You are on page 1of 7

TUGAS TERSTRUKTUR

MATA KULIAH
JARINGAN KOMPUTER
FIREWALL (TERJEMAHAN)

Diunduh Oleh :
BAMBANG WALUYOJATI
SIR200508
simbhenx@gmail.com

SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN
KOMPUTER (STMIK) WIDYA UTAMA
PURWOKERTO
2007
APA ITU FIREWALL?

• Firewall adalah suatu mekanisme, sehingga suatu client dari luar
dilarang/dibolehkan mengakses ke dalam jaringan (atau client yang berada di
dalam dilarang/dibolehkan mengakses keluar jaringan) berdasarkan aturan-aturan
yang ditetapkan.
• Seperti pos satpam di suatu instansi/perumahan
• Bekerja di layer: antara 3 dan 4 (bahkan 5) di TCP/IP Model

• Penyamaran
– Mengijinkan beberapa komputer untuk menggunakan IP Address yang
sama
– Koneksi hanya dapat dilakukan oleh Internal Host
• NAT – Network Address Translation
– Istilah “NAT” dapat diartikan sebagai sesuatu yang berbeda, untuk lebih
detilnya lihat RFC2663
– Pada umumnya beberapa router-level mapping dan konversi antara
seperangkat private IP addresses dan single public IP address (IP Masq)
atau seperangkat public IP addresses.

MENGAPA BUTUH FIREWALL?

• Untuk melaksanakan kebijakan!
• Untuk mengelola resiko dalam menyediakan servis.
• Untuk memisahkan network dari kebijakan yang berbeda.
• Untuk menyediakan mempertanggungjawabkan network resources.

• Firewalls dapat mengurangi resiko
• Memblokir hampir semua ancaman (spyware, malware, dan sejenisnya)
• Mereka (networks) mempunyai kelemahan yang baik
• Ancaman yang terbesar adalah konfigurasi yang tidak benar.

CARA KERJA

• Dengan meneliti paket-paket yang lewat firewall itu dan mencocokkannya dengan
melihat daftar/aturan yang diberikan kepadanya.
• Firewalls memblokir lalu-lintas tertentu, pada saat mengijinkan lalu lintas lain
yang melewatinya.
• Tipe yang berbeda dari firewalls melalui traffic menggunakan metode yang
berbeda
• Packet Filtering
• Proxy
• Connection State Analysis
ADA DUA TIPE UTAMA

• Aturan2 pada firewall diciptakan sesuai dengan kebijakan
• Aturan-aturan tersebut berdasarkan atas:
– Routing berdasarkan Filter (Who – siapa)
• Pengirim and Tujuannya
• berasal dari mana ?
• Mau ke mana ?
• Tidak peduli mau ngapain di sana
– Topik berdasarkan filters (What – mau apa)
• Servis dan nomor port TCP/IP
• Apa yang akan kamu lakukan di sana ?
• Tidak semudah yang nomer 1, sebab kadang-kadang bisa ditipu
seorang client

DUA PENDEKATAN ATURAN

• Default allow
– Mengijinkan semua lewat kecuali yang terdaftar
– Meletakkan gerbang roadblocks/watch disekitar jalan yang terbuka lebar.
• Default deny
– Semua dilarang lewat kecuali yang terdaftar
– Membangun dinding dan membentuk jalur kepada siapa saja yang anda
sukai.

PACKET FILTERING

• Bentuk paling simpel dari Firewall
• Dapat dilakukan sesering mungkin pada peralatan network (routers, switches)
• Memlokir port TCP/IP, protocols, dan/atau alamat-alamat tertentu .
• Aturan tsb juga berlaku untuk bagian awal paket
• Contoh: iptables,ipchains (Linux)

• Kelebihan dari Packet Filtering
– Berkecepatan tinggi
– Biasanya dapat digunakan untuk routers/switches yang sedang digunakan
(No additional equipment!)
– efektif
• Kekurangan dari Packet Filtering
– Pengaturannya menjadi sangat rumit
– Mudah misconfigure
– Pada dynamic protocols (seperti FTP) Pengaturanya sulit
– Tidak dapat melakukan content-based filtering (menghilangkan lampiran2
e-mail, javascript, ActiveX)
CONTOH PACKET FILTERING

Sebuah Penyingkat suatu packet…

Source SrcPort Destination DestPort
204.210.251.1 8104 128.146.2.205 31337

A Cisco packet filter

access-list 2640 deny any 128.146.2.0 0.0.0.255 gt 1023

PROXY

• Firewall menerima permintaan, dan mengeksekusinya atas kepentingan pengguna
– Guwe mo liyat http://www.osu.edu
– Topik firewall terdapat di http://www.osu.edu
– Firewall mengirim kontent kepada si pemohon
• Contoh: Squid
• Kelebihan dari Proxy Firewall
– Mereka tidak memperbolehkan koneksi secara langsung antara Host
internal dan eksternal
– Dukungan authentikasi (Pembuktian keaslian sesuatu), ‘classes’ dari
pengguna
– Dapat mengijinkan/menolak akses berdasarkan konten
– Dapat memelihara aktivitas log secara detail (termasuk partisi data dari
suatu packets)
– Caching
• Kekurangan dari Proxy Firewall
– Lebih lambat dari packet filter firewalls
– Membutuhkan Perangkat keras tambahan
• untuk pengguna yang banyak, membutuhkan perangkat keras yg
banyak pula
• perangkat keras lambat = servis lambat
– Beberapa firewalls membutuhkan konfigurasi special Client pada
workstations.
– Ada yg tidak mendukung beberapa protocols (AIM, RealAudio, Napster,
H.323) bervariasi tergantung dari vendor.
– Konfigurasi sangat rumit
• Harus melakukan konfigurasi pada proxy untuk masing2 protokol

