BAB 4 PERANCANGAN, IMPLEMENS TAS I DAN EVALUAS I 4.1
Analisis Kebutuhan Beberapa hal yang perlu dilakukan sebagai persiapan awal sebelum melakukan implementasi infrastruktur jaringan baru dan IP S pada PT. XYZ-TD: 1.
M embuat desain topologi jaringan baru serta pemasangan teknologi IPS untuk PT. XYZ-TD.
2.
M embuat daftar hardware yang diperlukan dalam implementasi sistem jaringan dan IPS.
4.2
Penamaan, Jumlah, dan S pesifikasi Hardware 4.2.1
Penamaan Alat Tambahan untuk Infrastruktur Jaringan Baru
Tabel 4.1 Hostname No
Perangkat
Hostname
1
Firewall Fortigate 110C
FORTIGATE
2
Intrusion Prevention System Proventia GX 4004–v2 GX-4004
3
Router 2921 Integrated Service Router
ROUTER2921
4
Switch Cisco WS-C2960S-24TS-S
SW2960TSS1 SW2960TSS2
5
Switch Cisco WS-C2960-24TT-L
SW2960TTL
6
Linksys WRT120N
WRT(1-10)
75
76
4.2.2
Jumlah Peralatan Tambahan untuk Infrastruktur Jaringan Baru
Tabel 4.21 Jumlah Alat No
Perangkat
Jumlah(Unit)
1
Firewall Fortigate 110C
1
2
Intrusion Prevention System Proventia GX4004-v2
1
3
Router 2921 Integrated Service Router
1
4
Switch Cisco WSC-2960S-24TS-S
2
5
Switch Cisco WS-C2960-24TT-L
1
6
Linksys WRT120N
10
4.2.3
S pesifikasi Hardware untuk Infrastruktur Jaringan Baru
Berikut ini adalah spesifikasi hardware yang diperlukan :
1.
Fortigate Firewall 110C FortiGate-110C adalah solusi keamanan yang ideal untuk perusahaan kecil dan menengah atau jaringan kantor cabang, karena mereka menggabungkan firewall, SSL VPN, pencegahan intrusi, antivirus, antispam, dan web filtering untuk mengidentifikasi berbagai jenis ancaman dari satu perangkat. FortiGate-110C bisa dikonfigurasi hanya dalam beberapa menit, dan secara otomatis men-download update patch untuk melindungi terhadap serangan virus terbaru, kerentanan jaringan, worm, spam dan phishing.
77
Tabel 4.3 Fortigate Firewall 110C Spesifikasi Antarmuka Jaringan Total
2 x 10/100/1000 WAN port and 8 x 10/100 switch port
M aksimum Sesi Secara Bersamaan
400000
Sesi Baru per Detik
10000
Firewall Throughput 1518 Bytes
1 Gbps
IPSec Throughput 512 Byte Packet
100 M bps
Gambar 4.1 Fortigate Firewall 110C
2.
IBM Proventia Intrusion Prevention System GX 4004–v2 IBM
Proventia
Intrusion
Prevention
System
(IPS)
menghentikan ancaman dari Internet sebelum memberikan dampak negatif terhadap bisnis Anda dan memberikan perlindungan untuk jaringan perusahaan Anda. Perlindungan preemptive atau perlindungan yang bekerja di depan ancaman, tersedia dari IBM Internet Security System (ISS) melalui kombinasi kecepatan kinerja dan intelijen keamanan dimana IPS dapat menentukan paket yang berbahaya maupun paket yang aman.
78
Tabel 4.4 IBM Proventia Intrusion Prevention System GX 4004 – v2 Karakteristik Kinerja Inspected Throughput
800 M bps
Latency
< 200 microseconds
M aksimum sesi secara 1,300,000 bersamaan Koneksi per detik
35,000
Skalabilitas Segmen yang dilindungi
2
M onitoring interfaces
4 x 10/100/1,000 copper
Dimensi Bentuk
1 Rack Unit
Tinggi
44 mm
Panjang
429 mm
Lebar
382 mm
Berat
11.1 kg
Gambar 4.2 IBM Proventia Intrusion Prevention System GX 4004–v2
79
3.
