benlie72: MENGADMINISTRASI SERVER DALAM JARINGAN

MENGADMINISTRASI SERVER DALAM JARINGAN

Peran dari suatu TI ( Teknologi Informasi) Profesional.
Jaringan sudah tidak lagi menjadi suatu kemewahan, tetapi sudah menjadi suatu kebutuhan untuk menjalankan suatu organisasi.
Perjalanan Evolusi Jaringan

Pengertian

Mengadministrasi server dalam jaringan adalah suatu bentuk pekerjaan yang dilakukan oleh administrator jaringan yang mempunyai tugas untuk membuat server, mengelola jaringan yang tersambung dengan server, memonitor jaringan, dan juga mengamankan transfer data dalam jaringan tersebut.

Langkah-langkah yang dilakukan administrator :

üMemilih aplikasi untuk server,

üMemilih sistem operasi untuk jaringan,

üMemilih komponen server,

üMenetapkan spesifikasi server,

üMembangun dan mengkonfigurasi server,

üMenguji server, Memonitor kinerja jaringan.

MEMILIH SISTEM OPERASI UNTUK JARINGAN

Sistem operasi yang sering digunakan dalam sebuah jaringan adalah Microsoft Windows, Linux, Unix, dan Apple Macintosh.

Namun untuk kali ini kita akan membuat sebuah jaringan server menggunakan sistem operasi LINUX,

Mengapa memilih sistem operasi linux ?

•Linux bersifat freeware/shareware,

•Kita tidak membutuhkan lisensi jika akan menginstall linux,

•Kita dapat menentukan aplikasi yang akan kita install pada server yang telah kita buat, dll.

URAIAN MATERI

Cara setup fungsi lambda AWS untuk berbicara dengan internet dan VPC

langkah-langkah untuk menyiapkan Lambda AWS untuk berbicara dengan internet dan VPC.

Jadi mungkin benar-benar tidak intuitif pada awalnya tapi fungsi lambda memiliki tiga negara bagian.

Tidak ada VPC, yang bisa berbicara secara terbuka ke web, namun tidak dapat berbicara dengan layanan AWS Anda.
VPC, pengaturan standar dimana fungsi lambda dapat berbicara dengan layanan AWS Anda namun tidak dapat berbicara dengan web.
VPC dengan NAT, Yang terbaik dari kedua dunia, layanan AWS dan web.

Aku akan memandu Anda melalui langkah-langkah untuk menyiapkan nomor 3 .

Catatan: Tutorial ini tidak sesuai urutan langkah, Anda mungkin perlu membuat satu hal (subnet, nat, tabel rute) lalu kembali ke pengaturan untuk sesuatu yang sebelumnya dibuat dan mengeditnya untuk menggunakan hal yang baru.

Membuat Subnet

Dasbor VPC> Subnet

Inilah yang harus saya mulai, vpc yang ada yang ingin saya hubungkan sudah memiliki 4 subnets . Di sini saya melihat saya memiliki beberapa subnet yang sudah disiapkan. Di bawah ini adalah ip palsu yang saya tarik dari internet. Tapi setingkat 16 di antaranya diciptakan kembali di sini.

Catatan: JANGAN gunakan 131.179.0.0/16 itu hanya sebuah contoh.

VPC	CIDR
vpc-████████ (131.179.0.0/16)	131.179.0.0/20
vpc-████████ (131.179.0.0/16)	131.179.16.0/20
vpc-████████ (131.179.0.0/16)	131.179.32.0/20
vpc-████████ (131.179.0.0/16)	131.179.48.0/20

Di sini saya membuat tiga empat subnets baru.

VPC	CIDR	nama
vpc-████████ (131.179.0.0/16)	131.179.64.0/20	lambda-subnet-point-to-nat-1
vpc-████████ (131.179.0.0/16)	131.179.80.0/20	lambda-subnet-point-to-nat-2
vpc-████████ (131.179.0.0/16)	131.179.96.0/20	lambda-subnet-point-to-nat-3
vpc-████████ (131.179.0.0/16)	131.179.112.0/20	lambda-subnet-point-to-igw

Catatan: Disini igw singkatan dari Internet Gateway dan nat singkatan dari network address translation gateway (NAT Gateway) .

Tiga dari mereka akan menunjuk ke nat dan satu menunjuk ke igw .

Mari buat Route Tables sekarang.

Membuat Tabel Rute

Dasbor VPC> Tabel Rute

Anda ingin menyiapkan dua Route Tables .

Salah satu yang menunjuk pada nat Anda, mari kita panggil lambda-rt-to-nat :

Tujuan	Target
131.179.0.0/16	lokal
0.0.0.0/0	nat-█████████████████

Salah satu yang menunjuk ke igw Anda mari kita sebut ini lambda-rt-to-igw :

Tujuan	Target
131.179.0.0/16	lokal
0.0.0.0/0	igw-████████

Anda akan ingin pergi ke masing-masing subnet dan menugaskan mereka ke route table sesuai.

nama subnet	nama tabel rute
lambda-subnet-point-to-nat-1	lambda-rt-to-nat
lambda-subnet-point-to-nat-2	lambda-rt-to-nat
lambda-subnet-point-to-nat-3	lambda-rt-to-nat
lambda-subnet-point-to-igw	lambda-rt-to-igw

Atur lambda Anda

Lambda> Fungsi> fungsi saya> Konfigurasi> Pengaturan lanjutan

Sekarang Anda ingin mengatur fungsi lambda Anda untuk menggunakan subnet yang Anda buat.

Setup lambda Anda untuk menggunakan VPC Anda.

VPC

vpc-████████ (131.179.0.0/16)

Di sini Anda mengatur lambda untuk menggunakan subnet yang mengarah langsung ke nat Anda.

Subnet *

nama subnet
lambda-subnet-point-to-nat-1
lambda-subnet-point-to-nat-2
lambda-subnet-point-to-nat-3

Buat NAT

Dasbor VPC> Gateway NAT> Buat Gateway NAT

Anda akan ingin klik Create NAT Gateway dan atur Subnet* ke lambda-subnet-point-to-igw , dan Create New EIP

Protokol Kontrol Perangkat yang Dijalankan oleh Internet Gateway Device ( IGD ) adalah protokol pemetaan port dalam penyiapan terjemahan alamat jaringan (NAT), yang didukung oleh sejumlah router NAT-enabled. ^[2] Ini adalah protokol komunikasi umum yang secara otomatis mengkonfigurasi port forwarding , dan merupakan bagian dari Standar ISO / IEC ^[3] daripada standar Internet

Aplikasi yang menggunakan jaringan peer-to-peer , multiplayer game , dan program bantuan jarak jauh membutuhkan cara untuk berkomunikasi melalui gerbang bisnis dan rumah. Tanpa IGD seseorang harus mengkonfigurasi gateway secara manual untuk memungkinkan lalu lintas melalui, sebuah proses yang rawan kesalahan dan memakan waktu. Universal Plug and Play (UPnP) hadir dengan solusi untuk traversal terjemahan alamat jaringan ( NAT traversal ).

