Keamanan Jaringan Perencanaan Keamanan J (2)
Perencanaan Keamanan Jaringan
ABSTRAK :
1. Beberapa tantangan keamanan jaringan adalah pemeliharaan validitas dan integritas data atau
informasi tersebut, jaminan ketersediaan informasi bagipengguna yang berhak, pencegahan
akses system dari yang tidak berhak.
2. Beberapa hal yang dilakkukan saat perencanaan jaringan adalah menentukan data atau informa
siapa saja yang harus dilindungi, menentukan berapa besar biaya yang harus ditanamkan dalam
melindunginya dan menentukan siapa yang bertanggung jawab untuk menjalankan langkahlangkah yang diperlukan untuk melindungi bagian tersebut.
3. Beberapa contoh metode untuk keamanan jaringan adalah pembatasan akses jaringan
computer, menggunakan metode enkripsi tertentu dan monitoran terjadwal terhadap jaringan.
4. Untuk melakukan pengujian password yang dibuat, ada utilitas yang dapat digunakan untuk
mengetes kehandalan password.
5. Untuk meminimalisir penyerangan terhadap keamanan jaringan, hal yang dapat dilakukan
administrator dalam memonitoring jaringan sebaiknya adalah dengan membatasi user yang
dapat melakukan full-access kedalam suatu server.
6. Intrusion Detection System (IDS) adalah sebuah system untuk mendeteksi penyalah gunaan
jaringan dan sumber daya komputer.
KATA KUNCI : Tantangan Keamanan jaringan, Perencanaan Kemanan Jaringan, Metode Keamanan
jaringan, Password, Memonitor Jaringan, Intrusion Detection System.
1. Tantangan Keamanan jaringan
Keamanan jaringan adalah hal yang harus sangat perhatikan oleh semua user dalam suatu jaringan.
Jika kita meremehkan keamanan jaringan pada jaringan kita, maka akan berakibat fatal seperti hilangnya
data data penting kita dan lainnya. Oleh karena itu tantangan yang harus dilakukan agar jaringan kita
aman adalah:
a.
b.
c.
d.
Pemeliharaan validitas dan integritas data atau informasi tersebut.
Jaminan ketersediaan informasi bagipengguna yang berhak.
Pencegahan akses system dari yang tidak berhak.
Pencegahan akses informasi dariyang tidak berhak.
2. Perencanaan Kemanan Jaringan
Agar keamanan jaringan kita bisa maksimal, maka kita harus merencanakan keamanan tersebut.
Beberapa keamanan yang direncanakan adalah:
a. Menentukan data atau informa siapa saja yang harus dilindungi.
b. Menentukan berapa besar biaya yang harus ditanamkan dalam melindunginya.
c. Menentukan siapa yang bertanggung jawab untuk menjalankan langkah-langkah yang diperlukan
untuk melindungi bagian tersebut.
3. Metode Keamanan jaringan
Berikut ini adalah beberapa metode yang digunakan untuk sistem keamanan jaringan kita,
diantaranya adalah:
a. Pembatasan Akses Jaringan Komputer
Internal Password Authentication
Password yang baik menjadi penting dan sederhana dalam keamanan suatu jaringan.
Kebanyakan masalah dalam keamanan jaringan disebabkan karena password yang buruk.
Server-based password authentication
Termasuk dalam metoda ini misalnya sistem Kerberos server, TCP-wrapper, dimana
setiap service yang disediakan oleh server tertentu dibatasi dengan suatu daftar host
dan user yang boleh dan tidak boleh menggunakan service tersebut.
Firewall dan Routing Control
Firewall melindungi host-host pada sebuah network dari berbagai serangan. Dengan
adanya firewall, semua paket ke sistem di belakang firewall dari jaringan luar tidak
dapat dilakukan langsung. Semua hubungan harus dilakukan dengan mesin firewall.
Server-based token authentication
Metoda ini menggunakan authentication system yang lebih ketat, yaitu dengan
penggunaan token / smart card, sehingga untuk akses tertentu hanya bisa dilakukan
b. Menggunakan metode enkripsi tertentu
Dasar enkripsi cukup sederhana. Pengirim menjalankan fungsi enkripsi pada pesan plain text, cipher
text yang dihasilkan kemudian dikirimkan lewat jaringan, dan penerima menjalankan fungsi dekripsi
(decryption) untuk mendapatkan plain text semula.
Proses enkripsi /dekripsi tergantung pada kunci (key) rahasia yang hanya diketahui oleh pengirim dan
penerima. Ketika kunci dan enkripsi ini digunakan, sulit bagi penyadap untuk mematahkan cipher text,
sehingga komunikasi data antara pengirim dan penerima aman.
Berikut adalah contoh untuk mengenkripsi suatu file atau folder :
Jika file hasil enkripsi tersebut disalin dan dibuka oleh user lain, maka akan muncul pesan error
seperti “Username does not have access privileges” atau “Error copying file or folder “.
c. Pemonitoran terjadwal terhadap jaringan
Dengan adanya pemantauan yang teratur, maka penggunaan sistem oleh yang tidakberhak dapat
dihindari / cepat diketahui. Untuk mendeteksi aktifitas yang tidak normal,maka perlu diketahui aktifitas
yang normal. Proses apa saja yang berjalan pada saataktifitas normal. Siapa saja yang biasanya login
pada saat tersebut. Siapa saja yangbiasanya login diluar jam kerja. Bila terjadi keganjilan, maka perlu
segera diperiksa.Bila hal-hal yang mencurigakan terjadi, maka perlu dijaga kemungkinan adanya intruder.
4. Password
Akun administrator pada suatu server sebaiknya diubah namanya dan sebaiknya hanya satu akun
saja yang dapat mengakses.
Untuk melakukan pengujian password yang dibuat. Ada utilitas yang dapat digunakan untuk
mengetes kehandalan password, yaitu dengan menggunakan software seperti avior yang bertujuan
untuk melakukan brute-force password.
5. Memonitor Jaringan
Untuk meminimalisir penyerangan terhadap keamanan jaringan, hal yang dapat dilakukan
administrator dalam memonitoring jaringan sebaiknya adalah dengan membatasi user yang dapat
melakukan full-access kedalam suatu server. Cara paling sederhana adalah dengan memberlakukan
wewenang read only untuk semua user. Cara lain adalah dengan melakukan pembatasan berdasarkan
hal berikut ini:
a. MAC Address . Contohnya, user yang dapat melakukan akses secara penuh adalah user yang
memiliki alamat abcd:1020:fa02:1:2:3
b. IP Address. Contohnya, user yang dapat melakukan akses secara penuh adalah user yang
memiliki alamat 192.168.20.1
Pemonitoran juga dapat dilakukan dengan melakukan pengauditan system Log pada server
tertentu oleh administrator jaringan. Tujuannya adalah mengidentifikasi gangguan dan ancaman
keamanan yang akan terjadi pada jaringan.
Memonitor jaringan juga harus dilakuakan pada hardware jaringan itu sendiri, seperti melihat
waktu respon perangkat keras, kekompatibilitasan dengan perangkat lunak dan lain lainnya.
6. Intrusion Detection System
Intrusion Detection System (IDS) adalah sebuah system untuk mendeteksi penyalah gunaan jaringan
dan sumber daya komputer. IDS memiliki sejumlah sensor yang digunakan untuk mendeteksi
penyusupan. Contohs ensor meliputi:
a. Sebuah sensor untuk memonitor TCP request
b. Log file monitor
c. File integrity checker
IDS memiliki diagram blok yang terdiri dari 3 buah modul:
a. Modul sensor (sensor modul)
b. Modul analisis (analyzer modul)
c. Modul basis data (database modul)
Ada dua jenis IDS, yakni:
Network-based Intrusion Detection System (NIDS): Semua lalu lintas yang mengalir ke sebuah
jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke
dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan penting di mana server
berada atau terdapat pada "pintu masuk" jaringan. Kelemahan NIDS adalah bahwa NIDS agak
rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun
beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch
buatannya untuk memonitor port atau koneksi.
Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan
dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak.
HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web
server, atau server yang terkoneksi ke Internet.
Kebanyakan produk IDS merupakan sistem yang bersifat pasif, mengingat tugasnya hanyalah
mendeteksi intrusi yang terjadi dan memberikan peringatan kepada administrator jaringan bahwa
mungkin ada serangan atau gangguan terhadap jaringan. Akhir-akhir ini, beberapa vendor juga
mengembangkan IDS yang bersifat aktif yang dapat melakukan beberapa tugas untuk melindungi host
atau jaringan dari serangan ketika terdeteksi, seperti halnya menutup beberapa port atau memblokir
beberapa alamat IP. Produk seperti ini umumnya disebut sebagai Intrusion Prevention System (IPS).
Beberapa produk IDS juga menggabungkan kemampuan yang dimiliki oleh HIDS dan NIDS, yang
kemudian disebut sebagai sistem hibrid (hybrid intrusion detection system).
7. Implementasi & Cara Kerja IDS
Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan
menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa
antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi caracara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya
antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang
bersangkutan.
Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai
Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah
serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan
teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas
normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based
IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis
data signature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive.
Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang
merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.
Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni
dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi,
utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya
melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak
biasa.
