BAB 3 ANALISA DAN PERANCANGAN

3.1 Analisa perusahaan (PT. XYZ) 3.1.1 Sejarah Perusahaan PT. XYZ adalah bagian dari perusahaan regional di bidang layanan teknologi informasi dan menjadi pemimpin untuk konvergensi jaringan digital melayani pelanggan-pelanggan Service Provider dan Korporasi di kawasan Asia Pasifik. Sejak tanggal 19 July 2004, PT. XYZ telah berdiri dan juga bertumbuh dengan cepat diawali oleh team management yang telah bekerjasama bertahun-tahun sebelumnya dalam satu tim, serta tenaga-tenaga professional yang handal. PT. XYZ menawarkan solusi luas layanan valueadded, technical advisory, network planning and design, system engineering and integration, project management, implementation dan customer support. Selain itu, PT. XYZ juga memiliki kemitraan dengan perusahaan-perusahaan berteknologi di seluruh dunia. Dengan kantor yang berpusat di Singapura, selain Indonesia, PT. XYZ juga memiliki kantor yang berdomisili di Korea dan Malaysia. Untuk menangani dukungan perusahaan-perusahaan multi-nasional, PT. XYZ juga bekerja sama dengan service partners di negara lain di Asia.

59

60

PT. XYZ adalah perusahaan yang bergerak di bidang IT dan pemimpin dalam konvergensi infrastruktur jaringan broadband (System Integrator). Beroperasi di Indonesia, Korea, Malaysia dan Singapura. Perusahaan PT. XYZ mulai beroperasi pada tahun 2004 dan menjadi anak perusahaan yang sepenuhnya dimiliki oleh DMX technologies group ketika diakuisisi pada tahun 2005. PT. XYZ menawarkan spektrum layanan canggih termasuk penilaian, teknis penasehat, perencanaan desain, sistem rekayasa dan integrasi, manajemen proyek dan pemeliharaan di bidang Next Generation Network, keamanan, dan dukungan sistem operasi. PT. XYZ memiliki kemitraan dengan beberapa perusahaan teknologi paling maju di dunia, seperti Cisco Systems di mana perusahaan ini memiliki sertifikat sebagai Gold Partner. PT. XYZ menangani beberapa proyek meliputi Routing & Switching, jaringan advance IP/MPLS, Security Network, dan penyediaan jasa seperti pembuatan network design dan network consultant. Pada tahun 2008, PT. XYZ menjadi salah satu dari Cisco Indonesia tiga Mitra SI. Berlandaskan pada kebutuhan pelanggan, PT. XYZ memilih produkproduk best-of-breed dari perusahaan-perusahaan yang mengkhususkan di area yang mereka kuasai. Teknologi dan produk yang dipilih, diintegrasikan ke dalam solusi end-to-end agar dapat membantu pelanggan memperbaiki kinerja jaringan yang ada. Beberapa solusi yang disediakan oleh PT. XYZ adalah sebagai berikut: • Converged Network

61

• Security Network • Operation Support Systems • Services Adapun solusi berupa layanan jasa yang dapat diberikan PT. XYZ adalah sebagai berikut: • Consultancy Services • Implementation Services • Maintenance Services • Training Services Visi dan Misi PT. XYZ adalah sebagai berikut: •

Visi

Menjadi perusahaan System Integrator (SI) Jaringan yang terbaik dan dapat bersaing dengan perusahaan System Integrator lainnya, penuh dengan daya cipta dan inovasi serta mampu memberikan kontribusi yang berarti bagi perkembangan teknologi informasi dan jaringan. •

Misi Visi perusahaan meliputi misi tiga-dimensi: o Menjunjung

tinggi

kualitas

produk

dan

layanan

dengan

menerapkan prinsip efisiensi secara handal dan konsisten, sehingga mampu menghasilkan solusi penyediaan perangkat jaringan atau network support yang berkualitas bagi para pelanggan o Menerapkan proses kerja yang dinamis, kreatif, dan inovatif

62

o Menciptakan suatu solusi baru yang mampu menyelesaikan masalah-masalah yang sering terjadi dalam perkembangan teknologi informasi dan jaringan dan dapat memberikan hasil kerja yang maksimal. 3.1.2 Struktur Perusahaan Berikut ini adalah struktur organisasi yang mencakup PT. XYZ.

Gambar 3. 1 Struktur perusahaan

63

Adapun wewenang dan tanggung jawab dari masing-masing jabatan adalah sebagai berikut. 1. Division Manager Support and Services •

Mengontrol seluruh aktifitas pada divisi SS (Support and Services)

•

Melakukan pembinaan dan pengembangan pada setiap pribadi di Departemen Support and Services.

•

Menetapkan target pekerjaan baik dalam bulanan maupun tahunan.

•

Menganalisa dan mengembangkan strategi kinerja engineer untuk meningkatkan kepercayaan customer pada divisinya.

•

Menerima dan menyelesaikan complain customer sekaligus memperhatikan hak customer.

•

Menyetujui atau menolak setiap permintaan yang diajukan customer pada divisinya.

•

Menyetujui atau menolak pengajuan laptop baru pada divisi SS.

2. Manager •

Mengambil alih wewenang manager bila divisi manager berhalangan hadir atau tidak ada.

•

Menentukan engineer tertentu untuk pekerjaan tertentu.

