1. Home
  2. Lainnya

Dual-homed bastion NAT Overload

Bastion Host adalah sistembagian yang dianggap tempat terkuat dalam sistem keamanan jaringan oleh administrator, atau dapat di sebut sebagai bagian terdepan yang dianggap paling kuat dalam menahan serangan, sehingga menjadi bagian terpenting dalam pengamanan jaringan, biasanya merupakan komponen firewall atau bagian terluar sistem publik. Umumnya Bastion host akan menggunakan Sistem operasi yang dapat menangani semua kebutuhan misal , Unix, linux, NT.

b. Dual-homed bastion

Pada arsitektur ini, secara fisik akan terdapat patahancelah dalam jaringan. Kelebihannya adalah dengan adanya dua jalur yang memisahkan secara fisik maka akan lebih meningkatkan keamanan. Adapun untuk server-server yang memerlukan direct akses akses langsung maka dapat Gambar 2.4 Arsitektur Firewall Screened Host Firewall PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI diletakkan ditempatsegment yang langsung berhubungan dengan internet. Hal ini dapat dilakukan dengan cara menggunakan 2 buah NIC network interface Card pada bastion Host atau yang disebut sebagai dual homed. Interface pertama dihubungkan dengan jaringan luar sedangkan interface yang satunya lagi dihubungkan dengan jaringan dalam lokal

c. Screened subnet firewall

Firewall dengan arsitektur screened-subnet ini memiliki konfigurasi yang cukup tinggi tingkat keamanannya, karena pada konfigurasi ini digunakan 2 buah packet filtering router, 1 diantara internet dan bastion host, sedangkan 1 lagi antara bastian host dan jaringan lokal. Gambar 2.5 Arsitektur Firewall Dual-homed PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI Adapun kelebihannya adalah : • Terdapat 3 lapisantingkat pertahanan terhadap penyusupintruder . • Router luar hanya melayani hubungan antara internet dan bastion host sehingga jaringan lokal menjadi tak terlihat invisible • Jaringan lokal tidak dapat mengkonstuksi routing langsung ke internet, atau dengan kata lain, internet menjadi Invinsible namun tetap bisa melakukan koneksi internet. • Optimasi penempatan server Gambar 2.6 Arsitektur Firewall Screened subnet PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI Gambar 2.7 Penempatan DMZ

2.2.3 Demilitarized Zone DMZ

Ketika kita mengkoneksikan satu atau beberapa server ke internet, ini akan menjadi suatu kendala yang berhubungan dengan keamanan server itu sendiri. Dimana aliran masuk dari jaringan luar akan langsung masuk ke jaringan anda. DMZ sendiri merupakan interface yang berada diantara area jaringan internal dan area aringan untuk umuminternet. Firewall akan mengijinkan akses dari jaringan dari luar ke server yang telah diisolasi di DMZ dan tidak diarahkan langsung memasuki jaringan internal anda. Seperti dalam gambar berikut ini. Pada gambar diatas terdapat tiga interface card dimana interface pertama dihubungkan dengan dunia luar internet, interface kedua dihubungkan dengan jaringan dalam dan interface ketiga atau DMZ interface dihubungkan dengan sekumpulan server. Aturan yang diberlakukan adalah Internet WWW Interface luar Interface dalam Interface DMZ Jaringan client Web server Mail server FTP server Firewall • pengguna luarinternet tidak dibenarkan mengakses rangkaian dalam. • Pengguna dalam dapat mengakses rangkaian DMZ, tetapi aturan tidak membenarkan rangkaian DMZ masuk ke jaringan dalam. • Pengguna luar internet hanya dibenarkan mengakses servis yang telah disediakan pada rangkaian DMZ yaitu web server, mail server dan FTP server.

2.2.4 Network Address Translation NAT

Keterbatasan alamat IPV4 merupakan masalah pada jaringan global atau Internet. Untuk memaksimalkan penggunakan alamat IP yang diberikan oleh Internet Service Provider ISP dapat digunakan Network Address Translation atau NAT. NAT membuat jaringan yang menggunakan alamat lokal private, alamat yang tidak boleh ada dalam tabel routing Internet dan dikhususkan untuk jaringan lokalintranet, dapat berkomunikasi ke internet dengan jalan ‘meminjam’ alamat IP Internet yang dialokasikan oleh ISP.

