LAPORAN/LOG HASIL KERJA SERVER FIREWALL(keamanan jaringan)
laporan / log hasil kerja server firewall
PENGUJIAN DAN ANALISA
A. Pengertian Loglist Server Firewall
Adalah Kegiatan mendata semua aliran data, data yang masuk pada level aplikasi.
B. Analisis Laporan Hasil Kerja Firewall
Pada tahap pengujian sistem keamanan yang telah dibangun, di sini saya akan menjelaskan contoh mengenai hasil laporan pengujian PC Router sebagai Firewall (Iptables) menggunakan 2 aplikasi :
1. Nmap (Network Mapper)
Aplikasi ini digunakan untuk melakukan serangan DOS (Denial Of Service) yang berupa ICMP Flood yang bertujuan untuk membanjiri komputer target dengan paket data ICMP_ECHO_REQUEST berjumlah sangat banyak efeknya dapat menghabiskan resource (CPU Usage) pada komputer target.
Pengujian sistem keamanannya dilakukan dua kali percobaan ICMP Flood yang masing-masing dilakukan selama 20 detik terhadap webserver cloud dan periksa hasil data log sistem keamanan serta dampak yang dihasilkan pada web server, dalam hal ini CPU Usage web server cloud. Untuk dapat melakukan Hping3, ketikkan perintah di bawah ini pada terminal :
Paket yang di log merupakan paket yang memiliki prefix seperti berikut ini :
1. "INVALID PKT" artinya paket yang termasuk/memiliki prefix ini adalah paket yang tidak sesuai/invalid dengan state yang ada. Artinya tidak termasuk kedalam koneksi apapun yang berjalan/ada pada server.
2. "SPOOFED IP" paket yang memiliki prefix ini adalah paket yang berasal dari LAN 1 yang memiliki alamat sumber sama dengan alamat IP dari LAN 2.
3. "DROP PKT" paket yang memiliki prefix ini adaah paket yang tidak sesuai dengan rules yang ada pada firewall.
4. "ICMP FLOOD" paket yang memiliki prefix ini adalah paket yang terdeteksi sebagai paket DOS ICMP Flood.
a) Pengujian PC router Sebagai Firewall
Pada pengujian ini, fitur keamanan firewall yang digunnakan yaitu Iptables. Dimana firewall Iptables sudah terkonfigurasi dan fitur paket-paket apa saja kah yang diijinan masuk kedalam jaringan/web server dan mana yang tidak (rules and policy). Paket yang tidak sesuai dengan rules dengan rules/policy yang diterapkan akan di log dan data log tersebut akan dianalisis.
b) Pengujian Menggunakan Nmap
Digunakan Nmap TCP Connect Scan () untuk melakukan port scan/sweep terhadap web server cloud an melihat hasilnya apakah firewall berfungsi dengan baik. Berikut ini adalah tampilan dari Nmap ketika firewall diterapkan.
Tampilan diatas hasil bahwa Nmap telah melakukan Port Scan pada web server selama 17,48 detik dan layanan (service) yang ada pada web server cloud adalah untuk http (port 80), https (port 443) dan DNS (port 53). Akan tetapi yang dalam keadaan terbuka (open/tersedia pada web server tersebut) adalah layanan untuk http dan https (port 80 dan 443), sedangkan untuk layanan DNS (port 53), walaupun pada web server ada layanan untuk DNS tetapi web server tidak menyediakannya untuk client karena dalam keadaan tertutup (closed).
Berikut merupakan hasil data log Iptables terhadap port sccan yang dilakukan oleh Nmap.
Tampilan diatas merupakan sempel paket yang di-log oleh Iptables. Isi sampel paket tersebut berupa nilai-nilai yang ada pada TCP/IP header yang dimiliki oleh paket tersebut.
