Laporan Tugas Mata Kuliah Keamanan Sistem Informasi EL.695. Judul Paper. Penggabungan Firewall untuk Video Conference yang menggunakan Protokol H

Laporan Tugas Mata Kuliah Keamanan Sistem Informasi EL.695 Judul Paper Penggabungan Firewall untuk Video Conference yang menggunakan Protokol H.323 Disusun Oleh : Eko Travada SP NIM : 23201163 Abstrak Saat ini makin banyaknya orang-orang yang bekerja dari rumah untuk menyelesaikan pekerjaan di kantor. Dan salah satu media yang digunakan adalah Videoconferencing. Komunikasi yang terjadi antara pengguna tentu harus dijaga keamanannya terhadap serangan cracker atau Hacker. Untuk mengatasi serangan ini biasanya digunakan firewall yang akan membloking IP para penyusup. Untuk makalah ini akan dibahas penggabungan firewal dengan video conference yang menggunakan protokol H323. Kata Kunci Firewall, H323, VideoConference 1. Pendahuluan Kebutuhan komunikasi yang meningkat di era informasi saat ini sangat membutuhkan jalur yang aman di jaringan internet dari serangan crackers dan hackers. Di banyak kasus network internal yang tidak aman dipasang firewall. Firewall sangat efektif membloking IP para penyusup yang ingin secara ilegal menyadap informasi di komunikasi yang sedang terjadi. Pada makalah dibahas beberapa kemungkinan solusi cara memasang firewall untuk melindungi videoconference yang menggunakan protokol H.323. 2. Firewall Firewall merupakan suatu perangkat keamanan jaringan yang memperkenankan berbagai bagian ruas jaringan untuk melaksanakan komunikasi antara satu sama lainnya sesuai dengan definisi kebijakan keamanan yang telah ditetapkan sebelumnya. Firewall digunakan pada saat adanya kebutuhan bagi sistem jaringan terhadap keragaman tingkat keamanan sebagai akibat terjadinya peristiwa aktivitas komunikasi antara satu perangkat dengan perangkat lainnya.. Firewall biasanya ditempkan di jaringan internet. Firewall akan membatasi akses terhadap berbagai ruas jaringan terhadap berbagai ruas jaringan dari sistem jaringan internal tersebut. Firewall merupakan suatu sistem yang dirancang untuk mencegah akses yang tak diinginkan dari atau ke dalam suatu jaringan internal. Firewall akan bertindak, seperti sebuah pintu terkunci yang diletakkan di antara jaringan internal dengan eksternal. Data harus memenuhi persyaratan tertentu agar dapat lewat melalui pintu terkunci dan menghentikannya bila tidak memenuhi persayaratan. Firewall melacak mengendalikan jalannya data serta memutuskan aksi untuk pass, drop, reject, mengenkripsi atau melakukan log terdapat data. 2.1. Perkembangan teknologi Firewall Firewall dapat dibagi atas tiga bagian besar yaitu Teknologi Penyaringan Paket (Filtering Packets), teknologi Gateway Layer Aplikasi (Palication Layer Gateways), Teknologi Inspeksi Keseluruhan kondisi (Stateful Inspection) atau penyaringan keseluruhan kondisi paket (Stateful Packet Filtering).

Dibawah ini tampak gambar dari 3 metoda yang digunakan firewall

Gambar 1 Jenis Dari firewall: Packet filtering, statefull inspection dan aplication proxy 2.1.1 Packet Filtering Teknologi ini memeriksa asal dan tujuan alamat IP, nomor protokol serta dalam penganganan kasus UDP dan TCP dapat mencapai hingga ke nomor portnya. Teknologi penyaringan paket dapat memeriksa setiap paket data yang masuk maupun keluar dari suatu jaringan dan menerima ataupun menolak paket paket data tersebut berdasarkan pada aturan yang telah ditentukan sebelumnya. Yang menjadi masalah terbesar pemakaian teknologi penyaringan paket adalah kesulitan dalam upaya pengelolaan secara terpadu dalam hal mengkonfigurasi teknologi ini. Beberapa hal yang tidak dapat dilakukan teknologi ini adalah : • Tidak dapat menyediakan layanan keamanan muatan/isi (Content Security). Contohnya, pemeriksaan dan penyaringan virus pada pengaksesan situs-situs dan halaman WEB tertentu. • Tidak dapat menyediakan layanan autentikasi. Contohnya adalah hanya para user yang memiliki kewenangan yang boleh menggunakan suatu service • Tidak mamapu mebuka atau menutup port-port aplikasi secara dinamis pada saat dibutuhkan. Hal ini menyebabakan tidak memungkinakan penerapan aplikasi seperti aplikasi realAudio, FTP dan H.323. • Tidak mampu memvalidasi suatu port khusus bagi pemakaian suatu layanan tertentu. Contohnya menjamin bahwa hanya trafik HTTP yang sah yang boleh melewati port 80 Teknologi ini menciptakan dua kondisi sehuibungan dengan adannya aliran data keluar jaringan dalam suatu layanan konekasi pasif FTP, yaitu : • Koneksi FTP pasif dapat meninggalkan seluruh nomor port di atas 1023 menajdi terbuka sehingga akan memperkenankan session pengiriman file mengambil alih tempat tersebut melalui metoda alokasi port secara dinamik dan akibatnya akan menelanjangi jaringan internal yang bersangkutan.

