Arsitektur dan Jenis Firewall

1. Jenis-jenis Arsitektur Firewall

Arsitektur merupakan susunan. Rangkaian secara fisik yang digambarkan
dalam bentuk desain yang mewakili kerja dan fungsi sebuah benda. Pada
konsep sistem firewall, ada empat jenis arsitektur firewall yang sering
digunakan untuk membangun jaringan yaitu
a. Arsitektur Firewall dengan dial up
Jenis ini merupakan model Firewall yang sering digunakan pada jaringan
lokal yang terhubung dengan internet menggunakan piranti modem
sebagai dial up. Sebagai contoh sambungan internet menggunakan telkom
speedy yang menggunakan modem ADSL sebagai perangkat dial up ke
jalur analog kabel telepon. Jenis arsitektur ini memiliki bandwidth yang
besar, biasanya menggunakan sebuah IP address publik agar dapat diakses
secara global.
Jika ada pengaksesan data atau pengiriman paket data dari luar jaringan
menuju jaringan lokal, modem tersebut yang menjadi tumpuan. Hal ini
dikarenakan modem merupakan piranti dengan memori yang terbatas.
Selain itu modem juga cepat panas sehingga berdampak pada kinerja
sambungan internet menurun, biasanya setiap sambungan selalu
diarahkan menuju ke mesin tertentu dalam jaringan lokal. Teknik ini
disebut DMZ (demilitarized zone), yaitu sistem yang mengarahkan paket
data yang masuk menju mesin tertentu dalam jaringan lokal, biasanya
adalah sebuah router khusus.
Modem tidak lagi digunkan sebagai piranti dial up, tetapi hanya sebagai
bridge atau jembatan penghubung antara jaringan lokal (digital) dan
jaringan internet (bersifat analog karena melewati sambungan jalur
telepon). Piranti dial up diatur pada sebuah piranti khusus yang berada
dibawah modem tersebut, seperti router PC dengan mikrotik, Linux
atauun varian unix, seperti FreeBSD, Open BSD, dan NetBSD. Konsep ini
memiliki kelebihan dalam proses dial up yang lebih cepat dan modem

Iva Devina 1
 menjadi lebih ringan kerjanya sehingga tidak mudah panas serta internet
menjadi lebih cepat dan stabil.

Topologi DMZ dengan Modem Dial Up

b. Arsitektur Firewall Single Router

Arsitektur ini mengimplementasikan antarsambungan koneksi internet melalui
sebuah router secara langsung (biasanya menggunakan media transmisi kabel,
seperti UTP (Unshielded Twisted Pair), STP (Shielded Twisted Pair) dan Optic.
Dan ditranslasikan ke jaringan lokal pada interface lainnya. Sistem firewall langsung
ditempatkan di bawah router yang dapat berupa mesin komputer atau firewall.
Pada arsitektur ini, router hanya berfungsi sebagai routing paket data dari jaringan
lokal ke internet dan dari internet ke jaringan lokal.
c. Aristektur Firewall dengan proxy server
Jika pada model sebelumnya hanya terdapt sebuah router yang berperan sebagai
firewall. Pada arsitektur ini dilengkapi dengan mesin proxy yang terintegrasi dengan
perangkat router atau dapat menerapkan external proxy. Selain menyaring setiap
paket data yang keluar masuk, firewall yang terintegrasi dengan proses routing ini
juga melakukan filtrasi setiap request data menuju layanan protokol HTTP atau
HTTPS pada port tertentu.

Iva Devina 2
 Topologi Firewall Proxy Server

d. Arsitektur Firewall Kompeks

Arsitektur ini menerapkan model firewall secara berlapis dengan memasang lebih
dari satu perangkat firewall. Sebuah hardware yang difungsikan menjadi firewall
dapat menjadi pintu masuk, sekaligus filter bagi data yang menuju ke mesin
tertentu, sesuai dengan kebijakan keamanan yang telah dibuat.

Topologi Arsitektur Firewall Kompleks

2. Jenis-jenis Firewall
Berdasarkan cara kerja, firewall dapat dibagi menjadi beberapa jenis, yaitu:
a. Packet Filter Firewall

Iva Devina 3
 Jenis firewall sederhana menggunakan perangkat keras seperti cisco dan
mikrotik sebagai branded hardware atau membuat sendiri router firewall dari
PC. Router tersebut dilengkapi dengan minimal dua interface dengan satu
interface sebagai penghubung ke jaringan lokal dan interface yang lainnya
terhubung ke internet. Setiap paket data yang masuk menuju jaringan lokal dari
internet atau sebaliknya, dari jaringan lokal ke internet akan difilter sesuai
dengan security policy yang telah diatur dan disimpan dalam router tersebut.

