ADMINISTRASI INFRASTRUKTUR JARINGAN Kelas Xi! 13 11. DMZ Dalam keamanan komputer, DMZ atau zona demiliterisasi (kadang- kadang disebut jaringan perimeter) adalah subnetwork fisik atau logis yang mencakup dan mengekspos organisasi eksternal yang menghadapi layanan untuk jaringan yang tak tepercaya, biasanya jaringan lebih besar seperti internet. Tujuan DMZ adalah menambahkan lapisan keamanan untuk layanan jaringan area lokal (LAN). Simpul jaringan cksternal hanya dapat mengakses apa yang terkena di DMZ, sedangkan sisanya dari jaringan organisasi yang firewall. Nama ini berasal dari istilah ‘zona demiliterisasi’, yaitu dacrah antara negara-negara di mana operasi militer tidak diizinkan, Dalam arti militer, DMZ tidak dilihat sebagai milik salah satu pihak yang berbatasan itu. Konsep ini berlaku untuk penggunaan komputasi dengan metafora dalam DMZ, misalnya yang bertindak sebagai gateway ke internet umum yang tidak aman seperti jaringan internal, maupun tidak aman sebagai internet publik. Dalam hal ini, host yang paling rentan terhadap serangan adalah yang memberikan layanan kepada pengguna di luar jaringan area lokal seperti email, web, dan Domain Name System (DNS) server. Karena peningkatan potensi host mengalami serangan, mereka ditempatkan dalam subnetwork tertentu untuk melindungi sisa jaringan jika penyusup yang berkompromi dengan salah satu dari mereka berhasil. Host di DMZ diizinkan untuk memiliki Konektivitas terbatas hanya untuk host tertentu di jaringan internal karena isi dari DMZ tidak aman seperti jaringan internal. Demikian pula, komunikasi antara host dalam DMZ dan jaringan eksternal juga dibatasi schingga DMZ lebih aman dari internet, dan cocok untuk perumahan layanan ini tujuan khusus. Hal ini memungkinkan host dalam DMZ untuk berkomunikasi dengan kedua jaringan internal dan eksternal. Sementara itu, intervensi firewall ‘mengontro! lalu lintas antara server DMZ dan klien jaringan internal, Lalu firewall lain akan melakukan beberapa tingkat kontrol untuk melindungi DMZ dari jaringan eksternal. Konfigurasi DMZ memberikan keamanan dari serangan eksternal, tetapi biasanya tidak memiliki bantalan pada serangan internal seperti mengendus komunikasi melalui analisis paket atau spoofing seperti spoofing email. Kebiasaan demikian kadang baik untuk mengonfigurasi terpisah Baris Militarized Zone (CMZ). Zona militer yang sangat dipantau terdiri atas sebagian besar web server (dan server serupa yang antarmuka dengan14 ADMINISTRASI INFRASTRUKTUR JARINGAN Kelas xi idak di DMZ tetapi berisi informas; sensitif tentang mengakses server dalam LAN (seperti server database) Dalam arsitektur tersebut, DMZ biasanya memiliki aplikasi firewall day FTP sementara CMZ host server Web. Database server bisa di CMZ, gj LAN, atau dalam VLAN yang terpisah sama sekali. a, Layanan yang sering digunakan : Setiap layanan yang disediakan untuk pengguna di jaringan eksteral dapat ditempatkan dalam DMZ. Hal paling umum dari dunia luar, yaitu intemet) yang ti layanan ini adalah: 1) Server web yang berkomunikasi : memerlukan akses ke database server yang tidak dapat diakses publik dan mungkin berisi informasi sensitif. Server web dapat berkomunikasi dengan database server baik secara langsung atau melalui aplikasi firewall untuk alasan keamanan. 2) Email pesan dan khususnya database pengguna bersifat rahasia schingga mereka biasanya disimpan di server yang tidak dapat diakses dari Internet (setidaknya secara tidak aman), tetapi dapat diakses dari server email yang terhubung ke Internet. 