• Sistem komputer dan jaringannya memiliki kerawanan terhadap serangan sepanjang hidupnya
• Tidak ada sistem berbasis komputer yang
mampu mengamankan dirinya dari semua kemungkinan serangan
• Upaya yang dapat dilakukan adalah membuat
hacker atau cracker kesulitan dalam mengganggu sistem
• Sistem keamanan jaringan adalah
suatuperlindungan data selama transmisi dilakukan
• Untuk menjamin keaslian data yang
ditransmisikan, dan memelihara kerahasiaan, integritas, dan ketersediaandata.
Aspek Keamanan
• Confidentiality; Perlindungan terhadap kerahasiaan data
• Integrity; Menjaga konsistensi data
• Authentication; Jaminan mengenai keaslian identitas sumber data
• Availability; Legitimate user memiliki akses kapan pun mereka membutuhkanya
• Access control; Unauthorised user tidak dapat mengakses data
Jenis Serangan
• Interupsi; sebuah system yang dirusak sebelum sampai ke tujuan
• Interception; user yang tidak
berhak(unauthorized) mendapatkan akses file. • Modifikasi; user yang tidak berhak tidak hanya
mendapatkan akses tetapi juga dapat merubahnya
• Fabrication; user yang tidak berhak memasukkan atau menyelipkan obyek ke dalam sistem.
Kelemahan TCP/IP
• Target spoofing
X adalah kekasih Y, dan Z berpura-pura menjadi X • Session hijacking
X menelpon Y, dan Z mengambil-alih percakapan • Dapat dimanipulasi
Y kirim parsel ke X, dan Z mengganti isi parsel dengan bom
• Denial of Service (DoS)
Jalan ke rumah Y hanya muat 1 mobil, Z memarkirkan 4 mobil memenuhi jalan agar X tidak dapat berkunjung ke rumah Y
Klasifikasi Keamanan
• Network security; Fokus kepada media
pembawa informasi/data, seperti jaringan komputer
• Computer security; Fokus kepada
komputer(server, workstation, terminal), termasuk di dalamnya masalah yang
berhubungan dengan operating sistem
• Application security; Fokus kepada program
Confidentiality
• Sniffer
• Virus
• Spyware
• Keylogger
• Biasanya mengambil user id dan password
TELNET ►ssh(Secure Shell) FTP ►scp(Secure Copy)
Integrity
• Data atau informasi tidak boleh berubah
(tampered, altered, modified) tanpa ijin dari pemilik
• Serangan: virus, trojanhorse, man in the middle attack
• Pengamanan terhadap aspek ini adalah
dengan menggunakan (digital) signature,
checksum, hash algorithm, danteknik-teknik lain
Authentication
• Digunakan untuk meyakinkan keaslian data,
sumber data, orangyang mengakses data, dan server yang digunakan
• Implementasi menggunakan: tanda pengenal,
• Pengamanan
◦Intrusion Detection System (IDS), ◦Backup, „
◦Audit trail,„
◦Dissasterrecovery,
Availability
• Menjamin bahwa data dan informasi harus
dapat tersedia ketika dibutuhkan • Jenis Serangan
◦DOS (Denial of Service)
Access Control
• Membatasi atau mengatursi apa boleh
melakukan apa. Biasanya akses ke suatu data atau sistem memiliki tingkat (level, jenjang)
• Pengamanan
◦Menggunakanpassword,
◦Penggunaan biometrik(tangan, sidik jari jempol, mata)
Cryptography
• Cryptography merupakan salah satu bidang kajian dalam bidang Informatika yang sangat populer
dewasa ini
• Hal ini seiring dengan semakin berkembangnya teknologi jaringan komputer dan internet
• Semakin banyaknya aplikasi yang muncul memanfaatkan teknologi jaringan ini
• Beberapa aplikasi tersebut menuntut tingkat aplikasi pengiriman data yang aman
Secure Application
• Aplikasi yang aman dituntut karena adanya proses transaksi data yang bernilai ekonomis dan bisnis
• Beberapa aplikasi tersebut seperti electronic banking(e‐banking),electronic
bussiness(e‐bussiness),electronic market(e‐market),electronic
