Keamanan jaringan saat ini menjadi isu
yang sangat penting dan terus berkembang. Beberapa kasus menyangkut keamanan
sistem saat ini
Perkembangan teknologi komputer, selain
menimbulkan banyak manfaat juga memiliki banyak sisi buruk. Salah satunya
adalah serangan terhadap sistem komputer yang terhubung ke Internet. Sebagai
akibat dari serangan itu, banyak sistem komputer atau jaringan yang terganggu
bahkan menjadi rusak. Untuk menanggulangi hal tersebut, diperlukan sistem
keamanan yang dapat menanggulangi dan mencegah kegiatan-kegiatan yang mungkin
menyerang sistem jaringan kita.
Dalam perkembangan teknologi dewasa
ini, sebuah informasi menjadi sangat penting bagi sebuah organisasi. Informasi
tersebut biasanya dapat diakses oleh para penggunanya. Akan tetapi, ada masalah
baru yang berakibat dari keterbukaan akses tersebut. Masalah-masalah tersebut
antara lain adalah sebagai berikut:
- Pemeliharaan validitas dan integritas data atau informasi tersebut
- Jaminan ketersediaan informasi bagi pengguna yang berhak
- Pencegahan akses sistem dari yang tidak berhak
- Pencegahan akses informasi dari yang tidak berhak
Hal yang Membahayakan Jaringan
Kegiatan dan hal-hal yang membahayakan
keamanan jaringan antara lain adalah hal-hal sebagai berikut:
- Probe
Probe atau yang biasa disebut probing
adalah suatu usaha untuk mengakses sistem atau mendapatkan informasi tentang
sistem. Contoh sederhana dari probing adalah percobaan log in ke suatu account
yang tidak digunakan. Probing dapat dianalogikan dengan menguji kenop-kenop
pintu untuk mencari pintu yang tidak dikunci sehingga dapat masuk dengan mudah.
Probing tidak begitu berbahaya bagi sistem jaringan kita namun biasanya diikuti
oleh tindakan lain yang lebih membahayakan keamanan.
- Scan
Scan adalah probing dalam jumlah besar
menggunakan suatu tool. Scan biasanya merupakan awal dari serangan langsung
terhadap sistem yang oleh pelakunya ditemukan mudah diserang.
- Account Compromise
- Root Compromise
- Packet Sniffer
Packet sniffer adalah sebuah program
yang menangkap (capture) data dari paket yang lewat di jaringan. Data tersebut
bisa termasuk user name, password, dan informasi-informasi penting lainnya yang
lewat di jaringan dalam bentuk text. Paket yang dapat ditangkap tidak hanya
satu paket tapi bisa berjumlah ratusan bahkan ribuan, yang berarti pelaku
mendapatkan ribuan user name dan password. Dengan password itu pelaku dapat
mengirimkan serangan besar-besaran ke sistem.
- Denial of Service
Denial of service (DoS) bertujuan untuk
mencegah pengguna mendapatkan layanan dari sistem. Serangan DoS dapat terjadi
dalam banyak bentuk. Penyerang dapat membanjiri (flood) jaringan dengan data
yang sangat besar atau dengan sengaja menghabiskan sumber daya yang memang
terbatas, seperti process control block (PCB) atau pending network connection.
Penyerang juga mungkin saja mengacaukan komponen fisik dari jaringan atau
memanipulasi data yang sedang dikirim termasuk data yang terenkripsi.
- Exploitation of Trust
- Malicious Code
- Internet Infrastructure Attacks
Perencanaan Keamanan
Untuk menjamin keamanan dalam jaringan,
perlu dilakukan perencanaan keamanan yang matang berdasarkan prosedur dan
kebijakan dalam keamanan jaringan. Perencanaan tersebut akan membantu dalam
hal-hal berikut ini:
- Menentukan data atau informasi apa saja yang harus dilindungi
- Menentukan berapa besar biaya yang harus ditanamkan dalam melindunginya
- Menentukan siapa yang bertanggung jawab untuk menjalankan langkah-langkah yang diperlukan untuk melindungi bagian tersebut
Metode Keamanan Jaringan
Dalam merencanakan suatu keamanan
jaringan, ada beberapa metode yang dapat diterapkan. Metode-metode tersebut
adalah sebagai berikut:
- Pembatasan akses pada suatu jaringan
Ada 3 beberapa konsep yang ada dalam
pembatasan akses jaringan, yakni sebagai berikut:
- Internal Password Authentication
Password yang baik menjadi penting dan
sederhana dalam keamanan suatu jaringan. Kebanyakan masalah dalam keamanan
jaringan disebabkan karena password yang buruk. Cara yang tepat antara lain
dengan menggunakan shadow password dan menonaktifkan TFTP.
