On Mon, Nov 13, 2006 at 11:31:23AM +0700, Zaki Akhmad wrote: > Saya berencana untuk meningkatkan keamanan jaringan komputer di tempat > saya. Apakah saya bisa memberikan satu alamat IP tertentu hanya kepada > satu alamat MAC saja? Jika bisa, bagaimana caranya? > > Hal ini saya lakukan agar saya bisa memantau pemakaian komputer > berdasarkan alamat IP.
Salah satu caranya, walaupun repot, adalah pake iptables. Hanya kasih
lewat paket yg pasangan IP dan MAC nya sesuai dg daftar, selain itu
didrop. Kasarnya gini:
allow IP 1.2.3.4 and MAC x:y:z:1
allow IP 1.2.3.5 and MAC x:y:z:2
...
deny
Tapi MAC address dan IP address bisa diubah dr sisi client. Jadi
percuma.
> PS:
> 1. Asumsi pengguna tidak tahu caranya mengganti alamat MAC
> 2. Pengguna memiliki akses administrator pada komputer.
- Nomer 1 dan 2 itu bertentangan, dan tidak akan bisa.
- Cepat atau lambat akan ada yg tau 1. Ini ibarat "security by
obscurity", sama aja ama no security. Di cryptography pun harus
selalu diasumsi bahwa "cara" itu diketaui oleh siapa aja, yg
dirahasiakan harusnya bukan caranya, tapi keynya.
- Anda mengandalkan pengguna anda semua gak ada yg nakal, jadi
keamanan sistem anda tergantung sepenuhnya ke hal ini. Cuma butuh 1
aja yg nakal utk membuat sistem ini pecah.
Bbrp solusi yg mungkin:
- Jangan kasih hak admin di kompnya dan dia udah ga bisa ganti IP
maupun MAC.
- Monitor berdasarkan credential (login, certificates, etc), jadi
tidak peduli user mau ganti IP maupun MAC address. Kalo perlu buat
credentialnya sama (centralized) dg hal2 yg penting dan pribadi
(seperti email, login network, timesheet), jadi mereka punya
insentif utk tidak sharing credentialnya dg org lain. Buat user
bertanggung jawab sepenuhnya terhadap activity yg menggunakan
credential itu.
Ronny
signature.asc
Description: Digital signature
