BAB X
MEMBANGUN SISTEM KEAMANAN
JARINGAN KOMPUTER
Kompetensi Inti Guru (KI) : Menguasai materi, struktur, konsep dan pola pikir
keilmuan yang mendukung mata pelajaran yang diampu
Kompetensi Dasar (KD) : Membangun Sistem Keamanan Jaringan Komputer
Indikator Pencapaian : Menganalisis sistem keamanan jaringan yang diperlukan
Kompetensi (IPK)
1
b. Interception. Suatu pihak yang tidak berwenang mendapatkan akses pada suatu
aset. Pihak yang dimaksud bisa berupa orang, program, atau sistem yang lain.
Contohnya adalah penyadapan terhadap data dalam suatu jaringan.
c. Modification. Suatu pihak yang tidak berwenang dapat melakukan perubahan
terhadap suatu aset. Contohnya adalah perubahan nilai pada file data, modifikasi
program sehingga berjalan dengan tidak semestinya, dan modifikasi pesan yang
sedang ditransmisikan dalam jaringan.
d. Fabrication. Suatu pihak yang tidak berwenang menyisipkan objek palsu ke dalam
sistem. Contohnya adalah pengiriman pesan palsu kepada orang lain.
a. Confidentiality, Mensyaratkan bahwa informasi (data) hanya bisa diakses oleh pihak
yang memiliki wewenang.
b. Integrity, Mensyaratkan bahwa informasi hanya dapat diubah oleh pihak yang
memiliki wewenang.
c. Availability, Mensyaratkan bahwa informasi tersedia untuk pihak yang memiliki
wewenang ketika dibutuhkan.
d. Authentication, Mensyaratkan bahwa pengirim suatu informasi dapat diidentifikasi
dengan benar dan ada jaminan bahwa identitas yang didapat tidak palsu.
e. Nonrepudiation, Mensyaratkan bahwa baik pengirim maupun penerima informasi
tidak dapat menyangkal pengiriman dan penerimaan pesan.
2
10.3 Menerapkan Langkah-Langkah Penguatan Host (Host Hardening)
Host hardening yaitu prosedur untuk meminimalkan ancaman/serangan yang
datang baik dengan cara mengatur konfigurasi atau menonaktifkan aplikasi dan layanan
yang tidak diperlukan.
Hardening system dapat disimpulkan sebagai lngkah awal untuk bertahan dan
mengevaluasi dari serangan yang dilakukan terhadap sistem operasi (komputer), hal ini
meliputi:
1. Memasang firewall yang berfungsi untuk mengizinkan lalulintas atau paket data
yang dianggap aman dan mencegah lalulintas data yang dianggap tidak aman.
Secara umum firewall akan memisahkan public network dan private network.
Firewall bekerja dengan mengamati paket IP (internet Protocol) yang melewatinya.
2. Enkripsi / Dekripsi yaitu salah satu mekanisme untuk meningkatkan keamanan data
dimana data-data yang dikirim akan diubah sedemikian rupa sehingga tidak mudah
disadap.
3. Logs yang berfungsi untuk melihat aktifitas yang terjadi dan kemungkinan besar
dapat melakukan antisipasi apabila terlihat beberapa aktifitas yang mencurigakan.
4. IDS (intrusion Detection System) yaitu system yang akan mendeteksi jenis serangan
dari “signature” atau “pattern” pada aktifitas jaringan bahkan dapat melakukan
blocking terhadap traffic yang mencurigakan.
5. Anti Virus merupakan software untuk mengatasi virus yang menyerang keamanan
system jaringan komputer.
6. Honeypot bertujuan untuk melihat teknik yang digunakan oleh attacker untuk
dapat masuk kedalam system.
3
10.4 Menganalisis Firewall Pada Host dan Server Menggunakan IP Tables
Firewall dapat digunakan untuk melindungi jaringan anda dari serangan jaringan
oleh pihak luar, namun firewall tidak dapat melindungi dari serangan yang tidak melalui
firewall dan serangan dari seseorang yang berada di dalam jaringan anda, serta firewall
tidak dapat melindungi anda dari program-program aplikasi yang ditulis dengan buruk.
