Dokumen tersebut membahas tentang sistem keamanan jaringan komputer yang dikenal dengan istilah firewall, mulai dari menentukan jenis-jenis firewall, cara memasang dan mengkonfigurasi firewall, serta pengaturan pengendalian lalu lintas jaringan menggunakan iptables.

1. SISTEM KEAMANAN JARINGAN(Firewall)
Menentukan jenis jenis keamanan jaringan
Memasang firewall
Mengidentifikasi pengendalian jaringan yang diperlukan
Mendesain sistem keamanan jaringanDEPAN

2. PETA KEDUDUKAN KOMPETENSI23Mendiagnosis permasalahan pengoperasian PC yang tersambung jaringangnosisMelakukan perbaikan dan/atau settingulang koneksi jaringanan
Melakukan instalasi sistem operasi jaringan berbasis GUI (Graphical User Interface) dan TextMelakukan instalasi perangkat jaringan berbasis luas (Wide Area Network) Mendiagnosis permasalahan perangkat yang tersambung jaringan berbasis luas (Wide Area Network) Melakukan perbaikan dan/atau setting ulang koneksi jaringan berbasis luas (Wan) Mendiagnosis permasalahan pengoperasian PC dan periferalMelakukan perbaikan dan/ atau settingulang sistem PCMelakukan perbaikan periferalMelakukan instalasi software
Melakukan perawatan PC
Melakukan instalasi sistem operasi berbasis graphical user interface (GUI) dan command line interface(CLI) Melakukan instalasi perangkat jaringan lokal (Local Area Network)
Menerapkan teknik elektronika analog dan digital dasarMenerapkan fungsi peripheral dan instalasi PCMelakukan perbaikan dan/atau setting ulang koneksi jaringan berbasis luas (Wide Area Network) Mengadministrasi serverdalam jaringanMerancang bangun dan menganalisa Wide Area Network
Merancang webdata base untuk content serverLulusMelakukan instalasi sistem operasi dasarMenerapkan K 3 LHMerakit Personal KomputerDasar KejuruanLevel I ( Kelas X )Level II ( Kelas XI )
Level III ( Kelas XII )
1
Mendiagnosis permasalahan perangkat yang tersambung jaringan berbasis luas (Wan) DEPAN

3. Tujuan : Pembahasanini bertujuan :
1.Siswa memahami jenis-jenis firewall
2.Siswa memahami cara menerapkan firewal di jaringanPokok Bahasan : Dalam pembahasan ini meliputi :
1.Jenis jenis keamanan jaringan, Firewall, Pengendalian jaringan.
2.Cara Mendesain system keamanan jaringan

4. Menentukan Jenis Jenis Keamanan Jaringan
Dalamjaringankomputer,khususnyayangberkaitandenganaplikasiyangmelibatkanberbagaikepentingan,akanbanyakterjadihalyangdapatmengganggukestabilankoneksijaringankomputertersebut,baikyangberkaitandenganhardware(pengamananfisik,sumberdayalistrik)maupunyangberkaitandengansoftware(sistem,konfigurasi, sistemakses,dll).

5. Gangguanpadasistemdapatterjadikarenafaktorketidaksengajaanyangdilakukanolehpengelola(humanerror),akantetapitidaksedikitpulayangdisebabkanolehpihakketiga. Gangguandapatberupaperusakan,penyusupan, pencurianhakakses,penyalahgunaandatamaupunsistem,sampaitindakankriminalmelaluiaplikasijaringankomputer.

6. Dalaminternetworkingbeberapajenisgangguandikenaldenganistilah:
1.Hacking,berupapengrusakanpadainfrastrukturjaringanyangsudahada, misalnyapengrusakanpadasistemdarisuatuserver.
2.Physing,berupapemalsuanterhadapdataresmidilakukanuntukhalyangberkaitandenganpemanfaataanya.
3.Deface,perubahanterhadaptampilansuatuwebsitesecaraillegal.
4.Carding,pencuriandataterhadapidentitasperbankanseseorang,misalnyapencuriannomorkartukredit,digunakanuntukmemanfaatkansaldoyangterdapatpadarekeningtersebutuntukkeperluanbelanjaonline.
5.Sertamasihbanyakistilahpadasistemkeamananjaringanyangberkaitandenganpenyalahgunaanmaupunpengrusakansistemyangsudahada.

