ANALISIS KEAMANAN JARINGAN STMIK AMIKOM YOGYAKARTA BERDASARKAN ISO/IEC 27001:2005 STANDAR A.11.4.4
NASKAH PUBLIKASI
diajukan oleh
Nur Hariawan Bulu 10.11.4019
kepada SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER AMIKOM YOGYAKARTA YOGYAKARTA 2013
ANALYSING NETWORKING SECURITY OF STMIK AMIKOM YOGYAKARTA BASED ON ISO/IEC 27001:2005 STANDARD A.11.4.4 ANALISIS KEAMANAN JARINGAN STMIK AMIKOM YOGYAKARTA BERDASARKAN ISO/IEC 27001:2005 STANDAR A.11.4.4 Nur Hariawan Bulu Andi Sunyoto Jurusan Teknik Informatika STMIK AMIKOM YOGYAKARTA ABSTRACT Information and data in the information age as it’s been a very valuable thing. In fact we can say it is very vital that damage or leakage of the information an organization can lead the organization to stop or closed. Due to the preciousness of the information or data then it is no wonder if then popping some irresponsible parties where the party is trying to steal and destroy and alter data or information from a computer system owned by a particular organization, whether it’s for fun individual or group of people, therefore needed information system security is assured that our systems secure. This research will be conducted in one of the universities in Yogyakarta, STMIK Amikom Yogyakarta. This research will be carried out with international standards based on ISO/IEC 27001:2005. There are eleven domains in ISO/IEC 27001:2005.This study will more specifically about in one domain, A.11.4.4 standards, the remote diagnostic and configuration port security. There are two types of attack, from outside or from within the network. It is known that an attack from within is more dangerous and common than attacks from outside, therefore the analysis here will be done inside of networks, the remote control diagnostics and port security configuration. After research conducted, then it was found that there were two gaps has not been implemented by STMIK Amikom Yogyakarta, namely the prevention of brute force attacks on SSH protocol and implementation of treatment technologies network device port security on Cisco switches. Hopefully this research, enterprise or organization can use for peacekeeping network devices used in network systems. Keywords: Information, Security, System Management, Standardization, Network Devices.
1.
Pendahuluan Informasi maupun data di era informasi seperti saat ini sudah menjadi hal yang
sangat berharga. Bahkan kita bisa katakan sangat fital sehingga kerusakan, ataupun kebocoran terhadap informasi suatu organisasi dapat mengakibatkan organisasi tersebut berhenti atau tutup. Dikarenakan begitu berharganya suatu informasi atau data maka tidaklah heran jika kemudian bermunculan beberapa pihak yang tidak bertanggung jawab dimana pihak tersebut berusaha mencuri maupun merusak dan mengubah data atau informasi dari sistem komputer yang dimiliki oleh suatu organisasi tertentu, apakah itu untuk kesenangan individual atau sekelompok orang, oleh karena itu dibutuhkan keamanan sistem informasi yang terjamin bahwa sistem kita aman. Ancaman itu sendiri bisa berasal dari ancaman luar, dalam, tak terstruktur, dan ancaman yang terstuktur (CCNA Security, Chapter 1).
Mengamankan keamanan
informasi bisa dimulai dengan mencegah serangan dari dalam, dikarenakan juga bahwa serangan yang berasal dari dalam lebih sering terjadi dan lebih berbahaya. Control A.11.4.4 ISO/IEC 27001:2005 membahas tentang pengamanan dari dalam, khususnya bagaimana mengamankan perangkat-perangkat jaringan yang terdapat dari sistem dari segi akses fisik ataupun logikal dari orang-orang yang tidak berwenang mengaksesnya. Penelitian kali ini akan dicoba pada jaringan yang terdapat pada STMIK Amikom Yogyakarta. 2.
Landasan Teori
2.1
Keamanan Informasi Informasi ialah aset yang sangat penting dalam suatu perusahaan, oleh karena
itu, informasi harus dapat dilindungi (Kamat, 2012). Informasi bisa berbentuk dalam hard copy, penyimpanan secara digital, visual (video, diagram), ditampilkan di website, verbal (percakapan, panggilan telpon), dan sebagainya. Apapun dari bentuk informasi yang disajikan, informasi tersebut sebaiknya selalu diamankan. Informasi dapat dibuat, dimiliki, disimpan, diproses, dikirim, digunakan, dimodifikasi,
dibagikan,
dan
dihapus.
Sedangkan,
keamanan
informasi adalah
bagaimana cara membuat informasi yang bernilai terhindar dari bahaya. Berikut langkahlangkah untuk mewujudkannya : 1. Mengevaluasi ancaman-ancaman yang dapat terjadi terhadap informasi. 2. Memproteksi CIA (Confidentiality, Integrity, and Availability). 3. Menghindari, mencegah, dan mendeteksi kejadian-kejadian yang tidak terduga. 4. Mengamankan orang, proses dan teknologi, tidak hanya pada IT saja. Ada tiga hal yang perlu diperhatikan dalam keamanan informasi yaitu (Kamat, 2012) :
1
1. Confidentiality (kerahasiaan). Hal ini menjamin bahwa data atau informasi hanya diakses oleh orang yang berwenang saja. 2. Integrity (integritas). Hal ini menjamin bahwa data atau informasi dikirim dengan akurat dan secara lengkap, tanpa ada perubahan apapun didalamnya. 3. Availability (ketersediaan). Data atau informasi tersedia pada saat dibutuhkan. 2.2
Mengapa Diperlukan Keamanan Informasi ? Keamanan informasi menjadi bernilai karena keamanan informasi memastikan
bisnis
dapat
terus
berjalan,
meminimalisir
turunnya
pendapatan
perusahaan,
mengoptimalkan investasi, membuat bisnis berjalan dengan aman, dan mengatur privasi. 2.3
Dasar Manajemen Keamanan Informasi
Strategi dari keamanan informasi meliputi tujuh aspek kategori, yaitu (Herrmann, 2002) : a.
