Firewall Terms
· Network address translation (NAT)
© Internal addresses unreachable from external network
· DMZ - De-Militarized Zone
© Hosts that are directly reachable from untrusted networks
· ACL - Access Control List
© can be router or firewall term
· Choke, Choke router
o A router with packet filtering rules (ACLs) enabled
· Gate, Bastion host, Dual Homed Host
o A server that provides packet filtering and/or proxy services
· Proxy server
o A server that provides application proxies
Firewall types
· Packet-filtering router
o Most common
o Uses Access Control Lists (ACL)
§ Port
§ Source/destination address
· Screened host
o Packet-filtering and Bastion host
o Application layer proxies
· Screened subnet (DMZ)
o 2 packet filtering routers and bastion host(s)
o Most secure
Firewall mechanisms
· Proxy servers
o Intermediary
o Think of bank teller
· Stateful Inspection
o State and context analyzed on every packet in connection
Intrusion Detection (IDS)
· Host or network based
· Context and content monitoring
· Positioned at network boundaries
· Basically a sniffer with the capability to detect traffic patterns known as attack signatures
Web Security
· Secure sockets Layer (SSL)
o Transport layer security (TCP based)
o Widely used for web based applications
o by convention, https:\\
· Secure Hypertext Transfer Protocol (S-HTTP)
o Less popular than SSL
o Used for individual messages rather than sessions
· Secure Electronic Transactions (SET)
o PKI
o Financial data
o Supported by VISA, MasterCard, Microsoft, Netscape
TCP/IP (Sejarah TCP/IP)
— 1970 ARPANET (Advance Research Agency Network)
— 1973 Telnet diperkenalkan melalui RFC 454
— 1974 TCP Dispesikasikan secara detail
— 1981 Standarisasi IP melalui RFC 791
— 1983 ARPANET berpindah dari NCP ke TCP dan dianggap sebagai kelahiran Internet
— 1984 DNS diperkenalkan
TCP/IP (Transmission Control Protocol/Internet Protocol)
— TCP/IP adalah Sekumpulan protokol yang didesain untuk melakukan fungsi-fungsi komunikasi data pada Wide Area Network (WAN)
— Sekumpulan Protocol TCP/IP dimodelkan ke empat Layer
IPv4 Addressing
• 32-bit addresses
• Commonly expressed in dotted
decimal format (e.g., 192.168.10.12)
• Each “dotted decimal” is commonly
called an octet (8 bits)
IP Addressing – Three Classes
IP Addressing—Class A
• 10.222.135.17
• Network # 10
• Host # 222.135.17
• Range of class A network IDs: 1–126
• Number of available hosts: 16,777,214
IP Subnet Mask
Given:
Address = 131.108.2.160
Subnet Mask = 255.255.255.0
Subnet = 131.108.2.0
IP Version 6
IP Address Assignment
• ISPs assign addresses to customers
• IANA assigns addresses to ISPs
• CIDR block: bundle of addresses
Command Cisco
Sh Version : untuk melihat ios yang digunakan
Sh run : untuk melihat konfigurasi
Configure terminal : untuk menulis konfugrasi
Write : menyimpan konfiguasi
telnet : perintah remote
Sh interface : untuk melihat status interface
Keamanan Komputer
Aspek-Aspek Keamanan Komputer
¢ Authentication (keabsahan indetitas)
¢ Integrity (keaslian informasi)
¢ Non-repudiation (informasi pengirim yang tidak bisa disangkal)
¢ Authority (informasi yang berada sistem jaringan tidak dapat dimodifikasi oleh pihak yang tidak berhak untuk mengakses)
¢ Confidentiality (usaha untuk menjaga kerahasian informasi)
¢ Privacy (bersifat pribadi)
¢ Availability (ketersedian infromasi pada saat dibutuhkan)
¢ Acces control (pengaturan hak akses)
DOMAIN NAME SERVER
Intro to DNS
— DNS merupakan sistem berbentuk database terdistribusi yang akan memetakan/mengkonversikan nama host/mesin/domain ke alamat IP (Internet Protocol) dan sebaliknya dari alamat IP ke nama host yang disebut dengan reverse-mapping.
— Penggunaan :
◦ Untuk memetakan nama mesin misal www.unindra.ac.id ke alamat IP misal 203.130.198.36
◦ Untuk routing e-mail, telnet, ftp, web, dan lain-lain.
— DNS sebagai jembatan
◦ Manusia lebih mudah untuk mengingat nama daripada alamat IP dengan panjang 32 bit itu.
