Pages

Ads 468x60px

Friday, January 28, 2011

Konfigurasi Router pada OS FreeBSD

1. Konfigurasi Kernel
a. Login sebagai root, sehingga akan muncul prompt # (tanda pagar).

b.Kemudian masuk ke direktory kernelnya dengan mengetik perintah seperti dibawah ini:
# cd /usr/src/sys/i386/conf
# ll
kernel aslinya adalah file yang bernama GENERIC, untuk menghindari resiko yang fatal sebaiknya kernel kita copy dengan mengetikkan perintah :
#cp GENERIC
untuk contoh dsni kita beri nama router. Ketikkan :
#cp GENERIC ROUTER
(FreeBSD sensitive terhadap huruf besar atau kecil jadi hati-hatilah dalam mengetikkan command)


c. Edit kernel ROUTER dengan editor di FreeBSD
Tujuan edit kernel:
o Mengurangi dan atau manambah option atau device
o Identifikasi nama kernel
Contoh-contoh editor antara lain :
? pico
? ee(easy editor)
? smacs,dll
Yang kita gunakan di sini adalah ee.
Langkah-langkah edit kernel :
# ee ROUTER
setelah muncul text editor AKU hapus line yang ada tanda pagar karena tidak terbaca kurangi juga device yang tidak dibutuhkan.
Tambahkan script dibawah ini di file kernel ROUTER:

options IPDIVERT
options IPFIREWALL # driver untuk ipfw
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=10 # utk mencegah syslog flooding
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFIREWALL_FORWARD
options IPFILTER
options DUMMYNET

device pf
device pflog

Tekan tombol Q dan simpan

# config ROUTER

d. Masuk directory kernel baru(ROUTER)
# cd ../compile/ROUTER
# make depend && make && make install && reboot
tunggulah karena proses compile kernel sedang berlangsung lama sesuai dengan prosesor yang
anda miliki
reboot


2. Setting IP

a.Konfigurasi IP Address:
Setting IP bisa melalui sysinstall :
# sysinstall > Networking > Interface > (nama lan card cth rl0) > setting
Untuk melihat configurasi yang telah kita buat ketikkan :
# more /etc/rc.conf

Jika kita ingin menginstall IP lewat command langsung ketikkan :
# ee /etc/rc.conf
hostname=”haniv.net”
ifconfig_rl0=”inet 202.34.0.2 netmask 255.255.255.240? # ke internet
ifconfig_rl1=”inet 192.168.0.1 netmask 255.255.255.0? # ke LAN
defaultrouter=”202.34.0.1?
(disini sebagai contoh penginstallan IP lewat command langsung, anda bisa mengganti spin.net,255.255.255.240 sesuai IP dan hostname anda)

3.Aktifkan beberapa daemon
ketikkan :

# ee etc/defaults/rc.conf
(minimal anda harus mengaktifkan ssh,IPNAT,gateway default router,untuk send mail jangan diaktifkan agar saat kita menghidupkan computer tidak harus mengirim e-mail terlebih dahulu)

selanjutnya akan muncul spt dibawah ini:
defaultrouter =”NO” =>(jadikan) “YES”
gateway_enable = “NO” => “YES”
sshd_enable =”NO” => ”YES” # (agar bisa remote dgn putty)
firewall_enable =”NO” => ”YES” # (sebagai filter)
firewall_type =”CLOSE” => ”OPEN”
natd_enable =”NO” => ”YES”
natd_interface =”rl0? # (lan card yg disambung ke IP Public / internet.)
sendmail semulanya yang “YES” diganti “NO” untuk men-disable service sendmail.
simpan konfigurasi ini, kemudian reboot komputer:

# reboot

aktifkan perintah super user
# pw user mod catur -G wheel
# groups catur

# echo 'UsePAM no' >>/etc/ssh/sshd_config
# echo 'PasswordAuthentication yes' >>/etc/ssh/sshd_config
# /etc/rc.d/sshd restart


SOURCE
Reade more >>

Konfigurasi PC Router pada OS LINUX

Dalam jaringan komputer seperti pada gambar di atas terdapat dua alamat jaringan yaitu alamat jaringan 192.168.1.0 dengan netmask 255.255.255.0 dan alamat jaringan 192.168.1.0 dengan netmask 255.255.255.0. Dua jaringan tersebut masing-masing menggunakan switch yang berbeda dan dihubungkan dengan satu Router. Komputer-komputer yang berada pada jaringan 192.168.1.0/24, hanya dapat terhubung lansung dengan komputer pada jaringan 192.168.1.0/24. Demikian juga komputer yang terdapat pada jaringan 192.168.2.0/24. Jika komputer yang berada pada jaringan 192.168.1.0/24 ingin berkomunikasi dengan komputer yang berada pada jaringan 192.168.2.0/24, maka harus melewati router.Tutorial ini menjelaskan bagaimana menghubungkan dua Local Area Network yangberbeda melalui sebuah router yang menggunakan sistem operasi Linux.
Catatan:
Dalam praktek ni, Gw menginstal distro Ubuntu 10.04 “
Lucid Lynx” di PC router dan semua komputer yang ada pada jaringan. Silakan menyesuaikan dengan distro linux kesukaan Kmw. Sedangkan perintah-perintah yang dijalankan untuk konfigurasi jaringan seperti memberikan alamat IP dan sebagainya menggunakan Terminal, dimana pada distro Ubuntu, Terminal dapat di jalankan melalui menu: Applications ->> Accessories ->>TerminaL


Berikut Langkah-langkah menghubungkan dua jaringan yang berbeda dengan sebuah PC
router:
Konfigurasi pada jaringan 192.168.1.0/24
> Memberikan alamat IP
# ifconfig eth0 192.168.1.1 netmask 255.255.255.0
Catatan:

Host yang dapat digunakan mulai dari 1 sampai 254.
> Konfigurasi alamat IP default gateway
# route add default gw 192.168.1.254
Catatan:
Komputer-komputer yang ada pada jaringan 192.168.1.0/24 semua alamat
gatewaynya sama yaitu 192.168.1.254.
Konfigurasi pada jaringan 192.168.2.0/24
> Memberikan alamat IP
# ifconfig eth0 192.168.2.1 netmask 255.255.255.0
Catatan:

Host yang dapat digunakan mulai dari 1 sampai 254.
> Konfigurasi alamat IP default gateway
# route add default gw 192.168.2.254
Catatan:
Komputer-komputer yang ada pada jaringan 192.168.1.0/24 semua alamat
gatewaynya sama yaitu 192.168.2.254.

Konfigurasi pada Router
Router memiliki dua kartu jaringan yaitu eth0 dan eth1. Kartu jaringan eth0 memilki
alamat IP 192.168.1.254 dan eth1 memiliki alamat IP 192.168.2.254. berikut cara konfigurasi alamat IP pada router:
> Memberikan alamat IP
# ifconfig eth0 192.168.1.254 netmask 255.255.255.0
# ifconfig eth1 192.168.2.254 netmask 255.255.255.0
> Membuat tabel routing
# route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.254
# route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.2.254
Untuk melihat tabel routing yang telah dibuat, ketikkan perintah berikut:
# route -n
output:

Ketikkan perintah berikut ini untuk menjadikan router dapat melakukan forward alamat IP:
# echo 1 > /proc/sys/net/ipv4/ip_forward
Setelah selesai menerapkan semua perintah seperti yang sudah di jelaskan pada
langkah-langkah di atas, saatnya mencoba untuk melakukan ping dari komputer
yang berada pada jaringan 192.168.1.0/24 ke komputer yang berada pada
jaringan 192.168.2.0/24 dan sebaliknya.
# ping 192.168.2.1
output:

Jika saat menjalankan perintah ping dan mendapatkan hasil output seperti pada
contoh diatas, maka Anda telah sukses menghubungkan dua jaringan yang
berbeda dengan sebuah PC router Linux.


Source
Reade more >>

Tuesday, January 25, 2011

Tips Keamanan Wireless

Jaringan nirkabel atau yang sering disebut dengan wireless network cukup mudah untuk di set up, dan juga terasa sangat nyaman, terutama jika kita menginginkan agar bisa berjalan jalan keliling rumah atau kantor dengan komputer portable tetapi tetap bisa tetap mengakses jaringan internet. Namun, karena wireless menggunakan gelombang, maka akan lebih mudah untuk di-hack daripada koneksi yang menggunakan kabel. Ada beberapa tips disini untuk mengamankan wireless network.

