Keamanan Jaringan Merupakan hal yang penting
sekali di suatu instansi/perusahaan Satu hal yang perlu diingat bahwa tidak ada
jaringan yang anti sadap atau tidak ada jaringan komputer yang benar-benar
aman. Sifat dari jaringan adalah melakukan komunikasi, Setiap komunikasi dapat
jatuh ke tangan orang lain dan disalahgunakan. Dengan adanya sistem keamanan
akan membantu mengamankan jaringan tanpa menghalangi penggunaannya dan
menempatkan antisipasi ketika jaringan berhasil ditembus. Untuk menjamin
keamanan jaringan LAN dan WAN, ada beberapa hal yang perlu diperhatikan dalam
konfigurasi keamanannya. Ada dua elemen utama pembentuk keamanan jaringan
1. Tembok
pengamanan, baik secara fisik maupun maya, yang ditaruh diantara piranti dan
layanan jaringan yang digunakan dan orang-orang yang akan berbuat jahat.
2. Rencana
pengamanan, yang akan diimplementasikan bersama dengan user lainnya, untuk
menjaga agar sistem tidak bisa ditembus dari luar.
Uraian berikut menjelaskan
bagian-bagian apa saja yang perlu diamankan dan bagaimana cara pengamanannya
Akses fisik ke piranti
Perlu dilakukan pengamanan fisik
terhadap akses ke fisik piranti infrasutruktur jaringan baik untuk piranti
layer 2 atau atau piranti layer 3. Pengamanan akses fisik ini
diperlukan supaya penyusup atau penyerang tidak bisa mengakses piranti secara
fisik yang memungkinkannya mengontrol seluruh infrastruktur jaringan. Perlu
dicatat bahwa tidak ada satupun yang bisa menghentikan interuder kalau sudah
bisa melakukan akses fisik ke piranti. Dengan cara mudah dan cepat intruder
bisa melakukan serangan yang bisa menggangu jaringan seperti mematikan atau
menghentikan catuan daya listrik maupung hanya dengan mencabut kabel.
Serangan / ancaman
Jika intruder bisa mendapatkan
akses ke piranti layer 2 atau layer 3, seluruh infrastruktur bisa dikendalikan.
Minimal intruder bisa menyebabkan piranti tidak berfungsi, menyebabkan jaringan
tergangu. Kondisi yang lebih buruk misalnya dimana intruder bisa mendapatkan
password konsol dan mendapatkan akses penuh piranti (yang mungkin sulit
dideteksi, atau memasang piranti lain ke jaringan) dan infrastruktur.
Ancaman terhadap akses fisik ke
prianti bisa diwujudkan dalam berbagai cara, meskipun piranti berada dalam
pengamanan yang ketat. Masih sering terjadi dimana penyerang memalsukan diri
sebagai personel pemeliharaan untuk mendapatkan akses ke piranti penting yang
mengakibatkan matinya layanan jaringan dan serangan privasi. Serangan dari
dalam dari personel yang berhak juga bisa menjadi ancaman dan harus
diperhatikan.
Praktek Pengamanan
Untuk alasan keamanan, peralatan
diletakkan dalam ruangan atau tempat yang sangat terbatas. Hanya personel yang
berhak yang bisa mengakses ruangan yang berisi piranti infrastruktur jaringan
yang kritis. Akses ke ruangan bisa digunakan card-key yang juga bisa sekaligus
mencatat siapa saja yang pernah melakukan akses ke ruangan tersebut.Semua akses ke konsol selalu
dilindungi dengan password dan waktu login diset untuk timout setelah waktu
tertentu user tidak aktif, umumnya antara 5 sampai 10 menit.
Mekanisme Pengamanan
1. Otentikasi User - semua individu yang mengakses fasilitas
fisik harus diotentikasi. Akses ke konsol diotentikasi
2. Otorisasi User
– individu yang telah terotentikasi implisit bisa mendapatkan otoritas untuk
memasukkan perintah kontrol ke piranti. Pada kasus tertentu otentikasi berlapis
diperlukan untuk membedakan antara akses dasar dan akses penuh.
3. Audit / log
– semua akses ke lokasi fisik harus tercatat. Dengan menggunakan kunci berbasi
kartu (magnetik atau chip) pencatatan akses bisa dilakukan otomatis.
