8.5 Firewall

8.5 Firewall

Ilustrasi mengenai Firewall

Ilustrasi mengenai Firewall dalam sebuah jaringan komputer.

Contoh dari user interface untuk firewall pada Ubuntu (Gufw)

Tembok api atau dinding api adalah suatu sistem perangkat lunak yang mengizinkan lalu lintas jaringan yang dianggap aman untuk bisa melaluinya dan mencegah lalu lintas jaringan yang dianggap tidak aman. Umumnya, sebuah tembok-api diterapkan dalam sebuah mesin terdedikasi, yang berjalan pada pintu gerbang (gateway) antara jaringan lokal dengan jaringan Internet.
Tembok-api digunakan untuk membatasi atau mengontrol akses terhadap siapa saja yang memiliki akses terhadap jaringan pribadi dari pihak luar. Saat ini, istilah firewall menjadi istilah lazim yang merujuk pada sistem yang mengatur komunikasi antar dua macam jaringan yang berbeda. Mengingat saat ini banyak perusahaan yang memiliki akses ke Internet dan juga tentu saja jaringan berbadan hukum di dalamnya, maka perlindungan terhadap perangkat digital perusahaan tersebut dari serangan para peretas, pemata-mata, ataupun pencuri data lainnya, menjadi kenyataan.

Jenis-jenis Firewall

Taksonomi Firewall

Firewall terbagi menjadi dua jenis, yakni sebagai berikut

• Personal Firewall: Personal Firewall didesain untuk melindungi sebuah komputer yang terhubung ke jaringan dari akses yang tidak dikehendaki. Firewall jenis ini akhir-akhir ini berevolusi menjadi sebuah kumpulan program yang bertujuan untuk mengamankan komputer secara total, dengan ditambahkannya beberapa fitur pengaman tambahan semacam perangkat proteksi terhadap virus, anti-spyware, anti-spam, dan lainnya. Bahkan beberapa produk firewall lainnya dilengkapi dengan fungsi pendeteksian gangguan keamanan jaringan (Intrusion Detection System). Contoh dari firewall jenis ini adalah Microsoft Windows Firewall (yang telah terintegrasi dalam sistem operasi Windows XP Service Pack 2, Windows Vista dan Windows Server 2003 Service Pack 1), Symantec Norton Personal Firewall, Kerio Personal Firewall, dan lain-lain. Personal Firewall secara umum hanya memiliki dua fitur utama, yakni Packet Filter Firewall dan Stateful Firewall.
• Network Firewall: Network Firewall didesain untuk melindungi jaringan secara keseluruhan dari berbagai serangan. Umumnya dijumpai dalam dua bentuk, yakni sebuah perangkat terdedikasi atau sebagai sebuah perangkat lunak yang diinstalasikan dalam sebuah server. Contoh dari firewall ini adalah Microsoft Internet Security and Acceleration Server (ISA Server), Cisco PIX, Cisco ASA, IPTables dalam sistem operasi GNU/Linux, pf dalam keluarga sistem operasi Unix BSD, serta SunScreen dari Sun Microsystems, Inc. yang dibundel dalam sistem operasi Solaris. Network Firewall secara umum memiliki beberapa fitur utama, yakni apa yang dimiliki oleh personal firewall (packet filter firewall dan stateful firewall), Circuit Level Gateway, Application Level Gateway, dan juga NAT Firewall. Network Firewall umumnya bersifat transparan (tidak terlihat) dari pengguna dan menggunakan teknologi routing untuk menentukan paket mana yang diizinkan, dan mana paket yang akan ditolak.

Fungsi Firewall

Secara mendasar, firewall dapat melakukan hal-hal berikut:

• Mengatur dan mengontrol lalu lintas jaringan
• Melakukan autentikasi terhadap akses
• Melindungi sumber daya dalam jaringan privat
• Mencatat semua kejadian, dan melaporkan kepada administrator

Mengatur dan Mengontrol Lalu lintas jaringan

Fungsi pertama yang dapat dilakukan oleh firewall adalah firewall harus dapat mengatur dan mengontrol lalu lintas jaringan yang diizinkan untuk mengakses jaringan privat atau komputer yang dilindungi oleh firewall. Firewall melakukan hal yang demikian, dengan melakukan inspeksi terhadap paket-paket dan memantau koneksi yang sedang dibuat, lalu melakukan penapisan (filtering) terhadap koneksi berdasarkan hasil inspeksi paket dan koneksi tersebut.

Proses inspeksi Paket

Inspeksi paket ('packet inspection) merupakan proses yang dilakukan oleh firewall untuk 'menghadang' dan memproses data dalam sebuah paket untuk menentukan bahwa paket tersebut diizinkan atau ditolak, berdasarkan kebijakan akses (access policy) yang diterapkan oleh seorang administrator. Firewall, sebelum menentukan keputusan apakah hendak menolak atau menerima komunikasi dari luar, ia harus melakukan inspeksi terhadap setiap paket (baik yang masuk ataupun yang keluar) di setiap antarmuka dan membandingkannya dengan daftar kebijakan akses. Inspeksi paket dapat dilakukan dengan melihat elemen-elemen berikut, ketika menentukan apakah hendak menolak atau menerima komunikasi:

• Alamat IP dari komputer sumber
• Port sumber pada komputer sumber
• Alamat IP dari komputer tujuan
• Port tujuan data pada komputer tujuan
• Protokol IP
• Informasi header-header yang disimpan dalam paket

Koneksi dan Keadaan Koneksi

Agar dua host TCP/IP dapat saling berkomunikasi, mereka harus saling membuat koneksi antara satu dengan lainnya. Koneksi ini memiliki dua tujuan:

1. Komputer dapat menggunakan koneksi tersebut untuk mengidentifikasikan dirinya kepada komputer lain, yang meyakinkan bahwa sistem lain yang tidak membuat koneksi tidak dapat mengirimkan data ke komputer tersebut. Firewall juga dapat menggunakan informasi koneksi untuk menentukan koneksi apa yang diizinkan oleh kebijakan akses dan menggunakannya untuk menentukan apakah paket data tersebut akan diterima atau ditolak.
2. Koneksi digunakan untuk menentukan bagaimana cara dua host tersebut akan berkomunikasi antara satu dengan yang lainnya (apakah dengan menggunakan koneksi connection-oriented, atau connectionless).

Ilustrasi mengenai percakapan antara dua buah host

Kedua tujuan tersebut dapat digunakan untuk menentukan keadaan koneksi antara dua host tersebut, seperti halnya cara manusia bercakap-cakap. Jika Amir bertanya kepada Aminah mengenai sesuatu, maka Aminah akan meresponsnya dengan jawaban yang sesuai dengan pertanyaan yang diajukan oleh Amir; Pada saat Amir melontarkan pertanyaannya kepada Aminah, keadaan percakapan tersebut adalah Amir menunggu respons dari Aminah. Komunikasi di jaringan juga mengikuti cara yang sama untuk memantau keadaan percakapan komunikasi yang terjadi.
Firewall dapat memantau informasi keadaan koneksi untuk menentukan apakah ia hendak mengizinkan lalu lintas jaringan. Umumnya hal ini dilakukan dengan memelihara sebuah tabel keadaan koneksi (dalam istilah firewall: state table) yang memantau keadaan semua komunikasi yang melewati firewall. Dengan memantau keadaan koneksi ini, firewall dapat menentukan apakah data yang melewati firewall sedang "ditunggu" oleh host yang dituju, dan jika ya, aka mengizinkannya. Jika data yang melewati firewall tidak cocok dengan keadaan koneksi yang didefinisikan oleh tabel keadaan koneksi, maka data tersebut akan ditolak. Hal ini umumnya disebut sebagai Stateful Inspection.