Adapun langkah langkahnya sebagai berikut

  1. Memakai Enkripsi. Enkripsi adalah ukuran security yang pertama, tetapi banyak wireless access points (WAPs) tidak menggunakan enkripsi sebagai defaultnya. Meskipun banyak WAP telah memiliki Wired Equivalent Privacy (WEP) protocol, tetapi secara default tidak diaktifkan. WEP memang mempunyai beberapa lubang di securitynya, dan seorang hacker yang berpengalaman pasti dapat membukanya, tetapi itu masih tetap lebih baik daripada tidak ada enkripsi sama sekali. Pastikan untuk men-set metode WEP authentication dengan “shared key” daripada “open system”. Untuk “open system”, dia tidak meng-encrypt data, tetapi hanya melakukan otentifikasi client. Ubah WEP key sesering mungkin, dan pakai 128-bit WEP dibandingkan dengan yang 40-bit.
  2. Gunakan Enkripsi yang Kuat. Karena kelemahan kelemahan yang ada di WEP, maka dianjurkan untuk menggunakan Wi-Fi Protected Access (WPA) juga. Untuk memakai WPA, WAP harus men-supportnya. Sisi client juga harus dapat men-support WPA tsb.
  3. Ganti Default Password Administrator. Kebanyakan pabrik menggunakan password administrasi yang sama untuk semua WAP produk mereka. Default password tersebut umumnya sudah diketahui oleh para hacker, yang nantinya dapat menggunakannya untuk merubah setting di WAP anda. Hal pertama yang harus dilakukan dalam konfigurasi WAP adalah mengganti password default tsb. Gunakan paling tidak 8 karakter, kombinasi antara huruf dan angka, dan tidak menggunakan kata kata yang ada dalam kamus.
  4. Matikan SSID Broadcasting. Service Set Identifier (SSID) adalah nama dari wireless network kita. Secara default, SSID dari WAP akan di broadcast. Hal ini akan membuat user mudah untuk menemukan network tsb, karena SSID akan muncul dalam daftar available networks yang ada pada wireless client. Jika SSID dimatikan, user harus mengetahui lebih dahulu SSID-nya agak dapat terkoneksi dengan network tsb.
  5. Matikan WAP Saat Tidak Dipakai. Cara yang satu ini kelihatannya sangat simpel, tetapi beberapa perusahaan atau individual melakukannya. Jika kita mempunyai user yang hanya terkoneksi pada saat saat tertentu saja, tidak ada alasan untuk menjalankan wireless network setiap saat dan menyediakan kesempatan bagi intruder untuk melaksanakan niat jahatnya. Kita dapat mematikan access point pada saat tidak dipakai.
  6. Ubah default SSID. Pabrik menyediakan default SSID. Kegunaan dari mematikan broadcast SSID adalah untuk mencegah orang lain tahu nama dari network kita, tetapi jika masih memakai default SSID, tidak akan sulit untuk menerka SSID dari network kita.
  7. Memakai MAC Filtering. Kebanyakan WAP (bukan yang murah murah tentunya) akan memperbolehkan kita memakai filter media access control (MAC). Ini artinya kita dapat membuat “white list” dari computer computer yang boleh mengakses wireless network kita, berdasarkan dari MAC atau alamat fisik yang ada di network card masing masing pc. Koneksi dari MAC yang tidak ada dalam list akan ditolak. Metode ini tidak selamanya aman, karena masih mungkin bagi seorang hacker melakukan sniffing paket yang kita transmit via wireless network dan mendapatkan MAC address yang valid dari salah satu user, dan kemudian menggunakannya untuk melakukan spoof. Tetapi MAC filtering akan membuat kesulitan seorang intruder yang masih belum jago jago banget.
  8. Mengisolasi Wireless Network dari LAN. Untuk memproteksi internal network kabel dari ancaman yang datang dari wireless network, perlu kiranya dibuat wireless DMZ atau perimeter network yang mengisolasi dari LAN. Artinya adalah memasang firewall antara wireless network dan LAN. Dan untuk wireless client yang membutuhkan akses ke internal network, dia haruslah melakukan otentifikasi dahulu dengan RAS server atau menggunakan VPN. Hal ini menyediakan extra layer untuk proteksi.
  9. Mengontrol Signal Wireless. 802.11b WAP memancarkan gelombang sampai dengan kira kira 300 feet. Tetapi jarak ini dapat ditambahkan dengan cara mengganti antenna dengan yang lebih bagus. Dengan memakai high gain antena, kita bisa mendapatkan jarak yang lebih jauh. Directional antenna akan memancarkan sinyal ke arah tertentu, dan pancarannya tidak melingkar seperti yang terjadi di antenna omnidirectional yang biasanya terdapat pada paket WAP setandard. Selain itu, dengan memilih antena yang sesuai, kita dapat mengontrol jarak sinyal dan arahnya untuk melindungi diri dari intruder. Sebagai tambahan, ada beberapa WAP yang bisa di setting kekuatan sinyal dan arahnya melalui config WAP tsb.
  10. Memancarkan Gelombang pada Frequensi yang Berbeda. Salah satu cara untuk bersembunyi dari hacker yang biasanya memakai teknologi 802.11b/g yang lebih populer adalah dengan memakai 802.11a. Karena 802.11a bekerja pada frekwensi yang berbeda (yaitu di frekwensi 5 GHz), NIC yang di desain untuk bekerja pada teknologi yang populer tidak akan dapat menangkap sinyal tsb.

TAMBAHAN

1. Menyembunyikan SSID
Banyak administrator menyembunyikan Services Set Id (SSID) jaringan wireless mereka dengan maksud agar hanya yang mengetahui SSID yang dapat terhubung ke jaringan mereka. Hal ini tidaklah benar, karena SSID sebenarnya tidak dapat disembuyikan secara sempurna. Pada saat saat tertentu atau khususnya saat client akan terhubung (assosiate) atau ketika akan memutuskan diri (deauthentication) dari sebuah jaringan wireless, maka client akan tetap mengirimkan SSID dalam bentuk plain text (meskipun menggunakan enkripsi), sehingga jika kita bermaksud menyadapnya, dapat dengan mudah menemukan informasi tersebut. Beberapa tools yang dapat digunakan untuk mendapatkan ssid yang dihidden antara lain, kismet (kisMAC), ssid_jack (airjack), aircrack , void11 dan masih banyak lagi.

2. Keamanan Wireless dengan metode Wired Equivalent Privacy (WEP)

WEP merupakan standart keamanan & enkripsi pertama yang digunakan pada wireless, WEP (Wired Equivalent Privacy) adalah suatu metoda pengamanan jaringan nirkabel, disebut juga dengan Shared Key Authentication. Shared Key Authentication adalah metoda otentikasi yang membutuhkan penggunaan WEP. Enkripsi WEP menggunakan kunci yang dimasukkan (oleh administrator) ke client maupun access point. Kunci ini harus cocok dari yang diberikan akses point ke client, dengan yang dimasukkan client untuk authentikasi menuju access point, dan WEP mempunyai standar 802.11b.

Proses Shared Key Authentication:

1. client meminta asosiasi ke access point, langkah ini sama seperti Open System Authentication.
2. access point mengirimkan text challenge ke client secara transparan.
3. client akan memberikan respon dengan mengenkripsi text challenge dengan menggunakan kunci WEP dan mengirimkan kembali ke access point.

4. access point memberi respon atas tanggapan client, akses point akan melakukan decrypt terhadap respon enkripsi dari client untuk melakukan verifikasi bahwa text challenge dienkripsi dengan menggunakan WEP key yang sesuai. Pada proses ini, access point akan menentukan apakah client sudah memberikan kunci WEP yang sesuai. Apabila kunci WEP yang diberikan oleh client sudah benar, maka access point akan merespon positif dan langsung meng-authentikasi client. Namun bila kunci WEP yang dimasukkan client adalah salah, maka access point akan merespon negatif dan client tidak akan diberi authentikasi. Dengan demikian, client tidak akan terauthentikasi dan tidak terasosiasi.

Menurut Arief Hamdani Gunawan, Komunikasi Data via IEEE 802.11, Shared Key Authentication kelihatannya lebih aman dari dari pada Open System Authentication, namun pada kenyataannya tidak. Shared Key malah membuka pintu bagi penyusup atau cracker. Penting untuk dimengerti dua jalan yang digunakan oleh WEP. WEP bisa digunakan untuk memverifikasi identitas client selama proses shared key dari authentikasi, tapi juga bisa digunakan untuk men-dekripsi data yang dikirimkan oleh client melalui access point.

WEP memiliki berbagai kelemahan antara lain :
* Masalah kunci yang lemah, algoritma RC4 yang digunakan dapat dipecahkan.
* WEP menggunakan kunci yang bersifat statis
* Masalah initialization vector (IV) WEP

* Masalah integritas pesan Cyclic Redundancy Check (CRC-32).

WEP terdiri dari dua tingkatan, yakni kunci 64 bit, dan 128 bit. Sebenarnya kunci rahasia pada kunci WEP 64 bit hanya 40 bit, sedang 24bit merupakan Inisialisasi Vektor (IV). Demikian juga pada kunci WEP 128 bit, kunci rahasia terdiri dari 104bit.

