Materi kali ini akan membahas tentang sistem keamanan yang diperlukan dalam sebuah jaringan, sekaligus sebagai lanjutan dari materi sebelumnya tentang firewall jaringan. Pada pembahasan ini akan sedikit membahas kembali tentang Firewall dan juga memabahas sistem keamanan jaringan yang lainnya, seperti Honeypot, Anti Virus dan IDS (Intrusion Detection Systems).
Kemajuan teknologi di bidang teknologi informasi saat ini sudah berkembang pesat khususnya di bidang jaringan. Kemajuan teknologi tersebut mendorong perusahaan meningkatkan akses kontrol setiap bagian perusahaan yang ada. Salah satu contohnya adalah ketika IT Manager membuat user account untuk setiap user agar dapat mengolah akses yang dimiliki. Dari hal tersebut dapat mengancam keamanan sistem maupun data dari perusahaan yang terdapat pada sistem. Salah satu contohnya adalah ketika user pada jaringan LAN (Local Area Network) mengakses website/server yang mengandung konten tidak baik pada Internet kemudian men-download-nya yang ternyata file tersebut berisi virus, worm, trojan dan sebagainya.
Dengan demikian, penyerang dapat memasuki bahkan merusak sistem yang dapat berdampak buruk bagi perusahaan. Oleh karena itu, dibutuhkannya suatu software atau hardware yang dapat digunakan sebagai penghalang bagi penyerang tersebut untuk masuk ke dalam sistem. Berikut ini adalah software atau hardware yang dapat digunakan seorang administrator jaringan untuk mengamankan jaringan dari serangan pihak luar :
A. Firewall
Firewall merupakan suatu sistem keamanan jaringan komputer yang digunakan untuk melindungi komputer dari beberapa jenis serangan luar. Firewall dapat diimplementasikan dalam perangkat keras maupun perangkat lunak atau bahkan keduanya. Secara umum, firewall memisahkan antara public network dengan private network. Firewall bekerja dengan menyaring lalu lintas jaringan yang menggunakan alamat IP, port number, dan protokol. Untuk linux, IP Tables digunakan untuk firewall. Iptables adalah suatu tools dalam sistem operasi linux yang berfungsi sebagai alat untuk melakukan filter (penyaringan) terhadap (trafic) lalu lintas data.
Secara konseptual, Firewall terbagi menjadi dua yaitu:
- Network Level
Firewall Network Level ini bekerja berdasarkan keputusan terhadap alamat sumber, alamat tujuan, dan port yang terdapat dalam setiap paket. Firewall Network Level ini bekerja dengan sangat cepat dan transparan bagi penggunanya.
- Application Level
Firewall Application Level ini adalah host yang berjalan sebagai proxy server yang di mana tidak mengijinkan lalu lintas antar jaringan serta dapat melakukan loggin dan auditing setiap lalu lintas yang melaluinya. Firewall Application Level ini menyediakan laporan audit yang lebih terperinci.
Berikut adalah beberapa contoh dari Firewall yang bersifat free:
- Ipchains
Ipchains adalah user-space portion dari kode terbaru paket filter Linux yang diperkenalkan dalam kernel versi 2.1.102.
- Falcon Project
Falcon terdiri dari tiga modul utama yaitu proxy Falcon (ditulis dalam Perl), 3rd- party proxy (squid/qmail/BIND8) yang dimodifikasi untuk lingkungan chroot dan konsep umum untuk OS hardening.
- Juniper
Juniper didesain agar bekerja pada dual homed bastion host yang tidak mem- forwarrd paket-paket antara interface. Juniper mengimplementasikan fasilitas proxy transparan hingga memungkinkan mesin-mesin internal untuk mengakses Internet secara transparan seolah-olah terhubung secara langsung ke Internet.
- Floppyfw
Floppyfw menggunakan kemampuan firewall dasar Linux yang memiliki sistem packaging yang sederhana. Sangat sesuai untuk mengamankan jaringan pada ADSL dan kabel menggunakan IP statik dan DHCP.
