mahasiswa komunikasi (su5w4nt0): 2007

Kamis, 08 November 2007

Metode-metode yang digunakan dalam network security

Ada banyak metode yang digunakan dalam network security antara lain :

1 Pembatasan akses pada network

Internal password authentication (password pada login system)

Password yang baik menjadi bagian yang paling penting namun sederhana dalam keamanan jaringan. Sebagian besar dari masalah network security disebabkan password yang buruk. Biasanya pembobolan account bisa terjadi hanya dengan menduga-duga passwordnya. Sedangkan bentuk yang lebih canggih lagi adalah dictionary guessing, yang menggunakan program dengan kamus terenkripsi, dibandingkan dengan password terenkripsi yang ada. Untuk itu, file /etc/passwd harus dilindungi, agar tidak dapat diambil dengan ftp atau tftp (berkaitan dengan file-mode). Bila hal itu bisa terjadi, maka tftp harus dinonaktifkan. Ada juga sistem yang menggunakan shadow password, agar password yang ter-enkripsi tidak dapat dibaca. Sering mengganti password dapat menjadi salah satu cara menghindari pembobolan password. Namun, untuk password yang bagus tidak perlu terlalu sering diganti, karena akan sulit mengingatnya. Sebaiknya password diganti setiap 3-6 bulan.

Server-based password authentication

Termasuk dalam metoda ini misalnya sistem Kerberos server, TCP-wrapper, dimana setiap service yang disediakan oleh server tertentu dibatasi dengan suatu daftar host dan user yang boleh dan tidak boleh menggunakan service tersebut.

Server-based token authentication

Metoda ini menggunakan authentication system yang lebih ketat, yaitu dengan penggunaan token / smart card, sehingga untuk akses tertentu hanya bisa dilakukan oleh login tertentu dengan menggunakan token khusus.

Firewall dan Routing Control

Firewall melindungi host-host pada sebuah network dari berbagai serangan. Meskipun aspek-aspek yang lain dalam jaringan tersebut juga menjadi faktor penentu tingkat keamanan jaringan secara keseluruhan, tetapi firewall atau routing control sangat berpengaruh pada kemanan jaringan tersebut secara keseluruhan.

Komputer dengan firewall menyediakan kontrol akses ketat antara sistem dengan sistem lain. Konsepnya, firewall mengganti IP router dengan sistem host multi-home, sehingga IP forwarding tidak terjadi antara sistem dengan sistem lain yang dihubungkan melalui firewall tsb. Agar jaringan internal dapat berhubungan dengan jaringan diluarnya dalam tingkat konektifitas tertentu, firewall menyediakan fingsi-fungsi tertentu.

Firewall mencegah paket IP diteruskan melalui layer IP. Namun, firewall menerima paket dan memprosesnya melalui layer aplikasi. Sebetulnya ada juga router yang mempunyai fasilitas keamanan khusus seperti firewall, dan biasanya disebut ‘secure router’ atau ‘secure gateway’. Namun firewall bukan router, karena tidak meneruskan (forwarding) paket IP. Firewall sebaiknya tidak digunakan untuk memisahkan seluruh jaringan internal dari jaringan luar.

Dengan adanya firewall, semua paket ke sistem di belakang firewall dari jaringan luar tidak dapat dilakukan langsung. Semua hubungan harus dilakukan dengan mesin firewall. Karena itu sistem keamanan di mesin firewall harus sangat ketat. Dengan demikian lebih mudah untuk membuat sistem keamanan yang sangat ketat untuk satu mesin firewall, daripada harus membuat sistem keamanan yang ketat untuk semua mesin di jaringan lokal (internal).

2 Metode enkripsi

Salah satu cara pembatasan akses adalah dengan enkripsi. Proses enkripsi meng-encode data dalam bentuk yang hanya dapat dibaca oleh sistem yang mempunyai kunci untuk membaca data. Proses enkripsi dapat dengan menggunakan software atau hardware. Hasil enkripsi disebut cipher. Cipher kemudian didekripsi dengan device dan kunci yang sama tipenya (sama hardware/softwarenya, sama kuncinya). Dalam jaringan, sistem enkripsi harus sama antara dua host yang berkomunikasi. Jadi diperlukan kontrol terhadap kedua sistem yang berkomunikasi. Biasanya enkripsi digunakan untuk suatu sistem yang seluruhnya dikontrol oleh satu otoritas.

3 Security Monitoring

Salah satu elemen penting dari keamanan jaringan adalah pemantauannya. Dengan adanya pemantauan yang teratur, maka penggunaan sistem oleh yang tidak berhak dapat dihindari. Selain itu, seiring dengan waktu, maka sistem pun berubah. Keamanan jaringan dapat terpengaruh oleh adanya perubahan ini. Hal ini dapat dideteksi dengan adanya pemantauan.

Untuk mendeteksi aktifitas yang tidak normal, maka perlu diketahui aktifitas yang normal. Proses apa saja yang berjalan pada saat aktifitas normal. Siapa saja yang biasanya login pada saat tersebut. Siapa saja yang biasanya login diluar jam kerja. Bila terjadi keganjilan, maka perlu segera diperiksa.

Bila hal-hal yang mencurigakan terjadi, maka perlu dijaga kemungkinan adanya intruder. Perlu juga memberitahu orang-orang yang biasa menggunakan sistem untuk berhati-hati, supaya masalah tidak menyebar ke sistem lain.

