Sistem Keamanan Jaringan Komputer

UlasTKJ - Sabtu pagi ini selayaknya menjadi hari yang membuat mood kita semuaya, bagi seorang pengajar hari ini adalah hari terakhir mengajar (kecuali untuk sekolah yang telah menerapkan Five Day School) dan menjelang libur esok hari. pada kesempatan kali ini saya akan coba bagikan materi tentang Sistem Keamanan Jaringan yang saya dapatkan dari materi Pembekalan PLPG 2017 yang kebetulan saya terdaftar menjadi peserta.

Baiklah kalau begitu kita langsung saja ke materi sistem keamanan jaringan komputer

Menganalisis kemungkinan  potensi ancaman dan serangan terhadap keamanan jaringan

Jaringan komputer merupakan beberapa komputer dalam skala kecil maupun luas  yang saling tersambung atau berhubungan. Saat komputer tersebut berhubungan dalam  jaringan, maka dipastikan akan ada ancaman  atau serangan yang akan terjadi sehingga data  tidak lagi aman. Akibat ancaman atau serangan tersebut maka akan mengakibatkan data/ file penting akan dimanfaatkan oleh orang yang tidak bertanggung jawab, Karena adanya akibat yang sangat fatal, sehingga diharuskan untuk berhati-hati dalam melakukan komunikasi melalui jaringan komputer.

Ancaman atau serangan yang bisa terjadi dalam jaringan komputer terdiri dari:

1.  Ancaman / serangan fisik

Ancaman atau serangan terhadap fisik sangat sering terjadi dalam serangan terhadap jaringan komputer sehingga keamanan fisik sangat sekali dibutuhkan. Kemanan fisik berupa perlindungan staff, perangkat keras, program dan data yang dapat mengakibatkan kerusakan bahkan menimbulkan kerugian.

2.  Ancaman / serangan logic

Serangan  (gangguan) terhadap keamanan dapat dikategorikan dalam empat

kategori utama :

• Interruption. Suatu aset dari suatu sistem diserang sehingga menjadi tidak tersedia atau tidak dapat dipakai oleh yang berwenang. Contohnya adalah  perusakan/modifikasi terhadap piranti keras atau saluran jaringan. 
•  Interception. Suatu pihak yang tidak berwenang mendapatkan akses pada suatu aset. Pihak yang dimaksud bisa berupa orang, program, atau sistem yang lain. Contohnya adalah penyadapan terhadap data dalam suatu jaringan.
• c.  Modification. Suatu pihak yang tidak berwenang dapat melakukan perubahan terhadap suatu aset. Contohnya adalah perubahan nilai pada file data, modifikasi program sehingga berjalan dengan tidak semestinya, dan modifikasi pesan yang sedang ditransmisikan dalam jaringan.
•  Fabrication. Suatu pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contohnya adalah pengiriman pesan palsu kepada orang lain.

Menganalisis sistem keamanan jaringan yang diperlukan

Keamanan jaringan komputer merupakan proses untuk mencegah dan  mengidentifikasi penggunaan yang tidak sah yang dilakukan melalui jaringan. Keamanan  dilakukan untuk mencegah bahkan menghentikan pengguna yang tidak sah (penyusup)  untuk  mengakses setiap bagian dari sistem jaringan komputer. Tujuan dari keamanan jaringan komputer adalah untuk mengantisipasi resiko

serangan berupa bentuk ancaman fisik maupun logik  yang mengganggu aktivitas baik  langsung ataupun tidak langsung yang sedang berlangsung dalam  jaringan komputer.  Sistem kemanan jaringan harus menerapkan aspek keamanan yaitu berupa:

• Confidentiality, Mensyaratkan bahwa informasi (data) hanya bisa diakses oleh pihak yang memiliki wewenang.
• Integrity, Mensyaratkan bahwa informasi hanya dapat diubah oleh pihak yang memiliki wewenang.
• Availability, Mensyaratkan bahwa informasi  tersedia untuk pihak yang memiliki  wewenang ketika dibutuhkan.
• Authentication, Mensyaratkan bahwa pengirim suatu informasi dapat diidentifikasi dengan benar dan ada jaminan bahwa identitas yang didapat tidak palsu.
• Nonrepudiation, Mensyaratkan bahwa baik  pengirim maupun penerima informasi tidak dapat menyangkal pengiriman dan penerimaan pesan.

Menerapkan Langkah-Langkah Penguatan Host (Host Hardening)

Host hardening  yaitu prosedur untuk meminimalkan ancaman/serangan yang  datang baik dengan cara  mengatur konfigurasi atau menonaktifkan aplikasi dan layanan  yang tidak diperlukan.