Serangan-serangan pada kelemahan WEP antara lain :
* Serangan terhadap kelemahan inisialisasi vektor (IV), sering disebut FMS attack. FMS singkatan dari nama ketiga penemu kelemahan IV yakni Fluhrer, Mantin, dan Shamir. Serangan ini dilakukan dengan cara mengumpulkan IV yang lemah sebanyak-banyaknya. Semakin banyak IV lemah yang diperoleh, semakin cepat ditemukan kunci yang digunakan
* Mendapatkan IV yang unik melalui packet data yang diperoleh untuk diolah untuk proses cracking kunci WEP dengan lebih cepat. Cara ini disebut chopping attack, pertama kali ditemukan oleh h1kari. Teknik ini hanya membutuhkan IV yang unik sehingga mengurangi kebutuhan IV yang lemah dalam melakukan cracking WEP.
* Kedua serangan diatas membutuhkan waktu dan packet yang cukup, untuk mempersingkat waktu, para hacker biasanya melakukan traffic injection. Traffic Injection yang sering dilakukan adalah dengan cara mengumpulkan packet ARP kemudian mengirimkan kembali ke access point. Hal ini mengakibatkan pengumpulan initial vektor lebih mudah dan cepat. Berbeda dengan serangan pertama dan kedua, untuk serangan traffic injection,diperlukan spesifikasi alat dan aplikasi tertentu yang mulai jarang ditemui di toko-toko, mulai dari chipset, versi firmware, dan versi driver serta tidak jarang harus melakukan patching terhadap driver dan aplikasinya.

3. Keamanan wireless dengan metode WI-FI Protected Accsess (WPA)

Merupakan rahasia umum jika WEP (Wired Equivalent Privacy) tidak lagi mampu diandalkan untuk menyediakan koneksi nirkabel (wireless) yang aman dari ulah orang usil atau ingin mengambil keuntungan atas apa yang kita miliki—dikenal dengan jargon hackers. Tidak lama setelah proses pengembangan WEP, kerapuhan dalam aspek kriptografi muncul.

Berbagai macam penelitian mengenai WEP telah dilakukan dan diperoleh kesimpulan bahwa walaupun sebuah jaringan wireless terlindungi oleh WEP, pihak ketiga (hackers) masih dapat membobol masuk. Seorang hacker yang memiliki perlengkapan wireless seadanya dan peralatan software yang digunakan untuk mengumpulkan dan menganalisis cukup data, dapat mengetahui kunci enkripsi yang digunakan.

Menyikapi kelemahan yang dimiliki oleh WEP, telah dikembangkan sebuah teknik pengamanan baru yang disebut sebagai WPA (WiFI Protected Access). Teknik WPA adalah model kompatibel dengan spesifikasi standar draf IEEE 802.11i. Teknik ini mempunyai beberapa tujuan dalam desainnya, yaitu kokoh, interoperasi, mampu digunakan untuk menggantikan WEP, dapat diimplementasikan pada pengguna rumahan atau corporate, dan tersedia untuk publik secepat mungkin. Adanya WPA yang “menggantikan” WPE, apakah benar perasaan “tenang” tersebut didapatkan? Ada banyak tanggapan pro dan kontra mengenai hal tersebut. Ada yang mengatakan, WPA mempunyai mekanisme enkripsi yang lebih kuat. Namun, ada yang pesimistis karena alur komunikasi yang digunakan tidak aman, di mana teknik man- in-the-middle bisa digunakan untuk mengakali proses pengiriman data. Agar tujuan WPA tercapai, setidaknya dua pengembangan sekuriti utama dilakukan. Teknik WPA dibentuk untuk menyediakan pengembangan enkripsi data yang menjadi titik lemah WEP, serta menyediakan user authentication yang tampaknya hilang pada pengembangan konsep WEP.

Teknik WPA didesain menggantikan metode keamanan WEP, yang menggunakan kunci keamanan statik, dengan menggunakan TKIP (Temporal Key Integrity Protocol) yang mampu secara dinamis berubah setelah 10.000 paket data ditransmisikan. Protokol TKIP akan mengambil kunci utama sebagai starting point yang kemudian secara reguler berubah sehingga tidak ada kunci enkripsi yang digunakan dua kali. Background process secara otomatis dilakukan tanpa diketahui oleh pengguna. Dengan melakukan regenerasi kunci enkripsi kurang lebih setiap lima menit, jaringan WiFi yang menggunakan WPA telah memperlambat kerja hackers yang mencoba melakukan cracking kunci terdahulu.

Walaupun menggunakan standar enkripsi 64 dan 128 bit, seperti yang dimiliki teknologi WEP, TKIP membuat WPA menjadi lebih efektif sebagai sebuah mekanisme enkripsi. Namun, masalah penurunan throughput seperti yang dikeluhkan oleh para pengguna jaringan wireless seperti tidak menemui jawaban dari dokumen standar yang dicari. Sebab, masalah yang berhubungan dengan throughput sangatlah bergantung pada hardware yang dimiliki, secara lebih spesifik adalah chipset yang digunakan. Anggapan saat ini, jika penurunan throughput terjadi pada implementasi WEP, maka tingkat penurunan tersebut akan jauh lebih besar jika WPA dan TKIP diimplementasikan walaupun beberapa produk mengklaim bahwa penurunan throughput telah diatasi, tentunya dengan penggunaan chipset yang lebih besar kemampuan dan kapasitasnya.

Proses otentifikasi WPA menggunakan 802.1x dan EAP (Extensible Authentication Protocol). Secara bersamaan, implementasi tersebut akan menyediakan kerangka kerja yang kokoh pada proses otentifikasi pengguna. Kerangka-kerja tersebut akan melakukan utilisasi sebuah server otentifikasi terpusat, seperti RADIUS, untuk melakukan otentifikasi pengguna sebelum bergabung ke jaringan wireless. Juga diberlakukan mutual authentification, sehingga pengguna jaringan wireless tidak secara sengaja bergabung ke jaringan lain yang mungkin akan mencuri identitas jaringannya.

Mekanisme enkripsi AES (Advanced Encryption Standard) tampaknya akan diadopsi WPA dengan mekanisme otentifikasi pengguna. Namun, AES sepertinya belum perlu karena TKIP diprediksikan mampu menyediakan sebuah kerangka enkripsi yang sangat tangguh walaupun belum diketahui untuk berapa lama ketangguhannya dapat bertahan.

Bagi para pengguna teknologi wireless, pertanyaannya bukanlah dititikberatkan pada pemahaman bahwaWPAadalah lebih baik dari WEP, namun lebih kepada improvisasi tepat guna yang mampu menyelesaikan masalah keamanan wireless saat ini. Di kemudian hari, kita akan beranggapan pengguna adalah raja. Apa yang dibutuhkan para pengguna teknologi wireless adalah kemudahan menggunakan teknologi itu. Untuk dapat menggunakan “kelebihan” yang dimiliki WPA, pengguna harus memiliki hardware dan software yang kompatibel dengan standar tersebut. Dari sisi hardware, hal tersebut berarti wireless access points dan wireless NIC (Network Interface Card) yang digunakan harus mengenali standar WPA. Sayang, sebagian produsen hardware tidak akan mendukung WPA melalui firmware upgrade, sehingga pengguna seperti dipaksa membeli wireless hardware baru untuk menggunakan WPA.

Dari sisi software, belum ada sistem operasi Windows yang mendukung WPA secara default. Komputer yang menggunakan system operasi Windows dengan hardware kompatibel dengan standar WPA dapat mengimplementasikannya setelah menginstal WPA client. WPA client baru dapat bekerja pada sistem operasi Windows Server 2003 dan Windows XP. Bagi para pengguna sistem operasi lainnya belum ditemukan informasi mengenai kemungkinan mengimplementasikan WPA.
Melakukan migrasi hardware dan implementasi WPA dapat dibayangkan sebagai sebuah pekerjaan yang sangat besar. Untungnya, hal tersebut bukanlah sesuatu yang harus dilakukan pada saat yang bersamaan. Wireless Access Points dapat mendukung WPA dan WEP secara bersamaan. Hal ini memungkinkan migrasi perlahan ke implementasi WPA.

Pada jaringan wireless yang membutuhkan tingkat sekuriti tingkat tinggi, variasi sistem tambahan proprietari dibuat untuk menjadi standar transmisi WiFi. Pada perkembangannya, beberapa produsen WiFi telah mengembangkan teknologi enkripsi untuk mengakomodasi kebutuhan pengamanan jaringan wireless.

4. MAC Filtering

Hampir setiap wireless access point maupun router difasilitasi dengan keamanan MAC Filtering. Hal ini sebenarnya tidak banyak membantu dalam mengamankan komunikasi wireless, karena MAC address sangat mudah dispoofing atau bahkan dirubah. Tools ifconfig pada OS Linux/Unix atau beragam tools spt network utilitis, regedit, smac, machange pada OS windows dengan mudah digunakan untuk spoofing atau mengganti MAC address. Penulis masih sering menemukan wifi di perkantoran dan bahkan ISP (yang biasanya digunakan oleh warnet-warnet) yang hanya menggunakan proteksi MAC Filtering. Dengan menggunakan aplikasi wardriving seperti kismet/kisMAC atau aircrack tools, dapat diperoleh informasi MAC address tiap client yang sedang terhubung ke sebuah Access Point. Setelah mendapatkan informasi tersebut, kita dapat terhubung ke Access point dengan mengubah MAC sesuai dengan client tadi. Pada jaringan wireless, duplikasi MAC adress tidak mengakibatkan konflik. Hanya membutuhkan IP yang berbeda dengan client yang tadi.

