Membuat Desain Sistem Keamanan Jaringan
KK.15
Membuat Desain Sistem Keamanan Jaringan
Kompetensi
Dasar :
15.1
Menentukan jenis-jenis keamanan jaringan
15.2
Mengidentifikasi pengendalian jaringan yang diperlukan
15.3
Memasang firewall
15.4
Mendesain sistem keamanan jaringan
BAB I
Menentukan
Jenis Keamanan Jaringan
·
Dalam
masyarakat pertanian => tanah => aset paling penting => negara dengan
produksi tani terbesar memiliki kekuatan bersaing.
·
Dalam
masyarakat industry => kekuatan modal seperti memiliki cadangan minyak =>
menjadi faktor utama dalam persaingan.
·
Dalam
masyarakat berbasis informasi dan pengetahuan => informasi adalah komoditi yang
sangat penting dan aset paling berharga => Kemampuan untuk mendapatkan, mengakses,
menyediakan, menggunakan, dan menganalisis informasi secara cepat dan akurat.
Definisi
Informasi :
·
Secara
umum, informasi didefinisikan sebagai hasil dari aktivitas mental dan merupakan
produk abstrak yang ditransmisikan melalui medium.
·
Dalam
bidang teknologi informasi dan komunikasi, informasi adalah hasil dari
pemrosesan, manipulasi dan pengaturan data, yaitu sekumpulan fakta.
·
Dalam
bidang Keamanan Informasi, informasi diartikan sebagai sebuah aset merupakan sesuatu
yang memiliki nilai dan karenanya harus dilindungi. Definisi ini mengikuti ISO/IEC
27001.
Aspek
keamanan informasi
Garfinkel
and Spafford mengemukakan bahwa keamanan komputer (computer security) melingkupi
empat aspek, yaitu :
1.
Privacy
2.
Integrity
3.
Authentication
4.
availability.
Selain keempat hal di
atas, masih ada dua aspek lain yang juga sering dibahas dalam kaitannya
dengan electronic
commerce, yaitu access control dan non-repudiation.
Berdasar spesifikasi dari
OSI, aspek keamanan komputer meliputi :
•
Access Control, Perlindungan terhadap pemakaian tak legak
•
Authentication, Menyediakan jaminan identitas seseorang
•
Confidentiality (kerahasiaan), Perlindungan terhadap pengungkapan identitas tak
legal
•
Integrity, Melindungi dari pengubahan data yang tak legal
•
Non-repudiation (penyangkalan), Melindungi terhadap penolakan komunikasi yang sudah
pernah dilakukan.
Pendapat
yang lain mengatakan, Aspek keamanan informasi adalah aspek-aspek yang dilingkupi
dan melingkupi keamanan informasi dalam sebuah sistem informasi. Aspek-aspek
ini
adalah :
Ø Privacy (privasi/kerahasiaan),
menjaga kerahasiaan informasi dari semua pihak, kecuali yang memiliki
kewenangan;
Ø Integrity (integritas),
meyakinkan bahwa data tidak mengalami perubahan oleh yang tidak berhak atau
oleh suatu hal lain yang tidak diketahui (misalnya buruknya transmisi data);
Ø Authentication
(otentikasi/identifikasi), pengecekan terhadap identitas suatu entitas, bias berupa
orang, kartu kredit atau mesin;
Ø Signature, Digital
Signature (tanda tangan), mengesahkan suatu informasi menjadi satu kesatuan di
bawah suatu otoritas;
Ø Authorization (otorisasi),
pemberian hak/kewenangan kepada entitas lain di dalam sistem;
Ø Validation (validasi),
pengecekan keabsahan suatu otorisasi;
Ø Access Control (kontrol
akses), pembatasan akses terhadap entitas di dalam sistem;
Ø Certificate (sertifikasi),
pengesahan/pemberian kuasa suatu informasi kepada entitas yang tepercaya;
Ø Time stamp (pencatatan
waktu), mencatat waktu pembuatan atau keberadaan suatu
Ø informasi di dalam sistem;
Ø Verification (persaksian,
verifikasi), memverifikasi pembuatan dan keberadaan suatu
Ø informasi di dalam sistem
bukan oleh pembuatnya
Ø Acknowledgement (tanda
terima), pemberitahuan bahwa informasi telah diterima;
Ø Confirmation (konfirmasi),
pemberitahuan bahwa suatu layanan informasi telah tersedia;
Ø Ownership (kepemilikan),
menyediakan suatu entitas dengan sah untuk menggunakan atau mengirimkan kepada
pihak lain;
Ø Anonymous (anonimitas),
menyamarkan identitas dari entitas terkait dalam suatu proses transaksi;
Ø Non-repudiation
(nirpenyangkalan), mencegah penyangkalan dari suatu entitas atas
Ø kesepakatan atau perbuatan
yang sudah dibuat;
Ø Recall (penarikan),
penarikan kembali suatu sertifikat atau otoritas.