• Koneksi FTP psif dapat berakibat melumpuhkan seluruh nomor port diatas 1023 dalam rangka mencoba mengamankan jaringan internal dan sebagai akibatnya dapat memutuskan antara dukungan aplikasi dan keamanannya. 2.1.2 Teknologi Gateway Layer Aplikasi atau Proxy (Application layer gateway) Teknologi ini mengimplimentasikan Firewall pada application layer. Proxy akan melakukan pemeriksaan muatan, menyediakan autentikasi dan menjamin bahwa hanya services tertentu yang boleh digunakan. Contoh suatu proxy HTTP dapat menjamin bahwa hanya trafik HTTP yang akan diizinkan untuk lewat atau ia bisa menyediakan layanan aplikasi khusus seperti halnya penyimpanan data di memori caching . Proxy juga dapat menyediakan suatu koneksi yang telah ampan terbentuk ke suatu server yang berada di belakang firewall. Keunggulan teknologi Gaeway Layer Aplikasi atau proxy yaitu : • Menyediakan tingkat keamanan yang lebih baik • Mampu menangani permasalahan secara penuh pada layer aplikasi Kelemahan teknologi Layer Gateway Aplikasi yaitu : • Hanya dapat mengatasi secara parsial kondisi informasi yang salah dari suatu komunikasi dan secara penuh mengatasi kondisi informasi yang berasal dari suatu aplikasi. • Setiap pelayanan akan membutuhkan gateway layer aplikasinya sendiri – sendiri sehingga akan mengakibatkan kurang memadainya sejumlah besar service berikut kemampuan skalabilitasnya. • Implementasi pada tingkat aplikasi tentu akan cukup mengganggu kinerja sistem • Tidak dapat menyediakan layanan TCP, RPC atau lainnya terhadap keluarga protokol secara umum. • Kebanyakan tenologi proxy bukan merupakan sistem yang transparan. • Rentan terhadap kelemahan pada tingkat sistem operasi dan aplikasi • Mengabaikan muatan informasi pada layer yang lebih rendah • Biaya performasi cukup mahal. 2.1.3.Teknologi Inspeksi Keseluruhan Kondisi (Stateful Inspection) Teknologi Inspeksi Keseluruhan kondisi paket menggabungkan beberapa fitur terbaik dari teknologi penyaringan paket dan teknology Gateway Layer Aplikasi. Mesin dari teknologi inspeksi keseluruh Kondisi Paket diletakkan antara layer Datalink dan layer Network yang dalam kasus ini diletakkan antara kartu interface jaringan dengan driver TCP/IP. Paket paket ini berasal dari layer network akan diperiksa sesuai dengan kebijakan keamanan. Stack TCP/IP tidak akan melihat paket – pket telah drop atau reject , akan tetapi menyediakan layer proteksi tambahan . Teknologi Inspeksi Seluruh Kondisi dapat melihat keseluruh paket dan membuat suatu keputusan terhadap kebijakan kemanan (Security Police ) berdasarkan muatan dan isi dari paket tersebut. Teknologi ini menjaga alur jejak langkah perjalanan setiap koneksi aktif ke dalam suatu tabel kondisi.. Untuk beberapa layanan seperti FTP, teknologi ini mampu secara dinamis membuka port – port antara dua buah host sehingga komunikasi bisa berhasil dan setelah itu menutupnya jika memang sudah selesai. Keunggulan teknologi stateful Inspection sebagai berikut : • Memiliki tingkat keamanan yang jauh lebih baik • Mampu menangani secara penuh permasalahan pada layer apliksi • Memiliki kinerja yang tinggi • Memiliki skalabilitas yang jauh lebih baik • Memiliki kemampuan perluasan yang lebih baik dibanding dua metoda sebelumnya

• Memiliki kemampuan yang sepenuhnya transparan Tabel 1.1 Tabel perbandingan Teknologi arsitektur Firewall Kemampuan Firewall Filtering Aplication Stateful Packets Layer Gateways Inspection Informasi Komunikasi Parsial Parsial Ya Kondisi Akibat komunikasi Tidak Parsial Ya Kondisi Akibat Aplikasi Tidak Ya Ya Manipulasi Informasi Parsial Ya Ya 3. Protokol H.323 H.323 adalah suatu standar yang menentukan komponen protokol, dan prosedur yang menyediakan layanan komunikasi multimedia yakni komunikasi audio,Video dan data real time, melalui jaringan berbasis paket (packet based network ). Jaringan berbasis paket tersebut antara lain internet Protocol (IP), internet Packet Exchange (IPX), Local Area Network (LAN), Enterprise Network (EN), Metropolitan Area Network (MAN), dan Wide Area Network (WAN).