2.2.4.1 Dua Tipe NAT

Dua tipe NAT adalah Static dan Dinamik yang keduanya dapat digunakan secara terpisah maupun bersamaan.

1. Statik

Translasi Statik terjadi ketika sebuah alamat lokal inside dipetakan ke sebuah alamat globalinternet outside. Alamat lokal dan global dipetakan satu lawan satu secara Statik.

2. Dinamik a. NAT dengan Pool kelompok

Translasi Dinamik terjadi ketika router NAT diset untuk memahami alamat lokal yang harus ditranslasikan, dan kelompok pool alamat global yang akan digunakan untuk terhubung ke internet. Proses NAT Dinamik ini dapat memetakan beberapa kelompok alamat lokal ke beberapa kelompok alamat global.

b. NAT Overload

Sejumlah IP lokalinternal dapat ditranslasikan ke satu alamat IP global atau outside. Sharing atau pemakaian bersama satu alamat IP ini menghemat penggunakan alokasi IP dari ISP. Sharing atau pemakaian bersama satu alamat IP ini menggunakan metoda port multiplexing, atau perubahan port ke paket outbound. PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI Contoh penerapan NAT seperti pada gambar berikut ini Komputer A berfungsi sebagai gateway dari jaringan yang ada di bawahnya. Dan hanya komputer ini yang mempunyai alamat ip register atau alamat IP yang terdaftar. Misalnya komputer B ingin membuka situs www.yahoo.com dengan port 80. sebelum sampai di tujuan, paket data yang berupa permintaan ini melewati komputer A. NAT membacanya. Setelah itu NAT menukarkan alamat ip komputer B dengan alamat IP komputer A dan meneruskan permintaan tadi ke tujuan. www.yahoo.com mendengar permintaan dari komputer A padahal yang meminta adalah komputer B dan memberikan respon. Setelah sampai ke komputer A, NAT kembali membaca bahwa sesungguhnya respon ini Internet Komputer A Gateway IP 172.21.202.98 Komputer B IP 192.168.1.2 Komputer C IP 192.168.1.3 Komputer D IP 192.168.1.4 Gambar 2.8 Contoh penerapan NAT HUB bukan untuk dirinya, melainkan untuk komputer B. Lalu permintaan ini diteruskan ke komputer B.

2.2.4.2 NATD

Network address translation daemon Natd merupakan salah satu fasilitas yang menyediakan fungsi NAT pada sistem operasi freebsd yang menggunakan divert socket. Secara normal natd berjalan sebagai daemon pada proses background. Natd akan melakukan pertukaran alamat IP dari bentuk tertentu ke bentuk alamat IP lain. Setiap paket yang dilewatkan akan dicatat dalam tabel internal sehinga saat paket kembali diterima akan dicocokan kembali dengan tabel yang ada. Jika cocok paket akan diteruskan kembali ke port dan alamat IP paket. Untuk menjalankan natd pada sistem operasi freebsd, harus dilakukan kompile ulang kernel dengan menambahkan option divert. Kemudian pada file konfigurasi etcrc.conf ditambahkan gateway_enable=”yes” dan sysctl net.inet.ip. forwarding =1 pada file konfigurasi etc sysctl.conf.

2.3 Teknik teknik dalam menembus sebuah sistem

Dokumen yang terkait

Rancang bangun aplikasi chat conference pada mobile phone dengan menggunakan enkripsi

1 9 231

Pengembangan aplikasi sistem absensi karyawan dengan metode barcode pada PT.Kemenangan Jaya

7 31 177

Rancang bangun aplikasi biografi pahlawan indonesia untuk anak sekolah dasar pada sistem operasi android

0 6 210

Kelas10 sistem operasi 1571

0 21 234

Instalasi tool pemrograman paralel menggunakan parallel virutal mchine 3.4.3 (PVM 3.4.3) pada sistem operasi window 98

0 11 11

Simulasi keamanan pada aplikasi web dengan web aplication firewall

13 93 69

Pembangunan sistem operasi linika berbasis linux menggunakan metode LFS

3 47 153

Membangun aplikasi kasir menggunakan Java dan MySQL (studi kasus pada perusahaan ORE) : laporan kerja praktek

2 15 103

Membangun aplikasi e-commerce pada Toko Rustixsshop

0 10 292

Perancangan sistem operasi yang aman Bentuk serangan terhadap sistem operasi

1 0 37