Pada
kesempatan ini saya akan membahas
tentang Metode Keamanan Jaringan Komputer, poshting
ini merupakan kelanjutan dari poshting sebelumnya yang membahas tentang Pengertian Keamanan Jaringan Komputer.
Metode-metode yang dapat diterapkan untuk membuat
jaringan komputer menjadi lebih aman, antara lain :
1. IDS
/ IPS
Intrusion Detection System (IDS)
dan Intrusion Prevention System (IPS)
adalah sistem yang banyak digunakan untuk mendeteksi dan melindungi sebuah sistem keamanan dari serangan oleh
pihak luar maupun dalam. Sebuah IDS dapat berupa IDS berbasiskan jaringan
komputer atau berbasiskan host. Pada IDS berbasiskan jaringan komputer, IDS akan menerima kopi paket yang ditujukan pada
sebuah host untuk kemudian memeriksa paket-paket tersebut.
Apabila ternyata ditemukan paket yang berbahaya,
maka IDS akan memberikan peringatan pada pengelola sistem. Karena paket yang diperiksa hanyalah salinan dari paket
yang asli, maka sekalipun ditemukan paket yang berbahaya, paket tersebut akan
tetap mencapai host yang ditujunya.
Sebuah IPS bersifat lebih aktif daripada IDS. Bekerja sama dengan firewall,
sebuah IPS dapat memberikan keputusan apakah sebuah paket dapat diterima atau
tidak oleh sistem. Apabila IPS menemukan bahwa paket yang dikirimkan adalah
paket yang berbahaya, maka IPS akan memberitahu firewall sistem untuk menolak paket data
tersebut.
Dalam membuat keputusan apakah sebuah paket data
berbahaya atau tidak, IDS dan IPS dapat mempergunakan metode :
=> Signature-based
Intrusion Detection System
Pada metode
ini, telah tersedia daftar signature yang dapat digunakan untuk menilai
apakah paket yang dikirimkan berbahaya atau tidak. Sebuah paket data akan
dibandingkan dengan daftar yang sudah ada. Metode ini akan melindungi sistem
dari jenis-jenis serangan yang sudah diketahui sebelumnya. Oleh karena itu,
untuk tetap menjaga keamanan sistem
jaringan komputer, data signature yang ada harus tetap terupdate.
=> Anomaly-based
Intrusion Detection System
Pada metode ini, pengelola jaringan harus melakukan konfigurasi terhadap IDS dan IPS, sehingga
IDS dan IPS dapat mengatahui pola paket seperti apa saja yang akan ada pada
sebuah sistem jaringan komputer.
Sebuah paket anomali adalah paket yang tidak sesuai dengan kebiasaan jaringan
komputer tersebut. Apabila IDS dan IPS menemukan ada anomali pada paket yang
diterima atau dikirimkan, maka IDS dan IPS akan memberikan peringatan pada
pengelola jaringan (IDS) atau akan menolak paket tersebut untuk diteruskan
(IPS). Untuk metode ini, pengelola
jaringan harus terus-menerus memberi tahu IDS dan IPS bagaimana lalu lintas
data yang normal pada sistem jaringan komputer
tersebut, untuk menghindari adanya salah penilaian oleh IDS atau IPS.
Penggunaan IDS dan IPS pada sistem jaringan
komputer dapat mempergunakan sumber daya komputasi yang cukup besar, dan
khusus untuk IPS, dengan adanya IPS
maka waktu yang dibutuhkan sebuah paket untuk dapat mencapai host tujuannya
menjadi semakin lama, tidak cocok untuk aplikasi-aplikasi yang membutuhkan
pengiriman data secara real-time. Selain itu IDS dan IPS masih membuka
kesempatan untuk terjadinya false-postive dimana sebuah paket yang aman dinyatakan
berbahaya dan false-negative dimana paket yang berbahaya dinyatakan
aman. Untuk mengurangi tingkat false-positive dan false-negative,
perlu dilakukan pembaharuan secara rutin terhadap sebuah IDS dan IPS.
Dalam implementasinya, IDS adalah sebuah unit host yang terhubung pada sebuah hub/switch
dan akan menerima salinan dari paket-paket yang diproses oleh hub/switch
tersebut. Sedangkan untuk IPS biasanya diletakkan pada unit yang sama
dengan firewall dan akan memproses paketpaket yang lewat melalui firewall
tersebut.
Sedangkan pada IDS berbasiskan host, IDS
akan memeriksa aktivitas system call, catatan kegiatan dan perubahan
pada sistem berkas pada host tersebut
untuk mencari anomali atau keanehan yang menandakan adanya usaha dari pihak
luar untuk menyusup kedalam sistem. IDS berbasiskan host akan membantu
pengelola sistem untuk melakukan audit trail terhadap sistem apabila
terjadi penyusupan dalam sistem.
