 |
| Foto : canva.com |
Pengamanan sistem dalam jaringan dapat dikategorikan menjadi dua jenis, yaitu pencegahan (preventif) dan perbaikan (recovery). Usaha pencegahan dilakukan supaya sistem informasi tidak memiliki celah keamanan.
Sementara itu usaha-usaha untuk memperbaiki dilakukan setelah celah keamanan berhasil dieksploitasi. Pengamanan sistem informasi dapat dilakukan melalui beberapa layer yang berbeda. Misalnya pada layer transport menggunakan Secure Socket Layer (SSL). Metode ini umum digunakan untuk web server.
Secara fisik, sistem Anda juga dapat diamankan dengan menggunakan firewall yang memisahkan sistem Anda dengan internet. Penggunaan teknik enkripsi dapat dilakukan pada tingkat aplikasi sehingga data-data Anda tidak dapat dibaca oleh orang yang tidak berhak.
Berikut tahapan-tahapan dalam mendesain dan membangun sistem keamanan jaringan.
Keamanan host server
Seorang administrator perlu mengamankan host server jaringan karena semua aktivitas jaringan berpusat pada server, sehingga jika server diserang oleh pihak yang berwengan, maka dapat mengganggu aktivitas di dalam jaringan tersebut.
Hal tersebut dapat dilakukan dengan menambahkan beberapa metode keamanan dalam jaringan, misalnya menambahkan firewall, menambahkan administrasi akun pada jaringan, dan sebagainya.
Administrasi akun
Administrasi server adalah hal yang harus dilakukan oleh administrator jaringan untuk mengamankan sebuah server dalam jaringan. Jaringan computer biasanya memiliki banyak client (user). Administrator jaringan memiliki tanggung jawab besar pada keamanan data dalam jaringan dengan menentukan hak akses para user dalam jaringan ataupun menambahkan metode keamanan lainnya.
Seoran user bisa saja mengacaukan pertahanan server walaupun keamanan server begitu hebat dan tangguh. Dalam hal keamanan, kita tidak boleh percaya dengan user manapun walaupun itu adalah teman sendiri, karena suatu saat si user ini bisa membobol keamanan jaringan.
Sebagai contoh seorang administrator berteman dengan si A yang merupakan user dalam sistem. Administrator tersebut adalah super user atau yang memegang hak akses sebagai root. Karena administrator tersebut sangat percaya dengan si A, maka dia memberikan password root kepada si A.
Suatu ketika administrator tersebut menyakiti perasaan si A karena satu hal. Karena si A sakit hati, maka si A ingin membalasnya dengan cara mengacaukan server yang ditangani oleh administrator itu. Padahal keamanan jaringan tersebut terkenal sangat kuat dan sekarang hancur karena hal yang sepele. Nah, ini adalah gambaran agar kita tidak percaya kepada orang yang sangat kita percaya sekali pun.
Oleh karena itu, sebaiknya super-user dan grup administrator tidak diberikan kepada sembarang orang. Masalah lainnya yang umum adalah masalah user nonadministratotr. Untuk user yang sudah tidak digunakan lagi sebaiknya tidak dihapus untuk memperkecil kemungkinan penyerang yang masuk ke dalam sistem dan untuk memudahkan mengontrol user yang masih aktif.
Mengatur akses (access control)
Salah satu cara yang umum dilakukan untuk mengamankan informasi adalah dengan mengatur akses ke informasi melalui mekanisme autentikasi dan access control. Implementasi dari mekanisme ini antara lain dengan menggunakan username dan password. Informasi yang diberikan ini dibandingkan dengan username dan password yang berada di sistem.
Apabila keduanya valid, pemakai yang bersangkutan diperbolehkan menggunakan sistem. Apabila ada yang salah, pemakai tidak dapat menggunakan sistem. Informasi tentang kesalahan ini biasanya dicatat dalam berkas log. Besarnya informasi yang dicatat bergantung kepada konfigurasi dari sitem setempat.
Misalnya ada yang menuliskan informasi apabila pemakai memasukkan username dan password yang salah sebanyak tiga kali. Ada juga yang langsung menuliskan informasi ke dalam berkas log meskipun baru satu kali salah. Informasi tentang kejadian juga dicatat. Selain itu, asal hubungan (connection) juga dicatat sehingga administrator dapat memeriksa keabsahan hubungan.
Administrator harus memeriksa log file sesering mungkin untuk melihat setiap kegiatan-kegiatan yang terjadi. Jika ditemukan kegiatan-kegiatan yang mencurigakan, misalnya upaya logi berulang-ulang, maka bisa jadi hal tersebut adalah upaya penyerang untuk masuk ke dalam sistem. Beberapa program dapat memonitor jaringan dan mendeteksi jika ada hal-hal yang mencurigakan.
Administrasi password sangat dibutuhkan dalam jaringan computer untuk menghindari adanya celah keamanan yang memungkinkan untuk dibobol oleh orang yang tidak bertanggung jawab. Masalah yang sering ditemukan adalah user-user di dalam jaringan dapat mengakses computer beserta data-data di dalamnya tanpa perlu melakukan login dengan username dan password.
