Keamanan jaringan kuliah 3

Slides:



Advertisements
Presentasi serupa
D1A.731 Keamanan Komputer dan Jaringan {3 SKS} #2
Advertisements

Network Security Toyibatu Lailiya( ) Nurdiah Okvitasari( ) Okie Maria A.( ) Umy Fatmawati( )
E-C OMMERCE Lasmedi Afuan, ST.M.Cs. O UTLINE Electronic Commerce Contoh kasus masalah keamanan Dasar-dasar keamanan Upaya untuk meningkatkan keamanan.
Pendahuluan.
(TK-3193) KEAMANAN JARINGAN 3 SKS: 2 x 2 jam
Tristyanti Yusnitasari
Praktek-praktek kode etik dalam penggunaan teknologi informasi Etika dan Profesionalisme TSI.
Database Security BY NUR HIDAYA BUKHARI
PENINGKATAN KEJAHATAN KOMPUTER
Computer & Network Security : Information security
Pengenalan Keamanan Jaringan
Pengantar Keamanan Komputer
Pengantar Keamanan Sistem Komputer & Jaringan Komputer
Pengantar Keamanan Sistem Komputer & Jaringan Komputer
PENGANTAR KEAMANAN KOMPUTER.
KEAMANAN BASISDATA.
Lectronic commerce Sistem Keamanan & Pembayaran di
PENGENALAN KEAMANAN KOMPUTER
Keamanan Komputer Pertemuan 1.
Keamanan Komputer Pengantar -Aurelio Rahmadian-.
Sekilas kriminal teknologi informasi
KEAMANAN dan KERAHASIAAN DATA
Penjelasan GBPP dan SAP Peraturan Perkuliahan
Keamanan dan Kerahasiaan Data
Keamanan Komputer.
KEAMANAN & KERAHASIAAN DATA.
Keamanan dan Kerahasiaan Data Klasifikasi Kejahatan Komputer Aspek Dari Security Serangan Terhadap Keamanan Sistem Mendeteksi serangan Mencegah serangan.
Keamanan sistem informasi
Pengantar Keamanan Jaringan
Pengantar Keamanan Komputer
Keamanan Komputer.
Database Security BY NUR HIDAYA BUKHARI
Database Security BY Andy Dharmalau STMIK SWADHARMA Jakarta Kota 2016.
PROTEKSI ASET INFORMASI
Keamanan Sistem Informasi.
KEAMANAN SISTEM INFORMASI
Pengantar Keamanan Sistem Komputer
Kemanan Sistem Informasi
Keamanan Jaringan Komputer & Kejahatan Internet
Sistem Keamanan Komputer Pada Perusahaan Online
KEAMANAN dan KERAHASIAAN DATA
e-security: keamanan teknologi informasi
Pertemuan I Indrawan/KK-06.
Ilmu dan Seni Keamanan Informasi
MATA KULIAH SISTEM KEAMANAN PENDAHULUAN
Introduction Security of Networking
Pengantar TI 2015/2016 KEAMANAN KOMPUTER.
Keamanan Sistem Informasi
Pengantar Keamanan Sistem Komputer
Dewi Anggraini P. Hapsari
Internet dan Infrastruktur
Konsep Keamanan Jaringan dan Kejahatan Internet
Pengantar Keamanan Sistem Komputer & Jaringan Komputer
PENGANTAR KEAMANAN KOMPUTER
Sistem informasi dan keamanan jaringa
Pengantar keamanan sistem II
Pengenalan Keamanan Jaringan
Network Security Essential
Keamanan Komputer Komponen Keamanan Komputer X.800 Standar OSI
MODUL KEAMANAN KOMPUTER
PENINGKATAN KEJAHATAN KOMPUTER
Keamanan Komputer.
UNBAJA (Universitas Banten Jaya)
Pertemuan 1 KEAMANAN KOMPUTER.
Bina Sarana Informatika
SISTEM PENGAMANAN KOMPUTER
Tri rahajoeningroem, MT Jurusan Manajemen Informatika UNIKOM
KEAMANAN JARINGAN KOMPUTER
Aspek-Aspek Keamanan.
KEAMANAN dan KERAHASIAAN DATA
Transcript presentasi:

Keamanan jaringan kuliah 3 Pengenalan Keamanan Jaringan Amirullah

Tujuan Mata Kuliah Mahasiswa memahami berbagai teknik penyerangan dan pengamanan Jaringan Komputer Keamanan Jaringan meliputi kerahasiaan, integritas, dan availability

Materi Perkuliahan Pengenalan dan Teknik Penyerangan Pengenalan Keamanan jaringan Komputer Pengenalan teknik Penyerangan Scanning Sniffing Teknik pertahanan Otentikasi & Cryptography (SSL/TLS) Firewall (IPTable) VPN - openvpn, swan IDS - snort Risk Management dan Cyberlaw

Requirement Virtualbox / Vmware Nmap Wireshark Cain & Abel Ubuntu Server Backtrack

Spesifikasi tugas Tugas Mandiri Tugas Kelompok

Aturan Main Perkuliahan Tugas 40% Assessment 60% HP (silent)

Perkembangan Peradaban Selalu ada potensi gangguan terhadap keamanan, dengan cara atau teknik yang berkembang sesuai jaman.

Lack of Security Awarenes (Rendahnya Kesadaran akan Keamanan) Menurut Survey Information Week (USA) : dari 1271 manajer sistem / jaringan, hanya 22% saja yang menganggap keamanan sistem informasi sebagai komponen penting. Diperlukan justifikasi pentingnya investasi infrastruktur keamanan dengan dukungan pihak manajemen

Lack of Security Awarenes Manajemen : “Yang penting nyambung dulu (online), keamanan belakangan” “Sekarang belum ada masalah!” “Balik modalnya (ROI) kapan ?” Praktisi: “Pinjam password root / admin, dong” Masalah keamanan

Catatan Kejadian Terkait Keamanan – Internasional 1 1996, FBI National Computer Crime Squad : kejahatan komputer yang terdeteksi kurang dari 15%, dan hanya 10% dari angka itu yang dilaporkan. 1996, American Bar Association: dari 1000 perusahaan, 48% telah mengalami computer fraud (penipuan) dalam kurun 5 tahun terakhir. 1996, NCC Information Security Breaches Survey, Inggris : kejahatan komputer naik 200% dari 1995 ke 1996. 1997, FBI: kasus persidangan yang berhubungan dengan kejahatan komputer naik 950% dari tahun 1996 ke 1997, dan yang convicted (dihukum) di pengadilan naik 88%.

Catatan Kejadian Terkait Keamanan – Internasional 2 1988 : eksploitasi Sendmail oleh R.T. Morris yang menyebabkan lumpuhnya Internet. Kerugian diperkirakan mencapai $100 juta. Morris dihukum denda $10.000. 10 Maret 1997, seorang hacker dari Massachusetts berhasil mematikan sistem telekomunikasi sebuah bandara lokal (Worcester, Mass.) sehingga memutuskan komunikasi menara kendali dan mempersulit pesawat yang akan mendarat 7-9 Februari 2000, terjadi Distributed Denial of Service (Ddos) attack terhadap Yahoo, eBay, CNN, Amazon, ZDNet, E-Trade. Diduga menggunakan program Trinoo, TFN.

Catatan Lainnya Jumlah kelemahan (vulnerabilities) sistem informasi yang dilaporkan ke Bugtraq meningkat empat kali (quadruple) semenjak tahun 1998 sd tahun 2000. Dari 20 laporan per bulan menjadi 80 laporan per bulan. 1999, Common Vulnerabilities and Exposure cve.mitre.org mempublikasikan lebih dari 1000 kelemahan sistem. CVE terdiri dari 20 entitas keamanan. 2000, Ernst & Young Survey menunjukkan bahwa 66% responden menganggap security & privacy menghambat (inhibit) perkembangan e-commerce 2001, virus SirCam menyerang harddisk dan mengirimkan file-file ke pihak lain. File rahasia bisa tersebar. Worm Code Red menyerang sistem IIS, melakukan port scanning dan menyusup ke sistem IIS yang ditemukannya.

Faktor Dari Dalam (Musuh dalam selimut) 1999, Computer Security Institute (CSI) / FBI Computer Crime Survey menunjukkan statistik potensi gangguan dari “disgruntled worker” (orang dalam) http://www.gocsi.com Disgruntled workers 86% Independent hackers 74% US Competitors 53% Foreign corp 30% Foreign gov. 21%

Data KMPG “Tujuh-puluh sembilan persen eksekutif senior terjebak dalam kesalahan berfikir bahwa ancaman terbesar terhadap keamanan sistem berasal dari luar (eksternal)” “Walaupun kebanyakan responden sudah memikirkan tentang hacker, kurangnya atau bahkan tidak adanya implementasi security policy dan kurangnya kesadaran karyawan adalah ancaman terbesar bagi sistem online mereka”

Catatan Kejadian Terkait Keamanan – Indonesia 1 Januari 1999, domain Timor Timur (.tp) diacak-acak, diduga dilakukan oleh orang Indonesia September 2000, mulai banyak penipuan transaksi di ruangan lelang (auction) dengan tidak mengirimkan barang yang sudah disepakati 24 Oktober 2000, dua warnet di Bandung digrebeg karena menggunakan account dial-up curian Banyak situs web Indonesia (termasuk situs bank) yang diobok-obok (defaced, diubah tampilannya) Akhir tahun 2000, banyak pengguna warnet yang melakukan kejahatan “carding”. Menurut riset Clear Commerce Inc Texas – AS , Indonesia memiliki carder terbanyak kedua di dunia setelah Ukrania.

Catatan Kejadian Terkait Keamanan – Indonesia 2 Juni 2001, situs parodi “kilkbca.com” muncul, mencuri account user klikbca yang tidak cermat 3 April 2002,siang hari (jam 14:34 WIB) sistem BEJ macet sehingga transaksi tidak dapat dilakukan sampai tutup pasar (jam 16:00). Semula diduga karena ada transaksi besar (15 ribu saham TLKM dibeli oleh Meryll Lynch). Ternyata ada perangkat (switch) yang tidak berfungsi Oktober 2002, tampilan web BRI diubah (deface)

Deface

Catatan lain

Kompleksitas Keamanan Faktor kompleks dalam keamanan jaringan : Sharing : resource dipakai oleh banyak user yang dapat memunculkan ancaman Kompleksitas sistem (h/w dan s/w) : dalam hal konfigurasi, ragam perangkat Batasan yang tidak jelas : host pada suatu jaringan, bisa menjadi host dari jaringan lain Banyak titik rawan : data melalui banyak host. Kalau pun asal dan tujuan sudah dijamin aman, belum tentu host-host antara aman Anonymity : penyerang berlokasi jauh dari host target, tidak tersentuh oleh sistem Jalur yang ditempuh tidak diketahui : data dikirim melalui jalur (sejumlah host) yang berbeda

Pencapaian Keamanan Sangat sulit mencapai 100% aman keamanan vs. kenyamanan (security vs convenience) Semakin tidak aman, semakin nyaman

Peningkatan Kejahatan Peningkatan pemakaian internet, terutama untuk bisnis Internet mulai dibuka untuk publik tahun 1995 Situs Electronic commerce (e-commerce) meningkat Desentralisasi server. Lebih banyak server yang harus ditangani dan butuh lebih banyak SDM dan tersebar di berbagai lokasi. Sedikit SDM handal Server remote seringkali tidak terurus Serangan terhadap server remote lebih susah ditangani (berebut akses dan bandwidth dengan penyerang)

Peningkatan Kejahatan Transisi dari single vendor ke multi-vendor. Banyak jenis perangkat dari berbagai vendor yang harus dipelajari. Contoh: Router: Cisco, Bay Networks, Nortel, 3Com, Juniper, Linux-based router, … Server: Solaris, Windows NT/2000/XP, SCO UNIX, Linux, *BSD, AIX, HP-UX, … SDM sulit, butuh jumlah lebih banyak Pemakai makin mengerti teknologi dan kemudahan mendapatkan software. Terbuka luas kesempatan untuk mencoba sistem, download dari Internet (Script kiddies) Sistem administrator harus selangkah di depan. Meningkatnya kompleksitas sistem (teknis & bisnis) Program menjadi semakin besar. Megabytes. Gigabytes. Pola bisnis berubah: partners, alliance, inhouse development, outsource, … Potensi lubang keamanan juga semakin besar.

KESULITAN PENEGAKAN HUKUM Cyberlaw belum matang Tingkat awareness masih rendah Technical capability masih rendah

KLASIFIKASI KEAMANAN (David Icove) Fisik (physical security) Manusia (people / personel security) Biasnya terfokus pada masalah data, media, teknik komunikasi. Padahal kebijakan (policy) sangat penting ! Data, media, teknik komunikasi Kebijakan dan prosedur (policy and procedures)

CELAH KEAMANAN ISP Internet Users Web Site www.bank.co.id Celah : Network sniffed, attacked ISP Celah : System (OS) Network Applications (db) Internet Network sniffed, attacked Network sniffed, attacked Users Web Site Trojan horse Userid, Password, PIN, credit card # www.bank.co.id Applications (database,Web server) hacked OS hacked

ELEMEN DASAR KEAMANAN Network security Application security fokus kepada saluran (media) pembawa informasi Application security fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah database Computer security fokus kepada keamanan dari komputer (end system), termasuk operating system (OS)

ASPEK KEAMANAN Aspek utama keamanan ada 3 (CIA) : Confidentiality / Privacy Integrity Availability Aspek tambahan : Non-repudiation Authentication Access Control Accountability

CONFIDENTIALITY Kerahasiaan data pribadi. Data hanya boleh diakses oleh orang yang berwenang Data-data pribadi Data-data bisnis; daftar gaji, data nasabah / pelanggan Sangat sensitif dalam e-commerce dan healthcare Serangan: penyadapan (teknis dengan sniffer / logger, man in the middle attack; non-teknis dengan social engineering) Proteksi: enkripsi Electronic Privacy Information Center http://www.epic.org Electronic Frontier Foundartion http://www.eff.org

INTEGRITY Informasi tidak boleh berubah (tampered, altered, modified) oleh pihak yang tidak berhak Serangan Pengubahan data oleh orang yang tidak berhak, spoofing Virus yang mengubah berkas Proteksi: Message Authentication Code (MAC), digital signature / certificate, hash functions, logging

AVAILABILITY Informasi harus tersedia ketika dibutuhkan Serangan Meniadakan layanan (Denial of Service / DoS attack) atau menghambat layanan (server dibuat lambat) Proteksi Backup, redundancy, IDS, DRC, BCP, firewall

NON-REPUDIATION Tidak dapat menyangkal (telah melakukan transaksi) Menggunakan digital signature Logging

AUTHENTICATION Meyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan what you have (identity card) what you know (password, PIN) what you are (biometric identity) Serangan: identitas palsu, terminal palsu, situs gadungan

ACCESS-CONTROL Mekanisme untuk mengatur siapa boleh melakukan apa Membutuhkan klasifikasi data: public, private, confidential, (top)secret Akses berdasarkan role

ACCOUNTABILITY Dapat dipertanggung-jawabkan Melalui mekanisme logging dan audit Adanya kebijakan dan prosedur (policy & procedures)