Pertanyaan untuk Para Ahli: Firewall Industri

Bagi banyak insinyur kontrol (termasuk saya sendiri), topik keamanan dalam jaringan bisa sulit dipahami. Banyak sumber daya ditulis untuk pengguna rumah atau kantor, dan situasinya sangat beragam sehingga Anda tidak bisa mendapatkan jawaban sederhana dan pasti untuk pertanyaan-pertanyaan tersebut.

Untuk pertanyaan hari ini, saya penasaran tentang keberadaan firewall dalam peralatan otomasi. Ini membuat saya mencari penjelasan dari tim yang selalu memberikan masukan luar biasa tentang dunia komputasi: OnLogic. Saya mengajukan pertanyaan, dan mereka memberikan jawaban yang sangat baik.

 

Gambaran Umum Firewall

Sebelum kita masuk ke pertanyaan, penjelasan singkat tentang firewall mungkin berguna, terutama jika ini adalah topik baru bagi Anda.

Intinya, firewall adalah perangkat lunak yang memeriksa semua lalu lintas yang terhubung ke jaringan (seperti wifi atau koneksi Ethernet Anda) untuk memilih pesan mana yang diizinkan dan mana yang diblokir. Berbagai pengaturan firewall dapat menghasilkan jaringan yang sangat aman di mana hampir tidak ada lalu lintas yang diizinkan, tetapi tentu saja sangat sulit mengakses perangkat untuk pemrograman. Di sisi lain, jaringan sederhana yang tidak aman mungkin mudah untuk diatasi dengan laptop apa pun, tetapi ini dapat menimbulkan risiko keamanan siber yang besar.

Anda umumnya dapat mempercayai perangkat di jaringan Anda, tetapi Anda sebaiknya tidak mempercayai apa pun di dunia luar (internet luas) kecuali dapat diverifikasi.

 

Gambar 1. Konsep dasar firewall.

 

Tapi masih banyak pertanyaan lain: bagaimana firewall bekerja, bagaimana cara mengonfigurasinya, dan di mana mereka disimpan? Untuk jawaban ini dan lainnya, saya bertanya kepada teman-teman saya di OnLogic untuk masukan berikut.

 

1) Apakah ada perbedaan antara firewall untuk jaringan industri dan jaringan rumah/kantor?

Paket TCP/IP atau paket jaringan lain memiliki format yang sama, terlepas dari lingkungannya. Namun, setiap lingkungan tentu memiliki kebutuhan yang berbeda.

Jaringan rumah biasanya hanya memerlukan firewall yang sudah terpasang dalam router kabel/DSL/fiber, yang biasanya memiliki aturan default yang kira-kira berarti, “biarkan ponsel saya di wifi rumah terhubung ke internet dan menerima balasan serta lalu lintas terkait, tapi jangan biarkan orang asing di internet memulai koneksi ke TV pintar saya.”

Sementara itu, kantor kecil hingga menengah mungkin memiliki satu perangkat firewall yang memblokir lalu lintas tak terduga, sambil tetap mengizinkan karyawan terhubung ke server file, printer, dan layanan perusahaan lainnya.

Perusahaan global dengan banyak kantor, situs produksi, dan fasilitas pusat data mungkin memiliki segmentasi yang jauh lebih canggih dan VPN antar situs serta meng-host situs web publik dan privat. Untuk kebutuhan tersebut, beberapa firewall harus dikonfigurasi untuk membuang lalu lintas yang tidak diinginkan, tetapi tetap mengizinkan semua interaksi yang diperlukan terjadi. Ini dilakukan sambil secara bersamaan mencatat kejadian jaringan dari sistem deteksi intrusi untuk audit dan analisis, serta fungsi canggih lainnya. Pilihan firewall yang dipilih oleh masing-masing contoh ini mungkin (dan sebaiknya) sangat berbeda.

 

2) Bagaimana tepatnya firewall mencegah akses ke jaringan?

Pada dasarnya, firewall adalah perangkat atau aplikasi perangkat lunak yang membatasi aliran lalu lintas jaringan. Cara penyaringan dilakukan tergantung pada jenis firewall.

Firewall jaringan tradisional memeriksa alamat IP sumber dan tujuan dari setiap paket serta nomor port TCP atau UDP, kemudian merujuk pada konfigurasi yang telah ditentukan untuk menentukan apakah lalu lintas tersebut diizinkan.

