Firewall pada jaringan VoIP
Pendahuluan
Perkembangan dunia teknologi saat ini tidak lepas dari adanya perkembangan ancaman dalam teknologi tersebut. Salah satu teknologi kornunikasi yang sedang berkembang adalah VoIP. Tahukah Anda yang dimaksud VoIP? VoIP (Voice over Internet Protocol) dikenal juga dengan IP Telephony. VoIP didefinisikan sebagai suatu sistem yang menggunakan jaringan internet untuk mengirimkan data paket suara dari suatu tempat ke tempat yang lain menggunakan perantara protokol IP. Suatu jaringan yang terhubung dengan jaringan internet sangat rawan terhadap ancaman, keamanan jaringan tersebut.
Firewall adalah sebuah software program yang dipasang pada sebuah jaringan dan bertugas memproteksi sistem computer dengan tujuan mengamankan jaringan internal. Apa saja fungsi firewall pada jaringan VoIP? Untuk mengetahui jawabannya, pelajari modul berikut dengan saksama.
A. Konsep Firewall pada Jaringan Komputer
Pada jaringan komputer, khususnya yang berkaitan dengan aplikasi yang melibatkan berbagai kepentingan, akan banyak terjadi hal yang dapat mengganggu kestabilan koneksi jaringan computer tersebut, baik yang berkaitan dengan hardware (pengamanan fisik, sumber daya listrik) maupun yang berkaitan dengan software (sistem, konfigurasi, sistem akses, dan lain-lain).
Keamanan pada jaringan didefinisikan pada lima kategori berikut.
Confidentiality, memberi persyaratan bahwa informasi (data) hanya bisa diakses oleh pihak yang memiliki wewenang.
Integrity, memberi persyaratan bahwa informasi hanya dapat diubah oleh pihak yang memiliki wewenang.
Availability, memberi persyaratan bahwa informasi yang tersedia untuk pihak yang memiliki wewenang ketika dibutuhkan.
Authentication, memberi persyaratan bahwa pengirim suatu informasi dapat diidentifikasi dengan benar dan ada jaminan bahwa identftas yang didapat tidak palsu.
Nonrepudiation, memberi persyaratan bahwa baik pengirim maupun penerima pesan informasi tidak dapat menyangkal pengiriman pesan.
Gangguan pada sistem dapat terjadi karena faktor ketidaksengajaan yang dilakukan oleh administrator jaringan (human error), akan tetapi tidak sedikit pula yang disebabkan oleh pihak ketiga.
Berikut empat kategori utama bentuk gangguan (serangan) pada sistem.
Interruption, merupakan suatu aset dari suatu sistem diserang sehingga tidak tersedia atau tidak dapat dipakai oleh yang berwenang. Contohnya adalah perusakan/modifikasi terhadap peranti keras atau saluran jaringan.
Interception, merupakan suatu pihak yang tidak berwenang mendapatkan akses pada suatu aset. Pihak yang dimaksud dapat berupa orang, program, atau sistem yang lain. Contohnya adalah penyadapan terhadap data dalam suatu jaringan.
Modification, merupakan suatu pihak yang tidak berwenang tapi dapat melakukan perubahan terhadap suatu aset. Contohnya adalah perubahan nilai pada file data dan modifikasi pesan yang sedang ditransmisikan dalam jaringan.
Fabrication, merupakan suatu pihak yang tidak berwenang menyisipkan objek palsu ke dalam system Contohnya pengiriman pesa palsu kepada orang lain.
Karakteristik firewall pada jaringan komputer antara lain sebagai berikut.
Firewall harus lebih kuat dan kebal terhadap serangan dari luar. Hal ini berarti sistem operasi akan relatif lebih aman dan penggunaan sisternnya dapat dipercaya.
Hariya aktivitas atau kegiatan yang dikenal/terdaftar saja yang dapat melewati atau melakukan hubungan. Hal tersebut bisa dilakukan dengan mengatur kebijakan pada konfigurasi keamanan lokal.
Semua aktivitas atau keqiatan dari dalam ke luar harus melewati firewall. Hal tersebut bisa dilakukan dengan membatasi atau mernblokir semua akses terhadap jarinqan lokal, kecuali jika melewati firewall terlebili dahulu.
