BAB 4 PERANCANGAN, IMPLEMENSTASI DAN EVALUASI

BAB 4 PERANCANGAN, IMPLEMENS TAS I DAN EVALUAS I 4.1

Analisis Kebutuhan Beberapa hal yang perlu dilakukan sebagai persiapan awal sebelum melakukan implementasi infrastruktur jaringan baru dan IP S pada PT. XYZ-TD: 1.

M embuat desain topologi jaringan baru serta pemasangan teknologi IPS untuk PT. XYZ-TD.

2.

M embuat daftar hardware yang diperlukan dalam implementasi sistem jaringan dan IPS.

4.2

Penamaan, Jumlah, dan S pesifikasi Hardware 4.2.1

Penamaan Alat Tambahan untuk Infrastruktur Jaringan Baru

Tabel 4.1 Hostname No

Perangkat

Hostname

1

Firewall Fortigate 110C

FORTIGATE

2

Intrusion Prevention System Proventia GX 4004–v2 GX-4004

3

Router 2921 Integrated Service Router

ROUTER2921

4

Switch Cisco WS-C2960S-24TS-S

SW2960TSS1 SW2960TSS2

5

Switch Cisco WS-C2960-24TT-L

SW2960TTL

6

Linksys WRT120N

WRT(1-10)

 

75   

76   

4.2.2

Jumlah Peralatan Tambahan untuk Infrastruktur Jaringan Baru

Tabel 4.21 Jumlah Alat No

Perangkat

Jumlah(Unit)

1

Firewall Fortigate 110C

1

2

Intrusion Prevention System Proventia GX4004-v2

1

3

Router 2921 Integrated Service Router

1

4

Switch Cisco WSC-2960S-24TS-S

2

5

Switch Cisco WS-C2960-24TT-L

1

6

Linksys WRT120N

10

4.2.3

S pesifikasi Hardware untuk Infrastruktur Jaringan Baru

Berikut ini adalah spesifikasi hardware yang diperlukan :

1.

Fortigate Firewall 110C FortiGate-110C adalah solusi keamanan yang ideal untuk perusahaan kecil dan menengah atau jaringan kantor cabang, karena mereka menggabungkan firewall, SSL VPN, pencegahan intrusi, antivirus, antispam, dan web filtering untuk mengidentifikasi berbagai jenis ancaman dari satu perangkat. FortiGate-110C bisa dikonfigurasi hanya dalam beberapa menit, dan secara otomatis men-download update patch untuk melindungi terhadap serangan virus terbaru, kerentanan jaringan, worm, spam dan phishing.

77   

Tabel 4.3 Fortigate Firewall 110C Spesifikasi Antarmuka Jaringan Total

2 x 10/100/1000 WAN port and 8 x 10/100 switch port

M aksimum Sesi Secara Bersamaan

400000

Sesi Baru per Detik

10000

Firewall Throughput 1518 Bytes

1 Gbps

IPSec Throughput 512 Byte Packet

100 M bps

 

 

Gambar 4.1 Fortigate Firewall 110C  

2.

IBM Proventia Intrusion Prevention System GX 4004–v2 IBM

Proventia

Intrusion

Prevention

System

(IPS)

menghentikan ancaman dari Internet sebelum memberikan dampak negatif terhadap bisnis Anda dan memberikan perlindungan untuk jaringan perusahaan Anda. Perlindungan preemptive atau perlindungan yang bekerja di depan ancaman, tersedia dari IBM Internet Security System (ISS) melalui kombinasi kecepatan kinerja dan intelijen keamanan dimana IPS dapat menentukan paket yang berbahaya maupun paket yang aman.

78   

Tabel 4.4 IBM Proventia Intrusion Prevention System GX 4004 – v2 Karakteristik Kinerja Inspected Throughput

800 M bps

Latency

< 200 microseconds

M aksimum sesi secara 1,300,000 bersamaan Koneksi per detik

35,000

Skalabilitas Segmen yang dilindungi

2

M onitoring interfaces

4 x 10/100/1,000 copper

Dimensi Bentuk

1 Rack Unit

Tinggi

44 mm

Panjang

429 mm

Lebar

382 mm

Berat

11.1 kg

 

Gambar 4.2 IBM Proventia Intrusion Prevention System GX 4004–v2  

79   

3.

