Menu

Mengelola Keamanan Sistem Jaringan TIK.JK05.012.01

Mar
10
2015
by : 3. Posted in : blog

MATERI PELATIHAN BERBASIS KOMPETENSI

SEKTOR TELEMATIKA

SUB SEKTOR JARINGAN KOMPUTER

DAN SISTEM ADMINISTRASI

 

 

MENGELOLA

KEAMANAN SISTEM JARINGAN

TIK.JK05.012.01

 

 

 

 

 

 

 

 

BUKU INFORMASI

 

 

 

 

 

 

 

 

 

 

 

DEPARTEMEN TENAGA KERJA DAN TRANSMIGRASI R.I.

DIREKTORAT JENDERAL PEMBINAAN PELATIHAN DAN PRODUKTIVITAS

Jl. Jend. Gatot Subroto Kav.51 Lt.7.B Jakarta Selatan

 

DAFTAR ISI

DAFTAR ISI                                                                                                    1

BAB I  5

PENGANTAR  5

1.1 Konsep Dasar Pelatihan Berbasis Kompetensi 5

1.2 Penjelasan Modul 5

1.2.1 Desain Modul 5

1.2.2 Isi Modul 6

1.2.3 Pelaksanaan Modul 6

1.3 Pengakuan Kompetensi Terkini 7

1.4 Pengertian Istilah-istilah  7

 

BAB II  9

STANDAR KOMPETENSI  9

2.1 Peta Paket Pelatihan  9

2.2 Pengertian Unit Standar 9

2.3 Unit Kompetensi Yang Dipelajari 9

2.3.1 Kode dan Judul Unit 10

2.3.2 Deskripsi Unit 10

2.3.3 Elemen Kompetensi 10

2.3.4 Batasan Variabel 12

2.3.5 Panduan Penilaian  12

2.3.6 Kompetensi Kunci 13

 

BAB III  14

STRATEGI DAN METODE PELATIHAN  14

3.1 Strategi Pelatihan  14

3.2 Metode Pelatihan  15

 

BAB IV  16

MATERI UNIT KOMPETENSI  16

4.1 Tujuan Instruksional Umum   16

4.2 Tujuan Instruksional Khusus 16

4.3 Mengidentifikasi Ancaman Pada Jaringan  17

4.3.1 Analisis Resiko  17

4.3.1.1 Hacking  20

4.3.1.2Virus Komputer 22

4.3.2 Langkah-Langkah Pencegahan Atau Mengatasi Ancaman  23

4.3.3  Rencana Kebijakan Pengamanan dan Pemulihan Bencana  23

4.3.4  Penyampaian Rencana Kebijakan Pengamanan  24

4.4 Meninjau Ulang Kebutuhan Audit 26

4.4.1 Persyaratan Keamanan dan Kebutuhan Keamanan  26

4.4.2 Rancangan Kebutuhan Keamanan Didiskusikan  26

4.4.3 Rekaman Audit yang Lama Disetujui Bersama Auditor dan Pemeriksaan Kompilasi Semua Kebutuhan Keamanan Pengguna  27

4.5 Identifikasi Metode Kendali 28

4.5.1 Kendali pada Sistem Jaringan  28

4.5.1.1 Hash dalam Keamanan Jaringan  30

4.5.1.2 Monitoring Paket Data dan Aktivitas Pengguna  30

4.5.1.3 Enkripsi 32

4.6 Memasukkan Metode Kendali pada Jaringan  33

4.6.1 Arsitektur Firewall 33

4.6.2 Mengontrol Aliran Traffic 34

4.6.3 Mengkonfigurasi Router Firewall 35

4.6.4 Mendefinisikan Daftar Hak Akses 35

4.7 Mengimplementasi Fasilitas Keamanan Tambahan  38

4.7.1 Merekomendasikan Firewall 38

4.7.2 Teknik yang Digunakan oleh Firewall 41

4.7.3 Mengkonfigurasi Firewall 42

4.7.4 Membangun Firewall 44

4.7.5 Meninjau Ulang Kebutuhan Keamanan dan Rekomendasi Penambahan Perangkat 45

4.7.6 Pemasangan dan Konfigurasi Perangkat 47

 

BAB V  56

SUMBER – SUMBER YANG DIPERLUKAN UNTUK 

PENCAPAIAN KOMPETENSI  56

5.1 Sumber Daya Manusia  56

5.2 Literatur 57

5.3 Daftar Peralatan Dan Bahan Yang Digunakan  58

DAFTAR PUSTAKA  59

 

 

BAB I

PENGANTAR

 

1.1 Konsep Dasar Pelatihan Berbasis Kompetensi

  • Apakah pelatihan berdasarkan kompetensi?

Pelatihan berbasis kompetensi adalah pelatihan yang memperhatikan pengetahuan, keterampilan dan sikap yang diperlukan di tempat kerja agar dapat melakukan pekerjaan secara kompeten. Lalu, apa arti kompeten di tempat kerja?

 

  • Apakah artinya menjadi kompeten ditempat kerja?

Jika Anda kompeten dalam pekerjaan tertentu, berarti Anda memiliki seluruh keterampilan, pengetahuan dan sikap yang perlu untuk ditampilkan secara efektif di tempat dimana Anda bekerja, sesuai dengan standar yang telah disetujui dan ditetapkan.

 

1.2 Penjelasan Modul

Modul ini dikonsep agar dapat digunakan pada proses Pelatihan Konvensional/Klasikal dan Pelatihan Individual/Mandiri. Yang dimaksud dengan Pelatihan Konvensional/Klasikal, yaitu pelatihan yang dilakukan dengan melibatkan bantuan seorang pembimbing atau guru seperti proses belajar mengajar sebagaimana biasanya dimana materi hampir sepenuhnya dijelaskan dan disampaikan pelatih/pembimbing yang bersangkutan.

 

Sedangkan yang dimaksud dengan Pelatihan Mandiri/Individual adalah pelatihan yang dilakukan secara mandiri oleh peserta sendiri berdasarkan materi dan sumber-sumber informasi dan pengetahuan yang bersangkutan. Pelatihan mandiri cenderung lebih menekankan pada kemauan belajar peserta itu sendiri. Singkatnya pelatihan ini dilaksanakan peserta dengan menambahkan unsur-unsur atau sumber-sumber yang diperlukan baik dengan usahanya sendiri maupun melalui bantuan dari pelatih.

 

1.2.1 Desain Modul

Modul ini didesain untuk dapat digunakan pada Pelatihan Klasikal dan Pelatihan Individual / Mandiri:

  • Pelatihan klasikal adalah pelatihan yang disampaikan oleh seorang pelatih.
  • Pelatihan individual / mandiri adalah pelatihan yang dilaksanakan oleh peserta dengan menambahkan unsur-unsur / sumber-sumber yang diperlukan dengan bantuan dari pelatih.

 

1.2.2 Isi Modul

Modul ini terdiri dari 3 bagian, antara lain sebagai berikut:

Buku Informasi

Buku informasi ini adalah sumber pelatihan untuk pelatih maupun peserta pelatihan.

 

Buku Kerja

Buku kerja ini harus digunakan oleh peserta pelatihan untuk mencatat setiap pertanyaan dan kegiatan praktik baik dalam Pelatihan Klasikal maupun Pelatihan Individual / mandiri.

 

Buku ini diberikan kepada peserta pelatihan dan berisi:

-      Kegiatan-kegiatan yang akan membantu peserta pelatihan untuk mempelajari dan memahami informasi.

-      Kegiatan pemeriksaan yang digunakan untuk memonitor pencapaian keterampilan peserta pelatihan.

-      Kegiatan penilaian untuk menilai kemampuan peserta pelatihan dalam melaksanakan praktik kerja.

 

Buku Penilaian

Buku penilaian ini digunakan oleh pelatih untuk menilai jawaban dan tanggapan peserta pelatihan pada Buku Kerja dan berisi:

-      Kegiatan-kegiatan yang dilakukan oleh peserta pelatihan sebagai pernyataan keterampilan.

-      Metode-metode yang disarankan dalam proses penilaian keterampilan peserta pelatihan.

-      Sumber-sumber yang digunakan oleh peserta pelatihan untuk mencapai keterampilan.

-      Semua jawaban pada setiap pertanyaan yang diisikan pada Buku Kerja.

-      Petunjuk bagi pelatih untuk menilai setiap kegiatan praktik.

-      Catatan pencapaian keterampilan peserta pelatihan.

 

1.2.3 Pelaksanaan Modul

Pada Pelatihan Klasikal/Konvensional, pelatih akan:

-      Menyediakan Buku Informasi yang dapat digunakan peserta pelatihan sebagai sumber pelatihan.

-      Menyediakan salinan Buku Kerja kepada setiap peserta pelatihan.

-      Menggunakan Buku Informasi sebagai sumber utama dalam penyelenggaraan pelatihan.

-      Memastikan setiap peserta pelatihan memberikan jawaban/ tanggapan dan menuliskan hasil tugas praktiknya pada Buku Kerja.

 

Pada Pelatihan Individual/Mandiri, peserta pelatihan akan:

-      Menggunakan Buku Informasi sebagai sumber utama pelatihan.

-      Menyelesaikan setiap kegiatan yang terdapat pada buku Kerja.

-      Memberikan jawaban pada Buku Kerja.

-      Mengisikan hasil tugas praktik pada Buku Kerja.

-      Memiliki tanggapan-tanggapan dan hasil penilaian oleh pelatih.

 

1.3 Pengakuan Kompetensi Terkini

  • Apakah Pengakuan Kompetensi Terkini (Recognition of Current Competency)?

Jika Anda telah memiliki pengetahuan dan keterampilan yang diperlukan untuk elemen unit kompetensi tertentu, Anda dapat mengajukan pengakuan kompetensi terkini (RCC). Berarti Anda tidak akan dipersyaratkan untuk belajar kembali.

 

  • Anda mungkin sudah memiliki pengetahuan dan keterampilan, karena Anda telah :
  1. Bekerja dalam suatu pekerjaan yang memerlukan suatu pengetahuan dan keterampilan yang sama atau
  2. Berpartisipasi dalam pelatihan yang mempelajari kompetensi yang sama atau
  3. Mempunyai pengalaman lainnya yang mengajarkan pengetahuan dan keterampilan yang sama.

 

1.4 Pengertian Istilah-istilah

Berikut adalah pengertian dari beberapa istilah yang digunakan dalam Pelatihan Berbasis Kompetensi, antara lain :

 

Profesi

Profesi adalah suatu bidang pekerjaan yang menuntut sikap, pengetahuan serta keterampilan/keahlian kerja tertentu yang diperoleh dari proses pendidikan, pelatihan serta pengalaman kerja atau penguasaan sekumpulan kompetensi tertentu yang dituntut oleh suatu pekerjaan/jabatan.

 

Standardisasi

Standardisasi adalah proses merumuskan, menetapkan serta menerapkan suatu standar tertentu.

 

Penilaian / Uji Kompetensi

Penilaian atau Uji Kompetensi adalah proses pengumpulan bukti melalui perencanaan, pelaksanaan dan peninjauan ulang (review) penilaian serta keputusan mengenai apakah kompetensi sudah tercapai dengan membandingkan bukti-bukti yang dikumpulkan terhadap standar yang dipersyaratkan.

 

Pelatihan

Pelatihan adalah proses pembelajaran yang dilaksanakan untuk mencapai suatu kompetensi tertentu dimana materi, metode dan fasilitas pelatihan serta lingkungan belajar yang ada terfokus kepada pencapaian unjuk kerja pada kompetensi yang dipelajari.

 

Kompetensi

Kompetensi adalah kemampuan seseorang untuk menunjukkan aspek sikap, pengetahuan dan keterampilan serta penerapan dari ketiga aspek tersebut ditempat kerja untuk mencapai unjuk kerja yang ditetapkan.

 

Sertifikasi Kompetensi

Adalah proses penerbitan sertifikat kompetensi melalui proses penilaian / uji kompetensi.

 

Sertifikat Kompetensi

Adalah pengakuan tertulis atas penguasaan suatu kompetensi tertentu kepada seseorang yang dinyatakan kompeten yang diberikan oleh Lembaga Sertifikasi Profesi.

 

Standar Kompetensi

Standar kompetensi adalah standar yang ditampilkan dalam istilah-istilah hasil serta memiliki format standar yang terdiri dari judul unit, deskripsi unit, elemen kompetensi, kriteria unjuk kerja, ruang lingkup serta pedoman bukti.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

BAB II

STANDAR KOMPETENSI

 

 

2.1 Peta Paket Pelatihan

Modul yang sedang Anda pelajari ini bertujuan untuk mencapai satu unit kompetensi. Adapun kompetensi ini termasuk dalam satu paket pelatihan, yang terdiri atas unit-unit kompetensi berikut:

  1. TIK.OP02.003.01    Mengoperasikan sistem operasi
  2. TIK.OP02.009.01    Mengoperasikan PC yang terhubung pada jaringan komputer lokal

 

2.2 Pengertian Unit Standar

Apakah Standar Kompetensi? Setiap Standar Kompetensi menentukan :

  1. Pengetahuan dan keterampilan yang diperlukan untuk mencapai kompetensi.
  2. Standar yang diperlukan untuk mendemonstrasikan kompetensi.
  3. Kondisi dimana kompetensi dicapai.

 

Di dalam unit kompetensi ini, Anda akan mempelajari bagaimana mengelola keamanan sistem jaringan komputer untuk melengkapi pengetahuan yang telah Anda kuasai pada pelatihan mengenai instalasi dan konfigurasi sistem jaringan komputer sebelumnya.

 

Sistem pelatihan berbasis kompetensi terfokus pada pencapaian kompetensi, bukan pada lamanya waktu. Namun diharapkan pelatihan ini dapat dilaksanakan dan dicapai dalam jangka waktu tidak lebih dari seminggu, tiga sampai lima hari. Pelatihan ini diperuntukkan bagi semua pengguna terutama yang tugasnya berkaitan dengan mengelola, memonitor dan mengadministrasi keamanan sistem jaringan komputer seperti IT Administrator.

 

Jika Anda belum mencapai kompetensi pada usaha/kesempatan pertama, Pelatih Anda akan mengatur rencana pelatihan dengan Anda. Rencana ini akan memberikan Anda kesempatan kembali untuk meningkatkan level kompetensi Anda sesuai dengan level yang diperlukan. Jumlah maksimum usaha/kesempatan yang disarankan adalah 3 (tiga) kali.

 

2.3 Unit Kompetensi Yang Dipelajari

Dalam sistem pelatihan, Standar Kompetensi diharapkan menjadi panduan bagi peserta pelatihan untuk dapat:

  1. Mengidentifikasikan apa yang harus dikerjakan peserta pelatihan.
  2. Memeriksa kemajuan peserta pelatihan.
  3. Menyakinkan bahwa semua elemen (sub-kompetensi) dan criteria unjuk   kerja telah dimasukkan dalam pelatihan dan penilaian.

 

2.3.1 Kode dan Judul Unit

Kode Unit     : TIK.JK05.012.01

Judul Unit     : Mengelola Keamanan Sistem Jaringan

 

2.3.2 Deskripsi Unit

Unit kompetensi ini menjelaskan pengimplementasian dan pengelolaan fungsi keamanan pada sistem jaringan.

 

2.3.3 Elemen Kompetensi

ELEMEN KOMPETENSI

KRITERIA UNJUK KERJA

 

01 Mengidentifikasi ancaman pada jaringan

1.1   Analisis resiko dijalankan dan ancaman pada jaringan (seperti hacker, virus, dan sebagainya) dievaluasi.

 

1.2  Langkah-langkah untuk mencegah atau mengatasi ancaman dengan biaya yang efektif diidentifikasi.

 

1.3  Rencana kebijakan keamanan dan pemulihan dari bencana direncanakan.

 

1.4  Rencana disampaikan ke manajemen untuk persetujuan.

 

02 Meninjau ulang kebutuhan audit 2.1  Persyaratan keamanan yang telah dievaluasi ditinjau ulang, dan kebutuhan keamanan yang tepat didiskusikan bersama auditor.

 

2.2  Rancangan dan kebutuhan keamanan klien didiskusikan bersama auditor dan pihak yang terkait.

 

2.3  Rekaman audit yang lama disetujui bersama auditor, dan kompilasi semua kebutuhan pengguna diperiksa.

03 Mengidentifikasi metode kendali yang tepat 3.1  Metode kendali yang biasa digunakan pada sistem jaringan (seperti kendali pada perangkat masukan, keluaran, file, pengolahan, dan sebagainya) ditinjau ulang.

 

3.2   Kendali modul dan sistem (seperti tanggal, versi, dan sebagainya) ditinjau ulang berdasarkan kebutuhan klien dan keamanan.

 

3.3   Penanganan kesalahan dipenuhi sesuai dengan persyaratan keamanan.

 

3.4    Kendali untuk keamanan dan resiko didokumentasikan dan disampaikan kepada manajemen dan auditor untuk disetujui.

 

04 Memasukkan metode-

metode kendali kedalam

sistem jaringan

4.1  Kendali dimasukkan ke dalam sistem jaringan, dan kendali yang berbasis lingkungan dan pada sistem operasi diidentifikasi.

 

4.2  Ketentuan keamanan yang diakses pengguna didokumentasikan berdasarkan klasifikasi pengguna untuk diaplikasikan pada program, record, dan prosedur untuk pengendalian keamanan yang tepat berdasarkan kebutuhan klien.

 

4.3  Dokumen-dokumen disetujui oleh manajemen dan auditor.

 

05 Mengimplementasikan fasilitas keamanan tambahan 5.1  Hak akses sistem jaringan secara internal dan eksternal ditinjau ulang, dan perangkat yang tepat seperti firewall direkomendasikan.

 

5.2 Pasar dari firewall dievaluasi dan rekomendasi dibuat untuk manajemen.

 

5.3 Firewall dipasang dan dikonfigurasi sesuai dengan rekomendasi pabrik dan standar keamanan.

 

5.4  Kebutuhan keamanan ditinjau ulang dan rekomendasi untuk penambahan perangkat seperti perangkat keras, sistem jaringan komputer, secure hub, switch, dan sebagainya dibuat.

 

5.5  Perangkat yang disetujui dipasang dan dikonfigurasi untuk menyediakan tingkat keamanan yang dibutuhkan.

 

 

2.3.4 Batasan Variabel

Batasan variabel unit kompetensi ini adalah sebagai berikut:

  1. Unit ini berlaku untuk seluruh sektor teknologi informasi dan komunikasi.

 

  1. Dalam melaksanakan unit kompetensi ini didukung dengan tersedianya:

2.1 Sistem jaringan komputer dan sistem komputer.

2.2 Sistem operasi jaringan

2.3 Sistem firewall.

 

2.3.5 Panduan Penilaian

Panduan penilaian terdiri dari:

  1. 1.   Pengetahuan dan keterampilan penunjang

Untuk mendemonstrasikan kompetensi, diperlukan bukti keterampilan dan pengetahuan dibidang berikut  ini:

1.1     Pengetahuan dasar yang dibutuhkan:

1.1.1    Pengetahuan teknologi sistem komputer (perangkat keras dan perangkat lunak).

1.1.2    Pengetahuan teknologi jaringan komputer.

1.1.3    Pengetahuan teknologi keamanan jaringan.

1.1.4    Pengetahuan bisnis perusahaan.

 

1.2  Keterampilan dasar

1.2.1 Kemampuan mengoperaikan sistem operasi.

1.2.2 Kemampuan mengoperasikan sistem komputer di

jaringan.

 

  1. 2.   Konteks penilaian

Penilaian harus diujikan di tempat kerja atau di tempat lain secara praktek. Pernilaian di tempat lain harus dilaksanakan dalam suatu lingkungan kerja dengan kondisi kerja sesuai dengan keadaan normal.

 

  1. 3.   Aspek penting penilaian

Aspek berikut ini harus diperhatikan dalam menentukan kompetensi pada unit ini:

3.1   Kemampuan untuk menganalisis ancaman pada sistem jaringan.

3.2     Kemampuan untuk memasang dan mengkonfigurasi perangkat keamanan pada sistem jaringan.

 

  1. 4.   Kaitan dengan unit-unit lainnya

4.1     Unit ini didukung didukung oleh pengetahuan dan ketrampilan dalam unit kompetensi yang berkaitan dengan:

4.1.1 Mengoperasikan sistem komputer jaringan.

4.1.2 Mengoperasikan sistem operasi.

 

4.2   Pengembangan pelatihan untuk memenuhi persyaratan dalam unit ini perlu dilakukan dengan hati-hati. Untuk pelatihan pra- kejuruan umum, institusi harus menyediakan pelatihan yang mempertimbangkan serangkaian konteks industri seutuhnya tanpa bias terhadap sektor tertentu. Batasan variabel akan membantu dalam hal ini. Untuk sektor tertentu/khusus, pelatihan harus disesuaikan untuk memenuhi kebutuhan sektor tersebut.

 

 

2.3.6 Kompetensi Kunci

 

NO KOMPETENSI KUNCI DALAM UNIT INI TINGKAT

1

Mengumpulkan, mengorganisir dan menganalisa informasi

2

2

Mengkomunikasikan ide-ide dan informasi

2

3

Merencanakan dan mengorganisir aktivitas-aktivitas

2

4

Bekerja dengan orang lain dan kelompok

2

5

Menggunakan ide-ide dan teknik matematika

2

6

Memecahkan masalah

2

7

Menggunakan teknologi

2

 

 

BAB III

STRATEGI DAN METODE PELATIHAN

 

 

3.1 Strategi Pelatihan

Belajar dalam suatu Sistem Berbasis Kompetensi berbeda dengan yang sedang “diajarkan” di kelas oleh Pelatih. Pada sistem ini Anda akan bertanggung jawab terhadap belajar Anda sendiri, artinya bahwa Anda perlu merencanakan belajar Anda dengan Pelatih dan kemudian melaksanakannya dengan tekun sesuai dengan rencana yang telah dibuat.

 

Persiapan/perencanaan

  1. Membaca bahan/materi yang telah diidentifikasi dalam setiap tahap belajar dengan tujuan mendapatkan tinjauan umum mengenai isi proses belajar Anda.
  2. Membuat catatan terhadap apa yang telah dibaca.
  3. Memikirkan bagaimana pengetahuan baru yang diperoleh berhubungan dengan pengetahuan dan pengalaman yang telah Anda miliki.
  4. Merencanakan aplikasi praktik pengetahuan dan keterampilan Anda.

 

Permulaan dari proses pembelajaran

  1. Mencoba mengerjakan seluruh pertanyaan dan tugas praktik yang terdapat pada tahap belajar.
  2. Merevisi dan meninjau materi belajar agar dapat menggabungkan pengetahuan Anda.

 

Pengamatan terhadap tugas praktik

  1. Mengamati keterampilan praktik yang didemonstrasikan oleh Pelatih atau orang yang telah berpengalaman lainnya.
  2. Mengajukan pertanyaan kepada Pelatih tentang konsep sulit yang Anda temukan.

 

Implementasi

  1. Menerapkan pelatihan kerja yang aman.
  2. Mengamati indikator kemajuan personal melalui kegiatan praktik.
  3. Mempraktikkan keterampilan baru yang telah Anda peroleh.

 

Penilaian

Melaksanakan tugas penilaian untuk penyelesaian belajar Anda.

 

3.2 Metode Pelatihan

Terdapat tiga prinsip metode belajar yang dapat digunakan. Dalam beberapa kasus, kombinasi metode belajar mungkin dapat digunakan.

 

Belajar secara mandiri

Belajar secara mandiri membolehkan Anda untuk belajar secara individual, sesuai dengan kecepatan belajarnya masing-masing. Meskipun proses belajar dilaksanakan secara bebas, Anda disarankan untuk menemui Pelatih setiap saat untuk mengkonfirmasikan kemajuan dan mengatasi kesulitan belajar.

 

Belajar Berkelompok

Belajar berkelompok memungkinkan peserta untuk dating bersama secara teratur dan berpartisipasi dalam sesi belajar berkelompok. Walaupun proses belajar memiliki prinsip sesuai dengan kecepatan belajar masing-masing, sesi kelompok memberikan interaksi antar peserta, Pelatih dan pakar/ahli dari tempat kerja.

 

Belajar terstruktur

Belajar terstruktur meliputi sesi pertemuan kelas secara formal yang dilaksanakan oleh Pelatih atau ahli lainnya. Sesi belajar ini umumnya mencakup topik tertentu.