Stateful Packet Inspection

Ketika sebuah firewall menggabungkan stateful inspection dengan packet inspection, maka firewall tersebut dinamakan dengan Stateful Packet Inspection (SPI). SPI merupakan proses inspeksi paket yang tidak dilakukan dengan menggunakan struktur paket dan data yang terkandung dalam paket, tapi juga pada keadaan apa host-host yang saling berkomunikasi tersebut berada. SPI mengizinkan firewall untuk melakukan penapisan tidak hanya berdasarkan isi paket tersebut, tapi juga berdasarkan koneksi atau keadaan koneksi, sehingga dapat mengakibatkan firewall memiliki kemampuan yang lebih fleksibel, mudah diatur, dan memiliki skalabilitas dalam hal penapisan yang tinggi.
Salah satu keunggulan dari SPI dibandingkan dengan inspeksi paket biasa adalah bahwa ketika sebuah koneksi telah dikenali dan diizinkan (tentu saja setelah dilakukan inspeksi), umumnya sebuah kebijakan (policy) tidak dibutuhkan untuk mengizinkan komunikasi balasan karena firewall tahu respons apa yang diharapkan akan diterima. Hal ini memungkinkan inspeksi terhadap data dan perintah yang terkandung dalam sebuah paket data untuk menentukan apakah sebuah koneksi diizinkan atau tidak, lalu firewall akan secara otomatis memantau keadaan percakapan dan secara dinamis mengizinkan lalu lintas yang sesuai dengan keadaan. Ini merupakan peningkatan yang cukup signifikan jika dibandingkan dengan firewall dengan inspeksi paket biasa. Apalagi, proses ini diselesaikan tanpa adanya kebutuhan untuk mendefinisikan sebuah kebijakan untuk mengizinkan respons dan komunikasi selanjutnya. Kebanyakan firewall modern telah mendukung fungsi ini.

Melakukan autentikasi terhadap akses

Fungsi fundamental firewall yang kedua adalah firewall dapat melakukan autentikasi terhadap akses.
Protokol TCP/IP dibangun dengan premis bahwa protokol tersebut mendukung komunikasi yang terbuka. Jika dua host saling mengetahui alamat IP satu sama lainnya, maka mereka diizinkan untuk saling berkomunikasi. Pada awal-awal perkembangan Internet, hal ini boleh dianggap sebagai suatu berkah. Tapi saat ini, di saat semakin banyak yang terhubung ke Internet, mungkin kita tidak mau siapa saja yang dapat berkomunikasi dengan sistem yang kita miliki. Karenanya, firewall dilengkapi dengan fungsi autentikasi dengan menggunakan beberapa mekanisme autentikasi, sebagai berikut:

• Firewall dapat meminta input dari pengguna mengenai nama pengguna (user name) serta kata kunci (password). Metode ini sering disebut sebagai extended authentication atau xauth. Menggunakan xauth pengguna yang mencoba untuk membuat sebuah koneksi akan diminta input mengenai nama dan kata kuncinya sebelum akhirnya diizinkan oleh firewall. Umumnya, setelah koneksi diizinkan oleh kebijakan keamanan dalam firewall, firewall pun tidak perlu lagi mengisikan input password dan namanya, kecuali jika koneksi terputus dan pengguna mencoba menghubungkan dirinya kembali.
• Metode kedua adalah dengan menggunakan sertifikat digital dan kunci publik. Keunggulan metode ini dibandingkan dengan metode pertama adalah proses autentikasi dapat terjadi tanpa intervensi pengguna. Selain itu, metode ini lebih cepat dalam rangka melakukan proses autentikasi. Meskipun demikian, metode ini lebih rumit implementasinya karena membutuhkan banyak komponen seperti halnya implementasi infrastruktur kunci publik.
• Metode selanjutnya adalah dengan menggunakan Pre-Shared Key (PSK) atau kunci yang telah diberitahu kepada pengguna. Jika dibandingkan dengan sertifikat digital, PSK lebih mudah diimplenentasikan karena lebih sederhana, tetapi PSK juga mengizinkan proses autentikasi terjadi tanpa intervensi pengguna. Dengan menggunakan PSK, setiap host akan diberikan sebuah kunci yang telah ditentukan sebelumnya yang kemudian digunakan untuk proses autentikasi. Kelemahan metode ini adalah kunci PSK jarang sekali diperbarui dan banyak organisasi sering sekali menggunakan kunci yang sama untuk melakukan koneksi terhadap host-host yang berada pada jarak jauh, sehingga hal ini sama saja meruntuhkan proses autentikasi. Agar tercapai sebuah derajat keamanan yang tinggi, umumnya beberapa organisasi juga menggunakan gabungan antara metode PSK dengan xauth atau PSK dengan sertifikat digital.

Dengan mengimplementasikan proses autentikasi, firewall dapat menjamin bahwa koneksi dapat diizinkan atau tidak. Meskipun jika paket telah diizinkan dengan menggunakan inspeksi paket (PI) atau berdasarkan keadaan koneksi (SPI), jika host tersebut tidak lolos proses autentikasi, paket tersebut akan dibuang.

Melindungi sumber daya dalam jaringan privat

Salah satu tugas firewall adalah melindungi sumber daya dari ancaman yang mungkin datang. Proteksi ini dapat diperoleh dengan menggunakan beberapa pengaturan peraturan akses (access control), penggunaan SPI, application proxy, atau kombinasi dari semuanya untuk mengamankan host yang dilindungi supaya tidak dapat diakses oleh host-host yang mencurigakan atau dari lalu lintas jaringan yang mencurigakan. Meskipun demikian, firewall bukan satu-satunya metode proteksi teraman terhadap sumber daya, dan mempercayakan proteksi firewall dari ancaman secara eksklusif adalah salah satu kesalahan fatal.
Jika sebuah host yang menjalankan sistem operasi tertentu yang memiliki lubang keamanan yang belum ditambal dikoneksikan ke Internet, firewall mungkin tidak dapat mencegah dieksploitasinya host tersebut oleh host-host lainnya, khususnya jika exploit tersebut menggunakan lalu lintas yang oleh firewall telah diizinkan (dalam konfigurasinya). Sebagai contoh, jika sebuah packet-inspection firewall mengizinkan lalu lintas HTTP ke sebuah web server yang menjalankan sebuah layanan web yang memiliki lubang keamanan yang belum ditambal, maka seorang pengguna yang "iseng" dapat saja membuat exploit untuk meruntuhkan web server tersebut karena memang web server yang bersangkutan memiliki lubang keamanan yang belum ditambal.
Dalam contoh ini, web server tersebut akhirnya mengakibatkan proteksi yang ditawarkan oleh firewall menjadi tidak berguna. Hal ini disebabkan oleh firewall tidak dapat membedakan antara request HTTP yang mencurigakan atau tidak. Apalagi, jika firewall yang digunakan bukan application proxy. Oleh karena itulah, sumber daya yang dilindungi haruslah dipelihara dengan melakukan penambalan terhadap lubang-lubang keamanan, selain tentunya dilindungi oleh firewall.

