+
Firewall
+
Apa itu firewall
n Firewall adalah suatu mekanisme, sehingga suatu client
dari luar dilarang/dibolehkan mengakses ke dalam jaringan (atau client yang berada di dalam dilarang/ dibolehkan mengakses keluar jaringan) berdasarkan aturan-aturan yang ditetapkan.
n Seperti pos satpam di suatu instansi/perumahan
n Bekerja di layer: antara 3 dan 4 (bahkan 5) di TCP/IP
+
Istilah-istilah
Masquerading
n Memungkinkan banyak komputer untuk
menggunakan dari alamat IP yang sama
n Koneksi hanya dapat dimulai oleh host internal
NAT – Network Address Translation
n Istilah "NAT" dapat berarti banyak hal yang berbeda,
lihat RFC2663 untuk rincian
n Umumnya beberapa pemetaan tingkat router dan
konversi antara satu set alamat IP pribadi ke alamat IP publik.
+
Mengapa butuh Firewall ?
n Untuk melaksanakan kebijakan Anda!
n Untuk mengelola risiko menyediakan layanan Anda.
n Untuk memisahkan jaringan dengan kebijakan yang
berbeda.
n Untuk memberikan pertanggungjawaban sumber
daya jaringan.
n Firewall mengurangi risiko
n Memblokir ancaman
+
Cara kerja
n Dengan meneliti paket-paket yang lewat firewall itu
dan mencocokkannya dengan melihat daftar/aturan yang diberikan kepadanya.
n Firewall memblokir lalu lintas tertentu, sedangkan
memungkinkan lalu lintas yang lain untuk lewat.
n Berbagai jenis firewall melewatkan lalu lintas
menggunakan metode yang berbeda
n Packet Filtering
n Proxy
Firewall
Boleh lewat mbak ? Nih
surat-suratnya Anak kecil ga boleh keluar.. sudah malam
+
Ada dua tipe utama
Aturan Firewall diciptakan untuk mencocokkan kebijakan Aturan didasarkan pada:
n Routing based filters (Who – siapa)
n Sender/source and Destination
n berasal dari mana ?
n Mau ke mana ?
n Tidak peduli mau ngapain di sana
n Content based filters (What – mau apa)
n TCP/IP Port numbers and Services
n Apa yang akan kamu lakukan di sana ?
+
Dua pendekatan aturan
n Default allow
n Mengijinkan semua lewat kecuali yang terdaftar
n Default deny
+
Packet Filtering
n Bentuk sederhana dari firewall
n Sering dapat diimplementasikan pada peralatan
jaringan (router, switch)
n Blok Ports tertentu TCP/IP, protokol atau alamat.
n Aturan yang diterapkan pada header dari paket
Contoh: iptables, ipchains (Linux), pf, ipfw (freeBSD)
+
Contoh Packet Filtering
An abbreviated packet…
Source SrcPort Destination DestPort 204.210.251.1 8104 128.146.2.205 31337
A Cisco packet filter
+
FreeBSD PF Firewall
# Drop incoming everything
block
in
all
.
.
pass
in
on
$ext_if
proto tcp from any to any port ssh
pass
in
on
$ext_if
proto udp from any to any port domain
pass
in
on
$ext_if
proto tcp from any to any port domain
pass
in
on
$ext_if
proto tcp from any to any port http
+
LINUX IPTABLES
iptables -P INPUT DROP
iptables -P FORWARD DROP iptables -P OUTPUT DROP
iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
+
CISCO Firewall
!ftp tcp 20 & 21access-list 122 permit tcp any host <ftp-bastion-host> eq 20 access-list 122 permit tcp any host <ftp-bastion-host> eq 21 !
!secure shell (ssh) tcp 22
access-list 122 permit tcp any host <ftp-bastion-host> eq 22 !
!telnet tcp 23
access-list 122 permit tcp any host <telnet-bastion-host> eq 23 !
!smtp 25
access-list 122 permit tcp any host <email-server> eq 25 !
!DNS 53/53
! note: this takes care of DNS in. DNS as client
! out will require ports >= 1024 for that bastion host access-list 122 permit tcp any host <dns-server1> eq 53 access-list 122 permit udp any host <dns-server1> eq 53
+
Packet Filtering
n Keuntungan Packet Filtering
n Kinerja Tinggi
n Biasanya dapat diterapkan pada router/switch (Tidak
ada peralatan tambahan!)
