR 2012

Blog : https://nurlaelasaputri44.wordpress.com

TUGAS BAHASA INDONESIA

Tugas 5

MEMBUAT JURNAL TERKAIT DENGAN PRODI

OPTIMALISASI FIREWALL PADA JARINGAN SKALA LUAS

Nama : Nurlaela Saputri

No Registrasi : 5235127251

Prodi : PTIK Non Regular 2012

ABSTRAK

Jaringan komputer bukanlah sesuatu yang baru saat ini. Hampir di setiap perusahaan terdapat jaringan komputer untuk memperlancar arus informasi di dalam perusahaan tersebut. Internet yang mulai populer saat ini adalah suatu jaringan komputer raksasa yang merupakan jaringan komputeryang terhubung dan dapat saling berinteraksi.Halini dapat terjadi karena adanya perkembangan teknologi jaringan yang sangat pesat.Tetapi dalam beberapa hal terhubung dengan internet bisa menjadi suatu ancaman yang berbahaya,banyak serangan yang dapat terjadi baik dari dalam maupun luar seperti virus, trojan,maupun hacker.Pada akhirnya security komputer dan jaringan komputer akan memegang peranan yang penting dalam kasus ini.

Suatu konfigurasi firewall yang baik dan optimal dapat mengurangi ancaman-ancaman tersebut. Konfigurasi firewall terdapat 3 jenis diantaranya adalah screened host firewall system (single-homed bastion),screened host firewall system (Dual-homed bastion),dan screened subnet firewall. Dan juga mengkonfigurasikan firewall dengan membuka port- port yang tepat untuk melakukan hubungan koneksike internet,karena dengan mengkonfigurasi port-port tersebut suatu firewall dapat menyaring paket-paket data yang masuk yang sesuai dengan policy atau kebijakannya. Arsitektur firewall ini yang akan digunakan untuk mengoptimalkan suatu firewall pada jaringan.

BAB I

Pendahuluan

1.1. LatarBelakang

Internet seringkali disebut sebagai dunia tanpa batas.Beragam informasi bisa didapat di internet dan siapapun bisa mengakses informasi tersebut. Seiring perkembangan teknologi informasi, internet tak hanya memberikan kontribusi positif bagi kehidupan tetapijugaancaman. Ancaman lebihmenakutkan justrudatangdariduniamaya,mulai dariseranganvirus,trojan,phishinghinggacrackeryang biasmengobok‐obokkeamanan sistemkomputer.

Terhubung ke internet ibaratnya membuka pintu komputer untuk bisa diakses oleh siapapun. Melalui pintu tersebutlah, anda dengan sangat mudah bisa menjelajahi belantaraduniamayaentahitu untuk berbelanjaonline,membacaberitaterkini,mengirim e‐mail dan lain sebagainya. Namun melalui pintu itu pulalah, hacker bisa masuk dan denganmudahmengobok‐obok bahkanmengambil alihkendalisystemkomputer. Pada banyakkesempatan,kitaperlumenentukanpilihanmanayangharusdipercayadanmana yangtidak.

Sekalipun sesuatu ituberasal darisumber yangterpercaya danamanuntukdijalankan. Bisa sajaAndamenerima e‐maildari sumber terpercaya yangdidalamnya disertakan sebuahlinkdanmengkliknya. Namun siapasangka jikaternyata melalui linktersebut, hackermenyelipkan programjahatuntukmemata‐matai komputer tanpasepengetahuan Anda.Untukitulah,komputermembutuhkansuatu bentengyang mampumelindungi komputerdariancamanberbahayadi internet.Diduniamaya,bentenginidisebutdengan firewall.

Keamanan komputer maupun jaringan komputer, terutama yang terhubung keinternet harusdirencanakandandikoordinasikan denganbaikagardapatmelindungisumberdaya (resource) dan investasi didalamnya. Informasi (data) dan service (pelayanan) sudah menjadisebuahkomoditiyang sangatpenting.Kemampuanuntukmengaksesdan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi suatu organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembagapemerintahan,maupunindividual(pribadi).

1.2. Tujuan

Berdasarkandarilatarbelakangdiatastujuandaripenelitianini adalahagardapat mengoptimalisasikan firewall pada jaringan sehingga dapat mengurangi ancaman- ancaman yangterdapat didalamduniainternet dankitamenjadi merasalebihnyaman menjelajahiduniainternet.

