IMPLEMENTASI
IMPLEMENTASISISTEM KEAMANA}.I FIREWALL PADA INTERNET Drs. 9r.'Khoe lao'tung,Jll,ill
''lllXomp
Ahstrnct 'tha mapr objrzctlueof lirewll securitg is to protect one network from another.'lJsua.Llg the network being protected fu.Longsto gou and the natwork that gou are protectlng from the external netmork thst cqnrnt be trusted and lrom which sacuritg attacks can originate. 'tlrc term lfrewall Lsusad bg mang as a ge.nericterm to describe ct wtde range ol lunction snd srchitectures ol deuices that protect tlrc network.'this psper wLII discuss the implementatton ftremll securitg in tlrc netmrk and descrlbe olmost ang nctwork securitg deulce, such o,sa hardmre encrgptlon deuice, a screening router and sn appllcatlon Level gatemg.
Pendahuluan Dalam .iaringankomputer modem sekarangini sepertilrrtentet.pendekatan keamananjaringanyang melindungisumberiaringanbcrhargadari kc.iutanlistrik (hazard-fire)sangatpenting.Karenahilangnyasunrberdaya infbrmasiini berarri hilangnyajuga nilai daya saing dan inJbrmasivital. Peralatanyang nrelindrurgi jaringandan sumberdayadai.fire dan tembokwall dai,jaringandiscbutdengan merupakanmanaiemen sebuahkomputcr sesungguhnya ftrewull.Konsep.firer'r,a//s (dalarnhal ini disebutrouter) yang mengilinkansalahsatuamhakseslebih besar *
KristcnKrida Wacana. padaI'akultasTeknikdanFakultasljkonomi(./niversilrs StafPerrga.jar Jakarta. lndonusaEsat.lng-eul. .lzrkarla. KepalaPusatKornputer.Universitas
Meditek
(r5
IMPLEMENTASI
dari arahaksesyang lain dalamhubungannya di dua.jaringan.Konscpkearnaniur yang merupakan konsep banyakdigmakan untuk melindr-urgi lirewall .jaringan intem dari akses-akses luar yang tidak dikehendzrki. Padaumumnya.fire*-ullclitempatkanantara.iaringan intemalyanghandaldanjaringanekstemalyang kurarrg handal.Dalam mendukungtulisan ini juga dibahaskomponen./ircu,ull,ssepcrli screeningrouters,duul-homehosts,bastionhost,sdm appliculktnslevelgateways.
KenapaPenting? 'fcrkaitnya .laringaur komputerkita kc Intemctbcrartinrcmbangun .jalanagar dau'isatukonrputcrkc konrputcrlain di dapatmcnelusrniinlirnnasidan berkelana seluruh dunia. Kcterlarikanbanyak orang urtuli membangur.lalzuikc "l(ota" Intemet. karenarnerekadenganbebasdapat nrampir ke "pn::rtokoan" lnilupult pusat-pusat informasi. 'fetapi satuhal yang perlu kita sadariadalahbahwajalar ke Intemetyarg kita bangturtidak hanyakita lalui sendiri.Oranglain di seberang dapatpula mclcwati tirnbul bila adaorangy.urgmclcwati.ialankita dan rnasukkc .ialankita. Persoalan komputertanpapermisi.Dan akansemakinrunit persoalannya sctelahda[r-datadi g ini 1I luc'karulau ('ruc'kar). korrrputerdikacaukanolehtamutak diundan (iambariurdi atasbukantidali beralasan. Kitrarna;ih diingatkardcnganKcvirr mcncuridatayang nilainva.lutiurn Mitnick yzurgditangkapFBI karenakeLrhu,an sebuahtruli atauscnjataapi untuknrcranrpok clata. clollar.Mitnick ticlakmernbawa PC sebuah dar modem diaparternennya. tapi lranvarnenggurakan sistcmkearraniurscbclunr Maka tidak ada salahnyabila kita memperhatikaan dilakukanantara.iaringan menyambungkc Intemet.terutamakalau sambungem kita dengan.laringarlur. Memanguntuk Iokal (intemal)yzurgadadi pemsahaan pemakai individual yang mengkoneksikanI'C-nya ke Intemet tidak perlu 'l-elapi sedikitbcrbeda memberikanperhatiansangatbesarkepadasistemkeamanan. sistemoperasiLlnk yang bila konrputeryangdikoneksikanke Intemetmenialzurkan mcnggurakan1o*rarrgkat opcn,r.vstant Olehscbabitu parapemakai(lnk disaraurkan yangbisadiproleh secaragmtis keamanan(security/ools)seperti,screen-dafander tflv,are). ftrublic'tktmuin.sr menjadisangatpentingdanl.ramsdiperhatikaur. bila korrcksikc Sistemkeamanan jaringar-r lokal kcntor. Pasalnya. orang luardapat di suatu Intemetberasaldari sebuah alamatlP Intcrnet masukke.iaringanlntemetkita. Kalau orangsudahmengetalrui Pruroail pelangganlntemet.dia dapatrnasukkc sistem.iaringankita. l'cmakai
66
l\4cclitck
IMPLEMENTASI
individualrelatiflebihamankarenabiasanyadiberialamatIP yangdinamis.alamat 'fetapi unnrk itu dapat bembah-ubahsetiap kali pernakai kryin ke Intemet. biasanyadiberi alamatlP yang tetap.Di sinilahsalahsatu pelangganperusahaan, itu pos keamananharusdibangundi jalan masukdari sebab titik rawannya.Oleh intemet ke jaringan lokal di kantor. Janganbiarkan orang iseng atau kompetitor ini Di duria komputasi,poskeamanan perusahaan andamengintipdata-datarahasia. populerderrganisltlahfirewal. Tidak salahlagi,.firev,alldapatdianikanscbagai api "membakar"sistemkita. dindingapi yangmencegah Tirai dinding api, ielaslahbahwafirewall merupakanbentengy:urgdibangun jahil yang antarajaringan lokal dengandunia luar, untuk mencegahtangan-timgan bisamerusaksistemjaringan kita. Sepertidinding api betulanyeurgtidak menjanrin dapat menahan api secala sempuma pada dasamya /irewall .iuga tidak jaringanseratuspersen. rnengamankan pada Penerapan/irewall sangat bergantrurgpada kebijaksanaankearnar-ran mulai dari mekanisme dengan dapatdibangun Firewall sebuahiaringan/perusahmn. jahil sampaipadasistemyang sangataman sekadarpenghambatdari tangan-tangan sistem keamanan yang tidak dapat diternbusoleh omng yang berpo*ngetahuan saia.FirewcLl/sendiridapatdibangturdenganberbagaicara.Mekanisnrc biasa-biasa yang unun digLurakansaat ini adalah menggurakanlilter rutlar. konrputcr gatewoy,danjaringanterisolasi.F'ilterrouter merupakan .fircwullpalingsederhana yangmengguralianpirantirouleryangdapatdiprograrn. denganIntemetakm mengontrollalu lintas Routeryarlgmenyambungiaringan data. Secaraselektif router melewatkatratau rnenrblokpaket data berdasarkan alamatsumberanu alamattujuan.Kita dapatmenggurakanroulcr sebagaifilter paket datayang masukmaupunkeluarjatit-tgun.Sayangnyasebagianbeswntuler sangatminim. memiliki konligurasikeamanan Bila kurang puas dengansistem keamaranyang sekadarfiltcr. kita dapat rater dengansebuahkomputer.Kotnputeryang bertindaksebagai menggantikarl pintu gerbangini memiliki fungsikeamananlebihtinggi.Sofiwareyangdilalankan sistemkeamanan. lubang-lubang padakomputerini dirancanguntukmempersempit pertahanan ini. Komputeryang titik di Kita dapatselalumemonitorsegalaaktivitas PC 486 dengan digrnakan sebagaigatewaybisa dimulai denganmengg;rurakan memori8 MB nt'grlilte. Firev,ull.lenislaimiya adalahberupa.laringankontputersebagaiganti sebuerh konrputer.Sepertilenis.ftrcwul/di atas.subjaringatini dibanguncli antarajaringeur dengarcaa scbelutrlnya. lmr atauIntemet.Dibandingkan intemaldcugan.iaringan
Meditek
6l
IMPLEMENTASI
cara ini sangatscsuaibila jaringanintcmalcukup besardan mcnriliki peluang pengembzuigan yang besar.Sistem pengamanenbisa dirancangdengantingkat padasu[r.jalingan danbcrlapis-lapis. sampaisuperketat Jumlahkonrputcr ini bisadLra atautiga buah. Memang tidak murah sistemmanayang kita terapkanterganhmgpadatingkat keamananyang kita kehendaki.yang sumbemyaberpengaruhpada biaya yang hamskita keluarkan.Seringbiayatidak hanyauntukprerangkat kerasdanperaurgkat lunak.tetapijugabiayainstalasisampaibiayauntukmemonitorsisternkeamanan kita. bila kita menggurakm scbuahr(niler sebagaifilter urtLrl< Sebagaigar.nbaran. paling tidakharusmengeluarkan lokal. Kita biayatJ$5.000.Iliayaini akan .iaringan nrembengkaklagi bila kita menggurakansebuahPC sebagaifirau'ull. Pcrangkat LJ$15.000.Bila dikehendaki sangat sistemkcarnanar luraknyasajadapatmencapai prcrangkat lunak ketat,kita memerlukanbiaya sampaitJ$ 100.000untukkonsultasi. sampaipemasangan. 'l'api tentu kita tidak boleh hanya Mernangmahal harga sebuahkeeunaran. melihat dari sisi biaya yang dikeluarkan.Kerugizuryang ditimbulkanbila orzurg rnengambilatau memusnahkaninlomrasi yang aka:r meniacliperlimbargan pengambilan kepuflsan.
Konsep Firewall intemaldan.izringarr ckstenral rnLua.jaringan Padaunrurnnya.fireu'ulldiletakkan yang digurakan untuk yang dictnigai. Fircu,a// berlindak selarassebagaititik memonitordanmenolaklalu lintasjaringanpadatingkataplikasi(lihat (iambzr I ). Firewall juga dapatberoperasipadajaringan lrawport loyers,dalamkasusini kjta dan kclmran paket mencobanrenjelaskanIP dan TCP heu
68
Mcditck
IMPLEMENTASI
Gambar1 FirewallspadalapisanOSI
Screening Routers rouler komersialmenyediakan Beberapa kcmampun untukmenampilkarpakct berdasarkan kriteriasepertimacarnprotokol.alanat sunberdan alanratdari tuiuan urhrk macamdantipe khususdari protokol.lield umtrolyang mcrupakanbagiarr disebutscreening r outer. dariprotokol.Beberapanya Beberapapenjualrailer menyebuhyasebagair(rulerscrecningurtuk kerjadari yang mcnyediakarproteksidari /irewalls. Fireu,ulls merekadalam pandangannya jaringandalamintemalberdasarkan kepadainfbmasi prosesrunler. Karenartnilar padalu.tteryangketiga(neluurklut,evl6A^n modelOSI.rnakaterdapat beroperasi proteksiyarg berdasarkan tipe dari /i'cv,ull yulg menyedialcan infonnasidari /r1ur' nelworkdaimodelOSI. Screeningroutar dapat mengontroltipe layananyeurgberadadalan segrrerl dapat diatur scdemikiarrschinggakcaninan .juringan .iaringar, pelayanamry'a dapat membatasiyarg cliinginkan.Su"ceningrrnttar tlapat clengandemikian membedakanlalu lintasjaringan berdasarkartipreprotokoldan nilai dari medaur protokoldalam paket. Kemanrpuanrouler urtuk membedakandan rnembatasipakct dalantptrt.s padakriteriaprotokolyang khusus!iulg dischutp:aketliltaring. IJntuk didasalkem paket/ilter r(nilcr routerjugadiscbutclcngrur alasaninilah.,sc'rcaning
