ANALISIS KEAMANAN JARINGAN STMIK AMIKOM YOGYAKARTA BERDASARKAN ISO/IEC 27001:2005 STANDAR A.11.4.4

NASKAH PUBLIKASI

diajukan oleh

Nur Hariawan Bulu

10.11.4019

kepada SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER

AMIKOM YOGYAKARTA YOGYAKARTA

2013

ANALYSING NETWORKING SECURITY OF STMIK AMIKOM YOGYAKARTA BASED ON ISO/IEC 27001:2005 STANDARD A.11.4.4

ANALISIS KEAMANAN JARINGAN STMIK AMIKOM YOGYAKARTA BERDASARKAN

ISO/IEC 27001:2005 STANDAR A.11.4.4

Nur Hariawan Bulu Andi Sunyoto

Jurusan Teknik Informatika STMIK AMIKOM YOGYAKARTA

ABSTRACT

Information and data in the information age as it’s been a very valuable thing. In fact we can say it is very vital that damage or leakage of the information an organization can lead the organization to stop or closed. Due to the preciousness of the information or data then it is no wonder if then popping some irresponsible parties where the party is trying to steal and destroy and alter data or information from a computer system owned by a particular organization, whether it’s for fun individual or group of people, therefore needed information system security is assured that our systems secure.

This research will be conducted in one of the universities in Yogyakarta, STMIK Amikom Yogyakarta. This research will be carried out with international standards based on ISO/IEC 27001:2005. There are eleven domains in ISO/IEC 27001:2005.This study will more specifically about in one domain, A.11.4.4 standards, the remote diagnostic and configuration port security. There are two types of attack, from outside or from within the network. It is known that an attack from within is more dangerous and common than attacks from outside, therefore the analysis here will be done inside of networks, the remote control diagnostics and port security configuration.

After research conducted, then it was found that there were two gaps has not been implemented by STMIK Amikom Yogyakarta, namely the prevention of brute force attacks on SSH protocol and implementation of treatment technologies network device port security on Cisco switches. Hopefully this research, enterprise or organization can use for peacekeeping network devices used in network systems.

Keywords: Information, Security, System Management, Standardization, Network

Devices.

1

1. Pendahuluan

Informasi maupun data di era informasi seperti saat ini sudah menjadi hal yang

sangat berharga. Bahkan kita bisa katakan sangat fital sehingga kerusakan, ataupun

kebocoran terhadap informasi suatu organisasi dapat mengakibatkan organisasi tersebut

berhenti atau tutup. Dikarenakan begitu berharganya suatu informasi atau data maka

tidaklah heran jika kemudian bermunculan beberapa pihak yang tidak bertanggung jawab

dimana pihak tersebut berusaha mencuri maupun merusak dan mengubah data atau

informasi dari sistem komputer yang dimiliki oleh suatu organisasi tertentu, apakah itu

untuk kesenangan individual atau sekelompok orang, oleh karena itu dibutuhkan

keamanan sistem informasi yang terjamin bahwa sistem kita aman.

Ancaman itu sendiri bisa berasal dari ancaman luar, dalam, tak terstruktur, dan

ancaman yang terstuktur (CCNA Security, Chapter 1). Mengamankan keamanan

informasi bisa dimulai dengan mencegah serangan dari dalam, dikarenakan juga bahwa

serangan yang berasal dari dalam lebih sering terjadi dan lebih berbahaya.

Control A.11.4.4 ISO/IEC 27001:2005 membahas tentang pengamanan dari

dalam, khususnya bagaimana mengamankan perangkat-perangkat jaringan yang

terdapat dari sistem dari segi akses fisik ataupun logikal dari orang-orang yang tidak

berwenang mengaksesnya. Penelitian kali ini akan dicoba pada jaringan yang terdapat

pada STMIK Amikom Yogyakarta.

2. Landasan Teori

2.1 Keamanan Informasi

Informasi ialah aset yang sangat penting dalam suatu perusahaan, oleh karena

itu, informasi harus dapat dilindungi (Kamat, 2012). Informasi bisa berbentuk dalam hard

copy, penyimpanan secara digital, visual (video, diagram), ditampilkan di website, verbal

(percakapan, panggilan telpon), dan sebagainya. Apapun dari bentuk informasi yang

disajikan, informasi tersebut sebaiknya selalu diamankan.

Informasi dapat dibuat, dimiliki, disimpan, diproses, dikirim, digunakan,

dimodifikasi, dibagikan, dan dihapus. Sedangkan, keamanan informasi adalah

bagaimana cara membuat informasi yang bernilai terhindar dari bahaya. Berikut langkah-

langkah untuk mewujudkannya :

1. Mengevaluasi ancaman-ancaman yang dapat terjadi terhadap informasi.

2. Memproteksi CIA (Confidentiality, Integrity, and Availability).

3. Menghindari, mencegah, dan mendeteksi kejadian-kejadian yang tidak terduga.

4. Mengamankan orang, proses dan teknologi, tidak hanya pada IT saja.

Ada tiga hal yang perlu diperhatikan dalam keamanan informasi yaitu (Kamat, 2012) :

2

1. Confidentiality (kerahasiaan). Hal ini menjamin bahwa data atau informasi hanya

diakses oleh orang yang berwenang saja.

2. Integrity (integritas). Hal ini menjamin bahwa data atau informasi dikirim dengan

akurat dan secara lengkap, tanpa ada perubahan apapun didalamnya.

3. Availability (ketersediaan). Data atau informasi tersedia pada saat dibutuhkan.

2.2 Mengapa Diperlukan Keamanan Informasi ?

Keamanan informasi menjadi bernilai karena keamanan informasi memastikan

bisnis dapat terus berjalan, meminimalisir turunnya pendapatan perusahaan,

mengoptimalkan investasi, membuat bisnis berjalan dengan aman, dan mengatur privasi.

2.3 Dasar Manajemen Keamanan Informasi

Strategi dari keamanan informasi meliputi tujuh aspek kategori, yaitu (Herrmann, 2002) :

a. Physical security yang membahas bagaimana pengamanan terhadap perangkat

keras, perangkat lunak, dan data terhadap ancaman physical untuk mengurangi

atau mencegah terganggunnya operasi, pelayanan, dan/atau hilangnya aset

berharga.

b. Communication security (COMSEC) yang bertujuan untuk mengamankan media

komunikasi beserta isinya, sehingga tidak terjadinya penyadapan atau modifikasi

terhadap data.

c. Computer security (COMPUSEC), mencegah, mendeteksi, dan meminimalisir

ancaman akibat dari pengguna yang tidak berwenang terhadap sistem komputer.

d. Information security (INFOSEC) adalah perlindungan informasi terhadap

pengguna yang tidak berwenang, serta perlindungan perusakan, baik yang

disengaja maupun yang tidak disengaja.

e. System safety didefinisikan sebagai penerapan teknik dan manajemen prinsip,

kriteria, dan teknik untuk mengatasi risiko kecelakaan operasional, waktu, dan

biaya, dari seluruh fase siklus sistem yang ada.

f. System reliability didefinisikan sebagai pengukuran akan perangkat lunak apakah

menghasilkan keluaran yang akurat atau tidak dan konsisten secara berulang-

ulang, baik dalam kondisi baik, sedang, atau buruk.

Ketika keenam aspek diatas diterapkan, maka bisa dikatakan bahwa keamanan

informasi sudah diterapkan. Keamanan informasi melindungi segala aspek yang terlibat

dalam sistem, sehingga informasi atau data dapat aman dari orang-orang yang tidak

seharusnya memperolehnya. Dengan demikian, perusahaan atau organisasi dapat

menjaga kelangsungan usahanya, menekan risiko, dan sebagainya.

3

2.4 ISO

2.4.1 Definisi ISO

ISO (International Organization for Standardization) adalah pengembang

terbesar di dunia standar internasional secara sukarela. Standar internasional

memberikan sentuhan seni untuk spesifisikasi produk, layanan dan praktik yang baik,

membantu industri lebih efisien dan efektif. Dikembangkan melalui kesepakatan global,

mereka membantu untuk mengatasi hambatan perdagangan internasional (ISO).

2.4.2 Kegiatan ISO

ISO mengembangkan standar internasional. ISO didirikan pada tahun 1947, dan

sejak itu telah menerbitkan lebih dari 19.500 standar internasional mencakup hampir

semua aspek teknologi dan bisnis. Dari keamanan pangan ke komputer, dan pertanian

untuk kesehatan, ISO standar internasional berdampak pada semua aspek kehidupan

kita (ISO).

2.4.3 Bagaimana ISO Mengembangkan Standar ?

Standar ISO dikembangkan oleh para ahli. Setelah kebutuhan untuk standar

telah ditetapkan, para ahli bertemu untuk membahas dan merundingkan rancangan

standar. Segera setelah draft telah dikembangkan bersama dengan anggota ISO yang

diminta untuk berkomentar dan pemungutan suara. Jika kesepakatan tercapai, draft

menjadi standar ISO, jika tidak, kembali ke komite teknis untuk suntingan lebih lanjut.

Berikut adalah diagram alur pembuatannya.

Prinsip-prinsip utama dalam pengembangan standar:

1. Standar ISO menanggapi kebutuhan di pasar

ISO tidak memutuskan kapan untuk mengembangkan standar baru. Sebaliknya,

ISO merespon permintaan dari industri atau stakeholder lainnya seperti konsumen.

Biasanya, sektor industry atau kelompok mengkomunikasikan perlunya standar untuk

anggota nasional yang kemudian menghubungi ISO.

2. Standar ISO didasarkan pada pendapat ahli dunia

Standar ISO dikembangkan oleh kelompok-kelompok ahli dari seluruh dunia,

yang merupakan bagian dari kelompok yang lebih besar yang disebut dengan komite

teknis. Para ahli bernegosiasi pada semua aspek standar, termasuk ruang lingkup,

definisi dan konten utamanya.

3. Standar ISO dikembangkan melalui proses multi-pihak

Komite-komite teknis yang terdiri dari para ahli dari industri yang relevan, tapi

juga dari asosiasi konsumen, akedemisi, LSM dan pemerintah.

4. Standar ISO didasarkan pada kesepakatan.

Pengembangan standar ISO adalah pendekatan berbasis kesepakatan bersama

dan komentar dari para stakeholder.

4

2.5 Standards

2.5.1 Definisi Standards

Standards adalah dokumen yang memberikan persyaratan, spesifikasi, pedoman

atau karakteristik yang dapat digunakan secara konsisten untuk memastikan bahwa

bahan-bahan, produk, proses dan layanan yang cocok untuk tujuan organisasi (ISO). ISO

telah menerbitkan lebih dari 19.500 standar internasional yang dapat dibeli dari toko ISO

atau dari anggota ISO.

