firewall

Dalam komputasi, firewall adalah perangkat lunak atau firmware yang memberlakukan seperangkat aturan tentang paket data apa yang akan diizinkan untuk masuk atau keluar meninggalkan jaringan. Firewall dimasukkan ke berbagai perangkat jaringan untuk menyaring lalu lintas dan menurunkan risiko paket berbahaya yang datang melalui internet publik dan dapat berdampak pada keamanan jaringan pribadi. Firewall juga dapat dibeli sebagai aplikasi perangkat lunak yang berdiri sendiri.

Istilah firewall adalah metafora yang membandingkan jenis penghalang fisik yang dibuat untuk membatasi kerusakan yang disebabkan oleh api, dengan penghalang virtual yang dibuat untuk membatasi kerusakan dari serangan cyber baik dari internal atau eksternal. Ketika terletak di perimeter jaringan, firewall memberikan perlindungan jaringan tingkat rendah, serta fungsi logging dan audit yang penting.

Walaupun dua tipe utama firewall adalah berbasis host dan berbasis jaringan, ada banyak tipe berbeda yang dapat ditemukan di tempat yang berbeda dan mengendalikan aktivitas yang berbeda. Firewall berbasis host dipasang pada masing-masing server dan memonitor sinyal yang masuk dan keluar. Firewall berbasis jaringan dapat dibangun ke infrastruktur cloud, atau bisa juga layanan firewall virtual.

Jenis firewall

Jenis-jenis firewall lain termasuk firewall packet-filtering, firewall inspeksi stateful, firewall proxy dan next-generation firewalls (NGFWs).

• Firewall packet-filtering memeriksa paket-paket secara terpisah dan tidak mengetahui konteks paket.
• Firewall stateful inspection memeriksa lalu lintas jaringan untuk menentukan apakah satu paket terkait dengan paket lain.
• Proxy firewall memeriksa paket pada lapisan aplikasi model referensi Open Systems Interconnection (OSI).
• NGFW menggunakan pendekatan berlapis untuk mengintegrasikan kapabilitas firewall perusahaan dengan sistem pencegahan intrusi (IPS) dan kontrol aplikasi.

Ketika organisasi mulai bergerak dari komputer mainframe dan dumb clients ke model client-server, kemampuan untuk mengontrol akses ke server menjadi prioritas. Sebelum firewall pertama muncul berdasarkan pekerjaan yang dilakukan pada akhir 1980-an, satu-satunya bentuk nyata keamanan jaringan ditegakkan melalui daftar kontrol akses atau access control lists (ACL) yang berada di router. ACL menentukan alamat Internet Protocol (IP) yang memberikan atau menolak akses ke jaringan.

Namun, pertumbuhan internet yang eksponensial dan peningkatan konektivitas yang terjadi, berarti menyaring lalu lintas jaringan dengan alamat IP saja tidak lagi cukup. Firewall packet-filtering statis, yang memeriksa header paket dan menggunakan aturan untuk membuat keputusan tentang lalu lintas apa yang akan dilewati, bisa dibilang menjadi bagian terpenting dari setiap inisiatif keamanan jaringan.

Cara kerja firewall packet-filtering

Ketika sebuah paket melewati firewall packet-filtering, sumber dan alamat tujuan, protokol dan nomor port tujuan diperiksa. Paket akan dijatuhkan atau tidak diteruskan ke tujuan jika tidak sesuai dengan aturan firewall. Misalnya, jika firewall dikonfigurasikan dengan aturan untuk memblokir semua akses ke Telnet, maka firewall akan menjatuhkan setiap paket yang ditujukan untuk Transmission Control Protocol (TCP) port 23, port di mana aplikasi Telnet server siap menerima perintah.

Firewall packet-filtering bekerja terutama pada lapisan jaringan model referensi OSI, meskipun lapisan transport digunakan untuk mendapatkan nomor port sumber dan tujuan. Mereka memeriksa setiap paket secara independen dan tidak tahu apakah suatu paket merupakan bagian dari arus lalu lintas yang ada. Firewall packet-filtering efektif, tetapi karena mereka memproses setiap paket secara terpisah, mereka bisa rentan terhadap serangan spoofing IP dan sebagian besar telah digantikan oleh firewall inspeksi stateful.