Physical security yang membahas bagaimana pengamanan terhadap perangkat keras, perangkat lunak, dan data terhadap ancaman physical untuk mengurangi atau mencegah terganggunnya operasi, pelayanan, dan/atau hilangnya aset berharga.
b.
Communication security (COMSEC) yang bertujuan untuk mengamankan media komunikasi beserta isinya, sehingga tidak terjadinya penyadapan atau modifikasi terhadap data.
c.
Computer security (COMPUSEC), mencegah, mendeteksi, dan meminimalisir ancaman akibat dari pengguna yang tidak berwenang terhadap sistem komputer.
d.
Information security (INFOSEC) adalah perlindungan informasi terhadap pengguna yang tidak berwenang, serta perlindungan perusakan, baik yang disengaja maupun yang tidak disengaja.
e.
System safety didefinisikan sebagai penerapan teknik dan manajemen prinsip, kriteria, dan teknik untuk mengatasi risiko kecelakaan operasional, waktu, dan biaya, dari seluruh fase siklus sistem yang ada.
f.
System reliability didefinisikan sebagai pengukuran akan perangkat lunak apakah menghasilkan keluaran yang akurat atau tidak dan konsisten secara berulangulang, baik dalam kondisi baik, sedang, atau buruk.
Ketika keenam aspek diatas diterapkan, maka bisa dikatakan bahwa keamanan informasi sudah diterapkan. Keamanan informasi melindungi segala aspek yang terlibat dalam sistem, sehingga informasi atau data dapat aman dari orang-orang yang tidak seharusnya memperolehnya. Dengan demikian, perusahaan atau organisasi dapat menjaga kelangsungan usahanya, menekan risiko, dan sebagainya.
2
2.4
ISO
2.4.1
Definisi ISO ISO (International Organization for Standardization) adalah pengembang
terbesar di dunia standar internasional secara sukarela. Standar
internasional
memberikan sentuhan seni untuk spesifisikasi produk, layanan dan praktik yang baik, membantu industri lebih efisien dan efektif. Dikembangkan melalui kesepakatan global, mereka membantu untuk mengatasi hambatan perdagangan internasional (ISO). 2.4.2
Kegiatan ISO ISO mengembangkan standar internasional. ISO didirikan pada tahun 1947, dan
sejak itu telah menerbitkan lebih dari 19.500 standar internasional mencakup hampir semua aspek teknologi dan bisnis. Dari keamanan pangan ke komputer, dan pertanian untuk kesehatan, ISO standar internasional berdampak pada semua aspek kehidupan kita (ISO). 2.4.3
Bagaimana ISO Mengembangkan Standar ? Standar ISO dikembangkan oleh para ahli. Setelah kebutuhan untuk standar
telah ditetapkan, para ahli bertemu untuk membahas dan merundingkan rancangan standar. Segera setelah draft telah dikembangkan bersama dengan anggota ISO yang diminta untuk berkomentar dan pemungutan suara. Jika kesepakatan tercapai, draft menjadi standar ISO, jika tidak, kembali ke komite teknis untuk suntingan lebih lanjut. Berikut adalah diagram alur pembuatannya. Prinsip-prinsip utama dalam pengembangan standar: 1. Standar ISO menanggapi kebutuhan di pasar ISO tidak memutuskan kapan untuk mengembangkan standar baru. Sebaliknya, ISO merespon permintaan dari industri atau stakeholder lainnya seperti konsumen. Biasanya, sektor industry atau kelompok mengkomunikasikan perlunya standar untuk anggota nasional yang kemudian menghubungi ISO. 2. Standar ISO didasarkan pada pendapat ahli dunia Standar ISO dikembangkan oleh kelompok-kelompok ahli dari seluruh dunia, yang merupakan bagian dari kelompok yang lebih besar yang disebut dengan komite teknis. Para ahli bernegosiasi pada semua aspek standar, termasuk ruang lingkup, definisi dan konten utamanya. 3. Standar ISO dikembangkan melalui proses multi-pihak Komite-komite teknis yang terdiri dari para ahli dari industri yang relevan, tapi juga dari asosiasi konsumen, akedemisi, LSM dan pemerintah. 4. Standar ISO didasarkan pada kesepakatan. Pengembangan standar ISO adalah pendekatan berbasis kesepakatan bersama dan komentar dari para stakeholder.
3
2.5
Standards
2.5.1
Definisi Standards Standards adalah dokumen yang memberikan persyaratan, spesifikasi, pedoman
atau karakteristik yang dapat digunakan secara konsisten untuk memastikan bahwa bahan-bahan, produk, proses dan layanan yang cocok untuk tujuan organisasi (ISO). ISO telah menerbitkan lebih dari 19.500 standar internasional yang dapat dibeli dari toko ISO atau dari anggota ISO. 2.5.2
Keuntungan Standar Internasional ISO Standar internasional membawa manfaat teknologi, ekonomi dan sosial. Standar
internasional membantu untuk menyelaraskan spesifikasi teknis produk dan jasa industri pembuatan
lebih
efisien.
