Beberapa Tipe Proteksi Jaringan Komputer ~ Karena perbedaan fungsi
dalam setiap lapisan jaringan komputer,
maka perlindungan yang dapat dilakukan juga berbeda-beda. Pada bagian ini akan dijelaskan
mengenai Perlindungan Terhadap JaringanKomputer yang bisa dilakukan pada setiap lapisan jaringan komputer, mulai dari lapisan terbawah sampai
dengan lapisan teratas. Poshting ini
merupakan kelanjutan dari poshting sebelumnya yang membahas tentang Pengenalan Arsitektur Jaringan Komputer dan Pengertian Firewall dan FungsiFirewall.· Layer 2
Dalam usaha mengamankan sebuah gedung, tahap yang paling mendasar adalah
dengan menjaga titik akses ke gedung tersebut. Begitu juga dengan pengamanan jaringan komputer, tahap paling
mendasar adalah menjaga titik akses yang dapat digunakan seseorang untuk
terhubung ke dalam jaringan. Pada
umumnya, titik akses jaringan komputer adalah berupa hub atau switch. Dengan
berkembangnya wireless network, maka peralatan wireless access-point juga
termasuk dalam titik akses jaringan yang perlu untuk dilindungi. Saat ini ada
dua mekanisme umum yang biasa digunakan dalam mengamankan titik akses ke jaringan komputer, yaitu :
a. Protokol 802.1x
Protokol 802.1x adalah sebuah protokol yang dapat melakukan otentikasi pengguna
dari peralatan yang akan melakukan hubungan ke sebuah titik-akses. Dengan
protokol ini, ketika sebuah komputer
melakukan hubungan ke sebuah titikakses (hub atau switch), maka
pengguna komputer tersebut perlu melakukan otentikasi sebelum komputer tersebut
terhubung ke jaringan komputer.
Protokol ini sangat berguna untuk melindungi jaringan komputer sekaligus mengakomodasi pengguna-pengguna yang
memiliki peralatan atau komputer
yang bersifat mobile seperti notebook atau PDA. Dengan
digunakannya protokol ini, dapat dijamin bahwa peralatan komputer yang berusaha
melakukan akses ke jaringan komputer sedang dipergunakan oleh pihak yang memang
telah diizinkan untuk melakukan akses. Tiga komponen yang terlibat dalam
protokol ini adalah peralatan yang akan melakukan akses (supplicant),
server yang akan melakukan otentikasi (server RADIUS) dan peralatan yang
menjadi titik akses (otentikator).
Secara umum, tahapan-tahapan dalam protokol ini adalah :
1. Secara default akses ke jaringan tertutup
2. Sebuah supplicant
Melakukan akses dan meminta izin akses ke otentikator, yang kemudian meneruskannya
ke server otentikasi
3. Server otentikasi
Menjawab dengan memberikan 'tantangan' ke supplicant melalui
otentikator
4. Melalui otentikator, supplicant menjawab
'tantangan' yang diberikan
5. Apabila jawaban yang diberikan supplicant benar
Server otentikasi akan memberitahu ke otentikator yang kemudian akan
memberikan akses jaringan ke supplicant
6. Akses jaringan yang sudah terbuka
Akan tetap terbuka sampai ketika terjadi perubahan status koneksi, misalnya
koneksi diputus oleh pengguna atau alat yang terhubung berubah. Ketika terjadi
perubahan status, akses akan kembali ditutup dan proses otentikasi akan
berulang kembali.
Pada perkembangannya, protokol ini digunakan secara lebih mendalam, bukan hanya
untuk melakukan otentikasi terhadap pengguna peralatan yang melakukan akses,
melainkan juga akan digunakan untuk memeriksa apakah konfigurasi peralatan yang
melakukan akses sudah sesuai dengan kebijakan yang berlaku. Misalkan akan
dilakukan pemeriksaan apakah program anti virus yang berjalan pada sebuah notebook
yang akan melakukan koneksi sudah mempergunakan versi yang terbaru, jika
kondisi tersebut tidak terpenuhi maka akses jaringan tidak akan diberikan. Selain itu protokol ini juga dapat
digunakan untuk menegakkan sebuah kebijakan pada peralatan-peralatan yang akan
melakukan akses jaringan komputer.
