Konsep Keamanan Jaringan
Keamanan jaringan sebagai bagian dari sebuah sistem informasi adalah sangat penting untuk menjaga validitas dan integritas data serta menjamin keterrsediaan layanan begi penggunanya. Sistem harus dilindungi dari segala macam serangan dan usaha-usaha penyusupan atau pemindaian oleh pihak yang tidak berhak.
Komputer yang terhubung ke jaringan mengalami ancaman
keamanan yang lebih besar daripada host yang tidak terhubung kemana-mana.
Dengan mengendalikan network security, resiko tersebut dapat dikurangi. Namun
network security biasanya bertentangan dengan network acces, karena bila
network acces semakin mudah, network security makin rawan. Bila network
security makin baik, network acces semakin tidak nyaman. Suatu jaringan
didesain sebagai komunikasi data highway dengan tujuan meningkatkan akses ke
sistem komputer, sementara keamanan didesain untuk mengontrol akses. Penyediaan
network security adalah sebagai aksi penyeimbang antara open acces dengan security.
Prinsif Keamanan Jaringan
Prinsif keamanan jaringan dapat dibedakan menjadi tiga,
yaitu :
a.
Kerahasiaan (secrecy)
Secrecy berhubungan dengan hak akses
untuk membaca data atau informasi dan suatu sistem computer. Dalam hal ini
suatu sistem komputer dapat dikatakan aman jika suatu data atau informasi hanya
dapat dibaca oleh pihak yang telah diberi hak atau wewenang secara legal.
b.
Integritas (integrity)
Integrity berhubungan dengan hak
akses untuk mengubah data atau informasi dari suatu sistem computer. Dalam hal
ini suatu sistem komputer dapat dikatakan aman jika suatu data atau informasi
hanya dapat diubah oleh pihak yang telah diberi hak.
c.
Ketersediaan (availability)
Availability berhubungan dengan
ketersediaan data atau informasi pada saat yang dibutuhkan. Dalam hal ini suatu
sistem komputer dapat dikatakan aman jika suatu data atau informasi yang
terdapat pada sistem komputer dapat diakses dan dimanfaatkan oleh pihak yang
berhak.
d.
Authentication
Aspek ini berhubungan dengan metoda
untuk menyatakan bahwa informasi betul-betul asli, orang yang mengakses atau
memberikan informasi adalah betul-betul orang yang dimaksud, atau server yang
kita hubungi adalah betul-betul server yang asli.
Untuk membuktikan keaslian dokumen
dapat dilakukan dengan teknologi watermarking dan digital signature. Sedangkan
untuk menguji keaslian orang atau server yang dimaksud bisa dilakukan dengan
menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya. Ada
tiga hal yang dapat ditanyakan kepada orang untuk menguji siapa dia :
* What you have (misalnya kartu
identitas ~KTP,SIM,dll~)
* What you know (misalnya PIN atau
password)
* What you are (misalnya sidik jari,
biometric, Captcha)
e.
Aspek Kontrol
Aspek kontrol merupakan fitur-fitur
keamanan yang mengontrol bagaimana user dan sistem berkomunikasi dan
berinteraksi dengan system dan sumberdaya yang lainnya. Akses kontrol
melindungi sistem dan sumberdaya dari akses yang tidak berhak dan umumnya
menentukan tingkat otorisasi setelah prosedur otentikasi berhasil dilengkapi.
Kontrol akses adalah sebuah term
luas yang mencakup beberapa tipe mekanisme berbeda yang menjalankan fitur
kontrol akses pada sistem komputer, jaringan, dan informasi. Kontrol akses
sangatlah penting karena menjadi satu dari garis pertahanan pertama yang
digunakan untuk menghadang akses yang tidak berhak ke dalam sistem dan
sumberdaya jaringan.
f.
Non-Repudiation
Aspek ini menjaga agar seseorang
tidak dapat menyangkal telah melakukan sebuah transaksi. Penggunaan digital
signature, certificates, dan teknologi kriptografi secara umum dapat menjaga
aspek ini. Akan tetapi hal ini masih harus didukung oleh hukum sehingga status
dari digital signature itu jelas legal.
Jenis Serangan Terhadap Keamanan Jaringan
Pada dasrnya, menurut jenisnya,
serangan terhadap suatu data dalam suatu jaringan dapat
dikategorikan menajdi 2, yaitu:
1.
