dmz
TRANSCRIPT
DMZ (DE-MILITARISED ZONE)Dalam keamanan komputer, sebuah zona demiliterisasi, yang diberi nama setelah penggunaan militer dari istilah dan biasanya disingkat DMZ; juga dikenal sebagai Data Management Zone atau Zona Demarkasi atau Perimeter Network, adalah fisik atau logis Sub-jaringan yang mengandung dan mengekspos sebuah organisasi layanan eksternal yang lebih besar, jaringan tidak dipercaya, biasanya Internet. The purpose of a DMZ is to add an additional layer of security to an organization's Local Area Network (LAN); an external attacker only has access to equipment in the DMZ, rather than the whole of the network. Tujuan dari DMZ adalah menambahkan lapisan tambahan keamanan untuk sebuah organisasi Local Area Network (LAN); eksternal hanya penyerang yang memiliki akses ke peralatan di DMZ, daripada seluruh jaringan.
Dasar PemikiranDalam sebuah jaringan, maka host paling rentan terhadap serangan adalah mereka yang memberikan layanan kepada pengguna di luar LAN, seperti e-mail, web dan DNS server. Karena peningkatan potensi host ini terganggu, mereka ditempatkan dalam Sub-jaringan mereka sendiri untuk melindungi sisa jaringan jika seorang penyusup adalah untuk berhasil. Host di DMZ memiliki konektivitas terbatas host tertentu dalam jaringan internal, walaupun komunikasi dengan host lain di DMZ dan ke jaringan eksternal diperbolehkan. Hal ini memungkinkan host dalam DMZ untuk menyediakan layanan untuk baik jaringan internal dan eksternal, sedangkan firewall campur tangan mengendalikan lalu lintas antara DMZ server dan klien jaringan internal.
Layanan yang termasuk dalam DMZUmumnya, setiap layanan yang sedang diberikan kepada pengguna di jaringan eksternal dapat ditempatkan dalam DMZ. Yang paling umum dari layanan ini adalah web server, mail server, ftp server, VoIP server dan DNS server. Dalam beberapa situasi, langkah- langkah tambahan perlu diambil untuk dapat memberikan layanan aman.
Web serverWeb server mungkin perlu untuk berkomunikasi dengan database internal untuk menyediakan beberapa layanan khusus. Karena server database tidak dapat diakses publik dan mungkin berisi informasi sensitif, itu tidak boleh di DMZ. Umumnya, ini bukan ide yang baik untuk memungkinkan web server untuk berkomunikasi langsung dengan server database internal. Sebaliknya, sebuah server aplikasi dapat digunakan untuk bertindak sebagai media komunikasi antara web server dan database server. Ini mungkin lebih rumit, tetapi menyediakan layer keamanan lain.
E-mail serverKarena sifat rahasia e-mail, bukan ide yang bagus untuk menyimpannya dalam DMZ, juga bukan ide yang baik untuk menjaga pengguna database terbuka di zona yang sama.
Sebaliknya, e-mail harus disimpan di internal server e-mail diletakkan dalam lemari besi atau daerah tersembunyi di dalam DMZ (itu berarti sebuah zona terjangkau untuk eksternal tapi dengan akses dari / ke server e-mail). Beberapa orang menempatkan internal server e-mail di wilayah LAN, yang beberapa kali bukanlah praktek terbaik, karena tidak memungkinkan untuk mendapatkan performa terbaik dalam hal lalu lintas jaringan. Juga menyiratkan masalah keamanan, karena menganggap keamanan bagi serangan eksternal, tetapi tidak untuk internal (yaitu komunikasi ini dapat mengendus atau palsu). Mail server di DMZ harus masuk melalui mail ke diamankan / internal server mail dan server surat ini harus lewat surat keluar ke server mail eksternal. User database harus berada di tempat lain (yaitu database, LDAP, Server), dalam rangka untuk memeriksa keaslian pengguna on-the-fly.
Proxy serverUntuk keamanan, penegakan hukum dan juga alasan pemantauan, dalam lingkungan bisnis, juga dianjurkan untuk menginstal sebuah proxy server dalam DMZ. Ini memiliki keuntungan sebagai berikut:
Mewajibkan pengguna internal (biasanya karyawan) untuk menggunakan proxy khusus ini untuk mendapatkan akses internet. Para pengguna seharusnya tidak diperbolehkan untuk browsing internet secara langsung dan melewati DMZ pertahanan. Memungkinkan perusahaan untuk menghemat bandwidth internet karena beberapa konten web dapat di-cache oleh server proxy. Memungkinkan administrator sistem untuk merekam dan memantau aktivitas pengguna dan pastikan tidak ada konten ilegal di-download atau di-upload oleh para karyawan. Di banyak negara Uni Eropa misalnya, seorang direktur perusahaan yang bertanggung jawab atas aktivitas internet karyawan.
Reverse proxy serverSebuah reverse proxy server yang menyediakan layanan yang sama sebagai server proxy, tetapi sebaliknya. Alih-alih memberikan layanan kepada pengguna internal, tidak langsung memberikan akses ke sumber daya internal dari jaringan eksternal (biasanya Internet). Sebuah aplikasi kantor belakang akses, seperti sistem email, dapat diberikan kepada pengguna eksternal (untuk membaca email sementara di luar perusahaan), tetapi user remote tidak memiliki akses langsung ke server email. Hanya server proxy sebaliknya secara fisik dapat mengakses server email internal. Ini adalah lapisan tambahan keamanan, yang direkomendasikan terutama ketika sumber daya internal yang perlu diakses dari luar. Biasanya mekanisme proxy reverse seperti ini disediakan dengan menggunakan aplikasi firewall lapisan ketika mereka memusatkan perhatian pada bentuk tertentu lalu lintas, bukan spesifik mengontrol akses ke TCP dan UDP port sebagai filter paket firewall tidak.
ArsitekturAda berbagai cara untuk merancang sebuah jaringan dengan DMZ. Dua metode yang paling dasar adalah dengan satu firewall, juga dikenal sebagai model berkaki tiga, dan dengan
firewall ganda. Arsitektur-arsitektur ini dapat diperluas untuk menciptakan arsitektur yang sangat kompleks, tergantung pada persyaratan jaringan.
Single firewallSebuah firewall dengan minimal 3 antarmuka jaringan dapat digunakan untuk menciptakan sebuah arsitektur jaringan yang berisi DMZ. Jaringan eksternal terbentuk dari ISP ke firewall pada antarmuka jaringan pertama, jaringan internal yang terbentuk dari kedua antarmuka jaringan, dan DMZ terbentuk dari antarmuka jaringan ketiga. Firewall menjadi titik kegagalan tunggal untuk jaringan dan harus dapat menangani semua lalu lintas akan DMZ serta jaringan internal. Zona biasanya ditandai dengan warna. Hijau untuk LAN, jeruk untuk DMZ, ungu atau biru untuk zona nirkabel dan merah untuk Internet. Perhatikan bahwa gambar di bawah tidak mencerminkan warna yang tepat.
Dual FirewallPendekatan yang lebih aman adalah dengan menggunakan dua firewall untuk menciptakan DMZ. Firewall pertama (juga disebut sebagai "front-end" firewall) harus dikonfigurasi untuk mengizinkan lalu lintas baik ditakdirkan baik kepada DMZ serta jaringan internal. Firewall kedua (juga disebut "back-end" firewall) memungkinkan hanya lalu lintas dari DMZ ke jaringan internal. Menangani firewall pertama yang jauh lebih besar daripada jumlah lalu lintas firewall kedua. Beberapa merekomendasikan bahwa dua firewall disediakan oleh dua vendor yang berbeda. Jika penyerang berhasil menerobos firewall pertama, akan diperlukan lebih banyak waktu untuk menerobos yang kedua jika dibuat oleh vendor yang berbeda. (Arsitektur ini, tentu saja, lebih mahal.) Praktek menggunakan firewall yang berbeda dari vendor yang berbeda kadangkadang digambarkan sebagai "pertahanan mendalam" atau (dari sudut pandang yang berlawanan) "keamanan melalui ketidakjelasan".
DMZ hostBeberapa rumah router merujuk pada DMZ host. Sebuah rumah router DMZ host adalah host di jaringan internal yang memiliki semua port terbuka, kecuali yang port diteruskan sebaliknya. Dengan definisi ini bukan benar DMZ (zona demiliterisasi), karena ia sendiri tidak terpisah host dari jaringan internal Artinya, DMZ host dapat terhubung ke host pada jaringan internal, sedangkan host dalam DMZ nyata dihalangi dari berhubungan dengan jaringan internal oleh firewall yang memisahkan mereka, kecuali firewall memungkinkan sambungan. Firewall dapat mengizinkan ini jika sebuah host pada jaringan internal permintaan pertama sambungan ke host dalam DMZ.
Port Knocking: Metode Pengamanan ala BrankasMetode pengamanan ala brankas ternyata juga dapat dilakukan di dalam sistem pengamanan jaringan komputer. Sistem ini diberi nama cukup unik, yaitu Port knocking. Jika berbicara soal keamanan jaringan komputer, mungkin komponen yang akan sering dibicarakan adalah seputar firewall beserta celah-celah keamanan jaringan itu sendiri. Celah-celah keamanan dapat terbuka biasanya dikarenakan perangkat komputer milik Anda tersebut diinstali dengan sesuatu. Anda mungkin menginstalinya dengan aplikasi pengolah dokumen, aplikasi e-mail client, aplikasi antivirus, aplikasi server client, dan banyak aplikasi yang mungkin Anda butuhkan bahkan mungkin juga tidak. Bisa saja Anda menginstalnya dengan sengaja maupun tanpa disengaja. Aplikasi-aplikasi yang Anda instal, terutama yang dapat terhubung dengan jaringan dan Internet, biasanya akan membuka port-port komunikasi. Port-port komunikasi ini biasanya merupakan port- port yang ada dalam protokol TCP atau UDP yang merupakan anggota dari Transportation layer pada standar OSI. Melalui port komunikasi ini, dunia luar dapat menjangkau perangkat Anda. Begitu pula sebaliknya, Anda juga bisa menjangkau mereka yang membuka port komunikasi tertentu. Komunikasi dapat berjalan dengan lancar, pertukaran informasi menjadi mudah dan kenyamanan Anda berkomputer bertambah dengan terbukanya port-port komunikasi ini. Namun, kadang kala kenyamanan ini sering disalahgunakan oleh sebagian orang. Port-port komunikasi ini sering dijadikan sebagai celah untuk dimasuki secara ilegal. Port-port yang terbuka digunakan sebagai jalan menuju ke dalam jaringan internal atau ke server-server di dalamnya, kemudian mengacaukannya. Keterbukaannya yang bebas ini juga bisa menjadi salah satu ancaman bagi keamanan data Anda. Sangat mungkin penyusup masuk ke dalam komputer Anda, komputer di sebelah Anda, bahkan ke seluruh komputer dijaringan Anda jika dibiarkan terbuka sebebas-bebasnya. Jika jumlah komputer yang terkoneksi ke jaringan sedikit, mungkin tidak akan sulit untuk mengetahui apa saja yang terinstal di masing-masing komputer. Namun, bagaimana jika jumlahnya sudah mencapai puluhan bahkan ratusan? Administrator jaringan mungkin tidak akan punya waktu untuk terus-menerus memantau apa yang telah terinstal di komputer-komputer tersebut. Untuk itulah, sebuah firewall sangat dibutuhkan untuk hadir di dalam jaringan Anda. Firewall biasanya memiliki tugas utama melakukan pemblokiran terhadap port-port komunikasi yang terbuka di dalam sebuah jaringan. Di dalam firewall semua komunikasi keluar dan masuk dikontrol. Port-port yang tidak penting dapat diblokir di sini. Port-port yang penting dan berbahaya juga dapat diblokir di sini, sehingga hanya pihak yang Anda izinkan saja yang boleh masuk. Metode ini merupakan sistem pengamanan yang paling efektif dan banyak digunakan. Namun terkadang, pemblokiran yang Anda lakukan sering menjadi senjata makan tuan. Ketika Anda butuh untuk menjalin komunikasi dengan apa yang ada di dalam jaringan Anda, firewall tidak mengizinkannya karena mungkin memang Anda berada pada area yang tidak diizinkan. Padahal komunikasi yang ingin Anda lakukan sangatlah penting untuk kelancaran kerja Anda. Misalnya, Anda terkoneksi dengan Internet dan butuh masuk ke dalam web server Anda melalui SSH untuk memperbaiki konfigurasinya, sementara port SSH pada server tersebut dilarang untuk diakses dari Internet oleh firewall Anda. Tentu ini akan cukup merepotkan. Untuk mengakali kejadian-kejadian seperti ini, ada sebuah metode yang cukup unik yang dapat dengan efektif menghilangkan masalah senjata makan tuan seperti ini.
