APA ITU FIREWALL?

•Firewall adalah suatu mekanisme, sehingga suatu client dari luar dilarang/dibolehkan mengakses ke dalam jaringan (atau client yang berada didalam dilarang/dibolehkan mengakses keluar jaringan) berdasarkan aturan-aturanyang ditetapkan.
•Seperti pos satpam di suatu instansi/perumahan
•Bekerja di layer: antara 3 dan 4 (bahkan 5) di TCP/IP Model
•Penyamaran
 –Mengijinkan beberapa komputer untuk menggunakan IP Address yangsama
 –Koneksi hanya dapat dilakukan oleh Internal Host

NAT
 –  Network Address Translation 
–Istilah “NAT” dapat diartikan sebagai sesuatu yang berbeda, untuk lebihdetilnya lihat RFC2663 –Pada umumnya beberapa router-level mapping dan konversi antaraseperangkat private IP addresses dan single public IP address (IP Masq)atau seperangkat public IP addresses

.MENGAPA BUTUH FIREWALL?
•Untuk melaksanakan kebijakan!
•Untuk mengelola resiko dalam menyediakan servis
.•Untuk memisahkan network dari kebijakan yang berbeda.
•Untuk menyediakan mempertanggungjawabkan network resources.
•Firewalls dapat mengurangi resiko
•Memblokir hampir semua ancaman (spyware, malware, dan sejenisnya)
•Mereka (networks) mempunyai kelemahan yang baik 
•Ancaman yang terbesar adalah konfigurasi yang tidak benar.

CARA KERJA
•Dengan meneliti paket-paket yang lewat firewall itu dan mencocokkannya denganmelihat daftar/aturan yang diberikan kepadanya.
•Firewalls memblokir lalu-lintas tertentu, pada saat mengijinkan lalu lintas lainyang melewatinya.
•Tipe yang berbeda dari firewalls melalui traffic menggunakan metode yang berbeda
•Packet Filtering
•Proxy
•Connection State Analysis
 
ADA DUA TIPE UTAMA
•Aturan2 pada firewall diciptakan sesuai dengan kebijakan
•Aturan-aturan tersebut berdasarkan atas: 
–Routing berdasarkan Filter (Who – siapa)
•Pengirim and Tujuannya
•berasal dari mana ?
•Mau ke mana ?       
•Tidak peduli mau ngapain di sana
 –Topik berdasarkan filters (What – mau apa)
•Servis dan nomor port TCP/IP
•Apa yang akan kamu lakukan di sana ?
•Tidak semudah yang nomer 1, sebab kadang-kadang bisa ditipuseorang client
DUA PENDEKATAN ATURAN
•Default allow 
–Mengijinkan semua lewat kecuali yang terdaftar  
–Meletakkan gerbang roadblocks/watch disekitar jalan yang terbuka lebar
.•Default deny 
–Semua dilarang lewat kecuali yang terdaftar  
–Membangun dinding dan membentuk jalur kepada siapa saja yang andasukai.
PACKET FILTERING
•Bentuk paling simpel dari Firewall
•Dapat dilakukan sesering mungkin pada peralatan network (routers, switches)
•Memlokir port TCP/IP, protocols, dan/atau alamat-alamat tertentu
.•Aturan tsb juga berlaku untuk bagian awal paket
•Contoh: iptables,ipchains (Linux)
•Kelebihan dari Packet Filtering 
–Berkecepatan tinggi
 –Biasanya dapat digunakan untuk routers/switches yang sedang digunakan(No additional equipment!)
–efektif 
•Kekurangan dari Packet Filtering 
–Pengaturannya menjadi sangat rumit 
–Mudah misconfigure 
–Pada dynamic protocols (seperti FTP) Pengaturanya sulit
 –Tidak dapat melakukan content-based filtering (menghilangkan lampiran2e-mail, javascript, ActiveX)
 
CONTOH PACKET FILTERING
Sebuah Penyingkat suatu packet…
 Source SrcPort Destination DestPort 204.210.251.1 8104 128.146.2.205 31337 
A Cisco packet filter 
access-list 2640 deny any 128.146.2.0 0.0.0.255 gt 1023
PROXY
•Firewall menerima permintaan, dan mengeksekusinya atas kepentingan pengguna
 –Guwe mo liyat http://www.osu.edu
 –Topik firewall terdapat di http://www.osu.edu 
 –Firewall mengirim kontent kepada si pemohon
•Contoh: Squid
•Kelebihan dari Proxy Firewall
 –Mereka tidak memperbolehkan koneksi secara langsung antara Hostinternal dan eksternal 
–Dukungan authentikasi (Pembuktian keaslian sesuatu), ‘classes’ dari pengguna
 –Dapat mengijinkan/menolak akses berdasarkan konten 
–Dapat memelihara aktivitas log secara detail (termasuk partisi data darisuatu packets) 
–Caching
•Kekurangan dari Proxy Firewall
 –Lebih lambat dari packet filter firewalls 
–Membutuhkan Perangkat keras tambahan
untuk pengguna yang banyak, membutuhkan perangkat keras yg banyak pula
perangkat keras lambat = servis lambat
 –Beberapa firewalls membutuhkan konfigurasi special Client padaworkstations. 
–Ada yg tidak mendukung beberapa protocols (AIM, RealAudio, Napster,H.323) bervariasi tergantung dari vendor.
 –Konfigurasi sangat rumit
Harus melakukan konfigurasi pada proxy untuk masing2 protokol