Kelemahan dari protokol ini adalah, protokol ini harus diimplementasikan
satu per satu pada semua switch/hub yang menjadi titik akses jaringan
komputer.
b. Mac Address
Mac Address Authentication adalah sebuah mekanisme di mana sebuah peralatan yang akan melakukan akses
pada sebuah titik-akses sudah terdaftar terlebih dahulu. Berbeda dengan
protokol 802.1x yang memastikan bahwa alat yang melakukan koneksi dipergunakan
oleh pihak yang berwenang, metode ini untuk memastikan apakah peralatan yang
akan melakukan akses adalah peralatan yang berhak untuk akses tanpa
mempedulikan siapa yang mempergunakannya. Pada setiap peralatan jaringan
komputer terdapat sebuah identitas yang unik. Berdasarkan identitas tersebutlah
metode ini melakukan otentikasi. Pada setiap paket data yang dikirimkan sebuah
peralatan akan mengandung informasi mengenai identitas
peralatan tersebut, yang akan dibandingkan dengan daftar akses yang
dimiliki setiap titik-akses, apabila ternyata identitas peralatan terdapat
dalam daftar, paket yang dikirimkannya akan diteruskan apabila tidak, maka
paket yang dikirimkannya tidak akan diteruskan.
Keuntungan metode ini jika dibandingkan dengan protokol 802.1x adalah
metode ini sudah lebih banyak diimplementasikan pada switch/hub yang
sering digunakan sebagai titik akses. Selain itu, untuk mempergunakan metode
ini, tidak perlu semua switch/hub melakukan filtering, namun
cukup switch/hub utama saja yang melakukannya.
Kelemahan utama dari metode ini adalah seseorang dapat dengan mudah
memanipulasi identitas unik pada peralatan yang digunakannya, sehingga
peralatan tersebut dapat melakukan akses ke sebuah jaringan komputer. Oleh karena itu sangat penting untuk menjaga
integritas daftar identitas peralatan yang dapat melakukan akses ke jaringan.
Selain kedua protokol otentikasi yang telah disebutkan di atas, ada sebuah
metode keamanan yang terletak pada lapisan Data Link tapi tidak
berfungsi untuk melakukan otentikasi penggunaan titik-akses jaringan komputer,
melainkan untuk melindungi data yang dikirimkan pada jaringan komputer
tersebut. Metode tersebut adalah: WEP dan WPA.
Perkembangan teknologi telah membuat transmisi data melalui media gelombang
radio memiliki kualitas yang hampir sama dengan kualitas transmisi data melalui
media kabel. Dengan mempegunakan wireless network, koneksi ke sebuah jaringan komputer menjadi sangat mudah
karena tidak lagi terhambat oleh penggunaan kabel. Asalkan sebuah peralatan
jaringan komputer masih dalam jangkauan gelombang radio komputer penyedia
jaringan, peralatan tersebut dapat terhubung ke dalam jaringan komputer. Akan
tetapi, penggunaan media gelombang radio untuk transmisi data memiliki berbagai
permasalahan keamanan yang cukup serius. Sifat gelombang radio yang menyebar
menyebabkan siapa saja yang berada pada jangkauan gelombang radio yang
digunakan untuk komunikasi data dapat mencuri data yang dikirimkan oleh sebuah
pihak ke pihak lain dengan mudah. Oleh karena itu dikembangkan metode yang
disebut dengan Wired Equivalent Privacy (WEP).
Tujuan utama dari WEP adalah berusaha untuk memberikan tingkat privasi yang
diberikan oleh penggunaan jaringan berbasiskan kabel. Dalam melakukan usaha
itu, WEP akan melakukan enkripsi terhadap data-data yang dikirimkan antara dua
peralatan jaringan komputer berbasiskan gelombang radio, sehingga data yang
dikirimkan tidak dapat dicuri oleh pihak lain. Untuk ini, WEP mempergunakan
algoritma stream-cipher RC4 untuk menjaga kerahasiaan data dan CRC- 32
sebagai kontrol integritas data yang dikirimkan. Oleh karena ada peraturan pembatasan
ekspor teknologi enkripsi oleh pemerintah Amerika Serikat, maka pada awalnya
panjang kunci yang dipergunakan hanyalah sepanjang 40 bit. Setelah peraturan
tersebut dicabut, maka kunci yang digunakan adalah sepanjang 104 bit.
Beberapa analis menemukan bahwa WEP tidak aman dan seseorang dapat dengan
mudah menemukan kunci yang digunakan setelah melakukan analisa paket
terenkripsi yang dia dapatkan. Oleh karena itu pada tahun 2003 dibuat standar
baru yaitu Wi-Fi Protected Access (WPA). Perbedaan antara WEP dengan WPA
adalah penggunaan protokol 802.1x untuk melakukan distribusi kunci yang
digunakan dalam melakukan proses enkripsi dan dekripsi. Selain itu panjang
kunci yang digunakan juga bertambah panjang menjadi 128 bit sehingga menambah
tingkat kesulitan dalam menebak kunci yang digunakan. Selain itu untuk
meningkatkan keamanan, juga dibuat sebuah sistem yang disebut dengan Temporal
Key Integrity Control yang akan melakukan perubahan kunci secara dinamis
selama sistem sedang digunakan. Pada perkembangan selanjutnya, yaitu pada tahun
2004 dibuat standard WPA2, dimana algoritma RC4 digantikan oleh algoritma
enkripsi baru yaitu Advance Encryption System (AES) dengan panjang kunci
sepanjang 256 bit.
·
Layer 3
Pada lapisan
ini, untuk membedakan sebuah peralatan jaringan
komputer dengan peralatan jaringan komputer yang lainnya, digunakan alamat
IP (Internet Protocol). Semua peralatan komputer aktif harus
memiliki sebuah nomor IP unik yang akan menjadi identitasnya di jaringan
komputer. Alamat IP yang saat ini banyak digunakan disebut dengan IPv4, yaitu
sebuah deretan angka dengan format :
x.x.x.x
di mana x adalah angka antara 0 sampai dengan 255.
Saat ini sedang dalam tahap pengembangan versi baru dari alamat IP yang disebut
dengan IPv6. Selain alamat IP, pada lapisan ini juga dikenal istilah Port,
yaitu sebuah pintu masuk ke dalam sebuah sistem
komputer. Pada pintu inilah aplikasi jaringan
komputer yang sedang berjalan dalam sebuah komputer menerima melakukan koneksi dengan pihak lain.
Pada lapisan ini, metode perlindungan jaringan komputer akan berdasarkan pada
alamat IP dan Port. Pada setiap paket data yang dikirimkan oleh sebuah
peralatan jaringan komputer ke peralatan lainnya akan mengandung alamat IP dan Port
yang digunakan oleh pengirim serta alamat IP dan Port dari tujuan
paket tersebut. Sebuah sistem pengamanan yang biasanya dikenal dengan nama firewall
dapat melakukan filtering berdasarkan kedua hal tersebut. Pada umumnya firewall
diletakkan pada gerbang masuk maupun keluar sebuah sistem jaringan komputer.
Selain itu firewall
juga dapat melakukan filtering berdasarakan protokol yang digunakan
oleh sebuah paket data, misalnya sebuah firewall dapat dirancang untuk
menolak paket jenis UDP dan paket jenis ICMP sementara mengizinkan paket jenis
tcp. Pada perkembangannya, firewall tidak hanya melakukan filtering
berdasarkan alamat IP dan Port, tapi juga berdasarkan informasi lainnya
yang tersedia dalam header sebuah paket IP. Sebagai contoh, sebuah firewall
dapat melakukan filtering berdasarkan ukuran data sebuah paket data. Sebuah
firewall juga bisa melakukan filtering berdasarkan status koneksi
antara dua peralatan jaringan komputer, misalnya sebuah firewall dapat
dirancang untuk menolak sebuah paket yang akan membuat sebuah koneksi baru dari
sebuah alamat IP, tapi mengizinkan paket-paket lainnya dari alamat IP tersebut.
