Situs Departemen Luar Negeri ‘dijebol’ hacker!!! Situs http://www.mil.id ‘diobrak-abrik’ hacker!!!

Bagaimana bila hal ini terjadi pada jaringan komputer Anda?

Lalu lintas komunikasi data melalui Internet dengan TCP/IP-nya telah menjadi suatu kekuatan telekomunikasi
yang sangat besar. Tiap jam, menit, hingga detik, data-data elektronik yang berharga lalu-lalang dalam Internet
tersebut. Tentunya hal tersebut menggugah inspirasi orang-orang tertentu untuk mencoba mendapatkan data-
data tersebut. Hal ini menjadi ancaman serius bagi sekuriti di Internet. Untuk itu, kita harus lebih waspada
terhadap usaha-usaha yang mengancam integritas data yang kita miliki. Tulisan ini mencoba memberikan
alternatif sederhana kepada para pembaca yang hendak memahami masalah sekuriti di Internet. Pada bagian
akhir, terdapat daftar singkat tentang sumber dokumen maupun situs di Internet yang berkaitan dengan tulisan
ini dan dapat dijadikan referensi untuk lebih mendalami masalah sekuriti di Internet.
Secara umum, masalah sekuriti di Internet dapat dipandang dari dua sisi penting. Sisi pertama adalah integritas
data yang dikirimkan melalui jaringan Internet (sebut saja integritas pengiriman data) dan sisi berikutnya adalah
tingkat sekuriti dalam jaringan komputer itu sendiri (kita sebut sekuriti jaringan internal).
Integritas Pengiriman Data
Pada saat kita mengirimkan data melalui jaringan Internet, kita selalu ingin agar data yang kita kirimkan tersebut
sampai di tujuan dengan selamat dan tidak mengalami campur tangan pihak lain. Syarat ini menjadi jauh lebih
utama apabila data yang kita kirimkan tergolong kategori data rahasia.
Pada saat kita kirimkan, data tersebut akan melalui berbagai jenis komputer, router, atau gateway dan melintasi
berbagai macam media fisik komunikasi. Kita mempertaruhkan integritas data kepada keanekaragaman di atas.
Tentunya kita tidak mungkin memeriksa tingkat sekuriti di setiap hop/titik yang dilalui oleh data tersebut karena
tingkat sebaran dan kepemilikan hop yang sangat beraneka ragam. Salah satu solusi yang dapat diterapkan
adalah enkripsi data. Tujuan utama dari solusi ini adalah mencegah terjadinya curi-dengar (eavesdropping)
terhadap data yang kita kirimkan maupun yang kita terima. Jika seorang “eavesdropper” melakukan tindakan
curi-dengar, ia akan memperoleh data-data yang terenkripsi saja sehingga tidak mencerminkan isi data
sebenarnya.
Proses enkripsi data bisa diterapkan di lapisan (layer) tertentu dari protokol TCP/IP. Seperti telah diketahui,
protokol TCP/IP memiliki 4 lapisan guna menunjang proses komunikasi data. Lapisan tersebut terdiri dari
Application Layer, Transport Layer, Internet Layer, Network Access Layer. Kita bisa menerapkan proses
enkripsi di masing-masing lapisan. Masing-masing implementasi dari lapisan-lapisan tersebut sebagai berikut :
Network Access Layer
Bentuk nyata dari lapisan ini adalah bagian hardware dari sebuah komputer. Bila akan menerapkan proses
enkripsi di lapisan ini, kita harus mencari atau menciptakan hardware khusus yang menangani masalah enkripsi
data. Beberapa lembaga penelitian telah mulai menggali lebih dalam kemungkinan penciptaan hardware yang
memiliki kemampuan enkripsi data yang lebih baik.
Internet Layer
Dalam protokol TCP/IP, Internet layer diimplementasikan dalam Internet Protocol (IP). Protokol ini berbentuk
software yang mengatur tentang pengalamatan dan proses routing. Protokol ini telah diberikan nilai tambah
tersendiri untuk meningkatkan sekuriti data yang dikirimkannya. Nilai tambah tersebut masing-masing adalah
Authentication Header dan Encapsulating Security Payload.
Authentication Header (AH) adalah sebuah header tambahan yang bertujuan memberikan jaminan atas syarat
integritas data yang dikirimkan dan syarat keaslian sumber pengirim beserta data yang dikirimkan
(authentication). Header ini berada di posisi paling akhir dari header-header pada lapisan IP dan sebelum header
Encapsulating Security Payload (ESP). AH juga bisa menjamin non-repudiation dari sebuah data apabila
penerapan AH menggunakan algoritma kriptografi tertentu. Non-repudiation adalah syarat di mana pihak
penerima bisa membuktikan bahwa pihak pengirim benar-benar mengirimkan data yang diterima pihak
penerima meskipun pihak pengirim tidak mengakuinya. Informasi yang terkandung di dalam AH ini dihasilkan
dari perhitungan seluruh bagian dari datagram IP (mulai dari header IP, header protokol di atas IP, hingga data
aslinya). Bila pihak penerima menerima datagram yang tidak otentik berdasarkan penilaian AH, datagram
tersebut akan diabaikan. Mekanisme ini bisa digunakan untuk mencegah aksi-aksi IP spoofing. Aksi ini
bertujuan agar penyusup bisa berpura-pura sebagai pihak pengirim dengan cara menebak datagram yang akan
dikirimkan.
Encapsulating Security Payload (ESP) adalah sebuah mekanisme tambahan pada datagram IP yang bertujuan
untuk meningkatkan confidentiality dan integritas data. Confidentiality adalah suatu syarat di mana penerima
mengetahui arti yang sebenarnya dari data yang dikirimkan sedangkan pihak lain yang tidak diharapkan tidak
akan mengerti arti yang sebenarnya dari data yang dikirimkan. Hasil implementasi ESP adalah sebuah datagram
IP yang bagian datanya telah terenkripsi. ESP diletakkan di posisi paling akhir dari serangkaian IP header dan
sebelum bagian pertama data. ESP memiliki header tersendiri yang disebut ESP Header. Untuk modus paling
aman, format ESP Header adalah awal dari header tersebut tidak dienkripsi sedangkan sisa header dan seluruh
bagian data dienkripsi.
|<—- Tidak dienkripsi —->|<—– Dienkripsi ——>| +————+——————-+————+———————
–+ | IP Header | IP Header lainnya | ESP Header | data yang dienkripsi | +————+——————-+————
+———————–+
Bagian header yang tidak dienkripsi memberikan keterangan tentang cara mendekripsi dan memproses data
yang dienkripsi tersebut. ESP dapat diterapkan pada setiap jenis transport layer (TCP, UDP) yang digunakan.