- Server-based password authentication
- Firewall dan Routing Control
- Untuk firewall akan dijelaskan pada bagian selanjutnya.
- Menggunakan metode enkripsi tertentu
Dasar enkripsi cukup sederhana.
Pengirim menjalankan fungsi enkripsi pada pesan plaintext, ciphertext yang
dihasilkan kemudian dikirimkan lewat jaringan, dan penerima menjalankan fungsi
dekripsi (decryption) untuk mendapatkan plaintext semula. Proses
enkripsi/dekripsi tergantung pada kunci (key) rahasia yang hanya diketahui oleh
pengirim dan penerima. Ketika kunci dan enkripsi ini digunakan, sulit bagi
penyadap untuk mematahkan ciphertext, sehingga komunikasi data antara pengirim
dan penerima aman.
- Pemonitoran terjadwal terhadap jaringan
Proses memonitor dan melakukan
administrasi terhadap keamanan jaringan akan dibahas pada bagian lain.
Password
Akun administrator pada suatu server
sebaiknya diubah namanya dan sebaiknya hanya satu akun saja yang dapat
mengakses. Pada sistem operasi Windows, cara membuat password adalah sebagai
berikut:
- Tekan tombol start pada start menu
- Klik Control Panel
- Klik User Account
- klik create a password
- Masukkan password
- Tekan tombol create password
Pemberian password yang tepat dengan
kebijakan keamanan dalam akun admin, password itu harus memiliki suatu karakter
yang unik dan sukar ditebak. Ada beberapa karakter yang dapat digunakan agar
password sukar untuk ditebak, antara lain adalah karakter #, karakter %, karakter
$, dll.
Untuk melakukan pengujian terhadap
password yang dibuat. Ada utilitas yang dapat digunakan untuk mengetes
kehandalan password, yaitu dengan menggunakan software seperti avior yang
bertujuan untuk melakukan brute-force password.
Kewenangan akses bagi user lain dalam
satu perusahaan perlu didokumentasikan, hal ini dilakukan untuk memenuhi
kebutuhan klien. Kewenangan user selain administrator antara lain adalah
memasukkan data-data terbaru sesuai dengan tujuan tertentu untuk memenuhi
kebutuhan klien.
Metode Enkripsi
Kriptografi macam ini dirancang untuk
menjamin privacy, mencegah informasi menyebar luas tanpa ijin. Akan tetapi,
privacy bukan satu-satunya layanan yang disediakan kriptografi. Kriptografi
dapat juga digunakan untuk mendukung authentication (memverifikasi identitas
user) dan integritas (memastikan bahwa pesan belum diubah).
Kriptografi digunakan untuk mencegah
orang yang tidak berhak untuk memasuki komunikasi, sehingga kerahasiaan data
dapat dilindungi. Secara garis besar, kriptografi digunakan untuk mengirim dan
menerima pesan. Kriptografi pada dasarnya berpatokan pada key yang secara
selektif telah disebar pada komputer-komputer yang berada dalam satu jaringan
dan digunakan untuk memproses suatu pesan.
Ada beberapa jenis metode enkripsi,
sebagai berikut:
- DES
DES adalah mekanisme enkripsi data yang
sangat popular dan banyak digunakan. Ada banyak implementasi perangkat lunak
maupun perangkat keras DES. DES melakukan transformasi informasi dalam bentuk
plain text ke dalam bentuk data terenkripsi yang disebut dengan ciphertext
melalui algoritma khusus dan seed value yang disebut dengan kunci. Bila kunci
tersebut diketahui oleh penerima, maka dapat dilakukan proses konversi dari
ciphertext ke dalam bentuk aslinya.
