Firewall


 
 

 

KEAMANAN JARINGAN DAN KOMPUTER

 

A.        FIREWALL

Firewall merupakan suatu cara atau mekanisme yang diterapkan baik terhadap hardware, software ataupun sistem itu sendiri dengan tujuan untuk melindungi, baik dengan menyaring, membatasi atau bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar yang bukan merupakan ruang lingkupnya. Segmen tersebut dapat merupakan sebuah workstation, server, router, atau local area network (LAN) anda.

 

Firewall untuk komputer, pertama kali dilakukan dengan menggunakan prinsip “non-routing” pada sebuah Unix host yang menggunakan 2 buah network interface card, network interface card yang pertama dihubungkan ke internet (jaringan lain) sedangkan yang lainnya dihubungkan ke pc (jaringan lokal)(dengan catatan tidak terjadi “route” antara kedua network interface card di pc ini). Untuk dapat terkoneksi dengan Internet(jaringan lain) maka harus memasuki server firewall (bisa secara remote, atau langsung), kemudian menggunakan resource yang ada pada komputer ini untuk berhubungan dengan Internet(jaringan lain), apabila perlu untuk menyimpan file/data maka dapat menaruhnya sementara di pc firewall anda, kemudian mengkopikannya ke pc(jaringan lokal). Sehingga internet(jaringan luar) tidak dapat berhubungan langsung dengan pc(jaringan lokal) . Dikarenakan masih terlalu banyak kekurangan dari metoda ini, sehingga dikembangkan berbagai bentuk, konfigurasi dan jenis firewall dengan berbagai policy(aturan) didalamnya.

 

Firewall secara umum di peruntukkan untuk melayani :

1. Mesin/Komputer

Setiap mesin/komputer yang terhubung langsung ke jaringan luar atau internet dan menginginkan semua yang terdapat pada komputernya terlindungi.

 

2. Jaringan

Jaringan komputer yang terdiri lebih dari satu buah komputer dan berbagai jenis topologi jaringan yang digunakan, baik yang di miliki oleh perusahaan, organisasi dsb.

 

Karakteristik sebuah firewall

1.     Seluruh hubungan/kegiatan dari dalam ke luar , harus melewati firewall. Hal ini dapat dilakukan dengan cara memblok/membatasi baik secara fisik semua akses terhadap jaringan Lokal, kecuali melewati firewall. Banyak sekali bentuk jaringan yang memungkinkan agar konfigurasi ini terwujud.

 

2.     Hanya Kegiatan yang terdaftar/dikenal yang dapat melewati/melakukan hubungan, hal ini dapat dilakukan dengan mengatur policy pada konfigurasi keamanan lokal. Banyak sekali jenis firewall yang dapat dipilih sekaligus berbagai jenis policy yang ditawarkan.

3.     Firewall itu sendiri haruslah kebal atau relatif kuat terhadap serangan/kelemahan. hal ini berarti penggunaan sistem yang dapat dipercaya dan dengan system yang relatif aman.

 

Teknik yang digunakan oleh sebuah firewall

1. Service control (kendali terhadap layanan)

Berdasarkan tipe-tipe layanan yang digunakan di Internet dan boleh diakses baik untuk kedalam ataupun keluar firewall. Biasanya firewall akan mencek no IP Address dan juga nomor port yang di gunakan baik pada protokol TCP dan UDP, bahkan bisa dilengkapi software untuk proxy yang akan menerima dan menterjemahkan setiap permintaan akan suatu layanan sebelum mengijinkannya. Bahkan bisa jadi software pada server itu sendiri , seperti layanan untuk web ataupun untuk mail.

2. Direction Conrol (kendali terhadap arah)

Berdasarkan arah dari berbagai permintaan (request) terhadap layanan yang akan dikenali dan diijinkan melewati firewall.

 

3. User control (kendali terhadap pengguna)

Berdasarkan pengguna/user untuk dapat menjalankan suatu layanan, artinya ada user yang dapat dan ada yang tidak dapat menjalankan suatu servis,hal ini di karenakan user tersebut tidak di ijinkan untuk melewati firewall. Biasanya digunakan untuk membatasi user dari jaringan lokal untuk mengakses keluar, tetapi bisa juga diterapkan untuk membatasi terhadap pengguna dari luar.

4. Behavior Control (kendali terhadap perlakuan)

Berdasarkan seberapa banyak layanan itu telah digunakan. Misal, firewall dapat memfilter email untuk menanggulangi/mencegah spam.