Proses yang terjadi pada firewall ada tiga macam, yaitu:
Modifikasi header paket, digunakan untuk memodifikasi kualitas layanail bit paket TCP sebelum mengalami proses routing.
Translasi alamat jaringan, translasi yang terjadi dapat berupa translasi satu ke satu (one to one), yaitu satu alamat IP privat dipetakan ke satu alamat IP publik atau translasi banyak ke satu (many to one), yaitu beberapa alamat IP privat dipetakan ke satu alamat publik.
Filter paket, digunakan untuk menentukan nasib paket apakah dapat diteruskan atau tidak.
Secara umum terdapat empat jenis firewall yang dibedakan berdasarkan cara kerjanya
Packet filtering gateway
Application layer gateway
Circuit level gateway
Statefull Multilayer Inspection Firewall
B. Konsep Firewall pada Jaringan VoIP
VoIP (Voice over Internet Protocol) adalah teknologi yang menjadikan media internet untuk bisa melakukan komunikasi suarajarakjauh secara langsung. Sinyal suara analog, seperti yang Anda dengar ketika berkomunikasi di telepon diubah menjadi data digital dan dikirimkan melalui jaringan berupa paket-paket data secara real-time.
Dalam komunikasi VoIP, pemakai melakukan hubungan telepon melalui terminal yang berupa PC atau telepon biasa. Dengan bertelepon menggunakan VoIP, banyak keuntungan yang dapat diambil di antaranya adalah dari segi biaya jelas lebih murah dari tarif telepon tradisional, karena jaringan IP bersifat global. Sehingga biaya untuk hubunqan internasional dapat ditekan hingga 70%. Selain itu, biaya perawatan dapat ditekan karena jaringan suara dan data terpisah, sehingga telepon IP dapat ditambah, dipindah, dan diubah. Hal ini karena VolP dapat dipasang di sernbarang ethernet dan IP Address, tidak seperti telepon konvensional yang harus rnempunyai port tersendiri di sentral atau PBX.
Jaringan VoIP adalah jaringan yang menyediakan layanan aplikasi multimedia dengan internet, memiliki struktur yang cukup rumit dibandingkan dengan jaringan komputer. Karena kerumitan protocol VoIP, maka mekanisme keamanan terhadap serangan yang mengambil keuntungan dari kelemahan jaringan VoIP perlu dikembangkan dengan baik. Menangkal ancaman dan serangan harus didefinisikan atau dibentuk dengan proses yang balk sehingga pendekatan yang beriapis untuk mempertahankan postur keamanan jarinqan VoIP dapat terjamin. Proses tersebut harus dirancang untuk menggabungkan kontrol yang dapat mengatasi hal-hal seperti berikut.
1. Mengidentifikasi ancaman yang berlaku.
2. Mengidentifikasi serangan dan meminimalkan peluang untuk serangan.
3. Meminimalkan dampak dari serangan (jika terjadi).
4. Mengelola dah mengurangi serangan yang sukses secara tepat waktu.
Selain itu, kontrol jaringan keamanan VoIP mencakup penggunaan kebijakan keamanan dan komponen yang digunakan untuk mengontrol akses ke sumber daya dan mencegah serangan. Hal yang paling fundamental untuk keamanan jarinqan VoIP adalah arsitektur yang didefinisikan dengan baik. Arsitektur VoIP harus memasukkan · persyaratan untuk keandalan, ketersediaan, kerahasiaan, otorisasi, dan integritas. Untuk mendukunq tujuan tersebut kita perlu mengidentifikasi, memprioritaskan, dan mengategorikan jenis data dan informasi yang dipertukarkan pada layanan jaringan VoIP. Selain itu, harus diidentifikasi persyaratan keamanan bahwa infrastruktur harus rnendukunq tujuan jaringan VoIP.
Pengembangan persyaratan keamanan akan membantu dalam membangun arsitektur yang kuat dan dapat diukur, yang menggabungkan keamanan dan ketersediaan selain QoS. Umumnya, keamanan jaringan VoIP yang ditinjau dari arsitekturnya rnencakup segmentasi jaringan yang tepat, yaitu network segmentation, out-of-band network management, dan private addressing. Berikut penjelasannya.
