Upload
telnetcom
View
3
Download
0
Embed Size (px)
Citation preview
Firewall | Fakultas Ilmu Komputer UNSRI 1
FIREWALLFIREWALLDeris Stiawan
FASILKOM UNSRI
2Firewall | Fakultas Ilmu Komputer UNSRI
PendahuluanPendahuluan
• Internet adalah jaringan publik• Terdiri dari berbagai tipe dan sifat
pengguna• Dibutuhkan suatu cara untuk
mengamankan jaringan komputer kita
3Firewall | Fakultas Ilmu Komputer UNSRI
FirewallFirewall• Berupa seperangkat hardware atau software,
bisa juga berupa seperangkat aturan danprosedur yang ditetapkan oleh organisasi.
• Sistem Security yang menggunakan device atausistem yang diletakkan di dua jaringan denganfungsi utama melakukan filtering terhadap aksesyang akan masuk
• Box h/w = PIX Firewall cisco, Pasport Nortel, Checkpoint, Cyberguard,…
• H/w atau s/w yang penting “policy”
4Firewall | Fakultas Ilmu Komputer UNSRI
• Sebagai akses unauthorized yang akankeluar atau masuk ke jaringan LAN dan keInternet.
• Seorang satpam yang akan memerikasasemua orang yang akan masuk dankeluar,
• Kebijakan direktur perusahaan tersebut, satpam hanya menjaga dan menjalankanperintah yang diterimanya
5Firewall | Fakultas Ilmu Komputer UNSRI
Metode FirewallMetode Firewall
• Packet filtering & analysis• Protocol (TCP/UDP)• Port address• Keyword• Ip address• Application
6Firewall | Fakultas Ilmu Komputer UNSRI
• Pada umumnya sebuah Internet Firewall diinstall di antara jaringan internal yang terhubung dengan Internet
7Firewall | Fakultas Ilmu Komputer UNSRI
8Firewall | Fakultas Ilmu Komputer UNSRI
Fungsi FirewallFungsi Firewall
• Firewall sebagai focus keputusansecurity, Bayangkan firewall sebagaichoke point, semua traffic yang masukdan keluar harus melewati “ pos pemeriksaan”,
9Firewall | Fakultas Ilmu Komputer UNSRI
• Firewall mendukung security policy, misalnya perusahaan menetapkanpenggunaan NAT (Network Address Translation), – hanya user atau group – hanya protocol tertentu, – hanya beberapa aplikasi dan sumber daya– Waktu akses– Akses dari tempat tertentu
10Firewall | Fakultas Ilmu Komputer UNSRI
• Mencatat Log Aktivitas User, olehkarena trafik melewati firewall, maka disinidapat kita buat suatu system untukmencatat semua kegiatan system danuser yang menggunakan jaringan. Sebagai dokumentasi yang tepat untukmenentukan policy (AAA)
11Firewall | Fakultas Ilmu Komputer UNSRI
KekuranganKekurangan
• Firewall tidak dibuat untuk penyerang“orang dalam”
• Firewall tidak dapat melindungi danmelawan hubungan yang tidakmelewatinya (sistem back-door).
