Kompetensi Dasar :15.1 Menentukan jenis-jenis keamanan jaringan15.2 Mengidentifikasi pengendalian jaringan yang diperlukan...
4. availability.Selain keempat hal di atas, masih ada dua aspek lain yang juga sering dibahas dalamkaitannyadengan electro...
Non-repudiation (nirpenyangkalan), mencegah penyangkalan dari      suatu entitas atas kesepakatan atau perbuatan yang suda...
Konsep pengaturan 4R berikut ini adalah cara paling efisien untuk memeliharadanmengontrol nilai informasi. 4R keamanan inf...
3. HackerOrang yang mempelajari sistem yang biasanya sukar dimengerti untukkemudianmengelolanya dan men-share hasil ujicob...
ketika pelaku mendapatkan akses tanpa izin ke mesin atau data. Ini terjadi karenapelakumembanjiri‘ jaringan dengan volume ...
melalui Internet. Phishing telah menjadi aktivitas kriminal yang banyakdilakukan diInternet.10. Defaceperubahan terhadap t...
Teknik ini dibuat oleh Albert Humphrey, yang memimpin proyek riset padaUniversitas Stanfordpada dasawarsa 1960-an dan 1970...
bakal ada di masa depan. Well-known port didefinisikan dalam RFC1060.Registered Port: Port-port yang digunakan oleh vendor...
Pengertian Firewall : Adalah mekanisme kontrol akses pada level jaringan, AplikasiPenghambat yang dibangun untuk memisahka...
• Menyediakan perlindungan yang lebih banyak dibandingkan software firewall• Beroperasi secara independen terhadap sistem ...
Beberapa Konfigurasi Firewall1. Screened Host Firewall (singled-homed bastion)2. Screened Host Firewall (Dual-homed bastio...
3. Koneksi UDPBerbeda dengan koneksi TCP, koneksi UDP (Gambar 11.11) bersifat connectionless.Sebuah mesin yang mengirimkan...
Fitur lain dari mangle adalah kemampuan untuk mengubah nilai Time to Live (TTL)pada paket dan TOS ( type of service ).    ...
• EnkripsiSalah satu cara pembatasan akses adalah dengan enkripsi. Proses enkripsi meng-encodedata dalam bentuk yang hanya...
memelihara keberlangsungan bisnis dengan memerhatikan semua kemungkinan kelemahandanancaman terhadap aset informasi. Untuk...
Analyzer berfungsi untuk analisa paket yang lewat pada jaringan. Informasi dari analyzeryangakan menjadi input bagi sistem...
Upcoming SlideShare
Loading in...5
×

Desain sistem keamanan jaringan

13,591

Published on

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
13,591
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
592
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Transcript of "Desain sistem keamanan jaringan"

  1. 1. Kompetensi Dasar :15.1 Menentukan jenis-jenis keamanan jaringan15.2 Mengidentifikasi pengendalian jaringan yang diperlukan15.3 Memasang firewall15.4 Mendesain sistem keamanan jaringanBAB 1Menentukan Jenis Keamanan Jaringan· Dalam masyarakat pertanian tanah aset paling penting negara denganproduksitani terbesar memiliki kekuatan bersaing.· Dalam masyarakat industri kekuatan modal seperti memiliki cadanganminyakmenjadi faktor utama dalam persaingan.· Dalam masyarakat berbasis informasi dan pengetahuan informasiadalah komoditiyang sangat penting dan aset paling berharga Kemampuan untukmendapatkan,mengakses, menyediakan, menggunakan, dan menganalisis informasi secaracepat danakurat.Definisi Informasi : Secara umum, informasi didefinisikan sebagai hasil dari aktivitas mental dan merupakan produk abstrak yang ditransmisikan melalui medium. Dalam bidang teknologi informasi dan komunikasi, informasi adalah hasil dari pemrosesan, manipulasi dan pengaturan data, yaitu sekumpulan fakta. Dalam bidang Keamanan Informasi, informasi diartikan sebagai sebuah aset merupakan sesuatu yang memiliki nilai dan karenanya harus dilindungi. Definisi ini mengikuti ISO/IEC 27001.Aspek keamanan informasiGarfinkel and Spafford mengemukakan bahwa keamanan komputer (computersecurity)melingkupi empat aspek, yaitu :1. Privacy2. Integrity3. Authentication
