Mendesain Sistem Keamanan Jaringan
BAB III
Mendesain
Sistem Keamanan Jaringan
Dalam merencanakan suatu keamanan jaringan,
ada beberapa metode yang dapat
ditetapkan, metode-metode tersebut adalah sebagai berikut :
ditetapkan, metode-metode tersebut adalah sebagai berikut :
1.
Pembatasan akses pada suatu jaringan
Ada beberapa konsep dalam pembatasan akses jaringan, yakni sebagai berikut :
a. Internal Password Authentication
Password local untuk login ke sistem harus merupakan password yang baik serta
dijaga dengan baik. Pengguaan aplikasi shadow password akan sangat membantu.
Ada beberapa konsep dalam pembatasan akses jaringan, yakni sebagai berikut :
a. Internal Password Authentication
Password local untuk login ke sistem harus merupakan password yang baik serta
dijaga dengan baik. Pengguaan aplikasi shadow password akan sangat membantu.
b.
Server Based password authentication
Termasuk dalam metoda ini misalnya sistem Kerberos server, TCP-wrapper, dimana
setiap service yang disediakan oleh server tertentu dibatasi dengan suatu daftar host
dan user yang boleh dan tidak boleh menggunakan service tersebut
Termasuk dalam metoda ini misalnya sistem Kerberos server, TCP-wrapper, dimana
setiap service yang disediakan oleh server tertentu dibatasi dengan suatu daftar host
dan user yang boleh dan tidak boleh menggunakan service tersebut
c. Server-based token
authentication
Metoda ini menggunakan authentication system yang lebih ketat, yaitu dengan
penggunaan token / smart card, sehingga untuk akses tertentu hanya bisa dilakukan
oleh login tertentu dengan menggunakan token khusus.
Metoda ini menggunakan authentication system yang lebih ketat, yaitu dengan
penggunaan token / smart card, sehingga untuk akses tertentu hanya bisa dilakukan
oleh login tertentu dengan menggunakan token khusus.
d. Firewall dan
Routing Control
Firewall
melindungi host-host pada sebuah network
dari berbagai serangan. Dengan
adanya firewall, semua paket ke sistem di belakang firewall dari jaringan luar tidak
dapat dilakukan langsung. Semua hubungan harus dilakukan dengan mesin firewall
adanya firewall, semua paket ke sistem di belakang firewall dari jaringan luar tidak
dapat dilakukan langsung. Semua hubungan harus dilakukan dengan mesin firewall
2.
Menggunakan Metode dan mekanisme tertentu
a. Terminologi,
Enkripsi & Deskripsi
Terminologi
Cobalah untuk mengikuti langkah-langkah dibawah ini :
Buka Microsoft Word anda dan siapkan sebuah halaman kosong. Buatlah sebuah puisi atau surat kepada seseorang atau teman anda. Gunakan font standard ukuran 12 dan type arial .
Setelah selesai , coba anda blok tulisan anda kemudian hurupnya alihkan ke Bookshelf symbol , atau wingdings atau jenis tulisan yang berupa hurup yang tidak gampang dibaca.
Pelajaran apa yang telah anda dapatkan ?
Buka Microsoft Word anda dan siapkan sebuah halaman kosong. Buatlah sebuah puisi atau surat kepada seseorang atau teman anda. Gunakan font standard ukuran 12 dan type arial .
Setelah selesai , coba anda blok tulisan anda kemudian hurupnya alihkan ke Bookshelf symbol , atau wingdings atau jenis tulisan yang berupa hurup yang tidak gampang dibaca.
Pelajaran apa yang telah anda dapatkan ?
Saat anda mengirimkan Surat tersebut dan diterima oleh seseorang
atau teman anda,
maka seseorang atau teman anda akan mengubah kembali font Bookshelf
symbol menjadi Font Arial agar bisa dibaca kembali. Maka seseorang atau
teman anda seseorang atau teman anda telah melakukan yang disebut Proses
Deskripsi ( Descryption ) dengan mengunakan Private Key ( karena dengan kunci
yang sama , bukan Public key ) pada kasus ini keyword nya adalah
Font Arial .
Enskripsi
Pada saat anda membuat sebuah surat dengan font Arial berarti anda sudah melakukan apa yang disebut dengan membuat ” Plaintext ” dalam ilmu Kryptography. Pada saat anda mengubah hurup tersebut dari Arial ke Bookshelf symbol berarti anda sudah melakukan yang disebut System Substitusi ( bukan Transposisi ) dalam metode Kryptography yang lazim disebut Proses ENKRIPSI (ncryption ) dengan keyword adalah font Bookshelf symbol , sehingga Surat anda sudah tidak dapat dibaca orang lain. Pada saat anda mengubah hurup tersebut dari Arial ke Bookshelf symbol Maka isi surat dengan Font Bookshelf symbol yang anda buat disebut dengan Ciphertext dalam ilmu Kryptography.
Pada saat anda membuat sebuah surat dengan font Arial berarti anda sudah melakukan apa yang disebut dengan membuat ” Plaintext ” dalam ilmu Kryptography. Pada saat anda mengubah hurup tersebut dari Arial ke Bookshelf symbol berarti anda sudah melakukan yang disebut System Substitusi ( bukan Transposisi ) dalam metode Kryptography yang lazim disebut Proses ENKRIPSI (ncryption ) dengan keyword adalah font Bookshelf symbol , sehingga Surat anda sudah tidak dapat dibaca orang lain. Pada saat anda mengubah hurup tersebut dari Arial ke Bookshelf symbol Maka isi surat dengan Font Bookshelf symbol yang anda buat disebut dengan Ciphertext dalam ilmu Kryptography.
Enkripsi adalah proses
mengamankan suatu informasi dengan membuat informasi tersebut tidak dapat
dibaca tanpa bantuan pengetahuan khusus. atau bisa didefinisikan juga Enkripsi
merupakan proses untuk mengubah plainteks menjadi chiperteks. Planteks sendiri
adalah data atau pesan asli yang ingin dikirim, sedangkan Chiperteks adalah
data hasil enkripsi. Enkripsi dapat diartikan sebagai kode atau chiper.
