NETWORK SECURITY
(Keamanan Jaringan)
Jaringan komputer adalah kumpulan dua atau lebih komputer-komputer
yang saling dihubungkan atau saling berhubungan dengan menggunakan
sebuah media baik dengan kabel maupun tanpa kabel (nirkabel/wireless)
sehingga dapat melakukan pemakaian data dan sumber daya secara
bersama-sama. Dalam jaringan komputer sederhana dengan media kabel kita
mengenal istilah work group atau peer to peer. Dalam Jaringan wireless
LAN kita mengenal istilah SSID. SSID merupakan singkatan dari Service
Set Identifier. Sebuah SSID mempunyai fungsi untuk menamai sebuah
jaringan wireless yang dipancarkan dari sebuah Access Point (AP). Sistem
penamaan SSID dapat diberikan maksimal sebesar 32 karakter. Access
Point (AP) memiliki peran yang hampir sama dengan hub atau switch pada
jaringan komputer dengan media kabel, di mana dalam jaringan nirkabel AP
bertugas untuk menyebarluaskan gelombang radio standar 2,4 GHz agar
dapat dijadikan oleh setiap klien atau peripheral komputer yang ada
dalam daerah jangkauannya agar dapat saling berkomunikasi. AP akan
menjadi gerbang bagi jaringan nirkabel untuk dapat berkomunikasi dengan
dunia luar maupun dengan sesama perangkat nirkabel di dalamnya.
Konsep Keamanan Jaringan
Keamanan jaringan sendiri sering dipandang sebagai hasil dari beberapa
faktor. Faktor ini bervariasi tergantung pada bahan dasar, tetapi secara
normal setidaknya beberapa hal dibawah ini diikutsertakan :
• Confidentiality (kerahasiaan)
• Integrity (integritas)
• Availability (ketersediaan)
Keamanan klasik penting ini tidak cukup untuk mencakup semua aspek
dari keamanan jaringan komputer pada masa sekarang. Hal-hal tersebut
dapat dikombinasikan lagi oleh beberapa hal penting lainnya yang dapat
membuat keamanan jaringan komputer dapat ditingkatkan lagi dengan
mengikut sertakan hal dibawah ini:
• Nonrepudiation
• Authenticity
• Possession
• Utility
Confidentiality (kerahasiaan)
Ada beberapa jenis informasi yang tersedia didalam sebuah jaringan
komputer. Setiap data yang berbeda pasti mempunyai grup pengguna yang
berbeda pula dan data dapat dikelompokkan sehingga beberapa pembatasan
kepada pengunaan data harus ditentukan. Pada umumnya data yang terdapat
didalam suatu perusahaan bersifat rahasia dan tidak boleh diketahui oleh
pihak ketiga yang bertujuan untuk menjaga rahasia perusahaan dan
strategi perusahaan [2]. Backdoor, sebagai contoh, melanggar kebijakan
perusahaan dikarenakan menyediakan akses yang tidak diinginkan kedalam
jaringan komputer perusahaan. Kerahasiaan dapat ditingkatkan dan didalam
beberapa kasus pengengkripsian data atau menggunakan VPN. Topik ini
tidak akan, tetapi bagaimanapun juga, akan disertakan dalam tulisan ini.
Kontrol akses adalah cara yang lazim digunakan untuk membatasi akses
kedalam sebuah jaringan komputer. Sebuah cara yang mudah tetapi mampu
untuk membatasi akses adalah dengan menggunakan kombinasi dari
username-dan-password untuk proses otentifikasi pengguna dan memberikan
akses kepada pengguna (user) yang telah dikenali. Didalam beberapa
lingkungan kerja keamanan jaringan komputer, ini dibahas dan dipisahkan
dalam konteks otentifikasi.
Integrity (integritas)
Jaringan komputer yang dapat diandalkan juga berdasar pada fakta bahwa
data yang tersedia apa yang sudah seharusnya. Jaringan komputer mau
tidak mau harus terlindungi dari serangan (attacks) yang dapat merubah
dataselama dalam proses persinggahan (transmit). Man-in-the-Middle
merupakan jenis serangan yang dapat merubah integritas dari sebuah data
yang mana penyerang (attacker) dapat membajak “session” atau
memanipulasi data yang terkirim. Didalam jaringan komputer yang aman,
partisipan dari sebuah “transaksi” data harus yakin bahwa orang yang
terlibat dalam komunikasi data dapat diandalkan dan dapat dipercaya.
