Jumat, 16 Desember 2011
Penerapan Jaringan Komputer
Firewall suatu cara atau mekanisme yang diterapkan oleh Hardware, Software ataupun sistem itu sendiri untuk melindungi, menyaring, maupun membatasi semua hubungan atau kegiatan pada segmen jaringan luar yang bukan merupakan ruang lingkupnya. Segmen yang dimaksud Workstation, Server, Router, atau LAN.
Karakteristik Firewall
Seluruh hubungan/kegiatan dari dalam ke luar, harus melewati firewall. Hal ini dapat dilakukan dengan cara memblok/membatasi baik secara fisik semua akses terhadap jaringan lokal.
Hanya kegiatan yang terdaftar atau dikenal yang dapat melewati atau melakukan melewati atau melakukan hubungan, hal ini dapat dilakukan dengan mengatur policy pada konfigurasi keamanan lokal. Banyak sekali jenis firewall yang dapat dipilih sekaligus berbagai jenis policy yang ditawarkan.
Firewall itu sendiri haruslah kebal atau relatif kuat terhadap serangan atau kelemahan. hal ini berarti penggunaan sistem yang dapat dipercaya dan dengan sistem yang relatif aman.
Konfigurasi Firewall
Ada beberapa konfigurasi firewall, sebagai berikut:
Screened Host Firewall system (single-homed bastion)
Pada konfigurasi ini, fungsi firewall akan dilakukan oleh packet filtering router dan bastion host). Router ini dikonfigurasikan sedemikian rupa sehingga untuk semua arus data dari Internet, hanya paket IP yang menuju bastion host yang diijinkan. Sedangkan untuk arus data (traffic) dari jaringan internal, hanya paket IP dari bastion host yang diijinkan untuk keluar.
Konfigurasi ini mendukung fleksibilitas dalam akses internet secara langsung, sebagai contoh apabila terdapat web server pada jaringan ini maka dapat dikonfigurasikan agar web server dapat diakses langsung dari internet. Bastion host8 melakukan fungsi authentikasi dan fungsi sebagai proxy. Konfigurasi ini memberikan tingkat keamanan yang lebih baik daripada packet-filtering router atau application-level gateway secara terpisah.
Screened Host Firewall system (Dual-homed bastion)
Pada konfigurasi ini, secara fisik akan terdapat patahan/celah dalam jaringan. Kelebihannya dibanding konfigurasi pertama, adapun untuk server-server yang memerlukan direct access (akses dengan adanya dua jalur yang memisahkan secara fisik maka akan lebih meningkatkan keamanan langsung) maka dapat diletakkan di tempat/segment yang langsung berhubungan dengan internet. Hal ini dapat dilakukan dengan cara menggunakan 2 buah NIC (network interface card) pada bastion host.
Screened subnet firewall
Ini merupakan konfigurasi yang paling tinggi tingkat keamanannya. Karena pada konfigurasi ini digunakan 2 buah packet filtering router, salah satunya terletak di8Bastion Host adalah sistem/bagian yang dianggap tempat terkuat dalam sistem keamanan jaringan oleh administrator atau dapat disebut bagian terdepan yang dianggap paling kuat dalam menahan serangan, sehingga menjadi bagian terpenting dalam pengamanan jaringan, biasanya merupakan komponen firewall atau bagian terluar sistem publik. Umumnya bastion host akan menggunakan sistem operasi yang dapat menangani semua kebutuhan (misal, Unix, linux, NT). Antara internet dan bastion host, sedangkan sisanya terletak di antara bastian host dan jaringan lokal. Konfigurasi ini membentuk subnet yang terisolasi.
Adapun kelebihannya adalah :
Terdapat 3 lapisan/tingkat pertahanan terhadap penyusup/intruder .
Router luar hanya melayani hubungan antara internet dan bastion host sehingga jaringan lokal menjadi tak terlihat (invisible).
Jaringan lokal tidak dapat mengkonstuksi routing langsung ke internet, atau dengan kata lain, internet menjadi invisible (bukan berarti tidak bisa melakukan koneksi internet).
Prinsip Keamanan Jaringan
• Berdasarkan Elemen System :
• Network security
difokuskan pada saluran (media) pembawa informasi atau jalur yang dilalui.
• Application security
difokuskan pada aplikasinya sistem tersebut, termasuk database dan servicesnya.
• Computer security
difokuskan pada keamanan dari komputer pengguna (end system) yang digunakan untuk mengakses aplikasi, termasuk operating system (OS)
Menurut Jay Ramachandran pada bukunya “Designing Security Architecture Solutions”.
