RSS
 

Archive for January, 2020

Security – Firewall

21 Jan

Konsep Firewall

Firewall adalah sebuah sistem atau grup sistem yang menjalankan kontrol akses keamanan diantara jaringan internal yang aman dan jaringan yang untrusted seperti internet. Firewall didesain untuk mengijinkan trusted data lewat, menolak layanan yang mudah diserang, mencegah jaringan internal dari serangan luar yang bisa menembus firewall setiap waktu.

Gambar 1. Firewall akses dari Untrusted Network

Komponen Sistem Firewall :

  • Firewall dapat berupa PC, router, UNIX workstation, atau gabungan dari yang tersebut diatas.
  • Firewall dapat terdiri dari satu atau lebih komponen fungsional sebagai berikut :
    • Packet-filtering router
    • Application level gateway (proxy)

Packet-Filtering Router

Packet-filtering menggunakan router yang dapat meneruskan paket sesuai dengan filtering rules. Informasi filter yang dapat ditangkap dari packet header :

  •   IP address sumber dan tujuan
  •   Nomor port TCP/UDP sumber dan tujuan
  •   Tipe ICMP message
  •   Informasi encapsulated protocol (TCP, UDP,     ICMP atau IP tunnel)

Gambar 2. Arsitektur router sebagai packet filter Firewall untuk melindungi Server-server.

Pada gambar 2 diatas, Network-1 memiliki alamat 192.168.1.0/24, dan network-2 dengan alamat 192.168.2.0/24. Jika alamat IP DNS 192.168.2.1, alamat ip web-1 192.168.2.2 dan alamat FTP adalah 192.168.2.3. Sedangkan untuk router (R1) interface E0 adalah 192.168.1.1 dan interface E1 adalah 192.168.2.1, maka untuk berbagai ketentuan packet filter dapat dilakukan dengan menggunakan access-list (pada perangkat cisco). Access-list merupakan fitur dari perangkat Cisco yang dapat digunakan untuk memfilter packet dari yang sederhana (standard), sampai dengan filter packet secara detail (extended). Standard access-list hanya melakukan filter berdasarkan tujuan packet sedangkan extended dapat untuk menyaring (filter) :jenis protocol (tcp, udp, icmp), alamat sumber packet dan alamat tujuan packet, port aplikasi dari suatu layanan jaringan.

Penentuan range alamat dibatasi dengan notasi wildcard mask dari alamat tersebut.

Berikut ini contoh-contoh pengaturan packet filter menggunakan access-list secara sederhana maupun secara extended.

  • Trafik yang di ijinkan mengakses jaringan 192.168.2.0/24 dari network-1

access-list 1 permit 192.168.2.0 0.0.0.255 
access-list 1 deny any any

interface ethernet 0
ip access-group 1 out

  • Firewall tidak mengijinkan PC1 (192.168.1.10) untuk mengakses web server web-1, dan DNS.

access-list 101 deny tcp 192.168.1.10 0.0.0.0 192.168.2.0 0.0.0.255 eq 80
access-list 101 deny tcp 192.168.1.10 0.0.0.0 192.168.2.0 0.0.0.255 eq 53
access-list 101 deny udp 192.168.1.10 0.0.0.0 192.168.2.0 0.0.0.255 eq 53
access-list 101 permit any any

interface ethernet 0
ip access-group 101 out

  • Firewall hanya pengijinkan PC-2 (192.168.1.20) yang diperbolehkan untuk mengakses FTP server.

access-list 101 deny tcp 192.168.1.20 0.0.0.0 192.168.2.0 0.0.0.255 eq 20
access-list 101 deny tcp 192.168.1.20 0.0.0.0 192.168.2.0 0.0.0.255 eq 21
interface ethernet 0
ip access-group 101 out

 

IPv6 subnet-Dynamic RIP

21 Jan

Perhatikan gambar tersebut, pada gambar tersebut terdiri dari 3 network yaitu LAN-1, LAN-2, dan koneksi point-to-point dengan alamat IPv6 sbb :

  1. LAN-1 : 2001::0/125
  2. LAN-2 : 2001::10/125
  3. PP : 2001::8/125

Subnet LAN-1 : 2001::0/126 memiliki anggota range ipv6 sbb :

  1. 2001::0/125 Alamat Subnet IPv6
  2. 2001::1/125 IPV6 pertama (untuk GW/IP router)
  3. 2001::2/125 IPV6 Kedua (PC1)
  4. 2001::3/125 IPV6 Ketiga (PC2)
  5. 2001::4/125 IPV6 keempat (PC0)
  6. 2001::5/125 IPV6 kelima
  7. 2001::6/125 IPV6 keenam
  8. 2001::7/125 IPV6 terakhir (7)