Sebuah chiper mengunakan
suatu algoritma yang dapat mengkodekan semua aliran data (stream) bit dari
sebuah pesan menjadi cryptogram yang tidak dimengerti (unintelligible). Karena
teknik chiper merupakan suatu system yang telah siap untuk di automasi, maka
teknik ini digunakan dalam system keamanan computer dan jaringan. Enkripsi
dimaksudkan untuk melindungi informasi agar tidak terlihat oleh orang atau
pihak yang tidak berhak. Informasi ini dapat berupa nomor kartu kredit, catatan
penting dalam komputer, maupun password untuk mengakses sesuatu. Deskripsi
dalam dunia keamanan komputer merupakan proses untuk mengubah chiperteks
menjadi plainteks atau pesan asli. Jadi Deskripsi merupakan kebalikan dari
Enkripsi upaya pengolahan data menjadi sesuatu yang dapat diutarakan secara
jelas dan tepat dengan tujuan agar dapat dimengerti oleh orang yang tidak
langsung mengalaminya sendiri.
Kategori dari Enkripsi
Dalam hal ini terdapat tiga kategori enkripsi, yaitu :
Kunci enkripsi rahasia, artinya terdapat sebuah kunci yang
digunakan untuk mengenkripsi dan juga sekaligus mendekripsikan informasi.
Kunci enkripsi public, artinya dua kunci digunakan satu untuk proses enkripsi dan yang lain untuk proses dekripsi.
Fungsi one-way, atau fungsi satu arah adalah suatu fungsi dimana informasi dienkripsi untuk menciptakan “signature” dari informasi asli yang bisa digunakan untuk keperluan autentikasi.
Kunci enkripsi public, artinya dua kunci digunakan satu untuk proses enkripsi dan yang lain untuk proses dekripsi.
Fungsi one-way, atau fungsi satu arah adalah suatu fungsi dimana informasi dienkripsi untuk menciptakan “signature” dari informasi asli yang bisa digunakan untuk keperluan autentikasi.
Model – model Enkripsi
Symmetric Cryptosystem ( Enkripsi Konvensional)
Dalam symmetric cryptosystem,kunci yang digunakan dalam proses enkripsi dan dekripsi adalah sama atau pada prinsipnya identik. Kunci ini pun bisa diturunkan dari kunci lainnya. Oleh karena itu sistem ini sering disebut secret-key ciphersystem. Kunci yang menggunakan teknik enkripsi ini harus betul-betul dirahasiakan.
Dalam symmetric cryptosystem,kunci yang digunakan dalam proses enkripsi dan dekripsi adalah sama atau pada prinsipnya identik. Kunci ini pun bisa diturunkan dari kunci lainnya. Oleh karena itu sistem ini sering disebut secret-key ciphersystem. Kunci yang menggunakan teknik enkripsi ini harus betul-betul dirahasiakan.
Assymmetric Cryptosystem (Enkripsi public-key)
Dalam Assymmetric cryptosystem,kunci yang digunakan terdapat dua buah. Satu kunci yang dapat dipublikasikan deisebut kunci publik (public key), satu lagi kunci yang harus dirahasiakan disebut kunci privat (private key). Secara sedehana proses tersebut diterangkan sebagai berikut :
– A mengirimkan pesan kepada B.
– A menyandikan pesannya dengan menggunakan kunci publik B.
– Bila B ingin membaca pesan dari A, ia harus menggunakan kunci privatnya untuk mendekripsikan pesan yang tersandikan itu.
Dalam Assymmetric cryptosystem,kunci yang digunakan terdapat dua buah. Satu kunci yang dapat dipublikasikan deisebut kunci publik (public key), satu lagi kunci yang harus dirahasiakan disebut kunci privat (private key). Secara sedehana proses tersebut diterangkan sebagai berikut :
– A mengirimkan pesan kepada B.
– A menyandikan pesannya dengan menggunakan kunci publik B.
– Bila B ingin membaca pesan dari A, ia harus menggunakan kunci privatnya untuk mendekripsikan pesan yang tersandikan itu.
Enkripsi mempunyai kelebihan dan kekurangan yang diantaranya
adalah:
·
Kelebihan dari Enkripsi
o Kerahasiaan suatu informasi terjamin
o Menyediakan autentikasi dan perlindungan integritas pada algoritmachecksum/hash
o Menanggulangi penyadapan telepon dan email
o Untuk digital signature
·
Kekurangan dari Enkripsi
o Penyandian rencana teroris
o Penyembunyian record kriminal oleh seorang
penjahat
o Pesan tidak bisa dibaca bila penerima pesan lupa atau kehilangan
kunci
Jadi kesimpulan dari Enkripsi adalah upaya untuk mengamankan
data/informasi, meskipun bukan merupakan satu-satunya cara untuk mengamankan
data/informasi. Adapun tujuan dari enkripsi adalah sebagai berikut:
1.
Kerahasiaan :Yaitu untuk
menjaga isi dari informasi dari siapapun kecuali yang memiliki otoritas atau
kunci rahasia untuk membuka informasi yang telah dienkripsi.
2.
Integritas data : Untuk
menjaga keaslian/keutuhan data, sistem harus memiliki kemampuan untuk
mendeteksi manipulasi data oleh pihak-pihak yang tidak berhak, antara lain
penyisipan, penghapusan, dan pensubsitusian data lain kedalam data yang
sebenarnya.
3.
Autentikasi : Ini berhubungan
dengan identifikasi/pengenalan, baik secara kesatuan sistem maupun informasi
itu sendiri. Dua pihak yang saling berkomunikasi harus saling memperkenalkan
diri. Informasi yang dikirimkan melalui kanal harus diautentikasi keaslian, isi
datanya, waktu pengiriman, dan lain-lain.
4.
Non-repudiasi/Nirpenyangkalan
: Adalah usaha untuk mencegah terjadinya penyangkalan terhadap
pengiriman/terciptanya suatu informasi oleh yang mengirimkan/membuat. Cara
kerja dari algoritma ini adalah dengan menggantikan setiap karakter dari plaintext dengan
karakter lain.
