Pertemuan 5 and 6 Firewall
Pertemuan III
Firewall merupakan sebuah perangkat yang
diletakkan antara Internet dengan jaringan
internal. Informasi yang keluar atau masuk
harus melalui firewall ini.
Tujuan adanya firewall adalah untuk
menjaga (prevent) agar akses (ke dalam
maupun ke luar) dari orang yang tidak
berwenang (unauthorized access) tidak
dapat dilakukan.
Konfigurasi dari firewall bergantung kepada
kebijaksanaan (policy) dari organisasi yang
bersangkutan, yang dapat dibagi menjadi
dua jenis:
• prohibitted
• permitted
Gambar 2: Komputer dengan Firewall Software:
Komputer yang menggunakan firewall software
untuk proteksi jaringan
Produk
PIX Firewall
Perusahaan
Targets
Integrated
hardware or
software
firewall
Support
System
Operasi
Novell Border
Manager
StoneGate
Cisco System,INC Microsoft
Novell, INC
StoneSoft
Small
Office/Home
Office, Enterprisewide (thousands
of users)
Medium sized
office (10-100
users), Large
office (hundreds of
users), Enterprisewide (thousands of
users)
Small
Office/Home
Office,
Enterprise-wide
(thousands of
users)
Small
Office/Home
Office,
Enterprise-wide
(thousands of
users)
NO
NO
NO
Windows 2000
Server
Other
N/A
Yes
N/A
Security and
Acceleration
(ISA) Server 2000
Secara konseptual terdapat 2 macam firewall:
1. Network Level
mendasarkan keputusan pada alamat
sumber, alamat tujuan dan port yang
terdapat dalam setiap paket IP.
2. Application Firewall
Host yang berjalan sebagai proxy server,
yang tidak mengijinkan lalulintas antar
jaringan dan melakukan logging dan
auditing lalulintas yang melaluinya.
Firewall bekerja dengan mengamati paket IP
(Internet Protocol) yang melewatinya. Berdasarkan
konfigurasi dari firewall maka akses dapat diatur
berdasarkan IP address, port, dan arah informasi. Detail
dari konfigurasi bergantung kepada masing-masing
firewall.
Firewall dapat berupa sebuah perangkat keras yang
sudah dilengkapi dengan perangkat lunak tertentu,
sehingga pemakai (administrator) tinggal melakukan
konfigurasi dari firewall tersebut.
Firewall juga dapat berupa perangkat lunak yang
ditambahkan kepada sebuah server (baik UNIX maupun
Windows NT), yang dikonfigurasi menjadi firewall.
Untuk menjaga fungsi komunikasi jaringan dalam
lingkungan yang ber-firewall, dilakukan dua cara :
1. Packet filtering
mekanisme pengontrolan data
yang diperbolehkan
mengalir
dari dan atau ke jaringan internal dengan
menggunakan
beberapa paremeter yang tercantum
dalam header paket
data: arah (inbound atau
outbond), address asal dan tujuan, port asal dan tujuan
serta jenis protokol transport. seperti
telnet dan
SMTP (Single Mail Transport Protocol).
2. Menggunakan sistem proxy, dimana setiap
komunikasi yang terjadi antar kedua jaringan harus
dilakukan melalui suatu operator, dalam hal ini proxy
server.
Protokol FTP (File Transport Protocol) lebih efektif
ditangani dengan sistem Proxy. Kebanyakan firewall
menggunakan kombinasi kedua teknik ini (Packet
filtering dan Proxy)
Beberapa perangkat lunak berbasis UNIX yang dapat
digunakan untuk melakukan IP filtering antara lain:
• ipfwadm: merupakan standar dari sistem Linux yang
dapat diaktifkan pada level kernel
• ipchains: versi baru dari Linux kernel packet filtering
yang
diharapkan dapat menggantikan fungsi ipfwadm
Fungsi proxy dapat dilakukan oleh berbagai software
tergantung kepada jenis proxy yang dibutuhkan, misalnya
web proxy, rlogin proxy, ftp proxy dan seterusnya.
Di sisi client sering kali dibutuhkan software tertentu agar
dapat menggunakan proxy server ini, seperti misalnya
dengan menggunakan SOCKS. Beberapa perangkat lunak
berbasis UNIX untuk proxy antara lain:
• Socks: proxy server oleh NEC Network Systems Labs
• Squid: web proxy server
Ada 3 macam arsitektur dasar firewall, yaitu :
1.
