DMZ (DE-MILITARISED ZONE)
Dalam keamanan komputer, sebuah zona demiliterisasi, yang diberi nama setelah penggunaan militer dari istilah dan biasanya disingkat DMZ; juga dikenal sebagai Data Management Zone atau Zona Demarkasi atau Perimeter Network, adalah fisik atau logis Sub-jaringan yang mengandung dan mengekspos sebuah organisasi layanan eksternal yang lebih besar, jaringan tidak dipercaya, biasanya Internet.
The purpose of a DMZ is to add an additional layer of security to an organization's Local Area Network (LAN); an external attacker only has access to equipment in the DMZ, rather than the whole of the network. Tujuan dari DMZ adalah menambahkan lapisan tambahan keamanan untuk sebuah organisasi Local Area Network (LAN); eksternal hanya penyerang yang memiliki akses ke peralatan di DMZ, daripada seluruh jaringan.
Dasar Pemikiran
Dalam sebuah jaringan, maka host paling rentan terhadap serangan adalah mereka yang memberikan layanan kepada pengguna di luar LAN, seperti e-mail, web dan DNS server. Karena peningkatan potensi host ini terganggu, mereka ditempatkan dalam Sub-jaringan mereka sendiri untuk melindungi sisa jaringan jika seorang penyusup adalah untuk berhasil. Host di DMZ memiliki konektivitas terbatas host tertentu dalam jaringan internal, walaupun komunikasi dengan host lain di DMZ dan ke jaringan eksternal diperbolehkan. Hal ini memungkinkan host dalam DMZ untuk menyediakan layanan untuk baik jaringan internal dan eksternal, sedangkan firewall campur tangan mengendalikan lalu lintas antara DMZ server dan klien jaringan internal.
Layanan yang termasuk dalam DMZ
Umumnya, setiap layanan yang sedang diberikan kepada pengguna di jaringan eksternal dapat ditempatkan dalam DMZ. Yang paling umum dari layanan ini adalah web server, mail server, ftp server, VoIP server dan DNS server. Dalam beberapa situasi, langkah- langkah tambahan perlu diambil untuk dapat memberikan layanan aman.
Web server
Web server mungkin perlu untuk berkomunikasi dengan database internal untuk menyediakan beberapa layanan khusus. Karena server database tidak dapat diakses publik dan mungkin berisi informasi sensitif, itu tidak boleh di DMZ. Umumnya, ini bukan ide yang baik untuk memungkinkan web server untuk berkomunikasi langsung dengan server database internal. Sebaliknya, sebuah server aplikasi dapat digunakan untuk bertindak sebagai media komunikasi antara web server dan database server. Ini mungkin lebih rumit, tetapi menyediakan layer keamanan lain.
E-mail server
Karena sifat rahasia e-mail, bukan ide yang bagus untuk menyimpannya dalam DMZ, juga bukan ide yang baik untuk menjaga pengguna database terbuka di zona yang sama. Sebaliknya, e-mail harus disimpan di internal server e-mail diletakkan dalam lemari besi atau daerah tersembunyi di dalam DMZ (itu berarti sebuah zona terjangkau untuk eksternal tapi dengan akses dari / ke server e-mail). Beberapa orang menempatkan internal server e-mail di wilayah LAN, yang beberapa kali bukanlah praktek terbaik, karena tidak memungkinkan untuk mendapatkan performa terbaik dalam hal lalu lintas jaringan. Juga menyiratkan masalah keamanan, karena menganggap keamanan bagi serangan eksternal, tetapi tidak untuk internal (yaitu komunikasi ini dapat mengendus atau palsu).
Mail server di DMZ harus masuk melalui mail ke diamankan / internal server mail dan server surat ini harus lewat surat keluar ke server mail eksternal. User database harus berada di tempat lain (yaitu database, LDAP, Server), dalam rangka untuk memeriksa keaslian pengguna on-the-fly.
Proxy server
Untuk keamanan, penegakan hukum dan juga alasan pemantauan, dalam lingkungan bisnis, juga dianjurkan untuk menginstal sebuah proxy server dalam DMZ. Ini memiliki keuntungan sebagai berikut:
- Mewajibkan pengguna internal (biasanya karyawan) untuk menggunakan proxy khusus ini untuk mendapatkan akses internet. Para pengguna seharusnya tidak diperbolehkan untuk browsing internet secara langsung dan melewati DMZ pertahanan.
