SUMBER BELAJAR PENUNJANG PLPG 2017

MATA PELAJARAN/PAKET KEAHLIAN

TEKNIK KOMPUTER DAN JARINGAN

BAB X
MEMBANGUN SISTEM KEAMANAN
JARINGAN KOMPUTER

Dr. Hermawan Syahputra, S.Si, M.Si

KEMENTERIAN PENDIDIKAN DAN KEBUDAYAAN

DIREKTORAT JENDERAL GURU DAN TENAGA KEPENDIDIKAN
2017
 BAB 10
MEMBANGUN SISTEM KEAMANAN JARINGAN KOMPUTER

Kompetensi Inti Guru (KI) : Menguasai materi, struktur, konsep dan pola pikir
keilmuan yang mendukung mata pelajaran yang diampu
Kompetensi Dasar (KD) : Membangun Sistem Keamanan Jaringan Komputer
Indikator Pencapaian : Menganalisis sistem keamanan jaringan yang diperlukan
Kompetensi (IPK)

10.1 Menganalisis kemungkinan potensi ancaman dan serangan terhadap keamanan

jaringan
Jaringan komputer merupakan beberapa komputer dalam skala kecil maupun luas
yang saling tersambung atau berhubungan. Saat komputer tersebut berhubungan dalam
jaringan, maka dipastikan akan ada ancaman atau serangan yang akan terjadi sehingga data
tidak lagi aman. Akibat ancaman atau serangan tersebut maka akan mengakibatkan data/
file penting akan dimanfaatkan oleh orang yang tidak bertanggung jawab, Karena adanya
akibat yang sangat fatal, sehingga diharuskan untuk berhati-hati dalam melakukan
komunikasi melalui jaringan komputer.
Ancaman atau serangan yang bisa terjadi dalam jaringan komputer terdiri dari:

1. Ancaman / serangan fisik

Ancaman atau serangan terhadap fisik sangat sering terjadi dalam serangan
terhadap jaringan komputer sehingga keamanan fisik sangat sekali dibutuhkan.
Kemanan fisik berupa perlindungan staff, perangkat keras, program dan data yang
dapat mengakibatkan kerusakan bahkan menimbulkan kerugian.
2. Ancaman / serangan logic
Serangan (gangguan) terhadap keamanan dapat dikategorikan dalam empat
kategori utama :
a. Interruption. Suatu aset dari suatu sistem diserang sehingga menjadi tidak tersedia
atau tidak dapat dipakai oleh yang berwenang. Contohnya adalah
perusakan/modifikasi terhadap piranti keras atau saluran jaringan.

1
 b. Interception. Suatu pihak yang tidak berwenang mendapatkan akses pada suatu
aset. Pihak yang dimaksud bisa berupa orang, program, atau sistem yang lain.
Contohnya adalah penyadapan terhadap data dalam suatu jaringan.
c. Modification. Suatu pihak yang tidak berwenang dapat melakukan perubahan
terhadap suatu aset. Contohnya adalah perubahan nilai pada file data, modifikasi
program sehingga berjalan dengan tidak semestinya, dan modifikasi pesan yang
sedang ditransmisikan dalam jaringan.

d. Fabrication. Suatu pihak yang tidak berwenang menyisipkan objek palsu ke dalam
sistem. Contohnya adalah pengiriman pesan palsu kepada orang lain.

10.2 Menganalisis sistem keamanan jaringan yang diperlukan

Keamanan jaringan komputer merupakan proses untuk mencegah dan
mengidentifikasi penggunaan yang tidak sah yang dilakukan melalui jaringan. Keamanan
dilakukan untuk mencegah bahkan menghentikan pengguna yang tidak sah (penyusup)
untuk mengakses setiap bagian dari sistem jaringan komputer.
Tujuan dari keamanan jaringan komputer adalah untuk mengantisipasi resiko
serangan berupa bentuk ancaman fisik maupun logik yang mengganggu aktivitas baik
langsung ataupun tidak langsung yang sedang berlangsung dalam jaringan komputer.
Sistem kemanan jaringan harus menerapkan aspek keamanan yaitu berupa:

a. Confidentiality, Mensyaratkan bahwa informasi (data) hanya bisa diakses oleh pihak
yang memiliki wewenang.
b. Integrity, Mensyaratkan bahwa informasi hanya dapat diubah oleh pihak yang
memiliki wewenang.
c. Availability, Mensyaratkan bahwa informasi tersedia untuk pihak yang memiliki
wewenang ketika dibutuhkan.
d. Authentication, Mensyaratkan bahwa pengirim suatu informasi dapat diidentifikasi
dengan benar dan ada jaminan bahwa identitas yang didapat tidak palsu.
e. Nonrepudiation, Mensyaratkan bahwa baik pengirim maupun penerima informasi
tidak dapat menyangkal pengiriman dan penerimaan pesan.

2
10.3 Menerapkan Langkah-Langkah Penguatan Host (Host Hardening)
Host hardening yaitu prosedur untuk meminimalkan ancaman/serangan yang
datang baik dengan cara mengatur konfigurasi atau menonaktifkan aplikasi dan layanan
yang tidak diperlukan.
Hardening system dapat disimpulkan sebagai lngkah awal untuk bertahan dan
mengevaluasi dari serangan yang dilakukan terhadap sistem operasi (komputer), hal ini
meliputi:

1. Pengecekan setelah proses instalasi awal

2. Pengoptimalan system operasi sebelum dihubungkan ke internet
3. Pengecekan secara rutin apabila perlu dilakukan patching (tambahan) terhadap
fasilitas pendukung yang ada didalam system operasi dan aplikasinya
4. Penghapusan terhadap kesalahan yang ditemukan
Selain itu juga hardening system dapat dilakukan melalui dasar penguatan host yaitu:

1. Memasang firewall yang berfungsi untuk mengizinkan lalulintas atau paket data
yang dianggap aman dan mencegah lalulintas data yang dianggap tidak aman.
Secara umum firewall akan memisahkan public network dan private network.
Firewall bekerja dengan mengamati paket IP (internet Protocol) yang melewatinya.
2. Enkripsi / Dekripsi yaitu salah satu mekanisme untuk meningkatkan keamanan data
dimana data-data yang dikirim akan diubah sedemikian rupa sehingga tidak mudah
disadap.
3. Logs yang berfungsi untuk melihat aktifitas yang terjadi dan kemungkinan besar
dapat melakukan antisipasi apabila terlihat beberapa aktifitas yang mencurigakan.
4. IDS (intrusion Detection System) yaitu system yang akan mendeteksi jenis serangan
dari “signature” atau “pattern” pada aktifitas jaringan bahkan dapat melakukan
blocking terhadap traffic yang mencurigakan.
5. Anti Virus merupakan software untuk mengatasi virus yang menyerang keamanan
system jaringan komputer.
6. Honeypot bertujuan untuk melihat teknik yang digunakan oleh attacker untuk
dapat masuk kedalam system.

3
10.4 Menganalisis Firewall Pada Host dan Server Menggunakan IP Tables
Firewall dapat digunakan untuk melindungi jaringan anda dari serangan jaringan
oleh pihak luar, namun firewall tidak dapat melindungi dari serangan yang tidak melalui
firewall dan serangan dari seseorang yang berada di dalam jaringan anda, serta firewall
tidak dapat melindungi anda dari program-program aplikasi yang ditulis dengan buruk.
Secara umum, firewall biasanya menjalankan fungsi:

 Analisa dan filter paket

Data yang dikomunikasikan lewat protokol di internet, dibagi atas paket-paket. Firewall
dapat menganalisa paket ini, kemudian memperlakukannya sesuai kondisi tertentu. Misal,
jika ada paket a maka akan dilakukan b. Untuk filter paket, dapat dilakukan di Linux tanpa
program tambahan.