5. Captive Portal
Infrastruktur Captive Portal awalnya didesign untuk keperluan komunitas yang memungkinkan semua orang dapat terhubung (open network). Captive portal sebenarnya merupakan mesin router atau gateway yang memproteksi atau tidak mengizinkan adanya trafik hingga user melakukan registrasi/otentikasi. Berikut cara kerja captive portal :
* user dengan wireless client diizinkan untuk terhubung wireless untuk mendapatkan IP address (DHCP).
* block semua trafik kecuali yang menuju ke captive portal (Registrasi/Otentikasi berbasis web) yang terletak pada jaringan kabel.
* redirect atau belokkan semua trafik web ke captive portal
* setelah user melakukan registrasi atau login, izinkan akses ke jaringan (internet).
Beberapa hal yang perlu diperhatikan, bahwa captive portal hanya melakukan tracking koneksi client berdasarkan IP dan MAC address setelah melakukan otentikasi. Hal ini membuat captive portal masih dimungkinkan digunakan tanpa otentikasi karena IP dan MAC adress dapat dispoofing. Serangan dengan melakukan spoofing IP dan MAC. Spoofing MAC adress seperti yang sudah dijelaskan pada bagian 4 diatas. Sedang untuk spoofing IP, diperlukan usaha yang lebih yakni dengan memanfaatkan ARP cache poisoning, kita dapat melakukan redirect trafik dari client yang sudah terhubung sebelumnya. Serangan lain yang cukup mudah dilakukan adalah menggunakan Rogue AP, yaitu mensetup Access Point (biasanya menggunakan HostAP) yang menggunakan komponen informasi yang sama seperti AP target seperti SSID, BSSID hingga kanal frekuensi yang digunakan. Sehingga ketika ada client yang akan terhubung ke AP buatan kita, dapat kita membelokkan trafik ke AP sebenarnya. Tidak jarang captive portal yang dibangun pada suatu hotspot memiliki kelemahan pada konfigurasi atau design jaringannya. Misalnya, otentikasi masih menggunakan plain text (http), managemen jaringan dapat diakses melalui wireless (berada pada satu network), dan masih banyak lagi. Kelemahan lain dari captive portal adalah bahwa komunikasi data atau trafik ketika sudah melakukan otentikasi (terhubung jaringan) akan dikirimkan masih belum terenkripsi, sehingga dengan mudah dapat disadap oleh para hacker. Untuk itu perlu berhati-hati melakukan koneksi pada jaringan hotspot, agar mengusahakan menggunakan komunikasi protokol yang aman seperti https,pop3s, ssh, imaps dst.


Reade more >>

Wireless Security

KONSEP DASAR ENKRIPSI WEP dan WPA/WPA2-PSK

Keamanan Wireless dengan metode Wired Equivalent Privacy (WEP)

WEP merupakan standart keamanan & enkripsi pertama yang digunakan pada wireless, WEP (Wired Equivalent Privacy) adalah suatu metoda pengamanan jaringan nirkabel, disebut juga dengan Shared Key Authentication. Shared Key Authentication adalah metoda otentikasi yang membutuhkan penggunaan WEP. Enkripsi WEP menggunakan kunci yang dimasukkan (oleh administrator) ke client maupun access point. Kunci ini harus cocok dari yang diberikan akses point ke client, dengan yang dimasukkan client untuk authentikasi menuju access point, dan WEP mempunyai standar 802.11b.

Proses Shared Key Authentication:

1. Client meminta asosiasi ke access point, langkah ini sama seperti Open System Authentication.
2. Access point mengirimkan text challenge ke client secara transparan.
3. Client akan memberikan respon dengan mengenkripsi text challenge dengan menggunakan kunci WEP dan mengirimkan kembali ke access point.
4. Access point memberi respon atas tanggapan client, akses point akan melakukan decrypt terhadap respon enkripsi dari client untuk melakukan verifikasi bahwa text challenge dienkripsi dengan menggunakan WEP key yang sesuai. Pada proses ini, access point akan menentukan apakah client sudah memberikan kunci WEP yang sesuai. Apabila kunci WEP yang diberikan oleh client sudah benar, maka access point akan merespon positif dan langsung meng-authentikasi client. Namun bila kunci WEP yang dimasukkan client adalah salah, maka access point akan merespon negatif dan client tidak akan diberi authentikasi. Dengan demikian, client tidak akan terauthentikasi dan tidak terasosiasi.

WEP memiliki berbagai kelemahan antara lain :

1. Masalah kunci yang lemah, algoritma RC4 yang digunakan dapat dipecahkan.
2. WEP menggunakan kunci yang bersifat statis
3. Masalah initialization vector (IV) WEP
4. Masalah integritas pesan Cyclic Redundancy Check (CRC-32)

WEP terdiri dari dua tingkatan, yakni kunci 64 bit, dan 128 bit. Sebenarnya kunci rahasia pada kunci WEP 64 bit hanya 40 bit, sedang 24bit merupakan Inisialisasi Vektor (IV). Demikian juga pada kunci WEP 128 bit, kunci rahasia terdiri dari 104bit.
Serangan-serangan pada kelemahan WEP antara lain :

1. Serangan terhadap kelemahan inisialisasi vektor (IV), sering disebut FMS attack. FMS singkatan dari nama ketiga penemu kelemahan IV yakni Fluhrer, Mantin, dan Shamir. Serangan ini dilakukan dengan cara mengumpulkan IV yang lemah sebanyak-banyaknya. Semakin banyak IV lemah yang diperoleh, semakin cepat ditemukan kunci yang digunakan
2. Mendapatkan IV yang unik melalui packet data yang diperoleh untuk diolah untuk proses cracking kunci WEP dengan lebih cepat. Cara ini disebut chopping attack, pertama kali ditemukan oleh h1kari. Teknik ini hanya membutuhkan IV yang unik sehingga mengurangi kebutuhan IV yang lemah dalam melakukan cracking WEP.
3. Kedua serangan diatas membutuhkan waktu dan packet yang cukup, untuk mempersingkat waktu, para hacker biasanya melakukan traffic injection. Traffic Injection yang sering dilakukan adalah dengan cara mengumpulkan packet ARP kemudian mengirimkan kembali ke access point. Hal ini mengakibatkan pengumpulan initial vektor lebih mudah dan cepat. Berbeda dengan serangan pertama dan kedua, untuk serangan traffic injection,diperlukan spesifikasi alat dan aplikasi tertentu yang mulai jarang ditemui di toko-toko, mulai dari chipset, versi firmware, dan versi driver serta tidak jarang harus melakukan patching terhadap driver dan aplikasinya.

Keamanan wireless dengan metode WI-FI Protected Accsess (WPA)