 

 

 

 

 

 

 

 

 

 

BAB IV

MATERI UNIT KOMPETENSI

 

 

4.1 Tujuan Instruksional Umum

  • Siswa mampu mengelola sistem keamanan jaringan
  • Siswa dapat memonitor dan mengadministrasi sistem keamanan jaringan

 

 

4.2 Tujuan Instruksional Khusus

  • Siswa dapat menganalisis resiko dan ancaman yang terjadi pada sistem jaringan
  • Siswa dapat mengatasi / mencegah ancaman yang terjadi pada sistem jaringan dengan biaya yang paling efektif
  • Siswa dapat membuat rencana kebijakan untuk keamanan sistem jaringan
  • Siswa dapat mengidentifikasi dan mendokumentasikan metode kendali keamanan sistem jaringan yang tepat
  • Siswa dapat meninjau ulang hak akses sistem jaringan baik secara internal maupun eksternal
  • Siswa mengerti bagaimana melakukan permasangan dan konfigurasi firewall
  • Siswa dapat mengimplementasikan fasilitas keamanan tambahan seperti secure hub, switch dan lain – lain

 

4.3 Mengidentifikasi Ancaman Pada Jaringan

Bila kita berbicara mengenai bagaimana cara mengidentifikasi ancaman pada jaringan maka berarti kita harus memikirkan bagaimana cara kita melindungi transaksi dalam suatu sistem jaringan.

 

Pertanyaan yang muncul biasanya ialah:

  1. Dapatkah kita melindungi pengiriman data?
  2. Dapatkah kita mensetup aluran yang aman untuk komunikasi?
  3. Dapatkah kita menentukan pengirim data?

 

Tujuan utama dengan adanya keamanan adalah untuk membatasi akses informasi dan sumber data hanya untuk pemakai yang memiliki hak akses.

 

Ancaman keamanan yang biasanya terjadi adalah:

a. Leakage (kebocoran): Kebocoran terjadi ketika pengambilan informasi dapat dilakukan oleh orang yang tidak memiliki hak akses.

b. Tampering: Tampering terjadi ketika informasi dirubah secara tidak legal.

c. Vandalisme (perusakan): Gangguan operasi sistem tertentu. Si pelaku (dalam hal ini disebut sebagai hacker) tidak mengharap keuntungan apapun.

 

Beberapa metode penyerangan:

a.  Eavesdropping, mendapatkan duplikasi pesan tanpa ijin

b.  Masquearding, mengirim atau menerima pesan menggunakan identitas lain tanpa ijin mereka

c. Message tampering, mencegah atau menangkap pesan dan mengubah isinya sebelum dilanjutkan ke penerima sebenarnya. “man-in-the-middle attack” adalah bentuk message tampering dengan mencegah pesan pertama pada pertukaran kunci enkripsi pada pembentukan suatu saluran yang aman. Penyerang menyisipkan kunci lain yang memungkinkan dia untuk mendekrip pesan berikutnya sebelum dienkrip oleh penerima.

d.  Replaying, menyimpan pesan yang ditangkap untuk pemakaian berikutnya.

e. Denial of service, membanjiri saluran atau sumber data yang lain dengan pesan yang bertujuan untuk menggagalkan pengaksesan pemakai lain.

 

4.3.1 Analisis Resiko

Keamanan sangat dibutuhkan dalam banyak transaksi, misalnya:

a.  E-commerce

b.  Banking

c.  E-mail

 

Transaksi elektronik dapat aman jika dilindungi dengan kebijakan dan mekanisme keamanan. Contoh: Pembeli harus dilindungi terhadap penyingkapan kode credit number selama pengiriman dan juga terhadap penjual yang tidak bersedia mengirim barang setelah menerima pembayaran. Vendor harus mendapatkan pembayaran sebelum barang dikirim, sehingga perlu dapat memvalidasi calon pembeli sebelum memberi mereka akses.

 

Ancaman terbesar di Internet saat ini mungkin sistem keamanan yang sangat buruk yang terhubung dalam jaringan. Banyak faktor yang turut menyumbang, termasuk commercial off-the-shelf (COTS) software, dimana jumlah fitur dan rapid time dalam pasar lebih penting daripada desain keamanan. Penggunaan lebih luas dari banyak produk COTS berarti ketika ada celah keamanan (yang bisa ditembus) ditemukan, sangatlah mudah dieksploitasi oleh para hacker yang menarget ratusan bahkan jutaan sistem yang memiliki celah keamanan yang terinstal. Kebocoran sistem keamanan yang terjadi di banyak pengguna Internet berarti vendor keamanan itu seharusnya memindahkan celah itu dengan segera. Hasilnya, sistem dengan tiada celah keamanan yang dapat ditembus dapat dengan mudah dikompromi, dalam jumlah besar, oleh para hacker, yang kemudian menggunakan sistem ini sebagai titik landas untuk mengkonsentrasikan serangan melawan sistem proteksi yang lebih baik dan untuk menyembunyikan jejak para attacker.

 

Gambar 1 menunjukkan walaupun kecanggihan dari Internet attacks meningkat seiring waktu, pengetahuan teknikal dari hacker rata-rata merosot, seperti halnya pengetahuan teknikal user rata-rata yang juga menurun. Apa yang ditampilkan grafik dapat dijelaskan dengan fakta bahwa para hacker yang canggih secara rutin membuat skenario dan peralatan penyerangan dimana hacker pemula dapat menggunakannya dengan mengklik mouse, dengan efek yang menghancurkan. Menyembunyikan jejak dari hacker dan menghapus atau menyembunyikan segala fakta yang terkait, merupakan bagian integral dari banyak peralatan hacker saat ini.

Gambar 1. Serangan Canggih VS Pengetahuan Teknikal Pengacau

Gambar 2 mengilustrasikan siklus pengekspolitasian celah keamanan, dimana tinggi dari grafik menunjukkan jumlah insiden keamanan akibat adanya celah. Awalnya, hacker yang canggih menemukan celah keamanan baru, dan sedikit sistem yang dikompromi dalam penjelasan awal untuk diekploitasi. Pada akhirnya, jumlah insiden akibat kemampuan dari peralatan pengeksploitasi memimpin. Pembebasan jumlah sarana keamanan dan kemampuan vendor pada akhirnya membantu mengurangi jumlah insiden akibat adanya celah keamanan.

Gambar 2 Siklus Pengeksploitasian Celah Keamanan

Siklus pengeksploitasian celah keamanan menyediakan bukti meyakinkan bahwa pendekatan pertahanan murni “patch and pray” terhadap keamanan komputer tidak akan pernah sesuai untuk melindungi aplikasi sangat penting yang bertambah menjadi bagian dari Internet. Untuk aplikasi penting ini, suatu cyber-attack dapat berarti kehilangan ekonomi secara signifikan dan bahkan kehilangan hidup manusia. Ini berarti jumlah penemuan jejak para hacker akan semakin berkurang dan berdampak besar pada keberadaan Internet dan negara yang bergantung padanya.

 

4.3.1.1 Hacking

Hacking, dalam bahasa komputer, berarti penggunaan komputer secara obsesif, atau penggunaan dan akses sistem jaringan komputer yang tak diperbolehkan. Para hacker ilegal (biasa disebut crackers) sering menyerang Internet atau jaringan lainnya untuk mencuri atau merusak data dan program.

 

Beberapa contoh taktik yang umum dilakukan para hacker untuk menyerang perusahaan e-bisnis dan lainnya melalui Internet atau jaringan lain:

  1. Denial of Service

Taktik ini akan menjadi lelucon umum dalam jaringan. Dengan menghambat peralatan website dengan permintaan informasi berlebihan, hacker dapat secara efektif menyumbat sistem, memperlambat penampilan atau bahkan membuat situs ‘hang’. Metode komputer overloading kadangkala digunakan untuk menutupi suatu serangan.

 

  1. Scans

Penyidikan luas Internet untuk menetapkan tipe komputer, jasa, dan hubungan. Hal itu menjadikan ‘orang jahat’ dapat mengambil keuntungan dari kelemahan dari sebagian pembuatan komputer atau program software.

 

  1. Sniffer

Program yang secara diam-diam mencari paket data individu yang melalui Internet, menangkap password atau keseluruhan isi.

 

  1. Spoofing

Memalsukan alamat e-mail atau Web page untuk menipu user dengan mengambil informasi penting seperti password atau nomor kartu kredit.

 

  1. Trojan Horse

Suatu program yang tak dikenal user, mengandung instruksi yang mengeksploitasi celah keamanan dalam beberapa software.

 

  1. Back Doors

Jika dalam kondisi jalur masuk awal terdeteksi, menawarkan sejumlah jalur rahasia lain untuk kembali memasuki dan sulit untuk terdeteksi.

 

  1. Logic Bombs

Instruksi dalam program komputer yang memicu perbuatan jahat.

 

  1. Password Crackers

Software yang dapat menebak password.

 

  1. Buffer Overflow

Suatu teknik untuk mendapatkan kontrol komputer dengan mengirimkan data berlebih ke buffer dalam memori komputer.

 

10. Social Engineering

Suatu taktik yang digunakan untuk mendapatkan akses ke sistem komputer dengan bernegosiasi dengan karyawan perusahaan untuk mendapatkan informasi berharga seperti password.

 

11. War Dialing

Program yang secara otomatis menelepon ratusan telepon untuk mencari jalur masuk melalui hubungan modem.

 

12. Malicious Applets

Program kecil, kadang ditulis dalam bahasa Java, yang menyalahgunakan sumber daya komputermu, memodifikasi file-file dalam hard disk, atau mencuri password.

 

4.3.1.2Virus Komputer

Satu dari banyak contoh kejahatan dalam komputer yang paling merusak mengikutkan penciptaan virus komputer atau worm. Secara teknis, virus ialah kode program yang tak dapat berfungsi tanpa diselipkan ke program lain. Worm, ialah program lain yang dapat berfungsi tanpa bantuan. Dalam kasus lain, program ini mengkopi rutinitas yang menggangu atau menghancurkan ke dalam sistem jaringan komputer seseorang yang mengakses komputer yang terjangkit virus atau yang menggunakan disket kopian yang diambil dari komputer yang terjangkit. Jadi, virus komputer atau worm dapat menyebarkan kerusakan pada banyak user. Dengan tampilan hanya pesan-pesan lucu, mereka dapat menghancurkan isi memori, hard disks, dan media penyimpanan lainnya.

 

Virus komputer biasanya memasuki sistem komputer melalui e-mail dan file yang diambil di Internet dan jasa online, atau melalui pembelian kopian software ilegal. Kopian software shareware yang didownload dari Internet dapat menjadi sumber lain virus. Virus biasanya menggandakan dirinya dalam data sistem operasi komputer. Kemudian virus menyebar ke memori utama dan menggandakan dirinya dalam hard disk komputer dan setiap floppy disk yang dimasukkan. Virus menyebar ke komputer lain melalui e-mail, transfer file, atau aktivitas komunikasi lainnya, atau melalui floppy disk dari komputer yang terjangkit. Jadi, sebagai tindakan pencegahan, kita harus menggunakan program antivirus secara teratur, yang dapat membantu mendiagnosa dan memindahkan virus komputer dari file terjangkit dalam hard disk.

 

4.3.2 Langkah-Langkah Pencegahan Atau Mengatasi Ancaman

Dalam melakukan pencegahan atau mengatasi ancaman keamanan sistem jaringan sebaiknya terlebih dahulu dibuat perencanaan berdasarkan kondisi yang terjadi untuk mengetahui keuntungan dan kerugian serta biaya yang paling efektif dari langkah – langkah yang akan diambil untuk mencegah atau mengatasi ancaman keamanan sistem jaringan tersebut. Selain itu pemisahan antara kebijakan pengamanan dan mekanisme keamanan akan membantu memisahkan kebutuhan implementasinya. Kebijakan pengamanan menspesifikasi kebutuhan dan mekanisme keamanan akan menerapkan spesifikasi kebijakan tersebut.

