Kamis, 11 Oktober 2012

Desain Keamanan Jaringan XII - Tkj1


Metode-metode yang digunakan dalam network security
            Ada banyak metode yang digunakan dalam network security antara lain :
1 Pembatasan akses pada network
Internal password authentication (password pada login system)
Password yang baik menjadi bagian yang paling penting namun sederhana dalam keamanan jaringan. Sebagian besar dari masalah network security disebabkan password yang buruk. Biasanya pembobolan account bisa terjadi hanya dengan menduga-duga passwordnya. Sedangkan bentuk yang lebih canggih lagi adalahdictionary guessing, yang menggunakan program dengan kamus terenkripsi, dibandingkan dengan password terenkripsi yang ada. Untuk itu, file /etc/passwd harus dilindungi, agar tidak dapat diambil dengan ftp atau tftp (berkaitan dengan file-mode). Bila hal itu bisa terjadi, maka tftp harus dinonaktifkan. Ada juga sistem yang menggunakan shadow password, agar password yang ter-enkripsi tidak dapat dibaca. Sering mengganti password dapat menjadi salah satu cara menghindari pembobolan password. Namun, untuk password yang bagus tidak perlu terlalu sering diganti, karena akan sulit mengingatnya. Sebaiknya password diganti setiap 3-6 bulan.


Server-based password authentication
Termasuk dalam metoda ini misalnya sistem Kerberos server, TCP-wrapper, dimana setiap service yang disediakan oleh server tertentu dibatasi dengan suatu daftar host dan user yang boleh dan tidak boleh menggunakan service tersebut.

Server-based token authentication
Metoda ini menggunakan authentication system yang lebih ketat, yaitu dengan penggunaan token / smart card, sehingga untuk akses tertentu hanya bisa dilakukan oleh login tertentu dengan menggunakan token khusus.

Firewall dan Routing Control
Firewall melindungi  host-host pada sebuah network dari berbagai serangan. Meskipun aspek-aspek yang lain dalam jaringan tersebut juga menjadi faktor penentu tingkat keamanan jaringan secara keseluruhan, tetapi firewall atau routing control sangat berpengaruh pada kemanan jaringan tersebut secara keseluruhan.
            Komputer dengan firewall menyediakan kontrol akses ketat antara sistem dengan sistem lain. Konsepnya, firewall mengganti IP router dengan sistem host multi-home, sehingga IP forwarding tidak terjadi antara sistem dengan sistem lain yang dihubungkan melalui firewall tsb. Agar jaringan internal dapat berhubungan dengan jaringan diluarnya dalam tingkat konektifitas tertentu, firewall menyediakan fingsi-fungsi tertentu.

            Firewall mencegah paket IP diteruskan melalui layer IP. Namun, firewall menerima paket dan memprosesnya melalui layer aplikasi. Sebetulnya ada juga router yang mempunyai fasilitas keamanan khusus seperti firewall, dan biasanya disebut ‘secure router’ atau ‘secure gateway’. Namun firewall bukan router, karena tidak meneruskan (forwarding) paket IP. Firewall sebaiknya tidak digunakan untuk memisahkan seluruh jaringan internal dari jaringan luar.
           
