Menjaga Kemanan Sistem Jaringan

Mencegah dan mendeteksi serangan yang dilancarkan lewat jaringan, khususnya jaringan internet, telah menjadi poin perhatian utama para pakar keamanan dan vendor-vendor sejak dulu.

Nyatanya, permasalahan keamanan jaringan bukanlah sesuatu yang dapat dipecahkan dalam waktu singkat, karena sesungguhnya meliputi banyak faktor.

Software2, script2 dan program2 seringkali membawa permasalahan2 baru, yakni terdapatnya bug, hole, atau kelemahan security lainnya.

Oleh karena itu teknik-teknik hacking sangat bergantung pada peluang eksplitasi terhadap kelemahan dan hole yang dikandung software2 yang dibangun sebuah vendor, maka teknik-teknik hacking akan berubah setiap waktu. Inilah yang membuat para administrator dan security analyst kesulitan dalam menanggulanginya.

Terkoneksi dengan sebuah jaringan bagaimana pun juga akan menuntut perhatian security, baik berhubungan dengan proteksi account-account atau file-file. Beragam bentuk protocol jaringan, server, client, router dan komponen2 jaringan lainnya cukup sulit untuk digambarkan. Untuk membuatnya terkoneksi secara aman, kita perlu mengerti bagaimana komponen2 ini berinteraksi dan bagaimana kita harus mengkonfigurasinya.

Koneksi jaringan dengan user2 yang secara potensial dapat melakukan pelanggaran, kita hendaknya menerapkan system firewall yang tepat di samping melakukan konfigurasi yang benar terhadap resource2 sistem.

JARINGAN DAN UNIX

Sejak awal, UNIX dibangun untuk menangani permasalahan2 jaringan. Layanan2 TCP/IP secara komplit, termasuk SLIP,PPP,NFS, dan NIS didukungnya dan telah terbukti ketangguhannya. Ini berarti bahwa mesin2 unix dapat berinteraksi secara mudah dengan sistem2 berlainan, bertindak sebagai mesin server yang multifungsi, menangani layanan2 vital seperti NFS (akses file secara remote), layanan email, layanan www, ftp, routing dan sebagainya.

Karena begitu banyaknya layanan2 jaringan yang didukung, maka permasalahan security jaringan menjadi focus utama dalam sebuah system unix. Pada kebanyakan kasus, permasalahan2 security jaringan memang menduduki peringkat tertinggi disbanding sesi-sesi lain-nya.

Secara umum, masalah2 keamanan jaringan pada sebuah mesin unix diantaranya meliputi: remote virtual terminals (telnet,rlogin), remote file service, email, layanan directori electronic (finger, whois, dan ph), date and time, program BIND, RPC (remote procedure call), dll.

Kebanyakan layanan jaringan unix disajikan oleh program2 individual yang dinamakan servers. Program2 individual ini secara garis besar dikendalikan melalui file2 /etc/inetd.conf dan /etc/service. Content dari file2 tersebut pada beberapa system unix mungkin akan berbeda-beda.

File /etc/services tidak lain sebuah file database relational. Setiap baris dari file ini terdiri atas nama servis, nomor port jaringan, nama protocol, dan sebuah daftar alias.

Pada program /etc/inetd atau dikenal juga dengan SuperServer, merupakan program yang dijalankan saat boot sebagai bagian dari prosedur star-up. Inetd menggunakan bind() call untuk mengikatkan dirinya ke banyak port network, lalu menggunakan select() call untuk notifikasi saat sebuah koneksi dibuat dalam port-port tersebut.

# @(#)inetd.conf 1.1 20/05/18 3.2/4 NFSSRC

#

# Internet server configuration database

#

ftp stream tcp notwait

root /usr/etc/ftpd ftpd

telnet stream tcp notwait root

/usr/etc/telnetd telnetd

Shell stream tcp notwait

Root /usr/etc/rshd rshd

Login stream tcp notwait

Root /usr/etc/rlogind rlogind

Exec stream tcp notwait

Root /usr/etc/rexecd rexecd

Uucp stream tcp notwait

Uucp /usr/etc/uucpd uucpd

Finger stream tcp notwait nobody

/usr/etc/fingerd fingerd

SECURITY IP

Sepanjang tahun 1980, computer2 didalam internet menjadi subject banyak penyerangan individual. Solusi dari penyerangan2 ini sebenarnya cukup sederhana, diantaranya menyarankan user2 agar menggunakan password yang baik, mencegah user2 melakukan sharing account2 antara satu dengan lainnya, dan mengeleminasi semua hole sekuriti yang terdapat dalam program2 vital seperti sendmail dan login.

