Firewall
FirewallFirewall merupakan sebuah perangkat yang diletakkan antara Internet dengan
jaringan internal, Informasi yang keluar atau masuk harus melalui firewall ini.
Tujuan utama dari firewall adalah untuk menjaga (prevent) agar akses (ke dalam
maupun ke luar) dari orang yang tidak berwenang (unauthorized access) tidak dapat
dilakukan.
Konfigurasi dari firewall bergantung kepada kebijaksanaan (policy) dari
organisasi yang bersangkutan, yang dapat dibagi menjadi dua jenis: Apa-apa yang
tidak diperbolehkan secara eksplisit dianggap tidak diperbolehkan (prohibitted), Apaapa
yang tidak dilarang secara eksplisit dianggap diperbolehkan (permitted).
Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang
melewatinya. Berdasarkan konfigurasi dari firewall maka akses dapat diatur
berdasarkan IP address, port, dan arah informasi. Detail dari konfigurasi bergantung
kepada masing-masing firewall.
Firewall dapat berupa sebuah perangkat keras yang sudah dilengkapi dengan
perangkat lunak tertentu, sehingga pemakai (administrator) tinggal melakukan
konfigurasi dari firewall tersebut. Firewall juga dapat berupa perangkat lunak yang
ditambahkan kepada sebuah server (baik UNIX maupun Windows NT), yang
dikonfigurasi menjadi firewall. Dalam hal ini, sebetulnya perangkat komputer dengan
prosesor Intel 80486 sudah cukup untuk menjadi firewall yang sederhana. Firewall
biasanya melakukan dua fungsi; fungsi (IP) filtering dan fungsi proxy.
Keduanya dapat dilakukan pada sebuah perangkat komputer (device) atau
dilakukan secara terpisah. Beberapa perangkat lunak berbasis UNIX yang dapat
digunakan untuk melakukan IP filtering antara lain: ipfwadm: merupakan standar
dari sistem Linux yang dapat diaktifkan pada level kernel , ipchains: versi baru dari
Linux kernel packet filtering yang diharapkan dapat menggantikan fungsi ipfwadm
Fungsi proxy dapat dilakukan oleh berbagai software tergantung kepada jenis
proxy yang dibutuhkan, misalnya web proxy, rlogin proxy, ftp proxy dan seterusnya.
Di sisi client sering kali dibutuhkan software tertentu agar dapat menggunakan proxy
server ini, seperti misalnya dengan menggunakan SOCKS. Beberapa perangkat lunak
berbasis UNIX untuk proxy antara lain: Socks: proxy server oleh NEC Network
Systems Labs , Squid: web proxy server.
Serangan (attack) yang dilakukan intruder dapat digolongkan kepada yang
sangat berbahaya (dapat menimbulkan kerusakan dan kerugian) sampai ke yang
hanya mengesalkan (annoying). Berdasarkan tujuan yang ingin dicapai oleh intruder,
maka intruder dapat dibedakan antara lain sebagai berikut :
??Currious : yaitu intruder yang pada dasarnya hanya ingin mengetahui sistem dan
data yang ada pada suatu jaringan komputer yang dijadikan sasaran.
??Malicious: intruder yang dapat mengakibatkan sistem jaringan komputer menjadi
down, atau mengubah tampilan situs web, atau hanya ingin membuat organisasi
pemilik jaringan komputer sasaran harus mengeluarkan uang dan waktu untuk
memulihkan jaringan komputernya.
??The High-Profile Intruder: Intruder yang berusaha menggunakan sumber daya
(resources) di dalam sistem jaringan komputer untuk memperoleh popularitas.
??Competetion: intruder yang ingin tahu apa yang ada di dalam jaringan komputer
sasaran untuk selanjutnya dimanfaatkan untuk mendapat uang.
Intrusion Detection System (IDS)
Intrusion Detection System (IDS) merupakan sistem yang lebih dinamik dari firewall,
karena IDS mampu mendeteksi (mengetahui) adanya penyusup (baik yang
dilakukan oleh seseorang yang ingin mendapatkan akses ilegal ataupun user yang
mempunyai akses, tetapi melampaui wewenangnya). dan dapat memberitahu
administrator melalui e-mail maupun melalui mekanisme lain seperti melalui pager.
Dengan demikian IDS merupakan komponen yang dapat melengkapi (membuat
menjadi sempurna) sistem pengamanan pada suatu jaringan. Dengan demikian
keberadaan IDS pada sistem proteksi jaringan menjadi penting dan perlu untuk
diperhatikan, hal ini didasari oleh beberapa pertimbangan sebagai berikut:
??Jika suatu gangguan cepat terdeteksi, maka penyusup dapat diidentifikasi dan
disingkirkan dari sistem sebelum kerusakan pada bagian tertentu terjadi, atau
data tertentu di compromise. Dengan demikian semakin sedikit jumlah kerusakan
dan pemulihan sistem yang jauh lebih cepat dapat dicapai.
??Intrusion Detection yang efektif dapat melayani seperti sebuah alat penangkis
(sehingga dapat mencegah gangguan).
??Intrusion Detection mampu mengumpulkan informasi tentang teknik-teknik
intrusion yang dapat digunakan untuk memperkuat fasilitas pencegahan
gangguan (intrution prevention).
Jadi IDS membantu sistem informasi untuk menghadapi serangan-serangan. IDS
bekerja dengan mengumpulkan informasi dari berbagai sistem dan source jaringan
(network sources) dan kemudian menganalisa informasi untuk mendeteksi masalah
keamanan yang mungkin terjadi. Intrusion Detection dapat melakukan hal sebagai
berikut :
??Memantau dan menganalisa kegiatan sistem dan user.
