(TK-3193) KEAMANAN JARINGAN

Presentasi berjudul: "(TK-3193) KEAMANAN JARINGAN"— Transcript presentasi:

1 (TK-3193) KEAMANAN JARINGAN www.cloudcomputingchina.com

2 Peraturan Perkuliahan (Lanjutan)
Tugas terdiri dari tugas kelompok dan individu Penilaian : Tugas 40% + 10% Assessment 60% Tugas Opsional * Ketua Kelas : DIMAS MOCHAMAD PRAYOGO ( ) Komunikasi dapat dilakukan melalui milis : Assessment & Remedial: Hanya untuk yang mendapat nilai lebih rendah dari C . Nilai Maksimum adalah C. Dilakukan pada akhir semester

3 Silabus Teknik Penyerangan Teknik Pengamanan
OSI Layer, konsep keamanan jaringan, teknik penyerangan, … Teknik Pengamanan Otentikasi & kriptografi, firewall/iptables, vpn dan IDS Pengelolaan Resiko Keamanan, beserta aspek Hukum/Legalitas

4 KAJIAN 1 ( TEKNIK PENYERANGAN)

5 Pokok Bahasan Meninjau Ulang OSI Layer dan Topologi Jaringan
Pokok Bahasan Meninjau Ulang OSI Layer dan Topologi Jaringan Istilah pada keamanan jaringan Keamanan pada layer OSI Persiapan Praktikum Virtual Machine, setting Linux OS Instalasi Nmap Instalasi Wireshark Instalasi Cain & Abel

6 OSI LAYER

7 OSI Layer Sistem Sistem B A Application Application Presentation
Session Session Transport Transport Network Network Data Link Data Link Physical Physical

8 Layer 1 - Physical Berkaitan dengan aliran bit data ( dalam bentuk electrical impulse, cahaya, sinyal radio) melalui jaringan pada tingkatan elektrik/mekanik. Menyediakan perangkat keras terkait, seperti kabel, kartu jaringan, dan aspek fisik lainnya. Fast Ethernet, RS232, ATM, Serat Optik, dll

9 Layer 2 - Datalink Data dikodekan ke dalam bit dan menyediakan protokol dasar, flow control, sinkronisasi frame dan mengelola error pada layer physical. Terdiri atas sub layers Media Access Control (MAC) dan Logical Link Control (LLC) MAC memberikan tata cara akses data dan pengiriman/transmisi; LLC mengatur sinkronisasi frame, flow control dan pemeriksaan kesalahan.

10 Layer 3 - Network Menyediakan teknologi switching dan routing, membuat jalur logik/virtual circuit, untuk mengirimkan data dari simpul ke simpul. Addressing, error handling, congertion control dan packet sequencing

11 Layer 4 - Transport Menyediakan dan memastikan pertukaran data transparent antara host pada system; serta bertanggung jawab proses perbaikan/koreksi kesalahan dan flow control.

12 Layer 5 - Session Memulai, mengelola dan memutuskan koneksi antara aplikasi . Berupa session dan koordinasi koneksi.

13 Layer 6 - Presentation Melakukan proses translasi data, baik berupa format data atau representasi lainnya., sehingga menyediakan data yang bebas dari masalah kompatibilitas.

14 Layer 7 - Application Merupakan lapisan pendukung aplikasi yang memuat end-user processes. Dilakukan identifikasi peserta, otentifikasi user, kualitas layanan, privasi , dll. Berkaitan dengan arsitektir aplikasi yang bertingkat. Misal: SMTP, http, ssh, dll

15 ISTILAH DAN KONSEP KEAMANAN INFORMASI

16 KLASIFIKASI KEAMANAN (David Icove)
Fisik (physical security) Manusia (people / personel security) Data, media, teknik komunikasi Kebijakan dan prosedur (policy and procedures)

17 Elemen Dasar Keamanan Network security Application security
fokus kepada saluran (media) pembawa informasi Application security fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah database Computer security fokus kepada keamanan dari komputer (end system), termasuk operating system (OS)

18 Thread, Vulnerability, Attack
Threat (Ancaman) : Sebuah kejadian yang dapat menghasilkan bahaya terhadap obyek/data/sumber daya. Vulnerability (Kelemahan atau Celah) : Kekurangan dari sistem atau sumberdaya yang jika dieksploitasi akan menyebabkan ancaman menjadi kenyataan. Attack (Serangan) : Proses ekploitas dari kelemahan atau celah keamanan

19 Pemahaman Istilah Jika dicontohkan pada aplikasi web:
Threat: hilangnya kemampuan server aplikasi untuk memproses permintaan dari user yang berhak. vulnerability: server menjalankan versi software yang dikenal memiliki kelemahan yang jika dieksploitasi dapat menjadi sebuah buffer oveflow attack. Attack: kejadian dimana para cracker/hacker benar-benar melakukan exploitasi atas vulnerability tersebut sehingga menyebabkan server menjadi mati atau tidak dapat melayani.

