3.16.2 menentukan konfigurasi sistem keamanan jaringan

Keamanan jaringan adalah suatu cara atau suatu system yang digunakan untuk memberikan proteksi atau perlindungan pada suatu jaringan agar terhindar dari berbagai ancaman luar yang mampu merusak jaringan. Tujuan membuat keamanan jaringan adalah untuk mengantisipasi resiko jaringan berupa bentuk ancaman fisik maupun logic baik langsung ataupun tidak langsung yang dapat mengganggu aktivitas yang sedang berlangsung dalam jaringan.

Satu hal yang perlu diingat bahwa tidak ada jaringan yang anti sadap atau tidak ada jaringan yang benar-benar aman. karna sifat jaringan adalah melakukan komuikasi, dan setiap komunikasi dapat jatuh ke tangan orang lain dan di salah gunakan. Oleh sebab itu keamanaan jaringan sangatlah dibutuhkan.

Yang harus dilakukan ialah mengenal beberapa ancaman keamanan jaringan. Serangan terhadap keamanan sistem informasi (security attack) akhir-akhir ini seringkali terjadi kejahatan komputer/cyber crime pada dunia maya seringkali di lakuka oleh kelompok orang yang ingin menembus suatu keaman sebuah sistem. Ada beberapa kemungkinan tipe dari serangan yang dilakuka oleh penyerang yaitu :

1. Interception yaitu pihak yang tidak mempunyai wewenang telah berhasil mendapatkan hak akses informasi.
2. Interruption yaitu penyerang yang telah dapat menguasai sistem, tetapi tidak keseluruhan. Karna admin yang asli masih bisa login.
3. Fabrication yaitu penyerang telah menyisipkan objek palsu ke dalam sistem target.
4. Modification yaitu penyerang telah merusak sistem dan telah mengubah secara keseluruhan.

Metode Keamanan Jaringan

Dalam merencanakan suatu sistem keamanan jaringan, ada beberapa metode yang dapat di tetapkan, metode-metode tersebut adalah sebagai berikut :

1. Pembatasan akses pada suatu jaringan
   Ada beberapa konsep dalam pembatasan akses jaringan, yakni sebagai berikut :

• Internal password authentication : Password local untuk login ke sitem harus merupakan password yang baik serta di jaga dengan baik. Pengguna aplikasi shadow password akan sangat membantu.
• Server Based password authentication : termasuk metode ini misalnya sistem kerbros server,TCP-wrapper, dimana setiap service yang di sediakan oleh server tertentu dengan suatu daftar host dan user yang boleh dan tidak boleh menggunakan service tersebut.
• Server-based token authentication : metoda ini menggunakan authentication system yang lebih ketat, yaitu dengan menggunakan token / smart card, sehingga untuk akses tertentu hanya bisa dilakukan oleh login tertentu dengan mengggunakan token khusus.
• Firewall dan Routing Control : Firewall melindungi host-host pada sebuah network dari berbagai serangan. Dengan adanya firewall semua paket ke sistem di belakang firewall dari jaringan luar tidak dapat dilakukan langsung. Semua hubungan harus dilakukan dengn mesin firewall.

2. Menggunakan metode dan mekanisme tertentu
   Yakni sebagai berikut :

• Enkripsi : Salah satu pembatasan akses adalah dengan enkripsi. Proses enkripsi mengcode data dalam bentuk yang hanya dapat dibaca oleh sistem yang mempunyai kunci untuk membaca data.
• Terminologi Kriptografi : Kriptografi (cryptography) merupakan ilmu dan seni untuk menjaga pesan agar aman.
• Terminology Enskripsi-Deskripsi : Proses yang digunakan untuk mengamankan sebuah pesan (yang disebut plaintext) menjadi pesan yang tersembunyi (disebut cipertext) adalah enkripsi (encryption). Chipertext adalah sebuah pesan yang sudah tidak dapat dibaca dengan mudah.
• Digital Signature : Digunakan untuk menyediakan authentication, perlindungan, integritas, dan non-repudiation.
• Algoritma Checksum/Hash : Digunakan untuk menyediakan perlindungan integritas, dan dapat menyediakan authentication. Satu atau lebih mekanisme dikombinasikan untuk menyediakan security service.

