BAB 2 LANDASAN TEORI

BAB 2 LANDASAN TEORI

2.1

Teori Umum 2.1.1 Perangkat Jaringan Mengacu pada pendapat dari Sofana, I. (2012) ada beberapa macam

peralatan yang dapat digunakan untuk membangun jaringan, beberapa diantaranya adalah: •

Switch

Switch merupakan perangkat yang bekerja pada layer 2 model OSI. Switch membagi collision domain tetapi tidak membagi broadcast domain. Sebuah

switch

dapat

berperan

sebagai

multiport

bridge

untuk

menghubungkan perangkat–perangkat atau segmen pada LAN (Local Area Network). Switch biasanya memiliki buffer jalur penerima dan memeriksa alamatnya untuk mencari jalur keluar. Jika jalur keluar telah bebas, maka frame dikirim ke jalur tersebut. Switch didesain berdasarkan dua buah strategi, yaitu store-and-forward dan cut-through. Switch store-and-forward menyimpan frame pada buffer input hingga semua paket tiba. Sementara switch cut-through pada sisi lain meneruskan paket ke buffer output saat alamat dari tujuan diterima.

7

8

Gambar 2.1 Switch •

Router

Router sering digunakan untuk menghubungkan beberapa network, baik network yang sama maupun berbeda dari segi teknologinya. Seperti menghubungkan network yang menggunakan topologi Bus, Star, dan Ring. Router juga digunakan untuk membagi network besar menjadi beberapa subnetwork seolah-olah dibedakan dari network lain. Hal ini dapat membagi jalur yang akan berdampak positif pada performa network. Sebuah router memiliki kemampuan routing. Artinya router secara cerdas dapat mengetahui kemana rute perjalanan informasi (yang disebut paket) akan dilewatkan, apakah akan ditujukan untuk host lain yang ada didalam satu network ataupun berbeda network. Jika paket-paket ditujukan untuk host pada network lain maka router akan meneruskan ke network tersebut. Sebaliknya, jika paketpaket ditujukan untuk host yang satu network maka router akan menghalangi paket-paket keluar, sehingga paket-paket tersebut tidak "membanjiri" network yang lain.

9

Gambar 2.2 Router •

NIC (Network Interface Card) NIC (Network Interface Card) adalah sebuah kartu yang

berfungsi sebagai jembatan dari sebuah komputer ke dalam jaringan komputer. Tugas NIC adalah untuk mengubah aliran data paralel dalam bus komputer menjadi bentuk data serial sehingga dapat ditransmisikan diatas media jaringan. Fungsi NIC diantaranya : -

Media pengirim data ke komputer lain di dalam jaringan

-

Mengontrol data flow antara komputer dan sistem kabel

-

Menerima data yang dikirim dari komputer lain lewat kabel

dan menerjemahkannya ke dalam bit yang dimengerti oleh komputer.

10

Gambar 2.3 NIC (Network Interface Card) •

Hub

Hub mirip dengan switch, yaitu sebagai konsentrator. Namun, hub tidak "secerdas" switch. Jika informasi dikirim ke host target melalui hub maka informasi akan mengalir ke semua host. Kondisi semacam ini dapat menyebabkan beban traffic tinggi. Oleh sebab itu, sebuah hub biasanya hanya digunakan pada network berskala kecil. Adapun perangkat network yang berfungsi mirip hub namun tidak memiliki banyak port (jalur) disebut sebagai repeater. Akan tetapi, repeater lebih berfungsi sebagai penguat sinyal. Umumnya hub bersifat statis atau tidak dapat dikonfigurasi ulang. Namun, Cisco sudah mengeluarkan jenis hub yang dapat dikonfigurasi. Hub semacam ini menyediakan console port sehingga dapat dikonfigurasi dari komputer. Contoh hub dapat dikonfigurasi yaitu Cisco 1503 Micro Hub Line. Hub buatan Cisco dapat digabungkan (stackable) dengan hub lainnya, sehingga jika diamati seolah akan membentuk sebuah kumpulan besar hub yang terdiri atas ratusan buah port.

11

Gambar 2.4 Hub •

Bridge

Bridge atau kadangkala disebut transparent bridge merupakan perangkat network yang digunakan untuk menghubungkan dua buah LAN (Local Area Network) atau membagi sebuah LAN menjadi dua buah segmen. Tujuannya adalah untuk mengurangi traffic sedemikian rupa sehingga dapat meningkatkan performa network. Bridge dapat mengetahui apakah informasi (yang disebut frame) ditujukan untuk host yang satu segmen atau berbeda segmen. Jika frame ditujukan kepada host yang satu segmen maka bridge akan meneruskannya kepada host tersebut dan menutup jalur ke segmen lain. Sebaliknya, jika frame ditujukan untuk host pada segmen yang berbeda maka bridge akan meneruskan ke segmen tujuan. Seringkali orang bingung membedakan router dengan bridge. Sepintas router dan bridge memang tampak sama dan dapat menghubungkan dua buah LAN, namun sesungguhnya cara kerja dan fungsi utama kedua perangkat tersebut berbeda.

