Makalah Bagian III
Simple Queue
·
Mudah
digunakan
·
Untuk
limitasi src-address dan dst-address, dapat digunakan tanpa fitur bantu lainnya
(mangle)
·
1 rule
dapat digunakan sekaligus untuk traffic uplink dan downlink
·
Dapat
digunakan untuk melimit total traffic (downlink + uplink)
·
Jika
dibutuhkan, dapat memanfaatkan packet-mark dan juga parent
·
Proses
hanya dapat dilakukan pada interface virtual (global)
Queue Tree
·
Membutuhkan packet-mark untuk menandai traffic
·
Dapat digunakan dengan priority dan parent
·
1 rule hanya untuk downlink atau uplink
·
Proses dapat dilakukan di interface fisik, ataupun
di interface virtual (global)
MULTICORE?
Queue & Multicore
Processing
Sebagian besar waktu yang dihabiskan sebuah paket adalah menunggu dalam
queue.
Supaya tidak memboroskan siklus CPU core saat menunggu, core tersebut
akan meninggalkan paket di queue.
Paket akan diambil secara random dari antrian untuk diproses pada core
tertentu.
Secara sederhana: queue akan membagikan paket untuk CPU Core tertentu.
Perubahan Packet Flow
Pada RouterOS v5.x, paket melalui proses queue beberapa kali, sehingga
proses pemilihan core juga terjadi beberapa kali.
Untuk RouterOS v6, proses QoS dirombak sehingga proses queue hanya
terjadi di suatu kelompok proses, pada akhir flow.
Queue Tree on Multicore
Jika ditinjau dari perspektif Kernel, keseluruhan HTB tree adalah satu
queue, sehingga diproses hanya oleh satu core
Optimasi seperti yang dilakukan pada simple queue akan juga dilakukan
pada queue tree.
Saran:
– Gunakan HTB dengan interface dan hindari menggunakan HTB global
– Gunakan simple queue
Queue Change in 6.19
Di RouterOS v6.19, ada pengubahan software untuk meningkatkan kinerja
queue:
• Sebelumnya: core akan meninggalkan paket di queue, dan core lainnya
akan dipilih secara random untuk mengatur paket tersebut
• Sekarang: core tersebut tidak hanya meninggalkan paket, tapi juga
harus mengambil paket lainnya yang sudah ada di queue.
• Jika limit di queue belum tercapai, paket yang sama akan ditinggalkan
dan langsung diambil lagi oleh core yang sama, membuat proses ini jauh lebih
cepat.Mangle
Kita perlu membuat firewall mangle untuk packet marking jika akan
menggunakan queue tree
/ip firewall mangle add action=mark-packet chain=prerouting \
new-packet-mark=packet-src-0.255 \ passthrough=no src-address=172.16.0.255 add
action=mark-packet chain=prerouting \ new-packet-mark=packet-dst-0.255 \
passthrough=no dst-address=172.16.0.255
Conn-Mark?
Tidakkah seharusnya kita menggunakan connection-mark sebelum
packet-mark di firewall mangle?
Ya. Tapi di
lab-test ini kita ingin melihat seberapa banyak CCR dapat bertahan sehubungan
dengan jumlah packet-mark
Simple Queue
Algoritma pencocokan (matching) telah diubah:
- berdasarkan hash
- proses pencocokan lebih cepat
QoS akan optimal pada perangkat dengan multi core jika simple queue
teratas
(parent) berjumlah minimal 32, sehingga proses tersebut dapat disebar
lebih
Merata
Let’s try Simple Queue
Kita membuat 512
simple queue :
/queue simple add
max-limit=20M/20M name=simple-queue-1.1 target=172.16.1.1/32
Dengan Simple
Queue Hanya 1% of CPU Load dengan Simple Queue
Why Simple Queue?
Jika kita gunakan simple queue, tidak harus menggunakan mangle (mangle
membutuhkan CPU resources yang besar).
Simple Queue di v6 memiliki proses hashing yang efisien.
Untuk layanan non dedicated, bisa menggunakan fitur burst.
