Desain Sistem Keamanan

Dan Jaringan!

Nama :
Idham Malik
Kelas :
X11 Tkj c

1
Modul KK.15 Membuat Desain Sistem Keamanan Jaringan

KK.15 Membuat Desain Sistem Keamanan Jaringan

Kompetensi Dasar :
15.1 Menentukan jenis-jenis keamanan jaringan
15.2 Mengidentifikasi pengendalian jaringan yang diperlukan
15.3 Memasang firewall
15.4 Mendesain sistem keamanan jaringan

BAB 1
Menentukan Jenis Keamanan Jaringan

· Dalam masyarakat pertanian tanah aset paling penting negara dengan

produksi
tani terbesar memiliki kekuatan bersaing.
· Dalam masyarakat industri kekuatan modal seperti memiliki cadangan
minyak

2
 menjadi faktor utama dalam persaingan.
· Dalam masyarakat berbasis informasi dan pengetahuan informasi
adalah komoditi
yang sangat penting dan aset paling berharga Kemampuan untuk
mendapatkan,
mengakses, menyediakan, menggunakan, dan menganalisis informasi secara
cepat dan
akurat.

Definisi Informasi :
 Secara umum, informasi didefinisikan sebagai hasil dari aktivitas mental dan
merupakan produk abstrak yang ditransmisikan melalui medium.
 Dalam bidang teknologi informasi dan komunikasi, informasi adalah hasil dari
pemrosesan, manipulasi dan pengaturan data, yaitu sekumpulan fakta.
 Dalam bidang Keamanan Informasi, informasi diartikan sebagai sebuah aset
merupakan
 sesuatu yang memiliki nilai dan karenanya harus dilindungi. Definisi ini
mengikuti ISO/IEC 27001.

Aspek keamanan informasi

Garfinkel and Spafford mengemukakan bahwa keamanan komputer (computer
security)
melingkupi empat aspek, yaitu :
1. Privacy
2. Integrity
3. Authentication
4. availability.
Selain keempat hal di atas, masih ada dua aspek lain yang juga sering dibahas
dalam kaitannya
dengan electronic commerce, yaitu access control dan non-repudiation.

Berdasar spesifikasi dari OSI, aspek keamanan komputer meliputi :

• Access Control, Perlindungan terhadap pemakaian tak legak
• Authentication, Menyediakan jaminan identitas seseorang
• Confidentiality (kerahasiaan), Perlindungan terhadap pengungkapan identitas
tak legal
• Integrity, Melindungi dari pengubahan data yang tak legal

3
 • Non-repudiation (penyangkalan), Melindungi terhadap penolakan komunikasi
yang sudah
pernah dilakukan.

Pendapat yang lain mengatakan, Aspek keamanan informasi adalah aspek-

aspek yang dilingkupi dan melingkupi keamanan informasi dalam sebuah sistem
informasi. Aspek-aspek ini adalah :
 Privacy (privasi/kerahasiaan), menjaga kerahasiaan informasi dari semua
pihak, kecuali yang memiliki kewenangan;
 Integrity (integritas), meyakinkan bahwa data tidak mengalami perubahan oleh
yang tidak berhak atau oleh suatu hal lain yang tidak diketahui (misalnya buruknya
transmisi data);
 Authentication (otentikasi/identifikasi), pengecekan terhadap identitas suatu
entitas, bisa berupa orang, kartu kredit atau mesin;
 Signature, Digital Signature (tanda tangan), mengesahkan suatu informasi
menjadi satu kesatuan di bawah suatu otoritas;
 Authorization (otorisasi), pemberian hak/kewenangan kepada entitas lain di dalam
sistem;
 Validation (validasi), pengecekan keabsahan suatu otorisasi;
 Access Control (kontrol akses), pembatasan akses terhadap entitas di dalam
sistem;
 Certificate (sertifikasi), pengesahan/pemberian kuasa suatu informasi kepada
entitas yang tepercaya;
 Time stamp (pencatatan waktu), mencatat waktu pembuatan atau
keberadaan suatu informasi di dalam sistem;
 Verification (persaksian, verifikasi), memverifikasi pembuatan dan
keberadaan suatuinformasi di dalam sistem bukan oleh
pembuatnya Acknowledgement (tanda terima), pemberitahuan bahwa informasi
telah diterima;
 Confirmation (konfirmasi), pemberitahuan bahwa suatu layanan informasi telah
tersedia;
 Ownership (kepemilikan), menyediakan suatu entitas dengan sah untuk
menggunakan atau mengirimkan kepada pihak lain;
 Anonymous (anonimitas), menyamarkan identitas dari entitas terkait dalam
suatu proses transaksi;
 Non-repudiation (nirpenyangkalan), mencegah penyangkalan dari suatu
entitas atas kesepakatan atau perbuatan yang sudah dibuat;
4
 Recall (penarikan), penarikan kembali suatu sertifikat atau otoritas.

Standar Kegiatan Keamanan Informasi

ISO/IEC 27001, atau lengkapnya "ISO/IEC 27001:2005 - Information
technology --
Security techniques -- Information security management systems --
Requirements", adalah
suatu standar sistem manajemen keamanan informasi (ISMS, information security
management
system) yang diterbitkan oleh ISO dan IEC pada Oktober 2005. Standar yang
berasal dari BS
7799-2 ini ditujukan untuk digunakan bersama denganISO/IEC 27002, yang
memberikan daftar
tujuan pengendalian keamanan dan merekomendasikan suatu rangkaian
pengendalian
keamanan spesifik.
Kegiatan keamanan dalam ISO/IEC27001 terdiri dari 133 kontrol dan 11 domain
Beberapa

ISO/IEC27001 mengadopsi model proses Plan-Do-Check-Act, yang

digunakan untuk
mengatur struktur seluruh proses ISMS. Dalam ISO/IEC27001, semua bukti hasil
penilaian ISMS
harus didokumentasikan; sertifikasinya harus diaudit secara eksternal setiap
enam bulan; dan
seluruh proses diulangi sesudah tiga tahun untuk terus mengatur ISMS.

1. Keterbukaan Informasi
 Selain memiliki banyak keuntungan, keterbukaan akses informasi tersebut
memunculkan
2. berbagai masalah baru, antara lain :
 · Pemeliharaan validitas dan integritas data/informasi tersebut
 · Jaminan ketersediaan informasi bagi pengguna yang berhak
 · Pencegahan akses informasi dari yang tidak berhak
 · Pencegahan akses sistem dari yang tidak berhak

5
Konsep 4R
Konsep pengaturan 4R berikut ini adalah cara paling efisien untuk
memelihara dan
mengontrol nilai informasi. 4R keamanan informasi adalah Right Information
(Informasi yang
benar), Right People (Orang yang tepat), Right Time (Waktu yang tepat)
dan Right Form
(Bentuk yang tepat).

1. Right Information mengacu pada ketepatan dan kelengkapan informasi,

yang menjaminintegritas informasi.
2. Right People berarti informasi tersedia hanya bagi individu yang berhak,
yang menjaminkerahasiaan.
3. Right Time mengacu pada aksesibilitas informasi dan penggunaannya
atas permintaanentitas yang berhak. Ini menjamin ketersediaan.
4. Right Form mengacu pada penyediaan informasi dalam format yang tepat.

Piramida Metodologi Kemananan

Berikut ini adalah piramida metodologi keamanan. Secara singkat pada
piramida di
bawah ini telah tergambar unsur-unsur apa saja yang dibutuhkan dalam
membangun sebuah
sistem keamanan secara utuh

Orang yang Terlibat

1. Administrator System (SysAdmin), Network Admin, stakeholder
2. Phreaker

Orang yang mengetahui sistem telekomunikasi dan memanfaatkan kelemahan

sistem
pengamanan telepon tersebut
3. Hacker
Orang yang mempelajari sistem yang biasanya sukar dimengerti untuk
kemudian
mengelolanya dan men-share hasil ujicoba yang dilakukannya.
Hacker tidak merusak sistem
4. Craker
Orang yang mempelajari sistem dengan maksud jahat – Muncul karena sifat dasar
manusia

6
(salah satunya merusak)

Ancaman Jaringan komputer dilihat dari BENTUKNYA :

• Fisik (physical)
- Pencurian perangkat keras komputer atau perangkat jaringan
- Bencana alam (banjir, kebakaran, dll) Major cause
- Kerusakan pada komputer dan perangkat komunikasi jaringan
- Wiretapping Man the Middle Attack Aktif / Pasif
- Wardriving Man the Middle Attack Aktif / Pasif
-
• Logik (logical)
- Kerusakan pada sistem operasi atau aplikasi
- Virus
- Sniffing, dan lain lain seperti tersebut di bawah ini