Metode tersebut diberi nama Port Knocking.
Apa Itu Port Knocking?Secara harafiah, arti dari Port Knocking adalah melakukan pengetukan terhadap port-port komunikasi yang ada dalam sistem komunikasi data. Fungsi dan cara kerja dari sistem ini tidak jauh berbeda dengan arti harafiahnya. Port knocking merupakan sebuah metode untuk membangun komunikasi dari mana saja, dengan perangkat komputer yang tidak membuka port komunikasi apapun secara bebas. Dengan kata lain, perangkat computer ini tidak memiliki port komunikasi yang terbuka bebas untuk dimasuki, tetapi perangkat ini masih tetap dapat diakses dari luar. Ini dapat terjadi jika Anda menggunakan metode Port Knocking. Koneksi dapat terjadi dengan menggunakan metode pengetukan port-port komunikasi yang ada. Pengetukan port-port ini dilakukan dengan kombinasi tertentu secara berurutan dalam satu rentan waktu tertentu. Jika kombinasi dari pengetukan tersebut sesuai dengan yang telah ditentukan, maka sebuah port komunikasi yang diinginkan akan terbuka untuk Anda. Setelah terbuka, Anda bebas mengakses apa yang ada dalam jaringan tersebut melalui port komunikasi yang baru terbuka tadi. Setelah selesai melakukan pekerjaan dan kepentingan Anda, port komunikasi yang tadi terbuka dapat ditutup kembali dengan melakukan pengetukan sekuensialnya sekali lagi. Maka, perangkat komputer dan jaringan Anda akan kembali aman.
Apa Gunanya Port knocking?Jika dilihat sesaat, Port Knocking memang tidak terlalu banyak gunanya dan tidak terlalu istimewa. Hanya melakukan buka tutup port komunikasi saja tentu tidaklah terlalu banyak gunanya bagi pengguna jaringan lokal. Namun bagi para pekerja telekomuter, para pengguna komputer yang sering bekerja di luar kantor atau para administrator jaringan dan server yang harus mengurusi server-server mereka 24 jam dari mana saja, Port Knocking merupakan metode yang luar biasa sebagai sebuah jalan penghubung ke perangkat-perangkat komputer mereka. Port knocking cocok untuk mereka yang masih ingin memperkuat sistem keamanan komputer dan perangkat jaringannya, sementara tetap pula ingin memiliki koneksi pribadi ke dalamnya secara kontinyu dan dapat dilakukan dari mana saja. Komunikasi pribadi maksudnya koneksi yang tidak terbuka untuk umum seperti SMTP atau HTTP. Biasanya komunikasi pribadi ini lebih bersifat administratif dan menggunakan servisservis seperti telnet, SSH, FTP, TFTP, dan banyak lagi. Komunikasi pribadi ini akan sangat berbahaya jika dapat juga dilakukan oleh orang lain yang tidak berhak. Dengan menggunakan Port knocking, servis-servis tersebut akan tetap tertutup untuk diakses oleh publik, namun masih dapat secara fleksibel di buka oleh siapa saja yang memiliki kombinasi ketukan portnya.
Bagaimana Cara Kerja Port Knocking?Port knocking bekerja seperti halnya brankas dengan kunci kombinasi angka putar. Pada brankas tersebut, Anda diharuskan memutar kunci kombinasi beberapa kali hingga tepat
seperti yang ditentukan. Sebenarnya Anda memutar lapisan-lapisan kunci di dalam brangkas. Dalam lapisan-lapisan kunci tersebut terdapat sebuah lubang kunci. Jika sebuah putaran tepat, maka sebuah lubang terbuka. Jika seluruh putaran dilakukan dengan kombinasi yang benar, maka seluruh lubang terbuka dan menciptakan sebuah jalur khusus yang bebas tidak ada hambatan sama sekali. Jalur lubang kunci tadi tidak lagi menjadi penghalang pintu brankas untuk dibuka, sehingga pintu dapat terbuka dengan mudah. Port knocking juga menggunakan sistem yang hampir sama, yaitu menggunakan kombinasi lapisan-lapisan kunci untuk dapat mengamankan sebuah port komunikasi. Perbedaannya ada pada lapisan kunci yang digunakannya. Kunci dari sistem port knocking adalah port- port komunikasi itu sendiri. Cara membuka kuncinya adalah dengan mengakses dengan sengaja beberapa port komunikasi yang memang tertutup. Ketika beberapa port komunikasi tadi diakses dengan kombinasi tertentu, maka akan terbuka sebuah port komunikasi baru yang bebas Anda masuki. Sebagai contoh, untuk membuka port 22 yang merupakan port komunikasi untuk aplikasi remote login SSH, Anda diharuskan mengetuk port 450, 360, 270, 180. Ketika kombinasinya benar dalam suatu waktu tertentu, maka akan terbuka port 22 yang Anda inginkan. Sistem seperti ini dapat tercipta dengan bantuan sebuah program firewall. Program firewall biasanya memiliki fasilitas untuk melakukan logging terhadap setiap proses komunikasi yangkeluar-masuk melaluinya. Dari membaca log inilah, sistem Port knocking dapat mengetahui kombinasi ketukan. Ketika sistem Port knocking membaca sebuah kombinasi yang tepat pada log, maka sebuah proses otomatis menjalankan aplikasi yang akan membuka port komunikasi yang ditentukan. Setelah terbuka, maka jadilah sebuah pintu masuk kedalam perangkat Anda.
Apa Bedanya dengan VPN?Jika hanya ingin membangun koneksi secara pribadi dari mana saja, mengapa tidak menggunakan VPN saja? Mungkin ada juga pertanyaan seperti itu diajukan terhadap teknologi Port Knocking. VPN memang teknologi yang selama ini digunakan untuk membangun koneksi yang bersifat private dari mana saja di seluruh dunia. Salah satu media yang digunakannya adalah Internet. Melalui VPN, Anda dapat terkoneksi dengan serverserver Anda di kantor pusat meskipun Anda tengah berada di luar kota maupun luar negeri, asalkan ada koneksi Internet. VPN bekerja dengan membangun sebuah terowongan atau sering disebut dengan istilah tunnel. Sebuah tunnel atau terowongan memiliki fungsi untuk membuat sebuah jalur khusus bagi objek yang ingin dilewatkannya. Jalur khusus tersebut tidak akan terganggu oleh apapun di luarnya. Bahkan Anda tidak dapat melihat apa yang sedang lalu-lalang di dalam terowongan tersebut. Seakan-akan apa yang mengalir di dalamnya memiliki jalur langsung atau point-topoint dari lokasi pengiriman ke tujuannya. Begitu pula VPN, seakan-akan Anda memiliki sebuah koneksi point-to-point ke lokasi yang ingin Anda tuju, padahal untuk terhubung ke sana data tersebut akan melalui jalur Internet. Untuk membuat VPN, biasanya dibutuhkan sebuah server atau hardware spesifik yang memiliki kemampuan itu. Jika server yang digunakan, mungkin server tersebut harus diinstali dengan berbagai macam aplikasi, dengan berbagai pengaturan khusus dan spesifikasi tertentu, dan memakan waktu cukup lama untuk menyiapkannya. Jika menggunakan hardware khusus
tentu akan lebih mudah, tetapi Anda harus mengeluarkan biaya tambahan untuk itu. Membuat sistem Port Knocking jauh lebih mudah daripada membuat VPN. Fungsi dan keunggulannya banyak memiliki persamaan, meskipun cara kerja dan metode yang digunakannya sangat jauh berbeda. Untuk menghubungkan Anda ke jaringan lokal, Port knocking dapat digunakan untuk membuka servis-servis tertentu yang dapat digunakan untuk melakukan remote login Misalnya dengan menggunakan servis SSH untuk dapat masuk ke dalam sebuah server yang juga terkoneksi ke dalam jaringan lokal.
Tetap Aman dan Juga Sedikit NyamanMau jaringan komputer Anda aman dan juga nyaman? Mungkin sangat sulit untuk membuat jaringan yang benar-benar aman namun juga sangat nyaman. Baik sang administrator maupun pengguna pasti akan merasakan betapa tidak nyamannya untuk berada dalam sebuah jaringan yang keamanannya hebat. Sang admin harus selalu bekerja rajin untuk mengawasi dan menutupi celah-celah yang hampir tidak ada putus-putusnya. Para pengguna pun akan merasa tidak bebas bergerak jika koneksi ke sana-ke mari selalu dibatasi dan diawasi. Namun dengan adanya Port knocking, rasanya mereka akan mendapatkan sedikit angin segar. Di mana keamanan dibuat menjadi lebih fleksibel daripada yang sudah-sudah. Sang administrator tidak akan kerepotan mengawasi port- port komunikasi yang terbuka bebas. Para pengguna pun dapat membuka sendiri port komunikasi yang diinginkannya dengan berbagai macam kombinasi ketukan. Tetapi, Anda juga tidak boleh lengah begitu saja. Mungkin saja berapa bulan lagi, berapa minggu atau bahkan berapa hari lagi, metode Port knocking tidak lagi begitu aman karena kerja iseng para hacker yang dapat menjebolnya. Kemungkinan itu bisa saja terjadi kapan saja, namun paling tidak Port knocking sudah membuat mereka lebih susah dan kenyamanan Anda juga akan sedikit bertambah
Ancaman Keamanan JaringanMemahami Berbagai Jenis Ancaman Keamanan Jaringan Pada Organisasi Anda Salah satu pusat perhatian dalam keamanan jaringan adalah mengendalikan access terhadap resources jaringan. Bukan saja sekedar mengontrol siapa saja yang boleh mengakses resources jaringan yang mana, pengontrolan akses ini juga harus memanage bagaimana si subject (user, program, file, computer dan lainnya) berinteraksi dengan object-2 (bisa berupa sebuah file, database, computer, dll atau lebih tepatnya infrastruktur jaringan kita).
