2.0 Apa Itu Firewall?

Firewall merupakan satu proses yang menapis semua trafik di antara rangkaian yang dikawal iaitu rangkaian dalaman dengan mana-mana rangkaian luaran. Tujuan utama firewall digunakan adalah untuk memastikan sumber-sumber yang tidak dipercayai yang berada di luar rangkaian daripada memasuki persekitaran rangkaian dalaman.
Secara umumnya bolehlah kita katakan bahawa firewall mengimplementasikan polisi keselamatan rangkaian. Polisi keselamatan rangkaian ini mungkin dalam bentuk halangan pengaksesan maklumat dalaman oleh orang atau sumber luaran. Dalam situasi ini, mereka-mereka yang berada dalam rangkaian dalaman masih boleh mengakses sumber-sumber luaran. Dalam bentuk yang lebih fleksibel, sesetengah firewall mungkin dapat membenarkan pengaksesan atau pencapaian maklumat dalaman dari tempat tertentu, pengguna tertentu untuk tujuan aktiviti yang tertentu.
Komuniti firewall bergantung kepada sifat-sifat ataupun polisi keselamatan yang dilaksanakan oleh firewall tersebut. Maka, salah satu cabaran besar dalam perlindungan rangkaian ialah menentukan bentuk polisi keselamatan yang memenuhi keperluan pemasangannya. Maka, implementasi firewall perlulah memilih sifat komuniti firewall yang sesuai yang dapat mencapai maksud keselamatan rangkaian bagi sesuatu organisai tersebut.

3.0 Jenis-jenis Firewall

Terdapat 3 jenis firewall yang utama iaitu:
1. Screening Routers.
2. Proxy Gateways.
3. Guards (hybrid).
3.1 Screening Routers
Screening routers merupakan firewall yang paling ringkas dan pada sesetengah situasi ia merupakan jenis firewall yang paling efektif.
Host biasanya tidak disambungkan terus kepada Wide Area Network (WAN), sebaliknya ia disambungkan kepada router, sejenis peranti yang akan menentukan laluan komunikasi ke destinasinya. Router hanya menjalankan tugas mudah iaitu menerima setiap packet, menyimpan dan mengemaskini data routing table dan seterusnya menghantar packet tersebut kepada salah satu daripada beberapa port fizikal yang akan menghantar packet tersebut ke destinasinya.
Router biasanya berfungsi pada kedua-dua arah iaitu menghantar packet ke kiri dan ke kanan rangkaian. Ini bermakna router akan menerima packet dari Local Area Network (LAN) dan mengagihkannya sama ada ke Wide Area Network 1 atau Wide Area Network 2, ia juga akan menerima packet dari kedua-dua Wide Area Network (WAN) dan membenarkan packet mengandungi alamat rangkaian dalaman untuk melaluinya.
Sebagai contoh, katakan sebuah syarikat antarabangsa mempunyai 3 LAN di beberapa lokasi di seluruh dunia. Dalam contoh ini, router tersebut mempunyai dua bahagian, kita katakan yang LAN tempatan berada di bahagian dalam router dan 2 LAN yang lain yang berada dalam persekitaran Wide Area Network yang berada di luar router. Syarikat tersebut mungkin hanya membenarkan komunikasi di antara LAN milik syarikat tersebut. Oleh itu mereka boleh menggunakan screening router LAN pada 100.24.4.0 untuk hanya membenarkan masuk komunikasi yang didestinasikan pada host 100.24.4.0 dan hanya membenarkan keluar alamat komunikasi yang dialamatkan kepada 144.27.5.3 atau 192.19.33.0.
Penapisan peringkat packet (packet level filtering) beroperasi secara amat terperinci. Packet merupakan subunit kecil kepada komunikasi, biasanya dalam bentuk beberapa ratus byte dan router dapat menapis beribu packet dalam masa satu saat. Maka, bentuk screening yang akan dilaksanakan perlulah membolehkan router memeriksa dengan cepat tanpa memberi kesan atau menghalang perjalanan komunikasi data. Selain itu, router juga telah direkabentuk untuk memeriksa maklumat pada header sahaja. Bergantung kepada protokol, header biasanya mengandungi maklumat seperti alamat sumber, alamat destinasi, protokol, port sumber, port destinasi, panjang packet, sequencing, priority dan maklumat pembetulan ralat. Jadi hanya maklumat-maklumat tersebut sahaja yang dapat ditapis oleh router.

