Topology Jaringan Firewall

Perlunya firewall

Salah satu guideline untuk keamanan firewall, adalah pemilihan topology yang tepat. Penggunaan firewall yang sesuai, pemilihan topology, dan policy tentang keamanan adalah sangat kritis dalam menjamin perlindungan infrastructure jaringan kita dari segala jenis ancaman keamanan jaringan. Firewall yang aman haruslah digunakan untuk memberikan perlindungan terhadap segala jenis ancaman keamanan dari jaringan publik seperti Internet. Jaringan-2 haruslah diberikan segmentasi jika memerlukan boundary keamanan khusus.




 

Apa itu firewall?

Suatu firewall adalah suatu system yang mengendalikan aliran traffic antara jaringan-2 dan memberikan suatu mekanisme untuk melindungi hosts terhadap ancaman-2 yang berhubungan dengan jaringan. Perlu diperhatikan bahwa firewall tidak bisa mengendalikan dan juga tidak melindungi traffic yang tidak melewati gerbang keamanan (seperti dial-up modem yang mem-bypass firewall), ataupun ancaman yang berasal dari dalam jaringan private tersebut maupun ancaman dari authorized user. Kenapa tidak bisa mengamankan serangan dari dalam? Yach jelas saja ibaratnya para tentara hanya menjaga pintu gerbang perbatasan sementara ancaman dari dalam bisa saja lebih berbahaya. Berapa banyak pencurian dokumen rahasia oleh karyawan sendiri, jika keamanan dari dalam sendiri malah longgar.

Firewall menjadi system yang aman hanya jika diimplementasikan policy keamanan sesuai dengan rule base nya. Dengan semakin banyak dan beragam nya ancaman dari Internet dan juga kerentanan atau kelemahan system dengan mudah nya di distribusikan ke internet, firewall tidaklah bisa memberikan 100% perlindungan terhadap jaringan anda terhadap segala kemungkinan ancaman.

Sebuah firewall yang tepat dan sesuai haruslah digunakan jika harus terhubung ke jaringan external, jaringan public atau jaringan un-trusted seperti Internet. Hal ini adalah suatu keharusan karena banyaknya ancaman dan juga karena keharusan suatu perlindungan terhadap asset informasi yang ada didalam jaringan private organisasi anda. Suatu zona demiliter (DMZ- De-Militarized Zone) haruslah digunakan untuk memberikan segmentasi jaringan jika memberikan hosting resources kepada public, seperti server layanan Web. Jangan sampai server layanan Web ini ada didalam jaringan internal anda, sangat berbahaya karena bakal banyak pengunjung yang memasuki jaringan anda, wilayah private anda.

Konsep diagram firewall

Perhatikan gambar dibawah ini, hanya traffic yang diijinkan saja (sesuai rule base) yang boleh melewati gerbang firewall, sementara user public hanya bisa mengakses server yang diletakkan pada wilayah DMZ saja, tidak bisa masuk ke wilayah jaringan trusted anda – yaitu jaringan private anda.

 

Firewall Topology - Satu DMZ

Firewall Topology – Satu DMZ

Firewall dengan DMZ

Beberapa DMZ bisa saja dipakai jika memang dibutuhkan adanya beberapa wilayah DMZ untuk membedakan level-2 policy keamanan. Pada gambar berikut ini ada 2 wilayah DMZ untuk applikasi layanan Web yang diakses oleh para pengakses dari public (berada pada wilayah DMZ2) sementara database Web tersebut tersimpan pada wilayan DMZ1 yang hanya diakses oleh server Web. Public hanya boleh mengakses server Web saja, tidak boleh mengakses server SQL yang berada pada wilayah DMZ1. Hal ini sangat bermanfaat dalam mengamankan database anda pada server SQL terpisah dari server yang bisa diakses oleh public, yang pada dasarnya adalah merupakan ancaman.

