Video Conference
21
Click here to load reader
Transcript of Video Conference
Laporan Tugas Mata Kuliah Keamanan Sistem Informasi EL.695
Judul Paper
Penggabungan Firewall untuk Video Conference yang menggunakan Protokol H.323
Disusun Oleh : Eko Travada SPNIM : 23201163
AbstrakSaat ini makin banyaknya orang-orang yang bekerja dari rumah untuk menyelesaikan
pekerjaan di kantor. Dan salah satu media yang digunakan adalah Videoconferencing. Komunikasi yang terjadi antara pengguna tentu harus dijaga keamanannya terhadap serangan cracker atau Hacker. Untuk mengatasi serangan ini biasanya digunakan firewall yang akan membloking IP para penyusup. Untuk makalah ini akan dibahas penggabungan firewal dengan video conference yang menggunakan protokol H323.
Kata Kunci Firewall, H323, VideoConference
1. PendahuluanKebutuhan komunikasi yang meningkat di era informasi saat ini sangat membutuhkan
jalur yang aman di jaringan internet dari serangan crackers dan hackers. Di banyak kasus network internal yang tidak aman dipasang firewall. Firewall sangat efektif membloking IP para penyusup yang ingin secara ilegal menyadap informasi di komunikasi yang sedang terjadi.
Pada makalah dibahas beberapa kemungkinan solusi cara memasang firewall untuk melindungi videoconference yang menggunakan protokol H.323.
2. FirewallFirewall merupakan suatu perangkat keamanan jaringan yang memperkenankan berbagai
bagian ruas jaringan untuk melaksanakan komunikasi antara satu sama lainnya sesuai dengan definisi kebijakan keamanan yang telah ditetapkan sebelumnya. Firewall digunakan pada saat adanya kebutuhan bagi sistem jaringan terhadap keragaman tingkat keamanan sebagai akibat terjadinya peristiwa aktivitas komunikasi antara satu perangkat dengan perangkat lainnya.. Firewall biasanya ditempkan di jaringan internet. Firewall akan membatasi akses terhadap berbagai ruas jaringan terhadap berbagai ruas jaringan dari sistem jaringan internal tersebut.
Firewall merupakan suatu sistem yang dirancang untuk mencegah akses yang tak diinginkan dari atau ke dalam suatu jaringan internal. Firewall akan bertindak, seperti sebuah pintu terkunci yang diletakkan di antara jaringan internal dengan eksternal. Data harus memenuhi persyaratan tertentu agar dapat lewat melalui pintu terkunci dan menghentikannya bila tidak memenuhi persayaratan. Firewall melacak mengendalikan jalannya data serta memutuskan aksi untuk pass, drop, reject, mengenkripsi atau melakukan log terdapat data.
2.1. Perkembangan teknologi FirewallFirewall dapat dibagi atas tiga bagian besar yaitu Teknologi Penyaringan Paket (Filtering
Packets), teknologi Gateway Layer Aplikasi (Palication Layer Gateways), Teknologi Inspeksi
Keseluruhan kondisi (Stateful Inspection) atau penyaringan keseluruhan kondisi paket (Stateful Packet Filtering).
Dibawah ini tampak gambar dari 3 metoda yang digunakan firewall
Gambar 1 Jenis Dari firewall: Packet filtering, statefull inspection dan aplication proxy
2.1.1 Packet Filtering Teknologi ini memeriksa asal dan tujuan alamat IP, nomor protokol serta dalam
penganganan kasus UDP dan TCP dapat mencapai hingga ke nomor portnya. Teknologi penyaringan paket dapat memeriksa setiap paket data yang masuk maupun keluar dari suatu jaringan dan menerima ataupun menolak paket paket data tersebut berdasarkan pada aturan yang telah ditentukan sebelumnya.
Yang menjadi masalah terbesar pemakaian teknologi penyaringan paket adalah kesulitan dalam upaya pengelolaan secara terpadu dalam hal mengkonfigurasi teknologi ini.
Beberapa hal yang tidak dapat dilakukan teknologi ini adalah : Tidak dapat menyediakan layanan keamanan muatan/isi (Content Security).
Contohnya, pemeriksaan dan penyaringan virus pada pengaksesan situs-situs dan halaman WEB tertentu.
Tidak dapat menyediakan layanan autentikasi. Contohnya adalah hanya para user yang memiliki kewenangan yang boleh menggunakan suatu service
Tidak mamapu mebuka atau menutup port-port aplikasi secara dinamis pada saat dibutuhkan. Hal ini menyebabakan tidak memungkinakan penerapan aplikasi seperti aplikasi realAudio, FTP dan H.323.