  2. 2. 4. availability.Selain keempat hal di atas, masih ada dua aspek lain yang juga sering dibahas dalamkaitannyadengan electronic commerce, yaitu access control dan non-repudiation.Berdasar spesifikasi dari OSI, aspek keamanan komputer meliputi :• Access Control, Perlindungan terhadap pemakaian tak legak• Authentication, Menyediakan jaminan identitas seseorang• Confidentiality (kerahasiaan), Perlindungan terhadap pengungkapan identitastak legal• Integrity, Melindungi dari pengubahan data yang tak legal• Non-repudiation (penyangkalan), Melindungi terhadap penolakan komunikasiyang sudahpernah dilakukan.Pendapat yang lain mengatakan, Aspek keamanan informasi adalah aspek-aspek yang dilingkupi dan melingkupi keamanan informasi dalam sebuah sisteminformasi. Aspek-aspek ini adalah : Privacy (privasi/kerahasiaan), menjaga kerahasiaan informasi dari semua pihak, kecuali yang memiliki kewenangan; Integrity (integritas), meyakinkan bahwa data tidak mengalami perubahan oleh yang tidak berhak atau oleh suatu hal lain yang tidak diketahui (misalnya buruknya transmisi data); Authentication (otentikasi/identifikasi), pengecekan terhadap identitas suatu entitas, bisa berupa orang, kartu kredit atau mesin; Signature, Digital Signature (tanda tangan), mengesahkan suatu informasi menjadi satu kesatuan di bawah suatu otoritas; Authorization (otorisasi), pemberian hak/kewenangan kepada entitas lain di dalam sistem; Validation (validasi), pengecekan keabsahan suatu otorisasi; Access Control (kontrol akses), pembatasan akses terhadap entitas di dalam sistem; Certificate (sertifikasi), pengesahan/pemberian kuasa suatu informasi kepada entitas yang tepercaya; Time stamp (pencatatan waktu), mencatat waktu pembuatan atau keberadaan suatu informasi di dalam sistem; Verification (persaksian, verifikasi), memverifikasi pembuatan dan keberadaan suatuinformasi di dalam sistem bukan oleh pembuatnya Acknowledgement (tanda terima), pemberitahuan bahwa informasi telah diterima; Confirmation (konfirmasi), pemberitahuan bahwa suatu layanan informasi telah tersedia; Ownership (kepemilikan), menyediakan suatu entitas dengan sah untuk menggunakan atau mengirimkan kepada pihak lain; Anonymous (anonimitas), menyamarkan identitas dari entitas terkait dalam suatu proses transaksi;
  3. 3. Non-repudiation (nirpenyangkalan), mencegah penyangkalan dari suatu entitas atas kesepakatan atau perbuatan yang sudah dibuat; Recall (penarikan), penarikan kembali suatu sertifikat atau otoritas.Standar Kegiatan Keamanan InformasiISO/IEC 27001, atau lengkapnya "ISO/IEC 27001:2005 - Informationtechnology --Security techniques -- Information security management systems --Requirements", adalahsuatu standar sistem manajemen keamanan informasi (ISMS, information securitymanagementsystem) yang diterbitkan oleh ISO dan IEC pada Oktober 2005. Standar yangberasal dari BS7799-2 ini ditujukan untuk digunakan bersama denganISO/IEC 27002, yangmemberikan daftartujuan pengendalian keamanan dan merekomendasikan suatu rangkaianpengendaliankeamanan spesifik.Kegiatan keamanan dalam ISO/IEC27001 terdiri dari 133 kontrol dan 11 domainBeberapaISO/IEC27001 mengadopsi model proses Plan-Do-Check-Act, yangdigunakan untukmengatur struktur seluruh proses ISMS. Dalam ISO/IEC27001, semua bukti hasilpenilaian ISMSharus didokumentasikan; sertifikasinya harus diaudit secara eksternal setiapenam bulan; danseluruh proses diulangi sesudah tiga tahun untuk terus mengatur ISMS.1. Keterbukaan Informasi Selain memiliki banyak keuntungan, keterbukaan akses informasi tersebut memunculkan2. berbagai masalah baru, antara lain : · Pemeliharaan validitas dan integritas data/informasi tersebut · Jaminan ketersediaan informasi bagi pengguna yang berhak · Pencegahan akses informasi dari yang tidak berhak · Pencegahan akses sistem dari yang tidak berhakKonsep 4R
