04 Keamanan Jaringan 2014 PDF
04 Keamanan Jaringan 2014 PDF
Modul 4
Keamanan Jaringan
Overview
1. Mengenal jaringan
2. Protokol TCP/IP
3. Pengamanan Jaringan
a) Firewall
➔ Tipe-tipe firewall
➔ Arsitektur Firewall
➔ Studi Kasus: IPtables Firewall
b)VPN (Virtual Private Network)
c) IDS (Intrussion Detection System)
4. Serangan pada jaringan dan solusinya
Mengenal jaringan (1)
Mengapa dibentuk jaringan?
● Komunikasi (email, chating dll)
● Integrasi data pada aplikasi
● Sharing resources (printer, HD dll)
● Dan lain-lain
Kerugian Jaringan komputer
● Ancaman keamanan data/informasi
● Ancaman virus
● Dan lain-lain
Mengenal jaringan (2)
Evolusi jaringan komputer
– Mainframe, pada era 1960-
1970 an
– LAN (Local Area Network),
setelah PC ditemukan pada
era 1970-1980 an
– WAN (Wide Area Network)
pada era 1980-1990 an
– Internet, jaringan komputer
global pada era 1990 an
Mengenal jaringan (3)
Requirement jaringan komputer
● Hardware
➔ Network Interface Card
➔ Hub/Switch sebagai consentrator & repeater
➔ Router untuk menyeberangkan paket data
ke jaringan yang berbeda
➔ Dan lain-lain
● Software
➔ Protokol sebagai aturan yang digunakan
bersama dalam proses transmisi data
sehingga transmisi data dapat berjalan
dengan semestinya
Protokol TCP/IP (1)
Protokol komunikasi secara umum
Protokol TCP/IP (2)
Enkapsulasi pada TCP/IP
Protokol TCP/IP (3)
Bagaimana TCP/IP menyeberangkan paket data antar
2 sistem melalui jaringan
Protokol TCP/IP (4)
Layer Aplikasi
● Berfungsi seperti jendela komunikasi sehingga data dapat
dibaca oleh aplikasi.
● Contoh aplikasi: telnet,ftp, SSH
Protokol TCP/IP (5)
Layer Transport (1)
● Fungsi:
– Memastikan paket sampai ke servis yang benar (Port)
– Mengendalikan seluruh proses transmisi, kapan dimulai,
dipercepat, diperlambat, diakhiri (Code Bit)
– Mengetahui apakah terjadi kerusakan data pada proses
transmisi (Checksum)
– Penomoran paket data agar data dapat disusun ulang
(Sequence number)
Protokol TCP/IP (6)
Layer Transport (2)
● Jenis protokol di layer ini
– TCP (Transmission
Control Protocol),
connection oriented
➔ Transparan
● Kekurangan
➔ Kontrol hanya berdasar IP address dan port
➔ Tidak dapat mencegah IP dan DNS spoofing
➔ Tidak dapat menangani serangan melalaui layer aplikasi. Contoh: URL
yang berisi SQL injection
➔ Tidak dapat melindungi akses authentifikasi dilayer aplikasi. Contoh:
www.situsku.com/administrator
➔ Konfigurasi dan maintenance ACL dapat merepotkan
➔ Log/catatan terbatas
Tipe Firewall (4)
Circuit-Level Gateway (1)
– Kendali akses dengan mengamati 'state information' pada
'established connection". Ketika established connection diijinkan
antar 2 host, maka kemudian dibuat tunnel atau virtual circuit
pada sesi koneksi tersebut. Dengan cara seperti ini, setelah 2 host
diijinkan koneksi, maka selanjutnya tidak ada lagi inspeksi pada isi
paketnya. Bekerja pada layer session pada model OSI
– Contoh: Stateful inspection firewall, SOCKS
Tipe Firewall (5)
Circuit-Level Gateway (2)
– Kelebihan:
➔ Cepat
➔ Mendukung berbagai jenis protokol
– Kekurangan:
➔ Tergantung sekali pada pendefinisian 'trusted network', karena
setelah sesi koneksi diijinkan, paket data tidak diinspeksi lagi
➔ Loging terbatas
Tipe Firewall (6)
Application-Level Gateway/Proxy (1)
– Kendali akses dengan inspeksi isi paket data untuk tiap IP
address. Tidak terjadi end-to-end connection, tetapi dengan cara
'outside host' koneksi dengan proxy kemudian paket data
dianalisisi, jika diijinkan lalu dicopy dan dikirimkan ke 'inside
host'.
