Web Security Berbasis Linux Konsep, Sistem, User, Kebijakan, Serta Kaitannya Terhadap Smart City dan Internet Of Things (IOT) Oleh :
I Putu Agus Eka Pratama, ST MT Information Network and System (INS) Research Lab STEI ITB http://www.slideshare.net/PutuShinoda Presentasi Unikom Bandung 14 Maret 2015 Template oleh Fedora Linux Community https://fedoraproject.org/wiki/Licensing#Content_Licenses
#pendahuluan 1.Saat ini hampir semua produk dan layanan berbasis teknologi informasi, terhubung ke internet dan berbasis tatap muka web. 2. Setiap layanan bukan saja menyajikan kemudahan, tapi juga harus memperhatikan keamanan. Mengapa? Kenyamanan, privasi, dan kepercayaan (Trust) pengguna/konsumen/nasabah.
Disebutkan bahwa keamanan (termasuk juga pada web) mencakup 3 hal utama : sistem, user, dan kebijakan. I Made Wiryana (Univ Gunadarma) Budi Rahardjo (STEI ITB)
#sistem Keamanan (termasuk juga keamanan pada web) dilihat dari sisi sistem, mencakup : perangkat keras (Hardware), perangkat lunak (Software). Ancaman keamanan pada web dapat ditinjau berdasarkan 5 layer TCP/IP (Application Layer, Transport Layer, Network Layer, Data Link Layer, Physical Layer). Setiap layer memiliki potensi celah keamanan dan bentuk serangan (sistem maupun web).
#sistem #cont Application Layer : Deface, SQL Injection, DNS Poisoning, MITM (Man In The Middle). Transport Layer : MITM, SSL/TLS Vulnerability. Network Layer : IP Spoofing, IP Packet Header Fake, DOS/DDOS. Data Link Layer : ARP Poisoning, MAC Flooding. Physical Layer : pencurian data secara langsung ke ruang server, kerusakan oleh manusia/hewan/alam.
#sistem #cont Pencegahan? Penanggulangan? Firewall, update sistem (versi os, kernel os, versi aplikasi) secara berkala, menggunakan SSH untuk remote, menggunakan enkripsi, mengaktifkan SELINUX, mengimplementasikan Honeynet/honeypot/honeywall, menggunakan Deep Packet Inspection (DPI) dan Intrusion Detection System (IDS), memantau service dan port (Scan), menggunakan Kerberos, Audit IT (Security) berkala.
#sistem #cont Contoh : Menggunakan nmap, nikto, dan tool open source lainnya untuk melakukan scan, deteksi, dan penanganan celah keamanan pada web dan server. Menggunakan distro Linux khusus untuk penetrasi sistem. Perintah chkconfig untuk mengecek service. Perintah yum/apt-get/zyper untuk mengecek aplikasi yang telah terinstal.
#user Keamanan (termasuk juga keamanan pada web) dilihat dari sisi user (pengguna), mencakup : manajemen user, security awareness (kesadaran akan keamanan). Ancaman – ancaman keamanan pada sisi user antara lain dengan memanfaatkan psikologis user (Social Engineering, Spam, penipuan via web), kecerobohan user, ketidak tahuan dan ketidak pedulian user terhadap keamanan. Saya dan anda pun adalah user.... :)
#user #cont Penanganan? Penanggulangan? Manajemen user dengan baik pada sistem (hak akses/Privillege), peningkatan pengetahuan dan kepedulian user terhadap pentingnya keamanan (Security Awareness), penggantian password secara berkala, kombinasi password yang baik (kuat, tidak mudah ditebak, mudah diingat). Pada web, SSH, FTP, perlu ada manajemen user dan privillege.
#kebijakan Keamanan (termasuk juga keamanan pada web) dilihat dari sisi kebijakan, tertuang di dalam dokumen ISO (International Organization for Standarization – organisasi untuk standarisasi internasional). Dokumen ISO yg membahas mengenai keamanan pada web, dimuat di dalam ISO27k (ISO 27000), atau disebut juga dengan ISMS (Information Security Management System). Apa saja yang tertuang di dalam ISO27k ini?
#iso27k #isms ISO/IEC 27000 Overview And Vocabulary. ISO/IEC 27001 Formal ISMS Specification. ISO/IEC 27002 Infosec Controls. ISO/IEC 27003 ISMS Implementation Guide. ISO/IEC 27004 Infosec Metrics. ISO/IEC 27005 Infosec Risk Management. ISO/IEC 27006 ISMS Certification Guide. ISO/IEC 27007 Management System Auditing. ISO/IEC TR 27008 Technical Auditing. ISO/IEC 27010 Inter Organization Communication.
#iso27k #isms #cont ISO/IEC 27011 Telecommunication Industry. ISO/IEC 27013 ISMS And IT Service Management. ISO/IEC 27014 Infosec Governance. ISO/IEC TR 27015 Financial Services. ISO/IEC TR 27016 Infosec Economics. ISO/IEC 27018 Cloud Privacy. ISO/IEC TR 27019 Process Control In Energy. ISO/IEC 27031 ICT Business Continuity. ISO/IEC 27032 Cyber Security.
#iso27k #isms #cont ISO/IEC 27033-1 to -5 Network Security. ISO/IEC 27034-1 Application Security. ISO/IEC 27035 Incident Management. ISO/IEC 27036-1 -2 & -3 ICT Supply Chain. ISO/IEC 27037 Digital Evidence (Forensics). ISO/IEC 27038 Document Redaction. ISO 27799 ISO27k Healthcare Industry.
#IOT 1.IOT (Internet Of Things) atau disebut juga dengan M2M (Machine to Machine), mengacu kepada “trend” teknologi saat ini, di mana segalanya (things) terhubung ke internet : komputer, perangkat (Device). 2. IOT menyajikan dua buah tatap muka utama untuk pengguna : WOT (Web Of Things) --> paling umum. MOT (Mobile Of Things) --> smartphone.
#SmartCity 1.Smart City mengacu kepada “konsep” kota pintar (Smart) berbasiskan teknologi informasi, di dalam mengelola potensi2 yg ada maupun memberikan solusi terhadap masalah2 yg ada. 2. Sebagaimana IOT, Smart City diimplementasikan ke dalam aplikasi berbasis desktop, web, dan mobile. 3.Kota Bandung memiliki Bandung Command Center untuk Smart City.
#IOT #SmartCity #WebSecurity IOT dan Smart City banyak diimplementasikan ke dalam layanan berbasis web, sehingga perlu adanya keamanan pada web (Web Security) --> privasi, kenyamanan, kepercayaan, kehandalan. Sebagaimana SDLC (Software Development Life Cycle) pada perangkat lunak, maka keamanan (termasuk pada web) akan terus mengalami fasa perkembangan, serta dimasukan sejak tahap desain dan perencanaan.
Referensi ISO 27000 Security. http://www.iso27001security.com/ Linux Security. http://www.cyberciti.biz/tips/linux-security.html Linux Server Hardening Security. http://www.tecmint.com/linux-server-hardening-security-tips/ Linux Tutorial Internet Security. http://www.yolinux.com/TUTORIALS/LinuxTutorialInternetSecurity.html I Putu Agus Eka Pratama. Smart City Beserta Cloud Computing dan Teknologi – Teknologi Pendukung Lainnya. Informatika Bandung. 2014. I Putu Agus Eka Pratama. Handbook Jaringan Komputer. Informatika Bandung. 2014.
Ada yang ingin ditanyakan? Mari kita diskusikan bersama :) Slide dapat diunduh bebas di www.slideshare.net/PutuShinoda Buku Smart City dan buku Handbook Jaringan Komputer dapat dibeli di toko – toko buku terdekat seIndonesia (Gramedia, Gunung Agung,Toga Mas, Karisma, BI Obses, dll) atau silahkan cek di : www.biobses.com/penulis-201-i_putu_agus_eka_pratama.html Template oleh komunitas Linux Fedora https://fedoraproject.org/wiki/Licensing#Content_Licenses