Screening routers juga boleh mengawal traffic melalui aplikasi. Alamat yang dihantar oleh router merupakan kombinasi kepada alamat rangkaian dan dan nombor port aplikasi. Aplikasi yang standard seperti FTP (file transfer protocol) atau SMTP (simple mail transfer protocol), mempunyai nombor port yang standard (nombor port 21 bagi FTP dan 25 bagi SMTP). Alamat destinasi dan sumber bagi packet sebenarnya turut mewakili nombor port. Contohnya, alamat 100.50.25.325 merupakan penyambungan SMTP pada host 100.50.25.3. Dalam kes ini, sebagai contohnya screening router boleh dikonfigurasikan untuk membenarkan packet dari dalam sahaja ke luar rangkaian untuk perpindahan mel.

3.2 Proxy Gateway
Screening routers tidak melihat kepada data di dalam packet sebaliknya hanya memeriksa header pada packet. Oleh itu, screening router akan melepaskan apa sahaja maklumat ke port 25, berdasarkan arahan screening rules yang membenarkan inbound connection kepada port tersebut. Aplikasi adalah bersifat kompleks, dan kadang kala mengandungi ralat. Lebih menyukarkan, aplikasi (seperti agen penghantar e-mail) seringkali bertindak bagi pihak semua pengguna. Oleh itu, mereka memerlukan keistimewaan yang dimiliki pengguna contohnya untuk menyimpan incoming mail messages supaya pengguna dalaman dapat membaca mesej tersebut. Aplikasi yang cacat yang dilaksanakan dengan keistimewaan semua pengguna boleh menyebabkan kerosakan.
Proxy gateway yang juga dikenali dengan nama bastion host, merupakan firewall yang mensimulasikan kesan yang betul pada aplikasi supaya aplikasi tersebut akan menerima hanya permintaan untuk bertindak dengan betul. Proxy gateway juga melaksanakan aplikasi pseudo. Contohnya, apabila mel elektronik dipindahkan ke sesuatu lokasi, proses penghantaran pada satu site dan proses menerima pada destinasi dikomunikasikan oleh satu protokol yang mengesahkan pemindahan mel dan kemudiannya secara fizikalnya memindahkan mesej mel tersebut. Protokol di antara penghantar dan destinasi, didefinasikan secara berhati-hati. Proxy gateway kemudiannya akan berada di tengah-tengah pertukaran protokol ini. Ia akan kelihatan seolah-olah destinasi dalam komunikasi dengan penghantar berada di luar firewall dan kemudian kelihatan seolah-olah seperti penghantar dalam komunikasi di mana destinasi sebenar berada di dalam.

