MODUL (3.16-4.

16 )

SISTIM KEAMANAN JARINGAN

Vidio: https://youtu.be/hYHgHqeyBV4

PENGERTIAN KEMANAN JARINGAN

Satu hal yang perlu diingat bahwa tidak ada jaringan yang anti sadap atau tidak ada jaringan
komputer yang benar-benar aman. Sifat dari jaringan adalah melakukan komunikasi. Setiap
komunikasi dapat jatuh ke tangan orang lain dan disalahgunakan. Sistem keamanan membantu
mengamankan jaringan tanpa menghalangi penggunaannya dan menempatkan antisipasi ketika
jaringan berhasil ditembus. Selain itu, pastikan bahwa user dalam jaringan memiliki pengetahuan
yang cukup mengenai keamanan dan pastikan bahwa mereka menerima dan memahami rencana
keamanan yang Anda buat. Jika mereka tidak memahami hal tersebut, maka mereka akan
menciptakan lubang (hole) keamanan pada jaringan Anda.

Ada dua elemen utama pembentuk keamanan jaringan :

 Tembok pengamanan (Firewall), baik secara fisik maupun maya, yang ditaruh diantara
piranti dan layanan jaringan yang digunakan dan orang-orang yang akan berbuat jahat.
 Rencana pengamanan, yang akan diimplementasikan bersama dengan user lainnya,
untuk menjaga agar sistem tidak bisa ditembus dari luar.


MANFAAT KEAMANAN JARINGAN

1. 1.     Untuk melindungi asset perusahaan

Tidak hanya melindungi perangkatkeras dan lunak milik perusahaan saja tetapi yang terpenting
adalah melindungi informasi yang dimiliki oleh perusahaan tersebut. Karena informasi adalah
asset terpenting yang dimiliki oleh setiap perusahaan.

1. 2.     Meningkatkan keuntungan kompetitif

Mengembangkan dan memelihara keamanan jaringan pada suatu perusahaan membantu
perusahaan tersebut dalam menjaga dan meningkatkan reputasi perusahaan tersebut dalam
persaingan yang semakin ketat. Keamanan jaringan menjadi sangat penting dalam layanan
finansial lewat internet maupun eCommerce. Dengan semakin amannya perlindungan terhadap
layanan jaringan akan meningkatkan kepercayaan konsumen pada perusahaan tersebut. Contoh:
apa jadinya bila nasabah bank mengetahui betapa buruknya tingkat keamanan dari layanan
ebanking bank tersebut. Nasabah akan pindah ke bank lain yang tingkat keamanan ebanking-nya
lebih baik dari bank tersebut. Contoh nyata bank BHS.
 1. 3.     Untuk mendukung kinerja perusahaan dalam melayani nasabah
Apa jadinya bila layanan jaringan tiba-tiba macet. Kinerja karyawan menjadi terganggu dalam
melayani nasabah. Nasabah menjadi gelisah karena betapa lamanya layanan yang bisa diberikan
oleh perusahaan tersebut.

1. 4.     Melindungi pekerjaan kita

Bila layanan baik, nasabah puas, kinerja perusahaan akan berfungsi baik dan jumlah nasabah
meningkat. Tetapi sebaliknya bila kinerja buruk, nasabah akan lari dan pindah ke perusahaan
lain. Perusahaan akan semakin merugi dan akhirnya PHK akan dilakukan perusahaan tersebut
pada karyawannya.

DASAR KEAMANAN JARINGAN

1. 1.     Prevention (Perlindungan)
Dasar dari the Security Trinity adalah prevention (perlindungan). Untuk dapat mengukur tingkat
keamanan dibutuhkan cara mengukur perlindungan terhadap eksploitasi celah keamanan
(vulnerability) yang berhasil ditemukan melalui detection dan response.

1. 2.     Detection (Deteksi)
Untuk menerapkan perlindungan yang akan dilakukan dibutuhkan prosedur cara mendeteksi
adanya permasalahan yang potensial pada sisi keamanan. Semakin cepat suatu masalah bisa
dideteksi maka akan semakin cepat pula cara memperbaiki dan membersihkan permasalahan
yang berhasil ditemukan.

1. 3.     Response (Tanggapan)
Setiap organisasi/perusahaan membutuhkan suatu rencana pengembangan terhadap sistem
keamanan seperti apa yang harus dilakukan bila timbul suatu masalah, siapa yang harus
bertanggungjawab bila masalah itu timbul. Singkatnya bagaimana response jika terjadi suatu
masalah terhadap jaringan, response yang tentunya dapat mengatasi masalah tersebut.

ASPEK/SEGI-SEGI KEAMANAN JARINGAN

Segi-segi keamanan didefinisikan dari kelima point ini.

1. a.   Privasi/Confidentiality (Kerahasiaan) Mensyaratkan bahwa informasi (data) hanya

bisa diakses oleh pihak yang memiliki wewenang. Bahwa informasi tidak di umbar atau
dibocorkan kepada subject yang tidak seharusnya berhak terhadap informasi tersebut,
atau lazim disebut tidak authorize.
2. b.   Integrity (Integritas) Mensyaratkan bahwa informasi hanya dapat diubah oleh pihak
yang memiliki wewenang. Bahwa informasi tetap orisinil, tidak diragukan keasliannya,
tidak dimodifikasi dalam perjalanan nya dari sumber menuju penerimanya.
3. c.    Availability (Ketersediaan) Mensyaratkan bahwa informasi tersedia untuk pihak
yang memiliki wewenang ketika dibutuhkan. User yang mempunyai hak akses atau
authorized users diberi akses tepat waktu dan tidak terkendala apapun.
4. d.   Authentication Mensyaratkan bahwa pengirim suatu informasi dapat diidentifikasi
dengan benar dan ada jaminan bahwa identitas yang didapat tidak palsu.
 5. e.   Nonrepudiation Mensyaratkan bahwa baik pengirim maupun penerima informasi
tidak dapat menyangkal pengiriman dan penerimaan pesan.
6. f.    Access Control : aspek ini berhubungan dnegan cara pengatuarna akses kepada
informasi. Hal ini biasanya berhubungan dengan klasifikasi data (public, private,
confidential, top secret) dan user (guest, admin, top manager, dsb), mekanisme
authentication dan juga privacy.

Konsep 4R

Konsep pengaturan 4R berikut ini adalah cara paling efisien untuk memelihara dan mengontrol
nilai informasi. 4R keamanan informasi adalah Right Information (Informasi yang benar), Right
People (Orang yang tepat),  Right Time (Waktu yang tepat) dan  Right Form (Bentuk yang
tepat).

1. Right Information mengacu pada  ketepatan  dan kelengkapan informasi, yang

menjaminintegritas informasi.
2. Right People  berarti informasi tersedia hanya bagi individu yang berhak, yang
menjaminkerahasiaan.
3. Right Time  mengacu pada aksesibilitas informasi dan penggunaannya  atas
permintaanentitas yang berhak. Ini menjamin ketersediaan.
4. Right Form mengacu pada penyediaan informasi dalam format yang tepat.

Piramida Metodologi Kemananan

Berikut ini adalah piramida metodologi keamanan. Secara singkat pada piramida di bawah ini
telah tergambar unsur-unsur apa saja yang dibutuhkan dalam membangun sebuah sistem
keamanan secara utuh.

Pihak-pihak yang terlibat:

1. Administrator System  (SysAdmin), Network Admin, stakeholder

2. Phreaker : orang  yang  mengetahui sistem  telekomunikasi dan  memanfaatkan 
kelemahan  system pengamanan telepon tersebut
3. Hacker : orang  yang  mempelajari sistem  yang  biasanya  sukar  dimengerti  untuk 
kemudian mengelolanya dan men-share hasil ujicoba yang  dilakukannya. Hacker tidak
merusak system.
4. Craker : orang yang mempelajari sistem dengan maksud jahat – Muncul karena sifat
dasar manusia (salah satunya merusak).

Ancaman Jaringan komputer dilihat dari BENTUKNYA:

Fisik (physical)
ü  Pencurian perangkat keras komputer atau perangkat   jaringan.
ü  Bencana alam (banjir, kebakaran, dll).
ü  Kerusakan pada komputer dan perangkat komunikasi jaringan.
ü  Wiretapping  Man the Middle Attack Aktif/Pasif
ü  Wardriving  Man the Middle Attack Aktif/Pasif
Logik (logical)
ü  Kerusakan pada sistem operasi atau aplikasi
ü  Virus
ü  Sniffing, dan lain-lain.

