FIREWALL: SEKURITI INTERNET

dokumen-dokumen yang mirip
Firewall. Pertemuan V

Firewall. Pertemuan V

FIREWALL NUR FISABILILLAH, S.KOM, MMSI

Indra Dermawan ( )

TUGAS JURNAL JARINGAN KOMPUTER OPTIMALISASI FIREWALL PADA JARINGAN SKALA LUAS DISUSUN OLEH MARCO VAN BASTEN

OPTIMALISASI FIREWALL PADA JARINGAN KOMPUTER BERSKALA LUAS Nanan Abidin

Firewall. Instruktur : Ferry Wahyu Wibowo, S.Si., M.Cs.

MENGOPTIMALKAN SUATU SISTEM FIREWALL PADA JARINGAN SKALA GLOBAL

Jaringan komputer bukanlah sesuatu yang baru saat ini. Hampir di setiap perusahaan

SISTEM KEAMANAN JARINGAN KOMPUTER. Mata kuliah Jaringan Komputer Jurusan Teknik Informatika Irawan Afrianto, MT

BAB 12 FIREWALL. 1. Introduksi. Sumber: Elizabeth Zwicky, et.al, Building Internet Firewalls, 2 nd edition. O Riley & Associates, 2000.

BAB 15 KEAMANAN JARINGAN DENGAN FIREWALL

UNIVERSITAS GUNADARMA

KEAMANAN JARINGAN KOMPUTER. Kemal Ade Sekarwati

UNIVERSITAS GUNADARMA

KEAMANAN JARINGAN FIREWALL DI HOST DAN SERVER KEAMANAN JARINGAN

PENGAMANAN JARINGAN KOMPUTER

3. apa yang anda ketahui tentang firewall? A. Pengertian Firewall

FireWall. Ahmad Muammar. W. K. Lisensi Dokumen: PENGANTAR

UJI COBA TEKNOLOGI SECURITY FIREWALL PADA SYSTEM NETWORKING DENGAN MENGGUNAKAN MICROSOFT FOREFRONT THREAT MANAGEMENT GATEWAY

METODE PENELITIAN. B. Pengenalan Cisco Router

file:///c /Documents%20and%20Settings/Administrator/My%20Documents/My%20Web%20Sites/mysite3/ebook/pc/Firewall.txt

Mengamankan Sistem Informasi. Gentisya Tri Mardiani, S.Kom

Daftar Isi iii

Vpn ( virtual Private Network )

TCP dan Pengalamatan IP

KEAMANAN JARINGAN. Sistem Keamanan Komputer. 1. Membatasi Akses ke Jaringan. A. Membuat tingkatan akses :

Firewall & WEB SERVICE

UJI COBA TEKNOLOGI SECURITY FIREWALL PADA SYSTEM NETWORKING DENGAN MENGGUNAKAN MICROSOFT FOREFRONT THREAT MANAGEMENT GATEWAY

Kuta Kunci: IAN, Packet Filtering, Protokol, Proxy

TUJUAN PEMBELAJARAN: 1. Mengenalkan pada mahasiswa tentang konsep dasar firewall 2. Mahasiswa mampu melakukan proses filtering menggunakan iptables

FIREWALL. Diajukan untuk Memenuhi Salah Satu Tugas Security. Disusun Oleh: Khresna A.W ( )

A I S Y A T U L K A R I M A

TUGAS RESUME PAPER KEAMANAN KOMPUTER IDENTITAS PAPER ANALISIS PERANCANGAN DAN IMPLEMENTASI FIREWALL DAN TRAFFIC FILTERING MENGGUNAKAN CISCO ROUTER

Andi Dwi Ryanto, M.Kom

Keamanan Virus Komputer dan Firewall

TUJUAN PEMBELAJARAN: 1. Mengenalkan pada mahasiswa tentang konsep dasar firewall 2. Mahasiswa mampu melakukan proses filtering menggunakan iptables

SISTEM KEAMANAN JARINGAN DENGAN FIREWALL KATA PENGANTAR

Jenis-jenis Firewall. Firewall terbagi menjadi dua jenis, yakni sebagai berikut

Network Security: Apa Dan Bagaimana?