Meditek
69
IMPLEMENTASI
Identifikasi Bagian Daerah Risiko pelayanan paket filter yang Gambar 2 menuniukkan contoh dari diimplementasikanoleh sebuahscreeningrouler. Gambarini juga merupakansatu jaringan perusahaanyang disambungkandengan Intemet melalui rouler yang menuniukkancarakeriapaket.filter ing. Statistik yang sekarangdi dalam Intemet menunjukkanterdiri dari i0.000 jaringandengantotal2.5 jvtahosts.DerTgan begitubanyakpenggurajaringandalarn Intemet maka saugattidak mengurtungkanbeberapasegmendari a,rcr vang suatu merupalianhuckeryangnakal.Dalamsituasiyingsamarurtukmenggerakkan maka terdapatsebagiankecil tindakan kriminal. Di daliun kota kita dapat denganmenggrurakarpintu yang dikurci nrakabeberapabagieur mempraktekkan juga ditturtutseseoftnguntuk mengetokpintu jika ingin masukke dalamrumah dicurigaiurtuk tidaknresuk seseoftrlg.Oratrgyangnampakkasarataukelihatannya juga paket filter yang rrruter menunjukkan screening ke dalam rumah sehingga dilihat apakahberpotensialuntuk bertindakkejahatan atau kelilingkeamanan yangdisebutdengzur Di dalarnbatasjaringanperusahaan securityperinteter.Dikarenakanhqckernakalyzurgterkaitdi dalarnlIrtemet.maka sangatberguraurtuk melihatzonarisiko. Zonerisiko adalahsemuaTCP/ll'>yang 'l'CP/lP berkemampuan di dalam .iaringan rurtuk langstu'rg rnengakses artinya hosts yang didukungoleh protokol TCPilP dan dengan berkemampuan dukungan protokol-protokolnya secara langsung mengaksesartinya tidak ada keku,atankeamananyang diukrn artinyatadinyapintu tidak dikunci antaraIntemet kita. aringanperusahaan danftr.r,rt^s.i
,'-t;\
1.'.,*.*"*" \:*-y Giunbar 2. Perantmascrccningrotttcr paclaintemct
70
Mcclitck
IMPLEMENTASI
Dari pandanganini Intemet secararegionalmaupun lokal bcsertajaringan backhonemenunjukliandaerahrawan.fkxt-ho.rts'di dalamdaeralirisiko adaleilr sangatrnudahsekalidiserang.Dengankeinginanyang sangattinggi meletakkai jaringan dalr't hostsberadadi luar daerahrisiko.Akan tetapitanpaperalatanini kita yang dibuat pada.iaringankita. daerahrisiko akan dapat memblokadeserzmgan beradadalamjaringanKta. Screeningrouler adalahsuatualat yang dapaturtuk mengurangikeberadaannya di dalam daerahrisiko,jadi dengandemikiantidali jaringan. dapatmenghilangkan ataupenebasikelilingkeamanan 'fidak semtn hosts'diperusahaan kita rnempunvaikemampuan TUP/IP,hahkan non TCP,{P /rostsdapat menjadi begitu rnudahdiserangwalaupunkenyataannya -f(lPllt, secarateknistidaktemrasulidalamdaerahrisiko.ini dapattcriadi.iikanon denganTCPiIPi?orls,penyelundup ftr.rsl.s dil-urbungkan protokol akanmenggunalian yangumum padakeduaTCP/IPlzostsataupunnon l-CP/lPho,v/,s urtuk mcngakscs -fcPnP. /zo.lzr melaluilnsls
No l.effic
ICP / tP H6t
$resing
N6
TCP / IP ftl
(iiunbar3. Screening padaberbagai host'l'('lYlP
l\'leclitel<
1l /l
IMPLEMENTASI Sebagaicontoh jka hosts beradadi dalam segmenEthernetyang samarnaka penyelturdup dapat mencapai iosls non TCP/IP melalui protokol Ethernet. Screeningrouter dengansendirinyatidak dapatmenghilangkandaerahrisiko yang dia dapat adalah suatu kemampuan yang cukup efektif untuk mengurangi keberadaannya di dalamdaerahrisiko.
ScreeningRouters Dan Firewall Pada Model OSI Gambar 4 membandingkansvatu steening router dan Jirewall di dalam huburgannyake model OSI. Padagambarini dapatkita lihat bahwa fungsi dari screeningrouler berkorespondensi denganjaringan. IP protokol dan transporatau TCP protokol ktyer dari model OSL Firewoll seringkali digambarkansebagai gatewoy. Galewuy dapat menwrjukkansuatu prosespada ketu.iuhlapisandalam model OSI. Akan tetapigatewoysecarakhususmenunjukkansuatuprosespada layer yangk.tuJuhatauaplikasidari modelOSl. Ini yangdilakukanuntuli harrrpir galewa,v,f ir ewaIl. sr;mtJa Gambar4 juga menunjukkanbahwafircv,r// mencakupsemualapisanjaringar dan tanspor dan dia menunjukkanfr.urgsisebagaipaket.filtering.Beberapapenjtnl unfuk pemasarannyamembedakanscreeningruiler dan sebuah.fireu,ulls unltk rnenturjukkanbahwa membedakanproduk .stt'acningrouler dan produk firav,ull. Dan urtnk lebih ielasnyamakalah ini akan membuatperbedaanantarascracninlg padamodel OSI. nntler dengan/irewull berdasarkan screeningrouter juga disebutdengangotewuy,paketlilter bivr Kadang-kadang dipandangsebagaibentuk gatewcrysebagaiperalatanpaket filter. guranya untuk bekerjanya danlapisantransporyangbukan memfilterberdasarkan bendera'l-CP/lP router, Operasinya bekeria dari lapisan.iaringan modelOSl. pualatan finrgsi dali, yangbekerfa di ataspadalapisannenvork.iugadis:butgateu,uy.