MENGANALISA KEADAAN KONEKSI (CONNECTION STATE ANALYST)

• Sama dengan packet filtering, tetapi analyzes packets untuk meyakinkan
permintaan2 koneksi yang terjadi dalam in the urutan/rangkaian yang tepat.
• Contogh:
– ICMP Echo Replies tidak diterima bila melalui firewall kecuali kalau
terdapat ICMP Echo Request yang menonjol.
• Kelebihan
– Caching
– Content Monitoring

• Kekurangan
– Kecepatan
– Overhead membutuhkan sistem yang mahal

TOPOLOGI

• Firewall tipe Bridge
– Tidak terlihat oleh pengguna
– Installasi mudah untuk network yang sudah tersedia

• Firewall tipe Router
– Mempunyai IP Address, terlihat oleh pengguna

• Kelebihan dari Firewall tipe Bridge
– Tidak terlihat oleh pengguna
– Installasi mudah untuk network yang sudah tersedia

• Kekurangan Firewall tipe Bridge
– Membutuhkan peralatan yg lebih banyak daripada packet filtering
– Aturannya lebih membingungkan dalam konfigurasi

• Kelebihan Firewall tipe Router
– Pengaturan lebih mudah daripada bridge

• Disadvantages Firewall tipe Router
– System dapat ‘terlihat’ oleh pengguna dan dan orang luar.

PERMASALAHAN

• Firewalls sebagai filters dapat dianggap peraturan yang mutlah untuk hampir
seluruh bagiannya… tetapi sebagai pengukur keamanan? Firewall hanya
menjalankan aturannya saja (pada umumnya statik)
• “Gurih diluar, tetapi lembut dan kenyal didalam.”

SETTING FIREWALL
• Menggunakan “DMZ” (DeMilitarized zone) to untuk keuntungan kamu
• Firewalls sebagai pengganggu pedeteksian device
• Pengaturan VPN’s untuk manajemen
DMZ CONFIGURATION
• Area terpisah diluar firewall
• Segmen Network yang berbeda dapat memiliki perbedaan kebijakan
– Departments
– Area Service
– Services umum
– Internal Services

• Biasanya merupakan subnet yang berbeda
• Pada umumnya digunakan untuk internet rumahan (misal: Web Servers)
• Memiliki kebijakan firewall tersendiri
• Menempatkan web servers di dalam “DMZ” network
• Hanya mengijinkan web ports (TCP ports 80 dan 443)
• Tidak mengijinkan akses web servers ke network kamu
• Mengijinkan local network untuk mengatur web servers (SSH)
• Tidak mengijinkan servers koneksi ke Internet
• Tidak mendukung perbaikan secara software

Jaringan Lokal:
• Semua boleh menghubungi web-server (port 80/443
• PC-PC tertentu boleh menghubungi server lewat SSH (port 22)
• Server tidak boleh menghubungi jaringan lokal
Internet:
• Semua boleh menghubungi web-server (port 80/443
• Selain layanan web tidak diperkenankan
• Server tidak boleh jalan-jalan di internet
Firewall Sebagai IDS
• IDS = Intrusion Detection System (Sistem pendeteksi gangguan)
• Mengumpulkan informasi log dari aturan yang ditolak
• Pencarian Portscanning, percobaan hacking, dll…
• Traffic yang terisolasi dengan penolakan aturan membantu memangkas informasi
yang overload.
• Apa yg akan dilakukan dengan SEMUA data tersebut …..Paparkan itu!
• Menunjukkan jalan, apa yg orang cari
• Membantu memprioritaskan security tasks
• Adakalanya kamu dapat memblokir portscans
• Perhatikan pada traffic yang meninggalkan DMZ
• Sering kali ditandai pertama kali yaitu kompromi (halah, maksud lo…?)
• Aturan trafik yg rendah, maka dapat memperkecil/mengurangi log
• Email mulis, terbukti bahwa kamu satu2nya yang membaca email itu!

VPN

• VPN = Virtual Private Network
• VPN jauh lebih aman daripada metode manajemen yg lain:
– SSL dan SSH sangat mudah diserang to Man-In-The Middle Attacks
– Telnet dan SNMP merupakan clear text (teks murni)
– Tidak mengenal serangan MIM melawanIPSEC (belum)
– VPN clients didukung oleh hampir semua platform
– Kebanyakan firewalls akan bekerja dengan lebih banyak clients
– Netscreen baru-baru ini secara resmi mendukung FreeSwan
– Mac OS X sekarang telah mendukung VPN
– Orang tidak hanya put up a thick front door untuk harta miliknya
– Firewalls merupakan langkah awal yang efektif untuk keamanan network.
Bukan merupakan suatu penyelesaian.
– Kepedulian harus dimiliki dalam membangun set of rule yang tepat agar
dapat menjalankan kebijakan anda.