Hardening system  dapat disimpulkan sebagai lngkah awal untuk bertahan dan   mengevaluasi dari serangan yang dilakukan terhadap sistem operasi (komputer), hal ini  meliputi:

1. Pengecekan setelah proses instalasi awal
2. Pengoptimalan system operasi sebelum dihubungkan ke internet
3. Pengecekan secara rutin apabila perlu dilakukan patching (tambahan) terhadap fasilitas pendukung yang ada didalam system operasi dan aplikasinya
4. Penghapusan terhadap kesalahan yang ditemukan

Selain itu juga hardening system dapat dilakukan melalui dasar penguatan host yaitu:

1. Memasang firewall yang berfungsi untuk mengizinkan lalulintas atau paket data  yang dianggap aman dan mencegah lalulintas data yang dianggap tidak aman.  Secara umum firewall akan memisahkan public network dan private network.  Firewall bekerja dengan mengamati paket IP (internet Protocol) yang melewatinya
2. Enkripsi / Dekripsi yaitu salah satu mekanisme untuk meningkatkan keamanan data  dimana data-data yang dikirim akan diubah sedemikian rupa sehingga tidak mudah  disadap.
3. Logs yang berfungsi untuk melihat aktifitas yang terjadi dan kemungkinan besar  dapat melakukan antisipasi apabila terlihat beberapa aktifitas yang mencurigakan.
4. IDS (intrusion Detection System) yaitu system yang akan mendeteksi jenis serangan  dari “signature” atau “pattern” pada aktifitas jaringan bahkan dapat melakukan  blocking terhadap traffic yang mencurigakan. 
5. Anti Virus merupakan software untuk mengatasi virus yang menyerang keamanan  system jaringan komputer. 
6. Honeypot bertujuan untuk melihat teknik yang digunakan oleh attacker untuk  dapat masuk kedalam system.

Menganalisis Firewall Pada Host dan Server Menggunakan IP Tables

Firewall dapat digunakan untuk melindungi jaringan anda dari serangan jaringan  oleh pihak luar, namun firewall tidak dapat melindungi dari serangan yang tidak melalui  firewall dan serangan dari seseorang yang berada di dalam jaringan anda, serta firewall  tidak dapat melindungi anda dari program-program aplikasi yang ditulis dengan buruk.

Secara umum, firewall biasanya menjalankan fungsi:

  Analisa dan filter paket 

Data yang dikomunikasikan lewat protokol di internet, dibagi atas paket-paket. Firewall dapat menganalisa paket ini, kemudian memperlakukannya sesuai kondisi tertentu. Misal,jika ada paket a maka akan dilakukan b. Untuk filter paket, dapat dilakukan di Li nux tanpa program tambahan.

  Bloking isi dan protocol

Firewall dapat melakukan bloking terhadap isi paket, misalnya berisi applet Jave, ActiveX, VBScript, Cookie.

  Autentikasi koneksi dan enkripsi

Firewall umumnya memiliki kemampuan untuk menjalankan enkripsi dalam autentikasi identitas user, integritas dari satu session, dan melapisi transfer data dari intipan pihak lain. Enkripsi yang dimaksud termasuk DES, Triple DES, SSL, IPSEC, SHA, MD5, BlowFish, IDEA

dan sebagainya.

IPTables adalah paket aplikasi (program berbasis Linux) yang saat ini sudah menjadi platform untuk membuat (mensetup) firewall hampir di kebanyakan distro Linux. Dengan menggunakan IPtables seorang pengguna/ admin jaringan bisa mengatur lalulintas paket data yang keluar masuk pada router atau server yang menjadi gateway (pintu gerbang)

Secara konseptual, terdapat dua macam firewall yaitu :

1.  Network level

Firewall network level mendasarkan keputusan mereka pada alamat sumber, alamat  tujuan dan port yang terdapat dalam setiap paket IP. Network level firewall sangat cepat  dan sangat transparan bagi pemakai. Application level   firewall biasanya adalah host yang  berjalan sebagai proxy server, yang tidak mengijinkan   lalu lintas antar jaringan, dan melakukan logging dan auditing lalu lintas yang melaluinya.

2.  Application level. 

Application level firewall menyediakan laporan audit yang lebih rinci dan cenderung lebih memaksakan model keamanan yang lebih konservatif daripada network level firewall. Firewall ini bisa dikatakan sebagai jembatan. Application-Proxy Firewall biasanya berupa program khusus, misal squid.

