Pengantar Jaringan Komputer Keamanan Jaringan Komputer Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Keamanan sistem merupakan suatu proses yang berkelanjutan Secure Monitor Test Improve Keamanan sistem merupakan suatu proses yang berkelanjutan Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Keamanan Impelementasi solusi keamanan bertujuan untuk menghentikan atau mencegah akses atau aktivitas yang tidak terautorisasi dan untuk melindungi informasi Mekanismenya meliputi : Authentication, Authorization, Accounting Encryption Firewalls Vulnerability Patching Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Mengembangkan Keamanan Sebagai Sebuah Sistem Terintegrasi Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Firewall Firewall adalah sistem atau grup sebuah sistem yang mengatur akses antara dua atau lebih domain yang dipercaya Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Contoh Wildcard Mask Operasi firewall berbasis pada teknologi berikut : Packet Filtering Proxy Server Statefull packet filtering Network Address Translation (NAT) Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Packet Filtering Membatasi informasi pada network berdasarkan alamat IP sumber dan tujuan serta UDP/TCP header ACL Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Proxy Server Menangani permintaan koneksi diantara client di dalam firewall dan server diluar firewall Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Statefull Packet Filtering Membatasi informasi pada jaringan tidak hanya berdasarkan parameter header tetapi juga isi data packet Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Network Address Translation (NAT) Fungsi dari NAT adalah untuk menyembunyikan IP Address dari host internal (IP Private) ke IP Publik dan sebaliknya Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Ilustrasi NAT Internet 200.27.62.10 200.27.62.62 NAT global 192.168.1.5 192.168.1.3 192.168.1.2 Internet 172.30.0.50 Source Destination Destination addr 131.108.25.1 200.27.62.11 Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Screening router firewalls Computer based firewalls Tipe Firewall Screening router firewalls Computer based firewalls Firewall appliances Host firewalls (firewalls on clients and servers) Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Screening Router Firewalls Menambahkan software firewall di dalam router Biasanya hanya menyediakan filtering ringan Untuk pemrosesan yang berat dibutuhkan upgrade hardware Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Computer Based Firewalls Menambahkan software firewall pada server yang sudah terinstall sistem operasi seperti Windows, Unix or GNU/Linux Dapat dibeli untuk menangani segala jenis data Gampang digunakan karena mengetahui dengan baik penggunaan sistem operasi Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Boxes with minimal operating systems Firewall Appliances Boxes with minimal operating systems Dibundling dengan sistem operasi yang minimalis Cenderung sulit di-hack Setup sangat sederhana Tidak spesifik pada vendor tertentu Harus mampu untuk melakukan update Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Host Firewalls Telah terinstall secara otomatis bersamaan dengan sistem operasi baik pada server maupun pada client Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Host Firewalls Telah terinstall secara otomatis bersamaan dengan sistem operasi baik pada server maupun pada client Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Firewall Architecture Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Firewall Architecture Single site in large organization Home firewall SOHO firewall router Distributed firewall architecture Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Home Firewall Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
SOHO Firewall Router Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Distributed Firewall Architecture Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Firewall Actions PIX Firewall # 1 # 2 # 3 # 4 TCP header IP header The PIX Firewall checks for a translation slot. If one is not found, it creates one after verifying NAT, global, access control, and authentication or authorization, if any. If OK, a connection is created. 