Mekanisme Pertahanan | Network Topology |

Assalamualaikum Wr. Wb. Saya akan melanjutkan pembahasan Tentang Network Topology. Langsung Saja saya bahas di bawah ini.

Network Topology

Selain permasalahan aplikasi yang akan mempergunakan jaringan komputer, topologi jaringan komputer juga memiliki peranan yang sangat penting dalam keamanan jaringan komputer. Pembagian kelompok komputer sesuai dengan tugas yang akan diembannya adalah suatu halyang perlu dilakukan. Dengan adanya pembagian kelompok-kelompok jaringan komputer,apabila terjadi gangguan keamanan pada sebuah kelompok jaringan komputer, tidak akandengan mudah menyebar ke kelompok jaringan komputer lainnya. Selain itu metode keamanan
yang diterapkan pada setiap kelompok jaringan komputer juga bisa berbeda-beda, sesuai denganperanannya masing-masing.Secara mendasar, sebuah jaringan komputer dapat dibagi atas kelompok jaringan eksternal(Internet atau pihak luar), kelompok jaringan internal dan kelompok jaringan diantaranya atauyang biasa disebut sebagai DeMilitarized Zone (DMZ). Komputer-komputer pada jaringan
DMZ, adalah komputer-komputer yang perlu dihubungi secara langsung oleh pihak luar.Contohnya adalah web-server, mail exchange server dan name server. Komputer-komputer padajaringan DMZ harus dipersiapkan secara khusus, karena mereka akan terbuka dari pihak luar.Aplikasi yang dipergunakan pada host-host pada DMZ harus merupakan aplikasi yang aman,terus menerus dipantau dan dilakukan update secara reguler. Aturan-aturan yang berlaku adalah sebagai berikut :
• Pihak luar hanya dapat berhubungan dengan host-host yang berada pada jaringan DMZ, sesuai dengan kebutuhan yang ada. Secara default pihak luar tidak bisa melakukan hubungan dengan host-host pada jaringan DMZ.
• Host-host pada jaringan DMZ secara default tidak dapat melakukan hubungan dengan host-host pada jaringan internal. Koneksi secara terbatas dapat dilakukan sesuai dengan kebutuhan.
• Host-host pada jaringan internal dapat melakukan koneksi secara bebas baik ke jaringanluar maupun ke jaringan DMZ. Pada beberapa implementasi, untuk meningkatkankeamanan, host-host pada jaringan internal tidak dapat melakukan koneksi ke jaringanluar, melainkan melalui perantara host pada jaringan DMZ, sehingga pihak luar tidakmengetahui keberadaan host-host pada jaringan komputer internal.Selain meningkatkan keamanan, pembagian seperti ini juga menguntungkan karena penggunaanalamat IP yang lebih sedikit. Hanya host-host pada jaringan DMZ saja yang butuh untukmempergunakan alamat IP publik internet, sedangkan untuk host-host jaringan internal bisamempergunakan alamat IP privat. Hal ini terutama sangat menguntungkan bagi organisasiorganisasiyang hanya mendapatkan sedikit alokasi alamat IP yang dapat digunakan olehorganisasi tersebut dari service provider yang digunakan.

Kelemahan dari implementasi aturan-aturan yang ketat seperti ini adalah ada beberapa aplikasiyang tidak dapat digunakan. Sebagai contoh, untuk dapat melakukan video-conference ataupunaudio-conference diperlukan koneksi langsung antara satu host dengan host lainnya. Denganimplementasi dimana pihak luar tidak dapat berhubungan dengan host pada jaringan internal,maka host pada jaringan internal tidak dapat melakukan video-conference.Selain itu, untuk organisasi yang cukup besar, adanya pembagian lebih lanjut pada jaringankomputer internal akan lebih baik. Perlu dibuat sebuah panduan mengenai interaksi apa sajayang mungkin dilakukan dan dibutuhkan oleh satu bagian organisasi dengan bagian organisasi lainnya melalui jaringan komputer. Setelah panduan dibuat, maka interaksi-interaksi yang tidak diperlukan antar komputer pada jaringan yang berbeda dapat dibatasi. Aturan dasar yang saat inibanyak digunakan adalah untuk menutup semua pintu (port) yang ada dan buka hanya yangdibutuhkan dan aman saja.
Perlu diingat, semakin banyak pembagian kelompok jaringan komputer yang ada, maka akansemakin meningkatkan kompleksitas pemeliharaan jaringan komputer. Selain itu semakinbanyak pembagian kelompok juga akan meningkatkan latensi koneksi antara satu host di sebuahkelompok jaringan dengan host lain di kelompok jaringan lainnya.

Mekanisme Pertahanan | IDS / IPS |

Assalamualaikum Wr. Wb. Saya akan melanjutkan pembahasan Tentang Mekanisme Pertahanan | IDS / IPS |. Langsung Saja saya bahas .
Metode-metode yang dapat diterapkan untuk membuat jaringan komputer menjadi lebih aman, antara lain:

IDS / IPS

 
Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS) adalah sistem yang banyak digunakan untuk mendeteksi dan melindungi sebuah sistem keamanan dari serangan oleh pihak luar maupun dalam.
Sebuah IDS dapat berupa IDS berbasiskan jaringan komputer atau berbasiskan host. Pada IDS berbasiskan jaringan komputer, IDS akan menerima kopi paket yang ditujukan pada sebuah host untuk kemudian memeriksa paket-paket tersebut. Apabila ternyata ditemukan paket yang berbahaya, maka IDS akan memberikan peringatan pada pengelola sistem. Karena paket yang diperiksa hanyalah salinan dari paket yang asli, maka sekalipun ditemukan paket yangberbahaya, paket tersebut akan tetap mencapai host yang ditujunya.Sebuah IPS bersifat lebih aktif daripada IDS. Bekerja sama dengan firewall, sebuah IPS dapatmemberikan keputusan apakah sebuah paket dapat diterima atau tidak oleh sistem. Apabila IPS
menemukan bahwa paket yang dikirimkan adalah paket yang berbahaya, maka IPS akanmemberitahu firewall sistem untuk menolak paket data tersebut.
Dalam membuat keputusan apakah sebuah paket data berbahaya atau tidak, IDS dan IPS dapatmempergunakan metode :
• Signature-based Intrusion Detection System. Pada metode ini, telah tersedia daftar
signature yang dapat digunakan untuk menilai apakah paket yang dikirimkan berbahayaatau tidak. Sebuah paket data akan dibandingkan dengan daftar yang sudah ada. Metodeini akan melindungi sistem dari jenis-jenis serangan yang sudah diketahui sebelumnya. Oleh karena itu, untuk tetap menjaga keamanan sistem jaringan komputer, datasignature yang ada harus tetap ter-update.
• Anomaly-based Intrusion Detection System. Pada metode ini, pengelola jaringan harusmelakukan konfigurasi terhadap IDS dan IPS, sehingga IDS dan IPS dapat mengatahuipola paket seperti apa saja yang akan ada pada sebuah sistem jaringan komputer. Sebuahpaket anomali adalah paket yang tidak sesuai dengan kebiasaan jaringan komputertersebut. Apabila IDS dan IPS menemukan ada anomali pada paket yang diterima ataudikirimkan, maka IDS dan IPS akan memberikan peringatan pada pengelola jaringan(IDS) atau akan menolak paket tersebut untuk diteruskan (IPS). Untuk metode ini, pengelola jaringan harus terus-menerus memberi tahu IDS dan IPS bagaimana lalu lintasdata yang normal pada sistem jaringan komputer tersebut, untuk menghindari adanyasalah penilaian oleh IDS atau IPS.
Penggunaan IDS dan IPS pada sistem jaringan komputer dapat mempergunakan sumber dayakomputasi yang cukup besar, dan khusus untuk IPS, dengan adanya IPS maka waktu yangdibutuhkan sebuah paket untuk dapat mencapai host tujuannya menjadi semakin lama, tidakcocok untuk aplikasi-aplikasi yang membutuhkan pengiriman data secara real-time. Selain ituIDS dan IPS masih membuka kesempatan untuk terjadinya false-postive dimana sebuah paket
yang aman dinyatakan berbahaya dan false-negative dimana paket yang berbahaya dinyatakanaman. Untuk mengurangi tingkat false-positive dan false-negative, perlu dilakukanpembaharuan secara rutin terhadap sebuah IDS dan IPS.Dalam implementasinya, IDS adalah sebuah unit host yang terhubung pada sebuah hub/switchdan akan menerima salinan dari paket-paket yang diproses oleh hub/switch tersebut. Sedangkanuntuk IPS biasanya diletakkan pada unit yang sama dengan firewall dan akan memproses paketpaketyang lewat melalui firewall tersebut. Sedangkan pada IDS berbasiskan host, IDS akan memeriksa aktivitas system call, catatankegiatan dan perubahan pada sistem berkas pada host tersebut untuk mencari anomali ataukeanehan yang menandakan adanya usaha dari pihak luar untuk menyusup kedalam sistem. IDSberbasiskan host akan membantu pengelola sistem untuk melakukan audit trail terhadap sistemapabila terjadi penyusupan dalam sistem.

Application Firewall

Assalamualaikum Wr. Wb. Saya akan melanjutkan pembahasan Tentang Application Firewall. Langsung Saja saya bahas di bawah ini.

