Dokumen tersebut membahas tentang teknologi keamanan jaringan komputer yang meliputi penyaringan paket, stateful packet inspection, NAT, proxy, content filter, PKI, dan AAA. Teknologi-teknologi tersebut digunakan untuk meningkatkan keamanan jaringan dengan cara membangun keamanan secara berlapis dan menyaring lalu lintas jaringan berdasarkan aturan.
1. 1
Teknologi Keamanan Jarkom
Dosen: Muniardi, S.Kom.
Mata Kuliah: Jaringan Komputer
Jurusan Teknik Informatika
Fakultas Sains dan Teknologi
Universitas Islam Negeri (UIN) Alauddin Makassar
2. Teknologi Keamanan
TIK (TUJUAN INTRUKSIONAL KHUSUS)
Mahasiswa memahami betapa pentingnya
mendesain keamanan jaringan dari para
penyerang
3. Introduction
Keamanan jaringan dapat berdampak buruk
dengan adanya kemungkinan serangan dan
ancaman pada jaringan.
Salah satu prinsip penting dalam membangun
keamanan pada jaringan adalah membangun
keamanan secara berlapis.
5. Penyaringan Paket dgn ACL
ACL : Access Control List
Semua informasi yang ada di Internet menggunakan TCP/IP
dan selanjutnya informasi itu dikirim sebagai bagian-bagian
kecil yang disebut “paket”
Penyaringan paket sering digunakan sebagai pertahanan
pertama
Penyaringan paket adalah salah satu tipe teknologi
pengawasan paket. Caranya memeriksa isi paket dan
mengaplikasikan aturan untuk menentukan apakah paket
paket itu ditolak atau diizinkan.
6. aliran masuk aliran keluar yg diizinkan
Penyaringan paket di lapisan 3 model TCP/IP
5. Aplikasi
4. Transport Control Protocol (TCP)
User Datagram Protokol (UDP)
3. Internet Protokol (IP) √
2. Data Link
1. Fisik
Tidak diizinkan
√ Diizinkan
Aliran difilter berdasarkan
pada aturan ttt, termasuk
alamat IP sumber dan
tujuan
7. Model yang digunakan untuk mengkonfigurasi dan
menggunakan penyaringan paket pada cisco adalah
ACL ( Access Control List )
Contoh kasus :
Anda ingin memasak kalkun, maka pasti anda akan
membuat daftar belanja. Info yang ada : kalkun, bumbu,
roti dan keju sudah punya.
Daftar belanja :
Susu
Pie
Kentang
Saus
“jangan beli lainnya “
8. Analogikan ke ACL
[standart acl]
[deny] turkey
[deny] stuffing
[deny] bread
[deny] cheese
[permit] milk
[permit] pie
[permit] potatoes
[permit] gravy
[implicit deny all else] “ buy nothing”
9. Daftar tsb terlalu luas, karena banyak anda harus membeli.
[standart acl]
[deny] turkey
[deny] stuffing
[deny] bread
[deny] cheese
[permit] milk – white
[permit] pie – Mrs. Smiths Pumpkin
[permit] potatoes - Red
[permit] gravy – White country
[implicit deny all else] “ buy nothing”
10. Kesimpulan ? :
model daftar kedua lebih spesifik, ini menunjuk kan tingkat
penyaringan yang lebih baik.
Penyaringan paket memiliki karakteristik yang dpt
diidentifikasikan menggunakan daftar akses untuk
mengklasifikasi dan mengerjakan sebuah tindakan (baik itu
diizinkan atau ditiadakan)
access.list 10 deny any turkey
access.list 10 deny any stuffing
access.list 10 deny any bread
access.list 10 deny any cheese
access.list 10 permit any milk
access.list 10 permit any pie
access.list 10 permit any potatoes
access.list 10 permit any gravy
11. Pada piranti Cisco biasanya penyaringan paket
berdasarkan alamat IP dan subnet.
Misal ;
access.list 10 permit any 192.168.10.0
access.list 10 permit any 192.168.20.0
access.list 10 permit any 192.168.20.0
access.list 10 permit any 192.168.40.0
12. Gambar berikut menunjukkan penempatan ACL untuk
menyaring paket.
paket
menempatkan penyaringan paket masuk
di tempat terdekat dengan entry jaringan
13. Kelemahan:
Ketika server menjalankan perangkat lunak web
server IIS, tiba-tiba seorang penyerang
menyerang scr langsung web server dengan
menggunakan aliran web/HTTP.
