Jumat, 15 November 2013

modul membuat desain keamanan jaringan



Modul KK.15 Membuat Desain Sistem Keamanan Jaringan 
 

Description: Desain Sistem Keamanan Jaringan


Membuat Desain Sistem Keamanan Jaringan

Kompetensi Dasar :
15.1 Menentukan jenis-jenis keamanan jaringan 
15.2 Mengidentifikasi pengendalian jaringan yang diperlukan
15.3 Memasang firewall
15.4 Mendesain sistem keamanan jaringan



BAB 1
Menentukan Jenis Keamanan Jaringan
·     Dalam  masyarakat  pertanian  tanah    aset paling penting  negara dengan produksi 
tani  terbesar memiliki kekuatan  bersaing. 
·     Dalam  masyarakat  industri    kekuatan  modal  seperti memiliki cadangan  minyak
menjadi faktor utama dalam persaingan. 
·     Dalam    masyarakat    berbasis  informasi dan  pengetahuan         informasi   adalah    komoditi
yang  sangat  penting  dan  aset  paling  berharga           Kemampuan  untuk  mendapatkan,
mengakses,  menyediakan,  menggunakan,  dan  menganalisis  informasi secara  cepat  dan
akurat. 
Definisi Informasi :
·         Secara umum, informasi  didefinisikan  sebagai hasil dari aktivitas mental dan merupakanproduk abstrak yang ditransmisikan melalui medium. 



·  Dalam  bidang teknologi informasi dan komunikasi, informasi adalah hasil dari pemrosesan,manipulasi dan  pengaturan  data, yaitu sekumpulan fakta.


·  Dalam    bidang    Keamanan  Informasi,  informasi diartikan  sebagai sebuah  aset  merupakan


·  sesuatu yang memiliki nilai dan  karenanya harus dilindungi. Definisi ini mengikuti  ISO/IEC
27001.  
Aspek keamanan informasi 
Garfinkel and Spafford  mengemukakan bahwa keamanan komputer  (computer security)
melingkupi empat aspek, yaitu :
1.  Privacy
2.  Integrity
3.  Authentication
4.  availability. 
Selain keempat hal di atas, masih ada dua aspek lain yang juga sering dibahas dalam kaitannya
dengan  electronic commerce, yaitu access control dan non-repudiation.

Berdasar spesifikasi dari OSI, aspek keamanan komputer meliputi :
•    Access Control, Perlindungan terhadap pemakaian tak legak
•    Authentication, Menyediakan jaminan identitas seseorang
•   
Confidentiality (kerahasiaan), Perlindungan terhadap pengungkapan identitas tak legal 
•    Integrity, Melindungi dari pengubahan data yang tak legal
•    Non-repudiation (penyangkalan), Melindungi terhadap penolakan komunikasi yang sudah
pernah dilakukan.

Pendapat    yang  lain  mengatakan,  Aspek keamanan  informasi adalah  aspek-aspek  yang dilingkupi dan melingkupi keamanan informasi dalam sebuah sistem informasi. Aspek-aspek ini adalah :
·         Privacy  (privasi/kerahasiaan),  menjaga  kerahasiaan  informasi dari semua  pihak,  kecuali yang memiliki kewenangan;
·         Integrity (integritas), meyakinkan bahwa data tidak mengalami perubahan oleh yang tidak berhak atau oleh suatu hal lain yang tidak diketahui (misalnya buruknya transmisi data);
·         Authentication  (otentikasi/identifikasi),  pengecekan  terhadap  identitas  suatu  entitas,  bisa berupa orang, kartu kredit atau mesin;
·         Signature,  Digital  Signature  (tanda  tangan),  mengesahkan  suatu  informasi menjadi satu kesatuan di bawah suatu otoritas;
·         Authorization (otorisasi), pemberian hak/kewenangan kepada entitas lain di dalam sistem;
·         Validation (validasi), pengecekan keabsahan suatu otorisasi;
·         Access Control (kontrol akses), pembatasan akses terhadap entitas di dalam sistem;
·         Certificate  (sertifikasi),  pengesahan/pemberian  kuasa  suatu  informasi kepada  entitas  yangtepercaya;
·         Time  stamp  (pencatatan  waktu),  mencatat  waktu  pembuatan  atau  keberadaan  suatu informasi di dalam sistem;
·         Verification  (persaksian,  verifikasi),  memverifikasi pembuatan  dan  keberadaan  suatuinformasi di dalam sistem bukan oleh pembuatnya Acknowledgement (tanda terima), pemberitahuan bahwa informasi telah diterima;
·         Confirmation (konfirmasi), pemberitahuan bahwa suatu layanan informasi telah tersedia;
·         Ownership (kepemilikan), menyediakan suatu entitas dengan sah untuk menggunakan ataumengirimkan kepada pihak lain;
·         Anonymous  (anonimitas),  menyamarkan  identitas  dari entitas  terkait  dalam  suatu  proses transaksi;
·         Non-repudiation  (nirpenyangkalan),  mencegah  penyangkalan  dari suatu  entitas  atas kesepakatan atau perbuatan yang sudah dibuat;
·         Recall (penarikan), penarikan kembali suatu sertifikat atau otoritas.

Standar Kegiatan Keamanan Informasi 
ISO/IEC  27001,  atau  lengkapnya  "ISO/IEC  27001:2005  -  Information  technology  --
Security  techniques  --  Information  security  management  systems  --  Requirements",  adalah
suatu standar sistem manajemen keamanan informasi (ISMS, information security management
system)  yang  diterbitkan  oleh ISO dan IEC pada  Oktober 2005.  Standar  yang  berasal dari BS
7799-2 ini ditujukan untuk digunakan bersama denganISO/IEC 27002, yang memberikan daftar
tujuan  pengendalian  keamanan  dan  merekomendasikan  suatu  rangkaian  pengendalian
keamanan spesifik. 
Kegiatan keamanan dalam  ISO/IEC27001 terdiri dari 133 kontrol dan 11 domain Beberapa

ISO/IEC27001 
 mengadopsi   model proses    Plan-Do-Check-Act,  yang    digunakan  untuk
mengatur struktur seluruh proses ISMS. Dalam ISO/IEC27001, semua bukti hasil penilaian ISMS
harus  didokumentasikan;  sertifikasinya  harus  diaudit  secara  eksternal setiap  enam  bulan;  dan 
seluruh  proses diulangi  sesudah  tiga tahun untuk terus mengatur ISMS. 

1. Keterbukaan Informasi 
·         Selain  memiliki banyak  keuntungan,  keterbukaan  akses  informasi tersebut  memunculkan
2. berbagai masalah baru, antara lain :
·         ·    Pemeliharaan validitas dan integritas data/informasi tersebut
·         ·    Jaminan ketersediaan informasi bagi pengguna yang berhak
·         ·    Pencegahan akses informasi dari yang tidak berhak
·         ·    Pencegahan akses sistem dari yang tidak berhak

Konsep 4R
Konsep  pengaturan  4R  berikut  ini adalah  cara  paling  efisien  untuk  memelihara  dan
mengontrol nilai  informasi.  4R  keamanan  informasi adalah  Right  Information  (Informasi yang
benar),  Right  People  (Orang  yang  tepat),    Right  Time  (Waktu  yang  tepat)  dan    Right  Form
(Bentuk yang tepat).  

1.   Right  Information  mengacu  pada    ketepatan    dan  kelengkapan  informasi,  yang  menjaminintegritas informasi.  
2.   Right  People    berarti informasi tersedia  hanya  bagi individu yang  berhak,  yang  menjaminkerahasiaan.
3.   Right  Time    mengacu  pada  aksesibilitas  informasi dan  penggunaannya    atas  permintaanentitas yang berhak. Ini menjamin ketersediaan.  
4.   Right Form mengacu pada penyediaan informasi dalam format yang tepat. 

Piramida Metodologi Kemananan
Berikut  ini adalah  piramida  metodologi  keamanan.  Secara  singkat  pada  piramida  di
bawah  ini telah  tergambar  unsur-unsur  apa  saja  yang  dibutuhkan  dalam  membangun  sebuah
sistem keamanan secara utuh

Description: http://www.hmtiittelkom.com/wp-content/uploads/2012/06/Network-Security-Piramid.jpg
Gambar 1. Piramida Metodologi Keamanan




Orang yang Terlibat 
1.   Administrator System  (SysAdmin), Network Admin, stakeholder
2.   Phreaker

Orang  yang  mengetahui sistem  telekomunikasi dan  memanfaatkan  kelemahan  sistem
pengamanan telepon tersebut 

3.   Hacker
Orang  yang  mempelajari sistem  yang  biasanya  sukar  dimengerti  untuk  kemudian
mengelolanya dan men-share hasil ujicoba yang  dilakukannya.
Hacker tidak merusak sistem 

4.   Craker 
Orang yang mempelajari sistem dengan maksud jahat – Muncul karena sifat dasar manusia
(salah satunya merusak)

Ancaman Jaringan komputer dilihat dari BENTUKNYA : 
•    Fisik (physical)
-    Pencurian perangkat keras komputer atau perangkat   jaringan 
-    Bencana alam (banjir, kebakaran, dll)     Major cause
-    Kerusakan pada komputer dan perangkat komunikasi jaringan 
-    Wiretapping  Man the Middle Attack      Aktif / Pasif 
-    Wardriving  Man the Middle Attack        Aktif / Pasif 
-
•    Logik (logical)
-    Kerusakan pada sistem operasi atau aplikasi 
-    Virus
-    Sniffing, dan lain lain seperti tersebut di bawah ini

Ancaman Jaringan komputer dilihat dari JENIS-JENISNYA
Jenis-jenis Serangan Keamanan Informasi yang menjadi tren dan arah Keamanan Informasi:
1.   Probe
Probe  atau  yang  biasa  disebut  probing  adalah  usaha  untuk  mengakses  sistem  dan
mendapatkan informasi tentang sistem

2.   Scan
Scan adalah probing dalam jumlah besar menggunakan suatu tool

3.   Account compromise
Meliputi User compromize dan root compromize

4.   Packet Snifer
Adalah  sebuah  program  yan  menangkap  /  mngcaptur  data  dari paket  yang  lewat  di
jaringan. (username, password, dan informasi penting lainnya)

5.   Hacking
Hacking adalah tindakan memperoleh akses ke komputer atau jaringan komputer untuk
mendapatkan atau mengubah informasi tanpa otorisasi yang sah

6.   Denial-of-Service 
Serangan  Denial-of-service (DoS) mencegah pengguna yang sah dari penggunaan layanan
ketika pelaku mendapatkan akses tanpa izin ke mesin atau data.  Ini terjadi karena pelaku
membanjiri‘ jaringan dengan volume data yang besar atau sengaja  menghabiskan  sumber
daya yang langka atau terbatas, seperti process control blocks atau koneksi jaringan yang
tertunda. Atau mereka mengganggu komponen fisik jaringan atau memanipulasi data  yang
sedang dikirimkan, termasuk data terenkripsi.

7.   Malicious code (Kode Berbahaya) 
Malicious code adalah program yang menyebabkan kerusakan sistem ketika dijalankan.
Virus, worm dan Trojan horse merupakan jenis-jenis malicious code.
a.   Virus  komputer adalah sebuah program komputer atau  kode  program  yang merusak sistem komputer dan data dengan mereplikasi  dirinya sendiri  melalui peng-copy-an ke program lain, boot sector komputer atau dokumen.  

b.   Worm  adalah virus yang mereplikasi  dirinya sendiri yang tidak mengubah  file, tetapi  ada  di  memory  aktif, menggunakan  bagian dari sistem operasi yang otomatis dan biasanya  tidak  terlihat  bagi pengguna.  Replikasi mereka  yang  tidak  terkontrol memakan  sumber    daya    sistem,  melambatkan  atau  menghentikan  proses  lain.
Biasanya hanya jika ini terjadi keberadaan worm diketahui. 

c.   Trojan horse  adalah program yang  sepertinya  bermanfaat dan/atau tidak berbahaya tetapi sesungguhnya  memiliki fungsi merusak  seperti unloading  hidden  program  atau
command scripts yang membuat sistem rentan gangguan.

8.   Social Engineering / Exploitation of Trust
Sekumpulan  teknik  untuk  memanipulasi orang  sehingga  orang  tersebut  membocorkan informasi rahasia.  Meskipun  hal ini mirip  dengan    permainan kepercayaan  atau  penipuan sederhana,  istilah  ini mengacu kepada penipuan untuk mendapatkan informasi atau akses sistem komputer. 

Beberapa jebakan yang dapat dilakukan diantaranya dengan : 
 Memanfaatkan  kepercayaan orang dalam bersosialisasi dengan komputer.
 Memanfaatkan  kesalahan  orang  secara  manusiawi misal :  kesalahan  ketik,  asal klik, next-next, dll 
 Bisa dengan cara membuat tampilan Login yang mirip (teknik fake login), diarahkan ketempat  lain,  juga  biasanya  dibuat  url yang  hampir  sama  untuk  web  contoh  kasus  :www.klikbca.com

9.   Phishing 
Tindakan  pemalsuan  terhadap  data  /  identitas  resmi yang  dilakukan  untuk  hal yang
berkaitan  dengan  pemanfaatannya.  Phising  diawali dengan  mencuri  informasi personal
melalui Internet.  Phishing    telah  menjadi aktivitas  kriminal  yang  banyak  dilakukan  di Internet.

10. Deface 
perubahan terhadap tampilan suatu website secara illegal.

11. Carding 
pencurian  data  terhadap  identitas  perbankan  seseorang,  misalnya  pencurian  nomor  kartu kredit, digunakan untuk memanfaatkan saldo yang terdapat pada rekening tersebut untuk keperluan belanja online. 






