Keamanan jaringan komputer sebagai bagian dari sebuah sistem informasi
adalah sangat penting untuk menjaga validitas dan integritas data serta
menjamin keterrsediaan layanan begi penggunanya. Sistem harus dilindungi
dari segala macam serangan dan usaha-usaha penyusupan atau pemindaian
oleh pihak yang tidak berhak.
Komputer yang terhubung ke jaringan mengalami ancaman keamanan yang
lebih besar daripada host yang tidak terhubung kemana-mana. Dengan
mengendalikan network security, resiko tersebut dapat dikurangi. Namun
network security biasanya bertentangan dengan network acces, karena bila
network acces semakin mudah, network security makin rawan. Bila network
security makin baik, network acces semakin tidak nyaman. Suatu jaringan
didesain sebagai komunikasi data highway dengan tujuan meningkatkan
akses ke sistem komputer, sementara keamanan didesain untuk mengontrol
akses. Penyediaan network security adalah sebagai aksi penyeimbang
antara open acces dengan security.
Prinsip Keamanan Jaringan
Prinsip keamanan jaringan dapat dibedakan menjadi tiga, yaitu :
a. Kerahasiaan
Kerahasiaan berhubungan dengan hak akses untuk membaca data atau
informasi dan suatu sistem computer. Dalam hal ini suatu sistem komputer
dapat dikatakan aman jika suatu data atau informasi hanya dapat dibaca
oleh pihak yang telah diberi hak atau wewenang secara legal.
b. Integritas (integrity)
Integrity berhubungan dengan hak akses untuk mengubah data atau
informasi dari suatu sistem computer. Dalam hal ini suatu sistem
komputer dapat dikatakan aman jika suatu data atau informasi hanya dapat
diubah oleh pihak yang telah diberi hak.
c. Ketersediaan (availability)
Availability berhubungan dengan ketersediaan data atau informasi pada
saat yang dibutuhkan. Dalam hal ini suatu sistem komputer dapat
dikatakan aman jika suatu data atau informasi yang terdapat pada sistem
komputer dapat diakses dan dimanfaatkan oleh pihak yang berhak.
d. Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi
betul-betul asli, orang yang mengakses atau memberikan informasi adalah
betul-betul orang yang dimaksud, atau server yang kita hubungi adalah
betul-betul server yang asli.
Untuk membuktikan keaslian dokumen dapat dilakukan dengan teknologi
watermarking dan digital signature. Sedangkan untuk menguji keaslian
orang atau server yang dimaksud bisa dilakukan dengan menggunakan
password, biometric (ciri-ciri khas orang), dan sejenisnya.
e. Akses Kontrol
Aspek kontrol merupakan fitur-fitur keamanan yang mengontrol bagaimana
user dan sistem berkomunikasi dan berinteraksi dengan system dan
sumberdaya yang lainnya. Akses kontrol melindungi sistem dan sumberdaya
dari akses yang tidak berhak dan umumnya menentukan tingkat otorisasi
setelah prosedur otentikasi berhasil dilengkapi.
Kontrol akses adalah sebuah term luas yang mencakup beberapa tipe
mekanisme berbeda yang menjalankan fitur kontrol akses pada sistem
komputer, jaringan, dan informasi. Kontrol akses sangatlah penting
karena menjadi satu dari garis pertahanan pertama yang digunakan untuk
menghadang akses yang tidak berhak ke dalam sistem dan sumberdaya
jaringan.
f. Non-Repudiation
Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan
sebuah transaksi. Penggunaan digital signature, certificates, dan
teknologi kriptografi secara umum dapat menjaga aspek ini. Akan tetapi
hal ini masih harus didukung oleh hukum sehingga status dari digital
signature itu jelas legal.
