TKJ SMKN 1 TALLUNGLIPU

Membuat Desain
Sistem Keamanan Jaringan

Oleh :
TIM GURU PRODUKTIF TKJ
SMK NEGERI 1 TALLUNGLIPU

SMK NEGERI 1 TALLUNGLIPU

Jalan Tagari No. 8 Rantepao  (0423) 21361
E-mail : smkn1_rantepao@yahoo.com, Website :www.smkn1rantepao.sch.id
SNI ISO 9001 : 2008

Membuat Desain Sistem Keamanan Jaringan Hal 1

 TKJ SMKN 1 TALLUNGLIPU

Membuat Desain Sistem Keamanan Jaringan

Kompetensi Dasar :
1. Menentukan jenis-jenis keamanan jaringan
2. Mengidentifikasi pengendalian jaringan yang diperlukan
3. Memasang firewall
4. Mendesain sistem keamanan jaringan

Membuat Desain Sistem Keamanan Jaringan Hal 2

 TKJ SMKN 1 TALLUNGLIPU

BAB 1
Menentukan Jenis Keamanan Jaringan

 Dalam masyarakat pertanian tanah aset paling penting negara

dengan produksi tani terbesar memiliki kekuatan bersaing.
 Dalam masyarakat industri kekuatan modal seperti memiliki cadangan
minyak menjadi faktor utama dalam persaingan.
 Dalam masyarakat berbasis informasi dan pengetahuan informasi adalah
komoditi yang sangat penting dan aset paling berharga Kemampuan untuk
mendapatkan akses, menyediakan, menggunakan, dan menganalisis informasi
secara cepat dan akurat.

Definisi Informasi :
 Secara umum, informasi didefinisikan sebagai hasil dari aktivitas mental dan
merupakan produk abstrak yang ditransmisikan melalui medium.
 Dalam bidang teknologi informasi dan komunikasi, informasi adalah hasil dari
pemrosesan, manipulasi dan pengaturan data, yaitu sekumpulan fakta.
 Dalam bidang Keamanan Informasi, informasi diartikan sebagai sebuah aset yg
merupakan sesuatu yang memiliki nilai dan karenanya harus dilindungi.
Definisi ini mengikuti ISO/IEC 27001.

Aspek keamanan informasi

Garfinkel and Spafford mengemukakan bahwa keamanan komputer
(computer security) melingkupi empat aspek, yaitu :
1. Privacy
2. Integrity
3. Authentication
4. availability.
Selain keempat hal di atas, masih ada dua aspek lain yang juga sering
dibahas dalam kaitannya dengan electronic commerce, yaitu access control dan
non-repudiation.

Membuat Desain Sistem Keamanan Jaringan Hal 3

 TKJ SMKN 1 TALLUNGLIPU

Berdasar spesifikasi dari OSI, aspek keamanan komputer meliputi :

 Access Control, Perlindungan terhadap pemakaian tak legal
 Authentication, Menyediakan jaminan identitas seseorang
 Confidentiality (kerahasiaan), Perlindungan terhadap pengungkapan identitas
tak legal
 Integrity, Melindungi dari pengubahan data yang tak legal
 Non-repudiation (penyangkalan), Melindungi terhadap penolakan komunikasi
yang sudah pernah dilakukan

Pendapat yang lain mengatakan, Aspek keamanan informasi adalah aspek-

aspek yang dilingkupi dan melingkupi keamanan informasi dalam sebuah sistem
informasi. Aspek-aspek ini adalah :
 Privacy (privasi/kerahasiaan), menjaga kerahasiaan informasi dari semua
pihak, kecuali yang memiliki kewenangan;
 Integrity (integritas), meyakinkan bahwa data tidak mengalami perubahan
oleh yang tidak berhak atau oleh suatu hal lain yang tidak diketahui (misalnya
buruknya transmisi data);
 Authentication (otentikasi/identifikasi), pengecekan terhadap identitas suatu
entitas, bisa berupa orang, kartu kredit atau mesin;
 Signature, Digital Signature (tanda tangan), mengesahkan suatu informasi
menjadi satu kesatuan di bawah suatu otoritas;
 Authorization (otorisasi), pemberian hak/kewenangan kepada entitas lain di
dalam sistem;
 Validation (validasi), pengecekan keabsahan suatu otorisasi;
 Access Control (kontrol akses), pembatasan akses terhadap entitas di dalam
sistem;
 Certificate (sertifikasi), pengesahan/pemberian kuasa suatu informasi kepada
entitas yang tepercaya;
 Time stamp (pencatatan waktu), mencatat waktu pembuatan atau keberadaan
suatu informasi di dalam sistem;
 Verification (persaksian, verifikasi), memverifikasi pembuatan dan keberadaan
suatu informasi di dalam sistem bukan oleh pembuatnya;

Membuat Desain Sistem Keamanan Jaringan Hal 4

 TKJ SMKN 1 TALLUNGLIPU

 Acknowledgement (tanda terima), pemberitahuan bahwa informasi telah

diterima;
 Confirmation (konfirmasi), pemberitahuan bahwa suatu layanan informasi
telah tersedia;
 Ownership (kepemilikan), menyediakan suatu entitas dengan sah untuk
menggunakan atau mengirimkan kepada pihak lain;
 Anonymous (anonimitas), menyamarkan identitas dari entitas terkait dalam
suatu proses transaksi ;
 Non-repudiation (penyangkalan), mencegah penyangkalan dari suatu entitas
atas kesepakatan atau perbuatan yang sudah dibuat;
 Recall (penarikan), penarikan kembali suatu sertifikat atau otoritas.