Ancaman Jaringan komputer dilihat dari JENIS-JENISNYA

Jenis-jenis Serangan Keamanan Informasi yang menjadi tren dan arah Keamanan
Informasi:
1. Probe
Probe atau yang biasa disebut probing adalah usaha untuk mengakses sistem
dan
mendapatkan informasi tentang sistem
2. Scan
Scan adalah probing dalam jumlah besar menggunakan suatu tool
3. Account compromise
Meliputi User compromize dan root compromize
4. Packet Snifer
Adalah sebuah program yan menangkap / mngcaptur data dari paket yang
lewat di
jaringan. (username, password, dan informasi penting lainnya)
5. Hacking
Hacking adalah tindakan memperoleh akses ke komputer atau jaringan komputer
untuk
mendapatkan atau mengubah informasi tanpa otorisasi yang sah
6. Denial-of-Service
Serangan Denial-of-service (DoS) mencegah pengguna yang sah dari penggunaan
layanan
ketika pelaku mendapatkan akses tanpa izin ke mesin atau data. Ini terjadi karena
pelaku

7
membanjiri‘ jaringan dengan volume data yang besar atau sengaja menghabiskan
sumber
daya yang langka atau terbatas, seperti process control blocks atau koneksi
jaringan yang
tertunda. Atau mereka mengganggu komponen fisik jaringan atau memanipulasi
data yang
sedang dikirimkan, termasuk data terenkripsi.
7. Malicious code (Kode Berbahaya)
Malicious code adalah program yang menyebabkan kerusakan sistem ketika
dijalankan.
Virus, worm dan Trojan horse merupakan jenis-jenis malicious code.
a. Virus komputer adalah sebuah program komputer atau kode program yang
merusak sistem komputer dan data dengan mereplikasi dirinya sendiri melalui
peng-copy-an ke program lain, boot sector komputer atau dokumen.
b. Worm adalah virus yang mereplikasi dirinya sendiri yang tidak mengubah
file, tetapi ada di memory aktif, menggunakan bagian dari sistem operasi yang
otomatis dan biasanya tidak terlihat bagi pengguna. Replikasi mereka yang
tidak terkontrol memakan sumber daya sistem, melambatkan atau
menghentikan proses lain.
Biasanya hanya jika ini terjadi keberadaan worm diketahui.
c. Trojan horse adalah program yang sepertinya bermanfaat dan/atau tidak
berbahaya tetapi sesungguhnya memiliki fungsi merusak seperti unloading
hidden program atau
command scripts yang membuat sistem rentan gangguan.
8. Social Engineering / Exploitation of Trust
Sekumpulan teknik untuk memanipulasi orang sehingga orang tersebut
membocorkan informasi rahasia. Meskipun hal ini mirip dengan permainan
kepercayaan atau penipuan sederhana, istilah ini mengacu kepada penipuan
untuk mendapatkan informasi atau akses sistem komputer.

Beberapa jebakan yang dapat dilakukan diantaranya dengan :

o Memanfaatkan kepercayaan orang dalam bersosialisasi dengan komputer.
o Memanfaatkan kesalahan orang secara manusiawi misal : kesalahan ketik,
asal klik, next-next, dll
o Bisa dengan cara membuat tampilan Login yang mirip (teknik fake login),
diarahkan ketempat lain, juga biasanya dibuat url yang hampir sama untuk
web contoh kasus :www.klikbca.com
9. Phishing
Tindakan pemalsuan terhadap data / identitas resmi yang dilakukan untuk hal
yang
8
berkaitan dengan pemanfaatannya. Phising diawali dengan mencuri informasi
personal
melalui Internet. Phishing telah menjadi aktivitas kriminal yang banyak
dilakukan di
Internet.
10. Deface
perubahan terhadap tampilan suatu website secara illegal.
11. Carding
pencurian data terhadap identitas perbankan seseorang, misalnya pencurian
nomor kartu kredit, digunakan untuk memanfaatkan saldo yang terdapat pada
rekening tersebut untuk keperluan belanja online.