    Selain permasalahan keamanan transaksi data, yang perlu diperhatikan pada lapisan ini adalahaplikasi itu sendiri. Sebuah aplikasi jaringan komputer yang terbuka untuk menerima koneksidari pihak lain dapat memiliki kelemahan yang dapat dipergunakan oleh pihak yang tidak bertanggung jawab. Sebuah kelemahan pada sebuah aplikasi dapat mengancam keamanan hostyang menjalankan aplikasi tersebut juga host-host lain yang berada pada sistem jaringan komputer yang sama.
Dengan semakin berkembangnya virus dan worm yang menyerang kelemahan-kelemahan yangada pada aplikasi jaringan komputer, maka diperlukan keamanan lebih pada lapisan ini. Untuk melindungi aplikasi-aplikasi jaringan komputer yang ada, maka perlu dipastikan bahwa semuadata yang diterima oleh aplikasi tersebut dari pihak lain adalah data yang valid dan tidakberbahaya. Sebuah Application Firewall adalah sebuah sistem yang akan memeriksa seluruh data yangakan diterima oleh sebuah aplikasi jaringan komputer. Paket-paket data yang diterima dari pihak lain akan disatukan untuk kemudian diperiksa apakah data yang dikirimkan berbahaya atau tidak. Apabila ditemukan data yang berbahaya untuk sebuah aplikasi, maka data tersebut akandibuang, sehingga tidak membahayakan sistem jaringan komputer secara keseluruhan. Pada umumnya Application Firewall diletakkan pada setiap host untuk melindungi aplikasi jaringan komputer yang ada pada host tersebut. Kekurangan dari sistem ini adalah diperlukannya sumber daya komputasi yang sangat besar untuk menyatukan kemudian memeriksa seluruh paket yang diterima oleh sebuah host. Selain itu, dengan adanya sistem ini,maka waktu yang dibutuhkan agar sebuah data dapat sampai ke aplikasi yang dituju akan
semakin lama, karena harus melalui pemeriksaan terlebih dahulu. Oleh karena itu, sistem ini tidak cocok untuk di-implementasikan pada sistem yang mengharuskan data dikirim dan diterima secara real-time.Bentuk lain dari Application Firewall adalah Network Proxy. Tugas sebuah proxy adalah untuk mewakili klien-klien yang ada untuk melakukan hubungan dengan server-server tujuan. Bagiklien yang akan melakukan koneksi ke sebuah server, proxy adalah server tersebut. Sedangkan
bagi server yang dihubungi, proxy adalah klien-nya. Dengan menggunakan proxy akan lebihsulit bagi pihak luar untuk melakukan serangan ke jaringan komputer internal, karena pihak tersebut hanya dapat berhubungan dengan proxy tersebut, sehingga pihak luar tersebut tidak dapat mengetahui lokasi sebenarnya dari server yang dihubunginya. Selain itu sebuah proxyjuga dapat memiliki sederetan access-list yang akan mengatur hak akses klien ke server.Network Proxy juga dapat difungsikan terbalik, menjadi sebuah reverse proxy. Dengan reverse proxy tujuan utamanya adalah untuk melindungi server-server di jaringan internal. Karenasemua request dari klien eksternal akan diterima oleh reverse proxy, maka paket-paket requestyang berbahaya bagi server akan tersaring dan tidak berbahaya bagi server internal organisasi.Kelemahan dari proxy adalah antara klien dan server tidak memiliki hubungan langsung. Olehkarena itu, proxy tidak dapat digunakan pada protokol-protokol ataupun aplikasi yangmembutuhkan interaksi langsung antara klien dan server.

Layer 7 | SSL |

A ssalamualaikm Wr. Wb. Saya akan melanjutkan pembahasan tentang SSL. Langsung Saja saya bahas di bawah ini



Layer 7
Lapisan paling atas dari jaringan komputer adalah lapisan aplikasi. Oleh karena itu, keamanansebuah sistem jaringan komputer tidak terlepas dari keamanan aplikasi yang menggunakan jaringankomputer tersebut, baik itu keamanan data yang dikirimkan dan diterima oleh sebuah aplikasi, maupunkeamanan terhadap aplikasi jaringan komputer tersebut. Metode-metode yang digunakan dalam
pengamanan aplikasi tersebut antara lain adalah:

SSL

Secure Socket Layer (SSL) adalah sebuah protokol yang bekerja tepat di bawah sebuah aplikasi jaringan komputer. Protokol ini menjamin keamanan data yang dikirimkan satu host denganhost lainnya dan juga memberikan metode otentikasi, terutama untuk melakukan otentikasi terhadap server yang dihubungi. Untuk keamanan data, SSL menjamin bahwa data yangdikirimkan tidak dapat dicuri dan diubah oleh pihak lain. Selain itu, SSL juga melindungipengguna dari pesan palsu yang mungkin dikirimkan oleh pihak lain.

Tahapan-tahapan yang harus dilalui dalam menggunakan SSL adalah :
1. Negosiasi algoritma yang akan digunakan kedua-belah pihak.
2. Otentikasi menggunakan Public Key Encryption atau Sertifikat elektronik.
3. Komunikasi data dengan menggunakan Symmetric Key Encryption.
Pada tahap negosiasi algoritma yang akan digunakan, pilihan-pilihan algoritma yang bisadigunakan adalah :
• Public Key Encryption : RSA, Diffie-Helman, DSA (Digital Signature Algorithm) atau
Fortezza
• Symmetric Key Encryption : RC2, RC4, IDEA (International Data Encryption Algorithm), DES (Data Encryption Standard), Triple DES atau AES
• Untuk fungsi hash 1 arah : MD5 (Message-Digest algorithm 5) atau SHA (Secure Hash Algorithm)aplikasi yang banyak menggunakan SSL adalah aplikasi perbankan berbasiskan web. Perkembangan lanjutan dari SSL adalah TLS, kepanjangan dari Transport Layer Security.
Kelebihan-kelebihan yang dimiliki oleh TLS adalah :
• Pemberian nomor pada semua data dan menggunakan nomor urut pada Message
Authentication Code (MAC)
• Message Digest hanya dapat dipergunakan dengan kunci yang tepat.
• Perlindungan terhadap beberapa serangan yang sudah diketahui (seperti Man in the Middle Attack)
• Pihak yang menghentikan koneksi, mengirimkan resume dari seluruh data yang
dipertukarkan oleh kedua belah pihak.
• Membagi data yang dikirimkan menjadi dua bagian, lalu menjalankan fungsi hash yang berbeda pada kedua bagian data. Pada implementasinya banyak aplikasi di sisi server dapat memfasilitasi koneksi biasa ataupun koneksi dengan TLS, tergantung dengan kemampuan klien yang melakukan koneksi. Apabila klien dapat melakukan koneksi dengan TLS maka data yang dikirimkan akan melalui proses enkripsi. Sebaliknya, apabila klien tidak memiliki kemampuan TLS, maka data akan dikirimkan dalam format plaintext.

