Computer & Network Security : Information security. Indra Priyandono ST, MKom

+

Computer & Network Security : Information security Indra Priyandono ST, MKom

+

+

Outline n Information

security

n  Attacks, services n  Security

and mechanisms

attacks n  Security services n  Methods of Defense n  Model for Internetwork Security n  Internet standards and RFCs

+

Protection of data 1. Keamanan Komputer: n  Timesharing

sistem: beberapa pengguna berbagi H / W dan S / W sumber daya pada komputer.

n  Remote

login diperbolehkan melalui jaringan.

"Langkah-langkah dan alat-alat untuk melindungi data dan menggagalkan hacker disebut Keamanan Komputer".

+

2. Network Security: Jaringan komputer banyak digunakan untuk menghubungkan komputer di lokasi yang jauh. Meningkatkan masalah keamanan tambahan: n  Data

dalam transmisi harus dilindungi.

n  Konektivitas

jaringan menjadikan setiap komputer lebih rentan.

+

Attacks, Services and Mechanisms Tiga aspek Keamanan Informasi: n  Security

Attack: Setiap tindakan yang menbahayakan keamanan informasi.

n  Security

Mechanism: Sebuah mekanisme yang dirancang untuk mendeteksi, mencegah, atau memulihkan dari serangan keamanan.

n  Security

Service: Sebuah layanan yang meningkatkan keamanan sistem pengolahan data dan transfer informasi. Sebuah layanan keamanan yang menggunakan satu atau lebih mekanisme keamanan.

+

Security Attacks Menurut W. Stallings [William Stallings, “Network and Internetwork Security,” Prentice Hall, 1995.] serangan (attack) n  terdiri

dari: n  Interruption n  Interception n  Modification n  Fabrication

+

Security Attacks

+

Security Attacks: Interruption Attack Interruption: Aset sistem ini hancur atau menjadi tidak tersedia atau tidak dapat digunakan. Ini adalah serangan terhadap ketersediaan. contoh: n  Menghancurkan n  Menonaktifkan n  Membanjiri

beberapa H / W (disk atau line).

sistem file.

komputer dengan proses atau link komunikasi dengan paket.

+

Security Attacks : Interruption Attack n  Denial

of Service (DoS) attack n  – Menghabiskan bandwith, network flooding n  – Memungkinkan untuk spoofed originating address n  Tools: ping broadcast, smurf, synk4, macof, various flood utilities

n  Proteksi: n  Sukar

jika kita sudah diserang n  Filter at router for outgoing packet, filter attack orginiating from our site

+

Security Attacks: Interception Interception: Sebuah akses yang tidak sah untuk mendapatkan aset aset informasi. Ini merupakan serangan terhadap kerahasiaan. contoh: n  Penyadapan

untuk menangkap data dalam

jaringan. n  Menyalin

data atau program yang sah

+

Security Attacks: Interception n  Sniffer

to capture password and other sensitive information

n  Tools: tcpdump, ngrep, linux

sniffer, dsniff, trojan

(BO, Netbus, Subseven) n  Protection: segmentation, switched

promiscuous detection (anti sniff)

hub,

+

Security Attacks: Modification Modification:Sebuah akses yang tidak sah untuk mencari keuntungan atau atau informasi aset. Ini merupakan serangan terhadap integritas. contoh: n  Mengubah

file data.

n  Mengubah

program.

n  Mengubah

isi pesan.

+

Security Attacks: Modification n  Examples: Virus, Trojan, attached

web sites

n  Protection: anti

with email or

virus, filter at mail server, integrity checker (eg. tripwire)

+

Security Attacks: Fabrication Fabrication: Sebuah pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Ini merupakan serangan terhadap keaslian / authenticity contoh: n Penyisipan

catatan dalam file data.

n Penyisipan

pesan palsu dalam jaringan. (pesan

ulangan). n Spoofing

address is easy, spoofed packets

+

Security Attacks: Fabrication n  Fake

mails: virus sends emails from fake users (often combined with DoS attack)

n  Tools: various

packet construction kit

n  Protection: filter

outgoing packets at router

+

Passive vs. Active Attacks Secara garis besar, ancaman terhadap teknologi sistem informasi terbagi dua  Passive Attacks : n Usaha

untuk bisa mendapatkan informasi dari sistem yang ada dengan menunggu informasi-informasi itu dikirimkan di dalam jaringan

n Sangat

sulit unuk dideteksi

+

Passive vs. Active Attacks Active Attacks : n Metode

penyerangan yang dilakukan dengan terlibat dalam modifikasi aliran data

+

+

Passive Threats n  Serangan

pasif adalah jenis serangan yang tidak membahayakan terhadap sebuah sistem jaringan.

