Senin, 23 Juni 2014
Rabu, 11 Juni 2014
QOS
QoS ( Quality Of Service )
1. Definisi QoS ( Quality Of Service )
Dari segi networking, QoS mengacu kepada kemampuan memberikan pelayanan berbeda kepada lalulintas jaringan dengan kelas-kelas yang berbeda. Tujuan akhir dari QoS adalah memberikan network service yang lebih baik dan terencana dengan dedicated bandwith, jitter dan latency yang terkontrol dan meningkatkan loss karakteristik. QoS adalah kemampuan dalam menjamin pengiriman arus data penting atau dengan kata lain kumpulan dari berbagai kriteria performansi yang menentukan tingkat kepuasan penggunaan suatu layanan. QoS menawarkan kemampuan untuk mendefinisikan atribut-atribut layanan yang disediakan, baik secara kualitatif maupun kuantitatif .
Sebagai contoh, laju bit yang diperlukan, delay, jitter, probabilitas packet dropping atau bit error rate ( BER ) dapat dijamin. Jaminan QoS penting jika kapasitas jaringan tidak cukup, terutama untuk aplikasi streaming multimedia secara real-time seperti voice over IP, game online dan IP-TV, karena sering kali ini tetap memerlukan bit rate dan tidak diperbolehkan adanya delay, dan dalam jaringan di mana kapasitas resource yang terbatas, misalnya dalam komunikasi data selular. Dalam ketiadaan jaringan, mekanisme QoS tidak diperlukan. Sebuah jaringan atau protokol yang mendukung QoS dapat menyepakati sebuah kontrak traffic dengan software aplikasi dan kapasitas cadangan di node jaringan, misalnya saat sesi fase pembentukan.
2. Pentingnya QoS
Ada beberapa alasan mengapa kita memerlukan QoS, yaitu:
1. Untuk memberikan prioritas untuk aplikasi-aplikasi yang kritis pada jaringan.
2. Untuk memaksimalkan penggunaan investasi jaringan yang sudah
ada.
3. Untuk meningkatkan performansi untuk aplikasi-aplikasi yang
sensitif terhadap delay, seperti Voice dan Video.
4. Untuk merespon terhadap adanya perubahan-perubahan pada aliran
traffic di jaringan.
Tingkatan QoS
Terdapat 3 tingkat QoS yang umum dipakai, yaitu best-effort service, integrated service dan differentiated service. Ketiga level tersebut akan diuraikan lebih detail dibawah ini.
Best-Effort Service
Best-effort service digunakan untuk melakukan semua usaha agar dapat mengirimkan sebuah paket ke suatu tujuan. Penggunakan best-effort service tidak akan memberikan jaminan agar paket dapat sampai ke tujuan yang dikehendaki. Sebuah aplikasi dapat mengirimkan data dengan besar yang bebas kapan saja tanpa harus meminta ijin atau mengirimkan pemberitahuan ke jaringan. Beberapa aplikasi dapat menggunakan best-effort service, sebagai contohnya FTP dan HTTP yang dapat mendukung best-effort service tanpa mengalami permasalahan. Untuk aplikasi-aplikasi yang sensitif terhadap network delay, fluktuasi bandwidth, dan perubahan kondisi jaringan, penerapan best-effort service bukanlah suatu tindakan yang bijaksana. Sebagai contohnya aplikasi telephony pada jaringan yang membutuhkan besar bandwidth yang tetap, 0agar dapat berfungsi dengan baik; dalam hal ini penerapan best-effort akan mengakibatkan panggilan telephone gagal atau terputus.
Integrated Service
Model integrated service menyediakan aplikasi dengan tingkat jaminan layanan melalui negosiasi parameter-parameter jaringan secara end-to-end. Aplikasi-aplikasi akan meminta tingkat layanan yang dibutuhkan untuk dapat beroperasi dan bergantung pada mekanisme QoS untuk menyediakan sumber daya jaringan yang dimulai sejak permulaan transmisi dari aplikasi-aplikasi tersebut. Aplikasi tidak akan mengirimkan trafik, sebelum menerima tanda bahwa jaringan mampu menerima beban yang akan dikirimkan aplikasi dan juga mampu menyediakan QoS yang diminta secara end-to-end. Untuk itulah suatu jaringan akan melakukan suatu proses yang disebut admission control. Admission control adalah suatu mekanisme yang mencegah jaringan mengalami over-loaded. Jika QoS yang diminta tidak dapat disediakan, maka jaringan tidak akan mengirimkan tanda ke aplikasi agar dapat memulai untuk mengirimkan data. Jika aplikasi telah memulai pengiriman data, maka sumber daya pada jaringan yang sudah dipesan aplikasi tersebut akan terus dikelola secara end-to-end sampai aplikasi tersebut selesai.
Differentiated Service
Model terakhir dari QoS adalah model differentiated service. Differentiated service menyediakan suatu set perangkat klasifikasi dan mekanisme antrian terhadap protokol-protokol atau aplikasi-aplikasi dengan prioritas tertentu di atas jaringan yang berbeda. Differentiated service bergantung pada kemampuan edge router untuk memberikan klasifikasi dari paket-paket yang berbeda tipenya yang melewati jaringan. Trafik jaringan dapat diklasifikasikan berdasarkan alamat jaringan, protocol dan port, ingress interface, atau klasifikasi lainnya selama masih didukung oleh standard access list atau extended access list.
3. Parameter-Parameter Quality of Service (QoS)
Pada jaringan packet switched, kualitas layanan dipengaruhi oleh berbagai faktor, yang dapat dibagi menjadi faktor "manusia" dan faktor "teknis". Faktor-faktor
manusia meliputi: stabilitas layanan, ketersediaan layanan, delay, dan informasi
Pengguna. Faktor-faktor teknis meliputi: realibility, scalability, effectiveness,
maintainability, Grade of Service (GOS), dll. Terdapat banyak hal bisa terjadi pada
paket ketika mereka melakukan perjalanan dari asal ke tujuan, yang mengakibatkan
masalah-masalah berikut dilihat dari sudut pandang pengirim dan penerima,atau yang sering disebut sebagai parameter-parameter QoS.