Untuk menambah keamanan sistem jaringan komputer, saat ini sebagian besar firewall
sudah bersifat statefull dan tidak lagi stateless. Pada statefull
firewall, firewall akan membuat daftar sejarah status koneksi
antara satu peralatan jaringan komputer dengan peralatan jaringan komputer lainnya. Hal ini untuk mencegah adanya penipuan
status koneksi oleh sebuah peralatan jaringan komputer untuk dapat melewati
proses filtering sebuah firewall.
Selain diimplementasikan pada gerbang masuk atau
gerbang keluar dari sebuah sistem
jaringan komputer, firewall juga dapat diimplementasikan pada sebuah
host. Ini berguna untuk melindungi host tersebut dari serangan
yang berasal dari host lain yang berada pada jaringan komputer yang
sama.
Pada umumnya, implementasi firewall adalah
metoda pengamanan sistem jaringan
komputer yang pertama kali dilakukan. Walaupun cukup ampuh dan mudah untuk
diimplementasikan, tanpa perencanaan yang baik, implementasi firewall dapat
menyebabkan sebuah firewall tersusun atas peraturan-peraturan filtering
yang sangat banyak. Hal ini dapat membuat firewall tersebut menjadi
sulit untuk dikelola karena dengan banyaknya peraturan-peraturan filtering yang
diimplementasikan akan lebih sulit untuk melakukan penelusuran proses
penyaringan paket. Selain itu, banyaknya peraturan filtering yang
terlalu banyak juga dapat menganggu interaksi koneksi data jaringan komputer, karena semua paket yang lewat harus melalui
proses penyaringan yang sangat banyak.
·
Layer 4
/5
Pada lapisan
ini, metode pengamanan lebih difokuskan dalam mengamankan data yang dikirimkan.
Metode pengamanan yang banyak digunakan adalah : VPN. Pada banyak
organisasi besar, organisasi tersebut memiliki kantor-kantor cabang yang
tersebar di banyak tempat. Kantor cabang-kantor cabang tersebut tentu memiliki
kebutuhan untuk saling berhubungan antara satu dengan yang lainnya. Pada
masa-masa awal jaringan komputer,
solusi yang biasa digunakan adalah dengan membangun jaringan privat yang
mengubungkan seluruh kantor cabang yang ada atau yang biasa disebut dengan Wide
Area Network (WAN). Dengan berkembangnya jaringan Internet, solusi dengan
membangun WAN, menjadi solusi yang sangat mahal dan tidak fleksibel. Dengan
berkembangnya Virtual Private Network, sebuah organisasi dapat membangun
jaringan privat maya diatas jaringan publik untuk menghubungkan seluruh kantor
cabang yang dimilikinya.
Kelebihan implementasi VPN dibandingkan dengan
implementasi WAN adalah:
1. Mempermudah perluasan konektivitas jaringan
komputer secara geografis
Untuk menghubungkan beberapa lokasi yang terpisah secara geografis dapat
mempergunakan jaringan publik (Internet) yang dimiliki oleh masing-masing
lokasi. Koneksi Internet yang digunakan oleh sebuah lokasi bisa saja tidak
menggunakan layanan dari service provider yang sama dengan koneksi
Internet di lokasi lainnya.
2. Peningkatan keamanan data
Data yang dikirimkan akan terlindungi sehingga tidak dapat dicuri oleh
pihak lain karena data yang ditransmisikan melalui VPN melalui proses enkripsi.
3. Mengurangi biaya operasional
Dengan menggunakan VPN, setiap lokasi hanya perlu memelihara satu buah
koneksi Internet untuk seluruh kebutuhannya, baik kebutuhan koneksi Internet
maupun kebutuhan koneksi internal organisasi.
