Langkah-Langkah dalam Mengamankan Jaringan
1. IDS / IPS
Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS) adalah sistem yang
banyak digunakan untuk mendeteksi dan melindungi sebuah sistem keamanan dari serangan
oleh pihak luar maupun dalam.
Sebuah IDS dapat berupa IDS berbasiskan jaringan komputer atau berbasiskan host. Pada IDS
berbasiskan jaringan komputer, IDS akan menerima kopi paket yang ditujukan pada sebuah
host untuk kemudian memeriksa paket-paket tersebut. Apabila ternyata ditemukan paket yang
berbahaya, maka IDS akan memberikan peringatan pada pengelola sistem. Karena paket yang
diperiksa hanyalah salinan dari paket yang asli, maka sekalipun ditemukan paket yang
berbahaya, paket tersebut akan tetap mencapai host yang ditujunya.
memberikan keputusan apakah sebuah paket dapat diterima atau tidak oleh sistem. Apabila IPS
menemukan bahwa paket yang dikirimkan adalah paket yang berbahaya, maka IPS akan
memberitahu firewall sistem untuk menolak paket data tersebut.
Dalam membuat keputusan apakah sebuah paket data berbahaya atau tidak, IDS dan IPS dapat
mempergunakan metode :
Signature-based Intrusion Detection System. Pada metode ini, telah tersedia daftar
signature yang dapat digunakan untuk menilai apakah paket yang dikirimkan berbahaya
atau tidak. Sebuah paket data akan dibandingkan dengan daftar yang sudah ada. Metode
ini akan melindungi sistem dari jenis-jenis serangan yang sudah diketahui sebelumnya.
Oleh karena itu, untuk tetap menjaga keamanan sistem jaringan komputer, data
signature yang ada harus tetap ter-update.
Anomaly-based Intrusion Detection System. Pada metode ini, pengelola jaringan harus
melakukan konfigurasi terhadap IDS dan IPS, sehingga IDS dan IPS dapat mengatahui
pola paket seperti apa saja yang akan ada pada sebuah sistem jaringan komputer. Sebuah
paket anomali adalah paket yang tidak sesuai dengan kebiasaan jaringan komputer
tersebut. Apabila IDS dan IPS menemukan ada anomali pada paket yang diterima atau
dikirimkan, maka IDS dan IPS akan memberikan peringatan pada pengelola jaringan
(IDS) atau akan menolak paket tersebut untuk diteruskan (IPS). Untuk metode ini,
pengelola jaringan harus terus-menerus memberi tahu IDS dan IPS bagaimana lalu lintas
data yang normal pada sistem jaringan komputer tersebut, untuk menghindari adanya
salah penilaian oleh IDS atau IPS.
Penggunaan IDS dan IPS pada sistem jaringan komputer dapat mempergunakan sumber daya
komputasi yang cukup besar, dan khusus untuk IPS, dengan adanya IPS maka waktu yang
dibutuhkan sebuah paket untuk dapat mencapai host tujuannya menjadi semakin lama, tidak
cocok untuk aplikasi-aplikasi yang membutuhkan pengiriman data secara real-time. Selain itu
IDS dan IPS masih membuka kesempatan untuk terjadinya false-postive dimana sebuah paket
yang aman dinyatakan berbahaya dan false-negative dimana paket yang berbahaya dinyatakan
aman. Untuk mengurangi tingkat false-positive dan false-negative, perlu dilakukan
pembaharuan secara rutin terhadap sebuah IDS dan IPS.
Dalam implementasinya, IDS adalah sebuah unit host yang terhubung pada sebuah hub/switch
dan akan menerima salinan dari paket-paket yang diproses oleh hub/switch tersebut. Sedangkan
untuk IPS biasanya diletakkan pada unit yang sama dengan firewall dan akan memproses paket-
paket yang lewat melalui firewall tersebut.
Sedangkan pada IDS berbasiskan host, IDS akan memeriksa aktivitas system call, catatan
kegiatan dan perubahan pada sistem berkas pada host tersebut untuk mencari anomali atau
keanehan yang menandakan adanya usaha dari pihak luar untuk menyusup kedalam sistem. IDS
berbasiskan host akan membantu pengelola sistem untuk melakukan audit trail terhadap sistem
apabila terjadi penyusupan dalam sistem.
2.Network Topology
Selain permasalahan aplikasi yang akan mempergunakan jaringan komputer, topologi jaringan
komputer juga memiliki peranan yang sangat penting dalam keamanan jaringan komputer.
yang perlu dilakukan. Dengan adanya pembagian kelompok-kelompok jaringan komputer,
apabila terjadi gangguan keamanan pada sebuah kelompok jaringan komputer, tidak akan
dengan mudah menyebar ke kelompok jaringan komputer lainnya. Selain itu metode keamanan
yang diterapkan pada setiap kelompok jaringan komputer juga bisa berbeda-beda, sesuai dengan
peranannya masing-masing.
Secara mendasar, sebuah jaringan komputer dapat dibagi atas kelompok jaringan eksternal
(Internet atau pihak luar), kelompok jaringan internal dan kelompok jaringan diantaranya atau
yang biasa disebut sebagai DeMilitarized Zone (DMZ). Komputer-komputer pada jaringan
DMZ, adalah komputer-komputer yang perlu dihubungi secara langsung oleh pihak luar.
Contohnya adalah web-server, mail exchange server dan name server. Komputer-komputer pada
jaringan DMZ harus dipersiapkan secara khusus, karena mereka akan terbuka dari pihak luar.
Aplikasi yang dipergunakan pada host-host pada DMZ harus merupakan aplikasi yang aman,
terus menerus dipantau dan dilakukan update secara reguler. Aturan-aturan yang berlaku adalah
sebagai berikut :
Pihak luar hanya dapat berhubungan dengan host-host yang berada pada jaringan DMZ,
sesuai dengan kebutuhan yang ada. Secara default pihak luar tidak bisa melakukan
hubungan dengan host-host pada jaringan DMZ.
Host-host pada jaringan DMZ secara default tidak dapat melakukan hubungan dengan
host-host pada jaringan internal. Koneksi secara terbatas dapat dilakukan sesuai dengan
kebutuhan.
Host-host pada jaringan internal dapat melakukan koneksi secara bebas baik ke jaringan
luar maupun ke jaringan DMZ. Pada beberapa implementasi, untuk meningkatkan
keamanan, host-host pada jaringan internal tidak dapat melakukan koneksi ke jaringan
luar, melainkan melalui perantara host pada jaringan DMZ, sehingga pihak luar tidak
mengetahui keberadaan host-host pada jaringan komputer internal.
Selain meningkatkan keamanan, pembagian seperti ini juga menguntungkan karena penggunaan
alamat IP yang lebih sedikit. Hanya host-host pada jaringan DMZ saja yang butuh untuk
mempergunakan alamat IP publik internet, sedangkan untuk host-host jaringan internal bisa
mempergunakan alamat IP privat. Hal ini terutama sangat menguntungkan bagi organisasi-
organisasi yang hanya mendapatkan sedikit alokasi alamat IP yang dapat digunakan oleh
organisasi tersebut dari service provider yang digunakan.
Kelemahan dari implementasi aturan-aturan yang ketat seperti ini adalah ada beberapa aplikasi
yang tidak dapat digunakan. Sebagai contoh, untuk dapat melakukan video-conference ataupun
audio-conference diperlukan koneksi langsung antara satu host dengan host lainnya. Dengan
implementasi dimana pihak luar tidak dapat berhubungan dengan host pada jaringan internal,
maka host pada jaringan internal tidak dapat melakukan video-conference.
Selain itu, untuk organisasi yang cukup besar, adanya pembagian lebih lanjut pada jaringan
komputer internal akan lebih baik. Perlu dibuat sebuah panduan mengenai interaksi apa saja
yang mungkin dilakukan dan dibutuhkan oleh satu bagian organisasi dengan bagian organisasi
lainnya melalui jaringan komputer. Setelah panduan dibuat, maka interaksi-interaksi yang tidak
diperlukan antar komputer pada jaringan yang berbeda dapat dibatasi. Aturan dasar yang saat ini
banyak digunakan adalah untuk menutup semua pintu (port) yang ada dan buka hanya yang
dibutuhkan dan aman saja.