Topologi Packet Filter Gateway

Pada gambar diatas menerapkan perangkat router cisco sebagai firewall yang
akan melakukan pemblokiran dari host komputer 172.16.0.2 menuju semua
komputer yang terkoneksi dengan jaringan menggunakan OSI ketiga, yaitu
network layer.
b. Circuit Level Gateway
Bekerja pada session layer. Biasanya sering dimplementasikan pada arsitektur
firewall dengan proxy server. Prinsip kerja tipe ini adalah membuat rangkaian
atau sirkuit khusus secara virtual yang menghubungkan antara mesin
pengguna dan mesin tujuan pada saat terminal komputer sedang membangun
koneksi ke sebuah mesin tertentu dalam jaringan.

Iva Devina 4
c. Application Level Gateway
Lebih dikenal dengan nama proxy firewall. Tipe ini bekerja pada application
layer. Semua paket data yang masuk jaringan akan di redirect kan dulu pada
proxy firewall untuk melewati tahap filtrasi. Dengan sistem ini kita dapat
membangun mode autentifikasi dan pencatatan log aktivitas akses jaringan
yang terjadi. Sebagai contoh, penerapan aplikasi proxy sebagai firewall
terhadap Mail Server berbasis SMTP yang menggunakan default port 25.
Setiap email yang masuk dari pengguna internet akan diarahkan ke eamil
server yang berada di jaringan lokal (private) melalui proxy. Hal ini dilakukan
agar pengguna email tidak mengetahui detail informasi mail server yang berada
di jaringan lokal tersebut.
d. Network Address Translation (NAT) Firewall
NAT berbeda dengan routing. Jika menggunakan NAT sebuah router hanya
memperoleh sebuah IP address dapat mentranslasinay menjadi kelompo IP
address private dalam jaringan lokal. Tujuannya agar setiap host yang
terhubung dengan router dapat terkoneksi dengan internet sehingga jika ada
koneksi ke internet oleh mesin-mesin komputer dalam jaingan lokal hanya
akan dideteksi sebagai sebuah IP address yang sama
e. Virtual Firewall
Teknologi virtual menjadi tren di dunia IT, hampir semua layanan jaringan dan
server sudah berbasis virtual, seperti Virtual Private Server (VPS) dan Cloud.
Oleh karena itu diatur juga tentang kebijakan security berbasis virtual.
Contoh, kebijakan firewall yang akan mengarahkan permintaan layanan http
pada IP 10.10.1.1 port 1000 akan d redirect ke mesin dengan IP address
192.168.1.2 port 80. Padahal sebenarnya mesin tersebut merupakan mesin
virtual yang terpasang pada komputer dengan IP address 10.10.1.1. Contoh lain
penerapan teknik virtual private network dengan standar firewall iptables
pada linux OS.
f. Stateful Firewall
Model firewall ini mengkombinasikan beberapa jenis teknologi firewall
sebelumnya, seperti NAT firewall, packet filter firewall, proxy firewall, dan

Iva Devina 5
 circuit level firewall. Implementasi statefull firewall lebih lengkap dan
powerful jika dibandingkan dengan jenis firewall sebelumnya. Selain
melakukan pemeriksaan jenis paket data, firewall juga menyaring dan
menjamin kualitas connection session antara source dan destination machine.
Keunggulan lain dari firewall jenis ini adalah mampu menyembunyikan
informasi detail paket dan tujuan pengiriman data sehingga koneksi lebih
aman.
C. Jenis Aplikasi Firewall
Jenis aplikasi firewall yang dapat diinstall ke dalam OS berbasis OS atau
Linux, yaitu:
1. ipfwadm
Jenis aplikasi firewall yang compatible dengan linux OS khususnya
kernel versi 2.x seperti 2.0 dan 2.2. Kelemahan aplikasi ini tidak
memberikan support linux dengan kernal diatas 2.X. Oleh karena itu
teknonologi ipfwadm sudah jarang digunakan. Firewall dengan ipwadm
memiliki 3 kemampuan dalam penanganan data yaitu accept, deny dan
reject. Option yang diatur ipfwadm yaitu:
a. Penentuan direktif (pengarahan data), seperti in dan out.
b. Pengaturan input data
c. Pengaturan output data
d. Forwading
Contoh pengaturan firewall menggunakan ipfwadm
ipfwadm –F –a accept –P all –S 192.168.101.0/24 –i eth1 –D 10.10.1.1/8
Arti dari baris tersebut mengijinkan proses forwading dari semua
komputer yang berasal dari network ID 192.168.101.0/24 menuju 10.10.1.1/8
melalui interface eth1.
2. Ipchains
Memiliki fitur lebih lengkap dan powerful jika dibandingkan dengan
aplikasi ipfwadm. Ini memudahkan administrator jaringan menentukan
filtering data yang lebih kompleks. Support pada linux OS dengan kernel
2.1 dan 2.2 seperti FreeBSD. Agar konfigurasi firewall dengan ipchains

