Konsep Keamanan Jaringan Komputer dengan (1)
Syukron Rushadi
Sharing Know ledge and Experience
Konsep Keamanan Jaringan Komputer dengan Infrastruktur Demilitarized Zone
Keamanan jaringan komputer sebagai bagian dari sebuah sistem informasi adalah
sangat penting untuk menjaga validitas dan integritas data serta menjamin ketersediaan
layanan begi penggunanya. Sistem harus dilindungi dari segala macam serangan dan usaha
penyusupan atau pemindaian oleh pihak yang tidak berhak.
Komputer yang terhubung ke jaringan mengalami ancaman keamanan yang lebih
besar daripada host yang tidak terhubung kemana-mana. Dengan mengendalikan keamanan
jaringan, resiko tersebut dapat dikurangi. Namun keamanan jaringan biasanya bertentangan
dengan akses jaringan, karena bila akses jaringan semakin mudah, keamanan jaringan akan
semakin rawan. Bila keamanan jaringan makin baik, network access semakin terbatas. Suatu
jaringan didesain sebagai komunikasi data highway dengan tujuan meningkatkan akses ke
sistem komputer, sementara keamanan didesain untuk mengontrol akses. Penyediaan
keamanan jaringan adalah sebagai aksi penyeimbang antara open access dengan security.
1.1.1 Prinsip Keamanan Jaringan
Prinsip keamanan jaringan dapat dibedakan menjadi lima, yaitu :
a. Kerahasiaan (secrecy)
Secrecy berhubungan dengan hak akses untuk membaca data ,informasi dan suatu
sistem komputer. Dalam hal ini suatu sistem komputer dapat dikatakan aman jika suatu data
atau informasi hanya dapat dibaca oleh pihak yang telah diberi wewenang secara legal.
b. Integritas (integrity)
Integrity berhubungan dengan hak akses untuk mengubah data atau informasi dari
suatu sistem komputer. Dalam hal ini suatu sistem komputer dapat dikatakan aman jika suatu
data atau informasi hanya dapat diubah oleh pihak yang telah diberi hal.
c. Ketersediaan (availability)
Availability berhubungan dengan ketersediaan data atau informasi pada saat yang
dibutuhkan. Dalam hal ini suatu sistem komputer dapat dikatakan aman jika suatu data atau
1
Syukron Rushadi
Sharing Know ledge and Experience
informasi yang terdapat pada sistem komputer dapat diakses dan dimanfaatkan oleh pihak
yang berhak.
d. Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betulbetul asli, orang yang mengakses dan memberikan informasi adalah benar orang yang
dimaksud, atau server yang kita hubungi adalah server yang asli.
e. Akses Kontrol (Access Control)
Aspek kontrol merupakan fitur-fitur keamanan yang mengontrol bagaimana user
berkomunikasi dengan sistem. Akses kontrol melindungi sistem dari akses yang tidak berhak
dan umumnya menentukan tingkat otorisasi setelah prosedur autentikasi berhasil dilengkapi.
1.1.2 Jenis Serangan Terhadap Keamanan Jaringan
Pada dasarnya serangan terhadap suatu data dalam suatu jaringan dapat dikategorikan
menjadi dua, yaitu:
1. Serangan Aktif
Merupakan serangan yang mencoba memodifikasi data dan mendapatkan otentikasi
dengan mengirimkan paket-paket data yang salah ke dalam data stream atau dengan
memodifikasi paket-paket yang melewati data stream. Serangan aktif sulit untuk dicegah
karena untuk melakukannya dibutuhkan perlindungan fisik untuk semua fasilitas komunikasi
dan jalur-jalurnya setiap saat. Yang dapat dilakukan adalah mendeteksi dan memulihkan
keadaan yang disebabkan oleh serangan ini.
2. Serangan Pasif
Merupakan serangan pada sistem otentikasi yang tidak menyisipkan data pada aliran
data, tetapi hanya memonitor pengiriman informasi ke tujuan. Informasi ini dapat digunakan
oleh pihak yang tidak bertanggung jawab. Serangan pasif yang mengambil suatu unit data
kemudian menggunakannya untuk memasuki sesi otentikasi dengan berpura-pura menjadi
pengguna asli yang disebut sebagai replay attack. Beberapa informasi otentikasi seperti
2
Syukron Rushadi
Sharing Know ledge and Experience
password atau data biometric yang dikirim melalui transmisi elektronik dapat direkam dan
kemudian digunakan untuk memalsukann data yang sebenarnya. Serangan pasif ini sulit
dideteksi karena penyerang tidak melakukan perubahan data. Oleh sebab itu untuk mengatasi
serangan pasif ini lebih ditekankan pada pencegahan daripada pendeteksiannya.
1.1.3 Bentuk-bentuk Ancaman
Jenis ancaman keamanan jaringan ini lebih umum disebut sebagai Brute Force and
Dictionary, serangan ini adalah upaya masuk ke dalam jaringan dengan menyerang database
password atau menyerang login prompt yang sedang aktif untuk menemukan password dari
account user dengan cara yang sistematis mencoba berbagai kombinasi angka, huruf, atau
simbol.
Untuk mengatasi serangan keamanan jaringan dari jenis ini dibutuhkan suatu policy
tentang pemakaian password yang kuat diantaranya untuk tidak memakai password yang
familiar. Semakin panjang suatu password dan kombinasinya semakin sulit untuk
diketemukan. Ada beberap bentuk ancaman pada jaringan computer yang sering ditemui
dewasa ini diantaranya adalah:
1. Denial of Services (DoS)
Denial of Services (DoS) ini adalah salah satu ancaman keamanan jaringan yang
membuat suatu layanan jaringan jadi macet, serangan yang membuat jaringan anda tidak bisa
diakses dan membuat sistem anda tidak bisa merespon terhadap trafik atau permintaan
layanan terhadap objek dan resource jaringan.
Ada beberapa jenis DoS seperti:
Distributed Denial of Services (DDoS), terjadi saat penyerang berhasil mengkompromi dengan layanan system dan menggunakannya sebagai pusat untuk menyebarkan
serangan terhadap korban lain.
Distributed reflective denial of service (DRDoS) memanfaatkan layanan Internet,
seperti protocol update DNS dan router. DRDoS ini menyerang fungsi dengan mengirim
3
Syukron Rushadi
Sharing Know ledge and Experience
update, sesi, dalam jumlah yang sangat besar kepada berbagai macam layanan server atau
router dengan menggunakan address spoofing kepada target korban.
Ping of Death, adalah serangan ping oversize. Dengan menggunakan tool khusus, si
penyerang dapat mengirimkan paket ping oversized kepada korban. Dalam banyak kasus
sistem yang diserang mencoba memproses data tersebut, error terjadi menyebabkan system
crash, freeze atau reboot. Ping of Death ini semacam serangan Buffer overflow akan tetapi
karena sistem yang diserang sering jadi down, maka disebut DoS attack.
Stream Attack terjadi saat banyak jumlah paket yang besar dikirim menuju ke port
pada sistem korban.
2. Spoofing
Istilah spoofing kadang-kadang digunakan untuk merujuk kepada kepala pemalsuan ,
penyisipan informasi palsu atau menyesatkan dalam e-mail atau netnews header. Header
dipalsukan digunakan untuk menyesatkan penerima, atau jaringan aplikasi, mengenai asal
dari pesan.
3. Serangan Man-in-the-middle
Man-in-the-middle terjadi saat user perusak dapat memposisikan diantara dua titik
link komunikasi. Para penyerang ini tidak tampak pada kedua sisi link komunikasi dan bisa
mengubah isi dan arah traffic. Dengan cara ini para penyerang bisa menangkap logon
credensial bahkan mampu mengubah isi pesan dari kedua titik komunikasi ini.
4. Spamming
Spamming atau tindak penyebaran spam adalah merupakan salah satu bentuk
penyalahgunaan teknologi e-mail yang paling umum dan paling sering di jumpai pengguna
fasilitas email spam product hasil spamming, dapat didefinisikan sebagian pesan email yang
di inginkan oleh pengguna yang sebagian besar adalah message commercil walaupun tingkat
ancamannya dapat di katakan tergolong rendah jika dibandingkan dengan email worm
ataupun phising
4
Syukron Rushadi
Sharing Know ledge and Experience
5. Sniffer
Sniffer (snooping attack) merupakan kegiatan user perusak yang ingin mendapatkan
informasi tentang jaringan atau traffic lewat jaringan tersebut. Sniffer sering merupakan
program penangkap paket yang bisa menduplikasikan isi paket yang lewat media jaringan
kedalam file. Serangan Sniffer sering difokuskan pada koneksi awal antara client dan server
untuk mendapatkan logon credential dan password.
6. Crackers
Cracker adalah sebutan untuk mereka yang masuk ke sistem orang lain dan
cracker lebih bersifat destruktif, biasanya di jaringan komputer, mem-bypass password
atau lisensi program komputer, secara sengaja melawan keamanan komputer, men-deface
(merubah halaman muka web) milik orang lain bahkan hingga men-delete data orang lain,
mencuri data dan umumnya melakukan cracking untuk keuntungan sendiri, maksud jahat,
atau karena sebab lainnya karena ada tantangan. Beberapa proses pembobolan dilakukan
untuk menunjukan kelemahan keamanan sistem.
1.2 Firewall
Firewall
adalah
sebuah sistem
atau
perangkat yang
mengizinkan lalu
lintas
jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak
aman. Umumnya, sebuah firewall diimplementasikan dalam sebuah mesin terdedikasi, yang
berjalan pada pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya. Firewall
umumnya juga digunakan untukmengontrol akses terhadap siapa saja yang memiliki akses
terhadap jaringan pribadi dari pihak luar. Saat ini, istilah firewall menjadi istilah generik yang
merujuk pada sistem yang mengatur komunikasi antar dua jaringan yang berbeda.
1.2.1 Jenis-jenis Firewall
Ada berbagai jenis Firewall, penggunaanya tergantung pada komunikasi yang
berlangsung dan tempat yang sedang ditelusuri.
5
Syukron Rushadi
Sharing Know ledge and Experience
1. Firewall Layer Jaringan
Firewall layer jaringan, atau biasa disebut paket fiter, beroperasi secara relatif
pada level rendah Protokol TCP/IP, dengan tidak mengizinkan paket untuk melewati
firewall kecuali paket tersebut cocok dengan set aturan yang ditetapkan. Seorang
administrator biasanya telah menetapkan aturan atau secara tetap telah menetapkan
aturan tersebut. Network layer firewall secara umum dibagi menjadi dua sub-kategori
yaitu stateful dan stateless. Stateful firewall mempertahankan sesi aktif, dan
menggunakan “lokasi informasi” untuk mempercepat memrosesan paket. Apapun
koneksi jaringan yang ada bisa diuraikan oleh beberapa property, termasuk sumber
dan tujuan alamat IP, port UDP atau TCP.
Stateless firewall membutuhkan memori yang kecil, dan bisa lebih cepat
dalam memfiter paket sederhana yang membutuhkan sedikit waktu untuk memfilter
daripada melihat sesi. Stateless Firewall juga berguna untuk memfilter protocol
jaringan yang tidak ditempatkan yang tidak memiliki konsep sesi.
