07 KeamananSistemJaringanKomputer
07 KeamananSistemJaringanKomputer
Network security
difokuskan pada saluran (media) pembawa informasi atau jalur yan dilalui. difokuskan pada aplikasinya sistem tersebut" termasuk database dan ser#icesnya. difokuskan pada keamanan dari komputer pen una (end system) yan di unakan untuk men akses aplikasi" termasuk operatin system (%S)
!pplication security
$omputer security
Security Principles
Menurut Jay Ramachandran pada bukunya Designing Security Architecture Solutions
!ut'entication !ut'ori(ation atau !ccess $ontrol )ri#acy * confidentiality +nte rity !#ailability Non-repudiation !uditin
&
Authentication
Menyatakan ba'wa data atau informasi yan di unakan atau diberikan ole' pen una adala' asli milik oran tersebut" be itu ju a den an ser#er dan sistem informasi yan diakses. Seran an pada jarin an berupa -NS $orruption atau -NS )oison" terminal palsu (spooffin )" situs aspal dan palsu" user dan password palsu. $ountermeasure . -i ital Si nature misalnya teknolo i SS/*0/S untuk web dan mail ser#er.
)en aturan siapa dapat melakukan apa" atau dari mana menuju kemana. -apat men unakan mekanisme user*password atau mekanisme lainnya. !da pemba ian kelas atau tin katan. +mplementasi . pada 2!$/3 antar jarin an" pada 2!$/3 pro4y ser#er (mis. pembatasan bandwidt'*delaypools).
!ontoh
!ontoh
!ontoh
!ontoh
89
Pri)acy*confidentiality
:eamanan ter'adap data data pribadi" messa es*pesan-pesan atau informasi lainnya yan sensitif. Seran an pada jarin an berupa aktifitas sniffin (menyadap) dan adanya keylo er. ;mumnya terjadi karena kebijakan*policy yan kuran jelas. !dmin atau +S) nakal << $outermeasure . unakan teknolo i enkripsi*kripto rafi.
Network Security - Josua M. Sinambela 88
Integrity
=a'wa informasi atau pesan dipastikan tidak diruba' atau beruba'. Seran an pada jarin an dapat berupa aktifitas spoofin " mail modification" trojan 'orse" M+0M !ttack. $ountermeasure . den an teknolo i di ital si nature dan :ripto rafi spt )>)" 692.84" ?@)" ?)!
82
A)ailability
:eamanan atas ketersediaan layanan informasi. Seran an pada jarin an. -oS (denial of ser#ices) baik disadari*sen aja maupun tidak. !ktifitas malware" worm" #irus dan bomb mail serin memacetkan jarin an. $ountermeasure . Airewall dan router filterin " backup dan redundancy" +-S dan +)S
Network Security - Josua M. Sinambela 83
'on-repudiation
Menja a a ar jika suda' melakukan transaksi atau aktifitas online" maka tidak dapat di san kal. ;mumnya di unakan untuk aktifitas e-commerce. Misalnya email yan di unakan untuk bertransaksi men unakan di ital si nature. )ada jarin an dapat men unakan di ital si nature" sertifikat dan kripto rafi. $onto' kasus" smtp.u m.ac.id << Setiap pen una di jarin an lokal ;>M dapat men unakannya tanpa adanya aut'entikasi.
Network Security - Josua M. Sinambela 8&
Auditing
!danya berkas semacam rekaman komunikasi data yan terjadi pada jarin an untuk keperluan audit seperti men identifikasi seran an seran an pada jarin an atau ser#er. +mplementasi . pada firewall (+-S*+)S) atau router men unakan system lo in (syslo )
8,
Pembahasan
Prinsip Keamanan Disain Jaringan Komputer Aplikasi Keamanan Jaringan
Application security
difokuskan pada saluran (media) pembawa informasi atau jalur yang dilalui. difokuskan pada aplikasinya sistem tersebut, termasuk database dan servicesnya. difokuskan pada keamanan dari komputer pengguna (end system) yang digunakan untuk mengakses aplikasi, termasuk operating system (OS)
Computer security
Prinsip Keamanan
Authentication Authorization atau Access Control Privacy / confidentiality Integrity Availability Non-repudiation Auditing
Authentication
Menyatakan bahwa data atau informasi yang digunakan atau diberikan oleh pengguna adalah benar-benar asli milik pengguna tersebut, demikian juga dengan server dan sistem informasi yang diakses, merupakan server atau sistem informasi yang dituju (Idealnya terjadi mutual otentikasi ) Serangan pada jaringan berupa DNS Corruption atau DNS Poison, terminal palsu (spooffing), situs aspal dan palsu, user dan password palsu. Countermeasure: Digital Signature atau Digital Certificate misalnya teknologi SSL/TLS untuk web dan mail server.