Mekanisme ini lebih banyak diterapkan untuk modus Tunnel. Tunnel adalah sebuah modus pada pengiriman
data yang lebih bersifat privat dan khusus melalui jaringan Internet. Intranet, terutama yang digunakan untuk
menghubungkan cabang-cabang yang tersebar di berbagai daerah, adalah salah satu pengguna modus Tunnel.
Transport Layer
Dalam konsep TCP/IP, secara umum transport layer dibagi menjadi dua, yaitu Transmission Control Protocol
(TCP) dan User Datagram Protocol (UDP). Pada lapisan ini, belum begitu banyak mekanisme yang
dikembangkan untuk menambahkan aspek sekuriti. TCP sendiri sudah memiliki rutin-rutin yang cukup
kompleks dalam mengolah data yang diterima.
Application Layer
Lapisan ini adalah lapisan yang langsung berhubungan dengan user. Apa yang dilihat oleh user pada layar
monitor komputer adalah tampilan dari Application Layer tersebut.
Teknik-teknik yang digunakan untuk mengenkripsi data pada lapisan aplikasi ini telah banyak berkembang dan
mencapai hasil yang cukup memuaskan. Berbagai macam jenis algoritma enkripsi telah dikembangkan dan
beberapa di antaranya telah menjadi standar internasional. Beberapa algoritma yang cukup terkenal adalah Data
Encryption Standard (DES), Triple-DES, RC2/RC4, International Data Encryption Algorithm (IDEA) dan
Skipjack. Algoritma DES dan IDEA telah banyak diterapkan di dunia sedangkan algoritma lainnya telah
dipatenkan. Dari algoritma-algoritma di atas, dibuatlah berbagai macam software pengenkripsi. Salah satu yang
terkenal dan bersifat shareware adalah Pretty Good Privacy (PGP).
Penerapan software enkripsi pada Application layer bisa bermacam-macam. Salah satunya, kita bisa
mengenkripsi isi dari eletronic mail. Selain itu, kita juga bisa mengenkripsi file-file yang akan kita berikan
kepada orang lain melalui FTP. Pesan-pesan elektronik pun dapat kita enkripsi terlebih dahulu sebelum kita
kirimkan. Setelah sampai di tujuan, penerima dapat mendekripsi pada layer yang sama apa yang ia terima
sehingga mencerminkan arti sebenarnya.
Khusus dalam HyperText Transfer Protocol (HTTP), telah dikembangkan berbagai macam mekanisme
pengamanan data yang ditransfer melalui protokol ini. Protokol HTTP menjadi tulang punggung dalam World
Wide Web (WWW) dan kita lebih sering melihatnya dalam bentuk home page di situs-situs Internet. Beberapa
perusahaan di dunia telah memanfaatkan WWW sebagai salah satu saran penghubung kepada konsumen dan
pelanggan mereka. Bahkan WWW telah pula digunakan sebagai penghubung antar bagian perusahaan mereka
sendiri dalam teknologi Intranet. Untuk menjamin integritas data yang dikirimkan, para pakar kriptografi telah
mengembangkan beberapa mekanisme enkripsi untuk protokol tersebut. Dua dari berbagai mekanisme yang ada
di Internet adalah SecureHTTP (SHTTP) dan Secure Socket Layer (SSL). SSL dikembangkan oleh Netscape
dan telah diimplementasikan di beberapa situs di Internet. Dengan adanya mekanisme-mekanisme ini,
pengiriman nomor rekening, kata kunci rahasia, dan data-data rahasia lainnya bisa dilakukan di Internet dengan
lebih aman.
Sekuriti Jaringan Internal
Sisi selanjutnya adalah keamanan dari jaringan komputer internal. Pada saat kita memutuskan untuk
membangun sebuah jaringan komputer yang terhubung ke Internet, saat itu pula kita telah mengambil resiko
untuk berhadapan dengan ancaman-ancaman penyusupan dan pengrusakan data dari Internet. Oleh karena itu,
kita harus mempersiapkan jaringan komputer kita untuk menghadapi serangan-serangan dan ancaman-ancaman
tersebut.
Masalah sekuriti jaringan internal ini meliputi beberapa aspek. Untuk mudahnya, masalah tersebut dapat dipecah
menjadi dua bagian yaitu bagian software-hardware dan bagian user.
Bagian software-hardware
Dalam membangun sebuah jaringan komputer, kita memiliki kebebasan dalam merancang, baik dari struktur
jaringan maupun konfigurasi hardware dan jenis program yang akan digunakan. Struktur jaringan yang akan
direalisasikan dapat dirancang sedemikian rupa sehingga memiliki tingkat sekuriti yang tinggi. Sebagai contoh,
kita bisa membuat sebuah jaringan perimeter atau lebih dikenal dengan sebutan DeMilitary Zone (DMZ) yang
memberikan layanan dan akses seperlunya saja kepada Internet. Jaringan perimeter merupakan jaringan yang
langsung berhadapan dengan Internet setelah melalui sebuah router atau gateway. Dari segi hardware, kita dapat
menentukan spesifikasi hardware yang tepat sesuai kebutuhan dan tugas yang akan diberikan kepada hardware
tersebut. Sebagai contoh, untuk menjadi sebuah mail server yang menangani 100 buah mailing list atau lebih,
tentunya kebutuhan akan jumlah memori/RAM dan swap memory yang disediakan menjadi melonjak. Selain
itu, bila terdapat usaha-usaha pengrusakan pada mail server tersebut dengan berbagai cara seperti mail bombing,
setidak-tidaknya mail server kita masih bisa bertahan.
Pada bagian software, kita bisa menggunakan sistem operasi dan software-software yang telah dikenal
kehandalannya. Hal ini bertujuan supaya sistem operasi maupun software yang kita gunakan mampu menahan
gempuran atau serangan dari Internet dan tidak sampai merusak hardware. Selain itu, sebaiknya kita selalu
menggunakan software-software keluaran terbaru. Untuk itu, kita harus lebih sering memantau perkembangan
software yang kita gunakan tersebut.
Setelah kita memilih sistem operasi dan software yang akan digunakan, kita harus mengkonfigurasi sistem
operasi dan software tersebut agar tidak memiliki celah yang bisa dieksplorasi oleh para penyusup dari Internet.
Apabila kita tidak waspada, hole-hole yang sudah umum pun bisa muncul pada sistem jaringan komputer kita.
Berikut adalah terdapat beberapa titik penting pada sistem operasi berbasis Unix yang perlu mendapat perhatian.
Perintah-perintah berawalan huruf “r”
Perintah-perintah berawalan huruf “r” (rlogin, rsh, rwho, dlsb) perlu ditinjau ulang dari segi kebutuhan. Apabila
kita tidak memerlukan fungsi-fungsi perintah di atas, matikan saja. Jika memang memerlukannya, kita harus
lebih hati-hati dalam mengkonfigurasi file-file yang berhubungan dengan setting perintah tersebut. Untuk
perintah-perintah tersebut, file konfigurasi yang penting adalah /etc/hosts.equiv.
File-file dengan suid
File dengan konfigurasi suid adalah file (umumnya berupa program) yang apabila dieksekusi akan memiliki hak
setingkat dengan pemilik (owner) dari file tersebut. Sebagai contoh, perintah “chpass” termasuk jenis file suid.
Perintah “chpass” ini berguna untuk mengubah data-data tentang user seperti: nama lengkap, alamat kantor,
alamat rumah, dsb. Pada dasarnya, perintah “chpass” melakukan perubahan pada file yang berisi user password
dari komputer tersebut. Oleh karena itu, perintah tersebut memerlukan konfigurasi suid root karena file yang
berisi user password hanya bisa diubah oleh root sendiri atau memiliki hak akses setara dengan root.
File-file dengan suid root harus dibatasi jumlahnya sesuai kebutuhan. Bila tidak, para penyusup bisa
memanfaatkan kelemahan ini untuk memperoleh hak akses setara root pula. Seringkali para penyusup
menyiapkan backdoor melalui file-file suid tersebut sehingga saat penyusup ingin kembali masuk ke dalam
sistem, ia bisa menggunakan backdoor tersebut. Salah satu langkah penanggulangannya adalah dengan membuat
daftar file suid di saat setelah konfigurasi sistem operasi selesai dan melakukan pemeriksaan secara rutin yang
kemudian dibandingkan dengan daftar file pertama.
File & directory permission
Pada saat mengkonfigurasi sistem operasi, file permission dan directory permission sebaiknya ikut dikonfigurasi
lebih lanjut selain konfigurasi awal yang telah disediakan dari pencipta sistem operasi tersebut. Batasi user
hanya untuk bisa memiliki akses penuh pada home directory user tersebut.
Network File System (NFS)
NFS memungkinkan kita membuat file system yang berada di komputer lain seolah-olah berada di komputer
kita. Tetapi, apabila kita kurang hati-hati dalam mengkonfigurasinya, hal ini menjadi makanan empuk bagi para
perusak. Kita harus memilih direktori mana saja yang perlu dibuat menjadi terbuka terhadap komputer lain. Hak
akses juga harus menjadi perhatian sehingga kita dapat menempatkan file-file pada porsi yang sebenarnya.
Perbaikan-perbaikan (patches) untuk NFS juga telah tersedia di Internet karena NFS memiliki beberapa titik
kelemahan.
majordomo
Majordomo adalah salah satu software yang menangani mailing list dan sudah tersebar sangat luas. Gunakan
selalu majordomo versi di atas 1.91 karena versi di bawah 1.91 memiliki bugs yang cukup berbahaya.
Fingerd
Utilitas ini sudah cukup terkenal sebagai salah satu alat utama dalam Internet worm yang sempat melumpuhkan
jaringan Internet di tahun 1988. Hingga saat ini, utiliti finger masih sering digunakan sebagai langkah awal
memantau sistem yang akan disusupi. Meskipun perbaikan-perbaikan terhadap bug yang ada di fingerd telah
dilakukan, sebaiknya layanan ini ditutup untuk akses dari luar sehingga perintah finger hanya bisa dilakukan
sebatas sistem atau komputer itu.
File /etc/inetd.conf
File /etc/inetd.conf ini berisi konfigurasi service-service yang dijalankan oleh inetd. Sebaiknya file ini diatur
pada mode 600 dan dimiliki oleh root. Selain itu, sebaiknya kita menutup layanan-layanan networking yang
tidak kita perlukan. Konfigurasi awal dari instalasi sistem operasi seringkali membuka layanan-layanan
networking yang tidak kita butuhkan.
Anonymous FTP
Anonymous FTP disediakan bagi user umum untuk mendapatkan file-file yang kita publikasikan. Hal yang
perlu diperhatikan dari sudut pandang sekuriti adalah konfigurasi hak akses yang diberikan pada direktori-
direktori yang kita publikasikan. Selain itu, selalu gunakan versi terbaru untuk FTP daemon yang kita gunakan.
Versi FTP daemon yang sudah lama memiliki perintah-perintah jarak jauh untuk meletakkan file ataupun
membaca file yang berada di direktori selain direktori FTP tersebut.
SMTP Server
SMTP server adalah server yang bertugas mengatur pengantaran electronic mail dari pengirim ke penerima.
SMTP server yang sering digunakan adalah sendmail. Sendmail ini telah terkenal kehandalannya tetapi juga
memiliki bugs yang bisa digunakan untuk mendapatkan hak akses setara root. Untuk meminimalkan risiko ini,
selalu gunakan versi terbaru dari sendmail. Kita juga bisa menaikkan tingkat proses logging sampai tingkat/level
9. Pada tingkat tersebut, sendmail logger akan mendeteksi usaha-usaha eksploitasi terhadap kelemahan
sendmail.
HTTP Server / Web Server
Baru-baru ini, Web server merupakan salah satu titik eksploitasi yang paling terkenal. Dengan mengeksploitasi
bugs yang ada di web server ini, para penyusup bisa mendapatkan hak akses setara root. Hal ini mengakibatkan
data-data home page yang ada di web server itu diacak-acak dan diganti sesuka hati penyusupnya. Untuk
mencegah terjadinya hal ini, ambil beberapa langkah pencegahan berikut: Gunakan selalu HTTP daemon yang
terbaru dan telah diketahui belum memiliki bugs. Contoh: NCSA httpd versi 1.5.
Hilangkan script-script yang tidak perlu yang memerlukan akses ke sistem file. Umumnya, script-script tersebut
disebut dengan Common Gateway Interface (CGI) script. Lakukan konfigurasi sebaik-baiknya terhadap CGI
script yang kita perlukan sebagai penghubung antara user dan server. Gunakan filter untuk mendeteksi input
yang diberikan user, terutama terhadap karakter-karakter yang berpotensi untuk merusak seperti: \n \r ( . , / ; ~ !
) > | ^ & $ ` < %.
Selain dari itu, kita bisa menggunakan software firewall untuk membatasi akses dan melakukan pemantauan
terhadap aliran transfer data. Software firewall ada yang bersifat shareware dan komersial. Cara instalasi,
penggunaan dan konfigurasinya tidak dibahas pada tulisan ini karena topik tersebut cukup luas
Dalam suatu sistem yang terproteksi cukup ketat, seringkali kita tidak bisa mengakses komputer kita dari jarak
jauh. Untuk memenuhi kebutuhan tersebut tanpa harus mengorbankan tingkat sekuriti sistem, kita bisa
menempuh dua cara. Cara pertama adalah mengubah program yang bertugas menerima akses langsung dari luar
sehingga kita bisa memonitor, mencatat maupun membatasi akses yang diberikan. Contoh program yang
menerima akses langsung dari Internet adalah telnetd. Cara kedua adalah menyiapkan hardware khusus yang
bertindak sebagai perantara antara user dan komputer. Fungsi dari hardware khusus ini tidak berbeda jauh
dengan software yang diubah pada cara pertama.
Bagian User
Jika sisi software telah dikonfigurasi dengan baik, sisi user perlu mendapat perhatian. Seringkali, user pada
suatu sistem memilih password yang mudah ditebak, seperti “Komputer”, “Memori”, kombinasi nama user,
nama perusahaan penghasil meja komputer, merek monitor/keyboard/casing komputer, dsb. Selain itu, jangan
menuliskan password pada kertas atau benda apa pun. Tentunya sudah cukup banyak tip untuk membuat
password yang baik. Jika dipandang perlu, konfigurasi password user bisa diatur agar user diharuskan
memperbarui passwordnya secara periodik. Cara lain yang bisa dilakukan adalah menjalankan program yang
berfungsi memecahkan kode password pada file password yang Anda miliki. Program semacam ini cukup
banyak di Internet dan tersedia untuk berbagai platform sistem operasi. Pada sistem operasi Unix, program yang
cukup terkenal adalah Crack. Dengan menggunakan program ini, kita dapat mengetahui apakah user telah
memilih password dengan baik.
Langkah lain yang bisa kita lakukan adalah mencari dan mendapatkan software-software khusus yang
berhubungan dengan masalah sekuriti. Contohnya: COPS (software penganalisa kelemahan dalam password dan
konfigurasi file), SATAN (software penganalisa jarak jauh terhadap usaha-usaha penyusupan dari luar), TCP-
Wrapper (software yang bertugas mencatat beberapa aktivitas transfer data), Tripwire (mirip dengan TCP-
Wrapper), dsb. Dengan adanya software ini, kita bisa mengetahui seberapa tinggi tingkat sekuriti sistem jaringan
komputer kita.
Penanggulangan
Jika terjadi usaha-usaha penyusupan ke dalam sistem jaringan komputer, kita harus secepat mungkin menutup
akses dari mana usaha-usaha penyusupan tersebut. Beberapa ciri dasar dari usaha penyusupan adalah usaha
login yang gagal terus-menerus, sumberdaya komputer yang terserap habis akibat satu atau lebih layanan
networking, munculnya file-file aneh yang asal-usulnya tidak diketahui, dan jebolnya password dari beberapa
user. Bila penyusup telah berhasil memasuki sistem komputer dan bisa memperoleh hak akses setara root, bisa
dipastikan sistem komputer kita sudah tidak aman. Mengapa? Karena pada umumnya penyusup telah membuat
backdoor yang cukup aman dan tersembunyi kecuali kita mengetahui setiap titik dari backdoor yang dibuat oleh
penyusup tersebut dan kita bisa memusnahkannya. Bila kita tidak bisa menemukan backdoor tersebut, jalan
teraman adalah instalasi ulang sistem operasi yang ada di komputer tersebut L.
Sebagai system administrator yang baik, kita seharusnya selalu membaca log file yang banyak dihasilkan oleh
program-program yang dieksekusi di komputer kita. Dengan membaca log file, kejadian-kejadian yang tidak
diinginkan dapat dideteksi lebih dini.
Akhir kata, “tiada gading yang tak retak”. Kita harus selalu waspada dengan kesalahan-kesalahan yang mungkin
kita buat baik dengan sengaja maupun tidak, yang secara langsung atau tidak langsung dapat mengancam
sekuriti sistem jaringan komputer kita. Kita juga harus selalu meningkatkan tingkat keterampilan dan keahlian
kita karena usaha-usaha eksplorasi yang dilakukan oleh para hacker, cracker dan phreaker selalu lebih maju.
Daftar Sumber Dokumen dan Situs di Internet yang berkaitan dengan masalah sekuriti di Internet
Dokumen:
Computer Security Basics, Deborah Russell & G.T. Gangemi Sr., © 1991 O’Reilly & Associates, Inc. Pratical
Unix Security, Simon Garfinkel & Gene Spafford, © 1991 O’Reilly & Associates, Inc.
Unix System Security: A Guide for Users and System Administrators, David A. Curry, © 1992 Addison-Wesley
Professional Computing Series Firewalls and Internet Security, William R. Cheswick & Steven M. Bellovin, ©
1994 AT&T Bell Laboratories, Addison-Wesley Publishing Company
Building Internet Firewalls, Brent Chapman and Elizabeth Zwicky, © 1995 O’Reilly & Associates, Inc.
Pretty Good Privacy, Simon Garfinkel, © 1995 O’Reilly & Associates, Inc. Dokumen berikut dapat diperoleh
melalui ftp.ds.internic.net di direktori /rfc/ :
RFC 931, Authentication Server, Michael St. Johns.
RFC 1244, Site Security Handbook, J. Paul Holbrook & Joyce K. Reynolds. RFC 1281, Guidelines for the
Secure Operation of the Internet, Richard D. Pethia & Stephen D. Crocker.
RFC 1508, Generic Security Service Application Program Interface, John Linn.
RFC 1750, Randomness Recommendations for Security, Donald E. Eastlake 3rd & Stephen D. Crocker.
RFC 1825, Security Architecture for the Internet Protocol, Randall Atkinson.
RFC 1826, IP Authentication Header, Randall Atkinson.
RFC 1827, IP Encapsulating Security Payload (ESP), Randall Atkinson.
RFC 2015, MIME Security with Pretty Good Privacy (PGP), Michael Elkins.
Beberapa dokumen yang terletak di ftp.cs.purdue.edu pada direktori /pub/spaf/ssecurity/ yang dapat diambil
melalui anonymous ftp. Orange Book & Red Book, part of The Rainbow Books, DoD Computer Security
Center. Kedua dokumen tersebut terdapat di ftp.cert.org pada direktori /pub/info/orange-book.Z dan
/pub/info/red-book.Z.
Software:
Crack, ftp://ftp.auscert.org.au/pub/cert/tools/crack/*
COPS, ftp://ftp.auscert.org.au/pub/cert/tools/cops/1.04
PGP, ftp://ftp.ifi.uio.no/pub/pgp/
SATAN, ftp://ftp.win.tue.nl/pub/security/satan*
Tiger, ftp://net.tamu.edu/pub/security/TAMU/tiger-2.2.3.tar.gz
TCP-Wrapper, ftp://ftp.win.tue.nl/pub/security/tcp_wrappers_7.6.tar.gz
Tripwire, ftp://ftp.auscert.org.au/pub/coast/COAST/Tripwire/*
PENGAMANAN PADA
PROTOKOL TCP/IP
10 November 2014 | aray0ne