Merupakan rahasia umum jika WEP (Wired Equivalent Privacy) tidak lagi mampu diandalkan untuk menyediakan koneksi nirkabel (wireless) yang aman dari ulah orang usil atau ingin mengambil keuntungan atas apa yang kita miliki—dikenal dengan jargon hackers. Tidak lama setelah proses pengembangan WEP, kerapuhan dalam aspek kriptografi muncul.
Berbagai macam penelitian mengenai WEP telah dilakukan dan diperoleh kesimpulan bahwa walaupun sebuah jaringan wireless terlindungi oleh WEP, pihak ketiga (hackers) masih dapat membobol masuk. Seorang hacker yang memiliki perlengkapan wireless seadanya dan peralatan software yang digunakan untuk mengumpulkan dan menganalisis cukup data, dapat mengetahui kunci enkripsi yang digunakan.
Menyikapi kelemahan yang dimiliki oleh WEP, telah dikembangkan sebuah teknik pengamanan baru yang disebut sebagai WPA (WiFI Protected Access). Teknik WPA adalah model kompatibel dengan spesifikasi standar draf IEEE 802.11i. Teknik ini mempunyai beberapa tujuan dalam desainnya, yaitu kokoh, interoperasi, mampu digunakan untuk menggantikan WEP, dapat diimplementasikan pada pengguna rumahan atau corporate, dan tersedia untuk publik secepat mungkin. Adanya WPA yang “menggantikan” WPE, apakah benar perasaan “tenang” tersebut didapatkan? Ada banyak tanggapan pro dan kontra mengenai hal tersebut. Ada yang mengatakan, WPA mempunyai mekanisme enkripsi yang lebih kuat. Namun, ada yang pesimistis karena alur komunikasi yang digunakan tidak aman, di mana teknik man- in-the-middle bisa digunakan untuk mengakali proses pengiriman data. Agar tujuan WPA tercapai, setidaknya dua pengembangan sekuriti utama dilakukan. Teknik WPA dibentuk untuk menyediakan pengembangan enkripsi data yang menjadi titik lemah WEP, serta menyediakan user authentication yang tampaknya hilang pada pengembangan konsep WEP.
Teknik WPA didesain menggantikan metode keamanan WEP, yang menggunakan kunci keamanan statik, dengan menggunakan TKIP (Temporal Key Integrity Protocol) yang mampu secara dinamis berubah setelah 10.000 paket data ditransmisikan. Protokol TKIP akan mengambil kunci utama sebagai starting point yang kemudian secara reguler berubah sehingga tidak ada kunci enkripsi yang digunakan dua kali. Background process secara otomatis dilakukan tanpa diketahui oleh pengguna. Dengan melakukan regenerasi kunci enkripsi kurang lebih setiap lima menit, jaringan WiFi yang menggunakan WPA telah memperlambat kerja hackers yang mencoba melakukan cracking kunci terdahulu.
Walaupun menggunakan standar enkripsi 64 dan 128 bit, seperti yang dimiliki teknologi WEP, TKIP membuat WPA menjadi lebih efektif sebagai sebuah mekanisme enkripsi. Namun, masalah penurunan throughput seperti yang dikeluhkan oleh para pengguna jaringan wireless seperti tidak menemui jawaban dari dokumen standar yang dicari. Sebab, masalah yang berhubungan dengan throughput sangatlah bergantung pada hardware yang dimiliki, secara lebih spesifik adalah chipset yang digunakan. Anggapan saat ini, jika penurunan throughput terjadi pada implementasi WEP, maka tingkat penurunan tersebut akan jauh lebih besar jika WPA dan TKIP diimplementasikan walaupun beberapa produk mengklaim bahwa penurunan throughput telah diatasi, tentunya dengan penggunaan chipset yang lebih besar kemampuan dan kapasitasnya.
Proses otentifikasi WPA menggunakan 802.1x dan EAP (Extensible Authentication Protocol). Secara bersamaan, implementasi tersebut akan menyediakan kerangka kerja yang kokoh pada proses otentifikasi pengguna. Kerangka-kerja tersebut akan melakukan utilisasi sebuah server otentifikasi terpusat, seperti RADIUS, untuk melakukan otentifikasi pengguna sebelum bergabung ke jaringan wireless. Juga diberlakukan mutual authentification, sehingga pengguna jaringan wireless tidak secara sengaja bergabung ke jaringan lain yang mungkin akan mencuri identitas jaringannya.
Mekanisme enkripsi AES (Advanced Encryption Standard) tampaknya akan diadopsi WPA dengan mekanisme otentifikasi pengguna. Namun, AES sepertinya belum perlu karena TKIP diprediksikan mampu menyediakan sebuah kerangka enkripsi yang sangat tangguh walaupun belum diketahui untuk berapa lama ketangguhannya dapat bertahan.

SUMBER
Reade more >>

Wireless & Hotspot

Wireless adalah teknologi tanpa kabel, dalam hal ini adalah melakukan hubungan telekomunikasi dengan menggunakan gelombang elektromagnetik sebagai pengganti kabel. Saat ini teknologi wireless berkembang dengan pesat, secara kasat mata dapat dilihat dengan semakin banyaknya pemakaian telepon sellular, selain itu berkembang pula teknologi wireless yang digunakan untuk akses internet.

Wireless LAN menggunakan gelombang elektromagetik (radio dan infra merah) untuk melakukan komunikasi data menyalurkan data dari satu point ke point yang lain tanpa melalui fasilitas fisik. Koneksi ini menggunakan frekuensi tertentu untuk menyalurkan data tersebut, kebanyakan Wireless LAN menggunakan frekuensi 2,4 GHz. Frekuensi inilah yang disebut dengan Industrial, Scientific and Medical Band atau sering disebut ISM Band.

Dalam beberapa produk peralatan ini menggunakan PCMCIA Card dengan kemampuan 11 mbps. Sering terjadi kesalahpahaman di sini. Yang dimaksud dengan 11 mbps di sini adalah kemampuan maksimal Card tersebut untuk melakukan suatu transmisi, bisa dikatakan jumlah maksimal upstream dan downstream alat tersebut. Kemampuan ini tidak selalu dapat berjalan seperti yang disebut 11 mbps tadi, kalau kita hitung paling tidak akan terjadi loss sekitar 50%, jadi alat tersebut mampu mentransmit data 5,5 mbps. Ini bisa dilakukan bila kita menggunakan point-to-point, artinya di kedua sisi menggunakan peralatan yang sama.

Bila sudah melakukan point-to-multipoint, akan terjadi pengurangan yang cukup signifikan, Mul ipoint disini dapat dianalogikan dengan hub, jadi semakin banyak yang tersambung dengan multipoint tersebut maka akan terjadi penurunan kemampuan transmit data. Dalam suatu alat Multipoint yang menggunakan Wireless LAN 11 mbps atau kadang-kadang disebut Access Point, dapat menampung lebih kurang 32 pengguna perseorangan, tetapi bila yang tersambung adalah suatu jaringan LAN pula, maka akan terjadi penurunan kemampuan paling tidak setengahnya, jadi maksimal suatu Base Transceiver System (BTS) adalah menerima 16 pengguna dari LAN.

Kemampuan ini pun dapat menurun apabila di BTS dilakukan pen’cekek’an bandwidth seperti 128 kbps, maka kemampuan penyaluran data dari BTS itu pun akan berkurang pula.

Bagaimana Cara Kerja Wireless?

Di awal telah dijelaskan bahwa untuk menghubungkan sebuah computer yang satu dengan yang lain, maka diperlukan adanya Jaringan Wireless. Menurut sebuah buku yang bersangkutan, supaya komputer-komputer yang berada dalam wilayah Jaringan Wireless bisa sukses dalam mengirim dan menerima data, dari dan ke sesamanya, maka ada tiga komponen dibutuhkan, yaitu:

1. Sinyal Radio (Radio Signal).
2. Format Data (Data Format).
3. Struktur Jaringan atau Network (Network Structure).

Masing-masing dari ketiga komponen ini berdiri sendiri-sendiri dalam cara kerja dan fungsinya. Kita mengenal adanya 7 Model Lapisan OSI (Open System Connection), yaitu:

1. Physical Layer (Lapisan Fisik)
2. Data-Link Layer (Lapisan Keterkaitan Data)
3. Network Layer (Lapisan Jaringan)
4. Transport Layer (Lapisan Transport)
5. Session Layer (Lapisan Sesi)
6. Presentation Layer (Lapisan Presentasi)
7. Application Layer (Lapisan Aplikasi)

Masing-masing dari ketiga komponen yang telah disebutkan di atas berada dalam lapisan yang berbeda-beda. Mereka bekerja dan mengontrol lapisan yang berbeda. Sebagai contoh:

Sinyal Radio (komponen pertama), bekerja pada physical layer, atau lapisan fisik. Lalu Format Data atau Data Format mengendalikan beberapa lapisan diatasnya. Dan struktur jaringan berfungsi sebagai alat untuk mengirim dan menerima sinyal radio.

Lebih jelasnya, cara kerja wireless LAN dapat diumpakan seperti cara kerja modem dalam mengirim dan menerima data, ke dan dari internet. Saat akan mengirim data, peralatan-peralatan Wireless tadi akan berfungsi sebagai alat yang mengubah data digital menjadi sinyal radio. Lalu saat menerima, peralatan tadi berfungsi sebagai alat yang mengubah sinyal radio menjadi data digital yang bisa dimengerti dan diproses oleh komputer.

Bagaimana sinyal radio dapat diubah menjadi data digital?

Prinsip dasar yang digunakan pada teknologi wireless ini sebenarnya diambil dari persamaan yang dibuat oleh James Clerk Maxwell di tahun 1964.

Dalam persamaan itu, dengan gamblang dan jelas Maxwell berhasil menunjukkan fakta bahwa, setiap perubahan yang terjadi dalam medan magnet itu akan menciptakan medan-medan listrik. Dan sebaliknya, setiap perubahan yang terjadi dalam medan-medan listrik itu akan menciptaken medan-medan magnet.

Lebih lanjut Maxwell menjelaskan, saat arus listrik (AC atau alternating current) bergerak melalui kabel atau sarana fisik (konduktor) lainnya, maka, beberapa bagian dari energinya akan terlepas ke ruang bebas di sekitarnya, lalu membentuk medan magnet atau alternating magnetic field.

Kemudian, medan magnet yang tercipta dari energy yang terlepas itu akan menciptakan medan listrik di ruang bebas, yang kemudian akan menciptakan medan magnet lagi, lalu medan listrik lagi, medan magnet lagi, dan seterusnya, hingga arus listrik yang asli atau yang pertama terhenti (terputus, red).

Bentuk energy yang tercipta dari perubahan-perubahan ini, disebut dengan radiasi elektromagnetik (electromagnetic radiation), atau biasa kita kenal sebagai gelombang radio. Itu artinya, radio dapat di definisikan sebagai radiasi dari energi elektromagnetik yang terlepas ke udara (ruang bebas).

