BAB 3 ANALISA DAN PERANCANGAN. teknologi informasi dan menjadi pemimpin untuk konvergensi jaringan

Transkripsi

1 BAB 3 ANALISA DAN PERANCANGAN 3.1 Analisa perusahaan (PT. XYZ) Sejarah Perusahaan PT. XYZ adalah bagian dari perusahaan regional di bidang layanan teknologi informasi dan menjadi pemimpin untuk konvergensi jaringan digital melayani pelanggan-pelanggan Service Provider dan Korporasi di kawasan Asia Pasifik. Sejak tanggal 19 July 2004, PT. XYZ telah berdiri dan juga bertumbuh dengan cepat diawali oleh team management yang telah bekerjasama bertahun-tahun sebelumnya dalam satu tim, serta tenaga-tenaga professional yang handal. PT. XYZ menawarkan solusi luas layanan valueadded, technical advisory, network planning and design, system engineering and integration, project management, implementation dan customer support. Selain itu, PT. XYZ juga memiliki kemitraan dengan perusahaan-perusahaan berteknologi di seluruh dunia. Dengan kantor yang berpusat di Singapura, selain Indonesia, PT. XYZ juga memiliki kantor yang berdomisili di Korea dan Malaysia. Untuk menangani dukungan perusahaan-perusahaan multi-nasional, PT. XYZ juga bekerja sama dengan service partners di negara lain di Asia. 59

2 60 PT. XYZ adalah perusahaan yang bergerak di bidang IT dan pemimpin dalam konvergensi infrastruktur jaringan broadband (System Integrator). Beroperasi di Indonesia, Korea, Malaysia dan Singapura. Perusahaan PT. XYZ mulai beroperasi pada tahun 2004 dan menjadi anak perusahaan yang sepenuhnya dimiliki oleh DMX technologies group ketika diakuisisi pada tahun PT. XYZ menawarkan spektrum layanan canggih termasuk penilaian, teknis penasehat, perencanaan desain, sistem rekayasa dan integrasi, manajemen proyek dan pemeliharaan di bidang Next Generation Network, keamanan, dan dukungan sistem operasi. PT. XYZ memiliki kemitraan dengan beberapa perusahaan teknologi paling maju di dunia, seperti Cisco Systems di mana perusahaan ini memiliki sertifikat sebagai Gold Partner. PT. XYZ menangani beberapa proyek meliputi Routing & Switching, jaringan advance IP/MPLS, Security Network, dan penyediaan jasa seperti pembuatan network design dan network consultant. Pada tahun 2008, PT. XYZ menjadi salah satu dari Cisco Indonesia tiga Mitra SI. Berlandaskan pada kebutuhan pelanggan, PT. XYZ memilih produkproduk best-of-breed dari perusahaan-perusahaan yang mengkhususkan di area yang mereka kuasai. Teknologi dan produk yang dipilih, diintegrasikan ke dalam solusi end-to-end agar dapat membantu pelanggan memperbaiki kinerja jaringan yang ada. Beberapa solusi yang disediakan oleh PT. XYZ adalah sebagai berikut: Converged Network

3 61 Security Network Operation Support Systems Services Adapun solusi berupa layanan jasa yang dapat diberikan PT. XYZ adalah sebagai berikut: Consultancy Services Implementation Services Maintenance Services Training Services Visi dan Misi PT. XYZ adalah sebagai berikut: Visi Menjadi perusahaan System Integrator (SI) Jaringan yang terbaik dan dapat bersaing dengan perusahaan System Integrator lainnya, penuh dengan daya cipta dan inovasi serta mampu memberikan kontribusi yang berarti bagi perkembangan teknologi informasi dan jaringan. Misi Visi perusahaan meliputi misi tiga-dimensi: o Menjunjung tinggi kualitas produk dan layanan dengan menerapkan prinsip efisiensi secara handal dan konsisten, sehingga mampu menghasilkan solusi penyediaan perangkat jaringan atau network support yang berkualitas bagi para pelanggan o Menerapkan proses kerja yang dinamis, kreatif, dan inovatif

4 62 o Menciptakan suatu solusi baru yang mampu menyelesaikan masalah-masalah yang sering terjadi dalam perkembangan teknologi informasi dan jaringan dan dapat memberikan hasil kerja yang maksimal Struktur Perusahaan Berikut ini adalah struktur organisasi yang mencakup PT. XYZ. Gambar 3. 1 Struktur perusahaan

5 63 Adapun wewenang dan tanggung jawab dari masing-masing jabatan adalah sebagai berikut. 1. Division Manager Support and Services Mengontrol seluruh aktifitas pada divisi SS (Support and Services) Melakukan pembinaan dan pengembangan pada setiap pribadi di Departemen Support and Services. Menetapkan target pekerjaan baik dalam bulanan maupun tahunan. Menganalisa dan mengembangkan strategi kinerja engineer untuk meningkatkan kepercayaan customer pada divisinya. Menerima dan menyelesaikan complain customer sekaligus memperhatikan hak customer. Menyetujui atau menolak setiap permintaan yang diajukan customer pada divisinya. Menyetujui atau menolak pengajuan laptop baru pada divisi SS. 2. Manager Mengambil alih wewenang manager bila divisi manager berhalangan hadir atau tidak ada. Menentukan engineer tertentu untuk pekerjaan tertentu. Menyetujui dan menolak klaiman pulsa telepon genggam dan lembur.

6 64 3. Assistant Manager Memberi proyek-proyek yang akan dikerjakan kepada Team Leader masing-masing sub-divisi. Menerima complain dari customer Bertanggung jawab atas project yang dikerjakan oleh engineerengineer tertentu. 4. Team Leader Memberi tugas-tugas yang diberikan oleh Assistant Manager kepada field engineer masing-masing tim. Memberi feedback kepada assistant manager, manager, dan division manager atas status project-project yang dikerjakan. Ikut on-site pada pengerjaan project bila diperlukan. 5. PS Core (TELCO) Menentukan program kerja untuk project yang termasuk bagian TELCO (Telecommunication Company) Troubleshooting untuk masalah yang terjadi di project TELCO. Implementasi project-project yang tercakup dalam ruang lingkup TELCO Desain jaringan dan perancangan pada project dalam ruang lingkup TELCO.

7 65 6. SS Admin Support Mengatur jaringan computer internal perusahaan. Menentukan IP untuk setiap computer karyawan yang terdaftar. Menyusun daftar spesifikasi computer data karyawan. 7. Project Manager Mengatur jadwal implementasi suatu project. Merupakan perantara pihak internal perusahaan dengan customer. Memberi wewenang kepada engineer-engineer tertentu untuk melakukan suatu pekerjaan yang seharusnya engineer tersebut tidak mempunyai hak untuk pekerjaan tersebut. Memberi surat perintah kerja kepada pihak-pihak tertentu bila diperlukan. 8. Project Implementation (Enterprise) Mengimplementasikan pekerjaan yang sudah diatur oleh Team Leader. Memberi laporan kepada Team Leader dan Project Manager atas implementasi yang dilakukan. 9. Project Support Memberi bantuan kepada tim Project Implementation berupa bantuan penyediaan perangkat dan sarana pendukung implementasi.

8 Managed Service Mengkoordinir tiap anggota tim (karyawan / engineer) dalam pengerjaan suatu proyek. Mengawasi kinerja dari tiap anggota tim pada setiap proyek yang dilakukan Sistem Yang Berjalan PT. XYZ terbagi atas 2 gedung yang berdekatan, antara lain Main Building dan Marketing Building. Masing-masing gedung mempunyai jaringan lokal sendiri dan berpusat di Main Building. Di Main Building, Terdapat perangkat-perangkat jaringan inti yang menghubungkan jaringan internal ke internet yang disediakan oleh ISP. Untuk menunjang kinerja perusahaan, maka PT. XYZ memerlukan jaringan komputer yang cepat, handal, dan aman pastinya. Jaringan PT. XYZ yang sedang berjalan sudah terpasang sesuai keinginan dari perusahaan, yaitu cepat dan handal. Tetapi faktor keamanan jaringan belum terpenuhi di jaringan PT. XYZ. Maka PT. XYZ bertindak menawarkan berbagai layanan untuk menciptakan keamanan jaringan di PT. XYZ. Adapun sistem yang sedang berjalan di PT. XYZ merupakan kolaborasi antara routing & switching, security network, dan server farm area. Kesatuan sistem ini dapat dipisah-pisahkan menurut fungsifungsinya. Routing & switching untuk menentukan route jaringan internal ke jaringan luar maupun server farm, agar network traffic dari

9 67 internal network ke external network dapat berjalan lancar. Security network yang akan dibuat untuk menentukan seberapa aman jaringan internal dapat aman dari ancaman jaringan luar. Oleh karena itu, maka perusahaan akan membuat firewall system untuk membatasi network traffic dari luar dan memberi aturan-aturan tertentu untuk menentukan siapa saja yang boleh mengakses jaringan internal dan server. Pada sistem yang sedang berjalan, pada saat ini tidak ada firewall yang terpasang di jaringan diatas. Dengan kata lain masih rentan terhadap ancaman-ancaman serangan (network threat) dari jaringan luar dan tidak sedikit keluhan tentang paket data yang miss sehingga informasi yang diterima tidak seperti apa yang dikirim. Server farm dibuat untuk menyimpan data-data perusahaan yang sifatnya confidential. Adapun server farm tersebut merupakan kumpulan dari jenis server yang berbeda. Yaitu mail server, DNS server, dan data storage. Peletakan perangkat-perangkat jaringan lebih dipusatkan di Main Building, seperti Customer Edge Router, Server Farm, Multilayer Switch, dan juga Router dan switch untuk akses hosts. Pada Marketing Building, hanya ada Router dan switch akses untuk menghubungkan karyawan di gedung pemasaran ke gedung utama dan akses ke internet