IGD mempermudah melakukan hal berikut:

Pelajari alamat IP publik (eksternal)
Meminta alamat IP publik baru ^[4]
Menghitung pemetaan port yang ada
Tambahkan dan hapus pemetaan port
Tetapkan waktu sewa untuk pemetaan

Host dapat memungkinkan untuk mencari perangkat yang tersedia di jaringan melalui Simple Service Discovery Protocol (SSDP) yang dapat dikendalikan kemudian dengan bantuan protokol jaringan sebagai SOAP . Permohonan permintaan dikirim melalui HTTP dan port 1900 ke alamat multicast 239.255.255.250:

M-SEARCH * HTTP / 1.1

Host: 239.255.255.250: 1900

ST: urn: schemas-upnp-org: perangkat: InternetGatewayDevice: 1

Man: "ssdp: temukan"

MX: 3

Risiko keamanan

Dengan bantuan scripting pada halaman web risiko dan bahaya baru dapat juga disebabkan oleh protokol IGD, dengan asumsi bahwa perubahan konfigurasi pada perangkat gateway telah diizinkan. Dengan demikian memungkinkan untuk membawa komputer atau jaringan keseluruhan berada di bawah kendali pengguna asing. Hal ini sering terjadi dengan niat kriminal. ^[5] Banyak DSL- Router , seperti FRITZ! Box , yang umum di Eropa, mendukung prosedur ini; perubahan konfigurasi sebagian besar masih harus dikeluarkan oleh pengguna khususnya melalui antarmuka web , asalkan akses ke perangkat dilindungi dengan menggunakan kata sandi

Network Address Translation (NAT)

Network Address Translation (NAT) adalah suatu metoda pokok yang memungkinkan komputer yang mempunyai address yang tidak terdaftar atau komputer yang menggunakan address private, untuk bisa mengakses Internet. Ingat pada diskusi IP address sebelumnya bahwa IP address private tidak bisa di route ke internet (non-routed), hanya dipakai pada jaringan internal yang berada pada range berikut:

Class Type	Start Address	End Address
Class A	10.0.0.0	10.255.255.254
Class B	172.16.0.0	172.31.255.254
Class C	192.168.0.0	192.168.255.254

Untuk setiap paket yang dihasilkan oleh client, implementasi Network Address Translation (NAT) menggantikan IP address yang terdaftar kepada IP address client yang tidak terdaftar. Ada tiga macam jenis dasar Network Address Translation (NAT):

A. Ada tiga jenis TIPE dasar Network Address Translation (NAT):

Static NAT

Network Address Translation (NAT) menterjemahkan sejumlah IP address tidak terdaftar menjadi sejumlah IP address yang terdaftar sehingga setiap client dipetakkan kepada IP address terdaftar yang dengan jumlah yang sama NAT Static Jenis NAT ini merupakan pemborosan IP address terdaftar, karena setiap IP address yang tidak terdaftar (un-registered IP) dipetakan kepada satu IP address terdaftar. Static NAT ini juga tidak seaman jenis NAT lainnya, karena setiap komputer secara permanen diasosiasikan kepada address terdaftar tertentu, sehingga memberikan kesempatan kepada para penyusup dari Internet untuk menuju langsung kepada komputer gtertentu pada jaringan private anda menggunakan address terdaftar tersebut.

DynamicNAT

Dynamic Network Address Translation dimaksudkan untuk suatu keadaan dimana anda mempunyai IP address terdaftar yang lebih sedikit dari jumlah IP address un-registered. Dynamic NAT menterjemahkan setiap komputer dengan IP tak terdaftar kepada salah satu IP address terdaftar untuk connect ke internet. Hal ini agak menyulitkan para penyusup untuk menembus komputer didalam jaringan anda karena IP address terdaftar yang diasosiasikan ke komputer selalu berubah secara dinamis, tidak seperti pada NAT statis yang dipetakan sama. Kekurangan utama dari dynamis NAT ini adalah bahwa jika jumlah IP address terdaftar sudah terpakai semuanya, maka untuk komputer yang berusaha connect ke Internet tidak lagi bisa karena IP address terdaftar sudah terpakai semuanya.

Masquerading NAT

Masquerading NAT ini menterjemahkan semua IP address tak terdaftar pada jaringan anda dipetakan kepada satu IP address terdaftar. Agar banyak client bisa mengakses Internet secara bersamaan, router NAT menggunakan nomor port untuk bisa membedakan antara paket-2 yang dihasilkan oleh atau ditujukan komputer-2 yang berbeda. Solusi Masquerading ini memberikan keamanan paling bagus dari jenis-2 NAT sebelumnya, kenapa? Karena asosiasi antara client dengan IP tak terdaftar dengan kombinasi IP address terdaftar dan nomor port didalam router NAT hanya berlangsung sesaat terjadi satu kesempatan koneksi saja, setelah itu dilepas.

a). NAT Masquerading

Keamanan NAT Kebanyakan implementasi NAT sekarang ini mengandalkan pada teknik jenis Masquerading NAT karena meminimalkan jumlah kebutuhan akan IP address terdaftar dan memaksimalkan keamanan yang diberikan olen Network Address Translation (NAT). Akan tetapi perlu dicatat bahwa NAT itu sendiri, walau memakai jenis NAT yang paling aman – Masquerading, bukanlah suatu firewall yang sebenarnya dan tidak memberikan suatu perisai besi keamanan untuk suatu situasi yang beresiko tinggi. NAT pada dasarnya hanya memblokir tamu tak diundang (unsolicited request) dan semua usaha penjajagan atau usaha scanning dari internet, yang berarti suatu pencegahan dari usaha para penyusup untuk mencari file share yang tidak di proteksi atau private Web ataupun FTP server. Akan tetapi, NAT tidak bisa mencegah user di Internet untuk meluncurkan suatu usaha serangan DoS (Denial of Services) terhadap komputer yang ada di jaringan private anda. Ataupun tidak bisa mencegah usaha-2 lain dengan teknik yang lebih kompleks untuk melakukan kompromi jaringan.

B. Macam-Macam NAT.

1. Full cone NAT

2. Restricted cone NAT

3. Port restricted cone NAT

4. Symmetric NAT

C. Alasan menggunakan NAT dalam jaringan :
1. Menghemat IP legal yang diberikan oleh ISP (Internet service provider)
2.  Mengurangi terjadinya duplikasi IP address pada jaringan
3.  Menghindari proses pengalamatan kembali pada saat jaringan berubah
4.  Meningkatkan fleksibilitas untuk koneksi ke internet

D. Fungsi Network Address Translation

NAT merupakan perpindahan suatu alamat ip ke alamat ip lain. Ada dua macam NAT yaitu

dnat (destination network address translation)

digunakan untuk meneruskan (redirect) paket dari ip publik melalui firewall ke dalam suatu host misalnya dalam DMZ.
dnat hanya bekerja untuk tabel nat.tabel NAT berisi 3 bagian yang disebut “chain” setiap aturan akan diperiksa secara berurutan sampai ada satu yang tepat. kedua chain disebut PREROUTING dan POSTROUTING dan yang ke 3 OUTPUT atau chain buatan yang di panggil oleh kedua chain tersebut.

snat (source network address translation)

dipergunakan untuk merubah source address dari suatu paket data. target ini berlaku hanya pada kolom postrouting dan hanya disinilah snat bisa di lakukan sebagai contoh penggunaan snat pada gateway internet.

E. Mekanisme NAT

Sebuah paket TCP terdiri dari header dan data. Header memiliki sejumlah field di dalamnya, salah satu field yang penting di sini adalah MAC (Media Access Control) address asal dan tujuan, IP address asal dan tujuan, dan nomor port asal dan tujuan.

Saat mesin A menghubungi mesin B, header paket berisi IP A sebagai IP address asal dan IP B sebagai IP address tujuan. Header ini juga berisi nomor port asal (biasanya dipilih oleh mesin pengirim dari sekumpulan nomor port) dan nomor port tujuan yang spesifik, misalnya port 80 (untuk web).

Kemudian B menerima paket pada port 80 dan memilih nomor port balasan untuk digunakan sebagai nomor port asal menggantikan port 80 tadi. Mesin B lalu membalik IP address asal & tujuan dan nomor port asal & tujuan dalam header paket. Sehingga keadaan sekarang IP B adalah IP address asal dan IP A adalah IP address tujuan. Kemudian B mengirim paket itu kembali ke A. Selama session terbuka, paket data hilir mudik menggunakan nomor port yang dipilih.

NAT juga bekerja atas dasar ini. Dimulai dengan membuat tabel translasi internal untuk semua IP address jaringan internal yang mengirim paket melewatinya. Lalu men-set tabel nomor port yang akan digunakan oleh IP address yang valid. Ketika paket dari jaringan internal dikirim ke Natd untuk disampaikan keluar, Natdmelakukan hal-hal sebagai berikut:

Mencatat IP address dan port asal dalam tabel translasi
Menggantikan nomor IP asal paket dengan nomor IP dirinya yang valid
Menetapkan nomor port khusus untuk paket yang dikirim keluar, memasukkannya dalam tabel translasi dan menggantikan nomor port asal tersebut dengan nomor port khusus ini.

