Kumpulan Artikel Jaringan

"Computer Associates" untuk Kelola Jaringan Komputer

2007-04-26T12:52:00.000+07:00

"Computer Associates" untuk Kelola Jaringan Komputer

PENGALAMAN satu distributor telepon seluler (ponsel) raksasa (menurut ukuran regional) yang kerepotan karena jaringan informasi online-nya terserang virus yang tidak segera dikenali dan kebal membuat para manajer teknologi informasi (TI) berpikir keras. Selama ini memang ada antivirus gratis yang bisa digunakan siapa saja, dan distributor itu menganggap antivirus itu cukup memadai.

Ternyata, si antivirus gratis itu kalah sakti dan keok begitu ada virus jahat dari Israel datang menyerang. Semua file hilang atau kemudian cuma berbentuk gunung meletus dan tidak bisa dibaca sama sekali. Bisa dihitung, jika distributor itu punya lebih dari 100 outlet dan tiap outlet punya omzet Rp 10 juta sehari, berapa besar kerugiannya. Pada masa virus merajalela, jaringannya tak bisa berbuat apa-apa dan itu berarti bisnis tidak jalan, satu miliar rupiah per hari lewat begitu saja.

Program antivirus memang tidak bisa dianggap enteng, apalagi makin lama serangan virus makin intens. Utamanya bagi perusahaan besar dengan jaringan komputer yang luas, kelancaran operasi tak bisa lagi mengandalkan program antivirus "kacangan". Harus punya pendukung yang memadai, belum lagi jika jenis-jenis virus merupakan virus baru yang belum dikenali dan belum ada penangkalnya.

Dewasa ini sudah banyak perusahaan besar yang memiliki jaringan teknologi informasi yang luas mempercayakan pengelolaan dan pengawasan jaringannya kepada Computer Associates (CA). Misalnya, Sichuan Mobile, Cina; atau France Telecom, Perancis; dan Satelindo, Indonesia, yang mempunyai tujuh operating system (OS) dan piranti keras untuk jaringan TI-nya.

"Kalau satu-satu diawasi satu petugas TI dengan pendidikan khusus di bidangnya, berapa besar tenaga yang harus disiapkan. Belum lagi jika ada masalah di daerah, di point of present (POP) sehingga harus mengirim petugas," ujar Dede Rusnandar, Senior Vice President IT PT Satelindo belum lama ini.

Satelindo pertama kali mengimplementasikan solusi CA pada tahun 1997 untuk kontrak selama 10 tahun. Solusi CA digunakan untuk mengelola tujuh platform di komputer di seluruh kantor operator seluler dari gerbang internasional dan operasi satelit Palapa C itu. CA juga digunakan untuk mengantisipasi isu Y2K (year 2000) dan meningkatkan efisiensi.

Dengan perangkat yang namanya Unicenter NSM (network system management), Satelindo dapat melakukan kontrol dan monitor terhadap seluruh server NT yang tersebar di seluruh kantor cabang dari satu tempat di kantor pusat Jakarta. Jika terdeteksi ada satu masalah di server NT tertentu, masalah tersebut langsung dianalisa dan dicarikan pemecahannya tanpa harus mengirim staf TI untuk mendatangi masing-masing kantor sehingga menghemat biaya dan tenaga.

Solusi Unicenter NSM dari CA juga memudahkan pengelolaan, pengiriman, pemasangan dan dapat meng-upgrade piranti lunak hanya dari satu tempat saja. Solusi ini juga mempercepat penemuan dan penyelesaian masalah pada perangkat TI yang dihadapi sebelum masalah tersebut mempengaruhi pelayanan kepada pelanggan lewat 200 outlet dan POP Satelindo.

Seperti dicontohkan soal virus tadi, kantor CA bertanggung jawab penuh menemukan antivirus dan menggunakannya untuk memusnahkan virus tersebut hanya dengan kontrol dari kantor pusat. Dengan CA, kata Dede Rusnandar, begitu komputer dibuka maka antivirusnya langsung bekerja dan jika ada indikasi virus masuk tetapi tidak bisa dibuka dan hanya bisa diketahui, langsung CA membuat antivirusnya.

Kata Dede, mereka memutuskan mengadopsi CA karena pengalaman tahun 1997 ketika website Satelindo diganti hackers dari Swedia dengan gambar gunung meletus. Tahun-tahun itu Indonesia memang jadi sasaran hackers dan tidak cuma Satelindo tetapi juga lembaga pemerintahan.

Waktu itu Satelindo sudah menggunakan produk lain, tetapi tetap saja kena serangan virus yang menyebabkan semua alur keluar masuk informasi lewat komputer ditutup. Lewat internet dicarikan solusinya dan berhasil didapat dari Singapura dengan membayar 1.000 dollar AS yang ketika diurut-urut, baik virus maupun penangkalnya semuanya datang dari Israel.

Dengan pengelolaan aset CA, kata Dede, staf di teknologi informasi bisa melakukan kontrol, mana komputer personal yang sudah di-upgrade, mana yang harus diganti, tanpa harus mendatangi satu-satu. Demikian pula untuk menanggulangi virus, sudah disiapkan aplikasi yang cocok untuk itu.

Selain itu, Satelindo juga tidak mau main-main dalam mengamankan kinerja dan efisiensi dalam menjalankan bisnisnya. Mereka menggunakan solusi yang tepat untuk mengelola "penggudangan" sumber-sumber (storage resources). Solusi ini juga digunakan untuk mengukur berapa besar sumbangan layanan TI bagi bisnis perusahaan itu, mereka menerapkan SLMO (service level management) dari Unicenter dan Brightstor enterprise backup.

Investasi di bidang telekomunikasi yang jelas berbasis kuat di teknologi informasi tidak bisa dilakukan setengah-setengah oleh operator siapa pun. Meskipun merupakan keharusan, operator harus memilih teknologi yang jauh lebih efisien dan bisa diaplikasikan dalam kegiatan sehari-hari, bukan dicari yang paling murah.

STRATEGI MERANCANG SEKURITI JARINGAN KOMPUTER

2007-04-26T12:36:00.000+07:00

STRATEGI MERANCANG SEKURITI JARINGAN KOMPUTER

Pendahuluan
Dalam dunia Internet yang telah berkembang sedemikian pesatnya, jumlah para hacker, cracker, dan sebagainya juga semakin meningkat. Kita tidak bisa terus-menerus terlena akan keadaan dan kondisi dimana kita dalam keadaan aman. Apakah kita akan menunggu hingga jaringan kita dirusak oleh mereka? Tentu tidak! Setelah sebuah jaringan komputer kita berfungsi dan terhubung ke jaringan Internet, saat itulah kita harus mulai bersiaga dan memikirkan strategi beserta cara-cara untuk meningkatkan sekuriti jaringan komputer yang kita miliki. Dengan tingkat sekuriti jaringan komputer yang tinggi, user pun akan merasa aman saat bekerja di jaringan komputer yang kita miliki. Suatu nilai tambah tersendiri bukan?
Strategi dalam sekuriti jaringan komputer bertujuan untuk memaksimalkan sumber daya yang ada untuk mengamankan sistem jaringan komputer pada titik-titik yang tepat sehingga lebih efisien. Bila tanpa strategi yang tepat, hasil implementasi strategi tersebut tidak akan menghasilkan tingkat sekuriti yang tinggi disamping terbuangnya sumber daya yang ada akibat tidak tepatnya penempatan dalam jaringan komputer. Dengan strategi tepat, sumber daya yang minimum dapat memberikan hasil yang cukup memuaskan.

Hak Akses
Hak akses adalah hak yang diberikan kepada user untuk mengakses sistem. Mungkin hak akses adalah hal yang paling mendasar dalam bidang sekuriti. Dalam strategi sekuriti, setiap objek dalam sistem (user, administrator, software, sistem itu sendiri, dlsb) harus diberikan hak akses yang berguna untuk menunjang fungsi kerja dari objek tersebut. Dengan kata lain, objek hanya memperoleh hak akses minimum. Dengan demikian, aksi objek terhadap sistem dapat dibatasi sehingga objek tidak akan melakukan hal-hal yang membahayakan sekuriti jaringan komputer. Hak akses minimum akan membuat para penyusup dari Internet tidak dapat berbuat banyak saat berhasil menembus sebuah user account pada sistem jaringan komputer. Selain itu, hak akses minimum juga mengurangi bahaya “musuh dalam selimut” yang mengancam sistem dari dalam. Itulah beberapa keuntungan yang dapat diperoleh dari strategi ini.
Kerugian yang ada pada strategi hak akses ini adalah keterbatasan akses yang dimiliki user sehingga dapat menimbulkan ketidaknyamanan pada saat user sedang menjalankan tugasnya. Penyelesaian masalah ini bergantung kepada dua hal yaitu segi perangkat dan segi administrator jaringan dan keduanya saling terikat. Seorang administrator jaringan harus pandai-pandai menyiasati rancangan hak akses yang akan diberikan kepada user agar kebutuhan user dapat terpenuhi tanpa harus mengorbankan tingkat sekuriti. Bila perangkat yang dijalankan memiliki keluwesan dalam hal setting, hal ini akan memudahkan tugas administrator. Bila tidak, administrator harus memutar otak untuk menyiasatinya. Bila usaha tersebut telah maksimal dan hasilnya tetap tidak seperti yang diharapkan, ada dua pilihan yang bisa dilakukan yaitu mengganti perangkat atau memberikan pengertian kepada user akan keterbatasan yang ada (biasanya pilihan kedua sulit dilaksanakan). Mengapa kebutuhan user menjadi begitu penting? Kebutuhan user yang tidak terpenuhi akan dapat menimbulkan efek-efek yang kadangkala sulit diprediksi. Ia mungkin dapat berubah dari user biasa menjadi “musuh dalam selimut”.

Lapisan Sekuriti
Lapisan sekuriti adalah seberapa banyak mekanisme sekuriti yang akan digunakan dan tingkatannya. Hal ini juga menjadi pemikiran di bidang sekuriti secara umum. Kita tidak bisa mempertaruhkan seluruh sekuriti jaringan komputer pada satu mekanisme sekuriti saja. Bila satu mekanisme itu gagal melindungi sistem, habislah semua. Oleh karena itu, mekanisme sekuriti harus dibuat lebih dari satu mekanisme. Selain itu, mekanisme-mekanisme tersebut dipasang secara bertingkat/berlapis. Mekanisme sekuriti dapat berupa network security, host/server security, dan human security. Di antara mekanisme tersebut, dapat pula dikombinasikan sesuai dengan keperluan.
Dalam jaringan komputer, network security dapat dibangun dengan beberapa lapisan. Sebagai contoh, kita bisa membangun firewall dengan dua sub-mekanisme yaitu packet filtering dan proxy system. Mekanisme packet filtering pun dapat dipilah-pilah lagi menjadi beberapa bagian, seperti filtering berdasarkan layanan dan protokol. Setelah lapisan pertama di atas, kita dapat pula membangun lapisan mekanisme selanjutnya. Contohnya, kita bisa menerapkan mekanisme autentifikasi pada setiap paket yang diterima.
Saat kita memberikan layanan baik ke dalam maupun ke luar jaringan, host/server yang memberikan layanan menjadi titik penting dalam sekuriti jaringan komputer. Pada host security, komponen pada host/server tersebut terutama perangkat lunak perlu dikonfigurasi dengan hati-hati. Layanan Internet seperti SMTP, NFS, Web Service, FTP, dlsb. hanya boleh memberikan layanan sesuai dengan yang direncanakan. Segi-segi (features) yang tidak utama tidak usah ditampilkan. Sebelum kita tahu pasti tingkat keamanan dari sebuah segi dalam software, sebaiknya tidak kita gunakan. Jika kita terpaksa menggunakan segi tersebut, kita dapat melakukan monitoring yang intensif terhadap segi tersebut.
Human security menyangkut user dan administrator jaringan itu sendiri. Kita dapat memberikan pengarahan tentang sekuriti kepada user dan menanamkan sikap hati-hati ke dalam diri setiap user. Ada baiknya pula bila user-user juga ikut berpartisipasi dalam menjaga dan meningkatkan sekuriti jaringan komputer karena mereka juga bagian dari sistem itu sendiri. Dengan begitu, akan tumbuh rasa memiliki di dalam diri setiap user. Para administrator pun seharusnya lebih berhati-hati dalam bertugas sebab di tangan mereka sekuriti jaringan komputer diletakkan.

Satu Jalur Masuk
Strategi satu jalur masuk adalah cara membuat hanya satu jalan masuk menuju jaringan komputer yang kita miliki. Dengan demikian, hanya satu jalan yang perlu kita awasi dengan penuh dan ketat. Strategi ini mirip dengan membuat benteng. Benteng yang dibangun biasanya hanya akan memiliki sebuah pintu masuk dimana ditempatkan pengawasan yang paling ketat.
Inti dari strategi ini adalah pengawasan terpusat. Kita bisa mencurahkan sebagian besar daya pengawasan ke titik tersebut sehingga penyusup akan kesulitan menembus jalur tersebut. Tentunya strategi ini akan gagal apabila kita memiliki jalur masuk lain. Jika kita ingin menerapkan strategi ini sepenuhnya, usahakan tidak ada jalur masuk lain selain yang akan kita awasi ketat.
Kelemahan strategi ini adalah bila jalur masuk tersebut berhasil ditembus oleh para penyusup, ia akan langsung mengobrak-abrik jaringan komputer kita. Resiko ini dapat dikurangi dengan membuat pertahanan jalur menjadi berlapis-lapis sehingga memaksa para penyusup untuk menghentikan aksinya.
Enkripsi Data dan Digital Signature
Salah satu strategi yang paling sering digunakan dalam sekuriti jaringan adalah enkripsi data dan digital signature. Digital signature menggunakan prinsip seperti tanda tangan manusia pada lembar dokumen dan dilakukan secara digital. Ia menyatakan keabsahan si pengirim data bahwa data yang dikirimkan benar-benar berasal dari si pengirim. Pada saat ini, enkripsi data dapat dilakukan di perangkat lunak maupun di perangkat keras. Berbagai jenis metoda enkripsi data pada tingkat aplikasi telah dikembangkan seperti RSA, MD-5, IDEA, SAFER, Skipjack, Blowfish, dlsb. Dengan strategi ini, transfer data dari dan ke jaringan komputer berlangsung secara konfidensial.

Stub Sub-Network
Stub sub-network adalah sub-jaringan komputer yang hanya memiliki satu jalur keluar masuk sub-jaringan tersebut. Strategi ini digunakan untuk mengisolasi sub-jaringan komputer yang benar-benar memerlukan perlindungan maksimal. Jalur keluar-masuk sub-jaringan tersebut diawasi dengan (bila perlu) lebih ketat daripada strategi satu jalur masuk. Contohnya, data-data rahasia perusahaan yang tersimpan dalam sebuah komputer perlu diakses secara langsung oleh beberapa bagian tertentu. Solusinya tentu saja jaringan komputer. Tetapi salah satu bagian tersebut memerlukan hubungan ke jaringan komputer perusahaan yang telah terhubung ke Internet tanpa harus pindah komputer. Nah, di sinilah strategi stub sub-network diperlukan. Jaringan pengakses data rahasia dirancang hanya memiliki satu jalur masuk melalui komputer yang memiliki akses Internet tersebut. Pengawasan lalu lintas data yang melalui komputer tersebut harus dipantau dengan baik dan dapat pula diberlakukan sistem packet filtering pada komputer tersebut.
Menghemat IP Address/Network Address Translation (NAT)
Misi awal Internet adalah sebagai jaringan komunikasi non-profit. Pada awalnya, Internet didesain tanpa memperhatikan dunia bisnis. Kemudian hal ini menjadi masalah sekarang dan di masa depan. Dengan semakin banyaknya penghuni Internet, baik pencari informasi maupun penyedia informasi, maka kebutuhan akan pengalamatan di Internet makin membengkak. Kebutuhan besar akan IP address biasanya terjadi di jaringan komputer perusahaan dan LAN-LAN di lembaga pendidikan.
IP address sebagai sarana pengalamatan di Internet semakin menjadi barang mewah dan ekslusif. Tidak sembarang orang sekarang ini bisa mendapatkan IP address yang valid dengan mudah. Oleh karena itulah dibutuhkan suatu mekanisme yang dapat menghemat IP address. Logika sederhana untuk penghematan IP address ialah dengan meng-share suatu nomor IP address valid ke beberapa client IP lainnya. Atau dengan kata lain beberapa komputer bisa mengakses Internet walau kita hanya memiliki satu IP address yang valid. Salah satu Mekanisme itu disediakan oleh Network Address Translation (NAT)

Beberapa Konsep Dasar
Sebelum kita membahas lebih lanjut ada baiknya kita urai kembali konsep-konsep dasar yang harus dipahami sebelum masuk ke NAT. Diantaranya adalah TCP/IP, Gateway/Router, dan Firewall.