Standar
Kegiatan Keamanan Informasi
ISO/IEC
27001, atau lengkapnya "ISO/IEC 27001:2005 - Information technology --
Security techniques -
Information security management systems --
Requirements", adalah
suatu standar sistem
manajemen keamanan informasi (ISMS, information security management
system) yang diterbitkan
oleh ISO dan IEC pada Oktober 2005. Standar yang berasal dari BS
7799-2 ini ditujukan untuk
digunakan bersama denganISO/IEC 27002, yang memberikan daftar
tujuan pengendalian
keamanan dan merekomendasikan suatu rangkaian pengendalian
keamanan spesifik.
Kegiatan keamanan dalam
ISO/IEC27001 terdiri dari 133 kontrol dan 11 domain Beberapa item yang
dikontrol di ISO/IEC27001, diantaranya :
|
Domain
|
Item
|
|
A5
|
Kebijakan keamanan
|
|
A6
|
Organisasi keamanan
informasi
|
|
A7
|
Manajemen aset
|
|
A8
|
Keamanan sumber daya
manusia
|
|
A9
|
Keamanan fisik dan
lingkungan
|
|
A10
|
Manajemen komunikasi dan
operasi
|
|
A11
|
Kontrol akses
|
|
A12
|
Pengadaan, pengembangan
dan pemeliharaan sistem informasi
|
|
A13
|
Manajemen insiden
keamanan informasi
|
|
A14
|
Manajemen
keberlangsungan bisnis
|
|
A15
|
Kepatuhan (compliance)
|
Tabel 1. Beberapa Item
yang dikontrol ISO/IEC27001
ISO/IEC27001 mengadopsi
model proses Plan-Do-Check-Act, yang digunakan untuk
mengatur struktur seluruh
proses ISMS. Dalam ISO/IEC27001, semua bukti hasil penilaian ISMS
harus didokumentasikan;
sertifikasinya harus diaudit secara eksternal setiap enam bulan; dan
seluruh proses diulangi
sesudah tiga tahun untuk terus mengatur ISMS.
Keterbukaan
Informasi
Selain
memiliki banyak keuntungan, keterbukaan akses informasi tersebut memunculkan berbagai
masalah baru, antara lain :
·
Pemeliharaan
validitas dan integritas data/informasi tersebut
·
Jaminan
ketersediaan informasi bagi pengguna yang berhak
·
Pencegahan
akses informasi dari yang tidak berhak
·
Pencegahan
akses sistem dari yang tidak berhak
KONSEP
4R
Konsep
pengaturan 4R berikut ini adalah cara paling efisien untuk memelihara dan
mengontrol nilai
informasi. 4R keamanan informasi adalah Right Information (Informasi yang
benar), Right People
(Orang yang tepat), Right Time (Waktu yang tepat) dan Right Form
(Bentuk yang tepat).
1.
Right
Information mengacu pada ketepatan dan kelengkapan informasi, yang menjamin integritas
informasi.
2.
Right
People berarti informasi tersedia hanya bagi individu yang berhak, yang
menjamin kerahasiaan.
3.
Right
Time mengacu pada aksesibilitas informasi dan penggunaannya atas permintaan entitas
yang berhak. Ini menjamin ketersediaan.
4.
Right
Form mengacu pada penyediaan informasi dalam format yang tepat.
Piramida
Metodologi Kemananan
Berikut
ini adalah piramida metodologi keamanan. Secara singkat pada piramida di
bawah ini telah tergambar
unsur-unsur apa saja yang dibutuhkan dalam membangun sebuah
sistem keamanan secara
utuh.
Tabel 1 Piramida
Metodologi Keamanan
|
Level 4
|
Scurity
|
|
Level 3
|
Information Scurity
|
|
Level 2
|
Network Scurity
|
|
Level 1
|
Data Bese Scurity, Data
Scurity, Computer Scurity, Device Scurity, Application Scurity
|
|
Level 0
|
Physical Scurity
|
Orang
yang Terlibat
1.
Administrator System (SysAdmin), Network
Admin, stakeholder
2.
Phreaker
Orang
yang mengetahui sistem telekomunikasi dan memanfaatkan kelemahan system pengamanan
telepon tersebut
3.
Hacker
Orang
yang mempelajari sistem yang biasanya sukar dimengerti untuk kemudian mengelolanya
dan men-share hasil ujicoba yang dilakukannya. Hacker tidak merusak sistem
4.
