MENGENAL FIREWALL DALAM KOMPUTER

MENGENAL FIREWALL

A.    Sejarah Firewall

Penggunaan firewall untuk keperluan sekuriti (security firewall) pertama kali digunakan pada awal dekade 1990 an, berupa router IP dengan aturan filter tertentu. Aturan sekuriti saat itu berupa sesuatu seperti: ijinkan setiap orang “disini” untuk mengakses “keluar sana” , juga cegahlah setiap orang (atau apa saja yang tidak disukai) “diluar sana” untuk masuk “kesini”. Firewall semacam ini cukup efektif, tetapi memiliki kemampuan yang terbatas.

Firewall generasi selanjutnya lebih fleksibel, yaitu berupa sebuah firewall yang dibangun pada apa yang disebut “Bastion Host”. Firewall komersial yang pertama dari tipe ini, yang menggunakan filter dan gateway aplikasi (proxies), kemungkinan adalah produk dari Digital Equipment Corp (DEC).

Firewall komersial pertama di konfigurasi untuk, dan dikirimkan kepada pelanggan pertamanya, sebuah perusahaan kimia besar yang berbasis di pantai timur AS pada 13 Juni 1991. Dalam beberapa bulan kemudian, Marcus Ranum dari Digital Corp. Menciptakan security proxies dan menulis ulang sebagian besar kode program firewall. Produk firewall tersebut kemudian diproduksi massal dengan nama dagang DECSEAL (singkatan dari Security External Access Link). DECSEAL tersusun atas sebuah sistem eksternal yang disebut gatekeeper sebagai satu satunya sistem yang dapat berhubungan dengan internet, sebuah filtering gateway yang disebut gate, dan sebuah mailhub internal.

Firewall untuk pertama kalinya dilakukan dengan menggunakan prinsip “non routing” pada sebuah Unix host yang menggunakan 2 buah network interface card, network interface card yang pertama dihubungkan ke internet (jaringan lain) sedangkan yang lainnya dihubungkan ke PC (jaringan lokal) (dengan catatan tidak terjadi “route” antara kedua network interface card di PC ini).

B.     Definisi Firewall

Firewall didefinisikan sebagai suatu cara atau mekanisme yang diterapkan baik terhadap hardware, software ataupun system itu sendiri dengan tujuan untuk melindungi, baik dengan menyaring, membatasi atau bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar yang bukan merupakan ruang lingkupnya.

Ilmuwan lain mendefinisikan firewall sebagai sebuah titik diantara dua/lebih jaringan dimana semua lalulintas (trafik) harus melaluinya (choke point); trafik dapat dikendalikan oleh dan diautentifikasi melalui sautu perangkat, dan seluruh trafik selalu dalam kondisi tercatat (logged). Dari beberapa definisi diatas, penulis dapat memberikan definisi dimana firewall adalah sebuah pembatas antara suatu jaringan local dengan jaringan lainnya yang sifatnya public (dapat diakses oleh siapapun) sehingga setiap data yang masuk dapat diidentifikasi untuk dilakukan penyaringan sehingga aliran data dapat dikendalikan untuk mencegah bahaya/ancaman yang dating dari jaringan publik.

C.    Tujuan Penggunaan Firewall

a.       Firewall biasanya digunakan untuk mencegah atau mengendalikan aliran data tertentu. Artinya, setiap paket yang masuk atau keluarakan diperiksa, apakah cocok atau tidak dengan kriteria yang ada pada standar keamanan yang didefinisikan dalam firewall.

b.      Untuk melindungi dengan menyaring, membatasi atau bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar yang bukan merupakan ruang lingkupnya. Segmen tersebut dapat merupakan sebuah workstation, server.

c.       Penggunaan firewall yang dapat mencegah upaya berbagai Trojan horses, virus, phishin, spyware untuk memasuki system yang dituju dengan cara mencegah hubungan dari luar, kecuali yang diperuntukan bagi computer dan port tertentu.

d.      Firewall akan memfilter serta mengaudit traffic yang melintasi perbatasan antara jaringan luar maupun dalam.

