Mengatur Konfigurasi Firewall Secara Optimal

05.07 / Diposting oleh Sistem Informatika /

Dalam bagian pertama ini CHIP akan menunjukkan bagaimana mengatur konfigurasi dengan sempurna dan apa saja efek dari setiap setting yang ada. Sebagai pokok bahasan digunakan Sygate Personal Firewall.

FAKTOR PROTEKSI: 80%

Menyesuaikan Setting Standar

Dengan setting standar, firewall Anda hanya memproteksi PC dari serangan web secara terbatas. Anda harus menyesuaikannya secara manual dengan lingkungan spesifik software dan hardware yang dimiliki. Begini caranya.

Buka firewall dengan mengklik ganda icon di SysTray lalu pilih menu 'Tools | Options'. Dalam tab 'Network Neighborhood', pilih network card yang digunakan. Jika PC harus dapat dicapai dalam LAN, tandai kedua checkbox yang ada. Jika tidak diberi tanda, firewall akan memblokir setiap lalu-lintas lokal, misalnya akses ke file, folder, atau printer yang digunakan bersama.

Di bawah 'Security', aktifkan option keamanan dasar, yaitu 'Intrusion Detection Service' (IDS) dan pengenalan DoS (Denial-of-Service). Kedua pilihan ini hanya tersedia dalam versi Pro. Tandai checkbox 'Enable DLL authentication' dan 'Automatically allow known DLLs' untuk memperkuat proteksi.

Latar belakang: IDS mencari aktivitas mencurigakan dalam semua data yang masuk, serupa dengan 'tameng' virus. Ketika mengenali serangan hacker atau virus, ia akan memblokirnya. Salah satu contohnya adalah pengawasan layanan Distributed Component Object Model (DCOM) yang memungkinkan software menggunakan layanan melalui jaringan, misalnya printer jaringan.

Celah keamanan dalam layanan Remote Procedure Call (RPC) adalah salah satu layanan DCOM yang digunakan Sasser-worm sebagai gerbang masuk. Jika Anda telah melakukan setting seperti di atas, Sasser tidak memiliki kesempatan untuk masuk. Firewall mampu mengenali sebuah serangan dan secara otomatis ia akan memblokir alamat IP penyerang selama sekitar 10 menit. Itu cukup untuk menangkal hacker karena ia harus terus menerus mencari alamat IP anonim baru. Bagi kebanyakan hacker, mencari alamat IP baru terlalu merepotkan. Mereka lebih suka mencari sistem lain yang tidak terproteksi.

Pengenalan dengan portscan juga membantu. Jika dalam waktu tertentu seorang hacker menjalankan banyak permintaan port, firewall akan segera memblokirnya. Permintaam port yang banyak ini biasanya merupakan aksi-aksi awal sebuah serangan sniffer. Di sini penyerang menggunakan IP palsu atau berusaha melumpuhkan PC dengan ribuan permintaan ping.


Less is more: Untuk berselancar, browser Anda hanya membutuhkan 2 port, yaitu 80 (HTTP) dan 443 (HTTPS).

IDS juga memiliki rutin pengenalan DoS, anti manipulasi MAC, dan IP. Periksa apakah option-option tersebut sudah aktif atau belum. Otentifikasi DLL (Dynamic Link Library) akan memeriksa DLL mana yang digunakan oleh sebuah aplikasi. Jika ada DLL aktif tanpa ada aplikasi yang meminta—biasanya milik trojan atau spyware-firewall akan segera memblokirnya.

Firewall juga dapat membuat checksum (sejenis sidik jari) dari setiap DLL pada saat instalasi. Ketika DLL dijalankan saat program dijalankan, firewall akan memeriksa kembali nilai checksum tadi. Jika file DLL telah dimanipulasi atau ditukar dengan file lain, nilai checksum-nya akan berbeda dan firewall akan menampilkan peringatan. Ini tidak selalu berarti ada serangan. Jika misalnya program mendownload update untuk DLL-nya dari Internet atau Anda menginstalasi sebuah aplikasi lain dengan DLL versi terbaru, bisa saja muncul laporan serupa yang dapat Anda abaikan.


FAKTOR PROTEKSI: 90%

Mengatur Konfigurasi Filter dengan Sempurna

Setelah setting dasar disesuaikan, kini kita lakukan penyesuaian pribadi. Di sini Anda akan menetapkan aplikasi mana yang boleh atau tidak boleh menggunakan koneksi Internet.

