TSI Perbankan
HOME
DAFTAR ISI
3 Audit TCP/IP
3.1 Pendahuluan Di zaman IT, protokol ini merupakan protokol inti bagi komputer yang terkoneksi ke suatu jaringan baik LAN maupun WAN. Protokol ini sedemikian penting sehingga apabila terjadi kesalahan pada protokol ini, maka akan terjadi kegagalan pada interkoneksi jaringan. Sebagai akibatnya jelas issue yang terkait dengan security TCP/IP menjadi sangat penting. Security TCP/IP merupakan salah satu hal yang perlu diperhatikan pada saat kita mengaudit TCP/IP. Minimal kita akan mengaudit penerapan dan implementasi (seperti telah disebut pada bab sebelumnya mengenai security TCP/IP) hal berikut: •
IP filtering
•
Network Address Translation (NAT)
•
IP Security Architecture (IPsec)
•
SOCKS
•
Secure Shell (SSH)
•
Secure Sockets Layer (SSL)
•
Application proxies
•
Firewalls
•
Kerberos and other authentication systems (AAA servers)
•
Secure Electronic Transactions (SET)
Namun demikian, dalam hal pelaksanaan audit TCP/IP ternyata tidak hanya aspek security TCP/IP, aspek lain yang terkait langsung atau tidak langsung dengan TCP/IP harus menjadi perhatian. Tabel berikut memuat hal lain yang perlu mendapat perhatian (perhatian dalam arti sesuai atau tidak dengan standar minimal penerapan)
AS/400 hal. A52
TSI Perbankan
Seusai No.
Aspek yang perlu diperhatikan
Ya
Tidak
Tidak tersedia
1.
Diagram Wide Area Network menampilkan seluruh lokasi-lokasi jaringan, termasuk metode transmisi WAN yang digunakan (X.25, Frame Relay, T-1, dialup, dll.)
2.
Diagram menyeluruh Jaringan untuk seluruh LAN di dalam ruang lingkup audit, - termasuk node-node penting seperti router, gateways, file servers, system operasi host - , dengan jaringan, IP address node, dan metode tramsisi link (mis. Ethernet, token ring, dsb.)
3.
Deskripsi naratif dari aplikasi-aplikasi penting yang digunakan, termasuk deskripsi layanan-layanan TCP/IP (telnet, ftp, nfs, tftp, dsb) yang diperlukan untuk mendukung aplikasi-aplikasi penting tersebut
4.
Printout file kontrol jaringan yang penting bagi system (mis dalam UNIX/Linux file-file yang berada dibawah direktori /etc/inetd.conf, /etc/hosts.equiv, /etc/exports)
5.
Printout file-file konfigurasi router untuk router yang terkoneksi ke jaringan eksternal atau digunakan sebagai
segment
server
networks
oleh
user
networks 6.
Printout file konfigurasi dan log-file firewall
7.
Diagram/Chart organisasi dan job descriptions personel yang mendukung system jaringan
8
Penerapan dan implementasi menyeluruh: a. Security layer fisik b. Security layer link TCP/IP c.
Security layer network
d. Security layer tansport e. Security layer Aplikasi f.
Security konfigurasi Internet dan firewall
g. Security layanan Web
AS/400 hal. A53
TSI Perbankan
3.1 Contoh Prosedur Penerapan Security 3.1.1 Prosedur Security layer fisik Seusai No.
Ya
Tidak
Tidak tersedia
Tujuan: menetapkan/memastikan bahwa security layer fisik yang sesuai diterapkan pada media transmisi
jaringan
dan
devais
jaringan
untuk
mencegah akses unauthorized dan/atau modifikasi sistem dan data A
1. Mencek diagram WAN untuk mengidentifikasi jaringan dan dan lokasi-lokasi dengan sistem host yang penting 2. Menilai security dari pusat operasi host penting ini
B.
3. Mencek floor plan diagram dari perkabelan dan konektivitas didalam ruang lingkup review dan lakukan hal-hal berikut: 1. Mereview
diagram
perkabelan
workstation.
Mengamati perkabelan yang digunakan untuk menetapkan bahwa workstation terproteksi dari intereferensi sistem lain atau devais yang mungkin
menyebabkan
penurunan
qualitas
transmisi 2. Memastikan dan menetapkan bahwa perkabelan hub dan concentrators diletakkan pada daerah yang aman dan hanya mungkina dapat diakses oleh personel pendukung jaringan 3. Mengamati pusat operasi jaringan dan system untuk memastikan bahwa akses fisik dijamin sebagai basis kebutuhan dan terkontrol secara baik 4. Memastikan dan menetapkan apakah software manajemen jaringan yang digunakan secara proaktif diseluruh jaringan ke montor koneksi
AS/400 hal. A54
TSI Perbankan
Seusai No.
Ya
Tidak
Tidak tersedia
fisik jaringan dan traffic load 5. Mengamati dan menilai kontrol akses fisik melalui antenna transmisi microwave atau satelit untuk memastikan bahwa akses adalah restricted C.
