Firewall

Definisi

Firewall atau tembok-api adalah sebuah sistem atau perangkat yang mengizinkan lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak aman.

Jenis

PersonalFirewall

Firewall untuk melindungi sebuah komputer. Firewall jenis ini sering di tambah dengan anti virus, anti spywere, anti spam, dll. Secara umum mempunyai dua fitur utama: Packet Fillter Firewall dan Satefull Firewall

NetworkFirewall

Firewall untuk melindungi jaringan. Umumnya dalam hardwere dan softwere. Firewall ini tidak terlihat oleh pengguna. Membutuhkan router untuk mengizinkan data. Mempunyai fitur: yang dimiliki oleh Perosnal Firewall (Packet Fillter Firewall dan Satefull Firewall), Circuit Level Gateway, Application Level Gateway, dan NAT Firewall.

Fungsi

• Mengatur dan mengontrol lalu lintas jaringan
• Melakukan autentikasi terhadap akses
• Melindungi sumber daya dalam jaringan private
• Mencatat semua kejadian, dan melaporkan kepada administrator
  
  

Mengontrol lalu lintas jaringan

Firewall melakukan tugasnya dengan inspeksi terhadap paket-paket dan memantau koneksi yang sedang dibuat, lalu melakukan penapisan (fitering) terhadap kaneksi berdasarkan hasil inspeksi paket dan koneksi lersebut.

Inspeksi paket

Inspeksi paket (packet inspection) merupakan proses yang dilakukan oleh firewall untuk menghadang dan memproses desta dalam sebuah paket untuk menentukan bahwa paket tersebut dizinkan atau ditolak. berdasarkan kebijakan akses (access policy) yang diterapkan oleh seorang administrator. Firewall, sebelum menentukan keputusan apakah hendak menolak atau menerima komunikasi dari luar, la harus melakukan inspeksi terhadap setiap paket (baik yang masuk ataupun yang keluar) di setiap antarmuka darı membandingkannya dengan daftar kebijakan akses Inspeksi paket dapat dilakukan dengan melhat elemen- elemen berikut. ketika menentukan apakan hendak menolak atau menerima komunikası:

• Alamat IP dari komputer sumber
• Port sumber pacda kamputer sumber
• Alamat IP dari komputer tujuan
• Port tujuan data pada komputer tujuan
• Protokol IP
• Infomasi headen header yang disimpan dalam paket

Koneksi

Agar dua host TCP/IP dapat saling berkomunikasi, mereka harus saling membuat koneksi antara satu dengan lainnya. Koneksi ini memiliki dua tujuan: 

1. Komputer dapat menggunakan koneksi tersebut untuk mengidenti- fikasikan dirinya kepada komputer lain. Firewall juga dapat menggunakan informasi koneksi untuk menentukan koneksi apa yang dizinkan oleh kebijakan akses dan meng- gunakannya untuk menentukan apakah paket data tersebut akan diteri- ma atau ditolak. 
2. Koneksi digunakan untuk menentukan bagaimana cara dua host tersebut akan berkomunikasi antara satu dengan yang lainnya (apakah dengan menggunakan koneksi connection-oriented, atau connection- Jess)

Firewall dapat memeantau lalu lintas jaringan memalui sebuah tabel yang dinamakan state table.

Dengan memantau keadaan koneksi ini firewall dapat menentukan apakah data yang melewati Firewall sedang ditunggu oleh host, dan jka ya akan mengizinkannya. Jika data yang melewati firewall tidak cocok dengan keadaan koneksi yang didefiniskan, maka data tersebut akan ditolak. Hal ini umumnya disesut setaga stateful inspection.

Stateful packet inspection

Ketika sebuah firewall menggabungkan stateful inspection dengan packet inspection, maka firewall tersebut dinamakan dengan Stateful Packet Inspection (SPI). SPI merupakan proses inspeksi paket yang tidak dilakukan dengan menggunakan struktur paket dan data yang terkandung dalam paket, tapi juga pada keadaan apahost-host yang saling berkomunikasi tersebut berada. 

SPI mengizinkan firewall untuk melakukan penapisan tidak hanya berdasarkan isi paket tersebut, tapi juga berdasarkan koneksi atau keadaan koneksi, sehingga dapat mengakibatkan firewall memiliki kemampuan yang lebih fleksibel, mudah diatur, dan memiliki skalabilitas dalam hal penapisan yang tinggi.

Autentifikasi terhadap akses

Firewall dapat melakukan autentikasi terhadap akses.Protokol TCPAP dibangun dengan premis bahwa protokol tersebut mendukung komunikasi yang terbuka. Jika dua host saling mengetahui alamat IP satu sama lainnya, maka mereka diizinkan untuk saling berkomunikasi. Pada awal-awal perkembangan Internet.