12

Tabel 2.1 Perbedaan Router dengan Bridge Router

Bridge

Mendukung berbagai network

Tidak mendukung network

protokol address, seperti IP, IPX, protokol address. Hanya mengenali Apple Talk. Dapat

MAC address menghubungkan

Menghubungkan

dua

beberapa subnet yang menggunakan segemen. Semua segmen dipandang teknologi berbeda-beda Mampu

sebagai sebuah subnet.

memblok

traffic

antar-subnet. Cocok

Tidak dapat memblok traffic dari subnet lain.

digunakan

pada

sembarang protokol network .

Cocok protokol

digunakan

non-routable

pada seperti

NetBIOS dan DECnet. Instalasi

dan

konfirgurasi

memerlukan keahlian khusus.

Instalasi

relatif

mudah,

pasang dan menyalakan.

2.1.2 Model Jaringan OSI (Open System Interconnection) Reference Model merupakan sebuah model ideal dari koneksi logis yang seharusnya terjadi agar komunikasi data dalam sebuah jaringan yang menggunakan vendor-vendor berbeda agar dapat berlangsung dengan baik (Comwe, 1999). Model OSI terbagi menjadi 7 (tujuh) layer yang dapat menjelaskan bagaimana beberapa protokol jaringan dalam sebuah kumpulan protokol dapat berfungsi dan berinteraksi. Pembagian OSI menjadi tujuh layer memberikan beberapa keuntungan, yaitu :

13

o

Membagi jaringan komunikasi menjadi bagian-bagian yang lebih kecil sehingga mempermudah pengelolaannya

o

Memungkinkan beberapa hardware dan software jaringan yang berbeda tipe untuk saling berkomunikasi

o

Mencegah perubahan yang terjadi pada sebuah layer agar tidak mengganggu layer lainnya

Berdasarkan pendapat dari Tanenbaum, A. (2003) terdapat tujuh lapisan layer pada model OSI. Tujuh layer tersebut terdiri dari : 1.

Physical Layer Merupakan

layer

yang

bertanggung

jawab

untuk

mendefinisikan media transmisi jaringan, sinkronisasi bit, koneksi fisik antar peralatan, dan pengkabelan. 2.

Data-link Layer Mengelompokkan bit-bit data menjadi format yang disebut sebagai frame. Level ini juga menentukan bagaimana perangkat jaringan dapat beroperasi, flow control, serta mengidentifikasi error yang terjadi.

3.

Network Layer Menyediakan logical addressing dan fungsi routing sehingga paket dapat dikirim keluar dari segmen jaringan ke jaringan lainnya. Layer ini juga berfungsi untuk mendefinisikan alamat IP.

4.

Transport Layer Layer ini akan memecah data ke dalam paket-paket data serta memberikan nomor urut pada paket-paket tersebut agar dapat

14

disusun ulang setelah diterima. Paket yang telah diterima dengan sukses akan ditandai pada level ini, dan jika terjadi kegagalan akan terdeteksi dan perbaikan informasi dilakukan pada flow control. 5.

Session Layer Mendukung

mekanisme

pembukaan

dan

penutupan

pengelolaan sesi diantara proses aplikasi end user dengan komunikasi antar device (Tanenbaum, A., 2003:217). 6.

Presentation Layer Memastikan bahwa sebuah data dapat dibaca oleh sistem penerima, dengan cara mentranslasi data yang ada dari berbagai tipe pada syntax system (memformat data).

7.

Application Layer Menjadi layer antarmuka dengan aplikasi yang memiliki fungsionalitas jaringan, seperti electronic mail maupun file transfer. Application Presentation Session Transport Network Data Link Physical

Gambar 2.5 OSI model

15

TCP/IP

(Transmission

Control

Protocol/Internet

Protocol)

merupakan standar jaringan komunikasi yang digunakan dalam proses tukarmenukar data dari satu komputer ke komputer lainnya dengan menggunakan jaringan internet. Berbeda dengan OSI layer, TCP/IP hanya memiliki 4 (empat) lapisan layer. Empat lapisan tersebut terdiri dari : 1.

Application Layer Lapisan ini menangani high-level protocol, representasi, dan dialog control. Lapisan ini juga memastikan bahwa sebuah data sudah dikemas secara tepat sebelum diteruskan ke lapisan berikutnya. Protokol yang ada mendukung transfer file, e-mail serta remote login, yang terdiri dari : •

FTP (File Transfer Protocol) digunakan sebagai file transfer

•

TFTP (Trivial File Transfer Protocol) sebagai transfer file antar sistem yang mendukung TFTP

•

NFS (Network File System) untuk berbagi file terhadap berbagai host dalam jaringan

•

SMTP (Simple Mail Transfer Protocol) digunakan untuk mengirim e-mail

•

Telnet, penyedia remote login dalam sebuah jaringan

•

SNMP (Simple Network Management Protocol) untuk mengatur konfigurasi, statistic, performa dan sekuritas

•

DNS (Domain Name System) memetakan IP address ke dalam nama tertentu

16

2.