•

Menyetujui dan menolak klaiman pulsa telepon genggam dan lembur.

64

3. Assistant Manager •

Memberi proyek-proyek yang akan dikerjakan kepada Team Leader masing-masing sub-divisi.

•

Menerima complain dari customer

•

Bertanggung jawab atas project yang dikerjakan oleh engineerengineer tertentu.

4. Team Leader •

Memberi tugas-tugas yang diberikan oleh Assistant Manager kepada field engineer masing-masing tim.

•

Memberi feedback kepada assistant manager, manager, dan division manager atas status project-project yang dikerjakan.

•

Ikut on-site pada pengerjaan project bila diperlukan.

5. PS Core (TELCO) •

Menentukan program kerja untuk project yang termasuk bagian TELCO (Telecommunication Company)

•

Troubleshooting untuk masalah yang terjadi di project TELCO.

•

Implementasi project-project yang tercakup dalam ruang lingkup TELCO

•

Desain jaringan dan perancangan pada project dalam ruang lingkup TELCO.

65

6. SS Admin Support •

Mengatur jaringan computer internal perusahaan.

•

Menentukan IP untuk setiap computer karyawan yang terdaftar.

•

Menyusun daftar spesifikasi computer data karyawan.

7. Project Manager •

Mengatur jadwal implementasi suatu project.

•

Merupakan perantara pihak internal perusahaan dengan customer.

•

Memberi wewenang kepada engineer-engineer tertentu untuk melakukan suatu pekerjaan yang seharusnya engineer tersebut tidak mempunyai hak untuk pekerjaan tersebut.

•

Memberi surat perintah kerja kepada pihak-pihak tertentu bila diperlukan.

8. Project Implementation (Enterprise) •

Mengimplementasikan pekerjaan yang sudah diatur oleh Team Leader.

•

Memberi laporan kepada Team Leader dan Project Manager atas implementasi yang dilakukan.

9. Project Support •

Memberi bantuan kepada tim Project Implementation berupa bantuan

penyediaan

implementasi.

perangkat

dan

sarana

pendukung

66

10. Managed Service •

Mengkoordinir tiap anggota tim (karyawan / engineer) dalam pengerjaan suatu proyek.

•

Mengawasi kinerja dari tiap anggota tim pada setiap proyek yang dilakukan.

3.1.3 Sistem Yang Berjalan PT. XYZ terbagi atas 2 gedung yang berdekatan, antara lain Main Building dan Marketing Building. Masing-masing gedung mempunyai jaringan lokal sendiri dan berpusat di Main Building. Di Main Building, Terdapat perangkat-perangkat jaringan inti yang menghubungkan jaringan internal ke internet yang disediakan oleh ISP. Untuk menunjang kinerja perusahaan, maka PT. XYZ memerlukan jaringan komputer yang cepat, handal, dan aman pastinya. Jaringan PT. XYZ yang sedang berjalan sudah terpasang sesuai keinginan dari perusahaan, yaitu cepat dan handal. Tetapi faktor keamanan jaringan belum terpenuhi di jaringan PT. XYZ. Maka PT. XYZ bertindak menawarkan berbagai layanan untuk menciptakan keamanan jaringan di PT. XYZ. Adapun sistem yang sedang berjalan di PT. XYZ merupakan kolaborasi antara routing & switching, security network, dan server farm area. Kesatuan sistem ini dapat dipisah-pisahkan menurut fungsifungsinya. Routing & switching untuk menentukan route jaringan internal ke jaringan luar maupun server farm, agar network traffic dari

67

internal network ke external network dapat berjalan lancar. Security network yang akan dibuat untuk menentukan seberapa aman jaringan internal dapat aman dari ancaman jaringan luar. Oleh karena itu, maka perusahaan akan membuat firewall system untuk membatasi network traffic dari luar dan memberi aturan-aturan tertentu untuk menentukan siapa saja yang boleh mengakses jaringan internal dan server. Pada sistem yang sedang berjalan, pada saat ini tidak ada firewall yang terpasang di jaringan diatas. Dengan kata lain masih rentan terhadap ancaman-ancaman serangan (network threat) dari jaringan luar dan tidak sedikit keluhan tentang paket data yang miss sehingga informasi yang diterima tidak seperti apa yang dikirim. Server farm dibuat untuk menyimpan data-data perusahaan yang sifatnya confidential. Adapun server farm tersebut merupakan kumpulan dari jenis server yang berbeda. Yaitu mail server, DNS server, dan data storage. Peletakan perangkat-perangkat jaringan lebih dipusatkan di Main Building, seperti Customer Edge Router, Server Farm, Multilayer Switch, dan juga Router dan switch untuk akses hosts. Pada Marketing Building, hanya ada Router dan switch akses untuk menghubungkan karyawan di gedung pemasaran ke gedung utama dan akses ke internet