Firewall stateful yang lebih canggih, alih-alih mempertimbangkan setiap paket secara terpisah, mempertimbangkan paket dalam konteks percakapan jaringan, membaca paket sebelum dan sesudahnya untuk menentukan apakah lalu lintas tersebut diharapkan dan dapat diterima.

Firewall yang lebih canggih lagi mungkin benar-benar memeriksa logika lapisan aplikasi dalam paket itu sendiri. Contohnya adalah web application firewall atau WAF, yang memeriksa lalu lintas HTTP untuk pola eksploitasi yang dikenal atau data tak terduga dalam isi permintaan. Jenis firewall ini sangat kuat dan efektif dalam memberikan perlindungan di situasi di mana penyaringan hanya berdasarkan alamat IP atau port tidak cukup untuk mengizinkan akses yang diperlukan sekaligus mengurangi risiko ke tingkat yang dapat diterima.

Teknologi serupa tapi sedikit berbeda adalah sistem deteksi intrusi atau sistem pencegahan intrusi, biasanya disingkat IDS/IPS. Mirip dengan firewall, IDS/IPS memeriksa lalu lintas jaringan, log sistem, dan data lain yang tersedia. IDS/IPS menggunakan berbagai heuristik atau algoritma ‘pembelajaran’ untuk menentukan apakah lalu lintas berpotensi mengancam dan kemudian dapat memberi peringatan kepada tim keamanan atau mengambil tindakan langsung sendiri (itulah perbedaan antara deteksi dan pencegahan). Alih-alih memiliki aturan kaku tentang apa yang diizinkan dan diblokir, IDS/IPS biasanya mengandalkan kebijakan yang diperbarui secara terus-menerus. Sama seperti memperbarui antivirus, aturan IDS/IPS harus diperbarui secara rutin untuk tetap selangkah lebih maju dari pola ancaman aktif.

 

3) Apakah firewall bersifat dua arah, artinya, apakah mereka mencegah lalu lintas tidak sah masuk dan keluar jaringan?

Ya! Firewall dapat dikonfigurasi untuk memeriksa lalu lintas masuk (ingress), keluar (egress), atau keduanya. Meskipun secara tradisional firewall dianggap mencegah akses ke jaringan atau perangkat, dalam lanskap ancaman modern, penyaringan egress bisa sama pentingnya, bahkan lebih.

Perangkat di jaringan industri cenderung memiliki aliran jaringan yang jauh lebih ketat dibandingkan jaringan pengguna serbaguna. Dalam kasus ini, keamanan dapat ditingkatkan secara signifikan dengan menerapkan firewall egress yang ketat. Pertimbangkan perangkat yang dikompromikan, misalnya melalui serangan rantai pasokan yang menyuntikkan malware ke dalam pembaruan. Jika perangkat tersebut berada di jaringan dengan penyaringan egress yang ketat, perangkat mungkin tidak dapat menghubungi server perintah dan kontrolnya, sehingga secara signifikan mengurangi kemungkinan perangkat tersebut digunakan untuk memperluas kompromi sebelum ditemukan dan diperbaiki.

 

4) Di mana firewall 'berada'; apakah di dalam controller, switch, gateway, atau IPC?

Beberapa controller industri (seperti PLC) mungkin mulai mengintegrasikan fitur keamanan, tetapi sebagian besar saat ini belum memiliki fungsi firewall dan penyaringan bawaan, melainkan lebih memprioritaskan keselamatan dan kinerja.

Switch jaringan mungkin memiliki beberapa fungsi firewall, atau “daftar kontrol akses,” tergantung pada switch dan kemampuan model OSI (Open Systems Interconnection). Perangkat yang berfungsi sebagai gateway atau router biasanya memiliki fungsi firewall, atau bahkan bertindak sebagai firewall utama itu sendiri.

Arsitektur sistem kontrol yang lebih sederhana mungkin memiliki jaringan terisolasi yang dibagi antara fungsi berbeda, dan ini tidak memerlukan firewall jaringan internal sama sekali. Namun lebih sering, ketika jaringan tersegmentasi tersebut terhubung ke jaringan lain, maka firewall kemungkinan besar akan digunakan. Selain itu, beberapa arsitektur sistem kontrol yang lebih kompleks menyertakan firewall antara fungsi yang terpisah, misalnya antara antarmuka operator dan controller, untuk melindungi dari beberapa bentuk kesalahan operator atau penyalahgunaan antarmuka. Firewall juga mungkin ada hanya untuk melindungi antarmuka jaringan controller agar tidak harus berinteraksi dengan paket jaringan yang tidak diharapkan sama sekali, sehingga kinerjanya tetap fokus pada tugas yang dimaksudkan.