Kualitas layanan atau yang disebut dengan Quality Of Service (QoS) pada komunikasi Audio dan Video merupakan bagian terpenting dari sistem multimedia terdistribusi, karena dengan adanya parameter kualitas layanan tersebut, kita dapat menentukan nilai yang pantas dari suatu kualitas layanan yang standar tapi hal tersebut tidaklah mutlak selama interpresitasi manusia yang melihatnya, terlihat baik. Parameter yang ditekankan pada kualitas layanan dari komunikasi audio dan video adalah sebagai berikut diantaranya :
A. Frame Loss
Frame Loss adalah parameter dari sistem multimedia streming yang dapat diukur, yaitu dengan cara mencari nilai selisih dari packet frame yang dikirim oleh transmitter dikurang dengan packet frame yang diterima oleh receiver . Sehingga hasil dari selisih tersebut didapatkan nilai frame loss.
Frame loss kemungkinan terjadi pada jaringan akibat dari kapasitas buffer yang terbatas dari node yang dilewati, serta bandwith yang rendah pada saat data multimedia tersebut melewati jaringan. Sehingga data tersebut mengalami drop tail dan discarding.
Floss = FTx - FRx
Dimana
Floss = Frame loss
FTx = Frame yang dikirim oleh transmitter
FRx = Frame yang diterima oleh receiver
B. Error Rate
Pada error rate terdapat dua jenis kesalahan (error), yaitu :
1. Bit error adalah normal dari suatu komunikasi audio dan video dikarenakan akibat ganguan dan interferensi. Hal tersebut sangat rendah di dalam jaringan modem. Kehilangan paket data ( packet loss ) sebagian besar disebabkan oleh network switches yang memiliki kekurangan kapasitas buffer yang terbatas.
2. Packet Loss, merupakan suatu parameter yang menggambarkan suatu kondisi yang menunjukkan jumlah total paket yang hilang, dapat terjadi karena collision dan congestion pada jaringan dan hal ini berpengaruh pada semua aplikasi karena retransmisi akan mengurangi efisiensi jaringan secara keseluruhan meskipun jumlah bandwidth cukup tersedia untuk aplikasi-aplikasi tersebut. Umumnya perangkat jaringan memiliki buffer untuk menampung data yang diterima. Jika terjadi kongesti yang cukup lama, buffer akan penuh, dan data baru tidak akan diterima.
Beberapa penyebab terjadinya paket loss yaitu:
Congestion, disebabkan terjadinya antrian yang berlebihan dalam jaringan
Node yang bekerja melebihi kapasitas buffer
Memory yang terbatas pada node
Policing atau kontrol terhadap jaringan untuk memastikan bahwa jumlah trafik yang mengalir sesuai dengan besarnya bandwidth. Jika besarnya trafik yang mengalir didalam jaringan melebihi dari kapasitas bandwidth yang ada maka policing control akan membuang kelebihan trafik yang ada.
C. Troughput
Throughput, yaitu kecepatan (rate) transfer data efektif, yang diukur dalam bps. Troughput merupakan jumlah total kedatangan paket yang sukses yang diamati pada destination selama interval waktu tertentu dibagi oleh durasi interval waktu tersebut.
D. Kualitas Video
Parameter Kualitas suatu video tidak dapat ditetapkan secara pasti, dikarenakan presepsi antar user berbeda-beda .
Kualitas video banyak dipengaruhi oleh beberapa faktor antara lain:
· Image Quality
· frame rate
· Brightness
· frame loss dan
· warna.
Terkadang suatu variable frame rate yang sangat bagus 30 frame/s mendapatkan image quality yang tidak baik. Hal ini diperlihatkan pada kualitas video dengan encode H.261 dan H.263, Dimana dilakukan perbandingan antara frane rate dan image quality. Pada gambar terlihat bahwa kualitas frame akan semakin baik tetapi frame rate pada video tidak kurang baik, sebaliknya jika frame rate sangat baik maka kualitas gambar video semakin buruk, sehingga terdapat daerah yang dimana nilai kedua-duanya seimbang atau yang disebut dengan “ sweet spot “.
Penyebab QoS yang buruk
Terdapat beberapa fakor pengganggu dalam jaringan yang menyebabkan turunnya nilai QoS, yaitu :
Redaman, yaitu jatuhnya kuat sinyal karena pertambahan jarak pada media transmisi. Setiap media transmisi memiliki redaman yang berbeda-beda, tergantung dari bahan yang digunakan. Untuk mengatasi hal ini, perlu digunakan repeater sebagai penguat sinyal. Pada daerah frekuensi tinggi biasanya mengalami redaman lebih tinggi dibandingkan pada daerah frekuensi rendah.
Distorsi, yaitu fenomena yang disebabkan bervariasinya kecepatan propagasi karena perbedaan bandwidth. Untuk itu, dalam komunikasi dibutuhkan bandwidth transmisi yang memadai dalam mengakomodasi adanya spektrum sinyal. Dianjurkan digunakan pemakaian bandwidth yang seragam, sehingga distorsi dapat dikurangi.
REFRENSI:
http://dewa18.wordpress.com/2012/04/02/quality-of-service-qos/
http://javaneze2land.wordpress.com/2010/11/29/quality-of-service/
http://telecommunicationforall.blogspot.com/2008/05/quality-service.html
Sabtu, 08 Maret 2014
ARTIKEL
SISTEM
KEAMANAN JARINGAN KOMPUTER DAN KONSEP VPN
Pengertian Keamanan Komputer dan Konsep Keamanan Jaringan
Keamanan jaringan
komputer sebagai bagian dari sebuah sistem informasi adalah sangat penting
untuk menjaga validitas dan integritas data serta menjamin keterrsediaan
layanan begi penggunanya. Sistem harus dilindungi dari segala macam serangan
dan usaha-usaha penyusupan atau pemindaian oleh pihak yang tidak berhak.
Komputer yang terhubung
ke jaringan mengalami ancaman keamanan yang lebih besar daripada host yang
tidak terhubung kemana-mana. Dengan mengendalikan network security, resiko
tersebut dapat dikurangi. Namun network security biasanya bertentangan dengan
network acces, karena bila network acces semakin mudah, network security makin
rawan. Bila network security makin baik, network acces semakin tidak nyaman.
Suatu jaringan didesain sebagai komunikasi data highway dengan tujuan
meningkatkan akses ke sistem komputer, sementara keamanan didesain untuk
mengontrol akses. Penyediaan network security adalah sebagai aksi penyeimbang
antara open acces dengan security.
