Minggu, 19 Juni 2011

Laporan Akhir Diagnosa LAN

Laporan Akhir
Diagnosa LAN




Nama       : Tri Agustini M
Kelas       : XI – TKJ B
No. Absen: 28


SMK Negeri 1 Cimahi
TahunAjaran 2010/2011


LAPORAN AKHIR DIAGNOSA LAN

           Laporan Akhir
Diagnosa LAN




Nama       : Tri Agustini M
Kelas       : XI – TKJ B
No. Absen: 28


SMK Negeri 1 Cimahi
TahunAjaran 2010/2011


Kamis, 31 Maret 2011

Serangan Logika Jaringan

HACKER & CRACKER
Hacking adalah kegiatan menerobos program komputer milik orang/pihak lain. Hacker adalah orang yang gemar ngoprek komputer, memiliki keahlian membuat dan membaca program tertentu, dan terobsesi mengamati keamanan (security)-nya.
Berikut ini jenis-jenis serangan dasar yang dapat dikelompokkan dalam dunia hacking minimal 6 kelas, yaitu:
* Intrusion
Pada jenis serangan ini seorang cracker (umumnya sudah level hacker) akan dapat menggunakan sistem komputer server. Serangan ini lebih terfokus pada full access granted dan tidak bertujuan merusak. Jenis serangan ini pula yg diterapkan oleh para hacker untuk menguji keamanan sistem jaringan mereka. Dilakukan dalam beberapa tahap dan tidak dalam skema kerja spesifik pada setiap serangannya.
* Denial of Services (DoS)
Penyerangan pada jenis DoS mengakibatkan layanan server mengalami stuck karena kebanjiran request oleh mesin penyerang. Pada contoh kasus Distributed Denial of Services (DDoS) misalnya; dengan menggunakan mesin-mesin zombie, sang penyerang akan melakukan packeting request pada server secara serentak asimetris dan simultan sehingga buffer server akan kelabakan menjawabnya. Stuck/hung akan menimpa server.
· Joyrider
Serangan jenis ini rata-rata karena rasa ingin tau, tapi ada juga yang sampe menyebabkan kerusakan atau kehilangan data.
· Vandal
Jenis serangan spesialis pengrusak.
· Scorekeeper
Serangan yang bertujuan mencapai reputasi hasil cracking terbanyak. Biasanya hanya berbentuk deface halaman web (index/nambah halaman) dengan memampangakan NickName dan kelompok tertentu. Sebagian besar masih tidak perduli dengan isi mesin sasarannya). Saat ini jenis penyerang ini lebih dikenal dengan sebutan WannaBe/Script kiddies.
* Spy
Jenis serangan untuk memperoleh data atau informasi rahasia dari mesin target. Biasanya menyerang pada mesin-mesin dengan aplikasi database didalamnya.
Istilah-istilah seorang hacker penyusup
1. Mundane tahu mengenai hacking tapi tidak mengetahui metode dan prosesnya.
2. lamer (script kiddies) ; mencoba script-script yang pernah di buat oleh aktivis hacking, tapi tidak paham bagaimana cara membuatnya.
3. wannabe paham sedikit metode hacking, dan sudah mulai berhasil menerobos sehingga berfalsafah ; HACK IS MY RELIGION
4. larva (newbie) hacker pemula, teknik hacking mulai dikuasai dengan baik, sering bereksperimen.
5. hacker aktivitas hacking sebagai profesi.
6. wizard hacker yang membuat komunitas pembelajaran di antara mereka.
7. guru master of the master hacker, lebih mengarah ke penciptaan “tools tools hacker” yang powerfull yang salah satunya dapat menunjang aktivitas hacking, namun lebih jadi tools pemrograman system yang umum.
Jenis Serangan Cracker
1. IP Spoofing
IP Spoofing juga dikenal sebagai Source Address Spoofing, yaitu pemalsuan alamat IP attacker sehingga sasaran menganggap alamat IP attacker adalah alamat IP dari host di dalam network bukan dari luar network. Misalkan attacker mempunyai IP address type A 66.25.xx.xx ketika attacker melakukan serangan jenis ini maka Network yang diserang akan menganggap IP attacker adalah bagian dari Networknya misal 192.xx.xx.xx yaitu IP type C. IP Spoofing terjadi ketika seorang attacker ‘mengakali’ packet routing untuk mengubah arah dari data atau transmisi ke tujuan yang berbeda. Packet untuk routing biasanya di transmisikan secara transparan dan jelas sehingga membuat attacker dengan mudah untuk memodifikasi asal data ataupun tujuan dari data. Teknik ini bukan hanya dipakai oleh attacker tetapi juga dipakai oleh para security profesional untuk men tracing identitas dari para attacker.
Protokol yang menangani komunikasi antar komputer kebanyakan berhasil di spoof. ICMP (Internet Control Message Protocol) adalah salah satunya(vulnerable) karena protokol ini dilewati oleh informasi dan pesan-pesan kesalahan diantara dua node dalam network. Internet Group Message Protocol(IGMP) dapat dieksploitasi dengan menggunakan serangan tipe ini karena IGMP melaporkan kondisi kesalahan pada level user datagram, selain itu juga protokol ini mengandung Informasi routing dan Informasi Network. (UDP) User Datagram Protocol juga dapat ‘diminta’ untuk menampilkan identitas host sasaran.
Solusi untuk mencegah IP spoofing adalah dengan cara mengamankan packet-packet yang ditransmisikan dan memasang screening policies. Enkripsi Point-to-point juga dapat mencegah user yang tidak mempunyai hak untuk membaca data/packet. Autentikasi dapat juga digunakan untuk menyaring source yang legal dan bukan source yang sudah di spoof oleh attacker. Dalam pencegahan yang lain, Admininistrator dapat menggunakan signature untuk paket-paket yang berkomunikasi dalam networknya sehingga meyakinkan bahwa paket tersebut tidak diubah dalam perjalanan. Anti Spoofing rules(peraturan anti spoof) yang pada dasarnya memberitahukan server untuk menolak packet yang datangnya dari luar yang terlihat datangnya dari dalam, umumnya hal ini akan mematahkan setiap serangan spoofing.
2. FTP Attack
Salah satu serangan yang dilakukan terhadap File Transfer Protocol adalah serangan buffer overflow yang diakibatkan oleh malformed command. tujuan menyerang FTP server ini rata-rata adalah untuk mendapatkan command shell ataupun untuk melakukan Denial Of Service.
Serangan Denial Of Service akhirnya dapat menyebabkan seorang user atau attacker untuk mengambil resource didalam network tanpa adanya autorisasi, sedangkan command shell dapat membuat seorang attacker mendapatkan akses ke sistem server dan file-file data yang akhirnya seorang attacker bias membuat anonymous root-acces yang mempunyai hak penuh terhadap system bahkan network yang diserang.
3. Unix Finger Exploits
Pada masa awal internet, Unix OS finger utility digunakan secara efficient untuk men sharing informasi diantara pengguna. Karena permintaan informasi terhadap informasi finger ini tidak menyalahkan peraturan, kebanyakan system Administrator meninggalkan utility ini (finger) dengan keamanan yang sangat minim, bahkan tanpa kemanan sama sekali. Bagi seorang attacker utility ini sangat berharga untuk melakukan informasi tentang footprinting, termasuk nama login dan informasi contact. Utility ini juga menyediakan keterangan yang sangat baik tentang aktivitas user didalam sistem, berapa lama user berada dalam sistem dan seberapa jauh user merawat sistem.
Informasi yang dihasilkan dari finger ini dapat meminimalisasi usaha cracker dalam menembus sebuah sistem. Keterangan pribadi tentang user yang dimunculkan oleh finger daemon ini sudah cukup bagi seorang atacker untuk melakukan social engineering dengan menggunakan social skillnya untuk memanfaatkan user agar ‘memberitahu’ password dan kode akses terhadap system.
4. Flooding & Broadcasting
Seorang attacker bisa menguarangi kecepatan network dan host-host yang berada di dalamnya secara significant dengan cara terus melakukan request/permintaan terhadap suatu informasi dari sever yang bias menangani serangan classic Denial Of Service(Dos), mengirim request ke satu port secara berlebihan dinamakan flooding, kadang hal ini juga disebut spraying. Ketika permintaan flood ini dikirim ke semua station yang berada dalam network serangan ini dinamakn broadcasting. Tujuan dari kedua serangan ini adalah sama yaitu membuat network resource yang menyediakan informasi menjadi lemah dan akhirnya