Gambar 2 H.323 Seperangkat protokol yang digunakan untuk video Conference

Protokol yang meng – coding video H.261/3, Audio G723 dan G711, dan beberapa protokol yang untuk berkomunikasi dengan gatekeeper. Tabel di bawah ini rangkuman TCP dan UDP yang digunakan oleh H.323 Tabel 1. Rangkuman TCP dan UDP yang digunakan H.323 Port 80 389 1502 1718 1719 1720 1731 102465535 102465535 102465535 102465535

Type Static TCP Static TCP Static TCP Static UDP Static UDP Static UDP/TCP Static TCP

Description HTTP Interface (Optional) ILS Registration (LDAP) T.120 Gatekeeper Discovery Gatekeeper RAS H323 Call Setup Audio Call Control

Dynamic UDP

Dynamic UDP

H245 Call Parameters RTP ( Video Data Streams) RTP ( Audio Data Streams)

Dynamic UDP

RTCP Control Information

Dynamic UDP

H323 Client

H323 MCU

x x x x x x

x x x x x

x

x

x

x

x

x

x

x

H323 Gatekeeper

x x

3.1 Keunggulan H.323 Keunggulan Protokol H.323 sebagai standar protokol untuk multimedia terletak pada hal berikut : • Standar Codec : H.323 membuat standar untuk kompresi dan dkompresi untuk aliran data video dan audio, sehingga memastikan bahwa peralatan lain memiliki kompabilitas dengan peralatan yang lain. • Interoperabilitas User yang akan melaksnakan conference tidak harus khawatir akan kompabilitas pada sisi penerima. Selain memastikan bahwa penerima (receiver) dapat mendekompresi informasi yang dikirim , H. 323 juga mengembangkan metoda untuk menerima client untuk berkomunikasi yang sama dengan pengirimnya. • Network Independence H.323 dirancang agar dapat berjalan di lapisan atas dari arsitektur jaringan secara umum. Karena teknologi jaringan mengalami evolusi, dan teknik pengaturan bandwidth meningkat , maka solusi berbasis H.323 dirasa dapat mengikuti perkembangan tersebut. • Patform dan Aplplication indepedence H.323 tidak terikat pada salah satu jenis perangkat keras ataupun sistem operasi. Platform yang compliant dengan H.323 akan tersedia dalam berbagai ukuran dan bentuk, termasuk PC yang video enabled yang terdedikasi, peralatan telepon yang IP –enabled maupun TV kabel • Dukungan terhadap multipoint Walaupun pada kenyataannya H.323 dapat mendukung conference sampai tiga atau lebih endpoint tanpa membutuhkan multipoint control unit yang special , sebenarnya MCU menyediakan arsitektur yang fleksibel dan powerful untuk conference multipoint kemampuan multipoint dapat disertakan dalam tiap komponen sistem H.323. • Bandwidt Management Trafik Video dan audio adalah trafik yang membutuhkan bandwidth yang besar dan kebanyakan dapat membuat jaringan komunikasi data terhambat. H.323 berusaha menemukan solusi terhadap permasalahan ini dengan mempersiapkan pengaturan bandwidth. Pengaturan jaringan dapat membatasi jumlah user yang tersambung ke jaringan H.323 secara bersamaan.sesuai dengan bandwidth yang tersedia untuk aplikasi H.323. • Dukungan terhadap multicast H.323 mendukung pengangkutan multicast dalam conference multipoint. Multicast mengirim paket tunggal ke subset tujuan dalam jaringan tanpa replikasi. Sedangkan unicast mengirimkan multiple transmisi point to point , dan broadcast mengirim ke semua tujuan. • Fleksibel Sebuah conference H.323 dapat menyertakan sejumlah endpoint dengan kemampuan berbeda. Sebagai contoh, sebuah terminal yang berkemampuan suara saja dapat berpatisipasi dalam conference dengan terminal yang mempunyai kemampuan video dan data. Termianl H.323 dapat membagi porsi data untuk conference video dengan terminal yang berkemampuan T.120 (data) saja, dan melakukan pembagian suara dan video dengan terminal H.323 yang lain. • Inter Network Conferencing Banyak user yang menginginkan untuk melaksanakan conference dari sebuah LAN ke jarak jauh. H.323 dapat membangun antara sistem desktop berbasis LAN dengan

