- INFRASTRUCTURE SECURITY
SECURITY CONCERNS AND CONCEPTS OF THE FOLLOWING TYPES OF DEVICES
- Firewalls
- Routers
- Switches
- Modems
- RAS (Remote Access Server)
- Telecom/PBX (Private Branch
Exchange)
- VPN (Virtual Private Network)
- IDS (Intrusion Detection
System)
FIREWALL
Adalah
sebuah sistem atau perangkat yang mengizinkan lalu lintas jaringan yang
dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak
aman.
Fungsi
Firewall
- Mengatur dan
mengontrol lalu lintas jaringan
- Melakukan
autentikasi terhadap akses
- Melindungi
sumber daya dalam jaringan privat
- Mencatat
semua kejadian, dan melaporkan kepada administrator
ROUTER
Berfungsi sebagai penghubung antar
dua atau lebih jaringan untuk meneruskan data dari satu jaringan ke jaringan
lainnya. Router juga dapat digunakan untuk menghubungkan LAN ke sebuah layanan
telekomunikasi seperti halnya telekomunikasi leased line atau Digital
Subscriber Line (DSL). Router yang digunakan untuk menghubungkan jaringan lokal
ke sebuah koneksi DSL disebut juga dengan DSL router.
Router-router jenis tersebut umumnya memiliki fungsi
firewall untuk melakukan penapisan paket berdasarkan alamat sumber dan alamat
tujuan paket tersebut, meski beberapa router tidak memilikinya. Router yang
memiliki fitur penapisan paket disebut juga dengan packet-filtering router.
Router umumnya memblokir lalu lintas data yang dipancarkan secara broadcast
sehingga dapat mencegah adanya broadcast storm yang mampu memperlambat kinerja
jaringan.
SWITCH
Adalah sebuah perangkat keras yang memungkinkan terjadinya
distribusi packet data antar komputer dalam jaringan dan mampu untuk mengenali
topologi jaringan di banyak layer sehingga packet data dapat langsung sampai ke
tujuan dimana data yang diterima switch hanya akan dikirimkan ke komputer yang
berkepentingan menerima data tersebut.
Penggunaan Switch akan memotong penggunaan bandwith jaringan
secara signifikan, terutama bila menggunakan jaringan dengan banyak komputer
dan semuanya sibuk untuk mengirim dan menerima data disaat bersamaan.
Keunggulan switch yang lain ialah data akan lebih aman dari aksi pencurian data
dengan cara sniffer.
MODEM
Berasal dari singkatan MOdulator DEModulator.
Modulator merupakan bagian yang mengubah sinyal informasi kedalam sinyal
pembawa (carrier) sedangkan Demodulator adalah bagian yang memisahkan sinyal
informasi (yang berisi data atau pesan) dari sinyal pembawa yang.
Modem lebih dikenal sebagai Perangkat keras yang sering
digunakan untuk komunikasi pada komputer. Data dari komputer yang berbentuk
sinyal digital diberikan kepada modem untuk diubah menjadi sinyal analog,
ketika modem menerima data dari luar berupa sinyal analog, modem mengubahnya
kembali ke sinyal digital supaya dapat diproses oleh komputer. Sinyal analog
tersebut dikirimkan melalui beberapa media telekomunikasi seperti telepon dan
radio.
REMOTE ACCESS SERVER
Remote Access merupakan untuk mengakses jaringan secara
jarak jauh menggunakan saluran telepon. Komputer yang melayani remote access
disebut Remote Access Server (RAS) sedangkan komputer yang menghubungi server
disebut dengan Remote Access Client. Setiap client yang akan terkoneksi ke
jaringan harus melalui otentikasi yang dilakukan oleh RAS Metode
otentikasi yang digunakan antara lain PAP (Password Authentication Protocol),
CHAP (Chalenge Handshake Authentication Protocol) atau SPAP (Shiva PAP).
Setelah otentikasi berhasil maka client bisa mengakses jaringan tersebut.
Remote Access Server (RAS) merupakan gateway yang digunakan
untuk mengakses Server yang terdapat pada domain tertentu yang berada
dibelakang RAS tersebut.
TELECOM/PBX (PRIVATE BRANCH EXCHANGE)
PBX menghubungkan antara telepon dalam perusahaan dengan
jaringan internal dan menghubungkan juga telepon dalam perusahaan dengan
jaringan telepon publik (PSTN – public switched telephone network) melalui
trunk, yaitu penghubung jalur komunikasi antara pengirim dengan penerima
melalui central office). Jaringan ini menggabungkan telepon dengan faksimile,
modem, dan hal lain yang menjadi perpanjangan dari kemampuan PBX sistem melalui
trunk. Oleh karena itu, telepon dengan sistem PBX tidak hanya berfungsi untuk
kegiatan telepon, namun juga dapat mengirim fax atau modem akses internet.
VPN (VIRTUAL PRIVATE NETWORK)
VPN ini merupakan suatu cara untuk
membuat sebuah jaringan bersifat “private” dan aman dengan menggunakan jaringan
publik misalnya internet. VPN dapat mengirim data antara dua komputer yang
melewati jaringan publik sehingga seolah-olah terhubung secara point to point.
Data dienkapsulasi (dibungkus) dengan header yang berisi informasi routing
untuk mendapatkan koneksi point to point sehingga data dapat melewati jaringan
publik dan dapat mencapai akhir tujuan.
Sedangkan untuk mendapatkan koneksi bersifat private, data
yang dikirimkan harus dienkripsi terlebih dahulu untuk menjaga kerahasiaannya
sehingga paket yang tertangkap ketika melewati jaringan publik tidak terbaca
karena harus melewati proses dekripsi.
IDS (INTRUSION DETECTION SYSTEM)
Intrusion Detection System (disingkat IDS) adalah sebuah
aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas
yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan
inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau
jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi
(penyusupan).