Firewall IPTables packet filtering memiliki tiga aturan (policy), yaitu:

• INPUT , Mengatur paket data yang memasuki firewall dari arah intranet maupun internet. kita bisa mengelola komputer  mana saja yang bisa mengakses firewall. misal: hanya komputer IP 192.168.1.100 yang bisa SSH ke firewall dan yang lain tidak boleh.
• OUTPUT, Mengatur paket data yang keluar dari firewall ke arah intranet maupun internet. Biasanya output tidak diset, karena bisa membatasi kemampuan firewall itu sendiri.
• FORWARD, Mengatur paket data yang melintasi firewall   dari arah internet ke intranet maupun sebaliknya. Policy forward paling banyak dipakai saat ini untuk mengatur koneksi internet berdasarkan port, mac address dan alamat IP.  

Selain aturan (policy) firewall iptables   juga mempunyai parameter yang disebut dengan TARGET, yaitu status yang menentukkan koneksi di iptables diizinkan lewat atau tidak. TARGET ada tiga macam yaitu:

  ACCEPT

Akses diterima dan diizinkan melewati firewall

  REJECT

Akses ditolak, koneksi dari komputer klien   yang melewati firewall langsung terputus, biasanya terdapat pesan "Connection Refused". Target Reject tidak menghabiskan bandwidth internet karena akses langsung ditolak, hal ini berbeda dengan DROP.

  DROP

Akses diterima tetapi paket data langsung dibuang oleh kernel, sehingga pengguna tidak mengetahui kalau koneksinya dibatasi oleh  firewall, pengguna melihat seakan-akan server yang dihubungi mengalami permasalahan teknis. Pada koneksi internet yang sibuk dengan trafik tinggi Target Drop sebaiknya jangan digunakan. antara jaringan perusahaan/lokal (LAN) dengan jaringan publik (WAN/internet).

Menguji Keamanan Jaringan, Host dan Server

Pengujian dengan melakukan serangan sangatlah penting untuk dilakukan terhadap host/ server didalam jaringan agar kita mengetahui kelemahan dan kekurangan dalam menjaga keamanan jaringan komputer. Berikut ini adalah beberapa software untuk pengujian keamanan jaringan, host dan server:

1.  Wireshark – Network Traffic Analyzer

Wireshark adalah tools untuk menganalisis lalu lintas paket data di jaringan. Lazim dipanggil sebagi SNIFFER (pengintai). Sniffer adalah tools yang berkemampuan menangkap paket data dalam jaringan Wireshark mampu mendecode paket  data dalam banyak jenis protokol.

2.  Nessus – Remote Network Security Auditor

Nessus adalah scanner untuk mengetahui celah keamanan komputer, baik komputer anda atau komputer siapapun. Kemampuannya yang lengkap sebagai Vulnerability Scanner adalah nyata karena didukung dengan fitur high speed discovery, configuration auditing, asset profiling, sensitive data discovery, dan vulnerability analysis of our security posture.

3.  NMAP – The Network Mapper

NMAP adalah scanner untuk mengetahui komputer-komputer (hosts) apa saja yang sedang terhubung dalam sebuah jaringan, apa service (aplikasi) yang sedang dijalankan komputer itu (host), apa sistem operasi komputer yang dipakai, apa tipe firewall yang digunakan, dan karakteristik lainnya dari komputer.

4.  Kismet 

Kismet adalah detektor jaringan wireless, sniffer, dan sistem pendeteksi penyusup pada komputer. Kismet dapat bekerja pada beragam tipe wireless card, dengan syarat wireless card kita memiliki fitur MODE MONITOR. Kismet dapat melakukan sniffing pada traffic-traffic 802.11b, 802.11a, dan 802.11g.

5.  Netcat – TCP/IP swiss army knife

Netcat adalah sebuah tools simpel dari mesin linux yang berkemampuan membaca dan menuliskan paket-paket data di jaringan, baik yang berprotokol TCP maupun UDP.10.6 Menganalisis Sistem Pendeteksi dan Penahan Ancaman/serangan yang masuk ke Jaringan . Sebuah system jaringan selalu memiliki kelemahan dan rentan terhadap serangan, maka dilakukan system pendeteksi dan penahan ancaman/ serangan agar tidak masuk ke dalam jaringan.