BAB 2
Mengidentifikasi Pengendalian
Jaringan yang Diperlukan

Jaringan yang Diperlukan

Risk Management Model Lawrie Brown dalam bukunya menyarankan
menggunakan “Risk Management Model” untuk menghadapi ancaman
(managing threats). Ada tiga komponen yang memberikan kontribusi kepada
Risk, yaitu Asset, Vulnerabilities, dan Threats. Untuk menanggulangi resiko
(Risk) tersebut dilakukan apa yang disebut “countermeasures” yang dapat
berupa:
• usaha untuk mengurangi Threat
• usaha untuk mengurangi Vulnerability
• usaha untuk mengurangi impak (impact)
• mendeteksi kejadian yang tidak bersahabat (hostile event)
• kembali (recover) dari kejadian

Analisis SWOT

Analisis SWOT (singkatan bahasa Inggris dari strengths (kekuatan), weaknesses

(kelemahan), opportunities (kesempatan), dan threats (ancaman) adalah metode
perencanaan strategis yang digunakan untuk mengevaluasi kekuatan,
kelemahan, peluang, dan ancaman dalam suatu keadaan tertentu. Dalam
tinjauan keamanan jaringan, analisis SWOT mencoba memetakan keadaan

9
yang ingin dicapai yaitu terciptanya keamanan informasi dan keamanan
jaringan, dan mengidentifikasikan faktor internal dan faktor eksternalyang
membantu dan yang membahayakan tercapainya keamanan jaringan dan
keamanan informasi
Teknik ini dibuat oleh Albert Humphrey, yang memimpin proyek riset pada
Universitas Stanfordpada dasawarsa 1960-an dan 1970-an dengan menggunakan
data dari perusahaan-perusahaan Fortune 500

Setelah memetakan dan mengenali faktor-faktor tersebut, maka diperlukan usaha

untuk
meningkatkan strengths (kekuatan), mengurangi dan menutupi weaknesses
(kelemahan),
memanfaatkan opportunities (kesempatan), dan juga usaha untuk mengurangi
dan
mengantisipasi Threats (ancaman).

Port
Dalam protokol jaringan TCP/IP, sebuah port adalah mekanisme yang
mengizinkan
sebuah komputer untuk mendukung beberapa sesi koneksi dengan komputer
lainnya dan
program di dalam jaringan. Port dapat mengidentifikasikan aplikasi dan
layanan yang menggunakan koneksi di dalam jaringan TCP/IP. Sehingga, port
juga mengidentifikasikan
sebuah proses tertentu di mana sebuah server dapat memberikan sebuah layanan
kepada klien
atau bagaimana sebuah klien dapat mengakses sebuah layanan yang ada dalam
server.
Port dapat dikenali dengan angka 16-bit (dua byte) yang disebut dengan Port
Number dan diklasifikasikan dengan jenis protokol transport apa yang
digunakan, ke
dalam Port TCP dan Port UDP. Karena memiliki angka 16-bit, maka total
maksimum jumlah port untuk setiap protokol transport yang digunakan adalah 216
= 65536 buah.
Dilihat dari penomorannya, port UDP dan TCP dibagi menjadi tiga jenis,
yakni sebagai
berikut:

10
  Well-known Port: yang pada awalnya berkisar antara 0 hingga
255 tapi kemudian diperlebar untuk mendukung antara 0 hingga 1023.
Port number yang termasuk ke dalam well-known port, selalu
merepresentasikan layanan jaringan yang sama, dan ditetapkan oleh
Internet Assigned Number Authority (IANA). Beberapa di antara port-
port yang berada di dalam range Well-known port masih belum
ditetapkan dan direservasikan untukdi gunakan oleh layanan yang
bakal ada di masa depan. Well-known port didefinisikan dalam RFC
1060.
 Registered Port: Port-port yang digunakan oleh vendor-vendor
komputer atau jaringanyang berbeda untuk mendukung aplikasi dan
sistem operasi yang mereka buat. Registered port juga diketahui dan
didaftarkan oleh IANA tapi tidak dialokasikan secara permanen,
sehingga vendor lainnya dapat menggunakan port number yang
sama. Range registered port berkisar dari 1024 hingga 49151 dan
beberapa port di antaranya adalah Dynamically Assigned Port.
Dynamically Assigned Port: merupakan port-port yang ditetapkan
oleh sistem operasi atau aplikasi yang digunakan untuk melayani
request dari pengguna sesuai dengan kebutuhan. Dynamically
Assigned Port berkisar dari 1024 hingga 65536 dan dapat
digunakan atau dilepaskan sesuai kebutuhan.

BAB 3
Firewall

Pengertian Firewall : Adalah mekanisme kontrol akses pada level jaringan,

Aplikasi Penghambat yang dibangun untuk memisahkan jaringan privat
11
dengan jaringan publik (Internet) Aplikasi diimplementasikan pada : software,
hardware, Router Access, ataupun Server Access atau beberapa Router Acess
ataupun beberapa Server Access Menggunakan suatu (rule)/Policy berupa daftar
akses (Access List), dan metode lain untuk menjamin keamanan jaringan privat

Firewall adalah salah peralatan atau suatu aplikasi pada sistem operasi yang
dibutuhkan oleh jaringan komputer untuk melindungi intergritas data/sistem
jaringan dari serangan-serangan pihak yang tidak bertanggung jawab. Caranya
dengan melakukan filterisasi terhadap paket-paket yang melewatinya.
Firewall tersusun dari aturan-aturan yang diterapkan baik terhadap hardware,
software
ataupun sistem itu sendiri dengan tujuan untuk melindungi jaringan, baik
dengan melakukan filterisasi, membatasi, ataupun menolak suatu permintaan
koneksi dari jaringan luar lainnya seperti internet.

Pada firewall terjadi beberapa proses yang memungkinkannya melindungi

jaringan. Ada
tiga macam Proses yang terjadi pada firewall, yaitu:

1. Modifikasi header paket, digunakan untuk memodifikasi kualitas layanan bit

paket TCP
sebelum mengalami proses routing.
2. Translasi alamat jaringan, translasi yang terjadi dapat berupa translasi satu
ke satu
(one to one), yaitu satu alamat IP privat dipetakan kesatu alamat IP publik atau
translasi
banyak kesatu (many to one) yaitu beberapa alamat IP privat dipetakan
kesatu alamat
publik.
3. Filter paket, digunakan untuk menentukan nasib paket apakah dapat
diteruskan atau tidak.

Jenis Firewall Hardware dan Software

1. Software Firewall
Adalah program yang berjalan pada background komputer. Software ini
mengevaluasi
setiap request dari jaringan dan menetukan apakah request itu valid atau tidak.
Kelebihan
• Harganya murah
• Mudah dikonfigurasi
12
Kekurangan
• Memakan sumber daya dari komputer (CPU,memory, disk)
• Terdapat versi yang berbeda dan untuk OS yang berbeda pula
• Dibutuhkan beberapa copy dan konfigurasi untuk tiap sistem dalam jaringan

2. Hardware Firewall
Adalah firewall yang dipasang pada komputer, yang menghubungkan
komputer dengan modem
Kelebihan
• Menyediakan perlindungan yang lebih banyak dibandingkan software firewall
• Beroperasi secara independen terhadap sistem operasi dan aplikasi
perangkat
lunak, sehingga kompabilitasnya tinggi
Kekurangan
• Cenderung lebih mahal

Teknologi Firewall
1. Packet Filtering Gateway (Router, Cisco IOS, dll.) ->Stateless
2. Application Level Gateway / Proxy-based (NAI Gauntled, Axent Raptor, dll.)
3. Circuit Level Gateway
4. Statefull Multi Layer Inspection Firewall (Checkpoint FW-1, PIX, dll.)