3) Mail server di dalam DMZ melewati surat masuk ke server email yang aman atau internal. Hal ini juga menangani surat keluar. dengan database internal b. Manfaat DMZ Untuk keamanan, sesuai dengan standar hukum seperti HIPAA dan pemantauan alasan dalam lingkungan bisnis, beberapa perusahaan menginstal proxy server dalam DMZ. Manfaatnya sebagai berikut: 1) Mewajibkan pengguna internal (biasanya karyawan) agar menggunakan proxy server untuk akses internet. 2) Mengurangi persyaratan akses bandwidth internet karena beberapa konten web dapat di-cache oleh proxy server. 3) Menyederhanakan pencatatan dan pengawasan kegiatan pengguna penyaringan terpusat konten web. Sebuah reverse proxy server itu seperti proxy server merupakan Perantara, tetapi digunakan sebaliknya. Alih-alih menyediakan layanan untuk penggun® internal yang ingin mengakses jaringan eksternal, ia menyediakan akses langsung untuk jaringan eksteral (biasanya intemet) Ke sumber daya internal. Misalnya, akses aplikasi office seperti siste™ email dapat diberikan kepada pengguna ekstemnal (untuk membacd email sementara di luar perusahaan) tetapi pengguna jarak javh tidak akan memiliki akses langsung ke server einai aaeets HanyaADMINISTRASI INFRASTRUKTUR JARINGAN. Kelas XII 15 reverse proxy server fisik yang dapat mengakses server email internal. Lapisan ini merupakan lapisan keamanan tambahan yang sangat dianjurkan ketika sumber daya internal perlu diakses dari lar. Biasanya mekanisme seperti reverse proxy (proxy terbalik) disediakan dengan menggunakan firewall lapisan Aplikasi karena mereka fokus pada bentuk tertentu: lalu lintas daripada mengendalikan akses ke TCP dan port UDP khusus sebagai firewall packet filter tidak. .2. Tunnels IP Tunnel atau bisa Anda sebut IP terowongan merupakan sebuah IP (internet Protocol) network komunikasi antara dua jaringan. Dengan adanya IP tunnel kita bisa bergabung dengan network lain, secara tidak langsung kita membuat terowongan sendiri untuk menggabungkan network kita. Jika IP Tunnel berhasil maka sudah tidak ada lagi sebutan jarak yang memisahkan kita karena walau jauh kita serasa 1 network jauh di mata dekat di network). Dengan kata lain, secara teknis IP tunnel bisa digunakan untuk menghubungkan dua jaringan IP yang tidak memiliki jalur routing asli satu sama lain melalui routable protocol yang melintasi jaringan trasportasi perantara. Misalnya, kita menggunakan koneksi ISP Aminnet dan kita ingin tunnel ke adnnet maka jalur yang digunakan adalah jalur Aminnet untuk gabung ke adnnet. Istilahnya, Aminnet itu hanya menjadi jembatannya. Kemudian, koneksi yang digunakan juga sesuai tujuan kita akan tunnel. Jika kita tunnel ke network yang ada di Indonesia maka koneksi yang kita gunakan adalah ITX dan kita sama sekali tidak memakai network internasional untuk tunnel versebut. ™ESGEKSPLORASI gvetiah kelompok kemudian kumpulkan data informasi dari berbagai ‘evar mengenai firewall dan perkembangannya khususnya jaringan /-rvasis \uas di Indonesia! Kemudian, setelah mengetahui perkembangannya eve yang menjadi perbedaannya? Buatlah laporannya!ADMINISTRASI INFRASTRUKTUR JARINGAN Kelas XI! 13. IPSec IPSec merupakan singkatan dari IP security. IPSec merupakan suaty protokol yang digunakan untuk melakukan pertukaran paket pada layer Ip secara aman. IPSec menyediakan dua jenis mode enkripsi, yaitu mode transport dan mode tunnel. Mode transport akan mengenkripsi bagian data (payload) masing-masing paket tanpa mengubah header paket tersebut. Algoritma yang digunakan untuk mengenkripsi data adalah algoritma kriptografi simetris. IPSec mode ini menggunakan sub-protokol yang disebut encapsulated security payload (ESP). Pada mode tunnel, kita melakukan komputasi pada data dan header paket yang akan dikirim dengan menggunakan teknik checksum kriptografi dan mengubah bagian header paket IP menggunakan fungsi hashing yang aman. Paket ini akan mendapatkan header baru yang mengandung nilai hash agar informasi pada paket biasa diautentikasi di bagian penerima. Mode ini seolah-olah membuat “terowongan” khusus pada jaringan publik yang hanya dapat diakses oleh orang-orang tertentu. 