1.Pengamanan fisik pada keamanan jaringan
Komputer
kunci
Banyak kasus PC modern termasuk
“penguncian” fitur. Biasanya ini akan menjadi soket pada bagian depan case yang
memungkinkan Anda untuk memutar kunci yang disertakan ke posisi terkunci atau
dikunci. Kunci case dapat membantu mencegah seseorang mencuri PC anda, atau
membuka case yang secara langsung memanipulasi / mencuri hardware anda. Mereka
juga kadang-kadang bisa mencegah seseorang mereboot komputer anda dari disket
mereka sendiri atau perangkat keras lainnya.
Kunci case ini melakukan hal yang
berbeda sesuai dengan dukungan dalam motherboard dan bagaimana case dirancang.
Pada banyak PC yang mereka membuatnya sehingga anda harus menghancurkan case
untuk kasus ini terbuka. Pada beberapa orang lain, mereka tidak akan membiarkan
Anda pasang di keyboard baru atau tikus. Periksa motherboard atau petunjuk
kasus untuk informasi lebih lanjut. Hal ini kadang-kadang bisa menjadi fitur
yang sangat berguna, meskipun kuncinya biasanya sangat berkualitas rendah dan
dapat dengan mudah dikalahkan oleh penyerang dengan Locksmithing.
Beberapa mesin (terutama SPARC dan
Mac) memiliki dongle di belakang sehingga jika anda menaruh kabel melalui, para
penyerang harus memotong kabel atau membongkar case untuk masuk ke dalamnya.
Hanya menempatkan kunci gembok atau combo melalui dapat menjadi alat pencegah
yang baik untuk seseorang mencuri mesin Anda.
Keamanan
BIOS
BIOS adalah software tingkat
terendah yang mengkonfigurasi atau memanipulasi hardware berbasis x86 anda.
LILO dan metode boot Linux lainnya mengakses BIOS untuk menentukan bagaimana
memboot mesin Linux Anda. Perangkat keras lain yang menjalankan Linux memiliki
software yang serupa (Open Firmware di Mac dan SUN, SUN boot prom, dll ..).
Anda dapat menggunakan BIOS untuk mencegah penyerang mereboot ulang mesin anda
dan memanipulasi sistem Linux anda.
BIOSs banyak PC memungkinkan Anda
menetapkan password boot. Hal ini tidak memberikan banyak keamanan (BIOS dapat
direset, atau dihapus jika seseorang dapat masuk ke kasus ini), tapi mungkin
dapat berguna (misalnya hal ini memerlukan waktu dan meninggalkan bekas).
Demikian pula, pada S / Linux (Linux untuk SPARC ™ mesin prosesor), Anda EEPROM
dapat diatur untuk memerlukan password boot-up. Ini mungkin memperlambat
penyerang turun.
Risiko lain mempercayai password
BIOS untuk mengamankan sistem anda adalah masalah password default. Kebanyakan
pembuat BIOS tidak mengharapkan orang untuk membuka komputer mereka dan lepaskan
baterai jika mereka lupa password mereka dan telah dilengkapi BIOS mereka
dengan password default yang bekerja tanpa password yang Anda pilih.
Keamanan
perangkat lokal
Jika Anda memiliki webcam atau
mikrofon yang terpasang ke sistem Anda, Anda harus mempertimbangkan jika ada
beberapa bahaya penyerang memperoleh akses ke perangkat tersebut. Bila tidak
digunakan, mencabut atau menghapus perangkat tersebut mungkin menjadi pilihan.
Jika tidak, Anda harus hati-hati membaca dan melihat perangkat lunak apapun
dengan menyediakan akses ke perangkat tersebut.
Mendeteksi
Gangguan Keamanan Fisik
Hal pertama yang harus diperhatikan
adalah pada saat mesin ada direboot. Karena Linux adalah sistem operasi yang
kuat dan stabil, saat bagi mesin anda untuk reboot adalah ketika Anda
bawa ke bawah untuk upgrade OS, penukaran hardware, atau sejenisnya. Jika mesin
Anda telah reboot tanpa Anda melakukannya, yang mungkin merupakan tanda bahwa
penyusup telah dikompromikan itu. Banyak cara mesin anda dapat diganggu tanpa membutuhkan
penyusup untuk reboot atau mematikan mesin anda.
Periksa tanda-tanda gangguan pada
kasus dan daerah komputer. Meskipun banyak penyusup jejak bersih dari kehadiran
mereka keluar dari kayu, itu ide yang baik untuk memeriksa keseluruhannya dan
mencatat kejanggalan.
Ini juga merupakan ide yang baik
untuk menyimpan data log di lokasi yang aman, seperti server log berdedikasi
dalam baik-dilindungi jaringan Anda. Setelah mesin telah diganggu, data log
menjadi sedikit digunakan karena kemungkinan besar juga telah dimodifikasi oleh
penyusup.
Daemon syslog dapat dikonfigurasi
untuk secara otomatis mengirim data log ke server syslog pusat, tapi ini
biasanya dikirim tidak terenkripsi, memungkinkan penyusup untuk melihat data
karena sedang ditransfer. Hal ini dapat mengungkapkan informasi tentang
jaringan Anda yang tidak dimaksudkan untuk umum. Ada syslog daemon tersedia
yang mengenkripsi data karena sedang dikirim.
Juga menyadari bahwa berpura-pura
pesan syslog mudah – dengan program yang telah mengeksploitasi diterbitkan.
Syslog bahkan menerima entri log bersih mengaku berasal dari host lokal tanpa
menunjukkan asal-usul mereka yang sebenarnya.
2.
Pengamanan Logik pada keamanan jaringan
a. Firewall
Firewall merupakan komponen keamanan yang
diterapkan baik terhadap hardware, software ataupun sistem itu
sendiri dengan tujuan untuk melindungi, baik dengan menyaring, membatasi atau
bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada jaringan
pribadi dengan jaringan luar yang bukan merupakan ruang lingkupnya. Segmen tersebut
dapat merupakan sebuah workstation, Server, router, atau LAN .
Pemahaman tentang aplikasi-aplikasi yang digunakan di Data Center
memberikan bantuan dalam memutuskan protocol/port-port
aplikasi yang dibuka, dibelokkan atau dibatasi di Firewall.
b. Demilitarized Zone.
Pengelompokkan
sumber daya TI yang berada dibawah kendali administrasi yang sama dan
memiliki kemiripan kebutuhan atau persyaratan tingkat keamanan. Hal ini dapat
dicapai diantaranya melalui segmentasi pada lapisan akses dengan menggunakan VLAN
dan Firewall menjadi penghubung antar masing-masing Server
farm.
Merupakan
komponen keamanan yang digunakan untuk mendeteksi paket-paket yang mencurigakan
baik di sisi jaringan (Network IDS) maupun host (Host IDS).
IPS, merupakan komponen keamanan yang digunakan untuk mendeteksi dan mencegah
paket-paket yang mencurigakan baik di sisi jaringan (Network IPS) maupun
host (Host IPS). Sensor-sensor IDS dapat mendeteksi berbagai
jenis serangan. IDS ditempatkan di masing-masing Server farm terutama di
Internet Server farm (Internet edge) dengan penekanan yang
berbeda-beda dimana pada Internet edge difokuskan untuk mengidentifikasi
kemungkinan serangan terhadap Software-Software client yang menggunakan
teknologi pemrograman client-side. Sedangkan IDS di Server farm difokuskan
untuk mengidentifikasi tanda-tanda serangan yang menuju Server atau
aplikasi yang digunakan.
d. Enkripsi data
Enkripsi data
digunakan pada extranet Server farm dan beberapa Server
internet Server farm yang menghost informasi-informasi yang
dinilai cukup rahasia. Enkripsi data menggunakan Public Key
Infrastructure (PKI) sebagai media enkripsi. Penerapan Secure Socket Layer
(SSL) offloader 128 bit dan HTTPS digunakan untuk melengkapi perlindungan PKI.
e. Access Control
List (ACL)
Access Control
List merupakan perimeter keamanan yang dikonfigurasi dalam router berupa packet
filtering atas IP address dan protokol yang keluar dan masuk.ACL diterapkan
pada interface setiap router baik inbound maupun outbond. Gambar berikut adalah
arsitektur yang direkomendasikan untuk diterapkan.
Inbound atau
input filtering digunakan untuk mengurangi lalulintas data atau layanan yang
masuk kedalam route.
Outbond atau Output
filtering digunakan untuk mengurangi laulintas data atau layanan yang keluar
dari router.
f. Antivirus
& Antispyware
Antivirus dan
anti spyware diterapkan diseluruh komputer yang ada dalam data center (baik Server
maupun workstation). Antivirus yang digunakan harus memiliki kemampuan sebagai
berikut :
1)
Memiliki Antivirus dan anti spyware Server dan anti virus
client.
2)
Dapat di-deploy secara remote melalui jaringan yang ada.
3)
Memiliki mekanisme update secara paksa dari Server Antivirus dan anti spyware
ke client
Antivirus dan anti spyware.
4)
Terdapat update yang cepat dan dapat diperoleh dengan cepat melalui automatic
update.
5)
Program Antivirus dan anti spyware tidak mengambil
sumberdaya komputasi yang besar
dari komputer yang dipasang program
tersebut.
g. Patch & Service Pack
Application
Setiap software,
baik aplikasi, sistem operasi atau firmware suatu perangkat biasa memiliki bug
yang digunakan sebagai security hole oleh pihak-pihak yang tidak
bertanggung jawab. Banyak vendor saat ini selalu merelease patch atau service
pack atau update dari produk-produknya guna menyempurnakan produk dan
memperbaiki bug yang ada. Setiap software yang digunakan dalam data
center harus di update secara berkala berdasarkan release terbaru dari patch
atau service pack yang dikeluarkan vendor terkait.
Gimana cara komen?
BalasHapus