PENGAMANAN PADA PROTOKOL TCP/IP

5.1
KONSEP PENGAMANAN JARINGAN (NETWORK SECURITY)
5.1.1 Perencanaan Pengamanan
Salah satu problem network security yang paling penting, dan mungkin salah satu yang
paling tidak enak, adalah menentukan kebijakan dalam network security. Kebanyakan
orang menginginkan solusi teknis untuk setiap masalah, berupa program yang dapat
memperbaiki masalah-masalah network security. Padahal, perencanaan keamanan yang
matang berdasarkan prosedur dan kebijakan dalam network security akan membantu
menentukan apa-apa yang harus dilindungi, berapa besar biaya yang harus ditanamkan
dalam melindunginya, dan siapa yang bertanggungjawab untuk menjalankan langkah-
langkah yang diperlukan untuk melindungi bagian tersebut.
5.1.2 Mengenali ancaman terhadap network security
Langkah awal dalam mengembangkan rencana network security yang efektif adalah
dengan mengenali ancaman yang mungkin datang. Dalam RFC 1244
1
, Site security
Handbook, dibedakan tiga tipe ancaman :
• Akses tidak sah, oleh orang yang tidak mempunyai wewenang.
• Kesalahan informasi, segala masalah yang dapat menyebabkan diberikannya
informasi yang penting atau sensitif kepada orang yang salah, yang seharusnya
tidak boleh mendapatkan informasi tersebut.
• Penolakan terhadap service, segala masalah mengenai security yang menyebabkan
sistem mengganggu pekerjaan-pekerjaan yang produktif.
1
RFC : Request For Comment, definisi-definisi standar yang menjadi dasar
perencanaan dan implementasi dalam networkingPage 2

Disini ditekankan network security dari segi perangkat lunak, namun network security
sebenarnya hanyalah sebagian dari rencana keamanan yang lebih besar, termasuk rencana
keamanan fisik dan penanggulangan bencana.
5.1.3 Kontrol terdistribusi
Salah satu pendekatan dalam network security adalah dengan mendistribusikan tanggung
jawab kontrol terhadap segmen-segmen dari jaringan yang besar ke grup kecil dalam
organisasi. Pendekatan ini melibatkan banyak orang dalam keamanan, dan berjalan
berlawanan dengan prinsip kontrol terpusat.
Pada prinsipnya, tanggung jawab dan kontrol yang terdistribusi dalam grup-grup kecil
menciptakan lingkungan jaringan kecil yang terdiri dari trusted hosts. Meminjam analogi
keamanan kota, maka hal ini sesuai dengan sistem keamanan tingkat RT, dimana terjadi
kerjasama antar RT untuk menjaga lingkungan yang lebih besar. Jadi keamanan suatu
segmen dipercayakan kepada manajer jaringan pada segmen tersebut. Dengan terjaganya
keamanan tiap segmen, maka secara keseluruhan keamanan jaringan akan terjaga.
Dalam mendistribusikan kontrol network, digunakan berbagai cara. Salah satunya adalah
dengan memanfaatkan pembagian subnet. Di setiap subnet terdapat subnet administrator
(admin subnet) yang bertanggungjawab untuk keamanan network dan mempunyai
kekuasaan untuk mengalokasikan / menetapkan IP address untuk device yang terhubung
pada network. Penetapan IP address memberi admin subnet suatu kontrol terhadap siapa
yang terhubung ke subnet. Sewaktu admin subnet menetapkan IP address untuk suatu
sistem, dia juga menetapkan tanggungjawab keamanan tertentu ke admin sistem tersebut.
Demikian juga, bila admin sistem menetapkan suatu account bagi user, maka ia
memberikan tanggungjawab keamanan tertentu kepada user. Hirarki ini mengalir dari
admin network, ke admin subnet, admin sistem, dan ke user. Mereka mendapat
tanggungjawab, dan juga wewenang untuk menurunkan tanggungjawabnya. Untuk itu,
setiap user harus mengetahui tanggungjawabnya.
Dalam kontrol terdistribusi, informasi dari luar disaring dahulu oleh admin network,
kemudian disaring lagi oleh admin subnet, demikian seterusnya, sehingga user tidak perlu
Page 3

menerima terlalu banyak informasi yang tidak berguna. Bila informasi ke user
berlebihan, maka user akan mulai mengabaikan semua yang mereka terima.
5.1.4 Menentukan security policy
2
Dalam network security, peranan manusia yang memegang tanggungjawab keamanan
sangat berperan. Network security tidak akan efektif kecuali orang-orangnya mengetahui
tanggung jawabnya masing-masing. Dalam menentukan network security policy, perlu
ditegaskan apa-apa yang diharapkan, dan dari siapa hal tersebut diharapkan. Selain itu,
kebijakan ini harus mencakup :
• Tanggung jawab keamanan network user, meliputi antara lain keharusan user
untuk mengganti passwordnya dalam periode tertentu, dengan aturan tertentu,
atau memeriksa kemungkinan terjadinya pengaksesan oleh orang lain, dll.
• Tanggung jawab keamanan system administrator, misalnya perhitungan
keamanan tertentu, memantau prosedur-prosedur yang digunakan pada host.
• Penggunaan yang benar sumber-sumber network, dengan menentukan siapa yang
dapat menggunakan sumber-sumber tersebut, apa yang dapat dan tidak boleh
mereka lakukan.
• Langkah-langkah yang harus diperbuat bila terdeteksi masalah keamanan, siapa
yang harus diberitahu. Hal ini harus dijelaskan dengan lengkap, bahkan hal-hal
yang sederhana seperti menyuruh user untuk tidak mencoba melakukan apa-apa
atau mengatasi sendiri bila masalah terjadi, dan segera memberitahu system
administrator.
5.2 METODA-METODA NETWORK SECURITY
5.2.1 Pembatasan akses pada network
• Internal password authentification (password pada login system)
2
security policy : kebijakan yang diambil berkaitan dengan keamanan
jaringan Page 4

