Kompetensi Dasar : 15.1 Menentukan jenis-jenis keamanan jaringan  15.2 Mengidentifikasi pengendalian jaringan yang diperlukan 15.3 Memasang firewall 15.4 Mendesain sistem keamanan jaringan

BAB 1 Menentukan Jenis Keamanan Jaringan

·     Dalam  masyarakat  pertanian  tanah    aset paling penting  negara

dengan produksi  tani  terbesar memiliki kekuatan  bersaing.  ·     Dalam  masyarakat  industri    kekuatan  modal  seperti memiliki cadangan  minyak menjadi faktor utama dalam persaingan.  ·     Dalam    masyarakat    berbasis  informasi dan  pengetahuan       informasi   adalah    komoditi yang  sangat  penting  dan  aset  paling  berharga           Kemampuan untuk  mendapatkan, mengakses,  menyediakan,  menggunakan,  dan  menganalisis  informasi secara  cepat  dan akurat. 

Definisi Informasi :

Secara umum, informasi  didefinisikan  sebagai hasil dari aktivitas mental dan merupakan produk abstrak yang ditransmisikan melalui medium. 

Dalam  bidang teknologi informasi dan komunikasi, informasi adalah hasil dari pemrosesan, manipulasi dan  pengaturan  data, yaitu sekumpulan fakta.

Dalam    bidang    Keamanan  Informasi,  informasi diartikan  sebagai sebuah  aset  merupakan

sesuatu yang memiliki nilai dan  karenanya harus dilindungi. Definisi ini mengikuti  ISO/IEC 27001. 

Aspek keamanan informasi   Garfinkel and Spafford  mengemukakan bahwa keamanan komputer  (computer security) melingkupi empat aspek, yaitu : 1.   Privacy

2.   Integrity 3.   Authentication 4.   availability.   Selain keempat hal di atas, masih ada dua aspek lain yang juga sering dibahas dalam kaitannya dengan  electronic commerce, yaitu access control dan non-repudiation.

Berdasar spesifikasi dari OSI, aspek keamanan komputer meliputi : •    Access Control, Perlindungan terhadap pemakaian tak legak •    Authentication, Menyediakan jaminan identitas seseorang •    Confidentiality (kerahasiaan), Perlindungan terhadap pengungkapan identitas tak legal •    Integrity, Melindungi dari pengubahan data yang tak legal •    Non-repudiation (penyangkalan), Melindungi terhadap penolakan komunikasi yang sudah pernah dilakukan.

  Pendapat    yang  lain  mengatakan,  Aspek keamanan  informasi adalah  aspek-aspek  yang dilingkupi dan melingkupi keamanan informasi dalam sebuah sistem informasi. Aspek-aspek ini adalah :

Privacy   (privasi/kerahasiaan) ,  menjaga  kerahasiaan  informasi dari semua  pihak,  kecuali yang memiliki kewenangan;

Integrity (integritas) , meyakinkan bahwa data tidak mengalami perubahan oleh yang tidak berhak atau oleh suatu hal lain yang tidak diketahui (misalnya buruknya transmisi data);

Authentication   (otentikasi/identifikasi) ,  pengecekan  terhadap  identitas  suatu  entitas,  bisa berupa orang, kartu kredit atau mesin;

Signature,  Digital  Signature  (tanda  tangan),  mengesahkan  suatu  informasi menjadi satu kesatuan di bawah suatu otoritas;

Authorization (otorisasi) , pemberian hak/kewenangan kepada entitas lain di dalam sistem;

Validation (validasi) , pengecekan keabsahan suatu otorisasi; Access Control (kontrol akses) , pembatasan akses terhadap

entitas di dalam sistem; Certificate   (sertifikasi) ,  pengesahan/pemberian  kuasa  suatu 

informasi kepada  entitas  yang tepercaya; Time   stamp   (pencatatan   waktu) ,  mencatat  waktu 

pembuatan  atau  keberadaan  suatu informasi di dalam sistem; Verification   (persaksian,   verifikasi) ,  memverifikasi

pembuatan  dan  keberadaan  suatuinformasi di dalam sistem bukan oleh pembuatnya Acknowledgement (tanda terima), pemberitahuan bahwa informasi telah diterima;

Confirmation (konfirmasi) , pemberitahuan bahwa suatu layanan informasi telah tersedia;

Ownership (kepemilikan) , menyediakan suatu entitas dengan sah untuk menggunakan atau mengirimkan kepada pihak lain;

Anonymous   (anonimitas) ,  menyamarkan  identitas  dari entitas  terkait  dalam  suatu  proses transaksi;

Non-repudiation   (nirpenyangkalan) ,  mencegah  penyangkalan  dari suatu  entitas  atas kesepakatan atau perbuatan yang sudah dibuat;

Recall (penarikan) , penarikan kembali suatu sertifikat atau otoritas.