Jika kita gunakan Queue tree, queue dalam satu interface parent akan
diproses hanya oleh satu CPU core.
Kesimpulan
Untuk jaringan dengan bandwidth yang tidak besar,
overloaded network:
– kombinasi packet-mark, dengan
– queue tree, HTB, dan burst
• Untuk high throughput backbone:
– gunakan multicore router: • CCR 36 – 72 core
• Intel base quad core Xeon (8 thread)
– simple queue (no parent)
KEAMANAN JARINGAN
INTERNET DAN FIREWALL
Serangan terhadap keamanan sistem informasi (security
attack) dewasa ini
seringkali terjadi. Kejahatancomputer (cyber crime) pada dunia maya seringkali
dilakukan oleh sekelompok orang yang ingin menembus suatu keamanan sebuah
sistem. Aktivitas ini bertujuan untuk mencari, mendapatkan, mengubah, dan
bahkan menghapus informasi yang ada pada sistem tersebut jika memang benar-
benar dibutuhkan. Ada beberapa kemungkinan tipe dari serangan yang
dilakukan
oleh penyerang yaitu :
1.
Interception yaitu pihak yang tidak mempunyai wewenang
telah berhasil mendapatkan hak akses informasi
2.
Interruption yaitu penyerang telah dapat
menguasai sistem, tetapi tidak keseluruhan. Admin asli masih bisa login.
3.
Fabrication yaitu penyerang telah menyisipkan objek palsu
ke dalam sistem target
4.
Modification yaitu penyerang telah merusak sistem dan telah mengubah secara
keseluruhan
Menurut David Icove, dilihat
dari lubang keamanan yang ada pada suatu sistem, keamanan dapat
diklasifikasikan menjadi empat macam:
1) Keamanan Fisik (Physical
Security)
Suatu keamanan yang meliputi
seluruh sistem beserta peralatan, peripheral, dan media yang digunakan.
Biasanya seorang penyerang akan melakukan wiretapping (proses
pengawasan dan penyadapan untuk mendapatkan password agar bisa memiliki hak
akses). Dan jika gagal, maka DOS (Denial Of Service)
akan menjadi pilihan sehingga semua service yang digunakan oleh komputer tidak
dapat bekerja. Sedangkan cara kerja DOS biasanya mematikan service apa saja
yang sedang aktif atau membanjiri jaringan tersebut dengan pesan-pesan yang
sangat banyak jumlahnya. Secara sederhana, DOSmemanfaatkan celah
lubang keamanan pada protokol TCP/IP yang dikenal dengan Syn Flood,
yaitu sistem target yang dituju akan dibanjiri oleh permintaan yang sangat
banyak jumlahnya (flooding), sehingga akses menjadi sangat sibuk.
2) Keamanan Data dan Media
2) Keamanan Data dan Media
Pada keamanan ini penyerang
akan memanfaatkan kelemahan yang ada pada software yang digunakan untuk
mengolah data. Biasanya penyerang akan menyisipkan virus pada komputer target
melalui attachment pada e-mail. Cara lainnya adalah dengan memasang backdoor atau trojan
horse pada sistem target. Tujuannya untuk mendapatkan dan mengumpulkan
informasi berupa password administrator. Password tersebut nantinya digunakan
untuk masuk pada account administrator.
3) Keamanan Dari Pihak Luar
Memanfaatkan faktor kelemahan
atau kecerobohan dari orang yang berpengaruh (memiliki hak akses) merupakan
salah satu tindakan yang diambli oleh seorang hacker maupun cracker untuk dapat
masuk pada sistem yang menjadi targetnya. Hal ini biasa disebut social
engineering. Social engineeringmerupakan tingkatan
tertinggi dalam dunia hacking maupun cracking. Biasanya orang yang melakukan
social engineering akan menyamar sebagai orang yang memakai sistem dan lupa
password, sehingga akan meminta kepada orang yang memiliki hak akses pada
sistem untuk mengubah atau mengganti password yang akan digunakan untuk
memasuki sistem tersebut.
