Pengertian Firewall
• Firewall adalah sebuah software atau hardware atau
kombinasi keduanya maupun sistem itu sendiri untuk
mencegah akses yang tidak berhak ke suatu jaringan
sehingga ada suatu mekanisme yang bertujuan untuk
melindungi, baik dengan menyaring, membatasi atau
bahkan menolak suatu hubungan/kegiatan (dari luar
kedalam atau dari dalam ke luar) suatu segmen pada
jaringan pribadi dengan jaringan luar yang bukan
merupakan ruang lingkupnya berdasarkan aturan-
aturan yang ditetapkan. Segmen tersebut dapat
merupakan sebuah jaringan workstation, server,router,
atau local area network (LAN) maupun wireless.
2
Konsep Firewall
3
Konfigurasi Sederhana
pc (jaringan local) <==> firewall <==> internet (jaringan lain)
Boleh lewat
mbak ? Nih surat-
suratnya Anak kecil ga boleh
keluar.. sudah
malam
Firewall
4
Karakteristik Firewall
● Seluruh hubungan/kegiatan dari dalam ke luar ,
harus melewati firewall.
● Hal ini dapat dilakukan dengan cara memblok/membatasi
baik secara fisik semua akses terhadap jaringan Lokal,
kecuali melewati firewall. Banyak sekali bentuk jaringan
yang memungkinkan.
● Hanya Kegiatan yang terdaftar/dikenal yang dapat
melewati/melakukan hubungan,
● hal ini dapat dilakukan dengan mengatur policy pada
konfigurasi keamanan lokal. Banyak sekali jenis firewall
yang dapat dipilih sekaligus berbagai jenis policy yang
ditawarkan.
● Firewall itu sendiri haruslah kebal atau relatif kuat
terhadap serangan/kelemahan.
● hal ini berarti penggunaan sistem yang dapat dipercaya dan
dengan Operating system yang relatif aman.
5
Teknik Yang Digunakan
● Service control (kendali terhadap layanan)
● berdasarkan tipe-tipe layanan yang digunakan di Internet dan boleh
diakses baik untuk kedalam ataupun keluar firewall.
Biasanya firewall akan mencek no IP Address dan juga nomor
port yang di gunakan baik pada protokol TCP dan UDP, bahkan
bisa dilengkapi software untuk proxy yang akan menerima dan
menterjemahkan setiap permintaan akan suatu layanan
sebelum mengijinkannya.Bahkan bisa jadi software pada
server itu sendiri , seperti layanan untuk web ataupun untuk mail.
● Direction Control (kendali terhadap arah)
● berdasarkan arah dari berbagai permintaan (request) terhadap
layanan yang akan dikenali dan diijinkan melewati
firewall.
● User control (kendali terhadap pengguna)
● berdasarkan pengguna/user untuk dapat menjalankan suatu
layanan, artinya ada user yang dapat dan ada yang tidak dapat
menjalankan suatu servis,hal ini di karenakan user tersebut tidak di
ijinkan untuk melewati firewall. Biasanya digunakan untuk
membatasi user dari jaringan lokal untuk mengakses keluar, tetapi
bisa juga diterapkan untuk membatasi terhadap pengguna dari luar.
● Behavior Control (kendali terhadap perlakuan)
● berdasarkan seberapa banyak layanan itu telah digunakan. Misal, 6
firewall dapat memfilter email untuk menanggulangi/mencegah
spam.
Tipe Firewall
● Rule Based
● Packet Filtering
● Static
● Stateful
● Application Level
7
Rules Based Firewall
● Firewalls rules are created to match policy
● Rules are based on:
● Routing based filters (Who – siapa)
● Sender and Destination
● berasal dari mana ?
● Mau ke mana ?
● Tidak peduli mau ngapain di sana
● Content based filters (What – mau apa)
● TCP/IP Port numbers and Services
● Apa yang akan kamu lakukan di sana ?
● Tidak semudah yang nomer 1, sebab kadang-kadang
bisa ditipu seorang client
8
Dua pendekatan aturan
● Default allow
● Mengijinkan semua lewat kecuali yang
terdaftar
● Place roadblocks/watch gates along a wide
open road.
● Default deny
● Semua dilarang lewat kecuali yang
terdaftar
● Build a wall and carve paths for
you like.
everyone 9
Packet Filtering
● Packet Filtering diaplikasikan dengan cara mengatur
semua packet IP baik yang menuju, melewati
atau akan dituju oleh packet tersebut.
● pada tipe ini packet tersebut akan diatur
apakah akan di terima dan diteruskan , atau di
tolak.