Karena serangan menyerang kelemahan IIS,
maka paket diizinkan.
Memang penyaringan paket ini tdk terlalu aman,
ttp ini merupakan salah satu teknik yg akan
meningkatkan kualitas keamanan anda.
15. 1. Aplikasi
2. TCP/ UDP
3. Internal IP √
4. Data Link
5. Fisik
Tidak diizinkan
√ Diizinkan
Aliran disaring berdasarkan
aturan-aturan sesi ttt seperti
Saat sesi diinisilisasi oleh
Komputer yang telah dikenali
Aliran yang tidak dikenal hanya
Diizinkan sampai lapisan 4
Pada susunan jaringan
16. SPI muncul di firewall yg berada di belakang
router, yg mengkoneksikan jaringan ke internet.
paket paket
penyaringan
paket masuk
stateful packet Inspection
17. Contoh piranti yg dipilih untuk mengerjakan SPI adalah
firewall.
Saat paket sampai di firewall, maka aturan :
Penentuan apakah paket akan diizinkan (diteruskan)
ke jaringan internal.
Memeriksa header dari paket
Header : type protokol (TCP,UDP,ICMP, dll)
Flag set (SYN,ACK,FIN,RST)
Port (sumber, tujuan)
Meskipun piranti SPI telah meningkatkan skalabilitas
dan fungsinya mll penyaringan paket, namun SPI punya
kelemahan juga.
18. 2 kelemahan SPI adalah :
Tidak ada pengawasan tingkat aplikasi
SPI tdk dpt melihat paket yg lebih tinggi drpd lapisan 4
pd model OSI.
Serangan bisa mengenai server dlm berbagai cara.
Tidak ada status koneksi pad tiap-tiap protokol TCP/IP
Pada layer TCP/IP tdk ada metode utk melacak status
koneksi. Misal untuk protokol UDP atau ICMP yang
tidak memiliki status koneksi.
20. NAT memiliki bbr bentuk & bekerja dgn bbr cara :
Static NIC : memetakan alamat IP perorangan alamat
IP publik dgn one to one. Misal web server kita IP
publik (10.0.0.1).
Bila user akan akses internet, maka NAT akan menkon
figurasikan scr statis utk mengijinkan user yang
menggunakan IP publik di translasikan ke 10.0.0.1
Dynamic NAT : memetakan alamat IP perorangan ke
alamat IP publik (dimana IP publik diambil dari
kelompok IP publik yang telah diregistrasi)
21. Kelemahan NAT :
Terkait dgn UDP
seperti kita ketahui UDP tdk memiliki mekanisme
utk menentukan state, shg NAT tdk memiliki suatu
cara utk mengetahui apakah paket itu mrpk bagian
dari pembicaraan atau transmisi yg terisolasi.
O/ krn itu NAT perlu memperkirakan brp lama
pembicaraan yg memasukkan UDP ini terbuka
sesudah paket terakhir. Ini disebut idle time.
22. Sensitive protocol : Bbr protocol menyembunyikan,
mengubah atau sebaliknya mengaburkan aspek
paket yg dibutuhkan NT utk mengerjakan translasi.
Gangguan pada sistem enkripsi dan otentifikasi :
Bbr sistem enkripsi data berusaha utk
mengamankan integritas paket dgn memastikan
bahwa paket tdk rusak saat transmisi. Namun bila
sistem enkrisipnya tdk bagus, NAT dpt
menyebabkan teknologi enkripsi dan otentifikasi
tdk bekerja dgn baik
23. Keamanan dgn Proxy
dan Application Level Layer
Meskipun masing-masing teknologi beroperasi dgn
sedikit sasaran ttp mereka tetap sama, yaitu utk
meningkatkan keamanan jaringan kita.
Aplication level firewall menyediakan tipe koneksi data
yg paling aman krn mereka dpt menyelidiki tiap layer pd
model proses komunikasi TCP/IP “proxies”
Proxy : menghubungkan dan mengontrol koneksi dgn
menahan dan memeriksa tiap koneksi. Jika proxy
menentukan bahwa koneksi ini diijinkan, maka dia akan
membuka koneksi kedua ke server.