Dari beberapa pengertian diatas kita dapat mengerti apa itu
enkripsi dan dimana posisi enkripsi bila disandingkan dengan kriptografi. Untuk
mengenal lebih jauh mengenai enkripsi dan kriptografi Maka kita harus mengerti
beberapa istilah diantaranya yaitu :
1. Plaintext Adalah pesan
yang hendak dikirimkan dan berisi data berisi informasi yang asli.
2. Ciphertext Adalah pesan tersandi yang merupakan hasil
enkripsi dari plaintext.
3. Enkripsi Adalah proses
pengubahan informasi asli menjadi informasi yang tersandi.
4. Deskripsi Merupakan kebalikan dari enkripsi
dimana pengembalian data tersandi menjadi data asli yang dapat dimengerti.
5. Kunci/Key Adalah suatu bilangan yang
dirahasiakan yang digunakan dalam proses enkripsi dan deskripsi.
Kemudian, proses yang akan dibahas dalam artikel ini meliputi 2
proses dasar pada Kriptografi yaitu: Enkripsi (Encryption) Dekripsi
(Decryption) dengan key yang digunakan sama untuk kedua proses diatas.
Penggunakan key yang sama untuk kedua proses enkripsi dan dekripsi ini disebut
juga dengan Secret Key, Shared Key atau Symetric Key Cryptosystems.Berikut
adalah ilustrasi 4 komponen dan 2 proses yang digunakan dalam teknik
kriptografi.
Contoh
Enkripsi :
Deskripsi dalam dunia keamanan komputer merupakan proses untuk
mengubah chiperteks menjadi plainteks atau pesan asli jadi Deskripsi
merupakan kebalikan dari Enkripsi upaya pengolahan data menjadi sesuatu
yang dapat diutarakan secara jelas dan tepat dengan tujuan agar dapat
dimengerti oleh orang yang tidak langsung mengalaminya sendiri.
Algoritma yang digunakan dalam kriptografi bukanlah agoritma yang
harus rumit dalam mengolah pesan. Ada beberapa syarat dimana algoritma
kriptografi dikategorikan menjadi algoritma yang baik dan memenuhi syarat yaitu
:
1. Kerahasiaan
Dimana adanya jaminan bahwa pesan tersebut
hanya dapat dibaca oleh pihak yang berwenang membaca pesan tersebut.
2. Autentikasi
Pengirim pesan harus
dapat diidentifikasi dengan pasti dan memastikan penyusup tidak bisa berpura-pura
menjadi orang lain.
1. Integritas
Penerima pesan harus dapat memastikan bahwa
pesan yang dia terima tidak dimodifikasi pada saat proses transmisi data.
4. Non-Repudiation
Pengirim pesan harus
tidak bisa menyangkal pesan yang dia kirimkan.
Selain 4 kategori diatas, claude shannon seorang penemu dibidang
teknologi informasi pernah mengatakan bahwa algoritma kriptografi harus
memiliki kekuatan untuk melakukan konfusi difusi. Konfusi adalah kondisi dimana
mengaburkan hubungan antara plaintext dengan chipertext. Difusi adalah
menyebarkan redudansi plaintext dengan menyebarkan masukan ke seluruh
chipertext. Konfusi dan difusi akan menjadi penting dan memperkuat tujuan dari
proses enkripsi yang dilakukan sehingga tidak akan mudah untuk membobol sebuah
informasi dan kemanan akan informasi semakin kuat.
Kriptografi
Kriptografi (cryptography)
merupakan ilmu dan seni untuk menjaga pesan agar aman. “Crypto” berarti secret
(rahasia) dan “graphy” berarti writing (tulisan). Para pelaku atau praktisi
kriptografi disebut cryptographers. Sebuah algoritma kriptografi (cryptographic
algorithm), disebut cipher merupakan persamaan matematik yang digunakan untuk
proses enkripsi dan deskripsi. Enkripsi merupakan proses yang dilakukan untuk
mengamankan sebuah pesan (yang disebut plaintext) menjadi pesan yang
tersembungi (disebut ciphertext). Ciphertext adalah pesan yang sudah tidak
dapat dibaca dengan mudah. Deskripsi merupakan proses sebaliknya untuk mengubah
ciphertext menjadi plaintext. Cryptanalysis adalah seni dan ilmu untuk
memecahkan ciphertext tanpa bantuan kunci. Cryptanalyst adalah pelaku atau
praktisi yang menjalankan cryptanalysis
5 TEKNIK DASAR KRIPTOGRAFI
a. Substitusi
Salah satu contoh
teknik ini adalah Caesar cipher. Langkah pertama adalah membuat suatu tabel
substitusi. Tabel substitusi dapat dibuat sesuka hati, dengan catatan bahwa
penerima pesan memiliki tabel yang sama untuk keperluan dekripsi. Bila tabel
substitusi dibuat secara acak, akan semakin sulit pemecahan ciphertext oleh orang
yang tidak berhak.
Contoh :
Data Asal (plaintext) = “ RUMAH “
Dengan Key = 7
Data Acak (Chiphertext) = “XASGN”
b. Blocking
Sistem enkripsi terkadang membagi plaintext menjadi blok-blok yang
terdiri dari beberapa karakter yang kemudian dienkripsikan secara independen.
Plaintext yang dienkripsikan dengan menggunakan teknik blocking adalah :
Gambar 2. Enkripsi dengan Blocking
Dengan menggunakan enkripsi blocking dipilih jumlah lajur dan
kolom untuk penulisan pesan. Jumlah lajur atau kolom menjadi kunci bagi
kriptografi dengan teknik ini. Plaintext dituliskan secara vertikal ke bawah
berurutan pada lajur, dan dilanjutkan pada kolom berikutnya sampai seluruhnya
tertulis. Ciphertext-nya adalah hasil pembacaan plaintext secara horizontal
berurutan sesuai dengan blok-nya. Jadi ciphertext yang dihasilkan dengan teknik
ini adalah “5K G KRTDRAEAIFKSPINAT IRO”. Plaintext dapat pula ditulis secara
horizontal dan ciphertextnya adalah hasil pembacaan secara vertikal.
c. Permutasi
Salah satu teknik enkripsi yang terpenting adalah permutasi atau
sering juga disebut transposisi. Teknik ini memindahkan atau merotasikan
karakter dengan aturan tertentu. Prinsipnya adalah berlawanan dengan teknik
substitusi. Dalam teknik substitusi, karakter berada pada posisi yang tetap
tapi identitasnya yang diacak. Pada teknik permutasi, identitas karakternya
tetap, namun posisinya yang diacak. Sebelum dilakukan permutasi, umumnya
plaintext terlebih dahulu dibagi menjadi blok-blok dengan panjang yang sama.
