Metode Firewall Web
Metode Firewall Web
Pendahuluan ...
Meningkatnya penggunaan Internet di dunia bisnis mendorong semakin berkembang dan
beragam content-content di Internet. Karena Internet merupakan jaringan Publik maka tidak
ada yang bisa menjamin perilaku dari setiap orang yang terkoneksi ke Internet, karena seperti
juga kehidupan nyata terdapat banyak perilaku di internet dari yang berhati baik sampai yang
berhati buruk, dari yang mencari informasi umum sampai mencari informasi kartu kredit orang
lain. Karena sifatnya yang publik atau umum maka muncul masalah baru yaitu masalah
keamanan data dan informasi di Internet terutama informasi-informasi yang bersifat krusial
dan konfiden.
Pada saat sebuah perusahaan telah atau akan mengintegrasikan jaringannya secara terpusat
dengan menggunakan komunikasi data via jaringan private atau sewa seperti Leased Channel,
VSAT, VPN atau bahkan menggunakan jaringan publik (Internet), Maka ada suatu permasalahan
lain yang sangat krusial yaitu Keamanan atau Security. Karena tidak ada yang sistem yang
aman didunia ini selagi masih dibuat oleh tangan manusia, karena kita hanya bisa meningkatkan
dari yang tidak aman menjadi aman dan biasanya keamanan akan didapat setelah lubang /
vurnability system diketahui oleh penyusup atau di publikasi pihak lain.
Ancaman masalah keamanan ini banyak sekali ditemui oleh pengguna seperti Virus, Trojan,
Worm, DoS, hacker, sniffing, defaced, Buffer Overflow, dan sebagainya dengan apapun istilah
underground yang banyak sekali saat ini, yang pasti akan menyusahkan kita pada saat
ancaman-ancaman ini menyerang. Metode serangan saat ini sangat beragam, dari yang
sederhana yang dilakukan para pemula atau script kiddies sampai dengan serangan dengan
menggunakan metode-metode terbaru. Karena akan semakin kompleksnya administrasi dari
jaringan skala luas (WAN) maka diperlukan suatu mekanisme keamanan dan metode untuk
dapat mengoptimalkan sumber daya jaringan tersebut, semakin besar suatu jaringan maka
makin rentan terhadap serangan dan semakin banyak vurnerability yang terbuka.
Saat ini sangat dibutuhkan suatu sistem untuk mengamankan sumber daya Jaringan kita,
keamanan sistem sangat diperlukan untuk menjamin layanan yang diberikan oleh mesin-mesin
server kita. Karena tingginya kebutuhan akan peralatan keamanan di jaringan, maka saat ini
ada banyak solusi yang ditawarkan oleh para vendor-vendor dunia untuk mengamankan
infrastruktur jaringan sistem informasi perusahaan. Solusi yang dapat
perangkat keras atau box dan solusi perangkat lunak yang biasanya berjalan pada suatu sistem
operasi tertentu.
Internet, adalah sebuah sistem yang besar dan banyak yang menghubungkan jutaan sistem dan
terdiri dari multi-protocol, berbagai macam media, jaringan global dunia yang dahulu
dikembangkan oleh Departemen Pertahanan Amerika Serikat yang dikenal dengan ARPAnet
(Kevin Archer, dkk, Voice and Data Security, 2001:56) Dengan semakin banyaknya vendor dan
standar dalam bidang jaringan dan untuk mempermudah pengertian, penggunaan, desain,
pengolahan data dan keseragaman standar vendor agar produk atau sistem yang dibuat tadi
diperlukan suatu standarisasi agar dapat saling berkomunikasi.
Pada tahun 1970an Internasional Organization for Standarization (ISO) membuat Referensi
Open Systems Interconnection (OSI) untuk kebutuhan kompatibelitas. OSI Model adalah model
atau acuan arsitektural utama untuk network yang mendeskripsikan bagaimana data dan
informasi network di komunikasikan dari sebuah aplikasi komputer ke aplikasi komputer lain
melalui sebuah media transmisi. (Todd Lammle, CCNA Study Guide, 2005:682). OSI bukan
suatu perangkat keras melainkan panduan bagi vendor agar devicesnya dapat berjalan di
jaringan.OSI Model terdiri dari 7 Layer, dimana setiap layernya mempunyai fungsi dan kegunaan
sendiri-sendiri. Proses encapsulation atau pembungkusan yang terjadi di setiap layernya. Layer
dibawahnya akan membuka encapsulations dari layer sebelumnya dan menambahkan
encapsulation di layer tersebut untuk diteruskan ke layer diatasnya.
