1.

Tahap Command and Control (C2) merupakan langkah penting dalam siklus serangan
siber di mana penyerang membentuk saluran komunikasi antara infrastruktur jahat
mereka dan sistem yang telah diretas. Tahap ini memungkinkan penyerang untuk
mempertahankan kontrol atas sistem yang diretas, menerima data darinya, dan
memberikan perintah atau instruksi.

a. Teknik Umum yang Sering Digunakan dalam Tahap Command and Control:
1) Algoritma Generasi Domain (DGA):
Deskripsi: Penyerang menggunakan algoritma untuk menghasilkan sejumlah
besar nama domain semu acak. Mereka mendaftarkan sebagian dari domain ini,
dan malware pada sistem yang diretas mencoba menghubungi salah satunya
untuk membangun koneksi.

Pencegahan: Firewall generasi berikutnya dapat memantau dan menyaring

permintaan DNS, mendeteksi dan memblokir nama domain mencurigakan yang
dihasilkan oleh DGA.
2) Shell Terbalik:
Deskripsi: Perangkat lunak jahat yang terinstal pada sistem korban membentuk
koneksi ke server eksternal yang dikendalikan oleh penyerang. Ini memungkinkan
penyerang untuk menjalankan perintah dari jarak jauh.

Pencegahan: Firewall generasi berikutnya dapat mengidentifikasi pola lalu lintas

keluar yang tidak biasa dan memblokir koneksi ke server jahat yang dikenal.

3) Steganografi:
Deskripsi: Steganografi melibatkan penyembunyian informasi dalam data lain
yang bukan rahasia (misalnya, gambar, file audio). Penyerang dapat menyisipkan
instruksi C2 dalam konten yang tampaknya tidak mencurigakan.

Pencegahan: Kemampuan inspeksi paket mendalam dari firewall generasi

berikutnya dapat mendeteksi anomali dalam konten dan pola lalu lintas,
mengidentifikasi dan memblokir instruksi tersembunyi.
 4) Analisis Lalu Lintas Terenkripsi:
Deskripsi: Penyerang dapat mengenkripsi komunikasi C2 mereka untuk
menghindari deteksi. Hal ini dapat membuat sulit membedakan lalu lintas jahat
dari lalu lintas terenkripsi yang sah.

Pencegahan: Firewall generasi berikutnya yang dilengkapi dengan kemampuan

inspeksi SSL/TLS dapat mendekripsi dan memeriksa lalu lintas terenkripsi untuk
mengidentifikasi dan memblokir aktivitas jahat.
5) Protokol Terowongan:
Deskripsi: Penyerang menggunakan protokol seperti VPN, SSH, atau protokol
terowongan kustom untuk membentuk saluran komunikasi tersembunyi.

Pencegahan: Firewall generasi berikutnya dapat mengidentifikasi dan memblokir

protokol terowanan jahat yang dikenal, serta menganalisis lalu lintas untuk anomali
yang mungkin menunjukkan komunikasi tersembunyi.

b. Konfigurasi Firewall Generasi Berikutnya:

1) Analisis Perilaku:
Mengkonfigurasi firewall generasi berikutnya untuk menggunakan analisis
perilaku memungkinkannya memantau lalu lintas jaringan untuk pola atau aktivitas
yang tidak biasa, seperti lonjakan koneksi keluar yang tidak terduga, yang dapat
menunjukkan aktivitas C2.
2) Pengendalian Aplikasi:
Dengan memanfaatkan fitur pengendalian aplikasi, firewall generasi
berikutnya dapat mengidentifikasi dan memblokir aplikasi atau protokol tertentu
yang terkait dengan teknik C2 yang dikenal. Ini termasuk memblokir atau
membatasi penggunaan protokol kustom atau non-standar.
3) DNS Sinkholing:
Mengatur DNS sinkhole pada firewall generasi berikutnya melibatkan
pengalihan permintaan domain yang mencurigakan ke server yang dikendalikan.
Dengan cara ini, bahkan jika sistem mencoba menghubungi domain jahat yang
dihasilkan oleh DGA, akan diarahkan ke lokasi aman.
 4) Inspeksi SSL/TLS:
Mengaktifkan inspeksi SSL/TLS memungkinkan firewall generasi
berikutnya untuk mendekripsi dan memeriksa lalu lintas terenkripsi,
mengidentifikasi dan memblokir konten atau komunikasi jahat.
5) Integrasi Intelijen Ancaman:
Mengintegrasikan firewall generasi berikutnya dengan umpan intelijen
ancaman menyediakannya dengan informasi terbaru tentang domain, IP, dan
tanda tangan jahat yang dikenal terkait dengan infrastruktur C2. Ini memungkinkan
pemblokiran proaktif terhadap ancaman yang diketahui.
6) Deteksi Anomali dan Pembelajaran Mesin:
Mengimplementasikan deteksi anomali dan kemampuan pembelajaran
mesin dalam firewall generasi berikutnya memungkinkannya untuk mempelajari
perilaku lalu lintas normal dan mengidentifikasi deviasi yang mengindikasikan
potensi aktivitas C2.

