Physical Security and Biometrics
Definisi:
Tindakan
atau cara yang dilakukan untuk mencegah atau menanggulangi dan menjaga
hardware, program, jaringan dan data dari bahaya fisik dan kejadian yang dapat
menyebabkan kehilangan yang besar atau kehancuran. Keamanan fisik termasuk
perlindungan terhadap kebakaran, bencana alam, pencurian, vandalism dan teroris
Yang perlu dilindungi adalah:
Bangunan
Ruang Komputer
Komputer
Media Penyimpanan
Dilindungi terhadap apa?
Lingkungan
Kebakaran
Iklim
Gempa Bumi dan Getaran
Air
Listrik
Petir
Orang
Awalnya dianggap tidak penting
Sering diabaikan
Pencurian fisik: laptop, harddisk, CD
Bencana alam
Kebijakan keamanan fisik mulai diperhatikan,
dilihat ulang dan diperbaiki
Physical Security
Bagaimana menjaga data agar tetap aman jika
terjadi bencana alam
Bagaimana strategi pemulihan kembali setelah
terjadi bencana
Bagaimana pengontrolan akses fisik
Bagaimana standar ruangan server
Bagaimana penyimpanan data
Bagaimana prosedur backup
Bagaimana standar keamanan gedung tempat data
center
Ancaman dan Resiko Pada Data Center
Faktor lingkungan
kebakaran, banjir, embun, suhu, listrik,
gempa bumi dan bentuk-bentuk bencana alam lainnya
Faktor manusia
Eksploitasi
Faktor finansial
Butuh investasi yang cukup lumayan
Metode Pengamanan Fisik pada Data Center
Faktor lingkungan
Bangunan
Kebakaran
Suhu/Iklim
Listrik
Bencana alam
Air
Petir
Metode Pengamanan Fisik pada Data Center
Faktor lingkungan – Bangunan(Lokasi)
Lokasi data center dipilih yang memiliki
sedikit resiko terhadap bencana alam dan ancaman teroris
Sebaiknya terpisah dengan kantor pusat
Jauh dari jalan raya utama
Lokasi tidak bertetangga dengan bandar udara,
pabrik kimia, jalur pipa gas, pusat keramaian dan pusat pembangkit listrik
Memiliki kecukupan tenaga listrik
Metode Pengamanan Fisik pada Data Center
Faktor lingkungan – Bangunan (kontruksi bangunan)
Perhatikan mengenai sirkulasi udara, terkait
dengan suhu. Kebanyakan sedikit jendela dan tertutup.
Gunakan standar pendingin ruangan
Bahan bangunan tidak mudah terbakar
Kontruksi bangunan tahan gempa
Instalasi listrik yang baik, terutama
grounding
Pintu masuk dirancang sangat terbatas
Pintu kebakaran dirancang untuk keluar saja
Metode Pengamanan Fisik pada Data Center
Faktor lingkungan – Bangunan (pengamanan di
sekeliling bangunan)
Memiliki jarak +/- 10 meter dari bangunan
lain/pohon
Gunakan CCTV untuk pengawasan di sekitar
bangunan
Perlu pepohonan dan taman agar tersembunyi
dari orang lewat dan pengintai
Area parkir kendaraan perlu diawasi, gunakan
petugas yang profesional dan detektor bom
Metode Pengamanan Fisik pada Data Center
Faktor lingkungan – Bangunan (pengamanan di
dalam bangunan)
Perlu kamera pengawas, sensor asap, sensor
kebakaran.
Pengawasan terhadap pintu masuk dan keluar
Metode Pengamanan Fisik pada Data Center
Faktor lingkungan – Kebakaran
Suplai listrik yang baik perlu diperhatikan
Bangunan tidak mudah terbakar
Gunakan sensor asap, sensor panas, pemadam
api dan sistem penyemprot air. Periksa secara periodik
Gunakan alarm kebakaran baik yang manual
maupun yang otomatis
Perlu kebijakan dilarang merokok di ruang
komputer
Metode Pengamanan Fisik pada Data Center
Faktor lingkungan – Suhu/Iklim
Perlu sensor suhu di ruang server
Gunakan AC yang cukup untuk membuat ruangan
tetap dingin
Suhu yang baik 10-26 derajat Celcius
Kelembaban antara 20-80 persen
Gunakan alarm bila melebihi batas suhu dan
kelembaban
Pendingin dan pemanas perlu diberi filter
untuk menghindari debu
Metode Pengamanan Fisik pada Data Center
Faktor lingkungan – Listrik
Voltase dan daya harus cukup
Grounding yang baik
Perlu stabiliser
Perlu listrik cadangan, seperti UPS dan
Genset
Metode Pengamanan Fisik pada Data Center
Faktor lingkungan – Bencana alam
Bangunan harus jauh dari daerah yang sering
dilanda bencana alam.