b) Pengujian menggunakan Hping3
Untuk melakukan serangan DOS digunakan tool hping3, tipe DOS yang dilakukan adalah ICMP Flood. Ketikkan perintah berikut pada terminal dan perhatikan hasilnya pada server dan data log sistem keamanan ketika firewall Iptables diterapkan
Keterangan tampilan diatas adalah bahwa selama 30 detik, hping3 mengirimkan paket ICMP_ECHO_REQUEST kepada web server sebanyak 4381686 paket dan paket tersebut 100% Loss. Ini karena hping3 dalam melakukan ICMP Flood hanya mengirimkan paket yang berisi ICMP_ECHO_REQUEST saja kepada web server tanpa menghiraukan balasan dari web server cloud tersebut (ICMP_ECHO_REPLY) atas permintaan attacker tersebut ditandai ada keterangan 0 pakets received. Berikut ini adalah hasil log dari Iptables terhadap ICMP Flood yang dilakukan :
Keterngan gambar : Iptables telah melakukan paket log pada ICMP Flood
tersebut sebanyak 64 paket. Yang sebagian besar paket tersebut memiliki
log prefix "ICMP Flood". Artinya Iptables telah mendeteksi serangan DOS
berupa ICMP Flood dan kemudian paket ICMP tersebut di log dan di drop
oleh Iptables.
Analisa ini didapat dengan cara melihat waktu log Iptables, bahwa rata-rata Iptables dalam 1 detik hanya dapat melakukan log paket berjumlah 2-4 paket, dan apabila dalam 30 detik maka Iptables maka Iptables hanya daat melakukan log paket rata-rata sekitar 60-80 paket. Sedangkkan hping3 selama 30 detik menghasilkan sebanyak 4381686 paket, dan apabila dihitung hping3 dalam 1 deik menghasilkan/mengirim sebanyak 146056 paket. Sehingga terjadi perbedaanyang begitu besar antara pihak yang hanya mengirimkan paket yaitu Attacker PC dengan pihak yang menerima paket yaitu PC Router. Akibatnya adalah perbedaan jumlah paket yang di log oleh Iptables dengan paket yang dihasilkan oleh hping3. Berikut ini merupakan pengaruh/damak yang terjadi pada CPU Usage web server cloud terhadap serangan ICMP Flood tersebut.
Pada gambar diatas berketerangan bahwa ketika ICMP Flood dilakukan terhadap web server private cloud, web server tidak terpengaruh terhadap serangan tersebut. Ini dibuktikan dengan CPU Usage web server yang bernilai 0-1%.
Ketika dilakukan serangan ICMP Flood kembali, jumlah paket yang di-log oleh Iptables bertambah dari yang sebelumnya berjumlah 64 paket menjadi 130 paket. Sehingga setiap pengujian menggunakan ICMP Flood pada web server, dalam 30 detik Iptables mampu melakukan log terhadap serangan tersebut sebanyak 60-80 paket.
Adalah Kegiatan mendata semua aliran data, data yang masuk pada level aplikasi.
B. Analisis Laporan Hasil Kerja Firewall
Pada tahap pengujian sistem keamanan yang telah dibangun, di sini saya akan menjelaskan contoh mengenai hasil laporan pengujian PC Router sebagai Firewall (Iptables) menggunakan 2 aplikasi :
1. Nmap (Network Mapper)
Aplikasi ini digunakan untuk melakukan serangan DOS (Denial Of Service) yang berupa ICMP Flood yang bertujuan untuk membanjiri komputer target dengan paket data ICMP_ECHO_REQUEST berjumlah sangat banyak efeknya dapat menghabiskan resource (CPU Usage) pada komputer target.
Pengujian sistem keamanannya dilakukan dua kali percobaan ICMP Flood yang masing-masing dilakukan selama 20 detik terhadap webserver cloud dan periksa hasil data log sistem keamanan serta dampak yang dihasilkan pada web server, dalam hal ini CPU Usage web server cloud. Untuk dapat melakukan Hping3, ketikkan perintah di bawah ini pada terminal :
hping3-p 8o --flood--icmp 19.168.1.10Agar proses analisa data log dari setiap keadaan pengujian lebih efisien dan mudah dianalisa, maka untuk setiap pengujian file log akan dihapus kemudian dibuat kembali, serta log daemon serta sistem keamanan yang digunakan direstart. Efeknya agar setiap pengujian paket yang di-log oleh Iptables/Psad dapat berjumlah hingga ribuan paket sehingga dapat menyebabkan kesulitan dalam menganalisa data log dari setiap keadaan pengujian pada PC Router. Serta sampel log yang diambil adalah paket yang berada diurutan terakhir agar lebih efisien dalam menganalisa paket tersebut.
