Awareness & Framework Security Policy

Deris Stiawan (Dosen FASILKOM UNSRI)

Sebuah Pemikiran, Sharing, Ide Pengetahuan, Penelitian

Pendahuluan ...
Perkembangan Internet benar-benar telah merubah cara hidup dan pola business perusahaan
dan manusia selama ini, sampai-sampai saat ini dikenal istilah dalam psikologi yaitu
”internetholic”, dimana ketergantungan seseorang terhadap layanan dan koneksi Internet dan
akan merasa gelisah jika tidak online dalam sehari dan cepat spanning karena koneksi yang
lambat, mau tidak mau lambat laun membuat hidupnya lebih individualisme karena kurangnya
sosialisasi dengan masyarakat sekitar dan lebih banyak ”bersosialisasi” dengan lingkungan
secara virtual. Internet, banyak sekali definisinya, penulis lebih suka mendefinisikan
internetworking network, sebuah jaringan yang besar yang melibatkan banyak server dan
resources lainnya untuk dapat dimanfaatkan dan diintegrasikan dalam satu jaringan tanpa
mengenal jarak dan teknologi yang digunakan di setiap end usernya.

Begitu juga dengan perkembangan dan kebutuhan akan solusi dari komunikasi data sebuah
perusahaan business (banking, retailed, manufacture, services, dan lain-lain), saat ini
cenderung sebuah perusahaan mempunyai banyak cabang di banyak tempat yang terpisah oleh
jarak dan secara geografis. Kebutuhan komunikasi ini biasanya digunakan untuk transfer data,
sinkronisasi database, integrasi data / informasi, kebutuhan komunikasi suara menggunakan
VoIP, Teleconference untuk keperluaan meeting secara virtual sampai dengan integrasi sistem
dengan menggunakan teknologi ERP/CRM/ Supply Chain.

Pada saat sebuah perusahaan telah atau akan mengintegrasikan jaringannya secara terpusat
untuk keperluan proses bisnisnya dengan menggunakan komunikasi data via jaringan private
atau sewa seperti Leased Channel, VSAT, VPN atau bahkan menggunakan jaringan publik
(Internet), Maka ada suatu permasalahan lain yang sangat krusial yaitu ”Keamanan atau
Security”. Karena tidak ada yang sistem yang aman didunia ini selagi masih dibuat oleh tangan
manusia, mengapa karena kita hanya membuat meningkatkan dari yang tidak aman menjadi
aman dan biasanya keamanan akan didapat setelah lubang / vurnability system diketahui oleh
hacker atau cracker.

Awareness & Framework Security Policy | ver. 1.o (23/12/07)

1
Ancaman banyak sekali seperti Virus, Trojan, Worm, DoS, hacker, cracker, carder, sniffing,
defaced, Buffer Overflow, dan sebagainya dengan apapun istilah underground yang banyak
sekali saat ini, yang pasti akan menyusahkan kita pada saat ancaman-ancaman ini
”menyerang”.

Karena akan semakin kompleksnya administrasi dari jaringan skala luas (WAN) maka diperlukan
suatu mekanisme keamanan dan metode untuk dapat mengoptimalkan sumber daya jaringan
tersebut, semakin besar suatu jaringan maka makin rentan terhadap serangan dan semakin
banyak vurnability yang terbuka. Ada banyak teknologi yang menawarkan security jaringan ini.
Masing-masing teknologi yang ditawarkan tersebut mempunyai dasar yang sama, yaitu untuk
melindungi system jaringan dari akses yang tidak berhak dan membatasi suatu layanan yang
sesuai dengan policy dari perusahaan.

Kalau kita simak perkembangan teknologi security yang dahulu masih sangat sederhana sampai
yang kompleks saat ini, sebut saja beberapa penyedia atau vendor peralatan dan penyedia jasa
security baik yang berbasis hardware atau software seperti Cisco, Nortel, IBM, Cyber guard,
Check Point, ISA Server Microsoft, dan sebagainya yang semuanya menyediakan ’one stop
solutions’ untuk permasalahan keamanan jaringan komputer dan informasi. Saat ini banyak
perusahaan yang rela membeli perangkat tersebut dengan nilai yang tidak murah. Hal ini
karena kesadaran atau hanya karena ikut trend saja. Padahal belum tentu dengan berbelanja
perangkat yang mahal dan total solutions akan menghindari atau meniadakan serangan dari
jaringan publik seperti Internet, inilah yang sering salah tanggap dengan mengatakan ” kita
telah membeli Firewall dan sistem keamanan yang canggih dari vendor X ” atau ” saat ini kita
telah mengimplementasikan jaringan Firewall yang berlapis-lapis”. Statement ini tidak salah
namun dari kaca mata penulis saat ini serangan tidak hanya berasal dari luar jaringan tapi juga
banyak berasal dari dalam jaringan kita dan metode serangannya yang berbeda-beda.