Jenis Serangan Terhadap Keamanan Jaringan
Pada dasarnya, menurut jenisnya, serangan terhadap suatu data dalam suatu jaringan dapat dikategorikan menjadi 2, yaitu:
1. Serangan Pasif
Merupakan serangan pada sistem autentikasi yang tidak menyisipkan data
pada aliran data, tetapi hanya mengamati atau memonitor pengiriman
informasi ke tujuan. Informasi ini dapat digunakan di lain waktu oleh
pihak yang tidak bertanggung jawab. Serangan pasif yang mengambil suatu
unit data kemudian menggunakannya untuk memasuki sesi autentikassi
dengan berpura-pura menjadi user yangg autentik / asli disebut dengan
replay attack. Beberapa informasi autentikasi seperti password atau data
biometric yang dikirim melalui transmisi elektronik dapat direkam dan
kemudian digunakan untuk memalsukann data yang sebenarnya. Serangan
pasif inni sulit dideteksi kareena penyerang tidak melakukan perubahan
data. Oleh sebab itu untuk mengatasi serangan pasif ini lebih ditekankan
pada pencegahan daripada pendeteksiannya.
2. Serangan Aktif
Merupakan serangan yang mencoba memodifikasi data, mencoba mendapatkan
autentikasi, atau mendapatkan autentikasi dengan mengirimkan paket-paket
data yang salah ke dalam data stream atau dengan memodifikassi
paket-paket yang melewati data stream. Kebalikan dari serangan pasif,
serangan aktif sulit untuk dicegah karena untuk melakukannya dibutuhkan
perlindungan fisik untuk semua fasilitass komunikassi dan jalur-jalurnya
setiap saat. Yang dapat dilakukan adalah mendeteksi dan memulihkan
keadaan yang disebabkan oleh serangan ini.
Bentuk-bentuk Ancaman
1. Memaksa masuk dan kamus password
Jenis ancaman keamanan jaringan ini lebih umum disebut sebagai Brute
Force and Dictionary, serangan ini adalah upaya masuk ke dalam jaringan
dengan menyerang database password atau menyerang login prompt yang
sedang active. Serangan masuk paksa ini adalah suatu upaya untuk
menemukan password dari account user dengan cara yang sistematis mencoba
berbagai kombinasi angka, huruf, atau symbol. Sementara serangan dengan
menggunakan metoda kamus password adalah upaya menemukan password
dengan mencoba berbagai kemungkinan password yang biasa dipakai user
secara umum dengan menggunakan daftar atau kamus password yang sudah
di-definisikan sebelumnya.
Untuk mengatasi serangan keamanan jaringan dari jenis ini anda
seharusnya mempunyai suatu policy tentang pemakaian password yang kuat
diantaranya untuk tidak memakai password yang dekat dengan kita missal
nama, nama anak, tanggal lahir dan sebagainya. Semakin panjang suatu
password dan kombinasinya semakin sulit untuk diketemukan. Akan tetapi
dengan waktu yang cukup, semua password dapat diketemukan dengan metoda
brute force ini.
2. Denial of Services (DoS)
Deniel of Services (DoS) ini adalah salah satu ancaman keamanan jaringan
yang membuat suatu layanan jaringan jadi mampet, serangan yang membuat
jaringan anda tidak bisa diakses atau serangan yang membuat system anda
tidak bisa memproses atau merespon terhadap traffic yang legitimasi atau
permintaan layanan terhadap object dan resource jaringan. Bentuk umum
dari serangan Denial of Services ini adalah dengan cara mengirim paket
data dalam jumlah yang sangat bersar terhadap suatu server dimana server
tersebut tidak bisa memproses semuanya. Bentuk lain dari serangan
keamanan jaringan Denial of Services ini adalah memanfaatkan telah
diketahuinya celah yang rentan dari suatu operating system, layanan-2,
atau applikasi-2. Exploitasi terhadap celah atau titik lemah system ini
bisa sering menyebabkan system crash atau pemakaian 100% CPU.
Tidak semua Denial of Services ini adalah merupakan akibat dari serangan
keamanan jaringan. Error dalam coding suatu program bisa saja
mengakibatkan kondisi yang disebut DoS ini. Disamping itu ada beberapa
jenis DoS seperti:
Distributed Denial of Services (DDoS), terjadi saat penyerang berhasil
meng-kompromi beberapa layanan system dan menggunakannya atau
memanfaatkannya sebagai pusat untuk menyebarkan serangan terhadap korban
lain.
