Mendesain Sistem Keamanan Jaringan

BAB III
Mendesain Sistem Keamanan Jaringan

Metode Keamanan Jaringan
Dalam  merencanakan  suatu  keamanan  jaringan,  ada  beberapa  metode  yang  dapat
ditetapkan, metode-metode tersebut adalah sebagai berikut : 
1.    Pembatasan akses pada suatu jaringan 
Ada beberapa konsep dalam pembatasan akses jaringan, yakni sebagai berikut :
a.    Internal Password Authentication 
       Password  local untuk  login  ke  sistem  harus  merupakan  password  yang  baik  serta
       dijaga dengan baik. Pengguaan aplikasi shadow password akan sangat membantu. 
  b.    Server Based password authentication 
  Termasuk  dalam  metoda  ini misalnya  sistem  Kerberos  server,  TCP-wrapper,  dimana
  setiap  service  yang  disediakan  oleh  server  tertentu  dibatasi dengan  suatu  daftar  host
  dan user yang boleh dan tidak boleh menggunakan service tersebut 
c.    Server-based token authentication 
  Metoda  ini  menggunakan  authentication  system  yang  lebih  ketat,  yaitu  dengan
  penggunaan  token  /  smart  card,  sehingga  untuk  akses  tertentu  hanya  bisa  dilakukan
  oleh login tertentu dengan menggunakan token khusus. 
d.    Firewall dan Routing Control 
       Firewall melindungi   host-host  pada  sebuah  network  dari berbagai serangan.  Dengan
        adanya  firewall,  semua  paket  ke  sistem  di belakang  firewall dari jaringan  luar  tidak
        dapat dilakukan langsung. Semua hubungan harus dilakukan dengan mesin firewall
2.    Menggunakan Metode dan mekanisme  tertentu 
a.    Terminologi, Enkripsi & Deskripsi
Terminologi
Cobalah untuk mengikuti langkah-langkah dibawah ini :
Buka Microsoft Word anda dan siapkan sebuah halaman kosong. Buatlah sebuah puisi atau surat kepada seseorang atau teman anda. Gunakan font standard ukuran 12 dan type arial .
Setelah selesai , coba anda blok tulisan anda kemudian hurupnya alihkan ke Bookshelf symbol , atau wingdings atau jenis tulisan yang berupa hurup yang tidak gampang dibaca.
Pelajaran apa yang telah anda dapatkan ?
Saat anda mengirimkan Surat tersebut dan diterima oleh seseorang atau teman anda,
maka  seseorang atau teman anda akan mengubah kembali font Bookshelf symbol menjadi Font Arial  agar bisa dibaca kembali. Maka seseorang atau teman anda seseorang atau teman anda telah melakukan yang disebut Proses Deskripsi ( Descryption ) dengan mengunakan Private Key ( karena dengan kunci yang sama , bukan Public key  ) pada kasus ini keyword nya adalah Font  Arial .    
                                     
Enskripsi
Pada saat anda membuat sebuah surat dengan font Arial berarti anda sudah melakukan apa yang disebut dengan membuat ” Plaintext ” dalam ilmu  Kryptography. Pada saat anda mengubah hurup tersebut dari Arial ke Bookshelf symbol berarti anda sudah melakukan yang disebut System Substitusi ( bukan  Transposisi ) dalam metode Kryptography yang lazim disebut Proses ENKRIPSI (ncryption ) dengan keyword adalah font Bookshelf symbol , sehingga Surat anda sudah tidak dapat dibaca orang lain. Pada saat anda mengubah hurup tersebut dari Arial ke Bookshelf symbol Maka isi surat dengan Font Bookshelf symbol yang anda buat disebut dengan Ciphertext dalam ilmu Kryptography.

Enkripsi adalah proses mengamankan suatu informasi dengan membuat informasi tersebut tidak dapat dibaca tanpa bantuan pengetahuan khusus. atau bisa didefinisikan juga Enkripsi merupakan proses untuk mengubah plainteks menjadi chiperteks. Planteks sendiri adalah data atau pesan asli yang ingin dikirim, sedangkan Chiperteks adalah data hasil enkripsi. Enkripsi dapat diartikan sebagai kode atau chiper.
Sebuah chiper mengunakan suatu algoritma yang dapat mengkodekan semua aliran data (stream) bit dari sebuah pesan menjadi cryptogram yang tidak dimengerti (unintelligible). Karena teknik chiper merupakan suatu system yang telah siap untuk di automasi, maka teknik ini digunakan dalam system keamanan computer dan jaringan. Enkripsi dimaksudkan untuk melindungi informasi agar tidak terlihat oleh orang atau pihak yang tidak berhak. Informasi ini dapat berupa nomor kartu kredit, catatan penting dalam komputer, maupun password untuk mengakses sesuatu. Deskripsi dalam dunia keamanan komputer merupakan proses untuk mengubah chiperteks menjadi plainteks atau pesan asli. Jadi Deskripsi merupakan kebalikan dari Enkripsi upaya pengolahan data menjadi sesuatu yang dapat diutarakan secara jelas dan tepat dengan tujuan agar dapat dimengerti oleh orang yang tidak langsung mengalaminya sendiri.

Kategori dari Enkripsi
Dalam hal ini terdapat tiga kategori enkripsi, yaitu :
Kunci enkripsi rahasia, artinya terdapat sebuah kunci yang digunakan untuk mengenkripsi dan juga sekaligus mendekripsikan informasi.
Kunci enkripsi public, artinya dua kunci digunakan satu untuk proses enkripsi dan yang lain untuk proses dekripsi.
Fungsi one-way, atau fungsi satu arah adalah suatu fungsi dimana informasi dienkripsi untuk menciptakan “signature” dari informasi asli yang bisa digunakan untuk keperluan autentikasi.