Perlu diingat, semakin banyak pembagian kelompok jaringan komputer yang ada, maka akan
semakin meningkatkan kompleksitas pemeliharaan jaringan komputer. Selain itu semakin
banyak pembagian kelompok juga akan meningkatkan latensi koneksi antara satu host di sebuah
kelompok jaringan dengan host lain di kelompok jaringan lainnya.
yang terbuka dalam sebuah sistem jaringan komputer. Tetapi metode yang sama juga dapat
digunakan oleh pengelola jaringan komputer untuk menjaga jaringan komputernya.
Sebuah port yang terbuka menandakan adanya aplikasi jaringan komputer yang siap menerima
koneksi. Aplikasi ini dapat menjadi pintu masuk penyerang ke dalam sistem jaringan komputer
sebuah organisasi. Oleh karena itu sangat penting bagi seorang pengelola jaringan komputer
untuk tahu secara pasti, aplikasi jaringan komputer apa saja yang berjalan dan siap menerima
koneksi pada sebuah host. Apabila ditemukan bahwa ada port yang terbuka dan tidak sesuai
dengan perencanaan yang ada, maka aplikasi yang berjalan pada port tersebut harus segera
dimatikan agar tidak menjadi lubang keamanan.
Cara kerja port scanner adalah dengan cara mengirimkan paket inisiasi koneksi ke setiap port
yang sudah ditentukan sebelumnya. Apabila ternyata port scanner menerima jawaban dari
sebuah port, maka ada aplikasi yang sedang bekerja dan siap menerima koneksi pada port
tersebut.
Port Scanning sebagai bentuk serangan
Karena implementasinya yang cukup mudah dan informasinya yang cukup berguna, maka
sering kali port scanning dilakukan sebagai tahap awal sebuah serangan. Untuk dapat
melakukan penyerangan, seorang cracker perlu mengetahui aplikasi apa saja yang berjalan dan
siap menerima koneksi dari lokasinya berada. Port Scanner dapat meberikan informasi ini.
Untuk dapat mendeteksi adanya usaha untuk melakukan scanning jaringan, seorang pengelola
jaringan dapat melakukan monitoring dan mencari paket-paket IP yang berasal dari sumber
yang sama dan berusaha melakukan akses ke sederetan port, baik yang terbuka maupun yang
tertutup. Apabila ditemukan, pengelola jaringan dapat melakukan konfigurasi firewall untuk
memblokir IP sumber serangan. Hal ini perlu dilakukan secara berhati-hati, karena apabila
dilakukan tanpa ada toleransi, metode ini dapat mengakibatkan seluruh jaringan Internet
terblokir oleh firewall organisasi. Oleh sebab itu, perlu ada keseimbangan antara keamanan dan
performa dalam usaha mendeteksi kegiatan port scanning dalam sebuah jaringan komputer.
4.Packet Fingerprinting
Karena keunikan setiap vendor peralatan jaringan komputer dalam melakukan implementasi
protokol TCP/IP, maka paket-paket data yang dikirimkan setiap peralatan menjadi unik
peralatan tersebut. Dengan melakukan Packet Fingerprinting, kita dapat mengetahui peralatan
apa saja yang ada dalam sebuah jaringan komputer. Hal ini sangat berguna terutama dalam
sebuah organisasi besar dimana terdapat berbagai jenis peralatan jaringan komputer serta sistem
operasi yang digunakan. Setiap peralatan dan sistem operasi memiliki karakteristik serta
kelemahannya masing-masing, oleh karena itu, sangat penting bagi pengelola jaringan
komputer untuk dapat mengetahui peralatan dan sistem operasi apa saja yang digunakan dalam
organisasi tersebut. Dengan mengetahui peralatan jenis apa atau sistem operasi apa saja yang
ada pada sebuah organisasi, pengelola jaringan komputer dapat lebih siap dalam melakukan
pengamanan jaringan komputer organisasi tersebut.
Untuk menentukan tipe peralatan atau sistem operasi ada, sebuah peralatan fingerprinting akan
melihat bagaimana peralatan jaringan komputer atau sistem operasi yang bersangkutan
memberikan nilai-nilai awal pada beberapa bagian di header IP. Bagian-bagian tersebut adalah:
Time-to-Live – Setiap peralatan jaringan komputer mempergunakan nilai awal yang
berbeda-beda dalam memberikan nilai ke bagian time-to-live pada header IP.