Serangan Pasif
Merupakan serangan pada sistem autentikasi
yang tidak menyisipkan data pada aliran data, tetapi hanya mengamati atau
memonitor pengiriman informasi ke tujuan. Informasi ini dapat digunakan di lain
waktu oleh pihak yang tidak bertanggung jawab. Serangan pasif yang mengambil
suatu unit data kemudian menggunakannya untuk memasuki sesi autentikassi dengan
berpura-pura menjadi user yangg autentik / asli disebut dengan replay attack.
Beberapa informasi autentikasi seperti password atau data biometric yang
dikirim melalui transmisi elektronik dapat direkam dan kemudian digunakan untuk
memalsukann data yang sebenarnya. Serangan pasif inni sulit dideteksi kareena
penyerang tidak melakukan perubahan data. Oleh sebab itu untuk mengatasi
serangan pasif ini lebih ditekankan pada pencegahan daripada pendeteksiannya.
2.
Serangan Aktif
Merupakan serangan yang mencoba
memodifikasi data, mencoba mendapatkan autentikasi, atau mendapatkan
autentikasi dengan mengirimkan paket-paket data yang salah ke dalam data stream
atau dengan memodifikassi paket-paket yang melewati data stream. Kebalikan dari
serangan pasif, serangan aktif sulit untuk dicegah karena untuk melakukannya
dibutuhkan perlindungan fisik untuk semua fasilitass komunikassi dan
jalur-jalurnya setiap saat. Yang dapat dilakukan adalah mendeteksi dan
memulihkan keadaan yang disebabkan oleh serangan ini.
Bentuk-bentuk Ancaman :
1.
Memaksa masuk dan kamus password
Jenis ancaman keamanan jaringan ini
lebih umum disebut sebagai Brute Force and Dictionary, serangan ini adalah
upaya masuk ke dalam jaringan dengan menyerang database password atau menyerang
login prompt yang sedang active. Serangan masuk paksa ini adalah suatu upaya
untuk menemukan password dari account user dengan cara yang sistematis mencoba
berbagai kombinasi angka, huruf, atau symbol. Sementara serangan dengan
menggunakan metoda kamus password adalah upaya menemukan password dengan
mencoba berbagai kemungkinan password yang biasa dipakai user secara umum
dengan menggunakan daftar atau kamus password yang sudah di-definisikan
sebelumnya.
Untuk mengatasi serangan keamanan jaringan dari jenis ini anda seharusnya mempunyai suatu policy tentang pemakaian password yang kuat diantaranya untuk tidak memakai password yang dekat dengan kita missal nama, nama anak, tanggal lahir dan sebagainya. Semakin panjang suatu password dan kombinasinya semakin sulit untuk diketemukan. Akan tetapi dengan waktu yang cukup, semua password dapat diketemukan dengan metoda brute force ini.
2.
Denial of Services (DoS)
Deniel of Services (DoS) ini adalah salah
satu ancaman keamanan jaringan yang membuat suatu layanan jaringan jadi mampet,
serangan yang membuat jaringan anda tidak bisa diakses atau serangan yang
membuat system anda tidak bisa memproses atau merespon terhadap traffic yang
legitimasi atau permintaan layanan terhadap object dan resource jaringan.
Bentuk umum dari serangan Denial of Services ini adalah dengan cara mengirim
paket data dalam jumlah yang sangat bersar terhadap suatu server dimana server
tersebut tidak bisa memproses semuanya. Bentuk lain dari serangan keamanan
jaringan Denial of Services ini adalah memanfaatkan telah diketahuinya celah
yang rentan dari suatu operating system, layanan-2, atau applikasi-2.
Exploitasi terhadap celah atau titik lemah system ini bisa sering menyebabkan
system crash atau pemakaian 100% CPU.
Tidak semua Denial of Services ini adalah merupakan akibat dari serangan keamanan jaringan. Error dalam coding suatu program bisa saja mengakibatkan kondisi yang disebut DoS ini. Disamping itu ada beberapa jenis DoS seperti:
a.
Distributed Denial of Services (DDoS),
terjadi saat penyerang berhasil meng-kompromi beberapa layanan system dan
menggunakannya atau memanfaatkannya sebagai pusat untuk menyebarkan serangan
terhadap korban lain.
b.
Ancaman keamanan jaringan
Distributed refelective deniel of service (DRDoS) memanfaatkan operasi normal
dari layanan Internet, seperti protocol-2 update DNS dan router. DRDoS ini
menyerang fungsi dengan mengirim update, sesi, dalam jumlah yang sangat besar
kepada berbagai macam layanan server atau router dengan menggunakan address
spoofing kepada target korban.
c.
