-->

Blog Berbagi Informasi

ANTI VIRUS , FREE SOFTWARE,TIPS & TRICK KOMPUTER

TIME NOW

Lapisan-Lapisan Jaringan Komputer Dan Sistem Proteksinya



Untuk dapat dengan jelas mengerti mengenai keamanan jaringan komputer, kita harus terlebih dahulu
mengerti   bagaimana   jaringan   komputer   bekerja.   Untuk   mempermudah   pemeliharaan   serta
meningkatkan kompabilitas antar berbagai pihak yang mungkin terlibat, jaringan komputer terbagi atas
beberapa   lapisan   yang   saling   independen   satu   dengan   yang   lainnya.   Menurut   standard   ISO/OSI,
lapisan-lapisan dan tugas yang dimilikinya adalah :

Layer 1 - Physical
Layer  (lapisan) ini berhubungan  dengan kabel dan media fisik lainnya yang menghubungkan
satu peralatan jaringan komputer dengan peralatan jaringan komputer lainnya. Lapisan ini juga
berhubungan dengan sinyal-sinyal listrik, sinar maupun gelombang radio yang digunakan untuk
mengirimkan   data.   Pada   lapisan   ini   juga   dijelaskan   mengenai   jarak   terjauh   yang   mungkin
digunakan oleh sebuah media fisik. Pada lapisan ini juga diantur bagaimana cara melakukan
collision control.





Layer 2 - Data Link
Pada sisi pengirim, lapisan ini mengatur bagaimana data yang akan dikirimkan diubah menjadi
deretan angka '1' dan '0' dan mengirimkannya ke media fisik. Sedangkan pada sisi penerima,
lapisan ini akan merubah deretan angka '1' dan '0' yang diterima dari media fisik menjadi data
yang lebih berarti. Pada lapisan ini juga diatur bagaimana kesalahan-kesalahan yang mungkin
terjadi ketika transmisi data diperlakukan.
Lapisan   ini   terbagi   atas   dua   bagian,   yaitu  Media   Access   Control  (MAC)   yang   mengatur
bagaimana sebuah peralatan dapat memiliki akses untuk mengirimkan data dan  Logical Link
Control (LLC) yang bertanggung jawab atas sinkronisasi frame, flow control dan pemeriksaan
error.  Pada   MAC   terdapat   metode-metode   yang   digunakan   untuk   menentukan   siapa   yang
berhak   untuk   melakukan   pengiriman   data.   Pada   dasarnya   metode-metode  itu   dapat   bersifat
terdistribusi (contoh: CSMA/CD atau CSMA/CA) dan bersifat terpusat (contoh: token ring).
Secara keseluruhan, lapisan Data Link bertanggung jawab terhadap koneksi dari satu node ke
node berikutnya dalam komunikasi data.

Layer 3 - Network
Lapisan Network bertanggung jawab terhadap koneksi dari pengirim sampai dengan penerima.
Lapisan ini akan menterjemahkan alamat lojik sebuah host menjadi sebuah alamat fisik. Lapisan
ini juga bertanggung jawab untuk mengatur rute yang akan dilalui sebuah paket yang dikirim
agar dapat sampai pada tujuan. Jika dibutuhkan penentuan jalur yang akan dilalui sebuah paket,
maka sebuah router akan menentukan jalur 'terbaik' yang akan dilalui paket tersebut. Pemilihan
jalur atau rute ini dapat ditentukan secara statik maupun secara dinamis.

Layer 4 - Transport
Lapisan ini bertanggung jawab untuk menyediakan koneksi yang bebas dari gangguan. Ada dua
jenis komunikasi data jaringan komputer, yaitu Connection Oriented dan Connectionless. Pada
jenis komunikasi  Connection Oriented  data dipastikan sampai tanpa ada gangguan sedikitpun
juga. Apabila ada gangguan, maka data akan dikirimkan kembali. Sedangkan jenis komunikasi
Connectionless,   tidak   ada   mekanisme   untuk   memastikan   apabila   data   yang   dikirim   telah
diterima dengan baik oleh penerima.
Biasanya lapisan ini mengubah layanan yang sangat sederhana dari lapisan  Network  menjadi
sebuah layanan yang lebih lengkap bagi lapisan diatasnya. Misalnya, pada layer ini disediakan
fungsi kontrol transmisi yang tidak dimiliki oleh lapisan di bawahnya.

Layer 5 - Session
Lapisan ini bertanggung jawab untuk membangun, memelihara dan memutuskan koneksi antar
aplikasi. Pada kenyataannya lapisan  ini sering digabung dengan Application Layer.

Layer 6 - Presentation
Agar berbagai aplikasi jaringan komputer yang ada di dunia dapat saling terhubung, seluruh
aplikasi tersebut harus mempergunakan format data yang sama. Lapisan ini bertanggung jawab
  atas bentuk format data yang akan digunakan dalam melakukan komunikasi. Pada kenyataannya
lapisan ini sering pula digabung dengan Application Layer.

   Layer 7 - Application
Lapisan ini adalah di mana interaksi dengan pengguna dilakukan. Pada lapisan inilah semua
jenis program jaringan komputer seperti browser dan email client berjalan.


 Pada implementasinya, lapisan jaringan komputer berdasarkan ISO/OSI tidak digunakan karena terlalu
kompleks   dan   ada   banyak   duplikasi   tugas   dari   setiap   lapisan.   Lapisan   OSI/ISO   digunakan   hanya
sebagai  referensi.  Lapisan jaringan  komputer yang banyak digunakan adalah  lapisan TCP/IP yang
terdiri atas empat lapisan yaitu :

Link (Lapisan OSI 1 dan 2)
Contoh dari   lapisan  ini  adalah  Ethernet, Wi-Fi  dan  MPLS.  Implementasi  untuk  lapisan  ini
biasanya terletak pada device driver ataupun chipset firmware.
Internetwork (Lapisan OSI 3)
Seperti halnya rancangan awal pada lapisan network (lapisan OSI 3), lapisan ini bertanggung-
jawab atas sampainya sebuah paket ke tujuan melalui sebuah kelompok jaringan komputer.
Lapisan Internetwork pada TCP/IP memiliki tugas tambahan yaitu mengatur bagaimana sebuah
paket akan sampai tujuan melalui beberapa kelompok jaringan komputer apabila dibutuhkan.
Transport (Lapisan OSI 4 dan 5)
Contoh dari lapisan ini adalah TCP, UDP dan RTP
Applications (Lapisan OSI 5 sampai dengan 7)
Contoh dari lapisan ini adalah HTTP, FTP dan DNS.

Oleh   sebab   setiap   lapisan   memiliki   tugas   yang   independen   dari   lapisan-lapisan   lainnya,   maka
transparansi data akan terjamin. Sebagai contoh, semua jenis  browser  internet akan tetap digunakan,
sekalipun media fisik yang digunakan berubah dari kabel tembaga menjadi sinyal radio misalnya.

Pengamanan Masing-masing tingkatan jaringan

Dikarenakan perbedaan fungsi dalam setiap lapisan jaringan komputer, maka perlindungan yang dapat
dilakukan juga berbeda-beda. Pada bagian ini akan dijelaskan mengenai perlindungan terhadap jaringan
komputer yang bisa dilakukan pada setiap lapisan jaringan komputer, mulai dari lapisan terbawah
sampai dengan lapisan teratas.
–  Layer 2
Dalam   usaha   mengamankan   sebuah   gedung,   tahap   yang   paling   mendasar   adalah   dengan
menjaga titik akses ke gedung tersebut. Begitu juga dengan pengamanan jaringan komputer, tahap
paling mendasar adalah menjaga titik akses yang dapat digunakan seseorang untuk terhubung ke dalam
jaringan.   Pada   umumnya,   titik   akses   jaringan   komputer   adalah   berupa   hub   atau   switch.   Dengan
berkembangnya wireless network, maka peralatan wireless access-point juga termasuk dalam titik akses
jaringan yang perlu untuk dilindungi.
Saat ini ada dua mekanisme umum yang biasa digunakan dalam mengamankan titik akses ke
jaringan komputer, yaitu :

–  Protokol 802.1x
Protokol   802.1x   adalah   sebuah   protokol   yang   dapat   melakukan   otentikasi   pengguna   dari
peralatan yang akan melakukan hubungan ke sebuah titik-akses. Dengan protokol ini, ketika
sebuah komputer melakukan hubungan ke sebuah titik-akses (hub atau switch), maka pengguna
komputer tersebut perlu melakukan otentikasi sebelum komputer tersebut terhubung ke jaringan
komputer.
Protokol ini sangat berguna untuk melindungi jaringan komputer sekaligus meng-akomodasi
pengguna-pengguna   yang   memiliki   peralatan   atau   komputer   yang   bersifat  mobile  seperti
notebook  atau   PDA.   Dengan   digunakannya   protokol   ini,   dapat   dijamin   bahwa   peralatan
komputer yang  berusaha  melakukan  akses  ke  jaringan  komputer sedang  dipergunakan oleh
  pihak yang memang telah diizinkan untuk melakukan akses.
Tiga komponen yang terlibat dalam protokol ini adalah peralatan  yang akan melakukan akses
(supplicant),   server   yang   akan   melakukan   otentikasi   (server   RADIUS)   dan   peralatan   yang
menjadi titik akses (otentikator). Secara umum, tahapan-tahapan dalam protokol ini adalah :
1. Secara default akses ke jaringan tertutup.
2. Sebuah  supplicant  melakukan   akses   dan   meminta   izin   akses   ke   otentikator,   yang
kemudian meneruskannya ke server otentikasi.
3. Server   otentikasi   menjawab   dengan   memberikan   'tantangan'   ke  supplicant  melalui
otentikator.
4. Melalui otentikator, supplicant menjawab 'tantangan' yang diberikan.
5. Apabila jawaban yang diberikan supplicant benar, server otentikasi akan memberitahu
ke otentikator yang kemudian akan memberikan akses jaringan ke supplicant.
6. Akses jaringan yang sudah terbuka, akan tetap terbuka sampai ketika terjadi perubahan
status   koneksi,   misalnya   koneksi   diputus   oleh   pengguna   atau   alat   yang   terhubung
berubah.   Ketika   terjadi   perubahan   status,   akses   akan   kembali   ditutup   dan   proses
otentikasi akan berulang kembali.
Pada perkembangannya, protokol ini digunakan secara lebih mendalam, bukan hanya untuk
melakukan otentikasi terhadap pengguna peralatan yang melakukan akses, melainkan juga akan
digunakan untuk memeriksa apakah konfigurasi peralatan yang melakukan akses sudah sesuai
dengan   kebijakan   yang   berlaku.   Misalkan   akan   dilakukan   pemeriksaan   apakah   program
antivirus   yang   berjalan   pada   sebuah  notebook  yang   akan   melakukan   koneksi   sudah
mempergunakan versi yang terbaru, jika kondisi tersebut tidak terpenuhi maka akses jaringan
tidak akan diberikan. Selain itu protokol ini juga dapat digunakan untuk menegakkan sebuah
kebijakan pada peralatan-peralatan yang akan melakukan akses jaringan komputer.
Kelemahan dari protokol ini adalah, protokol ini harus diimplementasikan satu per satu pada
semua switch/hub yang menjadi titik akses jaringan komputer.

–    Mac Address
Mac Address Authentication  adalah sebuah mekanisme di mana sebuah peralatan yang akan
melakukan   akses   pada   sebuah   titik-akses   sudah   terdaftar   terlebih   dahulu.   Berbeda   dengan
protokol 802.1x yang memastikan bahwa alat yang melakukan koneksi dipergunakan oleh pihak
yang berwenang, metode ini untuk memastikan apakah peralatan yang akan melakukan akses
adalah peralatan yang berhak untuk akses tanpa mempedulikan siapa yang mempergunakannya.
Pada   setiap   peralatan   jaringan   komputer   terdapat   sebuah   identitas   yang   unik.   Berdasarkan
identitas tersebutlah metode ini melakukan otentikasi. Pada setiap paket data yang dikirimkan
sebuah peralatan akan mengandung informasi mengenai identitas peralatan tersebut, yang akan
dibandingkan dengan daftar akses yang dimiliki setiap titik-akses, apabila ternyata identitas
peralatan terdapat dalam daftar, paket yang dikirimkannya akan diteruskan apabila tidak, maka
paket yang dikirimkannya tidak akan diteruskan.
Keuntungan metode ini jika dibandingkan dengan protokol 802.1x adalah metode ini sudah
lebih banyak diimplementasikan pada  switch/hub  yang sering digunakan sebagai titik akses.
Selain itu, untuk mempergunakan metode ini, tidak perlu semua switch/hub melakukan filtering,
namun cukup switch/hub utama saja yang melakukannya.
Kelemahan   utama   dari   metode   ini   adalah   seseorang   dapat   dengan   mudah   memanipulasi
identitas unik pada peralatan yang digunakannya, sehingga peralatan tersebut dapat melakukan
akses ke sebuah jaringan komputer. Oleh karena itu sangat penting untuk menjaga integritas
daftar identitas peralatan yang dapat melakukan akses ke jaringan.

Selain kedua protokol otentikasi yang telah disebutkan di atas, ada sebuah metode keamanan yang
terletak pada lapisan Data Link tapi tidak berfungsi untuk melakukan otentikasi penggunaan titik-akses
jaringan komputer, melainkan untuk melindungi data yang dikirimkan pada jaringan komputer tersebut.
Metode tersebut adalah:

–  WEP dan  WPA
Perkembangan   teknologi   telah   membuat   transmisi   data   melalui   media   gelombang   radio
memiliki   kualitas   yang   hampir   sama   dengan   kualitas   transmisi   data   melalui   media   kabel.
Dengan mempegunakan wireless network, koneksi ke sebuah jaringan komputer menjadi sangat
mudah karena tidak lagi terhambat oleh penggunaan kabel. Asalkan sebuah peralatan jaringan
komputer   masih   dalam   jangkauan   gelombang   radio   komputer   penyedia   jaringan,   peralatan
tersebut dapat terhubung ke dalam jaringan komputer.
Akan   tetapi,   penggunaan   media   gelombang   radio   untuk   transmisi   data   memiliki   berbagai
permasalahan   keamanan   yang   cukup   serius.   Sifat   gelombang   radio   yang   menyebar
menyebabkan siapa saja yang berada pada jangkauan gelombang radio yang digunakan untuk
komunikasi data dapat mencuri data yang dikirimkan oleh sebuah pihak ke pihak lain dengan
mudah. Oleh karena itu dikembangkan metode yang disebut dengan Wired Equivalent Privacy
(WEP).
Tujuan utama dari WEP adalah berusaha untuk memberikan tingkat privasi yang diberikan oleh
penggunaan jaringan berbasiskan kabel. Dalam melakukan usaha itu, WEP akan melakukan
enkripsi terhadap data-data yang dikirimkan antara dua peralatan jaringan komputer berbasiskan
gelombang radio, sehingga data yang dikirimkan tidak dapat dicuri oleh pihak lain. Untuk ini,
WEP mempergunakan algoritma stream-cipher RC4 untuk menjaga kerahasiaan data dan CRC-
32  sebagai   kontrol  integritas   data   yang  dikirimkan.  Oleh  karena  ada  peraturan  pembatasan
ekspor teknologi enkripsi oleh pemerintah Amerika Serikat, maka pada awalnya panjang kunci
yang dipergunakan hanyalah sepanjang 40 bit. Setelah peraturan tersebut dicabut, maka kunci
yang digunakan adalah sepanjang 104 bit.
Beberapa   analis   menemukan   bahwa  WEP  tidak   aman   dan   seseorang   dapat   dengan   mudah
menemukan   kunci   yang   digunakan   setelah   melakukan   analisa   paket   terenkripsi   yang   dia
dapatkan. Oleh karena itu pada tahun 2003 dibuat standar baru yaitu  Wi-Fi Protected Access
(WPA).   Perbedaan   antara   WEP   dengan   WPA   adalah   penggunaan   protokol   802.1x   untuk
melakukan distribusi kunci yang digunakan dalam melakukan proses enkripsi dan dekripsi.
Selain itu panjang kunci yang digunakan juga bertambah panjang menjadi 128 bit sehingga
menambah   tingkat   kesulitan   dalam   menebak   kunci   yang   digunakan.   Selain   itu   untuk
meningkatkan   keamanan,   juga   dibuat   sebuah   sistem   yang   disebut   dengan  Temporal   Key
Integrity Control yang akan melakukan perubahan kunci secara dinamis selama sistem sedang
digunakan. Pada perkembangan selanjutnya, yaitu pada tahun 2004 dibuat  standard WPA2,
dimana   algoritma   RC4   digantikan   oleh   algoritma   enkripsi   baru   yaitu  Advance   Encryption
System (AES) dengan panjang kunci sepanjang 256 bit.

–  Layer 3
Pada   lapisan   ini,  untuk   membedakan  sebuah   peralatan   jaringan   komputer  dengan  peralatan
jaringan komputer yang lainnya, digunakan alamat IP (Internet Protocol). Semua peralatan komputer
aktif harus  memiliki sebuah nomor IP unik yang akan menjadi identitasnya di jaringan komputer.
Alamat IP yang saat ini banyak digunakan disebut dengan IPv4, yaitu sebuah deretan angka dengan
format :
x.x.x.x
di mana x adalah angka antara 0 sampai dengan 255. Saat ini sedang dalam tahap pengembangan versi
baru dari alamat IP yang disebut dengan IPv6. Selain alamat IP, pada lapisan ini juga dikenal istilah
Port, yaitu sebuah pintu masuk ke dalam sebuah sistem komputer. Pada pintu inilah aplikasi jaringan
komputer yang sedang berjalan dalam sebuah komputer menerima melakukan koneksi dengan pihak
lain.
Pada lapisan ini, metode perlindungan jaringan komputer akan berdasarkan pada alamat IP dan
  Port. Pada setiap paket data yang dikirimkan oleh sebuah peralatan jaringan komputer ke peralatan
lainnya akan mengandung alamat IP dan Port yang digunakan oleh pengirim serta alamat IP dan Port
dari tujuan paket tersebut. Sebuah sistem pengamanan yang biasanya dikenal dengan nama  firewall
dapat melakukan  filtering  berdasarkan kedua hal tersebut. Pada umumnya  firewall  diletakkan pada
gerbang   masuk   maupun   keluar   sebuah   sistem   jaringan   komputer.   Selain   itu  firewall  juga   dapat
melakukan filtering berdasarakan protokol yang  digunakan oleh sebuah paket data, misalnya sebuah
firewall dapat dirancang untuk menolak paket jenis udp dan paket jenis icmp sementara mengizinkan
paket jenis tcp.
Pada perkembangannya,  firewall  tidak hanya melakukan filtering berdasarkan alamat IP dan
Port, tapi juga berdasarkan informasi lainnya yang tersedia dalam  header  sebuah paket IP. Sebagai
contoh, sebuah firewall dapat melakukan filtering berdasarkan ukuran data sebuah paket data. Sebuah
firewall  juga   bisa   melakukan  filtering  berdasarkan   status   koneksi   antara   dua   peralatan   jaringan
komputer, misalnya sebuah firewall dapat dirancang untuk menolak sebuah paket yang akan membuat
sebuah   koneksi   baru   dari   sebuah   alamat   IP,   tapi   mengizinkan   paket-paket   lainnya   dari   alamat   IP
tersebut. Untuk menambah keamanan sistem jaringan komputer, saat ini sebagian besar firewall sudah
bersifat statefull dan tidak lagi stateless. Pada statefull firewall, firewall akan membuat daftar sejarah
status koneksi antara satu peralatan jaringan komputer dengan peralatan jaringan komputer lainnya. Hal
ini untuk mencegah adanya penipuan status koneksi oleh sebuah peralatan jaringan komputer untuk
dapat melewati proses filtering sebuah firewall.
Selain diimplementasikan pada gerbang masuk atau gerbang keluar dari sebuah sistem jaringan
komputer, firewall juga dapat diimplementasikan pada sebuah host. Ini berguna untuk melindungi host
tersebut dari serangan yang berasal dari host lain yang berada pada jaringan komputer yang sama.
Pada umumnya, implementasi  firewall  adalah metoda pengamanan sistem jaringan komputer
yang pertama kali dilakukan. Walaupun cukup ampuh dan mudah untuk diimplementasikan, tanpa
perencanaan   yang   baik,   implementasi  firewall  dapat   menyebabkan   sebuah  firewall  tersusun   atas
peraturan-peraturan filtering yang sangat banyak. Hal ini dapat membuat firewall tersebut menjadi sulit
untuk dikelola karena dengan banyaknya peraturan-peraturan  filtering  yang diimplementasikan akan
lebih sulit untuk melakukan penelusuran proses penyaringan paket. Selain itu, banyaknya peraturan
filtering yang terlalu banyak juga dapat menganggu interaksi koneksi data jaringan komputer, karena
semua paket yang lewat harus melalui proses penyaringan yang sangat banyak.

–    Layer 4 /5
Pada   lapisan   ini,   metode   pengamanan   lebih   difokuskan   dalam   mengamankan   data   yang
dikirimkan. Metode pengamanan yang banyak digunakan adalah :
–    VPN
Pada banyak organisasi besar, organisasi tersebut memiliki kantor-kantor cabang yang tersebar
di banyak tempat. Kantor cabang-kantor cabang tersebut tentu memiliki kebutuhan untuk saling
berhubungan antara satu dengan yang lainnya. Pada masa-masa awal jaringan komputer, solusi
yang biasa digunakan adalah dengan membangun jaringan privat yang mengubungkan seluruh
kantor cabang yang ada atau yang biasa disebut dengan  Wide Area Network  (WAN). Dengan
berkembangnya jaringan Internet, solusi dengan membangun WAN, menjadi solusi yang sangat
mahal dan tidak fleksibel. Dengan berkembangnya Virtual Private Network, sebuah organisasi
dapat membangun jaringan privat maya diatas jaringan publik untuk menghubungkan seluruh
kantor cabang yang dimilikinya.
Kelebihan implementasi VPN dibandingkan dengan implementasi WAN adalah:
   Mempermudah perluasan konektivitas jaringan komputer secara geografis
Untuk   menghubungkan   beberapa   lokasi   yang   terpisah   secara   geografis   dapat
mempergunakan  jaringan  publik  (Internet)  yang  dimiliki  oleh  masing-masing  lokasi.
Koneksi   Internet   yang   digunakan   oleh   sebuah   lokasi   bisa   saja   tidak   menggunakan
layanan dari service provider yang sama dengan koneksi Internet di lokasi lainnya.
     Peningkatan keamanan data
Data yang    dikirimkan  akan  terlindungi  sehingga  tidak dapat dicuri  oleh  pihak lain
karena data yang ditransmisikan melalui VPN melalui proses enkripsi.
   Mengurangi biaya operasional
Dengan menggunakan VPN, setiap lokasi hanya perlu memelihara satu buah koneksi
Internet   untuk   seluruh   kebutuhannya,   baik   kebutuhan   koneksi   Internet   maupun
kebutuhan koneksi internal organisasi.
   Menyederhanakan Topologi jaringan