Maka akan hal yang bukan mustahil perangkat yang mahal tadi tidak berguna pada saat terjadi
serangan, karena sistem yang baik tidak hanya dari perangkat hardware dan software tapi juga
dari kebijakan yang dibuat oleh perusahaan tersebut. Kesadaran dari pucuk pimpinan sampai
denga seluruh staff dan pegawai merupakan pula kunci utama keberhasilan dari sistem
keamanan yang akan kita terapkan. Tulisan ini mungkin akan membuka wawasan kita tentang
pentingnya ”Awareness terhadap keamanan sistem komputer dan Framework awal untuk
Kebijakan Keamanan sistem komputer”.

Awareness & Framework Security Policy | ver. 1.o (23/12/07)

2
Awareness...

Kesadaran yang penuh dari semua level manajemen, mungkin ini yang akan menjadi penekanan
pada suatu sistem keamaman yang akan kita buat, tanpa ada kesadaran dari semua level di
perusahaan tersebut maka secanggih apapun peralatan tersebut tidak akan optimal, misalnya
contoh kasus
1. mempunyai router yang mahal dan canggih namun tidak diletakan ditempat khusus dan
diatur dengan baik
2. perusahaan membeli perangkat Firewall dan Antivirus Server berlicensed mahal, namun
karena tidak ada kesadaran dari pegawai dengan tanpa berdosa mereka menyalin file dari
media penyimpanan eksternal lainnya seperti flasdisk, hardisk, cd dan sebagainya tanpa
melakukan checking antivrus lagi.
3. Ada beberapa karyawan yang membuka attachment email yang tidak jelas asalnya
4. Dengan gampangnya admin memberikan akses root ke server dan komputer karyawan.
5. sharing files yang dibuka tanpa proteksi di sebuah jaringan
6. install sofware third party yang tidak jelas kegunaannya dan software peer to peer untuk
download share.
7. menuliskan user password confidential pada secarik kertas dan ditempel di layar monitor
atau catatan kecil yang mudah terlihat.

Secara garis besar keamanan sistem informasi dan komputer dapat dibagi dua yaitu keamanan
secara phisikal dan secara logikal. Secara Phisik berarti bagaimana kita mengamankan semua
infrastruktur peralatan sistem keamanan kita baik dari sisi server, ruangan, kabel, system
backup redundant system, system cadangan power listrik dan lain-lain sedangkan keamanan
secara logikal tentang metode keamanan seperti protocol yang digunakan, metode komunikasi
datanya, model basis datanya dan sistem operasinya. Contoh mengambarkan pengamanan
secara phisik, film mission imposible, twelve thirteen, independent days, dimana para jagoan
tersebut masuk ke “jantung” servernya dan melakukan penetrasi serangan untuk melumpuhkan
sistem komputernya.

Awareness & Framework Security Policy | ver. 1.o (23/12/07)

3
Framework Policy
Dalam membuat suatu policy tentang sistem keamanan, ada beberapa hal yang bisa mejadi
pedoman awal sebelum menetapkan suatu kebijakan, diantaranya ;

1. Computer Physical, membuat aturan baku tentang akses computer dan jaringan secara
langsung misalnya kabel, server yang diletakkan diruangan khusus, hub, router, dan lain-
lain. Ruang server ini sering disebut NOC (Network Operating Center) yang biasanya
diruangan khusus yang terpisah dari user dan terdapat rack-rack khusus untuk
menempatkan perangkat jaringannya.
Solusi ruangan server ini bisa menggunakan solusi dari PANDUIT (www.panduit.com), saat
ini dalam implementasi pembangunan ruang khusus server bisa menggunakan solusi data
center PANDUIT.

Gambar solusi penempatan server diruangan khusus (sumber www.panduit.com)

Awareness & Framework Security Policy | ver. 1.o (23/12/07)

4
2. Koneksi kabel yang dilindungi, kabel UTP, STP atau coax dari gangguan sabotase langsung,
perlindungan bisa menggunakan sistem cable duck / wiring duck atau menempatkan di
dalam dinding dengan tambahan wallplate / outlet UTP.

Gambar aksesoris perlengkapan kabel (sumber www.panduit.com)

Sistem perkabelan selain untuk memperhatikan masalah keindahan secara visual tapi juga
untuk membatasi masalah sabotase langsung pada jaringan kabelnya. Beberapa kasus
penyadapan dilakukan dengan ”cut” langsung pada perkabelan LAN yang ada. Dengan
menggunakan wiring duck kita dapat menutupi kabel agar terlihat lebih rapi dan
menyusahkan jika ada yang mau melakukan network cable cut off. Ada standar dari
TIA/EIA 568 A sistem perkabelan yang menggunakan sistem horizontal cable

Gambar standar cabling dari TIA (sumber cisco.netacad.net ver 2.0)

Awareness & Framework Security Policy | ver. 1.o (23/12/07)

5
3. membuat metode otentikasi di jaringan nirkabel, saat ini penggunaan W-LAN sudah
menggantikan jaringan fixed LAN, dikarenakan sifatnya yang mobile dan broadcast maka
ada beberapa kelemahan mendasar yaitu metode hacking wireless. Metode otentikasi bisa
menggunakan RADIUS (Remote Access Dial-in User Services) yang tidak lagi menggunakan
protocol WEP (Wired Equivalent Privacy) dan WPA (Wi-Fi Protected Access) yang mudah di
tembus.

4. Membuat mesin Filtering dan otentikasi Firewall, jika perusahaan mempunyai server farm
yang terintegrasi ke cabang-cabang atau mobile user dan telecomuters sudah seharusnya
membuat sistem filtering atau FIREWALL. Firewall suatu metode hardware atau software
yang tugas utamanya untuk melakukan penyaringan paket data yang boleh masuk dan
keluar yang ditetapkan oleh perusahaan.

Gambar contoh implementasi Firewall

Awareness & Framework Security Policy | ver. 1.o (23/12/07)

6
5. Membuat password BIOS, LILO boots, Screen saver, user disarankan untuk membuat
password di computer nya masing-masing untuk kepentingan keamanan pribadi, misalnya
password untuk BIOS agar tidak bisa sembarang orang masuk ke konfig BIOS, password LILO
Boots agar tidak semua orang bisa merubah dan membypass masuk ke system tanpa
password dan password screen saver pada saat ditinggalkan berapa saat harus memasukan
kata tertentu.

6. Automatic Lock, aturan yang memungkinkan penguncian sistem secara otomatis, jika
terjadi misalkan penulisan password yang salah sebanyak tiga kali. Ini sangat berguna untuk
user yang bisa login ke server.

7. Check Log adminstrasi secara priodik dengan melakukan checking semua aktivitas sistem
computer baik dari sisi akses ke user, jalannya daemon sistem, dan akses user ke sistem.

8. Closed Port / Services / Daemon, menutup port-port atau layanan-layanan yang tidak
penting atau tidak digunakan. Ada banyak port yang terbuka di sistem operasi yang secara
default digunakan aplikasi untuk terkoneksi ke sistem lainya. Biasanya dengan port inilah
serangan dimulai, dari serangan worm, trojan, sampai dengan DOS dan DDOS.

9. Ganti password secara berkala (admin & user) dan dokumentasikan, Password yang baik
selain terdiri dari karakter dan angka juga panjangnya, ada baiknya password diganti
secara berkala misalnya 1 bulan sekali dan di dokumentasikan. Ada beberapa hal yang
harus diperhatikan pada saat membuat password
• Jangan pernah menggunakan kata-kata umum yang ada dikamus
• Gunakan kombinasi huruf dan angka (besar dan kecil)
• Min 5 karakter
• Ganti secara berkala
• Jangan gunakan password tentang pribadi : TTL, nama pacar, nama ortu, alamat, dll
• Harus mudah diingat

10. New accounts, membatasi user baru dengan quota, memory dan akses beserta hak yang
dimilikinya.

Awareness & Framework Security Policy | ver. 1.o (23/12/07)

7
11. Account, apakah sebuah account dapat digunakan bersama, disaat accountnya ditolak apa
yang harus dilakukan oleh user. Account yang expired seperti keluarnya pegawai / resign
yang dahulu mendapatkan hak akses ke server seperti account mail, account web atau
quota di server untuk menyimpan datanya harus segera dihapus setelah pegawai tersebut
resmi resign dari perusahaan.

12. User id dan Group id, menerapkan kelompok-kelompok berdasarkan user dan kelompok
agar mudah dimaintenence

13. Checking Files, melakukan pemeriksaan secara intensif file atau software yang didapatkan
dari luar sistem atau dari download di Internet

14. Remote account, melakukan checking misalnya remote account yang telah kadaluarsa.
Beberapa perusahaan membaut aturan pegawai yang mobile atau telecomutters untuk
dapat bekerja dari luar dan bisa login ke server farm. Hal ini dilakukan lewat jaringan
public internet. Dengan membuat aturan yang baku dan system yang baik misalnya dengan
VPN dan RADIUS akan mempekecil vurnability sistem remote login ini.

Service Provider
Shared Internet, IP
Network
VPN

Gambar remote account (sumber cisco.com)

Awareness & Framework Security Policy | ver. 1.o (23/12/07)

8
15. Remote User, disaat akan terkoneksi ke jaringan apa yang mesti dilakukan oleh user, dan
bagaimana jika user akan terkoneksi ke jaringan local dari jaringan public.

16. Social engineering, metode dengan ”mengelabui” melakukan pencarian informasi tidak
dengan cara penetrasi langsung ke sistem server, biasanya ini terjadi di perusahaan layanan
yang menyediakan CSO (Customer Services Officer) atau Front Office yang langsung
bersinggungan dengan customer, misalnya lewat telpon meminta untuk mengganti
password atau menanyakan password yang katanya lupa. Atau dengan mencari-cari
serpihan kertas yang dibuang tanpa dihancurkan terlebih dahulu padahal biasanya berisi
informasi penting seperti password, nomer telpon, masalah keuangan, dan lain-lain

17. Root Security, sistem administrasi dengan menggunakan remote sistem harus melalui
jaringan yang aman, misalnya VPN, SSL, atau SSH. Dibuat aturan dimana setiap user yang
akan login ke server dengan account root atau super user harus login dengan user biasa
dulu baru pindah ke user root.

18. Membatasi akses pegawai yang tidak berhak untuk bisa mengakses tempat tertentu,
misalnya pegawai dibagian Riset sangat leluasa masuk dan keluar kantor bagian marketing /
finances

19. Backup, membuat aturan dengan menerapkan kegiatan backup secara berkala atau
menggunakan sistem cadangan, saat ini trend perkembangan DRC (Disaster Recovery
Center) yang biasa digunakan perusahaan banking, dimana menggunakan server cadangan
untuk menyalin database ke dalam server lain secara mirroring dengan metode penyalinan
bisa diatur.

20. Jika memungkinkan, alihkan atau gandakan log dari suatu server ke mesin lainnya.
Tujuannya, agar menyulitkan hacker menghapus log setelah melancarkan aksinya, ataupun
jika berhasil, kita masih mempunyai backup log-nya.

21. Jangan lupa buat check list terhadap apa-apa yang perlu dilakukan dan juga buat catatan
tentang apa-apa yang telah dilakukan terutama dilakukan jika terjadi anomaly sistem.

22. Patch terbaru, melakukan updating patch yang disediakan vendor perangkat lunaknya
untuk menutupi lubang-lubang keamanan, beberapa kasus masuknya penyusup dari lubang
vurnability yang diakibatkan oleh perangkat lunak atau aplikasinya.
Awareness & Framework Security Policy | ver. 1.o (23/12/07)
9
23. Sosialisasi dan kemudahan prosedur, diperlukan sosialisasi ke semua lapisan dari puncak
sampai ke bawah untuk prosedur dan peraturan system keamanan yang telah dibuat.
Kemudahan dengan system keamanan terbanding terbalik, maksudnya semakin tinggi
tingkat keamanannya maka akan semakin sulit juga kita akan mengaksesnya. Banyangkan
saja jika kita akan login ke account email, namun harus memasukan user

24. Team hotline, membuat sebuah tim penangananan jika terjadi serangan dan kerusakan dan
menyiapkan nomer khusus online setiap saat.

Untuk bahan bacaan lebih lanjut bisa membaca http://ftp.cerias.purdue.edu/pub/doc/policy/

Awareness & Framework Security Policy | ver. 1.o (23/12/07)

10