BAB 12 FIREWALL. 1. Introduksi. Sumber: Elizabeth Zwicky, et.al, Building Internet Firewalls, 2 nd edition. O Riley & Associates, 2000.

dokumen-dokumen yang mirip
Indra Dermawan ( )

FIREWALL NUR FISABILILLAH, S.KOM, MMSI

Firewall. Pertemuan V

Firewall. Pertemuan V

SISTEM KEAMANAN JARINGAN KOMPUTER. Mata kuliah Jaringan Komputer Jurusan Teknik Informatika Irawan Afrianto, MT

TUGAS JURNAL JARINGAN KOMPUTER OPTIMALISASI FIREWALL PADA JARINGAN SKALA LUAS DISUSUN OLEH MARCO VAN BASTEN

Firewall. Instruktur : Ferry Wahyu Wibowo, S.Si., M.Cs.

OPTIMALISASI FIREWALL PADA JARINGAN KOMPUTER BERSKALA LUAS Nanan Abidin

Jaringan komputer bukanlah sesuatu yang baru saat ini. Hampir di setiap perusahaan

FIREWALL: SEKURITI INTERNET

BAB 15 KEAMANAN JARINGAN DENGAN FIREWALL

Daftar Isi iii

UNIVERSITAS GUNADARMA

MENGOPTIMALKAN SUATU SISTEM FIREWALL PADA JARINGAN SKALA GLOBAL

KEAMANAN JARINGAN FIREWALL DI HOST DAN SERVER KEAMANAN JARINGAN

UNIVERSITAS GUNADARMA

Vpn ( virtual Private Network )

PENGAMANAN JARINGAN KOMPUTER

KEAMANAN JARINGAN KOMPUTER. Kemal Ade Sekarwati

3. apa yang anda ketahui tentang firewall? A. Pengertian Firewall

SISTEM KEAMANAN JARINGAN DENGAN FIREWALL KATA PENGANTAR

KEAMANAN JARINGAN KOMPUTER

BAB I PENDAHULUAN. A. Latar Belakang Masalah. Dalam beberapa tahun terakhir ini Internet tidak saja berkembang sebagai

Prinsip Kerja. Pengendalian akses layanan berdasarkan : Pengendalian arah komunikasi

Cara Setting IP Address DHCP di

FireWall. Ahmad Muammar. W. K. Lisensi Dokumen: PENGANTAR

KEAMANAN JARINGAN. Sistem Keamanan Komputer. 1. Membatasi Akses ke Jaringan. A. Membuat tingkatan akses :

BAB I PENDAHULUAN. 1.1 Latar Belakang

KEAMANAN KOMPUTER. Pertemuan 10

Agenda. Protokol TCP/IP dan OSI Keluarga Protokol TCP/IP

BAB I PENDAHULUAN. Di masa sekarang ini, internet sangat berperan besar. Internet digunakan

1. Menggunakan model OSI dan TCP/IP dan protokol-protokol yang terkait untuk menjelaskan komunikasi data dalam network. 2. Mengidentifikasi dan

Protokol adalah sebuah aturan atau standar yang mengatur atau mengijinkan terjadinya hubungan, komunikasi, dan perpindahan data antara dua atau lebih

Jaringan Komputer Dasar

TUJUAN PEMBELAJARAN: 1. Mengenalkan pada mahasiswa tentang konsep dasar firewall 2. Mahasiswa mampu melakukan proses filtering menggunakan iptables

PRAKTIKUM 3 Konfigurasi Firewall [iptables]

FIREWALL dengan Iptables

BAB 2 TINJAUAN PUSTAKA

Keamanan Jaringan Komputer

TUJUAN PEMBELAJARAN: 1. Mengenalkan pada mahasiswa tentang konsep dasar firewall 2. Mahasiswa mampu melakukan proses filtering menggunakan iptables

BAB 4 IMPLEMENTASI DAN EVALUASI

Memahami cara kerja TCP dan UDP pada layer transport

Pertemuan III. Referensi Model TCP/IP

BAB 4 PERANCANGAN DAN EVALUASI. jaringan ke jaringan lain. Semua paket melewati firewall dan tidak ada paket yang keluar

Analisis dan Implementasi Metode Demilitarized Zone (DMZ) untuk Keamanan Jaringan pada LPSE Kota Palembang