Menu 'Tools | Applications' menampilkan semua aplikasi yang mampu menggunakan koneksi Internet. Anda dapat menetapkan aturan dasar koneksi Internet bagi sebuah program, yaitu 'Allow', 'Block', dan 'Ask'. Klik kanan program dan pilih aturan dasar yang Anda inginkan dari menu konteks yang muncul.

Tombol 'Advanced' akan mengantar Anda ke 'Advanced Application Configuration'. Di sini Anda dapat menetapkan aturan yang lebih rinci untuk setiap aplikasi. Untuk browser Firefox—juga browser lainnya—konfigurasi yang diperlukannya sederhana. Tandai 'Act as client' dalam 'Applications Restrictions' dan cantumkan nilai '80, 443' ke dalam kolom 'Remote Server Ports'. Selesai.

Latar belakang: Aturan-aturan filter berguna untuk mengontrol akses semua aplikasi yang terinstalasi untuk secara dini mencegah koneksi-koneksi yang tidak diinginkan.

Ketika sebuah program pertama kali membangun sebuah koneksi Internet, Anda akan mendapatkan laporan tentang hal tersebut. Anda harus menetapkan langkah apa yang harus dilakukan oleh firewall. Jika Anda mengenal program tersebut, misalnya Firefox, berikan ijin koneksi agar ia dapat mengunjungi website.

Perhatian! Biasanya, firewall akan menampilkan beberapa laporan untuk setiap program. Jangan langsung mengklik 'Yes', tetapi periksa dulu setiap peringatan dengan cermat. Program yang Anda percayai sekalipun, sebaiknya dibatasi demi keamanan. Sebagai contoh, browser hanya diijinkan untuk melakukan koneksi melalui port 80 untuk lalu-lintas web biasa (HTTP) dan port 443 untuk website terenkripsi (HTTPS) seperti online-banking.

Blokade: Sygate Personal Firewall dapat memblokir akses bagi area IP yang dicurigai.

Dalam kolom 'Trusted IP for Applications' Anda dapat mencantumkan sistem yang boleh dihubungi oleh sebuah aplikasi. Sebagai contoh, Outlook dapat diatur agar hanya boleh berkomunikasi dengan mail-server melalui port 110 untuk layanan POP3.

Kode licik dapat menyamar dengan menggunakan nama program yang seakan-akan dapat dipercaya atau bahkan menggantikannya sekalian. Taktik ini digunakan untuk mengecoh pengguna maupun firewall. Jadi, file 'ie.exe' belum tentu Internet Explorer. Untuk mengantisipasinya, Sygate membuat sebuah checksum dari setiap file. Jika file dimanipulasi, nilai checksum akan berubah dan akses diblokir.

Penjaga pintu: Melalui mouse-click Anda dapat mengatur akses Internet setiap program.

FAKTOR PROTEKSI: 99%

Menetapkan Aturan Sendiri

Setting dasar telah ditetapkan, aplikasi telah diatur konfigurasinya, sekarang tinggal melakukan fine-tuning pada firewall. Di sini Anda akan menetapkan port dan setting jaringan secara lebih rinci. Buka 'Tools | Advanced Rules' lalu klik 'Add'. Dalam tab 'General' berikan sebuah nama yang jelas untuk sebuah aturan, misalnya 'File-Sharing', untuk mempermudah pengelolaannya nanti. Tandai 'Block this traffic' dalam kolom 'Action' dan pilih kartu jaringan yang digunakan untuk lalu-lintas jaringan. Lho, kok diblokir? Saya kan perlu berbagi file dalam jaringan.

Tidak usah heran. Dalam mengamankan sistem, berlaku satu prinsip utama. Blokir semuanya, lalu buka akses yang diperlukan satu demi satu. Jadi, dalam tab 'Host' tandai 'All addresses' dan pilih 'All' dalam 'Ports and Protocols'.

Agar Anda dapat mengakses sharing dalam jaringan, sekarang Anda harus membuka beberapa port yang diperlukan, yaitu port 135 dan 137-139. Dalam Sygate Personal Firewall, Anda hanya perlu mengaktifkan kedua pilihan dalam 'Network Neighborhood Settings' yang dapat ditampilkan melalui menu 'Tool | Options'.

