Nat Dan Spi By Ki Grinsing Prakata Kita Sering Mendengar Ungkapan Network Address Translation (Nat) Dalam Kaitannya Dengan Koneksi Ke Jaringan Public Atau Koneksi Ke Internet. Jika Dalam Bahasa Teknik Kita Mungkin Ialah “Terjemahan Alamat Jaringan”, Agak Asing Ditelinga Kita Rasanya. Dalam Kita Menyiapkan Konektivity Ke Internet Dalam Organisasi Kita, Anda Harus Mendefinisikan Seberapa Besar Ukuran Dari Jaringan Infrastruktur Anda. Untuk Ukuran Jaringan Yang Kecil Yang Tidak Di Routed, Anda Bisa Memakai Penyelesaian Nat Sederhana Saja, Akan Namun Penyelesaian Ini Menunjukkan Solusi Keselamatan Minimum Yang Biasanya Menggunakan Wireless Router Standard Rumahan Seperti Tp-Link W8961. Untuk Jaringan Berukuran Besar, Yang Sangat Kompleks Anda Membutuhkan Sebuah Server Isa Atau Solusi Firewall Jadi – Hardware Firewall. Penyelesaian Server Isa Atau Hardware Firewall Memungkinkan Anda Mengkoneksikan Beberapa Routed Jaringan Ke Internet Dan Menunjukkan Anda Suatu System Keselamatan Yang Lebih Advance Dan Lebih Mampu Leluasa Menertibkan Susukan Resource Jaringan. Apa Itu Network Address Translation (Nat)? Network Address Translation (Nat) Yakni Suatu Metoda Pokok Yang Memungkinkan Komputer Yang Mempunyai Address Yang Tidak Terdaftar Atau Komputer Yang Memakai Address Private, Untuk Bisa Mengakses Internet. Ingat Pada Diskusi Ip Address Sebelumnya Bahwa Ip Address Private Tidak Bisa Di Route Ke Internet (Non-Routed), Cuma Digunakan Pada Jaringan Internal Yang Berada Pada Range Berikut: Tabel Ip Address Private Class Type Start Address End Address Class A 10.0.0.0 10.255.255.254 Class B 172.16.0.0 172.31.255.254 Class C 192.168.0.0 192.168.255.254 Untuk Setiap Paket Yang Dihasilkan Oleh Client, Implementasi Network Address Translation (Nat) Mengambil Alih Ip Address Yang Terdaftar Terhadap Ip Address Client Yang Tidak Terdaftar. Ada Tiga Macam Jenis Dasar Network Address Translation (Nat): 1. Static Nat Network Address Translation (Nat) Menterjemahkan Sejumlah Ip Address Tidak Terdaftar Menjadi Sejumlah Ip Address Yang Terdaftar Sehingga Setiap Client Dipetakkan Kepada Ip Address Terdaftar Yang Dengan Jumlah Yang Sama. Nat Static Nat Static Jenis Nat Ini Ialah Pemborosan Ip Address Terdaftar, Karena Setiap Ip Address Yang Tidak Terdaftar (Un-Registered Ip) Dipetakan Kepada Satu Ip Address Terdaftar. Static Nat Ini Juga Tidak Seaman Jenis Nat Yang Lain, Karena Setiap Komputer Secara Permanen Diasosiasikan Terhadap Address Terdaftar Tertentu, Sehingga Menunjukkan Kesempatan Kepada Para Penyusup Dari Internet Untuk Menuju Langsung Terhadap Komputer Tertentu Pada Jaringan Private Anda Menggunakan Address Terdaftar Tersebut. 2. Dynamic Nat Dynamic Network Address Translation Dimaksudkan Untuk Suatu Keadaan Dimana Anda Memiliki Ip Address Terdaftar Yang Lebih Sedikit Dari Jumlah Ip Address Un-Registered. Dynamic Nat Menterjemahkan Setiap Komputer Dengan Ip Tak Terdaftar Terhadap Salah Satu Ip Address Terdaftar Untuk Connect Ke Internet. Hal Ini Agak Menyulitkan Para Penyusup Untuk Menembus Komputer Didalam Jaringan Anda Karena Ip Address Terdaftar Yang Diasosiasikan Ke Komputer Senantiasa Berganti Secara Dinamis, Tidak Seperti Pada Nat Statis Yang Dipetakan Sama. Kekurangan Utama Dari Dynamis Nat Ini Ialah Bahwa Jika Jumlah Ip Address Terdaftar Telah Terpakai Semuanya, Maka Untuk Komputer Yang Berusaha Connect Ke Internet Tidak Lagi Mampu Alasannya Ip Address Terdaftar Sudah Terpakai Semuanya. Nat-Dinamic 3. Masquerading Nat Masquerading Nat Ini Menterjemahkan Semua Ip Address Tak Terdaftar Pada Jaringan Anda Dipetakan Terhadap Satu Ip Address Terdaftar. Agar Banyak Client Bisa Mengakses Internet Secara Bersama-Sama, Router Nat Menggunakan Nomor Port Untuk Bisa Membedakan Antara Paket-2 Yang Dihasilkan Oleh Atau Ditujukan Komputer-2 Yang