Sepanjang tahun 1980, mayoritas komputer di internet menjadi subjek banyak penyerang oleh individual yang lebih dikenal dengan istilah hacker. Tahap penyerangan serta teknik yang digunakan pun sangatlah bervariatif, dan tetap pada tujuan yang sama, yaitu menghancurkan.
Mengingat serangan yang dilakukan oleh hacker tidak pernah dapat dimusnahkan secara permanen, maka penekanan terhadap akibat yang terjadi atau pencegahan lebih dini dari penyerangan ini sebenarnya merupakan solusi yang dirasakan saat ini sebagai keputusan yang cukup bijak, karena untuk melakukan pengamanan tersebut cukup sederhana.
Diantaranya adalah menyarankan user untuk menggunakan password yang baik, mencegah user melakukan sharing account antara satu dengan lainnya, dan mengeliminasi semua hole security yang terdapat dalam program-program vital seperti sendmail dan login.
Lepas dari era tahun 80an, pada era tahun 1990an, serangan-serangan berbasis IP dan jaringan merupakan salah satu yang populer ditemui oleh kebanyakan administrator menyikapi perilaku hacker dalam melakukan penyerangan.
Diantara serangan tersebut berupa : Network sniffer, dimana ia berusaha menangkap password-password dan bagian informasi-informasi sensitive lainnya melalui jaringan. ip Spoofing yang digunakan oleh penyerang untuk mendobrak host-host dalam internet. Connection hijacking, yang digunakan oleh penyerang untuk merampas kontrol dari sesi interaktif
yang berjalan (misalnya, telnet). Serta data Spoofing, dimana cara ini digunakan oleh penyerang untuk memasukkan data kedalam komunikasi yang berjalan diantara dua host yang berbeda.
Data Spoofing telah terbukti kepiawaiannya sebagai cara yang efektif untuk merusak integritas program-program yang dieksekusi melalui jaringan dari server-server NFS.
Masuk di era tahun 2000 kini, teknik penyerangan lebih condong pada pola Web Hacking, namun cara diatas bukanlah yang patut untuk dilupakan begitu saja, mengingat hal tersebut adalah nilai utama bagi seorang hacker. Sebab banyak kalangan hacker yang mengklaim bahwa Web Hacking hanyalah penyempurna teknik diatas yang terkesan lebih user friendly.
Serangan yang dilakukan berbasis pada IP dan jaringan sebenarnya telah diantisipasi sejak lebih dari sepuluh tahun yang lalu. Sayangnya protokol-protokol IP dan internet itu sendiri tidak terproteksi secara baik sehingga tidak dapat menahan serangan-serangan tersebut.
Ada beberapa alasan yang berkaitan dengan kelemahan ini yang dapat dipersempit pada penilaian sebuah IP (internet protokol). Garis besar tersebut dapat diungkapkan secara gamblang dimana IP sendiri dirancang untuk digunakan dalam lingkungan yang tidak aman, namun para perancang tidak secara pasti mengapresiasikan bagaimana dan seperti apa ancaman-ancaman jaringan akan datang. Selain itu IP tidak dirancang untuk menyajikan sisi security.
IP sendiri merupakan sebuah protokol yang disusun, dimana ia (IP) dirancang untuk mentransmisikan paket-paket dari satu komputer ke komputer lain, yang menyajikan authentikasi host-host sistem, atau untuk mengizinkan user-user mengirim komunikasi dalam network secara rahasia. Hal inilah yang membuat peran IP masih tergolong riskan.
Pengembangan terhadap teknologi IP pun terus dilakukan. Versi-versi IP mendatang mungkin akan menyajikan security yang lebih baik. Namun, pada kenyataannya implementasi teknologi IP masih dalam tahap eksperimen.
Beberapa server unix memiliki fasilitas builtin untuk membatasi akses berdasarkan IP address atau hostname komputer. Sebagai contoh, NFS mengijinkan anda menentukan host-host mana yang dapat melakukan mount sebuah file system tertentu, dan nntp mengizinkan anda menentukan host-host mana yang dapat membaca netnews.