ANCAMAN KEAMANAN JARINGAN

Serangan (gangguan) terhadap keamanan dapat dikategorikan dalam empat kategori utama :

a. Interruption
Suatu aset dari suatu sistem diserang sehingga menjadi tidak tersedia atau tidak dapat dipakai
oleh yang berwenang. Contohnya adalah perusakan/modifikasi terhadap piranti keras atau
saluran jaringan.

b. Interception
Suatu pihak yang tidak berwenang mendapatkan akses pada suatu aset. Pihak yang dimaksud
bisa berupa orang, program, atau sistem yang lain. Contohnya adalah penyadapan terhadap data
dalam suatu jaringan.

c. Modification
Suatu pihak yang tidak berwenang dapat melakukan perubahan terhadap suatu aset. Contohnya
adalah perubahan nilai pada file data, modifikasi program sehingga berjalan dengan tidak
semestinya, dan modifikasi pesan yang sedang ditransmisikan dalam jaringan.

d. Fabrication
Suatu pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contohnya adalah
pengiriman pesan palsu kepada orang lain.
Ada beberapa prinsip yang perlu dihindari dalam menangani masalah keamanan :
ü  diam dan semua akan baik-baik saja
ü  sembunyi dan mereka tidak akan dapat menemukan anda
ü  teknologi yang digunakan kompleks/rumit, artinya aman
 
SERANGAN DALAM JARINGAN
Probe
Atau yang biasa disebut probing adalah suatu usaha untuk mengakses sistem atau mendapatkan
informasi tentang sistem. Contoh sederhana dari probing adalah percobaan log in ke suatu
account yang tidak digunakan. Probing dapat dianalogikan dengan menguji kenop-kenop pintu
untuk mencari pintu yang tidak dikunci sehingga dapat masuk dengan mudah. Probing tidak
begitu berbahaya bagi sistem jaringan kita namun biasanya diikuti oleh tindakan lain yang lebih
membahayakan keamanan.

 
Brute Force and Dictionary
Serangan ini adalah upaya masuk ke dalam jaringan dengan menyerang database password atau
menyerang login prompt yang sedang active. Serangan masuk paksa ini adalah suatu upaya
untuk menemukan password dari account user dengan cara yang sistematis mencoba berbagai
kombinasi angka, huruf, atau symbol. Sementara serangan dengan menggunakan metoda kamus
password adalah upaya menemukan password dengan mencoba berbagai kemungkinan password
yang biasa dipakai user secara umum dengan menggunakan daftar atau kamus password yang
sudah di-definisikan sebelumnya.

Untuk mengatasi serangan keamanan jaringan dari jenis ini anda seharusnya mempunyai suatu
policy tentang pemakaian password yang kuat diantaranya untuk tidak memakai password yang
dekat dengan kita missal nama, nama anak, tanggal lahir dan sebagainya. Semakin panjang suatu
password dan kombinasinya semakin sulit untuk diketemukan. Akan tetapi dengan waktu yang
cukup, semua password dapat diketemukan dengan metoda brute force ini.

Serangan Man-in-the-middle
Serangan keamanan jaringan Man-in-the-middle (serangan pembajakan) terjadi saat user perusak
dapat memposisikan diantara dua titik link komunikasi.

 Dengan jalan mengkopy atau menyusup traffic antara dua party, hal ini pada dasarnya
merupakan serangan penyusup.
 Para penyerang memposisikan dirinya dalam garis komunikasi dimana dia bertindak
sebagai proxy atau mekanisme store-and-forwad (simpan dan lepaskan).
Para penyerang ini tidak tampak pada kedua sisi link komunikasi ini dan bisa mengubah isi dan
arah traffic. Dengan cara ini para penyerang bisa menangkap logon credensial atau data sensitive
ataupun mampu mengubah isi pesan dari kedua titik komunikasi ini.

Spamming
Spam yang umum dijabarkan sebagai email yang tak diundang ini, newsgroup, atau pesan
diskusi forum. Spam bisa merupakan iklan dari vendor atau bisa berisi kuda Trojan. Spam pada
umumnya bukan merupakan serangan keamanan jaringan akan tetapi hampir mirip DoS.

 Malicious Code
Malicious code bisa berupa virus, trojan atau worm, biasanya berupa kode instruksi yang akan
memberatkan sistem sehingga performansi sistem menurun. Cara mengantisipasinya bisa dilihat
pada 6 contoh berikut :

1. berikan kesadaran pada user tentang ancaman virus.

2. gunakan program anti virus yang baik pada workstation, server dan gateway internet (jika
punya).
3. ajarkan dan latih user cara menggunakan program anti virus
4. sebagai admin sebaiknya selalu mengupdate program anti-virus dan database virus
5. Biasakan para user untuk TIDAK membuka file attachment email atau file apapun dari
floppy sebelum 110 % yakin atau tidak attachment/file tsb “bersih”.
6. Pastikan kebijakan kemanan anda up to date.
 
Sniffer
Sniffer adalah sebuah device penyadapan komunikasi jaringan komputer dengan memanfaatkan
mode premicious pada ethernet. Karena jaringan komunikasi komputer terdiri dari data biner
acak maka sniffer ini biasanya memiliki penganalisis protokol sehingga data biner acak dapat
dipecahkan. Fungsi sniffer bagi pengelola bisa untuk pemeliharaan jaringan, bagi orang luar bisa
untuk menjebol sistem.

Cara paling mudah untuk mengantisipasi Sniffer adalah menggunakan aplikasi yang secure,
misal : ssh, ssl, secureftp dan lain-lain.

Scanner
Layanan jaringan (network service) yang berbeda berjalan pada port yang berbeda juga. Tiap
layanan jaringan berjalan pada alamat jaringan tertentu (mis. 167.205.48.130) dan mendengarkan
(listening) pada satu atau lebih port (antara 0 hingga 65535). Keduanya membentuk apa yang
dinamakan socket address yang mengidentifikasikan secara unik suatu layanan dalam jaringan.
Port 0 hingga 1023 yang paling umum dipergunakan didefinisikan sebagai well-known
number dalam konvensi UNIX dan dideskripsikan dalam RFC 1700.

Port Scanner merupakan program yang didesain untuk menemukan layanan (service) apa saja
yang dijalankan pada host jaringan. Untuk mendapatkan akses ke host, cracker harus mengetahui
titik-titik kelemahan yang ada. Sebagai contoh, apabila cracker sudah mengetahui bahwa host
menjalankan proses ftp server, ia dapat menggunakan kelemahan-kelemahan yang ada pada ftp
server untuk mendapatkan akses. Dari bagian ini kita dapat mengambil kesimpulan bahwa
layanan yang tidak benar-benar diperlukan sebaiknya dihilangkan untuk memperkecil resiko
keamanan yang mungkin terjadi.

Mirip dengan port scanner pada bagian sebelumnya, network scanner memberikan informasi
mengenai sasaran yang dituju, misalnya saja sistem operasi yang dipergunakan, layanan jaringan
yang aktif, jenis mesin yang terhubung ke network, serta konfigurasi jaringan. Terkadang,
network scanner juga mengintegrasikan port scanner dalam aplikasinya. Tool ini berguna untuk
mencari informasi mengenai target sebanyak mungkin sebelum melakukan serangan yang
sebenarnya. Dengan mengetahui kondisi dan konfigurasi jaringan, seseorang akan lebih mudah
masuk dan merusak sistem.

Contoh scanner : Nmap, Netcat, NetScan Tools Pro 2000, SuperScan

 
Spoofing
Spoofing (penyamaran) biasa dilakukan oleh pihak yang tidak bertanggungjawab untuk
menggunakan fasilitas dan resource sistem. Spoofing adalah teknik melakukan penyamaran
sehingga terdeteksi sebagai identitas yang bukan sebenarnya, misal : menyamar sebagai IP
tertentu, nama komputer bahkan e-mail address tertentu. Antisipasinya dapat dilakukan dengan
menggunakan aplikasi firewall.