Password yang baik menjadi bagian yang paling penting namun sederhana dalam
keamanan jaringan. Sebagian besar dari masalah network security disebabkan password
yang buruk. Biasanya pembobolan account bisa terjadi hanya dengan menduga-duga
passwordnya. Sedangkan bentuk yang lebih canggih lagi adalah dictionary guessing,
yang menggunakan program dengan kamus ter-enkripsi, dibandingkan dengan password
ter-enkripsi yang ada. Untuk itu, file /etc/passwd harus dilindungi, agar tidak dapat
diambil dengan ftp atau tftp (berkaitan dengan file-mode). Bila hal itu bisa terjadi, maka
tftp harus dinonaktifkan. Ada juga sistem yang menggunakan shadow password, agar
password yang ter-enkripsi tidak dapat dibaca. Sering mengganti password dapat menjadi
salah satu cara menghindari pembobolan password. Namun, untuk password yang bagus
tidak perlu terlalu sering diganti, karena akan sulit mengingatnya. Sebaiknya password
diganti setiap 3-6 bulan.
Algoritma enkripsi password tidak dapat ditembus, dalam arti password yang ter-enkripsi
tidak dapat didekripsikan. Yang paling mungkin adalah bila kata-kata dalam kamus di-
enkripsi, dan dibandingkan dengan password ter-enkripsi. Bila password yang digunakan
buruk, mudah ditemukan dalam kamus, maka akan mudah terbongkar.
Beberapa hal yang sebaiknya diperhatikan dalam memilih password :
⇒ Jangan memakai nama login.
⇒ Jangan memakai nama siapapun atau apapun.
⇒ Jangan memakai kata-kata singkatan.
⇒ Jangan memakai informasi pribadi yang berhubungan dengan pemilik account.
Misalnya, inisial, nomor telepon, jabatan, unit organisasi, dll.
⇒ Jangan memakai deretan kunci keyboard, seperti qwerty.
⇒ Jangan memakai semua yang disebut di atas walaupun dibalik urutannya, atau
kombinasi huruf besar kecil.
⇒ Jangan memakai password serba numerik.
⇒ Jangan memakai contoh password yang ada di buku keamanan jaringan, sebaik
apapun password tersebut.
⇒ Gunakan kombinasi angka dan campuran huruf besar kecil.
⇒ Gunakan minimal 6 karakter Page 5

⇒ Gunakan pilihan angka dan huruf yang kelihatannya acak.

⇒ Namun password sebaiknya yang gampang diingat. Hindari password yang sukar
diingat, sehingga harus ditulis dahulu untuk mengingatnya. Selain itu, password
jangan terlalu panjang. Ada juga software yang dapat menjaga agar user mematuhi
peraturan-peraturan yang dibuat. Sehingga dalam memasukan password, user dipaksa
untuk memasukkan password yang unik, dan sesuai dengan peraturan-peraturan
tertentu.
• server-based password authentification
Termasuk dalam metoda ini misalnya sistem Kerberos server, TCP-wrapper, dimana
setiap service yang disediakan oleh server tertentu dibatasi dengan suatu daftar host dan
user yang boleh dan tidak boleh menggunakan service tersebut.
Server
WorkStation
User
Auth Svr
TGS
DB
TGS : Ticket Granting Server
DB : Data Base system
Auth Svr : Authentification Server
Kerberos System
Kerberos server diimplementasikan pada setiap service, dan dimulai ketika seorang user
melakukan login pada suatu sistem. Pada prinsipnya, saat seorang user melakukan login,
maka program login akan menghubungi Kerberos system untuk mendapatkan ‘ticket’
untuk akses pada sistem yang disediakan. User sendiri tidak merasakan perbedaan (tidak
perlu memberikan password tambahan). Bila user akan menggunakan service-service
pada server lainnya, maka sistem dimana user tersebut login akan kembali menghubungi
Kerberos system untuk mendapatkan ticket baru untuk service pada server tersebut.
Dengan cara ini, dapat dihindari penyusupan melalui methoda ‘protocol spoofing’,
dimana user dari sistem lain yang berusaha menggunakan service-service yang dilindungi
Page 6

pada sistem tersebut, tidak akan melalui Kerberos system lebih dahulu, sehingga
permintaan servicenya akan ditolak oleh server. Disini setiap server (penyedia service)
hanya akan melayani permintaan yang disertai ticket dari Kerberos. Tentu saja Kerberos
system ini tidak berpengaruh bila si penyusup sudah berhasil memasuki salah satu local
account.
User
Login
Telnet Server
Telnet Client
Log-File
Telnet Client
Telnet Client
INETD
User
TCP-Wrapper
User
TCP-wrapper adalah sistem yang menggunakan metoda ‘access control’ dimana akses
terhadap suatu service ke server dibelokkan, dilakukan pengecekan terlebih dahulu asal
dari permintaan service tersebut, bila ada dalam daftar yang diperbolehkan, maka
diteruskan ke server yang sebenarnya.
• server-based token authentification
Metoda ini menggunakan authentification system yang lebih ketat, yaitu dengan
penggunaan token / smart card, sehingga untuk akses tertentu hanya bisa dilakukan oleh
login tertentu dengan menggunakan token khusus.
• Firewall dan Routing Control
Komputer dengan firewall menyediakan kontrol akses ketat antara sistem dengan sistem
lain. Konsepnya, firewall mengganti IP router dengan sistem host multi-home, sehingga
IP forwarding
3
tidak terjadi antara sistem dengan sistem lain yang dihubungkan melalui
3
IP Forwarding : lihat Configuring routing. Page 7

firewall tsb. Agar jaringan internal dapat berhubungan dengan jaringan diluarnya dalam
tingkat konektifitas tertentu, firewall menyediakan fingsi-fungsi tertentu.
Firewall
Router
Firewall mencegah paket IP diteruskan melalui layer IP. Namun, seperti host multi-home,
firewall menerima paket dan memprosesnya melalui layer aplikasi. Sebetulnya ada juga
router yang mempunyai fasilitas keamanan khusus seperti firewall, dan biasanya disebut
‘secure router’ atau ‘secure gateway’. Namun firewall bukan router, karena tidak
meneruskan (forwarding) paket IP. Firewall sebaiknya tidak digunakan untuk
memisahkan seluruh jaringan internal dari jaringan luar. Firewall dapat dipakai untuk
memisahkan beberapa bagian dari jaringan internal yang sensitif terhadap jaringan non
sensitif dan jaringan luar, sedangkan antara jaringan non sensitif dengan jaringan luar
digunakan router. Firewall seperti ini disebut firewall internal. Memisahkan sistem
bagian yang sensitif dengan yang non sensitif biasanya sulit, sehingga umumnya
digunakan firewall external, atau kombinasi keduanya. Namun bila bagian yang sensitif
dapat dipisahkan, dan digunakan firewall internal, maka akan lebih baik, sebab tidak
seluruh jaringan terisolasi dari jaringan luar.
router
F
F
InternalNet
InternalNet
Sensitive
InternalNet
Non-
sensitive
ExternalNet
ExternalNet Page 8