- Memungkinkan perusahaan untuk menghemat bandwidth internet karena beberapa konten web dapat di-cache oleh server proxy.
- Memungkinkan administrator sistem untuk merekam dan memantau aktivitas pengguna dan pastikan tidak ada konten ilegal di-download atau di-upload oleh para karyawan. Di banyak negara Uni Eropa misalnya, seorang direktur perusahaan yang bertanggung jawab atas aktivitas internet karyawan.
Reverse proxy server
Sebuah reverse proxy server yang menyediakan layanan yang sama sebagai server proxy, tetapi sebaliknya. Alih-alih memberikan layanan kepada pengguna internal, tidak langsung memberikan akses ke sumber daya internal dari jaringan eksternal (biasanya Internet). Sebuah aplikasi kantor belakang akses, seperti sistem email, dapat diberikan kepada pengguna eksternal (untuk membaca email sementara di luar perusahaan), tetapi user remote tidak memiliki akses langsung ke server email. Hanya server proxy sebaliknya secara fisik dapat mengakses server email internal. Ini adalah lapisan tambahan keamanan, yang direkomendasikan terutama ketika sumber daya internal yang perlu diakses dari luar. Biasanya mekanisme proxy reverse seperti ini disediakan dengan menggunakan aplikasi firewall lapisan ketika mereka memusatkan perhatian pada bentuk tertentu lalu lintas, bukan spesifik mengontrol akses ke TCP dan UDP port sebagai filter paket firewall tidak.
Arsitektur
Ada berbagai cara untuk merancang sebuah jaringan dengan DMZ. Dua metode yang paling dasar adalah dengan satu firewall, juga dikenal sebagai model berkaki tiga, dan dengan firewall ganda. Arsitektur-arsitektur ini dapat diperluas untuk menciptakan arsitektur yang sangat kompleks, tergantung pada persyaratan jaringan.
Single firewall
Sebuah firewall dengan minimal 3 antarmuka jaringan dapat digunakan untuk menciptakan sebuah arsitektur jaringan yang berisi DMZ. Jaringan eksternal terbentuk dari ISP ke firewall pada antarmuka jaringan pertama, jaringan internal yang terbentuk dari kedua antarmuka jaringan, dan DMZ terbentuk dari antarmuka jaringan ketiga. Firewall menjadi titik kegagalan tunggal untuk jaringan dan harus dapat menangani semua lalu lintas akan DMZ serta jaringan internal. Zona biasanya ditandai dengan warna. Hijau untuk LAN, jeruk untuk DMZ, ungu atau biru untuk zona nirkabel dan merah untuk Internet. Perhatikan bahwa gambar di bawah tidak mencerminkan warna yang tepat.
Dual Firewall
Pendekatan yang lebih aman adalah dengan menggunakan dua firewall untuk menciptakan DMZ. Firewall pertama (juga disebut sebagai "front-end" firewall) harus dikonfigurasi untuk mengizinkan lalu lintas baik ditakdirkan baik kepada DMZ serta jaringan internal. Firewall kedua (juga disebut "back-end" firewall) memungkinkan hanya lalu lintas dari DMZ ke jaringan internal. Menangani firewall pertama yang jauh lebih besar daripada jumlah lalu lintas firewall kedua.
Beberapa merekomendasikan bahwa dua firewall disediakan oleh dua vendor yang berbeda. Jika penyerang berhasil menerobos firewall pertama, akan diperlukan lebih banyak waktu untuk menerobos yang kedua jika dibuat oleh vendor yang berbeda. (Arsitektur ini, tentu saja, lebih mahal.) Praktek menggunakan firewall yang berbeda dari vendor yang berbeda kadang-kadang digambarkan sebagai "pertahanan mendalam" atau (dari sudut pandang yang berlawanan) "keamanan melalui ketidakjelasan".
DMZ host
Beberapa rumah router merujuk pada DMZ host. Sebuah rumah router DMZ host adalah host di jaringan internal yang memiliki semua port terbuka, kecuali yang port diteruskan sebaliknya. Dengan definisi ini bukan benar DMZ (zona demiliterisasi), karena ia sendiri tidak terpisah host dari jaringan internal Artinya, DMZ host dapat terhubung ke host pada jaringan internal, sedangkan host dalam DMZ nyata dihalangi dari berhubungan dengan jaringan internal oleh firewall yang memisahkan mereka, kecuali firewall memungkinkan sambungan. Firewall dapat mengizinkan ini jika sebuah host pada jaringan internal permintaan pertama sambungan ke host dalam DMZ.