Pada tahun 1990an, serangan berbasis IP dan jaringan yang popular ditemukan di antaranya:

[] network sniffer, berusaha menangkap password2 dan bagian informasi2 sensitif lainnya melalui jaringan.

[] Ip Spoofing, digunakan oleh penyerang untuk merampas host dalam internet.

[] Data spoofing, digunakan oleh penyerang untuk memasukkan data ke dalam komunikasi yang berjalan diantara dua host berbeda. Data spoofing telah dibuktikan kepiawaiannya sebagai cara yang efektif untuk merusak intergritas program2 yang dieksekusi melalui jaringan dari server2 NFS.

Kebanyakan serangan2 di atas sebenarnya telah diantisipasi sejak lebih sepuluh tahun lalu. Sayangnya protokol2 IP dan internet itu sendiri tidak terproteksi secara baik sehingga tidak dapat menahan serangan2 tersebut. Ada beberapa alasan berkaitan dengan kelemahan ini.

Pertama, IP dirancang untuk digunakan dalam lingkungan yang tidak aman, namun para perancang tidak secara pasti mengapresiasikan bagaimana dan seperti apa ancaman jaringan akan datang. Kedua, IP tidak dirancang untuk menyajikan keamanan. Ketiga, IP dirancang untuk mentransmisikan paket dari satu computer ke computer lain, yang menyajikan autentikasi host-host system, atau untuk mengijinkan user-user mengirim komunikasi dalam network secara rahasia.

Teknologi IP selalu berkembang. Versi-versi IP mendatang mungkin akan menyajikan security jaringan yang lebih baik. Namun, pada kenyataannya implementasi teknologi IP masih dalam tahap eksperimen.

MENGONTROL AKSES KE SERVER

Beberapa server unix memiliki fasilitas built-in untuk membatasi akses berdasarkan IP address atau hostname computer. Sebagai contoh, NFS mengizinkan anda menentukan host-host mana yang dapat melakukan mount sebuah file system tertentu, dan nntp mengizinkan anda menentukan host-host mana yang dapat membaca net-news. Namun, layanan2 ini sangat terbatas, kebanyakan server unix tidak memiliki fasilitas akses control “host-by-host”.

Meretriksi layanan berdasarkan IP address atau hostname, secara fundamental bukanlah cara yang secure terutama untuk mengontrol akses ke server. Oleh karena sistem2 authentication berbasis IP address ini hanya terimplementasi pada beberapa situs saja.

Jika kita simpulkan, terdapat dua teknik yang dapat kita gunakan untuk mengontrol akses terhadap server yang tidak diizinkan untuk diakses oleh sistem2 lain:

[] menggunakan program tcpwrapper anda dapat merestriksi server2 berdasarkan host, dan jumlah ini juga mengijinkan koneksi yang datang untuk melakukan login via syslog.

[] anda dapat menerpakan sebuah firewall di antara server dengan jaringan luar. Firewall dapat memproteksi jaringan dalam, sedangkan tcpwrapper hanya dapat memproteksi layanan2 dalam sebuah mesin tertentu.

Kita melihat tcpwrapper dan firewall sebagai teknologi yang saling melengkapi. Sebagai contoh, anda dapat menjalankan tcpwrapper pada masing2 mesin, dan kemudian memproteksi keluarga jaringan dengan firewall. Kombinasi ini adalah salah satu usaha mewujudkan keamanan, sedang filosofinya tidak bergantung pada teknologi mana yang anda gunakan.

IMPLIKASI KEAMANAN JARINGAN

Server2 jaringan merupakan pintu gerbang yang melaluinya dunia luar dapat melakukan akses informasi yang tersimpan dalam komputer2 anda. Menimbang alasan ini, maka sebuah server haruslah:

1. menentukan informasi atau aksi apa saja yang di request client

2. memutuskan apakah klien perlu menggunakan nama atau tidak, dengan kata lain mengautentikasi seseorang (atau program) yang merequest servis.

3. mentransfer informasi yang direquest atau membentuk layanan yang diinginkan.

Banyak server harus berjalan di atas kekuasaan root. Padahal bug-bug atau program2 “back door” yang terinstall dalam server sangat mudah memanfaatkan kondisi tersebut untuk mendobrak pertahanan, misalnya membuka autentikasi system sehingga user-user dalam jaringan dapat melakukan perusakan.

Bahkan program2 yang sebenarnya tidak berbahaya dapat disalah gunakan untuk melumpuhkan system dalam keluarga jaringan. Bug-bug, atau cacat-cacat yang dikandung oleh program yang didistribusikan vendor-vendor mungkin sudah mendekam dalam system anda sejak bertahun-tahun lamanya, namun tidak menyadarinya sampai bug-bug tersebut dimanfaatkan oleh penyusup!.