Paket yang di log merupakan paket yang memiliki prefix seperti berikut ini :
1. "INVALID PKT" artinya paket yang termasuk/memiliki prefix ini adalah paket yang tidak sesuai/invalid dengan state yang ada. Artinya tidak termasuk kedalam koneksi apapun yang berjalan/ada pada server.
2. "SPOOFED IP" paket yang memiliki prefix ini adalah paket yang berasal dari LAN 1 yang memiliki alamat sumber sama dengan alamat IP dari LAN 2.
3. "DROP PKT" paket yang memiliki prefix ini adaah paket yang tidak sesuai dengan rules yang ada pada firewall.
4. "ICMP FLOOD" paket yang memiliki prefix ini adalah paket yang terdeteksi sebagai paket DOS ICMP Flood.
a) Pengujian PC router Sebagai Firewall
Pada pengujian ini, fitur keamanan firewall yang digunnakan yaitu Iptables. Dimana firewall Iptables sudah terkonfigurasi dan fitur paket-paket apa saja kah yang diijinan masuk kedalam jaringan/web server dan mana yang tidak (rules and policy). Paket yang tidak sesuai dengan rules dengan rules/policy yang diterapkan akan di log dan data log tersebut akan dianalisis.
b) Pengujian Menggunakan Nmap
Digunakan Nmap TCP Connect Scan () untuk melakukan port scan/sweep terhadap web server cloud an melihat hasilnya apakah firewall berfungsi dengan baik. Berikut ini adalah tampilan dari Nmap ketika firewall diterapkan.
Tampilan diatas hasil bahwa Nmap telah melakukan Port Scan pada web server selama 17,48 detik dan layanan (service) yang ada pada web server cloud adalah untuk http (port 80), https (port 443) dan DNS (port 53). Akan tetapi yang dalam keadaan terbuka (open/tersedia pada web server tersebut) adalah layanan untuk http dan https (port 80 dan 443), sedangkan untuk layanan DNS (port 53), walaupun pada web server ada layanan untuk DNS tetapi web server tidak menyediakannya untuk client karena dalam keadaan tertutup (closed).
Berikut merupakan hasil data log Iptables terhadap port sccan yang dilakukan oleh Nmap.
Tampilan diatas merupakan sempel paket yang di-log oleh Iptables. Isi sampel paket tersebut berupa nilai-nilai yang ada pada TCP/IP header yang dimiliki oleh paket tersebut.
b) Pengujian menggunakan Hping3
Untuk melakukan serangan DOS digunakan tool hping3, tipe DOS yang dilakukan adalah ICMP Flood. Ketikkan perintah berikut pada terminal dan perhatikan hasilnya pada server dan data log sistem keamanan ketika firewall Iptables diterapkan
Keterangan tampilan diatas adalah bahwa selama 30 detik, hping3 mengirimkan paket ICMP_ECHO_REQUEST kepada web server sebanyak 4381686 paket dan paket tersebut 100% Loss. Ini karena hping3 dalam melakukan ICMP Flood hanya mengirimkan paket yang berisi ICMP_ECHO_REQUEST saja kepada web server tanpa menghiraukan balasan dari web server cloud tersebut (ICMP_ECHO_REPLY) atas permintaan attacker tersebut ditandai ada keterangan 0 pakets received. Berikut ini adalah hasil log dari Iptables terhadap ICMP Flood yang dilakukan :
Analisa ini didapat dengan cara melihat waktu log Iptables, bahwa rata-rata Iptables dalam 1 detik hanya dapat melakukan log paket berjumlah 2-4 paket, dan apabila dalam 30 detik maka Iptables maka Iptables hanya daat melakukan log paket rata-rata sekitar 60-80 paket. Sedangkkan hping3 selama 30 detik menghasilkan sebanyak 4381686 paket, dan apabila dihitung hping3 dalam 1 deik menghasilkan/mengirim sebanyak 146056 paket. Sehingga terjadi perbedaanyang begitu besar antara pihak yang hanya mengirimkan paket yaitu Attacker PC dengan pihak yang menerima paket yaitu PC Router. Akibatnya adalah perbedaan jumlah paket yang di log oleh Iptables dengan paket yang dihasilkan oleh hping3. Berikut ini merupakan pengaruh/damak yang terjadi pada CPU Usage web server cloud terhadap serangan ICMP Flood tersebut.