2. Firewall Layer Aplikasi
Firewall layer aplikasi bekerja pada level aplikasi TCP/IP (semua trafik
browser, telnet dan ftp) dan memungkinkan menangkap semua paket yang bepergian
ke atau dari suatu aplikasi. Firewall tersebut mampu menghadang paket (biasanya
membuang paket tanpa memberikan balasan pada pengirim).
Saat memeriksa paket suatu konten yang tidak layak, firewall mampu
membatasi atau mencegah penyebaran worm dan Trojan sekaligus. Penambahan
kriteria pemeriksaan dapat menambah latency untuk meneruskan paket ke tujuan.
Firewall aplikasi difungsikan dengan mempertimbangkan apakah proses akan
diterima disegala koneksi. Firewall aplikasi berkerja mirip dengan paket filter tapi
filter aplikasi menerapkan aturan filter (allow/block) pada suatu proses bukan
memfileter koneksi pada suatu port. Umumnya petunjuk yang digunakan untuk
mendefinisikan aturan proses yang belum menerima koneksi.
3. Network Address Translation (NAT)
6
Syukron Rushadi
Sharing Know ledge and Experience
Network Address Translation adalah suatu metode untuk menghubungkan
lebih dari satu komputer ke jaringan internet dengan menggunakan satu alamat IP.
Banyaknya penggunaan metode ini disebabkan karena ketersediaan alamat IP yang
terbatas, kebutuhan akan keamanan (security), dan kemudahan serta fleksibilitas
dalam administrasi jaringan.
NAT
secara
otomatis
akan
memberikan
proteksi
seperti
halnya firewall dengan hanya mengizinkan koneksi yang berasal dari dalam jaringan.
Hal ini berarti tingkat keamanan suatu jaringan akan meningkat, karena kemungkinan
koneksi dari luar ke dalam jaringan menjadi relatif sangat kecil.
Gambar 1.1 Mekanisme NAT pada proses komunikasi jaringan private ke jaringan
Publik
4. Firewall berbasis Software
Biasanya, firewall berbasis software adalah suatu fitur yang ada pada suatu
sistem operasi, baik itu sistem operasi untuk keperluan personal (Windows 7, Ubuntu)
maupun sistem operasi untuk keperluan enterprise (red hat, fedora). Para developer
lebih banyak mengembangkan fitur firewallpada sistem operasi linux, dikarenaka,
linux termasuk sistem operasi open source , bebas untuk dikembangkan dan
disebarluaskan. Namun, kekurangan pada firewall berbasis software adalah
terbatasnya fitur keamanan yang ditawarkan, tentunya akan sulit untukn menginstall
fitur-fitur keamanan yang lain seperti IDS/IPS, VPN.
7
Syukron Rushadi
Sharing Know ledge and Experience
5. Firewall berbasis Hardware
Firewall berbasis hardware lebih diutamakan dalam memenuhi kebutuhan
keamanan jaringan suatu perusahaan/ unit usaha. Dengan fitur yang disediakan jauh
lebih baik dibandingkan dengan firewall berbasis software, fitru-fiturnya termasuk
dukungan IDS/IPS, VPN (IPsec), dan pada beberapa vendor mendukung Load
balancing. Tentunya dengan berbagai macam fitur keamanan yang mumpuni,
memberikan tingkat keamanan yang lebih tinggi. Namun, perusahaan harus siap
menyiapkan biaya yang cukup tinggi untuk menerapkan sisten keamanan berbasis
firewall hardware, dan firewall berbasis hardware yang tersedia di pasaran
dikeluarkan oleh berbagai macam vendor dengan spesifikasi yang berbeda tergantung
pada kebutuhan suatu perusahaan.
1.2.2 Fungsi Firewall
Secara mendasar, firewall dapat melakukan hal-hal berikut:
1. Mengatur dan Mengontrol Lalu Lintas Jaringan
Fungsi pertama yang dapat dilakukan oleh firewall adalah firewall harus dapat
mengatur dan mengontrol lalu lintas jaringan yang diizinkan untuk mengakses
jaringan privat atau komputer yang dilindungi oleh firewall. Firewall melakukan hal
yang demikian, dengan melakukan inspeksi terhadap paket-paket dan memantau
koneksi yang sedang dibuat, lalu melakukan penapisan (filtering) terhadap koneksi
berdasarkan hasil inspeksi paket dan koneksi tersebut..
(a) Proses Inspeksi Paket
Inspeksi paket (packet inspection) merupakan proses yang dilakukan
oleh firewall untuk 'menghadang' dan memproses data dalam sebuah paket
untuk menentukan bahwa paket tersebut diizinkan atau ditolak, berdasarkan
kebijakan akses (access policy) yang diterapkan oleh seorang administrator.
Inspeksi paket dapat dilakukan dengan melihat elemen-elemen berikut, ketika
menentukan apakah hendak menolak atau menerima komunikasi:
8
Syukron Rushadi
Sharing Know ledge and Experience
Alamat IP dari komputer sumber
Port sumber pada komputer sumber
Alamat IP dari komputer tujuan
Port tujuan data pada komputer tujuan
Protokol IP
Informasi header-header yang tersimpan dalam paket
(b) Koneksi dan Keadaan Koneksi
Agar dua host TCP/IP dapat saling berkomunikasi, mereka harus saling
membuat koneksi antara satu dengan lainnya. Koneksi ini memiliki dua tujuan
:
Komputer
dapat
menggunakan
koneksi
tersebut untuk
mengidentifikasikan dirinya kepada komputer lain, yang
meyakinkan bahwa sistem lain yang tidak membuat koneksi
tidak dapat mengirimkan data ke komputer tersebut. Firewall
juga dapat menggunakan informasi koneksi untuk menentukan
koneksi apa yang diizinkan oleh kebijakan akses dan
menggunakannya untuk menentukan apakah paket data tersebut
akan diterima atau ditolak.
Koneksi digunakan untuk menentukan bagaimana cara dua host
tersebut akan berkomunikasi antara satu dengan yang
lainnya (apakah dengan menggunakan koneksi connectionoriented, atau connectionless).
Firewall
dapat
memantau
informasi
keadaan
koneksi
untuk
menentukan apakah ia hendak mengizinkan lalu lintas jaringan. Umumnya hal
ini dilakukan dengan memelihara sebuah tabel keadaan koneksi (dalam istilah
firewall: state table) yang memantau keadaan semua komunikasi yang
melewati firewall.
(c) Stateful Packet Inspection
9
Syukron Rushadi
Sharing Know ledge and Experience
Ketika sebuah firewall menggabungkan stateful inspection dengan
packet inspection, maka firewall tersebut dinamakan dengan Stateful Packet
Inspection (SPI). SPI merupakan proses inspeksi paket yang tidak dilakukan
dengan menggunakan struktur paket dan data yang terkandung dalam paket,
tapi juga pada keadaan apa host-host yang saling berkomunikasi tersebut
berada.
(d) Melakukan Autentikasi terhadap akses
Fungsi fundamental firewall yang kedua adalah firewall dapat
melakukan autentikasi terhadap akses. Protokol TCP/IP dibangun dengan
premis bahwa protokol tersebut mendukung komunikasi yang terbuka. Jika
dua host saling mengetahui alamat IP satu sama lainnya, maka mereka
diizinkan untuk saling berkomunikasi.
2. Melindungi Sumber Daya dalam Jaringan Internal
Salah satu tugas firewall adalah melindungi sumber daya dari ancaman yang
mungkin datang. Proteksi ini dapat diperoleh dengan menggunakan beberapa
pengaturan peraturan akses (access control), penggunaan SPI, application proxy, atau
kombinasi dari semuanya untuk mengamankan host yang dilindungi supaya tidak
dapat diakses oleh host-host yang mencurigakan atau dari lalu lintas jaringan yang
mencurigakan.
1.3 Zona Demiliterisasi Pada Jaringan Komputer
Dari sekian banyak mekanisme dalam Perlindungan Jaringan Komputer,
penerapan Zona Demiliterisasi (Demilitarized Zone) menjadi salah satu solusi terbaik
untuk perlindungan Jaringan Internal suatu Perusahaan/Organisasi dari gangguan pihak
luar. Adapun Zona Demiliterisasi sendiri merupakan mekanisme untuk melindungi sistem
internal dari serangan hacker atau pihak-pihak lain yang ingin memasuki sistem tanpa
mempunyai hak akses. Sehingga karena DMZ dapat diakses oleh pengguna yang tidak
mempunyai hak, maka DMZ tidak mengandung rule.
10
Syukron Rushadi
Sharing Know ledge and Experience
Secara esensial, DMZ melakukan perpindahan semua layanan suatu jaringan ke
jaringan lain yang berbeda. DMZ terdiri dari semua port terbuka, yang dapat dilihat oleh
pihak luar. Sehingga jika hacker menyerang dan melakukan cracking pada server yang
mempunyai DMZ, maka hacker tersebut hanya dapat mengakses host yang berada pada
DMZ, tidak pada jaringan internal Misalnya jika seorang pengguna bekerja di atas server FTP
pada jaringan terbuka untuk melakukan akses publik seperti akses internet, maka hacker
dapat melakukan cracking pada server FTP dengan memanfaatkan layanan Network
Interconnection System (NIS), dan Network File System (NFS).
1.4 Arsitektur Zona Demiliterisasi
Ada banyak cara yang berbeda untuk merancang sebuah jaringan dengan DMZ. Dua
metode yang paling mendasar adalah dengan firewall tunggal (Single-firewall), juga dikenal
sebagai tiga model yang berkaki, dan dengan firewall ganda (Dual-Firewall). Arsitektur ini
dapat diperluas untuk menciptakan arsitektur yang sangat kompleks tergantung pada
kebutuhan jaringan.
1.4.1 Arsitektur Firewall Tunggal (Single-Firewall)
Sebuah firewall tunggal dengan setidaknya 3 antarmuka jaringan dapat
digunakan untuk membuat sebuah arsitektur jaringan yang berisi DMZ. Jaringan
eksternal terbentuk dari ISP ke firewall pada antarmuka jaringan pertama, jaringan
internal terbentuk dari antarmuka jaringan kedua, dan DMZ terbentuk dari antarmuka
jaringan ketiga. Firewall menjadi titik utama untuk jaringan dan harus mampu
menangani semua lalu lintas akan DMZ serta jaringan internal.
11
Syukron Rushadi
Sharing Know ledge and Experience
Gambar 1.2 Arsitektur DMZ dengan Firewall Tunggal
1.4.2 Arsitektur Firewall Ganda (Dual-Firewall)
Pendekatan yang lebih aman adalah dengan menggunakan dua firewall untuk
menciptakan DMZ. Firewall pertama (juga disebut front-end atau perimeter firewall)
harus dikonfigurasi untuk mengizinkan lalu lintas yang ditujukan hanya untuk area
DMZ. Firewall kedua (juga disebut back-end atau internal firewall) hanya
memungkinkan unutk lalu lintas dari area DMZ ke jaringan internal.
Gambar 1.3 Arsitektur DMZ dengan Firewall Ganda
Arsitektur ini dianggap lebih aman untuk membentengi infrastruktur dari
serangan baik itu dari jaringan luar (Internet) maupun jaringan internal (Intranet).
Kelemahan dari arsitektur ini adalah biaya yang mahal untuk menyediakan 2 buah
firewall. Arsitektur ini direkomendasikan untuk bidang organisasi yang besar serta
rentan terhadap kejahatan cyber (Sektor Ekonomi & Perbankan, Sektor Migas,
Pemerintahan dll).
