Download TK3193 - NE1004 - 1 - 2 - Pendahuluan dan - kelas

Document related concepts
no text concepts found
Transcript
KEAMANAN JARINGAN
(TK-3193)
Peraturan Perkuliahan (Lanjutan)
• Tugas terdiri dari tugas kelompok dan individu
• Penilaian :
– Tugas
40% + 10%
– Assessment
60%
– Tugas Opsional *
• Ketua Kelas : DIMAS MOCHAMAD PRAYOGO (30210100)
• Komunikasi dapat dilakukan melalui milis :
[email protected]
• Assessment & Remedial:
– Hanya untuk yang mendapat nilai lebih rendah dari C .
Nilai Maksimum adalah C.
– Dilakukan pada akhir semester
Silabus
1. Teknik Penyerangan
OSI Layer, konsep keamanan jaringan, teknik
penyerangan, …
2. Teknik Pengamanan
Otentikasi & kriptografi, firewall/iptables, vpn dan
IDS
3. Pengelolaan Resiko Keamanan, beserta
aspek Hukum/Legalitas
KAJIAN 1
( TEKNIK PENYERANGAN)
Pokok Bahasan
1. Meninjau Ulang OSI Layer dan Topologi
Jaringan
2. Istilah pada keamanan jaringan
3. Keamanan pada layer OSI
4. Persiapan Praktikum
a)
b)
c)
d)
Virtual Machine, setting Linux OS
Instalasi Nmap
Instalasi Wireshark
Instalasi Cain & Abel
OSI LAYER
OSI Layer
Sistem
A
Application
Application
Presentation
Presentation
Session
Session
Transport
Transport
Network
Network
Data Link
Data Link
Physical
Physical
Sistem
B
Layer 1 - Physical
• Berkaitan dengan aliran bit data ( dalam
bentuk electrical impulse, cahaya, sinyal radio)
melalui jaringan pada tingkatan
elektrik/mekanik.
• Menyediakan perangkat keras terkait, seperti
kabel, kartu jaringan, dan aspek fisik lainnya.
Fast Ethernet, RS232, ATM, Serat Optik, dll
Layer 2 - Datalink
• Data dikodekan ke dalam bit dan menyediakan
protokol dasar, flow control, sinkronisasi frame
dan mengelola error pada layer physical.
• Terdiri atas sub layers Media Access Control
(MAC) dan Logical Link Control (LLC)
• MAC memberikan tata cara akses data dan
pengiriman/transmisi; LLC mengatur
sinkronisasi frame, flow control dan
pemeriksaan kesalahan.
Layer 3 - Network
• Menyediakan teknologi switching dan routing,
membuat jalur logik/virtual circuit, untuk
mengirimkan data dari simpul ke simpul.
• Addressing, error handling, congertion control
dan packet sequencing
Layer 4 - Transport
• Menyediakan dan memastikan pertukaran
data transparent antara host pada system;
serta bertanggung jawab proses
perbaikan/koreksi kesalahan dan flow control.
Layer 5 - Session
• Memulai, mengelola dan memutuskan koneksi
antara aplikasi . Berupa session dan koordinasi
koneksi.
Layer 6 - Presentation
• Melakukan proses translasi data, baik berupa
format data atau representasi lainnya.,
sehingga menyediakan data yang bebas dari
masalah kompatibilitas.
Layer 7 - Application
• Merupakan lapisan pendukung aplikasi yang
memuat end-user processes.
• Dilakukan identifikasi peserta, otentifikasi
user, kualitas layanan, privasi , dll.
• Berkaitan dengan arsitektir aplikasi yang
bertingkat.