Cisco Router 2921 Integrated Service Router Cisco® seri 2900 Integrated Services Router adalah platform baru yang didesain untuk mengaktifkan fase berikutnya yaitu menyediakan media yang kaya kolaborasi dan virtualisasi ke cabang sambil memaksimalkan penghematan biaya operasional. Platform pelayanan router terpadu generasi 2 akan diaktifkan pada masa depan dengan multi-core CPU, mendukung kapasitas tinggi DSP (Digital Signal Processors) untuk video masa depan, modul layanan yang tinggi didukung dengan ketersediaan yang ditingkatkan, Gigabit Ethernet switching dengan POE yang ditingkatkan, dan pemantauan energi baru, serta kemampuan kontrol kinerja sistem secara keseluruhan. Selain itu, Cisco IOS® yang baru memungkinkan Anda untuk memisahkan penyebaran hardware dan software dengan Software Universal image dan Services Ready Engine module, memberikan dasar teknologi yang fleksibel yang dapat dengan cepat beradaptasi dengan persyaratan jaringan yang terus berkembang. Secara keseluruhan, Cisco 2900 Series menawarkan total biaya yang tak tertandingi dari tabungan kepemilikan dan kelincahan jaringan melalui integrasi cerdas meliputi keamanan, komunikasi terpadu, nirkabel, dan layanan aplikasi. Tabel 4.5 Cisco Router 2921 Integrated Service Router Total Onboard WAN 10/100/1000 Ports
3 port
80
RJ-45-Based Ports
3 port
SFP-Based Ports
1 port
M emory DDR2
512 M b
Dimensi(H x W x D)
88.9mm x 438.2mm x 469.9mm
Berat
15.5 kg
Gambar 4.3 Cisco Router 2921 Integrated Service Router
4.
Cisco Switch WS-C2960S-24TS-S Switch Cisco Catalyst 2960S mendukung akses suara, video, data, dengan sangat aman. Switch ini juga memberikan manajemen berskala sebagai kebutuhan bisnis. Fitur-fitur untuk meningkatkan keamanan pada switch ini adalah Cisco TrustSec menyediakan otentikasi, kontrol akses, dan kebijakan
keamanan administrasi,
Gigabit Ethernet, Cisco Energy Wise untuk manajemen daya, manajemen jaringan berskala, dan memiliki 24 port 10/100/1000, 1 RU fixed-configuration, LAN Base image, 2 1Gbe SFP port uplink. Tabel 4.6 Cisco Switch WS-C2960S-24TS-S
81
Spesifikasi Uplink
2 1GbE SFP port
Forwarding Rate
38.7 mpps
Forwarding bandwidth
50 Gbps
Flash memory
64 M B
M emori DRAM
128 M B
M ax VLANs
64
VLAN IDs
4000
M aximum transmission unit (MTU)
Up to 9198 bytes
Dimensi (HxWxD)
45mm x 450mm x 300mm
Berat
4.5 Kg
Gambar 4.4 Cisco Switch WS-C2960S-24TS-S
5.
Cisco Switch WS-C2960-24TT-L Switch Cisco Catalyst 2960 mendukung akses suara, video, data, dengan sangat aman. Switch ini juga memberikan manajemen berskala sebagai kebutuhan bisnis. Fitur-fitur untuk meningkatkan keamanan pada switch ini adalah Cisco TrustSec menyediakan otentikasi, kontrol akses, dan kebijakan
keamanan administrasi,
Gigabit Ethernet, Cisco Energy Wise untuk manajemen daya,
82
manajemen jaringan berskala, dan memiliki 24 Ethernet 10/100 ports and 2 10/100/1000 TX uplinks, 1 Rack Unit fixed-configuration, LAN Base image. Tabel 4.7 Cisco Switch WS-C2960-24TT-L Spesifikasi Topologi
Ethernet (10/100BaseTX), Ethernet (10/100/1000BaseT)
Jumlah Port
24 port 10/100
Uplink
2 port 10/100/1000
M emori DRAM
16 M B
Throughput
6.5 Mpps
Jumlah VLAN
255
Ketersediaan/Ketahanan
PVST, Broadcast Suppression, Unicast Suppression,
M ulitcast
Suppression,
Spanning Tree, Portfast, Uplink Fast, Backbone Fast, 802.1s, 802.1w
Gambar 4.5 Cisco Switch WS-C2960-24TT-L
83
6.