Kontruksi bangunan harus tahan gempa
Pastikan kalau terjadi gempa yang kuat, tidak
ada benda-benda yang jatuh menimpa komputer.
B A C K U P !!
Penyimpanan hasil data backup perlu
diperhatikan
Harus aman dari penyusup, ruangan harus baik,
bebas debu, tidak lembab dan tidak mudah
terbakar
Metode Pengamanan Fisik pada Data Center
Faktor lingkungan – Air
Banjir dapat terjadi karena hujan, air dari
kamar mandi meluap, dari sprinklers. Pastikan terhindar dari semuanya itu
Bila komputer terlanjur basah, keringkan
dahulu sebelum dinyalakan
Gunakan sensor air di lantai dekat komputer.
Metode Pengamanan Fisik pada Data Center
Faktor lingkungan – Petir
Gunakan penangkal petir yang baik
Kabel penangkal petir harus sampai mencapai
air tanah
Bila terjadi petir yang sering, matikan
komputer dan lepaskan kabel-kabel, seperti kabel listrik, kabel jaringan.
Metode Pengamanan Fisik pada Data Center
Faktor Manusia
Sering kali eksploitasi dilakukan oleh orang
dalam
Digunakan teknologi biometric
Biasanya digunakan sebagai otentikasi untuk
masuk ke ruangan khusus, seperti ruang server, ruang komputer atau untuk
mengakses suatu sistem
Physical Security
Biometrics
Dapat berupa:
sidik jari, telapak tangan, pola retina, pola
suara, tanda tangan dan pola mengetik.
SIDIK JARI
Setiap manusia memiliki sidik jari yang unik
Pemeriksaan pada pola dari minutiae
Sebuah jari memiliki minutiae sampai 150
Kelemahan: luka bakar dan luka fisik pada
jari
debu, keringat, minyak dan lem pada jari bisa
mempengaruhi
Physical Security
TELAPAK TANGAN
Setiap manusia memiliki pola telapak tangan
yang unik
Pemeriksaan dilakukan pada guratan tangan
Luka, bengkak dan pemakaian cincin pada
tangan dapat mempengaruhi sistem ini
POLA RETINA
Setiap manusia memiliki pola retina yang unik
Menggunakan sinar infra merah
Pengukuran dilakukan intensitas cahaya dari
pembuluh darah pada retina
Sangat terpercaya, tetapi kurang diterima
Ditakutkan membutakan mata
POLA SUARA
Setiap manusia memiliki pola suara dan
akustik yang unik
Suara dikonversi ke bentuk digital lalu
dibandingkan dengan pola yang sudah tersimpan
Penyakit pernapasan, luka, stress dan
gangguan dari suara latar belakang dapat mempengaruhi sistem ini
POLA TANDATANGAN
Setiap manusia memiliki pola tandatangan yang
unik
Menggunakan pad dan pen biometric yang
dihubungkan ke komputer
Tandatangan dikonversi ke dalam bentuk signal
digital
Tekanan pen pada saat tandatangan dapat
mempengaruhi bentuk signal digital
POLA KETIKAN
Setiap manusia memiliki pola atau ritme
mengetik
Sistem memberikan sebuah kalimat untuk kita
ketik
Pola dan ritme mengetik yang kita lakukan
akan dibandingkan dengan pola yang telah tersimpan.------------------------------------------------------------------------------------------------
Network Security
Apa itu jaringan komputer?
2 atau lebih komputer yang saling
terinterkoneksi dan dapat saling bertukar informasi
Jaringan komputer terbagi atas beberapa
lapisan yang saling independen satu sama lain
Lapisan-lapisan ini disebut protokol
Lapisan-lapisan yang dimiliki:
Physical
Data Link
Network
Transport
Session
Presentasion
Application
Disebut juga OSI (Open System
Interconnection)
Apa itu jaringan komputer?
Contoh protokol: TCP/IP, IPX/SPX, APPLETALK,
NETBEUI, dll.
