Firewall DMZ – memberikan suatu segmentasi jaringan jika anda perlu hosting public resources seperti web server dengan aman
Untuk menghubungkan jaringan private / business kita dengan jaringan public seperti jaringan Internet, tentulah kita harus mengatur aliran traffic paket dengan menggunakan perangkat Firewall yang diperkuat dengan policy keamanan. Dengan firewall, semua traffic dipaksa melalui satu check point tunggal yang terkosentrasi dimana semua traffic di kendalikan, di-authentikasi, di filter, dan di log menurut policy yang diterapkan pada firewall tersebut. Dengan cara ini, kita bisa mengurangi secara significant akan tetapi tidak menghilang kan traffic yang tidak kita harapkan yang akan mencapai jaringan private kita.
Kemudian bagaimana kalau kita akan meletakkan beberapa public resources (seperti server web) yang memang disediakan untuk bisa diakses oleh user umum dari internet dengan aman? Kita bisa menyediakan fasilitas web-server atau mail-server yang bisa diakses oleh public tanpa harus membiarkan mereka bisa leluasa masuk atau mengakses jaringan private corporate kita dengan jalan memberikan segmentasi pada system firewall kita dengan suatu jaringan perimeter atau lebih dikenal dengan Firewall dengan DMZ (Demilitarized Zones). Lihat juga firewall external – standard.
Firewall DMZ (Demilitarized Zone) – atau jaringan perimeter adalah jaringan security boundary yang terletak diantara suatu jaringan corporate / private LAN dan jaringan public (Internet). Firewall DMZ ini harus dibuat jika anda perlu membuat segmentasi jaringan untuk meletakkan server yang bisa diakses public dengan aman tanpa harus bisa mengganggu keamanan system jaringan LAN di jaringan private kita. Perimeter (DMZ) network didesign untuk melindungi server pada jaringan LAN corporate dari serangan hackers dari Internet.
Gambar berikut ini menunjukkan diagram dari firewall yang menggunakan dua jaringan DMZ.
Firewall dengan dua DMZ
External Firewall Dengan Dua DMZ
Jika ada kebutuhan untuk menggunakan jaringan segmentasi, anda bisa menerapkan beberapa jaringan DMZ dengan kebijakan tingkat keamanan yang berbeda. Seperti terlihat pada diagram diatas, anda membangun aplikasi untuk keperluan extranets, intranet, dan web-server hosting dan juga gateway untuk keperluan remote akses.
Perhatikan diagram DMZ diatas, traffic user dari internet hanya dapat mengakses web-server yang diletakkan pada jaringan DMZ2. Mereka tidak bisa mengakses server SQL yang diletakkan pada jaringan DMZ1. Akan tetapi kedua server baik web-server (yang ada di DMZ2) dan SQL-server (yang ada di DMZ1) mempunyao alses untuk bisa saling berkomunikasi. User dari internet tidak boleh mengakses SQL sever maupun mengakses jaringan internal / private kita. Maka anda harus menerapkan kebijakan keamanan pada firewall yang memenuhi kebutuhan tersebut.
Implementasi
Firewall DMZ dapat diimplementasikan tepat pada border corporate LAN yang lazim mempunyai tiga jaringan interface:
1. Interface Internet: interface ini berhubungan langsung dengan Internet dan IP addressnyapun juga IP public yang terregister.
2. Interface Private atau Interface intranet: adalah interface yang terhubung langsung dengan jaringan corporate LAN dimana anda meletakkan server-server yang rentan terhadap serangan.
3. Jarinagn DMZ: Interface DMZ ini berada didalam jaringan Internet yang sama sehingga bisa diakses oleh user dari Internet. Resources public yang umumnya berada pada firewall DMZ adalah web-server, proxy dan mail-server.
Wireless Router dengan Fitur DMZ
Ada banyak wireless router yang biasa dipakai untuk jaringan rumahan atau kantoran kecil yang dilengkapi dengan fitur DMZ seperti WRT610N dari Linksys. Wireless router yang dilengkapi dengan fitur DMZ ini memungkinkan anda untuk meletakkan satu computer yang bisa diexpose ke Internet dengan tujuan tertentu seperti untuk online gaming atau video-conference. DMZ hosting ini meneruskan semua ports pada saat yang bersamaan kepada satu PC. Fitur forward port ini lebih aman sebab dia hanya membuka port-port yang ingin anda buka saja, sementara hosting DMZ membuka semua port dari satu komputer, mengexpose komputer kepada internet.
