Memonitor Dan Mengadministrasi Keamanan Jaringan

Ada tiga tipe user di Windows Server 2003:
1. Buit-in
Otomatis ada
2. Local User
User yang dibuat dan dikelola oleh suatu komputer Stand Alone atau komputer yang membentuk jaringan Peer to Peer atau Workgroup. Tools yang dipakai adalah Computer Management.
3. Domain User
User yang dibuat dan dikelola oleh suatu Domain Controller pada suatu Domain yang disimpan dalam Database Active Directory. Tools yang dipakai adalah Active Directory Users and Computers.
User yang berhak membuat User baru adalah: anggota Enterprise Admins, Domain Admins, Account Operators ataupun yang mendapatkan Specialized Permission untuk Create Account.
Tahapan untuk membuat user adalah sebagai berikut :

Jalankan Active Directory Users and Computers


Click kanan di object User, Pilih New  User


Isi semua informasi yang diminta, terutama User Logon name:


Click tombol Next

Masukkan Password minimal panjang 7 karakter dengan kombinasi alphabet, angka, dan special character seperti “!” (tanda seru)


Click tombol Next
Tampilan berikut akan menampilkan resume dari proses yang telah dilakukan


Click tombol Finish
Apabila terjadi kesalahan, misalnya karena aturan penulisan password tidak dipenuhi, maka akan tampil Message Box berikut:


Apabila semua ketentuan telah dipenuhi maka User yang dibuat akan tampil di Active Directory User and Computers.


Pada saat pembuatan User, Logon Name merupakan Distinguished Name (DN) yang harus unique dalam suatu Directory. Sedangkan Full Name/Display Name/Account Name merupakan Relative Distinguished Name (RDN) harus unique dalam suatu Organizational Unit tempat dimana User dibuat.
Logon Name disebut Unique dengan melihat 20 karakter pertama dari logon name. Panjang password dapat mencapai 127 karakter. Namun apabila terdapat Windows 9x, maka panjang password maksimum adalah 14 karakter.
Untuk pengaturan User lebih lanjut, pilih User yang sudah dibuat. Lalu Double click dengan mouse atau tekan Enter, maka akan ditampilkan seluruh Property yang dimilki oleh User yang kita pilih.


Untuk mengatur masa berlaku User. Supaya secara otomatis pada tanggal tertentu User tersebut di-Disable. Pilih tab Account, lalu click option box End of, dan tentukan tanggal berakhir berlakunya User yang anda pilih.


Untuk pengaturan kapan User tersebut dapat Login maka click tombol Logon Hours. Dengan menggunakan Mouse kita tentukan kapan User boleh Logon dan kapan tidak boleh Logon.
Dengan memilih tombol Log On To ... kita dapat tentukan User tersebut boleh Logon ke Domain dari Workstation mana saja, misal kita pilih, hanya bolih Login dari Komputer Workstation XP01:



Berikutnya kita akan mengelola mengenai user profile, yaitu: Suatu kumpulan folder dan data file yang mengandung elemen-elemen dari desktop environment yang membuat tampilan seorang User itu unique. Setting yang dimaksud termasuk hal-hal berikut:
• Semua shortcut di Start Menu, desktop, dan di Quick Launch Bar
• Dokumen yang disimpan di Desktop dan di My Documents (kecuali kalau My
Document di ReDirect ke File Server menggunakan FolderRedirection Policy dalam Group Policy), sehingga My Document merupakan short cut ke shared Folder/Home Folder di File Server.
• Internet Explorer favourites dan cookies.
• Certificates (jika diimplementasikan).
• Application specific files, seperti user template.
• My Network Places.
• Desktop display setting, seperti appearance, wallpaper dan screensaver.

Ada 2 model User profiles:
1. Local User Profiles (default)
Disimpan di folder:
%Systemdrive%\Documents and Settings\%Username%
Mekanisme kerjanya:
Local User Profiles dibuat ketika seorang User pertamakali Logon di suatu komputer dengan cara meng-copy dari Default User Profile. User dapat mengubah profile nya. User Profile akan dilengkapi profile-nya dengan All Users Profile.
2. Roaming User Profiles
User Profile yang disimpan di Shared Folder suatu File Server. Digunakan di Komputer mana pun di suatu Domain.
Untuk membuatnya :
- Buat Shared Folder di File Server
- Pada Property User di tab Profile, isi Profile Path
o \\\\%Username%
- Ubah Local User Profile menjadi Roaming Profiles
o Pastikan User yang akan disalin Local Profile nya ke File Server menjadi Roaming Profile sudah memiliki User Profile di suatu Komputer
o Logon Admin, control Panel, System, Tab Advanced, Click Setting di frame User Profile
o Pilih Profile yang telah dibuat, dan click Copy To.
o Masukkan \\\\%Username%
o Pada bagian Permitted To Use, Click change untuk memilih User
o Click OK
Suatu Roaming Profile dapat dijadikan Mandatory dengan cara mengganti Nama file NTUSER.DAT menjadi NTUSER.MAN
Berikut ini tampilan tab profile :


Untuk menampilkan pesan di layar, setiap kali user login dapat kita set Logon Script nya, misal kita masukkan logon script : titis.vbs. File titis.vbs dapat kita buat dengan menggunakan notepad, lalu ketikkan wscript.echo “Selamat Datang Tis”. Untuk merekamnya, lakukan hal berikut : Save As, pilih Save as type : All Files, lalu ketikkan File name “titis.vbs” (memakai tanda petik). Simpan file tersebut di folder :
c:\windows\sysvol\sysvol\modul.local\scripts (modul.local diganti dengan nama domain dari jaringan yang Anda kelola)
Untuk pengaturan keamanan lainnya yang berkaitan dengan User Account dapat dipergunakan tools Domain Security Policy :


o Pengendalian Akses File / Folder dan Enkripsi
Untuk pengelolaan pengamanan terhadap akses file dan folder dapat dipergunakan paling tidak Shared Folder Permission dan Security Permission. Untuk Security Permission persyaratan yang harus dipenuhi adalah bahwa File atau Folder yang akan dikelola harus menggunakan File System NTFS. Oleh karena itu Security Permission dikenal juga dengan istilah NTFS Permission.
Kebijakan aturan akses file/folder pada Shared Permission hanya berlaku apabila akses terhadap file/folder dilakukan dari komputer lain atau diakses melalui jaringan. Apabila seorang User memiliki hak sebagai user yang bersangkutan pada shared permission juga memiliki hak sebagai anggota suatu group yang group tersebut juga diatur hak aksesnya di shared permission. Dalam kasus ini akan dikenal yang disebut dengan Effective Permission, yaitu hak yang sebenarnya dimiliki oleh User sebagai gabungan dari hak yang dimiliki user yang bersangkutan baik secara langsung terhadap user tersebut atau secara tidak langsung melalui keanggotaan suatu group baik user defined group maupun default group seperti everyone. Acuannya adalah catat semua hak yang dimiliki oleh User yang bersangkutan baik hak langsung maupun hak tidak langsung melalui keanggotaannya di group. Cari yang paling “bagus” haknya. Misalnya sebagai diri sendiri haknya Read, tapi group Everyone hak nya Full Control, maka otomatis User tersebut memiliki hak Full Control atau Effective Right nya Full Control.
Kebijakan aturan akses Security Permission / NTFS Permission berlaku untuk akses secara interaktif (langsung di komputer tempat suatu file / folder berada) juga berlaku bagi akses dari jaringan. Untuk akses secara interaktif, maka aturan untuk Effective Security Permission nya sama dengan yang Shared Permission, yaitu cari yang paling “bagus”. Perlu diperhatikan untuk File / Folder yang diakses lewat jaringan dan terhadap file / folder tersebut diterapkan baik Shared Permission maupun Security Permission. Cara menentukan Effective Right untuk suatu user account adalah :
1. Cari Effective Right untuk user account tersebut pada Shared Permission
2. Cari Effective Right untuk user account tersebut pada Security Permission
3. Dari kedua Effective Right diatas, mana yang paling “jelek”, itulah Effective Right untuk user account dalam hal akses file / folder.

