Bastion Host adalah sistembagian yang dianggap tempat terkuat
dalam sistem keamanan jaringan oleh administrator, atau dapat di sebut sebagai bagian terdepan yang dianggap paling kuat dalam menahan
serangan, sehingga menjadi bagian terpenting dalam pengamanan jaringan, biasanya merupakan komponen firewall atau bagian terluar
sistem publik. Umumnya Bastion host akan menggunakan Sistem operasi yang dapat menangani semua kebutuhan misal , Unix, linux, NT.
b. Dual-homed bastion
Pada arsitektur ini, secara fisik akan terdapat patahancelah dalam jaringan. Kelebihannya adalah dengan adanya dua jalur yang memisahkan
secara fisik maka akan lebih meningkatkan keamanan. Adapun untuk server-server yang memerlukan direct akses akses langsung maka dapat
Gambar 2.4 Arsitektur Firewall Screened Host Firewall PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
diletakkan ditempatsegment yang langsung berhubungan dengan internet. Hal ini dapat dilakukan dengan cara menggunakan 2 buah NIC network
interface Card pada bastion Host atau yang disebut sebagai dual homed. Interface pertama dihubungkan dengan jaringan luar sedangkan interface
yang satunya lagi dihubungkan dengan jaringan dalam lokal
c. Screened subnet firewall
Firewall dengan
arsitektur screened-subnet
ini memiliki
konfigurasi yang cukup tinggi tingkat keamanannya, karena pada konfigurasi ini digunakan 2 buah packet filtering router, 1 diantara
internet dan bastion host, sedangkan 1 lagi antara bastian host dan jaringan lokal.
Gambar 2.5 Arsitektur Firewall Dual-homed PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
Adapun kelebihannya adalah : •
Terdapat 3
lapisantingkat pertahanan
terhadap penyusupintruder .
• Router luar hanya melayani hubungan antara internet dan
bastion host sehingga jaringan lokal menjadi tak terlihat invisible
• Jaringan lokal tidak dapat mengkonstuksi routing langsung ke
internet, atau dengan kata lain, internet menjadi Invinsible namun tetap bisa melakukan koneksi internet.
• Optimasi penempatan server
Gambar 2.6 Arsitektur Firewall Screened subnet PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
Gambar 2.7 Penempatan DMZ
2.2.3 Demilitarized Zone DMZ
Ketika kita mengkoneksikan satu atau beberapa server ke internet, ini akan menjadi suatu kendala yang berhubungan dengan keamanan
server itu sendiri. Dimana aliran masuk dari jaringan luar akan langsung masuk ke jaringan anda. DMZ sendiri merupakan interface yang berada
diantara area jaringan internal dan area aringan untuk umuminternet. Firewall akan mengijinkan akses dari jaringan dari luar ke server yang
telah diisolasi di DMZ dan tidak diarahkan langsung memasuki jaringan internal anda. Seperti dalam gambar berikut ini.
Pada gambar diatas terdapat tiga interface card dimana interface
pertama dihubungkan dengan dunia luar internet, interface kedua dihubungkan dengan jaringan dalam dan interface ketiga atau DMZ
interface dihubungkan dengan sekumpulan server. Aturan yang diberlakukan adalah
Internet WWW
Interface luar Interface dalam
Interface DMZ Jaringan client
Web server Mail server
FTP server Firewall
• pengguna luarinternet tidak dibenarkan mengakses rangkaian
dalam. •
Pengguna dalam dapat mengakses rangkaian DMZ, tetapi aturan tidak membenarkan rangkaian DMZ masuk ke jaringan dalam.
• Pengguna luar internet hanya dibenarkan mengakses servis yang
telah disediakan pada rangkaian DMZ yaitu web server, mail server dan FTP server.
2.2.4 Network Address Translation NAT
Keterbatasan alamat IPV4 merupakan masalah pada jaringan global atau Internet. Untuk memaksimalkan penggunakan alamat IP yang diberikan oleh
Internet Service Provider ISP dapat digunakan Network Address Translation atau NAT. NAT membuat jaringan yang menggunakan alamat lokal private,
alamat yang tidak boleh ada dalam tabel routing Internet dan dikhususkan untuk jaringan lokalintranet, dapat berkomunikasi ke internet dengan jalan ‘meminjam’
alamat IP Internet yang dialokasikan oleh ISP.
2.2.4.1 Dua Tipe NAT
Dua tipe NAT adalah Static dan Dinamik yang keduanya dapat digunakan secara terpisah maupun bersamaan.
1. Statik
Translasi Statik terjadi ketika sebuah alamat lokal inside dipetakan ke sebuah alamat globalinternet outside. Alamat lokal
dan global dipetakan satu lawan satu secara Statik.
2. Dinamik a. NAT dengan Pool kelompok
Translasi Dinamik terjadi ketika router NAT diset untuk memahami alamat lokal yang harus ditranslasikan, dan kelompok
pool alamat global yang akan digunakan untuk terhubung ke internet. Proses NAT Dinamik ini dapat memetakan beberapa
kelompok alamat lokal ke beberapa kelompok alamat global.
b. NAT Overload
Sejumlah IP lokalinternal dapat ditranslasikan ke satu alamat IP global atau outside. Sharing atau pemakaian bersama
satu alamat IP ini menghemat penggunakan alokasi IP dari ISP. Sharing atau pemakaian bersama satu alamat IP ini menggunakan
metoda port multiplexing, atau perubahan port ke paket outbound. PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
Contoh penerapan NAT seperti pada gambar berikut ini
Komputer A berfungsi sebagai gateway dari jaringan yang ada di bawahnya. Dan hanya komputer ini yang mempunyai alamat ip register
atau alamat IP yang terdaftar. Misalnya komputer B ingin membuka situs www.yahoo.com
dengan port 80. sebelum sampai di tujuan, paket data yang berupa permintaan ini melewati komputer A. NAT membacanya.
Setelah itu NAT menukarkan alamat ip komputer B dengan alamat IP komputer A dan meneruskan permintaan tadi ke tujuan.
www.yahoo.com mendengar permintaan dari komputer A padahal yang
meminta adalah komputer B dan memberikan respon. Setelah sampai ke komputer A, NAT kembali membaca bahwa sesungguhnya respon ini
Internet
Komputer A Gateway
IP 172.21.202.98
Komputer B IP 192.168.1.2
Komputer C IP 192.168.1.3
Komputer D IP 192.168.1.4
Gambar 2.8 Contoh penerapan NAT
HUB
bukan untuk dirinya, melainkan untuk komputer B. Lalu permintaan ini diteruskan ke komputer B.
2.2.4.2 NATD
Network address translation daemon Natd merupakan salah satu fasilitas yang menyediakan fungsi NAT pada sistem operasi freebsd yang
menggunakan divert socket. Secara normal natd berjalan sebagai daemon pada proses background. Natd akan melakukan pertukaran alamat IP dari
bentuk tertentu ke bentuk alamat IP lain. Setiap paket yang dilewatkan akan dicatat dalam tabel internal
sehinga saat paket kembali diterima akan dicocokan kembali dengan tabel yang ada. Jika cocok paket akan diteruskan kembali ke port dan alamat IP
paket. Untuk menjalankan natd pada sistem operasi freebsd, harus dilakukan kompile ulang kernel dengan menambahkan
option divert. Kemudian pada file konfigurasi etcrc.conf
ditambahkan gateway_enable=”yes”
dan sysctl
net.inet.ip. forwarding =1 pada file konfigurasi etc sysctl.conf.
2.3 Teknik teknik dalam menembus sebuah sistem