Pada   dasarnya,  VPN   adalah   perkembangan   dari  network   tunneling.   Dengan  tunneling,   dua
kelompok jaringan komputer yang terpisah oleh satu atau lebih kelompok jaringan komputer
diantaranya dapat disatukan, sehingga seolah-olah kedua kelompok jaringan komputer tersebut
tidak terpisah. Hal ini dapat dilakukan dengan melakukan enkapsulasi terhadap paket jaringan
yang dikirimkan. Tunneling ini bersifat transparan bagi pengguna jaringan komputer di kedua
sisi kelompok jaringan komputer. Hanya router di kedua sisi kelompok jaringan komputer yang
melakukan proses enkapsulasi yang mengetahui adanya tunnel tersebut. Imbal baik dari proses
tunneling adalah Maximum Transfer Unit (MTU) setiap paket yang dikirim menjadi lebih kecil,
karena diperlukan ruang tambahan untuk menambahkan header IP hasil enkapsulasi paket yang
dikirimkan.   Berkurangnya   MTU   dapat   menyebabkan   berkurangnya   kecepatan   transfer   data
antara dua  host  yang sedang berkomunikasi.  Salah satu implementasi dari  tunneling  adalah
mobile IP. Dengan mempergunakan mobile IP, seorang pengguna dapat selalu mempergunakan
alamat IP yang dia miliki dimanapun pengguna tersebut berada. Implementasi lainnya adalah
dengan menambahkan proses kompresi data yang akan dikirimkan melalui tunnel yang sudah
dibuat.   Dengan   cara   ini,   makan   dengan   ukuran  bandwidth  yang   sama,   besar   data   yang
dikirimkan dapat lebih besar, sehingga meningkatkan kecepatan transfer data.
Seluruh sifat dasar dari network tunneling dimiliki oleh VPN, ditambah dengan proses enkripsi
dan dekripsi. Dengan menggunakan VPN, seluruh data yang dikirimkan oleh sebuah pengguna
jaringan  komputer  di  sebuah  kelompok  jaringan  komputer  ke  kelompok  jaringan  komputer
lainnya yang terhubung dengan VPN akan melalui proses enkripsi, sehingga tidak dapat dibaca
oleh pihak-pihak lain yang berada pada jalur pengiriman data. Pada sisi penerima data, secara
otomatis, data akan melalui proses dekripsi sebelum disampaikan ke pihak penerima. Sama
dengan  tunneling,  proses enkripsi dan dekripsi data terjadi secara transparan tanpa diketahui
oleh   pengirim   maupun   penerima.   VPN   dapat   mempergunakan   berbagai   macam   algoritma
enkripsi, baik itu yang bertipe symmetric-key-encryption maupun public-key-encryption. Kunci
dari seluruh penggunaan VPN adalah pada proses enkripsi dan dekripsi data, dan oleh karena
itu, pemilihan algoritma enkripsi menjadi sangat penting dalam implementasi VPN.
Selain untuk menghubungkan dua atau lebih lokasi kantor cabang, VPN juga banyak digunakan
untuk mengakomodasi kebutuhan pekerja yang bekerja di luar kantor untuk melakukan akses ke
sumber   daya   yang   tersedia   pada   jaringan   internal   kantor.   Hal   ini   dapat   dilakukan   dengan
menganggap komputer yang digunakan oleh seorang pekerja yang berada di luar kantor sebagai
kantor   cabang   lain   yang   sedang   melakukan   koneksi.   Cara   ini   sangat   mirip   dengan   konsep
mobile IP  yang sudah dijelaskan diatas, perbedaannya selain mempergunakan alamat IP yang
dia miliki dimanapun dia berada, data yang dikirimkan akan selalu ter-enkripsi. Dengan cara ini,
seorang   pekerja   yang   sedang   berada   di   luar   kantor   dapat   dengan   mudah   dan   aman
mempergunakan fasilitas yang ada di jaringan komputer kantornya, asalkan yang bersangkutan
dapat terhubung dengan Internet.
Kelemahan utama dari VPN adalah tidak adanya sebuah standard baku yang dapat diikuti oleh
semua   pihak   yang   berkepentingan.  Akibatnya   ada   banyak   implementasi   VPN   yang   dapat
digunakan,   tapi   antara   satu   implementasi   dengan   implementasi   lainnya   tidak   dapat   saling
berhubungan. Oleh karena itu apabila sebuah organisasi memilih untuk mempergunakan sebuah
implementasi VPN pada sebuah router, maka seluruh router yang dimiliki organisasi tersebut
  yang akan digunakan dalam jaringan VPN, harus mempergunakan implementasi VPN yang
sama.   Selain   itu   jika   layanan   VPN   akan   diberikan   kepada   para   pengguna   yang   sering
berpergian, maka pada setiap host yang digunakan oleh pengguna tersebut juga harus di-install
aplikasi   VPN   yang   sesuai.  Selain   itu,   karena   harus   melalui   proses   enkripsi   dan   dekripsi,
sehingga waktu yang dibutuhkan untuk melakukan transmisi bertambah, maka kemungkinan
VPN tidak cocok untuk digunakan dalam mengirimkan data yang bersifat interaktif, seperti
tranmisi suara ataupun transmisi video.

