9:55 AM
Selamat Malam . . .
Ok Pada kesempatan kali ini saya akan share tentang sistem kemanan di jaringan. dan tentunya ini merupakan sebuah Tugas Harian saya pada mata pelajaran Keamanan Jaringan di Kelas XII Teknik Komputer Jaringan di SMK Negeri 1 Tambelangan. OK Langsung saja ya Guyss...... -_-
STRUKTUR DARI KEAMANAN JARINGAN :
Perkembangan teknologi komputer, selain menimbulkan banyak manfaat juga
memiliki banyak sisi buruk. Salah satunya adalah serangan terhadap sistem
komputer yang terhubung ke Internet. Sebagai akibat dari serangan itu, banyak
sistem komputer atau jaringan yang terganggu bahkan menjadi rusak. Untuk
menanggulangi hal tersebut, diperlukan sistem keamanan yang dapat
menanggulangi dan mencegah kegiatan-kegiatan yang mungkin menyerang sistem
jaringan kita.
Masalah-masalah tersebut antara lain adalah sebagai berikut:
- Pemeliharaan validitas dan integritas data atau informasi tersebut
- Jaminan ketersediaan informasi bagi pengguna yang berhak
- Pencegahan akses sistem dari yang tidak berhak
- Pencegahan akses informasi dari yang tidak berhak
HAL YANG MEMBAHAYAKAN DI JARINGAN
Kegiatan dan hal-hal yang membahayakan keamanan jaringan antara lain adalah
hal-hal sebagai berikut:
1. Probe
Probe atau yang biasa disebut probing adalah suatu usaha untuk mengakses
sistem atau mendapatkan informasi tentang sistem. Contoh sederhana dari
probing adalah percobaan log in ke suatu account yang tidak digunakan. Probing
dapat dianalogikan dengan menguji kenop-kenop pintu untuk mencari pintu yang
tidak dikunci sehingga dapat masuk dengan mudah. Probing tidak begitu
berbahaya bagi sistem jaringan kita namun biasanya diikuti oleh tindakan lain
yang lebih membahayakan keamanan.
2. Scan
Scan adalah probing dalam jumlah besar menggunakan suatu tool. Scan
biasanya merupakan awal dari serangan langsung terhadap sistem yang oleh
pelakunya ditemukan mudah diserang.
3. Account Compromise
4. Root Compromise
Packet sniffer adalah sebuah program yang menangkap (capture) data dari paket
yang lewat di jaringan. Data tersebut bisa termasuk user name, password, dan
informasi-informasi penting lainnya yang lewat di jaringan dalam bentuk text.
Paket yang dapat ditangkap tidak hanya satu paket tapi bisa berjumlah ratusan
bahkan ribuan, yang berarti pelaku mendapatkan ribuan user name dan
password. Dengan password itu pelaku dapat mengirimkan serangan besarbesaran
ke sistem.
6. Denial of Service
Denial of service (DoS) bertujuan untuk mencegah pengguna mendapatkan
layanan dari sistem. Serangan DoS dapat terjadi dalam banyak bentuk.
Penyerang dapat membanjiri (flood) jaringan dengan data yang sangat besar
atau dengan sengaja menghabiskan sumber daya yang memang terbatas, seperti
process control block (PCB) atau pending network connection. Penyerang juga
mungkin saja mengacaukan komponen fisik dari jaringan atau memanipulasi data
yang sedang dikirim termasuk data yang terenkripsi.
7. Exploitation of Trust
8. Malicious Code
9. Internet Infrastructure Attacks
PERENCANAAN KEAMANAN :
Untuk menjamin keamanan dalam jaringan, perlu dilakukan perencanaan keamanan
yang matang berdasarkan prosedur dan kebijakan dalam keamanan jaringan.
Perencanaan tersebut akan membantu dalam hal-hal berikut ini:
1. Menentukan data atau informasi apa saja yang harus dilindungi
2. Menentukan berapa besar biaya yang harus ditanamkan dalam melindunginya
3. Menentukan siapa yang bertanggung jawab untuk menjalankan langkah-langkah
yang diperlukan untuk melindungi bagian tersebut
METODE KEAMANAN JARINGAN :
Dalam merencanakan suatu keamanan jaringan, ada beberapa metode yang dapat
diterapkan. Metode-metode tersebut adalah sebagai berikut:
A. Pembatasan akses pada suatu jaringan
Ada 3 beberapa konsep yang ada dalam pembatasan akses jaringan, yakni
sebagai berikut:
1. Internal Password Authentication
Password yang baik menjadi penting dan sederhana dalam keamanan suatu
jaringan. Kebanyakan masalah dalam keamanan jaringan disebabkan karena
password yang buruk. Cara yang tepat antara lain dengan menggunakan
shadow password dan menonaktifkan TFTP.
