KEAMANAN JARINGAN (TK-3193)
-
Upload
petronella-meris -
Category
Documents
-
view
50 -
download
2
description
Transcript of KEAMANAN JARINGAN (TK-3193)
KEAMANAN JARINGAN
(TK-3193)
Tujuan Mata Kuliah
Setelah mengikuti matakuliah ini diharapkan mahasiswa mampu:
• Memahami konsep dasar keamanan jaringan• Memahami teknik penyerangan jaringan • Memahami teknik pengamanan jaringan• Memahami Manajemen Resiko Keamanan Jaringan• Mengetahui Aspek Hukum/Legal Keamanan Jaringan
Silabus1. Teknik Penyerangan
OSI Layer, konsep keamanan jaringan, teknik penyerangan, …
2. Teknik Pengamanan / PertahananOtentikasi & kriptografi, firewall/iptables, vpn dan
IDS3. Pengelolaan Resiko Keamanan, beserta
aspek Hukum/Legalitas
IDS/IPS
Instrusi
• Intrusi : Tindakan-tindakan yang mencoba untuk mengganggu/merusak Confidentiality, Integrity, or Availability dari sumber daya komputer. Pelaku disebut intruder.
• Kategori Intruder menurut Anderson:– Masqueraders: pelaku tidak memiliki akses ke sistem, dan melakukan
serangan untuk mendapatkan akses/akun legitimate.– Misfeasor: Pengguna legitimate yang mencoba mengakses data,
programs atau sumber daya yang melebihi hak/kewenangannya. – Clandestine user: Pelaku yang merampas akses supervisory
(root/admin) dan memanfaatkannya untuk mengelabui atau menghilangkan akses kontrol/audit.
Intrusion Detection system (IDS)
• IDS merupakan system waktu nyata (realtime system) yang dapat mendeteksi intruder dan tindakan mencurigakan serta memberikan laporan kepada sebuah sistem pengawasan.• Dapat berupa hardware atau software• Dirancang untuk memonitor/mengawasi/mencatat ,
menganalisa dan melaporkan/merespon kejadian pada sistem komputer dan jaringan
• Kejadian yang dimaksud adalah yang mengindikasikan pelanggaran kebijakan/gangguan keamanan.
6
IDS terdiri dari:• Sensors
appliance atau perangkat lunak yang melakukan analisa lalulintas data jaringan atau penggunaan sumberdaya pada sebuah peralatan/system untuk mengidentifikasi intrusi atau aktifitas mencurigakan.
• IDS managementPeralatan-peralatan yang digunakan untuk melakukan konfigurasi dan pengelolaan sensor serta mengumpulkan data peringatan dari sensor.
• FrontendAlat bantu yang digunakan untuk memahami statistik dan pola yang terjadi pada IDS/IPS terpasang.
Intrusion Prevention System (IPS)
• IDS + Tindakan pencegahan– Mematikan koneksi– Block akses dari sumber– Mengarahkan ke honeypot
• Biasanya dipasang secara inline pada jaringan.
Honeypot: sebuah system yang dirancang untuk menerima serangan, dimonitor dan dianalisa untuk pengolahan lebih lanjut. (misal: counter attack, pelacakan, pembuatan signature/pola serangan).
Jenis IDS
• Network-Based IDS (NIDS)• Host-based IDS (HIDS)
Host-based IDS
• Perangkat lunak (Agents) dipasang pada komputer untuk memonitor packet yang diterima atau dikirim.
• Melakukan analisa log(log analysis), pengecekan integritas file (file integrity checking), monitoring kebijakan ( policy monitoring), rootkit detection, real-time alerting dan active response.
• System Integrity Verifier (SIV), melakukan pendeteksian perubahan system dalam mengidentifikasi intrusi. SIV pada dasarnya termasuk HIDS.
Contoh: Cisco Security Agent (CSA) , OSSEC, Tripwire
Firewall
Corporatenetwork
Agent
Untrustednetwork
Agent Agent Agent
Agent Agent
DNS serverWWW server
Agent Agent
Host-Based Intrusion Detection
Network-based Intrusion Detection• Terhubung ke sebuah segmen jaringan• Satu sensor IDS dapat memonitor banyak hosts.• Sensor NIDS tersedia dalam 2 format:
– Appliance: terdiri dari sistem komputer yang memiliki software yang sudah terpasang. Biasanya memiliki NIC, prosesor dan memory/hardisk yang dirancang bekerja untuk keperluan capture traffic secara efisien dan menganalisanya.
• Misal: Cisco IDS 4200 series, IBM Real Secure Network– Software: Software terpasang pada sebuah server dan
ditempatkan dijaringan yang ingin dimonitor.• Misal: Snort, Bro, Untangle
Corporatenetwork
DNSserver
WWWserver
SensorSensor
FirewallUntrustednetwork
Network-Based Intrusion Detection
Management System
Cara Kerja (1)
Cara Kerja (2)
Indikasi Deteksi
Metoda Deteksi Intrusi
• Anomaly-based• Signature-based• Stack based/Statefull Protocol Analysis
Anomaly Based• Packet yang dimonitor akan dibandingkan dengan batasan
pada kondisi penggunaan normal dan memberitahukan ketika batasan dilanggar.
• Ada korelasi antara penggunaan bandwidth, jenis protokol, port dan peralatan.misal:– Penggunaan bandwidth pada kondisi normal– Jumlah login yang gagal– Level pemakaian resource (processor, memory, dll)
• Memiliki skala waktu dan durasi (Harian / Mingguan, dll)• Cenderung banyak memunculkan False Positive• Sulit Dianalisa
Signature Based
• Dikenal juga dengan nama misuse detection• Packet yang dimonitor akan dibandingkan dengan database
signature attack yang sudah dikenal. Mirip dengan cara kerja antivirus.– Akses telnet/ssh dengan account root.– Urutan pengiriman packet tertentu.
• Lebih tahan terhadap False Positive• Kurang efektif untuk attack yang baru (zero day exploit)
signature• Signatures
– sekelompok pola yang dapat mengindentifikasi sebuah serangan.
• Jenis Signature– Atomic (Pola yang dikenali/terdiri dari sebuah packet)
misal: memuat “/etc/passwd”– Composite (Pola yang terdiri dari urutan beberapa paket)
Stack based/Statefull Protocol Analysis
• Mendengarkan packet pada stack di system operasi (OS), sehingga tidak memerlukan mode promisc pada interface.
• Lebih responsif
Topologi Pemasangan IDS dan IPS (1)
Attacker
Inside
Sensor dijaringan terluar:• Melihat semua traffic yang
ditujukan ke jaringan yang dikelola.• Peluang memunculkan false alarms
(false positives) lebih besar.• Tidak mendeteksi serangan dari
jaringan internal
Sensor di jaringan dalam:• Melihat traffic jaringan yang
diizinkan firewall saja• Peluang memunculkan false
alarms (false positives) lebih rendah.
Internet
CorporateNetwork
Topologi Pemasangan IDS dan IPS (2)
ManagementServer
IPS Sensor
Firewall RouterSwitchSwitch Untrusted
Network
DNSServer
WWWServer
DMZ
SwitchIDS Sensor
Agent
Pengamanan IDS/IPS
• Hardening (OS/System)• Update• Akun terpisah user dan admin• Akses jaringan dibatasi• Encrypt komunikasi
Hal Lain Terkait IDS
• Promisc mode pada switch dapat dilakukan dengan port mirroring atau SPAN port
• Perlu diperhatikan pengaruh fitur packet reassembly pada card ethernet , Large Receive Offload" (lro) and "Generic Receieve Offload" (gro). Jika perlu, matikan fitur tersebut.
ASSESSMENT KAJIAN 2
• Assessment dilaksanakan mulai minggu depan (28 November 2012). Kecuali ada perubahan jadwal yang diberitahukan lewat milis.
• Kemungkinan besar, tidak ada tugas perbaikan nilai.
TERIMA KASIH