Kesesuaian
dengan
standar
internasional
membantu
meyakinkan konsumen bahwa produk tersebut aman, efisien dan baik bagi lingkungan (ISO). 2.5.2.1 Untuk Bisnis Standar internasional adalah alat strategis dan pedoman untuk membantu perusahaan mengatasi beberapa tantangan yang paling menuntut bisnis modern. Standar internasional memastikan bahwa operasi bisnis yang seefisien mungkin, meningkatkan produktivitas dan membantu perusahaan mengakses pasar baru. Manfaatnya meliputi: a.
Penghematan biaya.
b.
Meningkatkan kepuasaan pelanggan – Standar internasional membantu meningkatkan kualitas, meningkatkan kepuasan pelanggan dan meningkatkan penjualan.
c.
Akses ke pasar baru – Standar internasional membantu mencegah hambatan perdagangan dan membuka pasar global.
d.
Peningkatkan pangsa pasar – Standar internasional membantu meningkatkan produktivitas dan keunggulan kompetitif.
e.
Manfaat lingkungan – Standar internasional membantu mengurangi dampak negatif terhadap lingkungan.
2.5.2.2 Untuk Masyarakat ISO telah lebih dari 19.500 standar menyentuh hampir semua aspek kehidupan sehari-hari. Ketika produk dan jasa sesuai dengan standar internasional, konsumen dapat memiliki keyakinan bahwa mereka aman, dapat diandalkan dan berkualitas baik.
4
Untuk memastikan bahwa manfaat dari standar internasional ISO seluas mungkin, ISO mendukung keterlibatan konsumen dalam pengembangan standar kerja dengan komite kebijakan konsumen (COPOLCO). Standar internasional tentang kualitas udara, air dan tanah, pada emisi gas dan radiasi dan aspek lingkungan dari produk berkontribusi terhadap upaya untuk melestarikan lingkungan dan kesehatan warga. 2.5.2.3 Untuk Pemerintah Standar ISO memanfaatkan keahlian dan pengalaman internasional dan oleh karena itu merupakan sumber daya penting bagi pemerintah ketika mengembangkan regulasi. Pemerintah pusat dapat membuat regulasi dengan berdasar pada standar ISO. Adapun manfaatnya: a.
Opini
ahli
–
standar
ISO
dikembangakan
oleh
para
ahli.
Dengan
mengintegrasikan standar ISO ke dalam peraturan nasional, pemerintah bisa mendapatkan keuntungan dari pendapat para ahli tanpa harus memanggil mereka secara langsung. b.
Membuka perdagangan dunia – standar ISO internasional dan diadopsi oleh banyak pemerintah. Dengan mengintegrasikan standar ISO ke dalam peraturan nasional, pemerintah membantu untuk memastikan bahwa persyaratan untuk impor dan ekspor sama di seluruh dunia, sehingga memfasilitasi pergerakan barang, jasa, dan teknologi dari negara ke negara.
2.6
The ISO27k Standards Terdapat beberapa seri pada ISO/IEC 27000. Dikutip dari situs ISO 27001
Security, setidaknya terdapat 32 seri, lebih dari setengahnya telah dipublikasikan dan tersedia untuk publik (ISO 27001 Security): 1. ISO/IEC 27000:2012 – memberikan perkenalan atau overview pada standar ISO27k secara keseluruhan, ditambah dengan kosa kata yang digunakan dalam ISO27k. 2. ISO/IEC 27001:2005 adalah Information Security Management System (ISMS), spesifikasi untuk ISMS ini telah diterapkan oleh sekitar seribu perusahaan. 3. ISO/IEC 27002:2005 adalah kode praktek untuk manajemen keamanan informasi yang menggambarkan sekumpulan tujuan pengendalian keamanan informasi dan satu set yang berlaku secara umum pada kontrol praktik keamanan yang baik. 4. ISO/IEC 27003:2010 memberikan panduan tentang penerapan ISO/IEC 27001.