4) Keamanan dalam Operasi
Merupakan salah satu prosedur
untuk mengatur segala sesuatu yang berhubungan dengan sistem keamanan pasca
serangan. Dengan demikian, sistem tersebut dapat berjalan baik atau menjadi
normal kembali. Biasanya para penyerang akan menghapus seluruh log-log yang
tertinggal pada sistem target (log cleaning) setelah melakukan
serangan.
Firewall atau
tembok-api adalah sebuah sistem atau perangkat yang mengizinkan lalu lintas
jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan
yang tidak aman. Umumnya, sebuah tembok-api diterapkan dalam sebuah mesin
terdedikasi, yang berjalan pada pintu gerbang (gateway) antara jaringan lokal
dan jaringan lainnya. Tembok-api umumnya juga digunakan untuk mengontrol akses
terhadap siapa saja yang memiliki akses terhadap jaringan pribadi dari pihak
luar ataupun pencuri data lainnya, Disamping itu Firewall merupakan suatu
cara/sistem/mekanisme yang diterapkan baik terhadap hardware, software ataupun
sistem itu sendiri dengan tujuan untuk melindungi, baik dengan menyaring, membatasi
atau bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada
jaringan pribadi dengan jaringan luar yang bukan merupakan ruang
lingkupnya.
Firewall
merupakan suatu cara atau mekanisme yang diterapkan baik terhadap hardware,
software ataupun sistem itu sendiri dengan tujuan untuk melindungi, baik
dengan menyaring, membatasi atau bahkan menolak suatu atau semua
hubungan/kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar yang
bukan merupakan ruang lingkupnya. Segmen tersebut dapat merupakan sebuah
workstation, server, router, atau local area network (LAN). Penggunaan firewall
secara umum di peruntukkan untuk melayani :
1.
mesin/computer setiap individu
yang terhubung langsung ke jaringan luar atau internet dan menginginkan semua
yang terdapat pada komputernya terlindungi.
2.
Jaringan komputer yang terdiri
lebih dari satu buah komputer dan berbagai jenis topologi jaringan yang
digunakan, baik yang di miliki oleh perusahaan, organisasi dsb.
Firewall adalah sebuah pembatas antara suatu jaringan
lokal dengan jaringan lainnya yang sifatnya publik sehingga setiap data
yang masuk dapat diidentifikasi untuk dilakukan penyaringan sehingga aliran
data dapat dikendalikan untuk mencegah bahaya/ancaman yang datang dari jaringan
publik
Firewall juga dapat memantau informasi keadaan koneksi untuk menentukan
apakah ia hendak mengizinkan lalu lintas jaringan. Umumnya hal ini dilakukan
dengan memelihara sebuah tabel keadaan koneksi (dalam istilah firewall: state
table) yang memantau keadaan semua komunikasi yang melewati firewall. Secara
umum Fungsi Firewall adalah untuk:
1.
Mengatur dan mengontrol lalu
lintas.
2.
Melakukan autentikasi
terhadap akses.
3.
Melindungi sumber daya
dalam jaringan privat.
4.
Mencatat semua kejadian, dan
melaporkan kepada administrator
Jenis Firewall dapat dikelompokan menjadi empat yakni:
1.
Personal Firewall didesain untuk
melindungi sebuah komputer yang terhubung ke jaringan dari akses yang tidak
dikehendaki. Firewall jenis ini akhir-akhir ini berevolusi menjadi sebuah
kumpulan program yang bertujuan untuk mengamankan komputer secara total
misalnya : Microsoft Windows Firewall
2.
Network ‘‘’’Firewall didesain
untuk melindungi jaringan secara keseluruhan dari berbagai serangan. Umumnya
dijumpai dalam dua bentuk, yakni sebuah perangkat terdedikasi atau sebagai
sebuah perangkat lunak yang diinstalasikan dalam sebuah server.
Misalnya : Internet Security and Acceleration Server (ISA
Server), Cisco PIX
3.
IP Filtering Firewall : Sebuah IP
Filtering firewall bekerja pada level paket
4.