Tidak mampu memvalidasi suatu port khusus bagi pemakaian suatu layanan tertentu. Contohnya menjamin bahwa hanya trafik HTTP yang sah yang boleh melewati port 80
Teknologi ini menciptakan dua kondisi sehuibungan dengan adannya aliran data keluar jaringan dalam suatu layanan konekasi pasif FTP, yaitu : Koneksi FTP pasif dapat meninggalkan seluruh nomor port di atas 1023 menajdi
terbuka sehingga akan memperkenankan session pengiriman file mengambil alih
tempat tersebut melalui metoda alokasi port secara dinamik dan akibatnya akan menelanjangi jaringan internal yang bersangkutan.
Koneksi FTP psif dapat berakibat melumpuhkan seluruh nomor port diatas 1023 dalam rangka mencoba mengamankan jaringan internal dan sebagai akibatnya dapat memutuskan antara dukungan aplikasi dan keamanannya.
2.1.2 Teknologi Gateway Layer Aplikasi atau Proxy (Application layer gateway)Teknologi ini mengimplimentasikan Firewall pada application layer. Proxy akan
melakukan pemeriksaan muatan, menyediakan autentikasi dan menjamin bahwa hanya services tertentu yang boleh digunakan. Contoh suatu proxy HTTP dapat menjamin bahwa hanya trafik HTTP yang akan diizinkan untuk lewat atau ia bisa menyediakan layanan aplikasi khusus seperti halnya penyimpanan data di memori caching . Proxy juga dapat menyediakan suatu koneksi yang telah ampan terbentuk ke suatu server yang berada di belakang firewall.
Keunggulan teknologi Gaeway Layer Aplikasi atau proxy yaitu : Menyediakan tingkat keamanan yang lebih baik Mampu menangani permasalahan secara penuh pada layer aplikasi
Kelemahan teknologi Layer Gateway Aplikasi yaitu : Hanya dapat mengatasi secara parsial kondisi informasi yang salah dari suatu
komunikasi dan secara penuh mengatasi kondisi informasi yang berasal dari suatu aplikasi.
Setiap pelayanan akan membutuhkan gateway layer aplikasinya sendiri – sendiri sehingga akan mengakibatkan kurang memadainya sejumlah besar service berikut kemampuan skalabilitasnya.
Implementasi pada tingkat aplikasi tentu akan cukup mengganggu kinerja sistem Tidak dapat menyediakan layanan TCP, RPC atau lainnya terhadap keluarga protokol
secara umum. Kebanyakan tenologi proxy bukan merupakan sistem yang transparan. Rentan terhadap kelemahan pada tingkat sistem operasi dan aplikasi Mengabaikan muatan informasi pada layer yang lebih rendah Biaya performasi cukup mahal.
2.1.3.Teknologi Inspeksi Keseluruhan Kondisi (Stateful Inspection)Teknologi Inspeksi Keseluruhan kondisi paket menggabungkan beberapa fitur terbaik
dari teknologi penyaringan paket dan teknology Gateway Layer Aplikasi. Mesin dari teknologi inspeksi keseluruh Kondisi Paket diletakkan antara layer Datalink dan layer Network yang dalam kasus ini diletakkan antara kartu interface jaringan dengan driver TCP/IP. Paket paket ini berasal dari layer network akan diperiksa sesuai dengan kebijakan keamanan.
Stack TCP/IP tidak akan melihat paket – pket telah drop atau reject , akan tetapi menyediakan layer proteksi tambahan . Teknologi Inspeksi Seluruh Kondisi dapat melihat keseluruh paket dan membuat suatu keputusan terhadap kebijakan kemanan (Security Police ) berdasarkan muatan dan isi dari paket tersebut. Teknologi ini menjaga alur jejak langkah perjalanan setiap koneksi aktif ke dalam suatu tabel kondisi.. Untuk beberapa layanan seperti FTP, teknologi ini mampu secara dinamis membuka port – port antara dua buah host sehingga komunikasi bisa berhasil dan setelah itu menutupnya jika memang sudah selesai.
Keunggulan teknologi stateful Inspection sebagai berikut : Memiliki tingkat keamanan yang jauh lebih baik Mampu menangani secara penuh permasalahan pada layer apliksi Memiliki kinerja yang tinggi Memiliki skalabilitas yang jauh lebih baik Memiliki kemampuan perluasan yang lebih baik dibanding dua metoda sebelumnya
Memiliki kemampuan yang sepenuhnya transparanTabel 1.1 Tabel perbandingan Teknologi arsitektur Firewall
Kemampuan Firewall Filtering Packets
Aplication Layer Gateways
Stateful Inspection
Informasi Komunikasi Parsial Parsial YaKondisi Akibat komunikasi Tidak Parsial YaKondisi Akibat Aplikasi Tidak Ya YaManipulasi Informasi Parsial Ya Ya
3. Protokol H.323H.323 adalah suatu standar yang menentukan komponen protokol, dan prosedur yang
menyediakan layanan komunikasi multimedia yakni komunikasi audio,Video dan data real time, melalui jaringan berbasis paket (packet based network ). Jaringan berbasis paket tersebut antara lain internet Protocol (IP), internet Packet Exchange (IPX), Local Area Network (LAN), Enterprise Network (EN), Metropolitan Area Network (MAN), dan Wide Area Network (WAN).