Iva Devina 6
 tidak hilang ketika mesin di restart, kernel harus di compile ulang sesuai
dengan kebutuhan support ipchains. Setelah sisem kernel diedit agar
bisa mendukung proses IP filtering, langkah selanjutnya adalah me-
recompile kernel tersebut.
Contoh konfigurasi firewall dengan ipchains setelah melakukan edit
kernel
a. Menyarig berdasarkan IP address
ipchains –A input –j DENY –p all –s 10.10.1.10/24 –i eth2 –d
172.16.0.1/25
b. Menyaring berdasarkan port tertentu
ipchains -A input –j ACCEPT –p tcp –s 192.168.2.0/24 –d
192.168.1.254/24 80
Maksudnya ipchains akan mengijinkan paket data pada port80
berasal dari semua komputer dengan network ID 192.168.2.0/24
menuju mesin dengan IP address 192.168.1.254.
Selain menyaring port tertentu, dengan ipchains dapat menyaring
dengan menyebutkan nama service tertentu. Daftar service dapat
dilokasi file/etc/service.

Ipchains –A input –j DENY –p tcp -1 –s 200.120.1.10/24 –d

200.120.1.12/24 ssh

Arti kode adalah ipchains akan memblokir semua paket data yang
berjalan pada protokol TCP dari IP 200.120.1.10/24 yang menuju
komputer dengan IP 200.120.1.12/24 pada service SSH menggunakan
default port 22. Sedangkan menentukan filtrasi berdasarkan range
port tertentu, dapat menuliskan kode port_awal:port_akhir.

Contoh filtrasi dimulai dari port 100 sampai 1000 penulisan kodenya
100:1000.

c. Menyaring berdasarkan interface mesin

Teknik filtrasi data berdasarkan interface mesin firewall

Iva Devina 7
 ipchains –A input –j DENY –p all –s 192.168.0.1/24 –i eth2 –d
172.16.0.1/25 21

Menjelaskan jika paket data berasal dari IP 192.168.0.1/24 melalui

interface eth2 yang ditujukan ke komputer 172.16.0.1/25 pada port
layanan 21 (default FTP Server) akan diblokir.
d. Forwading Paket Data
Jika Komputer tempat firewall diatur sebagai router dengan
menambahkan fungsi
Echo “1” > /proc/sys/net/ipv44/ip_forward

Dengan memberi nilai ip__forward = 1 berarti memberikan nilai true

berfungsi mengenablekan fungsi forwading sistem sehinggs mesin
mampu meneruskan paket data keluar masuk. Agar konfigurasi tidak
hilang ketika d shutdown/restart maka disimpan dalam unit sistem
seperti padafile /etc/rc.local yang sudah diubah hak aksesnya menjadi
execution
e. NAT
Berfungsi berbagi pakai sambungan atau masqurade. Fungsinya agar
hardaware dapat berfungsi sebagai router dengan mengaktifkan
forwading.
ipchains –p forward DENY
ipchains –A forward –j MASQ –s 192.168.0.0/24 –d 0.0.0.0/0
Pada baris pertama menyatakan setiap policy atau kebijakan forwading
ditolak, kecuali semua paket data yang berasal dari mesin dengan
network ID 192.168.0.0/24 menuju ke semua komputer di jaringan luar.
f. Transparent Proxy
ipchains –A input –j REDIRECT 8080 –p tcp –s 192.168.11.0/24 –d
0.0.0.0/0 80
Pada baris diatas menjelaskan setiap input data dari komputer dengan
network ID 192.168.11.0/24 menuju komputer jaringan luar pada port 80
diarahkan ke port 8080. Script diatas, firewall dijalankan menjadi satu