MENGANALISA KEADAAN KONEKSI (CONNECTION STATE ANALYST)
•Sama dengan packet filtering, tetapi analyzes packets untuk meyakinkan permintaan2 koneksi yang terjadi dalam in the urutan/rangkaian yang tepat.
•Contoh:
 
 –ICMP Echo Replies tidak diterima bila melalui firewall kecuali kalauterdapat ICMP Echo Request yang menonjol
.•Kelebihan 
–Caching 
–Content Monitoring
•Kekurangan
 –Kecepatan 
–Overhead membutuhkan sistem yang mahal
TOPOLOGI
•Firewall tipe Bridge 
–Tidak terlihat oleh pengguna
 –Installasi mudah untuk network yang sudah tersedia
•Firewall tipe Router  
–Mempunyai IP Address, terlihat oleh pengguna
•Kelebihan dari Firewall tipe Bridge 
–Tidak terlihat oleh pengguna 
–Installasi mudah untuk network yang sudah tersedia
•Kekurangan Firewall tipe Bridge 
–Membutuhkan peralatan yg lebih banyak daripada packet filtering
 –Aturannya lebih membingungkan dalam konfigurasi
•Kelebihan Firewall tipe Router 
 –Pengaturan lebih mudah daripada bridge
•Disadvantages Firewall tipe Router
 –System dapat ‘terlihat’ oleh pengguna dan dan orang luar.
PERMASALAHAN
•Firewalls sebagai filters dapat dianggap peraturan yang mutlah untuk hampir seluruh bagiannya… tetapi sebagai pengukur keamanan? Firewall hanyamenjalankan aturannya saja (pada umumnya statik)
•“Gurih diluar, tetapi lembut dan kenyal didalam.”


SETTING FIREWALL
•Menggunakan “DMZ” (DeMilitarized zone) to untuk keuntungan kamu
•Firewalls sebagai pengganggu pedeteksian device
•Pengaturan VPN’s untuk manajemen
 
DMZ CONFIGURATION
•Area terpisah diluar firewall
•Segmen Network yang berbeda dapat memiliki perbedaan kebijakan 
–Departments 
–Area Service 
–Services umum 
–Internal Services
•Biasanya merupakan subnet yang berbeda
•Pada umumnya digunakan untuk internet rumahan (misal: Web Servers)
•Memiliki kebijakan firewall tersendiri
•Menempatkan web servers di dalam “DMZ” network 
•Hanya mengijinkan web ports (TCP ports 80 dan 443)
•Tidak mengijinkan akses web servers ke network kamu
•Mengijinkan local network untuk mengatur web servers (SSH)
•Tidak mengijinkan servers koneksi ke Internet
•Tidak mendukung perbaikan secara software

Jaringan Lokal:
•Semua boleh menghubungi web-server (port 80/443
•PC-PC tertentu boleh menghubungi server lewat SSH (port 22)
•Server tidak boleh menghubungi jaringan local

Internet:
•Semua boleh menghubungi web-server (port 80/443
•Selain layanan web tidak diperkenankan
•Server tidak boleh jalan-jalan di internet

Firewall Sebagai IDS
•IDS = Intrusion Detection System (Sistem pendeteksi gangguan)
•Mengumpulkan informasi log dari aturan yang ditolak 
•Pencarian Portscanning, percobaan hacking, dll…
•Traffic yang terisolasi dengan penolakan aturan membantu memangkas informasiyang overload.
•Apa yg akan dilakukan dengan SEMUA data tersebut …..Paparkan itu!
•Menunjukkan jalan, apa yg orang cari
•Membantu memprioritaskan security tasks
•Adakalanya kamu dapat memblokir portscans
•Perhatikan pada traffic yang meninggalkan DMZ
•Sering kali ditandai pertama kali yaitu kompromi (halah, maksud lo…?)
•Aturan trafik yg rendah, maka dapat memperkecil/mengurangi log
•Email mulis, terbukti bahwa kamu satu2nya yang membaca email itu!


VPN
•VPN = Virtual Private Network
•VPN jauh lebih aman daripada metode manajemen yg lain: 
–SSL dan SSH sangat mudah diserangto Man-In-The Middle Attacks
 –Telnet dan SNMP merupakan clear text (teks murni) 
–Tidak mengenal serangan MIM melawanIPSEC (belum)
 –VPN clients didukung oleh hampir semua platform 
–Kebanyakan firewalls akan bekerja dengan lebih banyak clients
–Netscreen baru-baru ini secara resmi mendukung FreeSwan
–Mac OS X sekarang telah mendukung VPN 
–Orang tidak hanya
 put up a thick front door 
untuk harta miliknya 
–Firewalls merupakan langkah awal yang efektif untuk keamanan network.Bukan merupakan suatu penyelesaian. 
–Kepedulian harus dimiliki dalam membangun set of rule yang tepat agar dapat menjalankan kebijakan anda.



0 komentar:

Poskan Komentar

1) jika kalian menyukai postingan ini kalian bisa memberi komentar walaupun hanya ucapan terima kasih

2) tolong beritau saya lewat komentar jika ada broken link

3) jangan masukkan link aktif di komentar kalau mau memasukkan link menuju blog sobat gunakan open ID

4) jika suka postingan dari blog ini follow kami lewat fanpage facebook kami atau dengan email