• Firewall tidak dapat melindungi danmelawan virus
Firewall | Fakultas Ilmu Komputer UNSRI 12
Metode-Metode FIREWALLMetode-Metode FIREWALL
13Firewall | Fakultas Ilmu Komputer UNSRI
PertimbanganPertimbangan• Apa yang akan diproteksi• Membeli / membangun sendiri
– Box atau by software– Fasilitas yang disediakan (log, analys,…)– Memperhatikan “brand” & standar dipasar
• Anggaran biaya• User policy• Upgradeable & standarisasi NCSA (National
Computer Security Associates)• Vendor dan dukungan teknis
14Firewall | Fakultas Ilmu Komputer UNSRI
Proxy ServerProxy Server
• Memenuhi permintaan user untuk layananInternet (http, FTP,Telnet) danmengirimkannya sesuai dengan kebijakan
• Bertindak sebagai gateway menujulayanan
• Mewakili paket data dari dalam dan dariluar
• Menangani semua komunikasi internet –ekternal
15Firewall | Fakultas Ilmu Komputer UNSRI
• Bertindak sebagai gateway antara mesininternal dan eksternal
• Proxy server mengevaluasi dan mengontrolpermintaan dari client, jika sesuai policy dilewatkan jika tidak di deny/drop
• Menggunakan metode NAT• Memeriksa isi paket• Store & forward cache• S/W = ISA, Squid, …
16Firewall | Fakultas Ilmu Komputer UNSRI
AAAAAA
• Authentication, Authorization, Accounting System
• Mengotentikasi keabsahan, memberiwewenang, dan mencatat semua aktivitas
• menangani proses authentikasi daribanyak user dan membandingkannyadengan database yang ada pada server
17Firewall | Fakultas Ilmu Komputer UNSRI
• melayani banyak user dalam waktu yang bersamaan, mengsinkronisasi user yang akan login dengan Database server dandengan server AAA lainnya
• Protocol TACACS+ (Terminal Access Controler Access Control Systems +) danRADIUS (Remote Access Dial-In User Services) dan KERBE-OS)
18Firewall | Fakultas Ilmu Komputer UNSRI
19Firewall | Fakultas Ilmu Komputer UNSRI
20Firewall | Fakultas Ilmu Komputer UNSRI
VPNVPN
• Encapsulation paket di jaringan publik• Seakan-akan membuat jaringan private di
atas jaringan publik• Metode tunneling• Protocol IPSec, PPTP, GRE• Menghemat anggaran komdat WAN
21Firewall | Fakultas Ilmu Komputer UNSRI
Central Site
Site-to-SiteRemote Office
ExtranetBusiness Partner
POP
DSLCable
Mobile User
Home Telecommuter
VPNInternet
22Firewall | Fakultas Ilmu Komputer UNSRI
Packet Filter BasedPacket Filter Based
• suatu aturan untuk meneruskan ataumenolak akses dari dalam dan luarjaringan kita,
• variablenya : alamat asal (source address, alamat tujuan (destination address), protocol, dan nomer port.
23Firewall | Fakultas Ilmu Komputer UNSRI
24Firewall | Fakultas Ilmu Komputer UNSRI
Access Control FilteringAccess Control Filtering
• Metode menggunakan– ACLs– IPChain– IPTables– IP filter– IP Fw– …
25Firewall | Fakultas Ilmu Komputer UNSRI
Metode HoneySpotMetode HoneySpot• Proyek Honeynet dengan sengaja memancing
hacker. Mereka boleh bersenang-senang disana, sementara metodenya dipelajari.
• Menyediakan server untuk “dikerjai” hacker agar menghabiskan waktu dan diawasi
• Disiapkan untuk menganalisa serangan danmetode yang dilakukannya
• By s/w : Deception Toolkit, Cybercorp, sting, snort, …
26Firewall | Fakultas Ilmu Komputer UNSRI
Intrusion Detection System (IDS)Intrusion Detection System (IDS)• IDS dapat berfungsi sebagai sensor, Director,
Communication Service atau peringatan dini daripercobaan kegiatan anomaly.
• memberikan peringatan secara dini jika jaringanakan ada untuk mencoba menyerang
• Sistem bisa “mixed” dengan mail/sms sebagaisistem peringatan
• Mengenali dengan metode– misuse detection, dengan mencari “signatures” yang
sudah dikenali– anomali detection, dengan mengamati perilaku yang
tidak wajar oleh user atau aktifitas aplikasi
27Firewall | Fakultas Ilmu Komputer UNSRI
• host-based IDS (HIDS)– Memeriksa log system dan aktivitas
• network-based IDS (NIDS)– Memeriksa tipe dan konten network packet
28Firewall | Fakultas Ilmu Komputer UNSRI
29Firewall | Fakultas Ilmu Komputer UNSRI
30Firewall | Fakultas Ilmu Komputer UNSRI
31Firewall | Fakultas Ilmu Komputer UNSRI
32Firewall | Fakultas Ilmu Komputer UNSRI
33Firewall | Fakultas Ilmu Komputer UNSRI
Life Cycle SecurityLife Cycle Security
• Business Requirement• Design Arsitektur• Analisa resiko dan kebutuhan• Pengembangan Policy • Prosedur dan perencanaan• Testing dan implementasi
Firewall | Fakultas Ilmu Komputer UNSRI 34
POLICY FIREWALLPOLICY FIREWALL
35Firewall | Fakultas Ilmu Komputer UNSRI
Policy FIREWALLPolicy FIREWALL• Computer Physical, membuat aturan baku
tentang akses computer dan jaringansecara langsung misalnya kabel, server yang diletakkan diruangan khusus, hub, router, dan lain-lain
• Koneksi kabel yang dilindungi, kabel UTP, STP atau coax dari gangguan sabotaselangsung.