Cara kerja firewall inspeksi stateful

Firewall inspeksi stateful – juga dikenal sebagai firewall packet-filtering dinamis yaitu firewall yang memelihara tabel untuk melacak semua koneksi terbuka. Ketika paket data yang baru tiba, firewall membandingkan informasi dalam header paket dengan tabel keadaan dan menentukan apakah itu merupakan bagian dari koneksi yang dibuat. Jika itu adalah bagian dari koneksi yang ada, maka paket diizinkan melalui tanpa analisis lebih lanjut. Jika paket tidak cocok dengan koneksi yang ada, maka paket tersebut akan dievaluasi sesuai dengan aturan yang ditetapkan untuk koneksi baru.

Firewall inspeksi stateful memantau paket komunikasi selama periode waktu dan memeriksa paket masuk dan keluar. Paket keluar yang merupakan permintaan untuk tipe spesifik dari paket yang masuk dilacak, dan hanya paket yang masuk yang merupakan respons yang tepat diizinkan melalui firewall. Meskipun firewall inspeksi stateful cukup efektif, mereka bisa rentan terhadap serangan denial-of-service (DoS).

Cara kerja lapisan aplikasi dan proxy firewall

Ketika serangan terhadap server web menjadi lebih umum, menjadi jelas bahwa ada kebutuhan untuk firewall untuk melindungi jaringan dari serangan pada lapisan aplikasi. Penyaringan paket dan firewall inspeksi stateful tidak dapat membedakan antara permintaan protokol lapisan aplikasi yang valid, data dan lalu lintas berbahaya yang dienkapsulasi dalam lalu lintas protokol yang tampaknya valid.

Firewall yang menyediakan pemfilteran lapisan aplikasi dapat memeriksa muatan paket dan membedakan antara permintaan yang valid, data, dan kode berbahaya yang disamarkan sebagai permintaan atau data yang valid. Karena jenis firewall ini membuat keputusan berdasarkan muatan konten, itu memberi para teknisi keamanan pekerjaan extra dalam melakukan kontrol yang lebih terperinci atas lalu lintas jaringan dan menetapkan aturan untuk mengizinkan atau menolak permintaan atau perintah aplikasi tertentu. Misalnya, ia dapat mengizinkan atau menolak perintah Telnet masuk tertentu dari pengguna tertentu, sedangkan firewall lain hanya dapat mengontrol permintaan masuk umum dari host tertentu.

Jika jenis firewall ini juga dapat mencegah penyerang terhubung langsung ke jaringan, itu akan menjadi lebih baik. Menempatkan firewall pada server proxy akan mempersulit penyerang untuk menemukan di mana sebenarnya jaringan tersebut dan sekaligus membuat lapisan keamanan lainnya.

Ketika ada firewall proxy, baik klien dan server dipaksa untuk melakukan sesi melalui perantara – server proxy yang menjadi hosts firewall lapisan aplikasi. Kemusian, setiap kali klien eksternal meminta koneksi dengan server internal (atau sebaliknya), klien akan membuka koneksi dengan proxy. Jika koneksi memenuhi kriteria di basis aturan firewall, proxy akan membuka koneksi ke server yang diminta. Karena firewall diletakkan di tengah koneksi logis, firewall dapat mengawasi lalu lintas untuk tanda-tanda aktivitas jahat di lapisan aplikasi.

Manfaat utama dari pemfilteran lapisan aplikasi adalah kemampuan untuk memblokir konten tertentu, seperti malware yang diketahui atau situs web tertentu, dan mengenali kapan aplikasi dan protokol tertentu, seperti Hypertext Transfer Protocol (HTTP), File Transfer Protocol (FTP) dan domain name system (DNS), sedang disalahgunakan. Aturan dalam firewall lapisan aplikasi juga dapat digunakan untuk mengontrol eksekusi file atau penanganan data oleh aplikasi tertentu.