PENGAMANAN JARINGAN KOMUTER

A I S Y A T U L K A R I M A

Pengaturan OpenDNS. OpenDNS untuk meningkatkan waktu respon Web navigasi

JENIS-JENIS APLIKASI UNTUK SERVER MENGADMINISTRASI SERVER DALAM JARINGAN. Pembahasan: Habib Ahmad Purba. 0 P a g e

Komunikasi Data STMIK AMIKOM Yogyakarta Khusnawi, S.Kom, M.Eng. TCP/IP Architecture

Optimalisasi Keamanan Jaringan Menggunakan Pemfilteran Aplikasi Berbasis Mikrotik

BAB III LANDASAN TEORI. MikroTikls atau yang lebih di kenal dengan Mikrotik didirikan tahun 1995

DHCP client merupakan mesin klien yang menjalankan perangkat lunak klien DHCP yang memungkinkan mereka untuk dapat berkomunikasi dengan DHCP Server.

Pertemuan III. Referensi Model TCP/IP

Soal Ujian Tengah Semester Mata Kuliah Jaringan Komputer

Soal Ujian Tengah Semester Mata Kuliah Jaringan Komputer

MENGENAL PROTOCOL TCP IP

TUGAS JARINGAN KOMPUTER : REVIEW TCP/IP

BAB III Firewall Sebagai Pelindung dalam Jaringan Komputer

Mastering Iptables Seri 1 dan Seri 2

Naufal Ilham Ramadhan SOAL

Tujuan : Pembahasan ini bertujuan : 1. Mahasiswa memahami jenis-jenis firewall 2. Mahasiswa memahami cara menerapkan firewal di jaringan

mengetahui informasi dari hosts target yang akan diserang? 3. Beri kesimpulan dari percobaan-percobaan yang telah anda lakukan diatas!

Agus Aan Jiwa P.

FIREWALL. Diajukan untuk Memenuhi Salah Satu Tugas Security. Disusun Oleh: Khresna A.W ( )

3. 3 Application Layer Protocols and Services Examples

Choirul Amri. I. Pendahuluan.

Jenis-jenis Firewall. Firewall terbagi menjadi dua jenis, yakni sebagai berikut

AMALIA ZAKIYAH 1 D4LJ-TI

Tugas Jaringan Komputer

Definisi Tujuan Prinsip-prinsip disain firewall. Karakteristik firewall Jenis-jenis firewalls Konfigurasi firewall. Cara Kerja Firewall

Certified Network Associate ( MTCNA ) Modul 6

Layanan ( service) Simple Mail Transport Protocol (SMTP)

METODE PENELITIAN. B. Pengenalan Cisco Router

IP Subnetting dan Routing (1)

PENGAMANAN. jaringan komputer. Konsep dasar jaringan komputer Bentuk-bentuk ancaman terhadap jaringan. komputer. Bentuk pengendalian terhadap keamanan

ANALISIS DAN IMPLEMENTASI METODE DMZ (DEMILITARIZED ZONE) UNTUK KEAMANAN JARINGAN PADA LPSE KOTA PALEMBANG

Tugas Jaringan Komputer

Bab I Pendahuluan BAB I PENDAHULUAN 1.1 LATAR BELAKANG

BAB III LANDASAN TEORI. Jaringan computer merupakan sekelompok computer otonom yang saling

Networking Model. Oleh : Akhmad Mukhammad

CARA KERJA TCP/IP. Bab 1. Pendahuluan

MODEL REFERENSI OSI & TCP/IP. Budhi Irawan, S.Si, M.T

Lapisan Transport. Menjamin komunikasi yang handal antara dua buah komputer yang terhubung Terdiri atas :

file:///c /Documents%20and%20Settings/Administrator/My%20Documents/My%20Web%20Sites/mysite3/ebook/pc/Firewall.txt

BAB I PENDAHULUAN. komunikasi data. router dengan kabel Unshielded Twisted Pair sebagai (UTP) Topologi jaringan

Pengenalan Internet. Arrummaisha A

UJI KOMPETENSI KEAHLIAN TEKNIK KOMPUTER JARINGAN - PAKET 2

BAB 2 LANDASAN TEORI. untuk mencapai suatu tujuan yang sama Jaringan Komputer Berdasarkan Jarak. jarak dibagi menjadi 3, yaitu :

Laporan Resmi Praktikum Keamanan Data. Labba Awwabi Politeknik Elektronika Negeri Surabaya

Jaringan Komputer Dasar

ANALISA PERBANDINGAN KINERJA CACHE PROXY SERVER ANTARA METODE PROXY INTERNAL DAN EXTERNAL

BAB I PENDAHULUAN. 1.1 Latar Belakang

TCP dan Pengalamatan IP

BAB II LANDASAN TEORI

Dosen Pengampu : Muhammad Riza Hilmi, ST.