Arsitektur dengan dual-homed
host (dual homed
gateway/DHG)
Menggunakan sebuah komputer
dengan (minimal) dua NIC.
Interface pertama dihubungkan ke
jaringan internal dan yang lainnya
dengan internet. Dual homed
host-nya sendiri berfungsi sebagai
bastion host (Suatu sistem -
komputer yang harus memiliki keamanan yang tinggi,
karena biasanya peka terhadap serangan jaringan,
biasanya terhubung langsung ke internet dan menjadi titik
utama komunikasi dengan jaringan internal.)
2. Screened-host (screened host
gateway/SHG)
fungsi firewall dilakukan dilakukan oleh sebuah
screening-router dan bastian host. Router ini akan
menolak semua trafik kecuali yang ditujukan ke
bastion host, sedangkan pada trafik internal tidak
dilakukan pembatasan.
3. Screened subnet (screened subnet
gateway (SSG)
Firewall dengan arsitektur ini menggunakan dua
Screened-router dan jaringan tengah (perimeter
network) antara kedua router tersebut, dimana
ditempatkan bastion host.
WWW dikembangkan oleh Tim Berners-Lee ketika
bekerja di CERN (Swiss). Untuk membaca atau
melihat sistem WWW digunakan tools yang dikenal
dengan istilah browser.
Sejarah browser dimulai dari browser di sistem
komputer NeXT yang kebetulan digunakan oleh
Berners-Lee. Selain browser NeXT itu, pada saat itu
baru ada browser yang berbentuk text (textoriented) seperti “line mode” browser. Kemudian
ada lynx dan Mosaic yang multi-platform
(Unix/Xwindow, Mac, Windows) dikembangkan oleh
Marc Andreesen dkk ketika sedang magang di
NCSA.
Arsitektur sistem Web terdiri dari dua sisi:
server dan client. Keduanya dihubungkan dengan
jaringan komputer (computer network).
Selain menyajikan data-data dalam bentuk statis,
sistem Web dapat menyajikan data dalam bentuk
dinamis dengan menjalankan program. Program ini
dapat dijalankan di server (misal dengan CGI, servlet)
dan di client (applet, Javascript).
Server WWW menyediakan fasilitas agar client dari
tempat lain dapat mengambil informasi dalam bentuk
berkas (file), atau mengeksekusi perintah
(menjalankan program) di server. Fasilitas
pengambilan berkas dilakukan dengan perintah
“GET”.
mekanisme untuk mengeksekusi perintah di server
dapat dilakukan dengan “CGI” (Common Gateway
Interface), Server Side Include (SSI), Active Server
Page (ASP), PHP, atau dengan menggunakan servlet
(seperti pernggunaan Java Servlet).
informasi yang ditampilkan di server diubah (dikenal
dengan istilah deface)
informasi yang semestinya dikonsumsi untuk kalangan
terbatas (misalnya laporan keuangan, strategi
perusahaan anda, atau database client anda) ternyata
berhasil disadap oleh orang lain.
server anda diserang (misalnya dengan memberikan
request secara bertubi-tubi) sehingga tidak bisa
memberikan layanan ketika dibutuhkan (denial of service
attack);
Pembatasan akses dapat dilakukan dengan:
membatasi domain atau nomor IP yang dapat
mengakses; (konfigurasi Web server atau Firewall
menggunakan pasangan userid & password;
mengenkripsi data sehingga hanya dapat dibuka
(dekripsi) oleh orang yang memiliki kunci pembuka.
Secure Socket Layer
Dengan menggunakan enkripsi, orang tidak bisa menyadap
data-data (transaksi)yang dikirimkan dari/ke server WWW.
Salah satu mekanisme yang cukup populer adalah dengan
menggunakan Secure Socket Layer (SSL) yang mulanya
dikembangkan oleh Netscape.
Server WWW Apache (yang tersedia secara gratis)
dapat dikonfigurasi agar memiliki fasilitas SSL dengan
menambahkan software tambahan (SSLeay - yaitu
implementasi SSL dari Eric Young – atau OpenSSL1 yaitu implementasi Open Source dari SSL).
Penggunaan SSL memiliki permasalahan yang
bergantung kepada lokasi dan hukum yang berlaku.
Hal ini disebabkan:
• Pemerintah melarang ekspor teknologi enkripsi
(kriptografi).
• Paten Public Key Partners atas Rivest-ShamirAdleman (RSA) publickey cryptography yang
digunakan pada SSL.