SECURITY
CONCERNS FOR THE FOLLOWING TYPES OF MEDIA
- Coaxial Cable
- UTP/STP (Unshielded Twisted Pair/Shielded Twisted
Pair)
- Fiber Optic Cable
- Removable Media
- Tape
- CD-R (Recordable Compact
Disks)
- Hard Drives
- Diskettes
- Flash Cards
- Smart Cards
THE CONCEPTS BEHIND THE FOLLOWING KINDS OF SECURITY TOPOLOGIES
- Security Zones
- DMZ (Demilitarized Zone)
- Intranet
- Extranet
- VLANs (Virtual Local Area Network)
- NAT (Network Address Translation)
- Tunneling
DE-MILITARISED ZONE (DMZ)
De-Militarised Zone(DMZ) merupakan mekanisme untuk
melindungi sistem internal dari serangan hacker atau pihak-pihak lain yang
ingin memasuki sistem tanpa mempunyai hak akses. Sehingga karena DMZ dapat
diakses oleh pengguna yang tidak mempunyai hak, maka DMZ tidak mengandung rule.
Secara esensial, DMZ melakukan perpindahan semua layanan
suatu jaringan ke jaringan lain yang berbeda. DMZ terdiri dari semua port
terbuka, yang dapat dilihat oleh pihak luar. Sehingga jika hacker menyerang dan
melakukan cracking pada server yang mempunyai DMZ, maka hacker tersebut hanya
dapat mengakses host yang berada pada DMZ, tidak pada jaringan internal
INTRANET
Intranet adalah sebuah jaringan privat (private network)
yang menggunakan protokol-protokol Internet (TCP/IP), untuk membagi informasi
rahasia perusahaan atau operasi dalam perusahaan tersebut kepada karyawannya
Untuk membangun sebuah intranet, maka sebuah jaringan haruslah memiliki
beberapa komponen yang membangun Internet, yakni protokol Internet (Protokol
TCP/IP, alamat IP, dan protokol lainnya), klien dan juga server
Umumnya, sebuah intranet dapat dipahami sebagai sebuah
"versi pribadi dari jaringan Internet", atau sebagai sebuah versi
dari Internet yang dimiliki oleh sebuah organisasi.
EXTRANET
Sebuah ekstranet adalah jaringan pribadi yang menggunakan
teknologi Internet dan sistem telekomunikasi publik untuk aman berbagi sebagian
informasi bisnis atau operasi dengan pemasok, vendor, mitra, pelanggan, atau bisnis
lainnya. Extranet dapat juga diartikan sebagai intranet sebuah perusahaan yang
dilebarkan bagi pengguna di luar perusahaan.
Extranet membutuhkan keamanan dan privasi. Ini dapat
termasuk firewall manajemen server, penerbitan dan penggunaan sertifikat
digital atau sarana serupa otentikasi pengguna, message encriptiondan
penggunaan jaringan privat virtual ( VPN ) yang tunneling melalui jaringan
publik.
VIRTUAL LOCAL AREA NETWORK
VLAN merupakan sebuah bagian kecil jaringan IP yang terpisah
secara logik. VLAN memungkinkan beberapa jaringan IP dan jaringan-jaringan
kecil (subnet) berada dalam jaringan switched yang sama.
Departemen yang memiliki data sensitive terpisah dari
jaringan yang ada, akan mengurangi peluang pelanggaran akses ke informasi
rahasia dan penting.
NETWORK ADDRESS TRANSLATION
NAT adalah suatu metode untuk menghubungkan lebih dari satu
komputer ke jaringan internet dengan menggunakan satu alamat IP. Banyaknya
penggunaan metode ini disebabkan karena ketersediaan alamat IP yang terbatas,
kebutuhan akan keamanan (security), dan kemudahan serta fleksibilitas dalam
administrasi jaringan.
NAT sendiri bertujuan untuk melakukan pemetaan interface
internal ke interface external artinya mentranslasikan IP address pribadi ke IP
address publik sehingga lalulintas data dapat diteruskan oleh router apabila
router tersebut mendukung dan menerapkan fasilitas NAT tersebut.
TUNNELING
Tunneling adalah teknik mengenkapsulasi seluruh paket data
dari format protokol yang lain. Dengan kata lain, paket data asli akan
ditambahkan header dari tunneling protokol tersebut. Hasil enkapsulasi tersebut
kemudian akan dikirim melalui infrastruktur jaringan menuju node tujuan.
Tunneling digunakan oleh organisasi untuk membuat jaringan
virtual pada internet dan pada jaringan public yang lain (seperti PSTN dll).
Dimana jaringan virtual ini tidak dapat diakses oleh dari pihak luar yang bukan
merupakan bagian intranet dari organisasi tersebut.
- Pengenalan Jaringan Komputer
Latar
Belakang
- Pada masa mainframe berkembang,
semua komputasi terpusat pada satu mesin besar yang di dalamnya
terkonfigurasi banyak prosesor dan memory yang besar dengan mekanisme
sharing memory dan sharing prosesor.
- Dari mainframe tersebut
terhubung beberapa terminal yang hanya berfungsi sebagai input dan output.
Tidak ada prosesing pada terminal tersebut. Ini yang disebut dumb terminal
- Sejalan dengan berkembangan teknologi chip, perkembangan komputer pun
berubah. Muncullah Personal Computer (PC) yang mampu melakukan operasi di
komputer itu sendiri tanpa membutuhkan komputer lain.
-
- Dari PC, selain aplikasi
desktop yang ada, kemudian berkembang kebutuhan untuk mengembangkan
berbagai aplikasi yang dapat menghubungkan para pemakai dari PC tersebut.
Pengertian
- Jaringan komputer adalah
sekumpulan komputer autonomous berjumlah banyak yang terpisah-pisah akan
tetapi saling berhubungan dalam melaksanakan tugasnya.
- Dua buah komputer dapat
dikatakan terinterkoneksi jika keduanya dapat saling bertukar informasi
Manfaat
Jaringan Komputer
- Resource sharing: Dapat Saling
bagi dan dapat bertukar data antar sistem
- Menghemat uang: Dapat saling
bagi pemakaian resources yang mahal
- Reliabilitas tinggi: dapat
memiliki sumber-sumber alternatif persediaan
- Skalabilitas, memiliki
kemampuan untuk meningkatkan kinerja sistem secara berangsur-angsur sesuai
dengan beban pekerjaan dengan hanya menambah sejumlah prosesor.