PENGAMANAN. jaringan komputer. Konsep dasar jaringan komputer Bentuk-bentuk ancaman terhadap jaringan. komputer. Bentuk pengendalian terhadap keamanan

PENGAMANAN JARINGAN KOMUTER

PENDIDIKAN TEKNIK INFORMATIKA TEKNIK ELEKTRONIKA FAKULTAS TEKNIK UNIVERSITAS NEGERI PADANG

AMALIA ZAKIYAH 1 D4LJ-TI

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

PROSEDUR KEAMANAN JARINGAN SPMI - UBD

IP Subnetting dan Routing (1)

BAB I PENDAHULUAN. A. Latar Belakang Masalah. Dalam beberapa tahun terakhir ini Internet tidak saja berkembang sebagai

BAB 4 PERANCANGAN DAN EVALUASI. jaringan ke jaringan lain. Semua paket melewati firewall dan tidak ada paket yang keluar

KEAMANAN KOMPUTER. Pertemuan 10

BAB III LANDASAN TEORI. MikroTikls atau yang lebih di kenal dengan Mikrotik didirikan tahun 1995

Modul 11 Access Control Lists (ACLs)

Agus Aan Jiwa P.

Access-List. Oleh : Akhmad Mukhammad

PRAKTIKUM 3 Konfigurasi Firewall [iptables]

MAKALAH WEB APPLICATION FIREWALL (WAF) Mata Kuliah : Keamanan Sistem Informasi Dosen : Leonardi Paris, S.Kom, M.Kom

BAB 4 IMPLEMENTASI DAN UJI COBA

BAB III Firewall Sebagai Pelindung dalam Jaringan Komputer

Laporan Resmi Praktikum Keamanan Data. Labba Awwabi Politeknik Elektronika Negeri Surabaya

Prinsip Kerja. Pengendalian akses layanan berdasarkan : Pengendalian arah komunikasi

ACL ( Access Control List )

STANDARD OPERATING PROCEDURE

BAB I PENDAHULUAN. 1.1 Latar Belakang

STANDARD OPERATIONAL PROCEDURE F I R E W A L L

BAB I PENDAHULUAN. Di masa sekarang ini, internet sangat berperan besar. Internet digunakan

Definisi Tujuan Prinsip-prinsip disain firewall. Karakteristik firewall Jenis-jenis firewalls Konfigurasi firewall. Cara Kerja Firewall

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

KEAMANAN JARINGAN KOMPUTER

Cara Setting IP Address DHCP di

PENDAHULUAN. Bab Latar Belakang

Application Layer. Electronic Engineering Polytechnic Institut of Surabaya ITS Kampus ITS Sukolilo Surabaya 60111

BAB III LANDASAN TEORI. Packet Tracer adalah sebuah perangkat lunak (software) simulasi jaringan

Bab I Pendahuluan BAB I PENDAHULUAN 1.1 LATAR BELAKANG

MODUL 5 ACCESS CONTROL LIST

BAB III METODOLOGI. beragam menyebabkan network administrator perlu melakukan perancangan. suatu jaringan dapat membantu meningkatkan hal tersebut.