12
Sharing Know ledge and Experience
Konsep Keamanan Jaringan Komputer dengan Infrastruktur Demilitarized Zone
Keamanan jaringan komputer sebagai bagian dari sebuah sistem informasi adalah
sangat penting untuk menjaga validitas dan integritas data serta menjamin ketersediaan
layanan begi penggunanya. Sistem harus dilindungi dari segala macam serangan dan usaha
penyusupan atau pemindaian oleh pihak yang tidak berhak.
Komputer yang terhubung ke jaringan mengalami ancaman keamanan yang lebih
besar daripada host yang tidak terhubung kemana-mana. Dengan mengendalikan keamanan
jaringan, resiko tersebut dapat dikurangi. Namun keamanan jaringan biasanya bertentangan
dengan akses jaringan, karena bila akses jaringan semakin mudah, keamanan jaringan akan
semakin rawan. Bila keamanan jaringan makin baik, network access semakin terbatas. Suatu
jaringan didesain sebagai komunikasi data highway dengan tujuan meningkatkan akses ke
sistem komputer, sementara keamanan didesain untuk mengontrol akses. Penyediaan
keamanan jaringan adalah sebagai aksi penyeimbang antara open access dengan security.
1.1.1 Prinsip Keamanan Jaringan
Prinsip keamanan jaringan dapat dibedakan menjadi lima, yaitu :
a. Kerahasiaan (secrecy)
Secrecy berhubungan dengan hak akses untuk membaca data ,informasi dan suatu
sistem komputer. Dalam hal ini suatu sistem komputer dapat dikatakan aman jika suatu data
atau informasi hanya dapat dibaca oleh pihak yang telah diberi wewenang secara legal.
b. Integritas (integrity)
Integrity berhubungan dengan hak akses untuk mengubah data atau informasi dari
suatu sistem komputer. Dalam hal ini suatu sistem komputer dapat dikatakan aman jika suatu
data atau informasi hanya dapat diubah oleh pihak yang telah diberi hal.
c. Ketersediaan (availability)
Availability berhubungan dengan ketersediaan data atau informasi pada saat yang
dibutuhkan. Dalam hal ini suatu sistem komputer dapat dikatakan aman jika suatu data atau
1
Syukron Rushadi
Sharing Know ledge and Experience
informasi yang terdapat pada sistem komputer dapat diakses dan dimanfaatkan oleh pihak
yang berhak.
d. Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betulbetul asli, orang yang mengakses dan memberikan informasi adalah benar orang yang
dimaksud, atau server yang kita hubungi adalah server yang asli.
e. Akses Kontrol (Access Control)
Aspek kontrol merupakan fitur-fitur keamanan yang mengontrol bagaimana user
berkomunikasi dengan sistem. Akses kontrol melindungi sistem dari akses yang tidak berhak
dan umumnya menentukan tingkat otorisasi setelah prosedur autentikasi berhasil dilengkapi.
1.1.2 Jenis Serangan Terhadap Keamanan Jaringan
Pada dasarnya serangan terhadap suatu data dalam suatu jaringan dapat dikategorikan
menjadi dua, yaitu:
1. Serangan Aktif
Merupakan serangan yang mencoba memodifikasi data dan mendapatkan otentikasi
dengan mengirimkan paket-paket data yang salah ke dalam data stream atau dengan
memodifikasi paket-paket yang melewati data stream. Serangan aktif sulit untuk dicegah
karena untuk melakukannya dibutuhkan perlindungan fisik untuk semua fasilitas komunikasi
dan jalur-jalurnya setiap saat. Yang dapat dilakukan adalah mendeteksi dan memulihkan
keadaan yang disebabkan oleh serangan ini.
2. Serangan Pasif
Merupakan serangan pada sistem otentikasi yang tidak menyisipkan data pada aliran
data, tetapi hanya memonitor pengiriman informasi ke tujuan. Informasi ini dapat digunakan
oleh pihak yang tidak bertanggung jawab. Serangan pasif yang mengambil suatu unit data
kemudian menggunakannya untuk memasuki sesi otentikasi dengan berpura-pura menjadi
pengguna asli yang disebut sebagai replay attack. Beberapa informasi otentikasi seperti
2
Syukron Rushadi
Sharing Know ledge and Experience
password atau data biometric yang dikirim melalui transmisi elektronik dapat direkam dan
kemudian digunakan untuk memalsukann data yang sebenarnya. Serangan pasif ini sulit
dideteksi karena penyerang tidak melakukan perubahan data. Oleh sebab itu untuk mengatasi
serangan pasif ini lebih ditekankan pada pencegahan daripada pendeteksiannya.
1.1.3 Bentuk-bentuk Ancaman
Jenis ancaman keamanan jaringan ini lebih umum disebut sebagai Brute Force and
Dictionary, serangan ini adalah upaya masuk ke dalam jaringan dengan menyerang database
password atau menyerang login prompt yang sedang aktif untuk menemukan password dari
account user dengan cara yang sistematis mencoba berbagai kombinasi angka, huruf, atau
simbol.
Untuk mengatasi serangan keamanan jaringan dari jenis ini dibutuhkan suatu policy
tentang pemakaian password yang kuat diantaranya untuk tidak memakai password yang
familiar. Semakin panjang suatu password dan kombinasinya semakin sulit untuk
diketemukan. Ada beberap bentuk ancaman pada jaringan computer yang sering ditemui
dewasa ini diantaranya adalah:
1. Denial of Services (DoS)
Denial of Services (DoS) ini adalah salah satu ancaman keamanan jaringan yang
membuat suatu layanan jaringan jadi macet, serangan yang membuat jaringan anda tidak bisa
diakses dan membuat sistem anda tidak bisa merespon terhadap trafik atau permintaan
layanan terhadap objek dan resource jaringan.