Jadi misalnya suatu vendor memproduksi suatu device jaringan yang digunakan dilayer 3 (layer
network) atau perangkat router, maka vendor tersebut hanya konsen memproduksi
peralatannya untuk dapat berjalan di layer 3 tanpa harus pusing dengan vendor lain yang
berada di layer bawahnya atau diatasnya.
kedalam
bagian-bagian
kecil.
Dibuatlah
suatu
standart
aturan
untuk
Pada saat komunikasi berlangsung antara sumber dan penerima di jaringan Internet terdapat
proses yang dinamakan Three-way hanshake, suatu proses pengiriman dan penerimaan paket
data, kontrol kesalahan dengan sebuah protocol yang sepakat untuk proses komunikasi.
TCP menyediakan virtual circuit antar aplikasi end-user, TCP berfungsi untuk mengubah satu
blok data yang besar menjadi segmen-segmen
berurutan, dimana menunggu tanda acknowledgment dari penerima dan jika terjadi error akan
mengirim ulang yang tidak mendapat umpan balik acknowledged. Sebelum host pengirim
mengirim segmen menuju model dibawahnya, protocol TCP pengirim menghubungi protocol
TCP penerima dan membuat sebuah koneksi. Pada saat pertama kali proses handshake, kedua
layer TCP membuat persetujuan tentang jumlah informasi yang akan dikirim.
Berbeda dengan TCP, yang sifatya Connection-oriented yang sangat memperhatikan masalah
error data yang terkirim ke tujuan. Sedangkan pada UDP (user datagram protocol), jenis
protocol yang connectionless oriented, dimana penerima tidak menerima tanda terima, namun
unggul dalam penggunaan bandwidth. Kemiripan UDP dengan TCP ada pada penggunaan port
number. TCP & UDP menggunakan port number ini untuk membedakan pengiriman paket data
ke beberapa aplikasi berbeda yang terletak pada computer yang sama. Port number 1023
kebawah dikenal dengan well-know port number. Pada saat paket data di alamatkan ke tujuan,
komputer tujuan harus mengetahui yang harus dilakukan pada paket tersebut, protocol TCP/IP
menggunakan salah satu dari 65,536 pengelamatan penomeran port. (Vicki Stanfield, Roderick,
Linux System Administration,2002:505). Port number inilah yang akan membedakan antara satu
aplikasi dengan aplikasi lainnya atau satu protocol dengan protocol lainnya pada saat proses
transmisi data antara sumber dan tujuan.
Peralatan dilayer 3 dikenal dengan nama router, perangkat router yang biasanya berupa bentuk
box dari vendor-vendor perangkat jeringan seperti router cisco, nortel network, 3com, dan
sebagainya. Bahkan kita juga bisa membuat router dengan komputer biasa atau komputer
Server khusus yang menjalankan sistem operasi tertentu seperti Linux atau Windows Server.
Untuk dapat melewatkan paket data dari sumber ke tujuan pada router terdapat protocol
pengelamatan atau routing protocol yang saling mengupdate antara satu dengan yang lainya
agar dapat melewatkan data sesuai dengan tujuannya (Preston Gralla, How Internet Works,
1999:63)
Ip address dibagi menjadi 2 bagian yaitu Network ID dan Host ID, Network ID yang akan
menentukan alamat dalam jaringan (network address) sedangkan Host ID menentukan alamat
dari peralatan jaringan yang sifatnya unik untuk membedakan antara satu mesin dengan mesin
lainnya. Ibaratkan Network ID Nomor jalan dan alamat jalan sedangkan Host ID adalah nomor
rumahnya. IP address dibagi menjadi beberapa kelas yaitu ;
Ada banyak anggapan yang salah dengan statetement, seperti Kami sudah memiliki firewall
yang banyak dan terbaru, Kami mempunyai team yang tangguh dan hebat dalam bidang
security, Kami mempunyai dana IT yang unlimited, Kami tidak ada musuh dan data yang
kami onlinekan tidak mengandung informasi penting. Inilah beberapa faktor yang memicu
terjadinya kebocoran dari sistem pertahanan yang kita bangun, belum lagi tidak adanya rules
atau policy tentang sistem keamanan di perusahaan atau institusi kita. Maka diperlukan suatu
aturan yang nyata dan diterapkan dengan sungguh-sungguh disetiap level managemen. Karena
akan tidak berguna perangkat yang canggih dan mahal namun tidak dibuat aturan yang
mengatur.