Gambar 2 H.323 Seperangkat protokol yang digunakan untuk video Conference
Protokol yang meng – coding video H.261/3, Audio G723 dan G711, dan beberapa protokol yang untuk berkomunikasi dengan gatekeeper.
Tabel di bawah ini rangkuman TCP dan UDP yang digunakan oleh H.323
Tabel 1. Rangkuman TCP dan UDP yang digunakan H.323
Port Type Description H323 Client
H323 MCU
H323 Gatekeeper
80 Static TCP HTTP Interface (Optional)
389 Static TCP ILS Registration (LDAP) x
1502 Static TCP T.120 x x
1718 Static UDP Gatekeeper Discovery x x x
1719 Static UDP Gatekeeper RAS x x x
1720 Static UDP/TCP H323 Call Setup x x
1731 Static TCP Audio Call Control x x 1024-65535 Dynamic UDP H245 Call Parameters
x x
1024-65535 Dynamic UDP
RTP ( Video Data Streams)
x x
1024-65535 Dynamic UDP
RTP ( Audio Data Streams)
x x
1024- Dynamic UDP RTCP Control Information x x
65535
3.1 Keunggulan H.323
Keunggulan Protokol H.323 sebagai standar protokol untuk multimedia terletak pada hal berikut :
Standar Codec : H.323 membuat standar untuk kompresi dan dkompresi untuk aliran data video dan audio, sehingga memastikan bahwa peralatan lain memiliki kompabilitas dengan peralatan yang lain.
InteroperabilitasUser yang akan melaksnakan conference tidak harus khawatir akan kompabilitas pada sisi penerima. Selain memastikan bahwa penerima (receiver) dapat mendekompresi informasi yang dikirim , H. 323 juga mengembangkan metoda untuk menerima client untuk berkomunikasi yang sama dengan pengirimnya.
Network IndependenceH.323 dirancang agar dapat berjalan di lapisan atas dari arsitektur jaringan secara umum. Karena teknologi jaringan mengalami evolusi, dan teknik pengaturan bandwidth meningkat , maka solusi berbasis H.323 dirasa dapat mengikuti perkembangan tersebut.
Patform dan Aplplication indepedenceH.323 tidak terikat pada salah satu jenis perangkat keras ataupun sistem operasi. Platform yang compliant dengan H.323 akan tersedia dalam berbagai ukuran dan bentuk, termasuk PC yang video enabled yang terdedikasi, peralatan telepon yang IP –enabled maupun TV kabel
Dukungan terhadap multipointWalaupun pada kenyataannya H.323 dapat mendukung conference sampai tiga atau lebih endpoint tanpa membutuhkan multipoint control unit yang special , sebenarnya MCU menyediakan arsitektur yang fleksibel dan powerful untuk conference multipoint kemampuan multipoint dapat disertakan dalam tiap komponen sistem H.323.
Bandwidt ManagementTrafik Video dan audio adalah trafik yang membutuhkan bandwidth yang besar dan kebanyakan dapat membuat jaringan komunikasi data terhambat. H.323 berusaha menemukan solusi terhadap permasalahan ini dengan mempersiapkan pengaturan bandwidth. Pengaturan jaringan dapat membatasi jumlah user yang tersambung ke jaringan H.323 secara bersamaan.sesuai dengan bandwidth yang tersedia untuk aplikasi H.323.
Dukungan terhadap multicastH.323 mendukung pengangkutan multicast dalam conference multipoint. Multicast mengirim paket tunggal ke subset tujuan dalam jaringan tanpa replikasi. Sedangkan unicast mengirimkan multiple transmisi point to point , dan broadcast mengirim ke semua tujuan.
FleksibelSebuah conference H.323 dapat menyertakan sejumlah endpoint dengan kemampuan berbeda. Sebagai contoh, sebuah terminal yang berkemampuan suara saja dapat berpatisipasi dalam conference dengan terminal yang mempunyai kemampuan video dan data. Termianl H.323 dapat membagi porsi data untuk conference video dengan terminal yang berkemampuan T.120 (data) saja, dan melakukan pembagian suara dan video dengan terminal H.323 yang lain.
Inter Network ConferencingBanyak user yang menginginkan untuk melaksanakan conference dari sebuah LAN ke jarak jauh. H.323 dapat membangun antara sistem desktop berbasis LAN dengan
sistem grup ISDN. H.323 menggunakan teknologi codec yang umum untuk tiap standar video conference yang berbeda untuk mengurangi delay transcoding.
3.2. Komponen H.323Standar H.323 terdiri atas empat komponen yang jika disatukan dalam suatu jaringan\ akan memberikan layanan komunikasi multimedia point to point dan multipoint.
3.2.1 Terminal Terminal digunakan untuk komunikasi multimedia yang yang realtime bidirectional (dua
arah) . Terminal H.323 dapat berupa personal supercomputer atau sebuah peralatan yang menjalankan aplikasi multimedia H.323. Peralatan tersebut harus mendukung komunikasi suara dan dan komunikasi data atau video.
Terminal H.323 dibuat untuk mendukung fungsi-fungsi : Pertukaran kemampuan terminal dan pembautan akanl media H.245 Cal Signaling dan call setup H.225 Registrasi admision control dengan gatekeepeer (RAS) RTP/RTCP untuk pengurutan audia dan Video
3.2.2. GatewaySebuah gateway menghubungkan dua buah jaringan yang berbeda. Gateway H.323
menghubungkan jaringan H.323 dengan jaringan non-H.323. Sebagai contoh, suatu gateway dapat menghubungkan dan menyediakan komunikasi antara terminal H.323 dengan Switched Circuit Network. Pada jaringan yang sama –sama mengunakan H.323 tidak membutuhkan gateway.
3.2.3. GateKeeperGatekeeper merupakan titik fokus dari semua call yang terjadi pada network H.323.
Gatekeeper menyediakan layanan – layanan yang penting seperti pengalamatan , otorisasi dan otenfikasi dari terminal dan gateway.
3.2.4 Multipoint Control Unit (MCU)MCU memberikan dukungan untuk konferensi tiga atau lebih terminal H.323. Semua
terminal akan berpatisipasi dalam konferensi melakukan koneksi terlebih dahulu dengan Multipoint Control Unit. MCU Mengatur konferensi resource, negoisasi antar terminal untuk tujuan penentuan audio atau video coder/decoder (CODEC) yang digunakan untuk menangani media stream. Gatekeeper, Gateway dan MCU secara logika terpisah tapi secara fisikal dapat dijadikan satu.
3..3 NAT Nat (Network Address Translation) adalah teknik untuk memetakan dan menulis kembali
seperangkat IP address. NAT digunakan untuk menyediakan sebuah class dari IP private dan IP unregister. Seperti 192.168.*.*.untuk mengakses ke host dengan adrres register internet yang unik.
Metoda pengamanan NAT adalah suatu bentuk pengamanan yang tidak teridentifikasi. Dengan menggunakan NAT di video conference membuat tidak mungkin untuk mensetting tanpa gatekeeper antar client. Dengan demikian tidak memungkinkan mengakses proxy secara langsung antar client karena setiap proses harus melalui gatekeeper.
4. H323 dan firewallBila menggabungkan antara firewall dan H.323 akan tercipat lubang seperti tampak pada gambar 3
Gambar 3. Lubang di firewall pada trafic H.323
Seperti tampak pada gambar 3 akan tercipta suatu lubang di Firewall bila menggunakan protokol H.323. Sehingga ada beberapa masalah yang muncul bila mengintregrasikan kedua sistem tersebut. Masalah ini muncul karena beberapa alasan:
H.323 menggunakan dinamik PORT Informasi control akan diencode oleh Protokol H.323 Setup yang dilakukan di Setiap sesi dilakukan dari dua arah (dari dalam dan dari luar) Keterbatasan Proxy H.323 yang tersedia
Walaupun demikian ada beberapa solusi yang dapat dilakukan untuk mengatasi permasalah diatas yaitu dengan mengkombinasikan ketiga metode firewall statefull inspection, packet filtering dan proxy dengan cara :
Hanya menggunakan packet Filtering Packet Filtering dan H,323 proxy disisi luar firewall Statefull packet filtering dan H.323 proxy disisi luar firewall Packet Filtering dan H.323 Proxy disisi dalam firewall Statefull packet filtering dan H.323 proxy disisi dalam firewall Menggunakan Media Server Ridgeway VX
4.1. Packet FilteringMetoda Firewall Packet filtering akan membagi komunikasi data antara network internal
dan internet. Di paket filtering akan diijinkan semua port yang diberikan di tabel 1 dibuka, termasuk port yang bernomor lebih dari 1023. Penggunaan port yang bernomor lebih dari 1023 menimbulkan risiko dimasuki penyusup yang akan mudah memonitor jalur data, maka untuk mengurangi risiko disapad oleh penyususpharus ditentukan terlebih dahulu di IP address yang digunakan..4.2 Paket Filtering dan H.323 proxy disisi luar firewall
Tampak pada gambar 4 proxy disisi luar firewall. Proxy berfungsi mengontrol setiap sesi dari Protokol H.323. Karena proxy disisi luar firewall maka maka semua traffic dari proxy ke client video conference harus diijinkan memasuki internal network.
Kelemahan dari sistem ini adalah bila proxy ditumpangi oleh hacker maka internal network akan mudah disusupi karena port dengan nomor lebih 1023 terbuka semua. .
4.3. Statefull packet filtering dan H.323 proxy disisi luar firewall
Statteful packet filter di firewall tidak perlu mengaktifkan port yang lebih besar dari 1023. Statefull packet filter mengintrepretasi paket H.323 dan di setiap sesinya akan mengijinkan
Gambar 4. Statefull packet filtering dan H.323 proxy disisi luar firewall
membuka beberapa port untuk lalu lintas data antara proxy dan internal client videoconference untuk sementara waktu. Kombinasi statefull dan proxy merupakan alternatif kombinasi yang cukup baik karena tingkat pengamanan yang cukup baik dan kesederhanaan dalam pengaturan dan biaya cukup rendah. Kelemahan dari metoda ini saat menseting proxy karena tidak terlindungi di jaringan internet
4.4. Packet Filtering dan H.323 Proxy disisi dalam firewall
Dengan menempatkan paket filtering dan H.323 disisi dalam firewall akan memperkecil kemungkinan diserang hacker dan mencegah lalu lintas data disusupi. Walaupun demikian bila ada kemungkinan dususupi bila client luar akan meminta akses ke proxy.
Metoda ini sangat disarankan untuk digabung dengan metoda statefull.
Gambar 5. Packet Filtering dan H.323 Proxy disisi dalam firewall
4.5. Statefull packet filtering dan H.323 proxy disisi dalam firewallBila kita menginginkan untuk tidak mengijinkan host yang tidak dikenal memasuki
jaringan kita walaupun sesion tersebut disambungkan oleh proxy , kita dapat meletakkan proxy ini di daerah Demilitarized Zone (DMZ). Di bagian berikutu\nya akan dibahas implementasi dari H.3232 proxy di daerah DMZ
4.6 Menggunakan Media Server Ridgeway VXVXMedia server adalah metoda yang ditawarkan oleh Ridgeway tampak di gambar 6.
Metoda ini memerlukan software khusus yang dijalankan disetiap client. Client software diregistrasi melalui HTTP di webserver yang mana melalui API instruksi VX edia server diseting untuk menghubungkan dua client. Semua komunikasi H.323 antara Vxmedia server menggunakan dua port yaitu nomor 176 dan 177.
Keuntungan metoda ini dapat bekerja di NAT sistem dan tidak perlu menginstall proxy. Kerugian sistem ini adalah biaya yang mahal dan tidak semua H.323 mendukung sistem ini.
Gambar 6. Rigeway Vxmedia server
5. Konfigurasi dari Implementasi dari solusi – solusi yang telah ditawarkan .5.1 H.323 proxy di daerah Zona Demilitarized
Seperti telah diejalaskan di bagian sebelumnya konfigurasi yang terbaik yaitu meletakkan H.323 proxy di sisi dalam dari firewall dan menggunakan statefull paket filtering untuk mengijinkan kontrol dinamik ke proxy. Kerugian dari cara ini proxy dapat diakses dari mana saja yang tentu akan mengurangi daya pertahanan dari firewall tersebut.
H.323 proxy adalah suatu kombinasi yang masih dalam taraf percobaan sehingga kemungkinan ada bug dari program sehingga ditempatkan tidak di internal network tapi di tambahkan di suatu tempat yang dinamakan demilitarzed zone seperti tampak pada gambar 7
.Gambar 7. Model konfigurasi dengan menempatkan H.323 proxy di zona demiliterazed
Zona Demiliterazed(DMZ) sering disebut dengan istilah screneed subnet. Host DMZ dapat diakses dari manapun misal dari host ftp/www atau dari host SMTP/DNS. Router yang digunakan dalam konfigurqasi ini yang terbaik digunakan dua buah yaitu disebelah luar untuk menghubungkan internet dengan DMZ dan di sebelah dalam untuk menghubungkan internal network dan DMZ
5.2. H.323 ProxyAda 3 model proxy yang dapat digunakan yaitu : OpenH.323Proxy KOMproxy CiscoMCM Proxy
Cisco MCM(Multimedia Conference Manager) dijalankan sebagai image antara lain pada CISCO router 3600, 7200,, 2600 dan MC 3810 dan dikombinasikan dengan gatekeeper.gateway dan proxy.Sebagai alternatif dapat digunakan CISCO proxy dan diatur pada parameter QoS (Quality of Services). Dengan pengaturan proxy yang demikian proxy di zona berbeda akan dapat saling berkomunikasi melalui internet.
OpenH.323 proxy dan KOMproxy adalah dapat diimplementasikan secara open source dan berbasis pada openH.323 Stack. Open H.323 berfungsi sebagai proxy dan gatekeeper. Keduanya dijalankan dibawah sistem operasi UNIX.. Kelemahan dari model diatas adalah cukup sulit untuk melakukan kompilasi. Cara untuk melakukan melakukan kompilasi sebagai berikut :
Semua kode dikompilsi dil LINUX RED HAT 7.1 dengan kernel 2.42 Komputer yang terbaik dapat digunakan pentium IV minimal 1.7 GHZ dengan RAM
512 MB. Download kode PWLIB dari website http://www.openH323.org/code.html. Pertama compile PWLIB kemudian open H.323 Pastikan OPENH,323DIR dan PWLIBDIR mengacu pada direktori yang sama Contoh berikut skrip seting yang dilakukan :
PWLIBDIR=$HOME/pwlib export PWLIBDIR OPENH323DIR=$HOME/openH323 export OPENH323DIR LD_LIBRARY_PATH=$PWLIBDIR/lib:$OPENH323DIR/lib export LD_LIBRARY_PATH
Download H.323 Proxy Lakukan pengaturan sebagai berikut :
H225_Alias_Address::e_e164 --> H225_Alias_Address::e_dialedDigits H225_PartyNumber::e_publicNumber --> H225_PartyNumber::e_e164Number
Untuk KOMproxy perlu ditambahakan gatekeeper karena KOMproxy tidak memiliki gatekeeper. Gatekeeper diletakkan di internal network dan di internet. Gatekeeper yang berfungsi untuk menghubungkan client dengan proxy. Model pengalamatan menggunakan international address scheme for videoconferencing.
5.2 Menginstalasi Statefull Inspection di Cisco Router.Langkah yang dilakuakn untuk meninstalasi router sebagai berikut : Ijinkan semua lalulintas data dari internet ke DMZ dengan data yang berasal dari :
Semua host ke proxy di UDP Port 1719 (RAS gatekeeper) Semua hosts ke proxy di TCP port 1720 (H323 Call-setup) Semua host ke proxy diCP/UDP ports >10000 (Audio/Video channels)
Ijinkan juga semua data dari DMZ ke Internet yagn berasal dari :Proxy Ke video conference client 1 ke CP port 1720 Poxy keVideoconference client-2 diCP port 1720 Hingga …Ke proxy ke videoconference clinet n di TCP port 1720 Proxy ke Gatekeeper di UDP port 1719
Dan jalur data yang lain didisable. Semua kombinasi ini dapat berjalan bila digabungkan dengan CBAC (Context Based Access Control) . Pengaturan CBAC rules akan memastikan ketersediaan jalur alamat yang diatur oleh ACL (Adress Control List) untuk sesi yang dilakukan seperti contoh ilustrasi beriku sebelum melakukan pengaturan antara 2 client video conference alamat yang dapat digunakan yaitu
tcp host 192.87.116.130 host 192.87.116.162 eq 1720 log udp host 192.87.116.130 host 192.87.116.163 eq 1719 log tolak IP yang lain.
Dan setelah melakukan Pengaturan IP yang dapat dapat digunakan ::udp host 192.87.116.130 eq 10111 host 192.87.116.162 eq 1176 permit udp host 192.87.116.130 eq 10107 host 192.87.116.162 eq 1174 permit udp host 192.87.116.130 eq 10110 host 192.87.116.162 eq 1177 permit udp host 192.87.116.130 eq 10106 host 192.87.116.162 eq 1175 permit udp host 192.87.116.130 eq 10101 host 192.87.116.162 eq 5423 permit udp host 192.87.116.130 eq 10110 host 192.87.116.162 eq 5422 permit udp host 192.87.116.130 eq 10097 host 192.87.116.162 eq 5421 permit udp host 192.87.116.130 eq 10106 host 192.87.116.162 eq 5420 permit tcp host 192.87.116.130 eq 10094 host 192.87.116.162 eq 1173 permit tcp host 192.87.116.130 host 192.87.116.162 eq 1720 log permit udp host 192.87.116.130 host 192.87.116.163 eq 1719 log tolak IP yang lain.