7. Dalammelakukanpersiapanfungsisistemhendaknyadisiapkanpengamanandalambentukberikut:
1.Mengelompokkanterminalyangdifungsikansebagaipengendalijaringanatautitikpusatakses(Server)padasuatujaringan,yangselanjutnyaharusdiberikanpengamanansecarakhusus.
2.Menyediakanpengamananfisikberuparuangankhususuntukpengamananperangkatyangdisebutpadapointnomor1.RuangantersebutdapatdiberikanlabelNetworkOperatingCenter(NOC)denganmembatasipersonilyangdiperbolehkanmasuk.
3.MemisahkansumberdayalistrikuntukNOCdaripemakaianyanglain.PerlujugadifungsikanUninteruptablePowerSupply(UPS)danStabilizeruntukmenjagakestabilansupplylistrikyangdiperlukanperangkatpadaNOC.
4.Merapikanwiringruangandanmemberikanlabelsertapengklasifikasiankabel.
5.MemberikanSoftSecurityberupaSistemFirewallpadaperangkatyangdifungsikandijaringan.MerencanakanmaintenancedanmenyiapkanBackUpsistem.

8. Gambar 15.1 Ilustrasi Penerapan Firewall
Firewall(Gambar11.1)adalahsalahsatuaplikasipadasistemoperasiyangdibutuhkanolehjaringankomputeruntukmelindungiintergritasdata/sistemjaringandariserangan-seranganpihakyangtidakbertanggungjawab.Caranyadenganmelakukanfilterisasiterhadappaket-paketyangmelewatinya.

9. Firewalltersusundariaturan-aturanyangditerapkanbaikterhadaphardware,softwareataupunsistemitusendiridengantujuanuntukmelindungijaringan,baikdenganmelakukanfilterisasi,membatasi,ataupunmenolaksuatupermintaankoneksidarijaringanluarlainnyasepertiinternet.
Gambar 15.2 Arsitektur Firewall Pada Jaringan Komputer
Gambar11.2menunjukkanfirewallyangmelindungijaringanlokaldengancaramengendalikanaliranpaketyangmelewatinya.

10. Padafirewallterjadibeberapaprosesyangmemungkinkannyamelindungijaringan.AdatigamacamProsesyangterjadipadafirewall,yaitu:
1.Modifikasiheaderpaket,digunakanuntukmemodifikasikualitaslayananbitpaketTCPsebelummengalamiprosesrouting.
2.Translasialamatjaringan,translasiyangterjadidapatberupatranslasisatukesatu(onetoone),yaitusatualamatIPprivatdipetakankesatualamatIPpublikatautranslasibanyakkesatu(manytoone)yaitubeberapaalamatIPprivatdipetakankesatualamatpublik.
3.Filterpaket,digunakanuntukmenentukannasibpaketapakahdapatditeruskanatautidak.

11. Memasang firewallSISTEM KEAMANAN JARINGAN(Firewall)
DEPAN

12. JENIS-JENIS FIREWALL
1.PacketFilteringGateway
2.ApplicationLayerGateway
3.CircuitLevelGateway
4.StatefullMultilayerInspectionFirewallDEPAN

13. PacketFilteringGatewayPacketfilteringgatewaydapatdiartikansebagaifirewallyangbertugasmelakukanfilterisasiterhadappaket-paketyangdatangdariluarjaringanyangdilindunginya. Gambar 15.3 Lapisan untuk Proses Packet Filtering Gateway

14. ApplicationLayerGatewayModelfirewallinijugadapatdisebutProxyFirewall.Mekanismenyatidakhanyaberdasarkansumber,tujuandanatributpaket,tapibisamencapaiisi(content)pakettersebut. Gambar 15.4 Web server dengan Firewall