 

External Firewall - Dua DMZ

External Firewall – Dua DMZ

Penggunaan firewall internal tidak lah dianjurkan jika hanya akan menghalangi traffic jaringan corporate anda yang justru sangat diperlukan untuk kelangsungan operasional system informasi pada jaringan corporate anda, seperti layanan directory services, layanan domain name – DNS, layanan exchange system. Kalau toch harus dipakai maka haruslah menggunakan rule base yang menjamin layanan-2 kritis operasional corporate tersedia secara global.

Kebutuhan minimum

Kebutuhan minimum mengenai topology firewall adalah sebagai berikut:

  1. Suatu firewall yang tepat dan sesuai haruslah digunakan untuk semua koneksi ke jaringan public atau jaringan external.
  2. Jaringan-2 yang membutuhkan system keamanan yang berbeda haruslah diberikan segmentasi dan dilindungi dengan firewall (missal Internal (trusted) vs. Internet (un-trusted))
  3. Suatu wilayah DMZ diperlukan untuk semua layanan system yang diakses oleh public (jaringan un-trusted). Host yang diakses public ini tidak boleh berada pada wilayah jaringan Internal private anda.
  4. Beberapa wilayah DMZ bisa dipakai untuk memberikan segmen-2 jaringan yang mempunyai zone keamanan yang berbeda atau berdasarkan klasifikasi keamanan yang berbeda.
  5. Semua koneksi firewall secara fisik, harus lah diamankan dan diberikan label yang sesuai dengan standard yang diterapkan keseluruh corporate. Sangat direkomendasikan untuk memakai kabel yang berbeda warna untuk membedakan mana jaringan private, jaringan DMZ, ataupun jaringan public.
  6. Semua firewall yang menghadap ke internet haruslah dikonfigure dimulai dari “deny all” untuk semua traffic kecuali yang di ijinkan secara explicit.

Suatu topology firewall menjamin suatu kemudahan untuk mengidentifikasikan boundary keamanan didalam jaringan dan untuk meng-aplikasikan policy keamanan yang valid (rule base) kepada gerbang keamanan (firewall).

 




 

You may also like...

15 Responses

  1. adi says:

    bagaimana caranya meng”explore” komputer clien/server dari sebuah router yang terhubung padanya dimana kita telah mendapat akses penuh terhadap router tsb??

    • admin says:

      maksudnya kita udah dapet akses masuk ke router tersebut …dibelakang router dan firewall jaringan private kita getu? itu kan tergantung rule base pada router/firewall, apakah rule mengijinkan anda masuk ke jaringan private dari luar, atau diatur lewat VPN remote akses, apakah setelah bisa masuk mendapatkan akses authorisasi ke jaringan private …tergantung security policy yang diterapkan pada endpoint securritynya.

  2. Asep says:

    Kang Admin yang Jagoan banget,

    Saya ada pertanyaan nih. saya pakai aplikasi tertentu yang dijalankan di computer client, dimana apklikasi tersebut dapat mengambil license yang disimpan di komputer server. Saat mau login dari computer client, dan sudah mengisi User dan Password yang sesuai dengan yang sudah didefinisikan di license-nya, muncul massage seperti di bawah ini :

    Login Failed Java.lang.securityException: Principal Authenticator Could not ne obtained

    Apakah Error tersebut dikarenakan Firewall ataupun juga karena security policy yang diterapkan oleh administrator Jaringannya ? sehingga kita tidak bisa masuk ke server tersebut.
    Trims Banget

    Asep

  3. Ki says:

    Aku emang jago, karena betina-ku udah bisa beranak-pinak….he..he..
    Menurut saya sich dari sisi applikasi mestinya bisa dicari error tersebut kenapa, kayaknya gak jauh dr masalah kegagalan authenticasi, jadi ada proses yg belum terpebuhi dalam proses tersebut.
    kalau masalah firewall biasanya belum apa2 sudah ketendang dia. nah security policy bisa hampir mendekati, bisa saja si admin hanya membolehkan IP tertentu saja atau user-name tertentu saja yg boleh akses ke server aplikasi tersebut.

