Hardening Network Infrastructure: Bulletproof Your Systems Before You Are Hacked!
by Wesley J. Noonan ISBN:0072255021 McGraw-Hill/Osborne © 2004 (http://www.amazon.com/Hardening-Network-Infrastructure-Wes-Noonan/dp/0072255021).
If you know the enemy and know yourself, you need not fear the result of a hundred battles. If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. If you know neither the enemy nor yourself, you will succumb in every battle. A general is skillful in attack whose opponent does not know what to defend; and he is skillful in defense whose opponent does not know what to attack.
Sun Tzu, The Art of War
Premise: “Hardening network infrastruktur adalah proses yang panjang, jika bekerja dengan baik, tidak ada kata berhenti, dan itu akan menjadi sesuatu yang rutin.” Disini diartikan bahwa proses hardening network infrastruktur bukan proses sekali jadi, cukup dan kemudian berhenti, akan tetapi merupakan sebuah siklus berupa pacthes, update dan review secara periodik.
1.Lakukan ini Sekarang! - Melakukan 6 Hal Sebelum Melakukan Hal Lain
1.1.Peninjauan Kembali Network Desain
1.2.Implementasi Firewall
1.3.Implementasi Access Control Lists (ACLs)
1.4.Matikan Fitur dan Service yang Tidak Dibutuhkan
1.5.Implementasi Antivirus
1.6.Amankan Koneksi Wireless
2.Urutkan dari Atas - Sistematik Proses Hardening
2.1.Menuliskan Kebijakan Sekuriti
2.2.Hardening Firewall
2.3.Hardening Network dengan Intrusion Detection and Prevention (IDS and IPS)
2.4.Hardening VPN dan Dial-in Remote Access
2.5.Hardening Router and Switch
2.6.Melindungi Network dengan Content Filters
2.7.Hardening Wireless LAN
2.8.Implementasi AAA (Authentication, Authorization, Accounting)
2.9.Hardening Network dengan Managemen Network
2.10.Implementasi Secure Perimeter
2.11.Implementasi Secure Interior
3.Sekali Tidak Pernah Cukup!
3.1.Tinjau Ulang Kebijakan Sekuriti
3.2.Tinjau Ulang Bentuk Sekuriti
3.3.Lakukan Audit Sekuriti
4.Bagaimana agar Sukses dalam Melakukan Hardening Network Infrastructure
4.1.Setting Persepsi dan Ekspektasi
4.2.Pembenaran atas Biaya Sekuriti
4.3.Alokasi Sumber Daya dan Isu Training
4.4.Implementasi Lab
4.5.Respon Terhadap Insiden
###
1.Lakukan ini Sekarang! - Melakukan 6 Hal Sebelum Melakukan Hal Lain
1.1.Peninjauan Kembali Network Desain
Dengan mengajukan beberapa pertanyaan:
Dimana koneksi Internet ?
Dimana koneksi eksternal?
Routing protokol apa yang digunakan?
Apakah menjalankan spanning tree protocol?
Apakah memiliki Intrusion Detection/Protection sistem(IDS/IPS)?
Apakah melakukan filtering konten?
Apakah mengimplementasi NAT, dan dimana diimplementasikan?
Apakah menggunakan VLAN untuk segmentasi?
Dimanakah lokasi server?
Apakah memberikan akses VPN/remote akses?
Vendor siapa yang dipakai selama ini?
Apa perangkat network yang dipakai selama ini?
Apakah menggunakan naming convention untuk perangkat?
apakah memiliki segmen khususu managemen?
Mekanisme AAA seperti apa yang digunakan di network?
Apa jenis monitoring/managemen tool yang dipakai?
Apakah menggunakan koneksi wireless?
1.2.Implementasi Firewall
Tipe firewall seperti apa yand diimplementasi di network?
Apakah berupa Application Proxies, Stateful Packet-Inspecting/Filtering Gateway atau berupa Hybrid Firewall?
1.3.Implementasi Access Control Lists (ACLs)
Implementasi proteksi spoofing
Implementasi proteksi TCP SYN attack
Implementasi ICMP filtering
Bloking trafik multicast jika tidak diperlukan
Impelementasi ACL untuk mengontrol Virtual Type Terminal (VTY) access (Telnet and SSH)
Implementasi ACL untuk mengontrol siapa yang memanage router via SNMP
1.4.Matikan Fitur dan Service yang Tidak Dibutuhkan
Mengevaluasi kebutuhan fitur dan service seperti Cisco Discovery Protocol (CDP), HTTP server, Bootp server, IP directed broadcast, NTP service, SNMP service, proxy ARP dan DNS service?