4. Menyederhanakan topologi jaringan
Pada dasarnya, VPN adalah perkembangan dari network
tunneling. Dengan tunneling, dua kelompok jaringan komputer yang
terpisah oleh satu atau lebih kelompok jaringan komputer diantaranya dapat
disatukan, sehingga seolah-olah kedua kelompok jaringan komputer tersebut tidak terpisah. Hal ini dapat dilakukan
dengan melakukan enkapsulasi terhadap paket jaringan yang dikirimkan. Tunneling
ini bersifat transparan bagi pengguna jaringan
komputer di kedua sisi kelompok jaringan komputer. Hanya router di
kedua sisi kelompok jaringan komputer
yang melakukan proses enkapsulasi yang mengetahui adanya tunnel tersebut.
Imbal baik dari proses tunneling adalah Maximum Transfer Unit (MTU)
setiap paket yang dikirim menjadi lebih kecil, karena diperlukan ruang tambahan
untuk menambahkan header IP hasilenkapsulasi paket yang dikirimkan.
Berkurangnya MTU dapat menyebabkan berkurangnya kecepatan transfer data antara
dua host yang sedang berkomunikasi.
Salah satu implementasi dari tunneling adalah
mobile IP. Dengan mempergunakan mobile IP, seorang pengguna dapat
selalu mempergunakan alamat IP yang dia miliki dimanapun pengguna tersebut
berada. Implementasi lainnya adalah dengan menambahkan proses kompresi data
yang akan dikirimkan melalui tunnel yang sudah dibuat. Dengan cara ini,
makan dengan ukuran bandwidth yang sama, besar data yang dikirimkan
dapat lebih besar, sehingga meningkatkan kecepatan transfer data.
Seluruh sifat dasar dari network tunneling dimiliki
oleh VPN, ditambah dengan proses enkripsi dan dekripsi. Dengan menggunakan VPN,
seluruh data yang dikirimkan oleh sebuah pengguna jaringan komputer di sebuah
kelompok jaringan komputer ke kelompok jaringan komputer lainnya yang terhubung
dengan VPN akan melalui proses enkripsi, sehingga tidak dapat dibaca oleh
pihak-pihak lain yang berada pada jalur pengiriman data. Pada sisi penerima
data, secara otomatis, data akan melalui proses dekripsi sebelum disampaikan ke
pihak penerima. Sama dengan tunneling, proses enkripsi dan dekripsi data
terjadi secara transparan tanpa diketahui
oleh pengirim maupun penerima. VPN dapat
mempergunakan berbagai macam algoritma enkripsi, baik itu yang bertipe symmetric-key-encryption
maupun publickey encryption. Kunci dari seluruh penggunaan VPN
adalah pada proses enkripsi dan dekripsi data, dan oleh karena itu, pemilihan
algoritma enkripsi menjadi sangat penting dalam implementasi VPN.
Selain untuk menghubungkan dua atau lebih lokasi
kantor cabang, VPN juga banyak digunakan untuk mengakomodasi kebutuhan pekerja
yang bekerja di luar kantor untuk melakukan akses ke sumber daya yang tersedia
pada jaringan internal kantor. Hal ini dapat dilakukan dengan menganggap
komputer yang digunakan oleh seorang pekerja yang berada di luar kantor sebagai
kantor cabang lain yang sedang melakukan koneksi. Cara ini sangat mirip dengan
konsep mobile IP yang sudah dijelaskan diatas, perbedaannya selain
mempergunakan alamat IP yang dia miliki dimanapun dia berada, data yang
dikirimkan akan selalu ter-enkripsi. Dengan cara ini, seorang pekerja yang
sedang berada di luar kantor dapat dengan mudah dan aman mempergunakan
fasilitas yang ada di jaringan komputer kantornya, asalkan yang bersangkutan
dapat terhubung dengan Internet.
Kelemahan utama dari VPN adalah tidak adanya sebuah
standard baku yang dapat diikuti oleh semua pihak yang berkepentingan.