Model – model Enkripsi
Symmetric Cryptosystem ( Enkripsi Konvensional)
Dalam symmetric cryptosystem,kunci yang digunakan dalam proses enkripsi dan dekripsi adalah sama atau pada prinsipnya identik. Kunci ini pun bisa diturunkan dari kunci lainnya. Oleh karena itu sistem ini sering disebut secret-key ciphersystem. Kunci yang menggunakan teknik enkripsi ini harus betul-betul dirahasiakan.
Assymmetric Cryptosystem (Enkripsi public-key)
Dalam Assymmetric cryptosystem,kunci yang digunakan terdapat dua buah. Satu kunci yang dapat dipublikasikan deisebut kunci publik (public key), satu lagi kunci yang harus dirahasiakan disebut kunci privat (private key). Secara sedehana proses tersebut diterangkan sebagai berikut :
– A mengirimkan pesan kepada B.
– A menyandikan pesannya dengan menggunakan kunci publik B.
– Bila B ingin membaca pesan dari A, ia harus menggunakan kunci privatnya untuk mendekripsikan pesan yang tersandikan itu.

Enkripsi mempunyai kelebihan dan kekurangan yang diantaranya adalah:
·         Kelebihan dari Enkripsi
o    Kerahasiaan suatu informasi terjamin
o    Menyediakan autentikasi dan perlindungan integritas pada algoritmachecksum/hash
o    Menanggulangi penyadapan telepon dan email
o    Untuk digital signature
·         Kekurangan dari Enkripsi
o    Penyandian rencana teroris
o    Penyembunyian record kriminal oleh seorang penjahat
o    Pesan tidak bisa dibaca bila penerima pesan lupa atau kehilangan kunci
Jadi kesimpulan dari Enkripsi adalah upaya untuk mengamankan data/informasi, meskipun bukan merupakan satu-satunya cara untuk mengamankan data/informasi. Adapun tujuan dari enkripsi adalah sebagai berikut:
1.      Kerahasiaan :Yaitu untuk menjaga isi dari informasi dari siapapun kecuali yang memiliki otoritas atau kunci rahasia untuk membuka informasi yang telah dienkripsi.
2.      Integritas data : Untuk menjaga keaslian/keutuhan data, sistem harus memiliki kemampuan untuk mendeteksi manipulasi data oleh pihak-pihak yang tidak berhak, antara lain penyisipan, penghapusan, dan pensubsitusian data lain kedalam data yang sebenarnya.
3.      Autentikasi : Ini berhubungan dengan identifikasi/pengenalan, baik secara kesatuan sistem maupun informasi itu sendiri. Dua pihak yang saling berkomunikasi harus saling memperkenalkan diri. Informasi yang dikirimkan melalui kanal harus diautentikasi keaslian, isi datanya, waktu pengiriman, dan lain-lain.
4.      Non-repudiasi/Nirpenyangkalan : Adalah usaha untuk mencegah terjadinya penyangkalan terhadap pengiriman/terciptanya suatu informasi oleh yang mengirimkan/membuat. Cara kerja dari algoritma ini adalah dengan menggantikan setiap karakter dari plaintext dengan karakter lain.
Dari beberapa pengertian diatas kita dapat mengerti apa itu enkripsi dan dimana posisi enkripsi bila disandingkan dengan kriptografi. Untuk mengenal lebih jauh mengenai enkripsi dan kriptografi Maka kita harus mengerti beberapa istilah diantaranya yaitu :
1.    Plaintext Adalah pesan yang hendak dikirimkan dan berisi data berisi informasi yang asli.
2.    Ciphertext Adalah pesan tersandi yang merupakan hasil enkripsi dari plaintext.
3.    Enkripsi Adalah proses pengubahan informasi asli menjadi informasi yang tersandi.
4.    Deskripsi Merupakan kebalikan dari enkripsi dimana pengembalian data tersandi menjadi data asli yang dapat dimengerti.
5.    Kunci/Key Adalah suatu bilangan yang dirahasiakan yang digunakan dalam proses enkripsi dan deskripsi.
Kemudian, proses yang akan dibahas dalam artikel ini meliputi 2 proses dasar pada Kriptografi yaitu: Enkripsi (Encryption) Dekripsi (Decryption) dengan key yang digunakan sama untuk kedua proses diatas. Penggunakan key yang sama untuk kedua proses enkripsi dan dekripsi ini disebut juga dengan Secret Key, Shared Key atau Symetric Key Cryptosystems.Berikut adalah ilustrasi 4 komponen dan 2 proses yang digunakan dalam teknik kriptografi.
Contoh Enkripsi :

Deskripsi dalam dunia keamanan komputer merupakan proses untuk mengubah chiperteks menjadi plainteks atau pesan asli jadi Deskripsi merupakan  kebalikan dari Enkripsi upaya pengolahan data menjadi sesuatu yang dapat diutarakan secara jelas dan tepat dengan tujuan agar dapat dimengerti oleh orang yang tidak langsung mengalaminya sendiri.

