Audit Teknologi Informasi (Router, Switch dan Firewall)
(Tugas-1)
Ø
Latar
Belakang
Bermula pada tahun 1962,
ketika Paul Baran dari RAND Corporation ditugaskan oleh Angkatan Udara AS untuk
mempelajari cara mempertahankan kontrol atas pesawat dan senjata nuklir setelah
serangan nuklir. Proyek ini terutama dimaksudkan untuk menjadi jaringan militer
yang akan memungkinkan angkatan bersenjata untuk mempertahankan komunikasi
dengan komando lain di seluruh Amerika Serikat dalam hal bencana. Jaringan baru
membawa tujuan memungkinkan angkatan bersenjata untuk mempertahankan kendali
senjata nuklir yang diperlukan untuk meluncurkan serangan balik.
Pada tahun 1968, ARPA
(Advanced Research Projects Agency) memberikan kontrak ARPANET (Advanced
Project Projects Agency Network) ke BBN (Bolt, Beranek, dan Newman). Jaringan
fisik dibangun pada 1969, menghubungkan empat simpul: Universitas California di
Los Angeles, Stanford Research Institute (SRI), Universitas California di Santa
Barbara, dan Universitas Utah. Jaringan itu terhubung bersama hanya menggunakan
sirkuit 50-kbps. Dari sana, Internet dikembangkan dan terbang ke masyarakat
modern; hari ini berfungsi sebagai tulang punggung setiap perusahaan besar di
planet ini. Pada tahun 1973, pengembangan dimulai pada protokol yang kemudian
disebut Transmission Control Protocol / Internet Protocol (TCP / IP), tetapi
itu adalah 1977 sebelum didemonstrasikan. Protokol baru ini dibuat untuk
memungkinkan beragam jaringan komputer saling terhubung dan berkomunikasi satu
sama lain. Sepuluh tahun kemudian, pada tahun 1983, TCP / IP menjadi Protokol
Internet inti pada ARPANET.
Ø
Pentingnya
Audit Jaringan
Jaringan memungkinkan host
untuk berkomunikasi menggunakan perangkat keras khusus yang dioptimalkan untuk
mengirimkan data dari satu host ke yang lain. Pada dasarnya, perangkat keras
adalah komputer yang menjalankan sistem operasi yang dirancang untuk
memindahkan data. Perangkat jaringan seperti router, switch, dan firewall
memiliki komponen dasar yang akan Anda temukan di server Anda, kecuali mereka
sangat disesuaikan. Perangkat ini berisi prosesor khusus dengan instruksi yang
tertanam yang dirancang untuk memproses gerakan data dengan cepat dan efisien.
Mereka juga memiliki memori, sistem operasi, dan sarana untuk mengkonfigurasi
perangkat.
Ø
Protokol
Tuan rumah berkomunikasi
satu sama lain dengan terlebih dahulu menggunakan bahasa yang sama, atau
protokol. Perangkat keras dan perangkat lunak yang menangani komunikasi harus
tahu cara berkomunikasi di antara berbagai perangkat di jaringan. Protokol
menentukan aturan di mana perangkat setuju untuk komunikasi. Sebuah analogi
sederhana mungkin seorang teman yang berbicara dalam bahasa yang berbeda.
Misalnya, jika teman saya hanya berbicara bahasa Prancis, saya akan setuju
untuk berbicara dalam bahasa Prancis atau menggunakan penerjemah (disebut
gateway dalam bahasa jaringan) untuk berkomunikasi dengan teman saya.
Ø
Model
OSI
Model OSI tujuh lapisan
menggambarkan bagaimana data bergerak dari satu sistem ke sistem lain. Model
ini membantu menjelaskan cara membuat aplikasi, protokol, dan peralatan yang
memindahkan data dari aplikasi Anda ke kabel fisik, melintasi ratusan atau
ribuan mil, ke aplikasi di sisi lain.