Keamanan jaringan sendiri sering dipandang sebagai hasil dari beberapa faktor. Faktor ini bervariasi tergantung pada bahan dasar, tetapi secara normal setidaknya beberapa hal dibawah ini diikutsertakan :
• Confidentiality (kerahasiaan)
• Integrity (integritas)
• Availability (ketersediaan)
Keamanan klasik penting ini tidak cukup untuk mencakup semua aspek dari keamanan jaringan komputer pada masa sekarang. Hal-hal tersebut dapat dikombinasikan lagi oleh beberapa hal penting lainnya yang dapat membuat keamanan jaringan komputer dapat ditingkatkan lagi dengan mengikut sertakan hal dibawah ini:
• Nonrepudiation
• Authenticity
• Possession
• Utility
Confidentiality (kerahasiaan)
Ada beberapa jenis informasi yang tersedia didalam sebuah jaringan komputer. Setiap data yang berbeda pasti mempunyai grup pengguna yang berbeda pula dan data dapat dikelompokkan sehingga beberapa pembatasan kepada pengunaan data harus ditentukan. Pada umumnya data yang terdapat didalam suatu perusahaan bersifat rahasia dan tidak boleh diketahui oleh pihak ketiga yang bertujuan untuk menjaga rahasia perusahaan dan strategi perusahaan [2]. Backdoor, sebagai contoh, melanggar kebijakan perusahaan dikarenakan menyediakan akses yang tidak diinginkan kedalam jaringan komputer perusahaan. Kerahasiaan dapat ditingkatkan dan didalam beberapa kasus pengengkripsian data atau menggunakan VPN. Topik ini tidak akan, tetapi bagaimanapun juga, akan disertakan dalam tulisan ini. Kontrol akses adalah cara yang lazim digunakan untuk membatasi akses kedalam sebuah jaringan komputer. Sebuah cara yang mudah tetapi mampu untuk membatasi akses adalah dengan menggunakan kombinasi dari username-dan-password untuk proses otentifikasi pengguna dan memberikan akses kepada pengguna (user) yang telah dikenali. Didalam beberapa lingkungan kerja keamanan jaringan komputer, ini dibahas dan dipisahkan dalam konteks otentifikasi.
Integrity (integritas)
Jaringan komputer yang dapat diandalkan juga berdasar pada fakta bahwa data yang tersedia apa yang sudah seharusnya. Jaringan komputer mau tidak mau harus terlindungi dari serangan (attacks) yang dapat merubah dataselama dalam proses persinggahan (transmit). Man-in-the-Middle merupakan jenis serangan yang dapat merubah integritas dari sebuah data yang mana penyerang (attacker) dapat membajak “session” atau memanipulasi data yang terkirim. Didalam jaringan komputer yang aman, partisipan dari sebuah “transaksi” data harus yakin bahwa orang yang terlibat dalam komunikasi data dapat diandalkan dan dapat dipercaya. Keamanan dari sebuah komunikasi data sangat diperlukan pada sebuah tingkatan yang dipastikan data tidak berubah selama proses pengiriman dan penerimaan pada saat komunikasi data. Ini tidak harus selalu berarti bahwa “traffic” perlu di enkripsi, tapi juga tidak tertutup kemungkinan serangan “Man-in-the-Middle” dapat terjadi.
Availability (ketersediaan).
Ketersediaan data atau layanan dapat dengan mudah dipantau oleh pengguna dari sebuah layanan. Yang dimana ketidaktersediaan dari sebuah layanan (service) dapat menjadi sebuah halangan untuk maju bagi sebuah perusahaan dan bahkan dapat berdampak lebih buruk lagi, yaitu penghentian proses produksi. Sehingga untuk semua aktifitas jaringan, ketersediaan data sangat penting untuk sebuah system agar dapat terus berjalan dengan benar.
Nonrepudiation
Setiap tindakan yang dilakukan dalam sebuah system yang aman telah diawasi (logged), ini dapat berarti penggunaan alat (tool) untuk melakukan pengecekan system berfungsi sebagaimana seharusnya. “Log” juga tidak dapat dipisahkan dari bagian keamanan “system” yang dimana bila terjadi sebuah penyusupan atau serangan lain akan sangat membantu proses investigasi. “Log” dan catatan waktu, sebagai contoh, bagian penting dari bukti di pengadilan jika cracker tertangkap dan diadili. Untuk alasan ini maka “nonrepudiation” dianggap sebagai sebuah faktor penting didalam keamanan jaringan komputer yang berkompeten. Itu telah mendefinisikan “nonrepudition” sebagai berikut :
• Kemampuan untuk mencegah seorang pengirim untuk menyangkal kemudian bahwa dia telah mengirim pesan atau melakukan sebuah tindakan.
• Proteksi dari penyangkalan oleh satu satu dari entitas yang terlibat didalam sebuah komunikasi yang turut serta secara keseluruhan atau sebagian dari komunikasi yang terjadi.