Dengan adanya pemantauan yang teratur maka penggunaan sistem oleh  yang tidak berhak dapat dihindari / cepat diketahui . untuk mendeteksi aktifitas yang tidak normal, maka perlu diketahui aktivitas yang normal. Bila hal-hal yang mencurigakan terjadi , maka perlu dijaga kemungkinan adanya intruder.

Metodologi keamanan informasi bertujuan untuk meminimalisasi kerusakan dan memelihara keberlangsungan bisnis dengan memerhatikan semua kemungkinan kelemahan  dan ancaman terhadap asset informasi. Untuk menjamin keberlangsungan bisnis, metodologi keamanan informasi berusaha memastikan kerahasiaan, integritas dan ketersediaan asset informasi internal.

Ada dua elemen utama pembentuk keamanan jaringan :

1. Tembok pengaman (baik secara fisik maupun maya), yaitu suatu cara untuk memberikan proteksi atau perlindungan pada jaringan, baik secara fisik (kenyataan) maupun maya (menggunakan software).
2. Rencana pengamanan, yaitu suatu rancangan yang nantinya akan di implementasikan untuk melindungi jaringan agar terhindar dari berbagai ancaman dalam jaringan.

 Klasifikasi Serangan ke Jaringan Komputer

Menurut David Icone, dilihat dari lubang keamanan yang ada pada suatu sistem, keamanan dapat diklasifikasikan menjadi empat macam :

• Keamanan fisik (Physical Security)
  Suatu keamanan yang meliputi seluruh sistem beserta peralatan, peripheral, dan media yang digunakan. Biasanya seorang penyerang akan melakukan wiretapping (proses pengawasan dan penyadapan untuk mendapatkan password agar bisa memiliki akses).

• Keamanan Data dan Media
  Pada keamanan ini penyerang akan memanfaatkan kelemahan yang ada pada software yang digunakan untuk mengolah data.Cara lainya adalah dengan memasang backdoor atau Trojan horse pada sistem target.

• Keamanan Dari Pihak Luar
  Memanfaatkan factor kelemahan atau kecerobohan dari orang berpengaruh (memiliki hak akses) merupakan salah satu tindakan yang diambil oleh seorang hacker maupun cracker untuk dapat masuk pada sistem yang menjadi targetnya.

• Keamanan dalam Operasi
  Merupakan salah satu prosedur untuk mengatur segala sesuatu yang berhubungan dengan sistem keamanan pasca serangan. Dengan demikian sistem tersebut dapat berjalan baik atau menjadi normal kembali.

Beberapa Alasan keamanan jaringan sangat penting karena :

• Dapat menjaga informasi dari orang yang tidak berhak megakses.
  Contoh : data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social security, number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya).
• Informasi tidak boleh diubah tanpa seijin pemilik informasi.
  Contoh :  e-mail di intercept di tengah jalan, diubah isinya, kemudian diteruskan ke alamat yang dituju.
• Berhubungan dengan ketersediaan informasi ketika dibutuhkan.
  Contoh : dimana server dikirimi permintaan (biasanya palsu) yang bertubi-tubi atau permintaan lain atau bahkan sampai down, hang, crash.

Syarat-syarat keamanan jaringan :

• Prevention (pencegahan).
  Akses yang tidak diinginkan kedalam jaringan komputer dapat dicegah dengan memilih dan melakukan konfigurasi layanan (services) yang berjalan dengan hati-hati
• Observation (observasi).
  Perawatan jaringan komputer harus termasuk melihat isi log yang tidak normal yang dapat merujuk ke masalah keamanan yang tidak terpantau. System IDS dapat digunakan sebagai bagian dari proses observasi tetapi menggunakan IDS seharusnya tidak merujuk kepada ketidak-pedulian pada informasi log yang disediakan.
• Response (respon).
  Bila sesuatu yang tidak diinginkan terjadi dan keamanan suatu system telah berhasil sisusupi , maka personil perawatan harus segera mengambil tindakan. Tergantung pada proses produktifitas dan masalah yang menyangkut dengan keamanan maka tindakan yang tepat harus segera dilaksanakan.