Informasi tentang web server yang digunakan dapat
dimanfaatkan oleh perusak untuk melancarkan serangan
sesuai dengan tipe server dan operating system yang
digunakan.
Informasi tentang program server yang digunakan
dapat dilakukan dengan menggunakan program “telnet”
dengan melakukan telnet ke port 80 dari server web.
Program Ogre (yang berjalan di sistem Windows) dapat
mengetahui program server web yang digunakan.
Untuk sistem UNIX, program lynx dapat digunakan untuk
melihat jenis server dengan menekan kunci “sama dengan”
(=).
Common Gateway Interface (CGI) digunakan untuk
menghubungkan sistem WWW dengan software lain di
server web. Adanya CGI memungkinkan hubungan
interaktif antara user dan server web. CGI seringkali
digunakan sebagai mekanisme untuk mendapatkan
informasi dari user melalui “fill out form”, mengakses
database, atau menghasilkan halaman yang dinamis.
Secara prinsip mekanisme CGI tidak memiliki lubang
keamanan, program atau skrip yang dibuat sebagai CGI
dapat memiliki lubang Keamanan. Program CGI ini
dijalankan di server web sehingga menggunakan
resources web server tersebut dan membuka potensi
lubang keamanan.
Beberapa contoh :
CGI dipasang oleh orang yang tidak berhak
CGI dijalankan berulang-ulang untuk menghabiskan
resources (CPU, disk): DoS
Masalah setuid CGI di sistem UNIX, dimana CGI
dijalankan
oleh userid web server
Penyisipan karakter khusus untuk shell expansion
Kelemahan ASP di sistem Windows
Guestbook abuse dengan informasi sampah (pornografi)
Akses ke database melalui perintah SQL (SQL injection)
Pelanggaran Privacy
- Adanya penyimpanan data browsing pada “cookie”
yang fungsinya adalah untuk menandai kemana
user
browsing.
- Adanya situs web yang mengirimkan script (misal
Javascript) yang melakukan interogasi terhadap
server
client (melalui browser) dan
mengirimkan informasi ini
ke server.
Attack (via active script, javascript, java)
- Pengiriman data-data komputer (program apa yang
terpasang, dsb.)
- DoS attack (buka windows banyak)
- Penyusupan virus, trojan horse, spyware
Firewall merupakan sebuah perangkat yang
diletakkan antara Internet dengan jaringan
internal. Informasi yang keluar atau masuk
harus melalui firewall ini.
Tujuan adanya firewall adalah untuk
menjaga (prevent) agar akses (ke dalam
maupun ke luar) dari orang yang tidak
berwenang (unauthorized access) tidak
dapat dilakukan.
Konfigurasi dari firewall bergantung kepada
kebijaksanaan (policy) dari organisasi yang
bersangkutan, yang dapat dibagi menjadi
dua jenis:
• prohibitted
• permitted
Gambar 2: Komputer dengan Firewall Software:
Komputer yang menggunakan firewall software
untuk proteksi jaringan
Produk
PIX Firewall
Perusahaan
Targets
Integrated
hardware or
software
firewall
Support
System
Operasi
Novell Border
Manager
StoneGate
Cisco System,INC Microsoft
Novell, INC
StoneSoft
Small
Office/Home
Office, Enterprisewide (thousands
of users)
Medium sized
office (10-100
users), Large
office (hundreds of
users), Enterprisewide (thousands of
users)
Small
Office/Home
Office,
Enterprise-wide
(thousands of
users)
Small
Office/Home
Office,
Enterprise-wide
(thousands of
users)
NO
NO
NO
Windows 2000
Server
Other
N/A
Yes
N/A
Security and
Acceleration
(ISA) Server 2000
Secara konseptual terdapat 2 macam firewall:
1. Network Level
mendasarkan keputusan pada alamat
sumber, alamat tujuan dan port yang
terdapat dalam setiap paket IP.
2. Application Firewall
Host yang berjalan sebagai proxy server,
yang tidak mengijinkan lalulintas antar
jaringan dan melakukan logging dan
auditing lalulintas yang melaluinya.
Firewall bekerja dengan mengamati paket IP
(Internet Protocol) yang melewatinya. Berdasarkan
konfigurasi dari firewall maka akses dapat diatur
berdasarkan IP address, port, dan arah informasi. Detail
dari konfigurasi bergantung kepada masing-masing
firewall.