 Bloking isi dan protocol

Firewall dapat melakukan bloking terhadap isi paket, misalnya berisi applet Jave, ActiveX,
VBScript, Cookie.

 Autentikasi koneksi dan enkripsi

Firewall umumnya memiliki kemampuan untuk menjalankan enkripsi dalam autentikasi
identitas user, integritas dari satu session, dan melapisi transfer data dari intipan pihak lain.
Enkripsi yang dimaksud termasuk DES, Triple DES, SSL, IPSEC, SHA, MD5, BlowFish, IDEA
dan sebagainya.
IPTables adalah paket aplikasi (program berbasis Linux) yang saat ini sudah menjadi
platform untuk membuat (mensetup) firewall hampir di kebanyakan distro Linux. Dengan
menggunakan IPtables seorang pengguna/ admin jaringan bisa mengatur lalulintas paket
data yang keluar masuk pada router atau server yang menjadi gateway (pintu gerbang)
Secara konseptual, terdapat dua macam firewall yaitu :

1. Network level
Firewall network level mendasarkan keputusan mereka pada alamat sumber, alamat
tujuan dan port yang terdapat dalam setiap paket IP. Network level firewall sangat cepat
dan sangat transparan bagi pemakai. Application level firewall biasanya adalah host yang

4
berjalan sebagai proxy server, yang tidak mengijinkan lalu lintas antar jaringan, dan
melakukan logging dan auditing lalu lintas yang melaluinya.

2. Application level.
Application level firewall menyediakan laporan audit yang lebih rinci dan cenderung lebih
memaksakan model keamanan yang lebih konservatif daripada network level firewall.
Firewall ini bisa dikatakan sebagai jembatan. Application-Proxy Firewall biasanya berupa
program khusus, misal squid.
Firewall IPTables packet filtering memiliki tiga aturan (policy), yaitu:

a. INPUT
Mengatur paket data yang memasuki firewall dari arah intranet maupun internet. kita
bisa mengelola komputer mana saja yang bisa mengakses firewall. misal: hanya
komputer IP 192.168.1.100 yang bisa SSH ke firewall dan yang lain tidak boleh.
b. OUTPUT
Mengatur paket data yang keluar dari firewall ke arah intranet maupun internet.
Biasanya output tidak diset, karena bisa membatasi kemampuan firewall itu sendiri.
c. FORWARD
Mengatur paket data yang melintasi firewall dari arah internet ke intranet
maupun sebaliknya. Policy forward paling banyak dipakai saat ini untuk mengatur
koneksi internet berdasarkan port, mac address dan alamat IP.
Selain aturan (policy) firewall iptables juga mempunyai parameter yang disebut
dengan TARGET, yaitu status yang menentukkan koneksi di iptables diizinkan lewat atau
tidak. TARGET ada tiga macam yaitu:

 ACCEPT
Akses diterima dan diizinkan melewati firewall
 REJECT
Akses ditolak, koneksi dari komputer klien yang melewati firewall langsung
terputus, biasanya terdapat pesan "Connection Refused". Target Reject tidak
menghabiskan bandwidth internet karena akses langsung ditolak, hal ini
berbeda dengan DROP.

5
  DROP
Akses diterima tetapi paket data langsung dibuang oleh kernel, sehingga
pengguna tidak mengetahui kalau koneksinya dibatasi oleh firewall, pengguna
melihat seakan-akan server yang dihubungi mengalami permasalahan teknis.
Pada koneksi internet yang sibuk dengan trafik tinggi Target Drop sebaiknya
jangan digunakan. antara jaringan perusahaan/lokal (LAN) dengan jaringan
publik (WAN/internet).

10.5 Menguji Keamanan Jaringan, Host dan Server

Pengujian dengan melakukan serangan sangatlah penting untuk dilakukan
terhadap host/ server didalam jaringan agar kita mengetahui kelemahan dan kekurangan
dalam menjaga keamanan jaringan komputer. Berikut ini adalah beberapa software untuk
pengujian keamanan jaringan, host dan server:

1. Wireshark – Network Traffic Analyzer

Wireshark adalah tools untuk menganalisis lalu lintas paket data di jaringan. Lazim dipanggil
sebagi SNIFFER (pengintai). Sniffer adalah tools yang berkemampuan menangkap paket
data dalam jaringan Wireshark mampu mendecode paket data dalam banyak jenis
protokol.

2. Nessus – Remote Network Security Auditor

Nessus adalah scanner untuk mengetahui celah keamanan komputer, baik komputer anda
atau komputer siapapun. Kemampuannya yang lengkap sebagai Vulnerability Scanner
adalah nyata karena didukung dengan fitur high speed discovery, configuration auditing,
asset profiling, sensitive data discovery, dan vulnerability analysis of our security posture.

3. NMAP – The Network Mapper

NMAP adalah scanner untuk mengetahui komputer-komputer (hosts) apa saja yang sedang
terhubung dalam sebuah jaringan, apa service (aplikasi) yang sedang dijalankan komputer
itu (host), apa sistem operasi komputer yang dipakai, apa tipe firewall yang digunakan, dan
karakteristik lainnya dari komputer.

4. Kismet

6
Kismet adalah detektor jaringan wireless, sniffer, dan sistem pendeteksi penyusup pada
komputer. Kismet dapat bekerja pada beragam tipe wireless card, dengan syarat wireless
card kita memiliki fitur MODE MONITOR. Kismet dapat melakukan sniffing pada traffic-
traffic 802.11b, 802.11a, dan 802.11g.

5. Netcat – TCP/IP swiss army knife

Netcat adalah sebuah tools simpel dari mesin linux yang berkemampuan membaca dan
menuliskan paket-paket data di jaringan, baik yang berprotokol TCP maupun UDP.

10.6 Menganalisis Sistem Pendeteksi dan Penahan Ancaman/serangan yang masuk ke

Jaringan
Sebuah system jaringan selalu memiliki kelemahan dan rentan terhadap serangan,
maka dilakukan system pendeteksi dan penahan ancaman/ serangan agar tidak masuk ke
dalam jaringan. Untuk mengatasi tersebut IDS (Intrusion Detection System) adalah sebuah
system yang melakukan pengawasan terhadap traffic jaringan dan pengawasan terhadap
kegiatan-kegiatan yang mencurigakan didalam system jaringan.
Snort adalah perangkat Intrusion Detection System yang dapat mendeteksi dan
mencegah adanya suatu serangan. Kemampuan tools ini adalah yang tercanggih dalam
mendeteksi attacks dan probes dalam network, seperti buffer overflows, stealth port scans,
CGI attacks, SMB probes, dan lain-lain.
Clam antivirus adalah antivirus yang didesain untuk mesin Linux. Antivirus ini
berkemampuan melakukan scanning pada: format Zip, RAR, Tar, Gzip, Bzip2, OLE2, Cabinet,
CHM, BinHex, SIS, seluruh format file mail, seluruh format file dokument, termasuk file
Microsoft Office dan file Mac Office seperti HTML, RTF dan PDF.
Firestarter adalah tools lengkap mesin Linux yang berfungsi sebagai firewall.
Memiliki kemampuan real-time dalam menunjukkan probing penyerang pada mesin
komputer.

