Ada beberapa konsep dalam pembatasan akses jaringan, yakni sebagai berikut :
a. Internal Password Authentication
b. Server Based password authentication
c. Server-based token authentication
d. Firewall dan Routing Control
2. Menggunakan Metode dan
mekanisme tertentu
a) Enkripsi
Salah
satu cara pembatasan akses adalah dengan enkripsi. Proses enkripsi
meng-encode data dalam bentuk yang hanya dapat dibaca oleh sistem yang
mempunyai kunci untuk membaca data. Proses enkripsi dapat dengan
menggunakan software atau hardware. Hasil enkripsi disebut cipher. Cipher
kemudian didekripsi dengan device dan kunci yang sama tipenya (sama
hardware/softwarenya, sama kuncinya). Dalam jaringan, system enkripsi
harus sama antara dua host yang berkomunikasi. Jadi diperlukan control terhadap
kedua system yang berkomunikasi. Biasanya enkripsi digunakan untuk suatu sistem
yang seluruhnya dikontrol oleh satu otoritas.
b) Terminologi Kriptografi
Kriptografi
(cryptography) merupakan ilmu dan seni untuk
menjaga pesan agar
aman. (Cryptography is the art and science of keeping messages secure. [40])
“Crypto” berarti secret” (rahasia) dan “graphy” berarti “writing” (tulisan)[3].
Para pelaku atau praktisi kriptografi disebut cryptographers. Sebuah algoritma
kriptografik (cryptographic algorithm), disebut
cipher, merupakan persamaan matematik yang
digunakan untuk proses enkripsi dan dekripsi. Biasanya kedua
persamaan matematik (untuk enkripsi dan dekripsi) tersebut memiliki hubungan
matematis yang cukup erat.
c) Terminologi Enskripsi - Dekripsi
Proses
yang dilakukan untuk mengamankan sebuah
pesan (yang disebut plaintext) menjadi pesan yang tersembunyi
(disebut ciphertext) adalah enkripsi (encryption). Ciphertext adalah pesan
yang sudah tidak dapat dibaca dengan
mudah. Menurut ISO 7498-2, terminologi yang lebih tepat digunakan adalah
“encipher”. Proses sebaliknya, untuk
mengubah ciphertext menjadi
plaintext, disebut dekripsi (decryption). Menurut ISO 7498-2,
terminologi yang lebih tepat untuk proses ini adalah “decipher”.
d) Digital Signature
Digunakan
untuk menyediakan authentication, perlindungan, integritas,
dan non- repudiation
e) Algoritma Checksum/Hash
Digunakan untuk menyediakan perlindungan integritas, dan dapat menyediakan authentication
3. Pemonitoran terjadwal terhadap
jaringan
Dengan
adanya pemantauan yang teratur, maka
penggunaan sistem oleh yang tidak berhak dapat dihindari / cepat diketahui.
Untuk mendeteksi aktifitas yang tidak normal, maka perlu diketahui aktifitas yang normal.
Proses apa saja yang berjalan pada saat aktifitas normal. Siapa saja yang biasanya
login pada saat tersebut. Siapa saja yang biasanya login diluar jam kerja. Bila terjadi keganjilan,
maka perlu segera diperiksa. Bila hal-hal yang mencurigakan terjadi, maka perlu
dijaga kemungkinan adanya intruder.
Metodologi keamanan informasi bertujuan untuk meminimalisasi kerusakan dan
memelihara keberlangsungan bisnis dengan memerhatikan semua kemungkinan
kelemahan dan ancaman terhadap aset informasi. Untuk menjamin keberlangsungan bisnis, metodologi keamanan informasi berusaha memastikan kerahasiaan, integritas dan ketersediaan
asset informasi internal. Hal ini termasuk penerapan metode dan control
manajemen risiko. Pada dasarnya, yang dibutuhkan adalah rencana yang
bagus dan meliputi aspek administratif, fisik, serta teknis
dari keamanan informasi.
MENGIDENTIFIKASI KEBUTUHAN FIREWALL
Untuk
membangun sebuah jaringan yang memiliki pengamanan firewall, maka
dibutuhkan hardware yang digunakan sebagai server. Selain hardware,
sistem operasi harus di-instalasi agar jaringan dapat berfungsi dengan baik,
seperti: Windows Server2000, Windows Server 2003,
Linux, Fedora, Mandriva, Debian, Ubuntu, FreeBSD dan Sun Solaris. Selanjutnya
pada server tersebut diinstalasi Paket program Firewall, seperti:WinGate,
Microsoft ISA, Firestarter dan Shorewall.
- Highlevel
Risk Assesment.
Pengujian
terhadap keamanan jaringan juga harus memenuhi berbagai macam kriteria,
termasuk sampai ke dalam high level risk atau tingkat ancaman
paling tinggi. Sebuah firewall yang baik seharusnya dapat
menahan serangan sampai tingkat yang paling tinggi, walaupun peran
seorang administrator jaringan dan system
administrator diperlukan untuk memantau kinerja dan kinerja sistem
jaringan termasuk kinerja server yang dimiliki.
- Menentukan
perangkat keras yang diperlukan.
Sebuah server adalah
komputer yang memiliki kapasitas lebih besar dari workstation. Dari
segi memory, hal ini untuk mendukung multiple task yang
aktif pada saat yang bersamaan. Harddisk yang lebih besar juga
dibutuhkan untuk menyimpan data. Server juga harus
memiliki extra expansion slots pada system board nya
untuk memasang beberapa device seperti printer dan
beberapa NIC.
- Inspeksi
paket
Stateful
Packet Inspection merupakan proses inspeksi paket yang tidak dilakukan
dengan menggunakan struktur paket dan data yang terkandung dalam paket, tapi
juga pada keadaan apa host-host yang saling berkomunikasi tersebut berada.
- Melakukan autentikasi
terhadap akses
Firewall
dilengkapi dengan fungsi autentikasi dengan menggunakan beberapa mekanisme
autentikasi, sebagai berikut:
- Firewall
dapat meminta input dari pengguna mengenai nama pengguna (user name) serta
kata kunci (password).
- Metode
kedua adalah dengan menggunakan sertifikat digital dan kunci publik
- Metode
selanjutnya adalah dengan menggunakan Pre-Shared Key (PSK)
atau kunci yang telah diberitahu kepada pengguna
Salah satu tugas firewall adalah melindungi sumber daya dari ancaman yang mungkin datang. Proteksi ini dapat diperoleh dengan menggunakan beberapa peraturan pengaturan akses (access control), penggunaan SPI, application proxy, atau kombinasi dari semuanya untuk mencegah host yang dilindungi dapat diakses oleh host-host yang mencurigakan atau dari lalu lintas jaringan yang mencurigakan. Firewall juga mampu mencatat semua kejadian, dan melaporkan kepada administrator. mencatat apa-apa saja yang terjadi di firewall amatlah penting, sehingga bisa membantu kita untuk memperkirakan kemungkinan penjebolan keamanan atau memberikan umpan balik yang berguna tentang kinerja firewall.
LANGKAH – LANGKAH MEMBANGUN FIREWALL
1. Mengidenftifikasi bentuk
jaringan yang dimiliki
Mengetahui
bentuk jaringan yang dimiliki khususnya toplogi yang di gunakan serta protocol
jaringan, akan memudahkan dalam mendesain sebuah firewall
2.
Menentukan Policy atau kebijakan dengan mengidentifikasi :
- Menentukan
apa saja yang perlu di layani
- Menentukan
individu atau kelompok-kelompok yang akan dikenakan policy atau kebijakan
tersebut
- Menentukan
layanan-layanan yang di butuhkan oleh tiap tiap individu atau kelompok
yang menggunakan jaringan
- Berdasarkan
setiap layanan yang di gunakan oleh individu atau kelompok tersebut akan
ditentukan bagaimana konfigurasi terbaik yang akan membuatnya semakin aman
- Menerapkankan
semua policy atau kebijakan tersebut
3.
Menyiapkan Software / Hardware yang akan digunakan
Baik
itu operating system yang mendukung atau software-software khusus pendukung
firewall seperti ipchains, atau iptables pada linux, dsb. Serta konfigurasi
hardware yang akan mendukung firewall tersebut.
4.
Melakukan test konfigurasi
Pengujian terhadap firewall yang telah selesai di bangun haruslah dilakukan, terutama untuk mengetahui hasil yang akan kita dapatkan, caranya dapat menggunakan tool tool yang biasa dilakukan untuk mengaudit seperti nmap.
ARSITEKTUR FIREWALL
Ada
beberapa arsitektur firewall. Pada artikel ini hanya akan dijelaskan beberapa
diantaranya, yaitu : dual-homed host architecture, screened host architecture,
dan screened subnet architecture.
- Arsitektur
Dual-Homed Host
Arsitektur
Dual-home host dibuat disekitar komputer dual-homed host, menggunakan
sebuah komputer dengan (paling sedikit) dua network- interface. Interface
pertama dihubungkan dengan jaringan internal dan yang lainnya dengan Internet.
Dual-homed host nya sendiri berfungsi sebagai bastion host (front terdepan,
bagian terpenting dalam firewall) (mulyana 2000) fungsi routing pada host ini
di non-aktifkan .Sistem di dalam firewall dapat berkomunikasi dengan dual-homed
host dan sistem di luar firewall dapat berkomunikasi dengan dual-homed host,
tetapi kedua sistem ini tidak dapat berkomunikasi secara langsung.
Dual-homed
host dapat menyediakan service hanya dengan menyediakan proxy pada host
tersebut, atau dengan membiarkan user melakukan logging secara langsung pada
dual-homed host.
- Arsitektur Screened
Host
Arsitektur
screened host menyediakan service dari sebuah host pada jaringan internal
dengan menggunakan router yang terpisah (Ariefati 2010). Pada arsitektur ini,
pengamanan utama dilakukan dengan packet filtering. Bastion host berada dalam jaringan
internal. Packet filtering pada screening router dikonfigurasi sehingga hanya
bastion host yang dapat melakukan koneksi ke Internet (misalnya mengantarkan
mail yang datang) dan hanya tipe-tipe koneksi tertentu yang diperbolehkan. Tiap
sistem eksternal yang mencoba untuk mengakses sistem internal harus
berhubungan dengan host ini terlebih dulu. Bastion host diperlukan untuk
tingkat keamanan yang tinggi.
- Arsitektur
Screened Subnet
Arsitektur
screened subnet menambahkan sebuah layer pengaman tambahan pada arsitekture
screened host, yaitu dengan menambahkan sebuah jaringan perimeter yang lebih
mengisolasi jaringan internal dari jaringan Internet (Ariefati 2010).
Jaringan
perimeter mengisolasi bastion host sehingga tidak langsung terhubung ke
jaringan internal. Arsitektur screened subnet yang paling sederhana memiliki
dua buah screening router, yang masing-masing terhubung ke jaringan perimeter.
Router pertama terletak di antara jaringan perimeter dan jaringan internal, dan
router kedua terletak di antara jaringan perimeter dan jaringan eksternal
(biasanya Internet). Untuk menembus jaringan internal dengan tipe arsitektur
screened subnet, seorang intruder harus melewati dua buah router tersebut
sehingga jaringan internal akan relatif lebih aman.
Sangat membantu
BalasHapus