Firewall

Pengenalan Kriptografi dan Firewall


[email protected]

1


Kriptografi

Kriptografi adalah suatu ilmu yang mempelajari pengamanan informasi melaluiteknik-teknik matematika. Dalam kriptografi kita mengenal dua jenis proses, yaituenkripsi dan dekripsi.

Enkripsi

Proses penyandian suatu informasi(plaintext) menjadi informasi yangtersandikan(ciphertext). Proses ini terjadi menggunakan suatu fungsi ataualgoritma enkripsi. Untuk lebih jelasnya kita dapat lihat pada gambar :

Gambar 1 Proses Enkripsi

Dekripsi

Proses pengembalian informasi yang tersandikan(ciphertext) menjadiinformasi yang dapat dimengerti(plaintext). Proses ini juga menggunakansuatu fungsi atau algoritma dekripsi. untuk lebih jelasnya lihat gambardibawah :

Gambar 2 Proses Dekripsi

2


Teknik-teknik Penyandian

Penyandian Simetrik

Pada penyandian simetrik, terdapat satu kunci yang digunakan untuk melakukanproses enkripsi dan dekripsi. Jadi kedua belah yang akan melakukan pertukaraninformasi harus memiliki kunci yang sama. Contoh aplikasi penyandian ini adalahEnigma, yaitu mesin penyandian yang digunakan oleh Jerman pada Perang Dunia II.Enigma menghasilkan ratusan kunci yang dibukukan menjadi buku kunci. Lalu lintaspengiriman data dengan gelombang radio pada waktu itu dienkripsi dan didekripsioleh kunci harian. Di jaman sekarang ini beberapa implementasi penyandian simetrikdiantaranya DES(Data Encryption Standard), Triple-DES, Blowfish dan IDEA.

Pada penyandian simetrik keamanan sangat tergantung pada kombinasi banyaknyakunci. Sebagai contoh penyandian DES dengan panjang kunci 56 bit, maka

kemungkinan terdapat 256 kunci atau sama dengan 72.057.594.037.927.936 kunci.Angka diatas mungkin tampak sangat banyak, tetapi komputer pada saat ini dapatmenebak seluruh kombinasi kunci dalam hitungan hari. Sebuah komputer khususbahkan dapat menebaknya dalam hitungan jam. Mungkin juga karena hal tersebut,penyandian simetrik seperti Triple-DES, Blowfish dan IDEA, menggunakan kunci

sepanjang 128 bit. Sehingga terdapat 2128 kunci, yang walaupun jika semuakomputer yang ada di dunia ini digabungkan, dibutuhkan waktu yang sangat lamauntuk menebak kombinasi kunci yang tepat. Namun demikian kelemahan utama daripenyandian ini adalah mekanisme untuk mengamankan kunci dan mengirimkankunci tersebut kepada orang yang kita tuju.

Cara kerja penyandian simetrik adalah sebagai berikut :

Gambar 3 Penyandian Simetrik

Penyandian Asimetrik

Pada penyandian asimetrik, terdapat dua buah kunci, untuk enkripsi dan dekripsi.Untuk enkripsi disebut public key dan dapat diberikan kepada siapa saja, dan untukdekripsi disebut private key, yang dibawa oleh pemilik kunci. Jika suatu informasidienkripsi menggunakan public key maka hanya private key saja yang bisamembuka enkripsi tersebut.

3


Keuntungan dari penyandian asimetrik adalah hanya dibutuhkan satu kunci bagisiapa saja yang ingin berkomunikasi dengan kita. Sedangkan kelemahannya adalahkecepatan enkripsinya yang jauh lebih lambat dibandingkan penyandian simetrik.Contoh implementasi dari penyandian asimetrik diantaranya RSA(Rivest, Shamir,dan Adleman) yang keamanannya bergantung pada sulitnya memfaktorkan bilanganprima besar. Contoh lain seperti Diffie-Helman dan Elgamal.

Gambar 4 Penyandian Asimetrik

Penyandian Hybrid

Penyandian Hybrid bekerja dengan menggabungkan kelebihan kedua jenispenyandian diatas. Pertama informasi dienkripsi menggunakan penyandian simetrik,lalu kuncinya dienkripsi menggunakan penyandian asimetrik. Dengan demikiankeamanan informasi dan kunci menjadi lebih terjamin. Untuk lebih meningkatkankeamanan maka dibuat kunci penyandian simetrik secara acak, disebut juga sessionkey.