15. BilakitamelihatdarisisilayerTCP/IP,firewalljenisiniakanmelakukanfilterisasipadalayeraplikasi(ApplicationLayer).
Gambar 15.5 Proxy Firewall dilihat pada Model TCP/IP

16. ModelfirewallinibekerjapadabagianLapisantransportdarimodelreferensiTCP/IP.FirewalliniakanmelakukanpengawasanterhadapawalhubunganTCPyangbiasadisebutsebagaiTCPHandshaking,yaituprosesuntukmenentukanapakahsesihubungantersebutdiperbolehkanatautidak.BentuknyahampirsamadenganApplicationLayerGateway, hanyasajabagianyangdifilterterdapatadalapisanyangberbeda,yaituberadapadalayerTransport.
Gambar 15.6 Circuit Level Gateway dilihat pada Model TCP/IPCircuit Level Gateway

17. Modelfirewallinimerupakanpenggabungandariketigafirewallsebelumnya.FirewalljenisiniakanbekerjapadalapisanAplikasi,TransportdanInternet. Gambar 15.7 Statefull Multilayer Inspection Firewall dilihat pada Model TCP/IPDenganpenggabunganketigamodelfirewallyaituPacketFilteringGateway, ApplicationLayerGatewaydanCircuitLevelGateway,mungkindapatdikatakanfirewalljenisinimerupakanfirewallyang,memberikanfiturterbanyakdanmemeberikantingkatkeamananyangpalingtinggi.
Statefull Multilayer Inspection Firewall

18. Mengidentifikasi pengendalian jaringan yang diperlukanSISTEM KEAMANAN JARINGAN(Firewall) DEPAN

19. Aplikasipengendalianjaringandenganmenggunakanfirewalldapatdiimplementasikandenganmenerapkansejumlahaturan(chains)padatopologiyangsudahada. Dalamhalpengendalianjaringandenganmenggunakaniptables,adaduahalyangharusdiperhatikanyaitu:
1.Koneksipaketyangmenerapkanfirewallyangdigunakan.
2.Konsepfirewallyangditerapkan.
Denganduahalinidiharapkaniptablessebagaiaturanyangmendefinisikanfirewalldapatmengenaliapakahkoneksiyangterjadiberupakoneksibaru( NEW),koneksiyangtelahada(ESTABLISH),koneksiyangmemilikirelasidengankoneksilainnya(RELATED)ataukoneksiyangtidakvalid( INVALID).KeempatmacamkoneksiitulahyangmembuatIPTablesdisebutStatefullProtocol.
DEPAN

20. KoneksiPaket
Koneksipaketyangdalamprosespengirimannyadaripengirimkepadapenerimaharusmelaluiaturanfirewall,dapatdikelompokankepadatigakelompokkoneksi,yaitu:
1.KoneksiTCP
2.KoneksiIP
3.KoneksiUDP
DEPAN

21. KoneksiTCPSebuahkoneksiTCPdikenalsebagaikoneksiyangbersifatConnectionOrientedyangberartisebelummelakukanpengirimandata,mesin-mesintersebutakanmelalui3langkahcaraberhubungan(3-wayhandshake). Gambar 15.8Awal Sebuah Koneksi TCPDEPAN

22. KoneksiIPSebuahframeyangdiidentifikasimenggunakankelompokprotokolInternet(IP)harusmelaluiaturanfirewallyangdidefinisikanmenggunakanprotokolIPsebelumpakettersebutmendapatjawabankoneksidaritujuanpakettersebut.
SalahsatupaketyangmerupakankelompokprotokolIPadalahICMP, yangseringdigunakansebagaiaplikasipengujiankoneksi(link)antarhost.
Gambar 15.10 Sebuah Koneksi ICMPDEPAN

23. 1.Echorequestdanreply,
2.Timestamprequestdanreply,
3.Infomationrequestdanreply,
4.Addressmaskrequestdanreply.
Adaempatmacamtipeechoyangakanmendapatpaketbalasan, yaitu: DEPAN