Layer 4/5 | VPN |

A ssalamualaikum Wr. Wb. Saya akan membahas tentang VPN, langsung saja comot gann .. .. .



Layer 4 /5
Pada lapisan ini, metode pengamanan lebih difokuskan dalam mengamankan data yang dikirimkan. Metode pengamanan yang banyak digunakan adalah :

VPN

Pada banyak organisasi besar, organisasi tersebut memiliki kantor-kantor cabang yang tersebardi banyak tempat. Kantor cabang-kantor cabang tersebut tentu memiliki kebutuhan untuk saling berhubungan antara satu dengan yang lainnya. Pada masa-masa awal jaringan komputer, solusiyang biasa digunakan adalah dengan membangun jaringan privat yang mengubungkan seluruh kantor cabang yang ada atau yang biasa disebut dengan Wide Area Network (WAN). Denganberkembangnya jaringan Internet, solusi dengan membangun WAN, menjadi solusi yang sangatmahal dan tidak fleksibel. Dengan berkembangnya Virtual Private Network, sebuah organisasi dapat membangun jaringan privat maya diatas jaringan publik untuk menghubungkan seluruh kantor cabang yang dimilikinya.

Kelebihan implementasi VPN dibandingkan dengan implementasi WAN adalah:
• Mempermudah perluasan konektivitas jaringan komputer secara geografis
Untuk menghubungkan beberapa lokasi yang terpisah secara geografis dapat
mempergunakan jaringan publik (Internet) yang dimiliki oleh masing-masing lokasi.
Koneksi Internet yang digunakan oleh sebuah lokasi bisa saja tidak menggunakan
layanan dari service provider yang sama dengan koneksi Internet di lokasi lainnya.
• Peningkatan keamanan data Data yang dikirimkan akan terlindungi sehingga tidak dapat dicuri oleh pihak lain karena data yang ditransmisikan melalui VPN melalui proses enkripsi.
• Mengurangi biaya operasional
Dengan menggunakan VPN, setiap lokasi hanya perlu memelihara satu buah koneksiInternet untuk seluruh kebutuhannya, baik kebutuhan koneksi Internet maupunkebutuhan koneksi internal organisasi.
• Menyederhanakan Topologi jaringan
Pada dasarnya, VPN adalah perkembangan dari network tunneling. Dengan tunneling, dua kelompok jaringan komputer yang terpisah oleh satu atau lebih kelompok jaringan komputer diantaranya dapat disatukan, sehingga seolah-olah kedua kelompok jaringan komputer tersebut tidak terpisah. Hal ini dapat dilakukan dengan melakukan enkapsulasi terhadap paket jaringan yang dikirimkan. Tunneling ini bersifat transparan bagi pengguna jaringan komputer di keduasisi kelompok jaringan komputer. Hanya router di kedua sisi kelompok jaringan komputer yang
melakukan proses enkapsulasi yang mengetahui adanya tunnel tersebut. Imbal baik dari prosestunneling adalah Maximum Transfer Unit (MTU) setiap paket yang dikirim menjadi lebih kecil,karena diperlukan ruang tambahan untuk menambahkan header IP hasil enkapsulasi paket yangdikirimkan. Berkurangnya MTU dapat menyebabkan berkurangnya kecepatan transfer dataantara dua host yang sedang berkomunikasi. Salah satu implementasi dari tunneling adalahmobile IP. Dengan mempergunakan mobile IP, seorang pengguna dapat selalu mempergunakanalamat IP yang dia miliki dimanapun pengguna tersebut berada. Implementasi lainnya adalah dengan menambahkan proses kompresi data yang akan dikirimkan melalui tunnel yang sudahdibuat. Dengan cara ini, makan dengan ukuran bandwidth yang sama, besar data yang dikirimkan dapat lebih besar, sehingga meningkatkan kecepatan transfer data. Seluruh sifat dasar dari network tunneling dimiliki oleh VPN, ditambah dengan proses enkripsidan dekripsi. Dengan menggunakan VPN, seluruh data yang dikirimkan oleh sebuah pengguna jaringan komputer di sebuah kelompok jaringan komputer ke kelompok jaringan komputer lainnya yang terhubung dengan VPN akan melalui proses enkripsi, sehingga tidak dapat dibaca oleh pihak-pihak lain yang berada pada jalur pengiriman data. Pada sisi penerima data, secara otomatis, data akan melalui proses dekripsi sebelum disampaikan ke pihak penerima. Sama dengan tunneling, proses enkripsi dan dekripsi data terjadi secara transparan tanpa diketahui oleh pengirim maupun penerima. VPN dapat mempergunakan berbagai macam algoritma enkripsi, baik itu yang bertipe symmetric-key-encryption maupun public-key-encryption. Kuncidari seluruh penggunaan VPN adalah pada proses enkripsi dan dekripsi data, dan oleh karena itu, pemilihan algoritma enkripsi menjadi sangat penting dalam implementasi VPN. Selain untuk menghubungkan dua atau lebih lokasi kantor cabang, VPN juga banyak digunakanuntuk mengakomodasi kebutuhan pekerja yang bekerja di luar kantor untuk melakukan akses kesumber daya yang tersedia pada jaringan internal kantor. Hal ini dapat dilakukan denganmenganggap komputer yang digunakan oleh seorang pekerja yang berada di luar kantor sebagaikantor cabang lain yang sedang melakukan koneksi. Cara ini sangat mirip dengan konsep mobile IP yang sudah dijelaskan diatas, perbedaannya selain mempergunakan alamat IP yang dia miliki dimanapun dia berada, data yang dikirimkan akan selalu ter-enkripsi. Dengan cara ini, seorang pekerja yang sedang berada di luar kantor dapat dengan mudah dan amanmempergunakan fasilitas yang ada di jaringan komputer kantornya, asalkan yang bersangkutan dapat terhubung dengan Internet.

Kelemahan utama dari VPN adalah tidak adanya sebuah standard baku yang dapat diikuti olehsemua pihak yang berkepentingan. Akibatnya ada banyak implementasi VPN yang dapat digunakan, tapi antara satu implementasi dengan implementasi lainnya tidak dapat salingberhubungan. Oleh karena itu apabila sebuah organisasi memilih untuk mempergunakan sebuahimplementasi VPN pada sebuah router, maka seluruh router yang dimiliki organisasi tersebutyang akan digunakan dalam jaringan VPN, harus mempergunakan implementasi VPN yangsama. Selain itu jika layanan VPN akan diberikan kepada para pengguna yang seringberpergian, maka pada setiap host yang digunakan oleh pengguna tersebut juga harus di-install
aplikasi VPN yang sesuai. Selain itu, karena harus melalui proses enkripsi dan dekripsi,sehingga waktu yang dibutuhkan untuk melakukan transmisi bertambah, maka kemungkinanVPN tidak cocok untuk digunakan dalam mengirimkan data yang bersifat interaktif, seperti tranmisi suara ataupun transmisi video.

Layer 3 pada Keamanan Jaringan

Assalamualaikm Wr. Wb. Saya akan melanjutkan pembahasan Sebelumnya. Langsung Saja saya bahas di bawah ini



Layer 3
Pada lapisan ini, untuk membedakan sebuah peralatan jaringan komputer dengan peralatan jaringan komputer yang lainnya, digunakan alamat IP (Internet Protocol). Semua peralatan komputeraktif harus memiliki sebuah nomor IP unik yang akan menjadi identitasnya di jaringan komputer.Alamat IP yang saat ini banyak digunakan disebut dengan IPv4, yaitu sebuah deretan angka dengan
format :


x.x.x.x

di mana x adalah angka antara 0 sampai dengan 255. Saat ini sedang dalam tahap pengembangan versibaru dari alamat IP yang disebut dengan IPv6. Selain alamat IP, pada lapisan ini juga dikenal istilah Port, yaitu sebuah pintu masuk ke dalam sebuah sistem komputer. Pada pintu inilah aplikasi jaringankomputer yang sedang berjalan dalam sebuah komputer menerima melakukan koneksi dengan pihak lain.Pada lapisan ini, metode perlindungan jaringan komputer akan berdasarkan pada alamat IP dan Port. Pada setiap paket data yang dikirimkan oleh sebuah peralatan jaringan komputer ke peralatanlainnya akan mengandung alamat IP dan Port yang digunakan oleh pengirim serta alamat IP dan Port dari tujuan paket tersebut. Sebuah sistem pengamanan yang biasanya dikenal dengan nama firewall dapat melakukan filtering berdasarkan kedua hal tersebut. Pada umumnya firewall diletakkan pada gerbang masuk maupun keluar sebuah sistem jaringan komputer. Selain itu firewall juga dapatmelakukan filtering berdasarakan protokol yang digunakan oleh sebuah paket data, misalnya sebuah firewall dapat dirancang untuk menolak paket jenis udp dan paket jenis icmp sementara mengizinkan paket jenis tcp. Pada perkembangannya, firewall tidak hanya melakukan filtering berdasarkan alamat IP dan Port, tapi juga berdasarkan informasi lainnya yang tersedia dalam header sebuah paket IP. Sebagai contoh, sebuah firewall dapat melakukan filtering berdasarkan ukuran data sebuah paket data. Sebuah
firewall juga bisa melakukan filtering berdasarkan status koneksi antara dua peralatan jaringankomputer, misalnya sebuah firewall dapat dirancang untuk menolak sebuah paket yang akan membuat sebuah koneksi baru dari sebuah alamat IP, tapi mengizinkan paket-paket lainnya dari alamat IPtersebut. Untuk menambah keamanan sistem jaringan komputer, saat ini sebagian besar firewall sudah bersifat statefull dan tidak lagi stateless. Pada statefull firewall, firewall akan membuat daftar sejarahstatus koneksi antara satu peralatan jaringan komputer dengan peralatan jaringan komputer lainnya. Halini untuk mencegah adanya penipuan status koneksi oleh sebuah peralatan jaringan komputer untuk dapat melewati proses filtering sebuah firewall.Selain diimplementasikan pada gerbang masuk atau gerbang keluar dari sebuah sistem jaringan komputer, firewall juga dapat diimplementasikan pada sebuah host. Ini berguna untuk melindungi hosttersebut dari serangan yang berasal dari host lain yang berada pada jaringan komputer yang sama.Pada umumnya, implementasi firewall adalah metoda pengamanan sistem jaringan komputeryang pertama kali dilakukan. Walaupun cukup ampuh dan mudah untuk diimplementasikan, tanpa
perencanaan yang baik, implementasi firewall dapat menyebabkan sebuah firewall tersusun atasperaturan-peraturan filtering yang sangat banyak. Hal ini dapat membuat firewall tersebut menjadi sulituntuk dikelola karena dengan banyaknya peraturan-peraturan filtering yang diimplementasikan akan lebih sulit untuk melakukan penelusuran proses penyaringan paket. Selain itu, banyaknya peraturanfiltering yang terlalu banyak juga dapat menganggu interaksi koneksi data jaringan komputer, karenasemua paket yang lewat harus melalui proses penyaringan yang sangat banyak.

WEP / WAP

Assalamualaikm Wr. Wb. Saya akan melanjutkan pembahasan tentang WEP/WPA. Langsung Saja saya bahas di bawah ini



Selain kedua protokol otentikasi yang telah disebutkan sebelumnya, ada sebuah metode keamanan yang terletak pada lapisan Data Link tapi tidak berfungsi untuk melakukan otentikasi penggunaan titik-akses jaringan komputer, melainkan untuk melindungi data yang dikirimkan pada jaringan komputer tersebut. Metode tersebut adalah:

WEP dan WPA

Perkembangan teknologi telah membuat transmisi data melalui media gelombang radiomemiliki kualitas yang hampir sama dengan kualitas transmisi data melalui media kabel.Dengan mempegunakan wireless network, koneksi ke sebuah jaringan komputer menjadi sangatmudah karena tidak lagi terhambat oleh penggunaan kabel. Asalkan sebuah peralatan jaringankomputer masih dalam jangkauan gelombang radio komputer penyedia jaringan, peralatantersebut dapat terhubung ke dalam jaringan komputer.Akan tetapi, penggunaan media gelombang radio untuk transmisi data memiliki berbagaipermasalahan keamanan yang cukup serius. Sifat gelombang radio yang menyebar menyebabkan siapa saja yang berada pada jangkauan gelombang radio yang digunakan untukkomunikasi data dapat mencuri data yang dikirimkan oleh sebuah pihak ke pihak lain denganmudah. Oleh karena itu dikembangkan metode yang disebut dengan Wired Equivalent Privacy
(WEP).Tujuan utama dari WEP adalah berusaha untuk memberikan tingkat privasi yang diberikan oleh penggunaan jaringan berbasiskan kabel. Dalam melakukan usaha itu, WEP akan melakukan enkripsi terhadap data-data yang dikirimkan antara dua peralatan jaringan komputer berbasis kan gelombang radio, sehingga data yang dikirimkan tidak dapat dicuri oleh pihak lain. Untuk ini,WEP mempergunakan algoritma stream-cipher RC4 untuk menjaga kerahasiaan data dan CRC-
32 sebagai kontrol integritas data yang dikirimkan. Oleh karena ada peraturan pembatasanekspor teknologi enkripsi oleh pemerintah Amerika Serikat, maka pada awalnya panjang kunciyang dipergunakan hanyalah sepanjang 40 bit. Setelah peraturan tersebut dicabut, maka kunciyang digunakan adalah sepanjang 104 bit.
Beberapa analis menemukan bahwa WEP tidak aman dan seseorang dapat dengan mudahmenemukan kunci yang digunakan setelah melakukan analisa paket terenkripsi yang diadapatkan. Oleh karena itu pada tahun 2003 dibuat standar baru yaitu Wi-Fi Protected Access(WPA). Perbedaan antara WEP dengan WPA adalah penggunaan protokol 802.1x untukmelakukan distribusi kunci yang digunakan dalam melakukan proses enkripsi dan dekripsi.Selain itu panjang kunci yang digunakan juga bertambah panjang menjadi 128 bit sehingga menambah tingkat kesulitan dalam menebak kunci yang digunakan. Selain itu untuk meningkatkan keamanan, juga dibuat sebuah sistem yang disebut dengan Temporal Key Integrity Control yang akan melakukan perubahan kunci secara dinamis selama sistem sedang digunakan. Pada perkembangan selanjutnya, yaitu pada tahun 2004 dibuat standard WPA2,dimana algoritma RC4 digantikan oleh algoritma enkripsi baru yaitu Advance Encryption System (AES) dengan panjang kunci sepanjang 256 bit.

Inti dari Keamanan Jaringan | Mac Address |

Assalamualaikm Wr. Wb. Saya akan melanjutkan pembahasan Sebelumnya. Langsung Saja saya bahas di bawah ini



Mac Address

Mac Address Authentication adalah sebuah mekanisme di mana sebuah peralatan yang akan melakukan akses pada sebuah titik-akses sudah terdaftar terlebih dahulu. Berbeda denganprotokol 802.1x yang memastikan bahwa alat yang melakukan koneksi dipergunakan oleh pihakyang berwenang, metode ini untuk memastikan apakah peralatan yang akan melakukan akses adalah peralatan yang berhak untuk akses tanpa mempedulikan siapa yang mempergunakannya.Pada setiap peralatan jaringan komputer terdapat sebuah identitas yang unik. Berdasarkan identitas tersebutlah metode ini melakukan otentikasi. Pada setiap paket data yang dikirimkan
sebuah peralatan akan mengandung informasi mengenai identitas peralatan tersebut, yang akandibandingkan dengan daftar akses yang dimiliki setiap titik-akses, apabila ternyata identitasperalatan terdapat dalam daftar, paket yang dikirimkannya akan diteruskan apabila tidak, makapaket yang dikirimkannya tidak akan diteruskan. Keuntungan metode ini jika dibandingkan dengan protokol 802.1x adalah metode ini sudahlebih banyak diimplementasikan pada switch/hub yang sering digunakan sebagai titik akses.Selain itu, untuk mempergunakan metode ini, tidak perlu semua switch/hub melakukan filtering,namun cukup switch/hub utama saja yang melakukannya.Kelemahan utama dari metode ini adalah seseorang dapat dengan mudah memanipulasi identitas unik pada peralatan yang digunakannya, sehingga peralatan tersebut dapat melakukan akses ke sebuah jaringan komputer. Oleh karena itu sangat penting untuk menjaga integritas daftar identitas peralatan yang dapat melakukan akses ke jaringan.

