Firewall adalah sebuah software atau hardware atau

Fi Firewall ll

Pengertian Firewall •

Firewall adalah sebuah software atau hardware atau kombinasi keduanya maupun sistem itu sendiri untuk mencegah akses yang tidak berhak ke suatu jaringan sehingga ada suatu mekanisme yang bertujuan untuk melindungi baik dengan menyaring, melindungi, menyaring membatasi atau bahkan menolak suatu hubungan/kegiatan (dari dari luar kedalam atau dari dalam ke luar) luar suatu segmen pada jaringan pribadi dengan jaringan luar l ar yang ang bukan b kan merupakan ruang lingkupnya berdasarkan aturanaturan yang ditetapkan. Segmen tersebut dapat merupakan sebuah jaringan workstation, server,router, atau local area network (LAN) maupun wireless. 2

Konsep Firewall ●

Tujuan j untuk melindungi, g , dengan g : ● ● ●

●

Menyaring membatasi menolak

hubungan /kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar yang bukan merupakan ruang lingkupnya

Segmen tersebut dapat merupakan sebuah workstation, server, router, atau local area network (LAN) anda

3

Konfigurasi Sederhana pc (j p (jaringan g local)) <==> firewall <==> internet (j (jaringan g lain))

Boleh lewat mbak ? Nih surat-suratnya Anak kecil ga boleh keluar.. sudah malam

Firewall

4

Karakteristik Firewall ●

Seluruh hubungan/kegiatan dari dalam ke luar , h harus melewati l ti fifirewall. ll ●

●

Hanya Kegiatan yang terdaftar/dikenal yang dapat melewati/melakukan hubungan, g ●

●

Hal ini dapat dilakukan dengan cara memblok/membatasi baik secara fisik semua akses terhadap jaringan Lokal, kecuali melewati firewall firewall. Banyak sekali bentuk jaringan yang memungkinkan.

hal ini dapat dilakukan dengan mengatur policy pada konfigurasi keamanan lokal. Banyak sekali jenis firewall yang dapat dipilih sekaligus berbagai jenis policy yang ditawarkan.

Firewall itu sendiri haruslah kebal atau relatif kuat terhadap serangan/kelemahan. ●

hal ini berarti p penggunaan gg sistem yyang g dapat p dipercaya p y dan dengan Operating system yang relatif aman. 5

Teknik Yang Digunakan ●

Service control (kendali terhadap layanan) ●

●

Direction Control (kendali terhadap arah) ●

●

berdasarkan arah dari berbagai permintaan (request) terhadap layanan yang akan dikenali dan diijinkan melewati firewall.

User control (kendali terhadap pengguna) ●

●

berdasarkan tipe-tipe layanan yang digunakan di Internet dan boleh diakses baik untuk kedalam ataupun keluar firewall. Biasanya firewall akan mencek no IP Address dan jjuga g nomor p port yyang g di gunakan baik pada protokol TCP dan UDP, bahkan bisa dilengkapi software untuk proxy yang akan menerima dan menterjemahkan setiap permintaan akan suatu layanan sebelum mengijinkannya.Bahkan bisa jadi software pada server itu sendiri , seperti layanan untuk web ataupun untuk mail mail.

berdasarkan pengguna/user untuk dapat menjalankan suatu layanan, artinya ada user yang dapat dan ada yang tidak dapat menjalankan suatu servis,hal ini di karenakan user tersebut tidak di iji k untuk ijinkan k melewati l i fifirewall. ll Bi Biasanya di digunakan k untuk k membatasi user dari jaringan lokal untuk mengakses keluar, tetapi bisa juga diterapkan untuk membatasi terhadap pengguna dari luar.

Behavior Control (kendali terhadap perlakuan) ●

berdasarkan seberapa banyak layanan itu telah digunakan. Misal, firewall dapat memfilter email untuk menanggulangi/mencegah spam.

