TASK 6
1. Konsep
Keamanan Jaringan
Keamanan jaringan komputer sebagai bagian dari sebuah sistem informasi adalah sangat penting untuk menjaga validitas dan integritas data serta menjamin keterrsediaan layanan begi penggunanya. Sistem harus dilindungi dari segala macam serangan dan usaha-usaha penyusupan atau pemindaian oleh pihak yang tidak berhak.
Komputer yang terhubung ke jaringan mengalami ancaman keamanan yang lebih besar daripada host yang tidak terhubung kemana-mana. Dengan mengendalikan network security, resiko tersebut dapat dikurangi. Namun network security biasanya bertentangan dengan network acces, karena bila network acces semakin mudah, network security makin rawan. Bila network security makin baik, network acces semakin tidak nyaman. Suatu jaringan didesain sebagai komunikasi data highway dengan tujuan meningkatkan akses ke sistem komputer, sementara keamanan didesain untuk mengontrol akses. Penyediaan network security adalah sebagai aksi penyeimbang antara open acces dengan security.
Prinsip Keamanan Jaringan
Prinsip keamanan jaringan dapat dibedakan menjadi tiga, yaitu :
a. Kerahasiaan (secrecy)
Secrecy berhubungan dengan hak akses untuk membaca data atau informasi dan suatu system computer. Dalam hal ini suatu sistem komputer dapat dikatakan aman jika suatu data atau informasi hanya dapat dibaca oleh pihak yang telah diberi hak atau wewenang secara legal.
b. Integritas (integrity)
Integrity berhubungan dengan hak akses untuk mengubah data atau informasi dari suatu sistem computer. Dalam hal ini suatu sistem komputer dapat dikatakan aman jika suatu data atau informasi hanya dapat diubah oleh pihak yang telah diberi hak.
c. Ketersediaan (availability)
Availability berhubungan dengan ketersediaan data atau informasi pada saat yang dibutuhkan. Dalam hal ini suatu sistem komputer dapat dikatakan aman jika suatu data atau informasi yang terdapat pada sistem komputer dapat diakses dan dimanfaatkan oleh pihak yang berhak.
d. Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul asli, orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud, atau server yang kita hubungi adalah betul-betul server yang asli.
Untuk membuktikan keaslian dokumen dapat dilakukan dengan teknologi watermarking dan digital signature. Sedangkan untuk menguji keaslian orang atau server yang dimaksud bisa dilakukan dengan menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya. Ada tiga hal yang dapat ditanyakan kepada orang untuk menguji siapa dia :
* What you have (misalnya kartu identitas ~KTP,SIM,dll~)
* What you know (misalnya PIN atau password)
* What you are (misalnya sidik jari, biometric, Captcha)
e. Akses Kontrol
Aspek kontrol merupakan fitur-fitur keamanan yang mengontrol bagaimana user dan sistem berkomunikasi dan berinteraksi dengan system dan sumberdaya yang lainnya. Akses kontrol melindungi sistem dan sumberdaya dari akses yang tidak berhak dan umumnya menentukan tingkat otorisasi setelah prosedur otentikasi berhasil dilengkapi.
Kontrol akses adalah sebuah term luas yang mencakup beberapa tipe mekanisme berbeda yang menjalankan fitur kontrol akses pada sistem komputer, jaringan, dan informasi. Kontrol akses sangatlah penting karena menjadi satu dari garis pertahanan pertama yang digunakan untuk menghadang akses yang tidak berhak ke dalam sistem dan sumberdaya jaringan.
f. Non-Repudiation
Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Penggunaan digital signature, certificates, dan teknologi kriptografi secara umum dapat menjaga aspek ini. Akan tetapi hal ini masih harus didukung oleh hukum sehingga status dari digital signature itu jelas legal.
2. Konsep VPN
VPN adalah singkatan dari virtual private
network, yaitu jaringan pribadi (bukan untuk akses umum) yang menggunakan
medium nonpribadi (misalnya internet) untuk menghubungkan antar remote-site
secara aman. Perlu penerapan teknologi tertentu agar walaupun menggunakan medium
yang umum.
·
virtual
network, yang berarti
jaringan yang terjadi hanya bersifat virtual. Tidak ada koneksi jaringan secara
riil antara 2 titik yang akan berhubungan.
·
private, jaringan yang terbentuk bersifat
private dimana tidak semua orang bisa mengaksesnya. Data yang
dikirimkan terenkripsi sehingga tetap rahasia meskipun melalui
jaringan publik.
Dengan
VPN ini kita seolah-olah membuat jaringan didalam jaringan atau biasa disebut tunnel(terowongan). Tunneling adalah
suatu cara membuat jalur privat dengan menggunakan infrastruktur pihak ketiga.
VPN menggunakan salah satu dari tiga teknologi tunneling yang ada yaitu: PPTP, L2TPdan
standar terbaru, Internet
Protocol Security (biasa disingkat
menjadi IPSec). VPN merupakan perpaduan antara teknologi tunneling dan
enkripsi.
Dibawah ini adalah gambaran tentang koneksi VPN yang menggunakan protokol PPTP. PPTP (Pont to Point Tunneling Protocol) adalah sebuah protokol yang mengizinkan hubungan Point-to Point Protocol (PPP) melewati jaringan IP, dengan membuat Virtual Private Network (VPN).
Dibawah ini adalah gambaran tentang koneksi VPN yang menggunakan protokol PPTP. PPTP (Pont to Point Tunneling Protocol) adalah sebuah protokol yang mengizinkan hubungan Point-to Point Protocol (PPP) melewati jaringan IP, dengan membuat Virtual Private Network (VPN).
a. Fungsi VPN
1. Bypass segala blocking yang
dilakukan oleh kampus, kantor, ISP dan lain sebagainya sehingga Anda bebas
membuka situs apa saja, download torrent hingga update antivirus.
2. Anonymous Surfing on internet.
3. Keamanan informasi yang Anda terima maupun yang Anda kirim di internet dengan enkripsi 1024bit.
4. Menjaga keamanan User dan Password Anda dari sniffers.
2. Anonymous Surfing on internet.
3. Keamanan informasi yang Anda terima maupun yang Anda kirim di internet dengan enkripsi 1024bit.
4. Menjaga keamanan User dan Password Anda dari sniffers.
Keuntungan / manfaat dari
teknologi VPN diantaranya adalah:
·
Remote Access, dengan VPN kita dapat mengakses komputer atau
jaringan kantor, dari mana saja selama terhubung ke internet
·
Keamanan,
dengan koneksi VPN kita bisa berselancar dengan aman ketika menggunakan akses
internet publik seperti hotspot atau internet cafe.
·
Menghemat
biaya setup jaringan, VPN dapat digunakan sebagai teknologi alternatif untuk
menghubungkan jaringan lokal yang luas dengan biaya yang relatif kecil, karena
transmisi data teknologi VPN menggunakan media jaringan public yang sudah ada
tanpa perlu membangun jaringan pribadi.
b. Contoh
implementasi VPN
Implementasi VPN
(Virtual Private Network) pada shorewall dengan metode GRE dan IPIP tunnels
GRE dan IPIP tunneling dengan
Shorewall dapat digunakan untuk menjembatani dua buah network
atau jaringan yang di masquerade.
Dalam tulisan kali ini penulis akan mencoba menerapkan GRE
dan IPIP tunneling dengan
shorewall guna menghasilkan vpn. Skenario jaringan dapat Anda lihat
pada gambar.1.
Gambar.1.Skenario
jaringan VPN dengan GRE dan IPIP tunnel
B. Kernel mendukung GRE dan IPIP
tunnels
Persyaratan penerapan GRE dan
IPIP tunneling adalah bahwa kernel linux Anda mendukung
GRE dan IPIP tunneling tentunya.
Coba Anda lakukan pengecekan dukungan GRE dan IPIP
tunneling pada masingmaisng
system (A dan B).
pada system A:
[root@venus
shorewall]# grep i
gre
/boot/config2.6.116mdk
CONFIG_NET_IPGRE=m
CONFIG_NET_IPGRE_BROADCAST=y
CONFIG_NET_SCH_GRED=m
CONFIG_NET_SCH_INGRESS=m
[root@venus
shorewall]# grep i
ipip
/boot/config2.6.116mdk
CONFIG_NET_IPIP=m
pada system B:
[root@similikiti
shorewall]# grep i
gre
/boot/config2.6.161.2122_
FC5smp
CONFIG_NET_IPGRE=m
CONFIG_NET_IPGRE_BROADCAST=y
CONFIG_NET_SCH_GRED=m
CONFIG_NET_SCH_INGRESS=m
[root@similikiti
shorewall]# grep i
ipip
/boot/config2.6.161.2122_
FC5smp
CONFIG_NET_IPIP=m
[root@similikiti
shorewall]#
Jika output seperti kedua contoh
diatas berarti system A dan B sudah mendukung GRE dan IPIP
tunnel.
C. Konfigurasi shorewall
Langkah berikutnya melakukan
konfigurasi shorewall untuk keperluan VPN tersebut, disini
diasumsikan pada kedua sistem
sebelumnya bahwa shorewall pada masingmasing
sistem telah
terinstall dan telah
dikonfigurasi dengan benar sebagai internet sharing (masquerade enable). Dan
Anda selanjutnya hanya
menambahkan konfigurasi VPN pada shorewall dengan metode GRE dan
IPIP tunneling ini. Untuk itu
ikuti langkahlangkahnya
berikut
ini:
Pada sistem A:
• Edit file /etc/shorewall/zones,
dan tambahkan baris berikut ini:
#ZONE TYPE
OPTIONS
vpn ipv4
• Edit file
/etc/shorewall/interfaces, dan tambahkan baris berikut ini:
#ZONE INTERFACE
BROADCAST OPTIONS
vpn tosysb
192.168.1.255
• Edit file
/etc/shorewall/tunnels, dan tambahkan baris berikut ini:
# TYPE ZONE
GATEWAY GATEWAY ZONE
ipip net
202.159.11.158
• Edit file
/etc/shorewall/policy, dan tambahkan baris berikut ini:
#SOURCE DEST
POLICY
fw vpn ACCEPT
loc vpn ACCEPT
vpn loc ACCEPT
vpn fw ACCEPT
• Edit file /etc/shorewall/rules,
dan tambahkan baris berikut ini:
#ACTION SOURCE
DEST PROTO
ACCEPT
net:202.159.11.158 fw
• Membuat/Mengedit file start up
script “tunnel” atau Anda dapat mengkopinya dari contoh
yang sudah ada, umumnya jika Anda
install shorewall dari paket rpm berada pada direktori
/usr/share/doc/<shorewallversion>/
tunnel. Contoh shorewall anda
versi 3.0.5, maka
lakukan hal ini:
# cp
/usr/share/doc/shorewall3.0.5/
tunnel
/etc/shorewall/
# chmod 755
/etc/shorewall/tunnel
Selanjutnya edit file /etc/shorewall/tunnel
dan edit beberapa parameter didalam file tersebut
seperti berikut ini:
tunnel_type=gre
tunnel=tosysb
myrealip=202.159.11.154
Implementasi VPN
(Virtual Private Network) pada shorewall dengan metode GRE dan IPIP tunnels
myip=192.168.0.254
hisip=192.168.1.1
gateway=202.159.11.158
subnet=192.168.1.0/24
Hal yang sama seharusnya
dilakukan pada sistem B, sbb:
• Edit file /etc/shorewall/zones,
dan tambahkan baris berikut ini:
#ZONE TYPE
OPTIONS
vpn ipv4
• Edit file
/etc/shorewall/interfaces, dan tambahkan baris berikut ini:
#ZONE INTERFACE
BROADCAST OPTIONS
vpn tosysa
192.168.0.255
• Edit file
/etc/shorewall/tunnels, dan tambahkan baris berikut ini:
# TYPE ZONE
GATEWAY GATEWAY ZONE
ipip net
202.159.11.154
• Edit file
/etc/shorewall/policy, dan tambahkan baris berikut ini:
#SOURCE DEST
POLICY
fw vpn ACCEPT
loc vpn ACCEPT
vpn loc ACCEPT
vpn fw ACCEPT
• Edit file /etc/shorewall/rules,
dan tambahkan baris berikut ini:
#ACTION SOURCE
DEST PROTO
ACCEPT
net:202.159.11.154 fw
• Membuat/Mengedit file start up
script “tunnel” atau Anda dapat mengkopinya dari contoh
yang sudah ada, umumnya jika Anda
install shorewall dari paket rpm berada pada direktori
/usr/share/doc/<shorewallversion>/
tunnel. Contoh shorewall anda
versi 3.0.5, maka
lakukan hal ini:
# cp
/usr/share/doc/shorewall3.0.5/
tunnel
/etc/shorewall/
# chmod 755
/etc/shorewall/tunnel
Selanjutnya
edit file /etc/shorewall/tunnel dan edit beberapa parameter didalam file
tersebut
seperti berikut ini:
tunnel_type=gre
tunnel=tosysa
myrealip=202.159.11.158
myip=192.168.1.1
hisip=192.168.0.254
gateway=202.159.11.154
subnet=192.168.0.0/24
D. Merestart shorewall dan
mengaktifkan tunneling
Pada system A:
[root@venus
shorewall]# shorewall restart
[root@venus
shorewall]# /etc/shorewall/tunnel restart
Pada system B:
[root@similikiti
shorewall]# shorewall restart
[root@similikiti
shorewall]# /etc/shorewall/tunnel restart
E. Uji coba dari kedua network
Kini tiba saatnya menguji koneksi
dari kedua network yang di isolasi dalam virtual private network
dengan GRE dan IPIP tunnel.
Dari network 192.168.1.0/24 :
[henry@rnd2
~]$ ping
192.168.0.254
PING
192.168.0.254 (192.168.0.254) 56(84) bytes of data.
64 bytes from
192.168.0.254: icmp_seq=0 ttl=63 time=0.606 ms
64 bytes from
192.168.0.254: icmp_seq=1 ttl=63 time=0.500 ms
192.168.0.254
ping statistics
2
packets
transmitted, 2 received, 0% packet loss, time 1001ms
rtt
min/avg/max/mdev = 0.500/0.553/0.606/0.053 ms, pipe 2
[henry@rnd2
~]$ ssh
192.168.0.254
henry@192.168.0.254's
password:
Last
login: Wed Aug 9 04:49:48 2006 from 192.168.1.193
[henry@venus ~]$
who
henry pts/0 Aug
9 03:15 (202.159.11.158)
henry pts/1 Aug
9 06:03 (192.168.1.31)
[henry@venus ~]$
Dari network 192.168.1.0/24 :
[root@venus
shorewall]# ping 192.168.1.31
PING
192.168.1.31 (192.168.1.31) 56(84) bytes of data.
64 bytes from
192.168.1.31: icmp_seq=1 ttl=63 time=0.440 ms
64 bytes from
192.168.1.31: icmp_seq=2 ttl=63 time=0.442 ms
64 bytes from
192.168.1.31: icmp_seq=3 ttl=63 time=0.459 ms
192.168.1.31
ping statistics
3
packets
transmitted, 3 received, 0% packet loss, time 2000ms
rtt
min/avg/max/mdev = 0.440/0.447/0.459/0.008 ms
[root@venus
shorewall]# ssh 192.168.1.31 l
henry
Warning:
Permanently added '192.168.1.31' (RSA) to the list of known hosts.
henry@192.168.1.31's
password:
Last login: Tue
Aug 8 17:54:52 2006 from 192.168.1.193
wh[henry@rnd2
~]$ who
henry :0 Aug 7
09:15
henry pts/0 Aug
8 08:41 (:0.0)
henry pts/1 Aug
8 09:29 (:0.0)
henry pts/2 Aug
8 14:11 (:0.0)
henry pts/3 Aug
8 19:10 (192.168.0.254)
[henry@rnd2
~]$