1.3. MetodePenelitian

Metodepenelitianyangdigunakandalampembuatantulisanjurnalini adalahdengan menggunakan Literatur. Dengan metode tersebut penulis mengumpulkan berbagai informasiyangberhubungandenganpokokpembahasanpadatulisanjurnalini.

BAB II

Landasan Teori

2.1. JaringanKomputer

Jaringankomputeradalahsebuahkumpulankomputer,printerdan peralatanlainnyayang terhubung.Informasidan data bergerakmelaluikabel-kabelsehinggamemungkinkan pengguna jaringan komputer dapat saling bertukar dokumen dan data, mencetak pada printeryangsamadanbersama samamenggunakan hardware/software yangterhubung dengan jaringan. Tiapkomputer, printeratauperiferal yangterhubung dengan jaringan disebutnode.Sebuahjaringankomputerdapatmemilikidua, puluhan,ribuanataubahkan jutaannode.

Sebuah jaringan biasanya terdiri dari 2atau lebih komputer yang saling berhubungan diantara satu dengan yang lain, dan saling berbagi sumber daya misalnya CDROM, Printer, pertukaran file, atau memungkinkan untuk saling berkomunikasi secara elektronik.

2.1.1.Jenis–JenisJaringan

Ada3macamjenisjaringan,yaitu:

1. LocalAreaNetwork(LAN)

LANadalahjaringanyangdibatasiolehareayangrelativekecil,umumnyadibatasi oleh area lingkungan seperti sebuah perkantoran di sebuah gedung, atau sebuah

sekolah,danbiasanyatidakjauhdarisekitar1kmpersegi.

Sumber: http://www.itgeorgia.com/images/WebNetwork4.gif

2. MetropolitanAreaNetwork(MAN)

MAN biasanya meliputi areayanglebihbesar dariLAN, misalnya antar wilayah dalam satu propinsi. Dalam hal ini jaringan menghubungkan beberapa buah jaringan-jaringan kecilkedalamlingkungan areayanglebihbesar,sebagai contoh yaitujaringanBankdimanabeberapakantorcabangsebuahBankdidalamsebuahkotabesardihubungkanantarasatudenganlainnya.

Sumber: http://ops.fhwa.dot.gov/publications/telecomm_handbook/images/

3. WideAreaNetwork(WAN)

WideArea Networks(WAN)adalahjaringanyanglingkupnyabiasanyasudah menggunakan saranaSatelitataupun kabelbawahlautsebagai contohkeseluruhan jaringanBANKBNIyangadadiIndonesiaataupunyangadadiNegara-negaralain.

Sumber:MateriKuliahBinaNusantara

2.2. Firewall

Internetmerupakansebuahjaringankomputeryangsangatterbukadi dunia,konsekuensi yangharusdi tanggungadalahtidakadajaminankeamananbagijaringanyangterkaitke Internet.Artinyajika operatorjaringantidakhati-hatidalammenset-upsistemnya,maka kemungkinanbesarjaringanyangterkaitkeInternetakandenganmudahdimasukiorang yangtidakdiundangdariluar.Adalahtugasdarioperatorjaringanyangbersangkutan, untukmenekanresikotersebutseminimalmungkin.Pemilihanstrategidan kecakapan administrator jaringan ini, akan sangat membedakan apakah suatu jaringan mudah ditembusatautidak.

Firewall merupakan alat untuk mengimplementasikan kebijakan security (security policy). Sedangkan kebijakan security, dibuat berdasarkan perimbangan antara fasilitas yang disediakan dengan implikasi security-nya. Semakin ketat kebijakan security, semakin kompleks konfigurasi layanan informasi atau semakin sedikit fasilitas yang tersediadi jaringan.Sebaliknya,dengansemakinbanyakfasilitasyangtersediaatau sedemikiansederhananyakonfigurasiyangditerapkan,makasemakinmudahorangorang

‘usil‘dariluarmasukkedalamsistem(akibatlangsungdarilemahnyakebijakansecurity).

Dalam dunia nyata, firewall adalah dinding yangbisa memisahkan ruangan, sehingga kebakaran pada suatu ruangan tidak menjalar ke ruangan lainnya. Tapi sebenarnya firewalldi Internetlebihsepertipertahanandisekelilingbenteng,yaknimempertahankan terhadapserangandariluar.Gunanya:

membatasigerakorangyangmasukkedalamjaringaninternal

membatasigerakorangyangkeluardarijaringaninternal

mencegahpenyerangmendekatipertahananyangberlapis

Jadiyangkeluar masukfirewall harusacceptable. Firewall merupakan kombinasi dari router,server,dansoftwarepelengkapyangtepat.

