Upload
salman-faris
View
105
Download
0
Embed Size (px)
Citation preview
5/12/2018 tugas 2 keamanan jaringan - slidepdf.com
http://slidepdf.com/reader/full/tugas-2-keamanan-jaringan 1/6
SOAL:
1. Apakah semua jaringan membutuhkan Firewall?
2.Dapatkah Firewall memperkuat kebijakan password atau mencegah penyalahgunaan
password oleh pengguna?
3. Apa yang dimaksud dengan VPN?
4. Apa peran VPN dalam infrastruktur jaringan perusahaan?
5. Sebutkan dan jelaskan 3 jenis tipe VPN.
6. Jelaskan apa yang dimaksud dengan Authentication (otentifikasi) dan berikan contoh.
7. Jelaskan apa yang dimaksud dengan Authorization (otorisasi) dan berikan contoh.
8.Kapan dan dalam kondisi apa anda seharusnya membuka password anda kepada seseorang?
9. Apa yang dimaksud dengan serangan DDos dan bagaimana dia beroperasi?
JAWAB:
1. Y
a, karena dapat mencegah lalu lintas jaringan yang tidak aman dan umumnya jugadigunakan untuk mengontrol akses terhadap siapa saja yang memiliki akses terhadap
jaringan pribadi dari pihak luar.
2. Tidak, karena segala bentuk keamanan jaringan tidak akan aman sampai 100%
3. VPN adalah singkatan dari virtual private network , yaitu Sebuah cara aman untuk
mengakses local area network yang berada pada jangkauan, dengan menggunakan internet
atau jaringan umum lainnya untuk melakukan transmisi data paket secara pribadi, dengan
enkripsi Perlu penerapan teknologi tertentu agar walaupun menggunakan medium yang
umum, tetapi traffic (lalu lintas) antar remote-site tidak dapat disadap dengan mudah, jugatidak memungkinkan pihak lain untuk menyusupkan traffic yang tidak semestinya ke
dalam remote-site.
4. dapat mengakses server tertentu melalui VPN dimana saja, entah itu dirumah atau dijalan
secara aman meskipun anda menggunakan infrastruktur jaringan internet dalam
5/12/2018 tugas 2 keamanan jaringan - slidepdf.com
http://slidepdf.com/reader/full/tugas-2-keamanan-jaringan 2/6
penggunaannya. Menurut pandangan user, koneksi VPN merupakan koneksi point to point
antara user computer dengan server korporasi dan data terkirim di atas jaringan dedicated.
5. - Client-initiated
Client-initiated arti harafiahnya adalah pihak klien yang berinisiatif untuk melakukan
sesuatu. VPN jenis ini juga demikian dan ini merupakan jenis VPN yang paling umum
digunakan. Jadi ketika PC Anda ingin membangun koneksi VPN, maka PC tersebutlah
yang berusaha membangun tunnel dan melakukan enkripsi hingga mencapai tujuannya
dengan aman. Namun, proses ini tetap mengandalkan jaringan ISP yang digunakan secara
umum. Clientinitiated VPN sering digunakan oleh PC-PC umum dengan mengandalkan
VPN server atau VPN concentrator pada jaringan tujuannya.
- Network Access Server-initiated
Lain dengan client-initiated, VPN jenis ini tidak mengharuskan clientnya membuat tunnel
dan melakukan enkripsi dan dekripsi sendiri. VPN jenis ini hanya mengharuskan
penggunanya melakukan dial-in ke Network Access Server (NAS) ISP. Kemudian NAS
inilah yang membangun tunnel menuju ke jaringan private yang dituju oleh clien tersebut.
Dengan demikian, koneksi VPN dapat dibangun oleh banyak clien dari manapun karena
biasanya NAS milik ISP tersebut memang sering kali dibuka untuk umum.
- R emote Site VPN
Remote-acces juga disebut sebagi Virtual private dial-up network (VPDN), adalah sebuah
koneksi (seperti LAN) yang digunakan oleh sebuah perusahaan yang mempunyai pegawai
yang membutuhkan koneksi ke jaringan private(pribadi) dari beberapa lokasi yang jauh.
Biasanya, sebuah perusahaan yang ingin mengembangkan remote-acces VPN akan
menggunakan jasa enterprise service provider (ESP). ESP akan menyiapkan sebuah
network access server (NAS) dan akan menyiapkan sebuah VPN client software yang
akan digunakan pada dekstop user (pengguna).Kemudian sebuah dial number digunakan
untuk mengakses NAS dan kemudian menggunakan VPN client software untuk memasuki
jaringan perusahaan.
- Site-To-Site VPN
Melalui sebuah penggunaan peralatan khusus dan metode-metode enkripsi, sebuah
perusahaan dapat menghubungkan berbagai lokasi melalui sebuah publin network
misalnya internet.
6. Authentification adalah proses dalam rangka validasi user pada saat memasuki sistem,
nama dan password dari user di cek melalui proses yang mengecek langsung ke daftar
mereka yang diberikan hak untuk memasuki sistem tersebut.
5/12/2018 tugas 2 keamanan jaringan - slidepdf.com
http://slidepdf.com/reader/full/tugas-2-keamanan-jaringan 3/6
Contohnya: Penggunaan analisis suara (voice recognation), dan analisis tulisan tangan.
7. Authorization
Merupakan hak akses yang diperuntukkan user untuk diijinkan melakukan
pembuatan seperti penghapusan indeks, relasi baru dalam database, melakukan
penambahan dan penghapusan atribut baru dalam relasi ( hubungan ) dalam
database.
Contoh:
Misalkan seorang pegawai Bank ingin perlu mengetahui nama nasabah setiap
cabang, tetapi tidak diperkenankan melihat informasi mengenai pinjaman. Pendekatan : ti
adakan akses langsung terhadap relasi (hubungan) loan,
tetapi diberikan hak akses terhadap view cust_loan, yang berisikan nama ±
nama nasabah dan cabang dimana mereka memiliki pinjaman.
8. Seharusnya tidak satupun dalam sebuah perusahaan yang menanyakan password.Dalam
kondisi kesulitan teknis sekalipun, administrator akan me-reset password. Jangan pernah
membuka password kepada siapapun dan jika diminta, laporkan kepada keamanan
korporasi sesegera mungkin.
9. serangan Ddos adalah salah satu ancaman keamanan jaringan yang membuat suatu
layanan jaringan jadi mampet, serangan yang membuat jaringan anda tidak bisa diakses
atau serangan yang membuat system anda tidak bisa memproses atau merespon terhadap
traffic yang legitimasi atau permintaan layanan terhadap object dan resource jaringan.
Sistem beroperasinya ada beberapa cara:
* Ping of Death menggunakan program utility ping yang ada di sistem operasi komputer.
Biasanya ping digunakan untuk men-cek berapa waktu yang dibutuhkan untuk
mengirimkan sejumlah data tertentu dari satu komputer ke komputer lain. Panjang
maksimum data yang dapat dikirim menurut spesifikasi protokol IP adalah 65,536 byte.
Pada Ping of Death data yang dikirim melebihi maksimum paket yang di ijinkan menurut
spesifikasi protokol IP. Konsekuensinya, pada sistem yang tidak siap akan menyebabkan
sistem tersebut crash (tewas), hang (bengong) atau reboot (booting ulang) pada saat sistem
tersebut menerima paket yang demikian panjang. Serangan ini sudah tidak baru lagi,
semua vendor sistem operasi telah memperbaiki sistem-nya untuk menangani kiriman
paket yang oversize.
5/12/2018 tugas 2 keamanan jaringan - slidepdf.com
http://slidepdf.com/reader/full/tugas-2-keamanan-jaringan 4/6
* Teardrop teknik ini dikembangkan dengan cara mengeksplotasi proses
disassembly-reassembly paket data. Dalam jaringan Internet, seringkali data harus di
potong kecil-kecil untuk menjamin reliabilitas & proses multiple akses jaringan.
Potongan paket data ini, kadang harus dipotong ulang menjadi lebih kecil lagi pada
saat di salurkan melalui saluran Wide Area Network (WAN) agar pada saat melalui
saluran WAN yang tidak reliable proses pengiriman data menjadi lebih reliable. Pada
proses pemotongan data paket yang normal setiap potongan di berikan informasi
offset data yang kira-kira berbunyi potongan paket ini merupakan potongan 600 byte
dari total 800 byte paket yang dikirim. Program teardrop akan memanipulasi offset
potongan data sehingga akhirnya terjadi overlapping antara paket yang diterima di
bagian penerima setelah potongan-potongan paket ini di reassembly. Seringkali,
overlapping ini menimbulkan system yang crash, hang & reboot di ujung sebelah
sana.
* SYN Attack - kelemahan dari spesifikasi TCP/IP, dia terbuka terhadap serangan
paket SY N. Paket SY N dikirimkan pada saat memulai handshake (jabat tangan)
antara dia aplikasi sebelum transaksi / pengiriman data dilakukan. Pada kondisi
normal, aplikasi klien akan mengirimkan paket TCP SY N untuk mensinkronisasi
paket pada aplikasi di server (penerima). Server (penerima) akan mengirimkan
respond berupa acknowledgement paket TCP SY N ACK. Setelah paket TCP SY N
ACK di terima dengan baik oleh klien (pengirim), maka klien (pengirim) akan
mengirimkan paket ACK sebagai tanda transaksi pengiriman / penerimaan data akan
di mulai. Dalam serangan SY N flood (banjir paket SY N), klien akan membanjiri
server dengan banyak paket TCP SY N. Setiap paket TCP SY N yang dikirim akan
menyebabkan server menjawab dengan paket TCP SY N ACK. Server (penerima)
akan terus mencatat (membuat antrian backlog) untuk menunggu responds TCP ACK
dari klien yang mengirimkan paket TCP SY N. Tempat antrian backlog ini tentunya
terbatas & biasanya kecil di memori. Pada saat antrian backlog ini penuh, sistem tidak
akan merespond paket TCP SY N lain yang masuk dalam bahasa sederhana-nya sistem
tampak bengong / hang. Sialnya paket TCP SY N ACK yang masuk antrian backlog
hanya akan dibuang dari backlog pada saat terjadi time out dari timer TCP yang
menandakan tidak ada responds dari klien pengirim. Biasanya internal timer TCP ini
di set cukup lama. Kunci SY N attack adalah dengan membanjiri server dengan paket
TCP SY N menggunakan alamat IP sumber (source) yang kacau. Akibatnya, karena
5/12/2018 tugas 2 keamanan jaringan - slidepdf.com
http://slidepdf.com/reader/full/tugas-2-keamanan-jaringan 5/6
alamat IP sumber (source) tersebut tidak ada, jelas tidak akan ada TCP ACK yang
akan di kirim sebagai responds dari responds paket TCP SY N ACK. Dengan cara ini,
server akan tampak seperti bengong & tidak memproses responds dalam waktu yang
lama. Berbagai vendor komputer sekarang telah menambahkan pertahanan untuk
SY N attack ini & juga programmer firewall juga menjamin bahwa firewall mereka
tidak mengirimkan packet dengan alamat IP sumber (source) yang kacau.
* Land Attack hacker membanjiri jaringan dengan paket TCP SY N dengan alamat IP
sumber dari sistem yang di serang. Biarpun dengan perbaikan SY N attack di atas,
Land attack ternyata menimbulkan masalah pada beberapa sistem. Serangan jenis ini
relatif baru, beberapa vendor sistem operasi telah menyediakan perbaikannya. Cara
lain untuk mempertahankan jaringan dari serangan Land attack ini adalah dengan
memfilter pada software firewall anda dari semua paket yang masuk dari alamat IP
yang diketahui tidak baik. Paket yang dikirim dari internal sistem anda biasanya tidak
baik, oleh karena itu ada baiknya di filter alamat 10.0.0.0-10.255.255.255, 127.0.0.0-
127.255.255.255, 172.16.0.0-172.31.255.255, dan 192.168.0.0-192.168.255.255.
* Smurf Attack - jauh lebih menyeramkan dari serangan Smurf di cerita kartun.
Smurf attack adalah serangan secara paksa pada fitur spesifikasi IP yang kita kenal
sebagai direct broadcast addressing. Seorang Smurf hacker biasanya membanjiri
router kita dengan paket permintaan echo Internet Control Message Protocol (ICMP)
yang kita kenal sebagai aplikasi ping. Karena alamat IP tujuan pada paket yang
dikirim adalah alamat broadcast dari jaringan anda, maka router akan mengirimkan
permintaan ICMP echo ini ke semua mesin yang ada di jaringan. Kalau ada banyak
host di jaringan, maka akan terhadi trafik ICMP echo respons & permintaan dalam
jumlah yang sangat besar. Lebih sial lagi jika si hacker ini memilih untuk men-spoof
alamat IP sumber permintaan ICMP tersebut, akibatnya ICMP trafik tidak hanya akan
memacetkan jaringan komputer perantara saja, tapi jaringan yang alamat IP-nya di
spoof jaringan ini di kenal sebagai jaringan korban (victim). Untuk menjaga agar
jaringan kita tidak menjadi perantara bagi serangan Smurf ini, maka broadcast
addressing harus di matikan di router kecuali jika kita sangat membutuhkannya untuk
keperluan multicast, yang saat ini belum 100% di definikan. Alternatif lain, dengan
cara memfilter permohonan ICMP echo pada firewall. Untuk menghindari agar
jaringan kita tidak menjadi korban Smurf attack, ada baiknya kita mempunyai
5/12/2018 tugas 2 keamanan jaringan - slidepdf.com
http://slidepdf.com/reader/full/tugas-2-keamanan-jaringan 6/6
upstream firewall (di hulu) yang di set untuk memfilter ICMP echo atau membatasi
trafik echo agar presentasinya kecil dibandingkan trafik jaringan secara keseluruhan.
* UDP Flood pada dasarnya mengkaitkan dua (2) sistem tanpa disadarinya. Dengan
cara spoofing, User Datagram Protocol (UDP) flood attack akan menempel pada
servis UDP chargen di salah satu mesin, yang untuk keperluan akan mengirimkan
sekelompok karakter ke mesin lain, yang di program untuk meng-echo setiap kiriman
karakter yang di terima melalui servis chargen. Karena paket UDP tersebut di
spoofing antara ke dua mesin tersebut, maka yang terjadi adalah banjir tanpa henti
kiriman karakter yang tidak berguna antara ke dua mesin tersebut. Untuk
menanggulangi UDP flood, anda dapat men-disable semua servis UDP di semua
mesin di jaringan, atau yang lebih mudah memfilter pada firewall semua servis UDP
yang masuk. Karena UDP dirancang untuk diagnostik internal, maka masih aman jika
menolak semua paket UDP dari Internet. Tapi jika kita menghilangkan semua trafik
UDP, maka beberapa aplikasi yang betul seperti RealAudio, yang menggunakan UDP
sebagai mekanisme transportasi, tidak akan jalan.