Untuk contoh diatas, plaintext akan dibagi menjadi blok-blok yang
terdiri dari 6 karakter, dengan aturan permutasi sebagai berikut :
Gambar 3. Permutasi
Dengan menggunakan aturan diatas, maka proses enkripsi dengan
permutasi dari plaintext adalah sebagai berikut:
Gambar 4. Proses Enkripsi dengan Permutasi
Ciphertext yang dihasilkan dengan teknik permutasi ini adalah “N
ETK5 SKD AIIRK RAATGORP FI”.
d. Ekspansi
Suatu metode sederhana untuk mengacak pesan adalah dengan
memelarkan pesan itu dengan aturan tertentu. Salah satu contoh penggunaan
teknik ini adalah dengan meletakkan huruf konsonan atau bilangan ganjil yang
menjadi awal dari suatu kata di akhir kata itu dan menambahkan akhiran “an”.
Bila suatu kata dimulai dengan huruf vokal atau bilangan genap, ditambahkan
akhiran “i”. Proses enkripsi dengan cara ekspansi terhadap plaintext terjadi
sebagai berikut :
Gambar 5. Enkripsi
dengan Ekspansi
Ciphertextnya adalah “5AN EKNIKTAN ASARDAN RIPTOGRAFIKAN”. Aturan
ekspansi dapat dibuat lebih kompleks. Terkadang teknik ekspansi digabungkan
dengan teknik lainnya, karena teknik ini bila berdiri sendiri terlalu mudah
untuk dipecahkan.
e. Pemampatan (Compaction)
Mengurangi panjang pesan atau jumlah bloknya adalah cara lain
untuk menyembunyikan isi pesan. Contoh sederhana ini menggunakan cara
menghilangkan setiap karakter ke-tiga secara berurutan. Karakter-karakter yang
dihilangkan disatukan kembali dan disusulkan sebagai “lampiran” dari pesan
utama, dengan diawali oleh suatu karakter khusus, dalam contoh ini digunakan
“&”. Proses yang terjadi untuk plaintext kita adalah :
Gambar 6. Enkripsi
dengan Pemampatan
Aturan penghilangan karakter dan karakter khusus yang berfungsi
sebagai pemisah menjadi dasar untuk proses dekripsi ciphertext menjadi
plaintext kembali.
Dengan menggunakan kelima teknik dasar kriptografi diatas, dapat
diciptakan kombinasi teknik kriptografi yang amat banyak, dengan faktor yang
membatasi semata-mata hanyalah kreativitas dan imajinasi kita. Walaupun sekilas
terlihat sederhana, kombinasi teknik dasar kriptografi dapat menghasilkan
teknik kriptografi turunan yang cukup kompleks, dan beberapa teknik dasar
kriptografi masih digunakan dalam teknik kriptografi modern.
b. Digital Signature
Digunakan untuk menyediakan authentication, perlindungan, integritas, dan non-repudiation
Digunakan untuk menyediakan authentication, perlindungan, integritas, dan non-repudiation
c.
Algoritma Checksum/Hash
Digunakan untuk menyediakan perlindungan integritas, dan dapat menyediakan authentication
Satu atau lebih mekanisme dikombinasikan untuk menyediakan security service
3. Pemonitoran terjadwal terhadap jaringan
Dengan adanya pemantauan yang teratur, maka penggunaan sistem oleh yang tidak berhak dapat dihindari / cepat diketahui. Untuk mendeteksi aktifitas yang tidak normal, maka perlu diketahui aktifitas yang normal. Proses apa saja yang berjalan pada saat aktifitas normal. Siapa saja yang biasanya login pada saat tersebut. Siapa saja yang biasanya login diluar jam kerja. Bila terjadi keganjilan, maka perlu segera diperiksa. Bila hal-hal yang mencurigakan terjadi, maka perlu dijaga kemungkinan adanya intruder.
Digunakan untuk menyediakan perlindungan integritas, dan dapat menyediakan authentication
Satu atau lebih mekanisme dikombinasikan untuk menyediakan security service
3. Pemonitoran terjadwal terhadap jaringan
Dengan adanya pemantauan yang teratur, maka penggunaan sistem oleh yang tidak berhak dapat dihindari / cepat diketahui. Untuk mendeteksi aktifitas yang tidak normal, maka perlu diketahui aktifitas yang normal. Proses apa saja yang berjalan pada saat aktifitas normal. Siapa saja yang biasanya login pada saat tersebut. Siapa saja yang biasanya login diluar jam kerja. Bila terjadi keganjilan, maka perlu segera diperiksa. Bila hal-hal yang mencurigakan terjadi, maka perlu dijaga kemungkinan adanya intruder.
Metodologi keamanan informasi
bertujuan untuk meminimalisasi
kerusakan dan
memelihara keberlangsungan bisnis dengan memerhatikan semua kemungkinan kelemahan dan
ancaman terhadap aset informasi. Untuk menjamin keberlangsungan bisnis, metodologi
keamanan informasi berusaha memastikan kerahasiaan, integritas dan ketersediaan aset
informasi internal. Hal ini termasuk penerapan metode dan kontrol manajemen risiko. Pada dasarnya, yang dibutuhkan adalah rencana yang bagus dan meliputi aspek administratif, fisik, serta teknis dari keamanan informasi.
memelihara keberlangsungan bisnis dengan memerhatikan semua kemungkinan kelemahan dan
ancaman terhadap aset informasi. Untuk menjamin keberlangsungan bisnis, metodologi
keamanan informasi berusaha memastikan kerahasiaan, integritas dan ketersediaan aset
informasi internal. Hal ini termasuk penerapan metode dan kontrol manajemen risiko. Pada dasarnya, yang dibutuhkan adalah rencana yang bagus dan meliputi aspek administratif, fisik, serta teknis dari keamanan informasi.