1. Packet Filtering Gateway

Prinsip : adalah memperbolehkan (grant) atau membatalkan (deny) terhadap suatu
access,
dengan beberapa variabel:
Source Address
Destination Address
Protocol (TCP/UDP)
Source Port number
Destination Port number
Packet filtering gateway dapat diartikan sebagai firewall yang bertugas melakukan
filterisasi
terhadap paket-paket yang datang dari luar jaringan yang dilindunginya.
2. Circuit Level Gateway
Model firewall ini bekerja pada bagian Lapisan transport dari model referensi
TCP/IP.
Firewall ini akan melakukan pengawasan terhadap awal hubungan TCP yang biasa
disebut
sebagai TCP Handshaking, yaitu proses untuk menentukan apakah sesi hubungan
13
tersebut
diperbolehkan atau tidak. Bentuknya hampir sama dengan Application Layer
Gateway ,
hanya saja bagian yang difilter terdapat ada lapisan yang berbeda, yaitu berada
pada layer
Transport.
3. Application Level Gateway
Adalah gateway yang bekerja pada level aplikasi pada layer OSI, Model
firewall ini juga
dapat disebut Proxy Firewall. Mekanismenya tidak hanya berdasarkan sumber,
tujuan dan
atribut paket, tapi bisa mencapai isi ( content ) paket tersebut. Bila kita
melihat dari sisi
layer TCP/IP, firewall jenis ini akan melakukan filterisasi pada layer aplikasi (
Application
Layer ).
4. Statefull Packet-filter-Based Firewalls
Model firewall ini merupakan penggabungan dari ketiga firewall sebelumnya.
Firewall jenis
ini akan bekerja pada lapisan Aplikasi, Transport dan Internet. Dengan
penggabungan
ketiga model firewall yaitu Packet Filtering Gateway, Application Layer Gateway
dan Circuit
Level Gateway, mungkin dapat dikatakan firewall jenis ini merupakan firewall
yang
,memberikan fitur terbanyak dan memeberikan tingkat keamanan yang paling
tinggi.

Beberapa Konfigurasi Firewall

1. Screened Host Firewall (singled-homed bastion)
2. Screened Host Firewall (Dual-homed bastion)
3. Screened Subnet Firewall

Aplikasi pengendalian jaringan dengan menggunakan firewall dapat

diimplementasikan dengan
menerapkan sejumlah aturan (chains) pada topologi yang sudah ada.

Dalam hal pengendalian jaringan dengan menggunakan iptables, ada dua hal
14
yang harus
diperhatikan yaitu:
1. Koneksi paket yang menerapkan firewall yang digunakan.
2. Konsep firewall yang diterapkan.
Dengan dua hal ini diharapkan iptables sebagai aturan yang mendefinisikan
firewall dapat
mengenali apakah koneksi yang terjadi berupa koneksi baru ( NEW) , koneksi
yang telah ada (
ESTABLISH ), koneksi yang memiliki relasi dengan koneksi lainnya (
RELATED ) atau koneksi
yang tidak valid ( INVALID ). Keempat macam koneksi itulah yang membuat
IPTables disebut
Statefull Protocol .

Koneksi Paket
Koneksi paket yang dalam proses pengirimannya dari pengirim kepada penerima
harus melalui
aturan firewall, dapat dikelompokan kepada tiga kelompok koneksi, yaitu :
1. Koneksi TCP
2. Koneksi IP
3. Koneksi UDP

1. Koneksi TCP
Sebuah koneksi TCP dikenal sebagai koneksi yang bersifat Connection
Oriented yang
berarti sebelum melakukan pengiriman data, mesin-mesin tersebut akan melalui 3
langkah
cara berhubungan ( 3-way handshake ).

2. Koneksi IP
Sebuah frame yang diidentifikasi menggunakan kelompok protokol Internet
(IP) harus
melalui aturan firewall yang didefinisikan menggunakan protokol IP sebelum paket
tersebut
mendapat jawaban koneksi dari tujuan paket tersebut.
Salah satu paket yang merupakan kelompok protokol IP adalah ICMP, yang
sering
digunakan sebagai aplikasi pengujian koneksi ( link ) antar host.

15
3. Koneksi UDP
Berbeda dengan koneksi TCP, koneksi UDP (Gambar 11.11) bersifat
connectionless.
Sebuah mesin yang mengirimkan paket UDP tidak akan mendeteksi
kesalahan terhadap
pengiriman paket tersebut.
Paket UDP tidak akan mengirimkan kembali paket-paket yang mengalami
error. Model
pengiriman paket ini akan lebih efisien pada koneksi broadcasting atau
multicasting

Untuk membangun sebuah firewall, yang harus kita ketahui pertama-tama

adalah
bagaimana sebuah paket diproses oleh firewall, apakah paket-paket yang masuk
akan di buang ( DROP ) atau diterima ( ACCEPT ), atau paket tersebut
akan diteruskan ( FORWARD ) ke jaringan yang lain. Salah satu tool yang
banyak digunakan untuk keperluan proses pada firewall adalah iptables.
Program iptables adalah program administratif untuk Filter Paket dan NAT (
Network Address Translation). Untuk menjalankan fungsinya, iptables
dilengkapi dengan tabel mangle, nat dan filter .