Cara kerja

Pada bentuknya yang paling sederhana, sebuah firewal adalah sebuah router atau komputer yang dilengkapi dengan dua buah NIC (NetworkinterfaceCard, kartu antarmuka jaringan) yang mampu melakukan penapisan atau penyaringan terhadap paket-paket yang masuk.

Packet Fillering Router

Firewall jenis ini bekerja dengan cara membandingkan alamat sumber dari paket-paket tersebut dengan kebijakan pengontrolan akses yang terdaftar dalam AccessControlListfirewall, router tersebut akan mencoba memutuskan apakah hendak meneruskan paket yang masuk tersebut ke tujuannya atau menghentikannya. Meskipun demikian, packet-filteringrouter tidak dapat digunakan untuk memberikan akses (atau menolaknya) dengan menggunakan basis hak-hak dimiliki oleh pengguna.

Circuit Level Gateway

Firewall jenis ini beroperasi pada level yang lebih tinggi dalam model referensi tujuh lapis osi (bekerja pada lapisan sesi/session layer) daripada PacketFilterFirewail. Modifikasi ini membuat firewall jenis ini berguna dalam rangka menyembunyikan informasi mengenai jaringan terprateksi, meskipun firewall ini tidak melakukan penyaringan terhadap paket-paket individual yang mengalir dalam koneksi. Dengan menggunakan firewall jenis ini, koneksi yang terjadi antara pengguna dan jaringan pun disembunylkan dari pengguna. Pengguna akan dihadapkan secara langsung dengan firewail pada saat proses pembuatan koneksi dan firewall pun akan membentuk konesi dengan sumber daya jaringan yang hendak dinkses oleh pengguna setelah mergubah alamat IP dari paket yang CHtrarsmisikan olet dua belah pihak Hal ini mengakibatkan terjadinya sebuah sirkuit virtual (virtual circuit) antara pengguna dan sumber daya jaringan yang ia akses. Firewall ini dianggap lebih aman dibandingkan dengan Packet- FilteringFirewall, karena pengguna eksternal tidak dapar melihat alamat IP jaringan internal dalam paket-paket yang ia terima, melainkan alamat IP dari firewall. Protokol yang populer digunakan sebagai Circuit- LevelGateway adalah SOCKS v5.

Application Level Firewall

Firewall jenis lainnya adalah ApplicationLevelGateway (atau Application-LevelFirewall atau sering juga disebut ProxyFirewall).  yang umumnya juga merupakan komponen dari sebuah proxyserver.  Firewall ini tidak memungkinkan paket yang datang untuk melewati firewall secara langsung.  Tetapi, aplikasi proxy yang berjalan dalam komputer yang menjalankan firewall akan memilih sebagai layanan tersebut yang tersedia dalam jaringan pribadi dan kemudian memantau respons dari permintaan tersebut kepada komputer yang membuat permintaan pertama kalu yang terletak dalam jaringan publik yang tidak aman.

Artistektur

Dual-homed Host

Arsitektur firewall yang pertama dinamakan sebagai arsitektur dual-homed host. Artinya, arsitektur yang satu ini harus terdapat setidaknya interface jaringan sebanyak 2.

Untuk bisa mengaktifkan arsitektur ini, maka router yang ada di dalam jaringan komputer tersebut harus dinon-aktifkan terlebih dahulu. Selain itu, sistem komputer nantinya dapat melakukan komunikasi dengan dual-homed host dan juga sistem yang ada di luar firewall. Namun, kedua sistem ini tidak bisa melakukan komunikasi langsung.

Screened Host

Arsitektur firewall yang kedua dinamakan sebagai arsitektur screened host. Fungsi dari arsitektur yang satu ini adalah menyediakan layanan yang berasal dari jaringan host untuk kemudian diberikan kepada jaringan lokal atau internal dengan cara

menggunakan router yang diatur terpisah. Cara melakukan pengamanan dengan menggunakan screened host adalah dengan memanfaatkan paket filtering. Jadi, setiap sitem yang berasal dari luar atau eksternal yang hendak mengakses sistem dalam atau internal sebelumya harus meminta izin terlebih dahulu dan harus langsung terkoneksi dengan bastion host. Bastion host merupakan host yang digunakan jika pengguna ingin memperoleh tingkat keamanan yang lebih tinggi. Bastion host ini letaknya terdapat di jaringan internal.

