KEAMANAN JARINGAN

Firewall

KELOMPOK 4:

I DEWA PUTU SATRIA LAKSANA ANGGARDA SANJAYA I PUTU DODY WIRAANDRYANA

(1108605028) (1108605034) (1108605036)

JURUSAN ILMU KOMPUTER FAKULTAS MATEMATIKA DAN ILMU PENGETAHUAN ALAM UNIVERSITAS UDAYANA 2013

Firewall
A. Pengenalan
Firewall merupakan sebuah teknologi yang dapat mencegah penyusup masuk kedalam sistem jaringan, dengan menggunakan Internet atau sistem jaringan lainnya, mengakses data atau aplikasi pada komputer anda yaitu dengan cara menolak data atau transmisi yang tidak diotorisasi masuk ke dalam sistem jaringan internal. Sebuah firewall mempelajari setiap paket data yang dikirim dari atau ke komputer kita dan melihatnya apakah sesuai dengan kriteria yang diberikan. Firewall kemudian akan menyeleksi paket mana yang bisa lewat atau yang harus diblok.

Gambar 1.Ilustrasi Penerapan Firewall

Firewall (dari buku Building Internet Firewalls, oleh Chapman dan Zwicky) didefinisikan sebagai sebuah komponen atau kumpulan komponen yang membatasi akses antara sebuah jaringan yang diproteksi dari internet, atau antara kumpulan-kumpulan jaringan lainnya. Firewall dapat berupa hardware dalam bentuk Router atau PC Router, atau software yang menjalankan sistem gateway, atau kombinasi keduanya. Dengan menggunakan Firewall maka kita dapat memproteksi paket-paket data yang dikirim ke jaringan internal.

Tujuan utama Firewall digunakan adalah untuk memastikan sumber-sumber yang tidak dipercayai yang berada di jaringan external memasuki dan menyusup kedalam jaringan internal. Secara umumnya boleh dikatakan bahwa Firewall mengimplementasikan keamanan sistem jaringan sehingga membatasi hak-hak akses bagi dunia jaringan internal maupun external. Maka, implementasi Firewall perlulah memilih sifat komuniti Firewall yang sesuai yang dapat mencapai tujuan kita terhindar dari gangguan pihak-pihak yang tidak diizinkan untuk masuk kedalam lingkungan internal kita.

B. Arsitektur Firewall
Ada beberapa arsitektur firewall diantaranya, yaitu: dual ported host, screened host dan screened subnet. Dual Ported Host Arsitektur Dual Ported host dibuat disekitar komputer dual-homed host, yaitu komputer yang memiliki paling sedikit dua interface jaringan. Untuk mengimplementasikan tipe arsitektur dual ported host, fungsi routing pada host ini di non-aktifkan. Sistem di dalam dan di luar firewall dapat berkomunikasi dengan dual ported host, tetapi kedua sistem ini tidak dapat berkomunikasi secara langsung.

Gambar 2.Arsitektur dual-ported host

Dual Ported host dapat menyediakan layanan hanya dengan menyediakan Proxy pada Host tersebut, atau dengan membiarkan user melakukan logging secara langsung pada Dual Ported Host.

Screened Host Arsitektur Screened Host menyediakan servis dari sebuah Host pada jaringan internal dengan menggunakan Router yang terpisah. Pada arsitektur ini, pengamanan utama dilakukan dengan package filtering.

Gambar 3.Arsitektur screened host

Bastion host berada dalam jaringan internal. Packet filtering pada screening router dikonfigurasi sehingga hanya bastion host yang dapat melakukan koneksi ke Internet (misalnya mengantarkan mail yang datang) dan hanya tipe-tipe koneksi tertentu yang diperbolehkan. Tiap sistem eksternal yang mencoba untuk mengakses sistem internal harus berhubungan dengan host ini terlebih dulu. Bastion host diperlukan untuk tingkat keamanan yang tinggi. Bastion Host adalah sistem/bagian yang dianggap tempat terkuat dalam sistem keamanan jaringan oleh administrator.atau dapat disebut bagian terdepan yang dianggap paling kuat dalam menahan serangan, sehingga menjadi bagian terpenting dalam pengamanan jaringan, biasanya merupakan komponen firewall atau bagian terluar sistem publik. Umumnya Bastion host akan menggunakan sistem operasi yang dapat menangani semua kebutuhan (misal , Unix, linux, NT).

Arsitektur Screened Subnet Arsitektur screened subnet menambahkan sebuah layer pengaman tambahan pada arsitekture screened host, yaitu dengan menambahkan sebuah jaringan perimeter yang lebih mengisolasi jaringan internal dari jaringan Internet.