sistem grup ISDN. H.323 menggunakan teknologi codec yang umum untuk tiap standar video conference yang berbeda untuk mengurangi delay transcoding. 3.2. Komponen H.323 Standar H.323 terdiri atas empat komponen yang jika disatukan dalam suatu jaringan\ akan memberikan layanan komunikasi multimedia point to point dan multipoint. 3.2.1 Terminal Terminal digunakan untuk komunikasi multimedia yang yang realtime bidirectional (dua arah) . Terminal H.323 dapat berupa personal supercomputer atau sebuah peralatan yang menjalankan aplikasi multimedia H.323. Peralatan tersebut harus mendukung komunikasi suara dan dan komunikasi data atau video. Terminal H.323 dibuat untuk mendukung fungsi-fungsi : • Pertukaran kemampuan terminal dan pembautan akanl media H.245 • Cal Signaling dan call setup H.225 • Registrasi admision control dengan gatekeepeer (RAS) • RTP/RTCP untuk pengurutan audia dan Video 3.2.2. Gateway Sebuah gateway menghubungkan dua buah jaringan yang berbeda. Gateway H.323 menghubungkan jaringan H.323 dengan jaringan non-H.323. Sebagai contoh, suatu gateway dapat menghubungkan dan menyediakan komunikasi antara terminal H.323 dengan Switched Circuit Network. Pada jaringan yang sama –sama mengunakan H.323 tidak membutuhkan gateway. 3.2.3. GateKeeper Gatekeeper merupakan titik fokus dari semua call yang terjadi pada network H.323. Gatekeeper menyediakan layanan – layanan yang penting seperti pengalamatan , otorisasi dan otenfikasi dari terminal dan gateway. 3.2.4 Multipoint Control Unit (MCU) MCU memberikan dukungan untuk konferensi tiga atau lebih terminal H.323. Semua terminal akan berpatisipasi dalam konferensi melakukan koneksi terlebih dahulu dengan Multipoint Control Unit. MCU Mengatur konferensi resource, negoisasi antar terminal untuk tujuan penentuan audio atau video coder/decoder (CODEC) yang digunakan untuk menangani media stream. Gatekeeper, Gateway dan MCU secara logika terpisah tapi secara fisikal dapat dijadikan satu. 3..3 NAT Nat (Network Address Translation) adalah teknik untuk memetakan dan menulis kembali seperangkat IP address. NAT digunakan untuk menyediakan sebuah class dari IP private dan IP unregister. Seperti 192.168.*.*.untuk mengakses ke host dengan adrres register internet yang unik. Metoda pengamanan NAT adalah suatu bentuk pengamanan yang tidak teridentifikasi. Dengan menggunakan NAT di video conference membuat tidak mungkin untuk mensetting tanpa gatekeeper antar client. Dengan demikian tidak memungkinkan mengakses proxy secara langsung antar client karena setiap proses harus melalui gatekeeper.

4. H323 dan firewall Bila menggabungkan antara firewall dan H.323 akan tercipat lubang seperti tampak pada gambar 3

Gambar 3. Lubang di firewall pada trafic H.323

Seperti tampak pada gambar 3 akan tercipta suatu lubang di Firewall bila menggunakan protokol H.323. Sehingga ada beberapa masalah yang muncul bila mengintregrasikan kedua sistem tersebut. Masalah ini muncul karena beberapa alasan: • H.323 menggunakan dinamik PORT • Informasi control akan diencode oleh Protokol H.323 • Setup yang dilakukan di Setiap sesi dilakukan dari dua arah (dari dalam dan dari luar) • Keterbatasan Proxy H.323 yang tersedia Walaupun demikian ada beberapa solusi yang dapat dilakukan untuk mengatasi permasalah diatas yaitu dengan mengkombinasikan ketiga metode firewall statefull inspection, packet filtering dan proxy dengan cara : • Hanya menggunakan packet Filtering • Packet Filtering dan H,323 proxy disisi luar firewall • Statefull packet filtering dan H.323 proxy disisi luar firewall • Packet Filtering dan H.323 Proxy disisi dalam firewall • Statefull packet filtering dan H.323 proxy disisi dalam firewall • Menggunakan Media Server Ridgeway VX 4.1. Packet Filtering Metoda Firewall Packet filtering akan membagi komunikasi data antara network internal dan internet. Di paket filtering akan diijinkan semua port yang diberikan di tabel 1 dibuka, termasuk port yang bernomor lebih dari 1023. Penggunaan port yang bernomor lebih dari 1023 menimbulkan risiko dimasuki penyusup yang akan mudah memonitor jalur data, maka untuk mengurangi risiko disapad oleh penyususpharus ditentukan terlebih dahulu di IP address yang digunakan. . 4.2 Paket Filtering dan H.323 proxy disisi luar firewall Tampak pada gambar 4 proxy disisi luar firewall. Proxy berfungsi mengontrol setiap sesi dari Protokol H.323. Karena proxy disisi luar firewall maka maka semua traffic dari proxy ke client video conference harus diijinkan memasuki internal network. Kelemahan dari sistem ini adalah bila proxy ditumpangi oleh hacker maka internal network akan mudah disusupi karena port dengan nomor lebih 1023 terbuka semua. . 4.3. Statefull packet filtering dan H.323 proxy disisi luar firewall