Port Knocking: Metode Pengamanan ala Brankas
Metode pengamanan ala brankas ternyata juga dapat dilakukan di dalam sistem pengamanan jaringan komputer. Sistem ini diberi nama cukup unik, yaitu Port knocking. Jika berbicara soal keamanan jaringan komputer, mungkin komponen yang akan sering dibicarakan adalah seputar firewall beserta celah-celah keamanan jaringan itu sendiri. Celah-celah keamanan dapat terbuka biasanya dikarenakan perangkat komputer milik Anda tersebut diinstali dengan “sesuatu”. Anda mungkin menginstalinya dengan aplikasi pengolah dokumen, aplikasi e-mail client, aplikasi antivirus, aplikasi server client, dan banyak aplikasi yang mungkin Anda butuhkan bahkan mungkin juga tidak. Bisa saja Anda menginstalnya dengan sengaja maupun tanpa disengaja. Aplikasi-aplikasi yang Anda instal, terutama yang dapat terhubung dengan jaringan dan Internet, biasanya akan membuka port-port komunikasi.
Port-port komunikasi ini biasanya merupakan port- port yang ada dalam protokol TCP atau UDP yang merupakan anggota dari Transportation layer pada standar OSI. Melalui port komunikasi ini, dunia luar dapat menjangkau perangkat Anda. Begitu pula sebaliknya, Anda juga bisa menjangkau mereka yang membuka port komunikasi tertentu. Komunikasi dapat berjalan dengan lancar, pertukaran informasi menjadi mudah dan kenyamanan Anda berkomputer bertambah dengan terbukanya port-port komunikasi ini. Namun, kadang kala kenyamanan ini sering disalahgunakan oleh sebagian orang. Port-port komunikasi ini sering dijadikan sebagai celah untuk dimasuki secara ilegal. Port-port yang terbuka digunakan sebagai jalan menuju ke dalam jaringan internal atau ke server-server di dalamnya, kemudian mengacaukannya. Keterbukaannya yang bebas ini juga bisa menjadi salah satu ancaman bagi keamanan data Anda. Sangat mungkin penyusup masuk ke dalam komputer Anda, komputer di sebelah Anda, bahkan ke seluruh komputer dijaringan Anda jika dibiarkan terbuka sebebas-bebasnya. Jika jumlah komputer yang terkoneksi ke jaringan sedikit, mungkin tidak akan sulit untuk mengetahui apa saja yang terinstal di masing-masing komputer.
Namun, bagaimana jika jumlahnya sudah mencapai puluhan bahkan ratusan? Administrator jaringan mungkin tidak akan punya waktu untuk terus-menerus memantau apa yang telah terinstal di komputer-komputer tersebut. Untuk itulah, sebuah firewall sangat dibutuhkan untuk hadir di dalam jaringan Anda. Firewall biasanya memiliki tugas utama melakukan pemblokiran terhadap port-port komunikasi yang terbuka di dalam sebuah jaringan. Di dalam firewall semua komunikasi keluar dan masuk dikontrol. Port-port yang tidak penting dapat diblokir di sini. Port-port yang penting dan berbahaya juga dapat diblokir di sini, sehingga hanya pihak yang Anda izinkan saja yang boleh masuk. Metode ini merupakan sistem pengamanan yang paling efektif dan banyak digunakan. Namun terkadang, pemblokiran yang Anda lakukan sering menjadi senjata makan tuan.
Ketika Anda butuh untuk menjalin komunikasi dengan apa yang ada di dalam jaringan Anda, firewall tidak mengizinkannya karena mungkin memang Anda berada pada area yang tidak diizinkan. Padahal komunikasi yang ingin Anda lakukan sangatlah penting untuk kelancaran kerja Anda. Misalnya, Anda terkoneksi dengan Internet dan butuh masuk ke dalam web server Anda melalui SSH untuk memperbaiki konfigurasinya, sementara port SSH pada server tersebut dilarang untuk diakses dari Internet oleh firewall Anda. Tentu ini akan cukup merepotkan. Untuk mengakali kejadian-kejadian seperti ini, ada sebuah metode yang cukup unik yang dapat dengan efektif menghilangkan masalah senjata makan tuan seperti ini. Metode tersebut diberi nama Port Knocking.
Apa Itu Port Knocking?
