optimalisasi firewall padajaringan komputer...
TRANSCRIPT
84
OPTIMALISASI FIREWALL PADA JARINGAN KOMPUTERBERSKALA LUAS
Nanan Abidin
ABSTRAKSuatu konfigurasi firewall yang baik dan optimal dapat mengurangi ancaman -ancamantersebut. Konfigurasi firewall terdapat 3 jenis diantaranya adalah screened host firewallsystem (single-homed bastion), screened host firewall system (Dual -homed bastion), danscreened subnet firewall. Dan juga mengkonfigurasikan firewall dengan membuka port -port yang tepat untuk melakukan hubungan koneksi ke internet, karena denganmengkonfigurasi port-port tersebut suatu firewall dapat menyaring paket -paket data yangmasuk yang sesuai dengan policy atau kebijakannya. Arsitektur firewall ini yang akandigunakan untuk mengoptimalkan suatu fi rewall pada jaringan.Jaringan komputer bukanlah sesuatu yang baru saat ini. Hampir di setiap perusahaanterdapat jaringan komputer untuk memperlancar arus informasi di dalam perusahaantersebut. Internet yang mulai populer saat ini adalah suatu jaringan k omputer raksasayang merupakan jaringan komputer yang terhubung dan dapat saling berinteraksi. Hal inidapat terjadi karena adanya perkembangan teknologi jaringan yang sangat pesat. Tetapidalam beberapa hal terhubung dengan internet bisa menjadi suatu anc aman yangberbahaya, banyak serangan yang dapat terjadi baik dari dalam maupun luar seperti virus,trojan, maupun hacker. Pada akhirnya security komputer dan jaringan komputer akanmemegang peranan yang penting dalam kasus ini.
PendahuluanInternet seringkali disebut sebagai
dunia tanpa batas. Beragam informasibisa didapat di internet dan siapapunbisa mengakses informasi tersebut.Seiring perkembangan teknologi in-formasi, internet tak hanya membe-rikan kontribusi positif bagi kehidupantetapi juga ancaman. Ancaman lebihmenakutkan justru datang dari duniamaya, mulai dari serangan virus, tro-jan, phishing hingga cracker yang biasmengobok-obok keamanan sistemkomputer.
Terhubung ke internet ibaratnyamembuka pintu komputer untuk bisadiakses oleh siapapun. Melalui pintutersebutlah, anda dengan sangatmudah bisa menjelajahi belantara du-nia maya entah itu untuk berbelanjaonline, membaca berita terkini, me-ngirim e-mail dan lain sebagainya.Namun melalui pintu itu pulalah,hacker bisa masuk dan dengan mu-dah mengobok-obok bahkan meng-ambil alih kendali system komputer.Pada banyak kesempatan, kita perlumenentukan pilihan mana yang harusdipercaya dan mana yang tidak.
Sekalipun sesuatu itu berasal darisumber yang terpercaya dan amanuntuk dijalankan. Bisa saja Anda me-nerima e-mail dari sumber terpercayayang di dalamnya disertakan sebuahlink dan mengkliknya. Namun siapasangka jika ternyata melalui link ter-sebut, hacker menyelipkan programjahat untuk memata-matai komputertanpa sepengetahuan Anda. Untukitulah, komputer membutuhkan suatubenteng yang mampu melindungikomputer dari ancaman berbahaya diinternet. Di dunia maya, benteng inidisebut dengan firewall.
Keamanan komputer maupun ja-ringan komputer, terutama yang ter-hubung ke internet harus direncanakandan dikoordinasikan dengan baik agardapat melindungi sumber daya (re-source) dan investasi di dalamnya. In-formasi (data) dan service (pe-layanan) sudah menjadi sebuah ko-moditi yang sangat penting. Kemam-puan untuk mengakses dan menye-diakan informasi secara cepat danakurat menjadi sangat esensial bagisuatu
85
organisasi, baik yang berupa organi-sasi komersial (perusahaan), per-guruan tinggi, lembaga pemerintahan,maupun individual (pribadi).