Untuk menghindari ancaman2 autentikasi berbasis IP atau hostname, beberapa pendekatan alternative dapat anda coba, diantaranya:

[] gunakan enkripsi untuk memproteksi data.

[] hindari menggunakan password2 dan autentikas berbasis host. Namun percayakan pada onetime password, atau secure communication melalui kriptografi.

[] gunakan firewall untuk mengisolasi network internal anda dari dunia luar.

[] lakukan disconnect jaringan internal anda dari dunia luar.

[] buatlah jaringan internal kedua untuk informasi2 rahasia.

MEMONITOR JARINGAN DENGAN NETSTAT

Anda dapat menggunakan perintah netstat untuk mendaftar semua koneksi TCP/IP, baik yang aktif atau sedang menunggu antara mesin anda dengan mesin2 lain di internet. Perintah ini sangat penting manakala anda mencurigai seseorang mendobrak masuk ke dalam system atau memanfaatkan computer anda untuk melakukan penyerangan terhadap computer lain.

Netstat memungkinkan anda melihat mesin-mesin mana yang berkomunikasi dengan mesin anda melalui network. Output dari command ini memuat host dan nomor port masing2 koneksi, disertai nilai yang diterima dan antrian transmisi.

Normalnya, perintah netstat menampilkan soket-soket domain unix. Anda dapat merestriksi tampilan soket-soket IP cukup dengan menggunakan opsi –f inet.

Ketika menjalankan netstat, anda mungkin akan menemukan banyak koneksi berbeda-beda. Jika anda menggunakan X Windows System, anda akan melihat “unix domain sockets” yang merupakan koneksi-koneksi local dari klien-klien X ke X window server.

Dengan opsi –a, netstat akan mencetak list semua soket TCP dan UDP dimana program2 didengar. Menggunakan opsi –a juga akan memberikan daftar semua nomor port dimana program2 dan user2 di luar computer anda dapat menggunakannya untuk masuk ke system melalui network. (sayangnya, netstat tidak memberitahu nama program yang didengarnya dalam soket).

MENGETES KEAMANAN JARINGAN

Dengan dukungan hardware dan software yang beragam dan melimpah, anda mungkin tinggal memilih untuk menginstallnya dan membiarkan bekerja dengan sendirinya. Namun jika masalah sekuriti menimpa, apa yang dapat anda lakukan? Sudahkah anda benar2 menguji kemanan hardware dan software2 sebelum anda menginstalnya?

Seringkali, kita memang melupakan resiko2 yang mungkin timbul di kemudian hari akibat penggunaan resouce2 sistem. Padahal usaha pengetesan atau pengujian keamanan adalah faktor yang penting untuk dipertimbangkan jauh-jauh hari, dan ia harus menjadi bagian integral security policy.

Tanpa pengetesan dalam basis regular, proses2 yang anda implementasikan saat ini akan ketinggalan jaman atau memiliki versi-versi kadaluarsa, dimana berpeluang menyimpan sejumlah hole berbahaya. Perlu diketahui, security system sesungguhnya selalu berubah-ubah dari hari ke hari.

Karena itu para administrator system hendaknya senantiasa melakukan upgrade system operasi mereka beserta software2 yang digunakan dalam waktu terjadwal. Penting juga untuk membuat list software dalam sebuah catatan sehingga dapat membantu mengingatkan kapan sebuah software harus diupgrade.

Dengan melakukan pengetesan, anda dapat meyakinkan bahwa sistem2 dalam keadaan terproteksi dari ancaman2 penyerangan dan kerusakan.

Pengetesan dan pengujian juga berlaku untuk kondisi2 jaringan. Usaha ini akan membantu anda mencegah terjadinya penyerangan berbasis jaringan. Untuk melakukan ini, sebetulnya sudah tersedia tool2 handal yang dapat anda gunakan. Dengan tool ini, pengetesan, pemeriksaan dan pengujian akan berlangsung secara otomatis.

Secara tipikal, sebuah tool pengetes keamanan jaringan akan mengoleksi data tentang sebuah target jaringan, mengidentifikasi kelemahan2 potensial, dan menghasilkan laporan kepada administrator security sehingga dapat melakukan tindakan2 pengamanan.

Mengetes keamanan jaringan adalah hal utama dari semua tindakan yang telah anda lakukan. Tanpa mengetes kemampuan dan kemanan jaringan anda, akan berdampak besar ketika komunitas hacker yang justru mengetes keamanan jaringan anda.

Posted in: Tips-Tricks Komputer