Gambar 1.Gambaran kerja firewall A.    Teknik Dalam Firewall ·         Service control (kendali terhadap layanan) Berdasarkan tipetipe layanan yang digunakan di Internet dan boleh diakses baik untuk kedalam ataupun keluar 6 firewall. Biasanya firewall akan mencek no IP Address dan juga nomor port yang digunakan baik pada protocol TCP dan UDP, bahkan bisa dilengkapi software untuk proxy yang akan menerima dan menterjemahkan setiap permintaan akan suatu layanan sebelum mengijinkannya. Bahkan bisa jadi software pada server itu sendiri, seperti layanan untuk web ataupun untuk mail. ·         Direction Conrol (kendali terhadap arah) Berdasarkan arah dari berbagai permintaan (request) terhadap layanan yang akan dikenali dan diijinkan melewati firewall. ·         User control (kendali terhadap pengguna) Berdasarkan pengguna/user untuk dapat menjalankan suatu layanan, artinya ada user yang dapat dan ada yang tidak dapat menjalankan suatu servis, hal ini dikarenakan user tersebut tidak diijinkan untuk melewati firewall. Biasanya digunakan untuk membatasi user dari jaringan local untuk mengakses keluar, tetapi bisa juga diterapkan untuk membatasi terhadap pengguna dari luar. ·         Behavior Control (kendali terhadap perlakuan) Berdasarkan seberapa banyak layanan itu telah digunakan. Misalnya, firewall dapat memfilter email untuk menanggulangi/mencegah spam. B.     Tipe-Tipe Firewall                       Packet Filtering Router Firewall jenis ini memfilter paket data berdasarkan alamat dan pilihan yang sudah ditentukan terhadap paket tersebut. Ia bekerja dalam level internet protocol (IP) paket data dan membuat keputusan mengenai tindakan selanjutnya 9 (diteruskan atau tidak diteruskan) berdasarkan kondisi dari paket tersebut. Firewall ini dapat digambarkan seperti gambar 2. Firewall jenis ini terbagi lagi menjadi tiga subtipe: ü  Static Filtering : Jenis filter yang diiplementasikan pada kebanyakan router, dimana modifikasi terhadap aturan aturan filter harus dilakukan secara manual. ü  Dynamic Filtering : Apabila proses-proses tertentu disisi luar jaringan dapat merubah aturan filer secara dinamis berdasarkan eveneven tertentu yang diobservasi oleh router (sebagai contoh, paket FTP dari sisi luar dapat diijinkan apabila seseorang dari sisi dalam merequest sesi FTP). ü  Stateful Inspection : Dikembangkan berdasarkan teknologi yang sama dengan dynamic filtering dengan tambahan fungsi eksaminasi secara bertingkat berdasarkan muatan data yang terkandung dalam paket IP. Baik dynamic maupun static filtering menggunakan table status (statetable) dinamis yang akan membuat aturanaturan filter sesuai dengan even yang tengah berlangsung. Ditambahkan bahwa kelemahan tipe ini adalah cukup rumitnya untuk menyetting paket yang akan difilter secara tepat, serta lemah dalam hal authentikasi. Adapun serangan yang dapat terjadi pada firewall dengan tipe ini adalah: §  IP address spoofing : Intruder (penyusup) dari luar dapat melakukan ini dengan cara menyertakan/menggunakan ip address jaringan local yang telah diijinkan untuk melalui firewall. §  Source routing attacks : Tipe ini tidak menganalisa informasi routing sumber IP, sehingga memungkinkan untuk membypass firewall. §  Tiny Fragment attacks : Intruder membagi IP kedalam bagianbagian (fragment) yang lebih kecil dan memaksa terbaginya informasi mengenai TCP header. Serangan jenis ini didesign untuk menipu aturan penyaringan yang bergantung kepada informasi dari TCP header. Penyerang berharap hanya bagian (fragment) pertama saja yang akan diperiksa dan sisanya akan bisa lewat dengan bebas. Hal ini dapat ditanggulangi dengan cara menolak semua packet dengan protocol TCP dan memiliki Offset = 1 pada IP fragment (bagian IP) Gambar 2.Packet Filtering a.      Circuit Gateways Firewall jenis ini beroperasi pada layer (lapisan) transport pada network, dimana koneksi juga diautorisasi berdasarkan alamat. Sebagaimana halnya Packet Filtering, Circuit Gateway (biasanya) tidak dapat memonitor trafik data yang mengalir antara satu network dengan network lainnya, tetapi ia mencegah koneksi langsung antar network. Cara kerjanya adalah gateway akan mengatur kedua hubungan tcp tersebut, 1 antara dirinya (gw) dengan TCP pada pengguna local (inner host) serta 1 lagi antara dirinya (gw) dengan TCP pengguna luar (outside host). Saat dua buah hubungan terlaksana, gateway akan menyalurkan TCP segment dari satu hubungan kelainnya tanpa memeriksa isinya. Fungsi pengamanannya terletak pada penentuan hubungan mana yang diijinkan. Penggunaan tipe ini biasanya dikarenakan administrator percaya dengan penggunainternal (internal users). Gambar 3. Circuit Gateway a.      