menyerah.
Serangan dengan cara Flooding bergantung kepada dua faktor yaitu: ukuran dan/atau volume (size and/or volume). Seorang attacker dapat menyebabkan Denial Of Service dengan cara melempar file berkapasitas besar atau volume yang besar dari paket yang kecil kepada sebuah system. Dalam keadaan seperti itu network server akan menghadapi kemacetan: terlalu banyak informasi yang diminta dan tidak cukup power untuk mendorong data agar berjalan. Pada dasarnya paket yang besar membutuhkan kapasitas proses yang besar pula, tetapi secara tidak normal paket yang kecil dan sama dalam volume yang besar akan menghabiskan resource secara percuma, dan mengakibatkan kemacetan.
Attacker sering kali menggunakan serangan flooding ini untuk mendapatkan akses ke system yang digunakan untuk menyerang network lainnya dalam satu serangan yang dinamakan Distributed Denial Of Service(DDOS). Serangan ini seringkali dipanggil smurf jika dikirim melaluli ICMP dan disebut fraggles ketika serangan ini dijalakan melewati UDP. Suatu node (dijadikan tools) yang menguatkan broadcast traffic sering disebut sebagai Smurf Amplifiers, tools ini sangat efektif untuk menjalankan serangan flooding. Dengan melakukan spoofing terhadap network sasaran, seorang attacker dapat mengirim sebuah request ke smurf amplifier, Network yang di amplifiying(dikuatkan) akan mengirim respon kesetiap host di dalam network itu sendiri, yang berarti satu request yang dilakukan oleh attacker akan menghasilkan pekerjaan yang sama dan berulang-ulang pada network sasaran, hasil dari serangan ini adalah sebuah denial of service yang tidak meninggalkan jejak. Serangan ini dapat diantisipasi dengan cara menolak broadcast yang diarahkan pada router.
5. Fragmented Packet Attacks
Data-data internet yang di transmisikan melalui TCP/IP bisa dibagi lagi ke dalam paket-paket yang hanya mengandung paket pertama yang isinya berupa informasi bagian utama( kepala) dari TCP. Beberapa firewall akan mengizinkan untuk memroses bagian dari paket-paket yang tidak mengandung informasi alamat asal pada paket pertamanya, hal ini akan mengakibatkan beberapa type system menjadi crash.
Contohnya, server NT akan menjadi crash jika paket-paket yang dipecah(fragmented packet) cukup untuk menulis ulang informasi paket pertama dari suatu protokol.
Paket yang dipecah juga dapat mengakibatkan suasana seperti serangan flooding. Karena paket yang dipecah akan tetap disimpan hingga akhirnya di bentuk kembali ke dalam data yang utuh, server akan menyimpan paket yang dipecah tadi dalam memori kernel. Dan akhirnya server akan menjadi crash jika terlalu banyak paket-paket yang telah dipecah dan disimpan dalam memory tanpa disatukan kembali.
Melalui cara enumerasi tentang topographi network sasaran, seorang attacker bisa mempunyai banyak pilihan untuk meng- crash packet baik dengan cara menguji isi firewall, load balancers atau content – based routers.
6. E-mail Exploits
Peng-exploitasian e-mail terjadi dalam lima bentuk yaitu: mail floods, manipulasi perintah (command manipulation), serangan tingkat transportasi(transport level attack), memasukkan berbagai macam kode (malicious code inserting) dan social engineering(memanfaatkan sosialisasi secara fisik). Penyerangan email bisa membuat system menjadi crash, membuka dan menulis ulang bahkan mengeksekusi file-file aplikasi atau juga membuat akses ke fungsi fungsi perintah (command function).
Serangan mail flood (flood =air bah) terjadi ketika banyak sekali e-mail yang dikirimkan oleh attacker kepada sasaran yang mengakibatkan transfer agent kewalahan menanganinya, mengakibatkan komunikasi antar program lain menjadi tidak stabil dan dapat membuat system menjadi crash. Melakukan flooding merupakan cara yang sangat kasar namun efektif, maksudnya untuk membuat suatu mail server menjadi down. Salah satu jalan yang menarik dalam melakukan serangan mail-flooding adalah dengan mengexploitasi fungsi auto-responder (auto-responder function) yang terdapat dalam kebanyakan aplikasi email, ketika seorang attacker menemukan auto-responder yang sedang aktif dalam dua system yang berbeda, sang attacker bisa saja mengarahkan yang satu ke yang lainnya, karena kedua-duanya di set untuk merespond secara sacara otomatis untuk setiap pesan, maka kedua-duanya akan terus mengenarate lebih banyak e-mail secara loop(bolak-balik) dan akhirnya kedua-duanya akan kelelahan dan down.
Serangan memanipulasi perintah (command manipulation attack) dapat mengakibatkan sebuah system menjadi crash dengan cara menggulingkan mail transfer agent dengan sebuah buffer overflow yang diakibatkan oleh perintah (fungsi) yang cacat (contoh: EXPN atau VRFY).
Perbedaan antara mail flood dan command manipulation: command manipulation meng-exploit kekuasaan milik sendmail yaitu memperbolehkan attacker untuk mengakses system tanpa informasi otorisasi(menjadi network admin tanpa diketahui) dan membuat modifikasi pada penjalanan program lainnya. Mengaktifkan command yang cacat seperti diatas juga dapat mengakibatkan seorang attacker mendapatlan akses untuk memodifikasi file, menulis ulang, dan tentunya saja membuat trojan horses pada mail server.
Penyerangan tingkat transport (transport level attack) dilakukan dengan cara mengexploit protokol perute- an/pemetaan e-mail diseluruh internet: Simple Mail Tranport Protocol (SMTP). Seorang attacker dapat mengakibatkan kondisi kesalahan sementara (temporary error) di target system dengan cara mengoverload lebih banyak data pada SMTP buffer sehingga SMTP buffer tidak bisa menanganinya, kejadian ini dapat mengakibatkan seorang attacker terlempar dari sendmail program dan masuk kedalam shell dengan kekuasaan adminitsrasi bahkan dapat mengambil alih root. Beberapa serangan exploitasi juga sering terjadi pada POP dan IMAP.
Mail relaying, proses memalsukan asal/source email dengan cara meroutekannya ke arah mesin yang akan dibohongi, adalah type lain dari serangan transport-level. Teknik ini sangat berguna untuk membuat broadcasting spam secara anonymous. Berbagai macam isi(content) yang sering dikirim lewat e-mail dengan teknik ini biasanya adalah content-content yang merusak. Beberapa Virus dan Worms akan disertakan dalam e-mail sebagai file attachment yang sah, seperti variant Melissa yang nampak sebagai Ms Word Macro atau loveletter worm yang menginfeksi system dan mengemailkan dirinya sendiri ke users yang berada dalam address booknya outlook. Kebanyakan antivirus scanner akan menangkap attachment seperti ini, tetapi visrus dan worm baru serta variannya masih tetap berbahaya. Serangan yang terakhir yang dilakukan oleh seorang attacker selain serangan diatas adalah dengan cara melakukan social enginering, kadang sang attacker mengirim e-mail dengan source memakai alamat admin agar users mengirimkan passwordnya untuk mengupgrade system.
7. DNS and BIND Vulnerabilities
Berita baru-baru ini tentang kerawanan (vulnerabilities) tentang aplikasi Barkeley Internet Name Domain (BIND) dalam berbagai versi mengilustrasikan kerapuhan dari Domain Name System (DNS), yaitu krisis yang diarahkan pada operasi dasar dari Internet (basic internet operation). Kesalahan pada BIND sebenarnya bukanlah sesuatu yang baru. Semenjak permulaanya, standar BIND merupakan target yang paling favorite untuk diserang oleh komunitas cracker karena beberapa kerawanannya. Empat kerawanan terhadap buffer overflow yang terjadi pada bulan Januari lalu hanya beberapa bagian dari kerawanan untuk diexploitasi oleh para cracker agar mendapat akses terhadap system dan melakukan perintah dengan hak penuh (command execution priviledge).
