Tembok pelindung api atau dinding pelindung api yang dalam bahasa Inggrisnya firewall, merupakan suatu sistem yang dirancang dengan sedemikian rupa dalam mencegah akses yang tak diinginkan dari atau ke dalam suatu jaringan internal.
Firewall bekerja dengan cara melacak dan mengendalikan jalannya data, dan memutuskan aksi dalam :
- Melewatkan (pass)
- Menjatuhkan (drop)
- Menolak (reject)
- Melakukan enkripsi atau pencatatan aktivitas data (log)
Setelah mengetahui pengertian firewall, mari selanjutnya kita membahas lebih dalam dan lebih lanjut lagi mengenai fungsi firewall atau tembok pelindung api.
Fungsi Firewall
Firewall, via betanews.com |
1. Mengatur dan Mengontrol Lalu Lintas Jaringan
Fungsi yang pertama yang bisa dilakukan oleh firewall ialah mengatur dan mengontrol lalu lintas jaringan yang diizinkan atau diperkenankan untuk mengakses jaringan pribadi atau komputer yang dilindungi oleh firewall.
Firewall melakukan hal tersebut dengan cara melakukan suatu inspeksi terhadap paket-paket yang masuk dan memantau koneksi yang tengah dibuat, selanjutnya melakukan filtering (penyaringan) terhadap koneksi, berdasar dari hasil inspeksi paket dan koneksi tersebut.
2. Melakukan Proses Inspeksi Paket
Inspeksi paket atau packet inspection adalah proses yang dilakukan oleh firewall, dalam rangka menghadang dan memproses data yang ada pada suatu paket, untuk menentukan jika paket tersebut ditolak atau diizinkan, berdasar dari access policy yang sudah ditetapkan dan diterapkan oleh administrator.
Sebelum memutuskan hendak melakukan penolakan atau malah menerima komunikasi yang datang dari luar, maka firewall harus melakukan inspeksi terlebih dahulu terhadap setiap paket, entah itu paket yang masuk atau keluar, di setiap antarmuka, dan membandingkannya dengan daftar access policy yang ada.
Inspeksi paket bisa dilakukan dengan melihat elemen-elemen berikut, saat menentukan apakah hendak menolak atau bahkan menerima komunikasi :
- Alamat IP dari komputer sumber
- Port sumber pada komputer sumber
- Alamat IP dari komputer tujuan
- Port tujuan data pada komputer tujuan
- Protokol IP
- Informasi header yang disimpan di dalam paket
3. Melakukan Koneksi dan Keadaan Sambungan
Agar 2 host TCP/IP bisa saling terhubung satu sama lain, maka mereka harus membuat suatu sambungan antara yang satu dengan yang lain. Koneksi ini mempunyai 2 tujuan :
- Komputer bisa menggunakan koneksi tersebut dalam melakukan identifikasi dirinya terhadap komputer yang lain, untuk meyakinkan jika sistem lain yang tak membuat koneksi tak bisa mengirimkan data ke komputer tersebut. Firewall juga menggunakan informasi koneksi dalam menentukan koneksi apa yang diizinkan pada kebijakan akses dan menggunakannya dalam menentukan apakah paket data itu diterima atau ditolak.
- Koneksi dipergunakan dalam menentukan bagaimana cara 2 host akan melakukan komunikasi antara yang satu dengan yang lainnya (apakah dengan menggunakan connection-oriented atau connectionless).
Kedua tujuan tersebut bisa digunakan dalam menentukan keadaan koneksi antara 2 host tersebut, sama halnya cara manusia dalam berbincang-bincang satu sama lain.
Apabila Candra bertanya kepada Habib akan suatu hal, maka Habib akan menanggapi atau merespon dengan jawaban yang sesuai dengan pertanyaan yang telah diajukan oleh Candra. Pada saat Candra memberikan pertanyaan kepada Habib, keadaan percakapan tersebut ialah Candra menunggu tanggapan atau respon dari Habib.
Komunikasi di dalam suatu jaringan juga mengikuti cara yang sama dalam memantau keadaan percakapan komunikasi yang sedang terjadi.
Firewall bisa memantau informasi keadaan koneksi dalam menentukan apakah akan mengizinkan lalu lintas jaringan. Umumnya, hal ini dilakukan dengan cara memelihara sebuah tabel dalam keadaan koneksi, istilahnya adalah state table, yang memantau keadaan semua komunikasi yang melalui firewall.
Dengan memantau keadaan koneksi tersebut, firewall bisa menentukan apakah data yang melewati firewall tengah ditunggu oleh host yang dituju. Apabila ya, maka akan mengizinkannya.
Sementara itu, jika data yang melewati firewall tak cocok dengan keadaan koneksi yang telah didefinisikan oleh state table, maka data tersebut akan ditolak. Hal tersebut pada umumnya disebut dengan nama stateful inspection.