Prinsip keamanan jaringanSebelum memahami berbagai macam ancaman keamanan jaringan, anda perlu memahami prinsip keamanan itu sendiri. 1. Kerahasiaan (confidentiality), dimana object tidak di umbar atau dibocorkan kepada subject yang tidak seharusnya berhak terhadap object tersebut, atau lazim disebut tidak authorize. 2. Integritas (Integrity), bahwa object tetap orisinil, tidak diragukan keasliannya, tidak dimodifikasi dalam perjalanan nya dari sumber menuju penerimanya. 3. Ketersediaan (Availability), dimana user yang mempunyai hak akses atau authorized users diberi akses tepat waktu dan tidak terkendala apapun. Prinsip keamanan ini lazim disebut segitiga CIA (Confidentiality, Integrity, Availability). Dan salah satu goal utama dari pengendalian akses adalah untuk menjaga jangan sampai ada yang tidak authorize mengakses objek-2 seperti jaringan; layanan-2; link komunikasi; komputer atau system infrastruktur jaringan lainnya oleh apa yang kita sebut sebagai ancaman keamanan jaringan. Dalam perjalanan anda untuk membangun suatu system kemanan jaringan, salah satu prosesnya adalah menilai resiko keamanan dalam organisasi anda. Akan tetapi terlebih dahulu anda perlu juga memahami berbagai jenis ancaman keamanan jaringan. Ancaman keamanan jaringan dan metoda yang umum Dipakai Berikut ini adalah berbagai macam kelas serangan atau metoda serangan terhadap keamanan infrastruktur jaringan anda. Memaksa masuk dan kamus password Jenis ancaman keamanan jaringan ini lebih umum disebut sebagai Brute Force and Dictionary, serangan ini adalah upaya masuk ke dalam jaringan dengan menyerang database password atau menyerang login prompt yang sedang active. Serangan masuk paksa ini adalah suatu upaya untuk menemukan password dari account user dengan cara yang sistematis mencoba berbagai kombinasi angka, huruf, atau symbol. Sementara serangan dengan menggunakan metoda kamus password adalah upaya menemukan password dengan mencoba berbagai kemungkinan password yang biasa dipakai user secara umum dengan menggunakan daftar atau kamus password yang sudah di-definisikan sebelumnya. Untuk mengatasi serangan keamanan jaringan dari jenis ini anda seharusnya mempunyai suatu policy tentang pemakaian password yang kuat diantaranya untuk tidak memakai password yang dekat dengan kita missal nama, nama anak, tanggal lahir dan sebagainya. Semakin panjang suatu password dan kombinasinya semakin sulit untuk diketemukan. Akan tetapi dengan waktu yang cukup, semua password dapat diketemukan dengan metoda brute force ini. Denial of Services (DoS) Deniel of Services (DoS) ini adalah salah satu ancaman keamanan jaringan yang membuat
suatu layanan jaringan jadi mampet, serangan yang membuat jaringan anda tidak bisa diakses atau serangan yang membuat system anda tidak bisa memproses atau merespon terhadap traffic yang legitimasi atau permintaan layanan terhadap object dan resource jaringan. Bentuk umum dari serangan Denial of Services ini adalah dengan cara mengirim paket data dalam jumlah yang sangat bersar terhadap suatu server dimana server tersebut tidak bisa memproses semuanya. Bentuk lain dari serangan keamanan jaringan Denial of Services ini adalah memanfaatkan telah diketahuinya celah yang rentan dari suatu operating system, layanan-2, atau applikasi-2. Exploitasi terhadap celah atau titik lemah system ini bisa sering menyebabkan system crash atau pemakaian 100% CPU. Tidak semua Denial of Services ini adalah merupakan akibat dari serangan keamanan jaringan. Error dalam coding suatu program bisa saja mengakibatkan kondisi yang disebut DoS ini. Disamping itu ada beberapa jenis DoS seperti: 1. Distributed Denial of Services (DDoS), terjadi saat penyerang berhasil meng-kompromi beberapa layanan system dan menggunakannya atau memanfaatkannya sebagai pusat untuk menyebarkan serangan terhadap korban lain. 2. Ancaman keamanan jaringan Distributed refelective deniel of service (DRDoS) memanfaatkan operasi normal dari layanan Internet, seperti protocol-2 update DNS dan router. DRDoS ini menyerang fungsi dengan mengirim update, sesi, dalam jumlah yang sangat besar kepada berbagai macam layanan server atau router dengan menggunakan address spoofing kepada target korban. 3. Serangan keamanan jaringan dengan membanjiri sinyal SYN kepada system yang menggunakan protocol TCP/IP dengan melakukan inisiasi sesi komunikasi. Seperti kita ketahui, sebuah client mengirim paket SYN kepada server, server akan merespon dengan paket SYN/ACK kepada client tadi, kemudian client tadi merespon balik juga dengan paket ACK kepada server. Ini proses terbentuknya sesi komunikasi yang disebut Three-Way handshake (bahasa teknis kita apa yach masak jabat tangan tiga jalan????he..he..) yang dipakai untuk transfer data sampai sesi tersebut berakhir. Kebanjiran SYN terjadi ketika melimpahnya paket SYN dikirim ke server, tetapi si pengirim tidak pernah membalas dengan paket akhir ACK. 4. Serangan keamanan jaringan dalam bentuk Smurf Attack terjadi ketika sebuah server digunakan untuk membanjiri korban dengan data sampah yang tidak berguna. Server atau jaringan yang dipakai menghasilkan response paket yang banyak seperti ICMP ECHO paket atau UDP paket dari satu paket yang dikirim. Serangan yang umum adalah dengan jalan mengirimkan broadcast kepada segmen jaringan sehingga semua node dalam jaringan akan menerima paket broadcast ini, sehingga setiap node akan merespon balik dengan satu atau lebih paket respon. 5. Serangan keamanan jaringan Ping of Death, adalah serangan ping yang oversize. Dengan menggunakan tool khusus, si penyerang dapat mengirimkan paket ping oversized yang banyak sekali kepada korbannya. Dalam banyak kasus system yang diserang mencoba memproses data tersebut, error terjadi yang menyebabkan system crash, freeze atau reboot. Ping of Death ini tak lebih dari semacam serangan Buffer overflow akan tetapi karena system yang diserang sering jadi down, maka disebut DoS attack. 6. Stream Attack terjadi saat banyak jumlah paket yang besar dikirim menuju ke port pada
system korban menggunakan sumber nomor yang random. Spoofing Spoofing adalah seni untuk menjelma menjadi sesuatu yang lain. Spoofing attack terdiri dari IP address dan node source atau tujuan yang asli atau yang valid diganti dengan IP address atau node source atau tujuan yang lain. Serangan Man-in-the-middle Serangan keamanan jaringan Man-in-the-middle (serangan pembajakan) terjadi saat user perusak dapat memposisikan diantara dua titik link komunikasi.
Dengan jalan mengkopy atau menyusup traffic antara dua party, hal ini pada dasarnya merupakan serangan penyusup. Para penyerang memposisikan dirinya dalam garis komunikasi dimana dia bertindak sebagai proxy atau mekanisme store-and-forwad (simpan dan lepaskan).
Para penyerang ini tidak tampak pada kedua sisi link komunikasi ini dan bisa mengubah isi dan arah traffic. Dengan cara ini para penyerang bisa menangkap logon credensial atau data sensitive ataupun mampu mengubah isi pesan dari kedua titik komunikasi ini. Spamming Spam yang umum dijabarkan sebagai email yang tak diundang ini, newsgroup, atau pesan diskusi forum. Spam bisa merupakan iklan dari vendor atau bisa berisi kuda Trojan. Spam pada umumnya bukan merupakan serangan keamanan jaringan akan tetapi hampir mirip DoS. Sniffer Suatu serangan keamanan jaringan dalam bentuk Sniffer (atau dikenal sebagai snooping attack) merupakan kegiatan user perusak yang ingin mendapatkan informasi tentang jaringan atau traffic lewat jaringan tersebut. suatu Sniffer sering merupakan program penangkap paket yang bisa menduplikasikan isi paket yang lewat media jaringan kedalam file. Serangan Sniffer sering difokuskan pada koneksi awal antara client dan server untuk mendapatkan logon credensial, kunci rahasia, password dan lainnya. Crackers Ancaman keamanan jaringan Crackers adalah user perusak yang bermaksud menyerang suatu system atau seseorang. Cracker bisasanya termotivasi oleh ego, power, atau ingin mendapatkan pengakuan. Akibat dari kegiatan hacker bisa berupa pencurian (data, ide, dll), disable system, kompromi keamanan, opini negative public, kehilangan pasar saham, mengurangi keuntungan, dan kehilangan produktifitas. Dengan memahami ancaman keamanan jaringan ini, anda bisa lebih waspada dan mulai memanage jaringan anda dengan membuat nilai resiko keamanan jaringan dalam organisasi anda atau lazim disebut Risk Security Assessment.
IDS (Intrusion Detection System)
AbstrakIntrusion Detection System digunakan untuk mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. Intrusion adalah aktivitas tidak sah atau tidak diinginkan yang mengganggu konfidensialitas, integritas dan atau ketersediaan dari informasi yang terdapat di sebuah sistem. IDS akan memonitor lalu lintas data pada sebuah jaringan atau mengambil data dari berkas log. IDS akan menganalisa dan dengan algoritma tertentu akan memutuskan untuk memberi peringatan kepada seorang administrator jaringan atau tidak Keywords : intrusion, intrusion detection system, jaringan, network security
Dewasa ini ada banyak solusi untuk mengurangi resiko dari serangan atau threat pada sebuah sistem komputer [1]. Intrusion Detection System (IDS) hanyalah salah satu dari sekian banyak contoh penanganan terhadap intrusion. Intrusion sendiri didefinisikan sebagai segala aktivitas yang bersifat mengganggu integritas, konfidensialitas, dan ketersediaan dari sumber daya atau resource [3]. IDS umumnya merupakan sebuah aplikasi yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan[4]. IDS dapat melakukan inspeksi terhadap lalu lintas komunikasi data dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan penyusupan (termasuk kategori penyusupan atau tidak)dan terkadang memberikan penanganan terhadap susupan atau gangguan yang terjadi. Pendeteksian dilakukan IDS agar memblock gangguan jika segera dideteksi, bertindak sebagai deterrent (mencegah seseorang melakukan gangguan/intrusion), mengumpulkan informasi untuk meningkatkan keamanan.
Tipe dasar IDS
Rule-based systems : berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mencatat lalu lintas yang sesuai dengan database yang ada, maka langsung dikategorikan sebagai penyusupan. Adaptive systems: mempergunakan metode yang lebih canggih. tidak hanya berdasarkan database yang ada, tetapi juga membuka kemungkinan untuk mendeteksi terhadap bentuk-bentuk penyusupan yang baru.
Bentuk yang sering digunakan untuk komputer secara umum adalah rule-based systems. pendekatan yang digunakan dalam rule-based systems ada 2, yaitu pendekatan pencegahan (preemptory) dan pendekatan reaksi (reactionary). Perbedaannya hanya masalah waktu saja. Pada pendekatan pencegahan, program pendeteksi penyusupan akan memperhatikan semua lalu lintaas jaringan. Jika ditemukan paket yang mencurigakan maka program akan melakukan tindakan yang perlu. Pada pendekatan reaksi, program pendeteksi penyusupan, hanya mengamati file log. Jika ditemukan paket yang mencurigakan program juga akan melakukan tindakan yang perlu.
Jenis-jenis IDSAda dua jenis IDS, yakni:
Network-based Intrusion Detection System (NIDS): Network intrusion detection systems adalah jenis IDS yang bertanggung jawab untuk mendeteksi serangan yang berkaitan dengan jaringan[4]. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada pintu masuk jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi. Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet.
