Jumat, 31 Oktober 2014

macam-macam dan pengertian MASQUERADE



MASQUERADE

Adalah salah Satu fasilitas di Linux Yang memungkinkan Komputer Yang tidak memiliki Nomor IP Resmi dapat tersambung Ke internet melewati Komputer Linux. IP Masquerade dibutuhkan Severe jaringan Andari mempunyai Nomor IP Resmi Yang lebih: sedikit daripada Number Komputer Yang ADA. Selain menjembatani kekurangan Nomor IP, IP Masquerading Artikel Baru digabungkan ipchains atau ipfwadm JUGA dapat menjadi penyaring paket Negara-paket Negara Yang keluar masuk. Dapat diibaratkan, Mesin Linux berfungsi sebagai gerbang.

Cara Koperasi Karyawan Bhakti Samudera IP Masquerade dapat digambarkan sebagai berikut:
1.     Mesin Klien diseting Artikel Baru menempatkan Mesin Linux sebagai gatewaynya.
2.     Severe ADA paket Negara Bahasa Dari Klien Ke Mesin Linux, IP Masquerade Akan membuat Nomor pelabuhan baru Negara, IP header baru Negara berdasarkan IP Mesin Linux, Dan menyimpan paket Negara aslinya. Paket nihil kemudian diteruskan Ke internet lewat koneksi PPP atau SLIP.
3.     Severe ADA paket Negara baru Negara Bahasa Dari Internet, IP Masquerade Akan mencocokkan Artikel Baru pelabuhan Nomor. Severe Sesuai Artikel Baru Nomor pelabuhan Yang telah dibuat sebelumnya, Maka paket Negara nihil dibungkus Dilaporkan Artikel Baru sundulan Yang telah disimpan sebelumnya, Dan diteruskan kepada Klien.
4.     Beit Klien maupun tuan rumah di Internet Yang mengirimkan paket Negara tidak pernah merasakan perbedaannya.

Untuk menjalankan IP Masquerade FUNDS Mesin Linux Kernel 2.2.x Artikel Baru, Andari membutuhkan:
1.     Kernel 2.2.x atau berikutnya
2.     Modul kernel Yang dapat dijalankan, minimal Versi 2.1.121 atau berikutnya
3.     Jaringan Artikel Baru menggunakan TCP / IP Yang telah berjalan Artikel Baru BAIK.
4.     Koneksi Ke internet untuk Mesin Linux
5.     Jaringan IP Versi 1.3.8 atau berikutnya


Sedangkan FUNDS Kernel Versi 2.0.x Andari membutuhkan:
1.     Kernel 2.0.x atau berikutnya
2.     Modul kernel Yang dapat dijalankan, minimal Versi 2.0.0 atau berikutnya
3.     Jaringan Artikel Baru menggunakan TCP / IP Yang telah berjalan Artikel Baru BAIK.
4.     Koneksi Ke internet untuk Mesin Linux
5.     Ipfwadm Versi 2.3 atau berikutnya

Sebelum melakukan seting IP Masquerade, pastikan bahwa Mesin Linux Andari tidak Berisi Data-Data Penting. Mesin Linux Suami Akan jadikan gateway, Yang merupakan Mesin terdepan Yang terkena sasaran Severe ADA penyusupan atau Serangan Ke Dalam, jaringan Andari (Baka Bab VII tentang Keamanan Linux). Severe Andari berencanan menjadikan Linux sebagai file server, server mail, server web atau aplikasi untuk Server Yang Penting Before, dianjurkan untuk Langganan Masukkan Alamat IP Masquerade FUNDS Mesin Linux Before. Andari dapat memanfaatkan Mesin-Mesin 486 lama Yang mungkin sekarang tersimpan di gudang.


