NAT (Network Adress Translation)
Network Address Translation (NAT) adalah suatu metoda pokok yang memungkinkan
komputer yang mempunyai address yang tidak terdaftar atau komputer yang menggunakan
address private, untuk bisa mengakses Internet. Ingat pada diskusi IP address sebelumnya
bahwa IP address private tidak bisa di route ke internet (non-routed), hanya dipakai pada
jaringan internal yang berada pada range berikut:
Untuk setiap paket yang dihasilkan oleh client, implementasi Network Address Translation
(NAT) menggantikan IP address yang terdaftar kepada IP address client yang tidak terdaftar.
Ada tiga macam jenis dasar Network Address Translation (NAT):
1. STATIC
Network Address Translation (NAT) menterjemahkan sejumlah IP address tidak terdaftar menjadi sejumlah IP address yang terdaftar sehingga setiap client dipetakkan kepada IP address terdaftar yang dengan jumlah yang sama.
NAT Static Jenis NAT ini merupakan pemborosan IP address terdaftar, karena setiap IP address yang tidak terdaftar (un-registered IP) dipetakan kepada satu IP address terdaftar. Static NAT ini juga tidak seaman jenis NAT lainnya, karena setiap komputer secara permanen diasosiasikan kepada address terdaftar tertentu, sehingga memberikan kesempatan kepada para penyusup dari Internet untuk menuju langsung kepada komputer tertentu pada jaringan private anda menggunakan address terdaftar tersebut.
2. DYNAMIC
Dynamic Network Address Translation dimaksudkan untuk suatu keadaan dimana anda mempunyai IP address terdaftar yang lebih sedikit dari jumlah IP address un-registered. Dynamic NAT menterjemahkan setiap komputer dengan IP tak terdaftar kepada salah satu IP address terdaftar untuk connect ke internet. Hal ini agak menyulitkan para penyusup untuk menembus komputer didalam jaringan anda karena IP address terdaftar yang diasosiasikan ke komputer selalu berubah secara dinamis, tidak seperti pada NAT statis yang dipetakan sama. Kekurangan utama dari dynamis NAT ini adalah bahwa jika jumlah IP address terdaftar sudah terpakai semuanya, maka untuk komputer yang berusaha connect ke Internet tidak lagi bisa karena IP address terdaftar sudah terpakai semuanya.
3. MASQUERADING
Masquerading NAT ini menterjemahkan semua IP address tak terdaftar pada jaringan anda dipetakan kepada satu IP address terdaftar. Agar banyak client bisa mengakses Internet secara bersamaan, router NAT menggunakan nomor port untuk bisa membedakan antara paket-2 yang dihasilkan oleh atau ditujukan komputer-2 yang berbeda. Solusi Masquerading ini memberikan keamanan paling bagus dari jenis-2 NAT sebelumnya, kenapa? Karena asosiasi antara client dengan IP tak terdaftar dengan kombinasi IP address terdaftar dan nomor port didalam router NAT hanya berlangsung sesaat terjadi satu kesempatan koneksi saja, setelah itu dilepas.
Keamanan NAT Kebanyakan implementasi NAT sekarang ini mengandalkan pada teknik jenis Masquerading NAT karena meminimalkan jumlah kebutuhan akan IP address terdaftar dan memaksimalkan keamanan yang diberikan olen Network Address Translation (NAT). Akan tetapi perlu dicatat bahwa NAT itu sendiri, walau memakai jenis NAT yang paling aman – Masquerading, bukanlah suatu firewall yang sebenarnya dan tidak memberikan suatu perisai besi keamanan untuk suatu situasi yang beresiko tinggi. NAT pada dasarnya hanya memblokir tamu tak diundang (unsolicited request) dan semua usaha penjajagan atau usaha scanning dari internet, yang berarti suatu pencegahan dari usaha para penyusup untuk mencari file share yang tidak di proteksi atau private Web ataupun FTP server. Akan tetapi, NAT tidak bisa mencegah user di Internet untuk meluncurkan suatu usaha serangan DoS (Denial of Services) terhadap komputer yang ada
dijaringan private anda. Ataupun tidak bisa mencegah usaha-2 lain dengan teknik yang lebih
kompleks untuk melakukan kompromi jaringan.