TCP/IP
Protokol yang menjadi standar dan dipakai hampir oleh seluruh komunitas Internet adalah TCP/IP (Transmission Control Protocol/Internet Protocol). Agar komputer bisa berkomunikasi dengan komputer lainnya, maka menurut aturan TCP/IP, komputer tersebut harus memiliki suatu address yang unik. Alamat tersebut dinamakan IP address. IP Address memiliki format sbb: aaa.bbb.ccc.ddd. Contohnya: 167.205.19.33
Yang penting adalah bahwa untuk berkomunikasi di Internet, komputer harus memiliki IP address yang legal. Legal dalam hal ini artinya adalah bahwa alamat tersebut dikenali oleh semua router di dunia dan diketahui bahwa alamat tersebut tidak ada duplikatnya di tempat lain. IP address legal biasanya diperoleh dengan menghubungi InterNIC.
Suatu jaringan internal bisa saja menggunakan IP address sembarang. Namun untuk tersambung ke Internet, jaringan itu tetap harus menggunakan IP address legal. Jika masalah routing tidak dibereskan (tidak menggunakan IP address legal), maka saat sistem kita mengirim paket data ke sistem lain, sistem tujuan itu tidak akan bisa mengembalikan paket data tersebut, sehingga komunikasi tidak akan terjadi.
Dalam berkomunikasi di Internet/antar jaringan komputer dibutuhkan gateway/router sebagai jembatan yang menghubungkan simpul-simpul antar jaringan sehingga paket data bisa diantar sampai ke tujuan.

Gateway/Router
Gateway adalah komputer yang memiliki minimal 2 buah network interface untuk menghubungkan 2 buah jaringan atau lebih. Di Internet suatu alamat bisa ditempuh lewat gateway-gateway yang memberikan jalan/rute ke arah mana yang harus dilalui supaya paket data sampai ke tujuan. Kebanyakan gateway menjalankan routing daemon (program yang meng-update secara dinamis tabel routing). Karena itu gateway juga biasanya berfungsi sebagai router. Gateway/router bisa berbentuk Router box seperti yang di produksi Cisco, 3COM, dll atau bisa juga berupa komputer yang menjalankan Network Operating System plus routing daemon. Misalkan PC yang dipasang Unix Free BSD dan menjalankan program Routed atau Gated. Namun dalam pemakaian Natd, routing daemon tidak perlu dijalankan, jadi cukup dipasang gateway saja.
Karena gateway/router mengatur lalu lintas paket data antar jaringan, maka di dalamnya bisa dipasangi mekanisme pembatasan atau pengamanan (filtering) paket-paket data. Mekanisme ini disebut Firewall.

Firewall
Sebenarnya Firewall adalah suatu program yang dijalankan di gateway/router yang bertugas memeriksa setiap paket data yang lewat kemudian membandingkannya dengan rule yang diterapkan dan akhirnya memutuskan apakah paket data tersebut boleh diteruskan atau ditolak. Tujuan dasarnya adalah sebagai security yang melindungi jaringan internal dari ancaman dari luar. Namun dalam tulisan ini Firewall digunakan sebagai basis untuk menjalankan Network Address Translation (NAT).
Dalam FreeBSD, program yang dijalankan sebagai Firewall adalah ipfw. Sebelum dapat menjalankan ipfw, kernel GENERIC harus dimodifikasi supaya mendukung fungsi firewall. Ipfw mengatur lalu lintas paket data berdasarkan IP asal, IP tujuan, nomor port, dan jenis protocol. Untuk menjalankan NAT, option IPDIVERT harus diaktifkan dalam kernel.

DIVERT (mekanisme diversi paket kernel)
Socket divert sebenarnya sama saja dengan socket IP biasa, kecuali bahwa socket divert bisa di bind ke port divert khusus lewat bind system call. IP address dalam bind tidak diperhatikan, hanya nomor port-nya yang diperhatikan. Sebuah socket divert yang dibind ke port divert akan menerima semua paket yang didiversikan pada port tersebut oleh mekanisme di kernel yang dijalankan oleh implementasi filtering dan program ipfw. Mekanisme ini yang dimanfaatkan nantinya oleh Network Address Translator.
Itulah beberapa bahasan awal yang akan mengantar kita ke pembahasan inti selanjutnya.

Network Address Translation (NAT)
Dalam FreeBSD, mekanisme Network Address Translation (NAT) dijalankan oleh program Natd yang bekerja sebagai daemon. Network Address Translation Daemon (Natd) menyediakan solusi untuk permasalahan penghematan ini dengan cara menyembunyikan IP address jaringan internal, dengan membuat paket yang di-generate di dalam terlihat seolah-olah dihasilkan dari mesin yang memiliki IP address legal. Natd memberikan konektivitas ke dunia luar tanpa harus menggunakan IP address legal dalam jaringan internal.
Natd menyediakan fasilitas Network Address Translation untuk digunakan dengan socket divert. Natd mengubah semua paket yang ditujukan ke host lain sedemikian sehingga source IP addressnya berasal dari mesin Natd. Untuk setiap paket yang diubah berdasarkan aturan ini, dibuat tabel translasi untuk mencatat transaksi ini.
Dengan NAT, aturan bahwa untuk berkomunikasi harus menggunakan IP address legal, dilanggar.NAT bekerja dengan jalan mengkonversikan IP-IP address ke satu atau lebih IP address lain. IP address yang dikonversi adalah IP address yang diberikan untuk tiap mesin dalam jaringan internal (bisa sembarang IP). IP address yang menjadi hasil konversi terletak di luar jaringan internal tersebut dan merupakan IP address legal yang valid/routable.

Mekanisme NAT
Sebuah paket TCP terdiri dari header dan data. Header memiliki sejumlah field di dalamnya, salah satu field yang penting di sini adalah MAC (Media Access Control) address asal dan tujuan, IP address asal dan tujuan, dan nomor port asal dan tujuan.
Saat mesin A menghubungi mesin B, header paket berisi IP A sebagai IP address asal dan IP B sebagai IP address tujuan. Header ini juga berisi nomor port asal (biasanya dipilih oleh mesin pengirim dari sekumpulan nomor port) dan nomor port tujuan yang spesifik, misalnya port 80 (untuk web).
Kemudian B menerima paket pada port 80 dan memilih nomor port balasan untuk digunakan sebagai nomor port asal menggantikan port 80 tadi. Mesin B lalu membalik IP address asal & tujuan dan nomor port asal & tujuan dalam header paket. Sehingga keadaan sekarang IP B adalah IP address asal dan IP A adalah IP address tujuan. Kemudian B mengirim paket itu kembali ke A. Selama session terbuka, paket data hilir mudik menggunakan nomor port yang dipilih.
Router (yang biasa – tanpa Natd) memodifikasi field MAC address asal & tujuan dalam header ketika me-route paket yang melewatinya. IP address, nomor port, dan nomor sequence asal & tujuan tidak disentuh sama sekali.
NAT juga bekerja atas dasar ini. Dimulai dengan membuat tabel translasi internal untuk semua IP address jaringan internal yang mengirim paket melewatinya. Lalu men-set tabel nomor port yang akan digunakan oleh IP address yang valid. Ketika paket dari jaringan internal dikirim ke Natd untuk disampaikan keluar, Natd melakukan hal-hal sebagai berikut:
1. Mencatat IP address dan port asal dalam tabel translasi
2. Menggantikan nomor IP asal paket dengan nomor IP dirinya yang valid
3. Menetapkan nomor port khusus untuk paket yang dikirim keluar, memasukkannya dalam tabel translasi dan menggantikan nomor port asal tersebut dengan nomor port khusus ini.
Ketika paket balasan datang kembali, Natd mengecek nomor port tujuannya. Jika ini cocok dengan nomor port yang khusus telah ditetapkan sebelumnya, maka dia akan melihat tabel translasi dan mencari mesin mana di jaringan internal yang sesuai. Setelah ditemukan, ia akan menulis kembali nomor port dan IP address tujuan dengan IP address dan nomor port asal yang asli yang digunakan dulu untuk memulai koneksi. Lalu mengirim paket ini ke mesin di jaringan internal yang dituju. Natd memelihara isi tabel translasi selama koneksi masih terbuka.
Perbedaan dengan sistem Proxy
Hampir mirip dengan NAT, suatu jaringan kecil dengan proxy bisa menempatkan beberapa mesin untuk mengakses web dibelakang sebuah mesin yang memiliki IP address valid. Ini juga merupakan langkah penghematan biaya dibanding harus menyewa beberapa account dari ISP dan memasang modem & sambungan telepon pada tiap mesin.
Namun demikian, proxy server ini tidak sesuai untuk jaringan yang lebih besar. Bagaimanapun, menambah hard disk dan RAM pada server proxy supaya proxy berjalan efisien tidak selalu dapat dilakukan (karena constraint biaya). Lagi pula, persentase web page yang bisa dilayani oleh cache proxy akan makin menurun sejalan dengan semakin menipisnya ruang kosong di hard disk, sehingga penggunaan cache proxy menjadi tidak lebih baik dari pada sambungan langsung. Tambahan lagi, tiap koneksi bersamaan akan meng-generate proses tambahan dalam proxy. Tiap proses ini harus menggunakan disk I/O channel yang sama, dan saat disk I/O channel jenuh, maka terjadilah bottle neck.

NAT menawarkan solusi yang lebih fleksibel dan scalable. NAT menghilangkan keharusan mengkonfigurasi proxy/sock dalam tiap client. NAT lebih cepat dan mampu menangani trafik network untuk beribu-ribu user secara simultan.
Selain itu, translasi alamat yang diterapkan dalam NAT, membuat para cracker di Internet tidak mungkin menyerang langsung sistem-sistem di dalam jaringan internal. Intruder harus menyerang dan memperoleh akses ke mesin NAT dulu sebelum menyiapkan serangan ke mesin-mesin di jaringan internal. Penting di ketahui bahwa, sementara dengan NAT jaringan internal terproteksi, namun untuk masalah security, tetap saja diperlukan paket filtering dan metoda pengamanan lainnya dalam mesin NAT.
Contoh Kasus Installasi Natd
Sebuah perusahaan kecil memiliki sejumlah komputer dan sambungan ke Internet. Komputer-komputer itu saat ini telah membentuk suatu LAN. Sambungan Internet-nya diasumskan berupa dedicated T1 link

Langkah-langkah yang harus dilakukan :

1. Installasi FreeBSD
Sediakan satu komputer untuk dijadikan Gateway. Penulis menggunaan FreeBSD RELEASE 2.2.6 (Natd hanya jalan di FreeBSD 2.2.1 ke atas), karena selain gratis juga requirement hardware-nya tidak terlalu boros. PC 486 dengan 16 MB memory dan HD 850 MB juga sudah cukup mewah.
Untuk mengetahui proses installasi FreeBSD, silahkan baca kembali tulisan-tulisan di Infokomputer sebelumnya dan manual FreeBSD sendiri.

2. Installasi Gateway
Pasang 2 network interface agar mesin ini menjadi gateway. Network Card (misal NE2000 atau 3COM) satu dihubungkan ke jaringan internal dan satu lagi untuk koneksi ke ISP. Misalnya dua-duanya NE2000 Compatible. maka nick untuk card yang menghadap ke dalam adalah ed0 dan untuk card yang menghadap keluar adalah ed1.
Pastikan juga option gateway = “YES” tertulis dengan benar dalam file rc.conf. Atau bisa juga dengan mengetik perintah: sysctl -w net.inet.ip.forwarding=1

3. Installasi Firewall
Pasang IP firewall di mesin FreeBSD ini. Caranya adalah :
a. Edit kernel source di /usr/src/sys/i386/conf
Tambahkan option-option berikut ini pada file kernel.
options IPFIREWALL
options IPFIREWALL_VERBOSE
options “IPFIREWALL_VERBOSE_LIMIT=100”
options IPDIVERT
b. Compile kernel tersebut
c. Aktifkan firewall di rc.conf dengan menambahkan
firewall=”YES”
firewall_type=”OPEN”

4. Installasi Natd
Langkah-langkahnya adalah sbb:
a. Download source nya di ftp://ftp.suutari.iki.fi/pub/natd
b. Unzip dan untar archive tersebut dengan perintah
gzip -dc natd_1.12.tar.gz | tar -xvf -

c. Lakukan make dan make install di direktori yang dihasilkan. Ketikkan perintah berikut:
cd natd_1.12
make
make install

d. Edit startup file supaya Natd berjalan secara otomatis
Buat file natd.sh di /usr/local/etc/rc.d. Isi file tersebut adalah
#!/bin/sh
/sbin/ipfw -f flush
/sbin/ipfw add divert 13494 ip from any to any via ed0
/sbin/ipfw add pass all from 127.0.0.1 to 127.0.0.1
/sbin/ipfw add pass ip from any to any
/usr/local/sbin/natd -port 13494 -interface ed0

Arti dari file ini adalah:
- Hapuskan semua rule firewall
- Tambahkan feature divert di port 13494 (Anda bisa mengganti ini dengan port yang Anda inginkan) untuk mendiversi paket dari dan ke gateway lewat interface ed0
- Bolehkan semua paket lewat di atas local host
- Bolehkan semua paket IP lewat semua interface
- Jalankan Natd dengan menjadi daemon yang menunggu di port 13494 via interface ed0.

e. Reboot mesin FreeBSD-nya supaya setting bisa diaktifkan.

5. Konfigurasikan TCP/IP Client.
Jadikan nomor IP card ed0 di FreeBSD sebagai gateway dari tiap workstation, IP tiap-tiap work station harus berada dalam network yang sama dengan card ed0 yang ada di mesin gateway. Misal ed0 di-beri nomor IP 192.168.1.1 dan ed1 167.205.19.5, maka workstation diberi nomor IP 192.168.1.2 s/d 192.168.1.14 jika digunakan mask 16 atau 255.255.255.240. ed1 adalah interface yang memiliki IP address valid
Setelah semuanya langkah-langkah di atas dijalankan dengan baik maka, applikasi Internet di client siap dijalankan via NAT.
Untuk kasus lain misalnya sambungan ke Internet-nya menggunakan modem, maka mekanismenya sama saja, tinggal diganti interface di gateway yang menghadap keluar dengan interface modem (tun0) dan jalankan program ppp untuk men-dial ISP-nya. Khusus untuk dial-out, ppp sebenarnya memiliki mekanisme sendiri untuk kasus ini yaitu dengan option -alias. Jadi jika kita menjalankan ppp dengan option -alias maka kita tidak perlu menjalankan Natd, karena option ini menyediakan fasilitas yang sama dengan Natd khusus untuk dial-out.
Natd hanyalah salah satu cara untuk menghemat persediaan IP address yang semakin menipis. Dengan adanya fakta bahwa untuk bergabung ke Internet, host pencari informasi (Client) sebenarnya tidak perlu memiliki IP address legal, maka IP address legal tersebut bisa dicadangkan untuk host-host penyedia informasi (Server). Penelitian untuk terus memperbaiki performansi Internet ini masih terus dikembangkan. Sekarang ini juga sedang dikembangkan model IP versi baru yaitu IP versi 6 (IPv6), yang bisa menampung lebih banyak lagi komputer-komputer di Internet. Namun demikian untuk kondisi sekarang, Natd masih merupakan solusi ampuh sebelum IPv6 diterapkan.

Cari Titik Lemah
Sebagaimana bidang sekuriti umumnya, jaringan komputer tidak terlepas dari titik-titik lemah. Titik ini akan lebih banyak tumbuh apabila jaringan komputer yang ada dikoordinir oleh lebih dari satu orang. Jaringan komputer yang besar umumnya berkembang dari jaringan-jaringan komputer yang lebih kecil yang kemudian menggabungkan diri. Selain itu, kadangkala seorang administrator akan mengalami kesulitan bila mengelola sebuah jaringan komputer skala besar seorang diri. Untuk itu, diperlukan koordinasi yang baik antar tiap administrator agar setiap jaringan yang mereka kelola terjamin sekuritinya.

Dua Sikap Umum
“Dua Sikap Umum” tersebut adalah sikap menolak secara umum (prohibitive) dan sikap menerima secara umum (permissive). Sikap menolak secara umum mendefinisikan dengan rinci layanan/paket yang diperbolehkan dan menolak lainnya. Strategi ini cukup aman tetapi kadangkala menimbulkan ketidaknyamanan pada user. Untuk itu, administrator yang berniat menjalankan strategi ini perlu mengetahui dengan rinci kebutuhan user dan seberapa jauh pengaruhnya terhadap sekuriti jaringan pada umumnya. Sikap menerima secara umum mendefinisikan dengan rinci layanan/paket yang ditolak dan menerima lainnya. Strategi ini tidak terlalu dianjurkan oleh para ahli karena dengan strategi ini kita mengambil resiko terbukanya berbagai jalan untuk merongrong sekuriti sistem.

