Dasar Keamanan Jaringan · • Sistem komputer dan jaringannya memiliki kerawanan terhadap serangan...
Transcript of Dasar Keamanan Jaringan · • Sistem komputer dan jaringannya memiliki kerawanan terhadap serangan...
Dasar Keamanan Jaringan
• Sistem komputer dan jaringannya memiliki kerawanan terhadap serangan sepanjang hidupnya
• Tidak ada sistem berbasis komputer yang mampu mengamankan dirinya dari semua kemungkinan serangan
• Upaya yang dapat dilakukan adalah membuat hacker atau cracker kesulitan dalam mengganggu sistem
• Sistem keamanan jaringan adalah suatuperlindungan data selama transmisi dilakukan
• Untuk menjamin keaslian data yang ditransmisikan, dan memelihara kerahasiaan, integritas, dan ketersediaandata.
Aspek Keamanan
• Confidentiality; Perlindungan terhadap kerahasiaan data
• Integrity; Menjaga konsistensi data• Authentication; Jaminan mengenai keaslian
identitas sumber data• Availability; Legitimate user memiliki akses kapan
pun mereka membutuhkanya• Access control; Unauthorised user tidak dapat
mengakses data
Jenis Serangan
• Interupsi; sebuah system yang dirusak sebelum sampai ke tujuan
• Interception; user yang tidak berhak(unauthorized) mendapatkan akses file.
• Modifikasi; user yang tidak berhak tidak hanya mendapatkan akses tetapi juga dapat merubahnya
• Fabrication; user yang tidak berhak memasukkan atau menyelipkan obyek ke dalam sistem.
Kelemahan TCP/IP• Target spoofing
X adalah kekasih Y, dan Z berpura-pura menjadi X• Session hijacking
X menelpon Y, dan Z mengambil-alih percakapan• Dapat dimanipulasi
Y kirim parsel ke X, dan Z mengganti isi parsel dengan bom
• Denial of Service (DoS)Jalan ke rumah Y hanya muat 1 mobil, Z memarkirkan 4 mobil memenuhi jalan agar X tidak dapat berkunjung ke rumah Y
Klasifikasi Keamanan
• Network security; Fokus kepada media pembawa informasi/data, seperti jaringan komputer
• Computer security; Fokus kepada komputer(server, workstation, terminal), termasuk di dalamnya masalah yang berhubungan dengan operating sistem
• Application security; Fokus kepada program aplikasi (software) dan database
Confidentiality
• Sniffer• Virus• Spyware• Keylogger• Biasanya mengambil user id dan password
TELNET ►ssh(Secure Shell)FTP ►scp(Secure Copy)HTTP ►https
• Pencegahan : Kriptografi
Integrity
• Data atau informasi tidak boleh berubah (tampered, altered, modified) tanpa ijin dari pemilik
• Serangan: virus, trojanhorse, man in the middle attack
• Pengamanan terhadap aspek ini adalah dengan menggunakan (digital) signature, checksum, hash algorithm, danteknik-teknik lain
Authentication
• Digunakan untuk meyakinkan keaslian data, sumber data, orangyang mengakses data, dan server yang digunakan
• Implementasi menggunakan: tanda pengenal, password, digital signature, dan biometrics
• Pengamanan ◦Intrusion Detection System (IDS),◦Backup, „ ◦Audit trail,„ ◦Dissasterrecovery, ◦Pembuatanmirror darisistemditempatlain
Availability
• Menjamin bahwa data dan informasi harus dapat tersedia ketika dibutuhkan
• Jenis Serangan ◦DOS (Denial of Service) ◦DDOS ( Distributed Denial of Service)
Access Control
• Membatasi atau mengatursi apa boleh melakukan apa. Biasanya akses ke suatu data atau sistem memiliki tingkat (level, jenjang)
• Pengamanan◦Menggunakanpassword,◦Penggunaan biometrik(tangan, sidik jari jempol, mata)◦Filtering IP Address
Cryptography
• Cryptography merupakan salah satu bidang kajian dalam bidang Informatika yang sangat populer dewasa ini
• Hal ini seiring dengan semakin berkembangnya teknologi jaringan komputer dan internet
• Semakin banyaknya aplikasi yang muncul memanfaatkan teknologi jaringan ini
• Beberapa aplikasi tersebut menuntut tingkat aplikasi pengiriman data yang aman
Secure Application• Aplikasi yang aman dituntut karena adanya proses
transaksi data yang bernilai ekonomis dan bisnis• Beberapa aplikasi tersebut seperti electronic
banking(e‐banking),electronic bussiness(e‐bussiness),electronic market(e‐market),electronic publishing(e‐publishing),electronic university(e‐university)