Secara umum, firewall biasanya menjalankan fungsi:
1. Network level
Firewall network level mendasarkan keputusan mereka pada alamat sumber, alamat
tujuan dan port yang terdapat dalam setiap paket IP. Network level firewall sangat cepat
dan sangat transparan bagi pemakai. Application level firewall biasanya adalah host yang
4
berjalan sebagai proxy server, yang tidak mengijinkan lalu lintas antar jaringan, dan
melakukan logging dan auditing lalu lintas yang melaluinya.
2. Application level.
Application level firewall menyediakan laporan audit yang lebih rinci dan cenderung lebih
memaksakan model keamanan yang lebih konservatif daripada network level firewall.
Firewall ini bisa dikatakan sebagai jembatan. Application-Proxy Firewall biasanya berupa
program khusus, misal squid.
Firewall IPTables packet filtering memiliki tiga aturan (policy), yaitu:
a. INPUT
Mengatur paket data yang memasuki firewall dari arah intranet maupun internet. kita
bisa mengelola komputer mana saja yang bisa mengakses firewall. misal: hanya
komputer IP 192.168.1.100 yang bisa SSH ke firewall dan yang lain tidak boleh.
b. OUTPUT
Mengatur paket data yang keluar dari firewall ke arah intranet maupun internet.
Biasanya output tidak diset, karena bisa membatasi kemampuan firewall itu sendiri.
c. FORWARD
Mengatur paket data yang melintasi firewall dari arah internet ke intranet
maupun sebaliknya. Policy forward paling banyak dipakai saat ini untuk mengatur
koneksi internet berdasarkan port, mac address dan alamat IP.
Selain aturan (policy) firewall iptables juga mempunyai parameter yang disebut
dengan TARGET, yaitu status yang menentukkan koneksi di iptables diizinkan lewat atau
tidak. TARGET ada tiga macam yaitu:
ACCEPT
Akses diterima dan diizinkan melewati firewall
REJECT
Akses ditolak, koneksi dari komputer klien yang melewati firewall langsung
terputus, biasanya terdapat pesan "Connection Refused". Target Reject tidak
menghabiskan bandwidth internet karena akses langsung ditolak, hal ini
berbeda dengan DROP.
5
DROP
Akses diterima tetapi paket data langsung dibuang oleh kernel, sehingga
pengguna tidak mengetahui kalau koneksinya dibatasi oleh firewall, pengguna
melihat seakan-akan server yang dihubungi mengalami permasalahan teknis.
Pada koneksi internet yang sibuk dengan trafik tinggi Target Drop sebaiknya
jangan digunakan. antara jaringan perusahaan/lokal (LAN) dengan jaringan
publik (WAN/internet).
4. Kismet
6
Kismet adalah detektor jaringan wireless, sniffer, dan sistem pendeteksi penyusup pada
komputer. Kismet dapat bekerja pada beragam tipe wireless card, dengan syarat wireless
card kita memiliki fitur MODE MONITOR. Kismet dapat melakukan sniffing pada traffic-
traffic 802.11b, 802.11a, dan 802.11g.
10.7 Membedakan fungsi dan tatacara pengamanan server-server layanan pada jaringan
(email, webserver, ftp)
Pengamanan sistem jaringan komputer terbagi menjadi dua jenis yaitu pencegahan
(preventif) dan pengobatan (recovery). Pengamanan sistem jaringan komputer dapat
7
dilakukan melalui beberapa layer yang berbeda. Misalnya di layer “transport”, dapat
digunakan “Secure Socket Layer” (SSL). Metoda ini umum digunakan untuk server web.
Beberapa pengamanan server layanan pada jaringan yaitu:
3. Memasang Proteksi
Proteksi ini dapat berupa filter (secara umum) dan yang lebih spesifik adalah
firewall. Filter dapat digunakan untuk memfilter e-mail, informasi, akses, atau bahkan
dalam level packet.
8
tetapi diletakkan pada lokasi yang sama, kemungkinan data akan hilang jika tempat yang
bersangkutan mengalami bencana seperti kebakaran.
6. Penggunaan Enkripsi
Salah satau mekanisme untuk meningkatkan keamanan adalah dengan
menggunakan teknologi enkripsi. Data-data yang anda kirimkan diubah sedemikian rupa
sehingga tidak mudah disadap. Banyak servis di Internet yang masih menggunakan “plain
text” untuk authentication, seperti penggunaan pasangan user id dan password. Informasi
ini dapat dilihat dengan mudah oleh program penyadap atau pengendus (sniffer).