Kerawanan pada BIND merupakan masalah yang sangat serius karena lebih dari 80 persen DNS yang berada di Jagat Internet dibangun menggunakan BIND. Tanpa adanya DNS dalam lingkungan Internet Modern, mungkin transmisi e-mail akan sulit, navigasi ke situs-situs web terasa rumit dan mungkin tidak ada hal mudah lainnya yang menyangkut internet.
Kerawanan BIND bukan hanya terletak pada DNS. System penerjemah alamat (number-address translator) merupakan subject dari kebanyakan exploit, termasuk untuk melakukan penyerangan di tingkat informasi, penyerangan Denial Of Service, pengambil alihan kekuasaan dengan hijacking.
Penyerangan di tingkat Informasi bertujuan untuk membuat server menjawab sesuatu yang lain dari jawaban yang benar. Salah satu cara untuk melakukan serangan jenis ini adalah melalui cache poisoning, yang mana akan mengelabui remote name server agar menyimpan jawaban dari third-party domain dengan cara menyediakan berbagai macam informasi kepada domain server yang mempunyai autorisasi.
Semua pengimplementasian serangan terhadap DNS akan mempunyai kemungkinan besar untuk berhasil dilakukan jika jawaban dari suatu pertanyaan yang spesisfik bisa dibohongi (spoof). DOS atau membuat Server tidak dapat beroperasi, bisa dilakukan dengan cara membuat DNS menyerang dirinya sendiri atau juga dengan cara mengirimkan traffic-flooding yang berlebihan dari luar, contohnya menggunakan “Smurf” ICMP flood. Jika suatu organisasi atau perusahaan memasang authoritathive name server dalam satu segment yang terletak dibelakang satu link atau dibelakang satu physical area, maka hal ini akan menyebabkan suatu kemungkinan untuk dilakukannya serangan Denial Of Service.
Cracker akan mencoba untuk menyerang system melalui DNS dengan cara buffer overflow, yaitu salah satu exploit yang sangan berpotensi pada kerawanan BIND. Gangguan exploit terjadi karena adanya kelemahan dalam pengkodean/pemrograman BIND yang mengizinkan seorang attacker untuk memanfaatkan code-code yang dapat dieksekusi untuk masuk kedalam system. Beberapa system operasi telah menyediakan patch untuk stack agar tidak dapat dieksekusi, sebagaimana juga yang dilakukan compiler (menyediakan patch) yang melindungi stack dari overflow. Mekanisme perlindungan ini stidaknya membuat cracker akan sulit menggunakan exploit.
Telah jelas bahwa mengupdate system secara berkala dan menggunakan patch adalah salah satu yang harus dilakukan untuk membangun security yang efektif, jika vendor dari DNS anda tidak menyediakan patch secara berkala, anda lebih baik mengganti software DNS anda yang menyediakan patch secara berkala, tentunya untuk menjaga kemanan system.
Pada system Unix , BIND harus dijalankan sebagai root untuk mengatur port yang lebih rendah (kode kode mesin). Jika software DNS dapat dibodohi untuk menjalankan code-code berbahaya, atau membuka file-file milik root, user local mungkin saja bisa menaikan kekuasaannya sendiri didalam mesin. Organisasi atau perusahaan yang mengubah authoritative server juga harus waspada bahwa mengganti server mereka dalam waktu yang bersamaan akan mengakibatkan domain mereka di hijack melalui cache poisoning. Mengubah server seharusnya dilakukan sebagai proses transisi. Untuk mencegah domain hijacking sebaiknya network admin terlebih dahulu menambahkn server barunya kedalam network
infrastucture sebelum mengganti server yang lama.
8. Password Attacks
Password merupakan sesuatu yang umum jika kita bicara tentang kemanan. Kadang seorang user tidak perduli dengan nomor pin yang mereka miliki, seperti bertransaksi online di warnet, bahkan bertransaksi online dirumah pun sangat berbahaya jika tidak dilengkapi dengan software security seperti SSL dan PGP.
Password adalah salah satu prosedur kemanan yang sangat sulit untuk diserang, seorang attacker mungkin saja mempunyai banyak tools (secara teknik maupun dalam kehidupan sosial) hanya untuk membuka sesuatu yang dilindungi oleh password. Ketika seorang attacker berhasil mendapatkan password yang dimiliki oleh seorang user, maka ia akan mempunyai kekuasaan yang sama dengan user tersebut. Melatih karyawan/user agar tetap waspada dalam menjaga passwordnya dari social engineering setidaknya dapat meminimalisir risiko, selain berjaga-jaga dari praktek social enginering organisasi pun harus mewaspadai hal ini dengan cara teknikal. Kebnayakan seranagn yang dilakukan terhadap password adalah menebak (guessing), brute force, cracking dan sniffing.
Penebakan(guessing) password bisa dilakukan dengan cara memasukan password satu persatu secara manual ataupun dengan bantuin script yang telah diprogram. Kebanyakan user menggunakan hal-hal yang umum untuk password mereka diantaranya tanggal lahir, dan biasanya user tidak menghawatirkan tentang aturan yang berlaku pada perusahaan untuk menggunakan kombinasi alphanumeric dan minimal 7 karakter. Jika saja user memakai tanggal lahirnya sebagai password maka hal penyerangan akan sangat mudah dilakukan, karena cracker tidak membutuhkan waktu yang lama hanya untuk menjebol 6 digit angka tanggal lahir. Beberapa user atau bahkan administrator dapat membuat pekerjaan cracker menjadi
mudah andai saja mereka lupa untuk merubah password default dari sebuah software.
Sebenarnya, password guessing merupakan sesuatu yang sangat tidak efektif, dan dapat menghabiskan waktu. Network admin bisa dengan mudah mendetect serangan jika seorang attacker mencoba login dengan menebak password berkali-kali.
Brute-force merupakan serangan yang menggunakan logika yang sama dengan password guessing tetapi serangan brute-force lebih cepat dan lebih powerfull. Dalam tipe serangan ini seorang attacker menggunakan script (biasanya program cracking gratis) yang akan mencoba password-password umum(biasanya terdapat dalam dictionary). Tujuan dari serangan jenis ini adalah untuk mempercepat penemuan password sebelum network admin menyadari adanya serangan.
Walaupun serangan Brute-force lebih efisien daripada password guessing, kedua teknik tersebut pada dasarnya sama. Attacker umumnya lebih sulit untuk berhasil dengan kedua metoda tersebut. Lebih jauh lagi, kedua teknik tersebut sangat mudah di lawan dengan memanfaatkan features blacklisting, yang akan mengunci sebuah account user jika seseorang(attacker) berkali-kali memasukkan password secara tidak tepat. Contohnya, default blacklist dalam system unix adalah tiga kali (kesempatan memasukkan password). Kelemahan dari perlindungan blacklist adalah bahwa feature blacklist ini dapat igunkan untuk menyerang system oleh attacker. Sebagai contoh, jika seorang attacker dapat mengidentifikasi siapa login name untuk network admin, sang attacker bisa saja menngunakan login name itu dan memasukkan password yang salah berulangkali dan akhirnya mengunci account admin ☺. Ketika sang admin sedang berusaha untuk mendapatkan aksesnya kembali, seorang attacker masih bisa untuk berhubungan dengan system.
Password cracking adalah metoda untuk melawan perlindungan password yang dienkripsi yang berada di dalam system. Dengan anggapan bahwa atacker telah masuk kedalam system, ia bisa saja mengubah kekuasaannya didalam system dengan cara meng crack password file menggunakan metode brute-force dictionary attack (mencocokan kata-kata yang berada dalam kamus dengan kata-kata yang dienkripsi dalam file password). Keberhasilan menggunakan cara ini bergantung pada kecepatan prosesor dan program yang dimiliki oleh attacker. Cara yang terbaik untuk menghindari serangan jenis ini adalah dengan memonitor kewenangan akses pada file.