Jaringan KomputerJaringan komputer adalah sebuah
kumpulan komputer, printer dan per-alatan lainnya yang terhubung. Infor-masi dan data bergerak melalui kabel-kabel sehingga memungkinkan peng-guna jaringan komputer dapat salingbertukar dokumen dan data, men-cetak pada printer yang sama danbersama sama menggunakan hard-ware/software yang terhubung denganjaringan. Tiap komputer, printer atauperiferal yang terhubung dengan jari-ngan disebut node. Sebuah jaringankomputer dapat memiliki dua, puluhan,ribuan atau bahkan jutaan node.
Sebuah jaringan biasanya terdiridari 2 atau lebih komputer yang salingberhubungan diantara satu denganyang lain, dan saling berbagi sumberdaya misalnya CDROM, Printer, per-tukaran file, atau memungkinkan un-tuk saling berkomunikasi secaraelektronik.
Jenis- Jenis JaringanAda 3 macam jenis jaringan, yaitu :
1. Local Area Network (LAN)LAN adalah jaringan yang dibatasioleh area yang relative kecil,umumnya dibatasi oleh area lingku-ngan seperti sebuah perkantorandi sebuah gedung, atau sebuahsekolah, dan biasanya tidak jauhdari sekitar 1 km persegi.
2. Metropolitan Area Network (MAN)MAN biasanya meliputi area yang
lebih besar dari LAN, misalnyaantar wilayah dalam satu propinsi.Dalam hal ini jaringan menghu-bungkan beberapa buah jaringan-jaringan kecil ke dalam lingkunganarea yang lebih besar, sebagai con-toh yaitu jaringan Bank dimanabeberapa kantor cabang sebuahBank di dalam sebuah kota besardihubungkan antara satu denganlainnya.
3. Wide Area Network (WAN)Wide Area Networks (WAN) adalahjaringan yang lingkupnya biasanyasudah menggunakan sarana Satelitataupun kabel bawah laut sebagaicontoh keseluruhan jaringan BANKBNI yang ada di Indonesia ataupunyang ada di Negara-negara lain.
FirewallInternet merupakan sebuah jaringan
komputer yang sangat terbuka di du-nia, konsekuensi yang harus di tang-gung adalah tidak ada jaminan ke-amanan bagi jaringan yang terkait keInternet. Artinya jika operator jaringantidak hati-hati dalam menset-up sis-temnya, maka kemungkinan besar jari-ngan yang terkait ke Internet akandengan mudah dimasuki orang yangtidak di undang dari luar. Adalah tugasdari operator jaringan yang bersang-kutan, untuk menekan resiko tersebut
86
seminimal mungkin. Pemilihan strategidan kecakapan administrator jaringanini, akan sangat membedakan apa-kah suatu jaringan mudah ditembusatau tidak.
Firewall merupakan alat untukmengimplementasikan kebijakan se-curity (security policy). Sedangkan ke-bijakan security, dibuat berdasarkanperimbangan antara fasilitas yang di-sediakan dengan implikasi security-nya. Semakin ketat kebijakan secu-rity, semakin kompleks konfigurasi la-yanan informasi atau semakin sedikitfasilitas yang tersedia di jaringan. Se-baliknya, dengan semakin banyak fa-silitas yang tersedia atau sedemikiansederhananya konfigurasi yang dite-rapkan, maka semakin mudah orangorang ‘usil‘ dari luar masuk kedalamsistem (akibat langsung dari lemahnyakebijakan security).
Dalam dunia nyata, firewall adalahdinding yang bisa memisahkan rua-ngan, sehingga kebakaran pada sua-tu ruangan tidak menjalar ke ruanganlainnya. Tapi sebenarnya firewall diInternet lebih seperti pertahanan di-sekeliling benteng, yakni memperta-hankan terhadap serangan dari luar.Gunanya: membatasi gerak orang yang ma-
suk ke dalam jaringan internal membatasi gerak orang yang ke-
luar dari jaringan internal mencegah penyerang mendekati
pertahanan yang berlapis
Jadi yang keluar masuk firewall ha-rus acceptable. Firewall merupakankombinasi dari router, server, dan soft-ware pelengkap yang tepat.