Standar Kegiatan Keamanan Informasi  ISO/IEC   27001 ,  atau  lengkapnya  "ISO/IEC  27001:2005  -  Information  technology  -- Security  techniques  --  Information  security  management  systems  --  Requirements",  adalah suatu standar sistem manajemen keamanan informasi (ISMS, information security management system)  yang  diterbitkan  oleh ISO dan IEC pada  Oktober 2005.  Standar  yang  berasal dari BS 7799-2 ini ditujukan untuk digunakan bersama denganISO/IEC 27002, yang memberikan daftar tujuan  pengendalian  keamanan  dan  merekomendasikan  suatu rangkaian  pengendalian keamanan spesifik.  Kegiatan keamanan dalam  ISO/IEC27001 terdiri dari 133 kontrol dan 11 domain Beberapa

ISO/IEC27001   mengadopsi   model proses    Plan-Do-Check-Act,  yang   

digunakan  untuk mengatur struktur seluruh proses ISMS. Dalam ISO/IEC27001, semua bukti hasil penilaian ISMS harus  didokumentasikan;  sertifikasinya  harus  diaudit  secara  eksternal setiap  enam  bulan;  dan  seluruh  proses diulangi  sesudah  tiga tahun untuk terus mengatur ISMS. 

1. Keterbukaan Informasi 

Selain  memiliki banyak  keuntungan,  keterbukaan  akses  informasi tersebut  memunculkan

2. berbagai masalah baru, antara lain :

·    Pemeliharaan validitas dan integritas data/informasi tersebut

·    Jaminan ketersediaan informasi bagi pengguna yang berhak ·    Pencegahan akses informasi dari yang tidak berhak ·    Pencegahan akses sistem dari yang tidak berhak

Konsep 4R Konsep  pengaturan  4R  berikut  ini adalah  cara  paling  efisien  untuk  memelihara  dan mengontrol nilai  informasi.  4R  keamanan  informasi adalah  Right  Information  (Informasi yang benar),  Right  People  (Orang  yang  tepat),    Right  Time  (Waktu  yang  tepat)  dan    Right  Form (Bentuk yang tepat).  

1.   Right  Information  mengacu  pada    ketepatan    dan  kelengkapan  informasi,  yang  menjaminintegritas informasi.  2.   Right  People    berarti informasi tersedia  hanya  bagi individu yang  berhak,  yang  menjaminkerahasiaan.3.   Right  Time    mengacu  pada  aksesibilitas  informasi dan  penggunaannya    atas  permintaanentitas yang berhak. Ini menjamin ketersediaan.  4.   Right Form mengacu pada penyediaan informasi dalam format yang tepat. 

Piramida Metodologi Kemananan Berikut  ini adalah  piramida  metodologi  keamanan.  Secara  singkat  pada  piramida  di bawah  ini telah  tergambar  unsur-unsur  apa  saja  yang  dibutuhkan  dalam  membangun  sebuah sistem keamanan secara utuh

Gambar 1. Piramida Metodologi Keamanan Orang yang Terlibat  1.   Administrator System  (SysAdmin), Network Admin, stakeholder 2.   Phreaker

Orang  yang  mengetahui sistem  telekomunikasi dan  memanfaatkan  kelemahan  sistem pengamanan telepon tersebut  3.   Hacker Orang  yang  mempelajari sistem  yang  biasanya  sukar  dimengerti  untuk  kemudian mengelolanya dan men-share hasil ujicoba yang  dilakukannya. Hacker tidak merusak sistem  4.   Craker   Orang yang mempelajari sistem dengan maksud jahat – Muncul karena sifat dasar

manusia

(salah satunya merusak)

Ancaman Jaringan komputer dilihat dari BENTUKNYA :  •    Fisik (physical)-    Pencurian perangkat keras komputer atau perangkat   jaringan  -    Bencana alam (banjir, kebakaran, dll)     Major cause -    Kerusakan pada komputer dan perangkat komunikasi jaringan  -    Wiretapping  Man the Middle Attack      Aktif / Pasif  -    Wardriving  Man the Middle Attack        Aktif / Pasif  -•    Logik (logical)-    Kerusakan pada sistem operasi atau aplikasi  -    Virus -    Sniffing, dan lain lain seperti tersebut di bawah ini

