Manajemen Network Dan Administrasi Sistem (Network Security)

Sebagian besar usaha untuk meningkatkan sekuriti sistem banyak difokuskan pada server, padahal banyak insiden disebabkan oleh kesalahan pengguna akibat sistem desktop yang kurang menjamin keamanan aktivitas penggunanya. Insiden ”klikbca.com”  virus, trojan, dan penyadapan nomor kartu kredit oleh keystroke-broadcast program menunjukkan bahwa sisi user adalah mata rantai terlemah keamanan suatu sistem. Begitu juga adanya virus komputer yang sering mengakibatkan sistem tak dapat bekerja semestinya, atau bahkan sebuah virus komputer dapat bekerja sebagai penyadap tanda tangan digital ataupun penyadap data lainnya yang penting. Virus computer atau malware lainnya banyak menyerang desktop pengguna. Sehingga seaman-amannya system server, maka menjadi tidak berarti ketika desktop yang digunakan tidak memiliki keamanan dan integritas yang baik. Secure desktop merupakan suatu lingkungan kerja di mana user dapat bekerja dan melakukan aktivitas dengan dukungan sekuriti yang memadai. Secure desktop diharapkan akan mampu menangani dan mendukung keamanan aktivitas user yang memerlukan tingkat keamanan yang tinggi seperti melakukan entri data melalui Internet. Hal ini dibutuhkan misal untuk desktop di aplikasi perbankan, atau untuk Pemilihan Umum (PEMILU). Sayangnya seringkali sistme operasi dan sistem desktop tidak begitu dipertimbangkan dalam merancang sistem yang aman tersebut. Untuk memenuhi konsep secure desktop maka beberapa hal perlu dipertimbangkan :

• Perangkat peripheral yang terkontrol (tanpa CDROM, tanpa disket, serial dan USB), sehingga sulit bagi pengguna untuk secara bebas memasukkan program tanpa kontrol  yang pasti.
• Ruang alamat yang terproteksi sehingga aplikasi yang tak memiliki hak akses tinggi tak bisa melanggar batasan tersebut.
• API yang aman.
• Struktur berkas (filesystem) yang aman, misal dilengkapi dengan sistem berkas  terenkripsi.

Dengan menggunakan sistem yang terkoordinasi dengan baik maka pengguna dapat diatur sehingga :

• Pengguna hanya dapat menggunakan aplikasi yang diizinkan. Dengan kata lain pengguna ataupun virus yang memanfaatkan hak akses pengguna tak dapat menginstal aplikasi baru.
• Pengguna hanya dapat menggunakan ruang berkas yang diizinkan.
• Pengguna tak dapat menginstal atau memodifikasi program yang ada.
• Aksi pengguna tak dapat merusak integritas sistem, misal keberadaan virus tak akan mengganggu sistem atau pengguna yang lainnya.

Bahasa yang digunakan oleh program untuk berinteraksi dengan user juga merupakan hal yang sangat penting karena langkah-langkah pengamanan yang seharusnya dimengerti secara jelas dan gamblang oleh user, seperti pada kotak dialog SSL yang dimunculkan oleh browser web, seringkali diabaikan oleh user akibat kendala bahasa. Hal-hal di atas sudah cukup menjadikan dasar bahwa perlu dikembangkan sebuah sistem desktop yang mendukung keamanan aktivitas usernya. Pertimbangan keamanan desktop yang aman tidak saja dari sisi teknis tetapi juga dari sisi pengguna dan organisasi.