24. KoneksiUDPBerbedadengankoneksiTCP,koneksiUDP(Gambar11.11)bersifatconnectionless.SebuahmesinyangmengirimkanpaketUDPtidakakanmendeteksikesalahanterhadappengirimanpakettersebut. PaketUDPtidakakanmengirimkankembalipaket-paketyangmengalamierror.Modelpengirimanpaketiniakanlebihefisienpadakoneksibroadcastingataumulticasting. Gambar 15.11 Sebuah Koneksi UDP
DEPAN

25. MATARANTAIIPTABLES
Untukmembangunsebuahfirewall,yangharuskitaketahuipertama-tamaadalahbagaimanasebuahpaketdiprosesolehfirewall,apakahpaket- paketyangmasukakandibuang(DROP)atauditerima(ACCEPT),ataupakettersebutakanditeruskan(FORWARD)kejaringanyanglain.
Salahsatutoolyangbanyakdigunakanuntukkeperluanprosespadafirewalladalahiptables.ProgramiptablesadalahprogramadministratifuntukFilterPaketdanNAT(NetworkAddressTranslation).Untukmenjalankanfungsinya,iptablesdilengkapidengantabelmangle,natdanfilter.
Prosesyangterjadipadapaketyangmelewatisuatufirewalldapatdigambarkansebagaiberikut.

26. Gambar 11.12 Proses Pada Paket Yang Melewati Firewall.
Keterangan:
DNAT(DestinationNAT):TujuanyangmemerlukankonversiNetworkAddressTranslation.
SNAT(SourceNAT):SumberyangmenggunakankonversiNetworkAddressTranslation

27. TABEL 15.1 TABEL FILTER PADA IPTABLES
No
INPUT
OUTPUT
FORWARD
1
Aturan no 1
Aturan no 1
Aturan no 1
2
Aturan no 2
Aturan no 2
Aturan no 2
3
Aturan no 3
Aturan no 3
Aturan no 3
N
Aturan n
Aturan n
Aturan n
POLICY
ACCEPT/ DROP
ACCEPT/ DROP
ACCEPT/ DROP

28. Tabel 11.2 NAT Pada IPTABLES
No
Post Routing (SNAT)
Pre Routing
(DNAT)
OUTPUT
1
Aturan no 1
Aturan no 1
Aturan no 1
2
Aturan no 2
Aturan no 2
Aturan no 2
3
Aturan no 3
Aturan no 3
Aturan no 3
N
Aturan n
Aturan n
Aturan n
POLICY
ACCEPT/ DROP
ACCEPT/ DROP
ACCEPT/ DROP

29. SalahsatukelebihanIPTABLESadalahuntukdapatmemfungsikankomputerkitamenjadigatewaymenujuinternet.TeknisnyamembutuhkantabellainpadaIPTABLESselainketigatabeldiatas,yaitutabelNAT(Gambar11.13) Gambar 15.13 SNAT dan DNAT

30. SNATdigunakanuntukmengubahalamatIPpengirim(sourceIPaddress).BiasanyaSNATbergunauntukmenjadikankomputersebagaigatewaymenujukeinternet.
MisalnyakomputerkitamenggunakanalamatIP192.168.0.1.Forexample,weusethecomputerIPaddress192.168.0.1.IPtersebutadalahIPlokal.SNATakanmengubahIPlokaltersebutmenjadiIPpublik,misalnya202.51.226.35.Begitujugasebaliknya,bilakomputerlokalkitabisadiaksesdariinternetmakaDNATyangakandigunakan.
ManglepadaIPTABLESbanyakdigunakanuntukmenandai(marking) paket-paketuntukdigunakandiproses-prosesselanjutnya.Manglepalingbanyakdigunakanuntukbandwidthlimitingataupengaturanbandwidth.

31. TABEL 15.3 Tabel MANGLE
No
PRE
ROUTING
INPUT
FORWARD
OUTPUT
POST
ROUTING
1
Aturan no 1
Aturan no 1
Aturan no 1
Aturan no 1
Aturan no 1
2
Aturan no 2
Aturan no 2
Aturan no 2
Aturan no 2
Aturan no 2
3
Aturan no 3
Aturan no 3
Aturan no 3
Aturan no 3
Aturan no 3
N
Aturan n
Aturan n
Aturan n
Aturan n
Aturan n
POLICY
ACCEPT / DROP
ACCEPT / DROP
ACCEPT / DROP
ACCEPT / DROP
ACCEPT / DROP
FiturlaindarimangleadalahkemampuanuntukmengubahnilaiTimetoLive(TTL)padapaketdanTOS(typeofservice).