Gambar 4.Arsitektur screened subnet

Jaringan perimeter mengisolasi bastion host sehingga tidak langsung terhubung ke jaringan internal. Arsitektur screened subnet yang paling sederhana memiliki dua buah screening router, yang masing-masing terhubung ke jaringan perimeter. Router pertama terletak di antara jaringan perimeter dan jaringan internal, dan router kedua terletak di antara jaringan perimeter dan jaringan eksternal (biasanya Internet). Untuk menembus jaringan internal dengan tipe arsitektur screened subnet, seorang intruder harus melewati dua buah router tersebut sehingga jaringan internal akan relatif lebih aman.

C. Pendekatan Firewall
Ada empat pendekatan yang digunakan dalam membuat firewall, yaitu : packet filtering, proxy server. Application proxy, dan SOCKS proxy.

Packet Filtering Sistem packet filtering melakukan packet routing antara jaringan internal dengan jaringan eksternal secara selektif. Sistem ini melewatkan atau memblok packet data yang lewat sesuai dengan aturan yang telah ditentukan. Router pada sistem ini disebut screening router.

Gambar 5.Packet Filterting dengan menggunakan screening router

Untuk mengetahui bagaimana cara kerja packet filtering, kita harus mengetahui perbedaan antara router biasa dengan sebuah screening router. Router biasa hanya melihat alamat IP tujuan dari suatu packet data dan mengarahkannya ke jalur yang terbaik agar packet data tersebut sampai ke tujuannya. Bila router tidak dapat melakukannya, packet data akan dikembalikan ke sumbernya. Screening router tidak hanya menentukan apakah router dapat melewatkan suatu packet data atau tidak, tetapi juga menerapkan suatu aturan yang akan menentukan apakah packet data tersebut akan dilewatkan atau tidak. Pemfilteran ini didasarkan pada : 1. IP sumber dan IP tujuan dari packet data 2. Port sumber dan port tujuan dari data 3. Protokol yang digunakan (TCP, UDP, ICMP, dan sebagainya) 4. Tipe pesan ICMP

Proxy Server Proxy server adalah aplikasi khusus atau program server yang berjalan pada host firewall; baik pada dual-homed host yang memiliki sebuah interface ke jaringan internal dan interface lain ke jaringan eksternal, atau pada bastion host yang memiliki akses ke Internet dan dapat diakses oleh mesin internal. Program ini menangani permintaan-permintaan untuk layanan Internet dari user dan melewatkannya ke service yang sebenarnya. Proxy menyediakan koneksi pengganti dan bertindak selaku gateway terhadap layanan tersebut. Oleh karena itu proxy sering juga disebut gateway level aplikasi.

Gambar 6.Penggunaan proxy server pada dual-home host Proxy server menghubungkan user pada jaringan internal dengan layanan pada Internet. User dan layanan tersebut tidak berkomunikasi secara langsung. Masing - masing berhubungan dengan proxy dan proxy yang menangani hubungan antara user dan layanan di belakang layar. Proxy server dapat membatasi apa yang dapat dilakukan oleh user, karena proxy dapat memutuskan apakah suatu request dari user diperbolehkan atau ditolak.

D. Model-Model Firewall
Terdapat 4 model Firewall dalam sistem keamanan jaringan, yaitu Packet Filtering Gateway, Application Layer Gateway, Circuit Level Gateway, dan Statefull Multilayer Inspection Firewall.

Packet Filtering Gateway Packet filtering gateway dapat diartikan sebagai firewall yang bertugas melakukan filterisasi terhadap paket-paket yang datang dari luar jaringan yang dilindunginya.

Gambar 7. Lapisan untuk Proses Packet Filtering Gateway

Internet Layer adalah layer bertanggungjawab dalam melakukan pengalamatan dan routing paket. Beberapa protokol yang bekerja pada layer ini, yaitu : IP (Internet Protocol) Digunakan oleh protokol TCP/IP untuk melakukan pengalamatan. IP identitas dari sebuah perangkat computer dalam pengeiriman data. protokol di internet yang mengurusi masalah pengalamatan dan mengatur pengiriman paket data hingga sampai ke alamat yang benar. (misalnya mw krim data ke komputer A, tanpa kita mengetahui alamat IP dari komputer A maka data tersebut tak akan bisa di kirim. ARP (Address Resolution Protocol) adalah protokol yang bertanggung jawab untuk menentukan MAC Address(Alamat Media Access Control) ketika alamat IP diketahui. Contoh seperti Saat komputer A ingin berkomunikasi dengan B, sistem akan memeriksa Memory Data(Cache) ARP terlebih dahulu untuk mengetahui apakah Informasi Alamat MAC dari B ada tercatat atau tidak. Jika tercatat , biasanya komunikasi dapat langsung

