Dan Jaringan!
Nama :
Idham Malik
Kelas :
X11 Tkj c
1
Modul KK.15 Membuat Desain Sistem Keamanan Jaringan
Kompetensi Dasar :
15.1 Menentukan jenis-jenis keamanan jaringan
15.2 Mengidentifikasi pengendalian jaringan yang diperlukan
15.3 Memasang firewall
15.4 Mendesain sistem keamanan jaringan
BAB 1
Menentukan Jenis Keamanan Jaringan
2
menjadi faktor utama dalam persaingan.
· Dalam masyarakat berbasis informasi dan pengetahuan informasi
adalah komoditi
yang sangat penting dan aset paling berharga Kemampuan untuk
mendapatkan,
mengakses, menyediakan, menggunakan, dan menganalisis informasi secara
cepat dan
akurat.
Definisi Informasi :
Secara umum, informasi didefinisikan sebagai hasil dari aktivitas mental dan
merupakan produk abstrak yang ditransmisikan melalui medium.
Dalam bidang teknologi informasi dan komunikasi, informasi adalah hasil dari
pemrosesan, manipulasi dan pengaturan data, yaitu sekumpulan fakta.
Dalam bidang Keamanan Informasi, informasi diartikan sebagai sebuah aset
merupakan
sesuatu yang memiliki nilai dan karenanya harus dilindungi. Definisi ini
mengikuti ISO/IEC 27001.
3
• Non-repudiation (penyangkalan), Melindungi terhadap penolakan komunikasi
yang sudah
pernah dilakukan.
1. Keterbukaan Informasi
Selain memiliki banyak keuntungan, keterbukaan akses informasi tersebut
memunculkan
2. berbagai masalah baru, antara lain :
· Pemeliharaan validitas dan integritas data/informasi tersebut
· Jaminan ketersediaan informasi bagi pengguna yang berhak
· Pencegahan akses informasi dari yang tidak berhak
· Pencegahan akses sistem dari yang tidak berhak
5
Konsep 4R
Konsep pengaturan 4R berikut ini adalah cara paling efisien untuk
memelihara dan
mengontrol nilai informasi. 4R keamanan informasi adalah Right Information
(Informasi yang
benar), Right People (Orang yang tepat), Right Time (Waktu yang tepat)
dan Right Form
(Bentuk yang tepat).
6
(salah satunya merusak)
7
membanjiri‘ jaringan dengan volume data yang besar atau sengaja menghabiskan
sumber
daya yang langka atau terbatas, seperti process control blocks atau koneksi
jaringan yang
tertunda. Atau mereka mengganggu komponen fisik jaringan atau memanipulasi
data yang
sedang dikirimkan, termasuk data terenkripsi.
7. Malicious code (Kode Berbahaya)
Malicious code adalah program yang menyebabkan kerusakan sistem ketika
dijalankan.
Virus, worm dan Trojan horse merupakan jenis-jenis malicious code.
a. Virus komputer adalah sebuah program komputer atau kode program yang
merusak sistem komputer dan data dengan mereplikasi dirinya sendiri melalui
peng-copy-an ke program lain, boot sector komputer atau dokumen.
b. Worm adalah virus yang mereplikasi dirinya sendiri yang tidak mengubah
file, tetapi ada di memory aktif, menggunakan bagian dari sistem operasi yang
otomatis dan biasanya tidak terlihat bagi pengguna. Replikasi mereka yang
tidak terkontrol memakan sumber daya sistem, melambatkan atau
menghentikan proses lain.
Biasanya hanya jika ini terjadi keberadaan worm diketahui.
c. Trojan horse adalah program yang sepertinya bermanfaat dan/atau tidak
berbahaya tetapi sesungguhnya memiliki fungsi merusak seperti unloading
hidden program atau
command scripts yang membuat sistem rentan gangguan.
8. Social Engineering / Exploitation of Trust
Sekumpulan teknik untuk memanipulasi orang sehingga orang tersebut
membocorkan informasi rahasia. Meskipun hal ini mirip dengan permainan
kepercayaan atau penipuan sederhana, istilah ini mengacu kepada penipuan
untuk mendapatkan informasi atau akses sistem komputer.