Craker
Orang
yang mempelajari sistem dengan maksud jahat – Muncul karena sifat dasar manusia
(salah satunya merusak).
Ancaman
Jaringan komputer dilihat dari BENTUKNYA :
·
Fisik (physical)
- Pencurian perangkat keras komputer
atau perangkat jaringan
- Bencana alam (banjir, kebakaran, dll)
=> Major cause
- Kerusakan pada komputer dan perangkat
komunikasi jaringan
- Wiretapping => Man the Middle
Attack => Aktif / Pasif
- Wardriving => Man the Middle
Attack=> Aktif / Pasif
·
Logik (logical)
- Kerusakan pada sistem operasi atau
aplikasi
- Virus
- Sniffing, dan lain lain seperti
tersebut di bawah ini
Ancaman
Jaringan Komputer Dilihat Dari Jenis-Jenisnya
Jenis-jenis Serangan Keamanan
Informasi yang menjadi tren dan arah Keamanan Informasi:
1.
Probe
Probe atau yang biasa disebut probing
adalah usaha untuk mengakses sistem dan
mendapatkan informasi tentang sistem
2.
Scan
Scan adalah probing dalam jumlah
besar menggunakan suatu tool
3.
Account
compromise
Meliputi User compromize dan root
compromize
4.
Packet
Snifer
Adalah sebuah program yan menangkap /
mngcaptur data dari paket yang lewat di
jaringan. (username, password, dan
informasi penting lainnya)
5.
Hacking
Hacking adalah tindakan memperoleh
akses ke komputer atau jaringan komputer untuk
mendapatkan atau mengubah informasi
tanpa otorisasi yang sah
6.
Denial-of-Service
Serangan Denial-of-service (DoS)
mencegah pengguna yang sah dari penggunaan layanan ketika pelaku mendapatkan
akses tanpa izin ke mesin atau data. Ini terjadi karena pelaku membanjiri‘ jaringan
dengan volume data yang besar atau sengaja menghabiskan sumber daya yang langka
atau terbatas, seperti process control blocks atau koneksi jaringan yang
tertunda. Atau mereka mengganggu komponen fisik jaringan atau memanipulasi data
yang sedang dikirimkan, termasuk data terenkripsi.
7.
Malicious
code (Kode Berbahaya)
Malicious code adalah program yang
menyebabkan kerusakan sistem ketika dijalankan. Virus, worm dan Trojan horse
merupakan jenis-jenis malicious code.
a)
Virus
komputer adalah sebuah program komputer atau kode program yang merusak sistem
komputer dan data dengan mereplikasi dirinya sendiri melalui peng-copy-an ke
program lain, boot sector komputer atau dokumen.
b)
Worm
adalah virus yang mereplikasi dirinya sendiri yang tidak mengubah file, tetapi
ada di memory aktif, menggunakan bagian dari sistem operasi yang otomatis dan
biasanya tidak terlihat bagi pengguna. Replikasi mereka yang tidak terkontrol
memakan sumber daya sistem, melambatkan atau menghentikan proses lain. Biasanya
hanya jika ini terjadi keberadaan worm diketahui.
c)
Trojan
horse adalah program yang sepertinya bermanfaat dan/atau tidak berbahaya tetapi
sesungguhnya memiliki fungsi merusak seperti unloading hidden program atau command
scripts yang membuat sistem rentan gangguan.
8.
Social
Engineering / Exploitation of Trust
Sekumpulan teknik untuk
memanipulasi orang sehingga orang tersebut membocorkan informasi rahasia.
Meskipun hal ini mirip dengan permainan kepercayaan atau penipuan sederhana,
istilah ini mengacu kepada penipuan untuk mendapatkan informasi atau akses
sistem komputer. Beberapa jebakan yang dapat dilakukan diantaranya dengan :
Ø Memanfaatkan kepercayaan
orang dalam bersosialisasi dengan komputer.
Ø Memanfaatkan kesalahan
orang secara manusiawi misal : kesalahan ketik, asal klik, next-next, dll
Ø Bisa dengan cara membuat
tampilan Login yang mirip (teknik fake login), diarahkan ke tempat lain, juga
biasanya dibuat url yang hampir sama untuk web contoh kasus : www.klikbca.com.
9.
Phishing
Tindakan pemalsuan
terhadap data / identitas resmi yang dilakukan untuk hal yang berkaitan dengan
pemanfaatannya. Phising diawali dengan mencuri informasi personal melalui
Internet. Phishing telah menjadi aktivitas kriminal yang banyak dilakukan di Internet.
10.
Eface
perubahan terhadap
tampilan suatu website secara illegal.
11.