Dengan cara mengintip lalulintas pada port telnet(23) ataupun HTTPD (80), seorang attacker dapat mendapatkan password yang digunakan untuk internet dan koneksi secara remote melalui proses yang dinamakan password snifing. Cara inilah yang paling mudah dilakukan karena kedua koneksi tersebut tidak menggunakan enkripsi, kecuali koneksi yang menggunakan SSL (secure socket layer) pada HTTPD(biasanya ada tanda gembok terkunci dibawah browser, yang menandakan transaksi aman) atau juga menggunakan SSH (Secure SHell) untuk koneksi ke mesin lain secara remote.
9.Proxy Server Attacks
Salah satu fungsi Proxy server adalah untuk mempercepat waktu response dengan cara menyatukan proses dari beberapa host dalam suatu trusted network. Dalam kebanyakan kasus, tiap host mempunyai kekuasan untuk membaca dan menulis (read/write) yang berarti apa yang bisa saya lakukan dalam system saya akan bisa juga saya lakukan dalam system anda dan sebaliknya. Jika firewal yang berada dalam trusted network tidak dikonfigurasikan secara optimal, khususnya untuk memblok akses dari luar, apalagi jika autentikasi dan enkripsi tidak digunakan, seorang attacker bias menyerang proxy server dan mendapatkan akses yang sama dengan anggota trusted network lainnya. Jika attaker sudah masuk ke sistem ia tentunya bisa melakukan apa saja dan ia bisa melakukan DDOS(distributed denial of service) secara anoymous untuk menyerang network lain. Router yang tidak dikonfigurasikan secara optimal juga akan berfungsi sebagai proxy server dan akan mengakibatkan kerawanan yang sama dengan proxy server.
10. Remote Command Processing Attacks
Trusted Relationship antara dua atau lebih host menyediakan fasilitas pertukaran informasi dan resource sharing. Sama halnya dengan proxy server, trusted relationship memberikan kepada semua anggota network kekuasaan akses yang sama di satu dan lain system (dalam network). Attacker akan menyerang server yang merupakan anggota dari trusted system. Sama seperti kerawanan pada proxy server, ketika akses diterima, seorang attacker akan mempunyai kemampuan mengeksekusi perintah dan mengkases data yang tersedia bagi user lainnya.
11. Remote File System Attack
Protocol-protokol untuk tranportasi data –tulang punggung dari internet— adalah tingkat TCP (TCPLevel) yang mempunyai kemampuan dengan mekanisme untuk baca/tulis (read/write) Antara network dan host. Attacker bisa dengan mudah mendapatkan jejak informasi dari mekanisme ini untuk mendapatkan akses ke direktori file.
Tergantung pada OS (operating system) yang digunakan, attacker bisa meng extrack informasi tentang network, sharing privileges, nama dan lokasi dari user dan groups, dan spesifikasi dari aplikasi atau banner (nama dan versi software). System yang dikonfigurasi atau diamankan secara minimal akan dengan mudah membeberkan informasi ini bahkan melalui firewall sekalipun. Pada system UNIX, informasi ini dibawa oleh NFS (Network File System) di port 2049. system Windows menyediakan data ini pada SMB (server messaging block) dan Netbios pada port 135 – 139(NT) dan port 445 pada win2k.
Network administrator bisa meminimalisasi resiko yang akan terjadi dengan menggunakan Protokolprotokol tersebut dengan memberikan sedikit peraturan. Network dengan system windows, harusnya memblok akses ke port 139 dan 445 dari luar network, jika dimungkinkan. Dalam system unix port 2049 seharusnya di blok, sharing file dibatasi dan permintaan file melalui showmount(perintah dalam unix) seharusnya di catat dalam log.
12. Selective Program Insertions
Selective Program Insertions adalah serangan yang dilakukan ketika attacker menaruh program-program penghancur, seperti virus, worm dan trojan (mungkin istilah ini sudah anda kenal dengan baik ☺) pada system sasaran. Program-program penghancur ini sering juga disebut malware. Program-program ini mempunyai kemampuan untuk merusak system, pemusnahan file, pencurian password sampai dengan membuka backdoor.
Biasanya antivirus yang dijual dipasaran akan dapat mendeteksi dan membersihkan program-program seperti ini, tetapi jika ada virus baru (anggap saja variant melissa) virus scanner belum tentu dapat menghadapi script-script baru. Beberapa network administrator melakukan pertahan terhadap malware dengan teknologi alternatif seperti behaviour blockers, yang memberhentikan kode-kode yang dicurigai berdasarkan contoh kelakuan malware, bukan berdasarkan signature. Beberapa aplikasi lainnya akan mengkarantina virus dan code-code yang dicurigai didalam daerah yang dilindungi, biasanya disebut sandboxes.
13. Port Scanning
Melalui port scanning seorang attacker bisa melihat fungsi dan cara bertahan sebuah system dari berbagai macam port. Seorang atacker bisa mendapatkan akses kedalam sistem melalui port yang tidak dilindungi. SebaGai contoh, scaning bisa digunakan untuk menentukan dimana default SNMP string di buka untuk publik, yang artinya informasi bisa di extract untuk digunakan dalam remote command attack.
14.TCP/IP Sequence Stealing, Passive Port Listening and Packet Interception
TCP/IP Sequence Stealing, Passive Port Listening dan Packet Interception berjalan untuk mengumpulkan informasi yang sensitif untuk mengkases network. Tidak seperti serangan aktif maupun brute-force, serangan yang menggunakan metoda ini mempunyai lebih banyak kualitas stealth-like. TCP/IP Sequence Stealing adalah pemetaan dari urutan nomor-nomor (angka), yang bisa membuat packet milik attacker terlihat legal. Ketika suatu system meminta sesi terhadap mesin lain, kedua system tersebut saling bertukar nomor-nomor sinkronisasi TCP. Jika tidak dilakukan secara acak, Attacker bisa mengenali algoritma yang digunakan untuk meng –generate nomor-nomor ini. Urutan nomor yang telah dicuri bias digunakan attacker untuk menyamar menjadi salah satu dari system tadi, dan akhirnya
memperbolehkannya untuk melewati firewall. Hal ini sebenarnya efektif jika digunakan bersama IP Spoofing.
Melalui passive port listening, seorang attacker dapat memonitor dan mencatat (log) semua pesan dan file yang dikirim ke semua port yang dapat diakses pada target system untuk menemukan titik kerawanan.
Packet Interception adalah bagian (tepatnya pelapis) dari active listener program yang berada pada port di system sasaran yang berfungsi untuk menerima ataupun mengembalikan semua tipe pesan (data) spesifik yang dikirim. Pesan tersebut bisa dikembalikan ke unauthorized system, dibaca dan akhir nya dikembalikan lagi baik tanpa perubahan atau juga dengan perubahan kepada attacker, atau bahkan tidak dikembalikan.
Dalam beberapa versi atau juga menurut konfigurasi dari user SSHD(secured shell daemon), otentikasi bisa dilakukan dengan cara menggunakan public key (milik mesin tentunya). Jika seorang attacker mempelajari public key yang digunakan, ia bisa menciptakan atau memasukan paket-paket palsu. System sasaran akan menganggap pengirim paket palsu tersebut mempunyai hak akses.
15. HTTPD Attacks
Kerawanan yang terdapat dalam HTTPD ataupun webserver ada lima macam: buffer overflows, httpd bypasses, cross scripting, web code vulnerabilities, dan URL floods.
HTTPD Buffer Overflow bisa terjadi karena attacker menambahkan errors pada port yang digunakan untuk web traffic dengan cara memasukan banyak carackter dan string untuk menemukan tempat overflow yang sesuai. Ketika tempat untuk overflow ditemukan, seorang attacker akan memasukkan string yang akan menjadi perintah yang dapat dieksekusi. Bufer-overflow dapat memberikan attacker akses ke command prompt.
Beberapa feature dari HTTPD bisa digunakan untuk meciptakan HTTPD byapass, memberi akses ke server menggunakan fungsi logging. Dengan cara ini, sebuah halaman web bisa diakses dan diganti tanpa dicatat oleh web server. Cara ini sering digunakan oleh para cracker, hacktivis dan cyber vandals untuk mendeface website.