Keamanan dari sebuah komunikasi data sangat diperlukan pada sebuah
tingkatan yang dipastikan data tidak berubah selama proses pengiriman
dan penerimaan pada saat komunikasi data. Ini tidak harus selalu berarti
bahwa “traffic” perlu di enkripsi, tapi juga tidak tertutup kemungkinan
serangan “Man-in-the-Middle” dapat terjadi.
Availability (ketersediaan).
Ketersediaan data atau layanan dapat dengan mudah dipantau oleh pengguna
dari sebuah layanan. Yang dimana ketidaktersediaan dari sebuah layanan
(service) dapat menjadi sebuah halangan untuk maju bagi sebuah
perusahaan dan bahkan dapat berdampak lebih buruk lagi, yaitu
penghentian proses produksi. Sehingga untuk semua aktifitas jaringan,
ketersediaan data sangat penting untuk sebuah system agar dapat terus
berjalan dengan benar.
Nonrepudiation
Setiap tindakan yang dilakukan dalam sebuah system yang aman telah
diawasi (logged), ini dapat berarti penggunaan alat (tool) untuk
melakukan pengecekan system berfungsi sebagaimana seharusnya. “Log” juga
tidak dapat dipisahkan dari bagian keamanan “system” yang dimana bila
terjadi sebuah penyusupan atau serangan lain akan sangat membantu proses
investigasi. “Log” dan catatan waktu, sebagai contoh, bagian penting
dari bukti di pengadilan jika cracker tertangkap dan diadili. Untuk
alasan ini maka “nonrepudiation” dianggap sebagai sebuah faktor penting
didalam keamanan jaringan komputer yang berkompeten. Itu telah
mendefinisikan “nonrepudition” sebagai berikut :
• Kemampuan untuk mencegah seorang pengirim untuk menyangkal kemudian
bahwa dia telah mengirim pesan atau melakukan sebuah tindakan.
• Proteksi dari penyangkalan oleh satu satu dari entitas yang
terlibat didalam sebuah komunikasi yang turut serta secara keseluruhan
atau sebagian dari komunikasi yang terjadi.
Jaringan komputer dan system data yang lain dibangun dari beberapa
komponen yang berbeda yang dimana masing-masing mempunyai karakteristik
spesial untuk keamanan. Sebuah jaringan komputer yang aman perlu masalah
keamanan yang harus diperhatikan disemua sektor, yang mana rantai
keamanan yang komplit sangat lemah, selemah titik terlemahnya. Pengguna
(user) merupakan bagian penting dari sebuah rantai. “Social engineering”
merupakan cara yang efisien untuk mencari celah (vulnerabilities) pada
suatu system dan kebanyakan orang menggunakan “password” yang mudah
ditebak. Ini juga berarti meninggalkan “workstation” tidak dalam keadaan
terkunci pada saat makan siang atau yang lainnya. Sistem operasi
(operating system : Windows, Unix, Linux, MacOS) terdapat dimana-mana,
komputer mempunyai sistem operasi yang berbeda-beda antara satu dengan
yang lainnya (tergantung selera), dan bahkan router juga dijalankan oleh
oleh sistem operasi. Setiap sistem operasi mempunyai gaya dan
karakteristik sendiri yang membedakannya dengan sistem operasi yang
lainnya, dan beberapa bahkan digunakan untuk kepentingan “server”.
Beberapa sistem operasi juga mempunyai masalah yang dapat digunakan
sehingga menyebabkan sistem operasi tersebut berhenti merespon pengguna.
Layanan pada “server” memainkan peranan penting dalam keamanan.