Carding
pencurian data terhadap
identitas perbankan seseorang, misalnya pencurian nomor kartu kredit, digunakan
untuk memanfaatkan saldo yang terdapat pada rekening tersebut untuk keperluan
belanja online.
BAB II
Mengidentifikasi
Pengendalian Jaringan yang Diperlukan
Risk
Management Model
Lawrie
Brown dalam bukunya menyarankan menggunakan “Risk Management Model” untuk
menghadapi ancaman (managing threats). Ada tiga komponen yang memberikan
kontribusi kepada Risk, yaitu Asset, Vulnerabilities, dan Threats.
Kontribusi terhadap Risk
|
Nama komponen
|
Contoh dan keterangan
lebih lanjut
|
|
Assets (aset)
|
• Hardware, software,
dokumentasi, data, komunikasi,
linkungan, manusia
|
|
Threats (ancaman)
|
• pemakai (users), teroris,
kecelakaan (accidents), crackers, penjahat kriminal, nasib (acts of God),
intel luar negeri
(foreign intelligence)
|
|
Vulnerabilities
(kelemahan)
|
• software bugs,
hardware bugs, radiasi (dari layar,
transmisi), tapping,
crosstalk, unauthorized users,
cetakan, hardcopy atau
print out, keteledoran (oversight),
cracker via telepon,
storage media
|
|
|
|
Tabel 2. Nama Komponen dan
Contohnya yang berkontribusi terhadap Risk
Untuk
menanggulangi resiko (Risk) tersebut dilakukan apa yang disebut
“countermeasures” yang dapat berupa:
·
usaha
untuk mengurangi Threat
·
usaha
untuk mengurangi Vulnerability
·
usaha
untuk mengurangi impak (impact)
·
mendeteksi
kejadian yang tidak bersahabat (hostile event)
·
kembali
(recover) dari kejadian
Analisis
SWOT
Analisis
SWOT (singkatan bahasa Inggris dari strengths (kekuatan), weaknesses
(kelemahan), opportunities (kesempatan), dan threats (ancaman) adalah metode
perencanaan strategis yang digunakan untuk mengevaluasi kekuatan, kelemahan,
peluang, dan ancaman dalam suatu keadaan tertentu. Dalam tinjauan keamanan
jaringan, analisis SWOT mencoba memetakan keadaan yang ingin dicapai yaitu
terciptanya keamanan informasi dan keamanan jaringan, dan mengidentifikasikan
faktor internal dan faktor eksternal yang membantu dan yang membahayakan
tercapainya keamanan jaringan dan keamanan informasi.
|
S
|
Strengths
|
|
W
|
Weaknesses
|
|
O
|
Opprottunities
|
|
T
|
Threats
|
Gambar 2. Analisis SWOT
Teknik
ini dibuat oleh Albert Humphrey, yang memimpin proyek riset pada Universitas
Stanfordpada dasawarsa 1960-an dan 1970-an dengan menggunakan data dari
perusahaanperusahaan Fortune 500.
Setelah
memetakan dan mengenali faktor-faktor tersebut, maka diperlukan usaha untuk
meningkatkan strengths (kekuatan), mengurangi dan menutupi weaknesses (kelemahan),
memanfaatkan opportunities (kesempatan), dan juga usaha untuk mengurangi dan
mengantisipasi Threats (ancaman).
Prot
Dalam
protokol jaringan TCP/IP, sebuah port
adalah mekanisme yang mengizinkan
sebuah komputer untuk
mendukung beberapa sesi koneksi dengan komputer lainnya dan
program di dalam jaringan.
Port dapat mengidentifikasikan aplikasi dan layanan yang menggunakan koneksi di
dalam jaringan TCP/IP. Sehingga, port juga mengidentifikasikan
sebuah proses tertentu di
mana sebuah server dapat memberikan sebuah layanan kepada klien
atau bagaimana sebuah
klien dapat mengakses sebuah layanan yang ada dalam server.
Port
dapat dikenali dengan angka 16-bit (dua byte) yang disebut dengan Port
Number dan diklasifikasikan
dengan jenis protokol transport apa yang digunakan, ke
dalam Port TCP dan Port UDP.
Karena memiliki angka 16-bit, maka total maksimum jumlah
port untuk setiap protokol
transport yang digunakan adalah 216 = 65536 buah.
Dilihat dari penomorannya,
port UDP dan TCP dibagi menjadi tiga jenis, yakni sebagai
berikut:
·
Well-known Port: yang pada awalnya
berkisar antara 0 hingga 255 tapi kemudian
diperlebar
untuk mendukung antara 0 hingga 1023. Port number yang termasuk ke dalam
well-known port, selalu merepresentasikan layanan jaringan yang sama, dan
ditetapkan oleh Internet Assigned Number Authority (IANA). Beberapa di antara
port-port yang berada di dalam range Well-known port masih belum ditetapkan dan
direservasikan untuk digunakan oleh layanan yang bakal ada di masa depan.
