Arsitektur Firewall


Arsitektur dasar firewall

Arsitektur  dengan  dual‐homed  host  (kadang  kadang  dikenal  juga sebagai  dual  homedgateway/ DHG). Sistem  DHG  menggunakan  sebuah  komputer  dengan  (paling  sedikit)  dua  network‐interface.  Interface  pertama  dihubungkan  dengan  jaringan  internal  dan  yang  lainnya dengan  Internet.  Dual‐homed  host  nya  sendiri  berfungsi  sebagai  bastion  host  (front terdepan, bagian terpenting dalam firewall).

screened‐host (screened host gateway/ SHG). Pada topologi  SHG, fungsi firewall  dilakukan  oleh sebuah screening‐router  dan  bastion host. Router ini dikonfigurasi sedemikian sehingga akan menolak semua trafik kecuali yang ditujukan  ke  bastion  host, sedangkan  pada trafik  internal tidak  dilakukan  pembatasan. Dengan  cara  ini setiap  client servis pada  jaringan  internal dapat menggunakan fasilitas komunikasi standard dengan Internet tanpa harus melalui proxy.

screened subnet (screened subnet gateway/ SSG). Firewall  dengan  arsitektur  screened‐subnet  menggunakan  dua  screening‐router  dan jaringan tengah (perimeter network) antara kedua router tersebut, dimana ditempatkan bastion host. Kelebihan susunan ini akan terlihat pada waktu optimasi penempatan server.

Istilah pada penerapan Firewall 

Host
Suatu sistem komputer yang terhubung pada suatu network

Bastion host
Sistem komputer yang harus memiliki tingkat sekuritas yang tinggi karena sistem ini rawan sekali  terhadap serangan  hacker  dan  cracker,  karena  biasanya  mesin  ini  diekspos  ke network luar (Internet) dan merupakan titik kontak utama para user dari internal network.

Packet Filtering
Aksi  dari suatu  devais  untuk  mengatur secara selektif  alur  data  yang  melintasi suatu network.  Packet  filter  dapat  memblok  atau  memperbolehkan  suatu  paket  data  yang melintasi  network  tersebut  sesuai  dengan  kebijaksanaan  alur  data  yang  digunakan (security policy).

Perimeter network 
Suatu network tambahan yang terdapat di antara network yang dilindungi dengan network eksternal, untuk menyediakan layer tambahan dari suatu sistem security. Perimeter network juga sering disebut dengan DMZ (De‐Millitarized Zone).

Keuntungan Firewall :

  1. Firewall  merupakan  fokus  dari segala  keputusan sekuritas.  Hal  ini  disebabkan  karena Firewall merupakan satu titik tempat keluar masuknya trafik internet pada suatu jaringan. 
  2. Firewall dapat menerapkan suatu  kebijaksanaan sekuritas. Banyak sekali service‐service yang digunakan di Internet. Tidak semua service tersebut aman digunakan, oleh karenanya Firewall  dapat  berfungsi sebagai  penjaga  untuk  mengawasi service‐service  mana  yang dapat digunakan untuk menuju dan meninggalkan suatu network.
  3. Firewall dapat mencatat segala aktivitas yang berkaitan dengan alur data secara efisien. Semua  trafik  yang  melalui  Firewall  dapat  diamati  dan  dicatat  segala  aktivitas  yang berkenaan  dengan  alur  data tersebut.  Dengan  demikian  Network  Administrator  dapat segera  mengetahui  jika  terdapat  aktivitas‐aktivitas  yang  berusaha  untuk  menyerang internal network mereka.
  4. Firewall dapat digunakan untuk membatasi pengunaan sumberdaya informasi. Mesin yang menggunakan  Firewall merupakan mesin  yang terhubung pada beberapa network  yang berbeda, sehingga kita dapat membatasi network mana saja yang dapat mengakses suatu service yang terdapat pada network lainnya.

Kelemahan Firewall :

  1. Firewall tidak dapat melindungi network dari serangan koneksi yang tidak melewatinya(terdapat pintu lain menuju network tersebut).
  2. Firewall tidak dapat melindungi dari serangan dengan metoda baru yang belum dikenal oleh Firewall.
  3. Firewall tidak dapat melindungi dari serangan virus.

Pilihan klasifikasi desain Firewall :

Packet Filtering
Sistem paket filtering atau sering juga disebut dengan screening router adalah router yang melakukan routing paket antara internal dan eksternal network secara selektif sesuai dengan security policy yang digunakan pada network tersebut. Informasi yang digunakan untuk menyeleksi paket‐paket tersebut adalah:
  1. IP address asal 
  2. IP address tujuan
  3. Protocol (TCP, UDP, atau ICMP) 
  4. Port TCP atau UDP asal
  5. Port TCP atau UDP tujuan

Beberapa contoh routing paket selektif yang dilakukan oleh Screening Router :  
Semua koneksi dari luar sistem yang menuju internal network diblokade kecuali untuk koneksi SMTP.
Memperbolehkan  service  email  dan  FTP,  tetapi  memblok  service‐service berbahaya seperti TFTP, X Window, RPC dan ‘r’ service (rlogin, rsh, rcp, dan lain‐lain).
Selain memiliki keuntungan tertentu di antaranya aplikasi screening router ini dapat bersifat transparan dan implementasinya relatif lebih murah dibandingkan metode firewall  yang  lain, sistem paket filtering  ini memiliki beberapa  kekurangan  yakni : tingkat securitynya masih rendah, masih memungkinkan adanya IP Spoofing, tidak ada screening pada layer‐layer di atas network layer.

Application Level Gateway (Proxy Services)
Proxy service merupakan aplikasi spesifik atau program server yang dijalankan pada mesin Firewall, program ini mengambil user request untuk Internet service (seperti FTP, telnet, HTTP) dan meneruskannya (bergantung pada security policy) ke host yang  dituju. Dengan kata lain adalah proxy merupakan perantara antara internal networkdengan eksternal network (Internet).Pada sisi ekternal hanya dikenal mesin proxy tersebut, sedangkan mesin‐mesin yang berada di balik mesin proxy tersebut tidak terlihat. Akibatnya sistem proxy ini kurang transparan terhadap user yang ada di dalam Sistem  Proxy  ini  efektif  hanya  jika  pada  konjungsi  antara  internal  dan  eksternal network terdapat mekanisme yang tidak memperbolehkan kedua network tersebut terlibat dalam komunikasi langsung.
Keuntungan yang dimiliki oleh sistem proxy ini adalah tingkat sekuritasnya lebih baik daripada screening router, deteksi paket yang dilakukan sampai pada layer aplikasi. Sedangkan kekurangan dari sistem ini adalah perfomansinya lebih rendah daripada screening router karena terjadi penambahan header pada paket yang dikirim, aplikasi yang di‐support oleh proxy ini terbatas, serta sistem ini kurang transparan.


0 Response to "Arsitektur Firewall"

Post a Comment

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel