Segmentasi dan Segregasi Jaringan

Jika seorang peretas mampu memasuki komputer di salah satu jaringan, besar kemungkinan dia dapat memasuki komputer lain dalam tingkat jaringan yang sama atau bahkan yang lebih tinggi. Celah ini dapat membuat peretas yang berniat jahat lebih mudah dalam melakukan hal-hal yang tidak diinginkan. Segmentasi dan segregasi jaringan adalah upaya mitigasi untuk mengurangi resiko terjadinya hal seperti ini. Upaya ini dapat dilakukan di beberapa layer TCP/IP dengan berbagai cara tergantung dari kebutuhan dan struktur perusahaan.

Secara umum, intrusi dunia maya dilakukan dalam tiga tahap [1], yakni

  1. Pengintaian terhadap sistem yang akan diserang untuk pemilihan target,
  2. Pencarian dan pengaksesan informasi sensitif, serta
  3. Pengkompresan serta pengenkripsian informasi tersebut menggunakan metode pengarsipan seperti RAR/ZIP.

Tahap kedua intrusi tersebut, yakni pencarian dan pengaksesan informasi sensitif umumnya dilakukan penyerang setelah ia mendapat akses legal pada salah satu sistem jaringan milik organisasi yang ingin ia serang. Dari sistem jaringan yang telah ia masuki tersebut, ia akan berpindah-pindah pada sistem jaringan lain hingga menemukan dan mendapatkan akses terhadap informasi sensitif yang ia butuhkan. Salah satu proses mitigasi untuk mengatasi tahap intrusi ini ialah dengan melakukan segmentasi dan segregasi jaringan organisasi tersebut secara keseluruhan.

Segmentasi jaringan ialah proses partisi sistem jaringan secara keseluruhan menjadi sub-sub sistem jaringan. Sementara itu, segregasi jaringan merupakan proses yang mengatur hak komunikasi antar sub sistem jaringan tersebut, serta hak akses atas sebuah perangkat komputasi. Kedua proses ini bekerja saling melengkapi dan memiliki tujuan akhir untuk meminimalisir metode dan level akses terhadap suatu informasi sensitif hanya untuk personiil dan situasi yang membutuhkannya [2], sembari memastikan seluruh operasi lain dapat berjalan tanpa gangguan. Proses segmentasi dan segregasi jaringan ini dapat dilakukan melalui beragam teknik tergantung pada struktur organisasi.

peringkat

Karena keefektifannya, segmentasi dan segregasi jaringan termasuk ke dalam 35 besar (posisi 7) strategi mitigasi terhadap serangan dunia maya, seperti gambar di atas. Segmentasi – segregasi jaringan umumnya dapat mengatasi secara efektif intrusi tahap kedua, namun di sisi lain strategi ini membutuhkan biaya awal dan perawatan yang cukup besar, terutama saat instalasi awal [3]. Kekurangan lainnya ialah strategi ini membutuhkan integrasi dengan strategi lain untuk dapat mendeteksi serangan yang terjadi.

Segmentasi dan segregasi jaringan mencakup jaringan komunikasi secara menyeluruh sehingga pengimplementasiannya dapat dilakukan melalui berbagai teknik. Secara umum, strategi ini dapat mengendalikan dua ranah utama, yakni

osi

  • Kendali jaringan terutama pada layer data link dan network OSI, seperti gambar di atas. Kendali jaringan dapat dilakukan menggunakan switchesvirtual LAN,  enclavedata diode,  firewallrouter, dan lainnya.
  • Kendali data melalui proses file permissioninformation rights management, manajemen konten seperti penggunaan Microsoft SharePoint.

Dalam pelaksanaannya, ada dua pendekatan utama yang umum dilakukan dalam melakukan segmentasi dan segregasi jaringan, yakni

  1. Segmentasi jaringan, sehingga sistem kunci terlindungi dari jaringan organisasi keseluruhan. Pada pendekatan ini, ada beberapa hal yang perlu diperhitungkan, seperti minimalisir akses server yang sensitif hanya pada host dan port yang berkepentingan, pengaplikasian data diode dari jaringan dengan level sensitivitas yanglebih tinggi menuju yang lebih rendah, whitelist layer aplikasi agar hanya konten yang diperlukan yang dapat berpindah antar zona jaringan.
  2. Segregasi layanan yang berrisiko tinggi dari jaringan organisasi keseluruhan. Pendekatan ini umumnya dilakukan apabila sebagian besar sistem jaringan yang terdapat dalam organisasi mengandung informasi sensitif. Pada kondisi ini, segmentasi jaringan ataupun segregasi informasi-informasi sensitif akan menghabiskan biaya besar, sehingga organisasi sebaiknya mencegah intrusi dengan segregasi aplikasi yang memiliki risiko tinggi, seperti web browser dan email. Segregasi aplikasi-aplikasi ini dilakukan pada seluruh jaringan internet di kantor tersebut.

 

SIMULASI

Pada bagian ini akan disimulasikan salah satu teknik segmentasi jaringan

Berikut adalah contoh implementasi network segregation menggunakan firewall. Firewall dipilih karena dapat mudah digunakan untuk simulasi. Peralatan yang digunakan pada simulasi ini adalah :

  1. Laptop Windows 7 (2 buah)
  2. Switch D-Link 8 port (1 buah)
  3. Kabel ethernet (3 buah)

Laptop windows A dan B diibaratkan sebuah jaringan dalam suatu perusahaan. A diibartkan sebagai entitas high-level dan B di entitas lower-level. Sesuai contoh teknik segregasi, A dapat mengakses komputer B, namun B tidak dapat mengakses komputer A. Dalam simulasi ini, pengaksesan yang dimaksud hanya sekedar ping (ICMPv4).

Setelah komputer dihubungkan, IP komputer A adalah 192.168.10.9 dan IP komputer B adalah 192.168.10.31. Sebelum firewall dikonfigurasi, ping antar komputer mendapat reply. Untuk itu, firewall perlu dikonfigurasi terlebih dahulu. Buka menu firewall dengan mengarahkan ke control panel -> system and security -> windows firewall -> advanced settings. Windows seperti ini akan terbuka.

firewall_0

Salah satu definisi penting disini adalah Inbound dan Outbound Rules. Keduanya mengatur tentang konfigurasi firewall terhadap data/koneksi dari luar. Perbedaannya terletak pada arah jalur koneksi. Inbound mengatur tentang jalur koneksi ke dalam komputer pengguna, sedangkan outbound mengatur jalur koneksi ke luar komputer pengguna.

Ketika melakukan ping, komputer mengirimkan pesan ICMP Echo dan mendapat pesan ICMP echo reply sebagai respon. Untuk mem-block ping, firewall harus tidak membolehkan adanya ICMP echo masuk ke sistem. Hal ini dapat diatur pada firewall.

Di simulasi ini, firewall yang dikonfigurasikan adalah firewall A. Jika ingin menonaktikan respon ping dari seluruh komputer lain, cukup mencari “File and Printer Sharing (Echo Request – ICMPv4-In)”, klik kanan, lalu pilih disable rule.

firewall_2

Jika ingin melakukan beberapa pengaturan, seperti blok dari IP/port tertentu, klik kanan di kolom inbound rules, lalu pilih new rule. Kotak seperti ini akan muncul:

firewall_4

Pengguna kemudian dapat melakukan beberapa kustomisasi sendiri untuk port/ip atau hal-hal lain. Hasil pemblokiran adalah sebagai berikut,

  • Ping dari komputer A ke B berhasil

firewall_1

  • Ping dari komputer A ke B gagal

pingA

Perlu diingat bahwa teknik segregasi via firewall dalam simulasi ini tidak cukup baik, karena menggunakan metode blacklist. Menurut teknik segregasi, metode whitelist lebih baik daripada blacklist.

 

INSIDEN

Insiden terkait pernah dilaporkan NSA sebagai bentuk penyerangan tipe ARP [4]. Dalam kasus yang disebutkan NSA tersebut, penyerangan dilakukan melalui 5 tahap seperti pada gambar berikut,

APT-chart1

Tahap ketiga atau lateral movement berhubungan dengan topik artikel ini. Ketika sampai pada tahap ketiha, APT bergeak secara lateral kedalam jaringan. Yang berbahaya adalah ketika akses pertama dari pergerakan lateral berasa dari komputer yang memiliki akses user yang tinggi. Hal ini akan memudahkan pergerakan lateral ke jaringan lain serta memuluskan pergerakan ke tahap selanjutnya.

Untuk mendapatkan akses entry point ini, penyerang menggunakan teknik social engineering. Penyerang pertama-tama mengincar akses credential dari pengguna tingkat tinggi (domain admin/service accounts). Penyerang kemudian melakukan ‘privillege escalation’ kepada non-administrative user dalam sistem yang ditargetkan, kemudian berpindah untuk mendapatkan akses yang target dengan kunci akses yang lebih tinggi, yang meliputi orang IT ataupun non-IT.

Selama tahap ketiga, jika penyerang merasa dirinya belum terdeteksi, dia akan berada dalam mode ‘stealth’ untuk beberapa lama. Jika dia merasa ada resiko terdeteksi, dia akan bergerak lebih cepat dan menyelesaikan tugas pada tingkat ketiga. Tingkat ini adalah fasa paling rumit dalam penyerangan.

Tujuan dari tahap ketiga ini adalah untuk mendapat akses ke poin kunci agregasi atau server sebanyak mungkin. Untuk itu, mitigasi dengan teknik segmentasi dan segregasi sangat penting dilakukan agar kasus seperti ini tidak terulang atau minimal mempersulit penyerangan.

 

REFERENSI

  1. Directorate, A. S., 2012. Network Segmentation and Segregation. [Online] Available at: www.asd.gov.au/publications/csocprotect/network_segmentation_segregation.htm [Diakses 28 10 2013].
  2. Directorate, A. S., 2012. Strategies to Mitigate Targeted Cyber Intrusions. [Online] Available at: http://www.asd.gov.au/infosec/top-mitigations/top35mitigationstrategies-list.htm [Diakses 28 10 2013].
  3. Directorate, A. S., 2012. Strategies to Mitigate Targeted Cyber Intrusions – Mitigation Details. [Online] Available at: www.asd.gov.au/infosec/top-mitigations/top35mitigation-details.htm [Diakses 28 10 2013].
  4. RSA, 2013. Anatomy of an Attack. [Online] Available at: https://blogs.rsa.com/anatomy-of-an-attack/  [Diakses 28 10 2013].

 

Alan Yudhahutama / 23213028

Galih Gilang Wicaksono / 23213098

Leave a Reply

Your email address will not be published. Required fields are marked *