Kategori
Cisco CyberOps Networking

Network Services [1/2]

DHCP

Dynamic Host Configuration Protocol

Dynamic Host Configuration Protocol (DHCP) untuk layanan IPv4 mengotomatiskan penetapan alamat IPv4, subnet mask, gateway, dan parameter jaringan IPv4 lainnya. Ini disebut sebagai pengalamatan dinamis. Alternatif untuk pengalamatan dinamis adalah pengalamatan statis. Saat menggunakan pengalamatan statis, administrator jaringan secara manual memasukkan informasi alamat IP pada host.

Ketika sebuah host terhubung ke jaringan, server DHCP dihubungi, dan alamat diminta. Server DHCP memilih alamat dari rentang alamat yang dikonfigurasi yang disebut kumpulan dan memberikan (menyewa) ke host.

Pada jaringan yang lebih besar, atau di mana populasi pengguna sering berubah, DHCP lebih disukai untuk penetapan alamat. Pengguna baru mungkin datang dan membutuhkan koneksi; orang lain mungkin memiliki komputer baru yang harus terhubung. Daripada menggunakan pengalamatan statis untuk setiap koneksi, lebih efisien untuk memiliki alamat IPv4 yang ditetapkan secara otomatis menggunakan DHCP.

DHCP dapat mengalokasikan alamat IP untuk periode waktu yang dapat dikonfigurasi, yang disebut periode sewa. Masa sewa adalah pengaturan DHCP yang penting, Ketika masa sewa berakhir atau server DHCP mendapat pesan DHCPRELEASE alamat dikembalikan ke kumpulan DHCP untuk digunakan kembali. Pengguna dapat dengan bebas berpindah dari satu lokasi ke lokasi lain dan dengan mudah membangun kembali koneksi jaringan melalui DHCP.

Seperti yang ditunjukkan gambar, berbagai jenis perangkat dapat menjadi server DHCP. Server DHCP di sebagian besar jaringan menengah hingga besar biasanya merupakan server lokal berbasis PC khusus. Dengan jaringan rumah, server DHCP biasanya terletak di router lokal yang menghubungkan jaringan rumah ke ISP.

Banyak jaringan menggunakan DHCP dan pengalamatan statis. DHCP digunakan untuk host tujuan umum, seperti perangkat pengguna akhir. Pengalamatan statis digunakan untuk perangkat jaringan, seperti router gateway, switch, server, dan printer.

DHCP untuk IPv6 (DHCPv6) menyediakan layanan serupa untuk klien IPv6. Satu perbedaan penting adalah bahwa DHCPv6 tidak menyediakan alamat gateway default. Ini hanya dapat diperoleh secara dinamis dari pesan Router Advertisement dari router.

DHCP Operation

Seperti yang ditunjukkan pada gambar, ketika perangkat yang dikonfigurasikan IPv4, DHCP melakukan boot atau terhubung ke jaringan, klien menyiarkan pesan DHCP Discover (DHCPDISCOVER) untuk mengidentifikasi server DHCP yang tersedia di jaringan. Server DHCP membalas dengan pesan DHCP offer (DHCPOFFER), yang menawarkan sewa kepada klien. Pesan penawaran berisi alamat IPv4 dan subnet mask yang akan ditetapkan, alamat IPv4 dari server DNS, dan alamat IPv4 dari gateway default. Penawaran sewa juga mencakup durasi sewa.

Klien dapat menerima beberapa pesan DHCPOFFER jika ada lebih dari satu server DHCP di jaringan lokal. Oleh karena itu, ia harus memilih di antara keduanya, dan mengirimkan pesan permintaan DHCP (DHCPREQUEST) yang mengidentifikasi server eksplisit dan tawaran sewa yang diterima klien. Klien juga dapat memilih untuk meminta alamat yang sebelumnya telah dialokasikan oleh server.

Dengan asumsi bahwa alamat IPv4 yang diminta oleh klien, atau ditawarkan oleh server, masih tersedia, server mengembalikan pesan pengakuan DHCP (DHCPACK) yang mengakui kepada klien bahwa sewa telah diselesaikan. Jika penawaran tidak lagi valid, maka server yang dipilih akan merespons dengan pesan DHCP Negative acknowledgment (DHCPNAK). Jika pesan DHCPNAK dikembalikan, maka proses pemilihan harus dimulai lagi dengan pesan DHCPDISCOVER baru yang sedang dikirim. Setelah klien memiliki sewa, itu harus diperbarui sebelum masa sewa berakhir melalui pesan DHCPREQUEST lain.