Algoritma yang digunakan dalam kriptografi bukanlah agoritma yang harus rumit dalam mengolah pesan. Ada beberapa syarat dimana algoritma kriptografi dikategorikan menjadi algoritma yang baik dan memenuhi syarat yaitu :
1.  Kerahasiaan
     Dimana adanya jaminan bahwa pesan tersebut hanya dapat dibaca oleh pihak yang berwenang  membaca pesan tersebut.
2.  Autentikasi
Pengirim pesan harus dapat diidentifikasi dengan pasti dan memastikan penyusup tidak bisa berpura-pura menjadi orang lain.
1.    Integritas
     Penerima pesan harus dapat memastikan bahwa pesan yang dia terima tidak dimodifikasi pada saat proses transmisi data.
4.  Non-Repudiation
     Pengirim pesan harus tidak bisa menyangkal pesan yang dia kirimkan.

Selain 4 kategori diatas, claude shannon seorang penemu dibidang teknologi informasi pernah mengatakan bahwa algoritma kriptografi harus memiliki kekuatan untuk melakukan konfusi difusi. Konfusi adalah kondisi dimana mengaburkan hubungan antara plaintext dengan chipertext. Difusi adalah menyebarkan redudansi plaintext dengan menyebarkan masukan ke seluruh chipertext. Konfusi dan difusi akan menjadi penting dan memperkuat tujuan dari proses enkripsi yang dilakukan sehingga tidak akan mudah untuk membobol sebuah informasi dan kemanan akan informasi semakin kuat.



  
Kriptografi
Kriptografi (cryptography) merupakan ilmu dan seni untuk menjaga pesan agar aman. “Crypto” berarti secret (rahasia) dan “graphy” berarti writing (tulisan). Para pelaku atau praktisi kriptografi disebut cryptographers. Sebuah algoritma kriptografi (cryptographic algorithm), disebut cipher merupakan persamaan matematik yang digunakan untuk proses enkripsi dan deskripsi. Enkripsi merupakan proses yang dilakukan untuk mengamankan sebuah pesan (yang disebut plaintext) menjadi pesan yang tersembungi (disebut ciphertext). Ciphertext adalah pesan yang sudah tidak dapat dibaca dengan mudah. Deskripsi merupakan proses sebaliknya untuk mengubah ciphertext menjadi plaintext. Cryptanalysis adalah seni dan ilmu untuk memecahkan ciphertext tanpa bantuan kunci. Cryptanalyst adalah pelaku atau praktisi yang menjalankan cryptanalysis

 5 TEKNIK DASAR KRIPTOGRAFI
a. Substitusi
Salah satu contoh teknik ini adalah Caesar cipher. Langkah pertama adalah membuat suatu tabel substitusi. Tabel substitusi dapat dibuat sesuka hati, dengan catatan bahwa penerima pesan memiliki tabel yang sama untuk keperluan dekripsi. Bila tabel substitusi dibuat secara acak, akan semakin sulit pemecahan ciphertext oleh orang yang tidak berhak.
Contoh :
 
Gambar.1. Subsitusi
Data Asal (plaintext) = “ RUMAH “
Dengan Key = 7
Data Acak (Chiphertext) = “XASGN”


b. Blocking
Sistem enkripsi terkadang membagi plaintext menjadi blok-blok yang terdiri dari beberapa karakter yang kemudian dienkripsikan secara independen. Plaintext yang dienkripsikan dengan menggunakan teknik blocking adalah :
                                                           

                                                       Gambar 2. Enkripsi dengan Blocking

Dengan menggunakan enkripsi blocking dipilih jumlah lajur dan kolom untuk penulisan pesan. Jumlah lajur atau kolom menjadi kunci bagi kriptografi dengan teknik ini. Plaintext dituliskan secara vertikal ke bawah berurutan pada lajur, dan dilanjutkan pada kolom berikutnya sampai seluruhnya tertulis. Ciphertext-nya adalah hasil pembacaan plaintext secara horizontal berurutan sesuai dengan blok-nya. Jadi ciphertext yang dihasilkan dengan teknik ini adalah “5K G KRTDRAEAIFKSPINAT IRO”. Plaintext dapat pula ditulis secara horizontal dan ciphertextnya adalah hasil pembacaan secara vertikal.


c. Permutasi
Salah satu teknik enkripsi yang terpenting adalah permutasi atau sering juga disebut transposisi. Teknik ini memindahkan atau merotasikan karakter dengan aturan tertentu. Prinsipnya adalah berlawanan dengan teknik substitusi. Dalam teknik substitusi, karakter berada pada posisi yang tetap tapi identitasnya yang diacak. Pada teknik permutasi, identitas karakternya tetap, namun posisinya yang diacak. Sebelum dilakukan permutasi, umumnya plaintext terlebih dahulu dibagi menjadi blok-blok dengan panjang yang sama.
Untuk contoh diatas, plaintext akan dibagi menjadi blok-blok yang terdiri dari 6 karakter, dengan aturan permutasi sebagai berikut :
                                          

                                                        Gambar 3. Permutasi

Dengan menggunakan aturan diatas, maka proses enkripsi dengan permutasi dari plaintext adalah sebagai berikut:


                                             Gambar 4. Proses Enkripsi dengan Permutasi

Ciphertext yang dihasilkan dengan teknik permutasi ini adalah “N ETK5 SKD AIIRK RAATGORP FI”.