10 68 Gambar 3. 2 Topologi yang berjalan Pada main building, terdapat 3 router yang berbeda fungsi. Router Main Building bertujuan untuk menghubungkan user ke switch layer 2, dimana switch ini merupakan titik temu antara router main building dan router marketing building. Switch ini hanya bersifat untuk meneruskan routing dari jaringan internal main building dan marketing building ke CE Router. CE Router ini berfungsi untuk menghubungkan jaringan internal ke server farm dan internet. PE Router merupakan router dari pihak ISP yang merupakan backbone link ke internet. Jaringan internal menggunakan OSPF sebagai routing protocol. Tujuan memakai OSPF sebagai routing protocol adalah karena routing protocol OSPF merupakan open standart routing protocol, yang berarti bahwa routing protocol ini dapat sinkron dengan produk non-cisco. Keuntungan lain adalah, OSPF mempunyai

11 69 whole database untuk semua jaringan yang terhubung dengan routing protocol OSPF. Traffic network dan update network akan lebih cepat prosesnya karena jalur traffic network yang ditentukan sebagai jalan dari sumber ke tujuan sudah terdeskrixyz secara jelas di OSPF database. Dan bila ada penambahan jaringan, maka proses penggabungan jaringan tersebut ke jaringan OSPF berlangsung lebih cepat daripada routing protocol lainnya. Pada Customer Edge (CE) dikonfigurasi access lists untuk menyaring data traffic yang masuk dari jaringan eksternal (internet) ke dalam jaringan internal dan ke server. Konfigurasi access lists yang digunakan adalah access lists extended. Adapun konfigurasi access lists yang ada pada router Customer Edge (CE) adalah : Match paket data ke arah server Tabel 3. 1 Konfigurasi access lists ip access-list extended SERVER permit ip host host permit tcp eq telnet permit tcp any host eq www permit tcp host eq ftp permit tcp host eq 3389

12 70 permit tcp any host eq ftp permit tcp any host eq 3389 deny ip permit ip any permit ip any deny ip host permit ip any permit ip any permit ip any permit ip any deny ip host permit ip any permit ip any permit ip any permit ip any deny ip host permit ip any permit ip any

13 71 permit ip any host deny ip any any! access-list 7 permit any! Konfigurasi diatas mempunyai arti bahwa semua user dari jaringan internal dan jaringan eksternal hanya dapat mengakses IP server yang didaftarkan diatas, dengan port-port yang telah ditentukan. Bila ada yang mengakses selain IP server yang diatas, maka traffic data akan di deny/blok. Konfigurasi overload NAT pada interface router yang mengarah ke server Tabel 3. 2 Konfigurasi NAT! ip nat pool SERVER prefix-length 24! ip nat inside source list 7 pool SERVER overload!

14 72 Konfigurasi diatas mempunyai arti bahwa semua IP user dari jaringan internal maupun internal yang masuk kearah interface FastEthernet0/0 dan FastEthernet2/0 untuk mengakses server, akan ditranslasi menjadi salah satu IP dari sampai dari interface router yang mengarah ke server (FastEthernet1/0). Dimana FastEthernet0/0 adalah interface dari router yang mengarah ke user jaringan internal, dan FastEthernet2/0 adalah interface dari router yang mengarah ke user jaringan eksternal. Implementasi konfigurasi pada interface router Tabel 3. 3 Konfigurasi pada interface router! interface FastEthernet0/0 ip address ip access-group SERVER in interface FastEthernet1/0 ip address ip nat outside

15 73 ip access-group SERVER out! interface FastEthernet2/0 ip address ip nat inside ip access-group SERVER in Pada konfigurasi ini, access lists yang telah dibuat diimplementasikan ke interface-interface yang sudah ditentukan sesuai dengan arah traffic data yang masuk. Di konfigurasi ini ditentukan darimana saja penyaringan data traffic yang masuk, dan jalur keluar dari data traffic tersebut. Komputer host terhubung ke access switch, dimana switch ini terhubung langsung dengan router internal yang bertanggung jawab untuk melakukan routing ke CE Router. IP segment yang terbagi di jaringan internal dibagi atas vlan masing-masing divisi. Adapun divisi yang terbagi diperusahaan PT. XYZ ini adalah divisi F&A (Finance & Accounting), divisi HRD, divisi IT, dan divisi Sales. Divisi IT memiliki segment IP /24, divisi F&A memiliki IP segment /24, divisi HRD memiliki IP segment /24, dan divisi Sales memiliki IP segment