 

Tipe-Tipe Firewall

1 .Packet Filtering Router

Packet Filtering diaplikasikan dengan cara mengatur semua packet IP baik yang menuju, melewati atau akan dituju oleh packet tersebut. Pada tipe ini packet tersebut akan diatur apakah akan di terima dan diteruskan atau di tolak. Penyaringan packet ini di konfigurasikan untuk menyaring packet yang akan di transfer secara dua arah (baik dari dan ke jaringan lokal). Aturan penyaringan didasarkan pada header IP dan transport header, termasuk juga alamat awal(IP) dan alamat tujuan (IP), protokol transport yang di gunakan(UDP,TCP), serta nomor port yang digunakan. Kelebihan dari tipe ini adalah mudah untuk di implementasikan, transparan untuk pemakai, relatif lebih cepat.

Adapun kelemahannya adalah cukup rumitnya untuk menyetting paket yang akan difilter secara tepat, serta lemah dalam hal authentikasi.

Adapun serangan yang dapat terjadi pada firewall dengan tipe ini adalah:

IP address spoofing : Intruder (penyusup) dari luar dapat melakukan ini dengan cara menyertakan/menggunakan ip address jaringan lokal yang telah diijinkan untuk melalui firewall.

Source routing attacks : Tipe ini tidak menganalisa informasi routing sumber IP, sehingga memungkinkan untuk membypass firewall.

Tiny Fragment attacks : Intruder membagi IP kedalam bagian-bagian (fragment) yang lebih kecil dan memaksa terbaginya informasi mengenai TCP header. Serangan jenis ini di design untuk menipu aturan penyaringan yang bergantung kepada informasi dari TCP header.

Penyerang berharap hanya bagian (fragment) pertama saja yang akan di periksa dan sisanya akan bisa lewat dengan bebas. Hal ini dapat di tanggulangi dengan cara menolak semua packet dengan protokol TCP dan memiliki Offset = 1 pada IP fragment (bagian IP)

 

2. Application-Level Gateway

Application-level Gateway yang biasa juga di kenal sebagai proxy server yang berfungsi untuk memperkuat/menyalurkan arus aplikasi. Tipe ini akan mengatur semua hubungan yang menggunakan layer aplikasi ,baik itu FTP, HTTP, GOPHER dll.

Cara kerjanya adalah apabila ada pengguna yang menggunakan salah satu aplikasi semisal FTP untuk mengakses secara remote, maka gateway akan meminta user memasukkan alamat remote host yang akan

di akses.Saat pengguna mengirimkan useer ID serta informasi lainnya yang sesuai maka gateway akan melakukan hubungan terhadap aplikasi tersebut yang terdapat pada remote host, dan menyalurkan data diantara kedua titik. apabila data tersebut tidak sesuai maka firewall tidak akan meneruskan data tersebut atau menolaknya. Lebih jauh lagi, pada tipe ini Firewall dapat di konfigurasikan untuk hanya mendukung

beberapa aplikasi saja dan menolak aplikasi lainnya untuk melewati firewall.

Kelebihannya adalah relatif lebih aman daripada tipe packet filtering router lebih mudah untuk memeriksa (audit) dan mendata (log) semua aliran data yang masuk pada level aplikasi. Kekurangannya adalah pemrosesan tambahan yang berlebih pada setiap hubungan. yang akan

mengakibatkan terdapat dua buah sambungan koneksi antara pemakai dan gateway, dimana gateway akan memeriksa dan meneruskan semua arus dari dua arah.

 

3. Circuit-level Gateway

Tipe ketiga ini dapat merupakan sistem yang berdiri sendiri , atau juga dapat merupakan fungsi khusus yang terbentuk dari tipe application-level gateway.tipe ini tidak mengijinkan koneksi TCP end to end (langsung)

Cara kerjanya : Gateway akan mengatur kedua hubungan tcp tersebut, 1 antara dirinya (gw) dengan TCP pada pengguna lokal (inner host) serta 1 lagi antara dirinya (gw) dengan TCP pengguna luar (outside host). Saat dua buah hubungan terlaksana, gateway akan menyalurkan TCP segment dari satu hubungan ke lainnya tanpa memeriksa isinya. Fungsi pengamanannya terletak pada penentuan hubungan mana yang di ijinkan. Penggunaan tipe ini biasanya dikarenakan administrator percaya dengan pengguna internal (internal

users).