 

4.3.3  Rencana Kebijakan Pengamanan dan Pemulihan Bencana

Berdasarkan spesifikasi dari OSI, sebuah layanan (kebijakan) pengamanan meliputi:

  1. Access Control, perlindungan terhadap pemakaian tak legal
  2. Authentication, menyediakan jaminan identitas seseorang
  3. Confidentiality (kerahasiaan), perlindungan terhadap pegungkapan identitas tak legal.
  4. Integrity, melindungi dari pengubahan data yang tak legal
  5. Non-repudiation (penyangkalan), melindungi terhadap penolakan komunikasi yang sudah pernah dilakukan

 

Untuk mencapai kebijakan pengamanan tersebut, mekanisme-mekanisme yang dapat diterapkan:

  1. Enkripsi, digunakan untuk menyediakan kerahasiaan, dapat menyediakan authentication dan perlindungan integritas.
  2. Digital Signature, digunakan untuk menyediakan authentication, perlindungan integritas dan non-repudiation.
  3. Algoritma Hash, digunakan untuk menyediakan perlindungan integritas dan dapat menyediakan authentication.

 

Satu atau lebih mekanisme dapat dikombinasikan untuk menyediakan kemanan jaringan. Berikut ini adalah gambaran model hubungan antara kebijakan pengamanan dengan mekanisme pengamanan

4.3.4  Penyampaian Rencana Kebijakan Pengamanan

Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah “information-based society”. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi). Hal ini dimungkinkan dengan perkembangan pesat di bidang teknologi komputer dan telekomunikasi. Dahulu, jumlah komputer sangat terbatas dan belum digunakan untuk menyimpan hal-hal yang sifatnya sensitif. Penggunaan komputer untuk menyimpan informasi yang sifatnya classified baru dilakukan di sekitar tahun 1950-an.

 

Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain (misalnya pihak lawan bisnis) dapat menimbulkan kerugian bagi pemilik informasi. Sebagai contoh, banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya informasi tentang produk yang sedang dalam development, algoritma-algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.

 

Seringkali sulit untuk membujuk manajemen perusahaan atau pemilik sistem informasi untuk melakukan investasi di bidang keamanan. Di tahun 1997 majalah Information Week melakukan survey terhadap 1271 system atau network manager di Amerika Serikat. Hanya 22% yang menganggap keamanan sistem informasi sebagai komponen sangat penting (“extremely important”). Mereka lebih mementingkan “reducing cost” dan “improving competitiveness” meskipun perbaikan sistem informasi setelah dirusak justru dapat menelan biaya yang lebih banyak.

 

Keamanan itu tidak dapat muncul demikian saja. Dia harus direncanakan. Ambil contoh berikut. Jika kita membangun sebuah rumah, maka pintu rumah kita harus dilengkapi dengan kunci pintu. Jika kita terlupa memasukkan kunci pintu pada anggaran perencanaan rumah, maka kita akan dikagetkan bahwa ternyata harus keluar dana untuk menjaga keamanan. Kalau rumah kita hanya memiliki satu atau dua pintu, mungkin dampak dari anggaran tidak seberapa. Bayangkan bila kita mendesain sebuah hotel dengan 200 kamar dan lupa menganggarankan kunci pintu. Dampaknya sangat besar. Demikian pula di sisi pengamanan sebuah sistem informasi. Jika tidak kita anggarankan di awal, kita akan dikagetkan dengan kebutuhan akan adanya perangkat pengamanan (firewall, Intrusion Detection System, anti virus, Dissaster Recovery Center, dan seterusnya).

 

Meskipun sering terlihat sebagai besaran yang tidak dapat langsung diukur dengan uang (intangible), keamanan sebuah sistem informasi sebetulnya dapat diukur dengan besaran yang dapat diukur dengan uang (tangible). Dengan adanya ukuran yang terlihat, mudah-mudahan pihak management dapat mengerti pentingnya investasi di bidang keamanan. Berikut ini adalah berapa contoh kegiatan yang dapat anda lakukan:

 

  1. Hitung kerugian apabila sistem informasi anda tidak bekerja selama 1 jam, selama 1 hari, 1 minggu, dan 1 bulan. (Sebagai perbandingkan, bayangkan jika server Amazon.com tidak dapat diakses selama beberapa hari. Setiap harinya dia dapat menderita kerugian beberapa juta dolar.)

 

  1. Hitung kerugian apabila ada kesalahan informasi (data) pada sistem informasi anda. Misalnya web site anda mengumumkan harga sebuah barang yang berbeda dengan harga yang ada di toko anda.

 

  1. Hitung kerugian apabila ada data yang hilang, misalnya berapa kerugian yang diderita apabila daftar pelanggan dan invoice hilang dari sistem anda. Berapa biaya yang dibutuhkan untuk rekonstruksi data.

 

  1. Apakah nama baik perusahaan anda merupakan sebuah hal yang harus dilindungi? Bayangkan bila sebuah bank terkenal dengan rentannya pengamanan data-datanya, bolak-balik terjadi security incidents. Tentunya banyak nasabah yang pindah ke bank lain karena takut akan keamanan uangnya.

 

4.4 Meninjau Ulang Kebutuhan Audit

Dalam melakukan pengelolaan keamanan sistem jaringan, setelah kita mengidentifikasi resiko dan ancaman untuk keamanan sistem jaringan, langkah selanjutnya kita melakukan peninjauan ulang kebutuhan audit seperti persyaratan keamanan yang telah kita evaluasi ditinjau ulang dan kebutuhan yang diperlukan untuk sistem keamanan sistem jaringan kita diskusikan bersama auditor, rancangan kebutuhan keamanan sistem jaringan yang telah kita buat didiskusikan dengan auditor dan pihak yang terkait untuk dievaluasi keuntungan dan kerugiannya, dan memeriksa semua kebutuhan pengguna.

 

4.4.1 Persyaratan Keamanan dan Kebutuhan Keamanan

Jika kita sering bekerja dengan jaringan, maka tidaklah mengherankan bagi kita mengapa kita perlu memikirkan otentifikasi untuk mengendalikan keamanan jaringan. Jaringan komputer atau yang dikenal dengan internet merupakan sistem terbuka (open system) dimana semua orang dapat masuk ke komputer milik orang lain yang terhubung di dalam internet. Sistem terbuka juga mensyaratkan bahwa tidak ada ‘batasan’ bagi orang lain untuk masuk ke dalam jaringan kita, misalnya dengan menggunakan web browsing, akses ftp  dan lain sebagainya.

 

Akan tetapi permasalahan akan timbul jika orang yang masuk ke dalam jaringan kita mempunyai maksud yang kurang baik. Seorang kompetitor misalnya, dapat saja masuk ke dalam jaringan komputer saingannya dengan tujuan mengubah sistem yang dimiliki saingannya agar tidak dapat berfungsi dengan baik, mencuri data-data pelanggan saingan, mencuri data statistik dan lain sebagainya. Oleh karena itu dibutuhkan otentifikasi dan pengendalian akses ke dalam sistem. Secara sederhana sebuah prosedur otentifikasi adalah prosedur pengenalan jati diri seorang pemakai kepada sistem dan pemberian kartu hak akses tertentu dari sistem kepada pemakai yang bersangkutan. Seorang pemakai yang telah melewati proses otentifikasi tertentu akan memiliki hak akses tertentu dan tentu saja selalu dapat diawasi dan dikendalikan oleh sistem.

 

4.4.2 Rancangan Kebutuhan Keamanan Didiskusikan

                             Setelah kita mengidentifikasi dan mengetahui segala resiko dan ancaman yang ada pada sistem jaringan komputer maka kita dapat menentukan langkah – langkah yang dapat kita ambil untuk mencegah dan mengatasinya. Dalam menjalankan langkah – langkah yang akan kita ambil untuk mencegah dan mengatasi ancaman yang ada sebaiknya kita membuat rancangan kebutuhan yang diperlukan seperti kebutuhan perangkat keras maupun perangkat lunak agar kita dapat merinci biaya – biaya yang diperlukan dan keuntungan serta kerugiannya mengambil langkah tersebut. Setelah rancangan kebutuhan sesuai dengan kebutuhan pengguna sebaiknya kita diskusikan dengan pihak auditor dan pihak terkait untuk dievaluasi lagi agar langkah yang diambil dapat berjalan secara efektif dan efisien.

 

4.4.3 Rekaman Audit yang Lama Disetujui Bersama Auditor dan Pemeriksaan Kompilasi Semua Kebutuhan Keamanan Pengguna

Meski sebuah sistem informasi sudah dirancang memiliki perangkat pengamanan, dalam operasi masalah keamanan harus selalu dimonitor. Hal ini disebabkan oleh beberapa hal, antara lain:

 

  1. Ditemukannya lubang keamanan (security hole) yang baru. Perangkat lunak dan perangkat keras biasanya sangat kompleks sehingga tidak mungkin untuk diuji seratus persen. Kadang-kadang ada lubang keamanan yang ditimbulkan oleh kecerobohan implementasi.

 

  1. Kesalahan konfigurasi. Kadang-kadang karena lalai atau alpa, konfigurasi sebuah sistem kurang benar sehingga menimbulkan lubang keamanan. Misalnya mode (permission atau kepemilikan) dari berkas yang menyimpan password  secara tidak sengaja diubah sehingga dapat diubah atau ditulis oleh orang-orang yang tidak berhak.

 

  1. Penambahan perangkat baru (hardware dan/atau software) yang menyebabkan menurunnya tingkat security atau berubahnya metoda untuk mengoperasikan sistem. Operator dan administrator harus belajar lagi. Dalam masa belajar ini banyak hal yang jauh dari sempurna, misalnya server atau software masih menggunakan konfigurasi awal dari vendor (dengan password yang sama).

 

Salah satu cara untuk mengetahui kelemahan sistem informasi anda adalah dengan menyerang diri sendiri dengan paket-paket program penyerang (attack) yang dapat diperoleh di Internet. Dengan menggunakan program ini anda dapat mengetahui apakah sistem anda rentan dan dapat dieksploitasi oleh orang lain. Perlu diingat bahwa jangan menggunakan program-program tersebut untuk menyerang sistem lain (sistem yang tidak anda kelola). Ini tidak etis dan anda dapat diseret ke pengadilan.

 

Selain program penyerang yang sifatnya agresif melumpuhkan sistem yang dituju, ada juga program penyerang yang sifatnya melakukan pencurian atau penyadapan data. Untuk penyadapan data, biasanya dikenal dengan istilah “sniffer”. Meskipun data tidak dicuri secara fisik (dalam artian menjadi hilang), sniffer ini sangat berbahaya karena dia dapat digunakan untuk menyadap password dan informasi yang sensitif. Ini merupakan serangan terhadap aspek privacy.

 

Sistem pemantau jaringan (network monitoring) dapat digunakan untuk mengetahui adanya lubang keamaman. Misalnya apabila anda memiliki sebuah server yang semetinya hanya dapat diakses oleh orang dari dalam, akan tetapi dari pemantau jaringan dapat terlihat bahwa ada yang mencoba mengakses melalui tempat lain. Selain itu dengan pemantau jaringan dapat juga dilihat usaha-usaha untuk melumpuhkan sistem dengan melalui denial of service attack (DoS) dengan mengirimkan packet yang jumlahnya berlebihan.

 

Network monitoring biasanya dilakukan dengan menggunakan protokol SNMP (Simple Network Management Protocol). Sayangnya, tingkat keamanan dari SMNP versi 1 sangat rendah sehingga memungkinkan penyadapan oleh orang yang tidak berhak.

 

4.5 Identifikasi Metode Kendali

          Hal yang perlu dilakukan dalam mengidentifikasi metode kendali yang tepat yaitu meninjau ulang metode kendali yang biasa digunakan pada sistem jaringan seperti melakukan kendali pada perangkat masukan, keluaran file, pengolahan file dan sebagainya, meninjau ulang terhadap kendali modul dan sistem berdasarkan kebutuhan klien dan keamanan terhadap sistem jaringan, melakukan penanganan terhadap kesalahan yang ada sesuai dengan persyaratan keamanan jaringan, kendali untuk keamanan dan resiko didokumentasikan untuk mempermudahkan penanganan masalah yang terjadi di waktu yang akan datang kemudian disampaikan kepada manajemen dan auditor untuk memperoleh persetujuan.

 

4.5.1 Kendali pada Sistem Jaringan

Untuk dapat menganalisis resiko, maka kita harus dapat mengendalikan hak akses terhadap sistem jaringan. Sebelum kita membahas lebih jauh, akan dikemukakan istilah-istilah yang sering digunakan untuk pengendalian hak akses terhadap sistem.