F. Keuntungan Dan Kerugian Menggunakan Network Address Translation

Keuntungan penggunaan NAT, antara lain :

Menghemat alamat IP legal yang ditetapkan oleh NIC atau service provider
Mengurangi terjadinya duplikat alamat jaringan
Meningkatkan fleksibilitas untuk koneksi ke internet
Menghindarkan proses pengalamatan kembali (readdressing) pada saat jaringan berubah
Meningkatkan keamanan sebuah jaringan.
Memberikan keluwesan dan performa dibandingkan aplikasi alternatif setingkat proxy.

Kerugian penggunaan NAT, antara lain :

Translasi menimbulkan delay switching
Menghilangkan kemampuan trace (traceability) end to end IP
Aplikasi tertentu tidak dapat berjalan jika menggunakan NAT, khususnya NAT yang menggunakan software

Konfigurasi NAT pada Cisco Router

Set ip address untuk WAN
R1#conf t
R1(config)#int f0/0
R1(config-if)#ip add 192.168.137.2 255.255.255.0
R1(config-if)#ip nat outside
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#

Set ip address untuk LAN
R1(config)#int f1/0
R1(config-if)#ip add 10.1.1.1 255.255.255.248
R1(config-if)#ip nat inside
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#

Set default gateway dan NAT
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.137.1
R1(config)#ip nat inside source list 1 int f0/0 overload

Konfigurasi pada Register Cisco

R1#show run
Building configuration…
interface FastEthernet0/0
ip address 192.168.137.2 255.255.255.0
ip nat outside
duplex auto
speed auto
interface FastEthernet1/0
no ip address 10.1.1.1 255.255.255.248
ip nat inside
shutdown
duplex auto
speed auto
!
ip nat inside source list 1 interface FastEthernet0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.137.1
no ip http server
!
access-list 1 permit 10.1.1.0 0.0.0.7
……

Test Koneksi Internet

R1#ping google.com
Translating “google.com”…domain server (255.255.255.255) [OK]

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 74.125.200.138, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 80/82/92 ms
R1#.

URAIAN MATERI

Server proxy adalah komputer khusus atau sistem perangkat lunak yang berjalan pada komputer yang bertindak sebagai perantara antara perangkat endpoint, seperti komputer, dan server lain dari tempat pengguna atau klien meminta layanan. Server proxy mungkin ada di mesin yang sama dengan server firewall atau server terpisah, yang meneruskan permintaan melalui firewall .

Keuntungan dari server proxy adalah cachenya bisa melayani semua pengguna. Jika satu atau beberapa situs Internet sering diminta, kemungkinan ini akan berada di cache proxy, yang akan meningkatkan waktu respons pengguna. Proxy juga bisa mencatat interaksinya, yang bisa membantu pemecahan masalah .

Berikut adalah contoh sederhana bagaimana kerja server proxy :
Saat server proxy menerima permintaan sumber daya Internet (seperti halaman Web), server proxy tersebut mencari cache lokal dari halaman sebelumnya. Jika menemukan halaman, ia mengembalikannya ke pengguna tanpa perlu meneruskan permintaan ke Internet. Jika halaman tidak berada dalam cache, server proxy, yang bertindak sebagai klien atas nama pengguna, menggunakan salah satu alamat IP -nya sendiri untuk meminta halaman tersebut keluar dari server di Internet. Saat halaman dikembalikan, server proxy menghubungkannya dengan permintaan asli dan meneruskannya ke pengguna.

Server proxy digunakan untuk tujuan legal dan ilegal. Di perusahaan, server proxy digunakan untuk memudahkan keamanan, administrasi kontrol atau layanan caching , antara lain. Dalam konteks komputasi personal, server proxy digunakan untuk memungkinkan privasi pengguna dan anonim berselancar . Server proxy juga dapat digunakan untuk tujuan yang berlawanan: Untuk memantau lalu lintas dan melemahkan privasi pengguna.

Bagi pengguna, server proxy tidak terlihat; Semua permintaan Internet dan tanggapan yang dikembalikan tampaknya langsung dilakukan dengan server Internet yang dialamatkan. (Proxy sebenarnya tidak terlihat; alamat IP-nya harus ditentukan sebagai opsi konfigurasi ke browser atau program protokol lainnya.)

Pengguna dapat mengakses proxy web secara online atau mengkonfigurasi browser web untuk terus menggunakan server proxy. Setelan browser mencakup opsi yang terdeteksi dan manual secara otomatis untuk proxy HTTP , SSL , FTP , dan SOCKS . Proxy server dapat melayani banyak pengguna atau hanya satu per server. Opsi ini disebut shared dan dedicated proxy. Ada sejumlah alasan untuk proxy dan dengan demikian sejumlah jenis server proxy, sering dalam kategori yang tumpang tindih.

Server proxy maju dan mundur

Proxy forward mengirim permintaan klien dan seterusnya ke server web. Pengguna mengakses proxy ke depan dengan langsung berselancar ke alamat proxy web atau dengan mengonfigurasi setelan Internet mereka. Proxy forward memungkinkan pengelakan firewall dan meningkatkan privasi dan keamanan bagi pengguna namun terkadang dapat digunakan untuk mendownload materi ilegal seperti materi berhak cipta atau pornografi anak.

Proxy reverse secara transparan menangani semua permintaan sumber daya pada server tujuan tanpa memerlukan tindakan dari pihak pemohon.

Proxy reverse digunakan:

Untuk mengaktifkan akses tidak langsung saat sebuah situs web melarang koneksi langsung sebagai tindakan pengamanan.
Untuk memungkinkan load balancing antara severs.
Untuk mengalirkan konten internal ke pengguna Internet.
Untuk menonaktifkan akses ke situs, misalnya saat ISP atau pemerintah ingin memblokir situs web.

Situs mungkin diblokir karena alasan yang lebih atau kurang sah. Proxy terbalik dapat digunakan untuk mencegah akses terhadap konten tidak bermoral, ilegal, atau berhak cipta. Terkadang alasan ini bisa dibenarkan tapi terkadang pembenarannya meragukan. Proxy reverse terkadang mencegah akses situs berita dimana pengguna bisa melihat informasi yang bocor. Mereka juga dapat mencegah pengguna mengakses situs tempat mereka dapat mengungkapkan informasi tentang tindakan pemerintah atau industri. Memblokir akses ke situs web semacam itu mungkin melanggar hak kebebasan berbicara.

Lebih banyak jenis proxy

Proxy transparan biasanya ditemukan di dekat pintu keluar jaringan perusahaan. Proxy ini memusatkan lalu lintas jaringan. Pada jaringan perusahaan, server proxy dikaitkan dengan - atau merupakan bagian dari - server gateway yang memisahkan jaringan dari jaringan eksternal (biasanya Internet) dan firewall yang melindungi jaringan dari intrusi luar dan memungkinkan data dipindai tujuan keamanan sebelum dikirim ke klien di jaringan. Proxy ini membantu memantau dan mengelola lalu lintas jaringan karena komputer di jaringan perusahaan biasanya merupakan perangkat yang aman yang tidak memerlukan anonimitas untuk tugas biasa.

Proxy anonim menyembunyikan alamat IP dari klien yang menggunakannya memungkinkan untuk mengakses materi yang diblokir oleh firewall atau untuk menghindari larangan alamat IP. Mereka dapat digunakan untuk meningkatkan privasi dan / atau perlindungan dari serangan.

Proxy sangat anonim menyembunyikan bahkan kenyataan bahwa mereka digunakan oleh klien dan menyajikan alamat IP publik non-proxy. Jadi, bukan hanya menyembunyikan alamat IP klien yang menggunakannya, mereka juga mengizinkan akses ke situs yang mungkin memblokir server proxy. Contoh proxy yang sangat anonim termasuk I2P dan TOR .

Proxy Socks 4 dan 5 menyediakan layanan proxy untuk data UDP dan DNS mencari operasi selain lalu lintas Web. Beberapa server proxy menawarkan protokol Socks.