Akibatnya ada banyak implementasi VPN yang dapat digunakan, tapi antara satu
implementasi dengan implementasi lainnya tidak dapat saling berhubungan. Oleh
karena itu apabila sebuah organisasi memilih untuk mempergunakan sebuah
implementasi VPN pada sebuah router, maka seluruh router yang
dimiliki organisasi tersebut yang akan digunakan dalam jaringan VPN, harus
mempergunakan implementasi VPN yang sama. Selain itu jika layanan VPN akan
diberikan kepada para pengguna yang sering berpergian, maka pada setiap host
yang digunakan oleh pengguna tersebut juga harus di-install aplikasi
VPN yang sesuai. Selain itu, karena harus melalui proses enkripsi dan dekripsi,
sehingga waktu yang dibutuhkan untuk melakukan transmisi bertambah, maka
kemungkinan VPN tidak cocok untuk digunakan dalam mengirimkan data yang
bersifat interaktif, seperti tranmisi suara ataupun transmisi video.
·
Layer 7
Lapisan paling atas dari jaringan komputer adalah
lapisan aplikasi. Oleh karena itu, keamanan sebuah sistem jaringan komputer
tidak terlepas dari keamanan aplikasi yang menggunakan jaringan komputer
tersebut, baik itu keamanan data yang dikirimkan dan diterima oleh sebuah
aplikasi, maupun keamanan terhadap aplikasi jaringan komputer tersebut.
Metode-metode yang digunakan dalam pengamanan
aplikasi tersebut antara lain adalah:
1. Secure Socket Layer (SSL)
Secure Socket Layer (SSL) adalah sebuah protokol yang bekerja tepat di
bawah sebuah aplikasi jaringan komputer. Protokol ini menjamin keamanan data
yang dikirimkan satu host dengan host lainnya dan juga memberikan
metode otentikasi, terutama untuk melakukan otentikasi terhadap server yang
dihubungi. Untuk keamanan data, SSL menjamin bahwa data yang dikirimkan tidak
dapat dicuri dan diubah oleh pihak lain. Selain itu, SSL juga melindungi
pengguna dari pesan palsu yang mungkin dikirimkan oleh pihak lain.
Tahapan-tahapan yang harus dilalui dalam menggunakan SSL adalah :
- Negosiasi algoritma yang akan digunakan kedua-belah pihak
- Otentikasi menggunakan Public Key Encryption atau Sertifikat elektronik
- Komunikasi data dengan menggunakan Symmetric Key Encryption.
Pada tahap negosiasi algoritma yang akan digunakan, pilihan-pilihan algoritma
yang bisa digunakan adalah :
- Public Key Encryption :RSA, Diffie-Helman, DSA (Digital Signature Algorithm) atau Fortezza.
- Symmetric Key Encryption :RC2, RC4, IDEA (International Data Encryption Algorithm), DES (Data Encryption Standard), Triple DES atau AES.
- Untuk fungsi hash 1 arah :MD5 (Message-Digest algorithm 5) atau SHA (Secure Hash Algorithm.) Aplikasi yang banyak menggunakan SSL adalah aplikasi perbankan berbasiskan web. Perkembangan lanjutan dari SSL adalah TLS, kepanjangan dari Transport Layer Security.
Kelebihan-kelebihan yang dimiliki oleh TLS adalah :
a. Pemberian nomor
pada semua data dan menggunakan nomor urut pada Message Authentication
Code (MAC).
b.
Message
Digest
hanya dapat dipergunakan dengan kunci yang tepat.
c. Perlindungan terhadap beberapa serangan
yang sudah diketahui (seperti Man in the Middle Attack).
d. Pihak yang menghentikan koneksi
mengirimkan resume dari seluruh data yang dipertukarkan oleh kedua belah
pihak.
e. Membagi data yang dikirimkan menjadi dua bagian
lalu menjalankan fungsi hash yang berbeda pada kedua bagian data.
Pada implementasinya banyak aplikasi di sisi server dapat memfasilitasi
koneksi biasa ataupun koneksi dengan TLS, tergantung dengan kemampuan klien
yang melakukan koneksi. Apabila klien dapat melakukan koneksi dengan TLS maka
data yang dikirimkan akan melalui proses enkripsi. Sebaliknya, apabila klien
tidak memiliki kemampuan TLS, maka data akan dikirimkan dalam format plaintext.
