Network Security Revisi
Short Description
Network Security...
Description
NETWORK SECURITY
HALAMAN PENGARANG DAN COPYRIGHT
Penyusun & Editor ANANG SULARSO NINA HENDRARINI SIHAR N M P SIMAMORA
Dilarang menerbitkan kembali, menyebarluaskan atau menyimpan baik sebagian maupun seluruh isi buku dalam bentuk dan dengan cara apapun tanpa izin tertulis dari Politeknik Telkom. Hak cipta dilindungi Telkom 2008
undang-undang
@
Politeknik
No part of this document may be copied, reproduced, printed, distributed, modified, removed and amended in any form by any means without prior written authorization of Telkom Polytechnic. 2
Network Security
Politeknik Telkom
Network Security
KATA PENGANTAR
Assalamu’alaikum Wr. Wb Puji syukur atas kehadirat Allah SWT karena dengan karunia-Nya courseware ini dapat diselesaikan. Dengan segala kerendahan hati kami mencoba untuk menyusun courseware ini. Kami mengharapkan dengan membaca courseware ini pembaca memperoleh gambaran apa dan bagaimana keamanan jaringan itu. Namun demikian banyak kekurangan dan kesalahan yang dapat ditemui di sini. Untuk pengembangan selanjutnya kami mengharapkan saran dan kritik dari pembaca. Akhirul kalam kami mengucapkan terima kasih atas segenap perhatiannya Wassalamu’alaikum Wr. Wb.
Bandung, Maret 2009
Penulis
i
Politeknik Telkom
Network Security
DAFTAR ISI KATA PENGANTAR..................................................i DAFTAR ISI............................................................ii 1 Pendahuluan Keamanan Jaringan.........................1 1.1 Konsep Dasar Keamanan Jaringan...............................2 1.2 Kompleksitas Keamanan Jaringan................................4 1.3 Aspek Keamanan Jaringan...........................................6 1.4 Rendahnya Kesadaran Keamanan Jaringan.........8 3. Konsep dan Mekanisme Penyerangan.....26 3.1 Serangan Terhadap Jaringan......................................27 3.2 Teknik Penyerangan..................................................31 3.3 Tahapan Hacking.......................................................35 4. Konsep dan mekanisme pertahanan.................41 ............................................52 5 Antivirus dan Firewall....................................53 5.1 Virus Komputer..........................................................53 5.2 Penyebaran Virus dan Penanggulangannya...............53 5.3 Firewall......................................................................53 6.Kriptografi dan Enkripsi . .54 6.1 Pengantar Kriptografi.................................................55 6.2 Cryptanalysis dan cryptology.....................................59 6.3 Enkripsi dan Dekripsi.................................................60 6.4 Kriptografi dengan menggunakan Key (K).................61 68 7. PERANGKAT KERAS & LUNAK .............69 KEAMANAN JARINGAN......................................69 69 Gambar 7.2 DFL-210 Network Security Firewall.........73 8.Database Security.............................................82 82 8.1 Alasan utama aspek keamanan basis data ...............83 8.2 Klasifikasi file (arsip)..................................................87 8.3 Serangan (attack) terhadap basis data.....................90 ii
Network Security
Politeknik Telkom
Network Security
8.4 Back-up data dan recovery........................................95 12 WLAN Security...............................................127 12.1 WLAN, Karakteristik dan Manfaatnya.....................128 12.2 Serangan Terhadap WLAN.....................................131 12.3 Pengamanan WLAN................................................133 Rangkuman :.....................................................142
iii
Politeknik Telkom
Network Security
1 Pendahuluan Keamanan Jaringan
Overview
Jaringan komputer memungkinkan pemanfaatan sumber daya secara bersama-sama. Sehingga keberlangsungan hidup suatu organisasi atau instansi yang memanfaatkan sumber daya secara bersama-sama, sangat tergantung pada fungsinya. Gangguan sekecil apa pun akan memberikan dampak negatif (kerugian), sehingga diperlukan suatu perlindungan. Keamanan jaringan komputer merupakan upaya untuk memberikan perlindungan sistem atas gangguan yang mungkin timbul, baik gangguan dari dalam maupun dari luar.
Tujuan
1. Memahami konsep dasar keamanan jaringan 2. Memahami kompleksitas keamanan jaringan 3. Memahami aspek keamanan jaringan Network Security
1
Politeknik Telkom
Network Security
4. Memperhatikan kenyataan rendahnya kesadaran akan keamanan jaringan
1.1 Konsep Dasar Keamanan Jaringan Jaringan komputer merupakan sekumpulan komputer otonom yang saling terhubung melalui media komunikasi dengan memakai protokol tertentu. Manfaat jaringan komputer antara lain adalah memungkinkan pemakaian bersama atas sumber daya yang ada. Sumber daya dalam hal ini dapat berupa perangkat keras, perangkat lunak dan data atau informasi. Manfaat lainnya adalah untuk berkomunikasi, meningkatkan kehandalan dan ketersediaan sistem. Manfaat yang demikian besar tentunya akan berkurang sebanding dengan tingkat gangguan yang muncul terhadap jaringan. Ketika jaringan hanya melibatkan perangkat lokal saja, atau dengan kata lain tidak terhubung ke jaringan lain, munculnya gangguan mungkin menjadi suatu hal yang tidak diperhitungkan. Namun ketika jaringan sudah terhubung dengan jaringan lain, misalnya lewat internet, keamanan menjadi suatu hal yang harus dipertimbangkan. Kita lebih mengenali hitam putihnya jaringan sendiri, namun tidak untuk jaringan lain. Keamanan jaringan merupakan upaya memberikan keterjaminan jaringan atas gangguan-ganguan yang mungkin muncul.
2
Network Security
Politeknik Telkom
Network Security
Gambar 1.1 Jaringan Komputer Secara umum, terdapat 3 hal dalam konsep keamanan jaringan, yakni : • Resiko atau tingkat bahaya (risk) menyatakan besarnya kemungkinan gangguan yang muncul terhadap jaringan. • Ancaman (threat) Menyatakan kemungkinan gangguan yang muncul terhadap jaringan • Kerapuhan sistem (vulnerability) Menyatakan kelemahan-kelemahan pada sistem yang memungkinkan terjadinya gangguan Sedangkan keamanan sendiri menyangkut 3 elemen dasar yakni : • Keamanan jaringan (network security) Upaya pengamanan atas jalur / media pengiriman data • Keamanan aplikasi (application security) Upaya pengamanan atas aplikasi-aplikasi dan layanan yang tersedia. Contohnya DBMS • Keamanan komputer (computer security) Network Security
3
Politeknik Telkom
Network Security
Upaya pengamanan atas komputer yang digunakan untuk memakai aplikasi, termasuk di dalamnya adalah sistem operasi Keamanan bukanlah suatu produk jadi yang tinggal pakai dan dapat mengatasi segala gangguan. Keamanan merupakan suatu proses, terus menerus berkembang sesuai dengan perkembangan imu dan teknologi maupun gangguannya.
1.2 Kompleksitas Keamanan Jaringan Pengelolaan keamanan jaringan merupakan suatu hal yang sangat kompleks. Beberapa faktor yang menyebabkan kompleksitas tersebut adalah : • Sharing resources atau berbagi pakai sumber daya Sumber daya dipakai secara bersama-sama oleh banyak user. Sedangkan masing-masing user memiliki tingkat pengetahuan, kepentingan, dan motivasi yang berbeda di dalam memanfaatkan sumber daya. Dari sini ancaman atas sistem dapat muncul. • Keragaman sistem Keragaman sistem, baik dari sisi perangkat keras maupun perangkat lunak, mendatangkan kompleksitas tersendiri dalam hal instalasi, konfigurasi, dan pemakaiannya. Di samping itu setiap perangkat mungkin memiliki kelemahan (bug).
4
Network Security
Politeknik Telkom
•
•
•
•
Network Security
Batasan yang tidak jelas Ketika suatu jaringan tidak terhubung ke jaringan lain, setiap host-nya hanyalah menjadi anggota jaringan yang bersangkutan. Namun ketika jaringan terhubung ke jaringan lain, ada satu atau beberapa host yang menjadi anggota dari jaringan yang bersangkutan sekaligus jaringan yang lain. Banyak titik rawan Pengiriman data antar jaringan, dipastikan melewati banyak host. Kalau pun asal dan tujuan sudah dijamin aman, belum tentu host-host antara juga aman Anonymity Penyerang biasanya menempuh segala agar tidak dikenali oleh sistem. Misalnya tidak menyerang secara langsung dari host-nya, yakni dengan menguasasi host-host antara yang berjenjang sehingga mempersulit pelacakan. Jalur yang ditempuh tidak diketahui Data yang dikirim antar jaringan ada kemungkinan menempuh jalur yang berbeda, tergantung kondisi jaringan saat itu baik menyangkut trafik maupun topologinya.
Ilustrasi berikut menggambarkan gangguan keamanan yang mungkin terjadi ketika mengakses situs internet.
Gambar1.2. Akses Situs Internet Network Security
5
Politeknik Telkom
Network Security
Dari gambar terlihat bahwa terdapat banyak titik yang mungkin timbul gangguan keamanan, bahkan mulai dari host sendiri berupa penyadapan atas data penting / rahasia. Ketika sudah lepas dari host untuk kemudian menuju situs tarjet, data mengalami berbagai gangguan di banyak titik dan dapat dipakai sebagai sarana untuk menyerang host / jaringan kita. Celah keamanan yang memungkinkan munculnya gangguan meliputi : sistem operasi, aplikasi (termasuk basis data) dan jaringan.
1.3 Aspek Keamanan Jaringan Terdapat 3 aspek utama keamanan jaringan meliputi : • Confidentiality / Privacy • Integrity • Availability Serta 4 aspek tambahan, antara lain : • Non-repudiation • Authentication • Access Control • Accountability
Confidentiality / Privacy Adalah kerahasiaan atas data pribadi. Data hanya boleh diakses oleh orang yang bersangkutan atau berwenang. Data tersebut antara lain : - data pribadi : nomor ktp, nomor hp, alamat, penyakit dll - data bisnis : daftar gaji, data nasabah / pelanggan Data-data tersebut sangat sensitif (dilindungi) dalam aplikasi e-commerce maupun healthcare. Serangan yang dapat terjadi berupa penyadapan atas data, dengan cara teknis : sniffing / logger, man in the middle attack; maupun non teknis dengan social engineering.
6
Network Security
Politeknik Telkom
Network Security
Perlindungan yang dapat dilakukan adalah dengan cara enkripsi yakni mengubah suatu format data menjadi format lain yang tersandikan. Integrity Bahwa data tidak boleh diubah (tampered, altered, modified) oleh pihak yang tidak berhak. Serangan muncul berupa pengubahan data oleh pihak yang tidak berhak ( spoofing).Perlindungan yang dapat dilakukan adalah : message authentication code (MAC), digital signature / certificate, hash function, logging. Availability Bahwa data harus tersedia atau dapat diakses saat diperlukan. Serangan yang dapat terjadi berupa peniadaan layanan (denial of service Dos, distributed denial of service Ddos), atau menghambat layanan (respon server menjadi lambat), malware, worm dll Perlindungan berupa : backup, redundancy, IDS, DRC, BCP, firewall Non repudiation Menjaga agar transaksi yang terjadi tidak dapat disangkal atau dipungkiri. Umumnya dipakai pada kegiatan ecommerce. Perlindungan berupa digital signature / certificate, kriptografi, logging. Authentication Meyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan : • what you have (identity card) • what you know (password, PIN) • what you are (biometric identity) Serangan dapat berupa identitas palsu, terminal palsu, situs palsu Access Control Mekanisme untuk mengatur ‘siapa boleh melakukan apa’, ’dari mana boleh ke mana’. Penerapannya membutuhkan Network Security
7
Politeknik Telkom
Network Security
klasifikasi data (public, private, confident, secret) dan berbasiskan role (kelompok atau group hak akses). Contoh ACL antar jaringan, ACL proxy (pembatasan bandwith) dll Accountablity Adanya catatan untuk keperlan pengecekan sehingga transaksi dapat dipertanggungjawabkan. Diperlukan adanya kebijakan dan prosedur (policy & procedure). Implementasi dapat berupa IDS/IPS (firewall), syslog (router).
1.4 Rendahnya Kesadaran Keamanan Jaringan Meskipun keamanan merupakan faktor yang sangat penting bagi fungsionalitas jaringan, ternyata kesadaran untuk masih sangat rendah. Sebagai contoh berdasarkan survei Information Week(USA) : dari 1271 manajer sistem / jaringan, hanya 22% yang menganggap keamanan jaringan sebagai komponen penting. Diperlukan upaya untuk meyakinkan pihak manajemen bahwa investasi di bidang keamanan jaringan memang sangat diperlukan. Di samping itu juga perlu pemahaman pemakai sistem terkait keamanan. Meskipun teknologi keamanan berkembang pesat, tidak berarti gangguan keamanan dapat dihentikan. Bahkan gangguan keamanan juga mengikuti perkembangan tersebut, memanfaatkan kekurangan dan kelebihan teknologi untuk mlakukan gangguan. Berikut ini adalah beberapa catatan gangguan keamanan yang terjadi, baik di luar maupun dalam negeri. Gangguan keamanan luar negeri 1988, RT Moris mengeksploitasi sendmail sehingga melumpuhkan internet. Kerugian yang timbul diperkirakan mencapai $100 juta. Sedangkan Morris dihukum denda $10.000. 1996, menurut FBI National Computer Crime Squad : kejahatan komputer yang terdeteksi kurang dari 15%, dan hanya 10% dari angka tersebut yang dilaporkan. 1996, menurut American Bar Association : dari 1000 perusahaan, 48% nya mengalami computer fraud (penipuan) 8
Network Security
Politeknik Telkom
Network Security
dalam 5 tahun terakhir. 1996, NCC Information Security Breaches Survey, Inggris : kejahatan komputer bertambah 200% dari tahun 1995 hingga 1996. 1997, menurut FBI : kasus persidangan terkait kejahatan komputer naik 950% dari tahun 1996 hingga 1997, dan yang convicted (dihukum) naik 88%. 10 Maret 1997, seorang hacker dari Massachusetts berhasil menyerang sistem komunikasi bandara lokal Worcester, sehingga memutuskan komunikasi menara kendali dan mempersulit pesawat yang akan mendarat 7-9 Februari 2000, terjadi serangan Distributed denial of service (Ddos) terhadap Yahoo, eBay, CNN, Amazon, ZDNet, E-Trade. Diperkirakan serangan menggunakan program Trinoo, TFN. Jumlah kelemahan (vulnerabilities) sistem informasi yang dilaporkan ke Bugtraq meningkat empat kali semenjak tahun 1998 sampai dengan tahun 2000. Dari 20 laporan per bulan menjadi 80 laporan per bulan. 1999, Common Vulnerabilities and Exposure cve.mitre.org mempublikasikan lebih dari 1000 kelemahan sistem. CVE beranggotakan 20 entitas keamanan. 2000, Ernst & Young Survey menunjukkan bahwa 66% responden menganggap security & privacy menghambat (inhibit) perkembangan e-commerce 2001, virus SirCam menyerang harddisk dan mengirimkan file-file ke pihak lain. Sehingga file rahasia dapat tersebar luas. Worm Code Red menyerang sistem IIS, melakukan port scanning dan menyusup ke sistem IIS yang ditemukannya.
Network Security
9
Politeknik Telkom
Network Security
Gangguan keamanan dalam negeri Januari 1999, terjadi serangan terhadap domain Timor Timur (.tp), yang diduga dilakukan oleh orang Indonesia. Kejadian ini terkait dengan hasil referendum Timor Timur. September 2000, mulai banyak penipuan terkait transaksi pelelangan, dengan tidak mengirimkan barang sesuai kesepakatan 24 Oktober 2000, dua warnet di Bandung digrebeg karena menggunakan account dial-up curian Banyak situs web Indonesia (termasuk situs bank) yang didefaced atau diubah tampilannya Akhir tahun 2000, banyak pengguna warung internet yang melakukan kejahatan “carding”. Menurut riset Clear Commerce Inc Texas – AS , Indonesia memiliki carder terbanyak kedua di dunia setelah Ukrania. Satu hal yang menarik dari hasil survei Computer Security Institute (CSI), statistik menunjukkan potensi gangguan terbesar justru berasal dari disgruntled worker (orang dalam). Berikut adalah hasil survei selengkapnya dikutip dari http://www.gocsi.com :
Bisa ditebak, kalau serangan dilakukan oleh orang dalam dan orang tersebut menguasai teknik serangan, kerusakan yang ditimbulkan sangat fatal. Karena tarjet serangan yang vital pasti lebih dikenal oleh orang dalam dibanding orang luar. Bertolak belakang dengan kenyataan di atas, perusahaan riset KMPG merilis hasil surveinya : “79% eksekutif senior terjebak dalam kesalahan berfikir bahwa ancaman terbesar 10
Network Security
Politeknik Telkom
Network Security
terhadap keamanan sistem berasal dari luar (eksternal)”. Keamanan berbanding terbalik dengan kenyamanan. Semakin aman suatu sistem biasanya akan membuat pemakai tidak nyaman, atas antarmuka atau fase yang harus dilewati.
Rangkuman
1. Keamanan merupakan faktor yang sangat penting atas berfungsinya jaringan komputer, sehingga segala manfaatnya dapat dirasakan. 2. Keamanan jaringan adalah upaya menjaga jaringan agar mampu mengatasi segala gangguan, menghilangkan atau meminimalisir akibat gangguan yang timbul. 3. Fokus keamanan jaringan adalah pada saluran atau media transfer data 4. Beberapa hal yang menyebabkan kompleksitas pengamanan jaringan adalah sharing resources, keragaman hardware dan software, batasan yang tidak jelas suatu host, banyaknya titik rawan dan jalur yang berbeda dalam transfer data serta anonimity penyerang. 5. Tiga aspek utama keamanan jaringan adalah confidentiality / privacy, integrity, avalaibility (CIA). Empat aspek tambahannya adalah non repudiation, authentication, access control dan accountability. 6. Orang dalam, ternyata menurut survei, termasuk dalam sumber utama gangguan atas keamanan jaringan. 7. Keamanan berbanding terbalik dengan kenyamanan.