DNS proxy meneruskan permintaan nama domain (DNS) dari LAN ke server DNS Internet saat caching untuk kecepatan yang lebih tinggi.

Hacking proxy

Dalam peretasan proxy , penyerang mencoba mencuri klik dari laman web otentik di halaman indeks mesin pencari dan hasil pencarian. Hacker proxy akan memiliki situs palsu yang meniru yang asli atau apa pun yang mereka inginkan untuk menunjukkan kepada klien yang meminta halaman tersebut.

Begini cara kerjanya: Penyerang membuat salinan dari halaman web yang ditargetkan pada server proxy dan menggunakan metode seperti isian kata kunci dan menautkan ke halaman yang disalin dari situs eksternal untuk menghasilkan peringkat mesin pencari secara artifisial. Laman asli akan diberi peringkat lebih rendah dan dapat dilihat sebagai konten duplikat, sehingga mesin pencari dapat menghapusnya dari indeksnya.

Bentuk hacking ini juga bisa digunakan untuk mengantarkan halaman dengan maksud jahat. Proxy hacking dapat mengarahkan pengguna ke situs perbankan palsu, misalnya untuk mencuri info akun yang kemudian bisa dijual atau digunakan untuk mencuri dana dari akun. Penyerang juga dapat menggunakan peretas untuk mengarahkan pengguna ke situs yang terinfeksi malware untuk kompromi mesin mereka untuk berbagai tujuan jahat.

Beberapa cara telah dikembangkan untuk mengkompromikan kemampuan proxy. Aplikasi Flash dan Java yang dibuat khusus, Javascript , Active X dan beberapa plugin browser lainnya dapat digunakan untuk mengungkapkan identitas pengguna proxy, sehingga proxy tidak boleh digunakan di situs yang tidak tepercaya atau di mana saja anonimitas itu penting.

Pemilik situs web yang menduga mereka telah menjadi korban proxy hack dapat menguji teori tersebut dengan mencari frasa yang hampir dapat dikenali secara unik ke situs tersebut. Situs mereka harus menonjol di halaman hasil mesin pencari (SERP). Jika situs kedua dengan konten yang sama muncul, ini mungkin halaman proxy.

Keamanan server proxy

Server proxy dalam banyak bentuk meningkatkan keamanan namun seperti banyak hal dalam komputasi mungkin rentan terhadap dirinya sendiri. Untuk mencegah serangan DoS dan gangguan jaringan, administrator harus selalu memperbarui perangkat lunak, menggunakan load balancing, menegakkan otorisasi dan otentikasi yang aman dan memblokir lalu lintas yang tidak diminta, proxy berbahaya dan terbuka.

Latihan soal

1. Apakah yang dimaksud proxy server?

2. Apakah keuntungan proxy server?

3. Bagaimanakah cara proxy server meningkatkan keamanan untuk mencegah serangan DoS?

4. Bagaimana cara menghack server proxy?

5. Sebutkan jenis jenis proxy!

Jawaban

1. Komputer khusus atau sistem perangkat lunak yang berjalan pada komputer yang bertindak sebagai perantara antara perangkat endpoint, seperti komputer, dan server lain dari tempat pengguna atau klien meminta layanan. Server proxy mungkin ada di mesin yang sama dengan server firewall atau server terpisah, yang meneruskan permintaan melalui firewall .

2. Cachenya bisa melayani semua pengguna

3. Administrator harus selalu memperbarui perangkat lunak, menggunakan load balancing, menegakkan otorisasi dan otentikasi yang aman dan memblokir lalu lintas yang tidak diminta, proxy berbahaya dan terbuka.

4. Penyerang membuat salinan dari halaman web yang ditargetkan pada server proxy dan menggunakan metode seperti isian kata kunci dan menautkan ke halaman yang disalin dari situs eksternal untuk menghasilkan peringkat mesin pencari secara artifisial. Laman asli akan diberi peringkat lebih rendah dan dapat dilihat sebagai konten duplikat, sehingga mesin pencari dapat menghapusnya dari indeksnya.

5. Proxy transparan, proxy anonym, proxy sangat anonim

URAIAN MATERI

Berikut adalah contoh sederhana bagaimana kerja server proxy :

Saat server proxy menerima permintaan sumber daya Internet (seperti halaman Web), server proxy tersebut mencari cache lokal dari halaman sebelumnya. Jika menemukan halaman, ia mengembalikannya ke pengguna tanpa perlu meneruskan permintaan ke Internet. Jika halaman tidak berada dalam cache, server proxy, yang bertindak sebagai klien atas nama pengguna, menggunakan salah satu alamat IP -nya sendiri untuk meminta halaman tersebut keluar dari server di Internet. Saat halaman dikembalikan, server proxy menghubungkannya dengan permintaan asli dan meneruskannya ke pengguna.

Server proxy maju dan mundur

Proxy reverse secara transparan menangani semua permintaan sumber daya pada server tujuan tanpa memerlukan tindakan dari pihak pemohon.

Proxy reverse digunakan:

Untuk mengaktifkan akses tidak langsung saat sebuah situs web melarang koneksi langsung sebagai tindakan pengamanan.
Untuk memungkinkan load balancing antara severs.
Untuk mengalirkan konten internal ke pengguna Internet.
Untuk menonaktifkan akses ke situs, misalnya saat ISP atau pemerintah ingin memblokir situs web.

Lebih banyak jenis proxy

Proxy Socks 4 dan 5 menyediakan layanan proxy untuk data UDP dan DNS mencari operasi selain lalu lintas Web. Beberapa server proxy menawarkan protokol Socks.

DNS proxy meneruskan permintaan nama domain (DNS) dari LAN ke server DNS Internet saat caching untuk kecepatan yang lebih tinggi.

Hacking proxy

Keamanan server proxy

URAIAN MATERI

Berikut adalah contoh sederhana bagaimana kerja server proxy :

Server proxy maju dan mundur

Proxy reverse secara transparan menangani semua permintaan sumber daya pada server tujuan tanpa memerlukan tindakan dari pihak pemohon.

Proxy reverse digunakan:

· Untuk mengaktifkan akses tidak langsung saat sebuah situs web melarang koneksi langsung sebagai tindakan pengamanan.

· Untuk memungkinkan load balancing antara severs.

· Untuk mengalirkan konten internal ke pengguna Internet.

· Untuk menonaktifkan akses ke situs, misalnya saat ISP atau pemerintah ingin memblokir situs web.

Lebih banyak jenis proxy

Proxy Socks 4 dan 5 menyediakan layanan proxy untuk data UDP dan DNS mencari operasi selain lalu lintas Web. Beberapa server proxy menawarkan protokol Socks.

DNS proxy meneruskan permintaan nama domain (DNS) dari LAN ke server DNS Internet saat caching untuk kecepatan yang lebih tinggi.

Hacking proxy

Keamanan server proxy

Uraian Materi

Manajemen Bandwidth adalah teknik manajemen trafik jaringan komputer untuk pengaturan bandwidth sesuai profil yang diinginkan. Manajemen bandwidth digunakan untuk optimasi kinerja trafik jaringan, latency atau mengendalikan penggunaan bandwidth.

Ada 2 fitur pada MikroTik untuk bagaimana mengatur bandwidth pada MikroTik :

Simple Queue - dirancang untuk mempermudah mengatur bandwidth untuk alamat IP tertentu dan / atau subnet.
Queue Tree - Untuk implementasi manajemen bandwidth lanjutan, membutuhkan marking packet pada fitur Mangle ( /ip firewall mangle).

Mengatur Bandwidth Menggunakan Simple Queue

Simple Queue adalah fitur / fungsi pada MikroTik RouterOS untuk membagi bandwidth komputer client yang sederhana dan paling mudah. Yang dapat menentukan kecepatan download dan upload maksimum berdasarkan IP Address komputer client.