1. Network segmentation
Network segmentation atau segmentasi jaringan merupakan salah satu arsitektur yang perlu diperhatikan dalarn layanan komunikasi VoIP. Pada perusahaan, segmentasi jaringan memberikan kemampuan untuk merampingkan dan mengontrol lalu lintas yang mengalir di antara komponen VoIP.
Call agent mungkin memiliki kemarnpuan untuk mengatur panggilan yang masuk (termasuk aentifikasi dan otorisasi) berdasarkan pada kepercayaan, profil, manajemen, gudang, dan aturan (contoh: menolak panggilan internasional atau sejumlah panggilan dari internal maupun eksternal) dari pengguna VoIP. Media lalu lintas jaringan mengizinkan layanan terjadi antara VLAN yang sudah terdaftar, seperti PSTN gateway VLAN; VoIP phone VLAN, dan voice mail server VLAN. Perlu diingat bahwa jalur media bernegosiasi secara dinamis antara setiap titik akhir VLAN tersebut.
Oleh karena itu, menggunakan ACL untuk membatasi lalu lintas RTP membutuhkan pendefinisian jarak antara port UDP yang diizinkan antara titik akhir. Biasanya, port antara 16.384 dan 32.767 digunakan untuk audio, port antara 49.152 dan 65.535 digunakan untuk video. Sebuah perusahaan penjual layanan VLAN mungkin menggunakan jarak yang berbeda, tetapi jarak yang digunakan seharusnya memiliki kemungkinan untuk mengidentifikasi nilai-nilai paling rendah dan paling tinggi dari jangkauan untuk menerapkan ACL yang sesuai.
Gambar berikut memperlihatkan contoh penyaringan ACL antara komponen VoIP dalam VLAN yang berbeda. Konfigurasi ini membatasi sinyal VoIP dan lalu lintas media mengalir hanya antara VLAN yang sesuai. Conteh tersebut juga memperlihatkan penyaringan ACL yang menyediakan lapisan pertahanan untuk signalling dan media dari serangan yang berasal dari jaringan selain VLAN yang ditunjuk. Sebagai contoh, sebuah serangan yang berasal dari titik lain dalam jaringan terhadap port signalling gateway suara akan gagal. Dalam kasus di mana lalu lintas sinyal yang dipertukarkan antara komponen VLAN, ACL dapat lebih disesuaikan untuk mengendalikan lalu lintas antara elemen jaringan berdasarkan alamat IP individu daripada seluruh subnet. Dengan kata lain, ACL dapat menegakkan pertukaran lalu lintas yang berasal dari sinyal call agent alamat IP dan alamat IP gateway suara di port yang sesuai. Rincian tersebut jelas tergantung pada ukuran jaringan dan komponen terkait yang perlu dikelola. Untuk lingkungan perusahaan besar, konfigurasi ini mungkin tidak optimal.
2. Out-of-band network management
Konfigurasi arsitektur ini menyediakan out-of-band manajemen jaringan dan sistem administrasi yang menghilangkan risiko yang terkait dengan serangan terhadap manajemen atau port administrasi (misalnya SNMP, HTTP, atau Telnet). Hal ini merupakan konfigurasi khas untuk operator telekomunikasi, penyedia layanan, dan jaringan perusahaan besar. Dalam kasus di mana sumberdaya organisasi atau persyaratan tidak mengizinkan untuk konfigurasi antarmuka dua jaringan, lalu lintas manajemen telah dibatasi dengan AGL. Dan seperti sinyal dan protokol media, semua protokol manajemen jaringan secara eksplisit diizinkan antara VLAN dan manajemen jaringan VLAN. Pendekatan ini memungkinkan menegakkan granula penyaringan antara VLAN dan lalu lintas yang inelintasl antara VLAN untuk menegakkan keamanan jaringan yang lebih kuat.