Cara Kerja Firewall

Firewall berada di antara kedua jaringan seperti internet dan komputer sehingga firewall berfungsi sebagai pelindung. Tujuan utama adanya firewall adalah untuk user yang tidak menginginkan lalu lintas jaringan yang berusaha masuk ke komputer, namun tidak hanya itu saja yang bisa dilakukan firewall. Firewall juga dapat menganalisis jaringan yang mencoba masuk ke komputer anda, dan dapat melakukan apa yang harus dilakukan ketika jaringan tersebut masuk. Contohnya saja, firewall bisa diatur untuk memblokir beberapa jenis jaringan yang mencoba keluar atau mencatat log lalu lintas jaringan yang mencurigakan.
Firewall bisa memiliki berbagai aturan yang dapat anda tambahkan atau hapus untuk menolak jaringan tertentu. Contohnya saja, hanya dapat mengakses alamat IP tertentu atau mengumpulkan semua akses dari tempat lain untuk ke satu tempat yang aman terlebih dahulu

Packet-Filter Firewall

Contoh pengaturan akses (access control) yang diterapkan dalam firewall

Pada bentuknya yang paling sederhana, sebuah firewall adalah sebuah router atau komputer yang dilengkapi dengan dua buah NIC (Network Interface Card, kartu antarmuka jaringan) yang mampu melakukan penapisan atau penyaringan terhadap paket-paket yang masuk. Perangkat jenis ini umumnya disebut dengan packet-filtering router.
Firewall jenis ini bekerja dengan cara membandingkan alamat sumber dari paket-paket tersebut dengan kebijakan pengontrolan akses yang terdaftar dalam Access Control List firewall, router tersebut akan mencoba memutuskan apakah hendak meneruskan paket yang masuk tersebut ke tujuannya atau menghentikannya. Pada bentuk yang lebih sederhana lagi, firewall hanya melakukan pengujian terhadap alamat IP atau nama domain yang menjadi sumber paket dan akan menentukan apakah hendak meneruskan atau menolak paket tersebut. Meskipun demikian, packet-filtering router tidak dapat digunakan untuk memberikan akses (atau menolaknya) dengan menggunakan basis hak-hak yang dimiliki oleh pengguna.

Cara kerja packet filter firewall

Packet-filtering router juga dapat dikonfigurasikan agar menghentikan beberapa jenis lalu lintas jaringan dan tentu saja mengizinkannya. Umumnya, hal ini dilakukan dengan mengaktifkan/menonaktifkan port TCP/IP dalam sistem firewall tersebut. Sebagai contoh, port 25 yang digunakan oleh Protokol SMTP (Simple Mail Transfer Protocol) umumnya dibiarkan terbuka oleh beberapa firewall untuk mengizinkan surat elektronik dari Internet masuk ke dalam jaringan privat, sementara port lainnya seperti port 23 yang digunakan oleh Protokol Telnet dapat dinonaktifkan untuk mencegah pengguna Internet untuk mengakses layanan yang terdapat dalam jaringan privat tersebut. Firewall juga dapat memberikan semacam pengecualian (exception) agar beberapa aplikasi dapat melewati firewall tersebut. Dengan menggunakan pendekatan ini, keamanan akan lebih kuat tapi memiliki kelemahan yang signifikan yakni kerumitan konfigurasi terhadap firewall: daftar Access Control List firewall akan membesar seiring dengan banyaknya alamat IP, nama domain, atau port yang dimasukkan ke dalamnya, selain tentunya juga exception yang diberlakukan.

Circuit Level Gateway

Cara kerja circuit level firewall

Firewall jenis lainnya adalah Circuit-Level Gateway, yang umumnya berupa komponen dalam sebuah proxy server. Firewall jenis ini beroperasi pada level yang lebih tinggi dalam model referensi tujuh lapis OSI (bekerja pada lapisan sesi/session layer) daripada Packet Filter Firewall. Modifikasi ini membuat firewall jenis ini berguna dalam rangka menyembunyikan informasi mengenai jaringan terproteksi, meskipun firewall ini tidak melakukan penyaringan terhadap paket-paket individual yang mengalir dalam koneksi.
Dengan menggunakan firewall jenis ini, koneksi yang terjadi antara pengguna dan jaringan pun disembunyikan dari pengguna. Pengguna akan dihadapkan secara langsung dengan firewall pada saat proses pembuatan koneksi dan firewall pun akan membentuk koneksi dengan sumber daya jaringan yang hendak diakses oleh pengguna setelah mengubah alamat IP dari paket yang ditransmisikan oleh dua belah pihak. Hal ini mengakibatkan terjadinya sebuah sirkuit virtual (virtual circuit) antara pengguna dan sumber daya jaringan yang ia akses.
Firewall ini dianggap lebih aman dibandingkan dengan Packet-Filtering Firewall, karena pengguna eksternal tidak dapat melihat alamat IP jaringan internal dalam paket-paket yang ia terima, melainkan alamat IP dari firewall.

Application Level Firewall

Application Level Firewall (disebut juga sebagai application proxy atau application level gateway)

Firewall jenis lainnya adalah Application Level Gateway (atau Application-Level Firewall atau sering juga disebut sebagai Proxy Firewall), yang umumnya juga merupakan komponen dari sebuah proxy server. Firewall ini tidak mengizinkan paket yang datang untuk melewati firewall secara langsung. Tetapi, aplikasi proxy yang berjalan dalam komputer yang menjalankan firewall akan meneruskan permintaan tersebut kepada layanan yang tersedia dalam jaringan privat dan kemudian meneruskan respons dari permintaan tersebut kepada komputer yang membuat permintaan pertama kali yang terletak dalam jaringan publik yang tidak aman.
Umumnya, firewall jenis ini akan melakukan autentikasi terlebih dahulu terhadap pengguna sebelum mengizinkan pengguna tersebut untuk mengakses jaringan. Selain itu, firewall ini juga mengimplementasikan mekanisme auditing dan pencatatan (logging) sebagai bagian dari kebijakan keamanan yang diterapkannya. Application Level Firewall juga umumnya mengharuskan beberapa konfigurasi yang diberlakukan pada pengguna untuk mengizinkan mesin klien agar dapat berfungsi. Sebagai contoh, jika sebuah proxy FTP dikonfigurasikan di atas sebuah application layer gateway, proxy tersebut dapat dikonfigurasikan untuk mengizinlan beberapa perintah FTP, dan menolak beberapa perintah lainnya. Jenis ini paling sering diimplementasikan pada proxy SMTP sehingga mereka dapat menerima surat elektronik dari luar (tanpa menampakkan alamat e-mail internal), lalu meneruskan e-mail tersebut kepada e-mail server dalam jaringan. Tetapi, karena adanya pemrosesan yang lebih rumit, firewall jenis ini mengharuskan komputer yang dikonfigurasikan sebagai application gateway memiliki spesifikasi yang tinggi, dan tentu saja jauh lebih lambat dibandingkan dengan packet-filter firewall.