Masa depan firewall

Pada hari-hari awal internet, ketika AT&T Steven M. Bellovin pertama kali menggunakan metafora firewall, lalu lintas jaringan terutama mengalir “utara-selatan”. Ini berarti bahwa sebagian besar lalu lintas di pusat data mengalir dari klien ke server dan server ke klien. Namun, dalam beberapa tahun terakhir, virtualisasi dan tren seperti infrastruktur terkonvergensi telah menciptakan lebih banyak lalu lintas antara “timur-barat”, yang berarti kadang-kadang volume lalu lintas terbesar di pusat data bergerak dari satu server ke server lainnya. Untuk menghadapi perubahan ini, beberapa organisasi perusahaan telah bermigrasi dari arsitektur pusat data tiga lapis tradisional ke berbagai bentuk arsitektur leaf-spine.

Perubahan dalam arsitektur telah menyebabkan beberapa pakar keamanan memperingatkan, sementara firewall masih memiliki peran penting untuk menjaga keamanan jaringan, perimeter jaringan modern memiliki begitu banyak titik masuk dan berbagai jenis pengguna sehingga kontrol akses dan keamanan yang lebih kuat pada tuan rumah diperlukan. Kebutuhan akan pendekatan multilayer yang bahkan lebih besar telah menyebabkan munculnya apa yang oleh vendor disebut sebagai next-generation firewalls.

Next-generation firewalls.

NGFW mengintegrasikan tiga aset utama: kemampuan firewall tradisional, kesadaran aplikasi (application awareness), dan IPS. Seperti pengenalan inspeksi stateful ke firewall generasi pertama, NGFW membawa konteks tambahan pada proses pengambilan keputusan firewall.

NGFWs menggabungkan kemampuan firewall perusahaan tradisional, yang meliputi network address translation (NAT), Uniform Resource Locator (URL) blocking dan virtual private networks (VPN) — dengan quality of service (QoS) fungsionalitas dan fitur yang tidak secara tradisional ditemukan dalam produk firewall. Produk-produk ini mendukung jaringan berbasis maksud dengan memasukkan Secure Sockets Layer (SSL) dan inspeksi Secure Shell (SSH), deep packet inspection(DPI) dan deteksi malware berbasis reputasi, serta application awareness.

Continue reading firewall

Dasar-Dasar Iptables Pada Linux

                                Dasar-Dasar Iptables Pada Linux
                             
    Iptables adalah aplikasi yang ada pada sistem operasi linux yang berfungsi melakukan filter terhadap trafik pada jaringan. Jadi firewall yang ada pada sistem operasi Linux ini dijalankan oleh iptabes.

Selain menjalankan sebagai firewall, iptables juga berfungsi menjalankan fungsi NAT. NAT itu sendiri merupakan internet gateway yang menghubungkan jaringan lokal dengan jaringan internet.

Secara default Iptables ini sudah terinstall pada sistem operasi dengan basis Fedora dan RedHat.

Tabel Aturan Pada Iptables
Pada Iptables ada beberapa tabel aturan yang perlu diperhatikan, sebagai berikut:

Filter – Menentukan paket yang akan di DROP, LOG, ACCEPT, atau REJECT.
NAT – Mentranslasikan (merubah) alamat asal atau tujuan dari sebuah paket.
Mangle – Melakukan penghalusan (mangle) pada paket data seperti TTL, TOS, dan MARK.
Setiap tabel diatas memiliki rule-rule atau aturan yang disebut chain.

Filter memiliki 3 buah chain:

FORWARD: Melakukan filter paket yang akan di forward dari NIC satu ke NIC yang lain seperti fungsi pada router

INPUT: Melakukan filter paket yang ditujukan untuk firewall.

OUTPUT: Melakukan filter paket yang akan keluar dari firewall.

NAT memiliki 3 buah chain:

PRE-ROUTING: Digunakan untuk mentranslasikan address sebelum proses routing terjadi, yaitu merubah IP tujuan dari paket data biasanya disebut dengan Destination NAT atau DNAT.

POST-ROUTING: Digunakan untuk mentraslasikan address setelah proses routing terjadi, yaitu merubah source IP dari paket data biasanya disebut dengan Source NAT atau SNAT.

OUTPUT: Digunakan untuk mentranslasikan address paket data yang berasal dari firewall itu sendiri.

Mangle memiliki 5 buah chain:

Untuk mange sendiri mempunya 5 buah chain, yaitu PREROUTING, POSTROUTING, INPUT, OUTPUT, FORWARD.
Semua chains diperuntukkan untuk TCP Packet Quality of Service sebelum proses routing dijalankan.

