MATERI BAB FIREWALL

FUNGSI FIREWALL PADA JARINGAN VOIP
   
Firewall merupakan suatu cara atau mekanisme yang diterapkan, baik terhadap hardware, software, atau suatu sistem dengan tujuan untuk melindungi, baik dengan menyaring, membatasi, bahkan menolak suatu atau semua hubungan atau kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar yang bukan merupakan ruang lingkupnya.

Ada beberapa karakteristik yang dimiliki Firewall, antara lain:
  1. Semua jaringan komunikasi melewati Firewall 
  2. Hanya lalu lintas resmi yang diperbolehkan oleh Firewall
  3. Memiliki kemampuan untuk menahan serangan internet
  4. Mengontrol dan mengawasi arus paket data yang mengalir di jaringan.

Firewall secara umum berfungsi untuk mengatur, memfilter, dan mengontrol lalu lintas data yang diizinkan untuk  mengakses jaringan privat yang dilindungi.

Adapun kriteria yang dilakukan Firewall apakah memperbolehkan paket data mengalir atau tidak, yaitu sebagai berikut:
  1. Alamat IP dari komputer sumber
  2. Port TCP/UDP sumber dari sumber
  3. Alamat IP dari komputer tujuan
  4. Port TCP/UDP tujuan data pada komputer tujuan
  5. Informasi dari header yang disimpan dalam paket data.

Manfaat Firewall pada jaringan komputer
  1. Menjaga informasi rahasia dan berharga yang menyelinap keluar tanpa sepengetahuan
  2. Firewall sebagai filter juga digunakan untuk mencegah lalu lintas tertentu mengalir ke subnet jaringan
  3. Memodifikasi paket data yang datang di Firewall
  4. Akurasi data seperti informasi keuangan, spesifikasi produk, dan harga produk, sangat penting bagi setiap perkembangan bisnis.
Prinsip dan Cara Kerja Firewall pada Jaringan Komputer:

Cara kerja Firewall dari komputer adalah menutup port, kecuali untuk beberapa port tertentu yang perlu tetap terbuka. Firewall dapat berupa perangkat keras atau perangkat lunak. Namun, cara kerja firewall optimal bila kedua jenis perangkat digabungkan.
Firewall di komputer bertindak sebagai garis pertahanan terdepan dalam mencegah semua jenis hacking ke dalam jaringan. Setiap hacker yang mencoba menembus ke dalam jaringan komputer akan mencari port terbuka yang dapat diaksesnya.

Guna mengatur lalu lintas perpindahan data komputer dan internet, Firewall dapat menggunakan salah satu atau gabungan dari metode, yaitu metode packet filtering dan inspeksi statefull

Packet Filtering

Paket filtering merupakan sebuah cara kerja Firewall dengan memonitor paket yang masuk dan keluar, mengizinkannya untuk lewat atau tertahan berdasarkan alamat internet protocol (IP), protocol, dan portnya. Packet filtering disebut juga firewall statis.
Pada metode ini, Firewall akan mengecek sumber dan tujuan alamat IP. Apabila pengirim packet menggunakan aplikasi dan program yang berbeda maka packet filtering dapat mengecek sumber dan tujuan protocol, seperti UDP dan TCP.

Inspeksi Stateful

Inspeksi Stateful dikenal dengan Firewall dinamis. Pada metode ini, pastikan status koneksi dimonitor aktif, kemudian info yang didapatkan akan dipakai untuk menentukan apakah sebuah packet jaringan dapat menembus Firewall.
Dengan Firewall dinamis, sebuah packet dianalisis hingga ke dalam lapisan-lapisannya dengan cara merekam alamat IP dan juga nomor port-nya, sehingga keamanannya lebih lekat.