Statteful packet filter di firewall tidak perlu mengaktifkan port yang lebih besar dari 1023. Statefull packet filter mengintrepretasi paket H.323 dan di setiap sesinya akan mengijinkan

Gambar 4. Statefull packet filtering dan H.323 proxy disisi luar firewall membuka beberapa port untuk lalu lintas data antara proxy dan internal client videoconference untuk sementara waktu. Kombinasi statefull dan proxy merupakan alternatif kombinasi yang cukup baik karena tingkat pengamanan yang cukup baik dan kesederhanaan dalam pengaturan dan biaya cukup rendah. Kelemahan dari metoda ini saat menseting proxy karena tidak terlindungi di jaringan internet 4.4. Packet Filtering dan H.323 Proxy disisi dalam firewall Dengan menempatkan paket filtering dan H.323 disisi dalam firewall akan memperkecil kemungkinan diserang hacker dan mencegah lalu lintas data disusupi. Walaupun demikian bila ada kemungkinan dususupi bila client luar akan meminta akses ke proxy. Metoda ini sangat disarankan untuk digabung dengan metoda statefull.

Gambar 5. Packet Filtering dan H.323 Proxy disisi dalam firewall 4.5. Statefull packet filtering dan H.323 proxy disisi dalam firewall Bila kita menginginkan untuk tidak mengijinkan host yang tidak dikenal memasuki jaringan kita walaupun sesion tersebut disambungkan oleh proxy , kita dapat meletakkan proxy ini di daerah Demilitarized Zone (DMZ). Di bagian berikutu\nya akan dibahas implementasi dari H.3232 proxy di daerah DMZ 4.6 Menggunakan Media Server Ridgeway VX VXMedia server adalah metoda yang ditawarkan oleh Ridgeway tampak di gambar 6. Metoda ini memerlukan software khusus yang dijalankan disetiap client. Client software diregistrasi melalui HTTP di webserver yang mana melalui API instruksi VX edia server diseting untuk menghubungkan dua client. Semua komunikasi H.323 antara Vxmedia server menggunakan dua port yaitu nomor 176 dan 177.

Keuntungan metoda ini dapat bekerja di NAT sistem dan tidak perlu menginstall proxy. Kerugian sistem ini adalah biaya yang mahal dan tidak semua H.323 mendukung sistem ini.

Gambar 6. Rigeway Vxmedia server

5.

Konfigurasi dari Implementasi dari solusi – solusi yang telah ditawarkan . 5.1 H.323 proxy di daerah Zona Demilitarized Seperti telah diejalaskan di bagian sebelumnya konfigurasi yang terbaik yaitu meletakkan H.323 proxy di sisi dalam dari firewall dan menggunakan statefull paket filtering untuk mengijinkan kontrol dinamik ke proxy. Kerugian dari cara ini proxy dapat diakses dari mana saja yang tentu akan mengurangi daya pertahanan dari firewall tersebut. H.323 proxy adalah suatu kombinasi yang masih dalam taraf percobaan sehingga kemungkinan ada bug dari program sehingga ditempatkan tidak di internal network tapi di tambahkan di suatu tempat yang dinamakan demilitarzed zone seperti tampak pada gambar 7

