Post on 11-Jan-2017
• Kesadaran akan masalah keamanan masih rencah
- Hanya 22 % dari 1271 sistem/network manager menganggap keamanan sistem sebagai komponen penting
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
• Tidak ada justifikasi tentang pentingnya investasi bidang keamanan jaringan
• Security Awareness
• Bagaimana dengan anda ???
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Pernahkah anda
• Sharing password email
• Sharing login untuk registrasi
• Memberi tahu nomor pin ATM
• Nitip kunci kamar
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Laporan tentang perusakan website
• www.2600.com
• alldas.de
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
News Update
• Email Perusahaan Tambang Bakrie Dibobol, Seluruh Data Dicuri
• Hati-hati Email Palsu dari FedEx berisi trojan
• Indonesia Masuk 10 Besar Negara Penghasil 'Pesan Sampah'
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
• Berdasarkan laporan terakhir, Indonesia:
• Nomor #1 dalam persentase (yaitu perbandingan antara transaksi yang baik dan palsu)
• Nomor #3 dalam volume
• Akibatnya kartu kredit dan transaksi yang (nomor IP-nya) berasal dari Indonesia secara resmi diblokir di Amerika
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Penipuan melalui SMS
• Anda menang sebuah undian dan harus membayarkan pajaknya.
• Banyak yang percaya dengan modus ini
• Social Engineering
• Hipnotis?
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Keamanan
• Keamanan vs Kenyamanan
• Keamanan vs Performansi
Definisi computer security: (Garfinkel & Spafford)
A computer is secure if you can depend on it and its software to behave as you expect
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Peningkatan Kejahatan
• Aplikasi bisnis yang berbasis komputer / Internet meningkat.
• Internet mulai dibuka untuk publik tahun 1995
• Electronic commerce (e-commerce)
• Semakin banyak yang terhubung ke jaringan (seperti Internet).
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Peningkatan Kejahatan
Desentralisasi Server
• Lebih banyak server yang harus ditangani dan butuh lebih banyak SDM dan tersebar di berbagai lokasi. Padahal susah mencari SDM
• Server remote seringkali tidak terurus
• Serangan terhadap server remote lebih susah ditangani (berebut akses dan bandwidth dengan penyerang)
• SDM
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Peningkatan Kejahatan
Transisi dari single vendor ke multivendor.
• Banyak jenis perangkat dari berbagai vendor yang harus dipelajari. Contoh:
• Untuk router: Cisco, Bay Networks, Nortel, 3Com, Juniper, Linux-based router, …
• Untuk server: Solaris, Windows NT/2000/XP, SCO UNIX, Linux, *BSD, AIX, HP-UX, …
• Mencari satu orang yang menguasai semuanya sangat sulit. Apalagi jika dibutuhkan SDM yang lebih banyak
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Peningkatan Kejahatan
User dan teknologi
• Ada kesempatan untuk mencoba - download software dari Internet. (Script kiddies)
• Sistem administrator harus selangkah di depan.
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Peningkatan Kejahatan
Kompleksitas sistem (teknis dan bisnis)
• Program menjadi semakin besar. Megabytes.
• Gigabytes.
• Pola bisnis berubah: partners, alliance, inhouse development, outsource, …
• Potensi lubang keamanan juga semakin besar.
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Peningkatan Kejahatan
Kesulitan penegak hukum untuk mengejar
kemajuan dunia telekomunikasi dan komputer.
• Cyberlaw belum matang
• Tingkat awareness masih rendah
• Technical capability masih rendah
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Confidentialy / Privacy: usaha untuk menjaga informasi dari orang yang tidak
berhak mengakses.
hanya pengirim dan penerima saja yang
mengetahui isi data
- Sender enskripsi data
- Receiver dekripsi data
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Physical Security
Data
Security
Database
Security
Computer
security
Device
SecurityApplication
Security
Network
Security
Informasi
Security
Securit
y
Level 0
Level
1
Level
2
Level 3
Level.4
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Confidentialy / Privacy:
Privacy lebih kearah data-data yang sifatnya
privat
Confidentiality biasanya berhubungan dengan
data yang diberikan ke pihak lain untuk keperluan
tertentu (misalnya sebagai bagian dari
pendaftaran sebuah servis) dan hanya
diperbolehkan untuk keperluan tertentu tersebut.
