BAB 2 LANDASAN TEORI
2.1
Teori Umum 2.1.1 Perangkat Jaringan Mengacu pada pendapat dari Sofana, I. (2012) ada beberapa macam
peralatan yang dapat digunakan untuk membangun jaringan, beberapa diantaranya adalah: •
Switch
Switch merupakan perangkat yang bekerja pada layer 2 model OSI. Switch membagi collision domain tetapi tidak membagi broadcast domain. Sebuah
switch
dapat
berperan
sebagai
multiport
bridge
untuk
menghubungkan perangkat–perangkat atau segmen pada LAN (Local Area Network). Switch biasanya memiliki buffer jalur penerima dan memeriksa alamatnya untuk mencari jalur keluar. Jika jalur keluar telah bebas, maka frame dikirim ke jalur tersebut. Switch didesain berdasarkan dua buah strategi, yaitu store-and-forward dan cut-through. Switch store-and-forward menyimpan frame pada buffer input hingga semua paket tiba. Sementara switch cut-through pada sisi lain meneruskan paket ke buffer output saat alamat dari tujuan diterima.
7
8
Gambar 2.1 Switch •
Router
Router sering digunakan untuk menghubungkan beberapa network, baik network yang sama maupun berbeda dari segi teknologinya. Seperti menghubungkan network yang menggunakan topologi Bus, Star, dan Ring. Router juga digunakan untuk membagi network besar menjadi beberapa subnetwork seolah-olah dibedakan dari network lain. Hal ini dapat membagi jalur yang akan berdampak positif pada performa network. Sebuah router memiliki kemampuan routing. Artinya router secara cerdas dapat mengetahui kemana rute perjalanan informasi (yang disebut paket) akan dilewatkan, apakah akan ditujukan untuk host lain yang ada didalam satu network ataupun berbeda network. Jika paket-paket ditujukan untuk host pada network lain maka router akan meneruskan ke network tersebut. Sebaliknya, jika paketpaket ditujukan untuk host yang satu network maka router akan menghalangi paket-paket keluar, sehingga paket-paket tersebut tidak "membanjiri" network yang lain.
9
Gambar 2.2 Router •
NIC (Network Interface Card) NIC (Network Interface Card) adalah sebuah kartu yang
berfungsi sebagai jembatan dari sebuah komputer ke dalam jaringan komputer. Tugas NIC adalah untuk mengubah aliran data paralel dalam bus komputer menjadi bentuk data serial sehingga dapat ditransmisikan diatas media jaringan. Fungsi NIC diantaranya : -
Media pengirim data ke komputer lain di dalam jaringan
-
Mengontrol data flow antara komputer dan sistem kabel
-
Menerima data yang dikirim dari komputer lain lewat kabel
dan menerjemahkannya ke dalam bit yang dimengerti oleh komputer.
10
Gambar 2.3 NIC (Network Interface Card) •
Hub
Hub mirip dengan switch, yaitu sebagai konsentrator. Namun, hub tidak "secerdas" switch. Jika informasi dikirim ke host target melalui hub maka informasi akan mengalir ke semua host. Kondisi semacam ini dapat menyebabkan beban traffic tinggi. Oleh sebab itu, sebuah hub biasanya hanya digunakan pada network berskala kecil. Adapun perangkat network yang berfungsi mirip hub namun tidak memiliki banyak port (jalur) disebut sebagai repeater. Akan tetapi, repeater lebih berfungsi sebagai penguat sinyal. Umumnya hub bersifat statis atau tidak dapat dikonfigurasi ulang. Namun, Cisco sudah mengeluarkan jenis hub yang dapat dikonfigurasi. Hub semacam ini menyediakan console port sehingga dapat dikonfigurasi dari komputer. Contoh hub dapat dikonfigurasi yaitu Cisco 1503 Micro Hub Line. Hub buatan Cisco dapat digabungkan (stackable) dengan hub lainnya, sehingga jika diamati seolah akan membentuk sebuah kumpulan besar hub yang terdiri atas ratusan buah port.
11
Gambar 2.4 Hub •
Bridge
Bridge atau kadangkala disebut transparent bridge merupakan perangkat network yang digunakan untuk menghubungkan dua buah LAN (Local Area Network) atau membagi sebuah LAN menjadi dua buah segmen. Tujuannya adalah untuk mengurangi traffic sedemikian rupa sehingga dapat meningkatkan performa network. Bridge dapat mengetahui apakah informasi (yang disebut frame) ditujukan untuk host yang satu segmen atau berbeda segmen. Jika frame ditujukan kepada host yang satu segmen maka bridge akan meneruskannya kepada host tersebut dan menutup jalur ke segmen lain. Sebaliknya, jika frame ditujukan untuk host pada segmen yang berbeda maka bridge akan meneruskan ke segmen tujuan. Seringkali orang bingung membedakan router dengan bridge. Sepintas router dan bridge memang tampak sama dan dapat menghubungkan dua buah LAN, namun sesungguhnya cara kerja dan fungsi utama kedua perangkat tersebut berbeda.