Misal pada WRT610N Linksys anda bisa mengkonfigure satu PC atau game console untuk keperluan Online gaming, sehingga terpisah dari jaringan private anda. Anda bisa mengakses utilitas Web-based dari WRT610 ini dan masuk ke menu Application > DMZ untuk bisa meng-enable fitur DMZ ini. Enable dulu fitur DMZ ini dan kemudian lakukan konfigurasi nya. Pilih IP address atau masukkan IP address tertentu secara manual dari komputer yang ada di internet yang dibolehkan masuk mengakses PC yang ada pada jaringan. Anda juga perlu memasukkan IP address atau MAC address dari PC / Game console yang anda ingin diexpose di Internet dan bisa diakases dari Internet.
Kamis, 20 Januari 2011
Senin, 17 Januari 2011
Wireless Distribution System (WDS)
Dengan Wireless Distribution System (WDS) memungkinkan jaringan wireless dikembangkan menggunakan beberapa access point tanpa harus memerlukan backbone kabel jaringan untuk menghubungkan mereka, seperti cara tradisional. Keuntungan yang bisa kelihatan dari Wireless Distribution Systemdibanding solusi lainnya adalah bahwa dengan Wireless Distribution System, header MAC address dari paket traffic tidak berubah antar link access point. tidak seperti pada proses encapsulation misalnya pada komunikasi antar router yang selalu menggunakan MAC address pada hop berikutnya.
Suatu access point bisa menjadi sebuah station utama, relay, atau remote base station. Suatu base station utama pada umumnya dihubungkan dengan system Ethernet. Base station relay merelay station-2 kepada base station utama atau relay station lainnya. Remote base station menerima koneksi dari clients wireless dan melewatkannya ke main station atau ke relay station juga. Koneksi antar clients menggunakan MAC address dibanding memberikan spesifikasi IP address.
Semua base station dalam Wireless Distribution System (WDS) harus dikonfigure menggunakan channel radio yang sama, methoda inkripsi (tanpa inkripsi, WEP, atau WAP) dan juga kunci inkripsi yang sama. Mereka bisa dikonfigure dengan menggunakan SSID (service set identifiers) yang berbeda sebagai identitas. Wireless Distribution System (WDS) juga mengharuskan setiap base station untuk bisa melewatkan kepada lainnya didalam system.
Wireless Distribution System (WDS) bisa juga direferensikan sebagai mode repeater karena dia bisa tampak sebagai Bridge dan juga menerima wireless clients pada saat bersamaan (tidak seperti system bridge tradisional). Tetapi perlu juga diperhatikan bahwa throughput dalam metoda ini adalah menjadi setengahnya untuk semua clients yang terhubung secara wireless.
Wireless Distribution System (WDS) bisa digunakan dalam dua jenis mode konekstivitas antar Access point
* Wireless Bridging dimana komunikasi access points Wireless Distribution System hanya satu dengan lainnya (antar AP) dan tidak membolehkan wireless clients lainnya atau Station(STA) untuk mengaksesnya.
* Wireless repeater dimana access point berkomunikasi satu sama lain dan juga dengan wireless Station (STA)
Ada dua kerugian dalam system Wireless Distribution System (WDS) ini:
* Troughput efektif maksimum adalah terbagi dua setelah transmisi pertama (hop) dibuat. Misalkan, dalam kasus dua router dihubungkan system Wireless Distribution System (WDS), dan komunikasi terjadi antara satu komputer yang terhubung ke router A dengan sebuah laptop yang terhubung secara wireless dengan salah satu access point di router B, maka troughputnya adalah separuhnya, karena router B harus re-transmit informasi selama komunikasi antara dua belah sisi. Akan tetapi jika sebuah komputer dikoneksikan ke router A dan notebook di koneksi kan ke router B (tanpa melalui koneksi wireless), maka troughput tidak terbelah dua karena tidak ada re-transmit informasi.
Kunci inkripsi yang secara dinamis di berikan dan dirotasi biasanya tidak disupport dalam koneksi Wireless Distribution System (WDS). Ini berarti dynamic inkripsi WPA (Wi-Fi Protected Access) dan technology dynamic key lainnya dalam banyak kasus tidak dapat digunakan, walaupun WPA menggunakan pre-shared key adalah memungkinkan. Hal ini dikarenakan kurangnya standarisasi dalam issue ini, yang mungkin saja di selesaikan dengan standard 802.11s mendatang. Sebagai akibatnya cukuplah kunci static WEP dan WPA yang bisa digunakan dalam koneksi Wireless Distribution System, termasuk segala station yang difungsikan sebagai access point WDS repeater. Akan tetapi sekarang ini sudah banyak vendor yang telah engadopsi standard 802.11i dalam produk access point mereka sehingga WPA / WPA2 adalah standard keamanan koneksi mereka (setidaknya yang mereka claim).
