BAB 2 LANDAS AN TEORI
Jaringan komputer bukanlah sesuatu yang baru saat ini. Hampir di setiap perusahaan terdapat jaringan komputer untuk memperlancar arus informasi di dalam perusahaan tersebut. Dalam komunikasi jaringan membutuhkan beberapa model untuk membangunnya agar menjadi model jaringan yang sempurna sesuai dengan kebutuhan yang diinginkan. M odel-model yang dibutuhkan akan dijelaskan pada bab ini mulai dari model jaringan kecil sampai dengan model untuk jaringan besar. Dalam membangun suatu jaringan juga dibutuhkan sebuah topologi yang jelas. Sebuah organisasi dalam membangun sebuah jaringan maka membutuhkan koneksi ke internet. Koneksi-koneksi internet tersebut bisa berupa HTTP, WWW, URL ataupun bisa berupa koneksi ke email. Pada bab ini juga terdapat beberapa aturan yaitu aturan sendiri atau sering disebut dengan protokol jaringan. Selanjutnya akan dijelaskan dua buah model referensi, yaitu model referensi OSI yang menjadi standar internasional dan model referensi TCP/IP. Perkembangan teknologi informasi pada saat ini sangat pesat, di sisi lain diikuti pula dengan semakin berkembangnya tingkat kejahatan di dunia maya. Setiap serangan yang dilakukan oleh pihak yang tidak berhak dapat diamankan dengan bentuk pengamanan tertentu. Oleh karena itu, pada bab ini akan dijelaskan tentang keamanan jaringan, peran keamanan jaringan bagi perusahaan, pembangunan kebijakan keamanan jaringan yang sesuai bagi perusahaan, ancaman-ancaman serangan yang dapat timbul
dari celah keamanan yang ada, serta sistem keamanan yang baik untuk menghadapi serangan-serangan yang mungkin terjadi. Firewall merupakan teknologi yang sesuai untuk menjaga sumber daya perusahaan dari ancaman-ancaman yang timbul dari celah keamanan saat ini. Oleh karena itu, pada bab ini juga akan dijabarkan tentang teknologi firewall yang digunakan untuk sistem keamanan dalam sebuah jaringan yang akan dibangun. Penjelasan tentang jenis-jenis dari firewall yang akan digunakan serta kekurangan dan kelebihan dari setiap penggunaan firewall. Selanjutnya teknologi DMZ untuk mendukung fungsi firewall juga akan dibahas pada bagian akhir. Untuk menghubungkan teori-teori tersebut maka diperlukan beberapa landasan teori yang akan dijelaskan pada bab ini.
2.1
Jaringan 2.1.1
Pengertian Jaringan Kata jaringan atau network memiliki banyak arti tergantung dari ruang
lingkup studinya. Kata network yang dimaksud di sini berada dalam lingkup studi sistem informasi yang memiliki definisi sebagai kumpulan dua atau lebih komputer yang masing – masing berdiri sendiri dan terhubung melalui sebuah teknologi. Hubungan antar komputer tidak hanya terbatas berupa kabel tembaga saja, namun juga bisa melalui fiber optic, gelombang microwave, infrared, bahkan melalui satelit (Tanenbaum, 2003). Network sendiri memiliki banyak kegunaan dan tergantung dimana network itu digunakan, mulai dari instant-
messaging dan hiburan di rumah sampai resource-sharing dan videoconferencing di sebuah perusahaan. Beberapa manfaat dari jaringan adalah sebagi berikut.
Jaringan dapat digunakan untuk memanajemen sumber daya sehingga dapat lebih efisien.
Jaringan dapat digunakan untuk membantu mempertahankan informasi agar dapat up-to-date.
Jaringan membantu mempercepat proses mengirimkan data.
Jaringan dapat membantu kelompok kerja berkomunikasi dengan lebih efisien.
2.1.2
Konsep Jaringan Jaringan adalah suatu link yang menghubungkan antar node. Dalam
konsep dasar dikenal dengan istilah – istilah yang sering digunakan dalam jaringan, yaitu :
Titik menggambarkan simpul.
Garis menggambarkan saluran.
Konsep dari jaringan ini terbagi menjadi 2 bagian yaitu :
Undirect network, dalam konsep jaringan ini jurusan/tujuan lintasan tidak diperhatikan.
Directed network, dalam konsep jaringan ini jurusan/tujuan lintasan diperhatikan.
2.1.3
Jenis – Jenis Jaringan Berdasarkan wilayah geografis yang dapat dijangkau network dapat
diklasifikasikan menjadi empat jenis
Personal Area Network (PAN) Personal Area Network adalah jaringan komputer yang digunakan untuk komunikasi antara perangkat informasi dan ditujukan untuk satu orang saja. Contoh: PC, printer, dll.
Gambar 2.1 Personal Area Network
Lokal Area Network (LAN) Lokal Area Network adalah jaringan komputer yang jaringannya hanya mencakup area kecil seperti jaringan komputer gedung, kantor, rumah, kampus, sekolah atau yang lebih kecil dan merupakan tipe jaringan berkecepatan tinggi dan memiliki tingkat error yang rendah. M enurut Downes
(1998),
Lokal
Area Network
merupakan
jaringan
yang
berkecepatan tinggi dan meilikin tingkat toleransi kesalahan, serta mencakup luas area geografis yang kecil. Biasanya Lokal Area Network menggunakan tipe IEEE 802.3 yang kecepatan transfer mencapai 10, 100, 1000 M bit/s. tingkat kesalahan dalam pengiriman data rendah karena hanya dalam area yang kecil. Beberapa teknologi LAN yang biasa digunakan adalah Ethernet, Token Ring dan Fiber Distributed Data Interface (FDDI).
Gambar 2.2 Local Area Network
M etropolitan Area Network (M AN) M etropolitan Area Network adalah jaringan yang meliputi area lebih besar dari LAN, misalnya antara wilayah dalam satu propinsi. Dalam hal ini jaringan menghubungkan beberapa buah jaringan – jaringan kecil ke dalam lingkungan area yang lebih besar. M etropolitan Area Network mencakup area geografis sebuah kota seperti jasa televise kabel dalam sebuah kota.
Gambar 2.3 M etropolitan Area Network
Wide Area Network (WAN) Wide Area Network adalah jaringan komputer yang merupakan gabungan dari beberapa LAN. Wide Area Network merupakan tipe jaringan yang beroperasi dalam wilayah grafis yang luas, membuat pengguna dapat melakukan komunikasi dengan pengguna yang lain tanpa mengenal jarak,
mendukung email, internet, dan file transfer. M enurut Downes et al (1998), Wide Area Network adalah jaringan data komunikasi yang mencakup area geografis yang luas dan sering menggunakan fasilitas yang disediakan oleh pihak yang umum seperti perusahaan telepon. Wide Area Network bekerja pada physical layer, data link layer dan network layer dari model OSI. Untuk merancang Wide Area Network diperlukan beberapa protocol maupun device. Jenis – jenis protocol yang biasa digunakan dalam Wide Area Network antara lain adalah : 1. Frame Relay 2. Digital Subscriber Line (DLS) 3. Integrated Service Digital Network (ISDN) 4. M ulti Protocol Label Switching (M PLS) 5. Internet Protocol Virtual Private Network(IP VPN) Dan device – device yang biasa digunakan antara lain adalah 1. Router 2. Communication server 3. Frame relay switch 4. M odem CSU / DSU
Gambar 2.4 Wide Area Network
2.1.4
Arsitektur dan Topologi Jaringan Beberapa faktor yang perlu diperhatikan dalam mendesain sebuah
jaringan adalah sebagai berikut :
Jaringan Interkoneksi Jaringan interkoneksi adalah suatu sistem komputer atau komunikasi yang tersebar dalam suatu sistem yang umum yang memperhatikan parameter – parameter efisiensi tertentu berupa waktu dan biaya. Jaringan interkoneksi merupakan salah satu syarat untuk mendesain suatu jaringan.