d. Ekspansi
Suatu metode sederhana untuk mengacak pesan adalah dengan memelarkan pesan itu dengan aturan tertentu. Salah satu contoh penggunaan teknik ini adalah dengan meletakkan huruf konsonan atau bilangan ganjil yang menjadi awal dari suatu kata di akhir kata itu dan menambahkan akhiran “an”. Bila suatu kata dimulai dengan huruf vokal atau bilangan genap, ditambahkan akhiran “i”. Proses enkripsi dengan cara ekspansi terhadap plaintext terjadi sebagai berikut :
                     
                                                 Gambar 5. Enkripsi dengan Ekspansi

Ciphertextnya adalah “5AN EKNIKTAN ASARDAN RIPTOGRAFIKAN”. Aturan ekspansi dapat dibuat lebih kompleks. Terkadang teknik ekspansi digabungkan dengan teknik lainnya, karena teknik ini bila berdiri sendiri terlalu mudah untuk dipecahkan.

e. Pemampatan (Compaction)
Mengurangi panjang pesan atau jumlah bloknya adalah cara lain untuk menyembunyikan isi pesan. Contoh sederhana ini menggunakan cara menghilangkan setiap karakter ke-tiga secara berurutan. Karakter-karakter yang dihilangkan disatukan kembali dan disusulkan sebagai “lampiran” dari pesan utama, dengan diawali oleh suatu karakter khusus, dalam contoh ini digunakan “&”. Proses yang terjadi untuk plaintext kita adalah :
                             

                                                    Gambar 6. Enkripsi dengan Pemampatan

Aturan penghilangan karakter dan karakter khusus yang berfungsi sebagai pemisah menjadi dasar untuk proses dekripsi ciphertext menjadi plaintext kembali.
Dengan menggunakan kelima teknik dasar kriptografi diatas, dapat diciptakan kombinasi teknik kriptografi yang amat banyak, dengan faktor yang membatasi semata-mata hanyalah kreativitas dan imajinasi kita. Walaupun sekilas terlihat sederhana, kombinasi teknik dasar kriptografi dapat menghasilkan teknik kriptografi turunan yang cukup kompleks, dan beberapa teknik dasar kriptografi masih digunakan dalam teknik kriptografi modern.


b.    Digital Signature 
Digunakan  untuk  menyediakan  authentication,  perlindungan,  integritas,  dan  non-repudiation

c.    Algoritma Checksum/Hash 
Digunakan  untuk  menyediakan  perlindungan  integritas,  dan  dapat  menyediakan authentication
Satu atau lebih mekanisme dikombinasikan untuk menyediakan security service
3.    Pemonitoran terjadwal terhadap jaringan 
Dengan  adanya  pemantauan  yang  teratur,  maka  penggunaan  sistem  oleh  yang tidak berhak dapat  dihindari /  cepat  diketahui.  Untuk  mendeteksi aktifitas  yang  tidak  normal, maka  perlu  diketahui aktifitas  yang  normal.  Proses  apa  saja  yang  berjalan  pada  saat aktifitas  normal.  Siapa  saja  yang  biasanya  login  pada  saat  tersebut.  Siapa  saja  yang biasanya    login  diluar  jam  kerja.  Bila  terjadi keganjilan,  maka  perlu  segera  diperiksa. Bila hal-hal yang mencurigakan terjadi, maka perlu dijaga kemungkinan adanya intruder.

Metodologi    keamanan  informasi    bertujuan  untuk  meminimalisasi    kerusakan  dan
memelihara keberlangsungan bisnis dengan memerhatikan semua kemungkinan kelemahan dan
ancaman  terhadap  aset  informasi.  Untuk    menjamin  keberlangsungan    bisnis,  metodologi
keamanan  informasi   berusaha  memastikan  kerahasiaan,  integritas  dan  ketersediaan  aset
informasi internal.  Hal ini termasuk  penerapan    metode  dan  kontrol manajemen    risiko.  Pada dasarnya, yang dibutuhkan adalah rencana yang bagus  dan  meliputi  aspek administratif, fisik, serta teknis dari keamanan informasi. 

 Beberapa  Langkah  dalam  perancangan  Sistem  dengan  memperhatikan  aspek  Keamanan Jaringan : 
1.    Menentukan topologi jaringan yang akan digunakan.
2.    Menentukan kebijakan atau policy . 
3.    Menentukan aplikasi – aplikasi atau servis-servis apa saja yang akan berjalan.
4.    Menentukan  pengguna mana  saja  yang  akan  dikenakan  oleh  satu  atau  lebih aturan firewall.
5.    Menerapkan kebijakan, aturan, dan prosedur dalam implementasi firewall.
6.    Sosialisasi kebijakan, aturan, dan prosedur yang sudah diterapkan. 

Arsitektur sistem IDS 
 Intrusion Detection System (IDS) pada implementasi komponen / modul : 
1.    Sensor modul
2.    Analyzer modul
3.    Database system  

 
Sensor  berfungsi untuk  mengambil data  dari jaringan.  Sensor  merupakan  bagian  dari
sistem  deteksi  dini  dari  IDS.  Untuk  itu  digunakan  suatu    program  yang  berfungsi sebagai intrusion  detector  dengan  kemampuan  packet  logging  dan  analisis  traffik  yang  realtime.
Analyzer berfungsi untuk  analisa paket yang lewat pada jaringan. Informasi dari analyzer yang
akan menjadi input bagi sistem lainnya.  Salah satu perangkat lunak yang sering digunakan pada IDS adalah snort, karena snort mempunyai kemampuan    menjadi sensor  dan  analyzer  serta  sesuai untuk  diterapkan  pada rancangan sistem keamanan.
Arsitektur  Sistem  AIRIDS  (Automatic  Interactive  Reactive  Intrusion  Detection System)  merupakan  suatu  metode  kemanan  jaringan  yang  bertujuan  untuk  membentuk suatu  arsitektur  sistem keamanan  yang  terintegrasi antara  Intrusion  Detection  System  (IDS),Firewall System, Database System dan Monitoring System.