Packet Filtering Router screening dapat digunakan sebagaifiltering paket dalam arti untuk jaringan.Fungsiscrecningjugaditampilkanolehbeberapa meningkatkan keamanan prtxluct .firev,ull komersial dan oleh beberapatrrerangkatlurak bc'rdasarkan pruluknya sepertiKarlbridge akan tetapi bcheraparrrutar korncrsialdiprogranr filter antaralain Cisco.Weellleer.3CIOM unnrkmenampilkanfilter. Peniual-peniual laimryamenirn'rpilkan bekr,cnparur/o'yang Digital,Newbridge.ACC danbeberapa dapatdiprogmmunhrkmenampilkanfrurgsipakctfilter.
72
Meditek
IMPLEMENTASI
4s F.t/
H
LJ
s n f.a
ffi m t&l
ffiffi routerdauFirewalls Gambar5. Screening
PucketFiltering Dan Kebijakan Jaringan variasiyang lebar Paket/ilteringdapatdigrurakanuntuk mengimplementasikan dari kebijaksanaankeamananjaritgat. Kebiiaksariaankeiunemanharus .iclirs menyatakintipe dari sumberdan pelayananyang clilindungitcrmasuklevel dari dan orang-orangyang dilayari serla yang dilindungi darinya. kepentinganmya jaringankeamananmenegaskan bahwatitik beratnya Beberapadari kebiiaksanaan pemakai yang mengawasipara luar, mencoba untuk dari adalah melindurgi penyelundup, sebagaicontohadalahlebih pentinguntuk melindungipemakailuar dan secaralebih intensif mencobaunhrkmengambildatayang urtuk memecalrkzur 'Iipe sensitifdan pelayananyang digunakanuntuk keunfturgannya. dari keamanan jaringan ini menentLrkanbagaimanaroulcr scraeningdiletakkandan diprogram ru.rtuk menatnpilkan paket /iltering, .iaring;ur keamanan yang baik bagaimanacara membuatpenyelundupkesulitarruntlk mengilnplementasikan
Meditek
1a I -'\
IMPLEMENTASI
mengakali keamananjaringan akan tetapi biasanya bukan merupakan suatu keamananyangdipercaya. Satu tujuan dari kebijaksanaankeaminan adalah untuk nreniunpilkan mekanismeyang transparansedemikiansehinggakebijaksanan tidak merupakan jaringan hambatandari penggunaakantetapi paketfiltering dapatmengoperasikan padalapisantanspor danjaringan dari OSI model dan tidak padalapisanaplikasi, pendekatanini bernrjuanturtuk lebih ke pendekatan .firewull yang lebih b"nsparan. melihat iru firewall beroperasipada lapisanaplikasiOSI model dan keamanan implementasilayer ini biasanyatranparan.
Model Yang SederhanaUntuk PacketFiltering Paketfilter biasanyadiletakkananLlrasatuataudua segmenjaringzur.Scgltrcn laringandibedakankalau tidak ekstemalatau intemal. Satu.iaringanekstemal jaringankita keluardarinyasepertiintemal. menghubungkan
network sggment 1 (exlemal)
neiworksegment2 (external) networksegment3 (inlemal)
/trstr Gambar6 Segrnenjaringanintemaldigunakanurtuk menghubungkan perusahaan dengan.i aringansumberdayalainnya. Setiapbagian alat paket filter dapatdigunakanuttuk mengimplementasikan ymg bisadiakscs tipe dari pclayananiaringari kebijakanjaringanyangmenjelaskan dihubungkandenganperalatan Jika seiumlahsegmen.iaringan melalui satufro,r'/s. imple paket mengimplementasikan filter paket/iltering besar"makakebiiakandari ktlmplcks trntuk mentasirnenjadi lebih kompleks. Secararunurn penyelesaian herikut: grasalah sebagai alaszur keamanalldapatdihindarkandenganbeherapa - Peralatansangatsulit untuk dipelihara - Sangatlah mudah membuat untuk paketfiltcr. mengkonfigurasi
74
kesalahan
dalant
Mcditck
IMPLEMENTASI
- Karena banyaknyajaringan kompleks merupakansuatu tanrbahan peker.jaanuntuk kinerja karenaperalatanyang diirnplementasikan cukup banyak. Sebagaigantinya suatu model sederhanaditunjukkandalam Gambar 6 dapat jaringankeamanan. Model ini ditunjukkandengan di$makal untuk kebijaksanaan peralatar-r paket filter yang hanyamempunyaidu,asegmenjaringar yang saling Secarakhususterdapatbeberapasegmenjaringar yaitu .iaringan berhubrurgan. Ekstemaldan yang lainnya adalah satujaringan segmenintemal, p:aket/iltcring yzurgtidak dibuatdenganniaksudmembatasilalu lintasjaringanuntuk pelayartu.) jaringan irri ditulis urtuk menghindari diinginkandiakseskarenakebiiaksanaan penyelundupdan externnlhosts,rnalia filter pada sctiapsisinyaharusbcrbccla densankatalain filter harusasimetrik..