Keanekaragaman
Perangkat lunak dan keras yang ada saat ini memiliki bermacam konfigurasi dan keunggulan. Kita bisa memanfaatkan keanekaragaman perangkat-perangkat ini dalam membangun jaringan komputer kita sesuai dengan kebutuhan. Dengan adanya keanekaragaman perangkat ini, bila terjadi penyusupan terhadap sebuah komputer, ia membutuhkan usaha yang lain untuk menembus komputer yang berbeda. Sebelum kita menggunakan perangkat terutama perangkat lunak, ada baiknya bila kita juga mengetahui sejauh mana tingkat sekuriti yang disediakan oleh perangkat tersebut. Dengan begitu, kita akan memiliki data yang lengkap untuk menentukan kombinasi rancangan sekuriti jaringan komputer kita.
Itulah beberapa strategi dasar yang biasa digunakan dalam sekuriti jaringan komputer. Dari strategi-strategi di atas, para administrator dapat mengkombinasikan strategi-strategi tersebut sehingga memenuhi kriteria yang ditetapkan. Kebijaksanaan tentang sekuriti yang berlaku pada sistem juga bisa ditetapkan dari strategi-strategi yang telah dipilih.
Dalam pengkajian dan penerapannya, sebaiknya kita tidak percaya sepenuhnya terhadap strategi dan mekanisme yang kita buat. Intinya, kita harus selalu melakukan evaluasi terhadap sekuriti sistem yang kita buat atau kelola. Seiring dengan berkembangnya teknik-teknik penyusupan dan belum ditemukannya kelemahan-kelemahan dalam sekuriti sistem yang telah ada, kita harus selalu dalam keadaan siap dan waspada menghadapi aksi-aksi di luar dugaan.
Pada akhirnya, salah satu tujuan utama yang perlu diingat dari strategi-strategi di atas adalah membuat para penyusup (hacker, cracker, phreaker, dlsb) “berpikir seribu kali” sebelum menjalankan aksi mereka terhadap sistem jaringan komputer kita. Apabila mereka tetap nekat mencoba, kita hadapkan mereka kepada rintangan dan hambatan yang memerlukan daya upaya yang sangat besar untuk menembus sistem kita sampai mereka menghentikan aksinya.

Amankah Jaringan Komputer dan Internet Anda?

2007-04-26T12:35:00.000+07:00

Amankah Jaringan Komputer dan Internet Anda?
(Sebuah Kisah yang Tanpa Akhir)

Dalam beberapa tahun belakangan, perkembangan dan penggunaan teknologi Internet pesat sekali. Semakin banyak saja kalangan bisnis, organisasi, perkantoran, pendidikan, militer, hingga individu menggunakan jasa teknologi informasi ini yang lebih sering dikenal dengan "the Information Superhighway".

Sejalan dengan laju pertumbuhan penggunaan Internet yang sangat cepat, maka semakin banyak pula aplikasi-aplikasi yang dibutuhkan oleh pengguna, seperti pada aplikasi di dunia perdagangan bebas secara elektronik (electronic commerce). Namun, hal ini bukannya tanpa gangguan kejahatan sehingga aspek pengamanan jaringan komputer (computer network security) menjadi sangat populer dan penting serta merupakan suatu keharusan atau kebutuhan mutlak di masa depan.

Demikian pula dalam perang Irak-AS, tampak penggunaan Internet yang sangat luas, mulai dari laporan peliputan TV, radio, komunikasi antarprajurit, antarsatuan tempur, hingga cyber warfare di segala bidang. Inilah cyberwar pertama di dunia di mana disinformasi merupakan salah satu peruntuh moril prajurit Irak.

Berdasarkan hasil riset dan survei serta berbagai laporan tentang kejahatan komputer yang terjadi dewasa ini, diketahui bahwa saat ini tidak ada satu pun jaringan komputer yang dapat diasumsikan 100 persen persen aman dari serangan virus komputer, spam, e-mail bomb, atau diterobos langsung oleh para hackers. Seorang hacker berpengalaman dengan mudah melakukan hacking atau memasuki jaringan komputer yang menjadi targetnya. Tidak terhambat kenyataan jaringan tersebut sudah mempunyai sistem pengaman.

Ditambah lagi banyak sekali web site dalam Internet yang menawarkan informasi tentang bagaimana menembus jaringan komputer (penetrated) dan mengelabui sistem pengamanannya (security compromised). Informasi "jahanam" tersebut tersedia dalam bentuk kumpulan program, dokumentasi atau utiliti. Makin tergantungnya masyarakat modern Indonesia kepada Internet mengusik penulis untuk mencoba memberikan gambaran secara umum mengenai aspek pengamanan jaringan komputer serta menumbuhkan security awareness bagi pemakai Internet.

Sudah banyak seminar, simposium, serta diskusi-diskusi dengan topik utama mengenai pengamanan jaringan komputer. Banyak sekali pertanyaan yang sering bermunculan seperti: Apakah jaringan komputer itu cukup aman? Apakah aman bila berbelanja lewat Internet tanpa khawatir seseorang mencuri informasi tentang kartu kredit kita? Apakah mungkin seseorang mengetahui password orang lain dan menggunakannya tanpa ketahuan?

Dapatkah seseorang mencuri atau memanipulasi file-file orang lain? Dapatkah kita mempunyai sebuah jalur komunikasi yang aman di Internet? Apa yang perlu dipelajari tentang firewall systems, enkripsi, dekripsi, otentifikasi? dan sebagainya. Untuk menjawab semua pertanyaan tersebut sangatlah tergantung dari tingkatan permasalahannya sendiri, yang sangat tergantung kepada setiap kasus yang terjadi.

Mengapa pengamanan jaringan komputer diperlukan? Uraian berikut ini mungkin bisa menjawab pertanyaan tersebut secara sederhana dan masuk akal. Sebab, pada dasarnya kita semua menginginkan privasi, keamanan, dan perasaan aman dalam hidup, termasuk dalam penggunaan jaringan Internet.<>

Kita mengharapkan hasil pekerjaan kita aman dan jauh kemungkinan dicuri, di-copy, atau dihapus. Kita juga menginginkan keamanan pada waktu saling kirim e-mail (electronic mail) tanpa khawatir ada pihak tidak bertanggung jawab (malicious users) yang dapat membaca, mengubah atau menghapus isi berita e-mail tersebut. Dan terakhir, kita juga menginginkan keamanan saat melakukan transaksi pembelian lewat Internet tanpa rasa takut seseorang dapat mencuri informasi dalam kartu kredit kita sehingga merugikan di kemudian hari.

Pengamanan jaringan komputer dahulu dan sekarang. Pada periode tahun 70-an, jaringan komputer biasanya hanya terdapat di perusahaan-perusahaan besar. Jaringan komputer tersebut saling menghubungkan setiap departemen dan setiap cabang ke sebuah pusat pengendalian (central control point). Pada masa itu pengertian network security juga sudah ada, namun fokus utamanya hanya untuk kebutuhan para user di dalam network itu sendiri (intranet) guna meminimalkan tingkat risiko pengamanan (security risk).

Pengetahuan serta informasi tentang bagaimana membobol sebuah jaringan komputer hanya diketahui oleh segelintir orang berprofesi khusus, seperti network consultant, network administrator, dan sebagainya.

Sampai kemudian sebuah teknologi fenomenal bernama Internet muncul di tahun 1974, diprakarsai Bob Taylor, Direktur sebuah Badan Riset Komputer Departemen Pertahanan Amerika (Department of Defence/DoD), dalam sebuah proyek yang dinamakan Advance Research Project Agency (ARPA).

Pada awalnya, proyek tersebut disiapkan untuk membangun jaringan komunikasi data antarpangkalan-pangkalan militer, beberapa universitas, dan perusahaan yang tergabung dalam kontrak kerja dengan DoD. Saat ini, tiga dasawarsa kemudian, jutaan pengguna di seluruh dunia sudah memanfaatkan teknologi tersebut.

Namun, selain membawa dampak yang sangat positif, Internet juga mempunyai dampak negatif, seperti pengetahuan tentang membobol atau meng- crack satu jaringan komputer sudah menjadi cukup maju.

Materinya dapat diambil di Internet lalu dipelajari bahkan langsung dipraktikkan, kebanyakan oleh para remaja dalam rangka "mencoba" ilmu yang telah didapatnya. Contohnya, hanya dengan mengetikkan kata "hacking" pada sebagian besar mesin pencari (search engine) seperti Yahoo, Google, Alta Vista, Web Crawler, dan sebagainya, setiap orang dapat dengan mudah mendapatkan informasi dan pengetahuan tentang hacking activities.

Juga topik atau masalah yang dahulu diklasifikasikan rahasia atau sangat rahasia (top secret) seperti cara merakit bom atau bahan peledak, atau merakit senjata api dan sebagainya sekarang bisa didapatkan di Internet hanya dengan meng-click mouse di layar komputer.

Terbukti dalam berbagai kasus terorisme seperti kasus pengeboman Legian, selalu ada pihak-pihak yang memanfaatkan hal tersebut demi kepentingan atau tujuan negatifnya. Saat ini banyak terdapat site- site tersembunyi (hidden site atau underground site) yang tidak terdaftar pada search engine mana pun yang menawarkan beragam informasi dan utiliti program tentang network security yang dapat di-downloaded secara gratis, kegunaannya untuk merusak atau mengacaukan sebuah sistem jaringan komputer.

Namun, seperti layaknya pertempuran abadi antara kejahatan dan kebaikan, maka di sisi lain pengetahuan untuk mengamankan sebuah jaringan komputer juga berkembang dengan pesat. Banyak situs Internet yang juga menyediakan informasi dan utiliti program untuk mengamankan jaringan komputer, salah satu contohnya adalah Firewall.

Hal ini membuktikan bahwa saat ini "Internet & Computer Network Securities" menjadi pusat perhatian bagi para pengguna Internet baik ditinjau dari sisi kejahatan maupun sisi kebaikannya.

Pengamanan lewat cara pengaburan (security through obscurity). Sistem pengamanan dengan cara pengaburan atau membuat ketidakjelasan (obscurity) menggunakan prinsip bahwa suatu jaringan komputer hanya dapat diamankan sepanjang tidak ada pihak dari luar yang diperbolehkan mengetahui segala sesuatu tentang mekanisme internal dari jaringan tersebut. Sebuah filosofi yang sangat digemari oleh banyak komunitas, seperti di militer, pemerintahan, dan industri.<>

Dengan menyembunyikan informasi tentang sistem jaringan tersebut diasumsikan atau dianggap bahwa semuanya sudah aman, namun sebenarnya tidaklah demikian. Dewasa ini para pengguna komputer telah terdidik dengan baik dan tahu dengan baik pula cara menanggulangi suatu permasalahan komputer.

Dengan mempelajari bagaimana sebuah sistem dan jaringan komputer bekerja, ditambah lagi dengan adanya pertukaran informasi di antara sesama pengguna Internet, di samping adanya keterbukaan dan standardisasi desain sistem komputer semakin membuat cara pengamanan tersebut menjadi tidak efektif lagi.

Mengevaluasi aspek pengamanan jaringan komputer. Secara teknis sangat sulit untuk mengevaluasi sebuah jaringan komputer secara spesifik. Itu semua tergantung dari banyak hal, antara lain banyaknya jumlah user atau client dalam jaringan komputer dengan berbagai access points yang ada, kemudian model jaringannya serta jenis dan versi Operating Systems-nya ditambah dengan keahlian dan kemahiran serta pengetahuan dari system Administrator atau Network Administrator-nya sendiri.

Namun, secara mudah dan sederhana ada sebuah cara untuk mengevaluasi aspek keamanan jaringan komputer, yaitu dengan memanfaatkan seluruh program-program atau utiliti-utiliti mengenai hacking (hacking tools) yang terdapat di Internet. Kemudian dicobakan pada jaringan komputer tersebut sehingga akan dapat dilihat seberapa parah dampak negatif yang ditimbulkan.

Beberapa program atau utility tersebut antara lain IP Scanner, IP Sniffer, Network Analyzer, Email Bombs, Spamming, TCP Wrapper, Password Cracking, dan sebagainya. Dengan cara ini segera dapat dilihat kemampuan pengamanan dan keamanan jaringan komputer tersebut yang sering disebut dengan "Security Holes" atau "Back Doors". Kemudian segera bisa diambil langkah preventif untuk memproteksi jaringan komputer tersebut.

Tentang hacking dan cracking, secara umum yang dapat dikategorikan kegiatan hacking adalah setiap usaha atau kegiatan di luar izin atau sepengetahuan pemilik jaringan untuk memasuki sebuah jaringan serta mencoba mencuri file seperti file password dan sebagainya.

Atau usaha untuk memanipulasi data, mencuri file-file penting, atau mempermalukan orang lain dengan memalsukan user identity-nya. Pelakunya disebut hacker yang terdiri dari seorang atau sekumpulan orang yang secara berkelanjutan berusaha untuk menembus sistem pengaman kerja dari operating system suatu komputer.

Para hacker yang sudah berpengalaman dapat dengan segera mengetahui kelemahan sistem pengamanan (security holes) dalam sebuah sistem jaringan komputer. Selain itu kebiasaan hacker adalah terus mencari pengetahuan baru atau target baru dan mereka akan saling menginformasikan satu sama lainnya. Namun, pada dasarnya para hacker sejati bermaksud untuk merusak data di dalam jaringan tersebut. Mereka hanya mencoba kemampuan untuk menaklukkan suatu sistem keamanan komputer demi kepuasan tersendiri.

Sementara seorang atau sekumpulan orang yang memang secara sengaja berniat untuk merusak dan menghancurkan integritas di seluruh jaringan sistem komputer disebut cracker dan tindakannya dinamakan cracking. Pada umumnya para cracker setelah berhasil masuk ke dalam jaringan komputer akan langsung melakukan kegiatan perusakan dan penghancuran data-data penting hingga menyebabkan kekacauan bagi para user dalam menggunakan komputernya.

Kegiatan craker ini mudah dikenali dan dapat segera diketahui dari dampak hasil kegiatan yang mereka lakukan.

Beberapa metode atau cara kerja yang sering digunakan hacker dan cracker antara lain SPOOFING, yaitu sebuah bentuk kegiatan pemalsuan di mana seorang hacker memalsukan (to masquerade) identitas seorang user hingga dia berhasil secara ilegal logon atau login ke dalam satu jaringan komputer seolah-olah seperti user yang asli.

SCANNER adalah sebuah program yang secara otomatis akan mendeteksi kelemahan (security weaknesses) sebuah komputer di jaringan lokal (local host) ataupun komputer di jaringan dengan lokasi lain (remote host).

Oleh karena itu, dengan menggunakan program ini, seorang hacker yang secara fisik berada di Inggris dapat dengan mudah menemukan security weaknesses pada sebuah server di Amerika ataupun di belahan dunia lainnya, termasuk di Indonesia, tanpa harus meninggalkan ruangannya!

SNIFFER adalah kata lain dari "network analyser" yang berfungsi sebagai alat untuk memonitor jaringan komputer.

Alat ini dapat dioperasikan hampir pada seluruh tipe protokol seperti Ethernet, TCP/IP, IPX, dan lainnya. PASSWORD CRACKER adalah sebuah program yang dapat membuka enkripsi sebuah password atau sebaliknya malah untuk mematikan sistem pengamanan password. DESTRUCTIVE DEVICES adalah sekumpulan program virus yang dibuat khusus untuk melakukan penghancuran data-data, di antaranya Trojan Horse, Worms, Email Bombs, dan Nukes

Memproteksi jaringan komputer.

Ada beberapa langkah yang dapat digunakan untuk memproteksi atau meningkatkan kemampuan proteksi sistem jaringan komputer, antara lain dengan merumuskan dan membuat sebuah kebijakan tentang sistem pengamanan yang andal (higher security policy) dan menjelaskan kepada para pengguna tentang hak dan kewajiban mereka dalam menggunakan sistem jaringan.

Kemudian melakukan konsultasi dengan para ahli pengamanan sistem komputer untuk mendapatkan masukan yang profesional tentang bagaimana meningkatkan kemampuan sistem pengamanan jaringan yang dimiliki. Melakukan instalasi versi terbaru dari software atau utility yang dapat membantu memecahkan permasalahan pengamanan jaringan komputer.

Mempekerjakan seorang administrator jaringan yang telah berpengalaman untuk menangani jaringan tersebut. Menggunakan mekanisme sistem authentikasi terbaru dalam jaringan (advanced authentication mechanism). Selalu menggunakan teknik enkripsi dalam setiap melakukan transfer data atau komunikasi data. Dan tidak kalah pentingnya menginstalasi sebuah sistem Firewall pada jaringan komputer untuk melindungi Proxy Server.

Peralatan untuk memproteksi jaringan komputer. Network administator atau system administrator tentu memerlukan berbagai peralatan (tools) untuk membantu mengamankan jaringan komputernya. Beberapa tools bahkan memang dibuat spesial dalam rangka melakukan testing sistem jaringan untuk mengetahui kekuatan dan kelemahan dari sebuah sistem jaringan komputer.

Di antaranya, SATAN (Security Administrator’s Tool for Analysing Network) kemudian ada TCP WRAPPER untuk memonitor jaringan komputer lalu CRACK untuk melakukan testing password security. FIREWALL, adalah sebuah sistem proteksi untuk melaksanakan pengawasan lalu lintas paket data yang menuju atau meninggalkan sebuah jaringan komputer sehingga paket data yang telah diperiksa dapat diterima atau ditolak atau bahkan dimodifikasi terlebih dahulu sebelum memasuki atau meninggalkan jaringan tersebut.

Walaupun peralatan untuk melakukan hacking tersedia dalam jumlah yang banyak, tidak semua peralatan tersebut dapat dipergunakan secara efektif, bahkan beberapa peralatan tersebut sudah out of date saat ini sehingga bukan merupakan ancaman lagi. Namun begitu peralatan lainnya masih sangat ampuh sebagai senjata para hacker.

Dengan demikian, seorang network consultant juga dibutuhkan pendapat profesionalnya serta bantuannya untuk meningkatkan kemampuan total seluruh sistem jaringan komputer.