            Dengan adanya firewall, semua paket ke sistem di belakang firewall dari jaringan luar tidak dapat dilakukan langsung. Semua hubungan harus dilakukan dengan mesin firewall. Karena itu sistem keamanan di mesin firewall harus sangat ketat. Dengan demikian lebih mudah untuk membuat sistem keamanan yang sangat ketat untuk satu mesin firewall, daripada harus membuat sistem keamanan yang ketat untuk semua mesin di jaringan lokal (internal).
2.3.2 Metode enkripsi
            Salah satu cara pembatasan akses adalah dengan enkripsi. Proses enkripsi meng-encode data dalam bentuk yang hanya dapat dibaca oleh sistem yang mempunyai kunci untuk membaca data. Proses enkripsi dapat dengan menggunakan software atau hardware. Hasil enkripsi disebut cipher. Cipher kemudian didekripsi dengan device dan kunci yang sama tipenya (sama hardware/softwarenya, sama kuncinya). Dalam jaringan, sistem enkripsi harus sama antara dua host yang berkomunikasi. Jadi diperlukan kontrol terhadap kedua sistem yang berkomunikasi. Biasanya enkripsi digunakan untuk suatu sistem yang seluruhnya dikontrol oleh satu otoritas.
2.3.3 Security Monitoring
            Salah satu elemen penting dari keamanan jaringan adalah pemantauannya. Dengan adanya pemantauan yang teratur, maka penggunaan sistem oleh yang tidak berhak dapat dihindari. Selain itu, seiring dengan waktu, maka sistem pun berubah. Keamanan jaringan dapat terpengaruh oleh adanya perubahan ini. Hal ini dapat dideteksi dengan adanya pemantauan.
            Untuk mendeteksi aktifitas yang tidak normal, maka perlu diketahui aktifitas yang normal. Proses apa saja yang berjalan pada saat aktifitas normal. Siapa saja yang biasanya login pada saat tersebut. Siapa saja yang biasanya  login diluar jam kerja. Bila terjadi keganjilan, maka perlu segera diperiksa.
Bila hal-hal yang mencurigakan terjadi, maka perlu dijaga kemungkinan adanya intruder. Perlu juga memberitahu orang-orang yang biasa menggunakan sistem untuk berhati-hati, supaya masalah tidak menyebar ke sistem lain.

2.4       Packet Filtering
Packet filtering adalah sejenis firewall yang bekerja pada layer network model OSI. Ketika menggunakan firewall sebagai packet filtering yang pertama kali dilakukan adalah memikirkan kebijakan apa yang akan diterapkan pada firewall tersebut. Pendekatan yang digunakan oleh firewall untuk melakukan proses filtering paket,secara umum seperti berikut:
·         Semua yang tidak diijinkan dalam aturan adalah di blok.
Pendekatan ini akan mengeblok segala aliran paket antar dua interface kecuali untuk aplikasi yang diijinkan lewat dalam aturan.
·         Semua yang tidak diblok dalam aturan adalah diijinkan
Pendekatan ini akan mengijinkan segala aliran paket antar dua interface kecuali untuk aplikasi yang diblok dalam aturan.
Packet filtering bekerja pada lapisan network dan dilakukan oleh sebuah router yang dapat meneruskan paket berdasarkan aturan dari filteringRouter akan mengekstrak beberapa informasi dari header paket yang datang pada satu  interface dan membuat keputusan berdasarkan aturan yang telah ditetapkan apakah paket akan diteruskan atau diblok.
Beberapa informasi yang dapat diekstrak dari header paket :
·         Alamat asal paket
·         Alamat tujuan paket
·         TCP/UDP source port
·         TCP/UDP destination port
·         Tipe ICMP
·         Informasi protokol ( TCP,UDP, atau  ICMP )

Filtering by IP address
            Seperti telah disebutkan di atas, bahwa pengeblokan paket yang melewati firewallbisa dilakukan dengan melihat alamat asal dan tujuan dari paket, maka pada bagian ini akan di bahas mengenai metode pengeblokan tersebut. Setiap paket yang dikirimkan dari pengirim ke penerima, pasti akan mengalami proses enkapsulasi pada setiap lapisan  di node tersebut. Dari setiap proses enkapsulasi tersebut, setiap lapisan akan menambahkan header sesuai dengan lapisan masing-masing. Proses penambahan header alamat paket baik itu alamat pengirim maupun penerima, menjadi tanggung jawab dari network layer.
                    