Standar Kegiatan Keamanan Informasi

ISO/IEC 27001, atau lengkapnya "ISO/IEC 27001:2005 - Information
technology Security techniques -- Information security management systems --
Requirements", adalah suatu standar sistem manajemen keamanan informasi
(ISMS, information security management system) yang diterbitkan oleh ISO dan
IEC pada Oktober 2005. Standar yang berasal dari BS 7799-2 ini ditujukan untuk
digunakan bersama denganISO/IEC 27002, yang memberikan daftar tujuan
pengendalian keamanan dan merekomendasikan suatu rangkaian pengendalian
keamanan spesifik.
Kegiatan keamanan dalam ISO/IEC27001 terdiri dari 133 kontrol dan 11
domain Beberapa item yang dikontrol di ISO/IEC27001, diantaranya :

Domain Item

A5 Kebijakan keamanan
A6 Organisasi keamanan informasi
A7 Manajemen aset
A8 Keamanan sumber daya manusia
A9 Keamanan fisik dan lingkungan
A10 Manajemen komunikasi dan operasi
A11 Kontrol akses
A12 Pengadaan, pengembangan dan pemeliharaan sistem informasi
A13 Manajemen insiden keamanan informasi
A14 Manajemen keberlangsungan bisnis
A15 Kepatuhan (compliance)

Tabel 1. Beberapa Item yang dikontrol ISO/IEC27001

Membuat Desain Sistem Keamanan Jaringan Hal 5

 TKJ SMKN 1 TALLUNGLIPU

ISO/IEC27001 mengadopsi model proses Plan-Do-Check-Act, yang

digunakan untuk mengatur struktur seluruh proses ISMS. Dalam ISO/IEC27001,
semua bukti hasil penilaian ISMS harus didokumentasikan; sertifikasinya harus
diaudit secara eksternal setiap enam bulan; dan seluruh proses diulangi sesudah
tiga tahun untuk terus mengatur ISMS.

Keterbukaan Informasi
Selain memiliki banyak keuntungan, keterbukaan akses informasi tersebut
memunculkan berbagai masalah baru, antara lain :
 Pemeliharaan validitas dan integritas data/informasi tersebut
 Jaminan ketersediaan informasi bagi pengguna yang berhak
 Pencegahan akses informasi dari yang tidak berhak
 Pencegahan akses sistem dari yang tidak berhak

Konsep 4R
Konsep pengaturan 4R berikut ini adalah cara paling efisien untuk
memelihara dan mengontrol nilai informasi. 4R keamanan informasi adalah Right
Information (Informasi yang benar), Right People (Orang yang tepat), Right Time
(Waktu yang tepat) dan Right Form (Bentuk yang tepat).
1. Right Information mengacu pada ketepatan dan kelengkapan informasi, yang
menjamin integritas informasi.
2. Right People berarti informasi tersedia hanya bagi individu yang berhak, yang
menjamin kerahasiaan.
3. Right Time mengacu pada aksesibilitas informasi dan penggunaannya atas
permintaan entitas yang berhak. Ini menjamin ketersediaan.
4. Right Form mengacu pada penyediaan informasi dalam format yang tepat.

Piramida Metodologi Kemananan

Berikut ini adalah piramida metodologi keamanan. Secara singkat pada
piramida di bawah ini telah tergambar unsur-unsur apa saja yang dibutuhkan
dalam membangun sebuah sistem keamanan secara utuh

Membuat Desain Sistem Keamanan Jaringan Hal 6

 TKJ SMKN 1 TALLUNGLIPU

Gambar 1. Piramida Metodologi Keamanan

Orang yang Terlibat

1. Administrator System (SysAdmin), Network Admin, stakeholder
2. Phreaker  Orang yang mengetahui sistem telekomunikasi dan memanfaatkan
kelemahan sistem pengamanan telepon tersebut
3. Hacker  Orang yang mempelajari sistem yang biasanya sukar dimengerti
untuk kemudian mengelolanya dan men-share hasil ujicoba yang
dilakukannya. Hacker tidak merusak sistem
4. Craker  Orang yang mempelajari sistem dengan maksud jahat – Muncul
karena sifat dasar manusia (salah satunya merusak)

Membuat Desain Sistem Keamanan Jaringan Hal 7

 TKJ SMKN 1 TALLUNGLIPU

Ancaman Jaringan komputer dilihat dari BENTUKNYA :