Jaringan komputer dan system data yang lain dibangun dari beberapa komponen yang berbeda yang dimana masing-masing mempunyai karakteristik spesial untuk keamanan. Sebuah jaringan komputer yang aman perlu masalah keamanan yang harus diperhatikan disemua sektor, yang mana rantai keamanan yang komplit sangat lemah, selemah titik terlemahnya. Pengguna (user) merupakan bagian penting dari sebuah rantai. “Social engineering” merupakan cara yang efisien untuk mencari celah (vulnerabilities) pada suatu system dan kebanyakan orang menggunakan “password” yang mudah ditebak. Ini juga berarti meninggalkan “workstation” tidak dalam keadaan terkunci pada saat makan siang atau yang lainnya. Sistem operasi (operating system : Windows, Unix, Linux, MacOS) terdapat dimana-mana, komputer mempunyai sistem operasi yang berbeda-beda antara satu dengan yang lainnya (tergantung selera), dan bahkan router juga dijalankan oleh oleh sistem operasi. Setiap sistem operasi mempunyai gaya dan karakteristik sendiri yang membedakannya dengan sistem operasi yang lainnya, dan beberapa bahkan digunakan untuk kepentingan “server”. Beberapa sistem operasi juga mempunyai masalah yang dapat digunakan sehingga menyebabkan sistem operasi tersebut berhenti merespon pengguna. Layanan pada “server” memainkan peranan penting dalam keamanan. Developer perangkat lunak mengumumkan celah keamanan pada perangkat lunak dengan cepat. Alasan yang digunakan adalah celah ini kemungkinan akan digunakan oleh pihak yang tidak bertanggung jawab untuk menyusupi sebuah system ataupun setiap pengguna komputer. Pengelola atau pengguna server dan workstation harus melakukan pengecekan untuk “update” masalah keamanan secara regular. Perangkat keras mungkin sedikit susah dipahami sebagai sesuatu yang mempunyai potensi untuk mempunyai masalah keamanan. Yang sesungguhnya adalah sangat berbeda dengan apa yang kita pikirkan, apabila perangkat keras terletak di sebuah lokasi yang tidak aman maka terdapat resiko untuk pemasangan perangkat keras yang tidak diinginkan kedalam jaringan komputer dan ini dapat membuat penyusupan menjadi mudah. Juga, bila sebuah perangkat keras jaringan computer dirubah setting-nya ke konfigurasi default oleh orang luar. Pemilihan jenis metode transmisi juga mempunyai peranan penting didalam masalah keamanan. Setiap informasi rahasia tidak boleh di transmisikan secara wireless, setidaknya tidak tanpa menggunakan enkripsi yang bagus, sehingga setiap orang dapat menyadap komunikasi “wireless” yang terkirim. Sangat dianjurkan untuk menggunakan firewall untuk membatasi akses kedalam jaringan komputer ke tingkat yang dibutuhkan. Firewall juga dapat menjadi titik terlemah, yang mana dapat membuat perasaan aman. Firewall harus mengizinkan arus data kedalam sebuah jaringan komputer jika terdapat juga arus data keluar dari jaringan komputer tersebut melalui firewall dan ini dapat menjadi titik terlemah. Fakta penting lainnya bahwa tidak semua serangan dilancarkan melalui firewall.
Authenticity
Sistem harus memastikan bahwa pihak, obyek, dan informasi yang berkomunikasi adalah riil dan bukan palsu. Adanya Tools membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermarking(untuk menjaga“intellectual property”, yaitu dengan meni dokumen atau hasil karya dengan “tangan” pembuat ) dan digital signature.
Macam-macam metode username/password:
• Tidak ada username/password
Pada sistem ini tidak diperlukan username atau password untuk mengakses suatu jaringan. Pilihan ini merupakan pilihan yang palin tidak aman.
• Statis username/password
Pada metode ini username/password tidak berubah sampai diganti oleh administrator atau user. Rawan terkena playbacks attacka, eavesdropping, theft, dan password cracking program.
• Expired username/password
Pada metode ini username/password akan tidak berlaku sampai batas waktu tertentu (30-60 hari) setelah itu harus direset, biasanya oleh user. Rawan terkena playback attacks, eavesdropping, theft, dan password cracking program tetapi dengan tingkat kerawanan yang lebih rendah dibanding dengan statis username/password.
• One-Time Password (OTP)
Metode ini merupakan metoda yang teraman dari semua metode username/password. Kebanyakan sistem OTP berdasarkan pada “secret passphrase”, yang digunakan untuk membuat daftar password. OTP memaksa user jaringan untuk memasukkan password yang berbeda setiap kali melakukan login. Sebuah password hanya digunakan satu kali.
Prinsip Keamanan Jaringan
Prinsip keamanan jaringan
dapat dibedakan menjadi tiga, yaitu :
a. Kerahasiaan
Kerahasiaan berhubungan
dengan hak akses untuk membaca data atau informasi dan suatu sistem computer.
Dalam hal ini suatu sistem komputer dapat dikatakan aman jika suatu data atau
informasi hanya dapat dibaca oleh pihak yang telah diberi hak atau wewenang
secara legal.
b. Integritas (integrity)
Integrity berhubungan
dengan hak akses untuk mengubah data atau informasi dari suatu sistem computer.
Dalam hal ini suatu sistem komputer dapat dikatakan aman jika suatu data atau
informasi hanya dapat diubah oleh pihak yang telah diberi hak.
c. Ketersediaan
(availability)
Availability berhubungan
dengan ketersediaan data atau informasi pada saat yang dibutuhkan. Dalam hal
ini suatu sistem komputer dapat dikatakan aman jika suatu data atau informasi
yang terdapat pada sistem komputer dapat diakses dan dimanfaatkan oleh pihak
yang berhak.
d. Authentication
Aspek ini berhubungan
dengan metoda untuk menyatakan bahwa informasi betul-betul asli, orang yang
mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud,
atau server yang kita hubungi adalah betul-betul server yang asli.
Untuk membuktikan
keaslian dokumen dapat dilakukan dengan teknologi watermarking dan digital
signature. Sedangkan untuk menguji keaslian orang atau server yang dimaksud
bisa dilakukan dengan menggunakan password, biometric (ciri-ciri khas orang), dan
sejenisnya.
e. Akses Kontrol
Aspek kontrol merupakan
fitur-fitur keamanan yang mengontrol bagaimana user dan sistem berkomunikasi
dan berinteraksi dengan system dan sumberdaya yang lainnya. Akses kontrol
melindungi sistem dan sumberdaya dari akses yang tidak berhak dan umumnya
menentukan tingkat otorisasi setelah prosedur otentikasi berhasil dilengkapi.
Kontrol akses adalah
sebuah term luas yang mencakup beberapa tipe mekanisme berbeda yang menjalankan
fitur kontrol akses pada sistem komputer, jaringan, dan informasi. Kontrol
akses sangatlah penting karena menjadi satu dari garis pertahanan pertama yang
digunakan untuk menghadang akses yang tidak berhak ke dalam sistem dan
sumberdaya jaringan.
f. Non-Repudiation
Aspek ini menjaga agar
seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Penggunaan
digital signature, certificates, dan teknologi kriptografi secara umum dapat
menjaga aspek ini. Akan tetapi hal ini masih harus didukung oleh hukum sehingga
status dari digital signature itu jelas legal.