Aturan Membuat Iptables
Perintah dasar pada iptables pada dasarnya memiliki ketentuan. Iptables sendiri bisa dikatakan sebagai tabel IP sesuai dengan namanya. Sistem hanya akan menjalankan rule yang ada pada tabel. Rule yang ada pada iptables dapat dimodifikasi (tambah, edit, hapus) sesuai dengan kebutuhan. Berikut ini adalan command dasar dan parameter yang digunakan untuk membuat rule pada iptables.

#Command

Berikut ini command dasar yang digunakan untuk membuat rule menggunakan iptables.

-A, –append == Menambahkan aturan di akhir chain. Aturan ditambahkan di akhir baris chain yang bersangkutan, sehingga dieksekusi terakhir kali.
-D, –delete == Menghapus satu aturan chain. Dengan mendefinisikan perintah/rule yang ingin dihapus secara lengkap atau menyebutkan nomor baris perintah yang akan dihapus.
-R, –replace == Menggantikan aturan chain dengan aturan baru.
-I, –insert == Memasukkan aturan pada suatu baris di chain. Aturan akan dimasukkan ke baris yang ditulis, dan aturan yang tadinya ada di baris tersebut akan bergeser ke bawah bersama dengan baris-baris selanjutnya.
-L, –list == Menampilkan semua aturan pada tabel.
-F, –flush == Perintah ini mengosongkan aturan pada sebuah chain.
-N, –new-chain == Membuat chain baru.
-X, –delete-chain == Menghapus chain yang dituliskan. Dengan catatan, tidak boleh ada aturan lain yang bersangkutan dengan chain tersebut.
-P, –policy == Membuat kebijakan default pada chain. Jika ada paket yang tidak memenuhi aturan pada baris yang diinginkan, paket akan diperlakukan sesuai dengan kebijakan default ini.
-E, –rename-chain == Mengubah nama chain.

#Parameter

Berikut ini adalah parameter-parameter yang digunakan pada saat akan membuat satu aturan/rule mnggunakan iptables.

-p, –protocol == mengidentifikasikan protocol dalam rule seperti tcp, udp, icmp.
-m, –match-option == mirip dengan –p tetapi modul yang digunakan dan bebas menentukan nama modul yang dipakai dan mengvariasikannya dalam perintah selanjutnya.
-s, –source == alamat hostname/ip.
-d, –destination == tujuan dari alamat ip.
-j, –jump == memberikan keputusan setelah paket data cocok dengan aturan.
-i, –in-interface == alias nama iterface yang menerima kiriman paket (terbatas pada chai INPUT, FORWARD dan PREROUTING saja).
-o, –out-interface == alias nama interface yang akan mengirim paket keluar (pada chain FORWARD, OUTPUT dan POSTROUTING).
-c, –counter == untuk menghitung paket-paket yang lewat dari sebuah aturan.
-n, –numeric == menampilkan output numeric seperti hostname, ip, port, nama network.
-v, –verbose == yang berarti menampilkan informasi secara keseluruhan alias dalam bahasa indonesia terjemahan.

Contoh:
#iptables -A INPUT -p tcp –dport: ssh -j ACCEPT

Dari contoh diatas dapat kita artikan sebagai berikut:

Menambahkan pada chain (-A INPUT) pada trafik yang lewat
Melakukan pengecekan hanya untuk protokol TCP (-p TCP)
Apabila protokol benar maka dilakukan pengecekan untuk tujuan port nya, dalam contoh ini tujuan port untuk ssh (port 22)
Apabila semuanya terpenuhi maka koneksi terbangun.

#iptables -I INPUT -s 9.8.7.6/32 -j DROP

Dari contoh diatas dapat kita artikan sebagai berikut:

Menambahkan pada chain INPUT (Melakukan blok pada IP attacker)
Melakukan pengecekan sumber IP yang datang dari IP 9.8.7.6
Apabila IP tersebut cocok maka langsung dilakukan DROP pada paket tersebut.