Switch D-LINK DES-1016A DES-1016D adalah unmanaged switch 10/100M bps yang dirancang untuk meningkatkan kinerja kelompok kerja sambil memberikan tingkat fleksibilitas yang tinggi. Kuat namun mudah digunakan,
perangkat
ini
memungkinkan
pengguna
untuk
memasangkan ke salah satu port jaringan 10 M bps atau 100 M bps untuk melipatgandakan bandwidth, meningkatkan waktu respon dan memenuhi transfer data dalam ukuran yang besar. Tabel 4.8 D-LINK Switch DES-1016A Spesifikasi Jumlah Port
16 Ports 10/100BASE-T
Diagnostic LEDs
Per Unit: Power Per port: Link/Activity, FDX/Col, and 100M bps
Konektor
RJ-45 10BASE-T, 100BASE-TX Universal UTP Cable Recognition untuk kabel straight atau kabel cross
Power Supply
100-240VAC 50/60Hz
Dimensions (W x H x D)
280mm x 180mm x 44mm
84
Gambar 4.6 D-LINK Switch DES-1016A
7.
3Com Baseline Switch 2016 (3C16470B) 3Com Baseline Switch 2016 adalah switch yang serbaguna, unmanaged switch yang mudah digunakan. Switch ini sangat ideal untuk pengguna yang menginginkan kecepatan tinggi kinerja 10/100 M bps, tetapi tidak memerlukan kecanggihan kemampuan manajemen. Tidak ada konfigurasi yang diperlukan. Switch yang memiliki 16 port ini memiliki konektor RJ-45, 10/100 M bps. Setiap port secara otomatis menentukan mode kecepatan dan duplex pada peralatan yang terhubung dan menyediakan koneksi yang cocok. masing-masing port juga mendukung deteksi otomatis pada M DI atau M DI-X. Tabel 4.9 3Com Baseline Switch 2016 (3C16470B) Spesifikasi Jumlah Port
16 autosensing, konfigurasi otomatis, MDI/M DIX 10BASE-T/100BASE-TX
Tipe Konektor
RJ-45
Fitur Ethernet
Full-rate non-blocking pada semua port
Switching
Ethernet, full/half duplex auto-negosiasi dan
85
flow kontrol. Data Link Protocol Ethernet, Fast Ethernet Dimensi
43mm x 439mm x 173mm
Berat
1.5 Kg
Gambar 4.7 3Com Baseline Switch 2016 (3C16470B)
8.
Linksys WRT120N Router Wireless-N dapat terhubung tanpa kabel dan memberi anda sambungan nirkabel yang dua kali kecepatan dari Wireless-G, sehingga seluruh keluarga Anda dapat berbagi koneksi Internet broadband dan file akses dari hampir di mana saja di rumah. Teknologi Wireless-N memungkinkan Anda menjelajahi web dari ruang tamu, bermain game on-line dari kamar tidur, dan mendengarkan musik digital Anda di dapur. Kecepatan ekstra memungkinkan Anda menghubungkan perangkat lainnya, dan memindahkan file lebih cepat. Dan Wireless-N dapat bekerja dengan baik pada perangkat-perangkat lama anda.
86
Tabel 4.10 Linksys WRT120N Spesifikasi Teknologi
Wireless-N
Bands
2.4 GHz
Remote M anagement
HTTPS, HTTP
Protocol Standar
IEEE 802.3u IEEE 802.11
Antena
2 Internal
Ethernet Port
4 10/100
Security
Wi-Fi Protected Access 2 (WPA2), WEP, Wireless M AC Filtering, Up to 128-Bit Encryption
Gambar 4.8 Linksys WRT120N 9.