Penyandian Hash

Penyandian hash, biasa digunakan untuk pengamanan password dan digitalsignature. Pada sistem Linux misalnya password yang dimasukkan oleh user,dienkripsi dengan penyandian hash, hasil penyandian ini kemudian dibandingkandengan hasil hash yang terdapat pada file /etc/password. Sedangkan digitalsignature bertujuan agar orang mendapatkan dokumen/program yang sama dengansumbernya. Contohnya sebuah dokumen dienkripsi dengan penyandian hash,hasilnya adalah signature dari dokumen tersebut. Bila seseorang ingin memeriksaapakah dokumen miliknya sama dengan dokumen sumber, maka dia pun dapatmelakukan penyandian hash pada dokumen yang dimilikinya, dan signature daridokumen miliknya dibandingkan dengan signature dari dokumen sumber. Beberapaalgoritma penyandian hash diantaranya SHA(Secure Hash Algorithm), MD5, danDSA.

4


Implementasi Kriptografi

Pada Linux kita bisa menggunakan program gnupg yang biasanya sudah disertakanpada beberapa distribusi Linux. Jika anda ingin mendapatkan versi terbarunya andadapat mengambilnya di www.gnupg.org.

Membuat pasangan kunci penyandian asimetrik

Pertama-tama kita akan membuat pasangan kunci penyandian asimetrik, caranyaketikkan perintah berikut pada konsole

[iyan@IyaNet iyan]$ gpg --gen-keygpg (GnuPG) 1.2.3; Copyright (C) 2003 Free Software Foundation, Inc.This program comes with ABSOLUTELY NO WARRANTY.This is free software, and you are welcome to redistribute itunder certain conditions. See the file COPYING for details. Please select what kind of key you want: (1) DSA and ElGamal (default) (2) DSA (sign only) (5) RSA (sign only)Your selection?

Terdapat tiga pilihan kunci, DSA dan Elgamal jika kita juga ingin melakukan enkripsidan dekripsi dokumen, DSA dan RSA jika hanya ingin membuat signature. Karenakita juga ingin melakukan enkripsi dokumen maka kita pilih opsi nomor 1.Selanjutnya akan muncul pilihan panjang kunci yang kita inginkan. Panjangminimum kunci adalah 768 bit.

DSA keypair will have 1024 bits.About to generate a new ELG-E keypair. minimum keysize is 768 bits default keysize is 1024 bits highest suggested keysize is 2048 bitsWhat keysize do you want? (1024)

Misalkan kita pilih panjang kunci default (1024 bit). Selnajutnya akan muncul pilihanuntuk berapa lama umur kunci yang kita buat. Jika kita pilih angka 0 maka kuncitidak akan pernah habis masa berlakunya.

Requested keysize is 1024 bitsPlease specify how long the key should be valid. 0 = key does not expire <n> = key expires in n days <n>w = key expires in n weeks <n>m = key expires in n months <n>y = key expires in n yearsKey is valid for? (0)

Pilihan berikutnya adalah ID pemilik kunci, formatnya terdiri dari nama,komentar/julukan, dan alamat e-mail. You need a User-ID to identify your key; the software constructs the

5


user id from Real Name, Comment and Email Address in this form: "Heinrich Heine (Der Dichter) <[email protected]>" Real name:

Selanjutnya anda dapat menggunakan pasangan kunci ini untuk berbagai keperluan.

Enkripsi dan dekripsi dokumen

Misalkan anda memiliki sebuah dokumen dengan nama rahasia.doc, kemudian andaingin mengenkripsinya dengan penyandian asimetrik menjadi sebuah file bernamadoc.crypt, maka ketikkan perintah berikut

[iyan@IyaNet iyan]$ gpg --output doc.crypt --encrypt [email protected] rahasia.rtf

Sedangkan perintah untuk mengembalikannya ke bentuk semula adalah

[iyan@IyaNet iyan]$ gpg --output rahasia.rtf --decrypt doc.crypt

Bila anda ingin mengenkripsinya dengan menggunakan penyandian simetrik makaanda dapat menggunakan pilihan berikut

[iyan@IyaNet iyan]$ gpg --output doc --symmetric rahasia.rtfEnter passphrase:

Masukkan password untuk melindungi dokumen tersebut, kemudian ulangi untukkonfirmasi. Sedangkan untuk mengembalikan dokumen tersebut ke bentuk asalnyaketikkan perintah

[iyan@IyaNet iyan]$ gpg --output rahasia.rtf --decrypt doc.cryptgpg: CAST5 encrypted dataEnter passphrase:

Tampak bahwa dokumen tersebut dienkripsi menggunakan algoritma CAST5.

