Komunikasi Data
Fungsi Firewall pada Jaringan VoIP
Fungsi Firewall pada Jaringan VoIP
Gambar
3.1 Ilustrasi Penerapan Firewall
FTP (File
Transfer Protocol) merupakan sebuah protokol internet yang berjalan di dalam
level aplikasi yang merupakan standart untuk proses transfer file antar mesin komputer
dalam sebuah framework. Fungsi utama FTP sebagai protokol yang melakukan transfer
file dalam suatu network yang mendukung TCP/IP Protokol. Seperti gambar 3.1,
FTP digunakan untuk arsitektur jaringan computer Client-Server.
Konsep
Firewall pada Jaringan Komputer
Dalam jaringan
komputer, khususnya yang berkaitan dengan aplikasi yang melibatkan berbagai
kepentingan, akan banyak terjadi hal yang dapat mengganggu kestabilan koneksi jaringan
komputer tersebut, baik yang berkaitan dengan hardware (pengamanan fisik,
sumber daya listrik) maupun yang berkaitan dengan software (sistem, konfigurasi,
sistem akses, dll). Internet merupakan sebuah jaringan komputer yang sangat
terbuka di dunia, konsekuensi yang harus di tanggung adalah tidak ada jaminan keamanan
bagi jaringan yang terkait ke Internet. Artinya jika administrator jaringan
tidak hati-hati dalam mengatur sistemnya, maka kemungkinan besar jaringan yang
terkait ke Internet akan dengan mudah dimasuki orang yang tidak di undang dari
luar. Administrator jaringan yang bersangkutan bertugas untuk menekan resiko tersebut
seminimal mungkin. Pemilihan strategi dan kecakapan administrator jaringan ini,
akan sangat membedakan apakah suatu jaringan mudah ditembus atau tidak.
Keamanan pada
jaringan didefinisikan pada lima kategori berikut:
1. Confidentiality,
memberi persyaratan bahwa informasi (data) hanya bisa diakses oleh pihak
yang memiliki wewenang.
2. Integrity,
memberi persyaratan bahwa informasi hanya dapat diubah oleh pihak yang memiliki
wewenang.
3. Availability,
memberi persyaratan bahwa informasi yang tersedia untuk pihak yang memiliki wewenang
ketika dibutuhkan.
4. Authentication,
memberi persyaratan bahwa pengirim suatu informasi dapat diidentifikasi
dengan benar dan
ada jaminan bahwa identitas yang didapat tidak palsu.
5. Nonrepidiation,
memberi persyaratan bahwa baik pengirim maupun penerima pesan informasi tidak
dapat menyangkal pengiriman pesan.
Gangguan pada
sistem dapat terjadi karena faktor ketidaksengajaan yang dilakukan oleh
administrator jaringan (human error), akan tetapi tidak sedikit pula yang
disebabkan oleh pihak ketiga. Gangguan dapat berupa perusakan, penyusupan,
pencurian hak akses, penyalahgunaan data maupun sistem, sampai tindakan
kriminal melalui aplikasi jaringan komputer. Berikut ini merupakan 4 kategori
utama bentuk gangguan (serangan) pada sistem:
1. Interruption
merupakan suatu aset dari suatu sistem diserang sehingga tidak tersedia
atau tidak dapat dipakai oleh yang berwenang. Contohnya adalah
perusakan/modifikasi terhadap piranti keras atau saluran jaringan
2. Interception
merupakan suatu pihak yang tidak berwenang mendapatkan akses pada suatu
aset. Pihak yang dimaksud dapat berupa orang, program atau sistem yang lain.
Contohnya adalah penyadapan terhadap data dalam suatu jaringan.
3. Modification
merupakan suatu pihak yang tidak berwenang tapi dapat melakukan perubahan terhadap
suatu aset. Contohnya adalah perubahan nilai pada file data, modifikasi pesan
yang sedang ditransmisikan dalam jaringan.
4. Fabrication
merupakan suatu pihak yang tidak berwenang menyisipkan objek palsu ke dalam
sistem. Contohnya adalah pengiriman pesan palsu kepada orang lain. Selain empat
kategori gangguan tersebut diatas, dalam internetworking dikenal ada beberapa
istilah gangguan yaitu sebagai berikut:
1. Hacking, berupa
pengrusakan pada infrastruktur jaringan yang sudah ada, misalnya pengrusakan pada
sistem dari suatu server
2. Physing,
berupa pemalsuan terhadap data resmi dilakukan untuk hal berkaitan dengan
pemanfaatannya.
3. Deface, perubahan
terhadap tampilan suatu website secara illegal.
