PACKET FILTERING
Definisi:
Packet Filtering adalah mekanisme yang dapat memblokir packet-packet data jaringan yang dilakukan berdasarkan peraturan yang telah ditentukan.
Packet Filtering umumnya digunakan untuk memblokir lalu-lintas yang mencurigakan yang datang dari alamat IP yang mencurigakan, nomor port TCP/UDP yang mencurigakan, jenis protokol aplikasi yang mencurigakan, dsb.
Jenis:
- Static Packet Filtering adalah jenis paket jenis filter yang diimplementasikan pada kebanyakan router, dimana modifikasi terdapat aturan-aturan filter yang harus dilakukan secara manual.
- Dynamic Packet Filtering adalah apabila proses-proses tertentu disisi luar jaringan dapat merubah aturan filter secara dinamis berdasarkan even-even tertentu yang diobservasi oleh router (sebagai contoh: paket FTP dari sisi luar dapat diijinkan apabila seseorang dari sisi dalam me-request sesi FTP)
Iptables adalah suatu tools dalam sistem operasi linux yang berfungsi sebagai alat untuk melakukan filter (penyaringan) terhadap (trafic) lalulintas data. Secara sederhana digambarkan sebagai pengatur lalulintas data. Dengan iptables inilah kita akan mengatur semua lalulintas dalam komputer kita, baik yang masuk ke komputer, keluar dari komputer, ataupun traffic yang sekedar melewati komputer kita.
Membahas
prinsip dasar firewall iptables, mengelola akses internet berdasarkan
alamat IP,port aplikasi dan MAC address. Firewall IPTables packet
filtering memiliki tiga aturan (policy), yaitu:
INPUT
Mengatur paket data yang memasuki firewall dari arah intranet maupun internet. kita bisa mengelola komputer mana saja yang bisa mengakses firewall. misal: hanya komputer IP 192.168.1.100 yang bisa SSHke firewall dan yang lain tidak boleh.
OUTPUT
Mengatur paket data yang keluar dari firewall ke arah intranet maupun internet. Biasanya output tidak diset,karena bisa membatasi kemampuan firewall itu sendiri.
FORWARD
Mengatur paket data yang melintasi firewall dari arah internet ke intranet maupun sebaliknya. Policy forward paling banyak dipakai saat ini untuk mengatur koneksi internet berdasarkan port, mac address dan alamat IP Selain aturan (policy) firewall iptables juga mempunyai parameter yang disebut dengan TARGET, yaitu status yang menentukkan koneksi di iptables diizinkan lewat atau tidak.
Mengatur paket data yang memasuki firewall dari arah intranet maupun internet. kita bisa mengelola komputer mana saja yang bisa mengakses firewall. misal: hanya komputer IP 192.168.1.100 yang bisa SSHke firewall dan yang lain tidak boleh.
OUTPUT
Mengatur paket data yang keluar dari firewall ke arah intranet maupun internet. Biasanya output tidak diset,karena bisa membatasi kemampuan firewall itu sendiri.
FORWARD
Mengatur paket data yang melintasi firewall dari arah internet ke intranet maupun sebaliknya. Policy forward paling banyak dipakai saat ini untuk mengatur koneksi internet berdasarkan port, mac address dan alamat IP Selain aturan (policy) firewall iptables juga mempunyai parameter yang disebut dengan TARGET, yaitu status yang menentukkan koneksi di iptables diizinkan lewat atau tidak.
TARGET ada tiga macam yaitu:
ACCEPT
Akses diterima dan diizinkan melewati firewall
REJECT
Akses ditolak, koneksi dari komputer klien yang melewati firewall langsung terputus, biasanya terdapatpesan “Connection Refused”. Target Reject tidak menghabiskan bandwidth internet karena akses langsung ditolak, hal ini berbeda dengan DROP.
DROP
Akses diterima tetapi paket data langsung dibuang oleh kernel, sehingga pengguna tidak mengetahui kalau koneksinya dibatasi oleh firewall, pengguna melihat seakan – akan server yang dihubungi mengalami permasalahan teknis. Pada koneksi internet yang sibuk dengan trafik tinggi Target Drop sebaiknya jangan digunakan.
Berikut ini contoh penggunaan firewall iptables untuk mengelolak akses internet.