Kategori keamanan jaringan :

• Suatu aset dari suatu sistem diserang sehingga menjadi tidak tersedia atau tidak dapat dipakai oleh yang berwenang. Contoh : perusakan/modifikasi terhadap piranti keras atau saluran jaringan
• Suatu pihak yang tidak berwenang mendapatkan akses pada suatu aset. Pihak yang dimaksud bisa seperti orang, program, atau sistem yang lain.Contoh : penyadapan terhadap data dalam suatu jaringan.
• Suatu pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contoh : pengiriman pesan palsu kepada orang lain.

Aspek-aspek Pada Keamanan Jaringan

• Confidentiality : adalah pencegahan bagi mereka yang tidak berkepen-tingan dapat mencapai informasi. Secara umum dapat disebutkan bahwa kerahasiaan mengandung makna bahwa informasi yang tepat terakses oleh mereka yang berhak ( dan bukan orang lain), sama analoginya dengan e-mail maupun data-data perdagangan dari perusahaan.
• Integrity : adalah pencegahan bagi mereka yang tidak berkepen-tingan dapat mencapai informasi. Secara umum maka integritas ini berarti bahwa informasi yang tepat dimana-mana dalam sistem atau mengikuti istilah “messaging” tidak terjadi cacat maupun terhapus dalam perjalananya dari penyaji kepada para penerima yang berhak.
• Availability : adalah punya pencegahan ditahannya informasi atau sumber daya terkait oleh mereka yang tidak berhak. Secara umum maka makna yang dikandung adalah bahwa informasi yang tepat dapat diakses bila dibutuhkan oleh siapapun yang memiliki legitimasi untuk tujuan ini. Berkaitan dengan “messaging system” maka pesan itu harus dapat dibaca oleh siapapun yang dialamatkan atau yang diarahkan, sewaktu mereka ingin membacanya.
• Non-repudiation : aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah antraksi.
• Authentication : adalah satu langkah yang menentukan atau mengonfirmasi bahwa seseorang (atau suatu) adalah autentik atau asli. Melakukan autentikasi terhadap sebuah objek adalah melakukan konfirmasi terhadap kebenaranya. Sedangkan melakukan autentikasi terhadap seseorang biasanya adalah untuk memverivikasi identitasnya. Pada suatu sistem computer, autentikasi biasanya terjadi pada saat login atau permintaan akses.
• Acces Control : adalah sebuah metode untuk mentransmisikan sinyal yang dimiliki oleh node-node yang terhubung ke jaringan tanpa terjadi konflik(hak akses).
• Accountability : adalah pembatasan akses untuk memasuki beberapa lokasi. Proses akses Control ditunjukan untuk memastikan bahwa hanya orang-orang yang berwenang dan punya alasan yang absah, terkait dengan operasi dan bisnis, mendapatkan ijin, memahami dan memenuhi persyaratan yang ditentukan untuk masuklah yang dapat memasuki atau bekerja di dalam fasilitas. Hal ini dimaksudkan agar keselamatan dan keamanan fasilitas, dan orang-orang yang berada di dalamnya dapat terjamin

Manfaat Keamanan Jaringan

Dibawah ini merupakan beberapa manfaat jaringan.

• Resource sharing : dapat menggunakan sumber daya yang secara bersama-sama.
  Contoh : seorang pengguna yang di 100 km jauhnya dari suatu data, tidak mendapatkan kesulitan  dalam menggunakan data tersebut dan seolah-olah data tersebut berada di dekatnya.

• Reliabilitas tinggi : dengan jaringan komputer kita akan mendapatkan reliabilitas yang tinggi dengan memiliki sumber-sumber alternative persediaan.
  Contoh : semua file dapat disimpan atau di copy ke dua, ketiga, atau lebih komputer yang terkoneksi ke jaringan. Sehingga bila satu mesin rusak maka salinan di mesin lain bisa digunakan.

• Menghemat uang : komputer berukuran kecil mempunyai rasio harga/kinerja yang lebih baik dibandingkan dengan komputer yang besar.

