P. 1
tugas 2 keamanan jaringan

tugas 2 keamanan jaringan

|Views: 104|Likes:
Published by Sal'man Faris

More info:

Published by: Sal'man Faris on Jan 24, 2012
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOCX, PDF, TXT or read online from Scribd
See more
See less

02/14/2012

pdf

text

original

SOAL: 1. Apakah semua jaringan membutuhkan Firewall? 2.

Dapatkah Firewall memperkuat kebijakan password atau mencegah penyalahgunaan password oleh pengguna? 3. Apa yang dimaksud dengan VPN? 4. Apa peran VPN dalam infrastruktur jaringan perusahaan? 5. Sebutkan dan jelaskan 3 jenis tipe VPN. 6. Jelaskan apa yang dimaksud dengan Authentication (otentifikasi) dan berikan contoh. 7. Jelaskan apa yang dimaksud dengan Authorization (otorisasi) dan berikan contoh. 8.Kapan dan dalam kondisi apa anda seharusnya membuka password anda kepada seseorang? 9. Apa yang dimaksud dengan serangan DDos dan bagaimana dia beroperasi?

JAWAB: 1. Ya, karena dapat mencegah lalu lintas jaringan yang tidak aman dan umumnya juga digunakan untuk mengontrol akses terhadap siapa saja yang memiliki akses terhadap jaringan pribadi dari pihak luar. 2. Tidak, karena segala bentuk keamanan jaringan tidak akan aman sampai 100% 3. VPN adalah singkatan dari virtual private network, yaitu Sebuah cara aman untuk mengakses local area network yang berada pada jangkauan, dengan menggunakan internet atau jaringan umum lainnya untuk melakukan transmisi data paket secara pribadi, dengan enkripsi Perlu penerapan teknologi tertentu agar walaupun menggunakan medium yang umum, tetapi traffic (lalu lintas) antar remote-site tidak dapat disadap dengan mudah, juga tidak memungkinkan pihak lain untuk menyusupkan traffic yang tidak semestinya ke dalam remote-site. 4. dapat mengakses server tertentu melalui VPN dimana saja, entah itu dirumah atau dijalan secara aman meskipun anda menggunakan infrastruktur jaringan internet dalam

Client-initiated Client-initiated arti harafiahnya adalah pihak klien yang berinisiatif untuk melakukan sesuatu. Biasanya. Kemudian NAS inilah yang membangun tunnel menuju ke jaringan private yang dituju oleh clien tersebut.penggunaannya. 5. Dengan demikian. sebuah perusahaan dapat menghubungkan berbagai lokasi melalui sebuah publin network misalnya internet. Remote Site VPN Remote-acces juga disebut sebagi Virtual private dial-up network (VPDN). nama dan password dari user di cek melalui proses yang mengecek langsung ke daftar mereka yang diberikan hak untuk memasuki sistem tersebut. maka PC tersebutlah yang berusaha membangun tunnel dan melakukan enkripsi hingga mencapai tujuannya dengan aman. koneksi VPN dapat dibangun oleh banyak clien dari manapun karena biasanya NAS milik ISP tersebut memang sering kali dibuka untuk umum. Site-To-Site VPN Melalui sebuah penggunaan peralatan khusus dan metode-metode enkripsi. 6. Network Access Server-initiated Lain dengan client-initiated. VPN jenis ini tidak mengharuskan clientnya membuat tunnel dan melakukan enkripsi dan dekripsi sendiri. Jadi ketika PC Anda ingin membangun koneksi VPN. sebuah perusahaan yang ingin mengembangkan remote-acces VPN akan menggunakan jasa enterprise service provider (ESP).Kemudian sebuah dial number digunakan untuk mengakses NAS dan kemudian menggunakan VPN client software untuk memasuki jaringan perusahaan. koneksi VPN merupakan koneksi point to point antara user computer dengan server korporasi dan data terkirim di atas jaringan dedicated. adalah sebuah koneksi (seperti LAN) yang digunakan oleh sebuah perusahaan yang mempunyai pegawai yang membutuhkan koneksi ke jaringan private(pribadi) dari beberapa lokasi yang jauh. Menurut pandangan user. VPN jenis ini hanya mengharuskan penggunanya melakukan dial-in ke Network Access Server (NAS) ISP. Authentification adalah proses dalam rangka validasi user pada saat memasuki sistem. ESP akan menyiapkan sebuah network access server (NAS) dan akan menyiapkan sebuah VPN client software yang akan digunakan pada dekstop user (pengguna). Namun. . . proses ini tetap mengandalkan jaringan ISP yang digunakan secara umum. Clientinitiated VPN sering digunakan oleh PC-PC umum dengan mengandalkan VPN server atau VPN concentrator pada jaringan tujuannya. VPN jenis ini juga demikian dan ini merupakan jenis VPN yang paling umum digunakan.

Seharusnya tidak satupun dalam sebuah perusahaan yang menanyakan password. serangan Ddos adalah salah satu ancaman keamanan jaringan yang membuat suatu layanan jaringan jadi mampet. relasi baru dalam database. yang berisikan nama ± nama nasabah dan cabang dimana mereka memiliki pinjaman. Pada Ping of Death data yang dikirim melebihi maksimum paket yang di ijinkan menurut spesifikasi protokol IP.Contohnya: Penggunaan analisis suara (voice recognation). Jangan pernah membuka password kepada siapapun dan jika diminta. Konsekuensinya. pada sistem yang tidak siap akan menyebabkan sistem tersebut crash (tewas). Authorization Merupakan hak akses yang diperuntukkan user untuk diijinkan melakukan pembuatan seperti penghapusan indeks. Sistem beroperasinya ada beberapa cara: * Ping of Death menggunakan program utility ping yang ada di sistem operasi komputer. tetapi tidak diperkenankan melihat informasi mengenai pinjaman. hang (bengong) atau reboot (booting ulang) pada saat sistem tersebut menerima paket yang demikian panjang. Serangan ini sudah tidak baru lagi.Dalam kondisi kesulitan teknis sekalipun. 9. melakukan penambahan dan penghapusan atribut baru dalam relasi ( hubungan ) dalam database. . serangan yang membuat jaringan anda tidak bisa diakses atau serangan yang membuat system anda tidak bisa memproses atau merespon terhadap traffic yang legitimasi atau permintaan layanan terhadap object dan resource jaringan. 8. 7. Pendekatan : ti adakan akses langsung terhadap relasi (hubungan) loan. Panjang maksimum data yang dapat dikirim menurut spesifikasi protokol IP adalah 65. administrator akan me-reset password. dan analisis tulisan tangan. Biasanya ping digunakan untuk men-cek berapa waktu yang dibutuhkan untuk mengirimkan sejumlah data tertentu dari satu komputer ke komputer lain.536 byte. semua vendor sistem operasi telah memperbaiki sistem-nya untuk menangani kiriman paket yang oversize. tetapi diberikan hak akses terhadap view cust_loan. laporkan kepada keamanan korporasi sesegera mungkin. Contoh: Misalkan seorang pegawai Bank ingin perlu mengetahui nama nasabah setiap cabang.

Potongan paket data ini. Dalam serangan SYN flood (banjir paket SYN). seringkali data harus di potong kecil-kecil untuk menjamin reliabilitas & proses multiple akses jaringan. dia terbuka terhadap serangan paket SYN. kadang harus dipotong ulang menjadi lebih kecil lagi pada saat di salurkan melalui saluran Wide Area Network (WAN) agar pada saat melalui saluran WAN yang tidak reliable proses pengiriman data menjadi lebih reliable. Akibatnya. Setelah paket TCP SYN ACK di terima dengan baik oleh klien (pengirim). * SYN Attack. Sialnya paket TCP SYN ACK yang masuk antrian backlog hanya akan dibuang dari backlog pada saat terjadi time out dari timer TCP yang menandakan tidak ada responds dari klien pengirim. Server (penerima) akan terus mencatat (membuat antrian backlog) untuk menunggu responds TCP ACK dari klien yang mengirimkan paket TCP SYN. Tempat antrian backlog ini tentunya terbatas & biasanya kecil di memori. Dalam jaringan Internet. Pada saat antrian backlog ini penuh. sistem tidak akan merespond paket TCP SYN lain yang masuk dalam bahasa sederhana-nya sistem tampak bengong / hang. Kunci SYN attack adalah dengan membanjiri server dengan paket TCP SYN menggunakan alamat IP sumber (source) yang kacau. klien akan membanjiri server dengan banyak paket TCP SYN. Seringkali. Pada kondisi normal. Server (penerima) akan mengirimkan respond berupa acknowledgement paket TCP SYN ACK. Program teardrop akan memanipulasi offset potongan data sehingga akhirnya terjadi overlapping antara paket yang diterima di bagian penerima setelah potongan-potongan paket ini di reassembly. hang & reboot di ujung sebelah sana. maka klien (pengirim) akan mengirimkan paket ACK sebagai tanda transaksi pengiriman / penerimaan data akan di mulai. Paket SYN dikirimkan pada saat memulai handshake (jabat tangan) antara dia aplikasi sebelum transaksi / pengiriman data dilakukan. Setiap paket TCP SYN yang dikirim akan menyebabkan server menjawab dengan paket TCP SYN ACK. karena .* Teardrop teknik ini dikembangkan dengan cara mengeksplotasi proses disassembly-reassembly paket data. overlapping ini menimbulkan system yang crash. Biasanya internal timer TCP ini di set cukup lama. Pada proses pemotongan data paket yang normal setiap potongan di berikan informasi offset data yang kira-kira berbunyi potongan paket ini merupakan potongan 600 byte dari total 800 byte paket yang dikirim.kelemahan dari spesifikasi TCP/IP. aplikasi klien akan mengirimkan paket TCP SYN untuk mensinkronisasi paket pada aplikasi di server (penerima).

255. 127.31. maka akan terhadi trafik ICMP echo respons & permintaan dalam jumlah yang sangat besar. Biarpun dengan perbaikan SYN attack di atas.0127. jelas tidak akan ada TCP ACK yang akan di kirim sebagai responds dari responds paket TCP SYN ACK.168. Cara lain untuk mempertahankan jaringan dari serangan Land attack ini adalah dengan memfilter pada software firewall anda dari semua paket yang masuk dari alamat IP yang diketahui tidak baik. akibatnya ICMP trafik tidak hanya akan memacetkan jaringan komputer perantara saja. Untuk menjaga agar jaringan kita tidak menjadi perantara bagi serangan Smurf ini. Berbagai vendor komputer sekarang telah menambahkan pertahanan untuk SYN attack ini & juga programmer firewall juga menjamin bahwa firewall mereka tidak mengirimkan packet dengan alamat IP sumber (source) yang kacau.255. dengan cara memfilter permohonan ICMP echo pada firewall. Kalau ada banyak host di jaringan. Dengan cara ini. maka broadcast addressing harus di matikan di router kecuali jika kita sangat membutuhkannya untuk keperluan multicast. * Land Attack hacker membanjiri jaringan dengan paket TCP SYN dengan alamat IP sumber dari sistem yang di serang.0.255. dan 192.0-192. Seorang Smurf hacker biasanya membanjiri router kita dengan paket permintaan echo Internet Control Message Protocol (ICMP) yang kita kenal sebagai aplikasi ping. beberapa vendor sistem operasi telah menyediakan perbaikannya. Karena alamat IP tujuan pada paket yang dikirim adalah alamat broadcast dari jaringan anda.0. Smurf attack adalah serangan secara paksa pada fitur spesifikasi IP yang kita kenal sebagai direct broadcast addressing.0. Land attack ternyata menimbulkan masalah pada beberapa sistem. * Smurf Attack .255.16. Paket yang dikirim dari internal sistem anda biasanya tidak baik.255. Untuk menghindari agar jaringan kita tidak menjadi korban Smurf attack. ada baiknya kita mempunyai . Serangan jenis ini relatif baru. tapi jaringan yang alamat IP-nya di spoof jaringan ini di kenal sebagai jaringan korban (victim). Alternatif lain. yang saat ini belum 100% di definikan.255.0. maka router akan mengirimkan permintaan ICMP echo ini ke semua mesin yang ada di jaringan.0. Lebih sial lagi jika si hacker ini memilih untuk men-spoof alamat IP sumber permintaan ICMP tersebut.255. server akan tampak seperti bengong & tidak memproses responds dalam waktu yang lama.alamat IP sumber (source) tersebut tidak ada.0.0-10. oleh karena itu ada baiknya di filter alamat 10.0-172.jauh lebih menyeramkan dari serangan Smurf di cerita kartun.255. 172.255.255.168.

yang di program untuk meng-echo setiap kiriman karakter yang di terima melalui servis chargen. * UDP Flood pada dasarnya mengkaitkan dua (2) sistem tanpa disadarinya. maka beberapa aplikasi yang betul seperti RealAudio. Untuk menanggulangi UDP flood. Karena paket UDP tersebut di spoofing antara ke dua mesin tersebut. maka yang terjadi adalah banjir tanpa henti kiriman karakter yang tidak berguna antara ke dua mesin tersebut. tidak akan jalan. User Datagram Protocol (UDP) flood attack akan menempel pada servis UDP chargen di salah satu mesin. Tapi jika kita menghilangkan semua trafik UDP. Dengan cara spoofing. Karena UDP dirancang untuk diagnostik internal. . anda dapat men-disable semua servis UDP di semua mesin di jaringan.upstream firewall (di hulu) yang di set untuk memfilter ICMP echo atau membatasi trafik echo agar presentasinya kecil dibandingkan trafik jaringan secara keseluruhan. yang menggunakan UDP sebagai mekanisme transportasi. maka masih aman jika menolak semua paket UDP dari Internet. yang untuk keperluan akan mengirimkan sekelompok karakter ke mesin lain. atau yang lebih mudah memfilter pada firewall semua servis UDP yang masuk.

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->