5
5. ISO/IEC 27004:2009 adalah standar pengukuran manajemen keamanan informasi. 6. ISO/IEC 27005:2011 adalah standar manajemen risiko keamanan informasi. 7. ISO/IEC 27006:2011 adalah panduan untuk proses sertifikasi atau registrasi untuk terakreditasi sertifikasi ISMS atau badan registrasi. 8. ISO/IEC 27007:2011 adalah panduan untuk audit sistem manajemen keamanan informasi. 9. ISO/IEC TR 27008:2011 menyangkut tentang audit kontrol keamanan teknis. 10. ISO/IEC 27010:2012 memberikan pedoman manajemen keamanan informasi untuk komunikasi antar-sektor dan antar-organisasi. 11. ISO/IEC 27011:2008 adalah pedoman manajemen keamanan informasi untuk organisasi telekomunikasi. 12. ISO/IEC 27013:2012 memberikan pedoman pelaksanaan terpadu atau gabungan dari kedua ISO/IEC 27001 (ISMS) dan ISO/IEC 20000-1 (manajemen pelayanan, berasal dari ITIL). 13. ISO/IEC 27014:2013 menyediakan panduan tentang tata kelola keamanan informasi. 14. ISO/IEC TR 27015 memberikan pedoman manajemen keamanan informasi untuk jasa keuangan. 15. ISO/IEC TR 27016 mencakup tentang ekonomi manajemen keamanan informasi. 16. ISO/IEC 27017 mencakup aspek keamanan informasi komputasi awan (cloud computing). 17. ISO/IEC 27018 mencakup aspek privasi komputasi awan (cloud computing). 18. ISO/IEC TR 27019 mencakup keamanan informasi untuk pengendalian proses dalam industry energi. 19. ISO/IEC 27031:2011 adalah standar ICT difokuskan pada kelangsungan bisnis. 20. ISO/IEC 27032:2012 mencakup keamanan dunia maya. 21. ISO/IEC 27033 mengganti beberapa bagian standar ISO/IEC 18028 pada keamanan jaringan IT (bagian 1,2 dan 3 telah dipublish, yang lain sedang dalam persiapan). 22. ISO/IEC 27034 menyediakan pedoman untuk keamanan aplikasi (bagian 1 dirilis pada tahun 2011, yang lain sedang dalam persiapan). 23. ISO/IEC 27035:2011 pada pengelolaan insiden keamanan informasi. 24. ISO/IEC 27036 akan menjadi pedoman keamanan bagi hubungan pemasok termasuk komputasi awan. 25. ISO/IEC
27037:2012
meliputi
pengidentifikasian,
pemeliharaan bukti digital.
6
pengumpulan
dan
26. ISO/IEC 27038 akan menjadi spesifikasi redaksi digital. 27. ISO/IEC 27039 memperhatikan intrusion detection dan sistem pencegahan. 28. ISO/IEC 27040 pada pedoman keamanan penyimpanan. 29. ISO/IEC 27041 pedoman pada jaminan untuk metode investigasi bukti digital. 30. ISO/IEC 27042 pedoman analisis dan interpretasi bukti digital. 31. ISO/IEC 27043 pedoman pada prinsip-prinsip investigasi bukti digital dan proses. 32. ISO 27799:2008 menyediakan sektor tertentu panduan implementasi ISMS kesehatan berdasarkan ISO/IEC 27002 2.7
ISO/IEC 27001:2005 Standar ini sangat banyak digunakan di beberapa organisasi ataupun
perusahaan dalam implementasi keamanan informasi (Talabis & Martin, 2013). Ini adalah framework information security management system (ISMS). ISO/IEC 27001:2005 mencakup semua jenis organisasi (misalnya perusahaan komersial, instansi pemerintah). ISO/IEC 27001:2005 menetapkan persyaratan untuk penetapan, penerapan, pengoperasioan, pemantuan, pengkajian, pemeliharaan dan perbaikan Information Security Management System yang didokumentasikan dalam konteks risiko bisnis organisasi secara keseluruhan. Ini menentukan pelaksanaan kontrol keamanan disesuaikan dengan kebutuhan organisasi individu atau per bagiannya. 2.8
Audit Activities Tahapan-tahapan audit IT dapat dilihat pada gambar berikut:
Gambar 2.8 Audit Activities (Sumber : http://www.iso27001security.com/ISO27k_Guideline_on_ISMS_audit_v1.docx) 2.8.1
Scoping and Pre-audit Survey Pada fase ini, auditor ISMS menentukan area utama atau fokus yang akan
diaudit, biasanya didasarkan pada penilaian berdasarkan tingkat risiko. Sumber informasi meliputi penelitian umum terhadap industri dan organisasi, ISMS sebelumnya dan laporan audit lainnya, dan dokumen ISMS seperti Statement of Applicability, Risk Treatment Plan dan ISMS policy. Para auditor ISMS harus memastikan bahwa ruang lingkup masih dalam kaitan dengan organisasi. Ruang lingkup audit yang biasanya harus sesuai dengan lingkup ISMS yang telah bersertifikat. Sebagai contoh, organisasi besar dengan beberapa divisi
7
atau unit bisnis mungkin memiliki ISMS yang saling terpisah, atau beberapa kombinasi ISMS lokal dan pusat. Jika sertifikasi ISMS mencakup keseluruhan organisasi, auditor mungkin perlu meninjau apakah ISMS beroperasi atau tidak. Para auditor sebaiknya memberi perhatian khusus terhadap risiko keamanan informasi dan kontrol yang berhubungan dengan alur informasi terhadap entitas lain atau luar (organisasi, unit bisnis, dan lain-lain) yang berada di luar lingkup ISMS, misalnya memeriksa kelayakan klausa informasi yang berhubungan dengan keamanan dalam Service level aggreements atau kontrak dengan IT service suplliers. Proses akan lebih mudah bila entitas luar telah disertifikasi dengan ISO/IEC 27001. Selama survei pra-audit, auditor ISMS mengidentifikasi dan idealnya melakukan kontak dengan para pihak utama di ISMS seperti manajer ISM, arsitek keamanan, pengembang ISMS, pelaksana ISMS dan tokoh berpengaruh lainnya seperti CIO dan CEO, untuk meminta dokumentasi dan lain sebagainya yang dibutuhkan selama audit. Output utama dari fase ini adalah ruang lingkup yang disepakati dalam audit ISMS, surat perjanjian atau yang serupa. Daftar kontak dan dokumen lainnya yang dibutuhkan dalam proses audit. 2.8.2
Planning and Preparation Lingkup kesuluruhan ISMS dipecah menjadi lebih rinci, biasanya dengan
menghasilkan checklist audit ISMS. Hasil dari fase ini adalah menghasilkan checklist dan rencana audit yang telah disepakati dengan manajemen. 2.8.3
Fieldwork Selama fase studi lapangan, bukti audit dikumpulkan oleh auditor dengan
menggunakan checklist. Auditor membaca dan membuat catatan tentang dokumentasi yang berkaitan dengan ISMS (seperti Statement of Applicability, Risk Treatment Plan, ISMS policy, dan lain-lain). Hasil dari fase ini merupakan akumulasi dari audit dan pembuktian audit. 2.8.4
Analysis Bukti audit akumulasi dikumpulkan, diurutkan, ditinjau, dan diperiksa dalam
kaitannya dengan risiko dan tujuan pengendalian keamanan. Terkadang analisis mengidentifikasi celah dalam bukti audit atau menunjukkan agar dilakukan tes audit tambahan, dalam hal ini studi lapangan lebih lanjut dapat dilakukan apabila waktu yang telah dijadwalkan dan sumber daya belum habis. Namun, yang terpenting adalah bahwa prioritas risiko tertinggi sudah diaudit terlebih dahulu. 2.8.5
Reporting Laporan merupakan bagian penting dari proses audit, dan didalamnya sendiri
dibagi dalam beberapa bagian.