Firewall merupakan suatu cara/sistem/mekanisme yang diterapkanbaik terhadap hardware, softwareataupun sistem itu sendiri dengantujuan untuk melindungi, baik denganmenyaring, membatasi atau bahkanmenolak suatu atau semua hubu-ngan/kegiatan suatu segmen pada jari-ngan pribadi dengan jaringan luar yangbukan merupakan ruang lingkupnya.
Segmen tersebut dapat merupakansebuah workstation, server, router,atau local area network (LAN) anda.
Firewall didefinisikan sebagai se-buah komponen atau kumpulan kom-ponen yang membatasi akses antarasebuah jaringan yang diproteksi daninternet, atau antara kumpulan-kum-pulan jaringan lainnya (Building Inter-net Firewalls, oleh Chapman danZwicky). A firewall is a system or groupof systems that enforces an accesscontrol policy between two networks(http://www.clark.net/pub/mjr/pubs/fwfaq).The main purpose of a firewall systemis to control access to or from aprotected network. It implements anetwork access policy by forcingconnections to pass through thefirewall, where they can be examinedand evaluated.(http://csrc.ncsl.nist.gov/nistpubs/800-10/node3 1 .html).
Tugas – Tugas FirewallFirewall secara umum di peruntukkanuntuk melayani : Mesin/Komputer
Setiap mesin komputer yang ter-hubung langsung ke jaringan luaratau internet dan menginginkan se-mua yang terdapat pada kompu-ternya terlindungi.
Jar inganJaringan komputer yang terdiri lebihdari satu buah komputer dan ber-bagai jenis topologi jaringan yangdigunakan, baik yang di miliki olehperusahaan, organisasi dsb.
Firewall mempunyai beberapa tugas:Pertama dan yang terpenting adalah:harus dapat mengimplementasikankebijakan security di jaringan (site
87
security policy). Jika aksi tertentutidak diperbolehkan oleh kebijakanini, maka firewall harus meyakinkanbahwa semua usaha yang mewakilioperasi tersebut harus gagal ataudigagalkan. Dengan demikian, se-mua akses ilegal antar jaringan(tidak diotorisasikan) akan ditolak.
Melakukan filtering:mewajibkan semua trafik yang adauntuk dilewatkan melalui firewallbagi semua proses pemberian danpemanfaatan layanan informasi. Da-lam konteks ini, aliran paket datadari/menuju firewall, diseleksi ber-dasarkan IP-address, nomor port,atau arahnya, dan disesuaikan de-ngan kebijakan security.
Firewall juga harus dapat me-rekam/mencatat even-even men-curigakan serta memberitahu ad-ministrator terhadap segala usaha-usaha menembus kebijakan se-curity.
Ada beberapa hal yang tidak dapatdilakukan oleh firewall :- Firewall tidak bisa melindungi
dari serangan orang dalam- Firewall tidak bisa melindungi
serangan yang tidak melaluifirewall tersebut (tidak melaluichocke point). Misalnya adayang memasang dial-up service,sehingga jaringan bisa diakseslewat modem.
- Firewall tidak bisa melindungijaringan internal terhadapserangan-serangan model baru.
- Firewall tidak bisa melindungijaringan terhadap virus.
Karakteristik Firewall1. Seluruh hubungan/kegiatan dari
dalam ke luar, harus melewati fire-wall. Hal ini dapat dilakukan de-ngan cara memblok/membatasibaik secara fisik semua akses ter-hadap jaringan lokal, kecuali mele-wati firewall. Banyak sekali bentukjaringan yang memungkinkan.
2. Hanya Kegiatan yang terdaftar/dikenal yang dapat melewati/mela-kukan hubungan, hal ini dapat dila-kukan dengan mengatur policy padakonfigurasi keamanan lokal. Banyaksekali jenis firewall yang dapat dipilihsekaligus berbagai jenis policy yangditawarkan.
3. Firewall itu sendiri haruslah kebalatau relatif kuat terhadap sera-ngan/kelemahan. Hal ini berartipenggunaan sistem yang dapatdipercaya dan dengan operatingsystem yang relatif aman.
