Keamanan Jaringan

Keamanan jaringan saat ini menjadi isu yang sangat penting dan terus berkembang. Beberapa kasus menyangkut keamanan sistem saat ini

Perkembangan teknologi komputer, selain menimbulkan banyak manfaat juga memiliki banyak sisi buruk. Salah satunya adalah serangan terhadap sistem komputer yang terhubung ke Internet. Sebagai akibat dari serangan itu, banyak sistem komputer atau jaringan yang terganggu bahkan menjadi rusak. Untuk menanggulangi hal tersebut, diperlukan sistem keamanan yang dapat menanggulangi dan mencegah kegiatan-kegiatan yang mungkin menyerang sistem jaringan kita.

Dalam perkembangan teknologi dewasa ini, sebuah informasi menjadi sangat penting bagi sebuah organisasi. Informasi tersebut biasanya dapat diakses oleh para penggunanya. Akan tetapi, ada masalah baru yang berakibat dari keterbukaan akses tersebut. Masalah-masalah tersebut antara lain adalah sebagai berikut:

• Pemeliharaan validitas dan integritas data atau informasi tersebut
• Jaminan ketersediaan informasi bagi pengguna yang berhak
• Pencegahan akses sistem dari yang tidak berhak
• Pencegahan akses informasi dari yang tidak berhak

Hal yang Membahayakan Jaringan

Kegiatan dan hal-hal yang membahayakan keamanan jaringan antara lain adalah hal-hal sebagai berikut:

1. Probe

Probe atau yang biasa disebut probing adalah suatu usaha untuk mengakses sistem atau mendapatkan informasi tentang sistem. Contoh sederhana dari probing adalah percobaan log in ke suatu account yang tidak digunakan. Probing dapat dianalogikan dengan menguji kenop-kenop pintu untuk mencari pintu yang tidak dikunci sehingga dapat masuk dengan mudah. Probing tidak begitu berbahaya bagi sistem jaringan kita namun biasanya diikuti oleh tindakan lain yang lebih membahayakan keamanan.

2. Scan

Scan adalah probing dalam jumlah besar menggunakan suatu tool. Scan biasanya merupakan awal dari serangan langsung terhadap sistem yang oleh pelakunya ditemukan mudah diserang.

3. Account Compromise
4. Root Compromise
5. Packet Sniffer

Packet sniffer adalah sebuah program yang menangkap (capture) data dari paket yang lewat di jaringan. Data tersebut bisa termasuk user name, password, dan informasi-informasi penting lainnya yang lewat di jaringan dalam bentuk text. Paket yang dapat ditangkap tidak hanya satu paket tapi bisa berjumlah ratusan bahkan ribuan, yang berarti pelaku mendapatkan ribuan user name dan password. Dengan password itu pelaku dapat mengirimkan serangan besar-besaran ke sistem.

6. Denial of Service

Denial of service (DoS) bertujuan untuk mencegah pengguna mendapatkan layanan dari sistem. Serangan DoS dapat terjadi dalam banyak bentuk. Penyerang dapat membanjiri (flood) jaringan dengan data yang sangat besar atau dengan sengaja menghabiskan sumber daya yang memang terbatas, seperti process control block (PCB) atau pending network connection. Penyerang juga mungkin saja mengacaukan komponen fisik dari jaringan atau memanipulasi data yang sedang dikirim termasuk data yang terenkripsi.

7. Exploitation of Trust
8. Malicious Code
9. Internet Infrastructure Attacks

Perencanaan Keamanan

Untuk menjamin keamanan dalam jaringan, perlu dilakukan perencanaan keamanan yang matang berdasarkan prosedur dan kebijakan dalam keamanan jaringan. Perencanaan tersebut akan membantu dalam hal-hal berikut ini:

• Menentukan data atau informasi apa saja yang harus dilindungi
• Menentukan berapa besar biaya yang harus ditanamkan dalam melindunginya
• Menentukan siapa yang bertanggung jawab untuk menjalankan langkah-langkah yang diperlukan untuk melindungi bagian tersebut