Perhatian! Ketika ada serangan, layanan sharing ini sama sekali tidak terproteksi. Apalagi jika Anda berselancar melalui hotspot umum karena semua orang terhubung dalam satu LAN. Orang-orang tak dikenal saling terhubung pada hub jaringan yang Anda gunakan bersama. Oleh karena itu, Anda perlu menetapkan alamat IP sistem mana yang dipercaya. Anda juga dapat memisahkan PC untuk selancar dari PC lainnya dalam LAN dengan memblokir semua port dan hanya membuka port 80 dan 443.

Latar belakang: Jika sebuah spyware dengan nama file yang berganti-ganti selalu terkoneksi dengan port tertentu, blokir port tersebut. Selanjutnya, musnahkan spyware dengan tool yang tepat. Sebaliknya, jika Anda mengoperasikan layanan file-sharing atau online-game, Anda harus membuka berbagai port TCP agar dapat bertukar file dan bermain game secara online.

Bereaksi dengan tepat saat ada Alarm

Ketika firewall memberi sebuah laporan, bisa jadi itu adalah pertanda awal adanya serangan. Anda perlu bereaksi dengan tepat dalam menanggapi laporan ini. Itu tidak selalu mudah karena laporannya penuh dengan istilah-istilah khusus yang kadang-kadang tidak dimengerti. Di bawah ini CHIP akan menjelaskan arti berbagai laporan yang paling sering muncul. Ingat selalu, jika Anda tidak mengenal suatu aplikasi yang ingin mengakses Internet, tolak permintaan koneksinya.


Menjadi jelas: Process Explorer menampilkan secara rinci setiap proses file EXE yang dijalankan. Dengan demikian, Anda dapat mengenali virus melalui penyamarannya.


Salah satu laporan yang paling tidak dimengerti adalah laporan yang terkait dengan proses 'svchost.exe' (Service Host). Di bawah svchost ini ada beberapa layanan Windows yang dijalankan dengan berbagai file DLL. Layanan ini antara lain untuk auto-update, pengenalan perangkat USB, atau fungsi pencetakan.

Windows menjalankan svchost setiap kali sistem membutuhkan sebuah layanan. Bisa saja proses dijalankan berkali-kali. Tidak perlu heran jika firewall menanyakan proses ini berulang kali.

Yang perlu dilakukan: Pertama, lihat file-path dan protokol koneksi serta alamat remote laporan. Klik 'Details' dalam jendela laporan. File 'svchost.exe' harus berada dalam folder 'C:\Windows\System32'. Perhatikan juga penulisannya, karena di balik nama proses yang mirip seperti 'svhost.exe', 'svchosts.exe', atau 'syshost.exe' sering tersembunyi sebuah virus atau trojan. Contoh dalam boks menunjukkan sebuah file bernama 'svchost2.exe' berusaha mengakses Internet melalui port 1900.

Jika Anda ingin tahu secara rinci sub-proses dan layanan Windows yang terkoneksi dengan file tersebut, jalankan freeware Process Explorer dari CHIP-DVD. Setelah dijalankan, dalam jendela atas ia akan menampilkan semua proses yang berlangsung berikut keterangannya.

Untuk mendapatkan rincian dari sebuah proses, klik entri yang diinginkan. Di bagian bawah jendela tampak semua file, folder, dan entri registry yang berhubungan dengannya. Dengan membuka 'Properties' Anda dapat melihat rincian lainnya seperti prioritas, port, dan alamat IP yang berkomunikasi dengan proses tersebut.

Jika setelah mempelajari semua keterangan Anda masih belum yakin apakah koneksi memang dibutuhkan atau tidak, klik kanan proses tersebut dan pilih Google. Browser akan dijalankan dan menampilkan hasil pencarian dari Google tentang proses yang dimaksud.

Pada kasus 'svchost2.exe' CHIP yakin bahwa itu pasti bukan aplikasi sistem biasa. Dalam kasus semacam ini, blokir akses ke LAN dan Internet. Selanjutnya, periksa dengan virus-scanner aktual dan singkirkan proses tersebut.


NDIS adalah singkatan untuk Network Device Interface Specification dan merupakan standar untuk koneksi kartu jaringan pada port jaringan. Jika dalam laporan tercantum file 'ndisuio.sys', ini berarti layanan NDIS dijalankan.

