Tabel routing untuk screening router harus dikonfigurasi sehingga trafik jaringan eksternal akan diforward ke bastion host. Tabel routing pada screening router harus diproteksi dari penyusupan dan perubahan autorisaasi. Bila entri-entri tabel routing diubah sehingga trafik tidak diforward ke bastion host namun dikirim secara langsung menuju ke jaringan yang terhubung secara lokal, maka bastion host di-by pass.
Jaringan internal mempunya alamat jaringan 199.245.180.0, dan bastion host mmpunyai alamat IP 199.245.180.10. Screening router akan memiliki entri berikut dalam tabel routingnya :
Destination = 199.245.180.0
Forward to =199.245.180.10
Semua trafik menuju ke jaringan 199.245.180.0 akan di-forward menuju ke bastion host yang mempunyai alamat IP 199.245.180.10.
Jaringan internal mempunya alamat jaringan 199.245.180.0, dan bastion host mmpunyai alamat IP 199.245.180.10. Screening router akan memiliki entri berikut dalam tabel routingnya :
Destination = 199.245.180.0
Forward to =199.245.180.10
Semua trafik menuju ke jaringan 199.245.180.0 akan di-forward menuju ke bastion host yang mempunyai alamat IP 199.245.180.10.
Trafik jaringan eksternal yang diterima oleh screening router akan dikirim secara langsung melalui interface local pada jaringan internal, bastion host akan di-by pass. Bila sistem keamanan pada screening router berhasil dibobol, maka zona resiko akan meluas hingga ke jaringan internal.
Bila screening router menggunakan sistem operasi berbasis Unix, maka kernel harus dikonfigurasi untuk men-disable directed broadcast sehingga paket-paket broadcast dari jaeingan internal tidak di-forward ke jaringan eksternal. Bila hal ini tidak dilakukan, maka informasi pada jaringan internal mempunyai kemungkinan untuk bocor ke jaringan eksternal. Kernel dapat dikonfigurasi untuk men-disable
Directed broadcast dengan melakukan setting sebagai berikut pada file konfigurasi :
Options DIRECTED_BROADCAST=0
Kemudian, jalankan config pada file konfigurasi. Setelah itu, jalankan perintah make seperti berikut :
#config nama_file
#make depend
#make
Bila screening router menggunakan sistem operasi berbasis Unix, maka kernel harus dikonfigurasi untuk men-disable directed broadcast sehingga paket-paket broadcast dari jaeingan internal tidak di-forward ke jaringan eksternal. Bila hal ini tidak dilakukan, maka informasi pada jaringan internal mempunyai kemungkinan untuk bocor ke jaringan eksternal. Kernel dapat dikonfigurasi untuk men-disable
Directed broadcast dengan melakukan setting sebagai berikut pada file konfigurasi :
Options DIRECTED_BROADCAST=0
Kemudian, jalankan config pada file konfigurasi. Setelah itu, jalankan perintah make seperti berikut :
#config nama_file
#make depend
#make
Servis-servis jaringan yang tidak diperlukan juga harus dihapus dan gunakan routing statis. Pastikan daemon untuk routed atau gated tidak dijalankan, bila routed atau gated dijalankan, maka route akan dapat diketahui dari jaringan eksternal.
Pada tabel cache ARP, buat entri-entri yang permanen untuk menunjuk ke bastion host. Gunakan perintah berikut untuk membuat entri-entri permanen pada cache ARP :
#arp –s alamat_IP alamat_hardware
Sebagai contoh, bila bastion host mempunyai alamat IP 199.245.180.10 dan alamat hardware 0000C005564A maka gunakan perintah berikut :
#arp –s 199.245.180.10 0000C004564A
Screening router sebaiknya dikonfigurasi dengan menggunakan routing statis. Routing statis tidak mengalami expired dan tidak berubah oleh protokol routing, sehingga sifatnya lebih kokoh. Yang sebaiknya juga di-disable pada router adalah : akses melalui telnet, ARP, ICMP redirects, proxy ARP, dan ICMP unreahcable messages.
Pada operasi ARP yang normal, entri-entri pada tabel ARP dimasukkan secara dinamis dan akan mengalami expired setelah interval waktu yang sudah ditentukan. Sebaiknya tabel cache ARP diinisialisasi secara manual pada router maupun bastion host. Dengan mematikan proses ARP pada router, maka router tidak akan memberikan akses hardware.
Pada tabel cache ARP, buat entri-entri yang permanen untuk menunjuk ke bastion host. Gunakan perintah berikut untuk membuat entri-entri permanen pada cache ARP :
#arp –s alamat_IP alamat_hardware
Sebagai contoh, bila bastion host mempunyai alamat IP 199.245.180.10 dan alamat hardware 0000C005564A maka gunakan perintah berikut :
#arp –s 199.245.180.10 0000C004564A
Screening router sebaiknya dikonfigurasi dengan menggunakan routing statis. Routing statis tidak mengalami expired dan tidak berubah oleh protokol routing, sehingga sifatnya lebih kokoh. Yang sebaiknya juga di-disable pada router adalah : akses melalui telnet, ARP, ICMP redirects, proxy ARP, dan ICMP unreahcable messages.
Pada operasi ARP yang normal, entri-entri pada tabel ARP dimasukkan secara dinamis dan akan mengalami expired setelah interval waktu yang sudah ditentukan. Sebaiknya tabel cache ARP diinisialisasi secara manual pada router maupun bastion host. Dengan mematikan proses ARP pada router, maka router tidak akan memberikan akses hardware.
Tidak ada komentar:
Posting Komentar
Catatan: Hanya anggota dari blog ini yang dapat mengirim komentar.