12
Tabel 2.1 Perbedaan Router dengan Bridge Router
Bridge
Mendukung berbagai network
Tidak mendukung network
protokol address, seperti IP, IPX, protokol address. Hanya mengenali Apple Talk. Dapat
MAC address menghubungkan
Menghubungkan
dua
beberapa subnet yang menggunakan segemen. Semua segmen dipandang teknologi berbeda-beda Mampu
sebagai sebuah subnet.
memblok
traffic
antar-subnet. Cocok
Tidak dapat memblok traffic dari subnet lain.
digunakan
pada
sembarang protokol network .
Cocok protokol
digunakan
non-routable
pada seperti
NetBIOS dan DECnet. Instalasi
dan
konfirgurasi
memerlukan keahlian khusus.
Instalasi
relatif
mudah,
pasang dan menyalakan.
2.1.2 Model Jaringan OSI (Open System Interconnection) Reference Model merupakan sebuah model ideal dari koneksi logis yang seharusnya terjadi agar komunikasi data dalam sebuah jaringan yang menggunakan vendor-vendor berbeda agar dapat berlangsung dengan baik (Comwe, 1999). Model OSI terbagi menjadi 7 (tujuh) layer yang dapat menjelaskan bagaimana beberapa protokol jaringan dalam sebuah kumpulan protokol dapat berfungsi dan berinteraksi. Pembagian OSI menjadi tujuh layer memberikan beberapa keuntungan, yaitu :
13
o
Membagi jaringan komunikasi menjadi bagian-bagian yang lebih kecil sehingga mempermudah pengelolaannya
o
Memungkinkan beberapa hardware dan software jaringan yang berbeda tipe untuk saling berkomunikasi
o
Mencegah perubahan yang terjadi pada sebuah layer agar tidak mengganggu layer lainnya
Berdasarkan pendapat dari Tanenbaum, A. (2003) terdapat tujuh lapisan layer pada model OSI. Tujuh layer tersebut terdiri dari : 1.
Physical Layer Merupakan
layer
yang
bertanggung
jawab
untuk
mendefinisikan media transmisi jaringan, sinkronisasi bit, koneksi fisik antar peralatan, dan pengkabelan. 2.
Data-link Layer Mengelompokkan bit-bit data menjadi format yang disebut sebagai frame. Level ini juga menentukan bagaimana perangkat jaringan dapat beroperasi, flow control, serta mengidentifikasi error yang terjadi.
3.
Network Layer Menyediakan logical addressing dan fungsi routing sehingga paket dapat dikirim keluar dari segmen jaringan ke jaringan lainnya. Layer ini juga berfungsi untuk mendefinisikan alamat IP.
4.
Transport Layer Layer ini akan memecah data ke dalam paket-paket data serta memberikan nomor urut pada paket-paket tersebut agar dapat
14
disusun ulang setelah diterima. Paket yang telah diterima dengan sukses akan ditandai pada level ini, dan jika terjadi kegagalan akan terdeteksi dan perbaikan informasi dilakukan pada flow control. 5.
Session Layer Mendukung
mekanisme
pembukaan
dan
penutupan
pengelolaan sesi diantara proses aplikasi end user dengan komunikasi antar device (Tanenbaum, A., 2003:217). 6.
Presentation Layer Memastikan bahwa sebuah data dapat dibaca oleh sistem penerima, dengan cara mentranslasi data yang ada dari berbagai tipe pada syntax system (memformat data).
7.
Application Layer Menjadi layer antarmuka dengan aplikasi yang memiliki fungsionalitas jaringan, seperti electronic mail maupun file transfer. Application Presentation Session Transport Network Data Link Physical
Gambar 2.5 OSI model
15
TCP/IP
(Transmission
Control
Protocol/Internet
Protocol)
merupakan standar jaringan komunikasi yang digunakan dalam proses tukarmenukar data dari satu komputer ke komputer lainnya dengan menggunakan jaringan internet. Berbeda dengan OSI layer, TCP/IP hanya memiliki 4 (empat) lapisan layer. Empat lapisan tersebut terdiri dari : 1.
Application Layer Lapisan ini menangani high-level protocol, representasi, dan dialog control. Lapisan ini juga memastikan bahwa sebuah data sudah dikemas secara tepat sebelum diteruskan ke lapisan berikutnya. Protokol yang ada mendukung transfer file, e-mail serta remote login, yang terdiri dari : •
FTP (File Transfer Protocol) digunakan sebagai file transfer
•
TFTP (Trivial File Transfer Protocol) sebagai transfer file antar sistem yang mendukung TFTP
•
NFS (Network File System) untuk berbagi file terhadap berbagai host dalam jaringan
•
SMTP (Simple Mail Transfer Protocol) digunakan untuk mengirim e-mail
•
Telnet, penyedia remote login dalam sebuah jaringan
•
SNMP (Simple Network Management Protocol) untuk mengatur konfigurasi, statistic, performa dan sekuritas
•
DNS (Domain Name System) memetakan IP address ke dalam nama tertentu
16
2.
