Sesi Q&A tentang Hardening bersama Fikri Muhammad Arifin

Tak dapat dipungkiri bahwa kemajuan teknologi telah mempermudah kehidupan manusia. Namun, kemajuan teknologi juga dapat mempermudah para hacker untuk meretas dan menyerang sistem TI bisnis. Maka tak heran apabila serangan siber terus meningkat tiap tahunnya. Mengingat hal tersebut, i3 sebagai salah satu IT expert di Indonesia mengadakan sesi Q&A mengenai hardening yang diikuti oleh para end-user dan salah satu konsultannya, Fikri Muhammad Arifin.

Q: Apa itu hardening?

A: Hardening merupakan suatu proses pengamanan sistem TI yang bertujuan untuk mengurangi kerentanan dan meningkatkan keamanan sistem TI terhadap berbagai serangan yang dapat terjadi. Dengan hardening, Anda dapat membuat standar konfigurasi keamanan pada setiap server. Tentunya, dalam proses hardening terdapat banyak komponen yang wajib dikonfigurasi/atur, antara lain informasi server, pengaturan akses dan user, pengaturan password dan partisi, keamanan jaringan dan kernel, dan masih banyak lagi.

 

Q : Apa saja langkah-langkah yang wajib dilakukan untuk melakukan hardening?

A: Hardening terbagi menjadi lima langkah, yaitu:

1. Buatlah dokumen standar hardening untuk dijadikan acuan dan standar (benchmark), seperti dokumen dari Center for Internet Security (CIS).
2. Buatlah script agar implementasi hardening dapat dipermudah.*
3. Lakukanlah gap assessment untuk mengecek kondisi sistem Anda dan membandingkannya dengan standar yang ada.
4. Implementasikan hardening sesuai dengan standar yang telah ditentukan.
5. Dokumentasikan hasil dan keefektifitasan hardening supaya bisa dijadikan tolak ukur di kemudian hari.

*Langkah kedua diperuntukkan bagi bisnis yang baru menginstal (fresh install) dan bersifat opsional.

 

Q : Apa saja tips-tips yang dapat Pak Fikri berikan untuk memudahkan proses hardening?

A: Pertama, lakukanlah hardening saat instalasi baru, di mana semua konfigurasi operating system (OS) masih default dan belum ada aplikasi. Dengan demikian, Anda tidak perlu takut akan dampak hardening terhadap jalannya aplikasi yang dapat mendisrupsi bisnis.

Kedua, backup setiap file serta konfigurasi yang diubah saat hardening. Hal ini untuk mencegah terjadinya hal-hal yang tidak diinginkan saat kesalahan konfigurasi terjadi. Apabila file pam.d tidak di-backup, misalnya dan terjadi miskonfigurasi pada file tersebut, Anda tidak akan bisa login dan wajib masuk emergency mode yang akan membutuhkan restart.

Ketiga, siapkan koneksi cadangan (backup connection) agar Anda dapat tetap mengakses server walaupun salah satu koneksi bermasalah. Sebagai contoh, apabila Anda ingin mengkonfigurasi secure shell (SSH), siapkanlah koneksi lain, seperti akses desktop jarak jauh (remote desktop) ataupun console sehingga Anda tetap bisa mengakses server kalau satu koneksi terputus akibat miskonfigurasi SSH.

Keempat, lakukanlah pengecekan hasil konfigurasi untuk memastikan konfigurasi sudah diterapkan. Dengan pengaturan password, misalnya Anda dapat mengecek apakah pengaturan sudah diterapkan dengan mencoba mengganti password user .

Kelima, sesuaikan poin hardening dengan kondisi server. Hal ini berarti jika Anda memiliki server on premise maka putuskanlah koneksi SSH dengan Internet, tetapi jika Anda menggunakan cloud service provider, koneksi SSH dengan Internet tidak boleh putus/disabled karena Anda tidak memiliki akses lain untuk melakukan hardening.

Terakhir, buatlah template virtual machine (VM) yang sudah di-harden berupa file dengan format .ova. Jika hardening dilakukan dalam jumlah besar, gunakanlah Ansible (Linux) atau Group Policy Object (Windows) untuk melakukan push policy ke setiap user yang menggunakan domain yang sama. Hal ini akan mempercepat proses hardening.

 

Q: Apakah ada perbedaan untuk Ada hardening di VM, bare-metal dan cloud?

A: Sebenarnya tidak ada perbedaan yang signifikan, hanya perbedaan perihal aksesnya saja. Terdapat beberapa platform/vendor/produk yang meminta akses Remote Desktop Protocol (RDP) dinonaktifkan untuk melakukan hardening, sementara salah satu cloud provider membutuhkan akses RDP untuk melakukan hardening.

 

Q: Apakah hardening bisa dilakukan sendiri atau harus menggunakan vendor?

A: Mengingat proses hardening yang begitu rumit dan kompleks, alangkah lebih baik jika menggunakan vendor, khususnya bagi Anda yang belum memiliki standar hardening ataupun bagi yang memiliki server dalam status produksi. Hal ini dikarenakan miskonfigurasi saat hardening dapat mengakibatkan tidak berjalannya aplikasi ataupun rusaknya server. Namun, bila standar hardening sudah ada dan script sudah sering dijalankan, silakan lakukan hardening secara mandiri.

 

Q: Walaupun telah melakukan hardening, tetap saja ada berbagai ancaman yang timbul, khususnya denial-of-service attack (DDoS). Bagaimana cara mengatasinya?

A: Tak dapat dipungkiri bahwa sangat sulit untuk mengatasi DDoS karena sumbernya yang bervariasi. Pada umumnya, DDoS menyebabkan kenaikkan bandwidth serta penggunaan sumber daya. Hal ini dapat diatasi dengan menggunakan load balancing, mem-blacklist atau whitelist IP. Jika kesulitan mengatasi DDoS secara mandiri, Anda dapat menggunakan DDoS Protection as a Service untuk membantu Anda melawan serangan DDoS yang hadir dalam bentuk resource atau traffic flooding.

 

Tentang i3

PT. Inovasi Informatika Indonesia (i3) dikenal sebagai perusahaan penyedia solusi dan layanan TI yang berfokus pada Open Source, Security, Big Data dan Cloud bagi bisnis. i3 menyediakan layanan TI yang komprehensif, meliputi konsultasi, migrasi dan implementasi, pelatihan, troubleshooting, dan managed services. Untuk informasi lebih lanjut perihal layanan dan solusi yang ditawarkan, Anda dapat menghubungi kami melalui info@i-3.co.id.