Firewall merupakan suatu cara/sistem/mekanisme yang diterapkan baik terhadap hardware ,software ataupun sistem itusendiri dengan tujuan untuk melindungi, baik denganmenyaring,membatasiatau bahkanmenolaksuatuatau semuahubungan/kegiatan suatusegmenpadajaringanpribadidenganjaringan luaryangbukanmerupakan ruang lingkupnya. Segmen tersebut dapatmerupakan sebuah workstation, server, router, atau localareanetwork(LAN)anda.

Sumber:ArtikelInternet(Firewall)

Firewall didefinisikan sebagai sebuah komponen atau kumpulan komponen yang membatasi akses antara sebuah jaringan yang diproteksi dan internet, atau antara kumpulan-kumpulan jaringan lainnya (Building Internet Firewalls, olehChapman dan Zwicky).Afirewallis asystemorgroupofsystemsthatenforcesan accesscontrolpolicy betweentwonetworks (http://www.clark.net/pub/mjr/pubs/fwfaq/). Themain purposeof a firewall system isto control access to orfrom aprotected network. It implements a networkaccesspolicybyforcingconnectionstopassthroughthefirewall,wheretheycan beexaminedandevaluated (http://csrc.ncsl.nist.gov/nistpubs/800-10/node31.html).

2.2.1 Tugas–TugasFirewall

Firewallsecaraumumdiperuntukkanuntukmelayani:

Mesin/Komputer

Setiapmesinkomputeryang terhubunglangsungke jaringanluaratauinternetdan menginginkansemuayangterdapatpadakomputernyaterlindungi.

Jaringan

Jaringan komputer yang terdiri lebih dari satu buah komputer dan berbagai jenis topologi jaringan yangdigunakan, baikyangdimilikiolehperusahaan, organisasi dsb.

Firewallmempunyaibeberapatugas:

Pertama danyangterpenting adalah: harusdapat mengimplementasikankebijakan securitydijaringan(sitesecuritypolicy).Jikaaksitertentutidakdiperbolehkanoleh

kebijakanini,makafirewallharusmeyakinkan bahwasemuausahayangmewakili operasitersebutharusgagalataudigagalkan. Dengandemikian,semuaaksesilegal antarjaringan(tidakdiotorisasikan)akanditolak.

Melakukan filtering: mewajibkan semuatrafikyangadauntukdilewatkan melalui firewall bagisemuaprosespemberian danpemanfaatan layanan informasi. Dalam konteksini, aliranpaketdatadari/menujufirewall,diseleksiberdasarkanIP-address, nomorport,atauarahnya,dandisesuaikandengankebijakansecurity.
Firewall juga harus dapat merekam/mencatat even-even mencurigakan serta memberitahu administrator terhadap segala usaha-usaha menembus kebijakan security.

Adabeberapahalyangtidakdapatdilakukanolehfirewall:

Firewalltidakbisamelindungidariseranganorangdalam

Firewalltidakbisamelindungi seranganyangtidakmelaluifirewalltersebut(tidak melalui chocke point). Misalnya ada yang memasang dial-up service, sehingga jaringanbisadiakseslewatmodem.
Firewall tidakbisamelindungi jaringaninternalterhadap serangan-serangan model baru.
Firewalltidakbisamelindungijaringanterhadapvirus.

Sumber:ArtikelInternet(ModulPersonalFirewall)

2.2.2.KarakteristikFirewall

1. Seluruh hubungan/kegiatan dari dalam keluar ,harus melewati firewall. Hal ini dapat dilakukan dengan cara memblok/membatasi baik secara fisik semua akses terhadap jaringan lokal, kecuali melewati firewall. Banyak sekali bentuk jaringan yangmemungkinkan.

2. HanyaKegiatan yangterdaftar/dikenal yangdapatmelewati/melakukan hubungan, halinidapatdilakukan dengan mengatur policypadakonfigurasi keamanan lokal. Banyaksekalijenisfirewallyang dapatdipilihsekaligusberbagaijenispolicyyang ditawarkan.

3. Firewall itusendiri haruslah kebal atau relatif kuat terhadap serangan/kelemahan.

Halini berartipenggunaansistemyangdapatdipercayadandenganoperatingsystem yangrelatifaman.