Transport Layer Menentukan
bagaimana
host
pengirim
dan
penerima
membentuk sebuah koneksi sebelum memulai komunikasi. Layer ini terdiri dari dua protocol : •
TCP (Transmission Control Protocol) merupakan protokol
yang
berorientasi
koneksi
(connection
oriented). Protokol ini menggunakan jalur data full duplex •
UDP (User Datagram Protocol) adalah protokol yang memiliki karakteristik connectionless (tidak berbasis koneksi).
3.
Internet Layer Fungsi dari lapisan ini adalah untuk menentukan jalur terbaik dalam sebuah jaringan bagi paket. Protokol yang dimiliki oleh layer ini adalah : •
IP (Internet Protocol) merupakan protokol inti dari TCP/IP. Dalam melakukan pengiriman data, IP memiliki sifat unreliable (datagram tidak pasti akan sampai ke tempat tujuan), tidak berbasis koneksi dan datagram delivery service (paket data independen terhadap paket data yang lain).
•
ICMP (Internet Control Message Protocol) bertugas untuk mengirimkan pesan atau kesalahan dan kondisi lain yang memerlukan perhatian khusus.
17
•
ARP (Address Resolution Protocol) bertanggung jawab dalam menentukan data link dari MAC address bagi alamat IP yang diketahui.
•
RARP
(Reverse
Address
Resolution
Protocol)
kebalikan dari ARP, RARP menentukan alamat IP yang dikenal dalam MAC Address 4.
Network Access Protokol pada lapisan ini menyediakan media bagi sistem untuk mengirimkan data ke device lain yang terhubung secara langsung. Protokol pada layer ini juga bertugas untuk memetakan alamat IP menjadi alamat physic hardware dan melakukan enkapsulasi paket IP menjadi frame.
FTP
HTTP
SMTP
DNS
TCP
DNS
TFTP
UDP
IP
Internet
LAN
Many LANs and WANs
Gambar 2.6 Protokol pada TCP/IP
OSI dan TCP/IP layer memiliki beberapa kesamaan, seperti memiliki application layer dan menggunakan packet-switched. Namun keduanya
18
merupakan dua model yang berbeda. Beberapa perbedaan yang ada diantaranya : •
Application layer yang ada pada model OSI dan TCP/IP mengerjakan tugas yang berbeda
•
TCP/IP mengkombinasikan layer application, presentation dan session pada OSI menjadi satu layer, yaitu application layer
•
TCP/IP mengkombinasikan data link dan physical layer menjadi network access
•
Ketika transport layer pada TCP/IP menggunakan UDP, paket yang dikirim tidak reliable, tidak seperti OSI.
7 Application
Application
6 Presentation
Layers
Application
Protocols
5 Session Transport 4 Transport
Internet 3 Network
Data Flow
2 Data Link
Layers
Network
1 Physical
Networks
Access
Gambar 2.7 TCP/IP dan OSI model
2.1.3 Ancaman Sekuritas Jaringan seringkali dibayangi oleh berbagai macam serangan yang dapat membahayakan data maupun koneksi yang dimiliki oleh sebuah perusahaan (Tanenbaum, A. 2003). Berikut merupakan empat kelompok ancaman sekuritas jaringan yang ada :
19
1.
Ancaman internal (internal threats) Ancaman internal adalah serangan yang diberikan oleh seseorang atau organisasi yang memiliki wewenang atau hak akses atas jaringan yang diserangnya (Cisco Systems, 2009: 198). Ancaman jenis ini seringkali sulit untuk dilindungi karena penyerang sudah memiliki akses terhadap jaringan dan data rahasia dari perusahaan. Untuk pengamanan lebih lanjut dari
ancaman
internal,
perusahaan
kebanyakan
hanya
menggunakan firewall pada jaringan mereka, dan bergantung sepenuhnya kepada Access Control List (ACL) dan server permission. 2.
Ancaman eksternal (external threats) Ancaman
eksternal
dilakukan
oleh
sebuah
organisasi,
perusahaan atau individual dengan upaya untuk mendapatkan akses dari luar jaringan, termasuk mereka yang tidak memiliki wewenang atas jaringan internalnya. Umumnya penyerang mencoba mendapatkan akses dengan cara mengakses server ataupun melalui koneksi
internet.
Serangan
dari luar
merupakan serangan yang paling diupayakan pencegahannya oleh pemilik jaringan. 3.