• Misal: SMTP, http, ssh, dll
ISTILAH DAN KONSEP
KEAMANAN INFORMASI
KLASIFIKASI KEAMANAN
(David Icove)
Fisik (physical security)
Manusia (people /
personel security)
Data, media, teknik
komunikasi
Kebijakan dan prosedur
(policy and procedures)
Elemen Dasar Keamanan
• Network security
– fokus kepada saluran (media) pembawa informasi
• Application security
– fokus kepada aplikasinya sendiri, termasuk di
dalamnya adalah database
• Computer security
– fokus kepada keamanan dari komputer (end
system), termasuk operating system (OS)
Thread, Vulnerability, Attack
• Threat (Ancaman) : Sebuah kejadian yang
dapat menghasilkan bahaya terhadap
obyek/data/sumber daya.
• Vulnerability (Kelemahan atau Celah) :
Kekurangan dari sistem atau sumberdaya yang
jika dieksploitasi akan menyebabkan ancaman
menjadi kenyataan.
• Attack (Serangan) : Proses ekploitas dari
kelemahan atau celah keamanan
Pemahaman Istilah
Jika dicontohkan pada aplikasi web:
Threat: hilangnya kemampuan server aplikasi untuk memproses
permintaan dari user yang berhak.
vulnerability: server menjalankan versi software yang dikenal
memiliki kelemahan yang jika dieksploitasi dapat menjadi
sebuah buffer oveflow attack.
Attack: kejadian dimana para cracker/hacker benar-benar
melakukan exploitasi atas vulnerability tersebut sehingga
menyebabkan server menjadi mati atau tidak dapat melayani.
Sumber Vulnerability
• Implementasi
Cacat pada protokol dan perangkat lunak, implementasi
rancangan software yang tidak tepat, pengujian perangkat
lunak yang tidak bagus, dll
• Konfigurasi
Terdapat bagian yang tidak dikonfigurasi dengan tepat,
penggunaan konfigurasi default, dll
• Desain
Desain keamanan yang tidak efektif atau tidak memadai, tidak
ada/kurang tepat-nya implementasi mekanisme redundansi,
dll
Peta Konsep Merancang Keamanan
ASPEK, PRINSIP DAN
KONSEP KEAMANAN
PERENCANAAN,
KEBIJAKSANAAN &
PROSEDUR KEAMANAN
TINGKAT KEAMANAN &
KENYAMANAN
ASPEK, PRINSIP DAN FAKTOR
PENTING KEAMANAN
Aspek keamanan
1.
2.
3.
4.
5.
6.
7.
8.
9.
Confidentiality
Integrity
Availability
Authenticity
Non-repudiation
Authentication
Access Control
Accessability
dll
23
Segitiga CIA
( Confidentiality, Integrity dan Availability)
• Merupakan aspek-aspek keamanan informasi
yang sering dijadikan tolak ukur keamanan
• Menurut FIPS (Federal Information Processing
Standards), tingkatan keamanan informasi
dapat diperlihatkan oleh ketiga aspek tersebut
dengan bobot yang berbeda (low, moderate,
high).
Ref: http://csrc.nist.gov/publications/fips/fips199/FIPS-PUB-199-final.pdf
Confidentiality
•
•
•
Mencegah terbukanya informasi penting kepada pihak
yang tidak berkepentingan/tidak berwenang.
Data yang bersifat confidential : data pribadi (no telp,
tempat tanggal lahir,dll) atau bisnis (gaji, transaksi
keuangan, kontrak, dll). Sangat sensitif dalam ecommerce dan healthcare
Jenis serangan terkait : penyadapan (teknis dengan
sniffer / logger, man in the middle attack; non-teknis
dengan social engineering)
Proteksi : dilakukan dengan enkripsi, penyembunyian
informasi, dll
Electronic Privacy Information Center http://www.epic.org
Electronic Frontier Foundartion http://www.eff.org
Integrity
• Informasi tidak boleh berubah (tampered, altered,
modified) oleh pihak yang tidak berhak atau tanpa
diketahui.