Jenis Serangan Terhadap
Keamanan Jaringan
Pada dasarnya, menurut
jenisnya, serangan terhadap suatu data dalam suatu jaringan dapat dikategorikan
menjadi 2, yaitu:
1. Serangan Pasif
Merupakan serangan pada
sistem autentikasi yang tidak menyisipkan data pada aliran data, tetapi hanya
mengamati atau memonitor pengiriman informasi ke tujuan. Informasi ini dapat
digunakan di lain waktu oleh pihak yang tidak bertanggung jawab. Serangan pasif
yang mengambil suatu unit data kemudian menggunakannya untuk memasuki sesi
autentikassi dengan berpura-pura menjadi user yangg autentik / asli disebut
dengan replay attack. Beberapa informasi autentikasi seperti password atau data
biometric yang dikirim melalui transmisi elektronik dapat direkam dan kemudian
digunakan untuk memalsukann data yang sebenarnya. Serangan pasif inni sulit
dideteksi kareena penyerang tidak melakukan perubahan data. Oleh sebab itu
untuk mengatasi serangan pasif ini lebih ditekankan pada pencegahan daripada
pendeteksiannya.
2. Serangan Aktif
Merupakan serangan yang
mencoba memodifikasi data, mencoba mendapatkan autentikasi, atau mendapatkan
autentikasi dengan mengirimkan paket-paket data yang salah ke dalam data stream
atau dengan memodifikassi paket-paket yang melewati data stream. Kebalikan dari
serangan pasif, serangan aktif sulit untuk dicegah karena untuk melakukannya
dibutuhkan perlindungan fisik untuk semua fasilitass komunikassi dan
jalur-jalurnya setiap saat. Yang dapat dilakukan adalah mendeteksi dan
memulihkan keadaan yang disebabkan oleh serangan ini.
Bentuk-bentuk Ancaman
1. Memaksa masuk dan
kamus password
Jenis ancaman keamanan
jaringan ini lebih umum disebut sebagai Brute Force and Dictionary, serangan
ini adalah upaya masuk ke dalam jaringan dengan menyerang database password
atau menyerang login prompt yang sedang active. Serangan masuk paksa ini adalah
suatu upaya untuk menemukan password dari account user dengan cara yang
sistematis mencoba berbagai kombinasi angka, huruf, atau symbol. Sementara
serangan dengan menggunakan metoda kamus password adalah upaya menemukan
password dengan mencoba berbagai kemungkinan password yang biasa dipakai user
secara umum dengan menggunakan daftar atau kamus password yang sudah
di-definisikan sebelumnya.
Untuk mengatasi serangan
keamanan jaringan dari jenis ini anda seharusnya mempunyai suatu policy tentang
pemakaian password yang kuat diantaranya untuk tidak memakai password yang
dekat dengan kita missal nama, nama anak, tanggal lahir dan sebagainya. Semakin
panjang suatu password dan kombinasinya semakin sulit untuk diketemukan. Akan
tetapi dengan waktu yang cukup, semua password dapat diketemukan dengan metoda
brute force ini.
2. Denial of Services
(DoS)
Deniel of Services (DoS)
ini adalah salah satu ancaman keamanan jaringan yang membuat suatu layanan
jaringan jadi mampet, serangan yang membuat jaringan anda tidak bisa diakses
atau serangan yang membuat system anda tidak bisa memproses atau merespon
terhadap traffic yang legitimasi atau permintaan layanan terhadap object dan
resource jaringan. Bentuk umum dari serangan Denial of Services ini adalah
dengan cara mengirim paket data dalam jumlah yang sangat bersar terhadap suatu
server dimana server tersebut tidak bisa memproses semuanya. Bentuk lain dari
serangan keamanan jaringan Denial of Services ini adalah memanfaatkan telah
diketahuinya celah yang rentan dari suatu operating system, layanan-2, atau
applikasi-2. Exploitasi terhadap celah atau titik lemah system ini bisa sering
menyebabkan system crash atau pemakaian 100% CPU.
Tidak semua Denial of
Services ini adalah merupakan akibat dari serangan keamanan jaringan. Error
dalam coding suatu program bisa saja mengakibatkan kondisi yang disebut DoS
ini. Disamping itu ada beberapa jenis DoS seperti:
Distributed Denial of
Services (DDoS), terjadi saat penyerang berhasil meng-kompromi beberapa layanan
system dan menggunakannya atau memanfaatkannya sebagai pusat untuk menyebarkan
serangan terhadap korban lain.
Ancaman keamanan jaringan
Distributed refelective deniel of service (DRDoS) memanfaatkan operasi normal
dari layanan Internet, seperti protocol-2 update DNS dan router. DRDoS ini
menyerang fungsi dengan mengirim update, sesi, dalam jumlah yang sangat besar
kepada berbagai macam layanan server atau router dengan menggunakan address
spoofing kepada target korban.
Serangan keamanan
jaringan dengan membanjiri sinyal SYN kepada system yang menggunakan protocol
TCP/IP dengan melakukan inisiasi sesi komunikasi. Seperti kita ketahui, sebuah
client mengirim paket SYN kepada server, server akan merespon dengan paket
SYN/ACK kepada client tadi, kemudian client tadi merespon balik juga dengan
paket ACK kepada server. Ini proses terbentuknya sesi komunikasi yang disebut
Three-Way handshake yang dipakai untuk transfer data sampai sesi tersebut
berakhir. Kebanjiran SYN terjadi ketika melimpahnya paket SYN dikirim ke
server, tetapi si pengirim tidak pernah membalas dengan paket akhir ACK.
Serangan keamanan
jaringan dalam bentuk Smurf Attack terjadi ketika sebuah server digunakan untuk
membanjiri korban dengan data sampah yang tidak berguna. Server atau jaringan
yang dipakai menghasilkan response paket yang banyak seperti ICMP ECHO paket
atau UDP paket dari satu paket yang dikirim. Serangan yang umum adalah dengan
jalan mengirimkan broadcast kepada segmen jaringan sehingga semua node dalam
jaringan akan menerima paket broadcast ini, sehingga setiap node akan merespon
balik dengan satu atau lebih paket respon.
Serangan keamanan
jaringan Ping of Death, adalah serangan ping yang oversize. Dengan menggunakan
tool khusus, si penyerang dapat mengirimkan paket ping oversized yang banyak
sekali kepada korbannya. Dalam banyak kasus system yang diserang mencoba
memproses data tersebut, error terjadi yang menyebabkan system crash, freeze
atau reboot. Ping of Death ini tak lebih dari semacam serangan Buffer overflow
akan tetapi karena system yang diserang sering jadi down, maka disebut DoS
attack.