–  Layer 7
Lapisan paling atas dari jaringan komputer adalah lapisan aplikasi. Oleh karena itu, keamanan
sebuah sistem jaringan komputer tidak terlepas dari keamanan aplikasi yang menggunakan jaringan
komputer tersebut, baik itu keamanan data yang dikirimkan dan diterima oleh sebuah aplikasi, maupun
keamanan   terhadap   aplikasi   jaringan   komputer   tersebut.   Metode-metode   yang   digunakan   dalam
pengamanan aplikasi tersebut antara lain adalah:

–  SSL
Secure Socket Layer (SSL) adalah sebuah protokol yang bekerja tepat di bawah sebuah aplikasi
jaringan komputer. Protokol ini menjamin keamanan data yang dikirimkan satu  host  dengan
host  lainnya dan juga memberikan metode otentikasi, terutama untuk melakukan otentikasi
terhadap  server  yang   dihubungi.   Untuk   keamanan   data,   SSL  menjamin   bahwa   data   yang
dikirimkan tidak dapat dicuri dan diubah oleh pihak lain. Selain itu, SSL juga  melindungi
pengguna dari pesan palsu yang mungkin dikirimkan oleh pihak lain.
Tahapan-tahapan yang harus dilalui dalam menggunakan SSL adalah :
1. Negosiasi algoritma yang akan digunakan kedua-belah pihak.
2. Otentikasi menggunakan Public Key Encryption atau Sertifikat elektronik.
3. Komunikasi data dengan menggunakan Symmetric Key Encryption.
Pada   tahap   negosiasi   algoritma   yang   akan   digunakan,   pilihan-pilihan   algoritma   yang   bisa
digunakan adalah :
   Public Key Encryption : RSA, Diffie-Helman, DSA (Digital Signature Algorithm) atau
Fortezza
   Symmetric   Key   Encryption  :   RC2,   RC4,   IDEA   (International   Data   Encryption
Algorithm), DES (Data Encryption Standard), Triple DES atau AES
   Untuk fungsi hash 1 arah : MD5 (Message-Digest algorithm 5) atau SHA (Secure Hash
Algorithm)
aplikasi yang banyak menggunakan SSL adalah aplikasi perbankan berbasiskan web.
Perkembangan   lanjutan   dari   SSL  adalah   TLS,   kepanjangan   dari  Transport   Layer   Security.
Kelebihan-kelebihan yang dimiliki oleh TLS adalah :
   Pemberian   nomor   pada   semua   data   dan   menggunakan   nomor   urut   pada  Message
Authentication Code (MAC)
   Message Digest hanya dapat dipergunakan dengan kunci yang tepat.
   Perlindungan terhadap  beberapa serangan yang  sudah diketahui (seperti  Man in the
Middle Attack)
   Pihak   yang   menghentikan   koneksi,   mengirimkan   resume   dari   seluruh   data   yang
dipertukarkan oleh kedua belah pihak.
   Membagi data yang dikirimkan menjadi dua bagian, lalu menjalankan fungsi hash yang
berbeda pada kedua bagian data.
Pada implementasinya banyak aplikasi di sisi server dapat memfasilitasi koneksi biasa  ataupun
koneksi dengan TLS, tergantung dengan kemampuan klien yang melakukan koneksi. Apabila
klien dapat melakukan koneksi dengan TLS maka data yang dikirimkan akan melalui proses
enkripsi.   Sebaliknya,     apabila     klien   tidak   memiliki   kemampuan   TLS,   maka   data   akan
  dikirimkan dalam format plaintext.