Well-known port didefinisikan dalam RFC 1060.
·
Registered Port: Port-port yang digunakan
oleh vendor-vendor komputer atau jaringanyang berbeda untuk mendukung aplikasi
dan sistem operasi yang mereka buat. Registered port juga diketahui dan
didaftarkan oleh IANA tapi tidak dialokasikan secara permanen, sehingga vendor
lainnya dapat menggunakan port number yang sama. Range registered port berkisar
dari 1024 hingga 49151 dan beberapa port di antaranya adalah Dynamically Assigned
Port.
·
Dynamically Assigned Port: merupakan port-port yang
ditetapkan oleh system operasi atau aplikasi yang digunakan untuk melayani
request dari pengguna sesuai dengan kebutuhan. Dynamically Assigned Port
berkisar dari 1024 hingga 65536 dan dapat digunakan atau dilepaskan sesuai
kebutuhan.
BAB
III
FIREWALL
Pengertian Firewall :
ü Adalah mekanisme kontrol
akses pada level jaringan,
ü Aplikasi Penghambat yang
dibangun untuk memisahkan jaringan privat dengan jaringan publik (Internet)
ü Aplikasi diimplementasikan
pada : software, hardware, Router Access, ataupun Server Access atau beberapa
Router Acess ataupun beberapa Server Access
ü Menggunakan suatu
(rule)/Policy berupa daftar akses (Access List), dan metode lain untuk menjamin
keamanan jaringan privat.
Firewall adalah salah peralatan atau
suatu aplikasi pada sistem operasi yang dibutuhkan oleh jaringan komputer untuk
melindungi intergritas data/sistem jaringan dari seranganserangan pihak yang
tidak bertanggung jawab. Caranya dengan melakukan filterisasi terhadap paket-paket
yang melewatinya. Firewall tersusun dari aturan-aturan yang diterapkan baik
terhadap hardware, software ataupun sistem itu sendiri dengan tujuan untuk
melindungi jaringan, baik dengan melakukan filterisasi, membatasi, ataupun
menolak suatu permintaan koneksi dari jaringan luar lainnya
seperti
internet.
Pada firewall terjadi beberapa proses
yang memungkinkannya melindungi jaringan. Ada tiga macam Proses yang terjadi
pada firewall, yaitu:
1.
Modifikasi
header paket, digunakan untuk memodifikasi kualitas layanan bit paket TCP sebelum
mengalami proses routing.
2.
Translasi
alamat jaringan, translasi yang terjadi dapat berupa translasi satu ke satu (one
to one), yaitu satu alamat IP privat dipetakan kesatu alamat IP publik atau
translasi banyak kesatu (many to one) yaitu beberapa alamat IP privat dipetakan
kesatu alamat publik.
3.
Filter
paket, digunakan untuk menentukan nasib paket apakah dapat diteruskan atau tidak.
Jenis
Firewall Hardware dan Software
1.
Software
Firewall
Adalah program yang berjalan pada
background komputer. Software ini mengevaluasi setiap request dari jaringan dan
menetukan apakah request itu valid atau tidak.
v Kelebihan
·
Harganya
murah
·
Mudah
dikonfigurasi
v Kekurangan
·
Memakan
sumber daya dari komputer (CPU,memory, disk)
·
Terdapat
versi yang berbeda dan untuk OS yang berbeda pula
·
Dibutuhkan
beberapa copy dan konfigurasi untuk tiap sistem dalam jaringan
2. Hardware Firewall
Adalah firewall yang dipasang pada
komputer, yang menghubungkan komputer dengan modem
v Kelebihan
·
Menyediakan perlindungan
yang lebih banyak dibandingkan software firewall
·
Beroperasi secara
independen terhadap sistem operasi dan aplikasi perangkat lunak, sehingga
kompabilitasnya tinggi.
v Kekurangan
·
Cenderung
lebih mahal
Teknologi
Firewall
1.
Packet Filtering Gateway (Router, Cisco IOS, dll.) ->Stateless
2.
Application Level Gateway / Proxy-based (NAI Gauntled, Axent Raptor, dll.)
3.
Circuit Level Gateway
4.
Statefull Multi Layer Inspection Firewall (Checkpoint FW-1, PIX, dll.)
1.