Membuat dan memverifikasi signature

Misalkan anda ingin membuat signature dari dokumen algoritma.rtf makaperintahnya adalah sebagai berikut

[iyan@IyaNet iyan]$ gpg --output alg.sig --detach-sig algoritma.rtf

Kemudian untuk memeriksa apakah dokumen yang kita terima valid atau tidakketikkan perintah

[iyan@IyaNet iyan]$ gpg --verify alg.sig algoritma.rtfgpg: Signature made Mon 17 May 2004 09:44:19 AM WIT using DSA key ID96BB0041gpg: Good signature from "Yantisa Akhadi (Aliansi) <[email protected]>"

Tampak bahwa dokumen tersebut valid, jika tidak (misal dokumen algoritma.rtf telah

6


dimodifikasi) maka akan muncul pesan

[iyan@IyaNet iyan]$ gpg --verify alg.sig algoritma.rtfgpg: Signature made Mon 17 May 2004 09:44:19 AM WIT using DSA key ID96BB0041gpg: BAD signature from "Yantisa Akhadi (Aliansi) <[email protected]>"

7


Firewall

Mengapa diberi nama firewall? Mungkin itu pertanyaan yang pertama kali munculketika membaca artikel tentang keamanan, baik di Win, Linux maupun sistemoperasi apa saja.

Menurut istilah konstruksi bangunan, firewall adalah sebuah struktur yang dibuatuntuk mencegah penyebaran api. Hampir senada dengan istilah awalnya, Firewallbertujuan menjaga LAN dari "api" akses yang tidak diinginkan dari Internet.Disamping agar pengguna LAN tidak sembarangan mengeluarkan "api" aksesnya keInternet. Dengan kata lain firewall dibuat untuk membatasi antara dua dunia(LANdan Internet).

Firewall sendiri terbagi menjadi dua jenis1. Filtering Firewall - yang akan memblok dan melewatkan paket-paket tertentu2. Proxy Server Firewall - berfungsi sebagai perantara koneksi

Proxy Server

Pada proxy server firewall terdapat satu komputer yang diamankan dengan ketat.Komputer ini disebut juga bastion host. Bastion host dapat dianalogikan sebagaisebuah benteng dengan parit disekelilingnya, pasukan pemanah pada menara, dangerbang besar dan kuat yang akan memeriksa semua yang berusaha masuk dankeluar dari benteng tersebut. Setiap komputer yang akan berhubungan dengandunia luar(internet) haruslah login ke bastion host melalui jalur yang aman(misalssh). Dari bastion host ini client melakukan semua aktivitasnya(browsing, transferdata, chatting, dsb). Bila client mendownload data dari internet, maka data tersebutakan berada pada bastion host. Dari bastion host ini client memindahkannya lagi kekomputer miliknya.

Packet Filtering Firewalls

Packet filter adalah sebuah software yang memeriksa header dari paket ketikapaket tersebut lewat, dan memutuskan tindakan apa yang dilakukan terhadap pakettersebut. Apakah paket tersebut di-DROP (misal dengan menghapus pakettersebut), ACCEPT(misal, paket tersebut diteruskan ke tujuannya), atau hal lainyang lebih kompleks.

8


Gb. 1 Header Paket IP

Pada Linux, packet filtering ditanamkan pada kernel(sebagai modul kernel, ataudigabungkan ke dalam kernel). Penerapan packet filtering sudah cukup lama sejakkernel versi 1.1. Versi pertamanya, masih menyontek kerja ipfw milik BSD(SistemOperasi buatan University California at Berkeley), dibuat oleh Alan Cox pada akhir1994. Berkembang menjadi ipfwadm pada kernel 2.0, ipchains pada kernel 2.2dan terakhir iptables sejak kernel 2.4.