Sedangkan untuk Konfigurasi CISCO ROUTER dapat dilakukan sebagai berikut :
nlgate#sh run Building configuration... Current configuration : 3040 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname nlgate ! no logging console enable secret 5 xxxxxxxxxxxx enable password 7 xxxxxxxxxxx ! ip subnet-zero ! ! ip domain-name showcase.surfnet.nl ip name-server 192.87.108.3 ip name-server 192.87.109.5 ! ip inspect name PrivateOut H323 timeout 3600 ip inspect name PrivateIn H323 timeout 3600
ip audit notify log ip audit po max-events 100 ip ssh time-out 120 ip ssh authentication-retries 3 ! call rsvp-sync ! ! ! ! ! ! ! ! interface FastEthernet0/0 no ip address no ip mroute-cache speed 100 full-duplex no cdp enable ! interface FastEthernet0/0.1 description *** Showcase *** GigaPort 18 encapsulation isl 116 ip address 192.87.116.62 255.255.255.128 ip access-group 101 in ip access-group 102 out no ip redirects ! interface FastEthernet0/0.2 description *** VCNet1 *** encapsulation isl 161 ip address 192.87.116.129 255.255.255.224 ip access-group 112 out no ip redirects ! interface FastEthernet0/0.3 description *** VCNet2 *** encapsulation isl 162 ip address 192.87.116.161 255.255.255.224 ip access-group 121 in ip access-group 122 out no ip redirects ip inspect PrivateIn in ip inspect PrivateOut out ! interface FastEthernet0/1 no ip address duplex auto speed auto no cdp enable ! ip classless ip route 0.0.0.0 0.0.0.0 192.87.116.1 no ip http server ip pim bidir-enable ! logging 192.87.116.130 access-list 1 permit 192.87.109.0 0.0.0.255 access-list 1 deny any log access-list 101 permit tcp any host 192.87.116.130 eq 22 log
access-list 101 permit tcp any host 192.87.116.130 eq 1720 log access-list 101 permit udp any host 192.87.116.130 eq 1719 log access-list 101 permit udp any host 192.87.116.130 gt 10000 log access-list 101 permit tcp any host 192.87.116.130 gt 10000 log access-list 101 deny ip any any access-list 102 permit ip 192.87.116.128 0.0.0.31 any access-list 102 deny ip 192.87.116.160 0.0.0.31 any access-list 112 permit tcp any host 192.87.116.130 eq 22 log access-list 112 permit tcp any host 192.87.116.130 eq 1720 log access-list 112 permit udp any host 192.87.116.130 eq 1719 log access-list 112 permit tcp any host 192.87.116.130 gt 10000 log access-list 112 permit udp any host 192.87.116.130 gt 10000 log access-list 112 deny ip any any log access-list 121 permit udp host 192.87.116.163 host 192.87.116.130 eq 1719 log access-list 121 permit tcp host 192.87.116.162 host 192.87.116.130 eq 1720 log
access-list 121 deny ip any any log access-list 122 permit tcp host 192.87.116.130 host 192.87.116.162 eq 1720 log access-list 122 permit udp host 192.87.116.130 host 192.87.116.163 eq 1719 log access-list 122 deny ip any any log ! snmp-server community gk4H323 RO ! dial-peer cor custom ! ! ! ! ! line con 0 access-class 1 in exec-timeout 0 0 password 7 xxxxxxxxxxx login line aux 0 line vty 0 4 access-class 1 in password 7 xxxxxxxxxxx login line vty 5 15 access-class 1 in login ! no scheduler allocate end
Sebelum melakukan pengaturan antara 2 clients viedoconference perlu diperhatikan peraturan mengenai daftar IP yang dapat dimanfaatkan yaitu : tcp host 192.87.116.130 host 192.87.116.162 eq 1720 log udp host 192.87.116.130 host 192.87.116.163 eq 1719 log
5.3 Menginstalasi KOMProxy.The KOMProxy dikompilasi di Linux RH 7.1. Konfigurasi untuk instalasi KOMProxy sebagai berikut :
####################################### # proxyd.conf ####################################### #-------------------------------------- # misc
