SMK-TI

TRAINING AND CERTIFICATION

Modul 3 KEAMANAN JARINGAN

Team Training SMK TI

24

SMK-TI

TRAINING AND CERTIFICATION

Tujuan: Mengetahui dasar- dasar keamanan jaringan Memahami dan mengkonfigurasi internet daemon (inetd) Mengenal Firewall Melakukan packet filtering dengan TCP Wrappers

Team Training SMK TI

25

KEAMANAN JARINGAN
(NETWORK SECURITY)

1. Pendahuluan
Ter hubungnya LAN at au komput er ke I nt er net membuka pot ensi adanya lubang keamanan lain (secur it y hole) yang t adinya t elah t er at asi dengan mekanisme keamanan secar a f isik dan lokal. J ar ingan, t er ut ama int er net , mer upakan sebuah j ar ingan komput er yang sangat t er buka di dunia. Konsekuensi yang har us di t anggung adalah t idak ada j aminan keamanan bagi j ar ingan yang t er kait ke int er net . Ar t inya j ika oper at or j ar ingan t idak hat i-hat i dalam men-set up sist em dan mener apkan policy-nya, maka kemungkinan besar j ar ingan yang t er kait ke I nt er net akan dengan mudah dimasuki orang yang tidak di undang dari luar. Mer upakan t ugas dar i administ r at or j ar ingan yang ber sangkut an, unt uk menekan r esiko t er sebut seminimal mungkin. Pemilihan st r at egi dan kecakapan administ r at or j ar ingan ini, akan sangat membedakan dan menent ukan apakah suat u j ar ingan mudah ditembus atau tidak. Yang per lu unt uk diket ahui adalah bahwa kemudahan (kenyamanan) mengakses inf or masi ber banding t er balik dengan t ingkat keamanan sist em inf or masi it u sendir i. Semakin t inggi t ingkat keamanan, semakin sulit (t idak nyaman) unt uk mengakses inf or masi. Sebelum memulai segalanya, ada baiknya menent ukan t er lebih dahulu t ingkat ancaman yang har us diat asi dan r esiko yang har us diambil maupun r esiko yang har us dihindar i, sehingga dapat dicapai keseimbangan yamg opt imal ant ar a keamanan dan kenyamanan.

2. Pengenalan Keamanan Jaringan

Keamananan komput er yang t idak t er hubung (st and alone), hanya t er hubung ke j ar ingan/ LAN dan t er hubung ke int er net t ent u mempunyai per bedaan. Dengan menghubungkan suat u j ar ingan ke int er net , r esiko keamanan yang akan dihadapi akan semakin banyak. Ser angan bisa t er j adi kapan saj a, dar i mana saja dan oleh siapa saja. I ngat , int er net adalah j ar ingan yang ber sif at global. Unt uk it u, pengamanan har us

Team Training SMK TI

26

dilakukan dengan hat i-hat i. Walaupun demikian, kemungkinan t er j adinya masalah sekur it i di kemudian har i masih akan t et ap ada. Tidak ada j aminan bahwa sist em yang kit a konf igur asi akan benar -benar aman. Yang bisa kit a lakukan hanyalah menekan seminimal mungkin kemungkinan terjadinya masalah sekuriti. Unt uk it u, ada beber apa car a yang dapat dilakukan, ant ar a lain menut up por t -port yang t idak dipakai, melet akkan f ir ewall, menggunakan aplikasi yang r eliable (misalkan webser ver dengan apache), melakukan konf igur asi pr ogr am-pr ogr am aplikasi int er net (misalkan melakukan konf igur asi keamanan pada apache dan mengint egr asikannya dengan SSL), menggunakan pr ogr am-pr ogr am sekur it i (misalkan scan list ener dengan menggunakan por t sent r y), dan lain-lain. Pada bab ini kit a akan membahas mengenai int er net daemon (inet d) yang digunakan unt uk mengelola beber apa aplikasi int er net (misal : t elnet , f t p, ssh, dll). Unt uk ver si Redhat yang t er bar u (misal Redhat 7.1), inet d ini sudah digant ikan posisinya oleh xinet d. Per bedaannya ant ar a lain adalah sintaks-sint aks yang digunakan dan j uga xinet d menggunakan sat u buah f ile unt uk sat u ser vis sedangkan inet d menggunakan sat u buah f ile unt uk semua ser vis (f ile / et c/ inet d.conf ). Selain inet d, pada bab ini kit a j uga akan membahas TCP Wr apper s yang akan kit a pakai unt uk ` membungkus` inet d (int er net daemon) agar lebih aman. Penasaran ? Mari kita pelajari bagian berikutnya.