Ancaman keamanan jaringan Distributed refelective deniel of service
(DRDoS) memanfaatkan operasi normal dari layanan Internet, seperti
protocol-2 update DNS dan router. DRDoS ini menyerang fungsi dengan
mengirim update, sesi, dalam jumlah yang sangat besar kepada berbagai
macam layanan server atau router dengan menggunakan address spoofing
kepada target korban.
Serangan keamanan jaringan dengan membanjiri sinyal SYN kepada system
yang menggunakan protocol TCP/IP dengan melakukan inisiasi sesi
komunikasi. Seperti kita ketahui, sebuah client mengirim paket SYN
kepada server, server akan merespon dengan paket SYN/ACK kepada client
tadi, kemudian client tadi merespon balik juga dengan paket ACK kepada
server. Ini proses terbentuknya sesi komunikasi yang disebut Three-Way
handshake yang dipakai untuk transfer data sampai sesi tersebut
berakhir. Kebanjiran SYN terjadi ketika melimpahnya paket SYN dikirim ke
server, tetapi si pengirim tidak pernah membalas dengan paket akhir
ACK.
Serangan keamanan jaringan dalam bentuk Smurf Attack terjadi ketika
sebuah server digunakan untuk membanjiri korban dengan data sampah yang
tidak berguna. Server atau jaringan yang dipakai menghasilkan response
paket yang banyak seperti ICMP ECHO paket atau UDP paket dari satu paket
yang dikirim. Serangan yang umum adalah dengan jalan mengirimkan
broadcast kepada segmen jaringan sehingga semua node dalam jaringan akan
menerima paket broadcast ini, sehingga setiap node akan merespon balik
dengan satu atau lebih paket respon.
Serangan keamanan jaringan Ping of Death, adalah serangan ping yang
oversize. Dengan menggunakan tool khusus, si penyerang dapat mengirimkan
paket ping oversized yang banyak sekali kepada korbannya. Dalam banyak
kasus system yang diserang mencoba memproses data tersebut, error
terjadi yang menyebabkan system crash, freeze atau reboot. Ping of Death
ini tak lebih dari semacam serangan Buffer overflow akan tetapi karena
system yang diserang sering jadi down, maka disebut DoS attack.
Stream Attack terjadi saat banyak jumlah paket yang besar dikirim menuju
ke port pada system korban menggunakan sumber nomor yang random.
3. Spoofing
Spoofing adalah seni untuk menjelma menjadi sesuatu yang lain. Spoofing
attack terdiri dari IP address dan node source atau tujuan yang asli
atau yang valid diganti dengan IP address atau node source atau tujuan
yang lain.
4. Serangan Man-in-the-middle
Serangan keamanan jaringan Man-in-the-middle (serangan pembajakan)
terjadi saat user perusak dapat memposisikan diantara dua titik link
komunikasi.
* Dengan jalan mengkopy atau menyusup traffic antara dua party, hal ini pada dasarnya merupakan serangan penyusup.
* Para penyerang memposisikan dirinya dalam garis komunikasi dimana dia
bertindak sebagai proxy atau mekanisme store-and-forwad (simpan dan
lepaskan).
Para penyerang ini tidak tampak pada kedua sisi link komunikasi ini dan
bisa mengubah isi dan arah traffic. Dengan cara ini para penyerang bisa
menangkap logon credensial atau data sensitive ataupun mampu mengubah
isi pesan dari kedua titik komunikasi ini.
5. Spamming
Spam yang umum dijabarkan sebagai email yang tak diundang ini,
newsgroup, atau pesan diskusi forum. Spam bisa merupakan iklan dari
vendor atau bisa berisi kuda Trojan. Spam pada umumnya bukan merupakan
serangan keamanan jaringan akan tetapi hampir mirip DoS.
6. Sniffer
Suatu serangan keamanan jaringan dalam bentuk Sniffer (atau dikenal
sebagai snooping attack) merupakan kegiatan user perusak yang ingin
mendapatkan informasi tentang jaringan atau traffic lewat jaringan
tersebut. suatu Sniffer sering merupakan program penangkap paket yang
bisa menduplikasikan isi paket yang lewat media jaringan kedalam file.