Ancaman Jaringan komputer dilihat dari JENIS-JENISNYA Jenis-jenis Serangan Keamanan Informasi yang menjadi tren dan arah Keamanan Informasi: 1.   Probe Probe  atau  yang  biasa  disebut  probing  adalah  usaha  untuk  mengakses  sistem  dan mendapatkan informasi tentang sistem 2.   Scan Scan adalah probing dalam jumlah besar menggunakan suatu tool 3.   Account compromise Meliputi User compromize dan root compromize 4.   Packet Snifer Adalah  sebuah  program  yan  menangkap  /  mngcaptur  data  dari paket  yang  lewat  di

jaringan. (username, password, dan informasi penting lainnya) 5.   Hacking Hacking adalah tindakan memperoleh akses ke komputer atau jaringan komputer untuk mendapatkan atau mengubah informasi tanpa otorisasi yang sah 6.   Denial-of-Service  Serangan  Denial-of-service (DoS) mencegah pengguna yang sah dari penggunaan layanan ketika pelaku mendapatkan akses tanpa izin ke mesin atau data.  Ini terjadi karena pelaku membanjiri‘ jaringan dengan volume data yang besar atau sengaja  menghabiskan  sumber daya yang langka atau terbatas, seperti process control blocks atau koneksi jaringan yang tertunda. Atau mereka mengganggu komponen fisik jaringan atau memanipulasi data  yang

sedang dikirimkan, termasuk data terenkripsi. 7.   Malicious code (Kode Berbahaya)  Malicious code adalah program yang menyebabkan kerusakan sistem ketika dijalankan.

Virus, worm dan Trojan horse merupakan jenis-jenis malicious code. a.   Virus  komputer adalah sebuah program komputer atau  kode  program  yang merusak sistem komputer dan data dengan mereplikasi  dirinya sendiri  melalui peng-copy-an ke program lain, boot sector komputer atau dokumen.  b.   Worm  adalah virus yang mereplikasi  dirinya sendiri yang tidak mengubah  file, tetapi  ada  di  memory  aktif, menggunakan  bagian dari sistem operasi yang otomatis dan biasanya  tidak  terlihat  bagi pengguna.  Replikasi mereka  yang  tidak  terkontrol memakan  sumber    daya    sistem,  melambatkan  atau  menghentikan  proses  lain. Biasanya hanya jika ini terjadi keberadaan worm diketahui.  c.   Trojan horse  adalah program yang  sepertinya  bermanfaat dan/atau tidak berbahaya tetapi sesungguhnya  memiliki fungsi merusak  seperti unloading  hidden  program  atau command scripts yang membuat sistem rentan gangguan. 8.   Social Engineering / Exploitation of Trust Sekumpulan  teknik  untuk  memanipulasi orang  sehingga  orang  tersebut  membocorkan informasi rahasia.  Meskipun  hal ini mirip  dengan    permainan kepercayaan  atau  penipuan sederhana,  istilah  ini mengacu kepada penipuan untuk mendapatkan informasi atau akses sistem komputer. 

Beberapa jebakan yang dapat dilakukan diantaranya dengan :  o  Memanfaatkan  kepercayaan orang dalam bersosialisasi dengan komputer.

o  Memanfaatkan  kesalahan  orang  secara  manusiawi misal :  kesalahan  ketik,  asal klik, next-next, dll  o  Bisa dengan cara membuat tampilan Login yang mirip (teknik fake login), diarahkan ketempat  lain,  juga  biasanya  dibuat  url yang  hampir  sama  untuk  web  contoh  kasus  :www.klikbca.com 9.   Phishing  Tindakan  pemalsuan  terhadap  data  /  identitas  resmi yang  dilakukan  untuk  hal yang berkaitan  dengan  pemanfaatannya.  Phising  diawali dengan  mencuri  informasi personal melalui Internet.  Phishing    telah  menjadi aktivitas  kriminal  yang  banyak  dilakukan  di Internet. 10. Deface  perubahan terhadap tampilan suatu website secara illegal. 11. Carding  pencurian  data  terhadap  identitas  perbankan  seseorang,  misalnya  pencurian  nomor  kartu kredit, digunakan untuk memanfaatkan saldo yang terdapat pada rekening tersebut untuk keperluan belanja online. 