– Contoh: Squid proxy
Tipe Firewall (7)
Application-Level Gateway/Proxy (2)
– Kelebihan
➔ Tidak terjadi komunikasi langsung, bahkan jaringan internal
disembunyikan untuk mencegah akses langsung ke internal
host
➔ Dapat diimplementasikan authentifikasi pada user
– Kekurangan
➔ Mengurangi kecepatan akses
➔ Tidak support untuk beberapa protokol, seperti SSH
Tipe Firewall (8)
Application-Level Gateway/Proxy (3)
– Contoh konfigurasi pada Squid Proxy
➔ Konfigurasi engine squid
/etc/squid/squid.conf
– Iptables … FORWARD/INPUT/OUTPUT
➔ FORWARD = melewati sistem
➔ INPUT = masuk ke sistem
➔ OUTPUT= keluar dari sistem
IPtables Firewall (4)
Sintaks IPTables (2)
– Iptables …. –s -d --sport --dport
● s = asal paket. Contoh: –s 10.1.1.0/0
● d = tujuan paket.Contoh: 0.0.0.0/0
– Iptables …. -j
● j = jump. Contoh –j DROP, -j ACCEPT
● Contoh Sintaks
IPtables Firewall (5)
VPN (1)
Menyatukan host ke dalam satu jaringan melalui
internet dan pengamanan transmisi data dengan
kriptografi
Mengapa VPN?
● Avalaibilitas dgn tunneling → Virtual
● Confidentialitas dgn kriptografi → Private
● Integritas dgn kriptografi → Private
VPN (2)
Metode/skenario koneksi
● Remote access
Contoh: Seorang pegawai
yang sedang berada di luar
kota dapat mengakses
resource yang berada di
jaringan internal kantornya
● Site-to-Site
Contoh: Kantor pusat dan
kantor yg berbeda kota
dapat terjembatani menjadi
1 jaringan
VPN (3)
Beberapa jenis protokol VPN
● Point-to-Point Tunneling Protocol (PPTP)
● Layer 2 Forwarding Protocol (L2F)
● Layer 2 Tunneling Protocol (L2TP)
● IPSec
IDS (1)
IDS (Intrussion Detection System)
● Mekanisme untuk mendeteksi adanya penyusupan
Prasarat yang harus terpenuhi
● Aktifitas sistem dapat diamati
● Aktifitas normal dapat dibedakan dengan aktifitas
penyusupan
IDS (2)
Jenis-jenis IDS
● Aktif/tidaknya
➔ Pasif: monitoring, analisis, klasifikasi
➔ Aktif: monitoring, analisis, klasifikasi, blocking dikenal
● Cara mendeteksinya
➔ Knowledge/Rule/Signature based: dicocokkan dengan
database pola-pola serangan yang unique
➔ Behavior/Anomaly detection: deteksi perilaku yang tidak
wajar, anomaly
IDS (3)
Masalah-masalah di IDS
● Tidak dapat menganalisis paket terenkripsi
● Rule/signature harus uptodate
● Adanya kemungkinan false negatif/positif
IDS (4)
Studi Kasus: Snort IDS
● Opensource, dikembangkan oleh komunitas
● Rulenya digunakan sebagai standart IDS di industri
Contoh rule (1)
● ICMP Large Packet/DOS
➔ Rule
➔ Alert
IDS (5)
Contoh rule (2)
● Brute Force Attack pada FTP Account
➔ Rule
➔ Alert
IDS (6)
Implementasi Network IDS
Serangan pada jaringan (1)
Sniffing/penyadapan (1)
● Sniffer mengubah mode
ethernet untuk mendengarkan
seluruh paket data pada
jaringan yang menggunakan
hub sebagai konsentrator
● Solusi:
➔ Gunakan switch-bukan hub
➔ Enkripsi/dekripsi
Serangan pada jaringan (2)
Sniffing/penyadapan (2)
● Active sniffing pada medium switch dengan membelokkan
paket data sehingga melalui PC penyadap
● Solusi:
➔ MAC address gatewaynya diset static
Serangan pada jaringan (3)
SYN-Flood
● Korban mengalokasikan
memori untuk mengingat
sequence number tiap paket
data yang datang sampai
expired time nya terlampaui
● Solusi:
● Mengaktifkan SYN-Cookies
● Bandwidth yang cukup
● Meningkatkan kemampuan
jumlah antrian koneksi
● Perkecil timeout paket data
Serangan pada jaringan (4)
ICMP/UDP Flood
● Membanjiri paket ICMP ke korban
● Solusi:
➔ Block paket ICMP/UDP
menggunakan firewall
Distributed DOS/DDOS
● Serangan DOS (Denial of Service)
secara simultan dalam waktu
bersamaan
● Solusi:
➔ IDS/IPS
➔ Manajemen quota