Firewall adalah sistem yang dirancang untuk mencegah akses tidak sah ke atau dari jaringan pribadi. Firewall dapat diimplementasikan pada perangkat keras, perangkat lunak, atau kombinasi keduanya. Ada beberapa jenis firewall, dan salah satunya adalah firewall "berstatus" o dengan pelacakan status.
Di akhir artikel Anda akan menemukan sedikit uji itu akan memungkinkan Anda menilai pengetahuan yang diperoleh dalam bacaan ini
Inspeksi negara, juga dikenal sebagai “pemantauan status” o “inspeksi kenegaraan” dalam bahasa Inggris, ini adalah teknik canggih yang digunakan dalam keamanan jaringan untuk meningkatkan efisiensi dan efektivitas firewall.
Inspeksi penuh keadaan
Firewall stateful tidak hanya memeriksa setiap paket data individual, namun juga menyimpan catatan status koneksi jaringan yang aktif.
Log ini dapat mencakup detail seperti alamat IP sumber dan tujuan, nomor port, nomor urut paket, stempel waktu, dan banyak lagi.
Berbeda dengan firewall tanpa pelacakan status (tanpa kewarganegaraan), yang memperlakukan setiap paket data sebagai transaksi terpisah, firewall stateful memahami bahwa paket data dikirim sebagai bagian dari koneksi jaringan.
Firewall ini dapat mengingat bahwa paket data masuk tertentu merupakan respons terhadap permintaan keluar yang telah dibuat sebelumnya.
Bagaimana Inspeksi Negara bekerja
Berikut adalah beberapa rincian tambahan tentang cara kerja pemeriksaan kesehatan:
1. Pembentukan koneksi
Ketika koneksi jaringan dimulai (misalnya, ketika pengguna dalam jaringan meminta halaman web), firewall mencatat rincian koneksi dalam tabel statusnya.
Informasi ini mencakup hal-hal seperti alamat IP komputer yang membuat permintaan, alamat IP halaman web yang diminta, dan nomor port yang digunakan.
2. Pemantauan koneksi
Ketika paket data terus mengalir melalui koneksi, firewall terus mencatat dan memperbarui rincian dalam tabel statusnya.
Hal ini dapat mencakup, misalnya, pelacakan nomor urut paket untuk memastikan paket tiba dalam urutan yang benar.
3. Pemutusan koneksi
Ketika koneksi jaringan ditutup (misalnya, ketika pengguna menutup halaman web yang mereka minta), firewall mengetahui bahwa koneksi telah dihentikan dan menghapusnya dari tabel statusnya.
La pemeriksaan kondisi memberikan sejumlah keuntungan untuk keamanan jaringan. Pertama, ini memungkinkan firewall untuk memblokir lalu lintas yang tidak diinginkan atau mencurigakan secara lebih efektif karena mereka dapat mengenali ketika paket data masuk tidak dikaitkan dengan koneksi jaringan yang valid.
Ini juga dapat membantu mendeteksi dan mencegah jenis serangan tertentu, seperti Serangan spoofing IP o los Serangan banjir SYN, yang mencoba mengeksploitasi cara koneksi jaringan dibuat.
Pada tingkat yang lebih teknis, firewall stateful memelihara a tabel status untuk melacak semua sesi komunikasi yang ada. Setiap sesi dicatat dengan rincian seperti alamat IP sumber dan tujuan, nomor port, nomor urut paket, dan cap waktu.
Catatan status koneksi (tabel status)
“Log status koneksi jaringan aktif,” juga dikenal sebagai meja negara firewall, adalah struktur data yang digunakan dalam firewall stateful untuk melacak detail semua koneksi jaringan yang melewati firewall.
Detail pasti yang dilacak dapat bervariasi menurut sistem, namun sering kali mencakup item berikut:
1. Alamat IP sumber
Ini adalah alamat IP mesin yang memulai koneksi. Dalam koneksi web biasa, ini adalah alamat IP pengguna yang meminta untuk melihat halaman web.
2. Alamat IP tujuan
Ini adalah alamat IP tujuan pengiriman koneksi. Dalam koneksi web biasa, ini adalah alamat IP server yang menghosting halaman web yang diminta.
3. Pelabuhan asal dan tujuan
Port adalah nomor yang mengidentifikasi proses spesifik yang berkomunikasi dalam mesin sumber dan tujuan. Port sumber ditetapkan secara acak oleh sistem yang memulai koneksi, sedangkan port tujuan umumnya berupa nomor standar yang sesuai dengan layanan jaringan tertentu (misalnya, port 80 untuk lalu lintas HTTP).
