ADMINISTRASI INFRASTRUKTUR JARINGAN Kelas Xi! 13
11. DMZ
Dalam keamanan komputer, DMZ atau zona demiliterisasi (kadang-
kadang disebut jaringan perimeter) adalah subnetwork fisik atau logis
yang mencakup dan mengekspos organisasi eksternal yang menghadapi
layanan untuk jaringan yang tak tepercaya, biasanya jaringan lebih besar
seperti internet. Tujuan DMZ adalah menambahkan lapisan keamanan
untuk layanan jaringan area lokal (LAN). Simpul jaringan cksternal
hanya dapat mengakses apa yang terkena di DMZ, sedangkan sisanya dari
jaringan organisasi yang firewall. Nama ini berasal dari istilah ‘zona
demiliterisasi’, yaitu dacrah antara negara-negara di mana operasi militer
tidak diizinkan, Dalam arti militer, DMZ tidak dilihat sebagai milik salah
satu pihak yang berbatasan itu. Konsep ini berlaku untuk penggunaan
komputasi dengan metafora dalam DMZ, misalnya yang bertindak
sebagai gateway ke internet umum yang tidak aman seperti jaringan
internal, maupun tidak aman sebagai internet publik.
Dalam hal ini, host yang paling rentan terhadap serangan adalah yang
memberikan layanan kepada pengguna di luar jaringan area lokal seperti
email, web, dan Domain Name System (DNS) server. Karena
peningkatan potensi host mengalami serangan, mereka ditempatkan
dalam subnetwork tertentu untuk melindungi sisa jaringan jika penyusup
yang berkompromi dengan salah satu dari mereka berhasil.
Host di DMZ diizinkan untuk memiliki Konektivitas terbatas hanya
untuk host tertentu di jaringan internal karena isi dari DMZ tidak aman
seperti jaringan internal. Demikian pula, komunikasi antara host dalam
DMZ dan jaringan eksternal juga dibatasi schingga DMZ lebih aman dari
internet, dan cocok untuk perumahan layanan ini tujuan khusus. Hal ini
memungkinkan host dalam DMZ untuk berkomunikasi dengan kedua
jaringan internal dan eksternal. Sementara itu, intervensi firewall
‘mengontro! lalu lintas antara server DMZ dan klien jaringan internal, Lalu
firewall lain akan melakukan beberapa tingkat kontrol untuk melindungi
DMZ dari jaringan eksternal.
Konfigurasi DMZ memberikan keamanan dari serangan eksternal,
tetapi biasanya tidak memiliki bantalan pada serangan internal seperti
mengendus komunikasi melalui analisis paket atau spoofing seperti
spoofing email.
Kebiasaan demikian kadang baik untuk mengonfigurasi terpisah Baris
Militarized Zone (CMZ). Zona militer yang sangat dipantau terdiri atas
sebagian besar web server (dan server serupa yang antarmuka dengan14
ADMINISTRASI INFRASTRUKTUR JARINGAN Kelas xi
idak di DMZ tetapi berisi informas;
sensitif tentang mengakses server dalam LAN (seperti server database)
Dalam arsitektur tersebut, DMZ biasanya memiliki aplikasi firewall day
FTP sementara CMZ host server Web. Database server bisa di CMZ, gj
LAN, atau dalam VLAN yang terpisah sama sekali.
a, Layanan yang sering digunakan :
Setiap layanan yang disediakan untuk pengguna di jaringan
eksteral dapat ditempatkan dalam DMZ. Hal paling umum dari
dunia luar, yaitu intemet) yang ti
layanan ini adalah:
1) Server web yang berkomunikasi :
memerlukan akses ke database server yang tidak dapat diakses
publik dan mungkin berisi informasi sensitif. Server web dapat
berkomunikasi dengan database server baik secara langsung atau
melalui aplikasi firewall untuk alasan keamanan.
2) Email pesan dan khususnya database pengguna bersifat rahasia
schingga mereka biasanya disimpan di server yang tidak dapat
diakses dari Internet (setidaknya secara tidak aman), tetapi dapat
diakses dari server email yang terhubung ke Internet.
