• _{Sistem komputer dan jaringannya memiliki} kerawanan terhadap serangan sepanjang hidupnya

• _{Tidak ada sistem berbasis komputer yang}

mampu mengamankan dirinya dari semua kemungkinan serangan

• _{Upaya yang dapat dilakukan adalah membuat}

hacker atau cracker kesulitan dalam mengganggu sistem

• Sistem keamanan jaringan adalah

suatuperlindungan data selama transmisi dilakukan

• _{Untuk menjamin keaslian data yang}

ditransmisikan, dan memelihara kerahasiaan, integritas, dan ketersediaandata.

Aspek Keamanan

• Confidentiality; Perlindungan terhadap kerahasiaan data

• Integrity; Menjaga konsistensi data

• Authentication; Jaminan mengenai keaslian identitas sumber data

• Availability; Legitimate user memiliki akses kapan pun mereka membutuhkanya

• Access control; Unauthorised user tidak dapat mengakses data

Jenis Serangan

• Interupsi; sebuah system yang dirusak sebelum sampai ke tujuan

• Interception; user yang tidak

berhak(unauthorized) mendapatkan akses file. • Modifikasi; user yang tidak berhak tidak hanya

mendapatkan akses tetapi juga dapat merubahnya

• Fabrication; user yang tidak berhak memasukkan atau menyelipkan obyek ke dalam sistem.

Kelemahan TCP/IP

• Target spoofing

X adalah kekasih Y, dan Z berpura-pura menjadi X • Session hijacking

X menelpon Y, dan Z mengambil-alih percakapan • Dapat dimanipulasi

Y kirim parsel ke X, dan Z mengganti isi parsel dengan bom

• Denial of Service (DoS)

Jalan ke rumah Y hanya muat 1 mobil, Z memarkirkan 4 mobil memenuhi jalan agar X tidak dapat berkunjung ke rumah Y

Klasifikasi Keamanan

• _{Network security; Fokus kepada media}

pembawa informasi/data, seperti jaringan komputer

• _{Computer security; Fokus kepada}

komputer(server, workstation, terminal), termasuk di dalamnya masalah yang

berhubungan dengan operating sistem

• _{Application security; Fokus kepada program}

Confidentiality

• _Sniffer

• Virus

• Spyware

• _Keylogger

• Biasanya mengambil user id dan password

TELNET ►ssh(Secure Shell) FTP ►scp(Secure Copy)

Integrity

• _{Data atau informasi tidak boleh berubah}

(tampered, altered, modified) tanpa ijin dari pemilik

• _{Serangan: virus, trojanhorse, man in the} middle attack

• Pengamanan terhadap aspek ini adalah

dengan menggunakan (digital) signature,

checksum, hash algorithm, danteknik-teknik lain

Authentication

• Digunakan untuk meyakinkan keaslian data,

sumber data, orangyang mengakses data, dan server yang digunakan

• _{Implementasi menggunakan: tanda pengenal,}

• Pengamanan

◦Intrusion Detection System (IDS), ◦Backup, „

◦Audit trail,„

◦Dissasterrecovery,

Availability

• Menjamin bahwa data dan informasi harus

dapat tersedia ketika dibutuhkan • Jenis Serangan

◦DOS (Denial of Service)

Access Control

• Membatasi atau mengatursi apa boleh

melakukan apa. Biasanya akses ke suatu data atau sistem memiliki tingkat (level, jenjang)

• _Pengamanan

◦Menggunakanpassword,

◦Penggunaan biometrik(tangan, sidik jari jempol, mata)

Cryptography

• Cryptography merupakan salah satu bidang kajian dalam bidang Informatika yang sangat populer

dewasa ini

• Hal ini seiring dengan semakin berkembangnya teknologi jaringan komputer dan internet

• Semakin banyaknya aplikasi yang muncul memanfaatkan teknologi jaringan ini

• Beberapa aplikasi tersebut menuntut tingkat aplikasi pengiriman data yang aman

Secure Application

• Aplikasi yang aman dituntut karena adanya proses transaksi data yang bernilai ekonomis dan bisnis

• Beberapa aplikasi tersebut seperti electronic banking(e‐banking),electronic

bussiness(e‐bussiness),electronic market(e‐market),electronic

publishing(e‐publishing),electronic university(e‐university)

• Semua aplikasi berbasis teknologi internet tersebut diatas,menuntut adanya jaminan keamanan terhadap semua paket data yang dikirim dalam proses bussiness transaction

Enkripsi

• Enkripsi adalah sebuah metoda untuk

merubah sebuah data asli menjadi sebuah bentuk data yang tidak dapat di baca

(ciphertext)

• Tujuannya adalah untuk melindungi

kerahasiaan data yang sedang dikirimkan dari pihak siapapun selain dari tujuan pengiriman data

Kategori Enkripsi

• _{Enkripsi Kunci rahasia (private key encyption),} terdapat sebuah kunci yangdigunakan untuk meng‐enkripsi dan men‐dekripsi informasi • _{Enkripsi Kunci publik(public key encryption),}

terdapat dua kunci yangdigunakan,satu untuk enkripsi,lainnya untuk dekripsi

• _{Fungsi One‐Way,informasi dienkripsi untuk}

menciptakan signature dari informasi asli yang digunakan untuk keperluan autentikasi

Kunci (key)

• public-key : untuk enkripsi • _{private-key : untuk dekripsi}

• _{secret-key : untuk enkripsi dan dekripsi}

• _{Kunci simetris; menggunakan kunci rahasia}

untuk enkripsi dan dekripsi. Contoh algoritma DES

• Kunci asimetris; menggunakan kunci privat

Apa itu firewall

• Firewall adalah suatu mekanisme, sehingga suatu client dari luar

dilarang/dibolehkan mengakses ke dalam jaringan (atau client yang berada di dalam dilarang/dibolehkan mengakses keluar jaringan) berdasarkan

aturan-aturan yang ditetapkan.

• Seperti pos satpam di suatu instansi/perumahan

• Bekerja di layer: antara 3 dan 4 (bahkan 5) di TCP/IP Model

• Firewall adalah sebuah sistem atau grup sistem yang menjalankan kontrol akses keamanan diantara jaringan internal yang aman dan jaringan yang untrusted seperti internet.

• Firewall didesain untuk mengijinkan trusted data lewat, menolak layanan yang mudah diserang, mencegah jaringan internal dari serangan luar yang bisa menembus firewall setiap waktu

Istilah-istilah

• Masquerading

– Allows many machines to use the appear to come from the same IP address

– Connections can only be initiated by internal host

• NAT – Network Address Translation

– The term “NAT” can mean many different things, see RFC2663 for details

– Generally some router-level mapping and conversion

between a set of private IP addresses and a single public IP address (IP Masq) or set of public IP addresses.

Mengapa butuh

• To implement your policy!

• To manage the risks of providing your services. • To segregate networks with different policies. • To provide accountability of network resources.

• Firewalls mitigate risk • Blocking MOST threats

• They have vulnerabilities as well

Cara kerja

• Dengan meneliti paket-paket yang lewat firewall itu dan

mencocokkannya dengan melihat daftar/aturan yang diberikan kepadanya.

• Firewalls block certain traffic, while allowing other traffic to pass. • Different types of firewalls pass traffic using different methods

• Packet Filtering • Proxy

• Connection State Analysis

Firewall Boleh lewat

mbak ? Nih

surat-suratnya Anak kecil ga boleh keluar.. sudah malam

Komponen Sistem Firewall

• Firewall dapat berupa PC, router, midrange,

mainframe, UNIX workstation, atau gabungan dari yang tersebut diatas.

• _{Firewall dapat terdiri dari satu atau lebih} komponen fungsional sebagai berikut :

- Packet-filtering router

- Application level gateway (proxy) - Circuit level gateway

Ada dua tipe utama

• Firewalls rules are created to match policy • Rules are based on:

– Routing based filters (Who – siapa)

• Sender and Destination • berasal dari mana ? • Mau ke mana ?

• Tidak peduli mau ngapain di sana

– Content based filters (What – mau apa)

• TCP/IP Port numbers and Services • Apa yang akan kamu lakukan di sana ?