Diposting oleh di Tidak ada komentar:

artikel tentang NAT jaringan



Pengertian Network Address Translation (NAT)

Network Address Translation (NAT) adalah suatu metoda pokok yang memungkinkan
komputer yang mempunyai address yang tidak terdaftar atau komputer yang menggunakan
address private, untuk bisa mengakses Internet. Ingat pada diskusi IP address sebelumnya
bahwa IP address private tidak bisa di route ke internet (non-routed), hanya dipakai pada
jaringan internal yang berada pada range berikut:
       
Class Type
Start Address
End Address
Class A
10.0.0.0
10.255.255.254
Class B
172.16.0.0
172.31.255.254
Class C
192.168.0.0
192.168.255.254
    

Untuk setiap paket yang dihasilkan oleh client, implementasi Network Address Translation
(NAT) menggantikan IP address yang terdaftar kepada IP address client yang tidak terdaftar.
Ada tiga macam jenis dasar Network Address Translation (NAT):

  1.  Static                                                                                                                                  Network Address Translation (NAT) menterjemahkan sejumlah IP address tidak terdaftar menjadi sejumlah IP address yang terdaftar sehingga setiap client dipetakkan kepada IP address terdaftar yang dengan jumlah yang sama.                                                                                                                  https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgtNUmkhpMmxlucPUuX8TWcyXjHdrZfbI4EEeDLMJzho3qJpp-dYTIjOALQ6Wg1tjbfv-k7DJcx53XxIG5SSv3lZBzYRnP0lCaOaEAoWM79ol7e76KiTrcL-n5iqxC6vJk6rNBbqDWqR6P5/s320/Setatik+nat.jpg                                                                                                                                                                                        NAT Static Jenis NAT ini merupakan pemborosan IP address terdaftar, karena setiap IP address yang tidak terdaftar (un-registered IP) dipetakan kepada satu IP address terdaftar. Static NAT ini juga tidak seaman jenis NAT lainnya, karena setiap komputer secara permanen diasosiasikan kepada address terdaftar tertentu, sehingga memberikan kesempatan kepada para penyusup dari Internet untuk menuju langsung kepada komputer tertentu pada jaringan private anda menggunakan address terdaftar tersebut.

  1. Dynamic                                                                                                                                 Dynamic Network Address Translation dimaksudkan untuk suatu keadaan dimana anda mempunyai IP address terdaftar yang lebih sedikit dari jumlah IP address un-registered. Dynamic NAT menterjemahkan setiap komputer dengan IP tak terdaftar kepada salah satu IP address terdaftar untuk connect ke internet. Hal ini agak menyulitkan para penyusup untuk menembus komputer didalam jaringan anda karena IP address terdaftar yang diasosiasikan ke komputer selalu berubah secara dinamis, tidak seperti pada NAT statis yang dipetakan sama. Kekurangan utama dari dynamis NAT ini adalah bahwa jika jumlah IP address terdaftar sudah terpakai semuanya, maka untuk komputer yang berusaha connect ke Internet tidak lagi bisa karena IP address terdaftar sudah terpakai semuanya.                                                                                                     https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiwtrOkbJPvWQttcL6-2sj1fIC_wtriFQ8L6OLMi3KyeqqegdRZNKeyz6iM5Jw8gnbZdDrPvmFhiBKZgQDaPRJ9lcUj4htZS21OOOsqBRkJbZAa4fJfNwFDRmQ2tcoZdW-ggBAr65dFngMN/s320/Dinamis+nat.jpg                
   
  1. Masquerading NAT                                                                                                              Masquerading NAT ini menterjemahkan semua IP address tak terdaftar pada jaringan anda dipetakan kepada satu IP address terdaftar. Agar banyak client bisa mengakses Internet secara bersamaan, router NAT menggunakan nomor port untuk bisa membedakan antara paket-2 yang dihasilkan oleh atau ditujukan komputer-2 yang berbeda. Solusi Masquerading ini memberikan keamanan paling bagus dari jenis-2 NAT sebelumnya, kenapa? Karena asosiasi antara client dengan IP tak terdaftar dengan kombinasi IP address terdaftar dan nomor port didalam router NAT hanya berlangsung sesaat terjadi satu kesempatan koneksi saja, setelah itu dilepas.
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj41f51_UBQg_MJ4ufc573QV2Z3H_bM5MCr8jabIEeqUu3Zvbnr4YwsFS_VhGC9TKhs3F-PpPai9jjn0tgyjgEKRmgfs2w1YRVTY8HVhaz_8Q135P4pEbal1Ex0mB-j5bsBu3anVryZC4Tp/s320/nat.jpg