NAT Firewall

NAT (Network Address Translation) Firewall secara otomatis menyediakan proteksi terhadap sistem yang berada di balik firewall karena NAT Firewall hanya mengizinkan koneksi yang datang dari komputer-komputer yang berada di balik firewall. Tujuan dari NAT adalah untuk melakukan multiplexing terhadap lalu lintas dari jaringan internal untuk kemudian menyampaikannya kepada jaringan yang lebih luas (MAN, WAN atau Internet) seolah-olah paket tersebut datang dari sebuah alamat IP atau beberapa alamat IP. NAT Firewall membuat tabel dalam memori yang mengandung informasi mengenai koneksi yang dilihat oleh firewall. Tabel ini akan memetakan alamat jaringan internal ke alamat eksternal. Kemampuan untuk menaruh keseluruhan jaringan di belakang sebuah alamat IP didasarkan terhadap pemetaan terhadap port-port dalam NAT firewall.
Lihat juga: Network Address Translation

Stateful Firewall

Cara kerja stateful firewall

Stateful Firewall merupakan sebuah firewall yang menggabungkan keunggulan yang ditawarkan oleh packet-filtering firewall, NAT Firewall, Circuit-Level Firewall dan Proxy Firewall dalam satu sistem. Stateful Firewall dapat melakukan filtering terhadap lalu lintas berdasarkan karakteristik paket, seperti halnya packet-filtering firewall, dan juga memiliki pengecekan terhadap sesi koneksi untuk meyakinkan bahwa sesi koneksi yang terbentuk tersebut diizinlan. Tidak seperti Proxy Firewall atau Circuit Level Firewall, Stateful Firewall umumnya didesain agar lebih transparan (seperti halnya packet-filtering firewall atau NAT firewall). Tetapi, stateful firewall juga mencakup beberapa aspek yang dimiliki oleh application level firewall, sebab ia juga melakukan inspeksi terhadap data yang datang dari lapisan aplikasi (application layer) dengan menggunakan layanan tertentu. Firewall ini hanya tersedia pada beberapa firewall kelas atas, semacam Cisco PIX. Karena menggabungkan keunggulan jenis-jenis firewall lainnya, stateful firewall menjadi lebih kompleks.

Virtual Firewall

Virtual Firewall adalah sebutan untuk beberapa firewall logis yang berada dalam sebuah perangkat fisik (komputer atau perangkat firewall lainnya). Pengaturan ini mengizinkan beberapa jaringan agar dapat diproteksi oleh sebuah firewall yang unik yang menjalankan kebijakan keamanan yang juga unik, cukup dengan menggunakan satu buah perangkat. Dengan menggunakan firewall jenis ini, sebuah ISP (Internet Service Provider) dapat menyediakan layanan firewall kepada para pelanggannya, sehingga mengamankan lalu lintas jaringan mereka, hanya dengan menggunakan satu buah perangkat. Hal ini jelas merupakan penghematan biaya yang signifikan, meski firewall jenis ini hanya tersedia pada firewall kelas atas, seperti Cisco PIX 535.

Transparent Firewall

Transparent Firewall (juga dikenal sebagai bridging firewall) bukanlah sebuah firewall yang murni, tetapi ia hanya berupa turunan dari stateful Firewall. Daripada firewall-firewall lainnya yang beroperasi pada lapisan IP ke atas, transparent firewall bekerja pada lapisan Data-Link Layer, dan kemudian ia memantau lapisan-lapisan yang ada di atasnya. Selain itu, transparent firewall juga dapat melakukan apa yang dapat dilakukan oleh packet-filtering firewall, seperti halnya stateful firewall dan tidak terlihat oleh pengguna (karena itulah, ia disebut sebagai Transparent Firewall).
Intinya, transparent firewall bekerja sebagai sebuah bridge yang bertugas untuk menyaring lalu lintas jaringan antara dua segmen jaringan. Dengan menggunakan transparent firewall, keamanan sebuah segmen jaringan pun dapat diperkuat, tanpa harus mengaplikasikan NAT Filter. Transparent Firewall menawarkan tiga buah keuntungan, yakni sebagai berikut:

• Konfigurasi yang mudah (bahkan beberapa produk mengklaim sebagai "Zero Configuration"). Hal ini memang karena transparent firewall dihubungkan secara langsung dengan jaringan yang hendak diproteksinya, dengan memodifikasi sedikit atau tanpa memodifikasi konfigurasi firewall tersebut. Karena ia bekerja pada data-link layer, pengubahan alamat IP pun tidak dibutuhkan. Firewall juga dapat dikonfigurasikan untuk melakukan segmentasi terhadap sebuah subnet jaringan antara jaringan yang memiliki keamanan yang rendah dan keamanan yang tinggi atau dapat juga untuk melindungi sebuah host, jika memang diperlukan.
• Kinerja yang tinggi. Hal ini disebabkan oleh firewall yang berjalan dalam lapisan data-link lebih sederhana dibandingkan dengan firewall yang berjalan dalam lapisan yang lebih tinggi. Karena bekerja lebih sederhana, maka kebutuhan pemrosesan pun lebih kecil dibandingkan dengan firewall yang berjalan pada lapisan yang tinggi, dan akhirnya performa yang ditunjukannya pun lebih tinggi.
• Tidak terlihat oleh pengguna (stealth). Hal ini memang dikarenakan Transparent Firewall bekerja pada lapisan data-link, dan tidak membutuhkan alamat IP yang ditetapkan untuknya (kecuali untuk melakukan manajemen terhadapnya, jika memang jenisnya managed firewall). Karena itulah, transparent firewall tidak dapat terlihat oleh para penyerang. Karena tidak dapat diraih oleh penyerang (tidak memiliki alamat IP), penyerang pun tidak dapat menyerangnya.

 

8. Identifikasi Lapisan Internet dan transport

8. Identifikasi Lapisan Internet dan transport

 

Dalam protokol jaringan TCP/IP, sebuah port adalah mekanisme yang mengizinkan sebuah komputer untuk mendukung beberapa sesi koneksi dengan komputer lainnya dan program di dalam jaringan. Port dapat mengidentifikasikan aplikasi dan layanan yang menggunakan koneksi di dalam jaringan TCP/IP. Sehingga, port juga mengidentifikasikan sebuah proses tertentu di mana sebuah server dapat memberikan sebuah layanan kepada klien atau bagaimana sebuah klien dapat mengakses sebuah layanan yang ada dalam server. Port dapat dikenali dengan angka 16-bit (dua byte) yang disebut dengan Port Number dan diklasifikasikan dengan jenis protokol transport apa yang digunakan, ke dalam Port TCP dan Port UDP. Karena memiliki angka 16-bit, maka total maksimum jumlah port untuk setiap protokol transport yang digunakan adalah 65536 buah.
Dilihat dari penomorannya, port UDP dan TCP dibagi menjadi tiga jenis, yakni sebagai berikut:

• Well-known Port: yang pada awalnya berkisar antara 0 hingga 255 tapi kemudian diperlebar untuk mendukung antara 0 hingga 1023. Port number yang termasuk ke dalam well-known port, selalu merepresentasikan layanan jaringan yang sama, dan ditetapkan oleh Internet Assigned Number Authority (IANA). Beberapa di antara port-port yang berada di dalam range Well-known port masih belum ditetapkan dan direservasikan untuk digunakan oleh layanan yang bakal ada pada masa depan. Well-known port didefinisikan dalam RFC 1060.
• Registered Port: Port-port yang digunakan oleh vendor-vendor komputer atau jaringan yang berbeda untuk mendukung aplikasi dan sistem operasi yang mereka buat. Registered port juga diketahui dan didaftarkan oleh IANA tapi tidak dialokasikan secara permanen, sehingga vendor lainnya dapat menggunakan port number yang sama. Range registered port berkisar dari 1024 hingga 49151 dan beberapa port di antaranya adalah Dynamically Assigned Port.
• Dynamically Assigned Port: merupakan port-port yang ditetapkan oleh sistem operasi atau aplikasi yang digunakan untuk melayani request dari pengguna sesuai dengan kebutuhan. Dynamically Assigned Port berkisar dari 1024 hingga 65536 dan dapat digunakan atau dilepaskan sesuai kebutuhan.

Well-known Port

Tabel berikut ini berisi Well-known Port.