Dengan adanya firewall, semua paket ke sistem di belakang firewall dari jaringan luar
tidak dapat dilakukan langsung. Semua hubungan harus dilakukan dengan mesin firewall.
Karena itu sistem keamanan di mesin firewall harus sangat ketat. Dengan demikian lebih
mudah untuk membuat sistem keamanan yang sangat ketat untuk satu mesin firewall,
daripada harus membuat sistem keamanan yang ketat untuk semua mesin di jaringan
lokal (internal).
Kerugiannya, host lokal tidak dapat mengakses jaringan luar. Untuk itu, firewall harus
menyediakan beberapa fungsi yang tidak ada di router :
⇒ DNS, name service untuk dunia luar. Name service untuk host lokal ditangani sistem
internal. Firewall menyediakan name service terbatas untuk jaringan luar. Name server
ini tidak menyediakan nama atau informasi tentang host lokal.
⇒ E-mail forwarding. Pada sistem firewall, sendmail dikonfigurasi untuk meneruskan
mail ke tiap user pada semua sistem internal. Setiap user dikenali melalui alias. Mail
keluar di-rewrite sehingga user internal seakan-akan ada pada sistem firewall. Nama
login dengan nama host internal tidak dikenal dari luar.
⇒ Service ftp. Semua transfer dengan ftp harus melalui firewall. Jadi dari luar hanya bisa
ftp ke sistem firewall. Anonymous ftp hanya ada di firewall. Dari dalam, untuk ftp
keluar, harus login dahulu ke firewall, baru bisa ftp keluar.
⇒ Telnet atau rlogin. Untuk bisa telnet atau rlogin dari atau keluar, maka harus rlogin
atau telnet dahulu ke firewall.
Hanya fasilitas tersebut diatas saja yang disediakan oleh firewall. Fasilitas lainnya,
seperti NIS, NFS, rsh, rcp, finger dll tidak boleh ada pada firewall. Pada sistem firewall,
keamanan lebih penting daripada fasilitas.
Sistem firewall bekerja dengan cara menginterupsi proses routing antara sistem yang
dilindungi dengan sistem luar. Jadi menggunakan metoda control routing. Dengan routing
table statis hal ini dapat dilakukan. Dalam routing table, ditentukan network mana saja
yang dapat berkomunikasi, dan lewat mana hubungan dilakukan. Jadi routing table-nya
tidak mempunyai default route, dan hanya mempunyai routing untuk host luar tertentu
saja, selain routing lokal. Misalnya, beberapa host ee.itb.ac.id pada subnet Page 9
167.205.8.64 (4 bit untuk host address) dengan routernya 167.205.8.80, dilindungi
dengan sistem routing control seperti firewall, untuk subnet tersebut. Host-host tersebut
hanya berhubungan dengan host lokal, dan host luar tertentu, yaitu dns.paume.itb.ac.id
pada address 167.205.22.120 dan maingtw.paume.itb.ac.id pada 167.205.31.131. Maka
routing table pada host hampton.ee.itb.ac.id dengan address 167.205.8.79 sebagai berikut
:
Destination Gateway
Interface
127.0.0.1 127.0.0.1 lo0
167.205.8.64 167.205.8.79 ed0
167.205.22.120
167.205.8.80 ed0
167.205.31.131
167.205.8.80 ed0
Disini tidak ada default route. Selain itu tidak boleh ada program dynamic routing
protocol yang sedang dijalankan atau yang dijalankan sewaktu startup sistem. Default
routing pun tidak boleh didefinisikan saat startup. Yang ada hanya route static tertentu
saja yang didefinisikan saat startup.
Cara seperti ini tingkat keamanannya tidak sekeras firewall, tidak membutuhkan
program-program khusus. Namun konfigurasi sistem harus dilakukan pada semua host
pada sistem tersebut, sedangkan pada firewall, konfigurasi sistem cukup dilakukan pada
mesin firewall saja. Namun cara di atas dapat menjadi alternatif yang mungkin dilakukan.
5.2.2 Metoda enkripsi
Salah satu cara pembatasan akses adalah dengan enkripsi. Proses enkripsi meng-encode
data dalam bentuk yang hanya dapat dibaca oleh sistem yang mempunyai kunci untuk
membaca data. Proses enkripsi dapat dengan menggunakan software atau hardware. Hasil
enkripsi disebut cipher. Cipher kemudian didekripsi dengan device dan kunci yang sama
tipenya (sama hardware/softwarenya, sama kuncinya). Dalam jaringan, sistem enkripsi
harus sama antara dua host yang berkomunikasi. Jadi diperlukan kontrol terhadap kedua
sistem yang berkomunikasi. Biasanya enkripsi digunakan untuk suatu sistem yang
seluruhnya dikontrol oleh satu otoritas. Page 10

Beberapa alasan penggunaan enkripsi :

• mencegah orang yang tidak berwenang melihat data-data sensitif
• mengurangi kemungkinan terbukanya data rahasia tanpa sengaja
• mencegah orang-orang yang mempunyai akses istimewa (mis: sistem admin) agar
tidak dapat melihat data pribadi
• untuk mempersulit usaha intruder memasuki sistem
Metoda enkripsi bukan solusi terbaik keamanan jaringan, karena ada enkripsi yang bisa
menyebabkan hilangnya data. Selain itu, enkripsi juga masih bisa dipecahkan. Pada
sistem unix, biasanya digunakan standar enkripsi crypt dan/atau des. Data encryption
standard, des, teknik enkripsi modern yang dibentuk tahun 70-an. Sedangkan crypt
berdasar dari teknik enkripsi mesin Enigma Jerman (perang dunia dua). Dari keduanya,
des lebih bagus.
Program crypt dan des membaca data dari standar input, menghasilkan keluaran di
standar output, membutuhkan kunci untuk enkripsi. Kunci ini , seperti password harus
sukar untuk diduga, namun mudah untuk diingat. Hal-hal untuk password berlaku juga
untuk kunci ini. Penggunaan des dan crypt ini dapat dilihat dari manual perintah tersebut
pada sistem.
Bila file yang di-enkripsi adalah file teks, maka kemungkinan file tersebut dapat di-
dekripsi oleh program pemecah enkripsi lebih besar, dibanding bila file data yang di-
enkripsi tersebut adalah file binary. Karena itu sebaiknya file-file data penting yang akan
di-enkripsi sebaiknya digabungkan dahulu dengan program tar, lalu di-compress atau
dengan program gzip. Hasilnya baru di-enkripsi.
Metoda enkripsi dalam pengiriman data yang dapat dilakukan ada bermacam-macam,
antara lain :
• Data Encryption Standard, des
Diperlukan satu kunci untuk meng-encode dan men-decode data. Page 11