8
Laporan audit ISMS mengandung unsur-unsur berikut, beberapa diantaranya dapat dibagi menjadi lampiran atau dokumen yang terpisah: a.
Judul, pengenalan penamaan organisasi, dan pengjelasan ruang lingkup, tujuan, cakupan, waktu dan luasnya pekerjaan audit yang dilakukan.
b.
Sebuah ringkasan singkat yang menunjukkan temuan audit utama, analisa singkat dan komentar, dan kesimpulan secara kesuluruhan.
c.
Temuan audit dan analisis, terkadang dibantu dengan bukti-bukti pendukung dalam file audit sehingga membantu dalam memahami.
d.
Kesimpulan dan rekomendasi audit. Bukti audit yang cukup dan tepat sangat diperlukan untuk mendukung hasil yang
dilaporkan. Hasil dari fase ini adalah laporan lengkap ISMS audit, ditandatangani, tanggal dan didistribusikan sesuai dengan ketentuan audit charter atau engagement letter. 2.8.6
Closure Selain indeks dan cross-referencing dan benar-benar menutup file audit, closure
melibatkan penyusunan catatan untuk audit selanjutnya dan menindaklanjuti untuk memeriksa bahwa tindakan yang telah disepakati pada kenyataannya selesai tepat waktu. Jika telah memenuhi syarat ISMS (dengan kata lain, jika semua rekomendasi audit yang wajib telah diselesaikan), sertifikat ISMS organisasi akan disusun dan diterbitkan. 2.9
A.11.4.4 Control A.11.4.4 dalam standar ISO/IEC 27001:2005 mengharuskan organisasi
mengamankan pengendalian akses port diagnostik dan konfigurasi. Komputer dan komunikasi sistem sering memasang fasilitas akses dial-up jarak jauh yang membuat teknisi dapat menggunakannya sebagai akses untuk mengkonfigurasi atau memperbaiki kesalahan yang terjadi dalam sistem. Jika tidak dilindungi, port ini dapat dengan mudah diakses oleh orang yang tidak berwenang dan berpotensi masuk ke dalam sistem. Dengan demikian, port ini semestinya diamankan. Keamanan fisik mungkin menjadi langkah pertama yang dapat diambil dengan menonaktifkan port-port yang tidak digunakan. Ketika port diperlukan, prosedur dalam ISMS dapat mengatur teknisi yang telah diotentikasi dapat mengakses port dalam jangka waktu tertentu untuk melakukan maintenance. Setiap akses yang digunakan, sebaiknya di log.
9
3.
Metodologi Penelitian
3.1
Penentuan Ruang Lingkup STMIK Amikom Yogyakarta adalah salah satu perguruan tinggi besar di
Yogyakarta yang memiliki sistem akademik yang besar. Tahun ke tahun, sistem diubah dan terus dilakukan perubahan agar dapat memenuhi kebutuhan mahasiswa, dosen, karyawan, dan sebagainya. Namun, karena terlalu fokus pada fungsi yang ada, dari sisi keamanan jaringan atau sistem terlupakan, sehingga ini dapat menjadi celah keamanan bagi seseorang untuk melakukan penetrasi jaringan. Ketika orang tersebut sudah masuk ke dalam sistem atau server, data-data penting seperti data mahasiswa, dosen, karyawan dan sebagainya dalam bahaya. Data tersebut bisa saja dihapus, dimodifikasi, atau diambil untuk tujuan tertentu. Ketika masalah ini terjadi, tentunya layanan akan terhenti sementara sampai sistem dapat dipulihkan kembali. Dalam bisnis, ini sangat tidak baik, karena akan menurunkan kredibilitas perguruan tinggi. Pada penelitian kali in, peneliti mengamankan keamanan informasi berdasarkan kontrol A.11.4.4 pada ISO/IEC 27001:2005. Kontrol A.11.4.4 memberikan panduan bagaimana mengamankan akses fisik maupun logikal pada perangkat jaringan sehingga penyerang kesulitan untuk mendapatkan akses. 3.2
Pengumpulan Data Dalam mengumpulkan data-data yang diperlukan, peneliti memeriksa satu per
satu perangkat jaringan yang digunakan seperti router, switch, dan sebagainya dengan menggunakan tabel checklist berikut ini. Tabel 3.1 Checklist Perangkat Jaringan Menemukan Ya Tidak Pertanyaan Menonaktifkan servis yang tidak diperlukan Apakah interface-interface yang tidak digunakan telah dinonaktifkan?
