TUGAS TEORI
Bastion Host
Bastion Host merupakan komputer khusus yang bertujuan pada jaringan khusus
yang dirancang dan dikonfigurasi untuk
menahan serangan. Komputer umumnya adalah host dengan single application,
misalnya server proxy, dan semua layanan lainnya yang dihapus atau dibatasi
untuk mengurangi ancaman terhadap komputer. Hal ini dikarenakan lokasi dan
tujuan, baik di luar firewall atau di DMZ dan biasanya melibatkan akses dari
untrusted network atau komputer.
Istilah ini secara umum dikaitkan dengan
Marcus J. Ranum dalam sebuah artikel yang membahas tentang firewall. Ia
mendefinisikan bastion host sebagai sebuah sistem yang diidentifikasi oleh
administrator firewall sebagai critical strong point dalam keamanan jaringan.
Pada umumnya, bastion host akan memiliki beberapa tingkat extra attention paidr
untuk keamanan mereka, mungkin menjalankan audit reguler, dan mungkin telah
dimodifikasi software.
Ada dua konfigurasi jaringan yang umum yang
termasuk bastion host dan penempatan mereka. Yang pertama membutuhkan dua
firewall, dengan bastion host berada diantara "outside world"
firewall pertama, dan sebuah firewall dalam, di zona demiliterisasi (DMZ).
Seringkali jaringan yang lebih kecil tidak memiliki multiple firewall, jadi
jika hanya ada satu firewall dalam jaringan, bastion host biasanya ditempatkan
di luar firewall.
Bastion host yang terkait dengan
multi-homed host dan screened host. Sementara dual-homed host seringkali
mengandung firewall juga digunakan untuk host layanan lain juga. Sebuah host
disaring adalah dual-homed host yang didedikasikan untuk menjalankan firewall.
Bastion Server juga dapat diatur menggunakan ProxyCommand dengan OpenSSH.
Ada beberapa contoh dari bastion host
system atau services :
·
DNS
(Domain Name System) server
·
Email
server
·
FTP
(File Transfer Protocol) server
·
Honeypot
·
Proxy
server
·
VPN
(Virtual Private Network) server
·
Web
server
FTP dan NAT
·
FTP
(File Transfer Protocol)
Protokol TCP/IP memiliki
beberapa aplikasi, terutama yang berhubungan dengan memodifikasi file. Ada 2
mekanisme untuk melakukan transfer file, mekanisme yang pertama melakukan
pengiriman file dari komputer lain ke komputer lokal, dan mekanisme yang lain adalah
menggunakan mekanisme file sistem, dimana ada suatu mekanisme yang
memperbolehkan suatu pengguna untuk melakukan perubahan terhadap file yang
berada di komputer yang lain. Contoh protokol yang menggunakan mekanisme
pertama adalah FTP dan TFTP, sedangkan yang menggunakan mekanisme kedua adalah
NFS.
FTP merupakan protokol standar
dengan STD nomer 9. Dijelaskan pada RFC 959 – File Transfer Protocol (FTP) dan
diupdate dengan RFC 2228 – FTP security extention. FTP melakukan duplikat file
dari komputer yang satu dengan komputer yang lain dengan dapat dilakukan 2
arah. Client dapat mengirim file menuju ke server atau dapat meminta suatu file
dari server. Untuk mengakses file di server, pengguna diharuskan untuk
mengidentifikasikan dirinya terlebih dahulu. Dan server akan melakukan proses
authentikasi untuk pengguna tersebut. FTP menggunakan koneksi berbasis
connection-oriented, sehingga dari kedua sisi harus memiliki koneksi TCP/IP.
·
NAT (Network
Address Translation)
NAT adaah
sebuah fungsi router yang memetakan alamat IP private (Lokal) ke alamat IP yang
dikenal di Internet, sehingga jaringan private bisa internetan. NAT merupakan
salah satu metode yang memungkinkan host pada alamat private bisa berkomunkasi
dengan jaringan di internet. NAT jalan pada router yang menghubungkan antara private
networks dan public Internet, dan menggantikan IP address dan Port pada sebuah paket
dengan IP address dan Port yang lain pada sisi yang lain.
Penggunaan
utama NAT :
·
Pooling IP address
·
Men-support perpindahan ISP tanpa harus merubah konfigurasi pada jaringan
lokal
·
IP masquerading
·
Load balancing servers
FTP melalui
sebuah NAT router / firewall
SFTP (Secure FTP) menggunakan koneksi tunggal
(biasanya pada port 22). Umumnya mengkonfigurasi firewall agar mengizinkan
penggunaan port 22 untuk SSH (Secure Shell) dan firewall yang tidak bermasalah.
FTP menggunakan beberapa koneksi TCP/IP, yang
satu untuk mengirimkan command dan yang lainya untuk mentransfer data.
Tiga panah yang ada menunjukkan koneksi
TCP/IP yang terpisah, dengan command yang dikirim kepada main FTP connection.
Masalah timbul kettika router NAT
diperkenalkan. Karena main connection keluar dari firewall NAT sehingga
connection harus dibuat terlebih dahulu, tetapi ketika server mencoba untuk
connect lagi di client, namun diblokir oleh firewall.
Teknik passive mode / PASV diperkenalkan
untuk mengurangi masalah pada active mode. Dari skema di bawah ini connection
selalu dibuat dari client ke server dan bukan sebaliknya.
Perbedaan antara jaringan yang menggunakan
Teknik NAT dengan yang tidak menggunakan teknik NAT, adalah pada saat dilakukan
proses monitoring pengaksesan IP number.
Apabila jaringan tersebut menggunakan
NAT maka IP number yang tampak adalah IP number dari router saja. Sedangkan jaringan
yang tidak menggunakan teknik NAT,
IP number yang tampak adalah IP number
dari masing-masing PC client.
Tidak ada komentar:
Posting Komentar