32. Mendesain sistem keamanan jaringanSISTEM KEAMANAN JARINGAN(Firewall) DEPAN

33. Berikutiniadalahlangkah-langkahyangdiperlukandalammembangunsebuahfirewall:
1.Menentukantopologijaringanyangakandigunakan.
2.Menentukankebijakanataupolicy.
3.Menentukanaplikasi–aplikasiatauservis-servisapasajayangakanberjalan.
4.Menentukanpengguna-penggunamanasajayangakandikenakanolehsatuataulebihaturanfirewall.
5.Menerapkankebijakan,aturan,danprosedurdalamimplementasifirewall.
6.Sosialisasikebijakan,aturan,danproseduryangsudahditerapkan.
MENDESAIN SISTEM KEAMANAN JARINGAN
DEPAN

34. Berikutinidiberikancontohpenerapaniptablespadafirewall.Konfigurasinetworkyangdigunakanuntukcontohdiilustrasikanpadagambar11.14.
Gambar 15.14 Skema Firewall Dalam JaringanPadagambardiatasterdapatsuatufirewallyangmempunyaiduaantarmuka. Firewallberhubungandenganjaringaninternetmelaluiantarmukaeth0danberhubungandenganjaringanprivatmelaluiantarmukaeth1.Kadang-kadangfirewallberhubungandenganjaringaninternetmenggunakanmodem,dalamhaliniantarmukaeth0dapatdigantidenganppp0.

35. KemampuanpertamayangharusdimilikifirewalladalahmelakukanforwardIPAddressdariantarmukaeth0menujuantarmukaeth1dansebaliknyadariantarmukaeth1menujuantarmukaeth0.Caranyaadalahdenganmemberinilai1padaparameterip_forwarddenganperintah. DalambeberapavariantLinuxdilakukandenganmemberibariskonfigurasipadafile/etc/sysconfig/network. # echo ”1” >/proc/sys/net/ipv4/ip_forwardFORWARD_IPV4=yes

36. MEMBUATINISIALISASI
Inisialisasiaturaniptablesdigunakanuntukmembuatkebijakanumumterhadaprantaiiptablesyangakanditerapkanpadafirewall.Kebijakaniniakanditerapkanjikatidakadaaturanyangsesuai.Kebijakanumumyangditerapkandalamsuatufirewallumumnyaadalahsebagaiberikut:
1.Kebijakanuntukmembuangsemuapaketyangmenuju,melintasdankeluardarifirewall.
2.Kebijakanuntukmenerimasemuapaketyangmenujudanmeninggalkanperangkatloopback.
3.Kebijakanmenerimasemuapaketsebelummengalamirouting. #iptables–pinputDROP#iptables–pforwardDROP#iptables–poutputDROP#iptables–AINPUT–ilo–jACCEPT#iptables–AOUTPUT–olo–jACCEPT# iptables –t nat –p POSTROUTING –j ACCEPT# iptables –t nat –p PREROUTING –j ACCEPT

37. MENGIJINKAN LALU-LINTAS PAKET ICMPPaketICMPbiasanyadigunakanuntukmengujiapakahsuatuperalatanjaringansudahterhubungsecarabenardalamjaringan.Biasanyauntukmengujiapakahsuatuperalatansudahterhubungsecarabenardalamjaringandapatdilakukandenganperintahping.PerintahiniakanmencobamengirimpaketICMPkealamatIPtujuandanmenggunakantanggapandarialamatIPtersebut.Untukmemberikankeleluasaankeluar,masukdanmelintasnyapaketICMPditerapkandenganaturantersebut.
Maksudperintahdiatasadalahsebagaiberikut:
1.Firewall mengijinkan paket ICMP yang akan masuk.
2.Firewall mengijinkan paket ICMP yang akan melintas.
3.Firewall mengijinkan paket ICMP yang akan keluar.
PerintahketigainimemungkinkanfirewalluntukmananggapipaketICMPyangdikirimkefirewall.Jikaperintahketigatidakdiberikan,makafirewalltidakdapatmengirimkeluartanggapanpaketICMP.
# iptables –A INPUT –p icmp -j ACCEPT
# iptables –A FORWARD –p icmp -j ACCEPT
# iptables –A OUPUT –p icmp -j ACCEPT