Control ISO 27001
A.11.4.4
Apakah Cisco Discovery Protocol (CDP) telah dimatikan pada perangkat jaringan Cisco?
A.11.4.4
Apakah servis finger dimatikan pada router?
A.11.4.4
telah
Apakah server Bootp telah
A.11.4.4
10
Standard/Best Practice Interface-interface yang tidak digunakan pada router sebaiknya dimatikan. Router(config-if)#shutdown CDP yang digunakan untuk mendapatkan informasi seperti ip address, tipe platform dari perangkat Cisco yang terhubung langsung sebaiknya dimatikan bila tidak digunakan. Router(config)# no cdp run ATAU Router(config-if)# no cdp enable Orang yang tidak berhak dapat menggukanan informasi yang didapatkan dari servis ini untuk melakukan serangan reconnaissance. Servis ini sebaiknya dimatikan. Router(config)#no service finger Servis server bootp yang secara default
Menemukan Pertanyaan dimatikan pada router?
Ya
Tidak
Control ISO 27001
Apakah port aux telah dimatikan?
A.11.4.4
Apakah line console telah diberi password ?
A.11.4.4
Apakah line console akan keluar secara otomatis dalam waktu tertentu bila tidak digunakan ?
A.11.4.4
Apakah line vty telah diberikan password ?
A.11.4.4
Apakah line vty akan keluar secara otomatis dalam waktu tertentu bila tidak digunakan ?
A.11.4.4
Apakah SSH digunakan daripada telnet sebagai transpot input ?
A.11.4.4
Apabila harus menggunakan
A.11.4.4
11
Standard/Best Practice diaktifkan dapat digunakan oleh router lain untuk boot melalui router ini. Fitur ini sebaiknya dimatikan, mengingat sudah jarang digunakan. Berikut adalah perintah untuk menonaktifkannya. Router(config)#no ip bootp server Port aux sebaiknya dimatikan bila tidak dibutuhkan. Gunakan perintah berikut untuk mematikannya. Router(config)#line aux 0 Router(config-line)#no exec Pemberian password ini diharapkan dapat mencegah dari orang yang tidak berwenang untuk mengakses melalui line console. Berikut perintah untuk mengimplementasikannya/ Router(config)#line console 0 Router(config-line)#password password Router(config-line)#login Line console yang tidak digunakan dalam beberapa menit, sebaiknya secara otomotasi keluar dari line console. Berikut adalah perintah untuk mengimplementasinya. Router(config)#line console 0 Router(config-line)#exec-timeout 5 0 Line vty sebaiknya diberikan password sehingga dapat mencegah orang yang tidak berhak mengaksesnya. Berikut adalah perintah untuk mengimplementasinya. Router(config)#line vty 0 4 Router(config-line)#password password Router(config-line)#login Line vty yang tidak digunakan dalam beberapa menit, sebaiknya secara otomotasi keluar dari line console. Berikut adalah perintah untuk mengimplementasinya. Router(config)#line vty 0 4 Router(config-line)#exec-timeout 5 0 SSH dapat mengenkripsi setiap data yang lewat daripada Telnet yang mengirimnya dalam keadaan clear-text. Berikut adalah perintah untuk mengimplementasi SSH. Router(config)#line vty 0 4 Router(config-line)#transport input ssh ACL dapat digunakan untuk membatasi
Menemukan Pertanyaan telnet, apakah telah dibatasi bahwa yang dapat mengaksesnya hanya pada IP tertentu ?
Ya
Tidak
Control ISO 27001
Apabila menggunakan SSH, apakah pembatasan percobaan kesalahan password telah dibatasi ?
A.11.4.4
Apakah password yang terdapat di file konfigurasi telah dienkripsi ?
A.11.4.4
Apakah menggunakan HTTPS daripada HTTP dalam mengakses melalui browser ?
A.11.4.4
Pada perangkat switch Cisco, apakah port security telah diaktifkan ?
A.11.4.4
Apakah violation shutdown pada port security telah diterapkan ?
A.11.4.4
Apakah jumlah MAC address telah ditentukan pada port switch Cisco ?