4. Carding, pencurian
data terhadap identitas perbankan seseorang, misalnya pencurian nomor kartu
kredit, digunakan untuk memanfaatkan saldo yang terdapat pada rekening tersebut
untuk keperluan belanja online. Pengamanan terhadap sistem hendaknya dilakukan
sebelum sistem tersebut difungsikan. Percobaan koneksi (trial) sebaiknya
dilakukan sebelum sistem yang sebenarnya difungsikan. Dalam melakukan persiapan
fungsi sistem hendaknya disiapkan pengamanan dalam bentuk:
1. Memisahkan
terminal yang difungsikan sebagai pengendali jaringan atau titik pusat akses
(server) pada
suatu area yang digunakan untuk aplikasi tertentu.
2. Menyediakan
pengamanan fisik ruangan khusus untuk pengamanan perangkat yang dimaksud pada
point 1. Ruangan tersebut dapat diberikan label Network Operating Center (NOC)
dengan membatasi personil yang diperbolehkan masuk.
3. Memisahkan
sumber daya listrik untuk NOC dari pemakaian yang lain. Hal ini untuk menjaga kestabilan
fungsi sistem. Perlu juga difungsikan Uninteruptable Power Supply (UPS) dan
Stabilizer untuk menjaga kestabilan supply listrik yang diperlukan perangkat
pada
NOC.
4. Merapikan
wiring ruangan dan memberikan label serta pengklasifikasian kabel.
5. Memberikan
Soft Security berupa Sistem Firewall pada perangkat yang difungsikan di jaringan.
6. Merencanakan
maintenance dan menyiapkan Back Up sistem. Firewall merupakan alat untuk mengimplementasikan
kebijakan security (security policy). Sedangkan kebijakan security, dibuat
berdasarkan perimbangan antara fasilitas yang disediakan dengan implikasi
security-nya. Semakin ketat kebijakan security, semakin kompleks konfigurasi
layanan informasi atau semakin sedikit fasilitas yang tersedia di jaringan. Sebaliknya,
dengan semakin banyak fasilitas
yang tersedia
atau sedemikian sederhananya konfigurasi yang diterapkan, maka semakin
mudah orang
orang ‘usil‘ dari luar masuk ke dalam sistem (akibat langsung dari lemahnya kebijakan
security). Firewall tersusun dari aturan-aturan yang diterapkan baik terhadap hardware,
software ataupun sistem itu sendiri dengan tujuan untuk melindungi
jaringan, baik dengan melakukan filterisasi, membatasi ataupun menolak suatu
permintaan koneksi dari jaringan luar lainnya seperti internet.
Firewall juga
berfungsi sebagai pintu penyangga antara jaringan yang dilindunginya dengan
dengan jaringan lainnya atau biasa disebut gateway. Gambar 3.4 menunjukkan
firewall yang melindungi jaringan lokal dengan cara mengendalikan aliran paket
yang melewatinya. Firewall dirancang untuk mengendalikan aliran paket berdasarkan
asal, tujuan, port dan informasi tipe paket.Firewall berisi sederet daftar
aturan yang digunakan untuk menentukan nasib paket data yang datang atau pergi
dari firewall menurut kriteria dan parameter tertentu. Semua paket yang
diperiksa firewall akan melakukan mengalami perlakuan yang
diterapkan pada rule
atau policy yang diterapkan pada chains firewall.
Masingmasing tabel dikenakan untuk tipe aktivitas paket tertentu dan
dikendalikan oleh rantai aturan filter paket yang sesuai. Rantai (chains)
adalah daftar aturan yang dibuat untuk mengendalikan paket. Pada firewall
terjadi beberapa proses yang memungkinkannya melindungi jaringan.
Proses yang
terjadi pada firewall ada tiga macam yaitu:
1. Modifikasi
header paket, digunakan untuk memodifikasi kualitas layanan bit paket TCP
sebelum mengalami proses routing
2. Translasi alamat
jaringan, translasi yang terjadi dapat berupa translasi satu ke satu (one to one),
yaitu satu alamat IP privat dipetakan ke satu alamat IP public atau translasi
banyak ke satu (many to one) yaitu beberapa alamat IP privat dipetakan kesatu alamat
public.
3. Filter paket,
digunakan untuk menentukan nasib paket apakah dapat diteruskan atau tidak.
