MATERI
Tatacara Pengamanan Peralatan Jaringan :
1. Pengamanan fisik
2. Pengamanan logic( Instrusion Detection System)
3. Network topology,
4. Port
scanning,
5. Packet fingerprinting
PEMBAHASAN
1.
Pengamanan
Fisik
Keamanan
Level 0, merupakan keamanan fisik (Physical Security) atau keamanan tingkat
awal. Apabila keamanan fisik sudah terjaga maka keamanan di dalam computer juga
akan terjaga
2.
.Pengamanan Logic( Instrusion Detection System)
Intrusion
Detection System (IDS) dan Intrusion Prevention System (IPS) adalah sistem yang
banyak digunakan untuk mendeteksi dan melindungi sebuah sistem keamanan dari
serangan oleh pihak luar maupun dalam. Sebuah IDS dapat berupa IDS berbasiskan
jaringan komputer atau berbasiskan host. Pada IDS berbasiskan jaringan
komputer, IDS akan menerima kopi paket yang ditujukan pada sebuah host untuk
kemudian memeriksa paket-paket tersebut. Apabila ternyata ditemukan paket yang
berbahaya, maka IDS akan memberikan peringatan pada pengelola sistem. Karena
paket yang diperiksa hanyalah salinan dari paket yang asli, maka sekalipun
ditemukan paket yang berbahaya, paket tersebut akan tetap mencapai host yang
ditujunya.Sebuah IPS bersifat lebih aktif daripada IDS. Bekerja sama dengan
firewall, sebuah IPS dapat memberikan keputusan apakah sebuah paket dapat
diterima atau tidak oleh sistem. Apabila IPS menemukan bahwa paket yang
dikirimkan adalah paket yang berbahaya, maka IPS akan memberitahu firewall
sistem untuk menolak paket data tersebut.Dalam membuat keputusan apakah sebuah
paket data berbahaya atau tidak, IDS dan IPS dapat mempergunakan metode :
• Signature-based Intrusion Detection System. Pada metode ini, telah tersedia daftar signature yang dapat digunakan untuk menilai apakah paket yang dikirimkan berbahaya atau tidak. Sebuah paket data akan dibandingkan dengan daftar yang sudah ada. Metode ini akan melindungi sistem dari jenis-jenis serangan yang sudah diketahui sebelumnya. Oleh karena itu, untuk tetap menjaga keamanan sistem jaringan komputer, data signature yang ada harus tetap ter-update.
• Anomaly-based Intrusion Detection System. Pada metode ini, pengelola jaringan harus melakukan konfigurasi terhadap IDS dan IPS, sehingga IDS dan IPS dapat mengatahui pola paket seperti apa saja yang akan ada pada sebuah sistem jaringan komputer. Sebuah paket anomali adalah paket yang tidak sesuai dengan kebiasaan jaringan komputer tersebut. Apabila IDS dan IPS menemukan ada anomali pada paket yang diterima atau dikirimkan, maka IDS dan IPS akan memberikan peringatan pada pengelola jaringan (IDS) atau akan menolak paket tersebut untuk diteruskan (IPS). Untuk metode ini, pengelola jaringan harus terus-menerus memberi tahu IDS dan IPS bagaimana lalu lintas data yang normal pada sistem jaringan komputer tersebut, untuk menghindari adanya salah penilaian oleh IDS atau IPS.
Penggunaan IDS dan IPS pada sistem jaringan komputer dapat mempergunakan sumber daya komputasi yang cukup besar, dan khusus untuk IPS, dengan adanya IPS maka waktu yang dibutuhkan sebuah paket untuk dapat mencapai host tujuannya menjadi semakin lama, tidak cocok untuk aplikasi-aplikasi yang membutuhkan pengiriman data secara real-time. Selain itu IDS dan IPS masih membuka kesempatan untuk terjadinya false-postive dimana sebuah paket yang aman dinyatakan berbahaya dan false-negative dimana paket yang berbahaya dinyatakan aman. Untuk mengurangi tingkat false-positive dan false-negative, perlu dilakukan pembaharuan secara rutin terhadap sebuah IDS dan IPS.Dalam implementasinya, IDS adalah sebuah unit host yang terhubung pada sebuah hub/switch dan akan menerima salinan dari paket-paket yang diproses oleh hub/switch tersebut. Sedangkan untuk IPS biasanya diletakkan pada unit yang sama dengan firewall dan akan memproses paket-paket yang lewat melalui firewall tersebut.Sedangkan pada IDS berbasiskan host, IDS akan memeriksa aktivitas system call, catatan kegiatan dan perubahan pada sistem berkas pada host tersebut untuk mencari anomali atau keanehan yang menandakan adanya usaha dari pihak luar untuk menyusup kedalam sistem. IDS berbasiskan host akan membantu pengelola sistem untuk melakukan audit trail terhadap sistem apabila terjadi penyusupan dalam sistem.