- Medium komunikasi, mampu
menjadi media komunikasi antar personal yang terlibat dalam satu sistem
yang menggunakan jaringan komputer
Klasifikasi Jaringan
Komputer
Menurut Andrew S. Tanembaum,
jaringan komputer diklasifikasikan dalam kelompok teknologi transmisi sebagai
berikut
1. jaringan broadcasting
memiliki
saluran komunikasi tunggal yang dipakai bersama-sama oleh semua mesin yang ada
pada jaringan.Pesan berukuran kecil, yang disebut paket, yang dikirim satu
mesin dan
diterima
mesin lainnya. Dalam tiap paket tersimpan beberapa informasi, antara lain
alamat
pengirim,
alamat yang dituju, ukuran dan pesan itu sendiri.
Beberapa
bentuk operasinya :
- unicasting, satu mesin mengirim paket yang
ditujukan pada satu mesin khusus, sedangkan mesin lain tidak akan
memproses paket tersebut, walaupun ikut ‘mendengar ’
- broadcasting, paket dialamatkan ke semua tujuan
dengan memberikan tanda khusus pada alamat yang dituju.
- multicasting, paket dialamatkan pada suatu subset
mesin.
2. jaringan point-to-point
terdiri dari beberapa koneksi pasangan individu dari
mesin-mesin.
Catatan : Sebagai pegangan umum, jaringan yang lebih kecil
dan terlokalisasi secara geografis cenderung
menggunakan broadcasting, sedangkan jaringan yang lebih besar umumnya
menggunakan point-to-point.
Local Area Network (LAN)
Jaringan milik pribadi di dalam sebuah gedung atau kampus yang berukuran
sampai beberapa kilometer. LAN dapat dibedakan dari jenis jaringan lainnya
berdasar tiga karakteristik : Media transmisi, protokol dan
topologi.
Contoh teknologi LAN : Ethernet (IEEE 802.3) dan Token Ring (IEEE 802.5)
Metropolitas Area Network (MAN)
- merupakan versi LAN yang lebih besar dan biasanya
memakai teknologi yang sama dengan LAN
- standardisasi IEEE 802.6, yang dikenal dengan
nama DQDB (Distributed Queue Dual Bus)
- MAN dioptimasikan untuk area geografis yang lebih
luas daripada LAN. MAN biasanya dimiliki dan dioperasikan oleh satu
organisasi sebagai fasilitas publik, namun digunakan oleh individu
atau organisasi lainnya.
- MAN memiliki tingkat error dan delay yang lebih
tinggi daripada LAN.
A
metropolitan area network based on cable TV
Wide Area
Network (WAN)
- WAN terdiri dari, selain media transmisi,
terdapat sejumlah switching node (router) yang saling terkoneksi
- Jika dalam komunikasi router A
ke router E melalui perantara router lain, maka paket akan diterima oleh
router perantara dalam keadaan lengkap, disimpan sampai saluran output
menjadi bebas, dan kemudian baru diteruskan.
- Subnet seperti ini menggunakan
prinsip point-to-point, store-andforward, atau packet-swicted.
- Kemungkinan WAN lainnya
menggunakan satelit atau sistem radio.
- Organisasi pendukung WAN yang
menggunakan Internet Protokol (IP) disebut Network Service Provide (NSP),
dan inilah inti Internet.
- Dengan menghubungkan WAN milik
NSP satu dengan yang lain menggunakan Internet Packet Interchanges (IPI),
suatu infrastruktur komunikasi global terbentuk.
Jaringan
Tanpa Kabel
- Dengan Wireless LAN seorang
pemakai yang mobile dapat terkoneksi ke LAN lewat koneksi tanpa kabel
(radio). Standard IEEE 802.11 (http://www.ieee802.org) digunakan oleh para
vendor untuk mengembangkan device untuk mendukung Wireless LAN ini.
- Standarisasi ini menjelaskan
dua cara modulasi untuk membangun komunikasi antar peralatan. Kedua metode
modulasi tersebut, yaitu Direct-sequence spread spectrum (DSSS) dan
frequency-hopping spread spectrum (FHSS), menggunakan teknologi FSK
(Frequencyshift keying) dan memiliki spread spectrum 2.4 GHz.
- Ada empat macam tipe jaringan
tanpa kabel, mulai dari murah dan lambat sampai dengan mahal dan cepat :
· Bluetooth
(http://www.bluetooth.com), adalah spefikasi industri komputasi dan telekomunikasi
yang menjelaskan bagaimana telepon bergerak, komputer dan personal digital
assistant (PDA) dapat dengan mudah terinterkoneksi satu dengan lainnya dan juga
dapat terinterkoneksi dengan telepon dan komputer dengan koneksi tanpa kabel.
Bluetooth membutuhkan chip tranceiver pada tiap peralatannya. Transceiver
mengirim dan menerima pada band frekuensi 2.45 GHz. Bluetooth menyediakan 3
saluran suara dan 1 saluran data. Setiap device memiliki alamat 48-bit sesuai
dengan standard IEEE 802. Maksimum jarak adalah 10 meter, dan memiliki
kecepatan pertukaran data 1 Mbps (bit per second).
·
IrDA
(Infrared Data Association) (http://www.irda.org/), adalah standard device
untuk berkomunikasi dengan lainnya menggunakan pulsa cahaya infrared. IrDA
mampu memberikan kecepatan transmisi data mencapai 4 Mbps dengan maksimum
ukuran data 2048 byte. IrDa ada kelemahan, yaitu kurang fleksibel, karena dua
device yang menggunakan IrDA harus memperhatikan arah pasangannya.
·
HomeRF
(SWAP) (http://www.homerf.com/), HomeRF (Home Radio Frequency) adalah jaringan
tanpa kabel untuk rumah/bisnis kecil standard yang dikembangkan oleh Proxim
Inc. yang menggabungkan antara Digital Enhanced Cordless
Telecommunications (DECT) standarisasi telepon portabel dengan 802.11b. HomeRF
menggunakan FHSS dengan kecepatan mencapai 1.6 Mbps dan menjangkau area 150 ft,
jadi sangat cocok untuk jaringan dalam suatu rumah. HomeRF dirancang untuk
dapat berada dalam satu lokasi dengan jaringan wireless lain dan
dapat bertahan dengan suatu interferensi (misal dari microwave).