3. Private addressing
Perangkat NAT mempertahankan tabel yang mengaitkan alamat IP dan port host internal dengan alamat IP dan port dari host eksternal (sumber dan tuiuan), Opsi ini memberikan manfaat tambahan bagi keamanan jaringan internal organisasi. Lalu lintas ekstemal yang berbahaya menargetkan sistem internal dijatuhkan, kecuali NAT telah membentuk asosiasi dalam negaranya. Oleh karena itu, dianjurkan untuk menggunakan private addressing dalam penyebaran VoIP untuk memberikan lapisan perlindungan. Di saat yang sama, NAT telah memperkenalkan masalah dengan sinyal dan keamanan VoIP
Firewall VoIP membantu melindungi terhadap berbagai serangan dengan menegakkan kebijakan lalu lintas in-bound dan out-bound dan mendukung jaringan dan alamat port translation (Network Address Port Translation/NAPT). NAT menyediakan topologi jaringan, internal tersembunyi dan menekan serangan eksternal terhadap host internal. Menyediakan NAT juga memperkenalkan hambatan untuk mengelola dengan benar sesi multimedia internet. Salah satu isu penyebaran dengan VoIP dan firewall adalah manajemen sesi yang tepat. Ketika telepon VoIP yang berada di belakang firewall NAT memulai panggilan ke ponsel lain, sinyal tersebut mengirimkan pesan termasuk informasi yang mencerminkan sifat dari penyelenggara asal telepon. lnformasi ini mencakup alamat IP local telepon dan port yang pesan itu dikirim dan port yang sinyal dan media pesan harus diterima. Jika telepon jarak jauh berada di luar firewall NAT, informasi yang terkandung dalam pesan sinyal akan tidak sah karena mereka mencerminkan pengalamatan jarihgan internal.
Firewall NAT harus mampu untuk memeriksa pesan SlP dan membuat modifikasi yang diperlukan untuk header SIP/SDAP untuk mencerminkan sesuai alamat IP dan port yang harus digunakan (dalam hal ini, firewall NAT, alamat eksternal IP, dan port dari mana permintaan itu dikirim). Meskipun firewall VoIP memberikan perlindungan, seperti yang disebutkan sebelumnya, dan mereka dapat mengenali dan menangani komunikasi VoIP, mereka tidak bisa menawarkan skalabilitas yang diperlukan untuk mendukung IP multimedia komunikasi dalam lingkungan carrier-grade yang mana diperlukan untuk mengelola jutaan sesi multimedia simultan. Oleh karena itu, fungsi untuk mengelola sesi multimedia didedikasikan untuk perangkat seperti SBC (pengendali perbatasan sesi).
Dengan menggunakan VoIP, perusahaan dapat melakukan penekanan biaya, hanya saja semakin banyak pengguna yang memanfaatkan tekologi ini, maka hal tersebut menjadi tidak setimbang dengan peningkatan infrastruktur telepon yang ada dalam mendukung fitur baru dari teknologi VoIP. Faktor inilah yang menyebabkan masih adanya celah pada teknologi tersebut, sehingga rentan terserang cybercrime.
Untuk mengantisipasi serangan cybercrime, banyak penelitian dilakukan untuk mencegahnya antara lain MPLS-VPN, TLS, kriptografi, SRTP, segmentasi VLAN, VoIP call private network, firewall dan packatized voice, VoIP lockdown, dan metode lainnya.
1. VoIP Call Private Network
Kita dapat mendengarkan dengan jelas teman kita yang sedang berbicara dengan telepon tradisional bila kita berada di dalam satu ruangan yang sama. Dari sini kita dapat menyimpulkan perlukah call privacy? VoIP adalah sebuah teknologi paket, menyerupai data paket seperti di dalam LAN dan WAN. Paket suara dapat ditangkap oleh sebuah agen, ada beberapa cara untuk memecahkan masalah ini. Metode yang termudah adalah dengan merutekan lalu lintas suara dengan jaringan private.
Hal yang paling utama adalah bahwa jaringan publik atau internet tidak ada yang menjamin dari segi keamanannya dan reliabilitasnya. Ketika menggunakan kekuatan untuk rute jaringan internet, perusahaan menggunakan IPSec VPNs untuk autentikasi dan enkripsi untuk melindungi dari sniffer.