2. Network
Topology
Selain permasalahan aplikasi yang akan
mempergunakan jaringan komputer,
topologi jaringan komputer juga memiliki peranan yang sangat penting dalam keamanan jaringan komputer. Pembagian
kelompok komputer sesuai dengan tugas yang akan diembannya adalah suatu hal
yang perlu dilakukan. Dengan adanya pembagian kelompok-kelompok jaringan
komputer, apabila terjadi gangguan keamanan pada sebuah kelompok jaringan
komputer, tidak akan dengan mudah menyebar ke kelompok jaringan komputer
lainnya.
Selain itu metode
keamanan yang diterapkan pada setiap kelompok jaringan komputer juga bisa berbeda-beda, sesuai dengan peranannya
masing-masing. Secara mendasar, sebuah jaringan komputer dapat dibagi atas
kelompok jaringan eksternal (Internet atau pihak luar), kelompok jaringan
internal dan kelompok jaringan diantaranya atau yang biasa disebut sebagai DeMilitarized
Zone (DMZ).
Komputer-komputer pada jaringan DMZ, adalah
komputer-komputer yang perlu dihubungi secara langsung oleh pihak luar.
Contohnya adalah web-server, mail exchange server dan name server.
Komputer-komputer pada jaringan DMZ harus dipersiapkan secara khusus, karena
mereka akan terbuka dari pihak luar. Aplikasi yang dipergunakan pada host-host
pada DMZ harus merupakan aplikasi yang aman, terus menerus dipantau dan
dilakukan update secara reguler. Aturan-aturan yang berlaku adalah
sebagai berikut :
=> Pihak
luar
Hanya dapat berhubungan dengan host-host yang
berada pada jaringan DMZ, sesuai
dengan kebutuhan yang ada. Secara default pihak luar tidak bisa
melakukan hubungan dengan host-host pada jaringan DMZ.
=> Host-host
pada jaringan DMZ
Secara default tidak dapat melakukan
hubungan dengan host-host pada jaringan internal. Koneksi secara
terbatas dapat dilakukan sesuai dengan kebutuhan.
=> Host-host
pada jaringan internal
Dapat melakukan koneksi secara bebas baik ke jaringan
luar maupun ke jaringan DMZ. Pada beberapa implementasi, untuk meningkatkan
keamanan, host-host pada jaringan internal tidak dapat melakukan koneksi
ke jaringan luar, melainkan melalui perantara host pada jaringan DMZ, sehingga
pihak luar tidak mengetahui keberadaan host-host pada jaringan komputer
internal.
Selain meningkatkan keamanan, pembagian seperti ini juga menguntungkan karena
penggunaan alamat IP yang lebih sedikit. Hanya host-host pada jaringan DMZ saja yang butuh untuk
mempergunakan alamat IP publik internet, sedangkan untuk host-host jaringan
internal bisa mempergunakan alamat IP privat. Hal ini terutama sangat menguntungkan
bagi organisasiorganisasi yang hanya mendapatkan sedikit alokasi alamat IP yang
dapat digunakan oleh organisasi tersebut dari service provider yang
digunakan.
Kelemahan dari implementasi aturan-aturan yang
ketat seperti ini adalah ada beberapa aplikasi yang tidak dapat digunakan.
Sebagai contoh, untuk dapat melakukan video-conference ataupun audio-conference
diperlukan koneksi langsung antara satu host dengan host lainnya.
Dengan implementasi dimana pihak luar tidak dapat berhubungan dengan host pada
jaringan internal, maka host pada jaringan internal tidak dapat
melakukan video-conference. Selain itu, untuk organisasi yang cukup
besar, adanya pembagian lebih lanjut pada jaringan
komputer internal akan lebih baik. Perlu dibuat sebuah panduan mengenai
interaksi apa saja yang mungkin dilakukan dan dibutuhkan oleh satu bagian
organisasi dengan bagian organisasi lainnya melalui jaringan komputer. Setelah
panduan dibuat, maka interaksi-interaksi yang tidak diperlukan antar komputer pada jaringan yang berbeda
dapat dibatasi. Aturan dasar yang saat ini banyak digunakan adalah untuk
menutup semua pintu (port) yang ada dan buka hanya yang dibutuhkan dan
aman saja.