Alat yang menghasilkan gelombang radio itu biasa dinamakan TRANSMITTER. Lalu alat yang digunakan untuk mendeteksi dan menangkap gelombang radio yang ada udara itu, biasa dinamakan RECEIVER.

Agar kedua alat ini (transmitter dan receiver) lebih fokus saat mengirim, membuat pola gelombang, mengarahkan, meningkatkan, dan menangkap sinyal radio, ke dan dari udara, maka dibantulah dengan alat lain, yaitu ANTENA.

Berkat persamaan dari Maxwell, transmitter, receiver, serta antena, yang kemudian disatukan dalam semua peralatan wireless LAN itulah, maka komputer bisa berkomunikasi, mengirim dan menerima data melalui gelombang radio, atau biasa disebut dengan wireless netwok.

Begitu banyak stasiun Radio dengan frequency yang berbeda-beda agar tidak saling bertabrakan, gelombang radio yang akan dikirimkan ke udara itu bisa diatur frequencynya. Yaitu dengan cara mengatur atau memodifikasi arus listrik yang berada pada peralatan pengirim dan penerima tadi (transmitter, receiver).

Dan jarak yang menjadi pemisah antar frequency dinamakan SPECTRUM. Lalu, bagian terkecil dari spectrum disebut dengan BAND. Dan untuk mengukur jumlah perulangan dari satu gelombang ke gelombang yang terjadi dalam hitungan detik, digunakanlah satuan HERTZ (Hz).

Hertz, diambil dari nama orang yang pertama kali melakukan percobaan mengirim dan menangkap gelombang radio, yaitu HEINRICH HERTZ. Satu hertz dihitung sebagai jarak antara satu gelombang ke gelombang berikutnya. Dan sinyal radio itu umumnya berada pada frequency ribuan, jutaan, atau milyaran hertz (KHz, MHz, GHz). Dengan mengatur frequency itulah maka sinyal radio bisa tidak saling bertabrakan.

HOT-SPOT

Hot-spot adalah lokasi dimana user dapat mengakses melalui mobile computer (seperti laptop atau PDA) tanpa mengguakan koneksi kabel dengan tujuan suatu jarigan seperti internet. Jaringan nirkabel menggunakan radio frekuensi untuk melakukan komunikasi antara perangkat komputer dengan akses point dimana pada dasarnya berupa penerima dua arah yang bekerja pada frekuensi 2.4 GHz (802.11b, 802.11g) dan 5.4 GHz (802.11a)

Pada umumnya peralatan wifi hotspot menggunakan standarisasi IEEE 802.11b atau IEEE 802.11g dengan menggunakan beberapa level keamanan seperti WEP dan/atau WPA. Perangkat laptop sudah banyak yang dilengkapi dengan adapter IEEE 802.11b atau IEEE 802.11g. Akan tetapi dapat juga digunakan peralatan wireless dalam bentuk PCMCIA atau USB.


SUMBER
Reade more >>

Friday, January 21, 2011

FIREWALL

Ilustrasi mengenai Firewall

Firewall atau tembok-api adalah sebuah sistem atau perangkat yang mengizinkan lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak aman. Umumnya, sebuah tembok-api diterapkan dalam sebuah mesin terdedikasi, yang berjalan pada pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya. Tembok-api umumnya juga digunakan untuk mengontrol akses terhadap siapa saja yang memiliki akses terhadap jaringan pribadi dari pihak luar. Saat ini, istilah firewall menjadi istilah lazim yang merujuk pada sistem yang mengatur komunikasi antar dua jaringan yang berbeda. Mengingat saat ini banyak perusahaan yang memiliki akses ke Internet dan juga tentu saja jaringan berbadan hukum di dalamnya, maka perlindungan terhadap modal digital perusahaan tersebut dari serangan para peretas, pemata-mata, ataupun pencuri data lainnya, menjadi hakikat.


Jenis-jenis Firewall

Taksonomi Firewall

Firewall terbagi menjadi dua jenis, yakni sebagai berikut

Fungsi Firewall

Secara fundamental, firewall dapat melakukan hal-hal berikut:

  • Mengatur dan mengontrol lalu lintas jaringan
  • Melakukan autentikasi terhadap akses
  • Melindungi sumber daya dalam jaringan privat
  • Mencatat semua kejadian, dan melaporkan kepada administrator

Mengatur dan Mengontrol Lalu lintas jaringan

Fungsi pertama yang dapat dilakukan oleh firewall adalah firewall harus dapat mengatur dan mengontrol lalu lintas jaringan yang diizinkan untuk mengakses jaringan privat atau komputer yang dilindungi oleh firewall. Firewall melakukan hal yang demikian, dengan melakukan inspeksi terhadap paket-paket dan memantau koneksi yang sedang dibuat, lalu melakukan penapisan (filtering) terhadap koneksi berdasarkan hasil inspeksi paket dan koneksi tersebut.

Proses inspeksi Paket

Inspeksi paket ('packet inspection) merupakan proses yang dilakukan oleh firewall untuk 'menghadang' dan memproses data dalam sebuah paket untuk menentukan bahwa paket tersebut diizinkan atau ditolak, berdasarkan kebijakan akses (access policy) yang diterapkan oleh seorang administrator. Firewall, sebelum menentukan keputusan apakah hendak menolak atau menerima komunikasi dari luar, ia harus melakukan inspeksi terhadap setiap paket (baik yang masuk ataupun yang keluar) di setiap antarmuka dan membandingkannya dengan daftar kebijakan akses. Inspeksi paket dapat dilakukan dengan melihat elemen-elemen berikut, ketika menentukan apakah hendak menolak atau menerima komunikasi:

  • Alamat IP dari komputer sumber
  • Port sumber pada komputer sumber
  • Alamat IP dari komputer tujuan
  • Port tujuan data pada komputer tujuan
  • Protokol IP
  • Informasi header-header yang disimpan dalam paket

Koneksi dan Keadaan Koneksi

Agar dua host TCP/IP dapat saling berkomunikasi, mereka harus saling membuat koneksi antara satu dengan lainnya. Koneksi ini memiliki dua tujuan:

  1. Komputer dapat menggunakan koneksi tersebut untuk mengidentifikasikan dirinya kepada komputer lain, yang meyakinkan bahwa sistem lain yang tidak membuat koneksi tidak dapat mengirimkan data ke komputer tersebut. Firewall juga dapat menggunakan informasi koneksi untuk menentukan koneksi apa yang diizinkan oleh kebijakan akses dan menggunakannya untuk menentukan apakah paket data tersebut akan diterima atau ditolak.
  2. Koneksi digunakan untuk menentukan bagaimana cara dua host tersebut akan berkomunikasi antara satu dengan yang lainnya (apakah dengan menggunakan koneksi connection-oriented, atau connectionless).
Ilustrasi mengenai percakapan antara dua buah host

Kedua tujuan tersebut dapat digunakan untuk menentukan keadaan koneksi antara dua host tersebut, seperti halnya cara manusia bercakap-cakap. Jika Amir bertanya kepada Aminah mengenai sesuatu, maka Aminah akan meresponsnya dengan jawaban yang sesuai dengan pertanyaan yang diajukan oleh Amir; Pada saat Amir melontarkan pertanyaannya kepada Aminah, keadaan percakapan tersebut adalah Amir menunggu respons dari Aminah. Komunikasi di jaringan juga mengikuti cara yang sama untuk memantau keadaan percakapan komunikasi yang terjadi.

Firewall dapat memantau informasi keadaan koneksi untuk menentukan apakah ia hendak mengizinkan lalu lintas jaringan. Umumnya hal ini dilakukan dengan memelihara sebuah tabel keadaan koneksi (dalam istilah firewall: state table) yang memantau keadaan semua komunikasi yang melewati firewall. Dengan memantau keadaan koneksi ini, firewall dapat menentukan apakah data yang melewati firewall sedang "ditunggu" oleh host yang dituju, dan jika ya, aka mengizinkannya. Jika data yang melewati firewall tidak cocok dengan keadaan koneksi yang didefinisikan oleh tabel keadaan koneksi, maka data tersebut akan ditolak. Hal ini umumnya disebut sebagai Stateful Inspection.

Stateful Packet Inspection

Ketika sebuah firewall menggabungkan stateful inspection dengan packet inspection, maka firewall tersebut dinamakan dengan Stateful Packet Inspection (SPI). SPI merupakan proses inspeksi paket yang tidak dilakukan dengan menggunakan struktur paket dan data yang terkandung dalam paket, tapi juga pada keadaan apa host-host yang saling berkomunikasi tersebut berada. SPI mengizinkan firewall untuk melakukan penapisan tidak hanya berdasarkan isi paket tersebut, tapi juga berdasarkan koneksi atau keadaan koneksi, sehingga dapat mengakibatkan firewall memiliki kemampuan yang lebih fleksibel, mudah diatur, dan memiliki skalabilitas dalam hal penapisan yang tinggi.