NATMasquerading
Keamanan NAT Kebanyakan implementasi NAT sekarang ini mengandalkan pada teknik jenis Masquerading NAT karena meminimalkan jumlah kebutuhan akan IP address terdaftar dan memaksimalkan keamanan yang diberikan olen Network Address Translation (NAT). Akan tetapi perlu dicatat bahwa NAT itu sendiri, walau memakai jenis NAT yang paling aman – Masquerading, bukanlah suatu firewall yang sebenarnya dan tidak memberikan suatu perisai besi keamanan untuk suatu situasi yang beresiko tinggi. NAT pada dasarnya hanya memblokir tamu tak diundang (unsolicited request) dan semua usaha penjajagan atau usaha scanning dari internet, yang berarti suatu pencegahan dari usaha para penyusup untuk mencari file share yang tidak di proteksi atau private Web ataupun FTP server. Akan tetapi, NAT tidak bisa mencegah user di Internet untuk meluncurkan suatu usaha serangan DoS (Denial of Services) terhadap komputer yang ada
dijaringan private anda. Ataupun tidak bisa mencegah usaha-2 lain dengan teknik yang lebih
kompleks untuk melakukan kompromi jaringan.

Network Address Translation dan Stateful Packet Inspection

Beberapa implementasi NAT juga melibatkan tambahan keamanan, biasanya secara umum menggunakan teknik yang disebut Stateful Packet Inspection (SPI). Stateful Packet Inspection adalah istilah generic pada proses dimana NAT router memeriksa paket yang datang dari internet dilakukan lebih teliti dan lebih seksama dari biasanya. Pada umumnya implementasi NAT, router hanya konsen pada IP address dan port dari paket yang melewatinya. Suatu router NAT yang mendukung Stateful
packet inspection memeriksa sampai ke header layer network dan layer transport juga, memeriksa pola yang mempunyai tingkah laku berbahaya, seperti IP spoofing, SYN floods, dan serangan teardrop. Banyak produsen router mengimplementasikan stateful packet inspection dalam berbagai bentuk dan cara, jadi tidak semua router NAT dengan kemampuan Stateful packet inspection ini  mempunyai tingkat perlindungan keamanan yang sama.

SolusiNAT

Seperti didiskusikan sebelumnya, keputusan untuk design jaringan seharusnya
mempertimbangkan berikut ini:
  • Ukuran besarnya jaringan private anda 
  • Kebutuhan akan keamanan jaringan dalam organisasi
NAT adalah solusi yang memadai jika:
  • Akses ke internet dan akses ke jaringan tidak dibatasi berdasarkan user per user. Tentunya anda tidak memberikan akses internet ke semua user dalam jaringan anda bukan?
  • Jaringan private berisi user didalam lingkungan yang tidak bisa di routed.
  • Organisasi anda memerlukan address private untuk komputer-2 pada jaringan private.
Suatu server NAT memerlukan paling tidak 2 interface jaringan.
  • Setiap interface memerlukan IP address, range IP address yang diberikan haruslah berada dalam subnet yang sama dengan jaringan dimana ia terhubung.
  • Subnet mask juga harus sama dengan subnet mask yang diberikan pada segmen jaringan dimana dia terhubung
Suatu server NAT dapat diletakkan pada
jaringan untuk melaksanakan tugas-2 tertentu:
  • Mengisolasi traffic jaringan pada segmen jaringan sumber, tujuan, dan segmen jaringan intermediate
  • Membuat partisi subnet didalam jaringan private, melindungi data confidential.
  • Pertukaran paket jaringan antara jenis segmen jaringan yang berbeda
Didalam design kebanyakan wireless router yang ada dipasaran sekarang ini, sudah banyak yang mengadopsi kemampuan Network Address Translation (NAT) dan Stateful Packet Inspection (SPI) ini kedalam piranti router. Baca juga artikel yang berhubungan dengan NAT pada guideline masalah keamanan firewall