 

a)   Access Control Lists (ACLs)

Setiap ACL merupakan daftar dari kendali akses yang menunjukkan hak akses dan informasi untuk audit yang digunakan oleh sistem, misalnya oleh Windows NT atau oleh proxy server. Didalam Windows NT, ACLs ini akan digunakan bersama-sama dengan sistem akses file sytem NTFS (New Technology File System). Windows NT menggunakan daftar ini untuk melihat siapa saja yang telah diberikan hak untuk mengakses sumber daya tertentu (file atau folder) dan hak apa yang telah diberikan kepadanya, seperti membaca, menulis dan mengeksekusi. Didalam sistem file UNIX, hak akses ini dapat dilihat dari bit-bit kode akses yang meliputi akses untuk user, akses untuk group user serta akses untuk global user. Akses untuk user berlaku untuk user yang bersangkutan, akses untuk group user berlaku untuk user-user lain yang masih berada dalam satu group dengan user yang bersangkutan sedangan akses global user berlaku untuk user yang tidak berada dalam satu group dengan user yang bersangkutan. Setiap file dalam file sistem UNIX memiliki bit-bit pengendali tersebut.

 

b)   Challenge/Response

Proses otentifikasi melibatkan prosedur challenge/response yang terjadi pada saat dimulainya sebuah otentifikasi. Ketika seorang pemakai ingin meminta hak akses kepada sistem maka sistem akan mengirimkan challenge kepada pemakai kemudian pemakai mengirimkan kode yang sesuai. Sistem akan membandingkan kode yang dikirimkan oleh pemakai dengan kode yang ada di dalam database. Jika ada kecocokan maka sistem akan memberikan hak akses sesuai dengan hak yang dimiliki oleh pengguna yang bersangkutan. Contohnya, pada saat seorang administrator Web ingin mengakses IIS (Internet Information Service) di Windows NT maka proses challenge/response terjadi agar sistem dapat memberikan hak akses yang sesuai. Contoh lain dalam sistem UNIX yang menggunakan one-time password, seorang pemakai yang ingin melakukan koneksi terminal (telnet) ke dalam sistem harus memasukkan password sebelum sistem memberikan hak akses terhadap terminal. Proses challenge/response yang terjadi disini yaitu pemakai menghubungi server melalui port telnet (21), kemudian server membentuk hash serta challenge key. Pemakai kemudian membalas challenge key tersebut dengan one-time-password yang sesuai. Selanjutnya response/jawaban dari pemakai akan dibandingkan dengan database yang ada di dalam sistem, sebelum diputuskan untuk memberikan akses atau tidak.

 

c)   NTLM

NTLM adalah teknik otentifikasi Challenge/Response yang digunakan oleh Window NT. NTLM singkatan dari Windows NT LAN Manager, sebab teknik ini dikembangkan pertama kali dan digunakan oleh Microsoft LAN Manager

 

  • One-Time-Password

One-Time-Password adalah teknik otentifikasi Challenge/Response yang sering digunakan oleh UNIX system. Dengan teknik ini sebuah password hanya dapat digunakan satu kali dimana response yang sesuai akan diminta oleh sistem, berdasarkan challenge key yang diberikan pada saat proses otentifikasi.

 

  • SAM

SAM atau kepanjangan dari Security Account Manager adalah database yang berisi data pemakai dan group. SAM tidak menyimpan password dalam bentuk ASCII tetapi dalam bentuk hash. SAM digunakan oleh Windows NT dan terletak di HKEY_LOCAL_MACHINE\SA dan HKEY_LOCAL_MACHINE\Security\SAM

 

4.5.1.1 Hash dalam Keamanan Jaringan

Dalam sebuah sistem terbuka, dimana komunikasi berlangsung melewati beberapa, ratusan bahkan ribuan komputer lainnya yang terhubung dalam jaringan maka pengiriman data dari satu tempat ke tempat lainnya akan sangat rawan terhadap penyadapan. Bagaimana jika hal ini terjadi sesaat sebelum proses otentifikasi berlangsung. Seorang ‘sniffer’ (penyadap data yang dikirimkan melalui internet) dapat mengendus password dan nama pemakai yang dikirimkan melalui jaringan. Untuk mengatasi hal ini maka dibuatlah algoritma hash, dimana password akan tersimpan dalam bentuk lain setelah diproses melalui algoritma hash tersebut. Algoritma standar hash yang sering digunakan adalah MD4 yang akan menghasilkan 16 byte (128 bit) hash, atau dengan kata lain, berapapun panjang bit yang dimasukkan dalam algoritma ini, maka panjang bit keluaran hasil hash adalah 16 byte (128 bit). Secara teoritis sangatlah tidak mungkin untuk menggabungkan hash dan algoritma yang dipakai serta kemudian melakukan proses revers secara matematis untuk memperoleh password yang bersesuaian. Atau dengan kata lain, proses hash hanya berlangsung satu arah dan bukan proses yang dapat dibalik.

 

4.5.1.2 Monitoring Paket Data dan Aktivitas Pengguna

Dengan berkembangnya jaringan Internet sebagai pusat pencarian informasi, komunikasi data, dan berbagai transaksi bisnis menyebabkan timbulnya berbagai macam ancaman yang semakin berkembang dari tahun ke tahun yang menyerang sistem keamanan jaringan yang diawali dengan kejadian Internet Worm pada tahun 1998.

 

Subversi (Internet Worm) ini menyerang sektor-sektor yang menjadi kelemahan sistem operasi yang digunakan. Hal ini menyebabkan user yang tidak terdaftar dapat menyusup ke dalam sistem.

 

Dibalik adanya Internet Worm pasti ada oknum atau individu yang menyebarkan subversi ini menyusup melalui paket-paket data dan akses yang tidak diawasi oleh admin.

 

Oleh sebab itu pengawasan terhadap komunikasi paket dan aktivitas pengguna digunakan sebagian besar admin jaringan untuk menghindari pemakai jaringan yang menyalahgunakan hak akses jaringannya untuk melakukan sesuatu yang dapat merugikan admin dan infrastruktur jaringan tersebut

 

Kegiatan admin dalam mengelola keamanan jaringan dengan cara memonitor aktivitas dan komunikasi data dapat memberikan keamanan bagi tiap pengelola dan pengguna jaringan.

Dalam prakteknya, admin jaringan yang mengimplementasikan metode pengawasan aktivitas dan monitoring paket data akan mengetahui semua data dan aktivitas yang dilakukan oleh pengguna jaringan.

 

Beberapa cara admin dalam melakukan metode ini adalah dengan tetap fokus terhadap 4 hal yaitu Pola data, ekspresi atau pencocokan secara bytecode, frekuensi atau pelanggaran ambang batas, korelasi yang dekat dengan sebuah event, deteksi anomali secara statistik. Keempat prosedur ini membuat kesulitan bagi para penyerang, karena seorang penyerang sulit menghapus bukti-bukti hasil rekaman data jaringan baik berupa tipe serangan, maupun informasi yang menunjukan identifikasi dan respon terhadap serangan.

 

Deteksi dan Respon terjadi secara realtime sehingga aktivitas dan paket data berbahaya yang mengalir dalam jaringan dapat dikenali lalu dihentikan penyebarannya sebelum menjangkit ke jaringan yang lebih luas lagi. Para user atau pengguna jaringan yang mengetahui hal ini akan berhati-hati dan tidak mencoba untuk merusak jaringan dan menyalahgunakan hak aksesnya untuk sesuatu yang membahayakan admin dan jaringan yang ia gunakan.

 

Metode monitoring paket data dan aktivitas pengguna memudahkan admin agar dapat bertanggung jawab penuh atas jaringan yang dikelolanya. Admin dapat mengetahui siapa saja user yang login beserta ip addressnya. Hal ini dapat menjadi sangat berguna apabila user melakukan suatu tindakan illegal melalui ip public jaringan tersebut. Admin dapat dengan mudah mengetahui siapa orangnya dengan identitas lengkap.

 

Kriminalitas melalui jaringan dan peredaran virus-virus dalam jaringan dapat ditekan dengan cara memonitor aktivitas para pengguna jaringan.

 

Dalam proses penyidikan oleh pihak berwajib metode ini dapat mempermudah mereka dalam mencari pelaku kriminalitas di dalam web dan jaringan, dengan bantuan admin pihak berwajib dapat menanyakan semua informasi log-log di dalam server jaringan tesebut ditambah dengan informasi identitas pengguna jaringan. Dengan begitu, pelaku akan mudah terlacak.

 

Keberhasilan metode pengawasan aktifitas user dan monitoring paket data tidak lepas dari keandalan admin dan pengelola jaringan. SDM yang kompeten diperlukan untuk menjaga kelangsungan jaringan yang aman. Karena tiap serangan pasti akan selalu berkembang dan admin dan pengelola dituntut jaringan harus dapat siap menghadapi hal tersebut. Karena setiap jaringan Internet digunakan secara luas yang di dalamnya terdapat banyak user dengan berbagai karakter.

 

4.5.1.3 Enkripsi

Selain beberapa definisi serta teknik yang disebutkan diatas, salah satu teknik yang sangat penting adalah enkripsi. Coba bayangkan pada saat kita melakukan koneksi terminal (telnet , port 21) pada jaringan kita dari Jakarta ke Surabaya melalui Internet yang notabene melalui ratusan bahkan ribuan router. Dalam spesifikasinya, komunikasi terminal tersebut mentransmisikan data-data dalam bentuk text ASCII. Jika kemudian ada seorang sniffer yang mengendus data-data yang ditransmisikan antara komputer server dengan terminal kita maka data-data tersebut akan dengan mudah terbaca. Jika kemudian kita membaca email yang ada dalam server kita, maka sniffer tadi juga dapat ikut membaca email yang kita baca.

 

Untuk mengatasi hal tersebut diatas maka diciptakan sistem enkripsi dimana data-data yang dikirimkan sudah dalam bentuk ter-enkripsi. Untuk melakukan enkripsi dibutuhkan kunci pembuka yang harus diketahui oleh server dan pengguna. Akan tetapi jika seorang sniffer dapat mengendus kunci pembuka tersebut, maka dia juga dapat membuka data-data komunikasi antara pemakai dan server. Oleh karena itu diciptakan teknik enkripsi dengan kunci publik dari RSA, dimana kunci publik dapat disebarluaskan secara bebas, sementara kunci privat disimpan secara rahasia. Seorang pemakai yang ingin melakukan koneksi kemudian memberikan kunci publiknya kepada server serta mengambil kunci publik server. Pengguna yang bersangkutan kemudian melakukan enkripsi dengan kunci privat miliknya serta kunci publik milik server kemudian mengirimkan data tersebut kepada server. Server kemudian melakukan de enkripsi dengan menggunakan kunci privat miliknya serta kunci publik milik pengguna yang bersangkutan. Dengan demikian meskipun data dapat diendus oleh sniffer, namun data tersebut tidak dapat diintepretasikan dengan baik dan benar.

 

4.6 Memasukkan Metode Kendali pada Jaringan

4.6.1 Arsitektur Firewall

Arsitektur firewall ialah suatu struktur yang hadir di antara kita dan di luar dunia untuk melidungi kita dari penyelundup. Dalam banyak kejadian, penyelundup digambarkan berada di keseluruhan Internet dan pada ribuan jaringan remote dimana ia terhubungkan. Biasanya jaringan firewall terdiri dari beberapa mesin yang berbeda, seperti terlihat pada gambar berikut ini:

 

Gambar 1 Arsitektur firewall

Pada arsitektur ini, router yang tersambung dengan Internet (router eksterior) menahan semua traffic yang datang untuk menuju application gateway. Router yang terhubung dengan jaringan internal (router interior) hanya menerima paket-paket yang berasal dari application gateway.

Application gateway memulai per-aplikasi dan per-kebijakan pengamanan user. Dampaknya, gateway akan mengontrol pengiriman berdasarkan pelayanan jaringan baik menuju maupun dari jaringan internal. Misalnya, mungkin hanya sebagian user tertentu yang diijinkan untuk untuk berkomunikasi dengan Internet, atau hanya sebagian aplikasi tertentu yang diijinkan untuk membuat koneksi antara host interior dan eksterior.