Topologi Jaringan Wilayah – wilayah dalam sistem terdistribusi dapat terhubung melalui berbagai macam cara yang ditentukan berdasarkan kriteria – kriteria sebagai berikut : • Biaya instalasi meliputi menghubungkan wilayah – wilayah dalam sistem yang berjalan. • Biaya komunikasi meliputi besar waktu dan uang untuk mengirimkan pesan dari satu wilayah ke wilayah yang lain. • Ketersediaan yaitu sampai sejauh mana data dapat diakses walaupun terdapat gangguan terhadap beberapa link. M acam – macam topologi jaringan yang sering digunakan dalam suatu
membuat suatu jaringan dibagi menjadi 2 jenis yaitu :
Physical Topologi Physical Topologi. Topologi ini menggambarkan kondisi yang sebenarnya dari suatu jaringan yang ada.
Logical Topologi Logical Topologi. Topologi ini menggambarkan bagaimana sebuah host berkomunikasi melalui medium.
2.1.4.1 Physical Topologi Physical Topologi secara umum terdiri dari lima model yaitu: • Bus Topologi ini memiliki karakteristik sebagai berikut :
M erupakan satu kabel yang kedua ujungnya ditutup, dimana sepanjang kabel terdapat nodes.
Umum digunakan karena sederhana dalam instalasi dan biaya pembangunan jaringan relative lebih murah.
Problem terbesar yang mungkin terjadi jika kabel yang digunakan terputus makan seluruh kegiatan yang terjadi dalam jaringan tersebut akan terhenti.
Gambar 2.5 Topologi Bus
• Ring Topologi ini memiliki karakteristik sebagai berikut :
Lingkaran tertutup berisi node.
Sederhana dalam layout.
Signal mengalir dalam satu arah, sehingga dapat menghindari terjadi nya collision (dua paket data tercampur), sehingga memungkinkan pergerakan data yang cepat.
Pada topologi ring seringkali direalisasaikan dengan sebuah konsentrator dan kelihatan seperti topologi star.
Gambar 2.6 Topologi Ring
• Star Topologi ini memiliki karakteristik sebagai berikut :
Setiap node berkomunikasi langsung dengan central node, traffic data mengalir dari node ke central node dan kembali lagi.
M udah dikembangkan karena setiap node memiliki kabel yang langsung terhubung ke central node.
Keunggulan dari topologi star adalah jika terdapat kabel node yang terputus makan lainnya tidak akan terganggu.
Dapat digunakan kabel yang “lower grade” karena hanya menghandle satu traffic node, kabel yang biasa digunakan ada kabel UTP.
Gambar 2.7 Topologi Star
• M esh Pada topologi ini semua komputer terhubung secara langsung antara komputer yang satu dengan komputer lain nya. Biasanya topologi ini digunakan untuk membangun suatu jaringan yang bersifat redundant. Keuntungan
model
topologi
ini
adalah
reliabilitasnya
dapat
diandalkan. Kelemahan dari model topologi mesh ini adalah biaya pembangunan yang dikeluarkan relatif lebih mahal dan kurang effisien
jika terdapat penambahan device baru dalam suatu jaringan yang sudah terbentuk.
Gambar 2.8 Topologi M esh
2.1.4.2
Logical Topologi Logical topologi menggambarkan
bagaimana sebuah
host
mengakses media jaringan ketika akan mengirim data. Ada dua cara untuk mengakses media ini yaitu dengan metode broadcast dan metode token pasing. •
Broadcast
M etode broadcast adalah metode untuk mengakses data, dimana ketika satu host mengirim data maka data akan dikirimkan kesemua jaringan tersebut. Kelemahan dari metode broadcast ini adalah jika ada satu host yang sedang mengirim data maka host yang lain tidak dapat mengirimkan data secara bersamaan. Apabila ada 2 host yang mengirim data secara bersamaan maka akan terjadi collision (tabrakan data atau bahkan data yang dikirim secara bersamaan akan tercampur). Sehingga untuk mengirimkan data maka berlaku sistem first come first serve. Beberapa teknologi LAN yang menggunakan metode broadcast antara lain Ethernet, Bus, Tree, Star, M esh, Ring. •
Token Passing Pada model ini, jaringan komputer dikendalikan oleh sebuah token elektronik. Token ini dimiliki secara bergantian dari satu komputer ke komputer berikutnya secara berurutan. Hanya komputer yang memiliki token yang dapat mengirimkan data ke jaringan. Jika komputer yang memiliki token tidak menginginkan mengirimkan data maka komputer tersebut akan menyerahkan token tersebut ke komputer berikutnya. Terdapat dua teknologi yang menggunakan sistem seperti ini FDDI dan Token Ring.
2.2
Internet M enurut
Iwan
Sofana
(2010,
pp239-241)Internet
berasal
dari
kata
internetworking yang berarti network dari network. Jadi, secara singkat dapat dikatakan bahwa internet adalah kumpulan berbagai macam sistem jaringan komputer di dunia yang terkoneksi satu sama lain dan dapat saling berkomunikasi satu sama lain. Beberapa layanan standar yang biasa dapat ditemui di Internet, dengan layanan inilah Internet mampu berkembang sehingga semakin banyak orang merasa perlu bergabung dalam Internet. Internet lahir pada era 60-an atau tepatnya tahun 1969. Internet berawal dari proyek riset yang disponsori oleh DARPA (Defense Advanced Research Projects Agency). Riset ini bertujuan untuk mengembangkan suatu jaringan komputer yang: •
Bekerja secara transparan, melalui bermacam-macam jaringan komunikasi data yang terhubung satu dengan yang lainnya.
•
Tahap terhadap berbagai gangguan (bencana alam, serangan nuklir dan lain-lain. Setelah pengembangan jaringan tersebut terbentuknya ARPANET (Advanced
Reasearch Projects A gency Network). ARPANET dapat dikatakan sebagai jaringan komputer yang pertama di dunia. ARPANET dibangun pada akhir tahun 1969 dan awal tahun 1970. Pada waktu itu Universitas UCLA menjadi node atau titik pertama pada jaringan ARPANET. Sedangkan node kedua adalah Universitas Stanford. Perangkat yang digunakan untuk menghubungkan kedua node tersebut disebut IM P (Interface M essage Processor). Baik Stanforf maupun UCLA memiliki perangkat IM P. Untuk
menghubungkan kedua unversitas tersebut digunakan saluran telepon yang dibangun oleh AT&T. Tahun 1972, ARPANET didemonstrasikan di depan peserta the First International Conference on Computer Communications dengan menghubungkan 40 node. Kemudian pada tahun 1990, ARPANET diubah menjadi Internet. Secara singkat, sejarah perkembangan ARPANET hingga kemunculan Internet sebagai berikut: •
Tahun 1957, DoD membentuk ARPA (Advanced Research Projects Agency).
•
Tahun 1969, ARPANET terbentuk.
•
Tahun 1970 ARPANET menghubungkan UCLA, UCSB, U-Utah & Stanford.
•
Tahun 1973, ARPANET menghubungkan University College London dan Royal University Norway.