Data Link Layer

Tugas utama dari data link layer adalah sebagai fasilitas transmisi data mentah dan mentransformasi data tersebut ke saluran yang bebas dari kesalahan transmisi. Sebelum diteruskan ke Network Layer, lapisan data link melaksanakan tugas ini dengan memungkinkan pengirim memecah-mecah data input menjadi sejumlah data frame (biasanya berjumlah ratusan atau ribuan byte). Kemudian lapisan data link mentransmisikan frame tersebut secara berurutan dan memproses acknowledgement frame yang dikirim kembali oleh penerima. Karena lapisan fisik menerima dan mengirim aliran bit tanpa mengindahkan arti atau arsitektur frame, maka tergantung pada lapisan data-link-lah untuk membuat dan mengenali batas-batas frame itu. Hal ini bisa dilakukan dengan cara membubuhkan bit khusus ke awal dan akhir frame.
Fungsi dari lapisan data link adalah menyediakan layanan bagi lapisan jaringan. Layanannya yang penting adalah pemindahan data dari lapisan jaringan pada node sumber ke lapisan jaringan di pada node yang dituju. Tugas lapisan data link adalah menstransmisikan bit-bit ke komputer yang dituju, sehingga bit-bit tersebut dapat diserahkan ke lapisan jaringan. Berkas:Heru1.GIF
Transmisi aktual yang mengikuti lintasan akan lebih mudah lagi jika dianggap sebagai proses dua lapisan data-link yang berkomunikasi menggunakan protokol data link. Lapisan data-link dapat dirancang sehingga mampu menyediakan bermacam-macam layanan. Layanan aktual yang ditawarkan suatu sistem akan berbeda dengan layanan sistem yang lainnya. Tiga layanan yang disediakan adalah sebagai berikut :
1. layanan unacknowledged connectionless
2. layanan acknowledged connectionless
3. layanan acknowledged connection-oriented
Setiap layanan yang diberikan data link layer akan dibahas satu persatu.
Layanan unacknowledged connectionless
Layanan jenis ini mempunyai arti di mana node sumber mengirimkan sejumlah frame ke node lain yang dituju dengan tidak memberikan acknowledgment bagi diterimanya frame-frame tersebut. Tidak ada koneksi yang dibuat baik sebelum atau sesudah dikirimkannya frame. Bila sebuah frame hilang sehubungan dengan adanya noise, maka tidak ada usaha untuk memperbaiki masalah tersebut di lapisan data-link. Jenis layanan ini cocok bila laju kesalahan (error rate) sangat rendah, sehingga recovery bisa dilakukan oleh lapisan yang lebih tinggi. Sebagian besar teknologi [LAN] meggunakan layanan unacknowledgment connectionless pada lapisan data link.
Layanan acknowledged connectionless
Pada layanan jenis ini berkaitan dengan masalah reabilitas. Layanan ini juga tidak menggunakan koneksi, akan tetapi setiap frame dikirimkan secara independen dan secara acknowledged. Dalam hal ini, si pengirim akan mengetahui apakah frame yang dikirimkan ke komputer tujuan telah diterima dengan baik atau tidak. Bila ternyata belum tiba pada interval waktu yang telah ditentukan, maka frame akan dikirimkan kembali. Layanan ini akan berguna untuk saluran unreliable, seperti sistem nirkabel.
Layanan acknowledged connection-oriented
Layanan jenis ini merupakan layanan yang paling canggih dari semua layanan yang disediakan oleh lapisan data-link bagi lapisan jaringan. Dengan layanan ini, node sumber dan node tujuan membuat koneksi sebelum memindahkan datanya. Setiap frame yang dikirim tentu saja diterima. Selain itu, layanan ini menjamin bahwa setiap frame yang diterima benar-benar hanya sekali dan semua frame diterima dalam urutan yang benar. Sebaliknya dengan layanan connectionless, mungkin saja hilangnya acknowledgment akan meyebabkan sebuah frame perlu dikirimkan beberapa kali dankan diterima dalam beberapa kali juga. Sedangkan layanan connection-oriented menyediakan proses-proses lapisan jaringan dengan aliran bit yang bisa diandalkan.
Pada saat layanan connection oriented dipakai, pemindahan data mengalami tiga fase. Pada fase pertama koneksi ditentukan dengan membuat kedua node menginisialisasi variabel-variabel dan counter-counter yang diperlukan untuk mengawasi frame yang mana yang diterima dan yang belum diterima. Dalam fase kedua, satu frame atau lebih mulai ditransmisikan dari node sumber ke node tujuan. Pada fase ketiga, koneksi dilepaskan, pembebasan variabel, buffer dan sumber daya yang lain yang dipakai untuk menjaga berlangsungnya koneksi.

Routing Information Protocol (RIP)