Contoh, kita akan menentukan kecepatan download dan upload maksimum untuk komputer yang mempunyai IP Address 192.168.0.6 sebesar : maksimum download 1mbps dan maksimum upload 512kbps. Di Winbox klik menu "Queue >> tab Simple Queues >> klik Add [+]

Parameter Simple Queue :

Name : isi dengan nama user/komputer
Target : isi ip address client yang ingin dibatasi. Parameter ini bisa diisi dengan :

Single IP (192.168.0.6)
Network IP (192.168.0.0/24) IP client dari 192.168.0.2-192.168.0.254
IP lebih dari 1 (192.168.0.6,192.168.0.7) klik tombol panah bawah kecil di sebelah kanan kotak isian untuk menambahkan IP.

Max Limit : [Target Upload] [Target Download] tentukan batasan bandwidth dengan memilih dengan klik drop down atau di ketik manual satuan bps (bit per second).
Dengan settingan seperti di atas, komputer client yang mempunyai IP address 192.168.0.6 akan mendapatkan maksimum kecepatan download 1mbps & upload 512kbps.

Mengatur Bandwidth Menggunakan Queue Tree

Pada Queue Tree implementasi manajemen bandwidth di mikrotik membutuhkan marking packet "matcher" pada fitur Mangle ( /ip firewall mangle). Jadi kita harus mendefinisikan sebuah koneksi terlebih dahulu dan menandainya (marking) agar bisa kita terapkan manajemen bandwidth untuk marking koneksi tersebut. Misalnya kita akan menandai koneksi/paket berdasarkan src-address (IP asal). Karena queueing pada Queue Tree mempunyai aliran paket secara satu arah. Jadi kita membuat marking untuk koneksi download & upload berdasarkan in-out interface gateway/internet, dan src-dst IP Address asal dan tujuan.

Dari angan-angan tersebut, pertama kita buat mark packet download & upload si boss terlebih dahulu. IP >> Firewall >> Mangle

/ip firewall mangle

add action=mark-packet chain=forward dst-address=192.168.0.3 in-interface=\

    pppoe-speedy log-prefix="" new-packet-mark=big_boss.down passthrough=no

add action=mark-packet chain=postrouting log-prefix="" new-packet-mark=big_boss.up \

    out-interface=pppoe-speedy passthrough=no src-address=192.168.0.3

Kedua, kita tandai paket download & upload komputer semua karyawan. IP >> Firewall >> Mangle

/ip firewall mangle

add action=mark-packet chain=prerouting in-interface=pppoe-speedy log-prefix="" \

    new-packet-mark=all_staff.down passthrough=no

add action=mark-packet chain=postrouting log-prefix="" new-packet-mark=all_staff.up \

    out-interface=pppoe-speedy passthrough=no

Untuk in-out interface pada contoh ini saya menggunakan interface "pppoe-speedy" karena gateway internet saya ada di interface tersebut.

Karena pada rules firewall mangle di mikrotik berlaku hirarki/urutan, jadi pada marking koneksi komputer karyawan saya tidak masukan lebih spesifik parameter src-address/dst-address nya. Karena pada baris 1 & 2 sudah ada marking untuk IP address si bos, jadi pada rules dibawahnya IP Address 192.168.0.3 akan diabaikan karena sudah diproses terlebih dahulu. Mikrotik akan menganggap pada mark packet "all_staff.up & all_staff.down " adalah paket koneksi download & upload semua IP Address selain 192.168.0.3.
Setelah kita menandai koneksi seperti diatas, marking tersebut akan kita gunakan untuk mengatur bandwidthnya pada Queue Tree.

Manajemen Bandwidth Berdasarkan Prioritas Trafik

Tehnik ke 4 ini adalah bagaimana menerapkan manajemen bandwidth berdasarkan prioritas trafik dengan identifikasi sebuah service/aplikasi jaringan.

Uraian Materi

Optimalisasi penggunaan bandwidth adalah salah satu kewajiban dari administrator jaringan di suatu institusi atau kantor. Penggunaan bandwidth haruslah diusahakan seoptimal mungkin, sehingga pemakaian internet oleh user dapat dikontrol dengan baik.

Bandwidth management dapat dilakukan dengan berbagai cara, mulai dari squid dengan delay_poolsnya yang cukup efektif untuk membatasi akses melalui http (port 80) dan kemudian penggunaan HTB yang dapat digunakan untuk mengontrol traffic untuk semua port.

Squid, selain berfungsi untuk bandwidth manajemen memungkinkan penggunanya untuk menghemat bandwidth internet. Squid berfungsi sebagai proxy server, sehingga halaman/file yang sudah diakses oleh pengguna yang menggunakan proxy server yang sama akan disimpan di dalam memory/harddisk. Sehingga ketika pengguna lain ingin mengakses halaman website/file yang sama. Proxy server tinggal memberikan data yang ada di dalam cachenya, sehingga tidak menggunakan koneksi internet lagi. Hal ini menguntungkan kedua belah pihak, karena pengguna akan mendapatkan halaman/file yang diinginkan lebih cepat (karena menggunakan koneksi lokal) dan bandwidth internet secara keseluruhan akan dihemat karena proxy server tidak lagi mengunduh data yang diinginkan pengguna dari internet.

Permasalahan selanjutnya adalah apabila proxy server dan bandwidth manajemen (HTB)berada dalam satu server yang sama. HTB yang dijalankan dalam satu server dengan proxy akan membatasi semua jenis koneksi yang berasal dari server, tidak perduli apakah traffic itu berasal dari internet atau berasal dari cache proxy. Konfigurasi seperti ini tidak efisien, karena seharusnya pengguna dapat mengunduh data yang terdapat di cache proxy dengan kecepatan penuh. Tanpa dibatasi oleh HTB.

Contoh:

Apabila bandwidth yang tersedia sebesar 512kbps dan dibagi untuk 4 client, masing-masing 128kbps. (Pembatasan dilakukan dengan menggunakan HTB)

Maka bandwidth maksimum yang didapatkan oleh client (pengguna) adalah 128kbps, ketika koneksi penuh. Tidak perduli apakah data yang diakses itu sudah berada di cache proxy atau tidak.

Yang kita inginkan adalah apabila data yang ingin diakes sudah berada di cache proxy, maka client tersebut harus dapat mengunduhnya dengan kecepatan LAN biasa (100mbps).

Solusi:

Ada beberapa macam solusi yang saya temukan untuk permasalahan ini.

1. Menggunakan Mikrotik <--> Squid with Tproxy (2 Box)

2. Menggunakan Squid with ZPH <--> Mikrotik (2 Box)

3. Menggunakan Squid with ZPH+HTB (1 Box)

Uraian Materi

Metode alternatif untuk load balancing, yang tidak memerlukan perangkat lunak atau perangkat keras khusus, disebut DNS round robin . Dalam teknik ini, beberapa alamat IP dikaitkan dengan satu nama domain tunggal; Klien diberi IP dalam mode round robin. IP ditugaskan ke klien untuk kuantum waktu.

Delegasi DNS

Teknik lain yang lebih efektif untuk load balancing menggunakan DNS adalah mendelegasikan www.example.org sebagai sub-domain yang zonanya dilayani oleh masing-masing server yang sama dengan yang melayani situs web. Teknik ini bekerja sangat baik dimana masing-masing server tersebar secara geografis di Internet. Sebagai contoh:

 one.example.org A 192.0.2.1

 two.example.org A 203.0.113.2

 www.example.org NS one.example.org

 www.example.org NS two.example.org

Namun, file zona untuk www.example.org di setiap server berbeda sehingga setiap server menyelesaikan IP Address-nya sendiri sebagai catatan-A. ^[2] Pada server satu file zona untuk laporan www.example.org :

 @ di 192.0.2.1

Pada server dua file zona yang sama berisi:

 @ di 203.0.113.2

Dengan cara ini, saat server sedang down, DNS-nya tidak akan merespons dan layanan web tidak menerima lalu lintas. Jika baris ke satu server macet, keandalan DNS yang tidak dapat diandalkan memastikan lalu lintas HTTP yang kurang sampai ke server tersebut. Selanjutnya, respons DNS tercepat terhadap penyelesai hampir selalu merupakan salah satu dari server jaringan terdekat, yang memastikan penyeimbangan beban geo-sensitif ^[^rujukan? ] . TTL singkat pada catatan A membantu memastikan lalu lintas dengan cepat dialihkan saat server turun. Pertimbangan harus diberikan kemungkinan bahwa teknik ini dapat menyebabkan klien individu beralih antar server individual pada pertengahan sesi.