Policy system keamanan dapat berupa suatu aturan yang menentukan penggunaan perangkat
computer, hak akses userr, perlindungan dari serangan. Aturan di sebuah perusahaan yang satu
dengan yang lain mungkin tidak sama tergantung dari proses bisnis dan visi/misi perusahaan
tersebut (Tom Thomas, Network Security first-step, 2005, 65)
Gambar 8. Proses Layer Network hanya membaca IP Address sumber dan tujuan
Pada Layer 3 yaitu Layer / lapisan network, contoh perangkat hardware yang digunakan dilayer
ini adalah router, di layer 3 yang diproses hanya IP Address Source dan IP Address Destinations.
Encapsulation yang berasal dari Layer sebelumnya, yang akan dibaca adalah IP Address sumber
dan tujuan paket tersebut, untuk diteruskan ke routing yang lain. Pada layer 3 router tidak
peduli dimana lokasi suatu host berada dan isi paket data yang dibawa, karena Layer 3 hanya
peduli dengan network itu berada dan cara terbaik untuk mencapainya dan menentukan lokasi
jaringan tersebut. Pada layer ini akan mengangkut lalu lintas antar peralatan yang tidak
terhubung secara lokal.
10
Sebagai contoh paket diterima oleh interface router, dan mencek alamat IP tujuan, lalu Router
mencek alamat network tujuan pada routing table yang dimilikinya. Jika tidak ditemukan pada
entri routing tablenya maka data akan di drop. Jika ditemukan, Interface router akan
melewatkan paket data dengan dibungkus menjadi frame data dan dikirimkan ke jaringan
lokal/ interface router tetangga untuk dibungkus di layer berikutnya. Jadi yang dibaca dilayer 3
ini hanya ip source dan destinationsnya tanpa melihat paket data yang ada.
Penggunaan Filtering di layer 3 ini dalam konfigurasinya tergantung dari command dan syntax
dari perangkat yang kita gunakan, misalnya jika kita menggunakan router dari vendor cisco
systems maka command line Interface yang digunakan disebut Access Control List (ACL).
Dalam penggunaan perintah ACL selain kita bisa memfiltering alamat IP yang masuk dan keluar
juga dapat memfiltering penggunaan port yang digunakan. ACL biasa digunakan oleh
administrator untuk memfilter dan blocking IP Address, port number, dan protocol dari sumber
dan tujuan di jaringan.
Router A
RouterB
11
Sebagai contoh seperti pada gambar 9, terlihat bahwa router hanya membaca IP Address
sumbernya dan tujuannya, dari network header inilah paket data akan diteruskan. Di perangkat
router koneksi terjalin ke interkoneksi lainnya lewat suatu interface bisa berupa interface
Ethernet, fast Ethernet atau serial yang tergantung dari layanan yang disewa ke provider.
Terlihat pada gambar 8 IP Address interkoneksi interface antara router A dan router B adalah
192.168.1.1 dan 192.168.1.2. pada router A terdapat routing table yang menerangkan
pengelamatan ke network yang berada di network router B melewati interface router A.
12
int serial 0
ip access-group filterin in
ip access-group filterout out
no snmp
no ip direct-broadcast
no ip redirects
no ip unreachables
no cdp ena
Konfigurasi ke LAN ;
Router(config)# Interface eth0
Router(config)# ip access-group filterin1 in
Router(config)# ip access-list extended filterin 1
Router(config)# permit IP 192.168.0.0 0.0.0.255 any
Router(config)# Interface eth1
Router(config)# ip access-group filterout2 out
Router(config)# ip access-group filterin2 in
Filter-out 2
Router(config)# ip access-list extended filterout2
Router(config)# permit tcp any host 202.130.50.3 eq 80
Router(config)# permit tcp any host 202.130.50.4 eq 25
Router(config)# permit tcp any host 202.130.50.5 eq 53
Filter-in 2
Router(config)#
Router(config)#
Router(config)#
Router(config)#
13
Penggunaan Firewall di layer 3 ini untuk menyaring atau Filter Paket yang biasa disebut port
based Firewall sangat baik dalam kecepatan membaca paket data namun kurang di aplikasi
atau paket yang melewati protocol FTP.
14
LAYER 4 TRANSPORT
Pada Layer 4 Transport, prose terjadi melakukan segmentasi dan menyatukan kembali data
yang tersegmentasi (reassembling) dari upper layer menjadi sebuah arus data yang sama dan
menyediakan layanan tranportasi data ujung ke ujung serta membuat sebuah koneksi logikal
antara host pengirim dan tujuan pada sebuah internetwork.