Cisco Router 2921 Integrated Service Router Cisco® seri 2900 Integrated Services Router adalah platform baru yang didesain untuk mengaktifkan fase berikutnya yaitu menyediakan media yang kaya kolaborasi dan virtualisasi ke cabang sambil memaksimalkan penghematan biaya operasional. Platform pelayanan router terpadu generasi 2 akan diaktifkan pada masa depan dengan multi-core CPU, mendukung kapasitas tinggi DSP (Digital Signal Processors) untuk video masa depan, modul layanan yang tinggi didukung dengan ketersediaan yang ditingkatkan, Gigabit Ethernet switching dengan POE yang ditingkatkan, dan pemantauan energi baru, serta kemampuan kontrol kinerja sistem secara keseluruhan. Selain itu, Cisco IOS® yang baru memungkinkan Anda untuk memisahkan penyebaran hardware dan software dengan Software Universal image dan Services Ready Engine module, memberikan dasar teknologi yang fleksibel yang dapat dengan cepat beradaptasi dengan persyaratan jaringan yang terus berkembang. Secara keseluruhan, Cisco 2900 Series menawarkan total biaya yang tak tertandingi dari tabungan kepemilikan dan kelincahan jaringan melalui integrasi cerdas meliputi keamanan, komunikasi terpadu, nirkabel, dan layanan aplikasi. Tabel 4.5 Cisco Router 2921 Integrated Service Router Total Onboard WAN 10/100/1000 Ports

3 port

80   

RJ-45-Based Ports

3 port

SFP-Based Ports

1 port

M emory DDR2

512 M b

Dimensi(H x W x D)

88.9mm x 438.2mm x 469.9mm

Berat

15.5 kg  

 

Gambar 4.3 Cisco Router 2921 Integrated Service Router  

4.

Cisco Switch WS-C2960S-24TS-S Switch Cisco Catalyst 2960S mendukung akses suara, video, data, dengan sangat aman. Switch ini juga memberikan manajemen berskala sebagai kebutuhan bisnis. Fitur-fitur untuk meningkatkan keamanan pada switch ini adalah Cisco TrustSec menyediakan otentikasi, kontrol akses, dan kebijakan

keamanan administrasi,

Gigabit Ethernet, Cisco Energy Wise untuk manajemen daya, manajemen jaringan berskala, dan memiliki 24 port 10/100/1000, 1 RU fixed-configuration, LAN Base image, 2 1Gbe SFP port uplink. Tabel 4.6 Cisco Switch WS-C2960S-24TS-S

81   

Spesifikasi Uplink

2 1GbE SFP port

Forwarding Rate

38.7 mpps

Forwarding bandwidth

50 Gbps

Flash memory

64 M B

M emori DRAM

128 M B

M ax VLANs

64

VLAN IDs

4000

M aximum transmission unit (MTU)

Up to 9198 bytes

Dimensi (HxWxD)

45mm x 450mm x 300mm

Berat

4.5 Kg

 

Gambar 4.4 Cisco Switch WS-C2960S-24TS-S

5.

Cisco Switch WS-C2960-24TT-L Switch Cisco Catalyst 2960 mendukung akses suara, video, data, dengan sangat aman. Switch ini juga memberikan manajemen berskala sebagai kebutuhan bisnis. Fitur-fitur untuk meningkatkan keamanan pada switch ini adalah Cisco TrustSec menyediakan otentikasi, kontrol akses, dan kebijakan

keamanan administrasi,

Gigabit Ethernet, Cisco Energy Wise untuk manajemen daya,

82   

manajemen jaringan berskala, dan memiliki 24 Ethernet 10/100 ports and 2 10/100/1000 TX uplinks, 1 Rack Unit fixed-configuration, LAN Base image. Tabel 4.7 Cisco Switch WS-C2960-24TT-L Spesifikasi Topologi

Ethernet (10/100BaseTX), Ethernet (10/100/1000BaseT)

Jumlah Port

24 port 10/100

Uplink

2 port 10/100/1000

M emori DRAM

16 M B

Throughput

6.5 Mpps

Jumlah VLAN

255

Ketersediaan/Ketahanan

PVST, Broadcast Suppression, Unicast Suppression,

M ulitcast

Suppression,

Spanning Tree, Portfast, Uplink Fast, Backbone Fast, 802.1s, 802.1w

Gambar 4.5 Cisco Switch WS-C2960-24TT-L    

83   

6.