Policy INPUT
IP Firewall = 192.168.1.1
IP Administrator = 192.168.1.100
IP Umum = 192.168.1.200
- Membatasi port number
Akses diterima dan diizinkan melewati firewall
REJECT
Akses ditolak, koneksi dari komputer klien yang melewati firewall langsung terputus, biasanya terdapatpesan “Connection Refused”. Target Reject tidak menghabiskan bandwidth internet karena akses langsung ditolak, hal ini berbeda dengan DROP.
DROP
Akses diterima tetapi paket data langsung dibuang oleh kernel, sehingga pengguna tidak mengetahui kalau koneksinya dibatasi oleh firewall, pengguna melihat seakan – akan server yang dihubungi mengalami permasalahan teknis. Pada koneksi internet yang sibuk dengan trafik tinggi Target Drop sebaiknya jangan digunakan.
Berikut ini contoh penggunaan firewall iptables untuk mengelolak akses internet.
Policy INPUT
IP Firewall = 192.168.1.1
IP Administrator = 192.168.1.100
IP Umum = 192.168.1.200
- Membatasi port number
iptables -A INPUT -i eth1 -s 192.168.1.200 -d 192.168.1.1 -p tcp -dport 22-j REJECT
Contoh di atas melarang komputer klien dengan IP 192.168.1.200 mengakses port 22 (ssh) firewall yang memiliki IP 192.168.1.1
Policy FORWARD
- Membatasi orang mengakses port aplikasi P2P (Limewire, GnuTella & Bearshare)
- Membatasi orang mengakses port aplikasi P2P (Limewire, GnuTella & Bearshare)
iptables -A FORWARD -p tcp -dport 6340:6350 -j REJECT
iptables -A FORWARD -p -dport 6340:6350 -j REJECT<
-p tcp (koneksi menggunakan protokol TCP)
-p udp (koneksi menggunakan protokol UDP)
-dport 6340:6350 (melarang akses port 6340 sampai dengan 6350)
-Membatasi koneksi satu alamat IP
iptables -A FORWARD -s 192.168.1.99 -d 0/0 -j REJECT<
-d 0/0 berarti ke semua tujuan
- Membatasi koneksi berdasarkan range IP
- Membatasi koneksi berdasarkan range IP
iptables -A FORWARD -m iprange -src-range 192.168.1.100-192.168.1.150 -d 0/0 -j REJECT
- Membatasi koneksi internet berdasarkan MAC Address
iptables -A FORWARD -m mac -mac-source 00:30:18:AC:14:41 -d 0/0 -j REJECT
Packet Filtering
Penapisan
paket (bahasa Inggris: Packet filtering) adalah mekanisme yang dapat
memblokir paket-paket data jaringan yang dilakukan berdasarkan peraturan
yang telah ditentukan sebelumnya.
Packet
filtering adalah salah satu jenis teknologi keamanan yang digunakan
untuk mengatur paket-paket apa saja yang diizinkan masuk ke dalam sistem
atau jaringan dan paket-paket apa saja yang diblokir. Packet filtering
umumnya digunakan untuk memblokir lalu lintas yang mencurigakan yang
datang dari alamat IP yang mencurigakan, nomor port TCP/UDP yang
mencurigakan, jenis protokol aplikasi yang mencurigakan, dan kriteria
lainnya. Akhir-akhir ini, fitur packet filtering telah dimasukkan ke
dalam banyak sistem operasi (IPTables dalam GNU/Linux, dan IP Filter
dalam Windows) sebagai sebuah fitur standar, selain tentunya firewall
dan router.
Implementasi
Packet filtering terbagi menjadi dua jenis, yakni:
• Static packet filtering (Penapisan paket statis)
• Dynamic packet filtering (Penapisan paket dinamis), atau sering juga disebut sebagai Stateful Packet Filter.
Packet
Filtering diaplikasikan dengan cara mengatur semua packet IP baik yang
menuju, melewati atau akan dituju oleh packet tersebut. Pada tipe ini
packet tersebut akan diatur apakah akan di terima dan diteruskan atau di
tolak. Penyaringan packet ini di konfigurasikan untuk menyaring packet
yang akan di transfer secara dua arah (baik dari dan ke jaringan lokal).