Kebanyakan produk IDS merupakan sistem yang bersifat pasif, mengingat tugasnya hanyalah mendeteksi intrusi yang terjadi dan memberikan peringatan kepada administrator jaringan bahwa mungkin ada serangan atau gangguan terhadap jaringan. Akhir-akhir ini, beberapa vendor juga mengembangkan IDS yang bersifat aktif yang dapat melakukan beberapa tugas untuk melindungi host atau jaringan dari serangan ketika terdeteksi, seperti halnya mentutp beberapa port atau memblokir beberapa alamat IP. Produk seperti ini umumnya disebut sebagai Intrusion Prevention System (IPS). Beberapa produk IDS juga menggabungkan kemampuan yang dimiliki oleh HIDS dan NIDS, yang kemudian disebut sebagai sistem hibrid (hybrid intrusion detection system).
Cara kerja IDS
Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan. Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul. Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak biasa. Kelebihan
dapat mendeteksi external hackers dan serangan jaringan internal dapat disesuaikan dengan mudah dalam menyediakan perlindungan untuk keseluruhan jaringan. dapat dikelola secara terpusat dalam menangani serangan yang tersebar dan bersamasama menyediakan pertahanan pada bagian dalam menyediakan layer tambahan untuk perlindungan ids memonitor Internet untuk mendeteksi serangan ids membantu organisasi utnuk mengembangkan dan menerapkan kebijakan keamanan yang efektif ids memungkinkan anggota non-technical untuk melakukan pengelolaan keamanan menyeluruh adanya pemeriksaan integritas data dan laporan perubahan pada file data ids melacak aktivitas pengguna dari saat masuk hingga saat keluar ids menyederhanakan sistem sumber informasi yang kompleks ids memberikan integritas yang besar bagi infrastruktur keamanan lainnya
Kekurangan
Lebih bereaksi pada serangan daripada mencegahnya menghasilkan data yang besar untuk dianalisis rentan terhadap serangan yang rendah dan lambat tidak dapat menangani trafik jaringan yang terenkripsi
ids hanya melindungi dari karakteristik yang dikenal ids tidak turut bagian dalam kebijakan keamanan yang efektif, karena dia harus diset terlebih dahulu ids tidak menyediakan penanganan kecelakaan ids tidak mengidentifikasikan asal serangan ids hanya seakurat informasi yang menjadi dasarnya Network-based IDS rentan terhadap overload Network-based IDS dapat menyalahartikan hasil dari transaksi yang mencurigakan Paket terfragmantasi dapat bersifat problematis
Contoh program IDS* chkwtmp - Program yang melakukan pengecekan terhadap entry kosong. dalam arti wtmp mencatat sesuatu tapi isinya kosong. * tcplogd - Program yang mendeteksi stealth scan. stealth scan adalah scanning yang dilakukan tanpa harus membuat sebuah sesi tcp. sebuah koneksi tcp dapat terbentuk jika klien mengirimkan paket dan server mengirimkan kembali paketnya dengan urutan tertentu, secara terus menerus sehingga sesi tcp dapat berjalan. stealth scan memutuskan koneksi tcp sebelum klien menrima kembali jawaban dari server. scanning model ini biasanya tidak terdeteksi oleh log umum di linux. * hostsentry - Program yang mendeteksi login anomali. anomlai disini termasuk perilaku aneh (bizzare behaviour), anomali waktu (time anomalies), dan anomali lokal (local anomalies). * snort
Snort adalah program IDS yang bekerja pada umumnya pada sistem operasi Linux, namun banyak pula versi yang dapat digunakan di beragam platform [5]. Snort pada umumnya merujuk kepada intrusion detection system yang sifatnya lightweight atau ringan karena diperuntukkan bagi jaringan kecil. Snort sangat fleksibel karena arsitekturnya yang berbasis rule [6]
Referensi[1] Paez, Rafael et.al, Cooperative Itinerant Agents (CIA): Security Scheme for Intrusion Detection Systems, International Conference on Internet Surveillance and Protection (ICISP06), 2006. [2] , 2008. http://ipsec.pl/index.php?q=intrusion-detection/prevention-systemsclassification-tree.html. Diakses tanggal 16 April 2008. [3] R. Heady, G. Luger, A. Maccabe, and M. Servilla. The architecture of a network level intrusion detection system. Technical, Department of Computer Science, University of New Mexico, 1990. [4] Bueno, Pedro. Understanding IDS for Linux. Linux Journal. 2002. [5] Geovedi, Jim. Snort Intrusion Detection System. http://corebsd.or.id. 2004. [6] Gaur, Nalneesh. Snort: Planning IDS for Your Enterprise. Linux Journal. 2001.
Keamanan Jaringan Nirkabel
Penggunaan jaringan Internet yang kian marak dewasa ini telah mendorong pertumbuhan teknologi koneksi jaringan Internet itu sendiri, sehingga kemudian lahirlah suatu teknologi jaringan nirkabel (Wireless Network), yang sangat memudahkan penggunanya dalam mengakses Internet. Namun begitu ada beberapa hal yang harus diperhatikan agar dalam penggunaan jaringan nirkabel ini dapat berjalan dengan aman. Lahirnya Jaringan Nirkabel untuk Rumah Dahulu komputer lebih dianggap sebagai sebuah kemewahan daripada sebuah kebutuhan. Hanya orang-orang kaya dan beruntung saja yang dapat mempunyai sebuah komputer, sedangkan jaringan merupakan hal yang hanya dapat disediakan untuk perusahaan besar. Namun sejalan dengan kemajuan yang pesat pada dekade ini, maka sekarang setiap orang masing-masing dapat mempunyai komputernya sendiri. Seperti yang banyak kita temui, biasa nya setiap orang tua mempunyai komputernya sendiri, begitu pula dengan si anak dapat mempunyai komputernya sendiri walaupun mungkin hanya digunakan untuk bermain dan mengerjakan tugas-tugas sekolah. Para pengguna rumahan juga telah berkembang dari yang semula tidak mempunyai akses Internet, kemudian mulai memakai koneksi dial-up Internet dengan kecepatan 9600 kbps melebihi 56 kbps dial up akses, dan kini berkembang menjadi koneksi broadband menyaingi koneksi T1 yang sering dinikmati orang saat bekerja. Sebagaimana Internet dan World Wide Web telah menjadi trend dalam kebudayaan kita dan menggantikan format media massa lainnya dalam menyampaikan informasi yang dicari, mulai dari informasi pemberitaan, olahraga, cuaca, resep, yellow pages (buku telepon), dan masih banyak hal lainnya yang kesemuanya itu merupakan sebuah cara baru, bukan hanya dalam pemakaian komputer di dalam rumah, tapi juga dalam hal pemakaian koneksi Internet. Sementara itu perusahaan perangkat keras maupun perangkat lunak kini telah menawarkan berbagai solusi yang memungkinkan para pemakai Internet di rumah saling berbagi koneksi antara lebih dari dua komputer. Meskipun semua komputer tersebut harus terhubung jaringan. Untuk menghubungkan satu komputer dengan komputer yang lainnya biasanya membutuhkan berbagai macam media fisik, seperti kabel telepon, kabel coaxial, ataupun
kabel CAT5 kabel telegram yang ada di mana-mana. Namun baru-baru ini telah ditemukan cara baru pemakaian Internet tanpa menggunakan berbagai macam media penghubung terseut, teknologi ini kini lazim disebut koneksi jaringan Nirkabel (tanpa kabel). Pemakaian Internet dengan menggunakan koneksi jaringan nirkabel ini tentu saja sangat memudahkan pemakainya dalam mengakses Internet, tanpa melalui proses installasi dan pemasangan kabel yang memusingkan. Adapun susunan koneksi jaringan nirkabel ini sangat sederhana. Koneksi Internet masuk dari Internet Provider kemudian dihubungkan dengan suatu titik penerus akses nirkabel atau router yang memancarkan sinyal. Ketika Anda terhubung dengan memakai kartu atau antena jaringan nirkabel untuk menerima sinyal, begitu pula sebaliknya, maka koneksi Anda telah berhasil. Masalah yang sering timbul pada saat menikmati koneksi sinyal nirkabel ini adalah sulitnya mengetahui sampai sejauh mana sinyal ini dapat diterima. Jika sinyal tersebut dapat ditangkap dari lantai atas sebuah kantor, maka seharusnya juga dapat ditangkap dari basement yang berada 100 kaki di bawah tanah. Ini dapat saja membuat seorang hacker mencari celah dari koneksi nirkabel tersebut untuk mendapatkan berbagai informasi penting mengenai Anda. Namun itu bukan berarti tidak menyarankan penggunaan jaringan nirkabel. Hanya saja Anda harus cermat dalam menggunakan jaringan nirkabel ini, serta mengambil beberapa pencegahan dasar agar pemakaian teknologi ini dapat benar-benar aman. Berikut ini merupakan beberapa langkah sederhana yang dapat dijalankan untuk mengamankan jaringan nirkabel yang Anda pakai.
6 Langkah Pengamanan Dasar Jaringan Nirkabel :1. Ubahlah Sistem ID (Identitas) Biasanya suatu layanan nirkabel dilengkapi dengan suatu standart pengamanan identitas atau yang sering disebut SSID (Service Set Identifier) or ESSID (Extended Service Set Identifier). Sangat mudah bagi seorang hacker untuk mencari tahu identitas default dari suatu layanan atau jaringan, jadi sebaiknya Anda segera mengubahnya menjadi suatu identitas yang unik, yang tidak mudah ditebak orang lain. 2. Mematikan identitas pemancar Dengan mengumumkan kepada umum bahwa Anda memiliki suatu jaringan nirkabel akan membuat para hacker penasaran untuk membobol jaringan nirkabel Anda. Mempunyai suatu jaringan nirkabel bukan berarti harus memberitahukannya kepada semua orang. Periksalah secara manual perangkat keras yang Anda pakai untuk jaringan nirkabel tersebut, dan pelajarilah bagaimana cara mematikannya. 3. Sediakanlah enkripsi WEP (Wired Equivalent Privacy) and WPA (Wi-Fi Protected Access) dapat meng-enkripsi data Anda sehingga hanya penerima saja yang diharapkan dapat membaca data tersebut. WEP (Wired Equivalent Privacy) mempunyai banyak kelemahan yang membuatnya mudah disusupi. Kunci 128-bit hanya mempunyai tingkat pencapaian yang relatif rendah tanpa peningkatan keamanan yang signifikan, sedangkan untuk 40-bit atau 64-bit pada beberapa perlengkapan lainnya, mempunyai enkripsi yang sama baiknya. Dengan cara pengamanan yang standart saja pastilah tetap akan mudah bagi hacker untuk menyusup, namun dengan
cara enkripsi ini pastilah akan membuat jaringan Anda lebih aman dari hacker. Jika memungkinkan, ada baiknya untuk menggunakan enkripsi WPA (peralatan yang lebih tua dapat diupgrade terlebih dahulu agar compatible dengan WPA). WPA dapat sangat menjanjikan dalam menjamin keamanan jaringan nirkabel Anda, namun masih tetap dapat dikalahkan oleh serangan DOS (denial of services). 4. Membatasi dari penggunaan traffic yang tidak perlu Banyak router jaringan kabel maupun nirkabel yang dilengkapi firewalls. Bukan bermaksud mengedepankan firewalls, namun firewalls telah membantu dalam pertahanan keamanan jaringan. Bacalah petunjuk manual dari perangkat keras Anda dan pelajarilah cara pengaturan konfigurasi router Anda, sehingga hanya traffic yang sudah seijin Anda saja yang dapat dijalankan. 5. Ubahlah 'kata sandi' default Administrator milik Anda Hal ini baik untuk semua penggunaan perangkat keras maupun perangkat lunak. Kata sandi default sangat mudah disalahgunakan, terutama oleh para hacker. Oleh karena itu sebaiknya ubahlah kata sandi Anda, hindari penggunaan kata dari hal-hal pribadi Anda yang mudah diketahui orang, seperti nama belakang, tanggal lahir, dan sebagainya. 6. Kunci dan lindungilah komputer Anda Hal ini merupakan cara pengamanan terakhir untuk komputer Anda. Gunakanlah firewall, perangkat lunak Anti Virus, Zone Alarm, dan lain sebagainya. Setidaknya setiap satu minggu perbaharuilah Anti Virus yang Anda pakai.