NAT (SNAT dan DNAT)

Salah satu kelebihan IPTABLES adalah untuk dapat memfungsikan
komputer kita menjadi gateway menuju internet. Teknisnya membutuhkan tabel
lain pada IPTABLES selain ketiga tabel diatas, yaitu tabel NAT SNATdigunakan
untuk mengubah alamat IP pengirim ( source IP address ).
Biasanya SNAT berguna untuk menjadikan komputer sebagai gateway menuju ke
internet. Misalnya komputer kita menggunakan alamat IP 192.168.0.1. IP
tersebut adalah IP lokal. SNAT akan mengubah IP lokal tersebut menjadi IP

16
publik, misalnya 202.51.226.35. Begitu juga sebaliknya, bila komputer lokal kita
bisa di akses dari internet maka DNAT yang akan digunakan. Mangle pada
IPTABLES banyak digunakan untuk menandai ( marking ) paket-paket untuk di
gunakan di proses-proses selanjutnya. Mangle paling banyak di gunakan
untuk bandwidth limiting atau pengaturan bandwidth.
Fitur lain dari mangle adalah kemampuan untuk mengubah nilai Time to
Live (TTL) pada paket dan TOS ( type of service ).

BAB 4
Mendesain Sistem Keamanan Jaringan

Metode Keamanan Jaringan

Dalam merencanakan suatu keamanan jaringan, ada beberapa metode yang
dapat
ditetapkan, metode-metode tersebut adalah sebagai berikut :
1. Pembatasan akses pada suatu jaringan
Ada beberapa konsep dalam pembatasan akses jaringan, yakni sebagai berikut :
a. Internal Password Authentication
Password local untuk login ke sistem harus merupakan password yang baik
serta
dijaga dengan baik. Pengguaan aplikasi shadow password akan sangat membantu.
b. Server Based password authentication
17
Termasuk dalam metoda ini misalnya sistem Kerberos server, TCP-wrapper,
dimana
setiap service yang disediakan oleh server tertentu dibatasi dengan suatu
daftar host
dan user yang boleh dan tidak boleh menggunakan service tersebut
c. Server-based token authentication
Metoda ini menggunakan authentication system yang lebih ketat, yaitu
dengan
penggunaan token / smart card, sehingga untuk akses tertentu hanya bisa
dilakukan
oleh login tertentu dengan menggunakan token khusus.
d. Firewall dan Routing Control
Firewall melindungi host-host pada sebuah network dari berbagai serangan.
Dengan
adanya firewall, semua paket ke sistem di belakang firewall dari jaringan luar
tidak
dapat dilakukan langsung. Semua hubungan harus dilakukan dengan mesin firewall
2. Menggunakan Metode dan mekanisme tertentu
• Enkripsi
Salah satu cara pembatasan akses adalah dengan enkripsi. Proses enkripsi meng-
encode
data dalam bentuk yang hanya dapat dibaca oleh sistem yang mempunyai kunci
untuk
membaca data. Proses enkripsi dapat dengan menggunakan software atau
hardware.
Hasil enkripsi disebut cipher. Cipher kemudian didekripsi dengan device dan kunci
yang
sama tipenya (sama hardware/softwarenya, sama kuncinya). Dalam jaringan,
sistem
enkripsi harus sama antara dua host yang berkomunikasi. Jadi diperlukan
kontrol
terhadap kedua sistem yang berkomunikasi. Biasanya enkripsi digunakan
untuk suatu
sistem yang seluruhnya dikontrol oleh satu otoritas

Terminologi Kriptografi
Kriptografi (cryptography) merupakan ilmu dan seni untuk menjaga pesan
agar
aman. (Cryptography is the art and science of keeping messages secure. [40])
“Crypto”
18
berarti “secret” (rahasia) dan “graphy” berarti “writing” (tulisan) [3]. Para
pelaku atau
praktisi kriptografi disebut cryptographers. Sebuah algoritma kriptografik
(cryptographic
algorithm), disebut cipher, merupakan persamaan matematik yang digunakan
untuk
proses enkripsi dan dekripsi. Biasanya kedua persamaan matematik (untuk enkripsi
dan
dekripsi) tersebut memiliki hubungan matematis yang cukup erat.