Firewall dapat berupa sebuah perangkat keras yang
sudah dilengkapi dengan perangkat lunak tertentu,
sehingga pemakai (administrator) tinggal melakukan
konfigurasi dari firewall tersebut.
Firewall juga dapat berupa perangkat lunak yang
ditambahkan kepada sebuah server (baik UNIX maupun
Windows NT), yang dikonfigurasi menjadi firewall.
Untuk menjaga fungsi komunikasi jaringan dalam
lingkungan yang ber-firewall, dilakukan dua cara :
1. Packet filtering
mekanisme pengontrolan data
yang diperbolehkan
mengalir
dari dan atau ke jaringan internal dengan
menggunakan
beberapa paremeter yang tercantum
dalam header paket
data: arah (inbound atau
outbond), address asal dan tujuan, port asal dan tujuan
serta jenis protokol transport. seperti
telnet dan
SMTP (Single Mail Transport Protocol).
2. Menggunakan sistem proxy, dimana setiap
komunikasi yang terjadi antar kedua jaringan harus
dilakukan melalui suatu operator, dalam hal ini proxy
server.
Protokol FTP (File Transport Protocol) lebih efektif
ditangani dengan sistem Proxy. Kebanyakan firewall
menggunakan kombinasi kedua teknik ini (Packet
filtering dan Proxy)
Beberapa perangkat lunak berbasis UNIX yang dapat
digunakan untuk melakukan IP filtering antara lain:
• ipfwadm: merupakan standar dari sistem Linux yang
dapat diaktifkan pada level kernel
• ipchains: versi baru dari Linux kernel packet filtering
yang
diharapkan dapat menggantikan fungsi ipfwadm
Fungsi proxy dapat dilakukan oleh berbagai software
tergantung kepada jenis proxy yang dibutuhkan, misalnya
web proxy, rlogin proxy, ftp proxy dan seterusnya.
Di sisi client sering kali dibutuhkan software tertentu agar
dapat menggunakan proxy server ini, seperti misalnya
dengan menggunakan SOCKS. Beberapa perangkat lunak
berbasis UNIX untuk proxy antara lain:
• Socks: proxy server oleh NEC Network Systems Labs
• Squid: web proxy server
Ada 3 macam arsitektur dasar firewall, yaitu :
1.
Arsitektur dengan dual-homed
host (dual homed
gateway/DHG)
Menggunakan sebuah komputer
dengan (minimal) dua NIC.
Interface pertama dihubungkan ke
jaringan internal dan yang lainnya
dengan internet. Dual homed
host-nya sendiri berfungsi sebagai
bastion host (Suatu sistem -
komputer yang harus memiliki keamanan yang tinggi,
karena biasanya peka terhadap serangan jaringan,
biasanya terhubung langsung ke internet dan menjadi titik
utama komunikasi dengan jaringan internal.)
2. Screened-host (screened host
gateway/SHG)
fungsi firewall dilakukan dilakukan oleh sebuah
screening-router dan bastian host. Router ini akan
menolak semua trafik kecuali yang ditujukan ke
bastion host, sedangkan pada trafik internal tidak
dilakukan pembatasan.
3. Screened subnet (screened subnet
gateway (SSG)
Firewall dengan arsitektur ini menggunakan dua
Screened-router dan jaringan tengah (perimeter
network) antara kedua router tersebut, dimana
ditempatkan bastion host.
WWW dikembangkan oleh Tim Berners-Lee ketika
bekerja di CERN (Swiss). Untuk membaca atau
melihat sistem WWW digunakan tools yang dikenal
dengan istilah browser.
Sejarah browser dimulai dari browser di sistem
komputer NeXT yang kebetulan digunakan oleh
Berners-Lee. Selain browser NeXT itu, pada saat itu
baru ada browser yang berbentuk text (textoriented) seperti “line mode” browser. Kemudian
ada lynx dan Mosaic yang multi-platform
(Unix/Xwindow, Mac, Windows) dikembangkan oleh
Marc Andreesen dkk ketika sedang magang di
NCSA.
Arsitektur sistem Web terdiri dari dua sisi:
server dan client. Keduanya dihubungkan dengan
jaringan komputer (computer network).
Selain menyajikan data-data dalam bentuk statis,
sistem Web dapat menyajikan data dalam bentuk
dinamis dengan menjalankan program. Program ini
dapat dijalankan di server (misal dengan CGI, servlet)
dan di client (applet, Javascript).
