Application-Based Workstation Firewall – Incoming Traffic

Firewall

Firewall pada dasarnya merupakan sebuah filter. Firewall, bisa merupakan sebuah perangkat lunak ataupun perangkat keras, berfungsi untuk menghadang informasi terlarang keluar / masuk sistem dan mengijinkan informasi yang telah disetujui keluar / masuk sistem.

Firewall beroperasi dengan memantau dan memblokir semua informasi, baik keluar ataupun masuk ke sistem, yang tidak memenuhi kebijakan-kebijakan (rules) yang telah dikonfigurasi. Penerapan firewall dibagi menjadi dua kategori yaitu firewall jaringan dan firewall host. Firewall jaringan adalah firewall yang memantau informasi yang keluar / masuk sebuah jaringan, sedangkan firewall host adalah firewall yang memantau informasi yang keluar / masuk  sebuah komputer tanpa memperdulikan jaringan tempat komputer tersebut diletakkan.

Firewall Incoming
Firewall Incoming

Beberapa lembaga keamanan di dunia memasukkan konfigurasi firewall kedalam salah satu bagian terpenting yang perlu diawasi. Australia dalam laporan Strategies to Mitigate Targeted Cyber Intrusions membagi firewall ke dalam dua model yang berbeda yaitu firewall untuk memfilter informasi yang masuk (incoming) dan informasi yang keluar (outgoing). Pada artikel ini akan dijelaskan lebih detail mengenai firewall untuk memfilter informasi yang masuk (incoming) pada sistem berbasis Microsoft Windows (firewall host).

 Penerapan Firewall Host untuk Memfilter Informasi yang Masuk

Firewall host merupakan perangkat lunak yang terinstalasi pada komputer host dan mempunyai fungsi untuk melakukan filter atas informasi yang keluar ataupun masuk ke komputer tersebut. Karena komputer tersebut dapat digunakan untuk berbagai fungsi, firewall hanya merupakan sebuah bagian kecil dari komputer tersebut berbeda dengan komputer yang khusus berfungsi sebagai firewall jaringan. Fitur-fitur pada perangkat lunak firewall host biasanya tidak selengkap firewall jaringan seperti adanya fitur Intrusion Detection System (IDS).

IDS merupakan fitur yang memakan sumber daya pemrosesan secara intensif (processing-intensive) dan membutuhkan biaya pengoperasian yang tinggi. Selain itu, IDS seringkali melakukan kesalahan yang menganggap sebuah informasi tidak berbahaya adalah informasi yang mengancam sistem sehingga menghasilkan pemberitahuan yang salah (false alarm). Setiap pemberitahuan yang dihasilkan oleh IDS perlu dipantau sehingga staff operasional dapat melakukan tindak lanjut apabila mendapat pemberitahuan berbahaya dan mengabaikan apabila pemberitahuan tersebut salah. Karena alasan-alasan tersebut, fitur-fitur lanjut seperti IDS hanya digunakan oleh firewall jaringan. Firewall host umumnya mempunyai cara kerja dengan metode pemfilteran paket (packet filtering).

Pemfilteran Paket (Packet Filtering) untuk Memfilter Informasi yang Masuk

Kegunaan utama dari firewall adalah pemfilteran lalu lintas informasi. Khusus untuk filter informasi yang masuk, firewall menginspeksi paket data saat masuk ke sistem dan mengecek apakah paket data tersebut memenuhi kriteria firewall yang telah didefinisi oleh administrator agar firewall dapat memberi ijin ataupun menolak paket data tersebut. Firewall akan menolak semua paket data yang tidak memenuhi kriteria firewall. Ada 2 macam penerapan kebijakan kriteria firewall yaitu menggunakan daftar ijin (whitelist) dan daftar tolak (blacklist). Dengan menerapkan whitelist, firewall akan menolak semua paket data yang tidak memenuhi kriteria dalam daftar tersebut dan hanya mengijinkan paket data yang memenuhi kriteria dalam daftar. Sedangkan dengan menerapkan blacklist, firewall akan menerima semua paket data yang tidak memenuhi kriteria dalam daftar tersebut dan menolak semua paket yang memenuhi kriteria dalam daftar.