Salah satu keunggulan dari SPI dibandingkan dengan inspeksi paket biasa adalah bahwa ketika sebuah koneksi telah dikenali dan diizinkan (tentu saja setelah dilakukan inspeksi), umumnya sebuah kebijakan (policy) tidak dibutuhkan untuk mengizinkan komunikasi balasan karena firewall tahu respons apa yang diharapkan akan diterima. Hal ini memungkinkan inspeksi terhadap data dan perintah yang terkandung dalam sebuah paket data untuk menentukan apakah sebuah koneksi diizinkan atau tidak, lalu firewall akan secara otomatis memantau keadaan percakapan dan secara dinamis mengizinkan lalu lintas yang sesuai dengan keadaan. Ini merupakan peningkatan yang cukup signifikan jika dibandingkan dengan firewall dengan inspeksi paket biasa. Apalagi, proses ini diselesaikan tanpa adanya kebutuhan untuk mendefinisikan sebuah kebijakan untuk mengizinkan respons dan komunikasi selanjutnya. Kebanyakan firewall modern telah mendukung fungsi ini.

Melakukan autentikasi terhadap akses

Fungsi fundamental firewall yang kedua adalah firewall dapat melakukan autentikasi terhadap akses.

Protokol TCP/IP dibangun dengan premis bahwa protokol tersebut mendukung komunikasi yang terbuka. Jika dua host saling mengetahui alamat IP satu sama lainnya, maka mereka diizinkan untuk saling berkomunikasi. Pada awal-awal perkembangan Internet, hal ini boleh dianggap sebagai suatu berkah. Tapi saat ini, di saat semakin banyak yang terhubung ke Internet, mungkin kita tidak mau siapa saja yang dapat berkomunikasi dengan sistem yang kita miliki. Karenanya, firewall dilengkapi dengan fungsi autentikasi dengan menggunakan beberapa mekanisme autentikasi, sebagai berikut:

  • Firewall dapat meminta input dari pengguna mengenai nama pengguna (user name) serta kata kunci (password). Metode ini sering disebut sebagai extended authentication atau xauth. Menggunakan xauth pengguna yang mencoba untuk membuat sebuah koneksi akan diminta input mengenai nama dan kata kuncinya sebelum akhirnya diizinkan oleh firewall. Umumnya, setelah koneksi diizinkan oleh kebijakan keamanan dalam firewall, firewall pun tidak perlu lagi mengisikan input password dan namanya, kecuali jika koneksi terputus dan pengguna mencoba menghubungkan dirinya kembali.
  • Metode kedua adalah dengan menggunakan sertifikat digital dan kunci publik. Keunggulan metode ini dibandingkan dengan metode pertama adalah proses autentikasi dapat terjadi tanpa intervensi pengguna. Selain itu, metode ini lebih cepat dalam rangka melakukan proses autentikasi. Meskipun demikian, metode ini lebih rumit implementasinya karena membutuhkan banyak komponen seperti halnya implementasi infrastruktur kunci publik.
  • Metode selanjutnya adalah dengan menggunakan Pre-Shared Key (PSK) atau kunci yang telah diberitahu kepada pengguna. Jika dibandingkan dengan sertifikat digital, PSK lebih mudah diimplenentasikan karena lebih sederhana, tetapi PSK juga mengizinkan proses autentikasi terjadi tanpa intervensi pengguna. Dengan menggunakan PSK, setiap host akan diberikan sebuah kunci yang telah ditentukan sebelumnya yang kemudian digunakan untuk proses autentikasi. Kelemahan metode ini adalah kunci PSK jarang sekali diperbarui dan banyak organisasi sering sekali menggunakan kunci yang sama untuk melakukan koneksi terhadap host-host yang berada pada jarak jauh, sehingga hal ini sama saja meruntuhkan proses autentikasi. Agar tercapai sebuah derajat keamanan yang tinggi, umumnya beberapa organisasi juga menggunakan gabungan antara metode PSK dengan xauth atau PSK dengan sertifikat digital.

Dengan mengimplementasikan proses autentikasi, firewall dapat menjamin bahwa koneksi dapat diizinkan atau tidak. Meskipun jika paket telah diizinkan dengan menggunakan inspeksi paket (PI) atau berdasarkan keadaan koneksi (SPI), jika host tersebut tidak lolos proses autentikasi, paket tersebut akan dibuang.

Melindungi sumber daya dalam jaringan privat

Salah satu tugas firewall adalah melindungi sumber daya dari ancaman yang mungkin datang. Proteksi ini dapat diperoleh dengan menggunakan beberapa peraturan pengaturan akses (access control), penggunaan SPI, application proxy, atau kombinasi dari semuanya untuk mencegah host yang dilindungi dapat diakses oleh host-host yang mencurigakan atau dari lalu lintas jaringan yang mencurigakan. Meskipun demikian, firewall bukanlah satu-satunya metode proteksi terhadap sumber daya, dan mempercayakan proteksi terhadap sumber daya dari ancaman terhadap firewall secara eksklusif adalah salah satu kesalahan fatal. Jika sebuah host yang menjalankan sistem operasi tertentu yang memiliki lubang keamanan yang belum ditambal dikoneksikan ke Internet, firewall mungkin tidak dapat mencegah dieksploitasinya host tersebut oleh host-host lainnya, khususnya jika exploit tersebut menggunakan lalu lintas yang oleh firewall telah diizinkan (dalam konfigurasinya). Sebagai contoh, jika sebuah packet-inspection firewall mengizinkan lalu lintas HTTP ke sebuah web server yang menjalankan sebuah layanan web yang memiliki lubang keamanan yang belum ditambal, maka seorang pengguna yang "iseng" dapat saja membuat exploit untuk meruntuhkan web server tersebut karena memang web server yang bersangkutan memiliki lubang keamanan yang belum ditambal. Dalam contoh ini, web server tersebut akhirnya mengakibatkan proteksi yang ditawarkan oleh firewall menjadi tidak berguna. Hal ini disebabkan oleh firewall yang tidak dapat membedakan antara request HTTP yang mencurigakan atau tidak. Apalagi, jika firewall yang digunakan bukan application proxy. Oleh karena itulah, sumber daya yang dilindungi haruslah dipelihara dengan melakukan penambalan terhadap lubang-lubang keamanan, selain tentunya dilindungi oleh firewall.

Mencatat semua kejadian, dan melaporkan kepada administrator

[Placeholder]

Cara Kerja Firewall

Packet-Filter Firewall

Contoh pengaturan akses (access control) yang diterapkan dalam firewall

Pada bentuknya yang paling sederhana, sebuah firewall adalah sebuah router atau komputer yang dilengkapi dengan dua buah NIC (Network Interface Card, kartu antarmuka jaringan) yang mampu melakukan penapisan atau penyaringan terhadap paket-paket yang masuk. Perangkat jenis ini umumnya disebut dengan packet-filtering router.

Firewall jenis ini bekerja dengan cara membandingkan alamat sumber dari paket-paket tersebut dengan kebijakan pengontrolan akses yang terdaftar dalam Access Control List firewall, router tersebut akan mencoba memutuskan apakah hendak meneruskan paket yang masuk tersebut ke tujuannya atau menghentikannya. Pada bentuk yang lebih sederhana lagi, firewall hanya melakukan pengujian terhadap alamat IP atau nama domain yang menjadi sumber paket dan akan menentukan apakah hendak meneruskan atau menolak paket tersebut. Meskipun demikian, packet-filtering router tidak dapat digunakan untuk memberikan akses (atau menolaknya) dengan menggunakan basis hak-hak yang dimiliki oleh pengguna.

Cara kerja packet filter firewall

Packet-filtering router juga dapat dikonfigurasikan agar menghentikan beberapa jenis lalu lintas jaringan dan tentu saja mengizinkannya. Umumnya, hal ini dilakukan dengan mengaktifkan/menonaktifkan port TCP/IP dalam sistem firewall tersebut. Sebagai contoh, port 25 yang digunakan oleh Protokol SMTP (Simple Mail Transfer Protocol) umumnya dibiarkan terbuka oleh beberapa firewall untuk mengizinkan surat elektronik dari Internet masuk ke dalam jaringan privat, sementara port lainnya seperti port 23 yang digunakan oleh Protokol Telnet dapat dinonaktifkan untuk mencegah pengguna Internet untuk mengakses layanan yang terdapat dalam jaringan privat tersebut. Firewall juga dapat memberikan semacam pengecualian (exception) agar beberapa aplikasi dapat melewati firewall tersebut. Dengan menggunakan pendekatan ini, keamanan akan lebih kuat tapi memiliki kelemahan yang signifikan yakni kerumitan konfigurasi terhadap firewall: daftar Access Control List firewall akan membesar seiring dengan banyaknya alamat IP, nama domain, atau port yang dimasukkan ke dalamnya, selain tentunya juga exception yang diberlakukan.

Circuit Level Gateway

Cara kerja circuit level firewall

Firewall jenis lainnya adalah Circuit-Level Gateway, yang umumnya berupa komponen dalam sebuah proxy server. Firewall jenis ini beroperasi pada level yang lebih tinggi dalam model referensi tujuh lapis OSI (bekerja pada lapisan sesi/session layer) daripada Packet Filter Firewall. Modifikasi ini membuat firewall jenis ini berguna dalam rangka menyembunyikan informasi mengenai jaringan terproteksi, meskipun firewall ini tidak melakukan penyaringan terhadap paket-paket individual yang mengalir dalam koneksi.