1.5.Implementasi Anti Virus
Lakukan proteksi antivirus untuk semua sistem baik server maupun desktop. Hanya ada satu jalan untuk mencegah penyebaran virus melalui netwok dengan cara mengkarantina sistem yang
terinsfeksi.
1.6.Amankan Koneksi Wireless
Perlunya dibuat kebijakan sekuriti yang untuk koneksi wireless, dibatasi hanya untuk kebutuhan IT support.
Mengijinkan hanya MAC address yang terdaftar saja yang bisa mengakses wireless network.
Menggunakan enkripsi berupa WEP, WPA, atau 802.i. untuk akses wireless.
Menggunakan autentikasi via shared secret key, 802.1x, autentikasi RADIUS atau sertifik yang disupport oleh perangkat keras.
2.Urutkan dari Atas - Sistematik Proses Hardening
2.1.Menuliskan Kebijakan Sekuriti
Kebijakan sekuriti yang baik akan menjadi Standard Operating procedure (SOP) yang digunakan setiap orang di organisasi sebagai rujukan mengenai apa yang bisa dilakukan dan apa yang tidak bisa dan bagaimana melakukannya. Sebelum melakukan perubahan di network, baik berupa penambahan perangkat atau mengatur kembali perangkat, harus selalu merujuk kepada kebijakan sekuriti untuk memastikan bahwa apa yang dilakukan sudah sesuai dengan kebijakan sekuriti yang dibuat.
2.2.Hardening Firewall
Dasar-dasar hardening firewall meliputi beberapa hal sebagai berikut:
Hardening remote administration. Mencegah remote administrasi jika memungkinkan, dan mengijinkan hanya remote administratsi yang aman jika memang dibutuhkan.
Implementasi autentikasi dan autorisasi, untuk mengontrol siapa yang log on dan apa yang dilakukan ketika log on.
Hardening sistem operasi. Jika menggunakan sofware-base firewall, harus dilakukan hardening untuk sistem operasi yang mendasarinya, karena ini akan menjadi celah di firewall.
Hardening service firewall dan protokol. Mengijinkan service yanh dibutuhkan, lakukan enkripsi untuk trafik yang tidak aman dengan IPsec, dan hanya mengijinkan host tertentu yang bisa mengakses service tertentu.
Implementasi syslog. Syslog sangat penting untuk tujuan audit, forensik, dan troubleshooting.
Lakukan enkapsulasi trafik syslog dengan IPsec.
Menyediakan redundancy dan fault tolerance, sebagai fungsi failover dalam mengatasi kegagalan perangkat keras.
Hardening routing protokol, kalo memungkinkan selalu gunakanstatik route. Jika harus menggunakan routing protokol dinamik, hanya gunakan protokol yang memiliki mekanisme autentikasi.
2.3.Hardening Network dengan Intrusion Detection and Prevention (IDS and IPS)
Intrusion detection and Prevention, jika diimplementasi dengan baik, akan memberikan pengetahuan yang mendalam apa sebenarnya yang terjadi di network. namun jika tidak, ini hanya akan membuang budget IT. Kunci keberhasilan deploy IDS/IPS adalah harapan realistik seperti apa yang mampu dilakukan dan tidak oleh IDS/IPS tersebut.
2.4.Hardening VPN dan Dial-in Remote Access
VPN dan dial-in memungkinan user remote dan lokasi remote mengakses korporat resources layaknya lokal akses. Selalu pastikan bahwa semua koneksi menggunakan autentikasi, akses dial-in tersentralisasi dan termanage untuk memudahkan kontrol dan filter eksternal trafik. Jika memungkinkan, implementasi callback unuk memastikan bahwa konekasi yang terjadi datangnya dari lokasi yang memiliki otorisasi.
2.5.Hardening Router and Switch
Lakukan hardening management akses seperti console, vty, web GUI, dan auxilary dengan cara menonaktifkan, enkripsi, implementasi username, AAA, dan Banner.
Lakukan hardening service dan feature dengan cara menonaktifkan dan enkapsulasi dengan IPsec.
Lakukan hardening router dengan Implementasi redundancy, hardening routing protokol, implementasi managemen trafik dan IPsec, nonaktifkan interface yang tidak dipakai, implementasi pasif interface, filter update routing, gunakan ACL untuk memfilter trafik.
Lakukan hardening switch dengan melakukan hardening VLAN, VLAN Hopping, Private VLAN, VLAN ACL. Hardening service dan feature switch seperti VLAN Trunking Protocol (VTP), Auto-negotiation, Trunk links, Spanning Tree Protocol (STP), Port security, Dynamic ARP inspection, dan Storm control
2.6.Melindungi Network dengan Content Filters
Filter konten Internet dapat melindungi dari penyalahgunaan penggunaan akses internet, melindungi user dari mengakses website yang menggunakan java dan ActiveX yang dapat mengambil alih komputer serta dapat dilakukan penghematan network bandwidth.
Filter konten email berupa proteksi virus, filter attachment, filter konten, dan kendali atas spam.
2.7.Hardening Wireless LAN
Hardening Wireless Access Point, berupa hardening remote administrasi, konfigurasi Service Set identifier (SSID), konfigurasi logging, konfigurasi service, konfigurasi mode wireless.
Hardening koneksi Wireless LAN, meliputi hardening WEP, WPA menggunakan pre-shared key, WPA menggunakan RADIUS, hardening WLAN dengan VPN.
Hardening klien wireless Windows XP dengan WEP, WPA dengan pre-shared key, dan WPA menggunakan RADIUS/802.x.
2.8.Implementasi AAA (Authentication, Authorization, Accounting)
Implementasi AAA menungkinkan kontrol akses secara tegas untuk setiap session akses ke perangkat network melalui database terpusat. AAA memungkinan memberikan atau membatasi akses sesuai dengan kebutuhan network dan memungkinkan mengetahuai siapa dan kapan yang mengakses perangkat network.
Dua teknologi yang dipakai untuk memberikan AAA pada network infrastruktur:
Remote Authentication Dial-In User Service (RADIUS)
Terminal Access Controller Access Control System (TACACS+)
Perbedaan TACACS+ dengan RADIUS, pertama, TACACS+ menggunakan TCP untuk mengirimkan data, sedangkan RADIUS menggunakan UDP. Kedua, TACACS+ memisahkan operasi autentikasi dan autorisasi dibanding RADIUS yang menggunakan profil tungggal untuk autentikasi dan autorisasi.
Ketiga, TACACS+ dikembangkan oleh Cisco, dan tidak banyak vendor yang support.
2.9.Hardening Network dengan Managemen Network
Managemen network memberikan informasi yang dibutuhkan untuk:
Managemen Fault, yang memungkinkan kita mengidentifikasi fault yang terjadi di network
Managemen Konfigurasi, yang memungkinkan kita untuk meningkatkan sekuriti yang menjamin integritas dan fungsi dari perangkat.
Managemen Accounting, memungkinkan mengetahui apa yang dilakukan oleh pengguna.
Managemen Performa, yang memungkinkan kita memahami pola trafik dan kelakuan network yang memungkinkan kita mengidentifikasi penyimpangan dengan lebih cepat dan akurat.
Managemen Sekuriti, memungkinkan kita tidak hanya melakukan hardening perangkat network, sekaligus menggunakan network untuk melakukan hardening infrastruktur secara umum. Agar managemen network berjalan efektif di network, dimana sebagian besar managemen network protocol tidak aman secara desain, kita bisa menggunakan IPsec untuk mengamankan network protokol, termasuk managemen network yang kita gunakan.
2.10.Implementasi Secure Perimeter
Aspek mendasar dari network perimeter adalah penggunaan DMZ yang tepat yang memungkinkan pembatasan akses dari luar ke resource yang ada. Metode yang efektif untuk mengijinkan akses adalah dengan pendekatan modular, dimana preimeter dikelompokkan sesuai tugas dan fungsinya. Ada 6 modul yang umum diimplementasi:
Modul akses Internet, yang bertujuan memberikan eksternal/Internet akses untuk pengguna internal untuk layanan publik yang umum seperti smtp, www, dan DNS. Kebutuhan sekuriti ditangani oleh firewal, IDS/IPS.
Modul akses VPN/remote, tujuan utamanya adalah memberikan IPsec-base akses VPN koneksi site-to-site untuk host remote. Tambahan, modul ini memberikan akses dial-in dan ISDN untuk remote user. Kebutuhan sekuriti ditangani oleh VPN concentrator, firewal, IDS/IPS.