Packet
Filtering Gateway
Prinsip : adalah
memperbolehkan (grant) atau membatalkan (deny) terhadap suatu access, dengan
beberapa variabel:
·
Source
Address
·
Destination
Address
·
Protocol
(TCP/UDP)
·
Source
Port number
·
Destination
Port number
Packet filtering gateway
dapat diartikan sebagai firewall yang bertugas melakukan filterisasi
terhadap paket-paket yang
datang dari luar jaringan yang dilindunginya.
|
Aplication
Layer
|
|
Transport
Layer
|
|
Internet
Layer
|
|
Network
Layer
|
|
Physical
Layer
|
Paket data hanyadifilter
di layer ini
2.
Circuit
Level Gateway
Model firewall ini bekerja
pada bagian Lapisan transport dari model referensi TCP/IP.
Firewall ini akan
melakukan pengawasan terhadap awal hubungan TCP yang biasa disebut
sebagai TCP Handshaking,
yaitu proses untuk menentukan apakah sesi hubungan tersebut
diperbolehkan atau tidak.
Bentuknya hampir sama dengan Application Layer Gateway ,
hanya saja bagian yang
difilter terdapat ada lapisan yang berbeda, yaitu berada pada layer
Transport.
3.
Application
Level Gateway
Adalah gateway yang
bekerja pada level aplikasi pada layer OSI, Model firewall ini juga
dapat disebut Proxy
Firewall. Mekanismenya tidak hanya berdasarkan sumber, tujuan dan
atribut paket, tapi bisa
mencapai isi ( content ) paket tersebut. Bila kita melihat dari sisi
layer TCP/IP, firewall
jenis ini akan melakukan filterisasi pada layer aplikasi (Application Layer).
4.
Statefull
Packet-filter-Based Firewalls
Model firewall ini
merupakan penggabungan dari ketiga firewall sebelumnya. Firewall jenis
ini akan bekerja pada
lapisan Aplikasi, Transport dan Internet. Dengan penggabungan
ketiga model firewall
yaitu Packet Filtering Gateway, Application Layer Gateway dan Circuit
Level Gateway, mungkin
dapat dikatakan firewall jenis ini merupakan firewall yang
,memberikan fitur
terbanyak dan memeberikan tingkat keamanan yang paling tinggi.
Beberapa Konfigurasi
Firewall
1.
Screened
Host Firewall (singled-homed bastion)
2.
Screened
Host Firewall (Dual-homed bastion)
3.
Screened
Subnet Firewall
Aplikasi pengendalian
jaringan dengan menggunakan firewall dapat diimplementasikan dengan menerapkan
sejumlah aturan (chains) pada topologi yang sudah ada.
Dalam hal pengendalian
jaringan dengan menggunakan iptables, ada dua hal yang harus
diperhatikan yaitu:
1.
Koneksi paket yang menerapkan firewall yang digunakan.
2.
Konsep firewall yang diterapkan.
Dengan
dua hal ini diharapkan iptables sebagai aturan yang mendefinisikan firewall
dapat mengenali apakah koneksi yang terjadi berupa koneksi baru ( NEW) ,
koneksi yang telah ada (
ESTABLISH ), koneksi yang
memiliki relasi dengan koneksi lainnya ( RELATED ) atau koneksi
yang tidak valid ( INVALID
). Keempat macam koneksi itulah yang membuat IPTables disebut
Statefull Protocol.
Koneksi
Paket
Koneksi
paket yang dalam proses pengirimannya dari pengirim kepada penerima harus
melalui aturan firewall, dapat dikelompokan kepada tiga kelompok koneksi, yaitu
:
1.
Koneksi TCP
2.
Koneksi IP
3.
Koneksi UDP
1.
Koneksi TCP
Sebuah
koneksi TCP dikenal sebagai koneksi yang bersifat Connection Oriented yang
berarti sebelum melakukan pengiriman data, mesin-mesin tersebut akan melalui 3
langkah
cara berhubungan ( 3-way
handshake ).
2.
Koneksi IP
Sebuah
frame yang diidentifikasi menggunakan kelompok protokol Internet (IP) harus
melalui aturan firewall
yang didefinisikan menggunakan protokol IP sebelum paket tersebut
mendapat jawaban koneksi
dari tujuan paket tersebut.
Salah satu paket yang
merupakan kelompok protokol IP adalah ICMP, yang sering
digunakan sebagai aplikasi
pengujian koneksi ( link ) antar host.
3.
Koneksi UDP
Berbeda
dengan koneksi TCP, koneksi UDP (Gambar 11.11) bersifat connectionless.
Sebuah mesin yang
mengirimkan paket UDP tidak akan mendeteksi kesalahan terhadap
pengiriman paket tersebut.
Paket UDP tidak akan
mengirimkan kembali paket-paket yang mengalami error. Model
pengiriman paket ini akan
lebih efisien pada koneksi broadcasting atau multicasting.