Packet Rll€r rulos
Gambar7. Packetruleantaraintemaldanekstemal
Operasi Dari Paket Filter runtlcr tilrtugulavu.v I fanrpir scnruadari paket peralatanlllter atau.s'craaning silatsebagaiherikut: paketnnilcr bekerjadenganbeberapa porls dari pcralatan l. Kriteria paketlilter harusdisirnpanuntuk bcberapa paketfilter untuk kriteriaini disebutaturanpaketfilter. 2. Ketika paket sampai pada porl.\. maka pakct hauder harus dipctakan 'l'Cl) atar"r suatubagiandalantlP. hampir scnruaperalatanmenggunakan haudarUDP sa.ia. 3. Satuaturanpakettilter yang disimpandalamurutankhusussctiapaturan pakctfilterdapatdisimpan. untukpaketsupayaperaturan diaplikasikan
Meditck
75
IMPLEMENTASI
4 . Jika peraturandari blok dari transmisiataupenerimaan dari paketmakzr pakettidak diperbolehkan. dari paketrnakapakct 5 . Jika aturanperbolehantransmisiuntukpenerimaan ticlakmemenuhiaturanharusdi blok. ini adalahaturanyangscperti dituniukkandalamdiagramalir sebagaiberikut :
Parse packethoader lieldslP. UDP.TCP
Gambar8. Blok alir perizinzntransrnisi Aturan 4 dan 5 menunjukkanbahwa sangatlahpenting menempatkanaturan paket lilter dalam urutanyang benarsatukesalahimumun mengkonligurasikan paket filter dilctakkzur yang Jika suatu unrtan salah. pada dengan attlan diletakkan padaumtanyang salahmakapadaakhimyaakandidapatkansatupelayananyang p'-layanaryang ingin kita ttritr. tidak dimungkinkanyang memperbolchkan suatulilosofi yarg tidaiidiizinkin adalahclilararrg. 6 rlenggturakan Peraturan Ini rnerupakansahr aturan gagal, filosofinya didesainnlcnLtrutkcantturatt jaringan. maka kebalikandari filosoly diatas adalahyang tidak dicksprcsikart dilarangdiperbolehkan.
76
Meditek
IMPLEMENTASI Padafilosofi yang terakhi digunakanunhrk mendesainpaket filter, yang kita inginkan bahwa setiapkemtrngkinandapatditutup dapatdiambil oleh paket filter turfuk membuat suatu jaringan keamanan.Dan su,atupelayanan baru yang ditambahkandapat mempermudahdiambil dalam situasi bila suatu aturan tidak cocok. Banyaksekaliaturanpelayananyang diblok danyangdimhkanoleh pengguna iika memblok pelayananyang disahkandemikianjuga pada saat kita dapat melakukanpengeblokanpadapelayananpadaakhir pelayananyang mempunyai risiko keamananpadajaringan.
DesainDari Paket Filter jaringanseperliyarg ditturyukkan padaGambar[J.dirnana Denganmenganggap pertahanan intemal antara.iaringan :;creeningrouter digunakanpadagarisprertama jaringan ekstemalyangtidakdipercaya. yangdilindrurgidengan Network 199.245.180.0
routerpadaNctworkCreephost Gambar9. Screening bahwakebijaksanaan Denganmenganggap .iaringanmemerlukansuratIntcnret yang diterima dari hostsexternal padagatewuyspesifikkita dapatmenolaksuatu yangkita lalu lintasyangasalnyaberasaldari host yangdisebutdengan()rcepfut,st untuk tidak percayamungkin salahsatualasanbahwaterdapatsatukecendemngan mengirim suatusuratyang banyakyang tidak dapatkita suratkanakantetapiyang terhadap$uat yangasli yangberdsaldai ho,sts. kita curigaikeamanannya jaringan pada SMTP harus LJnhrkcontoh ini suatukebijaksanaarkeamanan diteriemahkanke dalam suatu aturan paket filtcr. Kita dapat nrcntranla^sikan kc dalam beberapaaturanclalart menterjemahiiansuatuaturankeamanan.jaringan bahasaInggris.
Meditek
77
IMPLEMENTASI
Aturan yang pertamaadalah Wedo not trust connections/iom ho.ytCreertho.sl Aturan yang keduaadalah We want to allow connectionslo our mail gateway Ahnan ini dapatdi encocleka' dalamtabel sepertipadaGarnbar 9 rancla1*) simbolasteriskdigunakanurtuk mencocokan beberapa hargadaripadakolom. Fllt t RuL hmbar
Actlon
Our H6i
Pd on O(a Xd
CFEEPHOSl
Bl@k
?
Logond
Mot€w ' = Melchas
Enml ltott
25
Fon d €rbrul nsbr
O.*dprbn
Ebcf r.lfrc lrd CAEEPHOST Alb*mrElbnb q MAL g|Ir.y
all valle!
Gambarl0 TabelatururFiltcr Untuk atLlrimpefiamapada Gambar8 terclapatsuatumasukanuntuk kokrnr ekstemalho.sl'arat selnuadari kolom yang mempr.rnyai simbolasterisk(*). t lntuk aksiini terdapatblok unhrkkoneksiyangditerienrahkan schagaiberikut: Setiapblok dari koneksi dari.Creesplro^rt a-salnya berasaldari setiapbin1.lrg asteriskunnrknyasetiapbintang asteriskpadaptrl.s kita yang terdapatpadahs,;t:; kita.Untukahran dua Garnbar8 terdapatsuatumasukut tmr porr.r dar-t ptn.ton (ntr hns7.urtuk setiapkolom mempturyaisimbol asteriskaksi ini akan mengizinkan suatuhubungandenganterjemahan sebagaiberikut: Memperbolchkansetiaphubungandari beberapaastcriskaxtcrnulhtxt.s vang asalnyaberasaldari asterisk da'i port.t 25 padaMAIL-GW hr't kiu.. I,u.t 25 digrurakan padaportTCP ini dikembalikanuntukSMTP.'fabel 5.1adalahsuraru lisr bagiandai,port yangdigunakanturtukmendesairr su,atu aturanpaketfilter. Aturan dari aplikasiurutannomor yang terdapatdalarnsuatutabel.Jika pakct tidak cocokdenganaturanditolak. Masalahyangseriusadalahdenganjelas aturanyzurgdituliskanpadaGambar9 ini menurjukkan terdapatbeberapamesin ekstemalvang secamnyata dapat nrenganbil dangfi25.