 Fisik (physical)
- Pencurian perangkat keras komputer atau perangkat jaringan
- Bencana alam (banjir, kebakaran, dll) Major cause
- Kerusakan pada komputer dan perangkat komunikasi jaringan
- Wiretapping Man the Middle Attack Aktif / Pasif
- Wardriving Man the Middle Attack Aktif / Pasif
 Logik (logical)
- Kerusakan pada sistem operasi atau aplikasi
- Virus
- Sniffing, dan lain lain seperti tersebut di bawah ini

Ancaman Jaringan komputer dilihat dari JENIS-JENISNYA

Jenis-jenis Serangan Keamanan Informasi yang menjadi tren dan arah Keamanan
Informasi :
1) Probe
Probe atau yang biasa disebut probing adalah usaha untuk mengakses sistem
dan mendapatkan informasi tentang sistem
2) Scan
Scan adalah probing dalam jumlah besar menggunakan suatu tool
3) Account compromise Meliputi User compromize dan root compromize
4) Packet Snifer Adalah sebuah program yang menangkap / mngcaptur data dari
paket yang lewat di jaringan. (username, password, dan informasi penting
lainnya)
5) Hacking
Hacking adalah tindakan memperoleh akses ke komputer atau jaringan
komputer untuk mendapatkan atau mengubah informasi tanpa otorisasi yang
sah
6) Denial-of-Service
Serangan Denial-of-service (DoS) mencegah pengguna yang sah dari
penggunaan layanan ketika pelaku mendapatkan akses tanpa izin ke mesin
atau data. Ini terjadi karena pelaku membanjiri jaringan dengan volume data

Membuat Desain Sistem Keamanan Jaringan Hal 8

 TKJ SMKN 1 TALLUNGLIPU

yang besar atau sengaja menghabiskan sumber daya yang langka atau
terbatas, seperti process control blocks atau koneksi jaringan yang tertunda.
Atau mereka mengganggu komponen fisik jaringan atau memanipulasi data
yang sedang dikirimkan, termasuk data terenkripsi.
7) Malicious code (Kode Berbahaya)
Malicious code adalah program yang menyebabkan kerusakan sistem ketika
dijalankan. Virus, worm dan Trojan horse merupakan jenis-jenis malicious
code.
a. Virus Komputer adalah sebuah program komputer atau kode program
yang merusak sistem komputer dan data dengan mereplikasi dirinya
sendiri melalui peng-copy-an ke program lain, boot sector komputer atau
dokumen.
b. Worm adalah virus yang mereplikasi dirinya sendiri yang tidak mengubah
file, tetapi ada di memory aktif, menggunakan bagian dari sistem operasi
yang otomatis dan biasanya tidak terlihat bagi pengguna. Replikasi
mereka yang tidak terkontrol memakan sumber daya sistem,
melambatkan atau menghentikan proses lain. Biasanya hanya jika ini
terjadi keberadaan worm diketahui.
c. Trojan horse adalah program yang sepertinya bermanfaat dan/atau tidak
berbahaya tetapi sesungguhnya memiliki fungsi merusak seperti unloading
hidden program atau command scripts yang membuat sistem rentan
gangguan.

8) Social Engineering / Exploitation of Trust

Sekumpulan teknik untuk memanipulasi orang sehingga orang tersebut
membocorkan informasi rahasia. Meskipun hal ini mirip dengan permainan
kepercayaan atau penipuan sederhana, istilah ini mengacu kepada penipuan
untuk mendapatkan informasi atau akses sistem komputer. Beberapa jebakan
yang dapat dilakukan diantaranya dengan :
 Memanfaatkan kepercayaan orang dalam bersosialisasi dengan komputer.
 Memanfaatkan kesalahan orang secara manusiawi misal : kesalahan ketik,
asal klik, next-next, dll

Membuat Desain Sistem Keamanan Jaringan Hal 9

 TKJ SMKN 1 TALLUNGLIPU

 Bisa dengan cara membuat tampilan Login yang mirip (teknik fake login),
diarahkan ke tempat lain, juga biasanya dibuat url yang hampir sama untuk
web contoh kasus : www.klikbca.com

9) Phishing
Tindakan pemalsuan terhadap data / identitas resmi yang dilakukan untuk hal
yang berkaitan dengan pemanfaatannya. Phising diawali dengan mencuri
informasi personal melalui Internet. Phishing telah menjadi aktivitas kriminal
yang banyak dilakukan di Internet.

10) Deface
Perubahan terhadap tampilan suatu website secara illegal.

11) Carding
Pencurian data terhadap identitas perbankan seseorang, misalnya pencurian
nomor kartu kredit, digunakan untuk memanfaatkan saldo yang terdapat pada
rekening tersebut untuk keperluan belanja online.

Membuat Desain Sistem Keamanan Jaringan Hal 10

 TKJ SMKN 1 TALLUNGLIPU

BAB 2
Mengidentifikasi Pengendalian
Jaringan yang Diperlukan

Risk Management Model

Lawrie Brown dalam bukunya menyarankan menggunakan “Risk
Management Model” untuk menghadapi ancaman (managing threats). Ada tiga
komponen yang memberikan kontribusi kepada Risk, yaitu Asset, Vulnerabilities,
dan Threats.