Mata
Rantai (chain) iptables
Untuk
membangun sebuah firewall, yang harus kita ketahui pertama-tama adalah
bagaimana sebuah paket
diproses oleh firewall, apakah paket-paket yang masuk akan di buang
( DROP ) atau diterima (
ACCEPT ), atau paket tersebut akan diteruskan ( FORWARD ) ke
jaringan yang lain.
Salah
satu tool yang banyak digunakan untuk keperluan proses pada firewall adalah
iptables. Program iptables
adalah program administratif untuk Filter Paket dan NAT ( Network
Address Translation).
Untuk menjalankan fungsinya, iptables dilengkapi dengan tabel mangle,
nat dan filter.
NAT
(SNAT dan DNAT)
Salah
satu kelebihan IPTABLES adalah untuk dapat memfungsikan komputer kita menjadi
gateway menuju internet. Teknisnya membutuhkan tabel lain pada IPTABLES selain
ketiga tabel diatas, yaitu tabel NAT.
SNAT
digunakan untuk mengubah alamat IP pengirim ( source IP address ). Biasanya
SNAT berguna untuk menjadikan komputer sebagai gateway menuju ke internet.
Misalnya
komputer kita menggunakan alamat IP 192.168.0.1. IP tersebut adalah IP lokal.
SNAT akan mengubah IP lokal tersebut menjadi IP publik, misalnya 202.51.226.35.
Begitu juga sebaliknya, bila komputer lokal kita bisa di akses dari internet
maka DNAT yang akan digunakan.
Mangle
pada IPTABLES banyak digunakan untuk menandai ( marking ) paket-paket untuk di
gunakan di proses-proses selanjutnya. Mangle paling banyak di gunakan untuk
bandwidth limiting atau pengaturan bandwidth.
Fitur
lain dari mangle adalah kemampuan untuk mengubah nilai Time to Live (TTL) pada
paket dan TOS ( type of service ).
BAB IV
Mendesain Sistem Keamanan Jaringan
Metode
Keamanan Jaringan
Dalam
merencanakan suatu keamanan jaringan, ada beberapa metode yang dapat
ditetapkan, metode-metode tersebut adalah sebagai berikut :
1.
Pembatasan akses pada suatu jaringan
Ada beberapa konsep dalam
pembatasan akses jaringan, yakni sebagai berikut :
a.
Internal
Password Authentication
Password
local untuk login ke sistem harus merupakan password yang baik serta
Di
jaga dengan baik. Pengguaan aplikasi shadow password akan sangat membantu.
b.
Server
Based password authentication
Termasuk
dalam metoda ini misalnya sistem Kerberos server, TCP-wrapper, dimana setiap
service yang disediakan oleh server tertentu dibatasi dengan suatu daftar host
dan user yang boleh dan tidak boleh menggunakan service tersebut.
c.
Server-based
token authentication
Metoda
ini menggunakan authentication system yang lebih ketat, yaitu dengan penggunaan
token / smart card, sehingga untuk akses tertentu hanya bisa dilakukan oleh
login tertentu dengan menggunakan token khusus.
d.
Firewall
dan Routing Control
Firewall
melindungi host-host pada sebuah network dari berbagai serangan. Dengan adanya
firewall, semua paket ke sistem di belakang firewall dari jaringan luar tidak
dapat dilakukan langsung. Semua hubungan harus dilakukan dengan mesin firewall
2.
Menggunakan
Metode dan mekanisme tertentu
·
Enkripsi
Salah satu
cara pembatasan akses adalah dengan enkripsi. Proses enkripsi meng-encode data
dalam bentuk yang hanya dapat dibaca oleh sistem yang mempunyai kunci untuk
membaca data. Proses enkripsi dapat dengan menggunakan software atau hardware.
Hasil enkripsi disebut cipher. Cipher kemudian didekripsi dengan device dan
kunci yang sama tipenya (sama hardware/softwarenya, sama kuncinya). Dalam
jaringan, system enkripsi harus sama antara dua host yang berkomunikasi. Jadi
diperlukan control terhadap kedua sistem yang berkomunikasi. Biasanya enkripsi
digunakan untuk suatu sistem yang seluruhnya dikontrol oleh satu otoritas.
Terminologi
Kriptografi
Kriptografi
(cryptography) merupakan ilmu dan seni untuk menjaga pesan agar aman.
(Cryptography is the art and science of keeping messages secure. [40]) “Crypto”
berarti “secret” (rahasia) dan “graphy” berarti “writing” (tulisan) [3]. Para
pelaku atau praktisi kriptografi disebut cryptographers. Sebuah algoritma
kriptografik (cryptographic algorithm), disebut cipher, merupakan persamaan
matematik yang digunakan untuk proses enkripsi dan dekripsi. Biasanya kedua
persamaan matematik (untuk enkripsi dan dekripsi) tersebut memiliki hubungan
matematis yang cukup erat.