- T.Rex Open Source Firewall
T.Rex Open Source Firewall berjalan pada Linux, Solaris, dan AIX. Fitur yang ditawarkan oleh T.Rex ini mencakup dukungan untuk VPN (Virtual Private Network), NAT (Network Address Translation), dan aplikasi proxy tinggi seperti web caching, workload balancing, content filtering, high availability, dukungan SOCKS, dan sebagainya.
Sedangkan di bawah ini adalah contoh Firewall dengan versi commercial:
- Checkpoint Firewall-1
Checkpoint Firewall-1 adalah suite produk keamanan yang telah mendukung enterprise security, access control, autentikasi, content security, NAT, Reporting Module, VPN, Intrusion Detection, High Availability, LDAP User Account Management, dan Third Party Security Device Management.
- Raptor
Raptor didasarkan pada arsitektur proxy based yang memonitor seluruh lalu lintas pada level aplikasi serta men-scan seluruh aplikasi dan protokol yang keluar dan masuk jaringan.
- Xsentry
XSentry 1.1 Firewall terdiri dari XSentry Administration Client dan XSentry Firewall Server.
Berikut adalah beberapa kriteria yang menjadi perhitungan bagi firewall untuk mengijinkan suatu paket data dapat lewat atau tidak:
- Alamat IP dari sumber
- Port TCP/UDP sumber
- Alamat IP dari komputer tujuan
- Port TCP/UDP tujuan data pada komputer tujuan
- Informasi dari header yang disimpan dalam paket data.
Fungsi umum firewall adalah :
- Mengatur dan mengontrol lalu lintas jaringan
- Melakukan autentikasi terhadap akses
- Melindungi sumber daya dalam jaringan privat
- Mencatat semua kejadian, dan melaporkan kepada administrator
Paket filtering firewall adalah salah satu jenis teknologi keamanan yang digunakan untuk mengatur paket-paket apa saja yang diizinkan masuk ke dalam sistem atau jaringan dan paket-paket apa saja yang diblokir. Packet filtering umumnya digunakan untuk memblokir lalu lintas yang mencurigakan yang datang dari alamat IP yang mencurigakan, nomor port TCP/UDP yang mencurigakan, jenis protokol aplikasi yang mencurigakan, dan kriteria lainnya.
Bagian yang diperiksa dari paket data tersebut adalah bagian header yang berisi informasi penting, yaitu:
- IP address sumber
- IP address tujuan
- Protokol ( TCP/UDP/ICMP )
- Port sumber dari TCP atau UDP
- Port tujuan dari TCP atau UDP
- Tipe pesan dari ICMP
- Ukuran dari paket
Internet adalah gabungan PC yang dihubungkan melalui router-router yang saling terkoneksi dimana setiap PC memiliki alamat yang berbeda-beda (unik). Firewall jenis ini bekerja dengan cara membandingkan alamat sumber dari paket-paket tersebut dengan kebijakan pengontrolan akses yang terdaftar dalam Access Control List firewall, router tersebut akan mencoba memutuskan apakah hendak meneruskan paket yang masuk tersebut ke tujuannya atau menghentikannya.
Cara Kerja Firewal
Firewall mengawasi paket data yang lewat melalui router. Router ini dapat berfungsi sebagai sebuah server karena itu router ini dituntut untuk dapat memberikan route pada paket yang datang kepadanya. Router juga memikirkan bagaimana suatu paket data dapat sampai pada tujuan yang sebenarmya. Dalam hal ini, router tersebut saling berkomunikasi melalui protokol untuk memberikan route terhadap paket data yang datang. Protokol ini disebut Routing Information Protocol (RIP) yang menghasilkan sebuah tabel routing. Tabel routing inilah yang menunjukkan kemana paket data akan dikirim.
Pada beberapa sistem, teknik pengamanan jaringan dapat hanya dilakukan dengan memasang router filtering dan hanya pada lokasi tertentu saja pada jaringan kita. Oleh karena itu, router yang berfungsi sebagai filter harus dapat mengambil keputusan apakah paket berasal dari jaringan lokal atau berasal dari luar (internet), kegiatan ini disebut source address forgery.
Yang diperiksa dari sebuah paket data adalah bagian header nya yang mengandung informasi penting tentang paket tersebut.
- Protokol, informasi yang terdapat pada header ini tersusun atas byte-byte. Byte ke 9 merupakan informasi tentang protokol yang digunakan.
- Alamat IP Sumber, adalah IP address sumber yang mengirimkan paket data tersebut (berukuran 32 byte).
- Alamat IP Tujuan, adalah IP address tujuan paket tersebut dikirimkan (berukuran 32 byte).
- Port Sumber (TCP/UDP), adalah port yang menjadi tempat keluarnya paket data pengirim. Pada setiap akhir dari koneksi TCP atau UDP tersambung dengan sebuah port, Walaupun port-port TCP terpisah dan cukup jauh dari port-port UDP. Port-port yang mempunyai nomor dibawah 1024 diterbalikan karena nomor-nomor ini telah didefinisikan secar khusus, sedangkan untuk port-port yang bernomor diatas 1024 (inklusif) lebih dikenal dengan port ephermal. Konfigurasi dari nomor pengalamatan ini diberikan sesuai dengan pilihan dari vendor.
- Port Tujuan, adalah port yang menjadi saluran masuk paket data pada computer penerima paket data.
- Status Koneksi, status koneksi memberitahkan apakah paket data yang dikirimkan adalah paket pertama dari sesi di jaringan. Jika paket merupakan paket pertama maka pada TCP header diberlakukan ‘false’ atau 0 dan untuk mencegah sebuah host untuk mengadakan koneksi dengan menolak atau membuang paket yang mempunyai bit set ‘false’ atau 0.
Header pada paket data tersebut kemudian diperiksa, dengan cara membandingkannya dengan policy atau kebijakan yang telah dibuat oleh administrator jaringan. Apabila ada salah satu kebijakan tadi dilanggar, maka paket data yang datang akan di drop.
Metode paket filtering firewall ini memiliki beberapa keunggulan, yaitu :
- Performa yang tinggi, karena melakukan pengecekan terhadap banyak faktor (port, ip address, dll).
- Dapat diterapkan pada perangkat jaringan biasa router atau switch tanpa memerlukan perangkat tambahan.
- Efektif
Disamping itu paket filtering firewall ini juga memiliki kelemahan yang berkaitan dengan konfigurasi, yaitu :
Konfigurasi kompleks, agak sulit dalam mengkonfigurasi karena penguasaan terhadap port, ip address, dll.
- Mudah terjadi kesalahan dalam konfigurasi.
- Susah untuk mengkonfig pada protokol yang dinamis (misalnya FTP)
- Tidak dapat meng-filter berdasarkan content ( misalnya lampiran pada email, javascript, ActiveX)
B. Honeypot
Honeypot adalah suatu server virtual yang terlihat seperti server asli sehingga dapat menjadi umpan yang berfungsi untuk mengalihkan perhatian. Honeypot tidak menjalankan layanan yang sebagaimana umumnya server lakukan. Honeypot berpura-pura menjalankan layanan yang umumnya server lakukan sehingga akan membuat para penyusup berpikir bahwa dia adalah server sesungguhnya. Selain penjelasan di atas, honeypot juga berfungsi untuk melihat tehnik yang digunakan oleh para penyusup untuk masuk ke dalam server sehingga dapat mengumpulkan bukti sehingga para pelaku dapat diproses secara hukum.
Terdapat beberapa unsur yang terdapat dalam honeypot, yaitu:
- Monitoring / Logging Tools
- Alerting Mechanism
- Keystroke Logger
- Packet Analyzer
- Forensic Tools
Honeypot dapat diklasifikasikan berdasarkan tingkat interaksi yang dimilikinya. Semakin tinggi tingkat aktivitas penyerang di dalam sistem, maka semakin tinggi pula tingkat interaksi yang dimiliki honeypot. Honeypot memiliki dua tingkat interaksi, yaitu:
- Low Interaction Honeypot
Tipe honeypot yang hanya mensimulasikan sebagian service saja seperti hanya service FTP saja. Contoh dari jenis honeypot ini adalah Honeyd, Mantrap, Specter.
- High Interaction Honeypot
Tipe honeypot ini menggunakan keseluruhan resource sistem yang di mana honeypot ini dapat dikatakan sangat mirip dengan sistem (server) aslinya. Contoh honeypot ini adalah Honeynet.
C. Antivirus
Antivirus merupakan suatu software yang dibuat yang bertujuan untuk mengantisipasi dan menghapus virus yang menyerang sistem jaringan komputer. Antivirus dalam keamanan jaringan komputer memiliki fitur security network yang bertugas untuk melindungi dan menjaga keamanan komputer ketika terhubung dengan jaringan lokal (LAN) maupun jaringan Internet. Antivirus ini bekerja dengan mengidentifikasi IP address dan domain yang mencoba terhubung dengan komputer. Kemudian antivirus akan memverifikasi IP address dan domain tersebut apakah aman atau tidak. Jika aman, maka akan terhubung namun jika tidak maka fitur security network akan menyala dan akan langsung memutuskan koneksi.
Berikut adalah kelebihan dari antivirus:
- Merupakan software keamanan yang memberikan service real time bagi sebuah system,
- Berguna untuk detection, repair, block akses yang tidak disetujui oleh sistem,
- Berguna untuk menangkal serangan dari program yang bersifat jahat yang berasal dari luar sistem.
D. IDS (Intrusion Detection Systems)
IDS (Intrusion Detection Systems) merupakan suatu aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi adanya aktivitas yang mencurigakan dalam suatu sistem atau jaringan. Ada dua jenis IDS, yaitu:
- Network IDS (NIDS)
- Host IDS (HIDS)
Pada IDS yang berbasikan network atau jaringan, IDS akan menerima copy paket yang ditujukan pada suatu host untuk kemudian memeriksa paket-paket tersebut. IDS akan memberikan suatu tanda peringatan kepada admin jika ditemukan adanya paket yang berbahaya. IDS hanya akan memeriksa salinan dari paket asli sehingga walaupun ditemukan sebuah paket yang berbahaya, paket tersebut akan tetap mencapai host yang ditujunya. Berikut adalah beberapa hal yang harus dilakukan admin jika IDS mendeteksi suatu serangan :
- Memberikan peringatan berupa SMS, e-mail atau yang lainnya,
- Mengkonfigurasi ulang firewall,
- Menjalankan program respon terhadap serangan,
- Logging serangan dan event.
Berikut adalah kelebihan yang dimiliki oleh IDS:
- Dapat mendeteksi serangan baik dari luar maupun dari dalam
- Dapat disesuaikan dengan mudah dan memberikan perlindungan untuk keseluruhan jaringan
- Dapat dikelola secara terpusat
- Menyediakan pertahanan dari dalam
- Menyediakan layer tambahan untuk perlindungan
- IDS memonitoring Internet untuk perlindungan
- IDS melacak aktivitas pengguna dari saat masuk hingga keluar
Dalam menerapkan IDS, dibutuhkan suatu program yang dapat menjalankan IDS. Berikut adalah contoh program IDS:
- Chkwtmp
Program yang melakukan pengecekan terhadap entry kosong.
- Tcplogd
Program yang mendeteksi stealth scan yang merupakan scanning yang dilakukan tanpa harus membuat sebuah sesi TCP.
- Hostsentry
Program yang mendeteksi login anomali.
- Snort
Snort pada umumnya merujuk kepada IDS yang sifatnya ringan karena diperuntukkan bagi jaringan kecil. Snort sangat fleksibel karena arsitekturnya yang berbasis rule.