Penyadapan lalu lintas suara di internet sangat mungkin tetapi sangat sulit. Penangkapan dapat dilakukan di dalam VoIP dengan cara memasang radio shack, maka attacker dengan mudah akan menyadap VoIP call dan menerjernahkan kode. Seorang administrator jaringan harus mempunyai sumber daya untuk proteksi terhadap VoIP di jaringan LAN. Jika para karyawan perusahaan telah menggunakan softphone, komputer PC mengaktifkan voice capabilities, seorang admin dapat menginstal VPN client untuk keamanan dengan menggunakan tunel enkripsi end-to-end, tetapi jika tidak dilakukan pun bisa menggunakan handset.
2. Firewall dan packetized voice
Firewall dengan VoIP mempunyai relasi yang tidak selalu seirama, Pada layanan real-time (real-time service), VoIP berupaya menekan supaya tidak ada delay, tetapi keadaan firewall harus memproses dahulu paket VolP yang dibebankan, maka akan terjadi aliran lalu lintas. H.323 dan SIP mempercayakan kepada TCP untuk signalling dan call setup, sedangkan UDP untuk media paket. Dengan H.323 dan SIP, firewall rnengerti kapan port akan dibuka atau ditutup untuk lalu lintas VoIP,port akan dibuka selama ada panggilan/call.
Bagaimanapun juga, VoIP akan menggunakan Real Time Protocol (RTP) untuk menyampaikan media paket. Kelebihannya di sini adalah RTP dapat menggunakan berbagai port sembarang mulai dari 1024 sampai 65.5534. Masalah akan muncul jika terjadi pertambahan volume panggilan (call volume). Lacour berpendapat bahwa lalu lintas suara dapat memengaruhi kinerja proses pemuatan di firewall. Di sini lalu lintas suara dapat mengetahui paket suara dari H.323 dan pesan dari SIP (SIP Messaging). Jika jumlah panggilan bertambah banyak, firewall akan bekerja keras (delaying packet) dan kualitas suara akan mengalami degradasi sekitar 50-100 millisecond.
Ukuran paket yang dikirimkan juga memengaruhi kinerja firewall. Ketika peralatan jaringan cukup mudah dalam menangani paket yang besar, maka untuk menangani paket yang berukuran lebih kecil akan membuat kolaps (jatuh). Biasanya aliran suara berukuran antara 50 bytes sarnpai 200 bytes. Firewall bisa mendukung (support interface) 100 Mbit/sec, akan tetapi CPU akan mengalami max outway sebelum 50 byte paket. Jika kita merasa ternyata firewall tidak cukup bagus dalam menjalankan tugasnya, salah satu solusinya adalah menggunakan IPSec VPN tunnel.
Kesimpulan fungsi firewall pada jaringan Vo1P adalah sebagai berikut.
VoIP memiliki ribuan port yang dapat.diakses untuk berbagai keperluan, sehingga firewall computer bertugas menutup port-port tersebut kecuali beberapa port yang perlu tetap terbuka.
Firewall di VoIP bertindak sebagai garis pertahanan pertama dalam mencegah semua jenis hacking.
Menjaga informasi rahasia dan berharga agar tidak keluar tanpa diketahui oleh pengguna.
Untuk memodifikasi paket data yang datang melalui firewall.
3. VoIP lockdown
Server sangat rentan terhadap attack (serangan), misalnya pada peralatan Cisco berbasis Windows mudah terkena NIMDAworm. Sistem operasi juga rentan terhadap serangan. Banyak virus yang dibuat untuk meriyerang platform Microsoft daripada varian UNIX. Pada pendekatan standar menggunakan locking down VoIP system antara lain seperti removing unnecesarry service untuk mereduksi attack vector, virus update, dan isolasi terhadap VoIP server. Selain itu ada lagi dengan cara scan ulang infrastruktur untuk mencari kelemahannya, kemudian menata ulang arsitekturnya.
Jika seorang attacker dapat memasang program trojan horse di komputer PC tersebut, maka voice network (jaringan suara) dapat terserang juga. Untuk rnencegah serangan jaringan data, sebaiknya pisahkan jarinqan suara dan jaringan data menggunakan VLAN. Dengan segmentasi yang tangguh, serangan terhadap jaringan data tidak akan memengaruhi lalu lintas suara dan kualitas suara. Langkah yang terakhir adalah mengamankan gateway Anda dari serangan virus.