komponen-komponen / modul  AIRIDS berupa :
1.    Intrusion detection system (IDS)
a.    Sensor modul
b.    Analyzer  modul
2.    Database system 
3.    Monitoring system
4.    Firewall system
5.    SMS system (optional) 
Klasifikasi desain Firewall :
1.      Packet Filtering
Sistem paket filtering atau sering juga disebut dengan  screening router adalah router yang melakukan routing paket antara internal dan eksternal network  secara selektif sesuai dengan  security  policy  yang digunakan pada  network  tersebut.
Informasi yang digunakan untuk menyeleksi paket-paket tersebut adalah:
  • IP address asal
  • IP address tujuan
  • Protocol (TCP, UDP, atau ICMP)
  • Port TCP atau UDP asal
  • Port TCP atau UDP tujuan
Beberapa contoh routing paket selektif yang dilakukan oleh Screening Router :
  • Semua koneksi dari luar sistem yang menuju internal network diblokade kecuali untuk koneksi SMTP
  • Memperbolehkan service email dan FTP, tetapi memblok  service-service berbahaya seperti TFTP, X Window, RPC dan ‘r’ service (rlogin, rsh, rcp, dan lain-lain).
Selain memiliki keuntungan tertentu di antaranya aplikasi screening router ini dapat bersifat transparan dan implementasinya relatif lebih murah dibandingkan metode firewall yang lain, sistem paket filtering ini memiliki beberapa kekurangan yakni tingkat security-nya masih rendah, masih memungkinkan adanya IP Spoofing, tidak ada screening pada layer-layer di atas network layer.

2.      Application Level Gateway (Proxy Services)
Proxy service merupakan aplikasi spesifik atau program server yang dijalankan pada mesin Firewall, program ini mengambil user request untuk Internet service (seperti FTP, telnet, HTTP) dan meneruskannya (bergantung pada security policy) ke host yang dituju.  Dengan kata lain adalah proxy merupakan perantara antara internal network dengan eksternal network (Internet). Pada sisi ekternal hanya dikenal mesin proxy tersebut, sedangkan mesin-mesin yang berada di balik mesin proxy tersebut tidak terlihat. Akibatnya sistem proxy ini kurang transparan terhadap user yang ada di dalam
Sistem Proxy ini efektif hanya jika pada konjungsi antara internal dan eksternal network terdapat mekanisme yang tidak memperbolehkan kedua network tersebut terlibat dalam komunikasi langsung. Keuntungan yang dimiliki oleh sistem proxy ini adalah tingkat sekuritasnya lebih baik daripada screening router, deteksi paket yang dilakukan sampai pada layer aplikasi. Sedangkan kekurangan dari sistem ini adalah perfomansinya lebih rendah daripada screening  router karena terjadi penambahan  header  pada paket yang dikirim, aplikasi yang di-support  oleh  proxy  ini terbatas, serta sistem ini kurang transparan.

Arsitektur dasar firewall :
  • Dual-Homed Host (Dual Homed Gateway /  DHG)
Sistem DHG menggunakan sebuah komputer dengan (paling sedikit) dua network-interface. Interface pertama dihubungkan dengan jaringan internal dan yang lainnya dengan Internet. Dual-homed host nya sendiri berfungsi sebagai bastion host (front terdepan, bagian terpenting dalam firewall).

Dual Homed Gateway


  • Screened-Host (Screened Host Gateway/ SHG)
Pada topologi SHG, fungsi firewall dilakukan oleh sebuah screening-router dan bastion host. Router ini dikonfigurasi sedemikian sehingga akan menolak semua trafik kecuali yang ditujukan ke bastion host, sedangkan pada trafik internal tidak dilakukan pembatasan. Dengan cara ini setiap client servis pada jaringan internal dapat menggunakan fasilitas komunikasi standard dengan Internet tanpa harus melalui proxy.

Screened Host Gateway

  • Screened Subnet (Screened Subnet Gateway/ SSG)
Firewall dengan arsitektur screened-subnet menggunakan dua screening-router dan jaringan tengah (perimeter network) antara kedua router tersebut, dimana ditempatkan bastion host. Kelebihan susunan ini akan terlihat pada waktu optimasi penempatan server.

Screened Subnet Gateway



Penerapan Virtual Privat Network (VPN) 
Defenisi VPN
Virtual Private Network atau Jaringan Pribadi Maya sesungguhnya sama  dengan Jaringan Pribadi (Private Network/PN) pada umumnya, di mana satu jaringan komputer suatu lembaga atau perusahaan di suatu daerah atau negara terhubung dengan jaringan komputer dari satu grup perusahaan yang sama di daerah atau negara lain. Perbedaannya hanyalah pada media penghubung antar jaringan. Kalau pada PN, media penghubungnya masih merupakan milik perusahaan/grup itu sendiri, dalam VPN, media penghubungnya adalah jaringan publik seperti Internet.
Dalam VPN, karena media penghubung antar jaringannya adalah jaringan publik, diperlukan pengamanan dan pembatasan-pembatasan. Pengamanan diperlukan untuk menjaga agar tidak sebarang orang dari jaringan publik dapat masuk ke jaringan pribadi. Yang dikecualikan hanyalah orang-orang yang terdaftar atau terotentifikasi terlebih dahulu yang dapat masuk ke jaringan pribadi. Pembatasan diperlukan untuk menjaga agar tidak semua orang atau user dari jaringan pribadi dapat mengakses jaringan publik (internet).