Teknik Yang Digunakan Firewall1. Service Control (kendali terhadap
layanan). Berdasarkan tipe-tipe la-yanan yang digunakan di Internetdan boleh diakses baik untuk ke-dalam ataupun keluar firewall.Biasanya firewall akan mencek noIP Address dan juga nomor portyang di gunakan baik pada protokolTCP dan UDP, bahkan bisa di-lengkapi software untuk proxyyang akan menerima dan men-terjemahkan setiap permintaanakan suatu layanan sebelum meng-ijinkannya. Bahkan bisa jadi softwarepada server itu sendiri, sepertilayanan untuk web maupun untukmail.
2. Direction Conrol (kendali terhadaparah). Berdasarkan arah dari ber-bagai permintaan (request) ter-hadap layanan yang akan dikenalidan diijinkan lewat firewall.
3. User control (kendali terhadappengguna). Berdasarkan pengguna/user untuk dapat menjalankan suatu
88
layanan, artinya ada user yang da-pat dan ada yang tidak dapat men-jalankan suatu servis,hal ini di ka-renakan user tersebut tidak di ijin-kan untuk melewati firewall. Biasa-nya digunakan untuk membatasiuser dari jaringan lokal untukmengakses keluar, tetapi bisajuga diterapkan untuk membatasiterhadap pengguna dari luar.
4. Behavior Control (kendali terhadapperlakuan). Berdasarkan seberapabanyak layanan itu telah digunakan.Misal, firewall dapat memfilter emailuntuk menanggulangi/mencegahspam.
Tipe – Tipe Firewall1. Packet Filtering Router
Packet Filtering diaplikasikan de-ngan cara mengatur semua packetIP baik yang menuju, melewati atauakan dituju oleh packet tersebut.Pada tipe ini packet tersebut akandiatur apakah akan di terima danditeruskan atau di tolak. Penya-ringan packet ini di konfigurasikanuntuk menyaring paket yang akan ditransfer secara dua arah (baik daridan ke jaringan lokal). Aturan pe-nyaringan didasarkan pada header IPdan transport header, termasuk jugaalamat awal (IP) dan alamat tujuan(IP), protocol transport yang digunakan (UDP, TCP), serta nomorport yang digunakan. Kelebihan daritipe ini adalah mudah untuk di im-plementasikan, transparan untukpemakai, relatif lebih cepat.
Adapun kelemahannya adalahcukup rumitnya untuk menyettingpaket yang akan difilter secara tepat,serta lemah dalam hal authentikasi.Adapun serangan yang dapat terjadipada firewall dengan tipe ini adalah: IP address spoofing : Intruder
(penyusup) dari luar dapat mela-kukan ini dengan cara menyer-takan/menggunakan ip addressjaringan lokal yang telah diijinkanuntuk melalui firewall.
Source routing attacks : Tipe initidak menganalisa informasi rout-
ing sumber IP, sehingga me-mungkinkan untuk membypassfirewall.
Tiny Fragment attacks : Intrudermembagi IP kedalam bagian-bagian (fragment) yang lebihkecil dan memaksa terbaginyainformasi mengenai TCP hea-der. Serangan jenis ini di designuntuk menipu aturan penyaringanyang bergantung kepada infor-masi dari TCP header. Penyerangberharap hanya bagian (fragment)pertama saja yang akan di perik-sa dan sisanya akan bisa lewatdengan bebas. Hal ini dapat ditanggulangi dengan cara menolaksemua packet dengan protocolTCP dan memiliki offset = 1 padaIP fragment (bagian IP)
2. Application-Level GatewayApplication-level Gateway yang
biasa juga di kenal sebagai proxyserver yang berfungsi untuk mem-perkuat/menyalurkan arus aplikasi.Tipe ini akan mengatur semua hu-bungan yang menggunakan layeraplikasi ,baik itu FTP, HTTP,GOPHER dll.
Cara kerjanya adalah apabilaada pengguna yang menggunakansalah satu aplikasi semisal FTPuntuk mengakses secara remote,maka gateway akan meminta usermemasukkan alamat remote hostyang akan di akses.Saat penggunamengirimkan user ID serta informasilainnya yang sesuai maka gatewayakan melakukan hubungan terhadapaplikasi tersebut yang terdapatpada remote host, dan menyalurkandata diantara kedua titik. Apabiladata tersebut tidak sesuai makafirewall tidak akan meneruskan
89
data tersebut atau menolaknya.Lebih jauh lagi, pada tipe ini firewalldapat di konfigurasikan untuk hanyamendukung beberapa aplikasi sajadan menolak aplikasi lainnya untukmelewati firewall.