2.5.2 Keuntungan Standar Internasional ISO

Standar internasional membawa manfaat teknologi, ekonomi dan sosial. Standar

internasional membantu untuk menyelaraskan spesifikasi teknis produk dan jasa industri

pembuatan lebih efisien. Kesesuaian dengan standar internasional membantu

meyakinkan konsumen bahwa produk tersebut aman, efisien dan baik bagi lingkungan

(ISO).

2.5.2.1 Untuk Bisnis

Standar internasional adalah alat strategis dan pedoman untuk membantu

perusahaan mengatasi beberapa tantangan yang paling menuntut bisnis modern.

Standar internasional memastikan bahwa operasi bisnis yang seefisien mungkin,

meningkatkan produktivitas dan membantu perusahaan mengakses pasar baru.

Manfaatnya meliputi:

a. Penghematan biaya.

b. Meningkatkan kepuasaan pelanggan – Standar internasional membantu

meningkatkan kualitas, meningkatkan kepuasan pelanggan dan meningkatkan

penjualan.

c. Akses ke pasar baru – Standar internasional membantu mencegah hambatan

perdagangan dan membuka pasar global.

d. Peningkatkan pangsa pasar – Standar internasional membantu meningkatkan

produktivitas dan keunggulan kompetitif.

e. Manfaat lingkungan – Standar internasional membantu mengurangi dampak

negatif terhadap lingkungan.

2.5.2.2 Untuk Masyarakat

ISO telah lebih dari 19.500 standar menyentuh hampir semua aspek kehidupan

sehari-hari.

Ketika produk dan jasa sesuai dengan standar internasional, konsumen dapat

memiliki keyakinan bahwa mereka aman, dapat diandalkan dan berkualitas baik.

5

Untuk memastikan bahwa manfaat dari standar internasional ISO seluas

mungkin, ISO mendukung keterlibatan konsumen dalam pengembangan standar kerja

dengan komite kebijakan konsumen (COPOLCO).

Standar internasional tentang kualitas udara, air dan tanah, pada emisi gas dan

radiasi dan aspek lingkungan dari produk berkontribusi terhadap upaya untuk

melestarikan lingkungan dan kesehatan warga.

2.5.2.3 Untuk Pemerintah

Standar ISO memanfaatkan keahlian dan pengalaman internasional dan oleh

karena itu merupakan sumber daya penting bagi pemerintah ketika mengembangkan

regulasi.

Pemerintah pusat dapat membuat regulasi dengan berdasar pada standar ISO.

Adapun manfaatnya:

a. Opini ahli – standar ISO dikembangakan oleh para ahli. Dengan

mengintegrasikan standar ISO ke dalam peraturan nasional, pemerintah bisa

mendapatkan keuntungan dari pendapat para ahli tanpa harus memanggil

mereka secara langsung.

b. Membuka perdagangan dunia – standar ISO internasional dan diadopsi oleh

banyak pemerintah. Dengan mengintegrasikan standar ISO ke dalam peraturan

nasional, pemerintah membantu untuk memastikan bahwa persyaratan untuk

impor dan ekspor sama di seluruh dunia, sehingga memfasilitasi pergerakan

barang, jasa, dan teknologi dari negara ke negara.

2.6 The ISO27k Standards

Terdapat beberapa seri pada ISO/IEC 27000. Dikutip dari situs ISO 27001

Security, setidaknya terdapat 32 seri, lebih dari setengahnya telah dipublikasikan dan

tersedia untuk publik (ISO 27001 Security):

1. ISO/IEC 27000:2012 – memberikan perkenalan atau overview pada standar

ISO27k secara keseluruhan, ditambah dengan kosa kata yang digunakan dalam

ISO27k.

2. ISO/IEC 27001:2005 adalah Information Security Management System (ISMS),

spesifikasi untuk ISMS ini telah diterapkan oleh sekitar seribu perusahaan.

3. ISO/IEC 27002:2005 adalah kode praktek untuk manajemen keamanan informasi

yang menggambarkan sekumpulan tujuan pengendalian keamanan informasi

dan satu set yang berlaku secara umum pada kontrol praktik keamanan yang

baik.

4. ISO/IEC 27003:2010 memberikan panduan tentang penerapan ISO/IEC 27001.

6

5. ISO/IEC 27004:2009 adalah standar pengukuran manajemen keamanan

informasi.

6. ISO/IEC 27005:2011 adalah standar manajemen risiko keamanan informasi.

7. ISO/IEC 27006:2011 adalah panduan untuk proses sertifikasi atau registrasi

untuk terakreditasi sertifikasi ISMS atau badan registrasi.

8. ISO/IEC 27007:2011 adalah panduan untuk audit sistem manajemen keamanan

informasi.

9. ISO/IEC TR 27008:2011 menyangkut tentang audit kontrol keamanan teknis.

10. ISO/IEC 27010:2012 memberikan pedoman manajemen keamanan informasi

untuk komunikasi antar-sektor dan antar-organisasi.

11. ISO/IEC 27011:2008 adalah pedoman manajemen keamanan informasi untuk

organisasi telekomunikasi.

12. ISO/IEC 27013:2012 memberikan pedoman pelaksanaan terpadu atau gabungan

dari kedua ISO/IEC 27001 (ISMS) dan ISO/IEC 20000-1 (manajemen pelayanan,

berasal dari ITIL).

13. ISO/IEC 27014:2013 menyediakan panduan tentang tata kelola keamanan

informasi.

14. ISO/IEC TR 27015 memberikan pedoman manajemen keamanan informasi

untuk jasa keuangan.

15. ISO/IEC TR 27016 mencakup tentang ekonomi manajemen keamanan informasi.

16. ISO/IEC 27017 mencakup aspek keamanan informasi komputasi awan (cloud

computing).

17. ISO/IEC 27018 mencakup aspek privasi komputasi awan (cloud computing).

18. ISO/IEC TR 27019 mencakup keamanan informasi untuk pengendalian proses

dalam industry energi.

19. ISO/IEC 27031:2011 adalah standar ICT difokuskan pada kelangsungan bisnis.

20. ISO/IEC 27032:2012 mencakup keamanan dunia maya.

21. ISO/IEC 27033 mengganti beberapa bagian standar ISO/IEC 18028 pada

keamanan jaringan IT (bagian 1,2 dan 3 telah dipublish, yang lain sedang dalam

persiapan).

22. ISO/IEC 27034 menyediakan pedoman untuk keamanan aplikasi (bagian 1 dirilis

pada tahun 2011, yang lain sedang dalam persiapan).

23. ISO/IEC 27035:2011 pada pengelolaan insiden keamanan informasi.

24. ISO/IEC 27036 akan menjadi pedoman keamanan bagi hubungan pemasok

termasuk komputasi awan.

25. ISO/IEC 27037:2012 meliputi pengidentifikasian, pengumpulan dan

pemeliharaan bukti digital.

7

26. ISO/IEC 27038 akan menjadi spesifikasi redaksi digital.

27. ISO/IEC 27039 memperhatikan intrusion detection dan sistem pencegahan.

28. ISO/IEC 27040 pada pedoman keamanan penyimpanan.

29. ISO/IEC 27041 pedoman pada jaminan untuk metode investigasi bukti digital.

30. ISO/IEC 27042 pedoman analisis dan interpretasi bukti digital.

31. ISO/IEC 27043 pedoman pada prinsip-prinsip investigasi bukti digital dan proses.

32. ISO 27799:2008 menyediakan sektor tertentu panduan implementasi ISMS

kesehatan berdasarkan ISO/IEC 27002

2.7 ISO/IEC 27001:2005

Standar ini sangat banyak digunakan di beberapa organisasi ataupun

perusahaan dalam implementasi keamanan informasi (Talabis & Martin, 2013). Ini adalah

framework information security management system (ISMS).

ISO/IEC 27001:2005 mencakup semua jenis organisasi (misalnya perusahaan

komersial, instansi pemerintah). ISO/IEC 27001:2005 menetapkan persyaratan untuk

penetapan, penerapan, pengoperasioan, pemantuan, pengkajian, pemeliharaan dan

perbaikan Information Security Management System yang didokumentasikan dalam

konteks risiko bisnis organisasi secara keseluruhan. Ini menentukan pelaksanaan kontrol

keamanan disesuaikan dengan kebutuhan organisasi individu atau per bagiannya.

2.8 Audit Activities

Tahapan-tahapan audit IT dapat dilihat pada gambar berikut:

2.8.1 Scoping and Pre-audit Survey

Pada fase ini, auditor ISMS menentukan area utama atau fokus yang akan

diaudit, biasanya didasarkan pada penilaian berdasarkan tingkat risiko. Sumber informasi

meliputi penelitian umum terhadap industri dan organisasi, ISMS sebelumnya dan

laporan audit lainnya, dan dokumen ISMS seperti Statement of Applicability, Risk

Treatment Plan dan ISMS policy.

Para auditor ISMS harus memastikan bahwa ruang lingkup masih dalam kaitan

dengan organisasi. Ruang lingkup audit yang biasanya harus sesuai dengan lingkup

ISMS yang telah bersertifikat. Sebagai contoh, organisasi besar dengan beberapa divisi

Gambar 2.8 Audit Activities

(Sumber :

http://www.iso27001security.com/ISO27k_Guideline_on_ISMS_audit_v1.docx)

8

atau unit bisnis mungkin memiliki ISMS yang saling terpisah, atau beberapa kombinasi

ISMS lokal dan pusat. Jika sertifikasi ISMS mencakup keseluruhan organisasi, auditor

mungkin perlu meninjau apakah ISMS beroperasi atau tidak.

Para auditor sebaiknya memberi perhatian khusus terhadap risiko keamanan

informasi dan kontrol yang berhubungan dengan alur informasi terhadap entitas lain atau

luar (organisasi, unit bisnis, dan lain-lain) yang berada di luar lingkup ISMS, misalnya

memeriksa kelayakan klausa informasi yang berhubungan dengan keamanan dalam

Service level aggreements atau kontrak dengan IT service suplliers. Proses akan lebih

mudah bila entitas luar telah disertifikasi dengan ISO/IEC 27001.

Selama survei pra-audit, auditor ISMS mengidentifikasi dan idealnya melakukan

kontak dengan para pihak utama di ISMS seperti manajer ISM, arsitek keamanan,

pengembang ISMS, pelaksana ISMS dan tokoh berpengaruh lainnya seperti CIO dan

CEO, untuk meminta dokumentasi dan lain sebagainya yang dibutuhkan selama audit.

Output utama dari fase ini adalah ruang lingkup yang disepakati dalam audit

ISMS, surat perjanjian atau yang serupa. Daftar kontak dan dokumen lainnya yang

dibutuhkan dalam proses audit.

2.8.2 Planning and Preparation

Lingkup kesuluruhan ISMS dipecah menjadi lebih rinci, biasanya dengan

menghasilkan checklist audit ISMS.

Hasil dari fase ini adalah menghasilkan checklist dan rencana audit yang telah

disepakati dengan manajemen.

2.8.3 Fieldwork

Selama fase studi lapangan, bukti audit dikumpulkan oleh auditor dengan

menggunakan checklist. Auditor membaca dan membuat catatan tentang dokumentasi

yang berkaitan dengan ISMS (seperti Statement of Applicability, Risk Treatment Plan,

ISMS policy, dan lain-lain).

Hasil dari fase ini merupakan akumulasi dari audit dan pembuktian audit.

2.8.4 Analysis

Bukti audit akumulasi dikumpulkan, diurutkan, ditinjau, dan diperiksa dalam

kaitannya dengan risiko dan tujuan pengendalian keamanan. Terkadang analisis

mengidentifikasi celah dalam bukti audit atau menunjukkan agar dilakukan tes audit

tambahan, dalam hal ini studi lapangan lebih lanjut dapat dilakukan apabila waktu yang

telah dijadwalkan dan sumber daya belum habis. Namun, yang terpenting adalah bahwa

prioritas risiko tertinggi sudah diaudit terlebih dahulu.

2.8.5 Reporting

Laporan merupakan bagian penting dari proses audit, dan didalamnya sendiri

dibagi dalam beberapa bagian.

9

Laporan audit ISMS mengandung unsur-unsur berikut, beberapa diantaranya

dapat dibagi menjadi lampiran atau dokumen yang terpisah:

a. Judul, pengenalan penamaan organisasi, dan pengjelasan ruang lingkup, tujuan,

cakupan, waktu dan luasnya pekerjaan audit yang dilakukan.

b. Sebuah ringkasan singkat yang menunjukkan temuan audit utama, analisa

singkat dan komentar, dan kesimpulan secara kesuluruhan.

c. Temuan audit dan analisis, terkadang dibantu dengan bukti-bukti pendukung

dalam file audit sehingga membantu dalam memahami.

d. Kesimpulan dan rekomendasi audit.

Bukti audit yang cukup dan tepat sangat diperlukan untuk mendukung hasil yang

dilaporkan.

Hasil dari fase ini adalah laporan lengkap ISMS audit, ditandatangani, tanggal

dan didistribusikan sesuai dengan ketentuan audit charter atau engagement letter.

2.8.6 Closure

Selain indeks dan cross-referencing dan benar-benar menutup file audit, closure

melibatkan penyusunan catatan untuk audit selanjutnya dan menindaklanjuti untuk

memeriksa bahwa tindakan yang telah disepakati pada kenyataannya selesai tepat

waktu.

Jika telah memenuhi syarat ISMS (dengan kata lain, jika semua rekomendasi

audit yang wajib telah diselesaikan), sertifikat ISMS organisasi akan disusun dan

diterbitkan.

2.9 A.11.4.4

Control A.11.4.4 dalam standar ISO/IEC 27001:2005 mengharuskan organisasi

mengamankan pengendalian akses port diagnostik dan konfigurasi. Komputer dan

komunikasi sistem sering memasang fasilitas akses dial-up jarak jauh yang membuat

teknisi dapat menggunakannya sebagai akses untuk mengkonfigurasi atau memperbaiki

kesalahan yang terjadi dalam sistem. Jika tidak dilindungi, port ini dapat dengan mudah

diakses oleh orang yang tidak berwenang dan berpotensi masuk ke dalam sistem.

Dengan demikian, port ini semestinya diamankan. Keamanan fisik mungkin menjadi

langkah pertama yang dapat diambil dengan menonaktifkan port-port yang tidak

digunakan. Ketika port diperlukan, prosedur dalam ISMS dapat mengatur teknisi yang

telah diotentikasi dapat mengakses port dalam jangka waktu tertentu untuk melakukan

maintenance. Setiap akses yang digunakan, sebaiknya di log.

10

3. Metodologi Penelitian

3.1 Penentuan Ruang Lingkup

STMIK Amikom Yogyakarta adalah salah satu perguruan tinggi besar di

Yogyakarta yang memiliki sistem akademik yang besar. Tahun ke tahun, sistem diubah

dan terus dilakukan perubahan agar dapat memenuhi kebutuhan mahasiswa, dosen,

karyawan, dan sebagainya. Namun, karena terlalu fokus pada fungsi yang ada, dari sisi

keamanan jaringan atau sistem terlupakan, sehingga ini dapat menjadi celah keamanan

bagi seseorang untuk melakukan penetrasi jaringan.

Ketika orang tersebut sudah masuk ke dalam sistem atau server, data-data

penting seperti data mahasiswa, dosen, karyawan dan sebagainya dalam bahaya. Data

tersebut bisa saja dihapus, dimodifikasi, atau diambil untuk tujuan tertentu. Ketika

masalah ini terjadi, tentunya layanan akan terhenti sementara sampai sistem dapat

dipulihkan kembali. Dalam bisnis, ini sangat tidak baik, karena akan menurunkan

kredibilitas perguruan tinggi.

Pada penelitian kali in, peneliti mengamankan keamanan informasi berdasarkan

kontrol A.11.4.4 pada ISO/IEC 27001:2005. Kontrol A.11.4.4 memberikan panduan

bagaimana mengamankan akses fisik maupun logikal pada perangkat jaringan sehingga

penyerang kesulitan untuk mendapatkan akses.

3.2 Pengumpulan Data

Dalam mengumpulkan data-data yang diperlukan, peneliti memeriksa satu per

satu perangkat jaringan yang digunakan seperti router, switch, dan sebagainya dengan

menggunakan tabel checklist berikut ini.

Tabel 3.1 Checklist Perangkat Jaringan

Pertanyaan

Menemukan Control ISO

27001 Standard/Best Practice Ya Tidak

Menonaktifkan servis yang tidak diperlukan Apakah interface-interface yang tidak digunakan telah dinonaktifkan?

A.11.4.4 Interface-interface yang tidak digunakan pada router sebaiknya dimatikan. Router(config-if)#shutdown

Apakah Cisco Discovery Protocol (CDP) telah dimatikan pada perangkat jaringan Cisco?

A.11.4.4

CDP yang digunakan untuk mendapatkan informasi seperti ip address, tipe platform dari perangkat Cisco yang terhubung langsung sebaiknya dimatikan bila tidak digunakan. Router(config)# no cdp run ATAU Router(config-if)# no cdp enable

Apakah servis finger telah dimatikan pada router? A.11.4.4

Orang yang tidak berhak dapat menggukanan informasi yang didapatkan dari servis ini untuk melakukan serangan reconnaissance. Servis ini sebaiknya dimatikan. Router(config)#no service finger

Apakah server Bootp telah A.11.4.4 Servis server bootp yang secara default

11

Pertanyaan

Menemukan Control ISO

27001 Standard/Best Practice Ya Tidak

dimatikan pada router? diaktifkan dapat digunakan oleh router lain untuk boot melalui router ini. Fitur ini sebaiknya dimatikan, mengingat sudah jarang digunakan. Berikut adalah perintah untuk menonaktifkannya. Router(config)#no ip bootp server

Apakah port aux telah dimatikan?

A.11.4.4

Port aux sebaiknya dimatikan bila tidak dibutuhkan. Gunakan perintah berikut untuk mematikannya. Router(config)#line aux 0 Router(config-line)#no exec

Apakah line console telah diberi password ? A.11.4.4

Pemberian password ini diharapkan dapat mencegah dari orang yang tidak berwenang untuk mengakses melalui line console. Berikut perintah untuk mengimplementasikannya/ Router(config)#line console 0 Router(config-line)#password password Router(config-line)#login

Apakah line console akan keluar secara otomatis dalam waktu tertentu bila tidak digunakan ?

A.11.4.4

Line console yang tidak digunakan dalam beberapa menit, sebaiknya secara otomotasi keluar dari line console. Berikut adalah perintah untuk mengimplementasinya. Router(config)#line console 0 Router(config-line)#exec-timeout 5 0

Apakah line vty telah diberikan password ? A.11.4.4

Line vty sebaiknya diberikan password sehingga dapat mencegah orang yang tidak berhak mengaksesnya. Berikut adalah perintah untuk mengimplementasinya. Router(config)#line vty 0 4 Router(config-line)#password password Router(config-line)#login

Apakah line vty akan keluar secara otomatis dalam waktu tertentu bila tidak digunakan ?

A.11.4.4

Line vty yang tidak digunakan dalam beberapa menit, sebaiknya secara otomotasi keluar dari line console. Berikut adalah perintah untuk mengimplementasinya. Router(config)#line vty 0 4 Router(config-line)#exec-timeout 5 0

Apakah SSH digunakan daripada telnet sebagai transpot input ?

A.11.4.4

SSH dapat mengenkripsi setiap data yang lewat daripada Telnet yang mengirimnya dalam keadaan clear-text. Berikut adalah perintah untuk mengimplementasi SSH. Router(config)#line vty 0 4 Router(config-line)#transport input ssh

Apabila harus menggunakan A.11.4.4 ACL dapat digunakan untuk membatasi

12

Pertanyaan

Menemukan Control ISO

27001 Standard/Best Practice Ya Tidak

telnet, apakah telah dibatasi bahwa yang dapat mengaksesnya hanya pada IP tertentu ?

siapa saja yang dapat mengaksesnya. Berikut adalah perintah untuk mengimplementasinya. Router(config)#access list 15 permit 192.168.1.0 0.0.0.255 Router(config)#line vty 0 4 Router(config-line)#access class 15 in

Apabila menggunakan SSH, apakah pembatasan percobaan kesalahan password telah dibatasi ?

A.11.4.4

Hal ini untuk mencegah serangan brute force. Berikut adalah perintah untuk mengimplementasikannya. Router(config)#ip ssh authentication-retries 2

Apakah password yang terdapat di file konfigurasi telah dienkripsi ?

A.11.4.4

Password yang ditampilkan sebaiknya dienkripsi pada file konfigurasi. Berikut adalah perintah untuk mengimplementasinya. Router(config)#service password-encryption

Apakah menggunakan HTTPS daripada HTTP dalam mengakses melalui browser ?

A.11.4.4

HTTPS lebih aman dikarenakan dapat mengenkripsi password yang melewati media jaringan daripada HTTP. Berikut adalah perintah untuk mengimplementasikannya. Router(config)#ip http secure-server

Pada perangkat switch Cisco, apakah port security telah diaktifkan ?