Pengelolaan piranti
Pengelolaan piranti secara in-band
bisa dinyatakan sebagai akses ke piranti, dimana trafik kontrol berada pada
jalur yang sama dengan trafik data. Pengelolaan piranti secara out-of-band bisa
dinyatakan sebagai akses ke piranti dimana trafik kontrol menggunakan jalur
yang berbeda dengan jalur data. Dalam beberapa lingkungan, pengelolaan piranti
layer 2 dan layer 3 dilakukan sebagai bagian dari pengelolaan out-of-band, dan
sebagian lingkungan menerapkannya secara in-band. Meskipun hal-hal yang
menyangkut keamanan sama antara pengelolaan out-of-band dan inband, out-of-band
lebih banyak dipilih karena menawarkan pengamanan yang lebih baik dibandingkan
in-band karena lebih sedikit kemungkinannya untuk diakses oleh yang tidak
berhak. Akses konsol selalu secara
arsitektur dilakukan melalui jaringan OOB. Saat ini mekaisme yang digunakan
baik untuk in-band maupun out-of-band adalah melalui akses terminal virtual
seperti Telnet atau SSH, SNMP, atau HTTP.
Ancaman / serangan
Untuk pengelolaan piranti,
serangan pasif dimungkinkan kalau seseorang mempunyai kemampuan untuk menangkap
data antara piranti pengelola dan piranti yang dikelola. Serangan dimungkinkan
jika suatu piranti infrastruktur telah dimasuki penyerang dan berlaku sebagai
pengintip jaringan, atau jika dimungkinkan untuk memasukkan piranti baru
sebagai pengintip jaringan. Serangan aktif dimungkinkan untuk
skenario on-path maupun off-path. Untuk serangan aktif on-path situasinya sama
dengan serangan pasif, dimana piranti bisa dimasukkan ke dalam jalur atau
melalui piranti yang sudah bisa dikuasai penyerang. Untuk serangan aktif
off-path, serangan dimungkinkan dengan subversi topologi yang membuat penyerang
menjadi on-path, serangan biasanya terbatas pada pengubahan dan pemasukan
pesan.
Pelanggaran confidentiality
Pelanggaran confidentiality bisa
terjadi pada saat seseorang bisa membaca data yang terkirim tanpa terenkripsi
atau dengan enkripsi yang lemah. Dia bisa membaca username dan password yang
denganya bisa mendapatkan akses tidak sah ke piranti dan jaringan. Dia bisa
juga mendapatkan data logging dan konfigurasi jika administrator melihat
konfigurasi secara remote.
Serangan kriptografi secara offline
Jika infromasi username/password
telah dienkripsi, tetapi mekanisme kriptografi yang digunakan memungkinkan
untuk menangkap data dan memecahkan kunci enkripsi, trafik pengelolaan piranti
bisa dimasuki. Trafik bisa dibaca dengan mekanisme eavesdropping pada jaringan
atau dengan cara membelokkan trafik pengelolaan piranti ke tempat lain.
Reply Attacks
Untuk serangan jenis reply attack
bisa berhasil trafik pengelolaan piranti harus pertama-tama bisa ditangkap
secara off-path maupun on-path, atau dibelokkan ke penyerang untuk dikirimkan
kembali lain waktu ke penerima yang diinginkan.
Pemasukan, perubahan dan penghapusan pesan
Data bisa dimanipulasikan oleh
siapa saja dalam kontrol dari host perantara. Pemalsuan data juga bisa
dimungkinkan dengan IP spoofing, dimana remote host mengirim paket yang terlihat
sebagai paket dari komputer terpercaya di tempat lain.
Serangan Man-In-The-Middle
Suatu serangan Man-In-The-Middle
menyerang identitas peer yang berkomunikasi, bukan data yang dipertukarkan
dalam komunikasi. Penyerang membaca trafik yang dikirim dari system pengelolaan
ke piranti yang dikelola dan trafik yang dikirim dari piranti ke system
pengelolaan.
Praktek pengamanan
Pengelolaan OOB dilakukan dengan
memasang terminal server di setiap lokasi. Akses SSH digunakan untuk
menggunakan terminal server dimana sesi ke piranti dibentuk. Akses dial-in bisa
digunakan sebagai backup jika jaringan tidak tersedia (down). Untuk lebih
mengamankan bisa dipakai dial-back, modem enkripsi dan atau modem one-time-password untuk mencegah kelemahan
akses dial-in dengan plain password.
Semua akses pengelolaan in-band
dan OOB layer 2 dan layer 3 diautentikasi. Autentikasi user dan otorisasinya
umumnya dikontrol dengan server AAA. .Selalu digunakan SSH untuk akses
terminal virtual untuk menenkripsi saluran komunikasi.Jika SNMP digunakan untuk
pengelolaan jaringan, hanya digunakan untuk query saja dan akses dibatasi untuk
host tertentu. Jika dimungkinkan tampilan yang bisa dibaca dari SNMP juga
dibatasi untuk informasi yang diperlukan oleh stasiun pengelola, bukan akses ke
semua data meskipun read-only. Community string dipilih sedemikian rupa
sehingga sulit untuk dipecahkan dan ada prosedur untuk mengganti community
string setiap 60-90 hari. SNMP akses read/write tidak digunakan.
Akses kontrol dibatasi secara
ketat untuk akses ke piranti infrastruktur dengan filtering rule. Hanya alamat
IP tertentu yang dibolehkan mengakses piranti dan juga hanya dibolehkan untuk
akses ke service tertentu (SSH dan SNMP).Semua akses pengelolaan piranti
diaudit dan setiap pelanggaran akan menyebabkan alarm dan pengiriman secara
otomatis notifikasi email, pager dan atau telephone. Server AAA menyimpan
informasi entitas terotentikasi dan juga perintah yang telah diterapkan ke
piranti. Piranti tersebut juga menyimpan log pelanggaran akses (seperti akses
SSH menjamin bahwa trafik yang benar tetap bisa diteruskan ke user.
Ancaman / Serangan
Semua trafik data bisa menjadi
trafik serangan dan tantangannya adalah mendeteksi dan menghentikan trafik yang
mencurigakan. Trafik serangan bisa
berisi packet dengan informasi sumber dan atau tujuan yang dipalsukan atau isu
keamanan protokol yang lain (seperti connection reset, membuat ICMP redirect,
membuat IP options yang tidak diterima, atau fragmentasi paket)
Praktek pengamanan
Penyaringan dan pembatasan
bandwidth adalah mekanisme utama yang bisa diterapkan untuk mencegah trafik
mencurigakan bisa mengganggu operasi jaringan. Penyarigan dan pembatasan trafik
bisa diterapkan dengan berbagai cara, tergantung dari seberapa otomatis
prosesnya dan kemampuan serta kinerja
dari perangkat yang dipakai.
Untuk mengurangi kemungkinan
adanya paket yang dipalsukan informasi sumbernya maka bisa diterapkan
penyaringan paket pada sisi masuk dan keluar dengan hanya membolehkan paket
dengan alamat sumber dan tujuan yang sah yang bisa lewat. Penyaringan ini
diterapkan di setiap router untuk memastikan bahwa paket yang dipalsukan telah
dihentikan pada router pertama yang dilaluinya.Penyaringan paket pada layer 4
juga bisa diterapkan kalau batasan performansi membolehkan diterapkannya
penyaringan tersebut. Netflow diterapkan untuk menelusuri aliran trafik.Unicast Reverse Path Forwarding
juga bisa diterapkan untuk jaringan dengan kecepatan rendah (dibawah 64Mbps)
Pengontrolan Routing
Routing control berkaitan dengan
trafik yang menjadi bagian dari protokol pembentukan dan pemeliharaan informasi
routing.
Ancaman / Serangan
Serangan pada bidang routing
control bisa berasal dari sumber pasif atau sumber aktif. Serangan pasif bisa
dimungkinkan jika seseorang mempunyai kemampuan untuk menangkap data antara
kedua piranti routing. Hal ini bisa terjadi jika sebuah piranti sudah ditembus
dan berlaku sebagai pengumpul trafik jaringan, atau jika dimungkinkan
memasukkan piranti baru yang bisa berlaku sebagai pengumpul trafik jaringan.
Sumber : Dari berbagai Sumber
terimakasih untuk informasinya.
ReplyDelete