4. Stateful Packet Inspection
Saat sebuah firewall menggabungkan stateful inspection dengan packet inspection, maka firewall tersebut dinamai dengan Stateful Packet Inspection (SPI).
SPI adalah proses inspeksi paket yang tidak dilakukan dengan menggunakan struktur paket dan data yang terkandung di dalam paket, namun juga keadaan apa host-host yang saling berkomunikasi itu ada.
SPI mengizinkan firewall dalam melakukan suatu bentuk penapisan, tak hanya berdasar dari isi paketnya saja, melainkan juga berdasarkan dari koneksi atau keadaan koneksi, sehingga bisa mengakibatkan firewall mempunyai kemampuan yang jauh lebih fleksibel, mudah untuk diatur, dan mempunyai skalabilitas dalam hal penapisan yang tinggi.
Salah satu keunggulan dari adanya SPI dibandingkan dengan inspeksi paket yang biasa ialah saat suatu koneksi yang sudah dikenali dan diizinkan, umumnya suatu kebijakan tak dibutuhkan dalam mengizinkan komunikasi balasan, karena firewall tahu akan tanggapan apa yang nantinya akan diterima.
Hal ini memungkinkan inspeksi terhadap suatu data dan perintah yang terkandung pada suatu paket data dalam menentukan apakah suatu koneksi diizinkan atau tidak, selanjutnya firewall akan secara otomatis memantau keadaan percakapan dan dengan dinamis mengizinkan lalu lintas yang sesuai dengan keadaan yang ada.
Hal ini tentu peningkatan yang begitu signifikan apabila dibandingkan dengan fiewall yang melakukan inspeksi paket biasa. Terlebih, proses yang dilakukan ini diselesaikan tanpa adanya kebutuhan dalam mendefinisikan suatu kebijakan dalam mengizinkan tanggapan dan komunikasi yang berikutnya. Kebanyakan dari firewall modern mendukung adanya fungsi tersebut.
5. Melakukan Autentikasi Terhadap Akses
Fungsi fundamental firewall yang kedua ialah firewall bisa melakukan autentikasi terhadap akses.
Protokol TCP/IP dibangun dengan premis jika protokol itu mendukung komunikasi yang terbuka. Apabila 2 host saling mengetahui alamat IP yang satu dengan yang lain, maka mereka tentunya akan diberi izin untuk bisa saling terhubung atau berkomunikasi.
Pada awal perkembangan internet, hal ini bisa dikatakan sebagai suatu berkah. Akan tetapi, untuk saat ini, di saat semakin banyak orang atau pengguna yang tersambung ke dalam internet, mungkin kita tak mau siapa saja yang bisa berkomunikasi dengan sistem yang dimiliki.
Maka dari itu, firewall dilengkapi dengan fungsi autentikasi dengan menggunakan beberapa macam mekanisme autentikasi, seperti halnya :
- Firewall yang diperkenankan meminta input dari para pengguna untuk mengetahui nama pengguna dan kata kunci (username dan password). Metode ini seringkali disebut dengan nama extended authentication atau xauth. Menggunakan metode tersebut, pengguna yang mencoba membuat suatu koneksi, akan diminta input akan nama pengguna dan kata kuncinya, sebelum pada akhirnya diperbolehkan oleh firewall. Pada umumnya, setelah koneksi tersebut diizinkan oleh kebijakan keamanan pada firewall, firewall tak lagi harus mengisi input nama pengguna dan kata kunci, kecuali jika terjadi koneksi yang putus dan pengguna mencoba untuk menghubungkan lagi dirinya.
- Metode yang kedua ialah dengan menggunakan sertifikat digital dan kunci publik. Dengan adanya keunggulan metode tersebut dibandingkan dengan metode yang pertama ialah proses autentikasi yang bisa terjadi tanpa intervensi dari pengguna. Tidak hanya itu saja, metode ini juga jauh lebih cepat dalam rangka proses autentikasi. Walaupun demikian, metode tersebut jauh lebih rumit dalam implementasi karena membutuhkan begitu banyak komponen, seperti halnya implementasi infrastruktur kunci publik.
- Metode yang berikutnya ialah dengan menggunakan Pre-Shared Key (PSK) atau kata kunci yang sudah diberitahukan kepada penggunanya. Apabila dibandingkan dengan sertifikat digital, maka PSK jauh lebih mudah dalam implementasi karena jauh lebih sederhana. Akan tetapi, PSK juga mengizinkan proses autentikasi yang terjadi, tanpa intervensi dari pengguna. Dengan menggunakan PSK, maka setiap host akan diberikan suatu kunci yang sebelumnya sudah ditentukan yang selanjutnya digunakan dalam proses autentikasi. Kelemahan dari penggunaan metode ini ialah kunci PSK yang jarang diperbaharui dan banyak organisasi yang seringkali menggunakan kunci yang serupa dalam melakukan koneksi terhadap host yang ada di jarak jauh, sehingga hal ini juga sama saja meruntuhkan proses autentikasi. Agar tercapai suatu derajat keamanan yang tinggi, pada umumnya di beberapa organisasi sudah menyertakan gabungan antara metode PSK dengan xauth atau bisa juga PSK dengan sertifikat digital.
