yoga.uas.ksk
Post on 10-Nov-2015
218 Views
Preview:
TRANSCRIPT
-
UUJJIIAANNAAKKHHIIRRSSEEMMEESSTTEERR
Dosen : MardiHardjianto,M.Kom.SifatUjian : TakeHomeTestMataKuliah : KeamananSistemdanJaringanKomputerKelas :XBNama :YogaPrihastomoNIM : 1011601026
MMAAGGIISSTTEERRIILLMMUUKKOOMMPPUUTTEERRUUNNIIVVEERRSSIITTAASSBBUUDDIILLUUHHUURRTTAA..2200111122001122
-
UAS:KeamananSistemdanJaringanKomputer
halaman1
1. Rancangkan sebuah infrastruktur jaringan komputer yang baik menurutSaudara dimana di dalam jaringan tersebut terdapat database server, web
server,mailserver,firewalldanjaringanintranet.Berikanaturanaturanyang
harusadadifirewall.
Jawab:
Pengantar
Firewall merupakan suatu cara/sistem/mekanisme yang diterapkan baik
terhadaphardware,softwareataupunsistemitusendiridengantujuanuntuk
melindungi,baikdenganmenyaring,membatasiataubahkanmenolaksuatu
atausemuahubungan/kegiatansuatusegmenpada jaringanpribadidengan
jaringan luar yang bukan merupakan ruang lingkupnya. Segmen tersebut
dapatmerupakansebuahworkstation,server,router,ataulocalareanetwork.
KarakteristikFirewall:
a) Seluruh hubungan/kegiatan dari dalam ke luar, harusmelewati firewall.Halinidapatdilakukandengancaramemblok/membatasibaiksecarafisik
semua akses terhadap jaringan lokal, kecuali melewati firewall. Banyak
sekalibentukjaringanyangmemungkinkan.
b) Hanya kegiatan yang terdaftar/dikenal yang dapatmelewati/melakukanhubungan, hal ini dapat dilakukan dengan mengatur policy pada
konfigurasikeamananlokal.Banyaksekalijenisfirewallyangdapatdipilih
sekaligusberbagaijenispolicyyangditawarkan.
c) Firewall itu sendiri haruslah kebal atau relatif kuat terhadapserangan/kelemahan. Hal ini berarti penggunaan sistem yang dapat
dipercayadandenganoperatingsystemyangrelatifaman.
TeknikYangDigunakanOlehFirewall:
a) ServiceControl(kendaliterhadaplayanan)Berdasarkan tipetipe layanan yang digunakan di internet dan boleh
diakses baik untuk kedalam ataupun keluar firewall. Biasanya firewall
akanmenceknomorIPAddressdanjuganomorportyangdigunakanbaik
padaprotokolTCPdanUDP,bahkanbisadilengkapisoftwareuntukproxy
yangakanmenerimadanmenterjemahkansetiappermintaanakansuatu
layanan sebelummengijinkannya.Bahkanbisa jadi software pada server
itusendiri,sepertilayananuntukwebataupununtukmail.
-
UAS:KeamananSistemdanJaringanKomputer
halaman2
b) DirectionConrol(kendaliterhadaparah)
Berdasarkan arah dari berbagai permintaan (request) terhadap layanan
yangakandikenalidandiijinkanmelewatifirewall.
c) UserControl(kendaliterhadappengguna)
Berdasarkan pengguna/user untuk dapat menjalankan suatu layanan,
artinyaadauseryangdapatdanadayangtidakdapatmenjalankansuatu
service,halinidikarenakanusertersebuttidakdiijinkanuntukmelewati
firewall. Biasanya digunakan untuk membatasi user dari jaringan lokal
untuk mengakses keluar, tetapi bisa juga diterapkan untuk membatasi
terhadappenggunadariluar.
d) BehaviorControl(kendaliterhadapperlakuan)
Berdasarkanseberapabanyaklayananitutelahdigunakan.Misal,firewall
dapatmemfilteremailuntukmenanggulangi/mencegahspam.
KonfigurasiFirewall:
a) ScreenedHostFirewallSystem(singlehomedbastion)
Pada konfigurasi ini, fungsi firewall akan dilakukan oleh packet filtering
routerdanbastionhost*.Routerinidikonfigurasikansedemikiansehingga
untuksemuaarusdatadariInternet,hanyapaketIPyangmenujubastion
host yang di ijinkan. Sedangkan untuk arus data (traffic) dari jaringan
internal, hanya paket IP dari bastion host yang di ijinkan untuk keluar.
Konfigurasi ini mendukung fleksibilitas dalam akses internet secara
langsung, sebagai contoh apabila terdapatweb server pada jaringan ini
makadapatdikonfigurasikanagarwebserverdapatdiakseslangsungdari
internet.BastionHostmelakukan fungsi Authentikasi dan fungsi sebagai
proxy. Konfigurasi ini memberikan tingkat keamanan yang lebih baik
daripada packetfiltering router atau applicationlevel gateway secara
terpisah.
b) ScreenedHostFirewallSystem(dualhomedbastion)
Pada konfigurasi ini, secara fisik akan terdapat patahan/celah dalam
jaringan.Kelebihannyaadalahdenganadanyaduajaluryangmemisahkan
secara fisik maka akan lebih meningkatkan keamanan dibanding
konfigurasipertama,adapununtukserverserveryangmemerlukandirect
accsess(akseslangsung)makadapatdiletakkanditempat/segmenrtyang
-
UAS:KeamananSistemdanJaringanKomputer
halaman3
langsung berhubungan dengan internet. Hal ini dapat dilakukan dengan
caramenggunakan2buahNIC(networkinterfacecard)padabastionhost.
c) Screenedsubnetfirewall
Ini merupakan konfigurasi yang paling tinggi tingkat keamanannya.
Kenapa? Karena pada konfigurasi ini di gunakan 2 buah packet filtering
router, 1 diantara internet dan bastion host, sedangkan 1 lagi diantara
bastian host dan jaringan lokal konfigurasi inimembentuk subnet yang
terisolasi.Adapunkelebihannyaadalah:
Terdapat3lapisan/tingkatpertahananterhadappenyusup/intruder. Routerluarhanyamelayanihubunganantarainternetdanbastionhost
sehinggajaringanlokalmenjaditakterlihat(invisible).
Jaringanlokaltidakdapatmengkonstuksiroutinglangsungkeinternet,atau dengan kata lain, internetmenjadi invisible (bukan berarti tidak
bisamelakukankoneksiinternet).
LangkahLangkahMembangunFirewall:
a) Mengidenftifikasi bentuk jaringan yang dimiliki. Mengetahui bentukjaringan yangdimiliki khususnya toplogi yangdi gunakan sertaprotocol
jaringan,akanmemudahkandalammendesainsebuahfirewall
b) Menentukan policy atau kebijakan. Penentuan Kebijakan atau policymerupakanhalyangharusdilakukan,baikatauburuknyasebuahfirewall
yangdibangunsangatditentukanolehpolicy/kebijakanyangditerapkan:
Menentukanapasajayangperludilayani.Artinya,apasajayangakandikenaipolicyataukebijakanyangakankitabuat
Menentukan individu atau kelompokkelompok yang akan dikenakanpolicyataukebijakantersebut
Menentukanlayananlayananyangdibutuhkanolehtiaptiapindividuataukelompokyangmenggunakanjaringan
Berdasarkan setiap layanan yang di gunakan oleh individu ataukelompok tersebut akan ditentukan bagaimana konfigurasi terbaik
yangakanmembuatnyasemakinaman
Menerapkankansemuapolicyataukebijakantersebut.
-
UAS:KeamananSistemdanJaringanKomputer
halaman4
c) Menyiapkan software atau hardware yang akan digunakan. Baik ituoperating system yang mendukung atau softwaresoftware khusus
pendukung firewall seperti ipchains, atau iptables pada linux, dsb. Serta
konfigurasihardwareyangakanmendukungfirewalltersebut.
d) Melakukantestkonfigurasi.Pengujianterhadapfirewallyangtelahselesaidibangunharuslahdilakukan,terutamauntukmengetahuihasilyangakan
kita dapatkan, caranya dapat menggunakan tools. Tools yang biasa
dilakukanuntukmengauditsepertinmap.
StudiKasusdiketahuipadasebuahareaterdapat:databaseserver,webserver,
mailserver,firewalldanjaringanintranet.
Gambar1.SkemaKonfigurasiJaringanSecaraSederhana
Asumsiasumsi:
a) Sistem operasi web server dan database server adalah Linux keluargaRedHat(CentOS).
b) IPTablessebagaiFirewall;
c) SELinux(SecurityEnhanced),SELinuxmembuatsistemlebihaman;
d) DatabaseyangdigunakanadalahMySQL;
e) WebserveryangdigunakanadalahApache.
f) MailServermenggunakansquirrelmail.
-
UAS:KeamananSistemdanJaringanKomputer
halaman5
Berikutiniadalahaturanaturanyangharusadadifirewall:
a) Scriptfirewallvi /root/firewall.sh #!/bin/sh ### Flush any Existing iptable Rules and start afresh ### iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables -F POSTROUTING -t nat iptables -F PREROUTING -t nat ### Set our own simple iptable rules ### iptables -A INPUT -p tcp --dport 80 -j ACCEPT //apache iptables -A INPUT -p tcp --dport 443 -j ACCEPT //apache ssl iptables -A INPUT -p tcp --dport 53 -j ACCEPT //dns - udp for large queries iptables -A INPUT -p udp --dport 53 -j ACCEPT //dns - udp for small queries iptables -A INPUT -p tcp --dport 953 -j ACCEPT //dns internal iptables -A INPUT -p tcp --dport 3306 -j ACCEPT //dante socks server iptables -A INPUT -d 136.201.1.250 -p tcp --dport 22 -j ACCEPT //sshd iptables -A INPUT -d 136.201.1.250 -p tcp --dport 3306 -j ACCEPT //mysql iptables -A INPUT -d 136.201.1.250 -p tcp --dport 8000 -j ACCEPT //apache on phi iptables -A INPUT -s 136.201.1.250 -p tcp --dport 8080 -j ACCEPT //jboss for ejc iptables -A INPUT -d 136.201.1.250 -p tcp --dport 993 -j ACCEPT //imaps iptables -A INPUT -s 127.0.0.1 -p tcp --dport 111 -j ACCEPT //to speed up mail via courier. Identified via logging iptables -A INPUT -d 136.201.1.250 -p tcp --dport 139 -j ACCEPT //samba iptables -A INPUT -s 127.0.0.1 -p tcp --dport 143 -j ACCEPT //squirrelmail iptables -A INPUT -p tcp --dport 4949 -j ACCEPT //munin stats iptables -A INPUT -p tcp --dport 25 -j ACCEPT //incoming mail iptables -A INPUT -p tcp --dport 3128 -j ACCEPT //squid iptables -A INPUT -p udp --dport 161 -j ACCEPT //snmpd iptables -A INPUT -p icmp -j DROP //Allow ICMP Ping packets. iptables -A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -m state --state RELATED -j ACCEPT iptables -A INPUT -j REJECT //Close up firewall. All else blocked. ################################# ##########PORT FORWARDING######## iptables -t nat -A PREROUTING -p tcp -d 136.201.1.250 --dport 8000 -j DNAT --to 136.201.146.211:80 iptables -t nat -A POSTROUTING -d 136.201.146.211 -j MASQUERADE ################################# b) Mengubahpermissionfiles:chmod 755 /root/firewall.sh /root/firewall.sh
-
UAS:KeamananSistemdanJaringanKomputer
halaman6
c) Jalankanservicefirewall/etc/init.d/iptables start
2. Bila Saudara bekerja di sebuah perusahaan kecil yangmemilikiweb serverdandatabaseserveryangharusdijadikansatudalamsebuahserver,langkah
langkah apa yang Saudara lakukan untuk mengamankan database yang
terdapatdidatabaseservertersebut.
Jawab:
Asumsiasumsiuntuksoaldiatas:
g) Sistem operasi web server dan database server adalah Linux keluargaRedHat(CentOS).
h) IPTablessebagaiFirewall;
i) SELinux(SecurityEnhanced),SELinuxmembuatsistemlebihaman;
j) DatabaseyangdigunakanadalahMySQL;
k) WebserveryangdigunakanadalahApache.