Router dan paket filter harus diset-up untuk merefleksikan kebijakan pengaman yang sama. Jika aplikasi yang diijinkan hanya berupa mail, maka hanya aplikasi mail saja yang diijinkan memasuki router. Hal ini akan melindungi application gateway dan menghindari memenuhi router dengan paket yang nantinya akan dihancurkan.

 

4.6.2 Mengontrol Aliran Traffic

Bagian ini akan menggunakan penggambaran seperti di bawah ini untuk menjelaskan penggunaan daftar hak akses untuk membatasi traffic dari dan menuju router dan server komunikasi firewall.

 

Gambar 2 Pengontrolan Aliran Traffic melalui Router Firewall

 

Pada studi kasus ini, router firewall mengijinkan adanya koneksi baru ke satu atau lebih server komunikasi atau host. Memiliki router yang didesain dan berfungsi seperti firewall sangatlah diinginkan karena fungsi router akan menjadi jelas yakni sebagai gateway eksternal dan menghindari pembebanan fungsi ini pada router lainnya. Pada kejadian dimana jaringan internal harus mengisolasi dirinya sendiri, router firewall akan menyediakan tempat pengisolasian sehingga struktur jaringan internal yang lain tidak terganggu.

 

4.6.3 Mengkonfigurasi Router Firewall

Di dalam konfigurasi router firewall, yang subnet 13 dari jaringan kelas B merupakan subnet firewall, dimana subnet 14 menyediakan koneksi ke Internet di seluruh dunia melalui suatu service provider :

 

Interface ethernet 0
Ip address B.B.13.1 255.255.255.0
Interface serial 0
Ip address B.B.14.1 255.255.255.0
Router igrp
Network B.B.0.0

Konfigurasi sederhana seperti ini tidak menyediakan keamanan dan mengijinkan semua trafic dari luar memasuki keseluruhan bagian dari suatu jaringan. Untuk menyediakan keamanan pada router firewall, gunakan daftar hak akses dan grup akses.

4.6.4 Mendefinisikan Daftar Hak Akses

            Daftar hak akses menjelaskan traffic actual yang diijinkan maupun yang dilarang, dimana grup akses menjelaskan definisi daftar hak akses di suatu interface. Daftar hak akses dapat digunakan untuk menolak koneksi yang disinyalir mengandung resiko keamanan dan kemudian mengijinkan semua koneksi lainnya, atau mengijinkan koneksi tertentu yang diterima dan menolak lainnya.

            Suatu hak akses diminta setelah keputusan routing telah dbuat tetapi sebelum suatu paket dikirim keluar pada suatu interface. Tempat terbaik untuk mendefinisikan daftar hak akses ialah pada host yang diinginkan menggunakan text editor yang diinginkan. Kita dapat menciptakan file yang mengandung perintah access-list, menempatkan file (dibuat readable) pada direktori TFTP default, dan kemudian jaringan akan me-load file ke router.


4.6.5 Dokumentasi Ketentuan Kemananan
 

Untuk mendokumentasi dapat menggunakan berkas yang biasanya disebut “logfile” atau “log” saja. Berkas log ini sangat berguna untuk mengamati penyimpangan yang terjadi. Kegagalan untuk masuk ke sistem (login), misalnya, tersimpan di dalam berkas log. Untuk itu para administrator diwajibkan untuk rajin memelihara dan menganalisa berkas log yang dimilikinya.

 

Letak dan isi dari berkas log bergantung kepada operating system yang digunakan. Di sistem berbasis UNIX, biasanya berkas ini berada di direktori /var/adm atau /var/log.

 

Sebagai contoh, berikut ini adalah cuplikan baris isi dari berkas /var/adm/

 

auth.log:

 

Apr 8 08:47:12 xact passwd[8518]: password for `inet’ changed by root

Apr 8 10:02:14 xact su: (to root) budi on /dev/ttyp3

 

Baris pertama menunjukkan bawah password untuk pemakai “inet” telah diganti oleh “root”. Baris kedua menunjukkan bahwa pemakai (user) yang bernama “budi” melakukan perintah “su” (substitute user) dan menjadi user “root” (super user). Kedua contoh di atas menunjukkan entry yang nampaknya normal, tidak mengandung security hole, dengan asumsi pada baris kedua memang pemakai “budi” diperbolehkan menjadi root. Contoh entry yang agak mencurigakan adalah sebagai berikut.

 

Apr 5 17:20:10 alliance wu-ftpd[12037]: failed login from ws170.library.msstate.edu [130.18.249.170], m1

Apr 9 18:41:47 alliance login[12861]: invalid password for `budi’ on `ttyp0′ from `ppp15.isp.net.id’

 

Baris di atas menunjukkan kegagalan untuk masuk ke sistem melalui fasilitas FTP (baris pertama) dan telnet (baris kedua). Pada baris kedua terlihat bahwa user “budi” (atau yang mengaku sebagai user “budi”) mencoba masuk melalui login dan gagal memberikan password yang valid.

 

Hal ini bisa terjadi karena ketidak sengajaan, salah memasukkan password, atau bisa juga karena sengaja ingin mencoba-coba masuk dengan userid “budi” dengan password coba-coba. Cara coba-coba ini sering dilakukan dengan mengamati nama user yang berada di sistem tersebut (misalnya dengan menggunakan program finger untuk mengetahui keberadaan sebuah user).

Contoh berikut diambil dari isi berkas /var/adm/mail.log, yang berfungsi untuk mencatat aktivitas yang berhubungan dengan sistem mail.

Apr 9 18:40:31 mx1 imapd[12859]: Login faiure

user=^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P

host=vhost.txg.wownet.net

Apr 9 18:40:32 mx1 imapd[12859]: Success, while reading line user=^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P

host=vhost.txg.wownet.net

 

Contoh di atas menunjukkan hal yang sedikit aneh dari akses ke servis email melalui IMAP (ditunjukkan dengan kata “imapd” yang merupakan server dari servis IMAP). Pertama, user yang digunakan tidak valid. Kedua, kebetulan administrator tidak memiliki remote user yang berasal dari host yang disebut di atas. Setelah diselidiki, ternyata memang ada lubang keamanan dari implementasi “imapd” yang digunakan. Ini diketahui setelah melihat informasi yang ada di web site CERT. Untuk itu administrator cepat-cepat menutup servis imap tersebut, mengambil dan memasang versi baru dari imapd yang tidak memiliki lubang keamanan tersebut.

 

Contoh-contoh di atas hanya merupakan sebagian kecil dari kegiatan menganalisa berkas log. Untuk sistem yang cukup ramai, misalnya sebuah perguruan tinggi dengan jumlah pemakai yang ribuan, analisa berkas log merupakan satu pekerjaan tersendiri (yang melelahkan). Untuk itu adanya tools yang dapat membantu administrator untuk memproses dan menganalisa berkas log merupakan sesuatu yang sangat penting.

 

Ada beberapa tools sederhana yang menganalia berkas log untuk mengamati kegagalan (invalid password, login failure, dan sebagainya) kemudian memberikan ringkasan. Tools ini dapat dijalankan setiap pagi dan mengirimkan hasilnya kepada administrator.

 

Seringkali tamu tak diundang (intruder) masuk ke dalam sistem dan merusak sistem dengan menghapus berkas-berkas yang dapat ditemui. Jika intruder ini berhasil menjebol sistem dan masuk sebagai super user (administrator), maka ada kemungkinan dia dapat menghapus seluruh berkas. Untuk itu, adanya backup yang dilakukan secara rutin merupakan sebuah hal yang esensial. Bayangkan apabila yang dihapus oleh tamu ini adalah berkas penelitian, tugas akhir, skripsi, yang telah dikerjakan bertahun-tahun.

 

Untuk sistem yang sangat esensial, secara berkala perlu dibuat backup yang letaknya berjauhan secara fisik. Hal ini dilakukan untuk menghindari hilangnya data akibat bencana seperti kebakaran, banjir, dan lain sebagainya. Apabila data-data dibackup akan tetapi diletakkan pada lokasi yang sama, kemungkinan data akan hilang jika tempat yang bersangkutan mengalami bencana seperti kebakaran.

 

4.6.6 Dokumen Disetujui Manajemen dan Auditor
Setelah membuat dokumentasi, maka dokumentasi dapat diajukan ke manajemen dan auditor dalam bentuk ringkasan yang bersifat sedikit teknikal namun yang perlu diingat ialah dokumentasi harus mencakup keseluruhan sistem baik kelemahan maupun kelebihannya sehingga fasilitas keamanan dapat direncanakan dan sesuai dengan kebutuhan keamanan dalam suatu sistem.

4.7 Mengimplementasi Fasilitas Keamanan Tambahan

4.7.1 Merekomendasikan Firewall

 

Firewall merupakan suatu cara atau mekanisme yang diterapkan baik terhadap hardware, software ataupun sistem itu sendiri dengan tujuan untuk melindungi, baik dengan menyaring, membatasi atau bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar yang bukan merupakan ruang lingkupnya. Segmen tersebut dapat merupakan sebuah workstation, server, router, atau local area network (LAN) anda.

 

Firewall secara umum di peruntukkan untuk melayani:

1.  Mesin/Komputer

Setiap mesin/komputer yang terhubung langsung ke jaringan luar atau internet dan menginginkan semua yang terdapat pada komputernya terlindungi.

 

2. Jaringan

Jaringan komputer yang terdiri lebih dari satu buah komputer dan berbagai jenis topologi jaringan yang digunakan, baik yang dimiliki oleh perusahaan, organisasi dsb.

 

Firewall memiliki karakteristik sebagai berikut:

1. Seluruh hubungan/kegiatan dari dalam ke luar, harus melewati firewall. Hal ini dapat dilakukan dengan cara memblok/membatasi baik secara fisik semua akses terhadap jaringan lokal, kecuali melewati firewall. Banyak sekali bentuk jaringan yang memungkinkan agar konfigurasi ini terwujud.

 

2. Hanya kegiatan yang terdaftar/dikenal yang dapat melewati/melakukan hubungan, hal ini dapat dilakukan dengan mengatur kebijakan pada konfigurasi keamanan lokal. Banyak sekali jenis firewall yang dapat dipilih sekaligus berbagai jenis kebijakan yang ditawarkan.

 

3. Firewall itu sendiri haruslah kebal atau relatif kuat terhadap serangan/kelemahan. Hal ini berarti penggunaan sistem yang dapat dipercaya dan dengan sistem yang relatif aman.

 

Firewall memiliki beberapa tipe, antara lain:

1 .Packet Filtering Router

Packet filtering diaplikasikan dengan cara mengatur semua packet IP baik yang menuju, melewati atau akan dituju oleh packet tersebut. Pada tipe ini packet tersebut akan diatur apakah akan diterima dan diteruskan atau ditolak. Penyaringan packet ini dikonfigurasikan untuk menyaring packet yang akan ditransfer secara dua arah (baik dari dan ke jaringan lokal). Aturan penyaringan didasarkan pada header IP dan transport header, termasuk juga alamat awal(IP) dan alamat tujuan (IP), protokol transport yang digunakan(UDP,TCP), serta nomor port yang digunakan. Kelebihan dari tipe ini adalah mudah untuk diimplementasikan, transparan untuk pemakai dan relatif lebih cepat.

 

Adapun kelemahannya adalah cukup rumitnya untuk mengatur paket yang akan disaring secara tepat, serta lemah dalam hal authentikasi.

 

Adapun serangan yang dapat terjadi pada firewall dengan tipe ini adalah:

  • IP address spoofing: Intruder (penyusup) dari luar dapat melakukan ini dengan cara menyertakan/menggunakan ip address jaringan lokal yang telah diijinkan untuk melalui firewall.
  • Source routing attacks: Tipe ini tidak menganalisa informasi routing sumber IP, sehingga memungkinkan untuk membypass firewall.

 

  • Tiny fragment attacks: Intruder membagi IP kedalam bagian-bagian (fragment) yang lebih kecil dan memaksa terbaginya informasi mengenai TCP header. Serangan jenis ini didesain untuk menipu aturan penyaringan yang bergantung kepada informasi dari TCP header.

 

Penyerang berharap hanya bagian (fragment) pertama saja yang akan di periksa dan sisanya akan bisa lewat dengan bebas. Hal ini dapat di tanggulangi dengan cara menolak semua packet dengan protokol TCP dan memiliki Offset = 1 pada IP fragment (bagian IP).