TIPE-TIPE NAT
NAT atau Network Address Translation memiliki dua tipe, yaitu :
  • NAT Tipe Statis
  • NAT Tipe Dinamis
Pengertian NAT Tipe Statis
Static NAT atau NAT statis menggunakan table routing yang tetap, atau alokasi translasi alamat ip ditetapkan sesuai dengan alamat asal atau source ke alamat tujuan atau destination, sehingga tidak memungkinkan terjadinya pertukaran data dalam suatu alamat ip bila translasi alamat ipnya belum didaftarkan dalam table nat. Translasi Static terjadi ketika sebuah alamat lokal (inside) di petakan ke sebuah alamat global/internet (outside). Alamat local dan global dipetakan satu lawan satu secara statik. NAT secara statis akan melakukan request atau pengambilan dan pengiriman paket data sesuai dengan aturan yang telah ditabelkan dalam sebuah NAT .
133 300x112 Pengertian NAT dan Tipe tipe NAT
  • Pengertian NAT Tipe Dinamis
NAT dengan tipe dinamis menggunakan logika balancing atau menggunakan logika pengaturan beban, di mana dalam tabelnya sendiri telah ditanamkan logika kemungkinan dan pemecahannya, NAT dengan tipe dinamis pada umumnya dibagi menjadi 2 jenis yaitu NAT sistem pool dan NAT sistem overload.
  • Pengertian NAT Sistem Pool
NAT dengan sistem pool atau kelompok menggunakan sebuah tabel NAT dengan logika dinamis, dimana logika yang ditanamkan dalam NAT tersebut pada umumnya merupakan logika Fuzzy atau jika lambang yang nilai translasinya belum pasti, dimana dalam sistem pool, suatu request belum tentu akan melewati jaringan yang sama bila melakukan request yang sama untuk kedua kalinya, Translasi Dinamik terjadi ketika router NAT diset untuk memahami alamat lokal yang harus ditranslasikan, dan kelompok (pool) alamat global yang akan digunakan untuk terhubung ke internet. NAT dengan sistem pool biasanya sering dimanfaatkan untuk melakukan balancing atau penyeimbangan beban pada jaringan.
  • Pengertian Nat Sistem Overload
NAT dengan sistem Overloading menggunakan logika dimana request atau permintaan dari banyak client atau banyak alamat dioperkan atau diberikan ke satu alamat ip distribusi. Sejumlah IP lokal/internal dapat ditranslasikan ke satu alamat IP global/outside. Sejumlah IPlokal/internal dapat ditranslasikan ke satu alamat IP global/outside. Hal ini sangat menghemat penggunakan alokasi IP dari ISP. Sharing/pemakaian bersama satu alamat IP ini menghemat penggunaan alokasi IP dari ISP. Sharing/pemakaian bersama satu alamat IP ini menggunakan metoda portmultiplexing, atau perubahan port ke packet outbound. Penggabungan sistem overloading dan sistem pool telah dilakukan oleh banyak produsen router dan menghasilkan logika yang banyak digunakan untuk load balancing saat ini yaitu Round Robbin Load Balancing, dimana logika ini melakukan pengiriman request secara berurutan, secara bergantian ke alamat gateway yang telah ditanamkan dalam tabel NAT sebelumnya, sehingga suatu multireuest dari sebuah alamat ip dapat melalui lebih dari satu alamat distribusi, penerapan ini dapat dilakukan dalam penggunaan DualWan Router, selain itu logika ini juga memiliki logika Fail Over, dimana bila suatu alamat distribusi tidak dapat lagi mengirimkan paket maka paket akan dialihkan ke alamat distribusi yang lain.
Diposting oleh di Tidak ada komentar:

pengertian IPTABLES



IPTables

IpTables adalah salah satu aplikasi linux, yang berfungsi untuk firewall. Kegunaanya untuk memfiltering semua data yang melewatinya. Dengan aplikasi ini, kita bisa memblokir data yang masuk, atau mengijinkan data yang keluar. Selain IpTables, juga bisa menggunakan shorewall.
Seperti namanya, firewall atau tembok api yang melindungi jaringan lokal dari jaringan luar atau Internet. Untuk mencegah ulah para cracker yang ingin meretas ke suatu sistem jaringan.
Firewall ada yang berbentuk piranti lunak (software). Dan ada juga yang berbentuk piranti keras, yang sudah di implementasikan kedalam sistemnya. Router juga termasuk dalam firewall.
    