SUMBER :
Pertemuan pembelajaran tanggal 03 September 2014
http://ady-setia.blogspot.com/2013/03/mendisain-sistem-keamanan-jaringan.html
http://id.wikipedia.org/wiki/Sistem_deteksi_intrusi
ABSTRAK :
1. Beberapa tantangan keamanan jaringan adalah pemeliharaan validitas dan integritas data atau
informasi tersebut, jaminan ketersediaan informasi bagipengguna yang berhak, pencegahan
akses system dari yang tidak berhak.
2. Beberapa hal yang dilakkukan saat perencanaan jaringan adalah menentukan data atau informa
siapa saja yang harus dilindungi, menentukan berapa besar biaya yang harus ditanamkan dalam
melindunginya dan menentukan siapa yang bertanggung jawab untuk menjalankan langkahlangkah yang diperlukan untuk melindungi bagian tersebut.
3. Beberapa contoh metode untuk keamanan jaringan adalah pembatasan akses jaringan
computer, menggunakan metode enkripsi tertentu dan monitoran terjadwal terhadap jaringan.
4. Untuk melakukan pengujian password yang dibuat, ada utilitas yang dapat digunakan untuk
mengetes kehandalan password.
5. Untuk meminimalisir penyerangan terhadap keamanan jaringan, hal yang dapat dilakukan
administrator dalam memonitoring jaringan sebaiknya adalah dengan membatasi user yang
dapat melakukan full-access kedalam suatu server.
6. Intrusion Detection System (IDS) adalah sebuah system untuk mendeteksi penyalah gunaan
jaringan dan sumber daya komputer.
KATA KUNCI : Tantangan Keamanan jaringan, Perencanaan Kemanan Jaringan, Metode Keamanan
jaringan, Password, Memonitor Jaringan, Intrusion Detection System.
1. Tantangan Keamanan jaringan
Keamanan jaringan adalah hal yang harus sangat perhatikan oleh semua user dalam suatu jaringan.
Jika kita meremehkan keamanan jaringan pada jaringan kita, maka akan berakibat fatal seperti hilangnya
data data penting kita dan lainnya. Oleh karena itu tantangan yang harus dilakukan agar jaringan kita
aman adalah:
a.
b.
c.
d.
Pemeliharaan validitas dan integritas data atau informasi tersebut.
Jaminan ketersediaan informasi bagipengguna yang berhak.
Pencegahan akses system dari yang tidak berhak.
Pencegahan akses informasi dariyang tidak berhak.
2. Perencanaan Kemanan Jaringan
Agar keamanan jaringan kita bisa maksimal, maka kita harus merencanakan keamanan tersebut.
Beberapa keamanan yang direncanakan adalah:
a. Menentukan data atau informa siapa saja yang harus dilindungi.
b. Menentukan berapa besar biaya yang harus ditanamkan dalam melindunginya.
c. Menentukan siapa yang bertanggung jawab untuk menjalankan langkah-langkah yang diperlukan
untuk melindungi bagian tersebut.
3. Metode Keamanan jaringan
Berikut ini adalah beberapa metode yang digunakan untuk sistem keamanan jaringan kita,
diantaranya adalah:
a. Pembatasan Akses Jaringan Komputer
Internal Password Authentication
Password yang baik menjadi penting dan sederhana dalam keamanan suatu jaringan.
Kebanyakan masalah dalam keamanan jaringan disebabkan karena password yang buruk.
Server-based password authentication
Termasuk dalam metoda ini misalnya sistem Kerberos server, TCP-wrapper, dimana
setiap service yang disediakan oleh server tertentu dibatasi dengan suatu daftar host
dan user yang boleh dan tidak boleh menggunakan service tersebut.
Firewall dan Routing Control
Firewall melindungi host-host pada sebuah network dari berbagai serangan. Dengan
adanya firewall, semua paket ke sistem di belakang firewall dari jaringan luar tidak
dapat dilakukan langsung. Semua hubungan harus dilakukan dengan mesin firewall.
Server-based token authentication
Metoda ini menggunakan authentication system yang lebih ketat, yaitu dengan
penggunaan token / smart card, sehingga untuk akses tertentu hanya bisa dilakukan
b. Menggunakan metode enkripsi tertentu
Dasar enkripsi cukup sederhana. Pengirim menjalankan fungsi enkripsi pada pesan plain text, cipher
text yang dihasilkan kemudian dikirimkan lewat jaringan, dan penerima menjalankan fungsi dekripsi
(decryption) untuk mendapatkan plain text semula.
Proses enkripsi /dekripsi tergantung pada kunci (key) rahasia yang hanya diketahui oleh pengirim dan
penerima. Ketika kunci dan enkripsi ini digunakan, sulit bagi penyadap untuk mematahkan cipher text,
sehingga komunikasi data antara pengirim dan penerima aman.
