Laporan Akhir Diagnosa LAN Semester 2

Laporan Akhir Semester 2 Diagnosa LAN Rizal Fathul Anwar 2-Teknik Komputer dan Jaringan-B Sekolah Menengah Kejuruan Negeri 1 Cimahi

Prog Studi : TKJ PC ROUTER pada

FREEBSD

Nama : Ana Sahara Rizal Fathul Anwar Rifky Wijaksana

Experimen : Diagnosa LAN Kelas : 2 TKJ B

No exp : 1 Instruktur : Rudi Haryadi Adi Setiadi

I. Tujuan Siswa mengetahui bagaimana cara membuat PC Router dengan Sistem

Operasi FreeBSD di VirtualBox Siswa dapat membangun PC router dengan menggunakan sistem operasi

FreeBSD di VirtualBox

II. Pendahuluan

PC Router merupakan Router yang di buat dari sebuah PC yang dijadikan Fungsi Router yang dijanlakan dengan sistem operasi dan kebanyakan sistem operasi yang digunakan adalah berbasis OS (Operation System) Linux sehingga biasa di sebut Linux Based Router.

PC Router atau Linux Based Router sebenarnya sangat banyak sekali variannya baik yang berbayar/komersil maupun yang Free/open source. Yang komersil seperti Mikrotik OS, LogixOS/Neology, Gibraltar Dll, dan yang Free/open source seperti MonoWall, Pfsense, Smothwall Express, IPCop, Linktrack, DD-WrtX86, OpenWRTX86, Freesco dan masih banyak lagi lainnya.

Keuntungan menggunakan PC router ini adalah :

Jika digunakan oleh instansi pemerintah atau ISP atau Personal maka tindakan tersebut merupakan tindakan yang tepat karena anda telah melakukan efisiensi besar-besaran. Karena apa ? PC bekas dapat anda gunakan seperti pentium 486 atau Pentium 1 artinya tidak perlu membeli lagi, sedangkan OS PC Router tidak perlu beli yang commercial cukup digunakan yang free/open source saja karena kemampuan dan feature yang open source juga sudah mampu mengalahkan yang commercial dan Router Ternama.

Memiliki kemampuan/feature yang luar biasa seperti yang dimiliki oleh peralatan Router hardware Ternama yang harganya puluhan juta bahkan ratusan juta rupiah.

Kemampuan processing dengan speed yang tinggi karena ditangani oleh kecepatan processor PC, memori PC, Mainboard PC, Harddisk PC dan lain-lain. Coba anda bandingkan Speed Processor Router Hardware yang kecepatannya Cuma 175 - 350 MHz saja. Coba bandingkan jika menggunakan MainBoard Via Evia Processor Onboard Cyrix 2,8GHz yang berharga sangat murah.

Hardwarenya sangat mudah untuk di upgrade seperti layaknya PC. Dan untuk USB Wireless bisa di deteksi secara plug & Play tanpa harus merestart PC khususnya Linux Based Router Free BSD OS Pfsense.

Instalasi yang sangat mudah dan tidak membutuhkan waktu yang lama (pengalaman saya menginstall PC Router tidak lebih dari 5 menit saja). Instalasi dapat menggunakan CD-ROM tapi yang lebih mudah dapat ditulis langsung dengan Phisicalywrite langsung dari OS Windows.

Pada salah satu OS PC Router (Pfsense) yang mempunyai kemampuan mendukung USB WLAN yang dapat dijadikan Access Point. Sedangkan OS Router PC yang lain juga memiliki feature sebagai Virtual AP, Client Bridge, repeater, Wireless Client Dll. Tergantung dari ciri khas/feature dari OS PC Router tersebut seperti Lintrack atau DD-WRTX86.

III. Alat dan Bahan 1 unit Komputer atau Laptop Software virtual box OS FreeBSD.iso OS Ubuntu.iso

IV. Langkah Kerja 1. Aktifkan software Vmware 2. Lakukan proses instalasi Sistem Operasi (Ubuntu dan FreeBSD) terlebih dahulu 3. Atur keduanya sehingga memiliki 2 interface. Bisa dengan cara menekan tombol

ctrl+d 4. Setelah proses penginstalan selesai lakukan konfigurasi router pada sistem operasi

FreeBSD sesuai dengan topologi yang telah dibuat :

Topologi 1 1. Lakukan konfigurasi IP Address dengan perintah :

a. Command line : #Ifconfig (interface) (ip) netmask (masking) # Ifconfig lnc0 192.10.11.1 netmask 255.255.255.0

b. Network script : # ee /etc/rc.conf Tuliskan : Gateway_enable=”YES” Router_enable=”YES”

192.10.11.0 172.10.11.0

# konfigurasi router kelompok 1 Ifconfig lnc0 192.10.11.1 netmask 255.255.255.0 Route add default 192.10.11.2 Ifconfig lnc1 172.10.11.1 netmask 255.255.255.0 Route add default 172.10.11.2 ^[ atau tekan esc lalu a a

c. Network wizard : /stand/sysinstall

2. Setelah itu ketikan perintah #ee /etc/sysctl tuliskan perintah berikut : Gateway_enable=”YES” Router_enable=”YES” Net.inet.ip_forwarding=1

3. Kemudian lakukan konfigurasi IP di Ubuntu ke 1. Aktifkan console dan ubah menjadi

super user dengan perintah sudo su

4. Ketikan perintah $nano /etc/network/interfaces 5. Masukan konfigurasi seperti berikut :

a. Auto eth1 Iface eth1 inet static Address 192.10.11.2 Netmask 255.255.255.0 Gateway 192.10.11.1

6. Restart setting baru dengan perintah invoke-rc.d networking restart

7. Setelah selesai restart lakukan konfigurasi IP pada Ubuntu ke 2. Aktifkan console dan ubah menjadi super user dengan perintah sudo su

8. Konfigurasi dengan mengetikan perintah $nano /etc/network/interfaces 9. Masukan konfigurasi seperti berikut :

a. Auto eth2 Iface eth2 inet static Address 172.10.11.2 Netmask 255.255.255.0 Gateway 172.10.11.1

10. Restart konfigurasi dengan perintah invoke-rc.d networking restart 11. Setelah semua konfigurasi selesai lakukan pengecekan dengan cara ketikan perintah

Ping_(IP)

V. Hasil Pengamatan

PINGING

Topologi 1 Ping Router ke PC1 dan PC2

Ping PC1 ke Router dan PC2

Ping PC2 ke Router dan PC1

Tracepath/traceroot dari PC1 ke PC2

Tracepath/traceroot dari PC2 ke PC1

VI. Kesimpulan Konfigurasi routing dapat dibuat pada command line, atau network script.

Bedanya jika pada command line jika kita merestart interfaces maka command pengaturan atau konfigurasi yang dilakukan akan hilang. Jika pada network script command yang dituliskan akan disimpan.

Salah satu syarat pc menjadi router adalah memiliki NIC lebih dari satu supaya dapat terhubung minimal dengan dua network

PC router tidak harus memiliki spesifikasi yang terlalu bagus PC router hanya berfungsi untuk meneruskan ip saja.

Prog Studi : TKJ

PC ROUTER pada Ubuntu

Nama : Rizal Fathul Anwar Experimen : Diagnosa LAN Kelas : 2 TKJ B



Operasi Ubuntu di VirtualBox Siswa dapat membangun PC router dengan menggunakan sistem operasi

Ubuntu di VirtualBox Siswa dapat memahami materi untuk membangun PC Router dengan Operasi

Sistem yang berbeda dalam 1 topologi Siswa dapat mengkonfigurasi PC Router dengan Operasi Sistem yang berbeda

dalam 1 topologi

II. Pendahuluan






Kemampuan processing dengan speed yang tinggi karena ditangani oleh kecepatan processor PC, memori PC, Mainboard PC, Harddisk PC dan lain-lain. Coba anda

bandingkan Speed Processor Router Hardware yang kecepatannya Cuma 175 - 350 MHz saja. Coba bandingkan jika menggunakan MainBoard Via Evia Processor Onboard Cyrix 2,8GHz yang berharga sangat murah.




III. Alat dan Bahan 1 unit Komputer atau Laptop Software virtual box OS Ubuntu.iso

IV. Langkah Kerja 1. Aktifkan software Vmware 2. Lakukan proses instalasi Sistem Operasi (Ubuntu) terlebih dahulu 3. Atur keduanya sehingga memiliki 2 interface. Bisa dengan cara menekan tombol

ctrl+d 4. Setelah proses penginstalan selesai lakukan konfigurasi router pada sistem operasi

Ubuntu sesuai dengan topologi yang telah dibuat :

Topologi 1 1. Lakukan konfigurasi IP Address H1 dengan perintah :

a. Command line : #Ifconfig (interface) (ip) netmask (masking) # Ifconfig eth2 10.10.10.2 netmask 255.255.255.0

b. Network script : # nano /etc/network/interfaces

Tuliskan : Auto eth2 Iface eth2 inet static Address 10.10.10.2 Netmask 255.255.255.0 Gateway 10.10.10.1

2. Setelah itu lakukan konfigurasi pada H2 seperti berikut : a. Command line : #Ifconfig (interface) (ip) netmask (masking)

# Ifconfig eth3 11.11.11.2 netmask 255.255.255.0

b. Network script : # nano /etc/network/interfaces

Tuliskan : Auto eth3 Iface eth3 inet static Address 11.11.11.2 Netmask 255.255.255.0 Gateway 11.11.11.1

3. Kemudian lakukan konfigurasi pada PC Router : a. Network script : # nano /etc/network/interfaces

Tuliskan : Auto eth1 Iface eth1 inet static Address 10.10.10.1 Netmask 255.255.255.0 Gateway 10.10.10.2 Auto eth2 Iface eth2 inet static Address 11.11.11.1 Netmask 255.255.255.0 Gateway 11.11.11.2 Simpan konfigurasi dengan menekan tombol ctrl+x kemudian y

4. Selanjutnya aktifkan IP forwarding untuk router pada # /etc/sysctl.conf Pada bagian #uncomment the next line to enable packet forwarding for IPv4 tuliskan perintah net.ipv4.conf.default.forwarding=1 atau net.ipv4.ip_forward=1

5. Setelah konfigurasi selesai lakukan pengecekan koneksi.

V. Hasil Pengamatan

Tracepath/traceroute dar PC1 ke PC2

Tracepath/traceroute dar PC2 ke PC1

VI. Kesimpulan Konfigurasi routing dapat dibuat pada command line, atau network script.

Bedanya jika pada command line jika kita merestart interfaces maka command pengaturan atau konfigurasi yang dilakukan akan hilang. Jika pada network script command yang dituliskan akan disimpan.



Program study : TKJ

Routing FreeBsd dan Ubuntu

Nama : Rizal Fathul Anwar Exp : Diagnosa LAN Kelas : XI TKJ B

No : 3 Instruktur : Rudy Haryadi Adi Setiadi

I. TUJUAN Siswa dapat mengetahui teknik konfigurasi routing pada freeBsd dan ubuntu. Siswa dapat mengkonfigurasi routing pada freeBsd dan ubuntu. Siswa dapat mengkoneksikan host yang saling bereda network.

II. Pendahuluan








Instalasi yang sangat mudah dan tidak membutuhkan waktu yang lama (pengalaman saya menginstall PC Router tidak lebih dari 5 menit saja). Instalasi dapat menggunakan

CD-ROM tapi yang lebih mudah dapat ditulis langsung dengan Phisicalywrite langsung dari OS Windows.


III. Alat dan Bahan Aplikasi Virtual Machine Operating System

i. FreeBsd (pc Router) ii. Linux ubuntu (pc Router)

iii. Lucid Puppy (host) IV. Langkah kerja

Bangun jaringan seperti topologi berikkut ini :

Buka virtual machine Installkan OS

o R1 dan R3 menggunakan FreeBsd o R2 dan R4 menggunakan ubuntu

Masuk ke H1 atur IP static menjadi 1.1.1.1/24 dengan gateway 1.1.1.2

Masuk ke H2 atur Ip static menjadi 2.2.2.1/24 dengan gateway 2.2.2.2

Masuk ke R1 Masukan perintah

o Ee/etc/rc.conf Tambahkan

o Router enable=”YES” o Gateway enable=”YES” o Tambahkan masing masing IP dengan perintah

Ifconfig alamatIP netmask netmasknya

Tambahkan konfigurasi routing seperti gambar berikut :

Lalu save dan masuk ke /etc/sysctl.conf, dan masukan perintah berikut

Simpan konfigurasi.


o Nano /etc/network/interfaces Tambahkan alamat IP untuk setiap interface dengan format berikut :



Simpan konfigurasi.

Masuk ke H3 atur IP static menjadi 4.4.4.2/24 dengan gateway 4.4.4.1

Masuk ke H4 atur Ip static menjadi 8.8.8.1/24 dengan gateway 8.8.8.2

Masuk ke H5 atur IP Static menjadi 7.7.7.2/24 dengan gateway 7.7.7.1


o Ee/etc/rc.conf Tambahkan

o Router enable=”YES” o Gateway enable=”YES” o Tambahkan masing masing IP dengan perintah

Ifconfig alamatIP netmask netmasknya



Simpan konfigurasi.


o Nano /etc/network/interfaces Tambahkan alamat IP untuk setiap interface dengan format berikut :

Lalu save dan masuk ke /etc/sysctl.conf, Tambahkan konfigurasi routing seperti gambar berikut :

Simpan konfigurasi

V. Hasil Pengamatan TraceRoute h2h1

Traceroute H3R1

Traceroute h3 h4

Traceroute h4h3

VI. Kesimpulan

Konfigurasi routing dapat dibuat pada command line, atau network script. Bedanya jika pada command line jika kita merestart interfaces maka command pengaturan atau konfigurasi yang dilakukan akan hilang. Jika pada network script command yang dituliskan akan disimpan.