publishing(e‐publishing),electronic university(e‐university)
• Semua aplikasi berbasis teknologi internet tersebut diatas,menuntut adanya jaminan keamanan terhadap semua paket data yang dikirim dalam proses bussiness transaction
Enkripsi
• Enkripsi adalah sebuah metoda untuk
merubah sebuah data asli menjadi sebuah bentuk data yang tidak dapat di baca
(ciphertext)
• Tujuannya adalah untuk melindungi
kerahasiaan data yang sedang dikirimkan dari pihak siapapun selain dari tujuan pengiriman data
Kategori Enkripsi
• Enkripsi Kunci rahasia (private key encyption), terdapat sebuah kunci yangdigunakan untuk meng‐enkripsi dan men‐dekripsi informasi • Enkripsi Kunci publik(public key encryption),
terdapat dua kunci yangdigunakan,satu untuk enkripsi,lainnya untuk dekripsi
• Fungsi One‐Way,informasi dienkripsi untuk
menciptakan signature dari informasi asli yang digunakan untuk keperluan autentikasi
Kunci (key)
• public-key : untuk enkripsi • private-key : untuk dekripsi
• secret-key : untuk enkripsi dan dekripsi
• Kunci simetris; menggunakan kunci rahasia
untuk enkripsi dan dekripsi. Contoh algoritma DES
• Kunci asimetris; menggunakan kunci privat
Apa itu firewall
• Firewall adalah suatu mekanisme, sehingga suatu client dari luar
dilarang/dibolehkan mengakses ke dalam jaringan (atau client yang berada di dalam dilarang/dibolehkan mengakses keluar jaringan) berdasarkan
aturan-aturan yang ditetapkan.
• Seperti pos satpam di suatu instansi/perumahan
• Bekerja di layer: antara 3 dan 4 (bahkan 5) di TCP/IP Model
• Firewall adalah sebuah sistem atau grup sistem yang menjalankan kontrol akses keamanan diantara jaringan internal yang aman dan jaringan yang untrusted seperti internet.
• Firewall didesain untuk mengijinkan trusted data lewat, menolak layanan yang mudah diserang, mencegah jaringan internal dari serangan luar yang bisa menembus firewall setiap waktu
Istilah-istilah
• Masquerading
– Allows many machines to use the appear to come from the same IP address
– Connections can only be initiated by internal host
• NAT – Network Address Translation
– The term “NAT” can mean many different things, see RFC2663 for details
– Generally some router-level mapping and conversion
between a set of private IP addresses and a single public IP address (IP Masq) or set of public IP addresses.
Mengapa butuh
• To implement your policy!
• To manage the risks of providing your services. • To segregate networks with different policies. • To provide accountability of network resources.
• Firewalls mitigate risk • Blocking MOST threats
• They have vulnerabilities as well
Cara kerja
• Dengan meneliti paket-paket yang lewat firewall itu dan
mencocokkannya dengan melihat daftar/aturan yang diberikan kepadanya.
• Firewalls block certain traffic, while allowing other traffic to pass. • Different types of firewalls pass traffic using different methods
• Packet Filtering • Proxy
• Connection State Analysis
Firewall Boleh lewat
mbak ? Nih
surat-suratnya Anak kecil ga boleh keluar.. sudah malam
Komponen Sistem Firewall
• Firewall dapat berupa PC, router, midrange,
mainframe, UNIX workstation, atau gabungan dari yang tersebut diatas.
• Firewall dapat terdiri dari satu atau lebih komponen fungsional sebagai berikut :
- Packet-filtering router
- Application level gateway (proxy) - Circuit level gateway
Ada dua tipe utama
• Firewalls rules are created to match policy • Rules are based on:
– Routing based filters (Who – siapa)
• Sender and Destination • berasal dari mana ? • Mau ke mana ?