2. Metode dan Konfigurasi:

a. Mode Virtual Wire:
1) Penjelasan:
Dalam mode Virtual Wire, firewall berfungsi sebagai jembatan Layer 2,
memungkinkan lalu lintas melewati tanpa routing. Mode ini ideal untuk lingkungan
dengan antarmuka fisik terbatas.
2) Konfigurasi:
a) Hubungkan firewall ke switch Layer 3 menggunakan dua antarmuka (satu
untuk masuk dan satu untuk keluar).
b) Konfigurasikan antarmuka ini sebagai pasangan kawat virtual.
c) Berikan alamat IP ke pasangan kawat virtual (opsional untuk tujuan
manajemen).
d) Tentukan kebijakan keamanan untuk memantau dan mengontrol lalu lintas
yang melewati kawat virtual.
b. Mode Layer 2 dengan Penandaan VLAN:
1) Penjelasan:
Dalam mode Layer 2, firewall beroperasi di Layer 2, memungkinkannya
untuk mengelola lalu lintas yang ditandai dengan VLAN. Ini memungkinkan firewall
untuk memisahkan lalu lintas berdasarkan ID VLAN.
 2) Konfigurasi:
a) Hubungkan firewall ke switch Layer 3.
b) Konfigurasikan antarmuka firewall agar berada dalam mode Layer 2.
c) Gunakan penandaan VLAN untuk membedakan lalu lintas dari zona
keamanan yang berbeda.
d) Tetapkan kebijakan keamanan berdasarkan penandaan VLAN.
c. Penggunaan Router Virtual:
1) Penjelasan:
Router virtual memungkinkan Anda mengelola beberapa subnet IP pada
satu firewall. Ini berguna ketika berurusan dengan zona keamanan yang
menggunakan rentang IP yang berbeda.
2) Konfigurasi:
a) Siapkan router virtual pada firewall Palo Alto.
b) Tetapkan antarmuka dan alamat IP untuk setiap router virtual.
c) Tentukan kebijakan dan rute yang khusus untuk setiap router virtual.
d. Konfigurasi Kebijakan Keamanan:
1) Penjelasan:
Terlepas dari mode atau konfigurasi, sangat penting untuk menetapkan
kebijakan keamanan yang sesuai untuk mengontrol lalu lintas antara zona
keamanan.
2) Konfigurasi:
a) Buat kebijakan keamanan untuk mengizinkan atau menolak lalu lintas antara
zona-zona yang berbeda.
b) Tentukan sumber dan tujuan zona, bersama dengan layanan dan aplikasi yang
diizinkan.

3. Profil Keamanan dalam Firewall Generasi Berikutnya (Next-Generation Firewalls) dari

Palo Alto Networks mencakup serangkaian tindakan keamanan yang diterapkan pada lalu
lintas jaringan untuk mengidentifikasi dan mengatasi potensi ancaman. Profil-profil ini
beroperasi secara sinergis dengan Kebijakan Keamanan, memberikan pertahanan yang
kuat terhadap berbagai risiko siber. Firewall Generasi Berikutnya dari Palo Alto Networks
menawarkan beberapa jenis Profil Keamanan, termasuk Antivirus, Anti-Spyware,
Perlindungan Kerentanan, Analisis WildFire, Filtrasi URL, dan Pemblokiran Berkas.
 Masing-masing memiliki tujuan yang berbeda, seperti mencegah malware yang dikenal,
melindungi dari spyware, memblokir upaya eksploitasi, dan mengekspos berkas tak
dikenal pada analisis menyeluruh. Integrasi Profil Keamanan dengan Kebijakan
Keamanan membawa kedalaman pada deteksi ancaman, memeriksa konten dan perilaku
untuk menghentikan berbagai potensi risiko. Selain itu, profil-profil ini terus berkembang,
memanfaatkan intelijen ancaman yang diperbarui untuk mempertahankan pertahanan
terhadap ancaman yang muncul dan berubah, bahkan yang melibatkan kerentanan zero-
day. Pendekatan serba sisi ini memberikan visibilitas yang ditingkatkan, memungkinkan
kontrol yang tepat terhadap lalu lintas jaringan, dan membentuk pertahanan berlapis
terhadap berbagai vektor serangan. Selain itu, Profil Keamanan memainkan peran kunci
dalam kepatuhan regulasi, membantu dalam mematuhi regulasi data dan privasi khusus
industri. Secara keseluruhan, Profil Keamanan, ketika digunakan bersamaan dengan
Kebijakan Keamanan, membentuk kerangka keamanan komprehensif yang dengan
cakap melindungi terhadap berbagai risiko siber.

