Internet dengan jaringan internal (Lihat Figure 4.1 on page 55).
Informasi yang keluar atau masuk harus melalui firewall ini.
Keamanan Sistem Informasi Berbasis Internet - Budi Rahardjo 55
Firewall
Tujuan utama dari firewall
adalah untuk menjaga (prevent) agar akses (ke dalam maupun ke luar) dari orang yang tidak berwenang (unauthorized access) tidak dapat dilakukan. Konfigurasi dari firewall
bergantung kepada kebijaksanaan (policy) dari organisasi yang
bersangkutan, yang dapat dibagi menjadi dua jenis:
• apa-apa yang tidak diperbolehkan secara eksplisit dianggap tidak
diperbolehkan (prohibitted)
• apa-apa yang tidak dilarang secara eksplisit dianggap
diperbolehkan (permitted)
Firewall bekerja dengan mengamati paket IP (Internet Protocol)
yang melewatinya. Berdasarkan konfigurasi dari firewall maka
akses dapat diatur berdasarkan IP address, port, dan arah informasi.
Detail dari konfigurasi bergantung kepada masing-masing firewall.
Firewall dapat berupa sebuah perangkat keras yang sudah
dilengkapi dengan perangkat lunak tertentu, sehingga pemakai
(administrator) tinggal melakukan konfigurasi dari firewall tersebut.
Firewall juga dapat berupa perangkat lunak yang ditambahkan
kepada sebuah server (baik UNIX maupun Windows NT), yang
dikonfigurasi menjadi firewall. Dalam hal ini, sebetulnya perangkat
komputer dengan prosesor Intel 80486 sudah cukup untuk menjadi
firewall yang sederhana.
Mengamankan Sistem Informasi
56 Keamanan Sistem Informasi Berbasis Internet - Budi Rahardjo
Firewall biasanya melakukan dua fungsi; fungsi (IP) filtering dan
fungsi proxy. Keduanya dapat dilakukan pada sebuah perangkat
komputer (device) atau dilakukan secara terpisah.
Beberapa perangkat lunak berbasis UNIX yang dapat digunakan
untuk melakukan IP filtering antara lain:
• ipfwadm: merupakan standar dari sistem Linux yang dapat
diaktifkan pada level kernel
• ipchains: versi baru dari Linux kernel packet filtering yang
diharapkan dapat menggantikan fungsi ipfwadm
Fungsi proxy dapat dilakukan oleh berbagai software tergantung
kepada jenis proxy yang dibutuhkan, misalnya web proxy, rlogin
proxy, ftp proxy dan seterusnya. Di sisi client sering kalai
dibutuhkan software tertentu agar dapat menggunakan proxy
server ini, seperti misalnya dengan menggunakan SOCKS. Beberapa
perangkat lunak berbasis UNIX untuk proxy antara lain:
• Socks: proxy server oleh NEC Network Systems Labs
• Squid: web proxy server
Informasi mengenai firewall secara lebih lengkap dapat dibaca pada
referensi [19, 24] atau untuk sistem Linux dapat dilakukan dengan
mengunjungi web site berikut:
Pemantau adanya serangan
Sistem pemantau (monitoring system) digunakan untuk mengetahui
adanya tamu tak diundang (intruder) atau adanya serangan (attack).
Nama lain dari sistem ini adalah “intruder detection system” (IDS).
Sistem ini dapat memberitahu administrator melalui e-mail maupun
melalui mekanisme lain seperti melalui pager.
Ada berbagai cara untuk memantau adanya intruder. Ada yang
sifatnya aktif dan pasif. IDS cara yang pasif misalnya dengan
memonitor logfile. Contoh software IDS antara lain:
Keamanan Sistem Informasi Berbasis Internet - Budi Rahardjo 57
Pemantau integritas sistem
• Autobuse, mendeteksi probing dengan memonitor logfile.
• Courtney, mendeteksi probing dengan memonitor packet yang
lalu lalang
• Shadow dari SANS
Pemantau integritas sistem
Pemantau integritas sistem dijalankan secara berkala untuk menguji
integratitas sistem. Salah satu contoh program yang umum
digunakan di sistem UNIX adalah program Tripwire. Program paket
Tripwire dapat digunakan untuk memantau adanya perubahan pada
berkas. Pada mulanya, tripwire dijalankan dan membuat database
mengenai berkas-berkas atau direktori yang ingin kita amati beserta
“signature” dari berkas tersebut. Signature berisi informasi mengenai
besarnya berkas, kapan dibuatnya, pemiliknya, hasil checksum atau
hash (misalnya dengan menggunakan program MD5), dan
sebagainya. Apabila ada perubahan pada berkas tersebut, maka
keluaran dari hash function akan berbeda dengan yang ada di
database sehingga ketahuan adanya perubahan.