1. Authentication
• Menyatakan bahwa data atau informasi yang digunakan atau diberikan oleh pengguna adalah benarbenar asli milik pengguna tersebut, demikian juga dengan server dan sistem informasi
yang diakses, merupakan server atau sistem informasi yang
dituju (Idealnya terjadi mutual otentikasi )Menyatakan bahwa
data atau informasi yang digunakan atau diberikan oleh pengguna adalah benarbenar asli milik pengguna tersebut, demikian
juga dengan server dan sistem informasi yang diakses, merupakan server atau sistem informasi yang dituju (Idealnya terjadi
mutual otentikasi ).
• Serangan pada jaringan berupa DNS Corruption atau DNS Poison, terminal palsu (spooffing), situs aspal dan palsu, user dan password palsu.
• Countermeasure: Digital Signature atau Digital Certificate misalnya teknologi SSL/TLS untuk web dan mail server.
2. Authorization atau Access Control
• Pengaturan siapa dapat melakukan apa, atau akses dari mana menuju ke mana.
• Dapat menggunakan mekanisme user/password atau group/membership.
• Ada pembagian kelas atau tingkatan.
• Implementasi : pada “ACL” antar jaringan, pada “ACL” proxy
server (mis. pembatasan bandwidth/delaypools).
3. Privacy / confidentiality
• Keamanan terhadap data data pribadi, messages/pesanpesan atau informasi lainnya yang sensitif.
• Serangan pada jaringan berupa aktifitas sniffing
(penyadapan) dan adanya keylogger. Umumnya terjadi karena kebijakan/policy yang kurang jelas
• Siapa yang paling mungkin melakukan ?
Admin atau ISP nakal ?
• Countermeasure : gunakan teknologi
enkripsi/kriptografi.
4. Integrity
• Bahwa informasi atau pesan dipastikan tidak dirubah atau berubah.
• Serangan pada jaringan dapat berupa aktifitas spoofing, mail modification, trojan horse, MITM attack.
• Countermeasure : dengan teknologi digital signature dan Kriptografi spt PGP, 802.1x, WEP,
• WPA
5. Availability
• Keamanan atas ketersediaan layanan informasi dan infrastruktur.
• Serangan pada jaringan: DoS (denial of services) baik disadari/sengaja maupun tidak. Aktifitas malware, worm, virus dan bomb mail sering memacetkan jaringan.
• Countermeasure : Firewall dan router filtering, backup dan redundancy, IDS dan IPS
6. Nonrepudiation
• Menjaga agar jika sudah melakukan transaksi atau aktifitas online, maka tidak dapat di sangkal.
• Umumnya digunakan untuk aktifitas ecommerce. Misalnya email yang digunakan untuk bertransaksi menggunakan digital signature.
• Pada jaringan dapat menggunakan digital signature, sertifikat dan kriptografi.
• Contoh kasus, mail.jogja.go.id ? Mail Spoofing masih di mungkinkan terjadi?
7. Auditing
• Adanya berkas semacam rekaman komunikasi data yang terjadipada jaringan untuk keperluan audit seperti mengidentifikasi seranganserangan pada jaringan atau server.
• Penting memperhatikan space HDD untuk file logging (management log)
• Contoh Implementasi : pada firewall (IDS/IPS) atau router menggunakan system logging (syslog)
Prinsip Keamanan Jaringan
Komponen Keamanan Jaringan Komputer
Komponen Keamanan Jaringan Komputer
Jaringan Komputer tersusun dari beberapa elemen dasar yang meliputi komponen hardware dan software, yaitu :
1. Komponen Hardware
Personal Computer (PC), Network Interface Card (NIC), Kabel dan topologi jaringan.
2. Komponen Software
Sistem Operasi Jaringan, Network Adapter Driver, Protokol Jaringan.
A. Perangkat jaringan
1. Repeater
Berfungsi untuk menerima sinyal kemudian meneruskan kembali sinyal yang diterima dengan kekuatan yang sama. Dengan adanya repeter, sinyal dari suatu komputer dapat komputer lain yang letaknya berjauhan.
2. Hub
Fungsinya sama dengan repeater hanya hub terdiri dari beberapa port, sehingga hub disebut juga multiport repeter. Repeater dan hub bekerja di physical layer sehingga tidak mempunyai pengetahuan mengenai alamat yang dituju. Meskipun hub memiliki beberapa port tetapi tetap menggunaka metode broadcast dalam mengirimkan sinyal, sehingga bila salah satu port sibuk maka port yang lain harus menunggu jika ingin mengirimkan sinyal.