•
Tahun 1982, model jaringan Internet dikembangkan.
•
Tahun 1990, ARPANET kemudian dikenal dengan Internet.
Layanan apa saja yang dapat diberikan atau didapatkan, layanan manakah yang dikendalikan sedemikian rupa sehingga keamanan data masih dapat dijaga. Setiap jaringan atau perusahaan atau bahkan pribadi, mempunyai kepentingan yang berbeda dalam kaitannya dengan layanan ini sehingga setiap jaringan harus diperlakukan berbeda berdasarkan kepentingan layanan yang ingin digunakan.
2.2.1
World Wide Web World Wide Web merupakan layanan yang paling banyak digunakan di
Internet. Beberapa hal yang menyangkut World Wide Web ini : •
HTTP (Hyper Text Transfer Protocol) HTTP merupakan protocol utama dimana World Wide Web dapat berjalan. HTTP inilah yang memberikan akses kepada pemakai untuk membaca file, melihat gambar, mendengarkan lagu, dan bahkan memutar video.
•
HTM L (Hypertext M arkup Language) HTM L merupakan bahasa yang standar yang digunakan dalam protocol HTTP. Bahasa ini menyangkut bagaimana membuat tulisan dengan format tertentu, termasuk menampilkan gambar, lagu, dan video.
•
Web Browser Web Browser merupakan program client yang digunakan untuk membuka akses HTTP dan membaca format HTM L. Web Browser ini bertugas mengirimkan permintaan akan data ke Web Server dan kemudian Web Server akan mengirimkan hasilnya. Netscape, Internet Exploler, dan Opera merupakan sebagian kecil program yang banyak diminat oleh para pemakai.
•
URL (Uniform Resource Locator) URL merupakan alamat untuk mengidentifikasikan alamat server mana yang akan diakses oleh Web Browser.
•
Email dan News Sarana berkomukasi yang digunakan selain melalui nomor telepon, banyak orang meminta alamat email untuk berkomunikasi. Email dan News
memberikan
kesempatan
kepada
orang
lain
untuk
berkomunikasi seperti layaknya menggunakan surat tetapi bersifat elektronis.
2.2.2
Simple Mail Transfer Protocol M enurut Zwicky (2000) Simple M ail Transfer Protocol (SMTP)
merupakan protocol standar Internet untuk menerima dan mengirim email. Layanan inilah yang membuat email dapat dikirim ke alamat yang dituju. Untuk mengambil email yang terletak pada server, biasanya digunakan program dengan protocol POP3 atau IM AP. Program ini akan membuka komunikasi dengan Server yang menampung email dan kemudian mengambil email yang dimaksud sesuai dengan penerimanya.
•
Transfer File Dalam berkomunikasi Email memiliki keterbatasan transfer data dalam jumlah besar. Hal tersebut dapat dilakukan, Email mempunyai keterbatasan dalam penyediaan file untuk dipindahkan. FTP (File Transfer Protokol) dikenal sebagai salah satu protocol standar untuk transfer file antar komputer. Lokasinya diidentifikasi dengan URL yang dimulai dengan ftp. Untuk mengakses file di FTP server dapat digunakan program yang disebut FTP client dimana program ini akan membuka jalur komunikasi dan kemudian mengambil file yang diinginkan. Selain FTP ada juga yang disebut TFTP. TFTP menggunakan protocol FTP tetapi tidak menggunakan Authentikasi. Jika dalam FTP saat pertama kali koneksi, kita diminta untuk memberikan username dan password sedangkan TFTP tidak. Selain itu FTP menggunakan protocol TCP sedangkan TFTP menggunakan protocol UDP.
•
Akses Jarak Jauh Ada beberapa keadaan dimana administrasi server terpaksa dilakukan dari jarak jauh. Dengan menggunakan program kecil dari sisi client kita dapat langsung mengakses server yang diinginkan. Beberapa cara seperti Telnet, SSH, dan VPN dapat digunakan untuk keperluan ini. Sayangnya, dikarenakan keterbatasan jalur komunikasi, akses jarak
jauh biasanya hanya bersifat text-mode saja, meskipun dapat diusahakan untuk akses secara grafis, orang lebih suka menggunakan akses text-mode, yang tentunya hal ini akan mempengaruhi konsumsi jalur komunikasi yang sempit.
•
Layanan Komunikasi Real-time Email dan Usenet digunakan ketika orang ingin berkomunikasi tidak secara real-time. Yaitu ketika orang lain mengirimkan email dan kemudian menunggu untuk orang lain menerima, membaca dan membalasnya. Layanan komunikasi Real-time memberikan solusi langsung dimana pengirim dan penerima dapat berdialog (biasanya text-mode) secara langsung. Untuk layanan komunikasi Real-time, umumnya tersedia IRC dan web-based IRC. Selain itu ada juga yang menggunakan program lain seperti ICQ, Yahoo messenger, AOL M essenger, dan sebagainya.
•
Layanan DNS (Directory Name Server) Dalam dunia Internet, semua komputer diindentifikasikan dengan alamat IP sehingga untuk mengenali alamat www.binus.ac.id diperlukan
sebuah
layanan
DNS dari server
tertentu yang
memberitahukan bahwa www.binus.ac.id mempunyai alamat IP
202.155.89.19. Layanan ini bekerja untuk menterjemahkan nama komputer menjadi alamat IP.
2.3
TCP/IP TCP/IP merupakan salah satu protokol yang mengatur bagaimana terjadinya
hubungan dan perpindahan data antara dua atau lebih komputer. Protokol adalah sekumpulan aturan dalam komunikasi data. Protokol dapat diterapkan pada perangkat keras, perangkat lunak atau kombinasi keduanya. Pada tingkatan yang terendah, protokol mendefinisikan koneksi perangkat keras. Sebagian besar protokol memilki karakteristik berikut: •
M elakukan deteksi apakah ada koneksi fisik atau tidak, yang dilakukan oleh komputer atau mesin lain.
•
M elakukan handshaking.
•
M enjadi negosiator berbagai macam karakteristik koneksi.
•
M engatur bagaimana mengawali dan mengakhiri suatu pesan.
•
M enentukan format pesan.
•
M elakukan error detection dan error correction saat terjadi kerusakan pesan.
•
M engakhiri suatu koneksi.
Secara umum, format protokol meliputi: •
Format informasi.
•
Pewaktuan (timing).
•
Urutan (sequencing).
•
Kontrol kesalahan (error control). Pada masa ARPANET protokol yang digunakan untuk komunikasi data adalah
NCP (Network Communication Protokol). Semakin lama ukuran ARPANET semakin membesar dan NCP tidak sanggup menampung node komputer yang lebih besar. DARPA kemudian mendanai pembuatan protokol komunikasi yang lebih umum. Protokol ini dinamai TCP/IP. Departemen Pertahanan Amerika menyatakan TCP/IP menjadi standar untuk jaringannya pada tahun 1982. Protokol ini kemudian diadopsi menjadi standar ARPANET pada tahun 1983. Perusahaan Bolt Beranek Newman (BBN) membuat protokol TCP/IP supaya dapat berjalan di atas komputer dengan sistem operasi UNIX. Pada saat itulah dimulai perkawinan antara UNIX dan TCP/IP. TCP/IP memiliki karakteristik yang membedakannya dari protokol-protokol komunikasi yang lain, di antaranya: •
Bersifat standar, terbuka dan tidak bergantung pada perangkat keras atau sistem operasi tertentu.