Prog Studi : TKJ

Dedicated Router



I. Tujuan Siswa dapat memahami apa yang dimaksud dengan dedicated router. Siswa dapat membedakan antara Dedicated Router dengan PC Router. Siswa dapat mengetahui area kerja dari Dedicated Router. Siswa dapat mengetahui vendor-vendor yang memproduksi Dedicated Router.

II. Pendahulan A. Router Router adalah suatu perangkat jaringan yang digunakan sebagai penghubung antarnetwork yang berbeda hingga satu network dengan network lainnya dapat saling terhubung satu sama lainnya. Secara garis besar, Router dibagi menjadi 2, yaitu :

1. PC Router, yaitu PC yang dialihkan fungsinya sebagai router. 2. Dedicated Router, yaitu perangkat jaringan yang memiliki fungsi sebagai router murni

yang sudah di desain oleh vendornya masing – masing.

B. Model Hirarki Internetworking Core Layer Layer Core atau lapisan inti merupakan tulang punggung (backbone) jaringan. Contoh dalam jaringan hirarki layer core berada pada layer teratas .Layer Core berada bertanggung jawab atas lalu lintas dalam jaringan. Dalam lapisan ini data – data diteruskan secepatnya dengan menggunakan motode dan protokol jaringan tercepat (high speed). Misalnya fast ethetnet 100Mbps, Gigabit Ethetnet, FDDI atau ATM. Pada lalu lintas data digunakan swicth karena penyampaiannya pasti dan cepat. Layer Core merupakan penghubung lalu lintas data agar sampai ke user. Lapisan ini digunakan untuk access list, routing antara VLAN. Distribution Layer Layer Distribusi disebut juga layer work gruop yang menerapkan titik komunikasi antara layer akses dam layer inti. Fungsi utama layer distribusi adalah menyediakan routing, filtering dan untuk menentukan cara terbaik untuk menangani permintaan layanan dalam jaringan. Setelah layer distribusi mentukan lintasan terbaik maka kemudian permintaan diteruskan ke layer inti. Layer inti dengan cepat meneruskan permintaan itu ke layanan yang benar. Access Layer Layer ini disebut juga layer desktop. Layer akses mengendalikan akses pengguna dengan workgroup ke sumber daya internetwork.. Desain layer akses diperlukan untuk menyediakan fasilitas akses ke jaringan. Fungsi utamanya adalah menjadi sarana bagi suatu titik yang ingin berhubungan dengan jaringan luar. Pada layer ini user dihubungkan untuk melakukan akses ke

jaringan. Terjadi juga penyaringan / filter data oleh router yang lebih spesifik dilakukan untuk mencegah akses ke suatu komputer.

Cisco Hierarchical Model

III. Alat dan Bahan

Komputer Koneksi Internet Alat tulis

IV. Langkah Kerja

1. Cari informasi mengenai Dedicated router di Internet. 2. Identifikasi setiap router tersebut. 3. Cari informasi mengenai spesifikasi router tersebut. 4. Kategorikan berdasarkan layer area kerja Dedicated Router tersebut, yaitu : Core Layer,

Distribution Layer, Access Layer. 5. Buatlah laporannya.

V. Hasil pengamatan

DEDICATED ROUTERS Dedicated Router Contoh Layer PC Router Layer Bisa Cisco 3600 Router* Core Tidak Bisa Core Bisa Cisco 2010 Connected

Grid Router* Distribution Tidak Bisa Distribution

Bisa Cisco 870 Series* Access Bisa Access

Keterangan lebih lanjut dari router :

No Layer Type/Vendor Spesifikasi Alasan 1 Core BlackDiamond 12804C 160 Gbps total

switching capacity, with 9 microsecond latency for 64-packets. AC power supplies can run from 90-264 VAC, and deliver 700W at 90V to 120 V. Weight o Empty Chassis: 65 lb (29.5 kg) o Power Supply : 7 lb (3.2 kg) o MSM-5: 8.5 lb (3.9 kg) o G2OXT : 8.5 lb (3.9 kg) o G2OT : 7.5 lb (3.4 kg) o XM-2X: 7 lb (3.2 kg) MSM and I/O Modules o MSM-4: MSM model contain both the control plane as well as the switch fabric for the BlackDiamond 12804 o GM-20XT: 20-port Gigabit Ethernet module. Each port can be used for

Memiliki bandwidth yang tinggi setiap slot (120 Gbps), Memiliki port koneksi yang beragam, jumlahnya banyak, dan dapat ditambah.

2 Core Summit X650 Ports : 24-port 10GBASE-T or 24-port SFP+with one VIM1 slot. Layer 2/3/4 throughput : 363 Million Packet Per Second (24-port 10GbE wire rate) and up to 506 Million Packets Per Second aggregated throughput (with VIM1-10G8X) Management Port : One 10/100/1000 BASE-T RJ-45 (1G) port for out-of-band management. Power Supply : Dual redundant AC or DC, Hot swappable PSU, 7.5 A@115VAC, 3.5A@230VAC, 800W (Summit X650-24t:10GBASE-T), 5.7A@115VAC, 2.7A@230VAC, 600W (Summit X650-24x:SFP+)

3 Core Junniper/ TX Matrix Plus

Throughput 25,6 Tbps Maximum Forwarding Rate 30.7 Billion pps Rack Space : 11 racks (3 x 23 in for TX Matrix Plus, 8 x 19 in for T1600) 10-Gigabitethernet density : 1280 (line rate), 2560 (oversubrcibed). Fully Redundant Hardware Multichassis capable.

Throughputnya 25,6 Tbps, Memiliki banyak port karena banyaknya juga ruang rak kosong untuk mesin

4 Core Cisco 3600 Router Analog and Digital (T1) VoiceNetwork Modules. Single-PortHigh-Speed Serial Interface(HSSI). ATM OC3 155 MbpsNetwork Module. 6, 12, 18, 24and 30 digital modem networkmodules. LAN with modularWAN (WAN Interface Cards). 8and 16 analog modem networkmodules. Channelized T1,ISDN PRI and E1 ISDN PRInetwork modules. CombinedFastEthernet and PRI networkmodules. 4- and 8-port ISDNBRI network modules. 16- and32-port asynchronous networkmodules. 4- and 8portsynchronous/asynchronousCore Layernetwork modules. 1- and 4-portEthernet network modules. 1-port Fast Ethernet (10/100)network modules (100BaseT -"TX" and Fiber - "FX"). 8- and16-port analogmodemmodules. 4-port serial networkmodule.

Karena selain terdapat banyak port Ethernetnya (Fast &Gigabit Ethernet) yang dapat melayani traffic yang padat. terdapat juga port -port jaringan (WAN& LAN) lainnya yang mendukung tersedianya layanan koneksi Leased Line seperti T1 dan lain – lain.

5 Core Cisco 10000 Router Gigabit Ethernet (1-port) linecard. Gigabit Ethernet (1-port)half-height line card. FastEthernet (8-port) half-height linecard. Channelized E1/T1 (24-port) line card. Channelized T3(6-port) line card. E3/DS3 (8-port) line card. E3/DS3 ATM (8-port) line card. OC-3 POS (6-port) line card. OC-12 POS (1-port) line card. OC-48 (1-port)line card. OC-3 ATM (4-port)line card. OC-12/STM-4 ATM(1-port) linecard. ChannelizedOC3/STM-1 (4-port) line card. Channelized OC-12 (1-port) linecard.

Karena terdapat banyak port Ethernetnya yang dapat melayani traffic yang padat. Selain itu terdapat juga fitur lain yaitu tersedianya layanan T1, T3 (Leased Line)dan ATM.

6 Access Cisco 805SeriesSerialRouter

AN One 10BASE-T (RJ-45), WAN Serial port compatiblewith EIA/TIA-232, EIA/TIA-449,EIA/TIA-530, EIA/TIA-530A,X.21, and V.35 standards (Bothdata terminal equipment [DTE]and data communicationsequipment [DCE]), Consoleport

Karena hanya terdapat satu ethernet port yang lebih compatible untuk layer akses.Selain itu juga bentuk fisiknya yang didesain untuk"home-office " atau"common user”.

RJ-45, LAN port OneEthernet

7 Distribution Cisco2010ConnectedGridRouter

Total onboard Ethernet WANPorts (2-port), RJ-45-basedports (10/100/1000) (2-port), Grid Router WAN InterfaceCard (GRWIC) slots (4-port), Serial console port (1-port), Serial auxiliary port (1-port)

WAN + RJ-45-based ports 10/100/1000(2-port). Selain itut erdapat juga Grid Router WAN Interface Card (GRWIC) slots (4slot).

8 Access Cisco2501Series Serial Ports (2-port), AUI Ports(1-port DB 9), Console Port(RJ-45) , Auxiliary Port (RJ-45)

Karena hanya terdapat 2 port serial saja dan tidak ada port lainnya yang mendukung koneksi layanan WAN

9 Access Cisco 827-4V Router Ethernet Ports (1-port) ADSLPorts (1-port) Console Port (1-port) Telephone Ports (4-port)

Karena hanya ada 1 ethernet port danjuga tidak ada portlain yang mendukung koneksi pada layer distribution maupun core layer, selain port ADSL dan port telepon (RJ-11).

10 Access Cisco2600RouterSeries2RU

Fast Ethernet Ports (2-port), Compact Flash Slot, ConsolePort (RJ-45) Auxiliary Port(RJ-45)

Karena hanya terdapat dua fastethernet port saja,lalu tidak ada port -port lain, seperti portSerial, ISDN dan lain- lain

11 Distribution Cisco3600Series Ethernet Ports (4-port) SerialPorts (3-port) BRI Ports (1-port)

Karena terdapat cukup banyak ethernet port (4 port10BaseT) yang compatible sebagai"Distributor". Selain itu terdapat port BRIyang dapat

digunakan untuk layanan ISDN BRIWAN

12 Access Cisco 870 Series 871: 100 MB Ethernet 876: ADSL over ISDN(ADSL2/ADSL2+ Annex B) 877: ADSL over analogtelephone lines(ADSL2/ADSL2+ Annex Aand Annex M) 878: G.SHDSL (2- and 4-wire support) 3 Mbps IMIX aggregateperformance for Cisco 878LAN Switch Managed 4-port10/100BASE-T withautosensing MDI/MDX(Media Device In/MediaDeviceCross Over) for autocrossover 802.11b/g WLANs Optionalon all modelsConsole PortRJ-45

Karena router ini diperuntukan untuk perusahaan kecil, hanya terdapat 4 port LAN switch.

13 Distribution Cisco 1841 Router 4- Port Async/Sync Serial HWIC, 1-port serial WIC, 4-port 10/100BaseT Ethernet switch HWIC

karena 4 port10/1000 baseT

VI. Kesimpulan Dedicated router adalah perangkat yang didesain khusus sebagai router oleh vendor. Dedicated Router memiliki spesifikasi yang rendah, tetapi efisien dalam konsumsi daya

listrik. PC Router memiliki spesifikasi yang lebih baik, tetapi boros dalam konsumsi daya listrik. Perangkat di lapisan core digunakan oleh NAP. Perangkat yang ada di lapisan distribution layer, digunakan oleh ISP. Perangkat yang ada di lapisan Access digunakan oleh end user.

Prog Studi : TKJ PC ROUTER dengan

Windows XP




Operasi Windows XP Siswa dapat membangun PC router dengan menggunakan sistem operasi

Windows XP

II. Pendahuluan










III. Alat dan Bahan 1 unit Komputer atau Laptop Software Virtual Machine (VmWare) OS Windows XP

IV. Langkah Kerja Aktifkan VmWare, kemudian pasang Sistem Operasi Windows XP Buat Konfigurasi PC Router dengan Topologi sebagai berikut.

Konfigurasi H1

Pengaturan IP Address dengan perintah : o Ip address add address=1.1.1.1 netmask=255.255.255.0

Pengaturan Gateway dengan Perintah :

o Ip route add gateway=1.1.1.2

Lihat hasil Konfigurasi dengan perintah : o Ip route print

Konfigurasi H2




Lihat hasil Konfigurasi dengan perintah :

o Ip route print

Konfigurasi R1 (Router)

Atur IP address untuk Local area Connection 1 o Ip address = 1.1.1.2 o Subnet mask = 255.255.255.0 o Default Gateway = 1.1.1.1

Atur IP address untuk Local Area Connection 2

o Ip address = 2.2.2.1 o Subnet mask = 255.255.255.0 o Default Gateway = 2.2.2.2

Mengaktifkan Fungsi PC Router

o Jalankan Regedit HKEY_LOCAL_MACHINE System Current Conttrol Set Service Tcpip Parameters

o Ganti value “IPenablerouter” menjadi 1.

o Restart System. V. Hasil Pengamatan

Traceroute dari H1 ke H2


VI. Kesimpulan




Prog Studi : TKJ PC ROUTER dengan Windows XP

dan Windows Server

I




Operasi Windows XP dan Windows Server. Siswa dapat membangun PC router dengan menggunakan sistem operasi

Windows XP dan Windows Server.

II. Pendahuluan











IV. Langkah Kerja

Aktifkan VmWare, kemudian pasang Sistem Operasi Windows XP Buat Konfigurasi PC Router dengan Topologi sebagai berikut.

Konfigurasi H1





Konfigurasi H2





o Ip route print

Konfigurasi H3





Konfigurasi H4


Pengaturan Gateway dengan Perintah : o Ip route add gateway=5.5.5.1




Mengaktifkan Fungsi PC Router o Jalankan Regedit HKEY_LOCAL_MACHINE System Current Conttrol

Set Service Tcpip Parameters


o Tambahkan daftar Tabel Routing pada CMD

o Restart System.