Secara umum
terdapat 4 jenis firewall yang dibedakan berdasarkan cara kerjanya. Jenisjenis firewall
tersebut adalah sebagai berikut:
1. Packet
Filtering Gateway
Packet
filtering gateway dapat diartikan sebagai firewall yang bertugas melakukan
filterisasi terhadap
paket-paket yang datang dari luar jarigan yang dilindunginya. Filterirasi
paket ini hanya
terbatas pada sumber paket, tujuan paket, dan atribut-atribut dari paket tersebut,
misalnya paket tersebut bertujuan ke server kita yang menggunakan alamat IP 202.51.226.35
dengan port 80. Port 80 adalah atribut yang dimiliki oleh paket tersebut. Seperti
yang terlihat pada gambar 3.14, firewall tersebut akan melewatkan paket dengan
tujuan ke Web Server yang menggunakan port 80 dan menolak paket yang menuju Web
Server dengan port 23. Bila kita lihat dari sisi arsitektur TCP/IP, firewall
ini akan bekerja pada layer internet. Firewall ini biasanya merupakan bagian
dari sebuah router firewall. Software yang dapat digunakan untuk
implementasi packet filtering diantaranya adalah iptables dan ipfw
.
Gambar
3.20 Lapisan untuk Proses Packet Filtering Gateway
2. Application
Layer Gateway
Model firewall ini
juga dapat disebut Proxy Firewall. Mekanismenya tidak hanya berdasarkan sumber,
tujuan dan atribut paket, tapi bisa mencapai isi (content) paket tersebut.
Mekanisme lainnya yang terjadi adalah paket tersebut tidak akan secara langsung
sampai ke server tujuan, akan tetapi hanya sampai firewall saja. Selebihnya firewall
ini akan membuka koneksi baru ke server tujuan setelah paket tersebut diperiksa
berdasarkan aturan yang berlaku. Bila kita melihat dari sisi layer TCP/IP,
firewall jenis ini akan melakukan filterisasi pada layer aplikasi (Application
Layer).
Gambar
3.24 Proxy Firewall dilihat pada Model TCP/IP
3. Circuit Level
Gateway
Model firewall
ini bekerja pada bagian Lapisan Transport model referensi TCP/IP. Firewall ini
akan melakukan pengawasan terhadap awal hubungan TCP yang biasa disebut sebagai
TCP Handshaking, yaitu proses untuk menentukan apakah sesi hubungan tersebut
diperbolehkan atau tidak. Bentuknya hampir sama dengan Application Layer Gateway,
hanya saja bagian yang difilter terdapat ada lapisan yang berbeda, yaitu berada
pada layer Transport
Gambar
3.26 Circuit Level Gateway dilihat pada TCP/IP
4. Statefull
Multilayer Inspection Firewall
Model firewall
ini merupakan penggabungan dari ketiga firewall sebelumnya. Firewall jenis ini
akan bekerja pada lapisan Aplikasi, Transport dan Internet. Dengan penggabungan
ketiga model firewall yaitu Packet Filtering Gateway, Application Layer Gateway
dan Circuit Level Gateway, mungkin dapat dikatakan firewall jenis ini merupakan
firewall yang,memberikan fitur terbanyak dan memberikan tingkat keamanan yang
paling tinggi.
Gambar
3.30 Statefull Multilayer Inspection Firewall dilihat pada Model TCP/IP
Konsep Firewall pada
Jaringan VoIP
Jaringan VoIP
adalah jaringan yang menyediakan layanan multimedia internet aplikasi, memiliki
struktur yang cukup rumit dibanding dengan jaringan komputer. Karena kerumitan
protokol VoIP maka mekanisme sekuritas terhadap serangan yang mengambil keuntungan
dari kelemahan jaringan VoIP perlu dikembangkan dengan baik. Menangkal ancaman
dan serangan harus didefinisikan atau dibentuk dengan proses yang baik sehingga
pendekatan yang berlapis untuk mempertahankan postur keamanan jaringan
VoIP dapat terjamin.
Proses tersebut harus dirancang untuk menggambungkan control
yang dapat mengatasi
hal-hal seperti berikut:
Mengidentifikasi
ancaman yang berlaku.
Mengidentifikasi
serangan dan meminimalkan peluang untuk Serangan.
Meminimalkan
dampak dari serangan (jika terjadi).
Mengelola dan
mengurangi serangan yang sukses secara tepat waktu.
Umumnya, keamanan
jaringan VoIP yang ditinjau dari arsitekturnya mencakup Segmentasi jaringan yang
tepat (Network Segmentation), out-ofband network management, dan private
addressing.
1. Network
Segmentation
Network
Segementation atau Sementasi Jaringan merupakan salah satu arsitektur yang
perlu diperhatikan dalam layanan komunikasi VoIP. Pada perusahaan, segmentasi
jaringan
memberikan
kemampuan untuk merampingkan dan mengontrol lalu lintas
yang mengalir di
antara komponen VoIP.
Gambar
3.31 Contoh Arsitektur Segmentasi Jaringan pada Perusahaan
Gambar 3.31
menggambarkan konfigurasi jaringan perusahaan dengan VoIP tersegmentasi. Dalam
arsitektur sampel ini, semua komponen kritis logis terisolasi. Penyaringan lalu
lintas dapat ditegakkan oleh elemen jaringan pendukung seperti router dan
switch atau penggunaan firewall VoIP atau perbatasan sesi controller ( Session Border
Controller - SBC).