68

Gambar 3. 2 Topologi yang berjalan

Pada main building, terdapat 3 router yang berbeda fungsi. Router Main Building bertujuan untuk menghubungkan user ke switch layer 2, dimana switch ini merupakan titik temu antara router main building dan router marketing building. Switch ini hanya bersifat untuk meneruskan routing dari jaringan internal main building dan marketing building ke CE Router. CE Router ini berfungsi untuk menghubungkan jaringan internal ke server farm dan internet. PE Router merupakan router dari pihak ISP yang merupakan backbone link ke internet. Jaringan internal menggunakan OSPF sebagai routing protocol. Tujuan memakai OSPF sebagai routing protocol adalah karena routing protocol OSPF merupakan open standart routing protocol, yang berarti bahwa routing protocol ini dapat sinkron dengan produk non-cisco. Keuntungan lain adalah, OSPF mempunyai

69

whole database untuk semua jaringan yang terhubung dengan routing protocol OSPF. Traffic network dan update network akan lebih cepat prosesnya karena jalur traffic network yang ditentukan sebagai jalan dari sumber ke tujuan sudah terdeskriXYZ secara jelas di OSPF database. Dan bila ada penambahan jaringan, maka proses penggabungan jaringan tersebut ke jaringan OSPF berlangsung lebih cepat daripada routing protocol lainnya. Pada Customer Edge (CE) dikonfigurasi access lists untuk menyaring data traffic yang masuk dari jaringan eksternal (internet) ke dalam jaringan internal dan ke server. Konfigurasi access lists yang digunakan adalah access lists extended. Adapun konfigurasi access lists yang ada pada router Customer Edge (CE) adalah : •

Match paket data ke arah server Tabel 3. 1 Konfigurasi access lists

ip access-list extended SERVER permit ip host 40.40.40.2 host 40.40.40.1 permit tcp 192.168.10.0 0.0.0.255 30.30.30.0 0.0.0.255 eq telnet permit tcp any host 30.30.30.10 eq www permit tcp 192.168.10.0 0.0.0.255 host 30.30.30.10 eq ftp permit tcp 192.168.10.0 0.0.0.255 host 30.30.30.10 eq 3389

70

permit tcp any host 30.30.30.20 eq ftp permit tcp any host 30.30.30.20 eq 3389 deny ip 10.10.10.0 0.0.0.255 30.30.30.0 0.0.0.255 permit ip 10.10.10.0 0.0.0.255 any permit ip any 10.10.10.0 0.0.0.255 deny ip host 40.40.40.2 192.168.0.0 0.0.255.255 permit ip 40.40.40.0 0.0.0.255 any permit ip any 40.40.40.0 0.0.0.255 permit ip 192.168.10.0 0.0.0.255 any permit ip any 192.168.10.0 0.0.0.255 deny ip 192.168.20.0 0.0.0.255 host 30.30.30.20 permit ip 192.168.20.0 0.0.0.255 any permit ip any 192.168.20.0 0.0.0.255 permit ip 192.168.30.0 0.0.0.255 any permit ip any 192.168.30.0 0.0.0.255 deny ip 192.168.40.0 0.0.0.255 host 30.30.30.20 permit ip 192.168.40.0 0.0.0.255 any permit ip any 192.168.40.0 0.0.0.255

71

permit ip any host 40.40.40.1 deny ip any any ! access-list 7 permit any !

Konfigurasi diatas mempunyai arti bahwa semua user dari jaringan internal dan jaringan eksternal hanya dapat mengakses IP server yang didaftarkan diatas, dengan port-port yang telah ditentukan. Bila ada yang mengakses selain IP server yang diatas, maka traffic data akan di deny/blok.

•

Konfigurasi overload NAT pada interface router yang mengarah ke server Tabel 3. 2 Konfigurasi NAT

! ip nat pool SERVER 40.40.40.3 40.40.40.254 prefix-length 24 ! ip nat inside source list 7 pool SERVER overload !

72

Konfigurasi diatas mempunyai arti bahwa semua IP user dari jaringan internal maupun internal yang masuk kearah interface FastEthernet0/0 dan FastEthernet2/0 untuk mengakses server, akan ditranslasi menjadi salah satu IP dari 40.40.40.3 sampai 40.40.40.254 dari interface router yang mengarah ke server (FastEthernet1/0). Dimana FastEthernet0/0 adalah interface dari router yang mengarah ke user jaringan internal, dan FastEthernet2/0 adalah interface dari router yang mengarah ke user jaringan eksternal.

•

Implementasi konfigurasi pada interface router Tabel 3. 3 Konfigurasi pada interface router

! interface FastEthernet0/0 ip address 10.10.10.2 255.255.255.0 ip access-group SERVER in

interface FastEthernet1/0 ip address 30.30.30.1 255.255.255.0 ip nat outside

73

ip access-group SERVER out ! interface FastEthernet2/0 ip address 40.40.40.1 255.255.255.0 ip nat inside ip access-group SERVER in