Kontribusi terhadap Risk

Nama komponen Contoh dan keterangan lebih lanjut

Assets (aset)  Hardware, software, dokumentasi, data, komunikasi,

lingkungan, manusia

Threats (ancaman)  pemakai (users), teroris, kecelakaan (accidents),

crackers, penjahat kriminal, nasib (acts of God), intel
luar negeri (foreign intelligence)

Vulnerabilities  Software bugs, hardware bugs, radiasi (dari layar,

(kelemahan) transmisi), tapping, crosstalk, unauthorized users,
cetakan, hardcopy atau print out, keteledoran
(oversight), cracker via telepon, storage media

Tabel 2. Nama Komponen dan Contohnya yang berkontribusi terhadap Risk

Untuk menanggulangi resiko (Risk) tersebut dilakukan apa yang disebut

“countermeasures” yang dapat berupa:
 usaha untuk mengurangi Threat
 usaha untuk mengurangi Vulnerability
 usaha untuk mengurangi impak (impact)
 mendeteksi kejadian yang tidak bersahabat (hostile event)
 kembali (recover) dari kejadian

Membuat Desain Sistem Keamanan Jaringan Hal 11

 TKJ SMKN 1 TALLUNGLIPU

Analisis SWOT

Analisis SWOT (singkatan bahasa Inggris dari strengths (kekuatan),

weaknesses (kelemahan), opportunities (kesempatan), dan threats
(ancaman) adalah metode perencanaan strategis yang digunakan untuk
mengevaluasi kekuatan, kelemahan, peluang, dan ancaman dalam suatu keadaan
tertentu. Dalam tinjauan keamanan jaringan, analisis SWOT mencoba memetakan
keadaan yang ingin dicapai yaitu terciptanya keamanan informasi dan keamanan
jaringan, dan mengidentifikasikan faktor internal dan faktor eksternal yang
membantu dan yang membahayakan tercapainya keamanan jaringan dan
keamanan informasi.

Gambar 2. Analisis SWOT

Teknik ini dibuat oleh Albert Humphrey, yang memimpin proyek riset pada
Universitas Stanfordpada dasawarsa 1960-an dan 1970-an dengan menggunakan
data dari perusahaan-perusahaan Fortune 500 Setelah memetakan dan mengenali
faktor-faktor tersebut, maka diperlukan usaha untuk meningkatkan strengths
(kekuatan), mengurangi dan menutupi weaknesses (kelemahan), memanfaatkan
opportunities (kesempatan), dan juga usaha untuk mengurangi dan
mengantisipasi Threats (ancaman).

Membuat Desain Sistem Keamanan Jaringan Hal 12

 TKJ SMKN 1 TALLUNGLIPU

Port
Dalam protokol jaringan TCP/IP, sebuah port adalah mekanisme yang
mengizinkan sebuah komputer untuk mendukung beberapa sesi koneksi dengan
komputer lainnya dan program di dalam jaringan. Port dapat mengidentifikasikan
aplikasi dan layanan yang menggunakan koneksi di dalam jaringan TCP/IP.
Sehingga, port juga mengidentifikasikan sebuah proses tertentu di mana sebuah
server dapat memberikan sebuah layanan kepada klien atau bagaimana sebuah
klien dapat mengakses sebuah layanan yang ada dalam server.

Port dapat dikenali dengan angka 16-bit (dua byte) yang disebut dengan
Port Number dan diklasifikasikan dengan jenis protokol transport apa yang
digunakan, kedalam Port TCP dan Port UDP. Karena memiliki angka 16-bit, maka
total maksimum jumlah port untuk setiap protokol transport yang digunakan
adalah 216 = 65536 buah.

Dilihat dari penomorannya, port UDP dan TCP dibagi menjadi tiga jenis,
yakni sebagai berikut:
 Well-known Port: yang pada awalnya berkisar antara 0 hingga 255 tapi
kemudian diperlebar untuk mendukung antara 0 hingga 1023. Port number
yang termasuk ke dalam well-known port, selalu merepresentasikan
layanan jaringan yang sama, dan ditetapkan oleh Internet Assigned
Number Authority (IANA). Beberapa di antara port-port yang berada di
dalam range Well-known port masih belum ditetapkan dan direservasikan
untuk digunakan oleh layanan yang bakal ada di masa depan. Well-known
port didefinisikan dalam RFC 1060.

 Registered Port: Port-port yang digunakan oleh vendor-vendor komputer

atau jaringan yang berbeda untuk mendukung aplikasi dan sistem operasi
yang mereka buat. Registered port juga diketahui dan didaftarkan oleh
IANA tapi tidak dialokasikan secara permanen, sehingga vendor lainnya
dapat menggunakan port number yang sama. Range registered port

Membuat Desain Sistem Keamanan Jaringan Hal 13

 TKJ SMKN 1 TALLUNGLIPU

berkisar dari 1024 hingga 49151 dan beberapa port di antaranya adalah
Dynamically Assigned Port.

 Dynamically Assigned Port: merupakan port-port yang ditetapkan oleh

sistem operasi atau aplikasi yang digunakan untuk melayani request dari
pengguna sesuai dengan kebutuhan. Dynamically Assigned Port berkisar
dari 1024 hingga 65536 dan dapat digunakan atau dilepaskan sesuai
kebutuhan.

Membuat Desain Sistem Keamanan Jaringan Hal 14

 TKJ SMKN 1 TALLUNGLIPU

BAB 3
Firewall

Pengertian Firewall :
 Adalah mekanisme kontrol akses pada level jaringan,
 Aplikasi Penghambat yang dibangun untuk memisahkan jaringan privat
dengan jaringan publik (Internet)
 Aplikasi diimplementasikan pada : software, hardware, Router Access,
ataupun Server Access atau beberapa Router Acess ataupun beberapa
Server Access
 Menggunakan suatu (rule)/Policy berupa daftar akses (Access List), dan
metode lain untuk menjamin keamanan jaringan privat

Gambar 3. Firewall

Firewall adalah salah peralatan atau suatu aplikasi pada sistem operasi
yang dibutuhkan oleh jaringan komputer untuk melindungi intergritas data/sistem
jaringan dari serangan-serangan pihak yang tidak bertanggung jawab. Caranya
dengan melakukan filterisasi terhadap paket-paket yang melewatinya. Firewall
tersusun dari aturan-aturan yang diterapkan baik terhadap hardware, software
ataupun sistem itu sendiri dengan tujuan untuk melindungi jaringan, baik dengan

Membuat Desain Sistem Keamanan Jaringan Hal 15

 TKJ SMKN 1 TALLUNGLIPU

melakukan filterisasi, membatasi, ataupun menolak suatu permintaan koneksi dari

jaringan luar lainnya seperti internet.

Gambar 4. Firewall memisahkan antara public dengan private network

Pada firewall terjadi beberapa proses yang memungkinkannya melindungi

jaringan. Ada tiga macam Proses yang terjadi pada firewall, yaitu:
1. Modifikasi header paket, digunakan untuk memodifikasi kualitas layanan
bit paket TCP sebelum mengalami proses routing.
2. Translasi alamat jaringan, translasi yang terjadi dapat berupa translasi
satu ke satu (one to one), yaitu satu alamat IP privat dipetakan kesatu
alamat IP publik atau translasi banyak kesatu (many to one) yaitu beberapa
alamat IP privat dipetakan kesatu alamat publik.
3. Filter paket, digunakan untuk menentukan nasib paket apakah dapat
diteruskan atau tidak.

Membuat Desain Sistem Keamanan Jaringan Hal 16

 TKJ SMKN 1 TALLUNGLIPU

Jenis Firewall Hardware dan Software

1) Software Firewall
Adalah program yang berjalan pada background komputer. Software ini
mengevaluasi setiap request dari jaringan dan menetukan apakah request
itu valid atau tidak.
Kelebihan :
 Harganya murah
 Mudah dikonfigurasi
Kekurangan :
 Memakan sumber daya dari komputer (CPU,memory, disk)
 Terdapat versi yang berbeda dan untuk OS yang berbeda pula
 Dibutuhkan beberapa copy dan konfigurasi untuk tiap sistem dalam
jaringan

2) Hardware Firewall
Adalah firewall yang dipasang pada komputer, yang menghubungkan
komputer dengan modem
Kelebihan :
 Menyediakan perlindungan yang lebih banyak dibandingkan software
firewall
 Beroperasi secara independen terhadap sistem operasi dan aplikasi
perangkat lunak, sehingga kompabilitasnya tinggi
Kekurangan :
 Cenderung lebih mahal

Teknologi Firewall

 Packet Filtering Gateway (Router, Cisco IOS, dll.) ->Stateless

 Application Level Gateway / Proxy-based (NAI Gauntled, Axent Raptor, dll.)
 Circuit Level Gateway
 Statefull Multi Layer Inspection Firewall (Checkpoint FW-1, PIX, dll.)

Membuat Desain Sistem Keamanan Jaringan Hal 17

 TKJ SMKN 1 TALLUNGLIPU

1. Packet Filtering Gateway

Prinsip : adalah memperbolehkan (grant) atau membatalkan (deny) terhadap
suatu access, dengan beberapa variabel:
 Source Address
 Destination Address
 Protocol (TCP/UDP)
 Source Port number
 Destination Port number
Packet filtering gateway dapat diartikan sebagai firewall yang bertugas
melakukan filterisasi terhadap paket-paket yang datang dari luar jaringan
yang dilindunginya.

Aplication Layer

Transport Layer

Paket data hanya

Internet Layer
difilter di layer ini

Network Layer

Physical Layer

2. Circuit Level Gateway

Model firewall ini bekerja pada bagian Lapisan transport dari model referensi
TCP/IP. Firewall ini akan melakukan pengawasan terhadap awal hubungan
TCP yang biasa disebut sebagai TCP Handshaking, yaitu proses untuk
menentukan apakah sesi hubungan tersebut diperbolehkan atau tidak.
Bentuknya hampir sama dengan Application Layer Gateway, hanya saja
bagian yang difilter terdapat ada lapisan yang berbeda, yaitu berada pada
layer Transport.

