Anda di halaman 1dari 6

Mengontrol Jaringan

Pada bagian ini, teknik kontrol diterapkan diuji untuk mengurangi adanya risiko yang
diuraikan pada bagian sebelumnya. Kemudian, dilakukan tinjauan pada beberapa kontrol
untuk mengatasi ancaman yang subversif termasuk firewall, inpeksi paket yang mendalam,
enkripsi, serta teknik kontrol pesan. Selanjutnya, diikuti dengan tujuan dan prosedur audit
terkait kontrol tersebut. Bagian selanjutnya membahas mengenai kontrol, tujuan audit, dan
prosedur audit yang terkait dengan ancaman dari kegagalan peralatan.

Mengontrol Risiko dari Ancaman Subversif

1. Firewall

Firewall adalah sebuah sistem yang menerapkan kontrol akses antara dua jaringan.
Untuk menyelesaikan masalah tersebut, terdapat beberapa hal yang perlu diperhatikan, antara
lain:

- Seluruh lalu lintas antara jaringan luar dan intranet organisasi harus melewati firewall.

- Hanya lalu lintas resmi antara organisasi dan luar, sebagaimana ditentukan oleh kebijakan
keamanan formal, diizinkan untuk melewati firewall.

- Firewall harus kebal terhadap penetrasi baik dari luar maupun dari dalam organisasi.

Firewall dapat digunakan untuk mengautentikasi pengguna luar untuk jaringan,


memverifikasi tingkat otoritas aksesnya, dan kemudian mengarahkan pengguna ke program,
data, atau layanan yang diminta. Selain itum untuk mengisolasi jaringan organisasi dari
jaringan eksternal, firewall juga dapat digunakan untuk mengisolasi bagian dari intranet
organisasi dari akses internal. Misalnya, LAN yang mengontrol akses ke data keuangan dapat
diisolasi dari LAN internal lainnya. Beberapa firewall yang tersedia secara komersial
menyediakan tingkat keamanan yang tinggi, sedangkan yang lain kurang aman tetapi lebih
efisien. Firewall dapat dikelompokkan menjadi dua jenis umum: Firewall Tingkat Jaringan
dan Firewall Tingkat Aplikasi.

1. Firewall Tingkat Jaringan menyediakan kontrol akses yang efisien tetapi


keamanannya rendah. Jenis firewall ini terdiri dari Router Penyaringan yang
memeriksa sumber dan alamat tujuan yang dilampirkan ke paket pesan masuk.
Firewall menerima atau menolak permintaan akses berdasarkan aturan
penyaringan yang telah diprogram ke dalamnya. Firewall mengarahkan panggilan
masuk ke simpul penerimaan internal yang benar. Firewall tingkat jaringan tidak
aman karena dirancang untuk memfasilitasi arus informasi yang bebas daripada
menahannya. Metode ini tidak secara eksplisit mengotentikasi pengguna luar.
2. Firewall Tingkat Aplikasi menyediakan tingkat keamanan jaringan yang lebih
tinggi yang dapat disesuaikan, tetapi mereka menambahkan overhead ke
konektivitas. Sistem ini dikonfigurasikan untuk menjalankan aplikasi keamanan
yang disebut proxy yang mengizinkan layanan rutin seperti email untuk melewati
firewall, tetapi dapat melakukan fungsi-fungsi canggih seperti otentikasi pengguna
untuk tugas-tugas tertentu. Firewall tingkat aplikasi juga menyediakan pencatatan
transmisi dan alat audit yang komprehensif untuk melaporkan aktivitas yang tidak
diharamkan.

Tingkat keamanan firewall yang tinggi dimungkinkan menggunakan sistem dual-


homed. Pendekatan ini, dua antarmuka firewall. Satu layar permintaan masuk dari internet;
yang lain menyediakan akses ke intranet organisasi. Komunikasi langsung ke internet
dinonaktifkan dan kedua jaringan sepenuhnya terisolasi. Aplikasi proksi yang memaksakan
prosedur log-on yang terpisah menjalankan semua akses.

2. Mengontrol Serangan Denial of Service

. Dengan menyumbat port internet dari server korban dengan pesan yang dihasilkan
secara curang, perusahaan yang ditargetkan tidak mampu memproses transaksi yang sah dan
dapat sepenuhnya diisolasi dari internet selama durasi serangan.

Manajemen TI dan jaringan dapat mengambil dua tindakan untuk mengalahkan


serangan tersebut. Pertama, host internet harus menerapkan kebijakan tanggung jawab sosial
dengan memprogram firewall mereka untuk memblokir paket pesan keluar yang berisi alamat
IP internal yang tidak valid. Hal ini akan mencegah penyerang menyembunyikan lokasi
mereka dari situs yang ditargetkan dan akan memastikan pengelolaan host perantara potensial
bahwa tidak ada serangan yang tidak terdeteksi yang dapat diluncurkan dari situs mereka.
Namun, strategi ini tidak akan mencegah serangan dari situs internet yang menolak untuk
menyaring transmisi keluar. Kedua, perangkat lunak keamanan tersedia untuk situs yang
ditargetkan yang memindai koneksi setengah terbuka. Perangkat lunak mencari paket SYN
yang belum diikuti oleh paket ACK. Port yang tersumbat kemudian dapat dipulihkan untuk
memungkinkan koneksi yang sah untuk menggunakannya.
Sebagai penanggulangan serangan DDos, banyak organisasi telah berinvestasi dalam
Sistem Pencegahan Intrusi (IPS) yang menggunakan Inspeksi Paket Mendalam (DPI)
untuk menentukan kapan serangan sedang berlangsung. DPI menggunakan berbagai teknik
analitik dan statistik untuk mengevaluasi isi paket pesan. IPS bekerja sesuai dengan firewall
di sekeliling jaringan untuk bertindak sebagai filter yang menghapus paket surat dari aliran
sebelum mereka dapat mempengaruhi server dan jaringan. IPS juga dapat digunakan di
belakang firewall untuk melindungi segmen jaringan dan server tertentu. Teknik IPS juga
dapat digunakan untuk melindungi organisasi agar tidak menjadi bagian dari botnet dengan
memeriksa paket keluar dan memblokir lalu lintas berbahaya sebelum mencapai internet.

3. Enkripsi

Enkripsi adalah konversi data menjadi kode rahasia untuk penyimpanan dalam
database dan transmisi melalui jaringan. Pengirim menggunakan algoritma enkripsi untuk
mengkonversi pesan asli (disebut cleartext) ke dalam kode yang setara (disebut ciphertext).
Pada sisi penerima, ciphertext didekodekan (didekripsi) kembali menjadi cleartext.

Metode enkripsi paling awal disebut Caesar cipher, yang dikatakan Julius Caesar
telah digunakan untuk mengirim pesan kode ke jenderalnya di lapangan. Seperti enkripsi
modern, Caesar cipher, memiliki dua komponen mendasar: Kunci dan Algoritma.

Kuncinya adalah nilai matematika yang dipilih pengirim. Algoritma adalah prosedur
menggeser setiap huruf dalam pesan teks-bersih jumlah posisi yang ditunjukkan oleh nilai
kunci. Namun, algoritma enkripsi modern jauh lebih kompleks, dan panjang kunci enkripsi
bisa mencapai 128 bit. Semakin banyak bit dalam kunci, semakin kuat metode enkripsi. Saat
ini, tidak kurang dari 128-bit algoritma dianggap benar-benar aman. Dua metode enkripsi
yang umum digunakan adalah Enkripsi Kunci Pribadi dan Kunci Publik.

- Enkripsi Kunci Pribadi. Advanced Enkripsi Standar (AES) adalah teknik


enkripsi 128-bit yang telah menjadi standar pemerintah AS untuk enkripsi kunci
pribadi. Algoritma AES menggunakan kunci tunggal yang diketahui oleh
pengirim dan penerima pesan. Untuk menyandikan pesan, sener menyediakan
algoritma enkripsi dengan kunci, yang digunakan untuk menghasilkan pesan
ciphertext. Pesan memasuki saluran komunikasi dan ditransmisikan program yang
menggunakan kunci yang sama dengan yang digunakan pengirim.
Enkripsi Triple-DES adalah penyempurnaan teknik enkripsi yang lebih tua yang
disebut Standar Enkripsi Data (DES). Triple DES menyediakan keamanan yang
jauh lebih baik dari sebagian besar teknik enkripsi tunggal. Dua bentuk enkripsi
triple-DES adalah EEE3 dan EDE3. EEE3 menggunakan tiga kunci berbeda
untuk mengenkripsi pesan tiga kali. EDE3 menggunakan satu kunci untuk
mengenkripsi pesan. Kunci kedua digunakan untuk memecahkan kode tersebut.
Semua teknik kunci pribadi memiliki masalah yang sama: semakin banyak
individu yang perlu mengetahui kunci, semakin besar kemungkinan jatuh ke
tangan yang salah.
- Enkripsi Kunci Publik. menggunakan dua kunci yang berbeda: satu untuk
menyandikan pesan dan yang lainnya untuk mendekode pesan. Setiap penerima
memiliki kunci pribadi yang dirahasiakan dan kunci publik yang dipublikasikan.
Pengirim pesan menggunakan kunci publik penerima untuk mengenkripsi pesan.
Penerima kemudian menggunakan kunci pribadinya untuk memecahkan kode
pesan. Pengguna tidak perlu membagikan kunci pribadi mereka untuk
mendekripsi pesan, sehingga mengurangi kemungkinan mereka jatuh ke tangan
penjahat.
RSA (Rivest-Shamir-Adleman) adalah metode kriptografi kunci publik yang sangat
aman. Metode ini, intensif secara komputasi dan jauh dari enkripsi DES standar. Dalam
hal ini, DES dan RSA digunakan bersama dalam apa yang disebut amplop digital.
4. Tanda Tangan Digital

Tanda Tangan Digital adalah otentikasi elektronik yang tidak dapat dipalsukan. Ini
memastikan bahwa pesan atau dokumen yang dikirim pengirim tidak dirusak setelah tanda
tangan diterapkan.