Tipe-tipe proteksi Keamanan Jaringan

Assalamualaikm Wr. Wb. Saya akan melanjutkan pembahasan tentang Keamanan Jaringan. Langsung Saja saya bahas di bawah ini




Dikarenakan perbedaan fungsi dalam setiap lapisan jaringan komputer, maka perlindungan yang dapat dilakukan juga berbeda-beda. Pada bagian ini akan dijelaskan mengenai perlindungan terhadap jaringan komputer yang bisa dilakukan pada setiap lapisan jaringan komputer, mulai dari lapisan terbawah sampai dengan lapisan teratas.

Layer 2
Dalam usaha mengamankan sebuah gedung, tahap yang paling mendasar adalah dengan menjaga titik akses ke gedung tersebut. Begitu juga dengan pengamanan jaringan komputer, tahap paling mendasar adalah menjaga titik akses yang dapat digunakan seseorang untuk terhubung ke dalam jaringan. Pada umumnya, titik akses jaringan komputer adalah berupa hub atau switch. Dengan berkembangnya wireless network, maka peralatan wireless access-point juga termasuk dalam titik akses jaringan yang perlu untuk dilindungi. Saat ini ada dua mekanisme umum yang biasa digunakan dalam mengamankan titik akses ke
jaringan komputer, yaitu :

Protokol 802.1x

Protokol 802.1x adalah sebuah protokol yang dapat melakukan otentikasi pengguna dari peralatan yang akan melakukan hubungan ke sebuah titik-akses. Dengan protokol ini, ketikasebuah komputer melakukan hubungan ke sebuah titik-akses (hub atau switch), maka penggunakomputer tersebut perlu melakukan otentikasi sebelum komputer tersebut terhubung ke jaringankomputer.Protokol ini sangat berguna untuk melindungi jaringan komputer sekaligus meng-akomodasipengguna-pengguna yang memiliki peralatan atau komputer yang bersifat mobile seperti notebook atau PDA. Dengan digunakannya protokol ini, dapat dijamin bahwa peralatankomputer yang berusaha melakukan akses ke jaringan komputer sedang dipergunakan oleh
pihak yang memang telah diizinkan untuk melakukan akses.Tiga komponen yang terlibat dalam protokol ini adalah peralatan yang akan melakukan akses(supplicant), server yang akan melakukan otentikasi (server RADIUS) dan peralatan yangmenjadi titik akses (otentikator). Secara umum, tahapan-tahapan dalam protokol ini adalah :
1. Secara default akses ke jaringan tertutup.
2. Sebuah supplicant melakukan akses dan meminta izin akses ke otentikator, yang kemudian meneruskannya ke server otentikasi.
3. Server otentikasi menjawab dengan memberikan 'tantangan' ke supplicant melalui
otentikator.
4. Melalui otentikator, supplicant menjawab 'tantangan' yang diberikan.
5. Apabila jawaban yang diberikan supplicant benar, server otentikasi akan memberitahu
ke otentikator yang kemudian akan memberikan akses jaringan ke supplicant.
6. Akses jaringan yang sudah terbuka, akan tetap terbuka sampai ketika terjadi perubahan
status koneksi, misalnya koneksi diputus oleh pengguna atau alat yang terhubung
berubah. Ketika terjadi perubahan status, akses akan kembali ditutup dan proses
otentikasi akan berulang kembali.Pada perkembangannya, protokol ini digunakan secara lebih mendalam, bukan hanya untukmelakukan otentikasi terhadap pengguna peralatan yang melakukan akses, melainkan juga akandigunakan untuk memeriksa apakah konfigurasi peralatan yang melakukan akses sudah sesuai
dengan kebijakan yang berlaku. Misalkan akan dilakukan pemeriksaan apakah programantivirus yang berjalan pada sebuah notebook yang akan melakukan koneksi sudahmempergunakan versi yang terbaru, jika kondisi tersebut tidak terpenuhi maka akses jaringantidak akan diberikan. Selain itu protokol ini juga dapat digunakan untuk menegakkan sebuahkebijakan pada peralatan-peralatan yang akan melakukan akses jaringan komputer.

Arsitektur Dasar Keamanan Jaringan

Assalumualaikum Wr Wr dan salam sejahtera bagi yang non muslim, Pertama saya akan menjelaskan tentang bagaimana dasar keamanan jaringan itu sendiri, Langsung saja saya akan membahasnya sebagai berikut :

 Untuk dapat dengan jelas mengerti mengenai keamanan jaringan komputer, kita harus terlebih dahulu
mengerti bagaimana jaringan komputer bekerja. Untuk mempermudah pemeliharaan serta
meningkatkan kompabilitas antar berbagai pihak yang mungkin terlibat, jaringan komputer terbagi atas beberapa lapisan yang saling independen satu dengan yang lainnya. Menurut standard ISO/OSI,
lapisan-lapisan dan tugas yang dimilikinya adalah :
• Layer 1 - Physical
Layer (lapisan) ini berhubungan dengan kabel dan media fisik lainnya yang menghubungkan
satu peralatan jaringan komputer dengan peralatan jaringan komputer lainnya. Lapisan ini juga
berhubungan dengan sinyal-sinyal listrik, sinar maupun gelombang radio yang digunakan untuk
mengirimkan data. Pada lapisan ini juga dijelaskan mengenai jarak terjauh yang mungkin
digunakan oleh sebuah media fisik. Pada lapisan ini juga diantur bagaimana cara melakukan
collision control.