Yang banyak digunakan adalah TCP/IP
Terdiri dari 4 lapisan
Link (Lapisan OSI 1 dan 2)
Internetwork (Lapisan OSI 3)
Transport (Lapisan OSI 4 dan 5)
Application (Lapisan OSI 6 sampai 7)
Proteksi Jaringan Komputer
Layer 2
Mac Address Authentication
Pengontrolan
dilakukan pada switch/hub dan wireless access point
WEP/WPA (Wired Equivalent Privacy/Wi-Fi
Protected Access)
Data
yang dikirim dienkripsi terlebih dahulu
Layer 3
Perlindungan dilakukan berdasarkan alamat IP
dan Port
Layer 4/5
Pengamanan lebih difokuskan dalam mengamankan
data yang dikirim
Misalnya
dengan VPN (Virtual Private Network)
Layer 7
Metode yang digunakan
SSL (Secure Socket Layer)
Misalnya
- mengakses
url web: https://domain.com
- mengakses
komputer remote dengan ssh (secure shell) dan scp (secure copy)
- Application
firewall
- Pemeriksaan
dilakukan pada keseluruhan data yang diterima oleh aplikasi
- Paket
data disatukan kemudian diperiksa apakah data yang dikirimkan berbahaya
atau tidak
- Bila
ditemukan berbahaya untuk sebuah aplikasi, data tersebut disingkirkan
atau dibuang
- Dipasang
di setiap komputer,
- Dapat
mengakibatkan lamanya data yang sampai ke aplikasi.
- Contoh:
Pengecekan email pada email client
Proteksi Jaringan Komputer
Jenis-jenis serangan:
DOS/DDOS (Denial of Services/Distributed
Denial of Services)
Packet Sniffing
IP Spoofing
DNS Forgery
DOS/DDOS
Suatu metode serangan yang bertujuan untuk
menghabiskan sumber daya pada peralatan jaringan komputer
Contoh:
SYN Flood Attack
Smurf Attack
Ping of Death
Buffer Overflow
SYN Flood Attack
Dimulai dari client mengirimkan paket dengan
tanda SYN
Pihak server menjawab dengan mengirim paket
SYN dan ACK
Terakhir client mengirim paket ACK à koneksi terbuka
Koneksi akan berakhir bila salah satu pihak
mengirim paket FIN atau paket RST atau connection time-out
Komputer server mengalokasikan sebuah memori
untuk koneksi ini
Dikenal dengan istilah Three-Way-Handshake
Pada serangan ini, sebuah host menerima paket
SYN dalam jumlah yang sangat banyak dan secara terus menerus
Berdampak pada memori à memori akan habis
teralokasi
Ada permintaan baru à tidak dapat dilayani
karena memorinya habis
Micro-blocks
Ketika penerima paket inisialisasi, host
mengalokasikan memori dengan sangat kecil
Diharapkan dapat menampung banyak koneksi
Penyerang mengirim paket ping request ke
banyak host (secara broadcast)
IP pengirim diubah menjadi IP host yang akan
diserang
Berdampak host menjadi terlalu sibuk dan
kehabisan sumber daya komputasi, sehingga tidak dapat melayani permintaan
lainnya
Penanganan Smurf Attack
Tidak melayani permintaan ping request
Tujuan utama adalah membentuk paket yang
berukuran lebih dari 65535.
Sistem Operasi tidak dapat menghandel paket
yang lebih dari 65535, sehingga mengakibatkan beberapa sistem operasi crash.
Buffer Overflow
Terjadi dimana program menulis informasi yang
lebih besar ke buffer dari pada tempat yang dialokasikan di memori
Penyerang dapat mengganti data yang
mengontrol jalur eksekusi program dan membajak kontrol program untuk
mengeksekusi instruksi si penyerang
Contoh kasus serangan DoS
6 Februari 2000, portal Yahoo mati selama 3
jam
Buy.com, pada hari berikutnya setelah
beberapa jam dipublish
Sore harinya eBay.com, amazon.com, CNN,
ZDNet, FBI mendapatkan hal yang sama.
15 Agustus 2003, microsoft.com diserang DoS.
Selama 2 jam website tidak dapat diakses
27 Maret 2003, Website Al Jazeera berbahasa
Inggris yang baru beberapa jam online, juga diserang DoS
1 Mei 2008, Website libertyreserve.com, e-currency,
terserang DoS. Beberapa hari tidak dapat diakses.
