Keamanan Jaringan Internet dan Intranet terhadap Lalu Lintas Data dan Informasi DR. Hasyim Gautama
Diseminarkankan pada Orientasi Pengelola Jaringan TIK Kemenag Bali, 28 Juni 2011
Informasi adalah Aset • Informasi adalah aset –seperti aset penting bisnis lainnya– yang memiliki nilai bagi organisasi untuk mencapai tujuan • Konsekuensi: informasi wajib diproteksi secara proper
Kasus Pencurian Data Ferrari Formula 1 tahun 2007: Data teknis mobil Ferrari di Mc Laren
Hukuman untuk Mc Laren: - Kehilangan gelar konstruktor - Denda $100 juta
Kasus Bocor Data Diplomatik Data rahasia Indonesia dimiliki oleh AS. Wikileaks memuat data tsb. di situs static.guim.co.uk
Siklus Pengamanan Informasi
Siklus Informasi
Keamanan Informasi Terjaganya informasi dari ancaman dan serangan terhadap: • kerahasiaan (confidentiality) • keutuhan (integrity) • ketersediaan (availability)
Aspek Keamanan Informasi • Kerahasiaan (confidentiality): pesan hanya bisa terbaca oleh penerima yang berhak • Keutuhan (integrity): pesan yang diterima tidak berubah • Ketersediaan (availability): pesan dapat tersampaikan ke penerima
Gangguan Keamanan • Ancaman – Manusia – Alam
• Serangan – Interupsi: Denial of Service (DoS) – Intersepsi: Packet Sniffing – Modifikasi: TCP Hijacking, Virus Trojan – Fabrikasi: Packet Spoofing
Ancaman Berasal dari: • Manusia • Alam
Ancaman dari Manusia • Staf internal – Mencatat password – Meninggalkan sistem tanpa logout
• Spy – Menyadap data
• Yang ingin tenar – Menginginkan perhatian publik
• Yang ingin coba-coba
Ancaman dari Alam • Temperatur: panas /dingin yg ekstrim • Kelembaban atau gas yg ekstrim: kegagalan AC • Air: banjir, pipa bocor • Organisme, bakteri, serangga • Anomali energi: kegagalan listrik, petir
Serangan • • • •
Interupsi: Denial of Service (DoS) Intersepsi: Packet Sniffing Modifikasi: TCP Hijacking, Virus Trojan Fabrikasi: Packet Spoofing
Denial of Service (DoS) Menghalangi akses pihak yang berhak dg membanjiri permintaan akses fiktif Contoh: serangan TCP SYN, permintaan koneksi jaringan ke server dalam jumlah yang besar
Distributed DoS
Packet Sniffing Mendengarkan dan merekam paket yg lewat pada media komunikasi Contoh: Menggunakan tools packet sniffer: Etherreal, SmartSniffer. Juga digunakan oleh admin jaringan untuk mendiagnosa kerusakan jaringan
Tools Packet Sniffer
Virus Trojan Merekam pesan lalu memodifikasinya dan dikirimkan ke user tujuan Contoh: Virus Trojan Horse, program tersembunyi yang biasanya menempel pada email atau free games software. • Masuk ke sistem • Mengakses file system • Mencuri username dan password
Ilustrasi Virus Trojan Horse
Principles of Infosec, 3rd Ed
Paket Spoofing Mengubah alamat pengirim paket untuk menipu komputer penerima Contoh: Man-in-the-middel-attack, penyerang berperan sebagai pihak di tengah antara pengirim dan penerima.
Man-in-the-middel-attack
Pengamanan Fisik • Pemilihan Lokasi • Konstruksi bangunan • Pengamanan akses – Pengawasan Personil: penjaga & CCTV – Perangkat kontrol akses personil: kunci, security access card & perangkat biometric
Pengamanan Logik (1) • • • • •
Otentikasi user Otorisasi user Enkripsi Tanda Tangan dan Sertifikat Digital Firewall
Pengamanan Logik (2) • • • • •
DeMilitarized Zone (DMZ) Intrusion Detection System (IDS) Server Client Code/script
Otentikasi • Account Locking: akun terkunci jika terjadi kesalahan login bbrp kali • Password Expiration: password harus diubah jika telah melewati batas waktu • Password Complexity Verification: – Panjang minimum – Kombinasi alfabet, nomor dan tanda baca – Tidak sama dengan kata-kata sederhana
Otorisasi Pemberian hak akses thd resource • Access Control List (ACL), untuk kontrol akses: baca, tulis, edit atau hapus • Access Control File (ACF), untuk kontrol akses thd web server: access.conf dan .htaccess • Hak akses terhadap beberapa aplikasi diterapkan dg Single Sign On (SSO)
Enkripsi
Contoh Enkripsi Symmetric • Data Encryption Standard (DES) • Blow Fish • IDEA Asymmetric • RSA • Merkle-Hellman Scheme
Tanda Tangan Digital
Sertifikat Digital
Firewall
DeMilitarized Zone
Intrusion Detection System
Manajemen Keamanan
Plan Act Check
Do
Standar Keamanan Informasi • SNI 27001: tentang Teknologi Informasi – Teknik Keamanan – Sistem Manajemen Keamanan Informasi – Persyaratan;
Komponen SNI 27001 1. 2. 3. 4.
Kebijakan Keamanan Organisasi Keamanan Pengelolaan Aset Keamanan Sumber Daya Manusia 5. Keamanan Fisik & Lingkungan 6. Manajemen Komunikasi & Operasi
7. Pengendalian Akses 8. Akuisisi, Pengembangan & Pemeliharaan Sistem Informasi 9. Manajemen Insiden Keamanan 10. Manajemen Keberlanjutan Bisnis 11. Kesesuaian
Indeks KAMI • Tingkat kematangan keamanan informasi di sebuah organisasi berdasarkan kesesuaian dengan kriteria pada SNI 27001 • Fungsi: indikator penerapan keamanan informasi secara nasional
Level KAMI • Pengelompokan indeks KAMI menjadi lima level berdasarkan Capability Maturity Model Integration (CMMI): 1. 2. 3. 4. 5.
Reaktif Terpantau Proaktif Terkendali Optimal
Fasilitasi • Seminar dan bimbingan Teknis 2011: –Mei di Malang –Juni di Yogya –Juli di Bandung
• Workshop Risk Management • Penetration Test • Konsultansi
Terima Kasih
[email protected]