2.2.3.TeknikYangDigunakanFirewall

1. ServiceControl(kendaliterhadaplayanan)

Berdasarkan tipe-tipe layanan yangdigunakan diInternet dan boleh diakses baik untuk kedalam ataupun keluar firewall. Biasanya firewall akan mencek no IP AddressdanjuganomorportyangdigunakanbaikpadaprotokolTCPdanUDP, bahkan bisadilengkapi software untukproxy yangakan menerima dan menterjemahkan setiap permintaan akan suatu layanan sebelum mengijinkannya. Bahkanbisajadisoftwarepadaserveritu sendiri,sepertilayananuntukwebmaupun untukmail.

2. DirectionConrol(kendaliterhadaparah)

Berdasarkanarahdari berbagaipermintaan(request)terhadaplayananyangakan dikenalidandiijinkanlewatfirewall.

3. Usercontrol(kendaliterhadappengguna)

Berdasarkanpengguna/useruntukdapatmenjalankansuatulayanan,artinyaada user yangdapatdanadayangtidakdapatmenjalankan suatuservis,halinidikarenakan user tersebut tidak diijinkan untuk melewati firewall. Biasanya digunakan untuk membatasi user dari jaringan lokal untuk mengakses keluar, tetapi bisa juga diterapkanuntukmembatasiterhadappenggunadariluar.

4. BehaviorControl(kendaliterhadapperlakuan)

Berdasarkanseberapabanyaklayananitu telahdigunakan.Misal,firewalldapat memfilteremailuntukmenanggulangi/mencegahspam.

2.2.4.Tipe–TipeFirewall

1. PacketFilteringRouter

Packet Filtering diaplikasikan dengan cara mengatur semua packet IP baik yang menuju,melewatiatauakanditujuolehpackettersebut.Pada tipeini packettersebut akandiaturapakahakanditerimadanditeruskanatauditolak.Penyaringan packet inidikonfigurasikan untukmenyaring paketyangakanditransfersecaraduaarah (baikdaridanke jaringanlokal).AturanpenyaringandidasarkanpadaheaderIPdan transport header, termasuk jugaalamat awal(IP)danalamat tujuan(IP),protocol transportyangdi gunakan(UDP,TCP),sertanomorportyangdigunakan.Kelebihan dari tipe ini adalah mudah untuk diimplementasikan, transparan untuk pemakai, relatiflebihcepat.

Adapun kelemahannya adalah cukuprumitnya untukmenyetting paket yangakan difiltersecaratepat,sertalemahdalamhal authentikasi.Adapunseranganyangdapat terjadipadafirewalldengantipeiniadalah:

IPaddressspoofing:Intruder(penyusup)dariluardapatmelakukan inidengan cara menyertakan/menggunakanip address jaringan lokal yang telah diijinkan untukmelaluifirewall.
Sourceroutingattacks:TipeinitidakmenganalisainformasiroutingsumberIP, sehinggamemungkinkanuntukmembypassfirewall.
TinyFragmentattacks:IntrudermembagiIPkedalambagian-bagian (fragment) yang lebih kecil dan memaksa terbaginya informasi mengenai TCP header. Serangan jenisinididesignuntukmenipuaturanpenyaringan yangbergantung kepadainformasidariTCP header.Penyerangberharaphanyabagian(fragment) pertamasajayangakandiperiksadansisanyaakanbisalewatdenganbebas.Hal inidapatditanggulangidengancaramenolaksemuapacketdenganprotocolTCP danmemilikioffset=1padaIPfragment(bagianIP)

Sumber:ArtikelInternet(Ammar-Firewall)

2. Application-Level Gateway

Application-level Gatewayyangbiasajugadikenalsebagaiproxyserveryangberfungsi untukmemperkuat/menyalurkanarusaplikasi.Tipeiniakanmengatur semuahubungan yangmenggunakanlayeraplikasi,baikituFTP,HTTP,GOPHERdll.

Cara kerjanya adalah apabila ada pengguna yang menggunakan salah satu aplikasi semisal FTP untuk mengakses secara remote, maka gateway akan meminta user memasukkanalamatremotehostyangakandi akses.SaatpenggunamengirimkanuserID sertainformasi lainnyayangsesuaimakagateway akanmelakukan hubungan terhadap aplikasitersebut yangterdapat padaremotehost,danmenyalurkan datadiantarakedua titik. Apabila data tersebut tidak sesuai maka firewall tidak akan meneruskan data tersebutataumenolaknya. Lebihjauhlagi,padatipeinifirewalldapatdikonfigurasikan untuk hanya mendukung beberapa aplikasi saja dan menolak aplikasi lainnya untuk melewatifirewall.

