FYI
Strategi Merancang Sekuriti Jaringan Komputer Anda
Joko Yuliantoro & Onno W. Purbo
Computer Network Research Group - ITB <[email protected]>
Dalam dunia Internet yang telah berkembang sedemikian pesatnya, jumlah
para hacker, cracker, dan sebagainya juga semakin meningkat. Kita tidak bisa
terus-menerus terlena akan keadaan dan kondisi dimana kita dalam keadaan aman.
Apakah kita akan menunggu hingga jaringan kita dirusak oleh mereka? Tentu
tidak! Setelah sebuah jaringan komputer kita berfungsi dan terhubung ke
jaringan Internet, saat itulah kita harus mulai bersiaga dan memikirkan
strategi beserta cara-cara untuk meningkatkan sekuriti jaringan komputer yang
kita miliki. Dengan tingkat sekuriti jaringan komputer yang tinggi, user pun
akan merasa aman saat bekerja di jaringan komputer yang kita miliki. Suatu
nilai tambah tersendiri bukan?
Strategi dalam sekuriti jaringan komputer bertujuan untuk memaksimalkan
sumber daya yang ada untuk mengamankan sistem jaringan komputer pada
titik-titik yang tepat sehingga lebih efisien. Bila tanpa strategi yang tepat,
hasil implementasi strategi tersebut tidak akan menghasilkan tingkat sekuriti
yang tinggi disamping terbuangnya sumber daya yang ada akibat tidak tepatnya
penempatan dalam jaringan komputer. Dengan strategi tepat, sumber daya yang
minimum dapat memberikan hasil yang cukup memuaskan.
Dalam tulisan ini, kita akan mencoba melihat strategi-strategi dasar
dalam merancang sekuriti jaringan komputer. Strategi dasar ini bisa dijadikan
basis untuk penerapan hingga pengembangan sekuriti sistem.
Hak Akses
Hak akses adalah hak yang diberikan kepada user untuk mengakses sistem.
Mungkin hak akses adalah hal yang paling mendasar dalam bidang sekuriti. Dalam
strategi sekuriti, setiap objek dalam sistem (user, administrator, software,
sistem itu sendiri, dlsb) harus diberikan hak akses yang berguna untuk
menunjang fungsi kerja dari objek tersebut. Dengan kata lain, objek hanya
memperoleh hak akses minimum. Dengan demikian, aksi objek terhadap sistem dapat
dibatasi sehingga objek tidak akan melakukan hal-hal yang membahayakan sekuriti
jaringan komputer. Hak akses minimum akan membuat para penyusup dari Internet
tidak dapat berbuat banyak saat berhasil menembus sebuah user account pada
sistem jaringan komputer. Selain itu, hak akses minimum juga mengurangi bahaya
”musuh dalam selimut” yang mengancam sistem dari dalam. Itulah beberapa
keuntungan yang dapat diperoleh dari strategi ini.
Kerugian yang ada pada strategi hak akses ini adalah keterbatasan akses
yang dimiliki user sehingga dapat menimbulkan ketidaknyamanan pada saat user
sedang menjalankan tugasnya. Penyelesaian masalah ini bergantung kepada dua hal
yaitu segi perangkat dan segi administrator jaringan dan keduanya saling
terikat. Seorang administrator jaringan harus pandai-pandai menyiasati
rancangan hak akses yang akan diberikan kepada user agar kebutuhan user dapat
terpenuhi tanpa harus mengorbankan tingkat sekuriti. Bila perangkat yang
dijalankan memiliki keluwesan dalam hal setting, hal ini akan memudahkan tugas
administrator. Bila tidak, administrator harus memutar otak untuk
menyiasatinya. Bila usaha tersebut telah maksimal dan hasilnya tetap tidak
seperti yang diharapkan, ada dua pilihan yang bisa dilakukan yaitu mengganti
perangkat atau memberikan pengertian kepada user akan keterbatasan yang ada
(biasanya pilihan kedua sulit dilaksanakan ). Mengapa kebutuhan user menjadi
begitu penting? Kebutuhan user yang tidak terpenuhi akan dapat menimbulkan
efek-efek yang kadangkala sulit diprediksi. Ia mungkin dapat berubah dari user
biasa menjadi “musuh dalam selimut”.
