Desain Keamanan Jaringan Firewall

 

11.1 FIREWALL
Dalam jaringan komputer, khususnya yang berkaitan dengan aplikasi yang melibatkan berbagai kepentingan, akan banyakterjadi hal yang dapatmengganggu kestabilan koneksi jaringan komputer tersebut baik yang berkaitan dengan hardware (pengamanan fisik, sumber daya listrik) maupun yang berkaitan dengan software (sstem, konfigurasi, sstem akses, dll).

Gangguan pada sistem dapat terjadi ketidaksengajaan disebabkan oleh pihak ketiga :

1.Gangguan dapat berupa perusakan, penyusupan, pencurian hak akses, penyalahgunaan data maupun sstem, sampai tindakan riminal melalui aplikasi jaringan omputer. Dalam internetworking dikenal dengan istilah: Hackingberupa peng rusakan pada infrastruktur jaringan yang sudah ada, misalnya pengrusakan pada sistem dari suatu server.
2.Deface, perubahan terhadap tampilan suatu website secara illegal.
3. Carding, pencurian data terhadap identitas perbankan seseorang, misalnya pencurian nomor kartu kredit, digunakan untuk memanfaatkan saldo yang terdapat pada rekening tersebut untuk keperluan belanja online


11.2 JENIS-JENIS FIREWALL


Firewall dapat dibedakan berdasarkan caranya bekerja. Jenis-jenis firewall tersebut adalah :


1. Packet Filtering Gateway

Packet filtering gateway dapat diartikan sebagai firewall yang bertugas melakukan filterisasi terhadap paket-paket yang datang dari luar jarigan yang dilindunginya.


2. Application Layer Gateway

Model firewall ini juga dapat disebut Proxy Firewall. Mekanismenya tidak hanya berdasarkan sumber, tujuan dan atribut paket, tapi bisa mencapai isi (content) paket tersebut Mekanisme lainnya yang terjadi adalah paket tersebut tidak akan secara langsung sampai ke server tujuan, akan tetapi hanya sampai firewall saja.


3. Circuit Level Gateway

Model firewall ini bekerja pada bagian Lapisan transport dari model referensi TCP/IP. Firewall ini akan melakukan pengawasan terhadap awal hubungan TCP yang biasa disebut sebagai TCP Handshaking, yaitu proses untuk menentukan apakah sesi hubungan tersebut diperbolehkan atau tidak. Bentuknya hampir sama dengan Application Layer Gateway, hanya saja bagian yang difilter terdapat ada lapisan yang berbeda, yaitu berada pada layer Transport.


4. Statefull Multilayer Inspection Firewall

Model firewall ini merupakan penggabungan dari ketiga firewall sebelumnya. Firewall jenis ini akan bekerja pada lapisan Aplikasi, Transport dan Internet.

Dengan penggabungan ketiga model firewall yaitu Packet Filtering Gateway, Application Layer Gateway dan Circuit Level Gateway, mungkin dapat dikatakan firewall jenis ini merupakan firewall yang ,memberikan fitur terbanyak dan memeberikan tingkat keamanan yang paling tinggi.
Fungsi Firewall

Secara mendasar, firewall dapat melakukan hal-hal berikut:
Mengatur dan mengontrol lalu lintas jaringan
Melakukan autentikasi terhadap akses
Melindungi sumber daya dalam jaringan privat
Mencatat semua kejadian, dan melaporkan kepada administrator


Proses inspeksi Paket

Inspeksi paket ('packet inspection) merupakan proses yang dilakukan oleh firewall untuk 'menghadang' dan memproses data dalam sebuah paket untuk menentukan bahwa paket tersebut diizinkan atau ditolak, berdasarkan kebijakan akses (access policy) yang diterapkan oleh seorang administrator. Firewall, sebelum menentukan keputusan apakah hendak menolak atau menerima komunikasi dari luar, ia harus melakukan inspeksi terhadap setiap paket (baik yang masuk ataupun yang keluar) di setiap antarmuka dan membandingkannya dengan daftar kebijakan akses. Inspeksi paket dapat dilakukan dengan melihat elemen-elemen berikut, ketika menentukan apakah hendak menolak atau menerima komunikasi:
Alamat IP dari komputer sumber
Port sumber pada komputer sumber
Alamat IP dari komputer tujuan
Port tujuan data pada komputer tujuan
Protokol IP
Informasi header-header yang disimpan dalam paket
Koneksi dan Keadaan Koneksi

Agar dua host TCP/IP dapat saling berkomunikasi, mereka harus saling membuat koneksi antara satu dengan lainnya. Koneksi ini memiliki dua tujuan.



Komputer dapat menggunakan koneksi tersebut untuk mengidentifikasikan dirinya kepada komputer lain, yang meyakinkan bahwa sistem lain yang tidak membuat koneksi tidak dapat mengirimkan data ke komputer tersebut. Firewall juga dapat menggunakan informasi koneksi untuk menentukan koneksi apa yang diizinkan oleh kebijakan akses dan menggunakannya untuk menentukan apakah paket data tersebut akan diterima atau ditolak.
Koneksi digunakan untuk menentukan bagaimana cara dua host tersebut akan berkomunikasi antara satu dengan yang lainnya (apakah dengan menggunakan koneksi connection-oriented, atau connectionless).

1. Metode-metode yang digunakan dalam network security
               Ada banyak metode yang digunakan dalam network security antara lain :
   1 Pembatasan akses pada network
   Internal password authentication (password pada login system)
   Password yang baik menjadi bagian yang paling penting namun sederhana dalam keamanan jaringan. Sebagian besar dari masalah network security disebabkan password yang buruk. Biasanya pembobolan account bisa terjadi hanya dengan menduga-duga passwordnya. Sedangkan bentuk yang lebih canggih lagi adalah dictionary guessing, yang menggunakan program dengan kamus terenkripsi, dibandingkan dengan password terenkripsi yang ada. Untuk itu, file /etc/passwd harus dilindungi, agar tidak dapat diambil dengan ftp atau tftp (berkaitan dengan file-mode). Bila hal itu bisa terjadi, maka tftp harus dinonaktifkan. Ada juga sistem yang menggunakan shadow password, agar password yang ter-enkripsi tidak dapat dibaca. Sering mengganti password dapat menjadi salah satu cara menghindari pembobolan password. Namun, untuk password yang bagus tidak perlu terlalu sering diganti, karena akan sulit mengingatnya. Sebaiknya password diganti setiap 3-6 bulan.
   
   
   
   
   Server-based password authentication
   Termasuk dalam metoda ini misalnya sistem Kerberos server, TCP-wrapper, dimana setiap service yang disediakan oleh server tertentu dibatasi dengan suatu daftar host dan user yang boleh dan tidak boleh menggunakan service tersebut.
   
   
   Server-based token authentication
   Metoda ini menggunakan authentication system yang lebih ketat, yaitu dengan penggunaan token / smart card, sehingga untuk akses tertentu hanya bisa dilakukan oleh login tertentu dengan menggunakan token khusus.
   
   
   Firewall dan Routing Control
   Firewall melindungi  host-host pada sebuah network dari berbagai serangan. Meskipun aspek-aspek yang lain dalam jaringan tersebut juga menjadi faktor penentu tingkat keamanan jaringan secara keseluruhan, tetapi firewall atau routing control sangat berpengaruh pada kemanan jaringan tersebut secara keseluruhan.
               Komputer dengan firewall menyediakan kontrol akses ketat antara sistem dengan sistem lain. Konsepnya, firewall mengganti IP router dengan sistem host multi-home, sehingga IP forwarding tidak terjadi antara sistem dengan sistem lain yang dihubungkan melalui firewall tsb. Agar jaringan internal dapat berhubungan dengan jaringan diluarnya dalam tingkat konektifitas tertentu, firewall menyediakan fingsi-fungsi tertentu.
   
   
               Firewall mencegah paket IP diteruskan melalui layer IP. Namun, firewall menerima paket dan memprosesnya melalui layer aplikasi. Sebetulnya ada juga router yang mempunyai fasilitas keamanan khusus seperti firewall, dan biasanya disebut ‘secure router’ atau ‘secure gateway’. Namun firewall bukan router, karena tidak meneruskan (forwarding) paket IP. Firewall sebaiknya tidak digunakan untuk memisahkan seluruh jaringan internal dari jaringan luar.
              