Network Address Translation dan Stateful Packet Inspection
Beberapa implementasi NAT juga melibatkan tambahan keamanan, biasanya secara umum menggunakan teknik yang disebut Stateful Packet Inspection (SPI). Stateful Packet Inspection adalah istilah generic pada proses dimana NAT router memeriksa paket yang datang dari internet dilakukan lebih teliti dan lebih seksama dari biasanya. Pada umumnya implementasi NAT, router hanya konsen pada IP address dan port dari paket yang melewatinya. Suatu router NAT yang mendukung Stateful
packet inspection memeriksa sampai ke header layer network dan layer transport juga, memeriksa pola yang mempunyai tingkah laku berbahaya, seperti IP spoofing, SYN floods, dan serangan teardrop. Banyak produsen router mengimplementasikan stateful packet inspection dalam berbagai bentuk dan cara, jadi tidak semua router NAT dengan kemampuan Stateful packet inspection ini mempunyai tingkat perlindungan keamanan yang sama.
CARA KERJA NAT DAN IMPLEMENTASI NAT
Pada jaringan komputer, proses Network Address Translation (NAT) adalah proses penulisan ulang (masquerade) pada alamat IP asal (source) dan/atau alamat IP tujuan (destination), setelah melalui router atau firewall. NAT digunakan pada jaringan dengan workstation yang menggunakan IP Private supaya dapat terkoneksi ke Internet dengan menggunakan satu atau lebih IP Public. Ilustrasi NAT terlihat pada Gb. 1.
Kalo kita menginap di hotel tentunya kita akan mendapatkan nomor kamar bukan? Nah, alamat lengkap hotel dimana kita menginap disebut alamat publik, alamat yang dikenal oleh orang luar. Sedangakan nomor kamar kita adalah alamat private. Jadi misalnya kita memesan nasi padang di luar, yang akan kita sebutkan alamatnya adalah alamat lengkap hotel tersebut, bukan alamat kamar kita kan? Sedangkan kita tahu bahwa bisa jadi yang menginap di hotel itu nggak hanya kita. Jadi kepemilikan alamat hotel tersebut itulah yang disebut KTP bersama. Nah, nasi padang yang kita pesan nanti tentunya akan tiba di resepsionis, lalu nanti resepsionis akan meminta seorang OB untuk mengantarkan pesanan kita ke kamar anda. Fungsi resepsionis inilah yang kita sebut NAT, contoh lainnya, ternyata telpon kita di hotel hanya bersifat lokal, untuk dapat menghubungi orang diluar, kita harus mengontak resepsionis agar dapat menghubungkan kita dengan orang tersebut. Seperti itulah cara kerja NAT, menerjemahkan alamat private menjadi publik.
Implementasi NAT
Pada mesin Linux, untuk membangun NAT dapat dilakukan dengan menggunakan iptables (Netfilter). Dimana pada iptables memiliki tabel yang mengatur NAT.
– PREROUTING, digunakan untuk memilah paket yang akan diteruskan
– POSTROUTING, digunakan untuk memilah paket yang telah diteruskan
– FORWARD, digunakan untuk memilih paket yang melalui router.
Proses NAT dilakukan pada data yang akan meninggalkan ROUTER. Sehingga pada iptables untuk pengolahan NAT dilakukan pada chain POSTROUTING. Rule yang diberikan kepada paket data tersebut adalah MASQUERADE.
Langkah-langkah membangun NAT dengan iptables pada Linux Router:
1. Tentukan NIC mana yang terkoneksi ke internet dan yang terkoneksi ke LAN
2. Tentukan Network Address dari LAN, misal 192.168.1.0/24
3. Menambahkan Rule di iptables
MANFAAT
Keuntungan utama IP-masquerading NAT adalah bahwa hal itu telah menjadi solusi yang praktis mendatang kelelahan dari ruang alamat IPv4. Jaringan yang sebelumnya memerlukan Kelas B rentang IP atau blok alamat jaringan Kelas C dapat terhubung ke Internet dengan hanya satu alamat IP. Aturan yang lebih umum adalah memiliki komputer yang membutuhkan bidirectional benar dan unfettered konektivitas routable disertakan dengan alamat IP, sementara yang memiliki komputer yang tidak menyediakan pelayanan kepada pengguna di luar keletihan jauh di belakang NAT dengan hanya beberapa alamat IP yang digunakan untuk mengaktifkan akses internet.
By.Abu Dzar Maulana Sidik
NAT (Network Adress Translation)
Network Address Translation (NAT) adalah suatu metoda pokok yang memungkinkan
komputer yang mempunyai address yang tidak terdaftar atau komputer yang menggunakan
address private, untuk bisa mengakses Internet. Ingat pada diskusi IP address sebelumnya
bahwa IP address private tidak bisa di route ke internet (non-routed), hanya dipakai pada
jaringan internal yang berada pada range berikut:
komputer yang mempunyai address yang tidak terdaftar atau komputer yang menggunakan
address private, untuk bisa mengakses Internet. Ingat pada diskusi IP address sebelumnya
bahwa IP address private tidak bisa di route ke internet (non-routed), hanya dipakai pada
jaringan internal yang berada pada range berikut:
Untuk setiap paket yang dihasilkan oleh client, implementasi Network Address Translation
(NAT) menggantikan IP address yang terdaftar kepada IP address client yang tidak terdaftar.