Berikut adalah contoh untuk mengenkripsi suatu file atau folder :
Jika file hasil enkripsi tersebut disalin dan dibuka oleh user lain, maka akan muncul pesan error
seperti “Username does not have access privileges” atau “Error copying file or folder “.
c. Pemonitoran terjadwal terhadap jaringan
Dengan adanya pemantauan yang teratur, maka penggunaan sistem oleh yang tidakberhak dapat
dihindari / cepat diketahui. Untuk mendeteksi aktifitas yang tidak normal,maka perlu diketahui aktifitas
yang normal. Proses apa saja yang berjalan pada saataktifitas normal. Siapa saja yang biasanya login
pada saat tersebut. Siapa saja yangbiasanya login diluar jam kerja. Bila terjadi keganjilan, maka perlu
segera diperiksa.Bila hal-hal yang mencurigakan terjadi, maka perlu dijaga kemungkinan adanya intruder.
4. Password
Akun administrator pada suatu server sebaiknya diubah namanya dan sebaiknya hanya satu akun
saja yang dapat mengakses.
Untuk melakukan pengujian password yang dibuat. Ada utilitas yang dapat digunakan untuk
mengetes kehandalan password, yaitu dengan menggunakan software seperti avior yang bertujuan
untuk melakukan brute-force password.
5. Memonitor Jaringan
Untuk meminimalisir penyerangan terhadap keamanan jaringan, hal yang dapat dilakukan
administrator dalam memonitoring jaringan sebaiknya adalah dengan membatasi user yang dapat
melakukan full-access kedalam suatu server. Cara paling sederhana adalah dengan memberlakukan
wewenang read only untuk semua user. Cara lain adalah dengan melakukan pembatasan berdasarkan
hal berikut ini:
a. MAC Address . Contohnya, user yang dapat melakukan akses secara penuh adalah user yang
memiliki alamat abcd:1020:fa02:1:2:3
b. IP Address. Contohnya, user yang dapat melakukan akses secara penuh adalah user yang
memiliki alamat 192.168.20.1
Pemonitoran juga dapat dilakukan dengan melakukan pengauditan system Log pada server
tertentu oleh administrator jaringan. Tujuannya adalah mengidentifikasi gangguan dan ancaman
keamanan yang akan terjadi pada jaringan.
Memonitor jaringan juga harus dilakuakan pada hardware jaringan itu sendiri, seperti melihat
waktu respon perangkat keras, kekompatibilitasan dengan perangkat lunak dan lain lainnya.
6. Intrusion Detection System
Intrusion Detection System (IDS) adalah sebuah system untuk mendeteksi penyalah gunaan jaringan
dan sumber daya komputer. IDS memiliki sejumlah sensor yang digunakan untuk mendeteksi
penyusupan. Contohs ensor meliputi:
a. Sebuah sensor untuk memonitor TCP request
b. Log file monitor
c. File integrity checker
IDS memiliki diagram blok yang terdiri dari 3 buah modul:
a. Modul sensor (sensor modul)
b. Modul analisis (analyzer modul)
c. Modul basis data (database modul)
Ada dua jenis IDS, yakni:
Network-based Intrusion Detection System (NIDS): Semua lalu lintas yang mengalir ke sebuah
jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke
dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan penting di mana server
berada atau terdapat pada "pintu masuk" jaringan. Kelemahan NIDS adalah bahwa NIDS agak
rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun
beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch
buatannya untuk memonitor port atau koneksi.
Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan
dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak.
HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web
server, atau server yang terkoneksi ke Internet.
Kebanyakan produk IDS merupakan sistem yang bersifat pasif, mengingat tugasnya hanyalah
mendeteksi intrusi yang terjadi dan memberikan peringatan kepada administrator jaringan bahwa
mungkin ada serangan atau gangguan terhadap jaringan. Akhir-akhir ini, beberapa vendor juga
mengembangkan IDS yang bersifat aktif yang dapat melakukan beberapa tugas untuk melindungi host
atau jaringan dari serangan ketika terdeteksi, seperti halnya menutup beberapa port atau memblokir
beberapa alamat IP. Produk seperti ini umumnya disebut sebagai Intrusion Prevention System (IPS).
Beberapa produk IDS juga menggabungkan kemampuan yang dimiliki oleh HIDS dan NIDS, yang
kemudian disebut sebagai sistem hibrid (hybrid intrusion detection system).
7. Implementasi & Cara Kerja IDS
Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan
menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa
antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi caracara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya
antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang
bersangkutan.
Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai
Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah
serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan
teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas
normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based
IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis
data signature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive.
Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang
merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.
Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni
dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi,
utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya
melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak
biasa.
SUMBER :
Pertemuan pembelajaran tanggal 03 September 2014
http://ady-setia.blogspot.com/2013/03/mendisain-sistem-keamanan-jaringan.html
http://id.wikipedia.org/wiki/Sistem_deteksi_intrusi