Audit: Mengamati Berkas Log
Segala (sebagian besar) kegiatan penggunaan sistem dapat dicatat
dalam berkas yang biasanya disebut “logfile” atau “log” saja. Berkas
log ini sangat berguna untuk mengamati penyimpangan yang
terjadi. Kegagalan untuk masuk ke sistem (login), misalnya,
tersimpan di dalam berkas log. Untuk itu para administrator
diwajibkan untuk rajin memelihara dan menganalisa berkas log
yang dimilikinya.
Letak dan isi dari berkas log bergantung kepada operating system
yang digunakan. Di sistem berbasis UNIX, biasanya berkas ini
berada di direktori /var/adm atau /var/log. Contoh berkas log
Mengamankan Sistem Informasi
58 Keamanan Sistem Informasi Berbasis Internet - Budi Rahardjo
yang ada di sistem Linux Debian dapat dilihat pada Table 3 on
page 58.
Audit: Mengamati Berkas Log
Baris di atas menunjukkan kegagalan untuk masuk ke sistem
melalui fasilitas FTP (baris pertama) dan telnet (baris kedua). Pada
baris kedua terlihat bahwa user “budi” (atau yang mengaku sebagai
user “budi”) mencoba masuk melalui login dan gagal memberikan
password yang valid. Hal ini bisa terjadi karena ketidak sengajaan,
salah memasukkan password, atau bisa juga karena sengaja ingin
mencoba-coba masuk dengan userid “budi” dengan password cobacoba.
Cara coba-coba ini sering dilakukan dengan mengamati nama
user yang berada di sistem tersebut (misalnya dengan menggunakan
program finger untuk mengetahui keberadaan sebuah user).
Untuk itu administrator cepat-cepat menutup servis imap tersebut,
mengambil dan memasang versi baru dari imapd yang tidak
memiliki lubang keamanan tersebut.
Backup secara rutin
Seringkali tamu tak diundang (intruder) masuk ke dalam sistem dan
merusak sistem dengan menghapus berkas-berkas yang dapat
ditemui. Jika intruder ini berhasil menjebol sistem dan masuk
sebagai super user (administrator), maka ada kemungkinan dia
dapat menghapus seluruh berkas. Untuk itu, adanya backup yang
dilakukan secara rutin merupakan sebuah hal yang esensial.
Bayangkan apabila yang dihapus oleh tamu ini adalah berkas
penelitian, tugas akhir, skripsi, yang telah dikerjakan bertahuntahun.
Untuk sistem yang sangat esensial, secara berkala perlu dibuat
backup yang letaknya berjauhan secara fisik. Hal ini dilakukan
untuk menghindari hilangnya data akibat bencana seperti
kebakaran, banjir, dan lain sebagainya. Apabila data-data dibackup
akan tetapi diletakkan pada lokasi yang sama, kemungkinan data
akan hilang jika tempat yang bersangkutan mengalami bencana
seperti kebakaran.
Penggunaan Enkripsi untuk meningkatkan keamanan
Penggunaan Enkripsi untuk
meningkatkan keamanan
Salah satau mekanisme untuk meningkatkan keamanan adalah
dengan menggunakan teknologi enkripsi. Data-data yang anda
kirimkan diubah sedemikian rupa sehingga tidak mudah disadap.
Banyak servis di Internet yang masih menggunakan “plain text”
untuk authentication, seperti penggunaan pasangan userid dan
password. Informasi ini dapat dilihat dengan mudah oleh program
penyadap (sniffer).
Contoh servis yang menggunakan plain text antara lain:
• akses jarak jauh dengan menggunakan telnet dan rlogin
• transfer file dengan menggunakan FTP
• akses email melalui POP3 dan IMAP4
• pengiriman email melalui SMTP
• akses web melalui HTTP
Penggunaan enkripsi untuk remote akses (misalnya melalui ssh
sebagai penggani telnet atau rlogin) akan dibahas di bagian
tersendiri.
Tidak ada komentar:
Posting Komentar