6

Tipe Firewall ● ●

Rule Based Packet Filtering ● ●

●

Static St ti Stateful

Application Level

7

Rules Based Firewall ● ●

Firewalls rules are created to match policy p y Rules are based on: ●

Routing based filters (Who – siapa) ● ● ● ●

●

Sender and Destination berasal dari mana ? Mau ke mana ? Tidak peduli mau ngapain di sana

Content based filters (What – mau apa) ● ● ●

TCP/IP Port numbers and Services Apa yang akan kamu lakukan di sana ? Tidak semudah yang nomer 1, sebab kadang-kadang p seorang g client bisa ditipu 8

Dua pendekatan aturan ●

Default allow ● ●

●

Mengijinkan semua lewat kecuali yang terdaftar Place roadblocks/watch gates along a wide open road.

Default deny ● ●

Semua dilarang lewat kecuali yang terdaftar Build a wall and carve paths for everyone you like.

9

Packet Filtering ●

● ●

●

Packet Filtering diaplikasikan dengan cara mengatur semua packet k t IP b baik ik yang menuju, j melewati l ti atau t akan dituju oleh packet tersebut. pada tipe ini packet tersebut akan diatur apakah akan k di tterima i d dan dit diteruskan k , atau t di ttolak. l k penyaringan packet ini di konfigurasikan untuk menyaring packet yang akan di transfer secara dua arah (baik dari atau ke jaringan lokal) lokal). Biasa dikenal sebagai packet inspection ●

Examines IP, TCP, UDP, and ICMP headers and port number ●

Static packet inspection

●

Stateful inspection

10

Static Packet Filter Firewall Corporate Network Permit (Pass)

Deny (Drop)

Log File

The Internet IP-H

TCP-H Application Message

IP-H

UDP-H Application Message

IP H IP-H

Static Packet Filter Fi Firewall ll

ICMP H ICMP-H

ICMP Message

Only IP, TCP, UDP and ICMP Headers Examined

11

Static Packet Filter Firewall Corporate Network Permit (Pass)

Deny (Drop)

Log File

The Internet IP-H

TCP-H Application Message

IP-H

UDP-H Application Message

IP H IP-H

Static Packet Filter Fi Firewall ll

ICMP H ICMP-H

ICMP Message

Arriving Packets Examined One at a Time, in Isolation; This Misses Many Arracks 12

New Stateful Inspection Firewalls

●

Default Behavior ● Permit connections initiated by an internal host ● Deny y connections initiated byy an external host ● Can change default behavior with ACL

Automatically Accept Connection Attempt Router

Internet

A tomaticall Den Automatically Deny Connection Attempt 13

Stateful Inspection Firewalls ●

State of Connection: Open or Closed ●

State: Order of packet within a dialog

●

Often simply whether the packet is part of an open connection

14

Stateful Inspection Firewalls ●

Stateful Firewall Operation ●

If accept a connection… connection

●

Record the two IP addresses and port numbers in state table as OK (open)

●

Accept future packets between these hosts and ports with no further inspection ●

This can miss some attacks, but it catches almost everything except attacks based on application message content 15

Stateful Inspection Firewall O Operation ti I 2. Establish Connection

1. TCP SYN Segment From: 60.55.33.12:62600 To: 123.80.5.34:80

3. TCP SYN Segment From: 60.55.33.12:62600 To: 123.80.5.34:80

Note: Outgoing Stateful Internal Connections Firewall Client PC Allowed By 60.55.33.12 Default Connection Table Type

Internal IP

Internal Port

External IP

TCP

60.55.33.12

62600

123.80.5.34

External Webserver 123.80.5.34 External Status Port 80

OK 16

Stateful Inspection Firewall O Operation ti I Stateful Firewall 6. Internal TCP SYN/ACK Segment Client PC From: 123.80.5.34:80 60.55.33.12 To: 60.55.33.12:62600