2. Server-based password authentication
3. Firewall dan Routing Control
Untuk firewall akan dijelaskan pada bagian selanjutnya.
4. Menggunakan metode enkripsi tertentu
Dasar enkripsi cukup sederhana. Pengirim menjalankan fungsi enkripsi pada
pesan plaintext, ciphertext yang dihasilkan kemudian dikirimkan lewat jaringan,
dan penerima menjalankan fungsi dekripsi (decryption) untuk mendapatkan
plaintext semula. Proses enkripsi/dekripsi tergantung pada kunci (key) rahasia
yang hanya diketahui oleh pengirim dan penerima. Ketika kunci dan enkripsi ini
digunakan, sulit bagi penyadap untuk mematahkan ciphertext, sehingga
komunikasi data antara pengirim dan penerima aman.
Lebih lanjut mengenai enkripsi akan dijelaskan pada bagian selanjutnya.
5. Pemonitoran terjadwal terhadap jaringan
Proses memonitor dan melakukan administrasi terhadap keamanan jaringan akan
dibahas pada bagian lain.
PASSWORD :
Akun administrator pada suatu server sebaiknya diubah namanya dan sebaiknya
hanya satu akun saja yang dapat mengakses. Pada sistem operasi Windows, cara
membuat password adalah sebagai berikut:
1. Tekan tombol START pada start menu
2. Klik Control Panel
3. Klik User Account
4. klik create a password
5. Masukkan password
6. Tekan tombol create password
Pemberian password yang tepat dengan kebijakan keamanan dalam akun admin,
password itu harus memiliki suatu karakter yang unik dan sukar ditebak. Ada
beberapa karakter yang dapat digunakan agar password sukar untuk ditebak, antara
lain adalah sebagai berikut:
1. Karakter #
2. Karakter %
3. Karakter $
Untuk melakukan pengujian terhadap password yang dibuat. Ada utilitas yang dapat
digunakan untuk mengetes kehandalan password, yaitu dengan menggunakan
software seperti avior yang bertujuan untuk melakukan brute-force password.
Kewenangan akses bagi user lain dalam satu perusahaan perlu didokumentasikan,
hal ini dilakukan untuk memenuhi kebutuhan klien. Kewenangan user selain
administrator antara lain adalah memasukkan data-data terbaru sesuai dengan
tujuan tertentu untuk memenuhi kebutuhan klien.
METODE ENKRIPSI :
Kriptografi macam ini dirancang untuk menjamin privacy, mencegah informasi
menyebar luas tanpa ijin. Akan tetapi, privacy bukan satu-satunya layanan yang
disediakan kriptografi. Kriptografi dapat juga digunakan untuk mendukung
authentication (memverifikasi identitas user) dan integritas (memastikan bahwa
pesan belum diubah).
Kriptografi digunakan untuk mencegah orang yang tidak berhak untuk memasuki
komunikasi, sehingga kerahasiaan data dapat dilindungi. Secara garis besar,
kriptografi digunakan untuk mengirim dan menerima pesan. Kriptografi pada
dasarnya berpatokan pada key yang secara selektif telah disebar pada komputerkomputer
yang berada dalam satu jaringan dan digunakan untuk memproses suatu
pesan
Ada beberapa jenis metode enkripsi, sebagai berikut:
1. DES
DES adalah mekanisme enkripsi data yang sangat popular dan banyak
digunakan. Ada banyak implementasi perangkat lunak maupun perangkat keras
DES. DES melakukan transformasi informasi dalam bentuk plain text ke dalam
bentuk data terenkripsi yang disebut dengan ciphertext melalui algoritma khusus
dan seed value yang disebut dengan kunci. Bila kunci tersebut diketahui oleh
penerima, maka dapat dilakukan proses konversi dari ciphertext ke dalam bentuk
aslinya.
Kelemahan potensial yang dimiliki oleh semua sistem enkripsi adalah kunci yang
harus diingat, sebagaimana sebuah password harus diingat. Bila kunci ditulis dan
menjadi diketahui oleh pihak lain yang tidak diinginkan, maka pihak lain tersebut
dapat membaca data asli. Bila kunci terlupakan, maka pemegang kunci tidak
akan dapat membaca data asli.
Banyak sistem yang mendukung perintah DES, atau utility-utility dan library yang
dapat digunakan untuk DES.
2. PGP (Pretty Food Privacy)
PGP dibuat oleh Phil Zimmerman, menyediakan bentuk proteksi kriptografi
yang sebelumnya belum ada. PGP digunakan untuk melindungi file, email,
dan dokumen-dokumen yang mempunyai tanda digital dan tersedia dalam
versi komersial mapun freeware.
3. SSL
SSL singkatan dari Secure Socket Layer adalah metode enkripsi yang
dikembangkan oleh Netscape untuk keamanan Internet. SSL mendukung
beberapa protokol enkripsi yang berbeda, dan menyediakan autentifikasi
client dan server. SSL beroperasi pada layer transport, membuat sebuah
kanal data yang terenskripsi sehingga aman, dan dapat mengenkrip berbagai
tipe data. Penggunaan SSL sering dijumpai pada saat berkunjung ke sebuah
secure site untuk menampilkan sebuah secure document dengan
Communicator.
4. SSH
SSH adalah program yang menyediakan koneksi terenkripsi pada saat
melakukan login ke suatu remote system. SSH merupakan suatu set program
yang digunakan sebagai pengganti rlogin, rsh, dan rcp dalam segi keamanan.
SSH menggunakan kriptografi kunci public untuk mengenkrip komunikasi
antara dua host, sehingga juga melakukan autentikasi terhadap user. SSH
dapat digunakan untuk mengamankan proses login ke suatu remote system
atau menyalin data antar host, karena mencegah terjadinya pembajakan sesi.
SSH melakukan kompresi data [ada koneksi yang terjadi, dan mengamankan
komunikasi X11 (untuk sistem berbasis Unix) antar host.
SSH dapat digunakan dari workstation dengan sistem windows dengan server
berbasis unix.
Berikut ini adalah cara-cara yang dapat dilakukan dalam mengenkripsi sebuah file di
sistem operasi Microsoft Windows:
1. Klik kanan pada file yang ingin dienkripsi
2. Klik Properties
3. Klik tab General
4. Tekan tombol Advanced
5. Beri tanda check pada Encrypt contents to secure data
6. Kemudian tekan tombol OK
Jika file hasil enkripsi tersebut disalin dan dibuka oleh user lain, maka akan muncul
pesan error seperti :
1. Username does not have access privileges, atau
2. Error copying file or folder
MEMONITOR JARINGAN :
Ancaman pada jaringan yang perlu dimonitoring dan diwaspadai oleh administrator
jaringan antara lain adalah sebagai berikut:
1. Program perusak seperti virus, trojan, worm, dsb.
Virus dan program perusak lain memiliki kemungkinan yang besar untuk dapat
membahayakan keamanan suatu jaringan. Salah satu hal yang dapat dilakukan
oleh administrator jaringan adalah melakukan instalasi program antivirus pada
workstation.
Perangkat anti virus memiliki fungsi untuk mendefinisikan dan membasmi virus,
worm, trojan yang akan masuk ke dalam suatu workstation. Perangkat anti virus
yang dapat digunakan oleh suatu workstation adalah sebagai berikut:
2. Norton AV (www.norman.com)
3. Kaspersky AV
4. McAfee AV
Akan tetapi, antivirus tidak akan menjadi suatu penangkalan yang berguna jika
administrator tidak melakukan pembaharuan virus definition pada anti virus yang
telah diinstal pada workstation.
5. Denial of service
Pengertian dari denial of service telah dibahas pada bagian sebelumnya.
6. Scanning
Pengertian dari scanning telah dibahas pada bagian sebelumnya.
Untuk meminimalisir penyerangan terhadap keamanan jaringan, hal yang dapat
dilakukan administrator dalam memonitoring jaringan sebaiknya adalah dengan
membatasi user yang dapat melakukan full-access ke dalam suatu server. Cara
paling sederhana adalah dengan memberlakukan wewenang read only untuk semua
user. Cara lain adalah dengan melakukan pembatasan berdasarkan hal berikut ini:
a. MAC Address
Contohnya, user yang dapat melakukan akses secara penuh adalah user yang
memiliki alamat abcd:1020:fa02:1:2:3.
b. IP Address
Contohnya, user yang dapat melakukan akses secara penuh adalah user yang
memiliki alamat 192.168.2.1.