Pada layer 4 ini terjadi proses three-way handshake yang melakukan proses handshake antara
sumber dan tujuan dengan menggunakan protocol TCP/UDP dan pengalamatan port number
tertentu. Pada layer ini bisa terjadi lebih dari satu proses handshake dikarenakan terdapat bisa
terjadi banyak proses komunikasi oleh aplikasi sistem yang disebut Multiflexing, yang
memungkinkan bisa melakukan lebih dari satu proses komunikasi secara bersamaan misalnya
sambil membuka e-mail dengan mail client juga membuka banyak halaman website pada
browser, ditambah dengan melakukan chatting dengan melakukan panggilan
VOIP/Video
Streaming.
15
Untuk membedakan banyak proses ini penggunaan Port Number adalah jawabannya, dimana
setiap aplikasi yang dikembangkan oleh vendor atau pengembang perangkat lunak pasti
menggunakan port number tertentu, begitu juga protocol-protocol lainnya. Misalnya pada
contoh gambar 10 aplikasi-aplikasi Mail, browser, dan Internet Messaging
(IM) koneksinya
dapat dilakukan secara bersamaan, untuk membedakan banyak aplikasi yang dibuka ini
digunakanlah port number yang sesuai dengan aplikasinya, seperti untuk mengirim mail
menggunakan port 110 untuk protocol POP3 (Post Office Protocol ver 3), port 80 untuk aplikasi
browser, dan port 51 untuk aplikasi IM.
Pada gambar 11 terlihat sebuah komputer dapat melakukan banyak koneksi dengan
aplikasi-aplikasi
tertentu,
dimana
setiap
aplikasi
menggunakan
port
number
untuk
16
Penggunaan perintah dengan IP Tables adalah salah satu contoh filtering dan blocking di Layer
4 Transport. IP Tables merupakan program IP filter build-in yang disediakan oleh kernel Sistem
Operasi Linux. Penggunaan IP Tables biasanya digunakan di sebuah mesin yang di fungsikan
sebagai Firewall atau NAT (Network Address Translation) dan Server, contohnya Proxy Server
LAYER 7 APPLICATIONS
Pada Layer 7, Layer Applications berfungsi sebagai Interface antara jaringan dan software
aplikasi, contohnya
(eudora,
outlook,
Telnet, HTTP, FTP, WWW Browser, SMTP Gateway atau Mail Client
thebat
dan
sebagainya)
Fungsi
utama
dari
layer
adalah
mengkomunikasikan service ke aplikasi dan sebagai Interface antara jaringan dengan aplikasi
software yang ada.
17
Penggunaan Proxy Server dapat dijadikan solusi untuk melakukan screening dan blocking di
Layer 7, dengan menggunakan proxy dapat menyaring paket-paket berdasarkan policy yang
dibuat, misalnya berdasarkan alamat web tertentu.
Blocking dengan proxy dapat dioptimalkan dengan menyaring alamat-alamat web yang
mengandung content pornography, kekerasan, virus atau trojan, ilegal software dan
sebagainya. Pada gambar 13 terlihat metode filtering di layer 7 bisa menyaring content website
berdasarkan URL yang tidak diperbolehkan mengakses ke jaringan kita, baik paket data yang
keluar atau paket data yang masuk. Ada banyak website yang memberikan layanan block
alamat-alamat web seperti urlblacklist.org, squidguard.org, spamcop.net .
18
Bahan Bacaan
Anonymous, Maximum Security, Sams Publishing, USA, 2001
Anonymous, Maximum Linux Security, Sams Publishing, USA, 2000
Cisco.com, materi CNAP Ver 3.1
Cris Brenton, Mastering Network Security, Second Edition, Sybex, USA, 2003.
Kevin Archer, James Core, dkk, Voice and Data Security, Sams Publishing, USA, 2001
Marcus Goncalves, Firewall Completed, Mc-Graw-Hill, USA, 1998
Preston Gralla, How Internet Works, Que, USA, 1999
Shelly Cashman Vermaat, Discovering Computer, Salemba Infotek, Jakarta, 2007
Todd Lammle, Cisco Certified Network Associate Study Guide, Elex Media, Jakarta, 2005.
Tom Thomas, Network Security first-step, Andi Offset, 2005.
_________,Cisco.netacad.net, 2000
Vicki Stanfield, Roderick, Linux System Administration, Sybex,USA, 2001
Wendell Odom CCIE, Cisco CCNA Exam #640-607 Certification Guide, Cisco Press, USA, 2002
19