Dengan menggunakan firewall jenis ini, koneksi yang terjadi antara pengguna dan jaringan pun disembunyikan dari pengguna. Pengguna akan dihadapkan secara langsung dengan firewall pada saat proses pembuatan koneksi dan firewall pun akan membentuk koneksi dengan sumber daya jaringan yang hendak diakses oleh pengguna setelah mengubah alamat IP dari paket yang ditransmisikan oleh dua belah pihak. Hal ini mengakibatkan terjadinya sebuah sirkuit virtual (virtual circuit) antara pengguna dan sumber daya jaringan yang ia akses.

Firewall ini dianggap lebih aman dibandingkan dengan Packet-Filtering Firewall, karena pengguna eksternal tidak dapat melihat alamat IP jaringan internal dalam paket-paket yang ia terima, melainkan alamat IP dari firewall. Protokol yang populer digunakan sebagai Circuit-Level Gateway adalah SOCKS v5.

Application Level Firewall

Application Level Firewall (disebut juga sebagai application proxy atau application level gateway)

Firewall jenis lainnya adalah Application Level Gateway (atau Application-Level Firewall atau sering juga disebut sebagai Proxy Firewall), yang umumnya juga merupakan komponen dari sebuah proxy server. Firewall ini tidak mengizinkan paket yang datang untuk melewati firewall secara langsung. Tetapi, aplikasi proxy yang berjalan dalam komputer yang menjalankan firewall akan meneruskan permintaan tersebut kepada layanan yang tersedia dalam jaringan privat dan kemudian meneruskan respons dari permintaan tersebut kepada komputer yang membuat permintaan pertama kali yang terletak dalam jaringan publik yang tidak aman.

Umumnya, firewall jenis ini akan melakukan autentikasi terlebih dahulu terhadap pengguna sebelum mengizinkan pengguna tersebut untuk mengakses jaringan. Selain itu, firewall ini juga mengimplementasikan mekanisme auditing dan pencatatan (logging) sebagai bagian dari kebijakan keamanan yang diterapkannya. Application Level Firewall juga umumnya mengharuskan beberapa konfigurasi yang diberlakukan pada pengguna untuk mengizinkan mesin klien agar dapat berfungsi. Sebagai contoh, jika sebuah proxy FTP dikonfigurasikan di atas sebuah application layer gateway, proxy tersebut dapat dikonfigurasikan untuk mengizinlan beberapa perintah FTP, dan menolak beberapa perintah lainnya. Jenis ini paling sering diimplementasikan pada proxy SMTP sehingga mereka dapat menerima surat elektronik dari luar (tanpa menampakkan alamat e-mail internal), lalu meneruskan e-mail tersebut kepada e-mail server dalam jaringan. Tetapi, karena adanya pemrosesan yang lebih rumit, firewall jenis ini mengharuskan komputer yang dikonfigurasikan sebagai application gateway memiliki spesifikasi yang tinggi, dan tentu saja jauh lebih lambat dibandingkan dengan packet-filter firewall.

NAT Firewall

NAT (Network Address Translation) Firewall secara otomatis menyediakan proteksi terhadap sistem yang berada di balik firewall karena NAT Firewall hanya mengizinkan koneksi yang datang dari komputer-komputer yang berada di balik firewall. Tujuan dari NAT adalah untuk melakukan multiplexing terhadap lalu lintas dari jaringan internal untuk kemudian menyampaikannya kepada jaringan yang lebih luas (MAN, WAN atau Internet) seolah-olah paket tersebut datang dari sebuah alamat IP atau beberapa alamat IP. NAT Firewall membuat tabel dalam memori yang mengandung informasi mengenai koneksi yang dilihat oleh firewall. Tabel ini akan memetakan alamat jaringan internal ke alamat eksternal. Kemampuan untuk menaruh keseluruhan jaringan di belakang sebuah alamat IP didasarkan terhadap pemetaan terhadap port-port dalam NAT firewall.

Lihat juga: Network Address Translation

Stateful Firewall

Cara kerja stateful firewall

Stateful Firewall merupakan sebuah firewall yang menggabungkan keunggulan yang ditawarkan oleh packet-filtering firewall, NAT Firewall, Circuit-Level Firewall dan Proxy Firewall dalam satu sistem. Stateful Firewall dapat melakukan filtering terhadap lalu lintas berdasarkan karakteristik paket, seperti halnya packet-filtering firewall, dan juga memiliki pengecekan terhadap sesi koneksi untuk meyakinkan bahwa sesi koneksi yang terbentuk tersebut diizinlan. Tidak seperti Proxy Firewall atau Circuit Level Firewall, Stateful Firewall umumnya didesain agar lebih transparan (seperti halnya packet-filtering firewall atau NAT firewall). Tetapi, stateful firewall juga mencakup beberapa aspek yang dimiliki oleh application level firewall, sebab ia juga melakukan inspeksi terhadap data yang datang dari lapisan aplikasi (application layer) dengan menggunakan layanan tertentu. Firewall ini hanya tersedia pada beberapa firewall kelas atas, semacam Cisco PIX. Karena menggabungkan keunggulan jenis-jenis firewall lainnya, stateful firewall menjadi lebih kompleks.

Virtual Firewall

Virtual Firewall adalah sebutan untuk beberapa firewall logis yang berada dalam sebuah perangkat fisik (komputer atau perangkat firewall lainnya). Pengaturan ini mengizinkan beberapa jaringan agar dapat diproteksi oleh sebuah firewall yang unik yang menjalankan kebijakan keamanan yang juga unik, cukup dengan menggunakan satu buah perangkat. Dengan menggunakan firewall jenis ini, sebuah ISP (Internet Service Provider) dapat menyediakan layanan firewall kepada para pelanggannya, sehingga mengamankan lalu lintas jaringan mereka, hanya dengan menggunakan satu buah perangkat. Hal ini jelas merupakan penghematan biaya yang signifikan, meski firewall jenis ini hanya tersedia pada firewall kelas atas, seperti Cisco PIX 535.

Transparent Firewall

Transparent Firewall (juga dikenal sebagai bridging firewall) bukanlah sebuah firewall yang murni, tetapi ia hanya berupa turunan dari stateful Firewall. Daripada firewall-firewall lainnya yang beroperasi pada lapisan IP ke atas, transparent firewall bekerja pada lapisan Data-Link Layer, dan kemudian ia memantau lapisan-lapisan yang ada di atasnya. Selain itu, transparent firewall juga dapat melakukan apa yang dapat dilakukan oleh packet-filtering firewall, seperti halnya stateful firewall dan tidak terlihat oleh pengguna (karena itulah, ia disebut sebagai Transparent Firewall).

Intinya, transparent firewall bekerja sebagai sebuah bridge yang bertugas untuk menyaring lalu lintas jaringan antara dua segmen jaringan. Dengan menggunakan transparent firewall, keamanan sebuah segmen jaringan pun dapat diperkuat, tanpa harus mengaplikasikan NAT Filter. Transparent Firewall menawarkan tiga buah keuntungan, yakni sebagai berikut:

  • Konfigurasi yang mudah (bahkan beberapa produk mengklaim sebagai "Zero Configuration"). Hal ini memang karena transparent firewall dihubungkan secara langsung dengan jaringan yang hendak diproteksinya, dengan memodifikasi sedikit atau tanpa memodifikasi konfigurasi firewall tersebut. Karena ia bekerja pada data-link layer, pengubahan alamat IP pun tidak dibutuhkan. Firewall juga dapat dikonfigurasikan untuk melakukan segmentasi terhadap sebuah subnet jaringan antara jaringan yang memiliki keamanan yang rendah dan keamanan yang tinggi atau dapat juga untuk melindungi sebuah host, jika memang diperlukan.
  • Kinerja yang tinggi. Hal ini disebabkan oleh firewall yang berjalan dalam lapisan data-link lebih sederhana dibandingkan dengan firewall yang berjalan dalam lapisan yang lebih tinggi. Karena bekerja lebih sederhana, maka kebutuhan pemrosesan pun lebih kecil dibandingkan dengan firewall yang berjalan pada lapisan yang tinggi, dan akhirnya performa yang ditunjukannya pun lebih tinggi.
  • Tidak terlihat oleh pengguna (stealth). Hal ini memang dikarenakan Transparent Firewall bekerja pada lapisan data-link, dan tidak membutuhkan alamat IP yang ditetapkan untuknya (kecuali untuk melakukan manajemen terhadapnya, jika memang jenisnya managed firewall). Karena itulah, transparent firewall tidak dapat terlihat oleh para penyerang. Karena tidak dapat diraih oleh penyerang (tidak memiliki alamat IP), penyerang pun tidak dapat menyerangnya.

SUMBER: WIKIPEDIA
Reade more >>