 Denial of Service

Denial of Service (DoS) merupakan serangan dimana suatu pihak mengekploitasi aspek dari
suite Internet Protocol untuk menghalangi akses pihak yang berhak atas informasi atau sistem
yang diserang. Hole yang memungkinkan DoS berada dalam kategori C, yang berada dalam
prioritas rendah. Serangan ini biasanya didasarkan pada sistem operasi yang dipergunakan.
Artinya, hole ini berada di dalam bagian jaringan dari sistem operasi itu sendiri. Ketika hole
macam ini muncul, hole ini harus diperbaiki oleh pemilik software tersebut atau di-patch oleh
vendor yang mengeluarkan sistem operasi tersebut. Contoh dari serangan ini adalah TCP SYN
dimana permintaan koneksi jaringan dikirimkan ke server dalam jumlah yang sangat besar.
Akibatnya server dibanjiri permintaan koneksi dan menjadi lambat atau bahkan tidak dapat
dicapai sama sekali. Hole ini terdapat nyaris di semua sistem operasi yang menjalankan TCP/IP
untuk berkomunikasi di internet. Hal ini tampaknya menjadi masalah yang terdapat di dalam
desain suite TCP/IP, dan merupakan sesuatu yang tidak mudah diselesaikan.

Dalam serangan DoS, sesorang dapat melakukan sesuatu yang mengganggu kinerja dan operasi
jaringan atau server. Akibat dari serangan ini adalah lambatnya server atau jaringan dalam
merespons, atau bahkan bisa menyebabkan crash. Serangan DoS mengganggu user yang sah
untuk mendapatkan layanan yang sah, namun tidak memungkinkan cracker masuk ke dalam
sistem jaringan yang ada. Namun, serangan semacam ini terhadap server yang menangani
kegiatan e-commerce akan dapat berakibat kerugian dalam bentuk finansial.

 HACKER VS CRACKER

Banyak dari Kita yang salah pengertian tentang Hacker, seringkali masyarakat awam
menganggap bahwa istilah hacker dan cracker adalah sama. Konotasinya hampir selalu negatif
dan jahat. Padahal, ada diantara hacker yang berjasa besar karena menyelamatkan atau
memperingatkan suatu sistem di Internet, sehingga si pemilik menyadari kelemahannya. Berikut
ini adalah pengertian hacker dan cracker:

1. 1.     Hacker
Sebutan untuk orang atau sekelompok orang yang memberikan sumbangan bermanfaat untuk
dunia jaringan dan system operasi, membuat program bantuan untuk dunia jaringan dan
komputer.Hacker juga bisa di kategorikan perkerjaan yang dilakukan untuk mencari kelemahan
suatu system dan memberikan ide atau pendapat yang bisa memperbaiki kelemahan system yang
di temukannya.

1. 2.     Cracker
Sebutan untuk orang yang mencari kelemahan system dan memasukinya untuk kepentingan
pribadi dan mencari keuntungan dari system yang di masuki seperti: pencurian data,
penghapusan, dan banyak yang lainnya.

Hacker :

1. Mempunyai kemampuan menganalisa kelemahan suatu sistem atau situs. Sebagai

contoh : jika seorang hacker mencoba menguji suatu situs dipastikan isi situs tersebut tak
akan berantakan dan mengganggu yang lain. Biasanya hacker melaporkan kejadian ini
untuk diperbaiki menjadi sempurna. Bahkan seorang hacker akan memberikan masukan
dan saran yang bisa memperbaiki kebobolan system yang ia masuki.
2. Hacker mempunyai etika serta kreatif dalam merancang suatu program yang berguna
bagi siapa saja.
 3. Seorang Hacker tidak pelit membagi ilmunya kepada orang-orang yang serius atas nama
ilmu pengetahuan dan kebaikan.
4. Seorang hacker akan selalu memperdalam ilmunya dan memperbanyak pemahaman
tentang sistem operasi.
Cracker :

1. Mampu membuat suatu program bagi kepentingan dirinya sendiri dan bersifat destruktif
atau merusak dan menjadikannya suatu keuntungan. Sebagia contoh : Virus, Pencurian
Kartu Kredit, Kode Warez, Pembobolan Rekening Bank, Pencurian Password E-
mail/Web Server.
2. Bisa berdiri sendiri atau berkelompok dalam bertindak.
3. Mempunyai website atau channel dalam IRC yang tersembunyi, hanya orang-orang
tertentu yang bisa mengaksesnya.
4. Mempunyai IP address yang tidak bisa dilacak.
5. Kasus yang paling sering ialah Carding yaitu Pencurian Kartu Kredit, kemudian
pembobolan situs dan mengubah segala isinya menjadi berantakan. Sebagai contoh :
Yahoo! pernah mengalami kejadian seperti ini sehingga tidak bisa diakses dalam waktu
yang lama, kasus klikBCA.com yang paling hangat dibicarakan beberapa waktu yang
lalu.
Ada beberapa jenis kegiatan hacking, diantaranya adalah:

1. Social Hacking, yang perlu diketahui : informasi tentang system apa yang dipergunakan
oleh server, siapa pemilik server, siapa Admin yang mengelola server, koneksi yang
dipergunakan jenis apa lalu bagaimana server itu tersambung internet, mempergunakan
koneksi siapa lalu informasi apa saja yang disediakan oleh server tersebut, apakah server
tersebut juga tersambung dengan LAN di sebuah organisasi dan informasi lainnya.
2. Technical Hacking, merupakan tindakan teknis untuk melakukan penyusupan ke dalam
system, baik dengan alat bantu (tool) atau dengan mempergunakan fasilitas system itu
sendiri yang dipergunakan untuk menyerang kelemahan (lubang keamanan) yang
terdapat dalam system atau service. Inti dari kegiatan ini adalah mendapatkan akses
penuh kedalam system dengan cara apapun dan bagaimana pun.
Jadi dapat diambil kesimpulannya bahwa Hacker yang ‘baik’ adalah orang yang
mengetahui apa yang dilakukannya, menyadari seluruh akibat dari apa yang
dilakukannya, dan bertanggung jawab atas apa yang dilakukannya. Sementara hacker
yang ‘jahat’ atau biasa disebut cracker adalah orang yang tahu apa yang dikerjakannya,
tetapi seringkali tidak menyadari akibat dari perbuatannya. Dan ia tidak mau bertanggung
jawab atas apa yang telah diketahui dan dilakukannya itu. Karena hacker adalah orang
yang tahu dalam ketahuannya, di dunia hackers tentu saja ada etika yang mesti dipenuhi
dan dipatuhi bersama. Lebih jauh lagi tentang Cracker, Cracker adalah seseorang yang
berusaha untuk menembus sistem komputer orang lain atau menerobos sistem keamanan
komputer orang lain untuk mengeruk keuntungan atau melakukan tindak kejahatan.

1. 1.     Enkripsi Untuk Keamanan Data Pada Jaringan

Salah satu hal yang penting dalam komunikasi menggunakan computer untuk
menjamin kerahasian data adalah enkripsi. Enkripsi dalah sebuah proses yang
 melakukan perubahan sebuah kode dari yang bisa dimengerti menjadi sebuah kode
yang tidak bisa dimengerti (tidak terbaca). Enkripsi dapat diartikan sebagai kode
atau chiper. Sebuah sistem pengkodean menggunakan suatu table atau kamus yang
telah didefinisikan untuk mengganti kata dari informasi atau yang merupakan bagian
dari informasi yang dikirim. Sebuah chiper menggunakan suatu algoritma yang
dapat mengkodekan semua aliran data (stream) bit dari sebuah pesan menjadi
cryptogram yang tidak dimengerti (unitelligible). Karena teknik cipher merupakan
suatu sistem yang telah siap untuk di automasi, maka teknik ini digunakan dalam
sistem keamanan komputer dan network.

Pada bagian selanjutnya kita akan membahas berbagai macam teknik enkripsi yang biasa
digunakan dalam sistem sekuriti dari sistem komputer dan network.