Secara harafiah, arti dari Port Knocking adalah melakukan pengetukan terhadap port-port komunikasi yang ada dalam sistem komunikasi data. Fungsi dan cara kerja dari sistem ini tidak jauh berbeda dengan arti harafiahnya. Port knocking merupakan sebuah metode untuk membangun komunikasi dari mana saja, dengan perangkat komputer yang tidak membuka port komunikasi apapun secara bebas. Dengan kata lain, perangkat computer ini tidak memiliki port komunikasi yang terbuka bebas untuk dimasuki, tetapi perangkat ini masih tetap dapat diakses dari luar. Ini dapat terjadi jika Anda menggunakan metode Port Knocking. Koneksi dapat terjadi dengan menggunakan metode pengetukan port-port komunikasi yang ada. Pengetukan port-port ini dilakukan dengan kombinasi tertentu secara berurutan dalam satu rentan waktu tertentu.
Jika kombinasi dari pengetukan tersebut sesuai dengan yang telah ditentukan, maka sebuah port komunikasi yang diinginkan akan terbuka untuk Anda. Setelah terbuka, Anda bebas mengakses apa yang ada dalam jaringan tersebut melalui port komunikasi yang baru terbuka tadi. Setelah selesai melakukan pekerjaan dan kepentingan Anda, port komunikasi yang tadi terbuka dapat ditutup kembali dengan melakukan pengetukan sekuensialnya sekali lagi. Maka, perangkat komputer dan jaringan Anda akan kembali aman.
Apa Gunanya Port knocking?
Jika dilihat sesaat, Port Knocking memang tidak terlalu banyak gunanya dan tidak terlalu istimewa. Hanya melakukan buka tutup port komunikasi saja tentu tidaklah terlalu banyak gunanya bagi pengguna jaringan lokal. Namun bagi para pekerja telekomuter, para pengguna komputer yang sering bekerja di luar kantor atau para administrator jaringan dan server yang harus mengurusi server-server mereka 24 jam dari mana saja, Port Knocking merupakan metode yang luar biasa sebagai sebuah jalan penghubung ke perangkat-perangkat komputer mereka. Port knocking cocok untuk mereka yang masih ingin memperkuat sistem keamanan komputer dan perangkat jaringannya, sementara tetap pula ingin memiliki koneksi pribadi ke dalamnya secara kontinyu dan dapat dilakukan dari mana saja.
Komunikasi pribadi maksudnya koneksi yang tidak terbuka untuk umum seperti SMTP atau HTTP. Biasanya komunikasi pribadi ini lebih bersifat administratif dan menggunakan servis-servis seperti telnet, SSH, FTP, TFTP, dan banyak lagi. Komunikasi pribadi ini akan sangat berbahaya jika dapat juga dilakukan oleh orang lain yang tidak berhak. Dengan menggunakan Port knocking, servis-servis tersebut akan tetap tertutup untuk diakses oleh publik, namun masih dapat secara fleksibel di buka oleh siapa saja yang memiliki kombinasi ketukan port-nya.
Bagaimana Cara Kerja Port Knocking?
Port knocking bekerja seperti halnya brankas dengan kunci kombinasi angka putar. Pada brankas tersebut, Anda diharuskan memutar kunci kombinasi beberapa kali hingga tepat seperti yang ditentukan. Sebenarnya Anda memutar lapisan-lapisan kunci di dalam brangkas. Dalam lapisan-lapisan kunci tersebut terdapat sebuah lubang kunci. Jika sebuah putaran tepat, maka sebuah lubang terbuka. Jika seluruh putaran dilakukan dengan kombinasi yang benar, maka seluruh lubang terbuka dan menciptakan sebuah jalur khusus yang bebas tidak ada hambatan sama sekali. Jalur lubang kunci tadi tidak lagi menjadi penghalang pintu brankas untuk dibuka, sehingga pintu dapat terbuka dengan mudah.
Port knocking juga menggunakan sistem yang hampir sama, yaitu menggunakan kombinasi lapisan-lapisan kunci untuk dapat mengamankan sebuah port komunikasi. Perbedaannya ada pada lapisan kunci yang digunakannya. Kunci dari sistem port knocking adalah port- port komunikasi itu sendiri. Cara membuka kuncinya adalah dengan mengakses dengan sengaja beberapa port komunikasi yang memang tertutup. Ketika beberapa port komunikasi tadi diakses dengan kombinasi tertentu, maka akan terbuka sebuah port komunikasi baru yang bebas Anda masuki.
