Categories
Uncategorized

Arsitektur Firewall

Arsitektur Firewall

Arsitektur Firewall dapat dikonfigurasi dengan banyak cara, menggunakan komponen yang berbeda, mencapai tingkat keamanan yang berbeda dengan biaya pemasangan dan pemeliharaan yang berbeda. Keputusan ini akan tergantung pada kebutuhan dan evaluasi biaya / manfaat dari implementasi tersebut.

Gerbang level sirkuit dan aplikasi serta teknologi pemfilteran paket adalah komponen penting dari solusi firewall.

Pemfilteran paket memungkinkan Anda mengontrol lalu lintas jaringan secara efisien dan transparan. Dampak yang ditimbulkan oleh pengenalannya pada arsitektur jaringan adalah minimal, karena tidak memerlukan perubahan besar dalam konfigurasi perangkat jaringan. Mereka menawarkan perlindungan di tingkat transportasi dan jaringan.

Gerbang level sirkuit dan aplikasi memperluas perlindungan filter paket karena keduanya memiliki pengetahuan tentang protokol yang beroperasi pada lapisan transport, sehingga mereka dapat mengimplementasikan mekanisme pada level yang lebih terperinci.

Arsitektur utama dari pendekatan tepi dan beberapa variasinya ditampilkan di bawah ini:

Arsitektur pemfilteran router

Dalam konfigurasi ini, firewall terdiri dari satu router yang melakukan fungsi penyaringan paket. Ini adalah salah satu strategi termudah untuk diterapkan. Router memiliki dua antarmuka jaringan, satu terhubung ke jaringan internal dan yang lainnya terhubung ke jaringan eksternal. Ini memotong semua lalu lintas (masuk dan keluar) dan mengarahkannya ke penerima sesuai dengan aturan pemfilteran.

Host di jaringan internal berkomunikasi satu sama lain secara langsung, sedangkan komunikasi antara host di jaringan pribadi dan jaringan publik dibatasi pada paket yang diizinkan oleh router (sesuai dengan seperangkat aturan kontrol yang mencerminkan kebijakan keamanan).

Ini adalah pengaturan yang baik untuk garis pertahanan pertama firewall, tetapi untuk solusi yang pasti. Dalam konfigurasi ini, keamanan seluruh jaringan sepenuhnya bergantung pada aturan yang ditentukan di router. Jika penyerang berhasil memasuki sistem ini, dia akan memiliki akses ke seluruh jaringan internal. Juga, strategi ini membuat tidak mungkin untuk menyembunyikan alamat IP dari jaringan internal dan kemampuan pemantauan dan pencatatan tidak terlalu baik.

Arsitektur rumah ganda

Dalam arsitektur ini, firewall terdiri dari satu bastion host dual-home yang akan menerapkan pemfilteran jaringan dan aplikasi. Sistem ini memiliki dua antarmuka jaringan, di mana setiap antarmuka terhubung secara logis dan fisik ke segmen jaringan yang berbeda dan terpisah. Satu antarmuka jaringan terhubung ke jaringan eksternal yang tidak tepercaya (seperti Internet), yang lainnya terhubung ke jaringan pribadi.

Prinsip keamanan utama arsitektur ini adalah tidak mengizinkan lalu lintas jaringan dari jaringan eksternal untuk dirutekan langsung ke jaringan internal. Firewall harus, dalam semua kasus, bertindak sebagai perantara. Itulah sebabnya dalam sistem ini, fungsi perutean dinonaktifkan, sehingga host mengisolasi dua jaringan satu sama lain dengan memblokir semua paket IP yang ditangkapnya. Sistem yang terhubung ke setiap sisi host tidak dapat berkomunikasi secara langsung tetapi melalui host.

Ada dua cara di mana bastion host menyediakan layanan

Jika pengguna di jaringan lokal memiliki akun di bastion host, mereka mengizinkan mereka masuk untuk menggunakan layanan Internet. Aspek ini menghadirkan risiko keamanan yang serius karena perlindungan bergantung pada pengguna yang memilih kata sandi yang benar. Jika pengguna eksternal dapat masuk, mereka mendapatkan akses ke seluruh jaringan lokal.

Alternatifnya adalah tuan rumah menjalankan layanan proxy untuk setiap layanan yang ingin diizinkan, dengan cara ini pengguna bebas dari tanggung jawab atas keamanan jaringan.

Host ini dapat memberikan kontrol tingkat tinggi dengan mengizinkan host internal untuk berkomunikasi hanya dengan host ini. Host ganda rumah dapat menolak koneksi berdasarkan data yang dikandungnya. Meskipun banyak pekerjaan yang dibutuhkan untuk mencapai potensi penuh dari pengaturan ini.

Dalam arsitektur ini, perangkat ini sangat penting untuk keamanan jaringan, karena merupakan satu-satunya sistem yang dapat diakses (dan diserang) dari Internet, sehingga harus memiliki tingkat perlindungan yang tinggi tidak seperti kebanyakan sistem lainnya. host jaringan. intern. Karena itulah tuan rumah ini sering disebut bastion. Jumlah minimum perangkat lunak yang diperlukan harus diinstal pada host ini untuk mengurangi risiko gangguan.

Menerapkan layanan proxy menawarkan keunggulan dibandingkan pemfilteran paket, tetapi mungkin tidak tersedia untuk semua orang.