Tabel 1 Model OSI
|
Layer
|
Nama
yang umum
|
Deskripsi
|
|
Layer
7
|
Application
|
Mewakili
aplikasi pengguna akhir seperti HTTP, File Transfer Protocol (FTP), File
Transfer Protocol (FTP), Simple Mail Transport Protocol (SMTP), atau Telnet.
|
|
Layer
6
|
Presentation
|
Menangani
pemformatan, enkripsi, kompresi, dan penyajian data ke aplikasi. Contohnya
termasuk Secure Sockets Layer (SSL) dan Transport Layer Security (TLS).
|
|
Layer
5
|
Session
|
Berurusan
dengan pengaturan dan pengelolaan sesi antara aplikasi komputer. Contohnya
termasuk pipa bernama, NetBIOS, dan pembentukan sesi untuk TCP.
|
|
Layer
4
|
Transport
|
Berkaitan
dengan masalah transportasi, seperti mencapai tujuan dalam satu bagian, dan
kontrol kesalahan. TCP dan User Datagram Protocol (UDP) mungkin merupakan
contoh paling terkenal dalam lapisan ini.
|
|
Layer
3
|
Network
|
Merutekan
paket antar jaringan. Contohnya termasuk IP, Internet Control Message
Protocol (ICMP), IP Security (IPSec), dan Address Resolution Protocol (ARP).
Router beroperasi pada lapisan ini biasanya menggunakan alamat IP.
|
|
Layer
2
|
Data
Link
|
Mengaitkan
data pada host dari satu lokasi ke lokasi lain, biasanya pada jaringan area
lokal (LAN) tetapi terkadang pada jaringan area luas (WAN) juga. Contohnya
termasuk Ethernet, Token Ring, Fiber Distributed Data Interface (FDDI), Frame
Relay, dan Asynchronous Transfer Mode (ATM). Saklar dan jembatan beroperasi
pada lapisan ini, biasanya menggunakan alamat Media Access Control (MAC).
|
|
Layer
1
|
Physical
|
Menentukan
hubungan fisik, pemasangan kabel, dan transmisi biner. Modulasi dan kontrol
aliran terjadi pada lapisan ini.
|
Ø
Router
Router menghubungkan dan
merutekan data antar jaringan menggunakan alamat jaringan Layer 3, biasanya
alamat IP. Router beroperasi pada OSI Layer 3. Setelah data dirutekan ke
jaringan tujuan, data beralih ke switch tempat host tujuan berada. Switch
menggunakan alamat MAC host tujuan, di OSI Layer 2, untuk mengirim sisa data ke
host. Router meneruskan paket-paket antar jaringan yang berbeda. Akhirnya,
paket data, atau paket, mencapai LAN jarak jauh dan akhirnya tiba di host di
sisi lain. Setiap router antara Anda dan host jarak jauh hanya melihat
informasi header alamat IP, yang terletak di Layer 3, untuk melihat di mana
untuk mengirimnya berikutnya.
Ø
Switch
Switch adalah perpanjangan
dari konsep hub. Sebuah hub mengambil frame yang diterima pada port tertentu dan
mengulanginya ke setiap port di hub. Switch memiliki fitur pembelajaran, di
mana ia belajar alamat MAC untuk setiap host yang dicolokkan ke port switch.
Setelah mengetahui informasi ini, switch akan mengulang bingkai hanya ke port
yang berisi alamat MAC tujuan yang benar. Segala sesuatu di tingkat switch
biasanya ditangani dengan alamat MAC, diwakili oleh OSI Layer 2. Setiap lapisan
diringkas oleh lapisan berikutnya.
Ø Firewalls
Firewall yang ditempatkan dengan benar di area kunci melindungi aset
informasi dari risiko yang tidak perlu. Firewall jaringan sangat penting dalam
peran mereka melindungi jaringan. Firewall dapat digunakan untuk perlindungan
perimeter atau untuk menciptakan lingkaran konsentris berbagai tingkat
kepercayaan dalam suatu jaringan. Firewall juga dapat membantu membangun area
terlindung jaringan Anda yang dapat diakses oleh publik atau hanya mitra
tertentu. Firewall telah berkembang menjadi fungsi khusus yang mencakup
melindungi mesin virtual dari satu sama lain di jaringan virtual atau
melindungi web host dari serangan jaringan yang secara khusus menargetkan lalu
lintas web.
Ø
Auditing
Switches, Routers, and Firewalls
Langkah-langkah audit
dibagi menjadi langkah-langkah umum dan langkah-langkah khusus. Langkah-langkah
audit umum berlaku untuk peralatan jaringan secara umum, diikuti oleh bagian
khusus untuk router, switch, dan firewall. Kerjakan bagian pertama dari kontrol
umum tanpa menghiraukan audit Anda dan kemudian pindah ke bagian tertentu yang
Anda butuhkan untuk menyelesaikan audit.
Ø
Langkah-langkah
Audit Peralatan Jaringan Umum
Mulailah audit dengan
meminta teknisi jaringan untuk menyalin file konfigurasi dan versi perangkat
yang ingin Anda audit. Untuk router dan switch, seringkali, hampir semua
informasi yang Anda inginkan terletak di file konfigurasi, dan ini mencegah
Anda untuk masuk ke perangkat berulang kali.
1) Tinjau
kontrol di sekitar pengembangan dan pertahankan konfigurasi.
Langkah
ini adalah tangkapan-semua yang membahas manajemen konfigurasi, konsep
menyeluruh menjaga konfigurasi aman dari firewall. Kegagalan untuk
mempertahankan konfigurasi yang aman menyebabkan firewall mengalami
penyimpangan dalam teknologi atau proses yang mempengaruhi keamanan jaringan
Anda. Tinjau segera perubahan apa pun pada firewall untuk memastikan bahwa
perubahan tidak secara tidak sengaja menurunkan kinerja atau merusak keamanan
aset yang dilindungi firewall.
2) Pastikan
bahwa terdapat kontrol yang sesuai untuk setiap kerentanan yang terkait dengan
versi perangkat lunak saat ini. Kontrol ini mungkin termasuk pembaruan
perangkat lunak, perubahan konfigurasi, atau kontrol kompensasi lainnya.
Langkah
ini melampaui perubahan konfigurasi dan target khusus pembaruan perangkat lunak
dan setiap kerentanan terkait. Langkah ini adalah di mana Anda sebagai auditor
akan meneliti kerentanan kritis yang terkait dengan perangkat lunak dan
memastikan bahwa kontrol yang sesuai sudah ada, seperti pembaruan perangkat
lunak, perubahan konfigurasi, atau kontrol kompensasi lainnya.
3) Verifikasi
bahwa semua layanan yang tidak diperlukan dinonaktifkan.
Menjalankan
layanan yang tidak perlu dapat membuat Anda rentan terhadap risiko terkait
kinerja dan keamanan. Ini benar untuk semua host atau perangkat dan menambah
permukaan serangan yang tersedia untuk penyerang potensial.
4) Pastikan
bahwa praktik manajemen SNMP yang baik diikuti.
Simple
Network Management Protocol (SNMP) merupakan cara yang sering diabaikan untuk
mendapatkan akses administratif penuh ke perangkat jaringan. Langkah ini
mungkin tidak berlaku untuk peralatan Anda jika peralatan tidak mendukung
manajemen SNMP atau dinonaktifkan.
5) Tinjau
dan evaluasi prosedur untuk membuat akun pengguna dan memastikan bahwa akun
dibuat hanya ketika ada kebutuhan bisnis yang sah. Juga meninjau dan
mengevaluasi proses untuk memastikan bahwa akun dihapus atau dinonaktifkan
secara tepat waktu dalam hal penghentian atau perubahan pekerjaan.
Langkah
ini memiliki cakupan yang luas, yang mencakup kontrol seputar penggunaan akun
dan manajemen. Akun yang dikelola atau digunakan secara tidak tepat dapat
memberikan akses mudah ke perangkat jaringan, melewati kontrol keamanan
tambahan lainnya untuk mencegah serangan jahat. Langkah ini harus mencakup
kebijakan dan prosedur yang penting untuk memastikan bahwa hanya administrator
yang berwenang yang dapat masuk ke perangkat jaringan dan setelah masuk, mereka
memiliki tingkat hak istimewa yang tepat. Prosedur login harus mematuhi
otentikasi, otorisasi, dan akuntansi yang kuat (AAA).
6) Pastikan
bahwa kontrol kata sandi yang sesuai digunakan.
Password
yang lemah dan tidak terenkripsi memungkinkan penyerang untuk menebak atau
membaca kata sandi dengan mudah di dalam plaintext. Kontrol kata sandi yang
kuat sangat penting untuk melindungi peralatan jaringan. Versi lama dari
perangkat lunak jaringan memungkinkan menyimpan kata sandi dalam teks-jelas
secara default. Anda mungkin tidak akan melihat ini, tetapi Anda harus
memverifikasi bahwa kata sandi disimpan dengan aman oleh administrator.
7) Verifikasi
bahwa protokol manajemen aman digunakan jika memungkinkan.
Telnet
mengirimkan semua informasinya dalam bentuk teks-jelas, memungkinkan kata sandi
dan informasi lain untuk dilihat dengan sniffer. SNMP Versi 1 dan 2 serupa.
Alternatif aman adalah SSH, IPSec, dan SNMPv3. Meskipun sangat penting bahwa
protokol aman digunakan dari jaringan yang tidak dipercaya, itu juga penting di
dalam juga.
8) Pastikan
bahwa cadangan saat ini ada untuk file konfigurasi.
Simpan
salinan semua konfigurasi perangkat jaringan di lokasi yang mudah dijangkau dan
aman — ini sangat penting! File-file ini berisi komentar apa pun yang dapat
membantu memberikan perspektif ke pengaturan konfigurasi dan filter. Anda dapat
mengubah filter dengan lebih mudah dan akurat ketika Anda dapat merujuk kembali
ke file konfigurasi lama. Cadangan ini juga dapat sangat berharga untuk
mendiagnosis dan memulihkan dari kegagalan jaringan tak terduga.
9) Pastikan
logging diaktifkan dan dikirim ke sistem terpusat.
Log
harus dikumpulkan untuk AAA dan kejadian sistem. Log juga harus dikirim ke host
yang aman untuk mencegah gangguan pada informasi. Kegagalan menyimpan log dapat
mencegah administrator mendiagnosis masalah jaringan atau perilaku berbahaya
dengan benar.
10) Evaluasilah
penggunaan Network Time Protocol (NTP).
Gunakan
NTP menyediakan sinkronisasi waktu untuk stempel waktu pada semua aktivitas
yang tercatat. Stempel waktu ini tidak ternilai dalam pelaporan dan pemecahan
masalah.
11) Pastikan
spanduk dikonfigurasi untuk membuat semua pengguna yang terhubung menyadari
kebijakan perusahaan untuk digunakan dan memantau.
Spanduk
peringatan yang secara jelas menandai router atau switch sebagai properti pribadi
dan tidak mengizinkan akses yang tidak sah adalah hal yang penting jika
kompromi yang pernah terjadi dalam tindakan hukum.
12) Pastikan
bahwa kontrol akses diterapkan ke port konsol.
Akses
logis dapat diperoleh melalui port konsol dengan kontrol akses fisik yang buruk
ke router atau switch. Seringkali port konsol tidak memiliki kata sandi untuk
kenyamanan. Pastikan bahwa kata sandi digunakan untuk memberikan lapisan
tambahan pertahanan di luar kontrol fisik. Kata sandi sangat penting jika
lokasinya tidak aman secara fisik.
13) Pastikan
semua peralatan jaringan disimpan di lokasi yang aman.
Siapa
pun dengan akses fisik ke perangkat jaringan mungkin dapat memperoleh akses
logis penuh menggunakan prosedur pemulihan kata sandi yang terdokumentasi
dengan baik. Seseorang juga bisa mencabut kabel atau mengganggu layanan. Selain
itu, akses harus dibatasi untuk mencegah kecelakaan yang tidak berbahaya
(seperti tersandung kabel) dari gangguan layanan.
14) Pastikan
bahwa konvensi penamaan standar digunakan untuk semua perangkat.
Konvensi
penamaan standar membuat pemecahan masalah dan menemukan masalah lebih mudah.
Konvensi penamaan standar juga membantu membuat pengelolaan lingkungan menjadi
lebih mudah ketika organisasi tumbuh.
15) Verifikasi
bahwa proses standar dan terdokumentasi ada untuk membangun perangkat jaringan.
Proses
yang terdokumentasi memberikan pengulangan desain yang aman dan kualitas
pengerjaan yang lebih tinggi, membantu mencegah kesalahan umum yang dapat
menyebabkan gangguan layanan atau kompromi jaringan.
Ø
Switch
Controls Tambahan: Layer
2
Berikut ini adalah langkah
uji tambahan untuk switch, atau perangkat Layer 2.
1) Pastikan
bahwa administrator menghindari menggunakan VLAN 1.
Secara
default, semua port pada switch Cisco adalah anggota VLAN 1. Menghindari
penggunaan VLAN 1 mencegah penyusup jaringan dari plugging ke port yang tidak
digunakan dan berkomunikasi dengan seluruh jaringan.
2) Evaluasilah
penggunaan badan autonegosiasi.
Badan
pada switch menggabungkan dua VLAN terpisah ke dalam port agregat, yang
memungkinkan akses trafik ke VLAN. Ada dua protokol trunking: 802.1q, yang
merupakan standar terbuka, dan ISL, yang dikembangkan oleh Cisco. Beberapa
jenis switch dan versi perangkat lunak diatur ke mode autotrunking, memungkinkan
port untuk mencoba secara otomatis mengubah tautan ke dalam bagasi. Dynamic
Trunking Protocol (DTP) mungkin membantu menentukan protokol trunking mana yang
harus digunakan dan bagaimana protokol harus beroperasi. Jika ini kasusnya,
secara umum, semua VLAN pada switch menjadi anggota port berbatang baru.
Menonaktifkan autonegosiasi batang meringankan risiko yang terkait dengan
serangan hopping VLAN, dimana seseorang dalam satu VLAN dapat mengakses sumber
daya di VLAN lain.
3) Verifikasi
bahwa mitigasi serangan Spanning-Tree Protocol diaktifkan (BPDU Guard, Root
Guard).
Risiko
yang terkait dengan jenis serangan ini termasuk memberi penyerang kemampuan
untuk menggunakan Spanning-Tree Protocol untuk mengubah topologi jaringan.
Protokol Spanning-Tree dirancang untuk mencegah loop jaringan berkembang.
Switch akan mempelajari topologi jaringan dan memindahkan port melalui empat
tahap — memblokir, mendengarkan, belajar, dan meneruskan — karena memastikan
bahwa loop tanpa akhir tidak berkembang dalam pola lalu lintas jaringan.
4) Evaluasilah
penggunaan VLAN pada jaringan.
VLAN
harus digunakan untuk memisahkan domain broadcast dan, jika perlu, untuk
membantu membagi sumber daya dengan tingkat keamanan yang berbeda.
5) Nonaktifkan
semua port yang tidak digunakan dan letakkan di VLAN yang tidak digunakan.
Pengaturan
ini mencegah penyusup jaringan dari plugging ke port yang tidak digunakan dan
berkomunikasi dengan seluruh jaringan.
6) Evaluasilah
penggunaan VLAN Trunking Protocol (VTP) di lingkungan.
VTP
adalah protokol pesan Layer 2 yang mendistribusikan informasi konfigurasi VLAN
di atas trunk. VTP memungkinkan penambahan, penghapusan, dan penggantian nama
VLAN pada jaringan secara keseluruhan. Seorang penyerang jaringan dapat
menambahkan atau menghapus VLAN dari domain VTP serta membuat loop
Spanning-Tree Protocol. Kedua situasi dapat menyebabkan hasil yang sangat sulit
untuk dipecahkan. Ini tidak harus menjadi peristiwa yang berbahaya. Switch
dengan nomor versi konfigurasi yang lebih tinggi dalam basis data VTP memiliki
otoritas atas switch lain dengan jumlah yang lebih rendah. Jika saklar
laboratorium seperti ini ditempatkan di jaringan produksi, Anda mungkin secara
tidak sengaja mengkonfigurasi ulang seluruh jaringan Anda.