Client-side random load balancing

Pendekatan lain untuk load balancing adalah dengan mengirimkan daftar IP server ke klien, dan kemudian meminta klien secara acak memilih IP dari daftar pada setiap koneksi. ^[3] ^[4] Hal ini pada dasarnya bergantung pada semua klien yang menghasilkan beban serupa, dan Hukum Bilangan Besar ^[4] untuk mencapai distribusi beban yang cukup datar di server. Telah diklaim bahwa penyeimbangan beban acak sisi klien cenderung memberikan distribusi beban lebih baik daripada DNS round-robin; Hal ini disebabkan oleh masalah caching dengan DNS round-robin, bahwa dalam kasus server caching DNS yang besar, cenderung mengurangi distribusi DNS round-robin, sementara pemilihan acak sisi klien tetap tidak terpengaruh terlepas dari caching DNS. [4]

Dengan pendekatan ini, metode penyampaian daftar IP ke klien dapat bervariasi, dan dapat diimplementasikan sebagai daftar DNS (dikirimkan ke semua klien tanpa round-robin), atau melalui hardcoding ke dalam daftar. Jika "klien pintar" digunakan, mendeteksi bahwa server yang dipilih secara acak sedang down dan terhubung secara acak lagi, namun juga memberikan toleransi kesalahan.

Balancer sisi server

Untuk layanan Internet, server-side load balancer biasanya merupakan program perangkat lunak yang sedang mendengarkan di port dimana klien eksternal terhubung ke layanan akses. Pengimbang beban ke depan mengajukan permintaan ke salah satu server "backend", yang biasanya menjawab penyeimbang beban. Hal ini memungkinkan penyeimbang beban untuk membalas klien tanpa klien yang pernah mengetahui tentang pemisahan fungsi internal. Ini juga mencegah klien menghubungi server back-end secara langsung, yang mungkin memiliki keuntungan keamanan dengan menyembunyikan struktur jaringan internal dan mencegah serangan pada tumpukan jaringan kernel atau layanan yang tidak terkait yang berjalan di port lain.

Beberapa balancers beban menyediakan mekanisme untuk melakukan sesuatu yang istimewa jika semua server backend tidak tersedia. Ini mungkin termasuk meneruskan ke penyeimbang beban cadangan, atau menampilkan pesan terkait pemadaman listrik.

Penting juga bahwa penyeimbang beban itu sendiri tidak menjadi satu titik kegagalan . Biasanya balancers beban diimplementasikan pada pasangan dengan ketersediaan tinggi yang juga dapat meniru data persistensi sesi jika diperlukan oleh aplikasi tertentu. [5]

Algoritma penjadwalan

Banyak algoritma penjadwalan , yang juga disebut metode load-balancing, digunakan oleh load balancers untuk menentukan server back-end mana yang akan mengirim permintaan. ^[6] Algoritma sederhana mencakup pilihan acak atau round robin . Penyeimbang beban yang lebih canggih dapat mempertimbangkan faktor tambahan, seperti beban yang dilaporkan oleh server, waktu respons yang paling rendah, status naik / turun (ditentukan oleh polling pemantau), jumlah koneksi aktif, lokasi geografis, kemampuan, atau berapa banyak lalu lintas yang baru saja ditugaskan

Kegigihan

Masalah penting saat mengoperasikan layanan dengan keseimbangan beban adalah bagaimana menangani informasi yang harus disimpan di beberapa permintaan dalam sesi pengguna. Jika informasi ini disimpan secara lokal pada satu server backend, maka permintaan berikutnya ke server backend yang berbeda tidak akan dapat menemukannya. Ini mungkin cache informasi yang dapat dihitung ulang, dalam hal ini load-balancing permintaan ke server backend yang berbeda hanya memperkenalkan masalah kinerja.

Idealnya, kumpulan server di balik penyeimbang beban harus disadari sesi, sehingga jika klien terhubung ke server backend setiap saat, pengalaman pengguna tidak terpengaruh. Hal ini biasanya dicapai dengan basis data bersama atau database sesi dalam memori, misalnya Memcached .

Salah satu solusi dasar untuk masalah data sesi adalah mengirim semua permintaan dalam sesi pengguna secara konsisten ke server backend yang sama. Ini dikenal sebagai ketekunan atau lengket . Kelemahan yang signifikan dari teknik ini adalah kurangnya failover otomatis: jika server backend turun, informasi per sesinya menjadi tidak dapat diakses, dan sesi apa pun bergantung padanya hilang. Masalah yang sama biasanya relevan dengan server database pusat; bahkan jika server web "tanpa kewarganegaraan" dan tidak "lengket", database pusatnya adalah (lihat di bawah).

Penugasan ke server tertentu mungkin didasarkan pada nama pengguna, alamat IP klien, atau acak. Karena perubahan alamat yang dirasakan klien akibat DHCP , terjemahan alamat jaringan , dan proxy web , metode ini mungkin tidak dapat diandalkan. Penugasan acak harus diingat oleh penyeimbang beban, yang menciptakan beban penyimpanan. Jika penyeimbang beban diganti atau gagal, informasi ini mungkin hilang, dan tugas mungkin perlu dihapus setelah jangka waktu habis atau selama periode beban tinggi agar tidak melebihi ruang yang tersedia untuk tabel tugas. Metode penugasan acak juga mengharuskan klien mempertahankan beberapa keadaan, yang bisa menjadi masalah, misalnya saat browser web telah menonaktifkan penyimpanan cookies. Balancer beban canggih menggunakan beberapa teknik ketekunan untuk menghindari beberapa kekurangan dari satu metode.

Solusi lain adalah menjaga data per sesi dalam database . Umumnya ini buruk untuk kinerja karena meningkatkan beban pada database: database paling baik digunakan untuk menyimpan informasi yang kurang transien daripada data per sesi. Untuk mencegah database menjadi satu titik kegagalan , dan untuk memperbaiki skalabilitas , database sering direplikasi di beberapa mesin, dan load balancing digunakan untuk menyebarkan muatan query ke replika tersebut. Teknologi ASP.net State Server Microsoft adalah contoh dari database sesi. Semua server di gudang web menyimpan data sesi mereka di State Server dan server mana pun di peternakan dapat mengambil data.

Dalam kasus yang sangat umum dimana klien adalah browser web, pendekatan yang sederhana namun efisien adalah menyimpan data per sesi di browser itu sendiri. Salah satu cara untuk mencapainya adalah dengan menggunakan cookie browser , sesuai waktu dan diberi enkripsi. Yang lainnya adalah penulisan ulang URL . Menyimpan data sesi pada klien umumnya merupakan solusi pilihan: maka penyeimbang beban bebas untuk memilih server backend untuk menangani permintaan. Namun, metode penanganan data negara ini tidak sesuai dengan beberapa skenario logika bisnis yang kompleks, di mana muatan negara sesi besar dan dikompilasi ulang dengan setiap permintaan pada server tidak layak dilakukan. Penulisan ulang URL memiliki masalah keamanan utama, karena pengguna akhir dapat dengan mudah mengubah URL yang dikirimkan dan dengan demikian mengubah aliran sesi.

Namun solusi lain untuk menyimpan data persisten adalah mengaitkan nama dengan setiap blok data, dan menggunakan tabel hash terdistribusi untuk secara semu-acak menetapkan nama tersebut ke salah satu server yang tersedia, dan kemudian menyimpan blok data tersebut di server yang ditugaskan.