Pada

konfigurasi ini, access lists yang telah dibuat

diimplementasikan ke interface-interface yang sudah ditentukan sesuai dengan arah traffic data yang masuk. Di konfigurasi ini ditentukan darimana saja penyaringan data traffic yang masuk, dan jalur keluar dari data traffic tersebut. Komputer host terhubung ke access switch, dimana switch ini terhubung langsung dengan router internal yang bertanggung jawab untuk melakukan routing ke CE Router. IP segment yang terbagi di jaringan internal dibagi atas vlan masing-masing divisi. Adapun divisi yang terbagi diperusahaan PT. XYZ ini adalah divisi F&A (Finance & Accounting), divisi HRD, divisi IT, dan divisi Sales. Divisi IT memiliki segment IP 192.168.10.0/24, divisi F&A memiliki IP segment 192.168.20.0/24, 192.168.30.0/24,

dan

divisi HRD

divisi

Sales

memiliki IP segment memiliki

IP

segment

74

192.168.40.0/24. Divisi IT, F&A, dan HRD terletak di Main Building, sedangkan Sales terletak di Marketing Building. Switch layer 2 yang merupakan titik temu dari Router Main Building, Router Marketing Building, dan CE Router merupakan area 0 OSPF, yaitu backbone area OSPF yang bertanggung jawab untuk keandalan routing ke CE Router. Switch layer 2 berfungsi sebagai forward data traffic. IP segment yang disediakan untuk jaringan OSPF adalah 10.10.10.0/24. Segment IP point-to-point dari CE Router ke PE Router adalah 40.40.40.0/24. Segment IP server farm adalah 30.30.30.0/24. Pada PE Router terdapat NAT Configuration untuk meng-translate IP public yang diberikan oleh ISP ke dalam IP Private.

Gambar 3. 3 Topologi OSPF

75

DMZ (Demilitarized Zone) adalah jaringan security boundary yang terletak diantara suatu jaringan corporate/ private LAN dan jaringan public (internet). Firewall DMZ ini harus dibuat jika diperlukan segmentasi jaringan untuk peletakan server yang bisa diakses public denngan aman tanpa harus mengganggu keamanan sistem jaringan LAN di jaringan private perusahaan. DMZ dirancang untuk melindungi server farm dari serangan hackers dari internet. Firewall DMZ diimplementasikan tepat pada border corporate LAN yang mempunyai 3 interface yaitu, internet interface, private interface, dan DMZ area.Internet interface adalah interface ini berhubungan langsung dengan jaringan internet/ public network dan IP address yang dipakai juga adalah IP address public. Private interface adalah interface yang terhubung langsung dengan jaringan corporate LAN dimana kumpulan komputer-komputer perusahaan terletak di jaringan internal ini. DMZ area berada didalam jaringan internet yang sama sehingga bisa diakses oleh user dari internet. Resource public yang berada pada firewall DMZ adalah web-server, mail server, dan proxy. External area di adalah jaringan internet yang diperantarai oleh ISP. Tetapi pada jaringan perusahaan ini tidak ada DMZ area yang dipisahkan dengan perangkat security network. Sehingga nantinya diperlukan perangkat security network untuk memisahkan daerah external network, internal network, dan DMZ area. Sehingga keamanan jaringan dapat berjalan dengan baik.

76

3.1.4 Permasalahan yang Dihadapi Dari hasil pengamatan terhadap jaringan yang sedang berjalan, didapatkan masalah-masalah sebagai berikut : 1. Sistem keamanan jaringan yang ada tidak memiliki perangkat keamanan jaringan (firewall) untuk mencegah dan mengantisipasi adanya serangan dari jaringan luar. 2. Fitur access list pada router membuat kinerja router menjadi lebih lambat dari biasanya karena selain dipakai untuk routing, router juga dipakai sebagai perangkat keamanan jaringan. Selain itu, access list juga tidak mempunyai fitur monitoring. Sehingga kurang efisien dalam mencegah ancaman jarigan. 3. IT Manager tidak dapat mengetahui apa yang sedang dilakukan / diakses oleh staff-staff yang ada karena tidak adanya fitur sistem network monitoring bila menggunakan access lists.

3.1.5 Analisa Permasalahan Dari permasalahan yang dihadapi diatas, analisa yang dapat diberikan dari permasalahan yang dihadapi adalah: 1. Pada system keamanan jaringan perusahaan XYZ, selama ini hanya mengandalkan keamanan jaringan berupa konfigurasi access list biasa di perangkat router cisco yang existing. Tentunya pada access list biasa hanya untuk membatasi antara jaringan luar dan jaringan dalam hanya berdasarkan IP. Benar adanya pada access list juga

77

bisa membatasi jaringan berdasarkan protokol-protokol lain. Tetapi pada access list tidak bisa memonitor kegiatan keamanan jaringan tersebut. Dan masih banyaknya keterbatasan access list dalam melakukan keamanan jaringan. Diantaranya adalah tidak efisien dalam pengaturan konfigurasi, fitur-fitur yang tidak dimiliki access list seperti security management dengan tampilan antarmuka yang user-friendly. Dan yang lebih berpengaruh adalah access list tidak mempunyai fitur untuk blok pemakaian aplikasi tertentu. 2. Aktivasi fitur access list dapat membuat kinerja router jadi lebih berat dari biasanya adalah karena peran ganda yang dilakukan oleh router. Selain konfigurasi routing, terdapat juga konfigurasi – konfigurasi yang mengatur policy atau aturan – aturan tertentu untuk menentukan keamanan network traffic. Oleh karena itu, peran routing dan security policy harus dipisahkan pada device yang berbeda agar dapat bekerja secara parallel dan efisien. Sehingga nantinya proses dari processor dan memory akan meningkat dan mengakibatkan kinerja router melambat. 3. Access list tidak menyediakan fitur monitoring. Rule atau proses kerja pada access list hanya dapat dilihat pada access list debug pada command line interface (CLI) router. Tidak mungkin bila CLI router harus dipantau secara terus menerus untuk memonitor apakah access list berjalan sesuai yang diinginkan atau tidak. Oleh karena itu, maka diperlukan perangkat keamanan jaringan yang

78

menyediakan fitur monitoring yang mudah dimengerti dan mudah diakses oleh IT Manager.