Terminologi
Enskripsi – Dekripsi
Proses
yang dilakukan untuk mengamankan sebuah pesan (yang disebut plaintext) menjadi
pesan yang tersembunyi (disebut ciphertext) adalah enkripsi (encryption).
Ciphertext adalah pesan yang sudah tidak dapat dibaca dengan mudah. Menurut ISO
7498-2, terminology yang lebih tepat digunakan adalah “encipher”. Proses
sebaliknya, untuk mengubah ciphertext menjadi plaintext, disebut dekripsi
(decryption). Menurut ISO 7498-2, terminologi yang lebih tepat untuk proses ini
adalah “decipher”.
·
Digital
Signature
Digunakan
untuk menyediakan authentication, perlindungan, integritas, dan nonrepudiation
·
Algoritma
Checksum/Hash
Digunakan
untuk menyediakan perlindungan integritas, dan dapat menyediakan authentication
·
Satu
atau lebih mekanisme dikombinasikan untuk menyediakan security service
3.
Pemonitoran
terjadwal terhadap jaringan
Dengan
adanya pemantauan yang teratur, maka penggunaan sistem oleh yang tidak
berhak
dapat dihindari / cepat diketahui. Untuk mendeteksi aktifitas yang tidak
normal,
maka
perlu diketahui aktifitas yang normal. Proses apa saja yang berjalan pada saat
aktifitas
normal. Siapa saja yang biasanya login pada saat tersebut. Siapa saja yang
biasanya
login diluar jam kerja. Bila terjadi keganjilan, maka perlu segera diperiksa.
Bila
hal-hal
yang mencurigakan terjadi, maka perlu dijaga kemungkinan adanya intruder.
Metodologi
keamanan informasi bertujuan untuk meminimalisasi kerusakan dan
memelihara
keberlangsungan bisnis dengan memerhatikan semua kemungkinan kelemahan dan
ancaman
terhadap aset informasi. Untuk menjamin keberlangsungan bisnis, metodologi
keamanan
informasi berusaha memastikan kerahasiaan, integritas dan ketersediaan aset
informasi
internal. Hal ini termasuk penerapan metode dan kontrol manajemen risiko. Pada.
dasarnya,
yang dibutuhkan adalah rencana yang bagus dan meliputi aspek administratif,
fisik, serta teknis dari keamanan informasi. Beberapa Langkah dalam perancangan
Sistem dengan memperhatikan aspek Keamanan Jaringan :
1. Menentukan topologi jaringan yang
akan digunakan.
2. Menentukan kebijakan atau policy .
3. Menentukan aplikasi – aplikasi
atau servis-servis apa saja yang akan berjalan.
4. Menentukan pengguna-pengguna mana
saja yang akan dikenakan oleh satu atau lebih aturan firewall.
5. Menerapkan kebijakan, aturan, dan
prosedur dalam implementasi firewall.
6. Sosialisasi kebijakan, aturan, dan
prosedur yang sudah diterapkan.
Arsitektur
Sistem IDS
Intrusion
Detection System (IDS) pada implementasi tugas akhir ini tediri dari komponen
komponen / modul :
1. Sensor modul
2. Analyzer modul
3. Database system
Sensor
berfungsi untuk mengambil data dari jaringan. Sensor merupakan bagian dari
sistem deteksi dini dari IDS. Untuk itu digunakan suatu program yang berfungsi
sebagai
intrusion detector dengan
kemampuan packet logging dan analisis traffik yang realtime.
Analyzer berfungsi untuk
analisa paket yang lewat pada jaringan. Informasi dari analyzer yang
akan menjadi input bagi
sistem lainnya.
Salah satu perangkat lunak
yang sering digunakan pada IDS adalah snort, karena snort
mempunyai kemampuan
menjadi sensor dan analyzer serta sesuai untuk diterapkan pada
rancangan sistem keamanan.
Arsitektur
Sistem AIRIDS Automatic Interactive Reactive Intrusion Detection
System
AIRIDS
merupakan suatu metode kemanan jaringan yang bertujuan untuk membentuk
suatu arsitektur sistem
keamanan yang terintegrasi antara Intrusion Detection System (IDS),
Firewall System, Database
System dan Monitoring System.
komponen-komponen / modul
AIRIDS berupa :
1. Intrusion detection
system (IDS)
a. Sensor modul
b. Analyzer modul
2. Database system
3. Monitoring system
4. Firewall system
5. SMS system (optional)
Tidak ada komentar:
Posting Komentar