Transport Layer Menentukan

bagaimana

host

pengirim

dan

penerima

membentuk sebuah koneksi sebelum memulai komunikasi. Layer ini terdiri dari dua protocol : •

TCP (Transmission Control Protocol) merupakan protokol

yang

berorientasi

koneksi

(connection

oriented). Protokol ini menggunakan jalur data full duplex •

UDP (User Datagram Protocol) adalah protokol yang memiliki karakteristik connectionless (tidak berbasis koneksi).

3.

Internet Layer Fungsi dari lapisan ini adalah untuk menentukan jalur terbaik dalam sebuah jaringan bagi paket. Protokol yang dimiliki oleh layer ini adalah : •

IP (Internet Protocol) merupakan protokol inti dari TCP/IP. Dalam melakukan pengiriman data, IP memiliki sifat unreliable (datagram tidak pasti akan sampai ke tempat tujuan), tidak berbasis koneksi dan datagram delivery service (paket data independen terhadap paket data yang lain).

•

ICMP (Internet Control Message Protocol) bertugas untuk mengirimkan pesan atau kesalahan dan kondisi lain yang memerlukan perhatian khusus.

17

•

ARP (Address Resolution Protocol) bertanggung jawab dalam menentukan data link dari MAC address bagi alamat IP yang diketahui.

•

RARP

(Reverse

Address

Resolution

Protocol)

kebalikan dari ARP, RARP menentukan alamat IP yang dikenal dalam MAC Address 4.

Network Access Protokol pada lapisan ini menyediakan media bagi sistem untuk mengirimkan data ke device lain yang terhubung secara langsung. Protokol pada layer ini juga bertugas untuk memetakan alamat IP menjadi alamat physic hardware dan melakukan enkapsulasi paket IP menjadi frame.

FTP

HTTP

SMTP

DNS

TCP

DNS

TFTP

UDP

IP

Internet

LAN

Many LANs and WANs

Gambar 2.6 Protokol pada TCP/IP

OSI dan TCP/IP layer memiliki beberapa kesamaan, seperti memiliki application layer dan menggunakan packet-switched. Namun keduanya

18

merupakan dua model yang berbeda. Beberapa perbedaan yang ada diantaranya : •

Application layer yang ada pada model OSI dan TCP/IP mengerjakan tugas yang berbeda

•

TCP/IP mengkombinasikan layer application, presentation dan session pada OSI menjadi satu layer, yaitu application layer

•

TCP/IP mengkombinasikan data link dan physical layer menjadi network access

•

Ketika transport layer pada TCP/IP menggunakan UDP, paket yang dikirim tidak reliable, tidak seperti OSI.

7 Application

Application

6 Presentation

Layers

Application

Protocols

5 Session Transport 4 Transport

Internet 3 Network

Data Flow

2 Data Link

Layers

Network

1 Physical

Networks

Access

Gambar 2.7 TCP/IP dan OSI model

2.1.3 Ancaman Sekuritas Jaringan seringkali dibayangi oleh berbagai macam serangan yang dapat membahayakan data maupun koneksi yang dimiliki oleh sebuah perusahaan (Tanenbaum, A. 2003). Berikut merupakan empat kelompok ancaman sekuritas jaringan yang ada :

19

1.

Ancaman internal (internal threats) Ancaman internal adalah serangan yang diberikan oleh seseorang atau organisasi yang memiliki wewenang atau hak akses atas jaringan yang diserangnya (Cisco Systems, 2009: 198). Ancaman jenis ini seringkali sulit untuk dilindungi karena penyerang sudah memiliki akses terhadap jaringan dan data rahasia dari perusahaan. Untuk pengamanan lebih lanjut dari

ancaman

internal,

perusahaan

kebanyakan

hanya

menggunakan firewall pada jaringan mereka, dan bergantung sepenuhnya kepada Access Control List (ACL) dan server permission. 2.

Ancaman eksternal (external threats) Ancaman

eksternal

dilakukan

oleh

sebuah

organisasi,

perusahaan atau individual dengan upaya untuk mendapatkan akses dari luar jaringan, termasuk mereka yang tidak memiliki wewenang atas jaringan internalnya. Umumnya penyerang mencoba mendapatkan akses dengan cara mengakses server ataupun melalui koneksi

internet.

Serangan

dari luar

merupakan serangan yang paling diupayakan pencegahannya oleh pemilik jaringan. 3.