3. Bridge
Berfungsi seperti repeater atau hub tetapi lebih pintar karena bekerja pada lapisan data link sehingga mempunyai kemampuan untuk menggunakan MAC address dalam proses pengiriman frame ke alamat yang dituju.
4. Switch
Fungsinya sama dengan bridge hanya switch terdiri dari beberapa port sehingga switch disebut multiport bridge. Dengan kemampuannya tersebut jika salah satu port pada switch sibuk maka port-port lain masih tetap dapat berfungsi. Tetapi bridge dan switch tidak dapat meneruskan paket IP yang ditujukan komputer lain yang secara logic berbeda jaringan.
B. Jenis Kabel dan Pengkabelan
Setiap jenis kabel mempunyai kemampuan dan spesifikasinya yang berbeda, oleh karena itu dibuatlah pengenalan tipe kabel. Ada beberapa jenis kabel yang dikenal secara umum, yaitu twisted pair (UTPunshielded twisted pair dan STP shielded twisted pair), coaxial cable dan fiber optic.
1. Thin Ethernet (Thinnet)
Thin Ethernet atau Thinnet memiliki keunggulan dalam hal biaya yang relatif lebih murah dibandingkan dengan tipe pengkabelan lain, serta pemasangan komponennya lebih mudah. Panjang kabel thin coaxial/RG-58 antara 0.5 – 185 m dan maksimum 30 komputer terhubung.Kabel coaxial jenis ini banyak dipergunakan di kalangan radio amatir, terutama untuk transceiver yang tidak memerlukan output daya yang besar.
Untuk digunakan sebagai perangkat jaringan, kabel coaxial jenis ini harus memenuhi standar IEEE 802.3 10BASE2, dimana diameter rata-rata berkisar 5mm dan biasanya berwarna hitam atau warna gelap lainnya. Setiap perangkat (device) dihubungkan dengan BNC T-connector. Kabel jenis ini juga dikenal sebagai thin Ethernet atau ThinNet. Kabel coaxial jenis ini, misalnya jenis RG-58 A/U atau C/U, jika diimplementasikan dengan Tconnector dan terminator dalam sebuah jaringan, harus mengikuti aturan sebagai berikut:
• Setiap ujung kabel diberi terminator 50-ohm.
• Panjang maksimal kabel adalah 1,000 feet (185 meter) per segment.
• Setiap segment maksimum terkoneksi sebanyak 30 perangkat jaringan (devices)
• Kartu jaringan cukup menggunakan transceiver yang onboard, tidak perlu tambahan transceiver, kecuali untuk repeater.
• Maksimum ada 3 segment terhubung satu sama lain (populated segment).
• Setiap segment sebaiknya dilengkapi dengan satu ground.
• Panjang minimum antar T-Connector adalah 1,5 feet (0.5 meter).
• Maksimum panjang kabel dalam satu segment adalah 1,818 feet (555 meter).
• Setiap segment maksimum mempunyai 30 perangkat terkoneksi.
2. Thick Ethernet (Thicknet)
Dengan thick Ethernet atau thicknet, jumlah komputer yang dapat dihubungkan dalam jaringan akan lebih banyak dan jarak antara komputer dapat diperbesar, tetapi biaya pengadaan pengkabelan ini lebih mahal serta pemasangannya relatif lebih sulit dibandingkan dengan Thinnet. Pada Thicknet digunakan transceiver untuk menghubungkan setiap komputer dengan sistem jaringan dan konektor yang digunakan adalah konektor tipe DIX. Panjang kabel transceiver maksimum 50 m, panjang kabel Thick Ethernet maksimum 500 m dengan maksimum 100 transceiver terhubung. Kabel coaxial jenis ini dispesifikasikan berdasarkan standar IEEE 802.3 10BASE5, dimana kabel ini mempunyai diameter rata-rata 12mm, dan biasanya diberi warna kuning; kabel jenis ini biasa disebut sebagai standard ethernet atau thick Ethernet, atau hanya disingkat ThickNet, atau bahkan cuman disebut sebagai yellow cable.Kabel Coaxial ini (RG-6) jika digunakan dalam jaringan mempunyai spesifikasi dan aturan sebagai berikut:
• Setiap ujung harus diterminasi dengan terminator 50-ohm (dianjurkan menggunakan terminator yang sudah dirakit, bukan menggunakan satu buah resistor 50-ohm 1 watt, sebab resistor mempunyai disipasi tegangan yang lumayan lebar).
• Maksimum 3 segment dengan peralatan terhubung (attached devices) atau berupa populated segments.
• Setiap kartu jaringan mempunyai pemancar tambahan (external transceiver).Setiap segment maksimum berisi 100 perangkat jaringan, termasuk dalam hal ini repeaters.
