Pages

Friday, October 4, 2024

Amankan Router Edge

Amankan Infrastruktur Jaringan

Mengamankan infrastruktur jaringan sangat penting untuk keamanan jaringan secara keseluruhan. Infrastruktur jaringan mencakup router, switch, server, endpoint, dan perangkat lainnya.

Bayangkan seorang karyawan yang tidak puas dengan santai mengintip dari balik bahu administrator jaringan saat administrator tersebut masuk ke router edge. Ini adalah cara yang sangat mudah bagi penyerang untuk mendapatkan akses yang tidak sah.

Jika penyerang mendapatkan akses ke router, keamanan dan pengelolaan seluruh jaringan dapat terganggu. Misalnya, penyerang dapat menghapus konfigurasi startup dan membuat router memuat ulang dalam waktu lima menit. Saat router melakukan boot ulang, router tidak akan memiliki konfigurasi startup.

Untuk mencegah akses yang tidak sah ke semua perangkat infrastruktur, kebijakan dan kontrol keamanan yang sesuai harus diterapkan. Router adalah target utama serangan karena perangkat ini bertindak sebagai polisi lalu lintas, yang mengarahkan lalu lintas masuk, keluar, dan antar jaringan.

Router edge yang ditunjukkan pada gambar adalah router terakhir antara jaringan internal dan jaringan yang tidak tepercaya, seperti internet. Semua lalu lintas internet organisasi melewati router tepi, yang sering kali berfungsi sebagai garis pertahanan pertama dan terakhir untuk jaringan. Router tepi membantu mengamankan perimeter jaringan yang dilindungi dan menerapkan tindakan keamanan yang didasarkan pada kebijakan keamanan organisasi. Karena alasan ini, mengamankan router jaringan menjadi keharusan.


Pendekatan Keamanan Router Edge

Implementasi router tepi bervariasi tergantung pada ukuran organisasi dan kompleksitas desain jaringan yang dibutuhkan. Implementasi router dapat mencakup satu router yang melindungi seluruh jaringan internal atau router yang berfungsi sebagai garis pertahanan pertama dalam pendekatan pertahanan berlapis. Topologi yang disederhanakan untuk ketiga pendekatan tersebut.

Pendekatan Router Tunggal

Pada gambar, satu router menghubungkan jaringan terlindungi atau jaringan area lokal (LAN) internal ke internet. Semua kebijakan keamanan dikonfigurasi pada perangkat ini. Ini lebih umum diterapkan pada implementasi situs yang lebih kecil, seperti kantor cabang dan kantor kecil, kantor pusat (SOHO). Pada jaringan yang lebih kecil, fitur keamanan yang diperlukan dapat didukung oleh Router Layanan Terpadu (ISR) tanpa menghambat kemampuan kinerja router.

Pendekatan Pertahanan Berkedalaman

Pendekatan pertahanan berlapis lebih aman daripada pendekatan router tunggal. Pendekatan ini menggunakan beberapa lapisan keamanan sebelum lalu lintas memasuki LAN yang dilindungi. Ada tiga lapisan pertahanan utama: router tepi, firewall, dan router internal yang terhubung ke LAN yang dilindungi. Router tepi bertindak sebagai garis pertahanan pertama dan dikenal sebagai router penyaringan. Setelah melakukan penyaringan lalu lintas awal, router tepi meneruskan semua koneksi yang ditujukan untuk LAN internal ke garis pertahanan kedua, yaitu firewall.

Firewall biasanya melanjutkan dari tempat router tepi berhenti dan melakukan penyaringan tambahan. Firewall menyediakan kontrol akses tambahan dengan melacak status koneksi dan bertindak sebagai perangkat titik pemeriksaan. Secara default, firewall menolak inisiasi koneksi dari jaringan luar (tidak tepercaya) ke jaringan dalam (tepercaya). Namun, firewall memungkinkan pengguna internal untuk membuat koneksi ke jaringan yang tidak tepercaya dan mengizinkan respons untuk kembali melalui firewall. Ia juga dapat melakukan autentikasi pengguna (proxy autentikasi) yang mengharuskan pengguna diautentikasi untuk memperoleh akses ke sumber daya jaringan.