A. Enkripsi Konvensional.

Proses enkripsi ini dapat digambarkan sebagai berikut :

Plain teks -> Algoritma Enkripsi -> Cipher teks ->Algoritma Dekrispsi -> Plain teks
User A || User B |———————-Kunci (Key) ——————–|

Informasi asal yang dapat di mengerti di simbolkan oleh Plain teks, yang kemudian oleh
algoritma Enkripsi diterjemahkan menjadi informasi yang tidak dapat untuk dimengerti
yang disimbolkan dengan cipher teks. Proses enkripsi terdiri dari dua yaitu algoritma dan
kunci. Kunci biasanya merupakan suatu string bit yang pendek yang mengontrol algoritma.
Algoritma enkripsi akan menghasilkan hasil yang berbeda tergantung pada kunci yang
digunakan. Mengubah kunci dari enkripsi akan mengubah output dari algortima enkripsi.

Sekali cipher teks telah dihasilkan, kemudian ditransmisikan. Pada bagian penerima
selanjutnya cipher teks yang diterima diubah kembali ke plain teks dengan algoritma dan
dan kunci yang sama. Keamanan dari enkripsi konvensional bergantung pada beberapa
faktor. Pertama algoritma enkripsi harus cukup kuat sehingga menjadikan sangat sulit untuk
mendekripsi cipher teks dengan dasar cipher teks tersebut. Lebih jauh dari itu keamanan dari
algoritma enkripsi konvensional bergantung pada kerahasian dari kuncinya bukan
algoritmanya. Yaitu dengan asumsi bahwa adalah sangat tidak praktis untuk mendekripsikan
informasi dengan dasar cipher teks dan pengetahuan tentang algoritma diskripsi / enkripsi.
Atau dengan kata lain, kita tidak perlu menjaga kerahasiaan dari algoritma tetapi cukup
dengan kerahasiaan kuncinya.

Manfaat dari konvensional enkripsi algoritma adalah kemudahan dalam penggunaan secara
luas. Dengan kenyataan bahwa algoritma ini tidak perlu dijaga kerahasiaannya dengan
maksud bahwa pembuat dapat dan mampu membuat suatu implementasi dalam bentuk chip
dengan harga yang murah. Chips ini dapat tersedia secara luas dan disediakan pula untuk
beberapa jenis produk. Dengan penggunaan dari enkripsi konvensional, prinsip keamanan
adalah menjadi menjaga keamanan dari kunci.
 Model enkripsi yang digunakan secara luas adalah model yang didasarkan pada data
encrytion standard (DES), yang diambil oleh Biro standart nasional US pada tahun 1977.
Untuk DES data di enkripsi dalam 64 bit block dengan menggunakan 56 bit kunci. Dengan
menggunakan kunci ini, 64 data input diubah dengan suatu urutan dari metode menjadi 64
bit output. Proses yang yang sama dengan kunci yang sama digunakan untuk mengubah
kembali enkripsi.

B. Enkripsi Public-Key

Salah satu yang menjadi kesulitan utama dari enkripsi konvensional adalah perlunya untuk
mendistribusikan kunci yang digunakan dalam keadaan aman. Sebuah cara yang tepat telah
diketemukan untuk mengatasi kelemahan ini dengan suatu model enkripsi yang secara
mengejutkan tidak memerlukan sebuah kunci untuk didistribusikan. Metode ini dikenal
dengan nama enkripsi public-key dan pertama kali diperkenalkan pada tahun 1976.

Plain teks -> Algoritma Enkripsi -> Cipher teks -> Algoritma Dekrispsi -> Plain teks
User A || User B Private Key B —-|———————-Kunci (Key) ——————-

Algoritma tersebut seperti yang digambarkan pada gambar diatas. Untuk enkripsi
konvensional, kunci yang digunakan pada prosen enkripsi dan dekripsi adalah sama. Tetapi
ini bukanlah kondisi sesungguhnya yang diperlukan. Namun adalah dimungkinkan untuk
membangun suatu algoritma yang menggunakan satu kunci untuk enkripsi dan pasangannya,
kunci yang berbeda, untuk dekripsi. Lebih jauh lagi adalah mungkin untuk menciptakan
suatu algoritma yang mana pengetahuan tentang algoritma enkripsi ditambah kunci enkripsi
tidak cukup untuk menentukan kunci dekrispi. Sehingga teknik berikut ini akan dapat
dilakukan :

1. Masing – masing dari sistem dalam network akan menciptakan sepasang kunci yang
digunakan untuk enkripsi dan dekripsi dari informasi yang diterima.
2. Masing – masing dari sistem akan menerbitkan kunci enkripsinya ( public key ) dengan
memasang dalam register umum atau file, sedang pasangannya tetap dijaga sebagai kunci
pribadi ( private key ).
3. Jika A ingin mengisim pesan kepada B, maka A akan mengenkripsi pesannya dengan
kunci publik dari B.
4. Ketika B menerima pesan dari A maka B akan menggunakan kunci privatenya untuk
mendeskripsi pesan dari A.
Seperti yang kita lihat, public-key memecahkan masalah pendistribusian karena tidak
diperlukan suatu kunci untuk didistribusikan. Semua partisipan mempunyai akses ke kunci
publik ( public key ) dan kunci pribadi dihasilkan secara lokal oleh setiap partisipan sehingga
tidak perlu untuk didistribusikan. Selama sistem mengontrol masing – masing private key
dengan baik maka komunikasi menjadi komunikasi yang aman. Setiap sistem mengubah
private key pasangannya public key akan menggantikan public key yang lama. Yang menjadi
kelemahan dari metode enkripsi publik key adalah jika dibandingkan dengan metode enkripsi
konvensional algoritma enkripsi ini mempunyai algoritma yang lebih komplek. Sehingga
untuk perbandingan ukuran dan harga dari hardware, metode publik key akan menghasilkan
performance yang lebih rendah. Tabel berikut ini akan memperlihatkan berbagai aspek
penting dari enkripsi konvensional dan public key.
Enkripsi Konvensional

Yang dibutuhkan untuk bekerja :

1. Algoritma yang sama dengan kunci yang sama dapat digunakan untuk proses dekripsi –
enkripsi.
2. Pengirim dan penerima harus membagi algoritma dan kunci yang sama.
Yang dibutuhkan untuk keamanan :

1. Kunci harus dirahasiakan.

2. Adalah tidak mungkin atau sangat tidak praktis untuk menerjemahkan informasi yang
telah dienkripsi.
3. Pengetahuan tentang algoritma dan sample dari kata yang terenkripsi tidak mencukupi
untu menentukan kunc.
 

Enkripsi Public Key

Yang dibutuhkan untuk bekerja :

1. Algoritma yang digunakan untuk enkripsi dan dekripsi dengan sepasang kunci, satu untuk
enkripsi satu untuk dekripsi.
2. Pengirim dan penerima harus mempunyai sepasang kunci yang cocok.
Yang dibutuhkan untuk keamanan :

1. Salah satu dari kunci harus dirahasiakan.

2. Adalah tidak mungkin atau sangat tidak praktis untuk menerjemahkan informasi yang
telah dienkripsi.
3. Pengetahuan tentang algoritma dan sample dari kata yang terenkripsi tidak mencukupi
untu menentukan kunci.

Firewall

 Keamanan adalah hal yang penting dalam segala hal. Selayaknya sebuah rumah memiliki pagar,
server kita pun membutuhkan ‘pagar’. Apalagi server selalu terhubung dengan internet. Isu
keamanan sangat penting untuk melindungi server dan data yang tersimpan di dalamnya. ‘Pagar’
tersebut bernama “firewall” atau “Tembok Api”.

Firewall merupakan suatu cara atau mekanisme yang diterapkan baik terhadap
hardware, software ataupun sistem itu sendiri dengan tujuan untuk melindungi, baik dengan
menyaring, membatasi atau bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen
pada jaringan pribadi dengan jaringan luar yang

bukan merupakan ruang lingkupnya. Segmen tersebut dapat merupakan sebuah workstation,
server, router, atau local area network (LAN) anda.

Karakteristik Firewall

Berikut ini adalah karakteristik dari sebuah firewall:

ü  Seluruh hubungan/kegiatan dari dalam ke luar, harus melewati firewall. Hal ini dapat
dilakukan dengan cara memblok/membatasi baik secara fisik semua akses terhadap jaringan
lokal, kecuali melewati firewall. Banyak sekali bentuk jaringan yang memungkinkan agar
konfigurasi ini terwujud.

