Minggu, 28 Desember 2008

Strategi Merancang Sekuriti Jaringan Komputer


Joko Yuliantoro & Onno W. Purbo
Computer Network Research Group - ITB

Dalam dunia Internet yang telah berkembang sedemikian pesatnya, jumlah para hacker, cracker, dan sebagainya juga semakin meningkat. Kita tidak bisa terus-menerus terlena akan keadaan dan kondisi dimana kita dalam keadaan aman. Apakah kita akan menunggu hingga jaringan kita dirusak oleh mereka? Tentu tidak! Setelah sebuah jaringan komputer kita berfungsi dan terhubung ke jaringan Internet, saat itulah kita harus mulai bersiaga dan memikirkan strategi beserta cara-cara untuk meningkatkan sekuriti jaringan komputer yang kita miliki. Dengan tingkat sekuriti jaringan komputer yang tinggi, user pun akan merasa aman saat bekerja di jaringan komputer yang kita miliki. Suatu nilai tambah tersendiri bukan? J
Strategi dalam sekuriti jaringan komputer bertujuan untuk memaksimalkan sumber daya yang ada untuk mengamankan sistem jaringan komputer pada titik-titik yang tepat sehingga lebih efisien. Bila tanpa strategi yang tepat, hasil implementasi strategi tersebut tidak akan menghasilkan tingkat sekuriti yang tinggi disamping terbuangnya sumber daya yang ada akibat tidak tepatnya penempatan dalam jaringan komputer. Dengan strategi tepat, sumber daya yang minimum dapat memberikan hasil yang cukup memuaskan.
Dalam tulisan ini, kita akan mencoba melihat strategi-strategi dasar dalam merancang sekuriti jaringan komputer. Strategi dasar ini bisa dijadikan basis untuk penerapan hingga pengembangan sekuriti sistem.

Hak Akses
Hak akses adalah hak yang diberikan kepada user untuk mengakses sistem. Mungkin hak akses adalah hal yang paling mendasar dalam bidang sekuriti. Dalam strategi sekuriti, setiap objek dalam sistem (user, administrator, software, sistem itu sendiri, dlsb) harus diberikan hak akses yang berguna untuk menunjang fungsi kerja dari objek tersebut. Dengan kata lain, objek hanya memperoleh hak akses minimum. Dengan demikian, aksi objek terhadap sistem dapat dibatasi sehingga objek tidak akan melakukan hal-hal yang membahayakan sekuriti jaringan komputer. Hak akses minimum akan membuat para penyusup dari Internet tidak dapat berbuat banyak saat berhasil menembus sebuah user account pada sistem jaringan komputer. Selain itu, hak akses minimum juga mengurangi bahaya ”musuh dalam selimut” yang mengancam sistem dari dalam. Itulah beberapa keuntungan yang dapat diperoleh dari strategi ini.
Kerugian yang ada pada strategi hak akses ini adalah keterbatasan akses yang dimiliki user sehingga dapat menimbulkan ketidaknyamanan pada saat user sedang menjalankan tugasnya. Penyelesaian masalah ini bergantung kepada dua hal yaitu segi perangkat dan segi administrator jaringan dan keduanya saling terikat. Seorang administrator jaringan harus pandai-pandai menyiasati rancangan hak akses yang akan diberikan kepada user agar kebutuhan user dapat terpenuhi tanpa harus mengorbankan tingkat sekuriti. Bila perangkat yang dijalankan memiliki keluwesan dalam hal setting, hal ini akan memudahkan tugas administrator. Bila tidak, administrator harus memutar otak untuk menyiasatinya. Bila usaha tersebut telah maksimal dan hasilnya tetap tidak seperti yang diharapkan, ada dua pilihan yang bisa dilakukan yaitu mengganti perangkat atau memberikan pengertian kepada user akan keterbatasan yang ada (biasanya pilihan kedua sulit dilaksanakan J ). Mengapa kebutuhan user menjadi begitu penting? Kebutuhan user yang tidak terpenuhi akan dapat menimbulkan efek-efek yang kadangkala sulit diprediksi. Ia mungkin dapat berubah dari user biasa menjadi “musuh dalam selimut”.

Lapisan Sekuriti
Lapisan sekuriti adalah seberapa banyak mekanisme sekuriti yang akan digunakan dan tingkatannya. Hal ini juga menjadi pemikiran di bidang sekuriti secara umum. Kita tidak bisa mempertaruhkan seluruh sekuriti jaringan komputer pada satu mekanisme sekuriti saja. Bila satu mekanisme itu gagal melindungi sistem, habislah semua. Oleh karena itu, mekanisme sekuriti harus dibuat lebih dari satu mekanisme. Selain itu, mekanisme-mekanisme tersebut dipasang secara bertingkat/berlapis. Mekanisme sekuriti dapat berupa network security, host/server security, dan human security. Di antara mekanisme tersebut, dapat pula dikombinasikan sesuai dengan keperluan.
Dalam jaringan komputer, network security dapat dibangun dengan beberapa lapisan. Sebagai contoh, kita bisa membangun firewall dengan dua sub-mekanisme yaitu packet filtering dan proxy system. Mekanisme packet filtering pun dapat dipilah-pilah lagi menjadi beberapa bagian, seperti filtering berdasarkan layanan dan protokol. Setelah lapisan pertama di atas, kita dapat pula membangun lapisan mekanisme selanjutnya. Contohnya, kita bisa menerapkan mekanisme autentifikasi pada setiap paket yang diterima.
Saat kita memberikan layanan baik ke dalam maupun ke luar jaringan, host/server yang memberikan layanan menjadi titik penting dalam sekuriti jaringan komputer. Pada host security, komponen pada host/server tersebut terutama perangkat lunak perlu dikonfigurasi dengan hati-hati. Layanan Internet seperti SMTP, NFS, Web Service, FTP, dlsb. hanya boleh memberikan layanan sesuai dengan yang direncanakan. Segi-segi (features) yang tidak utama tidak usah ditampilkan. Sebelum kita tahu pasti tingkat keamanan dari sebuah segi dalam software, sebaiknya tidak kita gunakan. Jika kita terpaksa menggunakan segi tersebut, kita dapat melakukan monitoring yang intensif terhadap segi tersebut.
Human security menyangkut user dan administrator jaringan itu sendiri. Kita dapat memberikan pengarahan tentang sekuriti kepada user dan menanamkan sikap hati-hati ke dalam diri setiap user. Ada baiknya pula bila user-user juga ikut berpartisipasi dalam menjaga dan meningkatkan sekuriti jaringan komputer karena mereka juga bagian dari sistem itu sendiri. Dengan begitu, akan tumbuh rasa memiliki di dalam diri setiap user. Para administrator pun seharusnya lebih berhati-hati dalam bertugas sebab di tangan mereka sekuriti jaringan komputer diletakkan.

Satu Jalur Masuk
Strategi satu jalur masuk adalah cara membuat hanya satu jalan masuk menuju jaringan komputer yang kita miliki. Dengan demikian, hanya satu jalan yang perlu kita awasi dengan penuh dan ketat. Strategi ini mirip dengan membuat benteng. Benteng yang dibangun biasanya hanya akan memiliki sebuah pintu masuk dimana ditempatkan pengawasan yang paling ketat.
Inti dari strategi ini adalah pengawasan terpusat. Kita bisa mencurahkan sebagian besar daya pengawasan ke titik tersebut sehingga penyusup akan kesulitan menembus jalur tersebut. Tentunya strategi ini akan gagal apabila kita memiliki jalur masuk lain. Jika kita ingin menerapkan strategi ini sepenuhnya, usahakan tidak ada jalur masuk lain selain yang akan kita awasi ketat.
Kelemahan strategi ini adalah bila jalur masuk tersebut berhasil ditembus oleh para penyusup, ia akan langsung mengobrak-abrik jaringan komputer kita. Resiko ini dapat dikurangi dengan membuat pertahanan jalur menjadi berlapis-lapis sehingga memaksa para penyusup untuk menghentikan aksinya.

Enkripsi Data dan Digital Signature
Salah satu strategi yang paling sering digunakan dalam sekuriti jaringan adalah enkripsi data dan digital signature. Digital signature menggunakan prinsip seperti tanda tangan manusia pada lembar dokumen dan dilakukan secara digital. Ia menyatakan keabsahan si pengirim data bahwa data yang dikirimkan benar-benar berasal dari si pengirim. Pada saat ini, enkripsi data dapat dilakukan di perangkat lunak maupun di perangkat keras. Berbagai jenis metoda enkripsi data pada tingkat aplikasi telah dikembangkan seperti RSA, MD-5, IDEA, SAFER, Skipjack, Blowfish, dlsb. Dengan strategi ini, transfer data dari dan ke jaringan komputer berlangsung secara konfidensial.

Stub Sub-Network
Stub sub-network adalah sub-jaringan komputer yang hanya memiliki satu jalur keluar masuk sub-jaringan tersebut. Strategi ini digunakan untuk mengisolasi sub-jaringan komputer yang benar-benar memerlukan perlindungan maksimal. Jalur keluar-masuk sub-jaringan tersebut diawasi dengan (bila perlu) lebih ketat daripada strategi satu jalur masuk. Contohnya, data-data rahasia perusahaan yang tersimpan dalam sebuah komputer perlu diakses secara langsung oleh beberapa bagian tertentu. Solusinya tentu saja jaringan komputer. Tetapi salah satu bagian tersebut memerlukan hubungan ke jaringan komputer perusahaan yang telah terhubung ke Internet tanpa harus pindah komputer. Nah, di sinilah strategi stub sub-network diperlukan. Jaringan pengakses data rahasia dirancang hanya memiliki satu jalur masuk melalui komputer yang memiliki akses Internet tersebut. Pengawasan lalu lintas data yang melalui komputer tersebut harus dipantau dengan baik dan dapat pula diberlakukan sistem packet filtering pada komputer tersebut.

Cari Titik Lemah
Sebagaimana bidang sekuriti umumnya, jaringan komputer tidak terlepas dari titik-titik lemah. Titik ini akan lebih banyak tumbuh apabila jaringan komputer yang ada dikoordinir oleh lebih dari satu orang. Jaringan komputer yang besar umumnya berkembang dari jaringan-jaringan komputer yang lebih kecil yang kemudian menggabungkan diri. Selain itu, kadangkala seorang administrator akan mengalami kesulitan bila mengelola sebuah jaringan komputer skala besar seorang diri. Untuk itu, diperlukan koordinasi yang baik antar tiap administrator agar setiap jaringan yang mereka kelola terjamin sekuritinya.

Dua Sikap Umum
“Dua SikapUmum” tersebut adalah sikap menolak secara umum (prohibitive) dan sikap menerima secara umum (permissive). Sikap menolak secara umum mendefinisikan dengan rinci layanan/paket yang diperbolehkan dan menolak lainnya. Strategi ini cukup aman tetapi kadangkala menimbulkan ketidaknyamanan pada user. Untuk itu, administrator yang berniat menjalankan strategi ini perlu mengetahui dengan rinci kebutuhan user dan seberapa jauh pengaruhnya terhadap sekuriti jaringan pada umumnya. Sikap menerima secara umum mendefinisikan dengan rinci layanan/paket yang ditolak dan menerima lainnya. Strategi ini tidak terlalu dianjurkan oleh para ahli karena dengan strategi ini kita mengambil resiko terbukanya berbagai jalan untuk merongrong sekuriti sistem.

Keanekaragaman
Perangkat lunak dan keras yang ada saat ini memiliki bermacam konfigurasi dan keunggulan. Kita bisa memanfaatkan keanekaragaman perangkat-perangkat ini dalam membangun jaringan komputer kita sesuai dengan kebutuhan. Dengan adanya keanekaragaman perangkat ini, bila terjadi penyusupan terhadap sebuah komputer, ia membutuhkan usaha yang lain untuk menembus komputer yang berbeda. Sebelum kita menggunakan perangkat terutama perangkat lunak, ada baiknya bila kita juga mengetahui sejauh mana tingkat sekuriti yang disediakan oleh perangkat tersebut. Dengan begitu, kita akan memiliki data yang lengkap untuk menentukan kombinasi rancangan sekuriti jaringan komputer kita.

Itulah beberapa strategi dasar yang biasa digunakan dalam sekuriti jaringan komputer. Dari strategi-strategi di atas, para administrator dapat mengkombinasikan strategi-strategi tersebut sehingga memenuhi kriteria yang ditetapkan. Kebijaksanaan tentang sekuriti yang berlaku pada sistem juga bisa ditetapkan dari strategi-strategi yang telah dipilih.
Dalam pengkajian dan penerapannya, sebaiknya kita tidak percaya sepenuhnya terhadap strategi dan mekanisme yang kita buat. Intinya, kita harus selalu melakukan evaluasi terhadap sekuriti sistem yang kita buat atau kelola. Seiring dengan berkembangnya teknik-teknik penyusupan dan belum ditemukannya kelemahan-kelemahan dalam sekuriti sistem yang telah ada, kita harus selalu dalam keadaan siap dan waspada menghadapi aksi-aksi di luar dugaan.
Pada akhirnya, salah satu tujuan utama yang perlu diingat dari strategi-strategi di atas adalah membuat para penyusup (hacker, cracker, phreaker, dlsb) “berpikir seribu kali” sebelum menjalankan aksi mereka terhadap sistem jaringan komputer kita. Apabila mereka tetap nekat mencoba, kita hadapkan mereka kepada rintangan dan hambatan yang memerlukan daya upaya yang sangat besar untuk menembus sistem kita sampai mereka menghentikan aksinya. J

Daftar Pustaka
W.R. Cheswick & S.M. Bellovin, Firewalls and Internet Security, Addison-Wesley Publishing Co., 1994
D.B. Chapman & E.D. Zwicky, Building Internet Firewalls, O’Reilly & Associates, Inc., 1995

Tidak ada komentar:

Posting Komentar