Sebagai contoh, untuk membuka port 22 yang merupakan port komunikasi untuk aplikasi remote login SSH, Anda diharuskan “mengetuk” port 450, 360, 270, 180. Ketika kombinasinya benar dalam suatu waktu tertentu, maka akan terbuka port 22 yang Anda inginkan. Sistem seperti ini dapat tercipta dengan bantuan sebuah program firewall. Program firewall biasanya memiliki fasilitas untuk melakukan logging terhadap setiap proses komunikasi yangkeluar-masuk melaluinya. Dari membaca log inilah, sistem Port knocking dapat mengetahui kombinasi ketukan. Ketika sistem Port knocking membaca sebuah kombinasi yang tepat pada log, maka sebuah proses otomatis menjalankan aplikasi yang akan membuka port komunikasi yang ditentukan. Setelah terbuka, maka jadilah sebuah pintu masuk kedalam perangkat Anda.
Apa Bedanya dengan VPN?
Jika hanya ingin membangun koneksi secara pribadi dari mana saja, mengapa tidak menggunakan VPN saja? Mungkin ada juga pertanyaan seperti itu diajukan terhadap teknologi Port Knocking. VPN memang teknologi yang selama ini digunakan untuk membangun koneksi yang bersifat private dari mana saja di seluruh dunia. Salah satu media yang digunakannya adalah Internet. Melalui VPN, Anda dapat terkoneksi dengan server-server Anda di kantor pusat meskipun Anda tengah berada di luar kota maupun luar negeri, asalkan ada koneksi Internet. VPN bekerja dengan membangun sebuah terowongan atau sering disebut dengan istilah tunnel.
Sebuah tunnel atau terowongan memiliki fungsi untuk membuat sebuah jalur khusus bagi objek yang ingin dilewatkannya. Jalur khusus tersebut tidak akan terganggu oleh apapun di luarnya. Bahkan Anda tidak dapat melihat apa yang sedang lalu-lalang di dalam terowongan tersebut. Seakan-akan apa yang mengalir di dalamnya memiliki jalur langsung atau point-to-point dari lokasi pengiriman ke tujuannya. Begitu pula VPN, seakan-akan Anda memiliki sebuah koneksi point-to-point ke lokasi yang ingin Anda tuju, padahal untuk terhubung ke sana data tersebut akan melalui jalur Internet.
Untuk membuat VPN, biasanya dibutuhkan sebuah server atau hardware spesifik yang memiliki kemampuan itu. Jika server yang digunakan, mungkin server tersebut harus diinstali dengan berbagai macam aplikasi, dengan berbagai pengaturan khusus dan spesifikasi tertentu, dan memakan waktu cukup lama untuk menyiapkannya. Jika menggunakan hardware khusus tentu akan lebih mudah, tetapi Anda harus mengeluarkan biaya tambahan untuk itu. Membuat sistem Port Knocking jauh lebih mudah daripada membuat VPN. Fungsi dan keunggulannya banyak memiliki persamaan, meskipun cara kerja dan metode yang digunakannya sangat jauh berbeda. Untuk menghubungkan Anda ke jaringan lokal, Port knocking dapat digunakan untuk membuka servis-servis tertentu yang dapat digunakan untuk melakukan remote login Misalnya dengan menggunakan servis SSH untuk dapat masuk ke dalam sebuah server yang juga terkoneksi ke dalam jaringan lokal.
Tetap Aman dan Juga “Sedikit” Nyaman
Mau jaringan komputer Anda aman dan juga nyaman? Mungkin sangat sulit untuk membuat jaringan yang benar-benar aman namun juga sangat nyaman. Baik sang administrator maupun pengguna pasti akan merasakan betapa tidak nyamannya untuk berada dalam sebuah jaringan yang keamanannya hebat. Sang admin harus selalu bekerja rajin untuk mengawasi dan menutupi celah-celah yang hampir tidak ada putus-putusnya. Para pengguna pun akan merasa tidak bebas bergerak jika koneksi ke sana-ke mari selalu dibatasi dan diawasi. Namun dengan adanya Port knocking, rasanya mereka akan mendapatkan sedikit angin segar.