•
Bebas dari jaringan fisik tertentu, memungkinkan integrasi berbagai jenis jaringan (Ethernet, token ring, dial-up).
•
M empunyai skema pengalamatan yang umum bagi setiap device yang terhubung dengan jaringan.
•
M enyediakan berbagai layanan bagi user. Berikut ini gambar dan penjelasan singkat masing-masing layer protokol TCP/IP beserta fungsinya:
Gambar 2.9 TCP/IP
2.3.1
Network Access Layer Lapisan pertama adalah Network Access Layer (identik dengan lapisan Physical dan Data Link layer pada O SI). Pada lapisan ini, didefinisikan bagaimana penyaluran data dalam bentuk frame-frame data pada media fisik yang digunakan secara andal. Lapisan ini biasanya memberikan servis untuk deteksi dan koreksi kesalahan dari data yang ditransmisikan.
Beberapa contoh protokol yang digunakan pada lapisan ini adalah X.25 untuk jaringan publik, Ethernet untuk jaringan Ethernet, dan sebagainya.
2.3.2
Internet Layer Lapisan kedua adalah Internet Layer (identik dengan Network Layer pada OSI). Lapisan ini bertugas untuk menjamin agar suatu paket yang dikirimkan dapat menemukan tujuannya. Lapisan ini memiliki peranan penting terutama dalam mewujudkan internetworking yang meliputi wilayah luas (worldwide Internet). Beberapa tugas penting pada lapisan ini adalah: •
Addressing, yakni melengkapi setiap paket data dengan alamat Internet atau yang dikenal dengan Internet Protocol address (IP address). Karena pengalamatan (addressing) berada pada level ini, maka jaringan TCP/IP independen dari jenis media, sistem operasi, dan komputer yang digunakan.
•
Routing, yakni menentukan rute ke mana paket data akan dikirim agar mencapai tujuan yang diinginkan. Routing merupakan fungsi penting dari Internet Protocol (IP). Proses routing sepenuhnya ditentukan oleh jaringan. Pengirim tidak memiliki kendali terhadap paket yang dikirimkannya. Routerrouter
pada
jaringan
TCP/IP-lah
yang
menentukan
penyampaian paket data dari pengirim ke penerima. Pada bagian ini akan dijelaskan bagaimana hubungan komunikasi
antara komputer A dengan komputer B terbentuk dari satu seri hop tunggal. Hob yang lebih banyak memungkinkan kita untuk membuat jaringan yang lebih besar. Akan tetapi hop berada diantara dua mesin yang terkoneksi langsung sehingga dapat mendiagnosa setiap link secara terpisah, dengan menggunakan semua teknik yang digunakan pada sebuah jaringan hop-tunggal yang sederhana.
Gambar 2.10 Proses Pengiriman Data melewati Router
Pada bagian ini juga menjelaskan jika mesin destinasi tidak terkoneksi langsung, maka paket harus dikirimkan melalui router. Netmask tidak memberi tahu komputer A router mana yang digunakan. Oleh karena itu memerlukan sebuah mekanisme baru. Yang bisa jadi sama sederhananya dengan table yang dikonfigurasikan secara manual. Akan tetapi
kebanyakan mesin – mesin LAN dapat melakukan router “default gateway” tunggal.
2.3.3
Transport Layer Lapisan ketiga adalah Transport Layer atau biasa disebut host - to - host (identik dengan Transport Layer pada OSI). Pada lapisan ini didefinisikan cara-cara untuk melakukan pengiriman data antara end to end host. Lapisan ini menjamin bahwa informasi yang diterima pada sisi penerima akan sama dengan informasi yang dikirim oleh pengirim. Lapisan ini memiliki beberapa fungsi penting antara lain: •
Flow Control. Pengiriman data yang telah dipecah menjadi paket-paket data harus diatur sedemikian rupa agar pengirim tidak sampai mengirimkan data dengan kecepatan yang melebihi kemampuan penerima dalam menerima data.
•
Error Detection. Pengirim dan penerima juga melengkapi data dengan sejumlah informasi yang bisa digunakan untuk memeriksa apakah data yang dikirimkan telah bebas dari kesalahan. Jika ditemukan kesalahan pada paket data yang diterima, maka penerima tidak akan menerima data tersebut. Pengirim akan mengirim ulang paket data yang mengandung kesalahan tadi. Dengan demikian, data dijamin bebas dari kesalahan (error free) pada saat diteruskan ke lapisan aplikasi.
Konsekuensi dari mekanisme ini adalah timbulnya delay yang cukup berarti, namun selama aplikasi tidak bersifat real-time delay ini tidak menjadi masalah, karena yang lebih diutamakan adalah data yang bebas dari kesalahan. Ada dua buah protokol yang digunakan pada layer ini, yaitu: Transmission Control Protocol (TCP) dan User Datagram Protocol (UDP). TCP digunakan oleh aplikasi-aplikasi yang membutuhkan keandalan data. Sedangkan UDP digunakan untuk aplikasi yang tidak menuntut keandalan tinggi. Beberapa aplikasi lebih sesuai menggunakan UDP sebagai protokol transport. Contohnya adalah aplikasi database yang bersifat query dan response, atau aplikasi lain yang sangat sensitive terhadap delay seperti video conference. Aplikasi seperti ini dapat mentolerir sedikit kesalahan karena gambar atau suara masih tetap bisa dimengerti. TCP memiliki fungsi flow control dan error detection dan bersifat connection oriented. Sebaliknya UDP bersifat connectionless, tidak ada mekanisme pemeriksaan data dan flow control, sehingga UDP disebut juga unreliable protocol.
2.3.4
Application Layer M enurut Iwan Sofana (2010 pp244-248)Lapisan keempat adalah Application Layer (identik dengan Application, Presentation, Session Layer pada OSI). Sesuai namanya, lapisan ini mendefinisikan aplikasiaplikasi yang dijalankan pada jaringan. Cukup banyak protokol yang telah dikembangkan pada lapisan ini. Contohnya adalah SM TP (Simple Mail Transfer Protocol) untuk pengiriman electronic mail, FTP (File Transfer Protocol) untuk transfer file, HTTP (Hyper Text Transfer Protocol) untuk apliksi berbasis Web atau WWW (World Wide Web), NNTP (Network News Transfer Protocol) untuk distribusi news group dan sebagainya.
2.4
OS I Layer 2.4.1
Tentang OS I Layer M odel OSI sering digunakan untuk menjelaskan cara kerja jaringan
komputer secara logika. Secara umum model OSI membagi berbagai fungsi network menjadi 7 lapisan. M odel OSI menjadi semacam referensi atau acuan dalam memahami cara kerja jaringan komputer. Walaupun OSI merupakan sebuah model yang diakui di dunia saat ini, namun tidak ada paksaan bagi pengembang hardware/software dan user untuk menggunakannya. Sebagai contoh, jaringan Internet menggunakan model DARPA (Defence Advanced Research Project Agency) yang berbeda dengan model OSI. Bahkan Internet bisa berkembang sangat pesat walaupun tidak menggunakan model OSI.