• Tidak semudah yang nomer 1, sebab kadang-kadang bisa ditipu seorang client

Dua pendekatan aturan

• Default allow

– Mengijinkan semua lewat kecuali yang terdaftar – Place roadblocks/watch gates along a wide open

road.

• Default deny

– Semua dilarang lewat kecuali yang terdaftar

Problems

• Firewalls as filters can be considered for most part to be infallible... but as a security measure? They can only enforce rules (generally static)

internet

Problems

• “Crunchy on the outside, but soft and chewy

on the inside.”

internet

Jaringan kita

Jaringan terpercaya

Setting Firewall

• Using the “DMZ” (DeMilitarized zone) to your

advantage

• Firewalls as Intrusion Detection devices

DMZ Configuration

• Separate area off the firewall

• Different network segments may have different policies

– Departments – Service areas – Public Services – Internal Services

• Usually a different subnet

• Commonly used to house Internet facing machines (i.e. Web Servers)

DMZ Configuration

• Place web servers in the “DMZ” network

• Only allow web ports (TCP ports 80 and 443)

internet

Firewall

DMZ Configuration

• Don’t allow web servers access to your network • Allow local network to manage web servers (SSH) • Don’t allow servers to connect to the Internet • Patching is not convenient

Firewall

Web Server

internet

Mas ..yang merah gak boleh

DMZ Configuration

Firewall Web Server Jaringan Lokal: •Semua boleh menghubungi web-server (port 80/443 •PC-PC tertentu boleh menghubungi server lewat SSH (port 22)

•Server tidak boleh

menghubungi jaringan lokal Internet: •Semua boleh menghubungi web-server (port 80/443

•Selain layanan web tidak

diperkenankan

•Server tidak boleh

Firewall sebagai IDS

• IDS = Intrusion Detection System

• _{Collect log information from the deny rules}

• _{Find Portscanning, hacking attempts, etc…}

• _{Isolate traffic with deny rules helps cut down} the information overload

Firewall sebagai IDS

• What to do with ALL that data…..Graph It!

• _{Shows trends, what people are looking for}

– Helps prioritize security tasks

Firewall sebagai IDS

• Pay close attention to traffic leaving DMZ • _{Often the first sign of a compromise}

• _{Low traffic rules, so logs aren’t as enormous} • _{Email is nice, provided you’re the only one}

Produk IDS

• Commercial NFR HID, http://www.nfr.com/products/HID/ NFR NID, http://www.nfr.com/products/NID/ Entercept, http://www.clicknet.com/products/entercept/ Snare, http://www.intersectalliance.com/projects/Snare/index.html Bro, http://www.icir.org/vern/bro-manual/entire.html

Dragon IDS, http://www.enterasys.com/products/ids/

• Free/OpenSource

Snort, http://www.snort.org/

Prelude IDS, http://www.prelude-ids.org/

Swatch, ftp://ftp.stanford.edu/general/security-tools/swatch

Firewall Produk

• Commercial

Ascend, http://www.ascend.com/

Cisco PIX, http://www.cisco.com/

Firewall-1, http://www.checkpoint.com/ Netscreen, http://www.netscreen.com/ • Free/OpenSource IP Filter, http://coombs.anu.edu.au/~avalon/ IPFW, http://www.freebsd.org/doc/en/books/handbook/firewalls .html IP Tables, http://www.netfilter.org/

VPN

• VPN = Virtual Private Network

• _{VPN is far more secure than other}

management methods:

– SSL and SSH are vulnerable to Man-In-The Middle Attacks

– Telnet and SNMP are clear text

– There are no known MIM attacks against IPSEC (Yet)

VPN

• VPN clients are supported on most platforms

• _{Most firewalls will work with most clients}

• _{Netscreen now officially supports FreeSwan}

Conclusions

• People don’t just put up a thick front door for their sensitive belongings, you shouldn’t for your network either.

• _{Firewalls are an effective start to securing a} network. Not a finish.

• _{Care must be taken to construct an}

appropriate set of rules that will enforce your policy.