dilakukan. Jika Tidak, pada kondisi aktif host A harus mengakses ke MAC host B melalui Protokol ARP. Dalam kondisi perumpamaan , host A seperti menanyakan/ memeriksa ke host dari komputer lain didalam LAN tentang Informasi Host B yg mungkin ada tercatat pada Cache mereka. (Seperti Bertanya sebagai berikut Hallo, siapa 192.168.0.2? Disini 192.168.0.1. MAC gue adalah AA-AA-AA-AA-AA-AA. Berapa MAC kamu? Harap beritahukan ke Gue ) Contoh ini adalah bentuk ARP, seperti saat menggunakan Net Meeting. Jika Balasan / Accept dilakukan oleh Host B, saat itu fungsi ARP Terjadi. RARP (Reverse Address Resolution Protokol) Protokol yang bertanggung jawab untuk menentukan alamat IP ketika MAC Address diketahui. Analoginya Seperti, Client Mau melakukan Login pada sebuah Access Point di kampus. tanpa Di sadari, MAC Address si Client sudah Tercatat Pada Access Point Di kampus tersebut. Karena Hampir setiap Hari si Client Sering Memakai AP(access point) Untuk INET. Dan Pada saat Si Client Mw login Ke I-NET Otomatis Protokol RARP akan Bekerja Untuk Mengirim IP Kepada Si Client untuk login Ke internet. Nah Di sini Protokol RARP Bekerja Untuk Memberikan IP ke Si Client tersebut. ICMP (Internet Control Message Protokol) Adalah protokol yang berfungsi memberi informasi apabila ada kerusakan dalam proses pengiriman data. Contohnya seperti, Si Client A(Pengirim) Mau Mengirimkan Data Ke si Client B (penerima),Di Saat Melakukan Pengirim Data, Secara tiba2 Data Tersebut, Hilang atau Rusak. Nah Di sini Fungsi Dari Protokol ICMP Untuk Memberikan Informasi Kepada si Pengirim Si A, Bahwa Data Tersebut Hilang atau Rusak. Dan Si Client A Akan Melakukan Pengiriman ulang, Data tersebut. Intinya ICMP hanya Memberi tahu, Bkan Melakukan Pengiriman Data Ulang.

Application Layer Gateway Model firewall ini juga dapat disebut Proxy Firewall. Mekanismenya tidak hanya berdasarkan sumber, tujuan dan atribut paket, tapi bisa mencapai isi ( content ) paket tersebut.

Gambar 8.Web server dengan Firewall

Bila kita melihat dari sisi layer TCP/IP, firewall jenis ini akan melakukan filterisasi pada layer aplikasi ( Application Layer ).

Gambar 9. Proxy Firewall dilihat pada Model TCP/IP

Circuit Level Gateway

Model firewall ini bekerja pada bagian Lapisan transport dari model referensi TCP/IP. Firewall ini akan melakukan pengawasan terhadap awal hubungan TCP yang biasa disebut sebagai TCP Handshaking, yaitu proses untuk menentukan apakah sesi hubungan tersebut

diperbolehkan atau tidak. Bentuknya hampir sama dengan Application Layer Gateway , hanya saja bagian yang difilter terdapat ada lapisan yang berbeda, yaitu berada pada layer Transport.

Gambar 10. Circuit Level Gateway dilihat pada Model TCP/IP

Statefull Multilayer Inspection Firewall

Model firewall ini merupakan penggabungan dari ketiga firewall sebelumnya. Firewall jenis ini akan bekerja pada lapisan Aplikasi, Transport dan Internet. Dengan penggabungan ketiga model firewall yaitu Packet Filtering Gateway, Application Layer Gateway dan Circuit Level Gateway, mungkin dapat dikatakan firewall jenis ini merupakan firewall yang ,memberikan fitur terbanyak dan memeberikan tingkat keamanan yang paling tinggi.