A. Pengendalian Jaringan
Ketika akan melakukan pengendalian jaringan menggunakan firewall, ada dua hal yang harus diperhatikan, yaitu koneksi firewall yang digunakan (dalam hal ini yang digunakan adalah koneksi TCP), dan konsep firewall yang diterapkan, yaitu IPTables. Dengan dua hal ini diharapkan firewall dapat mengenali apakah koneksi yang ada berupa koneksi baru (new), koneksi yang telah ada (established), koneksi yang memiliki relasi dengan koneksi lainnya (related), atau koneksi yang tidak valid (invalid).
Keempat macam koneksl itulah yang membuat IPTables disebut statefull protocol.
1. Koneksi TCP
Sebuah koneksi TCP dikenal sebagai koneksi yang bersifat connection oriented. Pada permulaan koneksi, sebuah client akan mengirimkan sinyal SYN ke server tujuannya, selanjutnya proses pada firewall menganggap input ini sebagai paket baru yang akan dikirimkan ke server. Server akan mengolah masukan tersebut, dan akan meneruskan ke tujuannya apabila paket tersebut diperbolehkan untuk lewat atau diterima, selanjutnya menjad] paket ACK bagi client.
Namun apabila perlakuan bagi paket tersebut adalah menolak atau membuangnya, maka paket tidak akan diperlakukan seperti yang diminta oleh aturan pada firewall. Setelah sinyal tersebut diterirna, pada setiap koneksi yang terjadi client juga akan mengirimkan sinyal ACK kepada server.
Pengenalan koneksi oleh firewall seperti new, established, dan related dikenal dengan nama connection tracking. Koneksi TCP juga dikenal sebagai koneksi yang reliable dan menggunakan mekanisme byte stream service. Konsep reliable pada koneksi TCP berarti TCP akan mendeteksi error pada paket yang dikirim dan bila itu terjadi, paket akan dikirim kembali. Konsep byte stream service berarti paketpaket dikirim ke tujuan secara urut. Setelah koneksi TCP selesai dilakukan, client atau server akan mengirimkan sinyal FIN/ACK kepada mesin tujuannya. Sinyal ini masih dianggap sebagai koneksl yang sudah terjadi (established). Setetah mesln tujuannya menerima sinyal FIN/ACK, mesin tersebut akan membalas dengan sinyal ACK kepada mesin itu kembali dan koneksi akan terputus.
2. Koneksi UDP
UDP (User Datagram Protocol) adalah salah satu protokol lapisan transport pada model referensi TCP/IP yang mendukung komunikasi yang tidak andal (unreliable), dan tanpa koneksi (connectionless) antara host-host dalam jaringan yang menggunakan TCP/IP. Protokol ini didefinisikan dalam RFC 768.
UDP merpiliki karakteristik-karakteristik sebagai berikut.
a. Connectionless (tanpa koneksi)
Pesan-pesan UDP akan dikirimkan tanpa harus dilakukan proses negosiasi koneksi antara dua host yang hendak bertukar informasi.
b. Unreliable (tidak andal)
Pesan-pesan UDP akan dikirimkan sebagai datagram tanpa adanya nomor urut atau pesan acknowledgment. Protokol lapisan aplikasi yang berjalan di atas UDP harus melakukan pemulihan terhadap pesan-pesan yang hilang selama transmisi. Umumnya, protocol lapisan aplikasi yang berjalan di atas UDP mengimplementasikan layanan keandalan mereka masing-masing, atau mengirim pesan secara periodik atau dengan menggunakan waktu yang telah didefinisikan.
UDP menyediakan mekanisme untuk mengirim pesan-pesan ke sebuah protokol lapisan aplikasi atau proses tertentu di dalam sebuah host dalam jaringan yang menggunakan TCP/IP. Header UDP berisi field identifikasi proses sumber dan identifikasi proses tujuan.
UDP menyediakan penghitungan checksum·berukuran 16-bit terhadap keseluruhan pesan UDP.
Selain keempat karakteritik UDP tersebut; UDP juga diketahui tidak menyediakan layanan-Iayanan antar-host berikut.