 BAB 2  Mengidentifikasi Pengendalian 

Jaringan yang Diperlukan 

Jaringan yang Diperlukan Risk Management Model Lawrie  Brown  dalam  bukunya    menyarankan menggunakan  “Risk  Management  Model” untuk  menghadapi ancaman  (managing  threats).  Ada  tiga  komponen  yang  memberikan kontribusi kepada Risk, yaitu Asset, Vulnerabilities, dan Threats. Untuk  menanggulangi  resiko  (Risk)  tersebut  dilakukan  apa  yang  disebut  “countermeasures” yang dapat berupa:•    usaha untuk mengurangi Threat•    usaha untuk mengurangi Vulnerability•    usaha untuk mengurangi impak (impact)•    mendeteksi kejadian yang tidak bersahabat (hostile event)•    kembali (recover) dari kejadian

Analisis SWOT

Analisis  SWOT (singkatan bahasa  Inggris dari  strengths  (kekuatan), weaknesses (kelemahan), opportunities   (kesempatan),  dan  threats  (ancaman)  adalah metode

perencanaan  strategis yang  digunakan  untuk  mengevaluasi  kekuatan,  kelemahan, peluang,  dan  ancaman  dalam  suatu  keadaan  tertentu.  Dalam  tinjauan  keamanan  jaringan, analisis  SWOT  mencoba  memetakan  keadaan  yang  ingin  dicapai  yaitu  terciptanya  keamanan informasi dan keamanan jaringan, dan mengidentifikasikan faktor internal dan faktor  eksternalyang  membantu    dan  yang  membahayakan  tercapainya  keamanan  jaringan  dan  keamanan informasi. 

   Teknik  ini  dibuat  oleh Albert  Humphrey,  yang  memimpin proyek  riset  pada Universitas Stanfordpada  dasawarsa 1960-an dan 1970-an dengan  menggunakan  data  dari  perusahaan-perusahaan Fortune 500  

Setelah memetakan dan mengenali faktor-faktor tersebut, maka diperlukan usaha untuk meningkatkan  strengths  (kekuatan),  mengurangi  dan  menutupi  weaknesses  (kelemahan), memanfaatkan  opportunities  (kesempatan),  dan  juga  usaha  untuk  mengurangi  dan mengantisipasi Threats (ancaman).

Port   Dalam  protokol   jaringan TCP/IP ,  sebuah port adalah  mekanisme  yang  mengizinkan sebuah  komputer  untuk  mendukung  beberapa  sesi  koneksi  dengan  komputer  lainnya  dan program  di  dalam  jaringan.  Port  dapat  mengidentifikasikan  aplikasi  dan  layanan  yang menggunakan  koneksi di dalam  jaringan  TCP/IP.  Sehingga,  port  juga  mengidentifikasikan sebuah proses tertentu di mana sebuah server dapat memberikan sebuah layanan kepada klien

atau bagaimana sebuah klien dapat mengakses sebuah layanan yang ada dalam server.  Port  dapat  dikenali dengan  angka 16-bit (dua  byte)  yang  disebut  dengan Port Number dan  diklasifikasikan  dengan  jenis  protokol transport  apa  yang  digunakan,  ke dalam Port  TCP dan Port  UDP.  Karena  memiliki angka  16-bit,  maka  total maksimum jumlah port untuk setiap protokol transport yang digunakan adalah 216 = 65536 buah. Dilihat  dari penomorannya,  port  UDP  dan  TCP  dibagi menjadi tiga  jenis,  yakni sebagaiberikut:

Well-known   Port :  yang  pada  awalnya  berkisar  antara  0  hingga  255  tapi kemudian diperlebar untuk mendukung antara 0 hingga 1023. Port number yang termasuk ke dalam well-known  port,  selalu  merepresentasikan  layanan  jaringan  yang  sama,  dan  ditetapkan oleh Internet Assigned Number Authority (IANA). Beberapa di antara port-port yang berada di dalam  range  Well-known  port  masih  belum  ditetapkan  dan  direservasikan  untukdi gunakan  oleh  layanan  yang  bakal ada  di masa  depan. Well-known  port didefinisikan dalam RFC 1060.

Registered   Port :  Port-port  yang  digunakan  oleh  vendor-vendor  komputer  atau  jaringanyang berbeda untuk mendukung aplikasi dan sistem operasi yang mereka buat. Registered port  juga  diketahui dan  didaftarkan  oleh  IANA  tapi tidak  dialokasikan  secara  permanen, sehingga  vendor  lainnya  dapat  menggunakan  port  number  yang  sama.  Range  registered port  berkisar  dari 1024  hingga  49151  dan  beberapa  port  di antaranya  adalah Dynamically Assigned Port. Dynamically  Assigned  Port:  merupakan  port-port  yang  ditetapkan  oleh  sistem  operasi atau  aplikasi yang  digunakan  untuk  melayani  request  dari pengguna  sesuai dengan kebutuhan.  Dynamically  Assigned  Port  berkisar  dari 1024  hingga  65536  dan  dapat digunakan atau dilepaskan sesuai kebutuhan.

BAB 3 Firewall

 

Pengertian Firewall : Adalah mekanisme kontrol akses pada level jaringan,  Aplikasi Penghambat  yang  dibangun    untuk  memisahkan  jaringan  privat  dengan  jaringan publik (Internet) Aplikasi diimplementasikan  pada  :  software,  hardware,  Router  Access,  ataupun  Server Access atau beberapa Router Acess ataupun beberapa Server Access Menggunakan suatu (rule)/Policy berupa daftar akses (Access List), dan metode lain untuk menjamin keamanan jaringan privat    

              Firewall adalah  salah  peralatan  atau  suatu  aplikasi pada  sistem  operasi  yang  dibutuhkan oleh  jaringan  komputer  untuk  melindungi intergritas  data/sistem  jaringan  dari serangan-serangan pihak yang tidak bertanggung jawab. Caranya dengan melakukan filterisasi terhadap paket-paket yang melewatinya. Firewall tersusun  dari aturan-aturan  yang  diterapkan  baik  terhadap  hardware,  software ataupun  sistem  itu  sendiri dengan  tujuan  untuk  melindungi jaringan,  baik  dengan  melakukan filterisasi,  membatasi,  ataupun  menolak  suatu  permintaan  koneksi dari jaringan  luar  lainnya seperti internet.  

Pada  firewall terjadi beberapa  proses  yang  memungkinkannya   melindungi jaringan.  Ada tiga macam Proses yang terjadi pada firewall, yaitu:  

1.    Modifikasi header paket, digunakan untuk memodifikasi kualitas layanan bit paket TCP sebelum mengalami proses routing. 2.    Translasi  alamat  jaringan,  translasi yang  terjadi dapat  berupa  translasi satu  ke  satu (one to one), yaitu  satu alamat IP privat dipetakan kesatu alamat IP publik atau   translasi banyak  kesatu  (many  to  one)  yaitu  beberapa  alamat  IP  privat  dipetakan  kesatu  alamat

publik. 3.    Filter   paket ,  digunakan  untuk  menentukan  nasib  paket  apakah  dapat  diteruskan  atau tidak.

Jenis Firewall Hardware dan Software 1.    Software Firewall      Adalah  program  yang  berjalan  pada  background  komputer.  Software  ini mengevaluasisetiap request dari jaringan dan menetukan apakah request itu valid atau tidak. Kelebihan •    Harganya murah •    Mudah dikonfigurasi Kekurangan •    Memakan sumber daya dari komputer (CPU,memory, disk) •    Terdapat versi yang berbeda dan untuk OS yang berbeda pula •    Dibutuhkan beberapa copy dan konfigurasi untuk tiap sistem dalam jaringan

2.    Hardware Firewall            Adalah  firewall yang  dipasang  pada  komputer,  yang  menghubungkan  komputer  dengan modem  Kelebihan •    Menyediakan  perlindungan yang lebih banyak dibandingkan software firewall•    Beroperasi secara  independen  terhadap  sistem  operasi dan  aplikasi  perangkat lunak, sehingga kompabilitasnya tinggi  Kekurangan •    Cenderung lebih mahal

Teknologi Firewall 1.    Packet Filtering Gateway (Router, Cisco IOS, dll.) ->Stateless  2.    Application Level Gateway / Proxy-based (NAI Gauntled, Axent Raptor, dll.) 3.    Circuit Level Gateway 4.    Statefull Multi Layer Inspection Firewall (Checkpoint FW-1, PIX, dll.)

1.       Packet Filtering Gateway   Prinsip : adalah memperbolehkan (grant) atau membatalkan (deny) terhadap suatu access, dengan beberapa variabel: Source Address Destination Address Protocol (TCP/UDP) Source Port number  Destination Port number  Packet filtering gateway dapat diartikan sebagai firewall yang bertugas melakukan filterisasi terhadap paket-paket yang datang dari luar jaringan yang dilindunginya. 2.       Circuit Level Gateway Model firewall ini bekerja  pada  bagian  Lapisan  transport  dari model referensi TCP/IP.

