81329719 Modul KK15 Mendesain Sistem Keamanan Jaringan

HandOut KK15-Mendesain Sistem Keamanan Jaringan TKJ SMKN 2 Bawang

Hal. 1111|16

Modul KK.15

Membuat Desain Sistem Keamanan

Jaringan

Oleh : TIM GURU PRODUKTIF TKJ SMK NEGERI 2 BAWANG SMK NEGERI 2 BAWANG Jl. Raya Mantrianom Bawang Banjarnegara Telp. 0286. 597070 Fax. 0286. 597070 Website :www.smkn2bawang.com


Hal. 2222|16

KK.15 Membuat Desain Sistem Keamanan Jaringan

Kompetensi Dasar :

15.1 Menentukan jenis-jenis keamanan jaringan

15.2 Mengidentifikasi pengendalian jaringan yang diperlukan

15.3 Memasang firewall

15.4 Mendesain sistem keamanan jaringan

BAB 1

Menentukan Jenis Keamanan Jaringan

• Dalam masyarakat pertanian � tanah � aset paling penting � negara dengan produksi

tani terbesar memiliki kekuatan bersaing.

• Dalam masyarakat industri � kekuatan modal seperti memiliki cadangan minyak �

menjadi faktor utama dalam persaingan.

• Dalam masyarakat berbasis informasi dan pengetahuan � informasi adalah komoditi

yang sangat penting dan aset paling berharga � Kemampuan untuk mendapatkan,

mengakses, menyediakan, menggunakan, dan menganalisis informasi secara cepat dan

akurat.

Definisi Informasi :

• Secara umum, informasi didefinisikan sebagai hasil dari aktivitas mental dan merupakan

produk abstrak yang ditransmisikan melalui medium.

• Dalam bidang teknologi informasi dan komunikasi, informasi adalah hasil dari pemrosesan,

manipulasi dan pengaturan data, yaitu sekumpulan fakta.

• Dalam bidang Keamanan Informasi, informasi diartikan sebagai sebuah aset merupakan

sesuatu yang memiliki nilai dan karenanya harus dilindungi. Definisi ini mengikuti ISO/IEC

27001.

Aspek keamanan informasi

Garfinkel and Spafford mengemukakan bahwa keamanan komputer (computer security)

melingkupi empat aspek, yaitu :

1. Privacy

2. Integrity

3. Authentication

4. availability.

Selain keempat hal di atas, masih ada dua aspek lain yang juga sering dibahas dalam kaitannya

dengan electronic commerce, yaitu access control dan non-repudiation.

Berdasar spesifikasi dari OSI, aspek keamanan komputer meliputi :

• Access Control, Perlindungan terhadap pemakaian tak legak

• Authentication, Menyediakan jaminan identitas seseorang

• Confidentiality (kerahasiaan), Perlindungan terhadap pengungkapan identitas tak legal

• Integrity, Melindungi dari pengubahan data yang tak legal

• Non-repudiation (penyangkalan), Melindungi terhadap penolakan komunikasi yang sudah

pernah dilakukan


Hal. 3333|16

Pendapat yang lain mengatakan, Aspek keamanan informasi adalah aspek-aspek yang

dilingkupi dan melingkupi keamanan informasi dalam sebuah sistem informasi. Aspek-aspek ini

adalah :

� Privacy (privasi/kerahasiaan), menjaga kerahasiaan informasi dari semua pihak, kecuali

yang memiliki kewenangan;

� Integrity (integritas), meyakinkan bahwa data tidak mengalami perubahan oleh yang tidak

berhak atau oleh suatu hal lain yang tidak diketahui (misalnya buruknya transmisi data);

� Authentication (otentikasi/identifikasi), pengecekan terhadap identitas suatu entitas, bisa

berupa orang, kartu kredit atau mesin;

� Signature, Digital Signature (tanda tangan), mengesahkan suatu informasi menjadi satu

kesatuan di bawah suatu otoritas;

� Authorization (otorisasi), pemberian hak/kewenangan kepada entitas lain di dalam sistem;

� Validation (validasi), pengecekan keabsahan suatu otorisasi;

� Access Control (kontrol akses), pembatasan akses terhadap entitas di dalam sistem;

� Certificate (sertifikasi), pengesahan/pemberian kuasa suatu informasi kepada entitas yang

tepercaya;

� Time stamp (pencatatan waktu), mencatat waktu pembuatan atau keberadaan suatu

informasi di dalam sistem;

� Verification (persaksian, verifikasi), memverifikasi pembuatan dan keberadaan suatu

informasi di dalam sistem bukan oleh pembuatnya

� Acknowledgement (tanda terima), pemberitahuan bahwa informasi telah diterima;

� Confirmation (konfirmasi), pemberitahuan bahwa suatu layanan informasi telah tersedia;

� Ownership (kepemilikan), menyediakan suatu entitas dengan sah untuk menggunakan atau

mengirimkan kepada pihak lain;

� Anonymous (anonimitas), menyamarkan identitas dari entitas terkait dalam suatu proses

transaksi;

� Non-repudiation (nirpenyangkalan), mencegah penyangkalan dari suatu entitas atas

kesepakatan atau perbuatan yang sudah dibuat;

� Recall (penarikan), penarikan kembali suatu sertifikat atau otoritas.

Standar Kegiatan Keamanan Informasi

ISO/IEC 27001, atau lengkapnya "ISO/IEC 27001:2005 - Information technology --

Security techniques -- Information security management systems -- Requirements", adalah

suatu standar sistem manajemen keamanan informasi (ISMS, information security management

system) yang diterbitkan oleh ISO dan IEC pada Oktober 2005. Standar yang berasal dari BS

7799-2 ini ditujukan untuk digunakan bersama denganISO/IEC 27002, yang memberikan daftar

tujuan pengendalian keamanan dan merekomendasikan suatu rangkaian pengendalian

keamanan spesifik.

Kegiatan keamanan dalam ISO/IEC27001 terdiri dari 133 kontrol dan 11 domain Beberapa

item yang dikontrol di ISO/IEC27001, diantaranya :

Domain Item

A5 Kebijakan keamanan

A6 Organisasi keamanan informasi

A7 Manajemen aset

A8 Keamanan sumber daya manusia

A9 Keamanan fisik dan lingkungan

A10 Manajemen komunikasi dan operasi

A11 Kontrol akses

A11 Pengadaan, pengembangan dan pemeliharaan sistem informasi

A13 Manajemen insiden keamanan informasi

A14 Manajemen keberlangsungan bisnis


Hal. 4444|16

A15 Kepatuhan (compliance)

Tabel 1. Beberapa Item yang dikontrol ISO/IEC27001

ISO/IEC27001 mengadopsi model proses Plan-Do-Check-Act, yang digunakan untuk

mengatur struktur seluruh proses ISMS. Dalam ISO/IEC27001, semua bukti hasil penilaian ISMS

harus didokumentasikan; sertifikasinya harus diaudit secara eksternal setiap enam bulan; dan

seluruh proses diulangi sesudah tiga tahun untuk terus mengatur ISMS.

Keterbukaan Informasi

Selain memiliki banyak keuntungan, keterbukaan akses informasi tersebut memunculkan

berbagai masalah baru, antara lain :

• Pemeliharaan validitas dan integritas data/informasi tersebut

• Jaminan ketersediaan informasi bagi pengguna yang berhak

• Pencegahan akses informasi dari yang tidak berhak

• Pencegahan akses sistem dari yang tidak berhak

Konsep 4R

Konsep pengaturan 4R berikut ini adalah cara paling efisien untuk memelihara dan

mengontrol nilai informasi. 4R keamanan informasi adalah Right Information (Informasi yang

benar), Right People (Orang yang tepat), Right Time (Waktu yang tepat) dan Right Form

(Bentuk yang tepat).

1. Right Information mengacu pada ketepatan dan kelengkapan informasi, yang menjamin

integritas informasi.

2. Right People berarti informasi tersedia hanya bagi individu yang berhak, yang menjamin

kerahasiaan.

3. Right Time mengacu pada aksesibilitas informasi dan penggunaannya atas permintaan

entitas yang berhak. Ini menjamin ketersediaan.

4. Right Form mengacu pada penyediaan informasi dalam format yang tepat.

Piramida Metodologi Kemananan

Berikut ini adalah piramida metodologi keamanan. Secara singkat pada piramida di

bawah ini telah tergambar unsur-unsur apa saja yang dibutuhkan dalam membangun sebuah

sistem keamanan secara utuh

Gambar 1. Piramida Metodologi Keamanan


Hal. 5555|16

Orang yang Terlibat

1. Administrator System (SysAdmin), Network Admin, stakeholder

2. Phreaker

Orang yang mengetahui sistem telekomunikasi dan memanfaatkan kelemahan sistem

pengamanan telepon tersebut

3. Hacker

Orang yang mempelajari sistem yang biasanya sukar dimengerti untuk kemudian

mengelolanya dan men-share hasil ujicoba yang dilakukannya.

Hacker tidak merusak sistem

4. Craker

Orang yang mempelajari sistem dengan maksud jahat – Muncul karena sifat dasar manusia

(salah satunya merusak)

Ancaman Jaringan komputer dilihat dari BENTUKNYA :

• Fisik (physical)

- Pencurian perangkat keras komputer atau perangkat jaringan

- Bencana alam (banjir, kebakaran, dll) � Major cause

- Kerusakan pada komputer dan perangkat komunikasi jaringan

- Wiretapping � Man the Middle Attack � Aktif / Pasif

- Wardriving � Man the Middle Attack � Aktif / Pasif

-

• Logik (logical)

- Kerusakan pada sistem operasi atau aplikasi

- Virus

- Sniffing, dan lain lain seperti tersebut di bawah ini

Ancaman Jaringan komputer dilihat dari JENIS-JENISNYA ��

Jenis-jenis Serangan Keamanan Informasi yang menjadi tren dan arah Keamanan Informasi:

1. Probe

Probe atau yang biasa disebut probing adalah usaha untuk mengakses sistem dan

mendapatkan informasi tentang sistem

2. Scan

Scan adalah probing dalam jumlah besar menggunakan suatu tool

3. Account compromise

Meliputi User compromize dan root compromize

4. Packet Snifer

Adalah sebuah program yan menangkap / mngcaptur data dari paket yang lewat di

jaringan. (username, password, dan informasi penting lainnya)

5. Hacking

Hacking adalah tindakan memperoleh akses ke komputer atau jaringan komputer untuk

mendapatkan atau mengubah informasi tanpa otorisasi yang sah

6. Denial-of-Service

Serangan Denial-of-service (DoS) mencegah pengguna yang sah dari penggunaan layanan

ketika pelaku mendapatkan akses tanpa izin ke mesin atau data. Ini terjadi karena pelaku

membanjiri‘ jaringan dengan volume data yang besar atau sengaja menghabiskan sumber

daya yang langka atau terbatas, seperti process control blocks atau koneksi jaringan yang

tertunda. Atau mereka mengganggu komponen fisik jaringan atau memanipulasi data yang

sedang dikirimkan, termasuk data terenkripsi.

7. Malicious code (Kode Berbahaya)

Malicious code adalah program yang menyebabkan kerusakan sistem ketika dijalankan.

Virus, worm dan Trojan horse merupakan jenis-jenis malicious code.


Hal. 6666|16

a. Virus komputer adalah sebuah program komputer atau kode program yang merusak

sistem komputer dan data dengan mereplikasi dirinya sendiri melalui peng-copy-an ke

program lain, boot sector komputer atau dokumen.

b. Worm adalah virus yang mereplikasi dirinya sendiri yang tidak mengubah file, tetapi

ada di memory aktif, menggunakan bagian dari sistem operasi yang otomatis dan

biasanya tidak terlihat bagi pengguna. Replikasi mereka yang tidak terkontrol

memakan sumber daya sistem, melambatkan atau menghentikan proses lain.

Biasanya hanya jika ini terjadi keberadaan worm diketahui.

c. Trojan horse adalah program yang sepertinya bermanfaat dan/atau tidak berbahaya

tetapi sesungguhnya memiliki fungsi merusak seperti unloading hidden program atau

command scripts yang membuat sistem rentan gangguan.

8. Social Engineering / Exploitation of Trust

Sekumpulan teknik untuk memanipulasi orang sehingga orang tersebut membocorkan

informasi rahasia. Meskipun hal ini mirip dengan permainan kepercayaan atau penipuan

sederhana, istilah ini mengacu kepada penipuan untuk mendapatkan informasi atau akses

sistem komputer. Beberapa jebakan yang dapat dilakukan diantaranya dengan :

o Memanfaatkan kepercayaan orang dalam bersosialisasi dengan komputer.

o Memanfaatkan kesalahan orang secara manusiawi misal : kesalahan ketik, asal klik,

next-next, dll

o Bisa dengan cara membuat tampilan Login yang mirip (teknik fake login), diarahkan ke

tempat lain, juga biasanya dibuat url yang hampir sama untuk web contoh kasus :

www.klikbca.com

9. Phishing

Tindakan pemalsuan terhadap data / identitas resmi yang dilakukan untuk hal yang

berkaitan dengan pemanfaatannya. Phising diawali dengan mencuri informasi personal

melalui Internet. Phishing telah menjadi aktivitas kriminal yang banyak dilakukan di

Internet.

10. Deface perubahan terhadap tampilan suatu website secara illegal.

11. Carding pencurian data terhadap identitas perbankan seseorang, misalnya pencurian nomor kartu

kredit, digunakan untuk memanfaatkan saldo yang terdapat pada rekening tersebut untuk

keperluan belanja online.

BAB 2

Mengidentifikasi Pengendalian

Jaringan yang Diperlukan

Risk Management Model

Lawrie Brown dalam bukunya menyarankan menggunakan “Risk Management Model”

untuk menghadapi ancaman (managing threats). Ada tiga komponen yang memberikan

kontribusi kepada Risk, yaitu Asset, Vulnerabilities, dan Threats.

Kontribusi terhadap Risk

Nama komponen Contoh dan keterangan lebih lanjut

Assets (aset)

• Hardware, software, dokumentasi, data, komunikasi,

linkungan, manusia

Threats (ancaman) • pemakai (users), teroris, kecelakaan (accidents), crackers,


Hal. 7777|16

penjahat kriminal, nasib (acts of God), intel luar negeri

(foreign intelligence)

Vulnerabilities (kelemahan)

• software bugs, hardware bugs, radiasi (dari layar,

transmisi), tapping, crosstalk, unauthorized users,

cetakan, hardcopy atau print out, keteledoran (oversight),

cracker via telepon, storage media

Tabel 2. Nama Komponen dan Contohnya yang berkontribusi terhadap Risk

Untuk menanggulangi resiko (Risk) tersebut dilakukan apa yang disebut “countermeasures”

yang dapat berupa:

• usaha untuk mengurangi Threat

• usaha untuk mengurangi Vulnerability

• usaha untuk mengurangi impak (impact)

• mendeteksi kejadian yang tidak bersahabat (hostile event)

• kembali (recover) dari kejadian

Analisis SWOT

Analisis SWOT (singkatan bahasa Inggris dari strengths (kekuatan), weaknesses

(kelemahan), opportunities (kesempatan), dan threats (ancaman) adalah

metode perencanaan strategis yang digunakan untuk mengevaluasi kekuatan, kelemahan,

peluang, dan ancaman dalam suatu keadaan tertentu. Dalam tinjauan keamanan jaringan,

analisis SWOT mencoba memetakan keadaan yang ingin dicapai yaitu terciptanya keamanan

informasi dan keamanan jaringan, dan mengidentifikasikan faktor internal dan faktor eksternal

yang membantu dan yang membahayakan tercapainya keamanan jaringan dan keamanan

informasi.

Gambar 2. Analisis SWOT

Teknik ini dibuat oleh Albert Humphrey, yang memimpin proyek riset pada Universitas

Stanfordpada dasawarsa 1960-an dan 1970-an dengan menggunakan data dari perusahaan-

perusahaan Fortune 500

Setelah memetakan dan mengenali faktor-faktor tersebut, maka diperlukan usaha untuk

meningkatkan strengths (kekuatan), mengurangi dan menutupi weaknesses (kelemahan),

memanfaatkan opportunities (kesempatan), dan juga usaha untuk mengurangi dan

mengantisipasi Threats (ancaman).

Port

Dalam protokol jaringan TCP/IP, sebuah port adalah mekanisme yang mengizinkan

sebuah komputer untuk mendukung beberapa sesi koneksi dengan komputer lainnya dan

program di dalam jaringan. Port dapat mengidentifikasikan aplikasi dan layanan yang


Hal. 8888|16

menggunakan koneksi di dalam jaringan TCP/IP. Sehingga, port juga mengidentifikasikan

sebuah proses tertentu di mana sebuah server dapat memberikan sebuah layanan kepada klien

atau bagaimana sebuah klien dapat mengakses sebuah layanan yang ada dalam server.

Port dapat dikenali dengan angka 16-bit (dua byte) yang disebut dengan Port

Number dan diklasifikasikan dengan jenis protokol transport apa yang digunakan, ke

dalam Port TCP dan Port UDP. Karena memiliki angka 16-bit, maka total maksimum jumlah

port untuk setiap protokol transport yang digunakan adalah 216 = 65536 buah.

Dilihat dari penomorannya, port UDP dan TCP dibagi menjadi tiga jenis, yakni sebagai

berikut:

� Well-known Port: yang pada awalnya berkisar antara 0 hingga 255 tapi kemudian

diperlebar untuk mendukung antara 0 hingga 1023. Port number yang termasuk ke dalam

well-known port, selalu merepresentasikan layanan jaringan yang sama, dan ditetapkan

oleh Internet Assigned Number Authority (IANA). Beberapa di antara port-port yang berada

di dalam range Well-known port masih belum ditetapkan dan direservasikan untuk

digunakan oleh layanan yang bakal ada di masa depan. Well-known port didefinisikan

dalam RFC 1060.

� Registered Port: Port-port yang digunakan oleh vendor-vendor komputer atau jaringan

yang berbeda untuk mendukung aplikasi dan sistem operasi yang mereka buat. Registered

port juga diketahui dan didaftarkan oleh IANA tapi tidak dialokasikan secara permanen,

sehingga vendor lainnya dapat menggunakan port number yang sama. Range registered

port berkisar dari 1024 hingga 49151 dan beberapa port di antaranya adalah Dynamically

Assigned Port.

� Dynamically Assigned Port: merupakan port-port yang ditetapkan oleh sistem operasi

atau aplikasi yang digunakan untuk melayani request dari pengguna sesuai dengan

kebutuhan. Dynamically Assigned Port berkisar dari 1024 hingga 65536 dan dapat

digunakan atau dilepaskan sesuai kebutuhan.

BAB 3

Firewall

P engertian Firewall : � Adalah mekanisme kontrol akses pada level jaringan,

� Aplikasi Penghambat yang dibangun untuk memisahkan jaringan privat dengan jaringan

publik (Internet)

� Aplikasi diimplementasikan pada : software, hardware, Router Access, ataupun Server

Access atau beberapa Router Acess ataupun beberapa Server Access

� Menggunakan suatu (rule)/Policy berupa daftar akses (Access List), dan metode lain untuk

menjamin keamanan jaringan privat

Gambar 3. Firewall


Hal. 9999|16

Firewall adalah salah peralatan atau suatu aplikasi pada sistem operasi yang dibutuhkan

oleh jaringan komputer untuk melindungi intergritas data/sistem jaringan dari serangan-

serangan pihak yang tidak bertanggung jawab. Caranya dengan melakukan filterisasi terhadap

paket-paket yang melewatinya.

Firewall tersusun dari aturan-aturan yang diterapkan baik terhadap hardware, software

ataupun sistem itu sendiri dengan tujuan untuk melindungi jaringan, baik dengan melakukan

filterisasi, membatasi, ataupun menolak suatu permintaan koneksi dari jaringan luar lainnya

seperti internet.

Gambar 4. Firewall memisahkan antara public dengan private network

Pada firewall terjadi beberapa proses yang memungkinkannya melindungi jaringan. Ada

tiga macam Proses yang terjadi pada firewall, yaitu:

1. Modifikasi header paket, digunakan untuk memodifikasi kualitas layanan bit paket TCP

sebelum mengalami proses routing.

2. Translasi alamat jaringan, translasi yang terjadi dapat berupa translasi satu ke satu

(one to one), yaitu satu alamat IP privat dipetakan kesatu alamat IP publik atau translasi

banyak kesatu (many to one) yaitu beberapa alamat IP privat dipetakan kesatu alamat

publik.

3. Filter paket, digunakan untuk menentukan nasib paket apakah dapat diteruskan atau

tidak.

Jenis Firewall Hardware dan Software

1. Software Firewall

Adalah program yang berjalan pada background komputer. Software ini mengevaluasi

setiap request dari jaringan dan menetukan apakah request itu valid atau tidak.

� Kelebihan

• Harganya murah

• Mudah dikonfigurasi

� Kekurangan

• Memakan sumber daya dari komputer (CPU,memory, disk)

• Terdapat versi yang berbeda dan untuk OS yang berbeda pula

• Dibutuhkan beberapa copy dan konfigurasi untuk tiap sistem dalam jaringan

2. Hardware Firewall

Adalah firewall yang dipasang pada komputer, yang menghubungkan komputer dengan

modem

� Kelebihan

• Menyediakan perlindungan yang lebih banyak dibandingkan software firewall

• Beroperasi secara independen terhadap sistem operasi dan aplikasi perangkat

lunak, sehingga kompabilitasnya tinggi


Hal. 10101010|16

� Kekurangan

• Cenderung lebih mahal

Teknologi Firewall

1. Packet Filtering Gateway (Router, Cisco IOS, dll.) ->Stateless

2. Application Level Gateway / Proxy-based (NAI Gauntled, Axent Raptor, dll.)

3. Circuit Level Gateway

4. Statefull Multi Layer Inspection Firewall (Checkpoint FW-1, PIX, dll.)

1. Packet Filtering Gateway

Prinsip : adalah memperbolehkan (grant) atau membatalkan (deny) terhadap suatu access,

dengan beberapa variabel:

� Source Address

� Destination Address

� Protocol (TCP/UDP)

� Source Port number

� Destination Port number

Packet filtering gateway dapat diartikan sebagai firewall yang bertugas melakukan filterisasi

terhadap paket-paket yang datang dari luar jaringan yang dilindunginya.

2. Circuit Level Gateway

Model firewall ini bekerja pada bagian Lapisan transport dari model referensi TCP/IP.

Firewall ini akan melakukan pengawasan terhadap awal hubungan TCP yang biasa disebut

sebagai TCP Handshaking, yaitu proses untuk menentukan apakah sesi hubungan tersebut

diperbolehkan atau tidak. Bentuknya hampir sama dengan Application Layer Gateway ,

hanya saja bagian yang difilter terdapat ada lapisan yang berbeda, yaitu berada pada layer

Transport.

3. Application Level Gateway

Adalah gateway yang bekerja pada level aplikasi pada layer OSI, Model firewall ini juga

dapat disebut Proxy Firewall. Mekanismenya tidak hanya berdasarkan sumber, tujuan dan

atribut paket, tapi bisa mencapai isi ( content ) paket tersebut. Bila kita melihat dari sisi

layer TCP/IP, firewall jenis ini akan melakukan filterisasi pada layer aplikasi ( Application

Layer ).


Hal. 11111111|16

4. Statefull Packet-filter-Based Firewalls

Model firewall ini merupakan penggabungan dari ketiga firewall sebelumnya. Firewall jenis

ini akan bekerja pada lapisan Aplikasi, Transport dan Internet. Dengan penggabungan

ketiga model firewall yaitu Packet Filtering Gateway, Application Layer Gateway dan Circuit

Level Gateway, mungkin dapat dikatakan firewall jenis ini merupakan firewall yang

,memberikan fitur terbanyak dan memeberikan tingkat keamanan yang paling tinggi.

Beberapa Konfigurasi Firewall

1. Screened Host Firewall (singled-homed bastion)

2. Screened Host Firewall (Dual-homed bastion)

3. Screened Subnet Firewall

Aplikasi pengendalian jaringan dengan menggunakan firewall dapat diimplementasikan dengan

menerapkan sejumlah aturan (chains) pada topologi yang sudah ada.

Dalam hal pengendalian jaringan dengan menggunakan iptables, ada dua hal yang harus

diperhatikan yaitu:

1. Koneksi paket yang menerapkan firewall yang digunakan.

2. Konsep firewall yang diterapkan.

Dengan dua hal ini diharapkan iptables sebagai aturan yang mendefinisikan firewall dapat

mengenali apakah koneksi yang terjadi berupa koneksi baru ( NEW) , koneksi yang telah ada (

ESTABLISH ), koneksi yang memiliki relasi dengan koneksi lainnya ( RELATED ) atau koneksi

yang tidak valid ( INVALID ). Keempat macam koneksi itulah yang membuat IPTables disebut

Statefull Protocol .

Koneksi Paket

Koneksi paket yang dalam proses pengirimannya dari pengirim kepada penerima harus melalui

aturan firewall, dapat dikelompokan kepada tiga kelompok koneksi, yaitu :

1. Koneksi TCP

2. Koneksi IP

3. Koneksi UDP

1. Koneksi TCP


Hal. 12121212|16

Sebuah koneksi TCP dikenal sebagai koneksi yang bersifat Connection Oriented yang

berarti sebelum melakukan pengiriman data, mesin-mesin tersebut akan melalui 3 langkah

cara berhubungan ( 3-way handshake ).

2. Koneksi IP

Sebuah frame yang diidentifikasi menggunakan kelompok protokol Internet (IP) harus

melalui aturan firewall yang didefinisikan menggunakan protokol IP sebelum paket tersebut

mendapat jawaban koneksi dari tujuan paket tersebut.

Salah satu paket yang merupakan kelompok protokol IP adalah ICMP, yang sering

digunakan sebagai aplikasi pengujian koneksi ( link ) antar host.

3. Koneksi UDP

Berbeda dengan koneksi TCP, koneksi UDP (Gambar 11.11) bersifat connectionless.

Sebuah mesin yang mengirimkan paket UDP tidak akan mendeteksi kesalahan terhadap

pengiriman paket tersebut.

Paket UDP tidak akan mengirimkan kembali paket-paket yang mengalami error. Model

pengiriman paket ini akan lebih efisien pada koneksi broadcasting atau multicasting

Mata Rantai (chain) iptables

Gambar 5. Proses yang terjadi pada paket yang melewati suatu firewall

Untuk membangun sebuah firewall, yang harus kita ketahui pertama-tama adalah

bagaimana sebuah paket diproses oleh firewall, apakah paket-paket yang masuk akan di buang

( DROP ) atau diterima ( ACCEPT ), atau paket tersebut akan diteruskan ( FORWARD ) ke

jaringan yang lain.

Salah satu tool yang banyak digunakan untuk keperluan proses pada firewall adalah

iptables. Program iptables adalah program administratif untuk Filter Paket dan NAT ( Network

Address Translation). Untuk menjalankan fungsinya, iptables dilengkapi dengan tabel mangle,

nat dan filter .

NAT (SNAT dan DNAT)


Hal. 13131313|16

Salah satu kelebihan IPTABLES adalah untuk dapat memfungsikan komputer kita menjadi

gateway menuju internet. Teknisnya membutuhkan tabel lain pada IPTABLES selain ketiga tabel

diatas, yaitu tabel NAT

Gambar 6. SNAT dan DNAT

SNAT digunakan untuk mengubah alamat IP pengirim ( source IP address ). Biasanya SNAT

berguna untuk menjadikan komputer sebagai gateway menuju ke internet.

Misalnya komputer kita menggunakan alamat IP 192.168.0.1. IP tersebut adalah IP lokal.

SNAT akan mengubah IP lokal tersebut menjadi IP publik, misalnya 202.51.226.35. Begitu juga

sebaliknya, bila komputer lokal kita bisa di akses dari internet maka DNAT yang akan

digunakan.

Mangle pada IPTABLES banyak digunakan untuk menandai ( marking ) paket-paket untuk

di gunakan di proses-proses selanjutnya. Mangle paling banyak di gunakan untuk bandwidth

limiting atau pengaturan bandwidth.

Fitur lain dari mangle adalah kemampuan untuk mengubah nilai Time to Live (TTL) pada

paket dan TOS ( type of service ).

BAB 4

Mendesain Sistem Keamanan Jaringan

Metode Keamanan Jaringan

Dalam merencanakan suatu keamanan jaringan, ada beberapa metode yang dapat

ditetapkan, metode-metode tersebut adalah sebagai berikut :

1. Pembatasan akses pada suatu jaringan

Ada beberapa konsep dalam pembatasan akses jaringan, yakni sebagai berikut :

a. Internal Password Authentication

Password local untuk login ke sistem harus merupakan password yang baik serta

dijaga dengan baik. Pengguaan aplikasi shadow password akan sangat membantu.

b. Server Based password authentication

Termasuk dalam metoda ini misalnya sistem Kerberos server, TCP-wrapper, dimana

setiap service yang disediakan oleh server tertentu dibatasi dengan suatu daftar host

dan user yang boleh dan tidak boleh menggunakan service tersebut

c. Server-based token authentication

Metoda ini menggunakan authentication system yang lebih ketat, yaitu dengan

penggunaan token / smart card, sehingga untuk akses tertentu hanya bisa dilakukan

oleh login tertentu dengan menggunakan token khusus.

d. Firewall dan Routing Control


Hal. 14141414|16

Firewall melindungi host-host pada sebuah network dari berbagai serangan. Dengan

adanya firewall, semua paket ke sistem di belakang firewall dari jaringan luar tidak

dapat dilakukan langsung. Semua hubungan harus dilakukan dengan mesin firewall

2. Menggunakan Metode dan mekanisme tertentu

• Enkripsi

Salah satu cara pembatasan akses adalah dengan enkripsi. Proses enkripsi meng-encode

data dalam bentuk yang hanya dapat dibaca oleh sistem yang mempunyai kunci untuk

membaca data. Proses enkripsi dapat dengan menggunakan software atau hardware.

Hasil enkripsi disebut cipher. Cipher kemudian didekripsi dengan device dan kunci yang

sama tipenya (sama hardware/softwarenya, sama kuncinya). Dalam jaringan, sistem

enkripsi harus sama antara dua host yang berkomunikasi. Jadi diperlukan kontrol

terhadap kedua sistem yang berkomunikasi. Biasanya enkripsi digunakan untuk suatu

sistem yang seluruhnya dikontrol oleh satu otoritas

Terminologi Kriptografi

Kriptografi (cryptography) merupakan ilmu dan seni untuk menjaga pesan agar

aman. (Cryptography is the art and science of keeping messages secure. [40]) “Crypto”

berarti “secret” (rahasia) dan “graphy” berarti “writing” (tulisan) [3]. Para pelaku atau

praktisi kriptografi disebut cryptographers. Sebuah algoritma kriptografik (cryptographic

algorithm), disebut cipher, merupakan persamaan matematik yang digunakan untuk

proses enkripsi dan dekripsi. Biasanya kedua persamaan matematik (untuk enkripsi dan

dekripsi) tersebut memiliki hubungan matematis yang cukup erat.

Terminologi Enskripsi - Dekripsi

Proses yang dilakukan untuk mengamankan sebuah pesan (yang disebut

plaintext) menjadi pesan yang tersembunyi (disebut ciphertext) adalah enkripsi

(encryption). Ciphertext adalah pesan yang sudah tidak dapat dibaca dengan mudah.

Menurut ISO 7498-2, terminologi yang lebih tepat digunakan adalah “encipher”. Proses

sebaliknya, untuk mengubah ciphertext menjadi plaintext, disebut dekripsi

(decryption). Menurut ISO 7498-2, terminologi yang lebih tepat untuk proses ini adalah

“decipher”.

• Digital Signature

Digunakan untuk menyediakan authentication, perlindungan, integritas, dan non-

repudiation

• Algoritma Checksum/Hash

Digunakan untuk menyediakan perlindungan integritas, dan dapat menyediakan

authentication

• Satu atau lebih mekanisme dikombinasikan untuk menyediakan security service

3. Pemonitoran terjadwal terhadap jaringan

Dengan adanya pemantauan yang teratur, maka penggunaan sistem oleh yang tidak

berhak dapat dihindari / cepat diketahui. Untuk mendeteksi aktifitas yang tidak normal,

maka perlu diketahui aktifitas yang normal. Proses apa saja yang berjalan pada saat

aktifitas normal. Siapa saja yang biasanya login pada saat tersebut. Siapa saja yang

biasanya login diluar jam kerja. Bila terjadi keganjilan, maka perlu segera diperiksa. Bila

hal-hal yang mencurigakan terjadi, maka perlu dijaga kemungkinan adanya intruder.

Metodologi keamanan informasi bertujuan untuk meminimalisasi kerusakan dan

memelihara keberlangsungan bisnis dengan memerhatikan semua kemungkinan kelemahan dan

ancaman terhadap aset informasi. Untuk menjamin keberlangsungan bisnis, metodologi

keamanan informasi berusaha memastikan kerahasiaan, integritas dan ketersediaan aset

informasi internal. Hal ini termasuk penerapan metode dan kontrol manajemen risiko. Pada


Hal. 15151515|16

dasarnya, yang dibutuhkan adalah rencana yang bagus dan meliputi aspek administratif, fisik,

serta teknis dari keamanan informasi.

Beberapa Langkah dalam perancangan Sistem dengan memperhatikan aspek Keamanan

Jaringan :

1. Menentukan topologi jaringan yang akan digunakan.

2. Menentukan kebijakan atau policy .

3. Menentukan aplikasi – aplikasi atau servis-servis apa saja yang akan berjalan.

4. Menentukan pengguna-pengguna mana saja yang akan dikenakan oleh satu atau lebih

aturan firewall.

5. Menerapkan kebijakan, aturan, dan prosedur dalam implementasi firewall.

6. Sosialisasi kebijakan, aturan, dan prosedur yang sudah diterapkan.

Arsitektur sistem IDS

Intrusion Detection System (IDS) pada implementasi tugas akhir ini tediri dari komponen

komponen / modul :

1. Sensor modul

2. Analyzer modul

3. Database system

Gambar 7. Diagram Blok IDS

Sensor berfungsi untuk mengambil data dari jaringan. Sensor merupakan bagian dari

sistem deteksi dini dari IDS. Untuk itu digunakan suatu program yang berfungsi sebagai

intrusion detector dengan kemampuan packet logging dan analisis traffik yang realtime.

Analyzer berfungsi untuk analisa paket yang lewat pada jaringan. Informasi dari analyzer yang

akan menjadi input bagi sistem lainnya.

Salah satu perangkat lunak yang sering digunakan pada IDS adalah snort, karena snort

mempunyai kemampuan menjadi sensor dan analyzer serta sesuai untuk diterapkan pada

rancangan sistem keamanan.

Arsitektur Sistem AIRIDS Automatic Interactive Reactive Intrusion Detection

System

AIRIDS merupakan suatu metode kemanan jaringan yang bertujuan untuk membentuk

suatu arsitektur sistem keamanan yang terintegrasi antara Intrusion Detection System (IDS),

Firewall System, Database System dan Monitoring System.

komponen-komponen / modul AIRIDS berupa :

1. Intrusion detection system (IDS)

a. Sensor modul

b. Analyzer modul

2. Database system

3. Monitoring system

4. Firewall system

5. SMS system (optional)


Hal. 16161616|16

Gambar 8. Diagram Blok AIRIDS

81329719 Modul KK15 Mendesain Sistem Keamanan Jaringan

Documents

Transcript of 81329719 Modul KK15 Mendesain Sistem Keamanan Jaringan