               Dengan adanya firewall, semua paket ke sistem di belakang firewall dari jaringan luar tidak dapat dilakukan langsung. Semua hubungan harus dilakukan dengan mesin firewall. Karena itu sistem keamanan di mesin firewall harus sangat ketat. Dengan demikian lebih mudah untuk membuat sistem keamanan yang sangat ketat untuk satu mesin firewall, daripada harus membuat sistem keamanan yang ketat untuk semua mesin di jaringan lokal (internal).
   2.3.2 Metode enkripsi
               Salah satu cara pembatasan akses adalah dengan enkripsi. Proses enkripsi meng-encode data dalam bentuk yang hanya dapat dibaca oleh sistem yang mempunyai kunci untuk membaca data. Proses enkripsi dapat dengan menggunakan software atau hardware. Hasil enkripsi disebut cipher. Cipher kemudian didekripsi dengan device dan kunci yang sama tipenya (sama hardware/softwarenya, sama kuncinya). Dalam jaringan, sistem enkripsi harus sama antara dua host yang berkomunikasi. Jadi diperlukan kontrol terhadap kedua sistem yang berkomunikasi. Biasanya enkripsi digunakan untuk suatu sistem yang seluruhnya dikontrol oleh satu otoritas.
   2.3.3 Security Monitoring
               Salah satu elemen penting dari keamanan jaringan adalah pemantauannya. Dengan adanya pemantauan yang teratur, maka penggunaan sistem oleh yang tidak berhak dapat dihindari. Selain itu, seiring dengan waktu, maka sistem pun berubah. Keamanan jaringan dapat terpengaruh oleh adanya perubahan ini. Hal ini dapat dideteksi dengan adanya pemantauan.
               Untuk mendeteksi aktifitas yang tidak normal, maka perlu diketahui aktifitas yang normal. Proses apa saja yang berjalan pada saat aktifitas normal. Siapa saja yang biasanya login pada saat tersebut. Siapa saja yang biasanya  login diluar jam kerja. Bila terjadi keganjilan, maka perlu segera diperiksa.
   Bila hal-hal yang mencurigakan terjadi, maka perlu dijaga kemungkinan adanya intruder. Perlu juga memberitahu orang-orang yang biasa menggunakan sistem untuk berhati-hati, supaya masalah tidak menyebar ke sistem lain.
   
   
   2.4       Packet Filtering
   Packet filtering adalah sejenis firewall yang bekerja pada layer network model OSI. Ketika menggunakan firewall sebagai packet filtering yang pertama kali dilakukan adalah memikirkan kebijakan apa yang akan diterapkan pada firewall tersebut. Pendekatan yang digunakan oleh firewall untuk melakukan proses filtering paket,secara umum seperti berikut:
   ·         Semua yang tidak diijinkan dalam aturan adalah di blok.
   Pendekatan ini akan mengeblok segala aliran paket antar dua interface kecuali untuk aplikasi yang diijinkan lewat dalam aturan.
   ·         Semua yang tidak diblok dalam aturan adalah diijinkan
   Pendekatan ini akan mengijinkan segala aliran paket antar dua interface kecuali untuk aplikasi yang diblok dalam aturan.
   Packet filtering bekerja pada lapisan network dan dilakukan oleh sebuah router yang dapat meneruskan paket berdasarkan aturan dari filtering. Router akan mengekstrak beberapa informasi dari header paket yang datang pada satu  interface dan membuat keputusan berdasarkan aturan yang telah ditetapkan apakah paket akan diteruskan atau diblok.
   Beberapa informasi yang dapat diekstrak dari header paket :
   ·         Alamat asal paket
   ·         Alamat tujuan paket
   ·         TCP/UDP source port
   ·         TCP/UDP destination port
   ·         Tipe ICMP
   ·         Informasi protokol ( TCP,UDP, atau  ICMP )
   
   
   Filtering by IP address
               Seperti telah disebutkan di atas, bahwa pengeblokan paket yang melewati firewall bisa dilakukan dengan melihat alamat asal dan tujuan dari paket, maka pada bagian ini akan di bahas mengenai metode pengeblokan tersebut. Setiap paket yang dikirimkan dari pengirim ke penerima, pasti akan mengalami proses enkapsulasi pada setiap lapisan  di node tersebut. Dari setiap proses enkapsulasi tersebut, setiap lapisan akan menambahkan header sesuai dengan lapisan masing-masing. Proses penambahan header alamat paket baik itu alamat pengirim maupun penerima, menjadi tanggung jawab dari network layer.
                       
