Thursday, July 21, 2011

OSI 7 Layer

         Suatu organisasi standard ISO (International Standard Organization) pada tahun 1977 membentuk suatu komite untuk mengembangkan suatu arsitektur jaringan. Hasil dari komite tersebut adalah Model Referensi OSI (Open Systems Interconnection). Model Referensi OSI adalah System Network Architecture (SNA) atau dalam bahasa Indonesianya Arsitektur Jaringan Sistem. Hasilnya seperti pada Gambar OSI Model yang menjelaskan ada 7 lapisan (layer) dengan nama masing-masing.
OSI Model: Gambaran Tiap Layer

     Setiap lapisan memiliki tugas yang berbeda satu sama lain. Berikut masingmasing tugas dari tiap lapisan :
  • Layer 1 - Physical
      Layer (lapisan) ini berhubungan dengan kabel dan media fisik lainnya yang menghubungkan satu peralatan jaringan komputer dengan peralatan jaringan komputer lainnya. Lapisan physical mengatur pengiriman data berupa bit lewat kabel. Lapisan ini berkaitan langsung dengan perangkat keras seperti kabel, dan kartu jaringan (LAN CARD). Lapisan ini juga berhubungan dengan sinyal-sinyal listrik, sinar maupun gelombang radio yang digunakan untuk mengirimkan data. Pada lapisan ini juga dijelaskan mengenai jarak terjauh yang mungkin digunakan oleh sebuah media fisik. Pada lapisan ini juga diantur bagaimana cara melakukan collision control.
  • Layer 2 - Data Link
     Pada sisi pengirim, lapisan ini mengendalikan kesalahan antara dua komputer yang berkomunikasi lewat lapisan physical dan mengatur bagaimana data yang akan dikirimkan diubah menjadi deretan angka '1' dan '0' serta mengirimkannya ke media fisik. Data link biasanya digunakan oleh hub dan switch. Sedangkan pada sisi penerima, lapisan ini akan merubah deretan angka '1' dan '0' yang diterima dari media fisik menjadi data yang lebih berarti. Pada lapisan ini juga diatur bagaimana kesalahan-kesalahan yang mungkin terjadi ketika transmisi data diperlakukan.
      Lapisan ini terbagi atas dua bagian, yaitu Media Access Control (MAC) yang mengatur bagaimana sebuah peralatan dapat memiliki akses untuk mengirimkan data dan Logical Link Control (LLC) yang bertanggung jawab atas sinkronisasi frame, flow control dan pemeriksaan error. Pada MAC terdapat metode-metode yang digunakan untuk menentukan siapa yang berhak untuk melakukan pengiriman data. Pada dasarnya metode-metode itu dapat bersifat terdistribusi (contoh: CSMA/CD atau CSMA/CA) dan bersifat terpusat (contoh: token ring). Secara keseluruhan, lapisan Data Link bertanggung jawab terhadap koneksi dari satu node ke node berikutnya dalam komunikasi data.
  • Layer 3 - Network
       Lapisan Network bertanggung jawab terhadap koneksi dari pengirim sampai dengan penerima. Lapisan ini akan menterjemahkan alamat lojik sebuah host menjadi sebuah alamat fisik. Lapisan ini juga bertanggung jawab untuk mengatur rute yang akan dilalui sebuah paket yang dikirim agar dapat sampai pada tujuan. Jika dibutuhkan penentuan jalur yang akan dilalui sebuah paket, maka sebuah router akan menentukan jalur 'terbaik' yang akan dilalui paket tersebut. Pemilihan jalur atau rute ini dapat ditentukan secara statik maupun secara dinamis. Lapisan ini juga memberi identitas alamat, jalur perjalanan pengiriman data, dan mengatur masalah jaringan misalnya pengiriman paket-paket data.
  • Layer 4 - Transport
       Lapisan ini bertanggung jawab untuk menyediakan koneksi yang bebas dari gangguan. Lapisan ini mengatur pengiriman pesan dari hos-host di jaringan. Pertama data dibagi-bagi menjadi paket-paket sebelum pengiriman dan kemudian penerima akan menggabungkan paket-paket tersebut menjadi data utuh kembali. Lapisan ini juga memastikan bahwa pengiriman data bebas kesalahan dan kehilangan paket data.
     Ada dua jenis komunikasi data jaringan komputer, yaitu Connection Oriented dan Connectionless. Pada jenis komunikasi Connection Oriented data dipastikan sampai tanpa ada gangguan sedikitpun juga. Apabila ada gangguan, maka data akan dikirimkan kembali. Sedangkan jenis komunikasi Connectionless, tidak ada mekanisme untuk memastikan apabila data yang dikirim telah diterima dengan baik oleh penerima.
         Biasanya lapisan ini mengubah layanan yang sangat sederhana dari lapisan Network menjadi sebuah layanan yang lebih lengkap bagi lapisan diatasnya. Misalnya, pada layer ini disediakan fungsi kontrol transmisi yang tidak dimiliki oleh lapisan di bawahnya.
  • Layer 5 - Session
       Lapisan ini bertanggung jawab untuk membangun, memelihara dan memutuskan koneksi antar aplikasi. Pada kenyataannya lapisan ini sering digabung dengan Application Layer. Contohnya jika ada login secara interaktif maka sesi dimulai dan kemudian jika ada permintaan log off maka sesi berakhir. Lapisan ini juga menghubungkan lagi jika sesi login terganggu sehingga terputus.
  • Layer 6 - Presentation
         Agar berbagai aplikasi jaringan komputer yang ada di dunia dapat saling terhubung, seluruh aplikasi tersebut harus mempergunakan format data yang sama. Lapisan ini bertanggung jawab atas bentuk format data yang akan digunakan dalam melakukan komunikasi dan bertanggung jawab untuk menyandikan informasi. Pada kenyataannya lapisan ini sering pula digabung dengan Application Layer. Lapisan ini membuat dua host dapat berkomunikasi.
  • Layer 7 - Application
        Lapisan ini adalah di mana interaksi dengan pengguna dilakukan. Pada lapisan inilah semua jenis program jaringan komputer seperti browser dan email client berjalan. Lapisan ini menyediakan layanan untuk aplikasi misalnya transfer file, email, akses suatu komputer atau layanan.