4.16.3 membuat laporan konfigurasi sistem keamanan

1. Tujuan Praktikum

• Mengenalkan pada mahasiswa tentang konsep dasar firewall
• Mahasiswa mampu melakukan proses filtering menggunakan iptables

2. Dasar Teori

Pada Firewall adalah sistem atau sekelompok sistem yang menetapkan kebijakan kendali akses antara dua jaringan. Secara prinsip, firewall dapat dianggap sebagai sepasang mekanisme : yang pertama memblok lalu lintas, yang kedua mengijinkan lalu lintas jaringan. Firewall dapat digunakan untuk melindungi jaringan anda dari serangan jaringan oleh pihak luar, namun firewall tidak dapat melindungi dari serangan yang tidak melalui firewall dan serangan dari seseorang yang berada di dalam jaringan anda, serta firewall tidak dapat melindungi anda dari program-program aplikasi yang ditulis dengan buruk.

Secara umum, firewall biasanya menjalankan fungsi:

• Analisa dan filter paket

Data yang dikomunikasikan lewat protokol di internet, dibagi atas paket-paket. Firewall dapat menganalisa paket ini, kemudian memperlakukannya sesuai kondisi tertentu. Misal, jika ada paket a maka akan dilakukan b. Untuk filter paket, dapat dilakukan di Linux tanpa program tambahan.

• Bloking isi dan protokol

REPORT THIS AD

Firewall dapat melakukan bloking terhadap isi paket, misalnya berisi applet Jave, ActiveX, VBScript, Cookie.

• Autentikasi koneksi dan enkripsi

Firewall umumnya memiliki kemampuan untuk menjalankan enkripsi dalam autentikasi identitas user, integritas dari satu session, dan melapisi transfer data dari intipan pihak lain. Enkripsi yang dimaksud termasuk DES, Triple DES, SSL, IPSEC, SHA, MD5, BlowFish, IDEA dan sebagainya.

Secara konseptual, terdapat dua macam firewall yaitu :

• Network level

Firewall network level mendasarkan keputusan mereka pada alamat sumber, alamat tujuan dan port yang terdapat dalam setiap paket IP. Network level firewall sangat cepat dan sangat transparan bagi pemakai. Application level firewall biasanya adalah host yang berjalan sebagai proxy server, yang tidak mengijinkan lalu lintas antar jaringan, dan melakukan logging dan auditing lalu lintas yang melaluinya

• Application level.

Application level firewall menyediakan laporan audit yang lebih rinci dan cenderung lebih memaksakan model keamanan yang lebih konservatif daripada network level firewall. Firewall ini bisa dikatakan sebagai jembatan. Application-Proxy Firewall biasanya berupa program khusus, misal squid

3. Langkah Percobaan

Membangun desain jaringan seperti gambar dibawah ini :

• Guest OS 1 : memiliki dua interface jaringan yaitu bridge adapter (dhcp) dan host only (192.168.184.100)
• Guest OS 2 : memiliki satu interface jaringan yaitu host only (192.168.184.101)
• Guest OS 3 : memiliki satu interface jaringan yaitu host only (192.168.184.102)

• HOST OS

1. Masuk sebagai root

Sebelum melakukan percobaan ini, pastikan telah masuk sebagai root dengan menggunakan perintah dibawah ini, untuk password yang dimasukkan disesuaikan dengan password dari user.

# sudo su

REPORT THIS AD

2. Mengubah konfigurasi dhcp untuk VMware Player dengan cara menonaktifkan (memberi tanda # pada awal baris) semua baris yang ada di file dhcp.conf. Sehigga IP Address dari vmware dapat dikonfigurasi secara statis. Adapun perintah yang digunakan adalah :

# nano /etc/vmware/vmnet1/dhcp/dhcp.conf

3. Restart VMWare

Untuk memastikan konfigurasi telah tersimpan maka dilakukan restart pada vmware dengan menggunakan perintah :

# service vmware restart

4. Cek IP Address

Langkah berikutnya yaitu melihat alamat IP vmnet1 pada terminal OS. Alamat IP itulah yang nantinya akan digunakan untuk melakukan konfigurasi alamat IP VMware player secara statis. Adapaun perintah yang digunakan adalah :

# ifconfig

• GUEST OS 1

1. Mengubah konfigurasi interface eth1 menjadi statis

Mengubah alamat IP dari eth1 menjadi statis dengan cara mengubah file /etc/network/interfaces. Adapun alamat IP dari eth1 adalah 192.168.184.100. Alamat 192.168.184.0/24 diambil dari alamat IP dari vmnet1 yang ada di Host OS.