38. Catatan : Kadang-kadangpaketICMPdigunakanuntuktujuanyangtidakbenar,sehinggakadang- kadangfirewallditutupuntukmenerimalalulintaspakettersebut.JikafirewalltidakdiijinkanuntukmenerimalalulintaspaketICMP,makaperintahdiatastidakperludicantumkan.

39. MENGIJINKAN PAKET SSH MASUK FIREWALLUntukmengkonfigurasikomputerdalamjaringan,biasanyadilakukansecarajarakjauh.Artinyapengelolaantidakharusdatangdenganberhadapandengankomputertersebut.Termasukdalamhaliniuntukpengelolaanfirewall.Untukmengelolafirewalldarijarakjauh,dapatdigunakanprogramSSH. ProgramSSHmenggunakanpaketTCPdenganport22untukmenghubungkanantaraduakomputer.Olehsebabitufirewallharusmengijinkanpaketdengantujuanport22untukmasukkefirewall.Firewalljugaharusmengijinkanpaketyangberasaldariport22untukkeluardarifirewall.BerikutiniperintahyangditerapkanuntukmengijinkanaksesSSHmelaluiantarmukaeth1yaitudarijaringanprivat. #iptables–AINPUT–ptcp–dport22–ieth1-jACCEPT#iptables–AOUTPUT–ptcp–sport22–oeth1-jACCEPT

40. Maksuddariperintahdiatasadalahsebagaiberikut:
1.FirewallmengijinkanmasukuntukpaketTCPyangpunyatujuanport22melaluiantarmukaeth1.
2.FirewallmengijinkankeluaruntukpaketTCPyangberasaldariport22melaluiantarmukaeth1. #iptables–AINPUT–ptcp–dport22–ieth1-jACCEPT#iptables–AOUTPUT–ptcp–sport22–oeth1-jACCEPTAturantersebutmemungkinkanaksesSSHhanyadarijaringanprivatmelaluiantarmukaeth1.Untukalasankeamanan,aksesSSHdarijaringanprivatdapatdibatasiuntukaksesyanghanyaberasaldarialamatjaringantertentuataubahkandarikomputertertentu(input).Halinidilakukandenganmenambahopsi–sdiikutialamatjaringanataualamatIPpadaperintahpertama.

41. #iptables–AINPUT–s202.51.226.37–ptcp– dport22–ieth1-jACCEPTSintaksdiatasadalahaturanyangakanmenerimainputpaketTCPpadaeth1yangberasaldarialamatIP202.51.226.37dengantujuanport22.

42. MENGIJINKANAKSESHTTPMELINTASFIREWALLAkseshttpmerupakanprotokolyangpalingbanyakdigunakanuntukberselancardiinternet.Informasiyangdisajikanpadainternetumumnyamenggunakanakseshttpini.Akseshttpmenggunakanport80denganjenispaketTCP. Firewallbiasanyamengijinkanakseshttpterutamayangmelintasfirewallbaikyangkeluarataumasukjaringanprivat.Akseshttpyangkeluarjaringanprivatdigunakanuntukmemberiakseshttpbagikomputeryangberadadijaringanprivat.Sedangkanakseshttpdariinternetterjadiapabilapadajaringanprivatterdapatserverwebyangdapatdiaksesdarijaringaninternet. DEPAN