Cara membentuk VPN 

1.   Tunnelling
Sesuai dengan arti tunnel atau lorong, dalam membentuk suatu VPN ini dibuat suatu tunnel di dalam jaringan publik untuk menghubungkan antara jaringan yang satu dan jaringan lain dari suatu grup atau perusahaan.yang ingin membangun VPN tersebut. Seluruh komunikasi data antarjaringan pribadi akan melalui tunnel ini, sehingga orang atau user dari jaringan publik yang tidak memiliki izin untuk masuk tidak akan mampu untuk menyadap, mengacak atau mencuri data yang melintasi tunnel ini. Ada beberapa metode tunelling yang umum dipakai, di antaranya: IPX To IP Tunnelling, atau PPP To IP Tunnelling
IPX To IP tunnelling biasa digunakan dalam jaringan VPN Novell Netware. Jadi dua jaringan Novell yang terpisah akan tetap dapat saling melakukan komunikasi data melalui jaringan publik Internet melalui tunnel ini tanpa kuatir akan adanya gangguan pihak ke-3 yang ingin mengganggu atau mencuri data. Pada IPX To IP tunnelling, paket data dengan protokol IPX (standar protokol Novell) akan dibungkus (encapsulated) terlebih dahulu oleh protokol IP (standar protokol Internet) sehingga dapat melalui tunnel ini pada jaringan publik Internet. Sama halnya untuk PPP To IP tunnelling, di mana PPP protokol diencapsulated oleh IP protokol.
Saat ini beberapa vendor hardware router seperti Cisco, Shiva, Bay Networks sudah menambahkan kemampuan VPN dengan teknologi tunnelling pada hardware mereka.

2.   Firewall
Sebagaimana layaknya suatu dinding, Firewall akan bertindak sebagai pelindung atau pembatas terhadap orang-orang yang tidak berhak untuk mengakses jaringan kita. Umumnya dua jaringan yang terpisah yang menggunakan Firewall yang sejenis, atau seorang remote user yang terhubung ke jaringan dengan menggunakan software client yang terenkripsi akan membentuk suatu VPN, meskipun media penghubung dari kedua jaringan tersebut atau penghubung antara remote user dengan jaringan tersebut adalah jaringan publik seperti Internet.
Suatu jaringan yang terhubung ke Internet pasti memiliki IP address (alamat Internet) khusus untuk masing-masing komputer yang terhubung dalam jaringan tersebut. Apabila jaringan ini tidak terlindungi oleh tunnel atau firewall, IP address tadi akan dengan mudahnya dikenali atau dilacak oleh pihak-pihak yang tidak diinginkan. Akibatnya data yang terdapat dalam komputer yang terhubung ke jaringan tadi akan dapat dicuri atau diubah. Dengan adanya pelindung seperti firewall, kita bisa menyembunyikan (hide) address tadi sehingga tidak dapat dilacak oleh pihak-pihak yang tidak diinginkan.


Kemampuan firewall dalam penerapannya pada VPN 
1.    IP Hiding/Mapping
Kemampuan ini mengakibatkan IP address dalam jaringan dipetakan atau ditranslasikan ke suatu IP address baru. Dengan demikian IP address dalam jaringan tidak akan dikenali di Internet.
2.    Privilege Limitation
Dengan kemampuan ini kita dapat membatasi para user dalam jaringan sesuai dengan otorisasi atau hak yang diberikan kepadanya. Misalnya, User A hanya boleh mengakses home page, user B boleh mengakses home page, e-mail dan news, sedangkan user C hanya boleh mengakses e-mail.
3.    Outside Limitation
Dengan kemampuan ini kita dapat membatasi para user dalam jaringan untuk hanya mengakses ke alamat-alamat tertentu di Internet di luar dari jaringan kita.
4.    Inside Limitation
Kadang-kadang kita masih memperbolehkan orang luar untuk mengakses informasi yang tersedia dalam salah satu komputer (misalnya Web Server) dalam jaringan kita. Selain itu, tidak diperbolehkan, atau memang sama sekali tidak dizinkan untuk mengakses seluruh komputer yang terhubung ke jaringan kita.
5.    Password and Encrypted Authentication
Beberapa user di luar jaringan memang diizinkan untuk masuk ke jaringan kita untuk mengakses data dan sebagainya, dengan terlebih dahulu harus memasukkan password khusus yang sudah terenkripsi.

3.   Mengamankan saluran terbuka
Protokol TCP/IP merupakan protocol dalam set standar yang terbuka dalam pengiriman data, untuk itulah perlu dilakukan enkripsi dalam rangka penanganan keamanan data yang diterapkan pada protocol tersebut, yang meliputi:

A. Keamanan pada Lapisan Aplikasi
1.      SET (Secure Electronics Transaction)
o   Menentukan bagaimana transaksi mengalir antara pemakai, pedagang dan bank.
o   Menentukan fungsi keamanan : digital signature, hash dan enkripsi.
o   Produk dari Mastercard dan VISA International.
2.      Secure HTTP
o   Produk dari workgroup IETF, diimplementasikan pada webserver mulai 1995.
o   Menentukan mekanisme kriptografi standar untuk mengenkripsikan pengiriman data http
3.      Pretty Good Privacy (PGP)
o   Standarisasi RFC 1991
o   Membuat dan memastikan digital signature, mengenkripsi – deskripsi dan mengkompresi data.
4.      Secure MIME (S/MIME)
o   Standarisasi RFC 1521
o   MIME (Multipurpose Internet Mail Extension)
o   Menentukan cara menempelkan file untuk dikirim ke internet dengan menggunakan metode hirarki dalm pendefenisian user remi dan sertfikat digitalnya.
5.      Cybercash
o   Standarisasi RFC 1898
o   Memproses kartu kredit di internet dengan mengenkripsi dan menandatangani transaksi secara digital.


