200 likes | 617 Views
KEAMANAN JARINGAN. Utomo Eko Priyo, ST. Pengantar Jaringan Komputer Bagi Pemula , CV. Yrama Widya, Bandung, 2006. STAL99Stallings, W. Cryptography and Network Security: principles and practice, 2 nd Edition. Upper Saddle River, NJ: Prentice Hall, 1999. Masalah keamanan.
E N D
KEAMANAN JARINGAN • Utomo Eko Priyo, ST. Pengantar Jaringan Komputer Bagi Pemula, CV. Yrama Widya, Bandung, 2006. • STAL99Stallings, W. Cryptography and Network Security: principles and practice, 2nd Edition. Upper Saddle River, NJ: Prentice Hall, 1999.
Masalah keamanan Ancaman terhadap kwmanan jaringan terbagi kedalam dua kategori. Ancaman pasif, yang kadang-kadang disebut mendengarkan secara diam-diam (eavesdropping), mencakup upaya-upaya penyerang mendapatkan informasi yang berkaitan dengan suatu komunikasi. Ancaman aktif mencakup beberapa modifikasi data yang ditramsmisikan atau pembuatan transmisi yang salah.Berdasarkan survey dan riset belakangan ini, diketahui bahwa tidak ada satu pun jaringan computer yang 100 persen aman dari serangan hecker, virus, spam, email bomb, dan lain sebagainya. Seorang hecker yang telah berpengalaman akan dapat masuk menerobos ke dalam jaringan dan melakukan perubahan yang berarti pada jaringan tersebut dengan mudah, walaupun jaringan tersebut telah dilapisi dengan berbagai pengaman. Hal ini didukung dengan banyaknya situs-situs underground yang menawarkan berbagai dokumen, tools dan utility yang dapat digunakan untuk menembus jaringan (penetrated).
Kriptografi Kriptografi merupakan metode yang digunakan untuk mengacak data, sehingga orang lain tidak dapat membaca data yang dikirimkan. Data yang diacak disebut plaint text (plaint text). Data tersebut diacak dengan menggunakan kunci enkripsi (encryption key). Proses pengacakan tersebut dinamakan enkripsi. Data hasil pengacakan itu disebut cipher text (chiper text). Proses pengembalian data dari chiper text ke plain text disebut dengan deskripsi (description).enkripsi dan deskripsi data merupakan cara yang digunakan untuk mengamankan data yangdikirim atau diterima. Jelasnya perangkat otomatis terpenting untuk keamanan komunikasi dan jaringan ialah enkripsi. Dengan enkripsi konvensional, dua pihak saling saling berbagi sebuah kunci enkripsi/deskripsi tunggal. Tantangan utama enkripsi konvensional terletak pada distribusi dan proteksi kunci-kunci tersebut. Skema enkripsi kunci umum mencakup dua kunci, satu untuk enkripsi dan junci lainya untuk deskripsi. Salah satu kunci tersenut dirahasiakan oleh pihak pihak yang membuat pasangan kunci tersebut, sedangkan yang lainya diperuntukan bagi umum. Enkripsi konvensional dan enkripsi kunci umum biasanya dikombinasikan bersama-sama untuk mengamankan aplikasi-aplikasi networking. Enkripsi konvensional digunakan untuk mengenkripsikan data-data yang ditransmisikan, dengan menggunakan kunci sesi untuk waktu yang pendek atau sekali pakai. Kunci sesi bisa didistribusikan melalui suatu distribusi kunci yang terpercaya atau ditransmisikan dalam bentuk enkripsi dengan menggunakan enkripsi kunci umum. Enkripsi kunci umum juga bisa digunakan untuk tanda tangan digital, yang mampu membuktikan keaslian sumber pesan-pesan yang ditransmisikan.
PROSES SISTEM KRIPTOGRAFI Encryption key Descryption key cipher text • plain text • plain text Encryption Descryption Cryptanalysis Cryptanalysis adalah usaha yang dilakukan oleh pihak ketiga (hacker atau craker) untuk mendapatkan kunci deskripsi sehingga dapat mengembalikan data dalam bentuk cipher teks ke plaint text.
Proses kriptografi ini dapat dilakukan dan harus memenuhi beberapa persyaratan, antara lain: • Integritas • Kerahasiaan • Autentikasi • Tanda tangan data atau tanda tangan digital.
Jenis Ancaman • DOS/DDOS (denial of services/distributed denial of services). • Merupakan bentuk serangan pada jaringan computer yang berusaha untuk menghabiskan sumber daya sebuah peralatam computer menjadi terganggu. • Paket sniffing • Adalah metode serangan dengan mendengarkan seluruh paket yang lewat pada sebuah paket komunikasi, baik itu media kabel atau radio. Prinsip dasar pencurian ini adalah bahwa semua koneksi ethernet adalah koneksi yangb bersifat broadcast, dimana dimana semua host dalam sebuah kelompok jaringan akan menerima paket yang dikirimkan oleh sebuah host. • IP spoofing • Adalah model serangan yang bertujuan untuk menipu seseorang. Serangan ini dilakukan dengan cara mengubah alamat asal sebuah paket sehingga dapat melewati firewall yang telah dipasang. Contoh serangan model IP spoofing ini adalah man-in-the-middleattack yaitu seseorang penyerang akan berada ditengah-tengah dari pengirim dan penerima data.
DNS forgery • Yaitu melakukan penipuan data-data DNS. Cara kerja dari DNS adalah sederhana yaitu sebuah host mengirimkan paket (biasanya dengan tipe UDP) yang pada header paket tersebut berisikan alamat host penanya, alamat DNS resolver akan mengirimkan paket jawaban yang sesuai ke penanya. • Untuk dapat melakukan metode penyerangan ini dengan memalsukan data DNS resolver, seorang penyerang membutuhkan informasi-informasi sebagai berikut: • Nomor identitas pertanyaan. • Port tujuan pertanyaan. • Alamat IP DNS resolver. • Informasikan yang ditanyakan. • Waktu pertanyaan. • DNS cache poisioning • Bentuk serangan lain dengan menggunakan data DNS adalah DNS cache poisioning. Metode ini dengan memanfaatkan cache dari setiap server DNS yang merupakan tempat penyimpanan sementara data-data domain yang bukan tanggung jawab server DNS tersebut. • Worm • Merupakan program yang menyebar sendiri dengan cara mengirimkan dirinya sendiri kedalam sistem. Worm tidak akan menyisipkan dirinya sendiri ke obyek lain.penyebaran worm saat ini banyak disebabkan karena pengguna tidak melakukan update terhadap aplikasi software yang digunakan. • Virus • Merupakan program yang dapat menyisipkan dirinya ke obyek lainya seperti pada file-file executable (.exe) dan beberapa jenis dokumen yang sering digunakan (seperti . doc).beberapa virus menggunakan teknik polymorphic agar tidak dapat terdeteksi oleh anti virus. Teknik polymorphic adalah mengubah dirinya pada setiap infeksi yang terjadi, hal ini tentu akan menyulitkan dalam pendeeksian.
Trojan • Jenis trojan ini sangat berbahaya karena sipembuat program tersebut dapat menyusup kedalam sistem jaringan yang telah tersusupi oleh trojan. • Junk mail • Disebut juga dengan ’surat sampah’, penyebaran virus dan worm melalui email dan yang perlu diwaspadai adlah file attachment yang menyertainya.
Tindakan pencegahan • Pencegahan terhadap DOS/DDOS, ada beberapa metode antara lain: • Micro-blocks, yaitu ketika ada sebuah host menerima paket inisiasi, maka host akan mengalokasikan space memori yang kecil sehingga host tersebut dapat menerima koneksi lebih banyak. • SYN cookies, yaitu ketika proses inisiasi, host penerima akan mengirimkan paket tantangan /balik yang harus harus dijawab oleh pengirim sebuah host penerima mengalokasikan ruang memori yang dibutuhkan. Umpan balik yang diberikan adalah berupa paket SYN-ACK dengan nomor urut khusus yang merupakan hasil dari fungsi hash dengan input alamat IP pengirim, nomor port dan lain-lain. • RST cookies, hampir sama dengan proses SYN cookies hanya saja paket yang dikirim balik adalah paket yang salah.
Cara penyegahan terhadap packet sniffing agak rumit karena sifat dari packet sniffing adalah pasif (pihak penyerang tidak melakukan apa-apa hanya mendengarkan saja).namun ada beberapa cara yang bisa dilakukan untuk melakukan pencegahan yaitu: • Secara rutin melakukan pemeriksaan apakah ada dalam host dijaringan kita terdapat dalam mode promiscuous (mode dimana host akan memproses semua paket yang diterima). • Mempergunakan SSL atau TLS dalam melakukan pengiriman data. • Melakukan koneksi VPN sehingga tetap bisa mempergunakan aplikasi yang tidak mendukung SSL atau TLS dengan aman. • Untuk mengatasi serangan terhadap jaringan komputer dengan IP spoofing yaitu sebuah sistem operasi harus dapat memberika nomor urut yang acak ketika menjawab inisiasi koneksi dari sebuah host. • Untuk menghadapi serangan dengan mengubah cache DNS server adalah dengan melakukan otentikasi host yang akan kita hubungi yaitu dengan digital certificate. • Pencegahan terhadap virus, worm, hoax dapat dilakukan dengan cara software yaitu menggunakan software aplikasi anti–virus yang banyak tersebar diinternet saat ini.
Pencegahan terhadap spyware/adware. • Tanda-tanda yang muncul ketika komputer anda terkena spyware antara lain: • Ketika anda membuka sebuah situs, maka tiba-tiba muncul situs lain yang belum pernah dan tidak ingin anda kunjungi. • Tiap beberapa menit sekali muncul iklan pop-up yang terus menerus, atau umumnya muncul situs-situs porno. • Ketika komputer anda menjadi lambat, hal ini bisa dicurigai bahwa komputer anda terkena spyware karena ada beberapa program yang berjalan dibalik layar akibat dari spyware yang tertanam pada komputer anda. • Hal yang perlu diperhatikan untuk mencegah spyware dapat masuk kedalam komputer anda antara lain: • Hati-hati dalam menginstall program freeware dan perhatikan perjanjian (agreement) yang ditampilkan. • Hendaknya anda berhati-hati dalam menginstall program dari situs yang tidak anda kenal dengan baik.
Ada beberapa langkah prenventif yang bisa kita lakukan untuk mencegah penyerangan, baik hacker atau cracker yang akan menyerang sistem jaringan komputer antara lain: • DS/IPS (intrusion detection system/intrusion prevention system), merupakan sebuah sistem yang digunakan untuk melindungi sistem jaringan komputer dari serangan hacker dari luar. metode yang digunakan oleh IDS dan IPS dalam menerima dan menolak paket data yang dikirimkan adalah sebagai berikut: • Signature-based intrusion detection system, metode ini akan mencegah sistem dari jenis-jenis serangan yang telah ada atau dikenal sebelumnya. • Anomaly-based intrusion detection system, metode anomaly adalah metode paket yang tidak sesuai dengan kebiasaan jaringan komputer tersebut. • Network topology • Topologi jaringan mempunyai peranan yang sangat penting dalam keamanan jaringan komputer. Pada dasarnya, sebuah jaringan komputer dapat dibagi menjadi kelompok jaringan internal, kelompok jaringan eksternal, dan kelompok jaringan yang diantaranya biasa disebut dengan DMZ (DeMilitarized Zone). • Port scanning • Biasanya digunakan oleh penyerang untuk mengetahui port mana yang terbuka dalam sistem jaringan komputer tersebut. Sebuah port yang terbuka akan menandakan adanya aplikasi jaringan komputer yang siap menerima koneksi. Cara kerja port scanning adalah dengan cara mengirimkan paket inisiasi koneksi ke setiap port yang sudah ditentukan sebelumnya.
Packet fingerPrinting • Dengan melalui packet fingerPrinting kita dapat mengetahui paket-paket data ynga dikirimkan oleh sebuah peralatan tertentu, hal ini dikarenakan setiap vendor dari peralatan tersebut mempunyai spesifikasi yang unik untuk mengimplementasikan protokol TCP/IP. • FingerPrinting dapat dilakukan dengan aktif maupun pasif. Jika dilakukan secara aktif, analisis akan mengirimkan sebuah paket request yang kemudian akan dibalas oleh host target dan balasan itulah yang akan dianalisa. • Sedangkan jika dilakukan secara pasif, maka analisis akan menuggu host target mengirimkan paket, untuk kemudian paket tersebut akan dianalisa. • Security information management (SIM) • Untuk meningkatkan keamanan jaringan komputer, sebuah perusahaan mungkin saja akan mengimplementasikan beberapa teknologi kemaman jaringan komputer seperti firewall, IDS, IPS. Manfaat dari SIM antara lain: • Dengan adanya SIM ini, maka pengelola jaringan akan dapat dengan mudah mengetahui kondisi peralatan jaringan yang ada dan melakukan identifikasi awal jika terjadi serangan dari luar. • Pada perkembangannya, SIM selain mengumpulkan data log dan alert juga dapat melakukan analisa data dengan teknik korelasi dan query data terbatas sehingga menghasilkan peringatan dan laporan yang lebih lengkap untuk masing-masing serangan. • Dengan SIM, pihak pengelola jaringan akan mengetahui lebih cepat jika ada serangan dari luar dan dapat melakukan penaganan yang terarah untuk mnecegah serangan tersebut.
PENGAMANAN IPv4 DAN IPv6 • Upaya peningkatan pengamanan yang digunakan bersama-sama dengan IPv4 dan IPv6, disebut IPSec, mampu menyediakan mekanisme pembuktian dan kerahasiaan. • Aplikasi-aplikasi IPSec • Bentuk IPSec utama yang memungkinkan mampu mendukung aplikasi-aplikasi yang beragam ini ialah, ia dapat mengenkripsi dan/ atau membuktikan keaslian semua lalu lintas pada level IP. • Jangkauan IPSec • IPSec menyediakan tiga fasilitas utama, fungsi pembuktian keaslian saja yang disebut sebagai Authentication Header (AH), suatu kombinasi fungsi pembuktian keaslian / ankripsi yang dinamakan Encapsulating Security payload (ESP), dan fungsi pertukaran kunci. • Asosiasi pengaman • Suatu konsep utama yang muncul dalam mekanisme pembuktian kesalahan dan perahasiaan untuk IP adalah asosiasi pengaman. Sebuah asosiasi adalah hubungan searah diantara pengirim dan penerima yang menghasilkan layanan pengaman untuk lalu lintas yang diadakannya.
Asosiasi pengamanan secara khusus diidentifikasikan melalui tiga parameter. • Indeks parameter keamanan (IPK) • Alamat tujuan IP • Pengenal protokol keamanan Model transpor dan terowonganBaik AH maupun ESP mendukung dua model penggunaan yaitu model transpor dan model terowongan.Model transporModel transpor menyediakan perlindungan utamanya untuk protokol-protokol pada lapisan teratas.Model terowongan Model terowongan menyediakan perlindungan terhadap paket IP secara keseluruhan.Header pembuktian keaslianHeader pembuktian keaslian menampilkan dukungan akan integritas data dan keaslian paket-paket IP. Header pembuktian keaslian terdiri dari bidang-bidang berikut ini-Header berikut (8 bit)-Panjang payload (8 bit)-Dicadangkan (16 bit)-Indeks parameter keamanan (32 bit)-Nomor urut (32 bit)-Data keamanan (variabel)
Encapsulating security payload Encapsulating security payload menyediakan layanan yang bersifat rahasia, termasuk kerahasiaan isi pesan dan kerahasiaan aliran lalu lintas terbatas. • Manajeman kunci Protokol manajemen kunci otomatis default untuk IPSec disebut sebagai AKIPMK/ Oakly, yang terdiri dari unsur-unsur sebagai berikut • Protokol determinasi kunci oakly. Oakly adalah protokol pertukaran kunci berbasis algoritma Diffie-Helman, namun menyediakan pengamanan tambahan. • Asosiasi keamanan internet dan protokol manajemn kunci (AKIPMK). AKIPMK sendiri tidak menyatakjan suatu algoritma pertukaran kunci khusus, melainkan terdiri dari serangkaian tipe pesan yang memungkinkan digunakannya berbagai macam algoritma pertukaran kunci.