Berikut adalah atribut-atribut utama pada TCP/IP yang digunakan untuk membuat kriteria pemfilteran paket:

  • Alamat IP sumber
  • Alamat IP tujuan
  • Protokol IP
  • Port TCP dan UDP sumber
  • Port TCP dan UDP tujuan
  • Antarmuka tempat datangnya paket (The interface where the packet arrives)
  • Antarmuka tempat tujuan paket (The interface where the packet is destined)

Pembuat aplikasi umumnya sudah merancang aplikasi buatannya agar dapat berjalan melalui firewall jaringan dan firewall host. Khusus untuk firewall host, biasanya apabila sebuah aplikasi akan terhubung dengan internet untuk pertama kalinya maka akan ada pemberitahuan kepada pengguna (dengan akses administrator) dan pengguna dapat menentukan apakah aplikasi tersebut diijinkan atau ditolak untuk terhubung dengan internet. 

Kriteria Windows Firewall untuk Remote Desktop
Kriteria Windows Firewall untuk Remote Desktop
Kriteria ZoneAlarm untuk Remote Desktop
Kriteria ZoneAlarm untuk Remote Desktop

Kedua contoh gambar di atas adalah contoh dari penerapan kriteria pada dua perangkat lunak firewall host (Windows Firewall dan ZoneAlarm) untuk mengijinkan paket data Remote Desktop dapat melewati firewall. Pada contoh kriteria firewall di atas digunakan filter atribut port TCP yang digunakan oleh aplikasi Remote Desktop yaitu port 3389. Selain menggunakan port, biasanya perangkat lunak firewall host yang ada saat ini dapat menggunakan atribut aplikasi tanpa perlu mengetahui portnya seperti pada contoh gambar di bawah ini.

Kriteria Windows Firewall untuk aplikasi µTorrent
Kriteria Windows Firewall untuk aplikasi µTorrent

Contoh Perangkat Lunak Firewall yang Dapat Digunakan

Banyak tersedia perangkat lunak firewall  pihak ketiga yang dapat dijadikan alternatif apabila perangkat lunak yang sudah ada (Windows Firewall) dirasa tidak sesuai. Berbagai jenis proteksi yang disediakan cukup beragam sehingga dapat dibagi menjadi dua kategori yaitu basic firewall dan firewall dengan HIPS (Host Intrusion Prevention System).

Basic firewall merupakan firewall yang membatasi akses terhadap sistem baik pembatasan dari luar ke dalam maupun pembatasan dari dalam ke luar sistem. Sedangkan firewall dengan HIPS merupakan firewall yang secara aktif melakukan pengawasan terhadap aktivitas-aktivitas mencurigakan pada sistem sebelum malware mendapat kesempatan untuk mengambil alih komputer. HIPS sendiri merupakan sebuah program yang bertujuan untuk mempertahankan integritas sistem yang dilindungi dengan cara mencegah perubahan krusial pada sistem dari sumber-sumber yang tidak diketahui. Umumnya HIPS memberi tahu pengguna apabila akan ada perubahan pada sistem dan membutuhkan otorisasi dari pengguna untuk melakukan perubahan tersebut.

Beberapa contoh perangkat lunak basic firewall pihak ketiga untuk Microsoft Windows adalah:

Beberapa contoh perangkat lunak firewall dengan HIPS pihak ketiga untuk Microsoft Windows adalah:

 

Proteksi Terhadap SSH Dictionary Attacks dengan Menggunakan Firewall untuk Memfilter Informasi yang Masuk

Salah satu contoh kegunaan dari filter informasi yang masuk oleh firewall adalah mencegah SSH dictionary attacks yang merupakan salah satu bentuk umum serangan pada jaringan internet. Komputer-komputer host yang telah dikuasai oleh penyerang akan secara terus-menerus mencari komputer host lain di internet yang membuka port 22 (SSH scanning) yang merupakan port default SSH, dan ketika berhasil menemukan komputer yang membuka port 22 maka komputer yang telah dikuasai penyerang akan mencoba masuk (login) menggunakan daftar berbagai kombinasi username dan password (dictionary of usernames and passwords) yang sudah mereka miliki. Apabila penyerang dapat masuk ke komputer yang membuka port 22 tersebut maka penyerang dapat menggunakan komputer tersebut untuk melakukan serangan lebih lanjut seperti melakukan SSH scanning, denial of service attacks, dan menyimpan konten ilegal.

Ilustrasi SSH dictionary attacks
Ilustrasi SSH dictionary attacks

Berbagai cara dapat dilakukan untuk mencegah SSH dictionary attacks namun salah satu cara yang dapat digunakan adalah dengan cara menggunakan firewall untuk memfilter informasi yang masuk. Kriteria firewall dapat diatur menggunakan port sumber informasi dan alamat sumber informasi sehingga hanya alamat-alamat yang terpercaya saja yang bisa mengakses port SSH yaitu port 22.

 Sumber

Ditulis oleh:  Adrian Dwiananto A (23212035) & Mulkan Fadhli (23212034)