Ancaman tidak terstruktur (unstructured threats) Ancaman tidak terstruktur merupakan ancaman yang paling umum dialami oleh sistem infrastruktur sebuah perusahaan. Hacker

pemula

akan

mengunduh

software

yang

dikembangkan oleh hacker yang lebih ahli, kemudian

20

menggunakan software tersebut untuk memperoleh informasi, hak akses atau melakukan serangan DoS dengan target sistem maupun perusahaan. 4.

Ancaman terstruktur (structured threats) Ancaman terstruktur merupakan ancaman yang paling berbahaya dan sulit untuk dilawan karena ancaman jenis ini datang dari organisasi atau individu yang menggunakan semacam metodologi untuk mendapatkan hak akses yang tidak sah.

Organisasi

intelijen,

organisasi

kriminal

maupun

pemerintah merupakan penyokong potensial dalam ancaman terstruktur.

Hacker

dengan

pengetahuan

yang

tinggi,

pengalaman serta peralatan yang memadai akan membentuk sebuah ancaman terstruktur yang berbahaya. Jenis-jenis ancaman yang dapat membahayakan jaringan terbagi menjadi dua, yakni program berbahaya (Malicious Software) dan Intruder.

A. Program berbahaya Program berbahaya terdiri dari Trap Doors, Logic Bombs, Trojan Horses, Viruses, Worm dan Zombie. -

Trap Door Trap door umumnya digunakan para programmer untuk debugging

dan pengujian program. Dengan program ini, penyusup dapat memperoleh hak akses terhadap file-file, folder-folder atau data aplikasi tanpa melalui prosedur keamanan dimana pemakai seharusnya tidak dapat mengakses hal tersebut. Trap door menjadi sebuah ancaman ketika digunakan oleh penyusup

21

jahat yang ingin memperoleh hak akses untuk hal yang hanya menguntungkan sebelah pihak, yakni si penyusup. -

Logic Bomb Merupakan sebuah kode atau sandi yang ditempatkan dalam sebuah

program umum yang diatur untuk bekerja pada saat sebuah kondisi berhasil dicapai oleh pengguna program tersebut. Contoh kondisi yang digunakan sebagai pemicu seperti ketika user melakukan suatu perintah saat sedang menggunakan aplikasi dalam satu waktu tertentu atau kondisi tertentu, atau bisa juga keabsenan dari sebuah file tertentu. -

Trojan Horses Sekilas terlihat seperti program yang berguna bagi user, akan tetapi

juga mengandung kode tersembunyi yang jika diaktifkan baik sengaja maupun tidak akan melakukan sebuah fungsi yang dapat membahayakan data pengguna. Program terlihat melakukan fungsi yang berguna, padahal program tersebut secara diam-diam menghapus file-file user. Motif umum dari trojan horses adalah penghancuran data, dan secara tidak langsung tujuan tersebut hanya bisa dicapai oleh user yang memiliki autentikasi yang benar. -

Zombie Merupakan sebuah program yang secara rahasia dapat mengambil alih

komputer yang tersambung dengan internet, kemudian menggunakan komputer tersebut untuk melakukan serangan yang sulit dilacak menuju tujuan dari pembuat zombie tersebut. Zombie pada umumnya digunakan dalam serangan denial-of-service (DoS), terutama dalam target penyerangan website.

22

-

Virus Cara kerja dan sifat dari virus mirip seperti penyakit, program tersebut

akan menyerang sebuah program dan memodifikasi program tersebut, dan hasil modifikasi dari program tersebut dapat menyebar ke program dan komputer lainnya. Program-program sejenis ini tentunya tidak diharapkan dan akan mengganggu user dari komputer. Penyebaran virus secara umum dilakukan dengan dua cara : •

Melalui pertukaran perangkat lunak, kebanyakan melalui flash disk atau hard disk. Perangkat lunak disini umumnya tidak berasal langsung dari pembuatnya, termasuk juga perangkat lunak tidak resmi (bajakan).

•

Melalui media internet, seperti attachment file di e-mail (surat elektronik). Virus akan menyusup ke dalam file-file yang dikirimkan melalui e-mail, seperti data dari word-processor, spread-sheet, dan sebagainya. Tetapi karena virus merupakan program yang harus dieksekusi terlebih dahulu sebelum mampu bekerja, maka tidak perlu khawatir akan penyebaran virus melalui data-data tersebut selama file tidak dijalankan.

-

Worms Merupakan program komputer yang mampu melipatgandakan dirinya

sendiri. Worm dapat menggunakan jaringan komputer untuk memperbanyak programnya ke sistem lain agar dapat melakukan aksi yang tidak diharapkan, seperti mematikan sistem yang ada atau menghabiskan sumber daya komputer. Berbeda dengan virus, worm tidak perlu menggunakan program

23

host. Seperti bakteria, sekali worm aktif dalam sebuah sistem ia dapat bekerja seperti virus komputer dan juga dapat mengimplementasi program trojan horse.

B. Intruder Intruder bertujuan untuk memperoleh hak akses ke sebuah sistem untuk meningkatkan jangkauan izin akses ke suatu sistem (Stallings, 2003:565). Intruder terbagi menjadi tiga jenis : -

Masquerader. Disini terjadi pencurian hak akses, si pencuri

akan memasuki kontrol akses sistem dan mengeksploitasi account user yang sah. -

Misfeasor. User yang sah akan menyalahgunakan hak akses

yang dimilikinya untuk mengakses aksi atau data yang seharusnya tidak diperbolehkan. -

Clandestine user adalah individu yang mendapatkan kontrol

dari sistem dan menggunakannya untuk menghindari auditing, dan mengakses data atau program yang ada. -

Masquader biasanya datang dari pihak luar, misfeasor dari

orang dalam, sementara clandestine user bisa datang dari pihak dalam maupun pihak luar. Kebanyakan, informasi yang diinginkan dari aksi intruder berbentuk password.

24

2.2

Teori Khusus 2.2.1 Teknologi VLAN VLAN (Virtual Local Area Network) merupakan sebuah teknologi

yang diaplikasikan ke dalam sebuah jaringan untuk melakukan pembagian network secara logika ke dalam beberapa subnet. Dengan menggunakan software manajemen, VLAN dikonfigurasi agar dapat saling berkomunikasi meskipun secara fisikal tidak terhubung pada segmen LAN yang sama (Cisco Systems, 2009). Dengan menggunakan teknologi VLAN, akan ada banyak subnet dalam jaringan meskipun menggunakan switch yang sama. Beberapa keuntungan dari penggunaan teknologi VLAN diantaranya : •

Security. Dari segi sekuritas, lalu lintas data akan dibatasi

berdasarkan segmen, sehingga keamanan alur pengiriman data dari setiap divisi akan lebih secure. •

Cost Reduction. Dapat menghemat penggunaan bandwidth

yang ada dan meminimalisir upgrade untuk perluasan network yang akan memakan biaya lebih besar. •

Higher performance. Pembagian jaringan pada layer 2 ke

dalam beberapa kelompok broadcast domain yang lebih kecil tentunya akan mengurangi lalu–lintas paket yang tidak dibutuhkan dalam jaringan. •

Improved

IT

staff

efficiency.

VLAN

mempermudah

manajemen jaringan, dikarenakan pengguna yang memakai sumber daya yang sama akan saling berbagi dalam satu segmen.

25

•

Broadcast storm mitigation. Pengurangan device yang

berpartisipasi dalam pembuatan broadcast storm, karena ada pembatasan broadcast domain. •

Simpler project or application management. VLAN akan

mendorong para pengguna jaringan dan peralatan jaringan untuk mendukung perusahaan dan menangani permasalahan kondisi geografis.

2.2.2

IP versi 4 (IPv4) Alamat IPv4 merupakan sebuah jenis pengalamatan jaringan yang

digunakan pada protokol jaringan TCP/IP dengan menggunakan protokol IP versi 4, dengan panjang total adalah 32 bit. IPv4 terbagi menjadi beberapa jenis, yakni : •

Alamat Unicast Merupakan alamat IPv4 yang digunakan untuk sebuah antarmuka jaringan yang dihubungkan ke sebuah internetwork IP. Alamat unicast digunakan dalam komunikasi point-to-point.

•

Alamat Broadcast Alamat IPv4 yang didesain agar diproses oleh setiap node IP dalam segmen jaringan yang sama. Alamat broadcast digunakan dalam komunikasi one-to-everyone.

•

Alamat Multicast Didesain agar diproses oleh satu atau beberapa node dalam segmen jaringan yang sama ataupun berbeda. Maksudnya, alamat multicast digunakan dalam komunikasi one-to-many.

26

Dalam IPv4, alamat IP dibagi ke dalam 5 kelas yang berbeda, yaitu : Tabel 2.2 Class IPv4 Class Network Bits

Host Bits

Oktet Desimal

Subnet Mask

A

8 bits

24 bits

1 – 126

255.0.0.0

B

16 bits

16 bits

128 – 191

255.255.0.0

C

24 bits

8 bits

192 – 223

255.255.255.0

224 – 239

N/A

240 – 255

N/A

D E

Digunakan pada multicast Untuk eksperimen dimasa depan


Kelas A -

Subnet mask default kelas A adalah 255.0.0.0

-

Bit pertama alamat kelas A diatur ke nilai biner 0

-

Merupakan rentang IP yang digunakan untuk jaringan skala besar

-

8 bit pertama digunakan untuk alamat network, sementara 24 bit berikutnya digunakan untuk alamat host