BAB 2
Mengidentifikasi Pengendalian
Jaringan yang Diperlukan
Analisis SWOT
9
yang ingin dicapai yaitu terciptanya keamanan informasi dan keamanan
jaringan, dan mengidentifikasikan faktor internal dan faktor eksternalyang
membantu dan yang membahayakan tercapainya keamanan jaringan dan
keamanan informasi
Teknik ini dibuat oleh Albert Humphrey, yang memimpin proyek riset pada
Universitas Stanfordpada dasawarsa 1960-an dan 1970-an dengan menggunakan
data dari perusahaan-perusahaan Fortune 500
Port
Dalam protokol jaringan TCP/IP, sebuah port adalah mekanisme yang
mengizinkan
sebuah komputer untuk mendukung beberapa sesi koneksi dengan komputer
lainnya dan
program di dalam jaringan. Port dapat mengidentifikasikan aplikasi dan
layanan yang menggunakan koneksi di dalam jaringan TCP/IP. Sehingga, port
juga mengidentifikasikan
sebuah proses tertentu di mana sebuah server dapat memberikan sebuah layanan
kepada klien
atau bagaimana sebuah klien dapat mengakses sebuah layanan yang ada dalam
server.
Port dapat dikenali dengan angka 16-bit (dua byte) yang disebut dengan Port
Number dan diklasifikasikan dengan jenis protokol transport apa yang
digunakan, ke
dalam Port TCP dan Port UDP. Karena memiliki angka 16-bit, maka total
maksimum jumlah port untuk setiap protokol transport yang digunakan adalah 216
= 65536 buah.
Dilihat dari penomorannya, port UDP dan TCP dibagi menjadi tiga jenis,
yakni sebagai
berikut:
10
Well-known Port: yang pada awalnya berkisar antara 0 hingga
255 tapi kemudian diperlebar untuk mendukung antara 0 hingga 1023.
Port number yang termasuk ke dalam well-known port, selalu
merepresentasikan layanan jaringan yang sama, dan ditetapkan oleh
Internet Assigned Number Authority (IANA). Beberapa di antara port-
port yang berada di dalam range Well-known port masih belum
ditetapkan dan direservasikan untukdi gunakan oleh layanan yang
bakal ada di masa depan. Well-known port didefinisikan dalam RFC
1060.
Registered Port: Port-port yang digunakan oleh vendor-vendor
komputer atau jaringanyang berbeda untuk mendukung aplikasi dan
sistem operasi yang mereka buat. Registered port juga diketahui dan
didaftarkan oleh IANA tapi tidak dialokasikan secara permanen,
sehingga vendor lainnya dapat menggunakan port number yang
sama. Range registered port berkisar dari 1024 hingga 49151 dan
beberapa port di antaranya adalah Dynamically Assigned Port.
Dynamically Assigned Port: merupakan port-port yang ditetapkan
oleh sistem operasi atau aplikasi yang digunakan untuk melayani
request dari pengguna sesuai dengan kebutuhan. Dynamically
Assigned Port berkisar dari 1024 hingga 65536 dan dapat
digunakan atau dilepaskan sesuai kebutuhan.
BAB 3
Firewall
Firewall adalah salah peralatan atau suatu aplikasi pada sistem operasi yang
dibutuhkan oleh jaringan komputer untuk melindungi intergritas data/sistem
jaringan dari serangan-serangan pihak yang tidak bertanggung jawab. Caranya
dengan melakukan filterisasi terhadap paket-paket yang melewatinya.
Firewall tersusun dari aturan-aturan yang diterapkan baik terhadap hardware,
software
ataupun sistem itu sendiri dengan tujuan untuk melindungi jaringan, baik
dengan melakukan filterisasi, membatasi, ataupun menolak suatu permintaan
koneksi dari jaringan luar lainnya seperti internet.
2. Hardware Firewall
Adalah firewall yang dipasang pada komputer, yang menghubungkan
komputer dengan modem
Kelebihan
• Menyediakan perlindungan yang lebih banyak dibandingkan software firewall
• Beroperasi secara independen terhadap sistem operasi dan aplikasi
perangkat
lunak, sehingga kompabilitasnya tinggi
Kekurangan
• Cenderung lebih mahal
Teknologi Firewall
1. Packet Filtering Gateway (Router, Cisco IOS, dll.) ->Stateless
2. Application Level Gateway / Proxy-based (NAI Gauntled, Axent Raptor, dll.)
3. Circuit Level Gateway
4. Statefull Multi Layer Inspection Firewall (Checkpoint FW-1, PIX, dll.)
Dalam hal pengendalian jaringan dengan menggunakan iptables, ada dua hal
14
yang harus
diperhatikan yaitu:
1. Koneksi paket yang menerapkan firewall yang digunakan.
2. Konsep firewall yang diterapkan.
Dengan dua hal ini diharapkan iptables sebagai aturan yang mendefinisikan
firewall dapat
mengenali apakah koneksi yang terjadi berupa koneksi baru ( NEW) , koneksi
yang telah ada (
ESTABLISH ), koneksi yang memiliki relasi dengan koneksi lainnya (
RELATED ) atau koneksi
yang tidak valid ( INVALID ). Keempat macam koneksi itulah yang membuat
IPTables disebut
Statefull Protocol .
Koneksi Paket
Koneksi paket yang dalam proses pengirimannya dari pengirim kepada penerima
harus melalui
aturan firewall, dapat dikelompokan kepada tiga kelompok koneksi, yaitu :
1. Koneksi TCP
2. Koneksi IP
3. Koneksi UDP
1. Koneksi TCP
Sebuah koneksi TCP dikenal sebagai koneksi yang bersifat Connection
Oriented yang
berarti sebelum melakukan pengiriman data, mesin-mesin tersebut akan melalui 3
langkah
cara berhubungan ( 3-way handshake ).
2. Koneksi IP
Sebuah frame yang diidentifikasi menggunakan kelompok protokol Internet
(IP) harus
melalui aturan firewall yang didefinisikan menggunakan protokol IP sebelum paket
tersebut
mendapat jawaban koneksi dari tujuan paket tersebut.
Salah satu paket yang merupakan kelompok protokol IP adalah ICMP, yang
sering
digunakan sebagai aplikasi pengujian koneksi ( link ) antar host.
15
3. Koneksi UDP
Berbeda dengan koneksi TCP, koneksi UDP (Gambar 11.11) bersifat
connectionless.
Sebuah mesin yang mengirimkan paket UDP tidak akan mendeteksi
kesalahan terhadap
pengiriman paket tersebut.
Paket UDP tidak akan mengirimkan kembali paket-paket yang mengalami
error. Model
pengiriman paket ini akan lebih efisien pada koneksi broadcasting atau
multicasting
16
publik, misalnya 202.51.226.35. Begitu juga sebaliknya, bila komputer lokal kita
bisa di akses dari internet maka DNAT yang akan digunakan. Mangle pada
IPTABLES banyak digunakan untuk menandai ( marking ) paket-paket untuk di
gunakan di proses-proses selanjutnya. Mangle paling banyak di gunakan
untuk bandwidth limiting atau pengaturan bandwidth.
Fitur lain dari mangle adalah kemampuan untuk mengubah nilai Time to
Live (TTL) pada paket dan TOS ( type of service ).
BAB 4
Mendesain Sistem Keamanan Jaringan
Terminologi Kriptografi
Kriptografi (cryptography) merupakan ilmu dan seni untuk menjaga pesan
agar
aman. (Cryptography is the art and science of keeping messages secure. [40])
“Crypto”
18
berarti “secret” (rahasia) dan “graphy” berarti “writing” (tulisan) [3]. Para
pelaku atau
praktisi kriptografi disebut cryptographers. Sebuah algoritma kriptografik
(cryptographic
algorithm), disebut cipher, merupakan persamaan matematik yang digunakan
untuk
proses enkripsi dan dekripsi. Biasanya kedua persamaan matematik (untuk enkripsi
dan
dekripsi) tersebut memiliki hubungan matematis yang cukup erat.
• Digital Signature
Digunakan untuk menyediakan authentication, perlindungan, integritas, dan
non-
repudiation
• Algoritma Checksum/Hash
Digunakan untuk menyediakan perlindungan integritas, dan dapat
menyediakan
authentication
• Satu atau lebih mekanisme dikombinasikan untuk menyediakan security
service
Intrusion Detection System (IDS) pada implementasi tugas akhir ini tediri dari
komponen
komponen / modul :
1. Sensor modul
2. Analyzer modul
3. Database system
20
bagian dari
sistem deteksi dini dari IDS. Untuk itu digunakan suatu program yang
berfungsi sebagai intrusion detector dengan kemampuan packet logging dan
analisis traffik yang realtime.
Analyzer berfungsi untuk analisa paket yang lewat pada jaringan. Informasi dari
analyzer yang
akan menjadi input bagi sistem lainnya. Salah satu perangkat lunak yang sering
digunakan pada IDS adalah snort, karena snort mempunyai kemampuan menjadi
sensor dan analyzer serta sesuai untuk diterapkan pada rancangan sistem
keamanan. Arsitektur Sistem AIRIDS Automatic Interactive Reactive
Intrusion Detection System AIRIDS merupakan suatu metode kemanan
jaringan yang bertujuan untuk membentuk suatu arsitektur sistem keamanan
yang terintegrasi antara Intrusion Detection System (IDS),Firewall System,
Database System dan Monitoring System.
21