Ada tiga macam jenis dasar Network Address Translation (NAT):
1. STATIC
Network Address Translation (NAT) menterjemahkan sejumlah IP address tidak terdaftar menjadi sejumlah IP address yang terdaftar sehingga setiap client dipetakkan kepada IP address terdaftar yang dengan jumlah yang sama.
3. MASQUERADING
(NAT) menggantikan IP address yang terdaftar kepada IP address client yang tidak terdaftar.
Ada tiga macam jenis dasar Network Address Translation (NAT):
1. STATIC
Network Address Translation (NAT) menterjemahkan sejumlah IP address tidak terdaftar menjadi sejumlah IP address yang terdaftar sehingga setiap client dipetakkan kepada IP address terdaftar yang dengan jumlah yang sama.
NAT Static Jenis NAT ini merupakan pemborosan IP address terdaftar, karena setiap IP address yang tidak terdaftar (un-registered IP) dipetakan kepada satu IP address terdaftar. Static NAT ini juga tidak seaman jenis NAT lainnya, karena setiap komputer secara permanen diasosiasikan kepada address terdaftar tertentu, sehingga memberikan kesempatan kepada para penyusup dari Internet untuk menuju langsung kepada komputer tertentu pada jaringan private anda menggunakan address terdaftar tersebut.
2. DYNAMIC
Dynamic Network Address Translation dimaksudkan untuk suatu keadaan dimana anda mempunyai IP address terdaftar yang lebih sedikit dari jumlah IP address un-registered. Dynamic NAT menterjemahkan setiap komputer dengan IP tak terdaftar kepada salah satu IP address terdaftar untuk connect ke internet. Hal ini agak menyulitkan para penyusup untuk menembus komputer didalam jaringan anda karena IP address terdaftar yang diasosiasikan ke komputer selalu berubah secara dinamis, tidak seperti pada NAT statis yang dipetakan sama. Kekurangan utama dari dynamis NAT ini adalah bahwa jika jumlah IP address terdaftar sudah terpakai semuanya, maka untuk komputer yang berusaha connect ke Internet tidak lagi bisa karena IP address terdaftar sudah terpakai semuanya.
Masquerading NAT ini menterjemahkan semua IP address tak terdaftar pada jaringan anda dipetakan kepada satu IP address terdaftar. Agar banyak client bisa mengakses Internet secara bersamaan, router NAT menggunakan nomor port untuk bisa membedakan antara paket-2 yang dihasilkan oleh atau ditujukan komputer-2 yang berbeda. Solusi Masquerading ini memberikan keamanan paling bagus dari jenis-2 NAT sebelumnya, kenapa? Karena asosiasi antara client dengan IP tak terdaftar dengan kombinasi IP address terdaftar dan nomor port didalam router NAT hanya berlangsung sesaat terjadi satu kesempatan koneksi saja, setelah itu dilepas.
Keamanan NAT Kebanyakan implementasi NAT sekarang ini mengandalkan pada teknik jenis Masquerading NAT karena meminimalkan jumlah kebutuhan akan IP address terdaftar dan memaksimalkan keamanan yang diberikan olen Network Address Translation (NAT). Akan tetapi perlu dicatat bahwa NAT itu sendiri, walau memakai jenis NAT yang paling aman – Masquerading, bukanlah suatu firewall yang sebenarnya dan tidak memberikan suatu perisai besi keamanan untuk suatu situasi yang beresiko tinggi. NAT pada dasarnya hanya memblokir tamu tak diundang (unsolicited request) dan semua usaha penjajagan atau usaha scanning dari internet, yang berarti suatu pencegahan dari usaha para penyusup untuk mencari file share yang tidak di proteksi atau private Web ataupun FTP server. Akan tetapi, NAT tidak bisa mencegah user di Internet untuk meluncurkan suatu usaha serangan DoS (Denial of Services) terhadap komputer yang ada
dijaringan private anda. Ataupun tidak bisa mencegah usaha-2 lain dengan teknik yang lebih
kompleks untuk melakukan kompromi jaringan.
dijaringan private anda. Ataupun tidak bisa mencegah usaha-2 lain dengan teknik yang lebih
kompleks untuk melakukan kompromi jaringan.