Tidak kalah penting adalah melaksanakan back up data secara reguler (harian, mingguan, atau bulanan) untuk mengantisipasi bila terjadi kerusakan atau kehilangan seluruh data penting yang disebabkan serangan hacker sehingga dengan mudah dan cepat dapat dilakukan recovery seluruh sistem jaringan komputer tersebut.

Kemudian para system administrator juga harus rajin menginformasikan kepada para pengguna (user) mengenai hak dan kewajibannya dalam menggunakan jaringan. Para user perlu diajari cara benar menggunakan jaringan komputer secara aman seperti bagaimana cara membuat password yang baik dan sebagainya.

Pada akhirnya "keamanan" adalah sesuatu yang tidak pernah ada atau tidak akan pernah ada dalam dunia jaringan Internet. Sebab, apa yang kita anggap aman (secure) pada saat sekarang akan terbukti menjadi tidak aman (insecure) pada masa yang akan datang. Jadi pada prinsipnya Internet security hanyalah sebuah kisah yang tidak akan pernah berakhir (It is just another never-ending story).

Internet Sumber Informasi Penting untuk Para Profesional

2007-04-26T12:30:00.000+07:00

Internet: Sumber Informasi Penting untuk Para Profesional

Sejalan dengan meningkatnya peranan informasi dalam bisnis maupun teknologi, akses terhadap sumber dan jaringan informasi menjadi semakin penting bagi para profesional. Internet adalah jaringan informasi komputer mancanegara yang berkembang sangat pesat dan pada saat ini dapat dikatakan sebagai jaringan informasi terbesar di dunia, sehingga sudah seharusnya para profesional mengenal manfaat apa yang dapat diperoleh melalui jaringan ini.

Latar Belakang Internet

Cikal bakal dari Internet adalah ARPANET, sebuah jaringan eksperimen milik pemerintah Amerika Serikat berbasis komunikasi data paket yang didirikan di tahun 1969. Tujuannya untuk menghubungkan para periset ke pusat-pusat komputer, sehingga mereka bisa bersama-sama memanfaatkan sarana kompuer seperti disk space, data base dan lain-lain. Kegiatan ini disponsori oleh Departemen Pertahanan Amerika Serikat, bersama lembaga yang dinamakan Advanced Research Projects Agency (ARPA) . Diawal 1980-an, ARPANET terpecah menjadi dua jaringan, yaitu ARPANET dan Milnet (sebuah jaringan militer), akan tetapi keduanya mempunyai hubungan sehingga komunikasi antaar jaringan tetap dapat dilakukan. Pada mulanya jaringan interkoneksi ini disebut DARPA Internet, tapi lama-kelamaan disebut sebagai Internet saja. Di tahun 1986 lahir National Science Foundation Network (NSFNET), yang menghubungkan para periset di seluruh negeri dengan 5 buah pusat super komputer. Jaringan ini kemudian berkembang untuk menghubungkan berbagai jaringan akademis lainnya yang terdiri atas universitas dan konsorsium-konsorsium riset. NSFNET mulai menggantikan ARPANET sebagai jaringan riset utama di Amerika. Pada bulan Maret 1990 ARPANET secara resmi dibubarkan. Pada saat NSFNET dibangun, berbagai jaringan internasional didirikan dan dihubungkan ke NSFNET. Australia, negara-negara Skandinavia, Inggris, Perancis, jerman, Kanada dan Jepang segera bergabung. Pada saat ini Internet terdiri atas lebih dari 15.000 jaringan yang mengelilingi dunia (70 negara di 7 benua). Sekitar 25 juta orang dapat saling mengirimkan pesan melalui Internet dan jaringan-jaringan lain terhubung dengannya. Pemakaiannya sudah bukan murni untuk riset saja, tetapi mencakup kegiatan sosial, komersial (melalui jaringan antar komersial bernama CIX), budaya dan lain-lain.

Fasilitas yang terdapat di Internet

Seluruh komputer yang terhubung dalam Internet saling berkomunikasi menggunakan protokol TCP/IP (Transmision Control Protocol/Internet Protocol), yang dikembangkan oleh DARPA. Tiga fasilitas/aplikasi utama dari TCP/IP adalah :

Electronic Mail/Email/Messaging

Electronic mail

Internet

Remote Login

TCP/IP.

File Transfer

Pelayanan yang terdapat dalam Internet didasarkan pada tiga fasilitas di atas. Berbagai komputer yang tergabung dalam Internet akan menyalurkan surat-surat elektronik yang dikirimkan oleh para pemakainya, beberapa memberikan program/aplikasi komputer untuk dipakai bersama (misalnya Archie : Program pencarian arsip/dokumen, Gopher : Sistem menu untuk memudahkan pencarian informasi di Internet, WAIS(wide Area Information Servers, game interaktif dan lain-lain), dan banyak yang menyediakan file untuk di transfer seperti informasi cuaca, harga komoditas pertanian, program-program komputer, abstrak dokumen, berita-berita mancanegara dan lain-lain. Untuk mengetahui topik-topik apa saja yang tersedia, beberapa perusahaan telah menerbitkan Internet Yellow Pages, yang berfungsi seperti Buku telepon.

Akses ke Internet

Untuk dapat mengakses informasi yang tersedia di Internet, seseorang harus memiliki komputer (IBM PC/Kompatibel, Macintosh, UNIX), modem (suatu alat yang mengubah sinyal digital sari komputer menjadi analog untuk ditransmisikan ke jaringan telepon) dan saluran telepon. Ia harus juga mendaftarkan diri ke salah satu Internet Access Provider. Pada saat ini di Indonesia baru terdapat satu provider yaitu PT IndoInternet (ph. 4702889/fax 4702965). Diharapkan di tahun-tahun mendatang jumlahnya dapat bertambah, mengingat jumlah penduduk Indonesia yang sangat besar sehingga potensi pasarnya cukup menarik.

Pada prinsipnya, seseorang yang akan mengakses informasi di Internet harus menghubungkan komputernya dengan jaringan Internet melalui modem dan telepon. Yang harus dilakukan ialah memerintahkan komputernya untuk menelpon suatu nomor tertentu (akan diberikan oleh Internet Access Provider). Apabila hubungan telah terjadi, komputernya akan menyatu dengan jaringan Internet , sehingga ia dapat mengirim surat elektronik, masuk ke komputer lain di Internet, atau mengambil informasi yang diperlukan dari jaringan Internet.

PT IndoInternet mengenakan biaya pendaftaran Rp 50.000,- dan biaya bulanan sebesar Rp 40.000,- untuk hubungan selama 15 jam/bulan. Seandainya hubungan ke Internet pada bulan tertentu melebihi 15 jam, untuk setiap jam kelebihannya dikenakan biaya Rp 2.000,-. Selain biaya pendaftaran dan bulanan, pelanggan harus juga memperhitungkan biaya telepon (cukup dengan pulsa lokal meskipun data yang di akses berada di luar negeri).

Manfaat Internet

Ada banyak manfaat yang dapat diperoleh apabila seseorang mempunyai akses ke Internet. Berikut ini hanyalah sebagian dari apa yang tersedia di Internet :

*Informasi untuk kehidupan pribadi :

Kesehatan, Rekreasi, Hobby, Pengembangan Pribadi, Rohani, Sosial. *Informasi untuk kehidupan profesional/Pekerja : Sains, Teknologi, Perdagangan, Saham. Komoditas, Berita Bisnis, Asosiasi Profesi, Asosiasi Bisnis, Berbagai Forum Komunikasi. Satu hal yang paling menarik ialah keanggotaan Internet tidak mengenal batas negara, ras, kelas ekonomi, ideologi atau faktor-faktor lain yang biasanya dapat menghambat pertukaran pikiran. Internet adalah suatu komunitas dunia yang sifatnya sangat demokratis serta memiliki kode etik yang dihormati segenap anggotanya. Manfaat Internet terutama diperoleh melalui kerjasama antar pribadi atau kelompok tanpa mengenal batas jarak dan waktu.

Untuk lebih meningkatkan kualitas sumber daya manusia di Indonesia, sudah waktunya para profesional Indonesia memanfaatkan jaringan Internet dan menjadi bagian dari masyarakat informasi duni

Cara Sederhana Membuat Homepage

2007-04-26T08:37:00.000+07:00

Cara Sederhana Sekali Untuk Membuat Homepage

Onno W. Purbo

Seringkali keberadaan kita di Internet di asosiasikan dengan kepemilikan homepage pribadi di Internet. Mungkin dalam beberapa kondisi memang kepemilikan homepage ada baiknya. Walaupun saya pribadi tidak memiliki homepage sendiri, yang ada hanya tempat menyimpan file-file di Internet yang berisi berbagai artikel yang saya tuliskan selama ini. Tempat tersebut kebetulan sumbangan rekan saya Michael Sunggiardi yang berlokasi di http://www.bogor.net/idkf/ sehingga semua orang bisa mengakses berbagai artikel saya yang lama bagi yang tidak sempat membacanya di media cetak.

Bagi yang berminat membuat homepage sendiri, sebetulnya jika anda sudah terbiasa menggunakan program seperti MSWord untuk mentik berbagai dokumen anda maka sebetulnya anda sudah lebih dari cukup untuk membuat homepage pribadi yang sederhana.

Web agar bisa di baca oleh Web server di Internet harus di tuliskan dalam format Hyper Text Markup Language (HTML). Untuk membuat Web sederhana kita membutuhkan sebuah editor yang mampu menghasilkan file dalam format HTML tersebut. Jadi kita cukup menggunakan fasilitas yang ada di editor tersebut untuk mentik, me-layout tulisan, memasukan gambar dll. Kemudian mengandalkan kemampuan editor tersebut untuk menyimpannya dalam format HTML.

MSWord yang lama (MSWord 7.0) yang biasanya dijalankan di Windows 95 sebetulnya sudah bisa menghasilkan file dalam format HTML, hanya saja biasanya tampilan di Web-nya masih kurang baik. Di samping itu, masih banyak fasilitas-fasilitas yang spesifik untuk Web yang belum ada di MSWord yang lama ini.

Bagi anda yang sudah menggunakan Office 2000 yang baru, maka anda cukup beruntung karena banyak sekali kelebihan MSWord 2000 ini dibandingkan kakak-nya yang lebih tua khususnya untuk aplikasi Internet & Web. Untuk Membuat Web yang baik kualitasnya anda cukup klik File à Save As à Save as type à Web page – secara magis maka MSWord akan menyimpan semua naskah yang anda tulis menjadi file HTML yang siap tayang di Web. Sesederhana itu.

Tentunya ada banyak hal yang bisa kita masukan dalam dokumen MSWord 2000, apakah itu suara (melalui Insert à Object à Wave Sound), gambar (melalui Insert à Picture à dst), hyperlink ke Universal Resource Locator URL (melalui Insert à Hyperlink). Hyperlink sendiri bisa bermacam-macam tipe-nya bisa link ke dokumen itu sendiri, dokumen / web lain, e-mail address dsb.

Kekurangan utama yang akan kita rasakan jika membuat halaman Web menggunakan program editor seperti MSWord adalah manajemen halaman tersebut jika kita membuat Web yang cukup besar banyak link, halaman, gambar, suara dsb. Untuk Web yang besar seperti itu ada baiknya menggunakan software yang lebih baik seperti MSFrontpage yang juga tersedia di Office 2000.

Setelah halaman Web dibuat, yang perlu kita lakukan hanyalah mempublikasi Web tersebut di Internet. Ada beberapa tempat di Internet yang bisa menyediakan Web gratis seperti geocities.com dll. Tempat-tempat ini pernah di bahas di Neotek. Teknik untuk mengirimkan halaman Web dari komputer kita ke server di Internet cukup bermacam-macam, beberapa servis Web bahkan menyediakan form yang tinggal di isi file mana di harddisk komputer kita yang ingin di ambil untuk dijadikan Web.

Jika servis tersebut tidak tersedia maka kita perlu menggunakan teknik yang lebih konvensional menggunakan program File Transfer Protocol (FTP) yang juga tersedia di Windows. FTP bisa dijalankan di MSDOS Prompt di Windows dengan cara men-tik FTP di prompt C:>. Selanjutnya anda bisa masuk ke Web server tujuan untuk memasukan file yang anda buat.

Membuat Web Sendiri

2007-04-26T08:14:00.000+07:00

Membuat Web Server sendiri?

Onno W. Purbo

Pada hari ini untuk membuat homepage, membuat file HTML tidak lah sulit. Cukup dengan menggunakan editor anda, seperti MSWord, mensave naskah yang anda edit dengan “Save As” dan memilih tipe dokumen “Web page” maka naskah yang kita ketik akan menjadi file-file HTML yang siap tayang di Web. Tinggal masalah tata letak & check link dari berbagai Univeral Resource Locator (URL) dari berbagai situs yang menjadi referensi di halaman Web yang kita gunakan. Dengan menggunakan editor Web yang profesional, seperti MS Frontpage, berbagai fasilitas check tersebut menjadi lebih mudah karena akan dilakukan secara automatis.

Biasanya pada MS Frontpage juga tersedia fasilitas personal Web server yang memungkinkan kita untuk men-test secara life halaman Web yang kita tulis dilihat dari browser Internet Explorer di desktop. Tentunya fasilitas yang di sediakan oleh sebuah personal Web server terbatas untuk di operasikan sebagai Web server yang betul-betul operasional untuk memberikan servis di Internet.

Untuk mengoperasikan Web server yang betulan yang di Internet, kebanyakan orang menggunakan software Apache. Apache merupakan software yang menggunakan lisensi GNU Public License (GPL) atau lebih dikenal sebagai software open source. Oleh karena itu Apache dapat diperoleh secara gratis di Internet, termasuk source code-nya tanpa kita perlu membajak software tersebut. Seperti umumnya software lain yang menggunakan lisensi GPL, umumnya beroperasi di sistem operasi yang mengunakan lisensi GPL juga seperti Linux atau FreeBSD. Jadi Apache ini juga beroperasi di Linux / FreeBSD. Oleh karena itu, praktis seluruh perangkat lunak yang digunakan gratis dan dapat diperoleh sampai source code-nya tanpa melanggar Hak Cipta sama sekali.

Secara praktis untuk membuat Web server menggunakan Apache di Linux, adalah membeli CD Linux yang banyak terdapat di toko-toko komputer yang di jual seharga Rp. 20.000-an tanpa membajak software sama sekali. Langkah selanjutnya tentunya menginstalasi Linux tersebut termasuk Web server-nya, setelah terinstall jika di perlukan maka kita perlu menset konfigurasi Linux yang kita gunakan (jika diperlukan saja).

Untuk menginstal Linux beserta Web server Apache tidak lah sukar sama sekali, sebagai contoh pada CD Linux RedHat kita cukup booting komputer dengan harddisk baru yang kosong yang akan kita jadikan Web server dengan dimasukan CD Linux RedHat pada CD-ROM drive-nya, kemudian kita akan booting dari CD-ROM. Instalasi RedHat akan dilakukan pada saat itu juga, ada beberapa pilihan instalasi, apakah kita akan menggunakan sebagai workstation, server atau custom installation. Web server Apache akan di instalasi secara automatis pada instalasi server atau custom installation. Tidak banyak yang perlu kita lakukan pada waktu instalasi, paling memasukan password untuk account root (administrator mesin), nama mesin (hostname), nomor IP address juga memberikan user lain yang ingin diberi account.

Setelah menunggu instalasi Linux dilakukan kira-kira butuh waktu 15-20 menit-an tergantung pilihan yang kita pilih, maka setelah selesai Linux sebetulnya sudah siap berfungsi sebagai Web server dengan hostname yang kita set di awal. Tentunya agar bisa dikenal di Internet kita perlu meregistrasi hostname & IP address tersebut di Internet melalui registrar yang ada. Untuk domain *.co.id, *.or.id, *.web.id registrasi dilakukan melalui IDNIC http://www.idnic.net.id.

Selanjutnya kita tinggal memasukan berkas-berkas HTML yang sudah kita edit di Web server Linux yang baru ini. Setting default direktori tempat menyimpan HTML tersebut berada di direktori

/home/httpd/html

File pertama (homepage) yang kita buat harus diberi nama index.html itu adalah standar yang digunakan di Web server. Setelah semua file HTML di simpan baik-baik dapat kita lihat file tersebut menggunakan browser di workstation pada alamat http://www.situs-anda-di-internet.com. Saya asumsikan nama domain yang anda pilih adalah situs-anda-di-internet.com.

Bagi user yang mempunyai login di mesin anda, mereka juga dapat membuat sendiri Web personal di mesin tersebut pada home direktori masing-masing user di direktori public_html. Misalnya user unyil di mesin anda, maka personal web server unyil di simpan di

/home/unyil/public_html

personal webpage milik unyil dapat di lihat pada alamat

http://www.situs-anda-di-internet.com/~unyil

tentunya semua ini akan menjadi lebih rumit jika anda menginginkan web server anda mempunyai beberapa domain name & juga harus melayani banyak sekali request (permintaan). File httpd.conf di directori /etc/httpd/conf menjadi penting untuk diperhatikan lebih lanjut.