Di mana keamanan dibuat menjadi lebih fleksibel daripada yang sudah-sudah. Sang administrator tidak akan kerepotan mengawasi port- port komunikasi yang terbuka bebas. Para pengguna pun dapat membuka sendiri port komunikasi yang diinginkannya dengan berbagai macam kombinasi ketukan. Tetapi, Anda juga tidak boleh lengah begitu saja. Mungkin saja berapa bulan lagi, berapa minggu atau bahkan berapa hari lagi, metode Port knocking tidak lagi begitu aman karena kerja iseng para hacker yang dapat menjebolnya. Kemungkinan itu bisa saja terjadi kapan saja, namun paling tidak Port knocking sudah membuat mereka lebih susah dan kenyamanan Anda juga akan sedikit bertambah.
Link yang relevan : http://www.ecgalerycomputer.co.cc/search/label/DMZ
Port-port komunikasi ini biasanya merupakan port- port yang ada dalam protokol TCP atau UDP yang merupakan anggota dari Transportation layer pada standar OSI. Melalui port komunikasi ini, dunia luar dapat menjangkau perangkat Anda. Begitu pula sebaliknya, Anda juga bisa menjangkau mereka yang membuka port komunikasi tertentu. Komunikasi dapat berjalan dengan lancar, pertukaran informasi menjadi mudah dan kenyamanan Anda berkomputer bertambah dengan terbukanya port-port komunikasi ini. Namun, kadang kala kenyamanan ini sering disalahgunakan oleh sebagian orang. Port-port komunikasi ini sering dijadikan sebagai celah untuk dimasuki secara ilegal. Port-port yang terbuka digunakan sebagai jalan menuju ke dalam jaringan internal atau ke server-server di dalamnya, kemudian mengacaukannya. Keterbukaannya yang bebas ini juga bisa menjadi salah satu ancaman bagi keamanan data Anda. Sangat mungkin penyusup masuk ke dalam komputer Anda, komputer di sebelah Anda, bahkan ke seluruh komputer dijaringan Anda jika dibiarkan terbuka sebebas-bebasnya. Jika jumlah komputer yang terkoneksi ke jaringan sedikit, mungkin tidak akan sulit untuk mengetahui apa saja yang terinstal di masing-masing komputer.
Namun, bagaimana jika jumlahnya sudah mencapai puluhan bahkan ratusan? Administrator jaringan mungkin tidak akan punya waktu untuk terus-menerus memantau apa yang telah terinstal di komputer-komputer tersebut. Untuk itulah, sebuah firewall sangat dibutuhkan untuk hadir di dalam jaringan Anda. Firewall biasanya memiliki tugas utama melakukan pemblokiran terhadap port-port komunikasi yang terbuka di dalam sebuah jaringan. Di dalam firewall semua komunikasi keluar dan masuk dikontrol. Port-port yang tidak penting dapat diblokir di sini. Port-port yang penting dan berbahaya juga dapat diblokir di sini, sehingga hanya pihak yang Anda izinkan saja yang boleh masuk. Metode ini merupakan sistem pengamanan yang paling efektif dan banyak digunakan. Namun terkadang, pemblokiran yang Anda lakukan sering menjadi senjata makan tuan.
Ketika Anda butuh untuk menjalin komunikasi dengan apa yang ada di dalam jaringan Anda, firewall tidak mengizinkannya karena mungkin memang Anda berada pada area yang tidak diizinkan. Padahal komunikasi yang ingin Anda lakukan sangatlah penting untuk kelancaran kerja Anda. Misalnya, Anda terkoneksi dengan Internet dan butuh masuk ke dalam web server Anda melalui SSH untuk memperbaiki konfigurasinya, sementara port SSH pada server tersebut dilarang untuk diakses dari Internet oleh firewall Anda. Tentu ini akan cukup merepotkan. Untuk mengakali kejadian-kejadian seperti ini, ada sebuah metode yang cukup unik yang dapat dengan efektif menghilangkan masalah senjata makan tuan seperti ini. Metode tersebut diberi nama Port Knocking.
Apa Itu Port Knocking?
Secara harafiah, arti dari Port Knocking adalah melakukan pengetukan terhadap port-port komunikasi yang ada dalam sistem komunikasi data. Fungsi dan cara kerja dari sistem ini tidak jauh berbeda dengan arti harafiahnya. Port knocking merupakan sebuah metode untuk membangun komunikasi dari mana saja, dengan perangkat komputer yang tidak membuka port komunikasi apapun secara bebas. Dengan kata lain, perangkat computer ini tidak memiliki port komunikasi yang terbuka bebas untuk dimasuki, tetapi perangkat ini masih tetap dapat diakses dari luar. Ini dapat terjadi jika Anda menggunakan metode Port Knocking. Koneksi dapat terjadi dengan menggunakan metode pengetukan port-port komunikasi yang ada. Pengetukan port-port ini dilakukan dengan kombinasi tertentu secara berurutan dalam satu rentan waktu tertentu.