Network Security
11
Politeknik Telkom
Network Security
Latihan
Petunjuk: Pilihlah jawaban yang paling tepat 1. Meyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan, adalah aspek keamanan _____________ A. Confidentiality B. Authentication C. Availability D. Non Repudiation E. Authority 2. Menjaga agar transaksi yang terjadi disangkal atau dipungkiri ______________ A. Confidentiality B. Authentication C. Availability D. Non Repudiation E. Authority 3. Penyerang biasanya menempuh segala dikenali oleh sistem. Hal ini dikenal sebagai ______________ A. Anonymity 12
tidak
agar
dapat
tidak
Network Security
Politeknik Telkom
B. C. D. E.
Network Security
Network Security
Availability Non Repudiation Authority Extremity
13
Politeknik Telkom
Network Security
4. Upaya pengamanan atas aplikasi-aplikasi dan layanan yang tersedia adalah pemahaman dari______ A. Keamanan aplikasi B. Keamanan computer C. Keamanan pribadi D. Keamanan total E. Keamanan sementara 5. Menyatakan kelemahan-kelemahan pada sistem yang memungkinkan terjadinya gangguan sering dikenal dengan ________ A. Kerapuhan sistem B. Kegagalan sistem C. Kerusakan sistem D. Kebenaran sistem E. Kekuatan sistem Soal Essay: 1. Sebutkan elemen dasar keamanan jaringan 2. Jelaskan faktor-faktor yang menyebabkan kompleksitas jaringan 3. Berikan ilustrasi serangan yang terjadi jika mengakses situs internet 4. Sebutkan dan jelaskan aspek-aspek keamanan jaringan 5. Apakah ada keterkaian antar aspek keamanan?
14
Network Security
Politeknik Telkom
Network Security
2.KEAMANAN JARINGAN
Overvie w Penggunaan komputer dapat berupa jaringan dengan konfigurasi tertentu. Hal ini mengakibatkan mekanisme kerjanya juga berbeda dengan komputer tunggal. Akibatnya untuk keamanan juga memerlukan penganan yang spesifik. Tujuan
Network Security
15
Politeknik Telkom
Network Security
1.Mahasiswa mengenali pola kerja jaringan komputer dan kelemahannya 2.Mahasiswa dapat merencanakan kebijakan pengamanan jarinan komputer
PETA KONSEP KEAMANAN JARINGAN
2.I. Arsitektur Jaringan Komputer 7 Layer OSI & proses tiap layer Arsitektur dari suatu jaringan kmputer OSI terdiri dari tujuh lapisan (layer) yang saling indipenden dimana tiap lapisan memiliki fungsi masing masing ,yaitu: Layer 1 – Physical Lapisan ini merupakan media fisik yang digunakan untuk transmisi sinyal-sinyal listrik, sinar maupun gelombang radio guna mengirimkan data. Layer 2 - Data link Pada lapisan ini terjadi pengiriman data antara node berupa frame, juga terjadi pemeriksaan kesalahan dan sebab terjadinya saat transmisi data Lapisan ini terbagi atas dua bagian, yaitu Pertama Media Access Control (MAC) yang mengatur pengiriman data kedua Logical LinkControl (LLC) yang berfungsi sinkronisasi frame, flow control dan pemeriksaan error. 16
Network Security
Politeknik Telkom
Network Security
Pada MAC terdapat mekanisme deteksi tabrakan data (collision). Pada dasarnya , lapisan Data link bertanggung jawab terhadap koneksi dari satu node ke node berikutnya dalam komunikasi data Layer 3 - Network Sebuah router akan menentukan jalur efisien yang akan dilalui paket tersebut. Layer 4 - Transport Lapisan ini bekerja membentuk koneksi yang relative bebas dari gangguan juga terdapat fungsi handling error. Layer 5 - Session Lapisan ini bertanggung jawab membuat koneksi antar session.
dan memutuskan
Layer 6 - Presentation Lapisan ini menentukan bentuk format data yang akan digunakan dalam melakukan komunikasi dan proses enkripsi Layer 7 - Application Pada lapisan terjadi interaksi dengan pengguna dilakukan. Pada lapisan inilah perangkat lunak untuk jaringan komputer dapat diaplikasikan, 2.2. Kelemahan perangkat dan langkah keamanan Adanya perbedaan fungsi tiap lapisan jaringan komputer, membuat perlakuan keamanan yang dilakukan juga berbedabeda. Berikut ini akan dijelaskan mengenai perlindungan terhadap jaringan komputer yang dilakukan pada setiap lapisan dari lapisan terbawah hingga atas. -Layer 1 Terjadi proses pengolahan sinyal dan pengiriman, sinyal mengalami modulasi dan enkoding ,didukung infrastruktur menggunakan media kawat (wired) atau nirkabel (Wireless)
Network Security
17
Politeknik Telkom
Network Security
dan hub sebagai titik akses untuk pengiriman data antar kawat Pemilihan jenis metode transmisi juga mempunyai peranan penting didalam masalah keamanan. Setiap informasi rahasia sebaiknya tidak ditransmisikan secara wireless, terutama jika tiak di enkripsidengan baik, sehingga setiap orang dapat menyadap komunikasi "wireless" yang terkirim. Kelemahan dan serangan yang mungkin terjadi pada lapisan ini Information Leakage: penyerang menyadap kabel sehingga trafik dapat dibaca Denial of Service: perusakanmedia kawat Illegitimate Use: penyerang menyadap kabel lalu menggunakan sumber daya jaringan Integrity Violation: penyerang menyadap kabel lalu menyuntikkan trafik atau trafiknya dikorupsi Langkah pengamanan : mengamankan percabangan (protective trunking,), menggunakan pelindung terhadap gelombang elektromagnet ( electromagnetic shielding) – Layer 2 Pada lapisan ini titik akses jaringan komputer adalah berupa switch pada jaringan dengan media kabel dan access-point pada jaringan nirkabel harus dilindungi. Ada dua mekanisme yang dapat digunakan dalam mengamankan titik akses ke jaringan komputer, yaitu : – Protokol 802.1x Protokol 802.1x adalah protokol yang dapat melakukan otentikasi pengguna dariperalatan yang akan melakukan hubungan ke sebuah titik-akses. . – Mac address
18
Network Security
Politeknik Telkom
Network Security
Peralatan yang akan melakukan akses pada sebuah titikakses sudah terdaftar terlebih dahulu, proses ini dikenal sebagai Mac address Authentication adalah sebuah mekanisme di mana setiap peralatan jaringan komputer disertai identitas yang unik yang menunjukan keotentikan tiap komputer. Pada pengiriman data akan mengandung informasi mengenai identitas peralatan tersebut. Dengan identitas ini ditentukan otorisasi suatu komputer melalui proses penyaringan (filtering). Kelemahan dari metode ini adalah seseorang dapat dengan memanipulasi identitas pada peralatan yang digunakannya, sehingga peralatan tersebut dapat melakukan akses ke sebuah jaringan komputer. Tindakan ini sering disebut sebagai Spoofing. MAC Flooding Perangkat malicious terhubung dengan switch.Kemudian mengirimkan data yang sangat banyak sehingga switch penuh ( flood) , akhirnya switch menolak setiap usaha koneksi ini berarti switch berubah menjadi seperti hub . Langkah keamanan layer ini dalah : • Mengamankan switch secara fisik -Mencegah ancaman illegitimate use. • Menghindari flooded • Memantau pemetaan MAC ke IP address. • Membangkitkan peringatan ke network admin. – Layer 3 Pada lapisan ini, untuk membedakan sebuah peralatan jaringan komputer dengan peralatan jaringan komputer yang lainnya, digunakan alamat IP (Internet Protocol). Semua peralatan computer aktif harus memiliki sebuah nomor IP unik yang akan menjadi identitasnya di jaringan komputer. Pada lapisan ini, metode perlindungan jaringan komputer akan berdasarkan pada alamat IP dan Port. Pada setiap paket data yang dikirimkan oleh sebuah peralatan jaringan Network Security
19
Politeknik Telkom
Network Security
komputer ke peralatan lainnya akan mengandung alamat IP dan Port yang digunakan oleh pengirim serta alamat IP dan Port dari tujuan paket tersebut. Serangan pada lapisan ini Penyerang merusak (corrupt) tabel ruting pada router dengan mengirimkan update yang salah Denial of Service threat. Penyerang dapat me-rekonfigurasi atau mengambil alih pengendalian router dan mengubah tingkah laku router Langkah keamanan Memperbaharui (updating ) tabel ruting. • Menggunakan sistem pengamanan yang biasanya dikenal dengan nama firewall Pada firewall ini dapat melakukan filtering . Pada umumnya firewall diletakkan pada gerbang masuk maupun keluar sebuah sistem jaringan komputer. – Layer 4 /5 Pada lapisan ini, metode pengamanan lebih difokuskan dalam mengamankan data yang dikirimkan. Metode pengamanan yang banyak digunakan adalah : – VPN Virtual Private Network, adalah jaringan privat maya diatas jaringan publik
20
Network Security
Politeknik Telkom
Network Security
Kelebihan VPN • Peningkatan keamanan data Data yang dikirimkan akan terlindungi sehingga tidak dapat dicuri oleh pihak lain karena data yang ditransmisikan melalui VPN melalui proses enkripsi. • Menyederhanakan Topologi jaringan Pada dasarnya, VPN adalah perkembangan dari network tunneling. Dengan tunneling, dua kelompok jaringan komputer yang terpisah oleh satu atau lebih kelompok jaringan computer dapat disatukan. – Layer 7 Lapisan paling atas dari jaringan komputer adalah lapisan aplikasi. Oleh karena itu, keamanansebuah sistem jaringan komputer tidak terlepas dari keamanan aplikasi yang menggunakan jaringan komputer tersebut, baik itu keamanan data yang dikirimkan dan diterima oleh sebuah aplikasi, maupun keamanan terhadap aplikasi jaringan komputer tersebut. Metode-metode yang digunakan dalam pengamanan aplikasi tersebut antara lain adalah: – SSL Secure Socket Layer (SSL) adalah sebuah protokol yang bekerja dengan metode otentikasi, –Topologi Jaringan Topologi jaringankomputer memiliki peranan yang sangat penting dalam keamanan jaringan komputer. Metode keamanan yang diterapkan pada setiap kelompok jaringan komputer juga dapat berbeda 2.3 Desain jaringan dan keamanan Jenis topologi : • Bus • Ring • Star • Mesh Network Security
21
Politeknik Telkom
Network Security
Topologi Bus • Terdiri dari ruas‐ruas kabel coaxial dengan menggunakan konektor T, BNC, danTerminator. • Maksimum 1 bus 30 komputer dan bisa menggunakan repeater untuk menyambung 2 bus. • Tidak memerlukan peralatan tambahan seperti Hub. • Memiliki jangkauan yang dinamis sesuai dengan kabel yang dipakai Topologi ini rentan terhadap penyadapan Topologi Star Menggunakan Hub/Switch, mudah menambah komputer. Jarak radius adalah dalam 500 meter. Komunikasi akan lambat bila ada banyak HUB Menggunakan kabel coaxial dan UTP (Unshielded Twisted Pair) RJ 45 Topologi ini rentan terhadap serangan yang terjadi pada hub dan switch Topologi Ring Bentuk seperti cincin, Komunikasi data menggunakan token yang mengelilingi Ring. Tidak memerlukan hub bila menggunakan kabel coaxial, Perlu hub untuk kabel STP (Shielded Twisted Pair) dan UTP Topologi ini rentan terhadap serangan hub, pada interferensi gelombang karena menggunakan utp.
22
Network Security
Politeknik Telkom
Network Security
Rangkuman
1.Dengan semakin berkembangnya teknologi Internet tingkat gangguan keamanan juga semakin kompleks Setiap lapisan dalam jaringan komputer harus dapat melaksanakan fungsinya secara aman. Pemilihan teknologi yang tepat harus sesuai dengan kebutuhan 2.Tiap lapisan memiliki kelemahan dan dapat mengalami serangan yang berbeda tergantung dari fungsi dan komponen yang digunakan. 3. Langkah keamanan yang dilakukan sesuai dengan serangan yang terjadi 4.Desain topologi juga mempengaruhi efektivitas kinerja jaringan, hal ini dipengaruhi antara lain penggunaan komponen.
Network Security
23
Politeknik Telkom
Network Security
Latihan Petunjuk: Pilihlah jawaban yang paling tepat! 1.Dua kelompok jaringan komputer yang terpisah oleh satu atau lebih kelompok jaringan computer disatukan merupakan dasar prinsip_________ A. MAC B. SSL C. Firewall D. VPN E. Data link
2.Seseorang memanipulasi identitas pada peralatan yang digunakann sehingga peralatan tersebut dapat melakukan akses ke sebuah jari sebaga indakan ini disebut__________ A. B. C. D. E.
Masking Grouping Spoofing Sniffing Caching
3. Metode perlindungan jaringan komputer berdasarkan pada alamat IP dan Port. Dimana firewall diletakkan pada gerbang masuk maupun keluar sebuah sistem jaringan komputer, terjadi pada lapisan___________
24
Network Security
Politeknik Telkom
A. B. C. D. E.
Network Security
5 7 1 2 3
4. Secure Socket Layer (SSL) adalah sebuah protokol yang bekerja dengan metode otentikasi, pada lapisan________: A. Application B. Network C. Transport D. Data link E. Physical 5. Filtering merupakan salah satu mekanisme ___________ A. Sniffing B. Firewall C. Man in the middle D. Hijack E. Spoofing Essay : 1.Bagaimana tingkat keamanan pada jaringan dengan topologi star? Jelaskan! 2. Jelaskan mekanisme SSL dan implementasinya! 3.Jelaskan mekanisme spoofing! 4.Apakah dalam suatu topologi dapat terjadi banyak ancaman? Jelaskan! 5.Jelaskan implementasi VPN! Kelas Virtual : Pelajari mekanisme ,aspek keamanan dengan game Cyber Ciege, Sim City! Buat skenario dan kesimpulan!
Network Security
25
Politeknik Telkom
Network Security
3. Konsep dan Mekanisme Penyerangan
Overview
Serangan terhadap jaringan komputer dapat dilakukan dengan berbagai cara, mulai dari cara yang sederhana hingga yang rumit. Kerusakan yang ditimbulkannya pun beragam, dari gangguan kecil hingga kerusakan hebat. Pemahaman atas serangan yang dilakukan, baik teknik yang dipakai maupun tahapan-tahapan yang harus dilakukan, akan sangat membantu dalam mengatasi serangan tehadap jaringan komputer sehingga kerugian yang timbul dapat ditekan sekecil mungkin. 26
Network Security
Politeknik Telkom
Network Security
Tujuan
1.Memahami jenis serangan terhadap jaringan 2.Memahami teknik penyerangan jaringan 3. Memahami tahapan hacking 3.1 Serangan Terhadap Jaringan Berbagai serangan dapat saja menimpa suatu jaringan komputer, apalagi jika jaringan tersebut terhubung ke zona umum atau internet. Contoh serangan yang mungkin timbul antara lain : • Melakukan interupsi atas data yang sedang dikirim • Memodifikasi data yang sedang dikirim • Mengakses suatu program atau data pada komputer remote • Memodifikasi program atau data pada komputer remote • Melakukan penyisipan komunikasi palsu seperti user lain • Melakukan penyisipan komunikasi sebelumnya secara berulang-ulang • Menahan data tertentu • Menahan semua data • Menjalankan program di komputer remote dll
Network Security
27
Politeknik Telkom
Network Security
Gambar 3.1. Serangan Terhadap Jaringan Beberapa jenis pelaku serangan antara lain : • The Curious (Si Ingin Tahu) Pelaku tertarik untuk menemukan jenis sistem dan data yang ada pada sistem sasaran. • The Malicious (Si Perusak) Pelaku berusaha untuk merusak sistem sasaran • The High-Profile Intruder (Si Profil Tinggi) Pelaku berusaha menggunakan sistem sasaran untuk memperoleh popularitas dan ketenaran. Semakin tenar sasaran, pelaku akan semakin populer. • The Competition (Si Pesaing) Pelaku tertarik pada sistem sasaran karena anggapan bahwa sasaran merupakan pesaing dalam suatu hal, berusaha untuk mengetahui lebih dalam pesaingnya maupun melakukan usaha-usaha untuk menjatuhkan. Banyak istilah yang dipakai untuk menyebut pelaku serangan, di antaranya adalah : • Mundane : mengetahui hacking tapi tidak mengetahui metode dan prosesnya. • Lamer (script kiddies) : mencoba script-script yang pernah dibuat oleh hacker dengan cara download dari internet atau dari sumber yang lain, tapi belum paham cara membuatnya. • Wannabe : memahami sedikit metode hacking, menerapkan dan sudah mulai berhasil menerobos. Pelaku beranggapan HACK IS MY RELIGION. • Larva (newbie) : hacker pemula, mulai menguasai dengan baik teknik hacking, dan sering bereksperimen. • Hacker : melakukan , hacking sebagai suatu profesi. • Wizard : hacker yang membuat komunitas, bertukar ilmu di antara anggota.
28
Network Security
Politeknik Telkom
•
Network Security
Guru, master of the master hacker : hacker dengan aktifitas lebih mengarah pembuatan tools-tools powerfull guna menunjang aktivitas hacking.
Serangan terhadap jaringan komputer dapat dikelompokkan dalam beberapa jenis antara lain : • Interruption : pemutusan komunikasi. Dilakukan dengan cara : memutus kabel, membuat layanan sibuk sehingga komunikasi sulit (Denial of Service DoS), menghabiskan bandwith dengan membanjiri data (network flooding), melalukan spoofed originating address. Tools yang dipakai antara lain : ping broadcast, smurf, synk4, macof, various flood utilities
Gambar 3.2 interruption Interception : berusaha mendapatkan password atau data sensitif lain. Misal password sniffing. Tools yang dipakai antara lain : tcpdump, ngrep, linux sniffer, dsniff, trojan (BO, Netbus, Subseven)
Gambar 3.3. Interception
Network Security
29
Politeknik Telkom
•
Network Security
Modification : melakukan perubahan (termasuk menghapus, men-delay) terhadap data atau program. Serangan ini dapat dilakukan dengan virus atau trojan horse yang ditempelkan pada email atau website.
Gambar 3.4 Modification
30
Network Security
Politeknik Telkom
•
Network Security
Fabrication : melakukan pemalsuan pesan. Misal pengiriman email oleh user palsu, spoofed packet. Berbagai packet construction kit dapat dipakai sebagai tools.
Gambar 3.5 Fabrication
3.2 Teknik Penyerangan Tindakan penyerangan terhadap jaringan komputer dapat dilakukan dengan berbagai cara atau teknik. Teknik penyerangan yang dipakai di antaranya : • Wiretrapping : melakukan interupsi komunikasi antara dua host secara fisik. • Pemalsuan authentication milik orang lain dengan cara mencoba-coba password (brute force attack) • Flooding : mengirimkan pesan-pesan dalam jumlah yang sangat besar ke host tertentu. • Trojan Horse : menggunakan aplikasi palsu yang seolah-olah terlihat seperti aplikasi yang asli tetapi sebenarnya aplikasi tersebut membuat suatu serangan. Beberapa istilah yang dikenal dalam penyerangan antara lain adalah : Scanning Adalah pengujian (probe) atas suatu host dengan memakai tools secara otomatis dengan tujuan tertentu. Misal dipakai untuk mendeteksi kelemahan pada komputer sasaran. Pengujian biasanya dilakukan dengan men-scan port TCP /IP dan servis-servisnya serta mencatat respon komputer sasaran. Hasilnya berupa data port-port yang terbuka, yang Network Security
31
Politeknik Telkom
Network Security
kemudian dapat diikuti dengan mencari tahu kelemahankelemahan yang mungkin bisa dimanfaatkan berdasar port yang terbuka tersebut beserta aplikasi yang dapat digunakan.
32
Network Security
Politeknik Telkom
Network Security
Sniffing Adalah mendengarkan informasi yang melewati suatu jaringan. Host dengan mode promiscuous mampu mendengar semua trafik di dalam jaringan. Sniffer atau orang yang melakukan sniffing, dapat menyadap password maupun informasi rahasia. Keberadaan sinffer biasanya sulit dideteksi karena bersifat pasif. Sniffer ‘mendengarkan’ aliran data pada port Ethernet, utamanya yang terkait dengan string "Password","Login" dan "su", kemudian mencatat data setelahnya. Dengan cara ini, sniffer memperoleh password untuk sistem. Password teks sangat rentan terhadap sniffing. Untuk mengatasinya, dipakai enkripsi , merancang arsitektur jaringan yang lebih aman dan menggunakan One Time Password (OTP). Exploit Eksploit adalah memanfaatkan kelemahan sistem untuk aktifitas-aktifitas di luar penggunaan yang wajar. Spoofing Spoofing adalah penyamaran identitas. Biasanya spoofing terkait dengan IP atau Mac address. IP spoofing dilakukan dengan menyamarkan identitas alamat IP menjadi IP yang terpercaya (misal dengan script tertentu) dan kemudian melakukan koneksi ke dalam jaringan. Bila berhasil akan dilanjutkan dengan fase serangan berikutnya. Denial of Service (DoS) Upaya melumpuhkan layanan yang ada pada suatu sistem. Akibatnya sistem tidak dapat memberikan layanan seperti yangdiharapkan, bahkan bisa down. DoS yang dilakukan dari banyak komputer sumber yang tersebar disebut sebagai Ddos (Distributed denial of service). Beberapa penyebab layanan menjadi lumpuh antara lain : • Jaringan kebanjiran trafik data (misal dengan serangan syn flooding, ping flooding, smurfing). • Jaringan terpisah karena ada penghubung (router/gateway) yang tidak berfungsi.
Network Security
33
Politeknik Telkom
•
34
Network Security
Serangan worm/virus yang menyebabkan trafik jaringan menjadi tinggi dan akhirnya tidak berfungsi
Network Security
Politeknik Telkom
Network Security
Buffer Overflow Adalah kondisi buffer (variabel yang dipakai aplikasi untuk menyimpan data di memori) terisi dengan data yang ukurannya melebihi kapasitasnya sehingga mengakibatkan terjadinya pengisian (overwrite) alamat memori lain yang bukan milik variabel tersebut. Aplikasi yang memiliki akses terhadap sistem dan dapat dibufferoverflow-kan sangat rentan terhadap pengambilalihan hak akses level sistem atau administrator. Malicious Code Malicious code adalah program yang dapat menimbulkan efek yang tidak diinginkan atau kerusakan terhadap sistem jika dieksekusi. Jenisnya antara lain : trojan horse, virus, dan worm.
3.3 Tahapan Hacking Hacking adalah upaya untuk melakukan penetrasi dan eksplorasi terhadap sistem sasaran tanpa menimbulkan kerusakan atau kerugian, juga tidak melakuan pencurian data. Orang yang melakukan tindakan hacking disebut sebagai hacker. Istilah hacker muncul pada awal tahun 1960an di antara anggota organisasi mahasiswa TechModel Railroad Club di Laboratorium Kecerdasan Buatan, Massachusetts Institute of Technology (MIT). Istilah ini untuk menyebut anggota yang memiliki keahlian dalam bidang komputer dan mampu membuat program komputer yang lebih baik ketimbang yang telah dirancang bersama. Pada tahun1983, analogi hacker semakin berkembang, digunakan untuk menyebut seseorang yang memiliki obsesi untuk memahami dan menguasai sistem komputer. Dikenal pula istilah cracker, yakni hacker yang melakukan tindakan desktruktif atau merusak sistem sasaran, menimbulkan kerugian, melakukan pencurian data dll.
Network Security
35
Politeknik Telkom
Network Security
Langkah-langkah hacking anatomi hacking berikut :
diilustrasikan
dalam
gambar
Gambar 3.2. Anatomi Hacking Gambar 3.6 Tahapan Hacking Footprinting Melakukan pencarian sistem yang dapat dijadikan sasaran, mengumpulkan informasi terkait sistem sasaran dengan memakai search engine, whois, dan DNS zone transfer. Scanning Mencari pintu masuk yang paling mungkin dari sistem sasaran yang sudah ditetapkan. Hal ini dapat dilakukan dengan ping sweep dan port scan. Enumeration Melakukan telaah intensif terhadap sistem sasaran dengan mencari user account yang sah, sumber daya jaringan dan sharing-nya serta aplikasi yang dipakai, sehingga diketahui titik lemah dari proteksi yang ada. Gaining Access
36
Network Security
Politeknik Telkom
Network Security
Berusaha mendapatkan data lebih banyak lagi untuk mulai mengakses sistem sasaran. Hal ini dilakukan dengan cara mengintip dan merampas password, menebak password serta melakukan BufferOverflow.
Network Security
37
Politeknik Telkom
Network Security
Escalating Privilege Setelah berhasil masuk ke sistem sasaran, dilakukan usaha untuk mendapatkan privilege tertinggi (administrator atau root) sistem dengan cara password cracking atau exploit memakai get admin, sechole atau lc_messages. Pilfering Melakukan pengumpulan informasi lagi untuk mengidentifikasi mekanisme akses ke trusted sistem, mencakup evaluasi trust dan pencarian cleartext password di registry, config file dan user data. Covering Tracks Setelah kontrol penuh terhadap sistem diperoleh, usaha untuk menutup atau menghilangkan jejak menjadi prioritas, meliputi pembersihan network log dan penggunaan hide tool seperti macam– macam root kit dan file streaming. Creating Backdoors Membuat pintu belakang pada berbagai bagian dari sistem, yang dapat dipakai untuk masuk kembali ke sistem secara mudah dan tidak terdeteksi. Denial of Service (DoS) Bila semua usaha di atas gagal, penyerang dapat melumpuhkan layanan yang ada pada sistem sasaran sebagai usaha terakhir.
38
Network Security
Politeknik Telkom
Network Security
Rangkuman
1. Berbagai jenis serangan dapat terjadi atas jaringan komputer, antara lain : interception, interuption, modification dan fabrication. 2. Teknik serangan yang dilakukan pun beraneka ragam, di antaranya adalah wiretrapping, pemalsuan identitas, flooding dan trojan horse. 3. Hacking merupakan upaya untuk melakukan penetrasi dan eksplorasi atas sistem sasaran tanpa menimbulkan kerusakan dan kerugian serta tidak melakukan pencurian data. 4. Hacker dan cracker mungkin memakai teknik yang sama terhadap sistem sasaran, namun berbeda motivasi dan tujuan. 5. Langkah-langkah hacking terdiri atas footprinting, scanning, enumeration, gaining access, escalating previllege, pilfering, covering tracks, creating backdoor, dan denial of services.
Network Security
39
Politeknik Telkom
Network Security
Latihan Petunjuk: Pilihlah jawaban yang paling tepat! 1. Berikut ini adalah istilah yang terkait dengan penyerang jaringan : A. Mundane C. Wizard E. Semua benar B. Lamer D. Hacker 2. Termasuk dalam jenis serangan adalah : A. Codificatio n
B. Configuratio n
D. Interuption
E. Initalization
C. Semua benar
3. Tidak termasuk dalam anatomi hacking adalah : A. Piltering C Creating E. backdoor Enumeration B. Gaining D. DoS access 4. Tools berikut dipakai dalam footprinting : A. yahoo C. whois E. a,b benar,c salah B. google D. a,b,c benar 5. Trojan horse dapat melakukan serangan : A. interception C. fabrication E. a,b,c salah B. modification D. a,b,c benar Soal essay : 1. Sebutkan elemen dasar keamanan jaringan 2. Jelaskan faktor-faktor yang menyebabkan kompleksitas jaringan 40
Network Security
Politeknik Telkom
Network Security
3. Berikan ilustrasi serangan yang terjadi jika mengakses situs internet 4. Sebutkan dan jelaskan aspek-aspek keamanan jaringan Latihan Kelas Virtual : Lakukan serangan ke sebuah lokal server hingga terjadi DOS
4. Konsep dan mekanisme pertahanan
Overview
Tahap awal dalam menentukan kebijakan dan strategi pengamanan yang efektif adalah dengan mengenali ancaman atau serangan yang mungkin datang. Kemudian perlu Menentukan tingkat keamanan yang diinginkan, dan memperkirakan metode apa yang akan digunakan untuk mencari solusi Network Security
41
Politeknik Telkom
Network Security
Tujuan
1. Mahasiswa mengetahui kelemahan, ancaman dan seranga yang terjadi ada suatu jaringan 2. Mahasiswa dapat mengenal konsep pertahanan 3. Mahasiswa dapat melakukan estimasi dan merencanaka langkah keamanan guna memperoleh keamanan jaringan 4.1 Kelemahan dan ancaman Keamanan jaringan adalah suatu proses guna melindungi semua komponen yang ada pada jaringan. Untuk itu harus ditentukan terlebih dahulu tingkat ancaman yang akan terjadi , dan memperkirakan resiko yang harus diambil maupun yang harus dihindari. Berikut akan dibahas mengenai ancaman, kelemahan, dan strategi pengamanan. Ancaman Biasanya ancaman timbul akibat adanya kelemahan, yang terjadi karena tidak terpenuhi aspek keamanan. Kelemahan memperlihatkan tingkat keandalan sistem keamanan suatu jaringan komputer terhadap jaringan komputer yang lain, sehingga dapat terjadi ancaman dan serangan. Tujuan pengancam adalah : • Ingin mengetahui data yang ada pada suatu jaringan untuk suatu kepentingan • Membuat sistem jaringan menjadi rusak, atau tampilan situs web berubah . 42
Network Security
Politeknik Telkom
Network Security
• Untuk mendapat keuntungan finansial dengan cara yang tidak benar dll 4.2 Strategi keamanan (Security Policy) Security Policy merupakan strategi untuk mengatasi permasalahan, misalnya menentukan mekanisme apa yang akan digunakan untuk melindungi atau memperbaiki jaringan. Hal pokok dalam strategi keamanan: • Kajian tentang langkah keamanan yang diambil dikaitkan dengan faktor teknis dan tinjauan hukum • Perumusan perencanaan pemanfaatan teknologi, perkiraan biaya infrastruktur • Analisa resiko yang akan dihadapi • Petunjuk bagi administrator sistem untuk mengelola sistem. Teknik-teknik yang dapat digunakan untuk mendukung keamanan jaringan antara lain: • melakukan otentikasi sistem. • Enkripsi terhadap sistem untuk penyimpanan dan pengiriman data • Penggunaan perangkat lunak, dan perangkat keras jaringan untuk mendukung keamanan, misalnya firewall dan router dll. 4.3 Metode keamanan jaringan 4.3.1 Meningkatkan keamanan jaringan • Pembatasan akses pada network Penggunaan Password,merupakan suatu limitasi Beberapa hal yang sebaiknya diperhatikan dalam memilih password : - unik, misterious,mudah diingat - bukan data pribadi • Penggunaan enkripsi Beberapa alasan penggunaan enkripsi : Network Security
43
Politeknik Telkom
Network Security
aspek hak akses : mencegah orang yang tidak berwenang melihat data-data sensitif aspek kofidensial : mengurangi kemungkinan terbukanya data aspek otentikasi : mengurangi kemungkinan dipalsukan • Penggunaan Digital signature -Digunakan untuk menyediakan keyakinan bahwa informasi berasal dari sumber tertentu dan belum pernah berubah -Definisi Digital Signature: merupakan sederetan data yang menghubungkan suatu message dengan beberapa sumber informasi -Cara digital signature dibangkitkan suatu nilai (binary string) dari pesan dengan cara hash.Kemudian digunakan algoritma digital signature untuk menghasilkan tanda tangan dari hash value dan private key.Dengan demikian sekarang pesan dapat di-otentifikasi menggunakan public key dan tandatangan. Algoritma Digital Signing : • RSA • ElGamal
44
Network Security
Politeknik Telkom
Network Security
Contoh: • Tanda tangan yang dihasilkan: -----BEGIN PGP SIGNATURE----version: GnuPG v1.0.7 (GNU/Linux) Idpoj0Kknio04uoj19u8DBQA+c2Tek9/AtnRwPcRAuqtAJ0R34tPGW vhaYjXvfuIFiPAU4YfgCeN+ -----END PGP SIGNATURE----• Tanda tangan ini dapat dikirim pada file terpisah 4.3.2 Mekanisme pertahanan Metode-metode yang dapat diterapkan untuk membuat jaringan komputer menjadi lebih aman, antara lain adalah: Packet Sniffing sebagai peralatan (tool) pengelola jaringan packet sniffer dan sebagai alat pertahanan. Dengan melakukan analisa paket yang melalui sebuah media jaringan computer Contoh: Intrusion Detection System adalah sebuah packet sniffer yang bertugas untuk mencari host yang mengirimkan paket-paket yang berbahaya bagi keamanan. Selain menjadi alat untuk analisa permasalahan yang sedang dihadapi sebuah jaringan komputer. Terutama saat sulitnya sebuah host berhubungan dengan host Dalam membuat keputusan apakah sebuah paket data berbahaya atau tidak, IDS memakai metode : • Signature-based Intrusion Detection System. Pada metode ini, telah tersedia daftar signature yang Network Security
45
Politeknik Telkom
Network Security
dapat digunakan untuk menilai apakah paket yang dikirimkan berbahaya atau tidak. Sebuah paket data akan dibandingkan dengan daftar yang sudah ada. Metode ini akan melindungi sistem dari jenis-jenis serangan yang sudah diketahui sebelumnya. Oleh karena itu, untuk tetap menjaga keamanan sistem jaringan komputer, data signature yang ada harus tetap ter-update. – Port Scanning Awalnya juga merupakan tool pengendali jaringan,tetapi digunakan oleh penyerang untuk mengetahui port apa saja yang terbuka dalam sebuah sistem jaringan komputer. Sebuah port terbuka jika adanya aplikasi jaringan komputer yang siap menerima koneksi. Aplikasi ini dapat menjadi pintu masuk penyerang ke dalam sistem jaringan komputer. Port yang terbuka tetapi tidak digunakan perencanaan yang ada, maka aplikasi yang berjalan pada port tersebut harus segera dimatikan agar tidak menjadi celah tidak aman. – Packet Fingerprinting Packet Fingerprinting, adalalah mekanisme mengetahui peralatan apa saja yang ada dalam sebuah jaringan komputer.Hal ini penting karena peralatan dan sistem operasi memiliki karakteristik dan kelemahannya masing-masing. Artinya dapat diantisipasi langkah pengamanannya. Finger printing dapat mengetahui system operasi dengan meninjau header di IP kemudian dibandinkan dengan acuan 4.3.3 Mengatasi Ancaman Berikut ini akan dijelaskan beberapa serangan terhadap sebuah jaringan computer dan langkah keamanan yang dapat dilakukan: – DOS/DDOS 46
Network Security
Politeknik Telkom
Network Security
Denial of Services dan Distributed denial of services adalah sebuah metode serangan dimana klien menyerang Pihak server dengan terus menerus mengirim paket inisiasi sehingga server tidak dapat membuat koneksi -'Smurf Attack' Mekanismenya adalah penyerang akan mengirimkan paket ping permintaan ke suatu host dan merubah alamatnya menjadi alamat IP lain, sehingga host tersebut akan mengirim paket balasan ke IP tsb
Langkah pengamanan: • Micro-blocks. Ketika ada sebuah host menerima paket inisiasi, maka host akan mengalokasikan ruang memori yang sangat kecil, sehingga host tersebut bisa menerima koneksi lebih banyak – Packet Sniffing Packet Sniffing adalah sebuah metode serangan dengan cara mendengarkan semua trafik di jaringan, sehingga sebuah host bisa merubah konfigurasi dan memproses semua paket yang dikirimkan oleh host lainnya. Langkah keamanan: • Memeriksakan apakah ada host di jaringan kita yang sedang dalam mode promiscuous,sehingga dapat melakukan sniffing • Mempergunakan SSL (Secure Socket Layer) untuk mengamankan HTTP adalah metode enkripsi yang dikembangkan untuk memberikan keamanan di internet. SSL beroperasi pada layer transpor, menciptakan saluran enkripsi yang aman untuk data. Network Security
47
Politeknik Telkom
Network Security
SSL menjadi perantara antara pemakai dengan protokol HTTP dan menampilkan HTTPS kepada pemakai. IP Spoofing Jenis serangan yang dengan penyamaran . Serangan ini dilakukan dengan cara mengubah alamat asal sebuah paket, sehingga dapat melewati perlindungan firewall dan menipu host penerima data. Salah satu bentuk serangan yang memanfaatkan metode IP Spoofing adalah 'man-in-the-middleattack'. Pada serangan ini, penyerang akan berperan sebagai orang ditengah antara dua pihak yang sedang berkomunikasi dan akan mengganti pesan Langkah keamanan : SSH mendukung otentikasi terhadap remote host, sehingga meminimalkan spoofing. SSH menyediakan VPN .SSH memakai public-key cryptography untuk mengenkripsi komunikasi antara dua host, demikian pula untuk autentikasi pemakai. Untuk mengatasi serangan yang berdasarkan IP Spoofing, sebuah sistem operasi memberikan nomor paket secara acak ketika menjawab inisiasi koneksi dari sebuah host (scrambling). Penyerang akan kesulitan tansmisi Konfigurasi firewall yang tepat dapat meningkatkan kemampuan jaringan komputer dalam menghadapi IP Spoofing. Antivirus juga merupakan langkah pengamanan bagi pesan yang belum mengalami enkripsi.Lebih lengkapnya akan dibahas pada bab berikutnya
48
Network Security
Politeknik Telkom
Network Security
Rangkuman 1.Keamanan jaringan komputer berpengaruh pada keamanan sistem informasi .Dengan semakin meningkat, penggunaan Internet maka semakin besar potensi gangguan yang akan timbul 2.Memperbaiki kinerja sistem dan mengatasi masalah dengan langkah keamanan yang direncanakan dengan memperhatikan banyak aspek keamanan adalah suatu hal yang penting guna mengikuti perkembangan internet.