Atur IP address untuk Local Area Connection 3 o Ip address = 5.5.5.1 o Subnet mask = 255.255.255.0 o Default Gateway = 5.5.5.2

Mengaktifkan Fungsi PC Router o Masuk start Adminstrative Tools Routing And Remote Access o Pilih option Configure and Enable Routing anda Remote Access

o Pilih Custom Configuration, kemudian Next

o Pilih LAN Routing

o Pilih Finish, kemudian untuk mengaktifkan servise, pilih Yes.

o Servise selesai.


o Restart System.

V. Hasil Pengamatan Traceroute dari H1 ke H2








VI. Kesimpulan




Prog Studi : TKJ PC ROUTER dengan Windows XP

dan Windows Server

II




Operasi Windows XP dan Windows Server. Siswa dapat membangun PC router dengan menggunakan sistem operasi

Windows XP dan Windows Server.

II. Pendahuluan











IV. Langkah Kerja

Aktifkan VmWare, kemudian pasang Sistem Operasi Windows XP Buat Konfigurasi PC Router dengan Topologi sebagai berikut.

Konfigurasi H1





Konfigurasi H2





o Ip route print

Konfigurasi H3

Pengaturan IP Address dengan perintah : o Ip address add address=5.5.5.1netmask=255.255.255.0




Konfigurasi H4


Pengaturan Gateway dengan Perintah : o Ip route add gateway=7.7.7.1




Mengaktifkan Fungsi PC Router o Jalankan Regedit HKEY_LOCAL_MACHINE System Current Conttrol

Set Service Tcpip Parameters



o Restart System.

o Pilih LAN Routing


o Servise selesai.


o Restart System.


o Pilih LAN Routing


o Servise selesai.


o Restart System.

V. Hasil Pengamatan Traceroute dari H1 ke H2






VI. Kesimpulan




Prog Studi : TKJ

PC ROUTER pada Mikrotik

Nama : Rizal Fathul Anwar Experimen : Diagnosa LAN Kelas : 2 TKJ B No exp : 8 Instruktur : Rudi Haryadi

Adi Setiadi

I. Tujuan Siswa mengetahui bagaimana cara membuat PC Router dengan Sistem Operasi

Mikrotik di VirtualBox Siswa dapat membangun PC router dengan menggunakan sistem operasi Mikrotik di

VirtualBox Siswa dapat memahami materi untuk membangun PC Router dengan Operasi Sistem

yang berbeda dalam 1 topologi Siswa dapat mengkonfigurasi PC Router dengan Operasi Sistem yang berbeda dalam

1 topologi

II. Pendahuluan




Jika digunakan oleh instansi pemerintah atau ISP atau Personal maka tindakan tersebut

merupakan tindakan yang tepat karena anda telah melakukan efisiensi besar-besaran.

Karena apa ? PC bekas dapat anda gunakan seperti pentium 486 atau Pentium 1 artinya

tidak perlu membeli lagi, sedangkan OS PC Router tidak perlu beli yang commercial cukup

digunakan yang free/open source saja karena kemampuan dan feature yang open source

juga sudah mampu mengalahkan yang commercial dan Router Ternama.

Memiliki kemampuan/feature yang luar biasa seperti yang dimiliki oleh peralatan Router

hardware Ternama yang harganya puluhan juta bahkan ratusan juta rupiah.

Kemampuan processing dengan speed yang tinggi karena ditangani oleh kecepatan

processor PC, memori PC, Mainboard PC, Harddisk PC dan lain-lain. Coba anda bandingkan

Speed Processor Router Hardware yang kecepatannya Cuma 175 - 350 MHz saja. Coba

bandingkan jika menggunakan MainBoard Via Evia Processor Onboard Cyrix 2,8GHz yang

berharga sangat murah.

Hardwarenya sangat mudah untuk di upgrade seperti layaknya PC. Dan untuk USB Wireless

bisa di deteksi secara plug & Play tanpa harus merestart PC khususnya Linux Based Router

Free BSD OS Pfsense.

Instalasi yang sangat mudah dan tidak membutuhkan waktu yang lama (pengalaman saya

menginstall PC Router tidak lebih dari 5 menit saja). Instalasi dapat menggunakan CD-ROM

tapi yang lebih mudah dapat ditulis langsung dengan Phisicalywrite langsung dari OS

Windows.

Pada salah satu OS PC Router (Pfsense) yang mempunyai kemampuan mendukung USB

WLAN yang dapat dijadikan Access Point. Sedangkan OS Router PC yang lain juga memiliki

feature sebagai Virtual AP, Client Bridge, repeater, Wireless Client Dll. Tergantung dari ciri

khas/feature dari OS PC Router tersebut seperti Lintrack atau DD-WRTX86.

MikroTik RouterOS™, merupakan sistem operasi Linux base yang diperuntukkan

sebagai network router. Didesain untuk memberikan kemudahan bagi

penggunanya.Administrasinya bisa dilakukan melalui Windows Application (WinBox). Selain

itu instalasidapat dilakukan pada Standard komputer PC (Personal Computer). PC yang akan

dijadikanrouter mikrotik pun tidak memerlukan resource yang cukup besar untuk

penggunaanstandard, misalnya hanya sebagai gateway. Untuk keperluan beban yang besar

(networkyang kompleks, routing yang rumit) disarankan untuk mempertimbangkan

pemilihanresource PC yang memadai.

Sejarah MikroTik RouterOS

MikroTik adalah sebuah perusahaan kecil berkantor pusat di Latvia, bersebelahan

denganRusia. Pembentukannya diprakarsai oleh John Trully dan Arnis Riekstins. John Trully

adalahseorang berkewarganegaraan Amerika yang berimigrasi ke Latvia. Di Latvia ia

berjumpadengan Arnis, Seorang darjana Fisika dan Mekanik sekitar tahun 1995.John dan

Arnis mulai me-routing dunia pada tahun 1996 (misi MikroTik adalah me-routingseluruh

dunia). Mulai dengan sistem Linux dan MS-DOS yang dikombinasikan denganteknologi

Wireless-LAN (WLAN) Aeronet berkecepatan 2 Mbps di Moldova, negara tetanggaLatvia,

baru kemudian melayani lima pelanggannya di Latvia.

Prinsip dasar mereka bukan membuat Wireless ISP (W-ISP), tetapi membuat program routeryang handal dan dapat dijalankan diseluruh dunia. Latvia hanya merupakan tempateksperimen John dan Arnis, karena saat ini mereka sudah membantu negara-negara laintermasuk Srilanka yang melayani sekitar 400 pengguna.Linux yang pertama kali digunakan adalah Kernel 2.2 yang dikembangkan secara bersama-sama dengan bantuan 5-15 orang staff Research and Development (R&D) MikroTik yangsekarang menguasai dunia routing di negara-negara berkembang. Menurut Arnis, selain staf di lingkungan MikroTik, mereka juga merekrut tenega-tenaga lepas dan pihak ketiga yangdengan intensif mengembangkan MikroTik secara marathon.

JENIS-JENIS MIKROTIK

1. MikroTik RouterOS yang berbentuk software yang dapat di-download diwww.mikrotik.com. Dapat diinstal pada kompuetr rumahan (PC).

2. BUILT-IN Hardware MikroTik dalam bentuk perangkat keras yang khusus dikemasdalam board router yang didalamnya sudah terinstal MikroTik RouterOS.

III. Alat dan Bahan 1 unit Komputer atau Laptop Software virtual box OS FreeBSD.iso OS Mikrotik.iso

IV. Langkah Kerja 1. Aktifkan software Vmware 2. Lakukan proses instalasi Sistem Operasi (Mikrotik) terlebih dahulu 3. Atur keduanya sehingga memiliki 2 interface. Bisa dengan cara menekan tombol ctrl+d 4. Setelah proses penginstalan selesai lakukan konfigurasi router pada sistem operasi Mikrotik

sesuai dengan topologi yang telah dibuat :

Topologi 1

Topologi 2

Topologi 1 1. Lakukan pengecekan ethernet dan IP dengan perintah ip address print 2. Lakukan konfigurasi IP Address H1 dengan perintah :

>ip address add address=172.16.16.2 netmask 255.255.255.192 interface=ether1

3. Kemudian konfigurasi route gateway dengan perintah

>Ip route add gateway= 172.16.16.1

4. Setelah itu lakukan konfigurasi pada H2 seperti berikut :

>ip address add address=173.16.16.2 netmask 255.255.255.0 interface=ether1

5. Lalu tambahkan gateway dengan perintah :

>Ip route add gateway= 173.16.16.1

6. Lakukan pengecekan IP pada router dengan perintah ip address print 7. Konfigurasi IP address untuk router seperti berikut

a. >ip address add address=172.16.16.1 netmask 255.255.255.192 interface=ether1 b. >ip address add address=173.16.16.1 netmask 255.255.255.0 interface=ether2

12.12.12.0/24

8. Setelah konfigurasi selesai lakukan pengujian dengan perintah ping atau traceroute

Topologi 2 1. Lakukan pengecekan Ip address pada Host pertama dengan perintah ip address print 2. Konfigurasi IP address sesuai dengan topologi yang disediakan dengan perintah

>ip address add address=11.11.11.1 netmask 255.255.255.0 interface=ether1 3. Lalu tambahkan gateway untuk host dengan perintah

>ip route add gateway=11.11.11.2

4. Setelah itu konfigurasi ip address pada host kedua >ip address add address=13.13.13.2 netmask 255.255.255.192 interface=ether1

5. Lalu tambahkan gateway untuk host dengan perintah >ip route add gateway=13.13.13.1

6. Kemudian lakukan konfigurasi pada router pertama >ip address add address=11.11.11.2 netmask 255.255.255.0 interface=ether1 >ip address add address=12.12.12.2 netmask 255.255.255.0 interface=ether2

7. Lalu konfigurasi router kedua seperti berikut >ip address add address=12.12.12.1 netmask 255.255.255.0 interface=ether1 >ip address add address=13.13.13.1 netmask 255.255.255.192 interface=ether2

8. Lakukan pengecekan dengan perintah ping atau traceroute

V. Hasil Pengamatan Topologi 1

Ping dari H1

Ping dari H2

Ping dari Router

Topologi 2

Ping dari H1

Ping dari H2

Ping dari R1

Ping dari R2

VI. Kesimpulan



Program Studi : TKJ

Packet Filtering

Nama : Rizal Fathul A Exp : Diagnosa LAN Kelas : XI TKJ B

No. Exp :9 Instruktur : 1. Rudi Haryadi 2. Adi Setiadi

TUJUAN

Siswa dapat membangun sistem keamanan jaringan sederhana dengan packet filtering. Siswa dapat membuat chain dan rule dalam tabel sebelum diimplementasikan. Siswa dapat melakukan konfigurasi packet filtering pada OS Linux dengan

menggunakan perintah iptables.

PENDAHULUAN

Firewall

Firewall atau tembok-api adalah sebuah sistem atau perangkat yang mengizinkan lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak aman. Umumnya, sebuah tembok-api diterapkan dalam sebuah mesin terdedikasi, yang berjalan pada pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya.Tembok-api umumnya juga digunakan untuk mengontrol akses terhadap siapa saja yang memiliki akses terhadap jaringan pribadi dari pihak luar.Saat ini, istilah firewall menjadi istilah lazim yang merujuk pada sistem yang mengatur komunikasi antar dua jaringan yang berbeda. Mengingat saat ini banyak perusahaan yang memiliki akses ke Internet dan juga tentu saja jaringan berbadan hukum di dalamnya, maka perlindungan terhadap modal digital perusahaan tersebut dari serangan para peretas, pemata-mata, ataupun pencuri data lainnya, menjadi hakikat.

Jenis-jenis Firewall

Firewall terbagi menjadi dua jenis, yakni sebagai berikut

◦ Personal Firewall: Personal Firewall didesain untuk melindungi sebuah komputer yang terhubung ke jaringan dari akses yang tidak dikehendaki. Firewall jenis ini akhir-akhir ini berevolusi menjadi sebuah kumpulan program yang bertujuan untuk mengamankan komputer secara total, dengan ditambahkannya beberapa fitur pengaman tambahan semacam perangkat proteksi terhadap virus, anti-spyware, anti-spam, dan lainnya. Bahkan beberapa produk firewall lainnya dilengkapi dengan

fungsi pendeteksian gangguan keamanan jaringan (Intrusion Detection System). Contoh dari firewall jenis ini adalah Microsoft Windows Firewall (yang telah terintegrasi dalam sistem operasi Windows XP Service Pack 2, Windows Vista dan Windows Server 2003 Service Pack 1), Symantec Norton Personal Firewall, Kerio Personal Firewall, dan lain-lain. Personal Firewall secara umum hanya memiliki dua fitur utama, yakni Packet Filter Firewall dan Stateful Firewall.

◦ Network Firewall: Network ‘‘’’Firewall didesain untuk melindungi jaringan secara keseluruhan dari berbagai serangan. Umumnya dijumpai dalam dua bentuk, yakni sebuah perangkat terdedikasi atau sebagai sebuah perangkat lunak yang diinstalasikan dalam sebuah server. Contoh dari firewall ini adalah Microsoft Internet Security and Acceleration Server (ISA Server), Cisco PIX, Cisco ASA, IPTables dalam sistem operasi GNU/Linux, pf dalam keluarga sistem operasi Unix BSD, serta SunScreen dari Sun Microsystems, Inc. yang dibundel dalam sistem operasi Solaris. Network Firewall secara umum memiliki beberapa fitur utama, yakni apa yang dimiliki oleh personal firewall (packet filter firewall dan stateful firewall), Circuit Level Gateway, Application Level Gateway, dan juga NAT Firewall. Network Firewall umumnya bersifat transparan (tidak terlihat) dari pengguna dan menggunakan teknologi routing untuk menentukan paket mana yang diizinkan, dan mana paket yang akan ditolak.