Terminologi Enskripsi - Dekripsi

Proses yang dilakukan untuk mengamankan sebuah pesan (yang disebut
plaintext) menjadi pesan yang tersembunyi (disebut ciphertext) adalah
enkripsi
(encryption). Ciphertext adalah pesan yang sudah tidak dapat dibaca
dengan mudah.
Menurut ISO 7498-2, terminologi yang lebih tepat digunakan adalah “encipher”.
Proses
sebaliknya, untuk mengubah ciphertext menjadi plaintext, disebut dekripsi
(decryption). Menurut ISO 7498-2, terminologi yang lebih tepat untuk proses ini
adalah
“decipher”.

• Digital Signature
Digunakan untuk menyediakan authentication, perlindungan, integritas, dan
non-
repudiation
• Algoritma Checksum/Hash
Digunakan untuk menyediakan perlindungan integritas, dan dapat
menyediakan
authentication
• Satu atau lebih mekanisme dikombinasikan untuk menyediakan security
service

3. Pemonitoran terjadwal terhadap jaringan

Dengan adanya pemantauan yang teratur, maka penggunaan sistem oleh
yang tidak
berhak dapat dihindari / cepat diketahui. Untuk mendeteksi aktifitas yang
tidak normal,
maka perlu diketahui aktifitas yang normal. Proses apa saja yang berjalan
19
pada saat
aktifitas normal. Siapa saja yang biasanya login pada saat tersebut. Siapa
saja yang
biasanya login diluar jam kerja. Bila terjadi keganjilan, maka perlu segera
diperiksa. Bila hal-hal yang mencurigakan terjadi, maka perlu dijaga kemungkinan
adanya intruder.

Metodologi keamanan informasi bertujuan untuk meminimalisasi

kerusakan dan
memelihara keberlangsungan bisnis dengan memerhatikan semua kemungkinan
kelemahan dan
ancaman terhadap aset informasi. Untuk menjamin keberlangsungan bisnis,
metodologi
keamanan informasi berusaha memastikan kerahasiaan, integritas dan
ketersediaan aset
informasi internal. Hal ini termasuk penerapan metode dan kontrol
manajemen risiko. Pada dasarnya, yang dibutuhkan adalah rencana yang bagus
dan meliputi aspek administratif, fisik, serta teknis dari keamanan informasi.
Beberapa Langkah dalam perancangan Sistem dengan memperhatikan
aspek Keamanan Jaringan :
1. Menentukan topologi jaringan yang akan digunakan.
2. Menentukan kebijakan atau policy .
3. Menentukan aplikasi – aplikasi atau servis-servis apa saja yang akan berjalan.
4. Menentukan pengguna-pengguna mana saja yang akan dikenakan oleh
satu atau lebih aturan firewall.
5. Menerapkan kebijakan, aturan, dan prosedur dalam implementasi firewall.
6. Sosialisasi kebijakan, aturan, dan prosedur yang sudah diterapkan.

Arsitektur sistem IDS

Intrusion Detection System (IDS) pada implementasi tugas akhir ini tediri dari
komponen
komponen / modul :
1. Sensor modul
2. Analyzer modul
3. Database system

Sensor berfungsi untuk mengambil data dari jaringan. Sensor merupakan

20
bagian dari
sistem deteksi dini dari IDS. Untuk itu digunakan suatu program yang
berfungsi sebagai intrusion detector dengan kemampuan packet logging dan
analisis traffik yang realtime.
Analyzer berfungsi untuk analisa paket yang lewat pada jaringan. Informasi dari
analyzer yang
akan menjadi input bagi sistem lainnya. Salah satu perangkat lunak yang sering
digunakan pada IDS adalah snort, karena snort mempunyai kemampuan menjadi
sensor dan analyzer serta sesuai untuk diterapkan pada rancangan sistem
keamanan. Arsitektur Sistem AIRIDS Automatic Interactive Reactive
Intrusion Detection System AIRIDS merupakan suatu metode kemanan
jaringan yang bertujuan untuk membentuk suatu arsitektur sistem keamanan
yang terintegrasi antara Intrusion Detection System (IDS),Firewall System,
Database System dan Monitoring System.

komponen-komponen / modul AIRIDS berupa :

1. Intrusion detection system (IDS)
a. Sensor modul
b. Analyzer modul
2. Database system
3. Monitoring system
4. Firewall system
5. SMS system (optional)

21