Kelebihannya adalah relatif lebihaman daripada tipe packet filteringrouter lebih mudah untukmemeriksa dan mendata semuaaliran data yang masuk pada levelaplikasi. Kekurangannya adalahpemrosesan tambahan yangberlebih pada setiap hubungan.Yang akan mengakibatkan terdapatdua buah sambungan koneksi antarapemakai dan gateway, dimanagateway akan memeriksa danmeneruskan semua arus dari duaarah.
3. Circuit-level GatewayTipe ketiga ini dapat merupa-
kan sistem yang berdiri sendiri,atau juga dapat merupakan fungsikhusus yang terbentuk dari tipeapplication-level gateway.tipe ini ti-dak mengijinkan koneksi TCP end toend (langsung)
Cara kerjanya : Gateway akanmengatur kedua hubungan TCPtersebut, 1 antara dirinya denganTCP pada pengguna lokal (innerhost) serta 1 lagi antara dirinya de-ngan TCP pengguna luar (outsidehost). Saat dua buah hubunganterlaksana, gateway akan menya-lurkan TCP segment dari satu hu-bungan ke lainnya tanpa meme-riksa isinya. Fungsi pengamanan-nya terletak pada penentuan hu-bungan mana yang di ijinkan. Peng-gunaan tipe ini biasanya dikare-nakan administrator percaya
dengan pengguna internal (internalusers).
Merencanakan Jaringan DenganFireawll
Merencanakan sistem firewall padajaringan, berkaitan erat dengan jenisfasilitas apa yang akan disediakanbagi para pemakai, sejauh mana levelresiko-security yang bisa diterima,serta berapa banyak waktu, biaya dankeahlian yang tersedia (faktor teknis danekonomis). Firewall umumnya terdiridari bagian filter (disebut juga screenatau choke) dan bagian gateway(gate). Filter berfungsi untuk memba-tasi akses, mempersempit kanal, atauuntuk memblok kelas trafik tertentu.
Terjadinya pembatasan akses, ber-arti akan mengurangi fungsi jaringan.Untuk tetap menjaga fungsi komu-nikasi jaringan dalam lingkungan yangber-firewall, umumnya ditempuh duacara :Pertama, bila kita bayangkan jari-ngan kita berada dalam perlin-dungan sebuah benteng, komunikasidapat terjadi melalui pintu-pintu keluarbenteng tersebut. Cara ini dikenalsebagai packet-filtering, dimana filterhanya digunakan untuk menolak trafikpada kanal yang tidak digunakan ataukanal dengan resiko-security cukupbesar, sedangkan trafik pada kanalyang lain masih tetap diperbolehkan.Berbagai kebijakan dapat diterapkandalam melakukan operasi packetfiltering. Pada intinya, berupa meka-nisme pengontrollan data yang diper-bolehkan mengalir dari dan/atau kejaringan internal, dengan mengguna-kan beberapa parameter yang
90
tercantum dalam header paket data:arah (inbound atau outbound), addressasal dan tujuan, port asal dan tujuan,serta jenis protocol transport. Routerakan mengevaluasi informasi ini da-lam setiap paket data yang mengalirmelaluinya, kemudian menetapkanaksi yang harus dilakukan terhadappaket tersebut, berdasarkan setaturan/program dalam packet-filtering.Sehingga keputusan routing dasarrouter tersebut, kemudian dilengkapidengan bagian dari kebijakan securityjaringan. Tabel berikut akan menun-jukan contoh konfigurasi operasi pac-ket-filtering, untuk menyediakan hanyafasilitas SMTP inbound dan outboundpada jaringan.