Proxy ini mempunyai peluang untuk menapis perpindahan mel bagi memastikan hanya arahan protokol mel elektronik yang dapat diterima sahaja dihantar ke destinasi.
Untuk memahami lagi tujuan sebenar proxy gateway, mari kita lihat contoh berikut:
• Sebuah syarikat ingin membangunkan sebutharga secara online supaya pengguna dan pembeli luaran dapat melihat produk dan harga yang ditawarkan. Ia ingin memastikan tidak ada pengguna yang dapat menukar harga atau senarai produk yang ditawarkan. Ini bermakna pengguna hanya dapat mencapai maklumat sebutharga sahaja bukannya fail yang disimpan.
• Sebuah sekolah ingin membenarkan pelajarnya mendapatkan maklumat dari sumber World Wide Web di Internet. Untuk membantu pihak sekolah menyediakan perkhidmatan yang berkesan, mereka ingin mengetahu site mana yang telah dilawati oleh pelajar mereka dan fail apakah dari site tersebut yang disalin (copy) .
• Sebuah agensi kerajaan telah membangunkan satu maklumat statistik untuk faedah rakyat negara tersebut. Mereka menyediakan maklumat ini hanya untuk kegunaan rakyat negara tersebut. Menyedari bahawa mereka tidak dapat menghalang rakyat negara tersebut dari mengedarkan atau menyebarkan maklumat tersebut kepada rakyat asing, bagi kerajaan mengimplementasikan satu polisi iaitu membenarkan data dipindahkan hanya kepada alamat destinasi di dalam negara tersebut.
• Sebuah syarikat dengan yang mempunyai beberapa pejabat cawangan ingin mengengkrip data pada semua mel elektronik yang dialamatkan kepada pejabat cawangan mereka.
• Sebuah majikan ingin membenarkan capaian secara dial-in oleh pekerja mereka tanpa menyebabkan sumber syarikat mereka tersebar kepada serangan login oleh mereka yang bukan dari kalangan pekerja syarikat tersebut.
Kesemua keperluan yang dinyatakan dalam contoh di atas boleh dilaksanakan oleh proxy. Dalam kes pertama, proxy boleh memantau data file transfer protocol (FTP) bagi memastikan hanya sebutharga sahaja yang diakses dan fail tersebut hanya boleh dibaca tetapi tidak boleh diubahsuai.
Walaubagaimanapun, secara tipikalnya, proxy firewall merupakan mesin yang mempunyai kebolehan yang terhad. Ia tidak membenarkan pengguna login pada firewall machine, ia juga tidak mempunyai tools untuk pengaturcaraan seperti compiler atau linker dan ia juga tidak mempunyai perisian/program terhadap tujuannya yang terhad. Dengan memiliki perisian yang minimum, ia mempunyai beberapa kemungkinan berlakunya kecacatan atau ralat dan menawarkan sokongan yang kecil kepada penyerang yang mungkin melawatnya.
Walaubagaimanapun, proxy pada firewall boleh dikonfigurasikan untuk memenuhi keperluan tertentu seperti merekod maklumat lengkap tentang pengaksesan data. Ia juga boleh mengemukakan antara muka pengguna yang biasa yang mungkin tidak sama dengan fungsi dalamannya. Katakan sebuah rangkaian dalaman mempunyai campuran pelbagai jenis sistem pengoperasian, di mana tidak ada satupun yang menyokong pengenalan lengkap menggunakan challenge respon token. Proxy boleh menyokong strong authentication tersebut (nama, kata laluan (password) dan challenge - respone) dan mengesahkan sendiri challenge-response tersebut, dan hanya membenarkan penghantaran nama mudah dan pengesahan terperinci kata laluan di dalam borang yang diperlukan oleh sistem pengoperasian hos dalaman yang tertentu.
Kelebihan proxy gateway berbanding screening routers adalah proxy firewall menterjemah aliran protokol kepada bentuk aplikasi bagi mengawal aktiviti yang melalui firewall pada perkara yang wujud bersama protokol bukan sekadar memeriksa external header data semata-mata.

3.3 Guard
Guard merupakan proxy firewall yang sofistikated. Seperti proxy firewall, ianya menerima unit protokol data, menterjemahkannya dan dihantar menggunakan unit protokol data yang sama atau yang berbeza yang akan mencapai keputusan yang sama ataupun keputusan yang diubahsuai. Guard akan menentukan jenis perkhidmatan yang akan dilaksanakan bagi pihak pengguna berdasarkan pengetahuan yang dimikinya. Darjah kawalan yang mampu disediakan oleh guard adalah terhad kepada kemampuan pengkomputeran. Selain itu, tiada satu definasi yang jelas dan standard tentang bagaimana tahap sofistikatednya sesuatu proxy firewall sehingga ia boleh digelar guard.
Walaubagaimanapun, berikut adalah contoh aktiviti guard yang sofistikated:
• Sebuah universiti ingin menghadkan penggunaan e-mail oleh pelajarnya kepada beberapa mesej yang tertentu atau pada kadar character yang tertentu. Walaupun fungsi ini boleh dilaksanakan dengan cara mengubahsuai e-mail handlers, tetapi ianya lebih mudah dengan memantau tempat di mana semua e-mail melaluinya iaitu mail tansfer protocol.
• Sebuah sekolah ingin membenarkan para pelajarnya untuk mengakses World Wide Web tetapi kerana kelajuan penyambungan yang rendah, ia hanya membenarkan penerimaan beberapa character tertentu bagi setiap imej yang dibeban kebawah iaitu membenarkan penerimaan mod teks dan grafik mudah tetapi tidak membenarkan grafik yang kompleks, animasi, muzik atau sebagainya.
• Sebuah perpustakaan ingin membenarkan capaian kepada dokumen-dokumen yang dimilikinya. Tetapi bagi memastikan keadilan berkaitan penggunaan hakcipta, perpustakaan tersebut hanya membenarkan capaian bagi beberapa character tertentu bagi setiap dokumen. Capaian melebihi jumlah character yang dibenarkan akan dicaj dan akan diserahkan kepada pemegang hakcipta.
• Sebuah syarikat ingin membenarkan para pekerja untuk menggunakan kemudahan protokol pemindahan fail (file transfer protocol). Bagaimanapun, bagi mengelakkan kemungkinan virus, ia hanya akan membenarkan fail yang melalui pengimbas virus.
Setiap contoh di atas, boleh diimplementasikan menggunakan proxy yang diubahsuai, tetapi disebabkan keputusan yang dilaksanakan oleh proxy adalah berdasarkan kualiti data komunikasi maka kita mengistilahkan proxy tersebut sebagai guard. Memandangkan polisi keselamatan yang diimplementasikan oleh guard adalah lebih kompleks dari proxy maka kod yang digunakan oleh guard juga lebih kompleks dan ini menyebabkan kemungkinan berlakunya ralat lebih tinggi. Firewall yang lebih ringkas dan mudah mempunyai kemungkinan yang kecil untuk mengalami ralat atau kerosakan.

