Keamanan dan privasi pengguna, aplikasi, perangkat, dan sumber daya jaringan dan
data daerah semakin penting dari arsitektur jaringan dan desain. Keamanan terintegrasi dalam
semua bidang jaringan dan dampak semua fungsi lain pada jaringan. Untuk memfungsikan
keamanan dalam jaringan, sangat penting bahwa hubungan antara mekanisme keamanan,
serta antara arsitektur keamanan dan arsitektur komponen lainnya, dipahami dengan baik.
Overlay keamanan ke sebuah jaringan yang dikembangkan adalah pendekatan diterima di
masa lalu. Hari ini, bagaimanapun, keamanan harus diintegrasikan ke dalam jaringan dari
awal agar jaringan untuk memenuhi kebutuhan pengguna dan untuk keamanan untuk
memberikan perlindungan yang memadai.
A. Tujuan
- Mekanisme keamanan (keamanan fisik)
Protokol dan aplikasi keamanan
Enkripsi/ dekripsi
Parameter dan keamanan akses remote
- Menentukan hubungan antar mekanisme keamanan dan komponen arsitektur
- Bagaimana mengembangkan security arsitektur
B. Latar Belakang
Jaringan keamanan didefinisikan sebagai perlindungan jaringan dan layanan dari
akses yang tidak sah, modifikasi, perusakan, atau pengungkapan.
Privasi jaringan adalah bagian dari keamanan jaringan, dengan fokus pada
perlindungan jaringan dan layanan dari akses yang tidak sah atau pengungkapan,
termasuk semua data pengguna, aplikasi, perangkat, dan jaringan.
3 pertimbangan keamanan klasik :
1. Melindungi integritas,
2. Kerahasiaan, dan
3. Ketersediaan jaringan dan sumber daya sistem dan data
Keamanan dalam jaringan perlu untuk melindungi sumber daya jaringan dari
yang dinonaktifkan, dicuri, dimodifikasi, atau rusak. Termasuk melindungi perangkat
kesempatan, server, pengguna, dan data sistem, serta privasi pengguna dan organisasi dan
citra.
C. Mengembangkan Rencana Keamanan dan Privasi
Dalam mengembangkan arsitektur keamanan, kita harus menjawab pertanyaanpertanyaan berikut :
Sebuah analisis ancaman biasanya terdiri dari mengidentifikasi aset yang akan
dilindungi, serta mengidentifikasi dan mengevaluasi kemungkinan ancaman. Aset
mungkin termasuk, namun tidak terbatas pada:
o hardware Pengguna (workstation / PC)
o Server
o perangkat Specialized
o perangkat Jaringan (hub, switch, router, OAM & P)
o Software (OS, utilitas, program client)
o Jasa (aplikasi, layanan IP)
Salah satu metode untuk mengumpulkan data tentang keamanan dan privasi
untuk lingkungan Anda adalah daftar ancaman dan aset pada lembar kerja. Worksheet
analisis ancaman ini kemudian dapat didistribusikan kepada pengguna, administrasi,
dan manajemen, bahkan sebagai bagian dari proses analisis kebutuhan, untuk
mengumpulkan informasi tentang masalah keamanan potensial.
Analisis ancaman yang menurut sifatnya subjektif. Salah satu cara untuk
meminimalkan tingkat subjektivitas adalah untuk melibatkan perwakilan dari berbagai
kelompok organisasi untuk berpartisipasi dalam proses analisis. Hal ini membantu
untuk mendapatkan perspektif yang berbeda dalam analisis.
Otorisasi penggunaan
Pemeliharaan
biaya pembelian, melaksanakan , dan operasi itu, dan jumlah administrasi dan
pemeliharaan yang diperlukan
1. Kemanan fisik dan kesadaran
Keamanan fisik adalah perlindungan perangkat dari akses fisik, kerusakan, dan
pencurian. Perangkat biasanya jaringan dan sistem perangkat keras, seperti perangkat
jaringan (router, switch, hub, dll), server, dan perangkat khusus, tetapi juga bisa
menjadi CD software, kaset, atau perangkat periferal. Keamanan fisik adalah bentuk
yang paling dasar keamanan, dan salah satu yang paling intuitif untuk pengguna.
Cara untuk menerapkan keamanan fisik adalah sebagai berikut :
Keamanan fisik juga berlaku untuk jenis lain dari ancaman fisik, seperti bencana
pelepasan alami (misalnya, kebakaran, gempa bumi, dan badai). Keamanan dari
bencana alam termasuk perlindungan dari kebakaran (menggunakan sistem alarm dan
alat pemadam pengurangan), air (dengan memompa dan mekanisme air-removal /
perlindungan lainnya), dan degradasi struktural (melalui memiliki perangkat di rak
melekat lantai, dinding, dll).
a. IPSec adalah protokol untuk menyediakan otentikasi dan enkripsi / dekripsi antara
perangkat pada lapisan jaringan. Mekanisme IPSec terdiri dari sundulan otentikasi
(AH) dan encapsulating payload keamanan (ESP). Ada dua mode yang IPSec
beroperasi di: transportasi dan tunneling. Dalam mode transportasi muatan IP
dienkripsi menggunakan ESP, sedangkan header IP yang tersisa di jelas, seperti
yang ditunjukkan pada Gambar 5.
