Fundamentals of Network Security

Preparation for Security+ Certification

Essential for any Information Technology
professional

Projects from recent research

Students get extra credit by attending
conferences

FCNS menyiapkan mahasiswa untuk bisa mengikuti

CEH Certification

CISSP sertifikat yang paling disegani dalam

keamanan informasi

MODUL 1:
Dasar keamanan

CompTIA Security+: Get

Certified Get Ahead:
SY0-301 Study Guide
Darril Gibson

Prinsip Dasar Keamanan

Konsep CIA of Security

Confidentiality

Integrity

Availability

Confidentiality
Mencegah pengungkapan data yang tidak sah
Memastikan bahwa data hanya dapat dilihat oleh
pengguna yang berwenang
Beberapa Metoda

Authentication dikombinasi dengan Access controls

Cryptography

Integrity
Menjamin bahwa data belum diubah, dirusak,
atau rusak
Hanya Pengguna berwenang yang memodifikasi
Hashing menjamin integritas

Jenis hash: MD5, SHA, HMAC

Jika data berubah, nilai hash berubah

Nilai Hash untuk Download

Availability
Data dan layanan tersedia saat diperlukan
Tehnik:

Disk redundancies (RAID)

Server redundancies (clusters)
Site redundancies
Backups
Alternate power
Cooling systems

Menyeimbangkan CIA
You can never have perfect security
Increasing one item lowers others
Increasing confidentiality generally lowers
availability
Anda tidak mungkin memiliki keamanan yang
sempurna
Peningkatan satu item menurunkan lain
Meningkatkan confidentiality biasanya
menurunkan availiability

Contoh: panjang, password yang kompleks mudah

dilupakan

Non-Repudiation
Mencegah entitas menyangkal bahwa mereka
telah melakukan tindakan
Contoh: menandatangani pinjaman rumah,
melakukan pembelian dengan kartu kredit
teknik
Tehnik

Digital signatures
Audit logs

Defense in Depth
Proteksi Layers
Contoh:

Firewall
Antivirus
Deep Freeze

Implicit Deny
Apa pun yang tidak
secara eksplisit
diperbolehkan akan
ditolak
Access Control List
umum untuk

Firewalls
Routers
Microsoft file dan
folder permissions

Pengenalan Konsep
Risiko Dasar

Risk
Risk (Risiko)

Kemungkinan ancaman adanya eksploitasi kerentanan,

yang mengakibatkan kerugian

Threat (Ancaman)

Keadaan atau peristiwa yang memiliki potensi

membahayakan confidentiality, integrity, atau
availability
Insider threat (ancaman dari dalam)

Vulnerability

kelemahan

Risk Mitigation (Penanggulangan

Resiko)
Mengurangi kemungkinan ancaman bisa
mengeksploitasi kerentanan
Dilakukan dengan menerapkan kontrol (juga
disebut penanggulangan dan perlindungan)
Bahkan jika ancaman tidak dapat dicegah, seperti
tornado

Risiko masih bisa dikurangi dengan kontrol, seperti

asuransi, rencana evakuasi, dll

Controls
Access controls

Setelah Authentication, hanya pengguna berwenang

dapat melakukan tugas-tugas penting

Business continuity and Disaster Recovery

Plans

Mengurangi dampak bencana

Perangkat lunak antivirus

Mengurangi dampak dari malware

Exploring Konsep
Authentication

Identification, Authentication, and

Authorization
Identification

Sebutkan nama (tanpa membuktikan)

Authentication

Membuktikan identitas Anda (dengan password, sidik

jari, dll)

Authorization

Mendapatkan akses ke sumber daya berdasarkan bukti

identitas pengguna

Pembuktian Identitas
Memverifikasi \ orang yang mengklaim untuk
membuktikan identitasnya

Atau ketika mengganti identitas yang hilang

Sarah Palin's
Email
Link
Ch 1a: Palin's Email Accou
nt Hacked

3 Faktor Authentication
Something you know

Misalnya password
Faktor paling lemah, tapi paling umum

Something you have

Misalnya smart card

Something you are

Misalnya fingerprint

Aturan Password
Passwords harus kuat

Minimal 8 karakter, dengan tiga: huruf besar,

huruf kecil, angka, dan simbol

Ubah password secara teratur

Jangan menggunakan kembali password
Ubah password default
Jangan menuliskan password
Jangan berbagi password
Kebijakan account lockout

Memblokir akses setelah terlalu banyak password yang

salah dimasukkan

 Password history

Mengingat password sebelumnya sehingga pengguna

tidak dapat menggunakannya kembali

Account Lockout Policies

Batas Account lockout

Jumlah maximium kali password yang salah dapat
dimasukkan (biasanya 5)
Durasi lockout akun
Berapa lama account terkunci (biasanya 30 menit.

Previous Logon Notification

Gmail memilikinya, di bawah layar

Something You Have

Smart Card

Berisi certificate
Dibaca oleh card reader
Image from made-inchina.com/

Token atau Key Fob

Image from
tokenguard.com

Smart Cards
Embedded certificate
Public Key Infrastructure

Memungkinkan penerbitan dan pengelolaan sertifikat

CAC (Common Access Card)

Used by US Department of Defense

Digunakan oleh Departemen Pertahanan US

Kartu PIV (Personal Identity Verfication) card

Digunakan oleh badan federal AS

Something You Are (Biometrics)

Physical biometrics

Fingerprint
Gambar dari amazon.com
Retinal scanners
Iris scanners

Behavioral biometrics

Voice recognition
Signature geometry
Keystrokes on a keyboard

False Acceptance and False

Rejection
False Acceptance Rate

Incorrectly identifying an
unauthorized user as
authorized
Salah mengidentifikasi
pengguna yang tidak sah
sebagai pemilik otoritas

False Rejection Rate

Salah menolak pengguna

yang berwenang

Multifactor Authentication
Lebih dari satu

Something you know

Something you have
Something you are

Two similar factors is not two-factor

authentication
Dua faktor yang sama bukan not two-factor
authentication

Misal password dan PIN

Exploring Authentication
Services

Layanan Authentication
Kerberos

Digunakan pada Windows Active Directory Domains

Digunakan di UNIX realms
Dikembangkan di MIT
Mencegah Man-in-the-Middle attacks dan replay attacks

Syarat Kerberos
Sebuah metode menggunakan tiket yang
digunakan untuk otentikasi

Key Distribution Center (KDC) memberikan ticketgranting-tickets, yang disajikan untuk meminta tiket
yang digunakan untuk mengakses objek

Sinkronisasi waktu dalam waktu lima menit

Database subyek atau pengguna

Microsoft Active Directory

Detail Kerberos
Saat user logs on

KDC mengeluarkan ticket-granting-ticket dengan umur

waktu sepuluh jam

Kerberos menggunakan port 88 (TCP & UDP)

Kerberos menggunakan symmetric cryptography

LDAP (Lightweight Directory

Access Protocol)
Format dan metoda untuk query directories
Digunakan oleh Active Directory
Ekstensi standard X.500
LDAP v2 bisa menggunakan enkripsi SSL
LDAP v3 bisa menggunakan enkripsi TLS
LDAP menggunakan ports 389 (tidak terenkripsi)
atau 636 (enkripsi) (TCP dan UDP)

Mutual Authentication
Kedua entitas dalam sesi otentikasi sebelum
pertukaran data

Sebagai contoh, kedua klien dan server

MS-CHAPv2 menggunakan mutual autentikasi

Single Sign-On
Pengguna dapat mengakses beberapa sistem
setelah memberikan identitasnya hanya sekali
Federated Identity Management System

Menyediakan otentikasi terpusat dalam lingkungan

homogen

IEEE 802.1x
Port-based authentication

Pengguna konek ke akses point tertentu atau

ke logikal port

Mengamankan otentikasi sebelum client

mendapatkan akses ke jaringan
Paling umum pada jaringan wireless

WPA Enterprise atau WPA2 Enterprise

Membutuhkan RADIUS (Remote

Authentication Dial-in User Service) atau
server identifikasi terpusat

Remote Access
Authentication

Remote Access
Clients connect through VPN (Virtual Private
Network) or dial-up
A VPN allows a client to access a private network
over a public network, usually the Internet

Remote Access Authentication

Methods
PAP (Password Authentication Protocol)

Passwords sent in cleartext, rarely used

CHAP (Challenge Handshake Protocol)

Server challenges the client

Client responds with appropriate authentication
information

MS-CHAP

Microsoft's implementation of CHAP

Deprecated

Remote Access Authentication

Methods
MS-CHAPv2

More secure than MS-CHAP

Seriously broken by Moxie Marlinspike at Defcon 2012
(Link Ch 1c)
He recommends using certificate authentication instead

Remote Access Authentication

Methods
RADIUS (Remote Authentication Dial-in User
Service)

Central authentication for multiple remote access

servers
Encrypts passwords, but not the entire authentication
process
Uses UDP

Remote Access Authentication

Methods
TACACS (Terminal Access Controller AccessControl System)

Was used in UNIX systems, rare today

TACACS+

Cisco proprietary alternative to RADIUS

Interacts with Kerberos
Encrypts the entire authentication process
Uses TCP
Uses multiple challenges and responses during a session

AAA Protocols:
Authentication, Authorization, and
Accounting
Authentication

Verifies a user's identification

Authorization

Determines if a user should have access

Accounting

Tracks user access with logs

AAA Protocols:
Authentication, Authorization, and
Accounting
RADIUS and TACACS+ are both AAA protocols
Kerberos doesn't provide accounting, but is
sometimes called an AAA protocol