Pengantar Keamanan

Komputer
Pelajaran dari NASA
Nasa memiliki
jaringan terbuka
dengan lebih dari
80 ribu host.
Bagaimana NASA mencegah penyusup
masuk dalam jaringan mereka?

Mengidentifikasi vulnerabilitas dengan

prioritas tinggi yang bisa diuji secara
remote
Menguji dengan tool scanning
Menghitung rasio vulnerabilitas dengan
mesin
Dan hasilnya???
Dalam 12 bulan hanya tinggal 7
vulnerabilitas untuk setiap 1000 mesin.
Selanjutnya semua sumber daya
dipersiapkan untuk mampu menghilangkan
vulnerabilitas yang muncul dalam waktu
singkat
 Vunerabilitas??
 Vulnerability adalah sesuatu yang
berkaitan dengan sistem komputer yang
memungkinkan seseorang mengoperasikan
dan menjalankannya dengan benar, atau
memungkinkan pihak tak berwenang
(hacker) mengambil alih.
Vulnerability Assessment
(penetration test)
Acctive Assessment ; Menggunakan network scanner
untuk menemukan host, service dan vulnerabilities
Passive Assessment ; Teknik untuk mengendus
kedalam lalu lintas jarian untuk menemukan active
system, network service, aplikasi dan vulnerability yang
ada.
Host Based Assessment ; Melakukan security check
melalui command line untuk masuk configuration level
test
Internal Assesssment ; Teknik untuk men scan internal
infrastructure untuk menemukan exploir dan
vulnerability
 External Assesment ; Mengakses network dalam
sudut pandang sebagai seorang hacker, untuk
menemukan exploit dan vulnerabilities yang dapat
dipakai dari luar.
Applicaton Assessment ; Melakukan test
infrastructure web server terhadap kemungkinan
salah konfigurasi, content yg tidak up to date, dan
vulnerabilities.
Network Assessment ; Mendefinisikan
kemungkinan serangan ke jaringan yang ungkin saja
terjadi pada system satu organisasi
Wireless Network Assessment ;Melakukan
pengecekan dan melacak jaringan nir kabel yang
ada di sisi client.
Phase Vulnerability Assessment (fase
pengecekan ancaman keamanan)

Pre Assessment :
Menggambarkan secara utuh scope dari
assestment itu
Memuat gambaran Informasi mengenai
perencanaan, jadwal, koordiasi dan logistic
Mengidentifikasi asset asset critical.
Phase Assessment :
Melihat Arsitekture Network
Melakukan analisa dengan cek fisik terhadap asset
asset
Mengevaluasi ancaman yang mungkin timbul
Mengobservasi semua SOP dan Policies
Melakukan penetration testing
Melakukan impact analysis
Evaluasi physical security
Memetakan karaterisktik dari resiko resiko yang
ada.
Post Assessment :
Membentuk rekomendasi
Melakukan training
Memetakan hal hal yang didapat saat
assessment untuk sebagai bahan untuk
meningkatkan proses dimasa yang akan
datang.
Membangun tindakan tindakan nyata
sebagai bagian dari rekomendasi yang
diberikan.
Potensi ancaman yang umum

Instalasi default pada sistem operasi dan aplikasi

Account tanpa password atau dengan password
yang lemah
Tidak melakukan backup atau backup yang kurang
lengkap
Port terbuka dalam jumlah banyak
Tidak melakukan filtering paket untuk kebenaran
alamat masuk dan keluar
Tidak melakukan logging atau logging yang
kurang lengkap
Kebijakan keamanan
Availability : sistem harus tersedia untuk
dipergunakan saat user memerlukannya.
Serupa dengan itu, data penting harus juga
tersedia pada setiap saat
 Utility: Sistem dan data pada sistem harus
berguna untuk suatu tujuan
Integrity : Sistem dan data harus lengkap
dan terbaca
Authenticity: Sistem harus mampu
memverifikasi identitas dari user, dan user
harus bisa memverifikasi identitas sistem
Confidentiality: Data pribadi hanya boleh
diketahui oleh pemilik data, atau sejumlah
pihak terpilih untuk berbagi data
 Tools Scanning

SATAN (Security Administrator Tool for Analyzing Networks)

SARA (Security Auditor Research Assistant)
SAINT (Security Administrator's Integrated Network Tool)
NESSUS
NMAP
SATAN (Security Administrator Tool for Analyzing Networks)
Dikembangkan oleh Dan Farmer, pakar
keamanaan di San Fransisco, seorang pakar
Unix yang mengajar di Eindhoven
University of Technology, dan bekerja di
IBM pada tahun 1995, meskipun sekarang
SATAN sudah banyak ketinggalan tapi dia
dipakai sebagai dasar security engine
SARA (Security Auditor Research Assistant)
Dikembangkan oleh Bob Todd seorang software
developer pada proyek SAINT dengan tujuan
untuk menyediakan tool yang tersedia secara
gratis, SARA meningkatkan kemampuan SATAN
dengan :
Peningkatan user interface
Pengujian vulnerability yang lebih up to date
Terdapat juga produk komersial SARA Pro Advanced
Reseach, yang mengembangkan SARA, juga TARA
(Tiger Analytical Reseach Assistant ) System security
berdasarkan program Tiger Texas A & M University
Cara kerja SARA
SARA memiliki program target acquisition yang memakai
fping untuk menentukan apakah suatu host atau sejumlah
host dalam suatu subnet aktif. Ia akan menyampaikan
daftar target ke suatu engine yang mengendalikan
pengumpulan data, dan loop feedback utama. Setiap host
diuji untuk memeriksa apakah sudah diamati sebelumnya,
dan jika belum maka sejumlah pengujian / probing akan
dijalankan. Pengujian ini menghasilkan record data yang
memuat hostname, tes yang dilakukan , dan hasil dari
probing , data tersebut disimpan di file untuk analisis lebih
jauh. Antar muka user memakai HTML untuk
menghubungkan sejumlah besar data agar nampak lebih
koheren dan memudahkan user untuk memahaminya