Beberapa Langkah dalam
perancangan Sistem dengan memperhatikan aspek
Keamanan Jaringan :
1. Menentukan topologi jaringan yang akan digunakan.
2. Menentukan kebijakan atau policy .
3. Menentukan aplikasi – aplikasi atau servis-servis apa saja yang akan berjalan.
4. Menentukan pengguna mana saja yang akan dikenakan oleh satu atau lebih aturan firewall.
5. Menerapkan kebijakan, aturan, dan prosedur dalam implementasi firewall.
6. Sosialisasi kebijakan, aturan, dan prosedur yang sudah diterapkan.
1. Menentukan topologi jaringan yang akan digunakan.
2. Menentukan kebijakan atau policy .
3. Menentukan aplikasi – aplikasi atau servis-servis apa saja yang akan berjalan.
4. Menentukan pengguna mana saja yang akan dikenakan oleh satu atau lebih aturan firewall.
5. Menerapkan kebijakan, aturan, dan prosedur dalam implementasi firewall.
6. Sosialisasi kebijakan, aturan, dan prosedur yang sudah diterapkan.
Arsitektur sistem IDS
Intrusion Detection System (IDS) pada implementasi komponen /
modul :
1. Sensor modul
2. Analyzer modul
3. Database system
1. Sensor modul
2. Analyzer modul
3. Database system
Sensor berfungsi
untuk mengambil data dari jaringan. Sensor
merupakan bagian dari
sistem deteksi dini dari IDS. Untuk itu digunakan suatu program yang berfungsi sebagai intrusion detector dengan kemampuan packet logging dan analisis traffik yang realtime.
Analyzer berfungsi untuk analisa paket yang lewat pada jaringan. Informasi dari analyzer yang
akan menjadi input bagi sistem lainnya. Salah satu perangkat lunak yang sering digunakan pada IDS adalah snort, karena snort mempunyai kemampuan menjadi sensor dan analyzer serta sesuai untuk diterapkan pada rancangan sistem keamanan.
sistem deteksi dini dari IDS. Untuk itu digunakan suatu program yang berfungsi sebagai intrusion detector dengan kemampuan packet logging dan analisis traffik yang realtime.
Analyzer berfungsi untuk analisa paket yang lewat pada jaringan. Informasi dari analyzer yang
akan menjadi input bagi sistem lainnya. Salah satu perangkat lunak yang sering digunakan pada IDS adalah snort, karena snort mempunyai kemampuan menjadi sensor dan analyzer serta sesuai untuk diterapkan pada rancangan sistem keamanan.
Arsitektur
Sistem AIRIDS (Automatic Interactive Reactive Intrusion
Detection System) merupakan suatu metode kemanan
jaringan yang bertujuan untuk membentuk suatu
arsitektur sistem keamanan yang terintegrasi antara
Intrusion Detection System (IDS),Firewall System, Database
System dan Monitoring System.
komponen-komponen /
modul AIRIDS berupa :
1. Intrusion detection system (IDS)
a. Sensor modul
b. Analyzer modul
2. Database system
3. Monitoring system
4. Firewall system
5. SMS system (optional)
1. Intrusion detection system (IDS)
a. Sensor modul
b. Analyzer modul
2. Database system
3. Monitoring system
4. Firewall system
5. SMS system (optional)
Klasifikasi
desain Firewall :
1. Packet
Filtering
Sistem paket
filtering atau sering juga disebut dengan screening router adalah router
yang melakukan routing paket antara internal dan eksternal network secara
selektif sesuai dengan security policy yang digunakan
pada network tersebut.
Informasi yang
digunakan untuk menyeleksi paket-paket tersebut adalah:
- IP address asal
- IP address tujuan
- Protocol (TCP, UDP, atau ICMP)
- Port TCP atau UDP asal
- Port TCP atau UDP tujuan
Beberapa contoh
routing paket selektif yang dilakukan oleh Screening Router :
- Semua koneksi dari luar sistem
yang menuju internal network diblokade kecuali untuk koneksi SMTP
- Memperbolehkan service email dan
FTP, tetapi memblok service-service berbahaya seperti TFTP, X
Window, RPC dan ‘r’ service (rlogin, rsh, rcp, dan lain-lain).
Selain memiliki
keuntungan tertentu di antaranya aplikasi screening router ini dapat bersifat
transparan dan implementasinya relatif lebih murah dibandingkan metode firewall
yang lain, sistem paket filtering ini memiliki beberapa kekurangan yakni
tingkat security-nya masih rendah, masih memungkinkan adanya IP Spoofing, tidak
ada screening pada layer-layer di atas network layer.
2. Application
Level Gateway (Proxy Services)
Proxy service
merupakan aplikasi spesifik atau program server yang dijalankan pada mesin
Firewall, program ini mengambil user request untuk Internet service (seperti
FTP, telnet, HTTP) dan meneruskannya (bergantung pada security policy) ke host
yang dituju. Dengan kata lain adalah proxy merupakan perantara antara
internal network dengan eksternal network (Internet). Pada sisi ekternal hanya
dikenal mesin proxy tersebut, sedangkan mesin-mesin yang berada di balik mesin
proxy tersebut tidak terlihat. Akibatnya sistem proxy ini kurang transparan
terhadap user yang ada di dalam
Sistem Proxy ini
efektif hanya jika pada konjungsi antara internal dan eksternal network
terdapat mekanisme yang tidak memperbolehkan kedua network tersebut terlibat
dalam komunikasi langsung. Keuntungan yang dimiliki oleh sistem proxy ini
adalah tingkat sekuritasnya lebih baik daripada screening router, deteksi paket
yang dilakukan sampai pada layer aplikasi. Sedangkan kekurangan dari sistem ini
adalah perfomansinya lebih rendah daripada screening router karena
terjadi penambahan header pada paket yang dikirim, aplikasi yang
di-support oleh proxy ini terbatas, serta sistem ini kurang
transparan.
Arsitektur dasar
firewall :
- Dual-Homed Host (Dual Homed
Gateway / DHG)
Sistem DHG
menggunakan sebuah komputer dengan (paling sedikit) dua network-interface.
Interface pertama dihubungkan dengan jaringan internal dan yang lainnya dengan
Internet. Dual-homed host nya sendiri berfungsi sebagai bastion host (front
terdepan, bagian terpenting dalam firewall).