Sebuah metode serangan dengan cara mendengarkan
seluruh paket yang lewat pada sebuah media komunikasi
Paket-paket disusun ulang sehingga membentuk
data
Dilakukan pada koneksi broadcast
Penanganan Packet Sniffing
Gunakan Switch, jangan HUB
Gunakan koneksi SSL atau VPN
Packet Sniffing Sebagai Tools Administrator
Berguna untuk memonitoring suatu jaringan
terhadap paket-paket yang tidak normal
Dapat mengetahui pengirim dari paket-paket
yang tidak normal
Sebuah model serangan yang bertujuan untuk
menipu orang
Pengiriman paket palsu ini dilakukan dengan
raw-socket-programming
DNS Forgery
Sebuah metode penipuan terhadap data-data DNS
Penyerang membuat DNS palsu
Akses ke sebuah website dialihkan ke website
lain.
DNS Cache Poisoning
Memanfaatkan cache dari setiap DNS
Penyerang membuat data-data palsu yang
nantinya tersimpan di cache sebuah DNS
Implementasi IDS (Intrusion Detection System)
IDS mendeteksi adanya intrusion
Instrusion berupa paket-paket yang tidak
wajar
IDS Memiliki daftar Signature-based yang
digunakan untuk menilai apakah sebuah paket itu wajar atau tidak
Ada 2 jenis IDS:
Network-based IDS
Host-based IDS
Network-based IDS mengamati jaringan untuk
mendeteksi adanya kelainan, misalnya network flooding, port scanning, usaha
pengiriman virus via email
Host-based IDS dipasang pada host untuk
mendeteksi kelainan pada host tersebut, misalnya adanya proses yang semestinya
tidak berjalan, sekarang sedang berjalan, adanya virus di workstation
Mekanisme Pertahanan
Implementasi Network Management
Administrator dapat memantau penggunaan jaringan
untuk mendeteksi adanya masalah (jaringan tidak bekerja, lambat, dll)
Sering menggunakan Simple Network Management
Protokol
Contohnya program MRTG
Penggunaan antivirus yang up-to-date
Antivirus ini harus dipasang pada workstation
dan server yang ada di jaringan komputer
Evaluasi terhadap desain, baik untuk intranet
maupun hubungan ke internet
Lakukan segmentasi
Pisahkan jaringan internal dengan jaringan
yang dapat diakses dari luar (DeMiliterized Zone (DMZ))
Implementasi Port Scanning
Administrator dapat memeriksa port-port yang
terbuka dari setiap komputer
Implementasi Firewall
Agar paket-paket yang tidak wajar dapat
ditolak------------------------------------------------------------------------------------------------
Operating System Security
Ada 2 langkah dalam proses login:
Identifikasi
Proses
untuk memberitahu kepada sistem operasi kalau kita mau login
Otentikasi
Proses
untuk membuktikan bahwa yang mau login adalah benar kita.
Sesuatu yang kita tahu, misalnya password,
PIN
secara
teori, yang mengetahui password adalah pemiliknya sendiri, namun dalam
prakteknya terdapat beberapa permasalahan:
diberikan ke orang lain lalu orang lain itu
memberitahukan ke orang lain
dicuri orang lain
dituliskan di suatu tempat
terlalu mudah ditebak
Sesuatu yang kita miliki, misalnya ID Card,
security token, kunci
Secara teori, yang punya kunci adalah
pemilik.