Lapisan Sekuriti
Lapisan sekuriti adalah seberapa banyak mekanisme sekuriti yang akan
digunakan dan tingkatannya. Hal ini juga menjadi pemikiran di bidang sekuriti
secara umum. Kita tidak bisa mempertaruhkan seluruh sekuriti jaringan komputer
pada satu mekanisme sekuriti saja. Bila satu mekanisme itu gagal melindungi
sistem, habislah semua. Oleh karena itu, mekanisme sekuriti harus dibuat lebih
dari satu mekanisme. Selain itu, mekanisme-mekanisme tersebut dipasang secara
bertingkat/berlapis. Mekanisme sekuriti dapat berupa network security,
host/server security, dan human security. Di antara mekanisme tersebut, dapat
pula dikombinasikan sesuai dengan keperluan.
Dalam jaringan komputer, network security dapat dibangun dengan
beberapa lapisan. Sebagai contoh, kita bisa membangun firewall dengan dua
sub-mekanisme yaitu packet filtering dan proxy system. Mekanisme packet
filtering pun dapat dipilah-pilah lagi menjadi beberapa bagian, seperti
filtering berdasarkan layanan dan protokol. Setelah lapisan pertama di atas,
kita dapat pula membangun lapisan mekanisme selanjutnya. Contohnya, kita bisa
menerapkan mekanisme autentifikasi pada setiap paket yang diterima.
Saat kita memberikan layanan baik ke dalam maupun ke luar jaringan,
host/server yang memberikan layanan menjadi titik penting dalam sekuriti
jaringan komputer. Pada host security, komponen pada host/server tersebut
terutama perangkat lunak perlu dikonfigurasi dengan hati-hati. Layanan Internet
seperti SMTP, NFS, Web Service, FTP, dlsb. hanya boleh memberikan layanan
sesuai dengan yang direncanakan. Segi-segi (features) yang tidak utama tidak
usah ditampilkan. Sebelum kita tahu pasti tingkat keamanan dari sebuah segi
dalam software, sebaiknya tidak kita gunakan. Jika kita terpaksa menggunakan
segi tersebut, kita dapat melakukan monitoring yang intensif terhadap segi
tersebut.
Human security menyangkut user dan administrator jaringan itu sendiri.
Kita dapat memberikan pengarahan tentang sekuriti kepada user dan menanamkan
sikap hati-hati ke dalam diri setiap user. Ada baiknya pula bila user-user juga
ikut berpartisipasi dalam menjaga dan meningkatkan sekuriti jaringan komputer
karena mereka juga bagian dari sistem itu sendiri. Dengan begitu, akan tumbuh
rasa memiliki di dalam diri setiap user. Para administrator pun seharusnya
lebih berhati-hati dalam bertugas sebab di tangan mereka sekuriti jaringan
komputer diletakkan.
Satu Jalur Masuk
Strategi satu jalur masuk adalah cara membuat hanya satu jalan masuk
menuju jaringan komputer yang kita miliki. Dengan demikian, hanya satu jalan
yang perlu kita awasi dengan penuh dan ketat. Strategi ini mirip dengan membuat
benteng. Benteng yang dibangun biasanya hanya akan memiliki sebuah pintu masuk
dimana ditempatkan pengawasan yang paling ketat.
Inti dari strategi ini adalah pengawasan terpusat. Kita bisa
mencurahkan sebagian besar daya pengawasan ke titik tersebut sehingga penyusup
akan kesulitan menembus jalur tersebut. Tentunya strategi ini akan gagal
apabila kita memiliki jalur masuk lain. Jika kita ingin menerapkan strategi ini
sepenuhnya, usahakan tidak ada jalur masuk lain selain yang akan kita awasi
ketat.