• Signature-based Intrusion Detection System. Pada metode ini, telah tersedia daftar signature yang dapat digunakan untuk menilai apakah paket yang dikirimkan berbahaya atau tidak. Sebuah paket data akan dibandingkan dengan daftar yang sudah ada. Metode ini akan melindungi sistem dari jenis-jenis serangan yang sudah diketahui sebelumnya. Oleh karena itu, untuk tetap menjaga keamanan sistem jaringan komputer, data signature yang ada harus tetap ter-update.
• Anomaly-based Intrusion Detection System. Pada metode ini, pengelola jaringan harus melakukan konfigurasi terhadap IDS dan IPS, sehingga IDS dan IPS dapat mengatahui pola paket seperti apa saja yang akan ada pada sebuah sistem jaringan komputer. Sebuah paket anomali adalah paket yang tidak sesuai dengan kebiasaan jaringan komputer tersebut. Apabila IDS dan IPS menemukan ada anomali pada paket yang diterima atau dikirimkan, maka IDS dan IPS akan memberikan peringatan pada pengelola jaringan (IDS) atau akan menolak paket tersebut untuk diteruskan (IPS). Untuk metode ini, pengelola jaringan harus terus-menerus memberi tahu IDS dan IPS bagaimana lalu lintas data yang normal pada sistem jaringan komputer tersebut, untuk menghindari adanya salah penilaian oleh IDS atau IPS.
Penggunaan IDS dan IPS pada sistem jaringan komputer dapat mempergunakan sumber daya komputasi yang cukup besar, dan khusus untuk IPS, dengan adanya IPS maka waktu yang dibutuhkan sebuah paket untuk dapat mencapai host tujuannya menjadi semakin lama, tidak cocok untuk aplikasi-aplikasi yang membutuhkan pengiriman data secara real-time. Selain itu IDS dan IPS masih membuka kesempatan untuk terjadinya false-postive dimana sebuah paket yang aman dinyatakan berbahaya dan false-negative dimana paket yang berbahaya dinyatakan aman. Untuk mengurangi tingkat false-positive dan false-negative, perlu dilakukan pembaharuan secara rutin terhadap sebuah IDS dan IPS.Dalam implementasinya, IDS adalah sebuah unit host yang terhubung pada sebuah hub/switch dan akan menerima salinan dari paket-paket yang diproses oleh hub/switch tersebut. Sedangkan untuk IPS biasanya diletakkan pada unit yang sama dengan firewall dan akan memproses paket-paket yang lewat melalui firewall tersebut.Sedangkan pada IDS berbasiskan host, IDS akan memeriksa aktivitas system call, catatan kegiatan dan perubahan pada sistem berkas pada host tersebut untuk mencari anomali atau keanehan yang menandakan adanya usaha dari pihak luar untuk menyusup kedalam sistem. IDS berbasiskan host akan membantu pengelola sistem untuk melakukan audit trail terhadap sistem apabila terjadi penyusupan dalam sistem.
3.
Network
topology
Selain
permasalahan aplikasi yang akan mempergunakan jaringan komputer, topologi
jaringan komputer juga memiliki peranan yang sangat penting dalam keamanan
jaringan komputer. Pembagian kelompok komputer sesuai dengan tugas yang akan
diembannya adalah suatu hal yang perlu dilakukan. Dengan adanya pembagian
kelompok-kelompok jaringan komputer, apabila terjadi gangguan keamanan pada
sebuah kelompok jaringan komputer, tidak akan dengan mudah menyebar ke kelompok
jaringan komputer lainnya. Selain itu metode keamanan yang diterapkan pada
setiap kelompok jaringan komputer juga bisa berbeda-beda, sesuai dengan
peranannya masing-masing.Secara mendasar, sebuah jaringan komputer dapat dibagi
atas kelompok jaringan eksternal (Internet atau pihak luar), kelompok jaringan
internal dan kelompok jaringan diantaranya atau yang biasa disebut sebagai
DeMilitarized Zone (DMZ). Komputer-komputer pada jaringan DMZ, adalah
komputer-komputer yang perlu dihubungi secara langsung oleh pihak luar.
Contohnya adalah web-server, mail exchange server dan name server.
Komputer-komputer pada jaringan DMZ harus dipersiapkan secara khusus, karena
mereka akan terbuka dari pihak luar. Aplikasi yang dipergunakan pada host-host
pada DMZ harus merupakan aplikasi yang aman, terus menerus dipantau dan
dilakukan update secara reguler. Aturan-aturan yang berlaku adalah sebagai
berikut :
• Pihak luar hanya dapat berhubungan dengan host-host yang berada pada jaringan DMZ, sesuai dengan kebutuhan yang ada. Secara default pihak luar tidak bisa melakukan hubungan dengan host-host pada jaringan DMZ.
• Host-host pada jaringan DMZ secara default tidak dapat melakukan hubungan dengan host-host pada jaringan internal. Koneksi secara terbatas dapat dilakukan sesuai dengan kebutuhan.
• Host-host pada jaringan internal dapat melakukan koneksi secara bebas baik ke jaringan luar maupun ke jaringan DMZ. Pada beberapa implementasi, untuk meningkatkan keamanan, host-host pada jaringan internal tidak dapat melakukan koneksi ke jaringan luar, melainkan melalui perantara host pada jaringan DMZ, sehingga pihak luar tidak mengetahui keberadaan host-host pada jaringan komputer internal.
Bentuk topologi jaringan diatas, lebih jelasnya dapat dilihat pada gambar dibawah ini :
Selain meningkatkan keamanan, pembagian seperti ini juga menguntungkan karena enggunaan alamat IP yang lebih sedikit. Hanya host-host pada jaringan DMZ saja yang butuh untuk mempergunakan alamat IP publik internet, sedangkan untuk host-host jaringan internal bisa mempergunakan alamat IP privat. Hal ini terutama sangat menguntungkan bagi organisasi-organisasi yang hanya mendapatkan sedikit alokasi alamat IP yang dapat digunakan oleh organisasi tersebut dari service provider yang digunakan.Kelemahan dari implementasi aturan-aturan yang ketat seperti ini adalah ada beberapa aplikasi yang tidak dapat digunakan. Sebagai contoh, untuk dapat melakukan video-conference ataupun audio-conference diperlukan koneksi langsung antara satu host dengan host lainnya. Dengan implementasi dimana pihak luar tidak dapat berhubungan dengan host pada jaringan internal, maka host pada jaringan internal tidak dapat melakukan video-conference.Selain itu, untuk organisasi yang cukup besar, adanya pembagian lebih lanjut pada jaringan komputer internal akan lebih baik. Perlu dibuat sebuah panduan mengenai interaksi apa saja yang mungkin dilakukan dan dibutuhkan oleh satu bagian organisasi dengan bagian organisasi lainnya melalui jaringan komputer. Setelah panduan dibuat, maka interaksi-interaksi yang tidak diperlukan antar komputer pada jaringan yang berbeda dapat dibatasi. Aturan dasar yang saat ini banyak digunakan adalah untuk menutup semua pintu (port) yang ada dan buka hanya yang dibutuhkan dan aman saja.
Perlu diingat, semakin banyak pembagian kelompok jaringan komputer yang ada, maka akan semakin meningkatkan kompleksitas pemeliharaan jaringan komputer. Selain itu semakin banyak pembagian kelompok juga akan meningkatkan latensi koneksi antara satu host di sebuah kelompok jaringan dengan host lain di kelompok jaringan lainnya.
• Pihak luar hanya dapat berhubungan dengan host-host yang berada pada jaringan DMZ, sesuai dengan kebutuhan yang ada. Secara default pihak luar tidak bisa melakukan hubungan dengan host-host pada jaringan DMZ.
• Host-host pada jaringan DMZ secara default tidak dapat melakukan hubungan dengan host-host pada jaringan internal. Koneksi secara terbatas dapat dilakukan sesuai dengan kebutuhan.
• Host-host pada jaringan internal dapat melakukan koneksi secara bebas baik ke jaringan luar maupun ke jaringan DMZ. Pada beberapa implementasi, untuk meningkatkan keamanan, host-host pada jaringan internal tidak dapat melakukan koneksi ke jaringan luar, melainkan melalui perantara host pada jaringan DMZ, sehingga pihak luar tidak mengetahui keberadaan host-host pada jaringan komputer internal.
Bentuk topologi jaringan diatas, lebih jelasnya dapat dilihat pada gambar dibawah ini :
Selain meningkatkan keamanan, pembagian seperti ini juga menguntungkan karena enggunaan alamat IP yang lebih sedikit. Hanya host-host pada jaringan DMZ saja yang butuh untuk mempergunakan alamat IP publik internet, sedangkan untuk host-host jaringan internal bisa mempergunakan alamat IP privat. Hal ini terutama sangat menguntungkan bagi organisasi-organisasi yang hanya mendapatkan sedikit alokasi alamat IP yang dapat digunakan oleh organisasi tersebut dari service provider yang digunakan.Kelemahan dari implementasi aturan-aturan yang ketat seperti ini adalah ada beberapa aplikasi yang tidak dapat digunakan. Sebagai contoh, untuk dapat melakukan video-conference ataupun audio-conference diperlukan koneksi langsung antara satu host dengan host lainnya. Dengan implementasi dimana pihak luar tidak dapat berhubungan dengan host pada jaringan internal, maka host pada jaringan internal tidak dapat melakukan video-conference.Selain itu, untuk organisasi yang cukup besar, adanya pembagian lebih lanjut pada jaringan komputer internal akan lebih baik. Perlu dibuat sebuah panduan mengenai interaksi apa saja yang mungkin dilakukan dan dibutuhkan oleh satu bagian organisasi dengan bagian organisasi lainnya melalui jaringan komputer. Setelah panduan dibuat, maka interaksi-interaksi yang tidak diperlukan antar komputer pada jaringan yang berbeda dapat dibatasi. Aturan dasar yang saat ini banyak digunakan adalah untuk menutup semua pintu (port) yang ada dan buka hanya yang dibutuhkan dan aman saja.
Perlu diingat, semakin banyak pembagian kelompok jaringan komputer yang ada, maka akan semakin meningkatkan kompleksitas pemeliharaan jaringan komputer. Selain itu semakin banyak pembagian kelompok juga akan meningkatkan latensi koneksi antara satu host di sebuah kelompok jaringan dengan host lain di kelompok jaringan lainnya.
4.
Port Scanning
Metode Port Scanning biasanya
digunakan oleh penyerang untuk mengetahui port apa saja yang terbuka
dalam sebuah sistem jaringan komputer. Tetapi metode yang sama juga dapat
digunakan oleh pengelola jaringan komputer untuk menjaga jaringan komputernya.
Port Scanning sebagai bentuk serangan
Karena
implementasinya yang cukup mudah dan informasinya yang cukup berguna, maka
sering kali port scanning dilakukan sebagai tahap awal sebuah
serangan. Untuk dapat melakukan penyerangan, seorang cracker perlu
mengetahui aplikasi apa saja yang berjalan dan siap menerima koneksi dari
lokasinya berada. Port Scanner dapat meberikan informasi ini. Untuk
dapat mendeteksi adanya usaha untuk melakukan scanning jaringan,
seorang pengelola jaringan dapat melakukan monitoring dan mencari
paket-paket IP yang berasal dari sumber yang sama dan berusaha melakukan akses
ke sederetan port, baik yang terbuka maupun yang tertutup. Apabila
ditemukan, pengelola jaringan dapat melakukan konfigurasi firewall untuk
memblokir IP sumber serangan. Hal ini perlu dilakukan secara berhati-hati,
karena apabila dilakukan tanpa ada toleransi, metode ini dapat mengakibatkan
seluruh jaringan Internet terblokir oleh firewall organisasi. Oleh
sebab itu, perlu ada keseimbangan antara keamanan dan performa dalam usaha
mendeteksi kegiatan port scanning dalam sebuah jaringan komputer.
5.
Packet
fingerprinting
Karena
keunikan setiap vendor peralatan jaringan komputer dalam melakukan implementasi
protokol TCP/IP, maka paket-paket data yang dikirimkan setiap peralatan menjadi
unik peralatan tersebut. Dengan melakukan Packet Fingerprinting, kita dapat
mengetahui peralatan apa saja yang ada dalam sebuah jaringan komputer. Hal ini
sangat berguna terutama dalam sebuah organisasi besar dimana terdapat berbagai
jenis peralatan jaringan komputer serta sistem operasi yang digunakan. Setiap
peralatan dan sistem operasi memiliki karakteristik serta kelemahannya
masing-masing, oleh karena itu, sangat penting bagi pengelola jaringan komputer
untuk dapat mengetahui peralatan dan sistem operasi apa saja yang digunakan
dalam organisasi tersebut. Dengan mengetahui peralatan jenis apa atau sistem
operasi apa saja yang ada pada sebuah organisasi, pengelola jaringan komputer
dapat lebih siap dalam melakukan pengamanan jaringan komputer organisasi
tersebut.Untuk menentukan tipe peralatan atau sistem operasi ada, sebuah
peralatan fingerprinting akan melihat bagaimana peralatan jaringan komputer
atau sistem operasi yang bersangkutan memberikan nilai-nilai awal pada beberapa
bagian di header IP. Bagian-bagian tersebut adalah:
• Time-to-Live – Setiap peralatan jaringan komputer mempergunakan nilai awal yang berbeda-beda dalam memberikan nilai ke bagian time-to-live pada header IP.
• Window-size - Setiap peralatan jaringan komputer, mempergunakan ukuran TCP windows yang berbeda-beda.
• bit DF pada paket – Apakah peralatan jaringan komputer yang mengirimkan paket tersebut mempergunakan bit DF (dont' t fragment), pada awal koneksi. Tidak terlalu berguna dalam membedakan satu peralatan dengan peralatan lainnya.
• bit Type of Service – Jenis layanan apa yang diberikan oleh sebuah peralatan jaringan komputer pada paket yang dikirimnya. Karena pada banyak implementasi, jenis layanan yang diinginkan, ditentukan oleh protokol atau aplikasi yang sedang berjalan dan bukan oleh sistem operasi atau peralatan yang digunakan, maka penggunaan bit Type of Service tidak terlalu berguna dalam membedakan satu peralatan dengan peralatan lainnya.
Setelah mendapatkan informasi-informasi di atas, peralatan fingerprinting akan melakukan perbandingan dengan data yang sudah dimiliki sebelumnya.Fingerprinting dapat dilakukan secara aktif maupun secara pasif. Jika dilakukan secara aktif, analis akan mengirimkan sebuah paket request yang kemudian akan dibalas oleh host target. Paket balasan dari host target inilah yang kemudian dianalisa. Sedangkan jika dilakukan secara pasif, maka analis akan menunggu host target mengirimkan paket, kemudia paket tersebut akan dianalisa.
Selain dapat digunakan oleh pengelola jaringan komputer untuk mengamankan jaringan komputer organisasi, metode yang sama sering digunakan oleh pihak-pihak yang ingin menganggu sebuah jaringan komputer.
• Time-to-Live – Setiap peralatan jaringan komputer mempergunakan nilai awal yang berbeda-beda dalam memberikan nilai ke bagian time-to-live pada header IP.
• Window-size - Setiap peralatan jaringan komputer, mempergunakan ukuran TCP windows yang berbeda-beda.
• bit DF pada paket – Apakah peralatan jaringan komputer yang mengirimkan paket tersebut mempergunakan bit DF (dont' t fragment), pada awal koneksi. Tidak terlalu berguna dalam membedakan satu peralatan dengan peralatan lainnya.
• bit Type of Service – Jenis layanan apa yang diberikan oleh sebuah peralatan jaringan komputer pada paket yang dikirimnya. Karena pada banyak implementasi, jenis layanan yang diinginkan, ditentukan oleh protokol atau aplikasi yang sedang berjalan dan bukan oleh sistem operasi atau peralatan yang digunakan, maka penggunaan bit Type of Service tidak terlalu berguna dalam membedakan satu peralatan dengan peralatan lainnya.
Setelah mendapatkan informasi-informasi di atas, peralatan fingerprinting akan melakukan perbandingan dengan data yang sudah dimiliki sebelumnya.Fingerprinting dapat dilakukan secara aktif maupun secara pasif. Jika dilakukan secara aktif, analis akan mengirimkan sebuah paket request yang kemudian akan dibalas oleh host target. Paket balasan dari host target inilah yang kemudian dianalisa. Sedangkan jika dilakukan secara pasif, maka analis akan menunggu host target mengirimkan paket, kemudia paket tersebut akan dianalisa.
Selain dapat digunakan oleh pengelola jaringan komputer untuk mengamankan jaringan komputer organisasi, metode yang sama sering digunakan oleh pihak-pihak yang ingin menganggu sebuah jaringan komputer.
No comments:
Post a Comment