TK2154-201201-07a-Data Center-Security - kelas
Download
Report
Transcript TK2154-201201-07a-Data Center-Security - kelas
DATA CENTER:
KEAMANAN
Tujuan
• mengetahui dan memahami teknik mengamankan akses fisik
pada data center.
• mengetahui dan memahami teknik mengamankan akses lojik
pada data center.
Indikator Penilaian(1)
• Dasar
– Menyebutkan faktor-faktor yang mempengaruhi keamanan akses fisik
pada data center
– Menyebutkan faktor-faktor yang mempengaruhi keamanan akses lojik
pada data center
– Menjelaskan apa yang dimaksud dengan tier level dalam data center
• Menengah
– Menjelaskan faktor-faktor yang mempengaruhi keamanan akses fisik
pada data center
– Menjelaskan faktor-faktor yang mempengaruhi keamanan akses lojik
pada data center
– Menjelaskan apa yang dimaksud dengan tier level dalam data center
dengan contohnya
Indikator Penilaian (2)
• Mahir
– Menjelaskan teknik pengamanan akses fisik pada data center
– Menjelaskan teknik pengamanan akses lojik pada data center
– Menerapkan konsep dengan tier level dalam data center untuk sebuah
perusahaan
KEAMANAN FISIK
DATACENTER
Faktor -Faktor
•
•
•
•
•
Pemilihan lokasi
Tata ruang lokasi dan keamanan perimeter
Rancangan atau arsitektur bangunan
Pengamanan fasilitas pendukung
Pengendalian keamanan, surveillance dan
pembatasan hak akses
• Keamanan fisik peralatan
• Keamanan fisik data
Pemilihan Lokasi
• Lingkungan yang aman dari kriminalitas
• Jarak minimal :dari kantor utama (lk 20 mil atau 32 km); dari
jalan raya /jalan tol (100 ft atau 160m)
• Sejarah bebas dari banjir/bencana alam dalam 100 tahun
terakhir; termasuk tidak berada di daerah berpotensi
bencana.
• Jauh dari fasilitas umum yang tidak sesuai, seperti: bandara,
pabrik , tower , dll
• Tidak memasang papan nama
Tata ruang lokasi dan keamanan
perimeter
• Landscaping atau pengaturan tata ruang disekeliling untuk
menyamarkan keberadaan lokasi. Misalnya: pohon/hutan
buatan, batu-batu besar, tebing(alami atau buatan), dll
• Buffer zone atau zona penyangga disekeliling bangunan.
Misalnya: 100ft atau 300m dari bangunan.
• Fencing atau Pembuatan Pagar pembatas. Misalnya dengan
ketinggian 3m, kawat berduri,dst.
• Penggunaan Crash Barriers atau pembatas jalan/portal.
misalnya pada pintu masuk dan daerah diantara area parkir
dengan gedung.
Rancangan atau arsitektur
bangunan
• Penggunaan material bangunan yang kuat. Misal: beton tebal
(concreet) atau beton yang diperkuat (reinforced concreet)
• Desain tahan gempa atau bencana alam, misal: suspensi, dll.
• Desain bangunan tahan serangan bom, misal: menghindari
penggunaan jendela atau penggunaan kaca jendela khusus .
• Menghilangkan lokasi-lokasi potensial untuk persembunyian,
misalnya: pada dinding atau loteng.
• Pembatasan celah pada bangunan, misal jendela, dll.
Pengamanan fasilitas pendukung
• Perlindungan fasilitas kelistrikan, pendingin dan lainnya
dengan dinding atau pagar.
• Perencanaan sirkulasi udara mandiri tanpa memerlukan
pertukaran udara dari luar.
• Penggunaan pintu keluar darurat satu arah (untuk kebakaran).
• Sistem pemadaman kebakaran.
• Redundansi dan penyamaran fasilitas pendukung., misalnya:
kabel listrik/komunikasi dari luar menggunakan kabel bawah
tanah/ditanam, dan berasal dari arah yang berbeda.
Pengendalian keamanan,
surveillance dan pembatasan hak
akses
• Pembatasan pintu masuk (lokasi
atau gedung)
• Petugas keamanan 24 jam.