Firewall ini akan melakukan pengawasan terhadap awal hubungan TCP yang biasa disebut sebagai TCP Handshaking, yaitu proses untuk menentukan apakah sesi hubungan tersebut diperbolehkan  atau  tidak.  Bentuknya  hampir  sama  dengan  Application  Layer  Gateway  ,

hanya saja bagian yang difilter terdapat ada lapisan yang berbeda, yaitu berada pada layer Transport.  3.       Application Level Gateway Adalah  gateway  yang  bekerja  pada  level aplikasi pada  layer  OSI,  Model firewall ini juga

dapat disebut Proxy Firewall. Mekanismenya tidak hanya berdasarkan sumber, tujuan dan atribut  paket,  tapi bisa  mencapai isi (  content  )  paket  tersebut.  Bila  kita  melihat  dari sisilayer  TCP/IP,  firewall jenis  ini akan  melakukan  filterisasi pada  layer  aplikasi (  Application Layer ).  4.       Statefull Packet-filter-Based Firewalls     Model firewall ini merupakan penggabungan dari ketiga firewall sebelumnya. Firewall jenis ini akan  bekerja  pada  lapisan  Aplikasi,  Transport  dan  Internet.  Dengan  penggabungan ketiga model firewall yaitu Packet Filtering Gateway, Application Layer Gateway dan Circuit

Level Gateway,  mungkin  dapat  dikatakan  firewall jenis  ini merupakan  firewall  yang ,memberikan fitur terbanyak dan memeberikan tingkat keamanan yang paling tinggi.

Beberapa Konfigurasi Firewall 1.    Screened Host Firewall (singled-homed bastion) 2.    Screened Host Firewall (Dual-homed bastion) 3.    Screened Subnet Firewall

Aplikasi pengendalian jaringan dengan menggunakan firewall dapat diimplementasikan dengan menerapkan sejumlah aturan (chains) pada topologi yang sudah ada. 

Dalam  hal pengendalian  jaringan  dengan  menggunakan  iptables,  ada  dua  hal yang  harus

diperhatikan yaitu: 1.    Koneksi paket yang menerapkan firewall yang digunakan. 2.    Konsep firewall yang diterapkan. Dengan  dua  hal ini diharapkan  iptables  sebagai aturan  yang  mendefinisikan  firewall dapat mengenali apakah koneksi yang terjadi berupa koneksi baru ( NEW) , koneksi yang telah ada ( ESTABLISH  ),  koneksi yang  memiliki relasi dengan  koneksi lainnya  (  RELATED  )  atau  koneksi

yang tidak valid ( INVALID ). Keempat macam koneksi itulah yang membuat IPTables disebut Statefull Protocol .

Koneksi Paket  Koneksi paket yang dalam proses pengirimannya dari pengirim kepada penerima harus melaluiaturan firewall, dapat dikelompokan kepada tiga kelompok koneksi, yaitu : 1.    Koneksi TCP 2.    Koneksi IP 3.    Koneksi UDP  

1.       Koneksi TCP   Sebuah  koneksi TCP   dikenal sebagai koneksi yang  bersifat  Connection  Oriented  yang berarti sebelum melakukan pengiriman data, mesin-mesin tersebut akan melalui 3 langkah cara berhubungan ( 3-way handshake ). 

2.       Koneksi IP   Sebuah  frame  yang  diidentifikasi menggunakan  kelompok  protokol Internet (IP)  harus melalui aturan firewall yang didefinisikan menggunakan protokol IP sebelum paket tersebut mendapat jawaban koneksi dari tujuan paket tersebut.  Salah  satu  paket  yang  merupakan  kelompok  protokol IP  adalah  ICMP,  yang  sering digunakan sebagai aplikasi pengujian koneksi ( link ) antar host. 

3.       Koneksi UDP   Berbeda  dengan  koneksi TCP,  koneksi UDP  (Gambar  11.11)  bersifat  connectionless. Sebuah  mesin  yang  mengirimkan  paket  UDP  tidak  akan  mendeteksi kesalahan  terhadap pengiriman paket tersebut.  Paket  UDP  tidak  akan  mengirimkan  kembali paket-paket  yang  mengalami error.  Modelpengiriman paket ini akan lebih efisien pada koneksi broadcasting atau multicasting

Untuk  membangun  sebuah  firewall,  yang  harus  kita  ketahui pertama-tama  adalah bagaimana sebuah paket diproses oleh firewall, apakah paket-paket  yang masuk akan di buang (   DROP   )   atau  diterima  (   ACCEPT   ) ,  atau  paket  tersebut  akan  diteruskan  (   FORWARD   )   ke jaringan yang lain. Salah  satu  tool yang  banyak  digunakan  untuk  keperluan  proses  pada  firewall adalah iptables. Program  iptables  adalah  program  administratif  untuk  Filter Paket  dan  NAT   (   Network Address   Translation) .  Untuk  menjalankan  fungsinya,  iptables  dilengkapi dengan  tabel mangle, nat dan filter .