·
WECA (Wi-Fi)
(http://www.weca.net/), merupakan standard yang dikembangkan untuk memenuhi
kebutuhan jaringan tanpa kabel dunia usaha yang areanya lebih luas dan
membutuhkan bandwidth yang lebih besar daripada HomeRF. Wi-Fi menerapkan
mekanisme DSSS dan dikatakan memenuhi standarisasi IEEE 802.11b. Wi-Fi
menyediakan bandwidth mencapai 11 Mbps. Setiap device yang kompatibel
dengan standard Wi-Fi diberikan suatu logo. Dengan menggunakan Wireless
LAN PCMCIA (Personal Computer Memory Card Industry Association)
memungkinkan sebuah laptop terhubung ke LAN dengan wireless LAN.
VPN (Virtual Private Network)
Adalah suatu
jaringan private yang menggunakan infrastruktur jaringan komunikasi public
dengan menggunakan tunneling protocol dan prosedur sekuriti.
- VPN saat ini banyak digunakan untuk diterapkan
pada jaringan extranetataupun intranet.
- VPN mendukung paling tidak 3 mode pemakaian :
- koneksi client untuk akses
jarak jauh
- LAN-to-LAN
internetworking
- Pengontrolan akses dalam suatu
intranet
- Oleh karena infrastruktur VPN menggunakan
infrastruktur telekomunikasi umum, maka dalam VPN harus menyediakan
beberapa komponen, antara lain :
- Konfigurasi, harus mendukung
skalabilitas platform yang digunakan, mulai dari konfigurasi untuk
kantor kecil sampai tingkat enterprise.
- Keamanan, antara lain dengan
tunneling (pembungkusan paketdata), enkripsi, autentikasi paket,
autentikasi pemakai dan kontrol akses
- Layanan-layanan VPN, antara
lain fungsi Quality of Services (QoS), layanan routing VPN yang
menggunakan BGP, OSPF dan EIGRP
- Peralatan, antara lain
Firewall, pendeteksi pengganggu, dan auditing keamanan
- Manajemen, untuk memonitor
jaringan VPN
Gambaran
Hubungan Jaringan Lokal dengan Jaringan Global (Internet)
Lapisan LAN
erdasar
pemrosesan data yang harus didukung dalam suatu organisasi, dapat
dikelompokkan perlengkapan LAN dalam 3 kategori :
- PC dan workstation, banyak
ditemukan pada departemental
- Server, digunakan dalam satu
departemen dan digunakan atau dishare oleh beberapa user
- Mainframe, untuk database dan
aplikasi yang komplek, mainframe tetap dibutuhkan.
Standarisasi
Jaringan
- Dalam industri bidang jaringan
komputer, terdapat banyak sekali vendor hardware maupun software yang
saling bersaing untuk mendapatkan pangsa pasarnya melalui
produk-produk yang ditawarkan.
- Kondisi ini menjadikan beberapa
produk atau teknologi yang dikeluarkan antara satu dengan lainnya
tidak dapat saling digabungkan atau tidak standard.
- Untuk itu perlu adanya suatu badan
atau organisasi yang melakukan standarisasi teknologi jaringan
komputer.
- Berikut beberapa organisasi
yang dapat kita ketahui berperan dalam hal standarisasi di dunia
telekomunikasi dan jaringan komputer.
A.
Organisasi Standarisasi untuk telekomunikasi
ITU
(International Telecommunication Union), berperan sebagai organisasi yang
menstandarisasi telepon. Dibentuk pada tahun 1865 oleh beberapa negara
Eropa, dimana pada saat itu berperan untuk standarisasi kode morse atau
telegraf.
ITU memiliki
3 layanan pokok :
- Radiocommunication sector
(ITU-R)
- Telecommunications
Standardization Sector (ITU-T). Dari tahun 1956 - 1993, ITU-T dikenal
dengan nama CCITT (Comite Consultatif International Telegraphique et
Telephonique). Salah satu yang sudah distandarisasi adalah X.25.
- Development Sector (ITU-D).
B.
Organisasi Standarisasi Internasional
- Berbagai standard internasional
dihasilkan oleh ISO (International Standards Organization), sebuah
organisasi yang dibentuk tahun 1946. Anggota dari organisasi ini
antara lain ANSI (US), BSI (Inggris), AFNOR (Peranci), DIN (Jerman),
dan masih banyak lainnya kurang lebih 85 anggota.
- Organisasi lain yang turut
bermain dalam standarisasi dunia adalah IEEE (Institute of Electrical
and Electronics Engineers). Sudah banyak standard yang dihasilkan,
antara lain IEEE 802 untuk teknologi LAN, dimana teknologi ini juga
di dukung dengan standarisasi IDO 8802.
C.
Organisasi Standarisasi untuk Internet
- Untuk standarisasi Internet,
memiliki mekanisme tersendiri yang berbeda dengan ITU-T ataupun ISO.
Mekanisme ini dibentuk pada awalnya dari sebuah komite informal yang
dibentuk oleh DoD setelah ARPANET terbentuk yang disebut dengan IAB
(Internet Activities Board).
- Pada komite inilah menampung
semua ide atau pemikiran yang secara terbuka didiskusikan. Para
anggota komite informal ini saling mempublikasikan technical report
yang disebut RFC (Request for Comments). RFC disimpan secara on-line,
sehingga siapapun dapat mengakses dan memberikan komentar. Setiap RFC
yang masuk diberikan suatu nomor urut.
- Pada tahun 1989, oleh karena
Internet terus bertumbuh, maka diperlukan suatu badan organisasi yang
formal, maka IAB direorganisasi kembali menjadi IRTF (Internet
Research Task Force) dan juga dengan IETF (Internet Engineering Task
Force).