Latihan Petunjuk: Pilihlah jawaban yang paling tepat! 1. Untuk meyakinkan bahwa informasi berasal dari tertentu dan belum pernah berubah: A. Digital Signature B. Digital electronic Network Security
sumber
49
Politeknik Telkom
Network Security
C. Electronic Signal D. Digital enkripsi E. Enkripsi sertifikat 2. Penyerang akan mengirimkan paket ping permintaan ke suatu host dan merubah alamatnya menjadi alamat IP lain,sehingga host tersebut akan mengirim paket balasan ke IP tsb dalam jumlah yang sangat banyak maka host IP itu akan jenuh ini adalah mekanisme: A. Spoofing B. Sniffing C. Firewall D. Smurf Attack E. Snort 3. Sederetan data yang menghubungkan suatu message dengan beberapa sumber informasi adalah: A. Definisi spoofing B. Definsi digital signature C. Definisi cookies D. Definisi fingerprinting E. Definisi DOS 4. Packet sniffer yang bertugas untuk mencari host yang mengirimkan paket-paket yang berbahaya bagi keamanan adalah : A. Intrusion Detection System B. Interupsi Data System C. Probing D. Sniferring system E. Denial of Service 5.Adanya aplikasi jaringan komputer yang siap koneksi ditandai dengan adanya: A. Medium wire B. Kanal terbuka C. Port terbuka D. Router rusak E. Cabling 50
menerima
Network Security
Politeknik Telkom
Network Security
Soal Essay 1. Jelaskan tentang spoofing. DOS dan smurf attack! 2. Bagaimana langkah keamanan enkripsi secara umum? Jelaskan! 3. Jelaskan tentang port scanning,sniffing manfaat dan bahayanya! 4.Bagamana Mekanisme man in the middle? Latihan kelas virtual : 1.Buat saluran putty
Network Security
51
Politeknik Telkom
52
Network Security
Network Security
Politeknik Telkom
Network Security
5
Antivirus dan Firewall
Overview
Kerusakan atau gangguan yang terjadi dalam suatu jaringan komputer dapat pula disebabkan oleh virus komputer, suatu aplikasi yang memiliki tingkah laku mirip virus. Untuk mencegah terjadinya serangan virus komputer, jaringan harus dilindungi sistem antivirus. Meski tidak menjamin pendeteksian dan pembersihan semua jenis virus, antivirus minimal dapat menghindari kerusakan yang parah akibat serangan virus. Firewall merupakan suatu mekanisme untuk menyaring paket data yang boleh masuk atau mengakses sumber daya jaringan lokal. Dengan menyaring paket data yang masuk, kemungkinan terjadinya serangan dapat dicegah atau ditekan seminimal mungkin.
Tujuan
1. Memahami pengertian virus komputer 2. Memahami penyebaran virus komputer dan cara menanganinya 3. Memahami pengertian firewall 4. Memahami manfaat firewall bagi keamanan jaringan
Network Security
53
Politeknik Telkom
Network Security
d. a,b,c benar e. a,b benar,c salah
6.Kriptografi dan Enkripsi
Overview Kriptografi dapat dimaknai sebagai kajian untuk melindungi data dengan menggunakan sejumlah teknik penyembunyian rahasia data berupa kunci rahasia untuk digunakan dalam proses enchipering data. Dengan maksud bahwa hanya orang yang ber-hak-lah yang dapat membaca data yang dilindungi tersebut, dengan melakukan proses deciphering data terhadap data yang dikirimkan. Dalam kriptografi dikenal proses enkripsi (enchipering data) dan dekripsi (dechipering data), yang analogi dengan proses modulasi dan demodulasi pada proses transmisi sinyal informasi pada sistem telekomunikasi. Namun enkripsi dan dekripsi lebih dikhususkan untuk melindungi data yang dikirimkan sebelum ditransmisikan oleh transceiver.
54
Network Security
Politeknik Telkom
Network Security
Tujuan
1. Mahasiswa memahami yang dimaksud kriptografi 2. Mahasiswa memahami proses enkripsi dan dekripsi 3. Mahasiswa dapat menggunakan algoritma penyembunyian data yang sederhana 4. Mahasiswa mengetahui beberapa contoh teknik kriptografi
6.1 Pengantar Kriptografi Ilmu yang ditujukan untuk mempelajari dan melakukan eksplorasi seputar keamanan pengiriman sebuah pesan (message).Sedangkan praktisi yang menggunakannya sering disebut dengan kriptografer (cryptographer).
Gambar 6.1 Skema Sistem Kriptografi Misalkan pada dimodelkan pada sebuah fungsi matematika: Plaintext : x Algoritma : tambahkan x dengan bilangan 13 Key : f(x) Ciphertext : (x+13)
Network Security
55
Politeknik Telkom
Network Security
Gambar 6.2 Contoh Simulasi Perubahan Kriptografi berasal dari kata cryptography yang diadopsi dari bahasa Yunani untuk merujuk kepada “secret-writing”. Jadi bisa disimpulkan kriptografi adalah ilmu yang mempelajari teknik-teknik, biasanya berdasar pada matematika, yang berhubungan dengan aspek keamanan informasi seperti kerahasiaan, integritas data, serta otentikasi. Umumnya digunakan terutama dalam bidang pertahanan dan keamanan. Juga banyak diaplikasikan untuk segala aktivitas yang berhubungan dengan Teknologi Informasi, dengan dasar pengembangannya menggunakan model matematika. Elemen-elemen Sistem Kriptografi adalah: Plaintext: yakni pesan sumber yang sediakalanya pertama sekali dibuat oleh user; dapat dibaca oleh orang umumnya. Ciphertext: ini adalah bentuk setelah pesan dalam plaintext telah diubah bentuknya menjadi lebih aman dan tidak dapat dibaca. Proses mengubah plaintext menjadi ciphertext disebut encryption (enciphering), dan proses membalikkannya kembali disebut decryption (deciphering). Cryptographic algorithm: yaitu mekanisme/tahapan yang digunakan berdasar operasi matematika untuk mengubah plaintext menjadi ciphertext.
56
Network Security
Politeknik Telkom
Network Security
Gambar 6.3 Skema Proses Enkripsi dan Dekripsi Key: yakni kunci yang digunakan berdasar pada cryptographic algorithm untuk melakukan proses enkripsi dan dekripsi kepada pesan yang dikirimkan. Ini mengartikan bahwa hanya user yang memiliki key saja yang dapat mendecrypt sebuah pesan dalam bentuk ciphertext. Pada sistem kriptografi yang handal bisa melewatkan sebuah pesan dalam bentuk ciphertext pada sebuah kanal yang belum tentu aman. Ada tiga aspek untuk melindungi sebuah pesan yang ingin dikirimkan, yaitu dengan memberi lapisan keamanan pada sisi: pengirim, penerima, dan kanal yang digunakan untuk media pengiriman. Kesimpulannya, sistem kriprografi (cryptosystem) adalah interaksi diantara elemen-elemen sistem yang terdiri dari: algoritma kriptografi, plaintext, ciphertext, dan kunci untuk menghasilkan bentuk baru dari perubahan bentuk sebelumnya.Orang yang berusaha untuk melakukan penyadapan atau pembongkaran disebut dengan penyadap (eavesdropper) atau intruder. Bidang-bidang yang biasanya mengaplikasikan kriptografi seperti: proses pengiriman data melalui kanal komunikasi (kanal suara atau kanal data). Network Security
57
Politeknik Telkom
Network Security
mekanisme penyimpanan data ke dalam disk-storage.
Gambar 6.4 Skema Implementasi Kriptografi
Gambar 6.5 Implementasi Kriptografi pada image Tujuan Kriptografi secara umum adalah: • Menjaga kerahasiaan (confidentiality) pesan. • Keabsahan pengirim (user authentication). • Keaslian pesan (message authentication). • Anti-penyangkalan (non-repudiation). Jika disimbolkan: P = plaintext C = chipertext maka: Fungsi pemetaan P ⇒ C disebut E (encryption), sehingga dapat dituliskan sebagai berikut: E(P) = C 58
Network Security
Politeknik Telkom
Network Security
Fungsi pemetaan C ⇒ P disebut D (decryption), sehingga dapat dituliskan sebagai berikut: D(C) = P Kekuatan sebuah sistem kriptografi terletak pada hal yaitu: semakin banyak usaha yang diperlukan, untuk membongkar sebuah cryptosystems, maka semakin lama waktu yang dibutuhkan; sehingga semakin kuat algoritma kriptografi yang digunakan, artinya semakin aman digunakan untuk menyandikan pesan. Sebuah algoritma cryptography bersifat restricted, apabila kekuatan kriptografi-nya ditentukan dengan menjaga kerahasiaan algoritma tersebut.
6.2 Cryptanalysis dan cryptology Hubungan antara cryptanalysis dan cryptology dapat dijelaskan sebagai berikut: Cryptanalysis adalah cara yang digunakan untuk memecahkan chipertext menjadi plaintext tanpa mengetahui kunci (key) yang sebenarnya. User yang melakukannya disebut cryptanalyst. Cryptology adalah studi yang dilakukan untuk mempelajari segala bentuk tentang cryptography dan cryptanalysis.
Network Security
59
Politeknik Telkom
Network Security
Kesimpulan yang dapat diambil adalah sebagai berikut: Persamaan cryptography dan cryptanalysis yaitu: mengeksplorasi bagaimana proses menerjemahkan ciphertext menjadi plaintext. Sedangkan perbedaan cryptography dan cryptanalysis yaitu: Cryptography bekerja secara legal berdasar proses legitimasi sebagaimana mestinya (yakni pengirim atau penerima pesan). Cryptanalysis bekerja secara ilegal karena dilakukan dengan cara menyadap untuk memungkin yang tidak berhak mengakses informasi.
6.3 Enkripsi dan Dekripsi Fakta sejarah penggunaan kriptografi: Tentara Yunani pada perang di Sparta (400SM) menggunakan scytale, yakni pita panjang dari daun papyrus + sebatang silinder, yang digunakan sebagai alat untuk mengirimkan pesan rahasia perihal strategi perang.
Gambar 6.6 Skema Scytale Mekanisme pemakaiannya sebagai berikut: Plaintext ditulis secara horisontal (yakni baris per baris). Jika pita dilepas, maka huruf-huruf pada pita telah tersusun membentuk pesan rahasia (ciphertext). Sehingga agar penerima bisa membaca pesan tersebut, maka pita dililitkan kembali menggunakan silinder yang diameternya sama dengan diameter silinder si pengirim.
60
Network Security
Politeknik Telkom
Network Security
6.4 Kriptografi dengan menggunakan Key (K) Saat ini algoritma bersifat restricted tidak lagi banyak digunakan; dengan alasan tidak cocok dalam penggunaan pada karakter open-systems. Pada lingkungan dengan karakter open-systems, kekuatan algoritma cryptograpy-nya terletak pada key yang digunakan, yakni berupa deretan karakter atau bilangan bulat. Dengan menggunakan key (K), fungsi enkripsi dan dekripsi berubah menjadi: EK(P) = C ⇒ untuk enkripsi DK(C) = P ⇒ untuk dekripsi dan ekivalen menjadi: DK(EK(P)) = P
Gambar 6.7 Skema Proses Enkripsi dan Dekripsi dengan K 6.4.1 Kriptografi Simetris Pada Key (K) berlaku sebagai berikut: Apabila kunci (K) enkripsi sama dengan kunci dekripsi, maka sistem kriptografi-nya disebut sistem simetris (sistem konvensional); dan algoritma kriptografi-nya disebut dengan algoritma simetri atau algoritma konvensional. Contohnya: Algoritma DES (Data Encyption Standard).
Network Security
61
Politeknik Telkom
Network Security
Pada kriptografi simetris, K yang sama digunakan untuk enkripsi dan dekripsi pesan seperti ditunjukkan pada skema berikut ini:
Gambar 6.8 Kriptografi Simetris Kelebihan algoritma simetris: • Kecepatan operasi lebih tinggi bila dibandingkan dengan algoritma asimetris. • Karena kecepatan operasinya yang cukup tinggi, maka dapat digunakan pada sistem real-time. Kelemahan algoritma simetris: • Untuk tiap pengiriman pesan dengan user yang berbeda dibutuhkan kunci yang berbeda juga, sehingga akan terjadi kesulitan dalam manajemen kunci tersebut. • Permasalahan dalam pengiriman kunci itu sendiri yang disebut "key distribution problem". 6.4.2 Kritografi Nirsimetris Pada Key (K) berlaku sebagai berikut: Apabila kunci (K) enkripsi tidak sama dengan kunci dekripsi, maka sistem kriptografi-nya disebut sistem asimetris atau sistem kunci-publik; dan algoritma kriptografi-nya disebut dengan algoritma nirsimetri atau algoritma kunci-publik. Contohnya: Algoritma RSA (Rivest-Shamir-Adleman) Pada algoritma asimetris, digunakan 2 kunci, Key (K), dimana berlaku sebagai berikut: Algoritma ini menggunakan dua kunci yakni kunci publik (public-key), umumnya digunakan sebagai kunci enkripsi; dan kunci privat (private-key) yang umumnya digunakan sebagai kunci dekripsi. Kunci publik disebarkan secara umum 62
Network Security
Politeknik Telkom
Network Security
sedangkan kunci privat disimpan secara rahasia oleh user.Walaupun kunci publik telah diketahui namun akan sangat sukar mengetahui kunci privat yang digunakan Pada kriptografi asimetris, K1 digunakan untuk enkripsi plaintext dan K2 digunakan untuk dekripsi ciphertext seperti ditunjukkan sebagai berikut: Kelebihan algoritma asimetris: • Masalah keamanan pada distribusi kunci dapat lebih baik. • Masalah manajemen kunci yang lebih baik karena jumlah kunci yang lebih sedikit. Kelemahan algoritma asimetris: • Kecepatan yang lebih rendah bila dibandingkan dengan algoritma simetris. • Untuk tingkat keamanan sama, kunci yang digunakan lebih panjang dibandingkan dengan algoritma simetris. Klasifikasi algoritma kriptografi berdasar panjang data digunakan dalam sekali proses: Algoritma block cipher : Informasi/data yang hendak dikirim dalam bentuk blok-blok besar (misal 64-bit) dimana blok-blok ini dioperasikan dengan fungsi enkripsi yang sama dan akan menghasilkan informasi rahasia dalam blok-blok yang berukuran sama juga. Contoh: RC4, Seal, A5, Oryx. Algoritma stream cipher : Informasi/data yang hendak dikirim dioperasikan dalam bentuk blok-blok yang lebih kecil (byte atau bit), biasanya satu karakter per-satuan waktu proses, menggunakan tranformasi enkripsi yang berubah setiap waktu. Contohnya: Blowfish, DES, Gost, Idea, RC5, Safer, Square, Twofish, RC6, Loki97.
Network Security
63
Politeknik Telkom
Network Security
Sebuah algoritma kriptografi dikatakan aman (computationally secure) bila memenuhi tiga kriteria berikut: Persamaan matematis yang menggambarkan operasi algoritma kriptografi sangat kompleks sehingga algoritma tidak mungkin dipecahkan secara analitik. Biaya untuk memecahkan ciphertext melampaui nilai informasi yang terkandung di dalam ciphertext tersebut. Waktu yang diperlukan untuk memecahkan ciphertext melampaui lamanya waktu informasi tersebut harus dijaga kerahasiaannya. Salah satu contoh teknik public key cryptography (Kriptografi Asimetris ) yang saat ini digunakan untuk transaksi elektronis dunia maya (internet) adalah digital signature. Prinsip utama digital signature adalah terletak labelling unik subscriber pada akhir form transaksi yang disepakati olehnya untuk dikirimkan. Tujuan digital signature ini untuk memastikan identitas seseorang atau labelling untuk copyright sebuah produk (software maupun hardware). Untuk proses enkripsi digunakan kunci privat, sedangkan untuk proses dekripsi-nya menggunakan kunci publik.