B. Keamanan dalam Lapisan Transport
SSL (Secure Socket Layer)
o   Produk Netscape
o   Protocol yang menegoisasikan hubungan yang aman antara client dan server, dengan menggunakan kunci enkripsi 40-bit.

C. Keamanan dalam Lapisan Network
  • IP security Protocol: melindungi protocol client IP pada network layer.
  • IP Authentication header
  • IP Encapsulating Security protocol
  • Simple-key management for Internet protocol (SKIP)
  • Internet security Association and key management protocol (ISAKMP)
  • Internet key management protocol (IKMP)

I.    TUGAS KELOMPOK :
Kerjakan bersama dengan anggota kelompokmu !
1.   Diskusikan dengan temanmu bagaimana kamu mendesain keamanan jaringan !
2.   Buatlah kesimpulan dari apa yang kamu diskusikan dengan kelompokmu !

II.    TUGAS MANDIRI :
Berilah tanda silang (x) pada salah satu huruf a,b,c,d atau e didepan jawaban yang paling tepat !
1.    Sistem Kerberos Server termasuk dalam metoda keamanan jaringan ........
a.    Firewall & Routing Control                                   d.  Internal Password Authentication
b.    Server based token Authentication                 e.  Time ti live password Authentication
c.     Server based password authentication
2.    Termasuk dalam proses apa bila mengkode data dalam bentuk yang hanya dapat dibaca oleh sistem yang mempunyai kunci untuk membaca adalah proses .......
a.    Enkripsi                                                                        d.  Digital Signature
b.    Deskripsi                                                                     e.   Algoritma
c.     Kriptogafi
3.    Digital Signature adalah ...........
a.    Termasuk dalam proses
b.    Menyediakan authentication, perlindungan, integritas dan non repudiat
c.     Menyediakan perlindungan integras & dapat menyediakan authentication
d.    Untuk mengamankan sebuah pesan
e.    Dikombinasikan untuk menyediakan security service
4.    Tujuan dari metodologi keamanan informasi ........
a.    Rencana yang bagus & meliputi aspek administratif, fisik serta teknis dari keamanan informasi
b.    Bila hal-hal yang mencurigaka terjadi maka perlu dijaga kemungkinan adanya intruder
c.     Menyediakan perlindungan integras & dapat menyediakan authentication
d.    Untuk meminimalisasi kerusakan & memelihara keberlangsungan bisnis dengan memerhatikan semua kemungkinan
e.    Menentukan kebijakan, aturan & prosedur dalam implementasikan firewall








5.    Urutan yang benar dari langkah dalam perancangan sistem dengan memperhatikan aspek keamanan jaringan .........
1.         Menentukan topologi jaringan yang akan digunakan.
2.    Menentukan kebijakan atau policy . 
3.    Menentukan aplikasi – aplikasi atau servis-servis apa saja yang akan berjalan.
4.    Menentukan  pengguna mana  saja  yang  akan  dikenakan  oleh  satu  /  lebih aturan firewall.
5.    Menerapkan kebijakan, aturan, dan prosedur dalam implementasi firewall.
6.    Sosialisasi kebijakan, aturan, dan prosedur yang sudah diterapkan.  
a.       1 2 3 4 5 6                                                d.  4 5 6 2 3 1
b.      2 3 4 5 6 1                                                e.  5 6 4 3 2 1
c.       3 4 5 6 2 1
6.    Kepanjangan dari AIRIDS adalah .....
a.         Automation Interactive Reactive Intrusion Detection System
b.        Automatition Interactive Reactive Intrusion Detection System
c.         Authentivion Interactive Reactive Intrusion Detection System
d.        Authentic Interactive Reactive Intrusion Detection System
e.        Automatic Interactive Reactive Intrusion Detection System
7.    Suatu metode keamanan jaringan yang bertujuan untuk membentuk suatu arsitektur sistem keamanan yang berintegrasi antara ........
a.       Automatic  Interactive  Reactive  Intrusion  Detection System
b.      Intrusion Detection System (IDS), firewall system, database system & monitoring system
c.       Membuat dan memastikan digital signature, mengenkripsi – deskripsi dan mengkompresi data
d.      Protocol yang menegoisasikan hubungan yang aman antara client dan server, dengan menggunakan kunci enkripsi 40-bit
e.      Menentukan cara menempelkan file untuk dikirim ke internet dengan menggunakan metode hirarki dalm pendefenisian user remi dan sertfikat digitalnya
8.    Komponen-komponen AIRIDS berupa kecuali....
a.       Intrusion Detection System (IDS)                    d.  Firewall System
b.      Database System                                                   e.  Koneksi System
c.       Monitoring System
9.    Terminologi Kriptografi merupakan ilmu ............
a.       Seni untuk menjaga pesan agar aman           d.  Seni desain jaringan
b.      Teknologi Informatika                                          e.  Teknik Komputer Jaringan
c.       Criminalitas Keamanan Jaringan
10. Kemampuan ini mengakibatkan IP address dalam jaringan dipetakan atau ditranslasikan ke suatu IP address baru yaitu ................
a.    IP Hiding/Mapping                                                  d.  Routing Control
b.    Dual Homed Gateway                                            e.  TCP
c.     Digital Signature
11. Sistem DHG (Dual Homed Gateway)menggunakan
a.    sebuah komputer dengan (paling sedikit) dua network-interface
b.    Digital signature, mengenkripsi – deskripsi dan mengkompresi data
c.     Protocol yang menegoisasikan hubungan yang aman antara client dan server, dengan menggunakan kunci enkripsi 40-bit
d.    client dan server, dengan menggunakan kunci enkripsi 40-bit
e.    kartu kredit di internet dengan mengenkripsi dan menandatangani transaksi secara digital
12. Yang bukan merupakan metoda keamanan jaringan yaitu .......
a. Internal Password Authentication              d. Firewall dan Routing Control 
b.   Server Based password authentication      e.  
Digital Signature
c.   Server-based token authentication 