1. Kerahasiaan, adalah layanan yang digunakan untuk menjaga isi dari informasi dari
siapapun kecuali yang memiliki otoritas.
2. Integritas data, adalah berhubungan dengan penjagaan dari perubahan data secara
tidak sah. Untuk menjaga integritas data, sistem harus memiliki kemampuan untuk
mendeteksi manipulasi data oleh pihak-pihak yang tidak berhak, antara lain
penyisipan, penghapusan, dan pensubsitusian data lain kedalam data yang
sebenarnya.
3. Autentikasi, adalah berhubungan dengan identifikasi, baik secara kesatuan sistem
maupun informasi itu sendiri. Dua pihak yang saling berkomunikasi harus saling
memperkenalkan diri. Informasi yang dikirimkan melalui kanal harus diautentikasi
keaslian, isi datanya, waktu pengiriman, dan lain-lain.
4. Non-repudiasi, adalah membuktikan suatu pesan berasal dari seseorang, apabila ia
menyangkal mengirim pesan tersebut.
9
Ada beberapa metode dalam kriptografi :
10.9 Membangun sistem monitoring server (IPTables, MRTG, Nagios, Cacti, Acidlab)
Dalam pengelolaan sebuah server dibutuhkan seseorang yang memiliki
kemampuan serta tanggung jawab yang tinggi dalam menjamin server tersebut dapat
melayani komputer client dengan baik. Untuk itu sangat dibutuhkan sekali system yang
dapat memonitoring server. Berikut aplikasi untuk monitoring server:
1. Zenoss
Aplikasi Zenos dapat digunakan untuk mengamati device komputer , Network
Device (Switch,Router dll) yang sedang aktif mulai dari antarmuka, proses, service, file
system, dan routing. Semua komputer yang ada dalam jaringan dapat dimonitor secara
bersamaan baik yang dijalankan pada platform Windows dan Linux .Semua Aktivitas
devices dapat ditampilkan dalam bentuk text maupun dalam bentuk grafik, Alett Messages
dapat di kirimkan melalui email atau sms .
2. Zabbix
Zabbix adalah salah satu software gratis yang digunakan untuk memonitor jaringan
dan situs dari berbagai network services, server dan network hardware lainnya.
Keunggulan yang dimiliki oleh zabbix adalah software ini merupakan open source yang
dapat dengan mudah didapatkan dan gratis. Selain itu, zabbix juga memiliki GUI yang bagus
sehingga mudah dimengerti oleh penggunanya menyediakan visualisasi seperti map dan
grafik sehingga juga memudahkan kita dalam pengaturan administrasi maupun systemnya
(flexibel). Dengan semua keunggulan yang dimiliki oleh ZABBIX, software ini dapat
memainkan peranan yang penting dalam memonitor infrastructure jaringan dan dapat
mambantu para system administrator dalam melakukan pekerjaannya.
10
3. Cacti
Cacti menyimpan semua data/informasi yang diperlukan untuk membuat grafik dan
mengumpulkannya dengan database MySQL. Cacti adalah salah satu aplikasi open source
yang menrupakan solusi pembuatan grafik network yang lengkap yang didesign untuk
memanfaatkan kemampuan fungsi RRDTool sebagai peyimpanan data dan pembuatan
grafik. Cacti menyediakan pengumpulan data yang cepat, pola grafik advanced, metoda
perolehan multiple data, dan fitur pengelolaan user. Dengan menggunakan cacti kita dapat
memonitor trafik yang mengalir pada sebuah server.
4. Nagios
Nagios adalah Tools network monitoring system opensource yang mudah
digunakan. Nagios awalnya didesign untuk berjalan pada sistem operasi Linux, namun
dapat juga berjalan dengan baik hampir disemua sistem operasi unix.
5. Munin
Munin merupakan aplikasi monitoring sistem atau jaringan yang menghadirkan
output melalui sebuah web interface. Munin menekankan kepada kemampuan plug-and-
play yang mudah. Dengan menggunakan munin, kita bisa dengan mudah memonitor
performa sistem atau jaringan atau pun SAN (Storage Area Network).
11