4. Proses Pembangunan Keamanan Sistem
Pemilihan
Password
- Masalah dengan pemilihan userID
dan password sederhana
- Penyerangan dengan cara menebak
atau mengacak
- Pemilihan password dengan
passphrase
- Contoh : Aku bangga dengan
wajah kerenku!, Abdwk!, tujuangantigaya, 7angan3ya
- Pemberian umur password
- Menghindari cracking password
- Informasi password kadaluwarsa
- Password yang sudah pernah
dipakai tidak boleh dipakai laigi
SO dalam
Pengamanan Sistem
Setiap SO
mempunyai proses dan cara yang tersediri dalam pengamanan sistem. Windows
menggunakan Local security policy, Users and password, protect file and
directory, permission on windows, windows Update dll
Pengamanan Jaringan
- Update software (firmware
update)
- Konfigurasi device (pemasangan
password misalnya router dan switch)
- Pembatasan port-port yang
dibuka
- Pembatasan akses protocol
seperti SNMP
Port and
Service
- Memperhatikan port dan service
yang berjalan
- Melakukan peeriksaan secara
teratur untuk menjamin bahwa port dan service dibuka oleh yang berhak
- Memastikan port dan service yang
dibutuhkan yang dibuka
- Ada software “nmap” untuk
melihat service yang dibuka dan port yang dipakai
Traffic Filtering
- Software filtering digunakan
untuk pengamanan
- Membantu firewall dalam
memfilter traffic jaringan
- Cisco mengeluarkan Access
Control Lists(ACLs)
Hardening
Aplikasi
- Untuk melawan attacker lokal
dan attacker berbasis internet
- Prinsipnya sama dengan
pengamanan oleh SO
- Terus menerus mengupdate
software
- Masalahnya , sering aplikasi
ini digunakan sebagai jalan attacker untuk masuk jaringan
Server Web
- Didesain untuk menyediakan
konten dan remote user yang standard dari web browser
- Dapat mengirim surat, menjual
produk, menampilkan pesta perkawinan dll.
- Karena terkenal, dijadikan
target attacker
- Keamanan tidak semuanya
ditangani oleh provider
Microsoft
Information Server (IIS)
- Standard dari windows 2000
server dan advandnya
- Tahap satu , hapus file-file
sampel, contoh file iis sample di derectory C:\inetpub\IISsamples
- Tahap dua, Dalam IIS dapat
digunakan ACLs untuk menscan port
- Karena populer banyak yang
mengetahui kelemahan lama dan baru
Apache
- Dibuat oleh apache software
foundation
- Dikembangkan menjadi opensource
HTTP server untuk operating sistem windows dan unix
- Tahap satu pengamanan dalam
sistem operasi
- Tahap dua menjaga account
apache server, meminimalisasi akses software server
- Tahap tiga, hapus file-file
simple setelah install
Server Mail
- Penyerangan pada
reconnaissance, relaying dan buffer overflows
- Reconnaissance digunakan untuk
mengetahu nama dan alamat dari user
- Perintah yang digunakan vrfy
dan expn
- Vrfy untuk verifikasi alamat,
vrfy huda, maka akan keluar huda@dosen...
- Expn, menampilkan full list
dari email, misal, expn dosen.dinus
Server Mail
- Relay terjadi jika mail server
menangani pesan yang penerima dan pengirimnya bukan user local
- Pengamanannya kembangkan supaya
ada jaminan bahwa hanya user yang berhak yang dapat mengirim email keluar
- Buffer overflows yang terus
menerus membahayakan keamanan mail server
- Pada waktu bufer overflow, mail
server menunggu masukan, dan user menyediakan inputan ke server.
- Attacker akan menggunakan ini
untuk masuk dan mengkontrol akases sistem
5. Infrastruktur Publik Key
Pengantar
Menjamin Confidently, integrity, authentication dan nonrepudiation. Digunakan
untuk client emali, produk-produk jaringan privat, komponen2 web server dan
domain kontroler untuk authentifikasi user dalam jaringan dan akses sumber daya
komputer.
Dasar Infrastruktur Public key
PKI dibuat dari hardware, software, kebijakan, service, interface program,
algoritma kriptografi, protocol, user dan perlengkapan pendukung. Semuanya
menggunakan kriptografi public key dan symmetric keys untuk tanda tangan
digital, enkripsi data dan integrity pada waktu komunikasi
Konsep Public Key
Mendaftar Public Key
- Otoritas Pendaftaran dan Sertifikat oleh Departement
of Motor Vehicle (DMV)
- Yanti mendaftar, DMV akan meminta KTP, Pasport,
Akte Kelahiran dan identitas lainnya
- DMV akan menguji tentang Yanti
- DMV mengeluarkan sertifikat untuk yanti dan
digital sign (privat Key)
Certificate
Authorities
- Suatu badan yang berwenang untuk memberikan
validasi atau dokumen elektronik (sertifikat digital) pada public key
dalam suatu negara.
- Sertifikat digital adalah kartu kredit elektronik
(electronic credit card) yang menetapkan credentials (surat kepercayaan)
ketika melakukan bisnis atau transaksi lainnya di Web.
- Otoritas kepercayaan identitas individu dan
pembuatan dokumen elektronik secara individu siapa yang mengatakan
- CA tidak hanya software, CA terdiri dari
software, hardware, prosedur , kebijakan dan masyarakat yang mengembangkan
validasi identitas individu dan identitas umum dalam sebuah sertifikat
Registration Authorities
Komponen yang diperlukan untuk meminta sertifikat digital dan
langkah-langkah yang dibutuhkan dalam registrasi dan autentifikasi personal
peminta sertifikat
Autentifikasi tergantung dari jenis sertifikat yang diminta
Class 1 : untuk email
Class 2 : Pengesahan software
Class 3 : Used to set up a CA
- User melakukan registrasi
melalui Registration Authority (RA
- User dapat menentukan kode atau
nilai secara acak
- Sebuah algoritma menghasilkan
sepasang kunci publik / privat
- Kode – kode kunci
tersebut disimpan dalam penyimpanan key store
- Salinan public key dan
informasi identitas lainnya dikirim ke Certification Authorities (CA)
- Certification Authorities (CA)
menghasilkan sertifikat digital yang berisi kunci publik dan informasi
identitas lainnya
- Digital Certificate dikirim ke pengguna
Implementasi Publik Key Infrastructure
Proteksi Private Key
- Private key mestinya hanya diketahu oleh 1 orang
yang akses
- Ukuran key sesuaikan dengan kebutuhan level
proteksi
- Pertimbangkan frekuensi penggunaan dan
sensitifitas data yang diprotek
- Jangan Mengcopy private key
- Kalau perlu dirubah
- Jangan dishare dan simpan dengan aman
FUNGSI PUBLIC KEY INFRASTRUCTURE
- Mengautentikasi identitas.