  4. 4. Konsep pengaturan 4R berikut ini adalah cara paling efisien untuk memeliharadanmengontrol nilai informasi. 4R keamanan informasi adalah Right Information(Informasi yangbenar), Right People (Orang yang tepat), Right Time (Waktu yang tepat)dan Right Form(Bentuk yang tepat).1. Right Information mengacu pada ketepatan dan kelengkapan informasi,yang menjaminintegritas informasi.2. Right People berarti informasi tersedia hanya bagi individu yang berhak,yang menjaminkerahasiaan.3. Right Time mengacu pada aksesibilitas informasi dan penggunaannya ataspermintaanentitas yang berhak. Ini menjamin ketersediaan.4. Right Form mengacu pada penyediaan informasi dalam format yang tepat.Piramida Metodologi KemanananBerikut ini adalah piramida metodologi keamanan. Secara singkat padapiramida dibawah ini telah tergambar unsur-unsur apa saja yang dibutuhkan dalammembangun sebuahsistem keamanan secara utuh Gambar 1. Piramida Metodologi KeamananOrang yang Terlibat1. Administrator System (SysAdmin), Network Admin, stakeholder2. PhreakerOrang yang mengetahui sistem telekomunikasi dan memanfaatkan kelemahansistempengamanan telepon tersebut
  5. 5. 3. HackerOrang yang mempelajari sistem yang biasanya sukar dimengerti untukkemudianmengelolanya dan men-share hasil ujicoba yang dilakukannya.Hacker tidak merusak sistem4. CrakerOrang yang mempelajari sistem dengan maksud jahat – Muncul karena sifat dasar manusia(salah satunya merusak)Ancaman Jaringan komputer dilihat dari BENTUKNYA :• Fisik (physical)- Pencurian perangkat keras komputer atau perangkat jaringan- Bencana alam (banjir, kebakaran, dll) Major cause- Kerusakan pada komputer dan perangkat komunikasi jaringan- Wiretapping Man the Middle Attack Aktif / Pasif- Wardriving Man the Middle Attack Aktif / Pasif-• Logik (logical)- Kerusakan pada sistem operasi atau aplikasi- Virus- Sniffing, dan lain lain seperti tersebut di bawah iniAncaman Jaringan komputer dilihat dari JENIS-JENISNYAJenis-jenis Serangan Keamanan Informasi yang menjadi tren dan arah KeamananInformasi:1. ProbeProbe atau yang biasa disebut probing adalah usaha untuk mengakses sistemdanmendapatkan informasi tentang sistem2. ScanScan adalah probing dalam jumlah besar menggunakan suatu tool3. Account compromiseMeliputi User compromize dan root compromize4. Packet SniferAdalah sebuah program yan menangkap / mngcaptur data dari paket yanglewat dijaringan. (username, password, dan informasi penting lainnya)5. HackingHacking adalah tindakan memperoleh akses ke komputer atau jaringan komputeruntukmendapatkan atau mengubah informasi tanpa otorisasi yang sah6. Denial-of-ServiceSerangan Denial-of-service (DoS) mencegah pengguna yang sah dari penggunaanlayanan
  6. 6. ketika pelaku mendapatkan akses tanpa izin ke mesin atau data. Ini terjadi karenapelakumembanjiri‘ jaringan dengan volume data yang besar atau sengaja menghabiskansumberdaya yang langka atau terbatas, seperti process control blocks atau koneksi jaringanyangtertunda. Atau mereka mengganggu komponen fisik jaringan atau memanipulasidata yangsedang dikirimkan, termasuk data terenkripsi.7. Malicious code (Kode Berbahaya)Malicious code adalah program yang menyebabkan kerusakan sistem ketikadijalankan.Virus, worm dan Trojan horse merupakan jenis-jenis malicious code.a. Virus komputer adalah sebuah program komputer atau kode program yangmerusak sistem komputer dan data dengan mereplikasi dirinya sendiri melaluipeng-copy-an ke program lain, boot sector komputer atau dokumen.b. Worm adalah virus yang mereplikasi dirinya sendiri yang tidak mengubah file,tetapi ada di memory aktif, menggunakan bagian dari sistem operasi yangotomatis dan biasanya tidak terlihat bagi pengguna. Replikasi mereka yang tidakterkontrol memakan sumber daya sistem, melambatkan atau menghentikanproses lain.Biasanya hanya jika ini terjadi