Kelebihannya adalahrelatiflebihamandaripadatipepacketfilteringrouterlebihmudah untukmemeriksadan mendatasemuaalirandatayangmasukpada levelaplikasi. Kekurangannya adalahpemrosesantambahanyangberlebihpadasetiaphubungan.Yang akanmengakibatkan terdapatduabuahsambungankoneksiantarapemakaidangateway, dimanagatewayakanmemeriksadanmeneruskansemuaarusdariduaarah.

Sumber:ArtikelInternet(Ammar-Firewall)

3. Circuit-levelGateway

Tipe ketiga ini dapat merupakan sistem yang berdiri sendiri , atau juga dapat merupakan fungsikhususyangterbentukdaritipeapplication-level gateway.tipe ini tidakmengijinkankoneksiTCPendtoend(langsung)

Cara kerjanya :Gateway akan mengatur kedua hubungan TCP tersebut, 1antara dirinya dengan TCP pada pengguna lokal (inner host) serta 1lagi antara dirinya dengan TCP pengguna luar (outside host). Saat dua buah hubungan terlaksana, gateway akan menyalurkan TCP segment dari satu hubungan ke lainnya tanpa memeriksa isinya.Fungsipengamanannya terletak padapenentuan hubungan mana yang di ijinkan. Penggunaan tipe ini biasanya dikarenakan administrator percayadenganpenggunainternal(internalusers).

Sumber:ArtikelInternet(Ammar-Firewall)

2.2.5.MerencanakanJaringanDenganFireawll

Merencanakan sistem firewall pada jaringan, berkaitan erat dengan jenis fasilitas apa yang akan disediakan bagi para pemakai, sejauh manalevel resiko-security yangbisa diterima,sertaberapabanyakwaktu,biayadankeahlianyang tersedia(faktorteknisdan ekonomis). Firewallumumnyaterdiridaribagianfilter(disebutjugascreenatauchoke) danbagiangateway(gate).Filterberfungsiuntukmembatasiakses,mempersempitkanal, atauuntukmemblokkelastrafiktertentu.

Terjadinya pembatasan akses, berarti akan mengurangi fungsi jaringan. Untuk tetap menjaga fungsi komunikasi jaringan dalam lingkungan yang ber-firewall, umumnya ditempuhduacara:

Pertama, bila kita bayangkan jaringan kita berada dalam perlindungan sebuah benteng,komunikasidapatterjadimelaluipintu-pintukeluarbentengtersebut.Cara inidikenal sebagai packet-filtering, dimana filterhanyadigunakan untukmenolak

trafik pada kanal yang tidak digunakan atau kanal dengan resiko-security cukup besar,sedangkantrafikpadakanalyanglainmasihtetapdiperbolehkan.

Berbagaikebijakandapatditerapkandalam melakukanoperasipacketfiltering.Pada intinya,berupamekanismepengontrollandata yangdiperbolehkanmengalirdari dan/atau ke jaringan internal, dengan menggunakan beberapa parameter yang tercantumdalamheaderpaketdata:arah(inboundatau outbound),addressasaldan tujuan,portasaldan tujuan,sertajenisprotocoltransport.Routerakanmengevaluasi informasi ini dalam setiap paket data yang mengalir melaluinya, kemudian menetapkanaksiyang harusdilakukanterhadappakettersebut,berdasarkanset aturan/program dalam packet-filtering. Sehingga keputusan routing dasar router tersebut,kemudiandilengkapidenganbagiandarikebijakansecurityjaringan.

Tabel berikut akanmenunjukan contoh konfigurasi operasi packet-filtering, untuk menyediakanhanyafasilitasSMTPinbounddanoutboundpadajaringan.