??Meng-audit konfigurasi dan kelemahan (vulnerabilities) sistem
??Melakukan penilaian terhadap integritas dari file data dan sistem yang penting
??Menganalisa secara statistik pola aktifitas yang berdasarkan pada pola-pola yang
telah ada dalam librari untuk mengetahui/mengenali serangan (attack).
??Meng-audit sistem operasi
Ada berbagai cara untuk memantau adanya intruder. Ada yang sifatnya aktif dan
pasif. IDS cara yang pasif misalnya dengan memantau logfile. Contoh software IDS
antara lain :
??Autobuse, mendeteksi probing dengan memonitor logfile.
??Courtney dan Portsentry, mendeteksi probing (port scanning) dengan memonitor
paket yang lalu lalang. Portsentry bahkan dapat memasukkan IP penyerang
dalam filter tepwrapper (langsung dimasukkan ke dalam berkas etc/hosts.deny)
??Shadow dari SANS
??Snort, mendeteksi pola (pattern) pada paket yang lewat dan mengirimkan alert
jika pola tersebut terdeteksi. Pola-pola atau rules disimpan dalam berkas yang
disebut library yang dapat dikonfigurasi sesuai dengan kebutuhan.
Intrusion Detection system dapat dikategorikan sebagai berikut:
??Network Intrusion Detection System (NIDS) : melakukan analisa trafik yang
lewat pada seluruh subnet. Bekerja dalam mode promiscous, dan menyesuaikan
trafik yang lewat pada subnet dengan pola-pola yang ada dalam library. Apabila
sebuah serangan (attack) terdeteksi / teridentifikasi, atau abnormal behavior
dirasakan, maka ia akan mengirimkan alert ke administrator (memberitahukan
adaministrator tentang keadaan gangguan yang terjadi). Sebagai contoh : NIDS
dapat di instal pada subnet dimana firewall ditempatkan, untuk melihat
seseorang yang mencoba untuk mendobrak masuk melalui firewall.
??Network Node Intrusion Detection System (NNIDS) : menganalisa traffic yang
lewat dari network ke host tertentu. Perbedaan NIDS dan NNIDS adalah traffic
yang dimonitor hanya pada sebuah host saja dan tidak untuk seluruh subnet.
Sebagai contoh, NNIDS dapat di-instal pada VPN device sehingga dapat dilihat
bila seseorang mencoba mendobrak masuk ke VPN device.
??Host Intrusion Detection System (HIDS) : mengambil potret dari file-file yang
ada pada sistem dan mencocokkannya (mattching) dengan potret yang
sebelumnya. Jika file-file sistem yang penting di modifikasi atau dihapus, HIDS
akan memberitahukan administrator untuk melakukan penyelidikan (investigate).
Sebagai contoh, HIDS dapat dilihat pada miss critical machine.
Penempatan Sensor pada Jaringan
Sensor merupakan komponen intrusion detection system yang berfungsi untuk
memonitor trafik yang lalu lalang di jaringan yang dilindungi. Sensor harus
diletakkan pada posisi yang tepat pada jaringan, agar dapat berfungsi sebagai mana
mestinya.
Untuk memonitor trafik yang menuju ke multiple webserver dengan sebuah
sensor, maka disepanjang saluran yang akan dilewati oleh semua paket perlu
diletakkan sensor.
[Internet] —–(1)—–[Router] ——(2)——-[LAN]
Gambar 2. Penempatan Sensor pada Network
Gambar di atas memperlihatkan ilustrasi suatu LAN sederhana tanpa DMZ, ada
dua tempat yang optimal untuk meletakkan sensor yaitu, antara router dan internet,
dan antara router dan LAN . Sensor yang diletakkan pada konfigurasi pertama yang
ditandai dengan (1), akan mendeteksi semua serangan terhadap jaringan (network),
tetapi tidak akan memperlihatkan serangan mana sebenarnya yang melewati router
dan menuju ke LAN.
Sensor yang diletakkan pada konnfigurasi kedua, yang ditunjukkan oleh tanda
(2), yang akan memperlihatkan serangan-serangan (attacks) yang memasuki
LAN.
[Internet] —–(1)—— [Router 1] — (2) —- + —–[Router 2]—–(3)—— [LAN]
[Bastion Hosts]
Gambar 3. Penempatan Sensor pada Network
Network Intrusion Detection System (NIDS)
Network Intrusion Detection System (NIDS) : merupakan suatu sistem yang
bertanggung jawab untuk menganalisa trafik yang lewat pada seluruh subnet.
Bekerja dalam mode promiscous, dan mencocokkan trafik yang lewat pada subnet
dengan pola-pola yang ada dalam library. Apabila sebuah serangan (attack)
terdeteksi, atau abnormal behavior dirasakan, maka ia akan mengirimkan alert ke
administrator (memberitahukan adaministrator tentang keadaan gangguan yang
terjadi). Sebagai contoh: NIDS dapat di instal pada subnet dimana firewall
ditempatkan, untuk melihat bila seseorang mencoba untuk mendobrak masuk
melalui firewall.
Sampai sekarang, perangkat intrusion detection masih merupakan produk
komersial yang mahal, tidak real time dan sulit untuk di instal. Snort merupakan
solusi untuk memonitor network TCP/IP yang kecil (dimana penggunaan NIDS yang
komersial tidak efektif).
Tidak ada komentar:
Posting Komentar