Kelas B -

Subnet mask default kelas B adalah 255.255.0.0

-

Dua bit pertama alamat kelas B diatur ke nilai biner 10

-

Digunakan pada jaringan skala menengah hingga skala besar

-

16 bit pertama digunakan untuk alamat network sementara 16 bit berikutnya digunakan untuk alamat host


Kelas C -

Subnet mask default kelas C adalah 255.255.255.0

27

-

Tiga bit pertama kelas C selalu dengan nilai biner 110

-

Skala penggunaan dibatasi untuk jaringan skala kecil

-

24 bit pertama digunakan untuk alamat network, sementara 8 bit berikutnya untuk alamat host


Kelas D -

Disediakan

hanya

untuk

alamat–alamat

multicast,

membuatnya berbeda dengan tiga kelas sebelumnya -

Empat bit pertama dari kelas D selalu bernilai biner 1110

-

28 bit selain empat bit pertama digunakan sebagai alamat untuk mengenali host


Kelas E -

Alamat kelas ini disediakan sebagai alamat yang sifatnya ‘eksperimental’, yang dicadangkan untuk digunakan pada masa depan

-

Empat bit pertama selalu diatur pada nilai biner 1111

-

28 bit selain dari empat bit pertama digunakan sebagai alamat untuk mengenali host

2.2.3

NAT (Network Address Translation) NAT merupakan sebuah metode dalam jaringan komputer yang

memiliki fungsi untuk menghubungkan sekumpulan komputer ke jaringan internet dengan menggunakan satu alamat IP. Dengan menggunakan metode NAT, maka akan mengurangi penggunaan alamat IP yang berlebihan, dan meningkatkan fleksibilitas untuk melakukan koneksi ke internet dan dalam

28

administrasi jaringan. Konfigurasi NAT sendiri terbagi menjadi dua, yakni static NAT dan dynamic NAT. •

Static NAT merupakan konfigurasi pemetaan one-to-one antara alamat IP private yang berada didalam dengan alamat IP publik. NAT statis menggunakan table routing yang tetap, dimana alokasi translasi alamat IP ditetapkan sesuai dengan alamat asal atau source ke alamat tujuan sehingga tidak memungkinkan terjadi pertukaran data jika alamat IP belum terdaftar didalam tabel NAT.

Gambar 2.8 NAT statis •

NAT yang memiliki tipe dinamis menggunakan logika balancing dan pada umumnya membutuhkan access-list untuk mengatur alamat– alamat IP yang ingin dilakukan translasi. NAT dinamis yang umum digunakan adalah NAT overloading, yakni kondisi dimana sejumlah alamat IP lokal ditranslasi ke satu alamat global.

Gambar 2.9 NAT dinamis

29

2.2.4

EIGRP (Encanced Interior Gateway Routing Protocol) EIGRP (Encanced Interior Gateway Routing Protocol) adalah routing

hybrid berbasis Cisco yang mengkombinasikan distance vector dan teknologi link-state (Wijaya C, 2011:355-360). Dengan routing table yang terpisah, EIGRP dibuat untuk mendukung protokol IP, IPX dan AppleTalk. EIGRP menggunakan algoritma DUAL (Diffusing Update Algorithm).

2.2.5

Open Shortest Path First (OSPF) OSPF adalah sebuah routing protokol berjenis IGP (Interior Gateway

Protocol) yang dapat diterapkan dan bekerja dalam jaringan internal dari suatu organisasi atau perusahaan. Routing OSPF menggunakan konsep hirarki routing, yakni membagi–bagi jaringan menjadi beberapa tingkatan. Tingkatan–tingkatan

ini

diwujudkan

dengan

menggunakan

sistem

pengelompokan area. OSPF memiliki tiga tabel dalam router, yaitu : •

Routing table Biasa juga disebut sebagai forwarding database, yang berisi lowest cost untuk mencapai router-router atau network lainnya. Setiap router akan memiliki routing table yang berbeda–beda.

•

Adjecency database Database ini berisi semua router tetangganya. Adjecency database tentu akan berbeda di setiap router, karena pasti memiliki router tetangga yang berbeda.

30

•

Topological database Database ini berisi seluruh informasi mengenai router yang berada di dalam satu network atau areanya. Tabel 2.3 Perbedaan EIGRP dan OSPF

2.2.6

EIGRP

OSPF

Tidak mendukung vendor lain

Open standard, mendukung

selain Cisco

berbagai vendor

Algoritma DUAL

Algoritma SPF

Tidak mendukung jaringan hirarki

Dapat membentuk jaringan hirarki

Hierarchical Network Jaringan yang hirarki merupakan titik yang ingin dicapai dalam

penerapan routing protocol OSPF. Model jaringan hirarki sendiri terbagi menjadi tiga layer, yaitu core, distribution dan access. Beberapa keuntungan dari jaringan hirarki diantaranya : 1. Scalability. Pengembangan dari jaringan menjadi lebih mudah dilakukan. 2. Redudancy. Dapat menjamin ketersediaan jalur pada level core dan distribution. 3. Performance. Performa switch pada level core dan distribution menjadi lebih handal (link aggregation). 4. Security. Port keamanan pada level access serta aturan yang terdapat pada level distribution membuat jaringan dapat menjadi lebih aman.