14, Intrusion Detection System Intrusion Detection System digunakan untuk mendeteksi aktivitas yang mencurigakan dalam suatu sistem atau jaringan. Intrusion adalah aktivitas tidak sah atau tidak diinginkan yang mengganggu kerahasiaan, integritas, dan atau ketersediaan informasi yang terdapat di suatu sistem. IDS akan memonitor lalu lintas data pada jaringan atau mengambil data dari berkas log. Kemudian, IDS akan menganalisis dan dengan algoritma tertentu akan memutuskan untuk memberikan peringatan kepada scorang administrator jaringan atau tidak. Dewasa ini, ada banyak solusi untuk mengurangi risiko dari serangan atau threat pada sistem komputer. Intrusion Detection System (IDS) hanyalah salah satu dari sekian banyak contoh penanganan terhadap intrusi. IDS umumnya merupakan sebuah aplikasi yang dapat mendeteksi aktivitas mencurigakan dalam sistem atau jaringan. Lebih lanjut, IDS dapat melakukan inspeksi terhadap lalu lintas komunikasi data dalam sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan penyusupan (termasuk kategori penyusupan atau tidak), serta terkadang memberikan penanganan terhadap susupan atau gangguan yang terjadi. Pendeteksian dilakukan IDS agar memblokir gangguan jika langsung terdeteksi, bertindak sebagai deterrent (mencegah seseorang melakukan gangguan atau intrusi), dan mengumpulkan informasi untuk meningkatkan keamanan.ADMINISTRAS! INFRASTRUKTUR JARINGAN Kelas XII 17 a. Tipe dasar IDS 1) Rule-based systems: berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mencatat lalu lintas yang sesuai dengan database yang ada, maka langsung dikategorikan sebagai penyusupan. 2) Adaptive systems: mempergunakan metode yang lebih canggih. Sistem tidak hanya berdasarkan database yang ada, tetapi juga membuka kemungkinan untuk mendeteksi __bentuk-bentuk penyusupan yang baru. Bentuk yang sering digunakan untuk komputer secara umum adalah rule-based systems. Ada dua pendekatan yang digunakan dalam rule-based systems, yaitu pendekatan pencegahan (preemptory) dan pendekatan reaksi (reactionary). Perbedaannya hanya masalah waktu. Pada pendekatan pencegahan, program pendeteksi penyusupan akan memperhatikan semua lalu lintas jaringan. Jika ditemukan paket yang mencurigakan maka program akan melakukan tindakan yang dibutuhkan. Sementara pada pendekatan reaksi, program pendeteksi penyusupan hanya mengamati file log. Jika ditemukan paket yang mencurigakan, program juga akan melakukan tindakan yang diperlukan. b. Jenis-jenis IDS (Intrusion Detection System) Ada dua jenis IDS, yaitu: 1) Network-based Intrusion Detection System (NIDS): Network intrusion detection system adalah jenis IDS yang bertanggung jawab untuk mendeteksi serangan yang berkaitan dengan jaringan. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada “pintu masuk” jaringan. Kelemahan NIDS adalah NIDS agak rumit diimplementasikan dalam jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi. 2) Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi suatu percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS sering diletakkan pada server-server penting di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet.