diktat membuat desain keamanan jaringan
TRANSCRIPT
-
8/17/2019 Diktat Membuat Desain Keamanan Jaringan
1/22
BAB I
KEAMANAN JARINGAN
A. Konsep Keamanan Jaringan
Dalam masyarakat berbasis informasi danpengetahuan informasi adalah komoditi yang sangat penting danaset paling berharga. Kemampuan untuk mendapatkan,mengakses,menyediakan, menggunakan, dan menganalisis informasi secaracepat dan akurat.
Denisi Informasi :1. Dalam bidang teknologi informasi dan komunikasi, informasi adalah
hasil dari pemrosesan, manipulasi dan pengaturan data, yaitusekumpulan fakta.
2. Dalam bidang Keamanan Informasi, informasi diartikansebagai sebuah aset merupakan sesuatu yang memiliki nilai dan
karenanya harus dilindungi. Denisi ini mengikuti I!"I#$ 2%&&1.
B. Aspek Keamanan Jaringanegi'segi keamanan didenisikan dari kelima point ini.
1. Confdentiality (ensyaratkan bah)a informasi *data+ hanya bisa
diakses oleh pihak yang memiliki )e)enang.
2. Integrity (ensyaratkan bah)a informasi hanya dapat diubah oleh
pihak yang memiliki )e)enang.
. A!aila"ility (ensyaratkan bah)a informasi tersedia untuk pihak yangmemiliki )e)enang ketika dibutuhkan.
#. A$t%enti&ation (ensyaratkan bah)a pengirim suatu informasi dapat
diidentikasi dengan benar dan ada aminan bah)a identitas yang
didapat tidak palsu.
'. Nonrep$diation (ensyaratkan bah)a baik pengirim maupun penerima
informasi tidak dapat menyangkal pengiriman dan penerimaan pesan.
Aspek keamanan informasi
-arnkel and paord mengemukakan bah)a keamanankomputer *computer security+ melingkupi empat aspek, yaitu :
1
(K ) Mem"$at *esain Keamanan Jaringan
K* 1 ) Menent$kan +enis,+enis keamanan +aringan
-$+$an ) 1. (isa dapat mengeta%$i konsep keamanan
+aringan
-
8/17/2019 Diktat Membuat Desain Keamanan Jaringan
2/22
1. /ri0acy2. Integrity. Authentication. a0ailability.
3erdasar spesikasi dari !I, aspek keamanan komputer meliputi :1. Access $ontrol, /erlindungan terhadap pemakaian tak legal2. Authentication, (enyediakan aminan identitas seseorang. $ondentiality *kerahasiaan+, /erlindungan terhadap
pengungkapan identitas tak legal. Integrity, (elindungi dari pengubahan data yang tak legal4. 5on'repudiation *penyangkalan+, (elindungi terhadap
penolakan komunikasi yang sudah pernah dilakukan.
/endapat yang lain mengatakan, Aspek keamanan informasiadalah aspek'aspek yang dilingkupi dan melingkupi keamananinformasi dalam sebuah sistem informasi. Aspek'aspek ini adalah :1. /ri0acy *pri0asi"kerahasiaan+, menaga kerahasiaan informasi dari
semua pihak, kecuali yang memiliki ke)enangan62. Integrity *integritas+, meyakinkan bah)a data tidak mengalami
perubahan oleh yang tidak berhak atau oleh suatu hal lain yangtidak diketahui *misalnya buruknya transmisi data+6
. Authentication *otentikasi"identikasi+, pengecekan terhadapidentitas suatu entitas, bisa berupa orang, kartu kredit ataumesin6ignature, Digital ignature *tanda tangan+,mengesahkan suatu informasi menadi satu kesatuan di ba)ah
suatu otoritas6. Authori7ation *otorisasi+, pemberian hak"ke)enangan kepada
entitas lain di dalam sistem64. 8alidation *0alidasi+, pengecekan keabsahan suatu otorisasi69. Access $ontrol *kontrol akses+, pembatasan akses terhadap entitas
di dalam sistem6%. $erticate *sertikasi+, pengesahan"pemberian kuasa suatu
informasi kepada entitas yang tepercaya6. ;ime stamp *pencatatan )aktu+, mencatat )aktu pembuatan
atau keberadaan suatu informasi di dalam sistem6
-
8/17/2019 Diktat Membuat Desain Keamanan Jaringan
3/22
1. =ecall *penarikan+, penarikan kembali suatu sertikat atauotoritas.
Konsep #RKonsep pengaturan = berikut ini adalah cara paling esien
untuk memelihara dan mengontrol nilai informasi. = keamananinformasi adalah =ight Information *Informasi yang benar+, =ight/eople *!rang yang tepat+, =ight ;ime *>aktu yang tepat+dan =ight ?orm *3entuk yang tepat+.
1. =ight Information mengacu pada ketepatan dankelengkapan informasi, yang menamin integritas informasi.
2. =ight /eople berarti informasi tersedia hanya bagi indi0iduyang berhak, yang menaminkerahasiaan.
. =ight ;ime mengacu pada aksesibilitas informasi danpenggunaannya atas permintaanentitas yang berhak.
. =ight ?orm mengacu pada penyediaan informasi dalam formatyang tepat.
3erikut ini adalah piramida metodologi keamanan. ecarasingkat pada piramida di ba)ah ini telah tergambar unsur'unsurapa saa yang dibutuhkan dalam membangun sebuah sistemkeamanan secara utuh
!rang yang ;erlibat1. Administrator ystem *ysAdmin+, 5et)ork Admin, stakeholder2. /hreaker
!rang yang mengetahui sistem telekomunikasi danmemanfaatkan kelemahan sistem pengamanan telepon
. @acker
3
-
8/17/2019 Diktat Membuat Desain Keamanan Jaringan
4/22
!rang yang mempelaari sistem yang biasanya sukardimengerti untuk kemudian mengelolanya dan men'share hasiluicoba yang dilakukannya.@acker tidak merusak sistem
@ack : ;indakan untuk menebol komputer orang lain namun tidak
merugikan pihak korban, malah dengan tuuan baik. $ontoh: i A
menerobos sistem komputer si 3 dengan tuuan inginmemberitahukan bah)a komputer si 3 sedang terkena 0irus, atau
ingin membetulkan program yang error pada komputer si 3.
@acker : !rang yang melakukan tindakan hack
. $raker!rang yang mempelaari sistem dengan maksud ahat (unculkarena sifat dasar manusia *salah satunya merusak+
$rack : Kebalikan dari @ack, yakni tindakan untuk menebol
komputer orang lain dengan tuuan yang ahat. $ontoh dari crack
ini banyak sekali seperti: 0irus, )orm, spy)are, ad)are, keylogger
dan sebagainya.$racker : !rang yang melakukan tindakan crack
C. Jenis Keamanan Jaringan
Ancaman Baringan komputer dilihat dari 3#5;CK5A :1. /isik 0p%ysi&al
/encurian perangkat keras komputer atau perangkat aringan
3encana alam *banir, kebakaran, dll+ (aor cause
Kerusakan pada komputer dan perangkat komunikasi aringan2. ogik 0logi&al
Kerusakan pada sistem operasi atau aplikasi
8irus
niEng, dan lain lain seperti tersebut di ba)ah ini
Ancaman Baringan komputer dilihat dari B#5I'B#5I5A Benis'enis erangan Keamanan Informasi yang menadi tren dan arahKeamanan Informasi:
1. 3ro"e/robe atau yang biasa disebut probing adalah usaha untukmengakses sistem dan mendapatkan informasi tentang sistem
2. (&ancan adalah probing dalam umlah besar menggunakan suatu tool
. 3a&ket (ni4erAdalah sebuah program yan menangkap " mngcaptur datadari paket yang le)at diaringan. *username, pass)ord, daninformasi penting lainnya+
. *enial,o4,(er!i&e erangan Denial'of'ser0ice *Do+ mencegah pengguna yang sahdari penggunaan layanan ketika pelaku mendapatkan akses tanpai7in ke mesin atau data. Ini teradi karena pelaku membaniriF
4
-
8/17/2019 Diktat Membuat Desain Keamanan Jaringan
5/22
aringan dengan 0olume data yang besar atau sengaamenghabiskan sumber daya yang langka atau terbatas, sepertiprocess control blocks atau koneksi aringan yang tertunda. Ataumereka mengganggu komponen sik aringan atau memanipulasidata yang sedang dikirimkan, termasuk data terenkripsi.
4. Mali&io$s &ode 0Kode Ber"a%aya(alicious code adalah program yang menyebabkan kerusakansistem ketika dialankan.8irus, )orm dan ;roan horse merupakan enis'enis malicious code.a. 5ir$s komp$ter
uatu program yang dapat menginfeksi program lain dengan
memodikasinya, termasuk kemungkinan untuk bere0olusi
dengan menggandakan dirinya sendiri.
$ara penyebaran 0irus memerlukan campur tangan pengguna
dalam penyebarannya, misalnya dalam proses do)nload, klik
ganda pada le yang terinfeksi, dan lain'lain.b. 6orm
uatu program yang berpindah dari satu komputer ke komputer
yang lain tanpa mengikatkan dirinya *attach itselft+ pada sistem
operasi komputer
$ara penyebaran )orms dapat secara otomatis menyebar
dengan tanpa atau sedikit campur tangan dari penggunannya.
(isalnya dengan satu kali klik pada le lampiran e'mail yang
terinfeksi )orms, maka satu atau beberapa sistem yang
terkoneksi melalui e'mail tersebut akan segera terinfeksi.
c. -ro+an %orse/rogram yang sepertinya bermanfaat dan"atau tidakberbahaya tetapi sesungguhnya memiliki fungsi merusakseperti unloading hidden program atau command scriptsyang membuat sistem rentan gangguan.
;roan tidak dapat menyebar secepat 0irus karena ;roan tidak
membuat copy dari dirinya sendiri secara otomatis.
;roan dikemas dalam bentuk sebuah program yang menarik,
namundidalamnya tersembunya fungsi lain untuk melakukan
perusakan.
$ontoh 0irus DGoader'G dating dari attachment email dandianggap sebagai suatu update dari (icrosoft untuk system
operasi >indo)s H/
9. 3%is%ing ;indakan pemalsuan terhadap data " identitas resmi yangdilakukan untuk hal yangberkaitan dengan pemanfaatannya. /hising dia)ali denganmencuri informasi personalmelalui Internet. /hishing telah menadi akti0itas kriminalyang banyak dilakukan di
Internet.%. *e4a&e
5
-
8/17/2019 Diktat Membuat Desain Keamanan Jaringan
6/22
perubahan terhadap tampilan suatu )ebsite secara illegal.. Carding
pencurian data terhadap identitas perbankan seseorang,misalnya pencurian nomor kartu kredit, digunakan untukmemanfaatkan saldo yang terdapat pada rekening tersebut untuk
keperluan belana online.
*. Komponen yang Mem"erikan Andil dalam Keamanan Jaringan
Keamanan aringan adalah proses untuk melindungi sistem dalam aringan dengan mencegah dan mendeteksi penggunaan yang tidakberhak dalam aringan.
Cntuk mengendalikan keamanan, yang harus diperhatikan adalahkomponen'komponen yang memberikan andil dalam resiko * riskmanagement +, komponen tersebut adalah :
1. Assets 0 Aset
• @ard)are
• oft)are
• Dokumentasi
• Data
• Gingkungan
• (anusia2. -%reats 0 an&aman
• /emakai
• ;eroris
• Kecelakaan
• $rackers
• /enahat kriminal
• Intel luar negeri. 5$lnera"ilities 0 kelema%an
• oft)are bugs
• @ard)are bugs
• =adiasi
•
Keteledoran• (edia penyimpanan
Csaha untuk mengatasi masalah tersebut adalah dengan melakukan :
• Csaha untuk mengurangi ;hreats
• Csaha untuk mengurangi 8ulnerabilities
• Csaha untuk mengurangi impact
• (endeteksi keadian yang tidak bersahabat * hostile e0ent +
• =eco0er * pemulihan +
E. Ke+a%atan Komp$ter )
(enurut Da0id Ico0e, berdasarkan lubang keamanan, keamanandapat diklasikasikan menadi , yaitu :
6
-
8/17/2019 Diktat Membuat Desain Keamanan Jaringan
7/22
1. Keamanan yang bersifat sik * physical security +, termasuk dalamkeamanan ini adalah akses orang ke gedung, peralatan dan media yang digunakan
2. Keamanan yang berhubungan dengan orang * personel +, termasuk dalam hal ini adalah identikasi dan prol resiko orang yang
mempunyai akses (pekerja).. Keamanan dari data dan media serta teknik komunikasi, termasuk
dalam kelas ini adalah kelemahan yang digunakan untuk mengeloladata. Contoh seorang kriminal menjalankan virus.
. Keamanan dalam operasi, yang termasuk dalam kelas ini adalah prosedur yang digunakan untuk mengatur dan mengelola sistemkeamanan, dan juga termasuk prosedur setelah penyerangan.
/. ($m"er$"ang Keamanan J7aringan>alaupun sebuah sistem aringan sudah dirancang memiliki
perangkat pengamanan, dalam operasi masalah keamanan harusselalu di monitor, hal ini di sebabkan karena :
' Ditemukannya lubang keamanan' Kesalahan kongurasi' /enambahan perangkat baruAdapun sumber lubang keamanan dapat teradi karena beberapa
hal :1. alah disain2. Implementasi yang kurang baik. alah kongurasi. /enggunaan program penyerang,
' /capture, berjalan pada sistem operasi Unix ' niEt, berjalan pada sistem operasi Unix ' ;cpdump, berjalan pada sistem operasi Unix ' )ebH=ay, berjalan pada sistem operasi indos
8JI K9M3E-EN(I
Ba)ablah pertanyaan di ba)ah ini dengan memilih salah satu a)aban
yang paling benar
1. Segikeamananjaringan yang mensyaratkanbahwainformasi(data) hanyabisadiaksesolehpihak yang
memilikiwewenangdisebut ….
a. Confidentialityb. Integrityc. !ailabili tyd. uthenticatione. "onrepudiation
#. Segikeamananjaringan yang mensyaratkanbahwainformasihanyadapatdiubaholehpihak yang
memilikiwewenangdisebut ….a. Confidentialityb. Integrityc. !ailabili tyd. uthenticatione. "onrepudiation
$. Segikeamananjaringan yang mensyaratkanbahwainformasitersediauntukpihak yang
memilikiwewenangketikadibutuhkandisebut ….
7
-
8/17/2019 Diktat Membuat Desain Keamanan Jaringan
8/22
a. Confidentialityb. Integrityc. !ailabili tyd. uthenticatione. "onrepudiation
%. &rang yang melakukantindakanuntukmenjebolkomputer orang lainnamuntidakmerugikanpihakkorban' malahdengantujuanbaik' disebut ….a. dministrator systemb. ackerc. Crackerd. hreakere. *ser
+. &rang yang mengetahuisistem telekomunikasidan memanfaatkan kelemahan
sistempengamanan' disebut ….a. dministrator systemb. ackerc. Crackerd. hreakere. *ser
,. Suatu program yang berpindahdarisatukomputerkekomputer yang lain tanpamengikatkandirinya
(attach itselft) padasistemoperasi komputer'
carapenyebarannyasecaraotomatistanpacampurtangandaripenggunannya' disebut ….
a. -alware
b. Software
c. irus
d. /orm
e. 0rojan horse
. Suatu program yang sepertinya bermanfaatdan2atautidakberbahayatetapisesungguhnya
memilikifungsimerusak seperti unloading hidden program atau command scripts yang
membuatsistemrentangangguan' disebut ….
a. -alware
b. Software
c. irus
d. /orm
e. 0rojan horse3. erubahanterhadaptampilansuatu website secara illegal' disebut ….
a. Carding
b. hisihingc. 4efaced. acket snifere. 4enial of Ser!ice
5. Sebuah program yan menangkap data daripaket yang lewat dijaringan. (username' password'
daninformasipentinglainnya)disebut ….a. Cardingb. hisihingc. 4efaced. acket snifere. 4enial of Ser!ice
16. 0indakan pemalsuan terhadap data atauidentitas resmi yang dilakukan untuk hal yangberkaitan dengan pemanfaatannya' disebut ….
8
-
8/17/2019 Diktat Membuat Desain Keamanan Jaringan
9/22
a. Cardingb. hisihingc. 4efaced. acket snifere. 4enial of Ser!ice
BAB II
/IRE6A
A. 3engertian /ireall
?ire)all adalah kombinasi perangkat keras dan perangkat lunak yangdirancang untuk melakukan pemeriksaan terhadap aliran lalu lintasdari aringan.
Aplikasi /enghambat yang dibangun untuk memisahkan aringan pri0at dengan aringan publik *Internet+ Aplikasidiimplementasikan pada : soft)are, hard)are, =outer Access,ataupun er0er Access atau beberapa =outer Acess ataupun
beberapa er0er Accessuatu peralatan atau aplikasi pada sistem operasi yang
dibutuhkan oleh aringan komputer untuk melindungi intergritasdata"sistem aringan dari serangan'serangan pihak yang tidakbertanggung a)ab.
Cara Ker+a /ireall1. (elakukan lterisasi terhadap paket'paket yang mele)atinya.
?ire)all tersusun dari aturan'aturan yang diterapkan baikterhadap hard)are, soft)are
ataupun sistem itu sendiri dengan tuuan untuk melindungi aringan, baik dengan melakukan lterisasi, membatasi,
9
(K ) Mem"$at *esain Keamanan Jarngan
K* 2 ) Memasang /ireall
-$+$an ) 1. (isa dapat men+elaskan pengertian freall
2. (isa dapat mengerti dan mema%ami 4$ngsi freall
. (isa dapat mensetting freall se&ara %ardare
ma$p$n so4tare
-
8/17/2019 Diktat Membuat Desain Keamanan Jaringan
10/22
ataupun menolak suatu permintaan koneksi dari aringan luarlainnya seperti internet.
2. ?ire)all dapat bekera pada beberapa lapisan aringan. Gapisantertinggi tempatnya bekera adalah lapisan aplikasi dan lapisanterendah berada pada lapisan data link
B. Jenis /ireall
1. /acket ?iltering -ate)ay *=outer, $isco I!, dll.+ 'Jtateless
/acket ltering gate)ay dapat diartikan sebagai re)all yang
bertugas melakukan lterisasi terhadap paket'paket yang datang
dari luar aringan yang dilindunginya. (emperbolehkan *grant+
atau membatalkan *deny+ terhadap suatu access, dengan
beberapa 0ariabel:
ource Address
Destination Address
/rotocol *;$/"CD/+
ource /ort number
Destination /ort number2. Application Ge0el -ate)ay " /roy'based *5AI -auntled, Aent
=aptor, dll.+Adalah gate)ay yang bekera pada le0el aplikasi pada layer!I, (odel re)all ini uga dapat disebut /roy ?ire)all.
(ekanismenya tidak hanya berdasarkan sumber, tuuandan atribut paket, tapi bisa mencapai isi * content + pakettersebut. 3ila kita melihat dari sisilayer ;$/"I/, re)all enisini akan melakukan lterisasi pada layer aplikasi *Application Gayer +.
. $ircuit Ge0el -ate)ay(odel re)all ini bekera pada bagian Gapisan transport darimodel referensi ;$/"I/. ?ire)all ini akan melakukan penga)asanterhadap a)al hubungan ;$/ yang biasa disebut sebagai ;$/
@andshaking, yaitu proses untuk menentukan apakah sesihubungan tersebut diperbolehkan atau tidak. 3entuknyahampir sama dengan Application Gayer -ate)ay , hanya saabagian yang dilter terdapat ada lapisan yang berbeda, yaituberada pada layer ;ransport.
. tatefull (ulti Gayer Inspection ?ire)all *$heckpoint ?>'1, /IH,dll.+
(odel re)all ini merupakan penggabungan dari ketiga re)all
sebelumnya. ?ire)all enis ini akan bekera pad lapisanAplikasi, ;ransport dan Internet. Dengan penggabungan ketiga
10
-
8/17/2019 Diktat Membuat Desain Keamanan Jaringan
11/22
model re)all yaitu /acket ?iltering -ate)ay, Application Gayer-ate)ay dan $ircuitGe0el -ate)ay, mungkin dapat dikatakan re)all enis inimerupakan re)all yang ,memberikan turterbanyak dan memeberikan tingkat keamanan yang paling
tinggi.
C. /$ngsi /ireall1. (enaga akses *proses masuk atau keluar+ pada suatu system
aringan dari orang yang tidak bertanggung a)ab2. (emeriksa aliran dari lalu lintas aringan pada setiap lokasi
berdasarkan paket data sesuai dengan criteria.
8JI K9M3E-EN(I
Ba)ablah pertanyaan di ba)ah ini dengan memilih salah satu a)abanyang paling benar
1. encurian data terhadap identitas perbankan seseorang' misalnya pencurian nomor
kartukredit' digunakanuntukmemanfaatkansaldo yang
terdapatpadarekeningtersebutuntukkeperluanbelanja onlinedisebut ….a. Cardingb. hisihingc. 4efaced. acket snifere. 4enial of Ser!ice
#. 7erikutiniadalahpiramidametodologikeamanan le!el 1' kecuali ….a. database securityb. data securityc. computer securityd. de!ice securitye. physical security
$. 8onseppengaturan %9' yang mengacupada ketepatan dan kelengkapan informasi' yang
menjaminintegritasinformasi' dinamakan ….a. 9ight peopleb. 9ight timec. 9ight formd. 9ight informatione. 9ight way
%. 8ombinasiperangkatkerasdanperangkatlunak yangdirancanguntukmelakukanpemeriksaanterhadapaliranlalulintasdarijaringanadalah ….a. "0b. -as:ueradec. ;atewayd. 4porte. paket yang datangdariluarjaringan yang
dilindunginya' memperbolehkan (grant) ataumembatalkan (deny) terhadapsuatu access' adalah
….a. Statefullmulti layer inspection firewall
11
-
8/17/2019 Diktat Membuat Desain Keamanan Jaringan
12/22
b. Circuit le!el gatewayc. pplication le!el gatewayd. acket filtering gatewaye. acket tracer
,. =enis firewall yang bekerja pada le!el aplikasipada layer &SI' model firewall inijuga dapatdisebut
ro?y paket yang masukakan di buang'
menggunakan ….
a. 49&b. CC@0c. >dport ## Aj 49&d. iptables A I"*0 Ap tcp > >dport #1 Aj 49&e. iptables A I"*0 Ap tcp > >dport #1 Aj CC@0
16. 7erikutiniadalahperintah yang benaruntukmemblokirnomorip yang masukadalah ….a. iptables A &*0*0 Ad 15#.1,3.16.+ Aj CC@0b. iptables A &*0*0 Ad 15#.1,3.16.+ Aj CC@0c. iptables A I"*0 Ad 15#.1,3.16.+ Aj CC@0d. iptables A &*0*0 Ad 15#.1,3.16.+ Aj CC@0e. iptables A &*0*0 Ad 15#.1,3.16.+ Aj CC@0
12
-
8/17/2019 Diktat Membuat Desain Keamanan Jaringan
13/22
BAB III
I*EN-I/IKA(I 3ENGEN*AIAN JARINGAN
A. Aplikasi pengendalian +aringan
Aplikasi pengendalian aringan dengan menggunakan re)alldapat diimplementasikan dengan menerapkan semumlah aturan*chains+ pada topologi yang sudah ada. Dalam hal pengendalian aringan dengan menggunakan iptables, ada dua hal yang harusdiperhatikan yaitu:
1. Koneksi paket yang menerapkan re)all yang digunakan2. Konsep re)all yang diterapkan
Dengan dua hal ini diharapkan iptables sebagai aturan yangmendenisikan re)all dapat mengenali apakah koneksi yang teradiberupa koneksi baru *5#>+, koneksi yang telah ada *#;A3GI@+,koneksi yang memiliki relasi dengan koneksi lainnya *=#GA;#D+ ataukoneksi yang tidak 0alid *I58AGID+. Keempat macam koneksi itulahyang membuat I/;3G# disebut tatefull /rotocol
Koneksi PaketKoneksi paket yang dalam proses pengirimannya dari pengirimkepada penerima harus melalui
aturan re)all, dapat dikelompokan kepada tiga kelompok koneksi,yaitu :1. Koneksi ;$/2. Koneksi I/. Koneksi CD/
1. Koneksi TCPebuah koneksi ;$/ dikenal sebagai koneksi yang bersifat$onnection !riented yang berarti sebelum melakukan pengirimandata, mesin'mesin tersebut akan melalui langkah caraberhubungan * ')ay handshake +.
2. Koneksi IPebuah frame yang diidentikasi menggunakan kelompok
13
(K ) Mem"$at *esain Keamanan Jaringan
K* ) Mengidentifkasi 3engendalian Jaringan yang diperl$kan
-$+$an ) 1. (isa dapat men+elaskan 3%ysi&al A&&ess Controls
2. (isa dapat men+elaskan dan mengeta%$i ogi&al
A&&ess Controls
. (isa dapat mengeta%$i dan men+elaskan tentang *ata
-
8/17/2019 Diktat Membuat Desain Keamanan Jaringan
14/22
protokol Internet *I/+ harus melalui aturan re)all yangdidenisikan menggunakan protokol I/ sebelum pakettersebut mendapat a)aban koneksi dari tuuan paket tersebut.alah satu paket yang merupakan kelompok protokol I/ adalahI$(/, yang sering digunakan sebagai aplikasi penguian koneksi
* link + antar host.3. Koneksi UDP3erbeda dengan koneksi ;$/, koneksi CD/ *-ambar 11.11+bersifat connectionless.ebuah mesin yang mengirimkan paketCD/ tidak akan mendeteksi kesalahan terhadap pengiriman pakettersebut. /aket CD/ tidak akan mengirimkan kembali paket'paket yang mengalami error. (odelpengiriman paket ini akan lebihesien pada koneksi broadcasting atau multicasting
Cntuk membangun sebuah re)all, yang harus kita ketahuipertama'tama adalah bagaimana sebuah paket diproses olehre)all, apakah paket'paket yang masuk akan di buang ( DROP ) atau diterima ( ACCEPT ), atau paket tersebut akanditeruskan ( FORWARD ) ke aringan yang lain. alah satu toolyang banyak digunakan untuk keperluan proses pada re)alladalah iptables. /rogram iptables adalah program administratifuntuk ?ilter /aket dan NAT ( Network Aress Trans!ation).Cntuk menalankan fungsinya, iptables dilengkapi dengan tabelmangle, nat dan lter .
NAT ("NAT an DNAT)
alah satu kelebihan I3-ABE( adalah untuk dapatmemfungsikan komputer kita menadi gate)ay menuu internet. ;eknisnya membutuhkan tabel lain pada I/;A3G# selain ketigatabel diatas, yaitu tabel NA- (NA- digunakan untuk mengubahalamat I/ pengirim * source I/ address +. 3iasanya "NAT bergunauntuk menadikan komputer sebagai gate)ay menuu ke internet.(isalnya komputer kita menggunakan alamat I/ 1
-
8/17/2019 Diktat Membuat Desain Keamanan Jaringan
15/22
B. 3engendalian Keamanan Jaringan
/ada dasarnya, tidak ada dua komputer atau aringan komputer
yang identik, sama kompleksitasnya dan memiliki kebutuhan
pengamanan yang sama. !leh sebab itu, implementasi controls *usaha
untuk memperkecil kemungkinan kegagalan keamanan+ dan
safeguards * mekanisme, kebiakan dan prosedur untuk melindungi
berbagai aset dari kemungkinan penyerangan+ tentunya sangat
ber0ariasi antara aringan komputer yang satu dengan aringan
komputer lainnya.
C. 3%ysi&al A&&ess Controls
Di sebagian besar organisasi, pengendalian akses sik ke suatu
gedung dan ke ruang manapun di dalam gedung tersebut dimanatersimpan mainframe atau ser0er terlihat sudah mencukupi.;etapi
yang patut untuk diperhatikan adalah kemungkinan'kemungkinan lain
seseorang dapat masuk melalui celah keamanan dari physical access
tersebut.(isalnya, pintu utama kita lengkapi dengan sistem
pengamanan berupa access door, tetapi ada endela yang masih dapat
dibobol. (asalah physical access untuk melindungi komputer dan
aringan komputer harus diberi perhatian lebih dibanding kita hanya
melindungi mesin photocopy dan mesin tik. Area yang harus
diperhatikan adalah:
1. =emote facilities. Akses sik ke net)ork node mana saa berarti
mengi7inkan akses ke seluruh aringan komputer. etiap node
mungkin saa membutuhkan physical access controls.2. Komponen sambungan komunikasi. (engidentikasi physical
access controls untuk cabling, micro)a0e to)ers, satellite dishes,
)iring cabinets dan komponen aringan komputer lainnya.. $ommon carrier. (emperhatikan access controls terhadap
peralatan, link dan fasilitas.
15
-
8/17/2019 Diktat Membuat Desain Keamanan Jaringan
16/22
. ?asilitas 5et)ork $ontrol $enter. (emperhatikan letak peralatan
aringan komputer yang digunakan untuk monitoring dan penguian
komponen aringan komputer.4. Information $enter. (emeriksa physical access controls dari semua
kantor yang dirancang untuk membantu user.9. Cser materials. (enganalisis mengenai penyimpanan manual,
disksdan soft)are serta physical access controls yang bagaimana
yang cocok untuk tempat penyimpanan material tersebut.%. /rinters. etiap shared printers membutuhkan physical access
controls untuk melindungi informasi yang dicetak oleh printer'
printer tersebut.*. ogi&al A&&ess Control
Gogical access controls, seperti pass)ord, berfungsi untuk
mengidentikasi dan mem0erikasi user serta membatasi aktitas dan
sumber daya user. Gogical access controls hampir sama pentingnya
dengan physical access controls.
Gogical access controls seharusnya:
1. (enyediakan proteksi yang selektif terhadap sumber daya
*sebagai contoh, menolak user A untuk mengakses database
milik user 3, tetapi mengi7inkan user A untuk mengakses
database milik user $+. Dalam kasus port dial'up ke komputer,
pengamanan terhadap port itu sendiri perlu mendapatkan
perhatian.2. (enyediakan kemampuan untuk mengi7inkan dan menolak
otorisasi terhadap seluruh akses dan tingkatan akses *fungsi
administratif+.. (engidentikasi dan mendokumentasikan setiap pelanggaran
akses dan percobaan pelanggaran akses.. (enyediakan kemudahan dalam mengelola kemampuan'
kemampuan tersebut.
4. (enyediakan pelaporan mengenai sumber daya apa saa yangdiproteksi dan enis'enis proteksinya serta user mana saa yang
dapat mengakses sumber daya apa.
Cntuk dapat memaksimalkan logical access
controlssecurityoEcer"administrator harus dapat:1. (engidentikasi sumber daya apa saa yang harus dilindungi.2. (engidentikasi setiap user dengan user ID yang uniLue.. (enyediakan autentikasi, sehingga sistem dapat melakukan
0erikasi bah)a user yang sedang log'in adalah memang
pemilik user ID tersebut. Cntuk meyakinkan proses 0erikasiyang akurat, sistem meminta user untuk membuktikan diri
16
-
8/17/2019 Diktat Membuat Desain Keamanan Jaringan
17/22
dengan:
o esuatu yang hanya diketahui oleh user yang bersangkutan,
seperti pass)ord.
o esuatu yang hanya dimiliki oleh user yang bersangkutan,
seperti cardkey.o esuatu yang hanya dapat dibuktikan oleh user yang
bersangkutan, seperti signature atau ngerprint.
E. *ata -ransmission 3rote&tion1. (embuat pendekatan otorisasi, sehingga pemilik dari setiap
sumber daya dapat menentukan siapa saa yang diperbolehkan
untuk mengakses sumber dayanya dan tata cara
pengaksesannya.
2. (erekam utilisasi sumber daya, menghitung dan memprediksiberbagai kemungkinan dan melaporkan informasi tersebut
kepada staf yang ber)enang.. egera bertindak untuk memperbaiki masalah'masalah yang
timbul dan mencegah kemungkinan teradi pengulangan
masalah yang sama.
Informasi yang ditransfer melalui saluran komunikasi harus dilindungi
dari passi0e *nonmodifying+ dan acti0e modifying+ intrusion. /hysical
access control yang baik terkadang cukup untuk menamin proteksiterhadap transmisi data. 5amun, ika informasi tersebut meninggalkan
gedung atau di'route melalui gedung yang terdiri dari banyak
pengguna *penye)a+, maka enkripsi adalah cara yang paling tepat
dan biaksana. ?ull encryption uga sangat penting untuk melindungi
data dari ancaman penggunaan net)ork analy7ers. $ara lain untuk
melindungi data dari kemungkinan tapping adalah dengan
menggunakan kabel serat optik *ber optic+ atau cabling melalui
pneumatic tubing yang akan menurunkan tekanan *pressure+ dan
membunyikan alarm apabila di'tap. Di dalam aringan komputer,
hanya dengan melindungi kabel belumlah cukup.Kita harus menaruh
perhatian uga pada dari mana kabel tersebut berasal dan ke mana
tuuan berikutnya. #lemen kunci dari pengendalian aringan komputer
uga terletak pada front'end processors, bridges, gate)ays, terminal
ser0ers, dial'back modems dan secure ltering connections antar link.