Iva Devina 8
 dengan mesin proxy server sehingga pada web proxy diatur port lokal
menjadi 8080. Jadi paket data yang dikirimkan klien ketika membuka
internet pada layanan HTTP akan dipaksa masuk ke port 8080 proxy
tersebut.
3. ipfw
Jenis aplikasi firewall secara default digunakan oleh OS berbasis UNIX,
seperti FreeBSD, OpenBSD dan NetBSD. Ipfw digunakan sebagai penyaring
paket data dan accounting system yang disimpan dalam konfigaurasi kernel.
Agar ipfwdapat berjalan baik, perlu dilakukan edit pada kernelnya.
4. Iptables
Aplikasi firewall yang secara default terpasang pada sistem operasi linux.
Iptbles digunakan pada sistem operasi UNIX seperti FreeBSD dan harus
mengaktifkan atau mengenable binary file linuxnya dapat melakukan
instalasi, mengcompile dan menjalankan iptables pada uni. Iptables
digunakan mulai dari OS dengan kernel versi 2.4 hingga kernel terbaru 3xx.
Ada 3 aturan atau chain diterapakan dalam firewall menggunakan iptables
yaitu:
a. Input merupakan paket data yang masuk menuju mesin firewall
b. Forward merupakan kemampuan meneruskan atau melewatkan paket
data setelah skses melewati filtrasi dalam firewall
c. Output merupakan filtrasi yang dilakukan terhadap keluaran paket data
setelah berhasil masuk dalam mesin server menuju jaringan luar
Dalam iptables ada 5 aksi yang dapat dilakukan terhadap filtrasi jika
dinyatakan telah sesuai dengan kebijakan firewall yang telah ditetapkan
antara lain:
Accept, Return, Drop, Reject,Queue
Berikut penulisan fiewall dengan iptables
Iptables [command type] [parameter type] –j [target]
Jenis command type yang digunakan
-I, insert digunakan untuk memasukkan aturan baru dengan nomor eksekusi
yang dapat ditentukan sendiri

Iva Devina 9
 -D, Delete digunakan menghapus aturan firewall pada baris tertentu
-A, Append menambahkan aturan firewall baru pada daftar firewall paling
bawah
-L, List untuk menampilkan list atau daftar aturan firewall dalam sistem
-F, Flush digunakan untuk menghapus semua aturan firewall
-R, Replace mengganti aturan baris firewall tertentu dengan aturan firewall
yang telah ditetukan
-p, policy digunakan untuk menentukan keputusan terakhir yang akan
diterapkan sistem firewall jika tidak ada paket masuk sesuai ketentuan
firewall.
Parameter type dapat disertakan dalam mendeskripsikan firewall
menggunakan iptables adalah
-s [alamat IP], Source merupakan sumber IP pengirim IP pengirim paket data
-d [alamat IP], Destination merupakan IP address tujuan paket data
-p [protokol], Protocol menyatakan protokol yang digunakan
-dport [port], Destination Protocol menayatakan tujuan port paket data yang
dikirimkan
-sport [port], Source Port menyatakan sumber port paket data yang
digunakan pada saat dikirimkan
-o [interface], Out Interface menunjukan interface yang digunakan sebagai
saluran input data
-m mac [Mac Address Interface], Firewall melakukan filtrasi paket
berdasarkan MAC address.
Contoh Firewall
iptables –t nat –A POSTROUTING –o eth1 –j MASQURADE

Keterangan:
Iptables adalah service aplikasi firewall yang digunakan
-t adalah table merupakan tempat menyimpan daftar aturan firewall
NAT adalah network address translation
-A adalah menyisipkan baris perintah firewall baru pada akhir daftar firewall

Iva Devina 10
 POSTROUTING adalah aktivitas mengambilkan paket data yang masuk
untuk dipersiapkan ke proses routing selanjutnya
-o adalah interface output yang akan dilalui oleh data yang diroutingkan
Eth1 adalah nama interface LAN card dalam linux. Dalam kasus ini eth1
adalah sebuah interface LAN card pada server yang terhubung dengan ISP.
-j adalah jump atau aksi yang akan dilakukan selanjutnya
MASQURADE adalah proses berbagi sambungan koneksi.
Berikut cara pemeriksaan aplikasi firewall dengan iptables dalam sistem operasi
linux debian telah terpasang atau belum.
a. Cek daftar aplikasi yang telah terinstall dalam sistem
root@linux-server:-# dpkg –get-selections
b. Cek aplikasi firewall dengan iptables telah terpasang dalam sistem
root@linux-server:-# dpkg –get-selections | grep iptables
c. Jika belum terinstal, lakukan instalasi dengan cara
Masukkan DVD debian keping ke-1
Lakukan mount DVD tersebut dengan perintah berikut
root@linux-server:-mount / dev/dvd/mnt/
atau
root@linux-server:-#apt-cdrom add
Selanjutnya melakukan repo update ke mirror server
root@linux-server:-#apt update
Selanjutnya lakukan instlasi paket iptables
root@linux-server:-#apt install iptables –y
d. Jika iptables sudah terpasang lakukan pemeriksaan dalam sistem sudah
terdapat aturan firewall atau belum yang dijalankan
root@linux-server:-#iptables –L
e. Untuk melakukan penghapusan atauran firewall dengan perintah
root@linux-server:-# iptables –F
f. Secara default, log file tempat menyimpan setiap aktifitas firewall dengan
iptables dapat dilihat pada file /var/log/messages
root@linux-server:-# cat /var/log/messages

Iva Devina 11
Iva Devina 12