43. Penerapanaturaniptablesuntukmengijinkanakseshttpadalahsbb: # iptables –A FORWARD –p tcp –dport 80 –i eth1 -j ACCEPT# iptables –A FORWARD –p tcp –sport 80 –o eth1 -j ACCEPT# iptables –A FORWARD –p tcp –dport 80 –i eth0 -j ACCEPT# iptables –A FORWARD –p tcp –sport 80 –o eth0 -j ACCEPTMaksuddariperintahdiatasadalahsebagaiberikut:
1.FirewallmengijinkanmelintasuntukpaketTCPyangpunyatujuanport80melaluiantarmukaeth1.
2.FirewallmengijinkanmelintasuntukpaketTCPyangpunyaasalport80melaluiantarmukaeth1.
3.FirewallmengijinkanmelintasuntukpaketTCPyangpunyatujuanport80melaluiantarmukaeth0.
4.FirewallmengijinkanmelintasuntukpaketTCPyangpunyaasalport80melaluiantarmukaeth0.

44. Perintahpertamadankeduadigunakanuntukmengijinkanakseshttpyangberasaldarijaringanprivat,sedangkanperintahketigadankeempatdigunakanuntukmengijinkanakseshttpyangberasaldariinternet. Keempatperintahtersebutdapatdigantidengansatuperintahmenggunakanopsimultiportsebagaiberikut: PerintahtersebutmenyatakanbahwafirewallmengijinkanpaketTCPyangpunyaport80(tujuan/asal)untukmelintas(darieth0ataueth1). #iptables–AFORWARD–ptcp–mmultiport-- port80-jACCEPT

45. MENGIJINKAN QUERY SERVER DNSFirewallbiasanyamempunyaiminimalsatualamatIPuntukserverDNS. UntukqueryserverDNSdigunakanpaketUDPmelaluiport53.FirewallmemerlukanqueryserverDNSuntukmenentukanalamatIPyangberhubungandengansuatunamahost.QueryserverDNSpadafirewallinibiasanyadiijinkanuntukqueryserverDNSkeluarfirewall(baikviaeth0ataueth1)danqueryserverDNSmelintasiserverfirewall.AturaniptablesyangditerapkanuntukmengijinkanqueryseverDNSkeluardarifirewalladalahsebagaiberikut: # iptables –A OUTPUT –p udp –dport 53 –o eth1 -j ACCEPT# iptables –A INPUT –p udp –dport 53 –i eth1 -j ACCEPT# iptables –A OUTPUT –p udp –dport 53 –o eth0 -j ACCEPT# iptables –A INPUT –p udp –dport 53 –i eth0 -j ACCEPT

46. Maksudnya: # iptables –A OUTPUT –p udp –dport 53 –o eth1 -j ACCEPT# iptables –A INPUT –p udp –dport 53 –i eth1 -j ACCEPT# iptables –A OUTPUT –p udp –dport 53 –o eth0 -j ACCEPT# iptables –A INPUT –p udp –dport 53 –i eth0 -j ACCEPT
1.FirewallmengijinkankeluaruntukpaketUDPyangpunyatujuanport53melaluiantarmukaeth1.
2.FirewallmengijinkankeluaruntukpaketUDPyangpunyaasalport53melaluiantarmukaeth1.
3.FirewallmengijinkankeluaruntukpaketUDPyangpunyatujuanport53melaluiantarmukaeth0.
4.FirewallmengijinkankeluaruntukpaketUDPyangpunyaasalport53melaluiantarmukaeth0.

47. PerintahpertamadankeduadigunakanuntukqueryserverDNSkeluarmelaluiantarmukaeth1,sedangkanperintahketigadankeempatdigunakanuntukmengijinkanqueryserverDNSkeluarmelaluiantarmukaeth0. SelanjutnyafirewallakanmengijinkanqueryserverDNSuntukmelintas. AturaniptablesuntukmengijinkanqueryserverDNSmelintasifirewalladalahsebagaiberikut:
PerintahtersebutmenyatakanbahwafirewallmengijinkanpaketUDPyangpunyaport53untukmelintas. #iptables–AFORWARD–pudp–mmultiport–ports53-jACCEPT