Dengan mengimplementasikan proses autentikasi, firewall juga menjamin jika koneksi bisa diizinkan atau juga tidak. Walaupun jika paket sudah diizinkan dengan menggunakan inspeksi paket atau berdasar dari keadaan koneksi, apabila host itu tak lolos pada proses autentikasi, maka paket tersebut akan dibuang.
6. Melindungi Sumber Daya di dalam Jaringan Private
Salah satu tugas dari firewall ialah melindungi sumber daya dari berbagai macam ancaman yang mungkin bisa saja datang dan terjadi.
Proteksi ini bisa didapatkan dengna menggunakan beberapa pengaturan peraturan akses (access control), penggunaan SPI, application proxy atau kombinasi dari ketiganya untuk mengamankan host yang dilindungi agar tidak bisa diakses oleh host yang mencurigakan atau dari lalu lintas jaringan yang mencurigakan.
Walaupun demikian, firewall bukan menjadi satu-satunya metode proteksi yang aman terhadap sumber daya dan mempercayakan proteksi firewall dari ancaman secara eksklusif menjadi salah satu kesalahan yang fatal.
Apabila suatu host yang menjalankan sistem operasi tertentu yang mempunyai celah keamanan yang sama sekali belum ditambal dan dikoneksikan ke dalam internet, firewall mungkin tak bisa mencegah dieksploitasinya host itu oleh host yang lain, terlebih apabila eksploitasi yang dilakukan menggunakan lalu lintas yang oleh firewall sendiri sudah diizinkan dalam konfigurasinya.
Sebagai contoh, apabila sebuah packet-inspection firewall mengizinkan lalu lintas HTTP ke suatu web server yang menjalankan layanan web yang mempunyai lubang keamanan yang belum ditambal kebocorannya, maka seorang pengguna yang bisa saja iseng, mampu membuat eskploitasi untuk meruntuhkan web server karena memang web server yang bersangkutan memiliki celah atau lubang keamanan yang belum diperbaiki.
Untuk contoh atau kasus ini, web server pada akhirnya mengakibatkan proteksi yang ditawarkan oleh firewall menjadi tak berguna. Hal ini karena firewall tak mampu membedakan antara request HTTP yang mencurigakan atau tidak.
Terlebih, apabila firewall yang dipergunakan bukanlah application proxy. Maka dari itulah, sumber daya yang dilindungi harus dipelihara dengan melakukan suatu penambalan terhadap celah keamanan yang ada, selain tentunya dilindungi oleh firewall.
7. Mencegah Informasi Berharga Bocor Tanpa Sepengetahuan
Untuk fungsi yang satu ini, firewall banyak dipasang pada File Transfer Protocol (FTP), sehingga untuk lalu lintas data dikendalikan oleh adanya firewall tersebut.
Dalam hal ini, firewall memiliki manfaat dalam mencegah pengguna di dalam jaringan mengirimkan file berharga yang bersifat sangat rahasia (konfidensial) terhadap pihak lain.
8. Mencatat Segala Aktivitas atau Kegiatan Pengguna
Setiap kali akan mengakses data, pengguna di dalam jaringan tentu akan melalui firewall, yang selanjutnya mencatat sebagai dokumentasi atau disebut dengan log files, yang selanjutnya bisa dibuka catatan tersebut dalam mengembangkan sistem keamanan.
Firewall bisa mengakses data log, sekaligus juga menyediakan statistik tentang penggunaan jaringan.
9. Melakukan Modifikasi Paket Data yang Datang
Dikenal pula dengan istilah NAT atau singkatan dari Network Address Translation.
NAT dipergunakan dalam menyembunyikan suatu IP Address, sehingga membuat para pengguna bisa mengakses internet, tanpa IP Address publik, yang sering juga disebut dengan istilah IP Masquerading.
10. Mencegah Modifikasi Data dari Pihak Lain
Untuk urusan bisnis misalnya, informasi laporan keuangan, spesifikasi produk dan yang lain sebagainya yang menjadi rahasia dari perusahaan akan berdampak negatif apabila bisa diketahui oleh pihak lain yang tidak bersangkutan.
Firewall mampu mencegah modifikasi data-data itu sehingga tetap ada dalam keadaan yang aman.
Materi Firewall
Materi Sebelumnya | Mengupas Pengertian Firewall (Tembok Penahan Api) |
---|---|
Materi Selanjutnya | Sistem atau Cara Kerja Firewall |
Materi Lengkap | Pembahasan Firewall (Dari Awal Hingga Akhir) |
Advertisement