Dual Homed Gateway
- Screened-Host (Screened Host
Gateway/ SHG)
Pada topologi
SHG, fungsi firewall dilakukan oleh sebuah screening-router dan bastion host.
Router ini dikonfigurasi sedemikian sehingga akan menolak semua trafik kecuali
yang ditujukan ke bastion host, sedangkan pada trafik internal tidak dilakukan
pembatasan. Dengan cara ini setiap client servis pada jaringan internal dapat
menggunakan fasilitas komunikasi standard dengan Internet tanpa harus melalui
proxy.
Screened Host Gateway
- Screened Subnet (Screened Subnet
Gateway/ SSG)
Firewall dengan
arsitektur screened-subnet menggunakan dua screening-router dan jaringan tengah
(perimeter network) antara kedua router tersebut, dimana ditempatkan bastion
host. Kelebihan susunan ini akan terlihat pada waktu optimasi penempatan
server.
Screened Subnet Gateway
Penerapan Virtual
Privat Network (VPN)
Defenisi VPN
Virtual Private
Network atau Jaringan Pribadi Maya sesungguhnya sama dengan Jaringan
Pribadi (Private Network/PN) pada umumnya, di mana satu jaringan komputer suatu
lembaga atau perusahaan di suatu daerah atau negara terhubung dengan jaringan
komputer dari satu grup perusahaan yang sama di daerah atau negara lain.
Perbedaannya hanyalah pada media penghubung antar jaringan. Kalau pada PN,
media penghubungnya masih merupakan milik perusahaan/grup itu sendiri, dalam
VPN, media penghubungnya adalah jaringan publik seperti Internet.
Dalam VPN, karena
media penghubung antar jaringannya adalah jaringan publik, diperlukan
pengamanan dan pembatasan-pembatasan. Pengamanan diperlukan untuk menjaga agar
tidak sebarang orang dari jaringan publik dapat masuk ke jaringan pribadi. Yang
dikecualikan hanyalah orang-orang yang terdaftar atau terotentifikasi terlebih
dahulu yang dapat masuk ke jaringan pribadi. Pembatasan diperlukan untuk
menjaga agar tidak semua orang atau user dari jaringan pribadi dapat mengakses
jaringan publik (internet).
Cara membentuk
VPN
1.
Tunnelling
Sesuai dengan
arti tunnel atau lorong, dalam membentuk suatu VPN ini dibuat suatu tunnel di
dalam jaringan publik untuk menghubungkan antara jaringan yang satu dan
jaringan lain dari suatu grup atau perusahaan.yang ingin membangun VPN
tersebut. Seluruh komunikasi data antarjaringan pribadi akan melalui tunnel
ini, sehingga orang atau user dari jaringan publik yang tidak memiliki izin
untuk masuk tidak akan mampu untuk menyadap, mengacak atau mencuri data yang
melintasi tunnel ini. Ada beberapa metode tunelling yang umum dipakai, di
antaranya: IPX To IP Tunnelling, atau PPP To IP Tunnelling
IPX To IP
tunnelling biasa digunakan dalam jaringan VPN Novell Netware. Jadi dua jaringan
Novell yang terpisah akan tetap dapat saling melakukan komunikasi data melalui
jaringan publik Internet melalui tunnel ini tanpa kuatir akan adanya gangguan pihak
ke-3 yang ingin mengganggu atau mencuri data. Pada IPX To IP tunnelling, paket
data dengan protokol IPX (standar protokol Novell) akan dibungkus
(encapsulated) terlebih dahulu oleh protokol IP (standar protokol Internet)
sehingga dapat melalui tunnel ini pada jaringan publik Internet. Sama halnya
untuk PPP To IP tunnelling, di mana PPP protokol diencapsulated oleh IP
protokol.
Saat ini beberapa
vendor hardware router seperti Cisco, Shiva, Bay Networks sudah menambahkan
kemampuan VPN dengan teknologi tunnelling pada hardware mereka.
2.
Firewall
Sebagaimana
layaknya suatu dinding, Firewall akan bertindak sebagai pelindung atau pembatas
terhadap orang-orang yang tidak berhak untuk mengakses jaringan kita. Umumnya
dua jaringan yang terpisah yang menggunakan Firewall yang sejenis, atau seorang
remote user yang terhubung ke jaringan dengan menggunakan software client yang
terenkripsi akan membentuk suatu VPN, meskipun media penghubung dari kedua
jaringan tersebut atau penghubung antara remote user dengan jaringan tersebut
adalah jaringan publik seperti Internet.
Suatu jaringan
yang terhubung ke Internet pasti memiliki IP address (alamat Internet) khusus
untuk masing-masing komputer yang terhubung dalam jaringan tersebut. Apabila
jaringan ini tidak terlindungi oleh tunnel atau firewall, IP address tadi akan
dengan mudahnya dikenali atau dilacak oleh pihak-pihak yang tidak diinginkan.
Akibatnya data yang terdapat dalam komputer yang terhubung ke jaringan tadi
akan dapat dicuri atau diubah. Dengan adanya pelindung seperti firewall, kita
bisa menyembunyikan (hide) address tadi sehingga tidak dapat dilacak oleh
pihak-pihak yang tidak diinginkan.
Kemampuan
firewall dalam penerapannya pada VPN
1.
IP
Hiding/Mapping
Kemampuan ini
mengakibatkan IP address dalam jaringan dipetakan atau ditranslasikan ke suatu
IP address baru. Dengan demikian IP address dalam jaringan tidak akan dikenali
di Internet.
2.
Privilege
Limitation
Dengan kemampuan
ini kita dapat membatasi para user dalam jaringan sesuai dengan otorisasi atau
hak yang diberikan kepadanya. Misalnya, User A hanya boleh mengakses home page,
user B boleh mengakses home page, e-mail dan news, sedangkan user C hanya boleh
mengakses e-mail.
3.
Outside
Limitation
Dengan kemampuan
ini kita dapat membatasi para user dalam jaringan untuk hanya mengakses ke
alamat-alamat tertentu di Internet di luar dari jaringan kita.
4.