Developer perangkat lunak mengumumkan celah keamanan pada perangkat
lunak dengan cepat. Alasan yang digunakan adalah celah ini kemungkinan
akan digunakan oleh pihak yang tidak bertanggung jawab untuk menyusupi
sebuah system ataupun setiap pengguna komputer. Pengelola atau pengguna
server dan workstation harus melakukan pengecekan untuk “update” masalah
keamanan secara regular. Perangkat keras mungkin sedikit susah dipahami
sebagai sesuatu yang mempunyai potensi
Authenticity
Sistem harus memastikan bahwa pihak, obyek, dan informasi yang
berkomunikasi adalah riil dan bukan palsu. Adanya Tools membuktikan
keaslian dokumen, dapat dilakukan dengan teknologi watermarking(untuk
menjaga“intellectual property”, yaitu dengan meni dokumen atau hasil
karya dengan “tangan” pembuat ) dan digital signature.
Macam-macam metode username/password:
• Tidak ada username/password
Pada sistem ini tidak diperlukan username atau password untuk mengakses
suatu jaringan. Pilihan ini merupakan pilihan yang palin tidak aman.
• Statis username/password
Pada metode ini username/password tidak berubah sampai diganti oleh
administrator atau user. Rawan terkena playbacks attacka, eavesdropping,
theft, dan password cracking program.
• Expired username/password
Pada metode ini username/password akan tidak berlaku sampai batas waktu
tertentu (30-60 hari) setelah itu harus direset, biasanya oleh user.
Rawan terkena playback attacks, eavesdropping, theft, dan password
cracking program tetapi dengan tingkat kerawanan yang lebih rendah
dibanding dengan statis username/password.
• One-Time Password (OTP)
Metode ini merupakan metoda yang teraman dari semua metode
username/password. Kebanyakan sistem OTP berdasarkan pada “secret
passphrase”, yang digunakan untuk membuat daftar password. OTP memaksa
user jaringan untuk memasukkan password yang berbeda setiap kali
melakukan login. Sebuah password hanya digunakan satu kali.
Celah Keamanan Jaringan WiFi
Beberapa kelemahan pada jaringan wireless yang bisa digunakan attacker melakukan serangan antara lain:
1. Hide SSID
Banyak administrator menyembunyikan Services Set Id (SSID) jaringan
wireless mereka dengan maksud agar hanya yang mengetahui SSID yang dapat
terhubung ke jaringan mereka. Hal ini tidaklah benar, karena SSID
sebenarnya tidak dapat disembuyikan secara sempurna. Pada saat saat
tertentu atau khususnya saat client akan terhubung (assosiate) atau
ketika akan memutuskan diri (deauthentication) dari sebuah jaringan
wireless, maka client akan tetap mengirimkan SSID dalam bentuk plain
text (meskipun menggunakan enkripsi), sehingga jika kita bermaksud
menyadapnya, dapat dengan mudah menemukan informasi tersebut. Beberapa
tools yang dapat digunakan untuk mendapatkan ssid yang di-hidden antara
lain: kismet (kisMAC), ssid_jack (airjack), aircrack dan masih banyak
lagi. Berikut meupakan aplikasi Kismet yang secang melakukan sniffing.
2. WEP
Teknologi Wired Equivalency Privacy atau WEP memang merupakan salah satu
standar enkripsi yang paling banyak digunakan. Namun, teknik enkripsi
WEP ini memiliki celah keamanan yang cukup mengganggu. Bisa dikatakan,
celah keamanan ini sangat berbahaya. Tidak ada lagi data penting yang
bisa lewat dengan aman. Semua data yang telah dienkripsi sekalipun akan
bisa dipecahkan oleh para penyusup. Kelemahan WEP antara lain :
• Masalah kunci yang lemah, algoritma RC4 yang digunakan dapat dipecahkan.
• WEP menggunakan kunci yang bersifat statis
• Masalah Initialization Vector (IV) WEP
• Masalah integritas pesan Cyclic Redundancy Check (CRC-32)
Aplikasi yang bisa digunakan untuk melakukan mengcapture paket yaitu
Airodump. aplikasi airodump yang sedang mengcaptute paket pada WLAN.
Setelah data yang dicapture mencukupi, dilakukan proses cracking untuk
menemukan WEP key. Aplikasi yang bisa digunakan untuk melakukan menembus
enkripsi WEP yaitu Aircrack.