Switch D-LINK DES-1016A DES-1016D adalah unmanaged switch 10/100M bps yang dirancang untuk meningkatkan kinerja kelompok kerja sambil memberikan tingkat fleksibilitas yang tinggi. Kuat namun mudah digunakan,

perangkat

ini

memungkinkan

pengguna

untuk

memasangkan ke salah satu port jaringan 10 M bps atau 100 M bps untuk melipatgandakan bandwidth, meningkatkan waktu respon dan memenuhi transfer data dalam ukuran yang besar. Tabel 4.8 D-LINK Switch DES-1016A Spesifikasi Jumlah Port

16 Ports 10/100BASE-T

Diagnostic LEDs

Per Unit: Power Per port: Link/Activity, FDX/Col, and 100M bps

Konektor

RJ-45 10BASE-T, 100BASE-TX Universal UTP Cable Recognition untuk kabel straight atau kabel cross

Power Supply

100-240VAC 50/60Hz

Dimensions (W x H x D)

280mm x 180mm x 44mm

84   

Gambar 4.6 D-LINK Switch DES-1016A  

7.

3Com Baseline Switch 2016 (3C16470B) 3Com Baseline Switch 2016 adalah switch yang serbaguna, unmanaged switch yang mudah digunakan. Switch ini sangat ideal untuk pengguna yang menginginkan kecepatan tinggi kinerja 10/100 M bps, tetapi tidak memerlukan kecanggihan kemampuan manajemen. Tidak ada konfigurasi yang diperlukan. Switch yang memiliki 16 port ini memiliki konektor RJ-45, 10/100 M bps. Setiap port secara otomatis menentukan mode kecepatan dan duplex pada peralatan yang terhubung dan menyediakan koneksi yang cocok. masing-masing port juga mendukung deteksi otomatis pada M DI atau M DI-X. Tabel 4.9 3Com Baseline Switch 2016 (3C16470B) Spesifikasi Jumlah Port

16 autosensing, konfigurasi otomatis, MDI/M DIX 10BASE-T/100BASE-TX

Tipe Konektor

RJ-45

Fitur Ethernet

Full-rate non-blocking pada semua port

Switching

Ethernet, full/half duplex auto-negosiasi dan

85   

flow kontrol. Data Link Protocol Ethernet, Fast Ethernet Dimensi

43mm x 439mm x 173mm

Berat

1.5 Kg

Gambar 4.7 3Com Baseline Switch 2016 (3C16470B)  

8.

Linksys WRT120N Router Wireless-N dapat terhubung tanpa kabel dan memberi anda sambungan nirkabel yang dua kali kecepatan dari Wireless-G, sehingga seluruh keluarga Anda dapat berbagi koneksi Internet broadband dan file akses dari hampir di mana saja di rumah. Teknologi Wireless-N memungkinkan Anda menjelajahi web dari ruang tamu, bermain game on-line dari kamar tidur, dan mendengarkan musik digital Anda di dapur. Kecepatan ekstra memungkinkan Anda menghubungkan perangkat lainnya, dan memindahkan file lebih cepat. Dan Wireless-N dapat bekerja dengan baik pada perangkat-perangkat lama anda.

86   

Tabel 4.10 Linksys WRT120N Spesifikasi Teknologi

Wireless-N

Bands

2.4 GHz

Remote M anagement

HTTPS, HTTP

Protocol Standar

IEEE 802.3u IEEE 802.11

Antena

2 Internal

Ethernet Port

4 10/100

Security

Wi-Fi Protected Access 2 (WPA2), WEP, Wireless M AC Filtering, Up to 128-Bit Encryption

 

Gambar 4.8 Linksys WRT120N 9.

Kabel UTP CAT 5e Kategori 5e kabel adalah versi yang disempurnakan dari Kategori 5 yang mematuhi standar yang lebih ketat. Hal ini mampu mengirimkan data pada kecepatan sampai 1000 M bps.