3. Service inetd (internet daemon)

Secar a def ault sist em kit a akan menj alankan beber apa ser vis int er net yang mungkin sebagian di ant ar anya t idak kit a gunakan/ per lukan. Unt uk meningkat kan keamanan, lebih baik ser vis-ser vis (misalkan f inger , t elnet , dll) yang t idak t er lalu kit a but uhkan dimat ikan/ dit ut up saj a. Sudah banyak kasus yang menunj ukkan kesalahan penggunaan (abuse) dar i ser vis t er sebut , at au ada kemungkinan lubang keamanan dalam ser vis t er sebut akan t et api sang administ r at or t idak menyadar i bahwa ser vis t er sebut dij alankan di komput er nya. Kebanyakan ser vis yang ber hubungan dengan int er net (misalkan : ftp, telnet , ssh, dll) akan dijalankan melalui inetd (internet daemon). Dengan melakukan pengedit an pada / et c/ inet d.conf (konf igur asi ut ama int er net daemon : superserver) maka kit a dapat melakukan modif ikasi-modif ikasi yang diper lukan misalkan saj a memat ikan ser vis- ser vis yang t idak digunakan (dengan

Team Training SMK TI

27

menambahkan t anda koment ar (# ) pada awal bar is). Agar lebih j elas mar i kit a pelajari sintaks pada file /etc/inetd.conf : Sintaks service tipe_socket protocol flag user server_path argumen KETERANGAN service Menj elaskan nama ser vis yang dit r anslasikan ke nomor por t dengan melihat f ile /etc/services tipe_socket Ber isi j enis/ t ipe socket yait u (ada dua) : st r eam (ber sif at connect ion or ient ed digunakan untuk TCP) dan dgram (digunakan untuk UDP) protocol Berisi jenis protokol yang digunakan flag Di isi dengan wait at au nowait . J ika ber isi wait maka inet d hanya menj alankan sat u server pada port yang telah ditentukan. Sebaliknya dengan option nowait maka server dapat dij alankan lebih dar i sat u t anpa per lu menunggu selesainya eksekusi

sebelumnya. Jika kita menggunakan option stream maka flag nowait harus digunakan. user Ber isi login I D dar i user yang akan memiliki pr oses dar i per int ah yang dij alankan. Kebanyakan menggunakan user r oot . Tet api ada beber apa pr oses yang t idak menggunakan r oot t et api memakai user lain (misal : nobody, news, dll) dengan alasan security. server_path Berisi full path dari program server yang akan dijalankan. argumen Ber isi per int ah yang akan dij alankan ser t a beber apa ar gumen yang diper lukan. Akan ber nilai kosong/ t idak diisi j ika kit a menggunan opt ion int er nal (menggunakan ser vis internal) pada bagian server. Contoh file /etc/inetd.conf :
# inetd.conf This file describes the services that will be available # through the INETD TCP/IP super server. To re-configure # the running INETD process, edit this file, then send the # INETD process a SIGHUP signal.

Team Training SMK TI

28

# # # # #

@(#)/etc/inetd.conf 3.10 05/27/93 Original taken from BSD UNIX 4.3/TAHOE. Fred N. van Kempen, <waltje@uwalt.nl.mugnet.org> Modified for Debian Linux by Ian A. Murdock <imurdock@shell.portal.com> Modified for RHS Linux by Marc Ewing <marc@redhat.com>

Version: Authors:

# <service_name> <sock_type> <proto> <flags> <user> <server_path> <args> # # Echo, discard, daytime, and chargen are used primarily for testing. # To re-read this file after changes, just do a 'killall -HUP inetd' #echo stream tcp nowait root internal #echo dgram udp wait root internal #discard stream tcp nowait root internal #discard dgram udp wait root internal #daytime stream tcp nowait root internal #daytime dgram udp wait root internal #chargen stream tcp nowait root internal #chargen dgram udp wait root internal #time stream tcp nowait root internal #time dgram udp wait root internal # # These are standard services. # ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd # # Shell, login, exec, comsat and talk are BSD protocols. # #shell stream tcp nowait root /usr/sbin/tcpd in.rshd #login stream tcp nowait root /usr/sbin/tcpd in.rlogind #exec stream tcp nowait root /usr/sbin/tcpd in.rexecd #comsat dgram udp wait root /usr/sbin/tcpd in.comsat talk dgram udp wait nobody.tty /usr/sbin/tcpd in.talkd ntalk dgram udp wait nobody.tty /usr/sbin/tcpd in.ntalkd #dtalk stream tcp wait nobody.tty /usr/sbin/tcpd in.dtalkd # # Pop and imap mail services et al # #pop-2 stream tcp nowait root /usr/sbin/tcpd ipop2d #pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d #imap stream tcp nowait root /usr/sbin/tcpd imapd # # The Internet UUCP service. # #uucp stream tcp nowait uucp /usr/sbin/tcpd /usr/lib/uucp/uucico -l # # Tftp service is provided primarily for booting. Most sites # run this only on machines acting as "boot servers." Do not uncomment # this unless you *need* it. # #tftp dgram udp wait root /usr/sbin/tcpd in.tftpd #bootps dgram udp wait root /usr/sbin/tcpd bootpd # # Finger, systat and netstat give out user information which may be # valuable to potential "system crackers." Many sites choose to disable # some or all of these services to improve security. # #finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd #cfinger stream tcp nowait root /usr/sbin/tcpd in.cfingerd #systat stream tcp nowait guest /usr/sbin/tcpd /bin/ps -auwwx

Team Training SMK TI

29

#netstat stream tcp nowait guest /usr/sbin/tcpd /bin/netstat -f inet # # Authentication # # identd is run standalone now # #auth stream tcp wait root /usr/sbin/in.identd in.identd -e -o # # End of inetd.conf smtp stream tcp nowait qmaild /var/qmail/bin/tcp-env tcp-env /var/qmail/bin/qmail-smtpd #linuxconf stream tcp wait root /bin/linuxconf linuxconf --http Ter lihat pada f ile / et c/ inet d.conf di at as ada beber apa ser vis yang didisable unt uk

menghindari hal-hal yang tidak diinginkan. Di antaranya adalah linuxconf, finger, rlogin, dll.

4. Pengenalan Firewall
Fir ewall mer upakan sebuah per angkat yang dilet akkan ant ar a I nt er net dengan j ar ingan int er nal. I nf or masi yang keluar at au masuk har us melalui f ir ewall ini. Tuj uan ut ama dar i f ir ewall adalah unt uk menj aga agar akses (ke dalam maupun ke luar ) dar i or ang yang t idak berwenang (unaut hor ized access) t idak dapat dilakukan. Konf igur asi dar i f ir ewall ber gant ung kepada kebijaksanaan (policy) dari organisasi yang bersangkutan. Fir ewall mer upakan alat unt uk mengimplement asikan kebij akan secur it y (secur it y policy). Sedangkan kebij akan secur it y, dibuat ber dasar kan per imbangan ant ar a f asilit as yang

disediakan dengan implikasi secur it y-nya. Semakin ket at kebij akan secur it y, semakin kompleks konf igur asi layanan inf or masi at au semakin sedikit f asilit as yang t er sedia di j ar ingan. Sebaliknya, dengan semakin banyak f asilit as yang t er sedia at au sedemikian seder hananya konfigurasi yang dit er apkan, maka semakin mudah or ang or ang usil dar i luar masuk kedalam sistem (akibat langsung dari lemahnya kebijakan security). Fir ewall beker j a dengan mengamat i paket I P (I nt er net Pr ot ocol) yang melewat inya.

Ber dasar kan konf igur asi dar i f ir ewall maka akses dapat diat ur ber dasar kan I P addr ess, por t , dan ar ah inf or masi. Det ail dar i konf igur asi ber gant ung kepada masing-masing f ir ewall. Fir ewall dapat ber upa sebuah per angkat ker as yang sudah dilengkapi dengan per angkat lunak t er t ent u, sehingga pemakai (administrator) tinggal melakukan konfigurasi dari firewall tersebut. Firewall j uga dapat ber upa per angkat lunak yang dit ambahkan kepada sebuah ser ver (baik UNI X maupun Windows NT), yang dikonfigurasi menjadi firewall. Fir ewall pada dasar nya dapat dikat egor ikan menj adi 2 ber dasar kan car a f ungsi ker j anya (keduanya dapat dilakukan pada sebuah per angkat komput er (device) at au dilakukan secar a terpisah), yaitu :

Team Training SMK TI

30

1.

Fungsi filtering Fir ewall beker j a pada level j ar ingan (net wor k-level f ir ewall) biasa disebut packet filter. Fir ewall t ipe ini biasanya ber upa r out er yang melakukan f ungsi packet f ilt er ing ber dasar kan par amet er -par amet er t er t ent u : alamat sumber , pr ot okol, nomor por t dan isi. Dar i membandingkan inf or masi yang diper oleh pada paket -paket t r af ik dengan kebijaksanaan yang ada pada tabel akses, maka tindakan yang diberlakukan adalah : Melewatkan paket data ke tujuannya (client atau server) Memblok paket data

2.

Fungsi proxy Fir ewall pada level aplikasi (applicat ion level gat eway) ini ber f ungsi sebagai penghubung ant ar a komput er client dengan j ar ingan luar . Pada koneksinya, paket paket I P t idak per nah dit er uskan secar a langsung, namun dit r anslasi dan diwakilkan oleh gat eway aplikasi t er sebut yang ber f ungsi sebagai salur an dan pent er j emah dan menggant ikan f ungsi client . Pr oxy akan mer elai semua r equest dar i client kepada ser ver yang sesungguhnya, kemudian mer elai balik semua hasil r esponse r eal ser ver kepada client kembali. Dit engah pr oses di at as, maka pr oxy ser ver ber kesempat an untuk melakukan pembatasan relai berdasarkan tabel akses yang sudah dibuat. Fungsi pr oxy dapat dilakukan oleh ber bagai sof t war e t er gant ung kepada j enis pr ox y yang dibut uhkan, misalnya web pr oxy, r login pr oxy, f t p pr oxy dan set er usnya. Di sisi client ser ing kali dibut uhkan sof t war e t er t ent u agar dapat menggunakan pr oxy ser ver ini, seper t i misalnya dengan menggunakan SOCKS. Beber apa per angkat lunak ber basis UNIX untuk proxy antara lain: Socks (proxy server oleh NEC Network Systems Labs), Squid (web proxy server).

5.Packet Filterring
5.1 TCP Wrappers
Secara default redhat akan mengizinkan servis-servis tertentu (misal : telnet) dengan t anpa pembat asan. Unt uk it u diper lukan pembat asan-pembat asan (pr ot eksi) t er t ent u sehingga dapat mengurangi kerawanan keamanan jaringan. Salah sat u aplikasi pada sist em UNI X yang digunakan unt uk melakukan packet f ilt er ing adalah TCP Wr apper s. TCP Wr apper s biasanya sudah t er inst al secar a def ault wakt u penginstalan Linux.