Arsitektur ini jauh lebih aman daripada yang sebelumnya, tetapi bahkan jika bastionnya rusak, seluruh jaringan lokal dibiarkan tidak terlindungi.

Arsitektur Host yang Diproyeksikan

Arsitektur Screened Host memiliki firewall yang terdiri dari router untuk packet filtering dan bastion host untuk menyaring koneksi di sirkuit dan level aplikasi. Garis perlindungan pertama yang sesuai dengan router dengan packet filtering, bastion host terhubung ke jaringan internal hanya sebagai host lain.

Router dikonfigurasi untuk mengatur semua lalu lintas yang datang dari jaringan eksternal ke bastion host, jadi ini adalah satu-satunya yang dapat diakses langsung dari luar jaringan lokal, oleh karena itu, bastion harus sangat dilindungi. Demikian juga, yang terakhir mengatakan semua lalu lintas yang datang dari jaringan internal ke router sehingga satu-satunya yang dapat membuat koneksi dengan luar. Selain itu, bastion hanya mengizinkan jenis koneksi dan protokol tertentu.

Router penyaringan paket dapat diatur dengan berbagai cara

Izinkan host internal tertentu untuk membuka koneksi Internet untuk layanan tertentu;

Nonaktifkan semua koneksi dari host internal dengan hanya mengaktifkan bastion host untuk membuat koneksi ini;

Mungkin juga beberapa paket dikirim, oleh router, langsung ke host internal.

Aspek-aspek ini bergantung pada kebijakan keamanan yang dipilih.

Berkat kemungkinannya, arsitektur ini lebih fleksibel dan memungkinkan beberapa layanan yang tidak didukung oleh proxy dapat dihubungi langsung oleh router ke host internal.

Ya, bastion memblokir semua lalu lintas antara jaringan eksternal dan jaringan lokal, ini disembunyikan dari host eksternal mana pun.

Seperti pada arsitektur sebelumnya, bastion mengelola koneksi melalui aplikasi proxy. Host di jaringan lokal dikonfigurasi untuk menangani semua permintaan ke server proxy, di bastion host, untuk berkomunikasi dengan jaringan eksternal.

Arsitektur ini lebih aman dan menambahkan lapisan keamanan ke arsitektur sebelumnya: penyerang harus melalui router terlebih dahulu dan kemudian melalui bastion host (tentu saja, ini selalu bergantung pada penggunaan kebijakan keamanan yang dirancang dengan benar).

Di sisi lain, arsitektur ini memiliki kelemahan: jika penyerang berhasil menerobos bastion host, mereka dapat memiliki akses ke seluruh jaringan internal.

Dalam model yang disajikan, bastion host terhubung ke jaringan sebagai host lain. Sebuah host dapat dikonfigurasi untuk terhubung ke router dan jaringan internal melalui antarmuka jaringan yang berbeda; ini menciptakan pembagian fisik antara jaringan internal dan router.
Arsitektur subnet yang difilter

Risiko yang ada di arsitektur sebelumnya dari bastion host yang dikompromikan dapat dikurangi dengan mengkonfigurasi jaringan perimeter yang terhubung dengannya. Jaringan ini sering disebut Zona Demiliterisasi.

Untuk mencapai arsitektur ini, router penyaringan paket diperkenalkan antara bastion host dan jaringan internal, sehingga bastion host akan berada di antara dua router (internal dan eksternal, satu antara jaringan perimeter dan jaringan eksternal dan yang lainnya. berada di antara jaringan perimeter dan jaringan internal) dan akan disambungkan ke segmen jaringan yang berbeda dari yang tersambung ke host jaringan pribadi. Dengan konfigurasi ini, tidak ada kerentanan yang mengganggu seluruh jaringan internal.

Dengan arsitektur ini, lapisan keamanan baru ditambahkan ke arsitektur sebelumnya yang mengisolasi jaringan lokal dari Internet. Dengan mengisolasi bastion host dalam jaringan perimeter, dampak serangan bastion tersebut dapat dikurangi.

Jika penyerang berhasil melewati perlindungan bastion host, mereka hanya dapat mengakses jaringan perimeter karena jaringan internal masih dilindungi oleh router internal. Dengan cara ini, penyerang hanya akan memiliki akses ke jaringan perimeter, menyembunyikan semua lalu lintas dari jaringan lokal.

Arsitektur ini adalah yang paling aman dari yang disajikan sejauh ini karena jaringan perimeter mendukung aspek keamanan di tingkat jaringan dan aplikasi, serta menyediakan tempat yang aman untuk menghubungkan server publik. Jaringan ini membentuk lapisan keamanan tambahan, antara jaringan eksternal dan jaringan internal yang dilindungi. Jika penyerang melanggar bastion host di jaringan perimeter, mereka hanya dapat melihat lalu lintas di jaringan tersebut. Semua lalu lintas di jaringan ini harus ke atau dari bastion host, atau ke dan dari jaringan eksternal. Karena lalu lintas jaringan internal melewati jaringan perimeter, Anda aman dari “diganggu” oleh penyusup, bahkan jika bastion host dikompromikan.

Router eksternal memberikan perlindungan terhadap serangan dari jaringan eksternal dan mengelola akses Internet ke jaringan perimeter. Dengan cara ini, ia melindungi jaringan perimeter dan jaringan internal.

Categories
Uncategorized

Hello world!

Welcome to BLOG MAHASISSWA UNIVERSITAS MEDAN AREA. This is your first post. Edit or delete it, then start writing!