Praktikum ROUTER DENGAN IP MASQUERADE

BAB III METODE PENELITIAN DAN PERANCANGAN SISTEM. jaringan. Topologi jaringan terdiri dari 3 client, 1 server, dan 2 router yang

BAB 1 PENDAHULUAN. yang jarak dekat ataupun jarak jauh. Namun dewasa ini jaringan telah menjadi produk

Konfigurasi Dan Instalasi Jaringan( TCP/IP ) Di Windows Server 2003

Memahami cara kerja TCP dan UDP pada layer transport

MENGENAL PROTOCOL TCP IP


3. 3 Application Layer Protocols and Services Examples

Naufal Ilham Ramadhan SOAL

Access Control List (ACL)

Dasar Pemrograman Web. Pemrograman Web. Adam Hendra Brata

(Mengatasi Remote Attack)

BAB IV. Mengamankan Sistem Informasi

Rancang Bangun Proxy Anti Virus Berbasis Linux dan Mikrotik

BAB 2 LANDASAN TEORI. tujuan yang sama. Tujuan dari jaringan komputer adalah: komputer meminta dan memberikan layanan (service). Pihak yang meminta

A. TUJUAN PEMBELAJARAN

Jaringan Komputer - Jilid V

PENGGUNAAN SPOOFING DAN SSH FORWARDING UNTUK KEAMANAN SERTA FILTRASI DATA PADA JARINGAN

Kelompok 1. Anggota : BOBBY KURNIAWAN NIA FITRIANA ARI FEBRYANSYAH DIAN ULUMIA ORIN HARITSA YASSER

Analisis dan Implementasi Metode Demilitarized Zone (DMZ) untuk Keamanan Jaringan pada LPSE Kota Palembang

Komunikasi Data STMIK AMIKOM Yogyakarta Khusnawi, S.Kom, M.Eng. TCP/IP Architecture

Pengelolaan Jaringan Sekolah

A I S Y A T U L K A R I M A

UJI KOMPETENSI KEAHLIAN TEKNIK KOMPUTER JARINGAN - PAKET 2

Praktikum 2, DHCP ( Dynamic Host Control Protocol ) 1. Pengertian DHCP

Transkripsi:

FIREWALL: SEKURITI INTERNET Eueung Mulyana & Onno W. Purbo Computer Network Research Group ITB Internet merupakan sebuah jaringan komputer yang sangat terbuka di dunia, konsekuensi yang harus di tanggung adalah tidak ada jaminan keamanan bagi jaringan yang terkait ke Internet. Artinya jika operator jaringan tidak hati-hati dalam menset-up sistemnya, maka kemungkinan besar jaringan yang terkait ke Internet akan dengan mudah dimasuki orang yang tidak di undang dari luar. Adalah tugas dari operator jaringan yang bersangkutan, untuk menekan resiko tersebut seminimal mungkin. Pemilihan strategi dan kecakapan administrator jaringan ini, akan sangat membedakan apakah suatu jaringan mudah ditembus atau tidak. Firewall merupakan alat untuk mengimplementasikan kebijakan security (security policy). Sedangkan kebijakan security, dibuat berdasarkan perimbangan antara fasilitas yang disediakan dengan implikasi security-nya. Semakin ketat kebijakan security, semakin kompleks konfigurasi layanan informasi atau semakin sedikit fasilitas yang tersedia di jaringan. Sebaliknya, dengan semakin banyak fasilitas yang tersedia atau sedemikian sederhananya konfigurasi yang diterapkan, maka semakin mudah orang orang usil dari luar masuk kedalam sistem (akibat langsung dari lemahnya kebijakan security). Tulisan ini akan mencoba melihat beberapa kebijakan sekuriti yang lazim digunakan pada saat mengkaitkan sebuah jaringan ke Internet. FIREWALL Firewall adalah istilah yang biasa digunakan untuk menunjuk pada suatu komponen atau sekumpulan komponen jaringan, yang berfungsi membatasi akses antara dua jaringan, lebih khusus lagi, antara jaringan internal dengan jaringan global Internet. Firewall mempunyai beberapa tugas: Pertama dan yang terpenting adalah: harus dapat mengimplementasikan kebijakan security di jaringan (site security policy). Jika aksi tertentu tidak diperbolehkan oleh kebijakan ini, maka firewall harus meyakinkan bahwa semua usaha yang mewakili operasi tersebut harus gagal atau digagalkan. Dengan demikian, semua akses ilegal antar jaringan (tidak diotorisasikan) akan ditolak. Melakukan filtering: mewajibkan semua traffik yang ada untuk dilewatkan melalui firewall bagi semua proses pemberian dan pemanfaatan layanan informasi. Dalam konteks ini, aliran paket data dari/menuju firewall, diseleksi berdasarkan IP-address, nomor port, atau arahnya, dan disesuaikan dengan kebijakan security. Firewall juga harus dapat merekam/mencatat even-even mencurigakan serta memberitahu administrator terhadap segala usaha-usaha menembus kebijakan security. MERENCANAKAN JARINGAN DENGAN FIREWALL