Pemonitoran juga dapat dilakukan dengan melakukan pengauditan sistem Log pada
server tertentu oleh administrator jaringan. Tujuannya adalah mengidentifikasi
gangguan dan ancaman keamanan yang akan terjadi pada jaringan.
Administrator dapat juga menggunakan software seperti NSauditor yang bertujuan
untuk mengevaluasi keamanan jaringan dan dapat melakukan audit untuk
penanggulangan kesalahan.
Slain NSauditor, ada pula tools yang lain yang dapat digunakan untuk mendiagnosis
seperti:
a. GFI Network Server Monitoring
b. MRTG
Selain perangkat lunak, perangkat keras pun perlu dilakukan monitoring. Hal apakah
yang perlu diperhatikan dalam monitoring perangkat keras antara lain adalah
sebagai berikut:
a. Waktu respon perangkat keras
b. Kompatibilitas dengan perangkat lunak
Pada sistem operasi tertentu perlu dirancang sistem monitoring yang bersifat user
friendly, seperti merancang sistem monitoring berbasis web (misalnya menggunakan
PHP dan Apache, dengan browser dan Linux kernel 2.4.xx). Untuk dapat menerapkan
sistem monitoring berbasis web ada dua hal yang perlu diperhatikan, sebagai
berikut:
a. Koneksi ke internet atau intranet
b. Kompatibilitas dengan browser
Intrusion Detection System
Intrusion Detection System (IDS) adalah sebuah sistem untuk mendeteksi
penyalahgunaan jaringan dan sumber daya komputer. IDS memiliki sejumlah sensor
yang digunakan untuk mendeteksi penyusupan. Contoh sensor meliputi:
1. Sebuah sensor untuk memonitor TCP request
2. Log file monitor
3. File integrity checker
IDS memiliki diagram blok yang terdiri dari 3 buah modul, sebagai berikut:
1. Modul sensor (sensor modul)
2. Modul analisis (analyzer modul)
3. Modul basis data (database modul)
Sistem IDS bertanggung jawab untuk mengumpulkan dara-data dari sensor dan
kemudian menganalisisnya untuk diberikan kepada administrator keamanan
jaringan. Tujuannya adalah untuk memberikan peringatan terhadap gangguan pada
jaringan.
Teknologi IDS secara umum terbagi menjadi NIDS (Network Intrusion Detection
System) dan HIDS (Host Intrusion Detection System). Snort adalah salah satu open
source yang baik untuk NIDS. Sistem deteksi Snort terdiri dari sensor dan analyzer.
AIRIDS (Automatic Interactive Reactive Intrusion Detection System) adalah suatu
metode kemanan jaringan yang bertujuan untuk membentuk suatu arsitektur sistem
keamanan yang terintegrasi. Untuk mewujudkan AIRIDS perlu dirancang komponenkomponen
sistem jaringan sebagai berikut:
1. IDS
2. Sistem firewall
3. Sistem basis data
=======================================================================
SISTEM KEAMANAN PADA LINUX
=======================================================================
Keamanan Jaringan Pada Sistem Operasi Linux – Pada kesempatan kali ini saya akan sedikit membahas mengenai Keamanan Jaringan Pada Sistem Operasi Linux.Bermodalkan ilmu yang agak sok tau ini saya mencoba membahas mengenai Keamanan Jaringan Pada Sistem Operasi Linux yang dikutip dari “Adiministrasi Jaringan Linux”, oleh: R. Anton Raharja, Afri Yunianto, Wisesa Wdiantoro..
Beberapa ini akan dibahas secara mendasar pada artikel kali ini yang telah saya sadur dan saya tulis ulang dengan menggunakan bahasa pribadi sendiri.Berikut ini adalah ulasan mengenai .Keamanan Jaringan Pada Sistem Operasi Linux
1.Security.
Ketika jaringan kita terhubung dengan sebuah WAN atau terhubung dengan Internet, maka kita tidak hanya harus mempertimbangkan masalah keamanan dari tiap-tiap komputer di dalam jaringan kita, tetapi juga harus memperhatikan keamanan jaringan secara keseluruhan.
Kita tidak dapat menjamin bahwa semua orang di “luar sana” adalah orang baik-baik, sehingga permasalahan keamanan jaringan ini merupakan hal yang harus mendapat perhatian yang lebih dari seorang administrator jaringan. Kita juga sebaiknya tidak selalu berpikir bahwa keamanan jaringan bukan hanya berhubungan dengan hacker atau cracker dari “luar sana” tetapi sering kali ancaman tersebut juga datang dari sisi jaringan internal kita sendiri.
