Sistem Keamanan Jaringan
Pada era globalisasi ini, keamanan
sistem jaringan berbasis Internet harus diperhatikan, karena jaringan
komputer Internet yang sifatnya publik dan global pada dasarnya tidak
begitu aman. Pada saat data terkirim dari suatu terminal yang satu ke
terminal yang lain dalam Internet, data itu akan melewati sejumlah
terminal yang lainnya yang berarti akan memberi kesempatan pada user
Internet yang lain untuk menyadap atau mengubah data tersebut.
Sistem keamanan jaringan komputer yang
terhubung ke Internet harus direncanakan dan dipahami dengan baik agar
dapat melindungi sumber daya yang berada dalam jaringan tersebut secara
efektif. Apabila ingin mengamankan suatu jaringan maka harus ditentukan
terlebih dahulu tingkat ancaman (threat) yang harus diatasi, dan resiko
yang harus diambil maupun yang harus dihindari. Berikut ini akan dibahas
mengenai ancaman (threat), kelemahan, dan kebijakan keamanan (security
policy) jaringan.
Pengertian Sistem Keamanan
a) Wi-Fi
Sekumpulan standar yang digunakan untuk Jaringan Lokal. Hal ini memungkinan seseorang dengan komputer.
b) Pusat data (bagian Infrastruktur Keamanan Data Center)
Digunakan untuk menempatkan sistem komputer dan komponen-komponen
terkaitnya, pencegah bahaya kebakaran, serta piranti keamanan fisik.
c) Jasakom
Memberikan pengertian dan kesadaran akan security di internet dan yang bermukim dibawah naungan para pakar keamanan komputer.
d) Antiglobalisasi
Budaya. keamanan makanan dan mengakhiri atau memperbarui
kapitalisme dengan pengertian-pengertian yang jelas-jelas rasis atau
fasis.
Ancaman Sistem Keamanan Jaringan
Pada dasarnya, ancaman itu datang dari seseorang yang mempunyai
keinginan untuk memperoleh akses ilegal ke dalam suatu jaringan
komputer. Oleh karena itu, harus ditentukan siapa saja yang
diperbolehkan mempunyai akses legal ke dalam sistem, dan ancaman-ancaman
yang dapat mereka timbulkan.
Ada beberapa tujuan yang ingin dicapai oleh penyusup dan, sangat
berguna apabila dapat membedakan tujuan-tujuan tersebut pada saat
merencanakan sistem keamanan jaringan komputer. Beberapa tujuan para
penyusup adalah:
1) Pada dasarnya hanya ingin tahu sistem dan data yang ada pada
suatu jaringan komputer yang dijadikan sasaran. Penyusup yang bertujuan
seperti ini sering disebut dengan The Curius.
2) Membuat sistem jaringan menjadi down, atau mengubah tampilan
situs web. Penyusup yang mempunyai tujuan seperti ini sering disebut
sebagai The Malicious.
3) Berusaha untuk menggunakan sumber daya di dalam sistem jaringan
komputer untuk memperoleh popularitas. Penyusup seperti ini sering
disebut sebagai The High-Profile Intruder.
4) Ingin tahu data apa saja yang ada di dalam jaringan komputer
untuk selanjutnya dimanfaatkan untuk mendapatkan uang. Penyusup seperti
ini sering disebut sebagai The Competition.
referensi : http://dhukunweb.blogspot.com/2012/06/sistem-keamanan-jaringan.html
Keamanan Jaringan
Pemakaian alat (termasuk program) dapat menyebabkan kerusakan baik
disengaja atau tidak. Pembatasan pemakaian bukan untuk mempersulit
tetapi supaya efisien dan tidak merusak.
Proteksi:
- Authentication
Pemakai harus dapat membuktikan dirinya. Contoh: user dan password.
Dalam sebuah jaringan ditambahkan sumber akses (komputer yang digunakan)
dengan asumsi bahwa pada suatu saat satu orang hanya dapat atau boleh
bekerja dengan satu komputer yang sama.
- Gateway
Gerbang masuk menuju sistem dengan firewall
- Attack
Serangan terhadap sistem.
- Authorization
Pemakai diperbolehkan menggunakan pelayanan dan resource sesuai dengan haknya.