.Gambar 7. Model konfigurasi dengan menempatkan H.323 proxy di zona

demiliterazed

Zona Demiliterazed(DMZ) sering disebut dengan istilah screneed subnet. Host DMZ dapat diakses dari manapun misal dari host ftp/www atau dari host SMTP/DNS. Router yang digunakan dalam konfigurqasi ini yang terbaik digunakan dua buah yaitu disebelah luar untuk menghubungkan internet dengan DMZ dan di sebelah dalam untuk menghubungkan internal network dan DMZ 5.2. H.323 Proxy Ada 3 model proxy yang dapat digunakan yaitu : • OpenH.323Proxy • KOMproxy • CiscoMCM Proxy Cisco MCM(Multimedia Conference Manager) dijalankan sebagai image antara lain pada CISCO router 3600, 7200,, 2600 dan MC 3810 dan dikombinasikan dengan gatekeeper.gateway dan proxy.Sebagai alternatif dapat digunakan CISCO proxy dan diatur pada parameter QoS (Quality of Services). Dengan pengaturan proxy yang demikian proxy di zona berbeda akan dapat saling berkomunikasi melalui internet. OpenH.323 proxy dan KOMproxy adalah dapat diimplementasikan secara open source dan berbasis pada openH.323 Stack. Open H.323 berfungsi sebagai proxy dan gatekeeper. Keduanya dijalankan dibawah sistem operasi UNIX.. Kelemahan dari model diatas adalah cukup sulit untuk melakukan kompilasi. Cara untuk melakukan melakukan kompilasi sebagai berikut : • Semua kode dikompilsi dil LINUX RED HAT 7.1 dengan kernel 2.42 • Komputer yang terbaik dapat digunakan pentium IV minimal 1.7 GHZ dengan RAM 512 MB. •

• • •

Download kode PWLIB dari website http://www.openH323.org/code.html.

Pertama compile PWLIB kemudian open H.323 Pastikan OPENH,323DIR dan PWLIBDIR mengacu pada direktori yang sama Contoh berikut skrip seting yang dilakukan :

 PWLIBDIR=$HOME/pwlib  export PWLIBDIR  OPENH323DIR=$HOME/openH323  export OPENH323DIR  LD_LIBRARY_PATH=$PWLIBDIR/lib:$OPENH323DIR/lib  export LD_LIBRARY_PATH ♦ Download H.323 Proxy ♦ Lakukan pengaturan sebagai berikut :

H225_Alias_Address::e_e164 --> H225_Alias_Address::e_dialedDigits H225_PartyNumber::e_publicNumber --> H225_PartyNumber::e_e164Number

Untuk KOMproxy perlu ditambahakan gatekeeper karena KOMproxy tidak memiliki gatekeeper. Gatekeeper diletakkan di internal network dan di internet. Gatekeeper yang berfungsi untuk menghubungkan client dengan proxy. Model pengalamatan menggunakan international address scheme for videoconferencing. 5.2 Menginstalasi Statefull Inspection di Cisco Router. Langkah yang dilakuakn untuk meninstalasi router sebagai berikut : ♦ Ijinkan semua lalulintas data dari internet ke DMZ dengan data yang berasal dari : Semua host ke proxy di UDP Port 1719 (RAS gatekeeper) Semua hosts ke proxy di TCP port 1720 (H323 Call-setup) Semua host ke proxy diCP/UDP ports >10000 (Audio/Video channels) ♦

Ijinkan juga semua data dari DMZ ke Internet yagn berasal dari : Proxy Ke video conference client 1 ke CP port 1720 Poxy keVideoconference client-2 diCP port 1720 Hingga … Ke proxy ke videoconference clinet n di TCP port 1720 Proxy ke Gatekeeper di UDP port 1719

Dan jalur data yang lain didisable. Semua kombinasi ini dapat berjalan bila digabungkan dengan CBAC (Context Based Access Control) . Pengaturan CBAC rules akan memastikan ketersediaan jalur alamat yang diatur oleh ACL (Adress Control List) untuk sesi yang dilakukan seperti contoh ilustrasi beriku sebelum melakukan pengaturan antara 2 client video conference alamat yang dapat digunakan yaitu tcp host 192.87.116.130 host 192.87.116.162 eq 1720 log udp host 192.87.116.130 host 192.87.116.163 eq 1719 log tolak IP yang lain.

Dan setelah melakukan Pengaturan IP yang dapat dapat digunakan : : udp host 192.87.116.130 eq 10111 host 192.87.116.162 eq 1176 permit udp host 192.87.116.130 eq 10107 host 192.87.116.162 eq 1174 permit udp host 192.87.116.130 eq 10110 host 192.87.116.162 eq 1177 permit udp host 192.87.116.130 eq 10106 host 192.87.116.162 eq 1175 permit udp host 192.87.116.130 eq 10101 host 192.87.116.162 eq 5423 permit udp host 192.87.116.130 eq 10110 host 192.87.116.162 eq 5422 permit udp host 192.87.116.130 eq 10097 host 192.87.116.162 eq 5421 permit udp host 192.87.116.130 eq 10106 host 192.87.116.162 eq 5420 permit tcp host 192.87.116.130 eq 10094 host 192.87.116.162 eq 1173 permit tcp host 192.87.116.130 host 192.87.116.162 eq 1720 log permit udp host 192.87.116.130 host 192.87.116.163 eq 1719 log tolak IP yang lain.