   Gambar di atas adalah contoh dari internet datagram. Beberapa parameter dari gambar di atas adalah sebagai berikut:
   ·         Setiap tanda garis di atas merepresentasikan 1 bit.
   ·         Vers (Version) : 4 bit  field ini mengindikasikan versi dari internet header.
   ·         Hlen (Header Length) : 4 bit , menjelaskan mengenai panjang dari internet header dalam 32 bit words, jadi bisa dikatakan menandakan awal dari data. Sebagai catatan,bahwa minimum nilai dari hlen adalah 5
   ·         TOS (Type of service) : 8 bit. Mengindikasikan beberapa parameter yang digunakan untuk pencapaian quality of servis yang diinginkan.
   ·         Payload length : 16 bit , merupakan panjang dari datagram, diukur dalam satuan oktet termasuk header dan data.
   ·         Fragment Identifier : 16 bit
   ·         Flags : 3 bit
   ·         Fragment offset : 13 bit
   ·         Hop Limit / Time to Live : 8 bit , mengindikasikan maksimum waktu dari datagram yang diperbolehkan untuk berada pada system internet.
   ·         Next Header: 8 bit : Informasi tentang header paket berikut
   ·         Header checksum : 16 bit : Nilai checksum untuk memeriksa integritas paket
   ·         Source address : 32 bit : Alamat pengirim paket
   ·         Destination address  : 32 bit : Alamat tujuan paket
   Pada sisi penerima, khususnya pada router yang menjalankan program firewall untuk memfilter paket yang datang, firewall akan melihat header dari masing-masing packet datagram yang datang, dan untuk pemfilteran berdasarkan alamat, firewall akan melihat bagian alamat asal dan alamat tujuan kemudian akan dicocokan dengan aturan yang telah di tetapkan pada firewall. Kalau aturan tidak ada yang memblok alamat asal dan alamat tujuan, maka paket bisa masuk ke lapisan yang lebih tinggi. Semua yang melaksanakan proses ini terjadi pada lapisan network, dimana protokol IP yang menjadi penanggung jawabnya.
               Semua IP header dari sebuah paket terdiri dari alamat asal dan alamat tujuan dan tipe dari protokol yang digunakan paket. Ini berarti bahwa satu-satunya cara untuk proses identifikasi pada level Internet Protocol ( IP ) adalah dari alamat asal pada header IP dari paket. Hal ini bisa menarik minat dari para hacker untuk melakukan penyusupan, yaitu  lubang untuk spoofing alamat asal , dimana si pengirim akan mengganti alamat asal dengan alamat IP yang tidak terdaftar (tidak ilegal) ataupun mengganti dengan alamat IP sembarang server.
   
   
   Filtering by protocol
               Seperti yang telah disebutkan di atas, Packet filtering bekerja pada layer network dan dilakukan oleh sebuah router yang dapat meneruskan paket berdasarkan aturan dari filtering. Ketika sebuah paket datang pada router, router akan mengekstrak beberapa informasi dari header paket dan membuat keputusan berdasarkan aturan yang telah ditetapkan apakah paket akan diteruskan ataukah diblok.
               Filtering menggunakan protokol, melihat bagian protokol pada internet header seperti gambar internet header di atas. Bila protokol yang digunakan sesuai dengan aturan yang disebutkan untuk diteruskan, maka paket akan diteruskan, dan begitu juga sebaliknya.
   
   
   Filtering by port
               Filtering dengan port bekerja pada layer transport. Pada tcp header terdapat bagian port asal dan port tujuan yang akan digunakan untuk menentukan apakah paket bisa masuk ke jaringan lokal  atau diteruskan ke host yang lain oleh router. Nomor port berkisar dari port nomor 0 sampai dengan  65535. Dari sekian banyak port tersebut, berdasarkan konsensus dan perjanjian terbagi menjadi dua bagian. Nomor port dari  0 –1023 dikenal dengan port – port yang privileged , ini berarti bahwa untuk kasus dalam sistem unix , membutuhkan akses root untuk dapat menggunakan port  tersebut. Sedangkan nomor port sisanya , 1024 – 65535 dikenal dengan port  yang unprivileged . ini berarti tidak membutuhkan akses root untuk meggunakan port tersebut. User biasa bisa menggunakan port tersebut. Oleh karena itu sebaiknya untuk proses pengeblokan port, diblok untuk paket-paket dari dan untuk port  aplikasi yang tidak terpakai supaya tidak dimanfaatkan oleh penyusup