78
Mcditck
IMPLEMENTASI
'lABIlL
TCP vmg serinridiketemukan 1 . BeberauaNomor
0
Reserved
5
R e n r o t jeo b E n t r y
1
Echt-r
9
Discard
ll
Systal
r3
Davtinre
l5
Netstal
t7
Q u o t d ( Q u o toel ' t h ed a y )
l0
fip data
2l
lip (corrlrol;
L-)
25
s m t p( m a i l )
i7
Ilnre
53
nameserver
70
Gopherprotocol
19
F i n t c rp r o t o c o l
tt0
W o r l dW i d eW e bI I H T P
tt8
Kerbcros
l0l
ISO.I'SAP
l0.l
x.400
104
X . 4 0 0s e n d i n gs e r v i c e
lll t:)
sun llP(l Netr.vorkl'irnel)rotocol(N'l'l))
l_.t9
N c t B I O Ss e s s i o sr to u r c c
I "14
Ncu's
l7e
llordcr ( iater,rltv I)rottrctrl
ltl
Meditek
t eI n e {
exec
513
rlogin
514
tc x c c
79
IMPLEMENTASI 5t5
l p d ( l i n ep r i n t e rd a e r n o n )
517
talk
518
ntalk
1.000
C ) p c nW i n d o r v (sS ti N )
.xll
6000-6999
Port 25 harusdikembalikanpadaSMTP sebagainomorpenegasan RIICI 1700 akan tetapi external host dapatdigunakanunhrk beberapakeprentingan yang lain suatu jalan yang baik adalah dengan mengencrxlc aturan-aturanini yang diperbolehkaan ho.stexlerrul urflik membuatkeluaranyang memanggilexternal host padaporl 25. Ini menunjukkanbahwa intarnul ht,st dapatmemberikan beberapa cxlernol,s'ite.Jlkaaxlernul,ritaaLtuternpatsisi luar hendakmengglnakan 25 SMI'P. PemilikSMll'} nrcnrproscs unnk tidak akiurnrengirinrkarsumt lnrl mail.ini nririp denganmuil tetapitidakdidukurgolchaxtarnulhost. Seperliyang dijelzrskan sebelumnya hubungarr.lCl) iniadalahsatuhubru.rganlull duplcx dan infbmrisi yang mengalir adakfi dalan dua arah pakct filtcr i,ang ditunjukkanpadagarnbar9 secaranyatadi cksplisitmcngarahpadainlbrmasipacla paketyangdikirimkan dai externalsite ke futst. Ketika paket fCP dikirimkanke segalaarahharuslahdiketahuiolch pencrinra dan penerinramengirimkansends aclmov'laclgntc,rz dcngannrelakukanpcrrycteliur padabenderaTCP ACK. Suatubendera-fc'l)n('K cligrurakai untukmengetahui hubrurganterbukaT'CP nkzurtetapibcnderaACK digimalian bahwa pemrintaran 'l'CP yzurgdiilustrasikarpada (iiunbar 10. Dalarr ilustrasiini pada fansmisi .l'C'l' pengirinrnrcngirimkandata pengirinroleh dischutdengansegrncnyang suaftt6.r./c menrulaiclcngan dengainonror(SIiQ#)atlalahl00l riurgparr.iangrrla adalalr100hy1c. 'l'Cll) pzrket uckntmledgamentyang Penerima mengirimkan kembali diindikasikarrdengcurbenderaACK bersatudan suatuucloun,laclgment ACK# tli setpadal00l | 100- l10l darlpengiriman 2 scgmen-l'CP dengannorlor 2(X) setiap hyla. Dirnana pemberitahuiurini dilaku kan oleh pakct singla uc'bkty,ladcnrcnl _\/angmentpur),ai bcndcrlrA('K ltacla set I dan n()l.ltor ucknrnlledgnrcrily'iurg rnengindentifikrxikan sLntu .r/(/r1dcngan nontor clarr .fCP + | ( 1 101 seliuriutnl a clatascgnren 2(X) 2(X) | 501) Daliungamtrarl0 kitadapatmelihatbahrvapalictA( K akarrmcngirinrkan suatu 'l'CI) d:n dinranasuatunakct A('K dikirirn kar dan ncnqirimanrl'acli koneksi
80
Meclitck
IMPLEMENTASI
kembalikandan suatuaturanpaketfilter harusmengambilnomor padapaketACK yangdikirimkan tanggapanunhrkkonfol ataupaketdata. sebelumnyamodifikasidari aturan Berdasarkanpadapembicaraar!pembahasan paketfilter akandihrlis sepeti yangdigambarkanpadaGambarI 1. tJntuk aturan filter I, dalam Gambar I I terdapatmasukanrmtuk suatufto.rt dan masukanini ke dalamsuertu sourcekolom 199.245.180.0 Jnrl ho.stde:;tinulion kolom 25. Semuakolom hanrsmempunyaisimbolasterisk. 5006
pod
Oeitinelio^
s€qw@
Fn
numb€r
AclrcwlldCa|tml
numbal
o"t" I n*-olilililili Unost pornlar
ClclluD
P.dding
Opti-6 Date
3g$E:1I1g*.,oo
Saquence
Acknowl€dgem€nl numb€r Fi6ldsiz6 = 32 Uts Units= oc{ots RarE6= 0 to 2P -1
.