2. Cek IP Address

REPORT THIS AD

Melakukan cek pada alamat IP apakah sudah sesuai dengan konfigurasi yang telah kita lakukan.

Guest OS1 memiliki dua interfaces yaitu bridge adapter (eth0) dan Host Only (eth1). Alamat IP dari eth0 berasal dari dhcp client. Sedangkan alamat IP dari eth1 berasal konfigurasi yang telah dilakukan pada file /etc/network/interfaces.

3. Mencoba ping Jaringan Lab

Melakukan ping pada jaringan Lab

4. Mencoba ping 192.168.184.1

• GUEST OS 2 dan GUEST OS 3

1. Mengubah interface eth0 menjadi statis

REPORT THIS AD

Mengubah alamat IP dari eth0 menjadi statis dengan cara melakukan konfigurasi pada file /etc/ network/interfaces. Adapun alamat IP dari Guest OS 2 adalah 192.168.184.101. Sedangkan alamat IP dari Guest OS 3 adalah 192.168.184.102. Gateway dari Guest OS 2 dan Guest OS 3 adalah alamat IP dari Guest OS 1 (192.168.184.100) yang berfungsi untuk meneruskan paket data ke Host OS.

• Guest OS 2

• Guest OS 3

2. Mengubah file /etc/resolv.conf

Mengubah isi dari file /etc/resolv.conf dengan cara menambah daftar nameserver pada jaringan PENS

REPORT THIS AD

3. Merestart interface jaringan

Merestart jaringan pada Guest OS 2 dan Guest OS 3 dengan menggunakan perintah :

# /etc/init.d/networking restart

4. Cek konfigurasi jaringan

Memastikan Gateway yang telah kita tambahkan tersimpan dengan mengetikkan perintah :

# route –n

• Guest OS 2

• Guest OS 3

5. Cek IP Address

Melakukan cek IP Address apakah sudah sesuai dengan konfigurasi yang telah kita lakukan dengan mengetikkan perintah :

# ifconfig

• Guest OS 2

• Guest OS 3

• Konfigurasi NAT pada Guest OS 1

REPORT THIS AD

Guest OS 1 merupakan perantara yang menghubungkan Guest OS 2 dan Guest OS 3 terhadap Host OS.

1. Mengaktifkan IP Forward

Mengaktifkan IP Forward dari Guest OS 1 dengan cara mengubah file /etc/sysctl.conf. Fungsi dari IP Forward sendiri digunakan untuk meneruskan paket data dari Guest OS 2 dan Guest OS 3 ke internet.

2. Mengaktifkan konfigurasi pada file sysctl.conf

Adapun perintah yang digunakan adalah :

# sysctl –p /etc/sysctl.conf

3. Merestart iptables

Untuk memastikan tidak ada aturan pada iptables, maka dilakukan restart pada iptables dengan menggunakan perintah :

# iptables –F, # iptables nat –F

4. Cek iptables

Melihat iptables pada Guest OS 1 dan memastikan tidak ada aturan iptables pada Guest OS 1 dengan menggunakan perintah :

# iptables –L –n, # iptbles –t nat –L –n

5. Konfigurasi iptables

Jika tidak terdapat aturan pada iptables, maka langkah berikutnya yaitu melakukan menambahkan aturan pada iptables dengan menggunakan perintah berikut :

# iptables –t nat –A POSTROUTING –s <ip_address_sumber> -d 0/0 –j MASQUERADE

Fungsi dari perintah diatas yaitu untuk mengganti alamat dari Guest OS 2 dan Guest OS 3 yang awalnya IP Private menjadi IP Public sesudah paket masuk kedalam route sehingga bisa terhubung dengan jaringan internet.

6. Menyimpan konfigurasi iptbales

Menyimpan konfigurasi iptbales yang telah dilakukan dengan menggunakan perintah :

# iptables-save

7. Memastikan aturan iptables

Memastikan iptables apakah aturan yang telah ditambahkan telah tersimpan dengan menggunakan perintah :

# iptables –t nat –L –n

6. Ping Jaringan Lab

Mencoba melakukan ping pada jaringan lab dari Guest OS 2 dan Guest OS 3. Jika konfigurasi NAT kita sudah benar maka proses ini akan berhasil.