7) Verifikasi
bahwa ada ambang batas yang membatasi lalu lintas broadcast / multicast pada
port.
Mengonfigurasi
kontrol badai membantu mengurangi risiko gangguan jaringan jika terjadi badai
siaran.
Ø
Kontrol
Router Tambahan: Layer 3
Berikut ini adalah langkah
uji tambahan untuk router, atau perangkat Layer 3.
1) Pastikan
bahwa antarmuka tidak aktif di router dinonaktifkan.
Antarmuka
tidak aktif yang harus dinonaktifkan termasuk antarmuka LAN dan WAN seperti
Ethernet, Serial, dan ATM. Antarmuka terbuka adalah kemungkinan sumber serangan
jika seseorang dihubungkan ke antarmuka.
2) Pastikan
bahwa router dikonfigurasi untuk menyimpan semua dump inti.
Memiliki
inti dump (gambar dari memori router pada saat crash) dapat sangat berguna
untuk dukungan teknis Cisco dalam mendiagnosis kecelakaan dan mungkin
mendeteksi bahwa serangan adalah penyebab utamanya.
3) Verifikasi
bahwa semua pembaruan routing dikonfirmasi.
Otentikasi
memastikan bahwa router penerima menggabungkan ke dalam tabelnya hanya
informasi rute yang benar-benar ingin dikirim oleh router pengirim yang
dipercaya. Ini mencegah router yang sah menerima dan kemudian menggunakan tabel
routing yang tidak sah, berbahaya, atau rusak yang akan membahayakan keamanan
atau ketersediaan jaringan. Kompromi seperti itu dapat menyebabkan pengubahan
rute lalu lintas, penolakan layanan, atau hanya akses ke paket data tertentu
kepada orang yang tidak berwenang.
4) Verifikasi
bahwa perutean sumber IP dan siaran yang diarahkan IP dinonaktifkan.
Perutean
sumber IP memungkinkan pengirim paket IP untuk mengontrol rute paket ke tujuan,
dan siaran yang diarahkan IP memungkinkan jaringan untuk digunakan sebagai alat
tanpa disadari dalam serangan smurf atau fraggle.
Ø
Kontrol
Firewall Tambahan
Berikut ini adalah langkah
uji tambahan untuk firewall. Perhatikan bahwa beberapa kontrol ini mungkin
ditangani oleh router bersama dengan firewall, tetapi router sendiri adalah
firewall yang buruk untuk perimeter jaringan perusahaan.
1) Pastikan
semua paket ditolak secara default.
Semua
paket pada firewall harus ditolak kecuali paket yang berasal dari dan menuju ke
alamat dan port yang semuanya secara eksplisit didefinisikan. Ini adalah posisi
bertahan yang jauh lebih kuat daripada mencoba melacak aturan apa yang telah Anda
tetapkan untuk memblokir setiap alamat atau layanan tertentu. Misalnya,
permintaan SNMP eksternal dari luar jaringan Anda yang ditargetkan ke router di
dalam jaringan Anda akan ditolak secara default jika satu-satunya lalu lintas
yang Anda izinkan ke DMZ Anda adalah ke server web.
2) Pastikan
alamat IP internal dan eksternal yang tidak sesuai disaring.
Lalu
lintas yang berasal dari ruang alamat internal seharusnya tidak memiliki alamat
eksternal sebagai alamat sumber. Demikian pula, lalu lintas yang berasal dari
luar jaringan seharusnya tidak memiliki jaringan internal Anda sebagai alamat
sumber.
3) Evaluasi
set aturan firewall untuk memberikan perlindungan yang tepat.
Kegagalan
untuk mengelola aturan firewall Anda dapat mengekspos Anda ke risiko yang tidak
perlu dari akses terbuka atau tidak pantas. Belum lama ini beberapa ratus
aturan firewall dipertimbangkan.
Referensi
:
1. IT
Auditing : Using Controls to Protect Information Assets, Chris Davis, Mike
Sciller, Mc GrowHill, 2011.
Tidak ada komentar:
Posting Komentar