Gambar dibawa ini adalah access point yang dihubungkan dengan WDS Link point-to-point.
WDS point to point
Dengan Wireless Distribution System, anda bisa membangun infrastrucktur wireless tanpa harus membangun backbone kabel jaringan sebagai interkoneksi antar bridge. Wireless Distribution System fitur memungkinkan kita membuat jaringan-2 wireless yang besar dengan cara membuat link beberapa wireless access point dengan WDS Links. Wireless Distribution System normalnya digunakan untuk membangun jaringan yang besar dimana menarik kabel jaringan adalah tidak memungkinkan, alias mahal, terbatas, atau secara fisik tidak memungkinkan untuk ditarik.
WDS point to multi-point bridge
Gambar diatas ini adalah contoh konfigurasi WDS Link yang menghubungkan Point to multi point WDS Link. Sementara gambar dibawah berikut ini menggambarkan contoh diagram WDS Link yang berfungsi sebagai WDS Repeater.
WDS Repeater
Wireless Bridge dan Wireless Repeater
Pada diagram tiga gambar diatas, WDS dapat di bangun dalam beberapa konfigurasi, point-to-point; point-to-multipoint; dan WDS repeater.
Wireless Bridge
Wireless Distribution System yangditunjukkan pada gambar dibawah ini sering disebut sebagai konfigurasi “wireless bridge”, karena terjadi koneksi dua jaringan LAN pada layer data link. Access point bertindak sebagai standard bridge yang melewatkan traffic antar WDS Link (link yang menghubungkan ke access point / bridge lainnya) dan sebuah Ethernet port. Sebagai standard bridge, access point mempelajari MAC address sampai 64 wireless dan atau total 128 piranti wireless dan wired, yang dikoneksikan ke masing-2 port Ethernet untuk membatasi jumlah data yang dilewatkan. Hanya data yang ditujukan kepada station yang diketahui berada pada peer Ethernet link, data multicast atau data dengan tujuan yang tidak diketahui yang perlu dilewatkan ke peer access point melalui WDS link.
WDS Link concept
Misalnya jika sebuat frame Ethernet 802.3 dikirim dari wired station 1 (Sta 1) menuju ke Sta3 pada gambar, penterjemahan frame diperlukan sementara frame dilewatkan melalui WDS link antar AP1 dan AP2. Saat AP1 menerima frame, frame diterjemahkan kepada standard 802.11 dengan format frame 4 address sebelum dikirim melalui WDS frame. Pada format frame 4 address
* MAC address dari Sta1,
* MAC address dari AP1,
* MAC address dari AP2,
* dan MAC address dari Sta3
semua dimasukkan dalam header frame 802.11, dan frame data adalah sama seperti frame Ethernet aslinya. Berdasarkan format empat address frame tersebut, AP2 akan me-rekonstruksi kembali Ethernet frame 802.3 jika frame dilewatkan kepada LAN2. Jika AP-2 tersebut dikonfigure dengan algoritma security, AP1 atau AP2 akan melakukan inkripsi (dekripsi) format frame empat address ini sebelum melewatkan frame.
Dilihat dari Sta3, fungsi bridging adalah transparent; yaitu frame yang diterima adalah sama seolah Sta1 dan Sta3 berada pada segment LAN yang sama.
WDS repeater in 3 adressing format
Wireless Repeater
Pada gambar diatas ini, AP2 digunakan untuk memperluas jaringan / jangkauan infrastructure wireless dengan jalan melewatkan traffic antara station wireless dan AP yang terhubung secara kabel dengan jaringan local. Catatan bahwa traffic Ethernet tidak di forward dengan cara demikian. Traffic antara Sta3 dan Sta4 tidak di forward melalui WDS link, begitu juga Sta5 dan Sta6. Dengan mode wireless bridge, Access point yang dioperasikan dalam mode repeater perlu menterjemahkan frame kedalam format frame yang lain saat forward frame antara koneksi wireless dan WDS link, format frame 3-address 802.11 digunakan pada wireless yang terhubung dengan wireless stations, sementara untuk koneksi WDS link dengan access point yang lain menggunakan format 4-address 802.3 frame. Encryption / decryption juga dilaksanakan jika AP di configure dengan keamanan.