Fungsi Firewall

Secara fundamental, firewall dapat melakukan hal-hal berikut:

◦ Mengatur dan mengontrol lalu lintas jaringan ◦ Melakukan autentikasi terhadap akses ◦ Melindungi sumber daya dalam jaringan privat ◦ Mencatat semua kejadian, dan melaporkan kepada administrator Mengatur dan Mengontrol Lalu lintas jaringan

Fungsi pertama yang dapat dilakukan oleh firewall adalah firewall harus dapat mengatur dan mengontrol lalu lintas jaringan yang diizinkan untuk mengakses jaringan privat atau komputer yang dilindungi oleh firewall. Firewall melakukan hal yang demikian, dengan

melakukan inspeksi terhadap paket-paket dan memantau koneksi yang sedang dibuat, lalu melakukan penapisan (filtering) terhadap koneksi berdasarkan hasil inspeksi paket dan koneksi tersebut.

Proses inspeksi Paket

Inspeksi paket (‘packet inspection) merupakan proses yang dilakukan oleh firewall untuk ‘menghadang’ dan memproses data dalam sebuah paket untuk menentukan bahwa paket tersebut diizinkan atau ditolak, berdasarkan kebijakan akses (access policy) yang diterapkan oleh seorang administrator. Firewall, sebelum menentukan keputusan apakah hendak menolak atau menerima komunikasi dari luar, ia harus melakukan inspeksi terhadap setiap paket (baik yang masuk ataupun yang keluar) di setiap antarmuka dan membandingkannya dengan daftar kebijakan akses. Inspeksi paket dapat dilakukan dengan melihat elemen-elemen berikut, ketika menentukan apakah hendak menolak atau menerima komunikasi:

◦ Alamat IP dari komputer sumber ◦ Port sumber pada komputer sumber ◦ Alamat IP dari komputer tujuan ◦ Port tujuan data pada komputer tujuan ◦ Protokol IP ◦ Informasi header-header yang disimpan dalam paket Koneksi dan Keadaan Koneksi

Agar dua host TCP/IP dapat saling berkomunikasi, mereka harus saling membuat koneksi antara satu dengan lainnya. Koneksi ini memiliki dua tujuan:

1. Komputer dapat menggunakan koneksi tersebut untuk mengidentifikasikan dirinya kepada komputer lain, yang meyakinkan bahwa sistem lain yang tidak membuat koneksi tidak dapat mengirimkan data ke komputer tersebut. Firewall juga dapat menggunakan informasi koneksi untuk menentukan koneksi apa yang diizinkan oleh kebijakan akses dan menggunakannya untuk menentukan apakah paket data tersebut akan diterima atau ditolak.

2. Koneksi digunakan untuk menentukan bagaimana cara dua host tersebut akan berkomunikasi antara satu dengan yang lainnya (apakah dengan menggunakan koneksi connection-oriented, atau connectionless).

Kedua tujuan tersebut dapat digunakan untuk menentukan keadaan koneksi antara dua host tersebut, seperti halnya cara manusia bercakap-cakap. Jika Amir bertanya kepada Aminah mengenai sesuatu, maka Aminah akan meresponsnya dengan jawaban yang sesuai dengan

pertanyaan yang diajukan oleh Amir; Pada saat Amir melontarkan pertanyaannya kepada Aminah, keadaan percakapan tersebut adalah Amir menunggu respons dari Aminah. Komunikasi di jaringan juga mengikuti cara yang sama untuk memantau keadaan percakapan komunikasi yang terjadi.

Firewall dapat memantau informasi keadaan koneksi untuk menentukan apakah ia hendak mengizinkan lalu lintas jaringan. Umumnya hal ini dilakukan dengan memelihara sebuah tabel keadaan koneksi (dalam istilah firewall: state table) yang memantau keadaan semua komunikasi yang melewati firewall. Dengan memantau keadaan koneksi ini, firewall dapat menentukan apakah data yang melewati firewall sedang “ditunggu” oleh host yang dituju, dan jika ya, aka mengizinkannya. Jika data yang melewati firewall tidak cocok dengan keadaan koneksi yang didefinisikan oleh tabel keadaan koneksi, maka data tersebut akan ditolak. Hal ini umumnya disebut sebagai Stateful Inspection.

Stateful Packet Inspection

Ketika sebuah firewall menggabungkan stateful inspection dengan packet inspection, maka firewall tersebut dinamakan dengan Stateful Packet Inspection (SPI). SPI merupakan proses inspeksi paket yang tidak dilakukan dengan menggunakan struktur paket dan data yang terkandung dalam paket, tapi juga pada keadaan apa host-host yang saling berkomunikasi tersebut berada. SPI mengizinkan firewall untuk melakukan penapisan tidak hanya berdasarkan isi paket tersebut, tapi juga berdasarkan koneksi atau keadaan koneksi, sehingga dapat mengakibatkan firewall memiliki kemampuan yang lebih fleksibel, mudah diatur, dan memiliki skalabilitas dalam hal penapisan yang tinggi.

Salah satu keunggulan dari SPI dibandingkan dengan inspeksi paket biasa adalah bahwa ketika sebuah koneksi telah dikenali dan diizinkan (tentu saja setelah dilakukan inspeksi), umumnya sebuah kebijakan (policy) tidak dibutuhkan untuk mengizinkan komunikasi balasan karena firewall tahu respons apa yang diharapkan akan diterima. Hal ini memungkinkan inspeksi terhadap data dan perintah yang terkandung dalam sebuah paket data untuk menentukan apakah sebuah koneksi diizinkan atau tidak, lalu firewall akan secara otomatis memantau keadaan percakapan dan secara dinamis mengizinkan lalu lintas yang sesuai dengan keadaan. Ini merupakan peningkatan yang cukup signifikan jika dibandingkan dengan firewall dengan inspeksi paket biasa.Apalagi, proses ini diselesaikan tanpa adanya kebutuhan untuk mendefinisikan sebuah kebijakan untuk mengizinkan respons dan komunikasi selanjutnya.Kebanyakan firewall modern telah mendukung fungsi ini.

Melakukan autentikasi terhadap akses

Fungsi fundamental firewall yang kedua adalah firewall dapat melakukan autentikasi terhadap akses.

Protokol TCP/IP dibangun dengan premis bahwa protokol tersebut mendukung komunikasi yang terbuka. Jika dua host saling mengetahui alamat IP satu sama lainnya, maka mereka diizinkan untuk saling berkomunikasi. Pada awal-awal perkembangan Internet, hal ini boleh dianggap sebagai suatu berkah.Tapi saat ini, di saat semakin banyak yang terhubung ke Internet, mungkin kita tidak mau siapa saja yang dapat berkomunikasi dengan sistem yang kita miliki. Karenanya, firewall dilengkapi dengan fungsi autentikasi dengan menggunakan beberapa mekanisme autentikasi, sebagai berikut:

◦ Firewall dapat meminta input dari pengguna mengenai nama pengguna (user name) serta

kata kunci (password). Metode ini sering disebut sebagai extended authentication atau xauth. Menggunakan xauth pengguna yang mencoba untuk membuat sebuah koneksi akan diminta input mengenai nama dan kata kuncinya sebelum akhirnya diizinkan oleh firewall. Umumnya, setelah koneksi diizinkan oleh kebijakan keamanan dalam firewall, firewall pun tidak perlu lagi mengisikan input password dan namanya, kecuali jika koneksi terputus dan pengguna mencoba menghubungkan dirinya kembali.

◦ Metode kedua adalah dengan menggunakan sertifikat digital dan kunci publik. Keunggulan metode ini dibandingkan dengan metode pertama adalah proses autentikasi dapat terjadi tanpa intervensi pengguna. Selain itu, metode ini lebih cepat dalam rangka melakukan proses autentikasi. Meskipun demikian, metode ini lebih rumit implementasinya karena membutuhkan banyak komponen seperti halnya implementasi infrastruktur kunci publik.

◦ Metode selanjutnya adalah dengan menggunakan Pre-Shared Key (PSK) atau kunci yang telah diberitahu kepada pengguna. Jika dibandingkan dengan sertifikat digital, PSK lebih mudah diimplenentasikan karena lebih sederhana, tetapi PSK juga mengizinkan proses autentikasi terjadi tanpa intervensi pengguna. Dengan menggunakan PSK, setiap host akan diberikan sebuah kunci yang telah ditentukan sebelumnya yang kemudian digunakan untuk proses autentikasi. Kelemahan metode ini adalah kunci PSK jarang sekali diperbarui dan banyak organisasi sering sekali menggunakan kunci yang sama untuk melakukan koneksi terhadap host-host yang berada pada jarak jauh, sehingga hal ini sama saja meruntuhkan proses autentikasi. Agar tercapai sebuah derajat keamanan yang tinggi, umumnya beberapa organisasi juga menggunakan gabungan antara metode PSK dengan xauth atau PSK dengan sertifikat digital.

Dengan mengimplementasikan proses autentikasi, firewall dapat menjamin bahwa koneksi dapat diizinkan atau tidak. Meskipun jika paket telah diizinkan dengan menggunakan inspeksi paket (PI) atau berdasarkan keadaan koneksi (SPI), jika host tersebut tidak lolos proses autentikasi, paket tersebut akan dibuang.

Melindungi sumber daya dalam jaringan privat

Salah satu tugas firewall adalah melindungi sumber daya dari ancaman yang mungkin datang. Proteksi ini dapat diperoleh dengan menggunakan beberapa peraturan pengaturan akses (access control), penggunaan SPI, application proxy, atau kombinasi dari semuanya untuk mencegah host yang dilindungi dapat diakses oleh host-host yang mencurigakan atau dari lalu lintas jaringan yang mencurigakan. Meskipun demikian, firewall bukanlah satu-satunya metode proteksi terhadap sumber daya, dan mempercayakan proteksi terhadap sumber daya dari ancaman terhadap firewall secara eksklusif adalah salah satu kesalahan fatal. Jika sebuah host yang menjalankan sistem operasi tertentu yang memiliki lubang keamanan yang belum ditambal dikoneksikan ke Internet, firewall mungkin tidak dapat mencegah dieksploitasinya host tersebut oleh host-host lainnya, khususnya jika exploit tersebut menggunakan lalu lintas yang oleh firewall telah diizinkan (dalam konfigurasinya). Sebagai contoh, jika sebuah packet-inspection firewall mengizinkan lalu lintas HTTP ke sebuah web server yang menjalankan sebuah layanan web yang memiliki lubang keamanan yang belum ditambal, maka seorang pengguna yang “iseng” dapat saja membuat exploit untuk meruntuhkan web server tersebut karena memang web server yang bersangkutan memiliki lubang keamanan yang belum ditambal. Dalam contoh ini, web server tersebut akhirnya mengakibatkan proteksi yang ditawarkan oleh firewall menjadi tidak berguna.Hal ini disebabkan oleh firewall yang tidak dapat membedakan antara request HTTP yang mencurigakan atau tidak.Apalagi, jika firewall yang digunakan bukan application proxy.Oleh karena itulah,

sumber daya yang dilindungi haruslah dipelihara dengan melakukan penambalan terhadap lubang-lubang keamanan, selain tentunya dilindungi oleh firewall.

Mencatat semua kejadian, dan melaporkan kepada administrator

[Placeholder]

Cara Kerja Firewall

Packet-Filter Firewall

Pada bentuknya yang paling sederhana, sebuah firewall adalah sebuah router atau komputer yang dilengkapi dengan dua buah NIC (Network Interface Card, kartu antarmuka jaringan) yang mampu melakukan penapisan atau penyaringan terhadap paket-paket yang masuk.Perangkat jenis ini umumnya disebut dengan packet-filtering router.

Firewall jenis ini bekerja dengan cara membandingkan alamat sumber dari paket-paket tersebut dengan kebijakan pengontrolan akses yang terdaftar dalam Access Control List firewall, router tersebut akan mencoba memutuskan apakah hendak meneruskan paket yang masuk tersebut ke tujuannya atau menghentikannya. Pada bentuk yang lebih sederhana lagi, firewall hanya melakukan pengujian terhadap alamat IP atau nama domain yang menjadi sumber paket dan akan menentukan apakah hendak meneruskan atau menolak paket tersebut.

Meskipun demikian, packet-filtering router tidak dapat digunakan untuk memberikan akses (atau menolaknya) dengan menggunakan basis hak-hak yang dimiliki oleh pengguna.

Packet-filtering router juga dapat dikonfigurasikan agar menghentikan beberapa jenis lalu lintas jaringan dan tentu saja mengizinkannya. Umumnya, hal ini dilakukan dengan mengaktifkan/menonaktifkan port TCP/IP dalam sistem firewall tersebut. Sebagai contoh, port 25 yang digunakan oleh Protokol SMTP (Simple Mail Transfer Protocol) umumnya dibiarkan terbuka oleh beberapa firewall untuk mengizinkan surat elektronik dari Internet masuk ke dalam jaringan privat, sementara port lainnya seperti port 23 yang digunakan oleh Protokol Telnet dapat dinonaktifkan untuk mencegah pengguna Internet untuk mengakses layanan yang terdapat dalam jaringan privat tersebut. Firewall juga dapat memberikan semacam pengecualian (exception) agar beberapa aplikasi dapat melewati firewall tersebut. Dengan menggunakan pendekatan ini, keamanan akan lebih kuat tapi memiliki kelemahan yang signifikan yakni kerumitan konfigurasi terhadap firewall: daftar Access Control List firewall akan membesar seiring dengan banyaknya alamat IP, nama domain, atau port yang dimasukkan ke dalamnya, selain tentunya juga exception yang diberlakukan.

Circuit Level Gateway

Firewall jenis lainnya adalah Circuit-Level Gateway, yang umumnya berupa komponen dalam sebuah proxy server. Firewall jenis ini beroperasi pada level yang lebih tinggi dalam model referensi tujuh lapis OSI (bekerja pada lapisan sesi/session layer) daripada Packet Filter Firewall. Modifikasi ini membuat firewall jenis ini berguna dalam rangka menyembunyikan informasi mengenai jaringan terproteksi, meskipun firewall ini tidak melakukan penyaringan terhadap paket-paket individual yang mengalir dalam koneksi.

