Keamanan Sistem Informasi - Blognya Puji

– Mengetahui apakah terjadi kerusakan data pada proses ... (Address Resolution Protocol), ... Tidak dapat mencegah IP dan DNS spoofing...

6 downloads 719 Views 1MB Size
Keamanan Sistem Informasi Oleh: Puji Hartono Versi: 2014

Modul 4

Keamanan Jaringan

Overview 1. Mengenal jaringan 2. Protokol TCP/IP 3. Pengamanan Jaringan a) Firewall ➔ ➔ ➔

Tipe-tipe firewall Arsitektur Firewall Studi Kasus: IPtables Firewall

b)VPN (Virtual Private Network) c) IDS (Intrussion Detection System)

4. Serangan pada jaringan dan solusinya

Mengenal jaringan (1) 



Mengapa dibentuk jaringan? ●

Komunikasi (email, chating dll)



Integrasi data pada aplikasi



Sharing resources (printer, HD dll)



Dan lain-lain

Kerugian Jaringan komputer ●

Ancaman keamanan data/informasi



Ancaman virus



Dan lain-lain

Mengenal jaringan (2) 

Evolusi jaringan komputer –

Mainframe, pada era 19601970 an



LAN (Local Area Network), setelah PC ditemukan pada era 1970-1980 an



WAN (Wide Area Network) pada era 1980-1990 an



Internet, jaringan komputer global pada era 1990 an

Mengenal jaringan (3) 

Requirement jaringan komputer ●

Hardware ➔ ➔ ➔





Network Interface Card Hub/Switch sebagai consentrator & repeater Router untuk menyeberangkan paket data ke jaringan yang berbeda Dan lain-lain

Software ➔

Protokol sebagai aturan yang digunakan bersama dalam proses transmisi data sehingga transmisi data dapat berjalan dengan semestinya

Protokol TCP/IP (1) Protokol komunikasi secara umum

Protokol TCP/IP (2) Enkapsulasi pada TCP/IP

Protokol TCP/IP (3) Bagaimana TCP/IP menyeberangkan paket data antar 2 sistem melalui jaringan

Protokol TCP/IP (4) Layer Aplikasi ●



Berfungsi seperti jendela komunikasi sehingga data dapat dibaca oleh aplikasi. Contoh aplikasi: telnet,ftp, SSH

Protokol TCP/IP (5) Layer Transport (1) ●

Fungsi: –

Memastikan paket sampai ke servis yang benar (Port)



Mengendalikan seluruh proses transmisi, kapan dimulai, dipercepat, diperlambat, diakhiri (Code Bit)



Mengetahui apakah terjadi kerusakan data pada proses transmisi (Checksum)



Penomoran paket data agar data dapat disusun ulang (Sequence number)

Protokol TCP/IP (6) Layer Transport (2) ●

Jenis protokol di layer ini –

TCP (Transmission Control Protocol), connection oriented



UDP (User Datagram Protocol), connectionless oriented

Protokol TCP/IP (7) Layer Network/Internet (1) ●

Jenis-jenis protokolnya –

IP (Internet Protocol), untuk transmisi paket data



ICMP (Internet Connection Message Protocol). untuk informasi kondisi jaringan, contoh: ping, traceroute



ARP (Address Resolution Protocol), untuk mendapatkan informasi MAC Address dari IP yang diketahui



RARP (Reserve ARP), untuk mendapatkan informasi IP dari MAC Address yang diketahui

Protokol TCP/IP (8) Layer Network/Internet (2) ●

Internet Protokol (IP) –

Memastikan paket data sampai ke komputer tujuan



Protokol TCP di layer transport dan IP dilayer network menjadi tulang punggung protokol TCP/IP

Protokol TCP/IP (9) Layer Data Link/Physical ●



Mentransmisikan datagram dari layer network ke host tujuan MAC address, alamat hardware ethernet

Protokol TCP/IP (10) Contoh stack TCP/IP pada aplikasi: ●

Telnet, remote login



FTP, file transfer



SMTP, mail



TFTP, file transfer

Pengamanan jaringan 

Diimplementasikan dengan 

Firewall



VPN (Virtual Private Network)



IDS (Intrussion Detection System)

Firewall 



Mekanisme untuk mengendalikan traffic antara trusted network (seperti LAN) dengan untrusted network (public network) Implementasi dapat dengan software, hardware atau kombinasi keduanya

Tipe Firewall (1) 



Tipe firewall ●

Packet filtering



Circuit-level gateway



Aplication-level gateway

Implementasi ideal

Tipe Firewall (2) 

Packet Filtering (1) ●



Parameter rule: ➔

IP address (source, destionation): 10.1.1.0/24



Protokol: TCP, UDP, ICMP



Port (source port, destination port): 80, 22 dst



Interface: eth0, eth1

Contoh: IPTables

Tipe Firewall (3) 

Packet Filtering (2) ●

Kelebihan Murah dan mudah diimplementasikan pada ACL di router ➔ Cepat dan fleksibel ➔ Transparan Kekurangan ➔



➔ ➔ ➔



➔ ➔

Kontrol hanya berdasar IP address dan port Tidak dapat mencegah IP dan DNS spoofing Tidak dapat menangani serangan melalaui layer aplikasi. Contoh: URL yang berisi SQL injection Tidak dapat melindungi akses authentifikasi dilayer aplikasi. Contoh: www.situsku.com/administrator Konfigurasi dan maintenance ACL dapat merepotkan Log/catatan terbatas

Tipe Firewall (4) 

Circuit-Level Gateway (1) –

Kendali akses dengan mengamati 'state information' pada 'established connection". Ketika established connection diijinkan antar 2 host, maka kemudian dibuat tunnel atau virtual circuit pada sesi koneksi tersebut. Dengan cara seperti ini, setelah 2 host diijinkan koneksi, maka selanjutnya tidak ada lagi inspeksi pada isi paketnya. Bekerja pada layer session pada model OSI



Contoh: Stateful inspection firewall, SOCKS

Tipe Firewall (5) 

Circuit-Level Gateway (2) –

Kelebihan:



Cepat ➔ Mendukung berbagai jenis protokol ➔ Mudah dalam maintain Kekurangan: ➔





Tergantung sekali pada pendefinisian 'trusted network', karena setelah sesi koneksi diijinkan, paket data tidak diinspeksi lagi Loging terbatas

Tipe Firewall (6) 

Application-Level Gateway/Proxy (1) –

Kendali akses dengan inspeksi isi paket data untuk tiap IP address. Tidak terjadi end-to-end connection, tetapi dengan cara 'outside host' koneksi dengan proxy kemudian paket data dianalisisi, jika diijinkan lalu dicopy dan dikirimkan ke 'inside host'.



Contoh: Squid proxy

Tipe Firewall (7) 

Application-Level Gateway/Proxy (2) –

Kelebihan



Tidak terjadi komunikasi langsung, bahkan jaringan internal disembunyikan untuk mencegah akses langsung ke internal host ➔ Dapat diimplementasikan authentifikasi pada user Kekurangan ➔

➔ ➔

Mengurangi kecepatan akses Tidak support untuk beberapa protokol, seperti SSH

Tipe Firewall (8) 

Application-Level Gateway/Proxy (3) –

Contoh konfigurasi pada Squid Proxy ➔

Konfigurasi engine squid /etc/squid/squid.conf

Waktu pengeblokan hanya dijam kerja



List yang diblok /etc/squid/blok.txt

File berisi list situs yang diblok

Arsitektur Firewall (1) 

Arsitektur firewal: ●

Screening router



Dual-homed gateway



Screened-host gateways



Screened-subnet

Arsitektur Firewall (2) 

Screening router, router berupa packet filtering firewall ditempatkan antara untrusted network dengan trusted network. ●

Kelebihan ➔ ➔

Transparan Mudah dan murah



Kekurangan ➔

Log terbatas/tidak ada



Tidak ada otentifikasi user



Jaringan internal tidak dimasking



Single point of failure

Arsitektur Firewall (3) 

Dual-homed gateway/bastion (1) ●



Sistem bastion host dengan 2 NIC ditempatkan antara untrusted network dengan trusted network Pengendalian traffic ➔ ➔

Untrusted hanya dapat mengakses bastion host Trusted mengakses melalui proxy di bastion host

Arsitektur Firewall (4) 

Dual-homed gateway/bastion (2) ●

Kelebihan ➔ ➔



Fail-safe mode Jaringan internal dimasking

Kekurangan ➔ ➔ ➔

Kurang nyaman bagi user Mengurangi performa jaringan Beberapa servis tidak dapat over proxy

Arsitektur Firewall (5) 

Screened-host gateways (1) ●



Menempatkan external packet filtering dan internal bastion host Pengendalian traffic pada packet filtering router ➔ ➔

External hanya dapat mengakses bastion host Dari internal hanya paket data dari bastion host

Arsitektur Firewall (6) 

Screened-host gateways (2) ●

Kelebihan ➔

➔ ➔



Pengamanan bertingkat, di packet filtering dan proxy di bastion host Outbound access transparan Inbound access tidak diijinkan

Kekurangan ➔

➔ ➔

Kurang aman karena bastion host memungkinkan dibypass Masking jaringan internal sulit diimplementasikan Multiple single points of failure (router atau bastion host)

Arsitektur Firewall (7) 

Screened-subnet (1) ●

Menggunakan 2 packet filtering + bastion host



Menghasilkan DMZ (Demilitarized Zone)



Pengendalian traffic ke DMZ ➔ ➔

External melalui external packet filtering Internal melalui internal packet filtering

Arsitektur Firewall (8) 

Screened-subnet (2) ●

Kelebihan ➔ ➔ ➔



Transparan oleh end-user Fleksible Jaringan internal dapat dimasking

Kekurangan ➔ ➔ ➔

Lebih mahal dari arsitektur yg lain Lebih sulit dalam mengkonfigurasi dan memaintain Lebih sulit dalam troubleshoot

IPtables Firewall (1) 