Stream Attack terjadi
saat banyak jumlah paket yang besar dikirim menuju ke port pada system korban
menggunakan sumber nomor yang random.
3. Spoofing
Spoofing adalah seni
untuk menjelma menjadi sesuatu yang lain. Spoofing attack terdiri dari IP
address dan node source atau tujuan yang asli atau yang valid diganti dengan IP
address atau node source atau tujuan yang lain.
4. Serangan
Man-in-the-middle
Serangan keamanan
jaringan Man-in-the-middle (serangan pembajakan) terjadi saat user perusak
dapat memposisikan diantara dua titik link komunikasi.
* Dengan jalan mengkopy
atau menyusup traffic antara dua party, hal ini pada dasarnya merupakan
serangan penyusup.
* Para penyerang
memposisikan dirinya dalam garis komunikasi dimana dia bertindak sebagai proxy
atau mekanisme store-and-forwad (simpan dan lepaskan).
Para penyerang ini tidak
tampak pada kedua sisi link komunikasi ini dan bisa mengubah isi dan arah
traffic. Dengan cara ini para penyerang bisa menangkap logon credensial atau
data sensitive ataupun mampu mengubah isi pesan dari kedua titik komunikasi
ini.
5. Spamming
Spam yang umum dijabarkan
sebagai email yang tak diundang ini, newsgroup, atau pesan diskusi forum. Spam
bisa merupakan iklan dari vendor atau bisa berisi kuda Trojan. Spam pada
umumnya bukan merupakan serangan keamanan jaringan akan tetapi hampir mirip
DoS.
6. Sniffer
Suatu serangan keamanan
jaringan dalam bentuk Sniffer (atau dikenal sebagai snooping attack) merupakan
kegiatan user perusak yang ingin mendapatkan informasi tentang jaringan atau
traffic lewat jaringan tersebut. suatu Sniffer sering merupakan program
penangkap paket yang bisa menduplikasikan isi paket yang lewat media jaringan
kedalam file. Serangan Sniffer sering difokuskan pada koneksi awal antara
client dan server untuk mendapatkan logon credensial, kunci rahasia, password
dan lainnya.
7. Crackers
Ancaman keamanan jaringan
Crackers adalah user perusak yang bermaksud menyerang suatu system atau
seseorang. Cracker bisasanya termotivasi oleh ego, power, atau ingin
mendapatkan pengakuan. Akibat dari kegiatan hacker bisa berupa pencurian (data,
ide, dll), disable system, kompromi keamanan, opini negative public, kehilangan
pasar saham, mengurangi keuntungan, dan kehilangan produktifitas.
Secara
umum ada enam (6) langkah besar yang mungkin bisa digunakan untuk mengamankan
jaringan & sistem komputer dari serangan hacker. Adapun langkah tersebut
adalah:
1. Membuat Komite
Pengarah Keamanan.
1. Mengumpulkan
Informasi
1. Memperhitungkan
Resiko
1. Membuat Solusi
1. Implementasi
& Edukasi / Pendidikan.
1. Terus Menerus
Menganalisa, dan Meresponds.
Langkah 1: Membuat Komite
Pengarah Keamanan
Komite pengarah sangat
penting untuk dibentuk agar kebijakan keamanan jaringan dapat diterima oleh
semua pihak. Agar tidak ada orang terpaksa, merasa tersiksa, merasa akses-nya
dibatasi dalam beroperasi di jaringan IntraNet mereka. Dengan memasukan
perwakilan dari semua bidang / bagian, maka masukan dari bawah dapat diharapkan
untuk dapat masuk & di terima oleh semua orang.
Dengan adanya komite pengarah ini, akan memungkinkan terjadi interaksi antara orang teknik / administrator jaringan, user & manajer. Sehingga dapat dicari kebijakan yang paling optimal yang dapat diimplementasikan dengan mudah secara teknis.
Dengan adanya komite pengarah ini, akan memungkinkan terjadi interaksi antara orang teknik / administrator jaringan, user & manajer. Sehingga dapat dicari kebijakan yang paling optimal yang dapat diimplementasikan dengan mudah secara teknis.
Langkah 2: Mengumpulkan
Informasi
Sebelum sebuah kebijakan
keamanan jaringan diimplementasikan, ada baiknya proses audit yang lengkap
dilakukan. Tidak hanya mengaudit peralatan & komponen jaringan saja, tapi
juga proses bisnis, prosedur operasi, kesadaran akan keamanan, aset. Tentunya
proses audit harus dari tempat yang paling beresiko tinggi yaitu Internet;
berlanjut pada home user & sambungan VPN. Selain audit dari sisi external,
ada baiknya dilakukan audit dari sisi internet seperti HRD dll.
Langkah 3: Memperhitungkan
Resiko
Resiko dalam formula
sederhana dapat digambarkan sebagai:
Resiko = Nilai Aset * Vurnerability * Kemungkinan di Eksploit
Nilai aset termasuk nilai uang, biaya karena sistem down, kehilangan kepercayaan mitra / pelanggan. Vurnerability termasuk kehilangan data total / sebagian, system downtime, kerusakan / korupsi data.
Dengan mengambil hasil dari langkah audit yang dilakukan sebelumnya, kita perlu menanyakan:
• Apakah kebijakan keamanan yang ada sekarang sudah cukup untuk memberikan proteksi?
• Apakah audit secara eksternal berhasil memvalidasi ke keandalan kebijakan keamanan yang ada?
• Adakah proses audit mendeteksi kelemahan & belum tertuang dalam kebijakan keamanan?
• Apakah tingkat keamanan, setara dengan tingkat resiko?
• Apa aset / informasi yang memiliki resiko tertinggi?
Dengan menjawab pertanyaan di atas merupakan titik awal untuk mengevaluasi kelengkapan kebijakan informasi yang kita miliki. Dengan mengevaluasi jawaban di atas, kita dapat memfokuskan pada solusi yang sifatnya macro & global terlebih dulu tanpa terjerat pada solusi mikro & individu.
