ACT Blog

logo bendera indonesia
Menu
Networking Ahmad Rudiansyah  

10 Praktik Terbaik Keamanan MPLS Terbaik

ACT Communications – Jaringan Multiprotocol Label Switching (MPLS) dilindungi, artinya hanya perangkat dan sistem tertentu yang diizinkan di dalam jaringan. Pengguna luar tidak dapat mengakses bagian dalam tanpa otorisasi. Ini memblokir akses tidak sah oleh orang dalam tepercaya, atau oleh peretas yang mendapatkan akses ke aset jaringan.

Perusahaan dapat mengambil langkah-langkah untuk melindungi dari serangan, seperti:

  • Membatasi hak akses fisik.
  • Mengontrol lalu lintas jaringan dengan router, firewall, dan perangkat pendeteksi penyusupan.
  • Membatasi hak administratif untuk pengguna yang tidak penting.
  • Memantau aktivitas jaringan untuk kejadian anomali menggunakan file log dan alat keamanan IDS/IPS.

Apa itu Keamanan MPLS?

Keamanan Multi-Protocol Label Switching (MPLS) melindungi jaringan MPLS. Ini menyediakan layanan seperti kualitas layanan (QoS), rekayasa lalu lintas, dan mekanisme pemulihan cepat. Agar aman, MPLS membutuhkan perlindungan terhadap serangan Denial of Service, serangan penolakan layanan terdistribusi, dan peretasan berbahaya lainnya.

Manfaat Keamanan MPLS

MPLS, sering digunakan dalam jaringan perusahaan, dapat diatur untuk mencapai tingkat keamanan dan keandalan yang sangat tinggi. MPLS juga menawarkan fleksibilitas dan visibilitas yang lebih besar dengan mendukung lebih dari satu jenis layanan melalui satu jalur label-switched (LSP).

Secara khusus, MPLS memberikan manfaat sebagai berikut:

  • Dengan VPN MPLS, perusahaan dapat dengan aman memperluas ruang alamat IP pribadi mereka di seluruh jaringan IP publik tanpa memaparkannya ke ancaman luar.
  • Virtual Private Networks (VPNs) melindungi data menggunakan enkripsi, yang mengamankan informasi saat melintasi Internet publik atau jaringan terbuka lainnya.
  • Tidak seperti beberapa jenis lalu lintas terenkripsi lainnya, MPLS tidak memperlambat kecepatan perjalanan data melalui koneksi karena tidak mengenkripsi pada setiap titik di sepanjang jalan.
  • Kemampuan switching berbasis perangkat keras dari MPLS memberikan kinerja yang lebih cepat daripada switch berbasis perangkat lunak, menjadikannya ideal untuk lingkungan di mana latensi sangat penting seperti VoIP, aplikasi video streaming real-time, dan jaringan nirkabel.

Sangat penting untuk memahami mengapa ada begitu banyak hype seputar MPLS. Pada intinya, MPLS bergantung pada mekanisme teknologi canggih—beberapa di antaranya melampaui skema pelabelan sederhana—yang memungkinkan pengguna mendapatkan manfaat keamanan dan skalabilitas langsung.

MPLS menawarkan beberapa fitur yang menjamin keamanan

Seperti disebutkan sebelumnya, jaringan pribadi virtual (VPN) memungkinkan perusahaan untuk merutekan paket data secara aman melalui internet publik dengan menggunakan berbagai teknik, seperti enkripsi. Misalnya, standar IPsec memungkinkan perangkat pengguna untuk berkomunikasi satu sama lain melalui terowongan yang aman.

Dengan cara ini, semua transmisi data dienkripsi dan tidak dapat dibaca oleh orang luar kecuali mereka memiliki kunci dekripsi. Saat menggunakan MPLS, prinsip yang sama berlaku tetapi dengan satu perbedaan utama. Alih-alih hanya mengandalkan kunci untuk mengamankan koneksi antara dua titik, mekanisme jalur yang dialihkan label juga menggunakan label.

Baca Juga :  6 Tren Keamanan Jaringan Perusahaan

Label ini dapat diterapkan oleh router di kedua ujung koneksi yang diberikan dan kemudian dialihkan sesuai dalam jaringan. Setelah diterima, router menggunakan dekapsulasi untuk melepaskan paket luar sebelum meneruskannya ke tujuan akhirnya. Pendekatan ini memastikan bahwa bahkan jika seseorang berhasil meretas router di suatu tempat di sepanjang jalur jaringan dan mencegat paket, mereka tetap tidak dapat membaca apa yang ada di dalamnya karena proses ini.