Serangan keamanan jaringan dengan
membanjiri sinyal SYN kepada system yang menggunakan protocol TCP/IP dengan
melakukan inisiasi sesi komunikasi. Seperti kita ketahui, sebuah client
mengirim paket SYN kepada server, server akan merespon dengan paket SYN/ACK
kepada client tadi, kemudian client tadi merespon balik juga dengan paket ACK
kepada server. Ini proses terbentuknya sesi komunikasi yang disebut Three-Way
handshake yang dipakai untuk transfer data sampai sesi tersebut berakhir.
Kebanjiran SYN terjadi ketika melimpahnya paket SYN dikirim ke server, tetapi
si pengirim tidak pernah membalas dengan paket akhir ACK.
d.
Serangan keamanan jaringan dalam
bentuk Smurf Attack terjadi ketika sebuah server digunakan untuk membanjiri
korban dengan data sampah yang tidak berguna. Server atau jaringan yang dipakai
menghasilkan response paket yang banyak seperti ICMP ECHO paket atau UDP paket
dari satu paket yang dikirim. Serangan yang umum adalah dengan jalan
mengirimkan broadcast kepada segmen jaringan sehingga semua node dalam jaringan
akan menerima paket broadcast ini, sehingga setiap node akan merespon balik
dengan satu atau lebih paket respon.
e.
Serangan keamanan jaringan Ping of
Death, adalah serangan ping yang oversize. Dengan menggunakan tool khusus, si
penyerang dapat mengirimkan paket ping oversized yang banyak sekali kepada
korbannya. Dalam banyak kasus system yang diserang mencoba memproses data
tersebut, error terjadi yang menyebabkan system crash, freeze atau reboot. Ping
of Death ini tak lebih dari semacam serangan Buffer overflow akan tetapi karena
system yang diserang sering jadi down, maka disebut DoS attack.
f.
Stream Attack terjadi saat banyak
jumlah paket yang besar dikirim menuju ke port pada system korban menggunakan
sumber nomor yang random.
3.
Spoofing
Spoofing adalah seni untuk menjelma menjadi
sesuatu yang lain. Spoofing attack terdiri dari IP address dan node source atau
tujuan yang asli atau yang valid diganti dengan IP address atau node source
atau tujuan yang lain.
4.
Serangan Man-in-the-middle
Serangan keamanan jaringan
Man-in-the-middle (serangan pembajakan) terjadi saat user perusak dapat
memposisikan diantara dua titik link komunikasi.
* Dengan jalan mengkopy atau menyusup
traffic antara dua party, hal ini pada dasarnya merupakan serangan penyusup.
* Para penyerang memposisikan dirinya dalam
garis komunikasi dimana dia bertindak sebagai proxy atau mekanisme
store-and-forwad (simpan dan lepaskan).
Para penyerang ini tidak tampak pada kedua sisi link komunikasi ini dan bisa mengubah isi dan arah traffic. Dengan cara ini para penyerang bisa menangkap logon credensial atau data sensitive ataupun mampu mengubah isi pesan dari kedua titik komunikasi ini.
Para penyerang ini tidak tampak pada kedua sisi link komunikasi ini dan bisa mengubah isi dan arah traffic. Dengan cara ini para penyerang bisa menangkap logon credensial atau data sensitive ataupun mampu mengubah isi pesan dari kedua titik komunikasi ini.
5.
Spamming
Spam yang umum dijabarkan sebagai email
yang tak diundang ini, newsgroup, atau pesan diskusi forum. Spam bisa merupakan
iklan dari vendor atau bisa berisi kuda Trojan. Spam pada umumnya bukan
merupakan serangan keamanan jaringan akan tetapi hampir mirip DoS.
6.
Sniffer
Suatu serangan keamanan jaringan dalam
bentuk Sniffer (atau dikenal sebagai snooping attack) merupakan kegiatan user
perusak yang ingin mendapatkan informasi tentang jaringan atau traffic lewat
jaringan tersebut. suatu Sniffer sering merupakan program penangkap paket yang bisa
menduplikasikan isi paket yang lewat media jaringan kedalam file. Serangan
Sniffer sering difokuskan pada koneksi awal antara client dan server untuk
mendapatkan logon credensial, kunci rahasia, password dan lainnya.
7.
Crackers
Ancaman keamanan jaringan Crackers adalah
user perusak yang bermaksud menyerang suatu system atau seseorang. Cracker
bisasanya termotivasi oleh ego, power, atau ingin mendapatkan pengakuan. Akibat
dari kegiatan hacker bisa berupa pencurian (data, ide, dll), disable system, kompromi
keamanan, opini negative public, kehilangan pasar saham, mengurangi keuntungan,
dan kehilangan produktifitas.