Inside
Limitation
Kadang-kadang
kita masih memperbolehkan orang luar untuk mengakses informasi yang tersedia
dalam salah satu komputer (misalnya Web Server) dalam jaringan kita. Selain
itu, tidak diperbolehkan, atau memang sama sekali tidak dizinkan untuk
mengakses seluruh komputer yang terhubung ke jaringan kita.
5.
Password
and Encrypted Authentication
Beberapa user di
luar jaringan memang diizinkan untuk masuk ke jaringan kita untuk mengakses
data dan sebagainya, dengan terlebih dahulu harus memasukkan password khusus
yang sudah terenkripsi.
3.
Mengamankan saluran terbuka
Protokol TCP/IP
merupakan protocol dalam set standar yang terbuka dalam pengiriman data, untuk
itulah perlu dilakukan enkripsi dalam rangka penanganan keamanan data yang
diterapkan pada protocol tersebut, yang meliputi:
A. Keamanan pada
Lapisan Aplikasi
1. SET
(Secure Electronics Transaction)
o Menentukan bagaimana transaksi mengalir antara
pemakai, pedagang dan bank.
o Menentukan fungsi keamanan : digital
signature, hash dan enkripsi.
o Produk dari Mastercard dan VISA International.
2. Secure
HTTP
o Produk dari workgroup IETF, diimplementasikan
pada webserver mulai 1995.
o Menentukan mekanisme kriptografi standar untuk
mengenkripsikan pengiriman data http
3. Pretty
Good Privacy (PGP)
o Standarisasi RFC 1991
o Membuat dan memastikan digital signature,
mengenkripsi – deskripsi dan mengkompresi data.
4. Secure
MIME (S/MIME)
o Standarisasi RFC 1521
o MIME (Multipurpose Internet Mail Extension)
o Menentukan cara menempelkan file untuk dikirim
ke internet dengan menggunakan metode hirarki dalm pendefenisian user remi dan
sertfikat digitalnya.
5. Cybercash
o Standarisasi RFC 1898
o Memproses kartu kredit di internet dengan
mengenkripsi dan menandatangani transaksi secara digital.
B. Keamanan dalam Lapisan Transport
SSL (Secure
Socket Layer)
o Produk Netscape
o Protocol yang menegoisasikan hubungan yang
aman antara client dan server, dengan menggunakan kunci enkripsi 40-bit.
C. Keamanan dalam
Lapisan Network
- IP security Protocol: melindungi
protocol client IP pada network layer.
- IP Authentication header
- IP Encapsulating Security
protocol
- Simple-key management for
Internet protocol (SKIP)
- Internet security Association and
key management protocol (ISAKMP)
- Internet key management protocol
(IKMP)
I. TUGAS
KELOMPOK :
Kerjakan
bersama dengan anggota kelompokmu !
1. Diskusikan dengan temanmu bagaimana kamu
mendesain keamanan jaringan !
2. Buatlah kesimpulan dari apa yang kamu
diskusikan dengan kelompokmu !
II.
TUGAS
MANDIRI :
Berilah
tanda silang (x) pada salah satu huruf a,b,c,d atau e didepan jawaban yang
paling tepat !
1. Sistem
Kerberos Server termasuk dalam metoda keamanan jaringan ........
a.
Firewall & Routing Control d. Internal Password Authentication
b.
Server based token Authentication e. Time ti live password Authentication
c.
Server based password authentication
2. Termasuk
dalam proses apa bila mengkode data dalam bentuk yang hanya dapat dibaca oleh
sistem yang mempunyai kunci untuk membaca adalah proses .......
a.
Enkripsi d. Digital Signature
b.
Deskripsi e.
Algoritma
c.
Kriptogafi
3. Digital
Signature adalah ...........
a.
Termasuk dalam proses
b.
Menyediakan authentication, perlindungan,
integritas dan non repudiat
c.
Menyediakan perlindungan integras & dapat
menyediakan authentication
d.
Untuk mengamankan sebuah pesan
e.
Dikombinasikan untuk menyediakan security
service
4. Tujuan
dari metodologi keamanan informasi ........
a.
Rencana yang bagus & meliputi aspek
administratif, fisik serta teknis dari keamanan informasi
b.
Bila hal-hal yang mencurigaka terjadi maka
perlu dijaga kemungkinan adanya intruder
c.
Menyediakan perlindungan integras & dapat
menyediakan authentication
d.
Untuk meminimalisasi kerusakan &
memelihara keberlangsungan bisnis dengan memerhatikan semua kemungkinan
e.
Menentukan kebijakan, aturan & prosedur
dalam implementasikan firewall
5. Urutan
yang benar dari langkah dalam perancangan sistem dengan memperhatikan aspek
keamanan jaringan .........
1.
Menentukan topologi
jaringan yang akan digunakan.
2. Menentukan kebijakan atau policy .
3. Menentukan aplikasi – aplikasi atau servis-servis apa saja yang akan berjalan.
4. Menentukan pengguna mana saja yang akan dikenakan oleh satu / lebih aturan firewall.
5. Menerapkan kebijakan, aturan, dan prosedur dalam implementasi firewall.
6. Sosialisasi kebijakan, aturan, dan prosedur yang sudah diterapkan.
2. Menentukan kebijakan atau policy .
3. Menentukan aplikasi – aplikasi atau servis-servis apa saja yang akan berjalan.
4. Menentukan pengguna mana saja yang akan dikenakan oleh satu / lebih aturan firewall.
5. Menerapkan kebijakan, aturan, dan prosedur dalam implementasi firewall.
6. Sosialisasi kebijakan, aturan, dan prosedur yang sudah diterapkan.
a.
1 2 3 4 5 6 d. 4 5 6 2 3 1
b.
2 3 4 5 6 1 e. 5 6 4 3 2 1
c.
3 4 5 6 2 1
6. Kepanjangan
dari AIRIDS adalah .....
a.
Automation Interactive Reactive Intrusion
Detection System
b.
Automatition Interactive Reactive Intrusion
Detection System
c.
Authentivion Interactive Reactive Intrusion
Detection System
d.
Authentic Interactive Reactive Intrusion
Detection System
e.