3. WPA-PSK atau WPA2-PSK
WPA merupakan teknologi keamanan sementara yang diciptakan untuk
menggantikan kunci WEP. Ada dua jenis yakni WPA personal (WPA-PSK), dan
WPA-RADIUS. Saat ini yang sudah dapat di crack adalah WPA-PSK, yakni
dengan metode brute force attack secara offline. Brute force dengan
menggunakan mencoba-coba banyak kata dari suatu kamus. Serangan ini akan
berhasil jika passphrase yang digunakan wireless tersebut memang
terdapat pada kamus kata yang digunakan si hacker. Untuk mencegah adanya
serangan terhadap keamanan wireless menggunakan WPA-PSK, gunakanlah
passphrase yang cukup panjang (satu kalimat).
4. MAC Filter
Hampir setiap wireless access point maupun router difasilitasi dengan
keamanan MAC Filtering. Hal ini sebenarnya tidak banyak membantu dalam
mengamankan komunikasi wireless, karena MAC address sangat mudah
dispoofing atau bahkan dirubah. Tools ifconfig pada OS Linux/Unix atau
beragam tools spt network utilitis, regedit, smac, machange pada OS
windows dengan mudah digunakan untuk spoofing atau mengganti MAC
address.
Masih sering ditemukan wifi di perkantoran dan bahkan ISP (yang biasanya
digunakan oleh warnet-warnet) yang hanya menggunakan proteksi MAC
Filtering. Dengan menggunakan aplikasi wardriving seperti kismet/kisMAC
atau aircrack tools, dapat diperoleh informasi MAC address tiap client
yang sedang terhubung ke sebuah Access Point. Setelah mendapatkan
informasi tersebut, kita dapat terhubung ke Access point dengan mengubah
MAC sesuai dengan client tadi. Pada jaringan wireless, duplikasi MAC
address tidak mengakibatkan konflik. Hanya membutuhkan IP yang berbeda
dengan client yang tadi.
5. Weak protocols (protokol yang lemah)
Komunikasi jaringan komputer menggunakan protokol antara client dan
server. Kebanyakan dari protokol yang digunakan saat ini merupakan
protocol yang telah digunakan beberapa dasawarsa belakangan. Protokol
lama ini, seperti File Transmission Protocol (FTP), TFTP ataupun telnet,
tidak didesain untuk menjadi benar-benar aman. Malahan faktanya
kebanyakan dari protocol ini sudah seharusnya digantikan dengan protokol
yang jauh lebih aman, dikarenakan banyak titik rawan yang dapat
menyebabkan pengguna (user) yang tidak bertanggung jawab dapat melakukan
eksploitasi. Sebagai contoh, seseorang dengan mudah dapat mengawasi
“traffic” dari telnet dan dapat mencari tahu nama user dan password.
6. Software issue (masalah perangkat lunak)
Menjadi sesuatu yang mudah untuk melakukan eksploitasi celah pada
perangkat lunak. Celah ini biasanya tidak secara sengaja dibuat tapi
kebanyakan semua orang mengalami kerugian dari kelemahan seperti ini.
Celah ini biasanya dibakukan bahwa apapun yang dijalankan oleh “root”
pasti mempunyai akses “root”, yaitu kemampuan untuk melakukan segalanya
didalam system tersebut. Eksploitasi yang sebenarnya mengambil
keuntungan dari lemahnya penanganan data yang tidak diduga oleh
pengguna, sebagai contoh, buffer overflow dari celah keamanan “format
string” merupakan hal yang biasa saat ini. Eksploitasi terhadap celah
tersebut akan menuju kepada situasi dimana hak akses pengguna akan dapat
dinaikkan ke tingkat akses yang lebih tinggi. Ini disebut juga dengan
“rooting” sebuah “host” dikarenakan penyerang biasanya membidik untuk
mendapatkan hak akses “root”.
7. Hardware issue (masalah perangkat keras).
Biasanya perangkat keras tidak mempunyai masalah pada penyerangan yang
terjadi. Perangkat lunak yang dijalankan oleh perangkat keras dan
kemungkinan kurangnya dokumentasi spesifikasi teknis merupakan suatu
titik lemah. Berikut ini merupakan contoh bagaimana perangkat keras
mempunyai masalah dengan keamanan.
.jpg)
.jpg)
.jpg)