Hampir dalam suatu infrastruktur jaringan windows 2003 misalnya, tidak jarang peluasan jaringan dilakukan dengan menggunakan wireless access point yang di configure dengan menggunakan technology WDS ini. Akan tetapi tidak semua piranti access point mempunyai kemampuan WDS ini. AKan tetapi banyak juga wireless access point yang sudah dilengkapi dengan WDS ini misal atau TPL WL TL-WA901ND 300Mbps AP
Suatu access point bisa menjadi sebuah station utama, relay, atau remote base station. Suatu base station utama pada umumnya dihubungkan dengan system Ethernet. Base station relay merelay station-2 kepada base station utama atau relay station lainnya. Remote base station menerima koneksi dari clients wireless dan melewatkannya ke main station atau ke relay station juga. Koneksi antar clients menggunakan MAC address dibanding memberikan spesifikasi IP address.
Semua base station dalam Wireless Distribution System (WDS) harus dikonfigure menggunakan channel radio yang sama, methoda inkripsi (tanpa inkripsi, WEP, atau WAP) dan juga kunci inkripsi yang sama. Mereka bisa dikonfigure dengan menggunakan SSID (service set identifiers) yang berbeda sebagai identitas. Wireless Distribution System (WDS) juga mengharuskan setiap base station untuk bisa melewatkan kepada lainnya didalam system.
Wireless Distribution System (WDS) bisa juga direferensikan sebagai mode repeater karena dia bisa tampak sebagai Bridge dan juga menerima wireless clients pada saat bersamaan (tidak seperti system bridge tradisional). Tetapi perlu juga diperhatikan bahwa throughput dalam metoda ini adalah menjadi setengahnya untuk semua clients yang terhubung secara wireless.
Wireless Distribution System (WDS) bisa digunakan dalam dua jenis mode konekstivitas antar Access point
* Wireless Bridging dimana komunikasi access points Wireless Distribution System hanya satu dengan lainnya (antar AP) dan tidak membolehkan wireless clients lainnya atau Station(STA) untuk mengaksesnya.
* Wireless repeater dimana access point berkomunikasi satu sama lain dan juga dengan wireless Station (STA)
Ada dua kerugian dalam system Wireless Distribution System (WDS) ini:
* Troughput efektif maksimum adalah terbagi dua setelah transmisi pertama (hop) dibuat. Misalkan, dalam kasus dua router dihubungkan system Wireless Distribution System (WDS), dan komunikasi terjadi antara satu komputer yang terhubung ke router A dengan sebuah laptop yang terhubung secara wireless dengan salah satu access point di router B, maka troughputnya adalah separuhnya, karena router B harus re-transmit informasi selama komunikasi antara dua belah sisi. Akan tetapi jika sebuah komputer dikoneksikan ke router A dan notebook di koneksi kan ke router B (tanpa melalui koneksi wireless), maka troughput tidak terbelah dua karena tidak ada re-transmit informasi.
Kunci inkripsi yang secara dinamis di berikan dan dirotasi biasanya tidak disupport dalam koneksi Wireless Distribution System (WDS). Ini berarti dynamic inkripsi WPA (Wi-Fi Protected Access) dan technology dynamic key lainnya dalam banyak kasus tidak dapat digunakan, walaupun WPA menggunakan pre-shared key adalah memungkinkan. Hal ini dikarenakan kurangnya standarisasi dalam issue ini, yang mungkin saja di selesaikan dengan standard 802.11s mendatang. Sebagai akibatnya cukuplah kunci static WEP dan WPA yang bisa digunakan dalam koneksi Wireless Distribution System, termasuk segala station yang difungsikan sebagai access point WDS repeater. Akan tetapi sekarang ini sudah banyak vendor yang telah engadopsi standard 802.11i dalam produk access point mereka sehingga WPA / WPA2 adalah standard keamanan koneksi mereka (setidaknya yang mereka claim).
Gambar dibawa ini adalah access point yang dihubungkan dengan WDS Link point-to-point.