Gambar2.SingleServerYangMemuatWebDanDatabaseServer
Langkahlangkah yang saya lakukan untuk mengamankan database yang
terdapatdidatabaseserverdiatasadalahsebagaiberikut:
a) Mematikan layanan/serviceservice yang tidak diperlukan. Terbukanyasebuah service yang tidak diperlukan akan menambah celah keamanan
komputer.Hacker akan dapat mengetahui service apa saja yang sedang
aktifmenggunakantoolssepertinmap.Semakinbanyakserviceyangjalan,
makasemakinrentansuatukomputeruntukdiserang.
-
UAS:KeamananSistemdanJaringanKomputer
halaman7
b) Mengaktifkan firewall, melakukan setting yang tepat terhadap IPTables.Blok/droplah semua komunikasi yang mencurigakan dan dari IP yang
tidakdikenal.
c) Janganmenjalankandaemonhttpsebagairoot.Gunakansuatuuserkhususuntuk httpd, tentukan /bin/false dan shell dari user dan tempatkan
namanyadalamfile/etc/ftpusers.
d) Mempassword root (account tertinggi)database server denganpasswordyang strong (kombinasi huruf, angka, dan karakter spesial). Dan
menggantinyasecaraberkala.
e) Memastikanbahwadidatabaseservertidakadaaccountyangdapatloginsecaraanonymous.
f) MengaktifkanSELinuxmembuatsistemlebihaman.DengancatatanperlupenangananataukonfigurasiSELinuxyangakurat.
g) Melakukan Data Control Language (DCL) berupa perintah GRANT danREVOKE. Database Adminstrator (DBA) harus melakukan GRANT dan
REVOKE yang tepat terhadap pengguna database sesuai dengan (hak
aksesnya)privilegesnya.
h) LakukankoneksimelaluimekanismeSecureSocketLayer (SSL) jikaakanmengaksesdatabaseserversecaraweb.
i) Memeriksa log secara berkala. Logging sistem dapat memberikangambaranmengenaikeadaansistem.Seorangsystemengineer/DBAdapat
memantaulogsystemataudatabasenyamelaluimekanismelogyangbaik.
j) Melakukanaudit trail terhadap aplikasi yangmengaksesdatabase.Audittrail akan mencatat setiap transaksi yang dilakukan oleh pengguna
aplikasi. Sehingga di kemudian hari dapat dilakukan pengawasan oleh
auditor(baikinternalmaupuneksternal).
k) Mengganti nomor port standard sebuah layanan. Untuk mengecohinteruder,portdapatdiubahnilaidefaultnya.
-
UAS:KeamananSistemdanJaringanKomputer
halaman8
3. Biladiketahuisebuahnilaihash:
96101379a05cb8f3cfeeebd54c613551
ApaPlaintextdarinilaihash tersebut?Sebagai informasinilaihash tersebut
didapatdenganmengunakanMD5.
Jawab:
Dalam kriptografi, MD5 (MessageDigest algortihm 5) ialah fungsi hash
kriptografik yang digunakan secara luas dengan hash value 128bit. Pada
standart internet (RFC 1321). MD5 telah dimanfaatkan secara bermacam
macam pada aplikasi keamanan, dan MD5 juga umum digunakan untuk
melakukanpengujianintegritassebuahberkas(checksum).
MD5didesainolehRonaldRivestpadatahun1991untukmenggantikanhash
function sebelumnya, MD4. Pada tahun 1996, sebuah kecacatan ditemukan
dalamdesainnya,walaubukankelemahan fatal, penggunakriptografimulai
menganjurkan menggunakan algoritma lain, seperti SHA1 (klaim terbaru
menyatakanbahwaSHA1jugacacat).Padatahun2004,kecacatankecacatan
yang lebih serius ditemukan menyebabkan penggunaan algoritma tersebut
dalamtujuanuntukkeamananjadimakindipertanyakan.
MD5 merupakan teknik kriptografi satu arah, artinya hash yang
dihasilkantidakdapatdikembalikandalambentukplaintext.
Namun, beberapa situs menyediakan jasa MD5Decrypter untuk mengubah
nilai hash menjadi bentuk plaintext. Nilai hash pada soal jika di dekripsi
sesuaidenganwebsite:http://www.md5decrypter.co.uk/adalahPiksi.
Berikutscreenshootnya:
Namun, apabila kata Piksi dilakukan enkripsi dengan metode MD5, maka
hashyangdihasilkantidaklahsama.
top related