Sedangkan untuk Konfigurasi CISCO ROUTER dapat dilakukan sebagai berikut : nlgate#sh run Building configuration... Current configuration : 3040 bytes ! version 12.2

service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname nlgate ! no logging console enable secret 5 xxxxxxxxxxxx enable password 7 xxxxxxxxxxx ! ip subnet-zero ! ! ip domain-name showcase.surfnet.nl ip name-server 192.87.108.3 ip name-server 192.87.109.5 ! ip inspect name PrivateOut H323 timeout 3600 ip inspect name PrivateIn H323 timeout 3600 ip audit notify log ip audit po max-events 100 ip ssh time-out 120 ip ssh authentication-retries 3 ! call rsvp-sync ! ! ! ! ! ! ! ! interface FastEthernet0/0 no ip address no ip mroute-cache speed 100 full-duplex no cdp enable ! interface FastEthernet0/0.1 description *** Showcase *** GigaPort 18 encapsulation isl 116 ip address 192.87.116.62 255.255.255.128 ip access-group 101 in ip access-group 102 out no ip redirects ! interface FastEthernet0/0.2 description *** VCNet1 *** encapsulation isl 161 ip address 192.87.116.129 255.255.255.224 ip access-group 112 out no ip redirects ! interface FastEthernet0/0.3 description *** VCNet2 *** encapsulation isl 162 ip address 192.87.116.161 255.255.255.224 ip access-group 121 in ip access-group 122 out

no ip redirects ip inspect PrivateIn in ip inspect PrivateOut out ! interface FastEthernet0/1 no ip address duplex auto speed auto no cdp enable ! ip classless ip route 0.0.0.0 0.0.0.0 192.87.116.1 no ip http server ip pim bidir-enable ! logging 192.87.116.130 access-list 1 permit 192.87.109.0 0.0.0.255 access-list 1 deny any log access-list 101 permit tcp any host 192.87.116.130 eq 22 log access-list 101 permit tcp any host 192.87.116.130 eq 1720 log access-list 101 permit udp any host 192.87.116.130 eq 1719 log access-list 101 permit udp any host 192.87.116.130 gt 10000 log access-list 101 permit tcp any host 192.87.116.130 gt 10000 log access-list 101 deny ip any any access-list 102 permit ip 192.87.116.128 0.0.0.31 any access-list 102 deny ip 192.87.116.160 0.0.0.31 any access-list 112 permit tcp any host 192.87.116.130 eq 22 log access-list 112 permit tcp any host 192.87.116.130 eq 1720 log access-list 112 permit udp any host 192.87.116.130 eq 1719 log access-list 112 permit tcp any host 192.87.116.130 gt 10000 log access-list 112 permit udp any host 192.87.116.130 gt 10000 log access-list 112 deny ip any any log access-list 121 permit udp host 192.87.116.163 host 192.87.116.130 eq 1719 log access-list 121 permit tcp host 192.87.116.162 host 192.87.116.130 eq 1720 log access-list 121 deny ip any any log access-list 122 permit tcp host 192.87.116.130 host 192.87.116.162 eq 1720 log access-list 122 permit udp host 192.87.116.130 host 192.87.116.163 eq 1719 log access-list 122 deny ip any any log ! snmp-server community gk4H323 RO ! dial-peer cor custom ! ! ! ! ! line con 0 access-class 1 in exec-timeout 0 0 password 7 xxxxxxxxxxx login line aux 0 line vty 0 4 access-class 1 in password 7 xxxxxxxxxxx login line vty 5 15 access-class 1 in login !

no scheduler allocate end

Sebelum melakukan pengaturan antara 2 clients viedoconference perlu diperhatikan peraturan mengenai daftar IP yang dapat dimanfaatkan yaitu : tcp host 192.87.116.130 host 192.87.116.162 eq 1720 log udp host 192.87.116.130 host 192.87.116.163 eq 1719 log