Kabel UTP CAT 5e Kategori 5e kabel adalah versi yang disempurnakan dari Kategori 5 yang mematuhi standar yang lebih ketat. Hal ini mampu mengirimkan data pada kecepatan sampai 1000 M bps.
87
Tabel 4.11 Kabel UTP CAT 5e Tipe Kabel UTP
CAT 5e High Quality (HQ)
Tipe Konektor
RJ-45 (standard 6-pin)
Tekstur Kabel
Type Straight
Connection Applicable
Switch Hub, M odem ADSL, Wifi Access Point (AP), Wifi Broadband Router
Temperatur
-20 to +75°C
Isolasi Bahan
Polyolefin
Jacket M aterial
PVC
Gambar 4.9 Kabel UTP CAT 5e 4.3
S pesifikasi Rancangan Infrastruktur Jaringan dan Penggunaan Teknologi IPS 4.3.1
Rancangan Topologi Infrastruktur Jaringan Dan Teknologi IPS Untuk menjaga keamanan pada struktur jaringan lama PT.XYZTD, maka dibuatlah rancangan jaringan infrastruktur baru yang dapat mendukung kinerja perusahaan dan sebagai pemecahan masalah dari hasil identifikasi masalah yang dilakukan sebelumnya. Berikut ini adalah topologi rancangan infrastruktur keamanan jaringan pada PT. XYZ-TD :
88
Gambar 4.10 Topologi Jaringan Baru PT. XYZ-TD
89
4.3.2
Hak Akses pada Infrastruktur Jaringan Baru Pada infrastruktur jaringan baru ini, menggunakan access control list (ACL) dalam membatasi hak-hak akses pada masing-masing divisi. Hak akses pada infrastruktur jaringan baru PT. XYZ-TD dapat dilihat pada table 4.12.
4.4
Konfigurasi pada S istem Jaringan Baru Dengan adanya penambahan alat-alat baru seperti switch dan router cisco yang dapat dikelola (manage), maka melakukan pengaturan konfigurasi VLAN pada switch dan melakukan pengaturan Inter-VLAN-Routing dan ACL pada router untuk memberikan batasan-batasan pada jaringan perusahaan. Berikut adalah konfigurasi dan keterangan pada switch dan router yang terdapat pada sistem jaringan baru PT. XYZ-TD: 4.4.1
Konfigurasi S witch Pada switch dilakukan pembuatan dan pengaturan VLAN. M enggunakan VLAN untuk memberikan batasan-batasan antar divisi yang ada pada perusahaan.
Selain
untuk memberikan
batasan,
penggunaan VLAN juga memiliki keuntungan yaitu jika terjadi perubahan jaringan pada suatu divisi tertentu, misalnya divisi Institusi ingin melakukan penambahan user, maka jaringan pada divisi lain tidak akan terganggu pada saat melakukan pengaturan ulang pada jaringan divisi Institusi. Adapun contoh konfigurasi VLAN sebagai berikut:
90
Konfigurasi VLAN Switch>enable Switch#configure terminal Enter configuration CNTL/Z.
commands,
one
per
line.
