TUGAS TERSTRUKTUR

MATA KULIAH

JARINGAN KOMPUTER

FIREWALL (TERJEMAHAN)

Diunduh Oleh :

BAMBANG WALUYOJATISIR200508

simbhenx@gmail.com

SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER (STMIK) WIDYA UTAMA

PURWOKERTO2007

APA ITU FIREWALL?

• Firewall adalah suatu mekanisme, sehingga suatu client dari luar dilarang/dibolehkan mengakses ke dalam jaringan (atau client yang berada di dalam dilarang/dibolehkan mengakses keluar jaringan) berdasarkan aturan-aturan yang ditetapkan.

• Seperti pos satpam di suatu instansi/perumahan• Bekerja di layer: antara 3 dan 4 (bahkan 5) di TCP/IP Model

• Penyamaran– Mengijinkan beberapa komputer untuk menggunakan IP Address yang

sama– Koneksi hanya dapat dilakukan oleh Internal Host

• NAT – Network Address Translation– Istilah “NAT” dapat diartikan sebagai sesuatu yang berbeda, untuk lebih

detilnya lihat RFC2663 – Pada umumnya beberapa router-level mapping dan konversi antara

seperangkat private IP addresses dan single public IP address (IP Masq) atau seperangkat public IP addresses.

MENGAPA BUTUH FIREWALL?

• Untuk melaksanakan kebijakan!• Untuk mengelola resiko dalam menyediakan servis.• Untuk memisahkan network dari kebijakan yang berbeda.• Untuk menyediakan mempertanggungjawabkan network resources.

• Firewalls dapat mengurangi resiko• Memblokir hampir semua ancaman (spyware, malware, dan sejenisnya)• Mereka (networks) mempunyai kelemahan yang baik• Ancaman yang terbesar adalah konfigurasi yang tidak benar.

CARA KERJA

• Dengan meneliti paket-paket yang lewat firewall itu dan mencocokkannya dengan melihat daftar/aturan yang diberikan kepadanya.

• Firewalls memblokir lalu-lintas tertentu, pada saat mengijinkan lalu lintas lain yang melewatinya.

• Tipe yang berbeda dari firewalls melalui traffic menggunakan metode yang berbeda

• Packet Filtering• Proxy• Connection State Analysis

ADA DUA TIPE UTAMA

• Aturan2 pada firewall diciptakan sesuai dengan kebijakan• Aturan-aturan tersebut berdasarkan atas:

– Routing berdasarkan Filter (Who – siapa)• Pengirim and Tujuannya• berasal dari mana ?• Mau ke mana ?• Tidak peduli mau ngapain di sana

– Topik berdasarkan filters (What – mau apa)• Servis dan nomor port TCP/IP • Apa yang akan kamu lakukan di sana ?• Tidak semudah yang nomer 1, sebab kadang-kadang bisa ditipu

seorang client

DUA PENDEKATAN ATURAN

• Default allow – Mengijinkan semua lewat kecuali yang terdaftar– Meletakkan gerbang roadblocks/watch disekitar jalan yang terbuka lebar.

• Default deny– Semua dilarang lewat kecuali yang terdaftar – Membangun dinding dan membentuk jalur kepada siapa saja yang anda

sukai.

PACKET FILTERING

• Bentuk paling simpel dari Firewall• Dapat dilakukan sesering mungkin pada peralatan network (routers, switches)• Memlokir port TCP/IP, protocols, dan/atau alamat-alamat tertentu .• Aturan tsb juga berlaku untuk bagian awal paket• Contoh: iptables,ipchains (Linux)

• Kelebihan dari Packet Filtering– Berkecepatan tinggi– Biasanya dapat digunakan untuk routers/switches yang sedang digunakan

(No additional equipment!)– efektif

• Kekurangan dari Packet Filtering– Pengaturannya menjadi sangat rumit– Mudah misconfigure– Pada dynamic protocols (seperti FTP) Pengaturanya sulit– Tidak dapat melakukan content-based filtering (menghilangkan lampiran2

e-mail, javascript, ActiveX)

CONTOH PACKET FILTERING

Sebuah Penyingkat suatu packet…

Source SrcPort Destination DestPort204.210.251.1 8104 128.146.2.205 31337

A Cisco packet filter

access-list 2640 deny any 128.146.2.0 0.0.0.255 gt 1023

PROXY

• Firewall menerima permintaan, dan mengeksekusinya atas kepentingan pengguna– Guwe mo liyat http://www.osu.edu– Topik firewall terdapat di http://www.osu.edu – Firewall mengirim kontent kepada si pemohon

• Contoh: Squid• Kelebihan dari Proxy Firewall

– Mereka tidak memperbolehkan koneksi secara langsung antara Host internal dan eksternal

– Dukungan authentikasi (Pembuktian keaslian sesuatu), ‘classes’ dari pengguna

– Dapat mengijinkan/menolak akses berdasarkan konten– Dapat memelihara aktivitas log secara detail (termasuk partisi data dari

suatu packets)– Caching

• Kekurangan dari Proxy Firewall– Lebih lambat dari packet filter firewalls– Membutuhkan Perangkat keras tambahan

• untuk pengguna yang banyak, membutuhkan perangkat keras yg banyak pula

• perangkat keras lambat = servis lambat– Beberapa firewalls membutuhkan konfigurasi special Client pada

workstations.– Ada yg tidak mendukung beberapa protocols (AIM, RealAudio, Napster,

H.323) bervariasi tergantung dari vendor.– Konfigurasi sangat rumit

• Harus melakukan konfigurasi pada proxy untuk masing2 protokol

MENGANALISA KEADAAN KONEKSI (CONNECTION STATE ANALYST)

• Sama dengan packet filtering, tetapi analyzes packets untuk meyakinkan permintaan2 koneksi yang terjadi dalam in the urutan/rangkaian yang tepat.