Ada beberapa jenis DoS seperti:
Distributed Denial of Services (DDoS), terjadi saat penyerang berhasil mengkompromi dengan layanan system dan menggunakannya sebagai pusat untuk menyebarkan
serangan terhadap korban lain.
Distributed reflective denial of service (DRDoS) memanfaatkan layanan Internet,
seperti protocol update DNS dan router. DRDoS ini menyerang fungsi dengan mengirim
3
Syukron Rushadi
Sharing Know ledge and Experience
update, sesi, dalam jumlah yang sangat besar kepada berbagai macam layanan server atau
router dengan menggunakan address spoofing kepada target korban.
Ping of Death, adalah serangan ping oversize. Dengan menggunakan tool khusus, si
penyerang dapat mengirimkan paket ping oversized kepada korban. Dalam banyak kasus
sistem yang diserang mencoba memproses data tersebut, error terjadi menyebabkan system
crash, freeze atau reboot. Ping of Death ini semacam serangan Buffer overflow akan tetapi
karena sistem yang diserang sering jadi down, maka disebut DoS attack.
Stream Attack terjadi saat banyak jumlah paket yang besar dikirim menuju ke port
pada sistem korban.
2. Spoofing
Istilah spoofing kadang-kadang digunakan untuk merujuk kepada kepala pemalsuan ,
penyisipan informasi palsu atau menyesatkan dalam e-mail atau netnews header. Header
dipalsukan digunakan untuk menyesatkan penerima, atau jaringan aplikasi, mengenai asal
dari pesan.
3. Serangan Man-in-the-middle
Man-in-the-middle terjadi saat user perusak dapat memposisikan diantara dua titik
link komunikasi. Para penyerang ini tidak tampak pada kedua sisi link komunikasi dan bisa
mengubah isi dan arah traffic. Dengan cara ini para penyerang bisa menangkap logon
credensial bahkan mampu mengubah isi pesan dari kedua titik komunikasi ini.
4. Spamming
Spamming atau tindak penyebaran spam adalah merupakan salah satu bentuk
penyalahgunaan teknologi e-mail yang paling umum dan paling sering di jumpai pengguna
fasilitas email spam product hasil spamming, dapat didefinisikan sebagian pesan email yang
di inginkan oleh pengguna yang sebagian besar adalah message commercil walaupun tingkat
ancamannya dapat di katakan tergolong rendah jika dibandingkan dengan email worm
ataupun phising
4
Syukron Rushadi
Sharing Know ledge and Experience
5. Sniffer
Sniffer (snooping attack) merupakan kegiatan user perusak yang ingin mendapatkan
informasi tentang jaringan atau traffic lewat jaringan tersebut. Sniffer sering merupakan
program penangkap paket yang bisa menduplikasikan isi paket yang lewat media jaringan
kedalam file. Serangan Sniffer sering difokuskan pada koneksi awal antara client dan server
untuk mendapatkan logon credential dan password.
6. Crackers
Cracker adalah sebutan untuk mereka yang masuk ke sistem orang lain dan
cracker lebih bersifat destruktif, biasanya di jaringan komputer, mem-bypass password
atau lisensi program komputer, secara sengaja melawan keamanan komputer, men-deface
(merubah halaman muka web) milik orang lain bahkan hingga men-delete data orang lain,
mencuri data dan umumnya melakukan cracking untuk keuntungan sendiri, maksud jahat,
atau karena sebab lainnya karena ada tantangan. Beberapa proses pembobolan dilakukan
untuk menunjukan kelemahan keamanan sistem.
1.2 Firewall
Firewall
adalah
sebuah sistem
atau
perangkat yang
mengizinkan lalu
lintas
jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak
aman. Umumnya, sebuah firewall diimplementasikan dalam sebuah mesin terdedikasi, yang
berjalan pada pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya. Firewall
umumnya juga digunakan untukmengontrol akses terhadap siapa saja yang memiliki akses
terhadap jaringan pribadi dari pihak luar. Saat ini, istilah firewall menjadi istilah generik yang
merujuk pada sistem yang mengatur komunikasi antar dua jaringan yang berbeda.
1.2.1 Jenis-jenis Firewall
Ada berbagai jenis Firewall, penggunaanya tergantung pada komunikasi yang
berlangsung dan tempat yang sedang ditelusuri.
5
Syukron Rushadi
Sharing Know ledge and Experience
1. Firewall Layer Jaringan
Firewall layer jaringan, atau biasa disebut paket fiter, beroperasi secara relatif
pada level rendah Protokol TCP/IP, dengan tidak mengizinkan paket untuk melewati
firewall kecuali paket tersebut cocok dengan set aturan yang ditetapkan. Seorang
administrator biasanya telah menetapkan aturan atau secara tetap telah menetapkan
aturan tersebut. Network layer firewall secara umum dibagi menjadi dua sub-kategori
yaitu stateful dan stateless. Stateful firewall mempertahankan sesi aktif, dan
menggunakan “lokasi informasi” untuk mempercepat memrosesan paket. Apapun
koneksi jaringan yang ada bisa diuraikan oleh beberapa property, termasuk sumber
dan tujuan alamat IP, port UDP atau TCP.
Stateless firewall membutuhkan memori yang kecil, dan bisa lebih cepat
dalam memfiter paket sederhana yang membutuhkan sedikit waktu untuk memfilter
daripada melihat sesi. Stateless Firewall juga berguna untuk memfilter protocol
jaringan yang tidak ditempatkan yang tidak memiliki konsep sesi.
2. Firewall Layer Aplikasi
Firewall layer aplikasi bekerja pada level aplikasi TCP/IP (semua trafik
browser, telnet dan ftp) dan memungkinkan menangkap semua paket yang bepergian
ke atau dari suatu aplikasi. Firewall tersebut mampu menghadang paket (biasanya
membuang paket tanpa memberikan balasan pada pengirim).