Merencanakan sistem firewall pada jaringan, berkaitan erat dengan jenis fasilitas apa yang akan disediakan bagi para pemakai, sejauh mana level resiko-security yang bisa diterima, serta berapa banyak waktu, biaya dan keahlian yang tersedia (faktor teknis dan ekonomis). Firewall umumnya terdiri dari bagian filter (disebut juga screen atau choke) dan bagian gateway (gate). Filter berfungsi untuk membatasi akses, mempersempit kanal, atau untuk memblok kelas trafik tertentu. Terjadinya pembatasan akses, berarti akan mengurangi fungsi jaringan. Untuk tetap menjaga fungsi komunikasi jaringan dalam lingkungan yang ber-firewall, umumnya ditempuh dua cara: Pertama, bila kita bayangkan jaringan kita berada dalam perlindungan sebuah benteng, komunikasi dapat terjadi melalui pintu-pintu keluar benteng tersebut. Cara ini dikenal sebagai packet-filtering, dimana filter hanya digunakan untuk menolak trafik pada kanal yang tidak digunakan atau kanal dengan resiko-security cukup besar, sedangkan trafik pada kanal yang lain masih tetap diperbolehkan. Cara kedua, menggunakan sistem proxy, dimana setiap komunikasi yang terjadi antar kedua jaringan harus dilakukan melalui suatu operator, dalam hal ini proxy server. Beberapa protokol, seperti telnet dan SMTP(Simple Mail Transport Protocol), akan lebih efektif ditangani dengan evaluasi paket (packet filtering), sedangkan yang lain seperti FTP (File Transport Protocol), Archie, Gopher dan HTTP (Hyper-Text Transport Protocol) akan lebih efektif ditangani dengan sistem proxy. Kebanyakan firewall menggunakan kombinasi kedua teknik ini (packet filtering dan proxy). Ada banyak literatur yang membahas masalah security & membagi arsitektur dasar firewall menjadi tiga jenis. Masing masing adalah: arsitektur dengan dual-homed host (kadang kadang dikenal juga sebagai dual homed gateway/ DHG) screened-host (screened host gateway/ SHG) screened subnet (screened subnet gateway/ SSG). Sistem DHG menggunakan sebuah komputer dengan (paling sedikit) dua networkinterface. Interface pertama dihubungkan dengan jaringan internal dan yang lainnya dengan Internet. Dual-homed host nya sendiri berfungsi sebagai bastion host (front terdepan, bagian terpenting dalam firewall). Internet bastion host Arsitektur dengan dual-homed host Pada topologi SHG, fungsi firewall dilakukan oleh sebuah screening-router dan bastion host. Router ini dikonfigurasi sedemikian sehingga akan menolak semua trafik kecuali