#-------------------------------------- LOGLEVEL = 3; LOGTARGET = 2; LOGDIR = /usr/local/KOMproxyd/; #LISTENER_0 = test_0; #LISTENER_1 = generic_1; #LISTENER_2 = ftp_0; LISTENER_3 = H323_0; FIREWALL = nofw_0; SESSION_0 = ras_0; LOCALIP = 192.87.116.130; #FILLMETHOD = FILLFIRST; FILLMETHOD = FILLEQUAL; #-------------------------------------- # ras #-------------------------------------- ras_0_NAME = ras; ras_0_PATH = /usr/local/KOMproxyd/; ras_0_PORT = 1719; ras_0_PROTO = 17; ras_0_TIMEOUT = 0; ras_0_Q931_PORT = 1720; ras_0_Q931_LOCATOR = H323_0; ras_0_Q931_LOCATOR_TIMEOUT = 60; ras_0_LOCATOR_0 = PDU; ras_0_LOCATOR_PDU_DIGIT_0 = 0; ras_0_LOCATOR_PDU_DIGIT_0_PORT = 1719; ras_0_LOCATOR_PDU_DIGIT_0_IP = 192.87.39.4; ras_0_LOCATOR_PDU_DIGIT_1 = 2; ras_0_LOCATOR_PDU_DIGIT_1_PORT = 1719; ras_0_LOCATOR_PDU_DIGIT_1_IP = 192.87.116.163; ras_0_LOCATOR_PDU_DIGIT_2 = 3; ras_0_LOCATOR_PDU_DIGIT_2_PORT = 1719; ras_0_LOCATOR_PDU_DIGIT_2_IP = 192.87.116.163; ras_0_LOCATOR_PDU_DIGIT_3 = 5; ras_0_LOCATOR_PDU_DIGIT_3_PORT = 1719; ras_0_LOCATOR_PDU_DIGIT_3_IP = 192.87.116.163; ras_0_LOCATOR_PDU_DIGIT_4 = 6; ras_0_LOCATOR_PDU_DIGIT_4_PORT = 1719; ras_0_LOCATOR_PDU_DIGIT_4_IP = 192.87.116.163; ras_0_LOCATOR_PDU_DIGIT_5 = 9; ras_0_LOCATOR_PDU_DIGIT_5_PORT = 1719; ras_0_LOCATOR_PDU_DIGIT_5_IP = 192.87.116.163; ras_0_ALLOW_locationRequest = YES; ras_0_ALLOW_locationRequest = YES; ras_0_ALLOW_locationConfirm = YES; ras_0_ALLOW_locationReject = YES; #-------------------------------------- # H323 #-------------------------------------- H323_0_NAME = H323; H323_0_PATH = /usr/local/KOMproxyd/; H323_0_PORT = 1720; H323_0_PROTO = 6; H323_0_TIMEOUT = 0; H323_0_DATAFASTPATH = 0; H323_0_LOCATOR_0 = PDU; #H323_0_LOCATOR_PDU_DIGIT_0 = 100; #H323_0_LOCATOR_PDU_DIGIT_0_PORT = 1720; #H323_0_LOCATOR_PDU_DIGIT_0_IP = 130.83.139.154; #H323_0_LOCATOR_1 = CONF; #H323_0_LOCATOR_CONF_HOST_0 = 130.83.139.161;
#H323_0_LOCATOR_CONF_HOST_0_IP = 130.83.139.174; #H323_0_LOCATOR_CONF_HOST_0_PORT = 1720; #H323_0_LOCATOR_2 = FW; H323_0_ALLOW_Q931_setup = YES; H323_0_ALLOW_Q931_callProceeding = YES; H323_0_ALLOW_Q931_connect = YES; H323_0_ALLOW_Q931_alerting = YES; H323_0_ALLOW_Q931_information = NO; H323_0_ALLOW_Q931_releaseComplete = YES; H323_0_ALLOW_Q931_facility = YES; H323_0_ALLOW_Q931_progress = YES; H323_0_ALLOW_Q931_empty = NO; H323_0_ALLOW_H245_request = YES; H323_0_ALLOW_H245_response = YES; H323_0_ALLOW_H245_command = YES; H323_0_ALLOW_H245_indication = YES; H323_0_ALLOW_CHANNEL_videoData = YES; H323_0_ALLOW_CHANNEL_audioData = YES;
6. KesimpulanH.323 adalah protokol yang luas kemampuannya sehingga tanpa firewall atau NAT pun
dapat dilakukan suatu komunikasi. Tapi walau demikian sangat disarankan menggunakan firewall karena untuk menjaga keamanan dari penyusup yang akan melakukan penyadapan.
Teknik Firewall yang terbaik menggunakan metoda stateful paket filtering dan menggunakan Demilitarized Zone (DMZ). Bila Menggunakan Cisco Router dikombinasikan dengan ACL dan CBAC untuk menjamin kemanan lalu lintas data.
Proxy yang terbaik dapat digunakan KOMProxy karena dari segi kemudahan mengkonfigurasi. Gatekeeper juga perlu ditambahkan untuk menjamin authentinkasi dari client yang menggunakan jalur video conference sehingga kemanan komunikasi lebih terjamin.
7. Daftar Pustaka Roland Sterring, Video Conferencing Behind The firewall, Giga port 25 February 2002 Wisnu Broto, Memahami Dasar-dasar Firewall, Elex Media Komputindo, Jakarta 2003 Tabratas Tharom, Teknis Dan Bisnis VOIP, Elex Media Komputindo, Jakarta 2002