87   

Tabel 4.11 Kabel UTP CAT 5e Tipe Kabel UTP

CAT 5e High Quality (HQ)

Tipe Konektor

RJ-45 (standard 6-pin)

Tekstur Kabel

Type Straight

Connection Applicable

Switch Hub, M odem ADSL, Wifi Access Point (AP), Wifi Broadband Router

Temperatur

-20 to +75°C

Isolasi Bahan

Polyolefin

Jacket M aterial

PVC

 

Gambar 4.9 Kabel UTP CAT 5e 4.3

S pesifikasi Rancangan Infrastruktur Jaringan dan Penggunaan Teknologi IPS 4.3.1

Rancangan Topologi Infrastruktur Jaringan Dan Teknologi IPS Untuk menjaga keamanan pada struktur jaringan lama PT.XYZTD, maka dibuatlah rancangan jaringan infrastruktur baru yang dapat mendukung kinerja perusahaan dan sebagai pemecahan masalah dari hasil identifikasi masalah yang dilakukan sebelumnya. Berikut ini adalah topologi rancangan infrastruktur keamanan jaringan pada PT. XYZ-TD :

88   

 

Gambar 4.10 Topologi Jaringan Baru PT. XYZ-TD

89   

4.3.2

Hak Akses pada Infrastruktur Jaringan Baru Pada infrastruktur jaringan baru ini, menggunakan access control list (ACL) dalam membatasi hak-hak akses pada masing-masing divisi. Hak akses pada infrastruktur jaringan baru PT. XYZ-TD dapat dilihat pada table 4.12. 

4.4

Konfigurasi pada S istem Jaringan Baru Dengan adanya penambahan alat-alat baru seperti switch dan router cisco yang dapat dikelola (manage), maka melakukan pengaturan konfigurasi VLAN pada switch dan melakukan pengaturan Inter-VLAN-Routing dan ACL pada router untuk memberikan batasan-batasan pada jaringan perusahaan. Berikut adalah konfigurasi dan keterangan pada switch dan router yang terdapat pada sistem jaringan baru PT. XYZ-TD: 4.4.1

Konfigurasi S witch Pada switch dilakukan pembuatan dan pengaturan VLAN. M enggunakan VLAN untuk memberikan batasan-batasan antar divisi yang ada pada perusahaan.

Selain

untuk memberikan

batasan,

penggunaan VLAN juga memiliki keuntungan yaitu jika terjadi perubahan jaringan pada suatu divisi tertentu, misalnya divisi Institusi ingin melakukan penambahan user, maka jaringan pada divisi lain tidak akan terganggu pada saat melakukan pengaturan ulang pada jaringan divisi Institusi. Adapun contoh konfigurasi VLAN sebagai berikut:

90   

Konfigurasi VLAN Switch>enable Switch#configure terminal Enter configuration CNTL/Z.

commands,

one

per

line.

End

with

Switch(config)#vlan 10 Switch(config-if)#name Institusi Switch(config)#int fa0/1 Switch(config-if)#switchport access vlan 10

Konfigurasi di atas menjelaskan tentang pembuatan salah satu VLAN yaitu vlan 10 yang dibuat untuk divisi Institusi, sehingga kami memberikan vlan 10 dengan nama Institusi dan pengaturan port pertama dari switch mendapatkan akses vlan 10. Pada konfigurasi VLAN terdapat perbedaan antara konfigurasi switch untuk user dan konfigurasi switch untuk server, pada user kami menggunakan konfigurasi fa0/1 dimana port yang tersedia adalah fast ethernet dengan kecepatan 100 M bps, sedangkan pada server kami menggunakan konfigurasi gi1/1 dimana port yang tersedia adalah gigabit ethernet dengan kecepatan 1000 M bps yang memungkinkan server melakukkan proses pemindahan lebih cepat untuk menghindari penumpukan proses yang dapat menyebabkan terhentinya aplikasi pada server tersebut. 4.4.2

Konfigurasi Router Pada router kami melakukan konfigurasi Inter-VLAN-Routing dan access control list atau biasa disebut dengan ACL. Kami melakukan