Hal tersebut sangatlah berbahaya karena setiap user baik yang memiliki hak akses ke dalam jaringan ataupun tidak memilikinya dapat mengakses jaringan tersebut, sehingga penyerang (hacker) bisa memanfaatkan kelemahan tersebut untuk mengacaukan sistem ataupun keamanan data yang ada di dalam jaringan tersebut.
Sebaiknya administrator mengatur login user ke dalam sebuah jaringan menggunakan password untuk meminimalisasi akses pengguna yang tidak berhak. Password sangatlah penting, oleh sebab itu pastikan password pada sistem Anda tidak boleh diakses oleh user lain. Alangkah lebih baik jika password super-user diganti secara berkala. Sebagai contoh: minggu ini menggunakan password “p45c4l”, kemudian minggu depan sudah harus ganti dengan password lain, missal: “4k3upm4n”. Hal ini sangat penting, untuk menghindari pengaksesan oleh user lain yang mengetahui password lama.
Setelah proses autentikasi, pemakai diberikan akses sesuai dengan level yang dimilikinya melalui sebuah access control. Access control yang dimaksudkan adalah akses pada direktori maupun file penting yang perlu dijaga agar tidak dapat diakses oleh user lain. Access control ini biasanya dilakukan dengan mengelompokkan pemakai dalam grup atau membuat tingkatan akses terhadap data dalam jaringan sesuai dengan jabatan dalam perusahaan /organisasi.
Ada grup yang berstatus pemakai biasa, ada tamu, da nada juga administrator atau super-user yang memiliki kemampuan lebih dari grup lainnya. Pengelompokan ini disesuaikan dengan kebutuhan dari penggunaan sistem Anda. Di lingkungan kampus mungkin ada kelompok mahasiswa, staf, karyawan, dan administrator. Sementara itu di lingkungan bisnis mungkin ada kelompok finace, engineer, marketing, dan seterusnya.
Menutup servis/layanan yang tidak digunakan
Server memiliki banyak port yang terbuka ketka suatu layanan dibuka. Jika sistem menggunakan layanan web server dan mail server, maka sebaiknya cukup kedua layanan ini saja yang dibuka. Makin banyak port yang terbuka, maka makin besar kemungkinan server diserang. Pada umumnya penyerang akan melakukan scanning sebelum melakukan penyerangan. Hal penting lainnya adalah memastikan bahwa programmer server yang dijalankan benar-benar aman.
Dengan kata lain, sebaiknya administrator harus rajin-rajin memperbarui program server. Ini dikarenakan program server terkadang memiliki bug yang suatu saat bisa dieksploitasi oleh penyerang untuk memperoleh akses. Seharusnya selalu menggunakan aplikasi dalam server yang memiliki fasilitas enkripsi untuk transfer data. Misalnya SSH (secure shell) untuk telnet, Apache, serta SSL.
Sering kali pada suatu sistem (perangkat keras dan/atau perangkat lunak) terdapat servis yang dijalankan sebagai default. Sebagai contoh, pada sistem UNIX servis-servis yang sering dipasang dari vendornya antara lain finger, telnet, FTP, SMTP, POP, ECHO, dan seterusnya. Servis tersebut tidak semuanya dibutuhkan. Untuk mengamankan sistem, servis yang tidak diperlukan di server (komputer) tersebut sebaiknya dimatikan. Sudah banyak kasus yang menunjukkan penyalahgunaan dari servis tersebut, atau ada lubang keamanan dalam servis tersebut, akan tetapi administrator tidak menyadari bahwa servis tersebut dijalankan di komputernya.
Servis-servis pada sistem UNIX ada yang dijalankan dari inetd da nada yang dijalankan sebagai daemon. Untuk mematikan servis yang dijalankan dengan menggunakan fasilitas inetd, periksa berkas /etc/inetd.conf, matikan servis yang tidak digunakan (dengan memberikan tAnda komentar #) dan memberitahu inetd untuk membaca berkas konfigurasinya (dengan memberikan sinya HUP kepada PID dari proses inetd).
Memasang proteksi
Untuk lebih meningkatkan keamanan sistem informasi, proteksi dapat ditambahkan. Proteksi ini dapat berupa filter (secara umum) dan yang lebih spesifik adalah firewall. Firewall dapat digunakan untuk memfilter email, informasi, akses, atau bahkan dalam level paket. Sebagai contoh, pada sistem UNIX ada paket program tcpwrapper yang dapat digunakan untuk membatasi akses kepada servis atau aplikasi tertentu.
Misalnya, servis untuk telnet dapat dibatasi untuk sistem yang memiliki nomor IP tertentu atau memiliki domain tertentu. Sementara firewall dapat digunakan untuk melakukan filter secara umum. Untuk mengetahui apakah server Anda menggunakan tcpwwrapper atau tidak, periksa isi berkas /etc/inetd.conf. Biasanya tcpwrapper dirakit menjadi “tcpd”.
Apabila servis di server Anda (misalnya telnet atau FTP) dijalankan melalui tcpd, maka server Anda mengguanakan tcpwrapper. Biasanya, konfigurasi tcpwrapper (tcpd) diletakkan pada berkas /etc/hosts.allow dan /etc/hosts.deny.