Keamanan jaringan bisa dicapai dengan cara meng-implementasi best practices kebijakan keamanan dan dengan mengikuti suatu pertahanan dengan procedure yang sangat detail. Policy ini minimal harus meliputi akses fisik, access control switch dan router, support VLAN, inkripsi, dan juga koneksi router dan paket filtering. Tujuan utama adalah memberikan perlindungan yang sangat kuat kepada infrastructure jaringan terhadap segala bentuk ancaman jaringan baik dari dalam maupun dari luar.
Standard keamanan jaringan dimaksudkan mengenali komponen-2 yang harus diberikan perlindungan agar tercapai suatu lingkungan jaringan yang aman dengan kebutuhan minimum sebagai berikut:
Semua titik-2 yang bisa diakses secara fisik dan juga perangkat jaringan (routers, server dan LAN Switches) haruslah aman secara fisik. Jangan sampai infrastructure vital (missal server room) bisa diakses oleh sembarang orang, bahkan bila perlu disamarkan tanpa ada yang tahu fungsinya.
Operating system dan firmware piranti haruslah diperkuat (dipathced / di update) untuk mencegah titik-titik lemah keamanan (security hole)
Piranti-2 jaringan seperti switches dan router haruslah mempunyai password yang sangat kuat, password yang tidak umum dan tidak gampang ditebak.
Akses remote kepada piranti jaringan (Telnet dan SNMP) haruslah di control dengan membatasi aksesnya menggunakan system filter IP address kepada remote device yang memang diberikan akses saja dan hanya oleh personal IT support saja.
Piranti jaringan haruslah mempunyai “Message of the Day (MOTD)” atau banner login yang mendefinisikan Warning pesan Legal setiap kali diakses, dengan pesan larangan kepada semua user yang tidak authorize jika mencoba untuk mengakses piranti jaringan tersebut.
Session time-out pada console dan telnet haruslah di setting dan dibatasi tidak boleh lebih dari 10 menit saat idle kepada semua piranti jaringan. Hal ini untuk menjaga pelanggaran keamanan jika terminal tersebut ditinggal dalam keadaan masih logon.
Password dan nama community SNMP haruslah paling sedikit 8 karakter dan haruslah terdiri dari alphanumeric password. Password haruslah tidak gampang ditebak.
Management services seperti SNMP haruslah didisable jika tidak dipakai
Semua komunikasi public (internet dan wireless) haruslah di enkripsi. Enkripsi haruslah secara regular diganti dengan cara yang aman untuk menjaga pengupingan dan serangan manipulasi data.
Pertahanan perimeter haruslah ditekankan pada segenap titik jaringan yang menghadap ke public termasuk internet. Hal ini bisa dilakukan dengan menggunakan paket filtering (extended access-list). Untuk koneksi ke internet sebuah firewall dengan konfigurasi policy yang sangat kuat haruslah diterapkan. Gunakan policy yang sangat ketat untuk inbound traffic dari internet dengan extended access-list pada semua perimeter router. access-list haruslah simple dan sangat efektif dalam mengontrol traffic yang tidak diinginkan dan memberikan keamanan kuat kepada asset penting.
Daftar list diatas merupakan standard minimum yang harus dipenuhi, sementara sebagai tambahan yang berikut ini adalah standard yang direcomendasikan.
VLAN dapat digunakan untuk membagi user dalam segmen-2 begitu juga akses resource control. Traffic antar VLAN bisa dikendalikan dengan access-list pada router ataupun switch layer 3. Switch layer 3 adalah switch yang mempunyai kemampuan routing layer 3.
Jika dipakai diarea public dengan resiko tinggi, switch haruslah disetup berdasarkan port-level. Hanya MAC devices yang terdaftar saja yang bisa akses ke Switch, piranti yang tidak didaftar MAC nya dalam port switch tersebut, maka port tersebut akan disabled jika dikoneksikan.
Semua konfigurasi piranti jaringan haruslah menggunakan password enkripsi yang sangat kuat untuk melindungi password-2 manajemen. Sehingga saat di view, password tersebut tidak bisa dibaca – alias dinkripsi.
Routing protocol tidak seharusnya di jalankan pada links akses user. Protocol routing dynamic seharusnya hanya di enable pada link router saja. Hal ini untuk menghindari piranti-2 fihak lain (third party) menginfeksi route network.
Routing protocol seharusnya menggunakan mekanisme authentication (MD-5 Hash) untuk melindungi message update routing. Hal ini untuk menjamin hanya update routing dari sumber yang valid saja.
Untuk piranti-2 yang vital haruslah ada logging akses untuk mencatat aktifitas akses dan perubahan konfigurasi. Dalam suatu lingkungan jaringan yang sangat kritis atau rahasia, paket logging adalah suatu kebutuhan.
Kemanan secara fisik adalah sangat vital dalam memberikan pondasi yang kuat untuk semua kemanan lainnya dan bahkan perlu adanya pengawasan. Semua infrastructure jaringan haruslah dilokasikan pada area yang sangat aman dan hanya personal terbatas saja yang boleh akses, karena segala macam piranti jaringan bisa saja menimbulkan kompromi jika akses secara fisik diijinkan.
Switches dan router haruslah di konfigurasikan sedemikian rupa agar memberikan keamanan jaringan yang sangat kuat. Pembatasan pada Telnet dan SNMP haruslah ditekankan kepada yang authorized saja untuk melakukan management terhadap piranti jaringan dan terbatas pada IP address yang terdaftar saja. Session time-out bisa digunakan untuk mebatasi sesi management jaringan, dan begitu juga pesan peringatan Legal “Message of the day” diperlukan untuk memberikan peringatan keras terhadap akses piranti jaringan.
Semua piranti jaringan yang sangat vital seperti router dan switches haruslah di password dengan sangat kuat, semua port TCP/UDP yang tidak dipakai haruslah di disabled.
Semua koneksi ke public internet haruslah diberi pengamanan dengan suatu perimeter router dan firewall. Router memberikan pertahanan tingkat pertama terhadap paket inbound sementara firewall memberikan pertahan garis belakang dari jaringan public. Jika ada jaringan wireless, maka koneksi terhada wireless haruslah menggunakan enkripsi paling kuat (WPA) dan lebih bagus lagi melalui segmen jaringan firewall.
Jika data sensitive harus melewati jaringan public maka enkripsi koneksi dilakukan dengan menggunakan tunneling VPN.
Standard Keamanan Jaringan - Infrastructure
Pada gambar diatas ditunjukkan suatu pondasi keamanan infrastructure jaringan corporate, dimana akses ke internet memerlukan konfigurasi dengan extended access-list sebagai pertahanan pertama dan dibelakangnya adalah firewall. VPN diperlukan jika diperlukan koneksi melintasi jaringan public.
Apa akibatnya jika kebutuhan minimum masalah keamanan jaringan ini tidak dilakukan atau dipenuhi, atau tidak compliant? Kemungkinan kompromi jaringan dan akses yang tidak authorized sangat mungkin. Hal ini termasuk akses terhadap resources yang sangat kritis dari data corporate. Komponen-2 jaringan seperti router dan switches adalah komponen kunci dari integritas operasional suatu jaringan dan haruslah diberikan perlindungan yang sangat kuat.