Proxy Server : Cara kerja
proxy server, terlihat saat user terhubung dengan proxy server dengan perangkat
lunak client, proxy server akan menduplikasi komunikasi tersebut.
MENGIDENTIFIKASI KEBUTUHAN FIREWALL
Untuk membangun sebuah jaringan yang memiliki pengamanan firewall,
maka dibutuhkan hardware yang digunakan sebagai server. Selain hardware, sistem operasi harus
di-instalasi agar jaringan dapat berfungsi dengan baik, seperti: Windows Server 2000,
Windows Server 2003, Linux, Fedora, Mandriva, Debian, Ubuntu, FreeBSD dan Sun Solaris. Selanjutnya pada server tersebut
diinstalasi Paket program Firewall,seperti:WinGate, Microsoft ISA, Firestarter dan Shorewall.
· Highlevel
Risk Assesment.
Pengujian
terhadap keamanan jaringan juga harus memenuhi berbagai macam kriteria,
termasuk sampai ke dalam high level risk atau tingkat ancaman
paling tinggi. Sebuah firewall yang baik seharusnya dapat
menahan serangan sampai tingkat yang paling tinggi, walaupun peran
seorang administrator jaringan dan system
administrator diperlukan untuk memantau kinerja dan kinerja sistem
jaringan termasuk kinerja server yang dimiliki.
· Menentukan perangkat keras yang diperlukan.
Sebuah server adalah
komputer yang memiliki kapasitas lebih besar dari workstation. Dari
segi memory, hal ini untuk mendukung multiple task yang
aktif pada saat yang bersamaan. Harddisk yang lebih besar juga
dibutuhkan untuk menyimpan data. Server juga harus
memiliki extra expansion slotspada system board nya
untuk memasang beberapa device seperti printer dan
beberapa NIC.
· Inspeksi
paket
Stateful Packet Inspection merupakan proses inspeksi paket yang tidak dilakukan dengan menggunakan
struktur paket dan data yang terkandung dalam paket, tapi juga pada keadaan apa
host-host yang saling berkomunikasi tersebut berada.
· Melakukan autentikasi
terhadap akses
Firewall dilengkapi dengan fungsi autentikasi dengan
menggunakan beberapa mekanisme autentikasi, sebagai berikut:
1.
Firewall dapat meminta input dari pengguna mengenai nama pengguna
(user name) serta kata kunci (password).
2.
Metode kedua adalah dengan menggunakan sertifikat digital dan kunci publik
3.
Metode selanjutnya adalah dengan menggunakan Pre-Shared Key (PSK)
atau kunci yang telah diberitahu kepada pengguna
CARA KERJA FIREWALL
1.
Menutup traffic
yang datang (incoming network traffic) berdasarkan sumber atau tujuan dari
traffic tersebut : memblok incoming network traffic yang tidak
diinginkan adalah fitur yang paling umum yang disediakan oleh firewall.
2.
Menutup traffic
yang keluar (outgoing network traffic) berdasarkan sumber atau tujuan dari
traffic tersebut : Firewall juga bisa
menyaring traffic yang yang berasal dari jaringan internal ke Internet,
misalnya ketika kita ingin mencegah user dari mengakses situs-situs porno.
3.
Menutup traffic
berdasarkan kontennya: Firewall yang lebih canggih dapat
memonitor traffic dari konten-kontent yang tidak di inginkan, misalnya firewall
yang didalamnya terintegrasi antivirus ia dapat mencegah file yang terinveksi
oleh virus masuk ke komputer atau jaringan komputer internal yang kita miliki
4.
Melaporkan
traffic di jaringan dan kegiatan firewall : Ketika memonitor
traffic jaringan dari dan ke Internet, yang juga penting adalah mengetahui apa
yang dikerjakan oleh firewall, siapa yang mencoba membobol jaringan internal
dan siapa yang mencoba mengakses informasi yang tidak layak dari Internet.
BAB IV
PENUTUP
Daftar
pustaka
aptika.kominfo.go.id/index.php/artikel/190-keamanan-jaringan-internet-dan-firewall
Tidak ada komentar:
Posting Komentar