Packet Filtering Firewalls dengan Iptables

Iptables merupakan paket program yang disertakan secara default oleh banyakdistro bersama dengan kernel versi 2.4. Pada iptables nantinya kita akan banyakberhubungan dengan aturan-aturan(rules) yang menentukan tindakan apa yangakan dilakukan terhadap sebuah paket. Aturan-aturan ini dimasukan dan dihapuspada tabel packet filtering yang terdapat pada kernel. Sekedar mengingatkan kerneladalah "jantung" sistem operasi yang terus berada pada memori sejak komputerbooting hingga komputer dimatikan. Sehingga aturan apapun yang kita tentukanakan hilang pada saat terjadi rebooting, namun demikian terdapat beberapa caraagar aturan-aturan yang telah kita buat dapat di kembalikan pada saat Linuxbooting, yaitu :

1. Menggunakan perintah iptables-save, untuk menyimpan aturan-aturanyang telah ditentukan dalam sebuah file, dan iptables-restore, untukmemanggil file aturan yang telah dibuat.

2. Meletakannya pada sebuah skrip yang akan berjalan pada saat inisialisasiLinux. Misal mengetikkan semua aturan pada /etc/rc.local.

Untuk no.1 akan dijelaskan kemudian.

9


Perjalanan Paket Melintasi Filter

Terdapat tiga daftar aturan pada tabel filter. Daftar-daftar ini disebut "firewall chains"atau "chains". Ketiga chains tersebut adalah INPUT, OUTPUT dan FORWARD.Chains tersebut tersusun kurang lebih sebagai berikut :

Gb.2 Perjalanan Paket

Ketika paket melewati salah satu chains (INPUT, OUTPUT atau FORWARD), makachain akan dilihat untuk menentukan "takdir" dari paket tersebut. Jika menurut chainpaket tersebut harus di DROP maka paket akan dihapus, begitu juga sebaliknya jikamenurut chain paket tersebut di-ACCEPT maka paket tersebut akan melanjutkanperjalanannya.

Jadi chain sebenarnya merupakan daftar aturan-aturan. Tiap aturan mengaturtindakan apa yang akan dilakukan terhadap sebuah paket berdasarkan header daripaketnya. Jika aturan pertama tidak cocok dengan header paket maka akandilanjutkan dengan aturan berikutnya, begiru seterusnya. Hingga apabila tidak adalagi aturan yang sesuai dengan header paket maka kernel akan melihat pada chainpolicy, yang berisi aturan/kebijakan umum tentang tindakan terhadap suatu paket.Pada kebanyakan sistem, chain policy biasanya akan men-DROP paket tersebut.

Perintah – perintah iptables

Melihat daftar aturan pada chain

Sebelum melakukan penyaringan paket pada sistem, kita terlebih dahulu melihataturan apa saja yang telah ada dan policy(kebijakan umum) dari suatu chain.Perintah berikut contoh hasilnya adalah sebagi berikut :

10

Paket Masuk

Lokal

Lihat Tujuan

Chain INPUTY

TChain

Proses Lokal

Chain OUTPUT

Paket Diteruskan

Paket Keluar


[root@localhost root]# iptables -LChain INPUT (policy ACCEPT)target prot opt source destination Chain FORWARD (policy ACCEPT)target prot opt source destination Chain OUTPUT (policy ACCEPT)target prot opt source destination

Menolak semua paket yang masuk/keluar

Untuk menolak semua paket yang masuk ke dalam sistem, maka kita perlumenambah aturan ke dalam chain INPUT untuk men-DROP semua paket, sehinggaperintahnya adalah

[root@localhost root]# iptables -A INPUT -j DROP

Selanjutnya coba anda hubungi komputer bersangkutan(dalam hal ini alamatnya192.168.100.10) dari komputer lain, misal dengan program ping, maka akan munculhasil berikut setelah anda menekan Ctrl-C

[iyan@server:~]$ ping 192.168.100.10PING 192.168.100.10 (192.168.100.10) 56(84) bytes of data. --- 192.168.100.10 ping statistics ---24 packets transmitted, 0 received, 100% packet loss, time 23014ms

Sedangkan jika anda ingin menolak semua paket keluar dari sistem, maka miripdengan perintah diatas hanya saja chainnya diganti dengan OUTPUT, efeknya tidakjauh berbeda.