20 Sumber Vulnerability Implementasi
Cacat pada protokol dan perangkat lunak, implementasi rancangan software yang tidak tepat, pengujian perangkat lunak yang tidak bagus, dll Konfigurasi Terdapat bagian yang tidak dikonfigurasi dengan tepat, penggunaan konfigurasi default, dll Desain Desain keamanan yang tidak efektif atau tidak memadai, tidak ada/kurang tepat-nya implementasi mekanisme redundansi, dll

21 Peta Konsep Merancang Keamanan
ASPEK, PRINSIP DAN KONSEP KEAMANAN PERENCANAAN, KEBIJAKSANAAN & PROSEDUR KEAMANAN TINGKAT KEAMANAN & KENYAMANAN

22 ASPEK, PRINSIP DAN FAKTOR PENTING KEAMANAN

23 Aspek keamanan Confidentiality Integrity Availability Authenticity
Non-repudiation Authentication Access Control Accessability dll

24 Segitiga CIA ( Confidentiality, Integrity dan Availability)
Merupakan aspek-aspek keamanan informasi yang sering dijadikan tolak ukur keamanan Menurut FIPS (Federal Information Processing Standards), tingkatan keamanan informasi dapat diperlihatkan oleh ketiga aspek tersebut dengan bobot yang berbeda (low, moderate, high). Ref:

25 Confidentiality Mencegah terbukanya informasi penting kepada pihak yang tidak berkepentingan/tidak berwenang. Data yang bersifat confidential : data pribadi (no telp, tempat tanggal lahir,dll) atau bisnis (gaji, transaksi keuangan, kontrak, dll). Sangat sensitif dalam e-commerce dan healthcare Jenis serangan terkait : penyadapan (teknis dengan sniffer / logger, man in the middle attack; non-teknis dengan social engineering) Proteksi : dilakukan dengan enkripsi, penyembunyian informasi, dll Electronic Privacy Information Center Electronic Frontier Foundartion

26 Integrity Informasi tidak boleh berubah (tampered, altered, modified) oleh pihak yang tidak berhak atau tanpa diketahui. Jenis serangan terkait : Pengubahan data oleh orang yang tidak berhak, spoofing, Virus yang mengubah berkas Proteksi : CRC, Message Authentication Code (MAC), digital signature / certificate, hash functions, logging, dll

27 Availability Informasi harus tersedia ketika dibutuhkan
Jenis serangan terkait : Semua yang bersifat meniadakan layanan (Denial of Service,dll) Proteksi : Backup, redundancy, IDS, DRC, BCP, firewall,dll

28 Aspek Lainnya Non-repudiation Authentication Access Control
Accessability

29 Non-repudiation Tidak dapat menyangkal (telah melakukan transaksi)
Menggunakan digital signature Logging

30 Authentication Meyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan. Parameter yang digunakan: what you have (identity card) what you know (password, PIN) what you are (biometric identity) Jenis serangan terkait : identitas palsu, terminal palsu, situs gadungan, social engineering, dll

31 Access Control Mekanisme untuk mengatur siapa boleh melakukan apa
Membutuhkan klasifikasi data: public, private, confidential, (top)secret Akses berdasarkan role

32 Accountability Dapat dipertanggung-jawabkan, Melalui mekanisme logging dan audit, Adanya kebijakan dan prosedur (policy & procedures)

33 Pertanyaan?

34 Prinsip keamanan Principle of least privilege
Prinsip keamanan untuk merancang mekanisme keamanan yang efektif,a.l: Principle of least privilege Meminimalkan trusted components Tak ada yang sempurna

35 Pertimbangan Perancangan/Perencanaan Keamanan Jaringan (Network Security)
Perencanaan yang baik/matang Kebijakan dan Prosedur yang tepat/relevan Pertimbangan Implementasi (tingkat keaman yang ingin dicapai, masalah praktis, dll)

36 Langkah Pengembangan Keamanan Jaringan
Mengevaluasi Desain Jaringan Menentukan langkah preventif & kuratif - Implementasi Firewall - Implementasi Intrusion Detection System (IDS) - Pemasangan Anti virus Implementasi Network Management Desain dan Implementasi Backup System & Dissaster Recovery

37 PERENCANAAN, KEBIJAKSANAAN & PROSEDUR KEAMANAN

38 Dasar Penentuan Kebijakan
What ? Who ? Why ? How ?

39 Kebijakan dan Prosedur Keamanan (Security Policies and Procedures)
merupakan komponen perantara antara sistem keamanan dengan manusia pengguna sistem informasi tersebut. 2. sejalan dengan asas atau kebijakan yang mengatur semua aktivitas. 3. harus ada dan dimengerti oleh semua pengguna dan pengelola sistem informasi

40 KEAMANAN PADA LAYER OSI

41 Layer 2 Security Serangan: ARP spoofing dan MAC flooding. MAC Flooding
Perangkat malicious terhubung dengan switch Kemudian mengirimkan multiple gratuitous ARPs yang sangat banyak sehingga switch penuh ( flood) Switch menolak setiap usaha koneksi dari perangkat yang baru sehingga switch berubah menjadi seperti hub

42 Switch Vulnerability switch 1 2 3 4 9999 Device MAC address 1
00:0e:81:10:19:FC 2 4 00:0e:81:32:96:af 3 4 4 00:0e:81:32:96:b0 4 4 4 00:0e:81:32:96:b1 … … 9999 4 00:0e:81:32:97:a4 switch

43 Before ARP Spoofing switch Attacker IP 192.168.0.20
MAC 00:0e:81:10:17:d1 IP address MAC address Attacker IP MAC 00:1f:42:12:04:72 00:0e:81:10:19:FC 00:1f:42:12:04:72 IP MAC 00:0e:81:10:19:FC switch IP address MAC address 00:0e:81:10:17:d1 00:1f:42:12:04:72

44 After ARP Spoofing switch Attacker IP 192.168.0.20
MAC 00:0e:81:10:17:d1 IP address MAC address Attacker IP MAC 00:1f:42:12:04:72 00:1f:42:12:04:72 00:1f:42:12:04:72 IP MAC 00:0e:81:10:19:FC switch (1) Gratuitous ARP is at 00:1f:42:12:04:72 IP address MAC address 00:1f:42:12:04:72 (2) Gratuitous ARP is at 00:1f:42:12:04:72 00:1f:42:12:04:72

45 Pengaruh ARP Spoofing Attacker’s relay index switch IP datagram
Dest: MAC: 00:1f:42:12:04:72 IP MAC 00:0e:81:10:17:d1 IP address MAC address Attacker IP MAC 00:1f:42:12:04:72 00:1f:42:12:04:72 00:1f:42:12:04:72 IP MAC 00:0e:81:10:19:FC switch Attacker’s relay index IP address MAC address IP address MAC address 00:1f:42:12:04:72 00:0e:81:10:19:FC 00:1f:42:12:04:72 00:0e:81:10:17:d1

46 Langkah Pengamanan Layer 2
Mengamankan switch secara fisik Mencegah ancaman illegitimate use. Menghindari flooded Memantau pemetaan MAC ke IP address. Membangkitkan peringatan ke network admin.

47 Layer 3 Security Keamananan dengan updating tabel ruting Penyerang merusak (corrupt) tabel ruting pada router dengan mengirimkan update yang salah Penyerang dapat me-rekonfigurasi atau mengambil alih pengendalian router dan mengubah tingkah laku router Denial of Service threat.

48 Ilustrasi DDoS

49 Serangan yang dapat terjadi : Denial of Service (DoS) Attacks
Layer 4 /5 Security Serangan yang dapat terjadi : Denial of Service (DoS) Attacks Langkah pengamanan : VPN Layer 7 Serangan berupa : pencurian data Langkah pengamanan : - SSH dan SSL - bentuk topologi

50 PERSIAPAN PRAKTIKUM

51 Instalasi Vitualisasi
VMware Virtual Box

52 Instalasi OS Backtrack: Distribusi Linux untuk Penetration Testing
Linux Ubuntu LTS Windows XP

53 Instalasi Tools Nmap : Scanning dan Fingerprinting http://www.nmap.org
Wireshark : Scanning dan Fingerprinting Cain & Abel : Password recovery tool. Versi baru memiliki lebih banyak fitur, seperti: APR (Arp Poison Routing).

54 Cain & Abel Password recovery tool
Versi baru memiliki lebih banyak fitur, seperti: APR (Arp Poison Routing), dll; Detil dapat dilihat pada halaman web

55 Pertanyaan?

56 Tugas 2 Instalasi: Install Mesin Virtual ( Virtual Box, Vmware, dll) Install VM 1 : backtrack Install VM 2 : linux Install VM 3 : windows 98/XP Install Wireshark (windows) dan nmap (linux) Install Cain and Abel Buat Laporan dengan screenshot (ada nama dan NIM masing-masing) dikumpulkan online ( paling lambat jum’at malam jam 23:59) melalui milis dan sisfo! ( Jika milis belum aktif, dapat ke : dengan subject TK3193-NE1004-T2 : NIM – Nama )