       Gambar OSI Layer dan Header juga menggambarkan header-header yang diberikan pada setiap lapisan kepada data yang dikirimkan dari lapisan ke lapisan.
OSI Layer dan Header

      Pada implementasinya, lapisan jaringan komputer berdasarkan ISO/OSI tidak digunakan karena terlalu kompleks dan ada banyak duplikasi tugas dari setiap lapisan. Lapisan OSI/ISO digunakan hanya sebagai referensi. Lapisan jaringan komputer yang banyak digunakan adalah lapisan TCP/IP yang terdiri atas empat lapisan yaitu : 
    1.   Link (Lapisan OSI 1 dan 2)
       Contoh dari lapisan ini adalah Ethernet, Wi-Fi dan MPLS. Implementasi untuk lapisan ini biasanya terletak pada device driver ataupun chipset firmware. 
    2.      Internetwork (Lapisan OSI 3)
    Seperti halnya rancangan awal pada lapisan network (lapisan OSI 3), lapisan ini bertanggung-jawab atas sampainya sebuah paket ke tujuan melalui sebuah kelompok jaringan komputer. Lapisan Internetwork pada TCP/IP memiliki tugas tambahan yaitu mengatur bagaimana sebuah paket akan sampai tujuan melalui beberapa kelompok jaringan komputer apabila dibutuhkan.
          3.      Transport (Lapisan OSI 4 dan 5)
          Contoh dari lapisan ini adalah TCP, UDP dan RTP
          4.      Applications (Lapisan OSI 5 sampai dengan 7)
          Contoh dari lapisan ini adalah HTTP, FTP dan DNS.

         Oleh sebab setiap lapisan memiliki tugas yang independen dari lapisan-lapisan lainnya, maka transparansi data akan terjamin. Sebagai contoh, semua jenis browser internet akan tetap digunakan, sekalipun media fisik yang digunakan berubah dari kabel tembaga menjadi sinyal radio misalnya.