Ancaman tidak terstruktur (unstructured threats) Ancaman tidak terstruktur merupakan ancaman yang paling umum dialami oleh sistem infrastruktur sebuah perusahaan. Hacker
pemula
akan
mengunduh
software
yang
dikembangkan oleh hacker yang lebih ahli, kemudian
20
menggunakan software tersebut untuk memperoleh informasi, hak akses atau melakukan serangan DoS dengan target sistem maupun perusahaan. 4.
Ancaman terstruktur (structured threats) Ancaman terstruktur merupakan ancaman yang paling berbahaya dan sulit untuk dilawan karena ancaman jenis ini datang dari organisasi atau individu yang menggunakan semacam metodologi untuk mendapatkan hak akses yang tidak sah.
Organisasi
intelijen,
organisasi
kriminal
maupun
pemerintah merupakan penyokong potensial dalam ancaman terstruktur.
Hacker
dengan
pengetahuan
yang
tinggi,
pengalaman serta peralatan yang memadai akan membentuk sebuah ancaman terstruktur yang berbahaya. Jenis-jenis ancaman yang dapat membahayakan jaringan terbagi menjadi dua, yakni program berbahaya (Malicious Software) dan Intruder.
A. Program berbahaya Program berbahaya terdiri dari Trap Doors, Logic Bombs, Trojan Horses, Viruses, Worm dan Zombie. -
Trap Door Trap door umumnya digunakan para programmer untuk debugging
dan pengujian program. Dengan program ini, penyusup dapat memperoleh hak akses terhadap file-file, folder-folder atau data aplikasi tanpa melalui prosedur keamanan dimana pemakai seharusnya tidak dapat mengakses hal tersebut. Trap door menjadi sebuah ancaman ketika digunakan oleh penyusup
21
jahat yang ingin memperoleh hak akses untuk hal yang hanya menguntungkan sebelah pihak, yakni si penyusup. -
Logic Bomb Merupakan sebuah kode atau sandi yang ditempatkan dalam sebuah
program umum yang diatur untuk bekerja pada saat sebuah kondisi berhasil dicapai oleh pengguna program tersebut. Contoh kondisi yang digunakan sebagai pemicu seperti ketika user melakukan suatu perintah saat sedang menggunakan aplikasi dalam satu waktu tertentu atau kondisi tertentu, atau bisa juga keabsenan dari sebuah file tertentu. -
Trojan Horses Sekilas terlihat seperti program yang berguna bagi user, akan tetapi
juga mengandung kode tersembunyi yang jika diaktifkan baik sengaja maupun tidak akan melakukan sebuah fungsi yang dapat membahayakan data pengguna. Program terlihat melakukan fungsi yang berguna, padahal program tersebut secara diam-diam menghapus file-file user. Motif umum dari trojan horses adalah penghancuran data, dan secara tidak langsung tujuan tersebut hanya bisa dicapai oleh user yang memiliki autentikasi yang benar. -
Zombie Merupakan sebuah program yang secara rahasia dapat mengambil alih
komputer yang tersambung dengan internet, kemudian menggunakan komputer tersebut untuk melakukan serangan yang sulit dilacak menuju tujuan dari pembuat zombie tersebut. Zombie pada umumnya digunakan dalam serangan denial-of-service (DoS), terutama dalam target penyerangan website.
22
-
Virus Cara kerja dan sifat dari virus mirip seperti penyakit, program tersebut
akan menyerang sebuah program dan memodifikasi program tersebut, dan hasil modifikasi dari program tersebut dapat menyebar ke program dan komputer lainnya. Program-program sejenis ini tentunya tidak diharapkan dan akan mengganggu user dari komputer. Penyebaran virus secara umum dilakukan dengan dua cara : •
Melalui pertukaran perangkat lunak, kebanyakan melalui flash disk atau hard disk. Perangkat lunak disini umumnya tidak berasal langsung dari pembuatnya, termasuk juga perangkat lunak tidak resmi (bajakan).
•
Melalui media internet, seperti attachment file di e-mail (surat elektronik). Virus akan menyusup ke dalam file-file yang dikirimkan melalui e-mail, seperti data dari word-processor, spread-sheet, dan sebagainya. Tetapi karena virus merupakan program yang harus dieksekusi terlebih dahulu sebelum mampu bekerja, maka tidak perlu khawatir akan penyebaran virus melalui data-data tersebut selama file tidak dijalankan.
-
Worms Merupakan program komputer yang mampu melipatgandakan dirinya
sendiri. Worm dapat menggunakan jaringan komputer untuk memperbanyak programnya ke sistem lain agar dapat melakukan aksi yang tidak diharapkan, seperti mematikan sistem yang ada atau menghabiskan sumber daya komputer. Berbeda dengan virus, worm tidak perlu menggunakan program
23
host. Seperti bakteria, sekali worm aktif dalam sebuah sistem ia dapat bekerja seperti virus komputer dan juga dapat mengimplementasi program trojan horse.