Merancang Sistem Keamanan Jaringan yang Tangguh
Suatu organisasi dapat mempunyai dua atau lebih dari satu situs atau dimana tiap situs mempunyai jaringan sendiri. Bila organisasi besar, maka sangat dimungkinkan situs-situs tersebut mempunyai administrasi jaringan yang dibedakan menurut tujuan tertentu. Bila situs-situs ini tidak terhubung melalui internet, tiap situs mungkin memiliki kebijakan keamanan sendiri. Bagaimanapun, bila situs-situs tersebut terhubung melalui internet, maka kebijakan keamanan harus mencakup tujuan dari semua situs yang saling terhubung. Pada umumnya suatu situs adalah bagian dari organisasi yang mempunyai beberapa komputer dan sumber daya yang terhubung ke dalam suatu jaringan. Sumber daya tersebut misalnya : 1. 2. 3. 4. 5. 6. Workstation dan Laptop Komputer sebagai host atau server Interkoneksi: gateway, router, bridge, repeater Perangkat lunak aplikasi dan jaringan (NOS) Kabel-kabel jaringan Informasi di dalam file dan database
Kebijakan keamanan situs harus memperhatikan pula keamanan terhadap sumber daya tersebut. Karena situs terhubung ke jaringan lain, maka kebijakan keamanan harus memperhatikan kebutuhan dari semua jaringan yang saling terhubung. Hal ini penting untuk diperhatikan karena kemungkinan kebijakan keamanan situs dapat melindungi situs tersebut, namun berbahaya bagi sumber daya jaringan yang lain.
Suatu contoh dari hal ini adalah penggunaan alamat IP di belakang firewall, dimana alamat IP tersebut sudah digunakan oleh orang lain. Pada kasus ini, penyusupan dapat dilakukan terhadap jaringan di belakang firewall dengan melakukan IP spoofing. Sebagai catatan, RFC 1244 membahas keamanan keamanan situs secara detail. Kebijakan Keamanan Jaringan Kebijakan keamanan menyediakan kerangka-kerangka untuk membuat keputusan yang spesifik, misalnya mekanisme apa yang akan digunakan untuk melindungi jaringan dan bagaimana mengkonfigurasi servis-servis. Kebijakan keamanan juga merupakan dasar untuk mengembangkan petunjuk pemrograman yang aman untuk diikuti user maupun bagi administrator sistem. Karena kebjikan keamanan tersebut mencakup bahasan yang sangat luas, maka pada saat ini hanya akan dibahas inti permasalahan saja dan tidak akan membahas hal-hal yang bersifat spesifik dari segi teknologi. Sebuah kebijakan keamanan mencakup hal-hal berikut ini: 1. Deskripsi secara detail tentang lingkungan teknis dari situs, hukum yang berlaku, otoritas dari kebijakan tersebut dan filosofi dasar untuk digunakan pada saat menginterpretasikan kebijakan tersebut. 2. Analisa risiko yang mengidentifikasi aset-aset situs, ancaman yang dihadapi oleh asetaset tersebut dan biaya yang harus dikeluarkan untuk kerusakan/kehilangan aset-aset tersebut. 3. Petunjuk bagi administrator sistem untuk mengelola sistem 4. Definisi bagi user tentang hal-hal yang boleh dilakukan 5. Petunjuk untuk kompromi terhadap media dan penerapan hukum yang ada, serta memutuskan apakah akan melacak penyusup atau akan mematikan sistem dan kemudian memulihkannya lagi. Faktor yang berpengaruh terhadap keberhasilan kebijakan keamanan antara lain adalah:
Komitmen dari pengelola jaringan Dukungan teknologi untuk menerapkan kebijakan keamanan tersebut Keefektifan penyebaran kebijakan tersebut Kesadaran semua user jaringan terhadap keamanan jaringan
Pihak pengelola jaringan komputer mengatur tanggung jawab terhadap keamanan jaringan, menyediakan training untuk personel-personel yang bertugas di bidang keamanan jaringan dan mengalokasikan dana untuk keamanan jaringan. Yang termasuk pilihan-pilihan teknis yang dapat digunakan untuk mendukung keamanan jaringan komputer antara lain: 1. 2. 3. 4. Authentikasi terhadap sistem Audit sistem untuk akuntabilitas dan rekonstruksi Enkripsi terhadap sistem untuk penyimpanan dan pengiriman data penting Tool-tool jaringan, misalnya firewall dan proxy
Hal-hal Praktis Pendukung
Di bawah ini adalah hal-hal praktis yang perlu dilakukan untuk mendukung keamanan jaringan komputer, antara lain:
Memastikan semua account mempunyai password yang sulit untuk ditebak. Akan lebih baik bila menggunakan OTP (One Time Password) Menggunakan tool, misalnya MD5 checksums, sebuah teknik kriptografi untuk memastikan integritas perangkat lunak sistem Menggunakan teknik pemrograman yang aman pada saat membuat perangkat lunak Selalu bersikap waspada terhadap penggunaan dan konfigurasi jaringan komputer Memeriksa secara rutin apakah vendor memiliki perbaikan-perbaikan terhadap lubang keamanan yang terbaru dan selalu menjaga sistem selalu mengalami upgrading terhadap keamanan Memeriksa secara rutin dokumen-dokumen dan artikel on-line tentang bahaya keamanan dan teknik mengatasiny. Dokumen dan artikel seperti ini dapat ditemukan pada situs-situs milik incident response teams, misalnya CERT (Computer Emergency Response Team http://www.cert.org dan Computer Security Incident Response Team - http://www.CSIRT.org) Mengaudit sistem dan jaringan dan secara rutin memeriksa daftar log. Beberapa situs yang mengalami insiden keamanan melaporkan bahwa audit yang dikumpulkan minim sehingga sulit untuk mendeteksi dan melacak penyusupan
*) Thanks to : IGN Mantra, Analis Senior Keamanan Jaringan dan Pemantau Trafik Internet ID-SIRTII, sekaligus Dosen Keamanan Jaringan dan Cybercrime. 0 comments Email This BlogThis! Share to Twitter Share to Facebook Share to Google Buzz Labels: Keamanan dan Analisa Jaringan
Authentication MethodsAuthentication dan authorization adalah kunci untuk mendapatkan akses kepada resources corporate banyak jenis authentication method yang bisa diadopsi dengan keuntungan dan kerugiannya Dalam suatu infrastructure jaringan business atau corporasi yang berskala menengah dan besar , perhatian terhadap perlindungan asset corporate yang berupa informasi begitu besarnya. Keamanan terhadap segala macam ancaman jaringan maupun ancaman dari internet adalah yang paling utama. Adanya manajemen keamanan terhadap informasi adalah seuatu keharusan, yang merupakan framework, procedure, kebijakan dan lain-2 yang tujuannya adalah keamanan total terhadap asset informasi. Salah satu pintu masuk kompromi keamanan adalah mendapatkan akses melalui authentication dan authorization. Authentication adalah proses dimana seorang user (melalui berbagai macam akses fisik berupa komputer , melalui jaringan , atau melalui remote access ) mendapatkan hak akses kepada suatu entity (dalam hal ini jaringan suatu corporate). Seorang user melakukan logon kedalam suatu infrastruckture jaringan dan system mengenali user ID ini dan menerimanya untuk kemudian diberikan akses terhadap resources jaringan sesuai dengan authorisasi yang dia terima.
Authorization adalah proses penentuan apakah user tersebut diijinkan / ditolak untuk melakukan satu atau beberapa action atau akses terhadap resources tertentu dalam system. User logon terhadap system dengan menggunakan user-ID dan password, kemudian system mengenalinya dan user mendapatkan akses atau ditolak terhadap suatu resource system tertentu. Authentication Ada banyak method yang berbeda yang bisa digunakan untuk melakukan user authentication, diantaranya adalah seperti berikut ini. User name and password Authentication Kebanyakan system operasi dan server Web mempunyai beberapa jenis system authentication dengan menggunakan user-name dan password. Kebanyaka system ini mempunyai beberapa jenis mekanisme untuk memanaje architecture user-name dan password seperti account expiration (kadaluarsa account), password expiration, panjang password minimum, dan atau kualitas password (perpaduan capital, angka, symbol). Metoda inilah yang banyak dipakai dalam hampir sebagian besar web-pages di internet. Keuntungan :
Gampang diimplementasikan dan di manage Murah banyak tersedia dengan hampir sebagian besar system operasi dan webpages. Hanya memerlukan pelatihan sebentar saja untuk user
Kerugiannya :
User name dan password dikirim dalam bentuk clear text untuk authentication dasar (walau tidak semua kasus dan SSL dapat meng-inkripsi pada level network) User name dan password rentan terhadap serangan password dictionary Pada internet, user bisa mempunyai banyak user-name dan password yang berbedabeda yang hanya bikin pusing untuk mengingatnya.
Certificates Authentication User certificate bisa digunakan oleh end-user untuk menjamin identitas mereka. Akses terhadap certificate normalnya dikendalikan oleh sebuah password yang local terhadap certificate. Banyak company sudah mulai memanfaatkan dan mengimplementasikan user certificate dalam jaringan internal mereka. Keuntungan :
Certificate menyatu terhadap user Kemampuan meng-inkripsi data dan melakukan signature digital terhadap message. Didukung hampir sebagian besar browser dan paket email. Menawarkan beberapa mekanisme solusi single sign-on Kebal terhadap serangan dictionary
Mengijinkan roaming user, yaitu user pindah dari satu lokasi ke lokasi lainnya (hanya jika vendor anda mendukung fitur ini) Dapat meng-inkrip data, e-mail, dan sign hanya dengan satu certificate saja (sesungguhnya akan lebih baik untuk membedakan certificate untuk signing dan inkryption
Kerugian :
Mahal jika mengimplementasikan suatu PKI (public key infrastructure) Pelatihan user yang extensive Memerlukan stuktur support Roaming users, yaitu users berpindah dari satu lokasi ke lokasi lainnya (dimana tidak semua vendor mendukung fitur ini akan tetapi hal ini menjadi lebih bagus)
Biometric techniques Authentication System authentication Biometric menggunakan piranti semacam sidik jari atau scanner mata untuk mendapatkan akses. Jenis authentication ini mempunyai tingkat keamanan yang sangat tinggi untuk lingkungan berresiko tinggi dengan membatasi dan mengendalikan akses kepada system yang sangat sensitive seperti instalasi militer. Dengan method ini membatasi user lain menggunakan semacam user-name dan password orang lain. Keuntungan :
Authentication berupa orang yang sangat sulit untuk diserupakan Directory attacks adalah hampir tidak mungkin Menawarkan solusi mekanisme single sign-on Disadvantages Tidak semua vendor mendukung technology biometric ini. Tetapi beberapa jenis laptop sudah banyak menggunakan teknologi sidik jari ini untuk authenticasi logon. Imlementasinya sangat mahal, terkecuali diproduksi dalam jumlah masal.