Window-size - Setiap peralatan jaringan komputer, mempergunakan ukuran TCP
windows yang berbeda-beda.
bit DF pada paket – Apakah peralatan jaringan komputer yang mengirimkan paket
berguna dalam membedakan satu peralatan dengan peralatan lainnya.
bit Type of Service – Jenis layanan apa yang diberikan oleh sebuah peralatan jaringan
komputer pada paket yang dikirimnya. Karena pada banyak implementasi, jenis layanan
yang diinginkan, ditentukan oleh protokol atau aplikasi yang sedang berjalan dan bukan
oleh sistem operasi atau peralatan yang digunakan, maka penggunaan bit Type of Service
tidak terlalu berguna dalam membedakan satu peralatan dengan peralatan lainnya.
Setelah mendapatkan informasi-informasi di atas, peralatan fingerprinting akan melakukan
perbandingan dengan data yang sudah dimiliki sebelumnya.
Fingerprinting dapat dilakukan secara aktif maupun secara pasif. Jika dilakukan secara aktif,
analis akan mengirimkan sebuah paket request yang kemudian akan dibalas oleh host target.
Paket balasan dari host target inilah yang kemudian dianalisa. Sedangkan jika dilakukan secara
pasif, maka analis akan menunggu host target mengirimkan paket, kemudia paket tersebut akan
dianalisa.
Selain dapat digunakan oleh pengelola jaringan komputer untuk mengamankan jaringan
komputer organisasi, metode yang sama sering digunakan oleh pihak-pihak yang ingin
menganggu sebuah jaringan komputer.
5. Security Information Management
Dalam usaha untuk meningkatkan keamanan jaringan komputer, sebuah organisasi mungkin
akan meng-implementasikan beberapa teknologi keamanan jaringan komputer, seperti firewall,
IDS dan IPS. Semua usaha tersebut dilakukan sehingga keamanan jaringan komputer organisasi
tersebut menjadi lebih terjamin.
Namun, dengan semakin banyaknya peralatan jaringan komputer yang di-implementasikan,
maka akan semakin banyak pula peralatan yang perlu dikelola. Pengelolaan akan dimulai dari
konfigurasi peralatan agar sesuai dengan kebutuhan organisasi. Setelah itu setiap peralatan yang
sudah terpasang perlu dipantau, perlu dianalisa apakah sudah berfungsi sesuai dengan
rancangan awal. Salah satu bentuk pemantau yang perlu dilakukan adalah memantau log dan
alert yang dihasilkan oleh setiap peralatan. Jumlah log dan alert yang dihasilkan oleh semua
peralatan keamanan jaringan komputer yang terpasang dapat berukuran sangat besar. Akan
membutuhkan banyak waktu pengelola jaringan komputer untuk menganalisa seluruh log dan
alert yang ada, termasuk didalamnya adalah melakukan pencarian dimana log atau alert
tersebut tersimpan.
Salah satu penyebab utama dari kegagalan sistem keamanan jaringan komputer adalah
kesalahan pengelola dalam melakukan analisa informasi yang dihasilkan masing-masing
perangkat keamanan jaringan komputer. Kesalahan analisa dapat menyebabkan pengelola
lambat, salah atau tidak terarah dalam menghadapi serangan yang sedang berlangsung.
Oleh karena itu, salah satu alat bantu yang dapat digunakan oleh pengelola jaringan komputer
adalah Security Information Management (SIM). SIM berfungsi untuk menyediakan seluruh
infomasi yang terkait dengan pengamanan jaringan komputer secara terpusat. Dengan
menggunakan SIM, pengelola dapat dengan mudah mengetahui kondisi seluruh peralatan yang
dimilikinya dan melakukan identifikasi serangan yang ada. Pada fungsi paling dasarnya, SIM
akan mengumpulkan semua log dan alert yang dihasilkan oleh semua peralatan keamanan
jaringan komputer yang ada ke dalam satu tempat, sehingga mempermudah pengelolaan. Pada
perkembangannya SIM tidak hanya berfungsi untuk mengumpulkan data-data dari semua
peralatan keamanan jaringan komputer tapi juga memiliki kemampuan untuk analisa data
melalui teknik korelasi dan query data terbatas sehingga menghasilkan peringatan dan laporan
yang lebih lengkap dari masing-masing serangan.
Dengan mempergunakan SIM, pengelola jaringan komputer dapat mengetahui secara lebih
0 komentar:
Posting Komentar