B. Intruder Intruder bertujuan untuk memperoleh hak akses ke sebuah sistem untuk meningkatkan jangkauan izin akses ke suatu sistem (Stallings, 2003:565). Intruder terbagi menjadi tiga jenis : -
Masquerader. Disini terjadi pencurian hak akses, si pencuri
akan memasuki kontrol akses sistem dan mengeksploitasi account user yang sah. -
Misfeasor. User yang sah akan menyalahgunakan hak akses
yang dimilikinya untuk mengakses aksi atau data yang seharusnya tidak diperbolehkan. -
Clandestine user adalah individu yang mendapatkan kontrol
dari sistem dan menggunakannya untuk menghindari auditing, dan mengakses data atau program yang ada. -
Masquader biasanya datang dari pihak luar, misfeasor dari
orang dalam, sementara clandestine user bisa datang dari pihak dalam maupun pihak luar. Kebanyakan, informasi yang diinginkan dari aksi intruder berbentuk password.
24
2.2
Teori Khusus 2.2.1 Teknologi VLAN VLAN (Virtual Local Area Network) merupakan sebuah teknologi
yang diaplikasikan ke dalam sebuah jaringan untuk melakukan pembagian network secara logika ke dalam beberapa subnet. Dengan menggunakan software manajemen, VLAN dikonfigurasi agar dapat saling berkomunikasi meskipun secara fisikal tidak terhubung pada segmen LAN yang sama (Cisco Systems, 2009). Dengan menggunakan teknologi VLAN, akan ada banyak subnet dalam jaringan meskipun menggunakan switch yang sama. Beberapa keuntungan dari penggunaan teknologi VLAN diantaranya : •
Security. Dari segi sekuritas, lalu lintas data akan dibatasi
berdasarkan segmen, sehingga keamanan alur pengiriman data dari setiap divisi akan lebih secure. •
Cost Reduction. Dapat menghemat penggunaan bandwidth
yang ada dan meminimalisir upgrade untuk perluasan network yang akan memakan biaya lebih besar. •
Higher performance. Pembagian jaringan pada layer 2 ke
dalam beberapa kelompok broadcast domain yang lebih kecil tentunya akan mengurangi lalu–lintas paket yang tidak dibutuhkan dalam jaringan. •
Improved
IT
staff
efficiency.
VLAN
mempermudah
manajemen jaringan, dikarenakan pengguna yang memakai sumber daya yang sama akan saling berbagi dalam satu segmen.
25
•
Broadcast storm mitigation. Pengurangan device yang
berpartisipasi dalam pembuatan broadcast storm, karena ada pembatasan broadcast domain. •
Simpler project or application management. VLAN akan
mendorong para pengguna jaringan dan peralatan jaringan untuk mendukung perusahaan dan menangani permasalahan kondisi geografis.
2.2.2
IP versi 4 (IPv4) Alamat IPv4 merupakan sebuah jenis pengalamatan jaringan yang
digunakan pada protokol jaringan TCP/IP dengan menggunakan protokol IP versi 4, dengan panjang total adalah 32 bit. IPv4 terbagi menjadi beberapa jenis, yakni : •
Alamat Unicast Merupakan alamat IPv4 yang digunakan untuk sebuah antarmuka jaringan yang dihubungkan ke sebuah internetwork IP. Alamat unicast digunakan dalam komunikasi point-to-point.
•
Alamat Broadcast Alamat IPv4 yang didesain agar diproses oleh setiap node IP dalam segmen jaringan yang sama. Alamat broadcast digunakan dalam komunikasi one-to-everyone.
•
Alamat Multicast Didesain agar diproses oleh satu atau beberapa node dalam segmen jaringan yang sama ataupun berbeda. Maksudnya, alamat multicast digunakan dalam komunikasi one-to-many.