Namun layanan-layanan ini sangat terbatas, kebanyakan server unix tidak memiliki fasilitas akses kontrol "host by host". Meretriksi layanan berdasarkan IP address atau hostname, secara fundamental bukanlah cara yang secure terutama untuk mengontrol akses ke server. Oleh karena system-system autentikasi berpengalaman seperti Kerberos dan DCE tidak tersebar luas digunakan, maka penanganan autentikasi berbasi IP address ini hanya terimplementasi pada beberapa situs saja.
Jika bisa disimpulkan, bahwa terdapat dua teknik yang dapat digunakan untuk mengontrol akses terhadap server yang tidak diizinkan untuk diakses oleh system-system lain :
- Menggunakan program tcpwrapper, misal yang ditulis oleh Wietse Venema. Tcpwrapper adalah program utility yang dapat melakukan "wrap" server-server internet di sekitarnya. Program tersebut memungkinkan anda dapat merestriksi server-server berdasarkan host, dan sejumlah nomor parameter lain. Program ini dapat mengizinkan koneksi yang datang untuk melakukan login via syslog.
- Penggunaan sebuah firewall diantara server dengan jaringan luar. Firewall dapat memproteksi jaringan dalam, sedangkan tcpwraper hanya dapat memproteksi layanan-layanan dalam sebuah mesin tertentu.
Disini bisa dilihat tcpwrapper dan firewall merupakan teknologi yang saling melengkapi. Sebagai contoh, anda dapat menjalankan tcpwrapper pada masing-masing mesin, dan kemudian memproteksi keluarga jaringan dengan firewall. Kombinasi ini adalah salah satu usaha mewujudkan keamanan, sedang filosofinya tidak bergantung pada teknologi mana yang anda gunakan.
Server-server jaringan merupakan pintu gerbang yang melaluinya dunia luar dapat melakukan akses informasi yang tersimpan dalam komputer-komputer anda. Menimbang alasan ini, maka sebuah server haruslah:
- Menentukan informasi atau aksi apa saja yang di request klien.
- Memutuskan apakah klien perlu menggunakan nama atau tidak, dengan kata lain meng-authentikasi seseorang (atau program) yang me-request servis.
- Mentranser informasi yang di-request atau membentuk layanan yang diinginkan.
Banyak server harus berjalan diatas kekuasaan root. Padahal bug-bug atau program-program "back door" yang terinstal dalam server sangat mudah memanfaatkan kondisi tersebut untuk mendobrak pertahanan, misalnya membuatkan authentikasi sistem sehingga user dalam jaringan dapat melakukan perusakan. Bahkan program-program yang sebenarnya tidak berbahaya dapat disalah gunakan untuk melumpuhkan sistem dalam keluarga jaringan.
Bug-bug, atau cacat-cacat yang dikandung oleh program yang didistribusikan oleh vendor-vendor mungkin sudah mendekam dalam sistem anda sejak bertahun-tahun lamanya, namun anda tidak menyadarinya sampai bug-bug tersebut dimanfaatkan oleh penyusup.
Untuk mengindari ancaman-ancaman authentikasi berbasis IP atau hostname, beberapa pendekatan alternative dapat anda coba, diantaranya adalah menggunakan enkripsi untuk memproteksi data. Hindari menggunakan password-password dan authentikasi berbasis host. Namun, percayalah pada one-time password, atau secure communication melalui kriptografi.
Gunakan firewall untuk mengisolasi network internal anda dari dunia luar. Serta lakukan disconnect jaringan internal anda dari dunia luar. Anda masih dapat me-relay mail elektronik diantara dua network dengan mengunakan UUDP atau mekanisme-mekanisme lain.
Buatlah kebijakan untuk men-setup jaringan workstation terpisah untuk mengizinkan orang-orang mengakses WWW atau layanan-layanan internet lainnya. Serta, buatlah jaringan internal kedua untuk informasi-informasi rahasia.
Informasi:
M.Jauhar Aribi - informatika ITS
bella-cell.blogspot.com
No comments:
Post a Comment
Comment yang gak jelas atau tidak berhubungan dengan topik akan di Hapus