Masalahnya:
Kunci hilang atau dipinjam ke seseorang lalu
diduplikasi
Sesuatu yang ada di tubuh kita, misalnya
fingerprint, signature, voice
Saat
ini yang masih paling sering digunakan untuk identifikasi dan otentikasi adalah
account dan password
Brute Force
Mencoba segala kombinasi huruf dan angka
(trial and error)
Dictionary based
Dengan bantuan file yang berisi daftar
password-password yang sering dipakai orang
Password sniffing
Menyadap data yang lewat di jaringan komputer
Social Engineering
Menyadap pembicaraan orang(eavesdroppers)
Membuat agar orang menyebutkan passwordnya
Petunjuk Proteksi Dengan Password
Jangan biarkan user/account tanpa password
Jangan biarkan password awal yang berasal
dari sistem operasi
Jangan menuliskan password
Jangan mengetik password, selagi diawasi
Jangan mengirim password secara online
Segera ubah bila password kita bocor
Jangan menggunakan password sebelumnya
Memilih password yang baik
Pilih yang sukar ditebak dan mudah diingat
Jangan menggunakan data pribadi, seperti
nama, tanggal lahir, no. telepon
Pilih password yang panjang, minimal 8
karakter
Gunakan gabungan antara huruf, angka dan
spesial karakter. Jangan semuanya angka atau huruf
Bedakan password antar host yang satu dengan
yang lain
Jangan menggunakan password sebelumnya
Hati-hati dengan penggunaan kata dalam bahasa
Inggris sebagai password
Boleh juga menggunakan kata-kata yang tidak
ada artinya, misalnya: s1(z/a%zo2
Pencegahan Password sniffing
Gunakan switch (jangan hub)
Gunakan aplikasi yang mendukung enkripsi
VPN
Ada 3 tipe dasar pengaksesan file
Read (r)
Write (w)
Execute (x)
Pembuat file adalah pemilik file
Id pembuat file disimpan
Hanya pemilik yang dapat mengakses file
miliknya
Administrator dapat mengakses juga
Metode File Types
File akan didefinisikan sebagai public file,
semipublic file atau private file
Public file -> semua user mempunyai hak
penuh (rwx)
Semi public file -> user lain hanya
mempunyak hak read execute(rx)
Private file -> user lain tidak punya hak
Metode Self/Group/Public Controls
Disebut juga user/group/other
user
– pemilik file
group
– sekelompok user
other
– user yang tidak termasuk di atas
Setiap file/directory memiliki sekumpulan
bit-bit yang disebut file permissions/ Protection mode
Tipe proteksi untuk file:
r -> hak untuk membaca file
w -> hak untuk menulis ke file
x -> hak untuk menjalankan file
- -> tidak mempunyai hak
Tipe proteksi untuk directory:
r -> hak untuk membaca Isi directory
w -> hak untuk membuat dan menghapus file
x -> hak untuk masuk ke directory
- ->
tidak mempunyai hak
------------------------------------------------------------------------------------------------
Viruses and Other Wild Life
Viruses
Worms
Trojan Horses
Bombs
Trap Doors / Back Doors
Other Wild Life
Viruses
Sebuah program yang mempunyai kemampuan
‘memecahkan diri’ dan meng-’copy’ ke
dalam program/sistem lainnya
Bergantung pada program yang lainnya.
Akan aktif bila ‘sesuatu’ yang mengandung
virus dijalankan.
Biasanya dalam lingkungan satu sistem
operasi, walaupun ada yang beda sistem operasi
Menginfeksi: Memori dan media penyimpanan
Worm
Tidak bergantung dengan suatu program.
Memperbanyak dirinya dengan cara mencopy
dirinya sendiri dari 1 komputer ke komputer yang lainnya.
Menggunakan jaringan/Network.
Tidak menyerang program.
Tidak merubah program.
Tidak merusak data.
Tetapi berbahaya.
Memanfaatkan sumber daya jaringan.
Trojan Horses
Suatu penggalan program yang bersembunyi di
dalam program dan mempunyai suatu fungsi yang khusus
Sering disembunyikan di dalam program yang
menarik user
Misalnya suatu program yang menarik, permainan
yang baru.
Biasanya digunakan untuk menyadap password
seseorang.
Program Trojan Horse yang cerdik:
•
Tidak meninggalkan jejak kehadirannya
•
Tidak dapat dideteksi
•
Diprogram agar dapat menghancurkan dirinya
sendiri sebelum terdeteksi
Seperti Trojan Horse
Seringkali digabung dengan virus, worm dan
program yang menyerang sistem.
Bekerja berdasarkan tanggal, jam atau kondisi
tertentu
Ada 2 macam bomb: time dan logic
Yang bekerja berdasarkan waktu tertentu
disebut time bomb (bom waktu)
Yang bekerja berdasarkan kejadian/kondisi
tertentu disebut logic bomb (bom logik)
Suatu teknik yang digunakan oleh si
programmer untuk masuk ke suatu sistem.
Merupakan jalan rahasia untuk masuk ke suatu
sistem.
Fungsinya untuk memberikan kepada si programmer
untuk masuk ke suatu sistem lewat ‘pintu belakang’.
Kadangkala programmer membiarkan trap door di
dalam program untuk pengetasan program atau memonitor suatu operasi.