Dengan menggunakan firewall jenis ini, koneksi yang terjadi antara pengguna dan jaringan pun disembunyikan dari pengguna. Pengguna akan dihadapkan secara langsung dengan firewall pada saat proses pembuatan koneksi dan firewall pun akan membentuk koneksi dengan sumber daya jaringan yang hendak diakses oleh pengguna setelah mengubah alamat IP dari paket yang ditransmisikan oleh dua belah pihak. Hal ini mengakibatkan terjadinya sebuah sirkuit virtual (virtual circuit) antara pengguna dan sumber daya jaringan yang ia akses.

Firewall ini dianggap lebih aman dibandingkan dengan Packet-Filtering Firewall, karena pengguna eksternal tidak dapat melihat alamat IP jaringan internal dalam paket-paket yang ia terima, melainkan alamat IP dari firewall. Protokol yang populer digunakan sebagai Circuit-Level Gateway adalah SOCKS v5.

Application Level Firewall

Firewall jenis lainnya adalah Application Level Gateway (atau Application-Level Firewall atau sering juga disebut sebagai Proxy Firewall), yang umumnya juga merupakan komponen dari sebuah proxy server. Firewall ini tidak mengizinkan paket yang datang untuk melewati firewall secara langsung. Tetapi, aplikasi proxy yang berjalan dalam komputer yang menjalankan firewall akan meneruskan permintaan tersebut kepada layanan yang tersedia dalam jaringan privat dan kemudian meneruskan respons dari permintaan tersebut kepada komputer yang membuat permintaan pertama kali yang terletak dalam jaringan publik yang

tidak aman.

Umumnya, firewall jenis ini akan melakukan autentikasi terlebih dahulu terhadap pengguna sebelum mengizinkan pengguna tersebut untuk mengakses jaringan. Selain itu, firewall ini juga mengimplementasikan mekanisme auditing dan pencatatan (logging) sebagai bagian dari kebijakan keamanan yang diterapkannya.Application Level Firewall juga umumnya mengharuskan beberapa konfigurasi yang diberlakukan pada pengguna untuk mengizinkan mesin klien agar dapat berfungsi. Sebagai contoh, jika sebuah proxy FTP dikonfigurasikan di atas sebuah application layer gateway, proxy tersebut dapat dikonfigurasikan untuk mengizinlan beberapa perintah FTP, dan menolak beberapa perintah lainnya. Jenis ini paling sering diimplementasikan pada proxy SMTP sehingga mereka dapat menerima surat elektronik dari luar (tanpa menampakkan alamat e-mail internal), lalu meneruskan e-mail tersebut kepada e-mail server dalam jaringan. Tetapi, karena adanya pemrosesan yang lebih rumit, firewall jenis ini mengharuskan komputer yang dikonfigurasikan sebagai application gateway memiliki spesifikasi yang tinggi, dan tentu saja jauh lebih lambat dibandingkan dengan packet-filter firewall.

NAT Firewall

NAT (Network Address Translation) Firewall secara otomatis menyediakan proteksi terhadap sistem yang berada di balik firewall karena NAT Firewall hanya mengizinkan koneksi yang

datang dari komputer-komputer yang berada di balik firewall.Tujuan dari NAT adalah untuk melakukan multiplexing terhadap lalu lintas dari jaringan internal untuk kemudian menyampaikannya kepada jaringan yang lebih luas (MAN, WAN atau Internet) seolah-olah paket tersebut datang dari sebuah alamat IP atau beberapa alamat IP. NAT Firewall membuat tabel dalam memori yang mengandung informasi mengenai koneksi yang dilihat oleh firewall. Tabel ini akan memetakan alamat jaringan internal ke alamat eksternal. Kemampuan untuk menaruh keseluruhan jaringan di belakang sebuah alamat IP didasarkan terhadap pemetaan terhadap port-port dalam NAT firewall.

Stateful Firewall

Stateful Firewall merupakan sebuah firewall yang menggabungkan keunggulan yang ditawarkan oleh packet-filtering firewall, NAT Firewall, Circuit-Level Firewall dan Proxy Firewall dalam satu sistem.Stateful Firewall dapat melakukan filtering terhadap lalu lintas berdasarkan karakteristik paket, seperti halnya packet-filtering firewall, dan juga memiliki pengecekan terhadap sesi koneksi untuk meyakinkan bahwa sesi koneksi yang terbentuk tersebut diizinlan.Tidak seperti Proxy Firewall atau Circuit Level Firewall, Stateful Firewall umumnya didesain agar lebih transparan (seperti halnya packet-filtering firewall atau NAT firewall). Tetapi, stateful firewall juga mencakup beberapa aspek yang dimiliki oleh application level firewall, sebab ia juga melakukan inspeksi terhadap data yang datang dari lapisan aplikasi (application layer) dengan menggunakan layanan tertentu. Firewall ini hanya tersedia pada beberapa firewall kelas atas, semacam Cisco PIX. Karena menggabungkan keunggulan jenis-jenis firewall lainnya, stateful firewall menjadi lebih kompleks.

Virtual Firewall

Virtual Firewall adalah sebutan untuk beberapa firewall logis yang berada dalam sebuah perangkat fisik (komputer atau perangkat firewall lainnya).Pengaturan ini mengizinkan beberapa jaringan agar dapat diproteksi oleh sebuah firewall yang unik yang menjalankan kebijakan keamanan yang juga unik, cukup dengan menggunakan satu buah perangkat.Dengan menggunakan firewall jenis ini, sebuah ISP (Internet Service Provider) dapat menyediakan layanan firewall kepada para pelanggannya, sehingga mengamankan lalu lintas jaringan mereka, hanya dengan menggunakan satu buah perangkat.Hal ini jelas merupakan penghematan biaya yang signifikan, meski firewall jenis ini hanya tersedia pada firewall kelas atas, seperti Cisco PIX 535.

Transparent Firewall

Transparent Firewall (juga dikenal sebagai bridging firewall) bukanlah sebuah firewall yang murni, tetapi ia hanya berupa turunan dari stateful Firewall. Daripada firewall-firewall lainnya yang beroperasi pada lapisan IP ke atas, transparent firewall bekerja pada lapisan Data-Link Layer, dan kemudian ia memantau lapisan-lapisan yang ada di atasnya. Selain itu, transparent firewall juga dapat melakukan apa yang dapat dilakukan oleh packet-filtering firewall, seperti halnya stateful firewall dan tidak terlihat oleh pengguna (karena itulah, ia disebut sebagai Transparent Firewall).

Intinya, transparent firewall bekerja sebagai sebuah bridge yang bertugas untuk menyaring lalu lintas jaringan antara dua segmen jaringan.Dengan menggunakan transparent firewall, keamanan sebuah segmen jaringan pun dapat diperkuat, tanpa harus mengaplikasikan NAT Filter. Transparent Firewall menawarkan tiga buah keuntungan, yakni sebagai berikut:

◦ Konfigurasi yang mudah (bahkan beberapa produk mengklaim sebagai “Zero Configuration”). Hal ini memang karena transparent firewall dihubungkan secara langsung dengan jaringan yang hendak diproteksinya, dengan memodifikasi sedikit atau tanpa memodifikasi konfigurasi firewall tersebut. Karena ia bekerja pada data-link layer, pengubahan alamat IP pun tidak dibutuhkan. Firewall juga dapat dikonfigurasikan untuk melakukan segmentasi terhadap sebuah subnet jaringan antara jaringan yang memiliki keamanan yang rendah dan keamanan yang tinggi atau dapat juga untuk melindungi sebuah host, jika memang diperlukan.

◦ Kinerja yang tinggi. Hal ini disebabkan oleh firewall yang berjalan dalam lapisan data-link lebih sederhana dibandingkan dengan firewall yang berjalan dalam lapisan yang lebih tinggi. Karena bekerja lebih sederhana, maka kebutuhan pemrosesan pun lebih kecil dibandingkan dengan firewall yang berjalan pada lapisan yang tinggi, dan akhirnya performa yang ditunjukannya pun lebih tinggi.

Tidak terlihat oleh pengguna (stealth).Hal ini memang dikarenakan Transparent Firewall bekerja pada lapisan data-link, dan tidak membutuhkan alamat IP yang ditetapkan untuknya (kecuali untuk melakukan manajemen terhadapnya, jika memang jenisnya managed firewall).Karena itulah, transparent firewall tidak dapat terlihat oleh para penyerang.Karena tidak dapat diraih oleh penyerang (tidak memiliki alamat IP), penyerang pun tidak dapat menyerangnya.

Penapisan paket

Penapisan paket (bahasa Inggris: Packet filtering) adalah mekanisme yang dapat memblokir paket-paket data jaringan yang dilakukan berdasarkan peraturan yang telah ditentukan sebelumnya.

Packet filtering adalah salah satu jenis teknologi keamanan yang digunakan untuk mengatur paket-paket apa saja yang diizinkan masuk ke dalam sistem atau jaringan dan paket-paket apa saja yang diblokir. Packet filtering umumnya digunakan untuk memblokir lalu lintas yang mencurigakan yang datang dari alamat IP yang mencurigakan, nomor port TCP/UDP yang mencurigakan, jenis protokol aplikasi yang mencurigakan, dan kriteria lainnya. Akhir-akhir ini, fitur packet filtering telah dimasukkan ke dalam banyak sistem operasi (IPTables dalam GNU/Linux, dan IP Filter dalam Windows) sebagai sebuah fitur standar, selain tentunya firewall dan router.

Implementasi

Packet filtering terbagi menjadi dua jenis, yakni:

◦ Static packet filtering (Penapisan paket statis) ◦ Dynamic packet filtering (Penapisan paket dinamis), atau sering juga disebut sebagai

Stateful Packet Filter. Penapisan paket statis

Static packet filteringakan menentukan apakah hendak menerima atau memblokir setiap

paket berdasarkan informasi yang disimpan di dalam header sebuah paket (seperti halnya alamat sumber dan tujuan, port sumber dan tujuan, jenis protokol, serta informasi lainnya). Jenis ini umumnya ditemukan di dalam sistem-sistem operasi dan router dan menggunakan sebuah tabel daftar pengaturan akses (access control list) yang berisi peraturan yang menentukan “takdir” setiap paket: diterima atau ditolak.

Administrator jaringan dapat membuat peraturan tersebut sebagai daftar yang berurutan. Setiap paket yang datang kepada filter, akan dibandingkan dengan setiap peraturan yang diterapkan di dalam filter tersebut, hingga sebuah kecocokan ditemukan. Jika tidak ada yang cocok, maka paket yang datang tersebut ditolak, dan berlaku sebaliknya.

Peraturan tersebut dapat digunakan untuk menerima paket atau menolaknya dengan menggunakan basis informasi yang diperoleh dari header protokol yang digunakan, dan jenis dari paket tersebut. Kebanyakan perangkat yang memiliki fitur packet filtering, menawarkan kepada administrator jaringan untuk membuat dua jenis peraturan, yakni inbound rule dan outbound rule. Inbound rule merujuk kepada inspeksi paket akan dilakukan terhadap paket yang datang dari luar, sementara outbound rule merujuk inspeksi paket akan dilakukan terhadap paket yang hendak keluar.

Penapisan paket dinamis

Dynamic packet filtering beroperasi seperti halnya static packet filtering, tapi jenis ini juga tetap memelihara informasi sesi yang mengizinkan mereka untuk mengontrol aliran paket antara dua host secara dinamis, dengan cara membuka dan menutup port komunikasi sesuai kebutuhan. Jenis ini seringnya diimplementasikan di dalam produk firewall, di mana produk-produk tersebut dapat digunakan untuk mengontrol aliran data masuk ke jaringan dan aliran

data keluar dari jaringan.

Sebagai contoh, sebuah dynamic packet filter dapat dikonfigurasikan sedemikian rupa sehingga hanya lalu lintas inbound protokol Hypertext Transfer Protocol (HTTP) saja yang diizinkan masuk jaringan, sebagai respons dari request dari klien HTTP yang berada di dalam jaringan. Untuk melakukan hal ini, lalu lintas oubound yang melalui port 80/TCP akan diizinkan, sehingga request HTTP dari klien yang berada di dalam jaringan dapat diteruskan dan disampaikan ke luar jaringan. Ketika sebuah request HTTP outbound datang melalui filter, filter kemudian akan melakukan inspeksi terhadap paket untuk memperoleh informasi sesi koneksi TCP dari request yang bersangkutan, dan kemudian akan membuka port 80 untuk lalu lintas inbound sebagai respons terhadap request tersebut. Ketika respons HTTP datang, respons tersebut akan melalui port 80 ke dalam jaringan, dan kemudian filter pun menutup port 80 untuk lalu lintas inbound.

Pendekatan seperti ini tidak mungkin dilakukan di dalam static packet filtering, yang hanya dapat dikonfigurasikan untuk memblokir lalu lintas inbound ke port 80 atau membukanya, bukan sebagian dari lalu lintas tersebut. Meskipun demikian, dynamic packet filtering juga dapat dikelabui oleh penyerang, karena para penyerang dapat “membajak” sebuah sesi koneksi TCP dan membuat lalu lintas yang datang ke jaringan merupakan lalu lintas yang diizinkan. Selain itu, dynamic packet filtering juga hanya dapat digunakan pada paket-paket TCP saja, dan tidak dapat digunakan untuk paket User Datagram Protocol (UDP) atau paket Internet Control Message Protocol (ICMP), mengingat UDP dan ICMP bersifat connectionless yang tidak perlu membangun sebuah sesi koneksi (seperti halnya TCP) untuk mulai berkomunikasi dan bertukar informasi.

IPTables

IPTables memiliki tiga macam daftar aturan bawaan dalam tabel penyaringan, daftar tersebut dinamakan rantai firewall (firewall chain) atau sering disebut chain saja. Ketiga chain tersebut adalah INPUT, OUTPUT dan FORWARD.