91   

konfigurasi Inter-VLAN-Routing pada Cisco router yang bertujuan untuk memberikan akses kepada semua VLAN untuk bisa berkomunikasi satu sama lain. Namun, ada beberapa hak akses user yang harus dibatasi agar tidak dapat mengakses divisi maupun server yang bukan haknya, oleh karena itu kami menggunakan ACL. Adapun contoh konfigurasi InterVLAN-Routing dan access control list sebagai berikut: Konfigurasi Inter-VLAN-Routing Router(config)#int gi1/1.10 %LINK-5-CHANGED: Interface GigabitEthernet1/1.10, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/1.10, changed state to up Router(config-subif)#encapsulation dot1Q 10 Router(config-subif)#ip addr 192.168.11.1 255.255.255.0

Konfigurasi di atas merupakan salah satu Inter-VLAN-Routing dimana vlan 10 telah masuk dalam kelompok yang dapat diakses VLAN-VLAN yang telah dimasukkan ke dalam daftar Inter-VLANRouting. Dalam kasus ini semua VLAN dimasukkan pada Inter-VLANRouting, sehingga setiap VLAN dapat saling berkomunikasi. Tujuan utama dilakukan Inter-VLAN-Routing yaitu memberikan akses pada tiaptiap divisi untuk dapat mengakses server. Konfigurasi Access Control List Router(config)#access-list 10 deny 192.168.22.0 0.0.0.255 Router(config)#access-list 10 deny 192.168.44.0 0.0.0.255

92    Router(config)#access-list 10 deny 192.168.66.0 0.0.0.255 Router(config)#access-list 10 deny 192.168.77.0 0.0.0.255 Router(config)#access-list 10 deny 192.168.88.0 0.0.0.255 Router(config)#access-list 10 deny 192.168.99.2 Router(config)#access-list 10 deny 192.168.99.10 Router(config)#access-list 10 permit any Router(config)#int gi1/1.10 Router(config-subif)#ip access-group 10 out Router(config-subif)#ex

Konfigurasi di atas adalah salah satu konfigurasi access control list, access control list ini kami gunakan untuk membatasi kelompok divisi yang satu dengan kelompok divisi yang lain maupun dengan server, sehingga tidak sembarang divisi dapat mengakses divisi lain ataupun server yang bukan merupakan haknya. Konfigurasi di atas menjelaskan pembuatan access-list 10 dengan ketentuan tidak dapat mengakses jaringan 192.168.22.0/ Jaringan Pajak, 192.168.44.0/ Sales, 192.168.66.0/ Jaringan

Direktur,

192.168.99.2/

Jaringan

Jaringan

Administrasi, 192.168.88.0/ Jaringan

SDM &Umum,

ServerAntivirus, 192.168.99.10/

ServerAplikasi1,

192.168.77.0/

dan mengizinkan sisa jaringan yang ada (permit any), serta vlan 10 dikelompokkan ke dalam access-list 10 (ip access-group 10 out),

sehingga vlan 10 mempunyai hak akses seperti access-list 10.

93   

Tabel 4.2 Hak Akses pada Infrastruktur Jaringan Baru

Keterangan: V = Permit (Diizinkan)

ServerAplikasi1= Server berisi data perpajakan

FileServer1= Server berisi data perusahaan

X = Deny (Ditolak)

ServerAplikasi2= Server erp lokal

FileServer2= Server berisi data perusahaan

ServerAplikasi3= Server erp

94   

4.4.3

Konfigurasi Intrusion Prevention System (IPS ) Tahap pertama kita akan melakukan pengesetan IP Address, Subnet Mask, dan Gateway pada IPS secara manual lalu mendapatkan password yang diberikan oleh IP S. IP ini hanya berfungsi agar kita bisa membuka LM I saja. Selanjutnya kita akan masuk ke Local Management Interface (LMI) IPS melalui browser.

 

Gambar 4.11 Welcome IPS Gambar diatas adalah tampilan awal/start up dari IPS dimana kami masuk menggunakan komputer melalui browser dengan memasukkan ip address dari IPS GX4004-v2.

95   

 

Gambar 4.12 Service Agreement Gambar di atas adalah bagian persyaratan-persyaratan yang harus kami penuhi, setelah selesai maka kami menekan tombol I Agree.