16 /24. Divisi IT, F&A, dan HRD terletak di Main Building, sedangkan Sales terletak di Marketing Building. Switch layer 2 yang merupakan titik temu dari Router Main Building, Router Marketing Building, dan CE Router merupakan area 0 OSPF, yaitu backbone area OSPF yang bertanggung jawab untuk keandalan routing ke CE Router. Switch layer 2 berfungsi sebagai forward data traffic. IP segment yang disediakan untuk jaringan OSPF adalah /24. Segment IP point-to-point dari CE Router ke PE Router adalah /24. Segment IP server farm adalah /24. Pada PE Router terdapat NAT Configuration untuk meng-translate IP public yang diberikan oleh ISP ke dalam IP Private. Gambar 3. 3 Topologi OSPF

17 75 DMZ (Demilitarized Zone) adalah jaringan security boundary yang terletak diantara suatu jaringan corporate/ private LAN dan jaringan public (internet). Firewall DMZ ini harus dibuat jika diperlukan segmentasi jaringan untuk peletakan server yang bisa diakses public denngan aman tanpa harus mengganggu keamanan sistem jaringan LAN di jaringan private perusahaan. DMZ dirancang untuk melindungi server farm dari serangan hackers dari internet. Firewall DMZ diimplementasikan tepat pada border corporate LAN yang mempunyai 3 interface yaitu, internet interface, private interface, dan DMZ area.internet interface adalah interface ini berhubungan langsung dengan jaringan internet/ public network dan IP address yang dipakai juga adalah IP address public. Private interface adalah interface yang terhubung langsung dengan jaringan corporate LAN dimana kumpulan komputer-komputer perusahaan terletak di jaringan internal ini. DMZ area berada didalam jaringan internet yang sama sehingga bisa diakses oleh user dari internet. Resource public yang berada pada firewall DMZ adalah web-server, mail server, dan proxy. External area di adalah jaringan internet yang diperantarai oleh ISP. Tetapi pada jaringan perusahaan ini tidak ada DMZ area yang dipisahkan dengan perangkat security network. Sehingga nantinya diperlukan perangkat security network untuk memisahkan daerah external network, internal network, dan DMZ area. Sehingga keamanan jaringan dapat berjalan dengan baik.

18 Permasalahan yang Dihadapi Dari hasil pengamatan terhadap jaringan yang sedang berjalan, didapatkan masalah-masalah sebagai berikut : 1. Sistem keamanan jaringan yang ada tidak memiliki perangkat keamanan jaringan (firewall) untuk mencegah dan mengantisipasi adanya serangan dari jaringan luar. 2. Fitur access list pada router membuat kinerja router menjadi lebih lambat dari biasanya karena selain dipakai untuk routing, router juga dipakai sebagai perangkat keamanan jaringan. Selain itu, access list juga tidak mempunyai fitur monitoring. Sehingga kurang efisien dalam mencegah ancaman jarigan. 3. IT Manager tidak dapat mengetahui apa yang sedang dilakukan / diakses oleh staff-staff yang ada karena tidak adanya fitur sistem network monitoring bila menggunakan access lists Analisa Permasalahan Dari permasalahan yang dihadapi diatas, analisa yang dapat diberikan dari permasalahan yang dihadapi adalah: 1. Pada system keamanan jaringan perusahaan XYZ, selama ini hanya mengandalkan keamanan jaringan berupa konfigurasi access list biasa di perangkat router cisco yang existing. Tentunya pada access list biasa hanya untuk membatasi antara jaringan luar dan jaringan dalam hanya berdasarkan IP. Benar adanya pada access list juga

19 77 bisa membatasi jaringan berdasarkan protokol-protokol lain. Tetapi pada access list tidak bisa memonitor kegiatan keamanan jaringan tersebut. Dan masih banyaknya keterbatasan access list dalam melakukan keamanan jaringan. Diantaranya adalah tidak efisien dalam pengaturan konfigurasi, fitur-fitur yang tidak dimiliki access list seperti security management dengan tampilan antarmuka yang user-friendly. Dan yang lebih berpengaruh adalah access list tidak mempunyai fitur untuk blok pemakaian aplikasi tertentu. 2. Aktivasi fitur access list dapat membuat kinerja router jadi lebih berat dari biasanya adalah karena peran ganda yang dilakukan oleh router. Selain konfigurasi routing, terdapat juga konfigurasi konfigurasi yang mengatur policy atau aturan aturan tertentu untuk menentukan keamanan network traffic. Oleh karena itu, peran routing dan security policy harus dipisahkan pada device yang berbeda agar dapat bekerja secara parallel dan efisien. Sehingga nantinya proses dari processor dan memory akan meningkat dan mengakibatkan kinerja router melambat. 3. Access list tidak menyediakan fitur monitoring. Rule atau proses kerja pada access list hanya dapat dilihat pada access list debug pada command line interface (CLI) router. Tidak mungkin bila CLI router harus dipantau secara terus menerus untuk memonitor apakah access list berjalan sesuai yang diinginkan atau tidak. Oleh karena itu, maka diperlukan perangkat keamanan jaringan yang