Application Gateway Firewall tipe ini juga disebut sebagai firewall berbasis proxy. Ia beroperasi dilevel aplikasi dan dapat mempelajari informasi pada level data aplikasi (yang dimaksudkan disini adalah isi (content) dari paket data karena proxy pada dasarnya tidak beroperasi pada paket data). Filterisasi dilakukan berdasarkan data aplikasi, seperti perintahperintah FTP atau URL yang diakses lewat HTTP. Dapat dikatakan bahwa firewall jenis ini “memecah model clientserver”. Cara kerjanya adalah apabila ada pengguna yang menggunakan salah satu aplikasi semisal FTP untuk mengakses secara remote, maka gateway akan meminta user memasukkan alamat remote host yang akan diakses. Saat pengguna mengirimkan user ID serta informasi lainnya yang sesuai maka gateway akan melakukan hubungan terhadap aplikasi tersebut yang terdapat pada remote host, dan menyalurkan data diantara kedua titik. Apabila data tersebut tidak sesuai maka firewall tidak akan meneruskan data tersebut atau menolaknya. Lebih jauh lagi, pada tipe ini Firewall dapat dikonfigurasikan untuk hanya mendukung beberapa aplikasi saja dan menolak aplikasi lainnya untuk melewati firewall. Kelebihannya adalah relative lebih aman daripada tipe packet filtering router lebih mudah untuk memeriksa (audit) dan mendata (log) semua aliran data yang masuk pada level aplikasi. Kekurangannya adalah pemrosesan tambahan yang berlebih pada setiap hubungan. Yang akan mengakibatkan terdapat dua buah sambungan koneksi antara pemakai dan gateway, dimana gateway akan memeriksa dan meneruskan semua arus dari dua arah  Gambar 4. Application Gateway a.       Hybrid Firewall Firewall jenis ini menggunakan elemen elemen dari satu atau lebih tipe firewall. Hybrid firewall sebenarnya bukan sesuatu yang baru. Firewall komersial 12 yang pertama, DECSEAL, adalah firewall berjenis hybrid, dengan menggunakan proxy pada sebuah bastion hosts (mesin yang dilabeli sebagai “gate keeper”) dan packet filtering pada gateway (“gate”). Sistem hybrid seringkali digunakan untuk menambahkan layanan baru secara cepat pada system firewall yang sudah tersedia. Kita bisa saja menambahkan sebuah circuit gateway atau packet filtering pada firewall berjenis application gateway, karena untuk itu hanya diperlukan kode proxy yang baru yang ditulis untuk setiap service baru yang akan disediakan. Kita juga dapat memberikan autentifikasi pengguna yang lebih ketat pada Stateful Packet Filer dengan menambahkan proxy untuk tiap service. A.     Koneksi Paket Ø  Koneksi TCP Sebuah koneksi TCP  dikenal sebagai koneksi yang bersifat Connection Oriented yang berarti sebelum melakukan pengiriman data, mesin-mesin tersebut akan melalui 3 langkah cara berhubungan ( 3-way handshake ).    Gambar 5. Koneksi awal TCP Ø Koneksi IP Sebuah frame yang diidentifikasi menggunakan kelompok protokol Internet (IP) harus melalui aturan firewall yang didefinisikan menggunakan protokol IP sebelum paket tersebut mendapat jawaban koneksi dari tujuan paket tersebut. Salah satu paket yang merupakan kelompok protokol IP adalah ICMP, yang sering digunakan sebagai aplikasi pengujian koneksi ( link ) antar host Gambar 6. Sebuah Koneksi ICMP Salah satu paket yang merupakan kelompok protokol IP adalah ICMP, yang sering digunakan sebagai aplikasi pengujian koneksi ( link ) antar host. Ø  Koneksi UDP Berbeda dengan koneksi TCP, koneksi UDP bersifat connectionless . Sebuah mesin yang mengirimkan paket UDP tidak akan mendeteksi kesalahan terhadap pengiriman paket tersebut. Paket UDP tidak akan mengirimkan kembali paket-paket yang mengalami error. Model pengiriman paket ini akan lebih efisien pada koneksi broadcasting atau multicasting . Ø  Koneksi UDP Berbeda dengan koneksi TCP, koneksi UDP   bersifat connectionless . Sebuah mesin yang mengirimkan paket UDP tidak akan mendeteksi kesalahan terhadap pengiriman paket tersebut. Paket UDP tidak akan mengirimkan kembali paket-paket yang mengalami error. Model pengiriman paket ini akan lebih efisien pada koneksi broadcasting atau multicasting .