- Monitoring
Pengawasan terhadap jaringan
- Komunikasi terenkripsi
Menggunakan enkripsi agar data tak dapat diintip
Metode-metode yang dapat diterapkan untuk membuat jaringan komputer menjadi lebih aman, antara lain:
– IDS / IPS
Intrusion Detection System (IDS) dan Intrusion Prevention System(IPS) adalah sistem yang
banyak digunakan untuk mendeteksi dan melindungi sebuah sistem keamanan dari serangan
oleh pihak luar maupun dalam.
Sebuah IDS dapat berupa IDS berbasiskan jaringan komputer
atau berbasiskan host. Pada IDS berbasiskan jaringan komputer, IDS akan
menerima kopi paket yang ditujukan pada sebuah host untuk
kemudian memeriksa paket-paket tersebut. Apabila ternyata ditemukan
paket yang berbahaya, maka IDS akan memberikan peringatan pada pengelola
sistem. Karena paket yang diperiksa hanyalah salinan dari paket yang
asli, maka sekalipun ditemukan paket yang berbahaya, paket tersebut akan
tetap mencapai host yang ditujunya.
Sebuah IPS bersifat lebih aktif daripada IDS. Bekerja sama denganfirewall,
sebuah IPS dapat memberikan keputusan apakah sebuah paket dapat
diterima atau tidak oleh sistem. Apabila IPS menemukan bahwa paket yang
dikirimkan adalah paket yang berbahaya, maka IPS akan memberitahu firewall sistem
untuk menolak paket data tersebut. Dalam membuat keputusan apakah
sebuah paket data berbahaya atau tidak, IDS dan IPS dapat mempergunakan
metode :
• Signature-based Intrusion Detection System
Pada metode ini, telah tersedia daftar signature yang dapat digunakan untuk menilai apakah paket yang dikirimkan berbahaya
atau tidak. Sebuah paket data akan dibandingkan dengan daftar yang
sudah ada. Metode ini akan melindungi sistem dari jenis-jenis serangan
yang sudah diketahui sebelumnya.
• Anomaly-based Intrusion Detection System
Pada metode ini, pengelola jaringan harus melakukan konfigurasi terhadap IDS dan IPS, sehingga IDS dan IPS dapat mengatahui
pola paket seperti apa saja yang akan
ada pada sebuah sistem jaringan komputer. Sebuah paket anomali adalah
paket yang tidak sesuai dengan kebiasaan jaringan komputer tersebut.
Apabila IDS dan IPS menemukan ada anomali pada paket yang diterima atau
dikirimkan, maka IDS dan IPS akan
memberikan peringatan pada pengelola jaringan (IDS) atau akan menolak
paket tersebut untuk diteruskan (IPS). Untuk metode ini, pengelola
jaringan harus terus-menerus memberi tahu IDS dan IPS bagaimana lalu
lintas
data yang normal pada sistem jaringan komputer tersebut, untuk menghindari adanya salah penilaian oleh IDS atau IPS.
Penggunaan IDS dan IPS pada sistem
jaringan komputer dapat mempergunakan sumber daya komputasi yang cukup
besar, dan khusus untuk IPS, dengan adanya IPS maka waktu
yang dibutuhkan sebuah paket untuk dapat mencapai host tujuannya menjadi semakin lama, tidak cocok untuk aplikasi-aplikasi yang membutuhkan pengiriman data secarareal-time. Selain itu IDS dan IPS masih membuka kesempatan untuk terjadinya false-postivedimana sebuah paket yang aman dinyatakan berbahaya dan false-negative dimana paket yang berbahaya dinyatakan aman. Untuk mengurangi tingkat false-positive dan false-negative, perlu dilakukan
pembaharuan secara rutin terhadap sebuah IDS dan IPS.
Dalam implementasinya, IDS adalah sebuah unit host yang terhubung pada sebuah hub/switch dan akan menerima salinan dari paket-paket yang diproses oleh hub/switchtersebut. Sedangkan untuk IPS biasanya diletakkan pada unit yang sama dengan firewall dan akan memproses paketpaket yang lewat melalui firewall tersebut. Sedangkan pada IDS berbasiskan host, IDS akan memeriksa aktivitassystem call, catatan kegiatan dan perubahan pada sistem berkas pada host tersebut untuk mencari anomali atau
keanehan yang menandakan adanya usaha dari pihak luar untuk menyusup kedalam sistem. IDS berbasiskan host akan membantu pengelola sistem untuk melakukan audit trail terhadap sistem apabila terjadi penyusupan dalam sistem.