Perlu diingat, semakin banyak pembagian kelompok
jaringan komputer yang ada, maka akan semakin meningkatkan kompleksitas
pemeliharaan jaringan komputer. Selain itu semakin banyak pembagian kelompok
juga akan meningkatkan latensi koneksi antara satu host di sebuah
kelompok jaringan dengan host lain di kelompok jaringan lainnya.
3. Port
Scanning
Metode Port Scanning biasanya digunakan oleh
penyerang untuk mengetahui port apa saja yang terbuka dalam sebuah sistem jaringan komputer. Tetapi metode
yang sama juga dapat digunakan oleh pengelola jaringan komputer untuk menjaga
jaringan komputernya. Sebuah port yang terbuka menandakan adanya
aplikasi jaringan komputer yang siap menerima koneksi. Aplikasi ini dapat
menjadi pintu masuk penyerang ke dalam sistem jaringan komputer sebuah
organisasi. Oleh karena itu sangat penting bagi seorang pengelola jaringan
komputer untuk tahu secara pasti, aplikasi jaringan
komputer apa saja yang berjalan dan siap menerima koneksi pada sebuah host.
Apabila ditemukan bahwa ada port yang terbuka dan tidak sesuai dengan
perencanaan yang ada, maka aplikasi yang berjalan pada port tersebut
harus segera dimatikan agar tidak menjadi lubang keamanan.
Cara kerja port scanner adalah dengan cara
mengirimkan paket inisiasi koneksi ke setiap port yang sudah ditentukan
sebelumnya. Apabila ternyata port scanner menerima jawaban dari sebuah port,
maka ada aplikasi yang sedang bekerja dan siap menerima koneksi pada port tersebut.
Port Scanning sebagai bentuk serangan
Karena implementasinya yang cukup mudah dan
informasinya yang cukup berguna, maka sering kali port scanning dilakukan
sebagai tahap awal sebuah serangan. Untuk dapat melakukan penyerangan, seorang cracker
perlu mengetahui aplikasi apa saja yang berjalan dan siap menerima koneksi
dari lokasinya berada. Port Scanner dapat meberikan informasi ini.
Untuk dapat mendeteksi adanya usaha untuk melakukan
scanning jaringan, seorang pengelola jaringan dapat melakukan monitoring dan mencari paket-paket
IP yang berasal dari sumber yang sama dan berusaha melakukan akses ke sederetan
port, baik yang terbuka maupun yang tertutup. Apabila ditemukan,
pengelola jaringan dapat melakukan konfigurasi firewall untuk memblokir
IP sumber serangan. Hal ini perlu dilakukan secara berhati-hati, karena apabila
dilakukan tanpa ada toleransi, metode ini dapat mengakibatkan seluruh jaringan
Internet terblokir oleh firewall organisasi. Oleh sebab itu, perlu ada
keseimbangan antara keamanan dan
performa dalam usaha mendeteksi kegiatan port scanning dalam sebuah jaringan komputer.
4. Packet
Fingerprinting
Karena keunikan setiap vendor peralatan jaringan
komputer dalam melakukan implementasi protokol TCP/IP, maka paket-paket data
yang dikirimkan setiap peralatan menjadi unik peralatan tersebut. Dengan
melakukan Packet Fingerprinting, kita dapat mengetahui peralatan apa
saja yang ada dalam sebuah jaringan
komputer. Hal ini sangat berguna terutama dalam sebuah organisasi besar
dimana terdapat berbagai jenis peralatan jaringan komputer serta sistem operasi
yang digunakan.
Setiap peralatan dan sistem operasi memiliki karakteristik serta kelemahannya masing-
masing, oleh karena itu, sangat penting bagi pengelola jaringan komputer untuk
dapat mengetahui peralatan dan sistem operasi apa saja yang digunakan dalam
organisasi tersebut. Dengan mengetahui peralatan jenis apa atau sistem operasi
apa saja yang ada pada sebuah organisasi, pengelola jaringan komputer dapat
lebih siap dalam melakukan pengamanan jaringan
komputer organisasi tersebut.
Untuk menentukan tipe peralatan atau sistem operasi ada, sebuah peralatan fingerprinting
akan melihat bagaimana peralatan jaringan komputer atau sistem operasi yang
bersangkutan memberikan nilai-nilai awal pada beberapa bagian di header IP.
Bagian-bagian tersebut adalah:
=> Time-to-Live
Setiap peralatan jaringan komputer mempergunakan nilai awal yang berbeda-beda dalam
memberikan nilai ke bagian time-to-live pada header IP.
=> Window-size
Setiap peralatan jaringan komputer, mempergunakan
ukuran TCP windows yang berbeda-beda.