Subnet LAN-1 : 2001::10/126 memiliki anggota range ipv6 sbb :

  1. 2001::10/125 Alamat Subnet IPv6
  2. 2001::11/125 IPV6 pertama (untuk GW/IP router)
  3. 2001::12/125 IPV6 Kedua (PC3)
  4. 2001::13/125 IPV6 Ketiga (PC4)
  5. 2001::14/125 IPV6 keempat (PC5)
  6. 2001::15/125 IPV6 kelima
  7. 2001::16/125 IPV6 keenam
  8. 2001::17/125 IPV6 terakhir (7)

Subnet PP : 2001::8/126 memiliki anggota range ipv6 sbb :

  1. 2001::8/125 Alamat Subnet IPv6
  2. 2001::9/125 IPV6 pertama (untuk IP R1)
  3. 2001::A/125 IPV6 Kedua  (untuk IP R2)
  4. 2001::B/125 IPV6 Ketiga
  5. 2001::C/125 IPV6 keempat
  6. 2001::D/125 IPV6 kelima
  7. 2001::E/125 IPV6 keenam
  8. 2001::F/125 IPV6 terakhir (7)

Cara konfigurasi IPV6 Interface R1 :

R1> enable
R1# configure terminal
R1(config)#ipv6 unicast‐routing
R1(config)#interface fastethernet0/0
R1(config‐if)#ipv6 enable
R1(config‐if)#ipv6 address 2001::1/125
R1(config‐if)#no shutdown
R1(config‐if)#exit
R1(config)#interface fastethernet0/1
R1(config‐if)#ipv6 enable
R1(config‐if)#ipv6 address 2001::9/125
R1(config‐if)#no shutdown
R1(config‐if)#exit

Cara konfigurasi IPV6 Interface R2 :

R2> enable
R2# configure terminal
R2(config)#ipv6 unicast‐routing
R2(config)#interface fastethernet0/0
R2(config‐if)#ipv6 enable
R2(config‐if)#ipv6 address 2001::11/125
R2(config‐if)#no shutdown
R2(config‐if)#exit
R2(config)#interface fastethernet0/1
R2(config‐if)#ipv6 enable
R2(config‐if)#ipv6 address 2001::A/125
R2(config‐if)#no shutdown
R2(config‐if)#exit

Untuk konfigurasi routing router R1 sbb

R1> enable
R1#configure terminal
R1(config)#ipv6 router rip ciscorip
R1(config‐rtr)#exit
R1(config)#interface fastethernet0/0
R1(config‐if)#ipv6 rip ciscorip enable
R1(config‐if)#exit
R1(config)#interface fastethernet0/1
R1(config‐if)#ipv6 rip ciscorip enable
R1(config‐if)#exit
R1(config)#end

Untuk konfigurasi routing router R2 sbb :

R2> enable
R2#configure terminal
R2(config)#ipv6 router rip ciscorip
R2(config‐rtr)#exit
R2(config)#interface fastethernet0/0
R2(config‐if)#ipv6 rip ciscorip enable
R2(config‐if)#exit
R2(config)#interface fastethernet0/1
R2(config‐if)#ipv6 rip ciscorip enable
R2(config‐if)#exit
R2(config)#end

Selanjutnya jika sudah selesai, dapat ditampilkan tabel routing pada masing-masing router menggunakan perintah show ipv6 route

Dan jika masing-masing PC sudah dikonfigurasi sesuai dengan alamat IP seperti pada gambar, dapat diujicoba ping dari masing-masing node.

 

IPv6 Static Route

21 Jan

Berikut contoh konfigurasi static route pada masing-masing router yang sudah di konfigurasi ipv6 address nya di masing-masing Interface router.