Connection Table

4. TCP SYN/ACK Segment External From: 123.80.5.34:80 Webserver To: 60.55.33.12:62600123.80.5.34

5. Check Connection OK; Pass the Packet

Type

Internal IP

Internal Port

External IP

TCP

60.55.33.12

62600

123.80.5.34

External Status Port 80

OK

17

Stateful Inspection Firewalls ●

Stateful Firewall Operation ●

For UDP, UDP also record two IP addresses and port numbers in the state table

C Connection ti T Table bl Type

Internal IP

Internal Port

External IP

External Status Port

TCP

60.55.33.12

62600

123.80.5.34

80

OK

UDP

60.55.33.12

63206

1.8.33.4

69

OK 18

PACKET FILTERING Contohnya: packet bertujuan ke server kita menggunakan IP 202.159.121.38 dengan port 80 (atribut yang dimiliki paket tsb) An abbreviated A bb i t d packet… k t Source SrcPort Destination DestPort 204.210.251.1 8104 128.146.2.205 31337 A Cisco packet filter access-list 2640 deny any 128.146.2.0 0.0.0.255 gt 1023

19

Packet Filtering Example (1) 1. If source IP address = 10.*.*.*, DENY [private IP address range] 2 If source IP address 2. dd = 172 172.16.*.* 16 * * to 172 172.31.*.*, 31 * * DENY [private [ i t IP address range] 3. If source IP address = 192.168.*.*, DENY [private IP address g ] range] 4. If source IP address = 60.40.*.*, DENY [firm’s internal address range] 5 If source IP address = 1.2.3.4, 5. 1 2 3 4 DENY [black [black-holed holed address of attacker] 6. If TCP SYN=1 AND FIN=1, DENY [crafted attack packet] 7. If destination IP address = 60.47.3.9 AND TCP destination port=80 OR 443, PASS [connection to a public webserver] 8 If TCP SYN 8. SYN=1 1 AND ACK=0 ACK 0, DENY [attempt to open a connection from the outside] 20

Packet Filtering Example (1…) 9. If TCP destination port = 20, DENY [FTP data connection] 10 If TCP destination 10. d i i port = 21, 21 DENY [FTP supervisory i control t l connection] 11. If TCP destination port = 23, DENY [Telnet data connection] 12 If TCP destination port = 135 through 139, 12. 139 DENY [NetBIOS connection for clients] 13. If TCP destination port = 513, DENY [UNIX rlogin without password] 14 If TCP destination 14. d ti ti portt = 514, 514 DENY [UNIX rsh h llaunch h shell h ll without login] 15. If TCP destination port = 22, DENY [SSH for secure login, but some versions are insecure]] 16. If UDP destination port=69, DENY [Trivial File Transfer Protocol; no login necessary] 17. If ICMP Type = 0, PASS [allow incoming echo reply messages] DENY ALL 21

Packet Filtering Example (1…) ●

DENY ALL ●

Last rule

●

Drops any packets not specifically permitted by earlier rules

●

In the previous ACL, Rules 8-17 are not needed; Denyy all would catch them

22

Packet Filtering Example (2) 1. If source IP address = 10.*.*.*, DENY [private IP address range] 2. If source IP address = 172.16.*.* to 172.31.*.*, DENY [private IP address range] 3. If source IP address = 192.168.*.*,, DENY [p [private IP address range] 4. If source IP address NOT = 60.47.*.*, DENY [not in internal address range] g ] Rules 1-3 are not needed because of this rule

5. If ICMP Type = 8, PASS [allow outgoing echo messages] 6. If Protocol=ICMP, DENY [drop all other outgoing ICMP messages] 7. If TCP RST=1, DENY [do not allow outgoing resets; used in host 23 scanning]

Packet Filtering Example (2) 8.

