KEAMANAN JARINGAN One_Z Keamana Komputer
Prinsip Keamanan Keamanan sangat kompleks – Terdiri dari banyak bagian atau komponen – Tiap komponen masih kompleks – Terdapat sangat banyak keahlian khusus dibidang keamanan – Tersedia sangat banyak standart – Jumlah dan jenis serangan terhadap keamanan bertambah sangat cepat
• Klasifikasi Keamanan menurut David Icove
Berdasarkan Elemen System : Network security difokuskan pada saluran (media) pembawa informasi atau jalur yang dilalui. Application security difokuskan pada aplikasinya sistem tersebut, termasuk database dan servicesnya. Computer security difokuskan pada keamanan dari komputer pengguna (end system) yang digunakan untuk mengakses aplikasi, termasuk operating system (OS)
Prinsip Keamanan Authentication Authorization atau Access Control Privacy / confidentiality Integrity Availability Nonrepudiation Auditing
Authentication Menyatakan bahwa data atau informasi yang digunakan atau diberikan oleh pengguna adalah benarbenar asli milik pengguna tersebut, demikian juga dengan server dan sistem informasi yang diakses, merupakan server atau sistem informasi yang dituju (Idealnya terjadi mutual otentikasi ) Serangan pada jaringan berupa DNS Corruption atau DNS Poison, terminal palsu (spooffing), situs aspal dan palsu, user dan password palsu. Countermeasure: Digital Signature atau Digital Certificate misalnya teknologi SSL/TLS untuk web dan mail server.
Authorization atau Access Control Pengaturan siapa dapat melakukan apa, atau akses dari mana menuju ke mana. Dapat menggunakan mekanisme user/password atau group/membership. Ada pembagian kelas atau tingkatan. Implementasi : pada “ACL” antar jaringan, pada “ACL” proxy server (mis. pembatasan bandwidth/delaypools).
Privacy/confidentiality Keamanan terhadap data data pribadi, messages/pesanpesan atau informasi lainnya yang sensitif. Serangan pada jaringan berupa aktifitas sniffing (penyadapan) dan adanya keylogger. Umumnya terjadi karena kebijakan/policy yang kurang jelas. Siapa yang paling mungkin melakukan ? Admin atau ISP nakal ? Countermeasure : gunakan teknologi enkripsi/kriptografi.
Integrity Bahwa informasi atau pesan dipastikan tidak dirubah atau berubah. Serangan pada jaringan dapat berupa aktifitas spoofing, mail modification, trojan horse, MITM attack. Countermeasure : dengan teknologi digital signature dan Kriptografi spt PGP, 802.1x, WEP, WPA
Availability Keamanan atas ketersediaan layanan informasi dan infrastruktur. Serangan pada jaringan: DoS (denial of services) baik disadari/sengaja maupun tidak. Aktifitas malware, worm, virus dan bomb mail sering memacetkan jaringan. Countermeasure : Firewall dan router filtering, backup dan redundancy, IDS dan IPS
Nonrepudiation Menjaga agar jika sudah melakukan transaksi atau aktifitas online, maka tidak dapat di sangkal. Umumnya digunakan untuk aktifitas ecommerce. Misalnya email yang digunakan untuk bertransaksi menggunakan digital signature. Pada jaringan dapat menggunakan digital signature, sertifikat dan kriptografi. Contoh kasus, mail.jogja.go.id ? Mail Spoofing masih di mungkinkan terjadi?
Auditing Adanya berkas semacam rekaman komunikasi data yang terjadi pada jaringan untuk keperluan audit seperti mengidentifikasi seranganserangan pada jaringan atau server. Penting memperhatikan space HDD untuk file logging (management log) Contoh Implementasi : pada firewall (IDS/IPS) atau router menggunakan system logging (syslog)
Contoh logging sederhana
Contoh audit sederhana
DASAR JARINGAN KOMPUTER
Keamanan Jaringan
Hal yang Membahayakan Jaringan Probe Scan Account Compromise Root Compromise Packet Sniffer Denial of Service Exploitation of Trust Malicious Code Internet Infrastructure Attacks
Perencanaan Keamanan Menentukan data atau informasi apa saja yang harus dilindungi Menentukan berapa besar biaya yang harus ditanamkan dalam melindunginya Menentukan siapa yang bertanggung jawab untuk menjalankan langkah-langkah yang diperlukan untuk melindungi bagian tersebut
Metode Keamanan Jaringan Pembatasan akses pada suatu jaringan Internal Password Authentication Server-based password authentication Firewall dan Routing Control Menggunakan metode enkripsi tertentu Pemonitoran terjadwal terhadap jaringan
Password Akun administrator pada suatu server sebaiknya diubah namanya dan sebaiknya hanya satu akun saja yang dapat mengakses password itu harus memiliki suatu karakter yang unik dan sukar ditebak
Metode Enkripsi Kriptografi digunakan untuk mencegah orang yang tidak berhak untuk memasuki komunikasi, sehingga kerahasiaan data dapat dilindungi Metode: DES PGP (Pretty Good Privacy) SSL SSH
Memonitor Jaringan dengan melakukan pembatasan berdasarkan hal berikut ini: MAC Address IP Address Tools untuk diagnosis: NSAuditor GFI Network Server Monitoring MRTG
Aplikasi Keamanan Jaringan Intrusion Detection System/Intrusion Preventing System (IDS/IPS) – SNORT www.snort.org – ISS RealSecure www.iss.net – NFR www.nfr.com – PortSentry www.psionic.com IDS yang bekerja sama dengan aplikasi Firewall = IPS
Intrusion Detection System sebuah sistem untuk mendeteksi penyalahgunaan jaringan dan sumber daya komputer Berfungsi seperti alarm Intrusion didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect, inappropriate yang terjadi di jaringan atau di host
IDS IDS memiliki sejumlah sensor yang digunakan untuk mendeteksi penyusupan Sebuah sensor untuk memonitor TCP request Log file monitor File integrity checker
Karakteristik Firewall Seluruh hubungan/kegiatan dari dalam ke luar, harus melewati firewall Hanya kegiatan yang terdaftar/dikenal yang dapat melewati/melakukan hubungan, Firewall itu sendiri haruslah kebal atau relatif kuat terhadap serangan/kelemahan
Firewall adalah alat yang digunakan untuk mencegah orang luar memperoleh akses ke suatu jaringan. Firewall merupakan suatu kombinasi dari perangkat lunak dan perangkat keras. Firewall biasanya menerapkan pengeluaran rencana atau perintah untuk menyortir alamat yang tak dikehendaki dan diinginkan One_Z Keamana Komputer
Cara kerja firewall Firewall bekerja dengan mengamati paket IP yang melewatinya. Berdasarkan komfigurasi dari firewall, akses dapat diatur berdasarkan IP address, port, dan arah informasi. - Untuk memahami firewalls bekerja kita perlu mengetahui pengalamatan IP. Statis & dinamis IP alamat statis adalah alamat yang permanen, yang merupakan alamat dari suatu mesin yang selalu dihubungkan keinternet. IP address dinamis adalah alamat IP yang selalu berubah-ubah yang berfungsi sebagai koneksi ke jaringan. One_Z Keamana Komputer
Karakteristik firewall Segala lalulintas jaringan, baik dari dalam ataupun dari luar harus melalui firewall. Hal tersebut menghalangangi semua akses dalam bentuk apapun kecuali firewall. Kebijakan keamanan hanya akan memberikan ijin untuk memasuki server atau jaringan komputer yang memenuhi syarat tertentu. Firewall sendiri bebas terhadap penetrasi, yang menandakan bahwa suatu sistem dapat dipercaya dan menjamin keamanan dari sistem operasi. One_Z Keamana Komputer
Arsitektur keamanan IP yang dikenal dengan IP security (IPsec) menjadi standarisasi keamanan komputer. IPsec didesain untuk melindungi komunikasi dengan cara menggunakan TCP/IP. One_Z Keamana Komputer
Paket filter router Paket filter router menggunakan ketantuan untuk paket IP, mana yang boleh masuk dan mana yang harus ditolak. Informasi yang disaring dari suatu paket yang melewati jaringan, diantarannya: Sumber IP address: alamat asli dari IP paket (Ex : 192,186.1.2) Tujuan IP address: alamat IP yang akan menerima IP paket (Ex : 192,186.1.3) Tujuan dan sumber transport-level address merupakan level trasport dari port number (seperti TCP dan UDP) IP protocol, yang berfungsi sebagai transpot protocol Interface: untuk router dengan tiga atau lebih port, dari interface router mana paket datang atau bertujuan. One_Z Keamana Komputer
Application level gateway Application level gateway juga dikenal dengan application-proxy firewall. Pada tipe ini user harus melakukan kontak dengan gateway yang menggunakan aplikasi TCP/IP, sepert TELNET atau FTP Aplikasi komponen proxy telnet FTP rlogin Sendmail HTTP The x window system One_Z Keamana Komputer