 

Gambar 4.13 Upload License

96   

Di gambar ini kita memasukkan license/kode serial untuk mengaktifkan automatic updates, sehingga firmware/sistem operasi yang ada di dalam perangkat keras IPS akan selalu mendapatkan info dan firmware/sistem operasi yang terbaru.

 

Gambar 4.14 Root Password Di tahap ini kami dapat melakukan penggantian password yang diberikan oleh IPS menjadi password yang kita inginkan, dan kami password ini digunakan ketika kita ingin melakukan telnet ke IP S sebagai root.

97   

 

Gambar 4.15 LM I Password Tahap ini kami melakukan penggantian password untuk masuk ke Local Management Interface (LMI) dari IPS yang kita pasang melalui browser.

 

Gambar 4.16 M anagement Interface

98   

Pada tahap ini kami mengganti Hostname dari IPS dan menentukan IP Address, Netmask, dan Gateway untuk IPS yang kami atur.

 

Gambar 4.17 Security Interfaces Pada tahap ini kami memilih jenis proteksi yang diinginkan. Ada jenis-jenis proteksi yaitu monitoring yang berfungsi hanya memantau traffic di jaringan, yang kedua adalah inline simulation yang berfungsi sebagai simulasi traffic yang diblok dan yang lewat, dan yang ketiga adalah inline protection yaitu menjaga jaringan dari semua traffic yang masuk, apabila ada serangan yang masuk maka akan langsung diblok.

99   

 

Gambar 4.18 Date and Time Pada tahap ini kami melakukan pengaturan waktu dengan mengisikan tahun, bulan, hari, jam, dan menit, dimana pengaturan ini berguna untuk memastikan waktu datangnya serangan-serangan.

 

Gambar 4.19 Updates

100   

Tahap ini bertujuan untuk melakukan pembaharuan terhadap daftar-daftar kebijakan baru yang ditemukan oleh tim Research and Development dari IBM .  

 

 

 

Gambar 4.20 Completion Ini adalah tahap akhir dimana kami melakukan pengecekan ulang semua aturan-aturan yang telah kami tetapkan. Apabila semua telah sesuai, maka klik tombol “Complete Setup”.

101   

4.4.4

Pengaturan Kebijakan pada Intrusion Prevention S ystem (IPS )

 

Gambar 4.21 Pengaturan Kebijakan IPS Setelah selesai menginstalasi IPS, maka tahap selanjutnya adalah melakukan pengaturan kebijakan. Di sini kita dapat melakukan pengaturan secara manual, dimana kita menentukan sendiri kebijakankebijakan apa saja yang akan di aktifkan, maupun pengaturan secara default, dimana kebijakan-kebijakan telah ditentukan oleh tim Research and Development dari IBM itu sendiri. Pada pengaturan default kita juga dapat menambahkan kebijakan yang belum di aktifkan yaitu dengan cara memberikan centang pada checkbox block dibaris kebijakan yang kita inginkan.

102   

4.5

Pengetesan Alat dan Modul pada Jaringan Baru PT. XYZ-TD 4.5.1

IPS Pemasangan IP S pada topologi jaringan baru bertujuan untuk mencegah adanya serangan-serangan dari cracker maupun worm/virus yang dapat masuk ke jaringan PT. XYZ-TD. Pada test lab PT. Seraphim Digital Technology kami melakukan pengetesan dengan melakukan buffer overflow pada jaringan yang terpasang IPS. 4.5.1.1 Buffer Overflow

 

Gambar 4.22 Buffer Overflow Blocked Kami melakukan penyerangan pada jaringan sederhana yang telah dipasangkan IPS dengan menggunakan teknik buffer overflow untuk mendapatkan user administrator dari server yang kami serang. Source IP 192.168.88.55 merupakan IP dari komputer