Kamis, 03 Februari 2011

Membangun PC Router menggunakan Freebsd

saya akan memberitahu cara membangun sebuah PC Router dengan FREEBSD sesuai dengan praktek yang sudah saya lakukan
Alat-alat yang kita butuhkan yaitu:

1. 3 buah NIC
2. 1 buah PC
3. OS (dalam hal ini FreeBSD)
4. Aplikasi VMWare

LANGKAH KERJA

1. Siapkan alat dan bahan
2. Buat topologi Router yang akan kita uji coba
3. Install OS FreeBSD dalam VMWare. Dalam hal ini kita membutuhkan sebanyak 3 OS untuk melakukan
    praktek
4. Lakukan penginstallan seperti biasa
5. Jadikan satu OS menjadi PC Router dan yang lain menjadi host. kita namakan "Freebsd" menjadi PC
    Router dan "Freebsd2" dan "Freebsd3" menjadi host
6. Setelah selesai, pada "freebsd" ketikan perintah "ifconfig" lalu enter


7. Terlihat disana jenis interface yang bisa kita gunakan misalnya "lnc0"
8. Lalu kita tentukan ip address dan netmasknya. ketikan perintah
   ifconfig lnc0 3.3.3.2 netmask 255.255.255.0
   ifconfig lnc1 1.1.1.2 netmask 255.255.255.0
   ifconfig lnc2 2.2.2.2 netmask 255.255.255.0


9. Pastikan bahwa ip yang sudah kita masukkan sudah tercatat dengan mengetikan "ifconfig" lagi
10. Kita akan menyeting secara network script untuk mengaktifkan IP dan Gateway-nya dengan mengetikkan
      perintah
      "ee /etc/rc.conf"


11. Setelah muncul, pada tab dibawah tambahkan perintah
    "router_enable="YES"
    "gateway_enable="YES"


12. Lalu save dengan menekan Ctrl+[
13. Pada "Freebsd2" masukkan ipnya dengan perintah "ifconfig lnc0 1.1.1.1 netmask 255.255.255.0"
14. Masukkan gateway pada "Freebsd2" dengan perintah "route add default 1.1.1.2"


15. Pada "Freebsd3" ketikan perintah "ifconfig 2.2.2.1 netmask 255.255.255.0" untuk mengatur IP
16. Masukkan default gateway pada "Freebsd3" dengan perintah "route add default 2.2.2.2"


17. Lalu coba hubungkan dengan perintah "ping" atau "traceroute" dari "Freebsd2" ke "Freebsd3" dan sebaliknya

HASIL PENGAMATAN

> Hasil perintah "Ping" dari "Freebsd2" ke Freebsd3"


> Hasil perintah "Traceroute" dari "Freebsd2" ke "Freebsd3"


> Hasil perintah "Ping" dari "Freebsd3" ke "Freebsd2"


> Hasil perintah "Traceroute" dari "Freebsd3" ke "Freebsd2"

Kamis, 20 Januari 2011

Firewall DMZ

Firewall DMZ – memberikan suatu segmentasi jaringan jika anda perlu hosting public resources seperti web server dengan aman
Untuk menghubungkan jaringan private / business kita dengan jaringan public seperti jaringan Internet, tentulah kita harus mengatur aliran traffic paket dengan menggunakan perangkat Firewall yang diperkuat dengan policy keamanan. Dengan firewall, semua traffic dipaksa melalui satu check point tunggal yang terkosentrasi dimana semua traffic di kendalikan, di-authentikasi, di filter, dan di log menurut policy yang diterapkan pada firewall tersebut. Dengan cara ini, kita bisa mengurangi secara significant akan tetapi tidak menghilang kan traffic yang tidak kita harapkan yang akan mencapai jaringan private kita.
Kemudian bagaimana kalau kita akan meletakkan beberapa public resources (seperti server web) yang memang disediakan untuk bisa diakses oleh user umum dari internet dengan aman? Kita bisa menyediakan fasilitas web-server atau mail-server yang bisa diakses oleh public tanpa harus membiarkan mereka bisa leluasa masuk atau mengakses jaringan private corporate kita dengan jalan memberikan segmentasi pada system firewall kita dengan suatu jaringan perimeter atau lebih dikenal dengan Firewall dengan DMZ (Demilitarized Zones). Lihat juga firewall external – standard.
Firewall DMZ (Demilitarized Zone) – atau jaringan perimeter adalah jaringan security boundary yang terletak diantara suatu jaringan corporate / private LAN dan jaringan public (Internet). Firewall DMZ ini harus dibuat jika anda perlu membuat segmentasi jaringan untuk meletakkan server yang bisa diakses public dengan aman tanpa harus bisa mengganggu keamanan system jaringan LAN di jaringan private kita. Perimeter (DMZ) network didesign untuk melindungi server pada jaringan LAN corporate dari serangan hackers dari Internet.
Gambar berikut ini menunjukkan diagram dari firewall yang menggunakan dua jaringan DMZ.
Firewall dengan dua DMZ