ü  Hanya kegiatan yang terdaftar/dikenal yang dapat melewati/melakukan hubungan, hal ini
dapat dilakukan dengan mengatur policy pada konfigurasi keamanan lokal. Banyak sekali jenis
firewall yang dapat dipilih sekaligus berbagai jenis policy yang ditawarkan.

ü  Firewall itu sendiri haruslah kebal atau relatif kuat terhadap serangan/kelemahan. hal ini
berarti penggunaan sistem yang dapat dipercaya dan dengan sistem yang relatif aman.

Fungsi Dasar Firewall

Ketika traffic sampai di firewall, maka firewall akan memutuskan traffic mana yagn diizinkan
dan mana yang tidak diizinkan, didasarkan pada aturan yang telah didefinisikan sebelumnya.
Adapun fungsi dasar firewall adaalah sebagai berikut:

1. Mengatur dan mengontrol lalu lintas jaringan

2. Melakukan autetifikasi terhadap akses
3. Melindungi sumber daya dalam jaringan privat
4. Mencatat semua kejadian, dan melaporkan kepada administrator.
Proses-proses pada firewall

Pada firewall terjadi beberapa proses yang memungkinkannya  melindungi jaringan. Ada tiga
macam. Proses yang terjadi pada firewall, yaitu:

1. Modifikasi header paket, digunakan untuk memodifikasi kualitas layanan bit paket TCP
sebelum mengalami proses routing.
 2. Translasi alamat jaringan, translasi yang terjadi dapat berupa translasi satu ke satu(one to
one), yaitu satu alamat IP privat dipetakan kesatu alamat IP publik atau  translasi banyak
kesatu (many to one) yaitu beberapa alamat IP privat dipetakan kesatu alamat publik.
3. Filter paket, digunakan untuk menentukan nasib paket apakah dapat diteruskan atau
tidak.
Jenis-jenis Firewall

Ada beberapa jenis firewall, antara lain sebagai berikut:

ü  Software Firewall

Software Firewall adalah program yang berjalan pada background komputer. Software ini
mengevaluasi setiap request dari jaringan dan menentukan apakah request itu valid atau tidak.

Kelebihan yang dimiliki software firewall:

 Harganya murah.
 Mudah dikonfigurasi.
Kekurangan software firewall:

 Memakan sumber daya dari komputer (CPU, memory, ruang disk) sehingga dapat
menyebabkan inkompatibilitas pada sistem operasi.
 Terdapat versi yang berbeda untuk sistem operasi yang berbeda, jadi harus dipastikan
bahwa software firewall yang diinstall adalah versi yang sesuai dengan sistem operasi
Anda.
 Dibutuhkan beberapa copy yang berbeda untuk tiap sistem dalam jaringan Anda.
ü  Hardware Firewall

Hardware firewall adalah firewall yang dipasang pada komputer, yang menghubungkan
komputer dengan modem.

Kelebihan hardware firewall:

 Menyediakan perlindungan yang lebih banyak dibandingkan dengan software firewall.

Sebuah hardware firewall dapat melindungi keseluruhan jaringan.
 Hardware firewall beroperasi secara independen terhadap sistem operasi dan aplikasi
perangkat lunak sehingga kinerja sistem tidak akan terganggu.
Kekurangan hardware firewall:

 Cenderung lebih mahal dari software firewall. Namun, jika Anda memiliki beberapa
mesin yang harus dilindungi akan lebih murah untuk membeli satu hardware firewall
dibandingkan membeli beberapa copy dari sebuah software firewall.
 Karena tidak berjalan independen, konfigurasi hardware firewall cukup sulit.
 
Jenis firewall secara konseptual
Ada 2 yaitu:

1, Personal Firewall
Didesain untuk melindungi komputer yang terhubung ke jaringan dari akses yang tidak
dikehendaki. Firewall jenis ini akhir-akhir ini berkembang menjadi sebuah kumpulan program
yang bertujuan untuk mengamankan komputer secara total, dengan ditambahkannya fitur
pengamanan tambahan semacam perangkat proteksi terhadap virus, antispy, anti spam, dll.
Bahkan beberapa produk firewall lainnya dilengkapi dengan fungsi pendeteksian gangguan
jaringan. Contoh firewall jenis ini adalah Microsoft Windows Firewall, Symante  Norton
Personal Firewall, Kerio Personal Firewall dan lain-lain. personal firewall secara umum hanya
memiliki dua fitur utama yaitu Packet Filter Firewall dan Stateful Firewall.

2, Network Firewall
Didesain untuk melindungi jaringan secara keseluruhan dari berbagai serangan. Umumnya
dijumpai dalam dua bentuk, yaitu sebuah perangkat terdedikasi atau sebuah perangkat lunak
yang diinstalasikan dalam sebuah server. Contoh firewall ini adalah Microsoft Internet Security
and Acceleration Server (ISA Server), Cisco PIX, Cisco ASA, iptables dalam system operasi
GNU/Linux, pf dalam keluarga system operasi Unix BSD. Network firewall ini secara umum
memiliki beberapa fitur utama yaitu apa yang dimiliki oleh personal firewall (packet filter
firewall dan stateful firewall), Circuit Level Gateway, Application Level Gateway, dan juga
NAT Firewall. Firewall ini umumnya bersifat transparan(tidak terlihat) dari pengguna dan
menggunakan teknologi routing untuk menentukan packet mana yang diizinkan dan packet mana
yang ditolak.

Teknologi Firewall
 
1. Packet Filtering Gateway (Router, Cisco IOS, dll.) ->Stateless
2. Application Level Gateway / Proxy-based (NAI Gauntled, Axent Raptor, dll.)
3. Circuit Level Gateway
4. Statefull Multi Layer Inspection Firewall (Checkpoint FW-1, PIX, dll.)
ü  Packet Filtering Firewall

Dalam packet filtering firewall, firewall menguji lima karakteristik dari sebuah paket,
yaitu:
 Alamat IP sumber
 Port sumber
 Alamat IP tujuan Port tujuan
 Protokol IP (TCP atau UDP)
Berdasarkan aturan yang telah dikonfigurasikan ke dalam firewall, paket akan di

izinkan untuk lewat atau ditolak. Jika firewall menolak paket, maka firewall akan mengirimkan
pesan ke pengirim untuk memberi tahu bahwa paketnya telah ditolak. Routers adalah bentuk
yang paling umum dari metode packet filtering firewall ini.

 ü  Circuit Level Gateway

Circuit Level gateway memonitor TCP handshaking antar paket dari klien atau server

yang dipercaya ke host yang tidak dipercaya dan sebaliknya, untuk mengetahui apakah session
yang diminta itu sah. Dalam menyaring paket dengan menggunakan cara ini, circuit level
gateway bergantung kepada data yang terkandung pada header paket. Untuk menentukan apakah
session yang diminta itu sah, circuit level gateway menggunakan proses sebagai berikut:

 Client yang dipercaya meminta sebuah servis Gateway menerima servis tersebut dengan
asumsi bahwa client memenuhi criteria dasar penyaringan
 Gateway membuka sebuah koneksi ke host yang tidak dipercaya
 Gateway memonitor TCP handshaking yang terjadi
 Request session dinyatakan sah hanya pada kondisi tertentu pada session
 Setelah gateway menyatakan sah, gateway akan membangun sebuah koneksi.
 Dari sini, circuit level gateway tinggal menyalin dan meneruskan paket tanpa
 melakukan penyaringan kembali.

Gateway memiliki sebuah tabel yang mencatat koneksi yang sedang terbangun, yang

akan mengizinkan data untuk diteruskan jika informasi sessionnya berada dalam tabel. Ketika
session selesai, gateway akan menghilangkan informasi tersebut pada tabel.

ü  Application Level Gateway

Application-level gateway (gateway yang bekerja pada layer aplikasi pada layer-layer

OSI) dapat menangani proses store-and-forward- terhadap lalu lintas jaringan. Application level
gateway deprogram untuk mengerti lalu lintas pada layer 7 model OSI, sehingga application
level gateway ini menyediakan control terhadap akses pada level user dan level protocol aplikasi.
Lebih jauh lagi, application-level gateway ini dapat digunakan untuk mengelola secara cerdas
semua penggunaan aplikasi. Kemampuan untuk melakukan log dan control terhadap semua lalu
lintas yang keluar atau masuk adalah salah satu kelebihan utama dari application-level gateway.
Gateway tersebut memiliki sistem keamanan tambahan di dalamnya yang dibangun sesuai
dengan kebutuhan.