Flh.t FuL
Actd
Sowo116l
Allow
1 9 92 4 5 . 1 9 . O
Sorr€ Iton Pq
Sequem romba n lha dr[ li€ld
D..lln.6,od llorl
r. fra tot dal| byla
Ir.dliltbn 116l Pql
lCPnttr lP otdqra
25
25
t99 245t80 0
Daacrlpdo.r
Allw p.ctol lrom|wo.k t99.245.180.0 ACK
Albr rCum
Gambar11.Alirzurinlirmasilrilterrule
Meditek
ul
IMPLEMENTA.SI
Aksi dalarn filter attr:an pertaman,emperbolehkrur suatu koneksi translar-si te{emalrannya merrgikutisebagaiberikut: Memperbolehkan semuakoneksidarijaringan 199.245.180.0 yang berasaldari semua yang berasteriskke semuaport yurg berasteriskpada tu.iuzuihgs1 ati:u network. Dengancatatanbahwa 199.245.180.0 adalahsatunomorjaringankelasc yang juga disebutdengar-r netid, dalamsuatunomorfto.lrdisebutdenganho.stidmengacu padabcberapa hostdalwnsatujaringankelasC 199.245.180. [-lrrltk aturarfilter keduaGambarI I terdapatbeberapa rnasukarunrutr; po.s.t fuxt s(nrca kcrfom2,5.dan semuamasukanda-itlestinutionhostkolonrdan pada l('1, ACK nrasukan dalarnsuatuTCP/agr oplion.rIP kolorn.Semtnkolomnrempunvai simbolusleri.sk Aksi daripada aturan kedua dalam filter memperbolehkanhubungrurini meneriemahkan sebagaiberikut : Memperbolehkansemuahubungandari semuajaringan yang berasaldai,ptn.t 'fcP 25 dan dari ACK yang di set padasetiapsemuaatauiu;teriskd:,rtpadayrt padaasteriskhost dalamjaringankita yaitu I 99.24-5. I 80.0. Kclmbinasiini akan memberikanefbk kepadaatu'an I dan 2 sepcrripada Gambarll ini nremperbolehkan 1CP paketantara.iaringan 199.245.180.0 kc pxrrl SMTP padasetiapexlernalhost. Dikarenakanpaketfilter hanyamelakukanperialananpadalapiszur2 dan 3 pada modelOSI. makatidak adajalan yangmenjaminsecaramutlakkenrbalinyabagiaur 'lCP uc'knrn,ledgment dalamsuatukoneksiyarg secarupraktisnyaskcmadaripada 'fCP kerla yang baik dikarenakankoneksi daripada melakukanpemeliharaiur infbrmasiuntr.k setiap sitenya.Merekamengetahuihubunganurutannomor dan ucknowledgment pernberitahuan urtuk mengira juga lapisan berikutnya nrernberikan pelayanan aplikasiseprerti TELNET danSMTPhanyadapatmenerima paket irang rnengikuti aturan aplikasi protokol. Sangatlahsulit secaratcoritis memungkinkanuituk melupakar-r kebalikanyangbcrisidaripaketACK yangbcnar r"uttuklevel keamananyang lebih tinggi kita akiurnrcnggunakan lcvcl ,qrlclzrr' apliknsiselrrti fir cv,uIl.
Aturan PaketFilter Dan AsosiasiYang Penuh Gamberl2 menuniukkansuatutebarorkecilyiurgdigurnahat untukaturanpakct fllter.,V'r'ccn ing nmlcr padaumumnyadapatmcnrf'rltcrbcrdasarkan padanilai 1,'arrg
82
N4cciitck
IMPLEMENTASI
diinginkan dalam protokol TCP sebagaipatokan. LJntuk kebiiakan.iaringan keamananyang diimplernentasikan olehscreeningrunilcrkita rnemerlukanhanya spesifikTCP/rrgs.lP oplktnsdansourcedanalamatnilaitujuan. Kita dapatmemeriksasetiapbarisdalamtebarankerja kita akan nrcmbcrikan kornpletyangmenjelaskan suatubarisanyar-rg hubunganl'CP, secara .ielasttmplatc dengan penuh. asosiasi descriptionconnecliondisebut Kita dapat mendesainsuatu aturan paket filter ini bergunasekali untuk tetap menjagadalampikirandefinisidari asosiasipenuh.setengah asosiasiauu titil
AcUs
Sourca
S@@ PM
D.dln.do
Darl. Pod
ProlGol F|te. Opllon.
Doc.lgilon
2
3
5
6
B
Ganbar 12.
'fabcl
'
lrrlbrmasimengeuaitipe protokol
. .
Lttt'ul ll' uddra,s,s 'l-('P porl numhar Lttc'ul
.
Rentrttall' uddrc,;s
.
Retn0ta7-('Pytrt nurnber
Meditek
Assosiit-si
tt3
IMPLEMENTASI
DalamGambar12 protokoltipe dari adalalrTCIPdansatualamatlokal II'adalah 199.21.32.2:lokal TCP mempunyainomor,xrrt 1400danaddressremoteIP adalah 196.62.132.1, danremoteTCPport mempunyainomorport 2l danasosiasipenuh untuk sirkit jaringan ini direpresentasikan dalam svatvStuple. Sebagaicontoh 12. (TCP lima rupIe nyaadalah I 99.21,32.2,| 600.| 96.62.| 32.1.21) Membandingkan antaraS-tuplemasukannya dalamGambar12kita dapatdilihat balrwasetiaptebaranmenjelaskansuatuasosiasipenuhantarafut,;tdantebaran.iuga akanberisidari suatuinformasitambalrarryaitu : . Aksi '
Dari TCP dan IP
.
Order yang mengikuti aturanyang akandieksekusi
Setiaptempatdari satukoneksi ini akan dilelaskanolch asosiasisetengahini hanyasatuakhiranyangberhubungan akanmenjelaskan tcrdiridarismtu 'l'ipe . protokol .