Aturan A dan B melayani hubunganSMTP inbound (email datang), aturan Cdan D melayani hubungan SMTPoutbound (email keluar) serta aturan Emerupakan aturan default yang dila-kukan bila aturan aturan sebelumnyagagal. Kalau diamati lebih dekat, se-lain trafik SMTP konfigurasi tersebutjuga masih membolehkan hubunganmasuk dan keluar pada port >1023(aturan B dan D), sehingga terdapatkemungkinan bagi program-programserver seperti X11 (port 6000),OpenWindows (port 2000), ataukebanyakan program basis-data(Sybase, Oracle, Informix, dll), untukdihubungi dari luar. Untuk menutupkemungkinan ini, diperlukan evaluasiparameter lain, seperti evaluasi portasal. Dengan cara ini, satu-satunyacelah menembus firewall adalah de-ngan menggunakan port SMTP. Bilakita masih juga kurang yakin dengankejujuran para pengguna port ini, dapat
dilakukan evaluasi lebih lanjut dariinformasi ACK.
Kedua, menggunakan sistem proxy,dimana setiap komunikasi yang ter-jadi antar kedua jaringan harus dila-kukan melalui suatu operator, dalamhal ini proxy server. Beberapa pro-tokol, seperti telnet dan SMTP(Simple Mail Transport Protocol),akan lebih efektif ditangani denganevaluasi paket (packet filtering), se-dangkan yang lain seperti FTP (FileTransfert Protocol), Archie, Gopherdan HTTP (Hyper-Text TransportProtocol) akan lebih efektif ditanganidengan sistem proxy. Kebanyakanfirewall menggunakan kombinasi ke-dua teknik ini (packet filtering danproxy). Dalam jaringan yang mener-apkan sistem proxy, hubungan komun-ikasi ke internet dilakukan melalui sis-tem pendelegasian. Komputer-kom-puter yang dapat dikenali oleh internetbertindak sebagai 'wakil' bagi mesinlain yang ingin berhubungan ke luar.Proxy server untuk (kumpulan) pro-tokol tertentu dijalankan pada dual-homed host atau bastion-host, di-mana seluruh pemakai jaringan dapatberkomunikasi dengannya, kemudianproxy server ini bertindak sebagai dele-gasi. Dengan kata lain setiap programclient akan berhubungan denganproxy server dan proxy server ini lahyang akan berhubungan dengan serversebenarnya di internet. Proxy serverakan mengevaluasi setiap permintaanhubungan dari client dan memutuskanmana yang diperbolehkan dan manayang tidak. Bila permintaan hubunganini disetujui, maka proxy server me-relay permintaan tersebut pada serversebenarnya.
91
Ada beberapa istilah menunjuk padatipe proxy server, diantaranya proxylevel aplikasi, proxy level circuit, proxygenerik atau khusus, proxy cerdas,dll. Apapun jenis proxy yang diguna-kan, ada beberapa konsekuensi imple-mentasi sistem ini: Pada umumnya memerlukan
modifikasi client dan/atau prose-dur akses serta menuntut penyedia-an program server berbeda untuksetiap aplikasi.
Penggunaan sistem proxy memung-kinkan penggunaan private IPAddress bagi jaringan internal. Kon-sekuensinya kita bisa memilih untukmenggunakan IP Address kelas A(10.x.x.x) untuk private IP addressyang digunakan dalam jaringaninternet; sehingga komputer yangdapat tersambung dalam jaringaninternal dapat mencapai jumlahjutaan komputer.
Paket SOCKS atau TIS FWTKmerupakan contoh paket perangkatlunak proxy yang sering digunakandan tersedia bebas di internet.
PembahasanUntuk melakukan optimalisasi suatufirewall ada beberapa hal yang perludiperhatikan. Diantaranya :
Yang pertama kita perlu menentukanPolicy atau kebijakan firewall ter-sebut. Kerena penentuan policyatau kebijakan merupak hal yangsangat penting, baik atau buruknyasebuah firewall sangat ditentukanoleh policy atau kebijakan yangditerapkan. Penentuan kebijakantersebut meliputi : Menentukan apa saja yang perlu
dilayani. Artinya apa saja yangakan dikenai kebijakan yang akankita buat.
Menentukan individu ataukelompok-kelompok yang akandikenai policy atau kebijakantersebut.
Menentukan layanan-layananyang dibuthkan oleh tiap-tiapindividu atau kelompok yangmenggunakan jaringan.
Berdasarkan setiap layanan yang
digunakan oleh individu atau ke-lompok tersebut akan ditentukanbagaimanan konfigurasi terbaikyang akan membuatnya semakinnyaman.