Kelemahan potensial yang dimiliki oleh
semua sistem enkripsi adalah kunci yang harus diingat, sebagaimana sebuah
password harus diingat. Bila kunci ditulis dan menjadi diketahui oleh pihak
lain yang tidak diinginkan, maka pihak lain tersebut dapat membaca data asli.
Bila kunci terlupakan, maka pemegang kunci tidak akan dapat membaca data asli.
Banyak sistem yang mendukung perintah
DES, atau utility-utility dan library yang dapat digunakan untuk DES.
- PGP (Pretty Food Privacy)
PGP dibuat oleh Phil Zimmerman,
menyediakan bentuk proteksi kriptografi yang sebelumnya belum ada. PGP
digunakan untuk melindungi file, email, dan dokumen-dokumen yang mempunyai
tanda digital dan tersedia dalam versi komersial mapun freeware.
- SSL
SSL singkatan dari Secure Socket Layer
adalah metode enkripsi yang dikembangkan oleh Netscape untuk keamanan Internet.
SSL mendukung beberapa protokol enkripsi yang berbeda, dan menyediakan
autentifikasi client dan server. SSL beroperasi pada layer transport, membuat
sebuah kanal data yang terenskripsi sehingga aman, dan dapat mengenkrip
berbagai tipe data. Penggunaan SSL sering dijumpai pada saat berkunjung ke
sebuah secure site untuk menampilkan sebuah secure document dengan
Communicator.
- SSH
SSH adalah program yang menyediakan
koneksi terenkripsi pada saat melakukan login ke suatu remote system. SSH
merupakan suatu set program yang digunakan sebagai pengganti rlogin, rsh, dan
rcp dalam segi keamanan. SSH menggunakan kriptografi kunci public untuk
mengenkrip komunikasi antara dua host, sehingga juga melakukan autentikasi
terhadap user. SSH dapat digunakan untuk mengamankan proses login ke suatu
remote system atau menyalin data antar host, karena mencegah terjadinya
pembajakan sesi. SSH melakukan kompresi data [ada koneksi yang terjadi, dan
mengamankan komunikasi X11 (untuk sistem berbasis Unix) antar host.
SSH dapat digunakan dari workstation
dengan sistem windows dengan server berbasis unix.
Berikut ini adalah cara-cara yang dapat
dilakukan dalam mengenkripsi sebuah file di sistem operasi Microsoft Windows:
- Klik kanan pada file yang ingin dienkripsi
- Klik Properties
- Klik tab General
- Tekan tombol Advanced
- Beri tanda check pada Encrypt contents to secure data
- Kemudian tekan tombol OK
Jika file hasil enkripsi tersebut disalin dan
dibuka oleh user lain, maka akan muncul pesan error seperti
- Username does not have access privileges, atau
- Error copying file or folder
Memonitor Jaringan
Ancaman pada jaringan yang perlu
dimonitoring dan diwaspadai oleh administrator jaringan antara lain adalah
sebagai berikut:
- Program perusak seperti virus, trojan, worm, dsb.
Virus dan program perusak lain memiliki
kemungkinan yang besar untuk dapat membahayakan keamanan suatu jaringan. Salah
satu hal yang dapat dilakukan oleh administrator jaringan adalah melakukan
instalasi program antivirus pada workstation.
Perangkat anti virus memiliki fungsi
untuk mendefinisikan dan membasmi virus, worm, trojan yang akan masuk ke dalam
suatu workstation. Perangkat anti virus yang dapat digunakan oleh suatu
workstation adalah sebagai berikut:
·
Norton AV (www.norman.com)
·
Kaspersky AV
·
McAfee AV
Akan tetapi, antivirus tidak akan
menjadi suatu penangkalan yang berguna jika administrator tidak melakukan pembaharuan
virus definition pada anti virus yang telah diinstal pada workstation.
- Denial of service
Pengertian dari denial of service telah
dibahas pada bagian sebelumnya.
- Scanning
Pengertian dari scanning telah dibahas
pada bagian sebelumnya.
Untuk meminimalisir penyerangan
terhadap keamanan jaringan, hal yang dapat dilakukan administrator dalam
memonitoring jaringan sebaiknya adalah dengan membatasi user yang dapat
melakukan full-access ke dalam suatu server. Cara paling sederhana adalah
dengan memberlakukan wewenang read only untuk semua user. Cara lain adalah
dengan melakukan pembatasan berdasarkan hal berikut ini:
- MAC Address
Contohnya, user yang dapat melakukan
akses secara penuh adalah user yang memiliki alamat abcd:1020:fa02:1:2:3.
- IP Address
Contohnya, user yang dapat melakukan
akses secara penuh adalah user yang memiliki alamat 192.168.2.1.
Pemonitoran juga dapat dilakukan dengan
melakukan pengauditan sistem Log pada server tertentu oleh administrator
jaringan. Tujuannya adalah mengidentifikasi gangguan dan ancaman keamanan yang
akan terjadi pada jaringan.
Administrator dapat juga menggunakan
software seperti NSauditor yang bertujuan untuk mengevaluasi keamanan jaringan
dan dapat melakukan audit untuk penanggulangan kesalahan.
Selain NSauditor, ada pula tools yang
lain yang dapat digunakan untuk mendiagnosis seperti:
- GFI Network Server Monitoring
- MRTG
Selain perangkat lunak, perangkat keras
pun perlu dilakukan monitoring. Hal apakah yang perlu diperhatikan dalam
monitoring perangkat keras antara lain adalah sebagai berikut:
- Waktu respon perangkat keras
- Kompatibilitas dengan perangkat lunak
Pada sistem operasi tertentu perlu
dirancang sistem monitoring yang bersifat user friendly, seperti merancang
sistem monitoring berbasis web (misalnya menggunakan PHP dan Apache, dengan
browser dan Linux kernel 2.4.xx). Untuk dapat menerapkan sistem monitoring
berbasis web ada dua hal yang perlu diperhatikan, sebagai berikut:
- Koneksi ke internet atau intranet
- Kompatibilitas dengan browser
Metode pemonitoran melalui web ini
dapat dilakukan melalui protokol HTTP. Akan tetapi protokol ini tidak dijamin
keamanannya, karena itu perlu dilakukan pengenkripsian informasi yang dikirim
melalui browser dengan menggunakan sebuah enkripsi yang dinamakan dengan SSH.
Intrusion Detection System
Intrusion Detection System (IDS) adalah
sebuah sistem untuk mendeteksi penyalahgunaan jaringan dan sumber daya
komputer. IDS memiliki sejumlah sensor yang digunakan untuk mendeteksi
penyusupan. Contoh sensor meliputi:
- Sebuah sensor untuk memonitor TCP request
- Log file monitor
- File integrity checker
IDS memiliki diagram blok yang terdiri
dari 3 buah modul, sebagai berikut:
- Modul sensor (sensor modul)
- Modul analisis (analyzer modul)
- Modul basis data (database modul)
Sistem IDS bertanggung jawab untuk
mengumpulkan dara-data dari sensor dan kemudian menganalisisnya untuk diberikan
kepada administrator keamanan jaringan. Tujuannya adalah untuk memberikan
peringatan terhadap gangguan pada jaringan.
Teknologi IDS secara umum terbagi
menjadi NIDS (Network Intrusion Detection System) dan HIDS (Host Intrusion
Detection System). Snort adalah salah satu open source yang baik untuk NIDS.
Sistem deteksi Snort terdiri dari sensor dan analyzer.
AIRIDS (Automatic Interactive Reactive
Intrusion Detection System) adalah suatu metode kemanan jaringan yang bertujuan
untuk membentuk suatu arsitektur sistem keamanan yang terintegrasi. Untuk
mewujudkan AIRIDS perlu dirancang komponen-komponen sistem jaringan sebagai
berikut:
- IDS
- Sistem firewall
- Sistem basis data
No comments:
Post a Comment