24. Proxy server
1. Aplikasi
2. TCP/UD
3. IP √
4. Data link
5. Fisik
Tdk diijinkan
√ Diijinkan
Trafik difilter berdasarkan
Rule aplikasi khusus dgn
WWW
25. Keamanan dgn Content Filter
Tiap orang membutuhkan utk menfilter bbrp content pd
tiap aspek yg mereka koneksikan. Misal :
Pornografi
Bbrp orang berpikir bahwa mereka memiliki hak untuk men-
surfing pornografi, ttp kondisi ini kurnag bagus, karena
melakukannya ditengah-tengah informasi publik, dimana di tempat
sama juga ada anak-anak yg ikut membacanya.
SPAM
Jika anda memiliki e-mail maka akan bermasalah dgn SPAM.
Cukup sulit utk mendeteksi dan menghentikan SPAM. Setiap
ada solusi, spammer lebih kreatif dan melakukan sesuatu yg
berbeda.
26. Virus dan trojan horse :
Bbrp penyebaran virus mengikuti pola-pola yg berkembang di
internet. Pada saat kita terkoneksi ke internet memiliki e-mail,
dan mengirimkan attachment yg jahat dlm e-mail mrpk hal yg
umum. Content filter akan menyelidiki content attachment tsb
dan menfilter mereka seblm kerusakan terjadi.
Manfaat filtering :
Mengurangi atau mengeliminasi legal liability dgn tdk membiar
kan sumber organisasi Anda digunakan mll suatu penyingkapan
informasi rahasia yg tdk hati-hati.
Mengoptimalkan produktifitas karyawan, siapa yg ingin
membayar seseorang jika mereka men-surfing Internet utk
kesenangan ?
27. Keamanan dgn PKI
Kasus :
Apakah anda pernah membeli/pesan sesuatu scr
elektronik ?
Apakah anda pernah memperhatikan saat anda men
jalankan e-commerce, http://.... Berubah menjadi
https://....... ?
Yang sebenarnya terjadi adalah web browser anda
sedang menggunakan sertifikasi SSL (Secure Socket
Layer)
28. Apakah anda sudah 100 % merasa aman saat
menjalankan e-commerce ?
PASTI : belum
Pada dasarnya kemananan e-commerce tergantung pada
jenis PKI ( Public Key Infrastructure )
Sasaran PKI adalah menyediakan dasar untuk sistem
yang akan mendukung berbagai layanan keamanan,
seperti integritas data dan kerahasiaan data
Teknologi PKI bagus atau jelek ? Ini sulit utk dikatakan
krn PKI tdk cukup matang dikatakan sbg standart.
Akan tetapi, dia menyediakan keamanan yg lebih tinggi
dan dpt membantu.
29. Keamanan dgn Teknologi AAA
Jika anda mengakses layanan mll jaringan, maka anda
membutuhkan 3 hal (AAA) yaitu
Otentifikasi : dilakukan utk memastikan siapa pengguna
jaringan sebenarnya.
Otorisasi : menjalankan otentifikasi secara lebih lengkap
Accounting : mengijinkan administrasi utk mengumpulkan
informasi mengenai pengguna dan tindakan yg mereka
lakukan saat terkoneksi ke piranti jaringan.
30. OTENTIFIKASI
Mengijinkan administrasi jaringan utk mengidentifikasi
siapa yg dapat terkoneksi ke piranti jaringan atau internet
dengan memasukkan username dan kata kunci pengguna.
Misal : ada seorang akan melakukan remote access, yaitu
pengguna mengoneksi ke router dari jarak jauh dengan
fasilitas “Telnet”, maka untuk masuk ke router pengguna
harus memasukkan sebuah kata kunci.
APAKAH INI SUDAH AMAN ????
BELUM
31. Jika router di koneksikan ke internet, maka
penyerang dapat berusaha untuk terkoneksi. Dan
anda mungkin tdk pernah menyadari akan hal ini .
MAKA dengan menggunakan otentifikasi 3A,
kapanpun pengguna log on, pengguna harus meng-
enter username dan password (yang telah ditentukan
administrasi jaringan)
User Access Verification
Username : evy_poerba
Password : xxxxx
MyCiscoRouter>
32. OTORISASI
Mengijinkan administrator untuk mengontrol
tingkatan akses pengguna sesudah mereka dapat akses
ke router.
Accounting
Mengijinkan administrator untuk mengumpulkan
informasi mengenai pengguna dan tindakan yang
mereka lakukan saat terkoneksi ke piranti jaringan.
33. TUGAS
1. Sebutkan konsep mendesain keamanan yang harus
pertimbangkan saat meninjau teknologi keamanan
untuk mengamankan jaringan anda !
2. Cobalah anda melakukan transaksi online (e-
commerce). Jelaskan langkah transaksi online tsb !