NAT (SNAT dan DNAT) Salah  satu  kelebihan  IPTABLES  adalah  untuk  dapat  memfungsikan  komputer  kita  menjadi gateway menuju internet. Teknisnya membutuhkan tabel lain pada IPTABLES selain ketiga tabel diatas, yaitu tabel NAT SNAT digunakan untuk mengubah alamat IP pengirim ( source IP address ). Biasanya SNAT berguna untuk menjadikan komputer sebagai gateway menuju ke internet. Misalnya  komputer  kita  menggunakan  alamat  IP  192.168.0.1.  IP  tersebut  adalah  IP  lokal. SNAT akan mengubah IP lokal tersebut menjadi IP publik, misalnya 202.51.226.35. Begitu juga sebaliknya,  bila  komputer  lokal kita  bisa  di akses  dari internet  maka  DNAT  yang  akan digunakan.  Mangle pada IPTABLES banyak digunakan untuk menandai ( marking ) paket-paket untuk di gunakan  di proses-proses  selanjutnya.  Mangle  paling  banyak  di gunakan  untuk  bandwidth limiting atau pengaturan bandwidth.  Fitur  lain  dari mangle  adalah  kemampuan  untuk  mengubah  nilai Time  to  Live  (TTL) 

pada paket dan TOS ( type of service ).     BAB 4

Mendesain Sistem Keamanan Jaringan

 

Metode Keamanan JaringanDalam  merencanakan  suatu  keamanan  jaringan,  ada  beberapa  metode  yang  dapat ditetapkan, metode-metode tersebut adalah sebagai berikut : 1.       Pembatasan akses pada suatu jaringan Ada beberapa konsep dalam pembatasan akses jaringan, yakni sebagai berikut : a.    Internal Password Authentication Password  local untuk  login  ke  sistem  harus  merupakan  password  yang  baik  serta dijaga dengan baik. Pengguaan aplikasi shadow password akan sangat membantu.  b.    Server Based password authentication Termasuk  dalam  metoda  ini misalnya  sistem  Kerberos  server,  TCP-wrapper,  dimana setiap  service  yang  disediakan  oleh  server  tertentu  dibatasi dengan  suatu  daftar  host dan user yang boleh dan tidak boleh menggunakan service tersebut c.    Server-based token authentication Metoda  ini  menggunakan  authentication  system  yang  lebih  ketat,  yaitu  dengan penggunaan  token  /  smart  card,  sehingga  untuk  akses  tertentu  hanya  bisa  dilakukan oleh login tertentu dengan menggunakan token khusus. d.    Firewall dan Routing Control  Firewall melindungi   host-host  pada  sebuah  network  dari berbagai serangan.  Dengan adanya  firewall,  semua  paket  ke  sistem  di belakang  firewall dari jaringan  luar  tidak dapat dilakukan langsung. Semua hubungan harus dilakukan dengan mesin firewall2.       Menggunakan Metode dan mekanisme   tertentu •    Enkripsi Salah satu cara pembatasan akses adalah dengan enkripsi. Proses enkripsi meng-encode data dalam bentuk yang hanya dapat dibaca oleh sistem yang mempunyai kunci untuk membaca  data.  Proses  enkripsi dapat  dengan  menggunakan  software  atau  hardware. Hasil enkripsi disebut cipher. Cipher kemudian didekripsi dengan device dan kunci yang

sama  tipenya  (sama  hardware/softwarenya,  sama  kuncinya).  Dalam  jaringan,  sistem enkripsi harus  sama  antara  dua  host  yang  berkomunikasi.  Jadi diperlukan  kontrol terhadap  kedua  sistem  yang  berkomunikasi.  Biasanya  enkripsi digunakan  untuk  suatu sistem yang seluruhnya dikontrol oleh satu otoritas

Terminologi Kriptografi Kriptografi  (cryptography)  merupakan  ilmu  dan  seni untuk  menjaga  pesan  agar aman. (Cryptography is the art and science of keeping messages secure. [40]) “Crypto” berarti “secret”  (rahasia)  dan  “graphy”  berarti  “writing”  (tulisan)  [3].  Para  pelaku  atau praktisi kriptografi disebut cryptographers. Sebuah algoritma kriptografik (cryptographic algorithm),  disebut    cipher,  merupakan  persamaan  matematik  yang  digunakan  untuk proses enkripsi dan dekripsi. Biasanya kedua persamaan matematik (untuk enkripsi dan dekripsi) tersebut memiliki hubungan matematis yang cukup erat.