Routing Information Protocol (RIP) adalah sebuah protokol routing dinamis yang digunakan dalam jaringan berbasis lokal dan luas. Karena itu protokol ini diklasifikasikan sebagai interior gateway protocol (IGP). Protokol ini menggunakan algoritma routing distance-vector. Pertama kali didefinisikan dalam RFC 1058 (1988). Protokol ini telah dikembangkan beberapa kali, sehingga terciptalah RIP Versi 2 (RFC 2453). Kedua versi ini masih digunakan sampai sekarang, meskipun begitu secara teknis mereka telah dianggap usang oleh teknik-teknik yang lebih maju, seperti Open Shortest Path First (OSPF) dan protokol OSI IS-IS. RIP juga telah diadaptasi untuk digunakan dalam jaringan IPv6, yang dikenal sebagai standar RIPng (RIP generasi berikutnya), yang diterbitkan dalam RFC 2080 (1997).
Sejarah
Algoritma routing yang digunakan dalam RIP, algoritma Bellman-Ford, pertama kali digunakan dalam jaringan komputer pada tahun 1968, sebagai awal dari algoritma routing ARPANET.
Versi paling awal protokol khusus yang menjadi RIP adalah Gateway Information Protocol, sebagai bagian dari PARC Universal Packet internetworking protocol suite, yang dikembangkan di Xerox Parc. Sebuah versi yang bernama Routing Information Protocol, adalah bagian dari Xerox Network Services.
Sebuah versi dari RIP yang mendukung Internet Protocol (IP) kemudian dimasukkan dalam Berkeley Software Distribution (BSD) dari sistem operasi Unix. Ini dikenal sebagai daemon routed. Berbagai vendor lainnya membuat protokol routing yang diimplementasikan sendiri. Akhirnya, RFC 1058 menyatukan berbagai implementasi di bawah satu standar.
Detail teknis
RIP adalah routing vektor jarak-protokol, yang mempekerjakan hop sebagai metrik routing. Palka down time adalah 180 detik. RIP mencegah routing loop dengan menerapkan batasan pada jumlah hop diperbolehkan dalam path dari sumber ke tempat tujuan. Jumlah maksimum hop diperbolehkan untuk RIP adalah 15. Batas hop ini, bagaimanapun, juga membatasi ukuran jaringan yang dapat mendukung RIP. Sebuah hop 16 adalah dianggap jarak yang tak terbatas dan digunakan untuk mencela tidak dapat diakses, bisa dioperasi, atau rute yang tidak diinginkan dalam proses seleksi.
Awalnya setiap RIP router ditularkan pembaruan penuh setiap 30 detik. Pada awal penyebaran, tabel routing cukup kecil bahwa lalu lintas tidak signifikan. Seperti jaringan tumbuh dalam ukuran, bagaimanapun, itu menjadi nyata mungkin ada lalu lintas besar-besaran meledak setiap 30 detik, bahkan jika router sudah diinisialisasi secara acak kali. Diperkirakan, sebagai akibat dari inisialisasi acak, routing update akan menyebar dalam waktu, tetapi ini tidak benar dalam praktik. Sally Floyd dan Van Jacobson menunjukkan pada tahun 1994 bahwa, tanpa sedikit pengacakan dari update timer, penghitung waktu disinkronkan sepanjang waktu dan mengirimkan update pada waktu yang sama. Implementasi RIP modern disengaja memperkenalkan variasi ke update timer interval dari setiap router.
RIP mengimplementasikan split horizon, rute holddown keracunan dan mekanisme untuk mencegah informasi routing yang tidak benar dari yang disebarkan. Ini adalah beberapa fitur stabilitas RIP.
Dalam kebanyakan lingkungan jaringan saat ini, RIP bukanlah pilihan yang lebih disukai untuk routing sebagai waktu untuk menyatu dan skalabilitas miskin dibandingkan dengan EIGRP, OSPF, atau IS-IS (dua terakhir yang link-state routing protocol), dan batas hop parah membatasi ukuran jaringan itu dapat digunakan in Namun, mudah untuk mengkonfigurasi, karena RIP tidak memerlukan parameter pada sebuah router dalam protokol lain oposisi.
RIP dilaksanakan di atas User Datagram Protocol sebagai protokol transport. Ini adalah menugaskan dilindungi undang-undang nomor port 520.
Ada tiga versi dari Routing Information Protocol: RIPv1, RIPv2, dan RIPng.
RIP versi 1
Spesifikasi asli RIP, didefinisikan dalam RFC 1058, classful menggunakan routing. Update routing periodik tidak membawa informasi subnet, kurang dukungan untuk variable length subnet mask (VLSM). Keterbatasan ini tidak memungkinkan untuk memiliki subnet berukuran berbeda dalam kelas jaringan yang sama. Dengan kata lain, semua subnet dalam kelas jaringan harus memiliki ukuran yang sama. Juga tidak ada dukungan untuk router otentikasi, membuat RIP rentan terhadap berbagai serangan.
RIP versi 2
Karena kekurangan RIP asli spesifikasi, RIP versi 2 (RIPv2) dikembangkan pada tahun 1993 dan standar terakhir pada tahun 1998. Ini termasuk kemampuan untuk membawa informasi subnet, sehingga mendukung Classless Inter-Domain Routing (CIDR). Untuk menjaga kompatibilitas, maka batas hop dari 15 tetap. RIPv2 memiliki fasilitas untuk sepenuhnya beroperasi dengan spesifikasi awal jika semua protokol Harus Nol bidang dalam pesan RIPv1 benar ditentukan. Selain itu, aktifkan kompatibilitas fitur memungkinkan interoperabilitas halus penyesuaian.
Dalam upaya untuk menghindari beban yang tidak perlu host yang tidak berpartisipasi dalam routing, RIPv2 multicasts seluruh tabel routing ke semua router yang berdekatan di alamat 224.0.0.9, sebagai lawan dari RIP yang menggunakan siaran unicast. Pengalamatan unicast masih diperbolehkan untuk aplikasi khusus.
(MD5) otentikasi RIP diperkenalkan pada tahun 1997.
RIPv2 adalah Standar Internet STD-56.

Transport Layer

Protokol ini menyediakan authentikasi akhir dan privasi komunikasi di Internet menggunakan cryptography. Dalam penggunaan umumnya, hanya server yang diauthentikasi (dalam hal ini, memiliki identitas yang jelas) selama dari sisi client tetap tidak terauthentikasi. Authentikasi dari kedua sisi (mutual authentikasi) memerlukan penyebaran PKI pada client-nya. Protocol ini mengizinkan aplikasi dari client atau server untuk berkomunikasi dengan didesain untuk mencegah eavesdropping, [[tampering]] dan message forgery.

Baik TLS dan SSL melibatkan beberapa langkah dasar:

• Negosiasi dengan ujung client atau server untuk dukungan algoritma.
• Public key, encryption-based-key, dan sertificate-based authentication

Enkripsi lalulintas symmetric-cipher-based

Network layer

Lapisan jaringan atau Network layer adalah lapisan ketiga dari bawah dalam model referensi jaringan OSI. Lapisan ini bertanggung jawab untuk melakukan beberapa fungsi berikut:

• Pengalamatan logis dan melakukan pemetaan (routing) terhadap paket-paket melalui jaringan.
• Membuat dan menghapus koneksi dan jalur koneksi antara dua node di dalam sebuah jaringan.
•  Mentransfer data, membuat dan mengkonfirmasi penerimaan, dan mengeset ulang koneksi.

Lapisan jaringan juga menyediakan layanan connectionless dan connection-oriented terhadap lapisan transport yang berada di atasnya. Lapisan jaringan juga melakukan fungsinya secara erat dengan lapisan fisik (lapisan pertama) dan lapisan data-link (lapisan kedua) dalam banyak implementasi protokol dunia nyata.

Dalam jaringan berbasis TCP/IP, alamat IP digunakan di dalam lapisan ini. Router IP juga melakukan fungsi routing-nya di dalam lapisan ini.

TCP dan UDP

Dalam protokol jaringan TCP/IP, sebuah port adalah mekanisme yang mengizinkan sebuah komputer untuk mendukung beberapa sesi koneksi dengan komputer lainnya dan program di dalam jaringan. Port dapat mengidentifikasikan aplikasi dan layanan yang menggunakan koneksi di dalam jaringan TCP/IP. Sehingga, port juga mengidentifikasikan sebuah proses tertentu di mana sebuah server dapat memberikan sebuah layanan kepada klien atau bagaimana sebuah klien dapat mengakses sebuah layanan yang ada dalam server. Port dapat dikenali dengan angka 16-bit (dua byte) yang disebut dengan Port Number dan diklasifikasikan dengan jenis protokol transport apa yang digunakan, ke dalam Port TCP dan Port UDP. Karena memiliki angka 16-bit, maka total maksimum jumlah port untuk setiap protokol transport yang digunakan adalah 65536 buah.

Dilihat dari penomorannya, port UDP dan TCP dibagi menjadi tiga jenis, yakni sebagai berikut:

       Well-known Port: yang pada awalnya berkisar antara 0 hingga 255 tapi kemudian diperlebar untuk mendukung antara 0 hingga 1023. Port number yang termasuk ke dalam well-known port, selalu merepresentasikan layanan jaringan yang sama, dan ditetapkan oleh Internet Assigned Number Authority (IANA). Beberapa di antara port-port yang berada di dalam range Well-known port masih belum ditetapkan dan direservasikan untuk digunakan oleh layanan yang bakal ada di masa depan. Well-known port didefinisikan dalam RFC 1060.

        

       Registered Port: Port-port yang digunakan oleh vendor-vendor komputer atau jaringan yang berbeda untuk mendukung aplikasi dan sistem operasi yang mereka buat. Registered port juga diketahui dan didaftarkan oleh IANA tapi tidak dialokasikan secara permanen, sehingga vendor lainnya dapat menggunakan port number yang sama. Range registered port berkisar dari 1024 hingga 49151 dan beberapa port di antaranya adalah Dynamically Assigned Port.

        

       Dynamically Assigned Port: merupakan port-port yang ditetapkan oleh sistem operasi atau aplikasi yang digunakan untuk melayani request dari pengguna sesuai dengan kebutuhan. Dynamically Assigned Port berkisar dari 1024 hingga 65536 dan dapat digunakan atau dilepaskan sesuai kebutuhan.

Alamat IP versi 6

Alamat IP versi 6 (sering disebut sebagai alamat IPv6) adalah sebuah jenis pengalamatan jaringan yang digunakan di dalam protokol jaringan TCP/IP yang menggunakan protokol IP versi 6. Panjang totalnya adalah 128-bit, dan secara teoritis dapat mengalamati hingga 2¹²⁸=3,4 x 10³⁸ host komputer di seluruh dunia. Contoh alamat IP versi 6 adalah 21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A.
Berbeda dengan IPv4 yang hanya memiliki panjang 32-bit (jumlah total alamat yang dapat dicapainya mencapai 4,294,967,296 alamat), alamat IPv6 memiliki panjang 128-bit. IPv4, meskipun total alamatnya mencapai 4 miliar, pada kenyataannya tidak sampai 4 miliar alamat, karena ada beberapa limitasi, sehingga implementasinya saat ini hanya mencapai beberapa ratus juta saja. IPv6, yang memiliki panjang 128-bit, memiliki total alamat yang mungkin hingga 2¹²⁸=3,4 x 10³⁸ alamat. Total alamat yang sangat besar ini bertujuan untuk menyediakan ruang alamat yang tidak akan habis (hingga beberapa masa ke depan), dan membentuk infrastruktur routing yang disusun secara hierarkis, sehingga mengurangi kompleksitas proses routing dan tabel routing.
Sama seperti halnya IPv4, IPv6 juga mengizinkan adanya DHCP Server sebagai pengatur alamat otomatis. Jika dalam IPv4 terdapat dynamic address dan static address, maka dalam IPv6, konfigurasi alamat dengan menggunakan DHCP Server dinamakan dengan stateful address configuration, sementara jika konfigurasi alamat IPv6 tanpa DHCP Server dinamakan dengan stateless address configuration.
Seperti halnya IPv4 yang menggunakan bit-bit pada tingkat tinggi (high-order bit) sebagai alamat jaringan sementara bit-bit pada tingkat rendah (low-order bit) sebagai alamat host, dalam IPv6 juga terjadi hal serupa. Dalam IPv6, bit-bit pada tingkat tinggi akan digunakan sebagai tanda pengenal jenis alamat IPv6, yang disebut dengan Format Prefix (FP). Dalam IPv6, tidak ada subnet mask, yang ada hanyalah Format Prefix.

Jenis-jenis Alamat IPv6

IPv6 mendukung beberapa jenis format prefix, yakni sebagai berikut:

       Alamat Unicast, yang menyediakan komunikasi secara point-to-point, secara langsung antara dua host dalam sebuah jaringan.

       Alamat Multicast, yang menyediakan metode untuk mengirimkan sebuah paket data ke banyak host yang berada dalam group yang sama. Alamat ini digunakan dalam komunikasi one-to-many.

       Alamat Anycast, yang menyediakan metode penyampaian paket data kepada anggota terdekat dari sebuah group. Alamat ini digunakan dalam komunikasi one-to-one-of-many. Alamat ini juga digunakan hanya sebagai alamat tujuan (destination address) dan diberikan hanya kepada router, bukan kepada host-host biasa.

Jika dilihat dari cakupan alamatnya, alamat unicast dan anycast terbagi menjadi alamat-alamat berikut:

       Link-Local, merupakan sebuah jenis alamat yang mengizinkan sebuah komputer agar dapat berkomunikasi dengan komputer lainnya dalam satu subnet.

       Site-Local, merupakan sebuah jenis alamat yang mengizinkan sebuah komputer agar dapat berkomunikasi dengan komputer lainnya dalam sebuah intranet.

       Global Address, merupakan sebuah jenis alamat yang mengizinkan sebuah komputer agar dapat berkomunikasi dengan komputer lainnya dalam Internet berbasis IPv6.