13. Pesan yang sudah tidak dapat dibaca dengan mudah .....
a.       Ciphertext                                                                 d.  Plaintext
b.      Encryption                                                                 e.  Decryption
c.       Encipher
14. Salah satu pembatasan akses adalah dengan .....
a.       Ciphertext                                                                 d.  Plaintext
b.      Encryption                                                                 e.  Decryption
c.       Encipher
15. Salah satu perangkatan lunak yang sering digunakan pada IDS adalah snot karena ........
a.       Memproses kartu kredit di internet dengan mengenkripsi dan menandatangani transaksi secara digital
b.      Protocol yang menegoisasikan hubungan yang aman antara client dan server, dengan menggunakan kunci enkripsi 40-bit
c.       Menentukan cara menempelkan file untuk dikirim ke internet dengan menggunakan metode hirarki dalm pendefenisian user remi dan sertfikat digitalnya
d.      Mempunyai kemampuan menjadi sensor dan analyzer serta sesuai untuk diterapkan pada rancangan sistem keamanan
e.      Rencana yang bagus  dan  meliputi  aspek administratif, fisik, serta teknis dari keamanan informasi
16. Standarisasi dari secure mime adalah .........
a.       Standarisasi RFC 1521                                           d. Standarisasi RFC 1215
b.      Standarisasi RFC 1251                                           e.  Standarisasi RFC 1125
c.       Standarisasi RFC 1152
17. Standarisasi dari cybercash adalah .............
a.       Standarisasi RFC 1988                                           d.  Standarisasi RFC 9881
b.      Standarisasi RFC 1898                                           e.  Standarisasi RFC 8918
c.       Standarisasi RFC 1889
18. Menentukan cara menempelkan file untuk dikirim ke internet dengan menggunakan metode hirarki dalm pendefenisian user remi dan sertfikat digitalnya terdapat pada lapisan aplikasi ....
a.       Secure HTTP                                                             d.  SET ( Secure Electronics Transaction )
b.      Pretty Good Privacy (PGP)                                 e.  Secure MIME (S/MIME)
c.       Cybercash
19. Membuat dan memastikan digital signature, mengenkripsi – deskripsi dan mengkompresi data terdapat pada lapisan aplikasi .........
a.    Secure HTTP                                                               d.  SET ( Secure Electronics Transaction )
b.    Pretty Good Privacy (PGP)                                   e.  Secure MIME (S/MIME)
c.     Cybercash
20. Memproses kartu kredit di internet dengan mengenkripsi dan menandatangani transaksi secara digital terdapat pada lapisan aplikasi ........
a.    Secure HTTP                                                               d.  SET ( Secure Electronics Transaction )
b.    Pretty Good Privacy (PGP)                                   e.  Secure MIME (S/MIME)
c.     Cybercash











III.  JAWABLAH PERTANYAAN-PERTANYAAN DIBAWAH INI DENGAN BENAR !
1.       Sebutkan & Jelaskan konsep dalam pembatasan akses jaringan !
 




2.       Jelaskan apa yang dimaksud dengan :
a.    Enkripsi
 


b.    Terminologi Kriptografi
 


c.     Digital Signature
 


d.    Algoritma Checksum Hash
 


e.    Terminologi Enkripsi Deskripsi
 



3.       Tujuan dari keamanan informasi bertujuan untuk .........
 




4.       Pada Intrusion Detection Sysytem (IDS) implementasi komponennya adalah .......
 




5.       Sensor pada arsitektur teknologi berfungsi ...........
 




6.       Arsitektur sistem AIRIDS yang bertujuannya untuk ...........
 




7.       Sebutkan komponen-komponen AIRIDS !
 




8.       Apa yang dilakukan oleh sistem paket filtering ?
 




9.       Informasi yang digunakan untuk menyeleksi paket-paket tersebut adalah ......
 




10.   Sebutkan & Jelaskan Arsitektur dasar firewall !
 





DAFTAR PUSTAKA

Modul Depdiknas 2005,Sistem Keamanan Jaringan, Jakarta



SMKN 2 Bawang Banjarnegara, modul Membuat Desain Sistem Keamanan Jaringan



Komentar

Postingan populer dari blog ini

SOAL PRODUKTIF TKJ

SOAL-SOAL KEAMANAN JARINGAN

Merancang Jaringan Komputer dengan Cisco Paket Tracer