Kita tidak dapat meyakini bah)a seluruh elemen tersebut bekera
dengan baik hingga kita dapat menemukan hidden net)orks *aringan
komputer atau koneksi ke dunia luar yang mungkin kita tidak
mengetahuinya. /eter 3ro)ne, regional director of information
technology security ser0ices dari $oopers M Gybrand mengatakan
17
-
8/17/2019 Diktat Membuat Desain Keamanan Jaringan
18/22
bah)a ada empat faktor yang menadi masalah keamanan serius yang
akan dihadapi oleh net)ork manager , yaitu:1. #ndless net)orks.2. (ultiple path ke aringan komputer.. Gayering of net)orks. /ass)ord log'in yang bertingkat menadi
semakin sulit untuk dikelola.. (ultiple 0endor system and protocols. @al ini dapat menciptakan
pintu masuk yang tak terlihat pada hubungan antar sistem.
8JI K9M3E-EN(I
Ba)ablah pertanyaan di ba)ah ini dengan memilih salah satu a)aban
yang paling benar
1. Koneksi yang memiliki relasi dengan koneksi laninnya, menggunakan
perintah N.a. 5#>b. #;A3GI@c. =#GA;#Dd. I58AGIDe. I/;A3G#
2. Koneksi yang teradi berupa koneksi baru, menggunakan perintah N.a. 5#>b. #;A3GI@c. =#GA;#Dd. I58AGIDe. I/;A3G#
. Koneksi yang tidak 0alid, disebut N.a. 5#>b. #;A3GI@c. =#GA;#Dd. I58AGIDe. I/;A3G#
. Koneksi yang bersifat $onnection !riented yang berarti sebelum
melakukan pengiriman data, mesin'mesin tersebut akan melalui langkah cara berhubungan * ')ay handshake +, disebut N.
a. Koneksi ;$/b. Koneksi I/c. Koneksi CD/d. Koneksi ?ire)alle. Koneksi tatefull
4. /aket yang akan diteruskan disebut N.a. D=!/b. ?!=>A=D
c. A$$#/;d. 5A;
18
-
8/17/2019 Diktat Membuat Desain Keamanan Jaringan
19/22
e. I/;A3G#9. Kepanangan dari ;;G adalah N.
a. ;ime to Geastb. ;ime to Gistc. ;ime to Gi0e
d. ;ime to Gorde. ;ime to Go0e
%. (engidentikasi physical access controls untuk cabling, micro)a0e
to)ers, satellite dishes, )iring cabinets dan komponen aringan
komputer lainnya, merupakan pengertian N.a. =emote facilitiesb. Komponen sambungan komunikasic. $ommon carrierd. ?asilitas 5et)ork $ontrol $entere. Information $enter
. (emperhatikan letak peralatan aringan komputer yang digunakanuntuk monitoring dan penguian komponen aringan komputer. ,
merupakan pengertian N.a. =emote facilitiesb. Komponen sambungan komunikasic. $ommon carrierd. ?asilitas 5et)ork $ontrol $entere. Information $enter
-
8/17/2019 Diktat Membuat Desain Keamanan Jaringan
20/22
BAB I5
MEN*E(AIN (I(-EM KEAMANAN JARINGAN
A. (etting /ireall
$ara menambah iptables setting re)all:
1. Ketik perintah nano :et&:r&.lo&al
2. ;ambahkan script di atas e;it <
. etelah selesai tekan &trl=o untuk simpan kongurasi, tekanctrlO untuk keluar
. Kemudian restart dengan mengetikan perintah re"oot 0init >
(emblokir I/ yang masuk
ipta"les ?A IN38- ?s [email protected]>.1
-
8/17/2019 Diktat Membuat Desain Keamanan Jaringan
21/22
Atau bisa uga menggunakan script berikut :
ipta"les ,A IN38- ,p t&p ,m m$ltiport ,,port 2122 ,+ *R93
Cara Konfg$rasi /ireall $nt$k mengi+inkan port,port
tertent$ tetapi selain port yang kita i+inkan akan di "lo&k )
(engiinkan port http * & +, port D5 * 4 +, port D@$/ * 9 +, port
/!/ * 11& +, port (;/ * 24 +, dan port sLuid * 12 +
ipta"les ,A IN38- ,p t&p ,,dport < ,+ ACCE3-
ipta"les ,A IN38- ,p t&p ,,dport ' ,+ ACCE3-
ipta"les ,A IN38- ,p t&p ,,dport > ,+ ACCE3-
ipta"les ,A IN38- ,p t&p ,,dport 11< ,+ ACCE3-
ipta"les ,A IN38- ,p t&p ,,dport 2' ,+ ACCE3-
ipta"les ,A IN38- ,p t&p ,,dport 12 ,+ ACCE3-
ipta"les ,A IN38- ,+ *R93
Atau bisa uga menggunakan script berikut :
ipta"les ,A IN38- ,p t&p ,m m$ltiport ,,port
-
8/17/2019 Diktat Membuat Desain Keamanan Jaringan
22/22
d. iptables A I5/C; o 1