Arsitektur Firewall pada Jaringan Komputer

A.    Arsitektur Dual-Homed Host
Arsitektur ini dibuat dengan komputer yang memiliki paling sedikit dua interface jaringan. Pada arsitektur ini, fungsi router di nonaktifkan. Sistem di dalam firewall dapat berkomunikasi dengan dual-homed host dan sitem diluar Firewall dapat berkomunikasi dengan dual-homed host, tetapi kedua sistem ini, tidak dapat berkomunikasi secara langsung.

B.     Arsitektur Screened Host
Arsitektur ini menyediakan service dari sebuah host pada jaringan internal dengan menggunakan router yang terpisah. Pengamanan dilakukan dengan menggunakan Paket Filtering. Di mana, tiap sitem eksternal yang mencoba untuk mengakses sistem internal harus berhubungan dengan Bastion Host dalam jaringan internal. Bastion Host diperlukan untuk tingkat keamanan yang tinggi.

C.    Arsitektur Screened Subnet
Arsitektur Screened Subnet menambahkan layer tambahan pada Arsitektur Screened Host, yaitu dengan menambahkan sebuah jaringan parameter yang lebih mengisolasi jaringan internal dari jaringan internet. Arsitektur ini yang paling sederhana memiliki dua buah screening router, yang masing-masing terhubung ke jaringan parameter. Router pertama terletak di antara parameter dan jaringan internal, dan router kedua terletak diantara parameter dan jaringan eksternal (internet).


Teknologi Firewall pada Jaringan Komputer.

1.      Service Control (Kendali terhadap Layanan)
2.      Direction Control (Kendali terhadap Arah)
3.      User Control (Kendali terhadap Pengguna)
4.      Behavior Control (Kendali terhadap Perlakuan)

Karakteristik Firewall pada Jaringan Komputer

1.      Firewall harus lebih kuat dan kebal terhadap serangan dari komputer luar.
2.      Hanya aktivitas satu kegiatan yang dikenal atau terdaftar saja yang dapat melalui atau melakukan hubungan Firewall
3.      Semua aktivitas atau kegiatan dari dalam ke luar harus melalui Firewall.

Firewall Policies
Salah satu contoh kebijakan Firewall Policies dalam melindungi lalu lintas jaringan dari serangan peretas yakni dengan Demilitarized Zone (DMZ). DMZ merupakan mekanisme untuk melindungi sistem internal dari serangan hacker atau pihak-pihak lain yang ingin memasuki sistem jaringan tanpa mempunyai hak aksees.

Fungsi Firewall untuk melindungi jaringan Komputer.

1.      Sebagai pos keamanan jaringan
2.      Mencegah informasi berharga bocor tanpa sepengetahuan
3.      Mencatat aktivitas pengguna
4.      Memodifikasi paket data yang datang
5.      Mencegah modifikasi data pihak lain.

Keuntungan dan Kelemahan dari Firewall pada Jaringan Komputer

Keuntungan menggunakan Firewall
  1. Firewall merupakan fokus dari segala keputusan sekuritas
  2. Firewall dapat menerapkan suatu kebijaksanaan sekuritas
  3. Firewall dapat mencatat segala aktivitas yang berkaitan dengan alur data secara efisien
  4. Firewall dapat dgunakan untuk membatasi penggunaan sumber daya informasi.
Kelemahan menggunakan Firewall
  1. Firewall tidak dapat melindungi network dari serangan koneksi yang tidak melaluinya
  2. Firewall tidak dapat melindungi dari serangan dengan metode baru yang belum dikenal oleh Firewall
  3. Firewall tidak dapat melidungi dari serangan virus.
IP Tables pada Jaringan Komputer

IP Tables adalah tools atau alat yang digunakan pada sistem operasi Linux yang berfungsi sebagai alat untuk melakukan penyaringan atau filter terhadap lalu lintas atau traffic data dalam sebuah server.
Secara sederhana, IP Tables digambarkan sebagai pengatur lalu lintas data. Dengan kata lain, IP Tables ialah suatu firewall yang membatasi sebuah lalu lintas keluar dan masuk atau sekedar mengawasi traffic yang melewati komputer.