Aturan penyaringan didasarkan pada header IP dan transport header,
termasuk juga alamat awal(IP) dan alamat tujuan (IP), protokol transport
yang di gunakan(UDP,TCP), serta nomor port yang digunakan. Kelebihan
dari tipe ini adalah mudah untuk di implementasikan, transparan untuk
pemakai, relatif lebih cepat. Adapun kelemahannya adalah cukup rumitnya
untuk menyetting paket yang akan difilter secara tepat, serta lemah
dalam hal authentikasi. Adapun serangan yang dapat terjadi pada firewall
dengan tipe ini adalah:
- IP address spoofing : Intruder (penyusup) dari luar dapat melakukan ini dengan cara menyertakan/menggunakan ip address jaringan lokal yang telah diijinkan untuk melalui firewall.
- Source routing attacks : Tipe ini tidak menganalisa informasi routing sumber IP, sehingga memungkinkan untuk membypass firewall.
- Tiny Fragment attacks : Intruder membagi IP kedalam bagian-bagian (fragment) yang lebih kecil dan memaksa terbaginya informasi mengenai TCP header. Serangan jenis ini di design untuk menipu aturan penyaringan yang bergantung kepada informasi dari TCP header. Penyerang berharap hanya bagian (fragment) pertama saja yang akan di periksa dan sisanya akan bisa lewat dengan bebas. Hal ini dapat di tanggulangi dengan cara menolak semua packet dengan protokol TCP dan memiliki Offset = 1 pada IP fragment (bagian IP)
Penapisan paket statis
Cara kerja penapis paket statis
Static packet filtering
akan menentukan apakah hendak menerima atau memblokir setiap paket
berdasarkan informasi yang disimpan di dalam header sebuah paket
(seperti halnya alamat sumber dan tujuan, port sumber dan tujuan, jenis protokol, serta informasi lainnya). Jenis ini umumnya ditemukan di dalam sistem-sistem operasi dan router dan menggunakan sebuah tabel daftar pengaturan akses (access control list) yang berisi peraturan yang menentukan "takdir" setiap paket: diterima atau ditolak.
Administrator jaringan dapat membuat peraturan tersebut sebagai daftar yang berurutan. Setiap paket yang datang kepada filter,
akan dibandingkan dengan setiap peraturan yang diterapkan di dalam
filter tersebut, hingga sebuah kecocokan ditemukan. Jika tidak ada yang
cocok, maka paket yang datang tersebut ditolak, dan berlaku sebaliknya.
Peraturan
tersebut dapat digunakan untuk menerima paket atau menolaknya dengan
menggunakan basis informasi yang diperoleh dari header protokol yang
digunakan, dan jenis dari paket tersebut. Kebanyakan perangkat yang
memiliki fitur packet filtering, menawarkan kepada administrator
jaringan untuk membuat dua jenis peraturan, yakni inbound rule dan outbound rule. Inbound rule merujuk kepada inspeksi paket akan dilakukan terhadap paket yang datang dari luar, sementara outbound rule merujuk inspeksi paket akan dilakukan terhadap paket yang hendak keluar.
Penapisan paket dinamis
Cara kerja penapis paket dinamis
Dynamic packet filtering beroperasi seperti halnya static packet filtering,
tapi jenis ini juga tetap memelihara informasi sesi yang mengizinkan
mereka untuk mengontrol aliran paket antara dua host secara dinamis,
dengan cara membuka dan menutup port komunikasi sesuai kebutuhan.
Jenis ini seringnya diimplementasikan di dalam produk firewall, di mana
produk-produk tersebut dapat digunakan untuk mengontrol aliran data
masuk ke jaringan dan aliran data keluar dari jaringan.
Sebagai contoh, sebuah dynamic packet filter dapat dikonfigurasikan sedemikian rupa sehingga hanya lalu lintas inbound protokol Hypertext Transfer Protocol (HTTP) saja yang diizinkan masuk jaringan, sebagai respons dari request dari klien HTTP yang berada di dalam jaringan. Untuk melakukan hal ini, lalu lintas oubound yang melalui port 80/TCP akan diizinkan, sehingga request HTTP dari klien yang berada di dalam jaringan dapat diteruskan dan disampaikan ke luar jaringan. Ketika sebuah request HTTP outbound datang melalui filter, filter kemudian akan melakukan inspeksi terhadap paket untuk memperoleh informasi sesi koneksi TCP dari request yang bersangkutan, dan kemudian akan membuka port 80 untuk lalu lintas inbound sebagai respons terhadap request tersebut. Ketika respons HTTP datang, respons tersebut akan melalui port 80 ke dalam jaringan, dan kemudian filter pun menutup port 80 untuk lalu lintas inbound.