[root@localhost root]# iptables -A OUTPUT -j DROP

Untuk penolakan yang lebih "sopan" anda dapat menggunakan aksi (-j) REJECT,misal

[root@localhost root]# iptables -A INPUT -j REJECT

Maka hasil ping ke komputer yang bersangkutan akan tampak sebagai berikut

[iyan@server:~]$ ping 192.168.100.10PING 192.168.100.10 (192.168.100.10) 56(84) bytes of data.From 192.168.100.10 icmp_seq=1 Destination Port UnreachableFrom 192.168.100.10 icmp_seq=2 Destination Port UnreachableFrom 192.168.100.10 icmp_seq=3 Destination Port UnreachableFrom 192.168.100.10 icmp_seq=4 Destination Port UnreachableFrom 192.168.100.10 icmp_seq=5 Destination Port Unreachable --- 192.168.100.10 ping statistics ---5 packets transmitted, 0 received, +5 errors, 100% packet loss, time4012ms

11


Menolak paket berdasarkan alamat IP

Tentunya jika kita memakai perintah sebelumnya akan sama halnya dengan filtertanpa lubang (bukan filter donk!), karena tidak ada paket yang bisa masuk kesistem. Untuk lebih spesifik kita dapat menyaring berdasarkan alamat IP. Misalkanada sebuah komputer beralamat IP 192.168.100.11 yang selalu mengganggukomputer kita, untuk menyiasatinya kita gunakan perintah berikut

[root@localhost root]# iptables -A INPUT -s 192.168.100.11 -j DROP

Opsi -s pada perintah diatas berarti source atau sumber paket. Jika kita lihat padadaftar list chain akan muncul hasil sebagai berikut

[root@localhost root]# iptables -LChain INPUT (policy ACCEPT)target prot opt source destinationDROP all -- 192.168.100.11 anywhere Chain FORWARD (policy ACCEPT)target prot opt source destination Chain OUTPUT (policy ACCEPT)target prot opt source destination

Selain dengan menggunakan alamat IP, anda juga dapat menggunakan namadomain(walaupun hal ini sebenarnya tidak disarankan) dan subnet(cth:192.168.1.0/24). Misalkan anda tidak ingin paket yang berasal dari www.jorok.commasuk ke komputer anda, dan anda tidak tahu alamat IP nya maka anda dapatmengetikkan perintah

[root@localhost root]# iptables -A INPUT -s www.jorok.com -j DROP

Demikian halnya pula dengan chain OUTPUT, bedanya disini opsi -s (source) digantidengan -d (destination). Gunanya misalkan anda tidak ingin orang mengakseswww.porno.com maka diterapkan aturan berikut

[root@localhost root]# iptables -A OUTPUT -d www.porno.com -j DROP

Menolak paket berdasarkan protokol dan nomor port

Protokol yang biasa digunakan diantaranya TCP, UDP dan ICMP. TCP(TransferControl Protocol) digunakan oleh web server, file server, proxy server, dll. UDP(Userdatagram Protocol) digunakan oleh DNS dan SNMP. Sementara protokol ICMP(Internet Control Message Protocol) digunakan oleh perintah ping dan traceroute.Untuk daftar protokol yang lebih lengkap anda dapat melihat /etc/protocols.

Contoh kasus, misalkan anda ingin sebuah server DNS hanya menerima paket datadengan protokol UDP maka anda dapat mengetikkan perintah berikut :

[root@localhost root]# iptables -A INPUT -p tcp -j DROP[root@localhost root]# iptables -A INPUT -p icmp -j DROP

12


Jika anda mengetikkan perintah diatas maka, anda tidak bisa melakukan ping, dansemua jenis service dengan protokol ICMP dan TCP akan di-DROP, kecuali DNSdan SNMP(karena menggunakan protokol UDP). Selain dengan nama protokol andajuga bisa memasukkan nomor dari protokol tersebut(bisa anda lihat di /etc/protocols).

Untuk lebih spesifik kita bisa menambahkan nomor port dari protokol yang ingin kitaDROP. Sekedar mengingatkan semua service pada server mengikat satu nomorport. Web server pada port 80, FTP server pada port 21, dst. Misal kita ingin serverbisa digunakan untuk semua service kecuali browsing maka kita bisa mengetikkanperintah

[root@localhost root]# iptables -A INPUT -p tcp --dport http -j DROP

Selain dengan nama service yang berada pada port tersebut, kita juga bisamenggunakan nomor port. Jadi perintah diatas ekivalen dengan

[root@localhost root]# iptables -A INPUT -p tcp --dport 80 -j DROP

Daftar nomor port beserta nama service yang berjalan pada port tersebut, dapatanda lihat pada /etc/services.