4. Identifikasi Aplikasi (APP-ID) adalah fitur kunci dari Next-Generation Firewall (NGFW) dari
Palo Alto Networks yang melampaui penyaringan berbasis port konvensional. Tujuannya
adalah untuk mengidentifikasi dan mengelola aplikasi secara akurat di jaringan,
menawarkan pendekatan yang lebih canggih dan efektif dalam pengendalian lalu lintas.

APP-ID dalam NGFW dari Palo Alto Networks menggunakan berbagai teknik
untuk mengidentifikasi aplikasi. Pertama, itu memanfaatkan basis data tanda tangan
aplikasi yang luas dan terus diperbarui. Tanda tangan ini berfungsi sebagai pengenal unik
untuk aplikasi tertentu, memungkinkan firewall untuk mengenali dan mengkategori
mereka secara akurat. Selain itu, APP-ID melampaui nomor port konvensional,
memeriksa seluruh konten paket. Ini melibatkan analisis konten untuk mengidentifikasi
aplikasi berdasarkan pola atau perilaku khas. Pendekatan ini juga mencakup analisis
perilaku, di mana perilaku lalu lintas dianalisis dari waktu ke waktu, memberikan wawasan
tambahan tentang aplikasi yang digunakan. Selain itu, dalam skenario penggunaan
enkripsi, seperti HTTPS, APP-ID dapat mendekripsi lalu lintas SSL, memeriksa kontennya
untuk mengidentifikasi aplikasi dengan tepat.
Keunggulan APP-ID dalam NGFW dari Palo Alto Networks sangat signifikan.
Dengan beroperasi di lapisan aplikasi dari model OSI, APP-ID menawarkan identifikasi
yang tepat terhadap aplikasi tanpa memandang port atau protokol yang digunakan. Hal
ini memberikan kontrol yang lebih tepat dan efektif atas jaringan. Berbeda dengan firewall
berbasis port, APP-ID sangat ahli dalam menangani teknik-teknik evasi yang aplikasi
mungkin gunakan untuk menghindari penyaringan berbasis port konvensional. Selain itu,
itu dapat mendekripsi dan memeriksa lalu lintas yang dienkripsi SSL untuk
mengidentifikasi aplikasi, memastikan visibilitas yang komprehensif. Dengan fokus pada
aplikasi, APP-ID mengurangi permukaan serangan, memperbolehkan hanya aplikasi
yang penting sementara menghalangi atau membatasi yang lain. Pendekatan ini
meningkatkan keamanan dengan meminimalkan potensi titik kerentanan. Granularitas
kebijakan yang diberikan oleh APP-ID memungkinkan administrator untuk membuat
aturan yang sangat rinci berdasarkan aplikasi tertentu, menawarkan kontrol yang lebih
tepat atas apa yang diizinkan atau ditolak di jaringan. Terakhir, visibilitas terperinci tentang
penggunaan aplikasi yang diberikan oleh APP-ID memungkinkan administrator untuk
memantau aplikasi mana yang digunakan dan oleh siapa, aspek kritis untuk keamanan,
kepatuhan, dan optimalisasi sumber daya.
Secara perbandingan, APP-ID lebih unggul dibandingkan dengan Sistem
Pencegahan Intrusi (IPS) dalam beberapa area kunci. Sementara IPS terutama
mengincar tanda tangan serangan yang dikenal, APP-ID didedikasikan untuk
mengidentifikasi dan mengontrol aplikasi. Hal ini memungkinkan APP-ID untuk
memberikan pandangan yang lebih komprehensif tentang aktivitas jaringan. Selain itu,
APP-ID mempertimbangkan konteks saat membuat keputusan tingkat aplikasi.
Mempertimbangkan faktor-faktor seperti pengguna, perangkat, dan lokasi meningkatkan
keamanan dengan memungkinkan penegakan kebijakan yang lebih halus. Lebih lanjut,
APP-ID cenderung menghasilkan positif palsu lebih sedikit dibandingkan dengan IPS. Hal
ini disebabkan oleh desainnya yang khusus untuk mengidentifikasi aplikasi, mengurangi
kemungkinan menandai lalu lintas yang sah secara keliru. Pada akhirnya, sementara IPS
sangat penting untuk mengidentifikasi dan mencegah serangan tertentu, APP-ID
menawarkan kendali yang lebih luas dengan mengizinkan atau memblokir seluruh
aplikasi, bukan hanya vektor serangan tertentu.