4. Mereview diagram perkabelan dan kemudian membandingkan ke observasi fisik dari label koneksi hub, label link multiplekser, label modem dsb., untuk memastikan seluruh koneksi fisik ter-authorized dan terdokumetasi
3.1.2 Prosedur Security Layer Link TCP/IP Seusai No.
Ya
Tidak
Tidak tersedia
Tujuan: menetapkan/memastikan bahwa objektif security dari layer link ditemukan/dijumpai sesuai standar A
a. Gunakan diagram jaringan, untuk mengidentifikasi protokol link LAN (Ethernet, token ring, dsb.) dan protocol link WAN (X.25, dsb.) digunakan 1. Menilai kebutuhan akan filtering security bridge pada address link untuk memproteksi bagian rahasia dari jaringan 2. Memastikan
apakah
enskripsi
link-level
diperlukan dan digunakan untuk memproteksi transmisi yang melalui link WAN dan publicWAN B
b. Mengidentifikasi
seluruh
links
dial-up
dan
protokol dial-up (SLIP,PPP) yang digunakan 1. Untuk link SLIP, pastikan apakah metode
AS/400 hal. A55
TSI Perbankan
Seusai No.
Ya
Tidak
Tidak tersedia
authentikasi PAP disupplemenkan oleh prosedur-prosedur
yang
memastikan
bahwa
password diubah secara regular; format aman; koneksi SLIP di-log-in secara dial-up; akses log server; dan log direview secara regular 2. Untuk link PPP, memastikan bahwa authentickasi CHAP digunakan secara efektif.
3.1.3 Prosedur Security Layer Aplikasi Seusai No.
Ya
Tidak
Tidak tersedia
Tujuan: memastikan bahwa kontrol yang pantas dan baik telah dimplementasikan untuk mengamankan aplikasi TCP/IP yang aktif A
•
Mintalah scripts start-up sistem dan file kontrol program
untuk
sistem
dan
servers
yang
signifikan. Kemudian review untuk menetapkan aplikasi mana yang sedang aktif. Gunakan perintah pada suatu system operasi untuk melist seluruh proses yang sedang aktif (pada UNIX gunakan perintah ps) dan mendeteksi aplikasi mana yang distar secara manual dan yang mana dimulai melalui script. Untuksetiap aplikasi lakukan langka-langkah berikut 1. Program Emulation Terminal TELNET: Memastikan apakah seluruh pemakai telnet diberikan paswword dan ID yang terkontrol dengan baik. Mengetahui dengan pasti bahwa setiap akses telnet dari jaringan eksternal
AS/400 hal. A56
TSI Perbankan
Seusai No.
Ya
Tidak
Tidak tersedia
disupplemenkan misalkan
oleh
security
smart-cards
challenge-respon.
tambahan,
atau
Menilai
authentikasi
apakah
telnet
sebaiknya dimatikan secara penuh bagi node jaringan
yang
sensitive,
sperti
firewalls,
gateways, dan routers 2. Pogram Transfer File FTP: Memastikan
apakah
seluruh
pemakai
ftp
memiliki password and ID yang terkontrol dengan baik dan apakah setiap akses dari jaringan luar disupplemenkan oleh security tambahan sperti smar-card a. Mereview direktori home pemakai b. Mereview
isi
memastikan
file
ftpusers
bahwa
file
untuk tersebut
memuat seluruh account system dan setiap accoun pemakai yang tidak memerlukan menggunakan ftp Anonymous FTP Memastikan
bahwa
anonymous
ftp
tidak
digunakan pada sistem yang menjalankan pemrosesan “mission critical”
3.2. Prosedur minimal audit TCP/IP pada AS/400 Berikut prosedur minimal yang harus dilakukan dalam rangak audit TCP/IP pada AS/400: 1. Memperhatikan dan memastikan apakah konfigurasi TCP/IP sudah sesuai baik dari segi hardware maupun software aplikasinya. Tentunya berbagai parameter penting sebelum mengkonfigurasi TCP/IP harus diperiksa terlebih dahulu. Parameter tersebut antara lain IP-address, subnet mask, host name, Domain name, DNS server dan Next hub gateway (Router).
AS/400 hal. A57
TSI Perbankan
Kemudian
lakukanlah
prosedur
yang
telah
dijelaskan
pada
bab
sebelumnya 2. Mencek transmisi link TCP/IP dengan menggunakan perintah PING untuk memastikan host atau server mana yang terkoneksi dengan sistem AS/400 3. Memperhatikan dan memastikan apakah link PPP dan SLIP le mesin AS/400 digunakan. Jika ya, maka perlu mencek link tersebut dari komputer client (misalkan client yang berbasis sistem operasi windows) 4. Mencek apakah AS/400 berfungsi sebagai ftp server dan telnet server,. Jika ya, jalankanlah aplikasi Telnet dan FTP dari komputer client.
AS/400 hal. A58