A.11.4.4
3.3
Standard/Best Practice siapa saja yang dapat mengaksesnya. Berikut adalah perintah untuk mengimplementasinya. Router(config)#access list 15 permit 192.168.1.0 0.0.0.255 Router(config)#line vty 0 4 Router(config-line)#access class 15 in Hal ini untuk mencegah serangan brute force. Berikut adalah perintah untuk mengimplementasikannya. Router(config)#ip ssh authenticationretries 2 Password yang ditampilkan sebaiknya dienkripsi pada file konfigurasi. Berikut adalah perintah untuk mengimplementasinya. Router(config)#service passwordencryption HTTPS lebih aman dikarenakan dapat mengenkripsi password yang melewati media jaringan daripada HTTP. Berikut adalah perintah untuk mengimplementasikannya. Router(config)#ip http secure-server Berikut adalah perintah untuk mengaktifkannya. Switch(config-if)#switchport port-security Apabila ditemukan pelanggaran, maka port tersebut akan segera dimatikan. Berikut adalah perintah untuk mengimplementasikannya. Switch(config-if)#switchport port-security violation shutdown Penentuan ini dilakukan agar hanya orang yang berhak yang dapat mengakses. Berikut adalah perintah untuk implementasikannya Switch(config-if)#switchport port-security maximum 1
Analisa Data Setelah semua perangkat jaringan diperiksa satu per satu, maka konfigurasi
tersebut diperiksa lagi, apakah layanan tersebut digunakan atau tidak, apakah perlu dimatikan atau tidak, disesuaikan dengan tujuan organisasi. 3.4
Penyusunan Laporan Setelah dilakukan pemeriksaan konfigurasi pada perangkat jaringan yang
digunakan, dan memperbaiki konfigurasi yang salah, berikutnya adalah pembuatan
12
laporan.
Laporan
tersebut
diserahkan
kepada
organisasi,
sehingga
organisasi
memutuskan apakah ingin menerapkan hasil laporan atau tidak. Berikut adalah template penyusunan laporan audit. Tabel 3.2 Contoh Laporan Audit Tanggal audit
Deskripsi penemuan/observasi
Tindakan pencegahan
4.
Implementasi dan Pembahasan
4.1
Hasil Audit
Departemen
ISO 27001 Clause
Diaudit oleh
Diverifikasi oleh
Dengan berdasarkan pada ISO/IEC 27001:2005 standar A.11.4.4, yang mana membahas pengamanan port pada perangkat jaringan, baik yang fisik maupun logikal, maka dilakukan audit pada tanggal 27 Juni 2013. Pada dasarnya, dengan berdasarkan informasi manager perangkat keras dan infrastuktur jaringan departemen Innovation Center STMIK Amikom Yogyakarta, semua konfigurasi yang terdapat pada switch ataupun router yaitu sama. Sehingga, didapatkan hasil sebagai berikut: Tabel 4.1 Hasil Audit Menemukan Pertanyaan Apakah interface-interface yang tidak digunakan telah dinonaktifkan?
Ya
Tidak
Control ISO 27001 A.11.4.4
Apakah Cisco Discovery Protocol (CDP) telah dimatikan pada perangkat jaringan Cisco?
A.11.4.4
Apakah servis finger dimatikan pada router?
A.11.4.4
telah
Apakah server Bootp telah dimatikan pada router?
Apakah port aux telah dimatikan?
A.11.4.4
A.11.4.4
13
Standard/Best Practice Interface-interface yang tidak digunakan pada router sebaiknya dimatikan. Router(config-if)#shutdown CDP yang digunakan untuk mendapatkan informasi seperti ip address, tipe platform dari perangkat Cisco yang terhubung langsung sebaiknya dimatikan bila tidak digunakan. Router(config)# no cdp run ATAU Router(config-if)# no cdp enable Orang yang tidak berhak dapat menggunakan informasi yang didapatkan dari servis ini untuk melakukan serangan reconnaissance. Servis ini sebaiknya dimatikan. Router(config)#no service finger Servis server bootp yang secara default diaktifkan dapat digunakan oleh router lain untuk boot melalui router ini. Fitur ini sebaiknya dimatikan, mengingat sudah jarang digunakan. Berikut adalah perintah untuk menonaktifkannya. Router(config)#no ip bootp server Port aux sebaiknya dimatikan bila tidak dibutuhkan. Gunakan perintah berikut untuk
Menemukan Pertanyaan
Ya
Tidak
Control ISO 27001
Apakah line console telah diberi password ?
A.11.4.4
Apakah line console akan keluar secara otomatis dalam waktu tertentu bila tidak digunakan ?
A.11.4.4
Apakah line vty telah diberikan password ?
A.11.4.4
Apakah line vty akan keluar secara otomatis dalam waktu tertentu bila tidak digunakan ?
A.11.4.4
Apakah SSH digunakan daripada telnet sebagai transpot input ?
A.11.4.4
Apabila harus menggunakan telnet, apakah telah dibatasi bahwa yang dapat mengaksesnya hanya pada IP tertentu ?
A.11.4.4
Apabila menggunakan SSH, apakah pembatasan percobaan kesalahan
A.11.4.4
14
Standard/Best Practice mematikannya. Router(config)#line aux 0 Router(config-line)#no exec Pemberian password ini diharapkan dapat mencegah dari orang yang tidak berwenang untuk mengakses melalui line console. Berikut perintah untuk mengimplementasikannya/ Router(config)#line console 0 Router(config-line)#password password Router(config-line)#login Line console yang tidak digunakan dalam beberapa menit, sebaiknya secara otomotasi keluar dari line console. Berikut adalah perintah untuk mengimplementasinya. Router(config)#line console 0 Router(config-line)#exec-timeout 5 0 Line vty sebaiknya diberikan password sehingga dapat mencegah orang yang tidak berhak mengaksesnya. Berikut adalah perintah untuk mengimplementasinya. Router(config)#line vty 0 4 Router(config-line)#password password Router(config-line)#login Line vty yang tidak digunakan dalam beberapa menit, sebaiknya secara otomotasi keluar dari line console. Berikut adalah perintah untuk mengimplementasinya. Router(config)#line vty 0 4 Router(config-line)#exec-timeout 5 0 SSH dapat mengenkripsi setiap data yang lewat daripada Telnet yang mengirimnya dalam keadaan clear-text. Berikut adalah perintah untuk mengimplementasi SSH. Router(config)#line vty 0 4 Router(config-line)#transport input ssh ACL dapat digunakan untuk membatasi siapa saja yang dapat mengaksesnya. Berikut adalah perintah untuk mengimplementasinya. Router(config)#access list 15 permit 192.168.1.0 0.0.0.255 Router(config)#line vty 0 4 Router(config-line)#access class 15 in Hal ini untuk mencegah serangan brute force. Berikut adalah perintah untuk
Menemukan Pertanyaan password telah dibatasi ?