Untuk tiap aplikasi yang di relay, application level gateay menggunakan kode khusus. Karena
kode khusus inilah application-level gateway menyediakan level keamanan yang tinggi, Untuk
tiap jenis aplikasi yang ditambahkan ke jaringan (dan membutuhkan proteksi), maka dibutuhkan
kode khusus yang baru untuk aplikasi tersebut. Sehingga, kebanyakan application level gateway
menyediakan suatu subset yang terbatas untuk aplikasi-apliaksi dan servis-servis dasar.

ü  Statefull Packet-filter-Based Firewalls 

Model firewall ini merupakan penggabungan dari ketiga firewall sebelumnya. Firewall jenis ini
akan  bekerja  pada  lapisan  Aplikasi,  Transport  dan  Internet.  Dengan  penggabungan ketiga
model firewall yaitu Packet Filtering Gateway, Application Layer Gateway dan Circuit Level
Gateway,  mungkin  dapat  dikatakan  firewall jenis  ini merupakan  firewall  yang, memberikan
fitur terbanyak dan memeberikan tingkat keamanan yang paling tinggi.

Konfigurasi Firewall

Ada beberapa konfigurasi firewall, sebagai berikut:

ü  Screened Host Firewall system (single-homed bastion)

Pada konfigurasi ini, fungsi firewall akan dilakukan oleh packet filtering router dan bastion
host¹). Router ini dikonfigurasikan sedemikian rupa sehingga untuk semua arus data dari
Internet, hanya paket IP yang menuju bastion host yang diijinkan. Sedangkan untuk arus data
(traffic) dari jaringan internal, hanya paket IP dari bastion host yang diijinkan untuk keluar.

Konfigurasi ini mendukung fleksibilitas dalam akses internet secara langsung, sebagai contoh
apabila terdapat web server pada jaringan ini maka dapat dikonfigurasikan agar web server dapat
diakses langsung dari internet. Bastion host8 melakukan fungsi authentikasi dan fungsi sebagai
proxy. Konfigurasi ini memberikan tingkat keamanan yang lebih baik daripada packet-filtering
router atau application-level gateway secara terpisah.

ü  Screened Host Firewall system (Dual-homed bastion)

Pada konfigurasi ini, secara fisik akan terdapat patahan/celah dalam jaringan. Kelebihannya
dibanding konfigurasi pertama, adapun untuk server-server yang memerlukan direct access
(akses dengan adanya dua jalur yang memisahkan secara fisik maka akan lebih meningkatkan
keamanan langsung) maka dapat diletakkan di tempat/segment yang langsung berhubungan
dengan internet. Hal ini dapat dilakukan dengan cara menggunakan 2 buah NIC (network
interface card) pada bastion host.

ü  Screened subnet firewall

Ini merupakan konfigurasi yang paling tinggi tingkat keamanannya. Karena pada konfigurasi ini
digunakan 2 buah packet filtering router, salah satunya terletak di 8Bastion Host adalah
sistem/bagian yang dianggap tempat terkuat dalam sistem keamanan jaringan oleh administrator
atau dapat disebut bagian terdepan yang dianggap paling kuat dalam menahan serangan,
sehingga menjadi bagian terpenting dalam pengamanan jaringan, biasanya merupakan komponen
firewall atau bagian terluar sistem publik. Umumnya bastion host akan menggunakan sistem
operasi yang dapat menangani semua kebutuhan (misal, Unix, linux, NT). antara internet dan
bastion host, sedangkan sisanya terletak di antara bastian host dan jaringan lokal. Konfigurasi ini
membentuk subnet yang terisolasi.

Adapun kelebihannya adalah :

 Terdapat 3 lapisan/tingkat pertahanan terhadap penyusup/intruder .

 Router luar hanya melayani hubungan antara internet dan bastion host sehingga jaringan
lokal menjadi tak terlihat (invisible)
 Jaringan lokal tidak dapat mengkonstuksi routing langsung ke internet, atau dengan kata
lain, internet menjadi invisible (bukan berarti tidak bisa melakukan koneksi internet).
Aplikasi pengendalian jaringan dengan menggunakan firewall dapat diimplementasikan dengan
menerapkan sejumlah aturan (chains) pada topologi yang sudah ada. Dalam hal pengendalian
jaringan dengan menggunakan iptables, ada dua hal yang harus diperhatikan yaitu:

1. Koneksi paket yang menerapkan firewall yang digunakan.

2. Konsep firewall yang diterapkan.
Dengan dua hal ini diharapkan iptables sebagai aturan yang mendefinisikan firewall dapat
mengenali apakah koneksi yang terjadi berupa koneksi baru ( NEW) , koneksi yang telah ada
(ESTABLISH ), koneksi yang memiliki relasi dengan koneksi lainnya ( RELATED ) atau
koneksi yang tidak valid ( INVALID ). Keempat macam koneksi itulah yang membuat IPTables
disebut Statefull Protocol .

Koneksi Paket

Koneksi paket yang dalam proses pengirimannya dari pengirim kepada penerima harus melalui
aturan firewall, dapat dikelompokan kepada tiga kelompok koneksi, yaitu :

1. Koneksi TCP
2. Koneksi IP
3. Koneksi UDP

1. 1.       Koneksi TCP

Sebuah koneksi TCP  dikenal sebagai koneksi yang bersifat Connection Oriented
yang berarti sebelum melakukan pengiriman data, mesin-mesin tersebut akan
melalui 3 langkah cara berhubungan ( 3-way handshake ).

1. 2.       Koneksi IP

Sebuah frame yang diidentifikasi menggunakan kelompok protokol Internet (IP)
harus melalui aturan firewall yang didefinisikan menggunakan protokol IP sebelum
 paket tersebut mendapat jawaban koneksi dari tujuan paket tersebut. Salah satu paket
yang merupakan kelompok protokol IP adalah ICMP, yang sering digunakan sebagai
aplikasi pengujian koneksi ( link ) antar host.

1. 3.       Koneksi UDP

Berbeda dengan koneksi TCP, koneksi UDP (Gambar 11.11) bersifat
connectionless. Sebuah mesin yang mengirimkan paket UDP tidak akan mendeteksi
kesalahan terhadap pengiriman paket tersebut. Paket UDP tidak akan mengirimkan
kembali paket-paket yang mengalami error. Model pengiriman paket ini akan lebih
efisien pada koneksi broadcasting atau multicasting.

Untuk membangun sebuah firewall, yang harus kita ketahui pertama-tama adalah
bagaimana sebuah paket diproses oleh firewall, apakah paket-paket yang masuk
akan di buang (DROP) atau diterima (ACCEPT), atau paket tersebut akan
diteruskan (FORWARD) ke jaringan yang lain. Salah satu tool yang banyak
digunakan untuk keperluan proses pada firewall adalah iptables. Program iptables
adalah program administratif untuk Filter Paket dan NAT (Network Address
Translation). Untuk menjalankan fungsinya, iptables dilengkapi dengan tabel
mangle, nat dan filter.

NAT (SNAT dan DNAT) NAT (SNAT dan DNAT)

Salah satu kelebihan IPTABLES adalah untuk dapat memfungsikan komputer kita menjadi
gateway menuju internet. Teknisnya membutuhkan tabel lain pada IPTABLES selain ketiga tabel
diatas, yaitu tabel NAT SNAT digunakan untuk mengubah alamat IP pengirim (source IP
address). Biasanya SNAT berguna untuk menjadikan komputer sebagai gateway menuju ke
internet. Misalnya komputer kita menggunakan alamat IP 192.168.0.1. IP tersebut adalah IP
lokal. SNAT akan mengubah IP lokal tersebut menjadi IP publik, misalnya 202.51.226.35.
Begitu juga sebaliknya, bila komputer lokal kita bisa di akses dari internet maka DNAT yang
akan digunakan. Mangle pada IPTABLES banyak digunakan untuk menandai (marking) paket-
paket untuk di gunakan di proses-proses selanjutnya. Mangle paling banyak di gunakan untuk
bandwidth limiting atau pengaturan bandwidth. Fitur lain dari mangle adalah kemampuan untuk
mengubah nilai Time to Live (TTL) pada paket dan TOS ( type of service ).