Smart cards Authentication Suatu authenticasi Smart Card adalah mirip kartu kridit yang mempunyai chip sirkuit (IC) tertempel didalam kartu smart ini. Smart card bisa menyimpan semua jenis informasi, yang bisa ditransfer melalui interface electronic yang terhubung melalui sebuah komputer. Smart card ini bisa menyimpan informasi tentang siapa anda dan dan kunci cryptography dan melakukan algoritme cryptography semacam inkripsi. Akses terhadap smart card dikendalikan melalui suatu PIN atau suatu password. Akses semacam ini banyak digunakan dalam akses pintu area dengan tingkat keamanan yang sangat tinggi seperti dalam instalasi militer, bank, atau goldroom. Keuntungan :
Gampang menggabungkan kartu ini dengan orang Card ii bisa menyimpan informasi kunci dan informasi lainnya tentang user. Jika kunci juga dimasukkan, maka akan mudah melakukan inkripsi data dan email.
Pelatihan user tentang teknologi ini mudah dilakukan. Solusi yang bagus untuk roaming user; certificate bisa dengan mudah ditransport kedalam
Kerugiannya :
Sangat mahal, walau technology semacam ini harganya menurun. Masih juga rentan digunakan oleh user lain yang tidak berhak istilahnya tailgating Memerlukan system support dan memerlukan hardware tambahan kedalam komputer.
Anonymous Authentication Suatu user anonymous adalah metoda untuk memberikan akses user terhadap file sehingga tidak memerlukan identifikasi user terhadap server. user memasukkan anonymous sebagai user ID. Metoda ini umum dipakai untuk mendapatkan akses terhadap server untuk hanya sekedar melihat / membaca dan download file yang disediakan untuk umum. Dengan penggunaan anonymous hal ini dimaksudkan sebaghai metoda authentication dan sekaligus authorization. Pastikan anda menyadari bahwa dengan control anonymous, berarti anda memberikan akses authentication dan authorization sekaligus. Tapi pastikan bahwa anonymous bukan menjadi setting default anda, hal ini sangat berbahaya. Pastikan bahwa data yang mestinya harus mendapatkan access khusus, jangan dibuka untuk umum dengan memberikan control anonymous. Keuntungan :
Mudah diimplementasikan Sedikit dan bahkan tidak memerlukan training user Memberikan kemampuan melakukan transaksi aman tanpa harus memberikan / meregister user-name dan password. Bagaimana mungkin? Pernahkan anda membeli barang online seperti di Amazon? Tidak semua company meminta anda membuat suatu account. Yang anda perlukan adalah memberikan nomor credit card dan pastikan lewat secure channel seperti SSL (https) atau semacam Paypall.
Kerugian :
Jelas bahwa tidak ada sangkut pautnya terhadap user tertentu. Konsequensinya anda tidak tahu siapa yang mengakses data. Tidak bisa memblokir berdasarkan user Mempunyai potensi serangan spam, dimana bakal banyak sampah masuk ke site anda. Tidak ada logging atau audit trail
0 comments Email This BlogThis! Share to Twitter Share to Facebook Share to Google Buzz Labels: Keamanan dan Analisa Jaringan
Disaster Recovery PlanningMemahami Disaster Recovery Dan Business Continuity Planning Serta Urgensinya Dalam Business Anda
Dalam suatu jaringan komputer berskala bisnis dan enterprise, perencanaan suatu pemulihan adanya bencana (Disaster recovery) dan kesinambungan bisnis (Business continuity) adalah suatu keharusan. Disaster recovery dan business continuity adalah dua proses yang berbeda akan tetapi keduanya biasanya digabungkan kedalam suatu kerangka kerja tunggal yaitu suatu perencanaan pemulihan bencana dan kesinambungan bisnis atau biasa disebut Business Continuity and Disaster Recovery Planning. Sebelum kita mengembangkan suatu disaster recovery and business continuity planning pertama kali kita perlu memahami perbedaan antara keduanya disaster recovery (DR) dan Business continuity (BC). Untuk memahami perbedaan antara keduanya perlu dijelaskan dengan memahami suatu scenario berikut ini. Dalam suatu incident dimana suatu kebakaran melahap sebuah server-room dimana berada didalamnya semua server- menghancurkan semua yang ada didalamnya termasuk semua server dan infrastcruture pendukungnya seperti router, Switches, jaringan kabel dan apapun semuanya tak tersisa sama sekali. Didalam dokumentasi disaster recovery and business continuity anda anda perlu melakukan beberapa proses disaster recovery dan business continuity. Contoh Disaster Recovery (DR) Sebagai administrator system anda tentunya sudah melakukan suatu perencanaan system backup yang rapi. Salah satunya adalah server alternate yang ada di tempat terpisah dari server room utama anda dan tentunya anda juga sudah mempersiapkan diri dengan selalu mengirim data backup secara berkala ke tempat penyimpanan diluar lokasi jauh dari tempat perusahaan anda (offsite storage). Dengan tersedianya mesin server di tempat terpisah (dari server room yang terbakar) anda bisa melakukan restorasi data ke mesin cadangan diruang ini agar memungkinkan users bisa mulai melanjutkan pekerjaannya dalam batas minimum agar bisa operasional saja. Proses inilah yang disebut bagian dari Disaster Recovery (DR). Contoh Business Continuity (BC) Dalam suatu usaha untuk membangun kembali (akibat bencana kebakaran ini) menjadi full operasional kembali, maka dalam business continuity plan anda akan melakukan langkahlangkah berikut ini:
Anda melakukan survey pasar untuk kemudian membeli unit-unit server baru termasuk infrastructure pendukungnya seperti Switches, Routers, dan perangkat jaringan lainnya. Membangun kembali gedung fisik server room dan fasilitas pendukung lainnya seperti system jaringan perkabelan, rak-rak server, system keamanan alarm system, perangkat pemadam yang ditempatkan pada lokasi yang gampang dijangkau, system emergency exit yang memadai dan lain sebagainya tentunya comply dengan system HSE (Health and Safety Environment) anda. Dan terakhir adalah pekerjaan panjang yang sangat melelahkan adalah mengembalikan / migrasi data dan management user kedalam system baru ini.
Dari sini kita bisa memahami apa perbedaan utama dari Disaster Recovery dan Business Continuity dalam system perencanaan recovery bencana dan kesinambungan business anda. Setiap organisasi sudah seharusnya memanage project dan infrastructure system informasinya dan melindunginya terhadap segala macam bentuk ancaman serta perlu juga memanage system disaster recovery dan business continuity planning-nya terhadap segala macam bentuk
kerusakan dan kehilangan data dalam hal adanya bencana. Ancaman dan kerusakan serta kehilangan data adalah nyata yang bisa menyebabkan kerugian perusahaan miliaran bahkan trilunan rupiah setiap tahunnya. Untuk itulah maka perlunya suatu system disaster recovery dan business continuity plan adalah sangat dibutuhkan agar bisa membantu setidaknya mengidentifikasi dan mencegah segala macam bentuk ancaman yang bisa memperngaruhi kesinambungan bisnis. Business continuity dan disaster recovery planning memberikan suatu kerangka kerja untuk membuat suatu penyelamatan / recovery infrastructure IT anda dari segala macam bencana baik yang berskala kecil maupun besar. Suatu disaster recovery dan business continuity memberikan daftar yang sudah dibuat dan koordinasi dari langkah-langkah yang perlu dilakukan untuk meminimalkan efek-efek secara kesuluruhan dari suatu bencana. Sepanjang atau kelanjutan dari suatu bencana, dokumen disaster recovery planning membantu anda agar tidak sampai mengalami kebingungan apa yang mesti anda lakukan terlebih dahulu jadi ada kerangka kerja yang sudah anda dokumentasikan sebelumnya langkah-langkah yang harus anda lakukan. Hal ini membantu anda dalam mempercepat pemulihan system kedalam level yang stabil untuk bisa beroperasinya business anda kembali. Strategy Pencegahan Dalam business continuity dan disaster recovery planning anda seharusnya juga mencakup strategy preventive / pencegahan yang meliputi metoda-metoda yang harus diambil untuk menghindari potensi terjadinya suatu bencana. Ukuran strategy-strategy tersebut adalah krusial untuk melakukan mitigasi dari resiko dan biasanya di-implementasikan sepanjang temuan potensi resiko. Berikut adalah contoh-contoh strategy pencegahan: 1. Strategy backup berbasis harian, mingguan, dan bulanan seharusnya dilakukan dan data disimpan offsite. Kenapa harus disimpan offsite? Kalau disimpan ditempat / digedung yang sama, jika terjadi kebakaran total anda kehilangan semuanya bahkan harta paling berharga anda yang berupa data lenyap akibatnya anda tidak lagi bisa mengembalikan system anda. Kebijakan anda nantinya bisa dikriminalisasi he..he..kayak kasus Century saja .! 2. Memperbaiki dan memanage dengan baik dan perlindungan prima terhadap system firewall yang merupakan pintu gerbang ancaman dari fihak luar (internet) misal serangan virus dan hackers. 3. Instalasi anti-virus kepada semua server dan client computer agar bisa mencegah serangan terhadap virus Recovery / Pemulihan Dalam dokumen disaster recovery dan business continuity anda, strategy pemulihan seharusnya meliputi langkah-langkah yang harus diambil jika terjadi suatu bencana. Penindaklanjutan dari langkah-langkah ini haruslah cepat untuk menghindari kerangkah waktu yang lama pada tingkatan yang bisa diterima. Berikut ini adalah contoh dari strategy pemulihan: 1. Melakukan test data restore secara regular untuk memastikan bahwa data anda pada saat terjadi proses pemulihan bisa direstore dengan baik. 2. Memanage fasilitas ruang server alternate dengan mesin server standby yang bisa diterima (karena menyangkut biaya) terpisah dari ruang server utama in case ruang server utama terjadi bencana and ludes gak tersisa. Hal ini bisa meliputi mesin domain
server (DNS) atau system Active Directory dan mail-server anda yang merupakan infrastructure kritis dalam operasional anda. 3. Spare server cadangan diruang server alternate anda untuk bisa dilakukan pemulihan cepat data anda jika terjadi keadaan bencana terhadap ruang server utama. Begitu pentingnya data anda yang merupakan kerja keras suatu company selama bertahauntahun maka sudah seharusnya lah anda memberikan perlindungan sangat bagus dan paling penting adalah anda bisa melakukan pemulilhan kembali operasional tanpa kehilangan data berharga anda jika terjadi suatu bencana. Untuk itulah anda harus mengembangkan system perencanaan disaster recovery dan business continuity dalam perusahaan anda.
Teknologi Backbone Untuk Internet & IntraNetSalah satu masalah utama di perkembangan Internet dan jaringan data di Indonesia adalah sulit dan mahalnya jaringan komunikasi jarak jauh untuk backbone antar korporate, warnet ke Internet, perusahaan ke Internet, dan RT/RW-net yang memungkinkan kita mengakses dari rumahan ke Internet 24 jam. Target market untuk Internet 24 jam telah mencapai rumahan. Hal ini sangat terasa dengan berkembangnya warnet-warnet kecil, bahkan RT/RW-net di banyak tempat. Yang memungkinkan pelanggan mengakses Internet non-stop seharga Rp. 150-300.000 / bulan. Di Semarang, anak-anak mahasiswa kos berfikir untuk membuka kos-kos-an-net seharga Rp. 60.000 / bulan. Tentunya hanya dengan keberadaan backbone data yang baik, mudah dan murah akan memungkinkan ini semua terjadi. Secara fisik memang ada beberapa alternatif backbone yang sering digunakan, yaitu teknologi satelit, microwave dan fiber optik. Masing-masing mempunyai kelebihan dan kekurangannya.Yang mudah implementasinya adalah menggunakan teknologi satelit tapi delay satelit yang 500ms cukup membuat percakapan telepon menjadi tidak nyaman, untuk keperluan data sebetulnya tidak terlalu masalah. Belakangan ini mulai muncul jasa komunikasi data menggunakan satelit pada Ku-Band yang di kenal dengan DVB-RCS. Jasa ini agak murah, dengan konsekuensi biasanya akan putus sekitar 5 menitan, jika ada awan hujan di atas antenna. Teknologi microwave biasanya digunakan untuk jarak yang tidak terlalu jauh, umumnya setiap 40-50km di pasang relay untuk membangun jaringan Microwave jarak jauh. Teknologi microwave yang agak dipaksakan seperti WiFi, dan generasi yang lebih bagus WiMAX menjadi primadona bagi pengguna jaringan data kecepatan tinggi sampai dengan 100Mbps terutama untuk mencapai tujuan-tujuan di dalam sebuah kota. Biaya menjadi salah satu faktor kesuksesan implementasi WiFi & WiMAX di sebuah kota. Teknologi telepon 3G mulai di dengungkan belakangan ini; tapi dengan kecepatan 3G yang hanya sekitar 2Mbps, sebetulnya tidak menarik bagi backbone data jarak jauh. Bagi mereka yang serius untuk melakukan sambungan data kecepatan tinggi jarak jauh, pilihan media komunikasi yang paling baik adalah fiber optik. Fiber optik mempunyai kecepatan sangat tinggi dan delay sangat rendah. Pada hari ini, tidak banyak operator telekomunikasi di Indonesia yang berani mengimplementasi backbone fiber optik jarak jauh, setahu saya, hanya Telkom, PLN, XL dan sedikit Indosat. Yang sering terlupakan dalam pemilihan teknologi backbone untuk Internet adalah protokol routing di atasnya. Pemilihan teknologi protokol routiung ini yang nantinya akan menentukan apakah sebuah backbone menarik untuk digunakan bagi komunikasi data atau tidak.Pada dasarnya ada dua mashab / aliran dalam penggunaan protokol routing di backbone infrastruktur telekomunikasi fiber optik. Dua aliran yang mengatur standar control komunikasi optik dilakukan secara independen oleh dua badan standard dunia, yaitu,
International Telecommunications Union (ITU), yang mengembangkan Architecture for Automatically Switched Optical Networks (ASON) Internet Engineering Task Force (IETF), yang mengembangkan Generalized MultiProtocol Label Switching (GMPLS).
Dua badan dunia ini sangat bertentangan, ITU adalah tempat bernaung para regulator telekomunikasi dan operator telekomunikasi tua (termasuk telkom & indosat) secara tradisional akan memilih jalur formal, resmi dan sangat top down. Sedang IETF, adalah badan dunia yang menjadi kunci di balik perkembangan Internet, biasanya mengambil jalan sangat demokratis, terbuka, open standard, praktis mengadopsi yang terbaik yang ada di lapangan, dan yang lebih penting lagi IETF lebih mendarah daging dalam komunikasi data dan Internet. Cukup masuk akal karena IETF memang besar bersama Internet dan protokol IP. Tidak terlalu mengherankan jika bagi mereka yang ingin secara serius menggunakan backbone fiber optik untuk trafik data berbasis IP maka pilihan terbaik akan jatuh pada keluarga protokol MPLS. Salah satu kelebihan MPLS adalah mekanisme pe-label-an dari data yang di lalukan. Dengan menggunakan label, router dapat mengetahui proses / mekanisme penanganan seperti apa yang perlu di berikan pada data tertentu. Tidak heran, kita dapat dengan mudah membangun jaringan Internet Telepon (VoIP), Virtual Private Network yang aman, dan Internet komoditi melalui serat optik yang sama, tanpa saling mengganggu satu sama lain. Dari sisi operator menjadi lebih fleksibel untuk menjamin Quality of Service kepada pelanggan. Pada hari ini, tidak banyak operator telekomunikasi di Indonesia yang secara explisit dan serius menggunakan keluarga MPLS dalam memberikan servis-nya. Setahu saya yang cukup serius adalah XL dan Lintas Arta. Bedanya, XL mempunyai kabel fiber sendiri tapi tidak pada Lintas Arta. Hal ini sangat berpengaruh pada kemampuan sebuah operator untuk memberikan jasa backbone yang mudah, murah dan andal.
Apa itu Analisa Jaringan (Network Analysis)?Analisis jaringan (Network Analysis) juga dikenal sebagai protocol analysis merupakan seni mendengarkan (listening) dalam komunikasi data & jaringan biasanya dilakukan untuk memastikan bagaimana peralatan-peralatan berkomunikasi dan menentukan kesehatan dari jaringan tersebut. Beberapa tugas yang dilakukan selama sesi analisis jaringan adalah sebagai berikut : 1. Menyadap jaringan 2. Menangkap trafik yang diinginkan 3. Melihat trafik yang telah ditangkap 4. Menyaring dan hanya melihat trafik yang diminati 5. Dokumentasi temuan Sebagai contoh, mungkin saja kita tertarik pada trafik dari dan ke sebuah server HTTP pada sebuah jaringan. Beberapa langkah yang perlu dilakukan untuk menganalisa trafik dari dan ke sebuah sever HTTP pada sebuah jaringan adalah :
1. Hubungkan peralatan analisa ke interface yang terhubung ke server 2. Tangkap semua trafik dari dan ke server 3. Perhatikan trafik untuk mengenali paket yang tidak berguna 4. Saring dan hanya memperhatikan trafik broadcast dari server 5. Dokumentasi penyebab broadcast.
Gambar 1. Proses Analisa Aliran Paket (Sumber : Laura A. Chappell, 2001) Analisa biasa dilakukan terhadap data trafik sebuah jaringan yang berhasil ditangkap (capture) dengan menggunakan kakas sejenis tcpdump, sniffer dan lain-lain. Sebuah penyaring tangkapan (capture filter) dikenal juga sebagai pre-filter bisa mengurangi jumlah trafik yang ditangkap ke dalam trace buffer (tempat meletakan paket-paket). Jika penyaring tangkapan tidak diterapkan, semua trafik jaringan mengalir ke dalam trace buffer. Penyaring tampilan (display filter) memungkinkan untuk membangun sekumpulan kecil paket-paket dalam trace buffer berdasarkan beberapa kriteria. Sebagai contoh, jika kita menangkap semua trafik broadcast pada jaringan ke dalam trace buffer, kita mungkin saja ingin menerapkan sebuah display filter untuk membuat sekumpulan kecil dari trace buffer yang berisi broadcast berbasis-IP saja. Analisis jaringan biasanya digunakan untuk tiga hal sebagai berikut : -Penyelesaian masalah (troubleshooting)pada jaringan -Optimasi peforma/ kinerja jaringan -Perencanaan dan pengujian (planning/ testing) jaringan
Mencegah akses diam-diamMelalui folder-sharing tersembunyi, seseorang dapat membaca hard disk atau mengakses printer Anda melalui account administrator yang dibuat Windows. Pengguna Windows XP Pro yang tidak berbagi PC dengan orang lain dan sama sekali tidak ingin datanya diakses orang lain, dapat mematikan folder tersebut untuk mencegahnya.
Klik 'Start | Control Panel | Administrative tools' lalu klik ganda 'Computer management'. Di bawah 'Shared Folders | Shares' Anda akan menemukan semua drive, account adminstrator yang dibuat Windows, printer/fax-sharing, dan IPC yang memungkinkan komunikasi antarprogram jaringan melalui koneksi jarak jauh (remote). Tanda $ di belakang folder menunjukkan bahwa sifat sharing-nya tersembunyi. Klik kanan 'C$' lalu pilih 'Disable Sharing' untuk mematikan sharing ke drive C:. Ketika Windows meminta konfirmasi, klik 'Yes'. Lakukan hal yang sama untuk sharing yang lainnya. Perhatian! Pengguna lain dalam jaringan tidak lagi dapat mengakses data yang terdapat di drive C: dan drive lain yang Anda matikan. Akhiri sharing hanya jika PC Anda bukan merupakan bagian dari sebuah jaringan atau jika Anda sama sekali tidak mengijinkan orang lain mengakses hard disk Anda. Satu-satunya sharing yang tidak dapat Anda singkirkan adalah 'IPC$'. Ini mengesalkan, karena justru melalui Inter Process Communication (IPC) ini PC lain dapat mengontak PC Anda. Dengan tips di atas Anda hanya dapat mencegah akses ke drive, tetapi tidak ke PC-nya itu sendiri. Setelah mematikan sharing, keluar dari 'Computer management'. Agar Windows tidak kembali membuat sharing yang telah Anda matikan tadi pada saat start berikutnya, jalankan Registry Editor. Masuk ke kunci HKEY_LOCAL_MACHINE\System\Curr entControlSet\Services\LanmanS erver\Parameters' dan beri nilai '0' untuk entri 'Auto ShareWks'. Ulangi prosedur yang sama untuk kunci 'lanmanworkstation' di bawahnya. Tutup registry dan restart PC. Sekarang hard disk Anda tidak dapat lagi dimata-matai.
Strategi Merancang Sekuriti Jaringan Komputer AndaDalam dunia Internet yang telah berkembang sedemikian pesatnya, jumlah para hacker, cracker, dan sebagainya juga semakin meningkat. Kita tidak bisa terus-menerus terlena akan keadaan dan kondisi dimana kita dalam keadaan aman. Apakah kita akan menunggu hingga jaringan kita dirusak oleh mereka? Tentu tidak! Setelah sebuah jaringan komputer kita berfungsi dan terhubung ke jaringan Internet, saat itulah kita harus mulai bersiaga dan memikirkan strategi beserta cara-cara untuk meningkatkan sekuriti jaringan komputer yang kita miliki. Dengan tingkat sekuriti jaringan komputer yang tinggi, user pun akan merasa aman saat bekerja di jaringan komputer yang kita miliki. Suatu nilai tambah tersendiri bukan? ?
Strategi dalam sekuriti jaringan komputer bertujuan untuk memaksimalkan sumber daya yang ada untuk mengamankan sistem jaringan komputer pada titik-titik yang tepat sehingga lebih efisien. Bila tanpa strategi yang tepat, hasil implementasi strategi tersebut tidak akan menghasilkan tingkat sekuriti yang tinggi disamping terbuangnya sumber daya yang ada akibat tidak tepatnya penempatan dalam jaringan komputer. Dengan strategi tepat, sumber daya yang minimum dapat memberikan hasil yang cukup memuaskan. Dalam tulisan ini, kita akan mencoba melihat strategi-strategi dasar dalam merancang sekuriti jaringan komputer. Strategi dasar ini bisa dijadikan basis untuk penerapan hingga pengembangan sekuriti sistem.