Firewall

2007-04-23T11:58:00.000+07:00

Apa Itu Firewall

PENGERTIAN

Firewall merupakan suatu cara/sistem/mekanisme yang diterapkan baik terhadap hardware , software ataupun sistem itu sendiri dengan tujuan untuk melindungi, baik dengan menyaring, membatasi atau bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar yang bukan merupakan ruang lingkupnya. Segmen tersebut dapat merupakan sebuah workstation, server, router, atau local area network (LAN) anda.Firewall secara umum di peruntukkan untuk melayani :

1. Mesin/komputer
Setiap individu yang terhubung langsung ke jaringan luar atau internet dan menginginkan semua yang terdapat pada komputernya terlindungi.

2. Jaringan
Jaringan komputer yang terdiri lebih dari satu buah komputer dan berbagai jenis topologi jaringan yang digunakan, baik yang di miliki oleh perusahaan, organisasi dsb.

KARAKTERISTIK FIREWALL

1.Seluruh hubungan/kegiatan dari dalam ke luar , harus melewati firewall. Hal ini dapat dilakukan dengan cara memblok/membatasi baik secara fisik semua akses terhadap jaringan Lokal, kecuali melewati firewall. Banyak sekali bentuk jaringan yang memungkinkan.

2.Hanya Kegiatan yang terdaftar/dikenal yang dapat melewati/melakukan hubungan, hal ini dapat dilakukan dengan mengatur policy pada konfigurasi keamanan lokal. Banyak sekali jenis firewall yang dapat dipilih sekaligus berbagai jenis policy yang ditawarkan.

3.Firewall itu sendiri haruslah kebal atau relatif kuat terhadap serangan/kelemahan. hal ini berarti penggunaan sistem yang dapat dipercaya dan dengan Operating system yang relatif aman.
TEKNIK YANG DIGUNAKAN OLEH FIREWALL

1.Service control (kendali terhadap layanan)
berdasarkan tipe-tipe layanan yang digunakan di Internet dan boleh diakses baik untuk kedalam ataupun keluar firewall. Biasanya firewall akan mencek no IP Address dan juga nomor port yang di gunakan baik pada protokol TCP dan UDP, bahkan bisa dilengkapi software untuk proxy yang akan menerima dan menterjemahkan setiap permintaan akan suatu layanan sebelum mengijinkannya.Bahkan bisa jadi software pada server itu sendiri , seperti layanan untuk web ataupun untuk mail.

2.Direction Conrol (kendali terhadap arah)
berdasarkan arah dari berbagai permintaan (request) terhadap layanan yang
akan dikenali dan diijinkan melewati firewall.

3.User control (kendali terhadap pengguna)
berdasarkan pengguna/user untuk dapat menjalankan suatu layanan, artinya ada user yang dapat dan ada yang tidak dapat menjalankan suatu servis,hal ini di karenakan user tersebut tidak di ijinkan untuk melewati firewall. Biasanya digunakan untuk membatasi user dari jaringan lokal untuk mengakses keluar, tetapi bisa juga diterapkan untuk membatasi terhadap pengguna dari luar.

4.Behavior Control (kendali terhadap perlakuan)
berdasarkan seberapa banyak layanan itu telah digunakan. Misal, firewall dapat memfilter email untuk menanggulangi/mencegah spam.
TIPE - TIPE FIREWALL

1.Packet Filtering Router

Packet Filtering diaplikasikan dengan cara mengatur semua packet IP baik yang menuju, melewati atau akan dituju oleh packet tersebut.pada tipe ini packet tersebut akan diatur apakah akan di terima dan diteruskan , atau di tolak.penyaringan packet ini di konfigurasikan untuk menyaring packet yang akan di transfer secara dua arah (baik dari atau ke jaringan lokal). Aturan penyaringan didasarkan pada header IP dan transport header,termasuk juga alamat awal(IP) dan alamat tujuan (IP),protokol transport yang di
gunakan(UDP,TCP), serta nomor port yang digunakan.
Kelebihan dari tipe ini adalah mudah untuk di implementasikan, transparan untuk pemakai, lebih cepat
Adapun kelemahannya adalah cukup rumitnya untuk menyetting paket yang akan difilter secara tepat, serta lemah dalam hal authentikasi.

Adapun serangan yang dapat terjadi pada firewall dengan tipe ini adalah:

+ IP address spoofing : intruder (penyusup) dari luar dapat melakukan ini
dengan cara menyertakan/menggunakan ip address jaringan lokal yanbg telah
diijinkan untuk melalui firewall.

+ Source routing attacks : tipe ini tidak menganalisa informasi routing
sumber IP, sehingga memungkinkan untuk membypass firewall.

+ Tiny Fragment attacks : intruder (penyusup) membagi IP kedalam bagian-bagian (fragment) yang lebih kecil dan memaksa terbaginya informasi mengenai TCP header. Serangan jenis ini di design untuk menipu aturan penyaringan yang bergantung kepada informasi dari TCP header. Penyerang berharap hanya bagian (fragment) pertama saja yang akan di periksa dan sisanya akan bisa lewat dengan bebas. Hal ini dapat di tanggulangi dengan cara menolak semua packet dengan protokol TCP dan memiliki Offset = 1 pada IP fragment (bagian IP)
2.Application-Level Gateway

Application-level Gateway yang biasa juga di kenal sebagai proxy server yang berfungsi untuk memperkuat/menyalurkan arus aplikasi. Tipe ini akan mengatur semua hubungan yang menggunakan layer aplikasi ,baik itu FTP, HTTP, GOPHER dll.

Cara kerjanya adalah apabila ada pengguna yang menggunakan salah satu aplikasi semisal FTP untuk mengakses secara remote, maka gateway akan meminta user memasukkan alamat remote host yang akan di akses.Saat pengguna mengirimkan USer ID serta informasi lainnya yang sesuai maka gateway akan melakukan hubungan terhadap aplikasi tersebut yang terdapat pada remote host, dan menyalurkan data diantara kedua titik. apabila data tersebut tidak sesuai maka firewall tidak akan meneruskan data tersebut atau menolaknya. Lebih jauh lagi, pada tipe ini Firewall dapat di konfigurasikan untuk hanya mendukung beberapa aplikasi saja dan menolak aplikasi lainnya untuk melewati firewall.

Kelebihannya adalah relatif lebih aman daripada tipe packet filtering router lebih mudah untuk memeriksa (audit) dan mendata (log) semua aliran data yang masuk pada level aplikasi.

Kekurangannya adalah pemrosesan tambahan yang berlebih pada setiap hubungan. yang akan mengakibatkan terdapat dua buah sambungan koneksi antara pemakai dan gateway, dimana gateway akan memeriksa dan meneruskan semua arus dari dua arah.
3.Circuit-level Gateway

Tipe ketiga ini dapat merupakan sistem yang berdiri sendiri , atau juga dapat merupakan fungsi khusus yang terbentuk dari tipe application-level gateway.tipe ini tidak mengijinkan koneksi TCP end to end (langsung) cara kerjanya : Gateway akan mengatur kedua hubungan tcp tersebut, 1 antara dirinya (gw) dengan TCP pada pengguna lokal (inner host) serta 1 lagi antara dirinya (gw) dengan TCP pengguna luar (outside host). Saat dua buah hubungan terlaksana, gateway akan menyalurkan TCP segment dari satu hubungan ke lainnya tanpa memeriksa isinya. Fungsi pengamanannya terletak pada penentuan hubungan mana yang di ijinkan.

Penggunaan tipe ini biasanya dikarenakan administrator percaya dengan pengguna internal (internal users).

KONFIGURASI FIREWALL

1.Screened Host FIrewall system (single-homed bastion)

Pada konfigurasi ini, fungsi firewall akan dilakukan oleh packet filtering router dan bastion host*.Router ini dikonfigurasikan sedemikian sehingga untuk semua arus data dari Internet, hanya paket IP yang menuju bastion host yang di ijinkan. Sedangkan untuk arus data (traffic) dari jaringan internal, hanya paket IP dari bastion host yang di ijinkan untukkeluar.

Konfigurasi ini mendukung fleksibilitas dalam Akses internet secara langsung, sebagai contoh apabila terdapat web server pada jaringan ini maka dapat di konfigurasikan agar web server dapat diakses langsung dari internet. Bastion Host melakukan fungsi Authentikasi dan fungsi sebagai proxy. Konfigurasi ini memberikan tingkat keamanan yang lebih baik daripada packet-filtering router atau application-level gateway secara terpisah.

2.Screened Host Firewall system (Dual-homed bastion)Pada konfigurasi ini, secara fisik akan terdapat patahan/celah dalam jaringan. Kelebihannya adalah dengan adanya du ajalur yang meisahkan secara fisik maka akan lebih meningkatkan keamanan dibanding konfigurasi pertama,adapun untuk server-server yang memerlukan direct akses (akses langsung) maka dapat diletakkan ditempat/segmenrt yang langsung berhubungan dengan internet
Hal ini dapat dilakukan dengan cara menggunakan 2 buah NIC ( network interface Card)pada bastion Host.

3.Screened subnet firewall Ini merupakan konfigurasi yang paling tinggi tingkat keamanannya. kenapa? karena pada konfigurasi ini di gunakan 2 buah packet filtering router, 1 diantara internet dan bastion host, sedangkan 1 lagi diantara bastian host dan jaringan local konfigurasi ini membentuk subnet yang terisolasi.

adapun kelebihannya adalah :
terdapat 3 lapisan/tingkat pertahanan terhadap penyusup/intruder router luar hanya melayani hubungan antara internet dan bastion host sehingga jaringan lokal menjadi tak terlihat (invisible ) Jaringan lokal tidak dapat mengkonstuksi routing langsung ke internet, atau dengan kata lain , Internet menjadi Invinsible (bukan berarti tidak bisa melakukan koneksi internet).

LANGKAH-LANGKAH MEMBANGUN FIREWALL

1.Mengidenftifikasi bentuk jaringan yang dimiliki mengetahui bentuk jaringan yang dimiliki khususnya toplogi yang di gunakan serta protocol jaringan, akan memudahkan dalam mendesain sebuah firewall

2.Menentukan Policy atau kebijakan Penentuan Kebijakan atau Policy merupakan hal yang harus di lakukan, baik atau buruknya sebuah firewall yang di bangun sangat di tentukan oleh policy/kebijakan yang di terapkan. Diantaranya:

1. Menentukan apa saja yang perlu di layani. Artinya, apa saja yang akan dikenai policy atau kebijakan yang akan kita buat

2. Menentukan individu atau kelompok-kelompok yang akan dikenakan policy atau kebijakan tersebut

3. Menentukan layanan-layanan yang di butuhkan oleh tiap tiap individu atau kelompok yang menggunakan jaringan

4. Berdasarkan setiap layanan yang di gunakan oleh individu atau kelompok tersebut akan ditentukan bagaimana konfigurasi terbaik yang akan membuatnya semakin aman
5. Menerapkankan semua policy atau kebijakan tersebut

3.Menyiapkan Software atau Hardware yang akan digunakan Baik itu operating system yang mendukung atau software-software khusus pendukung firewall seperti ipchains, atau iptables pada linux, dsb. Serta konfigurasi hardware yang akan mendukung firewall tersebut.

4.Melakukan test konfigurasi Pengujian terhadap firewall yang telah selesai di bangun haruslah dilakukan, terutama untuk mengetahui hasil yang akan kita dapatkan, caranya dapat menggunakan tool tool yang biasa dilakukan untuk mengaudit seperti nmap.

* Bastion Host adalah sistem/bagian yang dianggap tempat terkuat dalam sistem keamanan jaringan oleh administrator.atau dapat di sebuta bagian terdepan yang dianggap paling kuat dalam menahan serangan, sehingga menjadi bagian terpenting dalam pengamanan jaringan, biasanya merupakan komponen firewall atau bagian terluar sistem publik. Umumnya Bastion host akan menggunakan Sistem operasi yang dapat menangani semua kebutuhan (misal , Unix, linux, NT).

Router

2007-04-23T11:31:00.000+07:00

Apa Itu Router

Mengapa perlu router

Sebelum kita pelajari lebih jauh mengenai bagaimana mengkonfigurasi router cisco, kita perlu memahami lebih baik lagi mengenai beberapa aturan dasar routing. Juga tentunya kita harus memahami sistem penomoran IP,subnetting,netmasking dan saudara-saudaranya.

Contoh kasus:

Host X à 128.1.1.1 (ip Kelas B network id 128.1.x.x)

Host Y à 128.1.1.7 (IP kelas B network id 128.1.x.x)

Host Z à 128.2.2.1 (IP kelas B network id 128.2.x.x)

Pada kasus di atas, host X dan host Y dapat berkomunikasi langsung tetapi baik host X maupun Y tidak dapat berkomunikasi dengan host Z, karena mereka memiliki network Id yang berbeda. Bagaimana supaya Z dapat berkomunikasi dengan X dan Y ? gunakan router !

Contoh kasus menggunakan subnetting

Host P à 128.1.208.1 subnet mask 255.255.240.0

Host Q à 128.1.208.2 subnet mask 255.255.240.0

Host R à 128.1.80.3 subnet mask 255.255.240.0

Nah, ketika subnetting dipergunakan, maka dua host yang terhubung ke segmen jaringan yang sama dapat berkomunikasi hanya jika baik network id maupun subnetid-nya sesuai.Pada kasus di atas, P dan Q dapat berkomunikasi dengan langsung, R memiliki network id yang sama dengan P dan Q tetapi memiliki subnetidyang berbeda. Dengan demikian R tidak dapat berkomunikasi secara langsung dengan P dan Q. Bagaimana supaya R dapat berkomunikasi dengan P dan Q ? gunakan router !

Jadi fungsi router, secara mudah dapat dikatakan, menghubungkan dua buah jaringan yang berbeda, tepatnya mengarahkan rute yang terbaik untuk mencapai network yang diharapkan

Dalam implementasinya, router sering dipakai untuk menghubungkan jaringan antar lembaga atau perusahaan yang masing-masing telah memiliki jaringan dengan network id yang berbeda. Contoh lainnya yang saat ini populer adalah ketika perusahaan anda akan terhubung ke internet. Maka router akan berfungsi mengalirkan paket data dari perusahaan anda ke lembaga lain melalui internet, sudah barang tentu nomor jaringan anda akan bereda dengan perushaaan yang anda tuju.

Jika sekedar menghubungkan 2 buah jaringan, sebenarnya anda juga dapat menggunakan pc berbasis windows NT atau linux. Dengan memberikan 2 buah network card dan sedikit setting, sebenarnya anda telah membuat router praktis. Namun tentunya dengan segala keterbatasannya.

Di pasaran sangat beragam merek router, antara lain baynetworks, 3com dan cisco. Modul kursus kita kali ini akan membahas khusus cisco. Mengapa ? karena cisco merupakan router yang banyak dipakai dan banyak dijadikan standar bagi produk lainnya.

Lebih jauh tentang routing

Data-data dari device yang terhubung ke Internet dikirim dalam bentuk datagram, yaitu paket data yang didefinisikan oleh IP. Datagram memiliki alamat tujuan paket data; Internet Protocol memeriksa alamat ini untuk menyampaikan datagram dari device asal ke device tujuan. Jika alamat tujuan datagram tersebut terletak satu jaringan dengan device asal, datagram langsung disampaikan kepada device tujuan tersebut. Jika ternyata alamat tujuan datagram tidak terdapat di jaringan yang sama, datagram disampaikan kepada router yang paling tepat (the best available router).

IP Router (biasa disebut router saja) adalah device yang melakukan fungsi meneruskan datagram IP pada lapisan jaringan. Router memiliki lebih dari satu antamuka jaringan (network interface) dan dapat meneruskan datagram dari satu antarmuka ke antarmuka yang lain. Untuk setiap datagram yang diterima, router memeriksa apakah datagram tersebut memang ditujukan ke dirinya. Jika ternyata ditujukan kepada router tersebut, datagram disampaikan ke lapisan transport.

Jika datagram tidak ditujukan kepada router tersebut, yang akan diperiksa adalah forwarding table yang dimilikinya untuk memutuskan ke mana seharusnya datagram tersebut ditujukan. Forwarding table adalah tabel yang terdiri dari pasangan alamat IP (alamat host atau alamat jaringan), alamat router berikut, dan antarmuka tempat keluar datagram.

Jika tidak menemukan sebuah baris pun dalam forwarding table yang sesuai dengan alamat tujuan, router akan memberikan pesan kepada pengirim bahwa alamat yang dimaksud tidak dapat dicapai. Kejadian ini dapat dianalogikan dengan pesan “kembali ke pengirim” pada pos biasa. Sebuah router juga dapat memberitahu bahwa dirinya bukan router terbaik ke suatu tujuan, dan menyarankan penggunaan router lain. Dengan ketiga fungsi yang terdapat pada router ini, host-host di Internet dapat saling terhubung.

Statik dan Dinamik

Secara umum mekanisme koordinasi routing dapat dibagi menjadi dua: routing statik dan routing dinamik. Pada routing statik, entri-entri dalam forwarding table router diisi dan dihapus secara manual, sedangkan pada routing dinamik perubahan dilakukan melalui protokol routing. Routing statik adalah pengaturan routing paling sederhana yang dapat dilakukan pada jaringan komputer. Menggunakan routing statik murni dalam sebuah jaringan berarti mengisi setiap entri dalam forwarding table di setiap router yang berada di jaringan tersebut.