keberadaan worm diketahui.c. Trojan horse adalah program yang sepertinya bermanfaat dan/atau tidakberbahaya tetapi sesungguhnya memiliki fungsi merusak seperti unloading hiddenprogram ataucommand scripts yang membuat sistem rentan gangguan.8. Social Engineering / Exploitation of TrustSekumpulan teknik untuk memanipulasi orang sehingga orang tersebutmembocorkan informasi rahasia. Meskipun hal ini mirip dengan permainankepercayaan atau penipuan sederhana, istilah ini mengacu kepada penipuan untukmendapatkan informasi atau akses sistem komputer.Beberapa jebakan yang dapat dilakukan diantaranya dengan :o Memanfaatkan kepercayaan orang dalam bersosialisasi dengan komputer.o Memanfaatkan kesalahan orang secara manusiawi misal : kesalahan ketik, asalklik, next-next, dllo Bisa dengan cara membuat tampilan Login yang mirip (teknik fake login),diarahkan ketempat lain, juga biasanya dibuat url yang hampir sama untuk webcontoh kasus :www.klikbca.com9. PhishingTindakan pemalsuan terhadap data / identitas resmi yang dilakukan untuk halyangberkaitan dengan pemanfaatannya. Phising diawali dengan mencuri informasipersonal
  7. 7. melalui Internet. Phishing telah menjadi aktivitas kriminal yang banyakdilakukan diInternet.10. Defaceperubahan terhadap tampilan suatu website secara illegal.11. Cardingpencurian data terhadap identitas perbankan seseorang, misalnya pencuriannomor kartu kredit, digunakan untuk memanfaatkan saldo yang terdapat padarekening tersebut untuk keperluan belanja online. BAB 2 Mengidentifikasi Pengendalian Jaringan yang DiperlukanJaringan yang DiperlukanRisk Management Model Lawrie Brown dalam bukunya menyarankan menggunakan“Risk Management Model” untuk menghadapi ancaman (managing threats). Ada tigakomponen yang memberikan kontribusi kepada Risk, yaitu Asset, Vulnerabilities, danThreats. Untuk menanggulangi resiko (Risk) tersebut dilakukan apa yang disebut“countermeasures” yang dapat berupa:• usaha untuk mengurangi Threat• usaha untuk mengurangi Vulnerability• usaha untuk mengurangi impak (impact)• mendeteksi kejadian yang tidak bersahabat (hostile event)• kembali (recover) dari kejadianAnalisis SWOTAnalisis SWOT (singkatan bahasa Inggris dari strengths (kekuatan), weaknesses(kelemahan), opportunities (kesempatan), dan threats (ancaman) adalah metodeperencanaan strategis yang digunakan untuk mengevaluasi kekuatan, kelemahan,peluang, dan ancaman dalam suatu keadaan tertentu. Dalam tinjauan keamananjaringan, analisis SWOT mencoba memetakan keadaan yang ingin dicapai yaituterciptanya keamanan informasi dan keamanan jaringan, dan mengidentifikasikan faktorinternal dan faktor eksternalyang membantu dan yang membahayakan tercapainyakeamanan jaringan dan keamanan informasi.
  8. 8. Teknik ini dibuat oleh Albert Humphrey, yang memimpin proyek riset padaUniversitas Stanfordpada dasawarsa 1960-an dan 1970-an dengan menggunakan data dariperusahaan-perusahaan Fortune 500Setelah memetakan dan mengenali faktor-faktor tersebut, maka diperlukan usaha untukmeningkatkan strengths (kekuatan), mengurangi dan menutupi weaknesses (kelemahan),memanfaatkan opportunities (kesempatan), dan juga usaha untuk mengurangi danmengantisipasi Threats (ancaman).PortDalam protokol jaringan TCP/IP, sebuah port adalah mekanisme yang mengizinkansebuah komputer untuk mendukung beberapa sesi koneksi dengan komputer lainnyadanprogram di dalam jaringan. Port dapat mengidentifikasikan aplikasi dan layanan yangmenggunakan koneksi di dalam jaringan TCP/IP. Sehingga, port jugamengidentifikasikansebuah proses tertentu di mana sebuah server dapat memberikan sebuah layanan kepada klienatau bagaimana sebuah klien dapat mengakses sebuah layanan yang ada dalam server.Port dapat dikenali dengan angka 16-bit (dua byte) yang disebut dengan PortNumber dan diklasifikasikan dengan jenis protokol transport