Untuk mengatasi tersebut IDS (Intrusion Detection System) adalah sebuah system  yang melakukan pengawasan terhadap traffic jaringan dan pengawasan terhadap kegiatan-kegiatan yang mencurigakan didalam system jaringan. Snort adalah perangkat Intrusion Detection System yang dapat mendeteksi dan mencegah adanya suatu serangan. Kemampuan  tools ini adalah yang tercanggih dalam mendeteksi attacks dan probes dalam network, seperti buffer overflows, stealth port scans, CGI attacks, SMB probes, dan lain-lain.Clam antivirus adalah antivirus yang didesain untuk mesin Linux. Antivirus ini  berkemampuan melakukan scanning pada: format Zip, RAR, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS, seluruh format file mail, seluruh format file dokument, termasuk file Microsoft Office dan file Mac Office seperti HTML, RTF dan PDF.Firestarter adalah tools lengkap mesin Linux yang berfungsi sebagai firewall. Memiliki kemampuan real-time dalam menunjukkan probing penyerang pada mesin komputer.

Membedakan fungsi dan tatacara pengamanan server-server layanan pada jaringan (email, webserver, ftp)

Pengamanan sistem jaringan komputer terbagi menjadi dua jenis yaitu pencegahan (preventif) dan pengobatan (recovery). Pengamanan sistem jaringan komputer dapat dilakukan melalui beberapa layer yang berbeda. Misalnya di layer “transport”, dapat digunakan “Secure Socket Layer” (SSL). Metoda ini umum digunakan untuk server web.

Beberapa pengamanan server layanan pada jaringan yaitu:

1.  Mengatur Akses (access control)

Salah satu cara yang umum digunakan untuk mengamankan informasi adalah dengan mengatur akses ke informasi melalui mekanisme “authentication” dan “access control”. Implementasi dari ekanisme ini antara lain dengan menggunakan “password”. Setelah proses authentication, pengguna diberikan akses sesuai dengan level yang  dimilikinya melalui sebuah access  control. Access control ini biasanya dilakukan dengan  mengelompokkan pemakai dalam “group”. Ada group yang berstatus pemakai biasa, ada  tamu, dan ada juga administrator atau super user yang memiliki kemampuan lebih dari group lainnya.

2.  Menutup Service yang tidak digunakan

Seringkali sistem (perangkat keras dan/atau perangkat lunak) diberikan dengan

beberapa servis dijalankan sebagai default. Untuk mengamankan sistem, service yang tidak

diperlukan di server (komputer) tersebut sebaiknya dimatikan.

3.  Memasang Proteksi

Proteksi ini dapat berupa filter (secara umum) dan yang lebih spesifik adalah

firewall. Filter dapat digunakan untuk memfilter e-mail, informasi, akses, atau bahkan

dalam level packet.

4.  Mengamati Berkas Log

Berkas log ini sangat berguna untuk mengamati penyimpangan yang terjadi.

Kegagalan untuk masuk ke sistem (login), misalnya, tersimpan di dalam berkas log. Untuk

itu para administrator diwajibkan untuk rajin memelihara dan menganalisa berkas log yang

dimilikinya.

5.  Backup Secara Rutin

Untuk sistem  yang sangat esensial, secara berkala perlu dibuat backup yang

letaknya berjauhan secara fisik. Hal ini dilakukan untuk menghindari hilangnya data akibat

bencana seperti kebakaran, banjir, dan lain sebagainya. Apabila data-data dibackup akan

tetapi diletakkan pada lokasi yang sama, kemungkinan data akan hilang jika tempat yang

bersangkutan mengalami bencana seperti kebakaran.

6.  Penggunaan Enkripsi

Salah satau mekanisme untuk meningkatkan keamanan adalah dengan

menggunakan teknologi enkripsi. Data-data yang anda kirimkan diubah sedemikian rupa

sehingga tidak mudah disadap. Banyak servis di Internet yang masih menggunakan “plain

text” untuk authentication, seperti penggunaan pasangan user id dan password. Informasi

ini dapat dilihat dengan mudah oleh program penyadap atau pengendus (sniffer).

Menerapkan Tata Cara Pengamanan Komunikasi Data Menggunakan Teknik 

Kriptografi

Kriptografi merupakan seni untuk penyandian data yang bertujuan untuk pengamanan data. Proses dalam kriptografi terdiri dari enkripsi dan dekripsi. Enkripsi yaitu proses mengubah data asli (plainteks) menjadi data sandi (chiperteks) sedangkan dekripsi  yaitu proses mengubah data sandi (chiperteks) menjadi data asli (plainteks).