Penggunaan routing statik dalam sebuah jaringan yang kecil tentu bukanlah suatu masalah; hanya beberapa entri yang perlu diisikan pada forwarding table di setiap router. Namun Anda tentu dapat membayangkan bagaimana jika harus melengkapi forwarding table di setiap router yang jumlahnya tidak sedikit dalam jaringan yang besar. Apalagi jika Anda ditugaskan untuk mengisi entri-entri di seluruh router di Internet yang jumlahnya banyak sekali dan terus bertambah setiap hari. Tentu repot sekali!

Routing dinamik adalah cara yang digunakan untuk melepaskan kewajiban mengisi entri-entri forwarding table secara manual. Protokol routing mengatur router-router sehingga dapat berkomunikasi satu dengan yang lain dan saling memberikan informasi routing yang dapat mengubah isi forwarding table, tergantung keadaan jaringannya. Dengan cara ini, router-router mengetahui keadaan jaringan yang terakhir dan mampu meneruskan datagram ke arah yang benar.

Interior Routing Protocol

Pada awal 1980-an Internet terbatas pada ARPANET, Satnet (perluasan ARPANET yang menggunakan satelit), dan beberapa jaringan lokal yang terhubung lewat gateway. Dalam perkembangannya, Internet memerlukan struktur yang bersifat hirarkis untuk mengantisipasi jaringan yang telah menjadi besar. Internet kemudian dipecah menjadi beberapa autonomous system (AS) dan saat ini Internet terdiri dari ribuan AS. Setiap AS memiliki mekanisme pertukaran dan pengumpulan informasi routing sendiri.

Protokol yang digunakan untuk bertukar informasi routing dalam AS digolongkan sebagai interior routing protocol (IRP). Hasil pengumpulan informasi routing ini kemudian disampaikan kepada AS lain dalam bentuk reachability information. Reachability information yang dikeluarkan oleh sebuah AS berisi informasi mengenai jaringan-jaringan yang dapat dicapai melalui AS tersebut dan menjadi indikator terhubungnya AS ke Internet. Penyampaian reachability information antar-AS dilakukan menggunakan protokol yang digolongkan sebagai exterior routing protocol (ERP).

IRP yang dijadikan standar di Internet sampai saat ini adalah Routing Information Protocol (RIP) dan Open Shortest Path First (OSPF). Di samping kedua protokol ini terdapat juga protokol routing yang bersifat proprietary tetapi banyak digunakan di Internet, yaitu Internet Gateway Routing Protocol (IGRP) dari Cisco System. Protokol IGRP kemudian diperluas menjadi Extended IGRP (EIGRP). Semua protokol routing di atas menggunakan metrik sebagai dasar untuk menentukan jalur terbaik yang dapat ditempuh oleh datagram. Metrik diasosiasikan dengan “biaya” yang terdapat pada setiap link, yang dapat berupa throughput (kecepatan data), delay, biaya sambungan, dan keandalan link.

I. Routing Information Protocol

RIP (akronim, dibaca sebagai rip) termasuk dalam protokol distance-vector, sebuah protokol yang sangat sederhana. Protokol distance-vector sering juga disebut protokol Bellman-Ford, karena berasal dari algoritma perhitungan jarak terpendek oleh R.E. Bellman, dan dideskripsikan dalam bentuk algoritma-terdistribusi pertama kali oleh Ford dan Fulkerson.

Setiap router dengan protokol distance-vector ketika pertama kali dijalankan hanya mengetahui cara routing ke dirinya sendiri (informasi lokal) dan tidak mengetahui topologi jaringan tempatnya berada. Router kemudia mengirimkan informasi lokal tersebut dalam bentuk distance-vector ke semua link yang terhubung langsung dengannya. Router yang menerima informasi routing menghitung distance-vector, menambahkan distance-vector dengan metrik link tempat informasi tersebut diterima, dan memasukkannya ke dalam entri forwarding table jika dianggap merupakan jalur terbaik. Informasi routing setelah penambahan metrik kemudian dikirim lagi ke seluruh antarmuka router, dan ini dilakukan setiap selang waktu tertentu. Demikian seterusnya sehingga seluruh router di jaringan mengetahui topologi jaringan tersebut.

Protokol distance-vector memiliki kelemahan yang dapat terlihat apabila dalam jaringan ada link yang terputus. Dua kemungkinan kegagalan yang mungkin terjadi adalah efek bouncing dan menghitung-sampai-tak-hingga (counting to infinity). Efek bouncing dapat terjadi pada jaringan yang menggunakan metrik yang berbeda pada minimal sebuah link. Link yang putus dapat menyebabkan routing loop, sehingga datagram yang melewati link tertentu hanya berputar-putar di antara dua router (bouncing) sampai umur (time to live) datagram tersebut habis.

Menghitung-sampai-tak-hingga terjadi karena router terlambat menginformasikan bahwa suatu link terputus. Keterlambatan ini menyebabkan router harus mengirim dan menerima distance-vector serta menghitung metrik sampai batas maksimum metrik distance-vector tercapai. Link tersebut dinyatakan putus setelah distance-vector mencapai batas maksimum metrik. Pada saat menghitung metrik ini juga terjadi routing loop, bahkan untuk waktu yang lebih lama daripada apabila terjadi efek bouncing..

RIP tidak mengadopsi protokol distance-vector begitu saja, melainkan dengan melakukan beberapa penambahan pada algoritmanya agar routing loop yang terjadi dapat diminimalkan. Split horizon digunakan RIP untuk meminimalkan efek bouncing. Prinsip yang digunakan split horizon sederhana: jika node A menyampaikan datagram ke tujuan X melalui node B, maka bagi B tidak masuk akal untuk mencapai tujuan X melalui A. Jadi, A tidak perlu memberitahu B bahwa X dapat dicapai B melalui A.

Untuk mencegah kasus menghitung-sampai-tak-hingga, RIP menggunakan metode Triggered Update. RIP memiliki timer untuk mengetahui kapan router harus kembali memberikan informasi routing. Jika terjadi perubahan pada jaringan, sementara timer belum habis, router tetap harus mengirimkan informasi routing karena dipicu oleh perubahan tersebut (triggered update). Dengan demikian, router-router di jaringan dapat dengan cepat mengetahui perubahan yang terjadi dan meminimalkan kemungkinan routing loop terjadi.

RIP yang didefinisikan dalam RFC-1058 menggunakan metrik antara 1 dan 15, sedangkan 16 dianggap sebagai tak-hingga. Route dengan distance-vector 16 tidak dimasukkan ke dalam forwarding table. Batas metrik 16 ini mencegah waktu menghitung-sampai-tak-hingga yang terlalu lama. Paket-paket RIP secara normal dikirimkan setiap 30 detik atau lebih cepat jika terdapat triggered updates. Jika dalam 180 detik sebuah route tidak diperbarui, router menghapus entri route tersebut dari forwarding table. RIP tidak memiliki informasi tentang subnet setiap route. Router harus menganggap setiap route yang diterima memiliki subnet yang sama dengan subnet pada router itu. Dengan demikian, RIP tidak mendukung Variable Length Subnet Masking (VLSM).

RIP versi 2 (RIP-2 atau RIPv2) berupaya untuk menghasilkan beberapa perbaikan atas RIP, yaitu dukungan untuk VLSM, menggunakan otentikasi, memberikan informasi hop berikut (next hop), dan multicast. Penambahan informasi subnet mask pada setiap route membuat router tidak harus mengasumsikan bahwa route tersebut memiliki subnet mask yang sama dengan subnet mask yang digunakan padanya.

RIP-2 juga menggunakan otentikasi agar dapat mengetahui informasi routing mana yang dapat dipercaya. Otentikasi diperlukan pada protokol routing untuk membuat protokol tersebut menjadi lebih aman. RIP-1 tidak menggunakan otentikasi sehingga orang dapat memberikan informasi routing palsu. Informasi hop berikut pada RIP-2 digunakan oleh router untuk menginformasikan sebuah route tetapi untuk mencapai route tersebut tidak melewati router yang memberi informasi, melainkan router yang lain. Pemakaian hop berikut biasanya di perbatasan antar-AS.

RIP-1 menggunakan alamat broadcast untuk mengirimkan informasi routing. Akibatnya, paket ini diterima oleh semua host yang berada dalam subnet tersebut dan menambah beban kerja host. RIP-2 dapat mengirimkan paket menggunakan multicast pada IP 224.0.0.9 sehingga tidak semua host perlu menerima dan memproses informasi routing. Hanya router-router yang menggunakan RIP-2 yang menerima informasi routing tersebut tanpa perlu mengganggu host-host lain dalam subnet.

RIP merupakan protokol routing yang sederhana, dan ini menjadi alasan mengapa RIP paling banyak diimplementasikan dalam jaringan. Mengatur routing menggunakan RIP tidak rumit dan memberikan hasil yang cukup dapat diterima, terlebih jika jarang terjadi kegagalan link jaringan. Walaupun demikian, untuk jaringan yang besar dan kompleks, RIP mungkin tidak cukup. Dalam kondisi demikian, penghitungan routing dalam RIP sering membutuhkan waktu yang lama, dan menyebabkan terjadinya routing loop. Untuk jaringan seperti ini, sebagian besar spesialis jaringan komputer menggunakan protokol yang masuk dalam kelompok link-state

II. Open Shortest Path First (OSPF)

Teknologi link-state dikembangkan dalam ARPAnet untuk menghasilkan protokol yang terdistribusi yang jauh lebih baik daripada protokol distance-vector. Alih-alih saling bertukar jarak (distance) ke tujuan, setiap router dalam jaringan memiliki peta jaringan yang dapat diperbarui dengan cepat setelah setiap perubahan topologi. Peta ini digunakan untuk menghitung route yang lebih akurat daripada menggunakan protokol distance-vector. Perkembangan teknologi ini akhirnya menghasilkan protokol Open Shortest Path First (OSPF) yang dikembangkan oleh IETF untuk digunakan di Internet. Bahkan sekarang Internet Architecture Board (IAB) telah merekomendasikan OSPF sebagai pengganti RIP.

Prinsip link-state routing sangat sederhana. Sebagai pengganti menghitung route “terbaik” dengan cara terdistribusi, semua router mempunyai peta jaringan dan menghitung semua route yang terbaik dari peta ini. Peta jaringan tersebut disimpan dalam sebuah basis data dan setiap record dalam basis data tersebut menyatakan sebuah link dalam jaringan. Record-record tersebut dikirimkan oleh router yang terhubung langsung dengan masing-masing link.

Karena setiap router perlu memiliki peta jaringan yang menggambarkan kondisi terakhir topologi jaringan yang lengkap, setiap perubahan dalam jaringan harus diikuti oleh perubahan dalam basis data link-state yang terletak di setiap router. Perubahan status link yang dideteksi router akan mengubah basis data link-state router tersebut, kemudian router mengirimkan perubahan tersebut ke router-router lain.

Protokol yang digunakan untuk mengirimkan perubahan ini harus cepat dan dapat diandalkan. Ini dapat dicapai oleh protokol flooding. Dalam protokol flooding, pesan yang dikirim adalah perubahan dari basis data serta nomor urut pesan tersebut. Dengan hanya mengirimkan perubahan basis data, waktu yang diperlukan untuk pengiriman dan pemrosesan pesan tersebut lebih sedikit dibandingdengan mengirim seluruh isi basis data tersebut. Nomor urut pesan diperlukan untuk mengetahui apakah pesan yang diterima lebih baru daripada yang terdapat dalam basis data. Nomor urut ini berguna pada kasus link yang putus menjadi tersambung kembali.

Pada saat terdapat link putus dan jaringan menjadi terpisah, basis data kedua bagian jaringan tersebut menjadi berbeda. Ketika link yang putus tersebut hidup kembali, basis data di semua router harus disamakan. Basis data ini tidak akan kembali sama dengan mengirimkan satu pesan link-state saja. Proses penyamaan basis data pada router yang bertetangga disebut sebagai menghidupkan adjacency. Dua buah router bertetangga disebut sebagai adjacent bila basis data link-state keduanya telah sama. Dalam proses ini kedua router tersebut tidak saling bertukar basis data karena akan membutuhkan waktu yang lama.

Proses menghidupkan adjacency terdiri dari dua fasa.Fasa pertama, kedua router saling bertukar deskripsi basis data yang merupakan ringkasan dari basis data yang dimiliki setiap router. Setiap router kemudian membandingkan deskripsi basis data yang diterima dengan basis data yang dimilikinya. Pada fasa kedua, setiap router meminta tetangganya untuk mengirimkan record-record basis data yang berbeda, yaitu bila router tidak memiliki record tersebut, atau nomor urut record yang dimiliki lebih kecil daripada yang dikirimkan oleh deskripsi basis data. Setelah proses ini, router memperbarui beberapa record dan ini kemudian dikirimkan ke router-router lain melalui protokol flooding.

Protokol link-state lebih baik daripada protokol distance-vector disebabkan oleh beberapa hal: waktu yang diperlukan untuk konvergen lebih cepat, dan lebih penting lagi protokol ini tidak menghasilkan routing loop. Protokol ini mendukung penggunaan beberapa metrik sekaligus. Throughput, delay, biaya, dan keandalan adalah metrik-metrik yang umum digunakan dalam jaringan. Di samping itu protokol ini juga dapat menghasilkan banyak jalur ke sebuah tujuan. Misalkan router A memiliki dua buah jalur dengan metrik yang sama ke host B. Protokol dapat memasukkan kedua jalur tersebut ke dalam forwarding table sehingga router mampu membagi beban di antara kedua jalur tersebut.

Rancangan OSPF menggunakan protokol link-state dengan beberapa penambahan fungsi. Fungsi-fungsi yang ditambahkan antara lain mendukung jaringan multi-akses, seperti X.25 dan Ethernet, dan membagi jaringan yang besar mejadi beberapa area.

Telah dijelaskan di atas bahwa setiap router dalam protokol link-state perlu membentuk adjacency dengan router tetangganya. Pada jaringan multi-akses, tetangga setiap router dapat lebih dari satu. Dalam situasi seperti ini, setiap router dalam jaringan perlu membentuk adjacency dengan semua router yang lain, dan ini tidak efisien. OSPF mengefisienkan adjacency ini dengan memperkenalkan konsep designated router dan designated router cadangan. Semua router hanya perlu adjacent dengan designated router tersebut, sehingga hanya designated router yang adjacent dengan semua router yang lain. Designated router cadangan akan mengambil alih fungsi designated router yang gagal berfungsi.

Langkah pertama dalam jaringan multi-akses adalah memilih designated router dan cadangannya. Pemilihan ini dimasukkan ke dalam protokol Hello, protokol dalam OSPF untuk mengetahui tetangga-tetangga router dalam setiap link. Setelah pemilihan, baru kemudian router-router membentuk adjacency dengan designated router dan cadangannya. Setiap terjadi perubahan jaringan, router mengirimkan pesan menggunakan protokol flooding ke designated router, dan designated router yang mengirimkan pesan tersebut ke router-router lain dalam link.

Designated router cadangan juga mendengarkan pesan-pesan yang dikirim ke designated router. Jika designated router gagal, cadangannya kemudian menjadi designated router yang baru serta dipilih designated router cadangan yang baru. Karena designated router yang baru telah adjacent dengan router-router lain, tidak perlu dilakukan lagi proses penyamaan basis data yang membutuhkan waktu yang lama tersebut.

Dalam jaringan yang besar tentu dibutuhkan basis data yang besar pula untuk menyimpan topologi jaringan. Ini mengarah kepada kebutuhan memori router yang lebih besar serta waktu perhitungan route yang lebih lama. Untuk mengantisipasi hal ini, OSPF menggunakan konsep area dan backbone. Jaringan dibagi menjadi beberapa area yang terhubung ke backbone. Setiap area dianggap sebagai jaringan tersendiri dan router-router di dalamnya hanya perlu memiliki peta topologi jaringan dalam area tersebut. Router-router yang terletak di perbatasan antar area hanya mengirimkan ringkasan dari link-link yang terdapat dalam area dan tidak mengirimkan topologi area satu ke area lain. Dengan demikian, perhitungan route menjadi lebih sederhana.

Kesederhanaan vs. Kemampuan

Kita sudah lihat sepintas bagaimana RIP dan OSPF bekerja. Setiap protokol routing memiliki kelebihan dan kekurangannya masing-masing. Protokol RIP sangat sederhana dan mudah diimplementasikan tetapi dapat menimbulkan routing loop. Protokol OSPF merupakan protokol yang lebih rumit dan lebih baik daripada RIP tetapi membutuhkan memori dan waktu CPU yang besar.

Di berbagai tempat juga terdapat yang menggunakan gabungan antara routing statik, RIP, RIP-v2, dan OSPF. Hasilnya di jaringan ini menunjukkan bahwa administrasi routing statik jauh lebih memakan waktu dibanding routing dinamik. Pengamatan pada protokol routing dinamik juga menunjukkan bahwa RIP menggunakan bandwidth yang lebih besar daripada OSPF dan semakin besar jaringan, bandwidth yang digunakan RIP bertambah lebih besar pula. Jadi, jika Anda sedang mendesain jaringan TCP/IP yang besar tentu OSPF merupakan pilihan protokol routing yang tepat

Trouble Shooting Jaringan

2007-04-23T11:29:00.000+07:00

Trouble Shooting Jaringan

Tanpa kemampuan untuk memonitor jaringan, administrator hanya dapat bereaksi terhadap masalah pada waktu mereka muncul, bukannya lebih dulu mencegah masalah supaya tidak terjadi.