B.  IDS

IDS dibagi dalam 2 jenis yaitu Network Instrusion Detection System (NIDS) dan Host Intrusion Detection System (HIDS). Fungsi dari IDS ini sendiri adalah untuk mendeteksi suatu kejanggalan dari suatu system atau network yang terjadi sesuai dengan jenis tipe yang ada berdasarkan rules. Signature-based Intrusion Detection System. Pada metode ini, telah tersedia daftar signature yang dapat digunakan untuk menilai apakah paket yang dikirimkan berbahaya atau tidak. Sebuah paket data akan dibandingkan dengan daftar yang sudah ada. Metode ini akan melindungi sistem dari jenis-jenis serangan yang sudah diketahui sebelumnya. Oleh karena itu, untuk tetap menjaga keamanan sistem jaringan komputer, data signature yang ada harus tetap ter-update.\\\ Salah satu jenis IDS yang populer adalah SNORT. Aplikasi ini banyak digunakan oleh para admin (termasuk di kampus kita/ masuk golongan mayoritas euy..)dan hacker di dunia. Bahkan di situsnya http://www.snort.org/(approve sites)(approve sites)(approve sites) mengklaim bahwa SNORT menjadi standar de facto berikut kutipannya.

 “…..With millions of downloads to date, Snort is the most widely deployed intrusion detection and prevention

technology worldwide and has become the de facto standard for the industry.”

Anomaly-based Intrusion Detection System. Pada metode ini, pengelola jaringan harus melakukan konfigurasi terhadap IDS dan IPS, sehingga IDS dan IPS dapat mengatahui pola paket seperti apa saja yang akan ada pada sebuah sistem jaringan komputer. Sebuah paket anomali adalah paket yang tidak sesuai dengan kebiasaan jaringan komputer tersebut. Apabila IDS dan IPS menemukan ada anomali pada paket yang diterima atau dikirimkan, maka IDS dan IPS akan memberikan peringatan pada pengelola jaringan (IDS) atau akan menolak paket tersebut untuk diteruskan (IPS). Untuk metode ini, pengelola jaringan harus terus-menerus memberi tahu IDS dan IPS bagaimana lalu lintas data yang normal pada sistem jaringan.

komputer tersebut, untuk menghindari adanya salah penilaian oleh IDS atau IPS. Penggunaan IDS dan IPS pada sistem jaringan komputer dapat mempergunakan sumber daya komputasi yang cukup besar, dan khusus untuk IPS, dengan adanya IPS maka waktu yang dibutuhkan sebuah paket untuk dapat mencapai host tujuannya menjadi semakin lama, tidak cocok untuk aplikasi-aplikasi yang membutuhkan pengiriman data secara real-time. Selain itu IDS dan IPS masih membuka kesempatan untuk terjadinya false-postive dimana sebuah paket yang aman dinyatakan berbahaya dan false-negative dimana paket yang berbahaya dinyatakan aman. Untuk mengurangi tingkat false-positive dan false-negative, perlu dilakukan pembaharuan secara rutin terhadap sebuah IDS dan IPS. Dalam implementasinya, IDS adalah sebuah unit host yang terhubung pada sebuah hub/switch dan akan menerima salinan dari paket-paket yang diproses oleh hub/switch tersebut. Sedangkan untuk IPS biasanya diletakkan pada unit yang sama dengan firewall dan akan memproses paket-paket yang lewat melalui firewall tersebut. Sedangkan pada IDS berbasiskan host, IDS akan memeriksa aktivitas system call, catatan kegiatan dan perubahan pada sistem berkas pada host tersebut untuk mencari anomali atau keanehan yang menandakan adanya usaha dari pihak luar untuk menyusup kedalam sistem. IDS berbasiskan host akan membantu pengelola sistem untuk melakukan audit trail terhadap sistem apabila terjadi penyusupan dalam sistem.

 

C.     SQUID

Squid adalah sebuah penampilan yang bagus bagi dari server cacking proxy untuk klient web, pendukung FTP, gopher dan obyek data HTTP. Tak seperti software cacking tradisional , squid menangani semua permintaan dalam bentuk singgle , non bloking, proses I/O driven. Squid menyimpan data meta dan khususnya obyek panas yang tersembunyi dalam RAM, menyembunyikan DNS lookups, mendukung DNS lookups yang tak memihak, dan cacking negatif dari permintaan yang digagalkan .

 

Squid mendukung SSL,kontrol akses yang extensif dan loging permintaan penuh. Dengan menggunakan ukuran berat internet cache protokol, squid dapat disusun dalam sebuah hirarki untuk pengamanan bandwidth extra squid terdiri dari sebuah squid program main server, sebuah dnsserver program lookups Domain Name Systim, beberapa program untuk menulis kembali permintaan-permintaan dan keoutentikan penampilan , dan beberapa menegemen dan alat-alat klient.

 

Pada saat squid dihidupkan maka akan menghasilkan angka dari proses dnsserver dalam jumlah yang banyak yang bisa mengkonfigurasi,masing-masing dapat menunjukkan Domain Name System lookups tunggal dan memihak . Ini menurunkan jumlah waktu

cache yang menunggu DNS lookups.

