Office Network Plan, Design dan Implementasinya

Dalam merancang desain jaringan kantor yang baik dan ideal, sudah seharusnya seluruh teknologi jaringan telekomunikasi dimasukkan ke dalam desain. Katakanlah firewall, intrusion prevention system, network monitoring system, bandwidth management, load balancing, dan lain sebagainya. Di posting kali ini mari kita bahas desain jaringan kantor yang baik dan ideal, artinya seluruh komponen tersebut di atas akan saya masukkan ke dalam desain tanpa memikirkan faktor budget a.k.a kesanggupan ekonomi penerapan seluruh desain ini hehe.

Master Plan Topology
Master Plan Topology

Desain di atas ini terdiri dari 6-bagian, mari kita bahas desain ini per-bagian-nya

0. Internet Router + Load Balancer, The Internet

Di bagian 0 (tidak dituliskan di gambar), adalah bagian luar dari network kita ini. Perangkat yang ada di bagian ini salah satunya adalah router internet. Router internet yang akan mem-forward packet dari network kita keluar dan sebaliknya, sebagai pintu gerbang dari internet menuju network kita. Interface luar router yang terhubung langsung ke internet memiliki IP public, semua IP private network ini akan di translasikan pada router ini. IP Private harus di translasikan ke IP Public karena IP private adalah non-routeable IP di “awan internet” sana (RFC 1918). Namun ada kalanya router hanya mem-forward packet saja tanpa melakukan translasi. Translasi Source-NAT (SNAT) dilakukan oleh firewall dibawahnya. Tetapi SNAT di firewall tidak ideal untuk diimplementasikan di network kita ini, karena diatas firewall ada bandwidth management yang masih membutuhkan segmen-segmen IP private untuk meng-apply QoS policy nya untuk cekek bandwidth user di segmen tertentu hehe. Tidak menutup kemungkinan di desain lainnya, firewall itu sendiri yang menjadi router, sehingga proses SNAT dan routing ke internet dilakukan di firewall yang terhubung langsung ke internet.

Komponen kedua yang ada di bagian nol ini adalah load balancer. Load balancer berfungsi untuk mengatur load traffic jika network memiliki dua uplink ke internet. Secara fungsinya load balancer ada yang melakukan fungsi Active/Active load balancer, yang artinya kedua uplink ke internet diutilisasikan (tidak ada link yang nganggur). Ada lagi load balancer mode Active/Passive, yang artinya salah satu dari 2 uplink tersebut nganggur (difungsikan sebagai backup/slave) dan dipergunakan hanya saat link master terputus/fail.

 1. Bandwidth Management + Portal

Di bagian ke 1 ini, terdapat perangkat bandwidth management yang mengatur traffik dari arah luar ke dalam dan sebaliknya (upload dan download). Cara kerja bandwidth management adalah memberlakukan QoS pada packet yang lewat kemudian melakukan traffic shaping sesuai QoS yang ada pada packet IP tersebut. Umumnya tipe bandwidth management ada dua jenis, yaitu strict atau commit. Strict maksudnya perangkat bandwidth management memberikan maximum bandwidth usage (up to) yang boleh digunakan user. Sedangkan commit maksudnya perangkat bandwidth management memberikan jaminan bandwidth kepada user. Pada type commit, user tetap mendapatkan guarantee bandwidth (minimum bandwidth yang dijamin) pada saat traffik congest/padat sekalipun.

Contoh penerapan bandwidth management:

Network

Type

Bandwidth

10.0.0.0/16 (VLAN VIP) Commit 512 Kbps
10.1.0.0/16 (VLAN Staff) Strict 512 Kbps
10.2.0.0/16 (VLAN Guest) Strict 256 Kbps
10.5.0.0/16 (VLAN Server Farm) Commit 1 Mbps
192.168.1.0/24 (DMZ) Commit 1 Mbps

Sedangkan portal (captive portal) digunakan untuk membatasi user yang bisa menggunakan internet di network. Setiap user yang belum terautentikasi dan akan terhubung ke internet akan dialihkan ke halaman captive portal. Jika user sudah terautentikasi, tidak akan dialihkan lagi ke halaman captive portal, tetapi langsung diteruskan ke internet. Bagaimana caranya bisa seperti ini? Kita membutuhkan peran AAA Server seperti Radius, TACACS untuk mengautentikasi user. User yang dialihkan ke halaman captive portal akan memasukkan user dan password, perangkat akan meneruskan informasi user dan password ini ke radius server di server farm (pada topologi master plan, ada di lapisan bagian 6). Dalam hal ini, perangkat bandwidht management di bagian 1 disebut sebagai NAS (Network Access Server) bagi AAA Server. AAA Server kemudian merespon request NAS tersebut, akhirnya, user authenticated (jika kombinasi user dan password yang dimasukkan cocok tentu saja heheh). Pada implementasinya, perangkat bandwidth management dan captive portal belum tentu ada dalam satu perangkat. Captive portal dan bandwidth management adalah sesuatu yang jauh berbeda secara fungsi ya ‘kan?

2. Firewall + IPS, dan DMZ

Di lapisan bagian 2 ini, ada firewall yang melindungi network dan memecah zona network ke dalam 3 zona logical. Pertama zona untrust yaitu zona uplink firewall tersebut. Kedua, zona DMZ dan ketiga zona trust atau yang menuju internal network kita. Pada firewall diberlakukan policy antar zona ini, aplikasi dan protokol apa saja yang diperbolehkan dan yang dilarang.

Selain firewall, terdapat pula IPS yang berfungsi untuk melakukan deep inspection terhadap packet yang lolos policy firewall. Maksudnya lolos disini adalah aplikasi atau protokol yang secara policy match dengan policy firewall yang diijinkan, tetapi belum tentu ‘kan apakah packetnya mengandung data malicious atau tidak. Untuk itu IPS akan melakukan inspeksi lanjut sampai membaca isi datanya (layer 7). Dalam bekerja menginspeksi packet, untuk membedakan antara packet yang baik dan mencurigakan/jahat, IPS menggunakan signature atau regular expression. Bagi yang ingin mengetahui lebih lanjut, dahulu saya sudah pernah memposting secara tidak langsung tentang cara kerja IPS disini.

Di bagian 2 ini juga terdapat DMZ. Pada umumnya, disinilah ditempatkan server yang bisa diakses oleh publik. Salah satu contohnya web server yang menghosting file website profil company, dan sebagainya.

3. Core Router

Core router adalah router yang paling vital di network kita ini. Jembatan antara semua user untuk mengakses datacenter, dmz, atau internet. Core router jadi perangkat paling sibuk di network ini ya? hehe.

4. Agregate Switch

Di bagian 4 ada kelompok agregator switch yang berfungsi mengagregasi segmen-segmen VLAN. Inter-VLAN routing juga diterapkan disini, sehingga antara VLAN-VLAN dalam switch tersebut bisa saling terhubung dan berkomunikasi.

5. Firewall + IPS untuk Server Farm

Di bagian 5, kita mendapati perangkat firewall lengkap dengan IPS lagi. Silahkan kembali ke penjelasan bagian no. 2 di atas untuk mengetahui fungsi firewall + IPS. Kenapa dibutuhkan lagi firewall dan IPS disini, padahal telah ada firewall + IPS di bagian 2? Salah satu alasannya adalah karena jika tidak ada firewall + IPS di bagian ini, server farm rentan terhadap ancaman dari segmen user VIP/Staff/Guest yang terkoneksi ke server farm. Apakah itu terhadap ancaman yang disengaja (misal: user mencoba membobol DB server) atau terhadap ancaman yang tidak disengaja (misal: user memiliki worm/trojan/virus aktif di PC/Laptopnya dan terkoneksi ke network kita). Pada firewall di bagian ini juga didefinisikan zona untrust dan trust. Dimana zona trust sudah pasti adalah segmen network server farm, sedangkan zona untrust adalah zona diluar server farm.

Contoh rule firewall di datacenter network kita ini adalah seperti dibawah ini:

No. From-Zone To-Zone Src-Addr Dst-Addr Protocol Action
1 Trust Untrust Any Any Any Allow
2 Untrust Trust 10.2.X.X DB ServerApps Server Any Deny
3 Untrust Trust Any DB ServerApps Server MySQLHTTP Allow
4 Untrust Trust Any DHCP Server DHCP Allow
5 Untrust Trust Any AAA Server Radius Allow
etc etc etc etc etc etc etc
<last> Untrust Trust Any Any Any Deny

Pada baris no. 2 tabel rule firewall di atas ini, kita dapati bahwa terdapat restriction bagi segmen 10.2.X.X (Guest/Tamu) untuk mengakses DB server dan Apps Server di server farm. Selanjutnya adalah rule untuk mengijinkan siapapun untuk terkoneksi ke DB dan Apps Server tersebut. Pada baris 4 dan 5 adalah contoh policy untuk mengijinkan akses ke radius dan DHCP untuk siapapun (termasuk segmen Guest). Yang harus diperhatikan adalah di nomer terakhir a.k.a <last> harus ada. Ini untuk memastikan jika terdapat kondisi tidak match dengan policy sebaiknya di deny saja (default deny).

6. Server Farm

Segmen server farm adalah segmen paling steril dalam desain network kita ini hehe. Seluruh server internal ditempatkan disini. Salah satunya server database, aplikasi, dan lain-lain.

Implementasi Security Information and Event Management

Setelah penjelasan desain ini sudah beres, mari kita melanjutkan untuk planning pemasangan SIEM di lingkungan network ini. Apakah itu fungsi SIEM bisa dibaca di posting saya yang lalu disini. Secara gamblangnya, SIEM merupakan sistem informasi security. Bagaimana caranya untuk mendapatkan event security di network ini? Berarti harus dipasang perangkat yang melakukan tapping di tiap segmen network. Port yang terhubung ke setiap sensor akan dikonfigurasi mirroring, apa saja yang masuk dan keluar akan di duplicate pada port ke arah sensor yang melakukan tapping. Dengan kata lain semua packet yang keluar-masuk bisa diambil oleh Sensor melalui trafik duplikat di port mirrornya ini.

Kita membutuhkan 3 sensor dan 1 SIEM untuk me-manage seluruh security event di network ini. Sensor-1 akan melakukan tapping di segmen server farm. Sehingga seluruh aktifitas di network segmen Server Farm dapat dimonitor. Sensor-2 akan diletakkan di aggregator switch. Komunikasi Inter-VLAN akan di mirror dan trafik duplikat nya dilempar ke Sensor-2. Terakhir, Sensor-3 diletakkan di DMZ untuk mendeteksi jika terjadi event security di segmen ini. Pendeteksian terjadi serangan DoS dari arah Internet juga bisa dideteksi pada Sensor-3 ini. Sehingga tindak lanjut melakukan null routing ke pelaku DoS bisa segera dilakukan di internet router di lapisan bagian 0 pada gambar.

Implementasi VPN Site-to-Site ke Branch Office

Terakhir adalah implementasi VPN S2S ke Branch Office kita di remote site. VPN adalah cara untuk terhubung antar dua site kita secara private memanfaatkan infrastruktur publik (internet). Sehingga kita bisa mengakses server applikasi di datacenter head office dari branch office misalnya. Cara kerja VPN adalah prinsip tunnel yang terenkripsi antara head office dan branch office. Diluar tunnel tersebut, data kembali tidak terenkripsi seperti biasa.

VPN Site to Site
VPN Site to Site

Branch office bisa mengakses server di segmen server farm yang hanya memiliki IP private karena telah disediakan IP proxy yang satu segmen dengan IP private di salah satu segmen network head office. Tentu saja IP proxy ini reachable/routeable ke segmen server farm. IP proxy itu lah yang di akses oleh branch office untuk reach head office dan server farmnya. Baik di head office dan branch office harus diberlakukan policy atau routing untuk melewatkan IP proxy tersebut melalui tunnel.

Semoga tulisan ini bermanfaat.

4 thoughts on “Office Network Plan, Design dan Implementasinya

Leave a Reply

Your email address will not be published. Required fields are marked *