A.11.4.4 Berikut adalah perintah untuk mengaktifkannya. Switch(config-if)#switchport port-security

Apakah violation shutdown pada port security telah diterapkan ?

A.11.4.4

Apabila ditemukan pelanggaran, maka port tersebut akan segera dimatikan. Berikut adalah perintah untuk mengimplementasikannya. Switch(config-if)#switchport port-security violation shutdown

Apakah jumlah MAC address telah ditentukan pada port switch Cisco ?

A.11.4.4

Penentuan ini dilakukan agar hanya orang yang berhak yang dapat mengakses. Berikut adalah perintah untuk implementasikannya Switch(config-if)#switchport port-security maximum 1

3.3 Analisa Data

Setelah semua perangkat jaringan diperiksa satu per satu, maka konfigurasi

tersebut diperiksa lagi, apakah layanan tersebut digunakan atau tidak, apakah perlu

dimatikan atau tidak, disesuaikan dengan tujuan organisasi.

3.4 Penyusunan Laporan

Setelah dilakukan pemeriksaan konfigurasi pada perangkat jaringan yang

digunakan, dan memperbaiki konfigurasi yang salah, berikutnya adalah pembuatan

13

laporan. Laporan tersebut diserahkan kepada organisasi, sehingga organisasi

memutuskan apakah ingin menerapkan hasil laporan atau tidak. Berikut adalah template

penyusunan laporan audit.

Tabel 3.2 Contoh Laporan Audit

Tanggal audit

Deskripsi penemuan/observasi

Tindakan pencegahan Departemen

ISO 27001 Clause

Diaudit oleh

Diverifikasi oleh

4. Implementasi dan Pembahasan

4.1 Hasil Audit

Dengan berdasarkan pada ISO/IEC 27001:2005 standar A.11.4.4, yang mana

membahas pengamanan port pada perangkat jaringan, baik yang fisik maupun logikal,

maka dilakukan audit pada tanggal 27 Juni 2013. Pada dasarnya, dengan berdasarkan

informasi manager perangkat keras dan infrastuktur jaringan departemen Innovation

Center STMIK Amikom Yogyakarta, semua konfigurasi yang terdapat pada switch

ataupun router yaitu sama. Sehingga, didapatkan hasil sebagai berikut:

Tabel 4.1 Hasil Audit

Pertanyaan

Menemukan Control ISO

27001 Standard/Best Practice Ya Tidak

Apakah interface-interface yang tidak digunakan telah dinonaktifkan?

A.11.4.4 Interface-interface yang tidak digunakan pada router sebaiknya dimatikan. Router(config-if)#shutdown

Apakah Cisco Discovery Protocol (CDP) telah dimatikan pada perangkat jaringan Cisco?

A.11.4.4

CDP yang digunakan untuk mendapatkan informasi seperti ip address, tipe platform dari perangkat Cisco yang terhubung langsung sebaiknya dimatikan bila tidak digunakan. Router(config)# no cdp run ATAU Router(config-if)# no cdp enable

Apakah servis finger telah dimatikan pada router? A.11.4.4

Orang yang tidak berhak dapat menggunakan informasi yang didapatkan dari servis ini untuk melakukan serangan reconnaissance. Servis ini sebaiknya dimatikan. Router(config)#no service finger

Apakah server Bootp telah dimatikan pada router?

A.11.4.4

Servis server bootp yang secara default diaktifkan dapat digunakan oleh router lain untuk boot melalui router ini. Fitur ini sebaiknya dimatikan, mengingat sudah jarang digunakan. Berikut adalah perintah untuk menonaktifkannya. Router(config)#no ip bootp server

Apakah port aux telah dimatikan? A.11.4.4

Port aux sebaiknya dimatikan bila tidak dibutuhkan. Gunakan perintah berikut untuk

14

Pertanyaan

Menemukan Control ISO

27001 Standard/Best Practice Ya Tidak

mematikannya. Router(config)#line aux 0 Router(config-line)#no exec

Apakah line console telah diberi password ? A.11.4.4

Pemberian password ini diharapkan dapat mencegah dari orang yang tidak berwenang untuk mengakses melalui line console. Berikut perintah untuk mengimplementasikannya/ Router(config)#line console 0 Router(config-line)#password password Router(config-line)#login

Apakah line console akan keluar secara otomatis dalam waktu tertentu bila tidak digunakan ?

A.11.4.4

Line console yang tidak digunakan dalam beberapa menit, sebaiknya secara otomotasi keluar dari line console. Berikut adalah perintah untuk mengimplementasinya. Router(config)#line console 0 Router(config-line)#exec-timeout 5 0

Apakah line vty telah diberikan password ? A.11.4.4

Line vty sebaiknya diberikan password sehingga dapat mencegah orang yang tidak berhak mengaksesnya. Berikut adalah perintah untuk mengimplementasinya. Router(config)#line vty 0 4 Router(config-line)#password password Router(config-line)#login

Apakah line vty akan keluar secara otomatis dalam waktu tertentu bila tidak digunakan ?

A.11.4.4

Line vty yang tidak digunakan dalam beberapa menit, sebaiknya secara otomotasi keluar dari line console. Berikut adalah perintah untuk mengimplementasinya. Router(config)#line vty 0 4 Router(config-line)#exec-timeout 5 0

Apakah SSH digunakan daripada telnet sebagai transpot input ?

A.11.4.4

SSH dapat mengenkripsi setiap data yang lewat daripada Telnet yang mengirimnya dalam keadaan clear-text. Berikut adalah perintah untuk mengimplementasi SSH. Router(config)#line vty 0 4 Router(config-line)#transport input ssh

Apabila harus menggunakan telnet, apakah telah dibatasi bahwa yang dapat mengaksesnya hanya pada IP tertentu ?

A.11.4.4

ACL dapat digunakan untuk membatasi siapa saja yang dapat mengaksesnya. Berikut adalah perintah untuk mengimplementasinya. Router(config)#access list 15 permit 192.168.1.0 0.0.0.255 Router(config)#line vty 0 4 Router(config-line)#access class 15 in

Apabila menggunakan SSH, apakah pembatasan percobaan kesalahan

A.11.4.4 Hal ini untuk mencegah serangan brute force. Berikut adalah perintah untuk

15

Pertanyaan

Menemukan Control ISO

27001 Standard/Best Practice Ya Tidak

password telah dibatasi ? mengimplementasikannya. Router(config)#ip ssh authentication-retries 2

Apakah password yang terdapat di file konfigurasi telah dienkripsi ?

A.11.4.4

Password yang ditampilkan sebaiknya dienkripsi pada file konfigurasi. Berikut adalah perintah untuk mengimplementasinya. Router(config)#service password-encryption

Apakah menggunakan HTTPS daripada HTTP dalam mengakses melalui browser ?

A.11.4.4

HTTPS lebih aman dikarenakan dapat mengenkripsi password yang melewati media jaringan daripada HTTP. Berikut adalah perintah untuk mengimplementasikannya. Router(config)#ip http secure-server

Pada perangkat switch Cisco, apakah port security telah diaktifkan ?

A.11.4.4 Berikut adalah perintah untuk mengaktifkannya. Switch(config-if)#switchport port-security

Apakah violation shutdown pada port security telah diterapkan ?

A.11.4.4

Apabila ditemukan pelanggaran, maka port tersebut akan segera dimatikan. Berikut adalah perintah untuk mengimplementasikannya. Switch(config-if)#switchport port-security violation shutdown

Apakah jumlah MAC address telah ditentukan pada port switch Cisco ?

A.11.4.4

Penentuan ini dilakukan agar hanya orang yang berhak yang dapat mengakses. Berikut adalah perintah untuk implementasikannya Switch(config-if)#switchport port-security maximum 1

4.2 Pembahasan

Dari tujuh belas checklist yang ada, pihak perusahaan telah mematuhi tiga belas

checklist yang ada, sehingga didapatkan persentasenya yaitu (13/17) x 100 = 76% .

Dengan berdasarkan pada tabel dibawah ini, maka kriteria tingkat keamanan informasi

STMIK Amikom Yogyakarta standar A.11.4.4 pada ISO/IEC 27001:2005 adalah aman.

Tabel 4.2 Tingkat Keamanan Informasi

Persentase Kriteria > 73% Aman

64-73% Cukup aman 53-63% Kurang aman 42-52% Tidak aman < 42% Beresiko tinggi

16

4.3 Laporan

Setelah mengumpulkan data-data yang diperlukan dan rekomendasi yang

disarankan, maka selanjutnya ialah pembuatan laporan. Laporan audit ini yang

berdasarkan pada ISO/IEC 27001:2005 standar A.11.4.4 yang mengendalikan keamanan

perangkat jaringan dari segi keamanan port fisik maupun logikal, akan diberikan kepada

orang tertinggi dalam perusahaan, kemudian dari pihak perusahaan akan menentukan

apakah ingin mengimplementasikan apa yang telah ditemukan dan disarankan oleh pihak

auditor.

5. Kesimpulan

Setelah melakukan penelitian dan audit pada STMIK Amikom Yogyakarta, dapat

ditarik kesimpulan bahwa kriteria perusahaan pada tingkat keamanan informasi yaitu

aman karena telah memenuhi tiga belas checklist yang ada dari tujuh belas checklist

dalam standar A.11.4.4 ISO/IEC 27001:2005. Empat checklist yang tidak dipenuhi oleh

perusahaan yaitu mengenai tentang implementasi SSH Authentication Retries dan

penerapan teknologi port security pada perangkat jaringan switch.

17

Daftar Pustaka

Herrmann, D.S. 2002. Security Engineering and Information Assurance. Auerbach. Talabis, M. R., dan J.L Martin. 2013. Information Security Risk Assessement Toolkit.

Waltham:Syngress ISO 27001 Security. 2011. ISO27k Toolkit. Dari ISO 27001 Security:

http://www.iso27001security.com/ISO27k_Gap_analysis_-_management_report_template.dotx. Diakses 4 Juni 2013

ISO 27001 Security. About the ISO27k standards. Dari ISO 27001

Security:http://www.iso27001security.com/html/iso27001.html. Diakses 24 Mei 2013

ISO. About ISO. Dari ISO:http://www.iso.org/iso/home/about.htm. Diakses 25 Mei 2013 ISO. Benefits of International Standards. Dari

ISO:http://www.iso.org/iso/home/standards/benefitsofstandards.htm. Diakses 25 Mei 2013

ISO. ISO/IEC 27001:2005. Dari

ISO:http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=42103. Diakses 25 Mei 2013

ISO. Standards. Dari ISO:http://www.iso.org/iso/home/standards.htm. Diakses 25 Mei

2013 Kamat, M. 2012. Dari ISO 27001 Security:http://www.ISO27001security.com. Diakses 19

Mei 2013