LAPORAN RESMI PRAKTIKUM KEAMANAN DATA LAPORAN RESMI KONFIGURASI FIREWALL [IPTABLES]

Gambar.3.2. Desain Topologi PLC Satu Terminal

Konfigurasi Dan Instalasi Jaringan( TCP/IP ) Di Windows Server 2003

BAB II TINJAUAN PUSTAKA 2.1 Penelitian Terdahulu

Transkripsi:

BAB 12 FIREWALL Sumber: Elizabeth Zwicky, et.al, Building Internet Firewalls, 2 nd edition. O Riley & Associates, 2000. 1. Introduksi Dalam dunia nyata, firewall adalah dinding (bergerak) yang bisa memisahkan ruangan, sehingga kebakaran pada suatu ruangan tidak menjalar ke ruangan lainnya. Tapi sebenarnya firewall di Internet lebih seperti parit pertahanan disekeliling benteng, yakni mempertahankan terhadap serangan dari luar. Gunanya: - membatasi gerak orang yang masuk ke dalam jaringan internal - membatasi gerak orang yang keluar dari jaringan internal - mencegah penyerang mendekati pertahanan yang berlapis Jadi yang keluar masuk firewall harus acceptable. Firewall merupakan kombinasi dari router, server, dan software pelengkap yang tepat. Jarang yang berupa box, dan kalaupun dalam bentuk box, harus dikonfigurasikan dengan benar. 78

Apa yang bisa dilakukan oleh firewall? 1. Firewall adalah choke point, yakni pusat checkpoint sekurit. Lebih baik memusatkan keluar masuk pada satu titik ketimbang harus melakukan pemantai di semua tempat. 2. Firewall bisa memaksakan sekuriti policy. Misalnya jangan sampai ada orang luar yang bisa mengakses directory service dari perusahaan yang berisis arsip pegawai. 3. Firewall bisa mencatat aktifitas Internet dengan efektif, termasuk yang gagal melakukan hacking 4. Firewall bisa membatasi orang lain mengintip-intip jaringan internal, dan kalaupun terhack, maka yang kena hack cuma bagian tertentu saja. Apa yang tidak dapat dilakukan firewall? 1. Firewall tidak bisa melindungi dari serangan orang dalam 2. Firewall tidak bisa melindungi serangan yang tidak melalui firewall tersebut (tidak melalui chocke point). Misalnya ada yang memasang dial-up service, sehingga jaringan bisa diakses lewat modem. 3. Firewall tidak bisa melindungi jaringan internal terhadap serangan-serangan model baru. 4. Firewall tidak bisa melindungi jaringan terhadap virus. 2. Beberapa prinsip keamanan 1. Least previlage: artinya setiap orang hanya diberi hak akses tidak lebih dari yang dibutuhkan untuk menjalankan tugasnya. 2. Defense in Depth: gunakan berbagai perangkat keamanan untuk saling membackup. Misalnya dapat dipergunakan multiple screening router, sehingga kalau satu dijebol, maka yang satu lagi masih berfungsi. 3. Choke point: semua keluar masuk lewat satu (atau sedikit) gerbang. Syaratnya tidak ada cara lain keluar masuk selain lewat gerbang. 4. Weakest link: a chain is only as strong as its weakest link. Oleh karena itu kita harus tahu persis dimana weakest link dalam sistem sekuriti organisasi kita. 5. Fail-Safe Stance: maksudnya kalau suatu perangkat keamanan rusak, maka secara default perangkat tersebut settingnya akan ke setting yang paling aman. Misalnya: kapal selam di Karibia kalau rusak mengapung, kunci elektronik kalau tidak ada power akan unlock, packet filtering kalau rusak akan mencegah semua paket keluar-masuk. 6. Universal participation: semua orang dalam organisasi harus terlibat dalam proses sekuriti. 7. Diversity of Defense: mempergunakan beberapa jenis sistem yang berbeda untuk pertahanan. Maksudnya, kalau penyerang sudah menyerang suatu 79