◦ Komputer menggunakan alamat IP untuk berkomunikasi dan berinteraksi.
— DNS tidak diperlukan jika kita bisa mengingat ratusan, ribuan, bahkan jutaan alamat IP di Internet.
History
— Sebelum adanya DNS, tahun 1970-an ARPAnet menggunakan pemetaan dengan bentuk tabel host pada berkas HOSTS.TXT
— HOSTS.TXT berisi nama host dan alamat IP serta pemetaannya dari seluruh mesin/komputer yang terhubung dalam jaringan.
— Ketika ada komputer lain yang terhubung ke jaringan ARPAnet maka masing-masing komputer dalam jaringan tersebut harus memperbaharui berkas HOSTS.TXT-nya.
— Cara meng-update berkas HOSTS.TXT dengan menggunakan ftp setiap satu atau dua minggu sekali.
— Masalah ketika jaringan menjadi semakin besar. Kesulitan meng-update isi berkas HOSTS.TXT karena jumlah nama mesin/komputer yang dituliskan sudah terlalu besar dan tidak efisien.
— Muncul ide untuk membuat sistem database terdistribusi yang mempunyai data mengenai pemetaan nama host ke alamat IP dan sebaliknya.
— Dengan adanya pendistribusian database nama host dan alamat IP, maka tiap organisasi yang memiliki jaringan di dalam domain tertentu hanya bertanggung jawab terhadap database informasi pemetaan nama host dan alamat IP pada jaringannya saja yang biasa disebut zone.
— Administrasi domain tersebut dilakukan secara lokal tetapi informasi itu dapat diakses oleh semua komputer di Internet.
— Karena sifat database yang terdistribusi ini, maka dibutuhkan suatu mekanisme pengaksesan informasi bagi host lain pada database yang terdistribusi untuk menemukan informasi host atau jaringan yang dipunyai oleh suatu organisasi.
— Dan pada tahun 1984, Paul Mockapetris mengusulkan sistem database terdistribusi ini dengan Domain Name System (DNS) yang dideskripsikan dalam RFC 882 dan 883. Sistem ini digunakan sampai sekarang pada jaringan khususnya Internet.
Resolver and name server
1. Sebuah program aplikasi pada host yang mengakses domain system disebut sebagai resolver
2. Resolver mengontak DNS server, yang biasa disebut name server
3. DNS server mengembalikan IP address ke resolver yang meneruskan ke aplikasi yang membutuhkan IP address
— Reverse lookups are also possible, i.e., find the hostname given an IP address
Struktur
— Struktur database DNS mirip dengan sistem-berkas/filesystem UNIX yaitu berbentuk hierarki atau pohon.
— Tingkat teratas pada DNS adalah root yang disimbolkan dengan titik/dot (.) sedangkan pada sistem berkas UNIX, root disimbolkan dengan slash (/).
— Setiap titik cabang mempunyai label yang mengidentifikasikannya relatif terhadap root (.).
— Tiap titik cabang merupakan root bagi sub-tree/tingkat bawahnya.
— Tiap sub-tree merupakan domain dan dibawah domain terdapat sub-tree lagi bernama subdomain.
— Setiap domain mempunyai nama yang unik dan menunjukkan posisinya pada pohon DNS, pengurutan/penyebutan nama domain secara penuh dimulai dari domain paling bawah menuju ke root (.).
— Masing-masing nama yang membentuk suatu domain dipisahkan dengan titik/dot (.) dan diakhiri dengan titik yang merupakan nama absolut relatif terhadap root (.).
Struktur
— Contoh: www.unindra.ac.id.
— "." merupakan root domain
— id merupakan Top Level Domain
— ac merupakan Second Level Domain
— Unindra merupakan Third Level Domain
— www merupakan nama komputer/mesin yang bersangkutan
— Sistem penulisan nama secara absolut dan lengkap ini disebut FQDN (Fully Qualified Domain Name) - www.unindra.ac.id.
Hirarki
— Tiap organisasi yang telah mendaftar ke Network Information Center(NIC) akan mendapatkan nama domain sesuai dengan organisasi tersebut.
— Nama domain tersebut bisa dibagi menjadi subdomain sesuai kebutuhan organisasi.
◦ Contoh: InterNIC mempunyai semua Top Level Domain termasuk edu,
◦ Lembaga pendidikan PENS akan mendaftarkan nama domain eepis-its.edu (education), maka PENS diberikan/didelegasikan oleh InterNIC untuk mengelola domain eepis-its.edu yang merupakan sub domain dari edu.