Saat memeriksa paket suatu konten yang tidak layak, firewall mampu
membatasi atau mencegah penyebaran worm dan Trojan sekaligus. Penambahan
kriteria pemeriksaan dapat menambah latency untuk meneruskan paket ke tujuan.
Firewall aplikasi difungsikan dengan mempertimbangkan apakah proses akan
diterima disegala koneksi. Firewall aplikasi berkerja mirip dengan paket filter tapi
filter aplikasi menerapkan aturan filter (allow/block) pada suatu proses bukan
memfileter koneksi pada suatu port. Umumnya petunjuk yang digunakan untuk
mendefinisikan aturan proses yang belum menerima koneksi.
3. Network Address Translation (NAT)
6
Syukron Rushadi
Sharing Know ledge and Experience
Network Address Translation adalah suatu metode untuk menghubungkan
lebih dari satu komputer ke jaringan internet dengan menggunakan satu alamat IP.
Banyaknya penggunaan metode ini disebabkan karena ketersediaan alamat IP yang
terbatas, kebutuhan akan keamanan (security), dan kemudahan serta fleksibilitas
dalam administrasi jaringan.
NAT
secara
otomatis
akan
memberikan
proteksi
seperti
halnya firewall dengan hanya mengizinkan koneksi yang berasal dari dalam jaringan.
Hal ini berarti tingkat keamanan suatu jaringan akan meningkat, karena kemungkinan
koneksi dari luar ke dalam jaringan menjadi relatif sangat kecil.
Gambar 1.1 Mekanisme NAT pada proses komunikasi jaringan private ke jaringan
Publik
4. Firewall berbasis Software
Biasanya, firewall berbasis software adalah suatu fitur yang ada pada suatu
sistem operasi, baik itu sistem operasi untuk keperluan personal (Windows 7, Ubuntu)
maupun sistem operasi untuk keperluan enterprise (red hat, fedora). Para developer
lebih banyak mengembangkan fitur firewallpada sistem operasi linux, dikarenaka,
linux termasuk sistem operasi open source , bebas untuk dikembangkan dan
disebarluaskan. Namun, kekurangan pada firewall berbasis software adalah
terbatasnya fitur keamanan yang ditawarkan, tentunya akan sulit untukn menginstall
fitur-fitur keamanan yang lain seperti IDS/IPS, VPN.
7
Syukron Rushadi
Sharing Know ledge and Experience
5. Firewall berbasis Hardware
Firewall berbasis hardware lebih diutamakan dalam memenuhi kebutuhan
keamanan jaringan suatu perusahaan/ unit usaha. Dengan fitur yang disediakan jauh
lebih baik dibandingkan dengan firewall berbasis software, fitru-fiturnya termasuk
dukungan IDS/IPS, VPN (IPsec), dan pada beberapa vendor mendukung Load
balancing. Tentunya dengan berbagai macam fitur keamanan yang mumpuni,
memberikan tingkat keamanan yang lebih tinggi. Namun, perusahaan harus siap
menyiapkan biaya yang cukup tinggi untuk menerapkan sisten keamanan berbasis
firewall hardware, dan firewall berbasis hardware yang tersedia di pasaran
dikeluarkan oleh berbagai macam vendor dengan spesifikasi yang berbeda tergantung
pada kebutuhan suatu perusahaan.
1.2.2 Fungsi Firewall
Secara mendasar, firewall dapat melakukan hal-hal berikut:
1. Mengatur dan Mengontrol Lalu Lintas Jaringan
Fungsi pertama yang dapat dilakukan oleh firewall adalah firewall harus dapat
mengatur dan mengontrol lalu lintas jaringan yang diizinkan untuk mengakses
jaringan privat atau komputer yang dilindungi oleh firewall. Firewall melakukan hal
yang demikian, dengan melakukan inspeksi terhadap paket-paket dan memantau
koneksi yang sedang dibuat, lalu melakukan penapisan (filtering) terhadap koneksi
berdasarkan hasil inspeksi paket dan koneksi tersebut..
(a) Proses Inspeksi Paket
Inspeksi paket (packet inspection) merupakan proses yang dilakukan
oleh firewall untuk 'menghadang' dan memproses data dalam sebuah paket
untuk menentukan bahwa paket tersebut diizinkan atau ditolak, berdasarkan
kebijakan akses (access policy) yang diterapkan oleh seorang administrator.
Inspeksi paket dapat dilakukan dengan melihat elemen-elemen berikut, ketika
menentukan apakah hendak menolak atau menerima komunikasi:
8
Syukron Rushadi
Sharing Know ledge and Experience
Alamat IP dari komputer sumber
Port sumber pada komputer sumber
Alamat IP dari komputer tujuan
Port tujuan data pada komputer tujuan
Protokol IP
Informasi header-header yang tersimpan dalam paket
(b) Koneksi dan Keadaan Koneksi
Agar dua host TCP/IP dapat saling berkomunikasi, mereka harus saling
membuat koneksi antara satu dengan lainnya. Koneksi ini memiliki dua tujuan
:
Komputer
dapat
menggunakan
koneksi
tersebut untuk
mengidentifikasikan dirinya kepada komputer lain, yang
meyakinkan bahwa sistem lain yang tidak membuat koneksi
tidak dapat mengirimkan data ke komputer tersebut. Firewall
juga dapat menggunakan informasi koneksi untuk menentukan
koneksi apa yang diizinkan oleh kebijakan akses dan
menggunakannya untuk menentukan apakah paket data tersebut
akan diterima atau ditolak.