20 78 menyediakan fitur monitoring yang mudah dimengerti dan mudah diakses oleh IT Manager. Oleh karena itu, dapat ditarik kesimpulan bahwa kebutuhan PT. XYZ adalah: 1. Sistem keamanan jaringan yang lebih baik dan handal untuk melindungi jaringan internal dengan menggunakan firewall. 2. Perangkat keamanan jaringan dan perangkat routing diharapkan terpisah dalam pengimplementasiannya. Agar router dapat bekerja lebih cepat dan tidak terbeban. 3. Adanya sistem monitoring jaringan yang dapat melihat traffictraffic apa saja yang keluar-masuk jaringan internal Usulan Pemecahan Masalah Dari permasalahan yang yang dihadapi oleh PT. XYZ, serta beberapa usulan yang diusulkan oleh pihak IT Corporate Manager, maka solusi yang diusulkan adalah: 1. PT. XYZ dapat menggunakan perangkat firewall tersendiri, yaitu Checkpoint 2210 Appliance, untuk menggantikan sistem keamanan jaringan yang menggunakan fitur access list pada CE router. Disamping mengefisienkan kinerja dari perangkat jaringan, perangkat firewall checkpoint juga menyediakan fitur-fitur lainnya yang tidak didapat bila menggunakan fitur access lists pada router. 2. Perangkat firewall menggunakan produk checkpoint yang diposisikan diantara CE router dan PE router agar memaksimalkan

21 79 fungsi dari sistem keamanan jaringan yang dibentuk dengan tidak mengganggu jaringan yang sudah ada, dan mengefisienkan kinerja masing-masing perangkat jaringan. 3. Mengaktifkan fitur monitoring yang tersedia pada perangkat checkpoint guna mengontrol sistem keamanan jaringan oleh IT manager Perancangan Sistem Topologi Usulan Gambar 3. 4 Topologi usulan Pada topologi rancangan diatas, tidak banyak perubahan yang terjadi. Penambahan firewall yang di letakkan antara router CE dan router PE dan

22 80 kemudian pembuatan DMZ untuk server farm yang sebelumnya directly connected dengan router CE, kini directly connected dengan firewall Hardware Hardware atau appliance yang digunakan pada perancangan ini adalah Check Point Check Point 2210 adalah salah satu dari 4 tipe Check Point lainnya, antara lain 2205, 2207, 2208, dan Semua bentuk dari 4 tipe ini sama, hanya dibedakan dari fitur yang disediakan. Check Point 2210 dipilih karena tipe ini mempunyai fitur yang lebih banyak dari tipe yang lainnya. Check Point 2200 Appliance Gambar 3. 5 Check Point 2200 Tabel 3. 4 Spesifikasi hardware Model /100/1000Base-T Ports 6 SecurityPower 114

23 81 Firewall Throughput 3 Gbps VPN Throughput 400 Mbps IPS Throughput (Default / Recommended Profiles) 2 Gbps / 0.3 Gbps Concurrent Sessions 1.2M Connections per Second 25K VLANS 1024 Storage 250GB HDD Virtual System Support Yes Max VS Supported (Default/Max) 3/3 Enclosure Desktop Dimensions (standard) 8.27" W x 8.25" D x 1.65" H Dimensions (metric) 210 mm W x 209 mm D x 42 mm H Weight 2 kg (4.4 lbs.) Temperature: 32 to 104 F / 0 Operating Environment to 40 C Relative Humidity 5% to 90% (noncondensing)

24 82 Temperature: -4 to 158 F / -20 Non-Operating Environment to 70 C Relative Humidity 5% to 95% (noncondensing) Power Input 100~240V, 50~60Hz Power Supply Spec (Max) 40W Power Consumption (Max) 35W Safety: UL, cul Compliance Emissions: CE, FCC Class A, VCCI, C-Tick Environmental: RoHS Software a. Software Check Point Software Check point yang digunakan pada perancangan ini adalah versi R Software versi ini adalah versi yang paling terbaru dan kompatibel dengan Check Point 2200 series. Perbandingan beberapa software dari Checkpoint Appliances Tabel 3. 5 Spesifikasi software Appliance

25 83 Software Versions R75.40 Firewall Identity Awareness IPSec VPN Advanced Networking & Clustering Mobile Access IPS * Application Control * DLP * * * URL Filtering * * * Antivirus * * * Anti-spam & Security * * * Network Policy Management Logging & Status

26 84 b. Software Simulasi Software simulasi yang digunakan pada perancangan ini adalah : 1. GNS3 GNS3 adalah software simulasi jaringan yang lebih kompleks disbanding simulator jaringan yang lainnya. 2. VMware Workstation VMware Workstation adalah software virtualisasi yang dapat menjalankan banyak sistem operasi secara simultan dengan menggunakan satu fisik mesin. 3. XAMPP XAMPP adalah software web server apache yang didalamanya sudah tersedia database server mysql dan support php programing. 4. Xlight Xlight adalah sebuah FTP server yang diperlukan pada jaringan yang ingin mendukung berbagi file menggunakan File Transfer Protocol. c. Software Uji Coba adalah : Software simulasi yang digunakan pada perancangan ini