External Firewall Dengan Dua DMZ
Jika ada kebutuhan untuk menggunakan jaringan segmentasi, anda bisa menerapkan beberapa jaringan DMZ dengan kebijakan tingkat keamanan yang berbeda. Seperti terlihat pada diagram diatas, anda membangun aplikasi untuk keperluan extranets, intranet, dan web-server hosting dan juga gateway untuk keperluan remote akses.
Perhatikan diagram DMZ diatas, traffic user dari internet hanya dapat mengakses web-server yang diletakkan pada jaringan DMZ2. Mereka tidak bisa mengakses server SQL yang diletakkan pada jaringan DMZ1. Akan tetapi kedua server baik web-server (yang ada di DMZ2) dan SQL-server (yang ada di DMZ1) mempunyao alses untuk bisa saling berkomunikasi. User dari internet tidak boleh mengakses SQL sever maupun mengakses jaringan internal / private kita. Maka anda harus menerapkan kebijakan keamanan pada firewall yang memenuhi kebutuhan tersebut.
Implementasi
Firewall DMZ dapat diimplementasikan tepat pada border corporate LAN yang lazim mempunyai tiga jaringan interface:

1. Interface Internet: interface ini berhubungan langsung dengan Internet dan IP addressnyapun juga IP public yang terregister.
2. Interface Private atau Interface intranet: adalah interface yang terhubung langsung dengan jaringan corporate LAN dimana anda meletakkan server-server yang rentan terhadap serangan.
3. Jarinagn DMZ: Interface DMZ ini berada didalam jaringan Internet yang sama sehingga bisa diakses oleh user dari Internet. Resources public yang umumnya berada pada firewall DMZ adalah web-server, proxy dan mail-server.

Wireless Router dengan Fitur DMZ
Ada banyak wireless router yang biasa dipakai untuk jaringan rumahan atau kantoran kecil yang dilengkapi dengan fitur DMZ seperti WRT610N dari Linksys. Wireless router yang dilengkapi dengan fitur DMZ ini memungkinkan anda untuk meletakkan satu computer yang bisa diexpose ke Internet dengan tujuan tertentu seperti untuk online gaming atau video-conference. DMZ hosting ini meneruskan semua ports pada saat yang bersamaan kepada satu PC. Fitur forward port ini lebih aman sebab dia hanya membuka port-port yang ingin anda buka saja, sementara hosting DMZ membuka semua port dari satu komputer, mengexpose komputer kepada internet.
Misal pada WRT610N Linksys anda bisa mengkonfigure satu PC atau game console untuk keperluan Online gaming, sehingga terpisah dari jaringan private anda. Anda bisa mengakses utilitas Web-based dari WRT610 ini dan masuk ke menu Application > DMZ untuk bisa meng-enable fitur DMZ ini. Enable dulu fitur DMZ ini dan kemudian lakukan konfigurasi nya. Pilih IP address atau masukkan IP address tertentu secara manual dari komputer yang ada di internet yang dibolehkan masuk mengakses PC yang ada pada jaringan. Anda juga perlu memasukkan IP address atau MAC address dari PC / Game console yang anda ingin diexpose di Internet dan bisa diakases dari Internet.

Senin, 17 Januari 2011

Wireless Distribution System (WDS)

Dengan Wireless Distribution System (WDS) memungkinkan jaringan wireless dikembangkan menggunakan beberapa access point tanpa harus memerlukan backbone kabel jaringan untuk menghubungkan mereka, seperti cara tradisional. Keuntungan yang bisa kelihatan dari Wireless Distribution Systemdibanding solusi lainnya adalah bahwa dengan Wireless Distribution System, header MAC address dari paket traffic tidak berubah antar link access point. tidak seperti pada proses encapsulation misalnya pada komunikasi antar router yang selalu menggunakan MAC address pada hop berikutnya.

Suatu access point bisa menjadi sebuah station utama, relay, atau remote base station. Suatu base station utama pada umumnya dihubungkan dengan system Ethernet. Base station relay merelay station-2 kepada base station utama atau relay station lainnya. Remote base station menerima koneksi dari clients wireless dan melewatkannya ke main station atau ke relay station juga. Koneksi antar clients menggunakan MAC address dibanding memberikan spesifikasi IP address.

Semua base station dalam Wireless Distribution System (WDS) harus dikonfigure menggunakan channel radio yang sama, methoda inkripsi (tanpa inkripsi, WEP, atau WAP) dan juga kunci inkripsi yang sama. Mereka bisa dikonfigure dengan menggunakan SSID (service set identifiers) yang berbeda sebagai identitas. Wireless Distribution System (WDS) juga mengharuskan setiap base station untuk bisa melewatkan kepada lainnya didalam system.

Wireless Distribution System (WDS) bisa juga direferensikan sebagai mode repeater karena dia bisa tampak sebagai Bridge dan juga menerima wireless clients pada saat bersamaan (tidak seperti system bridge tradisional). Tetapi perlu juga diperhatikan bahwa throughput dalam metoda ini adalah menjadi setengahnya untuk semua clients yang terhubung secara wireless.

Wireless Distribution System (WDS) bisa digunakan dalam dua jenis mode konekstivitas antar Access point

* Wireless Bridging dimana komunikasi access points Wireless Distribution System hanya satu dengan lainnya (antar AP) dan tidak membolehkan wireless clients lainnya atau Station(STA) untuk mengaksesnya.
* Wireless repeater dimana access point berkomunikasi satu sama lain dan juga dengan wireless Station (STA)

Ada dua kerugian dalam system Wireless Distribution System (WDS) ini:

* Troughput efektif maksimum adalah terbagi dua setelah transmisi pertama (hop) dibuat. Misalkan, dalam kasus dua router dihubungkan system Wireless Distribution System (WDS), dan komunikasi terjadi antara satu komputer yang terhubung ke router A dengan sebuah laptop yang terhubung secara wireless dengan salah satu access point di router B, maka troughputnya adalah separuhnya, karena router B harus re-transmit informasi selama komunikasi antara dua belah sisi. Akan tetapi jika sebuah komputer dikoneksikan ke router A dan notebook di koneksi kan ke router B (tanpa melalui koneksi wireless), maka troughput tidak terbelah dua karena tidak ada re-transmit informasi.