Server WWW menyediakan fasilitas agar client dari
tempat lain dapat mengambil informasi dalam bentuk
berkas (file), atau mengeksekusi perintah
(menjalankan program) di server. Fasilitas
pengambilan berkas dilakukan dengan perintah
“GET”.
mekanisme untuk mengeksekusi perintah di server
dapat dilakukan dengan “CGI” (Common Gateway
Interface), Server Side Include (SSI), Active Server
Page (ASP), PHP, atau dengan menggunakan servlet
(seperti pernggunaan Java Servlet).
informasi yang ditampilkan di server diubah (dikenal
dengan istilah deface)
informasi yang semestinya dikonsumsi untuk kalangan
terbatas (misalnya laporan keuangan, strategi
perusahaan anda, atau database client anda) ternyata
berhasil disadap oleh orang lain.
server anda diserang (misalnya dengan memberikan
request secara bertubi-tubi) sehingga tidak bisa
memberikan layanan ketika dibutuhkan (denial of service
attack);
Pembatasan akses dapat dilakukan dengan:
membatasi domain atau nomor IP yang dapat
mengakses; (konfigurasi Web server atau Firewall
menggunakan pasangan userid & password;
mengenkripsi data sehingga hanya dapat dibuka
(dekripsi) oleh orang yang memiliki kunci pembuka.
Secure Socket Layer
Dengan menggunakan enkripsi, orang tidak bisa menyadap
data-data (transaksi)yang dikirimkan dari/ke server WWW.
Salah satu mekanisme yang cukup populer adalah dengan
menggunakan Secure Socket Layer (SSL) yang mulanya
dikembangkan oleh Netscape.
Server WWW Apache (yang tersedia secara gratis)
dapat dikonfigurasi agar memiliki fasilitas SSL dengan
menambahkan software tambahan (SSLeay - yaitu
implementasi SSL dari Eric Young – atau OpenSSL1 yaitu implementasi Open Source dari SSL).
Penggunaan SSL memiliki permasalahan yang
bergantung kepada lokasi dan hukum yang berlaku.
Hal ini disebabkan:
• Pemerintah melarang ekspor teknologi enkripsi
(kriptografi).
• Paten Public Key Partners atas Rivest-ShamirAdleman (RSA) publickey cryptography yang
digunakan pada SSL.
Informasi tentang web server yang digunakan dapat
dimanfaatkan oleh perusak untuk melancarkan serangan
sesuai dengan tipe server dan operating system yang
digunakan.
Informasi tentang program server yang digunakan
dapat dilakukan dengan menggunakan program “telnet”
dengan melakukan telnet ke port 80 dari server web.
Program Ogre (yang berjalan di sistem Windows) dapat
mengetahui program server web yang digunakan.
Untuk sistem UNIX, program lynx dapat digunakan untuk
melihat jenis server dengan menekan kunci “sama dengan”
(=).
Common Gateway Interface (CGI) digunakan untuk
menghubungkan sistem WWW dengan software lain di
server web. Adanya CGI memungkinkan hubungan
interaktif antara user dan server web. CGI seringkali
digunakan sebagai mekanisme untuk mendapatkan
informasi dari user melalui “fill out form”, mengakses
database, atau menghasilkan halaman yang dinamis.
Secara prinsip mekanisme CGI tidak memiliki lubang
keamanan, program atau skrip yang dibuat sebagai CGI
dapat memiliki lubang Keamanan. Program CGI ini
dijalankan di server web sehingga menggunakan
resources web server tersebut dan membuka potensi
lubang keamanan.
Beberapa contoh :
CGI dipasang oleh orang yang tidak berhak
CGI dijalankan berulang-ulang untuk menghabiskan
resources (CPU, disk): DoS
Masalah setuid CGI di sistem UNIX, dimana CGI
dijalankan
oleh userid web server
Penyisipan karakter khusus untuk shell expansion
Kelemahan ASP di sistem Windows
Guestbook abuse dengan informasi sampah (pornografi)
Akses ke database melalui perintah SQL (SQL injection)
Pelanggaran Privacy
- Adanya penyimpanan data browsing pada “cookie”
yang fungsinya adalah untuk menandai kemana
user
browsing.
- Adanya situs web yang mengirimkan script (misal
Javascript) yang melakukan interogasi terhadap
server
client (melalui browser) dan
mengirimkan informasi ini
ke server.
Attack (via active script, javascript, java)
- Pengiriman data-data komputer (program apa yang
terpasang, dsb.)
- DoS attack (buka windows banyak)
- Penyusupan virus, trojan horse, spyware