10 Praktik Terbaik Keamanan MPLS Terbaik

Menerapkan praktik terbaik ini dapat membantu menjaga aliran data yang aman dan andal melalui jaringan MPLS dan melindunginya dari risiko seperti serangan spoofing alamat IP, pelanggaran daftar kontrol akses, dan serangan penolakan layanan.

1) Bidang Kontrol dan Bidang Data Terpisah

Control plane menyediakan informasi yang dibutuhkan data plane untuk meneruskan data dari satu node jaringan ke node lainnya. Ini digunakan untuk keputusan perutean, pemantauan statistik terkait jaringan, dan pengaturan protokol seperti Protokol Informasi Perutean (RIP). Kedua pesawat biasanya dipisahkan untuk keamanan tambahan.

Dengan pemisahan ini, jika aktor jahat mengambil alih perangkat di bidang kontrol, itu tidak akan dapat mengubah atau mencegat lalu lintas di bidang data. Anda dapat membuat jaringan terpisah dengan firewall di antara mereka atau menggunakan protokol perutean seperti OSPF atau BGP, yang memiliki mekanisme otentikasi untuk membatasi akses ke setiap tingkat protokol.

2) Gunakan Strategi Pertahanan-dalam-Mendalam

Defense-in-depth menggunakan beberapa lapisan langkah-langkah keamanan atau strategi defensif. Ini akan memerlukan penggelaran packet filtering, firewall, dan sistem deteksi intrusi secara berlapis dalam jaringan MPLS. Misalnya patroli perimeter jaringan dengan sistem IDS.

Untuk lebih melindungi sumber daya internal, gunakan IPS inline untuk pemeriksaan mendalam lalu lintas yang memasuki intranet, dan terapkan perangkat gateway tingkat aplikasi untuk peninjauan dan perlindungan. Selain itu, terapkan kebijakan firewall yang memblokir akses ke semua port yang tidak perlu di perimeter dan hanya mengizinkan koneksi yang dibuat melalui port tertentu jika diperlukan.

3) Gunakan ACL untuk mengizinkan hanya host/router yang diperlukan ke dalam domain MPLS

Ketika jaringan MPLS diatur, itu harus dibuat seaman mungkin dengan menempatkan daftar kontrol akses (ACL) di tepi domain MPLS yang hanya mengizinkan perangkat tepercaya mengakses domain MPLS.

ACL ini digunakan dengan perintah ping dan traceroute, yang dapat dijalankan secara berkala terhadap host di dalam dan di luar domain MPLS untuk menentukan apakah lalu lintas mengalir dengan benar melalui semua titik pada jaringan tertentu.

Baca Juga :  Fortinet vs Ubiquiti : Perbandingan LAN Nirkabel Perusahaan

4) Menyebarkan firewall di semua node untuk menyaring paket yang tidak sah

Firewall dapat mengontrol di mana dan lalu lintas apa yang diizinkan masuk atau keluar dari jaringan MPLS. Firewall masuk melindungi jaringan MPLS dari perangkat lunak berbahaya (misalnya, virus, malware) di komputer yang masuk. Sebaliknya, firewall keluar membantu menjaga dari serangan peretas dengan menyaring paket yang tidak sah agar tidak keluar dari jaringan MPLS.

Untuk mengurangi kerentanan terhadap serangan penolakan layanan, terapkan beberapa firewall di semua node. Gunakan praktik terbaik ini:

  • Pemfilteran paket: Penyaringan paket memungkinkan administrator firewall untuk mengkonfigurasi jenis paket mana yang harus diblokir atau diteruskan.
  • Autentikasi: Opsi ini mengharuskan pengguna yang ingin mengakses jaringan MPLS untuk menyediakan sarana identifikasi sebelum diberikan akses melalui firewall.
  • Portal tawanan: Gateway ini mengharuskan pengguna untuk terhubung ke jaringan MPLS untuk mengotentikasi diri mereka sendiri dengan nama pengguna dan kata sandi.

5) Gunakan penyaringan masuk dan keluar

Tetapkan zona keamanan di setiap titik masuk/keluar: Tetapkan zona keamanan di setiap titik masuk/keluar untuk menjaga pemisahan antar jaringan dan tetapkan aturan yang sesuai.

Dengan pemfilteran masuk, koneksi akan diizinkan jika berasal dari jaringan tepercaya; dalam kasus pemfilteran jalan keluar, koneksi akan diizinkan jika ditujukan untuk jaringan tepercaya.

Dalam kedua kasus tersebut, firewall akan menghentikan upaya untuk mencapai host sumber atau tujuan pada jaringan yang tidak tepercaya. Memfilter semua paket dengan header yang tidak valid, seperti paket yang tidak sesuai dengan standar protokol IP, juga dapat mencegah serangan. Mengizinkan akses ke protokol tertentu juga dapat membantu menjaga keamanan jaringan perusahaan. Antarmuka harus dipantau terus menerus. Admin jaringan harus memantau port masuk dan keluar dari router yang terhubung ke tautan eksternal untuk lonjakan volume lalu lintas yang tidak terduga.

6) Menerapkan batas bandwidth pada setiap tautan dengan kebijakan yang sesuai dan membentuk kebijakan

Batas bandwidth sering kali merupakan salah satu alat pertama yang digunakan untuk mengontrol lalu lintas di jaringan, tetapi tidak selalu dikonfigurasi dengan benar. Pembatasan bandwidth yang salah tidak efektif karena meninggalkan celah di mana kemacetan dapat terjadi dan dapat menyebabkan kelebihan langganan. Oleh karena itu, batas bandwidth harus diterapkan pada setiap link Layer 2 dengan kebijakan yang sesuai dan membentuk kebijakan seperti Token Bucket di MPLS QoS untuk jaringan multilayanan.

7) Aktifkan enkripsi antara router PE dan CE

Salah satu cara terbaik untuk melindungi jaringan MPLS adalah dengan menggunakan terowongan VPN ujung ke ujung antara router provider edge (PE) dan router customer edge (CE). Penting untuk memanfaatkan manfaat enkripsi saat menghubungkan router PE ke router CE, terutama ketika ada beberapa hop router.

Baca Juga :  10 Praktik Terbaik Manajemen Jaringan

Ketika sebuah paket melintasi dari satu router ke router lain, ada kemungkinan untuk menguping, merusak data, atau serangan penyisipan pesan. Untuk memerangi serangan ini, Anda dapat menggunakan IPsec sebagai langkah keamanan. Dengan IPsec diaktifkan di kedua router, itu akan mengenkripsi dan mendekripsi lalu lintas antara kedua perangkat dan menawarkan lapisan perlindungan ekstra terhadap serangan yang disebutkan di atas.

8) Enkripsikan semuanya jika memungkinkan

Enkripsi MPLS dilakukan melalui kombinasi enkripsi Digital Encryption Standard (DES) dan 3DES atau Advanced Encryption Standard (AES). Selain itu, IPSec, Layer 2 Tunneling Protocol (L2TP), dan Secure Socket Layer/Transport Layer Security (SSL/TLS) adalah metode umum untuk mengenkripsi lalu lintas VPN melalui jaringan MPLS. Semua protokol ini dapat digunakan secara independen atau bersama satu sama lain.

Beberapa perusahaan menggunakan kombinasi protokol yang berbeda pada jaringan MPLS mereka karena mereka dapat beroperasi dengan langkah-langkah keamanan lain yang telah mereka terapkan di tempat lain dalam infrastruktur jaringan mereka. VPN MPLS juga dapat memberikan kerahasiaan data menggunakan enkripsi ESP mode transport IPsec. Integritas data dapat dipertahankan menggunakan algoritma integritas ESP seperti HMAC-MD5, HMAC-SHA1, atau HMAC-SHA256.

9) Menerapkan solusi IDPS yang kuat untuk jaringan MPLS perusahaan

Sistem deteksi dan pencegahan intrusi (IDPS) memberikan perlindungan waktu nyata terhadap serangan. Penyerang akan mencoba membanjiri jaringan dengan mengirimkan paket-paket yang tidak diizinkan. IDPS dapat menangani paket-paket ini dengan diprogram untuk tingkat beban atau jenis serangan tertentu. IDPS menganalisis semua paket yang masuk dan keluar dari jaringan perusahaan dan memblokir yang dianggap berbahaya.

10) Menyebarkan deteksi berbasis anomali

Keamanan jaringan MPLS perusahaan dicapai melalui pendekatan proaktif daripada pendekatan reaktif. Deteksi berbasis anomali mendeteksi aktivitas abnormal pada pola lalu lintas pada backbone MPLS. Ini memonitor setiap aliran paket di jaringan, sehingga memberikan cakupan penuh dan tingkat positif palsu yang rendah.

Deteksi berbasis anomali juga membantu dalam mengidentifikasi serangan tersembunyi, seperti serangan baru yang dibuat oleh peretas, yang menemukan kerentanan dan mengeksploitasinya tanpa memicu alarm apa pun. Identifikasi serangan tersembunyi dengan menganalisis perubahan perilaku dari waktu ke waktu menggunakan data statistik. Dengan menggunakan deteksi berbasis anomali, perusahaan dapat menentukan titik yang tepat saat penyerang memasuki jaringan mereka, dan segera mengambil tindakan yang sesuai.

Open chat
Tim Marketing
Halo, silahkan jelaskan kebutuhan anda agar kami dapat memberikan penawaran terbaik!