 BAB 2
 Mengidentifikasi Pengendalian 
Jaringan yang Diperlukan 

Jaringan yang Diperlukan 
Risk Management Model Lawrie  Brown  dalam  bukunya    menyarankan menggunakan  “Risk  Management  Model” untuk  menghadapi ancaman  (managing  threats).  Ada  tiga  komponen  yang  memberikan kontribusi kepada Risk, yaitu Asset, Vulnerabilities, dan Threats. Untuk  menanggulangi  resiko  (Risk)  tersebut  dilakukan  apa  yang  disebut  “countermeasures” yang dapat berupa:
•    usaha untuk mengurangi Threat
•    usaha untuk mengurangi Vulnerability
•    usaha untuk mengurangi impak (impact)
•    mendeteksi kejadian yang tidak bersahabat (hostile event)
•    kembali (recover) dari kejadian

Analisis SWOT


Analisis  SWOT (singkatan bahasa  Inggris dari  strengths  (kekuatan), weaknesses (kelemahan), opportunities   (kesempatan),  dan  threats  (ancaman)  adalah metode perencanaan  strategis yang  digunakan  untuk  mengevaluasi  kekuatan,  kelemahan, peluang,  dan  ancaman  dalam  suatu  keadaan  tertentu.  Dalam  tinjauan  keamanan  jaringan, analisis  SWOT  mencoba  memetakan  keadaan  yang  ingin  dicapai  yaitu  terciptanya  keamanan informasi dan keamanan jaringan, dan mengidentifikasikan faktor internal dan faktor  eksternalyang  membantu    dan  yang  membahayakan  tercapainya  keamanan  jaringan  dan  keamanan informasi. 


  Teknik  ini  dibuat  oleh Albert  Humphrey,  yang  memimpin proyek  riset  pada Universitas Stanfordpada  dasawarsa 1960-an dan 1970-an dengan  menggunakan  data  dari  perusahaan-perusahaan Fortune 500  


Setelah memetakan dan mengenali faktor-faktor tersebut, maka diperlukan usaha untuk
 
meningkatkan  strengths  (kekuatan),  mengurangi  dan  menutupi  weaknesses  (kelemahan),
 
memanfaatkan  opportunities  (kesempatan),  dan  juga  usaha  untuk  mengurangi  dan
 
mengantisipasi Threats (ancaman).
 

Port  
Dalam 
 protokol  jaringan TCP/IP,  sebuah port adalah  mekanisme  yang  mengizinkan 
sebuah  komputer  untuk  mendukung  beberapa  sesi  koneksi  dengan  komputer  lainnya  dan
 
program  di  dalam  jaringan.  Port  dapat  mengidentifikasikan  aplikasi  dan  layanan  yang menggunakan  koneksi di dalam  jaringan  TCP/IP.  Sehingga,  port  juga  mengidentifikasikan
 
sebuah proses tertentu di mana sebuah server dapat memberikan sebuah layanan kepada klien
 
atau bagaimana sebuah klien dapat mengakses sebuah layanan yang ada dalam server. 
 
Port  dapat  dikenali dengan  angka 16-bit (dua  byte)  yang  disebut  dengan Port
 
Number dan  diklasifikasikan  dengan  jenis  protokol transport  apa  yang  digunakan,  ke
 
dalam Port  TCP dan Port  UDP.  Karena  memiliki angka  16-bit,  maka  total maksimum jumlah port untuk setiap protokol transport yang digunakan adalah 216 = 65536 buah.
 
Dilihat  dari penomorannya,  port  UDP  dan  TCP  dibagi menjadi tiga  jenis,  yakni sebagai
berikut:
 
·         Well-known  Port:  yang  pada  awalnya  berkisar  antara  0  hingga  255  tapi kemudian diperlebar untuk mendukung antara 0 hingga 1023. Port number yang termasuk ke dalam well-known  port,  selalu  merepresentasikan  layanan  jaringan  yang  sama,  dan  ditetapkan oleh Internet Assigned Number Authority (IANA). Beberapa di antara port-port yang berada di dalam  range  Well-known  port  masih  belum  ditetapkan  dan  direservasikan  untukdi gunakan  oleh  layanan  yang  bakal ada  di masa  depan. Well-known  port didefinisikan dalam RFC 1060.
·         Registered  Port:  Port-port  yang  digunakan  oleh  vendor-vendor  komputer  atau  jaringanyang berbeda untuk mendukung aplikasi dan sistem operasi yang mereka buat. Registered port  juga  diketahui dan  didaftarkan  oleh  IANA  tapi tidak  dialokasikan  secara  permanen, sehingga  vendor  lainnya  dapat  menggunakan  port  number  yang  sama.  Range  registered port  berkisar  dari 1024  hingga  49151  dan  beberapa  port  di antaranya  adalah Dynamically Assigned Port. Dynamically  Assigned  Port:  merupakan  port-port  yang  ditetapkan  oleh  sistem  operasi atau  aplikasi yang  digunakan  untuk  melayani  request  dari pengguna  sesuai dengan kebutuhan.  Dynamically  Assigned  Port  berkisar  dari 1024  hingga  65536  dan  dapat digunakan atau dilepaskan sesuai kebutuhan.



BAB 3 
Firewall


 Description: Firewall

Pengertian Firewall : Adalah mekanisme kontrol akses pada level jaringan,  Aplikasi Penghambat  yang  dibangun    untuk  memisahkan  jaringan  privat  dengan  jaringan publik (Internet) Aplikasi diimplementasikan  pada  :  software,  hardware,  Router  Access,  ataupun  Server Access atau beberapa Router Acess ataupun beberapa Server Access Menggunakan suatu (rule)/Policy berupa daftar akses (Access List), dan metode lain untuk menjamin keamanan jaringan privat    

              Firewall adalah  salah  peralatan  atau  suatu  aplikasi pada  sistem  operasi  yang  dibutuhkan oleh  jaringan  komputer  untuk  melindungi intergritas  data/sistem  jaringan  dari serangan-serangan pihak yang tidak bertanggung jawab. Caranya dengan melakukan filterisasi terhadap paket-paket yang melewatinya. 
Firewall tersusun  dari aturan-aturan  yang  diterapkan  baik  terhadap  hardware,  software
 
ataupun  sistem  itu  sendiri dengan  tujuan  untuk  melindungi jaringan,  baik  dengan  melakukan filterisasi,  membatasi,  ataupun  menolak  suatu  permintaan  koneksi dari jaringan  luar  lainnya seperti internet.  


Pada  firewall terjadi beberapa  proses  yang  memungkinkannya   melindungi jaringan.  Ada 
tiga macam Proses yang terjadi pada firewall, yaitu:  

1.   
 Modifikasi header paket, digunakan untuk memodifikasi kualitas layanan bit paket TCP 
sebelum mengalami proses routing.
 
2.    Translasi  alamat  jaringan,  translasi yang  terjadi dapat  berupa  translasi satu  ke  satu
 
(one to one), yaitu  satu alamat IP privat dipetakan kesatu alamat IP publik atau   translasi
 
banyak  kesatu  (many  to  one)  yaitu  beberapa  alamat  IP  privat  dipetakan  kesatu  alamat
 
publik.
 
3.   
 Filter  paket,  digunakan  untuk  menentukan  nasib  paket  apakah  dapat  diteruskan  atau tidak. 

Jenis Firewall Hardware dan Software 
1.    Software Firewall
 
     Adalah  program  yang  berjalan  pada  background  komputer.  Software  ini mengevaluasi
setiap request dari jaringan dan menetukan apakah request itu valid atau tidak.
 
Kelebihan
 
•    Harganya murah
 
•    Mudah dikonfigurasi
 

Kekurangan
 
•    Memakan sumber daya dari komputer (CPU,memory, disk)
 
•    Terdapat versi yang berbeda dan untuk OS yang berbeda pula
 
•    Dibutuhkan beberapa copy dan konfigurasi untuk tiap sistem dalam jaringan
 

2.    Hardware Firewall
 
           Adalah  firewall yang  dipasang  pada  komputer,  yang  menghubungkan  komputer  dengan modem 
 
Kelebihan
 
•    Menyediakan  perlindungan yang lebih banyak dibandingkan software firewall
•    Beroperasi secara  independen  terhadap  sistem  operasi dan  aplikasi  perangkat
 
lunak, sehingga kompabilitasnya tinggi 
 

Kekurangan
 
•    Cenderung lebih mahal
 


Teknologi Firewall 
1.    Packet Filtering Gateway (Router, Cisco IOS, dll.) ->Stateless  
2.    Application Level Gateway / Proxy-based (NAI Gauntled, Axent Raptor, dll.) 
3.    Circuit Level Gateway
 
4.    Statefull Multi Layer Inspection Firewall (Checkpoint FW-1, PIX, dll.)
 

1.    Packet Filtering Gateway 
 
Prinsip : adalah memperbolehkan (grant) atau membatalkan (deny) terhadap suatu access,
 
dengan beberapa variabel:
 
Source Address
 
Destination Address
 
Protocol (TCP/UDP)
 
Source Port number 
 
Destination Port number 
 
Packet filtering gateway dapat diartikan sebagai firewall yang bertugas melakukan filterisasi
 
terhadap paket-paket yang datang dari luar jaringan yang dilindunginya.
 

2.    Circuit Level Gateway
 
Model firewall ini bekerja  pada  bagian  Lapisan  transport  dari model referensi TCP/IP.
 
Firewall ini akan melakukan pengawasan terhadap awal hubungan TCP yang biasa disebut
 
sebagai TCP Handshaking, yaitu proses untuk menentukan apakah sesi hubungan tersebut
 
diperbolehkan  atau  tidak.  Bentuknya  hampir  sama  dengan  Application  Layer  Gateway  ,
 
hanya saja bagian yang difilter terdapat ada lapisan yang berbeda, yaitu berada pada layer
 
Transport. 
 

3.    Application Level Gateway
 
Adalah  gateway  yang  bekerja  pada  level aplikasi pada  layer  OSI,  Model firewall ini juga
 
dapat disebut Proxy Firewall. Mekanismenya tidak hanya berdasarkan sumber, tujuan dan
 
atribut  paket,  tapi bisa  mencapai isi (  content  )  paket  tersebut.  Bila  kita  melihat  dari sisi
layer  TCP/IP,  firewall jenis  ini akan  melakukan  filterisasi pada  layer  aplikasi (  Application
 
Layer ). 
 

4.    Statefull Packet-filter-Based Firewalls  
Model firewall ini merupakan penggabungan dari ketiga firewall sebelumnya. Firewall jenis 
ini akan  bekerja  pada  lapisan  Aplikasi,  Transport  dan  Internet.  Dengan  penggabungan
 
ketiga model firewall yaitu Packet Filtering Gateway, Application Layer Gateway dan Circuit
 
Level Gateway,  mungkin  dapat  dikatakan  firewall jenis  ini merupakan  firewall  yang
 
,memberikan fitur terbanyak dan memeberikan tingkat keamanan yang paling tinggi.


Beberapa Konfigurasi Firewall 
1.    Screened Host Firewall (singled-homed bastion)
 
2.    Screened Host Firewall (Dual-homed bastion)
 
3.    Screened Subnet Firewall
 


Aplikasi pengendalian jaringan dengan menggunakan firewall dapat diimplementasikan dengan
menerapkan sejumlah
 aturan (chains) pada topologi yang sudah ada.  

Dalam  hal pengendalian  jaringan  dengan  menggunakan  iptables,  ada  dua  hal yang  harus
 
diperhatikan yaitu:
 
1.    Koneksi paket yang menerapkan firewall yang digunakan.
 
2.    Konsep firewall yang diterapkan.
 

Dengan  dua  hal ini diharapkan  iptables  sebagai aturan  yang  mendefinisikan  firewall dapat
 
mengenali apakah koneksi yang terjadi berupa koneksi baru ( NEW) , koneksi yang telah ada (
 
ESTABLISH  ),  koneksi yang  memiliki relasi dengan  koneksi lainnya  (  RELATED  )  atau  koneksi
 
yang tidak valid ( INVALID ). Keempat macam koneksi itulah yang membuat IPTables disebut
 
Statefull Protocol .
 

Koneksi Paket 
 
Koneksi paket yang dalam proses pengirimannya dari pengirim kepada penerima harus melalui
aturan firewall, dapat dikelompokan kepada tiga kelompok koneksi, yaitu :
 
1.    Koneksi TCP
 
2.    Koneksi IP
 
3.    Koneksi UDP
 
 

1.    Koneksi TCP 
Sebuah  koneksi TCP   dikenal sebagai koneksi yang  bersifat  Connection  Oriented  yang 
berarti sebelum melakukan pengiriman data, mesin-mesin tersebut akan melalui 3 langkah
 
cara berhubungan ( 3-way handshake ). 
 

2.    Koneksi IP 
 
Sebuah  frame  yang  diidentifikasi menggunakan  kelompok  protokol Internet (IP)  harus
 
melalui aturan firewall yang didefinisikan menggunakan protokol IP sebelum paket tersebut
 
mendapat jawaban koneksi dari tujuan paket tersebut. 
 
Salah  satu  paket  yang  merupakan  kelompok  protokol IP  adalah  ICMP,  yang  sering
 
digunakan sebagai aplikasi pengujian koneksi ( link ) antar host. 
 


3.    Koneksi UDP 
 
Berbeda  dengan  koneksi TCP,  koneksi UDP  (Gambar  11.11)  bersifat  connectionless.
 
Sebuah  mesin  yang  mengirimkan  paket  UDP  tidak  akan  mendeteksi kesalahan  terhadap
 
pengiriman paket tersebut. 
 
Paket  UDP  tidak  akan  mengirimkan  kembali paket-paket  yang  mengalami error.  Model
pengiriman paket ini akan lebih efisien pada koneksi broadcasting atau multicasting
 

Untuk  membangun  sebuah  firewall,  yang  harus  kita  ketahui pertama-tama  adalah
 
bagaimana sebuah paket diproses oleh firewall, apakah paket-paket  yang masuk akan di buang
 (  DROP  )  atau  diterima  (  ACCEPT  ),  atau  paket  tersebut  akan  diteruskan  (  FORWARD  )  ke jaringan yang lain. Salah  satu  tool yang  banyak  digunakan  untuk  keperluan  proses  pada  firewall adalah iptables. Program  iptables  adalah  program  administratif  untuk  Filter Paket  dan  NAT  (  Network Address  Translation).  Untuk  menjalankan  fungsinya,  iptables  dilengkapi dengan  tabel mangle, nat dan filter .












NAT (SNAT dan DNAT)
Description: NAT (SNAT dan DNAT)
Salah  satu  kelebihan 
 IPTABLES  adalah  untuk  dapat  memfungsikan  komputer  kita  menjadi gateway menuju internet. Teknisnya membutuhkan tabel lain pada IPTABLES selain ketiga tabel diatas, yaitu tabel NAT SNAT digunakan untuk mengubah alamat IP pengirim ( source IP address ). Biasanya SNAT berguna untuk menjadikan komputer sebagai gateway menuju ke internet. Misalnya  komputer  kita  menggunakan  alamat  IP  192.168.0.1.  IP  tersebut  adalah  IP  lokal. SNAT akan mengubah IP lokal tersebut menjadi IP publik, misalnya 202.51.226.35. Begitu juga sebaliknya,  bila  komputer  lokal kita  bisa  di akses  dari internet  maka  DNAT  yang  akan digunakan.  Mangle pada IPTABLES banyak digunakan untuk menandai ( marking ) paket-paket untuk di gunakan  di proses-proses  selanjutnya.  Mangle  paling  banyak  di gunakan  untuk  bandwidth limiting atau pengaturan bandwidth.  
Fitur  lain  dari mangle  adalah  kemampuan  untuk  mengubah  nilai
 Time  to  Live  (TTL)  pada paket dan TOS ( type of service ).    


 BAB 4

Mendesain Sistem Keamanan Jaringan 
Description: Mendesain Sistem Keamanan Jaringan

Metode Keamanan Jaringan
Dalam  merencanakan  suatu  keamanan  jaringan,  ada  beberapa  metode  yang  dapat
 
ditetapkan, metode-metode tersebut adalah sebagai berikut :
 
1.    Pembatasan akses pada suatu jaringan
 
Ada beberapa konsep dalam pembatasan akses jaringan, yakni sebagai berikut :
 
a.    Internal Password Authentication
 
Password  local untuk  login  ke  sistem  harus  merupakan  password  yang  baik  serta
 
dijaga dengan baik. Pengguaan aplikasi shadow password akan sangat membantu. 
 

b.    Server Based password authentication
 
Termasuk  dalam  metoda  ini misalnya  sistem  Kerberos  server,  TCP-wrapper,  dimana
 
setiap  service  yang  disediakan  oleh  server  tertentu  dibatasi dengan  suatu  daftar  host
 
dan user yang boleh dan tidak boleh menggunakan service tersebut
 

c.    Server-based token authentication
 
Metoda  ini  menggunakan  authentication  system  yang  lebih  ketat,  yaitu  dengan
 
penggunaan  token  /  smart  card,  sehingga  untuk  akses  tertentu  hanya  bisa  dilakukan
 
oleh login tertentu dengan menggunakan token khusus.
 

d.    Firewall dan Routing Control 
 
Firewall melindungi   host-host  pada  sebuah  network  dari berbagai serangan.  Dengan 
adanya  firewall,  semua  paket  ke  sistem  di belakang  firewall dari jaringan  luar  tidak
 
dapat dilakukan langsung. Semua hubungan harus dilakukan dengan mesin firewall

2.    Menggunakan Metode dan mekanisme  tertentu
 
•    Enkripsi
 
Salah satu cara pembatasan akses adalah dengan enkripsi. Proses enkripsi meng-encode
 
data dalam bentuk yang hanya dapat dibaca oleh sistem yang mempunyai kunci untuk
 
membaca  data.  Proses  enkripsi dapat  dengan  menggunakan  software  atau  hardware.
 
Hasil enkripsi disebut cipher. Cipher kemudian didekripsi dengan device dan kunci yang
 
sama  tipenya  (sama  hardware/softwarenya,  sama  kuncinya).  Dalam  jaringan,  sistem
 
enkripsi harus  sama  antara  dua  host  yang  berkomunikasi.  Jadi diperlukan  kontrol
 
terhadap  kedua  sistem  yang  berkomunikasi.  Biasanya  enkripsi digunakan  untuk  suatu
 
sistem yang seluruhnya dikontrol oleh satu otoritas
 

Terminologi Kriptografi
 
Kriptografi  (cryptography)  merupakan  ilmu  dan  seni untuk  menjaga  pesan  agar
 
aman. (Cryptography is the art and science of keeping messages secure. [40]) “Crypto”
 
berarti “secret”  (rahasia)  dan  “graphy”  berarti  “writing”  (tulisan)  [3].  Para  pelaku  atau
 
praktisi kriptografi disebut cryptographers. Sebuah algoritma kriptografik (cryptographic
 
algorithm),  disebut    cipher,  merupakan  persamaan  matematik  yang  digunakan  untuk
 
proses enkripsi dan dekripsi. Biasanya kedua persamaan matematik (untuk enkripsi dan
 
dekripsi) tersebut memiliki hubungan matematis yang cukup erat.
 

Terminologi Enskripsi - Dekripsi
 
Proses  yang  dilakukan  untuk  mengamankan  sebuah  pesan  (yang  disebut
 
plaintext)  menjadi pesan  yang  tersembunyi  (disebut    ciphertext)  adalah  enkripsi
 
(encryption).    Ciphertext  adalah  pesan  yang  sudah  tidak  dapat  dibaca  dengan  mudah.
 
Menurut ISO 7498-2, terminologi yang lebih tepat digunakan adalah “encipher”. Proses
 
sebaliknya,  untuk  mengubah    ciphertext  menjadi   plaintext,  disebut  dekripsi
(decryption). Menurut ISO 7498-2, terminologi yang lebih tepat untuk proses ini adalah
 
“decipher”. 
 

•    Digital Signature
 
Digunakan  untuk  menyediakan  authentication,  perlindungan,  integritas,  dan  non-
repudiation
 
•    Algoritma Checksum/Hash
 
Digunakan  untuk  menyediakan  perlindungan  integritas,  dan  dapat  menyediakan
 
authentication
 
•    Satu atau lebih mekanisme dikombinasikan untuk menyediakan security service
 

3.    Pemonitoran terjadwal terhadap jaringan
 
Dengan  adanya  pemantauan  yang  teratur,  maka  penggunaan  sistem  oleh  yang  tidak
 
berhak  dapat  dihindari /  cepat  diketahui.  Untuk  mendeteksi aktifitas  yang  tidak  normal,
 
maka  perlu  diketahui aktifitas  yang  normal.  Proses  apa  saja  yang  berjalan  pada  saat
 
aktifitas  normal.  Siapa  saja  yang  biasanya  login  pada  saat  tersebut.  Siapa  saja  yang
 
biasanya    login  diluar  jam  kerja.  Bila  terjadi keganjilan,  maka  perlu  segera  diperiksa.  Bila hal-hal yang mencurigakan terjadi, maka perlu dijaga kemungkinan adanya intruder.
 

Metodologi    keamanan  informasi    bertujuan  untuk  meminimalisasi    kerusakan  dan
 
memelihara keberlangsungan bisnis dengan memerhatikan semua kemungkinan kelemahan dan
 
ancaman  terhadap  aset  informasi.  Untuk    menjamin  keberlangsungan    bisnis,  metodologi
 
keamanan  informasi   berusaha  memastikan  kerahasiaan,  integritas  dan  ketersediaan  aset
 
informasi internal.  Hal ini termasuk  penerapan    metode  dan  kontrol manajemen    risiko.  Pada dasarnya, yang dibutuhkan adalah rencana yang bagus  dan  meliputi  aspek administratif, fisik, serta teknis dari keamanan informasi. 
 
Beberapa  Langkah  dalam  perancangan  Sistem  dengan  memperhatikan  aspek  Keamanan Jaringan :
 
1.    Menentukan topologi jaringan yang akan digunakan.
 
2.    Menentukan kebijakan atau policy . 
 
3.    Menentukan aplikasi – aplikasi atau servis-servis apa saja yang akan berjalan.
 
4.    Menentukan  pengguna-pengguna  mana  saja  yang  akan  dikenakan  oleh  satu  atau  lebih aturan firewall.
 
5.    Menerapkan kebijakan, aturan, dan prosedur dalam implementasi firewall.
 
6.    Sosialisasi kebijakan, aturan, dan prosedur yang sudah diterapkan. 
 

Arsitektur sistem IDS 

Intrusion Detection System (IDS) pada implementasi tugas akhir ini  tediri dari komponen 
 
komponen / modul : 
 
1.    Sensor modul
 
2.    Analyzer modul
 
3.    Database system  

Description: Arsitektur sistem IDS
 
Sensor  berfungsi untuk  mengambil data  dari jaringan.  Sensor  merupakan  bagian  dari 
sistem  deteksi  dini  dari  IDS.  Untuk  itu  digunakan  suatu    program  yang  berfungsi sebagai intrusion  detector  dengan  kemampuan  packet  logging  dan  analisis  traffik  yang  realtime.
 
Analyzer berfungsi untuk  analisa paket yang lewat pada jaringan. Informasi dari analyzer yang
 
akan menjadi input bagi sistem lainnya.  Salah satu perangkat lunak yang sering digunakan pada IDS adalah snort, karena snort mempunyai kemampuan    menjadi sensor  dan  analyzer  serta  sesuai untuk  diterapkan  pada rancangan sistem keamanan. Arsitektur  Sistem  AIRIDS  Automatic  Interactive  Reactive  Intrusion  Detection System AIRIDS  merupakan  suatu  metode  kemanan  jaringan  yang  bertujuan  untuk  membentuk suatu  arsitektur  sistem keamanan  yang  terintegrasi antara  Intrusion  Detection  System  (IDS),Firewall System, Database System dan Monitoring System.
 

komponen-komponen / modul  AIRIDS berupa
 : 
1.    Intrusion detection system (IDS)
 
a.    Sensor modul
 
b.    Analyzer  modul
 
2.    Database system 
 
3.    Monitoring system
 
4.    Firewall system
 
5.    SMS system (optional)