Berlainan. Penyelesaian Masquerading Ini Menunjukkan Keamanan Paling Manis Dari Jenis-2 Nat Sebelumnya, Kenapa? Sebab Perkumpulan Antara Client Dengan Ip Tak Terdaftar Dengan Kombinasi Ip Address Terdaftar Dan Nomor Port Didalam Router Nat Cuma Berlangsung Sesaat Terjadi Satu Potensi Koneksi Saja, Sehabis Itu Dilepas. Nat Masquerading Nat Masquerading Keamanan Nat Pada Umumnya Implementasi Nat Sekarang Ini Mengandalkan Pada Teknik Jenis Masquerading Nat Karena Mengurangi Jumlah Kebutuhan Akan Ip Address Terdaftar Dan Memaksimalkan Keamanan Yang Diberikan Olen Network Address Translation (Nat). Akan Tetapi Perlu Dicatat Bahwa Nat Itu Sendiri, Walau Memakai Jenis Nat Yang Paling Kondusif – Masquerading, Bukanlah Suatu Firewall Yang Sebetulnya Dan Tidak Menawarkan Suatu Perisai Besi Keamanan Untuk Suatu Suasana Yang Beresiko Tinggi. Nat Intinya Hanya Memblokir Tamu Tak Diundang (Unsolicited Request) Dan Semua Usaha Penjajagan Atau Usaha Scanning Dari Internet, Yang Mempunyai Arti Sebuah Pencegahan Dari Usaha Para Penyusup Untuk Mencari File Share Yang Tidak Di Proteksi Atau Private Web Ataupun Ftp Server. Akan Namun, Nat Tidak Mampu Menangkal User Di Internet Untuk Meluncurkan Sebuah Perjuangan Serangan Dos (Denial Of Services) Terhadap Komputer Yang Ada Dijaringan Private Anda. Ataupun Tidak Bisa Mencegah Perjuangan-2 Lain Dengan Teknik Yang Lebih Kompleks Untuk Melakukan Kompromi Jaringan. Network Address Translation Dan Stateful Packet Inspection Beberapa Implementasi Nat Juga Melibatkan Perhiasan Keamanan, Biasanya Secara Umum Memakai Teknik Yang Disebut Stateful Packet Inspection (Spi). Stateful Packet Inspection Adalah Istilah Generic Pada Proses Dimana Nat Router Memeriksa Paket Yang Tiba Dari Internet Dijalankan Lebih Teliti Dan Lebih Seksama Dari Umumnya. Pada Umumnya Implementasi Nat, Router Hanya Konsen Pada Ip Address Dan Port Dari Paket Yang Melewatinya. Sebuah Router Nat Yang Mendukung Stateful Packet Inspection Menyelidiki Hingga Ke Header Layer Network Dan Layer Transport Juga, Memeriksa Pola Yang Memiliki Tingkah Laku Berbahaya, Mirip Ip Spoofing, Syn Floods, Dan Serangan Teardrop. Banyak Produsen Router Mengimplementasikan Stateful Packet Inspection Dalam Aneka Macam Bentuk Dan Cara, Jadi Tidak Semua Router Nat Dengan Kemampuan Stateful Packet Inspection Ini Memiliki Tingkat Sumbangan Keamanan Yang Sama. Solusi Nat Seperti Didiskusikan Sebelumnya, Keputusan Untuk Design Jaringan Sebaiknya Memikirkan Berikut Ini: Ukuran Besarnya Jaringan Private Anda Kebutuhan Akan Keselamatan Jaringan Dalam Organisasi Nat Adalah Penyelesaian Yang Mencukupi Bila: Kanal Ke Internet Dan Saluran Ke Jaringan Tidak Dibatasi Menurut User Per User. Pastinya Anda Tidak Menawarkan Kanal Internet Ke Semua User Dalam Jaringan Anda Bukan? Jaringan Private Berisi User Didalam Lingkungan Yang Tidak Mampu Di Routed. Organisasi Anda Memerlukan Address Private Untuk Komputer-2 Pada Jaringan Private. Sebuah Server Nat Membutuhkan Paling Tidak 2 Interface Jaringan. Setiap Interface Memerlukan Ip Address, Range Ip Address Yang Diberikan Haruslah Berada Dalam Subnet Yang Serupa Dengan Jaringan Dimana Beliau Terhubung. Subnet Mask Juga Mesti Sama Dengan Subnet Mask Yang Diberikan Pada Segmen Jaringan Dimana Ia Terhubung Sebuah Server Nat Mampu Diletakkan Pada Jaringan Untuk Melaksanakan Tugas-2 Tertentu: Mengisolasi Traffic Jaringan Pada Segmen Jaringan Sumber, Tujuan, Dan Segmen Jaringan Intermediate Membuat Partisi Subnet Didalam Jaringan Private, Melindungi Data Confidential. Pertukaran Paket Jaringan Antara Jenis Segmen Jaringan Yang Berbeda Didalam Design Kebanyakan Wireless Router Yang Ada Dipasaran Kini Ini, Telah Banyak Yang Mengadopsi Kemampuan Network Address Translation (Nat) Dan Stateful Packet Inspection (Spi) Ini Kedalam Piranti Router.