◦ PENS dapat membagi lagi domain eepis-its.edu ke beberapa sub domain misal www.eepis-its.edu, ies.eepis-its.edu, eis.eepis-its.edu, elearning.eepis-its.edu.
— Dengan adanya sistem berbentuk hierarki/pohon ini maka tidak ada nama host yang sama pada domain/subdomain yang sama, karena masing-masing dari node/titik-cabang mempunyai nama unik dan tidak boleh ada yang menyamainya kecuali berbeda sub-tree/sub pohon.
— Tidak akan ada konflik antar organisasi karena masing-masing organisasi mempunyai domain yang berbeda-beda dan ini diatur oleh InterNIC untuk TLD.
— Kedalaman pohon dibatasi sampai level 127
Top Level Domain (TLD)
— Domain Generik
◦ com , net , gov , mil , org , edu , int
◦ Selain 7 domain di atas ada lagi 7 domain baru dari ICANN (www.icann.org) yaitu: aero, biz , coop , info , museum , name , pro
— Domain Negara
◦ Contoh: id untuk Indonesia, au untuk Australia, uk untuk Inggris, dan lain-lain.
◦ Domain negara ini dapat dan umumnya diturunkan lagi ke level-level di bawahnya yang diatur oleh NIC dari masing-masing negara, untuk Indonesia yaitu IDNIC. Contoh level bawah dari id yaitu net.id, co.id, web.id.
— Domain Arpa
◦ Merupakan domain untuk jaringan ARPAnet. Tiap domain yang tergabung ke Internet berhak memiliki name-space .in-addr.arpa sesuai dengan alamat IP-nya.
Root name servers
— Server root digunakan untuk menemukan authoritative name servers untuk semua zona top-level.
— Ada 13 server root
— Digunakan untuk name resolution
Address root servers (2004)
A.ROOT-SERVERS.NET. (VeriSign, Dulles, VA) 198.41.0.4
B.ROOT-SERVERS.NET. (ISI, Marina Del Rey CA) 192.228.79.201
C.ROOT-SERVERS.NET. (Cogent Communications) 192.33.4.12
D.ROOT-SERVERS.NET. (University of Maryland) 128.8.10.90
E.ROOT-SERVERS.NET. (Nasa Ames Research Center) 192.203.230.10
F.ROOT-SERVERS.NET. (Internet Systems Consortium) 192.5.5.241
G.ROOT-SERVERS.NET. (US Department of Defense) 192.112.36.4
H.ROOT-SERVERS.NET. (US Army Research Lab) 128.63.2.53
I.ROOT-SERVERS.NET. (Autonomica/NORDUnet) 192.36.148.17
J.ROOT-SERVERS.NET. (Verisign, multiple cities) 192.58.128.30
K.ROOT-SERVERS.NET. (RIPE,Europe multiple cities) 193.0.14.129
L.ROOT-SERVERS.NET. (IANA, Los Angeles) 198.32.64.12
M.ROOT-SERVERS.NET. (WIDE, Tokyo, Seoul, Paris) 202.12.27.33
Recursive queries
Caching
— Untuk mengurangi traffic, informasi mapping antara IP dan name servers disimpan di
— Ketika ada permintaan/ query server tidak perlu lagi menghubungi server lain
Resource Records
— Record database pada Database DNS terdistribusi disebut resource records (RR)
— Resource records disimpan pada file konfigurasi (zone files) pada name servers.
Berikut ini contoh sebuah zone Resource recordà
Software
— Pada Redhat Linux yang sudah terinstall BIND (name server daemon) akan dijumpai beberapa file sebagai berikut :
— Di dalam /var/named akan ada 2 file yaitu :
◦ named.ca
◦ named.local
— Di dalam /etc akan terdapat file named.conf
File-File Konfigurasi
Standard
— named.conf di dalam /etc
— named.ca di dalam /var/named
— named.local di dalam /var/named
Jika ingin membuat master server maka harus ada:
— file zone -> mapping dari nama ke IP
— file reverse zone -> mapping dari IP ke nama
named.conf
Blok dalam named.conf
— options — List konfigurasi global dan default
— include — berisi path file lain yang diperlukan
— acl — IP address dalam access control list
— server — properties khusus untuk remote servers
— zone — informasi khusus untuk zona
Options
· Biasanya ditaruh pada baris pertama named.conf
· Sintak :
options {
value “property”;
}
options : allow-query
· Menerima query hanya dari host dalam address yang sudah (default any host).