  4. mulyadi says:

    bagaimana configure IPS di ASA Pak…? serta pembuktian telah berjalannya inline mode.

  5. january says:

    firewall kn tgs’a untk mnyaring filter,yg dmaksud filter’a tu sendri apa??

    • admin says:

      fiter yach saringan …he…he..jadi intinya semua traffic paket data yang masuk disaring (difilter) sesuai dengan policy yang kita set dalam access-list …biasanya berdasarkan tcp/udp dan port atau address jaringan tertentu …

  6. pemula banget says:

    bang admin,
    sy newbie banget nih.
    kira2 bisa digambarkan dengan IP address ga ya, jaringan local,DMZ,firewall.apakah dengan bisa berkomunikasi nya jar.local dengan DMZ, ada kemungkinan public network bisa tau juga LAN kita melalui DMZ tersebut.
    thanks

  7. ki says:

    Misal pada gb diatas yg dg 2 dmz, anda bisa saja menggunakan firewall dg 4 interface, 3 Ethernet (2 DMZ network dan 1 private network) dan 1 serial ke modem. Pada firewall menggunakan NAT (network address translation) untuk membuat security policy access-list. Karena yg bisa diakses dr internet hanya WEB server pada dmz2, maka kita harus menyiapkan 1 IP public untuk WEB server. Tapi anda tidak perlu memberikan IP public ini langsung di interface WEB server, tapi gunakan NAT di firewall untuk tranlsationnya. Dan tentunya anda harus mempunyai record webserver di DNS server ISP anda untuk ditranslate ke IP address Web-server di dmz2. misal IP di dmz menggunakan ip private 192.168.2.254. Sementara IP jaringan pada private network / internal anda bisa menggunakan 192.168.1.0/24 misal. DMZ1 dg ip jaringan 192.168.3.0/22 misal.
    Anda bisa membuat 3 group policy dg rule 1> web-server pada dmz2 saja yg boleh diakses dr internet 2> SQL server hanya boleh diakses oleh Web-server dan beberapa IP administrator. 3> jaringan internal bisa akses web-server dan juga akses outbound ke internet.
    Begitu kira-kira contohnya …baca juga artikel design ip jaringan
    Cheers, Ki

  8. nh says:

    mas, firewall nya itu pake perangkat khusus, atau pake PC yang diinstall firewall ? gmn performanya?
    trus bagusan mana kalo DMZ pake NAT dgn DMZ yg pake IP public di bastian hostnya?
    thx

    • admin says:

      kalo anda bisa pake Cisco router misal PIX series dengan multiple Ethernet interface bisa, disini anda bisa bikin group policy dengan NAT. hardware firewall itu lebih simple, walau programingnya kadang njlimet kalo kurang paham …
      firewall pake server misal ISA itu juga recommended ….

  9. Ade.s says:

    mas admin, mau tanya nih maklum saya masih newbie. jika topologi nya seperti ini router_cisco–>firewall_Linux–>DMZ (mailserver/webserver). jika peer dari router ke firewall menggunakan ip private dan DMZ juga menggunakan IP private. yang saya mau tanyakan, dimana saya harus nat webserver/mailserver tersebut? apakah di router_cisco atau di firewall_linux? mohon pencerahannya.

  10. Ki says:

    Newbie kok mainnx DMZ, firewall n router …that’s an expert gan …Untuk NAT antara public ip dan private ip …biasanya DMZ di public karena diakses dr internet kan? kalo web/maiserver di private network, kedua router dan firewall di nat juga …

  11. Ade.s says:

    thanx gan atas jawabanya…hehehe masih bingung tadinya. biasanya router dan firewall jadi satu pake linux, newbie di cisco gan maksudnya.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.