Fitur penyeimbang beban

Perangkat keras dan perangkat lunak balancers beban mungkin memiliki berbagai fitur khusus. Fitur mendasar dari penyeimbang beban adalah untuk dapat mendistribusikan permintaan yang masuk melalui sejumlah server backend di cluster sesuai dengan algoritma penjadwalan. Sebagian besar fitur berikut khusus untuk vendor:

Beban asimetris: Rasio dapat ditetapkan secara manual untuk menyebabkan beberapa server backend mendapatkan bagian beban kerja yang lebih besar daripada yang lain. Ini kadang-kadang digunakan sebagai cara mentah untuk menjelaskan beberapa server yang memiliki kapasitas lebih besar daripada yang lain dan mungkin tidak selalu bekerja sesuai keinginan.
Aktivasi prioritas: Bila jumlah server yang tersedia turun di bawah nomor tertentu, atau beban terlalu tinggi, server siaga dapat dibawa secara online.
SSL Offload and Acceleration : Bergantung pada beban kerja, memproses persyaratan enkripsi dan otentikasi dari permintaan SSL dapat menjadi bagian utama permintaan CPU Web Server; Seiring meningkatnya permintaan, pengguna akan melihat waktu respons yang lebih lambat, karena overhead SSL didistribusikan di antara server Web. Untuk menghapus permintaan ini pada server Web, penyeimbang dapat menghentikan koneksi SSL, meneruskan permintaan HTTPS sebagai permintaan HTTP ke server Web. Jika penyeimbang itu sendiri tidak kelebihan beban, ini tidak secara nyata menurunkan kinerja yang dirasakan oleh pengguna akhir. Kelemahan dari pendekatan ini adalah bahwa semua pemrosesan SSL terkonsentrasi pada satu perangkat (penyeimbang) yang bisa menjadi hambatan baru. Beberapa peralatan penyeimbang beban mencakup perangkat keras khusus untuk memproses SSL. Alih-alih upgrade penyeimbang beban, perangkat keras khusus yang cukup mahal, mungkin lebih murah untuk mengabaikan SSL dan menambahkan beberapa server Web. Selain itu, beberapa vendor server seperti Oracle / Sun sekarang menggabungkan perangkat keras akselerasi kriptografi ke dalam CPU mereka seperti T2000. Jaringan F5 menggabungkan kartu perangkat keras akselerasi SSL khusus di pengelola lalu lintas lokal (LTM) yang digunakan untuk mengenkripsi dan mendekripsi lalu lintas SSL. Satu manfaat nyata untuk pembongkaran SSL di penyeimbang adalah memungkinkan pengunduran atau penyeimbangan konten berdasarkan data dalam permintaan HTTPS.
Distributed Denial of Service (DDoS) perlindungan serangan: load balancers dapat memberikan fitur seperti cookie SYN dan delayed-binding (server back-end tidak melihat klien sampai selesai jabat tangan TCP-nya) untuk mengurangi serangan banjir SYN dan umumnya membongkar bekerja dari server ke platform yang lebih efisien.
Kompresi HTTP : mengurangi jumlah data yang akan ditransfer ke objek HTTP dengan memanfaatkan kompresi gzip yang tersedia di semua browser web modern. Semakin besar respon dan semakin jauh kliennya, semakin banyak fitur ini yang dapat meningkatkan waktu respon. Tradeoff adalah bahwa fitur ini menempatkan permintaan CPU tambahan pada penyeimbang beban dan bisa dilakukan oleh server web.
TCP offload: vendor yang berbeda menggunakan istilah yang berbeda untuk ini, namun idenya adalah bahwa biasanya setiap permintaan HTTP dari masing-masing klien adalah koneksi TCP yang berbeda. Fitur ini menggunakan HTTP / 1.1 untuk mengkonsolidasikan beberapa permintaan HTTP dari beberapa klien ke dalam satu soket TCP ke server back-end.
Penyanggaan TCP: penyeimbang beban dapat menyangga tanggapan dari server dan memasukkan data umpan untuk memperlambat klien, membiarkan server web membebaskan thread untuk tugas lain lebih cepat daripada jika harus mengirimkan keseluruhan permintaan ke klien secara langsung. .
Direct Server Return: pilihan untuk distribusi beban asimetris, dimana permintaan dan reply memiliki jalur jaringan yang berbeda.
Pemeriksaan kesehatan: server polling penyeimbang untuk lapisan aplikasi kesehatan dan menghapus server yang gagal dari kolam.
Caching HTTP : penyeimbang menyimpan konten statis sehingga beberapa permintaan dapat ditangani tanpa menghubungi server.
Penyaringan konten: beberapa penyeimbang dapat mengubah lalu lintas secara sewenang-wenang dalam perjalanan.
Keamanan HTTP: beberapa balancers dapat menyembunyikan halaman kesalahan HTTP, menghapus header identifikasi server dari tanggapan HTTP, dan mengenkripsi cookies sehingga pengguna akhir tidak dapat memanipulasinya.
Prioritas antrian : juga dikenal sebagai tingkat pembentukan , kemampuan untuk memberikan prioritas yang berbeda untuk lalu lintas yang berbeda.
Peralihan konten-sadar: balancer beban paling banyak dapat mengirim permintaan ke server yang berbeda berdasarkan URL yang diminta, dengan asumsi permintaan tidak dienkripsi (HTTP) atau jika dienkripsi (melalui HTTPS) bahwa permintaan HTTPS dihentikan (didekripsi) di penyeimbang beban
Otentikasi klien: mengotentikasi pengguna terhadap berbagai sumber autentikasi sebelum mengizinkan mereka mengakses situs web.
Manipulasi lalu lintas terprogram: setidaknya satu penyeimbang memungkinkan penggunaan bahasa scripting untuk memungkinkan metode penyeimbangan khusus, manipulasi lalu lintas yang sewenang-wenang, dan banyak lagi.
Firewall : koneksi langsung ke server backend dicegah, untuk alasan keamanan jaringan.
Sistem pencegahan intrusi : menawarkan keamanan lapisan aplikasi di samping lapisan jaringan / transport yang ditawarkan oleh keamanan firewall.

Penggunaan di telekomunikasi

Load balancing dapat berguna dalam aplikasi dengan link komunikasi yang berlebihan. Misalnya, perusahaan mungkin memiliki beberapa koneksi Internet yang memastikan akses jaringan jika salah satu koneksi gagal. Pengaturan failover berarti satu link ditujukan untuk penggunaan normal, sedangkan link kedua hanya digunakan jika link utama gagal.

Menggunakan load balancing, kedua link bisa digunakan setiap saat. Perangkat atau program memonitor ketersediaan semua tautan dan memilih jalur pengiriman paket. Penggunaan beberapa link sekaligus meningkatkan bandwidth yang tersedia.

Shortest Path Bridging

Artikel utama: Jalur Terpendek Menjembatani

IEEE menyetujui standar IEEE 802.1aq Mei 2012, ^[7] juga dikenal dan didokumentasikan di kebanyakan buku sebagai Shortest Path Bridging (SPB) . SPB memungkinkan semua link menjadi aktif melalui jalur biaya yang sama, memberikan waktu konvergensi yang lebih cepat untuk mengurangi waktu turun, dan menyederhanakan penggunaan load balancing di topologi jaringan mesh (terhubung dan / atau terhubung sepenuhnya sebagian) dengan memungkinkan lalu lintas memuat saham di semua jalur jaringan ^[8] ^[9] SPB dirancang untuk menghilangkan kesalahan manusia selama konfigurasi dan mempertahankan sifat plug and play yang membentuk Ethernet sebagai protokol de facto pada Layer 2. ^[10]

Routing 1

Informasi lebih lanjut: Routing

Banyak perusahaan telekomunikasi memiliki beberapa rute melalui jaringan mereka atau jaringan eksternal. Mereka menggunakan load balancing yang canggih untuk mengalihkan lalu lintas dari satu jalur ke jalur lain untuk menghindari kemacetan jaringan pada tautan tertentu, dan terkadang meminimalkan biaya transit di jaringan eksternal atau memperbaiki keandalan jaringan .

Cara lain untuk menggunakan load balancing adalah dalam aktivitas monitoring jaringan . Load balancers dapat digunakan untuk membagi arus data yang besar menjadi beberapa sub-arus dan menggunakan beberapa analisa jaringan, masing-masing membaca sebagian dari data asli. Ini sangat berguna untuk memantau jaringan cepat seperti 10GbE atau STM64, di mana pemrosesan data yang kompleks mungkin tidak dimungkinkan pada kecepatan kawat .