Network Address Translation dan Stateful Packet Inspection
Beberapa implementasi NAT juga melibatkan tambahan keamanan, biasanya secara umum menggunakan teknik yang disebut Stateful Packet Inspection (SPI). Stateful Packet Inspection adalah istilah generic pada proses dimana NAT router memeriksa paket yang datang dari internet dilakukan lebih teliti dan lebih seksama dari biasanya. Pada umumnya implementasi NAT, router hanya konsen pada IP address dan port dari paket yang melewatinya. Suatu router NAT yang mendukung Stateful
packet inspection memeriksa sampai ke header layer network dan layer transport juga, memeriksa pola yang mempunyai tingkah laku berbahaya, seperti IP spoofing, SYN floods, dan serangan teardrop. Banyak produsen router mengimplementasikan stateful packet inspection dalam berbagai bentuk dan cara, jadi tidak semua router NAT dengan kemampuan Stateful packet inspection ini mempunyai tingkat perlindungan keamanan yang sama.
packet inspection memeriksa sampai ke header layer network dan layer transport juga, memeriksa pola yang mempunyai tingkah laku berbahaya, seperti IP spoofing, SYN floods, dan serangan teardrop. Banyak produsen router mengimplementasikan stateful packet inspection dalam berbagai bentuk dan cara, jadi tidak semua router NAT dengan kemampuan Stateful packet inspection ini mempunyai tingkat perlindungan keamanan yang sama.
CARA KERJA NAT DAN IMPLEMENTASI NAT
Pada jaringan komputer, proses Network Address Translation (NAT) adalah proses penulisan ulang (masquerade) pada alamat IP asal (source) dan/atau alamat IP tujuan (destination), setelah melalui router atau firewall. NAT digunakan pada jaringan dengan workstation yang menggunakan IP Private supaya dapat terkoneksi ke Internet dengan menggunakan satu atau lebih IP Public. Ilustrasi NAT terlihat pada Gb. 1.
Kalo kita menginap di hotel tentunya kita akan mendapatkan nomor kamar bukan? Nah, alamat lengkap hotel dimana kita menginap disebut alamat publik, alamat yang dikenal oleh orang luar. Sedangakan nomor kamar kita adalah alamat private. Jadi misalnya kita memesan nasi padang di luar, yang akan kita sebutkan alamatnya adalah alamat lengkap hotel tersebut, bukan alamat kamar kita kan? Sedangkan kita tahu bahwa bisa jadi yang menginap di hotel itu nggak hanya kita. Jadi kepemilikan alamat hotel tersebut itulah yang disebut KTP bersama. Nah, nasi padang yang kita pesan nanti tentunya akan tiba di resepsionis, lalu nanti resepsionis akan meminta seorang OB untuk mengantarkan pesanan kita ke kamar anda. Fungsi resepsionis inilah yang kita sebut NAT, contoh lainnya, ternyata telpon kita di hotel hanya bersifat lokal, untuk dapat menghubungi orang diluar, kita harus mengontak resepsionis agar dapat menghubungkan kita dengan orang tersebut. Seperti itulah cara kerja NAT, menerjemahkan alamat private menjadi publik.
Implementasi NAT
Pada mesin Linux, untuk membangun NAT dapat dilakukan dengan menggunakan iptables (Netfilter). Dimana pada iptables memiliki tabel yang mengatur NAT.
– POSTROUTING, digunakan untuk memilah paket yang telah diteruskan
– FORWARD, digunakan untuk memilih paket yang melalui router.
Proses NAT dilakukan pada data yang akan meninggalkan ROUTER. Sehingga pada iptables untuk pengolahan NAT dilakukan pada chain POSTROUTING. Rule yang diberikan kepada paket data tersebut adalah MASQUERADE.
Langkah-langkah membangun NAT dengan iptables pada Linux Router:
1. Tentukan NIC mana yang terkoneksi ke internet dan yang terkoneksi ke LAN
2. Tentukan Network Address dari LAN, misal 192.168.1.0/24
3. Menambahkan Rule di iptables
MANFAAT
Keuntungan utama IP-masquerading NAT adalah bahwa hal itu telah menjadi solusi yang praktis mendatang kelelahan dari ruang alamat IPv4. Jaringan yang sebelumnya memerlukan Kelas B rentang IP atau blok alamat jaringan Kelas C dapat terhubung ke Internet dengan hanya satu alamat IP. Aturan yang lebih umum adalah memiliki komputer yang membutuhkan bidirectional benar dan unfettered konektivitas routable disertakan dengan alamat IP, sementara yang memiliki komputer yang tidak menyediakan pelayanan kepada pengguna di luar keletihan jauh di belakang NAT dengan hanya beberapa alamat IP yang digunakan untuk mengaktifkan akses internet.
By.Abu Dzar Maulana Sidik