IP Firewall pada Jaringan Komputer

Firewall merupakan salah satu service yang dimiliki oleh Operating System FreeBSD untuk membangun sebuah Firewall. Firewall ini bekerja pada layer 3 lapisan OSI.
Salah satu ciri dari Firewall dengan IP Firewall adalah pembacaan rule-nya akan dimulai dari atas ke bawah. Apabila ada traffic yang sudah sesuai dengan rule Firewall di bagian atas maka sistem akan mengeksekusi tanpa membaca atau membandingkan dengan rule di baris berikutnya.

Guna mengaktifkan IP Firewall tentunya kernel FreeBSD harus support Firewall dengan menambahkan option sebagai berikut.

Selanjutnya, tambahkan konfigurasi pada /etc/rc.conf seperti berikut.

Adapun format IP Firewall, antara lain:
CMD RULE_NUMBER ACTION LOGGING SELECTION STATEFULL
  • CMD = /sbin/ipfw
  • RULE_NUMBER = 0001, 0002, 0003, 0004, 0005, dst.
  • ACTION = pass, permit, allow, accept, deny, atau drop.
  • LOGGING = optional
  • SELECTION = tcp, udp atau icmp (daftar protocol ada di /etc/protocols). From src to dst, port number, in out, via IF.
  • STATEFULL = optional

Berikut contoh passing, blocking, logging, translation, dan shaping.
  1. Contoh passing
  2. Contoh blocking 
  3. Contoh logging 
  4. Contoh translating 
  5. Contoh shaping 
Instrusion Detection System pada Jaringan Komputer 

Instrusion Detection System (IDS) merupakan sebuah metode yang digunakan untuk mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. Instrusion adalah segala aktivitas yang bersifat mengganggu integritas, konfidensialitas, dan/atau ketersediaan dari resource atau informasi yang terdapat di sebuah sistem jaringan komputer. Instrusion Detection System (IDS) akan memonitor traffic data pada sebuah jaringan atau mengambil data dari berkas log. IDS dengan algoritma tertentu akan memutuskan untuk memberi peringatan kepada seorang administrator jaringan atau tidak. 

Tipe dasar IDS

Ada dua tipe dasar dari IDS, yaitu sebagai berikut. 

1.      Rule-based system, yaitu salah satu tipe dasar IDS yang mempergunakan data base sebagai tanda penyusupan atau serangan yang telah dikenal. 
2.      Adaptive systems, yaitu salah satu tipe dasar IDS yang mempergunakan metode yang lebih canggih. Tidak hanya berdasarkan database yang ada, tetapi juga membuka kemungkinan untuk mendeteksi terhadap bentuk-bentuk penyusupan yang baru.

Tipe dasar IDS yang sering digunakan untuk komputer secara umum adalah rule-based systems. Pendekatan yang digunakan dalam rule-based systems ada dua, yaitu pendekatan pencegahan (preemptory) dan pendekatan reaksi (reactionary). Pada pendekatan pencegahan, program pendeteksi penyusupan akan memperhatikan semua lalu lintas jaringan. Adapun pada pendeteksi penyusupan hanya mengamati file log. Dari keduanya, jika ditemukan paket yang mencurigkan program akan melakukan tindakan yang perlu.

Jenis-jenis IDS

Adapun jenis IDS dapat dibedakan menjadi dua jenis, yaitu sebagai berikut. 

1.      Network-based Intrusion Detection System (NIDS)

NIDS adalah jenis IDS yang bertanggung jawab untuk mendeteksi serangan yang berkaitan dengan jaringan. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada “pintu masuk” jaringan. Kelemahan NIDS adalah  NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi.

2.      Host-based Intrusion Detection System (HIDS)
Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet.

Cara kerja IDS

Cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan.