Membuat Desain Sistem Keamanan Jaringan Hal 18

 TKJ SMKN 1 TALLUNGLIPU

Aplication Layer

Paket data hanya

Transport Layer
difilter di layer ini

Internet Layer

Network Layer

Physical Layer

3. Application Level Gateway

Adalah gateway yang bekerja pada level aplikasi pada layer OSI, Model
firewall ini juga dapat disebut Proxy Firewall. Mekanismenya tidak hanya
berdasarkan sumber, tujuan dan atribut paket, tapi bisa mencapai isi (
content ) paket tersebut. Bila kita melihat dari sisi layer TCP/IP, firewall jenis
ini akan melakukan filterisasi pada layer aplikasi ( Application Layer ).

Filter paket data

Aplication Layer dilakukan di layer
aplikasi
Transport Layer

Internet Layer

Network Layer

Physical Layer

4. Statefull Packet-filter-Based Firewalls

Model firewall ini merupakan penggabungan dari ketiga firewall
sebelumnya. Firewall jenis ini akan bekerja pada lapisan Aplikasi, Transport
dan Internet. Dengan penggabungan ketiga model firewall yaitu Packet
Filtering Gateway, Application Layer Gateway dan Circuit Level Gateway,

Membuat Desain Sistem Keamanan Jaringan Hal 19

 TKJ SMKN 1 TALLUNGLIPU

mungkin dapat dikatakan firewall jenis ini merupakan firewall yang,

memberikan fitur terbanyak dan memberikan tingkat keamanan yang paling
tinggi.

Aplication Layer
Filter Paket data
Transport Layer dilakukan diketiga
layer ini
Internet Layer

Network Layer

Physical Layer

Beberapa Konfigurasi Firewall

1. Screened Host Firewall (singled-homed bastion)
2. Screened Host Firewall (Dual-homed bastion)
3. Screened Subnet Firewall

Aplikasi pengendalian jaringan dengan menggunakan firewall dapat

diimplementasikan dengan menerapkan sejumlah aturan (chains) pada topologi
yang sudah ada. Dalam hal pengendalian jaringan dengan menggunakan iptables,
ada dua hal yang harus diperhatikan yaitu:
1. Koneksi paket yang menerapkan firewall yang digunakan.
2. Konsep firewall yang diterapkan.
Dengan dua hal ini diharapkan iptables sebagai aturan yang mendefinisikan
firewall dapat mengenali apakah koneksi yang terjadi berupa koneksi baru (NEW),
koneksi yang telah ada (ESTABLISH), koneksi yang memiliki relasi dengan koneksi
lainnya (RELATED) atau koneksi yang tidak valid (INVALID). Keempat macam
koneksi itulah yang membuat IPTables disebut Statefull Protocol.

Membuat Desain Sistem Keamanan Jaringan Hal 20

 TKJ SMKN 1 TALLUNGLIPU

Koneksi Paket

Koneksi paket yang dalam proses pengirimannya dari pengirim kepada

penerima harus melalui aturan firewall, dapat dikelompokan kepada tiga kelompok
koneksi, yaitu :
 Koneksi TCP
 Koneksi IP
 Koneksi UDP

1. Koneksi TCP
Sebuah koneksi TCP dikenal sebagai koneksi yang bersifat Connection
Oriented yang berarti sebelum melakukan pengiriman data, mesin-mesin
tersebut akan melalui 3 langkah cara berhubungan ( 3-way handshake ).

2. Koneksi IP
Sebuah frame yang diidentifikasi menggunakan kelompok protokol
Internet (IP) harus melalui aturan firewall yang didefinisikan menggunakan
protokol IP sebelum paket tersebut mendapat jawaban koneksi dari tujuan
paket tersebut. Salah satu paket yang merupakan kelompok protokol IP
adalah ICMP, yang sering digunakan sebagai aplikasi pengujian koneksi (link)
antar host.

3. Koneksi UDP
Berbeda dengan koneksi TCP, koneksi UDP (Gambar 11.11) bersifat
connectionless. Sebuah mesin yang mengirimkan paket UDP tidak akan
mendeteksi kesalahan terhadap pengiriman paket tersebut.
Paket UDP tidak akan mengirimkan kembali paket-paket yang mengalami
error. Model pengiriman paket ini akan lebih efisien pada koneksi broadcasting
atau multicasting

Membuat Desain Sistem Keamanan Jaringan Hal 21

 TKJ SMKN 1 TALLUNGLIPU

Mata Rantai (chain) iptables

INCOMING PACKET OUTGOING PACKET

PREROUTING Mangle
mangle POSTROUTING

Routing Filter Mangle POSTROUTING

PREROUTING
decision FORWARD FORWARD nat (SNAT)
nat (DNAT)

nat OUTPUT
(DNAT)
Filter
INPUT
Filter
OUTPUT

Mangle Mangle
INPUT Local Process OUTPUT

Gambar 5. Proses yang terjadi pada paket yang melewati suatu firewall

Untuk membangun sebuah firewall, yang harus kita ketahui pertama-tama

adalah bagaimana sebuah paket diproses oleh firewall, apakah paket-paket yang
masuk akan di buang (DROP) atau diterima (ACCEPT), atau paket tersebut akan
diteruskan (FORWARD) ke jaringan yang lain.
Salah satu tool yang banyak digunakan untuk keperluan proses pada firewall
adalah iptables. Program iptables adalah program administratif untuk Filter Paket
dan NAT (Network Address Translation). Untuk menjalankan fungsinya, iptables
dilengkapi dengan tabel mangle, nat dan filter.

Membuat Desain Sistem Keamanan Jaringan Hal 22

 TKJ SMKN 1 TALLUNGLIPU

NAT (SNAT dan DNAT)

Salah satu kelebihan IPTABLES adalah untuk dapat memfungsikan komputer

kita menjadi gateway menuju internet. Teknisnya membutuhkan tabel lain pada
IPTABLES selain ketiga tabel diatas, yaitu tabel NAT

Gambar 6. SNAT dan DNAT

SNAT digunakan untuk mengubah alamat IP pengirim ( source IP address ).

Biasanya SNAT berguna untuk menjadikan komputer sebagai gateway menuju ke
internet. Misalnya komputer kita menggunakan alamat IP 192.168.0.1. IP tersebut
adalah IP lokal.
SNAT akan mengubah IP lokal tersebut menjadi IP publik, misalnya
202.51.226.35. Begitu juga sebaliknya, bila komputer lokal kita bisa di akses dari
internet maka DNAT yang akan digunakan.
Mangle pada IPTABLES banyak digunakan untuk menandai ( marking )
paket-paket untuk di gunakan di proses-proses selanjutnya. Mangle paling banyak
di gunakan untuk bandwidth limiting atau pengaturan bandwidth.
Fitur lain dari mangle adalah kemampuan untuk mengubah nilai Time to Live
(TTL) pada paket dan TOS (type of service).

Membuat Desain Sistem Keamanan Jaringan Hal 23

 TKJ SMKN 1 TALLUNGLIPU

BAB 4
Mendesain Sistem Keamanan Jaringan

Metode Keamanan Jaringan

Dalam merencanakan suatu keamanan jaringan, ada beberapa metode yang
dapat ditetapkan, metode-metode tersebut adalah sebagai berikut :
1. Pembatasan akses pada suatu jaringan
Ada beberapa konsep dalam pembatasan akses jaringan, yakni sebagai
berikut :
a. Internal Password Authentication
Password local untuk login ke sistem harus merupakan password yang
baik serta dijaga dengan baik. Pengguaan aplikasi shadow password akan
sangat membantu.
b. Server Based password authentication
Termasuk dalam metoda ini misalnya sistem Kerberos server, TCP-
wrapper, dimana setiap service yang disediakan oleh server tertentu
dibatasi dengan suatu daftar host dan user yang boleh dan tidak boleh
menggunakan service tersebut
c. Server-based token authentication
Metoda ini menggunakan authentication system yang lebih ketat, yaitu
dengan penggunaan token / smart card, sehingga untuk akses tertentu
hanya bisa dilakukan oleh login tertentu dengan menggunakan token
khusus.
d. Firewall dan Routing Control
Firewall melindungi host-host pada sebuah network dari berbagai
serangan. Dengan adanya firewall, semua paket ke sistem di belakang
firewall dari jaringan luar tidak dapat dilakukan langsung. Semua
hubungan harus dilakukan dengan mesin firewall

Membuat Desain Sistem Keamanan Jaringan Hal 24

 TKJ SMKN 1 TALLUNGLIPU

2. Menggunakan Metode dan mekanisme tertentu

• Enkripsi
Salah satu cara pembatasan akses adalah dengan enkripsi. Proses enkripsi
meng-encode data dalam bentuk yang hanya dapat dibaca oleh sistem yang
mempunyai kunci untuk membaca data. Proses enkripsi dapat dengan
menggunakan software atau hardware. Hasil enkripsi disebut cipher. Cipher
kemudian didekripsi dengan device dan kunci yang sama tipenya (sama
hardware/softwarenya, sama kuncinya). Dalam jaringan, sistem enkripsi harus
sama antara dua host yang berkomunikasi. Jadi diperlukan kontrol terhadap
kedua sistem yang berkomunikasi. Biasanya enkripsi digunakan untuk suatu
sistem yang seluruhnya dikontrol oleh satu otoritas.

Terminologi Kriptografi

Kriptografi (cryptography) merupakan ilmu dan seni untuk menjaga pesan

agar aman. (Cryptography is the art and science of keeping messages secure.
[40]) “Crypto” berarti “secret” (rahasia) dan “graphy” berarti “writing”
(tulisan) [3]. Para pelaku atau praktisi kriptografi disebut cryptographers.
Sebuah algoritma kriptografik (cryptographic algorithm), disebut cipher,
merupakan persamaan matematik yang digunakan untuk proses enkripsi dan
dekripsi. Biasanya kedua persamaan matematik (untuk enkripsi dan dekripsi)
tersebut memiliki hubungan matematis yang cukup erat.