Kunci inkripsi yang secara dinamis di berikan dan dirotasi biasanya tidak disupport dalam koneksi Wireless Distribution System (WDS). Ini berarti dynamic inkripsi WPA (Wi-Fi Protected Access) dan technology dynamic key lainnya dalam banyak kasus tidak dapat digunakan, walaupun WPA menggunakan pre-shared key adalah memungkinkan. Hal ini dikarenakan kurangnya standarisasi dalam issue ini, yang mungkin saja di selesaikan dengan standard 802.11s mendatang. Sebagai akibatnya cukuplah kunci static WEP dan WPA yang bisa digunakan dalam koneksi Wireless Distribution System, termasuk segala station yang difungsikan sebagai access point WDS repeater. Akan tetapi sekarang ini sudah banyak vendor yang telah engadopsi standard 802.11i dalam produk access point mereka sehingga WPA / WPA2 adalah standard keamanan koneksi mereka (setidaknya yang mereka claim).

Gambar dibawa ini adalah access point yang dihubungkan dengan WDS Link point-to-point.

WDS point to point

Dengan Wireless Distribution System, anda bisa membangun infrastrucktur wireless tanpa harus membangun backbone kabel jaringan sebagai interkoneksi antar bridge. Wireless Distribution System fitur memungkinkan kita membuat jaringan-2 wireless yang besar dengan cara membuat link beberapa wireless access point dengan WDS Links. Wireless Distribution System normalnya digunakan untuk membangun jaringan yang besar dimana menarik kabel jaringan adalah tidak memungkinkan, alias mahal, terbatas, atau secara fisik tidak memungkinkan untuk ditarik.

WDS point to multi-point bridge

Gambar diatas ini adalah contoh konfigurasi WDS Link yang menghubungkan Point to multi point WDS Link. Sementara gambar dibawah berikut ini menggambarkan contoh diagram WDS Link yang berfungsi sebagai WDS Repeater.

WDS Repeater

Wireless Bridge dan Wireless Repeater

Pada diagram tiga gambar diatas, WDS dapat di bangun dalam beberapa konfigurasi, point-to-point; point-to-multipoint; dan WDS repeater.

Wireless Bridge

Wireless Distribution System yangditunjukkan pada gambar dibawah ini sering disebut sebagai konfigurasi “wireless bridge”, karena terjadi koneksi dua jaringan LAN pada layer data link. Access point bertindak sebagai standard bridge yang melewatkan traffic antar WDS Link (link yang menghubungkan ke access point / bridge lainnya) dan sebuah Ethernet port. Sebagai standard bridge, access point mempelajari MAC address sampai 64 wireless dan atau total 128 piranti wireless dan wired, yang dikoneksikan ke masing-2 port Ethernet untuk membatasi jumlah data yang dilewatkan. Hanya data yang ditujukan kepada station yang diketahui berada pada peer Ethernet link, data multicast atau data dengan tujuan yang tidak diketahui yang perlu dilewatkan ke peer access point melalui WDS link.

WDS Link concept

Misalnya jika sebuat frame Ethernet 802.3 dikirim dari wired station 1 (Sta 1) menuju ke Sta3 pada gambar, penterjemahan frame diperlukan sementara frame dilewatkan melalui WDS link antar AP1 dan AP2. Saat AP1 menerima frame, frame diterjemahkan kepada standard 802.11 dengan format frame 4 address sebelum dikirim melalui WDS frame. Pada format frame 4 address

* MAC address dari Sta1,
* MAC address dari AP1,
* MAC address dari AP2,
* dan MAC address dari Sta3

semua dimasukkan dalam header frame 802.11, dan frame data adalah sama seperti frame Ethernet aslinya. Berdasarkan format empat address frame tersebut, AP2 akan me-rekonstruksi kembali Ethernet frame 802.3 jika frame dilewatkan kepada LAN2. Jika AP-2 tersebut dikonfigure dengan algoritma security, AP1 atau AP2 akan melakukan inkripsi (dekripsi) format frame empat address ini sebelum melewatkan frame.

Dilihat dari Sta3, fungsi bridging adalah transparent; yaitu frame yang diterima adalah sama seolah Sta1 dan Sta3 berada pada segment LAN yang sama.

WDS repeater in 3 adressing format

Wireless Repeater

Pada gambar diatas ini, AP2 digunakan untuk memperluas jaringan / jangkauan infrastructure wireless dengan jalan melewatkan traffic antara station wireless dan AP yang terhubung secara kabel dengan jaringan local. Catatan bahwa traffic Ethernet tidak di forward dengan cara demikian. Traffic antara Sta3 dan Sta4 tidak di forward melalui WDS link, begitu juga Sta5 dan Sta6. Dengan mode wireless bridge, Access point yang dioperasikan dalam mode repeater perlu menterjemahkan frame kedalam format frame yang lain saat forward frame antara koneksi wireless dan WDS link, format frame 3-address 802.11 digunakan pada wireless yang terhubung dengan wireless stations, sementara untuk koneksi WDS link dengan access point yang lain menggunakan format 4-address 802.3 frame. Encryption / decryption juga dilaksanakan jika AP di configure dengan keamanan.

Hampir dalam suatu infrastruktur jaringan windows 2003 misalnya, tidak jarang peluasan jaringan dilakukan dengan menggunakan wireless access point yang di configure dengan menggunakan technology WDS ini. Akan tetapi tidak semua piranti access point mempunyai kemampuan WDS ini. AKan tetapi banyak juga wireless access point yang sudah dilengkapi dengan WDS ini misal atau TPL WL TL-WA901ND 300Mbps AP

Minggu, 28 November 2010

Coaxial Cable

Coaxial Cable Adalah suatu jenis kabel yang menggunakan dua buah konduktor. Pusatnya berupa inti kawat padat yang dilingkupi oleh sekat yang kemudian dililiti lagi oleh kawat berselaput konduktor. Jenis kabel ini biasa digunakan untuk jaringan dengan bandwith yang tinggi. Kabel coaxial mempunyai pengalir tembaga di tengah (centre core). Lapisan plastik (dielectric insulator) yang mengelilingi tembaga berfungsi sebagai penebat di antara tembaga dan “metal shielded“. Lapisan metal berfungsi untuk menghalang sembarang gangguan luar dari lampu kalimantang, motors, and perlatan elektonik lain. Lapisan paling luar adalah lapisan plastik yang disebut Jacket plastic. Lapisan ini berfungsi seperti jaket yaitu sebagai pelindung bagian terluar.

Kabel ini biasanya banyak digunakan untuk mentransmisikan sinyal frekuensi tinggi mulai 300 kHz keatas. Karena kemampuannya dalam menyalurkan frekuensi tinggi tersebut, maka sistem transmisi dengan menggunakan kabel koaksial memiliki kapasitas kanal yang cukup besar.

Yang dimaksud dengan multiplex adalah alat yang dibgunakan untuk menyusun beberapa kanal telpon menjadi suatu band frekuensi tertentu (base band) atau sebaliknya. Sedangkan LTE (Line Terminal Equipment) Coaxial adalah interface antara multiplex dengan kabel coaxial.