• Semua aplikasi berbasis teknologi internet tersebut diatas,menuntut adanya jaminan keamanan terhadap semua paket data yang dikirim dalam proses bussiness transaction
Enkripsi
• Enkripsi adalah sebuah metoda untuk merubah sebuah data asli menjadi sebuah bentuk data yang tidak dapat di baca (ciphertext)
• Tujuannya adalah untuk melindungi kerahasiaan data yang sedang dikirimkan dari pihak siapapun selain dari tujuan pengiriman data
Proses Enkripsi
Kategori Enkripsi
• Enkripsi Kunci rahasia (private key encyption), terdapat sebuah kunci yangdigunakan untuk meng‐enkripsi dan men‐dekripsi informasi
• Enkripsi Kunci publik(public key encryption), terdapat dua kunci yangdigunakan,satu untuk enkripsi,lainnya untuk dekripsi
• Fungsi One‐Way,informasi dienkripsi untuk menciptakan signature dari informasi asli yang digunakan untuk keperluan autentikasi
Proses Enkripsi dan Dekripsi
Kunci (key)
• public-key : untuk enkripsi• private-key : untuk dekripsi• secret-key : untuk enkripsi dan dekripsi• Kunci simetris; menggunakan kunci rahasia
untuk enkripsi dan dekripsi. Contoh algoritma DES
• Kunci asimetris; menggunakan kunci privat dan kunci publik. Contoh algoritma RSA
Enkripsi Konvensional
Enkripsi Public Key
Firewall
Apa itu firewall
• Firewall adalah suatu mekanisme, sehingga suatu client dari luar dilarang/dibolehkan mengakses ke dalam jaringan (atau client yang berada di dalam dilarang/dibolehkan mengakses keluar jaringan) berdasarkan aturan-aturan yang ditetapkan.
• Seperti pos satpam di suatu instansi/perumahan• Bekerja di layer: antara 3 dan 4 (bahkan 5) di TCP/IP Model• Firewall adalah sebuah sistem atau grup sistem yang menjalankan kontrol
akses keamanan diantara jaringan internal yang aman dan jaringan yang untrusted seperti internet.
• Firewall didesain untuk mengijinkan trusted data lewat, menolak layanan yang mudah diserang, mencegah jaringan internal dari serangan luar yang bisa menembus firewall setiap waktu
Istilah-istilah
• Masquerading – Allows many machines to use the appear to come from the
same IP address– Connections can only be initiated by internal host
• NAT – Network Address Translation– The term “NAT” can mean many different things, see
RFC2663 for details– Generally some router-level mapping and conversion
between a set of private IP addresses and a single public IP address (IP Masq) or set of public IP addresses.
Mengapa butuh
• To implement your policy!• To manage the risks of providing your services.• To segregate networks with different policies.• To provide accountability of network resources.
• Firewalls mitigate risk• Blocking MOST threats• They have vulnerabilities as well• Improper configuration is the largest threat
Cara kerja• Dengan meneliti paket-paket yang lewat firewall itu dan
mencocokkannya dengan melihat daftar/aturan yang diberikan kepadanya.
• Firewalls block certain traffic, while allowing other traffic to pass. • Different types of firewalls pass traffic using different methods
• Packet Filtering• Proxy• Connection State Analysis
Firewall
Boleh lewat mbak ? Nih
surat-suratnya Anak kecil ga boleh keluar.. sudah malam
Komponen Sistem Firewall
• Firewall dapat berupa PC, router, midrange, mainframe, UNIX workstation, atau gabungan dari yang tersebut diatas.
• Firewall dapat terdiri dari satu atau lebih komponen fungsional sebagai berikut :- Packet-filtering router- Application level gateway (proxy)- Circuit level gateway
Ada dua tipe utama
• Firewalls rules are created to match policy • Rules are based on:
– Routing based filters (Who – siapa)• Sender and Destination• berasal dari mana ?• Mau ke mana ?• Tidak peduli mau ngapain di sana
– Content based filters (What – mau apa)• TCP/IP Port numbers and Services • Apa yang akan kamu lakukan di sana ?• Tidak semudah yang nomer 1, sebab kadang-kadang bisa ditipu
seorang client
Dua pendekatan aturan
• Default allow– Mengijinkan semua lewat kecuali yang terdaftar– Place roadblocks/watch gates along a wide open
road.
• Default deny– Semua dilarang lewat kecuali yang terdaftar – Build a wall and carve paths for everyone you like.
Problems
• Firewalls as filters can be considered for most part to be infallible... but as a security measure? They can only enforce rules (generally static)
internet
Firewall
Problems
• “Crunchy on the outside, but soft and chewy on the inside.”
internet
Jaringan kita
Jaringan terpercaya
Firewall
Setting Firewall
• Using the “DMZ” (DeMilitarized zone) to your advantage
• Firewalls as Intrusion Detection devices• Configure VPN’s for management
DMZ Configuration• Separate area off the firewall• Different network segments may have different policies
– Departments– Service areas– Public Services– Internal Services
• Usually a different subnet• Commonly used to house Internet facing machines (i.e. Web
Servers)• Has its own firewall policy
DMZ Configuration• Place web servers in the “DMZ” network• Only allow web ports (TCP ports 80 and 443)
internet
Firewall
Web Server
DMZ Configuration• Don’t allow web servers access to your network• Allow local network to manage web servers (SSH)• Don’t allow servers to connect to the Internet• Patching is not convenient
Firewall
Web Server
internet
Mas ..yang merah gak boleh
lewat lho
DMZ Configuration
Firewall
Web Server
Jaringan Lokal:•Semua boleh
menghubungi web-server (port 80/443
•PC-PC tertentu boleh menghubungi server lewat SSH (port 22)
•Server tidak boleh menghubungi jaringan lokal
Internet:•Semua boleh
menghubungi web-server (port 80/443
•Selain layanan web tidak diperkenankan
•Server tidak boleh jalan-jalan di internet
Firewall sebagai IDS
• IDS = Intrusion Detection System• Collect log information from the deny rules• Find Portscanning, hacking attempts, etc…• Isolate traffic with deny rules helps cut down
the information overload
Firewall sebagai IDS
• What to do with ALL that data…..Graph It!• Shows trends, what people are looking for
– Helps prioritize security tasks
• Occasionally you may want to block portscans
Firewall sebagai IDS
• Pay close attention to traffic leaving DMZ• Often the first sign of a compromise• Low traffic rules, so logs aren’t as enormous• Email is nice, provided you’re the only one
reading it
Produk IDS• Commercial
NFR HID, http://www.nfr.com/products/HID/NFR NID, http://www.nfr.com/products/NID/Entercept, http://www.clicknet.com/products/entercept/Snare, http://www.intersectalliance.com/projects/Snare/index.htmlBro, http://www.icir.org/vern/bro-manual/entire.htmlDragon IDS, http://www.enterasys.com/products/ids/
• Free/OpenSourceSnort, http://www.snort.org/Prelude IDS, http://www.prelude-ids.org/Swatch, ftp://ftp.stanford.edu/general/security-tools/swatchSnips, http://www.navya.com/software/snips/
Firewall Produk• Commercial
Ascend, http://www.ascend.com/Cisco PIX, http://www.cisco.com/Firewall-1, http://www.checkpoint.com/Netscreen, http://www.netscreen.com/
• Free/OpenSourceIP Filter, http://coombs.anu.edu.au/~avalon/IPFW, http://www.freebsd.org/doc/en/books/handbook/firewalls.htmlIP Tables, http://www.netfilter.org/Packet Filter (PF), http://www.benzedrine.cx/pf.html
VPN
• VPN = Virtual Private Network• VPN is far more secure than other
management methods:– SSL and SSH are vulnerable to Man-In-The Middle
Attacks– Telnet and SNMP are clear text– There are no known MIM attacks against IPSEC
(Yet)
VPN
• VPN clients are supported on most platforms• Most firewalls will work with most clients• Netscreen now officially supports FreeSwan• Mac OS X is now supporting VPN
Conclusions
• People don’t just put up a thick front door for their sensitive belongings, you shouldn’t for your network either.
• Firewalls are an effective start to securing a network. Not a finish.
• Care must be taken to construct an appropriate set of rules that will enforce your policy.