• Guest OS 2

• Guest OS 3

7. Ping pens.ac.id

Mencoba melakukan ping url www.pens.ac.id dari Guest OS 2 dan Guest OS 3. Jika konfigurasi NAT kita sudah benar maka proses ini akan berhasil.

• Guest OS 2

• Guest OS 3

8. Install Linx di Guest OS 2 dan Guest OS 3

Adapun perintah yang digunakan adalah sebagai berikut :

# apt-get install linx       

9. Mencoba Linx ke alamat pens.ac.id

Jika konfigurasi kita benar maka proses ini akan berhasil. Adapun perintah yang digunakan adalah sebagai berikut :

# lynk <alamat_website>

• Guest OS 2

• Guest OS 3

10. Menginstall ssh di Guest OS 2 dan Guest OS 3

REPORT THIS AD

Mengintall aplikasi ssh di VM2 dan VM3 dengan menggunakan perintah :

# apt-get install ssh

11. Mencoba ssh ke IP Address teman dari Guest OS 2 dan Guest OS 3

Adapun perintah yang digunakan adalah :

# ssh <nama_user>@<ip_address_tujuan>

• Guest OS 2

• Guest OS 3

12. Manambah aturan policy di NAT Guest OS 1

Langkah berikutnya yaitu menambahkan peraturan akses pada NAT yang ada di VM1. Adapun aturan yang akan diterapkan adalah sebagai berikut :

• Guest OS 2

Hanya memperbolehkan mengakses website dan ssh saja, selain itu semua proses di block. (deny all, allow ssh & web)

• Guest OS 3

Hanya memperbolehkan akses website saja, selain itu semua proses di block. (deny all, allow web)

Iptables –P FORWARD DROP

Digunakan untuk menolak semua paket layanan yang berasal dari Guest OS 2 dan Guest OS 3.

Iptables –A FORWARD –m state RELATED, ESTABLISHED –J ACCEPT

Digunakan untuk mengizinkan paket yang mempunyai status establish.

REPORT THIS AD

Guest OS 2

Iptables –A FORWARD –s 192.168.184.101 –d 0/0 –p tcp –dport ssh –J ACCEPT

Mengizinkan paket ssh yang menuju Guest OS 2

Iptables –A FORWARD –s 192.168.184.101 –d 0/0 –p tcp –dport web –J ACCEPT

Mengizinkan paket ssh yang menuju Guest OS 3

Guest OS 3

Iptables –A FORWARD –s 192.168.184.102 –d 0/0 –p tcp –dport web –J ACCEPT

Mengizinkan paket web (port 80)  yang menuju Guest OS 2

Iptables –A FORWARD –s 192.168.184.102 –d 0/0 –p tcp –dport web –J DROP

Menolak paket web (port 80)  yang menuju Guest OS 2

Iptables –A FORWARD udp –dport 53 –J ACCEPT

Mengizinkan seluruh query DNS pada Guest OS 2 dan Guest OS 3.

13. Melihat hasil konfigurasi

# iptables –Ln

REPORT THIS AD

14. Memcoba Link pens.ac.id dari Guest OS 2 dan Guest OS 3

Jika aturan yang kita tambahkan telah benar, maka kedua Virtual Machine baik itu VM2 maupun VM3 tetap bisa melakukan link ke alamat www.pens.ac.id

• Guest OS 2

• Guest OS 3

15. Mencoba ssh ke IP Address teman dari Guest OS 2 dan Guest OS 3

REPORT THIS AD

Jika peraturan yang kita tambahkan di NAT benar, maka VM2 dapat melakukan ssh sedangkan VM3 tidak dapat melakukan ssh.

• Guest OS 2

1. Guest OS 3

4. Kesimpulan

Dari percobaan yang telah dilakukan maka dapat ditarik kesimpulan  iptables adalah suatu command-line pada Linux dimana interfacenya yang menuju ke kernel menyediakan modul netfilter. Dalam iptables kita dapat mengatur layanan-layanan apa yang boleh maupun tidak diakses oleh user. Default konfigurasi dari iptables sendiri yaitu allow all. Sehingga jika kita ingin memfilter suatu layanan maka kita harus menambahkan aturan terlebih dahulu.