Menerapkan semua policy ataukebijakan tersebut.
Berikutnya dapat menganalisisdaftar port-port yang digunakanoleh berbagai protocol dan mem-buka port-port tersebut kedalamfirewall dan port-port terebut harustepat. Server web biasanyadiidentifikasikan melalui port 80,FTP (File Transfer Protocol) me-lalui port 21, SSH melaui port 22.Port ini menunjukan port manayang harus dibuka di sisi serverweb. Pada PC port-port yang perludibuka adalah untuk membuat ko-neksi keluar, settingan untuk itubiasanya telah dilakukan oleh firewallsecara otomatis ketika ketika kitamenjalankan sebuah program yangmemerlukan koneksi ke internet. Ke-tika kita telah mengetahui port-portmana saja yang dibutuhkan oleh pro-gram buka port-port tersebut ke-dalam firewall. Sering menemukandan memanfaatkan titik-titik kelema-han yang ada. Jika kita sedangmenggunakan notebook yang ter-hubung ke hotspot umum tutup port-port yang terbuka. Firewall modernakan secara otomatis mengenalijaringan dan mengkonfigurasi dirisendiri seseuai dengan situasi. Ke-banyakan firewall masa kini mena-warkan fungsi setting otomatis untukfile dan printer-sharing. Pada firewalllain seperti XP-firewall harus setiapkali dikonfugurasi secara manual.Untuk mengaktifkan file dan printer-sharing, buka port TCP 139 dan 445serta port UDP 137 dan 138 untukdata masuk. Selain itu kita perlumengijinkan permintaan echo ICMP.Apabila kita terkoneksi ke inte-rnet melalui sebuah router adabaiknya jika mengkonfigurasi routertersebut. Settingan router yang perludirubah adalah fungsi Port Forward-ing yang harus diaktifkan, karena
92
pada kebanyakan router suatu fung-si Port Forwarding biasanya telahdimatikan secara default. Dengankonfigurasi yang tepat, router akanmenolak paket IP dengan pengirimpalsu.
Pengoptimalisasian firewall yangberikutnya adalah menentukan kon-figurasi suatu firewall dengan tepat.Ada beberapa konfigurasi firewall :
Dual-homed host
Dual homed host bisa menjadirouter, namun untuk menjadi firewalllalu lalu-lintas IP dalam arsitektur inibenar-benar di-blok. Jadi kalau adapaket yang mau keluar masuk,harus lewat proxy.
•Screened Host
Menggunakan bastion host yangdiletakkan dalam intranet, dan se-luruh komunikasi keluar masuk ha-rus melalui proxy pada bastion dankemudian melalui screening router.Bastion host merupakan sistem/bagian yang dianggap tempat ter-kuat dalam sistem keamanan jari-ngan oleh administrator.atau dapatdi sebut bagian terdepan yang di-
anggap paling kuat dalam me-nahan serangan, sehingga menjadibagian terpenting dalam penga-manan jaringan, biasanya merupa-kan komponen firewall atau bagianterluar sistem publik. Sekilas terlihatbahwa dual-homed architecture lebihaman, tetapi dalam prakteknya ba-nyak kegagalan sistem yang me-mungkinkan paket lewat dari satusisi ke sisi lainnya dalam dualhomed architecture. Jadi alasanutama menggunakan screened hostarchitecture adalah karena routerlebih mudah diamankan ketimbangsebuah komputer/host. Kejelekanutama kedua-duanya adalah mere-ka memiliki ‘single point of failure’.
Screened Subnet
Alasan mengapa Bastion host seringmenjadi target serangan. Karenaidenya adalah kalau bastion hostberhasil dibobol, jangan sampaipenyerang masuk ke dalam jari-ngan internal. Oleh karena itu bas-tion host diletakkan di perimeternetwork. Untuk membobol jaringan,hacker harus menyerang exteriorrouter dan interior router. Ada jugayang memiliki perimeter berlapis,dimana syaratnya agar efektif ada-lah sistem pertahan tiap lapis harusberbeda-beda.
Perimeter network yaitu kalau adaorang yang berhasil menembus keexterior router dan bastion, maka sangpenyerang hanya bisa melihat paketyang berkeliaran di perimeter networksaja. Jadi lalu-lintas komunikasi padajaringan internal (yang relatif sensitif)tidak dapat dilihat oleh penyerang dari
93
perimeter network.