 

2. Application-Level Gateway

Application-level gateway yang biasa juga di kenal sebagai proxy server yang berfungsi untuk memperkuat/menyalurkan arus aplikasi. Tipe ini akan mengatur semua hubungan yang menggunakan layer aplikasi ,baik itu FTP, HTTP, GOPHER dll.

 

Cara kerjanya adalah apabila ada pengguna yang menggunakan salah satu aplikasi semisal FTP untuk mengakses secara remote, maka gateway akan meminta user memasukkan alamat remote host yang akan diakses. Saat pengguna mengirimkan user ID serta informasi lainnya yang sesuai maka gateway akan melakukan hubungan terhadap aplikasi tersebut yang terdapat pada remote host, dan menyalurkan data diantara kedua titik. Apabila data tersebut tidak sesuai maka firewall tidak akan meneruskan data tersebut atau menolaknya. Lebih jauh lagi, pada tipe ini firewall dapat dikonfigurasikan untuk hanya mendukung beberapa aplikasi saja dan menolak aplikasi lainnya untuk melewati firewall.

 

Kelebihannya adalah relatif lebih aman daripada tipe packet filtering router lebih mudah untuk memeriksa (audit) dan mendata (log) semua aliran data yang masuk pada level aplikasi. Kekurangannya adalah pemrosesan tambahan yang berlebih pada setiap hubungan. yang akan mengakibatkan terdapat dua buah sambungan koneksi antara pemakai dan gateway, dimana gateway akan memeriksa dan meneruskan semua arus dari dua arah.

 

3. Circuit-level Gateway

Tipe ketiga ini dapat merupakan sistem yang berdiri sendiri, atau juga dapat merupakan fungsi khusus yang terbentuk dari tipe application-level gateway. Tipe ini tidak mengijinkan koneksi TCP end to end (langsung).

 

Cara kerjanya: Gateway akan mengatur kedua hubungan tcp tersebut, 1 antara dirinya (gw) dengan TCP pada pengguna lokal (inner host) serta 1 lagi antara dirinya (gw) dengan TCP pengguna luar (outside host). Saat dua buah hubungan terlaksana, gateway akan menyalurkan TCP segment dari satu hubungan ke lainnya tanpa memeriksa isinya. Fungsi pengamanannya terletak pada penentuan hubungan mana yang diijinkan. Penggunaan tipe ini biasanya dikarenakan administrator percaya dengan pengguna internal.

 

4.7.2 Teknik yang Digunakan oleh Firewall

            Teknik yang digunakan oleh sebuah firewall untuk melindungi suatu jaringan ialah:

1. Service Control (kendali terhadap layanan)

Berdasarkan tipe-tipe layanan yang digunakan di Internet dan boleh diakses baik untuk ke dalam ataupun keluar firewall. Biasanya firewall akan mengecek no IP Address dan juga nomor port yang digunakan baik pada protokol TCP dan UDP, bahkan bisa dilengkapi software untuk proxy yang akan menerima dan menterjemahkan setiap permintaan akan suatu layanan sebelum mengijinkannya.

Bahkan bisa jadi software pada server itu sendiri, seperti layanan untuk web ataupun untuk mail.

 

2. Direction Control (kendali terhadap arah)

Berdasarkan arah dari berbagai permintaan terhadap layanan yang akan dikenali dan diijinkan melewati firewall.

 

3. User Control (kendali terhadap pengguna)

Berdasarkan pengguna untuk dapat menjalankan suatu layanan, artinya ada pengguna yang dapat dan ada yang tidak dapat menjalankan suatu layanan,hal ini dikarenakan pengguna tersebut tidak diijinkan untuk melewati firewall. Biasanya digunakan untuk membatasi pengguna dari jaringan lokal untuk mengakses keluar, tetapi bisa juga diterapkan untuk membatasi terhadap pengguna dari luar.

 

4. Behavior Control (kendali terhadap perlakuan)

Berdasarkan seberapa banyak layanan itu telah digunakan. Misalnya, firewall dapat menyaring email untuk menanggulangi/mencegah spam.

 

 

4.7.3 Mengkonfigurasi Firewall

1 .Screened Host Firewall system (single-homed bastion)

Pada konfigurasi ini, fungsi firewall akan dilakukan oleh packet filtering router dan bastion host. Router ini dikonfigurasikan sedemikian sehingga untuk semua arus data dari Internet, hanya paket IP yang menuju bastion host yang di ijinkan. Sedangkan untuk arus data dari jaringan internal, hanya paket IP dari bastion host yang diijinkan untuk keluar.

 

Konfigurasi ini mendukung fleksibilitas dalam akses internet secara langsung, sebagai contoh apabila terdapat web server pada jaringan ini maka dapat dikonfigurasikan agar web server dapat diakses langsung dari Internet.

 

Bastion Host melakukan fungsi authentikasi dan fungsi sebagai proxy. Konfigurasi ini memberikan tingkat keamanan yang lebih baik daripada packet-filtering router atau application-level gateway secara terpisah.

 

2. Screened Host Firewall system (Dual-homed bastion)

Pada konfigurasi ini, secara fisik akan terdapat patahan/celah dalam jaringan. Kelebihannya adalah dengan adanya dua jalur yang memisahkan secara fisik maka akan lebih meningkatkan keamanan dibanding konfigurasi pertama, adapun untuk server-server yang memerlukan akses langsung maka dapat di letakkan di tempat/segment yang langsung berhubungan dengan Internet. Hal ini dapat dilakukan dengan cara menggunakan 2 buah NIC (Network Interface Card) pada Bastion Host.

 

 

3. Screened subnet firewall

Ini merupakan konfigurasi yang paling tinggi tingkat keamanannya. kenapa? karena pada konfigurasi ini digunakan 2 buah packet filtering router, 1 diantara Internet dan bastion host, sedangkan 1 lagi diantara bastian host dan jaringan lokal konfigurasi ini membentuk subnet yang terisolasi.

 

Adapun kelebihannya adalah:

  • Terdapat 3 lapisan/tingkat pertahanan terhadap penyusup/intruder.
  • Router luar hanya melayani hubungan antara Internet dan bastion host sehingga jaringan lokal menjadi tak terlihat.
  • Jaringan lokal tidak dapat mengkonstuksi routing langsung ke Internet, atau dengan kata lain, Internet menjadi Invinsible (bukan berarti tidak bisa melakukan koneksi internet).

 

4.7.4 Membangun Firewall

Berikut langkah-langkah untuk membangun firewall:

1. Mengidentifikasi bentuk jaringan yang dimiliki

Mengetahui bentuk jaringan yang dimiliki khususnya topologi yang digunakan serta protocol jaringan, akan memudahkan dalam mendesain sebuah firewall.

 

2. Menentukan kebijakan

Penentuan kebijakan merupakan hal yang harus dilakukan, baik atau buruknya sebuah firewall yang di bangun sangat di tentukan oleh kebijakan yang diterapkan. Diantaranya:

  • Menentukan apa saja yang perlu dilayani. Artinya, apa saja yang akan dikenai kebijakan yang akan kita buat.
  • Menentukan individu atau kelompok-kelompok yang akan dikenakan kebijakan tersebut.
  • Menentukan layanan-layanan yang dibutuhkan oleh tiap-tiap individu atau kelompok yang menggunakan jaringan.
  • Berdasarkan setiap layanan yang digunakan oleh individu atau kelompok tersebut akan ditentukan bagaimana konfigurasi terbaik yang akan membuatnya semakin aman.
  • Menerapkankan semua kebijakan tersebut.

 

3. Menyiapkan software atau hardware yang akan digunakan

Baik itu operating system yang mendukung atau software-software khusus pendukung firewall seperti ipchains, atau iptables pada linux, dsb. Serta konfigurasi hardware yang akan mendukung firewall tersebut.

 

4. Melakukan test konfigurasi

Pengujian terhadap firewall yang telah selesai dibangun haruslah dilakukan, terutama untuk mengetahui hasil yang akan kita dapatkan, caranya dapat menggunakan tool-tool yang biasa dilakukan untuk mengaudit seperti nmap.

4.7.5 Meninjau Ulang Kebutuhan Keamanan dan Rekomendasi Penambahan Perangkat

Satu hal yang perlu diingat bahwa adanya firewall bukan menjadi jaminan bahwa jaringan dapat diamankan seratus persen. Firewall tersebut sendiri dapat memiliki masalah. Inti yang ingin kami sampaikan adalah bahwa meskipun sudah menggunakan firewall, keamanan harus tetap dipantau secara berkala.

 

 

4.7.5.1 Rekomendasi Sistem Pemantau

Tamu tak diundang (intruder) atau adanya serangan (attack). Nama lain dari sistem ini adalah “intruder detection system” (IDS). Sistem ini dapat memberitahu administrator melalui e-mail maupun melalui mekanisme lain seperti melalui pager.

 

Ada berbagai cara untuk memantau adanya intruder. Ada yang sifatnya aktif dan pasif. IDS cara yang pasif misalnya dengan memonitor logfile. Contoh software IDS antara lain:

  1. Autobuse, mendeteksi probing dengan memonitor logfile.
  2. Courtney dan portsentry, mendeteksi probing (port scanning) dengan memonitor packet yang lalu lalang. Portsentry bahkan dapat memasukkan IP penyerang dalam filter tcpwrapper (langsung dimasukkan kedalam berkas /etc/hosts.deny)
  3. Shadow dari SANS
  4. Snort, mendeteksi pola (pattern) pada paket yang lewat dan mengirimkan alert jika pola tersebut terdeteksi. Pola-pola atau rules disimpan dalam berkas yang disebut library yang dapat dikonfigurasi sesuai dengan kebutuhan.

 

 

          4.7.5.2 Rekomendasi Pemantau Integritas Sistem

Pemantau integritas sistem dijalankan secara berkala untuk menguji integritas sistem. Salah satu contoh program yang umum digunakan di sistem UNIX adalah program Tripwire. Program paket Tripwire dapat digunakan untuk memantau adanya perubahan pada berkas. Pada mulanya, tripwire dijalankan dan membuat database mengenai berkas-berkas atau direktori yang ingin kita amati beserta “signature” dari berkas tersebut.

 

Signature berisi informasi mengenai besarnya berkas, kapan dibuatnya, pemiliknya, hasil checksum atau hash (misalnya dengan menggunakan program MD5), dan sebagainya. Apabila ada perubahan pada berkas tersebut, maka keluaran dari hash function akan berbeda dengan yang ada di database sehingga ketahuan adanya perubahan.

 

 

          4.7.5.3 Rekomendasi Penggunaan Enkripsi

Salah satu mekanisme untuk meningkatkan keamanan adalah dengan menggunakan teknologi enkripsi. Data-data yang anda kirimkan diubah sedemikian rupa sehingga tidak mudah disadap. Banyak servis di Internet yang masih menggunakan “plain text” untuk authentication, seperti penggunaan pasangan userid dan password. Informasi ini dapat dilihat dengan mudah oleh program penyadap atau pengendus (sniffer).

 

Contoh servis yang menggunakan plain text antara lain:

  1. Akses jarak jauh dengan menggunakan telnet dan rlogin
  2. Transfer file dengan menggunakan FTP
  3. Akses email melalui POP3 dan IMAP4
  4. Pengiriman email melalui SMTP
  5. Akses web melalui HTTP

 

 

                      4.7.5.4 Rekomendasi Penggunaan Tellnet atau Shell Aman

Telnet atau remote login digunakan untuk mengakses sebuah “remote site” atau komputer melalui sebuah jaringan komputer. Akses ini dilakukan dengan menggunakan hubungan TCP/IP dengan menggunakan userid dan password. Informasi tentang userid dan password ini dikirimkan melalui jaringan komputer secara terbuka. Akibatnya ada kemungkinan seorang yang nakal melakukan “sniffing” dan mengumpulkan informasi tentang pasangan userid dan password ini.