Pengaturan siapa dapat melakukan apa, atau akses dari mana menuju ke mana. Dapat menggunakan mekanisme user/password atau group/membership. Ada pembagian kelas atau tingkatan. Implementasi : pada ACL antar jaringan, pada ACL proxy server (mis. pembatasan bandwidth/delaypools).
Privacy/confidentiality
Keamanan terhadap data data pribadi, messages/pesan-pesan atau informasi lainnya yang sensitif. Serangan pada jaringan berupa aktifitas sniffing (penyadapan) dan adanya keylogger. Umumnya terjadi karena kebijakan/policy yang kurang jelas. Siapa yang paling mungkin melakukan ? Admin atau ISP nakal ? Countermeasure : gunakan teknologi enkripsi/kriptografi.
Integrity
Bahwa informasi atau pesan dipastikan tidak dirubah atau berubah. Serangan pada jaringan dapat berupa aktifitas spoofing, mail modification, trojan horse, MITM attack. Countermeasure : dengan teknologi digital signature dan Kriptografi spt PGP, 802.1x, WEP, WPA
Availability
Keamanan atas ketersediaan layanan informasi dan infrastruktur. Serangan pada jaringan: DoS (denial of services) baik disadari/sengaja maupun tidak. Aktifitas malware, worm, virus dan bomb mail sering memacetkan jaringan. Countermeasure : Firewall dan router filtering, backup dan redundancy, IDS dan IPS
Non-repudiation
Menjaga agar jika sudah melakukan transaksi atau aktifitas online, maka tidak dapat di sangkal. Umumnya digunakan untuk aktifitas e-commerce. Misalnya email yang digunakan untuk bertransaksi menggunakan digital signature. Pada jaringan dapat menggunakan digital signature, sertifikat dan kriptografi. Contoh kasus, mail.jogja.go.id ? Mail Spoofing masih di mungkinkan terjadi? Check mail open relay
Auditing
Adanya berkas semacam rekaman komunikasi data yang terjadi pada jaringan untuk keperluan audit seperti mengidentifikasi seranganserangan pada jaringan atau server. Penting memperhatikan space HDD untuk file logging (management log) Contoh Implementasi : pada firewall (IDS/IPS) atau router menggunakan system logging (syslog)
Web Server
Switch Firewall
Gw router
Mail Server
PC
Network Firewall
Packet filtering firewalls
Filtering di layer 3 & 4
http - tcp 80 http - tcp 80 telnet - tcp 23 ftp - tcp 21 web server firewall Allow only http - tcp 80 Drop ip any
Network Firewall
Stateful inspection firewalls
Dipasang pada Gateway Memeriksa setiap atribut koneksi yang terjadi untuk setiap client dari awal hingga akhir koneksi Cukup Praktis melindungi Jaringan Privat
1 2.1!8.0.10 : 1025 202.52.222.10: 80
202.52.222.10: 80
"nly allows reply pac#ets for re$%ests &a'e o%t (loc#s other %nre)istere' traffic
Network Firewall
Application layer firewalls
Filtering di layer Aplikasi Disebut juga Proxy Server
202.52.222.10: 80 1 2.1!8.0.10 : 80
Network Firewall
Product Firewall
Iptables Ipchains Cisco PIX Checkpoint Border Manager Winroute SonicWall Juniper www.iptables.org netfilter.samba.org/ipchains www.cisco.com www.checkpoint.com www.novell.com www.winroute.com www.sonicwall.com www.juniper.net
memantau anomali di level jaringan, misal melihat adanya network scanning memantau anomali di host, misal memonitor logfile, process, file ownership,file permission
Host-based (HIDS)