192.168.1.3 The PIX Firewall follows the Adaptive Security Algorithm: (Src IP, Src Port, Dest IP, Dest Port ) check Sequence number check Translation check If the code bit is not syn-ack, PIX drops the packet. # 1 172.30.0.50 # 2 # 3 # 4 Start the embryonic connection counter No data Private network Source port Destination addr Source addr Initial sequence # Destination port Flag Ack 1026 23 49091 Syn 92513 Syn-Ack 49092 Public network 200.27.62.74 49769 2001 49770 Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Firewall Actions PIX Firewall # 5 # 6 Private network Public network PIX Firewall Reset the embryonic counter for this client. It then increments the connection counter for this host. 192.168.1.3 # 5 172.30.0.50 # 6 Strictly follows the Adaptive Security Algorithm Data flows 200.27.62.74 2001 23 49770 Ack 92514 Source port Destination addr Source addr Initial sequence # Destination port Flag 1026 49092 TCP header IP header Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Firewall Actions PIX Firewall # 1 # 2 # 3 # 4 UDP header IP header The PIX Firewall checks for a translation slot. If one is not found, it creates one after verifying NAT, global, access control, and authentication or authorization, if any. If OK, a connection is created. 192.168.1.3 The PIX Firewall follows the Adaptive Security Algorithm: (Src IP, Src Port, Dest IP, Dest Port ) check Translation check # 1 # 2 # 3 # 4 Private network Source port Destination addr Source addr Destination port 172.30.0.50 1028 45000 Public network 200.27.62.74 2001 All UDP responses arrive from outside and within UDP user-configurable timeout. (default=2 minutes) Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Standard ACL Router(config)#access list <id-standard-acl> <deny/permit/remark> <hostname/any/host> Id-standard-acl : 1-99 Deny : Packet rejected Permit : Packet Allowed Remark : Packet Commented Hostname : IP Address Any : Any source IP Host : Single Host / IP Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Contoh Standard ACL Administrator akan memblok paket dari PC dengan IP 172.16.30.2 Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Contoh Standard ACL (2) Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Inbound & Outbound Packet Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
IP Access Group IP access-group command is to catch the packet from a specific interface (in or out) Command : Router(config) # interface name-of-interface Router (config) # ip access-group no-access-list in/out Example : Router(config) # interface fa0/1 Router (config) # ip access-group 10 in Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Standard ACL dengan Block Size Block size berarti permit/deny packet dengan range of IP Address Rumus sederhana : Wildcard Mask Wildcard Mask : 255.255.255.255 - Netmask Example : Up to 254 Host : 0.0.0.255 (255.255.255.255 – 255.255.255.0) Up to 126 Host : 0.0.0.127 (255.255.255.255 – 255.255.255.128 Etc.. Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Tantangan Administrator menginginkan untuk menolak packet dari semua PC. Bagamaina Penyelesaiannya ? Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Extended ACL Router(config)#access list <id-extended-acl> <deny/permit/remark> <protocol> <A.B.C.D/any/host> <eq> <services/port> Id-extended-acl : 100-199 Deny : Packet rejected Permit : Packet allowed Remark : Packet Commented Protocol : tcp/udp/icmp A.B.C.D : Network Any : Any IP source Host : Single Host / IP Eq : equivalent Services : www, telnet, ftp, smtp, pop3 Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Blok 131.108.0.0 bebas untuk mengakses semua perangktar Contoh Extended ACL pix(config)#access-list outgoing permit ip any 131.108.0.0 255.255.0.0 pix(config)#access-list outgoing deny ip any any pix(config)#access-group outgoing in interface inside 131.108.0.0 131.108.0.0 Internet 131.108.0.0 Blok 131.108.0.0 bebas untuk mengakses semua perangktar Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
IDS IDS layaknya alarm pada rumah anda yang akan memberitahukan apabila ada seseorang yang masuk ke rumah tanpa sepengetahuan anda Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Elemen Dasar IDS Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Tipe IDS Network-Based Intrusion Detection System (NIDS) Host-Based Intrusion Detection System (HIDS) Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
IDS Action Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
IDS Action (2) Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
IDS Action (3) Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Keterbatasan IDS IDS tidak dapat mencegah serangan terhadap kelemahan aplikasi (misalnya web) IDS tidak dapat mencegah trusted activities yang sebenarnya ilegal Produk-produk IDS biasanya tidak di-update dengan attack signature terbaru Slow scan dimana terdapat ribuan aktifitas yang harus dicocokkan pada database Storage limitation Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Referensi Cisco, 2008, Cisco Exploration 3, Cisco Networking Academy Surahyo, S., 2008, Firewall, Magister Teknologi Informasi, UGM Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo
Terima Kasih Jurusan Teknik Informatika Fakultas Teknik Universitas Negeri Gorontalo