Router R1:

R1$enable
R1#conf term
R1(config)#ipv6 unicast-routing
R1(config)#ipv6 route 2001:0:1:2::/64 2001:0:1:1::2
R1(config)#ipv6 route 2001:0:1:5::/64 2001:0:1:1::2
R1(config)#ipv6 route 2001:0:1:4::/64 2001:0:1:1::2

Router R2 :

R2$enable
R2#conf term
R2(config)#ipv6 unicast-routing
R2(config)#ipv6 route 2001:0:1:5::/64 2001:0:1:2::2
R2(config)#ipv6 route 2001:0:1:4::/64 2001:0:1:2::2

Router R3 :

R3$enable
R3#conf term
R3(config)#ipv6 unicast-routing
R3(config)#ipv6 route 2001:0:1:1::/64 2001:0:1:2::1
R3(config)#ipv6 route 2001:0:1:4::/64 2001:0:1:5::2

Router R4

R4$enable
R4#conf term
R4(config)#ipv6 unicast-routing
R4(config)#ipv6 route 2001:0:1:1::/64 2001:0:1:5::1
R4(config)#ipv6 route 2001:0:1:2::/64 2001:0:1:5::1

Router R5 :

R1$enable
R1#conf term
R1(config)#ipv6 unicast-routing
R1(config)#ipv6 route 2001:0:1:5::/64 2001:0:1:4::1
R1(config)#ipv6 route 2001:0:1:2::/64 2001:0:1:4::1
R1(config)#ipv6 route 2001:0:1:1::/64 2001:0:1:4::1

 

 

IPv6 Addressing

20 Jan

IPv6 atau IP versi 6 adalah sebuah jenis pengalamatan jaringan yang digunakan di dalam protokol jaringan TCP/IP yang menggunakan protokol IP versi 6. Panjang totalnya adalah 128-bit, dan secara teoritis dapat mengalamati hingga 2128=3,4 x 1038 host komputer di seluruh dunia.

Dalam IPv6, alamat 128-bit akan dibagi ke dalam 8 blok berukuran 16-bit, yang dapat dikonversikan ke dalam bilangan heksadesimal berukuran 4-digit. Setiap blok bilangan heksadesimal tersebut akan dipisahkan dengan tanda titik dua (:). Karenanya, format notasi yang digunakan oleh IPv6 juga sering disebut dengan colon-hexadecimal format, berbeda dengan IPv4 yang menggunakan dotted-decimal format.

Contoh :

0010000111011010 0000000011010011 000000000000000 0010111100111011 0000001010101010 0000000011111111 1111111000101000 1001110001011010

Penulisannya dengan notasi Hexa Desimal

:21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A

Cara melakukan penulisan tersebut sebagai berikut :1010 1101 1000 1111 .. …. Dan seterusnya -> s.d 128 bit    A     D      8       F  -> sampai dengan 32 Hexsa . Dalam penulisan ipv6, 0000:0000 atau 0:0 dapat diringkas, namun tidak boleh lebih dari 1x. Misalnya :

AD8F:0000:0000:100F:1234:0000:0000:F123

AD8F::100F:1234:0:0:F1234

IPv6 dapat mengenali 3 tipe pengalamatan, yaitu :

  1. Unicast   : Single Devices
  2. Multicast   : ke beberapa devices
  3. Anycast  : ke interface terdekat dalam satu group.

IPv6 tidak mengenal broadcast address, sehingga rumus jumlah IP address tidak seperti ipv4 2n-2(net-ID dan Broadcast-ID), tapi 2n-1 (hanya net-ID saja). Pengaturan alamat IPv6 local/site local (private address) adalah :

FEC0:…………

IPv6 Interface Identifiers (IPv6 IDs)

  • IDs pada alamat IPv6 digunakan untuk mengidentifikasi interface jaringan yang terhubung.
  • IPv6 IDs secara otomatis akan teridentifikasi pada saat komputer melakukan resolusi alamat (address resolution).

Format penulisan IPv6 IDs dapat dijelaskan sebagai berikut :

[–Link local 64 bit —][—net-id dari MAC address (64bit) —]

1111    1110 10[—nol semua][ 0000 0010  ……………………………….]

[   0       2     000C  [+FFFE]  5067FA ]

Vendor                             bebas

Sehingga –>                            [    0200 . 0CFF . FE50 . 67FA           ]

Contoh IPV6 IDs

Misalnya diketahui MAC address interface ethernet-0 sebuah router adalah       0010.7B3B.B530, maka interface tersebut akan memiliki alamat IPv6 sebagai berikut :

FE80::210:7BFF:FE3B:B530

Configurasi Interface Router dengan IPv6

Contoh Setting IPv6

  • R1 (config)#interface ethernet0
  • R1 (config-if)#ipv6 enable
  • R1 (config-if)#ipv6 address 2001:0:1:1::1/64
  • R1 (config-if)#no shut
  • R2 (config)#interface ethernet0
  • R2 (config-if)#ipv6 enable
  • R2 (config-if)#ipv6 address 2001:0:1:1::2/64
  • R2 (config)#interface serial0
  • R2 (config-if)#ipv6 enable
  • R2 (config-if)#ipv6 address 2001:0:1:2::1/64
  • R2 (config-if)#no shut

