Apa itu stateful inspection dalam jaringan?
Stateful inspection, atau yang juga dikenal sebagai dynamic packet filtering, adalah teknologi firewall yang memantau status koneksi aktif dan menggunakan informasi tersebut untuk menentukan paket jaringan mana yang boleh melewati firewall. Stateful inspection ini umumnya digunakan menggantikan stateless inspection atau static packet filtering, dan sangat cocok untuk protokol seperti Transmission Control Protocol (TCP) dan protokol sejenis, meskipun juga bisa mendukung protokol seperti User Datagram Protocol (UDP).
Stateful inspection adalah teknologi firewall jaringan yang digunakan untuk menyaring paket data berdasarkan status dan konteks. Teknologi ini dikembangkan oleh Check Point Software Technologies pada awal 1990-an untuk mengatasi keterbatasan dari stateless inspection. Sejak saat itu, stateful inspection menjadi standar industri dan merupakan salah satu teknologi firewall yang paling umum digunakan saat ini.
Stateful inspection bekerja terutama pada layer transport dan network dalam model Open Systems Interconnection (OSI) yang menjelaskan bagaimana aplikasi saling berkomunikasi melalui jaringan. Namun, firewall ini juga dapat memeriksa lalu lintas di layer aplikasi, meskipun dalam tingkat yang terbatas. Penyaringan paket dilakukan berdasarkan informasi status dan konteks yang diperoleh firewall dari paket-paket dalam suatu sesi:
- Status (State). Status koneksi, seperti yang ditunjukkan dalam paket sesi. Dalam protokol TCP, contohnya, status ini ditunjukkan lewat flag seperti SYN, ACK, dan FIN. Firewall akan menyimpan info status ini dalam sebuah tabel dan memperbaruinya secara berkala.
- Konteks (Context). Informasi seperti alamat IP sumber dan tujuan, nomor port, nomor urut (sequence number), serta jenis-jenis metadata lainnya. Informasi ini juga disimpan dan diperbarui oleh firewall secara berkala.
Dengan melacak status dan konteks sekaligus, stateful inspection bisa memberikan tingkat keamanan yang lebih tinggi dibandingkan pendekatan firewall sebelumnya. Firewall jenis ini memeriksa lalu lintas masuk di berbagai layer dalam stack jaringan dan memberi kontrol yang lebih detail terhadap bagaimana lalu lintas difilter. Firewall juga dapat membandingkan paket masuk dan keluar dengan data sesi yang disimpan untuk mengevaluasi upaya komunikasi.
Apa itu stateful dan stateless inspection?
Stateful inspection saat ini sudah banyak menggantikan stateless inspection, yaitu teknologi yang lebih lama dan hanya memeriksa header paket saja. Firewall stateless menggunakan aturan yang sudah ditentukan untuk memutuskan apakah suatu paket boleh masuk atau tidak. Firewall ini hanya mengandalkan informasi dasar seperti IP sumber dan tujuan serta nomor port, dan tidak pernah memeriksa bagian isi dari paket, sehingga lebih rentan terhadap serangan.
Contohnya, penyerang bisa melewatkan data berbahaya hanya dengan menyamarkan paket sebagai “reply” di bagian header-nya.
Stateful inspection dapat memantau lebih banyak informasi dari paket jaringan, sehingga mampu mendeteksi ancaman yang mungkin lolos di firewall stateless. Sebuah stateful firewall mempertahankan konteks dari semua sesi yang sedang berlangsung, tidak seperti firewall stateless yang memperlakukan tiap paket secara terpisah. Namun, stateful firewall membutuhkan lebih banyak sumber daya CPU dan memori untuk menyimpan data sesi dan lebih rentan terhadap serangan tertentu seperti denial of service.
Sementara itu, stateless inspection menggunakan operasi pencarian yang lebih ringan dan tidak terlalu membebani prosesor maupun memori, sehingga kinerjanya bisa lebih cepat meskipun trafik padat. Tapi, karena hanya fokus mengklasifikasikan data tanpa mempertimbangkan konteks sesi, kemampuan penyaringannya jadi lebih terbatas dan lebih mudah diserang.
Bagaimana cara kerja stateful inspection?
Stateful inspection memantau paket komunikasi dalam rentang waktu tertentu dan memeriksa baik paket yang masuk maupun keluar. Firewall akan melacak paket keluar yang meminta jenis paket masuk tertentu, dan hanya akan mengizinkan paket masuk jika itu adalah respons yang sesuai.
Sebuah firewall stateful memantau semua sesi dan memverifikasi setiap paket, meskipun prosesnya bisa bervariasi tergantung teknologi firewall dan protokol komunikasi yang digunakan.
Misalnya, jika protokolnya TCP, firewall akan menangkap informasi status dan konteks dari paket, lalu membandingkannya dengan data sesi yang ada. Kalau ditemukan kecocokan, paket diizinkan lewat. Kalau tidak cocok, paket harus melalui pemeriksaan kebijakan tertentu. Jika sesuai kebijakan, firewall menganggap paket itu sebagai awal koneksi baru, menyimpan datanya ke tabel sesi, lalu mengizinkannya lewat. Jika tidak sesuai, paket langsung ditolak.
Untuk protokol seperti UDP, prosesnya agak berbeda. Karena UDP adalah protokol connectionless, firewall tidak bisa mengandalkan flag status seperti di TCP. Jadi, firewall harus menggunakan informasi konteks seperti alamat IP dan nomor port serta data lainnya. Dengan kata lain, firewall mengambil pendekatan pseudo-stateful untuk mendekati fungsionalitas yang biasa dilakukan di TCP.
Di firewall yang menggunakan stateful inspection, admin jaringan bisa mengatur parameter sesuai kebutuhan spesifik. Misalnya, admin bisa mengaktifkan logging, memblokir tipe lalu lintas IP tertentu, atau membatasi jumlah koneksi ke/dari satu komputer.
Di jaringan pada umumnya, port akan tetap tertutup kecuali jika ada paket masuk yang memang meminta koneksi ke port tertentu. Dan hanya port itu saja yang dibuka. Praktik ini bisa mencegah teknik hacking terkenal seperti port scanning.