Router bukan satu-satunya perangkat yang dapat digunakan dalam pendekatan pertahanan berlapis. Alat keamanan lain, seperti sistem pencegahan intrusi (IPS), peralatan keamanan web (server proxy), dan peralatan keamanan email (penyaringan spam) juga dapat diterapkan.

Pendekatan DMZ

Variasi pendekatan pertahanan berlapis ditunjukkan pada gambar. Pendekatan ini mencakup area perantara, yang sering disebut zona demiliterisasi (DMZ). DMZ dapat digunakan untuk server yang harus dapat diakses dari internet atau jaringan eksternal lainnya. DMZ dapat disiapkan di antara dua router, dengan router internal yang terhubung ke jaringan yang dilindungi dan router eksternal yang terhubung ke jaringan yang tidak dilindungi. Atau, DMZ dapat berupa port tambahan dari satu router. Firewall terletak di antara jaringan yang dilindungi dan yang tidak dilindungi. Firewall disiapkan untuk mengizinkan koneksi yang diperlukan, seperti HTTP, dari jaringan luar (tidak tepercaya) ke server publik di DMZ. Firewall berfungsi sebagai perlindungan utama untuk semua perangkat di DMZ.


Tiga Area Keamanan Router

Mengamankan router edge merupakan langkah awal yang penting dalam mengamankan jaringan. Jika ada router internal lain, router tersebut juga harus dikonfigurasi dengan aman. Tiga area keamanan router harus dijaga.

Keamanan Fisik

Berikan keamanan fisik untuk router:

  • Letakkan router dan perangkat fisik yang terhubung dengannya di ruangan terkunci yang aman yang hanya dapat diakses oleh personel yang berwenang, bebas dari gangguan elektrostatik atau magnetik, memiliki pencegah kebakaran, dan memiliki kontrol suhu dan kelembapan.
  • Pasang catu daya tak terputus (UPS) atau generator daya cadangan diesel. Gunakan catu daya cadangan di perangkat jaringan jika memungkinkan. Ini mengurangi kemungkinan pemadaman jaringan akibat kehilangan daya atau kegagalan peralatan listrik.

 Keamanan Sistem Operasi

Ada beberapa prosedur yang terlibat dalam mengamankan fitur dan kinerja sistem operasi router:

  • Lengkapi router dengan jumlah memori maksimum yang memungkinkan. Ketersediaan memori dapat membantu mengurangi risiko jaringan dari beberapa serangan penolakan layanan (DoS) sekaligus mendukung layanan keamanan yang paling luas.
  • Gunakan versi sistem operasi terbaru dan stabil yang memenuhi spesifikasi fitur router atau perangkat jaringan. Fitur keamanan dan enkripsi dalam sistem operasi ditingkatkan dan diperbarui dari waktu ke waktu, yang membuatnya penting untuk memiliki versi terbaru.
  • Simpan salinan aman gambar sistem operasi router dan file konfigurasi router sebagai cadangan. 

Pengerasan Router

Hilangkan potensi penyalahgunaan port dan layanan yang tidak digunakan:

  • Amankan kontrol administratif. Pastikan hanya personel yang berwenang yang memiliki akses dan tingkat akses mereka terkontrol.
  • Nonaktifkan port dan antarmuka yang tidak digunakan. Kurangi jumlah cara perangkat dapat diakses.
  • Nonaktifkan layanan yang tidak diperlukan. Mirip dengan banyak komputer, router memiliki layanan yang diaktifkan secara default. Beberapa layanan ini tidak diperlukan dan dapat digunakan oleh penyerang untuk mengumpulkan informasi tentang router dan jaringan. Informasi ini kemudian dapat digunakan dalam serangan eksploitasi.

 

Akses Administratif yang Aman

Mengamankan akses administratif merupakan tugas keamanan yang sangat penting. Jika orang yang tidak berwenang memperoleh akses administratif ke router, orang tersebut dapat mengubah parameter perutean, menonaktifkan fungsi perutean, atau menemukan dan memperoleh akses ke sistem lain dalam jaringan.

Beberapa tugas penting yang terlibat dalam mengamankan akses administratif ke perangkat infrastruktur:

  • Batasi aksesibilitas perangkat - Batasi port yang dapat diakses, batasi komunikator yang diizinkan, dan batasi metode akses yang diizinkan.
  • Catat dan catat semua akses - Catat siapa saja yang mengakses perangkat, apa yang terjadi selama akses, dan kapan akses terjadi untuk tujuan audit.
  • Autentikasi akses - Pastikan bahwa akses hanya diberikan kepada pengguna, grup, dan layanan yang diautentikasi. Batasi jumlah upaya login yang gagal dan waktu yang diizinkan antara login.
  • Otorisasi tindakan - Batasi tindakan dan tampilan yang diizinkan oleh pengguna, grup, atau layanan tertentu.
  • Sajikan pemberitahuan hukum - Tampilkan pemberitahuan hukum, yang harus dikembangkan dengan penasihat hukum perusahaan, untuk berbagai jenis akses ke perangkat.
  • Pastikan kerahasiaan data - Lindungi data yang disimpan secara lokal dan sensitif agar tidak dilihat dan disalin. Pertimbangkan kerentanan data yang dikirimkan melalui saluran komunikasi terhadap serangan sniffing, pembajakan sesi, dan man-in-the-middle (MITM). 

 

Akses Lokal dan Jarak Jauh yang Aman

Router dapat diakses untuk keperluan administratif secara lokal atau jarak jauh:

  • Akses lokal - Semua perangkat infrastruktur jaringan dapat diakses secara lokal. Akses lokal ke router biasanya memerlukan koneksi langsung ke port konsol pada router Cisco, dan menggunakan komputer yang menjalankan perangkat lunak emulasi terminal, seperti yang ditunjukkan pada gambar. Administrator harus memiliki akses fisik ke router dan menggunakan kabel konsol untuk terhubung ke port konsol. Akses lokal biasanya digunakan untuk konfigurasi awal perangkat.
  • Akses jarak jauh - Administrator juga dapat mengakses perangkat infrastruktur dari jarak jauh, seperti yang ditunjukkan pada gambar. Meskipun opsi port aux tersedia, metode akses jarak jauh yang paling umum melibatkan izin koneksi Telnet, SSH, HTTP, HTTPS, atau SNMP ke router dari komputer. Komputer dapat berada di jaringan lokal atau jaringan jarak jauh. Namun, jika konektivitas jaringan ke perangkat terputus, satu-satunya cara untuk mengaksesnya mungkin melalui saluran telepon. 

 Beberapa protokol akses jarak jauh mengirimkan data, termasuk nama pengguna dan kata sandi, ke router dalam bentuk teks biasa. Jika penyerang dapat mengumpulkan lalu lintas jaringan saat administrator masuk ke router dari jarak jauh, penyerang dapat memperoleh kata sandi atau informasi konfigurasi router. Karena alasan ini, sebaiknya hanya mengizinkan akses lokal ke router. Namun, dalam beberapa situasi, akses jarak jauh mungkin masih diperlukan. Tindakan pencegahan harus dilakukan saat mengakses jaringan dari jarak jauh:

  • Enkripsikan semua lalu lintas antara komputer administrator dan router. Misalnya, alih-alih menggunakan Telnet, gunakan SSH versi 2; atau alih-alih menggunakan HTTP, gunakan HTTPS.
  • Tetapkan jaringan manajemen khusus. Jaringan manajemen harus mencakup hanya host administrasi yang teridentifikasi dan koneksi ke antarmuka khusus pada router. Akses ke jaringan ini dapat dikontrol secara ketat.
  • Konfigurasikan filter paket untuk mengizinkan hanya host administrasi yang teridentifikasi dan protokol pilihan untuk mengakses router. Misalnya, izinkan hanya permintaan SSH dari alamat IP host administrasi untuk memulai koneksi ke router di jaringan.
  • Konfigurasikan dan buat koneksi VPN ke jaringan lokal sebelum menghubungkan ke antarmuka manajemen router.

Tindakan pencegahan ini berharga, tetapi tidak melindungi jaringan sepenuhnya. Metode pertahanan lainnya juga harus diterapkan. Salah satu metode yang paling mendasar dan penting adalah penggunaan kata sandi yang aman.

 

 

Diposkan oleh di
Label:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)