• RSA Public/Private key concept

Pengirim data memerlukan satu Public key untuk meng-encode data, si penerima
data akan men-decode data dengan satu kunci khusus Private key yang hanya
dimiliki olehnya saja. Sistem ini lebih baik keamanannya daripada des, namun
kurang cepat. Misal : PGPPage 12

• Digital Envelope
Merupakan gabungan des dengan Public/Private key concept. Data dikirimkan
dengan ter-enkripsi des, dengan kunci tertentu. Kunci des tersebut kemudian
dienkripsi dengan Public key milik si penerima, dan digabungkan dengan data
yang sudah ter-enkripsi. Penerima data akan membuka kunci des yang ter-
enkripsi dengan Private key yang dimilikinya. Lalu kunci des yang dihasilkan
digunakan untuk membuka data. Disini digunakan des sebagai enkriptor data,
karena kecepatannya yang lebih baik dibandingkan penggunaan Public/Private
key. Sedangkan keamanannya terjamin oleh penggunaan Public/Private key
terhadap kunci des yang dipakai.
Compare
Public/Private key concept
Digital Envelope
Digital Signature
• Digital Signature Page 13

Digunakan untuk data yang terbuka untuk umum (public accessible) namun dijaga
kebenarannya (seperti penggunaan checksum pada sistem kompresi file, sistem
transmisi data). Untuk itu pada data tersebut ditambahkan ‘signature’. Signature
ini dibuat dari data yang akan dikirimkan, yang diproses dengan algoritme
tertentu (hashing algorithm) menjadi ‘message digest’, lalu message digest
tersebut di-encode dengan Private key si pengirim, menjadi digital signature
untuk data tersebut. Si penerima dapat memastikan kebenaran (authentification)
data yang dikirimkan dengan men-decode digital signature menjadi message
digest dengan menggunakan Public key, lalu membandingkannya dengan
message digest yang dibuat dari data yang diproses dengan algoritme tertentu
(dalam hal ini hashing algorithm)
Request for Comments
Dari Wikipedia bahasa Indonesia, ensiklopedia bebas

Sebuah dokumen Request for Comments (RFC) adalah salah satu dari seri dokumen
infomasi dan standar Internet bernomor yang diikuti secara luas oleh perangkat lunak untuk
digunakan dalam jaringan, Internet dan beberapa sistem operasi jaringan, mulai dari Unix,
Windows, dan Novell NetWare. RFC kini diterbitkan di bawah arahan Internet Society
(ISOC) dan badan-badan penyusun-standar teknisnya, seperti Internet Engineering Task
Force (IETF) atau Internet Research Task Force (IRTF). Semua standar Internet dan juga
TCP/IP selalu dipublikasikan dalam RFC, meskipun tidak semua RFC mendefinisikan
standar Internet. Beberapa RFC bahkan hanya menawarkan informasi,
percobaan/eksperimen, atau hanya informasi sejarah saja.

Sebelum menjadi sebuah dokumen RFC, sebuah dokumen yang diajukan akan dianggap
menjadi draf Internet (Internet draft), yang merupakan sebuah dokumen yang umumnya
dikembangkan oleh satu orang pengembang di dalam kelompok kerja IETF atau IRTF.
Sebagai contoh, kelompok kerja IPv6 (IPv6 working group) mengkhususkan usahanya hanya
untuk mengembangkan standar-standar yang akan digunakan pada IPv6, protokol calon
pengganti IPv4. Setelah beberapa waktu, dokumen tersebut akan diulas dan akhirnya harus
diterima secara konsensus oleh para penguji. Dan setelah diterima, maka IETF pun
menerbitkan versi final dari draf Internet tersebut menjadi sebuah RFC dan kemudian
memberikan nomor urut kepadanya, yang disebut sebagai RFC Number.

Daftar RFC yang lazim digunakan

RFC Subject

RFC 768 User Datagram Protocol

RFC 791 Internet Protocol

RFC 792 Control message protocol

RFC 793 Transmission Control Protocol

RFC 821 Simple Mail Transfer Protocol, digantikan RFC 2821

RFC 822 Format e-mail, digantikan RFC 2822

RFC 826 Address resolution protocol

RFC 894 IP melalui Ethernet

RFC 951 Bootstrap Protocol

RFC 959 File Transfer Protocol

RFC 1034 Domain Name System - konsep

RFC 1035 DNS - implementasi

RFC 1122 Syarat-syarat Host I

RFC 1123 Syarat-syarat Host II

RFC 1191 Penemuan Path MTU

RFC 1256 Penemuan router

RFC 1323 TCP dengan kemampuan tertinggi

RFC 1350 Trivial File Transfer Protocol

RFC 1403 Interaksi BGP OSPF

RFC 1459 Protokol Internet Relay Chat

RFC 1498 Diskusi arsitektur

RFC 1518 Alokasi alamat CIDR

RFC 1519 CIDR

RFC 1591 Domain Name Structure/DNS

RFC 1661 Point-to-Point Protocol

RFC 1738 Uniform Resource Locator

RFC 1771 A Border Gateway Protocol 4

RFC 1772 Aplikasi BGP

RFC 1789 Telepon melalui Internet (digantikan VoIP)

RFC 1812 Syarat-syarat bagi router IPv4

RFC 1889 Real-Time transport

RFC 1905 Simple network management protocol

RFC 1907 MIB

RFC 1918 "Network 10"

RFC 1939 Post Office Protocol versi 3 (POP3)

RFC 2001 Perpanjangan performa TCP

RFC 2026 Proses Standar Internet

RFC 2045
MIME
RFC 2046
RFC 2047

RFC 2048

RFC 2049

RFC 2060 Internet Message Access Protocol versi 4 (IMAP4), digantikan RFC 3501

RFC 2131 DHCP

RFC 2223 Petunjuk bagi author RFC

RFC 2231 Set aksara

RFC 2328 OSPF

RFC 2401 Arsitektur Keamanan

RFC 2453 Routing Information Protocol

RFC 2525 Masalah-masalah TCP

RFC 2535 Keamanan DNS

RFC 2581 Kontrol kemacetan TCP

RFC 2616 HTTP

RFC 2663 Network address translation

RFC 2766 NAT-PT

RFC 2821 Simple Mail Transfer Protocol

RFC 2822 Format e-mail

RFC 2960 SCTP

RFC 3010 Network File System

RFC 3031 Arsitektur MPLS

RFC 3066 Tag bahasa

RFC 3092 Etimologi "Foo"

RFC 3098 Beriklan dengan bertanggung jawab menggunakan E-mail

RFC 3160 Tao IETF

RFC 3168 ECN

RFC 3501 IMAP4rev1

007A