Metode Keamanan Jaringan

Dalam merencanakan suatu keamanan jaringan, ada beberapa metode yang dapat diterapkan. Metode-metode tersebut adalah sebagai berikut:

1. Pembatasan akses pada suatu jaringan

Ada 3 beberapa konsep yang ada dalam pembatasan akses jaringan, yakni sebagai berikut:

• Internal Password Authentication

Password yang baik menjadi penting dan sederhana dalam keamanan suatu jaringan. Kebanyakan masalah dalam keamanan jaringan disebabkan karena password yang buruk. Cara yang tepat antara lain dengan menggunakan shadow password dan menonaktifkan TFTP.

• Server-based password authentication
• Firewall dan Routing Control
• Untuk firewall akan dijelaskan pada bagian selanjutnya.

2. Menggunakan metode enkripsi tertentu

Dasar enkripsi cukup sederhana. Pengirim menjalankan fungsi enkripsi pada pesan plaintext, ciphertext yang dihasilkan kemudian dikirimkan lewat jaringan, dan penerima menjalankan fungsi dekripsi (decryption) untuk mendapatkan plaintext semula. Proses enkripsi/dekripsi tergantung pada kunci (key) rahasia yang hanya diketahui oleh pengirim dan penerima. Ketika kunci dan enkripsi ini digunakan, sulit bagi penyadap untuk mematahkan ciphertext, sehingga komunikasi data antara pengirim dan penerima aman.

3. Pemonitoran terjadwal terhadap jaringan

Proses memonitor dan melakukan administrasi terhadap keamanan jaringan akan dibahas pada bagian lain.

Password

Akun administrator pada suatu server sebaiknya diubah namanya dan sebaiknya hanya satu akun saja yang dapat mengakses. Pada sistem operasi Windows, cara membuat password adalah sebagai berikut:

• Tekan tombol start pada start menu
• Klik Control Panel
• Klik User Account
• klik create a password
• Masukkan password
• Tekan tombol create password

Pemberian password yang tepat dengan kebijakan keamanan dalam akun admin, password itu harus memiliki suatu karakter yang unik dan sukar ditebak. Ada beberapa karakter yang dapat digunakan agar password sukar untuk ditebak, antara lain adalah karakter #, karakter %, karakter $, dll.

Untuk melakukan pengujian terhadap password yang dibuat. Ada utilitas yang dapat digunakan untuk mengetes kehandalan password, yaitu dengan menggunakan software seperti avior yang bertujuan untuk melakukan brute-force password.

Kewenangan akses bagi user lain dalam satu perusahaan perlu didokumentasikan, hal ini dilakukan untuk memenuhi kebutuhan klien. Kewenangan user selain administrator antara lain adalah memasukkan data-data terbaru sesuai dengan tujuan tertentu untuk memenuhi kebutuhan klien.

Metode Enkripsi

Kriptografi macam ini dirancang untuk menjamin privacy, mencegah informasi menyebar luas tanpa ijin. Akan tetapi, privacy bukan satu-satunya layanan yang disediakan kriptografi. Kriptografi dapat juga digunakan untuk mendukung authentication (memverifikasi identitas user) dan integritas (memastikan bahwa pesan belum diubah).

Kriptografi digunakan untuk mencegah orang yang tidak berhak untuk memasuki komunikasi, sehingga kerahasiaan data dapat dilindungi. Secara garis besar, kriptografi digunakan untuk mengirim dan menerima pesan. Kriptografi pada dasarnya berpatokan pada key yang secara selektif telah disebar pada komputer-komputer yang berada dalam satu jaringan dan digunakan untuk memproses suatu pesan.

Ada beberapa jenis metode enkripsi, sebagai berikut:

• DES

DES adalah mekanisme enkripsi data yang sangat popular dan banyak digunakan. Ada banyak implementasi perangkat lunak maupun perangkat keras DES. DES melakukan transformasi informasi dalam bentuk plain text ke dalam bentuk data terenkripsi yang disebut dengan ciphertext melalui algoritma khusus dan seed value yang disebut dengan kunci. Bila kunci tersebut diketahui oleh penerima, maka dapat dilakukan proses konversi dari ciphertext ke dalam bentuk aslinya.

Kelemahan potensial yang dimiliki oleh semua sistem enkripsi adalah kunci yang harus diingat, sebagaimana sebuah password harus diingat. Bila kunci ditulis dan menjadi diketahui oleh pihak lain yang tidak diinginkan, maka pihak lain tersebut dapat membaca data asli. Bila kunci terlupakan, maka pemegang kunci tidak akan dapat membaca data asli.

Banyak sistem yang mendukung perintah DES, atau utility-utility dan library yang dapat digunakan untuk DES.

• PGP (Pretty Food Privacy)

PGP dibuat oleh Phil Zimmerman, menyediakan bentuk proteksi kriptografi yang sebelumnya belum ada. PGP digunakan untuk melindungi file, email, dan dokumen-dokumen yang mempunyai tanda digital dan tersedia dalam versi komersial mapun freeware.

• SSL

SSL singkatan dari Secure Socket Layer adalah metode enkripsi yang dikembangkan oleh Netscape untuk keamanan Internet. SSL mendukung beberapa protokol enkripsi yang berbeda, dan menyediakan autentifikasi client dan server. SSL beroperasi pada layer transport, membuat sebuah kanal data yang terenskripsi sehingga aman, dan dapat mengenkrip berbagai tipe data. Penggunaan SSL sering dijumpai pada saat berkunjung ke sebuah secure site untuk menampilkan sebuah secure document dengan Communicator.

• SSH

SSH adalah program yang menyediakan koneksi terenkripsi pada saat melakukan login ke suatu remote system. SSH merupakan suatu set program yang digunakan sebagai pengganti rlogin, rsh, dan rcp dalam segi keamanan. SSH menggunakan kriptografi kunci public untuk mengenkrip komunikasi antara dua host, sehingga juga melakukan autentikasi terhadap user. SSH dapat digunakan untuk mengamankan proses login ke suatu remote system atau menyalin data antar host, karena mencegah terjadinya pembajakan sesi. SSH melakukan kompresi data [ada koneksi yang terjadi, dan mengamankan komunikasi X11 (untuk sistem berbasis Unix) antar host.

SSH dapat digunakan dari workstation dengan sistem windows dengan server berbasis unix.

Berikut ini adalah cara-cara yang dapat dilakukan dalam mengenkripsi sebuah file di sistem operasi Microsoft Windows:

• Klik kanan pada file yang ingin dienkripsi
• Klik Properties
• Klik tab General
• Tekan tombol Advanced
• Beri tanda check pada Encrypt contents to secure data

• Kemudian tekan tombol OK

 Jika file hasil enkripsi tersebut disalin dan dibuka oleh user lain, maka akan muncul pesan error seperti

• Username does not have access privileges, atau
• Error copying file or folder

Memonitor Jaringan

Ancaman pada jaringan yang perlu dimonitoring dan diwaspadai oleh administrator jaringan antara lain adalah sebagai berikut:

1. Program perusak seperti virus, trojan, worm, dsb.

Virus dan program perusak lain memiliki kemungkinan yang besar untuk dapat membahayakan keamanan suatu jaringan. Salah satu hal yang dapat dilakukan oleh administrator jaringan adalah melakukan instalasi program antivirus pada workstation.

Perangkat anti virus memiliki fungsi untuk mendefinisikan dan membasmi virus, worm, trojan yang akan masuk ke dalam suatu workstation. Perangkat anti virus yang dapat digunakan oleh suatu workstation adalah sebagai berikut:

·         Norton AV (www.norman.com)

·         Kaspersky AV

·         McAfee AV

Akan tetapi, antivirus tidak akan menjadi suatu penangkalan yang berguna jika administrator tidak melakukan pembaharuan virus definition pada anti virus yang telah diinstal pada workstation.

2. Denial of service

Pengertian dari denial of service telah dibahas pada bagian sebelumnya.

3. Scanning

Pengertian dari scanning telah dibahas pada bagian sebelumnya.

Untuk meminimalisir penyerangan terhadap keamanan jaringan, hal yang dapat dilakukan administrator dalam memonitoring jaringan sebaiknya adalah dengan membatasi user yang dapat melakukan full-access ke dalam suatu server. Cara paling sederhana adalah dengan memberlakukan wewenang read only untuk semua user. Cara lain adalah dengan melakukan pembatasan berdasarkan hal berikut ini:

• MAC Address

Contohnya, user yang dapat melakukan akses secara penuh adalah user yang memiliki alamat abcd:1020:fa02:1:2:3.

• IP Address

Contohnya, user yang dapat melakukan akses secara penuh adalah user yang memiliki alamat 192.168.2.1.

Pemonitoran juga dapat dilakukan dengan melakukan pengauditan sistem Log pada server tertentu oleh administrator jaringan. Tujuannya adalah mengidentifikasi gangguan dan ancaman keamanan yang akan terjadi pada jaringan.

Administrator dapat juga menggunakan software seperti NSauditor yang bertujuan untuk mengevaluasi keamanan jaringan dan dapat melakukan audit untuk penanggulangan kesalahan.

Selain NSauditor, ada pula tools yang lain yang dapat digunakan untuk mendiagnosis seperti:

• GFI Network Server Monitoring
• MRTG

Selain perangkat lunak, perangkat keras pun perlu dilakukan monitoring. Hal apakah yang perlu diperhatikan dalam monitoring perangkat keras antara lain adalah sebagai berikut:

• Waktu respon perangkat keras
• Kompatibilitas dengan perangkat lunak

Pada sistem operasi tertentu perlu dirancang sistem monitoring yang bersifat user friendly, seperti merancang sistem monitoring berbasis web (misalnya menggunakan PHP dan Apache, dengan browser dan Linux kernel 2.4.xx). Untuk dapat menerapkan sistem monitoring berbasis web ada dua hal yang perlu diperhatikan, sebagai berikut:

• Koneksi ke internet atau intranet
• Kompatibilitas dengan browser

Metode pemonitoran melalui web ini dapat dilakukan melalui protokol HTTP. Akan tetapi protokol ini tidak dijamin keamanannya, karena itu perlu dilakukan pengenkripsian informasi yang dikirim melalui browser dengan menggunakan sebuah enkripsi yang dinamakan dengan SSH.

Intrusion Detection System

Intrusion Detection System (IDS) adalah sebuah sistem untuk mendeteksi penyalahgunaan jaringan dan sumber daya komputer. IDS memiliki sejumlah sensor yang digunakan untuk mendeteksi penyusupan. Contoh sensor meliputi:

• Sebuah sensor untuk memonitor TCP request
• Log file monitor
• File integrity checker

IDS memiliki diagram blok yang terdiri dari 3 buah modul, sebagai berikut:

• Modul sensor (sensor modul)
• Modul analisis (analyzer modul)
• Modul basis data (database modul)

Sistem IDS bertanggung jawab untuk mengumpulkan dara-data dari sensor dan kemudian menganalisisnya untuk diberikan kepada administrator keamanan jaringan. Tujuannya adalah untuk memberikan peringatan terhadap gangguan pada jaringan.

Teknologi IDS secara umum terbagi menjadi NIDS (Network Intrusion Detection System) dan HIDS (Host Intrusion Detection System). Snort adalah salah satu open source yang baik untuk NIDS. Sistem deteksi Snort terdiri dari sensor dan analyzer.

AIRIDS (Automatic Interactive Reactive Intrusion Detection System) adalah suatu metode kemanan jaringan yang bertujuan untuk membentuk suatu arsitektur sistem keamanan yang terintegrasi. Untuk mewujudkan AIRIDS perlu dirancang komponen-komponen sistem jaringan sebagai berikut:

• IDS
• Sistem firewall
• Sistem basis data 

sumber doc