yang ditujukan ke bastion host, sedangkan pada trafik internal tidak dilakukan pembatasan. Dengan cara ini setiap client servis pada jaringan internal dapat menggunakan fasilitas komunikasi standard dengan Internet tanpa harus melalui proxy. Internet router bastion-host Arsitektur dengan screened-host Firewall dengan arsitektur screened-subnet menggunakan dua screening-router dan jaringan tengah (perimeter network) antara kedua router tersebut, dimana ditempatkan bastion host. Kelebihan susunan ini akan terlihat pada waktu optimasi penempatan server. Arsitektur dengan screened-subnet Internet router eksternal router internal jaringan tengah bastion-host Selanjutnya, bagaimana relevansi arsitektur firewall tersebut terhadap level security? Suatu jaringan harus dapat menangani interaksi client-server, tidak terkecuali dengan kehadiran firewall. Sejauh ini, untuk operasi client internal - server internal, atau client internal - server eksternal, tidak terlalu menimbulkan masalah. Jika kita akan membuat sistem firewall untuk jaringan demikian, hanya dengan memasang proxy server pada bastion host dalam arsitektur yang dipilih, kualitas proteksi firewall yang bersangkutan akan maksimal. Artinya keselamatan seluruh jaringan, sekarang hanya tergantung pada baik-tidaknya atau seberapa bagus firewall tersebut dan tidak tergantung pada program-program yang lain. Beda halnya bila jaringan kita akan mendukung operasi client eksternal - server internal, atau dengan kata lain: jaringan internal kita menyediakan layanan informasi yang dapat diakses dari luar. Dalam konteks ini, harus diperhitungkan metoda penempatan mesin yang menjalankan program server, supaya mesin tersebut dapat dikenali dari internet dan sedemikian, komunikasi dengan client-nya dapat berlangsung dengan baik tanpa mengorbankan kepentingan security. Arsitektur dual-homed menawarkan solusi sederhana dan murah. Satu-satunya mesin yang dikenal dari internet dalam sistem ini adalah dual-homed host-nya sendiri, dan dengan demikian ia menjadi satu-satunya mesin alternatif untuk menjalankan

program server. Tetapi akan bermanfaat untuk mengingat, bahwa semakin banyak layanan yang disediakan atau semakin banyak program yang berjalan pada bastion-host, maka peluang penyusupan ke komputer tersebut semakin besar. Karena, seperti diyakini banyak orang, hampir dipastikan tidak ada program apapun yang bebas sama sekali dari bugs, apalagi untuk program-program berukuran besar. Dan sekali bugs ini dapat dieksploitasi oleh seseorang yang kemudian masuk ke dalam bastion-host, maka seluruh komputer di jaringan kita akan menjadi terbuka! Jika faktor ekonomis memaksa kita untuk tetap mengimplementasikan arsitektur DHG, maka ada beberapa nasihat yang patut diperhatikan, diantaranya: menggunakan perangkat lunak server yang telah teruji relatif aman serta berukuran kecil, mereduksi dan mengoptimasi jumlah program yang berjalan, kemudian tidak memberikan account reguler pada bastion-host. Dua arsitektur lainnya, screened-host dan screened-subnet, menyediakan pilihan lebih banyak. Screening-router dapat diatur untuk melakukan operasi packet filtering yang memungkinkan mesin-mesin tertentu dapat dikenali dari luar. Mesin mesin ini, kemudian menjalankan program-program server yang dapat diakses dari internet. Resiko dengan metoda seperti ini adalah penambahan jumlah komputer yang mungkin untuk diserang, sehingga akan lebih baik jika sebelumnya kita menyiapkan mesin-mesin tersebut dengan level security paling tidak sama dengan bastion-host atau kalau bisa, lebih. PACKET FILTERING Berbagai kebijakan dapat diterapkan dalam melakukan operasi packet filtering. Pada intinya, berupa mekanisme pengontrollan data yang diperbolehkan mengalir dari dan/atau ke jaringan internal, dengan menggunakan beberapa parameter yang tercantum dalam header paket data: arah (inbound atau outbound), address asal dan tujuan, port asal dan tujuan, serta jenis protokol transport. Router akan mengevaluasi informasi ini dalam setiap paket data yang mengalir melaluinya, kemudian menetapkan aksi yang harus dilakukan terhadap paket tersebut, berdasarkan set aturan/program dalam packet-filtering. Sehingga keputusan routing dasar router tersebut, kemudian dilengkapi dengan bagian dari kebijakan security jaringan. Tabel berikut akan menunjukan contoh konfigurasi operasi packet-filtering, untuk menyediakan hanya fasilitas SMTP inbound dan outbound pada jaringan. Aturan arah address asal address protokol port aksi tujuan tujuan A masuk eksternal internal TCP 25 ok B keluar internal eksternal TCP >1023 ok C keluar internal eksternal TCP 25 ok D masuk eksternal internal TCP >1023 ok E sembaran g sembarang sembarang sembarang sembarang deny