apa yang digunakan, kedalam Port TCP dan Port UDP. Karena memiliki angka 16-bit, maka total maksimumjumlah port untuk setiap protokol transport yang digunakan adalah 216 = 65536 buah.Dilihat dari penomorannya, port UDP dan TCP dibagi menjadi tiga jenis, yakni sebagaiberikut: Well-known Port: yang pada awalnya berkisar antara 0 hingga 255 tapi kemudian diperlebar untuk mendukung antara 0 hingga 1023. Port number yang termasuk ke dalam well-known port, selalu merepresentasikan layanan jaringan yang sama, dan ditetapkan oleh Internet Assigned Number Authority (IANA). Beberapa di antara port- port yang berada di dalam range Well-known port masih belum ditetapkan dan direservasikan untukdi gunakan oleh layanan yang
  9. 9. bakal ada di masa depan. Well-known port didefinisikan dalam RFC1060.Registered Port: Port-port yang digunakan oleh vendor-vendorkomputer atau jaringanyang berbeda untuk mendukung aplikasi dansistem operasi yang mereka buat. Registered port juga diketahui dandidaftarkan oleh IANA tapi tidak dialokasikan secara permanen,sehingga vendor lainnya dapat menggunakan port number yangsama. Range registered port berkisar dari 1024 hingga 49151 danbeberapa port di antaranya adalah Dynamically Assigned Port.Dynamically Assigned Port: merupakan port-port yang ditetapkanoleh sistem operasi atau aplikasi yang digunakan untuk melayanirequest dari pengguna sesuai dengan kebutuhan. DynamicallyAssigned Port berkisar dari 1024 hingga 65536 dan dapat digunakanatau dilepaskan sesuai kebutuhan. BAB 3 Firewall
  10. 10. Pengertian Firewall : Adalah mekanisme kontrol akses pada level jaringan, AplikasiPenghambat yang dibangun untuk memisahkan jaringan privat dengan jaringan publik(Internet) Aplikasi diimplementasikan pada : software, hardware, Router Access,ataupun Server Access atau beberapa Router Acess ataupun beberapa Server AccessMenggunakan suatu (rule)/Policy berupa daftar akses (Access List), dan metode lain untukmenjamin keamanan jaringan privat Firewall adalah salah peralatan atau suatu aplikasi pada sistem operasi yangdibutuhkan oleh jaringan komputer untuk melindungi intergritas data/sistem jaringan dariserangan-serangan pihak yang tidak bertanggung jawab. Caranya dengan melakukanfilterisasi terhadap paket-paket yang melewatinya.Firewall tersusun dari aturan-aturan yang diterapkan baik terhadap hardware, softwareataupun sistem itu sendiri dengan tujuan untuk melindungi jaringan, baik denganmelakukan filterisasi, membatasi, ataupun menolak suatu permintaan koneksi darijaringan luar lainnya seperti internet.Pada firewall terjadi beberapa proses yang memungkinkannya melindungi jaringan. Adatiga macam Proses yang terjadi pada firewall, yaitu:1. Modifikasi header paket, digunakan untuk memodifikasi kualitas layanan bit paket TCPsebelum mengalami proses routing.2. Translasi alamat jaringan, translasi yang terjadi dapat berupa translasi satu ke satu(one to one), yaitu satu alamat IP privat dipetakan kesatu alamat IP publik atau translasibanyak kesatu (many to one) yaitu beberapa alamat IP privat dipetakan kesatu alamatpublik.3. Filter paket, digunakan untuk menentukan nasib paket apakah dapat diteruskanatau tidak.Jenis Firewall Hardware dan Software1. Software Firewall Adalah program yang berjalan pada background komputer. Software inimengevaluasisetiap request dari jaringan dan menetukan apakah request itu valid atau tidak.Kelebihan• Harganya murah• Mudah dikonfigurasiKekurangan• Memakan sumber daya dari komputer (CPU,memory, disk)• Terdapat versi yang berbeda dan untuk OS yang berbeda pula• Dibutuhkan beberapa copy dan konfigurasi untuk tiap sistem dalam jaringan2. Hardware Firewall Adalah firewall yang dipasang pada komputer, yang menghubungkan komputerdengan modemKelebihan