Melakukan test koneksi dengan PING, sebagai berikut :

R1 #ping ipv6 2001:0:1:1::2

Subnet IPv6

IPv6 dapat dibuat subnet address seperti pada IPv4 dengan maksimum bit adalah 128 (/128).  Untuk alamat IPv6 ini jika dibuat subnet tidak ada lagi Broadcast address, perhatikan contoh subnet berikut :

2001:0:1:1::4/126 terdiri dari :

  1. 2001:0:1:1::4  network-ID
  2. 2001:0:1:1::5  IPv6  pertama
  3. 2001:0:1:1::6  IPv6  kedua
  4. 2001:0:1:1::7  IPv6  terakhir

2001:0:1:1::10/124

  1. 2001:0:1:1::1(0000) 2001:0:1:1::10 network-ID
  2. 2001:0:1:1::1(0001) 2001:0:1:1::11 IPv6  pertama
  3. 2001:0:1:1::1(0010) 2001:0:1:1::12  IPv6  kedua
  4. 2001:0:1:1::1(0011) 2001:0:1:1::13 IPv6  ketiga
  5. …………………..dst….
  6. 2001:0:1:1::1(1111) 2001:0:1:1::1F  IPv6  terakhir (ke-15)
 

VLAN (Virtual Local Area Network)

13 Jan

VLAN adalah sekelompok perangkat pada satu LAN atau lebih yang dikonfigurasikan  sehingga dapat berkomunikasi seperti halnya bila perangkat tersebut terhubung ke jalur yang sama, padahal sebenarnya perangkat tersebut berada pada sejumlah segmen LAN yang berbeda.

 

 

 

 

 

Keuntungan VLAN:

  1. Security
  2. Cost reduction
  3. Higher performance
  4. Broadcast storm mitigation
  5. Improved IT staff efficiency
  6. Simpler project or application management

Tipe Koneksi VLAN

  1. Trunk Link
  2. Access Link
  3. Hibrid Link (gabungan)

Jenis-jenis VLAN

  1. Port based
  2. MAC based
  3. Protocol based
  4. Authentication based

Terminologi VLAN

  1. VLAN Data : VLAN Data adalah VLAN yang dikonfigurasi hanya untuk membawa data-data yang digunakan oleh user.
  2. VLAN Default : Semua port switch pada awalnya menjadi anggota VLAN Default. VLAN Default untuk Switch Cisco adalah VLAN 1
  3. Native VLAN : Native VLAN dikeluarkan untuk port trunking 802.1Q. port trunking 802.1Q mendukung lalu lintas jaringan yang datang dari banyak VLAN (tagged traffic) sama baiknya dengan yang datang dari sebuah VLAN (untagged traffic).
  4. VLAN Manajemen : VLAN Manajemen adalah VLAN yang dikonfigurasi untuk memanajemen switch. Kita dapat memberi IP address dan subnet mask pada VLAN Manajemen, sehingga switch dapat dikelola melalui aplikasi misalnya HTTP.
  5. VLAN Voice : VLAN yang dapat mendukung Voice over IP (VoIP).
 

VLAN-Routing-1

13 Jan

Konfigurasi pada gambar berikut terdiri dari 5 network, 3 dari 5 network merupakan VLAN(Virtual-LAN).  Virtual LAN atau disingkat VLAN merupakan sekelompok perangkat pada satu LAN atau lebih yang dikonfigurasikan sehingga dapat berkomunikasi seperti halnya bila perangkat tersebut terhubung ke jalur yang sama, padahal sebenarnya perangkat tersebut berada pada sejumlah segmen LAN yang berbeda. Untuk mengkonfigurasi agar network pada VLAN dapat terhubung dengan network lain dengan menghubungkan salah satu port switch dengan tipe TRUNK pada suatu Router. Sedangkan untuk network sebagai member VLAN menggunakan tipe ACCESS. Langkah awal untuk menghubungkan ketiga VLAN pada gambar tersebut yakni dengan melakukan konfigurasi pada Switch yang terhubung ke router dengan menambah 3 VLAN dengan ID berbeda(30, 40, dan 50) :

Switch#vlan database

Switch(vlan)#vlan 30 name vlan-30

Switch(vlan)#vlan 40 name vlan-40

Switch(vlan)#vlan 50 name vlan-50

Memasukkan port sesuai dengan fungsinya, misalnya TRUNK atau ACCESS. Trunk adalah port yang terhubung ke router, sedangkan access untuk port yang terhubung ke kelompok VLAN, sbb :