UDP tidak menyediakan mekanisme penyanggaan (buffering) dari data yang masuk ataupun data yang keluar. Tugas buffering merupakan tugas yang harus diimplernentasikan oleh protokol lapisan aplikasi yang berjalan di atas UDP. ·
UDP tidak menyediakan mekanisme segmentasi data yang besar ke dalam segrnen-segmen data, seperti yang terjadi dalam protokol TCP. Karena itulah, protokol laplsan aplikasi yang berjalan di atas UDP harus mengirimkan data yang berukuran kecil (tidak lebih besar dari nilai Maximum Transfer Unit/MTU) yang dimiliki oleh sebuah interface di mana data tersebut dikirim. Karena, jika ukuran paket data yang dikirim lebih besar dibandingkan nilai MTU, paket data yang dikirimkan bisa saja terpecah menjadi beberapa fragmen yang akhirnya tidak jadi terkirim dengan benar.
UDP tidak menyediakan mekanisme flow-control, seperti yang dimiliki oleh TCP.
Sebuah mesin yang mengirimkan paket UDP tidak akan mendeteksi kesalahan terhadap pengiriman paket tersebut. Paket UDP tidak akan mengirimkan kembali paket-paket yang mengalami error. Model pengiriman paket ini akan lebih efisien pada koneksi broadcasting atau multicasting.
Seperti halnya TCP, UDP juga memiliki saluran untuk mengirimkan informasi antar-host, yang disebut dengan UDP port. Untuk menggunakan protokol UDP, sebuah aplikasi harus menyediakan alamat IP dan nomor UDP port dari host yang dituju. Sebuah UDP port berfungsi sebagai sebuah multiplexed message queue, yang berarti bahwa UDP port tersebut dapat menerima beberapa pesan secara sekaligus. Setiap port diidentifikasi dengan nomor yang unik, seperti halnya TCP, tetapi meskipun begitu, UDP port berbeda dengan TCP port meskipun memiliki nomor port yang sama.
Untuk membangun sebuah firewall, yang harus kita ketahui pertama-tama adalah bagaimana sebuah paket di proses oleh firewall, apakah paket-paket yang masuk akan dibuang (drop) atau diterima (accept), atau paket tersebut akan diteruskan (forward) ke jaringan yang lain. Salah satu tool yang banyak digunakan untuk keperluan proses pada firewall adalah IPTables. Program IPTables adalah program administratif untuk filter paket dan NAT (Network Address Translation). Untuk menjalankan fungsinya, IPTables dilengkapi.dengan tabel mangle, NAT, dan filter.
Proses yang terjadi pada paket yang melewati suatu firewall sebaqai berikut. Ketika paket dari suatu jaringan masuk pada firewall rnelalui kartu jaringan, pertama kali paket akan diperiksa oleh aturan rantai prerouting sebagai aksi yang dilakukan sebelum routing paket data dilakukan pada table mangle. Selanjutnya paket diperiksa oleh aturan rantai prerouting pada tabel NAT, apakah paket akan memerlukan tujuan yang terdapat pada aturan tujuan yang di NAT-kan (DNAT) atau tidak. Setelah itu paket mengalarni routing. Di bagian ini paket tersebut akan ditentukan berdasarkan tujuan dari paket tersebut. Jika tujuan paket adalah jaringan lain, maka paket akan difilterkan oleh aturan rantai forward pada tabel filter. Jika perlu, paket akan diperiksa oleh aturan rantai postrouting pada table NAT, apakah paket berasat dari sumber yang mempunyai aturan NAT, yang dalam istilah firewall dikenal dengan istilah SNAT (source NAT).
Jika tujuan paket adalah firewall, maka paket akan difilter oleh aturan rantai input pada tabel filter. Selanjutnya paket akan mengalarni proses lokal, paket tersebut akan diteruskan ke tabel input untuk di proses firewall. Bila paket tersebut bertujuan untuk ke komputer lain yang berbeda jaringan, paket tersebut akan diteruskan ke kolom forward. Proses lokal yang terjadi pada firewall dapat berupa pengiriman paket kembali. Paket ini akan diperiksa oleh aturan rantai output pada tabel mangle. Selanjutnya paket diperiksa oleh aturan rantai output pada tabel NAT, apakah memerlukan DNAT atau tidak. Sebelum routing, paket akan difilter oleh aturan rantai output pada tabel filter. Setelah paket tersebut memasuki kolomnya (input atau forward) maka paket tersebut akan dicocokkan dengan aturan-aturan yang ada pada kolom tersebut.