48. IP MASQUERADEIPMASQUERADEadalahsalahsatubentuktranslasialamatjaringan( NAT),yangmemungkinkanbagikomputer-komputeryangterhubungdalamjaringanlokalyangmenggunakanalamatIPprivatuntuberkomunikasikeinternetmelaluifirewall. TeknikIPMASQUERADEadalahcarayangbiasanyadigunakanuntukmenghubungkanjaringanlokaldenganpublik(internet).BagipelangganinternetyanghanyadiberisatualamatIPdinamis(dialup)menggunakanmodem. HubunganantarakomputerpadajaringanlokaldenganjaringanpublikdilakukandengancaramenyamarkanalamatIPprivatdenganalamatIPyangdipunyaiolehkartujaringandenganalamatIPpublik.ProsespenyamaranalamatIPprivatmenjadialamatIPpublikinidisebutdenganIPMASQUERADE.

49. BerikutinidiberikancontohpenerapanIPMASQUERADE(NAT). Gambar 15.15 Jaringan Untuk Penerapan IP MASQUERADE

50. TEKNIKHUBUNGANLANGSUNGPadateknikhubunganlangsung,komputer-komputeryangdirancangdapatuntukdiaksesmelaluijaringaninternet,diberialamatIPpublikdanlangsungdihubungkanpadainternet,tanpamelaluifirewall.Sehinggakomputertersebutakandiroutingolehjaringanpublik.Contohstrukturnyaterlihatpadagambar11.16. Gambar 15.16 Jaringan Hubungan Langsung

51. Perintahinimenyatakanbahwasetelahmengalamirouting,paketyangakandikirimmelaluiantarmukaeth0yangberasaldarijaringan192.168.100.0/24akanmengalamiSNATmenjadialamatIP202.51.226.34. #iptables–tnat–APOSTROUTING–oeth0–s192.168.100.0/24–jsnat–to-source202.51.226.34

52. DMZ ( DE-MILITARIZED ZONE) 15.12 DMZ Pada JaringanTerpisahAdaduateknikDMZyangdapatdigunakan.YangpertamaadalahmeletakkankomputerDMZpadajaringanyangterpisahdarijaringanprivat.YangkeduaadalahmeletakkankomputerDMZpadajaringanyangsamadenganjaringanprivat.
DEPAN

53. Gambar 15.18 Jaringan DMZ Dalam Satu Jaringan

54. FIREWALL DENGAN HARDWARE KHUSUSFungsifirewallsepertidisebutkandiatasdapatjugadilakukandenganmenggunakanhardwarekhususdarivendoryangtelahdidesainuntukkeperluanpembuatanchainstertentu.Walaupundemikian,teknikdanpenerapannyasamasajadenganmenggunakanIPTables. PadahardwarekhususFirewallpenerapanchains-nyadidesainsedemikian,agarmemudahkanadministratordalammengimplementasikanrule/policyfirewall.Satuhalyangmembedakanadalahperangkatfirewalldarivendorhanyadidesainkhususuntukkeperluanchainstanpafungsilain,sementaraPCFirewalldapatdigunakanselainuntukFirewalljugauntukfungsiterminaljaringanyanglain.

55. Soal-Soal LatihanJawablah pertanyaan dibawah ini dengan tepat.
1.ApayangdimaksuddenganFirewall?
2.Jelaskanjenis-jenisfirewalluntukjaringankomputer.
3.GambarkanhubungankerjaFirewalldengansusunanlapisanModelReferensiTCP/IP.
4.Darikeempatjenisfirewall,manakahyangmudahdiimpelementasitetapimempunyaikehandalanyangtinggi?
5.JelaskanperbedaanantaraPreroutingdanPostrouting.
6.Bagaimanamenerapkansuaturule/policyuntukmemperbolehkanakseshttppadasuatuserver?
7.ApayangdimaksuddenganDMZ?
8.BagaimanacarauntukmengimplementasikanNATuntukIPPrivate192.168.0.0/24denganPublikIP202.203.204.2/30
9.Gambarkantopologiuntuknomor8.
10.ApayangdimaksuddenganFirewalldenganhardwarekhusus? DEPAN