n efektif
n Kekurangan dari Packet Filtering
n Dapat dengan cepat menjadi konfigurasi yang sangat
kompleks
n Mudah misconfigure
n Sulit untuk mengkonfigurasi protokol dinamis (seperti
FTP)
n tidak dapat melakukan penyaringan konten berbasis
+
Proxy
n Firewall menerima permintaan, dan mengeksekusi
mereka dalam nama pengguna
n Saya ingin melihat http://www.osu.edu
n Firewall mendapat http://www.osu.edu konten
n Firewall mengirimkan konten ke penanya
+
Proxy
n Keuntungan Firewall Proxy
n Mereka tidak mengizinkan koneksi langsung
antara host internal dan eksternal
n Dapat mendukung otentikasi, 'kelas' dari
pengguna
n Dapat memungkinkan / menolak akses
berdasarkan konten
n Dapat menyimpan log yang sangat rinci aktivitas
(termasuk bagian data paket)
+
Proxy
Kekurangan Firewall Proxy
n Lebih lambat dari packet firewall penyaring n Memerlukan perangkat keras tambahan
n Perankat lebih “kuat” untuk lebih banyak pengguna n hardware lambat = layanan lambat
n Beberapa firewall memerlukan konfigurasi khusus pada
workstation.
n Beberapa protokol mungkin tidak didukung (AIM, RealAudio,
Napster, H.323).
n Konfigurasi dapat kompleks
+
Topologi
n Bridge-type firewall
n Invisible to users
n Easy to install for already existing networks
n Router-type firewalls
+
Topologi
n Advantages of
Bridge-type firewall
n Invisible to users
n Easy to install for already
existing networks
n Disadvantages of
Bridge-type firewall
n Requires more equipment
than packet filtering
n Rules may be more confusing
to configure
• Advantages of
Router-type firewall
– Rule configuration
slightly better than bridge
• Disadvantages of
Router-type firewall
– System is ‘visible’ to users and outsiders
Problems
n Firewall sebagai filter dapat dipertimbangkan untuk
sebagian besar untuk menjadi sempurna ... tapi sebagai ukuran keamanan? Mereka hanya bisa menegakkan aturan (umumnya statis)
internet
+
Problems
internet Jaringan kita Jaringan terpercaya Firewall+
Setting Firewall
n Menggunakan "DMZ" (zona demiliterisasi)
n Firewall sebagai perangkat Intrusion Detection
+
DMZ
n Firewall DMZ (Demilitarized Zone) – atau jaringan
perimeter adalah jaringan security boundary yang terletak diantara suatu jaringan corporate / private LAN dan jaringan public (Internet).
n Firewall DMZ ini harus dibuat jika anda perlu
membuat segmentasi jaringan untuk meletakkan
server yang bisa diakses public dengan aman tanpa harus bisa mengganggu keamanan system jaringan LAN di jaringan private kita. Perimeter (DMZ)
network didesign untuk melindungi server pada jaringan LAN corporate dari serangan hackers dari Internet.
+
DMZ Configuration
n Separate area off the firewall
n Different network segments may have different
policies
n Departments n Service areas n Public Services n Internal Services
n Usually a different subnet
n Commonly used to house Internet facing machines
(i.e. Web Servers)
DMZ Configuration
n Tempatkan server web dalam "DMZ" jaringan
n Hanya melewatkan port web (port TCP 80 dan 443)
internet
Firewall
+
DMZ Configuration
n Don’t allow web servers access to your network n Allow local network to manage web servers (SSH) n Don’t allow servers to connect to the Internet
n Patching is not convenient
Firewall Web Server internet Mas ..yang merah gak boleh lewat lho
+
DMZ Configuration
Firewall Web Server Jaringan Lokal: • Semua boleh menghubungi web-server (port 80/443 • PC-PC tertentu boleh menghubungi server lewat SSH (port 22)• Server tidak boleh
menghubungi jaringan lokal Internet: • Semua boleh menghubungi web-server (port 80/443
• Selain layanan web
tidak diperkenankan
• Server tidak boleh
+
Firewall sebagai IDS
n IDS = Intrusion Detection System
n Collect log information from the deny rules n Find Portscanning, hacking attempts, etc…
n Isolate traffic with deny rules helps cut down the information
+
Firewall sebagai IDS
n What to do with ALL that data…..Graph It!
n Shows trends, what people are looking for
n Helps prioritize security tasks
+
Firewall sebagai IDS
n Pay close attention to traffic leaving DMZ n Often the first sign of a compromise
n Low traffic rules, so logs aren’t as enormous
+
VPN
n VPN = Virtual Private Network
n VPN is far more secure than other management
methods:
n SSL and SSH are vulnerable to Man-In-The Middle
Attacks
n Telnet and SNMP are clear text
n There are no known MIM attacks against IPSEC
+
VPN
n VPN clients are supported on most platforms
n Most firewalls will work with most clients
n Netscreen now officially supports FreeSwan