26
Dalam IPv4, alamat IP dibagi ke dalam 5 kelas yang berbeda, yaitu : Tabel 2.2 Class IPv4 Class Network Bits
Host Bits
Oktet Desimal
Subnet Mask
A
8 bits
24 bits
1 – 126
255.0.0.0
B
16 bits
16 bits
128 – 191
255.255.0.0
C
24 bits
8 bits
192 – 223
255.255.255.0
224 – 239
N/A
240 – 255
N/A
D E
Digunakan pada multicast Untuk eksperimen dimasa depan
Kelas A -
Subnet mask default kelas A adalah 255.0.0.0
-
Bit pertama alamat kelas A diatur ke nilai biner 0
-
Merupakan rentang IP yang digunakan untuk jaringan skala besar
-
8 bit pertama digunakan untuk alamat network, sementara 24 bit berikutnya digunakan untuk alamat host
Kelas B -
Subnet mask default kelas B adalah 255.255.0.0
-
Dua bit pertama alamat kelas B diatur ke nilai biner 10
-
Digunakan pada jaringan skala menengah hingga skala besar
-
16 bit pertama digunakan untuk alamat network sementara 16 bit berikutnya digunakan untuk alamat host
Kelas C -
Subnet mask default kelas C adalah 255.255.255.0
27
-
Tiga bit pertama kelas C selalu dengan nilai biner 110
-
Skala penggunaan dibatasi untuk jaringan skala kecil
-
24 bit pertama digunakan untuk alamat network, sementara 8 bit berikutnya untuk alamat host
Kelas D -
Disediakan
hanya
untuk
alamat–alamat
multicast,
membuatnya berbeda dengan tiga kelas sebelumnya -
Empat bit pertama dari kelas D selalu bernilai biner 1110
-
28 bit selain empat bit pertama digunakan sebagai alamat untuk mengenali host
Kelas E -
Alamat kelas ini disediakan sebagai alamat yang sifatnya ‘eksperimental’, yang dicadangkan untuk digunakan pada masa depan
-
Empat bit pertama selalu diatur pada nilai biner 1111
-
28 bit selain dari empat bit pertama digunakan sebagai alamat untuk mengenali host
2.2.3
NAT (Network Address Translation) NAT merupakan sebuah metode dalam jaringan komputer yang
memiliki fungsi untuk menghubungkan sekumpulan komputer ke jaringan internet dengan menggunakan satu alamat IP. Dengan menggunakan metode NAT, maka akan mengurangi penggunaan alamat IP yang berlebihan, dan meningkatkan fleksibilitas untuk melakukan koneksi ke internet dan dalam
28
administrasi jaringan. Konfigurasi NAT sendiri terbagi menjadi dua, yakni static NAT dan dynamic NAT. •
Static NAT merupakan konfigurasi pemetaan one-to-one antara alamat IP private yang berada didalam dengan alamat IP publik. NAT statis menggunakan table routing yang tetap, dimana alokasi translasi alamat IP ditetapkan sesuai dengan alamat asal atau source ke alamat tujuan sehingga tidak memungkinkan terjadi pertukaran data jika alamat IP belum terdaftar didalam tabel NAT.
Gambar 2.8 NAT statis •
NAT yang memiliki tipe dinamis menggunakan logika balancing dan pada umumnya membutuhkan access-list untuk mengatur alamat– alamat IP yang ingin dilakukan translasi. NAT dinamis yang umum digunakan adalah NAT overloading, yakni kondisi dimana sejumlah alamat IP lokal ditranslasi ke satu alamat global.
Gambar 2.9 NAT dinamis
29
2.2.4
EIGRP (Encanced Interior Gateway Routing Protocol) EIGRP (Encanced Interior Gateway Routing Protocol) adalah routing
hybrid berbasis Cisco yang mengkombinasikan distance vector dan teknologi link-state (Wijaya C, 2011:355-360). Dengan routing table yang terpisah, EIGRP dibuat untuk mendukung protokol IP, IPX dan AppleTalk. EIGRP menggunakan algoritma DUAL (Diffusing Update Algorithm).
2.2.5
Open Shortest Path First (OSPF) OSPF adalah sebuah routing protokol berjenis IGP (Interior Gateway
Protocol) yang dapat diterapkan dan bekerja dalam jaringan internal dari suatu organisasi atau perusahaan. Routing OSPF menggunakan konsep hirarki routing, yakni membagi–bagi jaringan menjadi beberapa tingkatan. Tingkatan–tingkatan
ini
diwujudkan
dengan
menggunakan
sistem
pengelompokan area. OSPF memiliki tiga tabel dalam router, yaitu : •
Routing table Biasa juga disebut sebagai forwarding database, yang berisi lowest cost untuk mencapai router-router atau network lainnya. Setiap router akan memiliki routing table yang berbeda–beda.
•
Adjecency database Database ini berisi semua router tetangganya. Adjecency database tentu akan berbeda di setiap router, karena pasti memiliki router tetangga yang berbeda.
30
•
Topological database Database ini berisi seluruh informasi mengenai router yang berada di dalam satu network atau areanya. Tabel 2.3 Perbedaan EIGRP dan OSPF
2.2.6
EIGRP
OSPF
Tidak mendukung vendor lain
Open standard, mendukung
selain Cisco
berbagai vendor
Algoritma DUAL
Algoritma SPF
Tidak mendukung jaringan hirarki
Dapat membentuk jaringan hirarki
Hierarchical Network Jaringan yang hirarki merupakan titik yang ingin dicapai dalam
penerapan routing protocol OSPF. Model jaringan hirarki sendiri terbagi menjadi tiga layer, yaitu core, distribution dan access. Beberapa keuntungan dari jaringan hirarki diantaranya : 1. Scalability. Pengembangan dari jaringan menjadi lebih mudah dilakukan. 2. Redudancy. Dapat menjamin ketersediaan jalur pada level core dan distribution. 3. Performance. Performa switch pada level core dan distribution menjadi lebih handal (link aggregation). 4. Security. Port keamanan pada level access serta aturan yang terdapat pada level distribution membuat jaringan dapat menjadi lebih aman.