End
with
Switch(config)#vlan 10 Switch(config-if)#name Institusi Switch(config)#int fa0/1 Switch(config-if)#switchport access vlan 10
Konfigurasi di atas menjelaskan tentang pembuatan salah satu VLAN yaitu vlan 10 yang dibuat untuk divisi Institusi, sehingga kami memberikan vlan 10 dengan nama Institusi dan pengaturan port pertama dari switch mendapatkan akses vlan 10. Pada konfigurasi VLAN terdapat perbedaan antara konfigurasi switch untuk user dan konfigurasi switch untuk server, pada user kami menggunakan konfigurasi fa0/1 dimana port yang tersedia adalah fast ethernet dengan kecepatan 100 M bps, sedangkan pada server kami menggunakan konfigurasi gi1/1 dimana port yang tersedia adalah gigabit ethernet dengan kecepatan 1000 M bps yang memungkinkan server melakukkan proses pemindahan lebih cepat untuk menghindari penumpukan proses yang dapat menyebabkan terhentinya aplikasi pada server tersebut. 4.4.2
Konfigurasi Router Pada router kami melakukan konfigurasi Inter-VLAN-Routing dan access control list atau biasa disebut dengan ACL. Kami melakukan
91
konfigurasi Inter-VLAN-Routing pada Cisco router yang bertujuan untuk memberikan akses kepada semua VLAN untuk bisa berkomunikasi satu sama lain. Namun, ada beberapa hak akses user yang harus dibatasi agar tidak dapat mengakses divisi maupun server yang bukan haknya, oleh karena itu kami menggunakan ACL. Adapun contoh konfigurasi InterVLAN-Routing dan access control list sebagai berikut: Konfigurasi Inter-VLAN-Routing Router(config)#int gi1/1.10 %LINK-5-CHANGED: Interface GigabitEthernet1/1.10, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/1.10, changed state to up Router(config-subif)#encapsulation dot1Q 10 Router(config-subif)#ip addr 192.168.11.1 255.255.255.0
Konfigurasi di atas merupakan salah satu Inter-VLAN-Routing dimana vlan 10 telah masuk dalam kelompok yang dapat diakses VLAN-VLAN yang telah dimasukkan ke dalam daftar Inter-VLANRouting. Dalam kasus ini semua VLAN dimasukkan pada Inter-VLANRouting, sehingga setiap VLAN dapat saling berkomunikasi. Tujuan utama dilakukan Inter-VLAN-Routing yaitu memberikan akses pada tiaptiap divisi untuk dapat mengakses server. Konfigurasi Access Control List Router(config)#access-list 10 deny 192.168.22.0 0.0.0.255 Router(config)#access-list 10 deny 192.168.44.0 0.0.0.255
92 Router(config)#access-list 10 deny 192.168.66.0 0.0.0.255 Router(config)#access-list 10 deny 192.168.77.0 0.0.0.255 Router(config)#access-list 10 deny 192.168.88.0 0.0.0.255 Router(config)#access-list 10 deny 192.168.99.2 Router(config)#access-list 10 deny 192.168.99.10 Router(config)#access-list 10 permit any Router(config)#int gi1/1.10 Router(config-subif)#ip access-group 10 out Router(config-subif)#ex
Konfigurasi di atas adalah salah satu konfigurasi access control list, access control list ini kami gunakan untuk membatasi kelompok divisi yang satu dengan kelompok divisi yang lain maupun dengan server, sehingga tidak sembarang divisi dapat mengakses divisi lain ataupun server yang bukan merupakan haknya. Konfigurasi di atas menjelaskan pembuatan access-list 10 dengan ketentuan tidak dapat mengakses jaringan 192.168.22.0/ Jaringan Pajak, 192.168.44.0/ Sales, 192.168.66.0/ Jaringan
Direktur,
192.168.99.2/
Jaringan
Jaringan
Administrasi, 192.168.88.0/ Jaringan
SDM &Umum,
ServerAntivirus, 192.168.99.10/
ServerAplikasi1,
192.168.77.0/
dan mengizinkan sisa jaringan yang ada (permit any), serta vlan 10 dikelompokkan ke dalam access-list 10 (ip access-group 10 out),
sehingga vlan 10 mempunyai hak akses seperti access-list 10.
93
Tabel 4.2 Hak Akses pada Infrastruktur Jaringan Baru
Keterangan: V = Permit (Diizinkan)
ServerAplikasi1= Server berisi data perpajakan
FileServer1= Server berisi data perusahaan
X = Deny (Ditolak)
ServerAplikasi2= Server erp lokal
FileServer2= Server berisi data perusahaan
ServerAplikasi3= Server erp
94
4.4.3
Konfigurasi Intrusion Prevention System (IPS ) Tahap pertama kita akan melakukan pengesetan IP Address, Subnet Mask, dan Gateway pada IPS secara manual lalu mendapatkan password yang diberikan oleh IP S. IP ini hanya berfungsi agar kita bisa membuka LM I saja. Selanjutnya kita akan masuk ke Local Management Interface (LMI) IPS melalui browser.