27 85 1. Putty Putty adalah software remote console yang digunakan untuk mengontrol komputer dengan menggunakan port ssh, telnet, dan sebagainya. 2. Nmap Nmap adalah sebuah aplikasi yang berfungsi untuk melakukan port scanning pada salah satu IP yang diinginkan. 3. Advance Port Scanner Advance Port Scanner adalah sebuah aplikasi yang berfungsi untuk melakukan port scanning dalam range IP tertentu Policy Proses perancangan policy pada Check Point cukup mudah. Check Point menyediakan software GUI yang dapat digunakan untuk mengimplementasikan policy, monitoring produk Check Point, logging system, reporting, update dan sebagainya. Berikut adalah daftar policy yang akan di install: a. Firewall Policy Tabel 3. 6 Firewall Policy Rule Source Destination Service Action Management IT Admin Firewall SSH, HTTPS, ICMP, CPMI Allow

28 86 Stealth Any Firewall Any Drop Reduce Log Any Any NetBios Services, DHCP Drop (Tidak di Log) Remote Desktop IT FTP Server, Web Server Remote Desktop Protocol Allow Manage Web Server IT Web Server HTTP, FTP Allow Web Server Internet Web Server HTTP Allow External-to- External-to- FTP Server Internet FTP Server FTP Allow Internal-to- Internet Internal Internet HTTP, HTTPS, FTP, DNS, ICMP Allow Clean Up Any Any Any Drop Rule-rule diatas akan di cek mulai dari atas ke bawah, dimana yang paling bawah adalah menolak semua paket yang masuk. Untuk lebih jelasnya akan dijelaskan secara rinci mengenai rule-rule tersebut.

29 87 1. Management Rule Rule ini dimaksudkan untuk membuka akses manajemen dari jaringan Lan divisi IT ke Firewall. Service nya terdiri dari SHH untuk remote jarak jauh, HTTPS untuk manajemen Check Point melalui web, ICMP untuk tes konektivitas (ping), dan CPMI service Check Point untuk akses SmartConsole, software manajemen Check Point, menuju SmartCenter Server. 2. Stealth Rule Stealth berguna untuk menolak setiap paket yang masuk menuju Firewall. Hal ini dilakukan untuk menghindari port scanning atau pun tindakan lain yang mengancam firewall. 3. Reduce Log Rule Berfungsi untuk mengurangi jumlah log yang tersimpan di SmartCenter server dengan tidak mencatat (log) dan men-drop service yang dapat diabaikan. 4. Remote Desktop Rule Rule ini berfungsi untuk membuka akses remote desktop dari divisi IT menuju server-server yang ada di server farm. 5. Manage Web Server Rule Rule ini untuk membuka akses divisi IT mengelola web perusahaan yang tersimpan di server farm. Service nya terdiri dari HTTP dan FTP.

30 88 6. External to Web Server Rule Rule ini mengatur akses dari jaringan luar perusahaan (internet) untuk mengakses web server yang berada di server farm. Service yang diperbolehkan adalah HTTP. 7. External to FTP Server Rule Rule ini mengatur akses dari jaringan luar perusahaan (internet) untuk mengakses FTP server yang berada di server farm. Service yang diperbolehkan adalah FTP. 8. Internal to Internet Rule Rule ini mengatur akses dari jaringan internal perusahaan untuk mengakses jaringan luar (internet). Service yang diperbolehkan adalah HTTP, HTTPS, DNS, FTP, dan ICMP. 9. Clean Up Rule Rule ini adalah rule mutlak yang pasti ada di setiap firewall. Rule ini berfungsi menolak paket yang tidak sesuai dengan rule-rule lain yang sudah disebutkan diatas.

31 89 b. Application and URL Filtering Policy Tabel 3. 7 Application and URL Filtering Policy Rule Source Destination Applications/Sites Action Time Pornography Gambling Anonymizer Botnets Blocked Content Internal Internet Hacking Block Any P2P File Sharing Phishing Spam Spyware Social Network Internal Internet Facebook Twitter Allow Break Weekend Check Point memiliki fungsi filtering untuk aplikasi dan situs yang terdapat di dalam database yang dikelola oleh Check Point. Aplikasi dan situs tersebut juga sudah dikelompokkan sehingga memudahkan filtering kelompok-