Switch(conf)#interface FastEthernet0/1

Switch(conf-if)#switchport mode trunk

Switch(conf)#interface FastEthernet0/2

Switch(conf-if)#iswitchport access vlan 30

Switch(conf)#interface FastEthernet0/3

Switch(conf-if)#switchport access vlan 40

Switch(conf)#iinterface FastEthernet0/4

Switch(conf)#iswitchport access vlan 50

Untuk konfigurasi pada router, menggunakan salah satu port tertentu pada router dan terhubung ke salah satu port di switch bertipe TRUNK. Untuk mengkonfigurasi pada port router, dengan membuat port tersebut dengan beberapa vlan, yakni dengan istilah sub-interface, sbb:

R2(conf-if)#interface GigabitEthernet0/0.30

R2(conf-if)#encapsulation dot1Q 30

R2(conf-if)#ip address 192.168.3.1 255.255.255.0

R2(conf-if)#interface GigabitEthernet0/0.40

R2(conf-if)#encapsulation dot1Q 40

R2(conf-if)#ip address 192.168.4.1 255.255.255.0

R2(conf-if)#interface GigabitEthernet0/0.50

R2(conf-if)#encapsulation dot1Q 50

R2(conf-if)#ip address 192.168.5.1 255.255.255.0

Kemudian untuk menghubungkan ke-5 network tersebut pada masing-masing router dapat digunakan konfigurasi routing, bisa menggunakan static maupun dynamic.

 

Mengabungkan Static Route dengan RIP

13 Jan

Dua konfigurasi network dengan perbedaan tipe routing seperti pada gambar, pada router R1 dikonfigurasi menggunakan Static Route, sedangkan pada router R3 dikonfigurasi menggunakan tipe routing RIP (dynamic route). Untuk menggabungkan dua konfigurasi dengan beda tipe routing, dapat dilakukan dengan menambahkan satu router R2 sebagai router penghubung. Pada router R2 sebagai penghubung tersebut dilakukan konfigurasi 2 tipe, ke arah static network dilakukan konfigurasi secara static, sedangkan ke arah network dynamic RIP dilakukan konfigurasi secara dynamic. Pada R2 dilakukan konfigurasi routing static, rip dan redistribute static.

Berikut konfigurasi ketiga router tersebut :

Router R1 (static):

ip route 192.168.3.0 255.255.255.0 192.168.2.2

ip route 192.168.4.0 255.255.255.0 192.168.2.2

Router R3 (RIP):

router rip

network 192.168.4.0

network 192.168.3.0

Router R2 (penghubung):

ip route 192.168.1.0 255.255.255.0 192.168.2.1

router rip

version 2

network 192.168.3.0

redistribute static

Setelah semua konfigurasi routing pada masing-masing router telah dilakukan, dapat dilihat tabel routing masing-masing apakah semua network sudah tampil. Misalnya dengan menggunakan perintah show ip route

 

 

Contoh Statis Routing-1

06 Jan

Pada gambar di samping, merupakan contoh topologi dengan menggunakan 4 alamat jaringan yang berbeda. Alamat IP address tiap interface router sudah ditentukan.

Berdasarkan konfigurasi tersebut, untuk menentukan konfigurasi routing secara statik pada masing-masing router, seperti sebagai berikut :

Router 1 : dari 4 network tersebut, pada router 1, 2 network sudah terhubung langsung pada router tersebut, sedangkan 2 network lain berada disebelah router 2. Maka untuk melakukan konfigurasi routing secara statik harus mendefinisikan 2 network yang belum terhubung tersebut. yakni sebagai berikut :

ip route 192.168.20.0 255.255.255.0 192.168.40.2

ip route 192.168.30.0 255.255.255.0 192.168.40.2

Router 2. dari 4 network tersebut, pada router 2, terdapat 3 network yang sudah terhubung secara langsung yaitu : 192.168.20.0/24, 192.168.30.0/24, dan 192.168.40.0/24, sehingga hanya tinggal 1 network saja yang belum bisa dijangkau oleh router 2 yaitu 192.168.10.0/24. Agar network 192.168.10.0/24 dapat di hubungi oleh host yang berada di ke-3 network tersebut, maka konfigurasi routing statis adalah sebagai berikut :

ip route 192.168.10.0 255.255.255.0 192.168.40.1

 

 
 
Skip to toolbar