Jika kombinasi dari pengetukan tersebut sesuai dengan yang telah ditentukan, maka sebuah port komunikasi yang diinginkan akan terbuka untuk Anda. Setelah terbuka, Anda bebas mengakses apa yang ada dalam jaringan tersebut melalui port komunikasi yang baru terbuka tadi. Setelah selesai melakukan pekerjaan dan kepentingan Anda, port komunikasi yang tadi terbuka dapat ditutup kembali dengan melakukan pengetukan sekuensialnya sekali lagi. Maka, perangkat komputer dan jaringan Anda akan kembali aman.
Apa Gunanya Port knocking?
Jika dilihat sesaat, Port Knocking memang tidak terlalu banyak gunanya dan tidak terlalu istimewa. Hanya melakukan buka tutup port komunikasi saja tentu tidaklah terlalu banyak gunanya bagi pengguna jaringan lokal. Namun bagi para pekerja telekomuter, para pengguna komputer yang sering bekerja di luar kantor atau para administrator jaringan dan server yang harus mengurusi server-server mereka 24 jam dari mana saja, Port Knocking merupakan metode yang luar biasa sebagai sebuah jalan penghubung ke perangkat-perangkat komputer mereka. Port knocking cocok untuk mereka yang masih ingin memperkuat sistem keamanan komputer dan perangkat jaringannya, sementara tetap pula ingin memiliki koneksi pribadi ke dalamnya secara kontinyu dan dapat dilakukan dari mana saja.
Komunikasi pribadi maksudnya koneksi yang tidak terbuka untuk umum seperti SMTP atau HTTP. Biasanya komunikasi pribadi ini lebih bersifat administratif dan menggunakan servis-servis seperti telnet, SSH, FTP, TFTP, dan banyak lagi. Komunikasi pribadi ini akan sangat berbahaya jika dapat juga dilakukan oleh orang lain yang tidak berhak. Dengan menggunakan Port knocking, servis-servis tersebut akan tetap tertutup untuk diakses oleh publik, namun masih dapat secara fleksibel di buka oleh siapa saja yang memiliki kombinasi ketukan port-nya.
Bagaimana Cara Kerja Port Knocking?
Port knocking bekerja seperti halnya brankas dengan kunci kombinasi angka putar. Pada brankas tersebut, Anda diharuskan memutar kunci kombinasi beberapa kali hingga tepat seperti yang ditentukan. Sebenarnya Anda memutar lapisan-lapisan kunci di dalam brangkas. Dalam lapisan-lapisan kunci tersebut terdapat sebuah lubang kunci. Jika sebuah putaran tepat, maka sebuah lubang terbuka. Jika seluruh putaran dilakukan dengan kombinasi yang benar, maka seluruh lubang terbuka dan menciptakan sebuah jalur khusus yang bebas tidak ada hambatan sama sekali. Jalur lubang kunci tadi tidak lagi menjadi penghalang pintu brankas untuk dibuka, sehingga pintu dapat terbuka dengan mudah.
Port knocking juga menggunakan sistem yang hampir sama, yaitu menggunakan kombinasi lapisan-lapisan kunci untuk dapat mengamankan sebuah port komunikasi. Perbedaannya ada pada lapisan kunci yang digunakannya. Kunci dari sistem port knocking adalah port- port komunikasi itu sendiri. Cara membuka kuncinya adalah dengan mengakses dengan sengaja beberapa port komunikasi yang memang tertutup. Ketika beberapa port komunikasi tadi diakses dengan kombinasi tertentu, maka akan terbuka sebuah port komunikasi baru yang bebas Anda masuki.
Sebagai contoh, untuk membuka port 22 yang merupakan port komunikasi untuk aplikasi remote login SSH, Anda diharuskan “mengetuk” port 450, 360, 270, 180. Ketika kombinasinya benar dalam suatu waktu tertentu, maka akan terbuka port 22 yang Anda inginkan. Sistem seperti ini dapat tercipta dengan bantuan sebuah program firewall. Program firewall biasanya memiliki fasilitas untuk melakukan logging terhadap setiap proses komunikasi yangkeluar-masuk melaluinya. Dari membaca log inilah, sistem Port knocking dapat mengetahui kombinasi ketukan. Ketika sistem Port knocking membaca sebuah kombinasi yang tepat pada log, maka sebuah proses otomatis menjalankan aplikasi yang akan membuka port komunikasi yang ditentukan. Setelah terbuka, maka jadilah sebuah pintu masuk kedalam perangkat Anda.
