6 Langkah Mengamankan Jariangan Sistem Komputer

Secara umum ada enam langkah besar yang mungkin bisa digunakan untuk mengamankan jaringan dan sistem komputer dari serangan hacker. Adapun langkah tersebut adalah:

1. Membuat Komite Pengarah Keamanan.
2. Mengumpulkan Informasi
3. Memperhitungkan Resiko
4. Membuat Solusi
5. Implementasi & Edukasi / Pendidikan.
6. Terus Menerus Menganalisa, dan Meresponds.

Langkah 1: Membuat Komite Pengarah Keamanan.

Komite pengarah sangat penting untuk dibentuk agar kebijakan keamanan jaringan dapat diterima oleh semua pihak. Agar tidak ada orang terpaksa, merasa tersiksa, merasa akses-nya dibatasi dalam beroperasi di jaringan IntraNet mereka.  Dengan memasukan perwakilan dari semua bidang / bagian, maka masukan dari bawah dapat diharapkan untuk dapat masuk & di terima oleh semua orang.

Dengan adanya komite pengarah ini, akan memungkinkan terjadi interaksi antara orang teknik / administrator jaringan, user & manajer. Sehingga dapat dicari kebijakan yang paling optimal yang dapat di implementasikan dengan mudah secara teknis.

Langkah 2: Mengumpulkan Informasi

Sebelum sebuah kebijakan keamanan jaringan di implementasikan, ada baiknya proses audit yang lengkap dilakukan. Tidak hanya mengaudit peralatan & komponen jaringan saja, tapi juga proses bisnis, prosedur operasi, kesadaran akan keamanan, aset. Tentunya proses audit harus dari tempat yang paling beresiko tinggi yaitu Internet; berlanjut pada home user & sambungan VPN. Selain audit dari sisi external, ada baiknya dilakukan audit dari sisi internet seperti HRD dll.

Langkah 3: Memperhitungkan Resiko

Resiko dalam formula sederhana dapat digambarkan sebagai:
Resiko = Nilai Aset * Vurnerability * Kemungkinan di Eksploit
Nilai aset termasuk nilai uang, biaya karena sistem down, kehilangan kepercayaan mitra / pelanggan. Vurnerability termasuk kehilangan data total / sebagian, system downtime, kerusakan / korupsi data.
Dengan mengambil hasil dari langkah audit yang dilakukan sebelumnya, kita perlu menanyakan:

• Apakah kebijakan keamanan yang ada sekarang sudah cukup untuk memberikan proteksi?
• Apakah audit secara eksternal berhasil memvalidasi ke keandalan kebijakan keamanan yang ada?
• Adakah proses audit mendeteksi kelemahan & belum tertuang dalam kebijakan keamanan?
• Apakah tingkat keamanan, setara dengan tingkat resiko?
• Apa aset / informasi yang memiliki resiko tertinggi?

Dengan menjawab pertanyaan di atas merupakan titik awal untuk mengevaluasi kelengkapan kebijakan informasi yang kita miliki. Dengan mengevaluasi jawaban di atas, kita dapat memfokuskan pada solusi yang sifatnya macro & global terlebih dulu tanpa terjerat pada solusi mikro & individu.

Langkah 4: Membuat Solusi

Pada hari ini sudah cukup banyak solusi yang sifatnya plug’n’play yang dapat terdapat di pasar. Sialnya, tidak ada satu program / solusi yang ampuh untuk semua jenis masalah. Oleh karena kita kita harus pandai memilih dari berbagai solusi yang ada untuk berbagai kebutuhan keamanan. Beberapa di antaranya, kita mengenal:

• Firewall.
• Network Intrusion Detection System (IDS).
• Host based Intrusion Detection System (H-IDS).
• Application-based Intrusion Detection System (App-IDS).
• Anti-Virus Software.
• Virtual Private Network (VPN).
• Two Factor Authentication.
• Biometric.
• Smart cards.
• Server Auditing.
• Application Auditing.
• Dll – masih ada beberapa lagi yang tidak termasuk kategori di atas.

Langkah 5: Implementasi & Edukasi / Pendidikan.

Setelah semua support diperoleh maka proses implementasi dapat di lakukan. Proses instalasi akan sangat tergantung pada tingkat kesulitan yang harus di hadapi. Satu hal yang harus di ingat dalam semua proses implementasi adalah proses pendidikan / edukasi jangan sampai dilupakan. Proses pendidikan ini harus berisi:

• Detail dari sistem / prosedur keamanan yang baru.
• Effek dari prosedur keamanan yang baru terhadap aset / data perusahaan.
• Penjelasan dari prosedur & bagaimana cara memenuhi goal kebijakan keamanan yang baru.

Peserta harus di jelaskan tidak hanya bagaimana / apa prosedur keamanan yang dibuat, tapi juga harus dijelaskan mengapa prosedur keamanan tersebut di lakukan.

Langkah 6: Terus Menerus Menganalisa, dan Meresponds.

Sistem selalu berkembang, oleh karena itu proses analisa dari prosedur yang dikembangkan harus selalu dilakukan. Selalu berada di depan, jangan sampai ketinggalan kereta api.

Otentifikasi dan Keamanan Untuk Jaringan

Jika kita sering bekerja dengan jaringan, maka tidaklah mengherankan bagi kita mengapa kita perlu memikirkan otentifikasi untuk mengendalikan keamanan jaringan. Jaringan komputer atau yang dikenal dengan internet merupakan sistem terbuka (open system) dimana semua orang dapat masuk ke komputer milik orang lain yang terhubung di dalam internet. Sistem terbuka juga mensyaratkan bahwa tidak ada ‘batasan’ bagi orang lain untuk masuk ke dalam jaringan kita, misalnya dengan menggunakan web browsing, akses ftp  dan lain sebagainya.
Akan tetapi permasalahan akan timbul jika orang yang masuk ke dalam jaringan kita mempunyai maksud yang kurang baik. Seorang kompetitor misalnya, dapat saja masuk ke dalam jaringan komputer saingannya dengan tujuan mengubah sistem yang dimiliki saiangannya agar tidak dapat berfungsi dengan baik, mencuri data-data pelanggan saingan, mencuri data statistik dan lain sebagainya. Oleh karena itu dibutuhkan otentifikasi dan pengendalian akses ke dalam sistem. Secara sederhana sebuah prosedur otentifikasi adalah prosedur pengenalan jati diri seorang pemakai kepada sistem dan pemberian kartu hak akses tertentu dari sistem kepada pemakai yang bersangkutan. Seorang pemakai yang telah melewati proses otentifikasi tertentu akan memiliki hak akses tertentu dan tentu saja selalu dapat diawasi dan dikendalikan oleh sistem. Tulisan berikut ini akan memberikan dasar-dasar mengenai otentifikasi dan definisi-definisi yang berkaitan dengan keamanan jaringan.

ACL, NTLM dan Definisi-definisi Lainnya
Sebelum kita membahas lebih jauh, akan dikemukakan istilah-istilah yang sering digunakan untuk pengendalian hak akses terhadap sistem.

• Access Control Lists (ACLs)

Setiap ACL merupakan daftar dari kendali akses yang menunjukkan hak akses dan informasi untuk audit yang digunakan oleh sistem, misalnya oleh Windows NT atau oleh proxy server. Didalam Windows NT, ACLs ini akan digunakan bersama-sama dengan sistem akses file sytem NTFS (New Technology File System). Windows NT menggunakan daftar ini untuk melihat siapa saja yang telah diberikan hak untuk mengakses sumber daya tertentu (file atau folder) dan hak apa yang telah diberikan kepadanya, seperti membaca, menulis dan mengeksekusi. Didalam sistem file UNIX, hak akses ini dapat dilihat dari bit-bit kode akses yang meliputi akses untuk user, akses untuk group user serta akses untuk global user. Akses untuk user berlaku untuk user yang besangkutan, akses untuk group user berlaku untuk user-user lain yang masih berada dalam satu group dengan user yang bersangkutan sedangan akses global user berlaku untuk user yang tidak berada dalam satu group dengan user yang bersangkutan. Setiap file dalam file sistem UNIX memiliki bit-bit pengendali tersebut.

• Challenge/Response

Proses otentifikasi melibatkan prosedur challenge/response yang terjadi pada saat dimulainya sebuah otentifikasi. Ketika seorang pemakai ingin meminta hak akses kepada sistem maka sistem akan mengirimkan challenge kepada pemakai kemudian pemakai mengirimkan kode yang sesuai. Sistem akan membandingkan kode yang dikirimkan oleh pemakai dengan kode yang ada didalam database. Jika ada kecocokan maka sistem akan memberikan hak akses sesuai dengan hak yang dimiliki oleh pengguna yang bersangkutan. Contohnya, pada saat seorang administrator Web ingin mengakses IIS (Internet Information Service) di Windows NT maka proses challenge/response terjadi agar sistem dapat memberikan hak akses yang sesuai. Contoh lain dalam sistem UNIX yang menggunakan one-time password, seorang pemakai yang ingin melakukan koneksi terminal (telnet) ke dalam sistem harus memasukkan password sebelum sistem memberikan hak akses terhadap terminal. Proses challenge/response yang terjadi disini yaitu pemakai menghubungi server melalui port telnet (21), kemudian server membentuk hash serta challenge key. Pemakai kemudian membalas challenge key tersebut dengan one-time-password yang sesuai. Selanjutnya response/jawaban dari pemakai akan dibandingkan dengan database yang ada didalam sistem, sebelum diputuskan untuk memberikan akses atau tidak.

• NTLM

NTLM adalah teknik otentifikasi Challenge/Response yang digunakan oleh Window NT. NTLM singkatan dari Windows NT LAN Manager, sebab teknik ini dikembangkan pertama kali dan digunakan oleh Microsoft LAN Manager

• One-Time-Password

One-Time-Password adalah teknik otentifikasi Challenge/Response yang sering digunakan oleh UNIX system. Dengan teknik ini sebuah password hanya dapat digunakan satu kali dimana response yang sesuai akan diminta oleh sistem, berdasarkan challenge key yang diberikan pada saat proses otentifikasi.

• SAM

SAM atau kepanjangan dari Security Account Manager adalah database yang berisi data pemakai dan group. SAM tidak menyimpan password dalam bentuk ASCII tetapi dalam bentuk hash. SAM digunakan oleh Windows NT dan terletak di HKEY_LOCAL_MACHINE\SAM dan HKEY_LOCAL_MACHINE\Security\SAM


Hash dalam keamanan jaringan
Dalam sebuah sistem terbuka, dimana komunikasi berlangsung melewati beberapa, ratusan bahkan ribuan komputer lainnya yang terhubung dalam jaringan maka pengiriman data dari satu tempat ke tempat lainnya akan sangat rawan terhadap penyadapan. Bagaimana jika hal ini terjadi sesaat sebelum proses otentifikasi berlangsung. Seorang ‘sniffer’ (penyadap data yang dikirimkan melalui internet) dapat mengendus password dan nama pemakai yang dikirimkan melalui jaringan. Untuk mengatasi hal ini maka dibuatlah algoritma hash, dimana password akan tersimpan dalam bentuk lain setelah diproses melalui algoritma hash tersebut. Algoritma standar hash yang sering digunakan adalah MD4 yang akan menghasilkan 16 byte (128 bit) hash, atau dengan kata lain, berapapun panjang bit yang dimasukkan dalam algoritma ini, maka panjang bit keluaran hasil hash adalah 16 byte (128 bit). Secara teoritis sangatlah tidak mungkin untuk menggabungkan hash dan algoritma yang dipakai serta kemudian melakukan proses revers secara matematis untuk memperoleh password yang bersesuaian. Atau dengan kata lain, proses hash hanya berlangsung satu arah dan bukan proses yang dapat dibalik.


Enkripsi dalam keamanan jaringan
Selain beberapa definisi serta teknik yang disebutkan diatas, salah satu teknik yang sangat penting adalah enkripsi. Coba bayangkan pada saat kita melakukan koneksi terminal (telnet , port 21) pada jaringan kita dari Jakarta ke Surabaya melalui Internet yang notabene melalui ratusan bahkan ribuan router. Dalam spesifikasinya, komunikasi terminal tersebut mentransmisikan data-data dalam bentuk text ASCII. Jika kemudian ada seorang sniffer yang mengendus data-data yang ditransmisikan antara komputer server dengan terminal kita maka data-data tersebut akan dengan mudah terbaca. Jika kemudian kita membaca email yang ada dalam server kita, maka sniffer tadi juga dapat ikut membaca email yang kita baca.
Untuk mengatasi hal tersebut diatas maka diciptakan sistem enkripsi dimana data-data yang dikirimkan sudah dalam bentuk terenkripsi. Untuk melakukan enkripsi dibutuhkan kunci pembuka yang harus diketahui oleh server dan pengguna. Akan tetapi jika seorang sniffer dapat mengendus kunci pembuka tersebut, maka dia juga dapat membuka data-data komunikasi antara pemakai dan server. Oleh karena itu diciptakan teknik enkripsi dengan kunci publik dari RSA, dimana kunci publik dapat disebarluaskan secara bebas, sementara kunci privat disimpan secara rahasia. Seorang pemakai yang ingin melakukan koneksi kemudian memberikan kunci publiknya kepada server serta mengambil kunci publik server. Pengguna yang bersangkutan kemudian melakukan enkripsi dengan kunci privat miliknya serta kunci publik milik server kemudian mengirimkan data tersebut kepada server. Server kemudian melakukan de enkripsi dengan menggunakan kunci privat miliknya serta kunci publik milik pengguna yang bersangkutan. Dengan demikian meskipun data dapat diendus oleh sniffer, namun data tersebut tidak dapat diintepretasikan dengan baik dan benar.