Konsep VPN
VPN (Virtual
Private Network) adalah suatu jaringan komunikasi yang dimiliki secara pribadi
oleh suatu perusahaan/organisasi yang masih menggunakan medium internet untuk
menghubungkan antara suatu lokasi ke lokasi yang lain secara aman.
Bagaimana VPN bekerja?
Untuk komunikasi yang cepat selalunya VPN akan
menggunakan ‘dedicated leased line’ dalam rangkainnya antar lokasi. Konsep
kerja VPN hampir sama dengan konsep
jaringan lainnya, yang membedakan hanyalah ia digunakan untuk/pada kalangan
tertentu saja (private).
sebagai contoh perusahaan A memiliki beberapa
cabang tersebar di beberapa propinsi di Indonesia, dan pihak manajemen ingin
semua lokasi cabang terhubung dengan menggunakan jaringan komunikasi yang sama,
cepat, dan aman untuk memudahkan perhubungan bisnis/kerjanya. Jadi, hanya
staf-staf A saja yang bisa menggunakan jaringan VPN
yang telah didaftarkan tersebut, dan hanya bisa pada lokasi-lokasi yang telah
ditentukan saja (berdasarkan IP).
Fungsi dan Manfaat VPN
Teknologi VPN memiliki tiga fungsi
utama, di antaranya adalah :
a.
Confidentially (Kerahasiaan)
Teknologi VPN merupakan teknologi
yang memanfaatkan jaringan publik yang tentunya sangat rawan terhadap pencurian
data. Untuk itu, VPN menggunakan metode enkripsi untuk mengacak data yang
lewat. Dengan adanya teknologi enkripsi itu, keamanan data menjadi lebih
terjamin. Walaupun ada pihak yang dapat menyadap data yang melewati internet
bahkan jalur VPN itu sendiri, namun belum tentu dapat membaca data tersebut,
karena data tersebut telah teracak. Jadi, confidentially ini dimaksudkan agar
informasi yang ditransmisikan hanya boleh diakses oleh sekelompok pengguna yang
berhak.
b.
Data Integrity (Keutuhan Data)
Ketika melewati jaringan internet,
sebenarnya data telah berjalan sangat jauh melintasi berbagai negara. Pada saat
perjalanan tersebut, berbagai gangguan dapat terjadi terhadap isinya, baik
hilang, rusak, ataupun dimanipulasi oleh orang yang tidak seharusnya. Pada VPN
terdapat teknologi yang dapat menjaga keutuhan data mulai dari data dikirim
hingga data sampai di tempat tujuan.
c.
Origin Authentication (Autentikasi
Sumber)
Teknologi VPN memiliki kemampuan
untuk melakukan autentikasi terhadap sumber-sumber pengirim data yang akan
diterimanya. VPN akan melakukan pemeriksaan terhadap semua data yang masuk dan
mengambil informasi dari sumber datanya. Kemudian, alamat sumber data tersebut
akan disetujui apabila proses autentikasinya berhasil. Dengan demikian, VPN
menjamin semua data yang dikirim dan diterima berasal dari sumber yang
seharusnya. Tidak ada data yang dipalsukan atau dikirim oleh pihak-pihak lain.
MANFAAT
VPN pada dasarnya adalah menambahkan
perlindungan dan keamanan untuk semua aktivitas online Anda, segala sesuatu
yang Anda lakukan pada komputer Anda yang menggunakan Internet.
Sebuah VPN (virtual private network)
menciptakan sebuah "terowongan" yang sangat aman yang tidak dapat
dicegat dengan cara apapun. Sebuah VPN melindungi Anda dengan menyembunyikan
alamat IP tujuan Anda dengan satu anonim sebagai gantinya.
Selain itu, siapapun termasuk penjahat bisa memonitor
tindakan online Anda ketika Anda menggunakan koneksi nirkabel di hotspot WiFi
publik seperti di kampus atau kafe. Sebuah
VPN anonim akan menjaga semua lalu lintas dari dan ke komputer Anda dengan
enkripsi.Data
dienkripsi sekarang benar-benar berguna bagi siapa saja karena tidak dapat
diuraikan oleh cracker.
Contoh Implementasi VPN
Contoh
implementasi VPN adalah :
-
Implementasi
VPN pada Shorewall dengan metode GRE dan IPIP tunnels.