-
UUJJIIAANNAAKKHHIIRRSSEEMMEESSTTEERR
Dosen : MardiHardjianto,M.Kom.SifatUjian :
TakeHomeTestMataKuliah : KeamananSistemdanJaringanKomputerKelas
:XBNama :YogaPrihastomoNIM : 1011601026
MMAAGGIISSTTEERRIILLMMUUKKOOMMPPUUTTEERRUUNNIIVVEERRSSIITTAASSBBUUDDIILLUUHHUURRTTAA..2200111122001122
-
UAS:KeamananSistemdanJaringanKomputer
halaman1
1. Rancangkan sebuah infrastruktur jaringan komputer yang baik
menurutSaudara dimana di dalam jaringan tersebut terdapat database
server, web
server,mailserver,firewalldanjaringanintranet.Berikanaturanaturanyang
harusadadifirewall.
Jawab:
Pengantar
Firewall merupakan suatu cara/sistem/mekanisme yang diterapkan
baik
terhadaphardware,softwareataupunsistemitusendiridengantujuanuntuk
melindungi,baikdenganmenyaring,membatasiataubahkanmenolaksuatu
atausemuahubungan/kegiatansuatusegmenpada
jaringanpribadidengan
jaringan luar yang bukan merupakan ruang lingkupnya. Segmen
tersebut
dapatmerupakansebuahworkstation,server,router,ataulocalareanetwork.
KarakteristikFirewall:
a) Seluruh hubungan/kegiatan dari dalam ke luar, harusmelewati
firewall.Halinidapatdilakukandengancaramemblok/membatasibaiksecarafisik
semua akses terhadap jaringan lokal, kecuali melewati firewall.
Banyak
sekalibentukjaringanyangmemungkinkan.
b) Hanya kegiatan yang terdaftar/dikenal yang
dapatmelewati/melakukanhubungan, hal ini dapat dilakukan dengan
mengatur policy pada
konfigurasikeamananlokal.Banyaksekalijenisfirewallyangdapatdipilih
sekaligusberbagaijenispolicyyangditawarkan.
c) Firewall itu sendiri haruslah kebal atau relatif kuat
terhadapserangan/kelemahan. Hal ini berarti penggunaan sistem yang
dapat
dipercayadandenganoperatingsystemyangrelatifaman.
TeknikYangDigunakanOlehFirewall:
a) ServiceControl(kendaliterhadaplayanan)Berdasarkan tipetipe
layanan yang digunakan di internet dan boleh
diakses baik untuk kedalam ataupun keluar firewall. Biasanya
firewall
akanmenceknomorIPAddressdanjuganomorportyangdigunakanbaik
padaprotokolTCPdanUDP,bahkanbisadilengkapisoftwareuntukproxy
yangakanmenerimadanmenterjemahkansetiappermintaanakansuatu
layanan sebelummengijinkannya.Bahkanbisa jadi software pada
server
itusendiri,sepertilayananuntukwebataupununtukmail.
-
UAS:KeamananSistemdanJaringanKomputer
halaman2
b) DirectionConrol(kendaliterhadaparah)
Berdasarkan arah dari berbagai permintaan (request) terhadap
layanan
yangakandikenalidandiijinkanmelewatifirewall.
c) UserControl(kendaliterhadappengguna)
Berdasarkan pengguna/user untuk dapat menjalankan suatu
layanan,
artinyaadauseryangdapatdanadayangtidakdapatmenjalankansuatu
service,halinidikarenakanusertersebuttidakdiijinkanuntukmelewati
firewall. Biasanya digunakan untuk membatasi user dari jaringan
lokal
untuk mengakses keluar, tetapi bisa juga diterapkan untuk
membatasi
terhadappenggunadariluar.
d) BehaviorControl(kendaliterhadapperlakuan)
Berdasarkanseberapabanyaklayananitutelahdigunakan.Misal,firewall
dapatmemfilteremailuntukmenanggulangi/mencegahspam.
KonfigurasiFirewall:
a) ScreenedHostFirewallSystem(singlehomedbastion)
Pada konfigurasi ini, fungsi firewall akan dilakukan oleh packet
filtering
routerdanbastionhost*.Routerinidikonfigurasikansedemikiansehingga
untuksemuaarusdatadariInternet,hanyapaketIPyangmenujubastion
host yang di ijinkan. Sedangkan untuk arus data (traffic) dari
jaringan
internal, hanya paket IP dari bastion host yang di ijinkan untuk
keluar.
Konfigurasi ini mendukung fleksibilitas dalam akses internet
secara
langsung, sebagai contoh apabila terdapatweb server pada
jaringan ini
makadapatdikonfigurasikanagarwebserverdapatdiakseslangsungdari
internet.BastionHostmelakukan fungsi Authentikasi dan fungsi
sebagai
proxy. Konfigurasi ini memberikan tingkat keamanan yang lebih
baik
daripada packetfiltering router atau applicationlevel gateway
secara
terpisah.
b) ScreenedHostFirewallSystem(dualhomedbastion)
Pada konfigurasi ini, secara fisik akan terdapat patahan/celah
dalam
jaringan.Kelebihannyaadalahdenganadanyaduajaluryangmemisahkan
secara fisik maka akan lebih meningkatkan keamanan dibanding
konfigurasipertama,adapununtukserverserveryangmemerlukandirect
accsess(akseslangsung)makadapatdiletakkanditempat/segmenrtyang
-
UAS:KeamananSistemdanJaringanKomputer
halaman3
langsung berhubungan dengan internet. Hal ini dapat dilakukan
dengan
caramenggunakan2buahNIC(networkinterfacecard)padabastionhost.
c) Screenedsubnetfirewall
Ini merupakan konfigurasi yang paling tinggi tingkat
keamanannya.
Kenapa? Karena pada konfigurasi ini di gunakan 2 buah packet
filtering
router, 1 diantara internet dan bastion host, sedangkan 1 lagi
diantara
bastian host dan jaringan lokal konfigurasi inimembentuk subnet
yang
terisolasi.Adapunkelebihannyaadalah:
Terdapat3lapisan/tingkatpertahananterhadappenyusup/intruder.
Routerluarhanyamelayanihubunganantarainternetdanbastionhost
sehinggajaringanlokalmenjaditakterlihat(invisible).
Jaringanlokaltidakdapatmengkonstuksiroutinglangsungkeinternet,atau
dengan kata lain, internetmenjadi invisible (bukan berarti
tidak
bisamelakukankoneksiinternet).
LangkahLangkahMembangunFirewall:
a) Mengidenftifikasi bentuk jaringan yang dimiliki. Mengetahui
bentukjaringan yangdimiliki khususnya toplogi yangdi gunakan
sertaprotocol
jaringan,akanmemudahkandalammendesainsebuahfirewall
b) Menentukan policy atau kebijakan. Penentuan Kebijakan atau
policymerupakanhalyangharusdilakukan,baikatauburuknyasebuahfirewall
yangdibangunsangatditentukanolehpolicy/kebijakanyangditerapkan:
Menentukanapasajayangperludilayani.Artinya,apasajayangakandikenaipolicyataukebijakanyangakankitabuat
Menentukan individu atau kelompokkelompok yang akan
dikenakanpolicyataukebijakantersebut
Menentukanlayananlayananyangdibutuhkanolehtiaptiapindividuataukelompokyangmenggunakanjaringan
Berdasarkan setiap layanan yang di gunakan oleh individu
ataukelompok tersebut akan ditentukan bagaimana konfigurasi
terbaik
yangakanmembuatnyasemakinaman
Menerapkankansemuapolicyataukebijakantersebut.
-
UAS:KeamananSistemdanJaringanKomputer
halaman4
c) Menyiapkan software atau hardware yang akan digunakan. Baik
ituoperating system yang mendukung atau softwaresoftware khusus
pendukung firewall seperti ipchains, atau iptables pada linux,
dsb. Serta
konfigurasihardwareyangakanmendukungfirewalltersebut.
d)
Melakukantestkonfigurasi.Pengujianterhadapfirewallyangtelahselesaidibangunharuslahdilakukan,terutamauntukmengetahuihasilyangakan
kita dapatkan, caranya dapat menggunakan tools. Tools yang
biasa
dilakukanuntukmengauditsepertinmap.
StudiKasusdiketahuipadasebuahareaterdapat:databaseserver,webserver,
mailserver,firewalldanjaringanintranet.
Gambar1.SkemaKonfigurasiJaringanSecaraSederhana
Asumsiasumsi:
a) Sistem operasi web server dan database server adalah Linux
keluargaRedHat(CentOS).
b) IPTablessebagaiFirewall;
c) SELinux(SecurityEnhanced),SELinuxmembuatsistemlebihaman;
d) DatabaseyangdigunakanadalahMySQL;
e) WebserveryangdigunakanadalahApache.
f) MailServermenggunakansquirrelmail.
-
UAS:KeamananSistemdanJaringanKomputer
halaman5
Berikutiniadalahaturanaturanyangharusadadifirewall:
a) Scriptfirewallvi /root/firewall.sh #!/bin/sh ### Flush any
Existing iptable Rules and start afresh ### iptables -F INPUT
iptables -F OUTPUT iptables -F FORWARD iptables -F POSTROUTING -t
nat iptables -F PREROUTING -t nat ### Set our own simple iptable
rules ### iptables -A INPUT -p tcp --dport 80 -j ACCEPT //apache
iptables -A INPUT -p tcp --dport 443 -j ACCEPT //apache ssl
iptables -A INPUT -p tcp --dport 53 -j ACCEPT //dns - udp for large
queries iptables -A INPUT -p udp --dport 53 -j ACCEPT //dns - udp
for small queries iptables -A INPUT -p tcp --dport 953 -j ACCEPT
//dns internal iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
//dante socks server iptables -A INPUT -d 136.201.1.250 -p tcp
--dport 22 -j ACCEPT //sshd iptables -A INPUT -d 136.201.1.250 -p
tcp --dport 3306 -j ACCEPT //mysql iptables -A INPUT -d
136.201.1.250 -p tcp --dport 8000 -j ACCEPT //apache on phi
iptables -A INPUT -s 136.201.1.250 -p tcp --dport 8080 -j ACCEPT
//jboss for ejc iptables -A INPUT -d 136.201.1.250 -p tcp --dport
993 -j ACCEPT //imaps iptables -A INPUT -s 127.0.0.1 -p tcp --dport
111 -j ACCEPT //to speed up mail via courier. Identified via
logging iptables -A INPUT -d 136.201.1.250 -p tcp --dport 139 -j
ACCEPT //samba iptables -A INPUT -s 127.0.0.1 -p tcp --dport 143 -j
ACCEPT //squirrelmail iptables -A INPUT -p tcp --dport 4949 -j
ACCEPT //munin stats iptables -A INPUT -p tcp --dport 25 -j ACCEPT
//incoming mail iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
//squid iptables -A INPUT -p udp --dport 161 -j ACCEPT //snmpd
iptables -A INPUT -p icmp -j DROP //Allow ICMP Ping packets.
iptables -A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT iptables
-A INPUT -m state --state RELATED -j ACCEPT iptables -A INPUT -j
REJECT //Close up firewall. All else blocked.
################################# ##########PORT FORWARDING########
iptables -t nat -A PREROUTING -p tcp -d 136.201.1.250 --dport 8000
-j DNAT --to 136.201.146.211:80 iptables -t nat -A POSTROUTING -d
136.201.146.211 -j MASQUERADE ################################# b)
Mengubahpermissionfiles:chmod 755 /root/firewall.sh
/root/firewall.sh
-
UAS:KeamananSistemdanJaringanKomputer
halaman6
c) Jalankanservicefirewall/etc/init.d/iptables start
2. Bila Saudara bekerja di sebuah perusahaan kecil
yangmemilikiweb
serverdandatabaseserveryangharusdijadikansatudalamsebuahserver,langkah
langkah apa yang Saudara lakukan untuk mengamankan database
yang
terdapatdidatabaseservertersebut.
Jawab:
Asumsiasumsiuntuksoaldiatas:
g) Sistem operasi web server dan database server adalah Linux
keluargaRedHat(CentOS).
h) IPTablessebagaiFirewall;
i) SELinux(SecurityEnhanced),SELinuxmembuatsistemlebihaman;
j) DatabaseyangdigunakanadalahMySQL;
k) WebserveryangdigunakanadalahApache.
Gambar2.SingleServerYangMemuatWebDanDatabaseServer
Langkahlangkah yang saya lakukan untuk mengamankan database
yang
terdapatdidatabaseserverdiatasadalahsebagaiberikut:
a) Mematikan layanan/serviceservice yang tidak diperlukan.
Terbukanyasebuah service yang tidak diperlukan akan menambah celah
keamanan
komputer.Hacker akan dapat mengetahui service apa saja yang
sedang
aktifmenggunakantoolssepertinmap.Semakinbanyakserviceyangjalan,
makasemakinrentansuatukomputeruntukdiserang.
-
UAS:KeamananSistemdanJaringanKomputer
halaman7
b) Mengaktifkan firewall, melakukan setting yang tepat terhadap
IPTables.Blok/droplah semua komunikasi yang mencurigakan dan dari
IP yang
tidakdikenal.
c)
Janganmenjalankandaemonhttpsebagairoot.Gunakansuatuuserkhususuntuk
httpd, tentukan /bin/false dan shell dari user dan tempatkan
namanyadalamfile/etc/ftpusers.
d) Mempassword root (account tertinggi)database server
denganpasswordyang strong (kombinasi huruf, angka, dan karakter
spesial). Dan
menggantinyasecaraberkala.
e)
Memastikanbahwadidatabaseservertidakadaaccountyangdapatloginsecaraanonymous.
f)
MengaktifkanSELinuxmembuatsistemlebihaman.DengancatatanperlupenangananataukonfigurasiSELinuxyangakurat.
g) Melakukan Data Control Language (DCL) berupa perintah GRANT
danREVOKE. Database Adminstrator (DBA) harus melakukan GRANT
dan
REVOKE yang tepat terhadap pengguna database sesuai dengan
(hak
aksesnya)privilegesnya.
h) LakukankoneksimelaluimekanismeSecureSocketLayer (SSL)
jikaakanmengaksesdatabaseserversecaraweb.
i) Memeriksa log secara berkala. Logging sistem dapat
memberikangambaranmengenaikeadaansistem.Seorangsystemengineer/DBAdapat
memantaulogsystemataudatabasenyamelaluimekanismelogyangbaik.
j) Melakukanaudit trail terhadap aplikasi
yangmengaksesdatabase.Audittrail akan mencatat setiap transaksi
yang dilakukan oleh pengguna
aplikasi. Sehingga di kemudian hari dapat dilakukan pengawasan
oleh
auditor(baikinternalmaupuneksternal).
k) Mengganti nomor port standard sebuah layanan. Untuk
mengecohinteruder,portdapatdiubahnilaidefaultnya.
-
UAS:KeamananSistemdanJaringanKomputer
halaman8
3. Biladiketahuisebuahnilaihash:
96101379a05cb8f3cfeeebd54c613551
ApaPlaintextdarinilaihash tersebut?Sebagai informasinilaihash
tersebut
didapatdenganmengunakanMD5.
Jawab:
Dalam kriptografi, MD5 (MessageDigest algortihm 5) ialah fungsi
hash
kriptografik yang digunakan secara luas dengan hash value
128bit. Pada
standart internet (RFC 1321). MD5 telah dimanfaatkan secara
bermacam
macam pada aplikasi keamanan, dan MD5 juga umum digunakan
untuk
melakukanpengujianintegritassebuahberkas(checksum).
MD5didesainolehRonaldRivestpadatahun1991untukmenggantikanhash
function sebelumnya, MD4. Pada tahun 1996, sebuah kecacatan
ditemukan
dalamdesainnya,walaubukankelemahan fatal,
penggunakriptografimulai
menganjurkan menggunakan algoritma lain, seperti SHA1 (klaim
terbaru
menyatakanbahwaSHA1jugacacat).Padatahun2004,kecacatankecacatan
yang lebih serius ditemukan menyebabkan penggunaan algoritma
tersebut
dalamtujuanuntukkeamananjadimakindipertanyakan.
MD5 merupakan teknik kriptografi satu arah, artinya hash
yang
dihasilkantidakdapatdikembalikandalambentukplaintext.
Namun, beberapa situs menyediakan jasa MD5Decrypter untuk
mengubah
nilai hash menjadi bentuk plaintext. Nilai hash pada soal jika
di dekripsi
sesuaidenganwebsite:http://www.md5decrypter.co.uk/adalahPiksi.
Berikutscreenshootnya:
Namun, apabila kata Piksi dilakukan enkripsi dengan metode MD5,
maka
hashyangdihasilkantidaklahsama.