Gambar 6.9 Kriptografi Asimetris untuk jenis Digital Signature
64
Network Security
Politeknik Telkom
Network Security
Rangkuman
1. Kriptografi adalah ilmu yang ditujukan untuk mempelajari dan melakukan eksplorasi seputar keamanan pengiriman sebuah pesan (message). 2. Tujuan kriptografi adalah untuk melindungi data (message) yang akan dikirimkan dari pihak-pihak yang tidak memiliki otoritas untuk membaca atau membukanya. Contohnya: proses enkripsi dan dekripsi dan digital signature. 3. Elemen-elemen sistem kriptografi terdiri dari plaintext, ciphertext, cryptographic algorithm, key. 4. Plaintext: yakni pesan sumber yang sediakalanya pertama sekali dibuat oleh user; dapat dibaca oleh orang umumnya. 5. Ciphertext: ini adalah bentuk setelah pesan dalam plaintext telah diubah bentuknya menjadi lebih aman dan tidak dapat dibaca. Proses mengubah plaintext menjadi ciphertext disebut encryption (enciphering), dan proses membalikkannya kembali disebut decryption (deciphering). 6. Cryptographic algorithm: yaitu mekanisme/tahapan yang digunakan berdasar operasi matematika untuk mengubah plaintext menjadi ciphertext. 7. Key: yakni kunci yang digunakan berdasar pada cryptographic algorithm untuk melakukan proses enkripsi dan dekripsi kepada pesan yang dikirimkan. Ini mengartikan bahwa hanya user yang memiliki key saja yang dapat men-decrypt sebuah pesan dalam bentuk ciphertext. 8. Proses enkripsi disebut juga enciphering, yaitu mengubah plaintext menjadi chipertext. 9. Proses dekripsi disebut juga deciphering, yaitu mengubah ciphertext menjadi plaintext. Network Security
65
Politeknik Telkom
Network Security
10. Algoritma kriptografi simetris adalah algoritma yang menggunakan kunci (K) enkripsi sama dengan kunci dekripsi. Contoh: Algoritma DES (Data Encyption Standard). 11. Algoritma kriptografi nirsimteris adalah algoritma yang kunci (K) enkripsi-nya tidak sama dengan kunci dekripsi. Contoh: Algoritma RSA (Rivest-ShamirAdleman).
Latihan Petunjuk: Pilihlah jawaban yang paling tepat! 1. A. B. C. 2. A. B. C. 3.
Praktisi yang menggunakan cryptography dengan _____________ cryptanalist D. cryptogralyst E kriptografer . kriptografis kriptofera Elemen-elemen kecuali_______ Cryptographic algorithm enciphering Ciphertext
sistem
kriptografi
disebut
berikut
ini
D. Key E. Plaintext
A. B. C.
Agar pesan yang dikirimkan aman, entitas-entitas berikut ini harus dilapisi keamanan, kecuali___________ recipient D. server person E. message channel
4. A.
Persamaan cryptography dan cryptanalysis:_________ Melindungi pesan D. Membongkar pesan
66
Network Security
Politeknik Telkom
B. C. 5. A. B. C.
Menyembunyikan pesan Mengirimkan pesan Mengubah ciphertext dengan:_____ encryption dechipering process data labelling
Network Security
Network Security
E.
Mengacak pesan
menjadi
plaintext
disebut
D. crypto process E. hacking
67
Politeknik Telkom
Network Security
Soal Essay 1. Jelaskan perbedaan utama antara cryptography dengan steganography! 2. Ulas dengan lengkap perihal Enigma-E pada alamat berikut: a. http://www.xat.nl/enigma-e/desc/index.htm! 3. Buatlah sebuah program dalam bahasa pemrograman C++ untuk membuat kunci enkripsi dengan algoritma ROT-13 sebagai berikut: a. Jika plaintext adalah setiap karakter pada alphabetikal, maka ciphertext yang dihasilkan adalah karakter ke-13 dari plaintext tersebut! 4. Sebuah pesan dikirimkan oleh komandan perang ke markas besar. Pesan di-enkripsi dengan sebuah password dengan kunci dalam bentuk string: selalu ia angkat piring! a. Carilah isi password jika algoritma enkripsinya sebagai berikut: b. Jika x adalah panjang string maks. 4 kata c. Ambil huruf pertama dari setiap kata d. Keempat huruf di-concatenate-kan e. Hasil concatenate jadikan sebagai kata sandi f. Selesai. 5. Carilah plaintext dari sebuah ciphertext berikut ini: a. 3a3bc333de3fghi33j b. 3k3lm3nopq3rstu3v3 c. 333wx333yz3abcd3e3 d. 3f3g3hijkl3mnop33q e. 3r3st333uv333wx3yz
68
Network Security
Politeknik Telkom
Network Security
7. PERANGKAT KERAS & LUNAK KEAMANAN JARINGAN
O verview Pada saat ini dalam suatu jaringan komputer semakin rumit permasalahan yang timbul dalam hal keamanan, oleh karena itu perlu pemantauan jaringan yang sifatnya rutin dan terus menerus . Perangkat bantu baik perangkat lunak atau keras. Digunakan di sini. Pada bab ini akan ditelaah mekanisme perangkat tersebut mendukung keamanan jaringan.
Tujuan
Network Security
69
Politeknik Telkom
Network Security
1. Mahasiswa mengidentifikasi gangguan keamanan dan akibatnya 2. Mahasiswa mengenali perangkat keras dan lunak yang digunakan dalam pengamanan jaringan 3. Mahasiswa dapat menentukan metode dalam pengamanan terhadap gangguan dan menggunakan perangkat yang sesuai. 7.I Sistem keamanan Suatu aktivitas jaringan komputer dan telekomunikasi akan terpengaruh dengan adanya suatu kegiatan yang berdampak pada sistem keamanan secara umum. Beberapa kegiatan yang sering dilakukan pada jaringan antara lain : Sniffing Sniffer adalah suatu perangkat , berupa perangkat lunak maupun perangkat keras yang digunakan untuk memperoleh informasi pada suatu jaringan komputer. Sniffer dapat membuat NIC (Network Interface Card), dan bekerja dengan mode promiscuous sehingga dapat menangkap semua traffic dalam jaringan. Mode promiscuous adalah mode di mana semua workstation pada jaringan komputer memantau trafik lain. Keberadaan sniffer di dalam jaringan sulit dideteksi karena sniffer tidak meninggalkan jejak pada siste Probing: Adalah kegiatan mengakses ke dalam suatu sistem oleh pihak yang tidak mempunyai otorisasi , dengan maksud untuk menemukan informasi tentang sistem tersebut. Scanning Scanning adalah kegiatan menggunakan tool secara otomatis dapat mengetahui port-port yang terbuka pada host lokal maupun host remote, IP address yang aktif dllI. Kegiatan tersebut awalnya ditujukan untuk memperbaiki kinerja jaringan tetapi disalahgunakan sehingga timbul mekanisme gangguan sbb:
70
Network Security
Politeknik Telkom
Network Security
Denial Of Service (Dos) Adalah gangguan yang timbul antara lain karena : • jaringan dalam hal ini server dibanjiri trafiknya sehingga kinerjanya lambat atau bahkan mati. • Ada virus yang melakukan duplikasi dan menyebar • Adanya kerusakan perangkat pelindung,contoh firewall.
Malicious Code adalah suatu program yang menyebabkan sesuatu kerusakan atau kehilangan data.Trojan horse, virus, dan worm dapat dikatagorikan sebagai malicious code yang umumnya disertakan dalam suatu file atau program. Gangguan keamanan di atas sebenarnya adalah suatu efek samping dari penggunaan perangkat (tool), yang mulanya ditujukan untuk menilai kinerja dari trafik jaringan. Berikut terdapat diagram dimana terlihat bahwa untuk tiap tahapan perkembangan perangkat keamanan pada suatu era disertai dengan serangan keamanan terhadap jaringan, ibarat pisau satu sisi bermanfaat di sisi lain berbahaya.
Network Security
71
Politeknik Telkom
Network Security
Gambar 7.1 Perkembangan perangkat & timbulnya gangguan keamanan
7.2 Perangkat Keras Pada suatu jaringan komputer selain perangkat komputer terdapat Perangkat : Hub & Switch : berfungsi sebagai titik akses yang terhubung satu sama lain dengan topologi tertentu –
Threat: Information Leakage. Orang dapat melakukan penyadapan
Firewall 72
Network Security
Politeknik Telkom
Network Security
Gambar 7.2 DFL-210 Network Security Firewall Jaringan komputer dengan firewall sangat ketat mengendalikan akses antar sistem Pada dasarnya firewall firewall bukan router, karena tidak meneruskan (forwarding) paket IP. Firewall mencegah paket IP diteruskan melalui layer IP Router yang mempunyai fasilitas keamanan seperti firewall, disebut ‘secure router’ atau ‘secure gateway’. Firewall digunakan untuk memisahkan jaringan, sebaiknya tidak digunakan untuk memisahkan seluruh jaringan internal dari jaringan luar. Dipakai firewall internal untuk memisahkan beberapa bagian dari jaringan internal yang sensitif terhadap jaringan nonsensitif dan jaringan luar. Sedangkan firewall external memisahkan antara jaringan non sensitif dengan jaringan luar Penggunaan firewall membuat tidak semua paket jaringan luar dapat masuk langsung Semua hubungan harus dilakukan melalui mesin firewall.Oleh sebab itu sistem keamanan di mesin firewall harus sangat ketat. Mekanismenya tidak semua mesin sisem keamananya ketat tetapi hanya satu saja. Network Security
73
Politeknik Telkom
Network Security
Router • Routers melakukan pengiriman indirect IP datagram • Bekerja dengan menggunakan tabel ruting. • Ada tiga kemungkinan tindakan terhadap datagram IP : o Dikirimkan langsung ke ke destination host. o Dikirimkan ke router berikutnya o Dikirimkan ke default router. • Routers bekerja pada Layer 3.
• Gambar 7.3 router 7.3. Perangkat Lunak a. Analisis Keamanan Jaringan Internet Penggunaan perangkat lunak untuk mengamati kinerja jaringan internet . Adapun perangkat yang dapat digunakan adalah tool seperti Hping, Nessus, dan SNORT Snort • Bekerja pada berbagai sistem operasi • Snort adalah software free dan merupakan open source network security tool 74
Network Security
Politeknik Telkom
• •
Network Security
merupakan packet sniffer untuk intrusion detection bekerja secara real time
Hping Hping adalah sebuah melakukan: • Port scanning • Network testing, • Mengetes firewall • Traceroute Dll
TCP/IP
assembler
yang
dapat
Program hping merupakan software free dapat didownload pada situs www.hping.org Fungsi-fungsi Hping • Hping statistic Dapat mengetahui jumlah data yang ditransmisikan dan yang diterima Mengetahui round time trip. • Inverse Mapping Inverse mapping dilakukan untuk mengetahui host yang aktif atau tidak. Mekanismenya adalah dengan mengirimkan paket TCP. Jika mendapat respon “ICMP host unreachable” maka dapat disimpulkan bahwa IP address tujuan tidak aktif, jika tidak ada respon berarti host tersebut aktif. Dengan menscan port host tujuan, dapat diketahui port yang terbuka. Mekanismenya dengan mengirim paket TCP dengan flag SYN on ke target host yang ingin discan portnya. Jika port target membalas dengan flag SA maka port tersebut terbuka sedangkan jika port target membalas dengan flag RA maka port tersebut tertutup. Iddle Scanning
Network Security
75
Politeknik Telkom
Network Security
Idle Scanning merupakan cara dalam scanning port dimana host tujuan tidak akan mengetahui alamat IP kita yang sebenarnya.
Nessus Nessus adalah program yang berfungsi memonitor , kemudian menganalisa kelemahan dari jaringan. Berikut ini adalah penjelasan tentang karakteristik Nessus: • NASL (Nessus Attack Scripting Language) NASL merupakan cara penulisan program dengan bahasa yang mudah dan cepat. • Plug-in architecture Mekanismenya mudah jika ingin menambah parameter tes yang kita inginkan • Dapat memeriksa banyak host secara bersamaan b.Antivirus Merupakan perangkat lunak yang merupakan program utility, Dimana mampu mencegah atau memindahkan virus Contoh : Norton Utility, Kaspersky dll 7.4 Enkripsi Salah satu limitasi akses adalah dengan enkripsi. Proses enkripsi merubah format data dalam bentuk yang hanya dapat dibaca oleh sistem yang mempunyai kunci untuk membaca data. Prosesnya enkripsi dapat dengan menggunakan software atau hardware. kuncinya).
76
Network Security
Politeknik Telkom
Network Security
Gambar 7.3 Tools Enkripsi
Network Security
77
Politeknik Telkom
Network Security
Rangkuman Berdasarkan uraian di atas dapat diambil kesimpulan sebagai berikut : 1.Jaringan komputer internet selalu berpotensi terganggu aspek keamanannya karena seluruh dunia dapat mengakses 2.Untuk meningkatkan keamanan jaringan internet dapat menggunakan beberapa metode, contohnya metode authentikasi, penggunaan metode enkripsi-dekripsi, dan menggunakan perangkat keras Firewall serta perangkat lunak 3.Kelemahan suatu sistem jaringan dapat dilihat dengan menggunakan tools 4.Selain teknologi yang berguna untuk menjaga keamanan jaringan internet, faktor orang, dalam hal ini pengguna jaringan internet, harus juga mempunyai etika berinternet yang baik. 5.Jaringan komputer internet juga didukung perangkat keras yang juga memiliki kelemahan dari segi keamanan
78
Network Security
Politeknik Telkom
Network Security
Network Security
79
Politeknik Telkom
Network Security
Latihan
Petunjuk: Pilihlah jawaban yang paling tepat!
1. Untuk memisahkan beberapa bagian dari jaringan interna yang sensitif terhadap jaringan nonsensitif dan jaringan l Digunakan__________ A. B. C. D. E.
Firewall internal Firewall eksternal Router internal Router eksternal Gateway internal
2. Hping statistic dapat mengetahui______ A. jumlah data yang ditransmisikan dan yang diterima B. Jenis virus yang ada C. Kapasitas jaringan D. Paket yang terinfeksi virus E. Kehandalan router 3.Plug-in architecture adalah karakteristik dari tool Nessus yang berarti______ A. Arsitektur jaringan tertutup yang dipakai B. Arsitektur yang mudah jika ingin menambah parameter tes yang kita inginkan C. Arsitektur dengan memperhatikan jumlah router D.Arsitektur memperhatikan pemasangan firewall E. Arsitektur yang asal pasang perangkat
80
Network Security
Politeknik Telkom
Network Security
4. Perangkat (Tool) yang merupakan packet sniffer untuk intrusi detection dan bekerja secara real time__________ A. Norton B. Snort C. Nessus D. Hping E. Antivirus
5. Proses merubah format data dalam bentuk yang hanya dapat dibaca oleh sistem yang mempunyai kunci untuk membaca data disebut: A. B. C. D. E.
Denial of service Key exchange Reformating Enkripsi Deshape
3.
Soal Essay 1. Jelaskan perbedaan yang signifikan antara Nessus,Hping,Snort! 2. Bagaimana jika perangkat lunak dijalankan waktu yang sama? 3. Jelaskan parameter yang dimonitor oleh SNORT? 4. Lihat di web source free dari Nessus! 5. Kelas virtual coba instalasi Nessus , apa yang terjadi?
Network Security
81
Politeknik Telkom
Network Security
8.Database Security
Overview Tindakan back-up adalah salah satu aspek penting dari operasi sistem komputer. Mendapatkan data yang valid, complete, up-to-date, adalah hal utama yang diinginkan selalu, saat sebuah basis data sedang diakses. Namun kesalahan seperti bugs, kecelakaan, malapetaka akibat human-error, dan serangan ke basis data adalah sesuatu hal yang kadangkala sulit untuk diprediksi namun dapat dicegah bila dilakukan tindakan preventif sedini mungkin. Dengan melakukan tindakan back-up data secara periodik, hal-hal yang sewajarnya bisa dihindari dapat direalisasikan sehingga user dapat melakukan perbandingan antara sistem di saat sekarang sedang berjalan dengan hasil back-up data sebelumnya. Dengan demikian akan ada tindakan analisa apakah telah terjadi perubahan data pada sistem ataukah masih berjalan sewajarnya.
82
Network Security
Politeknik Telkom
Network Security
Tujuan
1. Mahasiswa memahami aspek terpenting keamanan basis data dan alasan melindunginya 2. Mahasiswa memahami klasifikasi keamanan basis data 3. Mahasiswa memahami apa yang menjadi aspek kehandalan keamanan basis data 4. Mahasiswa memahami yang dimaksud back-up dan recovery dan manfaatnya untuk keamanan basis data
8.1 Alasan utama aspek keamanan basis data Mengapa masalah keamanan basis data menjadi penting? Jawaban secara sederhananya, sebagai berikut: basis-data merupakan salah satu komponen yang penting dalam sistem informasi; karena merupakan media utama dalam menyediakan informasi kepada user. Alasan lain, adalah karena menyangkut informasi yang tersimpan dari sebuah sistem atau organisasi pada media simpanan data itu sehingga sangat penting sekali untuk dijaga keamanannya dari penggunaan orang yang tidak memiliki otoritas. Informasi yang disimpan bisa dalam bentuk hard-copy, atau dalam bentuk soft-copy. Dalam bentuk soft-copy disebut data-base (basis data); sedangkan penerapan data-base ke dalam sistem informasi disebut dengan database system. Kesimpulannya, beberapa hal penting mengapa harus menjadi perhatian khusus dalam keamanan basis-data adalah sebagai berikut: • Kemampuan menyediakan informasi dengan cepat dan akurat, adalah merupakan kebutuhan dalam informationbased society. • Sangat pentingnya informasi sehingga hanya boleh diakses oleh orang yang memiliki otorisas (hak akses).