Aturan A dan B melayani hubungan SMTP inbound (email datang), aturan C dan D melayani hubungan SMTP outbound (email keluar) serta aturan E merupakan aturan default yang dilakukan bila aturan aturan sebelumnya gagal. Kalau diamati lebih dekat, selain trafik SMTP konfigurasi tersebut juga masih membolehkan hubungan masuk dan keluar pada port >1023 (aturan B dan D), sehingga terdapat kemungkinan bagi programprogram server seperti X11 (port 6000), OpenWindows (port 2000), atau kebanyakan program basis-data (Sybase, Oracle, Informix, dll), untuk dihubungi dari luar. Untuk menutup kemungkinan ini, diperlukan evaluasi parameter lain, seperti evaluasi port asal. Dengan cara ini, satu-satunya celah menembus firewall adalah dengan menggunakan port SMTP. Bila kita masih juga kurang yakin dengan kejujuran para pengguna port ini, dapat dilakukan evaluasi lebih lanjut dari informasi ACK. PROXY Dalam jaringan yang menerapkan sistem proxy, hubungan komunikasi ke internet dilakukan melalui sistem pendelegasian. Komputer-komputer yang dapat dikenali oleh internet bertindak sebagai wakil bagi mesin lain yang ingin berhubungan ke luar. Proxy server untuk (kumpulan) protokol tertentu dijalankan pada dual-homed host atau bastionhost, dimana seluruh pemakai jaringan dapat berkomunikasi dengannya, kemudian proxy server ini bertindak sebagai delegasi. Dengan kata lain setiap program client akan berhubungan dengan proxy server dan proxy server ini lah yang akan berhubungan dengan server sebenarnya di internet. Proxy server akan mengevaluasi setiap permintaan hubungan dari client dan memutuskan mana yang diperbolehkan dan mana yang tidak. Bila permintaan hubungan ini disetujui, maka proxy server me-relay permintaan tersebut pada server sebenarnya. proxy server 3 2 client 1 server Keterangan: 2&3: hubungan yang sebenarnya terjadi 2: hubungan yang dirasakan oleh server 1: hubungan yang dirasakan oleh client Ada beberapa istilah menunjuk pada tipe proxy server, diantaranya proxy level aplikasi, proxy level circuit, proxy generik atau khusus, proxy cerdas dll. Apapun jenis proxy yang digunakan, ada beberapa konsekuensi implementasi sistem ini: pada umumnya memerlukan modifikasi client dan/atau prosedur akses serta menuntut penyediaan program server berbeda untuk setiap aplikasi. Penggunaan sistem proxy memungkinkan penggunaan private IP Address bagi jaringan internal. Konsekuensinya kita bisa memilih untuk menggunakan IP Address kelas A (10.x.x.x) untuk private IP address yang digunakan dalam jaringan internet;

sehingga komputer yang dapat tersambung dalam jaringan internal dapat mencapai jumlah jutaan komputer. Paket SOCKS atau TIS FWTK merupakan contoh paket perangkat lunak proxy yang sering digunakan dan tersedia bebas di internet. Penutup Masalah keamanan jaringan merupakan masalah yang sering di menjadi momok bagi rekan-rekan yang ingin mengkaitkan sebuah institusi ke Internet. Tulisan ini berharap untuk memberikan sedikit masukan awal yang menjelaskan bahwa ada beberapa teknik keamanan yang dapat menjamin sekuriti jaringan yang terkait ke Internet.

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan