tugas 2 keamanan jaringan

5/12/2018 tugas 2 keamanan jaringan - slidepdf.com

http://slidepdf.com/reader/full/tugas-2-keamanan-jaringan 1/6

SOAL:

1. Apakah semua jaringan membutuhkan Firewall?

2.Dapatkah Firewall memperkuat kebijakan password atau mencegah penyalahgunaan

password oleh pengguna?

3. Apa yang dimaksud dengan VPN?

4. Apa peran VPN dalam infrastruktur jaringan perusahaan?

5. Sebutkan dan jelaskan 3 jenis tipe VPN.

6. Jelaskan apa yang dimaksud dengan Authentication (otentifikasi) dan berikan contoh.

7. Jelaskan apa yang dimaksud dengan Authorization (otorisasi) dan berikan contoh.

8.Kapan dan dalam kondisi apa anda seharusnya membuka password anda kepada seseorang?

9. Apa yang dimaksud dengan serangan DDos dan bagaimana dia beroperasi?

JAWAB:

1. Y

a, karena dapat mencegah lalu lintas jaringan yang tidak aman dan umumnya jugadigunakan untuk mengontrol akses terhadap siapa saja yang memiliki akses terhadap

jaringan pribadi dari pihak luar.

2. Tidak, karena segala bentuk keamanan jaringan tidak akan aman sampai 100%

3. VPN adalah singkatan dari virtual private network , yaitu Sebuah cara aman untuk

mengakses local area network yang berada pada jangkauan, dengan menggunakan internet

atau jaringan umum lainnya untuk melakukan transmisi data paket secara pribadi, dengan

enkripsi Perlu penerapan teknologi tertentu agar walaupun menggunakan medium yang

umum, tetapi traffic (lalu lintas) antar remote-site tidak dapat disadap dengan mudah, jugatidak memungkinkan pihak lain untuk menyusupkan traffic yang tidak semestinya ke

dalam remote-site.

4. dapat mengakses server tertentu melalui VPN dimana saja, entah itu dirumah atau dijalan

secara aman meskipun anda menggunakan infrastruktur jaringan internet dalam



penggunaannya. Menurut pandangan user, koneksi VPN merupakan koneksi point to point

antara user computer dengan server korporasi dan data terkirim di atas jaringan dedicated.

5. - Client-initiated

Client-initiated arti harafiahnya adalah pihak klien yang berinisiatif untuk melakukan

sesuatu. VPN jenis ini juga demikian dan ini merupakan jenis VPN yang paling umum

digunakan. Jadi ketika PC Anda ingin membangun koneksi VPN, maka PC tersebutlah

yang berusaha membangun tunnel dan melakukan enkripsi hingga mencapai tujuannya

dengan aman. Namun, proses ini tetap mengandalkan jaringan ISP yang digunakan secara

umum. Clientinitiated VPN sering digunakan oleh PC-PC umum dengan mengandalkan

VPN server atau VPN concentrator pada jaringan tujuannya.

- Network Access Server-initiated

Lain dengan client-initiated, VPN jenis ini tidak mengharuskan clientnya membuat tunnel

dan melakukan enkripsi dan dekripsi sendiri. VPN jenis ini hanya mengharuskan

penggunanya melakukan dial-in ke Network Access Server (NAS) ISP. Kemudian NAS

inilah yang membangun tunnel menuju ke jaringan private yang dituju oleh clien tersebut.

Dengan demikian, koneksi VPN dapat dibangun oleh banyak clien dari manapun karena

biasanya NAS milik ISP tersebut memang sering kali dibuka untuk umum.

- R emote Site VPN

Remote-acces juga disebut sebagi Virtual private dial-up network (VPDN), adalah sebuah

koneksi (seperti LAN) yang digunakan oleh sebuah perusahaan yang mempunyai pegawai

yang membutuhkan koneksi ke jaringan private(pribadi) dari beberapa lokasi yang jauh.

Biasanya, sebuah perusahaan yang ingin mengembangkan remote-acces VPN akan

menggunakan jasa enterprise service provider (ESP). ESP akan menyiapkan sebuah

network access server (NAS) dan akan menyiapkan sebuah VPN client software yang

akan digunakan pada dekstop user (pengguna).Kemudian sebuah dial number digunakan

untuk mengakses NAS dan kemudian menggunakan VPN client software untuk memasuki

jaringan perusahaan.

- Site-To-Site VPN

Melalui sebuah penggunaan peralatan khusus dan metode-metode enkripsi, sebuah

perusahaan dapat menghubungkan berbagai lokasi melalui sebuah publin network

misalnya internet.

6. Authentification adalah proses dalam rangka validasi user pada saat memasuki sistem,

nama dan password dari user di cek melalui proses yang mengecek langsung ke daftar

mereka yang diberikan hak untuk memasuki sistem tersebut.



Contohnya: Penggunaan analisis suara (voice recognation), dan analisis tulisan tangan.

7. Authorization

Merupakan hak akses yang diperuntukkan user untuk diijinkan melakukan

pembuatan seperti penghapusan indeks, relasi baru dalam database, melakukan

penambahan dan penghapusan atribut baru dalam relasi ( hubungan ) dalam

database.

Contoh:

Misalkan seorang pegawai Bank ingin perlu mengetahui nama nasabah setiap

cabang, tetapi tidak diperkenankan melihat informasi mengenai pinjaman. Pendekatan : ti

adakan akses langsung terhadap relasi (hubungan) loan,

tetapi diberikan hak akses terhadap view cust_loan, yang berisikan nama ±

nama nasabah dan cabang dimana mereka memiliki pinjaman.

8. Seharusnya tidak satupun dalam sebuah perusahaan yang menanyakan password.Dalam

kondisi kesulitan teknis sekalipun, administrator akan me-reset password. Jangan pernah

membuka password kepada siapapun dan jika diminta, laporkan kepada keamanan

korporasi sesegera mungkin.

9. serangan Ddos adalah salah satu ancaman keamanan jaringan yang membuat suatu

layanan jaringan jadi mampet, serangan yang membuat jaringan anda tidak bisa diakses

atau serangan yang membuat system anda tidak bisa memproses atau merespon terhadap

traffic yang legitimasi atau permintaan layanan terhadap object dan resource jaringan.

Sistem beroperasinya ada beberapa cara:

* Ping of Death menggunakan program utility ping yang ada di sistem operasi komputer.

Biasanya ping digunakan untuk men-cek berapa waktu yang dibutuhkan untuk

mengirimkan sejumlah data tertentu dari satu komputer ke komputer lain. Panjang

maksimum data yang dapat dikirim menurut spesifikasi protokol IP adalah 65,536 byte.

Pada Ping of Death data yang dikirim melebihi maksimum paket yang di ijinkan menurut

spesifikasi protokol IP. Konsekuensinya, pada sistem yang tidak siap akan menyebabkan

sistem tersebut crash (tewas), hang (bengong) atau reboot (booting ulang) pada saat sistem

tersebut menerima paket yang demikian panjang. Serangan ini sudah tidak baru lagi,

semua vendor sistem operasi telah memperbaiki sistem-nya untuk menangani kiriman

paket yang oversize.



* Teardrop teknik ini dikembangkan dengan cara mengeksplotasi proses

disassembly-reassembly paket data. Dalam jaringan Internet, seringkali data harus di

potong kecil-kecil untuk menjamin reliabilitas & proses multiple akses jaringan.

Potongan paket data ini, kadang harus dipotong ulang menjadi lebih kecil lagi pada

saat di salurkan melalui saluran Wide Area Network (WAN) agar pada saat melalui

saluran WAN yang tidak reliable proses pengiriman data menjadi lebih reliable. Pada

proses pemotongan data paket yang normal setiap potongan di berikan informasi

offset data yang kira-kira berbunyi potongan paket ini merupakan potongan 600 byte

dari total 800 byte paket yang dikirim. Program teardrop akan memanipulasi offset

potongan data sehingga akhirnya terjadi overlapping antara paket yang diterima di

bagian penerima setelah potongan-potongan paket ini di reassembly. Seringkali,

overlapping ini menimbulkan system yang crash, hang & reboot di ujung sebelah

sana.

* SYN Attack - kelemahan dari spesifikasi TCP/IP, dia terbuka terhadap serangan

paket SY N. Paket SY N dikirimkan pada saat memulai handshake (jabat tangan)

antara dia aplikasi sebelum transaksi / pengiriman data dilakukan. Pada kondisi

normal, aplikasi klien akan mengirimkan paket TCP SY N untuk mensinkronisasi

paket pada aplikasi di server (penerima). Server (penerima) akan mengirimkan

respond berupa acknowledgement paket TCP SY N ACK. Setelah paket TCP SY N

ACK di terima dengan baik oleh klien (pengirim), maka klien (pengirim) akan

mengirimkan paket ACK sebagai tanda transaksi pengiriman / penerimaan data akan

di mulai. Dalam serangan SY N flood (banjir paket SY N), klien akan membanjiri

server dengan banyak paket TCP SY N. Setiap paket TCP SY N yang dikirim akan

menyebabkan server menjawab dengan paket TCP SY N ACK. Server (penerima)

akan terus mencatat (membuat antrian backlog) untuk menunggu responds TCP ACK

dari klien yang mengirimkan paket TCP SY N. Tempat antrian backlog ini tentunya

terbatas & biasanya kecil di memori. Pada saat antrian backlog ini penuh, sistem tidak

akan merespond paket TCP SY N lain yang masuk dalam bahasa sederhana-nya sistem

tampak bengong / hang. Sialnya paket TCP SY N ACK yang masuk antrian backlog

hanya akan dibuang dari backlog pada saat terjadi time out dari timer TCP yang

menandakan tidak ada responds dari klien pengirim. Biasanya internal timer TCP ini

di set cukup lama. Kunci SY N attack adalah dengan membanjiri server dengan paket

TCP SY N menggunakan alamat IP sumber (source) yang kacau. Akibatnya, karena



alamat IP sumber (source) tersebut tidak ada, jelas tidak akan ada TCP ACK yang

akan di kirim sebagai responds dari responds paket TCP SY N ACK. Dengan cara ini,

server akan tampak seperti bengong & tidak memproses responds dalam waktu yang

lama. Berbagai vendor komputer sekarang telah menambahkan pertahanan untuk

SY N attack ini & juga programmer firewall juga menjamin bahwa firewall mereka

tidak mengirimkan packet dengan alamat IP sumber (source) yang kacau.

* Land Attack hacker membanjiri jaringan dengan paket TCP SY N dengan alamat IP

sumber dari sistem yang di serang. Biarpun dengan perbaikan SY N attack di atas,

Land attack ternyata menimbulkan masalah pada beberapa sistem. Serangan jenis ini

relatif baru, beberapa vendor sistem operasi telah menyediakan perbaikannya. Cara

lain untuk mempertahankan jaringan dari serangan Land attack ini adalah dengan

memfilter pada software firewall anda dari semua paket yang masuk dari alamat IP

yang diketahui tidak baik. Paket yang dikirim dari internal sistem anda biasanya tidak

baik, oleh karena itu ada baiknya di filter alamat 10.0.0.0-10.255.255.255, 127.0.0.0-

127.255.255.255, 172.16.0.0-172.31.255.255, dan 192.168.0.0-192.168.255.255.

* Smurf Attack - jauh lebih menyeramkan dari serangan Smurf di cerita kartun.

Smurf attack adalah serangan secara paksa pada fitur spesifikasi IP yang kita kenal

sebagai direct broadcast addressing. Seorang Smurf hacker biasanya membanjiri

router kita dengan paket permintaan echo Internet Control Message Protocol (ICMP)

yang kita kenal sebagai aplikasi ping. Karena alamat IP tujuan pada paket yang

dikirim adalah alamat broadcast dari jaringan anda, maka router akan mengirimkan

permintaan ICMP echo ini ke semua mesin yang ada di jaringan. Kalau ada banyak

host di jaringan, maka akan terhadi trafik ICMP echo respons & permintaan dalam

jumlah yang sangat besar. Lebih sial lagi jika si hacker ini memilih untuk men-spoof

alamat IP sumber permintaan ICMP tersebut, akibatnya ICMP trafik tidak hanya akan

memacetkan jaringan komputer perantara saja, tapi jaringan yang alamat IP-nya di

spoof jaringan ini di kenal sebagai jaringan korban (victim). Untuk menjaga agar

jaringan kita tidak menjadi perantara bagi serangan Smurf ini, maka broadcast

addressing harus di matikan di router kecuali jika kita sangat membutuhkannya untuk

keperluan multicast, yang saat ini belum 100% di definikan. Alternatif lain, dengan

cara memfilter permohonan ICMP echo pada firewall. Untuk menghindari agar

jaringan kita tidak menjadi korban Smurf attack, ada baiknya kita mempunyai



upstream firewall (di hulu) yang di set untuk memfilter ICMP echo atau membatasi

trafik echo agar presentasinya kecil dibandingkan trafik jaringan secara keseluruhan.

* UDP Flood pada dasarnya mengkaitkan dua (2) sistem tanpa disadarinya. Dengan

cara spoofing, User Datagram Protocol (UDP) flood attack akan menempel pada

servis UDP chargen di salah satu mesin, yang untuk keperluan akan mengirimkan

sekelompok karakter ke mesin lain, yang di program untuk meng-echo setiap kiriman

karakter yang di terima melalui servis chargen. Karena paket UDP tersebut di

spoofing antara ke dua mesin tersebut, maka yang terjadi adalah banjir tanpa henti

kiriman karakter yang tidak berguna antara ke dua mesin tersebut. Untuk

menanggulangi UDP flood, anda dapat men-disable semua servis UDP di semua

mesin di jaringan, atau yang lebih mudah memfilter pada firewall semua servis UDP

yang masuk. Karena UDP dirancang untuk diagnostik internal, maka masih aman jika

menolak semua paket UDP dari Internet. Tapi jika kita menghilangkan semua trafik

UDP, maka beberapa aplikasi yang betul seperti RealAudio, yang menggunakan UDP

sebagai mekanisme transportasi, tidak akan jalan.

Documents

tugas 2 keamanan jaringan