Bastion host Bertindak sebagai titikmasuk koneksi dari luar, termasukSMTP, FTP dan DNS. Sedangkan untukmelakukan koneksi dari client ke serverdi Internet dapat dilakukan dengan 2cara: Mengizinkan router-router agar klien
bisa berhubungan dengan serverInternet secara langsung.
Menggunakan proxy server padabastion penting-penting saja. Misal-nya hubungan SMTP antara bastiondengan mail server internal. Perha-tikan komputer server internal apasaja yang terhubung dengan bas-tion, karena itulah yang akan men-jadi target serangan jika bastionberhasil dihancurkan oleh hacker.
Exterior router pada prakteknya meng-izinkan banyak paket keluar, dan hanyasedikit memfilter paket masuk. Na-mun, biasanya untuk screening net -work internal, settingnya sama antarainternal dan external router. Tugasutama external router adalah untukmemblok paket yang memiliki alamatyang palsu dari luar (karena berusahamenyamar dengan alamat IP salahsatu host dalam internal network).Karena pasti dari Internet. Kenapatidak di internal router? Karena masihbisa dari perimeter net yang sedikitlebih trusted.
KesimpulanSuatu keamanan merupakan suatu
hal yang sangat penting dalam duniainternet baik keamanan komputermaupun keamanan jaringan yang ba-nyak dipenuhi dengan berbagai anca-man baik dari dalam maupun dari luar,dan firewall merupakan solusi untukdapat mengatasi keamanan tersebut.Dengan suatu konfigurasi yang tepatpada firewall maka kemungkinan untukmengamankan suatu data ataukomputer pada jaringan menjadi jauhlebih aman.
Konfigrasi suatu firewall yangpertama adalah penentuan policy ataukebijakan firewall tersebut tentang apa
saja yang akan dikenai kebijakantersebut, siapa saja yang akan dikenaikebijakan tersebut dan layanan-layananyang dibutuhkan tiap individu tersebut.Kemudian menentukan port-port yangdigunakan oleh berbagai protokol danmembuka port-port tersebut kedalamfirewall, dan juga membuka port yangdigunakan untuk file sharing danrequest ping. Selanjutnya adalah me-nentukan suatu konfigurasi yang tepatdan sesuai dengan keadaan jaringan-nya. Screened subnet merupakankonfigurasi yang paling tinggi tingkatkeamanannya, karena pada konfigurasiini digunakan 2 buah paket filteringrouter, sehingga jaringan local menjaditidak terlihat (invisible) dan tidak dapatmengkonstruksi routing langsung keinternet atau dengan kata lain internetmenjadi invisible karena router luaryang akan melayani hubungan antarainternet dan bastion host, namumbukan berarti jaringan local tidak dapatmelakukan koneksi ke internet.
Dengan konfigurasi tersebut me-mungkinkan firewall kita dapat me-nigkatkan keamanan yang jauh lebihbaik dari ancaman-ancaman internet.Namun tidak menutup kemungkinanbahwa jaringan kita tetap dapat di-serang oleh hacker yang serangannyasangat terarah. Namun lebih baiksedikit terlindungi daripada tidak samasekali.
Referensi1. Tanembaum, Andrew S. 1996. Jaringan
Komputer Edisi Bahasa Indonesia Jilid1. Prenhallindo : Jakarta.
2. Majalah CHIP edisi Mei 2007.Firewall Yang Sempurna.
3. http://www.erlangga.co.id/blog/viewtopic.php?t=188&sid=f9320f1898d08eba99484 54883 072f 1b
4. http://students.ukdw.ac.id/~22022807/kommasd.html
5. http://library.adisanggoro.or.id/Security/TransparanDigisec-5firewall.htm
6. http://www.klik-kanan.com/fokus/firewall.shtml
7. http://www.ictwatch.com/internetsehat/download/internetsehat-
94
modulemanual/modulpersonalfirewall.pdf
8. http://www.ictwatch.com/internetsehat/download/internetsehat-modulemanual/modul
personalfirewall.pdf9. http://ilmukomputer.com