Server DHCP memastikan bahwa semua alamat IP adalah unik (alamat IP yang sama tidak dapat diberikan ke dua perangkat jaringan yang berbeda secara bersamaan). Sebagian besar ISP menggunakan DHCP untuk mengalokasikan alamat ke pelanggan mereka.

DHCPv6 memiliki sekumpulan pesan yang mirip dengan DHCPv4. Pesan DHCPv6 adalah SOLICIT, ADVERTISE, INFORMATION REQUEST, dan REPLY.

DHCP Message Format

Format pesan DHCPv4 digunakan untuk semua transaksi DHCPv4. Pesan DHCPv4 dienkapsulasi dalam protokol transport UDP. Pesan DHCPv4 yang dikirim dari klien menggunakan port sumber UDP 68 dan port tujuan 67. Pesan DHCPv4 yang dikirim dari server ke klien menggunakan port sumber UDP 67 dan port tujuan 68. Struktur pesan DHCPv4 ditunjukkan di bawah ini.

Bidang dijelaskan di sini:

  • Operation (OP) Code – Menentukan jenis umum pesan. Nilai 1 menunjukkan pesan permintaan; nilai 2 adalah pesan balasan.
  • Hardware Type – Mengidentifikasi jenis perangkat keras yang digunakan dalam jaringan. Misalnya, 1 adalah Ethernet, 15 adalah Frame Relay, dan 20 adalah saluran serial. Ini adalah kode yang sama yang digunakan dalam pesan ARP.
  • Hardware Address Length – Menentukan panjang alamat.
  • Hops – Mengontrol penerusan pesan. Ditetapkan ke 0 oleh klien sebelum mengirimkan permintaan.
  • Transaction Identifier – Digunakan oleh klien untuk mencocokkan permintaan dengan balasan yang diterima dari server DHCPv4.
  • Seconds – Mengidentifikasi jumlah detik yang telah berlalu sejak klien mulai mencoba memperoleh atau memperbarui sewa. Digunakan oleh server DHCPv4 untuk memprioritaskan balasan saat beberapa permintaan klien belum diselesaikan.
  • Flags – Digunakan oleh klien yang tidak mengetahui alamat IPv4-nya saat mengirim permintaan. Hanya satu dari 16 bit yang digunakan, yaitu flag broadcast. Nilai 1 di bidang ini memberi tahu server DHCPv4 atau agen relai yang menerima permintaan bahwa balasan harus dikirim sebagai siaran.
  • Client IP Address – Digunakan oleh klien selama perpanjangan sewa ketika alamat klien valid dan dapat digunakan, bukan selama proses memperoleh alamat. Klien menempatkan alamat IPv4 sendiri di bidang ini jika dan hanya jika klien memiliki alamat IPv4 yang valid saat dalam status terikat; jika tidak, itu menetapkan bidang ke 0.
  • Your IP Address – Digunakan oleh server untuk menetapkan alamat IPv4 ke klien.
  • Server IP Address – Digunakan oleh server untuk mengidentifikasi alamat server yang harus digunakan klien untuk langkah selanjutnya dalam proses bootstrap, yang mungkin atau mungkin bukan server yang mengirim balasan ini. Server pengirim selalu menyertakan alamat IPv4-nya sendiri di bidang khusus yang disebut opsi Server Identifier DHCPv4.
  • Gateway IP Address – Merutekan pesan DHCPv4 saat agen relai DHCPv4 terlibat. Alamat gateway memfasilitasi komunikasi permintaan dan balasan DHCPv4 antara klien dan server yang berada di subnet atau jaringan yang berbeda.
  • Client Hardware Address – Menentukan lapisan fisik klien.
  • Server Name – Digunakan oleh server yang mengirim pesan DHCPOFFER atau DHCPACK. Server dapat secara opsional memasukkan namanya di bidang ini. Ini bisa berupa nama panggilan teks sederhana atau nama domain DNS, seperti dhcpserver.netacad.net.
  • Boot Filename – Secara opsional digunakan oleh klien untuk meminta jenis file boot tertentu dalam pesan DHCPDISCOVER. Digunakan oleh server di DHCPOFFER untuk sepenuhnya menentukan direktori file boot dan nama file.
  • DHCP Options  – Menyimpan opsi DHCP, termasuk beberapa parameter yang diperlukan untuk operasi DHCP dasar. Bidang ini panjangnya bervariasi. Baik klien dan server dapat menggunakan bidang ini.

DNS

DNS Overview

Server web yang sering kita sambungkan menggunakan nama seperti www⋅cisco⋅com, sebenarnya dicapai dengan menetapkan alamat IP ke paket. Di internet, nama domain ini lebih mudah diingat orang daripada alamat IP seperti 74.163.4.161. Jika Cisco memutuskan untuk mengubah alamat numerik www⋅cisco⋅com, itu transparan bagi pengguna karena nama domainnya tetap sama. Alamat baru hanya ditautkan ke nama domain yang ada dan konektivitas tetap terjaga.

Domain Name System (DNS) dikembangkan untuk menyediakan sarana yang andal dalam mengelola dan menyediakan nama domain dan alamat IP yang terkait. Sistem DNS terdiri dari hierarki global server terdistribusi yang berisi database nama ke pemetaan alamat IP. Komputer klien pada gambar akan mengirimkan permintaan ke server DNS untuk mendapatkan alamat IP untuk www⋅cisco⋅com sehingga dapat mengalamatkan paket ke server tersebut.

Analisis terbaru terhadap ancaman keamanan jaringan menemukan bahwa lebih dari 90% eksploitasi perangkat lunak berbahaya menggunakan sistem DNS untuk melakukan kampanye serangan jaringan. Analis keamanan siber harus memiliki pemahaman menyeluruh tentang sistem DNS dan cara lalu lintas DNS berbahaya dapat dideteksi melalui analisis protokol dan pemeriksaan informasi pemantauan DNS. Selain itu, malware sering menghubungi server perintah-dan-kontrol menggunakan DNS. Ini membuat URL server menjadi indikator kompromi untuk eksploitasi tertentu.

DNS Resolves Names to IP Addresses

The DNS Domain Hierarchy

DNS terdiri dari hierarki domain tingkat atas generik (gTLD) yang terdiri dari .com, .net, .org, .gov, .edu, dan banyak domain tingkat negara, seperti .br (Brasil), .es (Spanyol), .uk (Inggris Raya), dll. Pada tingkat berikutnya dari hierarki DNS adalah domain tingkat kedua. Ini diwakili oleh nama domain yang diikuti oleh domain tingkat atas. Subdomain ditemukan di tingkat berikutnya dari hierarki DNS dan mewakili beberapa divisi dari domain tingkat kedua. Terakhir, level keempat dapat mewakili host dalam subdomain. Setiap elemen dari spesifikasi domain terkadang disebut label. Label bergerak dari atas hierarki ke bawah dari kanan ke kiri. Sebuah titik (“.”) di akhir nama domain mewakili server root di bagian atas hierarki. Gambar tersebut mengilustrasikan hierarki domain DNS ini.

Domain tingkat atas yang berbeda mewakili jenis organisasi atau negara asal. Contoh domain tingkat atas adalah sebagai berikut:

  • .com – bisnis atau industri
  • .org – organisasi nirlaba
  • .au – Australia
  • .co – Kolombia


Gambar tersebut menunjukkan pohon Hirarki DNS. Di bagian atas adalah Root Level Domain dengan TOP-Level Domains (TLD) yang terhubung di bawah Root Level Domainmain. TLD tersebut adalah .net, .edu, .com,.au, .co, dan doamin tingkat atas lainnya. Di bawah .com TLD adalah domain Tingkat Kedua www.cisco.com dan di bawah cisco.com adalah www.cisco.com , ftp.cisco.com, dan mail.cisco.com.

The DNS Lookup Process

Untuk memahami DNS, analis keamanan siber harus terbiasa dengan istilah-istilah berikut:

  • Resolver – Klien DNS yang mengirim pesan DNS untuk mendapatkan informasi tentang ruang nama domain yang diminta.
  • Recursion – Tindakan yang diambil saat server DNS diminta untuk melakukan kueri atas nama resolver DNS.
  • Authoritative Server  – Server DNS yang merespons pesan kueri dengan informasi yang disimpan di Catatan Sumber Daya (RR) untuk ruang nama domain yang disimpan di server.
  • Recursive Resolver – Server DNS yang secara rekursif menanyakan informasi yang diminta dalam permintaan DNS.
  • FQDN – Nama Domain yang Sepenuhnya Memenuhi Syarat adalah nama absolut perangkat dalam database DNS terdistribusi.
  • RR – Catatan Sumber Daya adalah format yang digunakan dalam pesan DNS yang terdiri dari bidang berikut: NAMA, JENIS, KELAS, TTL, RDLENGTH, dan RDATA.
  • Zone – Database yang berisi informasi tentang ruang nama domain yang disimpan di server otoritatif.

Ketika mencoba untuk menyelesaikan nama ke alamat IP, host pengguna, yang dikenal dalam sistem sebagai resolver, pertama-tama akan memeriksa cache DNS lokalnya. Jika pemetaan tidak ditemukan di sana, kueri akan dikeluarkan ke server DNS atau server yang dikonfigurasi di properti pengalamatan jaringan untuk resolver. Server ini mungkin ada di perusahaan atau ISP. Jika pemetaan tidak ditemukan di sana, server DNS akan meminta server DNS tingkat tinggi lainnya yang berwenang untuk domain tingkat atas untuk menemukan pemetaan. Ini dikenal sebagai kueri rekursif.

Karena potensi beban pada server domain tingkat atas otoritatif, beberapa server DNS dalam hierarki memelihara cache dari semua catatan DNS yang telah diselesaikan untuk jangka waktu tertentu. Server DNS caching ini dapat menyelesaikan kueri rekursif tanpa meneruskan kueri ke server tingkat yang lebih tinggi. Jika server memerlukan data untuk suatu zona, server akan meminta transfer data tersebut dari server otoritatif untuk zona tersebut. Proses mentransfer blok data DNS antar server dikenal sebagai transfer zona.

Gambar menunjukkan penyelesai DNS klien di sebelah kiri yang mengirimkan kueri DNS ke penyelesai rekursif DNS, server domain tingkat sekunder, yang memiliki nama domain dns.xyxco.com. Kueri diteruskan ke salah satu server domain tingkat atas. Contoh di kolom ini termasuk server .com, server .org, server .br, dan server .uk. Setiap server domain tingkat atas berkomunikasi dengan server DNS root. Salah satu server domain tingkat atas mengirimkan respons DNS non-otoritatif ke resolver rekursif DNS yang, pada gilirannya, mengirimkan respons DNS non-otoritatif kembali ke klien, resolver DNS.

Step 1

Pengguna mengetik FQDN ke dalam bidang Alamat aplikasi browser.

Step 2

Permintaan DNS dikirim ke server DNS yang ditunjuk untuk komputer klien.

Step 3

Server DNS mencocokkan FQDN dengan alamat IP-nya.

Step 4

Respons permintaan DNS dikirim kembali ke klien dengan alamat IP untuk FQDN.

Step 5

Komputer klien menggunakan alamat IP untuk membuat permintaan dari server.

DNS Message Format

DNS menggunakan port UDP 53 untuk kueri dan respons DNS. Kueri DNS berasal dari klien dan tanggapan dikeluarkan dari server DNS. Jika respons DNS melebihi 512 byte, seperti saat DNS Dinamis (DDNS) digunakan, port TCP 53 digunakan untuk menangani pesan. Ini mencakup format untuk kueri, tanggapan, dan data. Komunikasi protokol DNS menggunakan format tunggal yang disebut pesan. Format pesan yang ditunjukkan pada gambar ini digunakan untuk semua jenis permintaan klien dan respons server, pesan kesalahan, dan transfer informasi catatan sumber daya antar server.

Server DNS menyimpan berbagai jenis RR yang digunakan untuk menyelesaikan nama. Catatan ini berisi nama, alamat, dan jenis catatan. Berikut adalah daftar dari beberapa jenis catatan ini:

  • A – Alamat IPv4 perangkat akhir
  • NS – Server nama otoritatif
  • AAAA – Alamat IPv6 perangkat akhir (diucapkan quad-A)
  • MX – Catatan pertukaran surat

Saat klien membuat kueri, proses DNS server pertama-tama melihat catatannya sendiri untuk menyelesaikan nama. Jika tidak dapat menyelesaikan nama menggunakan catatan yang disimpan, ia menghubungi server lain untuk menyelesaikan nama. Setelah kecocokan ditemukan dan dikembalikan ke server peminta asli, server menyimpan sementara alamat bernomor jika nama yang sama diminta lagi.

Layanan Klien DNS pada PC Windows juga menyimpan nama yang diselesaikan sebelumnya dalam memori. Perintah ipconfig /displaydns menampilkan semua entri DNS yang di-cache.

DNS Menggunakan Pesan yang Sama Untuk

  • Semua jenis permintaan klien dan tanggapan server
  • Pesan kesalahan
  • Transfer catatan sumber daya antar server

Seperti yang ditunjukkan pada gambar, DNS menggunakan format pesan yang sama antar server, terdiri dari pertanyaan, jawaban, otoritas, dan informasi tambahan untuk semua jenis permintaan klien dan respons server, pesan kesalahan, dan transfer informasi catatan sumber daya. Tabel menjelaskan setiap bagian.

DNS message sectionDescription
QuestionThe question for the server. It contains the domain name to be resolved, the class of domain, and the query type.
AnswerThe DNS resource record, or RR, for the query including the resolved IP address depending on the RR type.
AuthorityContains the RRs for the domain authority.
AdditionalRelevant to query responses only. Consists of RRs that hold additional information that will make query resolution more efficient

Dynamic DNS

DNS memerlukan registrar untuk menerima dan mendistribusikan pemetaan DNS dari organisasi yang ingin mendaftarkan pemetaan nama domain dan alamat IP. Setelah pemetaan awal dibuat, proses yang dapat memakan waktu 24 jam atau lebih, perubahan alamat IP yang dipetakan ke nama domain dapat dilakukan dengan menghubungi registrar atau menggunakan formulir online untuk melakukan perubahan. Namun, karena waktu yang diperlukan untuk proses ini terjadi dan pemetaan baru untuk didistribusikan dalam sistem nama domain, perubahan dapat memakan waktu berjam-jam sebelum pemetaan baru tersedia untuk resolver. Dalam situasi di mana ISP menggunakan DHCP untuk memberikan alamat ke domain, ada kemungkinan bahwa alamat yang dipetakan ke domain dapat kedaluwarsa dan alamat baru diberikan oleh ISP. Hal ini akan mengakibatkan gangguan konektivitas ke domain melalui DNS. Pendekatan baru diperlukan untuk memungkinkan organisasi membuat perubahan cepat pada alamat IP yang dipetakan ke domain.

Dynamic DNS (DDNS) memungkinkan pengguna atau organisasi untuk mendaftarkan alamat IP dengan nama domain seperti pada DNS. Namun, ketika alamat IP pemetaan berubah, pemetaan baru dapat disebarkan melalui DNS hampir secara instan. Agar hal ini terjadi, pengguna memperoleh subdomain dari penyedia DDNS. Subdomain itu dipetakan ke alamat IP server pengguna, atau koneksi router rumah ke internet. Perangkat lunak klien berjalan pada router atau PC host yang mendeteksi perubahan alamat IP internet pengguna. Ketika perubahan terdeteksi, penyedia DDNS segera diberitahu tentang perubahan tersebut dan pemetaan antara subdomain pengguna dan alamat IP internet segera diperbarui, seperti yang ditunjukkan pada gambar. DDNS tidak menggunakan entri DNS yang sebenarnya untuk alamat IP pengguna. Sebaliknya, ia bertindak sebagai perantara. Domain penyedia DDNS terdaftar dengan DNS, tetapi subdomain dipetakan ke alamat IP yang sama sekali berbeda. Layanan penyedia DDNS memasok alamat IP tersebut ke server DNS tingkat kedua resolver. Server DNS itu, baik di organisasi atau ISP, memberikan alamat IP DDNS ke resolver.

DNS Dinamis dapat disalahgunakan oleh pelaku ancaman dengan berbagai cara. Layanan DDNS gratis sangat berguna bagi pelaku ancaman. DDNS dapat digunakan untuk memfasilitasi perubahan cepat alamat IP untuk server perintah dan kontrol malware setelah alamat IP saat ini diblokir secara luas. Dengan cara ini, malware dapat dikodekan dengan URL daripada alamat IP statis. DDNS juga dapat digunakan sebagai cara untuk mengekstrak data dari dalam jaringan karena lalu lintas DNS sangat umum dan sering dianggap tidak berbahaya. DDNS sendiri tidak ganas, namun pemantauan lalu lintas DNS yang menuju ke layanan DDNS yang diketahui, terutama yang gratis, sangat berguna untuk mendeteksi eksploitasi.

The WHOIS Protocol

WHOIS adalah protokol berbasis TCP yang digunakan untuk mengidentifikasi pemilik domain internet melalui sistem DNS. Ketika domain internet didaftarkan dan dipetakan ke alamat IP untuk sistem DNS, pendaftar harus memberikan informasi mengenai siapa yang mendaftarkan domain tersebut. Aplikasi WHOIS menggunakan query, berupa FQDN. Kueri dikeluarkan melalui layanan atau aplikasi WHOIS. Catatan pendaftaran kepemilikan resmi dikembalikan kepada pengguna oleh layanan WHOIS. Ini dapat berguna untuk mengidentifikasi tujuan yang telah diakses oleh host di jaringan. WHOIS memiliki keterbatasan, dan peretas memiliki cara untuk menyembunyikan identitas mereka. Namun, WHOIS adalah titik awal untuk mengidentifikasi lokasi internet yang berpotensi berbahaya yang mungkin telah dijangkau melalui jaringan. Layanan WHOIS berbasis internet yang disebut ICANN Lookup dapat digunakan untuk mendapatkan catatan pendaftaran sebuah URL. Layanan WHOIS lainnya dikelola oleh pendaftar internet regional seperti RIPE dan APNIC.

NAT

IPv4 Private Address Space

Seperti yang Anda ketahui, alamat IPv4 publik tidak cukup untuk menetapkan alamat unik ke setiap perangkat yang terhubung ke internet. Jaringan umumnya diimplementasikan menggunakan alamat IPv4 pribadi, seperti yang didefinisikan dalam RFC 1918. Rentang alamat yang termasuk dalam RFC 1918 termasuk dalam tabel berikut. Sangat mungkin bahwa komputer yang Anda gunakan untuk melihat kursus ini diberi alamat pribadi.

ClassRFC 1918 Internal Address RangePrefix
A10.0.0.0 – 10.255.255.25510.0.0.0/8
B172.16.0.0 – 172.31.255.255172.16.0.0/12
C192.168.0.0 – 192.168.255.255192.168.0.0/16

Alamat pribadi ini digunakan dalam organisasi atau situs untuk memungkinkan perangkat berkomunikasi secara lokal. Namun, karena alamat ini tidak mengidentifikasi satu perusahaan atau organisasi, alamat IPv4 pribadi tidak dapat dirutekan melalui internet. Untuk mengizinkan perangkat dengan alamat IPv4 pribadi untuk mengakses perangkat dan sumber daya di luar jaringan lokal, alamat pribadi harus terlebih dahulu diterjemahkan ke alamat publik.

NAT menyediakan terjemahan alamat pribadi ke alamat publik, seperti yang ditunjukkan pada gambar. Ini memungkinkan perangkat dengan alamat IPv4 pribadi untuk mengakses sumber daya di luar jaringan pribadi mereka, seperti yang ditemukan di internet. NAT, dikombinasikan dengan alamat IPv4 pribadi, telah menjadi metode utama untuk melestarikan alamat IPv4 publik. Satu alamat IPv4 publik dapat digunakan bersama oleh ratusan, bahkan ribuan perangkat, masing-masing dikonfigurasi dengan alamat IPv4 pribadi yang unik.

Tanpa NAT, kehabisan ruang alamat IPv4 akan terjadi jauh sebelum tahun 2000. Namun, NAT memiliki keterbatasan dan kekurangan, yang akan dieksplorasi nanti dalam modul ini. Solusi untuk kehabisan ruang alamat IPv4 dan keterbatasan NAT adalah transisi akhirnya ke IPv6.

What is NAT?

NAT memiliki banyak kegunaan, tetapi penggunaan utamanya adalah untuk menghemat alamat IPv4 publik. Hal ini dilakukan dengan mengizinkan jaringan untuk menggunakan alamat IPv4 pribadi secara internal dan menyediakan terjemahan ke alamat publik hanya bila diperlukan. NAT memiliki manfaat yang dirasakan dengan menambahkan tingkat privasi dan keamanan ke jaringan, karena menyembunyikan alamat IPv4 internal dari jaringan luar.

Router berkemampuan NAT dapat dikonfigurasi dengan satu atau lebih alamat IPv4 publik yang valid. Alamat publik ini dikenal sebagai kumpulan NAT. Ketika perangkat internal mengirimkan lalu lintas keluar dari jaringan, router yang mendukung NAT menerjemahkan alamat IPv4 internal perangkat ke alamat publik dari kumpulan NAT. Untuk perangkat luar, semua lalu lintas yang masuk dan keluar jaringan tampaknya memiliki alamat IPv4 publik dari kumpulan alamat yang disediakan.

Router NAT biasanya beroperasi di perbatasan jaringan rintisan. Jaringan rintisan adalah satu atau lebih jaringan dengan satu koneksi ke jaringan tetangganya, satu jalan masuk dan satu jalan keluar jaringan. Pada contoh pada gambar, R2 adalah router perbatasan. Dilihat dari ISP, R2 membentuk jaringan rintisan.

Ketika perangkat di dalam jaringan rintisan ingin berkomunikasi dengan perangkat di luar jaringannya, paket diteruskan ke router perbatasan. Router perbatasan melakukan proses NAT, menerjemahkan alamat pribadi internal perangkat ke alamat publik, di luar, yang dapat dirutekan.

Catatan: Koneksi ke ISP dapat menggunakan alamat pribadi atau alamat publik yang digunakan bersama di antara pelanggan. Untuk keperluan modul ini, alamat publik ditampilkan.

How NAT Works

Dalam contoh ini, PC1 dengan alamat pribadi 192.168.10.10 ingin berkomunikasi dengan server web luar dengan alamat publik 209.165.201.1.

Port Address Translation

Port Address Translation (PAT), juga dikenal sebagai NAT overload, memetakan beberapa alamat IPv4 pribadi ke satu alamat IPv4 publik atau beberapa alamat. Inilah yang dilakukan sebagian besar router rumah. ISP memberikan satu alamat ke router, namun beberapa anggota rumah tangga dapat mengakses internet secara bersamaan. Ini adalah bentuk NAT yang paling umum untuk rumah dan perusahaan.

Dengan PAT, beberapa alamat dapat dipetakan ke satu atau beberapa alamat, karena setiap alamat pribadi juga dilacak oleh nomor port. Ketika perangkat memulai sesi TCP/IP, itu menghasilkan nilai port sumber TCP atau UDP, atau ID kueri yang ditetapkan secara khusus untuk ICMP, untuk mengidentifikasi sesi secara unik. Ketika router NAT menerima paket dari klien, ia menggunakan nomor port sumbernya untuk secara unik mengidentifikasi terjemahan NAT tertentu.

PAT memastikan bahwa perangkat menggunakan nomor port TCP yang berbeda untuk setiap sesi dengan server di internet. Ketika respons kembali dari server, nomor port sumber, yang menjadi nomor port tujuan pada perjalanan pulang, menentukan ke perangkat mana router meneruskan paket. Proses PAT juga memvalidasi bahwa paket yang masuk diminta, sehingga menambahkan tingkat keamanan ke sesi.

Saat R2 memproses setiap paket, R2 menggunakan nomor port (1331 dan 1555, dalam contoh ini) untuk mengidentifikasi perangkat dari mana paket berasal. Alamat sumber (SA) adalah alamat lokal di dalam dengan nomor port yang ditetapkan TCP/UDP ditambahkan. Alamat tujuan (DA) adalah alamat global luar dengan nomor port layanan yang ditambahkan. Dalam contoh ini, port layanan adalah 80, yaitu HTTP.

Untuk alamat sumber, R2 menerjemahkan alamat lokal dalam ke alamat global dalam dengan nomor port ditambahkan. Alamat tujuan tidak diubah tetapi sekarang disebut sebagai alamat IPv4 global luar. Saat server web membalas, jalurnya dibalik.

Ref : [1][2][3]