• Tidak peduli mau ngapain di sana
– Content based filters (What – mau apa)
• TCP/IP Port numbers and Services • Apa yang akan kamu lakukan di sana ?
• Tidak semudah yang nomer 1, sebab kadang-kadang bisa ditipu seorang client
Dua pendekatan aturan
• Default allow
– Mengijinkan semua lewat kecuali yang terdaftar – Place roadblocks/watch gates along a wide open
road.
• Default deny
– Semua dilarang lewat kecuali yang terdaftar
Problems
• Firewalls as filters can be considered for most part to be infallible... but as a security measure? They can only enforce rules (generally static)
internet
Problems
• “Crunchy on the outside, but soft and chewy
on the inside.”
internet
Jaringan kita
Jaringan terpercaya
Setting Firewall
• Using the “DMZ” (DeMilitarized zone) to your
advantage
• Firewalls as Intrusion Detection devices
DMZ Configuration
• Separate area off the firewall
• Different network segments may have different policies
– Departments – Service areas – Public Services – Internal Services
• Usually a different subnet
• Commonly used to house Internet facing machines (i.e. Web Servers)
DMZ Configuration
• Place web servers in the “DMZ” network
• Only allow web ports (TCP ports 80 and 443)
internet
Firewall
DMZ Configuration
• Don’t allow web servers access to your network • Allow local network to manage web servers (SSH) • Don’t allow servers to connect to the Internet • Patching is not convenient
Firewall
Web Server
internet
Mas ..yang merah gak boleh
DMZ Configuration
Firewall Web Server Jaringan Lokal: •Semua boleh menghubungi web-server (port 80/443 •PC-PC tertentu boleh menghubungi server lewat SSH (port 22)•Server tidak boleh
menghubungi jaringan lokal Internet: •Semua boleh menghubungi web-server (port 80/443
•Selain layanan web tidak
diperkenankan
•Server tidak boleh
Firewall sebagai IDS
• IDS = Intrusion Detection System
• Collect log information from the deny rules
• Find Portscanning, hacking attempts, etc…
• Isolate traffic with deny rules helps cut down the information overload
Firewall sebagai IDS
• What to do with ALL that data…..Graph It!
• Shows trends, what people are looking for
– Helps prioritize security tasks
Firewall sebagai IDS
• Pay close attention to traffic leaving DMZ • Often the first sign of a compromise
• Low traffic rules, so logs aren’t as enormous • Email is nice, provided you’re the only one
Produk IDS
• Commercial NFR HID, http://www.nfr.com/products/HID/ NFR NID, http://www.nfr.com/products/NID/ Entercept, http://www.clicknet.com/products/entercept/ Snare, http://www.intersectalliance.com/projects/Snare/index.html Bro, http://www.icir.org/vern/bro-manual/entire.htmlDragon IDS, http://www.enterasys.com/products/ids/
• Free/OpenSource
Snort, http://www.snort.org/
Prelude IDS, http://www.prelude-ids.org/
Swatch, ftp://ftp.stanford.edu/general/security-tools/swatch
Firewall Produk
• Commercial
Ascend, http://www.ascend.com/
Cisco PIX, http://www.cisco.com/
Firewall-1, http://www.checkpoint.com/ Netscreen, http://www.netscreen.com/ • Free/OpenSource IP Filter, http://coombs.anu.edu.au/~avalon/ IPFW, http://www.freebsd.org/doc/en/books/handbook/firewalls .html IP Tables, http://www.netfilter.org/
VPN
• VPN = Virtual Private Network
• VPN is far more secure than other
management methods:
– SSL and SSH are vulnerable to Man-In-The Middle Attacks
– Telnet and SNMP are clear text
– There are no known MIM attacks against IPSEC (Yet)
VPN
• VPN clients are supported on most platforms
• Most firewalls will work with most clients
• Netscreen now officially supports FreeSwan
Conclusions
• People don’t just put up a thick front door for their sensitive belongings, you shouldn’t for your network either.
• Firewalls are an effective start to securing a network. Not a finish.
• Care must be taken to construct an
appropriate set of rules that will enforce your policy.