Gambar 4.11 Welcome IPS Gambar diatas adalah tampilan awal/start up dari IPS dimana kami masuk menggunakan komputer melalui browser dengan memasukkan ip address dari IPS GX4004-v2.
95
Gambar 4.12 Service Agreement Gambar di atas adalah bagian persyaratan-persyaratan yang harus kami penuhi, setelah selesai maka kami menekan tombol I Agree.
Gambar 4.13 Upload License
96
Di gambar ini kita memasukkan license/kode serial untuk mengaktifkan automatic updates, sehingga firmware/sistem operasi yang ada di dalam perangkat keras IPS akan selalu mendapatkan info dan firmware/sistem operasi yang terbaru.
Gambar 4.14 Root Password Di tahap ini kami dapat melakukan penggantian password yang diberikan oleh IPS menjadi password yang kita inginkan, dan kami password ini digunakan ketika kita ingin melakukan telnet ke IP S sebagai root.
97
Gambar 4.15 LM I Password Tahap ini kami melakukan penggantian password untuk masuk ke Local Management Interface (LMI) dari IPS yang kita pasang melalui browser.
Gambar 4.16 M anagement Interface
98
Pada tahap ini kami mengganti Hostname dari IPS dan menentukan IP Address, Netmask, dan Gateway untuk IPS yang kami atur.
Gambar 4.17 Security Interfaces Pada tahap ini kami memilih jenis proteksi yang diinginkan. Ada jenis-jenis proteksi yaitu monitoring yang berfungsi hanya memantau traffic di jaringan, yang kedua adalah inline simulation yang berfungsi sebagai simulasi traffic yang diblok dan yang lewat, dan yang ketiga adalah inline protection yaitu menjaga jaringan dari semua traffic yang masuk, apabila ada serangan yang masuk maka akan langsung diblok.
99
Gambar 4.18 Date and Time Pada tahap ini kami melakukan pengaturan waktu dengan mengisikan tahun, bulan, hari, jam, dan menit, dimana pengaturan ini berguna untuk memastikan waktu datangnya serangan-serangan.
Gambar 4.19 Updates
100
Tahap ini bertujuan untuk melakukan pembaharuan terhadap daftar-daftar kebijakan baru yang ditemukan oleh tim Research and Development dari IBM .
Gambar 4.20 Completion Ini adalah tahap akhir dimana kami melakukan pengecekan ulang semua aturan-aturan yang telah kami tetapkan. Apabila semua telah sesuai, maka klik tombol “Complete Setup”.
101
4.4.4
Pengaturan Kebijakan pada Intrusion Prevention S ystem (IPS )
Gambar 4.21 Pengaturan Kebijakan IPS Setelah selesai menginstalasi IPS, maka tahap selanjutnya adalah melakukan pengaturan kebijakan. Di sini kita dapat melakukan pengaturan secara manual, dimana kita menentukan sendiri kebijakankebijakan apa saja yang akan di aktifkan, maupun pengaturan secara default, dimana kebijakan-kebijakan telah ditentukan oleh tim Research and Development dari IBM itu sendiri. Pada pengaturan default kita juga dapat menambahkan kebijakan yang belum di aktifkan yaitu dengan cara memberikan centang pada checkbox block dibaris kebijakan yang kita inginkan.