Port	Jenis Port	Keyword	Digunakan oleh
0	TCP, UDP	T/A.	Dicadangkan, tidak digunakan.
1	TCP, UDP	TCPmux	TCP Port Service Multiplexer
2	TCP, UDP	compressnet	Management Utility
3	TCP, UDP	compressnet	Compression Process
4	TCP, UDP	T/A	Belum ditetapkan
5	TCP, UDP	rje	Remote Job Entry
6	TCP, UDP	T/A	Belum ditetapkan
7	TCP, UDP	echo	Echo
8	TCP, UDP	T/A	Belum ditetapkan
9	TCP, UDP	discard	Discard;alias=sink null
10	TCP, UDP	T/A	Belum ditetapkan
11	TCP, UDP	systat	Active Users; alias = users
12	TCP, UDP	T/A	Belum ditetapkan
13	TCP, UDP	daytime	Daytime
14	TCP, UDP	T/A	Belum ditetapkan
15	TCP, UDP	T/A	Belum ditetapkan (sebelumnya: netstat)
16	TCP, UDP	T/A	Belum ditetapkan
17	TCP, UDP	qotd	Quote of the Day; alias = quote
18	TCP, UDP	msp	Message Send Protocol
19	TCP, UDP	chargen	Character Generator; alias = ttytst source
20	TCP, UDP	ftp-data	File Transfer Protocol (default data)
21	TCP, UDP	ftp	File Transfer Protocol (control), connection dialog
22	TCP, UDP	SSH	Putty
23	TCP, UDP	telnet	Telnet
24	TCP, UDP		Any private mail system
25	TCP, UDP	smtp	Simple Mail Transfer Protocol; alias = mail
26	TCP, UDP	T/A	Belum ditetapkan
27	TCP, UDP	nsw-fe	NSW User System FE
28	TCP, UDP	T/A	Belum ditetapkan
29	TCP, UDP	msg-icp	MSG ICP
30	TCP, UDP	T/A	Belum ditetapkan
31	TCP, UDP	msg-auth	MSG Authentication
32	TCP, UDP		Belum ditetapkan
33	TCP, UDP	dsp	Display Support Protocol
34	TCP, UDP	T/A	Belum ditetapkan
35	TCP, UDP		Any private printer server
36	TCP, UDP	T/A	Belum ditetapkan
37	TCP, UDP	time	Time; alias = timeserver
38	TCP, UDP	T/A	Belum ditetapkan
39	TCP, UDP	rlp	Resource Location Protocol; alias = resource
40	TCP, UDP	T/A	Belum ditetapkan
41	TCP, UDP	graphics	Graphics
42	TCP, UDP	nameserver	Host Name Server; alias = nameserver
43	TCP, UDP	nicname	Who Is; alias = nicname
44	TCP, UDP	mpm-flags	MPM FLAGS Protocol
45	TCP, UDP	mpm	Message Processing Module
46	TCP, UDP	mpm-snd	MPM (default send)
47	TCP, UDP	ni-ftp	NI FTP
48	TCP, UDP	T/A	Belum ditetapkan
49	TCP, UDP	login	Login Host Protocol
50	TCP, UDP	re-mail-ck	Remote Mail Checking Protocol
51	TCP, UDP	la-maint	IMP Logical Address Maintenance
52	TCP, UDP	xns-time	XNS Time Protocol
53	TCP, UDP	domain	Domain Name System Server
54	TCP, UDP	xns-ch	XNS Clearinghouse
55	TCP, UDP	isi-gl	ISI Graphics Language
56	TCP, UDP	xns-auth	XNS Authentication
57	TCP, UDP		Any private terminal access
58	TCP, UDP	xns-mail	XNS Mail
59	TCP, UDP		Any private file service
60	TCP, UDP	T/A	Belum ditetapkan
61	TCP, UDP	ni-mail	NI MAIL
62	TCP, UDP	acas	ACA Services
63	TCP, UDP	via-ftp	VIA Systems – FTP
64	TCP, UDP	covia	Communications Integrator (CI)
65	TCP, UDP	tacacs-ds	TACACS-Database Service
66	TCP, UDP	sql*net	Oracle SQL*NET
67	TCP, UDP	bootpc	DHCP/BOOTP Protocol Server
68	TCP, UDP	bootpc	DHCP/BOOTP Protocol Server
69	TCP, UDP	tftp	Trivial File Transfer Protocol
70	TCP, UDP	gopher	Gopher
71	TCP, UDP	netrjs-1	Remote Job Service
72	TCP, UDP	netrjs-2	Remote Job Service
73	TCP, UDP	netrjs-3	Remote Job Service
74	TCP, UDP	netrjs-4	Remote Job Service
75	UDP	T/A	Any private dial-out service
76	TCP, UDP	T/A	Belum ditetapkan
77	TCP, UDP		Any private RJE service
78	TCP, UDP	vetTCP	VetTCP
79	TCP, UDP	finger	Finger
80	TCP, UDP	www	World Wide Web HTTP
81	TCP, UDP	hosts2-ns	HOSTS2 Name Server
82	TCP, UDP	xfer	XFER Utility
83	TCP, UDP	mit-ml-dev	MIT ML Device
84	TCP, UDP	ctf	Common Trace Facility
85	TCP, UDP	mit-ml-dev	MIT ML Device
86	TCP, UDP	mfcobol	Micro Focus Cobol
87	TCP, UDP		Any private terminal link; alias = ttylink
88	TCP, UDP	kerberos	Kerberos
89	TCP, UDP	su-mit-tg	SU/MIT Telnet Gateway
90	TCP, UDP		DNSIX Security Attribute Token Map
91	TCP, UDP	mit-dov	MIT Dover Spooler
92	TCP, UDP	npp	Network Printing Protocol
93	TCP, UDP	dcp	Device Control Protocol
94	TCP, UDP	objcall	Tivoli Object Dispatcher
95	TCP, UDP	supdup	SUPDUP
96	TCP, UDP	dixie	DIXIE Protocol Specification
97	TCP, UDP	swift-rvf	Swift Remote Virtual File Protocol
98	TCP, UDP	tacnews	TAC News
99	TCP, UDP	metagram	Metagram Relay
100	TCP	newacct	(unauthorized use)
101	TCP, UDP	hostname	NIC Host Name Server; alias = hostname
102	TCP, UDP	iso-tsap	ISO-TSAP
103	TCP, UDP	gppitnp	Genesis Point-to-Point Trans Net; alias = webster
104	TCP, UDP	acr-nema	ACR-NEMA Digital Imag. & Comm. 300
105	TCP, UDP	csnet-ns	Mailbox Name Nameserver
106	TCP, UDP	3com-tsmux	3COM-TSMUX
107	TCP, UDP	rtelnet	Remote Telnet Service
108	TCP, UDP	snagas	SNA Gateway Access Server
109	TCP, UDP	pop2	Post Office Protocol version 2 (POP2); alias = postoffice
110	TCP, UDP	pop3	Post Office Protocol version 3 (POP3); alias = postoffice
111	TCP, UDP	sunrpc	SUN Remote Procedure Call
112	TCP, UDP	mcidas	McIDAS Data Transmission Protocol
113	TCP, UDP	auth	Authentication Service; alias = authentication
114	TCP, UDP	audionews	Audio News Multicast
115	TCP, UDP	sftp	Simple File Transfer Protocol
116	TCP, UDP	ansanotify	ANSA REX Notify
117	TCP, UDP	uucp-path	UUCP Path Service
118	TCP, UDP	sqlserv	SQL Services
119	TCP, UDP	nntp	Network News Transfer Protocol (NNTP); alias = usenet
120	TCP, UDP	cfdptkt	CFDPTKT