4.0 Komponen Firewall
Terdapat empat komponen asas firewall yang terdiri daripada:
• Network policy
• Advanced authentication mechanism
• Packet filtering
• Application gateways
4.1 Network Policy
Terdapat dua level network policy yang mempengaruhi rekabentuk, proses pemasangan dan penggunaan sistem firewall. Level paling atas ialah isu spesifik dan polisi capaian rangkaian. Ianya mentakrifkan batasan dan bagaimana perkhidmatan boleh digunakan dan situasi yang sesuai utk menggunakannya. Level dibawahnya pula menerangkan bagaimana firewall membataskan capaian dan menapis perkhidmatan yang dikenalpasti dalam level diatasnya. Secara umumnya terdapat dua polisi yang mempengaruhi network policy iaitu Service Access Policy dan Firewall Design Policy. Service Access Policy memfokuskan kepada kegunaan Internet-spesifik untuk meluaskan polisi pengorganisasian secara keeluruhannya. Manakala Firewall Design Policy lebih spesifik kepada firewall. Ia mentakrifkan peraturan yang digunakan untuk mengimplementasikan polisi capaian perkhidmatan.

4.2 Advance Authentication Mechanism
Advance Authentication Mechanism merupakan kaedah pengenalan seseorang pengguna. Ianya direkabentuk untuk mengenalpasti pengguna bagi memastikan ianya adalah pengguna yang sah biasanya berdasarkan katalaluan yang tertentu. Contoh yang biasa kita lihat adalah seperti one time password system, smart card atau authentication token.

4.3 Packet Filtering
IP Packet Filtering direkabentuk untuk menapis packet yang melalui antaramuka router menggunakan packet filtering router. Packet filtering biasanya boleh menapis IP paket berdasarkan syarat-syarat seperti IP address sumber, IP address destinasi, TCP/UDP source port dan TCP/UDP destination port.

4.4 Application Gateway
Merupakan aplikasi perisian yang biasanya digunakan untuk menapis perkhidmatan perhubungan seperti telnet dan ftp (file transfer protocol). Ianya juga boleh digabungkan dengan packet filtering router untuk menghasilkan level tertinggi dalam keselamatan dan lebih fleksebiliti daripada digunakan secara berasingan.

5.0 Aplikasi Firewall dalam Senibina Keselamatan Sistem Pengoperasian UNIX
Berikut adalah model senibina keselamatan UNIX yang diilustrasikan oleh Robert B. Reinhardt yang mengaplikasikan firewall dalam sistem keselamatannya. Ianya adalah berdasarkan kepada penyambungan UNIX - Internet.


6.0 Apa yang boleh ditapis dan apa yang tidak boleh ditapis oleh Firewall?
• Firewall hanya boleh protect sesuatu persekitaran itu jika ia mengawal keseluruhan perimeter. Ini bermakna, firewall tidak boleh mengawal pengguna atau data yang tidak berada dalam persekitaran parameternya.
• Firewall tidak boleh mengawal sesuatu yang berlaku selepas pengguna telah melepasi authentication dan pemeriksaan capaian.