• Sistem kamera pengawas atau
CCTV
• Menggunakan Pendeteksi bom
• Pembatasan hak akses dengan
identifikasi multifaktor
• Response cepat dari petugas
keamanan setempat (polisi, dll)
Keamanan fisik peralatan
• Memberikan lapisan tambahan
sebelum kearea peralatan, misal:
penggunaan mantraps.
• Pembatasan super ketat untuk
akses ke ruangan komputer/rak.
• Melarang makanan/minuman di
ruangan komputer
• Isolasi ruangan server/komputer
dari ruangan pengujung/tamu
Keamanan fisik data
• Storage media lifecycle
management adalah metoda
atau teknik pengelolaan media
penyimpanan dengan
melakukan penggantian media
penyimpanan dalam batasan
umur pakai tertentu.
• Hardrive shredding adalah
penghancuran hardrive yang
sudah tidak digunakan secara
fisik.
Keamanan Datacenter Google
Ref: http://www.youtube.com/watch?v=1SCZzgfdTBo
KEAMANAN LOJIK
DATACENTER
Beberapa Istilah pada Keamanan
Datacenter
Beberapa istilah yang sering ditemui dalam topik keamanan lojik
pada data center:
• Threat /Ancaman
Sebuah kejadian yang dapat menghasilkan bahaya terhadap
Data Center atau sumber daya yang ada padanya.
• Vulnerability/Kelemahan atau Celah
Kekurangan dari sistem atau sumberdaya yang jika
dieksploitasi akan menyebabakan ancaman menjadi
kenyataan.
• Attack / Serangan
Proses ekploitas dari kelemahan atau celah keamanan
Pemahaman Istilah
Jika dicontohkan pada aplikasi web:
Threat: hilangnya kemampuan server aplikasi untuk memproses
permintaan dari user yang berhak.
vulnerability: server menjalankan versi software yang dikenal
memeiliki kelemahan yang jika dieksploitasi dapat menjadi
sebuah buffer oveflow attack.
Attack: kejadian dimana para cracker/hacker benar-benar
melakukan exploitasi atas vulnerability tersebut sehingga
menyebabkan server menjadi mati atau tidak dapat melayani.
Sumber Vulnerability
• Implementasi
Cacat pada protokol dan perangkat lunak, implementasi
rancangan software yang tidak tepat, pengujian perangkat
lunak yang tidak bagus, dll
• Konfigurasi
Terdapat bagian yang tidak dikonfigurasi dengan tepat,
penggunaan konfigurasi default, dll
• Desain
Desain keamanan yang tidak efektif atau tidak memadai, tidak
ada/kurang tepat-nya implementasi mekanisme redundansi,
dll
Security Attack
• Scanning / Probing
• DoS ( Syn Flood , Smurf ), DDoS
• Unauthorized Access and Network Intrusion (Backdoor, IP
spoofing )
• Eavesdropping (packet capturing/sniffing)
• Virus/Worms
• Internet Infrastructure Attack
• Trust Exploitation
• Session Hijacking (IP spoofing)
• Buffer Oveflow Attack
• layer 2 Attack (ARP spoofing, MAC flooding, VLAN Hopping)
Ilustrasi Smurf
Ilustrasi DDoS
Ilustrasi ARP Spoofing
Faktor Pada Keamanan Lojik
• Identifikasi pengguna
mencakup aspek pengaturan hak akses pengguna secara lojik
(jaringan atau perangkat lunak) pada datacenter.
• Keamanan jaringan
mencakup pengaturan keamanan pada jaringan, misalnya
pengaturan aliran data, penyaringan data, dll.
• Pengelolaan ancaman (Threat Management)
Pendeteksian dan penanggulangan ancaman lojik. Dapat
bersifat preventif atau korektif.
• Pengawasan jaringan (Network Monitoring)
Pengawasan kondisi jaringan, misalnya utilisasi jaringan,
pencatatan kejadian (event logging), dll
Metoda/Teknik Pengaman Lojik
•
•
•
•
•
Daftar akses / Access lists (ACL)
Firewall
Intrusions Detection System (IDS)
Keamanan Layer 2
Logging
Access lists (ACL)
Mekanisme filter berdasarkan header dari paket yang diizinkan
atau ditolak pada antarmuka (interface) jaringan tertentu.
Jenis Access List :
• Standard ACL
Melakukan filter secara sederhana dengan menggunakan
source IP Address.
• Extended ACL
Melakukan filter dengan lebih banyak parameter, seperti
source dan destination IP address, protokol layer 4, port layer
4, jenis pesan dan kode ICMP, jenis layanan dan prioritas
(precedence)
Access lists (ACL) - Implementasi
Metoda Implementasi Access List :
• Router ACLs (RACLs)
• VLAN ACLs (VACLs)
• Dynamic ACLs and lock and key
• Reflexive ACLs
Firewall
Melakukan pemisahan antara segmen jaringan / LAN, sehingga
setiap segmen dapat memiliki tingkatan keamanan dan
pengaturan aliran data yang berbeda.
Pertimbangan dalam pemilihan/pembuatan firewall:
• Kinerja
Packet per second (pps)/throughput, connection per
second(cps), concurent connection, dll
• Dukungan terhadap aplikasi
Beberapa aplikasi menggunakan metoda aliran data tertentu
yang harus diantisipasi firewall agar dapat berfungsi dengan
baik. Misal: voip pada NAT.
Jenis Firewall
•
•
•
•
Packet-filtering firewall
Proxy firewalls
Stateful firewalls
Hybrid firewalls
Intrusions Detection System (IDS)
IDS merupakan system waktu nyata (realtime system) yang dapat
mendeteksi intruder dan tindakan mencurigakan serta
memberikan laporan kepada sebuah sistem pengawasan.
IDS terdiri dari:
– Sensors
appliance atau perangkat lunak yang melakukan analisa lalulintas data
jaringan atau penggunaan sumberdaya pada sebuah peralatan/system
untuk mengidentifikasi intrusi atau aktifitas mencurigakan.
– IDS management
Peralatan-peralatan yang digunakan untuk melakukan konfigurasi dan
pongelolaan sensor serta menggumpulkan data peringatan dari
sensor.
Jenis IDS
• Berdasar Penempatan Sensor
– Network-Based IDS
– Host-based IDS
• Berdasarkan Cara Kerja
– Anomaly-based
– Signature-based
Keamanan Layer 2
Metoda pengamanan pada peralatan layer 2 dari seranganserangan yang berbasis layers 2.
Terdiri dari:
• Port Security
• ARP Inspection
• Private VLANs
• 802.1Q Tag All
• Private VLANs dan Firewalls
Logging
Metoda pengumpulan, pencatatan dan
pengarsipan data, status, kejadian-kejadian
pada software, peralatan dan system.
Dapat terpasang secara independen pada host
atau terpusat pada sebuah server atau sistem
logging berbasis jaringan.
TERIMA KASIH
TUGAS 07a
Buatlah ringkasan tentang kaitan
antara keamanan , tier level dan
biaya pada datacenter!
Minimal 3 referensi, tidak termasuk
wikipedia dan referensi [3] bab 5
(wajib ada)!
Tugas 07a(Lanjutan)
Keterangan:
• Dikerjakan dalam kelompok maksimal 3 orang. Daftar kelompok ada pada
milis. Lampirkan tabel pembagian tugas pada setelah halaman terakhir.
• Tulis referensi
• file disimpan dalam format yg dapat dibaca oleh (microsoft|open)office
atau pdf.
• perhatikan ukuran file, jika besar, tolong dikompres.
• pertimbangkan bahwa seluruh peserta milis akan menerima file tersebut!
Tugas 07a(Lanjutan)
• Aturan :
Subject email :
07a_KELOMPOK##_Judul
Nama file :
07a_KELOMPOK##_Judul/Keterangan
Batas waktu :
Kamis, 5 April 2012 jam 24:00
• Kirim ke :
[email protected]
Referensi Tambahan
• Dusenberry, Donald, Handbook for Blast
Resistant Design of Buildings, Wiley, 2010)
• Bowman, Ronald, Business Continuity
Planning for Data Centers and Systems: A
Strategic Implementation Guide, Wiley, 2008
• Allsopp, Wil, et all , Unauthorised Access:
Physical Penetration Testing For IT Security
Teams, Wiley, 2009