Membangun Firewall

Ada beberapa langkah yang dilakukan dalam membangun sebuah firewall. Caranya adalah
dengan melakukan tahapan sebagai berikut:

ü  Mengidentifikasi bentuk jaringan yang dimiliki

ü  Mengetahui bentuk jaringan yang dimiliki khususnya topologi yang digunakan serta protokol
jaringan, akan memudahkan dalam mendesain sebuah firewall
ü  Menentukan Policy atau kebijakan Penentuan kebijakan atau policy merupakan hal yang harus
dilakukan. Baik atau buruknya sebuah firewall yang dibangun sangat ditentukan oleh
policy/kebijakan yang diterapkan. Diantaranya adalah sebagai berikut:

 Menentukan apa saja yang perlu dilayani. Artinya, apa saja yang akan dikenai policy atau
kebijakan yang akan kita buat
 Menentukan individu atau kelompok-kelompok yang akan dikenakan policy atau
kebijakan tersebut
 Menentukan layanan-layanan yang dibutuhkan oleh setiap individu atau kelompok yang
menggunakan jaringan
 Berdasarkan setiap layanan yang digunakan oleh individu atau kelompok tersebut akan
ditentukan bagaimana konfigurasi terbaik yang akan membuatnya semakin aman
 Menerapkankan semua policy atau kebijakan tersebut
ü  Menyiapkan Software atau Hardware yang akan digunakan

Baik itu sistem operasi yang mendukung atau perangkat lunak khusus pendukung

firewall seperti ipchains, atau iptables pada linux, dsb. Serta konfigurasi hardware

yang akan mendukung firewall tersebut. Sistem operasi yang dapat mendukung firewall antara
lain adalah sebagai berikut:

 Debian
 Ubuntu
 Windows XP
 FreeBSD 5.2
 Fedora 9.0
ü  Melakukan test konfigurasi

Pengujian terhadap firewall yang telah selesai dibangun haruslah dilakukan, terutama untuk
mengetahui hasil yang akan kita dapatkan, caranya dapat menggunakan tools yang biasa
dilakukan untuk mengaudit seperti nmap.

Contoh konfigurasi Firewall di Linux (Ubuntu dan Debian)

Block Port
ü  Block port dari interface tertentu
iptables –A INPUT –i eth0 -p tcp –dport 22 –j DROP
ü  Block port dari ip atau subnet tertentu
iptables –A INPUT –s 192.168.1.2 –p tcp –dport 22 –j DROP
Atau untuk suatu Subnet
iptables –A INPUT –s 192.168.1.1/24 –p tcp -–dport 22 –j DROP
ü  Pengecualian sebuah ip yang boleh mengakses suatu port. (selain ip yang tertulis port tersebut
diblock)
iptables –A INPUT –i eth0 –s ! 192.168.1.2 –p tcp –dport 22 –j DROP
ü  Block port berdasarkan waktu
iptables –A INPUT –p tcp –dport 22 –m time –timestart 16:00 –timestop 18:00 –j DROP
Block Ip
ü  Block ip dari interface tertentu
iptables –A INPUT –s 192.168.1.2 -i eth0 -j DROP
ü  Block range ip
iptables -A INPUT -m iprange –src-range 192.168.1.3-192.168.1.254 -j DROP
ü  Pengecualian sebuah ip yang boleh melakukan akses, selain ip tersebut tidak diijinkan
iptables -A INPUT -i eth0 -s ! 192.168.1.2 -j DROP
ü  Block range ip berdasarkan waktu
iptables -A INPUT -m iprange –src-range 192.168.1.3-192.168.1.254 -m time –timestart 16:00 –
timestop 18:00 -j DROP
Block Mac Address
ü  Block mac tertentu
iptables -A INPUT -m mac –mac-source 00:50:56:c0:00:08 -j DROP
ü  Block mac berdasarkan waktu
iptables -A INPUT -m mac –mac-source 00:00:00:00:00:00 -m time –timestart 16:00 –timestop
18:00 -j DROP
1. Mac Address da nip Filter
Satu komputer hanya bisa melakukan koneksi dengan menggunakan satu ip yang telah
ditentukan. Jika komputer tersebut mengganti ipnya maka komputer tersebut tidak akan dapat
melakukan koneksi.
iptables -A INPUT -m mac –mac-source 00:15:4e:30:2c:41 -s ! 192.168.1.78 -j REJECT
iptables -A FORWARD -m mac –mac-source 00:15:4e:30:2c:41 -s ! 192.168.1.78  -j
REJECT
Atau
iptables -I FORWARD -i eth1 -s ! 192.168.1.5 -m mac –mac-source 00:89:CD:64:01:EF -j
DROP
iptables -I PREROUTING -t nat -s ! 192.168.1.5 -m mac –mac-source 00:89:CD:64:01:EF
-j DROP

Mengidentifikasi Pengendalian

Jaringan yang Diperlukan

Risk Management Model Lawrie Brown dalam bukunya menyarankan menggunakan “Risk
Management Model” untuk menghadapi ancaman (managing threats). Ada tiga komponen yang
memberikan kontribusi kepada Risk, yaitu Asset, Vulnerabilities, dan threats. Untuk
menanggulangi resiko (Risk) tersebut dilakukan apa yang disebut “countermeasures” yang dapat
berupa:

ü  usaha untuk mengurangi Threat

ü  usaha untuk mengurangi Vulnerability
ü  usaha untuk mengurangi impak (impact)
ü  mendeteksi kejadian yang tidak bersahabat (hostile event)
ü  kembali (recover) dari kejadian

Analisis SWOT
Analisis SWOT (singkatan bahasa Inggris dari strengths (kekuatan), weaknesses (kelemahan),
opportunities (kesempatan), dan threats (ancaman) adalah metode perencanaan strategis yang
digunakan untuk mengevaluasi kekuatan, kelemahan, peluang, dan ancaman dalam suatu
keadaan tertentu. Dalam tinjauan keamanan jaringan, analisis SWOT mencoba memetakan
keadaan yang ingin dicapai yaitu terciptanya keamanan informasi dan keamanan jaringan, dan
mengidentifikasikan faktor internal dan faktor eksternalyang membantu dan yang
membahayakan tercapainya keamanan jaringan dan keamanan informasi.

 
Teknik ini dibuat oleh Albert Humphrey, yang memimpin proyek riset pada Universitas
Stanfordpada dasawarsa 1960-an dan 1970-an dengan menggunakan data dari perusahaan-
perusahaan Fortune 500.

Setelah memetakan dan mengenali faktor-faktor tersebut, maka diperlukan usaha untuk
meningkatkan strengths (kekuatan), mengurangi dan menutupi weaknesses (kelemahan),
memanfaatkan opportunities (kesempatan), dan juga usaha untuk mengurangi dan mengantisipasi
Threats (ancaman).

Port
Dalam protokol jaringan TCP/IP, sebuah port adalah mekanisme yang mengizinkan sebuah
komputer untuk mendukung beberapa sesi koneksi dengan komputer lainnya dan program di
dalam jaringan. Port dapat mengidentifikasikan aplikasi dan layanan yang menggunakan koneksi
di dalam jaringan TCP/IP. Sehingga, port juga mengidentifikasikan sebuah proses tertentu di
mana sebuah server dapat memberikan sebuah layanan kepada klien atau bagaimana sebuah
klien dapat mengakses sebuah layanan yang ada dalam server. Port dapat dikenali dengan angka
16-bit (dua byte) yang disebut dengan Port Number dan diklasifikasikan dengan jenis protokol
transport apa yang digunakan, ke dalam Port TCP dan Port UDP. Karena memiliki angka 16-bit,
maka total maksimum jumlah port untuk setiap protokol transport yang digunakan adalah 216 =
65536 buah. Dilihat dari penomorannya, port UDP dan TCP dibagi menjadi tiga jenis, yakni
sebagai berikut:
ü  Well-known Port: yang pada awalnya berkisar antara 0 hingga 255 tapi kemudian diperlebar
untuk mendukung antara 0 hingga 1023. Port number yang termasuk ke dalam well-known port,
selalu merepresentasikan layanan jaringan yang sama, dan ditetapkan oleh Internet Assigned
Number Authority (IANA). Beberapa di antara port-port yang berada di dalam range Well-
known port masih belum ditetapkan dan direservasikan untukdi gunakan oleh layanan yang bakal
ada di masa depan. Well-known port didefinisikan dalam RFC 1060.
ü  Registered Port: Port-port yang digunakan oleh vendor-vendor komputer atau jaringanyang
berbeda untuk mendukung aplikasi dan sistem operasi yang mereka buat. Registered port juga
diketahui dan didaftarkan oleh IANA tapi tidak dialokasikan secara permanen, sehingga vendor
lainnya dapat menggunakan port number yang sama. Range registered port berkisar dari 1024
hingga 49151 dan beberapa port di antaranya adalah Dynamically Assigned Port. Dynamically
Assigned Port: merupakan port-port yang ditetapkan oleh sistem operasi atau aplikasi yang
digunakan untuk melayani request dari pengguna sesuai dengan kebutuhan. Dynamically
Assigned Port berkisar dari 1024 hingga 65536 dan dapat digunakan atau dilepaskan sesuai
kebutuhan.
Mendesain Sistem Keamanan Jaringan
 Metode Keamanan Jaringan