Oleh karena itu, dapat ditarik kesimpulan bahwa kebutuhan PT. XYZ adalah: 1. Sistem keamanan jaringan yang lebih baik dan handal untuk melindungi jaringan internal dengan menggunakan firewall. 2. Perangkat keamanan jaringan dan perangkat routing diharapkan terpisah dalam pengimplementasiannya. Agar router dapat bekerja lebih cepat dan tidak terbeban. 3. Adanya sistem monitoring jaringan yang dapat melihat traffictraffic apa saja yang keluar-masuk jaringan internal 3.1.6 Usulan Pemecahan Masalah Dari permasalahan yang yang dihadapi oleh PT. XYZ, serta beberapa usulan yang diusulkan oleh pihak IT Corporate Manager, maka solusi yang diusulkan adalah: 1. PT. XYZ dapat menggunakan perangkat firewall tersendiri, yaitu Checkpoint 2210 Appliance, untuk menggantikan sistem keamanan jaringan yang menggunakan fitur access list pada CE router. Disamping mengefisienkan kinerja dari perangkat jaringan, perangkat firewall checkpoint juga menyediakan fitur-fitur lainnya yang tidak didapat bila menggunakan fitur access lists pada router. 2. Perangkat

firewall

menggunakan

produk

checkpoint

yang

diposisikan diantara CE router dan PE router agar memaksimalkan

79

fungsi dari sistem keamanan jaringan yang dibentuk dengan tidak mengganggu jaringan yang sudah ada, dan mengefisienkan kinerja masing-masing perangkat jaringan. 3. Mengaktifkan fitur monitoring yang tersedia pada perangkat checkpoint guna mengontrol sistem keamanan jaringan oleh IT manager.

3.2.

Perancangan Sistem 3.2.1 Topologi Usulan

Gambar 3. 4 Topologi usulan

Pada topologi rancangan diatas, tidak banyak perubahan yang terjadi. Penambahan firewall yang di letakkan antara router CE dan router PE dan

80

kemudian pembuatan DMZ untuk server farm yang sebelumnya directly connected dengan router CE, kini directly connected dengan firewall.

3.2.2 Hardware Hardware atau appliance yang digunakan pada perancangan ini adalah Check Point 2210. Check Point 2210 adalah salah satu dari 4 tipe Check Point lainnya, antara lain 2205, 2207, 2208, dan 2210. Semua bentuk dari 4 tipe ini sama, hanya dibedakan dari fitur yang disediakan. Check Point 2210 dipilih karena tipe ini mempunyai fitur yang lebih banyak dari tipe yang lainnya. •

Check Point 2200 Appliance

Gambar 3. 5 Check Point 2200

Tabel 3. 4 Spesifikasi hardware Model

2200

10/100/1000Base-T Ports

6

SecurityPower

114

81

Firewall Throughput

3 Gbps

VPN Throughput

400 Mbps

IPS Throughput (Default / 2 Gbps / 0.3 Gbps Recommended Profiles) Concurrent Sessions

1.2M

Connections per Second

25K

VLANS

1024

Storage

250GB HDD

Virtual System Support

Yes

Max VS Supported 3/3 (Default/Max) Enclosure

Desktop

Dimensions (standard)

8.27" W x 8.25" D x 1.65" H

Dimensions (metric)

210 mm W x 209 mm D x 42 mm H

Weight

2 kg (4.4 lbs.) Temperature: 32° to 104°F / 0° to 40°C

Operating Environment Relative Humidity 5% to 90% (noncondensing)

82

Temperature: -4° to 158°F / -20° to 70°C Non-Operating Environment Relative Humidity 5% to 95% (noncondensing) Power Input

100~240V, 50~60Hz

Power Supply Spec (Max)

40W

Power Consumption (Max)

35W Safety: UL, cUL Emissions: CE, FCC Class A, VCCI,

Compliance C-Tick Environmental: RoHS

3.2.3 Software a. Software Check Point

Software Check point yang digunakan pada perancangan ini adalah versi R75.40. Software versi ini adalah versi yang paling terbaru dan kompatibel dengan Check Point 2200 series.

•

Perbandingan beberapa software dari Checkpoint Appliances Tabel 3. 5 Spesifikasi software Appliance

2205

2207

2208

2210

83

R75.40

Software Versions Firewall













Identity Awareness













IPSec VPN





































*










*










DLP

*

*




*

URL Filtering

*

*

*




Antivirus

*

*

*




*

*

*
















Advanced Networking & Clustering Mobile Access IPS Application Control

Anti-spam & Email Security Network Policy Management Logging & Status













84

b. Software Simulasi

Software simulasi yang digunakan pada perancangan ini adalah : 1. GNS3 GNS3 adalah software simulasi jaringan yang lebih kompleks disbanding simulator jaringan yang lainnya. 2. VMware Workstation VMware Workstation adalah software virtualisasi yang dapat menjalankan banyak sistem operasi secara simultan dengan menggunakan satu fisik mesin. 3. XAMPP XAMPP adalah software web server apache yang didalamanya sudah

tersedia

database

server mysql

dan

support

php

programing. 4. Xlight Xlight adalah sebuah FTP server yang diperlukan pada jaringan yang ingin mendukung berbagi file menggunakan File Transfer Protocol.

c. Software Uji Coba

Software simulasi yang digunakan pada perancangan ini adalah :

85

1. Putty Putty adalah software remote console yang digunakan untuk mengontrol komputer dengan menggunakan port ssh, telnet, dan sebagainya. 2. Nmap Nmap adalah sebuah aplikasi yang berfungsi untuk melakukan port scanning pada salah satu IP yang diinginkan. 3. Advance Port Scanner Advance Port Scanner adalah sebuah aplikasi yang berfungsi untuk melakukan port scanning dalam range IP tertentu.

