Feature keamanan merupakan salah satu feature yang paling penting dalam aktivitas suatu perusahaan. Feature keamanan yang baik akan menjamin dukungan aktivitas bisnis di sebuah perusahaan.
Microsoft Windows sebagai salah satu sistem operasi yang cukup banyak digunakan di dunia korporat dituntut untuk menerapkan sebuah sistem yang aman bagi penggunanya. Semakin eratnya dunia bisnis dengan dunia online Internet membuat faktor keamanan menjadi faktor yang sangat penting. Hal ini merupakan salah satu tantangan dari Microsoft untuk membuktikan bahwa sistem operasinya aman digunakan di dunia bisnis.
Tantangan ini dijawab oleh Microsoft dengan meluncurkan Microsoft Security Strategy. Microsoft Security Strategy merupakan suatu pendekatan yang dibuat untuk mengoptimalkan proteksi keamanan sebuah sistem berbasis teknologi Microsoft. Tiga pilar utama dari Microsoft Security Strategy adalah Fundamental, Thread and Vulnerability Mitigation, serta Identity and Access Control.
Implementasi dari strategi Microsoft di bidang keamanan ini dapat dilihat pada sejumlah feature-feature yang ada pada sistem operasi mereka. Implementasi ini dapat dilihat mulai dari Windows XP, Windows Vista, hingga Windows Server 2003, dan sistem operasi server terbaru mereka, Windows Server 2008.
Di keluarga Windows XP terdapat Microsoft Security Center. Pada Windows Server 2003 kita mengenal Microsoft Internet Security and Acceleration (ISA) Server serta Network Access Quarantine Control. Kedua feature ini merupakan salah satu implementasi Microsoft untuk membuat suatu sistem yang lebih aman.
Pada Windows Server 2008 terdapat suatu feature yang menjadi salah satu tulang punggung proteksi keamanan dalam suatu sistem. Feature ini dikenal dengan nama Network Access Protection (NAP).
Network Access Protection adalah suatu platform keamanan terbaru dari Microsoft yang memungkinkan pengontrolan akses suatu resource di jaringan berdasarkan tingkat keamanan komputer klien yang mengakses resource tersebut.
Seperti yang kita ketahui, dalam sebuah jaringan besar terdapat banyak user yang mengakses suatu resource pada jaringan tersebut. Komputer user yang mengakses resource tersebut tidak dapat diprediksi tingkat keamanannya karena memiliki spesifikasi tingkat keamanan yang berbeda-beda antara satu dengan yang lainnya. Ini menjadi mimpi buruk bagi para administrator jaringan dalam hal keamanan. Skenario seperti komputer user yang terjangkit virus mengakses jaringan lalu menjangkiti komputer lainnya merupakan skenario yang sudah sering dijumpai para administrator. Untuk mencegah hal-hal seperti ini diperlukan suatu kebijakan penyeragaman tingkat keamanan bagi user. Di sinilah fungsi NAP bekerja.
Network Access Protection
NAP memungkinkan administrator jaringan menetapkan kebutuhan tingkat keamanan suatu komputer guna mendapatkan hak untuk mengakses jaringan. Tingkat keamanan atau yang disebut sebagai Health System ini memberikan rambu-rambu tingkat keamanan berdasarkan sejumlah faktor yang ada pada komputer klien. Faktor tersebut, meliputi update sistem operasi yang terpasang di komputer klien; antivirus beserta database antivirus yang terpasang; serta penggunaan firewall pada komputer klien. NAP dapat mengharuskan suatu komputer untuk menyesuaikan tingkat keamanan sistemnya sesuai dengan kebijakan keamanan yang telah didefinisikan sebelumnya. Kewajiban ini menjadi syarat untuk mengakses suatu jaringan.
NAP pada dasarnya dirancang untuk menjamin jaringan komputer sesuai dengan standar kebijakan keamanan yang telah ditetapkan. Dalam mencapai tujuan tersebut, NAP menyediakan infrastruktur yang mendukung proses-proses seperti:
1. Health Policy Validation: NAP dapat menentukan apakah tingkat keamanan komputer klien sudah sesuai dengan standar kebijakan keamanan yang dibuat oleh administrator jaringan.
2. Network Access Limitation: NAP dapat membatasi akses suatu komputer klien yang tidak memenuhi standar kebijakan keamanan. Pembatasan akses ini dapat berarti mencegah komputer tersebut mengakses jaringan utama atau pun membatasi akses komputer tersebut hanya ke satu subnet tertentu saja.
3. Automatic Remediation: Bagi komputer yang tidak memenuhi standar kebijakan keamanan, NAP dapat memproses komputer tersebut untuk memenuhi semua kriteria komponen keamanan yang belum terpasang.
4. Ongoing Compliance: NAP tidak hanya mengecek komputer yang akan tersambung ke jaringan. NAP secara berkesinambungan juga mengecek tingkat keamanan semua komputer tersambung ke jaringan. Hal ini dilakukan untuk menjamin setiap komputer yang tersambung memiliki tingkat keamanan yang sesuai dengan kebijakan yang telah ditetapkan.
Network Access Protection memiliki perbedaan signifikan dengan feature pendahulunya yang ada di Windows Server 2003, Network Access Quarantine Control (NAQC). NAQC hanya membatasi remote access dari luar jaringan. Selain itu, NACQ tidak menyediakan proses Remediation bagi komputer klien yang tidak sesuai dengan kebijakan keamanan. User pengguna komputer harus memperbaiki/mengupdate komponen keamanan komputernya sendiri agar sesuai dengan kebijakan keamanan pada jaringan. Keterbatasan pada NACQ telah diperbaiki dan dikembangkan lebih lanjut pada NAP.
NAP sendiri masuk ke dalam dua dasar keamanan yang ditetapkan oleh Microsoft Security Strategy, yaitu:
1. Isolation and Resiliency: NAP memiliki teknologi yang membantu administrator jaringan mengontrol serta mengembangkan tingkat keamanan komputer mereka dengan mengecek implementasi kebijakan keamanan dari setiap komputer klien.
2. Authentication and Access Control: NAP memungkinkan administrator jaringan lebih mengontrol proses otentifikasi suatu komputer pada saat mereka ingin tersambung ke dalam suatu jaringan.
Komponen NAP
NAP merupakan suatu platform yang menyediakan komponen infrastruktur dan API (Application Programming Interface) untuk memverifikasi serta menganalisa tingkat keamanan suatu komputer. Komponen dari NAP dibagi ke dalam dua bagian utama, komponen di sisi server serta komponen di sisi komputer client.
Di sisi server terdapat NAP Enforcement Points. NAP Enforcement Points ini adalah suatu komputer ataupun perangkat jaringan yang menggunakan NAP untuk mengevaluasi tingkat keamanan suatu komputer client guna menetapkan hak akses komputer tersebut ke dalam suatu jaringan.Komponen-komponen yang terdapat pada NAP Enforcement Points ini meliputi:
1. System Health Validator (SHV). SHV berkomunikasi dengan komponen System Health Agents (SHA) pada komputer client yang mendukung NAP untuk mendapatkan informasi mengenai status tingkat keamanan dari komputer tersebut.
2. NAP Enforcement Server (NAP ES). Setiap NAP Enforcement Point memiliki komponen ES yang mendefinisikan satu tipe akses jaringan. Misalnya, Windows Server 2008 menyediakan NAP ES untuk konfigurasi DHCP. DHCP NAP ES ini dirancang untuk bekerja pada jaringan berbasis DHCP. Selain itu juga terdapat komponen NAPES khusus untuk akses VPN, serta IPSec.
3. Network Policy Server (NPS). NPS adalah suatu server Remote Authentication Dial-In User Service (RADIUS) pada Windows Server 2008. Sebagai RADIUS server, NPS menyediakan layanan authentication, authorization, dan accounting (AAA). NPS juga berfungsi sebagai NAP Health Policy Server. Administrator jaringan menetapkan kebutuhan tingkat keamanan dalam bentuk Health Policy pada NPS Server. NPS berperan penting untuk mengevaluasi dan menentukan apakah suatu komputer klien sudah memenuhi syarat kebijakan (Health Policy) yang telah ditetapkan oleh administrator.
4. Remediation Server. Remediation Server merupakan suatu server ataupun layanan aplikasi yang akan membantu komputer klien yang tidak memenuhi syarat kebijakan tingkat keamanan NAP untuk mengupdate komponen mereka. Tujuannya adalah agar komputer klien tersebut dapat memenuhi syarat kebijakan keamanan yang telah ditetapkan. Remediation Server dapat diisi oleh komponen-komponen seperti update antivirus, update aplikasi-aplikasi penting.
5. NAP Administration Server. Komponen ini bertugas mengambil informasi tingkat keamanan yang sudah diolah oleh SHV dan mengirimkan kepada NPS untuk dievaluasi lebih lanjut
Jika dilihat pada sisi client, tidak semua sistem operasi mendukung feature NAP. Sistem operasi yang sudah mendukung NAP adalah Windows XP dengan Service Pack 3, Windows Vista, serta Windows Server 2008. Komputer klien dengan sistem operasi ini memiliki beberapa komponen pendukung NAP seperti:
1. System Health Agents (SHA). SHA menganalisa komputer klien untuk mendapatkan informasi mengenai tingkat keamanannya. Informasi ini meliputi status update signature antivirus, update patch, status firewall, serta berbagai status yang berhubungan dengan keamanan sistem lainnya. Informasi ini dinamakan dengan System Statement of Health (SSoH).
2. NAP Enforcement Client (NAP EC). Sama seperti komponen NAP ES yang ada pada server. Pada setiap NAP di komputer klien terdapat beberapa Enforcement Client yang dapat digunakan sesuai dengan tipe akses jaringan. Contoh Enforcement Client meliputi VPN NAP EC, DHCP NAP EC, 802.1X NAP EC, IPSec NAP EC, serta Terminal Server Gateway NAP EC. Implementasi dari NAP EC dan NAP ES dapat dilihat pada bagian berikutnya.
Cara kerja NAP
Setelah kita melihat komponen-komponen yang membentuk NAP dari sisi server maupun dari sisi klien, berikut kita akan memahami cara kerja NAP melalui beberapa metode yang ada. Seperti yang telah dijelaskan sebelumnya, terdapat beberapa metode implementasi NAP yang dapat diterapkan sesuai dengan tipe akses ke jaringan yang digunakan. NAP sendiri dapat diimplementasikan pada beberapa tipe akses ke jaringan seperti VPN, IPSec, 802.1X, DHCP, serta Terminal Server. Untuk setiap tipe ini, NAP memiliki metode sendiri yang dinamakan dengan NAP Enforcement.
Pada dasarnya, setiap komputer klien yang akan mengoneksikan dirinya ke dalam suatu jaringan yang sudah menggunakan sistem NAP akan dicek tingkat keamanannya terlebih dahulu oleh sebuah NPS. Jika tingkat keamanan komputer tersebut sesuai dengan kebijakan keamanan dari jaringan tersebut, komputer tersebut diperbolehkan mengakses jaringan.
Namun, jika tingkat keamanannya tidak sesuai dengan kebijakan keamanan jaringan, komputer tersebut akan ditaruh di subnet khusus di bawah Remediation Server.
Di subnet tersebut, komputer klien akan diupdate agar memenuhi standar kebijakan keamanan jaringan. Setelah selesai, komputer akan diverifikasi tingkat keamanannya kembali. Jika sudah sesuai standar, barulah komputer tersebut diperbolehkan mengakses jaringan.
Setting NAP di WINDOWS SERVER 2008
Di Windows Server 2008, fungsi NAP dapat diaktifkan dengan menjadikan server tersebut sebagai NPS. Caranya, tambahkan satu role baru di server, yaitu “Network Policy and Access Service“.
Setelah role di-install, server tersebut sudah memiliki fungsi sebagai NPS. Untuk melakukan konfigurasi lebih lanjut, pada bagian Server Manager klik menu Network Policy and Access Services, lalu klik NPS. Pada bagian tersebut, Anda dapat mengatur sejumlah konfigurasi yang berkaitan dengan NPS. Pada bagian Advance Configuration, Anda dapat mengatur konfigurasi seperti: Health Policy, Network Policy, System Health Validators, Remediation Server Group, dan lain sebagainya.
Selain sebagai server NAP, NPS juga dapat difungsikan sebagai RADIUS Server dan Proxy. Sehingga pada bagian Server Manager Anda juga dapat melakukan konfigurasi RADIUS Server lewat menu Network Policy and Acess Services
Penggunaan feature Network Access Protection tentu tidak akan menjamin sistem Anda aman 100%, namun feature ini akan menjadi garda yang ampuh dalam menjaga keamanan dan kestabilan sistem jaringan Anda.
Baik di lingkungan SOHO, maupun di jaringan enterprise yang besar, NAP dapat membantu para administrator mempermudah pengelolaan keamanan pada jaringan.
Source: CHIP 03/2008Author: TIM CHIP, penulis@CHIP.co.id
Tidak ada komentar:
Posting Komentar