Terdapat 4 tujuan mendasar dalam ilmu kriptografi, yaitu:

1. Kerahasiaan, adalah layanan yang digunakan untuk menjaga isi dari informasi dari siapapun kecuali yang memiliki otoritas.
2. Integritas data, adalah berhubungan dengan penjagaan dari perubahan data secara tidak sah. Untuk menjaga integritas data, sistem harus memiliki kemampuan untuk mendeteksi manipulasi data oleh pihak-pihak yang tidak berhak, antara lain penyisipan, penghapusan, dan pensubsitusian data lain kedalam data yang sebenarnya.
3.  Autentikasi, adalah berhubungan dengan identifikasi, baik secara kesatuan sistem maupun informasi itu sendiri. Dua pihak yang saling berkomunikasi harus saling memperkenalkan diri. Informasi yang dikirimkan melalui kanal harus diautentikasi keaslian, isi datanya, waktu pengiriman, dan lain-lain.
4. Non-repudiasi, adalah membuktikan suatu pesan berasal dari seseorang, apabila ia menyangkal mengirim pesan tersebut.

Ada beberapa metode dalam kriptografi :

• Substitution Ciphers, metode mengganti data menjadi karakter atau simbol tertentu. Misalnya “Jatuh bangun” menjadi “Jwtxh bwngxn”
•  Transposition Ciphers, metode mengacak huruf atau bagian kata agar menjadi lebih rumit. Misalnya “Jatuh bangun” menjadi “Tuhjah ngunba”
• Steganography, menyembunyikan pesan aslinya kemudian memodifikasi dengan data yang lain agar tidak diketahui pesan aslinya. Misalnya “Jatuh bangun” menjadi"Sangat jatuh sekali bangun”

Membangun sistem monitoring server (IPTables, MRTG, Nagios, Cacti, Acidlab) Dalam pengelolaan sebuah server dibutuhkan seseorang yang memiliki  kemampuan serta tanggung jawab yang tinggi dalam menjamin server tersebut dapat  melayani komputer  client  dengan baik. Untuk itu sangat dibutuhkan sekali system yang  dapat memonitoring server. Berikut aplikasi untuk monitoring server:

1. Zenoss

Aplikasi Zenos dapat digunakan untuk mengamati device  komputer , Network  Device (Switch,Router dll) yang sedang aktif mulai dari antarmuka, proses, service, file  system, dan routing. Semua komputer yang ada dalam jaringan dapat dimonitor secara  bersamaan baik yang dijalankan pada platform Windows dan Linux .Semua Aktivitas  devices dapat ditampilkan dalam bentuk text maupun dalam bentuk grafik, Alett Messages  dapat di kirimkan melalui email atau sms .

2. Zabbix

Zabbix adalah salah satu software gratis yang digunakan untuk memonitor jaringan  dan situs dari berbagai network services, server dan network hardware lainnya.  Keunggulan yang dimiliki oleh zabbix adalah software ini merupakan open source yang  dapat dengan mudah didapatkan dan gratis. Selain itu, zabbix juga memiliki GUI yang bagus  sehingga mudah dimengerti oleh penggunanya menyediakan visualisasi seperti map dan  grafik sehingga juga memudahkan kita dalam pengaturan administrasi maupun systemnya  (flexibel).

Dengan semua keunggulan yang dimiliki oleh ZABBIX, software ini dapat  memainkan peranan yang penting dalam memonitor infrastructure jaringan dan dapat  mambantu para system administrator dalam melakukan pekerjaannya.

3. Cacti

Cacti menyimpan semua data/informasi yang diperlukan untuk membuat grafik dan engumpulkannya dengan database MySQL. Cacti adalah salah satu aplikasi open source  yang menrupakan solusi pembuatan grafik network yang lengkap yang didesign untuk  memanfaatkan kemampuan fungsi RRDTool sebagai peyimpanan data dan pembuatan  grafik. Cacti menyediakan pengumpulan data yang cepat, pola grafik advanced, metoda  perolehan multiple data, dan fitur pengelolaan user. Dengan menggunakan cacti kita dapat  memonitor trafik yang mengalir pada sebuah server.

4. Nagios

Nagios adalah Tools network monitoring system opensource yang mudah digunakan. Nagios awalnya didesign untuk berjalan pada sistem operasi Linux, namun  dapat juga berjalan dengan baik hampir disemua sistem operasi unix.

5.  Munin

Munin merupakan aplikasi monitoring sistem atau jaringan yang menghadirkan output melalui sebuah web interface. Munin menekankan kepada kemampuan plug-and-play yang mudah. Dengan menggunakan munin, kita bisa dengan mudah memonitor  performa sistem atau jaringan atau pun SAN (Storage Area Network). 

Demikian ulasan yang bisa saya sampaikan kali ini semoga bermanfaat khususnya bagi saya pribadi umumnya bagi sahabat semua. Terima kasih telah berkunjung, jangan lupa jadikan UlasTKJ sebagai referensi utama dan pertama anda. "berkah berbagi".