Resiko = Nilai Aset * Vurnerability * Kemungkinan di Eksploit
Nilai aset termasuk nilai uang, biaya karena sistem down, kehilangan kepercayaan mitra / pelanggan. Vurnerability termasuk kehilangan data total / sebagian, system downtime, kerusakan / korupsi data.
Dengan mengambil hasil dari langkah audit yang dilakukan sebelumnya, kita perlu menanyakan:
• Apakah kebijakan keamanan yang ada sekarang sudah cukup untuk memberikan proteksi?
• Apakah audit secara eksternal berhasil memvalidasi ke keandalan kebijakan keamanan yang ada?
• Adakah proses audit mendeteksi kelemahan & belum tertuang dalam kebijakan keamanan?
• Apakah tingkat keamanan, setara dengan tingkat resiko?
• Apa aset / informasi yang memiliki resiko tertinggi?
Dengan menjawab pertanyaan di atas merupakan titik awal untuk mengevaluasi kelengkapan kebijakan informasi yang kita miliki. Dengan mengevaluasi jawaban di atas, kita dapat memfokuskan pada solusi yang sifatnya macro & global terlebih dulu tanpa terjerat pada solusi mikro & individu.
Langkah 4: Membuat Solusi
Pada hari ini sudah cukup
banyak solusi yang sifatnya plug'n'play yang dapat terdapat di pasar. Sialnya,
tidak ada satu program / solusi yang ampuh untuk semua jenis masalah. Oleh
karena kita kita harus pandai memilih dari berbagai solusi yang ada untuk
berbagai kebutuhan keamanan. Beberapa di antaranya, kita mengenal:
• Firewall.
• Network Intrusion Detection System (IDS).
• Host based Intrusion Detection System (H-IDS).
• Application-based Intrusion Detection System (App-IDS).
• Anti-Virus Software.
• Virtual Private Network (VPN).
• Two Factor Authentication.
• Biometric.
• Smart cards.
• Server Auditing.
• Application Auditing.
• Dll – masih ada beberapa lagi yang tidak termasuk kategori di atas.
• Firewall.
• Network Intrusion Detection System (IDS).
• Host based Intrusion Detection System (H-IDS).
• Application-based Intrusion Detection System (App-IDS).
• Anti-Virus Software.
• Virtual Private Network (VPN).
• Two Factor Authentication.
• Biometric.
• Smart cards.
• Server Auditing.
• Application Auditing.
• Dll – masih ada beberapa lagi yang tidak termasuk kategori di atas.
Langkah 5: Implementasi
& Edukasi / Pendidikan
Setelah semua support
diperoleh maka proses implementasi dapat dilakukan. Proses instalasi akan
sangat tergantung pada tingkat kesulitan yang harus dihadapi. Satu hal yang
harus diingat dalam semua proses implementasi adalah proses pendidikan /
edukasi jangan sampai dilupakan. Proses pendidikan ini harus berisi:
• Detail dari sistem / prosedur keamanan yang baru.
• Effek dari prosedur keamanan yang baru terhadap aset / data perusahaan.
• Penjelasan dari prosedur & bagaimana cara memenuhi goal kebijakan keamanan yang baru.
Peserta harus di jelaskan tidak hanya bagaimana / apa prosedur keamanan yang dibuat, tapi juga harus dijelaskan mengapa prosedur keamanan tersebut di lakukan.
• Detail dari sistem / prosedur keamanan yang baru.
• Effek dari prosedur keamanan yang baru terhadap aset / data perusahaan.
• Penjelasan dari prosedur & bagaimana cara memenuhi goal kebijakan keamanan yang baru.
Peserta harus di jelaskan tidak hanya bagaimana / apa prosedur keamanan yang dibuat, tapi juga harus dijelaskan mengapa prosedur keamanan tersebut di lakukan.
Langkah 6: Terus Menerus
Menganalisa, dan Meresponds
Sistem selalu
berkembang, oleh karena itu proses analisa dari prosedur yang dikembangkan
harus selalu dilakukan. Selalu berada di depan, jangan sampai ketinggalan
kereta api
VPN
Virtual Private Network(VPN) adalah solusi koneksi private melalui jaringan publik. Dengan VPN maka kita dapat membuat jaringan di dalam jaringan atau biasa disebut tunnel.
Solusi VPN :
Virtual Private Network(VPN) adalah solusi koneksi private melalui jaringan publik. Dengan VPN maka kita dapat membuat jaringan di dalam jaringan atau biasa disebut tunnel.
Solusi VPN :
IPSEC, solusi VPN via IP
Secure Protocol. Solusi yang sudah distandarisasi tapi paling susah
dikonfigurasi. Tingkat keamanan yang cukup baik namun dalam implementasinya
cukup rumit. Aplikasi yang digunakan yang berbasis open source yaitu Open/Free
Swan.
PPPT, solusi VPN versi
awal. Merupakan solusi VPN dengan feature standar dimana jaringan dibangun
dengan point to point seperti halnya anda melakukan dial up pada internet
dirumah. Pada saat dial up ke provider internet ada maka akan dibangun point to
point tunnel melalui jaringan telepon. Aplikasi OpenSource yang menggunakan
PPPT adalah PopTop.
VPN with SSL, merupakan
solusi VPN dengan menerapkan protocol Secure Socket Layer(SSL) pada enkripsi
jaringan tunnel yang dibuat. Solusi ini diawali dengan aplikasi OpenVPN.
Fungsi VPN :
Menghubungkan
kantor-kantor cabang melalui jaringan public. Dengan VPN maka perusahaan tidak
perlu membangun jaringan sendiri. Cukup terhubung dengan jaringan public
contohnya internet. Saat ini hampir semua kantor perusahaan pasti memiliki
akses internet. Dengan demikin bisa dihemat anggaran koneksi untuk ke
cabang-cabang.
Mobile working, dengan
VPN maka karyawan dapat terhubung langsung dengan jaringan kantor secara
private. Maka karyawan dapat melakukan pekerjaan yang bisa dilakukan dari depan
komputer tanpa harus berada di kantor. Hal ini menjadi solusi virtual office di
jaman mobilitas tinggi seperti sekarang ini.
Securing your network.
