KEAMANAN JARINGAN KOMPUTER
Meskipunbjaringan menimbulkan pembahasan-pembahasa baru padakeamanan, beberapa topik yang dikenal telah terdaftar sebagai solusi-solusiuntuk masalah keamanan jaringan. Solusi ini termasuk enkripsi (encryption),kendali akses, keaslian (authentication), dan protokol. Pada kenyataannya,jaringan dapat dipandang sebagai contoh sistem komputasi yang lebih kompleks,sehingga banyak konsep dan kendali keamanan yang sama untuk sistem operasiberaplikasi pada jaringan juga.Pada pembahasan ini hanya jaringan itu sendiri yang diuraikan bukanmedia atau peralatan tempat komunikasi terjadi, sehingga di sini diasumsikanbahwa media komunikasi selalu aman dan digunakan pada seluruh jaringan.
Seperti pemakai komputer, pemakai jaringan juga memiliki harapan bahwa pesan yang mereka kirim akan sampai dengan benar di tujuan tanpa mengalami kesalahan; diterima oleh penerima yang dimaksud; terlindung dari kehilangan, modifikasi dan observasi dalam perjalanannya; dan memperoleh pelayanan yang andal. Semua hal ini ekivalen dengan integritas, kerahasiaan, dan ketersediaan dari jaringan. Masalah-masalah di atas ini berkaitan dengan keamanan jaringan dalam pengaksesan dan penggunaan jaringan.
Alasan-alasan untuk Masalah Keamanan Jaringan
Jaringan memiliki beberapa masalah keamanan untuk alasan-alasan berikut :
1. Sharing.
Pada jaringan, sumber daya yang tersedia dan muatan kerja (workload) dapat dipakai bersama-sama, sehingga banyak pemakai akan memiliki potensi untuk mengakses sistem jaringan jika dibandingkan dengan komputer tunggal. Kemungkinan yang lebih buruk adalah pengaksesan pada sistem jaringan dimaksudkan untuk banyak sistem, sehingga kendali untuk sistem tunggal mungkin tidak cukup baik untuk sistem jaringan.
2. Kerumitan sistem.
Suatu jaringan mengkombinasikan dua sistem operasi atau lebih yang tidak similar dengan mekanisasi untuk koneksi antar host. Oleh sebab itu, suatu sistem operasi / kendali jaringan tampaknya lebih rumit daripada sistem operasi untuk sistem komputasi tunggal. Kerumitan ini menghalangi kejelasan (certification) dari, atau bahkan kerahasiaan (confidence) dalam keamanan suatu jaringan.
3. Perimeter yang tidak dikenal.
Perluasan suatu jaringan berimplikasi pada ketidak-tentuan tentang batasan jaringan. Satu host mungkin merupakan suatu node pada dua jaringan yang berbeda, sehingga sumber daya yang tersedia pada satu jaringan dapat juga diakses oleh pemakai-pemakai pada jaringan lainnya. Meskipun kemampuan mengakses secara luas ini merupakan suatu keuntungan, kelompok tidak dikenal dan tidak terkendali dari macam-macam pemakai adalah kerugian dari keamanan. Masalah yang similar terjadi ketika host-host baru ditambahkan pada jaringan. Setiap node jaringan harus dapat memberikan respon pada kehadiran host-host baru dan yang tidak dapat dipercaya. Gambar 4 menunjukkan masalah-masalah dalam menentukan batasan suatu jaringan. Perlu diingat bahwa seorang pemakai pada suatu host dalam jaringan D mungkin tidak sadar tentang koneksikoneksi berpetensi dari pemakai-pemakai jaringan A dan B.
4. Banyak titik dari serangan.
Suatu sistem komputasi yang sederhana adalah unit pengendalian yang lengkap. Kendali-kendali akses pada satu mesin menjaga kerahasiaan data pada prosesor tersebut. Meskipun demikian, bila suatu file disimpan dalam satu remote host jaringan dari pemakai, file ini mungkin akan melewati banyak mesin host untuk sampai ke si pemakainya. Sementara administrator dari satu host mungkin memaksa kebijakankebijakan keamanan dengan ketat / keras, administrator ini mungkin tidak memiliki kendali terhadap host-host lain dalam jaringan. Pemakai harus mempercayai mekanisasi kendali akses dari semua sistem ini.
5. Path yang tidak diketahui.
mungkin satu host dapat dicapai dengan melalui banyak path. Misalkan bahwa seorang pemakai pada host A1 ingin mengirim pesan kepada pemakai yang berada pada host B3. Pesan ini mungkin dirutekan melalui host-host A2 atau B2 sebelum tiba pada host B3. Host A3 mungkin menyediakan keamanan yang dapat diterima, tetapi tidak untuk host A2 atau B2. Pemakai jaringan jarang memiliki kendali terhadap routing pesan mereka.
Pengungkapan Keamanan
Bahasan keamanan jaringan yang diidentifikasikan disini memberikan peningkatan beberapa pengungkapan (exposure) tertentu untuk jaringan. Pengungkapan keamanan ini dilakukan terhadap :
1. Rahasia (Privacy).
Dengan banyak pemakai tak dikenal pada jaringan, penyembunyian data yang sensitif menjadi sulit.
2. Keterpaduan Data (Data Integrity).
Karena banyak node dan pemakai berpotensi untuk mengakses sistem komputasi, resiko korupsi data (data corruption) adalah lebih tinggi. Tipe-tipe korupsi yang dilakukan adalah pemodifikasian pesan, penyisipan pesan-pesan yang palsu atau tidak benar, penghapusan pesan, jawaban pesan dan pengurutan kembali pesan. Suatu “pesan” seperti yang digunakan di sini mungkin merupakan komunikasi pada jaringan, seperti file, command, dan satu blok transmisi yang dienkripsi.
3. Keaslian (Authenticity).
Hal ini sulit untuk memastikan identitas pemakai pada sistem remote, akibatnya satu host mungkin tidak mempercayai keaslian seorang pemakai yang dijalankan oleh host lain. Pada kenyataannya, jaringan tidak dapat mempercayai keaslian host-host mereka.
4. Convert Channel.
Jaringan menawarkan banyak kemungkinan untuk konstruksi convert channel untuk aliran data, karena begitu banyak data yang sedang ditransmit guna menyembunyikan pesan.
Prinsip keamanan jaringan
Sebelum memahami berbagai macam ancaman keamanan jaringan, anda perlu memahami prinsip keamanan itu sendiri.
1. Kerahasiaan (confidentiality), dimana object tidak di umbar atau dibocorkan kepada subject yang tidak seharusnya berhak terhadap object tersebut, atau lazim disebut tidak authorize.
2. Integritas (Integrity), bahwa object tetap orisinil, tidak diragukan keasliannya, tidak dimodifikasi dalam perjalanan nya dari sumber menuju penerimanya.
3. Ketersediaan (Availability), dimana user yang mempunyai hak akses atau authorized users diberi akses tepat waktu dan tidak terkendala apapun.
Prinsip keamanan ini lazim disebut segitiga CIA (Confidentiality, Integrity, Availability). Dan salah satu goal utama dari pengendalian akses adalah untuk menjaga jangan sampai ada yang tidak authorize mengakses objek-2 seperti jaringan; layanan-2; link komunikasi; komputer atau system infrastruktur jaringan lainnya oleh apa yang kita sebut sebagai ancaman keamanan jaringan.
Dalam perjalanan anda untuk membangun suatu system kemanan jaringan, salah satu prosesnya adalah menilai resiko keamanan dalam organisasi anda. Akan tetapi terlebih dahulu anda perlu juga memahami berbagai jenis ancaman keamanan jaringan.
Ancaman keamanan jaringan dan metoda yang umum DipakaiBerikut ini adalah berbagai macam kelas serangan atau metoda serangan terhadap keamanan infrastruktur jaringan anda.
• Memaksa masuk dan kamus password
Jenis ancaman keamanan jaringan ini lebih umum disebut sebagai Brute Force and Dictionary, serangan ini adalah upaya masuk ke dalam jaringan dengan menyerang database password atau menyerang login prompt yang sedang active. Serangan masuk paksa ini adalah suatu upaya untuk menemukan password dari account user dengan cara yang sistematis mencoba berbagai kombinasi angka, huruf, atau symbol. Sementara serangan dengan menggunakan metoda kamus password adalah upaya menemukan password dengan mencoba berbagai kemungkinan password yang biasa dipakai user secara umum dengan menggunakan daftar atau kamus password yang sudah di-definisikan sebelumnya.
Untuk mengatasi serangan keamanan jaringan dari jenis ini anda seharusnya mempunyai suatu policy tentang pemakaian password yang kuat diantaranya untuk tidak memakai password yang dekat dengan kita missal nama, nama anak, tanggal lahir dan sebagainya. Semakin panjang suatu password dan kombinasinya semakin sulit untuk diketemukan. Akan tetapi dengan waktu yang cukup, semua password dapat diketemukan dengan metoda brute force ini.
Deniel of Services (DoS) ini adalah salah satu ancaman keamanan jaringan yang membuat suatu layanan jaringan jadi mampet, serangan yang membuat jaringan anda tidak bisa diakses atau serangan yang membuat system anda tidak bisa memproses atau merespon terhadap traffic yang legitimasi atau permintaan layanan terhadap object dan resource jaringan. Bentuk umum dari serangan Denial of Services ini adalah dengan cara mengirim paket data dalam jumlah yang sangat bersar terhadap suatu server dimana server tersebut tidak bisa memproses semuanya. Bentuk lain dari serangan keamanan jaringan Denial of Services ini adalah memanfaatkan telah diketahuinya celah yang rentan dari suatu operating system, layanan-2, atau applikasi-2. Exploitasi terhadap celah atau titik lemah system ini bisa sering menyebabkan system crash atau pemakaian 100% CPU.
Tidak semua Denial of Services ini adalah merupakan akibat dari serangan keamanan jaringan. Error dalam coding suatu program bisa saja mengakibatkan kondisi yang disebut DoS ini. Disamping itu ada beberapa jenis DoS seperti:
1. Distributed Denial of Services (DDoS), terjadi saat penyerang berhasil meng-kompromi beberapa layanan system dan menggunakannya atau memanfaatkannya sebagai pusat untuk menyebarkan serangan terhadap korban lain.
2. Ancaman keamanan jaringan Distributed refelective deniel of service (DRDoS) memanfaatkan operasi normal dari layanan Internet, seperti protocol-2 update DNS dan router. DRDoS ini menyerang fungsi dengan mengirim update, sesi, dalam jumlah yang sangat besar kepada berbagai macam layanan server atau router dengan menggunakan address spoofing kepada target korban.
3. Serangan keamanan jaringan dengan membanjiri sinyal SYN kepada system yang menggunakan protocol TCP/IP dengan melakukan inisiasi sesi komunikasi. Seperti kita ketahui, sebuah client mengirim paket SYN kepada server, server akan merespon dengan paket SYN/ACK kepada client tadi, kemudian client tadi merespon balik juga dengan paket ACK kepada server. Ini proses terbentuknya sesi komunikasi yang disebut Three-Way handshake yang dipakai untuk transfer data sampai sesi tersebut berakhir. Kebanjiran SYN terjadi ketika melimpahnya paket SYN dikirim ke server, tetapi si pengirim tidak pernah membalas dengan paket akhir ACK.
4. Serangan keamanan jaringan dalam bentuk Smurf Attack terjadi ketika sebuah server digunakan untuk membanjiri korban dengan data sampah yang tidak berguna. Server atau jaringan yang dipakai menghasilkan response paket yang banyak seperti ICMP ECHO paket atau UDP paket dari satu paket yang dikirim. Serangan yang umum adalah dengan jalan mengirimkan broadcast kepada segmen jaringan sehingga semua node dalam jaringan akan menerima paket broadcast ini, sehingga setiap node akan merespon balik dengan satu atau lebih paket respon.
5. Serangan keamanan jaringan Ping of Death, adalah serangan ping yang oversize. Dengan menggunakan tool khusus, si penyerang dapat mengirimkan paket ping oversized yang banyak sekali kepada korbannya. Dalam banyak kasus system yang diserang mencoba memproses data tersebut, error terjadi yang menyebabkan system crash, freeze atau reboot. Ping of Death ini tak lebih dari semacam serangan Buffer overflow akan tetapi karena system yang diserang sering jadi down, maka disebut DoS attack.
6. Stream Attack terjadi saat banyak jumlah paket yang besar dikirim menuju ke port pada system korban menggunakan sumber nomor yang random.
Spoofing adalah seni untuk menjelma menjadi sesuatu yang lain. Spoofing attack terdiri dari IP address dan node source atau tujuan yang asli atau yang valid diganti dengan IP address atau node source atau tujuan yang lain.
Serangan keamanan jaringan Man-in-the-middle (serangan pembajakan) terjadi saat user perusak dapat memposisikan diantara dua titik link komunikasi. Dengan jalan mengkopy atau menyusup traffic antara dua party, hal ini pada dasarnya merupakan serangan penyusup. Para penyerang memposisikan dirinya dalam garis komunikasi dimana dia bertindak sebagai proxy atau mekanisme store-and-forwad (simpan dan lepaskan).
Para penyerang ini tidak tampak pada kedua sisi link komunikasi ini dan bisa mengubah isi dan arah traffic. Dengan cara ini para penyerang bisa menangkap logon credensial atau data sensitive ataupun mampu mengubah isi pesan dari kedua titik komunikasi ini.
Spam yang umum dijabarkan sebagai email yang tak diundang ini, newsgroup, atau pesan diskusi forum. Spam bisa merupakan iklan dari vendor atau bisa berisi kuda Trojan. Spam pada umumnya bukan merupakan serangan keamanan jaringan akan tetapi hampir mirip DoS.
• Sniffer
Suatu serangan keamanan jaringan dalam bentuk Sniffer (atau dikenal sebagai snooping attack) merupakan kegiatan user perusak yang ingin mendapatkan informasi tentang jaringan atau traffic lewat jaringan tersebut. suatu Sniffer sering merupakan program penangkap paket yang bisa menduplikasikan isi paket yang lewat media jaringan kedalam file. Serangan Sniffer sering difokuskan pada koneksi awal antara client dan server untuk mendapatkan logon credensial, kunci rahasia, password dan lainnya.
Ancaman keamanan jaringan Crackers adalah user perusak yang bermaksud menyerang suatu system atau seseorang. Cracker bisasanya termotivasi oleh ego, power, atau ingin mendapatkan pengakuan. Akibat dari kegiatan hacker bisa berupa pencurian (data, ide, dll), disable system, kompromi keamanan, opini negative public, kehilangan pasar saham, mengurangi keuntungan, dan kehilangan produktifitas.
Dengan memahami ancaman keamanan jaringan ini, anda bisa lebih waspada dan mulai memanage jaringan anda dengan membuat nilai resiko keamanan jaringan dalam organisasi anda atau lazim disebut Risk Security Assessment.
Garfinkel mengemukakan bahwa keamanan computer (computer security) melingkupi beberapa aspek, yaitu :
1. Privacy / Confidentiality
Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Privacy lebih ke arah data-data yang sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut.
2. Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, Trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi. Sebuah email dapat saja “ditangkap” (intercept) di tengah jalan, diubah isinya (altered, tampered, modified), kemudian diterukan ke alamat yang dituju. Dengan kata lain, integritas dari informasi sudah tidak terjaga. Penggunaan enkripsi dan digital signature, misalnya dapat mengatasi masalah ini.
3. Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul asli, orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud, atau server yang kita hubungi adalah betul-betul server yang asli.
Untuk membuktikan keaslian dokumen dapat dilakukan dengan teknologi watermarking dan digital signature. Sedangkan untuk menguji keaslian orang atau server yang dimaksud bisa dilakukan dengan menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya. Ada tiga hal yang dapat ditanyakan kepada orang untuk menguji siapa dia :
* What you have (misalnya kartu identitas ~KTP,SIM,dll~)
* What you know (misalnya PIN atau password)
* What you are (misalnya sidik jari, biometric)
4. Availability
Aspek availability atau ketersedia hubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang dapat menghambat atau meniadakan akses ke informasi. Contoh hambatan adalah serangan yang sering disebut dengan “Denial of Service attack” (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubi-tubi atau permintaan diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash. Contoh lain adanya mailbomb, dimana seorang pemakai dikirimi email bertubi-tubi dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka emailnya atau kesulitan mengakses emailnya.
Aspek kontrol merupakan fitur-fitur keamanan yang mengontrol bagaimana user dan sistem berkomunikasi dan berinteraksi dengan system dan sumberdaya yang lainnya. Akses kontrol melindungi sistem dan sumberdaya dari akses yang tidak berhak dan umumnya menentukan tingkat otorisasi setelah prosedur otentikasi berhasil dilengkapi.
Kontrol akses adalah sebuah term luas yang mencakup beberapa tipe mekanisme berbeda yang menjalankan fitur kontrol akses pada sistem komputer, jaringan, dan informasi. Kontrol akses sangatlah penting karena menjadi satu dari garis pertahanan pertama yang digunakan untuk menghadang akses yang tidak berhak ke dalam sistem dan sumberdaya jaringan.
6. Non-Repudiation
Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Penggunaan digital signature, certificates, dan teknologi kriptografi secara umum dapat menjaga aspek ini. Akan tetapi hal ini masih harus didukung oleh hukum sehingga status dari digital signature itu jelas legal.
Tidak ada komentar:
Posting Komentar