AlurPaketData
membahas prinsip dasar firewall iptables, mengelola akses internet berdasarkan alamat IP,port aplikasi dan MAC address. Firewall IPTables packet filtering memiliki tiga aturan (policy), yaitu:
• INPUT
 Mengatur paket data yang memasuki firewall dari arah intranet maupun internet. kita bisa         mengelolakomputer mana saja yang bisa mengakses firewall. misal: hanya komputer IP 192.168.1.100 yang bisa SSHke firewall dan yang lain tidak boleh.
• OUTPUT
Mengatur paket data yang keluar dari firewall ke arah intranet maupun internet. Biasanya output tidak diset,karena bisa membatasi kemampuan firewall itu sendiri.
• FORWARD
Mengatur paket data yang melintasi firewall dari arah internet ke intranet maupun sebaliknya. Policy forward paling banyak dipakai saat ini untuk mengatur koneksi internet berdasarkan port, mac address dan alamat IP Selain aturan (policy) firewall iptables juga mempunyai parameter yang disebut dengan TARGET, yaitu status yang menentukkan koneksi di iptables diizinkan lewat atau tidak. TARGET ada tiga macam yaitu:
a.ACCEPT
Akses diterima dan diizinkan melewati firewall
b.REJECT
Akses ditolak, koneksi dari komputer klien yang melewati firewall langsung terputus, biasanya terdapatpesan “Connection Refused”. Target Reject tidak menghabiskan bandwidth internet karena akses langsung ditolak, hal ini berbeda dengan DROP.

c.DROP
Akses diterima tetapi paket data langsung dibuang oleh kernel, sehingga pengguna tidak mengetahui kalau koneksinya dibatasi oleh firewall, pengguna melihat seakan – akan server yang dihubungi mengalami permasalahan teknis. Pada koneksi internet yang sibuk dengan trafik tinggi Target Drop sebaiknya jangan digunakan.

1. a. Memblok paket yang datang dari sebuah IP
# iptables -I INPUT -s 192.168.0.149 -j REJECT
Peritah di atas digunakan untuk memblok paket dari IP 192.168.0.149. Ada 2 opsi yang digunakan sebenarnya yaitu DROP dan REJECT. Perbedaan dari keduanya adalah kalau REJECT, perintah ini akan memblok paket namun akan memberitahukan bahwa paket tersebut ditolak. Sedangkan kalau DROP, perintah ini akan memblok paket namun tidak diberitahu apakah paket tersebut

b. Memblok paket yang keluar dari sebuah IP
iptables -A OUTPUT -p tcp -d 192.168.10.2 -j DROP

2.Menutup Port
# iptables -A INPUT -p tcp  --dport 22 -j REJECT
Perintah di atas memblok port 22 yang biasa digunakan untuk ssh
# iptables -A INPUT -p tcp -i eth0 --dport 23 -j REJECT
Perintah di atas memblok port 22 yang biasa digunakan untuk telnet
# iptables -I INPUT -s 192.168.0.250 -p tcp --dport 23 -j REJECT
Perintah di atas untuk memblok service telnet dari IP 192.168.0.250

3. Membuat Dropped Log file.
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "PORT 80 DROP: " --log-level 7
iptables -A INPUT -p tcp --destination-port 80 -j DROP

4. Menghapus iptables
#  iptables -D INPUT 3
Menghapus iptables pada tabel input di baris ke 3
# iptables -F
Menghapus seluruh iptables
# iptables -F FORWARD
Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)