• Jenis serangan terkait : Pengubahan data oleh
orang yang tidak berhak, spoofing, Virus yang
mengubah berkas
• Proteksi : CRC, Message Authentication Code
(MAC), digital signature / certificate, hash
functions, logging, dll
Availability
• Informasi harus tersedia ketika dibutuhkan
• Jenis serangan terkait : Semua yang bersifat
meniadakan layanan (Denial of Service,dll)
• Proteksi : Backup, redundancy, IDS, DRC, BCP,
firewall,dll
Aspek Lainnya
•
•
•
•
Non-repudiation
Authentication
Access Control
Accessability
Non-repudiation
• Tidak dapat menyangkal (telah melakukan
transaksi)
– Menggunakan digital signature
– Logging
Authentication
• Meyakinkan keaslian data, sumber data, orang
yang mengakses data, server yang digunakan.
Parameter yang digunakan:
– what you have (identity card)
– what you know (password, PIN)
– what you are (biometric identity)
• Jenis serangan terkait : identitas palsu,
terminal palsu, situs gadungan, social
engineering, dll
Access Control
• Mekanisme untuk mengatur siapa boleh
melakukan apa
– Membutuhkan klasifikasi data:
public, private, confidential, (top)secret
– Akses berdasarkan role
Accountability
• Dapat dipertanggung-jawabkan, Melalui
mekanisme logging dan audit, Adanya
kebijakan dan prosedur (policy & procedures)
Pertanyaan?
Prinsip keamanan
Prinsip
keamanan
untuk
merancang
mekanisme keamanan yang efektif,a.l:
• Principle of least privilege
• Meminimalkan trusted components
• Tak ada yang sempurna
34
Pertimbangan Perancangan/Perencanaan
Keamanan Jaringan (Network Security)
• Perencanaan yang baik/matang
• Kebijakan dan Prosedur yang tepat/relevan
• Pertimbangan Implementasi (tingkat
keaman yang ingin dicapai, masalah praktis,
dll)
Langkah Pengembangan Keamanan
Jaringan
• Mengevaluasi Desain Jaringan
• Menentukan langkah preventif & kuratif
- Implementasi Firewall
- Implementasi Intrusion Detection
System (IDS)
- Pemasangan Anti virus
• Implementasi Network Management
• Desain dan Implementasi Backup System &
Dissaster Recovery
PERENCANAAN,
KEBIJAKSANAAN & PROSEDUR
KEAMANAN
Dasar Penentuan Kebijakan
•
•
•
•
What ?
Who ?
Why ?
How ?
Kebijakan dan Prosedur Keamanan
(Security Policies and Procedures)
1. merupakan komponen perantara antara
sistem keamanan dengan manusia pengguna
sistem informasi tersebut.
2. sejalan dengan asas atau kebijakan yang
mengatur semua aktivitas.
3. harus ada dan dimengerti oleh semua
pengguna dan pengelola sistem informasi
KEAMANAN PADA LAYER
OSI
Layer 2 Security
• Serangan: ARP spoofing dan MAC flooding.
MAC Flooding
Perangkat malicious terhubung dengan switch
Kemudian mengirimkan multiple gratuitous ARPs
yang sangat banyak sehingga switch penuh ( flood)
Switch menolak setiap usaha koneksi dari
perangkat yang baru sehingga switch berubah
menjadi seperti hub
Switch Vulnerability
Device
MAC address
1
1
00:0e:81:10:19:FC
2
4
00:0e:81:32:96:af
3
4
00:0e:81:32:96:b0
4
4
00:0e:81:32:96:b1
…
…
4
00:0e:81:32:97:a4
9999
switch
42
Before ARP Spoofing
IP 192.168.0.20
MAC 00:0e:81:10:17:d1
IP address
MAC address
192.168.0.4000:0e:81:10:19:FC
192.168.0.1 00:1f:42:12:04:72
IP 192.168.0.40
MAC 00:0e:81:10:19:FC
IP address
Attacker
IP 192.168.0.1
MAC 00:1f:42:12:04:72
switch
MAC address
192.168.0.2000:0e:81:10:17:d1
192.168.0.1 00:1f:42:12:04:72
43
After ARP Spoofing
IP 192.168.0.20
MAC 00:0e:81:10:17:d1
IP address
MAC address
192.168.0.40 00:1f:42:12:04:72
192.168.0.1
00:1f:42:12:04:72
Attacker
IP 192.168.0.1
MAC 00:1f:42:12:04:72
IP 192.168.0.40
MAC 00:0e:81:10:19:FC
IP address
MAC address
switch
(1) Gratuitous ARP
192.168.0.40 is at
00:1f:42:12:04:72
192.168.0.20 00:1f:42:12:04:72
192.168.0.1
00:1f:42:12:04:72
(2) Gratuitous ARP
192.168.0.20 is at
00:1f:42:12:04:72
44
Pengaruh ARP Spoofing
IP 192.168.0.20
MAC 00:0e:81:10:17:d1
IP address
IP datagram
Dest: 192.168.0.40
MAC: 00:1f:42:12:04:72
MAC address
192.168.0.40 00:1f:42:12:04:72
192.168.0.1
00:1f:42:12:04:72
Attacker
IP 192.168.0.1
MAC 00:1f:42:12:04:72
IP 192.168.0.40
MAC 00:0e:81:10:19:FC
IP address
MAC address
192.168.0.20 00:1f:42:12:04:72
192.168.0.1
00:1f:42:12:04:72
switch
Attacker’s relay index
IP address
MAC address
192.168.0.40 00:0e:81:10:19:FC
192.168.0.20 00:0e:81:10:17:d1
45
Langkah Pengamanan Layer 2
•Mengamankan switch secara fisik
•Mencegah ancaman illegitimate use.
•Menghindari flooded
•Memantau pemetaan MAC ke IP address.
•Membangkitkan peringatan ke network admin.
46
Layer 3 Security
• Keamananan dengan updating tabel ruting
– Penyerang merusak (corrupt) tabel ruting pada router
dengan mengirimkan update yang salah
– Penyerang dapat me-rekonfigurasi atau
mengambil alih pengendalian router dan
mengubah tingkah laku router
• Denial of Service threat.
47
Ilustrasi DDoS
Layer 4 /5 Security
Serangan yang dapat terjadi :
Denial of Service (DoS) Attacks
Langkah pengamanan : VPN
Layer 7
Serangan berupa : pencurian data
Langkah pengamanan :
- SSH dan SSL
- bentuk topologi
49
PERSIAPAN PRAKTIKUM
Instalasi Vitualisasi
• VMware
• Virtual Box
Instalasi OS
• Backtrack: Distribusi Linux untuk Penetration
Testing
• Linux Ubuntu 12.04 LTS
• Windows XP
Instalasi Tools
• Nmap
: Scanning dan Fingerprinting
http://www.nmap.org
• Wireshark : Scanning dan Fingerprinting
http://www.wireshark.org
• Cain & Abel : Password recovery tool. Versi
baru memiliki lebih banyak fitur, seperti: APR
(Arp Poison Routing).
http://www.oxid.it
Cain & Abel
• Password recovery tool
• Versi baru memiliki lebih banyak fitur, seperti:
APR (Arp Poison Routing), dll;
• Detil dapat dilihat pada halaman web
http://www.oxid.it
Pertanyaan?
Tugas 2
• Instalasi:
–
–
–
–
–
–
Install Mesin Virtual ( Virtual Box, Vmware, dll)
Install VM 1 : backtrack
Install VM 2 : linux
Install VM 3 : windows 98/XP
Install Wireshark (windows) dan nmap (linux)
Install Cain and Abel
• Buat Laporan dengan screenshot (ada nama dan NIM
masing-masing)
• dikumpulkan online ( paling lambat jum’at malam jam 23:59)
melalui milis dan sisfo!
( Jika milis belum aktif, dapat ke : [email protected]
dengan subject email : TK3193-NE1004-T2 : NIM – Nama )