Sumber: http://www.klik-kanan.com/fokus/firewall4.shtml

AturanA danB melayanihubunganSMTPinbound(emaildatang),aturanC danD melayanihubunganSMTPoutbound(emailkeluar)sertaaturanE merupakanaturan default yang dilakukan bila aturan aturan sebelumnya gagal. Kalau diamati lebih dekat,selaintrafikSMTPkonfigurasi tersebutjugamasihmembolehkan hubungan masukdankeluarpadaport>1023(aturanB danD),sehinggaterdapatkemungkinan bagiprogram-program serverseperti X11(port6000),OpenWindows (port2000), atau kebanyakan program basis-data (Sybase, Oracle, Informix, dll), untuk dihubungidariluar.Untukmenutupkemungkinanini, diperlukanevaluasiparameter lain, seperti evaluasi port asal. Dengan cara ini, satu-satunya celah menembus firewalladalahdenganmenggunakanportSMTP.Bilakitamasihjugakurangyakin

dengankejujuranparapenggunaportini, dapatdilakukanevaluasilebihlanjutdari informasiACK.

Cara kedua, menggunakan sistem proxy, dimana setiap komunikasi yang terjadi antar kedua jaringan harus dilakukan melalui suatu operator, dalam haliniproxy server. Beberapa protokol, seperti telnet dan SMTP (Simple Mail Transport Protocol),akan lebihefektifditanganidenganevaluasipaket(packetfiltering), sedangkan yang lain seperti FTP (File Transfert Protocol), Archie, Gopher dan HTTP(Hyper-Text TransportProtocol)akanlebihefektifditangani dengansistem proxy. Kebanyakan firewall menggunakan kombinasi kedua teknik ini (packet filteringdanproxy).

Dalam jaringan yangmenerapkan sistemproxy,hubungan komunikasi keinternet dilakukan melalui sistem pendelegasian. Komputer-komputer yang dapat dikenali olehinternet bertindak sebagai ‘wakil’bagimesinlainyanginginberhubungan ke luar.Proxyserveruntuk(kumpulan) protokoltertentudijalankan padadual-homed hostatau bastion-host,dimanaseluruhpemakaijaringandapatberkomunikasi dengannya,kemudianproxyserverini bertindaksebagaidelegasi.Dengankata lain setiapprogram clientakanberhubungan dengan proxyserverdanproxyserverini lahyangakanberhubungandenganserversebenarnyadi internet.Proxyserverakan mengevaluasi setiappermintaan hubungan dariclientdanmemutuskan manayang diperbolehkan danmanayangtidak.Bilapermintaan hubunganinidisetujui, maka

proxyserverme-relaypermintaantersebutpadaserversebenarnya.

Sumber: http://www.klik-kanan.com/fokus/firewall4.shtml

Adabeberapaistilahmenunjukpadatipeproxyserver,diantaranya proxylevelaplikasi, proxy level circuit, proxy generik atau khusus, proxy cerdas, dll.Apapun jenis proxy yangdigunakan,adabeberapakonsekuensiimplementasisistemini:

Pada umumnya memerlukan modifikasi client dan/atau prosedur akses serta menuntutpenyediaanprogramserverberbedauntuksetiapaplikasi.
Penggunaan sistem proxy memungkinkan penggunaan private IP Address bagi jaringaninternal.KonsekuensinyakitabisamemilihuntukmenggunakanIP Address kelasA (10.x.x.x)untukprivateIPaddressyangdigunakandalamjaringaninternet; sehinggakomputeryangdapattersambung dalamjaringaninternaldapatmencapai jumlahjutaankomputer.
PaketSOCKSatauTISFWTKmerupakancontohpaketperangkatlunakproxyyang seringdigunakandantersediabebasdiinternet.

Untukmelakukan optimalisasi suatufirewalladabeberapa halyangperludiperhatikan. Diantaranya:

YangpertamakitaperlumenentukanPolicyataukebijakanfirewallterebut.Kerena penentuan policyataukebijakan merupak halyangsangat penting, baikatauburuknya sebuahfirewallsangatditentukanolehpolicyataukebijakanyang diterapkan.Penentuan kebijakantersebutmeliputi:

Menentukan apasajayang perlu dilayani. Artinya apasajayang akan dikenai kebijakanyangakankitabuat.
Menentukanindividuatau kelompok-kelompokyang akandikenaipolicyatau kebijakantersebut.
Menentukan layanan-layanan yang dibuthkan oleh tiap-tiap individu atau kelompokyangmenggunakanjaringan.
Berdasarkansetiaplayananyangdigunakanoleh individuataukelompoktersebut akanditentukanbagaimanankonfigurasiterbaikyangakan membuatnyasemakin nyaman.
Menerapkansemuapolicyataukebijakantersebut.