Jika sistem Anda berada dalam sebuah jaringan, PC lain mengirim permintaan dalam bentuk paket broadcast untuk memastikan sistem mana yang aktif dan mana yang tidak dalam LAN. Dalam contoh, sebuah PC dengan IP 123.456.78.91 mengirim permintaan semacam itu ke PC CHIP.

Yang perlu dilakukan: Jika Anda tidak mengenal alamat IP pengirim, buang saja paket tersebut karena sangat mungkin merupakan serangan. Jadi, ketahui alamat IP semua PC dalam jaringan Anda. Untuk mengetahuinya Anda dapat menanyakan ke administrator jaringan atau dengan menjalankan perintah 'ipconfig /all' melalui DOS-box.


Layanan NT-kernel bertanggung jawab atas beberapa tugas, misalnya membaca registry saat boot. Dalam sebuah jaringan, NT-kernel bertanggung jawab untuk lalu-lintas Netbios; untuk file/printer-sharing. Meskipun demikian, Anda tidak harus otomatis mempercayai layanan ini karena ada virus yang dapat memodifikasinya. Trojan juga gemar menggunakan nama-nama file sistem Windows.

Yang perlu dilakukan: Periksa di mana file 'ntoskrnl.exe' berada dan perhatikan tanggalnya. Jika ia berada dalam 'C:\Windows\System32' dan tanggalnya sama dengan yang terdapat di folder 'ServicePackFiles\i386', semua baik-baik saja. Anda dapat memberi konfirmasi dengan mengklik 'Yes'. Jika tidak, mungkin itu virus, trojan, worm, atau spyware. Sebagai informasi, trojan W32.Funlove.4099 dapat mengubah 'ntoskrnl.exe'. Jika anti-virus Anda tidak memberi peringatan, periksa file secara manual dengan virus-scanner terbaru. Selain itu, blokir semua komunikasi proses tersebut.


Dengan laporan di atas, Sygate Personal Firewall memberitahukan bahwa sebuah rutin program telah berubah (di sini, salah satu DLL dalam Media Player). Firewall akan memeriksa terus menerus apakah komponen baru telah ditambahkan atau apakah sebuah rutin telah memanipulasi data yang ada.
Yang perlu dilakukan: Tak ada alasan untuk panik! Windows atau aplikasi lain seringkali mengubah DLL ketika melakukan update. Periksa melalui menu 'Details' komponen dan program mana yang berubah.

Trojan seperti Optix dan Sub7 sengaja menyusupkan DLL ke dalam sistem. DLL ini aktif sendiri dan menunggu koneksi dari Internet. Jadi, jika Anda mendapat laporan yang tidak Anda pahami, blokir DLL yang bersangkutan. Selain itu, periksa file dengan anti-virus aktual. Jika scanner memberi lampu hijau, Anda boleh memberi akses.


Aplikasi standar seperti Word atau Media Player kadang-kadang juga berusaha mengakses Internet tanpa alasan yang jelas. Biasanya banyak pengguna yang menduga bahwa aplikasi ini ingin mengirim info pribadi ke Microsoft. Namun, sering pula di balik aksi-aksi semacam itu sama sekali tidak ada efek yang berbahaya. Sebagai contoh, setelah melakukan operasi Copy & Paste dari sebuah halaman di Internet, Word akan berupaya online untuk mendapatkan text-formatting dari sumbernya. Media Player juga akan berusaha menghubungi web untuk mendownload album-cover, MP3-tags, atau info serupa dari database online. Mengambil codec untuk file yang akan dimainkan oleh Media Player juga menjadi kegiatan rutin yang tidak perlu ditakuti—meskipun terasa menjengkelkan.
Yang perlu dilakukan: Periksa selalu apakah file EXE dalam laporan cocok dengan aplikasi yang dijalankan atau tidak, juga path-nya. Sebagai contoh, 'winword.exe' dalam instalasi default berada dalam direktori 'C:\Program Files\Microsoft Office'.

Tergantung aplikasi dan frekuensi koneksi yang Anda miliki, Anda dapat menetapkan aturan yang tepat untuk menghindari banyaknya laporan yang tak diperlukan. Ketika sebuah laporan muncul, periksa semua detail dengan cermat. Jangan terburu-buru membuka akses Internet. Lebih baik lambat di awal, asalkan selamat di kemudian hari.