· Penggunaan: allow-query {“address-list”};.
options : allow-transferZone transfers
· menerima query hanya dari host dalam address yang sudah (default all host).
· Penggunaan : allow-transfer {“address list”};.
options : directory
· Tempat dimana file konfigurasi server berada.
· Penggunaan: directory “path to directory”; (specify path).
options : forwarders
· Menunjukkan IP addresses server untuk memforward query (default is none).
· Penggunaan: forwarders “IP addresses of servers”; (specify IP addresses).
options : forward
· Jika diset pertama kali, Server akan didaftar pada query forwarders pertama,
· Penggunaan: forward “first or only”; (pilih salah satu).
options : listen-on
· Port dimana server listen dari query yang ada (default is port 53).
· Penggunaan : listen-on “port {address list}”;
options : recursion
· Server secara recursive mencari jawaban query (default is yes).
· Penggunaan: recursion “ yes or no”; (choose one).
Include
· Berisi path dan file yang dibutuhkan yang berada diluar direktori yang sudah ditentukanpada named.conf.
Acl
· IP address dalam access control list. Hanya host yang terdaftar yang boleh akses ke server
· acl "transferdns" {
{ 216.65.64.146/32; };
{ 209.25.238/24; };
{ 202.154.63.3/32; };
};
Named.local
· Berisikan informasi tentang localhost
· Berisikan info untuk me-resolv loopback address untuk localhost
Named.rev
· Menyediakan informasi untuk reserve lookups.
· Digunakan untuk mengetahui nama dari suatu host berdasarkan IP
Named.rev
· 63.154.202.in-addr.arpa. IN SOA ns1.pens-its.edu. admin.pens-its.edu. (
· 2000081012 ; Serial
· 28800 ; Refresh
· 14400 ; Retry
· 3600000 ; Expire
· 86400 ) ; Minimum
o IN NS ns1.pens-its.edu.
o IN NS ns2.pens-its.edu.
· 4 IN PTR www.pens-its.edu.
· 5 IN PTR ies.pens-its.edu.
· 6 IN PTR elerning.pens-its.edu.
File ZONE
· File zone berisikan resource record (RR) tentang IP address
· File ZONE akan diawali oleh SOA yang merupakan penanda bahwa name server tersebut adalah merupakan sumber yang sah untuk domain tersebut
· SATU zone file HANYA akan punya SATU SOA
SOA
· @ IN SOA main.tactechnology.com. mail.tactechnology.com. (
· 2000052101 ; Serial
· 8h ;Refresh
· 2h ;Retry
· 1w ;Expire
· 1d) ;Minimum TTL
· SOA seperti ini adalah Start Of Authority untuk domain yang di spesifikasikan di named.conf
· Nama server yang sah adalah main.technology.com
· Mail-address dari administratornya adalah mail.tatechnology.com
SOA
· Serial : Serial number dari file zone tersebut
· Refresh : waktu yang dibutuhkan untuk me-refresh data
· Retry : waktu yang dibutuhkan untuk menunggu sebelum berusaha mengontak server utama jika ada kegagalan
· Expire : jika secondary master gagal mengontak server utama dalam waktu ini maka database tentang domain tersebut akan dibuang
· TTL: Time to live untuk menentukan berapa lama data disimpan dalam cache
Resource Record
· NS — NAME SERVERS
Menunjukkan nama “name server”.
· A — THE IP ADDRESS FOR THE NAME
Menunjukkan nomor IP “name server”.
· PTR — POINTER FOR ADDRESS NAME MAPPING
Digunakan untuk menunjuk name server
· CNAME — CANONICAL NAME
Menunjukkan nama real host.
· MX — MAIL EXCHANGE RECORD
Menunjukkan sebagai mail server pada domain tersebut.
Dynamic DNS
· Suatu cara melakukan update DNS server tanpa harus melakukan restart terhadap konfigrasi DNS kita.
· Pada waktu konfigurasi DNS harus ada cara untuk mengupdate, Pada waktu suatu host hidup kita bisa menyediakan address via DHCP, kemudian DHCP meminta DNS untuk merubah record A dan PTR sesuai kebutuhan.
· Kolaborasi antara DNS dan DHCP
· Membutuhkan bind9 dan DHCP3
· Konfigurasi file utama : dhcpd.conf dan named.conf
· Dijelaskan lebih lanjut pada Bagian DHCP Server
Tidak ada komentar:
Posting Komentar