3.2.4 Policy Proses perancangan policy pada Check Point cukup mudah. Check Point

menyediakan

software

GUI

yang

dapat

digunakan

untuk

mengimplementasikan policy, monitoring produk Check Point, logging system, reporting, update dan sebagainya. Berikut adalah daftar policy yang akan di install: a. Firewall Policy Tabel 3. 6 Firewall Policy Rule

Source

Destination

IT

Service

SSH, HTTPS, Firewall

Management Admin

Action

Allow ICMP, CPMI

86

Stealth

Any

Firewall

Any NetBios

Reduce Log

Any

Any

Drop

Drop

Services, DHCP

(Tidak di Log)

Remote FTP Server,

Remote

Desktop

IT

Allow

Web Server

Desktop

Protocol

Manage Web IT

Web Server

HTTP, FTP

Allow

Internet

Web Server

HTTP

Allow

Internet

FTP Server

FTP

Allow

Server External-toWeb Server External-toFTP Server HTTP, Internal-toInternal

Internet

HTTPS, FTP,

Allow

Internet DNS, ICMP

Clean Up

Any

Any

Any

Drop

Rule-rule diatas akan di cek mulai dari atas ke bawah, dimana yang paling bawah adalah menolak semua paket yang masuk. Untuk lebih jelasnya akan dijelaskan secara rinci mengenai rule-rule tersebut.

87

1. Management Rule Rule ini dimaksudkan untuk membuka akses manajemen dari jaringan Lan divisi IT ke Firewall. Service nya terdiri dari SHH untuk remote jarak jauh, HTTPS untuk manajemen Check Point melalui web, ICMP untuk tes konektivitas (ping), dan CPMI service Check Point untuk akses SmartConsole, software manajemen Check Point, menuju SmartCenter Server. 2. Stealth Rule Stealth berguna untuk menolak setiap paket yang masuk menuju Firewall. Hal ini dilakukan untuk menghindari port scanning atau pun tindakan lain yang mengancam firewall. 3. Reduce Log Rule Berfungsi untuk mengurangi jumlah log yang tersimpan di SmartCenter server dengan tidak mencatat (log) dan men-drop service yang dapat diabaikan. 4. Remote Desktop Rule Rule ini berfungsi untuk membuka akses remote desktop dari divisi IT menuju server-server yang ada di server farm. 5. Manage Web Server Rule Rule ini untuk membuka akses divisi IT mengelola web perusahaan yang tersimpan di server farm. Service nya terdiri dari HTTP dan FTP.

88

6. External to Web Server Rule Rule ini mengatur akses dari jaringan luar perusahaan (internet) untuk mengakses web server yang berada di server farm. Service yang diperbolehkan adalah HTTP. 7. External to FTP Server Rule Rule ini mengatur akses dari jaringan luar perusahaan (internet) untuk mengakses FTP server yang berada di server farm. Service yang diperbolehkan adalah FTP. 8. Internal to Internet Rule Rule ini mengatur akses dari jaringan internal perusahaan untuk mengakses jaringan luar (internet). Service yang diperbolehkan adalah HTTP, HTTPS, DNS, FTP, dan ICMP. 9. Clean Up Rule Rule ini adalah rule mutlak yang pasti ada di setiap firewall. Rule ini berfungsi menolak paket yang tidak sesuai dengan rule-rule lain yang sudah disebutkan diatas.

89

b. Application and URL Filtering Policy

Tabel 3. 7 Application and URL Filtering Policy Rule

Source

Destination Applications/Sites

Action

Time

Block

Any

Pornography Gambling Anonymizer Botnets Blocked Internal

Internet

Hacking

Content P2P File Sharing Phishing Spam Spyware Facebook

Social Internal Network

Internet

Break Allow

Twitter

Weekend

Check Point memiliki fungsi filtering untuk aplikasi dan situs yang terdapat di dalam database yang dikelola oleh Check Point. Aplikasi dan situs tersebut juga sudah dikelompokkan sehingga memudahkan filtering kelompok-

90

kelompok tertentu. Selain itu, juga dapat diatur waktu kapan berlakunya rule tersebut. 1. Blocked Content Setiap kategori aplikasi/situs yang berbahaya dimasukkan ke dalam rule ini, juga beberapa kategori yang masuk dalam peraturan perusahaan. Diantaranya yang di blok adalah situs pornografi dan perjudian. 2. Social Network Rule ini digunakan untuk membatasi akses social network yang hanya dapat diakses pada waktu tertentu saja, yaitu hanya pada saat jam istirahat dan pada saat libur kerja pada umumnya.