102
4.5
Pengetesan Alat dan Modul pada Jaringan Baru PT. XYZ-TD 4.5.1
IPS Pemasangan IP S pada topologi jaringan baru bertujuan untuk mencegah adanya serangan-serangan dari cracker maupun worm/virus yang dapat masuk ke jaringan PT. XYZ-TD. Pada test lab PT. Seraphim Digital Technology kami melakukan pengetesan dengan melakukan buffer overflow pada jaringan yang terpasang IPS. 4.5.1.1 Buffer Overflow
Gambar 4.22 Buffer Overflow Blocked Kami melakukan penyerangan pada jaringan sederhana yang telah dipasangkan IPS dengan menggunakan teknik buffer overflow untuk mendapatkan user administrator dari server yang kami serang. Source IP 192.168.88.55 merupakan IP dari komputer
103
penyerang dan Target IP 192.168.88.41 merupakan IP dari server yang diserang. Sedangkan M SRPC_RemoteActive_Bo merupakan event/peristiwa serangan buffer overflow yang diblok oleh IPS dengan tingkat serangan yang tinggi (high serverity). M enurut Tim Research and Development dari IPS menjelaskan bahwa M icrosoft rentan terhadap
buffer overflow pada DCOM
(Distributed
Component Object Model). Penyerang melebihkan isi dari buffer yang tersedia dan mengeksekusi kode sewenang-wenang pada sistem dengan hak istimewa s istem lokal. Dengan adanya pemasangan IPS dapat dilihat bahwa serangan dengan teknik buffer overflow mampu diatasi. 4.5.2
VLAN dan AC L Penggunaan VLAN dalam suatu jaringan sangat diperlukan untuk memudahkan network admin dalam mengelola jaringan serta mencegah menyebarnya worm atau virus di dalam suatu jaringan. Pada jaringan PT. XYZ-TD sebelumnya hanya menggunakan satu segmen jaringan, dimana semua karyawan pada perusahaan tersebut akan mendapatkan gateway yang sama. Dengan begitu, jika ada satu komputer terkena worm/virus, maka worm/virus akan dapat menyebar keseluruh jaringan PT. XYZ-TD. Dengan adanya VLAN kita dapat meminimalisir serangan yang terjadi. Contohnya, apabila worm/virus masuk dan menyerang disalah satu user divisi pajak yang menggunakan VLAN 20, maka worm tersebut hanya akan menyebar pada jaringan
104
VLAN 20 saja. Sehingga kemungkinan terburuk yang dapat terjadi adalah worm/virus tersebut akan masuk/menyerang komputer yang ada pada divisi pajak/VLAN 20, tetapi virus dan worm tersebut tidak dapat masuk/menyerang user ataupun server pada VLAN yang berbeda. Dengan begitu penggunaan
VLAN akan dapat meminimalkan
tersebarnya virus/worm yang masuk. Kegunaan VLAN disini bukan
hanya untuk mencegah
terjadinya penyebaran worm/virus secara luas pada jaringan perusahaan tersebut, tetapi dengan penggunaan VLAN kita juga tidak perlu merubah seluruh jaringan apabila PT. XYZ-TD ingin menambah jumlah komputer bagi karyawan baru sedangkan ip address perusahaan tidak lagi mencukupi. Contoh permasalahan yang dihadapi pada jaringan lama yang tidak menggunakan VLAN adalah PT. XYZ-TD telah memakai 355 ip address dan ingin menambah 200 komputer lagi untuk karyawan baru, sedangkan maksimum ip address tiap divisi hanya diatur untuk 510 komputer (kelas B /23), maka network admin harus mengubah IP secara keseluruhan. Hal tersebut akan memakan waktu lama untuk mengatur ulang seluruh jaringan. Pada saat pengaturan jaringan ulang berlangsung, divisi-divisi di perusahaan tidak dapat mengakses pada divisi lain maupun mengakses server. Bila terjadi hal seperti ini, maka akan menghambat kinerja perusahaan yang secara tidak langsung akan mengurangi profit perusahaan. Sedangkan dengan penggunaan VLAN, pengaturan ulang hanya perlu dilakukan pada VLAN yang ingin ditambah ip addressnya saja tanpa harus
105