121	TCP, UDP	erpc	Encore Expedited Remote Procedure Call
122	TCP, UDP	smakynet	SMAKYNET
123	TCP, UDP	ntp	Network Time Protocol; alias = ntpd ntp
124	TCP, UDP	ansatrader	ANSA REX Trader
125	TCP, UDP	locus-map	Locus PC-Interface Net Map Server
126	TCP, UDP	unitary	Unisys Unitary Login
127	TCP, UDP	locus-con	Locus PC-Interface Connection Server
128	TCP, UDP	gss-xlicen	GSS X License Verification
129	TCP, UDP	pwdgen	Password Generator Protocol
130	TCP, UDP	cisco-fna	Cisco FNATIVE
131	TCP, UDP	cisco-tna	Cisco TNATIVE
132	TCP, UDP	cisco-sys	Cisco SYSMAINT
133	TCP, UDP	statsrv	Statistics Service
134	TCP, UDP	ingres-net	INGRES-NET Service
135	TCP, UDP	loc-srv	Location Service
136	TCP, UDP	profile	PROFILE Naming System
137	TCP, UDP	netbios-ns	NetBIOS Name Service
138	TCP, UDP	netbios-dgm	NetBIOS Datagram Service
139	TCP, UDP	netbios-ssn	NetBIOS Session Service
140	TCP, UDP	emfis-data	EMFIS Data Service
141	TCP, UDP	emfis-cntl	EMFIS Control Service
142	TCP, UDP	bl-idm	Britton-Lee IDM
143	TCP, UDP	imap2	Interim Mail Access Protocol v2
144	TCP, UDP	news	NewS; alias = news
145	TCP, UDP	uaac	UAAC Protocol
146	TCP, UDP	iso-ip0	ISO-IP0
147	TCP, UDP	iso-ip	ISO-IP
148	TCP, UDP	cronus	CRONUS-SUPPORT
149	TCP, UDP	aed-512	AED 512 Emulation Service
150	TCP, UDP	sql-net	SQL-NET
151	TCP, UDP	hems	HEMS
152	TCP, UDP	bftp	Background File Transfer Program
153	TCP, UDP	sgmp	SGMP; alias = sgmp
154	TCP, UDP	netsc-prod	Netscape
155	TCP, UDP	netsc-dev	Netscape
156	TCP, UDP	sqlsrv	SQL Service
157	TCP, UDP	knet-cmp	KNET/VM Command/Message Protocol
158	TCP, UDP	pcmail-srv	PCMail Server; alias = repository
159	TCP, UDP	nss-routing	NSS-Routing
160	TCP, UDP	sgmp-traps	SGMP-TRAPS
161	TCP, UDP	snmp	Simple Network Management Protocol
162	TCP, UDP	snmptrap	SNMP TRAP
163	TCP, UDP	cmip-man	CMIP/TCP Manager
164	TCP, UDP	cmip-agent	CMIP/TCP Agent
165	TCP, UDP	xns-courier	Xerox
166	TCP, UDP	s-net	Sirius Systems
167	TCP, UDP	namp	NAMP
168	TCP, UDP	rsvd	RSVD
169	TCP, UDP	send	SEND
170	TCP, UDP	print-srv	Network PostScript
171	TCP, UDP	multiplex	Network Innovations Multiplex
172	TCP, UDP	cl/1	Network Innovations CL/1
173	TCP, UDP	xyplex-mux	Xyplex
174	TCP, UDP	mailq	MAILQ
175	TCP, UDP	vmnet	VMNET
176	TCP, UDP	genrad-mux	GENRAD-MUX
177	TCP, UDP	xdmcp	X Display Manager Control Protocol
178	TCP, UDP	nextstep	NextStep Window Server
179	TCP, UDP	bgp	Border Gateway Protocol (BGP)
180	TCP, UDP	ris	Intergraph
181	TCP, UDP	unify	Unify
182	TCP, UDP	audit	Unisys Audit SITP
183	TCP, UDP	ocbinder	OCBinder
184	TCP, UDP	ocserver	OCServer
185	TCP, UDP	remote-kis	Remote-KIS
186	TCP, UDP	kis	KIS Protocol
187	TCP, UDP	aci	Application Communication Interface
188	TCP, UDP	mumps	Plus Five’s MUMPS
189	TCP, UDP	qft	Queued File Transport
190	TCP, UDP	gacp	Gateway Access Control Protocol
191	TCP, UDP	prospero	Prospero
192	TCP, UDP	osu-nms	OSU Network Monitoring System
193	TCP, UDP	srmp	Spider Remote Monitoring Protocol
194	TCP, UDP	irc	Internet Relay Chat (IRC) Protocol
195	TCP, UDP	dn6-nlm-aud	DNSIX Network Level Module Audit
196	TCP, UDP	dn6-smmred	DNSIX Session Management Module Audit Redirector
197	TCP, UDP	dls	Directory Location Service
198	TCP, UDP	dls-mon	Directory Location Service Monitor
199	TCP, UDP	smux	SMUX
200	TCP, UDP	src	IBM System Resource Controller
201	TCP, UDP	at-rtmp	AppleTalk Routing Maintenance
202	TCP, UDP	at-nbp	AppleTalk Name Binding
203	TCP, UDP	at-3	AppleTalk Unused
204	TCP, UDP	at-echo	AppleTalk Echo
205	TCP, UDP	at-5	AppleTalk Unused
206	TCP, UDP	at-zis	AppleTalk Zone Information
207	TCP, UDP	at-7	AppleTalk Unused
208	TCP, UDP	at-8	AppleTalk Unused
209	TCP, UDP	tam	Trivial Authenticated Mail Protocol
210	TCP, UDP	z39.50	ANSI Z39.50
211	TCP, UDP	914c/g	Texas Instruments 914C/G Terminal
212	TCP, UDP	anet	ATEXSSTR
213	TCP, UDP	ipx	Internetwork Packet Exchange (IPX)
214	TCP, UDP	vmpwscs	VM PWSCS
215	TCP, UDP	softpc	Insignia Solutions
216	TCP, UDP	atls	Access Technology License Server
217	TCP, UDP	dbase	dBASE UNIX
218	TCP, UDP	mpp	Netix Message Posting Protocol
219	TCP, UDP	uarps	Unisys ARPs
220	TCP, UDP	imap3	Interactive Mail Access Protocol versi 3
221	TCP, UDP	fln-spx	Berkeley rlogind with SPX authentication
222	TCP, UDP	fsh-spx	Berkeley rshd with SPX authentication
223	TCP, UDP	cdc	Certificate Distribution Center
224–241	T/A	T/A	Tidak digunakan; dicadangkan
242	TCP, UDP	direct	Direct
243	TCP, UDP	sur-meas	Survey Measurement
245	TCP, UDP	link	LINK
246	TCP, UDP	dsp3270	Display Systems Protocol
247	TCP, UDP	subntbcst_tftp	SUBNTBCST_TFTP
248	TCP, UDP	bhfhs	bhfhs
249–255	T/A	T/A	Tidak digunakan; dicadangkan
345	TCP, UDP	pawserv	Perf Analysis Workbench
346	TCP, UDP	zserv	Zebra server
347	TCP, UDP	fatserv	Fatmen Server
371	TCP, UDP	clearcase	Clearcase
372	TCP, UDP	ulistserv	UNIX Listserv
373	TCP, UDP	legent-1	Legent Corporation
374	TCP, UDP	legent-2	Legent Corporation
375	TCP, UDP	T/A	official & unofficial assignments, known security risks, trojans and applications use.
376	TCP, UDP	T/A	protocol and security warnings including related ports.
377	TCP, UDP	T/A	protocol and security warnings including related ports.