Kabel koaksial biasa digunakan dalam jaringan LAN terutama Topologi Bus yang banyak menggunakan kabel koaksial. Kesulitan utama dari penggunaan kabel koaksial adalah sulit untuk mengukur apakah kabel coaxial yang dipergunakan benar-benar matching atau tidak. Karena kalau tidak benar-benar diukur secara benar akan merusak NIC (Network Interface Card) yang dipergunakan dan kinerja jaringan menjadi terhambat, tidak mencapai kemampuan maksimalnya.
Penggunaan kabel coaxial pada LAN memiliki beberapa keuntungan. Penguatannya dari repeater tidak sebesar kabel STP atau UTP. Kabel coaxial lebih murah dari kabel fiber optic dan teknologinya juga tidak asing lagi. Kabel coaxial sudah digunakan selama puluhan tahun untuk berbagai jenis komunikasi data. Ketika bekerja dengan kabel, adalah penting untuk mempertimbangkan ukurannya.

Jenis Coaxial Cable

Jenis-jenis Coaxial Cable dikenal ada dua jenis, yaitu thick coaxial cable (mempunyai diameter lumayan besar) dan thin coaxial cable (mempunyai diameter lebih kecil).
1) Thick Coaxial Cable
Kabel coaxial memiliki ukuran yang bervariasi. Diameter yang terbesar ditujukan untuk penggunaan kabel backbone Ethernet karena secara histories memiliki panjang transmisi dan penolakan noise yang lebih besar. Kabel coaxial ini seringkali dikenal sebagai thicknet. Kabel coaxial jenis ini dispesifikasikan berdasarkan standar IEEE 802.3 10BASE5, dimana kabel ini mempunyai diameter rata-rata 12mm, dan biasanya diberi warna kuning; kabel jenis ini biasa disebut sebagai standard ethernet atau thick Ethernet, atau hanya disingkat ThickNet, atau bahkan cuman disebut sebagai yellow cable.

Seperti namanya, jenis kabel ini, karena ukurannya yang besar, pada beberapa situasi tertentu dapat sulit diinstall. Suatu petunjuk praktis menyatakan bahwa semakin sulit media jaringan diinstall, maka semakin mahal media tersebut diinstall. Kabel coaxial memiliki biaya instalasi yang lebih mahal dari kabel twisted pair. Kabel thicknet hampir tidak pernah digunakan lagi, kecuali untuk kepentingan khusus.
Kabel Coaxial ini (RG-6) jika digunakan dalam jaringan mempunyai spesifikasi dan aturan sebagai berikut:
• Setiap ujung harus diterminasi dengan terminator 50-ohm (dianjurkan menggunakan terminator yang sudah dirakit, bukan menggunakan satu buah resistor 50-ohm 1 watt, sebab resistor mempunyai disipasi tegangan yang lumayan lebar).
• Maksimum 3 segment dengan peralatan terhubung (attached devices) atau berupa populated segments.
• Setiap kartu jaringan mempunyai pemancar tambahan (external transceiver).
• Setiap segment maksimum berisi 100 perangkat jaringan, termasuk dalam hal ini repeaters.
• Maksimum panjang kabel per segment adalah 1.640 feet (atau sekitar 500 meter).
• Maksimum jarak antar segment adalah 4.920 feet (atau sekitar 1500 meter).
• Setiap segment harus diberi ground.
• Jarang maksimum antara tap atau pencabang dari kabel utama ke perangkat (device) adalah 16 feet (sekitar 5 meter).
• Jarang minimum antar tap adalah 8 feet (sekitar 2,5 meter).

1) Thin Coaxial Cable
Seiring dengan pertambahan ketebalan atau diameter kabel, maka tingkat kesulitan pengerjaannya pun akan semakin tinggi. Harus diingat pula bahwa kabel jenis ThickNetharus ditarik melalui pipa saluran yang ada dan pipa ini ukurannya terbatas. Oleh karena itu diciptakanlah Thin Coaxial cable untuk mengatasi beberapa masalah diatas.
Kabel coaxial jenis ini banyak dipergunakan di kalangan radio amatir, terutama untuk transceiver yang tidak memerlukan output daya yang besar. Untuk digunakan sebagai perangkat jaringan, kabel coaxial jenis ini harus memenuhi standar IEEE 802.3 10BASE2, dimana diameter rata-rata berkisar 5mm dan biasanya berwarna hitam atau warna gelap lainnya. Setiap perangkat (device) dihubungkan dengan BNC T-connector. Kabel jenis ini juga dikenal sebagai thin Ethernet atau ThinNet.



Gambar 2.5 Thin coaxial cable

Kabel coaxial jenis ini, misalnya jenis RG-58 A/U atau C/U, jika diimplementasikan denganTconnector dan terminator dalam sebuah jaringan, harus mengikuti aturan sebagai berikut:
• Setiap ujung kabel diberi terminator 50-ohm.
• Panjang maksimal kabel adalah 1,000 feet (185 meter) per segment.
• Setiap segment maksimum terkoneksi sebanyak 30 perangkat jaringan (devices)
• Kartu jaringan cukup menggunakan transceiver yang onboard, tidak perlu tambahan transceiver, kecuali untuk repeater.
• Maksimum ada 3 segment terhubung satu sama lain (populated segment).
• Setiap segment sebaiknya dilengkapi dengan satu ground.
• Panjang minimum antar T-Connector adalah 1,5 feet (0.5 meter).
• Maksimum panjang kabel dalam satu segment adalah 1,818 feet (555 meter).
• Setiap segment maksimum mempunyai 30 perangkat terkoneksi.
Dulu jaringan Ethernet menggunakan kabel coaxial yang diameter luarnya hanya 0,35 cm (kadang dikenal sebagai thinnet). Kabel ini terutama berguna untuk instalasi kabel yang memerlukan pelilitan dan pembengkokan. Karena mudah diinstall, maka kabel ini juga lebih murah untuk diinstal. Hal ini mendorong beberapa orang menyebutnya sebagai cheapernet. Namun kabel ini memerlukan penanganan khusus. Seringkali pemasang gagal melakukannya. Akibatnya, sinyal transmisi terinterferensi oleh noise. Oleh karena itu, terlepas dari diameternya yang kecil, thinnet sudah jarang digunakan pada jaringan Ethernet.
Thicknet dapat menjangkau sampai 500 meter, dan perangkat dihubungkan ke kabel secara langsung dengan menggunakan transceiver Ethernet dengan kabel AUI. Di lain pihak thinnet lebih fleksibel dan dapat menjangkau sampai 185 meter. Komputer dihubungkan ke kabel dengan menggunakan konektor BNC. Thicknet menggunakan spesifikasi Ethernet 10 base 5, sedangkan thinnet menggunakan 10 base 2.
Walapun kabel coaxial sukar di pasang, tetapi ia mempunyai rintangan yang tinggi terhadap ganguan elektromagnet. Dan kabel ini juga mempunyai jarak maksimal yang lebih daripada kabel “twisted pair”.
Berikut akan disimpulkan mengenai keunggulan dan kelemahan coaxial cable:
• Keunggulan
1) Dapat digunakan untuk menyalurkan informasi sampai dengan 900 kanal telepon
2) Dapat ditanam di dalam tanah sehingga biaya perawatan lebih rendah
3) Karena menggunakan penutup isolasi maka kecil kemungkinan terjadi interferensi dengan sistem lain
• Kelemahan
1) Mempunyai redaman yang relatif besar, sehingga untuk hubungan jarak jauh harus dipasang repeater-repeater
2) Jika kabel dipasang diatas tanah, rawan terhadap gangguan-gangguan fisik yang dapat berakibat putusnya hubungan.

Sumber : v318.wordpress.com