Berikutnya dapat menganalisis daftar port-port yang digunakan oleh berbagai protocol danmembuka port-port tersebut kedalam firewall danport-port terebut harus tepat. Server web biasanya diidentifikasikan melalui port 80, FTP (File Transfer Protocol) melalui port21,SSHmelaui port 22.Portinimenunjukan portmana yang harus dibuka di sisi server web. Pada PC port-port yang perlu dibuka adalah untuk membuatkoneksikeluar,settinganuntukitu biasanyatelahdilakukanolehfirewallsecara otomatis ketikaketikakitamenjalankan sebuahprogram yangmemerlukan koneksi ke internet.Ketikakita telahmengetahuiport-portmanasajayangdibutuhkanolehprogram bukaport-porttersebutkedalamfirewall.

Pada dasarnya, semakin banyak port yang terbuka pada firewall maka semakin tidak aman PCtersebut, terutama pada filedan printer-sharing dibawah Windows. Hacker

seringmenemukan danmemanfaatkan titik-titik kelemahan yangada.Jikakitasedang menggunakan notebookyangterhubungkehotspotumumtutupport-portyangterbuka. Firewall modern akan secara otomatis mengenali jaringan dan mengkonfigurasi diri sendiriseseuaidengansituasi.Kebanyakanfirewallmasakini menawarkanfungsisetting otomatisuntukfiledanprinter-sharing.PadafirewalllainsepertiXP-firewallharussetiap kalidikonfugurasisecaramanual.Untukmengaktifkanfiledanprinter-sharing,bukaport TCP139dan445sertaportUDP137dan138untukdatamasuk.Selainitu kitaperlu mengijinkanpermintaanechoICMP.

Apabila kitaterkoneksi keinternet melalui sebuah router adabaiknya jika mengkonfigurasi routertersebut.SettinganrouteryangperludirubahadalahfungsiPort Forwardingyang harus diaktifkan,karenapadakebanyakanroutersuatufungsiPort Forwarding biasanya telah dimatikan secara default. Dengan konfigurasi yang tepat, routerakanmenolakpaketIPdenganpengirimpalsu.

Pengoptimalisasian firewall yangberikutnya adalahmenentukan konfigurasi suatu firewalldengantepat.Adabeberapakonfigurasifirewall:

Dual-homedhost

Sumber: http://library.adisanggoro.or.id/Security/TransparanDigisec-5firewall.htm

Dualhomedhostbisamenjadirouter,namununtukmenjadifirewalllalulalu-lintas IPdalamarsitektur inibenar-benar di-blok.Jadikalauadapaketyangmaukeluar masuk,haruslewatproxy.

ScreenedHost

Sumber: http://library.adisanggoro.or.id/Security/TransparanDigisec-5firewall.htm

Menggunakan bastionhostyangdiletakkandalamintranet,danseluruhkomunikasi keluar masuk harus melalui proxy pada bastion dan kemudian melalui screening router.Bastionhostmerupakan sistem/bagian yangdianggap tempatterkuatdalam sistem keamanan jaringan oleh administrator.atau dapat di sebut bagian terdepan yang dianggap paling kuat dalam menahan serangan, sehingga menjadi bagian terpentingdalam pengamananjaringan,biasanyamerupakankomponenfirewallatau bagianterluarsistempublik.

Sekilasterlihatbahwadual-homedarchitecturelebih aman,tetapidalamprakteknya banyak kegagalan sistem yang memungkinkan paket lewat dari satu sisi ke sisi lainnya dalam dualhomed architecture. Jadialasan utamamenggunakan screened host architectureadalahkarenarouterlebihmudahdiamankanketimbangsebuah komputer/host.Kejelekanutamakedua-duanyaadalahmerekamemiliki‘singlepoint offailure’.

ScreenedSubnet

Sumber: http://library.adisanggoro.or.id/Security/TransparanDigisec-5firewall.htm

AlasanmengapaBastionhost seringmenjaditargetserangan.Karenaidenyaadalah kalau bastion host berhasil dibobol, jangan sampai penyerang masuk ke dalam jaringan internal. Oleh karena itu bastion host diletakkan di perimeter network. Untuk membobol jaringan, hacker harus menyerang exterior router dan interior router. Adajugayangmemiliki perimeter berlapis, dimana syaratnya agar efektif adalahsistempertahantiaplapisharusberbeda-beda.

