Stateful Inspection Working Methodology
Setelah di artikel sebelumnya kita sudah membahas tentang proxy firewall, pada artikel ini kita akan membahas Stateful Inspection Firewall. Mari kita bahas mengenai stateful inspection firewall, cara kerja, kelebihan serta kekurangannya.
Pendahuluan
Stateful Inspection Firewall memberikan tingkat keamanan jaringan yang lebih tinggi dengan melacak status dan konteks dari informasi yang diterima. Stateful Inspection Firewall kemudian akan memeriksa lalu lintas pada berbagai lapisan dalam pada jaringan berdasarkan status, port, dan protokol yang digunakan. Stateful Inspection Firewall sangat penting dengan kemampuannya untuk melakukan pemblokiran lalu lintas serta perlindungan terhadap sebagian besar jenis serangan keamanan siber. Stateful Inspection Firewall akan menganalisa setiap paket data untuk menentukan apakah paket tersebut harus diizinkan masuk ke dalam jaringan, dan firewall ini melindungi sumber daya sistem dengan menghentikan traffic jaringan yang tidak penting. Singkatnya, stateful packet inspection, juga dikenal sebagai dynamic packet filtering, bekerja dengan melacak koneksi yang dibuat untuk memastikan perlindungan yang efektif dan lengkap.
Istilah “Stateful Inspection” diciptakan oleh Check Point Software Technologies pada tahun 1993, yang menjadi fondasi dari perusahaan. Firewall awal bersifat “stateful”, yang berarti mereka membantu melacak koneksi antar komputer dan dapat menyimpan paket data hingga tersedia informasi yang cukup untuk menentukan statusnya. Teknik stateful inspection dikembangkan untuk mengatasi keterbatasan dari stateless firewall, dan produk dari Check Point’s yaitu Firewall-1 merupakan stateful inspection firewall pertama yang tersedia secara komersial di dunia. Kebutuhan akan keamanan aplikasi muncul pada awal tahun 2000-an. Untuk memenuhi permintaan ini, banyak vendor keamanan siber yang menambahkan visibilitas aplikasi dan fitur tambahan ke stateful inspection firewall.
Cara Kerja
Stateful inspection secara fungsi mirip dengan packet filter yang mengizinkan atau menolak koneksi berdasarkan hasil filtering, tetapi juga memungkinkan untuk memonitor status dari komunikasi jaringan. Stateful Inspection Firewall bekerja dengan melacak paket dari setiap sambungan yang melewatinya dan membuat tabel status sambungan untuk mempertahankan status dengan aturan yang sudah ditentukan. Firewall akan memeriksa setiap paket data terhadap aturan yang sudah ditentukan untuk menentukan apakah aksesnya harus diizinkan atau ditolak pada sesi tertentu.
Pemfilteran pada stateful inspection firewall didasarkan pada informasi status dan konteks yang berasal dari paket sebuah sesi. Status koneksi tercermin dalam flag tertentu seperti SYN, ACK, dan FIN. Dan konteksnya adalah informasi seperti nomor urut, alamat dan port Internet Protocol (IP), dan beberapa metadata. Firewall menyimpan informasi status dan konteks dan memperbaruinya secara berkala.
Stateful Inspection Firewall memeriksa lalu lintas yang masuk pada beberapa lapisan jaringan dan beroperasi terutama pada lapisan transport dan jaringan model Open Systems Interconnection (OSI). Keputusan hasil penyaringan tergantung pada instruksi admin serta konteks, dan firewall dapat memeriksa semua aktivitas dari awal hingga akhir. Firewall menggunakan deep packet inspection (DPI) untuk menganalisa header paket dan juga isi paket. Untuk mencegah malware, firewall membandingkan isi paket dengan database malware signature, dan ketika ada kecocokan, firewall akan memblokir paket agar tidak melewatinya. Proses kerja stateful inspection firewall dapat bervariasi berdasarkan implementasinya. Umumnya, aturan stateful inspection bekerja dengan dua cara dasar yaitu pasif dan aktif.
Passive Stateful Inspection
Passive Stateful Inspection digunakan oleh sistem yang mendeteksi pola lalu lintas yang mencurigakan, alih-alih langsung menerima paket yang melanggar standar aturan. Firewall ini lebih efisien tetapi tidak dapat mencegah jenis serangan tertentu seperti denial-of-service (DoS) dan serangan address spoofing.
Active Stateful Inspection
Active Stateful Inspection menggunakan teknologi yang serupa dengan sistem pasif tetapi lebih kompleks dan dapat mencegah serangan dengan mengambil tindakan jika muncul aktivitas yang mencurigakan. Firewall memungkinkan penyaringan lalu lintas berdasarkan gejala yang ada pada koneksi atau sesi jaringan yang dibuat.
Kelebihan
-
- Dapat melihat lebih dalam ke dalam payloads dan memahami protokol yang kompleks
- Mampu mengatasi serangan yang terlihat dipermukaan dan meningkatkan manajemen kerentanan sistem.
- Dapat memeriksa lalu lintas yang masuk pada beberapa lapisan model OSI.
- Stateful Inspection Firewall memahami aliran jaringan dan dapat mengenali paket data dari suatu flow jaringan.
- Sangat efektif dalam mendeteksi unauthorized attempts atau forged messaging.
- Stateful Inspection Firewall dapat menegosiasikan komunikasi antara port dan protokol yang dapat membantu memberikan perlindungan instan saat runtime.
Kekurangan
-
- Biaya implementasi yang mahal
- Kecepatan transfer data dari stateful inspection firewall lebih lambat dari packet filter.
- Rentan terhadap serangan distributed denial-of-service (DDoS)
- Memerlukan resource system yang lebih besar karena perlu untuk menyimpan rules dan logika untuk mengurai packet yang akan dianalisa
Demikian pembahasan mengenai Stateful Inspection Firewall, semoga artikel ini memberikan gambaran yang jelas tentang cara teknologi ini bekerja dan manfaatnya. Dengan memahami kelebihan dan kekurangannya, anda dapat membuat keputusan yang tepat untuk meningkatkan keamanan anda.
Sumber: https://www.enterprisestorageforum.com/security/stateful-inspection-firewall/