7.0 Kebaikan Firewall
• Melindungi dari perkhidmatan yang sensitif.
Firewall boleh meningkatkan keselamatan rangkaian dan mengurangkan risiko uantuk host dalam subnet dengan melaksanakan filter pada perkhidmatan yang tidak selamat.
• Mengawal capaian site sistem.
Firewall juga menyediakan kebolehan mengawal capaian kepada site sistem.
• Tumpuan keselamatan.
Firewall boleh mengurangkan kos organisasi memperbaiki perisian dan menambah keselamatan perisian yang boleh diletakkan dalam sistem firewall untuk mengelakkan daripada dibahagikan kepada beberapa host. Contohnya, perisian 'one time password system' dan 'add-on authentication' boleh diletakkan pada firewall untuk mengelakkan setiap sistem yang diperlukan dicapai dari internet.
• Logging dan statistik dalam rangkaian yang digunakan dan tidak digunakan.
Jika capaian ke Internet atau dari Internet dibuat melalui firewall, firewall akan mencapai log dan menyediakan nilai statik tentang rangkaian yang digunakan.
• Policy Enforcement.
Firewall menyediakan perlaksanaan dan memaksa rangkaian mencapai polisi. Kesannya, firewall mewujudkan kawalan capaian kepada pengguna dan perkhidmatan. Apabila polisi capaian rangkaian boleh dilakukan oleh firewall, maka walaupun tanpa firewall, polisi boleh bergantung kepada kerjasama pengguna.

8.0 Masalah yang berkaitan dengan firewall
• Menyekat capaian yang diingini
Firewall boleh menghalang sesetengah perkhidmatan yang dikehendaki seperti Telnet, FTP dan X Windows. Bagaimanapun capaian rangkaian boleh menyekat pada paras host dengan baik, bergantung kepada polisi keselamatan site.
• Berpotensi besar untuk back door
Firewall tidak menghalang back door dalam site. Contohya, jika modem yang tidak menyekat capaian sentiasa dibenarkan masuk ke dalam site yang dilindungioleh firewall, pihak luar boleh memasuki firewall dengan mudah.
• Sedikit perlindungan daripada pihak dalaman
Firewall tidak dapat menyediakan perlindungan daripada ancaman dalaman. Semasa firewall mengawal pengguna dari luar daripada mencapai maklumat yang sensitif, firewall tidak dapat mengawal pihak dalaman daripada menyalin data tersebut dan membawanya keluar dari rangkaian.

9.0 Isu-isu yang berkaitan

• Pemberi maklumat dan pelanggan seperti WWW dan GOPHER tidak direkabentuk untuk berfungsi dgn baik dalam polisi firewall. Maka potensi untuk orang luar masuk adalah mudah.
• Multicast IP Transmission (MBONE) untuk video dan suara di’encapsulate’ dalam packet lain. Firewall secara keseluruhannya akan menghantar packet tanpa memeriksa kandungan packet. Penghantaran MBONE berfungsi untuk mengancam rangkaian sekiranya packet mengandungi arahan untuk mengubah kawalan keselamatan dan membenarkan pencerobohan.
• Firewall tidak menghalang pengguna download program dari internet ke komputer peribadi. Oleh kerana program boleh di encode atau di mampat dalam pelbagai cara, firewall tidak boleh meneliti untuk mengesan virus dengan tepat. Masalah virus akan sentiasa wujud dan mesti diatasi dengan polisi kawalan anti-virus.
• Firewall berpotensi menyebabkan bottleneck di mana semua perhubungan mesti melalui dan sesetengah kes akan diperiksa oleh firewall. Walaubagaimanapun, secara umumnya, ini bukanlah satu masalah besar kerana firewall boleh melepasi data pada kadar T1 (1.5 megabit/saat).
• All egg in single basket - Sistem firewall memberi perhatian keselamatan sebagai menghalang dari diagih di kalangan sistem. Firewall boleh memberikan kesan kepada sistem lain yang kurang perlindungan dalam subnet.

10.0 Kesimpulan
Daripada apa yang telah dikaji, didapati agak sukar untuk memilih pendekatan firewall yang terbaik memandangkan terdapat banyak faktor yang perlu diambil kira. Faktor-faktor ini termasuklah seperti kos, polisi syarikat, teknologi rangkaian yang sedia ada, kemahiran pekerja yang dimiliki serta politik intra organisasi. Namun, apa yang pasti, penggunaan firewall amat penting dalam sistem rangkaian bagi mengelakkan sesuatu pencerobohan berlaku. Walaubagaimanpun, pengimlementasiannya perlulah dilakukan dengan berhati-hati bagi memastikan matlamat polisi keselamatan sesuatu organisasi itu tercapai.

Bibliografi
Andrew S. Tanenbaum. (1996) Computer Networks (3rd edition). New Jersey: Prentice
Hall.
Charles P. Pfleeger. (1997) Security In Computing (2nd edition). Prentice Hall.
S Walker. (1985) Network Security Overview. (1st edition) Comp Socs Press

Lampiran

Kesan Firewall kepada beberapa jenis aplikasi


Metodologi percubaan firewall



Trend firewall masakini dan jangkaan masa depan





Teknologi Firewall