Network Security
83
Politeknik Telkom
•
Network Security
Adanya trend trade-secret, yaitu jual-beli data, sehingga ada muncul perilaku untuk mencuri informasi, karena ada nilai ekonomis-nya.
8.1.1.
Perubahan paradigma personal-computer menjadi shared-computer Awalnya sebuah komputer disebut PC (Personal Computer), namun seiring dengan perkembangan bidang jaringan komputer, maka sebuah komputer tidak tepat lagi disebut PC, melainkan shared-computer. Shared-computer biasanya digunakan untuk menyimpan data yang bersifat classifiedinformation. Shared-computer adalah komputer yang saling dikoneksikan satu dengan yang lain, sehingga user bisa saling berbagi informasi (shared-resources), yang membentuk sebuah Local Area Network (LAN). Dengan adanya LAN (computer networks) akan mempercepat user untuk melakukan akses ke basis data. Basis Data yang berada pada komputer dihubungkan ke jaringan komputer agar proses sharing-information dapat berjalan. Dengan demikian, user dapat mengakses informasi yang diinginkan ke basis data dari mana saja dan kapan saja. Dengan adanya koneksi ke basis data dari segala arah, menyebabkan beberapa hal baru yang mengkhawatirkan muncul seperti: • Membuka potensi lubang keamanan untuk disusupi oleh penyadap (mata-mata) • User dihadapkan kepada pilihan: keamanan (secure) atau kenyamanan (comfortable). • Meningkatnya jumlah host yang digunakan seiring jumlah user yang memiliki otoritas menyebabkan, lebih banyak server yang harus ditangani; sehingga membutuh lebih banyak SDM yang handal dan tersebar; padahal susah mencari SDM yang diinginkan berdasar kebutuhan, untuk itu dilakukan desentralisasi server. 84
Network Security
Politeknik Telkom
Network Security
8.1.2. Klasifikasi Keamanan Basis Data Klasifikasi Keamanan Basis Data dapat disebutkan sebagai berikut: Keamanan yang bersifat fisik (physical security), yaitu yang berdasar pada aspek fisik perangkat. Misalkan ruang server, kunci komputer, kartu elektronis. Keamanan yang berhubungan dengan orang (personel), yaitu user yang diberi labelling untuk privillege akses pengguna. Keamanan dari data dan media serta teknik komunikasi, yaitu bagaimana agar prosedur penyimpanan lebih aman, begitu juga pada media yang digunakan dan teknik untuk mengamankan data tersebut. Keamanan dalam operasi, yaitu menyusun mekanisme pengoperasian user agar terkontrol sehingga dapat diantisipasi kesalahan yang terjadi saat penyimpanan dan pengambilan data. Beberapa aspek untuk mendukung Keamanan Basis Data dapat disebutkan sebagai berikut: Network security, memfokuskan kepada saluran pembawa informasi serta sistem yang terintegrasi kepadanya (host dan kanal). Application security, memfokuskan kepada aplikasi itu sendiri (yang digunakan untuk basis data atau yang menjadi antar-muka kepada basis data), beserta aplikasi dukungan lainnya kepada basis data itu sendiri. Computer security, memfokuskan kepada keamanan dari komputer (end system) yang digunakan, khususnya hardware pada komputer tersebut. Selanjutnya, aspek kehandalan terhadap Keamanan Basis Data, yaitu: Privacy / confidentiality Seperti bagaimana memproteksi data bersifat pribadi yang sensitif seperti:nama, tempat tanggal lahir, agama,
Network Security
85
Politeknik Telkom
Network Security
hobby, penyakit yang pernah diderita, status perkawinan; data pelanggan; dan transaksi pada e-commerce. Juga khususnya melakukan proteksi terhadap serangan sniffer. Integrity Tindakan bagaimana agar informasi tidak berubah tanpa ijin seperti: • Tampered (data baru menimpa data lama) • Altered (perubahan terhadap nilai data yang eksis, yakni data ter-edit) • Modified (data yang eksis dapat disisipkan, ditambah, dihapus oleh data baru) Khususnya melakukan proteksi terhadap serangan: spoof, virus, trojan horse. Authentication (otentikasi) Tindakan otentifikasi dilakukan untuk meyakinkan keaslian data, sumber data yang diakses, user yang mengakses data, serta server yang digunakan, dengan melakukan cara seperti: penggunaan digital signature, dan biometrics. Ini dilakukan untuk memproteksi terhadap serangan seperti password palsu. Availability Artinya, informasi harus dapat tersedia ketika dibutuhkan, dengan menghindari server dibuat hang, down, crash. Tindakan ini bertujuan untuk proteksi terhadap serangan: denial of service (DoS) attack. Non-repudiation Non-repudiation maksudnya menghindari akses-user agar tidak dapat menyangkal bahwa telah melakukan transaksi; dengan cara setiap akhir transaksi pada form dilengkapi dengan penggunaan digital signature. Hal ini dilakukan untuk proteksi terhadap serangan: deception. Access control 86
Network Security
Politeknik Telkom
Network Security
Dengan adanya access control, maka ada sebuah mekanisme yang digunakan untuk mengatur user dan akses yang dilakukan oleh user (siapa boleh melakukan apa). Beberapa caranya seperti: • Dengan menggunakan password. • Membuat kelas / klasifikasi privillege- user. Ini bertujuan untuk melakukan proteksi terhadap serangan: intruder. Batasan privillege-user untuk Access Control pada basis data ditunjukkan pada skema berikut ini:
Gambar 8.1 Pembatasan akses pada basis data
8.2 Klasifikasi file (arsip) Master File (File Induk): dalam sebuah aplikasi, file ini merupakan file yang penting karena berisi record-record yang sangat perlu di dalam organisasi. Network Security
87
Politeknik Telkom
Network Security
Transaction File (File Transaksi): digunakan untuk merekam data hasil dari transaksi yang terjadi. Report File (File Laporan): berisi informasi-informasi yang akan ditampilkan. History File (File Sejarah): berisi data masa lalu yang sudah tidak aktif lagi, namun masih tetap disimpan sebagai arsip. Backup File (File Pelapis): salinan dari file-file yang masih aktif di dalam basis data pada suatu saat tertentu Hirarki organisasi data dapat ditunjukkan sebagai berikut:
Gambar 8.2 Jenjang level data pada Basis Data Penjelasannya sebagai berikut: • Bit merupakan unit data yang terkecil dan terdiri dari biner 1 atau 0. • Byte yaitu suatu kelompok yang terdiri dari beberapa bit yang menggambarkan satu angka, karakter atau simbol lainnya. • Field yaitu kelompok karakter, angka atau simbol-simbol menjadi suatu kata, kelompok huruf atau kelompok angka. • Record yakni kelompok dari suatu field. 88
Network Security
Politeknik Telkom
• •
Network Security
Arsip (file) adalah kelompok dari record yang mempunyai tipe yang sama. Database yaitu kelompok dari arsip-arsip yang berhubungan.
Network Security
89
Politeknik Telkom
Network Security
8.3 Serangan (attack) terhadap basis data Jenis-jenis serangan (attack): Interruption, yaitu penghentian sebuah proses yang sedang berjalan. Interception yaitu menyela sebuah proses yang sedang berjalan. Modification yaitu mengubah data tanpa ijin dari pihak otoritas. Fabrication yaitu serangan yang bersifat destruktif berupa perusakan secara mendasar pada sistem utama.
Gambar 8.3 Skema Akses dan Prosedur pada Basis Data yang terkoneksi on-line Perlunya keamanan menyeluruh pada Basis Data disebabkan keamanan merupakan suatu proteksi terhadap pengrusakan data dan pemakaian data oleh user yang tidak memiliki otoritas. Oleh sebab itu untuk menjaga dibutuhkan beberapa cara seperti: 90
keamanan
Basis
Data
Network Security
Politeknik Telkom
• •
Network Security
Penentuan perangkat lunak Basis Data Server yang handal. Pemberian otoritas kepada user mana saja yang berhak mengakses, serta memanipulasi data-data yang ada.
Gambar 8.4 Skema Lapisan pada Basis Data yang dinterkoneksikan dengan aplikasi Beberapa penyalahgunaan basis data: Tidak disengaja, misalnya sebagai berikut: • kerusakan selama proses transaksi • keadaan yang disebabkan oleh akses database yang konkuren • keadaan yang disebabkan oleh pendistribuasian data pada beberapa komputer • logika error yang mengancam kemampuan transaksi untuk mempertahankan konsistensi database. Disengaja oleh pihak yang tidak ada otoritas, seperti misalnya: • Pengambilan data / pembacaan data • Pengubahan data Network Security
91
Politeknik Telkom
•
Network Security
Penghapusan data
Tingkatan entitas pada Keamanan Basis Data, dapat disebutkan sebagai berikut: • Physical, yaitu lokasi-lokasi dimana terdapat sistem komputer haruslah aman secara fisik terhadap serangan destroyer. • User, yaitu wewenang user harus dilakukan dengan berhati-hati untuk mengurangi kemungkinan adanya manipulasi oleh user lain yang otoritas. • Sistem Operasi, yaitu kelemahan entitas ini memungkinkan pengaksesan data oleh user tak berwenang, karena hampir seluruh jaringan sistem basisdata berjalan secara on-line. • Sistem Basisdata, yaitu pengaturan hak pengguna yang baik.
Gambar 8.5 Skema Utama Mekanisme Keamanan Basis Data on-line
92
Network Security
Politeknik Telkom
Network Security
Alasan mengapa dibutuhkan otoritas pada keamanan basis data, yaitu: • Pemberian wewenang atau hak istimewa (priviledge) untuk mengakses sistem basis data. • Kendali otorisasi dapat dibangun pada perangkat lunak dengan 2 fungsi, yaitu: Mengendalikan sistem atau obyek yang dapat diakses Mengendalikan bagaimana user menggunakannya • Sistem administrasi yang bertanggungjawab untuk memberikan hak akses dengan membuat user account. Sedangkan yang dimaksud dengan Tabel View pada keamanan basis data adalah metode pembatasan bagi user untuk mendapatkan model basis-data yang sesuai dengan kebutuhan pengguna.Metode ini dapat menyembunyikan data yang tidak digunakan atau tidak perlu dilihat oleh user.
Network Security
93
Politeknik Telkom
Network Security
Untuk pengamanan pada Basis Data Relasional dilakukan beberapa level seperti: Relation, yaitu user diperbolehkan atau tidak diperbolehkan mengakses langsung suatu relasi. View, yaitu user diperbolehkan atau tidak diperbolehkan mengakses data yang tertampil pada view. Read Authorization, yaitu user diperbolehkan membaca data, tetapi tidak dapat memodifikasi. Insert Authorization, yaitu user diperbolehkan menambah data baru, tetapi tidak dapat memodifikasi data yang sudah ada. Update Authorization, yaitu user diperbolehkan memodifikasi data, tetapi tidak dapat menghapus data. Delete Authorization, yaitu user diperbolehkan menghapus data. Beberapa otorisasi tambahan untuk Modifikasi Data (Update Authorization), seperti: Index Authorization adalah user diperbolehkan membuat dan menghapus index data. Resource Authorization adalah user diperbolehkan membuat relasi-relasi baru. Alteration Authorization adalah user diperbolehkan menambah/menghapus atribut suatu relasi. Drop Authorization adalah user diperbolehkan menghapus relasi yang sudah ada. Contoh perintah menggunakan SQL: GRANT : memberikan wewenang kepada pemakai Syntax : GRANT ON TO Contoh : GRANT SELECT ON S TO BUDI GRANT SELECT,UPDATE (STATUS,KOTA) ON S TO ALI,BUDI
94
Network Security
Politeknik Telkom
Network Security
REVOKE : mencabut wewenang yang dimiliki oleh pemakai Syntax : REVOKE ON FROM Contoh : REVOKE SELECT ON S FROM BUDI REVOKE SELECT,UPDATE (STATUS,KOTA) ON S FROM ALI,BUDI Priviledge list : READ, INSERT, ALTERATION, RESOURCE
DROP, DELETE, INDEX,
8.4 Back-up data dan recovery Tindakan back-up adalah proses secara periodik untuk mebuat duplikat dari basis-data dan melakukan logging-file (atau program) ke media penyimpanan eksternal. Sedangkan tindakan recovery (pemulihan) adalah merupakan upaya uantuk mengembalikan basis data ke keadaaan yang dianggap benar setelah terjadinya suatu kegagalan. Ada tiga jenis tindakan pemulihan, yaitu: • Pemulihan terhadap kegagalan transaksi : yaitu kesatuan prosedur alam program yang dapat mengubah / memperbarui data pada sejumlah tabel. • Pemulihan terhadap kegagalan media : yaitu pemulihan karena kegagalan media dengan cara mengambil atau memuat kembali salinan basis data (back-up) • Pemulihan terhadap kegagalan sistem : yakni karena gangguan sistem, hang, listrik terputus alirannya. Fasilitas pemulihan pada DBMS (Database Management Systems): Mekanisme back-up secara periodik Fasilitas logging (log-book) dengan membuat track pada tempatnya saat transaksi berlangsung dan pada saat database berubah. Fasilitas checkpoint, melakukan update database yang terbaru. Network Security
95
Politeknik Telkom
Network Security
Manager pemulihan, memperbolehkan sistem untuk menyimpan ulang database menjadi lebih konsisten setelah terjadinya kesalahan.
Rangkuman
1. Kemampuan menyediakan informasi dengan cepat dan akurat, merupakan kebutuhan dalam informationbased society. 2. Klasifikasi Keamanan Basis Data: a. Keamanan yang bersifat fisik (physical security). b. Keamanan yang berhubungan dengan orang (personel). c. Keamanan dari data dan media serta teknik komunikasi. d. Keamanan dalam operasi. 3. Back-up adalah proses secara periodik untuk mebuat duplikat dari basis-data dan melakukan logging-file (atau program) ke media penyimpanan eksternal. 4. Recovery merupakan upaya untuk mengembalikan basis data ke keadaaan yang dianggap benar setelah terjadinya suatu kegagalan
Latihan
Petunjuk: Pilihlah jawaban yang paling tepat! 1. 96
Upaya untuk mengembalikan basis data ke keadaaan Network Security
Politeknik Telkom
A. B. C.
Network Security
yang dianggap benar setelah terjadinya kegagalan, disebut _____________ back-up D. recovery filtering E. enciphering polling
2.
User diperbolehkan disebut______
A. B. C.
Index Authorization Alteration Authorization Authorization
3.
User diperbolehkan menambah data baru, tetapi tidak dapat memodifikasi data yang sudah ada, disebut____ D Delete Authorization . Update Authorization Insert Authorization E. Resource Authorization Index Authorization
A. B. C.
4.
A. B. C.
5. B. B. B.
membuat D . E.
relasi-relasi
suatu
baru
Drop Authorization Resource Authorization
Metode pembatasan bagi user untuk mendapatkan model basis data yang sesuai dengan kebutuhan pengguna, disebut____ D Table-statement . SQL-method Table-view E. Authorization-technic Scanning-method
Pemberian wewenang atau hak istimewa mengakses sistem basis data, disebut___ D Access-control . User-account Privillege-access E. Net-administrator Log-book
Network Security
untuk
97
Politeknik Telkom
Network Security
Soal Essay 1. Carilah pada literatur-literatur apa yang dimasud dengan Discretionary Access Control! 2. Jelaskan mekanisme Discretionary Access Control pada Database Security! 3. Jelaskan perbedaan mendasar antara data security dengan data integrity!. 4. Carilah pada literatur-literatur apa yang dimasud dengan Mandatory Access Control!
9. EMAIL SECURITY
Overview
98
Network Security
Politeknik Telkom
Network Security
Pada pemakaian internet, setelah browsing, e-mail merupakan aplikasi yang paling sering dipergunakan. Layanan basic e-mail ternyata tidak seaman perkiraan kita Email sebagai salah satu mekanisme pengiriman pesan juga tidak luput dari serangan terhadap aspek keamanannya. Oleh karena itu akan dibahas pada bab ini tentang pengiriman email yang aman.