Perimeternetworkyaitukalauadaorangyangberhasilmenembuskeexteriorrouter danbastion,makasang penyeranghanyabisamelihatpaketyangberkeliarandi perimeter network saja. Jadi lalu-lintas komunikasi pada jaringan internal (yang relatifsensitif)tidakdapatdilihatolehpenyerangdariperimeternetwork.

BastionhostBertindaksebagaititikmasukkoneksidariluar,termasukSMTP,FTP danDNS.SedangkanuntukmelakukankoneksidariclientkeserverdiInternetdapat dilakukandengan2cara:

Mengizinkan router-router bias berhubungan dengan server internet secara langsung
Menggunkan proxy server pada bastion

Interiorroutermelindungiinternalnetworkdari Internetdanperimeternetwork. Sebaiknya lalu-lintas yang diizinkan antara bastion dengan client, hanyalah yang penting-penting saja.Misalnyahubungan SMTPantarabastiondenganmailserver internal. Perhatikan komputer server internal apa saja yang terhubung dengan bastion,karenaitulahyangakanmenjaditargetseranganjika bastionberhasil dihancurkanolehhacker.

Exteriorrouterpadaprakteknyamengizinkanbanyakpaketkeluar,dan hanyasedikit memfilter paket masuk. Namun, biasanya untuk screening network internal, settingnya sama antara internal dan external router. Tugas utama external router adalah untuk memblok paket yang memiliki alamat yang palsu dari luar (karena berusaha menyamar dengan alamat IP salah satu host dalam internal network). KarenapastidariInternet.Kenapatidakdi internalrouter?Karenamasihbisadari perimeternetyangsedikitlebihtrusted.

BAB IV

Kesimpulan

Suatukeamananmerupakansuatu hal yangsangatpentingdalamduniainternetbaik keamanankomputermaupunkeamananjaringanyang banyakdipenuhidenganberbagai ancaman baikdaridalammaupundariluar,danfirewall merupakan solusiuntukdapat mengatasi keamanan tersebut. Dengansuatukonfigurasi yangtepatpadafirewall maka kemungkinan untukmengamankan suatudataataukomputerpadajaringanmenjadijauh lebihaman.

Konfigrasi suatufirewallyangpertamaadalahpenentuan policyataukebijakan firewall tersebut tentang apa saja yang akan dikenai kebijakan tersebut, siapa saja yang akan dikenaikebijakan tersebutdanlayanan-layanan yangdibutuhkan tiapindividu tersebut. Kemudian menentukan port-port yangdigunakan olehberbagai protokol danmembuka port-port tersebut kedalam firewall, danjugamembuka portyangdigunakan untukfile sharing danrequest ping.Selanjutnya adalah menentukan suatukonfigurasi yangtepat dansesuai dengan keadaan jaringannya. Screened subnet merupakan konfigurasi yang palingtinggitingkatkeamanannya, karenapadakonfigurasi inidigunakan2buahpaket filteringrouter,sehinggajaringanlocalmenjaditidak terlihat(invisible)dan tidakdapat mengkonstruksi routing langsung ke internet atau dengan kata lain internet menjadi invisible karena router luar yang akan melayani hubungan antara internet dan bastion host,namumbukanberartijaringanlocaltidakdapatmelakukankoneksikeinternet.

Dengankonfigurasi tersebut memungkinkan firewallkitadapatmenigkatkan keamanan yangjauhlebihbaikdariancaman-ancaman internet.Namuntidakmenutupkemungkinan bahwajaringan kitatetapdapatdiserang olehhacker yangserangannya sangat terarah. Namunlebihbaiksedikitterlindungidaripadatidaksamasekali.

DAFTAR PUSTAKA

1. Tanembaum,AndrewS.1996.JaringanKomputerEdisiBahasaIndonesiaJilid1.Prenhallindo:Jakarta.

2. MajalahCHIPedisiMei2007.FirewallYangSempurna.

3. http://www.erlangga.co.id/blog/viewtopic.php?t=188&sid=f9320f1898d08eba9948454883072f1b

4. http://students.ukdw.ac.id/~22022807/kommasd.htm

5. http://library.adisanggoro.or.id/Security/TransparanDigisec-5firewall.htm

6. http://www.klik-kanan.com/fokus/firewall.shtml

7. http://www.ictwatch.com/internetsehat/download/internetsehat-modulemanual/modul_personalfirewall.pdf

8. http://www.ictwatch.com/internetsehat/download/internetsehat-modulemanual/modul_personalfirewall.pdf

9. http://ilmukomputer.com