Paket dlperiksa kecocokannya dengan aturan-aturan yang ada. Beberapa aturan yang ada pada urutan firewall akan dibaca oleh sistem secara berurut dari nomor teratas berdasarkan prioritas. Sebagai contoh, ada paket dengan tujuan alamat IP komputer kita. Paket tersebut akan masuk ke tabel input, kemudian paket tersebut akan dicocokkan denqan aturan yang pertama. Jika aturan tersebut tidak cocok dengan paket yang datang, maka paket tersebut akan dicocokkan dengan aturan kedua. Bila paket tidak cocok maka paket akan diteruskan ke aturan paket ketiga. Jika sistem telah mencocokkan dengan aturan yang terakhir (aturan nomor n) tetapi tetap tidak ada kecocokan juga, maka kebijakan pada tabel yang akan berlaku, yaitu apakah paket tersebut akan diterima (accept) atau paket tersebut akan dibuang (drop).
Salah satu kelebihan IPTables adalah untuk membuat komputer kita menjadi sebuah gateway menuju internet. Untuk keperluan tersebut, kita akan membutuhkan tabel lain pada IPTables selain ketiga tabel di atas. Tabet tersebut adalah tabel NAT (Network Address Translation).
SNAT digunakan untuk mengubah alamat IP pengirim (source IP Address). Biasanya SNAT berguna untuk menjadikan komputer sebagai gateway menuju ke internet. Misalnya komputer kita menggunakan alamat IP 192.168.0.1. IP tersebut adalah IP lokal. SNAT akan mengubah IP lokal tersebut menjadi IP publik, misalnya 202.51.226.35. Begitu juga sebaliknya, bila komputer lokal kita bisa diakses dari internet maka DNAT yang akan digunakan.
Mangle pada IPTables banyak digunakan untuk menandai (marking) paket-paket untuk digunakan diproses-proses selanjutnya. Mangle paling banyak digunakan untuk bandwidth limiting atau pengaturan bandwidth. Fitur lain dari mangle adalah kemampuan untuk mengubah nilai Time to Live (TTL) pada paket dan TOS (Type of Service).
A. Mendesain Sistem Keamanan Jaringan
Untuk membangun sebuah firewall, langkah-langkahnya sebagai berikut.
Menentukan topologi jaringan yang akan digunakan. Topoloqi dan kofigurasi jaringan akan menentukan bagaimana firewall akan dibangun.
Menentukan kebijakan atau policy. Kebijakan yang perlu diatur di sini adalah penentuan aturan-aturan yang akan diberlakukan.
Menentukan aplikasi-aplikasi atau servis-servis apa saja yang akan berjalan. Aplikasi dan servis yang akan berjalan harus kita ketahui agar kita dapat menentukan aturan-aturan yang lebih spesifik pada firewall kita.
Menentukan pengguna-pengguna mana saja yang akan dikenakan oleh satu atau lebih aturan firewall.
Menerapkan kebijakan, aturan, dan prosedur dalam implementasi firewall.
Sosialisasi kebijakan, aturan, dan prosedur yang sudah diterapkan.
Batasi sosialisasi hanya kepada personel teknis yang dlperlukan saja. Dengan melakukan sosialisasi kepada pengguna-pengguna yang dikenai aturan-aturan firewall kita, diharapkan tidak terjadi kesalahpahaman terhadap peraturan-peraturan yang diberlakukan.
Kadang-kadang firewall berhubungan dengan jaringan internet menggunakan modem, dalam hal ini antarmuka eth0 dapat diganti dengan ppp0. Kemampuan pertama yang harus dimiliki firewall adalah melakukan forward. IP Address dari antarmuka ethO menuju antarmuka eth1 dan sebaliknya dari antarmuka eth1 menuju antarmuka eth0.
EmoticonEmoticon