• Maksimum panjang kabel per segment adalah 1.640 feet (atau sekitar 500 meter).
• Maksimum jarak antar segment adalah 4.920 feet (atau sekitar 1500 meter).
• Setiap segment harus diberi ground.
• Jarak maksimum antara tap atau pencabang dari kabel utama ke perangkat (device) adalah 16 feet (sekitar 5 meter). Jarang minimum antar tap adalah 8 feet (sekitar 2,5 meter).
Menjelaskan dan membandingkan komponen teknik keamanan pada jaringan
- Password
Menggunakan aman, informasi login terenkripsi untuk komputer dengan akses jaringan harus persyaratan minimum dalam organisasi apapun. Perangkat lunak berbahaya memonitor jaringan dan dapat merekam plaintext password. Jika password yang dienkripsi, penyerang harus men-decode enkripsi untuk mempelajari password.
- Logging dan Audit
Logging dan audit harus diaktifkan untuk memonitor aktivitas pada jaringan. Audit administrator jaringan file log kejadian untuk menyelidiki jaringan akses oleh pengguna yang tidak sah.
-Konfigurasi Wireless
Koneksi nirkabel sangat rentan terhadap akses oleh penyerang. Klien nirkabel harus dikonfigurasi untuk mengenkripsi data.
-Security Technologies
Teknologi keamanan termasuk pengkodean hash, enkripsi simetris, enkripsi asimetris, dan Virtual Private Networks (VPN).
Menjelaskan dan membandingkan perangkat akses control
-Physical Security
Gunakan perangkat keras keamanan untuk membantu mencegah pelanggaran keamanan dan hilangnya data atau peralatan. Langkah-langkah akses kontrol keamanan fisik meliputi:
~Lock - Perangkat yang paling sering digunakan untuk mengutamakan daerah fisik.
~Conduit - Casing yang melindungi dedia dari kerusakan infrastruktur dan akses yang illegal.
~Card Key - Kegunaanya hampir sama dengan KEY bedanya ini berbentuk kartu dan harganya lebih mahal.
~Video Equpment - Catatan gambar dan suara untuk kegiatan pemantauan.
~Security Guard - Orang yang dapat mengontrol akses ke pintu masuk fasilitas dan memantau kegiatan di dalam fasilitas.
- Data Security
Anda dapat melindungi data dengan menggunakan perangkat keamanan data untuk otentikasi akses karyawan. Dua-faktor identifikasi metode untuk meningkatkan keamanan. Karyawan harus menggunakan kedua kata sandi dan perangkat keamanan data serupa dengan yang tercantum di sini:~Smart Card -Kemampuan untuk menyimpan data dengan aman.
~Security key fob - Perangkat yang mirip dengan gantungan kunci, memiliki radio kecil yang mampu berhubungan dengan komputer dalam jarak pendek.
~Biometric device - Mengukur karakteristik sesuai dengan database dan informasilogin yang benar diberikan.
Tiga metode yang umumnya digunakan baik untuk menghancurkan atau mendaur ulang data dan hard drive:
· Menghapus data
· Hard drive kerusakan
· Hard drive daur ulang
Menjelaskan dan membandingkan jenis firewall
Hardware dan software firewall melindungi data dan peralatan pada jaringan dari akses yang tidak sah. Firewall harus digunakan selain perangkat lunak keamanan.
Hardware dan software firewall memiliki beberapa mode untuk menyaring lalu lintas data jaringan:
~Packet filter - seperangkat aturan yang memungkinkan atau menyangkal lalu lintas berdasarkan kriteria seperti alamat IP, protokol, atau port yang digunakan.
~Firewall proxy - Befungsi untuk memeriksa lau lintas yang memungkinkan menolak paket berdasarkan aturan konfigurasi.
~Stateful packet inspection - Firewall yang melacak keadaan koneksi jaringan melalui firewall.
-Hardware Firewall
Sebuah Hardware firewall adalah komponen fisik yang memeriksa penyaringan paket data dari jaringan sebelum mereka mencapai komputer dan perangkat lain pada jaringan. Sebuah firewall hardware adalah unit yang berdiri bebas yang tidak menggunakan sumber daya dari komputer itu adalah melindungi, sehingga tidak ada dampak pada kinerja pengolahan.
-Software Firewall
Sebuah software firewall
aplikasi pada komputer yang memeriksa dan data filter paket. Windows Firewall adalah sebuah contoh dari software firewall yang disertakan dalam sistem operasi Windows. Sebuah firewall perangkat lunak menggunakan sumber daya dari komputer, sehingga kinerja berkurang bagi pengguna.