Pada diagram tersebut, lingkaran menggambarkan ketiga rantai atau chain. Pada saat sebuah paket sampai pada sebuah lingkaran, maka disitulah terjadi proses penyaringan. Rantai akan memutuskan nasib paket tersebut. Apabila keputusannnya adalah DROP, maka paket tersebut akan di-drop. Tetapi jika rantai memutuskan untuk ACCEPT, maka paket akan dilewatkan melalui diagram tersebut.

Sebuah rantai adalah aturan-aturan yang telah ditentukan.Setiap aturan menyatakan “jika paket memiliki informasi awal (header) seperti ini, maka inilah yang harus dilakukan terhadap paket”. Jika aturan tersebut tidak sesuai dengan paket, maka aturan berikutnya akan memproses paket tersebut. Apabila sampai aturan terakhir yang ada, paket tersebut belum memenuhi salah satu aturan, maka kernel akan melihat kebijakan bawaan (default) untuk memutuskan apa yang harus dilakukan kepada paket tersebut. Ada dua kebijakan bawaan yaitu default DROP dan default ACCEPT.

Jalannya sebuah paket melalui diagram tersebut bisa dicontohkan sebagai berikut:

Perjalanan paket yang diforward ke host yang lain

1. Paket berada pada jaringan fisik, contoh internet.2. Paket masuk ke interface jaringan, contoh eth0.3. Paket masuk ke chain PREROUTING pada table Mangle. Chain ini berfungsi untuk me-mangle (menghaluskan) paket, seperti merubah TOS, TTL dan lain-lain.4. Paket masuk ke chain PREROUTING pada tabel nat. Chain ini berfungsi utamanya untuk melakukan DNAT (Destination Network Address Translation).5. Paket mengalami keputusan routing, apakah akan diproses oleh host lokal atau diteruskan ke host lain.6. Paket masuk ke chain FORWARD pada tabel filter. Disinlah proses pemfilteran yang utama terjadi.7. Paket masuk ke chain POSTROUTING pada tabel nat. Chain ini berfungsi utamanya untuk melakukan SNAT (Source Network Address Translation).8. Paket keluar menuju interface jaringan, contoh eth1.9. Paket kembali berada pada jaringan fisik, contoh

LAN.

Perjalanan paket yang ditujukan bagi host lokal

1. Paket berada dalam jaringan fisik, contoh internet.2. Paket masuk ke interface jaringan, contoh eth0.3. Paket masuk ke chain PREROUTING pada tabel mangle.4. Paket masuk ke chain PREROUTING pada tabel nat.5. Paket mengalami keputusan routing.6. Paket masuk ke chain INPUT pada tabel filter untuk mengalami proses penyaringan.7. Paket akan diterima oleh aplikasi lokal.

Perjalanan paket yang berasal dari host lokal

1. Aplikasi lokal menghasilkan paket data yang akan dikirimkan melalui jaringan.2. Paket memasuki chain OUTPUT pada tabel mangle.3. Paket memasuki chain OUTPUT pada tabel nat.4. Paket memasuki chain OUTPUT pada tabel filter.5. Paket mengalami keputusan routing, seperti ke mana paket harus pergi dan melalui interface mana.6. Paket masuk ke chain POSTROUTING pada tabel NAT.7. Paket masuk ke interface jaringan, contoh eth0.8. Paket berada pada jaringan fisik, contoh internet.

3. Sintaks IPTables

iptables [-t table] command [match] [target/jump]

1. Table

IPTables memiliki 3 buah tabel, yaitu NAT, MANGLE dan FILTER. Penggunannya disesuaikan dengan sifat dan karakteristik masing-masing. Fungsi dari masing-masing tabel tersebut sebagai berikut :

◦ NAT : Secara umum digunakan untuk melakukan Network Address Translation. NAT adalah penggantian field alamat asal atau alamat tujuan dari sebuah paket.

◦ MANGLE : Digunakan untuk melakukan penghalusan (mangle) paket, seperti TTL, TOS dan MARK.

◦ FILTER : Secara umum, inilah pemfilteran paket yang sesungguhnya.. Di sini bisa dintukan apakah paket akan di-DROP, LOG, ACCEPT atau REJECT

2. Command

Command pada baris perintah IPTables akan memberitahu apa yang harus dilakukan terhadap lanjutan sintaks perintah. Umumnya dilakukan penambahan atau penghapusan sesuatu dari tabel atau yang lain.

Command Keterangan

-A --append

Perintah ini menambahkan aturan pada akhir chain. Aturan akan ditambahkan di akhir baris pada chain yang

bersangkutan, sehingga akan dieksekusi terakhir

-D --delete

Perintah ini menghapus suatu aturan pada chain. Dilakukan dengan cara menyebutkan secara lengkap perintah yang ingin dihapus atau dengan menyebutkan nomor baris dimana perintah akan dihapus.

-R --replace

Penggunaannya sama seperti --delete, tetapi command ini menggantinya dengan entry yang baru.

-I --insert

Memasukkan aturan pada suatu baris di chain. Aturan akan dimasukkan pada baris yang disebutkan, dan aturan awal yang menempati baris tersebut akan digeser ke bawah. Demikian pula baris-baris selanjutnya.

-L --list

Perintah ini menampilkan semua aturan pada sebuah tabel. Apabila tabel tidak disebutkan, maka seluruh aturan pada semua tabel akan ditampilkan, walaupun tidak ada aturan sama sekali pada sebuah tabel. Command ini bisa dikombinasikan dengan option –v (verbose), -n (numeric) dan –x (exact).

-F --flush

Perintah ini mengosongkan aturan pada sebuah chain. Apabila chain tidak disebutkan, maka semua chain akan di-flush.

-N --new-chain

Perintah tersebut akan membuat chain baru.

-X --delete-chain

Perintah ini akan menghapus chain yang disebutkan. Agar perintah di atas berhasil, tidak boleh ada aturan lain yang mengacu kepada chain tersebut.

-P --policy

Perintah ini membuat kebijakan default pada sebuah chain. Sehingga jika ada sebuah paket yang tidak memenuhi aturan pada baris-baris yang telah didefinisikan, maka paket akan diperlakukan sesuai dengan kebijakan default ini.

-E --rename-chain

Perintah ini akan merubah nama suatu chain.

3. Option

Option digunakan dikombinasikan dengan command tertentu yang akan menghasilkan suatu variasi perintah.

Option Command Pemakai Keterangan

-v --verbose

--list --append --insert --delete --replace

Memberikan output yang lebih detail, utamanya digunakan dengan --list. Jika digunakan dengan --list, akan menampilkam K (x1.000), M (1.000.000) dan G (1.000.000.000).

-x --exact

--list Memberikan output yang lebih tepat.

-n --numeric

--list Memberikan output yang berbentuk angka. Alamat IP dan nomor port akan ditampilkan dalam bentuk angka dan bukan hostname ataupun nama aplikasi/servis.

--line-number --list Akan menampilkan nomor dari daftar aturan. Hal ni akan mempermudah bagi kita untuk melakukan modifikasi aturan, jika kita mau meyisipkan atau menghapus aturan dengan nomor tertentu.

--modprobe All Memerintahkan IPTables untuk memanggil modul tertentu. Bisa digunakan bersamaan dengan semua command.

4. Generic Matches

Generic Matches artinya pendefinisian kriteria yang berlaku secara umum. Dengan kata lain, sintaks generic matches akan sama untuk semua protokol. Setelah protokol didefinisikan, maka baru didefinisikan aturan yang lebih spesifik yang dimiliki oleh protokol tersebut.Hal ini dilakukan karena tiap-tiap protokol memiliki karakteristik yang berbeda, sehingga memerlukan perlakuan khusus.

Match Keterangan

-p --protocol

Digunakan untuk mengecek tipe protokol tertentu. Contoh protokol yang umum adalah TCP, UDP, ICMP dan ALL. Daftar protokol bisa dilihat pada /etc/protocols.

Tanda inversi juga bisa diberlakukan di sini, misal kita menghendaki semua protokol kecuali icmp, maka kita bisa menuliskan --protokol !icmpyang berarti semua kecuali icmp.

-s --src --source

Kriteria ini digunakan untuk mencocokkan paket berdasarkan alamat IP asal. Alamat di sini bisa berberntuk alamat tunggal seperti 192.168.1.1, atau suatu alamat network menggunakan netmask misal 192.168.1.0/255.255.255.0, atau bisa juga ditulis 192.168.1.0/24 yang artinya semua alamat 192.168.1.x. Kita juga bisa menggunakan inversi.

-d --dst --destination

Digunakan untuk mecocokkan paket berdasarkan alamat tujuan. Penggunaannya sama dengan match –src

-i --in-interface

Match ini berguna untuk mencocokkan paket berdasarkan interface di mana paket datang. Match ini hanya berlaku pada chain INPUT, FORWARD dan PREROUTING

-o --out-interface

Berfungsi untuk mencocokkan paket berdasarkan interface di mana paket keluar. Penggunannya sama dengan --in-interface. Berlaku untuk chain OUTPUT, FORWARD dan POSTROUTING

5. Implicit Matches

Implicit Matches adalah match yang spesifik untuk tipe protokol tertentu. Implicit Match merupakan sekumpulan rule yang akan diload setelah tipe protokol disebutkan. Ada 3 Implicit Match berlaku untuk tiga jenis protokol, yaitu TCP matches, UDP matches dan ICMP matches.

a. TCP matches

Match Keterangan

--sport --source-port

Match ini berguna untuk mecocokkan paket berdasarkan port asal. Dalam hal ini kia bisa mendefinisikan nomor port atau nama service-nya. Daftar nama service dan nomor port yang bersesuaian dapat dilihat di /etc/services.

--sportjuga bisa dituliskan untuk range port tertentu. Misalkan kita ingin mendefinisikan range antara port 22 sampai dengan 80, maka kita bisa menuliskan --sport 22:80.

Jika bagian salah satu bagian pada range tersebut kita hilangkan maka hal itu bisa kita artikan dari port 0, jika bagian kiri yang kita hilangkan, atau 65535 jika bagian kanan yang kita hilangkan. Contohnya --sport :80artinya paket dengan port asal nol sampai dengan 80, atau --sport 1024: artinya paket dengan port asal 1024 sampai dengan 65535.Match ini juga mengenal inversi.

--dport --destination-port

Penggunaan match ini sama dengan match --source-port.

--tcp-flags Digunakan untuk mencocokkan paket berdasarkan TCP flags yang ada pada paket tersebut. Pertama, pengecekan akan mengambil daftar flag yang akan diperbandingkan, dan kedua, akan memeriksa paket yang di-set 1, atau on.

Pada kedua list, masing-masing entry-nya harus dipisahkan oleh koma dan tidak boleh ada spasi antar entry, kecuali spasi antar kedua list. Match ini mengenaliSYN,ACK,FIN,RST,URG, PSH. Selain itu kita juga menuliskan ALL dan NONE. Match ini juga

bisa menggunakan inversi.

--syn Match ini akan memeriksa apakah flag SYN di-set dan ACK dan FIN tidak di-set. Perintah ini sama artinya jika kita menggunakan match --tcp-flags SYN,ACK,FIN SYN

Paket dengan match di atas digunakan untuk melakukan request koneksi TCP yang baru terhadap server

b. UDP Matches

Karena bahwa protokol UDP bersifat connectionless, maka tidak ada flags yang mendeskripsikan status paket untuk untuk membuka atau menutup koneksi. Paket UDP juga tidak memerlukan acknowledgement.Sehingga Implicit Match untuk protokol UDP lebih sedikit daripada TCP. Ada dua macam match untuk UDP:

--sport atau --source-port --dport atau --destination-port c. ICMP Matches

Paket ICMP digunakan untuk mengirimkan pesan-pesan kesalahan dan kondisi-kondisi jaringan yang lain. Hanya ada satu implicit match untuk tipe protokol ICMP, yaitu :

--icmp-type 6. Explicit Matches

a. MAC Address

Match jenis ini berguna untuk melakukan pencocokan paket berdasarkan MAC source address. Perlu diingat bahwa MAC hanya berfungsi untuk jaringan yang menggunakan teknologi ethernet.

iptables –A INPUT –m mac –mac-source 00:00:00:00:00:01 b. Multiport Matches

Ekstensi Multiport Matches digunakan untuk mendefinisikan port atau port range lebih dari satu, yang berfungsi jika ingin didefinisikan aturan yang sama untuk beberapa port. Tapi hal yang perlu diingat bahwa kita tidak bisa menggunakan port matching standard dan multiport matching dalam waktu yang bersamaan.

iptables –A INPUT –p tcp –m multiport --source-port 22,53,80,110 c. Owner Matches

Penggunaan match ini untuk mencocokkan paket berdasarkan pembuat atau pemilik/owner

paket tersebut. Match ini bekerja dalam chain OUTPUT, akan tetapi penggunaan match ini tidak terlalu luas, sebab ada beberapa proses tidak memiliki owner (??).

iptables –A OUTPUT –m owner --uid-owner 500 Kita juga bisa memfilter berdasarkan group ID dengan sintaks --gid-owner. Salah satu penggunannya adalah bisa mencegah user selain yang dikehendaki untuk mengakses internet misalnya.

d. State Matches

Match ini mendefinisikan state apa saja yang cocok. Ada 4 state yang berlaku, yaitu NEW, ESTABLISHED, RELATED dan INVALID. NEW digunakan untuk paket yang akan memulai koneksi baru. ESTABLISHED digunakan jika koneksi telah tersambung dan paket-paketnya merupakan bagian dari koneki tersebut. RELATED digunakan untuk paket-paket yang bukan bagian dari koneksi tetapi masih berhubungan dengan koneksi tersebut, contohnya adalah FTP data transfer yang menyertai sebuah koneksi TCP atau UDP. INVALID adalah paket yang tidak bisa diidentifikasi, bukan merupakan bagian dari koneksi yang ada.

iptables –A INPUT –m state --state RELATED,ESTABLISHED 7. Target/Jump

Target atau jump adalah perlakuan yang diberikan terhadap paket-paket yang memenuhi kriteria atau match. Jump memerlukan sebuah chain yang lain dalam tabel yang sama. Chain tersebut nantinya akan dimasuki oleh paket yang memenuhi kriteria. Analoginya ialah chain baru nanti berlaku sebagai prosedur/fungsi dari program utama.Sebagai contoh dibuat sebuah chain yang bernama tcp_packets. Setelah ditambahkan aturan-aturan ke dalam chain tersebut, kemudian chain tersebut akan direferensi dari chain input.

iptables –A INPUT –p tcp –j tcp_packets Target Keterangan

-j ACCEPT --jump ACCEPT

Ketika paket cocok dengan daftar match dan target ini diberlakukan, maka paket tidak akan melalui baris-baris aturan yang lain dalam chain tersebut atau chain yang lain yang mereferensi chain tersebut. Akan tetapi paket masih akan memasuki chain-chain pada tabel yang lain seperti biasa.