Tipe-tipe proteksi jaringan komputer
          Dikarenakan perbedaan fungsi dalam setiap lapisan jaringan komputer, maka perlindungan yang dapat dilakukan juga berbeda-beda. Pada bagian ini akan dijelaskan mengenai perlindungan terhadap jaringan komputer yang bisa dilakukan pada setiap lapisan jaringan komputer, mulai dari lapisan terbawah sampai dengan lapisan teratas.
                 ~   Layer 2
        Dalam usaha mengamankan sebuah gedung, tahap yang paling mendasar adalah dengan menjaga titik akses ke gedung tersebut. Begitu juga dengan pengamanan jaringan komputer, tahap paling mendasar adalah menjaga titik akses yang dapat digunakan seseorang untuk terhubung ke dalam jaringan. Pada umumnya, titik akses jaringan komputer adalah berupa hub atau switch.
Dengan berkembangnya wireless network, maka peralatan wireless access-point juga termasuk dalam titik akses jaringan yang perlu untuk dilindungi. Saat ini ada dua mekanisme umum yang biasa digunakan dalam mengamankan titik akses ke jaringan komputer, yaitu :
a.  Protokol 802.1x
        Protokol 802.1x adalah sebuah protokol yang dapat melakukan otentikasi pengguna dari peralatan yang akan melakukan hubungan ke sebuah titik-akses. Dengan protokol ini, ketika sebuah komputer melakukan hubungan ke sebuah titik-akses (hub atau switch), maka pengguna komputer tersebut perlu melakukan otentikasi sebelum komputer tersebut
terhubung ke jaringan komputer.
          Protokol ini sangat berguna untuk melindungi jaringan komputer sekaligus mengakomodasi pengguna-pengguna yang memiliki peralatan atau komputer yang bersifat mobile seperti notebook atau PDA. Dengan digunakannya protokol ini, dapat dijamin bahwa peralatan komputer yang berusaha melakukan akses ke jaringan komputer sedang dipergunakan oleh pihak yang memang telah diizinkan untuk melakukan akses.
         Tiga komponen yang terlibat dalam protokol ini adalah peralatan yang akan melakukan akses (supplicant), server yang akan melakukan otentikasi (server RADIUS) dan peralatan yang menjadi titik akses (otentikator). Secara umum, tahapan-tahapan dalam protokol ini adalah :
1.      Secara default akses ke jaringan tertutup.
2.      Sebuah supplicant melakukan akses dan meminta izin akses ke otentikator, yang kemudian meneruskannya ke server otentikasi.
3.  Server otentikasi menjawab dengan memberikan 'tantangan' ke supplicant melalui otentikator.
4.      Melalui otentikator, supplicant menjawab 'tantangan' yang diberikan.
5.  Apabila jawaban yang diberikan supplicant benar, server otentikasi akan memberitahu ke otentikator yang kemudian akan memberikan akses jaringan ke supplicant.
6.    Akses jaringan yang sudah terbuka, akan tetap terbuka sampai ketika terjadi perubahan status koneksi, misalnya koneksi diputus oleh pengguna atau alat yang terhubung berubah. Ketika terjadi perubahan status, akses akan kembali ditutup dan proses otentikasi akan berulang kembali.

       Pada perkembangannya, protokol ini digunakan secara lebih mendalam, bukan hanya untuk melakukan otentikasi terhadap pengguna peralatan yang melakukan akses, melainkan juga akan digunakan untuk memeriksa apakah konfigurasi peralatan yang melakukan akses sudah sesuai dengan kebijakan yang berlaku. Misalkan akan dilakukan pemeriksaan apakah program antivirus yang berjalan pada sebuah notebook yang akan melakukan koneksi sudah mempergunakan versi yang terbaru, jika kondisi tersebut tidak terpenuhi maka akses jaringan tidak akan diberikan. Selain itu protokol ini juga dapat digunakan untuk menegakkan sebuah kebijakan pada peralatan-peralatan yang akan melakukan akses jaringan komputer.
          Kelemahan dari protokol ini adalah, protokol ini harus diimplementasikan satu per satu pada semua switch/hub yang menjadi titik akses jaringan komputer.

-         Mac Address
          Mac Address Authentication adalah sebuah mekanisme di mana sebuah peralatan yang akan melakukan akses pada sebuah titik-akses sudah terdaftar terlebih dahulu. Berbeda dengan protokol 802.1x yang memastikan bahwa alat yang melakukan koneksi dipergunakan oleh pihak yang berwenang, metode ini untuk memastikan apakah peralatan yang akan melakukan akses adalah peralatan yang berhak untuk akses tanpa mempedulikan siapa yang mempergunakannya.
       Pada setiap peralatan jaringan komputer terdapat sebuah identitas yang unik. Berdasarkan identitas tersebutlah metode ini melakukan otentikasi. Pada setiap paket data yang dikirimkan sebuah peralatan akan mengandung informasi mengenai identitas peralatan tersebut, yang akan dibandingkan dengan daftar akses yang dimiliki setiap titik-akses, apabila ternyata identitas peralatan terdapat dalam daftar, paket yang dikirimkannya akan diteruskan apabila tidak, maka paket yang dikirimkannya tidak akan diteruskan.
       Keuntungan metode ini jika dibandingkan dengan protokol 802.1x adalah metode ini sudah lebih banyak diimplementasikan pada switch/hub yang sering digunakan sebagai titik akses. Selain itu, untuk mempergunakan metode ini, tidak perlu semua switch/hub melakukan filtering, namun cukup switch/hub utama saja yang melakukannya.
     Kelemahan utama dari metode ini adalah seseorang dapat dengan mudah memanipulasi identitas unik pada peralatan yang digunakannya, sehingga peralatan tersebut dapat melakukan akses ke sebuah jaringan komputer. Oleh karena itu sangat penting untuk menjaga integritas daftar identitas peralatan yang dapat melakukan akses ke jaringan.
        Selain kedua protokol otentikasi yang telah disebutkan di atas, ada sebuah metode keamanan yang terletak pada lapisan Data Link tapi tidak berfungsi untuk melakukan otentikasi penggunaan titik akses jaringan komputer, melainkan untuk melindungi data yang dikirimkan pada jaringan komputer tersebut. Metode tersebut adalah :
-         WEP dan WPA
       Perkembangan teknologi telah membuat transmisi data melalui media gelombang radio memiliki kualitas yang hampir sama dengan kualitas transmisi data melalui media kabel. Dengan mempegunakan wireless network, koneksi ke sebuah jaringan komputer menjadi sangat mudah karena tidak lagi terhambat oleh penggunaan kabel. Asalkan sebuah peralatan jaringan komputer masih dalam jangkauan gelombang radio komputer penyedia jaringan, peralatan tersebut dapat terhubung ke dalam jaringan komputer.
       Akan tetapi, penggunaan media gelombang radio untuk transmisi data memiliki berbagai permasalahan keamanan yang cukup serius. Sifat gelombang radio yang menyebar menyebabkan siapa saja yang berada pada jangkauan gelombang radio yang digunakan untuk komunikasi data dapat mencuri data yang dikirimkan oleh sebuah pihak ke pihak lain dengan mudah. Oleh karena itu dikembangkan metode yang disebut dengan Wired Equivalent Privacy (WEP).
         Tujuan utama dari WEP adalah berusaha untuk memberikan tingkat privasi yang diberikan oleh penggunaan jaringan berbasiskan kabel. Dalam melakukan usaha itu, WEP akan melakukan enkripsi terhadap data-data yang dikirimkan antara dua peralatan jaringan komputer berbasiskan gelombang radio, sehingga data yang dikirimkan tidak dapat dicuri oleh pihak lain. Untuk ini, WEP mempergunakan algoritma stream-cipher RC4 untuk menjaga kerahasiaan data dan CRC-32 sebagai kontrol integritas data yang dikirimkan. Oleh karena ada peraturan pembatasan ekspor teknologi enkripsi oleh pemerintah Amerika Serikat, maka pada awalnya panjang kunci yang dipergunakan hanyalah sepanjang 40 bit.
       Setelah peraturan tersebut dicabut, maka kunci yang digunakan adalah sepanjang 104 bit. Beberapa analis menemukan bahwa WEP tidak aman dan seseorang dapat dengan mudah menemukan kunci yang digunakan setelah melakukan analisa paket terenkripsi yang dia dapatkan. Oleh karena itu pada tahun 2003 dibuat standar baru yaitu Wi-Fi Protected Access (WPA). Perbedaan antara WEP dengan WPA adalah penggunaan protokol 802.1x untuk melakukan distribusi kunci yang digunakan dalam melakukan proses enkripsi dan dekripsi.
        Selain itu panjang kunci yang digunakan juga bertambah panjang menjadi 128 bit sehingga menambah tingkat kesulitan dalam menebak kunci yang digunakan. Selain itu untuk meningkatkan keamanan, juga dibuat sebuah sistem yang disebut dengan Temporal Key Integrity Control yang akan melakukan perubahan kunci secara dinamis selama sistem sedang digunakan. Pada perkembangan selanjutnya, yaitu pada tahun 2004 dibuat standard WPA2, dimana algoritma RC4 digantikan oleh algoritma enkripsi baru yaitu Advance Encryption System (AES) dengan panjang kunci sepanjang 256 bit.

               ~   Layer 3
        Pada lapisan ini, untuk membedakan sebuah peralatan jaringan komputer dengan peralatan jaringan komputer yang lainnya, digunakan alamat IP (Internet Protocol). Semua peralatan komputer aktif harus memiliki sebuah nomor IP unik yang akan menjadi identitasnya di jaringan komputer. Alamat IP yang saat ini banyak digunakan disebut dengan IPv4, yaitu sebuah deretan angka dengan format :
x.x.x.x
di mana x adalah angka antara 0 sampai dengan 255. Saat ini sedang dalam tahap pengembangan versi baru dari alamat IP yang disebut dengan IPv6. Selain alamat IP, pada lapisan ini juga dikenal istilah Port, yaitu sebuah pintu masuk ke dalam sebuah sistem komputer. Pada pintu inilah aplikasi jaringan komputer yang sedang berjalan dalam sebuah komputer menerima melakukan koneksi dengan pihak lain.
        Pada lapisan ini, metode perlindungan jaringan komputer akan berdasarkan pada alamat IP dan Port. Pada setiap paket data yang dikirimkan oleh sebuah peralatan jaringan komputer ke peralatan lainnya akan mengandung alamat IP dan Port yang digunakan oleh pengirim serta alamat IP dan Port dari tujuan paket tersebut. Sebuah sistem pengamanan yang biasanya dikenal dengan nama firewall dapat melakukan filtering berdasarkan kedua hal tersebut. Pada umumnya firewall diletakkan pada gerbang masuk maupun keluar sebuah sistem jaringan komputer. Selain itu firewall juga dapat melakukan filtering berdasarakan protokol yang digunakan oleh sebuah paket data, misalnya sebuah firewall dapat dirancang untuk menolak paket jenis udp dan paket jenis icmp sementara mengizinkan paket jenis tcp. Pada perkembangannya, firewall tidak hanya melakukan filtering berdasarkan alamat IP dan Port, tapi juga berdasarkan informasi lainnya yang tersedia dalam header sebuah paket IP. Sebagai contoh, sebuah firewall dapat melakukan filtering berdasarkan ukuran data sebuah paket data.
        Sebuah firewall juga bisa melakukan filtering berdasarkan status koneksi antara dua peralatan jaringan komputer, misalnya sebuah firewall dapat dirancang untuk menolak sebuah paket yang akan membuat sebuah koneksi baru dari sebuah alamat IP, tapi mengizinkan paket-paket lainnya dari alamat IP tersebut. Untuk menambah keamanan sistem jaringan komputer, saat ini sebagian besar firewall sudah bersifat statefull dan tidak lagi stateless. Pada statefull firewall, firewall akan membuat daftar sejarah status koneksi antara satu peralatan jaringan komputer dengan peralatan jaringan komputer lainnya. Hal ini untuk mencegah adanya penipuan status koneksi oleh sebuah peralatan jaringan komputer untuk dapat melewati proses filtering sebuah firewall.
      Selain diimplementasikan pada gerbang masuk atau gerbang keluar dari sebuah sistem jaringan komputer, firewall juga dapat diimplementasikan pada sebuah host. Ini berguna untuk melindungi host tersebut dari serangan yang berasal dari host lain yang berada pada jaringan komputer yang sama.
        Pada umumnya, implementasi firewall adalah metoda pengamanan sistem jaringan komputer yang pertama kali dilakukan. Walaupun cukup ampuh dan mudah untuk diimplementasikan, tanpa perencanaan yang baik, implementasi firewall dapat menyebabkan sebuah firewall tersusun atas peraturan-peraturan filtering yang sangat banyak. Hal ini dapat membuat firewall tersebut menjadi sulit untuk dikelola karena dengan banyaknya peraturan-peraturan filtering yang diimplementasikan akan lebih sulit untuk melakukan penelusuran proses penyaringan paket. Selain itu, banyaknya peraturan filtering yang terlalu banyak juga dapat menganggu interaksi koneksi data jaringan komputer, karena semua paket yang lewat harus melalui proses penyaringan yang sangat banyak.
           
            ~   Layer 4 /5
      Pada lapisan ini, metode pengamanan lebih difokuskan dalam mengamankan data yang dikirimkan. Metode pengamanan yang banyak digunakan adalah :
  • VPN
       Pada banyak organisasi besar, organisasi tersebut memiliki kantor-kantor cabang yang tersebar di banyak tempat. Kantor cabang-kantor cabang tersebut tentu memiliki kebutuhan untuk saling berhubungan antara satu dengan yang lainnya. Pada masa-masa awal jaringan komputer, solusi yang biasa digunakan adalah dengan membangun jaringan privat yang mengubungkan seluruh kantor cabang yang ada atau yang biasa disebut dengan Wide Area Network (WAN). Dengan berkembangnya jaringan Internet, solusi dengan membangun WAN, menjadi solusi yang sangat mahal dan tidak fleksibel. Dengan berkembangnya Virtual Private Network, sebuah organisasi dapat membangun jaringan privat maya diatas jaringan publik untuk menghubungkan seluruh kantor cabang yang dimilikinya.
Kelebihan implementasi VPN dibandingkan dengan implementasi WAN adalah :
1. Mempermudah perluasan konektivitas jaringan komputer secara geografis.
       Untuk menghubungkan beberapa lokasi yang terpisah secara geografis dapat mempergunakan jaringan publik (Internet) yang dimiliki oleh masing-masing lokasi. Koneksi Internet yang digunakan oleh sebuah lokasi bisa saja tidak menggunakan layanan dari service provider yang sama dengan koneksi Internet di lokasi lainnya.
2.   Peningkatan keamanan data
       Data yang dikirimkan akan terlindungi sehingga tidak dapat dicuri oleh pihak lain karena data yang ditransmisikan melalui VPN melalui proses enkripsi.
3.   Mengurangi biaya operasional
      Dengan menggunakan VPN, setiap lokasi hanya perlu memelihara satu buah koneksi Internet untuk seluruh kebutuhannya, baik kebutuhan koneksi Internet maupun kebutuhan koneksi internal organisasi.
4.   Menyederhanakan Topologi jaringan

               ~    Layer 7
       Lapisan paling atas dari jaringan komputer adalah lapisan aplikasi. Oleh karena itu, keamanan sebuah sistem jaringan komputer tidak terlepas dari keamanan aplikasi yang menggunakan jaringan komputer tersebut, baik itu keamanan data yang dikirimkan dan diterima oleh sebuah aplikasi, maupun keamanan terhadap aplikasi jaringan komputer tersebut. Metodemetode yang digunakan dalam pengamanan aplikasi tersebut antara lain adalah :
  • SSL
      Secure Socket Layer (SSL) adalah sebuah protokol yang bekerja tepat di bawah sebuah aplikasi jaringan komputer. Protokol ini menjamin keamanan data yang dikirimkan satu host dengan host lainnya dan juga memberikan metode otentikasi, terutama untuk melakukan otentikasi terhadap server yang dihubungi. Untuk keamanan data, SSL menjamin bahwa data yang dikirimkan tidak dapat dicuri dan diubah oleh pihak lain. Selain itu, SSL juga melindungi pengguna dari pesan palsu yang mungkin dikirimkan oleh pihak lain.
       Tahapan-tahapan yang harus dilalui dalam menggunakan SSL adalah :
1.      Negosiasi algoritma yang akan digunakan kedua-belah pihak.
2.      Otentikasi menggunakan Public Key Encryption atau Sertifikat elektronik.
3.      Komunikasi data dengan menggunakan Symmetric Key Encryption.

     Pada tahap negosiasi algoritma yang akan digunakan, pilihan-pilihan algoritma yang bisa digunakan adalah :
o   Public Key Encryption : RSA, Diffie-Helman, DSA (Digital Signature Algorithm) atau Fortezza.
o   Symmetric Key Encryption : RC2, RC4, IDEA (International Data Encryption Algorithm), DES (Data Encryption Standard), Triple DES atau AES.
o   Untuk fungsi hash 1 arah : MD5 (Message-Digest algorithm 5) atau SHA (Secure Hash Algorithm) aplikasi yang banyak menggunakan SSL adalah aplikasi perbankan berbasiskan web.

      Perkembangan lanjutan dari SSL adalah TLS, kepanjangan dari Transport Layer Security. Kelebihan-kelebihan yang dimiliki oleh TLS adalah :
o     Pemberian nomor pada semua data dan menggunakan nomor urut pada Message Authentication Code (MAC)
o     Message Digest hanya dapat dipergunakan dengan kunci yang tepat.
o    Perlindungan terhadap beberapa serangan yang sudah diketahui (seperti Man in the Middle Attack)
o    Pihak yang menghentikan koneksi, mengirimkan resume dari seluruh data yang dipertukarkan oleh kedua belah pihak.
o   Membagi data yang dikirimkan menjadi dua bagian, lalu menjalankan fungsi hash yang berbeda pada kedua bagian data.