7.5. Routing

Router berfungsi sebagai penghubung 2 jaringan atau lebih untuk meneruskan data dari satu jaringan ke jaringan lainnya. Router berbeda dengan switch. Switch merupakan penghubung beberapa alat untuk membentuk suatu Local Area Network (LAN). Sebagai ilustrasi perbedaan fungsi dari router dan switch, switch merupakan suatu jalan, sedangkan router merupakan penghubung antar jalan. Masing-masing rumah berada pada jalan yang memiliki alamat dalam suatu urutan tertentu. Dengan cara yang sama, switch menghubungkan berbagai macam alat, dimana masing-masing alat memiliki alamat IP sendiri pada sebuah LAN.
Router sangat banyak digunakan dalam jaringan berbasis teknologi protokol TCP/IP, dan router jenis itu disebut juga dengan IP Router. Selain IP Router, ada lagi AppleTalk Router, dan masih ada beberapa jenis router lainnya. Internet merupakan contoh utama dari sebuah jaringan yang memiliki banyak router IP. Router dapat digunakan untuk menghubungkan banyak jaringan kecil ke sebuah jaringan yang lebih besar, yang disebut dengan internetwork, atau untuk membagi sebuah jaringan besar ke dalam beberapa subnetwork untuk meningkatkan kinerja dan juga mempermudah manajemennya. Router juga kadang digunakan untuk mengoneksikan dua buah jaringan yang menggunakan media yang berbeda (seperti halnya router wireless yang pada umumnya selain ia dapat menghubungkan komputer dengan menggunakan radio, ia juga mendukung penghubungan komputer dengan kabel UTP), atau berbeda arsitektur jaringan, seperti halnya dari Ethernet ke Token Ring.
Router juga dapat digunakan untuk menghubungkan LAN ke sebuah layanan telekomunikasi seperti halnya telekomunikasi leased line atau Digital Subscriber Line (DSL). Router yang digunakan untuk menghubungkan LAN ke sebuah koneksi leased line seperti T1, atau T3, sering disebut sebagai access server. Sementara itu, router yang digunakan untuk menghubungkan jaringan lokal ke sebuah koneksi DSL disebut juga dengan DSL router. Router-router jenis tersebut umumnya memiliki fungsi firewall untuk melakukan penapisan paket berdasarkan alamat sumber dan alamat tujuan paket tersebut, meski beberapa router tidak memilikinya. Router yang memiliki fitur penapisan paket disebut juga dengan packet-filtering router. Router umumnya memblokir lalu lintas data yang dipancarkan secara broadcast sehingga dapat mencegah adanya broadcast storm yang mampu memperlambat kinerja jaringan.

Jenis-jenis router

Secara umum, router dibagi menjadi dua buah jenis, yakni:

• static router (router statis): adalah sebuah router yang memiliki tabel routing statis yang di setting secara manual oleh para administrator jaringan.
• dynamic router (router dinamis): adalah sebuah router yang memiliki dan membuat tabel routing dinamis, dengan mendengarkan lalu lintas jaringan dan juga dengan saling berhubungan dengan router lainnya.

Perbedaan Router dengan Bridge

Cara kerja router mirip dengan bridge jaringan, yakni mereka dapat meneruskan paket data jaringan dan dapat juga membagi jaringan menjadi beberapa segmen atau menyatukan segmen-segmen jaringan. Akan tetapi, router berjalan pada lapisan ketiga pada model OSI (lapisan jaringan), dan menggunakan skema pengalamatan yang digunakan pada lapisan itu, seperti halnya alamat IP. Sementara itu, bridge jaringan berjalan pada lapisan kedua pada model OSI (lapisan data-link), dan menggunakan skema pengalamatan yang digunakan pada lapisan itu, yakni MAC address.
Sedangkan Bridge, sebaiknya digunakan untuk menghubungkan segmen-segmen jaringan yang menjalankan protokol jaringan yang sama (sebagai contoh: segmen jaringan berbasis IP dengan segmen jaringan IP lainnya). Selain itu, bridge juga dapat digunakan ketika di dalam jaringan terdapat protokol-protokol yang tidak bisa melakukan routing, seperti halnya NetBEUI. Sementara itu, router sebaiknya digunakan untuk menghubungkan segmen-segmen jaringan yang menjalankan protokol jaringan yang berebeda (seperti halnya untuk menghubungkan segmen jaringan IP dengan segmen jaringan IPX.) Secara umum, router lebih cerdas dibandingkan dengan bridge jaringan dan dapat meningkatkan bandwidth jaringan, mengingat router tidak meneruskan paket broadcast ke jaringan yang dituju. Dan, penggunaan router yang paling sering dilakukan adalah ketika kita hendak menghubungkan jaringan kita ke internet.

7. Identifikasi Lapisan Network

7. Identifikasi Lapisan Network

A. IP Address

Alamat IP (Internet Protocol Address atau sering disingkat IP) adalah deretan angka biner antara 32 bit sampai 128 bit yang dipakai sebagai alamat identifikasi untuk tiap komputer host dalam jaringan Internet. Panjang dari angka ini adalah 32 bit (untuk IPv4 atau IP versi 4), dan 128 bit (untuk IPv6 atau IP versi 6) yang menunjukkan alamat dari komputer tersebut pada jaringan Internet berbasis TCP/IP.
Sistem pengalamatan IP ini terbagi menjadi dua, yakni:

• IP versi 4 (IPv4)
• IP versi 6 (IPv6)

Perbandingan alamat IP versi 4 dan alamat IP versi 6

Kriteria	Alamat IP versi 4	Alamat IP versi 6
Panjang alamat	32 bit	128 bit
Jumlah total host (teoritis)	232=±4 miliar host	2128
Menggunakan kelas alamat	Ya, kelas A, B, C, D, dan E. Belakangan tidak digunakan lagi, mengingat telah tidak relevan dengan perkembangan jaringan Internet yang pesat.	Tidak
Alamat multicast	Kelas D, yaitu 224.0.0.0/4	Alamat multicast IPv6, yaitu FF00:/8
Alamat broadcast	Ada	Tidak ada
Alamat yang belum ditentukan	0.0.0.0	::
Alamat loopback	127.0.0.1	::1
Alamat IP publik	Alamat IP publik IPv4, yang ditetapkan oleh otoritas Internet (IANA)	Alamat IPv6 unicast global
Alamat IP pribadi	Alamat IP pribadi IPv4, yang ditetapkan oleh otoritas Internet	Alamat IPv6 unicast site-local (FEC0::/48)
Konfigurasi alamat otomatis	Ya (APIPA)	Alamat IPv6 unicast link-local (FE80::/64)
Representasi tekstual	Dotted decimal format notation	Colon hexadecimal format notation
Fungsi Prefiks	Subnet mask atau panjang prefiks	Panjang prefiks
Resolusi alamat DNS	A Resource Record (Single A)	AAAA Resource Record (Quad A)

6. Identifikasi Lapisan DataLink

6. Identifikasi Lapisan DataLink

A. ARP/Rarp

ARP dan RARP 

Address Resolution Protocol (ARP) dan Reverse Address Resolution Protocol (RARP) menggunakan alamat fisik unicast dan broadcast. Sebagai contoh Ethernet akan menggunakan alamat FFFFFFFFFFFF16 sebagai alamat broadcast. Sesungguhnya ARP dan RARP adalah proses pemetaan alamat fisik (Physical Address) seperti alamat NIC yang berasosiasi kepada logical address (alamat IP) atau sebaliknya.