Firewall native di Linux



Parameter filter:Parameter: ●

Protokol, contoh TCP, UDP, ICMP



Port Asal/tujuan. contoh 25, 1024:65536



IPNetwork asal/tujuan, contoh 81.52.22.1, 81.52.22.0/29



Code bit, contoh ACK



Judge, contoh DROP, ACCEPT

IPtables Firewall (2) 

Aliran paket data (chain) ●

Input = rule untuk paket yang masuk



Output = rule untuk paket yang keluar



Forward = rule untuk paket yang diteruskan (khusus router)

IPtables Firewall (3) 

Sintaks IPTables (1) –

Iptables –A/D/F/L



A= Add new rule ➔ D= Delete numer x rule ➔ F= Flush all rule ➔ L= Lists all rule Iptables … FORWARD/INPUT/OUTPUT ➔

➔ ➔ ➔

FORWARD = melewati sistem INPUT = masuk ke sistem OUTPUT= keluar dari sistem

IPtables Firewall (4) 

Sintaks IPTables (2) –

Iptables …. –s -d --sport --dport



s = asal paket. Contoh: –s 10.1.1.0/0 ● d = tujuan paket.Contoh: 0.0.0.0/0 ● sport = port asal ● dport= port tujuan Iptables …. -j ●





j = jump. Contoh –j DROP, -j ACCEPT

Contoh Sintaks

IPtables Firewall (5)

VPN (1) Menyatukan host ke dalam satu jaringan melalui internet dan pengamanan transmisi data dengan kriptografi



Mengapa VPN?



● ● ●

Avalaibilitas dgn tunneling → Virtual Confidentialitas dgn kriptografi → Private Integritas dgn kriptografi → Private

VPN (2) 

Metode/skenario koneksi ●

Remote access Contoh: Seorang pegawai yang sedang berada di luar kota dapat mengakses resource yang berada di jaringan internal kantornya



Site-to-Site Contoh: Kantor pusat dan kantor yg berbeda kota dapat terjembatani menjadi 1 jaringan

VPN (3) 

Beberapa jenis protokol VPN ●

Point-to-Point Tunneling Protocol (PPTP)



Layer 2 Forwarding Protocol (L2F)



Layer 2 Tunneling Protocol (L2TP)



IPSec

IDS (1) 

IDS (Intrussion Detection System) ●



Mekanisme untuk mendeteksi adanya penyusupan

Prasarat yang harus terpenuhi ● ●

Aktifitas sistem dapat diamati Aktifitas normal dapat dibedakan dengan aktifitas penyusupan

IDS (2) 

Jenis-jenis IDS ●

Aktif/tidaknya Pasif: monitoring, analisis, klasifikasi ➔ Aktif: monitoring, analisis, klasifikasi, blocking dikenal dengan IPS (Intrussion Preventing System) Penempatan di jaringan ➔



Host IDS: memantau 1 host tempat IDS dipasang ➔ Network IDS: memantau subnet terkoneksi IDS Cara mendeteksinya ➔







Knowledge/Rule/Signature based: dicocokkan dengan database pola-pola serangan yang unique Behavior/Anomaly detection: deteksi perilaku yang tidak wajar, anomaly

IDS (3) 

Masalah-masalah di IDS ●

Tidak dapat menganalisis paket terenkripsi



Rule/signature harus uptodate



Adanya kemungkinan false negatif/positif

IDS (4) 



Studi Kasus: Snort IDS ●

Opensource, dikembangkan oleh komunitas



Rulenya digunakan sebagai standart IDS di industri

Contoh rule (1) ●

ICMP Large Packet/DOS ➔

Rule



Alert

IDS (5) 

Contoh rule (2) ●

Brute Force Attack pada FTP Account ➔

Rule



Alert

IDS (6) 

Implementasi Network IDS

Serangan pada jaringan (1) 

Sniffing/penyadapan (1) ●



Sniffer mengubah mode ethernet untuk mendengarkan seluruh paket data pada jaringan yang menggunakan hub sebagai konsentrator Solusi: ➔ ➔

Gunakan switch-bukan hub Enkripsi/dekripsi

Serangan pada jaringan (2) 

Sniffing/penyadapan (2) ●



Active sniffing pada medium switch dengan membelokkan paket data sehingga melalui PC penyadap Solusi: ➔

MAC address gatewaynya diset static

Serangan pada jaringan (3) 

SYN-Flood ●



Korban mengalokasikan memori untuk mengingat sequence number tiap paket data yang datang sampai expired time nya terlampaui Solusi: ● ● ●



Mengaktifkan SYN-Cookies Bandwidth yang cukup Meningkatkan kemampuan jumlah antrian koneksi Perkecil timeout paket data

Serangan pada jaringan (4) 

ICMP/UDP Flood ●

Membanjiri paket ICMP ke korban



Solusi: ➔



Block paket ICMP/UDP menggunakan firewall

Distributed DOS/DDOS ●



Serangan DOS (Denial of Service) secara simultan dalam waktu bersamaan Solusi: ➔ ➔

IDS/IPS Manajemen quota