Kelemahan strategi ini adalah bila jalur masuk tersebut berhasil
ditembus oleh para penyusup, ia akan langsung mengobrak-abrik jaringan komputer
kita. Resiko ini dapat dikurangi dengan membuat pertahanan jalur menjadi
berlapis-lapis sehingga memaksa para penyusup untuk menghentikan aksinya.
Enkripsi Data dan Digital Signature
Salah satu strategi yang paling sering digunakan dalam sekuriti
jaringan adalah enkripsi data dan digital signature. Digital signature
menggunakan prinsip seperti tanda tangan manusia pada lembar dokumen dan
dilakukan secara digital. Ia menyatakan keabsahan si pengirim data bahwa data
yang dikirimkan benar-benar berasal dari si pengirim. Pada saat ini, enkripsi
data dapat dilakukan di perangkat lunak maupun di perangkat keras. Berbagai
jenis metoda enkripsi data pada tingkat aplikasi telah dikembangkan seperti
RSA, MD-5, IDEA, SAFER, Skipjack, Blowfish, dlsb. Dengan strategi ini, transfer
data dari dan ke jaringan komputer berlangsung secara konfidensial.
Stub Sub-Network
Stub sub-network adalah sub-jaringan komputer yang hanya memiliki satu
jalur keluar masuk sub-jaringan tersebut. Strategi ini digunakan untuk
mengisolasi sub-jaringan komputer yang benar-benar memerlukan perlindungan
maksimal. Jalur keluar-masuk sub-jaringan tersebut diawasi dengan (bila perlu)
lebih ketat daripada strategi satu jalur masuk. Contohnya, data-data rahasia
perusahaan yang tersimpan dalam sebuah komputer perlu diakses secara langsung
oleh beberapa bagian tertentu. Solusinya tentu saja jaringan komputer. Tetapi
salah satu bagian tersebut memerlukan hubungan ke jaringan komputer perusahaan
yang telah terhubung ke Internet tanpa harus pindah komputer. Nah, di sinilah
strategi stub sub-network diperlukan. Jaringan pengakses data rahasia dirancang
hanya memiliki satu jalur masuk melalui komputer yang memiliki akses Internet
tersebut. Pengawasan lalu lintas data yang melalui komputer tersebut harus
dipantau dengan baik dan dapat pula diberlakukan sistem packet filtering pada
komputer tersebut.
Cari Titik Lemah
Sebagaimana bidang sekuriti umumnya, jaringan komputer tidak terlepas
dari titik-titik lemah. Titik ini akan lebih banyak tumbuh apabila jaringan
komputer yang ada dikoordinir oleh lebih dari satu orang. Jaringan komputer
yang besar umumnya berkembang dari jaringan-jaringan komputer yang lebih kecil
yang kemudian menggabungkan diri. Selain itu, kadangkala seorang administrator
akan mengalami kesulitan bila mengelola sebuah jaringan komputer skala besar
seorang diri. Untuk itu, diperlukan koordinasi yang baik antar tiap
administrator agar setiap jaringan yang mereka kelola terjamin sekuritinya.
Dua Sikap Umum
“Dua SikapUmum” tersebut adalah sikap menolak secara umum (prohibitive)
dan sikap menerima secara umum (permissive). Sikap menolak secara umum
mendefinisikan dengan rinci layanan/paket yang diperbolehkan dan menolak
lainnya. Strategi ini cukup aman tetapi kadangkala menimbulkan ketidaknyamanan
pada user. Untuk itu, administrator yang berniat menjalankan strategi ini perlu
mengetahui dengan rinci kebutuhan user dan seberapa jauh pengaruhnya terhadap
sekuriti jaringan pada umumnya. Sikap menerima secara umum mendefinisikan
dengan rinci layanan/paket yang ditolak dan menerima lainnya. Strategi ini
tidak terlalu dianjurkan oleh para ahli karena dengan strategi ini kita
mengambil resiko terbukanya berbagai jalan untuk merongrong sekuriti sistem.