c. NAT Policy Pada topologi yang baru digunakan DMZ (Demilitarized Zone) yang berfungsi sebagai network perimeter yang membatasi akses terhadap jaringan internal. Orang dari luar hanya dapat mengakses DMZ saja sehingga jaringan internal tidak tersentuh sama sekali. Untuk penerapan ini digunakan NAT yang mengatur perubahan IP private ke public. NAT (Network Address Translation) digunakan untuk men-translate IP private ke IP public yang dimiliki perusahaan. Pada topologi sebelumnya, NAT dynamic digunakan untuk men-translate semua koneksi dari dalam menuju luar dengan menumpang pada range IP 40.40.40.3 - 40.40.40.254. IP yang dipakai tergantung dari ketersedian IP yang ada di IP pool. Untuk

91

implementasi topologi yang baru, NAT diatur sedemikian rupa dari sisi keamanan untuk menghindari kemungkinan adanya serangan dari luar. Berikut adalah policy untuk NAT yang digunakan pada topologi baru

Tabel 3. 8 NAT Policy Network/Server

NAT

Original IP

Translate IP

Web Server

Static

30.30.30.10

40.40.40.10

FTP Server

Static

30.30.30.20

40.40.40.20

IT LAN

Hide (Dynamic)

192.168.10.0/24

Finance LAN

Hide (Dynamic)

192.168.20.0/24 40.40.40.40

HRD LAN

Hide (Dynamic)

192.168.30.0/24

Sales LAN

Hide (Dynamic)

192.168.40.0/24

1. Web Server Pada web server digunakan NAT untuk merubah IP private 30.30.30.10 yang digunakan menjadi IP public 40.40.40.10 yang dimiliki oleh perusahaan. NAT yang digunakan adalah static NAT yang berarti IP server langsung di translate ke IP public yang sudah ditentukan.

92

2. FTP Server Pada web server digunakan NAT untuk merubah IP private 30.30.30.20 yang digunakan menjadi IP public 40.40.40.20 yang dimiliki oleh perusahaan. NAT yang digunakan adalah static NAT yang berarti IP server langsung di translate ke IP public yang sudah ditentukan. 3. IT LAN Jaringan LAN pada divisi IT menggunakan NAT untuk dapat mengakses internet yang merupakan jaringan luar perusahaan. NAT yang digunakan adalah hide (dynamic) NAT yang berarti setiap IP yang berada di subnet IT akan memakai satu IP public yang sudah ditentukan. 4. Finance LAN Jaringan LAN pada divisi Finance menggunakan NAT untuk dapat mengakses internet yang merupakan jaringan luar perusahaan. NAT yang digunakan adalah hide (dynamic) NAT yang berarti setiap IP yang berada di subnet Finance akan memakai satu IP public yang sudah ditentukan. 5. HRD LAN Jaringan LAN pada divisi HRD menggunakan NAT untuk dapat mengakses internet yang merupakan jaringan luar perusahaan. NAT yang digunakan adalah hide (dynamic) NAT yang berarti setiap IP yang berada di subnet HRD akan memakai satu IP public yang sudah ditentukan.

93

6. Sales LAN Jaringan LAN pada divisi Sales menggunakan NAT untuk dapat mengakses internet yang merupakan jaringan luar perusahaan. NAT yang digunakan adalah hide (dynamic) NAT yang berarti setiap IP yang berada di subnet Sales akan memakai satu IP public yang sudah ditentukan.

3.2.5 Konfigurasi Konfigurasi ini adalah konfigurasi untuk set-up firewall dan SmartCenter server Check Point. Hal-hal yang akan di konfigurasi disini adalah sebagai berikut: •

Instalasi Secure Platform dan konfigurasi awal Check Point R75.40.

•

Konfigurasi Check Point secara menyeluruh.

•

Pemasangan policy sesuai dengan yang telah dirancang.

a. Instalasi Secure Platform dan konfigurasi awal Check Point R75.40 Berikut adalah langkah first set-up installation untuk produk check point R75.40: 1. Boot-up device dan pilih boot from cd/dvd. Tekan Enter. 2. Tekan OK dan pilih tipe layout keyboard US.

94

3. Selanjutnya adalah konfigurasi management port, pilih port yang akan digunakan

(eth0)

dan

masukan

IP

address

(20.20.20.1/24).

Gambar 3. 6 Halaman port management

Gambar 3. 7 Halaman IP addressing

dan

subnet

mask

95

4. Set-up management web, masukkan port number (443), tekan OK.

Gambar 3. 8 Halaman pemberian port number

5. Konfirmasi format, tekan OK. Instalasi Secure Platform selesai. 6. Tahap berikutnya adalah konfigurasi lanjut device melalui web portal yang diakses di IP address management port https://20.20.20.1 dengan user dan password default adalah “admin”. 7. Setelah login, masukkan user “admin” dan password baru. Lanjut ke First Time Configuration Wizard, tekan Next.