• Layer 2 - Data Link
Pada sisi pengirim, lapisan ini mengatur bagaimana data yang akan dikirimkan diubah menjadi
deretan angka '1' dan '0' dan mengirimkannya ke media fisik. Sedangkan pada sisi penerima,
lapisan ini akan merubah deretan angka '1' dan '0' yang diterima dari media fisik menjadi data
yang lebih berarti. Pada lapisan ini juga diatur bagaimana kesalahan-kesalahan yang mungkin
terjadi ketika transmisi data diperlakukan.
Lapisan ini terbagi atas dua bagian, yaitu Media Access Control (MAC) yang mengatur
bagaimana sebuah peralatan dapat memiliki akses untuk mengirimkan data dan Logical Link
Control (LLC) yang bertanggung jawab atas sinkronisasi frame, flow control dan pemeriksaan
error. Pada MAC terdapat metode-metode yang digunakan untuk menentukan siapa yang
berhak untuk melakukan pengiriman data. Pada dasarnya metode-metode itu dapat bersifat
terdistribusi (contoh: CSMA/CD atau CSMA/CA) dan bersifat terpusat (contoh: token ring).
Secara keseluruhan, lapisan Data Link bertanggung jawab terhadap koneksi dari satu node ke
node berikutnya dalam komunikasi data.

• Layer 3 - Network
Lapisan Network bertanggung jawab terhadap koneksi dari pengirim sampai dengan penerima.
Lapisan ini akan menterjemahkan alamat lojik sebuah host menjadi sebuah alamat fisik. Lapisan
ini juga bertanggung jawab untuk mengatur rute yang akan dilalui sebuah paket yang dikirim
agar dapat sampai pada tujuan. Jika dibutuhkan penentuan jalur yang akan dilalui sebuah paket,
maka sebuah router akan menentukan jalur 'terbaik' yang akan dilalui paket tersebut. Pemilihan
jalur atau rute ini dapat ditentukan secara statik maupun secara dinamis.

• Layer 4 - Transport
Lapisan ini bertanggung jawab untuk menyediakan koneksi yang bebas dari gangguan. Ada dua
jenis komunikasi data jaringan komputer, yaitu Connection Oriented dan Connectionless. Pada
jenis komunikasi Connection Oriented data dipastikan sampai tanpa ada gangguan sedikitpun
juga. Apabila ada gangguan, maka data akan dikirimkan kembali. Sedangkan jenis komunikasi
Connectionless, tidak ada mekanisme untuk memastikan apabila data yang dikirim telah
diterima dengan baik oleh penerima.
Biasanya lapisan ini mengubah layanan yang sangat sederhana dari lapisan Network menjadi
sebuah layanan yang lebih lengkap bagi lapisan diatasnya. Misalnya, pada layer ini disediakan
fungsi kontrol transmisi yang tidak dimiliki oleh lapisan di bawahnya.

• Layer 5 - Session
Lapisan ini bertanggung jawab untuk membangun, memelihara dan memutuskan koneksi antar
aplikasi. Pada kenyataannya lapisan ini sering digabung dengan Application Layer.

• Layer 6 - Presentation
Agar berbagai aplikasi jaringan komputer yang ada di dunia dapat saling terhubung, seluruh
aplikasi tersebut harus mempergunakan format data yang sama. Lapisan ini bertanggung jawab
atas bentuk format data yang akan digunakan dalam melakukan komunikasi. Pada kenyataannya
lapisan ini sering pula digabung dengan Application Layer.

• Layer 7 - Application
Lapisan ini adalah di mana interaksi dengan pengguna dilakukan. Pada lapisan inilah semua
jenis program jaringan komputer seperti browser dan email client berjalan.
Pada implementasinya, lapisan jaringan komputer berdasarkan ISO/OSI tidak digunakan karena terlalu
kompleks dan ada banyak duplikasi tugas dari setiap lapisan. Lapisan OSI/ISO digunakan hanya
sebagai referensi. Lapisan jaringan komputer yang banyak digunakan adalah lapisan TCP/IP yang
terdiri atas empat lapisan yaitu :

    • Link (Lapisan OSI 1 dan 2)
Contoh dari lapisan ini adalah Ethernet, Wi-Fi dan MPLS. Implementasi untuk lapisan ini
biasanya terletak pada device driver ataupun chipset firmware.

    • Internetwork (Lapisan OSI 3)
Seperti halnya rancangan awal pada lapisan network (lapisan OSI 3), lapisan ini bertanggungjawab
atas sampainya sebuah paket ke tujuan melalui sebuah kelompok jaringan komputer.
Lapisan Internetwork pada TCP/IP memiliki tugas tambahan yaitu mengatur bagaimana sebuah
paket akan sampai tujuan melalui beberapa kelompok jaringan komputer apabila dibutuhkan.

    • Transport (Lapisan OSI 4 dan 5)
Contoh dari lapisan ini adalah TCP, UDP dan RTP

    • Applications (Lapisan OSI 5 sampai dengan 7)
Contoh dari lapisan ini adalah HTTP, FTP dan DNS.