#iptables -I FORWARD -p udp –dport 1434 -j DROP

Dari contoh diatas dapat kita artikan sebagai berikut:

Menambahkan pada chain FORWARD (memfilter paket yang menuju server yang dapat diakses oleh NIC lain) dan contoh diatas merupakan contoh untuk melakukan blok pada WORM
Melakukan pengecekan protokol yang digunakan, pada rule diatas harus UDP
Kemudian tujuan port yaitu 1434 MsSQL
Dan yang terakhir dilakukan aksi DROP pada paket tersebut

Continue reading Dasar-Dasar Iptables Pada Linux

                                 

Konfigurasi Firewall Menggunakan UFW pada Ubuntu 16.04

Uncomplicated Firewall (UFW) adalah sebuah interface dari Linux iptables. iptables sendiri adalah tools yang sangat bagus untuk melakukan konfigurasi firewall di sistem operasi berbasis Linux. Namun iptables cukup rumit untuk dipahami oleh sebagian orang. UFW hadir untuk mengatasi permasalahan tersebut dengan cara menyederhanakan perintah konfigurasi firewall sehingga memudahkan sistem administrator dalam mengelola firewall.

Panduan ini merupakan panduan sederhana dan ringkas dalam melakukan konfigurasi firewall menggunakan ufw dan hanya mencakup perintah ufw yang paling sering digunakan dalam praktek administrasi sistem sehari-hari.

Mengaktifkan Service UFW

Sebelum anda dapat melakukan konfigurasi firewall menggunakan ufw, anda harus memastikan service ufw telah berjalan di server anda dengan perintah:

$ sudo systemctl status ufw

Bila ternyata status service ufw adalah inactive (dead) maka anda harus mengaktifkannya dengan cara

$ sudo systemctl start ufw
$ sudo systemctl enable ufw

Jalankan perintah sudo systemctl status ufw sekali lagi dan pastikan kali ini status service ufw adalah active (exited).

Mengaktifkan Firewall Menggunakan UFW

Walaupun service ufw telah aktif, namun firewall rule belum diaktifkan. Anda bisa cek dengan perintah

$ sudo ufw status

Bila output perintah tersebut adalah Status: inactive maka artinya ufw belum aktif dan default policy dari firewall adalah ACCEPT. Silahkan recheck dengan perintah sudo iptables -L maka anda akan mendapatkan output kurang lebih seperti ini

$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destinationChain FORWARD (policy ACCEPT)
target     prot opt source               destinationChain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Kondisi seperti ini akan mengijinkan seluruh koneksi keluar dan masuk ke komputer anda. Sekarang aktifkan lah ufw dengan perintah

$ sudo ufw enable

Kemudian tekan y bila mendapatkan pesan Command may disrupt existing ssh connections. Proceed with operation (y|n)? Bila berhasil, maka anda akan mendapatkan pesan Firewall is active and enabled on system startup.

Jalankan perintah

$ sudo ufw status verbose

untuk melihat default policy setelah ufw diaktifkan. Contoh output perintah tersebut adalah

$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

Policy tersebut akan:

1. melarang (deny) seluruh paket masuk, kecuali yang diijinkan,
2. mengijinkan (allow) seluruh paket yang masuk,
3. tidak mengaktifkan (disabled) paket routing.

UFW Application Profile

ufw telah menyediakan berbagai Application profile yang berisi default rule berbagai aplikasi populer. Anda dapat melihat daftar Application profile tersebut dengan menggunakan perintah

$ sudo ufw app list

Output perintah tersebut bergantung pada aplikasi yang anda install dalam komputer anda. Pada komputer yang saya gunakan terdapat aplikasi Apache, OpenSSH, dan Postfix sehingga output perintah sudo ufw app list menjadi seperti ini

$ sudo ufw app list
Available applications:
  Apache
  Apache Full
  Apache Secure
  OpenSSH
  Postfix
  Postfix SMTPS
  Postfix Submission

Anda dapat mengijinkan aplikasi tertentu dengan perintah sudo ufw allow <nama aplikasi>, misalkan sudo ufw allow OpenSSH. Anda dapat melihat policy yang ada dalam masing-masing Application profile dengan perintah sudo ufw app info <application>. Berikut adalah contoh output ketika menjalankan perintah sudo ufw app info OpenSSH