ALTERNATIF - Mengatur Konfigurasi Firewall dari Symantec, McAfee, dan ZoneLabs


Anda lebih suka menggunakan firewall lain? Tak masalah. Di sini CHIP telah menyusun setting dasar untuk 3 firewall yang paling digemari. Dengan tips ini Anda dapat aman berselancar tanpa perlu lama membaca buku panduan.



Symantec Norton Personal Firewalll
: Setting keamanan firewall Norton dapat dilakukan melalui slider pengatur tingkat keamanan. Tempatkan pengatur pada 'High' dan matikan kendali program otomatis dalam tab 'Program'. Pada sebuah koneksi Anda dapat menentukan bagaimana firewall harus bereaksi. Selain itu, tetapkan melalui 'Network Neighborhood' PC mana dalam LAN yang dianggap dapat dipercaya atau hanya mendapat akses terbatas.
Info: www.symantec.com

McAfee-Firewall: Melalui menu 'Settings', tempatkan tingkat keamanan pada 'Restricted'. Dengan setting ini, firewall akan memperingatkan begitu ada aplikasi tak dikenal yang ingin membangun koneksi ke Internet. Berdasarkan laporan-laporan tersebut, Anda dapat memutuskan apakah komunikasi perlu diijinkan atau tidak. Aktifkan 'Show all Warnings' di bawah 'Warn Reports' agar Anda tidak melewatkan info penting. Baca dengan seksama semua peringatan yang muncul.
Info: www.mcafee.com

Zonelabs Zone Alarm Firewall: Pada ZoneAlarm, tingkat keamanan juga diatur melalui slider. Dalam 'Internet Zone', tempatkan slider pada 'High', sementara untuk 'Secured Zone' cukup pada 'Medium'. Melalui tombol 'Add', masukkan alamat atau area IP ke dalam zona yang diinginkan. Dalam 'Program Default Settings' tempatkan slider untuk 'Program Settings' pada 'Medium'. Selanjutnya, dalam tab 'Program' Anda dapat membuat aturan-aturan khusus untuk aplikasi-aplikasi tertentu atau mengubah aturan yang sudah ada melalui tombol 'Options'.
Info: www.zonelabs.com


MEMAHAMI LAPORAN FIREWALL DENGAN BENAR - Awas Jebakan: Kenali Serangan Hacker

Awalnya firewall Anda akan memblokir setiap akses tak dikenal. Untuk menyusup ke dalam sistem, hacker menggunakan sebuah trik kecil tapi efektif. Sebagai nama file digunakan nama yang sangat mirip dengan sebuah file asli Windows. Anda tak akan tertipu jika membaca dan memeriksanya dengan cermat.

Alarm yang salah: Laporan firewall biasa mengenai 'svchost' jika tidak dimanipulasi hacker.

hacker: Adanya angka '2' setelah 'svchost' menunjukkan serangan pada PC.


Strategi Ganda: Virus-scanner Melengkapi Proteksi Anda

Firewall saja tidak cukup. Setiap sistem juga harus memiliki sebuah virus-scanner terbaru. Seperti firewall, ia juga perlu diatur konfigurasinya dengan benar. CHIP menunjukkan caranya pada Kaspersky Antivirus Personal 5.0 yang baru (CHIP-DVD).

Setting dasar: Setelah instalasi dan update, periksa setting dasar dalam 'Settings'. Di bawah 'Risks and Exceptions' Anda dapat memilih salah satu dari 3 database signature yang digunakan untuk memerangi virus. Database yang paling lengkap untuk proteksi terhadap virus, worm, dan dialer adalah 'Redundant Database'. Scanner juga dapat menyaring popup dan spyware.

Di bawah 'Realtime Protection Settings' pilih 'Maximum Protection' dan melalui tombol 'Settings' aktifkan 'Scan all'. Di bawah 'Macros' dan 'E-Mail' pilih juga 'Maximum Protection'. Jika tidak, Kaspersky tidak akan menscan mail maupun file arsip. Aktifkan pula 'Scan by order' dalam 'Properties' setiap tugas.

Dijamin aman: Setting 'Maximum Protection' baru benar-benar menjamin keamanan.

Setting Update: Karena biasanya kita tidak selalu online, turunkan interval update dari setting standar 3 jam menjadi 1 hari. Scanner masih dapat memperoleh update penting dengan cukup cepat.

0 komentar:

Posting Komentar

Pemandangan

Pemandangan