Serangan Sniffer sering difokuskan pada koneksi awal antara client dan
server untuk mendapatkan logon credensial, kunci rahasia, password dan
lainnya.
7. Crackers
Ancaman keamanan jaringan Crackers adalah user perusak yang bermaksud
menyerang suatu system atau seseorang. Cracker bisasanya termotivasi
oleh ego, power, atau ingin mendapatkan pengakuan. Akibat dari kegiatan
hacker bisa berupa pencurian (data, ide, dll), disable system, kompromi
keamanan, opini negative public, kehilangan pasar saham, mengurangi
keuntungan, dan kehilangan produktifitas.
Virtual Private Network(VPN) adalah solusi koneksi private melalui jaringan publik. Dengan VPN maka kita dapat membuat jaringan di dalam jaringan atau biasa disebut tunnel.
Solusi VPN :
IPSEC, solusi VPN via IP Secure Protocol. Solusi yang sudah
distandarisasi tapi paling susah dikonfigurasi. Tingkat keamanan yang
cukup baik namun dalam implementasinya cukup rumit. Aplikasi yang
digunakan yang berbasis open source yaitu Open/Free Swan.
PPPT, solusi VPN versi awal. Merupakan solusi VPN dengan feature standar
dimana jaringan dibangun dengan point to point seperti halnya anda
melakukan dial up pada internet dirumah. Pada saat dial up ke provider
internet ada maka akan dibangun point to point tunnel melalui jaringan
telepon. Aplikasi OpenSource yang menggunakan PPPT adalah PopTop.
VPN with SSL, merupakan solusi VPN dengan menerapkan protocol Secure
Socket Layer(SSL) pada enkripsi jaringan tunnel yang dibuat. Solusi ini
diawali dengan aplikasi OpenVPN.
Fungsi VPN :
Menghubungkan kantor-kantor cabang melalui jaringan public. Dengan VPN
maka perusahaan tidak perlu membangun jaringan sendiri. Cukup terhubung
dengan jaringan public contohnya internet. Saat ini hampir semua kantor
perusahaan pasti memiliki akses internet. Dengan demikin bisa dihemat
anggaran koneksi untuk ke cabang-cabang.
Mobile working, dengan VPN maka karyawan dapat terhubung langsung dengan
jaringan kantor secara private. Maka karyawan dapat melakukan pekerjaan
yang bisa dilakukan dari depan komputer tanpa harus berada di kantor.
Hal ini menjadi solusi virtual office di jaman mobilitas tinggi seperti
sekarang ini.
Securing your network. Saat ini beberapa vendor seperti telkom
memberikan solusi VPN juga untuk perusahaan-perusahaan. Namun solusi ini
masih kurang aman. Karena untuk terhubung tidak memerlukan
authentikasi. Sehingga bila ada pengguna mengetahui settingan VPN
perusahaan tersebut maka dia dapat terhubung ke jaringan perusahaan tapi
harus login. Contohnya pada telkomsel VPN hanya dengan mengganti nama
APN pada settingan network maka dia dapat langsung terhubung dengan
jaringan dengan nama APN tersebut. Dengan memasang VPN lagi di jaringan
VPN semi publik tersebut maka jaringan akan lebih aman karena sebelum
masuk ke jaringan kantor maka user harus membuat tunnel dulu dan login
ke VPN server baru bisa terhubung dengan jaringan kantor.
Mengamankan jaringan wireless. Jaringan wireless merupakan jaringan
publik yang bisa diakses oleh siapa saja yang berada dijangkauan
wireless tersebut. Walaupun wireless juga memiliki pengaman seperti WEP,
WPA, WPA2 namun jaringan wireless masih saja bisa ditembus. Dengan
menggunakan VPN maka user yang terhubung ke wireless harus membuat
tunnel dulu dengan login ke VPN server baru bisa menggunakan resource
jaringan seperti akses internet dan sebagainya.
Dari beberapa solusi yang ada saat ini yang paling banyak digunakan
adalah solusi VPN dengan SSL yaitu dengan OpenVPN sebagai aplikasinya.
Selain gratis karena open source juga memiliki kemudahan implementasi.
Saya lebih memilih menggunakan OpenVPN karena kemudahan implementasinya
serta bersifat multiplatform dapat dijalankan pada Linux ataupun
Windows.
- Biaya lebih murah
Pembangunan jaringan leased line khusus atau pribadi memerlukan biaya
yang sangat mahal. VPN dapat menjadi alternatif yang dapat digunakan
untuk dapat mengatasi permasalahan diatas. VPN dibangun dengan
menggunakan jaringan internet milik publik tanpa perlu membangun
jaringan pribadi. Dengan demikian bila ingin menggunakan VPN hanya
diperlukan koneksi internet.
- Fleksibilitas
Semakin berkembangnya internet, dan makin banyaknya user yang
menggunakannya membuat VPN juga ikut berkembang. Setiap user dapat
tergabung dalam VPN yang telah dibangun tanpa terbatas jarak dan waktu.
Fleksibilitas dapat dicapai apabila user tersebut terkoneksi dengan
internet dan mendapat ijin menggunakan VPN.
- Kemudahan pengaturan dan administrasi
Keseluruhan VPN dapat diatur dalam server VPN sendiri, dan untuk dapat
digunakan oleh klien, maka perlu diinstal aplikasi VPN pada klien. Hal
ini tentu lebih mudah apabila dibandingkan dengan menggunakan leased
line yang masih perlu memonitor modem.
- Mengurangi kerumitan pengaturan dengan teknologi tunneling
Implementasi VPN :
1. Intranet VPN
Intranet merupakan koneksi VPN yang membuka jalur komunikasi pribadi
menuju ke jarinan lokal yang bersifat pribadi melalui jaringan publik
seperti internet. Dengan melalui VPN jenis ini, user dapat langsung
mengakses file-file kerja dengan leluasa tanpa terikat tempat dan waktu.
Apabila dianalogikan pada sebuah perusahaan, koneksi ke kantor pusat
dapat dilakukan dari mana saja, dari kantor pusat menuju ke kantor
cabang dapat pula dibuat koneksi pribadi, dan juga dari kantor juga
memungkinkan untuk dibuat jalur komunikasi pribadi yang ekonomis.
Ekstranet VPN merupakan fasilitas VPN yang diperuntukkan bagi
pihak-pihak dari luar anggota organisasi atau perusahaan, tetapi masih
memiliki hak dan kepentingan untuk dapat mengakses data dalam kantor.
Pada umumnya user dari VPN dari jenis ini merupakan customer, vendor,
partnet dan supplier dari suatu perusahaan.
3. Model Remote Access VPN
VPN merupakan sebuah proses remote access yang bertujuan mendapatkan
koneksi ke jaringan private tujuannya. Proses remote accsess VPN
tersebut dibedakan menjadi dua jenis berdasarkan oleh siapa proses
remote access VPN tersebut dilakukan. Kedua jenis tersebut antara lain
sebagai berikut.
4. Client-initiated
Secara harfiah, client-initiated merupakan pihak klien yang berinisiatif
untuk melakukan sesuatu. Pada VPN jenis ini, ketika sebuah komputer
ingin membangun koneksi VPN maka PC tersebutlah yang berusaha membangun
tunnel dan melakukan proses enkripsi hingga mencapai tujuannya dengan
aman. Namun, proses ini tetap mengandalkan jasa dari jaringan Internet
Service Provider (ISP) yang dapat digunakan untuk umum. Clien-initiated
digunakan oleh komputer-komputer umum dengan mengandalkan VPN server
atau VPN concentrator pada jaringan tujuannya.
5. Network Access Server-initiated
Berbeda dengan clien-initiated, VPN jenis network access
server-initiated ini tidak mengharuskan clien untuk membuat tunnel dan
melakukan enkrpsi dan dekripsi sendiri. VPN jenis ini hanya mengharuskan
user melakukan dial-in ke network access server (NAS) dari ISP.
Kemudian, NAS tersebut yang membangun tunnel menuju ke jaringan private
yang dituju oleh klien tersebut. Dengan demikian, koneksi VPN dapat
dibangun dan dipergunakan oleh banyak klien dari manapun, karena pada
umumnya NAS milik ISP tersebut memang dibuka untuk umum.
