perumahan

+ Firewall

FIREWALL

+

Apa itu firewall

n Firewall

adalah suatu mekanisme, sehingga suatu client dari luar dilarang/dibolehkan mengakses ke dalam jaringan (atau client yang berada di dalam dilarang/ dibolehkan mengakses keluar jaringan) berdasarkan aturan-aturan yang ditetapkan.

n Seperti

pos satpam di suatu instansi/perumahan

n Bekerja

di layer: antara 3 dan 4 (bahkan 5) di TCP/IP

Model

+

Istilah-istilah Masquerading n Memungkinkan banyak komputer untuk menggunakan dari alamat IP yang sama n Koneksi hanya dapat dimulai oleh host internal NAT – Network Address Translation n Istilah "NAT" dapat berarti banyak hal yang berbeda, lihat RFC2663 untuk rincian n Umumnya beberapa pemetaan tingkat router dan konversi antara satu set alamat IP pribadi ke alamat IP publik.

+

Mengapa butuh Firewall ? n Untuk

melaksanakan kebijakan Anda!

n Untuk

mengelola risiko menyediakan layanan Anda.

n Untuk

memisahkan jaringan dengan kebijakan yang berbeda.

n Untuk

memberikan pertanggungjawaban sumber daya jaringan.

n Firewall

mengurangi risiko

n Memblokir

ancaman

n Konfigurasi

yang tidak benar adalah ancaman terbesar

+

Cara kerja n Dengan

meneliti paket-paket yang lewat firewall itu dan mencocokkannya dengan melihat daftar/aturan yang diberikan kepadanya.

n Firewall

memblokir lalu lintas tertentu, sedangkan memungkinkan lalu lintas yang lain untuk lewat.

n Berbagai

jenis firewall melewatkan lalu lintas menggunakan metode yang berbeda n Packet Filtering n Proxy Boleh lewat mbak ? Nih surat-suratnya

Anak kecil ga boleh keluar.. sudah malam

Firewall

+

Ada dua tipe utama Aturan Firewall diciptakan untuk mencocokkan kebijakan Aturan didasarkan pada: n Routing based filters (Who – siapa) n Sender/source and Destination n berasal dari mana ? n Mau ke mana ? n Tidak peduli mau ngapain di sana n Content based filters (What – mau apa) n TCP/IP Port numbers and Services n Apa yang akan kamu lakukan di sana ? n Tidak semudah yang nomer 1

+

Dua pendekatan aturan

n Default

allow n Mengijinkan semua lewat kecuali yang terdaftar

n Default

deny n Semua dilarang lewat kecuali yang terdaftar

+

Packet Filtering

n Bentuk

sederhana dari firewall

n Sering

dapat diimplementasikan pada peralatan jaringan (router, switch)

n Blok

Ports tertentu TCP/IP, protokol atau alamat.

n Aturan

yang diterapkan pada header dari paket Contoh: iptables, ipchains (Linux), pf, ipfw (freeBSD)

+

Contoh Packet Filtering

An abbreviated packet… Source 204.210.251.1

SrcPort 8104

Destination 128.146.2.205

DestPort 31337

A Cisco packet filter access-list 2640 deny any 128.146.2.0 0.0.0.255 gt 1023

+

FreeBSD PF Firewall

# Drop incoming everything block in all . . pass in on $ext_if proto tcp from any to any port ssh pass in on $ext_if proto udp from any to any port domain pass in on $ext_if proto tcp from any to any port domain pass in on $ext_if proto tcp from any to any port http pass inet proto icmp all icmp-type $icmp_types keep state

+

LINUX IPTABLES

iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

+

CISCO Firewall !ftp tcp 20 & 21 access-list 122 permit tcp any host eq 20 access-list 122 permit tcp any host eq 21 ! !secure shell (ssh) tcp 22 access-list 122 permit tcp any host eq 22 ! !telnet tcp 23 access-list 122 permit tcp any host eq 23 ! !smtp 25 access-list 122 permit tcp any host <email-server> eq 25 ! !DNS 53/53 ! note: this takes care of DNS in. DNS as client ! out will require ports >= 1024 for that bastion host access-list 122 permit tcp any host eq 53 access-list 122 permit udp any host eq 53

+

Packet Filtering n Keuntungan

Packet Filtering n Kinerja Tinggi n Biasanya dapat diterapkan pada router/switch (Tidak ada peralatan tambahan!) n efektif

n Kekurangan

dari Packet Filtering n Dapat dengan cepat menjadi konfigurasi yang sangat kompleks n Mudah misconfigure n Sulit untuk mengkonfigurasi protokol dinamis (seperti FTP) n tidak dapat melakukan penyaringan konten berbasis (Lampiran e-mail, javascript, ActiveX)

+

Proxy n Firewall

menerima permintaan, dan mengeksekusi mereka dalam nama pengguna n Saya ingin melihat http://www.osu.edu n Firewall mendapat http://www.osu.edu konten n Firewall mengirimkan konten ke penanya Contoh: Squid (www.squid-cache.org)