32 90 kelompok tertentu. Selain itu, juga dapat diatur waktu kapan berlakunya rule tersebut. 1. Blocked Content Setiap kategori aplikasi/situs yang berbahaya dimasukkan ke dalam rule ini, juga beberapa kategori yang masuk dalam peraturan perusahaan. Diantaranya yang di blok adalah situs pornografi dan perjudian. 2. Social Network Rule ini digunakan untuk membatasi akses social network yang hanya dapat diakses pada waktu tertentu saja, yaitu hanya pada saat jam istirahat dan pada saat libur kerja pada umumnya. c. NAT Policy Pada topologi yang baru digunakan DMZ (Demilitarized Zone) yang berfungsi sebagai network perimeter yang membatasi akses terhadap jaringan internal. Orang dari luar hanya dapat mengakses DMZ saja sehingga jaringan internal tidak tersentuh sama sekali. Untuk penerapan ini digunakan NAT yang mengatur perubahan IP private ke public. NAT (Network Address Translation) digunakan untuk men-translate IP private ke IP public yang dimiliki perusahaan. Pada topologi sebelumnya, NAT dynamic digunakan untuk men-translate semua koneksi dari dalam menuju luar dengan menumpang pada range IP IP yang dipakai tergantung dari ketersedian IP yang ada di IP pool. Untuk

33 91 implementasi topologi yang baru, NAT diatur sedemikian rupa dari sisi keamanan untuk menghindari kemungkinan adanya serangan dari luar. Berikut adalah policy untuk NAT yang digunakan pada topologi baru Tabel 3. 8 NAT Policy Network/Server NAT Original IP Translate IP Web Server Static FTP Server Static IT LAN Hide (Dynamic) /24 Finance LAN Hide (Dynamic) /24 HRD LAN Hide (Dynamic) / Sales LAN Hide (Dynamic) /24 1. Web Server Pada web server digunakan NAT untuk merubah IP private yang digunakan menjadi IP public yang dimiliki oleh perusahaan. NAT yang digunakan adalah static NAT yang berarti IP server langsung di translate ke IP public yang sudah ditentukan.

34 92 2. FTP Server Pada web server digunakan NAT untuk merubah IP private yang digunakan menjadi IP public yang dimiliki oleh perusahaan. NAT yang digunakan adalah static NAT yang berarti IP server langsung di translate ke IP public yang sudah ditentukan. 3. IT LAN Jaringan LAN pada divisi IT menggunakan NAT untuk dapat mengakses internet yang merupakan jaringan luar perusahaan. NAT yang digunakan adalah hide (dynamic) NAT yang berarti setiap IP yang berada di subnet IT akan memakai satu IP public yang sudah ditentukan. 4. Finance LAN Jaringan LAN pada divisi Finance menggunakan NAT untuk dapat mengakses internet yang merupakan jaringan luar perusahaan. NAT yang digunakan adalah hide (dynamic) NAT yang berarti setiap IP yang berada di subnet Finance akan memakai satu IP public yang sudah ditentukan. 5. HRD LAN Jaringan LAN pada divisi HRD menggunakan NAT untuk dapat mengakses internet yang merupakan jaringan luar perusahaan. NAT yang digunakan adalah hide (dynamic) NAT yang berarti setiap IP yang berada di subnet HRD akan memakai satu IP public yang sudah ditentukan.

35 93 6. Sales LAN Jaringan LAN pada divisi Sales menggunakan NAT untuk dapat mengakses internet yang merupakan jaringan luar perusahaan. NAT yang digunakan adalah hide (dynamic) NAT yang berarti setiap IP yang berada di subnet Sales akan memakai satu IP public yang sudah ditentukan Konfigurasi Konfigurasi ini adalah konfigurasi untuk set-up firewall dan SmartCenter server Check Point. Hal-hal yang akan di konfigurasi disini adalah sebagai berikut: Instalasi Secure Platform dan konfigurasi awal Check Point R Konfigurasi Check Point secara menyeluruh. Pemasangan policy sesuai dengan yang telah dirancang. a. Instalasi Secure Platform dan konfigurasi awal Check Point R75.40 Berikut adalah langkah first set-up installation untuk produk check point R75.40: 1. Boot-up device dan pilih boot from cd/dvd. Tekan Enter. 2. Tekan OK dan pilih tipe layout keyboard US.

36 94 3. Selanjutnya adalah konfigurasi management port, pilih port yang akan digunakan (eth0) dan masukan IP address dan subnet mask ( /24). Gambar 3. 6 Halaman port management Gambar 3. 7 Halaman IP addressing

37 95 4. Set-up management web, masukkan port number (443), tekan OK. Gambar 3. 8 Halaman pemberian port number 5. Konfirmasi format, tekan OK. Instalasi Secure Platform selesai. 6. Tahap berikutnya adalah konfigurasi lanjut device melalui web portal yang diakses di IP address management port dengan user dan password default adalah admin. 7. Setelah login, masukkan user admin dan password baru. Lanjut ke First Time Configuration Wizard, tekan Next.

