PENGAMANAN JARINGAN KOMUTER Komunikasi TCP/IP dapat mengamankan suatu jaringan dengan bantuan dari kriptografi. Protocol dan metode dari kriptografi dirancang untuk tujuan yang berbeda dalam pengaman data komunikasi, baik stanlone computer maupun computer yang terhubung dengan jaringan computer, seperti LAN, WAN, Internet, dan lain sebagainya. Salah satu cara pengamanan data dan komunikasi dalam jaringan meliputi Secure Socket Layer (SSL), Transport Layer Security (TLS) yang berfungsi mengamankan lalu lintas Http, PGP untuk e-mail dan file, dan IPsec yang berfungsi mengamankan lapisan jaringan. Secure Socket Layer Salah satu cara untuk meningkatkan keamanan server WWW adalah dengan menggunakan enkripsi pada komunikasi pada tingkat socket. Dengan menggunakan enkripsi, orang tidak bisa menyadap data-data yang dikirimkan dari/ke server WWW. Salah satu mekanisme yang cukup populer adalah dengan menggunakan Secure Socket Layer (SSL) yang mulanya dikembangkan oleh Netscape. Selain server WWW dari Netscape, beberapa server lain juga memiliki fasilitas SSL juga. Server WWW Apache (yang tersedia secara gratis) dapat dikonfigurasi agar memiliki fasilitas SSL dengan menambahkan software tambahan (SSLeay - yaitu implementasi SSL dari Eric Young - atau OpenSSL - yaitu implementasi Open Source dari SSL). Bahkan ada sebuah perusahaan (Stronghold) yang menjual Apache dengan SSL.
1
Penggunaan SSL memiliki permasalahan yang bergantung kepada lokasi dan hukum yang berlaku. Hal ini disebabkan: • Pemerintah melarang ekspor teknologi enkripsi (kriptografi). • Paten Public Key Partners atas Rivest-Shamir-Adleman (RSA) publickey cryptography yang digunakan pada SSL. Oleh karena hal di atas, implementasi SSLeay Eric Young tidak dapat digunakan di Amerika Utara (Amerika dan Kanada) karena “melanggar” paten RSA dan RC4 yang digunakan dalam implementasinya. SSLeay dapat diperoleh dari: • http://www.psy.uq.oz.au/~ftp/Crypto Informasi lebih lanjut tentang SSL dapat diperoleh dari: • http://home.netscape.com/newsref/std IP Security (IPsec) Arsitektur keamanan IP yang dikenal dengan IP Security (IPsec) menjadi standarisasi keamanan internet. IPsec didesain untuk melindungi komunikasi dengan cara menggunakan TCP/IP. Protocol IPsec dikembangkan oleh IETF, dan IPsec memberikan layanan terhadap privacy dan authentication menggunakan algoritma kriptografi modern. Untuk melindungi IP datagram, data ditransformasikan menggunakan algoritma enkripsi. Ada dua tipe umum dari dasar IPsec: 1). Authentication Header (AH) Adalah protocol dokumen yang meliputi format paket dan isu umum yang berhubungan dengan penggunaan AH untuk pengesahan paket. 2). Encapsulating Security Payload (ESP) 2
Adalah dokumen yang meliputi format paket dan isu umum yang berhubungan dengan penggunaan dari ESP untuk paket enkripsi dan autentikasi. Dua tipe umum dari IPsec AH dan ESP merupkan dua protocol yang memberikan integritas, data asli, dan kerahasiaan, dan layanan anti-replay. Protocol itu dikombinasikan untuk mendapatkan layanan keamanan pada lapisan IP. Komponen dasar dari arsitektur keamanan IPsec berkaitan dengan hal-hal berikut : 1) Keamanan protocol AH dan ESP 2) Keamanan asosiasi untuk manajemen kebijakan dan proses traffic 3) Manual dan automatic key management untuk Internet Key Exchange (IKE) menentukan protocol Oakley Key dan ISAKMP 4) Algoritma untuk authentication dan enkripsi] Jasa keamanan yang diberikan oleh lapisan IP meliputi akses control, integritas, serta data asli authentication, yang melindung dari replay attack dan kerahasiaan. Modularitas yang didesain menjadi algoritma yang independent dengan algoritma yang berbeda tanpa mempengaruhi bagianbagian lain dari implementasi tersebut. AH dan ESP memberikan layanan sebagai berikut : • Akses Kontrol • Integrity • Authentication • Menolak pemakai paket kembali
3
• Enkripsi • Membatasi lalu lintas enkripsi IPsec Service Layanan
AH
ESP (Enkripsi)
Akses Kontrol
√
√
Integrity
√
√
Authentication
√
√
Anti-replay Attack Enkripsi
√
Pembatasan lalu lintas enkripsi
ESP (Enkripsi dan authentication) √
√
√
√
√
√
√
Pada tabel diatas dapat dilihat bahwa layanan yang diberikan oleh IPsec ada enam layanan dan setiap layanan membutuhkan protocol yang berbeda. Security Association (SA) Security Association merupakan hal yang paling mendasar dari IPsec. Prtocol AH dan ESP menggunakan Security Association (SA). SA merupakan koneksi antara pengirim dan penerima paket pada lalu lintas IP. AH dan ESP merupakan pelindung dari lalu lintas paket, sedangkan SA diperlukan untuk menjamin pertukaran paket tersebut. SA merupakan sesuatu yang unik yang dikenal dengan tiga parameter berikut : a. Security Parameters Index (SPI). SPI ditugaskan pada masing-masing SA yang dikenali melalui SPI. Penerima menggunakan SPI untuk melakukan identifikasi SA dari suatu paket. Pengirim menggunakan 4
IPsec untuk berkomunikasi dengan penerima, dan pengirim harus mengetahui nilai index dari SA tertentu, kemudian pengirim menempatkan nilai di SPI dari tiap datagram. Nilai kombinasi dari suatu alamat pengirim dapat diidentifikasi melalui SPI b. IP Destination Address. Alamat unicast hanya diizinkan oleh mekanisme manajemen IPsec Security association, yang merupakan alamat tujuan akhir SA, dan tujuan terakhir dari end-user dari suatu system jaringan seperti firewall atau router. c. Security Protocol identifier melalukan identifikasi apakah asosisasi adalah AH atau ESP security association. Firewall Firewall adalah alat yang digunakan untuk mencegah orang luar memperoleh akses ke suatu jaringan. Firewall pada umumnya merupakan suatu kombinasi dari perangkat lunak dan perangkat keras. Firewall biasanya menerapkan pengeluaran rencana atau perintah untuk menyortir alamat yang tak dikehendaki dan diinginkan. Firewall bekerja dengan mengamati paket IP yang melewatinya. Berdasarkan konfigurasi dari firewall, akses dapat diatur berdasarkan IP address, port, dan arah informasi.