Menjalankan dan memelihara fungsi suatu jaringan bisa menjadi mimpi buruk jika Anda tidak mengetahui mana yang bekerja dengan baik dan mana yang tidak. Terutama jika jaringan tersebar lebih dari ratusan kilometer persegi, di mana beberapa perangkat hampir tidak mungkin diakses, misalnya stasiun cuaca dan webcam.

Monitoring Koneksi

Salah satu bentuk paling mendasar dari monitoring koneksi berlangsung tiap hari pada jaringan. Proses user login ke jaringan akan memastikan bahwa koneksi itu sedan bekerja dengan baik atau jika tidak bagian jaringan akan segera dihubungi. Namun, ini bukanlah cara yang paling baik atau efisien dalam memonitoring jaringan yang ada. Tersedia program-program sederhana yang bisa digunakan oleh administrator untuk membuat daftar alamat IP host dan secara periodik mem-ping alamat tersebut. Jika ada masalah koneksi, program akan memperingati administrator melalui output ping. Ini merupakan cara yang paling kuno dan tidak efisien, tetapi masih lebih baik dibanding tidak melakukan apa-apa sama sekali. Aspek lain dari cara monitoring seperti ini adalah ia hanya memberitahu bahwa di suatu tempat antara stasiun monitoring dan perangkat target ada gangguan komunikasi. Gangguan bisa jadi router, switch, bagian jaringan yang tidak baik, atau memang host-nya yang sedang down. Tes ping hanya mengatakan bahwa
koneksi down, tidak di mana itu down.

Memeriksa semua host pada WAN dengan menggunakan monitoring semacam ini membutuhkan banyak resources. Jika jaringan mempunyai 3000 host, mem-ping semua perangkat jaringan dan host memakan resource sistem yang sangat besar. Cara lebih baik adalah hanya mem-ping beberapa host, server, router, dan switch yang penting untuk memastikan konektivitas mereka. Tes ping tidak akan memberikan data yang sebenarnya kecuali jika workstation selalu dalam keadaan menyala. Sekali lagi, cara monitoring seperti ini sebaiknya digunakan jika tidak ada lagi cara lain yang tersedia.

Monitoring Traffic

Monitoring traffic merupakan cara monitoring jaringan yang jauh lebih canggih. Ia melihat traffic paket yang sebenarnya dan membuat laporan berdasarkan traffic jaringan tersebut. Program seperti Flukes Network Analyzer merupakan contoh software jenis ini. Program tersebut tidak hanya mendeteksi perangkat yang gagal, tetapi juga mendeteksi jika ada komponen yang muatannya berlebihan atau konfigurasinya kurang baik.

Kelemahan program jenis ini adalah mereka biasanya hanya melihat satu segmen pada satu waktu dan jika memerlukan data dari segmen lain, program harus dipindahkan ke segmen tersebut. Ini bisa diatasi dengan menggunakan agent pada segmen jaringan remote. Perangkat seperti switch dan router bisa membuat dan mengirimkan statistik traffic. Jadi, bagaimana data dikumpulkan dan diatur pada satu lokasi sentral supaya bisa digunakan oleh administrator jaringan? Jawabannya adalah: Simple Network Monitoring Protocol.

Simple Network Management Protocol

Simple Network Management Protocol (SNMP) adalah standar manajemen jaringan pada TCP/IP. Gagasan di balik SNMP adalah bagaimana supaya informasi yang dibutuhkan untuk manajemen jaringan bisa dikirim menggunakan TCP/IP. Protokol tersebut memungkinkan administrator jaringan untuk menggunakan perangkat jaringan khusus yang berhubungan dengan perangkat jaringan yang lain untuk mengumpulkan informasi dari mereka, dan mengatur bagaimana mereka beroperasi.

Ada dua jenis perangkat SNMP. Pertama adalah Managed Nodes yang merupakan node biasa pada jaringan yang telah dilengkapi dengan software supaya mereka dapat diatur menggunakan SNMP. Mereka biasanya adalah perangkat TCP/IP biasa; mereka juga kadang-kadang disebut managed devices. Kedua adalah Network Management Station (NMS) yang merupakan perangkat jaringan khusus yang menjalankan software tertentu supaya dapat mengatur managed nodes. Pada jaringan harus ada satu atau lebih NMS karena mereka adalah perangkat yang sebenarnya “menjalankan” SNMP.

Managed nodes bisa berupa perangkat jaringan apa saja yang dapat berkomunikasi menggunakan TCP/IP, sepanjang diprogram dengan software SNMP. SNMP didesain supaya host biasa dapat diatur, demikian juga dengan perangkat pintar seperti router, bridge, hubs, dan switch. Perangkat yang “tidak konvensional” juga bisa diatur sepanjang
mereka terhubung ke jaringan TCP/IP: printer, scanner, dan lain-lain.

Masing-masing perangkat dalam manajemen jaringan yang menggunakan SNMP menjalankan suatu software yang umumnya disebut SNMP entity. SNMP entity bertanggung jawab untuk mengimplementasikan semua beragam fungsi SNMP. Masing-masing entity terdiri dari dua komponen utama. Komponen SNMP entity pada suatu perangkat bergantung kepada apakah perangkat tersebut managed nodes atau network management station.

SNMP entity pada managed nodes terdiri atas SNMP Agent: yang merupakan program yang mengimplementasikan protokol SNMP dan memungkinkan managed nodes memberikan informasi kepada NMS dan menerima perintah darinya, dan SNMP Management Information Base (MIB): yang menentukan jenis informasi yang disimpan tentang node yang dapat dikumpulkan dan digunakan untuk mengontrol managed nodes. Informasi yang dikirim menggunakan SNMP merupakan objek dari MIB.

Pada jaringan yang lebih besar, NMS bisa saja terpisah dan merupakan komputer TCP/IP bertenaga besar yang didedikasikan untuk manajemen jaringan. Namun, adalah software yang sebenarnya membuat suatu perangkat menjadi NMS, sehingga suatu NMS bisa bukan hardware terpisah. Ia bisa berfungsi sebagai NMS dan juga melakukan fungsi lain. SNMP entity pada NMS terdiri dari SNMP Manager: yang merupakan program yang mengimplementasikan SNMP sehingga NMS dapat mengumpulkan informasi dari managed nodes dan mengirim perintah kepada mereka, dan SNMP Application: yang merupakan satu atau lebih aplikasi yang memungkinkan administrator jaringan untuk menggunakan SNMP dalam mengatur jaringan.

Dengan demikian, secara keseluruhan SNMP terdiri dari sejumlah NMS yang berhubungan dengan perangkat TCP/IP biasa yang disebut managed nodes. SNMP manager pada NMS dan SNMP agent pada managed nodes mengimplementasikan SNMP dan memungkinkan informasi manajemen jaringan dikirim. SNMP application berjalan pada NMS dan menyediakan interface untuk administrator, dan memungkinkan informasi dikumpulkan dari MIB pada masing-masing SNMP agent.

Remote Monitoring (RMON)

Model umum yang digunakan SNMP adalah adanya network management station (NMS) yang mengirim request kepada SNMP agent. SNMP Agent juga bisa melakukan komunikasi dengan mengirim pesan trap untuk memberitahu management station ketika terjadi suatu event tertentu. Model ini bekerja dengan baik, yang mana inilah mengapa SNMP menjadi sangat populer. Namun, satu masalah mendasar dari protokol dan model yang digunakan adalah bahwa ia diorientasikan pada komunikasi dari SNMP agent yang biasanya perangkat TCP/IP seperti host dan router. Jumlah informasi yang dikumpulkan oleh perangkat ini biasanya terbatas, karena sudah pasti host dan router mempunyai “tugas sebenarnya yang harus dilakukan”—yaitu melakukan tugas sebagai host dan router. Mereka tidak bisa mendedikasikan diri mereka untuk melakukan tugas manajemen jaringan.

Oleh karena itu, pada situasi di mana dibutuhkan informasi jaringan yang lebih banyak dibanding yang dikumpulkan oleh perangkat biasa, administrator sering kali menggunakan hardware khusus bernama network analyzer, monitor, atau probe. Mereka hanya mengumpulkan statistik dan memantau event yang diinginkan oleh administrator. Jelas akan sangat berguna jika perangkat tersebut dapat menggunakan SNMP supaya informasi yang mereka kumpulkan bisa diterima, dan membiarkan mereka mengeluarkan pesan trap ketika ada sesuatu yang penting.

Untuk melakukan itu, dibuatlah Remote Network Monitoring (RMON). RMON sering kali disebut sebagai protokol, dan Anda kadang-kadang akan melihat SNMP dan RMON disebut sebagai “protokol manajemen jaringan TCP/IP”. Namun, RMON sama sekali bukan protocol yang terpisah—ia tidak melakukan operasional protokol. RMON sebenarnya adalah bagian dari SNMP, dan RMON hanya suatu modul management information base (MIB) yang menentukan objek MIB yang digunakan oleh probe. Secara arsitektur, RMON hanyalah salah satu modul MIB yang menjadi bagian dari SNMP.

Metode Troubleshooting

Troubleshooting jaringan merupakan proses sistematis yang diaplikasikan untuk memecahkan masalah pada jaringan. Teknik Eliminasi dan Divide and Conquer merupakan metode paling berhasil untuk troubleshooting jaringan.

Eliminasi
User pada jaringan Anda menelepon help desk untuk memberitahukan bahwa komputer mereka tidak bisa lagi ke Internet. Help desk mengisi form error report dan memberikannya kepada Anda, bagian network support. Anda menelepon dan berbicara kepada user dan mereka mengatakan bahwa mereka tidak melakukan apapun yang berbeda selain yang selalu mereka lakukan untuk ke Internet. Anda mengecek log dan menemukan bahwa komputer user telah di-upgrade semalam. Solusi Anda yang pertama adalah bahwa driver jaringan komputer tersebut pasti konfigurasinya salah. Anda pergi ke komputer tersebut dan mengecek konfigurasi jaringannya. Tampaknya sudah benar, sehingga Anda mem-ping server. Tidak terhubung. Solusi berikutnya adalah mengecek apakah kabel komputer tersambung. Anda periksa kedua ujung kabel dan kemudian mencoba mem-ping server kembali.

Selanjutnya Anda ping 127.0.0.1, alamat loopback komputer. Ping berhasil, sehingga ini mengeliminasi kemungkinan adanya masalah antara komputer, konfigurasi driver, dan kartu NIC. Anda kemudian memutuskan bahwa mungkin ada masalah dengan server untuk segmen jaringan tersebut. Ada komputer lain yang terhubung ke jaringan di meja sebelahnya, maka Anda mem-ping alamat server dan hasilnya sukses. Ini mengeliminasi server, backbone, dan koneksi server ke backbone sebagai masalah.

Anda kemudian pergi ke IDF (intermediate distribution facilities) dan memindahkan port workstation, kembali ke workstation dan mencoba mem-ping server lagi. Namun, solusi tidak bekerja. Ini memperluas pencarian Anda sampai pemasangan kabel atau patch kabel
workstation. Anda kembali ke IDF, mengembalikan kabel ke port asal, mencari patch kabel worksation baru dan kembali ke worksation. Ganti kabel workstation, dan mencoba mem-ping server lagi. Kali ini berhasil, maka Anda sudah memperbaiki masalah itu. Langkah terakhir adalah mendokumentasikan solusi masalah.

Divide and Conquer

Misalkan Anda mempunyai dua jaringan yang bekerja dengan baik, tetapi ketika keduanya dihubungkan jaringan gagal. Langkah pertama adalah membagi jaringan kembali menjadi dua jarigan terpisah dan memverifikasi bahwa keduanya masih beroperasi dengan benar ketika dipisahkan. Jika ya, pindahkan semua segmen ke jaringan yang lain. Periksa apakah masih bekerja dengan benar.

Jika jaringan masih berfungsi, masukkan masing-masing segmen sampai seluruh jaringan gagal. Hilangkan koneksi terakhir yang ditambahkan dan lihat apakah seluruh jaringan kembali beroperasi normal. Jika ya, lepaskan semua perangkat dari segmen tersebut dan masukkan mereka satu per satu, kemudian periksa lagi kapan jaringan gagal. Pada waktu Anda menemukan perangkat yang mencurigakan, lepaskan dan periksa apakah jaringan kembali normal. Jika jaringan masih berfungsi normal, berarti Anda telah menemukan perangkat yang menjadi penyebab masalah.

Sekarang Anda bisa menganalisis perangkat tersebut untuk mengetahui mengapa ia bisa menyebabkan seluruh jaringan crash. Jika tidak ada apapun yang salah, mungkin saja perangkat tersebut terhubung dengan perangkat yang bermasalah pada jaringan sebelah. Untuk mencari ujung lain permasalahan, Anda harus mengulangi proses yang dilakukan sebelumnya.

Prosesnya adalah sebagai berikut: pertama sambungkan lagi perangkat yang menyebabkan jaringan gagal. Kemudian lepaskan semua segmen pada jaringan yang satunya. Periksa apakah jaringan kembali beroperasi. Jika jaringan berfungsi lagi, masukkan kembali segmen sampai seluruh jaringan gagal. Lepaskan segmen terakhir yang dimasukkan sebelum kegagalan dan lihat apakah seluruh jaringan kembali beroperasi normal. Jika ya, lepaskan semua perangkat dari segmen tersebut dan masukkan mereka satu per satu, periksa lagi untuk melihat kapan jaringan gagal. Ketika Anda menemukan perangkat yang mencurigakan, lepas dan periksa apakah jaringan kembali normal.

Jika jaringan masih berfungsi secara normal, itu berarti Anda telah menemukan perangkat penyebab masalah. Sekarang Anda bisa menganalisis perangkat tersebut untuk mengetahui mengapa ia bisa menyebabkan seluruh jaringan crash. Jika tidak ada apapun yang salah, bandingkan kedua host cari tahu penyebab mereka konflik. Dengan memecahkan konflik ini, Anda akan bisa menghubungkan kembali kedua perangkat ke dalam jaringan dan akan berfungsi secara normal.

Tool Software

Bersama dengan proses yang diuraikan sebelumnya, ada tool software bagi administrator jaringan yang dapat digunakan untuk mengatasi masalah konektivitas jaringan. Tool ini dapat membantu dalam troubleshooting Local Area Network, tetapi terutama pada Wide Area Network. Kita akan lihat perintah yang tersedia pada sebagian besar software client. Perintah ini meliputi Ping, Tracert (traceroute), Telnet, Netstat, ARP, dan Ipconfig (WinIPcfg)

Ping
Memverifikasi koneksi ke komputer lain dengan mengirim pesan Internet Control Message Protocol (ICMP) Echo Request. Tanda terima berupa pesan Echo Reply akan ditampilkan, bersama dengan waktu pulang-pergi. Ping merupakan perintah utama TCP/IP yang digunakan untuk men-troubleshoot konektivitas, jangkauan, dan resolusi nama. Syntax ping adalah: ping [-t] [-a] [-n Count] [-l Size] [-f] [-i TTL] [-v TOS] [-r Count] [-s Count] [{-j HostList | -k HostList}] [-wTimeout] [TargetName].

Tracert (Traceroute)
Menunjukkan rute yang dilewati paket untuk mencapai tujuannya. Ini dilakukan dengan mengirim pesan Internet Control Message Protocol (ICMP) Echo Request ke tujuan dengan nilai Time to Live yang semakin meningkat. Rute yang ditampilkan adalah daftar interface router (yang paling dekat dengan host) yang terdapat pada jalur antara host dan
tujuan. Syntax tracert adalah: tracert [-d] [-h MaximumHops] [-j HostList] [-wTimeout] [TargetName].

Telnet
Telnet Client dan Telnet Server bekerja sama supaya user dapat berkomunikasi dengan komputer remote. Telnet Client memungkinkan user untuk menghubungi komputer remote dan berinteraksi dengan komputer tersebut melalui jendela terminal. Telnet Server memungkinkan user Telnet Client untuk masuk ke dalam komputer yang menjalankan Telnet Server dan menjalankan aplikasi pada komputer tersebut. Telnet Server berfungsi sebagai gateway yang digunakan Telnet client untuk berkomunikasi. Telnet cocok untuk testing login ke remote host. Syntax telnet adalah: telnet [\\RemoteServer].

Netstat
Menampilkan koneksi TCP yang aktif, port yang didengarkan komputer, statistik Ethernet, tabel routing IP, statistik IPv4 (protokol IP, ICMP, TCP, dan UDP), dan statistik IPv6 (protokol IPv6, ICMPv6, TCP over IPv6, dan UDP over IPv6). Syntax netstat adalah: netstat [-a] [-e] [-n] [-o] [-p Protocol] [-r] [-s] [Interval].

ARP
Menampilkan dan mengubah entri pada cache Address Resolution Protocol (ARP), yang berisi satu atau beberapa tabel yang digunakan untuk menyimpan alamat IP dan alamat fisik Ethernet dan Token Ring dari alamat IP yang bersangkutan. Masing-masing kartu jaringan Ethernet atau Token Ring yang terinstalasi pada komputer Anda mempunyai tabel terpisah. Syntax arp adalah: arp [-a [InetAddr] [-NIfaceAddr]] [-g [InetAddr] [-N
IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]].