 

Gambar 2. Jaringan terisolasi seperti contoh ini mungkin tidak memerlukan firewall internal, kecuali untuk mencegah lalu lintas berlebih antar perangkat; ini masalah efisiensi, bukan keamanan.

 

Dalam situasi di mana segmen jaringan industri terhubung secara fisik ke jaringan lain, seperti email karyawan atau layanan lain, atau ke segmen lain dari arsitektur, gateway antara jaringan tersebut biasanya adalah firewall atau router yang menjalankan fungsi firewall.

 

5) Apakah firewall adalah perangkat lunak yang diunduh dan dipasang, artinya, dapatkah pengguna akhir controller memilih perangkat lunak firewall tertentu, atau apakah itu dipasang oleh pabrikan?

Firewall hadir dalam berbagai bentuk, mulai dari perangkat lunak pengguna akhir hingga perangkat lunak tingkat sistem operasi, hingga perangkat komputasi industri yang dirancang khusus untuk inspeksi paket jaringan yang dioptimalkan.

Komputer pribadi yang menjalankan Microsoft Windows memiliki firewall perangkat lunak bawaan, dan jaringan perusahaan mungkin menggunakan perangkat dari Cisco, Palo Alto, Fortinet, dll. untuk melindungi lingkungan perusahaan. Paket open source juga populer untuk firewall jaringan sederhana hingga kompleks.

Di lingkungan industri, banyak opsi tersedia. Misalnya, jaringan yang berisi PLC dan HMI bisa sepenuhnya dipisahkan secara fisik, di mana perangkat komputasi lain, meskipun secara fisik berada di dekatnya, tidak dapat mengirim lalu lintas apa pun ke perangkat otomasi tanpa memasang kabel lain secara fisik, yang aksesnya biasanya dikunci. Lingkungan yang sama bisa terhubung ke perangkat firewall jaringan dengan aturan deny by default, dengan beberapa aturan allow untuk perangkat tertentu yang memiliki hak istimewa untuk mengubah konfigurasi controller otomasi, baik secara lokal maupun jarak jauh melalui VPN.

 

6) Seberapa banyak kontrol yang dimiliki pengguna akhir atas pengaturan, dan apakah perlu diperbarui dari waktu ke waktu?

Sementara banyak opsi firewall berusaha agar ramah pengguna dan menyembunyikan kompleksitas di balik antarmuka sederhana, yang lain menawarkan kontrol penuh atas inspeksi paket jaringan, memungkinkan fokus sedetail bit tertentu dalam paket jaringan yang bernilai 0 atau 1.

Biasanya, hingga kompleksitas jaringan tingkat lanjut, firewall dengan opsi inspeksi stateful pada IP sumber/tujuan dan port TCP atau UDP sumber/tujuan sudah cukup.

Di lingkungan di mana peralatan dan topologi jarang berubah, modifikasi aturan firewall juga bisa tidak berubah dalam waktu lama. Bisa jadi ada saat-saat ketika peralatan baru diperkenalkan, atau insinyur baru bergabung, misalnya, yang mungkin memerlukan perubahan kecil pada konfigurasi firewall untuk memastikan akses yang diperlukan. Lingkungan lain bisa berubah lebih cepat, dengan layanan baru sering diperkenalkan, pergantian staf, atau pembukaan situs baru, yang memerlukan penyesuaian lebih sering.

Meski perubahan jarang terjadi, audit rutin konfigurasi firewall disarankan untuk memastikan tidak ada izin yang tidak sengaja diberikan yang bisa menyebabkan kesalahan, atau lebih buruk, kerentanan yang bisa dieksploitasi dalam serangan.

 

Firewall dalam Jaringan Industri

Artikel ini hanya gambaran singkat dari beberapa pertanyaan seputar firewall dan keamanan. Saya berharap ini menjadi dasar yang kuat untuk membangun lebih banyak keterampilan dalam prinsip jaringan aman di masa depan.

 

Semua gambar digunakan dengan izin dari penulis