Hubungan dengan failovers

Load balancing sering digunakan untuk mengimplementasikan failover - kelanjutan layanan setelah kegagalan satu atau lebih komponennya. Komponen dipantau terus menerus (misalnya, server web dapat dipantau dengan mengambil halaman yang diketahui), dan ketika seseorang menjadi tidak responsif, penyeimbang beban diinformasikan dan tidak lagi mengirimkan lalu lintas ke sana. Ketika sebuah komponen kembali online, penyeimbang beban mulai mengarahkan lalu lintas ke sana lagi. Agar dapat bekerja, setidaknya harus ada satu komponen yang melebihi kapasitas layanan ( redundansi N + 1 ). Ini bisa jadi jauh lebih murah dan lebih fleksibel daripada pendekatan failover dimana masing-masing komponen live dipasangkan dengan komponen cadangan tunggal yang mengambil alih jika terjadi kegagalan ( dual modular redundancy ). Beberapa jenis sistem RAID juga bisa memanfaatkan cadangan panas untuk efek yang serupa.

Uraian Materi

Mikrotik adalah sebuah alat yang sangat bermanfaat sebagai sebuah router. Dalam kesehariannya, seorang admin jaringan dapat secara mudah mengatur traffic jaringan sesuai dengan keinginannya, salah satunya adalah Mikrotik Load Balancing 2 ISP.

Pada tulisan ini di ilustrasikan kebutuhan akses internet sebuah kampus atau kantor menggunakan dua buah ISP, dan kondisi LAN menggunakan ip private serta sebuah pc router dengan tiga interface menggunakan Mikrotik OS versi 5.18, ditambah dengan sebuah siwtch untuk pemecah akses ke klien atau work station.

Rancangan topologi network dapat dilihat pada gambar disamping, secara lengkapnya akan dibahas satu-persatu bagaimana mengkonfigurasikan mikrotik load balancing 2 isp sesuai dengan keadaan seperti gambar tersebut.

Sebut saja interface yang digunakan pada mikrotik router adalah ether1 , ether2, dan ether3 dengan kondisi sebagai berikut :

ether1 (ISP1) : 111.111.111.111

ehter2 (ISP2) : 222.222.222.222

ehter3 (LAN)  : 192.168.254.1

Tambahkan IP Address pada mikrotik box untuk keperluan diatas:

/ip address

add address=111.111.111.111/24 network=111.111.111.0 broadcast=111.111.111.255 interface=ether1

add address=222.222.222.222/24 network=222.222.222.0 broadcast=222.222.222.255 interface=ether2

add address=192.168.254.1/24 network=192.168.254.0 broadcast=192.168.254.255 interface=ether3

4 buah workstation dengan ip : 192.168.254.2 (WORKST-1),

192.168.254.3(WORKST-2), 192.168.254.4(WORKST-3) dan 192.168.254.5(WORKST-3)

Disini akses internet akan dipecah menjadi dua jalur, WORKST-1 dan 2 melalui ISP1, sedangkan WORKST-3 dan 4 melalui ISP2, namun jika salah satu ISP putus atau down, semua akses dari semua WORKST akan dialihkan ke jalur yang hidup, hal ini dapat diatur menggunakan mikrotik load balancing.

Berikut langkah yang dilakukan untuk mengkonfigurasi keperluan diatas:

1. Buat Adress List pada IP Firewall :

/ip firewall address-list

add list=jalur1 address="192.168.254.2"

add list=jalur1 address="192.168.254.3"

add list=jalur2 address="192.168.254.4"

add list=jalur2 address="192.168.254.5"

2. Konfigurasi NAT dan MANGLE

/ip firewall nat

add chain=srcnat action=masquerade to-addresses=111.111.111.111 src-address-list=jalur1 comment="via ISP1"

add chain=srcnat action=masquerade to-addresses=222.222.222.222 src-address-list=jalur2 comment="via ISP2"

/ip firewall mangle

add chain=prerouting action=mark-routing new-routing-mark=jalur1-route passthrough=no\

src-address-list=jalur1 in-interface=ether3 comment"Mark Routing Jalur1"

add chain=prerouting action=mark-routing new-routing-mark=jalur2-route passthrough=no\

src-address-list=jalur2 in-interface=ether3 comment"Mark Routing Jalur2"

3. IP Routes dan Rule

/ip route

add dst-address=0.0.0.0/0 gateway=111.111.111.1 check-gateway=ping distance=1 scope=30\

target-scope=10 routing-mark=jalur1-route

add dst-address=0.0.0.0/0 gateway=222.222.222.1 check-gateway=ping distance=1 scope=30\

target-scope=10 routing-mark=jalur1-route

add dst-address=0.0.0.0/0 gateway=111.111.111.1 check-gateway=ping distance=1 scope=30\

target-scope=10 routing-mark=jalur2-route

add dst-address=0.0.0.0/0 gateway=222.222.222.1 check-gateway=ping distance=1 scope=30\

target-scope=10 routing-mark=jalur2-route

add dst-address=0.0.0.0/0 gateway=111.111.111.1 check-gateway=ping distance=1 scope=30\

target-scope=10

add dst-address=0.0.0.0/0 gateway=222.222.222.1 check-gateway=ping distance=1 scope=30\

target-scope=10

/ip route rule

add dst-address=111.111.111.0/24 action=lookup table=main

add dst-address=222.222.222.0/24 action=lookup table=main

add dst-address=192.168.254.0/24 action=lookup table=main

add src-address=111.111.111.0/24 action=lookup table=jalur1-route

add src-address=222.222.222.0/24 action=lookup table=jalur2-route

add routing-mark=jalur1-route action=lookup table=jalur1-route

add routing-mark=jalur2-route action=lookup table=jalur2-route

Konfigurasi IP route rule diatas juga berguna untuk melakukan remote login dari internet, dengan syntax diatas router menjadi visible dari dua arah ISP yang berbeda, hasil akhir konfigurasi pada IP Route jika dilihat melalui winbox akan terlihat seperti gambar dibawah:

Terlihat pada gambar tersebut routing yang di mark dengan warna biru dan hitam, artinya hitam menandakan bahwa routing tersebut aktif untuk masing-masing jalur, dan warna biru merupakan routing sebagai backup jika routing yang sedang aktif mengalami kendala atau terputus, maka secara otomatis routing akan berpindah.

Untuk memastikan jalur sudah berjalan dengan benar, sobat bisa mencobanya dengan melakukan traceroute untuk setiap IP source ke arah situs tertentu, jika dirasakan jalur yang dilalui sudah benar, maka mikrotik load balancing 2 ISP dengan LAN IP address list sudah berhasil dilakukan, tinggal dilakukan pengembangan yang diperlukan sesuai dengan keinginan seorang admin jaringan.

benlie72

Kamis, 19 Maret 2020

MENGADMINISTRASI SERVER DALAM JARINGAN

MENGADMINISTRASI SERVER DALAM JARINGAN

Pengertian

Network Address Translation (NAT)

Mengatur Bandwidth Menggunakan Simple Queue

Simple Queue adalah fitur / fungsi pada MikroTik RouterOS untuk membagi bandwidth komputer client yang sederhana dan paling mudah. Yang dapat menentukan kecepatan download dan upload maksimum berdasarkan IP Address komputer client.

Contoh, kita akan menentukan kecepatan download dan upload maksimum untuk komputer yang mempunyai IP Address 192.168.0.6 sebesar : maksimum download 1mbps dan maksimum upload 512kbps. Di Winbox klik menu "Queue >> tab Simple Queues >> klik Add [+]

Mengatur Bandwidth Menggunakan Queue Tree

Manajemen Bandwidth Berdasarkan Prioritas Trafik

Tehnik ke 4 ini adalah bagaimana menerapkan manajemen bandwidth berdasarkan prioritas trafik dengan identifikasi sebuah service/aplikasi jaringan.

Delegasi DNS

Client-side random load balancing

Balancer sisi server

Algoritma penjadwalan

Kegigihan

Fitur penyeimbang beban

Penggunaan di telekomunikasi

Shortest Path Bridging

Routing 1

Hubungan dengan failovers

Tidak ada komentar:

Posting Komentar