2. Application Firewall
Selain permasalahan keamanan transaksi data, yang perlu diperhatikan pada lapisan
ini adalah aplikasi itu sendiri. Sebuah aplikasi jaringan komputer yang terbuka
untuk menerima koneksi dari pihak lain dapat memiliki kelemahan yang dapat
dipergunakan oleh pihak yang tidak bertanggung jawab. Sebuah kelemahan pada
sebuah aplikasi dapat mengancam keamanan host yang menjalankan aplikasi
tersebut juga host-host lain yang berada pada sistem jaringan komputer
yang sama.
Dengan semakin berkembangnya virus dan worm yang menyerang
kelemahankelemahan yang ada pada aplikasi jaringan komputer, maka diperlukan
keamanan lebih pada lapisan ini. Untuk melindungi aplikasi-aplikasi jaringan
komputer yang ada, maka perlu dipastikan bahwa semua data yang diterima oleh
aplikasi tersebut dari pihak lain adalah data yang valid dan tidak berbahaya.
Sebuah Application Firewall adalah sebuah sistem yang akan memeriksa
seluruh data yang akan diterima oleh sebuah aplikasi jaringan komputer.
Paket-paket data yang diterima dari pihak lain akan disatukan untuk kemudian
diperiksa apakah data yang dikirimkan berbahaya atau tidak. Apabila ditemukan
data yang berbahaya untuk sebuah aplikasi, maka data tersebut akan dibuang,
sehingga tidak membahayakan sistem jaringan komputer secara keseluruhan.
Pada umumnya Application Firewall
diletakkan pada setiap host untuk melindungi aplikasi jaringan
komputer yang ada pada host tersebut. Kekurangan dari sistem ini adalah
diperlukannya sumber daya komputasi yang sangat besar untuk menyatukan kemudian
memeriksa seluruh paket yang diterima oleh sebuah host.
Selain itu, dengan adanya sistem ini, maka waktu yang dibutuhkan agar
sebuah data dapat sampai ke aplikasi yang dituju akan semakin lama, karena
harus melalui pemeriksaan terlebih dahulu. Oleh karena itu, sistem ini tidak
cocok untuk diimplementasikan pada sistem yang mengharuskan data dikirim dan
diterima secara real-time.
Bentuk lain dari Application Firewall
adalah Network Proxy.
Tugas sebuah proxy adalah untuk mewakili klien-klien yang ada untuk
melakukan hubungan dengan server-server tujuan. Bagi klien yang akan melakukan
koneksi ke sebuah server, proxy adalah server tersebut. Sedangkan bagi
server yang dihubungi, proxy adalah kliennya.
Dengan menggunakan proxy
akan lebih sulit bagi pihak luar untuk melakukan serangan ke jaringan
komputer internal, karena pihak tersebut hanya dapat berhubungan dengan proxy
tersebut, sehingga pihak luar tersebut tidak dapat mengetahui lokasi
sebenarnya dari server yang dihubunginya. Selain itu sebuah proxy juga
dapat memiliki sederetan access-list yang akan mengatur hak akses klien
ke server. Network Proxy juga dapat difungsikan terbalik, menjadi sebuah
reverse proxy. Dengan reverse proxy tujuan utamanya adalah untuk
melindungi server-server di jaringan internal. Karena semua request dari
klien eksternal akan diterima oleh reverse proxy, maka paket-paket request yang berbahaya bagi
server akan tersaring dan tidak berbahaya bagi server internal organisasi.
Kelemahan dari proxy adalah
antara klien dan server tidak memiliki hubungan langsung. Oleh karena itu, proxy
tidak dapat digunakan pada protokol-protokol ataupun aplikasi yang
membutuhkan interaksi langsung antara klien dan server.
Semoga
bermanfaat dan terimakasih.
» JANGAN LUPA LIKE N Komentarnya Yeach...
Tidak ada komentar:
Posting Komentar