Dalam merencanakan suatu keamanan jaringan, ada beberapa metode yang dapat ditetapkan,
metode-metode tersebut adalah sebagai berikut :

1. 1.       Pembatasan akses pada suatu jaringan

Ada beberapa konsep dalam pembatasan akses jaringan, yakni sebagai berikut :

ü  Internal Password Authentication: Password local untuk login ke sistem harus

merupakan password yang baik serta dijaga dengan baik. Pengguaan aplikasi
shadow password akan sangat membantu.

ü  Server Based password authentication: Termasuk dalam metoda ini misalnya

sistem Kerberos server, TCP-wrapper, dimana setiap service yang disediakan oleh
server tertentu dibatasi dengan suatu daftar host dan user yang boleh dan tidak
boleh menggunakan service tersebut

ü  Server-based token authentication : Metoda ini menggunakan authentication

system yang lebih ketat, yaitu dengan penggunaan token / smart card, sehingga
untuk akses tertentu hanya bisa dilakukan oleh login tertentu dengan menggunakan
token khusus.

ü  Firewall dan Routing Control : Firewall melindungi host-host pada sebuah

network dari berbagai serangan. Dengan adanya firewall, semua paket ke sistem di
belakang firewall dari jaringan luar tidak dapat dilakukan langsung. Semua
hubungan harus dilakukan dengan mesin firewall

2. Menggunakan Metode dan mekanisme tertentu

ü Enkripsi : Salah satu cara pembatasan akses adalah dengan enkripsi. Proses enkripsi
meng-encode data dalam bentuk yang hanya dapat dibaca oleh sistem yang mempunyai
kunci untuk membaca data. Proses enkripsi dapat dengan menggunakan software atau
hardware. Hasil enkripsi disebut cipher. Cipher kemudian didekripsi dengan device dan
kunci yang sama tipenya (sama hardware/softwarenya, sama kuncinya). Dalam jaringan,
system enkripsi harus sama antara dua host yang berkomunikasi. Jadi diperlukan control
terhadap kedua sistem yang berkomunikasi. Biasanya enkripsi digunakan untuk suatu
sistem yang seluruhnya dikontrol oleh satu otoritas

ü Terminologi Kriptografi : Kriptografi (cryptography) merupakan ilmu dan seni untuk

menjaga pesan agar aman. (Cryptography is the art and science of keeping messages
secure. [40]) “Crypto” berarti “secret” (rahasia) dan “graphy” berarti “writing” (tulisan)
[3]. Para pelaku atau praktisi kriptografi disebut cryptographers. Sebuah algoritma
kriptografik (cryptographic algorithm), disebut cipher, merupakan persamaan matematik
yang digunakan untuk proses enkripsi dan dekripsi. Biasanya kedua persamaan
matematik (untuk nkripsi dan dekripsi) tersebut memiliki hubungan matematis yang
cukup erat.
 ü Terminologi Enskripsi – Dekripsi : Proses yang dilakukan untuk mengamankan sebuah
pesan (yang disebut plaintext) menjadi pesan yang tersembunyi (disebut ciphertext)
adalah enkripsi (encryption). Ciphertext adalah pesan yang sudah tidak dapat dibaca
dengan mudah. Menurut ISO 7498-2, terminologi yang lebih tepat digunakan adalah
“encipher”. Proses sebaliknya, untuk mengubah ciphertext menjadi plaintext, disebut
dekripsi (decryption). Menurut ISO 7498-2, terminologi yang lebih tepat untuk proses ini
adalah “decipher”.

ü Digital Signature : digunakan untuk menyediakan authentication, perlindungan,

integritas, dan non-repudiation

ü Algoritma Checksum/Hash : Digunakan untuk menyediakan perlindungan integritas,

dan dapat menyediakan authentication. Satu atau lebih mekanisme dikombinasikan untuk
menyediakan security service

3. Pemonitoran terjadwal terhadap jaringan

Dengan adanya pemantauan yang teratur, maka penggunaan sistem oleh yang tidak
berhak dapat dihindari/cepat diketahui. Untuk mendeteksi aktifitas yang tidak normal,
maka perlu diketahui aktifitas yang normal. Proses apa saja yang berjalan pada saat
aktifitas normal. Siapa saja yang biasanya login pada saat tersebut. Siapa saja yang
biasanya login diluar jam kerja. Bila terjadi keganjilan, maka perlu segera diperiksa. Bila
hal-hal yang mencurigakan terjadi, maka perlu dijaga kemungkinan adanya intruder.

Metodologi keamanan informasi bertujuan untuk meminimalisasi kerusakan dan

memelihara keberlangsungan bisnis dengan memerhatikan semua kemungkinan
kelemahan dan ancaman terhadap aset informasi. Untuk menjamin keberlangsungan
bisnis, metodologi keamanan informasi berusaha memastikan kerahasiaan, integritas dan
ketersediaan asset informasi internal. Hal ini termasuk penerapan metode dan kontrol
manajemen risiko. Pada dasarnya, yang dibutuhkan adalah rencana yang bagus dan
meliputi aspek administratif, fisik, serta teknis dari keamanan informasi.

Beberapa Langkah dalam perancangan Sistem dengan memperhatikan aspek Keamanan

Jaringan :

1. Menentukan topologi jaringan yang akan digunakan.

2. Menentukan kebijakan atau policy .
3. Menentukan aplikasi – aplikasi atau servis-servis apa saja yang akan berjalan.
4. Menentukan pengguna-pengguna mana saja yang akan dikenakan oleh satu atau lebih
aturan firewall.
5. Menerapkan kebijakan, aturan, dan prosedur dalam implementasi firewall.
6. Sosialisasi kebijakan, aturan, dan prosedur yang sudah diterapkan.

Arsitektur sistem IDS

Intrusion Detection System (IDS) pada implementasi tugas akhir ini tediri dari komponen
komponen / modul :
1. Sensor modul
2. Analyzer modul
3. Database system
Arsitektur sistem IDS
Sensor berfungsi untuk mengambil data dari jaringan. Sensor merupakan bagian dari sistem
deteksi dini dari IDS. Untuk itu digunakan suatu program yang berfungsi sebagai intrusion
detector dengan kemampuan packet logging dan analisis traffik yang realtime.

Analyzer berfungsi untuk analisa paket yang lewat pada jaringan. Informasi dari analyzer yang
akan menjadi input bagi sistem lainnya. Salah satu perangkat lunak yang sering digunakan pada
IDS adalah snort, karena snort mempunyai kemampuan menjadi sensor dan analyzer serta sesuai
untuk diterapkan pada rancangan sistem keamanan. Arsitektur Sistem AIRIDS Automatic
Interactive Reactive Intrusion Detection System AIRIDS merupakan suatu metode kemanan
jaringan yang bertujuan untuk membentuk suatu arsitektur sistem keamanan yang terintegrasi
antara Intrusion Detection System (IDS),Firewall System, Database System dan Monitoring
System. komponen-komponen / modul AIRIDS berupa :

1. Intrusion detection system (IDS)

a. Sensor modul
b. Analyzer modul
2. Database system
3. Monitoring system
4. Firewall system
5. SMS system (optional)