Apa Bedanya dengan VPN?
Jika hanya ingin membangun koneksi secara pribadi dari mana saja, mengapa tidak menggunakan VPN saja? Mungkin ada juga pertanyaan seperti itu diajukan terhadap teknologi Port Knocking. VPN memang teknologi yang selama ini digunakan untuk membangun koneksi yang bersifat private dari mana saja di seluruh dunia. Salah satu media yang digunakannya adalah Internet. Melalui VPN, Anda dapat terkoneksi dengan server-server Anda di kantor pusat meskipun Anda tengah berada di luar kota maupun luar negeri, asalkan ada koneksi Internet. VPN bekerja dengan membangun sebuah terowongan atau sering disebut dengan istilah tunnel.
Sebuah tunnel atau terowongan memiliki fungsi untuk membuat sebuah jalur khusus bagi objek yang ingin dilewatkannya. Jalur khusus tersebut tidak akan terganggu oleh apapun di luarnya. Bahkan Anda tidak dapat melihat apa yang sedang lalu-lalang di dalam terowongan tersebut. Seakan-akan apa yang mengalir di dalamnya memiliki jalur langsung atau point-to-point dari lokasi pengiriman ke tujuannya. Begitu pula VPN, seakan-akan Anda memiliki sebuah koneksi point-to-point ke lokasi yang ingin Anda tuju, padahal untuk terhubung ke sana data tersebut akan melalui jalur Internet.
Untuk membuat VPN, biasanya dibutuhkan sebuah server atau hardware spesifik yang memiliki kemampuan itu. Jika server yang digunakan, mungkin server tersebut harus diinstali dengan berbagai macam aplikasi, dengan berbagai pengaturan khusus dan spesifikasi tertentu, dan memakan waktu cukup lama untuk menyiapkannya. Jika menggunakan hardware khusus tentu akan lebih mudah, tetapi Anda harus mengeluarkan biaya tambahan untuk itu. Membuat sistem Port Knocking jauh lebih mudah daripada membuat VPN. Fungsi dan keunggulannya banyak memiliki persamaan, meskipun cara kerja dan metode yang digunakannya sangat jauh berbeda. Untuk menghubungkan Anda ke jaringan lokal, Port knocking dapat digunakan untuk membuka servis-servis tertentu yang dapat digunakan untuk melakukan remote login Misalnya dengan menggunakan servis SSH untuk dapat masuk ke dalam sebuah server yang juga terkoneksi ke dalam jaringan lokal.
Tetap Aman dan Juga “Sedikit” Nyaman
Mau jaringan komputer Anda aman dan juga nyaman? Mungkin sangat sulit untuk membuat jaringan yang benar-benar aman namun juga sangat nyaman. Baik sang administrator maupun pengguna pasti akan merasakan betapa tidak nyamannya untuk berada dalam sebuah jaringan yang keamanannya hebat. Sang admin harus selalu bekerja rajin untuk mengawasi dan menutupi celah-celah yang hampir tidak ada putus-putusnya. Para pengguna pun akan merasa tidak bebas bergerak jika koneksi ke sana-ke mari selalu dibatasi dan diawasi. Namun dengan adanya Port knocking, rasanya mereka akan mendapatkan sedikit angin segar.
Di mana keamanan dibuat menjadi lebih fleksibel daripada yang sudah-sudah. Sang administrator tidak akan kerepotan mengawasi port- port komunikasi yang terbuka bebas. Para pengguna pun dapat membuka sendiri port komunikasi yang diinginkannya dengan berbagai macam kombinasi ketukan. Tetapi, Anda juga tidak boleh lengah begitu saja. Mungkin saja berapa bulan lagi, berapa minggu atau bahkan berapa hari lagi, metode Port knocking tidak lagi begitu aman karena kerja iseng para hacker yang dapat menjebolnya. Kemungkinan itu bisa saja terjadi kapan saja, namun paling tidak Port knocking sudah membuat mereka lebih susah dan kenyamanan Anda juga akan sedikit bertambah.
Link yang relevan : http://www.ecgalerycomputer.co.cc/search/label/DMZ
0 komentar:
Posting Komentar