Dalam mode tunnel (Gambar 9.6) IPSec dapat digunakan untuk merangkum paket
antara dua jaringan pribadi virtual (VPN) gateway Proses tunneling terdiri dari :
ini adalah contoh dari tunneling, atau encapsulating informasi dalam header
protokol untuk tujuan mengisolasi dan melindungi informasi tersebut.
Tunneling dan VPN adalah metode umum untuk membangun jaringan terisolasi di
seluruh infrastruktur umum seperti Internet
Keamanan untuk Simple Network Management Protocol versi 3 (SNMPv3)
dijelaskan dalam model keamanan berbasis pengguna (USM), melindungi
terhadap tmodifikasi informasi, menyamar, pengungkapan (menguping), dan
Mendeteksi pesan SNMP yang memiliki melebihi ambang batas waktu (pesan
timeli- ness / terbatas replay) (viasnmpEngineID, snmpEngineBoots, dan
snmpEngineTime)
HMAC-MD5-96 (pesan 128-bit mencerna algoritma (MD5) kriptografi hashfungsi, kode otentikasi pesan (HMAC) modus, dipotong ke 96 bit)
SNMP keamanan juga menyediakan untuk memodifikasi tampilan MIB dan mode
akses. Sebagai contoh, adalah mungkin untuk memiliki pandangan MIB yang berbeda
didefinisikan untuk kelompok yang berbeda, dan mode akses (RO, RW) juga
didefinisikan untuk kelompok yang berbeda, dan terikat dengan pandangan MIB.
c. Packet filtering adalah mekanisme di perangkat jaringan untuk secara eksplisit
menolak atau melewati paket di titik-titik strategis dalam jaringan.
3. Enkripsi / Dekripsi
Enkripsi / dekripsi adalah keamanan mekanisme di mana algoritma cipher diterapkan
bersama-sama dengan kunci rahasia untuk mengenkripsi data sehingga mereka tidak
terbaca jika mereka dicegat. Data tersebut kemudian didekripsi di atau dekat tempat
tujuan.
Enkripsi / dekripsi meningkatkan bentuk lain dari keamanan dengan melindungi
informasi dalam hal mekanisme lain gagal untuk menjaga pengguna yang tidak sah
dari informasi tersebut. Ada dua jenis umum dari enkripsi / dekripsi: kunci publik dan
kunci pribadi. Implementasi perangkat lunak dari publik kunci enkripsi / dekripsi
yang umum tersedia. Contohnya termasuk standar enkripsi data (DES) enkripsi kunci
pribadi, tiga DES enkripsi kunci pribadi, dan Rivest, Shamir, dan Adleman (RSA)
enkripsi kunci publik.
Infrastruktur kunci publik (PKI) adalah contoh dari infrastruktur keamanan yang
menggunakan kedua kunci publik dan swasta. Infrastruktur kunci publik adalah
infrastruktur keamanan yang menggabungkan mekanisme keamanan, kebijakan, dan
arahan menjadi sistem yang ditargetkan untuk digunakan di jaringan publik tanpa
jaminan (misalnya, Internet), di mana informasi dienkripsi melalui penggunaan publik
dan kunci kriptografi pribadi pasangan yang diperoleh dan berbagi melalui otoritas
terpercaya.
NAT adalah digunakan untuk membuat binding antara alamat, seperti satu-ke-satu
alamat mengikat (NAT statis); satu-ke-banyak alamat mengikat (dinamis NAT); dan
alamat dan binding pelabuhan (port jaringan terjemahan alamat, atau NAPT)
Firewall adalah kombinasi dari satu atau lebih mekanisme keamanan,
diimplementasikan dalam perangkat jaringan (router) ditempatkan di lokasi strategis
dalam jaringan. Firewall dapat menyaring gateway, proxy aplikasi dengan gateway
filtering, atau perangkat yang menjalankan khusus "firewall" perangkat lunak.
F. Pertimbangan Arsitektur
Dalam mengembangkan arsitektur keamanan perlu mengevaluasi mekanisme potensial
keamanan, di mana mereka mungkin berlaku dalam jaringan, serta set hubungan internal
dan eksternal untuk arsitektur komponen :
1. Evaluasi Keamanan Mekanisme
Model arsitektur yang disajikan dalam Bab 5 dapat membantu dalam menentukan di
mana mekanisme keamanan dapat diterapkan dalam jaringan.
Sebagai contoh, Access / Distribusi / Inti model arsitektur, yang memisahkan jaringan
berdasarkan fungsi, dapat digunakan sebagai titik awal untuk menerapkan mekanisme
keamanan. Dengan menggunakan model ini, keamanan dapat ditingkatkan pada setiap
tingkat, dari jaringan akses ke jaringan distribusi ke jaringan inti, baik oleh
mekanisme keamanan menambahkan atau dengan meningkatkan jumlah keamanan
yang disediakan oleh masing-masing mekanisme
a. Hubungan Internal
Interaksi dalam arsitektur keamanan termasuk trade-off, ketergantungan, dan
kendala antara masing-masing mekanisme keamanan untuk jaringan Anda.
Sebagai contoh, beberapa keamanan mechanismsrequire kemampuan untuk
melihat, menambah, atau mengubah berbagai bidang informasi dalam paket. NAT
mengubah informasi alamat IP antara domain alamat publik dan swasta.
Mekanisme enkripsi / dekripsi dapat mengenkripsi bidang informasi, membuat
mereka tidak terbaca dengan mekanisme lain.
b. Hubungan Eksternal