• Membuat password BIOS, LILO boots, Screen saver
36Firewall | Fakultas Ilmu Komputer UNSRI
• Automatic Lock, aturan yang memungkinkanpenguncian sistem secara otomatis, jika terjadimisalkan penulisan password yang salahsebanyak tiga kali.
• Check Log adminstrasi secara priodikmelakukan checking semua aktivitas sistemcomputer
• Closed Port / Services / Daemon, menutup port-port atau layanan-layanan yang tidak pentingatau tidak digunakan
• Ganti password secara berkala (admin & user) dan dokumentasikan
37Firewall | Fakultas Ilmu Komputer UNSRI
• New accounts, membatasi user baru denganquota, memory dan akses beserta hak yang dimilikinya
• Checking Files, melakukan pemeriksaan secaraintersif file atau software yang didapatkan dariluar sistem atau dari download di Internet
• Remote account, melakukan checking misalnyaremote account yang telah kadaluarsa
• User id dan Group id, menerapkan kelompok-kelompok berdasarkan user dan kelompok agar mudah dimaintenence
• Account, apakah sebuah account dapatdigunakan bersama, disaat accountnya ditolakapa yang harus dilakukan oleh user.
38Firewall | Fakultas Ilmu Komputer UNSRI
• Root Security, sistem administrasi denganmenggunakan remote sistem harus melaluijaringan yang aman, misalnya VPN, SSL, atauSSH.
• Remote User, disaat akan terkoneksi ke jaringanapa yang mesti dilakukan oleh user, bagaimanajika user akan terkoneksi ke jaringan local darijaringan public.
• Backup, membuat aturan dengan menerapkankegiatan backup secara berkala ataumenggunakan sistem cadangan.
39Firewall | Fakultas Ilmu Komputer UNSRI
• Patch terbaru, melakukan updating patch yang disediakan vendor peragkatlunaknya untuk menutupi lubang-lubangkeamanan
• Sosialisasi dan kemudahan prosedur• Team hotline, membuat sebuah tim
penangananan jika terjadi serangan dankerusakan dan menyiapkan nomer khususonline setiap saat.
40Firewall | Fakultas Ilmu Komputer UNSRI
• Jika memungkinkan, alihkan atau gandakan log dari suatu server ke mesin lainnya. Tujuannya, agar menyulitkan hacker menghapus log setelahmelancarkan aksinya, ataupun jika berhasil, kitamasih mempunyai backup log-nya.
• Jangan lupa buat check list terhadap apa-apayang perlu dilakukan dan juga buat catatantentang apa-apa yang telah dilakukan terutamadilakukan jika terjadi anomaly sistem.
41Firewall | Fakultas Ilmu Komputer UNSRI
Mengenal Jenis SeranganMengenal Jenis Serangan
• DOS & DDOS• Spoofing• TCP SYN attack• Brute Force & Dictionary attack password
42Firewall | Fakultas Ilmu Komputer UNSRI
Ancaman InternetAncaman Internet
• E-mail• HTTP• FTP• File Sharing• Instance Messaging
43Firewall | Fakultas Ilmu Komputer UNSRI
PasswordPassword• Jangan pernah menggunakan kata-kata umum
yang ada dikamus• Gunakan kombinasi huruf dan angka (besar dan
kecil)• Min 5 karakter• Ganti secara berkala• Jangan gunakan password tentang pribadi :
TTL, nama pacar, nama ortu, alamat, dll• Harus mudah diingat• Don’t trust any one…!! (paranoid)