–  Application Firewall
Selain permasalahan keamanan transaksi data, yang perlu diperhatikan pada lapisan ini adalah
aplikasi itu sendiri. Sebuah aplikasi jaringan komputer yang terbuka untuk menerima koneksi
dari  pihak   lain   dapat   memiliki   kelemahan   yang   dapat   dipergunakan   oleh   pihak   yang   tidak
bertanggung jawab. Sebuah kelemahan pada sebuah aplikasi dapat mengancam keamanan host
yang   menjalankan   aplikasi   tersebut   juga  host-host  lain   yang   berada   pada   sistem   jaringan
komputer yang sama.
Dengan semakin berkembangnya virus dan worm yang menyerang kelemahan-kelemahan yang
ada pada aplikasi jaringan komputer, maka diperlukan keamanan lebih pada lapisan ini. Untuk
melindungi aplikasi-aplikasi jaringan komputer yang ada, maka perlu dipastikan bahwa semua
data   yang   diterima   oleh  aplikasi   tersebut   dari  pihak  lain   adalah  data   yang   valid   dan   tidak
berbahaya.
Sebuah  Application Firewall  adalah sebuah sistem yang akan memeriksa seluruh data yang
akan diterima oleh sebuah aplikasi jaringan komputer. Paket-paket data yang diterima dari pihak
lain akan disatukan untuk kemudian diperiksa apakah data yang dikirimkan berbahaya atau
tidak. Apabila ditemukan data yang berbahaya untuk sebuah aplikasi, maka data tersebut akan
dibuang, sehingga tidak membahayakan sistem jaringan komputer secara keseluruhan.
Pada umumnya  Application Firewall  diletakkan pada setiap  host  untuk melindungi aplikasi
jaringan   komputer   yang   ada   pada  host  tersebut.   Kekurangan   dari   sistem   ini   adalah
diperlukannya   sumber   daya   komputasi   yang   sangat   besar   untuk   menyatukan   kemudian
memeriksa seluruh paket yang diterima oleh sebuah host. Selain itu, dengan adanya sistem ini,
maka  waktu  yang  dibutuhkan agar sebuah  data  dapat sampai  ke aplikasi  yang  dituju akan
semakin lama, karena harus melalui pemeriksaan terlebih dahulu. Oleh karena itu, sistem ini
tidak   cocok   untuk   di-implementasikan   pada   sistem   yang   mengharuskan   data   dikirim   dan
diterima secara real-time.
Bentuk lain dari Application Firewall adalah Network Proxy. Tugas sebuah proxy adalah untuk
mewakili klien-klien yang ada untuk melakukan hubungan dengan server-server tujuan. Bagi
klien yang akan melakukan koneksi ke sebuah server, proxy adalah server tersebut. Sedangkan
bagi server yang dihubungi,  proxy  adalah klien-nya. Dengan menggunakan  proxy  akan lebih
sulit bagi pihak luar untuk melakukan serangan ke jaringan komputer internal, karena pihak
tersebut hanya dapat berhubungan dengan  proxy  tersebut, sehingga pihak luar tersebut tidak
dapat mengetahui lokasi sebenarnya dari server yang dihubunginya. Selain itu sebuah  proxy
juga   dapat   memiliki   sederetan  access-list  yang   akan   mengatur   hak   akses   klien   ke   server.
Network Proxy juga dapat difungsikan terbalik, menjadi sebuah reverse proxy. Dengan reverse
proxy  tujuan   utamanya   adalah   untuk   melindungi   server-server   di   jaringan   internal.   Karena
semua request dari klien eksternal akan diterima oleh reverse proxy, maka paket-paket request
yang berbahaya bagi server akan tersaring dan tidak berbahaya bagi server internal organisasi.
Kelemahan dari proxy adalah antara klien dan server tidak memiliki hubungan langsung. Oleh
karena   itu,  proxy  tidak   dapat   digunakan   pada   protokol-protokol   ataupun   aplikasi   yang
membutuhkan interaksi langsung antara klien dan server.

0 komentar:

Posting Komentar



 

**BERITA TERKINI**