=> Bit
DF pada paket
Apakah peralatan jaringan komputer yang mengirimkan
paket tersebut mempergunakan bit DF (dont' t fragment), pada awal
koneksi. Tidak terlalu berguna dalam membedakan satu peralatan dengan peralatan
lainnya.
=> Bit
Type of Service
Jenis layanan apa yang diberikan oleh sebuah
peralatan jaringan komputer pada
paket yang dikirimnya. Karena pada banyak implementasi, jenis layanan yang
diinginkan, ditentukan oleh protokol atau aplikasi yang sedang berjalan dan
bukan oleh sistem operasi atau peralatan yang digunakan, maka penggunaan bit Type
of Service tidak terlalu berguna dalam membedakan satu peralatan dengan
peralatan lainnya.
Setelah mendapatkan informasi-informasi di atas,
peralatan fingerprinting akan melakukan perbandingan dengan data yang
sudah dimiliki sebelumnya. Fingerprinting dapat dilakukan secara aktif
maupun secara pasif. Jika dilakukan secara aktif, analis akan mengirimkan
sebuah paket request yang kemudian akan dibalas oleh host target.
Paket balasan dari host target inilah yang kemudian dianalisa. Sedangkan
jika dilakukan secara pasif, maka analis akan menunggu host target
mengirimkan paket, kemudian paket tersebut akan dianalisa.
Selain dapat digunakan oleh pengelola jaringan
komputer untuk mengamankan jaringan komputer organisasi, metode yang sama
sering digunakan oleh pihak-pihak yang ingin menganggu sebuah jaringan komputer.
5. Security
Information Management
Dalam usaha untuk meningkatkan keamanan jaringan
komputer, sebuah organisasi mungkin akan meng-implementasikan beberapa
teknologi keamanan jaringan komputer, seperti firewall, IDS dan IPS.
Semua usaha tersebut dilakukan sehingga keamanan jaringan komputer organisasi
tersebut menjadi lebih terjamin.
Namun, dengan semakin banyaknya peralatan jaringan
komputer yang diimplementasikan, maka akan semakin banyak pula peralatan yang
perlu dikelola. Pengelolaan akan dimulai dari konfigurasi peralatan agar sesuai
dengan kebutuhan organisasi. Setelah itu setiap peralatan yang sudah terpasang
perlu dipantau, perlu dianalisa apakah sudah berfungsi sesuai dengan rancangan
awal. Salah satu bentuk pemantau yang perlu dilakukan adalah memantau log dan
alert yang dihasilkan oleh setiap peralatan. Jumlah log dan alert
yang dihasilkan oleh semua peralatan keamanan
jaringan komputer yang terpasang dapat berukuran sangat besar. Akan
membutuhkan banyak waktu pengelola jaringan komputer untuk menganalisa seluruh log
dan alert yang ada, termasuk didalamnya adalah melakukan pencarian
dimana log atau alert tersebut tersimpan.
Salah satu penyebab utama dari kegagalan sistem keamanan jaringan komputer adalah
kesalahan pengelola dalam melakukan analisa informasi yang dihasilkan
masing-masing perangkat keamanan
jaringan komputer. Kesalahan analisa dapat menyebabkan pengelola lambat,
salah atau tidak terarah dalam menghadapi serangan yang sedang berlangsung.
Oleh karena itu, salah satu alat bantu yang dapat
digunakan oleh pengelola jaringan komputer adalah Security Information
Management (SIM). SIM berfungsi untuk menyediakan seluruh infomasi yang
terkait dengan pengamanan jaringan komputer secara terpusat. Dengan menggunakan
SIM, pengelola dapat dengan mudah mengetahui kondisi seluruh peralatan yang
dimilikinya dan melakukan identifikasi serangan yang ada. Pada fungsi paling
dasarnya, SIM akan mengumpulkan semua log dan alert yang
dihasilkan oleh semua peralatan keamanan jaringan komputer yang ada ke dalam
satu tempat, sehingga mempermudah pengelolaan. Pada perkembangannya SIM tidak
hanya berfungsi untuk mengumpulkan data-data dari semua peralatan keamanan jaringan komputer tapi juga
memiliki kemampuan untuk analisa data melalui teknik korelasi dan query data
terbatas sehingga menghasilkan peringatan dan laporan yang lebih lengkap dari
masing-masing serangan.
Dengan mempergunakan SIM, pengelola jaringan komputer dapat mengetahui
secara lebih cepat bahwa sedang ada serangan dan dapat melakukan penanganan
yang lebih terarah, sehingga keamanan jaringan komputer organisasi tersebut lebih terjamin.
Semoga
bermanfaat dan terimakasih.
» JANGAN LUPA LIKE N Komentarnya Yeach...
Artikel 
0 Comments