Dengan sertifikasi digital yang dikeluarkan oleh PKI maka tiap pihak dapat
mengautentikasi pihak lawan dalam melakukan transaksi sehingga pihak dapat
meyakini bahwa pihak yang melakukan transaksi adalah pihak yang berhak.
- Verifikasi integritas dokumen.
Dengan adanya sertifikasi digital maka dokumen dapat diyakini tidak
mengalami perubahan selama pengiriman.
- Jaminan privasi. Dengan
protokol yang digunakan selama transmisi menggunakan sertifikat digital
maka jalur yang digunakan dalam transmisi dipastikan aman dan tidak dapat
diakses oleh pihak lain yang tidak berhak.
- Sertifikat digital dari PKI
dapat menggantikan peranan proses autentikasi user dalam sebuah sistem.
- Dengan menggunakan sertifikat
digital dari PKI maka suatu pihak dapat menentukan transaksi yang aman
dengan menggunakan validasi kunci publik.
- Dukungan anti penyangkalan.
Dengan adanya validasi pada sertifikat digital maka tidak mungkin untuk
melakukan penyangkalan pada suatu transaksi yang telah dilakukan.
MODEL PUBLIC KEY INFRASTRUCTURE
- Hierarchical model
- Cross certification model
(Peer-to-peer model)
- Hybrid model
Hierarchical model
Dalam hierarchical model, CA pusat yang ada pada PKI dibagi menjadi Subsub CA
yang lebih kecil. Pembagian CA menjadi sub-CA didasarkan pada bisnis yang
ditangani. Sehingga tiap sub-CA akan menangani pelanggan/pengguna yang berbeda
bisnisnya.
Karena pembagian CA menjadi sub- CA yang spesifik pada bisnis tertentu maka
model ini cocok digunakan untuk negara yang memiliki cukup banyak bisnis tipe
dan dan masing-masing bisnis telah berkembang.
Cross certification model (Peer-to-peer model)
Dalam cross certification model peran root CA dilakukan oleh masingmasing CA.
Sehingga root CA dapat dihilangkan. Proses di root CA digantikan dengan saling
memvalidasi sertifikat dari CA yang lain (shared trust). Struktur ini cocok
digunakan untuk negara yang mempunyai tipe bisnis yang banyak dan berkembang
dan masing-masing tipe bisnis sangat berbeda dengan load yang tinggi.
Untuk membangun suatu komunitas trust maka diperlukan suatu audit yang
memvalidasi dan meyakinkan pengimplementasian tetap berada pada kesepakatan
antar CA.
Hybrid model
Hybrid model merupakan penggabungan antara dua model sebelumnya. Masing-masing
sertifikat sub-CA dapat divalidasi oleh root atau divalidasi oleh sub-CA yang
lain sesuai dengan domain transaksi.
Model ini cocok diterapkan pada negara dengan tipe bisnis yang banyak dan
masing-masing bisnis saling terkait dengan bisnis yang lain. Pada bisnis yang
bersifat umum maka sertifikat dapat divalidasi oleh root tetapi pada bisnis
yang spesifik dan terganting dengan bisnis yang lain maka sertifikat dapat
divalidasi oleh sub-CA dengan tipe bisnis yang bersangkutan.
4. Tugas Manusia Dalam Keamanan
Manusia : Sebuah masalah pengamanan
Tidak ada kesulitan bagaimana mengembangkan teknologi pengamanan sistem
komputer Pada akhirnya pengamanan menjadi tersebar pada peralatan/perangkat
dimana manusia mungkin melakukan kesalahan pada waktu mengoperasionalkan
perangkat
Dumpter Diving
- Mencari Celah
- Teknik masuk
- Prediksi hasil
- Resiko
Memilih
Password
- Attacker mengetahui user
memakai nama user yang mudah diingat. Sebaiknya digabung antara pemakain
huruf kecil dan huruf besar, angka serta karakter spesial. Prosedur
penggantian password.
- Sebaiknya ditulis di media
elektronik as PIN
- Mengindari menulis di media
- Dilema password
-
Jenis
Pencuri Password
- Piggybacking : mengintip siapa
yang baru transaksi dengan kartu /PIN
- Shoulder surfing : prosedur
untuk menyerang posisi transaksi , mengamati user yang berhak, pada waktu
memasukkan kode dengan benar
Unauthorized
hardware and software
- Ada file yang sering installl
pada waktu download file
- Download game dari internet
- Menerima email
- Install Software Backdoor
Social Engineering
Teknik dimana attacker menggunakan berbagai praktek tipu daya untuk mendapat
informasi. Mereka seperti normal walau tanpa hak. Atau menyakinkan target untuk
melakukan sesuatu sesuatu yang normal
Reverse Social Engeenering
- Melalui kontak dengan target
- Menyakinkan untuk memulai
- Menggunakan teknik memancing
misalnya dengan email
Pendesain Keamanan
- Tim pendesain dari unsur
manusia
- Biasanya porsi yang paling
menentukan dalam Tim pembuatan masalah keamanan adalah pengalaman dari
praktisi kemanan
- Beberapa tahun ini intruder
komputer bergantung pada kekurang pengalaman user dalam memilih
password
- Mudah mengacak dan dapat masuk
ke sistem jaringan secara ilegal tapi kelihatan legal
- Attacker mengetahui bahwa user
sangat sibuk
- Susah untuk menghentikan
attacker untuk berpikir tentang keamanan
- Attacker berusaha
mengekploitasi karakteristik kerja dengan piggybacking atau shoulder
surfing
Masyarakat
Sebagai Alat Pengaman
- Manusia sering pembuat masalah dalam keamanan dan
merugikan pengaman
- Manusia juga merupakan ujung tombak bertahan dari
social engineering attack
- Salah satu cara yang efektif untuk melawan SEA
yaitu mengaktifkan program kesadaran pengamanan dan pelatihan
5. Operasional/Organisasi Keamanan
MODEL
KEAMANAN
Protection= prevention +(detection + response)
OPERASIONAL KEAMANAN
Policies : statement organisasi untuk menyelesaikan
Standard : Elemen yang harus dipatuhi dalam implementasi policy
Guidelines : Rekomendari yang berhubungan dengan policy
Procedure : Petunjuk Langkah demi langkah bagaimana implementasi policy dalam
organisasi
POLICY LIFE
CYCLE
1. Plan
- Merancang policy
- Merancang Standard
- Merancang Guidline
- Merancang prosedur
2.Implement
Menerapkan
semua aktifitas, software dan hardware disesuaikan dengan prosedur, standard,
guidline dan policy
3.Monitor
Memantau jalannya pengamanan,
efektif atau tidak ?, tahan serangan atau tidak, mudah dioperasionalkan atau
tidak
4. Evaluate
- Menilai serangan attacker yang
muncul
- Menilai pengaruh serangan
terhadap pertahanan
- Memperbaiki atau merubah model
pengamanan
PARAMETER KEAMANAN
Keamanan Pisik
- Kontrol Akses, ex. Kunci dengan
kartu
- Biometric
- Physical Barrier
Social Engineering
Proses untuk menyakinkan sebuah individu yang sah untuk menyediakan informasi
yang menyakinkan atau untuk akses individu yang tidak sah Social engineering
memberi manfaat dari apa yang terus menerus di dijalankan untuk
memperoleh kelemahan dari parameter pengamanan
Environment
Issu-issu lingkungan penting karena mereka dapat mempengaruhi keberadaan sistem
komputer atau jaringan komputer. Ventilasi, AC, power elektronik berhubungan
dengan kenyamanan. Masalah dengan tenaga elektronik dan panas adalah dua dari
banyak kondisi lingkungan yang akan dipertimbangkan
Wireless
Ada dua strandard Wireless yaitu Bluetooth dan IEEE 802.11. Jaringan wireless
punya banyak issu keamanan yang dimasukkan dalam transmisi dan cakupan
area layanan dengan akses point yang susah di kontrol dan dapat mempermudah
intruder masuk jaringan
Menyadap Elektromagnetik
Dengan perlengkapan yang tepat, image yang didisplay ke monitor dapat dire-created
dalam jarak yang sama dapat disadap untuk menampilkan apa yang dilakukan. Jarak
jauh diantara subsistem sistem harus diprotek dan ditutup area penyadap karena
dapat menjadi satu cara memprotek melawan penyadapan. Perlengkapan juga
dapat disembunyikan untuk dilindungi dengan di blok
Location
Perhatikan tempat perangkat yang dapat menyediakan keamanan untuk mengetahui
masalah keamanan yang ditunjuk oleh peralatan wireless. Dan perhatikan keluaran
elektronik
6. Konsep Keamanan Sistem Komputer
DASAR PENGAMANAN
- Information Security dan
Information assurance
- Fokus proses pengaman bukan
pada hardware dan software yang digunakan melainkan pada data yang
diproses.
- Menjamin ketersediaan system
dan informasi ketika dibutuhkan
“CIA”
Security
- Confidential : Memastikan hanya
individu yang berwenang (authority) dapat melihat.
- Integrity: Memastikan hanya
individu yang berwenang dapat merubah (create,delete,modify)
- Available: Memastikan
data / system ada (available) saat individu yang berwenang
mengakses.
Model Operasional
Kemanan
Protection=
prevention + (detection + response)
PRINSIP
KEAMANAN
- Host Security: Pengamanan Fokus
pada setiap Komputer & Device Individual
- Network Security: Pengamanan
Fokus pada pengaturan akses dari eksternal
- Ex: Firewall, IDS
PENDEKATAN DALAM PENGAMANAN
1. Least
Privilege
- Meminimalkan hak istimewa
(privilage) user se-minimal mungkin sesuai dengan keperluannya yang
spesifik.
- Menghindari aktivitas yang
dapat menyebabkan kerusakan data atau sistem.
- Subject (user, aplikasi,
proses).
- Pemberian hak sebagai backup,
user dll
- Pengaturan hak dapat berupa
hierarki
2. Layered
Security
- Pengamanan tidak hanya pada
sistem
- Kombinasi dari software,
hardware dan algoritma enkripsi
3.
Diversity of defense
·
Konsep
keamanan dengan membuat layer yang berbeda tipe.
·
Sebagian
layer untuk analis dan filtering akses ke internet, dan layer lain untuk
internal jaringan
Ex :
Firewall
Pertama untuk filtering trafik FTP,SNMP, Telnet tetapi membolehkan trafik
SMTP,SSH,HTTP & SSL. Firewall kedua tidak membolehkan trafik SSH & SSL
dari luar dan membolehkan traffik SMTP, HTTP dengan mengecek packet tersebut
bebas dari ancaman.
KONTROL AKSES
Akses: Kemampuan Subject untuk dapat berinteraksi dengan Object.
Kontrol
Akses: Devices dan Methode digunakan untuk membatasi subject dalam berinteraksi
(access) dengan Object tertentu.
1. Role
Based Access Control
Hak akses
untuk melakukan operasi tertentu ditugaskan untuk peran tertentu. Anggota staf
(atau pengguna sistem lain) ditugaskan dalam peran-peran tertentu, dan melalui
peran tugas mereka memperoleh izin untuk melakukan fungsi sistem tertentu.
Aturan utama RBAC:
- Role assignment: Sebuah subjek
mendapatkan izin (permission) hanya jika peran subjek telah dipilih atau
ditetapkan.
- Role authorization: Dengan
aturan 1 di atas, peraturan ini memastikan bahwa pengguna dapat
mengambil peran hanya untuk mereka yang berwenang (authorize).
- Permission authorization:
Dengan aturan 1 dan 2, peraturan ini memastikan bahwa pengguna
mendapatkan izin (permission) hanya untuk yang mereka berwenang
(authorize).
2. Discretionary Access Control
|
Process 1
|
Process 2
|
File I
|
File 2
|
File 3
|
Process 1
|
Read, write, execute
|
|
Read, write
|
Read
|
Write
|
Process 2
|
Execute
|
Read, Write, Execute
|
Read write
|
Read, Write
|
Write
|
3. Mandatory Access Control
Mengklasifikasi
dokumen dalam kelas tertentu
Di Militer :
Secret dan Top Secret
AUTENTIKASI
1. Kerberos
Protokol
Kerberos memiliki tiga subprotokol:
- Authentication Service (AS)
Exchange: yang digunakan oleh Key Distribution Center (KDC)
untuk menyediakan Ticket-Granting Ticket (TGT) kepada
klien dan membuat kunci sesi logon.
- Ticket-Granting Service (TGS)
Exchange: yang digunakan oleh KDC untuk mendistribusikan kunci sesi
layanan dan tiket yang diasosiasikan dengannya.
- Client/Server (CS) Exchange:
yang digunakan oleh klien untuk mengirimkan sebuah tiket sebagai
pendaftaran kepada sebuah layanan.
2. CHAP
Digunakan
untuk authentikasi dalam Point to Point koneksi yang menggunakan Point to Point
Protokol (PPP). Didesain untuk menyediakan authentikasi secara periodik
melalui penggunaan challenge / response system biasa di kenal 3 way handshake
- Server ? mengirimkan challenge ( random number)
ke Client (requestor)
- Cleint (requestor)? merespon dengan mengirimkan
Value menggunakan fungsi hash satu arah
- Server melakukan kalkulasi jika sama (match)
authentikasi diterima, jika tidak diakhiri
3. Token
Hadrware
device yang digunakan untuk mengirimkan Chalange ( random number )/Respond
dalam authentikasi software
Ex :
Penggunaan Token untuk transaksi Online Bank
4.
Multifactor
Penggunaan
authentikasi lebih dari satu mekanisma otentikasi pada waktu yang sama.
Ex: Kartu
ATM.
MODEL-MODEL
KEAMANAN
Model
kemanan adalah skema untuk menentukan dan menegakkan kebijakan keamanan
(Security Policies).
Terdapat dua
dasar kategori Model Keamanan:
- Berdasarkan pada Confidentiality
- Berdasarkan pada Integrity
1.
Confidentiality Models (Bell-LaPadula Security Models)
Hierarchical
security yang memiliki level Classification:
- Militer : Unclassified, Confidential, Secret dan
top Secret
- Industri : Publicly releasable, proprietary and
company confidential
2. Biba
Security Models
- Integrity based model.
- Gabungan dari low-Water-Mark
policy dan Ring Policy
- low-Water-Mark : ( jaminan yang
mengeksekusi program berhak dan diberikan ke individu yang berhak )
- Ring Policy : Subjek dapat
membaca objek tanpa mematuhi level integrity dan tanpa level
integriti subjek
- No Read down dan no Write Up
3. Clark
Wilson Security Models
- Integrity based model.
- Di desain untuk membatasi proses hanya pada individu
yang memerlukan data kritis,
- Untuk memodifikasi data perlu proses
transformasi yang spesifik
7. Pengantar Keamanan Sistem Komputer,
Jenis Gangguan dan Pengamanannya
Masalah Pengamanan
- Pemakai Computer Network terus meningkat
- Anak-anak sudah dapat mengoperasionalkan
komputer/ Internet
- Transaksi jual beli, perbankan lewat jaringan
komputer
- Muncul attacker yang mencari keuntungan
Tragedi Cyber crime
- Berbelanja dibayar dengan
kartu kredit orang lain (SM)
- Pencurian identitas nasabah
bank dari internet
- Perusakan sistem yang akses
aplikasinya menggunakan internet
Macam Gangguan Kemanan
- Worm dan virus
- Intruder
- Insider
- Terroris dan warfare informasi
- Organisasi Kriminal
INTRUDER
Karakteristik Intruder
- The curious : mencari tahu
- The Malicious : Mengganggu sistem
- The high Profile Intruder : Ketenaran/pengakuan
- The Competition : Mengambil keuntungan (data)
- The borrowers : Memakai ID kita
- The Leap frogger : Untuk meloncat ke sistem lain
Sifat Intruder
- Pasif : Membaca
- Aktif : Mengubah
Jenis Intruder
- Unstructured Threat : Mencoba
- Script Kiddies : Mencari kelemahan
- Elite Hacker : Mengetahui new vulnerability
Keamanan Komputer
- Kemanan eksternal : penyusup dan bencana
- Keamanan interface pemakai : identifikasi pemakai
- Kemanan internal: Hardware dan OS untuk
menjaga data dan sistem
Dasar Keamanan Sistem Komputer
- Pengamanan Fisik : Mudah diawasi
- Pengamanan Akses : Otoritas
- Pengamanan Data : Pemasangan Password
- Pengamanan Jaringan : Pembatasan IP, MAC
Tipe Ancaman Keamanan
- Interruption(rusak)-> availability
- Interception-> secrecy
- Modification-> integrity
- Fabrication (memalsu)-> integrity
Prinsip Pengamanan Sistem
- Otentifikasi Pemakai
- Identifikasi fisik -> memeriksa yang dimiliki
- Pembatasan hak akses
Modus Attacker
- Target Spesial
- Ex. Masalah politik, target
organisasi, perdagangan (web)
- Target Oportunis
- Mencari kelemahan dan
mengekploitasi.
- Ex: penyalah gunaan credit
card
Langkah-langkah Menyerang
- Menentukan target yang terdia dan aktif dengan
Ping Sweep dilanjutkan Port Scan
- Actual on the target (cek OS dan service yang
tersedia). Berimprovisasi menembus penguncian sistem
Minimalisasi Celah Kemanan
- Menyeimbangkan kenyamanan pemakaian dengan
proteksi keamanan
- Membangun sistem pengamanan sesuai dengan porsi
sistem aplikasi yang dilindungi
Teknik Mengamankan Data dan
Informasi
- Practical Policies
- Mengimplementasikan kontrol akses pada karyawan
- Instalasi Firewall
- Menjaga software up to date
- Menutup service yang tidak diperlukan
- Melakukan pemeriksanaan fisik