Menghapus aturan

Setidaknya terdapat tiga cara untuk menghapus aturan pada chain

1. Menghapus semua aturanUntuk menghapus semua aturan pada semua chain maka kita dapat mengetikkanperintah dibawah, opsi -F berarti kita melakukan flushing semua aturan.

[root@localhost root]# iptables -F

2. Mengganti opsi -A dengan -D

Pada berbagai contoh diatas, jika kita ingin menambahkan sebuah aturan,tentulah kita beri opsi -A, misal aturan berikut ingin kita hapus

[root@localhost root]# iptables -A INPUT -p tcp -j DROP

Maka kita ganti -A diatas dengan –D

[root@localhost root]# iptables -D INPUT -p tcp -j DROP

3. Menghapus berdasar urutan aturan

Selain cara diatas ada yang lebih mudah lagi, yaitu dengan melihat nomor urutaturan, misalkan pada daftar aturan terdapat aturan sebagai berikut

[root@localhost root]# iptables -LChain INPUT (policy ACCEPT)target prot opt source destination

13


DROP tcp -- anywhere anywhere tcp dpt:httpDROP icmp -- anywhere anywhere

Chain FORWARD (policy ACCEPT)target prot opt source destination

Chain OUTPUT (policy ACCEPT)target prot opt source destination

Dan kita ingin menghapus aturan untuk men-DROP paket icmp agar bisa di-pingdari komputer lain maka kita dapat gunakan perintah berikut

[root@localhost root]# iptables -D INPUT 2

Angka 2 didapat dari urutan aturan tersebut pada chain INPUT.

Menyimpan dan mengembalikan aturan

Setelah anda membuat aturan-aturan yang anda tentukan maka anda dapatmenyimpannya ke dalam sebuah file dengan perintah

[root@localhost root]# iptables-save > aturan

File aturan akan dibuat pada direktori yang aktif saat ini. Untuk mengaktifkannyakembali pada firewall, ketikkan perintah berikut

[root@localhost root]# iptables-restore < aturan

Dimana perintah diatas akan mengembalikan semua setting yang telah anda buat kedalam tabel firewall pada kernel. Anda juga dapat meletakkan perintah diatas padafile /etc/rc.local agar setiap start-up linux, semua aturan akan tetap terjaga.

Merubah kebijakan umum chain

Kebijakan umum dijalankan ketika paket yang melalui firewall tidak memenuhikriteria yang ada pada suatu chain. Misal terdapat daftar aturan sebagai berikut

[root@localhost root]# iptables -LChain INPUT (policy ACCEPT)target prot opt source destinationDROP all -- 192.168.100.10 anywhereDROP tcp -- 192.168.100.20 anywhere Chain FORWARD (policy ACCEPT)target prot opt source destination Chain OUTPUT (policy ACCEPT)target prot opt source destination

Policy untuk semua chain diatas adalah ACCEPT, jadi jika terdapat paket yangmasuk ke sistem yang bersangkutan dan berasal dari 192.168.100.44 maka pakettersebut akan di-ACCEPT, karena alamat 192.168.100.44 tidak ditentukan secara

14


eksplisit pada daftar aturan, sehingga mengikuti kebijakan umum.

Policy ini berkaitan erat dengan desain keamanan jaringan. Pada keamanan jaringankomputer terdapat dua prinsip dasar

1.Menutup semua pintu akses masuk dan membuka hanya yang diperlukan.

Dalam persepsi firewall ini berarti membuat policy menjadi DROP dan kemudianmenentukan aturan paket seperti apa saja yang diperbolehkan masuk(ACCEPT).Perintahnya pada iptables adalah

[root@IyaNet root]# iptables -P INPUT DROP

2.Membuka semua pintu akses masuk dan menutup yang tidak diperlukan.

Dalam persepsi firewall ini berarti membuat policy menjadi ACCEPT dankemudian menentukan aturan paket seperti apa saja yang ditolak(DROP).

Sekilas kedua hal diatas tampak sama, walaupun sebenarnya banyak perbedaan.Admininstrator jaringan yang mahir, biasa menggunakan prinsip pertama. Jikaanda belum terbiasa, anda bisa menggunakan prinsip kedua.

Ok, sekarang terserah pada anda desain seperti apa yang akan anda terapkanpada sistem anda. Anda juga berhak menentukan aturan yang terbaik bagikeamanan sistem anda.

15

Documents

Firewall