2. Kepedulian masalah security.
Berikut diberikan beberapa contoh hal-hal yang harus diwaspadai dalam keamanan jaringan :
- Password Attack
Deskripsi : usaha penerobosan suatu sistem jaringan dengan cara memperoleh password dari jaringan tersebut.
Pencegahannya : installah shadow password, suatu program enkripsi untuk melindungi password.
- Malicious Code
Deskripsi : kode-kode pada suatu program yang “tersamar” yang tidak diketahui fungsi dan manfaatnya, tetapi sewaktu-waktu dapat aktif dan beraksi membahayakan keadaan sistem.
Pencegahan : gunakan program-program seperti tripwire, TAMU, sXid atau dengan menggunakan MD5Checksum.
- Sniffer
Deskripsi : suatu usaha untuk menangkap setiap data yang lewat dari suatu jaringan.
Pencegahan : mengenkripsikan semua data yang akan kita lewatkan kedalam jaringan, misalnya menggunakan ssh (secure shell) yang mempunyai fungsi yang sama dengan telnet tetapi semua data yang dilewatkan kejaringan akan di enkrip dengan enkripsi 128 bit.
- Scanner
Deskripsi : merupakan utilitas bantu untuk mendeteksi celah-celah keamanan.
Pencegahan : pada umumnya program-program scanner menggunakan paket SYN dan ACK untuk mendeteksi celah-celah sekuriti yang ada pada suatu sistem, SYN dan ACK menggunakan ICMP sehingga untuk pencegahannya adalah memfilter paket-paket ICMP dari sistem.
- Spoofing
Deskripsi : merupakan penyerangan melalui autentifikasi suatu sistem ke sitem lainnya dengan menggunakan paket-paket tertentu.
Pencegahan : konfigurasikan sistem untuk menolak semua paket yang berasal dari localhost, memakai program enkripsi untuk akses remote (mis: ssh), mematikan service yang berhubungan dengan “dunia luar” apabila dirasakan kurang diperlukan.
- Denial Of Service (DOS) Attack
Deskripsi : DoS merupakan serangan yang dilancarkan melalui paket-paket tertentu, biasanya paket-paket sederhana dengan jumlah yang sangat banyak/besar dengan maksud mengacaukan keadaan jaringan target.
Pencegahan : dilakukan dengan mematikan alamat broadcast, dan memfilter paket-paket ICMP, UDP, serta selalu melakukan update kernel yang digunakan oleh sistem.
3. Setting Beberapa File.
Beberapa file perlu dikonfigurasi untuk mengamankan jaringan :
- /etc/host.allow
File ini digunakan untuk mengizinkan user dari luar untuk login ke dalam system berdasarkan hostname dan IP addressnya.
- /etc/host.deny
Berlawanan fungsi dengan host.allow, file ini berisi daftar hostname dan nomor IP address yang dilarang melakukan remote login ke dalam system.
- /proc/sys/net/ipv4/icmp_echo_ignore_all
File ini apabila bernilai “1″ maka semua paket-paket yang menggunakan port icmp akan di tolak.
- /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
Agak berbeda dengan file sebelumnya, apabila bernilai “1″ file ini hanya menolak semua paket-paket icmp yang berasal dari IP broadcasts. jadi tidak seluruh paket icmp ditolak (deny).
- /proc/sys/net/ipv4/conf/all/rp_filter
File ini digunakan untuk menghindari usaha spoofing dari luar system. Set “1″ untuk mengaktifkannya.
- /proc/sys/net/ipv4/tcp_syncookies
SYN attack adalah sebuah serangan DoS yang akan menghabiskan semua resource cpu dari system. Set “1″ untuk mengaktifkannya.
- /etc/pam.d/su
Apabila system menggunakan PAM, dapat dikonfigurasikan untuk membatasi akses root berdasarkan user. Tambahkan dua baris di bawah pada /etc/pam.d/su,agar hanya user dibawah group wheel saja yang dapat login sebagai root.
- auth sufficient /lib/security/pam_rootok.so debug
- auth required /lib/security/pam_wheel.so group=wheel
- /etc/lilo.conf
Untuk lebih mengamankan system tambahkan password dan statement restricted pada lilo.conf agar tidak semua orang dengan mudah masuk ke dalam sistem dan mempunyai kekuasaan root.
Referensi :
0 comments:
Post a Comment