WDS point to point
Dengan Wireless Distribution System, anda bisa membangun infrastrucktur wireless tanpa harus membangun backbone kabel jaringan sebagai interkoneksi antar bridge. Wireless Distribution System fitur memungkinkan kita membuat jaringan-2 wireless yang besar dengan cara membuat link beberapa wireless access point dengan WDS Links. Wireless Distribution System normalnya digunakan untuk membangun jaringan yang besar dimana menarik kabel jaringan adalah tidak memungkinkan, alias mahal, terbatas, atau secara fisik tidak memungkinkan untuk ditarik.
WDS point to multi-point bridge
Gambar diatas ini adalah contoh konfigurasi WDS Link yang menghubungkan Point to multi point WDS Link. Sementara gambar dibawah berikut ini menggambarkan contoh diagram WDS Link yang berfungsi sebagai WDS Repeater.
WDS Repeater
Wireless Bridge dan Wireless Repeater
Pada diagram tiga gambar diatas, WDS dapat di bangun dalam beberapa konfigurasi, point-to-point; point-to-multipoint; dan WDS repeater.
Wireless Bridge
Wireless Distribution System yangditunjukkan pada gambar dibawah ini sering disebut sebagai konfigurasi “wireless bridge”, karena terjadi koneksi dua jaringan LAN pada layer data link. Access point bertindak sebagai standard bridge yang melewatkan traffic antar WDS Link (link yang menghubungkan ke access point / bridge lainnya) dan sebuah Ethernet port. Sebagai standard bridge, access point mempelajari MAC address sampai 64 wireless dan atau total 128 piranti wireless dan wired, yang dikoneksikan ke masing-2 port Ethernet untuk membatasi jumlah data yang dilewatkan. Hanya data yang ditujukan kepada station yang diketahui berada pada peer Ethernet link, data multicast atau data dengan tujuan yang tidak diketahui yang perlu dilewatkan ke peer access point melalui WDS link.
WDS Link concept
Misalnya jika sebuat frame Ethernet 802.3 dikirim dari wired station 1 (Sta 1) menuju ke Sta3 pada gambar, penterjemahan frame diperlukan sementara frame dilewatkan melalui WDS link antar AP1 dan AP2. Saat AP1 menerima frame, frame diterjemahkan kepada standard 802.11 dengan format frame 4 address sebelum dikirim melalui WDS frame. Pada format frame 4 address
* MAC address dari Sta1,
* MAC address dari AP1,
* MAC address dari AP2,
* dan MAC address dari Sta3
semua dimasukkan dalam header frame 802.11, dan frame data adalah sama seperti frame Ethernet aslinya. Berdasarkan format empat address frame tersebut, AP2 akan me-rekonstruksi kembali Ethernet frame 802.3 jika frame dilewatkan kepada LAN2. Jika AP-2 tersebut dikonfigure dengan algoritma security, AP1 atau AP2 akan melakukan inkripsi (dekripsi) format frame empat address ini sebelum melewatkan frame.
Dilihat dari Sta3, fungsi bridging adalah transparent; yaitu frame yang diterima adalah sama seolah Sta1 dan Sta3 berada pada segment LAN yang sama.
WDS repeater in 3 adressing format
Wireless Repeater
Pada gambar diatas ini, AP2 digunakan untuk memperluas jaringan / jangkauan infrastructure wireless dengan jalan melewatkan traffic antara station wireless dan AP yang terhubung secara kabel dengan jaringan local. Catatan bahwa traffic Ethernet tidak di forward dengan cara demikian. Traffic antara Sta3 dan Sta4 tidak di forward melalui WDS link, begitu juga Sta5 dan Sta6. Dengan mode wireless bridge, Access point yang dioperasikan dalam mode repeater perlu menterjemahkan frame kedalam format frame yang lain saat forward frame antara koneksi wireless dan WDS link, format frame 3-address 802.11 digunakan pada wireless yang terhubung dengan wireless stations, sementara untuk koneksi WDS link dengan access point yang lain menggunakan format 4-address 802.3 frame. Encryption / decryption juga dilaksanakan jika AP di configure dengan keamanan.
Hampir dalam suatu infrastruktur jaringan windows 2003 misalnya, tidak jarang peluasan jaringan dilakukan dengan menggunakan wireless access point yang di configure dengan menggunakan technology WDS ini. Akan tetapi tidak semua piranti access point mempunyai kemampuan WDS ini. AKan tetapi banyak juga wireless access point yang sudah dilengkapi dengan WDS ini misal atau TPL WL TL-WA901ND 300Mbps AP
Langganan:
Postingan (Atom)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
