1. Introduksi
Dalam dunia nyata, firewall adalah dinding (bergerak) yang bisa memisahkan ruangan, sehingga kebakaran pada suatu ruangan tidak menjalar ke ruangan lainnya.Tapi sebenarnya firewall di Internet lebih seperti parit pertahanan disekeliling benteng, yakni mempertahankan terhadap serangan dari luar.
Gunanya:
-membatasi gerak orang yang masuk ke dalam jaringan internal
-membatasi gerak orang yang keluar dari jaringan internal
-mencegah penyerang mendekati pertahanan yang berlapis
Jadi yang keluar masuk firewall harus acceptable.
Firewall merupakan kombinasi dari router, server, dan software pelengkap yang tepat. Jarang yang berupa box, dan kalaupun dalam bentuk box, harus dikonfigurasikan dengan benar.
Apa yang bisa dilakukan oleh firewall?
1.Firewall adalah choke point, yakni pusat “checkpoint sekurit”. Lebih baik memusatkan “keluar masuk” pada satu titik ketimbang harus melakukan pemantai di semua tempat.
2.Firewall bisa memaksakan sekuriti policy. Misalnya jangan sampai ada orang luar yang bisa mengakses directory service dari perusahaan yang berisis arsip pegawai.
3.Firewall bisa mencatat aktifitas Internet dengan efektif, termasuk yang gagal melakukan hacking
4.Firewall bisa membatasi orang lain mengintip-intip jaringan internal, dan kalaupun terhack, maka yang kena hack cuma bagian tertentu saja.
Apa yang tidak dapat dilakukan firewall?
1.Firewall tidak bisa melindungi dari serangan orang dalam
2.Firewall tidak bisa melindungi serangan yang tidak melalui firewall tersebut (tidak melalui chocke point). Misalnya ada yang memasang dial-up service, sehingga jaringan bisa diakses lewat modem.
3.Firewall tidak bisa melindungi jaringan internal terhadap serangan-serangan model baru.
4.Firewall tidak bisa melindungi jaringan terhadap virus.
2. Beberapa prinsip keamanan
1.Least previlage: artinya setiap orang hanya diberi hak akses tidak lebih dari yang dibutuhkan untuk menjalankan tugasnya.
2.Defense in Depth: gunakan berbagai perangkat keamanan untuk saling membackup. Misalnya dapat dipergunakan multiple screening router, sehingga kalau satu dijebol, maka yang satu lagi masih berfungsi.
3.Choke point: semua keluar masuk lewat satu (atau sedikit) gerbang. Syaratnya tidak ada cara lain keluar masuk selain lewat gerbang.
4.Weakest link: “a chain is only as strong as its weakest link”. Oleh karena itu kita harus tahu persis dimana weakest link dalam sistem sekuriti organisasi kita.
5.Fail-Safe Stance: maksudnya kalau suatu perangkat keamanan rusak, maka secara default perangkat tersebut settingnya akan ke setting yang paling aman. Misalnya: kapal selam di Karibia kalau rusak mengapung, kunci elektronik kalau tidak ada power akan unlock, packet filtering kalau rusak akan mencegah semua paket keluar-masuk.
6.Universal participation: semua orang dalam organisasi harus terlibat dalam proses sekuriti.
7.Diversity of Defense: mempergunakan beberapa jenis sistem yang berbeda untuk pertahanan. Maksudnya, kalau penyerang sudah menyerang suatu jenis sistem pertahanan, maka dia tetap akan perlu belajar sistem jenis lainnya.
8.Simplicity: jangan terlalu kompleks, karena sulit sekali mengetahui salahnya ada di mana kalau sistem terlalu kompleks untuk dipahami.
1.Beberapa Definisi
Firewall:komponen-komponen yang membatasi akses antara jaringan internal dengan Internet, atau antar-jaringan
Bastion host:Komputer yang harus dibuat sangat aman dan sering menjadi titik serang karena terbuka di Internet
Dual-homed host:Komputer yang setidaknya memiliki 2 network interface
Packet filtering:tindakan untuk menyeleksi arus keluar masuk paket dalam jaringan. Sering disebut screening.
Perimeter network:jaringan diantara Internet dengan intranet, yang juga sering disebut De-Militerized Zone (DMZ).
Proxy server:program yang berhubungan dengan server di Internet/extranet, mewakili klien yang ada di dalam intranet.
2.Packet Filtering
Router yang dipergunakan untuk packet filtering disebut screening router.
Yang bisa dijadikan informasi dari paket TCP/IP adalah:
-IP address asal
-IP address tujuan
-Protokol: UDP, TCP atau ICMP
-TCP / UDP port asal
-TCP / UDP port tujuan
-jenis pesan ICMP
Selain itu router juga bisa tahu pada sisi mana paket itu akan keluar atau telah masuk.
Contoh operasi screening router:
a.blok semua akses dari luar ke dalam, kecuali SMPT agar bisa terima e-mail
b.blok semua akses dari dan ke situs yang dipercaya
c.mengizinkan e-mail dan FTP, tetapi tidak mengizinkan rlogin, rsh dsb.
Bedanya screening router dengan router biasa apa?
Screening router selain menentukan kemana sebuah paket dikirim, juga menentukan apakah paket tersebut boleh dikirimkan atau ditolak.
5. Proxy Service
Proxy bisa ditempatkan di dual-homed host atau dalam bastion host dalam firewall. Proxy adalah application-level gateway.
Proxy server membuat ilusi terhadap klien dalam Intranet bahwa sang klien sedang berhubungan langsung dengan server-server di Internet. Sedangkan pada server yang di Internet, seolah-oleh berhubungan dengan user yang sedang bekerja di komputer proxy server.
Proxy server digunakan bersama-sama dengan mekanisme lain yang mencegah akses langsung klien internal ke host di Internet/extranet. Misalnya: proxy server diletakkan di dual-homed host. Contoh yang paling umum adalah HTTP Proxy server.
3. Arsitektur Firewall
3.1 Dual-homed Host Architecture
Meskipun dual homed host bisa menjadi router, namun untuk menjadi firewall lalu lalu-lintas IP dalam arsitektur ini benar-benar di-blok. Jadi kalau ada paket yang mau keluar masuk, harus lewat proxy.
0 komentar:
Posting Komentar