 

Bagaimanakah menerapkan Transparent Caching dengan menggunakan Squid ?

Transparent caching dapat diterapkan dengan 3 cara :

·  Kebijaksanaan yang berdasarkan routing

·  Menggunakan smart switching

·  Dengan memasang kotak squid sebagai Gateway

 

D. SNORT

‘SNORT’ merupakan salah satu software untuk mendeteksi intrusi pada system, mampu menganalisa ‘real-time traffic’ dan logging ip, mampu menganalisa port dan mendeteksi segala macam ‘serangan’ dari luar seperti buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting. secara default nya snort mempunyai 3 hal yang terpenting yaitu :

(1) paket sniffer, seperti tcpdump, iptraf dll 

(2) paket logger, yang berguna untuk paket traffic dll

(3) NIDS, deteksi intrusi pada network.

 

E. HONEYSPOTS

Pada dunia keamanan jaringan informasi banyak profesional yang sangat tertarik pada honeypots karena seorang pengamat serangan akan dapat melihat informasi secara nyata tentang suatu serangan. Kita sering mendengar tentang perusakkan sebuah situs web atau sebuah sistem keamanan jaringan pada bank yang di-hack, tetapi kebanyakan dari kita tidak mengetahui bagaimana si penyerang masuk dan apa yang

sesungguhnya terjadi. Salahsatu hal yang bisa didapat dengan honeypots adalah informasi bagaimana seorang penyerang dapat menerobos dan apa yang sudah dilakukannya.

1.      Definisi

Berikut adalah definisi dari Honeypots dari dua orang yang memiliki kompetensi pada penelitian tentang honeypots.

 

Definisi dari L. Spitzner1 tentang istilah Honeypots adalah sebagai berikut:

“A honeypot is a resource whose value is being in attacked or compromised. This

means, that a honeypot is expected to get probed, attacked and potentially exploited.

Honeypots do not fix anything. They provide us with additional, valuable

information.”

 

Definisi lain dari Retto Baumann2 & Christian Plattner3:

“A honeypot is a resource which pretends to be a real target. A honeypot is expected

to be attacked or compromised. The main goals are the distraction of an attacker and

the gain of information about an attack and the attacker.”

 

Pada dasarnya honeypots adalah suatu alat untuk mendapatkan informasi tentang penyerang. Selanjutnya administrator jaringan dapat mempelajari aktifitas-aktifitas yang dapat merugikan dan melihat kecenderungan dari aktifitas tersebut. Honeypots adalah sebuah sistem yang dirancang untuk diperiksa dan diserang.

 

2   Istilah Honeypots

Istilah honeypots pertama kali didiskusikan di sejumlah paper yang sangat bagus oleh beberapa tokoh sistem keamanan jaringan komputer:

• Cliff Stoll’s Cukoo’s Egg

• Steve Bellovin & Bill Cheswick’s “An Evening with Berferd.”4

Keduanya memberikan contoh penggunaan teknologi jail-type untuk menangkap session dari seorang penyerang sistem keamanan jaringan, dan memonitor secara terperinci apa yang dilakukan oleh penyerang. Istilah honeypots kemudian muncul. Sistem honeypots lama biasanya hanya berupa sebuah sistem yang dihubungkan dengan jaringan produktif yang ada dengan tujuan untuk memikat penyerang.

 

3   Kategori Honeypots

Ada dua kategori honeypots5:

1. Production Honeypots

2. Research Honeypots

 

Production honeypots digunakan untuk mengurangi resiko serangan pada system keamanan jaringan informasi dalam sebuah organisasi. Reasearch honeypots digunakan untuk medapatkan informasi sebanyak mungkin tentang penyerang sehingga seorang administrator dapat mempelajari informasi tersebut.

 

Beberapa kalangan memperdebatkan apakah benar honeypots menambah nilai padasuatu sistem keamanan jaringan informasi. Salahsatu cara untuk mencobanya adalah dengan cara melihat dari berapa lama honeypots memberikan waktu pada administrator untuk bereaksi sejak saat serangan itu masuk, sehingga seorang administrator dapat melindungi jaringan produktifnya. Jika dalam 15-20 menit, maka

honeypots tersebut akan mempunyai nilai tambah. Informasi penyerang yang sudah dipelajari juga akan memberikan nilai tambah pada sistem kemanan jaringan, karena sebuah serangan balasan yang tepat akan dapat dibuat untuk pertahanan terhadap serangan baru tersebut.

Iklan

2 Tanggapan

  1. bagamana car menginstall honeyspots pada ubuntu 10.04

  2. skema jaringan yang menggunakan firewall-nya mana neh,……

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: