Proxy Server: Apa dan Bagaimana? Part 2

Seperti mata uang yang mempunyai dua sisi, proxy menyebabkan beberapa masalah sekuriti berikut: proxy dapat membuat single point of failure; software client sering kali harus dapat bekerja dengan proxy (hanya sistem firewall dan proxy tingkat lanjut yang dapat bekerja transparan pada jaringan); proxy harus ada untuk semua layanan; proxy tidak melindungi inti sistem operasi; konfigurasi default sering kali dioptimalkan untuk kinerja bukannya sekuriti.

Single Point of Failure
Bersamaan dengan kontrol terpusat, maka ada kesalahan terpusat (single point of failure). Jika hacker dapat mematikan proxy Anda, seluruh organisasi dapat terputus dari Internet. Proxy, router, dan firewall semua mengalami hal ini. Pada router masalah mudah diatasi dengan menggunakan lebih dari satu rute ke Internet. Firewall jauh lebih aman dibanding proxy karena mereka menyediakan filtering paket untuk menghilangkan masalah yang disebabkan oleh denial-of-service. Namun, proxy murni tidak menyertakan fungsi untuk melindungi diri mereka dari serangan sehingga mereka sangat rentan baik terhadap penyusupan dan denialof-service.

Proxy server modern biasanya menyertakan fitur hot-failover, di mana proxy kedua dengan koneksi jaringan yang sama secara kontinyu meng-query proxy yang “hidup” dan mengambil alamat IPnya jika mati. Yang lain menggunakan fitur load-balancing untuk menyediakan beberapa proxy yang semua digunakan pada saat bersamaan. Fitur Load Balancing pada operating system dapat dikonfigurasi bersama software proxy server untuk membuat proxy faulttolerant semacam ini.

Client Harus Menggunakan Proxy
Client yang menggunakan proxy harus ada untuk setiap layanan yang ingin Anda proxy. Sebagai contoh, web browser Anda harus mendukung koneksi ke proxy server dengan mengonfigurasi ke proxy mana semua reguest harus dikirimkan. Jika software client tidak dapat dikonfigurasi untuk menggunakan proxy, layanan proxy tidak dapat digunakan kecuali dengan Network Address Translator. Ini bisa menjadi masalah besar untuk layanan seperti FTP di mana software client yang disertakan bersama kebanyakan operating system tidak mendukung koneksi ke proxy server. Namun, Anda bisa membeli proxy client.

Layanan proxy yang mempunyai address translating firewall dapat mengatasi mengatasi ini karena mereka dapat memodifikasi alamat jaringan inbound dan outbound. Ini berarti client tidak perlu tahu atau dikonfigurasi untuk menggunakan proxy yang ada sebagai bagian dari address translating firewall.

Proxy Harus Ada untuk Setiap Layanan
Layanan proxy yang berbeda dibutuhkan untuk setiap protokol layanan. Network Address Translation bersifat universal dan dapat bekerja dengan semua protokol kecuali dengan mereka yang mengandalkan alamat IP atau membutuhkan kemampuan untuk membuka back channel untuk client. Protokol di mana layanan proxy tidak tersedia tidak dapat dihubungkan melalui proxy, kecuali dengan layanan proxy TCP generik (seperti proxy SOCKS generik) yang bekerja mirip dengan Network Address Translator. Namun, layanan seperti ini tidak dapat memfilter content.

Adanya banyak layanan membuat tidak ada pemilteran content yang efektif. Layananan streaming seperti RealAudio atau RealVideo sangat sulit untuk difilter karena isinya kerena isinya harus dialiri secara real time, dan interupsi pada aliran data akan membuat sisa aliran tidak dapat dibaca. Karena content seperti ini tidak dapat difilter, maka harus diblokir jika dianggap membahayakan keamanan.

Proxy Tidak Melindungi Inti Operating System
Proxy server berdasarkan pada web server dan seperti web server, mereka beroperasi pada Application Layer—di atas Network dan Transport Layer. Ini berarti mereka tidak melakukan apa-apa selain memfilter paket TCP/IP yang tiba di server, dan mereka tidak mencampuri layanan Application Layer yang lain seperti file sharing atau remote procedure call.

Hal ini membuat komputer terbuka terhadap hacking, kecuali jika Anda mengambil langkah lain untuk mengamankan komputer. Walaupun kebanyakan operating system modern mendukung pemilteran paket, tetapi filter mereka tidak sekuat firewall sungguhan. Yang perlu Anda pastikan adalah hanya port publik untuk layanan yang Anda proxy yang dibuka.

Beberapa pakar keamanan menganjurkan, supaya menjalankan layanan sedikit mungkin pada firewall dan memisahkan fungsi proxy pada mesin terpisah dengan asumsi bahwa filter harus sesederhana mungkin supaya tidak dieksploitasi. Masalahnya adalah bahwa eksploitasi dapat muncul pada berbagai level, dan jika Anda membuat proxy server di belakang filter, hacker akan ada di belakang filter jika ia mengeksploitasi proxy. Dengan menggunakan firewall yang terintegrasi dengan proxy server, filter masih dapat melindungi jaringan bahkan jika layanan proxy dieksploitasi.

Longgarnya Konfigurasi Default
Banyak paket software proxy server yang mempunyai konfigurasi default longgar yang dapat menyebabkan masalah keamanan serius. Sebagai contoh, WinGate, proxy server yang paling populer untuk lingkungan rumah dan kantor kecil, lebih sering digunakan untuk membagi satu koneksi Internet bukannya untuk keamanan. Oleh karena itu, pembuat software membuatnya mudah untuk di-setup oleh orang yang tidak mengerti proxy, dan diset secara default untuk bekerja dengan semua protokol umum.

Untuk versi sebelum 3.0, instalasi default membuka proxy Winsock ke interface eksternal, yang memungkinkan hacker untuk terhubung ke interface eksternal tersebut seolah-olah mereka adalah client internal. Hacker kemudian dapat menggunakan proxy untuk terhubung ke layanan web atau Internet yang lain seolah-olah mereka bekerja langsung dari komputer user (yang tidak dicurigai). Ini otomatis menutupi koneksi mereka. Konfigurasi default versi 3.0 mematikan koneksi yang datang dari interface eksternal.

Banyak proxy server mempunyai masalah konfigurasi default yang longgar karena mereka seringkali didesain untuk pengguna komputer yang kurang pengalaman dan menaruh kinerja dan fungsionalitas di depan keamanan. Kebanyakan dapat dikonfigurasi dengan benar, tetapi user sering mengabaikan software tersebut setelah selesai diinstalasi.

Masalah Proxy Terhadap Kinerja
Proxy server mempunyai satu kekurangan pada kinerja, yaitu proxy server membuat bottleneck. Seperti firewall atau router, satu koneksi proxy server ke Internet dapat membuat bottleneck jika tidak di-upgrade ketika jumlah user jaringan bertambah. Walaupun proxy awalnya meningkatkan kinerja melalui mekanisme caching, Anda akan membuat semua orang menunggu di belakang mesin yang lambat jika Anda mendapatkan lebih banyak klien dari yang dapat didukung oleh server.

Namun, hati-hati dalam menyalahkan proxy Anda jika terjadi bottleneck yang sebenarnya disebabkan oleh jalur Internet yang lambat. Jika Anda hanya mempunyai satu koneksi Internet, dan itu adalah T1 (1,5 MB) atau yang lebih lambat, semua komputer yang betul-betul memenuhi kebutuhan minimum operating system dan proxy server sudah cukup cepat dalam menangani beban yang ada. Bottleneck proxy hanya dapat terjadi bila  koneksi jaringan lebih cepat dari 1,5 MB/s atau pada waktu ada yang salah dengan proxy server.

Masalah ini mudah diatasi dengan menambah lebih banyak proxy server. Tidak seperti situs web atau server publik, proxy server todal perlu mempunyai konfigurasi yang persis sama dengan mesin yang lain. Anda dapat menghubungkan secara langsung berapa pun proxy server yang Anda inginkan ke koneksi jaringan eksternal dan memberikan masing-masing klien di dalam jaringan Anda ke salah salah proxy server.

Sebagai contoh, jika Anda mempunyai empat proxy server, hubungkan tiap klien keempat ke proxy server yang sama. Anda akan kehilangan beberapa manfaat caching karena client pada proxy berbeda yang mengakses suatu situs tidak akan membuat situs itu tersedia untuk proxy yang lain.

Anda dapat menggunakan software yang canggih dan TCP/IP load balancing untuk menangani koneksi ke beberapa proxy, tetapi itu membutuhkan biaya yang patut dipertimbangkan dan tidaklah jauh efisien. Namun, ini menyediakan redundansi proxy, karena jika tidak user dapat kehilangan layanan jika proxy mereka mati.

Explicit vs Transparent Proxy
Kebanyakan proxy, terutama proxy HTTP, butuh supaya software client dikonfigurasi secara eksplisit untuk menggunakan proxy server dalam mengakses data (seperti halaman web) dari jaringan luar. Ini berarti bukan hanya setiap web browser, FTP client, atau aplikasi videophone yang harus bisa menggunakan proxy server (banyak yang tidak, karena telah diprogram dengan asumsi ada akses bebas ke Internet), tetapi juga system administrator harus mengonfigurasi semua aplikasi pada komputer client dalam jaringan supaya menggunakan proxy atau mengajari user bagaimana melakukannya.

Masalah konfigurasi tidak menjadi beban bagi network administrator karena web browser modern mempunyai kemampuan untuk mendeteksi setting proxy pada jaringan secara otomatis. Namun software client lain, seperti FTP atau Net2phone, tidak diprogram untuk melakukan itu. Walaupun fitur tersebut menguntungkan network administrator, ada cara lebih baik bagi protokol lain juga dan tidak perlu mengonfigurasi atau mengubah software client jaringan—transparent proxy.

Transparent ransparent Pro Proxy y Mengganti Aturan
Semua firewall modern dapat mengalihkan request yang datang ke port atau komputer tertentu atau komputer interior tertentu yang akan memenuhi request tersebut (seperti  web server pada jaringan interior yang diproteksi oleh firewall). Dengan cara yang sama, firewall dapat menginterupsi dan mengalihkan traffic outgoing ke komputer tertentu, seperti proxy server untuk request web. Komputer client tidak perlu tahu bahwa traffic diinterupsi karena firewall dapat mengalihkan respon proxy server ke client yang meminta seolah-olah tidak ada apapun yang terjadi (menggunakan mekanisme Network Address Translation yang sekarang tersebar luas). Anda dapat menemukan di Internet instruksi untuk menggunakan fitur firewall oada BSD atau Linux bersama dengan paket proxy seperti Jigsaw.

PROXY BEST PRACTICE
Proxy berguna untuk sejumlah tujuan yang berbeda, dan untuk alasan keamanan sering kali kinerja atau penyebaran koneksi menempati kursi belakang. Proxy dapat sangat berbahaya jika mereka digunakan dengan tidak benar (oke, memang orang tidak benar-benar luka hanya bahaya dalam konteks legalitas) karena hacker dapat mengeksploitasi mereka supaya aktivitasnya tampak seolah-olah datang dari dalam jaringan Anda. Ini dapat membuat perusahaan Anda bertanggung jawab atas aktivitas mereka.

Gunakan Firewalll Sungguhan
Hal paling penting yang dapat dilakukan untuk melindungi diri Anda sendiri adalah dengan menggunakan fungsi proxy pada firewall sungguhan atau menaruh firewall di depan proxy server Anda untuk melindunginya. Tidak ada alasan mengapa proxy server harus terhubung langsung ke jaringan eksternal kecuali jika proxy digunakan untuk reverse proxy load balancing suatu situs web.

Matikan Routing
Jika Anda menggunakan proxy sebagai pelindung utama terhadap hacker, pastikan untuk mematikan routing melalui proxy. Jika Anda menyalakan routing melalui proxy, proxy tidak akan melakukan fungsi sekuriti secara signifikan karena client Anda semua akan dapat dilihat dari Internet. Fitur penyembunyian client pada proxy menggandalkan penonaktifan routing untuk mencegah sejumlah serangan protokol low-level.

Biasanya routing pada proxy dimatikan, tetapi kadang-kadang Anda membutukan suatu layanan atau protokol yang tidak mempunyai layanan proxy khusus atau tidak dapat di-proxy. Jangan tergoda dengan begitu saja menyalakan routing. Jika layanan yang Anda butuhkan tidak dapat diproxy, gunakan Network Address Translation. Jika layanan tersebut tidak dapat ditranslasi maupun di-proxy, jangan gunakan sama sekali.

Amankan Dasar Operating System
Mengamankan dasar operating system sangat penting dalam menggunakan proxy secara efektif sebagai perangkat pengaman. Jika hacker tidak dapat mengeksploitasi server di mana proxy berjalan, mereka tidak dapat mengganti setting sekuriti proxy untuk melewatinya.

Ini merupakan hal yang penting terutama dalam lingkungan Unix dan Windows. Kedua operating system ini terkenal rentan terhadap hacking, sehingga proxy yang berjalan pada
mereka juga sama rentannya.

Gunakan izin sekuriti yang kuat dan juga pemilteran port dan protokol pada operating  system untuk memastikan proxy server hanya melayani protokol yang diinginkan. Cari tahu informasi hacking terakhir untuk operating system Anda dan pastikan untuk menggunakan patch dan hot fix pada server sekuriti eksternal begitu mereka dikeluarkan. Lebih penting bagi server publik untuk aman daripada stabil. Crash yang terjadi pada waktu menggunakan path atau hotfix yang belum diuji hanya menyebabkan hilangnya layanan secara sementara—tidak menyebabkan bobolnya keamanan.

Matikan Akses Eksternal
Jangan pernah izinkan client jaringan eksternal untuk ter-proxy melalui server Anda, walaupun jika hal ini terlihat masuk akal bagi remote user. Dengan memberikan akses eksternal ke proxy server, itu memungkinkan hacker untuk mengeksploitasi proxy server
Anda untuk menutupi koneksi IP mereka dan membuatnya tampak seolah-olah proxy server Anda yang melakukan serangan. Ini dapat membuat Anda bertanggung jawab atas kerusakan yang mereka lakukan.

Matikan Akses yang tidak dibutuhkan
Jangan jalankan semua layanan publik pada mesin yang sama dengan proxy server. Aturan umum ini penting, terutama pada waktu menggunakan mekanisme sekuriti seperti proxy server. Jika layanan seperti FTP atau SMTP memungkinkan hacker untuk mengakses proxy server, hacker tersebut dapat mematikan setting sekuriti proxy server untuk mendapatkan akses lebih lanjut ke jaringan Anda. Namun jika layanan ini terbagi ke beberapa mesin, serangan khusus FTP hanya akan memberikan akses ke FTP server,
bukan seluruh jaringan.