Kelebihan dan kekurangan menggunakan IDS

Kelebihan :

• Dapat mendeteksi “external hackers” dan serangan jaringan internal.
• Dapat disesuaikan dengan mudah dalam menyediakan perlindungan untuk keseluruhan jaringan.
• Dapat dikelola secara terpusat dalam menangani serangan yang tersebar dan bersama-sama.
• Menyediakan pertahanan pada bagian dalam.
• Menyediakan layer tambahan untuk perlindungan.
• IDS memonitor Internet untuk mendeteksi serangan.
• IDS membantu organisasi utnuk mengembangkan dan menerapkan kebijakan keamanan yang efektif.
• IDS  memungkinkan anggota nonteknikal untuk melakukan pengelolaan keamanan menyeluruh.
• Adanya pemeriksaan integritas data dan laporan perubahan pada file data.
• IDS  melacak aktivitas pengguna dari saat masuk hingga saat keluar.
• IDS menyederhanakan sistem sumber informasi yang kompleks.
• IDS memberikan integritas yang besar bagi infrastruktur keamanan lainnya.


Kekurangan :

• Lebih bereaksi pada serangan daripada mencegahnya.
• Menghasilkan data yang besar untuk dianalisis.
• Rentan terhadap serangan yang “rendah dan lambat”.
• Tidak dapat menangani traffic jaringan yang terenkripsi.
• IDS hanya melindungi dari karakteristik yang dikenal.
• IDS tidak turut bagian dalam kebijakan keamanan yang efektif, karena dia harus diset terlebih dahulu.
• IDS tidak menyediakan penanganan kecelakaan.
• IDS tidak mengidentifikasikan asal serangan.
• IDS hanya seakurat informasi yang menjadi dasarnya.
• Network-based IDS rentan terhadap “overload”.
• Network-based IDS dapat menyalahartikan hasil dari transaksi yang mencurigakaN.

• Paket terfragmantasi dapat bersifat problematis.

FUNGSI FIREWALL PADA JARINGAN VOIP

a.      Konsep Firewall pada Jaringan VoIP
Jaringan VoIP adalah jaringan yang menyediakan layanan multimedia internet aplikasi dan memiliki struktur yang cukup rumit dibanding dengan jaringan komputer. Adanya kerumitan protokol VoIP maka mekanisme sekuritas terhadap serangan peretas (hacker) yang mengambil keuntungan dari kelemahan jaringan VoIP perlu dikembangkan dengan baik. Guna mengatasi ancaman dan serangan tersebut maka diperlukan proses pendekatan yang berlapis untuk mempertahankan postur keamanan jaringan VoIP sehingga dapat terjamin. Proses tersebut harus dirancang untuk menggabungkan kontrol yang dapat mengatasi hal-hal seperti berikut.
a.       Mengidentifikasi berbagai ancaman yang terjadi.
b.      Mengidentifikasi serangan dan meminimalkan peluang peretas untuk melakukan serangan.
c.       Meminimalkan dampak dari serangan peretas (jika terjadi).
d.      Mengelola dan mengurangi serangan peretas yang sukses secara tepat waktu.

b.      Segmentasi jaringan
Segmentasi jaringan merupakan salah satu upaya mitigasi untuk mengurangi risiko teradinya hacker memasuki komputer di salah satu jaringan dan berniat jahat dengan melakukan hal-hal yang tidak diinginkan. Umumnya, keamanan jaringan VoIP mencakup beberapa segmentasi jaringan yang tepat, yaitu sebagai berikut.

a.      Network Segmentation
Network segmentation atau segmentasi jaringan memberikan kemampuan untuk merampingkan dan mengontrol lalu lintas yang mengalir di antara komponen VoIP. Segmentasi jaringan berfungsi untuk mengetahui "kelompok" (yang biasa disebut sebagai network) dari suatu IP. Network ini digunakan saat dibutuhkan suatu routing atau pengalihan data antarkomputer, di mana komputer akan memeriksa apakah IP tujuan berada di network yang sama.