Ipconfig(Winipcfg)
Menampilkan semua konfigurasi jaringan TCP/IP dan memperbarui setting Dynamic Host Configuration Protocol (DHCP) dan Domain Name System (DNS). Digunakan tanpa parameter, ipconfig menampilkan alamat IP, subnet mask, dan gateway default untuk semua kartu jaringan. Ipconfig merupakan commandline yang ekivalen dengan winipcfg yang terdapat pada Windows MilleniumEdition, Windows 98, dan Windows 95. Meskipun Windows XP tidak menyertakan utiliti grafis yang ekivalen dengan winipcfg, Anda bisa menggunakan Network Connections untuk melihat dan memperbarui alamat IP. Syntax ipconfig adalah: ipconfig [/all] [/renew[Adapter]] [/release [Adapter]] [/flushdns] [/displaydns] [/registerdns] [/showclassid Adapter] [/setclassid Adapter [ClassID]].

TOOL SNMP
Banyak tool manajemen jaringan yang menggunakan SNMP untuk mengumpulkan informasi dan statistik jaringan. Beberapa di antaranya adalah:

· SNMP Graph—Mengumpulkan data dan membuat grafik secara real-time.

· SNMP Sweep—Melakukan pencarian SNMP dalam waktu singkat pada setiap segmen jaringan.

· IP Network Browser—Melakukan pencarian yang komprehensif terhadap berbagai data jaringan.

· SNMP Brute Force Attack—Menyerang suatu alamat IP dengan query SNMP untuk mencoba dan mengetahui community string read-only dan read-write.

· SNMP Dictionary Attack—Menggunakan kamus para hacker untuk menyerang perangkat jaringan.

· Network Sonar—Melakukan pencarian jaringan dan menyimpan hasilnya dalam
database.

TIP

Troubleshooting Jaringan
1. Identifikasi masalah jaringan/user.
2. Kumpulkan data tentang masalah jaringan/user.
3. Analisis data untuk mencari solusi masalah.
4. Impementasi solusi untuk memperbaiki sistem.
5. Jika masalah tidak terselesaikan, batalkan perubahan dan modifikasi data yang dilakukan sebelumnya.
6. Kembali ke langkah 3

Jaringan

2007-04-23T11:28:00.000+07:00

Banyak administrator merasa bahwa ketika jaringan menyala dan berjalan pekerjaan selesai. Pernyataan tersebut tidak sepenuhnya benar. Ketika suatu jaringan telah selesai, di situlah pekerjaan sebenarnya dari administrator jaringan dimulai.

Setelah mengetahui bagaimana mendesain dan membuat jaringan, Anda dapat melakukan tugas seperti memilih, menginstalasi, dan mengetes kabel, serta menentukan di mana tempat kabel diletakkan. Namun, desain dan implementasi jaringan hanya sebagian dari yang perlu Anda ketahui. Anda harus mengetahui bagaimana memelihara jaringan dan menjaganya tetap berfungsi pada tingkat yang diinginkan. Ini berarti Anda harus mengetahui bagaimana mengatasi masalah pada waktu mereka muncul. Di samping itu, Anda harus tahu kapan ekspansi atau perubahan konfigurasi jaringan dilakukan supaya dapat memenuhi permintaan.

Pada edisi kali ini, kita akan melihat tentang pemeliharaan jaringan menggunakan dokumentasi, monitoring, dan troubleshooting.

Bagaimana Jaringan Kelihatannya?
Pandangan terhadap jaringan itu penting. Jaringan adalah sekumpulan perangkat yang berhubungan satu sama lain untuk menyediakan komunikasi. Ketika administrator melihat jaringan, haruslah secara keseluruhan bukan individu. Dengan kata lain, masingmasing perangkat pada jaringan mempengaruhi perangkat lain dan jaringan secara keseluruhan. Tidak ada yang diisolasi ketika dihubungkan ke jaringan.

Sebagai perbandingan ambil contoh mobil. Mobil adalah sekumpulan onderdil yang menyediakan transportasi. Mesin memberikan tenaga untuk menggerakkan mobil, tetapi ia tidak akan berfungsi dengan baik jika sistem bahan bakar tidak bekerja atau bannya hilang. Rem juga komponen yang penting, tetapi sekali lagi, tanpa sistem hidrolik rem tidak akan berfungsi dan mobil tidak akan berhenti. Tanpa semua komponen bekerja sama, mobil tidak akan dapat melakukan tugas yang dimaksudkan: transportasi.

Hal yang sama juga berlaku untuk jaringan. Jika server jaringan menggunakan protokol TCP/IP dan host-nya tidak, mereka tidak akan dapat berkomunikasi. Jika jaringan bekerja bagus dan admnistrator hanya mengubah protokol pada satu sisi, jaringan berhenti bekerja. Satu perangkat mempengaruhi bagaimana perangkat lain bekerja. Contoh lain misalnya DNS server dengan alamat IP 202.58.68.7. Semua host Anda dikonfigurasi untuk mencari DNS server pada alamat IP tersebut. Jika administrator jaringan mengubah alamat IP DNS tanpa mengubah host, maka mereka tidak lagi mempunyai layanan DNS.

Hal penting yang perlu diingat pada waktu menangani jaringan adalah dengan melihatnya sebagai satu kelompok perangkat individu yang saling terhubung. Ini juga berlaku untuk Wide Area Network yang digunakan pada waktu terhubung ke Internet. Perubahan yang dilakukan ke router di tempat Anda secara langsung akan mempengaruhi efisiensi dan keandalan komunikasi seluruh sistem.

Definisi dan Batas Tanggung Jawab
Pada jaringan perusahaan, staf jaringan harus tahu tanggung jawabnya. Apakah tanggung jawab staf jaringan untuk mendiagnosis masalah pada desktop user, atau mengatakan bahwa masalah user tidak berhubungan dengan komunikasi? Apakah tanggung jawab staf
jaringan hanya sebatas sampai panel kabet di dinding atau sampai ke NIC?

Definisi seperti itu sangat penting bagi bagian jaringan. Mereka mempengaruhi beban kerja masing-masing orang, dan biaya layanan jaringan untuk perusahaan. Semakin besar tanggung jawab staf jaringan, semakin besar biaya resource. Bayangkan sebuah restoran yang dimiliki dan dioperasikan oleh satu individu. Satu orang ini bertanggung jawab untuk semua tugas, termasuk memasak, melayani, mencuci piring, dan membayar tagihan. Biasa, sumber daya manusia restoran tersebut relatif rendah, tetapi kemungkinan untuk tumbuh dan berkembang terbatas sampai pemilik mempekerjakan juru masak, pelayan, dan akuntan. Sekarang setelah tanggung jawab dibagi, restoran dapat melayani lebih banyak orang dengan lebih efisien. Tentu saja, akibatnya biaya resource meningkat seiring adanya pertumbuhan dan ekspansi.

Seperti yang ditunjukkan pada contoh restoran, pekerjaan support jaringan bisa meliputi semua aspek jaringan atau dibatasi pada komponen tertentu saja. Tanggung jawab ini perlu ditentukan dan dilaksanakan pada tiap-tiap bagian. Kunci untuk memahami hubungan ini adalah bahwa membuat area tanggung jawab terlalu besar bisa memperbesar resource, tetapi membuat area tanggung jawab terlalu kecil membuatnya sulit untuk mengatasi masalah pada jaringan secara efektif.

Biaya Jaringan
Administrasi jaringan meliputi banyak tanggung jawab, termasuk analisis biaya. Ini berarti tidak hanya biaya desain dan implementasi jaringan, tetapi juga biaya pemeliharaan, upgrade, dan monitoring jaringan. Menentukan biaya instalasi jaringan bukanlah tugas yang sulit bagi sebagian besar administrator jaringan. Daftar perangkat dan harga sudah tersedia; biaya tenaga kerja dapat dihitung menggunakan rating tetap. Sayangnya, biaya pembangunan jaringan hanyalah permulaan saja.

Berikut adalah beberapa faktor biaya lain yang harus dipertimbangkan: pertumbuhan jaringan; pelatihan teknisi dan user; dan penggunaan software. Biaya-biaya ini jauh lebih sulit diperkirakan dibanding biaya membangun jaringan. Administrator jaringan harus bisa melihat historis tren dan pertumbuhan perusahaan untuk memperkirakan biaya pertumbuhan jaringan. Seorang manajer harus melihat software dan hardware baru untuk menentukan apakah perusahaan akan mengimplementasikan mereka dan kapan, termasuk
pelatihan para staf untuk mendukung teknologi baru tersebut.

Biaya peralatan untuk operasional yang kritis juga perlu dimasukkan ke dalam biaya pemeliharaan jaringan. Bayangkan, bisnis berbasis Internet yang menggunakan satu router untuk terhubung ke Internet. Jika router tersebut tidak berfungsi, perusahaan Anda tidak dapat melakukan kegiatan sampai router diganti. Ini bisa menyebabkan perusahaan menderita jutaan rupiah karena kehilangan penjualan. Administrator jaringan yang bijaksana akan menyimpan router cadangan untuk memperkecil waktu downtime perusahaan.

Laporan Kesalahan
Seperti yang telah disebutkan, manajemen jaringan yang efektif memerlukan dokumentasi yang lengkap, oleh karena itu jika timbul suatu masalah perlu dibuat laporan kesalahan. Laporan ini digunakan untuk mengumpulkan informasi dasar yang diperlukan untuk mengidentifikasi dan menentukan masalah, dan juga memberi cara dalam memantau kemajuan dan solusi akhir dari masalah tersebut. Laporan kesalahan memberikan pertimbangan kepada manajemen dalam mempekerjakan staf baru, membeli perangkat, dan memberi pelatihan tambahan. Laporan ini juga memberikan solusi untuk masalah yang sama yang telah dipecahkan.

Mengapa Jaringan Perlu Dimonitor?
Meskipun ada banyak alasan untuk memonitor jaringan, dua alasan utama adalah memperkirakan perubahan untuk masa depan dan mendeteksi perubahan yang tak terduga pada jaringan. Perubahan yang tak terduga bisa meliputi hal seperti router atau switch yang tidak berfungsi, hacker mencoba mendapatkan akses ke jaringan, atau kesalahan jalur komunikasi. Tanpa kemampuan untuk memonitor jaringan, administrator hanya dapat bereaksi terhadap masalah pada waktu mereka muncul, bukannya lebih dulu mencegah masalah supaya tidak terjadi.

Memonitoring Wide Area Network menggunakan banyak cara yang sama seperti pada Local Area Network. Salah satu perbedaan utama antara WAN dan LAN adalah penempatan fisik peralatan. Penempatan dan penggunaan tool monitoring menjadi sangat penting bagi operasional Wide Area Network yang tidak boleh terganggu.

Troubleshooting Jaringan
Permasalahan terjadi! Bahkan ketika jaringan dimonitor, perangkat dapat diandalkan, dan user berhati-hati, ada saja hal yang bermasalah. Pertama dan paling penting adalah menggunakan jurnal rancang-bangun Anda dan membuat catatan. Pembuatan catatan bisa
memberikan cara yang jelas dalam mendiagnosis masalah. Ia bisa memberitahu apa yang telah Anda coba dan bagaimana pengaruhnya terhadap masalah. Ini bisa sangat berharga bagi troubleshooter sehingga usaha yang dilakukan sebelumnya tidak akan diulang lagi.

Membuat catatan juga sangat berharga jika masalah diberikan kepada teknisi lain supaya mereka tidak melakukan kembali semua pekerjaan yang sudah dilakukan. Salinan catatan harus disertakan bersama solusi masalah pada waktu trouble ticket diselesaikan. Ini bisa menjadi referensi untuk masalah serupa yang mungkin terjadi sehubungan dengan masalah tersebut.

Elemen penting lain dari troubleshooting adalah penamaan (labeling). Beri label semuanya, termasuk kedua ujung kabel. Label tersebut tidak hanya meliputi nama kabel, tetapi juga di mana ujung yang lain berada dan penggunaan kabel, misalnya, untuk suara, data atau video.

Pada waktu troubleshotting, label seperti ini bisa lebih berharga dibanding catatan pemasangan kabel karena label berada bersama dengan unit dan tidak tersimpan dalam laci di suatu tempat. Bersama dengan label kabel, pemberian label masing-masing port pada hub, switch, atau router berikut lokasi, keperluan, dan titik koneksi akan sangat mempermudah sehingga masalah bisa diatasi.

Semua komponen lain yang dihubungkan ke jaringan juga harus diberi label seperti lokasi dan keperluan mereka. Dengan label semacam ini, semua komponen bisa dicari dan keperluan mereka pada jaringan bisa diketahui dengan mudah. Penggunaan label bersama dokumentasi jaringan akan memberi gambaran lengkap tentang jaringan dan hubungannya.

Satu hal penting lain yang perlu diingat bahwa dokumentasi hanya berguna jika berisi informasi terbaru. Semua perubahan yang dilakukan ke jaringan harus dicatat pada perangkat atau kabel yang diubah serta dokumentasi yang digunakan untuk menggambarkan jaringan keseluruhan.

DOKUMENTASI JARINGAN
Komponen pertama dan paling penting untuk jaringan yang baik adalah dokumentasi. Dokumentasi paling sering dibicarakan dan paling sedikit dilakukan dalam jaringan. Dokumentasi mewakili ingatan administrator jaringan. Ia berisi jurnal rancang-bangun Anda, tetapi tidak berhenti sampai di situ. Dokumentasi juga meliputi: diagram yang menunjukkan jalur fisik layout kabel, jenis kabel, panjang masing-masing kabel, jenis terminasi kabel, lokasi fisik masing-masing panel dinding atau patch panel, dan model penamaan (labeling) supaya masing-masing kabel bisa diidentifikasi dengan mudah.

Layout MDF dan IDF
Dokumen ini berisi layout fisik dan logical dari Main Distribution Facility dan semua Intermediate Distribution Facilities pada jaringan. Ini meliputi layout fisik susunan rak, perlengkapan pendukung, server, label patch panel untuk mengidentifikasi terminasi kabel, rincian identifikasi, dan konfigurasi semua perangkat ada.

Konfigurasi Server dan Workstation
Rincian konfigurasi server dan workstation dibuat untuk masing-masing host yang terhubung ke jaringan. Informasi pada dokumen ini distandardisasi dan berisi hal-hal, seperti pembuatan dan model komputer, nomor seri, drive floppy, harddisk, drive DVD/CD-ROM, kartu suara dan jaringan, jumlah RAM, dan rincian fisik lainnya dari komputer. Dokumen ini juga meliputi rincian konfigurasi komputer, konfigurasi IRQ, DMA dan Base Memory dari kartu peripheral. Terakhir, dokumen berisi lokasi fisik, user, dan identitas jaringan (alamat IP, MAC address, subnet, topologi) dari komputer itu.

Daftar Software
Daftar software berisi software standar dan khusus yang digunakan masing-masing mesin pada jaringan, dan rincian konfigurasi instalasi standar pada masing-masing paket software. Daftar ini juga meliputi operating system dan aplikasi.

Catatan Maintenance
Penting juga untuk menyimpan catatan semua perbaikan yang dilakukan pada perlengkapan yang dimasukkan ke dalam jaringan. Ini akan membantu administrator untuk memperkirakan masalah yang mungkin terjadi dengan hardware dan software pada masa yang akan datang.

Langkah Pengamanan
Dokumen ini tidak hanya meliputi pengamanan “lunak”, seperti hak user, password, dan firewall, tetapi juga pengamanan fisik. Pengamanan fisik atau keras meliputi hal sederhana, seperti mengidentifikasi bagaimana MDF dan IDF dikunci, siapa yang mempunyai akses ke ruangan tersebut dan mengapa, bagaimana host dilindungi (kabel pengaman—alarm), dan siapa yang mempunyai akses fisik ke sistem.

User Policy
User policy merupakan dokumen yang bisa jadi paling penting dan bermanfaat bagi administrator jaringan. Mereka berisi bagaimana user berhubungan dengan jaringan. Policy tersebut meliputi apa yang boleh dan apa yang tidak dibolehkan pada jaringan. Juga harus disertakan apa nanti konsekuensi bagi user yang melanggar.

Aspek lain dari user policy meliputi user ID dan panjang password minimum yang diharuskan, dan aturan untuk isi password. User policy perlu dibuat bersama manajemen perusahaan supaya policy tersebut bisa diterima dan dilaksanakan. Sebagai administrator jaringan, sedapat mungkin buat jaringan yang paling aman dan fungsional bagi perusahaan. Namun, pastikan policy jaringan tidak bertentangan dengan kebijakan perusahaan atau membatasi para user dalam mengakses resource yang diperlukan.

Informasi yang dicatat pada dokumen yang disebutkan menciptakan dokumentasi jaringan untuk sistem Anda. Dokumentasi ini akan membuat maintenance dan upgrade jaringan menjadi lebih teratur. Dokumentasi ini akan memberikan titik awal kepada administrator untuk kembali jika upgrade mengalami masalah atau jika perlu memulihkan jaringan yang tidak berfungsi.

Satu poin terakhir tentang dokumentasi jaringan adalah bahwa dokumentasi perlu diperbarui secara kontinyu dengan upgrade dan perubahan konfigurasi jaringan terbaru. Jika tidak dilakukan, dokumentasi tidak akan mempunyai hubungan yang kuat dengan implementasi jaringan yang sedang digunakan.