Terminologi Enskripsi - Dekripsi

Proses yang dilakukan untuk mengamankan sebuah pesan (yang disebut

plaintext) menjadi pesan yang tersembunyi (disebut ciphertext) adalah
enkripsi (encryption). Ciphertext adalah pesan yang sudah tidak dapat dibaca
dengan mudah. Menurut ISO 7498-2, terminologi yang lebih tepat digunakan
adalah “encipher”. Proses sebaliknya, untuk mengubah ciphertext menjadi
plaintext, disebut dekripsi (decryption). Menurut ISO 7498-2, terminologi yang
lebih tepat untuk proses ini adalah “decipher”.

Membuat Desain Sistem Keamanan Jaringan Hal 25

 TKJ SMKN 1 TALLUNGLIPU

 Digital Signature
Digunakan untuk menyediakan authentication, perlindungan, integritas,
dan nonrepudiation
 Algoritma Checksum/Hash
Digunakan untuk menyediakan perlindungan integritas, dan dapat
menyediakan authentication
 Satu atau lebih mekanisme dikombinasikan untuk menyediakan security
service

3. Pemonitoran terjadwal terhadap jaringan

Dengan adanya pemantauan yang teratur, maka penggunaan sistem oleh
yang tidak berhak dapat dihindari / cepat diketahui. Untuk mendeteksi
aktifitas yang tidak normal, maka perlu diketahui aktifitas yang normal. Proses
apa saja yang berjalan pada saat aktifitas normal. Siapa saja yang biasanya
login pada saat tersebut. Siapa saja yang biasanya login diluar jam kerja. Bila
terjadi keganjilan, maka perlu segera diperiksa. Bila hal-hal yang
mencurigakan terjadi, maka perlu dijaga kemungkinan adanya intruder.
Metodologi keamanan informasi bertujuan untuk meminimalisasi
kerusakan dan memelihara keberlangsungan bisnis dengan memerhatikan
semua kemungkinan kelemahan dan ancaman terhadap aset informasi. Untuk
menjamin keberlangsungan bisnis, metodologi keamanan informasi berusaha
memastikan kerahasiaan, integritas dan ketersediaan aset informasi internal.
Hal ini termasuk penerapan metode dan kontrol manajemen risiko. Pada
dasarnya, yang dibutuhkan adalah rencana yang bagus dan meliputi aspek
administratif, fisik, serta teknis dari keamanan informasi.
Beberapa Langkah dalam perancangan Sistem dengan memperhatikan
aspek Keamanan Jaringan :
1. Menentukan topologi jaringan yang akan digunakan.
2. Menentukan kebijakan atau policy.
3. Menentukan aplikasi – aplikasi atau servis-servis apa saja yang akan
berjalan.

Membuat Desain Sistem Keamanan Jaringan Hal 26

 TKJ SMKN 1 TALLUNGLIPU

4. Menentukan pengguna-pengguna mana saja yang akan dikenakan oleh

satu atau lebih aturan firewall.
5. Menerapkan kebijakan, aturan, dan prosedur dalam implementasi firewall.
6. Sosialisasi kebijakan, aturan, dan prosedur yang sudah diterapkan.

Arsitektur sistem IDS

Intrusion Detection System (IDS) pada implementasi tugas akhir ini tediri dari
komponen komponen / modul :
1. Sensor modul
2. Analyzer modul
3. Database system

Sensor berfungsi untuk mengambil data dari jaringan. Sensor merupakan

bagian dari sistem deteksi dini dari IDS. Untuk itu digunakan suatu program yang
berfungsi sebagai intrusion detector dengan kemampuan packet logging dan
analisis traffik yang realtime. Analyzer berfungsi untuk analisa paket yang lewat
pada jaringan. Informasi dari analyzer yang akan menjadi input bagi sistem
lainnya.
Salah satu perangkat lunak yang sering digunakan pada IDS adalah snort,
karena snort mempunyai kemampuan menjadi sensor dan analyzer serta sesuai
untuk diterapkan pada rancangan sistem keamanan.

Membuat Desain Sistem Keamanan Jaringan Hal 27

 TKJ SMKN 1 TALLUNGLIPU

Arsitektur Sistem AIRIDS (Automatic Interactive Reactive

Intrusion Detection System)

AIRIDS merupakan suatu metode kemanan jaringan yang bertujuan untuk

membentuk suatu arsitektur sistem keamanan yang terintegrasi antara Intrusion
Detection System (IDS), Firewall System, Database System dan Monitoring
System.
komponen-komponen / modul AIRIDS berupa :
1. Intrusion detection system (IDS)
a. Sensor modul
b. Analyzer modul
2. Database system
3. Monitoring system
4. Firewall system
5. SMS system (optional)

Membuat Desain Sistem Keamanan Jaringan Hal 28