n  Serangan

ini tidak menyebabkan hilangnya sumber daya dalam sebuah jaringan

n  Tidak

menyebabkan kerusakan terhadap sebuah sistem jaringan

+

Passive Threats n  Serangan

hanya melakukan pengamatan terhadap semua sumber daya yang terdapat dalam sebuah sistem jaringan

n  Serangan

pasif ini sulit dideteksi karena penyerang tidak melakukan perubahan data.

n  Untuk

mengatasi serangan pasif ini lebih ditekankan pada pencegahan daripada pendeteksiannya

+

William Stalling menyatakan serangan pasif bertujuan adalah untuk mendapatkan informasi yang sedang di transmisikan. Ada dua jenis serangan pasif yaitu

+

+

Passive Threats n  Release

of message : serangan yang bertujuan untuk mendapatkan informasi yang dikirim baik melalui percakapan telepon, email, ataupun transfer file dalam jaringan

n  Traffic

analysis : Serangan yang dilakukan dengan mengambil informasi yang telah diberi proteksi (misal enkripsi) dan dikirimkan dalam jaringan. n  menganalisa sistem proteksi informasi tersebut untuk kemudian dapat memecahkan sistem proteksi informasi tersebut

+

Active Threats n  Active

attacks adalah suatu metode penyerangan yang dilakukan dengan terlibat dalam modifikasi aliran data

n  Jenis

serangan active attacks lebih berbahaya dibanding dengan passive attacks

n  Penyerang

bertujuan untuk masuk ke jaringan, dan akan berusaha mengambil data atau bahkan merusak jaringan

+

Active Threats n  Penyerang

akan berusaha menembus sistem sampai ke level admin jaringan, sehingga dapat melakukan perubahan konfigurasi seperti seorang admin

n  Dibutuhkan

perlindungan fisik untuk semua fasilitas komunikassi dan jalur-jalurnya setiap saat

n  Perlu

mendeteksi dan memulihkan keadaan yang disebabkan oleh serangan ini

+

Active Threats Masquerade: n  Masquerading atau Impersonation yaitu

penetrasi ke sistem komputer dengan memakai identitas dan password dari orang lain yang sah. Identitas dan password ini biasanya diperoleh dari orang dalam.

Replay: n  Dilakukan

dengan cara mengambil data secara pasif dan kemudian mengirimkannya kembali ke dalam jaringan sehingga memunculkan efek yang tidak dapat diketahui.

+

+

+

Active Threats Modification of messages: n  Sebagian

dari pesan yang sah telah diubah untuk menghasilkan informasi lain.

Denial of service: n  Menghambat

penggunaan normal dari komputer dan komunikasi sumber daya. n  Membanjiri jaringan komputer dengan paket. n  Membanjiri CPU atau server dengan proses.

+

+

+

Dampak ancaman Sulit untuk menilai dampak dari serangan yang dijelaskan di atas, tetapi dalam istilah generik berikut jenis dampak yang bisa terjadi: n  Hilangnya

pendapatan n  Peningkatan biaya pemulihan (mengoreksi informasi dan jasa membangun kembali) n  Hilangnya informasi (data penting, informasi kepemilikan, kontrak) n  Kerusakan reputasi n  Kinerja terdegradasi dalam sistem jaringan n  Dll..

+

Security Services n  Confidentiality

(privacy)

n  Authentication

(yang dibuat atau mengirim data)

n  Integrity

(belum diubah)

n  Non-repudiation n  Access

(order adalah final)

control (mencegah penyalahgunaan sumber

daya) n  Availability

/Ketersediaan (permanen, nonpenghapusan) n  Serangan

Denial of Service n  Virus yang menghapus file

+

Confidentiality (Kerahasiaan) n  Defenisi

: menjaga informasi dari orang yang tidak berhak mengakses.

n  Privacy

: lebih kearah data-data yang sifatnya privat ,  informasi yang tepat terakses oleh mereka yang berhak ( dan bukan orang lain). Contoh : e-mail seorang pemakai (user) tidak boleh dibaca oleh administrator.

n  Confidentiality

atau kerahasiaan adalah pencegahan bagi mereka yang tidak berkepentingan dapat mencapai informasi,  berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu dan hanya diperbolehkan untuk keperluan tertentu tersebut.

+

Confidentiality (Kerahasiaan) Cont n  Contoh

: data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) harus dapat diproteksi dalam penggunaan dan penyebarannya.

n  Bentuk

Serangan : usaha penyadapan (dengan program sniffer).

n  Usaha-usaha

yang dapat dilakukan untuk meningkatkan privacy dan confidentiality adalah dengan menggunakan teknologi kriptografi.

+

Authentication n  Adalah

suatu langkah untuk menentukan atau mengonfirmasi bahwa seseorang (atau sesuatu) adalah autentik atau asli. Melakukan autentikasi terhadap sebuah objek adalah melakukan konfirmasi terhadap kebenarannya. Sedangkan melakukan autentikasi terhadap seseorang biasanya adalah untuk memverifikasi identitasnya.

n  Informasi

tersebut benar-benar dari orang yang dikehendaki.

+

Authentication Cont… n  Dukungan

: n  Adanya Tools membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermarking(untuk menjaga “intellectual property” dan digital signature. n  Access control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi. User harus menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya.

n  Pada

suatu sistem komputer, autentikasi biasanya terjadi pada saat login atau permintaan akses.

+

Integrity n  informasi

tidak boleh diubah tanpa seijin pemilik informasi,  keaslian pesan yang dikirim melalui sebuah jaringan dan dapat dipastikan bahwa informasi yang dikirim tidak dimodifikasi oleh orang yang tidak berhak dalam perjalanan informasi tersebut.

n  Contoh

: e-mail di intercept di tengah jalan, diubah isinya, kemudian diteruskan ke alamat yang dituju.

n  Bentuk

serangan : Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin, “man in the middle attack” dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain.

+

Non-repudiation n  Merupakan

hal yang yang bersangkutan dengan sipengirim (seseorang yang telah melakukan transaksi), Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Dukungan bagi electronic commerce.

+

Access Control n  Cara

pengaturan akses kepada informasi. berhubungan dengan masalah authentication dan juga privacy

n  Metode

: Access control seringkali dilakukan menggunakan kombinasi userid/password atau dengan menggunakan mekanisme lain.

+

 Availability

n  Upaya

pencegahan ditahannya informasi atau sumber daya terkait oleh mereka yang tidak berhak, berhubungan dengan ketersediaan informasi ketika dibutuhkan.

n  Contoh

hambatan : n  “denial of service attack” (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubi-tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash. n  mailbomb, dimana seorang pemakai dikirimi e-mail bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-

+

Availability Cont… n  Dampak

hambatan : sistem informasi yang diserang atau dijebol dapat  menghambat atau meniadakan akses ke informasi.

+

Ancaman (Security Threats) n  Perlu

diidentifikasi acaman terhadap sistem n  Darimana saja ancaman tersebut n  Dari dalam organisasi (pegawai)? n  Dari luar organisasi (crackers, kompetitor)?

n  Sumber: oleh

manusia (sengaja, tidak sengaja) atau alam (bencana, musibah)?

n  Tingkat

kesulitan

n  Probabilitas

ancaman menjadi kenyataan

+

Methods of Defence n  Encryption n  Software

Controls (pembatasan akses dalam database, dalam sistem operasi melindungi setiap pengguna dari pengguna lain)

n  Hardware n  Policies n  Physical

Controls (smartcard)

(sering mengubah password) Controls

+

+

+

ANCAMAN

CONTOH

Bencana alam dan politik

Gempa bumi, banjir, kebakaran, perang.

Kesalahan manusia

Kesalahan pemasukkan data. Kesalahan penghapusan data.

Kegagalan perangkat lunak dan perangkat keras

Gangguan listrik. Kegagalan peralatan. Kegagalan fungsi perangkat lunak.

Kecurangan dan kejahatan komputer

Penyelewengan aktivitas. Penyalahgunaan kartu kredit. Sabotase. Pengaksesan oleh orang yang tidak berhak

Program yang jahat / usil

Virus, cacing (worm), bom waktu, dll.

+

Gangguan-gangguan terhadap Tek. Sistem informasi Gangguan terhadap teknologi sistem informasi yang dilakukan secara tidak sengaja dapat terjadi karena : Kesalahan teknis (technical errors) n  Kesalahan

perangkat keras (hardware problems) n  Kesalahan di dalam penulisan sintak perangkat lunak (syntax errors) n  Kesalahan logika (logical errors)

+

Gangguan-gangguan terhadap Tek. Sistem informasi Gangguan lingkungan (environmental hazards)  n  Kegagalan

arus listrik n  Kegagalan karena petir n  Kegagalan karena gempa n  Kegagalan karena banjir

Kesalahan manusia (human errors)

+

Gangguan-gangguan terhadap Tek. Sistem informasi Kegiatan yang disengaja untuk menganggu teknologi sistem informasi termasuk dalam kategori : n 

Computer abuse : adalah kegiatan sengaja yang merusak atau menggangu teknologi sistem informasi.

n 

Computer crime (Computer fraud) : adalah kegiatan computer abuse yang melanggar hukum, misalnya membobol sistem komputer.

n 

Computer related crime : adalah kegiatan menggunakan teknologi komputer untuk melakukan kejahatan, misalnya dengan menggunakan internet untuk membeli barang dengan menggunakan kartu kredit.

+

Cara Melakukan Gangguangangguan Ada tiga cara untuk melakukan gangguan terhadap teknologi sistem informasi : n  Data Tampering n  Penyelewengan n  Penetrasi

program

ke teknologi sistem informasi