103   

penyerang dan Target IP 192.168.88.41 merupakan IP dari server yang diserang. Sedangkan M SRPC_RemoteActive_Bo merupakan event/peristiwa serangan buffer overflow yang diblok oleh IPS dengan tingkat serangan yang tinggi (high serverity). M enurut Tim Research and Development dari IPS menjelaskan bahwa M icrosoft rentan terhadap

buffer overflow pada DCOM

(Distributed

Component Object Model). Penyerang melebihkan isi dari buffer yang tersedia dan mengeksekusi kode sewenang-wenang pada sistem dengan hak istimewa s istem lokal. Dengan adanya pemasangan IPS dapat dilihat bahwa serangan dengan teknik buffer overflow mampu diatasi. 4.5.2

VLAN dan AC L Penggunaan VLAN dalam suatu jaringan sangat diperlukan untuk memudahkan network admin dalam mengelola jaringan serta mencegah menyebarnya worm atau virus di dalam suatu jaringan. Pada jaringan PT. XYZ-TD sebelumnya hanya menggunakan satu segmen jaringan, dimana semua karyawan pada perusahaan tersebut akan mendapatkan gateway yang sama. Dengan begitu, jika ada satu komputer terkena worm/virus, maka worm/virus akan dapat menyebar keseluruh jaringan PT. XYZ-TD. Dengan adanya VLAN kita dapat meminimalisir serangan yang terjadi. Contohnya, apabila worm/virus masuk dan menyerang disalah satu user divisi pajak yang menggunakan VLAN 20, maka worm tersebut hanya akan menyebar pada jaringan

104   

VLAN 20 saja. Sehingga kemungkinan terburuk yang dapat terjadi adalah worm/virus tersebut akan masuk/menyerang komputer yang ada pada divisi pajak/VLAN 20, tetapi virus dan worm tersebut tidak dapat masuk/menyerang user ataupun server pada VLAN yang berbeda. Dengan begitu penggunaan

VLAN akan dapat meminimalkan

tersebarnya virus/worm yang masuk. Kegunaan VLAN disini bukan

hanya untuk mencegah

terjadinya penyebaran worm/virus secara luas pada jaringan perusahaan tersebut, tetapi dengan penggunaan VLAN kita juga tidak perlu merubah seluruh jaringan apabila PT. XYZ-TD ingin menambah jumlah komputer bagi karyawan baru sedangkan ip address perusahaan tidak lagi mencukupi. Contoh permasalahan yang dihadapi pada jaringan lama yang tidak menggunakan VLAN adalah PT. XYZ-TD telah memakai 355 ip address dan ingin menambah 200 komputer lagi untuk karyawan baru, sedangkan maksimum ip address tiap divisi hanya diatur untuk 510 komputer (kelas B /23), maka network admin harus mengubah IP secara keseluruhan. Hal tersebut akan memakan waktu lama untuk mengatur ulang seluruh jaringan. Pada saat pengaturan jaringan ulang berlangsung, divisi-divisi di perusahaan tidak dapat mengakses pada divisi lain maupun mengakses server. Bila terjadi hal seperti ini, maka akan menghambat kinerja perusahaan yang secara tidak langsung akan mengurangi profit perusahaan. Sedangkan dengan penggunaan VLAN, pengaturan ulang hanya perlu dilakukan pada VLAN yang ingin ditambah ip addressnya saja tanpa harus

105   

mengganggu VLAN/divisi lain. Contohnya adalah divisi IT telah masuk ke dalam VLAN 30. Jika divisi IT telah memakai 100 ip address dan ingin menambahkan 200 ip address lagi untuk karyawan baru, sedangkan pada divisi IT hanya diatur untuk 254 ip address (kelas C/24), maka network admin hanya perlu mengatur ulang pada divisi IT atau VLAN 30 saja. Pengaturan ulang yang dilakukan network admin adalah perubahan subnet mask yang awalnya kelas /24 menjadi kelas /23 dengan begitu ip address divisi IT dapat mencapai 510 ip address, sehingga mencukupi untuk penambahan ip address. Pada saat pengaturan ulang pada divisi IT atau VLAN 30, hanya divisi IT atau VLAN 30 saja yang tidak dapat berkomunikasi dengan divisi maupun server lain, sedangkan divisi-divisi lain masih dapat berkomunikasi dengan divisi maupun server lain. Dengan begitu akan dapat meminimalkan terhambatnya kinerja karyawan. Pada jaringan lama penggunaan hak akses dari komputer user ke server hanya dibatasi oleh autentikasi, apabila ada user dari divisi IT yang mengetahui username dan password untuk mengakses server divisi pajak, maka user tersebut dapat mengambil file yang ada pada server divisi pajak, sedangkan hal tersebut seharusnya tidak boleh terjadi. Dengan adanya kasus seperti ini, maka digunakanlah access control list untuk membatasinya. Dengan access control list, user dari divisi IT tidak dapat lagi mengakses (mengambil/membuka) file dari server divisi pajak karena dari router yang diatur menggunakan access