3) Mail server di dalam DMZ melewati surat masuk ke server email
yang aman atau internal. Hal ini juga menangani surat keluar.
dengan database internal
b. Manfaat DMZ
Untuk keamanan, sesuai dengan standar hukum seperti HIPAA dan
pemantauan alasan dalam lingkungan bisnis, beberapa perusahaan
menginstal proxy server dalam DMZ. Manfaatnya sebagai berikut:
1) Mewajibkan pengguna internal (biasanya karyawan) agar
menggunakan proxy server untuk akses internet.
2) Mengurangi persyaratan akses bandwidth internet karena beberapa
konten web dapat di-cache oleh proxy server.
3) Menyederhanakan pencatatan dan pengawasan kegiatan pengguna
penyaringan terpusat konten web. Sebuah reverse proxy server itu
seperti proxy server merupakan Perantara, tetapi digunakan
sebaliknya. Alih-alih menyediakan layanan untuk penggun®
internal yang ingin mengakses jaringan eksternal, ia menyediakan
akses langsung untuk jaringan eksteral (biasanya intemet) Ke
sumber daya internal. Misalnya, akses aplikasi office seperti siste™
email dapat diberikan kepada pengguna ekstemnal (untuk membacd
email sementara di luar perusahaan) tetapi pengguna jarak javh
tidak akan memiliki akses langsung ke server einai aaeets HanyaADMINISTRASI INFRASTRUKTUR JARINGAN. Kelas XII 15
reverse proxy server fisik yang dapat mengakses server email
internal. Lapisan ini merupakan lapisan keamanan tambahan yang
sangat dianjurkan ketika sumber daya internal perlu diakses dari
lar. Biasanya mekanisme seperti reverse proxy (proxy terbalik)
disediakan dengan menggunakan firewall lapisan Aplikasi karena
mereka fokus pada bentuk tertentu: lalu lintas daripada
mengendalikan akses ke TCP dan port UDP khusus sebagai
firewall packet filter tidak.
.2. Tunnels
IP Tunnel atau bisa Anda sebut IP terowongan merupakan sebuah IP
(internet Protocol) network komunikasi antara dua jaringan. Dengan
adanya IP tunnel kita bisa bergabung dengan network lain, secara tidak
langsung kita membuat terowongan sendiri untuk menggabungkan
network kita. Jika IP Tunnel berhasil maka sudah tidak ada lagi sebutan
jarak yang memisahkan kita karena walau jauh kita serasa 1 network
jauh di mata dekat di network). Dengan kata lain, secara teknis IP tunnel
bisa digunakan untuk menghubungkan dua jaringan IP yang tidak
memiliki jalur routing asli satu sama lain melalui routable protocol yang
melintasi jaringan trasportasi perantara. Misalnya, kita menggunakan
koneksi ISP Aminnet dan kita ingin tunnel ke adnnet maka jalur yang
digunakan adalah jalur Aminnet untuk gabung ke adnnet. Istilahnya,
Aminnet itu hanya menjadi jembatannya. Kemudian, koneksi yang
digunakan juga sesuai tujuan kita akan tunnel. Jika kita tunnel ke network
yang ada di Indonesia maka koneksi yang kita gunakan adalah ITX dan
kita sama sekali tidak memakai network internasional untuk tunnel
versebut.
™ESGEKSPLORASI
gvetiah kelompok kemudian kumpulkan data informasi dari berbagai
‘evar mengenai firewall dan perkembangannya khususnya jaringan
/-rvasis \uas di Indonesia! Kemudian, setelah mengetahui perkembangannya
eve yang menjadi perbedaannya? Buatlah laporannya!ADMINISTRASI INFRASTRUKTUR JARINGAN Kelas XI!
13. IPSec
IPSec merupakan singkatan dari IP security. IPSec merupakan suaty
protokol yang digunakan untuk melakukan pertukaran paket pada layer Ip
secara aman. IPSec menyediakan dua jenis mode enkripsi, yaitu mode
transport dan mode tunnel. Mode transport akan mengenkripsi bagian
data (payload) masing-masing paket tanpa mengubah header paket
tersebut. Algoritma yang digunakan untuk mengenkripsi data adalah
algoritma kriptografi simetris. IPSec mode ini menggunakan sub-protokol
yang disebut encapsulated security payload (ESP).