● penyaringan packet ini di konfigurasikan untuk
menyaring packet yang akan di transfer secara
dua arah (baik dari atau ke jaringan lokal).
● Biasa dikenal sebagai packet inspection
● Examines IP, TCP, UDP, and ICMP headers and port number
● Static packet inspection
● Stateful inspection
10
Static Packet Filter Firewall
Corporate Network The Internet
Router Internet
14
Stateful Inspection Firewalls
Note: Outgoing
Internal Stateful
Connections
Client PC External
Allowed By
60.55.33.12 Firewall Webserver
Default
123.80.5.34
Connection Table
Internal Internal External External
Typ Status
IP Port IP Port
e
TCP 60.55.33.12 62600 123.80.5.34 80 OK
16
Stateful Inspection Firewall
Operation I
Stateful Firewal
6. 4.
Internal
TCP SYN/ACK Segment
Client PC TCP SYN/ACK Segment External
From: 123.80.5.34:80
60.55.33.12
To: 60.55.33.12:62600 From: 123.80.5.34:80 Webserver
5.
To: 60.55.33.12:62600123.80.5.34
Check Connection
OK;
Connection Table Pass the Packet
18
PACKET FILTERING
Contohnya: packet bertujuan ke server kita menggunakan IP 202.159.121.38 dengan port 80
(atribut yang dimiliki paket tsb)
An abbreviated packet…
Source SrcPort Destination DestPort
204.210.251.1 8104 128.146.2.205 31337
A Cisco packet filter
access-list 2640 deny any 128.146.2.0
0.0.0.255 gt 1023
19
Packet Filtering Example (1)
1. If source IP address = 10.*.*.*, DENY [private IP address range]
2. If source IP address = 172.16.*.* to 172.31.*.*, DENY [private IP
address range]
3. If source IP address = 192.168.*.*, DENY [private IP address
range]
4. If source IP address = 60.40.*.*, DENY [firm’s internal address
range]
5. If source IP address = 1.2.3.4, DENY [black-holed address of
attacker]
6. If TCP SYN=1 AND FIN=1, DENY [crafted attack packet]
7. If destination IP address = 60.47.3.9 AND TCP destination
port=80 OR 443, PASS [connection to a public
webserver]
8. If TCP SYN=1 AND ACK=0, DENY [attempt to open a
connection from the outside] 20
Packet Filtering Example (1…)
9. If TCP destination port = 20, DENY [FTP data connection]
10.If TCP destination port = 21, DENY [FTP supervisory control
connection]
11. If TCP destination port = 23, DENY [Telnet data connection]
12.If TCP destination port = 135 through 139, DENY [NetBIOS
connection for clients]
13.If TCP destination port = 513, DENY [UNIX rlogin without
password]
14.If TCP destination port = 514, DENY [UNIX rsh launch shell
without login]
15.If TCP destination port = 22, DENY [SSH for secure login, but
some versions are insecure]
16.If UDP destination port=69, DENY [Trivial File Transfer
Protocol; no login necessary]
17.If ICMP Type = 0, PASS [allow incoming echo reply
messages]
DENY ALL 21
Packet Filtering Example (1…)
● DENY ALL
● Last rule
● Drops any packets not specifically
permitted by earlier rules
● In the previous ACL, Rules 8-17 are not
needed; Deny all would catch them
22
Packet Filtering Example (2)
1. If source IP address = 10.*.*.*, DENY [private IP address range]
2. If source IP address = 172.16.*.* to 172.31.*.*, DENY [private IP
address range]
3. If source IP address = 192.168.*.*, DENY [private IP address
range]
4. If source IP address NOT = 60.47.*.*, DENY [not in internal
address range]
Rules 1-3 are not needed because of this rule
25
Packet Filtering
● Serangan yang mungkin terjadi
● IP address spoofing :
● intruder (penyusup) dari luar dapat melakukan ini
dengan cara menyertakan/menggunakan ip address jaringan
lokal yanbg telah diijinkan untuk melalui firewall.
● Source routing attacks :
● tipe ini tidak menganalisa informasi routing
sumber IP, sehingga memungkinkan untuk
membypass firewall.
● Tiny Fragment attacks :
● intruder (penyusup) membagi IP kedalam bagian bagian
(fragment) yang lebih kecil dan memaksa terbaginya informasi
mengenai TCP header. Serangan jenis ini di design untuk
menipu aturan penyaringan yang bergantung kepada
informasi dari TCP header. penyerang berharap
hanya bagian (fragment) pertama saja yang akan di periksa
dan sisanya akan bisa lewat dengan bebas.
Hal ini dapat di tanggulangi dengan cara menolak semua
packet dengan protokol TCP dan memiliki Offset = 1
pada IP fragment (bagian IP) 26
Aplication Level Gateway (Proxy
Firewall)
Mekanismenya tidak hanya berdasarkan
sumber, tujuan dan atribut paket, tetapi juga
bisa mencapai isi paket tersebut
Application Level
● Application-level Gateway yang biasa juga di kenal sebagai
proxy server yang berfungsi untuk
memperkuat/menyalurkan arus aplikasi. Tipe ini akan mengatur
semua hubungan yang menggunakan layer aplikasi ,baik itu
FTP, HTTP, GOPHER dll.
● Cara kerjanya adalah apabila ada pengguna yang
menggunakan salah satu aplikasi semisal FTP untuk
mengakses secara remote, maka gateway akan meminta user
memasukkan alamat remote host yang akan di akses.Saat
pengguna mengirimkan USer ID serta informasi lainnya
yang sesuai maka gateway akan melakukan hubungan
terhadap aplikasi tersebut yang terdapat pada remote host,
dan menyalurkandata diantara kedua titik. apabila data
tersebut tidak sesuai maka firewall tidak
akan meneruskan data tersebut atau menolaknya. Lebih jauh
lagi, pada tipe ini Firewall dapat di konfigurasikan untuk
hanya mendukung beberapa aplikasi saja dan menolak
aplikasi lainnya untuk melewati firewall.
● Biasa dikenalapplication
● Examines Application Inspection
layer messages 28
Application Level
● Kelebihannya :
● Relatif lebih aman daripada tipe packet filtering router lebih mudah untuk memeriksa
(audit) dan mendata (log) semua aliran data yang masuk pada level aplikasi.
● Tidak mengijinkan langsung koneksi antara internal dan eksternal host
● Can support authentication, ‘classes’ of users
● Can allow/deny access based on content
● Can keep very detailed logs of activity (including the data portions of packets)
● Caching
● Kekurangannya
● pemrosesan tambahan yang berlebih pada setiap hubungan. yang akan mengakibatkan terdapat dua
buah sambungan koneksi antara pemakai dan gateway, dimana gateway akan memeriksa dan
meneruskan semua arus dari dua arah.
● Lebih lambat daripada packet filtering firewall
● Require additional hardware
● more hardware for more users
● slow hardware = slow service
● Some firewalls require special client configurations on the workstations.
● Some protocols may not be supported (AIM, RealAudio, Napster, H.323) Varies
by vendor.
● Configuration can be complex
● Must configure proxy for each protocol
29
Architecture Firewall
Home Firewall Architecture
PC
Firewall
Always-On
Internet
Connection
Service Provider UTP
Coaxial Broadband
Cable Cord
Modem Home PC
34
DMZ Configuration
● Separate area off the firewall
● Different network segments may have different
policies
● Departments
● Service areas
● Public Services
● Internal Services
Firewall
Web Server
36
DMZ Configuration
● Don’t allow web servers access to your network
● Allow local network to manage web servers (SSH)
● Don’t allow servers to connect to the Internet
● Patching is not convenient
Mas ..yang
merah gak
boleh lewat
lho
Firewall
Web Server
37
DMZ Configuration
Jaringan Lokal: Internet:
• Semua boleh • Semua boleh
menghubungi web- menghubungi web-
server (port 80/443 server (port 80/443
• PC-PC tertentu boleh • Selain layanan web
Firewall
menghubungi server tidak diperkenankan
lewat SSH (port 22) • Server tidak boleh
• Server tidak boleh jalan-jalan di internet
menghubungi
jaringan lokal
Web Server
38
Firewall sebagai IDS
● IDS = Intrusion Detection System
● Collect log information from the deny
rules
● Find Portscanning, hacking attempts,
etc…
● Isolate traffic with deny rules helps cut
down the information overload
39
Firewall sebagai IDS
● What to do with ALL that data…..Graph
It!
● Shows trends, what people are looking
for
● Helps prioritize security tasks
● Occasionally you may want to block
portscans
40
Firewall sebagai IDS
● Pay close attention to traffic leaving
DMZ
● Often the first sign of a compromise
● Low traffic rules, so logs aren’t as
enormous
● Email is nice, provided you’re the only
one reading it
41
VPN
● VPN = Virtual Private Network
● VPN is far more secure than other
management methods:
● SSL and SSH are vulnerable to Man-In-
The Middle Attacks
● Telnet and SNMP are clear text
● There are no known MIM attacks against
IPSEC (Yet)
42
VPN
● VPN clients are supported on most
platforms
● Most firewalls will work with most
clients
● Netscreen now officially supports
FreeSwan
● Mac OS X is now supporting
VPN
43