Professional Documents
Culture Documents
KULIAH 3
Amirullah
Tujuan Mata Kuliah
Mahasiswa memahami berbagai teknik penyerangan dan
pengamanan Jaringan Komputer
Manajemen :
Yang penting nyambung dulu (online),
Masalah keamanan
keamanan belakangan
Sekarang belum ada masalah!
Balik modalnya (ROI) kapan ?
Praktisi:
Pinjam password root / admin, dong
Catatan Kejadian Terkait Keamanan Internasional
1
1996, FBI National Computer Crime Squad : kejahatan
komputer yang terdeteksi kurang dari 15%, dan hanya 10%
dari angka itu yang dilaporkan.
1996, American Bar Association: dari 1000 perusahaan,
48% telah mengalami computer fraud (penipuan) dalam
kurun 5 tahun terakhir.
1996, NCC Information Security Breaches Survey, Inggris :
kejahatan komputer naik 200% dari 1995 ke 1996.
1997, FBI: kasus persidangan yang berhubungan dengan
kejahatan komputer naik 950% dari tahun 1996 ke 1997,
dan yang convicted (dihukum) di pengadilan naik 88%.
Catatan Kejadian Terkait Keamanan Internasional
2
http://www.gocsi.com
Data KMPG
Manusia (people /
personel security) Biasnya terfokus
pada masalah data,
Data, media, teknik media, teknik
komunikasi komunikasi.
Padahal kebijakan
Kebijakan dan prosedur (policy) sangat
(policy and procedures) penting !
CELAH KEAMANAN
Network sniffed,
ISP attacked
Celah :
1. System (OS)
2. Network
Internet 3. Applications (db)
Network sniffed,
attacked Network sniffed,
attacked
Trojan horse
Userid, Password,
PIN, credit card # www.bank.co.id
- Applications
(database,Web server)
hacked
ELEMEN DASAR KEAMANAN
Network security
fokus kepada saluran (media) pembawa informasi
Application security
fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah
database
Computer security
fokus kepada keamanan dari komputer (end system), termasuk
operating system (OS)
ASPEK KEAMANAN
Aspek utama keamanan ada 3 (CIA) :
Confidentiality / Privacy
Integrity
Availability
Aspek tambahan :
Non-repudiation
Authentication
Access Control
Accountability
CONFIDENTIALITY
Kerahasiaan data pribadi. Data hanya boleh diakses
oleh orang yang berwenang
Data-data pribadi
Data-data bisnis; daftar gaji, data nasabah /
pelanggan
Sangat sensitif dalam e-commerce dan healthcare
Serangan: penyadapan
(teknis dengan sniffer / logger, man in the middle attack;
non-teknis dengan social engineering)
Proteksi: enkripsi
Electronic Privacy Information Center http://www.epic.org
Electronic Frontier Foundartion http://www.eff.org
INTEGRITY
Informasi tidak boleh berubah (tampered, altered,
modified) oleh pihak yang tidak berhak
Serangan
Pengubahan data oleh orang yang tidak berhak, spoofing
Virus yang mengubah berkas
Proteksi:
Message Authentication Code (MAC), digital signature / certificate,
hash functions, logging
AVAILABILITY
Informasi harus tersedia ketika dibutuhkan
Serangan
Meniadakan layanan (Denial of Service / DoS attack) atau menghambat
layanan (server dibuat lambat)
Proteksi
Backup, redundancy, IDS, DRC, BCP, firewall
NON-REPUDIATION
Tidak dapat menyangkal (telah melakukan transaksi)
Menggunakan digital signature
Logging
AUTHENTICATION
Meyakinkan keaslian data, sumber data, orang yang
mengakses data, server yang digunakan
what you have (identity card)
what you know (password, PIN)
what you are (biometric identity)
Serangan: identitas palsu, terminal palsu, situs gadungan
ACCESS-CONTROL
Mekanisme untuk mengatur siapa boleh melakukan apa
Membutuhkan klasifikasi data:
public, private, confidential, (top)secret
Akses berdasarkan role
ACCOUNTABILITY
Dapat dipertanggung-jawabkan
Melalui mekanisme logging dan audit
Adanya kebijakan dan prosedur (policy & procedures)