Network Security secara umum

Host/komputer yang terhubung ke network, mempunyai ancaman keamanan lebih besar daripada host yang tidak terhubung kemana-mana. Dengan mengendalikan network security, risiko tersebut dapat dikurangi. Namun network security biasanya bertentangan dengan network access, yaitu bila network access semakin mudah, maka network security makin rawan, dan bila network security makin baik, network access makin tidak nyaman. Suatu network didesain sebagai komunikasi data highway dengan tujuan meningkatkan akses ke sistem komputer, sementara security didesain untuk mengontrol akses. Penyediaan network security adalah sebagai aksi penyeimbang antara open access dengan security.

Disini network dikatakan sebagai highway, karena menyediakan akses yang sama untuk semua, baik pengguna normal ataupun tamu yang tidak diundang. Sebagai analogi, keamanan di rumah dilakukan dengan cara memberi kunci di pintu rumah, tidak dengan cara memblokir jalan di depan rumah. Hal seperti ini juga diterapkan pada network security. Keamanan dijaga untuk (setiap) host-host tertentu, tidak langsung pada networknya.

Keamanan untuk daerah dimana orang saling mengenal, pintu biasanya dibiarkan terbuka . Sedangkan di kota besar, pintu rumah biasanya menggunakan mekanisme keamanan tambahan. Begitu pula yang dilakukan pada network. Untuk jaringan yang menghubungkan host-host yang aman dan dikenal, tingkat keamanan host bisa tidak dijaga terlalu ketat. Bila jaringan terhubung ke jaringan lain yang lebih terbuka, dan membuka peluang akses oleh host yang tidak aman atau tidak dikenal, maka tidak bisa tidak, host-host di jaringan tersebut membutuhkan pengamanan lebih. Ini bukan berarti keterbukaan hanya membawa akibat buruk, sebab banyaknya fasilitas yang ditawarkan dengan keterbukaan jaringan ini merupakan nilai lebih yang sangat membantu kemajuan network. Jadi network security merupakan harga yang harus dibayar dari kemajuan jaringan komputer.

2.2 Konsep dalam network security

2.2.1 Perencanaan security

Salah satu problem network security yang paling penting, dan mungkin salah satu yang paling tidak enak, adalah menentukan kebijakan (security policy) dalam network security. Kebanyakan orang menginginkan solusi teknis untuk setiap masalah, berupa program yang dapat memperbaiki masalah-masalah network security. Padahal, perencanaan keamanan yang matang berdasarkan prosedur dan kebijakan dalam network security akan membantu menentukan apa-apa yang harus dilindungi, berapa besar biaya yang harus ditanamkan dalam melindunginya, dan siapa yang bertanggungjawab untuk menjalankan langkah-langkah yang diperlukan untuk melindungi bagian tersebut.

Mengenali ancaman terhadap network security

Langkah awal dalam mengembangkan rencana network security yang efektif adalah dengan mengenali ancaman yang mungkin datang. Dalam RFC 1244, Site security Handbook, dibedakan tiga tipe ancaman :

1. Akses tidak sah, oleh orang yang tidak mempunyai wewenang.

2. Kesalahan informasi, segala masalah yang dapat menyebabkan diberikannya informasi yang penting atau sensitif kepada orang yang salah, yang seharusnya tidak boleh mendapatkan informasi tersebut.

3. Penolakan terhadap service, segala masalah mengenai security yang menyebabkan sistem mengganggu pekerjaan-pekerjaan yang produktif.

Disini ditekankan network security dari segi perangkat lunak, namun network security sebenarnya hanyalah sebagian dari rencana keamanan yang lebih besar, termasuk rencana keamanan fisik dan penanggulangan bencana.

Kontrol terdistribusi

Salah satu pendekatan dalam network security adalah dengan mendistribusikan tanggung jawab kontrol terhadap segmen-segmen dari jaringan yang besar ke grup kecil dalam organisasi. Pendekatan ini melibatkan banyak orang dalam keamanan, dan berjalan berlawanan dengan prinsip kontrol terpusat.

Dalam kontrol terdistribusi, informasi dari luar disaring dahulu oleh admin network, kemudian disaring lagi oleh admin subnet, demikian seterusnya, sehingga user tidak perlu menerima terlalu banyak informasi yang tidak berguna. Bila informasi ke user berlebihan, maka user akan mulai mengabaikan semua yang mereka terima.

Menentukan security policy

Dalam network security, peranan manusia yang memegang tanggungjawab keamanan sangat berperan. Network security tidak akan efektif kecuali orang-orangnya mengetahui tanggungjawabnya masing-masing. Dalam menentukan network security policy, perlu ditegaskan apa-apa yang diharapkan, dan dari siapa hal tersebut diharapkan. Selain itu, kebijakan ini harus mencakup :

1. Tanggung jawab keamanan network user, meliputi antara lain keharusan user untuk mengganti passwordnya dalam periode tertentu, dengan aturan tertentu, atau memeriksa kemungkinan terjadinya pengaksesan oleh orang lain, dll.

2. Tanggung jawab keamanan system administrator, misalnya perhitungan keamanan tertentu, memantau prosedur-prosedur yang digunakan pada host.

3. Penggunaan yang benar sumber-sumber network, dengan menentukan siapa yang dapat menggunakan sumber-sumber tersebut, apa yang dapat dan tidak boleh mereka lakukan.

4. Langkah-langkah yang harus diperbuat bila terdeteksi masalah keamanan, siapa yang harus diberitahu. Hal ini harus dijelaskan dengan lengkap, bahkan hal-hal yang sederhana seperti menyuruh user untuk tidak mencoba melakukan apa-apa atau mengatasi sendiri bila masalah terjadi, dan segera memberitahu system administrator.