       Pada implementasinya banyak aplikasi di sisi server dapat memfasilitasi koneksi biasa ataupun koneksi dengan TLS, tergantung dengan kemampuan klien yang melakukan koneksi. Apabila klien dapat melakukan koneksi dengan TLS maka data yang dikirimkan akan melalui proses enkripsi. Sebaliknya, apabila klien tidak memiliki kemampuan TLS, maka data akan dikirimkan dalam format plaintext.
  •  Application Firewall
      Selain permasalahan keamanan transaksi data, yang perlu diperhatikan pada lapisan ini adalah aplikasi itu sendiri. Sebuah aplikasi jaringan komputer yang terbuka untuk menerima koneksi dari pihak lain dapat memiliki kelemahan yang dapat dipergunakan oleh pihak yang tidak bertanggung jawab. Sebuah kelemahan pada sebuah aplikasi dapat mengancam keamanan host yang menjalankan aplikasi tersebut juga host-host lain yang berada pada sistem jaringan komputer yang sama.
       Dengan semakin berkembangnya virus dan worm yang menyerang kelemahan-kelemahan yang ada pada aplikasi jaringan komputer, maka diperlukan keamanan lebih pada lapisan ini. Untuk melindungi aplikasi-aplikasi jaringan komputer yang ada, maka perlu dipastikan bahwa semua data yang diterima oleh aplikasi tersebut dari pihak lain adalah data yang valid dan tidak berbahaya.
       Sebuah Application Firewall adalah sebuah sistem yang akan memeriksa seluruh data yang akan diterima oleh sebuah aplikasi jaringan komputer. Paket-paket data yang diterima dari pihak lain akan disatukan untuk kemudian diperiksa apakah data yang dikirimkan berbahaya atau tidak. Apabila ditemukan data yang berbahaya untuk sebuah aplikasi, maka data tersebut akan dibuang, sehingga tidak membahayakan sistem jaringan komputer secara keseluruhan.
       Pada umumnya Application Firewall diletakkan pada setiap host untuk melindungi aplikasi jaringan komputer yang ada pada host tersebut. Kekurangan dari sistem ini adalah diperlukannya sumber daya komputasi yang sangat besar untuk menyatukan kemudian memeriksa seluruh paket yang diterima oleh sebuah host. Selain itu, dengan adanya sistem ini, maka waktu yang dibutuhkan agar sebuah data dapat sampai ke aplikasi yang dituju akan semakin lama, karena harus melalui pemeriksaan terlebih dahulu. Oleh karena itu, sistem ini tidak cocok untuk di-implementasikan pada sistem yang mengharuskan data dikirim dan diterima secara real-time.
        Bentuk lain dari Application Firewall adalah Network Proxy. Tugas sebuah proxy adalah untuk mewakili klien-klien yang ada untuk melakukan hubungan dengan server-server tujuan. Bagi klien yang akan melakukan koneksi ke sebuah server, proxy adalah server tersebut. Sedangkan bagi server yang dihubungi, proxy adalah klien-nya. Dengan menggunakan proxy akan lebih sulit bagi pihak luar untuk melakukan serangan ke jaringan komputer internal, karena pihak tersebut hanya dapat berhubungan dengan proxy tersebut, sehingga pihak luar tersebut tidak dapat mengetahui lokasi sebenarnya dari server yang dihubunginya. Selain itu sebuah proxy juga dapat memiliki sederetan access-list yang akan mengatur hak akses klien ke server. Network Proxy juga dapat difungsikan terbalik, menjadi sebuah reverse proxy. Dengan reverse proxy tujuan utamanya adalah untuk melindungi server-server di jaringan internal. Karena semua request dari klien eksternal akan diterima oleh reverse proxy, maka paket-paket request yang berbahaya bagi server akan tersaring dan tidak berbahaya bagi server internal organisasi.
        Kelemahan dari proxy adalah antara klien dan server tidak memiliki hubungan langsung. Oleh karena itu, proxy tidak dapat digunakan pada protokol-protokol ataupun aplikasi yang membutuhkan interaksi langsung antara klien dan server.

No comments:

Post a Comment