Sebagai contoh, sebuah dynamic packet filter dapat dikonfigurasikan sedemikian rupa sehingga hanya lalu lintas inbound protokol Hypertext Transfer Protocol (HTTP) saja yang diizinkan masuk jaringan, sebagai respons dari request dari klien HTTP yang berada di dalam jaringan. Untuk melakukan hal ini, lalu lintas oubound yang melalui port 80/TCP akan diizinkan, sehingga request HTTP dari klien yang berada di dalam jaringan dapat diteruskan dan disampaikan ke luar jaringan. Ketika sebuah request HTTP outbound datang melalui filter, filter kemudian akan melakukan inspeksi terhadap paket untuk memperoleh informasi sesi koneksi TCP dari request yang bersangkutan, dan kemudian akan membuka port 80 untuk lalu lintas inbound sebagai respons terhadap request tersebut. Ketika respons HTTP datang, respons tersebut akan melalui port 80 ke dalam jaringan, dan kemudian filter pun menutup port 80 untuk lalu lintas inbound.
Pendekatan seperti ini tidak mungkin dilakukan di dalam static packet filtering,
yang hanya dapat dikonfigurasikan untuk memblokir lalu lintas inbound
ke port 80 atau membukanya, bukan sebagian dari lalu lintas tersebut.
Meskipun demikian, dynamic packet filtering juga dapat dikelabui
oleh penyerang, karena para penyerang dapat "membajak" sebuah sesi
koneksi TCP dan membuat lalu lintas yang datang ke jaringan merupakan
lalu lintas yang diizinkan. Selain itu, dynamic packet filtering
juga hanya dapat digunakan pada paket-paket TCP saja, dan tidak dapat
digunakan untuk paket User Datagram Protocol (UDP) atau paket Internet
Control Message Protocol (ICMP), mengingat UDP dan ICMP bersifat connectionless yang tidak perlu membangun sebuah sesi koneksi (seperti halnya TCP) untuk mulai berkomunikasi dan bertukar informasi.
Langkah-Langkah Membangun firewall
1. Mengidenftifikasi bentuk jaringan yang dimiliki
Mengetahui bentuk jaringan yang dimiliki khususnya toplogi yang di gunakan serta protocol jaringan,
akan memudahkan dalam mendesain sebuah firewall
2. Menentukan Policy atau kebijakan
Penentuan Kebijakan atau Policy merupakan hal yang harus di lakukan, baik atau buruknya sebuah
firewall yang di bangun sangat di tentukan oleh policy/kebijakan yang di terapkan. Diantaranya:
- Menentukan apa saja yang perlu di layani. Artinya, apa saja yang akan dikenai policy atau
- kebijakan yang akan kita buat
- Menentukan individu atau kelompok-kelompok yang akan dikenakan policy atau kebijakan
- tersebut
- Menentukan layanan-layanan yang di butuhkan oleh tiap tiap individu atau kelompok yang
- menggunakan jaringan
- Berdasarkan setiap layanan yang di gunakan oleh individu atau kelompok tersebut akan
- ditentukan bagaimana konfigurasi terbaik yang akan membuatnya semakin aman
- Menerapkankan semua policy atau kebijakan tersebut
3. Menyiapkan Software atau Hardware yang akan digunakan
Baik itu operating system yang mendukung atau software-software khusus pendukung firewall seperti
ipchains, atau iptables pada linux, dsb. Serta konfigurasi hardware yang akan mendukung firewall
tersebut.
4. Melakukan test konfigurasi
Pengujian terhadap firewall yang telah selesai di bangun haruslah dilakukan, terutama untuk mengetahui
hasil yang akan kita dapatkan, caranya dapat menggunakan tool tool yang biasa dilakukan untuk
mengaudit seperti nmap.
* Bastion Host adalah sistem/bagian yang dianggap tempat terkuat dalam sistem keamanan jaringan
oleh administrator.atau dapat di sebuta bagian terdepan yang dianggap paling kuat dalam menahan
serangan, sehingga menjadi bagian terpenting dalam pengamanan jaringan, biasanya merupakan
komponen firewall atau bagian terluar sistem publik. Umumnya Bastion host akan menggunakan
Sistem operasi yang dapat menangani semua kebutuhan (misal , Unix, linux, NT).
No comments:
Post a Comment