31
5. Manageability. Konsistensi dari switch di setiap level membuat manajemen jaringan menjadi lebih mudah untuk dilakukan. 6. Maintainability. Modularitas dari desain hirarki mengijinkan jaringan terbagi tanpa membuatnya menjadi rumit.
2.2.7
BGP (Border Gateway Protocol) BGP merupakan sebuah routing yang dilakukan antara autonomous
system yang berbeda untuk dapat melakukan pertukaran informasi internet dan dijadikan sebagai routing utama oleh ISP (Internet Service Provider) (Nicholes, M., Mukherjee, B., 2009:136). Routing BGP terbagi menjadi dua, yakni Eksternal BGP dan Internal BGP. Dikatakan sebagai eksternal jika BGP dipakai dalam autonomous system yang berbeda. Ketika ISP melakukan routing BGP dalam satu autonomous system, maka protokol disebut sebagai Interior BGP.
2.2.8
Access Control List (ACL) ACL adalah sebuah script konfigurasi pada router untuk mengatur
apakah sebuah paket mendapatkan izin atau tidak berdasarkan kriteria yang ditemukan dalam header paket tersebut. ACL merupakan salah satu objek yang sering digunakan dalam perangkat lunak IOS Cisco. Beberapa bagian penggunaan ACL diantaranya : •
Dalam router firewall. ACL diposisikan diantara jaringan internal dan jaringan eksternal, seperti internet
32
•
ACL dapat dibuat pada router yang berada diantara dua bagian dari jaringan untuk mengontrol masuk dan keluar dari jaringan internal
•
Konfigurasi ACL pada router-router yang terletak diujung jaringan, atau diantara area yang kurang pengamanan maupun kontrol
•
ACL juga dapat dikonfigurasi pada sebuah interface untuk menyaring lalu lintas yang masuk, lalu lintas keluar, maupun keduanya
Cisco ACL terbagi menjadi dua tipe, standard dan extended. 1.
Standard ACL ACL sejenis ini berfungsi untuk member izin atau menolak lalu lintas dari alamat IP pengirim, sementara tujuan dari paket dan port yang terlibat diabaikan. Sebagai contoh, mengizinkan semua traffic dari network 192.168.30.0/24. Karena tersirat “deny any”, maka semua traffic lainnya akan ditolak oleh ACL.
2.
Extended ACL Extended ACL memfilterisasi paket IP berdasarkan beberapa atribut, seperti tipe protokol, alamat IP pengirim dan penerima, IP penerima, port TCP mupun UDP pengirim dan port TCP maupun UDP penerima.
33
2.2.9
Konsep Dasar Demilitarised Zone (DMZ) DMZ merupakan mekanisme yang dimiliki untuk melindungi sistem
internal sebuah perusahaan dari serangan pihak luar yang ingin memasuki sistem tanpa memiliki hak akses serta sebagai pelindung agar dapat melakukan koneksi serta hosting secara aman. Firewall DMZ terletak diantara suatu jaringan korporat (private LAN) dengan jaringan public (internet). Pada umumnya setiap layanan yang sedang diberikan kepada pengguna dalam jaringan eksternal dapat ditempatkan dalam DMZ. Yang paling umum dari layanan ini adalah web server, ftp server, VoIP dan DNS. Selain itu, proxy server juga dianjurkan untuk dipasang dalam DMZ, hal ini dilakukan untuk memungkinkan administrator sistem untuk memantau aktivitas penggunaan internet para karyawan serta memungkinkan perusahaan untuk menghemat bandwidth internet. Ada banyak cara guna merancang sebuah jaringan menggunakan DMZ. Dua metode yang paling dasar adalah dengan satu firewall (seringkali disebut sebagai model berkaki tiga) dan firewall ganda. •
Satu firewall (Single firewall) Merupakan sebuah firewall yang memiliki minimal 3 (tiga) antarmuka jaringan; jaringan eksternal terbentuk dari ISP ke firewall pada antarmuka jaringan pertama, jaringan internal yang terbentuk dari kedua antarmuka jaringan dan DMS yang terbentuk dari antarmuka jaringan ketiga.
34
Trusted Network
DMZ Servers Perimeter Firewall
Untrusted Network Gambar 2.10 Single firewall •
Firewall ganda (Dual firewall) Penggunaan firewall ganda dapat menciptakan DMZ yang lebih
secure.