Contoh sebuah Firewall
5
Untuk memahami bagaimana firewalls bekerja, pengesahan pertama yang paling sederhana adalah memeriksa prosedur penggunaan IP alamat sebagai suatu index. IP alamat merupakan index ientifikasi universal pada internet, baik alamat statis maupun alamat yang dinamis. 1). IP alamat statis adalah alamat yang permanent, yang merupakan alamat dari suatu mesin yang selalu dihubungkan ke Internet. Ada berbagai kelas dari alamat IP statis. Satu kelas dapat ditemukan dengan query. Kelas itu merupakan mesin tertinggi yang terhubung dengan jaringan, seperti domain dari server, Web server, dan root-level mesin, yang sudah terdaftar sebagai hostname pada database InterNIC. 2). IP address dinamis adalah alamat IP yang selalu berubah-ubah yang berfungsi sebagai koneksi ke jaringan. IP dinamis sering digunkan ISP untuk melakukan dial-up akses pada waktu dial up node, yang berfungsi menetapkan alamat IP yang selalu berbeda. Firewall juga dapat berupa perangkat lunak yang ditambahkan kepada sebuah server (baik UNIX maupun Windows NT), yang dikonfigurasi menjadi firewall. Dalam hal ini, sebetulnya perangkat komputer dengan prosesor Intel 80486 sudah cukup untuk menjadi firewall yang sederhana. Firewall biasanya melakukan dua fungsi; fungsi (IP) filtering dan fungsi proxy. Keduanya dapat dilakukan pada sebuah perangkat komputer (device) atau dilakukan secara terpisah. Beberapa perangkat lunak berbasis UNIX yang dapat digunakan untuk melakukan IP filtering antara lain: 6
• ipfwadm: merupakan standar dari sistem Linux yang dapat diaktifkan pada level kernel • ipchains: versi baru dari Linux kernel packet filtering yang diharapkan dapat menggantikan fungsi ipfwadm Fungsi proxy dapat dilakukan oleh berbagai software tergantung kepada jenis proxy yang dibutuhkan, misalnya web proxy, rlogin proxy, ftp proxy dan seterusnya. Di sisi client sering kala dibutuhkan software tertentu agar dapat menggunakan proxy server ini, seperti misalnya dengan menggunakan SOCKS. Beberapa perangkat lunak berbasis UNIX untuk proxy antara lain: • Socks: proxy server oleh NEC Network Systems Labs • Squid: web proxy server Karakteristik Firewall Karakteristik dari firewall memiliki tujuan sebagai berikut : 1) Segala lalu lintas jaringan, baik dari dalam maupun dari luar harus melalui firewall. Hal tersebut menghalangi semua akses dalam bentuk apapun kecuali melalui firewall 2) Kebijakan keamanan hanya memberikan izin untuk memasuki server atau jaringan computer yang memenuhi syarat tertentu. Tentu saja dalam hal ini bisa jadi berbagai jenis firewall bisa digunakan untuk suatu kebijakan 3) Firewall sendiri bebas terhadap penetrasi, yang menandakan bahwa suatu system dapat dipercaya dan menjamin keamanan dari system operasi.
7
Empat teknik umum dari firewall dapat mengendalikan akses dan mendukung suatu kebijakan keamanan. Fokus dari firewall pada servis control yang dibagi menjadi empat, diantaranya adalah : 1) Servis control menentukan tipe dari layanan internet yang bisa melakukan akses, baik secara inbound maupun outbound. Firewall akan memfilter lalu lintas IP addres dan TCP port number 2) Direction control menentukan arah layanan mana yang diminta terlebih dahulu dan mana yang diizinkan untuk melewati firewall 3) User control; control akses terhadap user yang bisa mengakses fireall untuk masuk ke suatu jaringan, khususnya untuk user yang ada di dalam firewall atau local user. Hal tersebut juga erlaku bagi user yang ada
di
dalam,
yang
pada
dasarnya
memerlukan
teknologi
authentication seperti IPsec 4) Behavior control: control servis khusus yang akan digunakan. Sebagai contoh, firewall akan melakukan filter terhadap e-mail yang disisipkan spam dan tidak memberinya izin untuk masuk ke suatu server
8