4. Nomor urut dan nomor pengakuan
Ini adalah nilai yang digunakan dalam protokol TCP untuk memastikan bahwa paket data tiba dalam urutan yang benar dan untuk mengonfirmasi penerimaan paket.
5. Bendera TCP
Flag TCP adalah bagian dari header paket TCP dan memberikan informasi tentang status koneksi. Flag yang umum termasuk SYN (sinkronisasi, untuk membuat koneksi), ACK (mengakui, untuk mengonfirmasi penerimaan paket), FIN (selesai, untuk menutup koneksi), dan RST (reset, untuk membatalkan koneksi).
6. Status koneksi
Ini adalah nilai yang menunjukkan apakah koneksi sedang dibuat, aktif, ditutup, dll.
7. Stempel waktu
Ini adalah stempel waktu yang menunjukkan kapan aktivitas terakhir terlihat pada koneksi. Ini berguna untuk menghapus koneksi menganggur dari tabel status.
Dengan mempertahankan hal ini tabel status, firewall stateful dapat memantau dan mengontrol lalu lintas jaringan dengan lebih efektif dibandingkan firewall stateless.
Hal ini sangat berguna untuk memblokir lalu lintas yang tidak diminta dari luar jaringan, memungkinkan respons terhadap permintaan yang dimulai dari dalam jaringan, dan mendeteksi serta mencegah jenis serangan tertentu.
Pelacakan kesehatan menyediakan a keamanan yang lebih besar daripada firewall stateless karena memiliki gambaran aktivitas jaringan yang lebih lengkap. Namun, hal ini juga dapat menghabiskan lebih banyak sumber daya komputasi, karena harus terus-menerus memelihara dan memperbarui tabel statusnya.
Inspeksi Paket Mendalam
Aspek tambahan yang dapat dipertimbangkan dalam firewall stateful adalah inspeksi paket mendalam (DPI), yang memungkinkan konten paket data itu sendiri diperiksa.
Hal ini dapat membantu mendeteksi jenis serangan tertentu yang tidak akan terlihat hanya dengan memantau status koneksi, seperti virus yang menyebar melalui lampiran email.
Singkatnya, firewall stateful adalah komponen penting dalam keamanan siber, yang memberikan pertahanan tingkat lanjut dengan mampu melacak seluruh kondisi koneksi jaringan dan mengambil keputusan berdasarkan konteks tersebut.
Apakah MikroTik merupakan firewall stateful?
Ya, router MikroTik yang menggunakan sistem operasi RouterOS mampu berfungsi sebagai stateful firewall.
MikroTik mengimplementasikan fungsionalitas pelacakan status melalui “Pelacakan Koneksi” (Pelacakan Koneksi).
El pelacakan koneksi Hal ini memungkinkan firewall untuk melacak status koneksi jaringan melalui router dan membuat keputusan penyaringan berdasarkan status koneksi. Ini mencakup detail seperti alamat IP sumber dan tujuan, port yang digunakan, status koneksi (misalnya, apakah koneksi baru sedang dibuat atau apakah ini adalah paket yang terkait dengan koneksi yang sudah ada), dan banyak lagi.
Bagaimana MikroTik mengimplementasikan firewall stateful?
Berikut adalah contoh bagaimana Anda dapat mengkonfigurasi firewall stateful pada router MikroTik:
1. Aktifkan pelacakan koneksi.
Pelacakan koneksi diaktifkan secara default di RouterOS, namun Anda dapat memeriksanya dan mengaktifkannya jika perlu dengan perintah berikut:
/ip firewall connection tracking set enabled=yes
2. Konfigurasikan aturan firewall
Untuk mengizinkan koneksi yang sudah ada dan terkait, dan untuk memblokir koneksi baru yang tidak dimulai dari dalam jaringan. Hal ini dapat dilakukan dengan perintah seperti berikut:
/ip firewall filter add chain=forward connection-state=established action=accept
/ip firewall filter add chain=forward connection-state=related action=accept
/ip firewall filter add chain=forward connection-state=new action=drop in-interface=wan
Dalam contoh ini, dua aturan pertama mengizinkan paket yang terkait dengan koneksi yang sudah dibuat atau koneksi terkait (misalnya, respons terhadap permintaan yang berasal dari dalam jaringan), sedangkan aturan terakhir memblokir upaya koneksi baru dari luar jaringan.
Ini hanyalah contoh bagaimana stateful firewall dapat dikonfigurasi di MikroTik. Konfigurasi sebenarnya dapat bervariasi tergantung pada kebutuhan jaringan tertentu.
Perlu dicatat bahwa aturan firewall harus direncanakan dan diuji dengan hati-hati, karena konfigurasi yang salah dapat membuat jaringan rentan atau mengganggu lalu lintas yang sah.