Automatic Interactive Reactive Intrusion
Detection System
7. Suatu
metode keamanan jaringan yang bertujuan untuk membentuk suatu arsitektur sistem
keamanan yang berintegrasi antara ........
a. Automatic Interactive Reactive Intrusion
Detection System
b. Intrusion Detection System (IDS), firewall system, database system
& monitoring system
c. Membuat dan memastikan digital signature,
mengenkripsi – deskripsi dan mengkompresi data
d. Protocol yang menegoisasikan hubungan yang
aman antara client dan server, dengan menggunakan kunci enkripsi 40-bit
e. Menentukan cara menempelkan file untuk dikirim
ke internet dengan menggunakan metode hirarki dalm pendefenisian user remi dan
sertfikat digitalnya
8. Komponen-komponen
AIRIDS berupa kecuali....
a.
Intrusion Detection System (IDS) d. Firewall System
b.
Database System e. Koneksi System
c. Monitoring
System
9. Terminologi
Kriptografi merupakan ilmu ............
a.
Seni untuk menjaga pesan agar aman d. Seni
desain jaringan
b.
Teknologi Informatika e. Teknik Komputer Jaringan
c. Criminalitas
Keamanan Jaringan
10. Kemampuan ini mengakibatkan IP address dalam
jaringan dipetakan atau ditranslasikan ke suatu IP address baru yaitu
................
a. IP Hiding/Mapping d. Routing Control
b. Dual Homed Gateway e. TCP
c.
Digital Signature
11. Sistem DHG (Dual Homed Gateway)menggunakan
a.
sebuah komputer
dengan (paling sedikit) dua network-interface
b.
Digital
signature, mengenkripsi – deskripsi dan mengkompresi data
c.
Protocol yang
menegoisasikan hubungan yang aman antara client dan server, dengan menggunakan
kunci enkripsi 40-bit
d.
client dan
server, dengan menggunakan kunci enkripsi 40-bit
e.
kartu kredit di
internet dengan mengenkripsi dan menandatangani transaksi secara digital
12. Yang bukan
merupakan metoda keamanan jaringan yaitu .......
a. Internal
Password Authentication d.
Firewall dan Routing Control
b. Server Based password authentication e. Digital Signature
c. Server-based token authentication
b. Server Based password authentication e. Digital Signature
c. Server-based token authentication
13. Pesan yang
sudah tidak dapat dibaca dengan mudah .....
a.
Ciphertext d. Plaintext
b.
Encryption e. Decryption
c. Encipher
14. Salah satu
pembatasan akses adalah dengan .....
a.
Ciphertext d. Plaintext
b.
Encryption e. Decryption
c. Encipher
15. Salah satu
perangkatan lunak yang sering digunakan pada IDS adalah snot karena ........
a. Memproses kartu kredit di internet dengan
mengenkripsi dan menandatangani transaksi secara digital
b. Protocol yang menegoisasikan hubungan yang
aman antara client dan server, dengan menggunakan kunci enkripsi 40-bit
c. Menentukan cara menempelkan file untuk dikirim
ke internet dengan menggunakan metode hirarki dalm pendefenisian user remi dan
sertfikat digitalnya
d. Mempunyai
kemampuan menjadi sensor dan analyzer serta sesuai untuk diterapkan pada
rancangan sistem keamanan
e. Rencana yang bagus dan meliputi aspek
administratif, fisik, serta teknis dari keamanan informasi
16. Standarisasi
dari secure mime adalah .........
a.
Standarisasi RFC 1521 d. Standarisasi RFC 1215
b.
Standarisasi RFC 1251 e. Standarisasi RFC 1125
c. Standarisasi
RFC 1152
17. Standarisasi
dari cybercash adalah .............
a.
Standarisasi RFC 1988 d. Standarisasi RFC 9881
b.
Standarisasi RFC 1898 e. Standarisasi RFC 8918
c. Standarisasi
RFC 1889
18. Menentukan cara menempelkan file untuk dikirim
ke internet dengan menggunakan metode hirarki dalm pendefenisian user remi dan
sertfikat digitalnya terdapat pada lapisan aplikasi ....
a.
Secure HTTP d. SET ( Secure Electronics Transaction )
b.
Pretty Good
Privacy (PGP) e. Secure MIME (S/MIME)
c. Cybercash
19. Membuat dan memastikan digital signature,
mengenkripsi – deskripsi dan mengkompresi data terdapat pada lapisan aplikasi
.........
a.
Secure HTTP d. SET ( Secure Electronics Transaction )
b.
Pretty Good
Privacy (PGP) e. Secure MIME (S/MIME)
c.
Cybercash
20. Memproses kartu kredit di internet dengan
mengenkripsi dan menandatangani transaksi secara digital terdapat pada lapisan
aplikasi ........
a.
Secure HTTP d. SET ( Secure Electronics Transaction )
b.
Pretty Good Privacy
(PGP) e. Secure MIME (S/MIME)
c.
Cybercash
III.
JAWABLAH
PERTANYAAN-PERTANYAAN DIBAWAH INI DENGAN BENAR !
1.
Sebutkan & Jelaskan konsep dalam pembatasan
akses jaringan !
2.
Jelaskan apa yang dimaksud dengan :
a.
Enkripsi
b.
Terminologi Kriptografi
c.
Digital Signature
d.
Algoritma Checksum Hash
e.
Terminologi Enkripsi Deskripsi
3.
Tujuan dari keamanan informasi bertujuan untuk
.........
4.
Pada Intrusion Detection Sysytem (IDS)
implementasi komponennya adalah .......
5.
Sensor pada arsitektur teknologi berfungsi
...........
6.
Arsitektur sistem AIRIDS yang bertujuannya untuk
...........
7.
Sebutkan komponen-komponen AIRIDS !
8.
Apa yang dilakukan oleh sistem paket filtering ?
9.
Informasi yang digunakan untuk menyeleksi
paket-paket tersebut adalah ......
10.
Sebutkan & Jelaskan Arsitektur dasar firewall !
DAFTAR PUSTAKA
Modul
Depdiknas 2005,Sistem Keamanan Jaringan, Jakarta
http://ariflaw.blogspot.com/download-desain
keamanan jaringan
SMKN
2 Bawang Banjarnegara, modul Membuat Desain Sistem Keamanan Jaringan
Komentar
Posting Komentar