2. Out-of-band
Network Manajemen
Manajemen
infrastruktur VoIP juga merupakan dimensi yang perlu dipertimbangkan dalam
arsitektur VoIP. Manajemen jaringan VLAN memiliki visibilitas untuk semua VLAN
dalam jaringan untuk memantau kesehatan semua komponen VoIP. Biasanya, komponen
inti VoIP dikonfigurasi dengan dua antarmuka jaringan. Salah satu antarmuka
ditugaskan untuk manajemen VLAN, dan lainnya ke VLAN produksi di mana sinyal
dan media stream ditangani, seperti yang ditunjukkan pada gambar 3.33 berikut
ini:
Gambar
3.33 Manajemen Jaringan
3. Private
Addressing
Private
Addressing digunakan sebagai mekanisme lain untuk melindungi terhadap serangan
eksternal. Pertumbuhan eksponensial dari internet di awal 1990-an mengisyaratkan
menipisnya alamat IP yang unik secara global. IETF dipublikasikan RFC 1918, "Alamat
Alokasi untuk Private Internets," dalam upaya untuk mendorong organisasi
untuk menggunakan alamat IP nonroutable untuk sistem yang tidak dimaksudkan
untuk langsung terhubung ke Internet. dengan mengkonfigurasi host internal
organisasi dengan satu set
alamat IP dan
menggunakan hanya satu set kecil alamat IP untuk lalu lintas rute internet,
penipisan Alamat IP routable- Internet telah melambat. Sebuah host internal akan
mengirim semua lalu lintas melalui komponen yang bertanggung jawab untuk routing
lalu lintas ke Internet dan juga melakukan Network Address Translation (NAT),
sebagai digambarkan pada gambar 3.34 Perangkat NAT dapat melakukan
address-to-address translation atau alamat dan terjemahan pelabuhan.
Gambar
3.34 Private Addressing
Dalam
pengendalian jaringan dengan menggunakan firewall, ada dua hal yang harus
diperhatikan yaitu koneksi firewall yang digunakan (dalam hal ini yang digunakan
adalah koneksi TCP), dan konsep firewall yang diterapkan, yaitu IPTables.
Dengan dua hal
ini diharapkan firewall dapat mengenali apakah koneksi yang ada berupa
koneksi baru
(NEW), koneksi yang telah ada (ESTABLISH), koneksi yang memiliki relasi
dengan koneksi
lainnya (RELATED) atau koneksi yang tidak valid (INVALID).
Keempat macam
koneksi itulah yang membuat IPTables disebut Statefull Protocol :
1.
Koneksi
TCP
Sebuah koneksi
TCP dikenal sebagai koneksi yang bersifat Connection Oriented, pada permulaan
koneksi, sebuah klien akan mengirimkan sinyal SYN ke server tujuannya,
selanjutnya proses
pada firewall menganggap input ini sebagai paket baru yang akan di
kirimkan ke server.
2.
Mata
Rantai IPTables :
Program iptables
adalah program administratif untuk Filter Paket dan NAT (Network Address
Translation).
ICMP utamanya
digunakan oleh sistem operasi komputer jaringan untuk mengirim pesan kesalahan
yang menyatakan, sebagai contoh, bahwa komputer tujuan tidak bisa dijangkau.
Sebuah koneksi
ICMP hanyalah sebuah permintaan (request) echo dan balasannya (reply). Ada
empat macam tipe echo yang akan mendapat paket balasan, yaitu :
1. Echo request
dan reply
2. Timestamp
request dan reply
3. Infomation
request dan reply,
4. Address mask
request dan reply.
Mendesain Sistem Keamanan
Jaringan
Berikut ini
adalah langkah-langkah yang diperlukan dalam membangun sebuah firewall:
1. Menentukan
topologi jaringan yang akan digunakan. Topologi dan kofigurasi jaringan akan
menentukan bagaimana firewall akan dibangun.
2. Menentukan
kebijakan atau policy. Kebijakan yang perlu di atur di sini adalah penentuan
aturan-aturan yang akan diberlakukan.
3. Menentukan
aplikasi􀂱 aplikasi atau servis-servis apa saja yang akan berjalan.
Aplikasi dan servis yang akan berjalan harus kita ketahui agar kita dapat
menentukan aturan-aturan
yang lebih
spesifik pada firewall kita.
4. Menentukan
pengguna-pengguna mana saja yang akan dikenakan oleh satu atau lebih aturan
firewall.
5. Menerapkan
kebijakan, aturan, dan prosedur dalam implementasi firewall.
6. Sosialisasi
kebijakan, aturan, dan prosedur yang sudah.