Transcript 010_Keamanan

Keamanan Sistem
Ihsan Naskah, S.Kom., MT
[email protected]
Faktor Perencanaan
• Resiko
Menganalisa kemungkinan-kemungkinan kerugian
dan akibat yang timbul apabila terjadi penyusupan di
dalam sistem
• Ancaman
Mempelajari kemungkinan-kemungkinan yang
menjadi sumber atau pelaku gangguan keamanan,
dan elemen-elemen sistem yang mungkin diserang
• Kelemahan
Menentukan seberapa kuat sistem keamanan suatu
jaringan komputer terhadap jaringan komputer yang
lain dan mengenali elemen-elemen sistem yang
memiliki lubang-lubang sekuriti dan rentan terhadap
serangan penyusup
Mengenal Penyusup
• The Curious
Bertujuan untuk ingin tahu/belajar atau ingin
mengetahui sistem dan data yang ada serta
kelemahan-kelemahannya
• The Malicious
Bertujuan untuk merugikan pihak yang disusupi,
misalnya membuat sistem down, deface web,
sehingga pemiliknya harus mengeluarkan biaya untuk
perbaikan
• The High-profile Intruder
Bertujuan untuk menunjukkan eksistensi dan
kemampuannya, atau mendapatkan popularitas
• The Competition
Bertujuan untuk mendapatkan keuntungan materil
untuk dirinya sendiri
Jenis-jenis gangguan
• Probe
Usaha-usaha yang tidak lazim untuk
memperoleh akses ke dalam sistem dan
mendapatkan informasi tertentu
Biasanya dilakukan dengan mencoba-coba,
mencari account yang tidak digunakan atau
tidak terkunci dengan baik
Jenis-jenis gangguan
• Scan
Aktifitas probe dalam skala besar,
menggunakan tools khusus yang tersebar
dan secara otomatis mendeteksi adanya
kelemahan sistem, baik local maupun remote.
Tools scanner umumnya didisain dan dibuat
secara khusus
Jenis-jenis gangguan
• Account Compromise
Penggunaan account user secara ilegal oleh
orang yang tidak berhak, dan mengakibatkan
kerugian bagi user bersangkutan
• Root Compromise
Penggunaan account root / superuser /
administrator secara illegal, dan dapat
membahayakan keseluruhan sistem
Jenis-jenis gangguan
• Packet Sniffer
Perangkat lunak atau perangkat keras yang
digunakan untuk melakukan penyadapan dan
mendapatkan informasi dari lalu-lintas paket
data yang melewati jaringan
Jenis-jenis sniffer:
• Sniffer berbasis workstation
• Cable Sniffer
Jenis-jenis gangguan
• Denial of Service
Serangan yang membuat sistem tidak
berfungsi dan tidak dapat memberikan
layanan.
Umumnya dilakukan dengan cara antara lain:
• Membanjiri sistem dengan kiriman data yang besar
dan berulang-ulang, sehingga menjadi sangat
sibuk
• Mempartisi jaringan dengan membuat komponen
penghubung tidak berfungsi
• Menggunakan virus untuk melumpuhkan sistem
• Merusak program atau device/peralatan
Jenis-jenis gangguan
• Malicious Code
Kode program yang disisipkan secara diamdiam, yang bila dijalankan akan
menyebabkan sesuatu yang tidak diinginkan
di dalam sistem.
• Serangan terhadap Infrastruktur
Merupakan aktifitas gangguan secara fisik
terhadap infrastruktur pembentuk sistem,
misalnya pencurian mesin server, dan
tindakan-tindakan destruktif
Antisipasi
• One Time Password (OTP)
Merupakan suatu sistem autentikasi dengan
password sekali pakai
OTP pada awalnya dikenal sebagai S/KEY (nama perangkat lunak
untuk OTP), tetapi kemudian secara resmi menggunakan istilah OTP,
karena S/KEY merupakan merek dagang milik perusahaan Bellcore
(http://www.belcore.com) yang merupakan pencipta sistem ini pertama
kali
Dokumentasi S/KEY bisa di baca pada RFC1760
(http://perpustakaan.kharisma.ac.id/koleksi/referensi/rfcs/rfc1760.html)
Antisipasi
• Firewall
Kombinasi dari perangkat keras dan
perangkat lunak yang didisain untuk bertugas
memeriksa aliran trafik jaringan dan
permintaan servis.
Firewall akan mencegah keluar/masuknya
aliran paket yang tidak memenuhi kriteria
keamanan yang ditetapkan.
Jenis-jenis Firewall:
• IP Filtering: pengontrolan aliran data
keluar/masuk
• Proxy Server: koneksi internet secara tidak
langsung
Antisipasi
• Enkripsi
Konversi dari satu bentuk data yang dapat
dibaca ke dalam bentuk data lain yang tidak
dapat dikenali, sehingga tidak akan berguna
bagi orang lain
Untuk membaca kembali data asli, dilakukan
proses dekripsi dengan kunci yang sama
pada saat enkripsi
Contoh penggunaan enkripsi:
• Secure Shell (SSH) pada Remote Login
• Pretty Good Privacy (PGP) pada E-mail
• Secure Socket Layer (SSL) dan HTTPS
Antisipasi
• Administrator Proaktif
– Memeriksa secara rutin servis-servis yang
berjalan, dan menutup servis yang tidak
dipakai/tidak dibutuhkan
– Memeriksa user account secara rutin untuk
mengecek kemungkinan adanya user tak
dikenal
– Memantau dan memeriksa file-file log
– Mencari informasi dari vendor softwaresoftware yang digunakan pada sistem,
tentang Updating, Security Hole, dan Patch
untuk software bersangkutan
– Backup sistem untuk recovery yang cepat dan
mudah setelah terjadi serangan/gangguan
Antisipasi
• User Proaktif
– Mengganti password secara rutin, dan tidak
menginformasikan password kepada orang
lain (baik password sendiri maupun password
untuk account user lain)
– Mematuhi security policy yang diterapkan
oleh perusahaan/organisasi/lembaga pemilik
jaringan
– Melakukan backup data-data penting milik
pribadi secara rutin
Security Policy
• Deskripsi secara detail tentang lingkungan teknis dari
sistem, hukum yang berlaku, otoritas dari policy
tersebut, dan filosofi dasar pada saat
menginterpretasikan policy tersebut
• Analisa resiko yang mengidentifikasikan aset-aset
sistem, ancaman yang dihadapi oleh aset-aset sistem
tersebut, dan biaya yang harus dikeluarkan akibat
kehilangan/kerusakan
• Petunjuk bagi administrator sistem untuk mengelola
sistem
• Definisi bagi user tentang hal-hal yang boleh dan tidak
boleh dilakukan
• Petunjuk untuk kompromi terhadap media dan
penerapan hukum yang ada, serta memutuskan
apakah akan melacak penyusup atau hanya
mematikan sistem dan memulihkannya kembali
Pemulihan
• Cara terbaik untuk pemulihan adalah REINSTALL, karena:
– Dibutuhkan waktu yang lama untuk
memeriksa setiap kemungkinan
perubahan/penambahan oleh penyusup,
seperti perubahan konfigurasi, exploit,
malicious code, backdoor, dll.
– Penyusup yang ahli, biasanya meninggalkan
backdoor pada lokasi yang sulit terlacak, dan
memudahkannya untuk masuk kembali lain
waktu
Permasalahan
• Teknologi Kriptografi untuk enkripsi yang
umumnya dipatenkan, sehingga
implementasinya menjadi mahal
• Larangan export teknologi kriptografi oleh
pemerintah AS, menyebabkan pengembangan
teknologi kriptografi menjadi tidak standard
• Adanya perbedaan persepsi hukum terhadap
sistem di internet yang berbeda pada setiap
negara
• Keterbatasan pengetahuan Administrator