31

5. Manageability. Konsistensi dari switch di setiap level membuat manajemen jaringan menjadi lebih mudah untuk dilakukan. 6. Maintainability. Modularitas dari desain hirarki mengijinkan jaringan terbagi tanpa membuatnya menjadi rumit.

2.2.7

BGP (Border Gateway Protocol) BGP merupakan sebuah routing yang dilakukan antara autonomous

system yang berbeda untuk dapat melakukan pertukaran informasi internet dan dijadikan sebagai routing utama oleh ISP (Internet Service Provider) (Nicholes, M., Mukherjee, B., 2009:136). Routing BGP terbagi menjadi dua, yakni Eksternal BGP dan Internal BGP. Dikatakan sebagai eksternal jika BGP dipakai dalam autonomous system yang berbeda. Ketika ISP melakukan routing BGP dalam satu autonomous system, maka protokol disebut sebagai Interior BGP.

2.2.8

Access Control List (ACL) ACL adalah sebuah script konfigurasi pada router untuk mengatur

apakah sebuah paket mendapatkan izin atau tidak berdasarkan kriteria yang ditemukan dalam header paket tersebut. ACL merupakan salah satu objek yang sering digunakan dalam perangkat lunak IOS Cisco. Beberapa bagian penggunaan ACL diantaranya : •

Dalam router firewall. ACL diposisikan diantara jaringan internal dan jaringan eksternal, seperti internet

32

•

ACL dapat dibuat pada router yang berada diantara dua bagian dari jaringan untuk mengontrol masuk dan keluar dari jaringan internal

•

Konfigurasi ACL pada router-router yang terletak diujung jaringan, atau diantara area yang kurang pengamanan maupun kontrol

•

ACL juga dapat dikonfigurasi pada sebuah interface untuk menyaring lalu lintas yang masuk, lalu lintas keluar, maupun keduanya

Cisco ACL terbagi menjadi dua tipe, standard dan extended. 1.

Standard ACL ACL sejenis ini berfungsi untuk member izin atau menolak lalu lintas dari alamat IP pengirim, sementara tujuan dari paket dan port yang terlibat diabaikan. Sebagai contoh, mengizinkan semua traffic dari network 192.168.30.0/24. Karena tersirat “deny any”, maka semua traffic lainnya akan ditolak oleh ACL.

2.

Extended ACL Extended ACL memfilterisasi paket IP berdasarkan beberapa atribut, seperti tipe protokol, alamat IP pengirim dan penerima, IP penerima, port TCP mupun UDP pengirim dan port TCP maupun UDP penerima.

33

2.2.9

Konsep Dasar Demilitarised Zone (DMZ) DMZ merupakan mekanisme yang dimiliki untuk melindungi sistem

internal sebuah perusahaan dari serangan pihak luar yang ingin memasuki sistem tanpa memiliki hak akses serta sebagai pelindung agar dapat melakukan koneksi serta hosting secara aman. Firewall DMZ terletak diantara suatu jaringan korporat (private LAN) dengan jaringan public (internet). Pada umumnya setiap layanan yang sedang diberikan kepada pengguna dalam jaringan eksternal dapat ditempatkan dalam DMZ. Yang paling umum dari layanan ini adalah web server, ftp server, VoIP dan DNS. Selain itu, proxy server juga dianjurkan untuk dipasang dalam DMZ, hal ini dilakukan untuk memungkinkan administrator sistem untuk memantau aktivitas penggunaan internet para karyawan serta memungkinkan perusahaan untuk menghemat bandwidth internet. Ada banyak cara guna merancang sebuah jaringan menggunakan DMZ. Dua metode yang paling dasar adalah dengan satu firewall (seringkali disebut sebagai model berkaki tiga) dan firewall ganda. •

Satu firewall (Single firewall) Merupakan sebuah firewall yang memiliki minimal 3 (tiga) antarmuka jaringan; jaringan eksternal terbentuk dari ISP ke firewall pada antarmuka jaringan pertama, jaringan internal yang terbentuk dari kedua antarmuka jaringan dan DMS yang terbentuk dari antarmuka jaringan ketiga.

34

Trusted Network

DMZ Servers Perimeter Firewall

Untrusted Network Gambar 2.10 Single firewall •

Firewall ganda (Dual firewall) Penggunaan firewall ganda dapat menciptakan DMZ yang lebih

secure.