Address Resolution Protocol (ARP)

ARP berasosiasi antara alamat fisik dan alamat IP. Pada LAN, setiap device, host, station dll diidentifikasi dalam bentuk alamat fisik yang didapat dari NIC.

Setiap host atau router yang ingin mengetahui alamat fisik daripada host atau router yang terletak dalam jaringan lokal yang sama akan mengirim paket query ARP secara broadcast, sehingga seluruh host atau router yang berada pada jaringan lokal akan menerima paket query tersebut. Kemudain setiap router atau host yang menerima paket query dari salah satu host atau router yang mengirim maka akan diproses hanya oleh host atau router yang memiliki IP yang terdapat dalam paket query ARP. Host yang menerima respons akan mengirm balik kepada pengirim query yang berisi paket berupa informasi alamat IP dan alamat fisik. Paket ini balik (reply ini sifatnya unicast. Lihat Gambar berikut).

Format Paket

Pada gambar dibawah memperlihatkan format paket ARP.

·         Hardware Type : adalah tipe hardware/perangkat keras. Banyak bit dalam field ini adlah 16 bit. Sebagai contoh untuk Ethernet mempunyai tipe 1.

·         Protocol Type : adalah tipe protokol di mana banyaknya bit dalam field ini 16 bit. Contohnya, untuk protokol IPv4 adalah 080016.

·         Hardware Length : field berisi 8 bit yang mendefinisikan panjang alamat fisik. Contohnya, untuk Ethernet, panjang alamat fisik adalah 6 byte.

·         Protocol Length : field berisi 8 bit yang mendefinisikan panjang alamat logika dalam satuan byte. Contoh : untuk protokol IPv4 panjangnya adalah 4 byte.

·         Operation Request & Reply: field berisi 16 bit ini mendefinisikan jenis paket untuk ARP apakah itu berjenis ARP request atau ARP reply.

·         Sender Hardware Address : banyaknya field adalah variabel yang mendefinisikan alamat fisik dari pengirim. Untuk Ethernet panjang nya 6 byte.

·         Sender Protocol Address : field ini panjangnya juga variabel dan untuk mendefiniskan alamat logika (alamat IP) dari pengirim.

·         Target Hardware Address : field ini panjangnya juga variabel yang mendefiniskan alamat fisik daripada target. Pada paket ARP request, field ini isinya 0 semua.

·         Target Protocol Address : field ini panjangnya juga variabel dan mendefinisikan alamat logika (IP) dari target.

Enkapsulasi (pembungkusan)

Sebuah paket ARP dienkapsulasi langsung ke frame data link. Lihat Gambar berikut.

Reverse Address Resolution Protocol (RARP)

Sesungguhnya RARP didisain untuk memecahkan masalah mapping alamat dalam sebuah mesin/komputer di mana mesin/komputer mengetahui alamat fisiknya namun tidak mengetahui alamat logikanya. Cara kerja RARP ini terjadi pada saat mesin seperti komputer atau router yang baru bergabung dalam jaringan lokal, kebanyakan tipe mesin yang menerapkan RARP adalah mesin yang diskless, atau tidak mempunyai aplikasi program dalam disk. RARP kemudian memberikan request secara broadcast di jaringan lokal. Mesin yang lain pada jaringan lokal yang mengetahui semua seluruh alamat IP akan akan meresponsnya dengan RARP reply secara unicast. Sebagai catatan, mesin yang merequest harus menjalankan program klien RARP, sedangkan mesin yang merespons harus menjalankan program server RARP. Lihat Gambar berikut.

Format Paket

Format Paket RARP persis sama dengan format paket ARP.

Enkapsulasi (pembungkusan)

Paket RARP dibungkus secara langsung ke dalam frame data link, formatnya sama dengan enkapsulasi pada paket ARP,

sumber

http://ecgalery.blogspot.com/2010/07/definisi-arp-dan-rarp.ht

B.Metode akses

Media Access Control

Dari Wikipedia bahasa Indonesia, ensiklopedia bebas

Media Access Control adalah sebuah metode untuk mentransmisikan sinyal yang dimiliki oleh node-node yang terhubung ke jaringan tanpa terjadi konflik.
Ketika dua komputer meletakkan sinyal di atas media jaringan (sebagai contoh: kabel jaringan) secara simultan (berbarengan), maka kondisi yang disebut sebagai "collision" (tabrakan) akan terjadi yang akan mengakibatkan data yang ditransmisikan akan hilang atau rusak. Solusi untuk masalah ini adalah dengan menyediakan metode akses media jaringan, yang bertindak sebagai "lampu lalu lintas" yang mengizinkan aliran data dalam jaringan atau mencegah adanya aliran data untuk mencegah adanya kondisi collision.

Jenis-jenis Metode Media Access Control

Metode media akses control diimplementasikan di dalam lapisan data-link pada tujuh lapisan model referensi OSI. Secara spesifik, metode ini bahkan diimplementasikan dalam lapisan khusus di dalam lapisan data link, yakni Media Access Control Sublayer, selain tentunya Logical Link Control Sublayer. Ada empat buah metode media access control yang digunakan dalam jaringan lokal, yakni:

• Carrier Sense Multiple Access with Collision Detection (CSMA/CD): metode ini digunakan di dalam jaringan Ethernet half-duplex (jaringan Ethernet full-duplex menggunakan switched media ketimbang menggunakan shared media sehingga tidak membutuhkan metode ini). CSMA/CD merupakan metode akses jaringan yang paling populer digunakan di dalam jaringan lokal, jika dibandingkan dengan teknologi metode akses jaringan lainnya. CSMA/CD didefinisikan dalam spesifikasi IEEE 802.3 yang dirilis oleh Institute of Electrical and Electronic Engineers (IEEE).
• Carrier Sense Multiple Access with Collision Avoidance (CSMA/CA): metode ini digunakan di dalam jaringan dengan teknologi AppleTalk dan beberapa bentuk jaringan nirkabel (wireless network), seperti halnya IEEE 802.11a, IEEE 802.11b, serta IEEE 802.11g. Untuk AppleTalk, CSMA/CA didefinisikan dalam spesifikasi IEEE 802.3, sementara untuk jaringan nirkabel didefinisikan dalam IEEE 802.11.
• Token passing: metode ini digunakan di dalam jaringan dengan teknologi Token Ring dan Fiber Distributed Data Interface (FDDI). Standar Token Ring didefinisikan di dalam spesifikasi IEEE 802.5, sementara FDDI didefinisikan oleh American National Standards Institute (ANSI).
• Demand priority: digunakan di dalam jaringan dengan teknologi 100VG-AnyLAN dan didefinisikan dalam standar IEEE 802.12.

Dalam implementasi jaringan, beberapa perangakat pendukung jaringan semacam network interface card, switch, atau router, metode media access control diimplementasikan dengan menggunakan MAC algorithm (algoritma MAC). Meskipun algoritma MAC untuk Ethernet dan Token Ring telah didefinisikan oleh standar IEEE dan tersedia untuk publik, beberapa algoritma MAC untuk Ethernet full-duplex dipatenkan oleh perusahaan pembuatnya dan seringnya telah ditulis secara hard-code ke dalam chip Application specific integrated circuit (ASIC) yang dimiliki oleh perangkat tersebut.