If source IP address = 60.47.3.9 and TCP source port = 80 OR 443, PERMIT [public webserver responses] Needed because next rule stops all packets from well-known port numbers

9. If TCP source port=0 through 49151, DENY [well-known and registered ports] 10. If UDP source port=0 through 49151, DENY [well-known and registered ports] 11. If TCP source port =49152 through 65,536, PASS [allow outgoing client connections] 12. If UDP source p port = 49152 through g 65,536, PERMIT [[allow outgoing client connections] Note: Rules 9-12 only work if all hosts follow IETF rules for port assignments (well-known, registered, and ephemeral). Windows computers do. Unix computers do not

13. DENY ALL No need for Rules 9-12

24

Packet Filtering ●

●

Kelebihan dari tipe p ini adalah mudah untuk di implementasikan, transparan untuk pemakai, lebih cepat Kelemahannya : ●

● ● ●

Cukup rumitnya untuk menyetting paket yang akan difilter secara tepat, serta lemah dalam hal authentikasi Mudah terjadi miskonfigurasi Sukar melakukan konfigurasi terhadap protokol yang dinamis Tidak dapat menangani content-based filtering (remove e-mail attachments, javascript, ActiveX) 25

Packet Filtering ●

Serangan yang mungkin terjadi ●

IP address spoofing : ●

●

Source routing attacks : ●

●

intruder (penyusup) dari luar dapat melakukan ini dengan cara menyertakan/menggunakan ip address jaringan lokal yanbg j untuk melalui firewall. telah diijinkan tipe ini tidak menganalisa informasi routing sumber IP, sehingga memungkinkan untuk membypass firewall.

Tiny Fragment attacks : ●

intruder (penyusup) membagi IP kedalam bagian bagian (fragment) yang lebih kecil dan memaksa terbaginya informasi mengenai TCP header. Serangan jenis ini di design untuk menipu aturan penyaringan yang bergantung kepada informasi dari TCP header. penyerang berharap hanya bagian (fragment) pertama saja yang akan di periksa dan sisanya akan bisa lewat dengan bebas. Hal ini dapat di tanggulangi dengan cara menolak semua packet dengan protokol TCP d memiliki dan iliki Off Offset = 1 pada d IP ffragment (b (bagian i IP) 26

Aplication Level Gateway (Proxy Fi Firewall) ll) Mekanismenya y tidak hanya y berdasarkan sumber, tujuan dan atribut paket, tetapi juga bisa mencapai isi paket tersebut

27

Application Level ●

●

●

Application-level Gateway yang biasa juga di kenal sebagai proxy server yang berfungsi untuk memperkuat/menyalurkan arus aplikasi. Tipe ini akan mengatur semua hubungan yang menggunakan layer aplikasi ,baik itu FTP, HTTP, GOPHER dll. Cara kerjanya adalah apabila ada pengguna yang menggunakan k salah l h satu t aplikasi lik i semisal i l FTP untuk t k mengakses secara remote, maka gateway akan meminta user memasukkan alamat remote host yang akan di akses.Saat pengguna mengirimkan USer ID serta informasi lainnya yang sesuaii maka k gateway t akan k melakukan l k k h hubungan b tterhadap h d aplikasi tersebut yang terdapat pada remote host, dan menyalurkan data diantara kedua titik. apabila data tersebut tidak sesuai maka firewall tidak akan meneruskan data t tersebut b t atau t menolaknya. l k Lebih L bih jjauh h llagi, i pada d ti tipe iinii Firewall dapat di konfigurasikan untuk hanya mendukung beberapa aplikasi saja dan menolak aplikasi lainnya untuk melewati firewall. Biasa dikenal Application Inspection ●

Examines application layer messages

28

Application Level ●

Kelebihannya : ● ● ● ● ● ●

●

Relatif lebih aman daripada tipe packet filtering router lebih mudah untuk memeriksa (audit) dan mendata (log) semua aliran data yang masuk pada level aplikasi. Tidak mengijinkan langsung koneksi antara internal dan eksternal host Can support authentication, ‘classes’ of users Can allow/deny access based on content Can keep very detailed logs of activity (including the data portions of packets) C hi Caching

Kekurangannya ●

●

●

● ● ●

pemrosesan tambahan yang berlebih pada setiap hubungan. yang akan mengakibatkan terdapat dua buah sambungan koneksi antara pemakai dan gateway, dimana gateway akan memeriksa dan meneruskan semua arus dari dua arah. Lebih lambat daripada p packet p filtering g firewall