96

Gambar 3. 9 Halaman pemberian nama username dan password

8. Masukkan IP address untuk semua port yang akan digunakan, setelah selesai tekan Next. Tabel 3. 9 Daftar IP Address Port Name

IP Address / Netmask

Eth0

20.20.20.0 / 24

Eth1

30.30.30.0 / 24

Eth2

40.40.40.0 / 24

Eth3

50.50.50.0 / 24

97

Gambar 3. 10 Halaman pemberian IP address pada tiap port

9. Masukkan route yang diperlukan dan default route. Default route: 40.40.40.2

Gambar 3. 11 Halaman pemberian routing

98

10. (Optional) Masukkan DNS Server jika diperlukan, tekan Next. 11. Setting Host Name dan Domain Name, kemudian konfigurasi Date and Time, tekan Apply sebelum lanjut. Host Name: firewall, Domain Name: company.com, Management Interface: eth0

Gambar 3. 12 Halaman host and domain name

12. Tentukan daftar client untuk akses web/SSH, host: any. 13. Pilih produk Check Point yang akan di install, yaitu Security Gateway dan Security Management.

99

Gambar 3. 13 Halaman pemilihan software yang akan diinstal

14. Pilih sebagai primary security management.

Gambar 3. 14 Halaman security management installation type

100

15. Tentukan IP address dan user admin yang boleh mengakses security management, IP 20.20.20.5 dengan user admin.

Gambar 3. 15 Halaman pemberian IP management

Gambar 3. 16 Halaman security management administrator

101

16. First Time Configuration Wizard selesai, tekan Finish untuk instalasi produk.

Gambar 3. 17 Halaman konfirmasi instalasi selesai

b. Konfigurasi Check Point secara menyeluruh Sebelumnya install software SmartConsole yang dapat di download di situs http://www.checkpoint.com atau pada halaman web portal pada bagian

product

configuration.

Berikut

adalah

langkah-langkah

konfigurasi Check Point secara menyeluruh: 1. Buka SmartDashboard dan login menggunakan user ‘admin’ dan password yang sudah ditentukan. Pada bagian server masukan alamat 20.20.20.1. 2. Klik dua kali pada firewall jakarta dan pilih tab Topology hingga muncul halaman seperti berikut.

102

Gambar 3. 18 Tampilan tab Topology

3. Klik tombol get, pilih interfaces with topology sehingga tampak seperti ini, kemudian klik OK.

103

Gambar 3. 19 Interfaces with topology 4. Buat masing-masing network yang terhubung dengan firewall dan juga network yang berada di jaringan perusahaan. Klik kanan pada Network Objects – Networks kemudian pilih Network. Isi nama network beserta IP address dan subnet mask nya.

Gambar 3. 20 Pembuatan Network Object

104

5. Dengan cara yang sama, pada bagian Nodes buat masing-masing host server dan satu host admin.

Gambar 3. 21 Tampilan Nodes

6. Buat satu group dengan nama Internal yang terdiri dari jaringan internal.

Gambar 3. 22 Tampilan Internal Group

105

7. Konfigurasi Check Point selesai yang kemudian akan dilanjutkan dengan pemasangan policy.

c. Pemasangan Policy Policy yang akan dimasukkan ke dalam Check Point R75.40 adalah Firewall rule, NAT rule dan Application and URL Filtering rule. Berikut langkah-langkah pemasangannya: 1. Untuk memasang firewall rule, posisi rule sangat berpengaruh karena rule di eksekusi secara berurutan dari atas ke bawah. Klik tombol Add Rule at the Top untuk menambah satu rule dipaling atas.

Gambar 3. 23 Pembuatan Firewall rule

Masukkan semua rule sesuai dengan policy yang sudah dirancang seperti gambar dibawah.

106

Gambar 3. 24 Tampilan Firewall rule

2. Berikutnya adalah pemasangan Application and URL Filtering rule. Sebelumnya klik dua kali pada firewall jakarta, kemudian centang Application Control dan URL Filtering.

Gambar 3. 25 Pemasangan fitur di firewall

107

3. Buka Tab Application and URL Filtering, klik bagian Policy. Sama seperti firewall rule, disini akan dimasukkan rule untuk application and url filtering.

Gambar 3. 26 Tampilan Application and URL Filtering rule

4. Selanjutnya adalah pemasangan NAT rule. Klik dua kali pada setiap network internal yang sudah dibuat. Pilih tab NAT, kemudian centang Add Automatic Address Translation Rule, pilih translation method: Hide. Pada bagian bawah pilih Hide behind IP Address dan masukkan IP 40.40.40.40.

108

Gambar 3. 27 Pemasangan NAT pada Network Object

5. Pasang NAT rule pada server dengan klik dua kali pada nama server dan pilih tab NAT. Centang Add Automatic Address Translation Rule, pilih translation method: Static. Pada bagian bawah masukkan IP 40.40.40.10 untuk Web Server dan IP 40.40.40.20 untuk FTP Server.

109

Gambar 3. 28 Pemasangan NAT pada Server

Tampilan NAT rule setelah semua selesai dilakukan akan tampak seperti gambar dibawah.

110

Gambar 3. 29 Tampilan NAT rule 6. Setelah semua policy selesai dimasukkan, berikutnya adalah untuk meng-install rule tersebut ke dalam firewall. Pada menu di SmartDashboard pilih Policy – Install, bila muncul warning klik OK. Akan muncul Install Policy, klik OK. Instalasi policy selesai.

111

Gambar 3. 30 Tampilan Install Policy

Gambar 3. 31 Tampilan instalasi policy berhasil