10.7 Membedakan fungsi dan tatacara pengamanan server-server layanan pada jaringan
(email, webserver, ftp)
Pengamanan sistem jaringan komputer terbagi menjadi dua jenis yaitu pencegahan
(preventif) dan pengobatan (recovery). Pengamanan sistem jaringan komputer dapat
7
dilakukan melalui beberapa layer yang berbeda. Misalnya di layer “transport”, dapat
digunakan “Secure Socket Layer” (SSL). Metoda ini umum digunakan untuk server web.
Beberapa pengamanan server layanan pada jaringan yaitu:

1. Mengatur Akses (access control)

Salah satu cara yang umum digunakan untuk mengamankan informasi adalah
dengan mengatur akses ke informasi melalui mekanisme “authentication” dan “access
control”. Implementasi dari mekanisme ini antara lain dengan menggunakan “password”.
Setelah proses authentication, pengguna diberikan akses sesuai dengan level yang
dimilikinya melalui sebuah access control. Access control ini biasanya dilakukan dengan
mengelompokkan pemakai dalam “group”. Ada group yang berstatus pemakai biasa, ada
tamu, dan ada juga administrator atau super user yang memiliki kemampuan lebih dari
group lainnya.

2. Menutup Service yang tidak digunakan

Seringkali sistem (perangkat keras dan/atau perangkat lunak) diberikan dengan
beberapa servis dijalankan sebagai default. Untuk mengamankan sistem, service yang tidak
diperlukan di server (komputer) tersebut sebaiknya dimatikan.

3. Memasang Proteksi
Proteksi ini dapat berupa filter (secara umum) dan yang lebih spesifik adalah
firewall. Filter dapat digunakan untuk memfilter e-mail, informasi, akses, atau bahkan
dalam level packet.

4. Mengamati Berkas Log

Berkas log ini sangat berguna untuk mengamati penyimpangan yang terjadi.
Kegagalan untuk masuk ke sistem (login), misalnya, tersimpan di dalam berkas log. Untuk
itu para administrator diwajibkan untuk rajin memelihara dan menganalisa berkas log yang
dimilikinya.

5. Backup Secara Rutin

Untuk sistem yang sangat esensial, secara berkala perlu dibuat backup yang
letaknya berjauhan secara fisik. Hal ini dilakukan untuk menghindari hilangnya data akibat
bencana seperti kebakaran, banjir, dan lain sebagainya. Apabila data-data dibackup akan

8
tetapi diletakkan pada lokasi yang sama, kemungkinan data akan hilang jika tempat yang
bersangkutan mengalami bencana seperti kebakaran.

6. Penggunaan Enkripsi
Salah satau mekanisme untuk meningkatkan keamanan adalah dengan
menggunakan teknologi enkripsi. Data-data yang anda kirimkan diubah sedemikian rupa
sehingga tidak mudah disadap. Banyak servis di Internet yang masih menggunakan “plain
text” untuk authentication, seperti penggunaan pasangan user id dan password. Informasi
ini dapat dilihat dengan mudah oleh program penyadap atau pengendus (sniffer).

10.8 Menerapkan Tata Cara Pengamanan Komunikasi Data Menggunakan Teknik

Kriptografi
Kriptografi merupakan seni untuk penyandian data yang bertujuan untuk
pengamanan data. Proses dalam kriptografi terdiri dari enkripsi dan dekripsi. Enkripsi yaitu
proses mengubah data asli (plainteks) menjadi data sandi (chiperteks) sedangkan dekripsi
yaitu proses mengubah data sandi (chiperteks) menjadi data asli (plainteks). Terdapat 4
tujuan mendasar dalam ilmu kriptografi, yaitu:

1. Kerahasiaan, adalah layanan yang digunakan untuk menjaga isi dari informasi dari
siapapun kecuali yang memiliki otoritas.
2. Integritas data, adalah berhubungan dengan penjagaan dari perubahan data secara
tidak sah. Untuk menjaga integritas data, sistem harus memiliki kemampuan untuk
mendeteksi manipulasi data oleh pihak-pihak yang tidak berhak, antara lain
penyisipan, penghapusan, dan pensubsitusian data lain kedalam data yang
sebenarnya.
3. Autentikasi, adalah berhubungan dengan identifikasi, baik secara kesatuan sistem
maupun informasi itu sendiri. Dua pihak yang saling berkomunikasi harus saling
memperkenalkan diri. Informasi yang dikirimkan melalui kanal harus diautentikasi
keaslian, isi datanya, waktu pengiriman, dan lain-lain.
4. Non-repudiasi, adalah membuktikan suatu pesan berasal dari seseorang, apabila ia
menyangkal mengirim pesan tersebut.

9
Ada beberapa metode dalam kriptografi :

 Substitution Ciphers, metode mengganti data menjadi karakter atau simbol

tertentu. Misalnya “Jatuh bangun” menjadi “Jwtxh bwngxn”
 Transposition Ciphers, metode mengacak huruf atau bagian kata agar menjadi lebih
rumit. Misalnya “Jatuh bangun” menjadi “Tuhjah ngunba”
 Steganography, menyembunyikan pesan aslinya kemudian memodifikasi dengan
data yang lain agar tidak diketahui pesan aslinya. Misalnya “Jatuh bangun” menjadi
"Sangat jatuh sekali bangun”

10.9 Membangun sistem monitoring server (IPTables, MRTG, Nagios, Cacti, Acidlab)
Dalam pengelolaan sebuah server dibutuhkan seseorang yang memiliki
kemampuan serta tanggung jawab yang tinggi dalam menjamin server tersebut dapat
melayani komputer client dengan baik. Untuk itu sangat dibutuhkan sekali system yang
dapat memonitoring server. Berikut aplikasi untuk monitoring server:
1. Zenoss
Aplikasi Zenos dapat digunakan untuk mengamati device komputer , Network
Device (Switch,Router dll) yang sedang aktif mulai dari antarmuka, proses, service, file
system, dan routing. Semua komputer yang ada dalam jaringan dapat dimonitor secara
bersamaan baik yang dijalankan pada platform Windows dan Linux .Semua Aktivitas
devices dapat ditampilkan dalam bentuk text maupun dalam bentuk grafik, Alett Messages
dapat di kirimkan melalui email atau sms .
2. Zabbix
Zabbix adalah salah satu software gratis yang digunakan untuk memonitor jaringan
dan situs dari berbagai network services, server dan network hardware lainnya.
Keunggulan yang dimiliki oleh zabbix adalah software ini merupakan open source yang
dapat dengan mudah didapatkan dan gratis. Selain itu, zabbix juga memiliki GUI yang bagus
sehingga mudah dimengerti oleh penggunanya menyediakan visualisasi seperti map dan
grafik sehingga juga memudahkan kita dalam pengaturan administrasi maupun systemnya
(flexibel). Dengan semua keunggulan yang dimiliki oleh ZABBIX, software ini dapat
memainkan peranan yang penting dalam memonitor infrastructure jaringan dan dapat
mambantu para system administrator dalam melakukan pekerjaannya.
10
 3. Cacti
Cacti menyimpan semua data/informasi yang diperlukan untuk membuat grafik dan
mengumpulkannya dengan database MySQL. Cacti adalah salah satu aplikasi open source
yang menrupakan solusi pembuatan grafik network yang lengkap yang didesign untuk
memanfaatkan kemampuan fungsi RRDTool sebagai peyimpanan data dan pembuatan
grafik. Cacti menyediakan pengumpulan data yang cepat, pola grafik advanced, metoda
perolehan multiple data, dan fitur pengelolaan user. Dengan menggunakan cacti kita dapat
memonitor trafik yang mengalir pada sebuah server.
4. Nagios
Nagios adalah Tools network monitoring system opensource yang mudah
digunakan. Nagios awalnya didesign untuk berjalan pada sistem operasi Linux, namun
dapat juga berjalan dengan baik hampir disemua sistem operasi unix.

5. Munin
Munin merupakan aplikasi monitoring sistem atau jaringan yang menghadirkan
output melalui sebuah web interface. Munin menekankan kepada kemampuan plug-and-
play yang mudah. Dengan menggunakan munin, kita bisa dengan mudah memonitor
performa sistem atau jaringan atau pun SAN (Storage Area Network).

11