Mengatur Akses Internet pada Intranet

Sudah tidak aneh bahwa seluruh komputer dalam LAN organisasi (perusahaan)
dapat mengakses Internet. Fasilitas ini disediakan supaya karyawan dapat
bekerja lebih efisien: surat menyurat dengan kertas sebagian besar sudah
dapat digantikan oleh penggunaan e-mail; pencarian informasi lebih mudah
dilakukan melalui situs Web; forum diskusi multimedia; dan banyak hal lain.
Semua lebih mudah dan efisien karena akses Internet dapat dilakukan dari
meja kerja masing-masing.

Mungkin koneksi ke Internet yang dimiliki perusahaan berupa satu line
telepon untuk dial-up. Atau koneksi dedicated dengan leased line, atau
waveLAN. Apa pun jenisnya, perusahaan harus mengeluarkan biaya untuk koneksi
tersebut. Dengan demikian, penggunaannya juga harus bermanfaat bagi
perusahaan.

Bagaimana mengatur fasilitas tersebut agar sesuai dengan tujuannya? Benarkah
hanya karyawan yang menggunakan fasilitas tersebut?

Tidak adakah orang asing
yang ikut memanfaatkan fasilitas tersebut dari intranet perusahaan? Banyak
perusahaan yang belum memikirkan hal ini sampai suatu saat muncul gangguan
akibat ulah orang asing.

Umumnya pemakai melalui dial-up lebih mudah diidentifikasi dan diatur
aksesnya. Pada terminal server yang melayani dial in terdapat catatan
tentang siapa yang menggunakan sebuah host (IP) pada waktu tertentu. Lain
halnya dengan LAN, tidak ada batasan waktu sambungan dan catatan pengguna
komputer. Penggunaan DHCP dan keharusan login pada server NT atau server
Netware tidak membantu. Siapa saja masih tetap dapat menyambungkan
komputernya ke dalam sistem jaringan yang ada, kemudian memiliki akses.
Pemakai, yang memiliki sedikit pengetahuan jaringan TCP/IP, dengan mudah
memperoleh nomor IP yang dapat digunakan.

Oleh karenanya, pembatasan akses ke Internet kepada pemakai jaringan
intranet seharusnya perlu diterapkan oleh kalangan perusahaan, universitas,
atau bahkan warnet. Di sini penulis akan memaparkan beberapa contoh cara
melakukan pembatasan akses Internet. Dan juga alternatif yang berlaku bagi
semua jenis komputer client dengan sebarang sistem operasi.

Strategi Pemberian Akses

Secara umum prosedur di atas dijelaskan dalam tiga langkah berikut:
a. Identifikasi user (login) mendaftar dan menyimpan informasi user dalam
sebuah tabel, disebut “daftar user aktif” (active users) dalam format record
{user, host}.
b. Setiap paket IP yang lewat diperiksa: paket dilewatkan (atau
diterjemahkan) jika berasal dari host yang ada dalam active users. Apabila
tidak berasal dari salah satu host tersebut, paket ditolak.
c. Ketika user logout, record {user, host} yang sesuai dihapus. Dengan
demikian paket yang keluar dari host tersebut akan ditolak (lihat b).

Model yang Pernah Dikembangkan
1. Proxy. Sebelum membuka akses ke Internet, client harus mengakses proxy
server, kemudian proxy server ini berlaku sebagai broker yang mewakili
client mengadakan transaksi dengan server tujuan.

Proxy Web (http) sangat menguntungkan karena adanya tempat penyimpanan
sementara yang disebut cache. Penggunaan cache bersama dapat menghemat
bandwidth dan meningkatkan kinerja jaringan secara signifikan. Ini telah
dilakukan oleh rekan-rekan di AI3 dalam proyek cachebone. Informasi lebih
lengkap dapat dilihat di http://cachebone.unila.ac.id/.

Fungsi broker ini juga dapat ditingkatkan sebagai filter. Misalnya
penyaringan virus dari Internet secara transparan, tanpa harus menginstalasi
antivirus di setiap komputer client. Selain menghemat biaya lisensi juga
tidak merepotkan pemakai yang biasanya awam. Atau bahkan penyaringan banner
iklan dan situs porno.

Identifikasi user untuk protokol HTTP sudah tersedia dalam proxy HTTP server
seperti SQUID (http://squid.nlanr.net). Namun demikian, banyak aplikasi
jaringan lain yang tidak dapat menggunakan proxy.

2. SOCKS. Dari lapisan aplikasi sebelum ke lapisan network, data diganti
supaya hubungan dilakukan ke socks server. Pada SOCKS versi 5, sudah
diterapkan adanya otentikasi user. Pembaca dapat mencoba secara gratis,
socks yang telah dikembangkan oleh NEC (http://www.socks.nec.com/).

Dalam library sistem operasi, disisipkan sebuah lapisan antara lapisan
network dengan lapisan application. Akibatnya, karena lapisan application
digeser ke atas, banyak aplikasi tidak dapat berjalan begitu saja tanpa
diubah. Hampir semua aplikasi tidak dapat berjalan dengan baik. Sebagian
besar harus disesuaikan kembali.

3. IP-masquerade dan Network Address Translator (NAT). Model ini dijalankan
pada router yang bertugas meneruskan paket. Paket yang datang tidak
diteruskan begitu saja, tetapi dimanipulasi terlebih dahulu dengan urutan
sebagai berikut:
1. Kiriman dari host-C di intranet diganti IP-nya sehingga seakan-akan
berupa paket yang berasal dari router-N.
2. Host-S, lawan bicara di Internet, akan mengira ada pembicaraan dengan
router-N
3. Host-S menjawab komunikasi dengan router-N
4. Router-N mengganti tujuan IP paket tersebut untuk host-C

Demikian seterusnya berlaku untuk semua paket yang lewat. Sayangnya,
IP-masquerade dan NAT tidak dilengkapi dengan kemampuan identifikasi
pemakai.

Otentikasi

Pemakai Windows barangkali telah mengenal wingate, yang berjalan di keluarga
Windows. Wingate adalah software yang berlaku sebagai router dengan
kemampuan proxy dan socks. Wingate juga mampu mengidentifikasi pemakai dari
NT, tetapi tidak untuk sistem operasi yang lainnya.

Masih ada beberapa software lainnya. Namun daripada memeriksa kelebihan dan
kekurangannya, penulis mengajukan sebuah alternatif, yaitu TELNET. Tepatnya,
otentikasi system UNIX yang ada dalam UTMP (unix: manual 5). Alasan memilih
telnet, karena:
- Telnet ada di semua jenis sistem operasi.
- Telnet merupakan aplikasi standar (pasti ada) setiap sistem jaringan
TCP/IP.
- Telnet (TCP) server sudah tersedia dalam sistem UNIX.
- Telnet (TCP) server juga dapat dibuat dengan sangat mudah.
- Telnet dapat diganti dengan SSH.banyak sekali keuntungan akses shell,
karena pemakai dapat menyimpan data dan program di server, juga menjalankan
program di server, utamanya komputer client tidak perlu yang berkelas
tinggi.

Implementasi pada FreeBSD

Mengingat peranan yang mendasar dan kecepatan proses yang dibutuhkan, tidak
baik membuat program (daemon) yang berjalan sendiri. Solusi terbaik adalah
melakukan perubahan (patch) pada bagian sistem operasi. Penulis telah
menyelesaikan implementasi dan mengujinya dalam server berbasis FreeBSD.

Perubahan (patch) dapat diambil dari home page penulis
(http://home.unpar.ac.id/~gatut/proxy-1-login/), yaitu mencakup:
- Library di telnet server, penulis telah menambahkan kemampuan untuk
1. Menulis UTMP di tempat lain yang akan dibaca oleh NAT
daemon (disingkat NATd, yaitu program yang menjalankan NAT).
2. Membatasi agar user hanya login dari satu host dalam waktu bersamaan.
- NATd dengan kemampuan memeriksa tabel UTMP untuk memutuskan apakah sebuah
paket boleh lewat atau tidak.
- Agar lebih optimal disarankan menggunakan SQUID sebagai proxy Web dengan
cache. Jika SQUID diletakkan di luar router, tidak perlu melalukan patch
tetapi tidak dapat menyimpan informasi user. Supaya dapat mengidentifikasi
user berdasarkan hostnya, SQUID harus diubah seperti yang ada dalam home
page tersebut.

Dalam satu komputer dapat berperan sebagai router sekaligus telnet server.
Tetapi hal ini tidak dianjurkan karena beban prosesor mesin untuk memeriksa
setiap paket sudah cukup berat. Idealnya ada satu mesin sebagai router dan
beberapa mesin yang lain sebagai server telnet.

Sumber : Infokomputer