-j DROP --jump DROP

Target ini men-drop paket dan menolak untuk memproses lebih jauh. Dalam beberapa kasus mungkin hal ini kurang baik, karena akan meninggalkan dead socket antara client dan server.

Paket yang menerima target DROP benar-benar mati dan target tidak akan mengirim informasi tambahan dalam bentuk apapun kepada client atau server.

-j RETURN --jump RETURN

Target ini akan membuat paket berhenti melintasi aturan-aturan pada chain dimana paket tersebut menemui target RETURN. Jika chain merupakan subchain dari chain yang lain, maka paket akan kembali ke superset chain di atasnya dan masuk ke baris aturan berikutnya. Apabila chain adalah chain utama misalnya INPUT, maka paket akan dikembalikan kepada kebijakan default dari chain tersebut.

-j MIRROR Apabila kompuuter A menjalankan target seperti contoh di atas, kemudian komputer B melakukan koneksi http ke komputer A, maka yang akan muncul pada browser adalah website komputer B itu sendiri. Karena fungsi utama target ini adalah membalik source address dan destination address.

Target ini bekerja pada chain INPUT, FORWARD dan PREROUTING atau chain buatan yang dipanggil melalui chain tersebut.

Beberapa target yang lain biasanya memerlukan parameter tambahan:

a. LOG Target

Ada beberapa option yang bisa digunakan bersamaan dengan target ini. Yang pertama adalah yang digunakan untuk menentukan tingkat log. Tingkatan log yang bisa digunakan adalah debug, info, notice, warning, err, crit, alert dan emerg.Yang kedua adalah -j LOG --log-prefix yang digunakan untuk memberikan string yang tertulis pada awalan log, sehingga memudahkan pembacaan log tersebut.

iptables –A FORWARD –p tcp –j LOG --log-level debug iptables –A INPUT –p tcp –j LOG --log-prefix “INPUT Packets” b. REJECT Target

Secara umum, REJECT bekerja seperti DROP, yaitu memblok paket dan menolak untuk memproses lebih lanjut paket tersebut. Tetapi, REJECT akan mengirimkan error message ke host pengirim paket tersebut. REJECT bekerja pada chain INPUT, OUTPUT dan FORWARD atau pada chain tambahan yang dipanggil dari ketiga chain tersebut.

iptables –A FORWARD –p tcp –dport 22 –j REJECT --reject-with icmp-host-unreachable Ada beberapa tipe pesan yang bisa dikirimkan yaitu icmp-net-unreachable, icmp-host-unreachable, icmp-port-unreachable, icmp-proto-unrachable, icmp-net-prohibited dan icmp-host-prohibited.c. SNAT Target

Target ini berguna untuk melakukan perubahan alamat asal dari paket (Source Network Address Translation). Target ini berlaku untuk tabel nat pada chain POSTROUTING, dan hanya di sinilah SNAT bisa dilakukan. Jika paket pertama dari sebuah koneksi mengalami SNAT, maka paket-paket berikutnya dalam koneksi tersebut juga akan mengalami hal yang sama.

iptables –t nat –A POSTROUTING –o eth0 –j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000 d. DNAT Target

Berkebalikan dengan SNAT, DNAT digunakan untuk melakukan translasi field alamat tujuan (Destination Network Address Translation) pada header dari paket-paket yang memenuhi kriteria match. DNAT hanya bekerja untuk tabel nat pada chain PREROUTING dan OUTPUT atau chain buatan yang dipanggil oleh kedua chain tersebut.

iptables –t nat –A PREROUTING –p tcp –d 15.45.23.67 --dport 80 –j DNAT --to-destination 192.168.0.2 e. MASQUERADE Target

Secara umum, target MASQUERADE bekerja dengan cara yang hampir sama seperti target SNAT, tetapi target ini tidak memerlukan option --to-source. MASQUERADE memang didesain untuk bekerja pada komputer dengan koneksi yang tidak tetap seperti dial-up atau DHCP yang akan memberi pada kita nomor IP yang berubah-ubah.

Seperti halnya pada SNAT, target ini hanya bekerja untuk tabel nat pada chain POSTROUTING.

iptables –t nat –A POSTROUTING –o ppp0 –j MASQUERADE f. REDIRECT Target

Target REDIRECT digunakan untuk mengalihkan jurusan (redirect) paket ke mesin itu sendiri. Target ini umumnya digunakan untuk mengarahkan paket yang menuju suatu port tertentu untuk memasuki suatu aplikasi proxy, lebih jauh lagi hal ini sangat berguna untuk membangun sebuah sistem jaringan yang menggunakan transparent proxy. Contohnya kita ingin mengalihkan semua koneksi yang menuju port http untuk memasuki aplikasi http proxy misalnya squid. Target ini hanya bekerja untuk tabel nat pada chain PREROUTING dan OUTPUT atau pada chain buatan yang dipanggil dari kedua chain tersebut.

iptables –t nat –A PREROUTING –i eth1 –p tcp --dport 80 –j REDIRECT --to-port 3128

ALAT & BAHAN 1 unit PC Virtual Machine OS Windows Server 2003

LANGKAH KERJA

1. Buatlah jaringan seperti topologi pada gambar berikut:

2. Buatlah tabel chain dan rule yang akan diimplementasikan pada topologi yang akan digunakan, seperti tabel dibawah ini:

No. Chain Source Destination Action IP Address Port Protocol IP Address Port Protocol 1 FORWARD 1.1.1.0/24 - ICMP 2.2.2.0/24 - ICMP ACCEPT

2 FORWARD 1.1.1.0/24 - ICMP 3.3.3.0/24 - ICMP DROP

3 FORWARD 2.2.2.0/24 - ICMP 3.3.3.0/24 - ICMP DROP

4 FORWARD 1.1.1.0/24 ANY TCP 2.2.2.0/24 80 TCP ACCEPT

5 FORWARD 3.3.3.0/24 ANY TCP 2.2.2.0/24 80 TCP REJECT

6 INPUT 1.1.1.2/24 21 TCP - - - ACCEPT

7 INPUT 2.2.2.2/24 21 TCP - - - ACCEPT

8 INPUT 3.3.3.2/24 21 TCP - - - ACCEPT

9 OUTPUT - - - 1.1.1.2/24 99 TCP REJECT



12 FORWARD ANY ANY ANY ANY ANY ANY ACCEPT

3. Lakukan konfigurasi IP Address pada setiap host : a. Host LAN 1

eth0 : 1.1.1.1/24 Gateway : 1.1.1.2

b. Host LAN 2 eth0 : 3.3.3.1/24 Gateway : 3.3.3.2

c. Web Server eth5 : 2.2.2.1/24 Gateway : 2.2.2.2

d. Firewall eth2 : 2.2.2.2/24 eth3 : 1.1.1.2/24 eth4 : 3.3.3.2/24

4. Ubah port FTP Firewall menjadi 99 agar tidak bentrok dengan port FTP LAN dan WEB SERVER.

5. Lakukan pengecekan awal bahwa setiap firewall dan sistem packet filtering belum diimplementasikan. Artinya antar jaringan masih bebas untuk melakukan koneksi apapun satu sama lain.

6. Lakukan konfigurasi packet filtering sesuai dengan tabel awal dengan memasukan perintah berikut :

a. iptables –A FORWARD –p icmp –s 1.1.1.0/24 –d 2.2.2.0/24 –j ACCEPT b. iptables –A FORWARD –p icmp –s 1.1.1.0/24 –d 3.3.3.0/24 –j DROP c. iptables –A FORWARD –p icmp –s 2.2.2.0/24 –d 3.3.3.0/24 –j DROP

d. iptables –A FORWARD –p tcp –s 1.1.1.0/24 –d 2.2.2.0/24 --dport 80 –j ACCEPT

e. iptables –A FORWARD –p tcp –s 3.3.3.0/24 –d 2.2.2.0/24 --dport 80 –j REJECT

f. iptables –A OUTPUT –p tcp –d 1.1.1.2/24 --dport 99 -j REJECT g. iptables –A INPUT –p tcp –s 1.1.1.2/24 --dport 21 -j ACCEPT

h. iptables –A OUTPUT –p tcp –d 2.2.2.2/24 --dport 99 -j REJECT i. iptables –A INPUT –p tcp –s 2.2.2.2/24 --dport 21 -j ACCEPT

j. iptables –A OUTPUT –p tcp –d 3.3.3.2/24 --dport 99 -j REJECT k. iptables –A INPUT –p tcp –s 3.3.3.2/24 --dport 21 -j ACCEPT

7. Lakukan pengetesan terhadap jaringan yang sudah terkonfigurasi firewall dan packet filteringnya.

HASIL PENGAMATAN

1. Kondisi jaringan dan koneksi antar host sebelum firewall dan packet filtering diimplementasikan :

a. Host LAN 1 FTP ke Firewall

PING ke Web Server

PING ke LAN 2

Akses ke Web Server

\

b. Host LAN 2 FTP ke Firewall

PING ke LAN 1

PING ke Web Server

Akses ke Web Server

\

c. Web Server FTP ke Firewall

PING ke LAN 1

PING ke LAN 2

d. Firewall FTP ke LAN 1

FTP ke LAN 2

FTP ke Web Server

2. Kondisi jaringan dan koneksi antar host setelah firewall dan packet filtering diimplementasikan :

a. Host LAN 1 FTP ke Firewall

PING ke Web Server

PING ke LAN 2

Akses ke Web Server

b. Host LAN 2 FTP ke Firewall

PING ke Web Server

Akses ke Web Server

c. Web Server FTP ke Firewall

PING ke LAN 1

d. Firewall FTP ke LAN 1

FTP ke LAN 2

FTP ke Web Server

KESIMPULAN

Jika action yang akan digunakan pada suatu chain, adalah ACCEPT maka default chain terakhir harus DROP, begitu pula sebaliknya. Jadi, tidak boleh ada action pada suatu chain yang sama dengan action chain pada default terakhir.

Peraturan yang akan disusun pada IP filter, dilihat dari prioritas keamanan yang akan diimplementasikan.

Chain default harus selalu disertakan di akhir tabel IP filter.

Program Studi : TKJ

Proxy


No. Exp : 10 Instruktur : 1. Rudi Haryadi 2. Adi Setiadi

TUJUAN

Siswa dapat memahami materi tentang proxy. Siswa dapat membuat proxy server. Siswa dapat melakukan konfigurasi proxy server dengan menggunakan squid.

PENDAHULUAN

Proxy server

Dalam jaringan komputer, sebuah perantara peladen' adalah sebuah [peladen [(komputasi)peladen]] (sistem komputer atau aplikasi) yang bertindak sebagai perantara permintaan dari klien mencari sumber daya dari server lain. Klien A terhubung ke peladen perantara, meminta beberapa servis, seperti berkas, koneksi, halaman web, atau sumber daya lainnya, yang tersedia dari peladen yang berbeda. Server perantara mengevaluasi permintaan menurut aturan penyaringan. Sebagai contoh, mungkin tapis lalu lintas oleh [alamat [IP]] atau protokol. Jika permintaan divalidasi oleh tapis, perantara menyediakan sumber daya dengan menghubungkan ke peladen yang relevan dan meminta layanan atas nama klien. Sebuah peladen perantara secara opsional dapat mengubah permohonan klien atau menanggapi di server, dan kadang-kadang mungkin melayani permintaan tanpa menghubungi peladen yang ditetapkan. Dalam hal ini, tanggapan yang tembolok dari remote peladen, dan selanjutnya kembali permintaan konten yang sama secara langsung.

Squid

adalah sebuah daemon yang digunakan sebagai proxy server dan web cache. Squid memiliki banyak jenis penggunaan, mulai dari mempercepat server web dengan melakukan caching permintaan yang berulang-ulang, cachingDNS, caching situs web, dan caching pencarian komputer di dalam jaringan untuk sekelompok komputer yang menggunakan sumber daya jaringan yang sama, hingga pada membantu keamanan dengan cara melakukan penyaringan (filter) lalu lintas. Meskipun seringnya digunakan untuk protokol HTTP dan FTP, Squid juga menawarkan dukungan terbatas untuk beberapa protokol lainnya termasuk Transport Layer Security (TLS), Secure Socket Layer (SSL), Internet Gopher, dan HTTPS. Versi Squid 3.1 mencakup dukungan protokol IPv6 dan Internet Content Adaptation Protocol (ICAP).

Squid pada awalnya dikembangkan oleh Duane Wessels sebagai "Harvest object cache", yang merupakan bagian dari proyek Harvest yang dikembangkan di University of Colorado at Boulder. Pekerjaan selanjutnya dilakukan hingga selesai di University of California, San Diego dan didanai melalui National Science Foundation. Squid kini hampir secara eksklusif dikembangkan dengan cara usaha sukarela.