Keanekaragaman
Perangkat lunak dan keras yang ada saat ini memiliki bermacam
konfigurasi dan keunggulan. Kita bisa memanfaatkan keanekaragaman
perangkat-perangkat ini dalam membangun jaringan komputer kita sesuai dengan
kebutuhan. Dengan adanya keanekaragaman perangkat ini, bila terjadi penyusupan
terhadap sebuah komputer, ia membutuhkan usaha yang lain untuk menembus
komputer yang berbeda. Sebelum kita menggunakan perangkat terutama perangkat
lunak, ada baiknya bila kita juga mengetahui sejauh mana tingkat sekuriti yang
disediakan oleh perangkat tersebut. Dengan begitu, kita akan memiliki data yang
lengkap untuk menentukan kombinasi rancangan sekuriti jaringan komputer kita.
Itulah beberapa strategi dasar yang biasa digunakan dalam sekuriti jaringan
komputer. Dari strategi-strategi di atas, para administrator dapat
mengkombinasikan strategi-strategi tersebut sehingga memenuhi kriteria yang
ditetapkan. Kebijaksanaan tentang sekuriti yang berlaku pada sistem juga bisa
ditetapkan dari strategi-strategi yang telah dipilih.
Dalam pengkajian dan penerapannya, sebaiknya kita tidak percaya sepenuhnya
terhadap strategi dan mekanisme yang kita buat. Intinya, kita harus selalu
melakukan evaluasi terhadap sekuriti sistem yang kita buat atau kelola. Seiring
dengan berkembangnya teknik-teknik penyusupan dan belum ditemukannya
kelemahan-kelemahan dalam sekuriti sistem yang telah ada, kita harus selalu
dalam keadaan siap dan waspada menghadapi aksi-aksi di luar dugaan.
Pada akhirnya, salah satu tujuan utama yang perlu diingat dari
strategi-strategi di atas adalah membuat para penyusup (hacker, cracker,
phreaker, dlsb) “berpikir seribu kali” sebelum menjalankan aksi mereka terhadap
sistem jaringan komputer kita. Apabila mereka tetap nekat mencoba, kita
hadapkan mereka kepada rintangan dan hambatan yang memerlukan daya upaya yang
sangat besar untuk menembus sistem kita sampai mereka menghentikan aksinya.
Daftar Pustaka
• W.R. Cheswick & S.M. Bellovin, Firewalls and Internet Security,
Addison-Wesley Publishing Co., 1994
• D.B. Chapman & E.D. Zwicky, Building Internet Firewalls, O’Reilly &
Associates, Inc., 1995
-----Original Message-----
From: Lucky [mailto:[email protected]]
Sent: Monday, September 07, 2009 11:22 AM
To: [email protected]
Subject: [!! SPAM] [balikpapan-ict] Re: Bahan presentasi saya di Ramadhan
HackFest
=-Titah Supriadi-= (CBN Mail) wrote:
> Kok bahan materinya tidak sesuai dengan judul acaranya "HackFest: How
> sure your network secured?" dan saya mohon maaf tidak bisa ikutan
> acaranya ada keperluan yang sangat mendesak dan sepertinya sukses tahun
> ini peserta yang datang banyak mudah-mudahan seterusnya kalau ada acara
> ivent-ivent BITCOM pesertanya smakin banyak
Peserta tambah banyak, pembicara tambah banyak.. terjadi diskusi. Top
dah Si BITCOM. Resume hasil HackFest bisa dilihat dimana ya? di
facebook, twitter, koran, majalah, atau dimana? Kepengen tau acara
kemarin tuh seperti apa. Hehehee.. sukses deh...
-Luky-
--~--~---------~--~----~------------~-------~--~----~
You received this message because you are subscribed to the Google Groups
"Balikpapan Information, Communication & Technology Community" group.
To post to this group, send email to [email protected]
To unsubscribe from this group, send email to
[email protected]
For more options, visit this group at
http://groups.google.com/group/balikpapan-ict?hl=en-GB
-~----------~----~----~----~------~----~------~--~---