Pada mode tunnel, kita melakukan komputasi pada data dan header
paket yang akan dikirim dengan menggunakan teknik checksum
kriptografi dan mengubah bagian header paket IP menggunakan fungsi
hashing yang aman. Paket ini akan mendapatkan header baru yang
mengandung nilai hash agar informasi pada paket biasa diautentikasi di
bagian penerima. Mode ini seolah-olah membuat “terowongan” khusus
pada jaringan publik yang hanya dapat diakses oleh orang-orang tertentu.
14, Intrusion Detection System
Intrusion Detection System digunakan untuk mendeteksi aktivitas
yang mencurigakan dalam suatu sistem atau jaringan. Intrusion adalah
aktivitas tidak sah atau tidak diinginkan yang mengganggu kerahasiaan,
integritas, dan atau ketersediaan informasi yang terdapat di suatu sistem.
IDS akan memonitor lalu lintas data pada jaringan atau mengambil data
dari berkas log. Kemudian, IDS akan menganalisis dan dengan algoritma
tertentu akan memutuskan untuk memberikan peringatan kepada scorang
administrator jaringan atau tidak.
Dewasa ini, ada banyak solusi untuk mengurangi risiko dari serangan
atau threat pada sistem komputer. Intrusion Detection System (IDS)
hanyalah salah satu dari sekian banyak contoh penanganan terhadap
intrusi. IDS umumnya merupakan sebuah aplikasi yang dapat mendeteksi
aktivitas mencurigakan dalam sistem atau jaringan. Lebih lanjut, IDS
dapat melakukan inspeksi terhadap lalu lintas komunikasi data dalam
sistem atau jaringan, melakukan analisis dan mencari bukti dari
percobaan penyusupan (termasuk kategori penyusupan atau tidak), serta
terkadang memberikan penanganan terhadap susupan atau gangguan yang
terjadi. Pendeteksian dilakukan IDS agar memblokir gangguan jika
langsung terdeteksi, bertindak sebagai deterrent (mencegah seseorang
melakukan gangguan atau intrusi), dan mengumpulkan informasi untuk
meningkatkan keamanan.ADMINISTRAS! INFRASTRUKTUR JARINGAN Kelas XII 17
a. Tipe dasar IDS
1) Rule-based systems: berdasarkan atas database dari tanda
penyusupan atau serangan yang telah dikenal. Jika IDS mencatat
lalu lintas yang sesuai dengan database yang ada, maka langsung
dikategorikan sebagai penyusupan.
2) Adaptive systems: mempergunakan metode yang lebih canggih.
Sistem tidak hanya berdasarkan database yang ada, tetapi juga
membuka kemungkinan untuk mendeteksi __bentuk-bentuk
penyusupan yang baru.
Bentuk yang sering digunakan untuk komputer secara umum
adalah rule-based systems. Ada dua pendekatan yang digunakan
dalam rule-based systems, yaitu pendekatan pencegahan (preemptory)
dan pendekatan reaksi (reactionary). Perbedaannya hanya masalah
waktu. Pada pendekatan pencegahan, program pendeteksi penyusupan
akan memperhatikan semua lalu lintas jaringan. Jika ditemukan paket
yang mencurigakan maka program akan melakukan tindakan yang
dibutuhkan. Sementara pada pendekatan reaksi, program pendeteksi
penyusupan hanya mengamati file log. Jika ditemukan paket yang
mencurigakan, program juga akan melakukan tindakan yang
diperlukan.
b. Jenis-jenis IDS (Intrusion Detection System)
Ada dua jenis IDS, yaitu:
1) Network-based Intrusion Detection System (NIDS): Network
intrusion detection system adalah jenis IDS yang bertanggung
jawab untuk mendeteksi serangan yang berkaitan dengan jaringan.
NIDS umumnya terletak di dalam segmen jaringan penting di mana
server berada atau terdapat pada “pintu masuk” jaringan.
Kelemahan NIDS adalah NIDS agak rumit diimplementasikan
dalam jaringan yang menggunakan switch Ethernet, meskipun
beberapa vendor switch Ethernet sekarang telah menerapkan fungsi
IDS di dalam switch buatannya untuk memonitor port atau koneksi.
2) Host-based Intrusion Detection System (HIDS): Aktivitas sebuah
host jaringan individual akan dipantau apakah terjadi suatu
percobaan serangan atau penyusupan ke dalamnya atau tidak.
HIDS sering diletakkan pada server-server penting di jaringan,
seperti halnya firewall, web server, atau server yang terkoneksi ke
Internet.