Saat ini beberapa vendor seperti telkom memberikan solusi VPN juga untuk
perusahaan-perusahaan. Namun solusi ini masih kurang aman. Karena untuk
terhubung tidak memerlukan authentikasi. Sehingga bila ada pengguna mengetahui
settingan VPN perusahaan tersebut maka dia dapat terhubung ke jaringan
perusahaan tapi harus login. Contohnya pada telkomsel VPN hanya dengan
mengganti nama APN pada settingan network maka dia dapat langsung terhubung
dengan jaringan dengan nama APN tersebut. Dengan memasang VPN lagi di jaringan
VPN semi publik tersebut maka jaringan akan lebih aman karena sebelum masuk ke
jaringan kantor maka user harus membuat tunnel dulu dan login ke VPN server
baru bisa terhubung dengan jaringan kantor.
Mengamankan jaringan
wireless. Jaringan wireless merupakan jaringan publik yang bisa diakses oleh
siapa saja yang berada dijangkauan wireless tersebut. Walaupun wireless juga
memiliki pengaman seperti WEP, WPA, WPA2 namun jaringan wireless masih saja
bisa ditembus. Dengan menggunakan VPN maka user yang terhubung ke wireless
harus membuat tunnel dulu dengan login ke VPN server baru bisa menggunakan
resource jaringan seperti akses internet dan sebagainya.
Dari beberapa solusi yang
ada saat ini yang paling banyak digunakan adalah solusi VPN dengan SSL yaitu
dengan OpenVPN sebagai aplikasinya. Selain gratis karena open source juga
memiliki kemudahan implementasi. Saya lebih memilih menggunakan OpenVPN karena
kemudahan implementasinya serta bersifat multiplatform dapat dijalankan pada
Linux ataupun Windows.
Manfaat VPN :
- Biaya lebih murah
Pembangunan jaringan
leased line khusus atau pribadi memerlukan biaya yang sangat mahal. VPN dapat
menjadi alternatif yang dapat digunakan untuk dapat mengatasi permasalahan
diatas. VPN dibangun dengan menggunakan jaringan internet milik publik tanpa
perlu membangun jaringan pribadi. Dengan demikian bila ingin menggunakan VPN
hanya diperlukan koneksi internet.
- Fleksibilitas
Semakin berkembangnya
internet, dan makin banyaknya user yang menggunakannya membuat VPN juga ikut
berkembang. Setiap user dapat tergabung dalam VPN yang telah dibangun tanpa
terbatas jarak dan waktu. Fleksibilitas dapat dicapai apabila user tersebut
terkoneksi dengan internet dan mendapat ijin menggunakan VPN.
- Kemudahan pengaturan dan administrasi
Keseluruhan VPN dapat
diatur dalam server VPN sendiri, dan untuk dapat digunakan oleh klien, maka
perlu diinstal aplikasi VPN pada klien. Hal ini tentu lebih mudah apabila
dibandingkan dengan menggunakan leased line yang masih perlu memonitor modem.
- Mengurangi kerumitan pengaturan dengan teknologi tunneling
Tunneling atau terowongan merupakan kunci utama pada VPN. Koneksi
pribadi dalam VPN dapat terjadi dimana saja selama terdapat tunnel yang
menghubungkan pengirim dan penerima data. Dengan adanya tunnel ini, maka tidak
diperlukan pengaturan-pengaturan lain yang ada di luar tunnel tersebut, asalkan
sumber dari tunnel tersebut dapat menjangkau tujuannya.
Implementasi VPN :
1. Intranet VPN
Intranet merupakan
koneksi VPN yang membuka jalur komunikasi pribadi menuju ke jarinan lokal yang
bersifat pribadi melalui jaringan publik seperti internet. Dengan melalui VPN
jenis ini, user dapat langsung mengakses file-file kerja dengan leluasa tanpa
terikat tempat dan waktu. Apabila dianalogikan pada sebuah perusahaan, koneksi
ke kantor pusat dapat dilakukan dari mana saja, dari kantor pusat menuju ke
kantor cabang dapat pula dibuat koneksi pribadi, dan juga dari kantor juga
memungkinkan untuk dibuat jalur komunikasi pribadi yang ekonomis.
2. Ekstranet VPN
Ekstranet VPN merupakan
fasilitas VPN yang diperuntukkan bagi pihak-pihak dari luar anggota organisasi
atau perusahaan, tetapi masih memiliki hak dan kepentingan untuk dapat
mengakses data dalam kantor. Pada umumnya user dari VPN dari jenis ini
merupakan customer, vendor, partnet dan supplier dari suatu perusahaan.
3. Model Remote Access VPN
VPN merupakan sebuah
proses remote access yang bertujuan mendapatkan koneksi ke jaringan private
tujuannya. Proses remote accsess VPN tersebut dibedakan menjadi dua jenis
berdasarkan oleh siapa proses remote access VPN tersebut dilakukan. Kedua jenis
tersebut antara lain sebagai berikut.
4. Client-initiated
Secara harfiah,
client-initiated merupakan pihak klien yang berinisiatif untuk melakukan
sesuatu. Pada VPN jenis ini, ketika sebuah komputer ingin membangun koneksi VPN
maka PC tersebutlah yang berusaha membangun tunnel dan melakukan proses
enkripsi hingga mencapai tujuannya dengan aman. Namun, proses ini tetap
mengandalkan jasa dari jaringan Internet Service Provider (ISP) yang dapat
digunakan untuk umum. Clien-initiated digunakan oleh komputer-komputer umum
dengan mengandalkan VPN server atau VPN concentrator pada jaringan tujuannya.
5. Network Access Server-initiated
Berbeda dengan
clien-initiated, VPN jenis network access server-initiated ini tidak
mengharuskan clien untuk membuat tunnel dan melakukan enkrpsi dan dekripsi
sendiri. VPN jenis ini hanya mengharuskan user melakukan dial-in ke network
access server (NAS) dari ISP. Kemudian, NAS tersebut yang membangun tunnel
menuju ke jaringan private yang dituju oleh klien tersebut. Dengan demikian,
koneksi VPN dapat dibangun dan dipergunakan oleh banyak klien dari manapun,
karena pada umumnya NAS milik ISP tersebut memang dibuka untuk umum.
SUMBER :
http://iketutsuastika.wordpress.com/2013/05/29/network-security-keamanan-jaringan-2/
Langganan:
Postingan (Atom)