b.      Out of Band Network Management
Out of Band Network Management atau manajemen jaringan secara out-of-band adalah konfigurasi yang dilakukan dengan cara menghubungkan komputer secara langsung dengan port console atau dengan port auxiliary (AUX) dari router yang akan dikonfigurasikan. Jenis koneksi ini tidak memerlukan koneksi jaringan dari router tersebut. Teknisi menggunakan manajemen out-of-band untuk konfigurasi awal. Manajemen jaringan secara out-of-band juga digunakan ketika koneksi jaringan tidak berfungsi secara benar  sehingga router tidak dapat diakses melalui jaringan. Dalam melakukan manajemen secara out-of-band diperlukan software terminal emulation client yang terinstal di pc.

c.       Private Addresing
Private addresing merupakan salah satu segmentasi jaringan atau suatu mekanisme yang digunakan untuk melindungi serangan eksternal. IETF dipublikasikan RFC 1918, "alamat alokasi untuk Private Internets", dalam upaya untuk mendorong organisasi menggunakan alamat IP nonroutable untuk sistem yang tidak dimaksudkan agar langsung terhubung ke internet. Dengan mengkonfigurasi host internal organisasi dengan satu set alamat IP menggunakan satu set kecil alamat IP untuk lalu lintas rute internet maka penipisan alamat IP routable-internet akan melambat.


Fungsi Firewall pada Jaringan Komputer
a)      Keamanan pada Jaringan
Keamanan pada jaringan didefinisikan pada lima kategori,  yaitu sebagai berikut :
1.      Confidentiality, yaitu memberi persyaratan bahwa informasi (data) hanya bisa diakses oleh pihak yang memiliki wewenang
2.      Integrity, yaitu memberi persyaratan bahwa informasi hanya dapat diubah oleh pihak yang memiliki wewenang.
3.      Availability, yaitu memberi persyaratan bahwa informasi yang tersedia untuk pihak yang memiliki wewenang ketika dibutuhkan
4.      Authentification, yaitu memberi persyaratan bahwa pengirim suatu informasi dapat diidentifikasi dengan benar dan ada jaminan bahwa identitas yang didapat tidak palsu
5.      Nonrepidiation, yaitu memberi persyaratan bahwa baik pengirim maupun penerima pesan informasi tidak dapat menyangkal pengiriman pesan.

b)      Mencegah Gangguan Sistem
Gangguan pada sistem fungsi firewall pada jaringan VoIP terjadi karena faktor ketidaksengajaan yang dilakukan oleh administrator jaringan (human error). Namun, tidak sedikit pula yang disebabkan oleh pihak ketiga seperti perusakan, penyusupan, pencurian hak akses, penyalahgunaan data maupun sistem, sampai tindakan kriminal melalui aplikasi jaringan komputer.
Ada 4 kategori utama bentuk gangguan (serangan) pada sistem fungsi firewallpada jaringan VoIP, yaitu sebagai berikut:
1.      Interruption, yaitu aset dari suatu sistem diserang sehingga tidak tersedia atau tidak dapat dipakai oleh yang berwenang.
2.      Interception, yaitu pihak yang tidak berwenang mendapatkan akses pada suatu aset. Contohnya, orang, progam, atau sistem yang lain.
3.      Modificatin, yaitu pihak yang tidak berwenang tetapi dapat melakukan perubahan terhadap suatu aset.
4.      Febrication, yaitu suatu pihak yang tidak berwenang  menyisipkan objek palsu kedalam sistem.

c)      Mencegah gangguan Internetworking
1.      Hacking, adalah perusakan pada infrastruktur jaringan yang sudah ada.
2.      Physing, yaitu pemalsuan terhadap data resmi untuk hal yang berkaitan dengan pemanfaatannya.
3.      Deface, yaitu perubahan terhadap tampilan suatu website secara ilegal.
4.      Carding, adalah pencurian data terhadap identitas perbankan seseorang. Misalnya, pencurian nomor kartu kredit.