$ sudo ufw app info OpenSSH
Profile: OpenSSH
Title: Secure shell server, an rshd replacement
Description: OpenSSH is a free implementation of the Secure Shell protocol.Port:
  22/tcp

Mengijinkan Akses Layanan

Mengijinkan Layanan SSH

Untuk mengijinkan layanan SSH menggunakan ufw dapat anda lakukan dengan mengijinkan Application profile OpenSSH dengan perintah

$ sudo ufw allow OpenSSH

atau anda dapat melakukannya secara manual dengan cara

$ sudo ufw allow 22/tcp

Tapi sebenarnya, secara default ufw akan mengijinkan layanan SSH, karena bila tidak diijinkan maka akan menjadi masalah ketika anda melakukan konfigurasi dari remote komputer.

Mengijinkan Layanan Apache

Cara paling mudah mengijinkan layanan Web server Apache, baik itu port 80 untuk protokol HTTP dan port 443 untuk protokol HTTPS adalah dengan perintah

$ sudo ufw allow 'Apache Full'

atau anda dapat melakukannya secara manual dengan cara

$ sudo ufw allow 80/tcp
$ sudo ufw allow 443/tcp

Jalankan perintah sudo ufw status verbose untuk mengecek dampak perubahan firewall policy.

Mengijinkan Port dan Protokol Tertentu

Anda dapat mengijinkan port dan protokol tertentu dengan format perintah sudo ufw allow <port>/<protokol>, misalkan perintah

$ sudo ufw allow 80/tcp

akan mengijinkan akses ke port 80 dengan protokol TCP, sedangkan perintah

$ sudo ufw allow 53/udp

akan mengijinkan akses ke port 53 dengan protokol UDP.

Mengijinkan Port dengan Range dan Protokol Tertentu

Anda dapat mengijinkan port dengan range dan protokol tertentu dengan format perintah sudo ufw allow <first port>:<last port>/<protokol>, misalkan perintah

$ sudo ufw allow 8000:8100/tcp

akan mengijinkan akses ke port 8000 hingga 8100 dengan protokol TCP, sedangkan perintah

$ sudo ufw allow 5300:5500/udp

akan mengijinkan akses ke port 5300 hingga 5500 dengan protokol UDP.

Mengijinkan IP Tertentu

Anda dapat mengijinkan IP tertentu dengan format perintah sudo ufw allow from <ip>, misalkan perintah

$ sudo ufw allow from 104.16.124.127

akan mengijinkan semua akses dari IP 104.16.124.127 masuk ke komputer anda. Bila anda ingin IP tertentu dapat mengakses port tertentu di komputer anda maka anda dapat menjalankan perintah dengan format sudo ufw allow from <ip> to any port <port>, misalkan

$ sudo ufw allow from 104.16.124.127 to any port 22

akan mengijinkan akses dari IP 104.16.124.127 masuk ke port 22 di komputer anda.

Mengijinkan Subnet Tertentu

Anda dapat mengijinkan subnet tertentu dengan format perintah sudo ufw allow from <network address>/<subnet>, misalkan perintah

$ sudo ufw allow from 104.16.124.0/24

akan mengijinkan semua akses dari subnet 104.16.124.0/24 masuk ke komputer anda. Bila anda ingin subnet tertentu dapat mengakses port tertentu di komputer anda maka anda dapat menjalankan perintah dengan format sudo ufw allow from <network address>/<subnet> to any port <port>, misalkan

$ sudo ufw allow from 104.16.124.0/24 to any port 22

akan mengijinkan akses dari IP 104.16.124.0/24 masuk ke port 22 di komputer anda.

Memblokir Akses

Memblokir Akses dari IP atau Subnet Tertentu

ufw dapat anda manfaatkan untuk memblokir IP atau Subnet tertentu. Untuk memblokir IP tertentu gunakan perintah dengan format sudo ufw deny from <ip> misalkan

$ sudo ufw deny from 104.16.124.127

Bila anda ingin memblokir Subnet tertentu, maka gunakan perintah dengan format udo ufw deny from <ip>/<subnet> misalkan

$ sudo ufw deny from 104.16.124.0/24

Continue reading Konfigurasi Firewall Menggunakan UFW pada Ubuntu 16.04