mengganggu VLAN/divisi lain. Contohnya adalah divisi IT telah masuk ke dalam VLAN 30. Jika divisi IT telah memakai 100 ip address dan ingin menambahkan 200 ip address lagi untuk karyawan baru, sedangkan pada divisi IT hanya diatur untuk 254 ip address (kelas C/24), maka network admin hanya perlu mengatur ulang pada divisi IT atau VLAN 30 saja. Pengaturan ulang yang dilakukan network admin adalah perubahan subnet mask yang awalnya kelas /24 menjadi kelas /23 dengan begitu ip address divisi IT dapat mencapai 510 ip address, sehingga mencukupi untuk penambahan ip address. Pada saat pengaturan ulang pada divisi IT atau VLAN 30, hanya divisi IT atau VLAN 30 saja yang tidak dapat berkomunikasi dengan divisi maupun server lain, sedangkan divisi-divisi lain masih dapat berkomunikasi dengan divisi maupun server lain. Dengan begitu akan dapat meminimalkan terhambatnya kinerja karyawan. Pada jaringan lama penggunaan hak akses dari komputer user ke server hanya dibatasi oleh autentikasi, apabila ada user dari divisi IT yang mengetahui username dan password untuk mengakses server divisi pajak, maka user tersebut dapat mengambil file yang ada pada server divisi pajak, sedangkan hal tersebut seharusnya tidak boleh terjadi. Dengan adanya kasus seperti ini, maka digunakanlah access control list untuk membatasinya. Dengan access control list, user dari divisi IT tidak dapat lagi mengakses (mengambil/membuka) file dari server divisi pajak karena dari router yang diatur menggunakan access
106
control list akan langsung menolak/memblok akses yang tidak seharusnya. 4.6
Evaluasi Untuk evaluasi hasil implementasi sistem keamanan IPS pada PT. XYZTD, kami menggambil log history satu minggu setelah pemasangan sistem keamanan IPS. Berikut daftar tabel serangan-serangan yang diblok:
Tabel 4.3 Log History
Status
Severity
Event Count
POP_Command_Overflow
Block
High
6289
95
5
MSRPC_Srvsvc_Path_Bo
Block
High
494
35
252
SSL_Challenge_Length_Overflow
Block
High
48
1
2
HTTP_Oracle_WebCache_Overflow Block
High
45
3
14
Telnet_Polycom_Blank_Password
Block
High
33
1
17
MSRPC_Race_Heap_Overflow
Block
High
32
2
15
SQL_SSRP_Slammer_Worm
Block
High
30
8
3
Email_Virus_Suspicious_Zip
Block
High
28
9
3
SQL_SSRP_MDAC _Client_Overflow Block
High
20
1
2
DNS_RDATA_String_BO
Block
High
12
4
5
Image_JPEG_Tag_Overflow
Block
High
9
5
4
Email_Calendar_Code_Exec
Block
High
4
3
2
Image_JPEG_IE_Size_Overflow
Block
High
1
1
1
HTTP_repeated_character
Block
Medium 5405
158
66
Smurf_Attack
Block
Medium 4350
2
21
Email_Executable_Extension
Block
Medium 1495
93
76
HTTP_POST_Script
Block
Medium 31
6
5
Tag Name
Source Count
Target Count
107 YahooMSG_UserID_Overflow
Block
Medium 13
1
1
ICMP_Protocol_Unreachable_TCP
Block
Medium 5
3
1
HTTP_Cross_Site_Scripting
Block
Medium 4
4
3
HTTP_GET_Very_Long
Block
Medium 2
2
2
Email_Virus_Double_Extension
Block
Medium 1
1
1
HTTP_ASP_Security_Bypass
Block
Medium 1
1
1
UDP_Bomb
Block
Medium 1
1
1
DCOM_SystemActivation_DoS
Block
Low
164
1
2
HTML_Script_Extension_Evasion
Block
Low
7
4
6
DNS_Windows_SMTP_MX_DoS
Block
Low
2
2
2
Image_ANI_RateNumber_DoS
Block
Low
2
1
1
TCP_Null_Scan
Block
Low
1
1
1
MOV_Container_Overflow
Block
Low
1
1
1
Berdasarkan hasil evaluasi dari log history dapat dilihat bahwa serangan-serangan yang menyerang PT. XYZ-TD berstatus high severity terbanyak adalah POP_Command_Overflow sebanyak 6289 serangan, serangan berstatus Medium severity terbanyak adalah HTTP_repeated_character sebanyak 5405 serangan, dan serangan berstatus low severity terbanyak adalah DCOM_SystemActivation_DoS
sebanyak
164
serangan. Dengan
adanya
pemasangan sistem keamanan IPS, 18.530 serangan mampu diblok yang membuat jaringan PT. XYZ-TD lebih aman dari serangan-serangan yang dapat mengganggu kinerja perusahaan.