Cara pengamanan lainnya untuk akses file / folder adalah menggunakan teknik enkripsi. Enkripsi adalah proses konversi suatu informasi/data (plaintext) ke dalam bentuk lain yang tidak dimengerti (ciphertext) oleh pihak lain yang tidak berkepentingan. (bukan penerima yang dimaksud) menggunakan suatu suatu algoritma enkripsi dan Key / kunci tertentu. Proses enkripsi dikenal juga dengan istilah Encipher.
Deskripsi adalah proses sebaliknya dari enkrisi, yaitu untuk mengembalikan data/informasi (ciphertext) ke bentuk semula (plaintext) dengan menggunakan algoritma tertentu dan key tertentu.
Ada 2 metoda umum, yaitu Private Key / Secret Key / Symmetric Key Encryption dan Asymmetric Encryption / Public Key Encrypton. Untuk lebih jelasnya dapat dilihat pada gambar berikut :


Jadi untuk Symmetric, maka Kunci yang dipakai untuk proses Enkripsi dan proses Dekripsi adalah sama. Sedangkan Asymmetric kunci untuk enkripsi dan kunci untuk dekripsi berbeda.

o Virus dan Anti Virus
Virus adalah suatu rutin software yang dirancang untuk menempelkan dirinya pada software yang lain dan melakukan aktifitas – aktifitas tertentu yang sudah direncanakan / diprogram. Seperti juga virus biologis, maka virus komputer pun dirancang untuk mampu menggandakan dirinya dengan menginfeksi software lain.
Beberapa tipe virus yang umum ditemui adalah
• Boot sector viruses
• Executable file viruses
• Polymorphic viruses
• Stealth viruses
• Macro viruses
• Worms
• Trojans

Pengendalian dan / atau pencegahan terhadap virus, dapat dilakukan dengan menerapkan kebijakan yang berpengaruh terhadap kebiasaan user dan konfigurasi dari komputer. Semua user harus memeriksa dulu (membersihkan dari virus) semua External Memory yang akan dipakai di jaringan. Semua user tidak boleh membuka attachment dari email apabila dicurigai attachment tersebut mengandung virus atau dengan setup Mail Server sehingga melakukan filtering terhadap adanya virus di email. Hal lainnya yang dilakukan adalah dengan menggunakan Software Anti Virus. Untuk memilih Anti Virus yang sesuai Anda harus mencari informasi dari Majalah, Internet, ataupun dari rekomendasi orang yang telah memakainya. Selain itu ada hal yang jadi parameter baik tidaknya suatu Anti Virus adalah kemudahan / kecepatan update untuk database Anti Virus atau Virus Pattern sehingga Anti Virus tersebut dapat mengenali Virus terbaru sekalipun.

o Memonitor Ancaman terhadap Jaringan
Sebenarnya banyak sekali perangkat lunak yang dapat kita pilih dan kita manfaatkan untuk memonitor ancaman terhadap jaringan. Ada yang bersifat freeware, ada juga yang bersifat komersial. Pada awalnya perbedaan keduanya adalah dari technical support-nya. Pada saat ini sudah banyak perusahaan yang menawarkan layanan untuk perangkat lunak freeware, tentunya layanannya tidak free / tidak gratis. Selain itu banyak juga pengguna freeware yang memanfaatkan milis dari perangkat lunak yang mereka pergunakan.
Perangkat lunak yang dipakai untuk memonitor ancaman terhadap jaringan, diantaranya adalah Nagios, MRTG, TCPdump, Ethereal, Netstumbler, LC5, Nmap, WinPcap, Nessus, pwdump, Snort, Promiscdetect, Browselist, Smartsniff, Server Monitor Lite, RealVNC, NetBIOS Auditing Tools, Brutus, Pong, dan masih banyak lagi yang lainnya.
Masing – masing perangkat lunak pihak ke tiga (third party) di atas memiliki fungsi yang spesific maupun generic. Yang harus dipahami adalah bahwa security itu berkaitan dengan Confidentiallity, Integrity dan Availability. Selain itu kegiatan yang biasa dan harus dilakukan oleh suatu instansi dalam memonitor dan mengadministrasi keamanan jaringan adalah dengan melaksanakan Penetration Testing. Kegiatan ini dapat dilakukan oleh Internal Person ataupun External Person (Konsultan / Outsource), yang berupa segala jenis kegiatan yang dilakukan untuk menguji keamanan suatu sistem.
Nagios dan juga MRTG dipakai untuk memonitor Network, baik Port based monitoring (Protocol based monitoring) maupun Application based monitoring, dan menampilkannya dalam berbagai format baik Tekstual maupun grafis, dapat ditampilkan di layar (Web based, Non Web based) maupun disimpan dalam suatu file. RealVNC dipakai untuk akses remote komputer. TCPdump, Ethereal, WinPcap, pwdump, snort dipakai untuk capture paket data di jaringan, dan kita dapat melakukan analisa terhadap paket data yang sudah di-capture tersebut. Promiscdetect dipakai untuk memeriksa keberadaan Network Interface Card yang aktif melakukan capture paket data termasuk data – data yang sebenarnya tidak ditujukan untuk Network Interface Card tersebut. Netstumbler dan pong dipakai untuk memeriksa infrastruktur jaringan tanpa kabel (Wireless). Sedangkan Brutus dan LC5 digunakan untuk melakukan Penetration Testing dari masalah pemakaian Password di jaringan.
Dari semua perangkat lunak tersebut, kita bisa mendapatkan log dalam berbagai format yang dapat dianalisa untuk menghasilkan laporan audit tentang kemungkinan adanya ancaman dan gangguan terhadap jaringan. Dari laporan audit ini sebaiknya juga ditampilkan tentang response yang harus dilakukan untuk mengurangi atau malah menghilangkan ancaman gangguan terhadap jaringan.
Dengan memanfaatkan berbagai perangkat lunark third party diatas dan juga perangkat lunak lainnya yang tidak dituliskan diatas kita bisa mendapatkan data dan bukti tentang berbagai kesalahan yang dilakukan oleh user yang tidak melaksanakan kegiatan sesuai dengan prosedur yang telah ditetapkan. Misal tentang aturan pemakaian Password yang harus diikuti oleh semua user. Dengan mempergunakan LC5 kita dapat melakukan auditing terhadap prosedur keamanan dalam masalah pemakaian password.
Pada prinsipnya apabila kita dapat memanfaatkan kelebihan dari tiap perangkat lunak yang dapat digunakan untuk memonitor dan mengadministrasi jaringan dan memanfaatkan semua informasi yang dihasilkan untuk dianalisa lebih lanjut, maka kita dapat membuat suatu laporan audit dan memberikan rekomendasi terhadap permasalahan – permasalahan yang ditemui berkaitan dengan kegiatan memonitor dan mengadministrasi keamanan jaringan. Tentunya hal ini harus didukung oleh kemampuan untuk mempresentasikannya kepada pihak – pihak yang berwenang, sehingga kita mendapatkan persetujuan untuk melaksanakan semua rekomendasi yang kita buat berkaitan dengan kegiatan memonitor dan mengadministrasi keamanan jaringan.
Salah satu yang dapat dilakukan untuk memonitor Security di jaringan adalah menjalankan proses Auditing terhadap pemakaian Password. Hal ini dilakukan adalah karena titik terlemah dari suatu Sistem Keamanan Jaringan adalah faktor manusia. Hal ini ditangani dengan memberikan penjelasan tentang pentingnya memperhatikan masalah prosedur operasi yang telah dibuat dengan memperhatikan masalah keamanan. Selain pendekatan dengan cara edukasi supaya semua User sadar akan pentingnya keamanan jaringan, juga harus dilakukan monitoring terhadap kejadian dimana ada orang tertentu yang tidak bertanggung jawab secara aktif / sengaja berusaha akses ke sistem padahal orang tersebut tidak memiliki hak untuk melakukannya. Cara yang paling sering orang – orang ini lakukan adalah dengan memanfaatkan User Account orang lain yang sebenarnya dijaga pemakaiannya dengan adanya Password. Kerahasiaan Password menjadi sangat penting. Fakta di lapangan menyatakan bahwa salah satu cara menggunakan User Account orang lain walaupun sudah dilindungi Password yaitu dengan cara Guessing (menebak). Untuk mencegah supaya hal ini tidak terjadi kita harus aktif mengaudit Password yang digunakan user yang kita kelola dengan menggunakan tools tertentu, misalnya LC5.

Berikut ini penjelasan cara pemakaiannya :

Install LC5
Jalankan LC5


Pilih menu File  LC5 Wizard



Apabila Anda menjalankannya langsung di Domain Controller




Lalu Run

Anda dapat mengetahui dan memaksa supaya User yang memiliki Weak Password untuk menggantinya. Tapi harus diingat bahwa Tools LC5 ini pun dapat juga menampilkan Password yang dimiliki tiap User, sehingga tools ini dapat juga dimanfaatkan oleh orang yang tidak bertanggung jawab. Supaya tidak terjadi adanya User yang menjalankan aplikasi – aplikasi yang terlarang, sebaiknya diaplikasikan Software Restriction Policy yang detilnya tidak dibahas pada materi ini.
Tools lainnya yang disediakan Microsoft untuk Auditing Security adalah Microsoft Baseline Security Analyzer.
.