• Contogh:

– ICMP Echo Replies tidak diterima bila melalui firewall kecuali kalau terdapat ICMP Echo Request yang menonjol.

• Kelebihan– Caching– Content Monitoring

• Kekurangan– Kecepatan– Overhead membutuhkan sistem yang mahal

TOPOLOGI

• Firewall tipe Bridge– Tidak terlihat oleh pengguna– Installasi mudah untuk network yang sudah tersedia

• Firewall tipe Router– Mempunyai IP Address, terlihat oleh pengguna

• Kelebihan dari Firewall tipe Bridge– Tidak terlihat oleh pengguna– Installasi mudah untuk network yang sudah tersedia

• Kekurangan Firewall tipe Bridge– Membutuhkan peralatan yg lebih banyak daripada packet filtering– Aturannya lebih membingungkan dalam konfigurasi

• Kelebihan Firewall tipe Router– Pengaturan lebih mudah daripada bridge

• Disadvantages Firewall tipe Router– System dapat ‘terlihat’ oleh pengguna dan dan orang luar.

PERMASALAHAN

• Firewalls sebagai filters dapat dianggap peraturan yang mutlah untuk hampir seluruh bagiannya… tetapi sebagai pengukur keamanan? Firewall hanya menjalankan aturannya saja (pada umumnya statik)

• “Gurih diluar, tetapi lembut dan kenyal didalam.”

SETTING FIREWALL• Menggunakan “DMZ” (DeMilitarized zone) to untuk keuntungan kamu• Firewalls sebagai pengganggu pedeteksian device• Pengaturan VPN’s untuk manajemen

DMZ CONFIGURATION• Area terpisah diluar firewall• Segmen Network yang berbeda dapat memiliki perbedaan kebijakan

– Departments– Area Service – Services umum– Internal Services

• Biasanya merupakan subnet yang berbeda• Pada umumnya digunakan untuk internet rumahan (misal: Web Servers)• Memiliki kebijakan firewall tersendiri• Menempatkan web servers di dalam “DMZ” network• Hanya mengijinkan web ports (TCP ports 80 dan 443)• Tidak mengijinkan akses web servers ke network kamu• Mengijinkan local network untuk mengatur web servers (SSH)• Tidak mengijinkan servers koneksi ke Internet• Tidak mendukung perbaikan secara software

Jaringan Lokal:• Semua boleh menghubungi web-server (port 80/443• PC-PC tertentu boleh menghubungi server lewat SSH (port 22)• Server tidak boleh menghubungi jaringan lokalInternet:• Semua boleh menghubungi web-server (port 80/443• Selain layanan web tidak diperkenankan• Server tidak boleh jalan-jalan di internetFirewall Sebagai IDS• IDS = Intrusion Detection System (Sistem pendeteksi gangguan)• Mengumpulkan informasi log dari aturan yang ditolak• Pencarian Portscanning, percobaan hacking, dll…• Traffic yang terisolasi dengan penolakan aturan membantu memangkas informasi

yang overload.• Apa yg akan dilakukan dengan SEMUA data tersebut …..Paparkan itu!• Menunjukkan jalan, apa yg orang cari• Membantu memprioritaskan security tasks• Adakalanya kamu dapat memblokir portscans• Perhatikan pada traffic yang meninggalkan DMZ• Sering kali ditandai pertama kali yaitu kompromi (halah, maksud lo…?)• Aturan trafik yg rendah, maka dapat memperkecil/mengurangi log• Email mulis, terbukti bahwa kamu satu2nya yang membaca email itu!

VPN

• VPN = Virtual Private Network• VPN jauh lebih aman daripada metode manajemen yg lain:

– SSL dan SSH sangat mudah diserang to Man-In-The Middle Attacks

– Telnet dan SNMP merupakan clear text (teks murni)– Tidak mengenal serangan MIM melawanIPSEC (belum)– VPN clients didukung oleh hampir semua platform– Kebanyakan firewalls akan bekerja dengan lebih banyak clients– Netscreen baru-baru ini secara resmi mendukung FreeSwan– Mac OS X sekarang telah mendukung VPN– Orang tidak hanya put up a thick front door untuk harta miliknya– Firewalls merupakan langkah awal yang efektif untuk keamanan network.

Bukan merupakan suatu penyelesaian.– Kepedulian harus dimiliki dalam membangun set of rule yang tepat agar

dapat menjalankan kebijakan anda.