+

Proxy n Keuntungan

Firewall Proxy n Mereka tidak mengizinkan koneksi langsung antara host internal dan eksternal n Dapat mendukung otentikasi, 'kelas' dari pengguna n Dapat memungkinkan / menolak akses berdasarkan konten n Dapat menyimpan log yang sangat rinci aktivitas (termasuk bagian data paket) n caching

+

Proxy Kekurangan Firewall Proxy n Lebih

lambat dari packet firewall penyaring

n Memerlukan n Perankat

perangkat keras tambahan

lebih “kuat” untuk lebih banyak pengguna

n hardware

lambat = layanan lambat

n Beberapa

firewall memerlukan konfigurasi khusus pada workstation.

n Beberapa

protokol mungkin tidak didukung (AIM, RealAudio, Napster, H.323).

n Konfigurasi n Harus

dapat kompleks

mengkonfigurasi proxy untuk setiap protokol

+

Topologi

n Bridge-type

firewall n Invisible to users n Easy to install for already existing networks

n Router-type

firewalls n Has IP Address, visible to users

+

Topologi n Advantages

of Bridgetype firewall n Invisible

to users n Easy to install for already existing networks n Disadvantages

type firewall n Requires

of Bridge-

more equipment than packet filtering n Rules may be more confusing to configure

•  Advantages of Routertype firewall –  Rule configuration slightly better than bridge

•  Disadvantages of Router-type firewall –  System is ‘visible’ to users and outsiders

Problems

n Firewall

sebagai filter dapat dipertimbangkan untuk sebagian besar untuk menjadi sempurna ... tapi sebagai ukuran keamanan? Mereka hanya bisa menegakkan aturan (umumnya statis)

internet Firewall

+

Problems

internet Firewall

Jaringan kita Jaringan terpercaya

+

Setting Firewall n Menggunakan n Firewall

"DMZ" (zona demiliterisasi)

sebagai perangkat Intrusion Detection

n Mengkonfigurasi VPN

untuk manajemen

+

DMZ

n Firewall

DMZ (Demilitarized Zone) – atau jaringan perimeter adalah jaringan security boundary yang terletak diantara suatu jaringan corporate / private LAN dan jaringan public (Internet). n Firewall

DMZ ini harus dibuat jika anda perlu membuat segmentasi jaringan untuk meletakkan server yang bisa diakses public dengan aman tanpa harus bisa mengganggu keamanan system jaringan LAN di jaringan private kita. Perimeter (DMZ) network didesign untuk melindungi server pada jaringan LAN corporate dari serangan hackers dari Internet.

+

DMZ Configuration n Separate

area off the firewall

n Different

network segments may have different

policies

n Departments n Service

areas n Public Services n Internal Services n Usually

a different subnet

n Commonly

used to house Internet facing machines (i.e. Web Servers)

n Has

its own firewall policy

DMZ Configuration

n Tempatkan n Hanya

server web dalam "DMZ" jaringan

melewatkan port web (port TCP 80 dan 443)

internet Firewall

Web Server

+

DMZ Configuration n Don’t

allow web servers access to your network

n Allow

local network to manage web servers (SSH)

n Don’t

allow servers to connect to the Internet

n Patching

is not convenient

Mas ..yang merah gak boleh lewat lho

Firewall

Web Server

internet

+

DMZ Configuration

Jaringan Lokal: • Semua boleh menghubungi webserver (port 80/443 • PC-PC tertentu boleh menghubungi server lewat SSH (port 22) • Server tidak boleh menghubungi jaringan lokal

Firewall

Web Server

Internet: • Semua boleh menghubungi webserver (port 80/443 • Selain layanan web tidak diperkenankan • Server tidak boleh jalan-jalan di internet

+

Firewall sebagai IDS

n IDS

= Intrusion Detection System

n Collect n Find

log information from the deny rules

Portscanning, hacking attempts, etc…

n Isolate

traffic with deny rules helps cut down the information overload

+

Firewall sebagai IDS

n What

to do with ALL that data…..Graph It!

n Shows

trends, what people are looking for n Helps prioritize security tasks

n Occasionally

you may want to block portscans

+

Firewall sebagai IDS

n Pay

close attention to traffic leaving DMZ

n Often n Low

the first sign of a compromise

traffic rules, so logs aren’t as enormous

n Email

is nice, provided you’re the only one reading it

+

VPN

n VPN n VPN

= Virtual Private Network

is far more secure than other management methods: n SSL and SSH are vulnerable to Man-In-The Middle Attacks n Telnet and SNMP are clear text n There are no known MIM attacks against IPSEC (Yet)

+

VPN

n VPN

clients are supported on most platforms

n Most

firewalls will work with most clients

n Netscreen n Mac

now officially supports FreeSwan

OS X is now supporting VPN

+

SELESAI