  11. 11. • Menyediakan perlindungan yang lebih banyak dibandingkan software firewall• Beroperasi secara independen terhadap sistem operasi dan aplikasi perangkatlunak, sehingga kompabilitasnya tinggiKekurangan• Cenderung lebih mahalTeknologi Firewall1. Packet Filtering Gateway (Router, Cisco IOS, dll.) ->Stateless2. Application Level Gateway / Proxy-based (NAI Gauntled, Axent Raptor, dll.)3. Circuit Level Gateway4. Statefull Multi Layer Inspection Firewall (Checkpoint FW-1, PIX, dll.)1. Packet Filtering GatewayPrinsip : adalah memperbolehkan (grant) atau membatalkan (deny) terhadap suatu access,dengan beberapa variabel:Source AddressDestination AddressProtocol (TCP/UDP)Source Port numberDestination Port numberPacket filtering gateway dapat diartikan sebagai firewall yang bertugas melakukan filterisasiterhadap paket-paket yang datang dari luar jaringan yang dilindunginya.2. Circuit Level GatewayModel firewall ini bekerja pada bagian Lapisan transport dari model referensi TCP/IP.Firewall ini akan melakukan pengawasan terhadap awal hubungan TCP yang biasa disebutsebagai TCP Handshaking, yaitu proses untuk menentukan apakah sesi hubungan tersebutdiperbolehkan atau tidak. Bentuknya hampir sama dengan Application Layer Gateway ,hanya saja bagian yang difilter terdapat ada lapisan yang berbeda, yaitu berada pada layerTransport.3. Application Level GatewayAdalah gateway yang bekerja pada level aplikasi pada layer OSI, Model firewall ini jugadapat disebut Proxy Firewall. Mekanismenya tidak hanya berdasarkan sumber, tujuan danatribut paket, tapi bisa mencapai isi ( content ) paket tersebut. Bila kita melihat darisisilayer TCP/IP, firewall jenis ini akan melakukan filterisasi pada layer aplikasi (ApplicationLayer ).4. Statefull Packet-filter-Based FirewallsModel firewall ini merupakan penggabungan dari ketiga firewall sebelumnya. Firewall jenisini akan bekerja pada lapisan Aplikasi, Transport dan Internet. Dengan penggabunganketiga model firewall yaitu Packet Filtering Gateway, Application Layer Gateway dan CircuitLevel Gateway, mungkin dapat dikatakan firewall jenis ini merupakan firewall yang,memberikan fitur terbanyak dan memeberikan tingkat keamanan yang paling tinggi.
  12. 12. Beberapa Konfigurasi Firewall1. Screened Host Firewall (singled-homed bastion)2. Screened Host Firewall (Dual-homed bastion)3. Screened Subnet FirewallAplikasi pengendalian jaringan dengan menggunakan firewall dapat diimplementasikandenganmenerapkan sejumlah aturan (chains) pada topologi yang sudah ada.Dalam hal pengendalian jaringan dengan menggunakan iptables, ada dua hal yang harusdiperhatikan yaitu:1. Koneksi paket yang menerapkan firewall yang digunakan.2. Konsep firewall yang diterapkan.Dengan dua hal ini diharapkan iptables sebagai aturan yang mendefinisikan firewalldapatmengenali apakah koneksi yang terjadi berupa koneksi baru ( NEW) , koneksi yang telah ada(ESTABLISH ), koneksi yang memiliki relasi dengan koneksi lainnya ( RELATED )atau koneksiyang tidak valid ( INVALID ). Keempat macam koneksi itulah yang membuat IPTablesdisebutStatefull Protocol .Koneksi PaketKoneksi paket yang dalam proses pengirimannya dari pengirim kepada penerima harusmelaluiaturan firewall, dapat dikelompokan kepada tiga kelompok koneksi, yaitu :1. Koneksi TCP2. Koneksi IP3. Koneksi UDP1. Koneksi TCPSebuah koneksi TCP dikenal sebagai koneksi yang bersifat Connection Oriented yangberarti sebelum melakukan pengiriman data, mesin-mesin tersebut akan melalui 3 langkahcara berhubungan ( 3-way handshake ).2. Koneksi IPSebuah frame yang diidentifikasi menggunakan kelompok protokol Internet (IP) harusmelalui aturan firewall yang didefinisikan menggunakan protokol IP sebelum paket tersebutmendapat jawaban koneksi dari tujuan paket tersebut.Salah satu paket yang merupakan kelompok protokol IP adalah ICMP, yang seringdigunakan sebagai aplikasi pengujian koneksi ( link ) antar host.
