Keamanan Sistem Informasi Oleh: Puji Hartono Versi: 2014
Modul 4
Keamanan Jaringan
Overview 1. Mengenal jaringan 2. Protokol TCP/IP 3. Pengamanan Jaringan a) Firewall ➔ ➔ ➔
Tipe-tipe firewall Arsitektur Firewall Studi Kasus: IPtables Firewall
b)VPN (Virtual Private Network) c) IDS (Intrussion Detection System)
4. Serangan pada jaringan dan solusinya
Mengenal jaringan (1)
Mengapa dibentuk jaringan? ●
Komunikasi (email, chating dll)
●
Integrasi data pada aplikasi
●
Sharing resources (printer, HD dll)
●
Dan lain-lain
Kerugian Jaringan komputer ●
Ancaman keamanan data/informasi
●
Ancaman virus
●
Dan lain-lain
Mengenal jaringan (2)
Evolusi jaringan komputer –
Mainframe, pada era 19601970 an
–
LAN (Local Area Network), setelah PC ditemukan pada era 1970-1980 an
–
WAN (Wide Area Network) pada era 1980-1990 an
–
Internet, jaringan komputer global pada era 1990 an
Mengenal jaringan (3)
Requirement jaringan komputer ●
Hardware ➔ ➔ ➔
➔
●
Network Interface Card Hub/Switch sebagai consentrator & repeater Router untuk menyeberangkan paket data ke jaringan yang berbeda Dan lain-lain
Software ➔
Protokol sebagai aturan yang digunakan bersama dalam proses transmisi data sehingga transmisi data dapat berjalan dengan semestinya
Protokol TCP/IP (1) Protokol komunikasi secara umum
Protokol TCP/IP (2) Enkapsulasi pada TCP/IP
Protokol TCP/IP (3) Bagaimana TCP/IP menyeberangkan paket data antar 2 sistem melalui jaringan
Protokol TCP/IP (4) Layer Aplikasi ●
●
Berfungsi seperti jendela komunikasi sehingga data dapat dibaca oleh aplikasi. Contoh aplikasi: telnet,ftp, SSH
Protokol TCP/IP (5) Layer Transport (1) ●
Fungsi: –
Memastikan paket sampai ke servis yang benar (Port)
–
Mengendalikan seluruh proses transmisi, kapan dimulai, dipercepat, diperlambat, diakhiri (Code Bit)
–
Mengetahui apakah terjadi kerusakan data pada proses transmisi (Checksum)
–
Penomoran paket data agar data dapat disusun ulang (Sequence number)
Protokol TCP/IP (6) Layer Transport (2) ●
Jenis protokol di layer ini –
TCP (Transmission Control Protocol), connection oriented
–
UDP (User Datagram Protocol), connectionless oriented
Protokol TCP/IP (7) Layer Network/Internet (1) ●
Jenis-jenis protokolnya –
IP (Internet Protocol), untuk transmisi paket data
–
ICMP (Internet Connection Message Protocol). untuk informasi kondisi jaringan, contoh: ping, traceroute
–
ARP (Address Resolution Protocol), untuk mendapatkan informasi MAC Address dari IP yang diketahui
–
RARP (Reserve ARP), untuk mendapatkan informasi IP dari MAC Address yang diketahui
Protokol TCP/IP (8) Layer Network/Internet (2) ●
Internet Protokol (IP) –
Memastikan paket data sampai ke komputer tujuan
–
Protokol TCP di layer transport dan IP dilayer network menjadi tulang punggung protokol TCP/IP
Protokol TCP/IP (9) Layer Data Link/Physical ●
●
Mentransmisikan datagram dari layer network ke host tujuan MAC address, alamat hardware ethernet
Protokol TCP/IP (10) Contoh stack TCP/IP pada aplikasi: ●
Telnet, remote login
●
FTP, file transfer
●
SMTP, mail
●
TFTP, file transfer
Pengamanan jaringan
Diimplementasikan dengan
Firewall
VPN (Virtual Private Network)
IDS (Intrussion Detection System)
Firewall
Mekanisme untuk mengendalikan traffic antara trusted network (seperti LAN) dengan untrusted network (public network) Implementasi dapat dengan software, hardware atau kombinasi keduanya
Tipe Firewall (1)
Tipe firewall ●
Packet filtering
●
Circuit-level gateway
●
Aplication-level gateway
Implementasi ideal
Tipe Firewall (2)
Packet Filtering (1) ●
●
Parameter rule: ➔
IP address (source, destionation): 10.1.1.0/24
➔
Protokol: TCP, UDP, ICMP
➔
Port (source port, destination port): 80, 22 dst
➔
Interface: eth0, eth1
Contoh: IPTables
Tipe Firewall (3)
Packet Filtering (2) ●
Kelebihan Murah dan mudah diimplementasikan pada ACL di router ➔ Cepat dan fleksibel ➔ Transparan Kekurangan ➔
●
➔ ➔ ➔
➔
➔ ➔
Kontrol hanya berdasar IP address dan port Tidak dapat mencegah IP dan DNS spoofing Tidak dapat menangani serangan melalaui layer aplikasi. Contoh: URL yang berisi SQL injection Tidak dapat melindungi akses authentifikasi dilayer aplikasi. Contoh: www.situsku.com/administrator Konfigurasi dan maintenance ACL dapat merepotkan Log/catatan terbatas
Tipe Firewall (4)
Circuit-Level Gateway (1) –
Kendali akses dengan mengamati 'state information' pada 'established connection". Ketika established connection diijinkan antar 2 host, maka kemudian dibuat tunnel atau virtual circuit pada sesi koneksi tersebut. Dengan cara seperti ini, setelah 2 host diijinkan koneksi, maka selanjutnya tidak ada lagi inspeksi pada isi paketnya. Bekerja pada layer session pada model OSI