Gambar di atas adalah contoh dari internet datagram. Beberapa parameter dari gambar di atas adalah sebagai berikut:
·         Setiap tanda garis di atas merepresentasikan 1 bit.
·         Vers (Version) : 4 bit  field ini mengindikasikan versi dari internet header.
·         Hlen (Header Length) : 4 bit , menjelaskan mengenai panjang dari internet headerdalam 32 bit words, jadi bisa dikatakan menandakan awal dari data. Sebagai catatan,bahwa minimum nilai dari hlen adalah 5
·         TOS (Type of service) : 8 bit. Mengindikasikan beberapa parameter yang digunakan untuk pencapaian quality of servis yang diinginkan.
·         Payload length : 16 bit , merupakan panjang dari datagram, diukur dalam satuanoktet termasuk header dan data.
·         Fragment Identifier : 16 bit
·         Flags : 3 bit
·         Fragment offset : 13 bit
·         Hop Limit / Time to Live : 8 bit , mengindikasikan maksimum waktu dari datagram yang diperbolehkan untuk berada pada system internet.
·         Next Header: 8 bit : Informasi tentang header paket berikut
·         Header checksum : 16 bit : Nilai checksum untuk memeriksa integritas paket
·         Source address : 32 bit : Alamat pengirim paket
·         Destination address  : 32 bit : Alamat tujuan paket
Pada sisi penerima, khususnya pada router yang menjalankan program firewall untuk memfilter paket yang datang, firewall akan melihat header dari masing-masing packet datagram yang datang, dan untuk pemfilteran berdasarkan alamat, firewall akan melihat bagian alamat asal dan alamat tujuan kemudian akan dicocokan dengan aturan yang telah di tetapkan pada firewall. Kalau aturan tidak ada yang memblok alamat asal dan alamat tujuan, maka paket bisa masuk ke lapisan yang lebih tinggi. Semua yang melaksanakan proses ini terjadi pada lapisan network, dimana protokol IP yang menjadi penanggung jawabnya.
            Semua IP header dari sebuah paket terdiri dari alamat asal dan alamat tujuan dan tipe dari protokol yang digunakan paket. Ini berarti bahwa satu-satunya cara untuk proses identifikasi pada level Internet Protocol ( IP ) adalah dari alamat asal pada header IP dari paket. Hal ini bisa menarik minat dari para hacker untuk melakukan penyusupan, yaitu  lubang untuk spoofing alamat asal , dimana si pengirim akan mengganti alamat asal dengan alamat IP yang tidak terdaftar (tidak ilegal) ataupun mengganti dengan alamat IP sembarang server.

Filtering by protocol
            Seperti yang telah disebutkan di atas, Packet filtering bekerja pada layer networkdan dilakukan oleh sebuah router yang dapat meneruskan paket berdasarkan aturan darifiltering. Ketika sebuah paket datang pada routerrouter akan mengekstrak beberapa informasi dari header paket dan membuat keputusan berdasarkan aturan yang telah ditetapkan apakah paket akan diteruskan ataukah diblok.
            Filtering menggunakan protokol, melihat bagian protokol pada internet headerseperti gambar internet header di atas. Bila protokol yang digunakan sesuai dengan aturanyang disebutkan untuk diteruskan, maka paket akan diteruskan, dan begitu juga sebaliknya.

Filtering by port
            Filtering dengan port bekerja pada layer transport. Pada tcp header terdapat bagian port asal dan port tujuan yang akan digunakan untuk menentukan apakah paket bisa masuk ke jaringan lokal  atau diteruskan ke host yang lain oleh router. Nomor port berkisar dari port nomor 0 sampai dengan  65535. Dari sekian banyak port tersebut, berdasarkan konsensus dan perjanjian terbagi menjadi dua bagian. Nomor port dari  0 –1023 dikenal dengan port – port yang privileged , ini berarti bahwa untuk kasus dalam sistem unix , membutuhkan akses root untuk dapat menggunakan port  tersebut. Sedangkan nomor portsisanya , 1024 – 65535 dikenal dengan port  yang unprivileged . ini berarti tidak membutuhkan akses root untuk meggunakan port tersebut. User biasa bisa menggunakan porttersebut. Oleh karena itu sebaiknya untuk proses pengeblokan port, diblok untuk paket-paket dari dan untuk port  aplikasi yang tidak terpakai supaya tidak dimanfaatkan oleh penyusup

Tidak ada komentar:

Posting Komentar