 Screened Subnet

Arsitektur screened subnet merupakan arsitektur dari firewall yang juga akan kami bahas. Fungsinya adalah untuk menambahkan layer pengaman sebagai tambahan yang terdapat di dalam screened host. Bagaimana caranya? Caranya adalah menambahkan sebuah jaringan parameter agar lebih mudah untuk mengisolasi pada jaringan internal.

Policities

Kebijakan firewall yang memungkinkan Anda untuk memblokir atau mengizinkan jenis lalu lintas jaringan tertentu yang tidak ditentukan dalam policy exception (pengecualian kebijakan).

IPTable

Tools dalam sistem operasi linux yang berfungsi sebagai alat untuk

melakukan filter (penyaringan) terhadap (traffic) lalulintas data. Secara sederhana digambarkan

sebagai pengatur lalulintas data. Dengan iptables inilah kita akan mengatur semua lalulintas

dalam komputer kita, baik yang masuk ke komputer, keluar dari komputer, ataupun traffic yang

sekedar melewati komputer kita.

Table yang dimiliki

Ada 3 tables dalam iptables:

– Filter: tabel default yang ada pada iptables. Di sini bisa ditentukan apakah paket akan di-

DROP, LOG, ACCEPT, atau REJECT.

– NAT: tabel ini digunakan untuk fungsi NAT, redirect, dan redirect port. NAT adalah Network

Address Translation (penggantian field alamat asal atau alamat tujuan dari paket).

– Mangle: berfungsi sebagai penghalus proses pengaturan paket. Contohnya adalah TTL, TOS,

dan MARK.

Pada table Filter, terdapat 3 jenis Chain:

– INPUT

Mengatur paket data yang memasuki firewall dari arah intranet maupun internet. kita bisa

mengelolakomputer mana saja yang bisa mengakses firewall. misal: hanya komputer IP

192.168.1.100 yang bisa SSHke firewall dan yang lain tidak boleh.

– OUTPUT

Mengatur paket data yang keluar dari firewall ke arah intranet maupun internet. Biasanya

output tidak diset,karena bisa membatasi kemampuan firewall itu sendiri.

– FORWARD

Mengatur paket data yang melintasi firewall dari arah internet ke intranet maupun sebaliknya.

Policy forward paling banyak dipakai saat ini untuk mengatur koneksi internet berdasarkan

port, mac address dan alamat IP Selain aturan (policy) firewall iptables juga mempunyai

parameter yang disebut dengan TARGET, yaitu status yang menentukkan koneksi di iptables

diizinkan lewat atau tidak.

Ada 3 jenis NAT:

– FORWARD: Route pacet akan di-FORWARD tanpa diproses lanjut di local.

– OUTPUT: Route pacet keluar dari sistem local.

– POSTROUTING: Chain yang digunakan untuk keperluan perlakuan sesudah paket masuk

route. Biasanya dipakai untuk proses NAT.

Apa yang membedakan Mangle dengan table yang lain?

Yang membedakan Mangle dengan table yang lain adalah membuat paket-paket Anda ditandai

satu per satu. Tujuannya adalah agar paket tersebut mempunyai ciri khas, sehingga paket

tersebut dapat diolah lebih lanjut sesuai dengan policy yang akan Anda terapkan.

Tabel Mangle memiliki kemampuan untuk menggunakan semua chain yang ada dalam IPTables

seperti INPUT, OUTPUT, PREROUTING, dan sebagainya. Dengan menggunakan tabel ini, Anda

bisa melakukan banyak hal, seperti misalnya melakukan pengubahan routing sesuai dengan

kebijakan Anda, atau memberikan perlakuan khusus pada salah satu jenis paket atau yang

sering disebut dengan istilah QoS, dan masih banyak lagi. Maka dari itu, Mangle banyak

digunakan bersama dengan program lain untuk melayani pemprioritasan sebuah aplikasi.

Target-target pada mangle table adalah:

Target TOS digunakan untuk set atau merubah tipe dari servis dari paket. Hal ini bisa digunakan

untuk membuat aturan-aturan dalam jaringan berdasarkan bagaimana paket dirouting dan

sebagainya.

Target TTL digunakan untuk mengubah TTL (Time To Live) dari sebuah paket.Terget ini

sebaiknya dipakai ketika kita menginginkan paket tersebut dibuang oleh Internet Service

Providers.

Target MARK digunakan oleh untuk mengeset flag pada suatu paket. Flag ini dapat dikenali

oleh program iproute2 untuk melakukan routing paket yang berbeda sesuai dengan flag apa

yang dimiliki. Flag tersebut juga bisa digunakan untuk menentukan bandwidth limit dan

queueing.

Apa tujuan dari penggunaan Chain Prerouting dengan Chain Postrouting?