Pada gambar diatas berketerangan bahwa ketika ICMP Flood dilakukan terhadap web server private cloud, web server tidak terpengaruh terhadap serangan tersebut. Ini dibuktikan dengan CPU Usage web server yang bernilai 0-1%.
Ketika dilakukan serangan ICMP Flood kembali, jumlah paket yang di-log oleh Iptables bertambah dari yang sebelumnya berjumlah 64 paket menjadi 130 paket. Sehingga setiap pengujian menggunakan ICMP Flood pada web server, dalam 30 detik Iptables mampu melakukan log terhadap serangan tersebut sebanyak 60-80 paket.
Kebutuhan Persyaratan Alat untuk Membangun Server Firewall
.gif)
A. Pengertian server firewall
Firewall adalah sistem keamanan jaringan komputer yang digunakan
untuk melindungi komputer dari beberapa jenis serangan dari komputer
luar. Secara umum Firewall digunakan untuk mengontrol akses terhadap
siapapun yang memiliki akses terhadap jaringan privat dari pihak luar.
B. Filtering firewall
Packet Filtering merupakan mekanisme yang dapat memblokir
packet-packet data jaringan yang dilakukan berdasarkan peraturan yang
telah ditentukan.
Packet
Filtering umumnya digunakan untuk memblokir lalu-lintas yang
mencurigakan yang datang dari alamat IP yang mencurigakan, nomor port
TCP/UDP yang mencurigakan, jenis protokol aplikasi yang mencurigakan,
dsb.
Jenis jenis packet filtering :
- Static Packet Filtering : jenis paket jenis filter yang diimplementasikan pada kebanyakan router, dimana modifikasi terdapat aturan-aturan filter yang harus dilakukan secara manual.
- Dynamic Packet Filtering : apabila proses-proses tertentu disisi luar jaringan dapat merubah aturan filter secara dinamis berdasarkan even-even tertentu yang diobservasi oleh router (sebagai contoh: paket FTP dari sisi luar dapat diijinkan apabila seseorang dari sisi dalam me-request sesi FTP)
C. Proxy
Proxy yaitu sebuah komputer server yang menyediakan suatu layanan
untuk meneruskan setiap permintaan user kepada server lain yang terdapat
di internet. Atau definisi proxy server yang lainnya yaitu suatu server
atau program komputer yang mempunyai peran sebagai penghubung antara
suatu komputer dengan internet.
Cara
kerja Proxy server prinsip kerja proxy server sangatlah sederhana, saat
user menggunakan layanan suatu proxy lalu meminta file atau data yang
terdapat di public server (internet) maka proxy akan meneruskannya ke
internet jadi seolah-olah proxy tersebut yang memintanya. Dan saat proxy
server telah mendapatkan apa yang diminta oleh user, proxy akan
memberikan respon kepada user jadi seolah-olah dialah public servernya.
D. Peralatan pembangun Server Firewall
Persyaratan yang perlu diperhatikan dalam membangun server firewall antara lain :
- Proses inspeksi Paket
- Koneksi dan Keadaan Koneksi
- Stateful Packet Inspection
- Melakukan autentikasi terhadap akses
Langkah langkah membangun server firewall
1.Mengidenftifikasi bentuk jaringan yang dimiliki.
Mengetahui
bentuk jaringan yang dimiliki khususnya topologi yang di gunakan serta
protocol jaringan, akan memudahkan dalam mendesain sebuah firewall.
2.Menentukan kebijakan.
Penentuan
Kebijakan merupakan hal yang harus di lakukan, baik atau buruknya
sebuah firewall yang di bangun sangat di tentukan oleh kebijakan yang di
terapkan. Diantaranya:
- menentukan apa saja yang perlu dilayani.
- menentukan individu atau kelompok yang akan dikenakan kebijakan tersebut.
- menentukan layanan yang akan dibutuhkan oleh pengguna jaringan.
3.Menyiapkan
software atau hardware yang akan digunakan, baik itu operating system
yang mendukung atau software khusus pendukung firewall seperti ipchains,
atau iptables pada linux, dsb. Serta konfigurasi hardware yang akan
mendukung firewall tersebut.