Firewall
pertama
(front-end
firewall)
dikonfigurasi untuk memberikan akses lalu lintas hanya untuk DMZ. Sementara firewall kedua (back-end firewall) dibuat hanya untuk akses dari DMZ menuju jaringan internal. Trusted Network
DMZ Servers
DMZ Firewall
Perimeter Firewall
Untrusted Network Gambar 2.11 Dual firewall
35
2.2.10 UTM (Unified Threat Management) Keamanan jaringan kini menjadi prasyarat mutlak dalam menggelar infrastruktur jaringan komputer dalam sebuah perusahaan. Selain itu, seringkali network administrator disulitkan dengan banyaknya perangkat yang harus menjalankan fungsi jaringan tertentu sehingga menyulitkan dalam melakukan maintenance maupun sentralisasi jaringan. Sebagai contoh: fungsi firewall oleh box hardware firewall, fungsi antivirus dengan aplikasi tersendiri, fungsi routing dijalankan khusus perangkat router dan sebagainya. Guna mengatasi masalah tersebut diusulkan penggunaan perangkat Unified Threat Management (UTM). Keuntungan utama UTM adalah kesederhanaan
instalasi
serta
efisiensi
dalam
penggunaannya,
dan
berkemampuan untuk mempebaharui semua fungsi keamanan atau program secara bersamaan (Bambang H, Benny, Defendy, Wahyu H, 2010:1-15). UTM memiliki berbagai macam elemen hardware dan software yang dapat melindungi jaringan, seperti firewall, IPS, antivirus dan antispam, content filtering dan masih banyak lagi. Seiring dengan tumbuh dan berkembangnya ancaman, produk UTM dapat disesuaikan untuk bersaing dengan mereka semua. Hal ini menghilangkan kebutuhan admin untuk mempertahankan program keamanan ganda dari waktu kewaktu.
IPS IPS (Intrusion Prevention Systems) dapat melindungi jaringan internal dari serangan yang berasal dari dalam serta luar perimeter jaringan. IPS juga dianggap sebagi komponen penting dari firewall. Komponen IPS dalam UTM dapat mendeteksi dan memblokir kegiatan yang berbahaya.
36
IDS IDS (Intrusion Detection System) adalah satu cara umum melakukan otomatisasi pada pengawasan penyusupan (Wajong, Andre. 2012:480). IDS dapat mendeteksi jenis serangan dari signature atau pattern pada aktifitas yang terdapat didalam jaringan.
Filterisasi Konten Web Filterisasi Web berfungsi untuk mengurangi tampilan web dari paparan spyware, phishing, pharming, dan ancaman lain yang seringkali datang dari internet. Fitur ini dapat melakukan scan terhadap setiap web yang diterima oleh firewall policy. Dengan filterisasi konten dapat membuat blacklist terhadap kata maupun frasa yang dilarang, dan URL blocking dapat memblokir alamat situs yang tidak sah.
Antispam Anti-spam filtering dapat memblokir jenis-jenis ancaman seperti bots, termasuk memblokir alamat IP untuk mencegah penerimaan e-mail dari alamat tersebut, memblokir pesan dengan isi pesan yang berkaitan dengan spam yang diketahui, memblokir e-mail dengan mencocokkan konten dengan kata-kata atau pola spam yang ada pada daftar.
Antivirus Antivirus adalah program untuk mendeteksi dan membersihkan komputer dari virus (Stallings, 2003:609). Virus memiliki perkembangan yang paling cepat dan bervariasi, sehingga program antivirus harus
37
melakukan updating secara rutin agar tetap dapat mendeteksi dan membersihkan virus-virus baru yang bermunculan. Ada 4 (empat) generasi antivirus, yaitu : a.
Generasi 1 : scanner sederhana. Scanner dari generasi pertama membutuhkan signature dari virus untuk mengidentifikasi sebuah virus.
b.
Generasi 2 : scanner heuristik Scanner generasi dua tidak memerlukan signature spesifik dari sebuah virus, tetapi ada aturan heuristic untuk mencari kemungkinan dari infeksi yang dilakukan oleh virus.
c.
Generasi 3 : trap aktivitas Generasi ketiga mengidentifikasi kehadiran sebuah virus dengan mendeteksi aksi yang dilakukannya daripada struktur program yang terinfeksi.
d.
Generasi 4 : proteksi fitur penuh Program generasi keempat merupakan satu paket yang memiliki variasi teknik antivirus yang digunakan secara bersama, termasuk scanning dan komponen trap dari aktivitas.
DLP (Data Loss Prevention) DLP disebut juga sebagai perlindungan terhadap kebocoran data, merupakan salah satu elemen yang mampu membantu mencegah perpindahan informasi secara sengaja maupun tidak sengaja kepada seseorang diluar organisasi. Contoh informasi disini seperti data personal, data akuntansi maupun data organisasi.
38
DLP membuat admin dapat mengontrol data melalui penyaringan inbound dan outbound, sidik jari, dan masih banyak lagi.