  13. 13. 3. Koneksi UDPBerbeda dengan koneksi TCP, koneksi UDP (Gambar 11.11) bersifat connectionless.Sebuah mesin yang mengirimkan paket UDP tidak akan mendeteksi kesalahan terhadappengiriman paket tersebut.Paket UDP tidak akan mengirimkan kembali paket-paket yang mengalami error. Modelpengiriman paket ini akan lebih efisien pada koneksi broadcasting atau multicastingUntuk membangun sebuah firewall, yang harus kita ketahui pertama-tama adalahbagaimana sebuah paket diproses oleh firewall, apakah paket-paket yang masuk akan dibuang ( DROP ) atau diterima ( ACCEPT ), atau paket tersebut akan diteruskan (FORWARD ) ke jaringan yang lain. Salah satu tool yang banyak digunakan untukkeperluan proses pada firewall adalah iptables. Program iptables adalah programadministratif untuk Filter Paket dan NAT ( Network Address Translation). Untukmenjalankan fungsinya, iptables dilengkapi dengan tabel mangle, nat dan filter .NAT (SNAT dan DNAT)Salah satu kelebihan IPTABLES adalah untuk dapat memfungsikan komputer kitamenjadi gateway menuju internet. Teknisnya membutuhkan tabel lain pada IPTABLES selainketiga tabel diatas, yaitu tabel NAT SNAT digunakan untuk mengubah alamat IP pengirim (source IP address ). Biasanya SNAT berguna untuk menjadikan komputer sebagai gatewaymenuju ke internet. Misalnya komputer kita menggunakan alamat IP 192.168.0.1. IPtersebut adalah IP lokal. SNAT akan mengubah IP lokal tersebut menjadi IP publik,misalnya 202.51.226.35. Begitu juga sebaliknya, bila komputer lokal kita bisa di aksesdari internet maka DNAT yang akan digunakan. Mangle pada IPTABLES banyakdigunakan untuk menandai ( marking ) paket-paket untuk di gunakan di proses-prosesselanjutnya. Mangle paling banyak di gunakan untuk bandwidth limiting atau pengaturanbandwidth.
  14. 14. Fitur lain dari mangle adalah kemampuan untuk mengubah nilai Time to Live (TTL)pada paket dan TOS ( type of service ). BAB 4 Mendesain Sistem Keamanan JaringanMetode Keamanan JaringanDalam merencanakan suatu keamanan jaringan, ada beberapa metode yang dapatditetapkan, metode-metode tersebut adalah sebagai berikut :1. Pembatasan akses pada suatu jaringanAda beberapa konsep dalam pembatasan akses jaringan, yakni sebagai berikut :a. Internal Password AuthenticationPassword local untuk login ke sistem harus merupakan password yang baik sertadijaga dengan baik. Pengguaan aplikasi shadow password akan sangat membantu.b. Server Based password authenticationTermasuk dalam metoda ini misalnya sistem Kerberos server, TCP-wrapper, dimanasetiap service yang disediakan oleh server tertentu dibatasi dengan suatu daftar hostdan user yang boleh dan tidak boleh menggunakan service tersebutc. Server-based token authenticationMetoda ini menggunakan authentication system yang lebih ketat, yaitu denganpenggunaan token / smart card, sehingga untuk akses tertentu hanya bisa dilakukanoleh login tertentu dengan menggunakan token khusus.d. Firewall dan Routing ControlFirewall melindungi host-host pada sebuah network dari berbagai serangan. Denganadanya firewall, semua paket ke sistem di belakang firewall dari jaringan luar tidakdapat dilakukan langsung. Semua hubungan harus dilakukan dengan mesin firewall2. Menggunakan Metode dan mekanisme tertentu
  15. 15. • EnkripsiSalah satu cara pembatasan akses adalah dengan enkripsi. Proses enkripsi meng-encodedata dalam bentuk yang hanya dapat dibaca oleh sistem yang mempunyai kunci untukmembaca data. Proses enkripsi dapat dengan menggunakan software atau hardware.Hasil enkripsi disebut cipher. Cipher kemudian didekripsi dengan device dan kunci yangsama tipenya (sama hardware/softwarenya, sama kuncinya). Dalam jaringan, sistemenkripsi harus sama antara dua host yang berkomunikasi. Jadi diperlukan kontrolterhadap kedua sistem yang berkomunikasi. Biasanya enkripsi digunakan untuk suatusistem yang seluruhnya dikontrol oleh satu otoritasTerminologi KriptografiKriptografi (cryptography) merupakan ilmu dan seni untuk menjaga pesan agaraman. (Cryptography is the art and science of keeping messages secure. [40]) “Crypto”berarti “secret” (rahasia) dan “graphy” berarti “writing” (tulisan) [3]. Para pelaku ataupraktisi kriptografi disebut cryptographers. Sebuah algoritma kriptografik (cryptographicalgorithm), disebut cipher, merupakan persamaan matematik yang digunakan untukproses enkripsi dan dekripsi. Biasanya kedua persamaan matematik (untuk enkripsi dandekripsi) tersebut memiliki hubungan matematis yang cukup erat.Terminologi Enskripsi - DekripsiProses yang dilakukan untuk mengamankan sebuah pesan (yang disebutplaintext) menjadi pesan yang tersembunyi (disebut ciphertext) adalah enkripsi(encryption). Ciphertext adalah pesan yang sudah tidak dapat dibaca dengan mudah.Menurut ISO 7498-2, terminologi yang lebih tepat digunakan adalah “encipher”. Prosessebaliknya, untuk mengubah ciphertext menjadi plaintext, disebut dekripsi(decryption). Menurut ISO 7498-2, terminologi yang lebih tepat untuk proses ini adalah“decipher”.• Digital SignatureDigunakan untuk menyediakan authentication, perlindungan, integritas, dan non-repudiation• Algoritma Checksum/HashDigunakan untuk menyediakan perlindungan integritas, dan dapat menyediakanauthentication• Satu atau lebih mekanisme dikombinasikan untuk menyediakan security service3. Pemonitoran terjadwal terhadap jaringanDengan adanya pemantauan yang teratur, maka penggunaan sistem oleh yang tidakberhak dapat dihindari / cepat diketahui. Untuk mendeteksi aktifitas yang tidak normal,maka perlu diketahui aktifitas yang normal. Proses apa saja yang berjalan pada saataktifitas normal. Siapa saja yang biasanya login pada saat tersebut. Siapa saja yangbiasanya login diluar jam kerja. Bila terjadi keganjilan, maka perlu segera diperiksa.Bila hal-hal yang mencurigakan terjadi, maka perlu dijaga kemungkinan adanya intruder.Metodologi keamanan informasi bertujuan untuk meminimalisasi kerusakan dan
  16. 16. memelihara keberlangsungan bisnis dengan memerhatikan semua kemungkinan kelemahandanancaman terhadap aset informasi. Untuk menjamin keberlangsungan bisnis,metodologikeamanan informasi berusaha memastikan kerahasiaan, integritas dan ketersediaan asetinformasi internal. Hal ini termasuk penerapan metode dan kontrol manajemen risiko.Pada dasarnya, yang dibutuhkan adalah rencana yang bagus dan meliputi aspekadministratif, fisik, serta teknis dari keamanan informasi.Beberapa Langkah dalam perancangan Sistem dengan memperhatikan aspekKeamanan Jaringan :1. Menentukan topologi jaringan yang akan digunakan.2. Menentukan kebijakan atau policy .3. Menentukan aplikasi – aplikasi atau servis-servis apa saja yang akan berjalan.4. Menentukan pengguna-pengguna mana saja yang akan dikenakan oleh satu ataulebih aturan firewall.5. Menerapkan kebijakan, aturan, dan prosedur dalam implementasi firewall.6. Sosialisasi kebijakan, aturan, dan prosedur yang sudah diterapkan.Arsitektur sistem IDSIntrusion Detection System (IDS) pada implementasi tugas akhir ini tediri dari komponenkomponen / modul :1. Sensor modul2. Analyzer modul3. Database system Sensor berfungsi untuk mengambil data dari jaringan. Sensor merupakan bagian darisistem deteksi dini dari IDS. Untuk itu digunakan suatu program yang berfungsisebagai intrusion detector dengan kemampuan packet logging dan analisis traffik yangrealtime.
  17. 17. Analyzer berfungsi untuk analisa paket yang lewat pada jaringan. Informasi dari analyzeryangakan menjadi input bagi sistem lainnya. Salah satu perangkat lunak yang sering digunakanpada IDS adalah snort, karena snort mempunyai kemampuan menjadi sensor dan analyzerserta sesuai untuk diterapkan pada rancangan sistem keamanan. Arsitektur SistemAIRIDS Automatic Interactive Reactive Intrusion Detection System AIRIDS merupakansuatu metode kemanan jaringan yang bertujuan untuk membentuk suatu arsitektursistem keamanan yang terintegrasi antara Intrusion Detection System (IDS),FirewallSystem, Database System dan Monitoring System.komponen-komponen / modul AIRIDS berupa :1. Intrusion detection system (IDS)a. Sensor modulb. Analyzer modul2. Database system3. Monitoring system4. Firewall system5. SMS system (optional)

×