Trap Doors/ Back Doors
Suatu teknik yang digunakan oleh si
programmer untuk masuk ke suatu sistem.
Merupakan jalan rahasia untuk masuk ke suatu
sistem.
Fungsinya untuk memberikan kepada si
programmer untuk masuk ke suatu sistem lewat ‘pintu belakang’.
Kadangkala programmer membiarkan trap door di
dalam program untuk pengetasan program atau memonitor suatu operasi.
BACTERIA
Suatu program yang tidak melakukan apapun,
tetapi memperbanyak dirinya sendiri
Biasanya beralokasi di memori, disk atau media
penyimpanan lainnya.
RABBITS
Nama lain dari program yang memproduksi
dengan cepat sekali.
CRABS
Program yang menyerang/ mengganggu tampilan
data di layar monitor.
SPOOFS
program yang melakukan suatu trik dengan
memberikan hak-hak istimewa kepada user
CREEPERS
Suatu program, seperti worm, yang menyerbar
dari terminal ke terminal lainnya di dalam jaringan ARPANET (1970an) sambil
menampilkan pesan “I’m the creeper, catch me if you can” sampai nantinya
program ini dibasmi oleh “The Reaper”.
Other Wild Life
SALAMIS
Suatu program yang menyerang nilai-nilai uang
dari file transaksi di bank, terutama nilai pecahan
Nilai pecahan (sen) dari bunga diambil dan
dipindahkan ke rekening orang lain
Hints for Protecting Against Malicious Code
Install software dengan menggunakan yang asli
Jangan gunakan software yang dipesan bila
tiba dalam keadaan terbuka.
Install hanya software yang dibutuhkan saja.
Buat disable autorun / autoplay
Hati-hati dengan program baru yang bersifat public-domain
dan shareware.
Jangan menjadi pencoba pertama suatu program,
terutama software public domain.
Bila terpaksa, periksa program ini dengan
serum/anti virus
Pastikan backup seluruh data
Pastikan bahwa data yang dibackup tidak
terinfeksi virus.
Install antivirus dan selalu diupdate
------------------------------------------------------------------------------------------------
Biasanya digunakan oleh kantor cabang untuk
mengakses jaringan komputer kantor pusat
Dial-up
VPN Dial On-Demand
Karena melalui jaringan umum, maka perlunya
keamanan data
Tunneling
Koneksi point-to-point secara logik dengan
otentikasi dan enkripsi
Paket yang akan melalui tunnel, dibungkus
dalam paket baru
PPTP (Point-to-Point Tunneling Protocol)
Bekerja hanya pada jaringan yang mendukung IP
Perfoma jaringan VPN tidak akan bisa sebaik
jaringan pribadi yang sesungguhnya
------------------------------------------------------------------------------------------------
Sql Server
Paling ringan: Perusahaan HANYA akan
kehilangan waktu dan uang untuk biaya penyelidikan
Desember 2000, situs egghead.com, sebuah toko
penjual komputer retail, mengalami pencurian database, diperkirakan 3.7 juta
data kartu kredit pembeli telah dicuri
Database server harus dikonfigurasi dengan
benar, baik database enginenya maupun infrastrukturnya
Model 3-tier, bukan 2-tier
Kalau di DMZ, dapat diakses dari publik
Untuk menghindari bila intruder memasang
program di salah satu server untuk menangkap data yang lewat pada jaringan
Ada yang mengatakan, “Saya sudah menggunakan
SSL (Secure Socket Layer),
sehingga datanya aman”
Memang benar tidak ada jaringan yang kebal
terhadap serangan hacker, namun dengan langkah-langkah pencegahan ini, kita
dapat membuat sulit bagi intruder untuk mencuri data baik dari database atau
dari lalu lintas data
Virtual Private Network
Apa itu VPN?
Suatu
jaringan private yang menggunakan media jaringan publik untuk menghubungkan
antar remote-site secara aman
Apa Kegunaan Dari VPN?