Perlu dipahami OSI bukanlah sebuah protokol. Protokol adalah sekumpulan aturan yang digunakan pada komunikasi data. Protokol jaringan komputer cukup banyak, beberapa yang popular seperti: TCP/IP, IPX, NetBIOS, PPP, AppleTalk, dan sebagainya. M odel OSI dibuat setelah teknologi jaringan komputer hadir di antara kita. M odel OSI terdiri atas layer-layer atau lapisan-lapisan berjumlah 7 buah. Ketujuh layer tersebut yaitu:
Gambar 2.11 OSI LA YER
2.4.1.1
Physical Layer Layer ini menentukan masalah kelistrikan/gelombang/medan dan
berbagai prosedur/fungsi yang berkaitan dengan link fisik, seperti besar tegangan/arus listrik, panjang maksimal media transmisi, pergantian fasa, jenis kabel dan konektor. 2.4.1.2
Data Link Layer M enentukan pengalamatan fisik (hardware address), error
notification (pendeteksi error), frame flow control (kendali aliran frame), dan topologi network. Ada 2 sublayer pada data link, yaitu: Logical Link Control (LLC) dan M edia Access Control (M AC). LLC mengatur komunikasi, seperti error notification dan flow control. Sedangkan M ac mengatur pengalamatan fisik yang digunakan dalam proses komunikasi antar-adapter.
2.4.1.3
Network Layer M enentukan rute yang dilalui oleh data. Layer ini menyediakan
logical addressing (pengalamatan logika) dan path determination (penentuan rute tujuan).
2.4.1.4
Transport Layer M enyediakan end-to-end communication protocol. Layer ini
bertanggung jawab terhadap
“keselamatan data” dan segmentasi
data”,seperti: mengatur flow control (kendali aliran data), error detection (deteksi error) and correction (koreksi), data sequencing (urutan data), dan size of the packet (ukuran paket)
2.4.1.5
Session Layer M engatur sesi (session) yang meliputi establishing (memulai
sesi), maintaining (mempertahankan sesi), dan terminating (mengakhiri sesi) antar entitas yang dimiliki oleh presentation layer.
2.4.1.6
Presentation Layer M engatur konversi dan translasi berbagai format data, seperti
kompresi data dan enkripsi data.
2.4.1.7
Application Layer M enyediakan servis bagi berbagai aplikasi network.
2.4.2
Komunikasi Antar-Layer Suatu layer dapat berkomunikasi secara vertikal dengan layer lain yang
berada tepat dibawah atau diatasnya. Sebagai contoh, layer Data Link dapat
berkomunikasi dengan layer Physical atau Network, namun layer Data Link tidak bisa berkomunikasi dengan layer Application. Suatu layer dapat berkomunikasi secara horizontal dengan layer yang sama pada host lain. M isalkan layer Data Link berkomunikasi dengan dengan layer Data Link pada host lain. Komunikasi layer secara horizontal bersifat virtual, artinya tidak terjadi secara langsung sebagaimana yang dilakukan pada komunikasi vertical. Informasi yang mengalir dari suatu layer ke layer yang lain akan mengalami perubahan bentuk atau transformasi. Berikut ini gambaran tentang transformasi informasi dari layer Application hingga layer Physical. •
Informasi berawal dari layer Application. Informasi kemudian melewati layer Presentation dan layer Session. Pada tahap ini biasanya belum dilakukan transformasi data. Informasi yang melalui ketiga layer ini disebut PDU (Protocol Data Unit) atau data saja.
•
Setelah sampai di layer Transport, data akan mengalami transformasi ke bentuk lain yang disebut segment atau segmen.
•
Segment mengalir ke layer Network dan kemudian diubah menjadi packet atau paket.
•
Packet mengalir ke layer Data Link dan kemudian diubah menjadi frame.
•
Terakhir, frame mengalir ke layer Physical dan kemudian diubah menjadi bits atau bit-bit. Pada layer ini, bit-bit diubah menjadi besaran fisik, seperti arus listrik, gelombang elektormagnetik, dan sebagainya.
Proses pengubahan bentuk dari satu layer ke layer berikutnya dilakukan dengan menambahkan header khusus. Inilah yang disebut dengan encapsulation atau enkapsulasi. Proses enkapsulasi terjadi berulang-ulang hingga data diubah menjadi bit-bit. Kemudian bit-bit ini dikirim ke host target melalui media jaringan. Setelah informasi (berupa bit-bit) sampai di host target maka proses kebalikannya, yaitu “melepas” header satu persatu dari layer terbawah hingga ke layer paling atas akan dilakukan. Proses melepas header ini disebut deencapsulation atau de-enkapsulasi.
2.5
Keamanan Jaringan Pembangunan komputer yang sedemikian pesatnya selain meningkatkan
ketergantungan manusia terhadap komputer juga semakin menuntut kompleksitas yang semakin tinggi namun dengan penggunaan yang mudah bagi pengguna. Dengan dibangunnya jaringan komputer, suatu komputer akan lebih mudah dan lebih sering diakses. Dengan makin banyaknya akses, keamanan komputer tersebut makin rentan, terutama jika ada pemakai yang mempunyai niat buruk. Pengaturan keamanan pada jaringan komputer dapat mengendalikan akses pengguna terhadap sumber daya jaringan.
2.5.1
Bentuk-bentuk Pengamanan M enurut Zwicky E (2000), saat ini terdapat tiga bentuk pengamanan yang
dilakukan oleh orang – orang awam yaitu :
Tanpa pengamanan. Pengamanan tersebut adalah yang paling mudah dan biasanya dilakukan oleh orang – orang yang belum mengerti tentang pengamanan sistem informasi. Pengguna hanya memasangkan program begitu saja tanpa memperdulikan sistem keamanannya.
Pengamanan local. Pada sistem pengamanan ini pengguna mulai sadar akan pentingnya
menggunakan
program
tambahan
untuk
meningkatkan
perlindungan. Pengamanan dilakukan per komputer. Kesulitan yang muncul adalah jika komputer terdapat lebih dari satu komputer bahkan ratusan atau ribuan komputer dalam sebuah perusahaan yang harus ditangani. Setiap komputer memiliki arsitektur yang berbeda – beda mulai dari sistem operasinya, program yang dijalankan, dan hardware – hardware yang digunakan.
Pengamanan global / jaringan. Pengamanan ini mulai banyak digunakan dengan alasan dalam satu jaringan terdiri dari banyak komputer. Pengamanan global dapat digunakan untuk mengatur dan mengamankan jaringan dengan cara mengontrol layanan apa saja yang dapat digunakan oleh setiap group dalam jaringan tersebut.
Dari ketiga pengamanan yang telah dijelaskan diatas tidak ada satupun yang dapat memberikan jalan terbaik. Pengamanan yang dapat dilakukan dalam sistem informasi berlaku pada bidang yang berbeda – beda. Secara garis besar jika ingin membuat bentuk pengamanan perlu memperhatikan 3 hal, yaitu:
Teknis. Dalam hal ini perlu diperhatikan bagian mana dalam sistem yang mempunyai kelemahan pada programnya. Tidak menutup kemungkinan para penyerang menggunakan program mereka untuk menyerang sistem yang mempunyai kelemahan dari sisi teknis pembuatan program.
Aturan.
Biasanya dalam
sistem informasi terdapat
aturan
untuk
penggunaannya. Setiap pengguna diberikan aturan – aturan yang harus ditaati agar tidak terjadi penyalahgunaan sistem. Kekurangan dari aturan iniliah yang membuat penyerang untuk melakukan kegiatannya. Aturan – aturan iniliah yang dapat mengurangi terjadi nya kerusakan sistem dikarenakan atas ketidak-tahuan pengguna.
Fisik. Akses langsung terhadap sistem informasi harus dilakukan sesuai dengan aturan yang telah ditetapkan. Jika penyerang mempunyai hak untuk mengakses secara fisik ke server maka akan dapat menyebabkan kerusakan bagi sistem operasi. Contoh kasus adalah pencurian informasi perusahaan, perusakan data – data penting dalam perusahaan.
