External Firewall

External Firewall | Firewall External yang menghadap ke Internet harus menggunakan fitur keamanan tertentu untuk merpertahankan diri dari serangan internet.

Semua firewall yang terhubung langsung ke Internet sebagai entry point harus di configure dengan sangat aman agar bisa diandalkan untuk melindungi asset terhadap segala macam serangan dari Internet. Semua jaringan atau bagian dari jaringan yang mempunyai entry point dan terhubung kepada jaringan public atau un-trusted network haruslah dipasang sebuah firewall dengan menerapkan configurasi policy keamanan yang sangat solid.

Jaminan bahwa sebuah firewall di configure dengan benar dan solid adalah merupakan suatu pertahanan keamanan infrastructure jaringan yang paling utama. Untuk alasan ini adalah sangat kritis bahwa semua perubahan konfigurasi firewall dilakukan oleh personel ahli dalam bidang keamanan jaringan dan secara regular di review untuk memastikan keamanan yang maksimal. System Firewall yang menghadap keluar internet haruslah menggunakan fitur keamanan tertentu untuk bertahan terhadap segala macam serangan dari internet. Firewall harus di configure “deny all” untuk semua traffic kecuali traffic yang secara explicit diijinkan.

Semua traffic yang diauthorisasi haruslah diberi hak berdasarkan karakteristik traffic dan didefinisikan dalam policy keamanan firewall. Firewall ini juga harus diconfigure untuk bisa bertahan terhadap segala macam teknik hacking, seperti IP spoofing.

Firewall juga harus menyembunyikan address internal jaringan private dan konfigurasi DNS dari internet. Jika informasi address internal ini diketemukan maka akan dapat digunakan oleh penyusup untuk menghasilkan suatu serangan DDOS. Proses dari penyembunyian IP address internal ini dilakukan dengan teknik Network Address Translation.

External Firewall
External Firewall Dengan Dua DMZ
System firewall haruslah dibangun secara off-line, tidak boleh melakukan konfigurasi firewall dalam keadaan On-line dan terhubung dengan Internet. Firewall juga secara fisik haruslah diletakkan pada lokasi yang sangat aman terhadap segala kemungkinan bahaya baik diakses oleh orang yang tidak authorized atau bahaya lingkungan yang menyebabkan kerusakan.

Standard minimum dan Rekomendasi

Guideline Standard keamanan firewall merekomendasikan syarat minimum yang harus diikuti yaitu seperti berikut:

1.      Semua perimeter router (router external didepan firewall) haruslah di configure untuk memberikan filter paket dasar menggunakan extended access-list. Hal ini memberikan mekanisme pertahanan garis depan terhadap segala serangan dari internet.
2.      Suatu firewall yang sesuai dengan yang digariskan pada guideline fungsional firewall haruslah digunakan sejalan dengan topology firewall dan policy keamanan yang sesuai (berdasarkan rule base).
3.      Semua traffic external (traffic public atau internet) harus melewati suatu firewall corporate. Tidak bpleh ada satupun titik point yang menuju keluar jaringan public tanpa adanya suatu gerbang firewall.
4.      Harus ada dokumen corporate yang mendefinisikan jenis traffic apa saja yang diperbolehkan melalui firewall yang menghadap keluar yang meliputi applikasi apa saja dan juga port apa saja, misal applikasi email dengan protocol SMTP dan PORT=25, applikasi WEB dengan port=80 dll. Port-2 ini harus didokumentasikan dan didefinisikan jika menghadap ke jaringan public.
5.      Semua firewall yang menghadap keluar jaringan public haruslah dikonfigure dimulai dengan DENY all dan hanya melewatkan traffic yang memang ada justifikasi perlu saja.
6.      Traffic haruslah didefinisikan secara individu ALLOWED (diijinkan) berdasarkan klasifikasi parameter, yang meliputi:
·         Jenis applikasi (protocol dan port)
·         Arah traffic (asal dan tujuan)
·         Action (Permit / Deny)
·         Kebutuhan authentication
·         Virus scanning (content filtering)
·         Logging level
7.      Semua firewall yang menghadap ke luar public tidak boleh mengexpose ke internet komponen-2 internal seperti IP address private jaringan kita dan juga IP address DNS kita. Penggunaan DNS terpisah untuk kebutuhan internal jaringan dan kebutuhan external adalah suatu keharusan. Misalkan untuk kepentingan resolusi name untuk public untuk website corporate adalah Guinea-Smelter.Com maka jangan menggunakan domain yang sama untuk jaringan internal, misalkan Rockwell.Guinea-Smelter.Com. hal ini untuk melindungi internal DNS dari resiko seperti serangan reconnaissance.Network Address Translation (NAT) harus digunakan untuk menyembunyikan IP address internal corporate.
8.      Semua traffic yang ber-resiko tinggi haruslah di logged dengan rincian yang memadai untuk membantu analisa masalah keamanan (hari\jam; IP address asal\tujuan; protocol\port).
9.      Firewall external haruslah dikonfigure dengan pemberitahuan peringatan dan kejadian (event and alert notification). Beberapa metoda pemberitahuan selayaknya dipakai sebagai peringatan dini yang dikirim ke staff ahli keamanan termasuk pemberitahuan lewat email, SMS, dll (biasanya dilakukan dengan SNMP traps).
10.  Semua system firewall haruslah mempunyai suatu strategy penyelamatan – disaster recovery planning jika terjadi suatu bencana. Semua harus mempunyai dokumentasi, up-to-date dan di test secara berkala.
11.  Firewall haruslah di pelihara dan di manage administrasinya oleh tenaga ahli dalam bidang keamanan jaringan. Konfigurasi firewall tidak boleh di lakukan oleh tenaga yang bukan ahlinya ataupun unauthorized person.
12.  External firewall harus lah dikonfigure untuk anti-spoofing dengan metoda NAT masquerading untuk bertahan terhadap ancaman keamanan berbasis IP.
13.  Semua konfigurasi external firewall haruslah di test dan di validasi sebelum di running dalam production.
14.  Saat melakukan konfigurasi atau maintenance firewall external haruslah dalam keadaan offline, tidak boleh saat membangun konfigurasi firewall – jairngan kita di expose ke internet.
15.  Secara fisik, firewall external haruslah aman dari akses tangan-2 tak bertanggung-jawab.

Inilah guidelines yang harus diterapkan pada external firewall untuk jaringan corporate yang sangat kritis untuk di expose ke public. Dengan tidak mengikuti guidelines ini, suatu bisnis dalam organisasi anda ber resiko meng-ekspos kerentanan keamanan jaringan kita yang mengakibatkan kompromi keamanan dalam jaringan private.

0 komentar:

Post a Comment