Pengirim menggunakan algoritma hashing satu arah untuk menghitung intisari pesan
teks. Intisari adalah nilai matematika yang dihitung dari konten teks pesan. Intisari kemudian
dienkripsi menggunakan kunci pribadi pengirim untuk menghasilkan tanda tangan digital.
Selanjutnya, tanda tangan digital dan pesan teks dienkripsi menggunakan kunci publik
penerima dan dikirim ke penerima. Di sisi penerima, pesan didekripsi menggunakan kunci
pribadi penerima untuk menghasilkan tanda tangan digital (intisari terenkripsi) dan versi
pesan teks yang jelas. Penerima kemudian menggunakan kunci publik pengirim untuk
mendekripsi sinyal digital untuk menghasilkan intisari. Kemudian penerima menghitung
ulang digest dari cleartext menggunakan algoritma hashing asli dan membandingkannya
dengan digest yang dikodekan.

5. Sertifikat Digital

Sertifikat Digital digunakan bersama dengan sistem enkripsi kunci publik untuk
mengotentikasi pengirim pesan. Proses sertifikasi bervariasi tergantung pada tingkat
sertifikasi yang diinginkan. Ini melibatkan pembentukan identitas seseorang dengan
dokumen formal, seperti SIM, notaris, dan sidik jari, dan membuktikan kepemilikan
seseorang atas kunci publik. Setelah memverifikasi identitas pemilik, CA membuat
sertifikasi, yang mencakup kunci publik pemilik dan data lain yang telah ditandatangani
CA secara digital. Sertifikat digital dikirim dengan pesan terenkripsi untuk
mengotentikasi pengirim. Penerima menggunakan kunci publik CA, yang dipublikasikan
secara luas, mendekripsi kunci pubilc pengirim yang dilampirkan pada pesan. Kunci
publik pengirim kemudian digunakan untuk mendekripsi pesan.

Karena enkripsi kunci publik adalah pusat otentikasi digital, manajemen kunci publik
menjadi masalah kontrol internal yang penting. Infrastruktur Kunci Publik (PKI)
merupakan kebijakan dan prosedur untuk mengelola kegiatan ini. Sistem PKI terdiri dari:

1. Otoritas sertifikasi yang menerbitkan dan mencabut sertifikat digital.

2. Otoritas pendaftaran yang memverifikasi identitas pelamar sertifikat.

3. Repositori sertifikasi, yang merupakan basis data yang dapat diakses publik yang
berisi informasi terkini tentang sertifikat saat ini dan daftar pencabutan sertifikasi dari
sertifikat yang telah dicabut dan alasan pencabutan.

6. Penomoran Urutan Pesan


Penyusup di saluran komunikasi mungkin berusaha menghapus pesan dari
aliran pesan, mengubah urutan pesan yang diterima, atau menduplikasi pesan. Melalui
Penomoran Urutan Pesan, nomor urut dimasukkan dalam setiap pesan, dan setiap
upaya seperti itu akan menjadi jelas di ujung penerima.
7. Log Transaksi Pesan

Penyusup kemungkinan dapat berhasil menembus sistem dengan mencoba


berbagai kata sandi dan kombinasi ID pengguna. Untuk itu, semua pesan masuk dan
keluar, serta akses yang dicoba (gagal), harus dicatat dalam Log Transaksi Pesan.
Selain itu, log harus mencatat ID pengguna, waktu akses, dan lokasi terminal atau
nomor telepon dari mana akses berasal.

8. Teknik Permintaan Respons


Instruktur dapat berupaya mencegah atau menunda tanda terima untuk pesan
dari pengirim. Ketika pengirim dan penerima tidak dalam kontak konstan, penerima
mungkin tidak tahu apakah saluran komunikasi telah terputus dan bahwa pesan telah
dialihkan. Dengan menggunakan Teknik Respons-Permintaan, pesan kontrol dari
pengirim dan respons dari penerima dikirim secara berkala, secara tersinkronisasi.
Waktu pesan harus mengikuti pola acak yang akan sulit bagi pengganggu untuk
menentukan dan mengelak.
9. Perangkat Panggilan Balik
Jaringan dapat dilengkapi dengan fitur keamanan seperti kata sandi, perangkat
otentikasi, dan enkripsi. Kelemahan umum pada seluruh teknologi ini adalah mereka
menerapkan langkah-langkah keamanan setelah penjahat terhubung ke server
jaringan. Banyak yang meyakini bahwa kunci keamanan ialah menjaga penyusup dari
jaringan pada saat memulainya.