Network Topology
Selain permasalahan aplikasi yang akan mempergunakan jaringan
komputer, topologi jaringan komputer juga memiliki peranan yang sangat
penting dalam keamanan jaringan komputer. Pembagian kelompok komputer
sesuai dengan tugas yang akan diembannya adalah suatu hal yang perlu
dilakukan. Dengan adanya pembagian kelompok-kelompok jaringan
komputer, apabila terjadi gangguan keamanan pada sebuah kelompok
jaringan komputer, tidak akan dengan mudah menyebar ke kelompok jaringan
komputer lainnya. Selain itu metode keamanan yang diterapkan pada
setiap kelompok jaringan komputer juga bisa berbeda-beda, sesuai dengan
peranannya masing-masing.
Secara mendasar, sebuah jaringan komputer dapat dibagi atas
kelompok jaringan eksternal (Internet atau pihak luar), kelompok
jaringan internal dan kelompok jaringan diantaranya atau yang biasa
disebut sebagai DeMilitarized Zone (DMZ). Komputer-komputer pada jaringan DMZ, adalah komputer-komputer yang perlu dihubungi secara langsung oleh pihak luar.
Contoh: web-server, mail exchange server dan name server.
Komputer-komputer pada jaringan DMZ harus dipersiapkan secara khusus, karena mereka akan terbuka dari pihak luar.
Aplikasi yang dipergunakan pada host-host pada DMZ harus merupakan aplikasi yang aman, terus menerus dipantau dan dilakukan update secara reguler.
Aturan-aturan yang berlaku adalah sebagai berikut :
• Pihak luar hanya dapat berhubungan dengan host-host yang berada pada jaringan DMZ, sesuai dengan kebutuhan yang ada. Secara default pihak luar tidak bisa melakukan hubungan dengan host-host pada jaringan DMZ.
• Host-host pada jaringan DMZ secara default tidak dapat melakukan hubungan dengan host-host pada jaringan internal. Koneksi secara terbatas dapat dilakukan sesuai dengan kebutuhan.
• Host-host pada jaringan internal dapat melakukan koneksi
secara bebas baik ke jaringan luar maupun ke jaringan DMZ. Pada beberapa
implementasi, untuk meningkatkan keamanan, host-host pada jaringan internal tidak dapat melakukan koneksi ke jaringan
luar, melainkan melalui perantara host pada jaringan DMZ, sehingga pihak luar tidak mengetahui keberadaan host-host pada jaringan komputer internal.
Selain meningkatkan keamanan, pembagian seperti ini juga menguntungkan karena penggunaan alamat IP yang lebih sedikit. Hanya host-host pada jaringan DMZ saja yang butuh untuk mempergunakan alamat IP publik internet, sedangkan untuk host-hostjaringan
internal bisa mempergunakan alamat IP privat. Hal ini terutama sangat
menguntungkan bagi organisasiorganisasi yang hanya mendapatkan sedikit
alokasi alamat IP yang dapat digunakan oleh organisasi tersebut dari service provider yang digunakan.
Kelemahan dari implementasi aturan-aturan yang ketat seperti ini
adalah ada beberapa aplikasi yang tidak dapat digunakan. Sebagai contoh,
untuk dapat melakukan video-conference ataupun audio-conference diperlukan koneksi langsung antara satu host denganhost lainnya. Dengan implementasi dimana pihak luar tidak dapat berhubungan dengan host pada jaringan internal,
maka host pada jaringan internal tidak dapat melakukan video-conference.
Selain itu, untuk organisasi yang cukup besar, adanya pembagian
lebih lanjut pada jaringan komputer internal akan lebih baik. Perlu
dibuat sebuah panduan mengenai interaksi apa saja yang mungkin dilakukan
dan dibutuhkan oleh satu bagian organisasi dengan bagian
organisasi lainnya melalui jaringan komputer. Setelah panduan dibuat,
maka interaksi-interaksi yang tidak diperlukan antar komputer pada
jaringan yang berbeda dapat dibatasi. Aturan dasar yang saat ini banyak
digunakan adalah untuk menutup semua pintu (
port) yang ada dan buka hanya yang dibutuhkan dan aman saja
http://hania21.wordpress.com/2013/02/14/beberapa-artikel-tentang-keamanan-jaringan/