Arsitektur Keamanan jaringan / Network Security
Kemanan Jaringan / Network Security memiliki definisi tentang keamanan jaringan dan perangkat keras yang bersangkutan .Perangkat keras seperti computer , server dan perangkat jaringan merupakan satu kesatuan komponen yang bekerja sama untuk menciptakan hubungan dan saling terkoneksi untuk kebutuhan komunikasi data. Di salah satu sisi sejak berkembangnya teknologi internet yang menyebabkan kebutuhan untuk berhubungan dengan dunia luar untuk proses pertukaran data dengan menggunakan teknologi internet semakin menjadi kebutuhan utama dikarenakan proses tersebut mendukung kegiatan operasional dan mempercepat proses transaksi di perusahaan .
Untuk itu diperlukan adanya infrastruktur perangkat jaringan yang memadai dan juga melakukan proses monitoring terhadap kegiatan transaksi pertukaran data tersebut dengan dunia luar ( Internet ) .Keamanan Jaringan / Network Security untuk keperluan pengamanan jaringan intranet dan perangkat internet membutuhkan pengetahuan tentang teknologi Jaringan yang cukup untuk menganalisa kejadian-kejadian yang berkaitan dengan keamanan jaringan itu sendiri . Semakin banyaknya aplikasi-aplikasi yang di publish atau ditampilkan melalui internet menyebabkan aplikasi-aplikasi tersebut dapat dilihat oleh semua orang yang dapat menggunakan internet , di lain sisi beberapa pihak yang tidak bertanggung jawab berusaha mengakses data-data yang tersimpan di server data aplikasi internet tersebut dengan cara yang tidak seharusnya dengan menggunakan berbagai macam metode .
Belakangan ini, pencurian identitas pribadi melalui media internet semakin marak. Yang diincar biasanya nomor kartu kredit, password akun bank maupun informasi-informasi sensitif lainnya. Caranya bisa melalui phishing, email scan atau menggunakan piranti yang sanggup melacak gerak gerik kebiasaan user ketika mengakses situs –situs web nternet .
Kemungkinan kebocoran informasi ini tidak saja bisa menimpa kalangan personal, tapi juga korporat. Bahkan tidak tertutup kemungkinan kebocoran itu datang dari orang dalam sendiri.Melihat data dari Computer Security Institute , 71% serangan kedalam system jaringan computer terjadi dari dalam ( intranet ) Artinya, yang menyebabkan orang luar dapat masuk ke sistem adalah kelalaian dari dalam sendiri, baik karena tidak melakukan pembaharuan sistem (patching) atau mengganti password secara berkala .
Kelalaian ini menjadi lebih besar dampaknya, manakala suatu perusahaan memiliki jaringan komputer yang tersambung ke Internet, karena perusahaan tersebut seolah-olah berada di satu lapangan terbuka yang dapat diserang setiap saat dari berbagai arah. Penggunaan Internet sebetulnya merupakan satu solusi untuk meringankan biayakomunikasi, karena dengan metode sharing dalam satu jaringan,kita dapat membiayai seluruh jaringan dengan nilai yang lebih rendah daripada membangun sendiri sistemnya.Peningkatan penggunaan jaringan Internet menyebabkan beragamnya pemakai di jaringan Internet, sehingga praktisi lapangan serta teknologi yang dipakai tidak mampu melindungi sistem dari serangan orang iseng atau yang memang punya niat negatif. Untuk melindungi jaringan komputer di dalam jaringan, solusinya adalah dengan mengimplementasikan peranti yang mampu melindungi sistem dengan baik.Peranti tersebut tetap tidak akan bermanfaat jika tidak ada staf yang selalu memantau jaringan dan secepat mungkin mencegah penyerangan serta memperkecil resiko kerusakan jaringan komputer.
1. Kemanan Jaringan / Network Security
1.2 Arsitektur Keamanan Jaringan / Network Security Architeture
Aristektur keaman jaringan / Network Security Architecture Kumpulan dari komponen (fungsional) security, hubungan antara komponen tersebut, dan kegiatan (operasional, prosedur) untuk mengamankan sumber daya yang dimiliki oleh perusahaanArsitektur keamanan jaringan teknologi informasi memiliki beberapa komponen, yaitu :
1. kumpulan sumber daya yang tersentralisasi(centralized resource)
2. pengelolaan identitas (identity management)
3. sistem otorisasi (authorization system)
4. access control
5. pengelolaan kebijakan (policy management)
6. system pemantau (monitoring system)
7. security operation
8. intranet yang aman (secure intranet / LAN )
9. Internet yang aman(secure Internet).10. Physical Security / Keamanan secara fisik .
1.2.1 kumpulan sumber daya yang tersentralisasi(centralized resource)
Sumber daya (resources) merupakan aset dari perusahaan yang ingin dilindungi. Hal ini bisa berupa perangkat keras, perangkat lunak, dan yang lebih penting adalah data serta informasi yang berada di dalamnya. Di beberapa perusahaan,sumber daya ini tersebar di beberapa tempat sehingga menyulitkan pengamanannya.Tren yang ada saat ini adalah secara fisik mengumpulkan server-server (yang di dalamnya berisi aset) di sebuah pusat data (data center). Secara logik pun server-server ini dikelompokkan dalam beberapa kumpulan. Ada kumpulan server yang membutuhkantingkat keamanan sangat tinggi, sementara itu ada jugakumpulan server yang pengamanannya tidak perlu tinggi sekalikarena akan menjadi sangat mahal biaya operasionalnya. Untuk layanan yang berhubungan dengan publik ( Internet )biasanya kumpulan server tersebut dijadikan satuan di daerah DMZ (demilitarizedzone), yang biasanya berada di belakang fi rewall.
1.2.2 Pengelolaan identitas (identity management)
Perlunya melakukan pengaturan identitas dengan memberikan username/ id dan password dengan tingkat security tertentu sehingga dapat mengakses data melalui aplikasi yang dijalankannya dengan otorisasi yang sesuai . Penyimpanan data terhadapat history kegiatan user ID tersebut terhadap aplikasi yang telah dibuka dan transaksi apa saja yang dilakukan . Melakukan update data terhadap data user ID yang tersimpan untuk memperbaharui data-data pemakai aplikasi yang seharusnya perlu di hapus atau yang tidak perlu untuk di hapus , dikarenakan adanya user atau pemakai aplikasi yang dapat mengakses aplikasi dengan menggunakan user id dan password orang lain . Salah satu metode dengan menggunakan automatic-reset password terhadap user-id dan password yang sudah tidak digunakan untuk jangka waktu tertentu .
Perlunya melakukan pengaturan identitas dengan memberikan username/ id dan password dengan tingkat security tertentu sehingga dapat mengakses data melalui aplikasi yang dijalankannya dengan otorisasi yang sesuai . Penyimpanan data terhadapat history kegiatan user ID tersebut terhadap aplikasi yang telah dibuka dan transaksi apa saja yang dilakukan . Melakukan update data terhadap data user ID yang tersimpan untuk memperbaharui data-data pemakai aplikasi yang seharusnya perlu di hapus atau yang tidak perlu untuk di hapus , dikarenakan adanya user atau pemakai aplikasi yang dapat mengakses aplikasi dengan menggunakan user id dan password orang lain . Salah satu metode dengan menggunakan automatic-reset password terhadap user-id dan password yang sudah tidak digunakan untuk jangka waktu tertentu .
1.2.3 Sistem otorisasi (authorization system)
Otorisasi adalah proses pengecekan wewenang, mana saja hak-hak akses yang diperbolahkan dan mana saja yang tidak. Proses ini dilakukan dengan cara mengecek data userid dan password yang tersimpan di server. Setelah diketahui hak aksesnya, maka server kemudian menyerahkan hak itu kepada user . User yang telah menerima hak akses kemudian dapat menggunakan aplikasi yang telah ditentukan level aksesnya . Otentikasi dan Otorisasi pada umumnya ditangani sekaligus oleh sebuah server. Proses ini diaplikasikan dalam bentuk suatu aplikasi yang berfungsi untuk menangani proses otentikasi dan otorisasi terhadap aplikasi-aplikasi yang terdapat di perusahaan .
1.2.4 Access Control
Access Control dapat diartikan juga sebagai security dengan jalan membatasi akses user pengguna computer terhadap obyek atau computer, server dan perangkat lain di dalam jaringan. User harus diberikan hak akses secara jelas tetang operasi apa saja yang mungkin dilakukan. Selain itu juga harus ditentukan syarat (requirement) apa saja yang harus dipenuhi agar dapat mengakses obyek .
1.2.5 Pengelolaan kebijakan (policy management)
Perlunya pengelolaan kebijakan untuk perlindungan terhadap data .Beberapa kategori kebijakan / policy yang dapat diterapkan :
1. User Policy
dimana kebijakan / policy ini mendefinisikan hak-hak apa saja yang user dapatkan dalam mengakses data dan perangkat yang terdapat di dalam jaringan perusahaan . beberapa policy / kebijakan ini adalah :
1.1 Password Policies / Kebijakan Password
kebijakan / policy ditujukan agar data pengguna computer/ aplikasi tetap aman . Dengan menggunakan metode dimana user-user harus merubah password mereka dalam jangka waktu terterntu dan juga menggunakan aturan-aturan yang lebih kompleks terhadap karakter untuk password menggunakan karakter , nomor , huruf kecil dan huruf besar .
1.2 Pengggunaan Internet
dimana user yang menggunakan internet dibatasi terhadap orang-orang yang berhak menggunakan internet , akses terhadap beberapa situs web yang di blokir tetap diterapkan untuk keamanan computer dan pertukaran data melalui e-mail dapat menggunakan data enkripsi untuk perlindungan data terhadap pencurian data tersebut .
1.3 Penggunaan Sistem Operasi
tidak berhak melakukan instalasi program-program yang tidak diperlukan untuk kegiatan dinas .Tidak diperbolehkan untuk melakukan aktivitas chatting dan file sharing di internet seperti Napster, kazza dan lain-lain .Pembatasan terhadap penggunaan account atau password untuk tidak diberikan kepada orang lain yang tidak berhak untuk menggunakannya.
2. IT Policy / Kebijakan Sistem Informasi
Berkaitan dengan kebijakan/ policy yang diterapkan oleh divisi IT / Sistem informasi baik terhadap data , software ataupun perangkat keras yang bersangkutan dengan kegiatan komunikasi data . Proses ini ditujukan agar jaringan / network untuk dapat bekerja dalam kondisi stabil dan baik . Beberapa contoh penerapan kebijakan / policy yang dilakukan oleh divisi IT / Sistem Informasi adalah :
2.1 Kebijakan tentang virus / Virus policy
melakukan proteksi terhadap situs web yang mengandung virus dan memblokir situs web tersebut yang umumnya merupakan awal tersebarnya virus untuk sampai ke jaringan intranet . Melakukan update menyeluruh untuk computer client sehingga computer tersebut memiliki update antivirus terbaru . Melakukan Scan terhadap disket atau USB flash disk data .
2.2 Backup Policy
Melakukan kegiatan untuk membackup data , tempat penyimpanan backup data dan melakukan kegiatan backup dalam jangka waktu tertentu sehingga data-data penting dapat di kembalikan untuk digunakan kembali kalau saja terjadi kerusakan data pada computer .
2.3 Konfigurasi Server
Melakukan pengecekan terhadap server , baik perangkat kerasnya ataupun data yang tersimpan dalam server tersebut . Melakukan update terhadap patch-patch yang diperlukan untuk keperluan keamanan Operating System .
2.4 Firewall Policy
Kebijakan Firewall Melakukanpengecekan terhadap port-port yang harus diblok atau diperbolehkan , memonitoring log terhadapat akses yang melalui firewall tersebut .
2.5 Monitoring Policy / Kebijakan Pengawasan
Melakukan monitoring terhadap log data akses aplikasi yang dilakukan oleh user , monitoring akses terhadap situs web yang di akses oleh user pengguna internet , monitoring aktivitas jaringan , monitoring log terhadap server-server aplikasi , monitoring terhadap email server yang merupakan tempat penyimpanan data-data email yang tersimpan di email server .
3. General Policy / Kebijakan UmumKebijakan / policy ini diterapkan sesuai dengan kebutuha yang diperlukan , umumnya meliputi :
1. Kejadian yang berkaitan dengan bencana alam dan cara penanggulangannya
2. Melakukan recovery terhadap perangkat dan data yang ada .
3. Perlindungan terhadap dokumen dalam bentuk hardcopy
4. Melakukan jurnal terhadap kegiatan-kegiatan petugas IT.
1.2.6 System pemantau (monitoring system
)Merupakan proses yang diperlukan untuk memonitor proses yang dilakukan , memonitor perangkat keras , memonitor data-data yang melakukan komunikasi data yang terdapat di dalam jarigan dan monitoring terhadap aktivitas yang mencurigakan baik yang dilakukan di dalam jaringan intranet maupun yang mengakses perangkat ( server / computer ) melalui internet . Sebaiknya diperlukan adanya perangkat yang menyediakan kemampuan manajemen log hasil monitoring yang terpusat . Proses yang dilakukan berawal dari logging ( pencatatan aktivitas ) kemudian melakukan monitoring terhadap data-data log tersebut dan melakukan analisa terhadap data-data yang telah di log tersebut . Proses ini merupakan proses penting untuk dapat mencegah terjadinya gangguan terhadap data ataupun perangkat keras yang bekerja di dalam jaringan dan dapat berinisiatif melakukan penanganan dini terhadap penurunan kinerja perangkat keras .
1.2.7 Security OperationProses dimana operasi keamanan terhadap data , computer , perangkat jaringan ataupun aplikasi diimplementasikan .
Beberapa contoh implementasinya adalah :
1. Dibuat system untuk Helpdesk yang berfungsi untuk menerima laporan tentang kerusakan yang terjadi terhadap perangkat keras ataupun kerusakan pada aplikasi yang bersangkutan dengan transaksi data . Team helpdesk harus memiliki pengetahuan minimum tentang perangkat keras computer , jaringan dan aplikasi-aplikasi yang ada di dalam perusahaan . Dengan demikian system ini dapat meningkat kinerja perusahaan dengan mereduksi lambatnya proses kerusakan yang terjadi sehingga kegiatan operasi dapat dilanjutkan kembali .
2. Menyediakan central data yang dapat di akses oleh user untuk kebutuhan akses data terhadap update software operating system seperti patches software , update antivirus definition , software backup , driver-driver printer dan lain-lain .
1.2.8 Intranet yang aman ( Secure intranet / Local Area Network )
Kegiatan pengamanan jaringan Local Area Network sangat diperlukan untuk meningkatkan keamanan data dan kinerja jaringan itu sendiri . Beberapa teknik yang dapat dilakukan dalam peningkatan pengamanan jaringan yang umumnya dilakukan adalah :
1. Penyimpanan fisik jaringan yang aman , dapat dilakukan dengan menyimpan peralatan jaringan di tempat yang tertutup dan terkunci .
2. Melakukan penataan kabel yang baik dan terlindungi dengan protector
3. Melakukan segmentasi jaringan sesuai dengan lokasi ataupun sesuai dengan fungsinya , sebagai contoh untuk jaringan divisi keuangan maka akan di pisahkan dalam segment keuangan saja .
4. Teknik pemisahan tersebut diaplikasikan dengan metode routing , sehingga meskipun terpisah , computer-komputer tersebut dapat terkoneksi dan dapat mengakses data ke server data yang berada pada segment yang terpisah sesuai dengan rule / aturan routing yang sudah ditetapkan sebelumnya
5. Implementasi VLAN ( Virtual Local Area Network ) , beberapa perangkat jaringan yang memiliki fungsi manageable dapat melakukan segmentasi fisik yang dipisahkan dengan proses konfigurasi melalui logika program , sehingga perangkat jaringan tersebut dapat dioptimalkan dan lebih menghemat perangkat dalam jumlah untuk penghematan biaya .
6. Untuk melindungi jaringan local area network terhadap internet , dipisahkan dengan menggunakan perangkat Firewall , sehingga akses dari internet ke dalam jaringan local area network tidak bisa dilakukan kecuali diberikan akses yang memenuhi rule / aturan yang sudah ditetapkan sebelumnya .
1.2.9 Secure Internet / Internet yang aman Untuk perangkat keras , computer ataupun server yang akan di publish di internet sehingga public umum dapat mengakses informasi atau data yang terdapat di server tersebut melakui media internet , diperlukan adanya suatu pemisahan / segmentasi jaringan . Metode ini disebut perimeter defense / Delimiterize Zone ( DMZ ) . User menggunakan computer yang berada di local area network tetap dapat mengakses data yang terdapat di zona DMZ dan public umum pun dapat mengaksesnya .
Tujuan utama dilakukan segmentasi dengan perimeter defense / Zona DMZ ini dikarenakan untuk menghindari serangan secara langsung terhadap server-server yang memiliki IP Address Internet dimana IP Address Internet dari Server-server tersebut akan ditranslasikan ke IPAdress lain yang sesuai dengan konfigurasi IP Address untuk perimeter defense / Zona DMZ tersebut . Metode ini akan mereduksi serangan secara langsung dari internet dikarenakan penyerang tidak mengetahui alamat / IP Address Internet server-server data tersebut secara langsung . Metode ini membutuhkan sebuah perangkat seperti Firewall ataupun proxy firewall yang memiliki kemampuan untuk mengimplementasikan fungsi dari perimeter defense / Zona DMZ termasuk didalamnya fungsi untuk routing , filtering , block , network address transalation dan lain lain .
1.2.10 Phisical Security / Keamanan Secara Fisik
Keamanan secara fisik dimana perangkat-perangkat keras untuk penyimpanan data tidak dengan mudah dapat di akses . Sebagai contoh sebagai berikut :
1. Akses ke akses ke lingkungan perkantoran dan gedung;
2. akses ke ruangan tertentu di dalam sebuah gedung (misalnya akses ke data center);
3. akses ke perangkat (misalnya server) di dalam data center,akses ke workstation beserta peripheralnya.
( Sumber : Bapak . Budi Rahardjo )