Tujuan
1. Mahasiswa mengetahui mekanisme pengiriman email yang aman 2. Mahasiswa dapat melakukan langkah pengamanan terhadap gangguan yang mungkin terjadi pada email
9.I Pengertian & Kinerja E-mail Pengertian Email Secara teknis email didefinisikan sebagai pesan yang terdiri atas kumpulan string ASCII dalam format RFC 822 (dikembangkan thn 1982).Terdiri atas dua bagian yaitu : - Header : sender, recipient, date, subject, delivery path - Body : isi pesan Persyaratan Email yang aman Tinjauan aspek keamanan :
konfidensialitas (confidentiality): • menggunakan enkripsi • menggunakan saluran yang aman integritas (integrity) : • menggunakan hashing atau message digest algorithm • menggunakan digital signature • menggunakan public key encryption
Network Security
99
Politeknik Telkom
• • •
Network Security
melakukan attachment
otentikasi (authentication) : Verifikasi pengirim Verifikasi penerima
Beberapa Protokol yang terlibat dalam pengiriman email antara lain : 1.SMTP (Simple Mail Transfer Protocol): SMTP – Simple Mail Transfer Protocol – Digunakan untuk pengiriman server
e-mail
antar
Bekerja berdasarkan RFC 821 menangani pengiriman antar MUA-MTA atau MTA-MTA dimana MUA= Mail User Agent, atau Mail Client MTA=Mail Transport Agent, atau Mail Server SMTP dibawa lewat Internet dan tidak diproteksi. Tidak adanya proses otentikasi (authentication) sehingga mudah sekali untuk menyamarkan asal email 2.POP ( Post Office Protocol): Digunakan untuk mengambil e-mail dari server 3. IMAP ( Internet Message Access Protocol) Merupakan untuk mengakses e-mail pada remote server. Email tetap berada di server, user dapat mengakses e-mail lebih dari satu . Performansi baik dan lebih efisien saat bekerja pada bandwidth kecil 9.2 Kelemahan email • • • 100
(vulnerability) & ancaman (threat)
Tidak adanya integritas dengan adanya email yang dapat diubah Tidak adanya konfidensialitas karena email dikirim lewat jaringan yang tidak aman. Tidak ada otentikasi ditandai tidak jelasnya pengirim Network Security
Politeknik Telkom
Network Security
Karena adanya celah tidak aman akan timbul ancaman dan serangan email berupa • • • • • •
Virus, worm pada e-mail tanpa attachment Kebocoran informasi (information leakage) yang sensitif Serangan DOS baik pada server atau client Pengiriman dan eksekusi malicious code (malcode) Akses ilegal ke system SPAM
Keterangan : SPAM: Spam merupakan e-mail yang tidak diharapkan diiterima. Pengiriman spam dalam jumlah sangat banyak akan menjadi bentuk serangan DoS (Denial-of-Service Attack) yang membuat server lambat atau bahkan mati. E-mail address milik korban jadi tidak dapat digunakan. Bila e-mail address milik korban masuk ke dalam daftar hitam, maka korban sulit untuk mengirim e-mail Mencegah SPAM • Membuat konfigurasi mail server untuk mencegah terjadi relai email. • Mencegah server digunakan sebagai pihak yang meneruskan email (forward email ) • Menghilangkan spam dengan spam dll. Software Anti SPAM • Chebyshev • filter • ASK – Active Spam Killer • Blackmail
Network Security
101
Politeknik Telkom
Network Security
Gambar 9.1 Filter Spam 9.3 Langkah keamanan pengiriman email
PGP (Pretty Good Privacy ) PGP adalah algoritma otentikasi untuk source dan receiver email • PGP Freeware: OpenPGP (www.openpgp.org ), • PGP merupakan program enkripsi dapat digunakan untuk mengenkripsi e-mail maupun file • PGP menggunakan public key cryptography • PGP juga menggunakan digital signatures untuk mengotentikasi identitas pengirim • Contoh: •
102
Network Security
Politeknik Telkom
Network Security
Multipurpose Internet mail extension/ Secure multipurpose Internet mail extension (MIME) (S/MIME); S/MIME adalah 103eighbor yang memungkinkan penambahan digital signature atau enkripsi ke MIME
Setting S/MIME : pada sisi email-client. Arahkan ke bagian security, pilih untuk ”Digital Signing” atau ”Encryption”. SSH Tunnel SSH = Secure Shell • merupakan program untuk logging ke remote machine • SSH menyediakan komunikasi yang aman antara dua host yang untrusted , karena sudah dilakukan enkripsi . • Implementasi SSH : PuTTY
Network Security
103
Politeknik Telkom
Network Security
Gambar 9.2 Konfigurasi PuTTY
104
Secure Socket Layer •
untuk layanan keamanan pada pengiriman informasi melalui Internet berupa jalur komunikasi yang aman pada jaringan yang tidak aman
•
SSL membentuk suatu koneksi yang aman antara browser pada client dengan server –
Umumnya berbentuk HTTP melalui SSL (HTTPS)
–
Disini terbentuk suatu encrypted tunnel antara browser dengan Web server yang dapat digunakan untuk mengirimkan data
Network Security
Politeknik Telkom
Network Security
Gambar 9.3 Secure Socket Layer
Rangkuman 1.Email didefinisikan sebagai pesan yang terdiri atas kumpulan string ASCII dalam format RFC 822 (dikembangkan thn 1982),Terdiri atas dua bagian yaitu Header dan body 2.Email relative aman jika beberapa aspek keamanan dipenuhi antara lain konfidensialitas, integritas dan integritas dan otentikasi. Kelemahan akan timbul jika aspek keamanan tidak dipenuhi. Akibatnya rentan terhadap ancaman dan serangan 3. Langkah keamanan (Safeguard) untuk pengiriman email anatara lain PGP (Pretty Good Privacy ), Multipurpose Network Security
105
Politeknik Telkom
Network Security
Internet mail extension/ Secure multipurpose Internet mail extension (MIME) (S/MIME); Secure Socket Layer,dan SSH TUNNEL
Latihan
1. Setting penambahan digital signature atau enkripsi ke MIME dilakukan A. secara random B. pada pihak email server C. secara sekuensial D. pada pihak email client E. secara hybrid 2. Pada pembuatan konfigurasi PuTTY disetting suatu koneksi dengan A. IP address suatu Host. B. Ipaddress client C. IP address D. IP address ad hoc E. IP address firewall 3. Layanan keamanan pada pengiriman informasi melalui Internet berupa jalur komunikasi yang aman pada jaringan yang tidak aman disebut : A. SSX B. SSH C. SSL D. SXL E. XML 4. SSH menyediakan komunikasi yang aman antara dua host yang untrusted ,karena dilakukan: A. enkripsi B. virus removal C. firewall 106
Network Security
Politeknik Telkom
D. E.
Network Security
spam assassin injection traffic
5. Mencegah SPAM
Soal Essay
dengan cara :
A. mengakses e-mail pada remote server B. mengakses e-mail pada remote server C. menggunakan hashing atau message digest algorithm D. membuat konfigurasi mail server untuk mencegah terjadi relai email E. mengakses e-mail lebih dari satu
1. Jelaskan cara mengirim email yang benar! 2. Apakah spam mengalami enkripsi? 3.Mengapa spam dikirimkan? Kelas virtual : Instalasi dan konfigurasi SSL
Network Security
107
Politeknik Telkom
Network Security
10. WWW SECURITY
108
Network Security
Politeknik Telkom
Network Security
Overview
Perkembangan internet yang cukup pesat membaw pengaruh besar dalam implementasinya dalam pertukaran da maupun akses on line dan lain-lain. Kondisi ini menuntut perlakua keamanan yang baik agar terjadi kelancaran dala berinternet
Tujuan 1 .Mahasiswa dapat memahami proses apa yang mengganggu pada internet 2. Mahasiswa dapat menentukan kebijakan apa yang diambil untuk mengatasi kendala atau
Network Security
gangguan yan
109
Politeknik Telkom
Network Security
Gambar 10.1 WWW Security 10.1 Aplikasi Internet Insiden keamanan menjadikan para pengguna internet merasa tidak aman untuk itu dicari berbagai metode yang mendukung aspek keamanan. Beberapa metode : a. mengamankan layer transport b. melakukan enkripsi Lapisan Infrastruktur IT bisa dimulai dari level fisik (network) sampai ke level aplikasi yang masih bersifat shareable seperti software components atau web service 1.User Management: User adalah komponen yang significan dari aplikasi,oleh karena itu user menjadi tujuan dari keamanan Web. Setiap aplikasi Web memiliki level yang berbeda dalam resiko ancaman.Oleh karena itu adalah suatu hal yang penting memperhatikan keamanan dari suatu Web,sehingga dapat mengeliminasi resiko yang di alami user.Dengan menggunakan password yang unik diharapkan dapat menghindari ancaman Ancaman yang terjadi di sini a.l: Brutte Force attack pada Basic Authentication : merupakan ancaman karena penggunaan password yang mudah 110
Network Security
Politeknik Telkom
Network Security
diprediksi , pemilihan kode yang dapat dipecahkan dengan mudah
Network Security
111
Politeknik Telkom
Network Security
contoh : Username = Jon Passwords=smith,MichaelJordan,[petnames], [birthday],… Username = Jon,Dan,Ed Passwords =12345678 Pada contoh di atas dicobakan satu nama, dan banyak passwords,dan banyak nama satu password.Ini merupakan tindakan Brutte force attack Session Hijacking Seseorang dapat membajak user dengan mengetahui cookies. sehingga identitas user dapat diketahui dan melakukan review informasi yang seharusnya diketahui oleh user 2.Authentication dan Authorizing Authentication merupakan pembentukan identitas user. Jika identitas terbukti valid maka user memiliki hak untuk mengakses berbagai fitur pada aplikasi Web . Ancaman yang utama terjadi pada proses ini adalah
man in the middle: pada persimpangan lalulintas data penyerang dapat membaca atau memodifikasi data yang transit antara 2 sistem.
3. Data Confidentiality dan Integrity Data confidentiality mencegah dapat diaksesnya data tanpa izin,sedangkan integritas data menunjukan suatu data otentik atau belum dimodifikasi. Guna memperoleh dua kondisi di atas maka merupakan suatu hal yang penting melakukan enkripsi Hal yang menjadi ancaman : 112
Network Security
Politeknik Telkom
Network Security
• Cryptanalysis :adanya pihak yang mempelajari tentang cryptographic algorithms sehingga dapat memecahkan kode . • Side-channel leakage : merupakan tindakan menemukan kunci cryptographi dengan mengukur dan menganalisa timing, pemakaian daya dan dissipasi, radiasi electromagnetic, radiasi panas disekitar kanal. • Physical attack penyerang melakukan gangguan secara fisik ke akses computer untuk mengetahui private key atau melakukan install key logger . 4.Transport Security dan privacy
Cookies merupakan penyimpan informasi yang dibuat oleh suatu Web site yang berisi informasi tentang user yang mengunjungi situs yang bersangkutan. Cookies adalah file ASCII yang dikirimkan server ke client, lalu client menyimpannya di sistem lokal Saat request dikirimkan, server meminta browser untuk memeriksa adanya cookies, dan server dapat meminta browser untuk mengirimkan cookies ke web server . Informasi ini yang sering disalahgunakan penyerang. Pengamanan Form authentication Protokol standar web adalah http, yang sifatnya adalah stateless. Ditentukan pembagian area mana yang bisa diakses oleh anonim dan area mana yang hanya bisa diakses oleh user dengan menggunakan otentifikasi. Jika aplikasi berbasis web, dapat digunakan Secure Sockets Layer (SSL). SSL merupakan langkah security transport, pola kerjanya memakai asymmetric maupun symmetric key encryption untuk membentuk dan mentransfer data pada link komunikasi yang aman pada jaringan yang tidak aman Network Security
113
Politeknik Telkom
Network Security
SSL dapat membentuk suatu koneksi yang aman antara browser pada client dengan server . Untuk HTTP over SSL yaitu (HTTPS) dimana dibentuk suatu encrypted tunnel antara browser dengan Web server yang dapat digunakan untuk mengirimkan data
Rangkuman
1. Sistem keamanan pada suatu aplikasi berbeda dengan sistem keamanan pada jaringan . 2. Pada Internet terdapat komponen Web server dan Web browser.Agar system berjalan baik maka dibuat kebijakan keamanan terhadap ancaman atau gangguan . 3. Langkah antisipasi terhadap ancaman tidak hanya dilakukan pada satu lapisan tetapi pada tiap lapisan (layer). Terutama pada layer aplikasi dimana banyak sekali ancaman terjadi di lapisan ini 4. Untuk suatu parameter keamanan dapat terjadi beberapa ancaman atau gangguan.Untuk itu agar diperoleh resiko terganggunya system, maka tindakan pencegahan contoh : User Management menggunakan password yang unik untuk menghindari ancaman 114
Network Security
Politeknik Telkom
Network Security
Latihan
Petunjuk: Pilihlah jawaban yang paling tepat! 1. Seseorang dapat membajak user dengan mengetahui cookies Tindakannya disebut : A. Flying Fox B. Hi Jack C. Steal D. Cheating E. Masking 2. Penggunaan password yang sangat rentan terhadap ancaman : A. DOS B. Hi jack C. Sniffer D. Brutte force attack E. Information intrusion
mudah diprediksi ,
3.Encrypted tunnel antara browser dengan Web server yang dapat digunakan untuk mengirimkan data dikenal sebagai : A. Tunnel B. SSH C. Https D. Ftp E. SSX 4. Penyimpan informasi yang dibuat oleh suatu Web site yang berisi informasi tentang user yang mengunjungi situs Network Security
115
Politeknik Telkom
Network Security
yang bersangkutan A. Cookies B. Caching C. Temp D. Bookmark E. Virtual
5 .Tindakan menemukan kunci cryptographi dengan mengukur pemakaian daya dan dissipasi, radiasi elektromagnetik, radiasi panas disekitar kanal. Dikenal sebagai A. Side-channel leakage B. Electromagnetic shielding C. Heat transmission leakage D. Power consume leakage E. Criptograph Physical
Soal Essay Latihan Kelas Virtual Practise: There are several free, shareware, and commercial ssh clients for Windows: See http://www.openssh.org/windows.html for a list. How to enable and configure SSH?
116
Network Security
Politeknik Telkom
Network Security
11. KERBEROS
Overview Aliran informasi dalam jaringan yang sangat deras dan beragam membuat keamanan jaringan adalah hal yang sangat penting dan rentan akan gangguan. Kerberos merupakan suatu teknik keamanan dari aspek otentikasi. Kerberos memungkinkan client dan server untuk saling mengotentikasi sebelum melakukan koneksi. Pada
Network Security
117
Politeknik Telkom
Network Security
Tujuan 1. Mahasiswa mengenal pola langkah keamanan khusus. 2. Mahasiswa mengetahui mekanisme
118
Network Security
Politeknik Telkom
11.1
Network Security
Definisi dan Struktur Kerberos
Kerberos berasal dari Cerberus yaitu nama makhluk berkepala tiga yang menjaga dunia bawah (underworld) dari makhluk hidup yang mencoba untuk memasukinya menurut mitologi Yunani. Kerberos pada dasarnya diperuntukan menangani masalah otentikasi. Kerberos memungkinkan server dan client saling melakukan otentikasi sebelum membuat suatu koneksi. Protokol ini dibuat oleh MIT (Massachusetts Institute of Technology ) tahun 1980. Pada prinsipnya pola kerja Kerberos adalah membuat satu server relatif handal ditinjau dari segi keamanan disebut server Kerberos. Server ini akan melakukan otentikasi terhadap password dari client. Dimana pihak client yang sudah dinyatakan valid dapat memperoleh otorisasi untuk akses atau melakukan operasi tertentu. Pada Kerberos username dan password client tidak dikirim melalui jaringan . Tetapi memakai sesssion key yang ditujukan untuk meningkatkan keamanan komunikasi dengan protokol Kerberos. Struktur Kerberos
Network Security
119
Politeknik Telkom
Network Security
Gambar11.1 Struktur Kerberos
11.2 Mekanisme Kerberos Enkripsi Kerberos menyiapkan sarana enkripsi karena informasi dapat mengalami penyadapan (leakage) di jaringan. Enkripsi Kerberos menggunakan algoritma kunci simetris sebagai contoh DES (Data Encryption Standard) dan AES (Advanced Encryption Standard). dimana algoritma ini bekerja relative cepat karena penggunaan kunci yang sama saat enkripsi dan dekripsi. Kerberos akan memberikan tiket pada client dan server yang telah dienkripsi, jika server dan client berkomunikasi dengan membandingkan tiket yang diberikan oleh Kerberos, jika sama maka komunikasi dapat dilanjutkan. Otentikasi Untuk aspek keamanan ini Kerberos memakai metode key exchange (pertukaran kunci) • Dimana pertukaran kunci ini mengandalkan public key cryptography dan teknologi digital signature • Kerberos menggunakan kunci cryptographic yang disebut "tickets" untuk mengendalikan akses terhadap sumber daya server jaringan • Tickets merupakan encrypted passes atau encrypted files yang dikeluarkan oleh "trusted" server kepada user dan proses untuk menentukan access level Tahapan proses otentikasi oleh server Kerberos adalah sebagai berikut: 120
Network Security
Politeknik Telkom
Network Security
1.mulanya client meminta sebuah ticket pada Kerberos dengan mengirimkan namanya. Kemudian server Kerberos mengenali client ada pada data basenya dan merespon dengan memberikan: a.Sebuah client ticket yang telah dienkripsi dengan kunci client b.Sebuah granting ticket yang dienkripsi dengan kunci rahasia Server Kerberos
Gambar 11.2 proses otentikasi & otorisasi Ticket Granting Service Jika client terotentikasi pada Kerberos maka client tersebut tidak dapat langsung melakukan hubungan dengan layanan (server) yang ia butuhkan, tetapi harus melakukan permintaan kepada Kerberos lebih dahulu. Prosesnya: 1.Ticket Granting Ticket (TGT) yang diterima pada saat otentikasi digunakan untuk memeriksa kesesuaian antara nama client dan kuncinya,jika sesuai maka akan dilakukan deskripsi client
Network Security
121
Politeknik Telkom
Network Security
1. Client Ticket akan digunakan oleh client dan server untuk berkomunikasi, seluruhnya dienkripsi dengan kunci yang hanya diketahui client dan Kerberos. 2. Server Ticket dienkripsi dengan menggunakan kunci rahasia server dan Kerberos Kemudian client mengirimkan server ticket ini kepada server. Setelah client menerima balasan dari Kerberos berupa kunci enkripsi tersebut, client mendekripsi client ticket. Server mendekripsi server ticket dengan menggunakan kunci rahasianya dan memperoleh kunci enkripsi dari Kerberos untuk mendekripsi client. Jika terjadi kesesuaian maka komunikasi berlanjut.
Gambar11.1 Proses Kerberos Kelebihan Kerberos • Pembaharuan otorisasi berupa tiket dapat diselenggarakan sesegera mungkin • Relatif aman dan terpercaya karenahanya ada satu Server Kerberos Keterbatasan dan Kelemahan Kerberos • Karena server Kerberos hanya satu sedangkan yang mengakses 122
client
Network Security
Politeknik Telkom
•
Network Security
Banyak maka cenderung rentan terhadap serangan denial-of-service – Sever tidak perlu dibuat benar-benar crash, cukup dibanjiri request maka server akan kesulitan untuk menanggapi request Bisa saja membangun server Kerberos backup, tetapi ini menyalahi filosofi Kerberos – Memunculkan kelemahan pada jaringan
Network Security
123
Politeknik Telkom
Network Security
Rangkuman
Faktor keamanan dalam suatu jaringan penting diperhatikan. Antara lain otentikasi sebagai satu aspek keamanan . Kerberos sebagai salah satu protokol terobosan untuk otentikasi, dimana mekanisme otentikasi Kerberos merupakan salah satu solusi untuk mengatasi serangan keamanan di jaringan yang menjadi kelemahan sistem otentikasi umumnya. Mekanisme otentikasi oleh Kerberos berdasar pada pertukaran kunci. Dimana kunci privat dibagi antara client dengan server. Kunci privat tersebut dikeluarkan oleh pihak ketiga yang dipercayai bersama (trusted third party). Pada Kerberos username dan password client tidak dikirim melalui jaringan . Tetapi memakai session key yang ditujukan untuk meningkatkan keamanan komunikasi dengan protokol Kerberos. Kerberos memiliki kelemahan dan kelebihan. Hal ini menjadi pertimbangan penyelenggara jaringan untuk membangun server Kerberos atau tidak.
124
Network Security
Politeknik Telkom
Network Security
Latihan Petunjuk: Pilihlah jawaban yang paling tepat! 1. Kerberos pola kerjanya menggunakan key exchange, hal ini merupakan langkah: A. Otorisasi B. Konfidensial C. Otentikasi D. Integritas E. Audit 2. Pada Kerberos username dan password client tidak dikirim melalui jaringan ,tetapi memakai : A. channel B. path C. ssl D. digital signature E. session key 3.DES (Data Encryption Standard) dan AES (Advanced Encryption Standard) bekerja relative cepat karena : A. penggunaan kunci yang sama saat enkripsi dan dekripsi. B. Langsung digabung dengan kunci C. Kunci ada dua yang berbeda D. Memakai satu jalur E. Tidak ada ancaman 4.Kerberos menggunakan kunci cryptographic untuk mengendalikan akses terhadap sumber daya server jaringan yang disebut : A. tickets B. granted C. pin Network Security
125
Politeknik Telkom
Network Security
D. data E. pasword 5. Pembuatan server cadangan Kerberos adalah: A. Bermanfaat B. Membantu C. Menguatkan D. Membahayakan E. Mengembangkan Soal Essay 1.Dimana Kerberos diperlukan? 2.Apakah ada kapasitas jaringan tertentu yang menggunakan Kerberos? 3.Server Kerberos apakah munkin mengalamin serangan? 4.Bagaimana jika kunci yang diterima tidak ssuai antara client dan server? 5.Bagaimana implementasi Kerberos (cari di internet)?
126
Network Security
Politeknik Telkom
Network Security
12
WLAN Security
Overview
WLAN hadir di tengah-tengah kita memberikan beberapa keleihan yang tidak dimiliki oleh jaringan kabel. Di antaranya memungkinkan pergerakan komputer dalam area jangkauan sinyal, namun tetap tersambung dengan jaringan sehingga sangat mendukung berbagai aktivitas yang memerlukan mobilitas. Di balik kelebihannnya, WLAN memiliki kelemahan terutama terkait keamanannya. Diperlukan beberapa langkah untuk mengatasi masalah tersebut sehingga WLAN tetap dapat dinikmati kelebihannya.
Network Security
127
Politeknik Telkom
Network Security
Tujuan
1. Memahami pengertian WLAN, karakteristik dan manfaatnya 2. Memahami kemungkinan serangan terhadap WLAN 3. Memahami langkah-langkah pengamanan WLAN
12.1 WLAN, Karakteristik dan Manfaatnya WLAN (wireless LAN) adalah jaringan lokal (LAN) yang memanfaatkan gelombang radio sebagai media transmisi data. Perkembangan WLAN dimulai tahun 1997, saat IEEE menetapkan standar transmisi wireless 802.11. Beberapa standar yang mengikutinya adalah : 802.11A bandwidth mencapai 54 Mbps. Jangkauan terbatas, sulit menembus tembok atau penghalang lain. 802.11B bandwidth mencapai 11 Mbps. Jangkauan lebih baik dari 802.11a, lebih mampu menembus tembok atau benda lain. Banyak dipakai, namun perangkat mudah terkena interferensi perangkat lain, seperti microwave. 802.11G Bandwith mencapai 54 Mbps, dengan jangkauan mencakup sekitar bangunan. Banyak dipakai, tapi mulai digantikan perangkat 802.11N. 802.11.N Bandwith mencapai 600 Mbps, dengan cakupan yang lebih luas.
128
Network Security
Politeknik Telkom
Network Security
Karakeristik dari WLAN 802.11 adalah seperti terlihat pada tabel berikut :
Network Security
129
Politeknik Telkom
Network Security
Susunan fisik (topologi) WLAN ada 3 yakni : • adhoc (peer to peer) : setiap node (komputer) terhubung langsung ke node yang lain • infrastructure : setiap node terhubung dengan node yang lain melalui acces point. Access point berfungsi seperti switch dalam jaringan wireline. • hybrid : campuran antara topologi adhoc dan infrastructure Topologi WLAN diilustrasikan dalam gambar berikut :
Gambar 12.1. Topologi WLAN WLAN memiliki empat manfaat utama, di antaranya adalah : • User mobility User dapat mengakses file, resource jaringan, dan internet tanpa harus memiliki koneksi fisik langsung memakai kabel. Selama pengaksesan, user dapat berpindah tempat tanpa terganggu koneksinya. 130
Network Security
Politeknik Telkom
Network Security
• Rapid installation Proses pemasangan jaringan dipercepat karena tidak perlu lagi ada penggelaran kabel. Penggelaran kabel terkadang harus dilakukan dengan membongkar tembok, membentangkannya di atas langit-langit, memasang jalur kabel (cable duck) dan lain-lain. • Flexibility Perangkat yang terhubung jaringan dapat dipindahkan dengan lebih mudah, tidak lagi terpaku pada satu tempat. User dapat memindahkan atau membuat jaringan dengan lebih cepat seperti untuk keperluan yang bersifat sementara. Misal konferensi, pertemuan, pameran dan lain-lain. • Scalabilty Jaringan dapat dikembangkan dari yang sederhana berupa peer to peer, hingga bentuk yang kompleks dengan kapasitas besar sesuai kebutuhan user. 12.2 Serangan Terhadap WLAN Jaringan berbasis gelombang radio bersifat terbuka, artinya semua orang yang berada dalam jangkauannya dapat berupaya untuk terhubung ke dalam jaringan meskipun sebenarnya tidak berhak. Dikenal istilah wardriving (wireless footprinting) yang menyatakan aktivitas untuk memperoleh informasi terkait suatu WLAN dan kemudian berupaya untuk mengaksesnya. Kebanyakan adalah untuk mendapatkan akses internet gratis. Namun ada yang melakukannya karena rasa ingin tahu, mencoba-coba hingga ada yang memang berniat jahat. Tools yang dipakai antara lain : NetStumbler, Kismet, Dstumbler, StumbVerter, GPSMap, JiGLE, Prism2dump, Tcpdump, Ethereal, AiroPeek NX, AirSnort, WLAN-Tools dan lain-lain. •
Kelemahan yang ada pada WLAN antara lain adalah : Kelemahan konfigurasi Berbagai fasilitas disediakan oleh vendor perangkat untuk mempermudah konfigurasi, termasuk default konfigurasi yang bisa dipakai membuat WLAN dengan
Network Security
131
Politeknik Telkom
•
•
Network Security
sedikit atau tanpa melakukan konfigurasi. Perangkat yang dibiarkan memakai konfigurasi default dari vendor, akan sangat mudah diserang karena informasi terkait konfigurasi tersebut sangat mudah ditemukan di internet seperti SSID, IP address yang dipakai, remote manajemen, DHCP enable, kanal frekuensi, user/password administrator perangkat. Kelemahan enkripsi WEP (Wired Equivalent Privacy) yang dipakai sebagai standar keamanan wireless sebelumnya, saat ini dapat dengan mudah dipecahkan dengan tools yang bisa dicari internet. Dipelopori oleh Cryptanalysts Fluhrer, Mantin, and Shamir (FMS) yang mampu memecahkan algoritma key-scheduling RC4, yang dipakai dalam WEP. WPAPSK dan LEAP yang menjadi alternatif pengganti WEP, saat ini juga sudah dapat dipecahkan dengan metode dictionary attack secara offline. Kelemahan lapisan data (MAC) Jika sudah terlalu banyak client yang menggunakan kanal yang sama dan terhubung pada access point yang sama, dapat menyebabkan turunnya bandwidth yang dilewatkan. Mac address juga sangat mudah diduplikasikan, sehingga memungkinkan client yang tidak terdaftar tetapi memakai Mac address hasil penggandaan dapat mengakses jaringan.
Serangan yang mungkin terjadi terhadap WLAN : • Jamming atau membuat jaringan WLAN macet, dengan menghidupkan perangkat wireless pada frekuensi sama menyebabkan interferensi • Insertion yakni serangan berupa penguasaan oleh pemakai ilegal atas access point yang tidak diproteksi. • Interception yakni serangan berupa penyadapan atas data sensitif, memakai tools yang mudah dicari di internet. • Locating mobile node yakni memperoleh informasi posisi setiap perangkat wifi dan konfigurasinya, 132
Network Security
Politeknik Telkom
•
Network Security
dengan memakai aplikasi wireless site survey, PDA atau notebook serta dukungan perangkat GPS. Serangan lain yang biasa terjadi pada LAN seperti Ddos, flooding dan sebagainya
Gambar12. 2. Serangan WLAN 12.3 Pengamanan WLAN Untuk mengamankan WLAN, ada beberapa hal yang harus dilakukan antara lain : Pengamanan terkait router wireless (access point) : Mengubah nama default dari Service Set Identifier (SSID) Network Security
133
Politeknik Telkom
Network Security
Penyerang tidak akan dapat lagi memakai SSID default sesuai merk perangkat untuk masuk ke jaringan Disable atau matikan broadcast SSID Dengan mematikan broadcast, akan lebih mempersulit penyerangan karena SSID tidak terlihat atau terdeteksi dari perangkat mobile. Ubah nama user dan password administrator router Nama user dan atau password default tidak dapat digunakan lagi oleh penyerang untuk menguasai perangkat Nyalakan kemampuan enkripsi router Data yang ditransmisikan dengan gelombang radio akan dienkripsi atau disandikan sehingga lebih sulit diinterpretasikan.
134
Network Security
Politeknik Telkom
Network Security
Nyalakan kemampuan filter Mac address Dengan MAC filtering, hanya perangkat yang Mac addressnya didaftarkan ke administrator router yang dapat mengakses jaringan Ubah konfigurasi IP address routers Dengan mengubah IP address default, akan mempersulit penyerang mengakses jaringan. Setidaknya penyerang harus mencoba-coba atau menebak konfigurasi IP address baru yang dipakai jaringan. Periksa log router Perhatikan log, jika ada catatan yang mencurigakan segera ditutup kebocoran yang mungkin ada Lakukan upgrade sesuai yang diminta pabrik Lakukan upgrade aplikasi atau sistem yang dipakai router, seperti yang diminta oleh pabrik Terapkan pengalaman praktis terkait keamanan Metoda enkripsi yang dapat dipilih untuk perangkat wireless : Wired Equivalent Privacy ( WEP ) Merupakan metoda enkripsi generasi lama Pakailah key 64-bit atau 128 bit akan jauh lebih aman Wi-Fi Protected Access ( WPA ) Metoda enkripsi yang lebih baru, memakai key 256-bit Wi-Fi Protected Access 2 ( WPA2 ) Metoda enkripsi terbaru Compatible ke belakang dengan WPA
Network Security
135
Politeknik Telkom
Network Security
Rangkuman
1. WLAN memungkinkan komputer bergerak dalam area jangkauan sinyal sehingga tidak terpaku pada lokasi tertentu 2. WLAN memberikan manfaat mobility, rapid installation, flexibility, scalability 3. Beberpa standar yang dipakai dalam WLAN adalah 802.11A, 802.11B, 802.11G dan 802.11N 4. Ada 3 topologi WLAN yakni adhoc, infrastructure dan hybrid. 5. WLAN sangat rentan diserang karena adanya kelemahan pada perangkat wireless.
136
Network Security
Politeknik Telkom
Network Security
Latihan Soal essay : 1. Sebutkan 3 topologi WLAN 2. Jelaskan manfaat atau kelebihan dari WLAN 3. Sebutkan standar yang dipakai pada WLAN 4. Jelaskan kelemahan yang ada pada WLAN 5. Jelaskan langkah-langkah untuk mengamankan WLAN Soal pilihan ganda : 1. Yang termasuk standar WLAN adalah : A. 802.11z C. 802.11G B. 802.11N
E. a salah, b,c benar
D. a,b,c benar
2. Termasuk dalam topologi WLAN adalah : A. Star C. Ring E Semua benar B. Bus D. Hybrid 3. Enkripsi WEP memakai algoritma : A. Hash C. CR-4 B. CRC
D. CR-7
4. Yang termasuk kelebihan WLAN adalah : A.User C. Scalability mobility B.Rapid D. Flexibility installation
Network Security
E.Semua salah
E. Semua benar
137
Politeknik Telkom
Network Security
5. Algoritma enkripsi yang trdapat pada perangat wireless adalah : A. WEP C. WAP2 E. a,b,c salah B. WAP D. a,b,c benar
13. Manajemen Resiko
OV ERVIEW Manajemen resiko adalah suatu ilmu
yang dasar
filosofinya sejalan dengan keamanan jaringan
Tujuan keamanan dalam
1.Mahasiswa dapat menerapkan logika Banyak aspek 2. Mahasiswa mampu berpola pikir
sistematis dengan
138
Antisipasi resiko yang akan dihadapi Network Security
Politeknik Telkom
Network Security
Network Security
139
Politeknik Telkom
Network Security
13.1 KLASIFIKASI RESIKO Sesuatu yang akan terjadi yang dipengaruhi oleh faktor kemungkinan (likelihood), berupa ancaman terhadap beberapa kelemahan yang menghasilkan dampak (impact) yang merugikan” Hazard risk (resiko bencana): Misal : fire, flood, theft, etc. Financial risk (resiko keuangan) : Misal : price, credit, inflation, etc. Strategic risk (resiko strategis) : Misal : competition, technological innovation, regulatory c hanges, brand image damage etc. Operational risk (resiko operasional) : Misal : IT capability, business operations, security threat, etc. KLASIFIKASI ANCAMAN TERKAIT INFORMASI Loss of confidentiality of information : – Informasi digunakan ole yang tidak berhak Loss of integrity of information – Informasi tidak lengkap, tdak sesuai dengan aslinya atau sudah mengalami perubahan / modifikasi Loss of availability of information – Informasi tidak tersedia pada saat diperlukan Loss of authentication of information Informasi tidak benar, tidak sesuai fakta atau sumbernya tidak jelas
risk 140
Gambar 13.1Bagan manajemen Network Security
Politeknik Telkom
Network Security
13.2 IDENTIFIKASI ASSET • Aset informasi: file data, dokumentasi sistem, manual pengguna, materi training, prosedur, basis data • Aset perangkat keras: perangkat komputer (server, storage, workstation dll), perangkat jaringan (router, switch, hub, modem dll), perangkat komunikasi (PABX, telepon, facsimile), termasuk komponen di dalam perangkat • Aset perangkat lunak: sistem operasi, perangkat lunak aplikasi, perangkat lunak bantu • Aset infrastruktur : power supply, AC, rak • Aset layanan : layanan komputer dan komunikasi DASAR PENILAIAN ASSET Nilai beli : pembelian awal dan biaya pengembangan aset • Nilai wajar pasar • Nilai buku : nilai pembelian dikurangi penyusutan NILAI ASSET •
Bisa digunakan untuk menentukan analisis biayakeuntungan • Bisa digunakan untuk keperluan asuransi • Dapat membantu pengambil keputusan dalam memilih tindakan penanggulangan terhadap pelanggaran keamanan KLASIFIKASI NILAI ASSET • Memberi gambaran biaya perlindungan keamanan • Mendukung proses pengambilan keputusan yang berhubungan dengan konfigurasi HW dan desain sistem SW • Membantu perusahaan untuk fokus pada penyediaan sumber daya keamanan • Menentukan aset (orang, HW, SW, infrastruktur, layanan) • Memperkirakan aset mana yang rawan terhadap ancaman •
Network Security
141
Politeknik Telkom
• •
Network Security
Memperkirakan resiko apa yang akan terjadi terhadap aset Menentukan solusi untuk mengatasi resiko dengan penerapan sejumlah kendali
ANALISIS RESIKO • Kuantitatif : pendekatan nilai finansial • Kualitatif : memakai tingkatan kualitatif • Dapat dilakukan bersama atau terpisah • Pertimbangan waktu dan biaya 13.3 PENDEKATAN KUALITATIF NILAI FINANSIAL • Dapat dijabarkan dalam bentuk neraca, laporan tahunan, analisis pasar dll • Dipakai untuk memperkirakan dampak, frekuensi, dan probabilitas • Penilaian terhadap aset, ancaman, kemungkinan dan dampak terjadinya resiko menggunakan ranking atau tingkatan kualitatif • Lebih sering digunakan daripada metode kuantitatif
Tiga komponen yang mempengaruhi resiko yakni Asset, Vulnerabilities, dan Threats. Dimana: Asset meliputi : infrastruktur, layanan dll Threat meliputi : user,cracker dll Vulnerabilities: software,hardware,keteledoran dll. Rangkuman : 1. Manajemen resiko adalah bentuk lain keamanan jaringan 2. Identifikasi data, masalah dan penentuan kebijakan adalah infrastrukturnya yang pada dasarnya merupakan parameter keamanan jaringan Latihan : Study kasus untuk tugas besar
142
Network Security
Politeknik Telkom
Network Security
DAFTAR PUSTAKA 1.James Kurose, Keith Ross, ”Computer Networking”(2nd Ed.), AddisonWesley 2.William Stalling, W. Stallings “Network Security Essentials”. 3.http://www.nessus.org 4.http://www.hping.org 5.http://www.snort.org 6. Forouzan A.Behrouz,”Cryptography & Network Security”,Mc Graw-Hill
Network Security
143
View more...
Comments