Require additional hardware ● more hardware for more users ● slow hardware = slow service Some firewalls require special client configurations on the workstations. Some protocols may not be supported (AIM, (AIM RealAudio, RealAudio Napster, Napster H.323) H 323) Varies by vendor. Configuration can be complex ● Must configure proxy for each protocol

29

A hit t Architecture Firewall Fi ll

Home Firewall Architecture PC Fi Firewall ll

Internet Service Provider

Always-On Connection Coaxial Cable

Broadband Modem

UTP Cord

Home PC

Windows XP has an internal firewall Originally called the Internet Connection Firewall Disabled by default After Ser Service ice Pack 2 called the Windo Windowss Firewall Fire all Enabled by default

New

31

SOHO Firewall Router A hit t Architecture I t Internet t Service S i Provider P id Ethernet Switch UTP Broadband Modem (DSL or Cable)

UTP

SOHO Router --Router DHCP Sever, NAT Firewall, Firewall and Limited Application Firewall

Many Access Ro Man Routers ters Combine the Ro Router ter and Ethernet Switch in a Single Box

UTP User PC

User PC

User PC 32

Firewall Architecture for a L Larger Firm Fi with ith a Single Si l Site Sit 1. Screening Router 60 47 1 1 Last 60.47.1.1 Rule=Permit All Internet 172 18 9 S 172.18.9.x Subnet b t Public W b Webserver 60.47.3.9

Marketing Client on 172.18.5.x Subnet

Accounting Server on 172.18.7.x Subnet

SMTP e ay Relay Proxy 60.47.3.10

External DNS S Server 60.47.3.4

HTTP Proxy Server 60.47.3.1

33

Setting Firewall ● ● ●

Using the “DMZ” DMZ (DeMilitarized zone) to your advantage Firewalls as Intrusion Detection devices Configure VPN’s for management

34

DMZ Configuration ● ●

Separate p area off the firewall Different network segments may have different policies ● ● ● ●

● ● ●

Departments Service areas Public Services Internal Services

Usually a different subnet Commonly used to house Internet facing machines (i.e. Web Servers) Has its own firewall policy 35

DMZ Configuration ● ●

Place web servers in the “DMZ” network Only allow web ports (TCP ports 80 and 443)

internet Firewall

Web Server 36

DMZ Configuration ● ● ● ●

Don’t allow web servers access to your network All Allow llocall network k to manage web b servers (SSH) Don’t allow servers to connect to the Internet Patching is not convenient Mas ..yang merah gak boleh lewat lho

internet

Firewall

Web Server 37

DMZ Configuration Jaringan J i L Lokal: k l • Semua boleh menghubungi web(port 80/443 server (p • PC-PC tertentu boleh menghubungi server lewat SSH (port 22) • Server tidak boleh menghubungi jaringan lokal

Firewall

IInternet: t t • Semua boleh menghubungi web(port 80/443 server (p • Selain layanan web tidak diperkenankan • Server tidak boleh jalan jalan di internet jalan-jalan

Web Server

38

Firewall sebagai IDS ● ● ● ●

IDS = Intrusion Detection System Collect log information from the deny rules Find Portscanning, hacking attempts, etc… t Isolate traffic with deny rules helps cut down the information overload 39

Firewall sebagai IDS ● ●

What to do with ALL that data data…..Graph Graph It! Shows trends trends, what people are looking for ●

●

H l prioritize Helps i iti security it ttasks k

Occasionally you may want to block portscans 40

Firewall sebagai IDS ● ● ● ●

Pay close attention to traffic leaving DMZ Often the first sign of a compromise Low traffic rules, so logs aren’t as enormous Email is nice, provided you’re the only one reading it 41

VPN ● ●

VPN = Virtual Private Network VPN is far more secure than other management methods: ● ● ●

SSL and SSH are vulnerable to Man-InThe Middle Attacks Telnet and SNMP are clear text Th There are no known k MIM attacks tt k against i t IPSEC (Yet) 42

VPN ● ● ● ●

VPN clients are supported on most platforms Most firewalls will work with most clients Netscreen now officially supports F S FreeSwan Mac OS X is now supporting VPN

43