jenis sistem pertahanan, maka dia tetap akan perlu belajar sistem jenis lainnya. 8. Simplicity: jangan terlalu kompleks, karena sulit sekali mengetahui salahnya ada di mana kalau sistem terlalu kompleks untuk dipahami. 1. Beberapa Definisi Firewall: komponen-komponen yang membatasi akses antara jaringan internal dengan Internet, atau antar-jaringan Bastion host: Komputer yang harus dibuat sangat aman dan sering menjadi titik serang karena terbuka di Internet Dual-homed host: Komputer yang setidaknya memiliki 2 network interface Packet filtering: tindakan untuk menyeleksi arus keluar masuk paket dalam jaringan. Sering disebut screening. Perimeter network: jaringan diantara Internet dengan intranet, yang juga sering disebut De-Militerized Zone (DMZ). Proxy server: program yang berhubungan dengan server di Internet/extranet, mewakili klien yang ada di dalam intranet. 2. Packet Filtering Router yang dipergunakan untuk packet filtering disebut screening router. Yang bisa dijadikan informasi dari paket TCP/IP adalah: - IP address asal - IP address tujuan - Protokol: UDP, TCP atau ICMP 80

- TCP / UDP port asal - TCP / UDP port tujuan - jenis pesan ICMP Selain itu router juga bisa tahu pada sisi mana paket itu akan keluar atau telah masuk. Contoh operasi screening router: a. blok semua akses dari luar ke dalam, kecuali SMPT agar bisa terima e-mail b. blok semua akses dari dan ke situs yang dipercaya c. mengizinkan e-mail dan FTP, tetapi tidak mengizinkan rlogin, rsh dsb. Bedanya screening router dengan router biasa apa? Screening router selain menentukan kemana sebuah paket dikirim, juga menentukan apakah paket tersebut boleh dikirimkan atau ditolak. 5. Proxy Service Proxy bisa ditempatkan di dual-homed host atau dalam bastion host dalam firewall. Proxy adalah application-level gateway. Proxy server membuat ilusi terhadap klien dalam Intranet bahwa sang klien sedang berhubungan langsung dengan server-server di Internet. Sedangkan pada server yang di Internet, seolah-oleh berhubungan dengan user yang sedang bekerja di komputer proxy server. Proxy server digunakan bersama-sama dengan mekanisme lain yang mencegah akses langsung klien internal ke host di Internet/extranet. Misalnya: proxy server diletakkan di dual-homed host. Contoh yang paling umum adalah HTTP Proxy server. 81

3. Arsitektur Firewall 3.1 Dual-homed Host Architecture Meskipun dual homed host bisa menjadi router, namun untuk menjadi firewall lalu lalu-lintas IP dalam arsitektur ini benar-benar di-blok. Jadi kalau ada paket yang mau keluar masuk, harus lewat proxy. 3.2 Screened Host Architecture Menggunakan bastion host yang diletakkan dalam intranet, dan seluruh komunikasi keluar masuk harus melalui proxy pada bastion dan kemudian melalui screening router. 82

Sekilas terlihat bahwa dual-homed architecture lebih aman, tetapi dalam prakteknya banyak kegagalan sistem yang memungkinkan paket lewat dari satu sisi ke sisi lainnya dalam dual homed architecture. Jadi alasan utama menggunakan screened host architecture adalah karena router lebih mudah diamankan ketimbang sebuah komputer/host. Kejelekan utama kedua-duanya adalah mereka memiliki single point of failure. 3.3 Screened Subnet Architecture Apa alasannya? Bastion host sering menjadi target serangan. Jadi idenya adalah kalau bastion host berhasil dibobol, jangan sampai penyerang masuk ke dalam jaringan internal. Oleh karena itu bastion host diletakkan di perimeter network (DMZ). Untuk membobol jaringan, hacker harus menyerang exterior router dan interior router. Ada juga yang memiliki perimeter berlapis, dimana syaratnya agar efektif adalah sistem pertahan tiap lapis harus berbeda-beda. Perimeter Network Kalau ada orang yang berhasil menembus ke exterior router dan bastion, maka sang penyerang hanya bisa melihat paket yang berkeliaran di perimeter network saja. Jadi lalu-lintas komunikasi pada jaringan internal (yang relatif sensitif) tidak dapat dilihat oleh penyerang dari perimeter network. 83