4.Melakukan tes konfigurasi
Pengujian
terhadap firewall yang telah selesai dibangun haruslah dilakukan,
terutama untuk mengetahui hasil yang akan kita dapatkan, caranya dapat
menggunakan tool - tool yang biasa dilakukan untuk mengaudit seperti
nmap. Bastion Host adalah sistem/bagian yang dianggap tempat terkuat
dalam sistem keamanan jaringan oleh administrator atau dapat disebut
bagian terdepan yang dianggap paling kuat dalam menahan serangan,
sehingga menjadi bagian terpenting dalam pengamanan jaringan, biasanya
merupakan komponen firewall atau bagian terluar sistem publik. Umumnya
Bastion Host akan menggunakan sistem operasi yang dapat menangani semua
kebutuhan (misal , Unix, linux, NT).
FIREWALL PADA HOST DAN SERVER
A.Pengertian Firewall
Firewall adalah sebuah sistem atau perangkat yang mengizinkan lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak aman. Umumnya, sebuah firewall diiplementasikan dalam sebuah mesin terdedikasi, yang berjalan pada pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya.
Firewall umumnya juga digunakan untuk mengontrol akses terhadap siapa saja yang memiliki akses terhadap jaringan pribadi dari pihak luar. Saat ini, istilahfirewall menjadi istilah generik yang merujuk pada sistem yang mengatur komunikasi antar dua jaringan yang berbeda.
Fungsi Firewall
A. Mengontrol dan mengawasi paket data yang mengalir di jaringan Firewall harus dapat mengatur, memfilter dan mengontrol lalu lintas data yang diizin untuk mengakses jaringan privat yang dilindungi firewall
B. Melakukan autentifikasi terhadap akses.
C. Aplikasi proxy Firewall mampu memeriksa lebih dari sekedar header dari paket data, kemampuan ini menuntut firewall untuk mampu mendeteksi protokol aplikasi tertentu yang spesifikasi.
D. Mencatat setiap transaksi kejadian yang terjadi di firewall. Ini Memungkinkan membantu sebagai pendeteksian dini akan penjebolan jaringan.
B.Firwall Pada Host
Personal Firewall: Personal Firewall didesain untuk melindungi sebuah komputer yang terhubung ke jaringan dari akses yang tidak dikehendaki. Firewall jenis ini akhir-akhir ini berevolusi menjadi sebuah kumpulan program yang bertujuan untuk mengamankan komputer secara total, dengan ditambahkannya beberapa fitur pengaman tambahan semacam perangkat proteksi terhadap virus, anti-spyware, anti-spam, dan lainnya. Bahkan beberapa produk firewall lainnya dilengkapi dengan fungsi pendeteksian gangguan keamanan jaringan (Intrusion Detection System). Contoh dari firewall jenis ini adalah Microsoft Windows Firewall (yang telah terintegrasi dalam sistem operasi Windows XP Service Pack 2, Windows Vista dan Windows Server 2003 Service Pack 1), Symantec Norton Personal Firewall, Kerio Personal Firewall, dan lain-lain. Personal Firewall secara umum hanya memiliki dua fitur utama, yakni Packet Filter Firewall dan Stateful Firewall.
C.Firewall Pada Server
Network Firewall: Network Firewall didesain untuk melindungi jaringan secara keseluruhan dari berbagai serangan. Umumnya dijumpai dalam dua bentuk, yakni sebuah perangkat terdedikasi atau sebagai sebuah perangkat lunak yang diinstalasikan dalam sebuah server. Contoh dari firewall ini adalah Microsoft Internet Security and Acceleration Server (ISA Server), Cisco PIX, Cisco ASA, IPTables dalam sistem operasi GNU/Linux, pf dalam keluarga sistem operasi Unix BSD, serta SunScreen dari Sun Microsystems, Inc. yang dibundel dalam sistem operasi Solaris. Network Firewall secara umum memiliki beberapa fitur utama, yakni apa yang dimiliki oleh personal firewall (packet filter firewall dan stateful firewall), Circuit Level Gateway, Application Level Gateway, dan juga NAT Firewall. Network Firewall umumnya bersifat transparan (tidak terlihat) dari pengguna dan menggunakan teknologi routing untuk menentukan paket mana yang diizinkan, dan mana paket yang akan ditolak.
Komentar
Posting Komentar