NAT Dan SPI By Ki Grinsing Prakata Kita sering mendengar istilah Network Address Translation (NAT) dalam kaitannya dengan koneksi ke jaringan public atau koneksi ke internet. Kalau dalam bahasa teknik kita mungkin yakni “Terjemahan Alamat Jaringan”, agak gila ditelinga kita rasanya. Dalam kita merencanakan konektivity ke Internet dalam organisasi kita, anda mesti mendefinisikan seberapa besar ukuran dari jaringan infrastruktur anda . Untuk ukuran jaringan yang kecil yang tidak di routed, anda mampu menggunakan solusi NAT sederhana saja, akan namun solusi ini menawarkan solusi keselamatan minimum yang lazimnya menggunakan wireless router standard rumahan mirip TP-link W8961. Untuk jaringan berskala besar, yang sangat kompleks anda memerlukan sebuah server ISA atau penyelesaian firewall jadi – hardware firewall. Solusi server ISA atau hardware firewall memungkinkan anda mengkoneksikan beberapa routed jaringan ke Internet dan menawarkan anda sebuah system keamanan yang lebih advance dan lebih bisa leluasa mengendalikan akses resource jaringan. Apa itu Network Address Translation (NAT)? Network Address Translation (NAT) ialah suatu metoda pokok yang memungkinkan komputer yang mempunyai address yang tidak terdaftar atau komputer yang menggunakan address private, untuk mampu mengakses Internet. Ingat pada diskusi IP address sebelumnya bahwa IP address private tidak bisa di route ke internet (non-routed), cuma dipakai pada jaringan internal yang berada pada range berikut: Tabel IP address private Class Type Start Address End Address Class A 10.0.0.0 10.255.255.254 Class B 172.16.0.0 172.31.255.254 Class C 192.168.0.0 192.168.255.254 Untuk setiap paket yang dihasilkan oleh client, implementasi Network Address Translation (NAT) menggantikan IP address yang terdaftar kepada IP address client yang tidak terdaftar. Ada tiga macam jenis dasar Network Address Translation (NAT): 1. Static NAT Network Address Translation (NAT) menterjemahkan sejumlah IP address tidak terdaftar menjadi sejumlah IP address yang terdaftar sehingga setiap client dipetakkan kepada IP address terdaftar yang dengan jumlah yang sama. NAT Static Jenis NAT ini ialah pemborosan IP address terdaftar, alasannya setiap IP address yang tidak terdaftar (un-registered IP) dipetakan kepada satu IP address terdaftar. Static NAT ini juga tidak seaman jenis NAT yang lain, alasannya setiap komputer secara permanen diasosiasikan kepada address terdaftar tertentu, sehingga menunjukkan potensi terhadap para penyusup dari Internet untuk menuju eksklusif terhadap komputer tertentu pada jaringan private anda memakai address terdaftar tersebut. 2. Dynamic NAT Dynamic Network Address Translation dimaksudkan untuk suatu kondisi dimana anda memiliki IP address terdaftar yang lebih minim dari jumlah IP address un-registered. Dynamic NAT menterjemahkan setiap komputer dengan IP tak terdaftar kepada salah satu IP address terdaftar untuk connect ke internet. Hal ini agak menyulitkan para penyusup untuk menembus komputer didalam jaringan anda sebab IP address terdaftar yang diasosiasikan ke komputer senantiasa berubah secara dinamis, tidak seperti pada NAT statis yang dipetakan sama. Kekurangan utama dari dynamis NAT ini yaitu bahwa kalau jumlah IP address terdaftar telah terpakai seluruhnya, maka untuk komputer yang berupaya connect ke Internet tidak lagi bisa karena IP address terdaftar sudah terpakai semuanya. 