2.5.2
Terminologi Dasar M enurut Goldman (2003,p536), pembangunan security policy yang
paling utama berakar dari lima langkah-langkah berikut: 1. M engidentifikasi assets 2. M engidentifikasi threat 3. M engidentifikasi vulnerability 4. M empertimbangkan resiko (risk) 5. M engambil langkah-langkah perlindungan (protective measure) Assets adalah bagian perusahaan yang memiliki nilai manfaat dan memerlukan derajat perlindungan. Dalam hal keamanan jaringan, asset meliputi data perusahaan dan perangkat keras jaringan, perangkat lunak, dan media yang digunakan untuk mengangkut dan menyimpan data. Kelemahan dalam sebuah sistem baik program, desain ataupun implementasi dinamakan sebagai vulnerability. Akibat dari vulnerability ini adalah timbulnya ancaman atau yang dikenal dengan threat. Threat atau ancaman belum tentu akan menimbulkan kerusakan pada suatu sistem. Berdasarkan ancaman atau threat yang ada, ada kemungkinan terjadinya serangan atau attack yang mengancam keamanan dari sistem. Setelah vulnerability telah diidentifikasi, dengan mempertimbangkan risiko (risk), probabilitas dari suatu threat yang berhasil menyerang asset tertentu dalam kurun waktu tertentu melalui vulnerability tertentu dapat dianalisis. Langkah-langkah perlindungan (protective measures) kemudian didesain dan
diambil untuk menghalangi vulnerability untuk mencegah threat menyerang assets.
2.5.3
Elemen-elemen Keamanan Jaringan M enurut Lusignan, Steudler, dan Allison (2000), tujuan informasi dan
keamanan jaringan adalah untuk memberikan tiga elemen keamanan yang sering disingkat CIA (confidentiality, integrity dan availability). Serangan hacker adalah serangan terhadap salah satu elemen CIA dan mengancam salah satu elemen CIA ini. Confidentiality (kerahasiaan) melindungi infomasi dari pengungkapan yang tidak sah atau diintersepsi. Kriptogafi dan access control digunakan untuk melindungi confidentialy. Upaya yang diterapkan untuk melindungi confidentialy tergantung pada kepekaan suatu informasi dan seberapa besar kemungkinan suatu data dapat dilihat maupun diintersepsi oleh pihak lain. Integrity (integritas) memastikan bahwa suatu informasi atau perangkat lunak adalah lengkap, akurat, dan otentik. Elemen ini meninjau seberapa besar keinginan kita dalam menjaga pihak maupun proses yang tidak berhak dari perubahan yang tidak sah. Perubahan ini dapat disengaja maupun tidak disengaja. Availability (ketersediaan) memastikan bahwa informasi dan layanan dapat diakses dan berfungsi saat diperlukan. Redudansi, toleransi kesalahan,
kehandalan, failover, backup, pemulihan, ketahanan, dan load balancing adalah konsep desain jaringan yang digunakan untuk menjamin avaibility. 2.5.4
Keseimbangan antara Keamanan dan Produktivitas M enurut Goldman (2003,p533),
terdapat tiga penerapan kebijakan
keamanan yang memiliki hubungan yang berpengaruh terhadap produktivitas perusahaan:
2.5.4.1 Keamanan yang Lemah
Gambar 2.12 Keamanan yang Lemah
Kebijakan keamanan yang lemah dapat menyebabkan tingkat keamanan yang rendah, resiko tinggi dan biaya rendah, serta tidak mengakibatkan menurunnya produktivitas. Pada akhirnya, akses yang terbuka dapat mengakibatkan kehilangan data atau masalah integritas yang bisa menyebabkan menurunnya produktivitas.
2.5.4.2 Keamanan yang Terlalu Ketat
Gambar 2.13 Keamanan yang Terlalu Ketat
Kebijakan kemananan yang terlalu ketat juga memiliki dampak terhadap produktivitas, yaitu biaya tinggi, resiko rendah, akses terbatas, serta produktivitas menurun. Keamanan yang terlalu ketat dapat menyebabkan ketidakpatuhan dengan proses keamanan sehingga dapat mengakibatkan menurunnya keamanan.
2.5.4.3 Keseimbangan
yang
Produktivitas
Optimal
dari
Keamanan
dan
Gambar 2.14 Keseimbangan Keamanan dan Produktivitas Kebijikan Keamanan ini menimbulkan keseimbangan yang optimal dari keamanan dan produktivitas di mana keterbatasan kebijakan keamanan diimbangi dengan penerimaan pengguna terhadap kebijakan tersebut.
2.6
Serangan Terhadap Keamanan Jaringan 2.6.1
Arti dan Pengertian Virus Komputer M enurut Hartojo Salim, virus komputer adalah suatu program komputer
yang menduplikasi atau menggandakan diri dengan menyisipkan kopian atau salinan dirinya ke dalam media penyimpanan maupun dokumen serta ke dalam jaringan secara diam-diam tanpa sepengetahuan pengguna komputer tersebut. Efek dari virus komputer sangat beragam mulai dari hanya muncul pesan-pesan aneh hingga merusak komputer serta menghapus file atau dokumen dalam komputer.
2.6.2
Arti dan Pengertian Varian Virus Worm, Trojan Dan S pyware
Worm Worm adalah lubang keamanan atau celah kelemahan pada komputer yang memungkinkan komputer pengguna terinfeksi virus tanpa harus eksekusi suatu file yang umumnya terjadi pada jaringan. Trojan Trojan adalah sebuah program yang memungkinkan komputer pengguna sah dikontrol orang lain melalui jaringan atau internet. Spyware Spyware adalah aplikasi yang membocorkan data informasi kebiasaan atau perilaku pengguna dalam menggunakan komputer ke pihak luar tanpa disadari pengguna. Biasanya digunakan oleh pihak pemasang iklan.
2.6.3
Ciri-Ciri Komputer Kita Terinfeksi Virus Komputer
Komputer berjalan lambat dari normal. Sering keluar pesan eror atau aneh-aneh. Perubahan tampilan pada komputer. M edia penyimpanan seperti disket, flashdisk, dan sebagainya langsung mengkopi file aneh tanpa pengguna melakukan copy ketika pengguna hubungkan ke komputer. Komputer kadangkala melakukan restart dengan sendirinya atau crash ketika sedang berjalan. Kadangkala muncul pesan atau tulisan aneh.
Komputer hang atau berhenti merespon pengguna. Harddisk tidak bisa diakses. Printer dan perangkat lain tidak dapat dipakai walaupun tidak ada masalah hardware dan software driver. Sering ada menu atau kotak dialog yang error atau rusak. Hilangnya beberapa fungsi dasar komputer. Komputer berusaha menghubungkan diri dengan internet atau jaringan tanpa perintah pengguna. File yang disimpan di komputer atau media penyimpanan hilang begitu saja atau disembunyikan virus dan lain – lain. Contoh bentuk media penyebaran virus komputer dari komputer yang satu ke komputer yang lain: M edia Penyimpanan (disket, flashdisk, hard disk eksternal, zipdisk, cd, dvd, bluray disc, cartridge, dan lain sebagainya). Jaringan LAN, WAN, MAN, internet dan lain sebagainya. File attachment atau file lampiran pada email atau pesan elektronik lainnya. File software (piranti lunak) yang ditunggangi virus komputer.