Team Training SMK TI

31

Pr ogr am ini beker j a dengan car a membungkus inet d (int er net daemon : aplikasi yang menjalankan ser vis-ser vis int er nat ) agar lebih aman. Sebagai cont oh ada per mint aan koneksi telnet dari internet, jika sistem kita tidak mempunyai tcp wrappers maka inetd akan memanggil t elnet d dan session t elnet akan t er bent uk t anpa melakukan pembat asan apapun. Hal ini ber beda dengan TCP Wr apper s yang t elah t er inst al, sebelum memanggil t elnet d, TCP Wr apper akan memer iksa dulu ber dasar kan pembat asan-pembat asan yang t elah diset t ing kemudian memutuskan apakah koneksi tersebut akan diizinkan atau tidak.

5.2 Konfigurasi TCP Wrappers

File-file yang perlu diperhatikan dalam penyetingan TCP Wrappers antara lain : 1. /etc/inetd.conf (konfigurasi internet daemon) 2. /etc/hosts.allow (konfigurasi host-host yang diizinkan) 3. /etc/hosts.deny (konfigurasi host-host yang ditolak) Pastikan dahulu bahwa TCP Wr apper s sudah t er inst al pada sist em kit a. Unt uk mengeceknya dapat dilihat pada f ile / et c/ inet d.conf . Dalam inet d.conf , layanan t anpa TCP Wrapper akan dituliskan dalam bentuk sebagai berikut, misal : telnet stream tcp nowait nobody /usr/etc/telnetd in.telnetd b /etc/issue

J ika int er net daemon sudah dikonf igur asi dengan TCP Wr apper maka akan terbaca seperti ini :
telnet stream tcp nowait nobody /usr/local/bin/tcpd

Biasanya tcpwrappers dir akit menj adi t cpd. Apabila ser vis di ser ver anda (misalnya telnet atau ftp) dij alankan melalui t cpd, maka ser ver anda menggunakan tcpwrappers. TCP Wr apper s mengkonf igur asikan Net wor k Access Cont r ol pada f ile / et c/ host s.allow dan / et c/ host s.deny. File / et c/ host s.deny ini ber isi mengenai ser vis dari user / host / net wor k mana saj a yang akan dit olak sedangkan f ile / et c/ host s.allow ber isi mengenai ser vis dar i user / host / net wor k mana saj a yang akan dit er ima. Secara garis besar kedua file tersebut mempunya sintaks sbb :

5.3 Daemon_list : client_host_list Daemon List mer upakan daf t ar daemon seper t i t elnet d, f inger d, f t pd, ssh, dll. Client Host List merupakan daftar user/host/network dan mempuyai bentuk sbb : ALL : semua host

Team Training SMK TI

32

KNOWN LOCAL PARANOID

: host yang terdaftar pada DNS server : host yang tidak dipisahkan oleh . (dot) : mempunyai nama dan I P addr ess yang t idak sesuai j ika dilacak dan dibandingkan ant ar a pelacakan dar i nama dengan dari nomor IP

UNKNOWN .itb.ac.id 167.205.206.107

: host yang hanya mempunyai nomor IP tanpa nama internet : host dengan domain itb.ac.id : host dengan IP adress tertentu

Agar lebih jelas dapat dibaca manualnya : [user]$ man hosts_options

5.4 IPfwadm, IPchains, NetFilter dan IP Tables Selain dengan aplikasi TCP Wr apper s kit a dapat j uga menggunakan ipf wadm (ber basis ker nel 2.0), ipchains (ber basis ker nel 2.2), dan Net f ilt er dengan I P Tables (ber basis ker nel 2.4) unt uk melakukan packet f ilt er ing. Baik ipf wadm, ipchains, maupun net f ilt er dan ip t ables ber sif at saling menggant ikan, dan kit a cukup menggunakan salah sat u saj a. I pchains (ber basis ker nel 2.2.16) sudah dibahas pada bab koneksi internet.

Team Training SMK TI

33