106   

control list akan langsung menolak/memblok akses yang tidak seharusnya. 4.6

Evaluasi Untuk evaluasi hasil implementasi sistem keamanan IPS pada PT. XYZTD, kami menggambil log history satu minggu setelah pemasangan sistem keamanan IPS. Berikut daftar tabel serangan-serangan yang diblok:

Tabel 4.3 Log History

Status 

Severity 

Event  Count 

POP_Command_Overflow 

Block 

High 

6289 

95 

5 

MSRPC_Srvsvc_Path_Bo 

Block 

High 

494 

35 

252 

SSL_Challenge_Length_Overflow 

Block 

High 

48 

1 

2 

HTTP_Oracle_WebCache_Overflow  Block 

High 

45 

3 

14 

Telnet_Polycom_Blank_Password 

Block 

High 

33 

1 

17 

MSRPC_Race_Heap_Overflow 

Block 

High 

32 

2 

15 

SQL_SSRP_Slammer_Worm 

Block 

High 

30 

8 

3 

Email_Virus_Suspicious_Zip 

Block 

High 

28 

9 

3 

SQL_SSRP_MDAC _Client_Overflow  Block 

High 

20 

1 

2 

DNS_RDATA_String_BO 

Block 

High 

12 

4 

5 

Image_JPEG_Tag_Overflow 

Block 

High 

9 

5 

4 

Email_Calendar_Code_Exec 

Block 

High 

4 

3 

2 

Image_JPEG_IE_Size_Overflow 

Block 

High 

1 

1 

1 

HTTP_repeated_character 

Block 

Medium  5405 

158 

66 

Smurf_Attack 

Block 

Medium  4350 

2 

21 

Email_Executable_Extension 

Block 

Medium  1495 

93 

76 

HTTP_POST_Script 

Block 

Medium  31 

6 

5 

Tag Name 

Source  Count 

Target  Count 

107    YahooMSG_UserID_Overflow 

Block 

Medium  13 

1 

1 

ICMP_Protocol_Unreachable_TCP 

Block 

Medium  5 

3 

1 

HTTP_Cross_Site_Scripting 

Block 

Medium  4 

4 

3 

HTTP_GET_Very_Long 

Block 

Medium  2 

2 

2 

Email_Virus_Double_Extension 

Block 

Medium  1 

1 

1 

HTTP_ASP_Security_Bypass 

Block 

Medium  1 

1 

1 

UDP_Bomb 

Block 

Medium  1 

1 

1 

DCOM_SystemActivation_DoS 

Block 

Low 

164 

1 

2 

HTML_Script_Extension_Evasion 

Block 

Low 

7 

4 

6 

DNS_Windows_SMTP_MX_DoS 

Block 

Low 

2 

2 

2 

Image_ANI_RateNumber_DoS 

Block 

Low 

2 

1 

1 

TCP_Null_Scan 

Block 

Low 

1 

1 

1 

MOV_Container_Overflow 

Block 

Low 

1 

1 

1 

Berdasarkan hasil evaluasi dari log history dapat dilihat bahwa serangan-serangan yang menyerang PT. XYZ-TD berstatus high severity terbanyak adalah POP_Command_Overflow  sebanyak 6289 serangan,  serangan berstatus Medium severity terbanyak adalah HTTP_repeated_character  sebanyak 5405 serangan, dan serangan berstatus low severity terbanyak adalah DCOM_SystemActivation_DoS 

sebanyak

164

serangan.  Dengan

adanya

pemasangan sistem keamanan IPS, 18.530 serangan mampu diblok yang membuat jaringan PT. XYZ-TD lebih aman dari serangan-serangan yang dapat mengganggu kinerja perusahaan.