Jaringan VoIP adalah jaringan yang menyediakan layanan multimedia internet aplikasi, memiliki struktur yang cukup rumit dibanding dengan jaringan komputer. Karena kerumitan protokol VoIP maka mekanisme sekuritas terhadap serangan yang mengambil keuntungan dari kelemahan jaringan VoIP perlu dikembangkan dengan baik. Menangkal ancaman dan serangan harus didefinisikan atau dibentuk dengan proses yang baik sehingga pendekatan yang berlapis untuk mempertahankan postur keamanan jaringan VoIP dapat terjamin. Proses tersebut harus dirancang untuk menggambungkan control yang dapat mengatasi hal-hal seperti berikut:
- Mengidentifikasi ancaman yang berlaku
- Mengidentifikasi serangan dan meminimalkan peluang
untuk serangan
- Meminimalkan dampak dari serangan (jika terjadi)
- Mengelola dan mengurangi serangan yang sukses secara tepat
waktu
Selain itu, control jaringan keamanan VoIP mencakup
penggunaan kebijakan keamanan dan komponen yang digunakan untuk mengontrol
akses ke sumber daya dan mencegah serangan. Hal yang paling fundamental untuk
keamanan jaringan VoIP adalah arsitektur yang well-defined. Arsitektur VoIP
harus memasukkan persyaratan untuk keandalan, ketersediaan, kerahasiaan, otorisasi
dan integritas. Untuk mendukung tujuan tersebut kita perlu mengidentifikasi, memprioritaskan
dan mengkategorikan jenis data dan informasi yang dipertukarkan pada layanan
jaringan VoIP. Selain itu, harus diidentifikasi persyaratan keamanan bahwa infrastruktur
harus mendukung tujuan jaringan VoIP. Pengembangan persyaratan keamanan akan
membantu untuk membangun arsitektur yang kuat dan dapat diukur yang
menggabungkan keamanan dan ketersediaan selain QoS. Umumnya, keamanan jaringan
VoIP yang ditinjau dari arsitekturnya mencakup Segmentasi jaringan yang tepat (Network
Segmentation), out-ofband network management, dan private addressing.
1. Network Segmentation
Network Segementation atau Sementasi Jaringan
merupakan salah satu arsitektur yang perlu diperhatikan dalam layanan
komunikasi VoIP. Pada perusahaan, segmentasi jaringan memberikan kemampuan
untuk merampingkan dan mengontrol lalu lintas yang mengalir di antara komponen
VoIP.
Gambar 3.31
Contoh Arsitektur Segmentasi Jaringan pada Perusahaan
Gambar 3.31 menggambarkan konfigurasi jaringan
perusahaan dengan VoIP tersegmentasi. Dalam arsitektur sampel ini, semua
komponen kritis logis terisolasi. Penyaringan lalu lintas dapat ditegakkan oleh
elemen jaringan pendukung seperti router dan switch atau penggunaan firewall
VoIP atau perbatasan sesi controller ( Session Border Controller - SBC). Sebagai
contoh, call Agent, PSTN gateways, server pesan suara, unified messaging
server, email server, VoIP hard-Phone, dan VoIP soft-Phone, semua terletak di
VLAN (Virtual LAN) yang berbeda. Sebagai tambahan signaling dan media lalu
lintas antara VLAN dibatasi. Jika lalu lintas penyaringan diberlakukan oleh
router atau switch, penggunaan daftar control akses (ACL) adalah pilihan khas.
Dalam contoh ini, sebagian besar lalu lintas sinyal akan mengalir antara VLAN
yang rumah agen call dan semua VLAN lainnya. Oleh karena itu, ACL pada call agentsVLAN
akan lebih Panjang dibandingkan dengan VLAN lainnya. Karena lalu lintas sinyal
dapat SIP, H.323, MGCP, atau sinyal lain. Oleh karena layanan pengiriman signal
dapat berupa SIP, H.323, MGCP atau protocol pengiriman signal yang lain
(contoh, Skinny), maka tambahan penyaringan dapat diterapkan untuk mencegah
sinyal lain yang dapat mengalir antara VLAN.
Tabel 3.1 menunjukkan contoh ACL yang memungkinkan SIP
signaling antara VoIP telepon dan Call Agent VLAN.
Sebagai tambahan, Call Agent mungkin memiliki
kemampuan untuk mengatur panggilan yang masuk ( termasuk otentifikasi dan
otorisasi) berdasarkan pada kredensi, profil, manajemen, gudang dan aturan
(contoh: menolak panggilan internasional atau sejumlah panggilan dari internal
maupun eksternal) dari pengguna VoIP. Media lalu lintas jaringan mengijinkan
layanan terjadi antara VLAN yang sudah terdaftar, seperti PSTN gateway VLAN,
VoIP phone VLAN, dan Voicemail Server VLAN. Perlu diingat bawha jalur media bernegosiasi
secara dinamis antara setiap titik akhir VLAN tersebut. Oleh karena itu,
menggunakan ACL untuk membantasi lalu lintas RTP membutuhkan pendefinisian
jarak antara port UDP yang diijinkan antara titik akhir. Biasanya, port antara 16.384 dan 32.767 digunakan
untuk audio; port antara 49.152 dan 65.535 digunakan untuk video. Sebuah
perusahaan penjual layanan VLAN mungkin menggunakan jarak yang berbeda, tetapi
jarak yang digunakan seharusnya mungkin untukmengidentifikasi nilai-nilai
rendah dan tinggi dari jangkauan untuk menerapkan ACL yang sesuai.
Gambar 3.32 memperlihatkan contoh penyaringan ACL
antara komponen VoIP dalam VLAN yang berbeda. Konfigurasi ini membatasi sinyal
VoIP dan lalu lintas media mengalir hanya antara VLAN yang sesuai. Tambahan
lagi, contoh tersebut juga memperlihatkan penyaringan ACL menyediakan lapisan
pertahanan untuk signaling dan media dari serangan yang berasal dari jaringan
selain VLAN yang ditunjuk. Sebagai contoh, sebuah serangan yang berasal dari
titik lain dalam jaringan terhadap port signaling gateway suara akan gagal.
Dalam kasus di mana lalu lintas sinyal yang dipertukarkan antara komponen VLAN,
ACL dapat lebih disesuaikan untuk mengendalikan lalu lintas antara elemen jaringan
berdasarkan alamat IP individu daripada seluruh subnet. Dengan kata lain, ACL
dapat menegakkan pertukaran lalu lintas yang berasal sinyal dari panggilan agen
alamat IP dan gateway IP suara alamat diport yang sesuai. Granularity tersebut jelas tergantung pada
ukuran jaringan dan komponen terkait yang perlu dikelola. Untuk lingkungan
perusahaan besar, konfigurasi ini mungkin tidak optimal.
2. Out-of-band Network Manajemen
Manajemen infrastruktur VoIP juga merupakan dimensi
yang perlu dipertimbangkan dalam arsitektur VoIP. Manajemen jaringan VLAN
memiliki visibilitas untuk semua VLAN dalam jaringan untuk memantau Kesehatan semua
komponen VoIP. Biasanya, komponen inti VoIP dikonfigurasi dengan dua antarmuka
jaringan. Salah satu antarmuka ditugaskan untuk manajemen VLAN, dan lainnya ke
VLAN produksi di mana sinyal dan media stream ditangani, seperti yang
ditunjukkan pada gambar 3.33 berikut ini:
3. Private Addressing
Private Addressing digunakan sebagai mekanisme lain
untuk melindungi terhadap serangan eksternal. Pertumbuhan eksponensial dari internet
di awal 1990-an mengisyaratkan menipisnya alamat IP yang unik secara global.
IETF dipublikasikan RFC 1918, "Alamat Alokasi untuk Private
Internets," dalam upaya untuk mendorong organisasi untuk menggunakan
alamat IP nonroutable untuk sistem yang tidak dimaksudkan untuk langsung
terhubung ke Internet. dengan mengkonfigurasi host internal organisasi dengan
satu set alamat IP dan menggunakan hanya satu set kecil alamat IP untuk lalu
lintas rute internet, penipisan Alamat IP routable- Internet telah melambat.
Sebuah host internal akan mengirim semua lalu lintas melalui komponen yang
bertanggung jawab untuk routing lalu lintas ke Internet dan juga melakukan
Network Address Translation (NAT), sebagai digambarkan pada gambar 3.34
Perangkat NAT dapat melakukan address-to-address translation atau alamat dan
terjemahan pelabuhan.
Firewall VoIP membantu melindungi terhadap berbagai
serangan dengan menegakkan kebijakan lalu lintas inbound dan outbound lalu
lintas dan mendukung Jaringan dan Alamat port Translation (Network and Port
Address - NAPT). NAT menyediakan topologi jaringan internal tersembunyi dan
menekan serangan eksternal terhadap host internal. Menyediakan NAT juga
memperkenalkan hambatan untuk mengelolah dengan benar Sesi multimedia Internet.
Salah satu isu penyebaran dengan VoIP dan firewall adalah manajemen sesi yang
tepat. Ketika telepon VoIP yang berada di belakang firewall NAT memulai
panggilan ke ponsel lain, sinyal tersebut mengirimkan pesan termasuk informasi
yang mencerminkan sifat dari penyelenggara asal telepon. Informasi ini mencakup
alamat IP lokal telepon dan port yang pesan itu dikirim dari dan port yang sinyal
dan media pesan harus diterima. Jika telepon jarak jauh berada di luar Firewall
NAT, informasi yang terkandung dalam pesan sinyal akan tidak sah karena mereka mencerminkan
pengalamatan jaringan internal.
Gambar 3.18 pada bagian Mengamati/Observasi memberikan
contoh di mana pesan sinyal dari host 192.168.1.5 dikirimkan ke telepon Bob di bob@remotenetwork.com
dengan alamat 192.168.200.5. Catatan dua item penting di sini. Pertama, IP
alamat pesan telah berubah dari 192.168.1.5 ke 192.168.100.60. Kedua, alamat IP
yang diiklankan dalam pesan SIP dimana sinyal dan media pesan tersebut harus
dikirim adalah 192.168.1.5, yang tidak benar.
Ketika Bob menjawab telepon, itu akan mulai
mentransmisikan ke alamat IP 192.168.1.5 bukan 192.168.100.60, dan semua paket
akan dibuang. Firewall NAT harus mampu untuk memeriksa pesan SIP dan membuat
modifikasi yang diperlukan untuk header SIP / SDAP untuk mencerminkan sesuai
Alamat IP dan port yang harus digunakan (dalam hal ini, firewall NAT alamat
eksternal IP dan port dari mana permintaan itu dikirim). Selain itu, firewall NAT
harus siap untuk menerima lalu lintas RTP dari Telepon Bob dengan memeriksa header
SDP dan mengidentifikasi port telah dinegosiasikan antara dua titik akhir. IETF
telah mengembangkan pendekatan untuk mengatasi masalah dengan SIP dan NAT'ing.
Solusi ini didefinisikan dalam metodologi ICE dan
termasuk STUN (Traversal Sederhana UDP melalui NAT, RFC 3489) protokol dan MENGHIDUPKAN
(Traversal Menggunakan Relay NAT). Meskipun firewall VoIP memberikan
perlindungan, seperti yang disebutkan sebelumnya, dan mereka dapat mengenali
dan menangani komunikasi VoIP, mereka tidak bisa menawarkan skalabilitas yang
diperlukan yang diperlukan untuk mendukung IP multimedia komunikasi dalam lingkungan
carrier-grade mana diperlukan untuk mengelola jutaan sesi multimedia simultan.
Oleh karena itu, fungsi untuk mengelola sesi multimedia didedikasikan untuk
perangkat seperti SBC (pengendali perbatasan sesi).
FUNGSI FIREWALL PADA JARINGAN VOIP
Fungsi firewall pada jaringan VoIP sendiri terdiri dari beberapa fungsi berikut.
1.
Alat pertahanan dari hacking
Firewall
pada jaringan VoIP berfungsi sebagai alat pertahanan pertama untuk mencegah
percobaan peretasan atau hacking.
Pengertian
hacking sendiri adalah perusakan struktur jaringan yang dapat dilakukan oleh
pihak tidak bertanggung jawab. Firewall akan menjaga informasi rahasia supaya
tidak keluar tanpa izin dari pengguna.
2.
Mengontrol paket data
Firewall
harus dapat mengatur, mengawasi, memfilter, dan juga mengontrol aktivitas
komputer yang terhubung ke internet. Fungsi firewall pada sebuah jaringan VoIP
ini adalah untuk mengontrol izin akses jaringan privat.
3.
Memeriksa paket data
Fungsi
selanjutnya dari firewall adalah untuk memeriksa paket data yang akan melewati
jaringan VoIP.
4.
Memberikan akses
Firewall
dapat memeriksa keamanan atau ancaman yang bisa masuk melalui sebuah jaringan
yang terhubung ke komputer.
Firewall
dapat memberi akses untuk izin dari sistem yang aman. Sedangkan jika ada
ancaman dari sebuah jaringan atau sistem, firewall dapat memblokir akses
tersebut.
5.
Mendeteksi protokol aplikasi
Fungsi
firewall pada jaringan VoIP yang lainnya adalah untuk memeriksa header paket
data dan juga mendeteksi protokol aplikasi dengan lebih spesifik.
6.
Merekam lalu lintas
Fungsi
dari firewall untuk jaringan VoIP adalah untuk mencatat atau merekam aktivitas
atau lalu lintas yang terjadi. Hal tersebut berguna untuk mendeteksi apabila
ada percobaan pembajakan jaringan.
7.
Melindungi physing, deface, dan carding
Apa
itu phiysing? Phiysing adalah pemalsuan data yang dilakukan oleh orang yang
tidak berwenang. Deface diketahui sebagai modifikasi pada sebuah website oleh
pihak luar secara ilegal. Selanjutnya carding atau
pencurian identitas perbankan yang dapat merugikan.
8.
Meminimalkan peluang ancaman
Fungsi
atau manfaat firewall pada jaringan VoIP adalah dapat mengidentifikasi ancaman
yang mungkin berbahaya dari sebuah jaringan. Fungsi ini dapat meminimalkan
peluang untuk terkena serangan, baik malware, serangan hacker, dan lain
sebagainya.
Jenis-jenis Ancaman pada Jaringan VoIP yang Dapat Dicegah Firewall
Ada
beberapa istilah ancaman atau gangguan yang digunakan di dunia networking.
Jaringan yang terhubung ke komputer selalu memiliki peluang ancaman. Firewall
dipasang untuk melindungi berbagai ancaman atau serangan tersebut.
1.
Fabrication
Fungsi
firewall adalah untuk melindungi dari ancaman fabrication yaitu objek palsu yang
disisipkan di dalam sebuah sistem. Serangan ini biasanya berbentuk pesan palsu
yang dikirim ke orang lain.
2.
Interruption
Fungsi
firewall pada jaringan VoIP adalah untuk melindungi dari ancaman interruption.
Ancaman ini dapat menyerang sistem dan memblokir sehingga tidak dapat diakses
oleh yang berwenang. Interruption dapat merusak perangkat
keras dan juga saluran jaringan.
3.
Modification
Ancaman
yang selanjutnya adalah modification atau perubahan pada suatu aset atau data
oleh pihak yang tidak bertanggung jawab. Serangan ini biasanya berupa perubahan
data hingga pesan yang diubah saat dipindahkan oleh suatu jaringan. Fungsi
firewall pada jaringan VoIP adalah untuk mencegah hal tersebut.
4.
Interception
Firewall
untuk jaringan VoIP adalah untuk melindungi dari ancaman interception. Serangan
ini umumnya berupa penyadapan yaitu saat pihak luar yang tidak berwenang
mengambil alih akses dari suatu aset. Hal tersebut biasanya dilakukan
untuk dapat mengambil atau mengubah suatu data melalui sebuah jaringan
Sangat membantu
BalasHapus