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Confidentialy / Privacy:
• Electronic Privacy Information Center http://www.epic.org
• Electronic Frontier Foundartion http://www.eff.org
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Authentication Pengirim dan penerima ingin
mengkonfirmasikan masing-masing identitas
metoda untuk menyatakan bahwa informasi
betul-betul asli, orang yang mengakses atau
memberikan informasi adalah betul-betul
orang yang dimaksud, atau server yang kita
hubungi adalah betul-betul server yang asli.
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Authentication
Menggunakan:
• what you have (identity card)
• what you know (password, PIN)
• what you are (biometric identity)
• Claimant is at a particular place (and time)
• Authentication is established by a trusted third party • 1.
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Authentication
Tahapan Autentifikasi
• Autentikasi untuk mengetahui lokasi dari peralatan pada suatu simpul jaringan (data link layer dan network layer)
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Authentication
Tahapan Autentifikasi
• Autentikasi untuk mengetahui lokasi dari peralatan pada suatu simpul jaringan (data link layer dan network layer)
• Autentikasi untuk mengenal sistem operasi yang terhubung ke jaringan (transport layer)
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Authentication
Tahapan Autentifikasi
• Autentikasi untuk mengetahui lokasi dari peralatan pada suatu simpul jaringan (data link layer dan network layer)
• Autentikasi untuk mengenal sistem operasi yang terhubung ke jaringan (transport layer)
• Autentikasi untuk mengetahui fungsi/proses yang sedang terjadi di suatu simpul jaringan (session dan presentation layer)
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Authentication Tahapan Autentifikasi
• Autentikasi untuk mengetahui lokasi dari peralatan pada suatu simpul jaringan (data link layer dan network layer)
• Autentikasi untuk mengenal sistem operasi yang terhubung ke jaringan (transport layer)
• Autentikasi untuk mengetahui fungsi/proses yang sedang terjadi di suatu simpul jaringan (session dan presentation layer)
• Autentikasi untuk mengenali user dan aplikasi yang digunakan (application layer)
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Authentication
• Cara menanggulangi resiko autentifikasi ???
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Message Intregity pengirim dan penerima ingin memastikan
bahwa data tidak berubah (pada saat
pengiriman atau sesudahnya),
membuktikan bahwa si pengirim memang
mengirimkan data tersebut
Bagaimana kita memastikan data yang
diterima receiver adalah data yang benar ?
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Availability Layanan harus dapat diakses dan tersedia
oleh pengguna yang berhak
Aspek availability atau ketersediaan
berhubungan dengan ketersediaan informasi
ketika dibutuhkan. Sistem informasi yang
diserang atau dijebol dapat menghambat atau
meniadakan akses ke informasi.
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Access Control
Access Control
• Aspek ini berhubungan dengan cara pengaturan akses kepada informasi.
• Hal ini biasanya berhubungan dengan
• klasifikasi data (public, private, confidential, top secret) &
• user (guest, admin, top manager, dsb.),
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Non Repudiation
Non Repudiation
• Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi.
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Security Planning, Policies, and Mechanisms (1)
Jaringan yang aman tidak datang begitu saja
• Membuat perencanaan keamanan
• Berdasarkan perencanaan tersebut, aturan keamanan harus dibuat
• Untuk mendukung aturan tersebut, mekanisme keamanan harus jalankan sesuai pada tempatnya
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Security Planning, Policies, and Mechanisms (1)
Sistem yang aman tidak datang begitu saja
• Membuat perencanaan keamanan
• Berdasarkan perencanaan tersebut, aturan keamanan harus dibuat
• Untuk mendukung aturan tersebut, mekanisme keamanan harus jalankan sesuai pada tempatnya
Tidak bisa hanya dilakukan sekali saja
• Perencanaan keamanan harus dikaji ulang dan direvisi
• Aturan keamanan dievaluasi dan diperbaharui
• Mekanisme keamanan harus di perbaharui, diganti dengan teknologi baru yang tersedia
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Security Planning, Policies, and Mechanisms
• Kelemahan manusia (human error)
• Kelemahan perangkat keras komputer
• Kelemahan sistem operasi jaringan
• Kelemahan sistem jaringan komunikasi
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Security Planning, Policies, and Mechanisms (2)
Perencanaan keamanan didasarkan atas:
Penentuan kebutuhan keamanan yang diperlukan
Penentuan jenis ancaman keamanan
Mengidentifikasi siapa saja yang dapat dipercaya
Aturan keamanan dikembangkan melalui informasi di atas, maka diperlukan spesifikasi yang se detail mungkin
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Security Planning, Policies, and Mechanisms (3)
Aturan keamanan harus dapat menjamin tingkat keamanan yang sesuai dengan aktivitas jaringan, dengan cara:
Memperjelas apa yang harus dilindungi dan mengapa
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Security Planning, Policies, and Mechanisms (3)
Aturan keamanan harus dapat menjamin tingkat keamanan yang sesuai dengan aktivitas jaringan, dengan cara:
Memperjelas apa yang harus dilindungi dan mengapa
Secara jelas menyatakan pertanggungjawaban atas penyediaan perlindungan tersebut
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Security Planning, Policies, and Mechanisms (3)
Aturan keamanan harus dapat menjamin tingkat keamanan yang sesuai dengan aktivitas jaringan, dengan cara:
Memperjelas apa yang harus dilindungi dan mengapa
Secara jelas menyatakan pertanggungjawaban atas penyediaan perlindungan tersebut
Memperjelas apa saja yang diperbolehkan dan tidak diperbolehkan oleh para pengguna
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Security Planning, Policies, and Mechanisms (3)
Aturan keamanan harus dapat menjamin tingkat keamanan yang sesuai dengan aktivitas jaringan, dengan cara:
Memperjelas apa yang harus dilindungi dan mengapa
Secara jelas menyatakan pertanggungjawaban atas penyediaan perlindungan tersebut
Memperjelas apa saja yang diperbolehkan dan tidak diperbolehkan oleh para pengguna
Menyediakan landasan bagaimana menterjemahkan dan mendefinisikan suatu konflik pada aturan berikutnya
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Security Planning, Policies, and Mechanisms (4)
Mekanisme keamanan diimplementasikan untuk menjamin bahwa aturan keamanan dilaksanakan dengan benar
Mekanisme dapat didasarkan atas individu, software dan hardware perangkat keras
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Security Planning, Policies, and Mechanisms (4)
Mekanisme keamanan diimplementasikan untuk menjamin bahwa aturan keamanan dilaksanakan dengan benar
Mekanisme dapat didasarkan atas individu, software dan hardware perangkat keras
Pemilihan mekanisme yang tepat tidak mudah
• Dapatkah mekanisme tersebut dipercaya?
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Security Planning, Policies, and Mechanisms (4)
Mekanisme keamanan diimplementasikan untuk menjamin bahwa aturan keamanan dilaksanakan dengan benar
Mekanisme dapat didasarkan atas individu, software dan hardware perangkat keras
Pemilihan mekanisme yang tepat tidak mudah
• Dapatkah mekanisme tersebut dipercaya?
Penentuan jika mekanisme telah sepenuhnya diimplementasikan, aturan keamanan yang diinginkan akan lebih sulit
• Dapat dibuktikan, tetapi sangat kompleks dan memakan banyak waktu
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Pengamanan Sistem
• Network security
fokus kepada saluran (media) pembawa informasi
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Pengamanan Sistem
• Network security
fokus kepada saluran (media) pembawa informasi
• Application security
fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah database
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Pengamanan Sistem
• Network security
fokus kepada saluran (media) pembawa informasi
• Application security
fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah database
• Computer security
fokus kepada keamanan dari komputer (end system), termasuk operating system (OS)
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Penilaian terhadap perlindungan yang effektif (safeguard)
• keamanan fasilitas fisik jaringan
• keamanan perangkat lunak
• keamanan pengguna jaringan
• keamanan komunikasi data
• keamanan lingkungan jaringan
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Mekanisme Pengamanan
• User awareness: memasyarakatkan tujuan-tujuan keamanan (security goals) dan resiko yang dapat muncul kepada user
• Physical protection: Gembok dan kunci dapat mencegah unauthorized access ke gedung tempat sistem komputer berada
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa
Mekanisme Pengamanan
• Cryptography: untuk mewujudkan confidentiality dan integrity
• Access Control: menentukan daftar user yang boleh membaca, menulis dan mengeksekusi
• Auditing: merekam seluruh aktivitas dalam sistem • Memungkinkan pendeteksian kebocoran
keamanan (serangan yang tidak dapat dicegah)
D3 Teknik Telekomunikasi, Sanggup, Mampu, Bisa