3. Masquerading NAT Masquerading NAT ini menterjemahkan semua IP address tak terdaftar pada jaringan anda dipetakan terhadap satu IP address terdaftar. Agar banyak client bisa mengakses Internet secara bersama-sama, router NAT memakai nomor port untuk bisa membedakan antara paket-2 yang dihasilkan oleh atau ditujukan komputer-2 yang berlainan. Solusi Masquerading ini menawarkan keselamatan paling manis dari jenis-2 NAT sebelumnya, kenapa? Karena asosiasi antara client dengan IP tak terdaftar dengan kombinasi IP address terdaftar dan nomor port didalam router NAT hanya berlangsung sesaat terjadi satu potensi koneksi saja, setelah itu dilepas. NAT Masquerading Keamanan NAT Kebanyakan implementasi NAT sekarang ini mengandalkan pada teknik jenis Masquerading NAT alasannya adalah mengurangi jumlah keperluan akan IP address terdaftar dan memaksimalkan keamanan yang diberikan olen Network Address Translation (NAT). Akan namun perlu dicatat bahwa NAT itu sendiri, walau menggunakan jenis NAT yang paling aman – Masquerading, bukanlah sebuah firewall yang bantu-membantu dan tidak memperlihatkan suatu perisai besi keamanan untuk sebuah situasi yang rawan tinggi. NAT intinya hanya memblokir tamu tak diundang (unsolicited request) dan semua perjuangan penjajagan atau usaha scanning dari internet, yang mempunyai arti sebuah pencegahan dari perjuangan para penyusup untuk mencari file share yang tidak di proteksi atau private Web ataupun FTP server. Akan namun, NAT tidak mampu menghalangi user di Internet untuk meluncurkan suatu usaha serangan DoS (Denial of Services) kepada komputer yang ada dijaringan private anda. Ataupun tidak bisa menghalangi perjuangan-2 lain dengan teknik yang lebih kompleks untuk melakukan kompromi jaringan. Network Address Translation dan Stateful Packet Inspection Beberapa implementasi NAT juga melibatkan embel-embel keselamatan, umumnya secara biasa memakai teknik yang disebut Stateful Packet Inspection (SPI). Stateful Packet Inspection ialah perumpamaan generic pada proses dimana NAT router mengusut paket yang datang dari internet dilaksanakan lebih teliti dan lebih cermat dari biasanya. Pada lazimnya implementasi NAT, router cuma konsen pada IP address dan port dari paket yang melewatinya. Suatu router NAT yang mendukung Stateful packet inspection memeriksa hingga ke header layer network dan layer transport juga, mengusut acuan yang memiliki tingkah laku berbahaya, mirip IP spoofing, SYN floods, dan serangan teardrop . Banyak produsen router mengimplementasikan stateful packet inspection dalam banyak sekali bentuk dan cara, jadi tidak semua router NAT dengan kemampuan Stateful packet inspection ini mempunyai tingkat sumbangan keamanan yang sama. Solusi NAT Seperti didiskusikan sebelumnya, keputusan untuk design jaringan semestinya menimbang-nimbang berikut ini: Ukuran besarnya jaringan private anda Kebutuhan akan keselamatan jaringan dalam organisasi NAT adalah solusi yang memadai bila: Akses ke internet dan susukan ke jaringan tidak dibatasi menurut user per user. Tentunya anda tidak menunjukkan akses internet ke semua user dalam jaringan anda bukan? Jaringan private berisi user didalam lingkungan yang tidak mampu di routed. Organisasi anda memerlukan address private untuk komputer-2 pada jaringan private. Suatu server NAT memerlukan paling tidak 2 interface jaringan. Setiap interface membutuhkan IP address, range IP address yang diberikan haruslah berada dalam subnet yang serupa dengan jaringan dimana dia terhubung. Subnet mask juga harus sama dengan subnet mask yang diberikan pada segmen jaringan dimana ia terhubung Suatu server NAT dapat diletakkan pada jaringan untuk melaksanakan peran-2 tertentu: Mengisolasi traffic jaringan pada segmen jaringan sumber, tujuan, dan segmen jaringan intermediate Membuat partisi subnet didalam jaringan private, melindungi data confidential. Pertukaran paket jaringan antara jenis segmen jaringan yang berbeda Didalam design pada umumnya wireless router yang ada dipasaran sekarang ini, sudah banyak yang mengadopsi kemampuan Network Address Translation (NAT) dan Stateful Packet Inspection (SPI) ini kedalam piranti router.
Sumber http://nonaerma.blogspot.com