–
Contoh: Stateful inspection firewall, SOCKS
Tipe Firewall (5)
Circuit-Level Gateway (2) –
Kelebihan:
–
Cepat ➔ Mendukung berbagai jenis protokol ➔ Mudah dalam maintain Kekurangan: ➔
➔
➔
Tergantung sekali pada pendefinisian 'trusted network', karena setelah sesi koneksi diijinkan, paket data tidak diinspeksi lagi Loging terbatas
Tipe Firewall (6)
Application-Level Gateway/Proxy (1) –
Kendali akses dengan inspeksi isi paket data untuk tiap IP address. Tidak terjadi end-to-end connection, tetapi dengan cara 'outside host' koneksi dengan proxy kemudian paket data dianalisisi, jika diijinkan lalu dicopy dan dikirimkan ke 'inside host'.
–
Contoh: Squid proxy
Tipe Firewall (7)
Application-Level Gateway/Proxy (2) –
Kelebihan
–
Tidak terjadi komunikasi langsung, bahkan jaringan internal disembunyikan untuk mencegah akses langsung ke internal host ➔ Dapat diimplementasikan authentifikasi pada user Kekurangan ➔
➔ ➔
Mengurangi kecepatan akses Tidak support untuk beberapa protokol, seperti SSH
Tipe Firewall (8)
Application-Level Gateway/Proxy (3) –
Contoh konfigurasi pada Squid Proxy ➔
Konfigurasi engine squid /etc/squid/squid.conf
Waktu pengeblokan hanya dijam kerja
➔
List yang diblok /etc/squid/blok.txt
File berisi list situs yang diblok
Arsitektur Firewall (1)
Arsitektur firewal: ●
Screening router
●
Dual-homed gateway
●
Screened-host gateways
●
Screened-subnet
Arsitektur Firewall (2)
Screening router, router berupa packet filtering firewall ditempatkan antara untrusted network dengan trusted network. ●
Kelebihan ➔ ➔
Transparan Mudah dan murah
●
Kekurangan ➔
Log terbatas/tidak ada
➔
Tidak ada otentifikasi user
➔
Jaringan internal tidak dimasking
➔
Single point of failure
Arsitektur Firewall (3)
Dual-homed gateway/bastion (1) ●
●
Sistem bastion host dengan 2 NIC ditempatkan antara untrusted network dengan trusted network Pengendalian traffic ➔ ➔
Untrusted hanya dapat mengakses bastion host Trusted mengakses melalui proxy di bastion host
Arsitektur Firewall (4)
Dual-homed gateway/bastion (2) ●
Kelebihan ➔ ➔
●
Fail-safe mode Jaringan internal dimasking
Kekurangan ➔ ➔ ➔
Kurang nyaman bagi user Mengurangi performa jaringan Beberapa servis tidak dapat over proxy
Arsitektur Firewall (5)
Screened-host gateways (1) ●
●
Menempatkan external packet filtering dan internal bastion host Pengendalian traffic pada packet filtering router ➔ ➔
External hanya dapat mengakses bastion host Dari internal hanya paket data dari bastion host
Arsitektur Firewall (6)
Screened-host gateways (2) ●
Kelebihan ➔
➔ ➔
●
Pengamanan bertingkat, di packet filtering dan proxy di bastion host Outbound access transparan Inbound access tidak diijinkan
Kekurangan ➔
➔ ➔
Kurang aman karena bastion host memungkinkan dibypass Masking jaringan internal sulit diimplementasikan Multiple single points of failure (router atau bastion host)
Arsitektur Firewall (7)
Screened-subnet (1) ●
Menggunakan 2 packet filtering + bastion host
●
Menghasilkan DMZ (Demilitarized Zone)
●
Pengendalian traffic ke DMZ ➔ ➔
External melalui external packet filtering Internal melalui internal packet filtering
Arsitektur Firewall (8)
Screened-subnet (2) ●
Kelebihan ➔ ➔ ➔
●
Transparan oleh end-user Fleksible Jaringan internal dapat dimasking
Kekurangan ➔ ➔ ➔
Lebih mahal dari arsitektur yg lain Lebih sulit dalam mengkonfigurasi dan memaintain Lebih sulit dalam troubleshoot
IPtables Firewall (1)
Firewall native di Linux
Parameter filter:Parameter: ●
Protokol, contoh TCP, UDP, ICMP
●
Port Asal/tujuan. contoh 25, 1024:65536
●
IPNetwork asal/tujuan, contoh 81.52.22.1, 81.52.22.0/29
●
Code bit, contoh ACK
●
Judge, contoh DROP, ACCEPT
IPtables Firewall (2)
Aliran paket data (chain) ●
Input = rule untuk paket yang masuk
●
Output = rule untuk paket yang keluar
●
Forward = rule untuk paket yang diteruskan (khusus router)
IPtables Firewall (3)
Sintaks IPTables (1) –
Iptables –A/D/F/L
–
A= Add new rule ➔ D= Delete numer x rule ➔ F= Flush all rule ➔ L= Lists all rule Iptables … FORWARD/INPUT/OUTPUT ➔
➔ ➔ ➔
FORWARD = melewati sistem INPUT = masuk ke sistem OUTPUT= keluar dari sistem
IPtables Firewall (4)
Sintaks IPTables (2) –
Iptables …. –s -d --sport --dport
–
s = asal paket. Contoh: –s 10.1.1.0/0 ● d = tujuan paket.Contoh: 0.0.0.0/0 ● sport = port asal ● dport= port tujuan Iptables …. -j ●
●
●
j = jump. Contoh –j DROP, -j ACCEPT
Contoh Sintaks
IPtables Firewall (5)
VPN (1) Menyatukan host ke dalam satu jaringan melalui internet dan pengamanan transmisi data dengan kriptografi
Mengapa VPN?