Terminologi Enskripsi - Dekripsi Proses  yang  dilakukan  untuk  mengamankan  sebuah  pesan  (yang  disebut plaintext)  menjadi pesan  yang  tersembunyi  (disebut    ciphertext)  adalah  enkripsi (encryption).    Ciphertext  adalah  pesan  yang  sudah  tidak  dapat  dibaca  dengan  mudah. Menurut ISO 7498-2, terminologi yang lebih tepat digunakan adalah “encipher”. Proses sebaliknya,  untuk  mengubah    ciphertext  menjadi   plaintext,  disebut  dekripsi(decryption). Menurut ISO 7498-2, terminologi yang lebih tepat untuk proses ini adalah “decipher”. 

•    Digital Signature Digunakan  untuk  menyediakan  authentication,  perlindungan,  integritas,  dan  non-repudiation •    Algoritma Checksum/Hash Digunakan  untuk  menyediakan  perlindungan  integritas,  dan  dapat  menyediakan authentication •    Satu atau lebih mekanisme dikombinasikan untuk menyediakan security service

3.       Pemonitoran terjadwal terhadap jaringan Dengan  adanya  pemantauan  yang  teratur,  maka  penggunaan  sistem  oleh  yang  tidak berhak  dapat  dihindari /  cepat  diketahui.  Untuk  mendeteksi aktifitas  yang  tidak  normal, maka  perlu  diketahui aktifitas  yang  normal.  Proses  apa  saja  yang  berjalan  pada  saat aktifitas  normal.  Siapa  saja  yang  biasanya  login  pada  saat  tersebut.  Siapa  saja  yang biasanya    login  diluar  jam  kerja.  Bila  terjadi keganjilan,  maka  perlu  segera  diperiksa.  Bila hal-hal yang mencurigakan terjadi, maka perlu dijaga kemungkinan adanya intruder.

Metodologi    keamanan  informasi    bertujuan  untuk  meminimalisasi    kerusakan  dan memelihara keberlangsungan bisnis dengan memerhatikan semua kemungkinan kelemahan dan ancaman  terhadap  aset  informasi.  Untuk    menjamin  keberlangsungan    bisnis,  metodologi keamanan  informasi   berusaha  memastikan  kerahasiaan,  integritas  dan  ketersediaan  aset

informasi internal.  Hal ini termasuk  penerapan    metode  dan  kontrol manajemen    risiko.  Pada dasarnya, yang dibutuhkan adalah rencana yang bagus  dan  meliputi  aspek administratif, fisik, serta teknis dari keamanan informasi.  Beberapa  Langkah  dalam  perancangan  Sistem  dengan  memperhatikan  aspek  Keamanan Jaringan : 1.    Menentukan topologi jaringan yang akan digunakan. 2.    Menentukan kebijakan atau policy .  3.    Menentukan aplikasi – aplikasi atau servis-servis apa saja yang akan berjalan. 4.    Menentukan  pengguna-pengguna  mana  saja  yang  akan  dikenakan  oleh  satu  atau  lebih aturan firewall. 5.    Menerapkan kebijakan, aturan, dan prosedur dalam implementasi firewall. 6.    Sosialisasi kebijakan, aturan, dan prosedur yang sudah diterapkan. 

Arsitektur sistem IDS  Intrusion Detection System (IDS) pada implementasi tugas akhir ini  tediri dari komponen  komponen / modul :  1.    Sensor modul 2.    Analyzer modul 3.    Database system  

 Sensor  berfungsi untuk  mengambil data  dari jaringan.  Sensor  merupakan  bagian  dari sistem  deteksi  dini  dari  IDS.  Untuk  itu  digunakan  suatu    program  yang  berfungsi sebagai intrusion  detector  dengan  kemampuan  packet  logging  dan  analisis  traffik  yang  realtime. Analyzer berfungsi untuk  analisa paket yang lewat pada jaringan. Informasi dari analyzer yang akan menjadi input bagi sistem lainnya.  Salah satu perangkat lunak yang sering digunakan pada IDS adalah snort, karena snort mempunyai kemampuan    menjadi sensor  dan  analyzer  serta  sesuai untuk  diterapkan  pada rancangan sistem keamanan. Arsitektur  Sistem 

AIRIDS  Automatic  Interactive  Reactive  Intrusion  Detection System AIRIDS  merupakan  suatu  metode  kemanan  jaringan  yang  bertujuan  untuk  membentuk suatu  arsitektur  sistem keamanan  yang  terintegrasi antara  Intrusion  Detection  System  (IDS),Firewall System, Database System dan Monitoring System.

komponen-komponen / modul  AIRIDS berupa : 1.    Intrusion detection system (IDS) a.    Sensor modul b.    Analyzer  modul 2.    Database system  3.    Monitoring system 4.    Firewall system 5.    SMS system (optional) 

م�ين ل� عل� ل ٱ ب� ل� م� �� ل م د� ل� ل� ل ٱ