Ya
Tidak
Control ISO 27001
Apakah password yang terdapat di file konfigurasi telah dienkripsi ?
A.11.4.4
Apakah menggunakan HTTPS daripada HTTP dalam mengakses melalui browser ?
A.11.4.4
Pada perangkat switch Cisco, apakah port security telah diaktifkan ?
A.11.4.4
Apakah violation shutdown pada port security telah diterapkan ?
A.11.4.4
Apakah jumlah MAC address telah ditentukan pada port switch Cisco ?
A.11.4.4
4.2
Standard/Best Practice mengimplementasikannya. Router(config)#ip ssh authenticationretries 2 Password yang ditampilkan sebaiknya dienkripsi pada file konfigurasi. Berikut adalah perintah untuk mengimplementasinya. Router(config)#service passwordencryption HTTPS lebih aman dikarenakan dapat mengenkripsi password yang melewati media jaringan daripada HTTP. Berikut adalah perintah untuk mengimplementasikannya. Router(config)#ip http secure-server Berikut adalah perintah untuk mengaktifkannya. Switch(config-if)#switchport port-security Apabila ditemukan pelanggaran, maka port tersebut akan segera dimatikan. Berikut adalah perintah untuk mengimplementasikannya. Switch(config-if)#switchport port-security violation shutdown Penentuan ini dilakukan agar hanya orang yang berhak yang dapat mengakses. Berikut adalah perintah untuk implementasikannya Switch(config-if)#switchport port-security maximum 1
Pembahasan Dari tujuh belas checklist yang ada, pihak perusahaan telah mematuhi tiga belas
checklist yang ada, sehingga didapatkan persentasenya yaitu (13/17) x 100 = 76% . Dengan berdasarkan pada tabel dibawah ini, maka kriteria tingkat keamanan informasi STMIK Amikom Yogyakarta standar A.11.4.4 pada ISO/IEC 27001:2005 adalah aman. Tabel 4.2 Tingkat Keamanan Informasi Persentase > 73% 64-73% 53-63% 42-52% < 42%
Kriteria Aman Cukup aman Kurang aman Tidak aman Beresiko tinggi
15
4.3
Laporan Setelah mengumpulkan data-data yang diperlukan dan rekomendasi yang
disarankan, maka selanjutnya ialah pembuatan laporan. Laporan audit ini yang berdasarkan pada ISO/IEC 27001:2005 standar A.11.4.4 yang mengendalikan keamanan perangkat jaringan dari segi keamanan port fisik maupun logikal, akan diberikan kepada orang tertinggi dalam perusahaan, kemudian dari pihak perusahaan akan menentukan apakah ingin mengimplementasikan apa yang telah ditemukan dan disarankan oleh pihak auditor. 5.
Kesimpulan Setelah melakukan penelitian dan audit pada STMIK Amikom Yogyakarta, dapat
ditarik kesimpulan bahwa kriteria perusahaan pada tingkat keamanan informasi yaitu aman karena telah memenuhi tiga belas checklist yang ada dari tujuh belas checklist dalam standar A.11.4.4 ISO/IEC 27001:2005. Empat checklist yang tidak dipenuhi oleh perusahaan yaitu mengenai tentang implementasi SSH Authentication Retries dan penerapan teknologi port security pada perangkat jaringan switch.
16
Daftar Pustaka Herrmann, D.S. 2002. Security Engineering and Information Assurance. Auerbach. Talabis, M. R., dan J.L Martin. 2013. Information Security Risk Assessement Toolkit. Waltham:Syngress ISO
27001 Security. 2011. ISO27k Toolkit. Dari ISO 27001 http://www.iso27001security.com/ISO27k_Gap_analysis__management_report_template.dotx. Diakses 4 Juni 2013
Security:
ISO
27001 Security. About the ISO27k standards. Dari ISO 27001 Security:http://www.iso27001security.com/html/iso27001.html. Diakses 24 Mei 2013
ISO. About ISO. Dari ISO:http://www.iso.org/iso/home/about.htm. Diakses 25 Mei 2013 ISO.
Benefits of International Standards. Dari ISO:http://www.iso.org/iso/home/standards/benefitsofstandards.htm. Diakses 25 Mei 2013
ISO.
ISO/IEC 27001:2005. Dari ISO:http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csn umber=42103. Diakses 25 Mei 2013
ISO. Standards. Dari ISO:http://www.iso.org/iso/home/standards.htm. Diakses 25 Mei 2013 Kamat, M. 2012. Dari ISO 27001 Security:http://www.ISO27001security.com. Diakses 19 Mei 2013
17