2.6.4
Denial of Service
Jenis serangan ini bertujuan menghabiskan resource dari suatu elemen dalam jaringan, biasanya dengan mengirimkan paket dalam jumlah besar ke suatu target (network flooding) Seseorang dapat saja mengirimkan request palsu dengan
alamat pengirim diisi target yang akan diserang. Kemudian request ini dikirimkan kepada banyak elemen SIP. Secara umum ada 2 cara melakukan serangan DoS:
2.6.4.1 DoS dengan Mematikan Server: Tujuan serangan ini adalah membuat server shutdown, reboot, crash, “not responding”. Jadi serangan ini menghasilkan kerusakan yang sifatnya persisten artinya kondisi DoS akan tetap terjadi walaupun penyerang sudah berhenti menyerang, server baru normal kembali setelah di-restart/reboot. Berikut ini beberapa contoh vulnerability yang berakibat pada DoS attack: Ping of Death Ini adalah jenis bug yang sudah sangat tua. Praktis sudah tidak ada lagi sistem yang vulnerable terhadap bug ini. Bug ini bila diexploit akan membuat server crash, freeze atau reboot. Serangan ini dilakukan dengan mengirimkan “specially crafted” paket berupa oversized ICM P packet, yaitu paket yang ukurannya di atas normal. Ketika server menerima dan memproses paket yang “aneh” ini, maka server akan reboot. Ini adalah contoh serangan DoS “one shot one kill” karena bisa merusak server hanya dengan satu tembakan saja. MySQL IF Query DoS
Bug ini akan membuat mysql server menjadi crash hanya dengan mengirim sql khusus yang mengandung fungsi IF() contohnya: “SELECT id from example WHERE id IN(1, (SELECT IF(1=0,1,2/0)))”. Ini juga jenis serangan “one shot one kill”. Cisco Global Site Selector DNS Request Denial of Service Bug ini membuat DNS server Cisco mati dengan mengirimkan beberapa “specially crafted” paket request DNS dalam urutan tertentu. Tiga contoh di atas cukup memberikan gambaran tentang bagaimana serangan DoS jenis ini dilakukan. Pada intinya adalah attacker memanfaatkan bug yang membuat server berhenti bekerja dan biasanya dilakukan sendirian secara remote dengan mengirimkan specially crafted packet. 2.6.4.2 DoS dengan Menyibukkan Server Jenis DoS ini bersifat sementara, server akan kembali normal bila attacker berhenti mengirimkan request yang membuat sibuk server.
Gambar 2.15 Cara Kerja DoS
Gambar di atas menjelaskan cara kerja DDoS. Attacker memberi perintah kepada semua pasukannya untuk membuat request HTTP ke sebuah website. Bila pasukan yang dikuasai attacker sangat besar, maka web server akan dibanjiri request sehingga menjadi terlalu sibuk dan tidak bisa diakses oleh pengguna yang sebenarnya (real visitor). Serangan jenis ini tidak ada obatnya karena attacker tidak mengexploit bug atau vulnerability apapun. Bila pada jenis DoS yang lain, serangan dapat dicegah dengan melakukan patching atau update software, maka serangan ini tidak bisa dihentikan dengan update atau patch.
2.7
Firewall M enurut M ansfield (2004,p248), firewall adalah titik masuk dan keluar tunggal
jaringan yang aman. Di dalam sebuah jaringan, firewall dimaksudkan untuk menghentikan lalu lintas tidak sah dari satu jaringan ke jaringan lain. Semua paket melewati firewall dan tidak ada paket yang keluar atau masuk bebas melalui tempat lain. Firewall menolak akses jaringan dalam pada batas jaringan dalam yang dapat dipercaya. Karena paket ditolak sebelum mereka mencapai device yang menjalankan service
tertentu, firewall akan memproteksi sebagian besar vulnerability pada aplikasi dan sistem operasi perusahaan.
Gambar 2.16 Penempatan Firewall
Terdapat beberapa tujuan penggunaan firewall, antara lain: a. Firewall biasanya digunakan untuk mencegah atau mengendalikan aliran data tertentu. Artinya, setiap paket yang masuk atau keluar akan diperiksa, apakah cocok atau tidak dengan kriteria yang ada pada standar keamanan yang didefinisikan dalam firewall. b. Untuk melindungi dengan menyaring, membatasi atau bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar yang bukan merupakan ruang lingkupnya. Segmen tersebut dapat
merupakan workstation, server, router, atau local area network (LAN) seperti gambar berikut.
Gambar 2.17 Firewall sebagai pembatas LAN dengan internet
c. Penggunaan firewall dapat mencegah upaya berbagai trojan horses, virus, maupun spyware untuk memasuki sistem yang dituju dengan cara mencegah hubungan dari luar. Kecuali yang diperuntukkan bagi komputer dan port tertentu. d. Firewall akan melakukan filter serta audit lalu lintas data yang melintasi perbatasan antara jaringan luar maupun dalam. 2.7.1
Jenis-jenis Firewall Terdapat tiga jenis firewall yang digunakan untuk membandingkan
bagaimana jenis firewall tertentu beroperasi dan membuat keputusan tentang jenis firewall yang tepat untuk kebutuhan tertentu (Osipov, Sweeney, Weaver, 2003, p19).
2.7.1.1 Packet Filters Setiap paket data di internet secara unik diidentifikasi oleh header yang merupakan alamat sumber dari komputer yang mengeluarkan pesan dan alamat tujuan dari server dimana pesan terikat. Sebuah paket difilter hanya pada informasi header saja, isi dari paket tidak diperiksa. Filter adalah sebuah program yang memeriksa alamat sumber dan alamat tujuan dari setiap paket yang masuk melewati firewall. Tabel filter adalah daftar dari alamat-alamat yang data paket dan pesan baik diizinkan atau dilarang untuk memasuki jaringan perusahaan melalui firewall. Tabel filter juga membatasi akses dari IP address tertentu pada direktori tertentu. Firewall tipe ini membuat keputusan apakah sebuah paket akan diteruskan atau ditolak berdasarkan source dan destination. M enurut M ansfield(2004, p252), kelebihan dari Packet Filters adalah merupakan firewall yang sangat cepat, tetapi memiliki beberapa keterbatasan, yaitu: •
Tidak menjaga kondisi koneksi TCP yang sudah terbentuk, sehingga terdapat tipe penyerangan yang tidak bisa dicegah seperti Denial of Service (DoS) atau SYN Flood.
Gambar 2.18 Serangan dan Denial of Service (DoS) pada Packet Filter
•
Kesulitan menangani FTP, karena adanya operasi multi-port pada FTP yaitu port 21 digunakan untuk mengirim perintah dan port 20 digunakan untuk mentransfer data.
•
Tidak menangani autentikasi user.
2.7.1.2 S tateful Inspection Packet Filter M enurut Osipov, Sweeney dan Weaver (2003, p19), konsep stateful inspection muncul dalam upaya untuk memperbaiki kemampuan dan keamanan packet filter saat masih mengutamakan kecepatan. Stateful inspection packet filter dapat melacak sesi network, sehingga ketika
menerima paket ACK, stateful inspection packet filter dapat menentukan legitimasi dengan pencocokan paket ke entri yang sesuai pada state table. Firewall stateful inspection paket filter mengelola aktual dari aktivitas aktual. M isalnya informasi tentang semua koneksi TCP dan menggunakan
gabungan
informasi
ini
dengan
address/port
source/destination paket untuk menentukan apakah paket diperbolehkan lewat atau ditolak.