Bastion Host Bertindak sebagai titik masuk koneksi dari luar, termasuk SMTP, FTP dan DNS. Sedangkan untuk melakukan koneksi dari client ke server di Internet dapat dilakukan dengan 2 cara: - mengizinkan router-router agar klien bisa berhubungan dengan server Internet secara langsung - menggunakan proxy server pada bastion Interior router (choke router) Melindungi internal network dari Internet dan perimeter network. Sebaiknya lalulintas yang diizinkan antara bastion dengan client, hanyalah yang pentingpenting saja. Misalnya hubungan SMTP antara bastion dengan mail server internal. Perhatikan komputer server internal apa saja yang terhubung dengan bastion, karena itulah yang akan menjadi target serangan jika bastion berhasil dihancurkan oleh hacker. Exterior router (access router) Pada prakteknya mengizinkan banyak paket keluar, dan hanya sedikit memfilter paket masuk. Namun, biasanya untuk screening network internal, settingnya sama antara internal dan external router. Tugas utama external router adalah untuk memblok paket yang memiliki alamat yang palsu dari luar (karena berusaha menyamar dengan alamat IP salah satu host dalam internal network). Karena pasti dari Internet. Kenapa tidak di internal router? Karena masih bisa dari perimeter net yang sedikit lebih trusted. 84

4. Variasi Arsitektur Firewall 4.1 Menggunakan Banyak Bastion OKAY Alasan penggunannya: - kinerja - redundancy & backup - jenis server yang berbeda Bisa juga bastion yang berbeda untuk menangani ingoing dan outgoing packet. Bisa juga memisah WWW server dan FTP server dengan maksud agar kalau salah satu berhasil dijebol, maka tetap saja hacker perlu menyerang yang satu lagi. 85

4.2 Menggabungkan Router Internal dengan Router External - OKAY Hanya bisa dilakukan kalau routernya cukup canggih dan fleksibel dan mendukung multiple segment: Internet, perimeter network dan internal network. Manajemennya lebih mudah, tetapi menyebabkan router itu menjadi single point of failure. 86

4.3 Menggabungkan Bastion dengan Exterior router OKAY Misalnya dalam kasus dimana ada dial-up service. Bastionnya adalah dualhomed host, dan dipasangi server PPP/SLIP. Nah siapapun dari luar yang mengakses bastion akan dianggap sebagai orang asing / Internet. Kita kemudian bisa juge memasang software router dalam bastion. Memang lambat tetapi mencukupi untuk dial-up service. Kalau bisa software routernya adalah punya kemampuan packet filtering (misalnya Morning Star PPP). Tapi tidak terlalu penting. Jangan meletakkan dial-up service di dalam jaringan internal (intranet)! 87

4.4 JANGAN Menggabungkan Bastion dengan Interior Router Extenal router dan bastion melakukan tugas yang berbeda, dan interior router bertugas membackup mereka. Dalam kasus ini, kita akan memiliki arsitektur screened host firewall. Jika bastion dibobol hacker, maka intranet akan kebobolan juga. 88

4.5 JANGAN Menggunakan Multiple Interior Router Masalahnya: - router bisa menduga bahwa cara tercepat untuk mengirimkan paket antar internal host adalah melalui perimeter network, bukan melalui internal network seperti seharusnya. Ini bisa terjadi kalau settingnya ada yang salah. - sulit menjaga konfigurasi banyak router internal 89

Konfigurasi yang diperkenankan: Konfigutasi untuk multiple segment dalam intranet: 90

4.6 Menggunakan Multiple Exterior Router - OKAY Penggunaan beberapa router exterior dapat disebabkan karena: - menggunakan beberapa Internet gateway / service provider untuk redundancy - ada koneksi ke Internet dan koneksi ke extranet lainnya (misalnya ke supplier). Tapi kalau ada orang berhasil membobol exterior router yang terhubung ke Internet, maka orang itu akan bisa melihat komunikasi antara kita dengan supplier. Oleh karena itu bisa pakai multiple perimeter network. 91

4.7 Menggunakan Multiple Perimeter Network OKAY Disini kalau perimeter network Internet kebobolan hacker, hacker tetap tidak bisa melihat data yang dipertukarkan antara internal network dengan supplier network. 92

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan