UlasTKJ - Sabtu pagi ini selayaknya menjadi hari yang membuat mood kita semuaya, bagi seorang pengajar hari ini adalah hari terakhir mengajar (kecuali untuk sekolah yang telah menerapkan
Five Day School) dan menjelang libur esok hari. pada kesempatan kali ini saya akan coba bagikan materi tentang Sistem Keamanan Jaringan yang saya dapatkan dari materi Pembekalan PLPG 2017 yang kebetulan saya terdaftar menjadi peserta.
Baiklah kalau begitu kita langsung saja ke materi sistem keamanan jaringan komputer
Menganalisis kemungkinan potensi ancaman dan serangan terhadap keamanan jaringan
Jaringan komputer merupakan beberapa komputer dalam skala kecil maupun luas yang saling tersambung atau berhubungan. Saat komputer tersebut berhubungan dalam jaringan, maka dipastikan akan ada ancaman atau serangan yang akan terjadi sehingga data tidak lagi aman. Akibat ancaman atau serangan tersebut maka akan mengakibatkan data/ file penting akan dimanfaatkan oleh orang yang tidak bertanggung jawab, Karena adanya akibat yang sangat fatal, sehingga diharuskan untuk berhati-hati dalam melakukan komunikasi melalui jaringan komputer.
Ancaman atau serangan yang bisa terjadi dalam jaringan komputer terdiri dari:
1. Ancaman / serangan fisik
Ancaman atau serangan terhadap fisik sangat sering terjadi dalam serangan terhadap jaringan komputer sehingga keamanan fisik sangat sekali dibutuhkan. Kemanan fisik berupa perlindungan staff, perangkat keras, program dan data yang dapat mengakibatkan kerusakan bahkan menimbulkan kerugian.
2. Ancaman / serangan logic
Serangan (gangguan) terhadap keamanan dapat dikategorikan dalam empat
kategori utama :
- Interruption. Suatu aset dari suatu sistem diserang sehingga menjadi tidak tersedia atau tidak dapat dipakai oleh yang berwenang. Contohnya adalah perusakan/modifikasi terhadap piranti keras atau saluran jaringan.
- Interception. Suatu pihak yang tidak berwenang mendapatkan akses pada suatu aset. Pihak yang dimaksud bisa berupa orang, program, atau sistem yang lain. Contohnya adalah penyadapan terhadap data dalam suatu jaringan.
- c. Modification. Suatu pihak yang tidak berwenang dapat melakukan perubahan terhadap suatu aset. Contohnya adalah perubahan nilai pada file data, modifikasi program sehingga berjalan dengan tidak semestinya, dan modifikasi pesan yang sedang ditransmisikan dalam jaringan.
- Fabrication. Suatu pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contohnya adalah pengiriman pesan palsu kepada orang lain.
Menganalisis sistem keamanan jaringan yang diperlukan
Keamanan jaringan komputer merupakan proses untuk mencegah dan mengidentifikasi penggunaan yang tidak sah yang dilakukan melalui jaringan. Keamanan dilakukan untuk mencegah bahkan menghentikan pengguna yang tidak sah (penyusup) untuk mengakses setiap bagian dari sistem jaringan komputer. Tujuan dari keamanan jaringan komputer adalah untuk mengantisipasi resiko
serangan berupa bentuk ancaman fisik maupun logik yang mengganggu aktivitas baik langsung ataupun tidak langsung yang sedang berlangsung dalam jaringan komputer. Sistem kemanan jaringan harus menerapkan aspek keamanan yaitu berupa:
- Confidentiality, Mensyaratkan bahwa informasi (data) hanya bisa diakses oleh pihak yang memiliki wewenang.
- Integrity, Mensyaratkan bahwa informasi hanya dapat diubah oleh pihak yang memiliki wewenang.
- Availability, Mensyaratkan bahwa informasi tersedia untuk pihak yang memiliki wewenang ketika dibutuhkan.
- Authentication, Mensyaratkan bahwa pengirim suatu informasi dapat diidentifikasi dengan benar dan ada jaminan bahwa identitas yang didapat tidak palsu.
- Nonrepudiation, Mensyaratkan bahwa baik pengirim maupun penerima informasi tidak dapat menyangkal pengiriman dan penerimaan pesan.
Menerapkan Langkah-Langkah Penguatan Host (Host Hardening)
Host hardening yaitu prosedur untuk meminimalkan ancaman/serangan yang datang baik dengan cara mengatur konfigurasi atau menonaktifkan aplikasi dan layanan yang tidak diperlukan.
Hardening system dapat disimpulkan sebagai lngkah awal untuk bertahan dan mengevaluasi dari serangan yang dilakukan terhadap sistem operasi (komputer), hal ini meliputi:
- Pengecekan setelah proses instalasi awal
- Pengoptimalan system operasi sebelum dihubungkan ke internet
- Pengecekan secara rutin apabila perlu dilakukan patching (tambahan) terhadap fasilitas pendukung yang ada didalam system operasi dan aplikasinya
- Penghapusan terhadap kesalahan yang ditemukan
Selain itu juga hardening system dapat dilakukan melalui dasar penguatan host yaitu:
- Memasang firewall yang berfungsi untuk mengizinkan lalulintas atau paket data yang dianggap aman dan mencegah lalulintas data yang dianggap tidak aman. Secara umum firewall akan memisahkan public network dan private network. Firewall bekerja dengan mengamati paket IP (internet Protocol) yang melewatinya
- Enkripsi / Dekripsi yaitu salah satu mekanisme untuk meningkatkan keamanan data dimana data-data yang dikirim akan diubah sedemikian rupa sehingga tidak mudah disadap.
- Logs yang berfungsi untuk melihat aktifitas yang terjadi dan kemungkinan besar dapat melakukan antisipasi apabila terlihat beberapa aktifitas yang mencurigakan.
- IDS (intrusion Detection System) yaitu system yang akan mendeteksi jenis serangan dari “signature” atau “pattern” pada aktifitas jaringan bahkan dapat melakukan blocking terhadap traffic yang mencurigakan.
- Anti Virus merupakan software untuk mengatasi virus yang menyerang keamanan system jaringan komputer.
- Honeypot bertujuan untuk melihat teknik yang digunakan oleh attacker untuk dapat masuk kedalam system.
Menganalisis Firewall Pada Host dan Server Menggunakan IP Tables
Firewall dapat digunakan untuk melindungi jaringan anda dari serangan jaringan oleh pihak luar, namun firewall tidak dapat melindungi dari serangan yang tidak melalui firewall dan serangan dari seseorang yang berada di dalam jaringan anda, serta firewall tidak dapat melindungi anda dari program-program aplikasi yang ditulis dengan buruk.
Secara umum, firewall biasanya menjalankan fungsi:
Analisa dan filter paket
Data yang dikomunikasikan lewat protokol di internet, dibagi atas paket-paket. Firewall dapat menganalisa paket ini, kemudian memperlakukannya sesuai kondisi tertentu. Misal,jika ada paket a maka akan dilakukan b. Untuk filter paket, dapat dilakukan di Li nux tanpa program tambahan.
Bloking isi dan protocol
Firewall dapat melakukan bloking terhadap isi paket, misalnya berisi applet Jave, ActiveX, VBScript, Cookie.
Autentikasi koneksi dan enkripsi
Firewall umumnya memiliki kemampuan untuk menjalankan enkripsi dalam autentikasi identitas user, integritas dari satu session, dan melapisi transfer data dari intipan pihak lain. Enkripsi yang dimaksud termasuk DES, Triple DES, SSL, IPSEC, SHA, MD5, BlowFish, IDEA
dan sebagainya.
IPTables adalah paket aplikasi (program berbasis Linux) yang saat ini sudah menjadi platform untuk membuat (mensetup) firewall hampir di kebanyakan distro Linux. Dengan menggunakan IPtables seorang pengguna/ admin jaringan bisa mengatur lalulintas paket data yang keluar masuk pada router atau server yang menjadi gateway (pintu gerbang)
Secara konseptual, terdapat dua macam firewall yaitu :
1. Network level
Firewall network level mendasarkan keputusan mereka pada alamat sumber, alamat tujuan dan port yang terdapat dalam setiap paket IP. Network level firewall sangat cepat dan sangat transparan bagi pemakai. Application level firewall biasanya adalah host yang berjalan sebagai proxy server, yang tidak mengijinkan lalu lintas antar jaringan, dan melakukan logging dan auditing lalu lintas yang melaluinya.
2. Application level.
Application level firewall menyediakan laporan audit yang lebih rinci dan cenderung lebih memaksakan model keamanan yang lebih konservatif daripada network level firewall. Firewall ini bisa dikatakan sebagai jembatan. Application-Proxy Firewall biasanya berupa program khusus, misal squid.
Firewall IPTables packet filtering memiliki tiga aturan (policy), yaitu:
- INPUT , Mengatur paket data yang memasuki firewall dari arah intranet maupun internet. kita bisa mengelola komputer mana saja yang bisa mengakses firewall. misal: hanya komputer IP 192.168.1.100 yang bisa SSH ke firewall dan yang lain tidak boleh.
- OUTPUT, Mengatur paket data yang keluar dari firewall ke arah intranet maupun internet. Biasanya output tidak diset, karena bisa membatasi kemampuan firewall itu sendiri.
- FORWARD, Mengatur paket data yang melintasi firewall dari arah internet ke intranet maupun sebaliknya. Policy forward paling banyak dipakai saat ini untuk mengatur koneksi internet berdasarkan port, mac address dan alamat IP.
Selain aturan (policy) firewall iptables juga mempunyai parameter yang disebut dengan TARGET, yaitu status yang menentukkan koneksi di iptables diizinkan lewat atau tidak. TARGET ada tiga macam yaitu:
ACCEPT
Akses diterima dan diizinkan melewati firewall
REJECT
Akses ditolak, koneksi dari komputer klien yang melewati firewall langsung terputus, biasanya terdapat pesan "Connection Refused". Target Reject tidak menghabiskan bandwidth internet karena akses langsung ditolak, hal ini berbeda dengan DROP.
DROP
Akses diterima tetapi paket data langsung dibuang oleh kernel, sehingga pengguna tidak mengetahui kalau koneksinya dibatasi oleh firewall, pengguna melihat seakan-akan server yang dihubungi mengalami permasalahan teknis. Pada koneksi internet yang sibuk dengan trafik tinggi Target Drop sebaiknya jangan digunakan. antara jaringan perusahaan/lokal (LAN) dengan jaringan publik (WAN/internet).
Menguji Keamanan Jaringan, Host dan Server
Pengujian dengan melakukan serangan sangatlah penting untuk dilakukan terhadap host/ server didalam jaringan agar kita mengetahui kelemahan dan kekurangan dalam menjaga keamanan jaringan komputer. Berikut ini adalah beberapa software untuk pengujian keamanan jaringan, host dan server:
1. Wireshark – Network Traffic Analyzer
Wireshark adalah tools untuk menganalisis lalu lintas paket data di jaringan. Lazim dipanggil sebagi SNIFFER (pengintai). Sniffer adalah tools yang berkemampuan menangkap paket data dalam jaringan Wireshark mampu mendecode paket data dalam banyak jenis protokol.
2. Nessus – Remote Network Security Auditor
Nessus adalah scanner untuk mengetahui celah keamanan komputer, baik komputer anda atau komputer siapapun. Kemampuannya yang lengkap sebagai Vulnerability Scanner adalah nyata karena didukung dengan fitur high speed discovery, configuration auditing, asset profiling, sensitive data discovery, dan vulnerability analysis of our security posture.
3. NMAP – The Network Mapper
NMAP adalah scanner untuk mengetahui komputer-komputer (hosts) apa saja yang sedang terhubung dalam sebuah jaringan, apa service (aplikasi) yang sedang dijalankan komputer itu (host), apa sistem operasi komputer yang dipakai, apa tipe firewall yang digunakan, dan karakteristik lainnya dari komputer.
4. Kismet
Kismet adalah detektor jaringan wireless, sniffer, dan sistem pendeteksi penyusup pada komputer. Kismet dapat bekerja pada beragam tipe wireless card, dengan syarat wireless card kita memiliki fitur MODE MONITOR. Kismet dapat melakukan sniffing pada traffic-traffic 802.11b, 802.11a, dan 802.11g.
5. Netcat – TCP/IP swiss army knife
Netcat adalah sebuah tools simpel dari mesin linux yang berkemampuan membaca dan menuliskan paket-paket data di jaringan, baik yang berprotokol TCP maupun UDP.10.6 Menganalisis Sistem Pendeteksi dan Penahan Ancaman/serangan yang masuk ke Jaringan . Sebuah system jaringan selalu memiliki kelemahan dan rentan terhadap serangan, maka dilakukan system pendeteksi dan penahan ancaman/ serangan agar tidak masuk ke dalam jaringan.
Untuk mengatasi tersebut IDS (Intrusion Detection System) adalah sebuah system yang melakukan pengawasan terhadap traffic jaringan dan pengawasan terhadap kegiatan-kegiatan yang mencurigakan didalam system jaringan. Snort adalah perangkat Intrusion Detection System yang dapat mendeteksi dan mencegah adanya suatu serangan. Kemampuan tools ini adalah yang tercanggih dalam mendeteksi attacks dan probes dalam network, seperti buffer overflows, stealth port scans, CGI attacks, SMB probes, dan lain-lain.Clam antivirus adalah antivirus yang didesain untuk mesin Linux. Antivirus ini berkemampuan melakukan scanning pada: format Zip, RAR, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS, seluruh format file mail, seluruh format file dokument, termasuk file Microsoft Office dan file Mac Office seperti HTML, RTF dan PDF.Firestarter adalah tools lengkap mesin Linux yang berfungsi sebagai firewall. Memiliki kemampuan real-time dalam menunjukkan probing penyerang pada mesin komputer.
Membedakan fungsi dan tatacara pengamanan server-server layanan pada jaringan (email, webserver, ftp)
Pengamanan sistem jaringan komputer terbagi menjadi dua jenis yaitu pencegahan (preventif) dan pengobatan (recovery). Pengamanan sistem jaringan komputer dapat dilakukan melalui beberapa layer yang berbeda. Misalnya di layer “transport”, dapat digunakan “Secure Socket Layer” (SSL). Metoda ini umum digunakan untuk server web.
Beberapa pengamanan server layanan pada jaringan yaitu:
1. Mengatur Akses (access control)
Salah satu cara yang umum digunakan untuk mengamankan informasi adalah dengan mengatur akses ke informasi melalui mekanisme “authentication” dan “access control”. Implementasi dari ekanisme ini antara lain dengan menggunakan “password”. Setelah proses authentication, pengguna diberikan akses sesuai dengan level yang dimilikinya melalui sebuah access control. Access control ini biasanya dilakukan dengan mengelompokkan pemakai dalam “group”. Ada group yang berstatus pemakai biasa, ada tamu, dan ada juga administrator atau super user yang memiliki kemampuan lebih dari group lainnya.
2. Menutup Service yang tidak digunakan
Seringkali sistem (perangkat keras dan/atau perangkat lunak) diberikan dengan
beberapa servis dijalankan sebagai default. Untuk mengamankan sistem, service yang tidak
diperlukan di server (komputer) tersebut sebaiknya dimatikan.
3. Memasang Proteksi
Proteksi ini dapat berupa filter (secara umum) dan yang lebih spesifik adalah
firewall. Filter dapat digunakan untuk memfilter e-mail, informasi, akses, atau bahkan
dalam level packet.
4. Mengamati Berkas Log
Berkas log ini sangat berguna untuk mengamati penyimpangan yang terjadi.
Kegagalan untuk masuk ke sistem (login), misalnya, tersimpan di dalam berkas log. Untuk
itu para administrator diwajibkan untuk rajin memelihara dan menganalisa berkas log yang
dimilikinya.
5. Backup Secara Rutin
Untuk sistem yang sangat esensial, secara berkala perlu dibuat backup yang
letaknya berjauhan secara fisik. Hal ini dilakukan untuk menghindari hilangnya data akibat
bencana seperti kebakaran, banjir, dan lain sebagainya. Apabila data-data dibackup akan
tetapi diletakkan pada lokasi yang sama, kemungkinan data akan hilang jika tempat yang
bersangkutan mengalami bencana seperti kebakaran.
6. Penggunaan Enkripsi
Salah satau mekanisme untuk meningkatkan keamanan adalah dengan
menggunakan teknologi enkripsi. Data-data yang anda kirimkan diubah sedemikian rupa
sehingga tidak mudah disadap. Banyak servis di Internet yang masih menggunakan “plain
text” untuk authentication, seperti penggunaan pasangan user id dan password. Informasi
ini dapat dilihat dengan mudah oleh program penyadap atau pengendus (sniffer).
Menerapkan Tata Cara Pengamanan Komunikasi Data Menggunakan Teknik
Kriptografi
Kriptografi merupakan seni untuk penyandian data yang bertujuan untuk pengamanan data. Proses dalam kriptografi terdiri dari enkripsi dan dekripsi. Enkripsi yaitu proses mengubah data asli (plainteks) menjadi data sandi (chiperteks) sedangkan dekripsi yaitu proses mengubah data sandi (chiperteks) menjadi data asli (plainteks).
Terdapat 4 tujuan mendasar dalam ilmu kriptografi, yaitu:
- Kerahasiaan, adalah layanan yang digunakan untuk menjaga isi dari informasi dari siapapun kecuali yang memiliki otoritas.
- Integritas data, adalah berhubungan dengan penjagaan dari perubahan data secara tidak sah. Untuk menjaga integritas data, sistem harus memiliki kemampuan untuk mendeteksi manipulasi data oleh pihak-pihak yang tidak berhak, antara lain penyisipan, penghapusan, dan pensubsitusian data lain kedalam data yang sebenarnya.
- Autentikasi, adalah berhubungan dengan identifikasi, baik secara kesatuan sistem maupun informasi itu sendiri. Dua pihak yang saling berkomunikasi harus saling memperkenalkan diri. Informasi yang dikirimkan melalui kanal harus diautentikasi keaslian, isi datanya, waktu pengiriman, dan lain-lain.
- Non-repudiasi, adalah membuktikan suatu pesan berasal dari seseorang, apabila ia menyangkal mengirim pesan tersebut.
Ada beberapa metode dalam kriptografi :
- Substitution Ciphers, metode mengganti data menjadi karakter atau simbol tertentu. Misalnya “Jatuh bangun” menjadi “Jwtxh bwngxn”
- Transposition Ciphers, metode mengacak huruf atau bagian kata agar menjadi lebih rumit. Misalnya “Jatuh bangun” menjadi “Tuhjah ngunba”
- Steganography, menyembunyikan pesan aslinya kemudian memodifikasi dengan data yang lain agar tidak diketahui pesan aslinya. Misalnya “Jatuh bangun” menjadi"Sangat jatuh sekali bangun”
Membangun sistem monitoring server (IPTables, MRTG, Nagios, Cacti, Acidlab) Dalam pengelolaan sebuah server dibutuhkan seseorang yang memiliki kemampuan serta tanggung jawab yang tinggi dalam menjamin server tersebut dapat melayani komputer client dengan baik. Untuk itu sangat dibutuhkan sekali system yang dapat memonitoring server. Berikut aplikasi untuk monitoring server:
1. Zenoss
Aplikasi Zenos dapat digunakan untuk mengamati device komputer , Network Device (Switch,Router dll) yang sedang aktif mulai dari antarmuka, proses, service, file system, dan routing. Semua komputer yang ada dalam jaringan dapat dimonitor secara bersamaan baik yang dijalankan pada platform Windows dan Linux .Semua Aktivitas devices dapat ditampilkan dalam bentuk text maupun dalam bentuk grafik, Alett Messages dapat di kirimkan melalui email atau sms .
2. Zabbix
Zabbix adalah salah satu software gratis yang digunakan untuk memonitor jaringan dan situs dari berbagai network services, server dan network hardware lainnya. Keunggulan yang dimiliki oleh zabbix adalah software ini merupakan open source yang dapat dengan mudah didapatkan dan gratis. Selain itu, zabbix juga memiliki GUI yang bagus sehingga mudah dimengerti oleh penggunanya menyediakan visualisasi seperti map dan grafik sehingga juga memudahkan kita dalam pengaturan administrasi maupun systemnya (flexibel).
Dengan semua keunggulan yang dimiliki oleh ZABBIX, software ini dapat memainkan peranan yang penting dalam memonitor infrastructure jaringan dan dapat mambantu para system administrator dalam melakukan pekerjaannya.
3. Cacti
Cacti menyimpan semua data/informasi yang diperlukan untuk membuat grafik dan engumpulkannya dengan database MySQL. Cacti adalah salah satu aplikasi open source yang menrupakan solusi pembuatan grafik network yang lengkap yang didesign untuk memanfaatkan kemampuan fungsi RRDTool sebagai peyimpanan data dan pembuatan grafik. Cacti menyediakan pengumpulan data yang cepat, pola grafik advanced, metoda perolehan multiple data, dan fitur pengelolaan user. Dengan menggunakan cacti kita dapat memonitor trafik yang mengalir pada sebuah server.
4. Nagios
Nagios adalah Tools network monitoring system opensource yang mudah digunakan. Nagios awalnya didesign untuk berjalan pada sistem operasi Linux, namun dapat juga berjalan dengan baik hampir disemua sistem operasi unix.
5. Munin
Munin merupakan aplikasi monitoring sistem atau jaringan yang menghadirkan output melalui sebuah web interface. Munin menekankan kepada kemampuan plug-and-play yang mudah. Dengan menggunakan munin, kita bisa dengan mudah memonitor performa sistem atau jaringan atau pun SAN (Storage Area Network).
Demikian ulasan yang bisa saya sampaikan kali ini semoga bermanfaat khususnya bagi saya pribadi umumnya bagi sahabat semua. Terima kasih telah berkunjung, jangan lupa jadikan UlasTKJ sebagai referensi utama dan pertama anda. "berkah berbagi".