Biasanya digunakan oleh kantor cabang untuk
mengakses jaringan komputer kantor pusat
Seorang karyawan yang berada di tempat lain
ingin mengakses jaringan komputer kantor pusat
Lebih efisien dan berbiaya ekonomis daripada
menggunakan leased line atau panggilan jarak jauh melalui modem
Bisa sebagai penganti WAN
VPN dapat bekerja dengan cara:
Dial-up
Router-to-Router
Virtual Private Network
Tipe-Tipe Layanan VPN
VPN Dial On-Demand
VPN Realtime
Virtual Private Network
Sebuah ‘terowongan’(tunnel) diciptakan pada
jaringan publik
Dipakai untuk pengiriman paket data
Seolah-olah ada hubungan point-to-point
Yang perlu diperhatikan pada VPN
Karena melalui jaringan umum, maka perlunya
keamanan data
Enkripsi sangat dibutuhkan dalam proses
pengiriman data
Performa internet, seperti kecepatan transfer
data, mudahnya koneksi ke internet, kestabilan koneksi, dll
Sedikit lebih lambat bila dibandingkan dengan
tanpa VPN, karena adanya proses tunneling dan enkripsi/dekripsi
Yang dibutuhkan untuk membangun VPN
Tunneling
Enkripsi/Dekripsi
Tunnel
Koneksi point-to-point secara logik dengan
otentikasi dan enkripsi
Butuh protokol à sehingga seperti
point-to-point
Enkapsulasi
Paket yang akan melalui tunnel, dibungkus
dalam paket baru
Alamat ujung tujuan terowongan (tunnel
endpoints) diletakkan di destination address paket baru
Sampai di endpoints, paket baru dibuka dan
paket lama dikirimkan ke tujuan akhir
Protokol Tunnel
PPTP (Point-to-Point Tunneling Protocol)
L2F (Layer 2 Forwarding)
L2TP (Layer 2 Tunneling Protocol)
IP Security Protocol
Virtual Private Network
Point-to-Point Tunneling Protocol
Mengenkapsulasi frame yang bisa berisi IP,
IPX atau NetBEUI ke dalam paket IP
Dibutuhkan IP untuk tunnel
Virtual Private Network
Layer 2 Forwarding
Dikembangkan oleh Cisco
Menggunakan ATM dan Frame Relay
Tidak membutuhkan IP
Virtual Private Network
Layer 2 Tunneling Protocol (L2TP)
Kombinasi dari 2 tunneling protokol, yaitu
PPTP dan L2F
Bisa mengenkapsulasi data dalam IP, ATM,
Frame Relay dan X.25
Mendukung kompresi
Dapat bekerja pada jaringan non-IP seperti
ATM dan Frame Relay
IP Security Protocol
Bekerja hanya pada jaringan yang mendukung IP
Paket IP akan dibungkus dengan paket IPSec
Memiliki kemampuan dalam membuat tunnel dan enkripsi
Memilik 2 mode, Transport mode dan Tunneling
mode
Pada Transport mode, tunnel dibuat L2TP,
enkripsi dilakukan IPSec
Kesimpulan
Perfoma jaringan VPN tidak akan bisa sebaik
jaringan pribadi yang sesungguhnya
Waktu latensi yang besar menyertai VPN
Akses dari suatu tempat ke tempat lain
menjadi lebih efisien
Karena melalui jalur publik, maka proses
enkripsi perlu dipergunakan------------------------------------------------------------------------------------------------
Database Security
Apa itu database?
kumpulan
data yang disimpan dan diatur/ diorganisasikan sehingga data tersebut dapat
diambil atau dicari dengan mudah/ efisien
Contoh database engine:
Sql Server
MS Access
Oracle Database
MySQL
Firebird
PostgreSQL
DB2
Database Security
Merupakan komponen penting dalam infrastruktur
informasi
Aplikasi-aplikasi sistem informasi hampir
semuanya menggunakan database
Situs-situs e-commerce atau situs-situs
lainnya menggunakan database untuk menyimpan informasi dari visitor
Apakah perlu diamankan ?? PERLU!
Pada prakteknya tidak demikian à jarang diperhatikan
dan sering diabaikan
Kenapa ??
Karena
mereka lebih memperhatikan web server atau application server ketimbang
database server
Perhatian lebih banyak diberikan untuk
perlindungan terhadap serang DoS dan deface
Apa yang terjadi bila database server
diserang??
akan
mengalami kerugian yang besar, bahkan lebih besar dibandingkan kerugian akibat
downtime
Apa yang dilakukan oleh hacker terhadap
database server?
bukan
menghapus
bukan
merubah
bukan
merusak
tetapi
MENCURI !!
Database Security
Apa dampak dari pencurian database?