Modul akses WAN, tujuan utamanya memberikan akses kepada remote site via leased line, packet-switched, atau cell-switched yang disediakan oleh service provider . Kebutuhan sekuriti ditangani oleh firewall atau IPsec tunnel diantara lokasi.
Modul akses Extranet, modul ini memberikan akses remote ke partner strategis dan vendor.
Kebutuhan sekuriti ditangani oleh firewall, IDS, atau kadangkala VPN concetrator.
Modul akses Wireless. Modul ini memberikan akses wireless kepada user untuk bisa mengakses network korporat. Security diberikan oleh protokol seperti WEP, WPA, dan 802.x dan membutuhkan autentikasi klien wireless untuk terciptanya koneksi VPN. Firewall dan IDS/IPS dapat di deploy untuk mengontrol trafik ke dan dari klien wireless.
Modul akses E-commerce. Modul e-commerce biasanya lebih kompleks, fungsinya merupakan campuran diantara modul akses Internet dan modul akses Extranet. IDS/IPS secara ekstensif digunakan untuk memonitor dan menganalisa trafik di modul ini.
2.11.Implementasi Secure Interior
Penerapan Virtual LAN (VLAN) untuk segmentasi network antar subnet, menggunakan Private VLAN (PVLAN) untuk melakukan segmentasi diantara host, dan menggunakan VLAN untuk mengisolasi sistem yang mengalami insiden sehingga tidak mempengaruhi sistem secara keseluruhan.
Desain Enterprise Campus, yang terdiri dari core modul, server modul, distributsi modul, access modul, managemen modul, lab modul.
Hardening Kantor Cabang/Remote, disesuaikan dengan skala besar kecilnya kantor cabang.
Untuk kantor cabang yang memiliki akses internet sendiri, firewall, IDS/IPS dibutuhkan untuk proteksi perimeter modul. Untuk cabang yang menggunakan koneksi WAN, firewall dan IPsec dapat diimpelementasi untuk melindungi data yang melewati WAN. Baik kantor cabang maupun kantor remote tetap diperlakukan seperti interior modul, menggunakan VLAN, PVLAN, IDS/IPS jika dibutuhkan.
3.Sekali Tidak Pernah Cukup!
3.1.Tinjau Ulang Kebijakan Sekuriti
Sekuriti adalah proses dan bukan target. Tidak ada kata akhir dalam melakukan hardening infrasktruktur, selalu akan dilakukan update secara kontinu dan selalu dilakukan perubahan kebijakan sekuriti terkait dengan ancaman baru terhadap infrastruktur network. Untuk meninjau ulang kebijakan sekuriti, kita fokus ke beberapa hal:
Apakah kebijakan sekuriti yang telah dibuat itu bekerja? Ada sejumlah alasan mengapa kebijakan sekuriti tidak bekerja:
Pertama, kekurangan pengetahuan, ini bisa diatasi dengan pendidikan dan training.
Kedua, kebijakan sekuriti mempengaruhi proses bisnis. Ini akan menjadi situasi yang sulit karena umumnya akan menjadi isu politis, karena biasanya kebijakan sekuriti akan berlawanan dengan pembatasan atas kemudahan melakukan sesuatu, sehingga orang tidak mudah bersedia mengikuti kebijakan sekuriti.
Ketiga, kebijakan tidak efektif, dalam kasus kebijakan yang dibuat kelihatannya terlihat bagus di atas kertas, dalam tidak dalam prakteknya.Konsekuensinya kebijakan sekuriti harus di reevaluasi untuk memastikan ekspektasi sesuai dengan desain yang dibuat.
Apakah kebijakan sekuriti yang dibuat itu mampu mengetahui semua ancaman yang terjadi terhadap infrastruktur?
Metode yang efektif untuk mengenal ancaman baru adalah dengan mengikuti setiap perkembangan dari industri yang berdedikasi di bidang sekuriti yang mampu memberikan informasi mengenai ancaman baru, pacthes, dan upgrade yang dibutuhkan untuk mengatasi setiap ancaman baru.
Apakah kita memiliki mekanisme pencegahan yang dan kekuatan yang memadai atas kebijakan sekuriti yang ada?
Kebijakan sekuriti yang baik adalah mencegah terjadinya ancaman, dan tidak hanya sekedar mendefinisikan ancaman seperti apa atau apa yang akan dilakukan jika ancaman tersebut benar2 terjadi.
3.2.Tinjau Ulang Bentuk Sekuriti
Dalam kaitan dengan peninjauan ulang bentuk sekuriti, pastikan beberapa hal:
Tinjau kembali apakah kebijakan sekuriti benar-benar telah bekerja? Jika tidak, perlu segera dilakukan perubahan terhadap kebijakan atau perubahan terhadap apa yang dilakukan.
Pastikan selalu bahwa kontrol bekerja sesuai dengan kebijakan sekuriti yang telah dibuat.
Lakukan tinjauan terhadap kelakukan user terkait dengan kebijakan sekuriti. Pastikan user mengikuti kebijakan sekuriti yang telah dibuat.
Lakukan tinjauan terhadap kelakuan administrator , apakah tugas dan kewajibannya sudah sesuai dengan kebijakan sekuriti yang telah dibuat.
3.3.Lakukan Audit Sekuriti
Lakukan sekuriti audit terhadap infrastruktur dengan cara:
Lakukan ceklist terhadap kebijakan yang telah dibuat dengan best practice industri. Ckelist ini dibutuhkan untuk memeriksa dan memvalidasi seluruh kebijakan sekuriti dihbungkan dengan best practice yang berlaku di industri.
Lakukan vulnerability assesment. Assesment ini termasuk testing terhadap vulnerability sistem untuk memastikan bahwa seberapa besar potensi bahaya tersebut terhadap lingkungan.
Lakukan penetration testing untuk memastikan apakah ekspoitasi terhadap vulnerability tersebut akan membypass pertahanan dan mengambil alih akses terhadap sistem.
Lakukan internal audit. Keutungan internal audit adalah berbiaya rendah karena menggunakan sumber daya lokal. Metode yang terbaik adalah memisahkan fungsi audit dengan fungsi IT untuk memastikan bahwa fungsi audit dapat berjalan efektif.
Memanage Perubahan Lingkunan. Hal yang paling sulit dalam melakukan hardening infrastruktur network adalah memanage perubahan itu. Diperlukan perencaaan sebelum melakukan perubahan. Identifikasi sejauh mana kebutuhan akan perubahan, mendefinisikan skope perubahan, mengidentifikasikan perubahan yang dibuat, melakukan analisa resiko, merencanakan perubahan dan melakukan testing terhadapnya. Mendefinisikan team yang melakukan managemen perubahan, komunikasi, mendefinisikan team implementasi, melakukan update semua dokumentasi dan diagram terkait dengan perubahan, dan akhirnya melakukan review terhadap perubahan tersebut agar bisa berjalan secara efektif.
4.Bagaimana agar Sukses dalam Melakukan Hardening Network Infrastructure
4.1.Setting Persepsi dan Ekspektasi
Setting persepsi dan ekspektasi pihak user terkait dengan sekuriti, mengurangi ketakutan, mendapatkan kepercayaan user, komunikasi dengan user dan berlaku realistis.
Setting persepsi dan ekspektasi pihak managemen terkait dengan sekuriti, dengan melakukan komunikasi, meyakinkan pihak managemen, dan mendemontarsikan nilai apa yang bisa dicapai dalam proses ini dan tetap berlaku realistis
4.2.Pembenaran atas Biaya Sekuriti
Pembenaran atas Biaya Sekuriti dalam proses hardening infrastruktur dengan cara melakukan analisa resiko: identifikasi resiko dan ancaman, seberapa besar resiko, dan menyeimbangkan antara biaya sekuriti terkait dengan pencegahan dengan biaya pemulihan dan perbaikan.
4.3.Alokasi Sumber Daya dan Isu Training
Kebutuhan akan hardening infrastruktur membutuhkan kedalaman dan keluasan pengetahuan. Ada dua jalan, pertama, yakni dengan merekrut orang yang berpengalaman atau menggunakan jasa konsultan. Kedua, melakukan training kepada karyawan dengan materi yang relevan dan sesuai dengan kebutuhan dalam upaya hardening infrasktrutur.
4.4.Implementasi Lab
Implementasi pertama kali di Lab untuk kebutuhan testing produk, teknologi, sebelum diimplementasikan terhadap organisasi.
4.5.Respon Terhadap Insiden
Respon Terhadap Insiden dapat membantu menentukan apa yang harus dilakukan ketika insiden terjadi. Diperlukan Team yang khusus dalam menangani insiden, yang dapat melakukan upaya terbaik dalam menangani insiden tersebut.