Gambar 2.19 Koneksi Internal - Eksternal pada Stateful Inspection Packet Filtering
Stateful inspection packet filter juga dapat diterapkan untuk komunikasi UDP dalam mode pseudo. Dalam hal ini, firewall membuat entri pada state table ketika paket UDP pertama ditransmisikan. Sebuah paket UDP dari jaringan yang kurang aman hanya akan diterima jika entri yang sesuai ditemukan pada tabel koneksi. Pada application layer, kita bisa melihat penggunaan lebih lanjut untuk stateful inspection packet filter pada protokol seperti FTP. FTP menggunakan operasi multi-port dimana server yang terhubung ke user pada port 21 akan memulai kembali koneksi data pada port 20 transfer data diminta. Jika firewall tidak terus melacak koneksi kontrol FTP telah dibentuk sebelumnya, tidak akan memungkinkan sambungan data kembali masuk. M enurut M ansfield (2004,p256), sebuah user dari luar jaringan dapat menghubungkan diri pada firewall stateful inspection packet filter dan melakukan autentikasi pada firewall kemudian firewall mencatatnya. Hal ini mengijinkan user dari luar jaringan yang telah diautentikasi untuk terhubung pada resource tertentu pada jaringan internal. 2.7.1.3 Application Proxies M enurut M ansfield (2004,p259-261) Applications Proxies adalah sebuah program firewall yang bekerja pada level aplikasi. Pada saat terjadi koneksi TCP, client mengadakan koneksi pada application proxies kemudian application proxies menghubungkan diri pada server.
Application proxies bertindak sebagai proxy pada sisi client. Firewall menerima request dari client, menganalisis, dan jika sesuai dengan aturan maka application proxies melakukan pengiriman pada server melalui koneksi application proxies-server. Application proxies menangani respon dari server pada cara yang sama.
Gambar 2.20 Koneksi TCP yang Berbeda pada Kedua Sisi Applications Proxies
Dengan application proxies, paket dari client tidak diteruskan ke server, namun hanya informasi semantik (perintah protokol dan sebagainya) yang diuraikan dari paket yang direlay. Paket tidak normal yang dikirimkan dari client tidak akan bisa mencapai server.
Secara fundamental, application proxies sangat berbeda dengan firewall jenis packet filters dan stateful inspection packet filter yang hanya memiliki koneksi tunggal, sedangkan application proxies terdapat dua koneksi TCP yang berbeda.
2.7.1.4 Firewall Hybrid M enurut M ansfield(2004,p261) Firewall Hybrid adalah gabungan dari Stateful inspection packet filter untuk performa dan application proxies untuk kontrol yang lebih baik terhadap protokol tertentu, terutama fungsi dalam mengontrol traffic email dan Web. Kebanyakan firewall modern merupakan tipe hybrid.
2.7.2
Teknik-teknik dalam Firewall Adapun beberapa teknik yang digunakan dalam firewall adalah sebagai
berikut: Service control Kendali berdasarkan tipe-tipe layanan yang digunakan di Internet dan boleh diakses baik untuk kedalam maupun keluar firewall. Firewall akan mengecek IP address dan juga nomor port yang digunakan baik pada protokol TCP dan UDP, bahkan bisa dilengkapi software untuk proxy yang
akan menerima dan menerjemahkan setiap permintaan akan suatu layanan sebelum mengijinkannya. Direction Control Kendali berdasarkan arah dari berbagai permintaan (request) terhadap layanan yang akan dikenali dan diijinkan melewati firewall. User Control Kendali berdasarkan pengguna/user untuk dapat menjalankan suatu layanan. Artinya user yang dapat dan ada yang tidak dapat menjalankan suatu servis, hal ini dikarenakan user tersebut tidak diijinkan untuk melewati firewall. Firewall digunakan untuk membatasi user dari jaringan lokal untuk mengakses keluar atau dapat diterapkan untuk membatasi pengguna dari luar. Behavior Control Kendali berdasarkan seberapa banyak layanan itu telah digunakan. M isalnya, firewall dapat memfilter email untuk menanggulangi atau mencegah spam.
2.8
DMZ (Demilitarized Zone) M enurut Niall M ansfield (2003, p261) Demilitarized zone (DM Z) adalah sebuah
jaringan half-way-house di antara jaringan untrusted, Internet eksternal dan jaringan trusted LAN internal. DM Z berisi server yang dapat diakses oleh Internet, misalnya mail
server yang menerima email dari internet, dan web server yang menyimpan web server yang menyimpan web site publik. Firewall memperbolehkan orang luar di internet untuk mengakses server pada DMZ, tetapi tidak bagi user pada LAN.
Gambar 2.21 DMZ Tujuan dari DM Z adalah untuk menjaga agar server publik terpisah dari LAN anda, jika suatu saat server publik diserang dari luar. Hal ini dikarenakan tidak ada firewall yang dapat menjamin keamanan jaringan 100% aman. Dalam menjaga LAN, firewall menolak traffic dari DMZ untuk ditujukan ke LAN, sama halnya dari WAN ke LAN. Pada saat web server diserang, LAN masih terproteksi karena penyusup harus menembus firewall untuk mencapai LAN, tetapi jika web server berada pada LAN dan diserang maka penyusup dapat mengakses semua jaringan. Mail server dan web server sangat terkenal karena memiliki celah keamanan di dalamnya.
Beberapa akses pada DMZ diperbolehkan dari internet, akan sangat baik untuk mengkonfigurasi firewall seketat mungkin. Akses diperbolehkan hanya pada service tertentu yang anda inginkan untuk diakses biasanya HTTP dan SM TP dan blok yang lain. Hal ini mengikuti prinsip keamanan yaitu tolak semua awalnya, lalu buka sesedikit mungkin. Pendekatan ini menjaga anda dari kesalahan konfigurasi yang tidak disengaja. Terdapat beberapa peringatan yang harus diambil dengan komputer yang memiliki akses internet: Nonaktifkan semua layanan jaringan yang tidak dibutuhkan, untuk dua alasan: •
Jika sebuah layanan tidak aktif, tidak ada seorangpun yang dapat terhubung.
•
Semua software mempunyai bug, dan banyak celah keamanan timbul dari bug software. Semakin banyak software yang dijalankan, semakin banyak bug dan celah keamanan yang dimiliki.
Hapus semua software yang tidak dibutuhkan dari komputer. Pada gambar terdapat web server, mail server dan DNS. Web server DM Z berguna untuk menyediakan website publik, dapat diakses dari internet. Biasanya tidak diakses oleh user biasa. Web server LAN menjalankan sistem intranet internal, diakses oleh user internal, dan mengandung informasi pribadi. mail server DM Z menerima email yang datang dari internet, mengirimkan pada mail server internal juga mampu menerima email dari user internal dan mengirimkannya melalui internet pada tujuannya dan harus berinteraksi dengan DNS untuk menemukan mail server tujuan untuk setiap email. mail server LAN menangai semua email internal dan beberapa di antaranya juga mengandung penjadwalan dan fungsi lainnya. Untuk DNS server paling umum di mana
server DM Z adalah DNS server utama untuk jaringan. Databasenya hanya mengandung nama dan IP number dari publik server dan komputer pada internet mengaksesnya untuk me-resolve alamat ini. DNS server pada LAN menyimpan informasi yang berbeda semua alamat pada komputer LAN anda dan digunakan hanya oleh komputer internal untuk mengakses server internal melalui namanya. DNS server LAN mungkin akan menggunakan server DM Z sebagai forwader sehingga tidak harus berkomunikasi dengan DNS server diluar jaringan.