Paling ringan: Perusahaan HANYA akan
kehilangan waktu dan uang untuk biaya penyelidikan
Menghentikan layanan kepada customer sampai
sistemnya dinyatakan dapat dipercaya, misalnya website ditutup sementara waktu
Diperas oleh pelaku
Database Security
Contoh kasus:
Desember 2000, situs egghead.com, sebuah toko
penjual komputer retail, mengalami pencurian database, diperkirakan 3.7 juta
data kartu kredit pembeli telah dicuri
Tahun 1999, seorang Rusia bernama Maxus,
berhasil mencuri data kartu kredit dari cdUniversal dan memeras perusahaan
tersebut.
November 2001, situs playboy.com mengalami
hal yang sama
Musim semi 2001, diperkirakan sebanyak 98000
informasi kartu kredit telah berhasil dicuri
Maret 2001, FBI melaporkan lebih dari 40
situs perbankan mengalami pencurian oleh hacker dari Rusia dan Ukraina
Database Security
Langkah-langkah yang melindungan database
Database server harus dikonfigurasi dengan
benar, baik database enginenya maupun infrastrukturnya
Pemberian otoritas user harus sesuai dengan
kebutuhan aplikasi
Sebaiknya password database tidak diberikan
kepada user
Hanya diperbolehkan untuk mengakses data yang
diperlukan saja
Jangan menggunakan user root, system atau
selevelnya pada aplikasi untuk mengakses database server
Jangan pernah user root atau selevelnya tanpa
password
Bagaimana dengan infrastruktur jaringan?
- Pisahkan
database server dari application server
Model 3-tier, bukan 2-tier
2-tier, jika hacker berhasil menjebol web
server, maka mereka akan memperoleh akses ke database kita.
Muncul masalah
ada cost untuk server lagi, tetapi lebih
murah dibanding kerugian bila database dicuri orang
3-tierà
kinerja menurun karena butuh waktu untuk transfer data antara web dan database
server, tetapi pada kenyataannya justru yang butuh waktu lama adalah transfer
dari client ke application server
Database ßà Application server cepat,
karena intranet
2. Jangan menaruh database server di area DMZ (De-Militarised Zone)
Kalau di DMZ, dapat diakses dari publik
Ada pemikiran bila ditaruh pada area DMZ dan
dipasang firewall maka database server aman
Yakin aman?? TIDAK !!
Memang benar firewall akan men-drop paket
yang datang dari luar menuju ke database server, tetapi tidak men-drop paket
yang datang dari area DMZ, misalnya mail server yang telah ‘tercemar’
3. Ganti Peralatan Hub dengan Switch
Untuk menghindari bila intruder memasang
program di salah satu server untuk menangkap data yang lewat pada jaringan
Kebanyakan switch dapat dikontrol melalui
telnet konsol
Apakah dengan memakai switch sudah aman ??
Bagaimana bila intruder sudah menguasai salah
satu server dan berusaha untuk mendapatkan akses ke switch
Jika switch sudah dikuasai, maka intruder
dapat meneruskan trafik di area DMZ ke port dari server yang sudah dikuasai
4. Enkripsi Data Antara Web dan Database Server
Ada yang mengatakan, “Saya sudah menggunakan
SSL (Secure Socket Layer),
sehingga datanya aman”
Perlu diingat, SSL itu hanya dari client ke
web server
Bagaimana dari web ke database server ??
TIDAK DIENKRIP
Jadi ?? Trafik data antara web dan database
server harus dienkrip
Caranya ?? Beberapa database engine sudah
dilengkapi dengan enkripsi melalui SSL
Bagaimana kalau belum dilengkapi dengan SSL
?? Bisa menggunakan SSH Port Forwarding dan STunnel
Kesimpulan
Memang benar tidak ada jaringan yang kebal
terhadap serangan hacker, namun dengan langkah-langkah pencegahan ini, kita
dapat membuat sulit bagi intruder untuk mencuri data baik dari database atau
dari lalu lintas data
Membiarkan database server tanpa pengamanan
dengan firewall dan enkripsi akan menimbulkan masalah yang besar
Pastikan bahwa web server dan database server
sudah dipatch dengan versi yang terakhir
Perlu pendidikan mengenai keamanan
administrator jaringan, database administrator dan web programmer
Pastikan bahwa web programmer/ web developer
dan DBA telah melaksanakan tugasnya dengan baik
){kind=link}
0 komentar:
Post a Comment