● ● ●
Avalaibilitas dgn tunneling → Virtual Confidentialitas dgn kriptografi → Private Integritas dgn kriptografi → Private
VPN (2)
Metode/skenario koneksi ●
Remote access Contoh: Seorang pegawai yang sedang berada di luar kota dapat mengakses resource yang berada di jaringan internal kantornya
●
Site-to-Site Contoh: Kantor pusat dan kantor yg berbeda kota dapat terjembatani menjadi 1 jaringan
VPN (3)
Beberapa jenis protokol VPN ●
Point-to-Point Tunneling Protocol (PPTP)
●
Layer 2 Forwarding Protocol (L2F)
●
Layer 2 Tunneling Protocol (L2TP)
●
IPSec
IDS (1)
IDS (Intrussion Detection System) ●
Mekanisme untuk mendeteksi adanya penyusupan
Prasarat yang harus terpenuhi ● ●
Aktifitas sistem dapat diamati Aktifitas normal dapat dibedakan dengan aktifitas penyusupan
IDS (2)
Jenis-jenis IDS ●
Aktif/tidaknya Pasif: monitoring, analisis, klasifikasi ➔ Aktif: monitoring, analisis, klasifikasi, blocking dikenal dengan IPS (Intrussion Preventing System) Penempatan di jaringan ➔
●
Host IDS: memantau 1 host tempat IDS dipasang ➔ Network IDS: memantau subnet terkoneksi IDS Cara mendeteksinya ➔
●
➔
➔
Knowledge/Rule/Signature based: dicocokkan dengan database pola-pola serangan yang unique Behavior/Anomaly detection: deteksi perilaku yang tidak wajar, anomaly
IDS (3)
Masalah-masalah di IDS ●
Tidak dapat menganalisis paket terenkripsi
●
Rule/signature harus uptodate
●
Adanya kemungkinan false negatif/positif
IDS (4)
Studi Kasus: Snort IDS ●
Opensource, dikembangkan oleh komunitas
●
Rulenya digunakan sebagai standart IDS di industri
Contoh rule (1) ●
ICMP Large Packet/DOS ➔
Rule
➔
Alert
IDS (5)
Contoh rule (2) ●
Brute Force Attack pada FTP Account ➔
Rule
➔
Alert
IDS (6)
Implementasi Network IDS
Serangan pada jaringan (1)
Sniffing/penyadapan (1) ●
●
Sniffer mengubah mode ethernet untuk mendengarkan seluruh paket data pada jaringan yang menggunakan hub sebagai konsentrator Solusi: ➔ ➔
Gunakan switch-bukan hub Enkripsi/dekripsi
Serangan pada jaringan (2)
Sniffing/penyadapan (2) ●
●
Active sniffing pada medium switch dengan membelokkan paket data sehingga melalui PC penyadap Solusi: ➔
MAC address gatewaynya diset static
Serangan pada jaringan (3)
SYN-Flood ●
●
Korban mengalokasikan memori untuk mengingat sequence number tiap paket data yang datang sampai expired time nya terlampaui Solusi: ● ● ●
●
Mengaktifkan SYN-Cookies Bandwidth yang cukup Meningkatkan kemampuan jumlah antrian koneksi Perkecil timeout paket data
Serangan pada jaringan (4)
ICMP/UDP Flood ●
Membanjiri paket ICMP ke korban
●
Solusi: ➔
Block paket ICMP/UDP menggunakan firewall
Distributed DOS/DDOS ●
●
Serangan DOS (Denial of Service) secara simultan dalam waktu bersamaan Solusi: ➔ ➔
IDS/IPS Manajemen quota