38 96 Gambar 3. 9 Halaman pemberian nama username dan password 8. Masukkan IP address untuk semua port yang akan digunakan, setelah selesai tekan Next. Tabel 3. 9 Daftar IP Address Port Name IP Address / Netmask Eth / 24 Eth / 24 Eth / 24 Eth / 24

39 97 Gambar Halaman pemberian IP address pada tiap port 9. Masukkan route yang diperlukan dan default route. Default route: Gambar Halaman pemberian routing

40 (Optional) Masukkan DNS Server jika diperlukan, tekan Next. 11. Setting Host Name dan Domain Name, kemudian konfigurasi Date and Time, tekan Apply sebelum lanjut. Host Name: firewall, Domain Name: company.com, Management Interface: eth0 Gambar Halaman host and domain name 12. Tentukan daftar client untuk akses web/ssh, host: any. 13. Pilih produk Check Point yang akan di install, yaitu Security Gateway dan Security Management.

41 99 Gambar Halaman pemilihan software yang akan diinstal 14. Pilih sebagai primary security management. Gambar Halaman security management installation type

42 Tentukan IP address dan user admin yang boleh mengakses security management, IP dengan user admin. Gambar Halaman pemberian IP management Gambar Halaman security management administrator

43 First Time Configuration Wizard selesai, tekan Finish untuk instalasi produk. Gambar Halaman konfirmasi instalasi selesai b. Konfigurasi Check Point secara menyeluruh Sebelumnya install software SmartConsole yang dapat di download di situs atau pada halaman web portal pada bagian product configuration. Berikut adalah langkah-langkah konfigurasi Check Point secara menyeluruh: 1. Buka SmartDashboard dan login menggunakan user admin dan password yang sudah ditentukan. Pada bagian server masukan alamat Klik dua kali pada firewall jakarta dan pilih tab Topology hingga muncul halaman seperti berikut.

44 102 Gambar Tampilan tab Topology 3. Klik tombol get, pilih interfaces with topology sehingga tampak seperti ini, kemudian klik OK.

45 103 Gambar Interfaces with topology 4. Buat masing-masing network yang terhubung dengan firewall dan juga network yang berada di jaringan perusahaan. Klik kanan pada Network Objects Networks kemudian pilih Network. Isi nama network beserta IP address dan subnet mask nya. Gambar Pembuatan Network Object

46 Dengan cara yang sama, pada bagian Nodes buat masing-masing host server dan satu host admin. Gambar Tampilan Nodes 6. Buat satu group dengan nama Internal yang terdiri dari jaringan internal. Gambar Tampilan Internal Group

47 Konfigurasi Check Point selesai yang kemudian akan dilanjutkan dengan pemasangan policy. c. Pemasangan Policy Policy yang akan dimasukkan ke dalam Check Point R75.40 adalah Firewall rule, NAT rule dan Application and URL Filtering rule. Berikut langkah-langkah pemasangannya: 1. Untuk memasang firewall rule, posisi rule sangat berpengaruh karena rule di eksekusi secara berurutan dari atas ke bawah. Klik tombol Add Rule at the Top untuk menambah satu rule dipaling atas. Gambar Pembuatan Firewall rule Masukkan semua rule sesuai dengan policy yang sudah dirancang seperti gambar dibawah.

48 106 Gambar Tampilan Firewall rule 2. Berikutnya adalah pemasangan Application and URL Filtering rule. Sebelumnya klik dua kali pada firewall jakarta, kemudian centang Application Control dan URL Filtering. Gambar Pemasangan fitur di firewall

49 Buka Tab Application and URL Filtering, klik bagian Policy. Sama seperti firewall rule, disini akan dimasukkan rule untuk application and url filtering. Gambar Tampilan Application and URL Filtering rule 4. Selanjutnya adalah pemasangan NAT rule. Klik dua kali pada setiap network internal yang sudah dibuat. Pilih tab NAT, kemudian centang Add Automatic Address Translation Rule, pilih translation method: Hide. Pada bagian bawah pilih Hide behind IP Address dan masukkan IP

50 108 Gambar Pemasangan NAT pada Network Object 5. Pasang NAT rule pada server dengan klik dua kali pada nama server dan pilih tab NAT. Centang Add Automatic Address Translation Rule, pilih translation method: Static. Pada bagian bawah masukkan IP untuk Web Server dan IP untuk FTP Server.

51 109 Gambar Pemasangan NAT pada Server Tampilan NAT rule setelah semua selesai dilakukan akan tampak seperti gambar dibawah.

52 110 Gambar Tampilan NAT rule 6. Setelah semua policy selesai dimasukkan, berikutnya adalah untuk meng-install rule tersebut ke dalam firewall. Pada menu di SmartDashboard pilih Policy Install, bila muncul warning klik OK. Akan muncul Install Policy, klik OK. Instalasi policy selesai.

53 111 Gambar Tampilan Install Policy Gambar Tampilan instalasi policy berhasil