Guna mengamankan atau menanggulangi gangguan tersebut ada beberapa langkah yang harus dilakukan, yaitu sebagai berikut:
1)      Memisahkan terminal yang difungsikan sebagai pengendali jaringan atau titik pusat akses (server) pada suatu area yang digunakan untuk aplikasi tertentu.
2)      Menyediakan pengamanan fisik ruangan khusus untuk pengamanan perangkat yang dimaksud pada point 1.
3)      Memisahkan sumber daya listrik untuk NOC dari pemakaian yang lain.
4)      Merapikan wiring ruangan dan memberikan label serta pengklafisian kabel.
5)      Memberikan soft security berupa sistem firewall pada berangkat yang difungsikan di jaringan.
6)      Merencanakan maintenance dan menyiapkan backup sistem.

d)      Penyangga antarjaringan
Firewall juga berfungsi sebagai pintu penyangga antara jaringan yang dilindunginya dengan jaringan lainnya atau biasa disebut gateway.


 Soal Latihan 

1.       Untuk mengatasi pencurian data tanpa seizin dari pengguna data tanpa seizin dari pengguna komputer demi kepentingan pribadi diperlukan ...
a.       Firewall
b.      Virus
c.       dial up
d.      dial plan
e.      IP Address

2.       Memisahkan sumber daya listrik untuk NOC dari pemakaian lain adalah tujuan dari ...
a.       memberikan label kabel
b.      menjaga kestabilan fungsi sistem
c.       membuat dial plan
d.      membuat dial up
e.      koneksi internet

3.       Pengamanan fisik berupa ruangan khusus untuk pengamanan perangkat disebut ...
a.       Server
b.      NOC
c.       UPS
d.      Stabilizer
e.      maintenance

4.       Inspeksi stateful dikenal pula dengan ...
a.       meode filtering 
b.      firewall protection 
c.       inspeksi stateful
d.      reply
e.      firewall dinamis

5.       Kriteria berikut yang dilakukan firewall dalam pemerolehan paket data atau tidak, kecuali ...
a.       alamat IP dari komputer sumber
b.      port TCP sumber dari sumber
c.       alamat IP dari komputer tujuan
d.      port TCP tujuan data pada komputer tujuan

e.      penamaan kabel

Komentar

Posting Komentar

Postingan populer dari blog ini

Latihan Soal Teknologi Komunikasi Jaringan kelas 12

Gambar
Latihan Soal untuk Mapel Teknologi Layanan Jaringan Kelas 12 Welcome to my blog guys... Ini adalah blog kedua saya, disini saya akan membagikan mengenai latihan soal-soal untuk kelas 12 pada mata pelajaran Teknologi Layanan Jaringan . ENJOY ... ☺ Komponen yang membangun tahapan perintah extensions pada server VoIP yang berfungsi untuk membedakan interaksi dial plan dari dial plan dari satu grup dengan grup yang lain adalah ... a.       Priority        b.      Parameter c.       Dial Plan d.      Context e.       Extensions.conf 2.      Berikut ini yang termasuk dalam protokol penunjang jaringan VoIP kecuali .... a.       TCP/IP b.      Coaxial c.       Megacho/H.248 d.      RTP e.   ...
Baca selengkapnya

Soal latihan Bab Subscriber Internet Telephone

Gambar
1.        Berikut yang bukan merupakan tipe-tipe dari koneksi broadband yang mengadopsi teknologi DSL adalah... a.        ADSL b.       VDSL c.        HDSL d.       G.SHDSL e.       NDSL 2.        I.     Koneksi yang simultan II.   Kecepatan akses yang tinggi III. Adanya load coils dan bridged taps IV. Pemeliharaan layanan DSL tidak mudah   V. Keamanan data terjaga baik Berdasarkan data diatas, yang merpakan kekurangan DSL ditunjukkan oleh nomor ... a.        (I) dan (II) b.       (III) dan (IV) c.        (I) dan (IV) d.       (II) dan (V) e.       (IV) dan (V) 3.        ...
Baca selengkapnya