Firewall Instruktur : Ferry Wahyu Wibowo, S.Si., M.Cs.
Firewall Sebuah sistem atau grup sistem yang menjalankan kontrol akses keamanan diantara jaringan internal yang aman dan jaringan yang tidak dipercaya seperti internet.
Firewall Ide: memisahkan jaringan lokal dari internet
Host terpercaya dan jaringan
Firewall
Router
Intranet
DMZ
Demilitarized Zone: dapat diakses server dan jaringan publik
Mirip Benteng dan Parit o Lebih mirip dengan parit di sekeliling benteng daripada
dinding api • Menghalangi akses dari luar
• Menghalangi koneksi batasan luar
Lokasi Firewall di Jaringan o Antara LAN internal dan jaringan eksternal o Pada gateway sub-jaringan sensitif dengan organisasi LAN o Pada mesin end-user o “Personal firewall” o Microsoft’s Internet Connection
Macam-macam Firewall Software 1. Banyak digunakan perorangan, warnet, perusahaan menengah
kebawah ataupun kampus 2. Lebih murah dan relatif mudah penggunaannya 3. Produsen : Symantec, McAfee, BitDefender, Zone Alarm, Microsoft, dll. Hardware (dedicated computer for firewall) 1. Lebih aman 2. Mahal 3. Perusahaan-perusahaan besar atau instansi-instansi penting
Komponen Sistem Firewall Firewall dapat berupa PC, router, midrange, mainframe, UNIX workstation, atau gabungan. Firewall dapat terdiri dari satu atau lebih komponen fungsional sebagai berikut : Packet-filtering router Application level gateway (proxy) Circuit level gateway
Ilustrasi Firewall
Perbedaan Performance
o Packet filter
Baik
Modifikasi Aplikasi klien
Bertahan dari fragm. serangan
Tidak
Tidak
o Session filter
Tidak
Mungkin
o Circuit-level gateway
Ya (SOCKS)
Ya
o Application-level gateway Buruk
Ya
Ya
Tipe Firewall Firewall terdiri dari satu atau lebih elemen software yang berjalan pada satu atau lebih host. Packet-filtering Firewall Dual-homed Gateway Firewall Screened Host Firewall Screened Subnet Firewall
Packet-filtering Firewall Terdiri dari sebuah router yang diletakkan diantara jaringan
eksternal dan jaringan internal yang aman. Rule Packet Filtering didefinisikan untuk mengijinkan atau menolak traffic.
Jika packet filter digunakan, traffic dapat mengalir ke jaringan internal
Contoh : Packet Filtering
Contoh : FTP
[Wenke Lee]
FTP server
Klien membuka saluran perintah ke server; memberitahu server nomor port kedua
20 Data
FTP client
21 Command
Koneksi dari port acak pada host eksternal
5150
5151
Server menjawab Server membuka saluran data ke port kedua klien Klien menjawab
FTP Packet Filter Aturan filtering mengijinkan seorang pengguna untuk FTP dari suatu alamat IP ke server FTP pada 172.168.10.12 access-list 100 permit tcp any gt 1023 host 172.168.10.12 eq 21 access-list 100 permit tcp any gt 1023 host 172.168.10.12 eq 20 ! Allows packets from any client to the FTP control and data ports access-list 101 permit tcp host 172.168.10.12 eq 21 any gt 1023 access-list 101 permit tcp host 172.168.10.12 eq 20 any gt 1023 ! Allows the FTP server to send packets back to any IP address with TCP ports > 1023 interface Ethernet 0 access-list 100 in ! Apply the first rule to inbound traffic access-list 101 out ! Apply the second rule to outbound traffic ! Tidak secara jelas diijinkan oleh daftar akses yang ditolak!
Kelemahan Packet Filter Tidak mengatasi serangan aplikasi tertentu • Misal, jika ada buffer overflow di server FTP, firewall tidak akan memblok serangan Tidak ada mekanisme otentikasi pengguna • … kecuali (spoofable) otentikasi berbasis alamat • Firewall tidak mempunyai fungsionalitas tingkat atas Mudah diserang serangan TCP/IP seperti spoofing • Solusi: daftar alamat untuk setiap antarmuka (paket-paket dengan alamat internal tidak harus datang dari luar) Keamanan menerobos miskonfigurasi
Fragmentasi tidak normal
Misal, bit ACK diatur di kedua fragment, Tetapi ketika dipasang, bit SYN bit diatur (tahap meluapnya SYN melalui firewall)
Serangan Fragmentasi [Wenke Lee] Telnet Client
Telnet Server
, mengirimkan 2 fragment dengan ACK bit set; fragment offset dipilih sehingga datagram dipasang oleh server membentuk paket dengan SYN bit set (fragment offset dari paket kedua overlap menjadi ruang paket pertama)
Ijin hanya jika ACK bit set 23
1234
SYN packet (no ACK)
Semua paket akan mempunyai ACK bit set
Dual-homed Gateway Firewall Dual-home host sedikitnya mempunyai dua interface jaringan dan
dua IP address. IP forwarding dinonaktifkan pada firewall, akibatnya trafik IP pada kedua interface tersebut kacau di firewall karena tidak ada jalan lain bagi IP melewati firewall kecuali melalui proxy atau SOCKS.
Screened Host Firewal Terdiri dari sebuah packet-filtering router dan application level
gateway Host berupa application level gateway yang dikenal sebagai “bastion host” Terdiri dari dua router packet filtering dan sebuah bastion host
Screened Subnet Firewall Membuat DMZ(Demilitarized Zone) antara jaringan internal dan
eksternal, sehingga router luar hanya mengijinkan akses dari luar bastion host ke information server, dan router dalam hanya mengijinkan akses dari jaringan internal ke bastion host Router dikonfigurasi untuk meneruskan semua untrusted traffic ke bastion host dan pada kasus yang sama juga ke information server.
Memproteksi Alamat dan Route Menyembunyikan alamat IP pada jaringan internal
NAT (network address translation) untuk memetakan alamat dalam header paket ke alamat internal Pemetaan 1-to-1 or N-to-1 Pemberitahuan rute filter Menggunakan
Permasalahan dengan Firewall Interferensi dengan aplikasi jaringan lain Jangan menyelesaikan permasalahan dengan aplikasi yang
tdak diketahui • Buggy software (think buffer overflow exploits) • Rancangan protokol yang buruk ( WEP dalam 802.11b)
Tidak mengatasi denial of service Tidak mengatasi serangan dalam Meningkatkan kompleksitas dan potensial untuk
miskonfigurasi
Sekian untuk hari ini
