Dasar keamanan jaringan
Security ?
Ketika jaringan kita terhubung dengan sebuah WAN atau terhubung dengan Internet, maka kita tidak hanya harus
mempertimbangkan masalah keamanan dari tiap-tiap komputer di dalam jaringan kita, tetapi juga harus memperhatikan keamanan jaringan secara keseluruhan. Kita tidak dapat menjamin bahwa semua orang di "luar sana" adalah
orang baik-baik, sehingga permasalahan keamanan jaringan ini merupakan hal yang harus mendapat perhatian yang
lebih dari seorang administrator jaringan. Kita juga sebaiknya tidak selalu berpikir bahwa keamanan jaringan bukan
hanya berhubungan dengan hacker atau cracker dari "luar sana" tetapi sering kali ancaman tersebut juga datang dari
sisi jaringan internal kita sendiri.
Kepedulian masalah security
Berikut diberikan beberapa contoh hal-hal yang harus diwaspadai dalam keamanan jaringan :
Password Attack
Deskripsi : usaha penerobosan suatu sistem jaringan dengan cara memperoleh password dari jaringan tersebut.
Pencegahannya : installah shadow password, suatu program enkripsi untuk melindungi password.
Malicious Code
Deskripsi : kode-kode pada suatu program yang "tersamar" yang tidak diketahui fungsi dan manfaatnya, tetapi
sewaktu-waktu dapat aktif dan beraksi membahayakan keadaan sistem.
Pencegahan : gunakan program-program seperti tripwire, TAMU, sXid atau dengan menggunakan
MD5Checksum.
Sniffer
Deskripsi : suatu usaha untuk menangkap setiap data yang lewat dari suatu jaringan.
Pencegahan : mengenkripsikan semua data yang akan kita lewatkan kedalam jaringan, misalnya menggunakan
ssh (secure shell) yang mempunyai fungsi yang sama dengan telnet tetapi semua data yang dilewatkan
kejaringan akan di enkrip dengan enkripsi 128 bit.
Scanner
Deskripsi : merupakan utilitas bantu untuk mendeteksi celah-celah keamanan.
Pencegahan : pada umumnya program-program scanner menggunakan paket SYN dan ACK untuk mendeteksi
celah-celah sekuriti yang ada pada suatu sistem, SYN dan ACK menggunakan ICMP sehingga untuk pencegahannya adalah memfilter paket-paket ICMP dari sistem.
Spoofing
Deskripsi : merupakan penyerangan melalui autentifikasi suatu sistem ke sitem lainnya dengan menggunakan
paket-paket tertentu.
Pencegahan : konfigurasikan sistem untuk menolak semua paket yang berasal dari localhost, memakai program
enkripsi untuk akses remote (mis: ssh), mematikan service yang berhubungan dengan "dunia luar" apabila
dirasakan kurang diperlukan.
Denial of Service Attack (DoS)
Deskripsi : DoS merupakan serangan yang dilancarkan melalui paket-paket tertentu, biasanya paket-paket sederhana dengan jumlah yang sangat banyak/besar dengan maksud mengacaukan keadaan jaringan target.
Pencegahan : dilakukan dengan mematikan alamat broadcast , dan memfilter paket-paket ICMP, UDP, serta
selalu melakukan update kernel yang digunakan oleh sistem.
Setting beberapa file
Beberapa file perlu dikonfigurasi untuk mengamankan jaringan.
/etc/host.allow. File ini digunakan untuk mengizinkan user dari luar untuk login ke dalam system
berdasarkan hostname dan IP addressnya.
/etc/host.deny. Berlawanan fungsi dengan host.allow, file ini berisi daftar hostname dan nomor IP
address yang dilarang melakukan remote login ke dalam system.
/proc/sys/net/ipv4/icmp_echo_ignore_all. File ini apabila bernilai "1" maka semua paket-
paket yang menggunakan port icmp akan di tolak.
/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts. Agak berbeda dengan file sebelumnya,
apabila bernilai "1" file ini hanya menolak semua paket-paket icmp yang berasal dari IP broadcasts. jadi tidak
seluruh paket icmp ditolak (deny)
/proc/sys/net/ipv4/conf/all/rp_filter. File ini digunakan untuk menghindari usaha spoofing
dari luar system. Set "1" untuk mengaktifkannya.
/proc/sys/net/ipv4/tcp_syncookies. SYN attack adalah sebuah serangan DoS yang akan meng-
habiskan semua resource cpu dari system. Set "1" untuk mengaktifkannya.
/etc/pam.d/su. Apabila system menggunakan PAM, dapat dikonfigurasikan untuk membatasi akses root
berdasarkan user. Tambahkan dua baris di bawah pada /etc/pam.d/su,agar hanya user dibawah group
wheel saja yang dapat login sebagai root.
auth
sufficient
/lib/security/pam_rootok.so debug
auth
required
/lib/security/pam_wheel.so group=wheel
/etc/lilo.conf. Untuk lebih mengamankan system tambahkan password dan statement restricted
pada lilo.conf agar tidak semua orang dengan mudah masuk ke dalam sistem dan mempunyai kekuasaan
root.
Perangkat bantu IDS (Intrussion Detection System)
Berikut adalah beberapa perangkat lunak bantu yang bisa digunakan untuk pendeteksi penyusup :
Portsentry. Sebuah program bantu yang cukup "ringan" dan tidak begitu sulit untuk mengkonfigurasikan dan
menggunakannya. Cocok untuk sistem jaringan kecil.
Snort. Program bantu ini berfungsi memeriksa data-data yang masuk dan melaporkan ke administrator apabila
ada "gerak-gerik" yang mencurigakan. Bekerja dengan prinsip program sniffer yaitu mengawasi paket-paket
yang melewati jaringan.
LIDS (Linux Intrussion Detection System) merupakan salah satu tools IDS yang sangat baik dalam melindungi system. Ketika lids aktif, maka bahkan root sekalipun mempunyai akses yang sangat terbatas sekali dalam
mengkonfigurasikan system.
Carnivore. Sebenarnya tools ini lebih bisa dianggap sebagai sniffer daripada IDS. Dikembangkan di amerika,
kini Carnivore oleh FBI dipasang di semua server yang berfungsi sebagai tulang-punggung (backbone) Internet
yang ada di Amerika. Sehingga secara tidak langsung Amerika telah menyadap semua data yang lewat dari
seluruh penjuru dunia. Perlu diketahui bahwa hampir semua server utama atau backbone yang ada di dunia ini
berlokasi di Amerika Serikat.
Dan masih banyak tools untuk IDS lainnya yang dapat digunakan untuk lebih meningkatkan keamanan sistem.
Informasi sekuriti di Internet
Beberapa informasi tentang security yang dapat diperoleh di Internet :
http://www.linuxsecurity.com
http://securityfocus.com
http://www.cert.org
http://atrittion.org
http://packetstorm.securify.com
http://www.karet.org
http://www.securitylinux.net
http://www.securityportal.com
0 komentar:
Posting Komentar