AlarnatlP
'
Nornorytrt TCP
'fCP sepertiGambtr Jadi terdapatdua setengahasosiasidalam fomrulir koneksi jugamengikuti TCP l3 (TCP.lee.21.32.2. 1600) ('l-CP.I e6.(r2. I i2.1,2l ) I'adatitik akhirjuga akandiketemuisuatuucldresspn'tyiurgterdiridari ,
Alamat IP
.
Nomor pn
TCP
Padaakhirtitik mtuk koneksiTCP padagiunbarl3 iugaakandituliskan
(ree.21.32.2. 1600) ( 1e6.62.1i2. | . 2l)
84
Mcditck
IMPLEMENTASI
(]anrbar l3 Dikarenakansetiapaflran dalamsuatutebaranyangterlihatdalam dapatmempunyaijangkau,andari nilai urftrk setiapnilai yang terdapatdalan.fiekl yang dijelaskanoleh hubunganpenuhdans'.ranrnomordari tipe yangberbedauntuk jaringanTCP yangdijelaskanoleh su,atuaturanpaketfilter. tni akanmemurgkinkan suatu aturan paket filter mengimplementasikankeamananjaringan dengan menjelaskanberbagaitipe yangberbedadarihubwrganTC-P'
Dusl-Homed Host Dalam suatu iaringal fCPilP bentuk nutlti-homcdfto,rl diielaskanyatg setiapjaringanbrxu'd nrerupakanjaringanhoard inler/itce jaringiurberbedabinszurya interftrcedihubunghanjaringan.scjarahnyaberawalkarcnamuhi-htmedfto,slini akan juga merupakanlalu lintas autara.iaringar.llentuk gulewu.yyang sudah digunakl menjelaskanfyngsi routing yang dibentuk oleh futst muili-homcd s"t*urrg bentuk katarouter digunakanuntuk menieliukanfi-rngsi<)ai rouling dat'r lapisiuratiu dengaur guteu,uydiialankanunflrk beberapaliingsi yamgberhubungan darimodelOSl. Process Addressing Assoctatron deacllbar s conncclion -
in tclmt
ol
Protocol Local addrsss Local Pori number Remot€ address Remote porl numbsr E x a m p l e :( t c p , 1 9 9 . 2 1 . 3 2 . 21, 4 0 0 , 1 9 6 . 6 21 3 2 . 1 , 2 1 )
lull assblbn (la, 199.?1.322. 1 6 0 0 1 9 66 2 1 3 2 I 2 1 )
Atldrcssing Garnbarli Proccss
Mcditck
t3-5
IMPLEMENTASI
Jika ftlrgsi routing dalamntulty-ho,ttditiadakanmakahost akanmenyediakan jaringan lalu lintas yang terisolasiantar.iaringanyang dihubungkan.Walaupun demikiansetiap.jaringan akanmampujuga melakukanprosesaplikasiuntukftr.r,s/ multi-homedbesertaaplikasinya.Gambar 13 menunjukkansuatu contoh dari homed-hostdenganfirngsi routing padaport A. JaringanA dapat mengakses jaringanlain demikianjuga jaringanlain akandapat mengakses aplikasiA. Dalarn duul horned-lzo,il demikianho,st-ficLlakandapatdiklasifikasikaur sebagail]. Dalanr clual fumed-ho,vltnakadua aplikasidapatmelakukanpemakaianbersanradatadzm memungkinkankelasA dan B untuk dapatbeifukarinformasimelaluidatayang dipakaibersamaTidakadapertukaranlalu lintasiaringanyangteriadiantarascgmen laringanyarrgdihubungkandalamclualhomed-host.
Penutup Pada clasam)'asislern keamanan l;irav,ull oeLrgurauntuk rlelinclurrgi .laringan intemaldari ganguaninlrwler yang Inasr.rk di Intcmet.clanadasatr,rlilosoli tidak ada satu ptur sistem keamanan yang henar-benararnar seratrs pr:t..scntanpa dapat diternbus.
Kepustakaan l. Il.oss..lohn'.lttlarnal Putvar 71tttl.s". Randonr ilousc l)orvcr'l'ools scrics. New York 199-5 2. Steplrcrrson Pctcr: Implemcntinglntarnat Sac'urit.t'. Ncrv l{idcr l'Lrblishing I n d i a n a p t t l i sl ( ) 9 5 3. Gallegos. Frederick..et all; Audit & ('ontrttl o/ Infirmclion ,\"t',stant,s'., South WesternPu- blishing Cornpany.('incinati. Ohio l9tl7 4. Isan [-. Markus. Khoe Yao Tung: ('uru menjadi kavu dun pintur ntalului Intcrnat, Dinastindo. Jakarta. I 995 5. Parker. Donn B.; Compuler Scc'ut'it.t, lllunugemerl.. Reston l'ublishing ( ' o m p a n y .V i r g i n i a U S A 1 9 8 1. (r. IIIM I)Lrblication.'l'hc('onsidt'rutittnof I)hv,ric'ul sacuril.t'itt tt ('omlrltlct' ('oorDoratiorr. Ncu' York anvirrtnmanl..Itttcrnationall]usincssMachincs 1972 7. Moeller. Robert R.^('ontpulc'r/udit, ('otttrol tt ,sat'ut'itic.r', .loltn Wilcr'& S o n s .i n c 1 9 . 9 9 .
tt6
Mcditek
IMPLEMENTASI
Library; Auditing computcr s)':;lem(Book 1-f' l)ort 8. FTP l-ecl-rr-rical JeffersonStation,New York 1989 9. Klroe Yao Tung,'' Cyberbanking- 'lctsapelal'arutn Bank padu intcrnel' Tulisan hal 15-19 pada Majalah Bank & ManuiemcnNo. 30 edisi Maret/Anril.BNI" .lakarta1996.
Meditek
ti7