Firewall

pertama

(front-end

firewall)

dikonfigurasi untuk memberikan akses lalu lintas hanya untuk DMZ. Sementara firewall kedua (back-end firewall) dibuat hanya untuk akses dari DMZ menuju jaringan internal. Trusted Network

DMZ Servers

DMZ Firewall

Perimeter Firewall

Untrusted Network Gambar 2.11 Dual firewall

35

2.2.10 UTM (Unified Threat Management) Keamanan jaringan kini menjadi prasyarat mutlak dalam menggelar infrastruktur jaringan komputer dalam sebuah perusahaan. Selain itu, seringkali network administrator disulitkan dengan banyaknya perangkat yang harus menjalankan fungsi jaringan tertentu sehingga menyulitkan dalam melakukan maintenance maupun sentralisasi jaringan. Sebagai contoh: fungsi firewall oleh box hardware firewall, fungsi antivirus dengan aplikasi tersendiri, fungsi routing dijalankan khusus perangkat router dan sebagainya. Guna mengatasi masalah tersebut diusulkan penggunaan perangkat Unified Threat Management (UTM). Keuntungan utama UTM adalah kesederhanaan

instalasi

serta

efisiensi

dalam

penggunaannya,

dan

berkemampuan untuk mempebaharui semua fungsi keamanan atau program secara bersamaan (Bambang H, Benny, Defendy, Wahyu H, 2010:1-15). UTM memiliki berbagai macam elemen hardware dan software yang dapat melindungi jaringan, seperti firewall, IPS, antivirus dan antispam, content filtering dan masih banyak lagi. Seiring dengan tumbuh dan berkembangnya ancaman, produk UTM dapat disesuaikan untuk bersaing dengan mereka semua. Hal ini menghilangkan kebutuhan admin untuk mempertahankan program keamanan ganda dari waktu kewaktu.

IPS IPS (Intrusion Prevention Systems) dapat melindungi jaringan internal dari serangan yang berasal dari dalam serta luar perimeter jaringan. IPS juga dianggap sebagi komponen penting dari firewall. Komponen IPS dalam UTM dapat mendeteksi dan memblokir kegiatan yang berbahaya.

36

IDS IDS (Intrusion Detection System) adalah satu cara umum melakukan otomatisasi pada pengawasan penyusupan (Wajong, Andre. 2012:480). IDS dapat mendeteksi jenis serangan dari signature atau pattern pada aktifitas yang terdapat didalam jaringan.

Filterisasi Konten Web Filterisasi Web berfungsi untuk mengurangi tampilan web dari paparan spyware, phishing, pharming, dan ancaman lain yang seringkali datang dari internet. Fitur ini dapat melakukan scan terhadap setiap web yang diterima oleh firewall policy. Dengan filterisasi konten dapat membuat blacklist terhadap kata maupun frasa yang dilarang, dan URL blocking dapat memblokir alamat situs yang tidak sah.

Antispam Anti-spam filtering dapat memblokir jenis-jenis ancaman seperti bots, termasuk memblokir alamat IP untuk mencegah penerimaan e-mail dari alamat tersebut, memblokir pesan dengan isi pesan yang berkaitan dengan spam yang diketahui, memblokir e-mail dengan mencocokkan konten dengan kata-kata atau pola spam yang ada pada daftar.

Antivirus Antivirus adalah program untuk mendeteksi dan membersihkan komputer dari virus (Stallings, 2003:609). Virus memiliki perkembangan yang paling cepat dan bervariasi, sehingga program antivirus harus

37

melakukan updating secara rutin agar tetap dapat mendeteksi dan membersihkan virus-virus baru yang bermunculan. Ada 4 (empat) generasi antivirus, yaitu : a.

Generasi 1 : scanner sederhana. Scanner dari generasi pertama membutuhkan signature dari virus untuk mengidentifikasi sebuah virus.

b.

Generasi 2 : scanner heuristik Scanner generasi dua tidak memerlukan signature spesifik dari sebuah virus, tetapi ada aturan heuristic untuk mencari kemungkinan dari infeksi yang dilakukan oleh virus.

c.

Generasi 3 : trap aktivitas Generasi ketiga mengidentifikasi kehadiran sebuah virus dengan mendeteksi aksi yang dilakukannya daripada struktur program yang terinfeksi.

d.

Generasi 4 : proteksi fitur penuh Program generasi keempat merupakan satu paket yang memiliki variasi teknik antivirus yang digunakan secara bersama, termasuk scanning dan komponen trap dari aktivitas.

DLP (Data Loss Prevention) DLP disebut juga sebagai perlindungan terhadap kebocoran data, merupakan salah satu elemen yang mampu membantu mencegah perpindahan informasi secara sengaja maupun tidak sengaja kepada seseorang diluar organisasi. Contoh informasi disini seperti data personal, data akuntansi maupun data organisasi.

38

DLP membuat admin dapat mengontrol data melalui penyaringan inbound dan outbound, sidik jari, dan masih banyak lagi.