Koneksi digunakan untuk menentukan bagaimana cara dua host
tersebut akan berkomunikasi antara satu dengan yang
lainnya (apakah dengan menggunakan koneksi connectionoriented, atau connectionless).
Firewall
dapat
memantau
informasi
keadaan
koneksi
untuk
menentukan apakah ia hendak mengizinkan lalu lintas jaringan. Umumnya hal
ini dilakukan dengan memelihara sebuah tabel keadaan koneksi (dalam istilah
firewall: state table) yang memantau keadaan semua komunikasi yang
melewati firewall.
(c) Stateful Packet Inspection
9
Syukron Rushadi
Sharing Know ledge and Experience
Ketika sebuah firewall menggabungkan stateful inspection dengan
packet inspection, maka firewall tersebut dinamakan dengan Stateful Packet
Inspection (SPI). SPI merupakan proses inspeksi paket yang tidak dilakukan
dengan menggunakan struktur paket dan data yang terkandung dalam paket,
tapi juga pada keadaan apa host-host yang saling berkomunikasi tersebut
berada.
(d) Melakukan Autentikasi terhadap akses
Fungsi fundamental firewall yang kedua adalah firewall dapat
melakukan autentikasi terhadap akses. Protokol TCP/IP dibangun dengan
premis bahwa protokol tersebut mendukung komunikasi yang terbuka. Jika
dua host saling mengetahui alamat IP satu sama lainnya, maka mereka
diizinkan untuk saling berkomunikasi.
2. Melindungi Sumber Daya dalam Jaringan Internal
Salah satu tugas firewall adalah melindungi sumber daya dari ancaman yang
mungkin datang. Proteksi ini dapat diperoleh dengan menggunakan beberapa
pengaturan peraturan akses (access control), penggunaan SPI, application proxy, atau
kombinasi dari semuanya untuk mengamankan host yang dilindungi supaya tidak
dapat diakses oleh host-host yang mencurigakan atau dari lalu lintas jaringan yang
mencurigakan.
1.3 Zona Demiliterisasi Pada Jaringan Komputer
Dari sekian banyak mekanisme dalam Perlindungan Jaringan Komputer,
penerapan Zona Demiliterisasi (Demilitarized Zone) menjadi salah satu solusi terbaik
untuk perlindungan Jaringan Internal suatu Perusahaan/Organisasi dari gangguan pihak
luar. Adapun Zona Demiliterisasi sendiri merupakan mekanisme untuk melindungi sistem
internal dari serangan hacker atau pihak-pihak lain yang ingin memasuki sistem tanpa
mempunyai hak akses. Sehingga karena DMZ dapat diakses oleh pengguna yang tidak
mempunyai hak, maka DMZ tidak mengandung rule.
10
Syukron Rushadi
Sharing Know ledge and Experience
Secara esensial, DMZ melakukan perpindahan semua layanan suatu jaringan ke
jaringan lain yang berbeda. DMZ terdiri dari semua port terbuka, yang dapat dilihat oleh
pihak luar. Sehingga jika hacker menyerang dan melakukan cracking pada server yang
mempunyai DMZ, maka hacker tersebut hanya dapat mengakses host yang berada pada
DMZ, tidak pada jaringan internal Misalnya jika seorang pengguna bekerja di atas server FTP
pada jaringan terbuka untuk melakukan akses publik seperti akses internet, maka hacker
dapat melakukan cracking pada server FTP dengan memanfaatkan layanan Network
Interconnection System (NIS), dan Network File System (NFS).
1.4 Arsitektur Zona Demiliterisasi
Ada banyak cara yang berbeda untuk merancang sebuah jaringan dengan DMZ. Dua
metode yang paling mendasar adalah dengan firewall tunggal (Single-firewall), juga dikenal
sebagai tiga model yang berkaki, dan dengan firewall ganda (Dual-Firewall). Arsitektur ini
dapat diperluas untuk menciptakan arsitektur yang sangat kompleks tergantung pada
kebutuhan jaringan.
1.4.1 Arsitektur Firewall Tunggal (Single-Firewall)
Sebuah firewall tunggal dengan setidaknya 3 antarmuka jaringan dapat
digunakan untuk membuat sebuah arsitektur jaringan yang berisi DMZ. Jaringan
eksternal terbentuk dari ISP ke firewall pada antarmuka jaringan pertama, jaringan
internal terbentuk dari antarmuka jaringan kedua, dan DMZ terbentuk dari antarmuka
jaringan ketiga. Firewall menjadi titik utama untuk jaringan dan harus mampu
menangani semua lalu lintas akan DMZ serta jaringan internal.
11
Syukron Rushadi
Sharing Know ledge and Experience
Gambar 1.2 Arsitektur DMZ dengan Firewall Tunggal
1.4.2 Arsitektur Firewall Ganda (Dual-Firewall)
Pendekatan yang lebih aman adalah dengan menggunakan dua firewall untuk
menciptakan DMZ. Firewall pertama (juga disebut front-end atau perimeter firewall)
harus dikonfigurasi untuk mengizinkan lalu lintas yang ditujukan hanya untuk area
DMZ. Firewall kedua (juga disebut back-end atau internal firewall) hanya
memungkinkan unutk lalu lintas dari area DMZ ke jaringan internal.
Gambar 1.3 Arsitektur DMZ dengan Firewall Ganda
Arsitektur ini dianggap lebih aman untuk membentengi infrastruktur dari
serangan baik itu dari jaringan luar (Internet) maupun jaringan internal (Intranet).
Kelemahan dari arsitektur ini adalah biaya yang mahal untuk menyediakan 2 buah
firewall. Arsitektur ini direkomendasikan untuk bidang organisasi yang besar serta
rentan terhadap kejahatan cyber (Sektor Ekonomi & Perbankan, Sektor Migas,
Pemerintahan dll).
12