 

Untuk menghindari hal ini, enkripsi dapat digunakan untuk melindungi adanya sniffing. Paket yang dikirimkan dienkripsi dengan algoritma DES atau Blowish (dengan menggunakan kunci session yang dipertukarkan via RSA atau Diffie-Hellman) sehingga tidak dapat dibaca oleh orang yang tidak berhak. Salah satu implementasi mekanisme ini adalah SSH (Secure Shell). Ada beberapa implementasi SSH ini, antara lain:

 

  1. SSH untuk UNIX (dalam bentuk source code, gratis, mengimplementasikan protokol SSH versi 1 dan versi 2)
  2. SSH untuk Windows95 dari Data Fellows (komersial, ssh versi 1 dan versi 2)
  3. TTSSH, yaitu skrip yang dibuat untuk Tera Term Pro (gratis, untuk Windows 95, ssh versi 1)
  4. Secure CRT untuk Windows95 (shareware / komersial)
  5. Putty (SSH untuk Windows yang gratis, ssh versi 1). Selain menyediakan ssh, paket putty juga dilengkapi dengan pscp yang mengimplementasikan secure copy sebagai pengganti FTP.

4.7.6 Pemasangan dan Konfigurasi Perangkat

4.7.6.1 Konfigurasi Scanning Port

Komunikasi antara layer aplikasi dengan TCP menggunakan port. Setiap port diidentifikasikan dengan suatu aplikasi. Gambar 3 memperlihatkan nomor port dan aplikasi yang bersesuaian. Misalnya ftp biasa menggunakan port 21, ssh (Secure Shell) menggunakan port 22, dan seterusnya.

Pekerjaan yang di lakukan oleh protokol TCP/IP dapat digambarkan sebagai berikut.

 

Sebuah web server misalnya http://www.company.com/ menangani permintaan dari sebuah browser misalnya Internet Explorer. File index.htm, hendak di kirim ke browser. Di TCP,

file index.htm, akan di pecah-pecah menjadi paket yang lebih kecil dan di beri tanda urutan paketnya, agar penerima dapat menggabungkan paket tersebut kembali. Tanda urutan paket disimpan dalam header TCP. Kemudian pada layer IP, di buat header lagi yang berisi alamat IP asal dan port asal, serta alamat IP dan port tujuan. Dari penjelasan ini dapat diambil kesimpulan bahwa layer transport dan layer internet, hanya mengolah header, pengolah data atau menjalankan program (data yang dimaksud dapat berupa data teks, gambar ataupun sebuah skrip/program) dilakukan di tingkat aplikasi. Dan port menjadi penting, karena port merupakan jalan masuk ke aplikasi tertentu. Port pada suatu server dapat dibuka atau ditutup seperlunya sesuai dengan aplikasi yang dilayani server tersebut, atau jenis komunikasi yang diperbolehkan melewati server tersebut.

Gambar diatas memperlihatkan SuperScan

yang dijalankan untuk mendeteksi IP (host) aktif pada range tertentu.

Pada percobaan pertama berkaitan dengan keamanan jaringan ini, akan dicobakan 2 hal. Dari sisi seseorang yang akan mencoba membobol keamanan suatu server (hacker) yaitu dengan melakukan pendeteksian port, dan dari sisi orang yang akan mengamankan komputernya dengan memblok port yang tidak diperlukan. Pendeteksi port yang dapat digunakan adalah Freeware (tersedia gratis), SuperScan yang dibuat oleh Robin Keir.

Gambar diatas memperlihatkan

pemeriksaan port-port yang terbuka pada suatu server.

 

 

 

 

 

4.7.6.2 Konfigurasi Sniffer

Program Sniffer yang digunakan adalah Network Monitor dari Distinct Corporation (http://www.distinct .com). Program ini merupakan versi trial yang berumur 10 hari. Di dalam komunikasi TCP/IP atau yang menggunakan model komunikasi 7 layer OSI, sebuah komputer akan mengirim data dengan alamat komputer tujuan. Pada sebuah LAN dengan topologi bus atau star dengan menggunakan hub yang tidak  dapat melakukan switch (hub tersebut melakukan broadcast), setiap komputer dalam jaringan tersebut menerima data tersebut. Standarnya hanya komputer dengan alamat yang bersesuaian dengan alamat tujuanlah yang akan mengambil data tersebut. Tetapi pada saat snif, komputer dengan alamat bukan alamat tujuan tetap mengambil data tersebut. Sebelum melakukan sniff, pertama kali adalah membuka adapter (ethernet card), agar mengambil semua data yang melewatinya, sekalipun bukan sebagai alamat tujuan. (Gambar 2)

Biasanya data yang melewati Adapter akan sangat banyak, untuk mempermudah pencarian, gunakan fasilitas filter seperti terlihat pada gambar 3.

Hasil dari sniff pada protokol POP (Post Office Propotocol), dapat dilihat pada gambar 4.

 

4.7.6.3 Pengacakan Data

Agar data tidak dapat disadap oleh orang lain, maka data yang hendak dikirim diacak (enkripsi) terlebih dahulu. Mekanisme Enkripsi yang akan digunakan pada percobaan ini adalah mekanisme yang menggunakan kunci publik. Pada mekanisme kunci publik, terdapat 2 macam kunci yaitu kunci privat dan kunci publik. Kunci publik dihasilkan (generate) oleh kunci privat milik kita. Untuk selanjutnya kunci publik disebar ke setiap orang yang akan berkomunikasi dengan kita. Di Internet terdapat beberapa server kunci publik (gambar 5), yang menyimpan kunci publik dari orang yang terdaftar di server tersebut. Publik key berfungsi untuk mengenkripsi, dan data hasil enkripsi ini hanya bisa dibuka oleh kunci privat yang menghasilkan kunci publik pengenkripsi tadi. (Gambar 6). Cara ini juga merupakan Sistem Kriptografi Asimetris. (Enkripsi dan dekripsi menggunakan kunci yang berbeda).

Langkah pertama sebelum dapat melakukan komunikasi dengan data yang teracak, adalah membuat kunci publik.

Gambar 1 sampai 9 di bawah ini, memperlihatkan proses pembuatan kunci publik.

Untuk pengatur kunci gunakan tool PGPKeys (gambar 8) dan PGPTools (gambar 9) untuk mengenkripsi serta men-dekripsi suatu file.

 

4.7.6.4 Enkripsi dan Dekripsi File

Enkripsi dapat dilakukan dengan meng-click kanan file yang akan diacak pada Windows Explorer (gambar 10).

 

Gambar 11 memperlihatkan file sebelum dienkripsi dan file setelah dienkrip.

 

Kebalikan dari enkripsi adalah dekripsi (gambar 12).

 

 

Untuk mendekripsi file diperlukan kunci privat (gambar 13)

Perbandingan file asli dengan file yang telah didekripsi (gambar 14).

 

 

 

 

 

 

BAB V

SUMBER – SUMBER YANG DIPERLUKAN UNTUK

 PENCAPAIAN KOMPETENSI

 

 

5.1 Sumber Daya Manusia

Dalam proses pencapaian kompetensi sumber yang dapat diandalkan adalah sumber daya manusia. Sumber daya manusia yang dimaksud disiini adalah orang-orang yang dapat mendukung proses pencapaian kompetensi yang dimaksud, antara lain:

 

  • Pembimbing

Pembimbing Anda merupakan orang yang dapat diandalkan karena beliau memiliki pengalaman. Peran Pembimbing adalah untuk :

  1. Membantu Anda untuk merencanakan proses belajar.
  2. Membimbing Anda melalui tugas-tugas pelatihan yang dijelaskan dalam tahap belajar.
  3. Membantu Anda untuk memahami konsep dan praktik baru dan untuk menjawab pertanyaan Anda mengenai proses belajar Anda.
  4. Membantu Anda untuk menentukan dan mengakses sumber tambahan lain yang Anda perlukan untuk belajar Anda.
  5. Mengorganisir kegiatan belajar kelompok jika diperlukan.
  6. Merencanakan seorang ahli dari tempat kerja untuk membantu jika diperlukan.

 

  • Penilai

Penilai Anda melaksanakan program pelatihan terstruktur untuk penilaian di tempat kerja. Penilai akan :

  1. Melaksanakan penilaian apabila Anda telah siap dan merencanakan proses belajar dan penilaian selanjutnya dengan Anda.
  2. Menjelaskan kepada Anda mengenai bagian yang perlu untuk diperbaiki dan merundingkan rencana pelatihan selanjutnya dengan Anda.
  3. Mencatat pencapaian / perolehan Anda.

 

  • Teman kerja/sesama peserta pelatihan

Teman kerja Anda/sesama peserta pelatihan juga merupakan sumber dukungan dan bantuan. Anda juga dapat mendiskusikan proses belajar dengan mereka. Pendekatan ini akan menjadi suatu yang berharga dalam membangun semangat tim dalam lingkungan belajar/kerja Anda dan dapat meningkatkan pengalaman belajar Anda.

 

5.2 Literatur

Disamping dengan belajar dengan orang-orang seperti yang disebutkan diatas, Anda tentu perlu juga terus menambah wawasan dan pengetahuan Anda dari sumber-sumber bacaan seperti buku-buku yang berkaitan dengan kompetensi yang Anda pilih, jurnal-jurnal, majalah, dan sebagainya.

 

Literatur dalam hal ini tentu bukan saja material berupa bacaan atau buku melainkan termasuk pula material-material lainnya yang menjadi pendukung proses pembelajaran ketika peserta pelatihan sedang menggunakan Pedoman Belajar ini. Misalnya rekaman dalam bentuk kaset, video, dan sebagainya.

 

Buku referensi, lembar kerja, tugas-tugas kerja juga dapat digunakan dalam proses pencapaian kompetensi. Peserta boleh mencari dan menggunakan sumber-sumber alternatif lain yang lebih baik atau sebagai pendukung tambahan atau jika ternyata sumber-sumber yang direkomendasikan dalam pedoman belajar ini tidak tersedia/tidak ada.

 

Untuk referensi mengenai materi-materi yang dapat digunakan, Anda dapat melihat dari Daftar Pustaka yang terlampir dihalaman terakhir modul ini.

 

 

5.3 Daftar Peralatan Dan Bahan Yang Digunakan

 

  1. Judul/Nama Pelatihan        :    Mengelola Keamanan Sistem Jaringan

 

  1. Kode Program Pelatihan    :    TIK.JK05.012.01

 

 

NO

UNIT

KOMPETENSI

KODE UNIT

DAFTAR PERALATAN

DAFTAR BAHAN

KETERANGAN

1.

Mengelola Keamanan Sistem Jaringan

TIK.JK05.012.01

- Unit PC (Personal Computer) dengan CD drive dan Floppy Disk.

- Server

- PC dengan sistem operasi Linux,  Windows XP / Windows 98 dan Windows Server 2000

- Keyboard dan mouse

-NIC, Modem, Secure Hub, Switch, Router, kabel jaringan.

 

- CD installer driver

- Buku informasi atau manual installation

- Buku informasi tentang jaringan

- Buku informasi tentang keamanan jaringan

 

-

 

 

 

 

 

 

 

 

DAFTAR PUSTAKA

 

 

  • Literatur:
    • Lipson, Howard F, Ph.D. “Tracking and Tracing Cyber-attack: Technical Challenges and Global Policy Issues”. CERTCoordinationCenter, November 2002
    • Richard H. Baker, “Network Security: how to plan for it and achieve it,” McGraw-Hill International, 1995

 

 

artikel lainnya Mengelola Keamanan Sistem Jaringan TIK.JK05.012.01

bebas bayar, pembayaran mudah dan cepat, transaksi online, pembayaran tagihan dan tiket, transfer dana online
Saturday 24 January 2015 | blog

YAYASAN PENDIDIKAN WARGA SURAKARTA SMA WARGA SURAKARTA Jl. Monginsidi 21 Surakarta, telp. 0271.638873   RENCANA PELAKSANAAN…

Tuesday 17 June 2014 | blog

PROGRAM PELATIHAN BERBASIS KOMPETENSI AKUNTANSI KOMPUTER   Kode Program Pelatihan  :        K.74.12.1.1.1.1.III.01     KEMENTERIAN TENAGA…

Thursday 1 January 2015 | blog

2.11          JUDUL UNIT KOMPETENSI          :  BERKOMUNIKASI LISAN DALAM BAHASA INGGRIS PADA TK. OPERASIONAL DASAR KODE…

Tuesday 4 August 2015 | blog

MATERI PELATIHAN BERBASIS KOMPETENSI SEKTOR TELEMATIKA SUB SEKTOR COMPUTER TECHNICAL SUPPORT     MENGOPERASIKAN CD-RW TIK.CS02.024.01…