Prerouting adalah proses pendefinisian packet yang akan masuk ke dalam tubuh router melalui

interface. Postrouting adalah proses pendefinisian packet yang sudah keluar dari tubuh router

melalui sebuah interface.

SNAT Target

Target ini berguna untuk melakukan perubahan alamat asal dari paket (Source Network

Address Translation). Target ini berlaku untuk tabel nat pada kolom POSTROUTING, dan hanya

di sinilah SNAT bisa dilakukan. Jika paket pertama dari sebuah koneksi mengalami SNAT, maka

paket-paket berikutnya dalam koneksi tersebut juga akan mengalami hal yang sama.

DNAT Target

Berkebalikan dengan SNAT, DNAT digunakan untuk melakukan translasi field alamat tujuan

(Destination Network Address Translation) pada header dari paket-paket yang memenuhi

kriteria match. DNAT hanya bekerja untuk tabel nat pada chain PREROUTING dan OUTPUT atau

chain buatan yang dipanggil oleh kedua chain tersebut.

Drop & Reject

Drop akan mengabaikan packet yang datang tanpa memberitahu host pengirim, sementara

reject mengabaikan packet akan tetapi memberi kabar pada host bahwa packet telah ditolak.

DMZ

Dalam keamanan komputer , DMZ atau zona demiliterisasi (kadang-kadang disebut sebagai

jaringan perimeter) adalah fisik atau logis subnetwork yang berisi dan mengekspos layanan

eksternal menghadap organisasi ke jaringan biasanya lebih besar dan tidak dipercaya, biasanya

Internet. Tujuan dari DMZ adalah menambahkan lapisan tambahan keamanan untuk organisasi

jaringan area lokal (LAN); eksternal simpul jaringan dapat mengakses hanya apa yang terkena di

DMZ, sedangkan sisanya dari jaringan organisasi yang firewall .

Nama ini berasal dari istilah " zona demiliterisasi ", sebuah daerah antara negara-negara bangsa di mana operasi militer tidak diizinkan.

DMZ biasanya memiliki aplikasi firewall dan FTP sementara CMZ host server

Web. (Database server bisa di CMZ, di LAN, atau dalam VLAN yang terpisah sama sekali).

Layanan yang sering di gunakan

Setiap layanan yang disediakan untuk pengguna di jaringan eksternal dapat ditempatkan dalam

DMZ. Yang paling umum dari layanan ini adalah:

-    server web

-    mail server

-    server FTP

-    VoIP server

-    CCTV

Server webyang berkomunikasi dengan database internal memerlukan akses ke database

server , yang tidak dapat diakses publik dan mungkin berisi informasi sensitif. Server web

dapat berkomunikasi dengan database server baik secara langsung atau melalui aplikasi

firewall untuk alasan keamanan.

E-mail pesan dan khususnya database pengguna bersifat rahasia, sehingga mereka biasanya

disimpan di server yang tidak dapat diakses dari Internet (setidaknya tidak secara tidak

aman), tetapi dapat diakses dari server email yang terhubung ke Internet.

Manfaat DMZ

Untuk keamanan, sesuai dengan standar hukum seperti HIPAA , dan pemantauan alasan,

dalam lingkungan bisnis, beberapa perusahaan menginstal server proxy dalam DMZ. Ini

memiliki manfaat sebagai berikut:

1. Mewajibkan pengguna internal (biasanya karyawan) untuk menggunakan server proxy

untuk akses internet.

2. Mengurangi persyaratan akses bandwidth internet karena beberapa konten web dapat

di-cache oleh server proxy.

3. Menyederhanakan pencatatan dan monitoring kegiatan pengguna. terpusat konten web

filtering.

Sebuah reverse proxy server seperti server proxy, adalah perantara, tapi digunakan

sebaliknya. Alih-alih menyediakan layanan untuk pengguna internal yang ingin mengakses

jaringan eksternal, ia menyediakan akses langsung untuk jaringan eksternal (biasanya

Internet) ke sumber daya internal. Misalnya, kembali akses aplikasi office, seperti sistem

email, dapat diberikan kepada pengguna eksternal (untuk membaca email sementara di luar

perusahaan) tetapi remote user tidak akan memiliki akses langsung ke server email mereka.

Hanya server proxy reverse fisik dapat mengakses server email internal. Ini adalah lapisan

keamanan tambahan, yang sangat dianjurkan ketika sumber daya internal perlu diakses dari

luar. Biasanya seperti mekanisme reverse proxy disediakan dengan menggunakan firewall

lapisan aplikasi karena mereka fokus pada bentuk tertentu dari lalu lintas daripada

mengendalikan akses ke spesifik TCP dan port UDP sebagai firewall packet filter tidak.