Hak AksesHak akses adalah hak yang diberikan kepada user untuk mengakses sistem. Mungkin hak akses adalah hal yang paling mendasar dalam bidang sekuriti. Dalam strategi sekuriti, setiap objek dalam sistem (user, administrator, software, sistem itu sendiri, dlsb) harus diberikan hak akses yang berguna untuk menunjang fungsi kerja dari objek tersebut. Dengan kata lain, objek hanya memperoleh hak akses minimum. Dengan demikian, aksi objek terhadap sistem dapat dibatasi sehingga objek tidak akan melakukan hal-hal yang membahayakan sekuriti jaringan komputer. Hak akses minimum akan membuat para penyusup dari Internet tidak dapat berbuat banyak saat berhasil menembus sebuah user account pada sistem jaringan komputer. Selain itu, hak akses minimum juga mengurangi bahaya musuh dalam selimut yang mengancam sistem dari dalam. Itulah beberapa keuntungan yang dapat diperoleh dari strategi ini. Kerugian yang ada pada strategi hak akses ini adalah keterbatasan akses yang dimiliki user sehingga dapat menimbulkan ketidaknyamanan pada saat user sedang menjalankan tugasnya. Penyelesaian masalah ini bergantung kepada dua hal yaitu segi perangkat dan segi administrator jaringan dan keduanya saling terikat. Seorang administrator jaringan harus pandai-pandai menyiasati rancangan hak akses yang akan diberikan kepada user agar kebutuhan user dapat terpenuhi tanpa harus mengorbankan tingkat sekuriti. Bila perangkat yang dijalankan memiliki keluwesan dalam hal setting, hal ini akan memudahkan tugas administrator. Bila tidak, administrator harus memutar otak untuk menyiasatinya. Bila usaha tersebut telah maksimal dan hasilnya tetap tidak seperti yang diharapkan, ada dua pilihan yang bisa dilakukan yaitu mengganti perangkat atau memberikan pengertian kepada user akan keterbatasan yang ada (biasanya pilihan kedua sulit dilaksanakan ? ). Mengapa kebutuhan user menjadi begitu penting? Kebutuhan user yang tidak terpenuhi akan dapat menimbulkan efek-efek yang kadangkala sulit diprediksi. Ia mungkin dapat berubah dari user biasa menjadi musuh dalam selimut.
Lapisan SekuritiLapisan sekuriti adalah seberapa banyak mekanisme sekuriti yang akan digunakan dan tingkatannya. Hal ini juga menjadi pemikiran di bidang sekuriti secara umum. Kita tidak bisa mempertaruhkan seluruh sekuriti jaringan komputer pada satu mekanisme sekuriti saja. Bila satu mekanisme itu gagal melindungi sistem, habislah semua. Oleh karena itu, mekanisme sekuriti harus dibuat lebih dari satu mekanisme. Selain itu, mekanisme-mekanisme tersebut dipasang secara bertingkat/berlapis. Mekanisme sekuriti dapat berupa network security, host/server security, dan human security. Di antara mekanisme tersebut, dapat pula dikombinasikan sesuai dengan keperluan.
Dalam jaringan komputer, network security dapat dibangun dengan beberapa lapisan. Sebagai contoh, kita bisa membangun firewall dengan dua sub-mekanisme yaitu packet filtering dan proxy system. Mekanisme packet filtering pun dapat dipilah-pilah lagi menjadi beberapa bagian, seperti filtering berdasarkan layanan dan protokol. Setelah lapisan pertama di atas, kita dapat pula membangun lapisan mekanisme selanjutnya. Contohnya, kita bisa menerapkan mekanisme autentifikasi pada setiap paket yang diterima. Saat kita memberikan layanan baik ke dalam maupun ke luar jaringan, host/server yang memberikan layanan menjadi titik penting dalam sekuriti jaringan komputer. Pada host security, komponen pada host/server tersebut terutama perangkat lunak perlu dikonfigurasi dengan hati-hati. Layanan Internet seperti SMTP, NFS, Web Service, FTP, dlsb. hanya boleh memberikan layanan sesuai dengan yang direncanakan. Segi-segi (features) yang tidak utama tidak usah ditampilkan. Sebelum kita tahu pasti tingkat keamanan dari sebuah segi dalam software, sebaiknya tidak kita gunakan. Jika kita terpaksa menggunakan segi tersebut, kita dapat melakukan monitoring yang intensif terhadap segi tersebut. Human security menyangkut user dan administrator jaringan itu sendiri. Kita dapat memberikan pengarahan tentang sekuriti kepada user dan menanamkan sikap hati-hati ke dalam diri setiap user. Ada baiknya pula bila user-user juga ikut berpartisipasi dalam menjaga dan meningkatkan sekuriti jaringan komputer karena mereka juga bagian dari sistem itu sendiri. Dengan begitu, akan tumbuh rasa memiliki di dalam diri setiap user. Para administrator pun seharusnya lebih berhati-hati dalam bertugas sebab di tangan mereka sekuriti jaringan komputer diletakkan.
Satu Jalur MasukStrategi satu jalur masuk adalah cara membuat hanya satu jalan masuk menuju jaringan komputer yang kita miliki. Dengan demikian, hanya satu jalan yang perlu kita awasi dengan penuh dan ketat. Strategi ini mirip dengan membuat benteng. Benteng yang dibangun biasanya hanya akan memiliki sebuah pintu masuk dimana ditempatkan pengawasan yang paling ketat. Inti dari strategi ini adalah pengawasan terpusat. Kita bisa mencurahkan sebagian besar daya pengawasan ke titik tersebut sehingga penyusup akan kesulitan menembus jalur tersebut. Tentunya strategi ini akan gagal apabila kita memiliki jalur masuk lain. Jika kita ingin menerapkan strategi ini sepenuhnya, usahakan tidak ada jalur masuk lain selain yang akan kita awasi ketat. Kelemahan strategi ini adalah bila jalur masuk tersebut berhasil ditembus oleh para penyusup, ia akan langsung mengobrak-abrik jaringan komputer kita. Resiko ini dapat dikurangi dengan membuat pertahanan jalur menjadi berlapis-lapis sehingga memaksa para penyusup untuk menghentikan aksinya.
Enkripsi Data dan Digital SignatureSalah satu strategi yang paling sering digunakan dalam sekuriti jaringan adalah enkripsi data dan digital signature. Digital signature menggunakan prinsip seperti tanda tangan manusia pada lembar dokumen dan dilakukan secara digital. Ia menyatakan keabsahan si pengirim data bahwa data yang dikirimkan benar-benar berasal dari si pengirim. Pada saat ini, enkripsi data dapat dilakukan di perangkat lunak maupun di perangkat keras. Berbagai
jenis metoda enkripsi data pada tingkat aplikasi telah dikembangkan seperti RSA, MD-5, IDEA, SAFER, Skipjack, Blowfish, dlsb. Dengan strategi ini, transfer data dari dan ke jaringan komputer berlangsung secara konfidensial.
Stub Sub-NetworkStub sub-network adalah sub-jaringan komputer yang hanya memiliki satu jalur keluar masuk sub-jaringan tersebut. Strategi ini digunakan untuk mengisolasi sub-jaringan komputer yang benar-benar memerlukan perlindungan maksimal. Jalur keluar-masuk sub-jaringan tersebut diawasi dengan (bila perlu) lebih ketat daripada strategi satu jalur masuk. Contohnya, data-data rahasia perusahaan yang tersimpan dalam sebuah komputer perlu diakses secara langsung oleh beberapa bagian tertentu. Solusinya tentu saja jaringan komputer. Tetapi salah satu bagian tersebut memerlukan hubungan ke jaringan komputer perusahaan yang telah terhubung ke Internet tanpa harus pindah komputer. Nah, di sinilah strategi stub sub-network diperlukan. Jaringan pengakses data rahasia dirancang hanya memiliki satu jalur masuk melalui komputer yang memiliki akses Internet tersebut. Pengawasan lalu lintas data yang melalui komputer tersebut harus dipantau dengan baik dan dapat pula diberlakukan sistem packet filtering pada komputer tersebut.
Cari Titik LemahSebagaimana bidang sekuriti umumnya, jaringan komputer tidak terlepas dari titik-titik lemah. Titik ini akan lebih banyak tumbuh apabila jaringan komputer yang ada dikoordinir oleh lebih dari satu orang. Jaringan komputer yang besar umumnya berkembang dari jaringan-jaringan komputer yang lebih kecil yang kemudian menggabungkan diri. Selain itu, kadangkala seorang administrator akan mengalami kesulitan bila mengelola sebuah jaringan komputer skala besar seorang diri. Untuk itu, diperlukan koordinasi yang baik antar tiap administrator agar setiap jaringan yang mereka kelola terjamin sekuritinya.
Dua Sikap UmumDua SikapUmum tersebut adalah sikap menolak secara umum (prohibitive) dan sikap menerima secara umum (permissive). Sikap menolak secara umum mendefinisikan dengan rinci layanan/paket yang diperbolehkan dan menolak lainnya. Strategi ini cukup aman tetapi kadangkala menimbulkan ketidaknyamanan pada user. Untuk itu, administrator yang berniat menjalankan strategi ini perlu mengetahui dengan rinci kebutuhan user dan seberapa jauh pengaruhnya terhadap sekuriti jaringan pada umumnya. Sikap menerima secara umum mendefinisikan dengan rinci layanan/paket yang ditolak dan menerima lainnya. Strategi ini tidak terlalu dianjurkan oleh para ahli karena dengan strategi ini kita mengambil resiko terbukanya berbagai jalan untuk merongrong sekuriti sistem.
KeanekaragamanPerangkat lunak dan keras yang ada saat ini memiliki bermacam konfigurasi dan keunggulan. Kita bisa memanfaatkan keanekaragaman perangkat-perangkat ini dalam membangun jaringan komputer kita sesuai dengan kebutuhan. Dengan adanya keanekaragaman perangkat ini, bila terjadi penyusupan terhadap sebuah komputer, ia membutuhkan usaha yang lain untuk menembus komputer yang berbeda. Sebelum kita menggunakan perangkat terutama perangkat lunak, ada baiknya bila kita juga mengetahui sejauh mana tingkat sekuriti yang disediakan oleh perangkat tersebut. Dengan begitu, kita
akan memiliki data yang lengkap untuk menentukan kombinasi rancangan sekuriti jaringan komputer kita. Itulah beberapa strategi dasar yang biasa digunakan dalam sekuriti jaringan komputer. Dari strategi-strategi di atas, para administrator dapat mengkombinasikan strategi-strategi tersebut sehingga memenuhi kriteria yang ditetapkan. Kebijaksanaan tentang sekuriti yang berlaku pada sistem juga bisa ditetapkan dari strategi-strategi yang telah dipilih.Dalam pengkajian dan penerapannya, sebaiknya kita tidak percaya sepenuhnya terhadap strategi dan mekanisme yang kita buat. Intinya, kita harus selalu melakukan evaluasi terhadap sekuriti sistem yang kita buat atau kelola. Seiring dengan berkembangnya teknik-teknik penyusupan dan belum ditemukannya kelemahan-kelemahan dalam sekuriti sistem yang telah ada, kita harus selalu dalam keadaan siap dan waspada menghadapi aksi-aksi di luar dugaan. Pada akhirnya, salah satu tujuan utama yang perlu diingat dari strategi-strategi di atas adalah membuat para penyusup (hacker, cracker, phreaker, dlsb) berpikir seribu kali sebelum menjalankan aksi mereka terhadap sistem jaringan komputer kita. Apabila mereka tetap nekat mencoba, kita hadapkan mereka kepada rintangan dan hambatan yang memerlukan daya upaya yang sangat besar untuk menembus sistem kita sampai mereka menghentikan aksinya. ? Daftar Pustaka W.R. Cheswick & S.M. Bellovin, Firewalls and Internet Security, Addison-Wesley Publishing Co., 1994 D.B. Chapman & E.D. Zwicky, Building Internet Firewalls, OReilly & Associates, Inc., 1995