keamanan Jaringan

Perkembangan teknologi komputer, selain menimbulkan banyak manfaat juga memiliki  banyak  sisi  buruk.  Salah  satunya  adalah  serangan  terhadap  sistem komputer yang terhubung ke Internet. Sebagai akibat dari serangan itu, banyak sistem komputer atau jaringan yang terganggu bahkan menjadi rusak. Untuk menanggulangi  hal  tersebut,  diperlukan  sistem keamanan  yang  dapat menanggulangi dan mencegah kegiatan-kegiatan yang mungkin menyerang sistem jaringan kita.

Dalam  perkembangan  teknologi  dewasa  ini,  sebuah  informasi  menjadi  sangat penting bagi sebuah organisasi. Informasi tersebut biasanya dapat diakses oleh para penggunanya. Akan tetapi, ada masalah baru yang berakibat dari keterbukaan akses

tersebut. Masalah-masalah tersebut antara lain adalah sebagai berikut:

• Pemeliharaan validitas dan integritas data atau informasi tersebut

• Jaminan ketersediaan informasi bagi pengguna yang berhak

• Pencegahan akses sistem dari yang tidak berhak

• Pencegahan akses informasi dari yang tidak berhak

 Hal - Hal Yang Membahayakan Dalam Jaringan 

Kegiatan dan hal-hal yang membahayakan keamanan jaringan antara lain adalah hal-hal sebagai berikut:

Probe

Probe atau yang biasa disebut probing adalah suatu usaha untuk mengakses sistem atau mendapatkan informasi tentang sistem. Contoh sederhana dari probing adalah percobaan log in ke suatu account yang tidak digunakan. Probing dapat dianalogikan dengan menguji kenop-kenop pintu untuk mencari pintu yang

tidak  dikunci  sehingga  dapat  masuk  dengan  mudah.  Probing  tidak  begitu berbahaya bagi sistem jaringan kita namun biasanya diikuti oleh tindakan lain yang lebih membahayakan keamanan.

Scan

Scan  adalah  probing  dalam  jumlah  besar  menggunakan  suatu  tool.  Scan biasanya merupakan awal dari serangan langsung terhadap sistem yang oleh pelakunya ditemukan mudah diserang.

Account Compromise

Root Compromise

Packet Sniffer

Packet sniffer adalah sebuah program yang menangkap (capture) data dari paket yang lewat di jaringan. Data tersebut bisa termasuk user name, password, dan informasi-informasi penting lainnya yang lewat di jaringan dalam bentuk text. Paket yang dapat ditangkap tidak hanya satu paket tapi bisa berjumlah ratusan bahkan  ribuan,  yang  berarti  pelaku  mendapatkan  ribuan  user  name  dan password.  Dengan  password  itu  pelaku  dapat  mengirimkan  serangan  besar-

besaran ke sistem.

Denial of Service

Denial of service (DoS) bertujuan untuk mencegah pengguna mendapatkan layanan  dari  sistem.  Serangan  DoS  dapat  terjadi  dalam  banyak  bentuk. Penyerang dapat membanjiri (flood) jaringan dengan data yang sangat besar atau dengan sengaja menghabiskan sumber daya yang memang terbatas, seperti process control block (PCB) atau pending network connection. Penyerang juga mungkin saja mengacaukan komponen fisik dari jaringan atau memanipulasi data yang sedang dikirim termasuk data yang terenkripsi.

Exploitation of Trust

Malicious Code

Internet Infrastructure Attacks

Perencanaan Keamanan

Untuk menjamin keamanan dalam jaringan, perlu dilakukan perencanaan keamanan yang matang  berdasarkan  prosedur  dan  kebijakan  dalam  keamanan  jaringan. Perencanaan tersebut akan membantu dalam hal-hal berikut ini:

• Menentukan data atau informasi apa saja yang harus dilindungi

• Menentukan berapa besar biaya yang harus ditanamkan dalam melindunginya

• Menentukan siapa yang bertanggung jawab untuk menjalankan langkah-langkah

• yang diperlukan untuk melindungi bagian tersebut

Metode Keamana Jaringan 

Dalam merencanakan suatu keamanan jaringan, ada beberapa metode yang dapat diterapkan. Metode-metode tersebut adalah sebagai berikut:

Pembatasan akses pada suatu jaringan

Ada  3  beberapa  konsep  yang  ada  dalam  pembatasan  akses  jaringan,  yakni sebagai berikut:

• Internal Password Authentication

Password yang baik menjadi penting dan sederhana dalam keamanan suatu jaringan. Kebanyakan masalah dalam keamanan jaringan disebabkan karena password yang buruk. Cara yang tepat antara lain dengan menggunakan shadow password dan menonaktifkan TFTP.

1.      Server-based password authentication

2.      Firewall dan Routing Control

Untuk firewall akan dijelaskan pada bagian selanjutnya.

• Menggunakan metode enkripsi tertentu

Dasar  enkripsi  cukup  sederhana.  Pengirim  menjalankan  fungsi  enkripsi  pada pesan plaintext, ciphertext yang dihasilkan kemudian dikirimkan lewat jaringan, dan penerima menjalankan fungsi dekripsi (decryption) untuk mendapatkan plaintext semula. Proses enkripsi/dekripsi tergantung pada kunci (key) rahasia yang hanya diketahui oleh pengirim dan penerima. Ketika kunci dan enkripsi ini digunakan, sulit bagi penyadap untuk mematahkan ciphertext, sehingga komunikasi data antara pengirim dan penerima aman.

Lebih lanjut mengenai enkripsi akan dijelaskan pada bagian selanjutnya.

• Pemonitoran terjadwal terhadap jaringan

Proses memonitor dan melakukan administrasi terhadap keamanan jaringan akan dibahas pada bagian lain.

Password

Akun administrator pada suatu server sebaiknya diubah namanya dan sebaiknya hanya satu akun saja yang dapat mengakses. Pada sistem operasi Windows, cara membuat password adalah sebagai berikut:

• Tekan tombol Start pada start menu

• Klik Control Panel

• Klik User Account

• klik create a password

• Masukkan password

• Tekan tombol create password

Pemberian password yang tepat dengan kebijakan keamanan dalam akun admin, password itu harus memiliki suatu karakter yang unik dan sukar ditebak. Ada beberapa karakter yang dapat digunakan agar password sukar untuk ditebak, antara lain adalah sebagai berikut:

Untuk melakukan pengujian terhadap password yang dibuat. Ada utilitas yang dapat digunakan untuk mengetes kehandalan password, yaitu dengan menggunakan software seperti  avior yang bertujuan untuk melakukan brute-force password.

Kewenangan akses bagi user lain dalam satu perusahaan perlu didokumentasikan, hal ini dilakukan untuk memenuhi kebutuhan klien. Kewenangan user selain administrator  antara  lain  adalah  memasukkan  data-data  terbaru  sesuai  dengan tujuan tertentu untuk memenuhi kebutuhan klien.

Metode Enkripsi

Kriptografi macam ini dirancang untuk menjamin privacy, mencegah informasi menyebar luas tanpa ijin. Akan tetapi, privacy bukan satu-satunya layanan yang disediakan kriptografi. Kriptografi dapat juga digunakan untuk mendukung authentication  (memverifikasi  identitas  user)  dan  integritas  (memastikan  bahwa pesan belum diubah).

Kriptografi digunakan untuk mencegah orang yang tidak berhak untuk memasuki komunikasi, sehingga kerahasiaan data dapat dilindungi. Secara garis besar, kriptografi  digunakan  untuk  mengirim  dan  menerima  pesan.  Kriptografi  pada dasarnya berpatokan pada key yang secara selektif telah disebar pada komputer- komputer yang berada dalam satu jaringan dan digunakan untuk memproses suatu pesan.

Ada beberapa jenis metode enkripsi, sebagai berikut:

DES

DES  adalah  mekanisme  enkripsi  data  yang  sangat  popular  dan  banyak digunakan. Ada banyak implementasi perangkat lunak maupun perangkat keras DES. DES melakukan transformasi informasi dalam bentuk plain text ke dalam bentuk data terenkripsi yang disebut dengan ciphertext melalui algoritma khusus

dan seed value yang disebut dengan kunci. Bila kunci tersebut diketahui oleh penerima, maka dapat dilakukan proses konversi dari ciphertext ke dalam bentuk aslinya.

Kelemahan potensial yang dimiliki oleh semua sistem enkripsi adalah kunci yang harus diingat, sebagaimana sebuah password harus diingat. Bila kunci ditulis dan menjadi diketahui oleh pihak lain yang tidak diinginkan, maka pihak lain tersebut dapat membaca data asli. Bila kunci terlupakan, maka pemegang kunci tidak akan dapat membaca data asli.

Banyak sistem yang mendukung perintah DES, atau utility-utility dan library yang dapat digunakan untuk DES.

PGP (Pretty Food Privacy)

PGP dibuat oleh Phil Zimmerman, menyediakan bentuk proteksi kriptografi yang sebelumnya belum ada. PGP digunakan untuk melindungi file, email, dan dokumen-dokumen yang mempunyai tanda digital dan tersedia dalam versi komersial mapun freeware.

SSL

SSL singkatan dari Secure Socket Layer adalah metode enkripsi yang dikembangkan oleh Netscape untuk keamanan Internet. SSL mendukung beberapa  protokol  enkripsi  yang  berbeda,  dan  menyediakan  autentifikasi client dan server. SSL beroperasi pada layer transport, membuat sebuah kanal data yang terenskripsi sehingga aman, dan dapat mengenkrip berbagai tipe data. Penggunaan SSL sering dijumpai pada saat berkunjung ke sebuah secure   site   untuk   menampilkan   sebuah   secure   document   dengan

Communicator.

SSH

SSH  adalah  program  yang  menyediakan  koneksi  terenkripsi  pada  saat melakukan login ke suatu remote system. SSH merupakan suatu set program

yang digunakan sebagai pengganti rlogin, rsh, dan rcp dalam segi keamanan. SSH menggunakan kriptografi kunci public untuk mengenkrip komunikasi antara dua host, sehingga juga melakukan autentikasi terhadap user. SSH dapat digunakan untuk mengamankan proses login ke suatu remote system atau menyalin data antar host, karena mencegah terjadinya pembajakan sesi. SSH melakukan kompresi data [ada koneksi yang terjadi, dan mengamankan komunikasi X11 (untuk sistem berbasis Unix) antar host.

SSH dapat digunakan dari workstation dengan sistem windows dengan server berbasis unix.

Berikut ini adalah cara-cara yang dapat dilakukan dalam mengenkripsi sebuah file di sistem operasi Microsoft Windows:

• Klik kanan pada file yang ingin dienkripsi

• Klik Properties

• Klik tab General

• Tekan tombol Advanced

• Beri tanda check pada Encrypt contents to secure data

• Kemudian tekan tombol OK

Jika file hasil enkripsi tersebut disalin dan dibuka oleh user lain, maka akan muncul pesan error seperti :

• Username does not have access privileges, atau

• Error copying file or folder

Memonitor Jaringan

Ancaman pada jaringan yang perlu dimonitoring dan diwaspadai oleh administrator jaringan antara lain adalah sebagai berikut:

Program perusak seperti virus, trojan, worm, dsb.

Virus dan program perusak lain memiliki kemungkinan yang besar untuk dapat membahayakan keamanan suatu jaringan. Salah satu hal yang dapat dilakukan oleh administrator jaringan adalah melakukan instalasi program antivirus pada workstation.

Perangkat anti virus memiliki fungsi untuk mendefinisikan dan membasmi virus, worm, trojan yang akan masuk ke dalam suatu workstation. Perangkat anti virus yang dapat digunakan oleh suatu workstation adalah sebagai berikut:

Norton AV (www.norman.com) Kaspersky AV

McAfee AV

Akan tetapi, antivirus tidak akan menjadi suatu penangkalan yang berguna jika administrator tidak melakukan pembaharuan virus definition pada anti virus yang telah diinstal pada workstation.

Denial of service

Pengertian dari denial of service telah dibahas pada bagian sebelumnya.

Scanning

Pengertian dari scanning telah dibahas pada bagian sebelumnya.

Untuk  meminimalisir  penyerangan terhadap keamanan jaringan, hal yang dapat dilakukan administrator dalam memonitoring jaringan sebaiknya adalah dengan membatasi user yang dapat melakukan full-access ke dalam suatu server. Cara paling sederhana adalah dengan memberlakukan wewenang read only untuk semua

user. Cara lain adalah dengan melakukan pembatasan berdasarkan hal berikut ini:

MAC Address

Contohnya, user yang dapat melakukan akses secara penuh adalah user yang memiliki alamat abcd:1020:fa02:1:2:3.

IP Address

Contohnya, user yang dapat melakukan akses secara penuh adalah user yang memiliki alamat 192.168.2.1.

Pemonitoran juga dapat dilakukan dengan melakukan pengauditan sistem Log pada server tertentu oleh administrator jaringan. Tujuannya adalah mengidentifikasi gangguan dan ancaman keamanan yang akan terjadi pada jaringan.

Administrator dapat juga menggunakan software seperti NSauditor yang bertujuan untuk mengevaluasi keamanan jaringan dan dapat melakukan audit untuk penanggulangan kesalahan.

Slain NSauditor, ada pula tools yang lain yang dapat digunakan untuk mendiagnosis seperti:

• GFI Network Server Monitoring

• MRTG

Selain perangkat lunak, perangkat keras pun perlu dilakukan monitoring. Hal apakah yang  perlu  diperhatikan  dalam  monitoring  perangkat  keras  antara  lain  adalah sebagai berikut:

• Waktu respon perangkat keras

• Kompatibilitas dengan perangkat lunak

Pada sistem operasi tertentu perlu dirancang sistem monitoring yang bersifat user friendly, seperti merancang sistem monitoring berbasis web (misalnya menggunakan PHP dan Apache, dengan browser dan Linux kernel 2.4.xx). Untuk dapat menerapkan sistem  monitoring  berbasis  web  ada  dua  hal  yang  perlu  diperhatikan,  sebagai berikut:

• Koneksi ke internet atau intranet

• Kompatibilitas dengan browser

Metode pemonitoran melalui web ini dapat dilakukan melalui protokol HTTP. Akan tetapi protokol ini tidak dijamin keamanannya, karena itu perlu dilakukan pengenkripsian informasi yang dikirim melalui browser dengan menggunakan sebuah

enkripsi yang dinamakan dengan SSH.

 Instrusion Detecting System

Intrusion Detection System (IDS) adalah   sebuah sistem untuk mendeteksi penyalahgunaan jaringan dan sumber daya komputer. IDS memiliki sejumlah sensor yang digunakan untuk mendeteksi penyusupan. Contoh sensor meliputi:

• Sebuah sensor untuk memonitor TCP request

• Log file monitor

• File integrity checker

 IDS memiliki diagram blok yang terdiri dari 3 buah modul, sebagai berikut:

• Modul sensor (sensor modul)

• Modul analisis (analyzer modul)

• Modul basis data (database modul)

Sistem IDS bertanggung jawab untuk mengumpulkan dara-data dari sensor dan kemudian   menganalisisnya   untuk   diberikan   kepada   administrator   keamana jaringan. Tujuannya adalah untuk memberikan peringatan terhadap gangguan pada jaringan.

Teknologi IDS secara umum terbagi menjadi NIDS (Network Intrusion Detection System) dan HIDS (Host Intrusion Detection System). Snort adalah salah satu open source yang baik untuk NIDS. Sistem deteksi Snort terdiri dari sensor dan analyzer.

AIRIDS (Automatic Interactive Reactive Intrusion Detection System) adalah suatu metode kemanan jaringan yang bertujuan untuk membentuk suatu arsitektur sistem keamanan yang terintegrasi. Untuk mewujudkan AIRIDS perlu dirancang komponen-komponen sistem jaringan sebagai berikut:

• IDS 
• Sistem firewall
• Sistem basis data