Gambar 11. Statefull Multilayer Inspection Firewall dilihat pada Model TCP/IP

E. Karakteristik sebuah firewall

1. Seluruh hubungan/kegiatan dari dalam ke luar , harus melewati firewall. Hal ini dapat dilakukan dengan cara memblok/membatasi baik secara fisik semua akses terhadap jaringan Lokal, kecuali melewati firewall. Banyak sekali bentuk jaringan yang memungkinkan agar konfigurasi ini terwujud. 2. Hanya Kegiatan yang terdaftar/dikenal yang dapat melewati/melakukan hubungan, hal ini dapat dilakukan dengan mengatur policy pada konfigurasi keamanan lokal. Banyak sekali jenis firewall yang dapat dipilih sekaligus berbagai jenis policy yang ditawarkan. 3. Firewall itu sendiri haruslah kebal atau relatif kuat terhadap serangan/kelemahan. hal ini berarti penggunaan sistem yang dapat dipercaya dan dengan system yang relatif aman.

F. Teknik yang digunakan oleh sebuah firewall

1. Service control (kendali terhadap layanan) Berdasarkan tipe-tipe layanan yang digunakan di internet dan boleh diakses baik untuk kedalam ataupun keluar firewall. biasanya firewall akan mencek no ip address dan juga nomor port yang digunakan baik pada protokol tcp dan udp, bahkan bisa dilengkapi software untuk proxy yang akan menerima dan menterjemahkan setiap permintaan akan suatu layanan sebelum mengijinkannya. Bahkan bisa jadi software pada server itu sendiri , seperti layanan untuk web ataupun untuk mail. 2. Direction Conrol (kendali terhadap arah) Berdasarkan arah dari berbagai permintaan (request) terhadap layanan yang akan dikenali dan diijinkan melewati firewall. 3. User control (kendali terhadap pengguna) Berdasarkan pengguna/user untuk dapat menjalankan suatu layanan, artinya ada user yang dapat dan ada yang tidak dapat menjalankan suatu servis,hal ini di karenakan user tersebut tidak di ijinkan untuk melewati firewall. Biasanya digunakan untuk membatasi

user dari jaringan lokal untuk mengakses keluar, tetapi bisa juga diterapkan untuk membatasi terhadap pengguna dari luar. 4. Behavior Control (kendali terhadap perlakuan) Berdasarkan seberapa banyak layanan itu telah digunakan. Misal, firewall dapat memfilter email untuk menanggulangi/mencegah spam.

G. Langkah-Langkah Membangun firewall

1. Mengidenftifikasi bentuk jaringan yang dimiliki Mengetahui bentuk jaringan yang dimiliki khususnya toplogi yang di gunakan serta protocol jaringan, akan memudahkan dalam mendesain sebuah firewall 2. Menentukan Policy atau kebijakan Penentuan Kebijakan atau Policy merupakan hal yang harus di lakukan, baik atau buruknya sebuah firewall yang di bangun sangat di tentukan oleh policy/kebijakan yang di terapkan. Diantaranya: a) Menentukan apa saja yang perlu di layani. Artinya, apa saja yang akan dikenai policy atau kebijakan yang akan kita buat b) Menentukan individu atau kelompok-kelompok yang akan dikenakan policy atau kebijakan tersebut c) Menentukan layanan-layanan yang di butuhkan oleh tiap tiap individu atau kelompok yang menggunakan jaringan d) Berdasarkan setiap layanan yang di gunakan oleh individu atau kelompok tersebut akan ditentukan bagaimana konfigurasi terbaik yang akan membuatnya semakin aman e) Menerapkankan semua policy atau kebijakan tersebut

3. Menyiapkan Software atau Hardware yang akan digunakan Baik itu operating system yang mendukung atau software-software khusus pendukung firewall seperti ipchains, atau iptables pada linux, dsb. Serta konfigurasi hardware yang akan mendukung firewall tersebut. 4. Melakukan test konfigurasi Pengujian terhadap firewall yang telah selesai di bangun haruslah dilakukan, terutama untuk mengetahui hasil yang akan kita dapatkan, caranya dapat menggunakan tool tool yang biasa dilakukan untuk mengaudit seperti nmap.

Daftar Pustaka
http://drw.politekniktelkom.ac.id/Bebas/Bachelor%20Degree/Jaringan%20Komputer%20 Lanjut/jarkom%20pdf/KONSEP%20FIREWALL.pdf Diakses pada tanggal 4 November 2013 pukul 17.55 Wita http://www.upiyptk.ac.id/download//Firewall_sbg_pengaman.pdf?PHPSESSID=013ae377ae4919ffcd57 8ec61addee24 Diakses pada tanggal 4 November 2013 pukul 17.57 Wita http://misterjeka.com/Sistem%20Keamanan%20Jaringan%20(Firewall).pdf Diakses pada tanggal 4 November 2013 pukul 17.59 Wita http://tyusnita.staff.gunadarma.ac.id/Downloads/files/16830/ammar-firewall.pdf Diakses pada tanggal 6 November 2013 pukul 17.55 Wita