Pada pembahasan ini, istilah defensible networks digunakan untuk menggambarkan perusahaan-perusahaan yang mendorong adanya pertahanan diri dalam network mereka, bukannya mengabaikan hal tersebut. Banyak perusahaan yang sekedar memasang kabel dan mengkoneksikan server tanpa memikirkan konsekuensi dari segi keamanan. Mereka membuat infrastruktur yang mana tidak ada satu pun tim penjaga yang dapat melindungi mereka dari serangan. Bagaikan memasang atap penuh lubang, namun mereka bertanya-tanya kenapa lantai selalu basah bila turun hujan.
Pada posting ini, akan kita bahas mengenai ciri-ciri yang dimiliki oleh defensible networks. Seperti yang diharapkan, defensible networks mudah diawasi menggunakan prinsip NSM.
Defensible Networks Bisa Diawasi
Hal pertama yang harus diterapkan adalah, defensible networks memberikan kemampuan kepada analyst untuk mengamati traffic yang melintasi network milik perusahaan. Network dirancang dengan pemikiran bahwa network dapat diawasi, baik untuk tujuan keamanan ataupun untuk tujuan menjaga kinerja dan kesehatan network. Perusahaan jaringan memastikan setiap aspek critical dari infrastruktur jaringan bisa diakses dan memiliki kemampuan untuk melihat beberapa aspek dari traffic yang melewatinya. Sebagai contoh, para ahli dari Cisco melengkapi router Cisco dengan RAM (secukupnya) dan Internetwork Operating System untuk mengumpulkan statistic dan NetFlow data yang mencerminkan traffic yang ditangani oleh router. Para teknisi memasang switch dengan pemikiran untuk melengkapi switch dengan SPAN (Switched Port ANalyzer). Apabila pada jaringan terdapat routing yang tidak simetris, para ahli menggunakan perangkat yang mampu mendeteksi ketidakcocokan pola traffic. (Ini merupakan fitur seri Proventia dari peralatan IDS yang diterbitkan oleh Internet Security System, Inc. pada akhir 2003.) Jika isi dari sesi web yang terenkripsi ingin dianalisa, teknisi memasang IDS ke akselerator SSL yang dapat mendekripsi dan enkripsi ulang traffic secara on the fly.
Berdasarkan keadaan di atas, kesimpulannya adalah defensible network bisa diaudit. Para "akuntan" dapat mencatat "transaksi" yang terjadi melalui perusahaan atau dalam jaringan perusahaan. Para analyst kemudian dapat meneliti traffic yang ada, dan mencari tanda-tanda adanya penyalahgunaan ataupun penyerangan. Administrator jaringan dapat mencari apabila ada tanda-tanda konfigurasi yang salah, kejenuhan dalam jaringan, atau apabila ada masalah lain yang berhubungan dengan kinerja jaringan. Network yang bisa diawasi juga bisa dijadikan dasar untuk menentukan keadaan yang normal atau tidak normal. Teknisi dapat menginvestigasi adanya penyimpangan dari keadaan normal untuk mengidentifikasi masalah yang terjadi.
Konsekuensi kedua adalah defensible network bisa diinventarisasikan. Jika kita bisa mengawasi semuanya, kita harus mencatat apa yang kita lihat. Inventaris dari jaringan harus menampung semua host, sistem operasi, service, versi dari aplikasi dan aspek lain yang relevan untuk memaintain network perusahaan. Kita tidak bisa melindungi sesuatu jika kita tidak merasa memilikinya.
Defensible Network Membatasi Kebebasan Gerak Penyusup
Maksud dari membatasi ruang gerak penyusup dalam defensible network adalah mencegah penyusup melakukan hal-hal yang tidak seharusnya dan tidak dapat mengakses system yang terlarang, dengan sesuka hati. Banyak perusahaan yang menggunakan ip publik untuk semua departemen mereka, sehingga setiap departemen perusahaan dapat diakses dari publik. Alternatifnya adalah dengan menggunakan NAT (Network Address Translation) untuk mentranslasikan satu atau beberapa ip publik ke seluruh ip private milik perusahaan. Para pelaku internet sangat membenci cara ini, karena koneksi ke setiap host akan terputus. Ketika banyak ip address private tersembunyi dibalik satu atau beberapa ip publik, akan lebih sulit untuk mengakses host internal dari luar jaringan perusahaan. Keunggulan keamanan dari NAT lebih dipertimbangkan daripada keinginan penggemar internet untuk selalu terkoneksi antar host. NAT menambah kesulitan penyerang, paling tidak hingga penyerang berhasil compromise router atau firewall yang menerapkan NAT.
Ketika kita membatasi akses secara langsung ke ip internal, mengurangi kebebasan gerak penyusup merupakan penerapan terhadap perijinan traffic penyusup yang melewati gateway internet milik perusahaan. Administrator jaringan sering berselisih dengan user dan management dalam membatasi protocol yang dapat melewati firewall. Menyaring traffic yang masuk memang sudah dapat diterima secara umum, tetapi membatasi traffic yang keluar terkadang belum dapat diterima. Suatu network yang menghalangi semua traffic masuk kecuali yang dibutuhkan, mengurangi peluang adanya reconnaissance dan exploitasi. Network yang melarang semua traffic keluar kecuali yang penting untuk pekerjaan dapat mengruangi peluang reinforcement dan consolidation. Larangan seperti ini harus diterapkan ke alamat ip yang diijinkan melewati gateway internet. Sebagai contoh, sebuah organisasi seharusnya melarang traffic spoofing dari sebuah alamat ip untuk meninggalkan perusahaan.
Element tambahan untuk membatasi traffic dari penyusup memerlukan pencarian traffic yang tidak sesuai dengan aturan yang sudah ditetapkan. Pencarian traffic juga disebut normalisasi, yaitu proses menghilangkan ambigu dalam kumpulan traffic. Bentuk-bentuk ambigu yang terjadi biasanya berupa fragmentasi packet, kombinasi tidak biasa dari TCP flags, nilai TTL (Time To Live) yang rendah, dan aspek lain dari traffic. Konsep ini secara resmi diperkenalkan oleh Mark Handley dan Vern Paxson pada 2001. Sebuah aplikasi firewall dari OpenBSD, Pf, mampu melakukan pencarian ambigu dalam traffic. Normalisasi traffic mengurangi kemampuan penyusup untuk memasang channel penyamaran yang mengandalkan manipulasi header packet.
Defensible Network Memberikan Jumlah Minimal Service
Sebenarnya tidak ada yang misterius dalam menembus keamanan jaringan komputer. Selain dari beberapa vulnerability dalam aplikasi yang menerima segala macam input (misalnya Tcpdump dan SNort), setiap exploitasi terhadap server secara remote harus ditargetkan kepada service yang aktif. Dengan demikian, menonaktifkan semua service yang tidak diperlukan terbukti dapat menambah daya tahan sebuah network. Seorang penyerang dengan sedikit service untuk diexploitasi akan kekurangan ruang gerak.
Apabila dimungkinkan, pasanglah sistem operasi yang memiliki instalasi minimal, misalnya beberapa variasi dari distribusi BSD. Seorang penyusup yang berhasil mendapatkan akses lokal akan mendapatkan sistem yang berjalan tanpa memerlukan kebutuhan tambahan dalam proses kerjanya. Sebuah sistem tanpa compiler dapat mencegah seorang penyusup mengubah source code menjadi exploit. Pertimbangkanlah untuk menggunakan sistem operasi yang memberikan service bagaikan dalam sebuah "penjara", sebuah environment terbatas yang dirancang untuk beroperasi dalam service jaringan terbuka.
Defensible Network Dapat Dijaga Tetap Update
Maksud dari tetap update mengacu pada fakta bahwa network yang dirawat dengan baik bisa di "patch" untuk menutup vulnerability yang baru ditemukan. Bagi pengguna produk Microsoft, disarankan untuk upgrade ke software yang paling baru. Microsoft dan vendor lainnya menghentikan kode program lama bukan tanpa alasan. Adanya cacat dalam desain atau implementasi wajar dari produk lebih lama pada akhirnya akan tidak berguna. Maksud dari "tidak berguna" di sini adalah "tidak dapat dipertahankan." Beberapa orang mungkin berpendapat bahwa kode tertentu, misalnya Plan 9, tidak perlu diabaikan demi versi yang lebih baru. Dan juga, menggunakan kode yang cukup lama, mengurangi jumlah orang yang familiar dengan kode tersebut. Akan sulit menemukan orang yang aktif di dunia komputer modern yang dapat membuat exploit untuk software 10 atau 20 tahun lalu.
Sebagian besar penyusupan jaringan merupakan hasil exploitasi dari vulnerability yang sudah diketahui. Penyusupan tersebut sebagian besar tidak menggunakan exploit zero-day, dan vulnerability diserang beberapa bulan setelah vendor mengeluarkan sebuah patch. Sistem lama ataupun service yang memiliki vulnerability harus memiliki jadwal upgrade atau jadwal "pensiun." Internet modern ini, bukanlah tempat untuk sistem yang tidak dapat mempertahankan diri.
Sumber:
The Tao of Network Security Monitoring: Beyond Intrusion Detection
Tweet
Tidak ada komentar:
Posting Komentar