Squid umumnya didesain untuk berjalan di atas sistem operasi mirip UNIX, meski Squid juga bisa berjalan di atas sistem operasi Windows. Karena dirilis di bawah lisensiGNUGeneral Public License, maka Squid merupakan perangkat lunak bebas.

Web proxy

Caching merupakan sebuah cara untuk menyimpan objek-objek Internet yang diminta (seperti halnya data halaman web) yang bisa diakses melalui HTTP, FTP dan Gopher di dalam sebuah sistem yang lebih dekat dengan situs yang memintanya. Beberapa penjelajah web dapat menggunakan cache Squid lokal untuk sebagai server proxy HTTP, sehingga dapat mengurangi waktu akses dan juga tentu saja konsumsi bandwidth. Hal ini sering berguna bagi para penyedia layanan Internet untuk meningkatkan kecepatan kepada para pelanggannya, dan LAN yang membagi saluran Internet. Karena memang bentuknya sebagai proxy (ia berlaku sebagaimana layaknya klien, sesuai dengan permintaan klien), web cache bisa menyediakan anonimitas dan keamanan. Tapi, web cache juga bisa menjadi masalah yang signifikan bila melihat masalah privasi, karena memang ia dapat mencatat banyak data, termasuk URL yang diminta oleh klien, kapan hal itu terjadi, nama dan versi penjelajah web yang digunakan klien serta sistem operasinya, dan dari mana ia mengakses situs itu.

Selanjutnya, sebuah program klien (sebagai contoh adalah penjelajah web) bisa menentukan secara ekplisit proxy server yang digunakan bila memang hendak menggunakan proxy (umumnya bagi para pelanggan ISP) atau bisa juga menggunakan proxy tanpa konfigurasi ekstra, yang sering disebut sebagai "Transparent Caching", di mana semua permintaan HTTP ke jaringan luar akan diolah oleh proxy server dan semua respons disimpan di dalam cache. Kasus kedua umumnya dilakukan di dalam perusahaan dan korporasi (semua klien berada di dalam LAN yang sama) dan sering memiliki masalah privasi yang disebutkan di atas.

Squid memiliki banyak fitur yang bisa membantu melakukan koneksi secara anonim, seperti memodifikasi atau mematikan beberapa field header tertentu dalam sebuah permintaan HTTP yang diajukan oleh klien. Saat itu terpenuhi, apa yang akan dilakukan oleh Squid adalah tergantung orang yang menangani komputer yang menjalankan Squid. Orang yang meminta halaman web melalui sebuah jaringan yang secara transparan yang menggunakan biasanya tidak mengetahui bahwa informasi semua permintaan HTTP yang mereka ajukan dicatat oleh Squid.

ALAT & BAHAN

OS Linux (Proxy server dan client) Package squid (stable) Koneksi internet

LANGKAH KERJA

1. Buatlah topologi seperti gambar berikut:

2. Lakukan konfigurasi jaringan seperti data di bwah ini : Proxy Server Interface : eth1 = 192.168.0.1/24 eth2 = 192.168.0.13/24 Client Interface : eth0 = 192.168.0.2/24

3. Lakukan konfigurasi routing dan juga NAT untuk jaringan tersebut. 4. Lakukan instalasi package squid dengan menggunakan perintah apt-get install squid .

5. Setelah itu lakukan konfigurasi squid pada file squid.conf dengan perintah gedit /etc/squid/squid.conf lalu masukan script berikut :

6. Lalu lakukan restart squid dengan perintah /etc/init.d/squid3 restart

7. Setelah itu lakukan pengetesan melalui client dengan mengisikan alamat proxy pada web browser (e.g. Firefox).

HASIL PENGAMATAN

Membuka website yang masuk dalam daftar yang tidak dibolehkan.

Membuka website yang tidak masuk dalam daftar yang tidak dibolehkan.

Melihat isi direktori cache.

KESIMPULAN

Proxy dapat diaplikasikan untuk mekanisme perlindungan PC dari harmful program secara graphical.

Sedikit berbeda dengan Packet Filtering, Proxy lebih dapat dirasakan oleh user pengguna koneksi jaringan, yaitu perlindungan yang disertakan dengan notify pada web browser. Sehingga dirasakan lebih aman bagi orang awam.

Walaupun demikian, Packet Filtering dengan memanfaatkan IPTABLES lebih ketat dibanding Proxy. Namun yang lebih dirasakan manfaatnya secara langsung memang Proxy.

Program Studi : TKJ Transparent

Proxy


No. Exp :11 Instruktur : 1. Rudi Haryadi 2. Adi Setiadi

TUJUAN

Siswa dapat memahami materi tentang transparent proxy. Siswa dapat membuat transparent proxy server. Siswa dapat melakukan konfigurasi transparent proxy server dengan menggunakan

squid.

Proxy server

Dalam jaringan komputer, sebuah perantara peladen' adalah sebuah [peladen [(komputasi)peladen]] (sistem komputer atau aplikasi) yang bertindak sebagai perantara permintaan dari klien mencari sumber daya dari server lain. Klien A terhubung ke peladen perantara, meminta beberapa servis, seperti berkas, koneksi, halaman web, atau sumber daya lainnya, yang tersedia dari peladen yang berbeda. Server perantara mengevaluasi permintaan menurut aturan penyaringan. Sebagai contoh, mungkin tapis lalu lintas oleh [alamat [IP]] atau protokol. Jika permintaan divalidasi oleh tapis, perantara menyediakan sumber daya dengan menghubungkan ke peladen yang relevan dan meminta layanan atas nama klien. Sebuah peladen perantara secara opsional dapat mengubah permohonan klien atau menanggapi di server, dan kadang-kadang mungkin melayani permintaan tanpa menghubungi peladen yang ditetapkan. Dalam hal ini, tanggapan yang tembolok dari remote peladen, dan selanjutnya kembali permintaan konten yang sama secara langsung.

Squid

adalah sebuah daemon yang digunakan sebagai proxy server dan web cache. Squid memiliki banyak jenis penggunaan, mulai dari mempercepat server web dengan melakukan caching permintaan yang berulang-ulang, cachingDNS, caching situs web, dan caching pencarian komputer di dalam jaringan untuk sekelompok komputer yang menggunakan sumber daya jaringan yang sama, hingga pada membantu keamanan dengan cara melakukan penyaringan (filter) lalu lintas. Meskipun seringnya digunakan untuk protokol HTTP dan FTP, Squid juga menawarkan dukungan terbatas untuk beberapa protokol lainnya termasuk Transport Layer Security (TLS), Secure Socket Layer (SSL), Internet Gopher, dan HTTPS. Versi Squid 3.1 mencakup dukungan protokol IPv6 dan Internet Content Adaptation Protocol (ICAP).

Squid pada awalnya dikembangkan oleh Duane Wessels sebagai "Harvest object cache", yang merupakan bagian dari proyek Harvest yang dikembangkan di University of Colorado at Boulder. Pekerjaan selanjutnya dilakukan hingga selesai di University of California, San Diegodan didanai melalui National Science Foundation. Squid kini hampir secara eksklusif dikembangkan dengan cara usaha sukarela.

Squid umumnya didesain untuk berjalan di atas sistem operasi mirip UNIX, meski Squid juga bisa berjalan di atas sistem operasi Windows. Karena dirilis di bawah lisensiGNUGeneral Public License, maka Squid merupakan perangkat lunak bebas.

Web proxy

Caching merupakan sebuah cara untuk menyimpan objek-objek Internet yang diminta (seperti halnya data halaman web) yang bisa diakses melalui HTTP, FTP dan Gopher di dalam sebuah sistem yang lebih dekat dengan situs yang memintanya. Beberapa penjelajah web dapat menggunakan cache Squid lokal untuk sebagai server proxy HTTP, sehingga dapat mengurangi waktu akses dan juga tentu saja konsumsi bandwidth. Hal ini sering berguna bagi para penyedia layanan Internet untuk meningkatkan kecepatan kepada para pelanggannya, dan LAN yang membagi saluran Internet. Karena memang bentuknya sebagai proxy (ia berlaku sebagaimana layaknya klien, sesuai dengan permintaan klien), web cache bisa menyediakan anonimitas dan keamanan. Tapi, web cache juga bisa menjadi masalah yang signifikan bila melihat masalah privasi, karena memang ia dapat mencatat banyak data, termasuk URL yang diminta oleh klien, kapan hal itu terjadi, nama dan versi penjelajah web yang digunakan klien serta sistem operasinya, dan dari mana ia mengakses situs itu.

Selanjutnya, sebuah program klien (sebagai contoh adalah penjelajah web) bisa menentukan secara ekplisit proxy server yang digunakan bila memang hendak menggunakan proxy (umumnya bagi para pelanggan ISP) atau bisa juga menggunakan proxy tanpa konfigurasi ekstra, yang sering disebut sebagai "Transparent Caching", di mana semua permintaan HTTP ke jaringan luar akan diolah oleh proxy server dan semua respons disimpan di dalam cache. Kasus kedua umumnya dilakukan di dalam perusahaan dan korporasi (semua klien berada di dalam LAN yang sama) dan sering memiliki masalah privasi yang disebutkan di atas.

Squid memiliki banyak fitur yang bisa membantu melakukan koneksi secara anonim, seperti memodifikasi atau mematikan beberapa field header tertentu dalam sebuah permintaan HTTP yang diajukan oleh klien. Saat itu terpenuhi, apa yang akan dilakukan oleh Squid adalah tergantung orang yang menangani komputer yang menjalankan Squid. Orang yang meminta halaman web melalui sebuah jaringan yang secara transparan yang menggunakan biasanya tidak mengetahui bahwa informasi semua permintaan HTTP yang mereka ajukan dicatat oleh Squid.

Transparent Proxy

Salah satu kompleksitas dari proxy pada level aplikasi adalah bahwa pada sisi pengguna harus dilakukan konfigurasi yang spesifik untuk suatu proxy tertentu agar bisa menggunakan layanan dari suatu proxy server. Bila diinginkan agar pengguna tidak harus melakukan konfigurasi khusus, kita bisa mengkonfigurasi proxy/cache server agar berjalan secara benar-benar transparan terhadap pengguna (transparent proxy). Biasanya cara ini memerlukan bantuan dan konfigurasi aplikasi firewall (yang bekerja pada layer network) untuk bisa membuat transparent proxy yang bekerja pada layer aplikasi.

Transparent proxy dapat berguna untuk “memaksa pengguna” menggunakan proxy/cache server, karena pengguna benar-benar tidak mengetahui tentang keberadaan proxy ini, dan apapun konfigurasi pada sisi pengguna, selama proxy server ini berada pada jalur jaringan yang pasti dilalui oleh pengguna untuk menuju ke internet, maka pengguna pasti dengan sendirinya akan “menggunakan” proxy/cache ini.

Cara membuat transparent proxy adalah dengan membelokkan arah (redirecting) dari paket-paket untuk suatu aplikasi tertentu, dengan menggunakan satu atau lebih aturan pada firewall/router. Hal ini bisa dilakukan karena setiap aplikasi berbasis TCP akan menggunakan

salah satu port yang tersedia, dan firewall dapat diatur agar membelokkan paket yang menuju ke port layanan tertentu, ke arah port dari proxy yang bersesuaian.

Sebagai contoh, pada saat klient membuka hubungan HTTP (port 80) dengan suatu web server, firewall pada router yang menerima segera mengenali bahwa ada paket data yang berasal dari klien dengan nomor port 80. Disini kita juga mempunyai satu HTTP proxy server yang berjalan pada port 3130. Maka pada firewall router kita buat satu aturan yang menyatakan bahwa setiap paket yang datang dari jaringan lokal menuju ke port 80 harus dibelokkan ke arah alamat HTTP proxy server port 3130. Akibatnya, semua permintaan web dari pengguna akan masuk dan diwakili oleh HTTP proxy server diatas.

Jadi secara umum keuntungan dari metode transparent proxy itu sendiri adalah :

1. Kemudahan administrasi jaringan, dengan artian browser yang digunakan klien tidak harus dikonfigurasi secara khusus yang menyatakan bahwa mereka menggunakan fasilitas proxy yang bersangkutan.

2. Sentralisasi kontrol, dengan artian, pergantian metode bypass proxy maupun penggunaan proxy oleh klien dapat dilakukan secara terpusat.

ALAT & BAHAN

OS Linux (Proxy server dan client) Package squid (stable) Koneksi internet

LANGKAH KERJA

1. Buatlah topologi seperti gambar berikut

2. Lakukan konfigurasi jaringan seperti data di bwah ini : Proxy Server

Client

3. Lakukan konfigurasi routing untuk jaringan tersebut.

4. Lakukan instalasi package squid dengan menggunakan perintah apt-get install squid .

5. Setelah itu lakukan konfigurasi squid pada file squid.conf dengan perintah nano /etc/squid/squid.conf lalu masukan script berikut :

6. Lalu lakukan restart squid dengan perintah /etc/init.d/squid3 retart

7. Masukan perintah untuk membelokan port dari port 80 ke port squid. Dengan perintah iptables :

8. Setelah itu lakukan pengetesan melalui client dengan mengisikan opsi “No Proxy” pada web browser (e.g. Firefox).

HASIL PENGAMATAN

Membuka website yang masuk dalam daftar yang tidak dibolehkan.

Membuka website yang tidak masuk dalam daftar yang tidak dibolehkan.

KESIMPULAN

Transparent Proxy merupakan Proxy yang sifatnya Force atau memaksa pengguna untuk mengakses Proxy terlebih dahulu sebelum mengakses internet.

Dengan menggunakan Transparent Proxy, kita tidak perlu melakukan setting manual pada web browser atau internet setting lainnya.

Laporan Akhir Diagnosa LAN Semester 2

Documents

Transcript of Laporan Akhir Diagnosa LAN Semester 2