TUGAS MAKALAH

KEAMANAN JARINGAN
“DMZ, IPS & IDS”

DISUSUN OLEH :
Kelompok 2 :
Andrey Samuel Siahaan (16101083)
Amanda Eriska (16101091)
Desita Fatika Sari (16101010)
Elsa Sri Mulyani (16101013)
Faishal Muhammad Zhafran (16101014)
Hafiez Alfaridz (16101016)
Ruti Heruwanti (16101111)
Khulqi Rasyid (16101060)
Kelas : S1 TT A

Dosen Pengampu : Jafaruddin Gusti Amri Ginting S.T., M.T.

FAKULTAS TEKNIK TELEKOMUNIKASI DAN ELEKTRO (FTE)

INSTITUT TEKNOLOGI TELKOM
JL. D.I. PANJAITAN 128 PURWOKERTO
2019
 “DMZ, IPS & IDS”

1) DMZ
a. Pengertian DMZ (Demilitarized Zone)
DMZ adalah kependekan dari Demilitarized Zone, suatu area yang
digunakan berinteraksi dengan pihak luar. Dalam hubungannya dengan
jaringan komputer, DMZ merupakan suatu sub network yang terpisah dari
sub network internal untuk keperluan keamanan.
DMZ merupakan mekanisme untuk melindungi sistem internal dari
serangan hacker atau pihak-pihak lain yang ingin memasuki sistem tanpa
mempunyai hak akses. Dibuat untuk segmentasi jaringan server yang dapat
diakses oleh public dengan aman tanpa harus bisa mengganggu keamanan
sistem jaringan LAN di jaringan private.

b. Metode DMZ
Secara umum DMZ dibangun berdasarkan tiga buah konsep, yaitu
: NAT (Network Address Translation), PAT (Port Addressable Translation)
dan Access List.
1. NAT
Konsep ini bertujuan untuk merubah alamat riil (IP publik) menjadi
alamat internal. Misal : memiliki alamat rill (IP publik) 202.8.90.100,
sehingga dapat membentuk suatu NAT langsung secara otomatis pada data-
data yang datang ke 192.168.100.4 (sebuah alamat jaringan internal).
2. PAT
PAT berfungsi memberikan identitas pada setiap Private IP address
Publik yang dimilikinya, misal 192.168.25.1 diberi identitas 192.168.25.1:10
3. Access List
Konsep ini berfungsi untuk mengontrol secara tepat apa yang datang
dan keluar dari jaringan dalam suatu pertanyaan. Misal: Jika ingin menolak
atau memperbolehkan semua ICMP yang datang ke seluruh alamat IP kecuali
untuk sebuah ICMP yang tidak diinginkan.

2
c. Arsitekur DMZ
Secara umum DMZ berisi beberapa firewall dan segement yang saling
terproteksi satu dengan lainnya dengan aturan yang telah disetting
sebelumnya di firewallnya. Beberapa arsitektur DMZ antara lain : Inside Vs
Outside Arsitektur, Three Homed Firewall, Weak Screened Subnet
Arsitektur, Strong Screened Subnet Arsitektur.
1. Inside VS Outside Arsitektur
Pada diagram dibawah, router akan bertindak sebagai paket filtering
awal tetapi bukan satu-satunya pertahanan. Pada diagram ini tidak ada
koneksi langsung antara internet atau router ke jaringan internal, semua trafik
akan melewati firewall.

Gambar 1.1 Inside VS Outside Arsitektur

2. Three-Homed Firewall DMZ Arsitektur
Pada gambar dibawah merupakan arsitektur yang sederhana, dimana
DMZ dapat diakses oleh publik tetapi terpisah oleh jaringan internal.
Bagaimanapun juga, DMZ harus terproteksi oleh firewall. Disini firewall
akan mengevaluasi trafik dengan beberapa aturan sebagai berikut :
 Internet ke DMZ
 DMZ ke Internet
 Internet ke Jaringan Internal
 Jaringan Internal ke Internet

3
 DMZ ke Jaringan Internal
 Jaringan Internal ke DMZ

Gambar 1.2 Three-Homed Firewall DMZ Arsitektur

3. Weak Screened-Subnet Arsitektur
Pada arsitektur ini ditujukan ke router yang mampu menangani
bandwidth besar.

Gambar 1.3 Weak Screened-Subnet Arsitektur

4. Strong Screened Subnet Arsitektur
Arsitektur ini lebih baik dibandingkan dengan topologi sebelumnya.
Disini baik DMZ dan jaringan internal dilindungi oleh firewall dengan fitur
lengkap yang lebih canggih dari router.

4
 Gambar 1.4 Strong Screened Subnet Arsitektur

d. Implementasi dalam DMZ

Firewall DMZ dapat diimplementasikan tepat pada jaringan private
LAN yang mempunyai tiga jaringan interface, yaitu
1. Interface Internet : Interface ini berhubungan langsung dengan Internet
dan IP addressnya pun juga IP public yang terdaftar.
2. Interface Private atau Interface intranet : adalah interface yang
terhubung langsung dengan jaringan private LAN dan menempatkan
server-server yang rentan terhadap serangan.
3. Jaringan DMZ : Interface DMZ ini berada didalam jaringan Internet yang
sama sehingga bisa diakses oleh pengguna dari Internet. Resources public
yang umumnya berada pada firewall DMZ adalah web-server, proxy dan
mail-server.

e. Layanan Yang Termasuk ke Dalam DMZ

Seperti yang diketahui kalau pada umumnya setiap layanan yang
sedang diberikan kepada pengguna di jaringan eksternal dapat ditempatkan
dalam DMZ. Yang paling umum dari layanan ini adalah : Web Server, Mail
Server, FTP Server, VOIP Server dan DNS Server.

5
2) IPS
a. Pengertian IPS (Intrusion Prevention System)
Intrusion Prevention System (IPS), juga dikenal sebagai sistem deteksi
intrusi dan pencegahan merupakan peralatan pengamanan jaringan yang
bekerja memonitor kegiatan pada suatu jaringan dari aktivitas yang
mengancam kegiatan sebuah jaringan. Intrusion Prevention System dianggap
sebagai pengembangan dari Intrusion Detection System, keduanya bekerja
untuk memonitor lalu lintas jaringan dari aktivitas yang membahayakan
jaringan. IPS mampu mencegah serangan yang datang dengan bantuan
administrator secara minimal atau bahkan tidak sama sekali. Secara logic IPS
akan menghalangi suatu serangan sebelum terjadi eksekusi pada memori.

Gambar 2.1 Standar Proses IPS

6
b. Jenis-jenis IPS
Terdapat 4 jenis Intrusion Prevention System (IPS), yakni :
1. Network-based Intrution Prevention System (NIPS), memiliki fungsi
yaitu untuk memantau seluruh jaringan dari lalu lintas yang
mencurigakan dengan menganalisis aktivitas protocol.
2. Wireless Intrusion Prevention System (WIPS), memiliki fungsi yaitu
untuk memonitor jaringan nirkabel dari lalu lintas yang mencurigakan
dengan menganalisa protocol dari jaringan nirkabel.
3. Network Behavior Analysis (NBA), memerikasa lalu lintas jaringan
untuk mengidentidikasi ancaman yang menghasilkan arus lalu lintas
yang tidak biasa, seperti Distributed Denial of Service attacks, beberapa
bentuk malware, dan pelanggaran kebijakan.
4. Host-based Intrusion Prevention System (HIPS), yaitu perangkat lunak
yang di install untuk memonitor sebuah host untuk kegiatan yang
mencurigakan dengan menganalisis peristiwa yang terjadi di dalam host
tersebut.

c. Cara Kerja IPS

Pertama IPS akan melakukan pecegahan penyusupan (Intrusion) dan
mengidentifikasi penyebab intrusi dengan membandingkan aktivitas yang
dicurigai dan tanda yang ada. Saat intrusi terdeteksi maka IPS akan mengirim
peringatan kepada administrator dan disini firewall akan memblock serangan
yang dicurigai sebagai penyusupan (Intrusion).

Gambar 2.2 Cara Kerja IPS

7
3) IDS
a. Pengertian IDS (Intrusion Detection System)
Intrusion Detection System (IDS) adalah sebuah sistem yang
melakukan pengawasan terhadap traffic jaringan dan pengawasan terhadap
kegiatan-kegiatan yang mencurigakan didalam sebuah sistem jaringan. Jika
ditemukan kegiatan-kegiatan yang mencurigakan berhubungan dengan traffic
jaringan maka IDS akan memberikan peringatan kepada sistem atau
administrator jaringan. Dalam banyak kasus IDS juga merespon terhadap
traffic yang tidak normal/anomali melalui aksi pemblokiran seorang user atau
alamat IP (Internet Protocol).

Gambar 3.1 Instruction Detection System

Istilah Intrusion Detection System merupakan visi dari suatu alat yang
diletakkan pada perimeter jaringan untuk memberitahu akan adanya
penyusup. IDS juga mempunyai peran penting untuk mendapatkan arsitektur
defence-in-depth (pertahanan yang mendalam) dengan melindungi akses
jaringan internal sebagai tambahan dari perimeter defence. Banyak dari fungsi
jaringan internal yang bisa dimonitor demi keamanan yang maksimal.

b. Jenis-jenis IDS
Terdapat 2 jenis Intrusion Detection System (IDS), yakni :
1. Network-based Intrusion Detection System (NIDS), yaitu semua lalu
lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari
apakah ada percobaan serangan atau penyusupan ke dalam sistem

8
 jaringan. Kelemahan dari NIDS adalah bahwa NIDS agak rumit
diimplementasikan dalam sebuah jaringan yang menggunakan switch
Ethernet, meskipun beberapa vendor switch Ethernet telah menerapkan
fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi.
2. Host-based Intrusion Detection System (HIDS), Aktivitas sebuah host
jaringan individual akan dipantau apakah terjadi sebuah percobaan
serangan atau penyusupan ke dalamnya atau tidak.

c. Cara Kerja IDS

Cara Kerja IDS adalah dengan menggunakan pendeteksian berbasis
signature / Signature-based IDS (seperti halnya yang dilakukan oleh beberapa
antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data
yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh
penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan
terhadap basis data signature IDS yang bersangkutan.
Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang
disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang
mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang.
Umumnya, dilakukan dengan menggunakan teknik statistik untuk
membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal
yang biasa terjadi.

Gambar 3.2 Cara Kerja IDS

9
d. Perbandingan antara IDS dan IPS
Adapun perbandingan antara IDS dan IPS terdiri dari beberapa aspek yaitu :

Tabel 3.1 Perbandingan antara IDS dan IPS

10
Sumber Referensi
Abram. (2018, Februari 19). MENGENAL IPS (INTRUSION PREVENTION
SYSTEM) NETWORK SECURITY. Diambil kembali dari http://www.immersa-
lab.com/mengenal-ipsintrusion-prevention-system-network-security.htm
Abram. (2018, Februari 15). PENGERTIAN IDS SECURITY, JENIS, DAN CARA
KERJANYA. Diambil kembali dari http://www.immersa-
lab.com/pengertian-ids-jenis-dan-cara-kerjanya.htm
Basukarna. (2014, Desember 16). DMZ Design. Diambil kembali dari
https://edysusanto.com/dmz-design/
Hermawan, K. A. (2012). IMPLEMENTASI INTRUSION PREVENTION SYSTEM
DALAM JARINGAN MENGGUNAKAN SURICATA PADA OS UBUNTU.
Bandung.
Kurniati, M. (2017). EVALUASI SISTEM KEAMANAN JARINGAN
MENGGUNAKAN. Jurnal Informanika, 19-29.
Ryan. (2018, Februari 12). Mari Pahami Demilitarized Zone Pada Jaringan
Komputer. Diambil kembali dari
http://www.circadianshift.net/teknologi/mari-pahami-demilitarized-zone-
pada-jaringan-komputer/

11