5.3 Menginstalasi KOMProxy. The KOMProxy dikompilasi di Linux RH 7.1. Konfigurasi untuk instalasi KOMProxy sebagai berikut : ####################################### # proxyd.conf ####################################### #-------------------------------------# misc #-------------------------------------LOGLEVEL = 3; LOGTARGET = 2; LOGDIR = /usr/local/KOMproxyd/; #LISTENER_0 = test_0; #LISTENER_1 = generic_1; #LISTENER_2 = ftp_0; LISTENER_3 = H323_0; FIREWALL = nofw_0; SESSION_0 = ras_0; LOCALIP = 192.87.116.130; #FILLMETHOD = FILLFIRST; FILLMETHOD = FILLEQUAL; #-------------------------------------# ras #-------------------------------------ras_0_NAME = ras; ras_0_PATH = /usr/local/KOMproxyd/; ras_0_PORT = 1719; ras_0_PROTO = 17; ras_0_TIMEOUT = 0; ras_0_Q931_PORT = 1720; ras_0_Q931_LOCATOR = H323_0; ras_0_Q931_LOCATOR_TIMEOUT = 60; ras_0_LOCATOR_0 = PDU; ras_0_LOCATOR_PDU_DIGIT_0 = 0; ras_0_LOCATOR_PDU_DIGIT_0_PORT = 1719; ras_0_LOCATOR_PDU_DIGIT_0_IP = 192.87.39.4; ras_0_LOCATOR_PDU_DIGIT_1 = 2; ras_0_LOCATOR_PDU_DIGIT_1_PORT = 1719; ras_0_LOCATOR_PDU_DIGIT_1_IP = 192.87.116.163; ras_0_LOCATOR_PDU_DIGIT_2 = 3; ras_0_LOCATOR_PDU_DIGIT_2_PORT = 1719; ras_0_LOCATOR_PDU_DIGIT_2_IP = 192.87.116.163; ras_0_LOCATOR_PDU_DIGIT_3 = 5; ras_0_LOCATOR_PDU_DIGIT_3_PORT = 1719; ras_0_LOCATOR_PDU_DIGIT_3_IP = 192.87.116.163; ras_0_LOCATOR_PDU_DIGIT_4 = 6; ras_0_LOCATOR_PDU_DIGIT_4_PORT = 1719; ras_0_LOCATOR_PDU_DIGIT_4_IP = 192.87.116.163; ras_0_LOCATOR_PDU_DIGIT_5 = 9; ras_0_LOCATOR_PDU_DIGIT_5_PORT = 1719; ras_0_LOCATOR_PDU_DIGIT_5_IP = 192.87.116.163;

ras_0_ALLOW_locationRequest = YES; ras_0_ALLOW_locationRequest = YES; ras_0_ALLOW_locationConfirm = YES; ras_0_ALLOW_locationReject = YES; #-------------------------------------# H323 #-------------------------------------H323_0_NAME = H323; H323_0_PATH = /usr/local/KOMproxyd/; H323_0_PORT = 1720; H323_0_PROTO = 6; H323_0_TIMEOUT = 0; H323_0_DATAFASTPATH = 0; H323_0_LOCATOR_0 = PDU; #H323_0_LOCATOR_PDU_DIGIT_0 = 100; #H323_0_LOCATOR_PDU_DIGIT_0_PORT = 1720; #H323_0_LOCATOR_PDU_DIGIT_0_IP = 130.83.139.154; #H323_0_LOCATOR_1 = CONF; #H323_0_LOCATOR_CONF_HOST_0 = 130.83.139.161; #H323_0_LOCATOR_CONF_HOST_0_IP = 130.83.139.174; #H323_0_LOCATOR_CONF_HOST_0_PORT = 1720; #H323_0_LOCATOR_2 = FW; H323_0_ALLOW_Q931_setup = YES; H323_0_ALLOW_Q931_callProceeding = YES; H323_0_ALLOW_Q931_connect = YES; H323_0_ALLOW_Q931_alerting = YES; H323_0_ALLOW_Q931_information = NO; H323_0_ALLOW_Q931_releaseComplete = YES; H323_0_ALLOW_Q931_facility = YES; H323_0_ALLOW_Q931_progress = YES; H323_0_ALLOW_Q931_empty = NO; H323_0_ALLOW_H245_request = YES; H323_0_ALLOW_H245_response = YES; H323_0_ALLOW_H245_command = YES; H323_0_ALLOW_H245_indication = YES; H323_0_ALLOW_CHANNEL_videoData = YES; H323_0_ALLOW_CHANNEL_audioData = YES;

6. Kesimpulan H.323 adalah protokol yang luas kemampuannya sehingga tanpa firewall atau NAT pun dapat dilakukan suatu komunikasi. Tapi walau demikian sangat disarankan menggunakan firewall karena untuk menjaga keamanan dari penyusup yang akan melakukan penyadapan. Teknik Firewall yang terbaik menggunakan metoda stateful paket filtering dan menggunakan Demilitarized Zone (DMZ). Bila Menggunakan Cisco Router dikombinasikan dengan ACL dan CBAC untuk menjamin kemanan lalu lintas data. Proxy yang terbaik dapat digunakan KOMProxy karena dari segi kemudahan mengkonfigurasi. Gatekeeper juga perlu ditambahkan untuk menjamin authentinkasi dari client yang menggunakan jalur video conference sehingga kemanan komunikasi lebih terjamin. 7. Daftar Pustaka ♦ Roland Sterring, Video Conferencing Behind The firewall, Giga port 25 February 2002 ♦ Wisnu Broto, Memahami Dasar-dasar Firewall, Elex Media Komputindo, Jakarta 2003 ♦ Tabratas Tharom, Teknis Dan Bisnis VOIP, Elex Media Komputindo, Jakarta 2002