Network Security Revisi

NETWORK SECURITY

HALAMAN PENGARANG DAN COPYRIGHT

Penyusun & EditorANANG SULARSONINA HENDRARINI

SIHAR N M P SIMAMORA

Dilarang menerbitkan kembali, menyebarluaskan atau menyimpan baik sebagian maupun seluruh isi buku dalam bentuk dan dengan cara apapun tanpa izin tertulis dari Politeknik Telkom.

Hak cipta dilindungi undang-undang @ Politeknik Telkom 2008

No part of this document may be copied, reproduced, printed, distributed, modified, removed and amended in any form by any means without prior written authorization of Telkom Polytechnic.

2 Network Security

Politeknik Telkom Network Security

KATA PENGANTAR

Assalamu’alaikum Wr. Wb

Puji syukur atas kehadirat Allah SWT karena dengan karunia-Nya courseware ini dapat diselesaikan.

Dengan segala kerendahan hati kami mencoba untuk menyusun courseware ini. Kami mengharapkan dengan membaca courseware ini pembaca memperoleh gambaran apa dan bagaimana keamanan jaringan itu. Namun demikian banyak kekurangan dan kesalahan yang dapat ditemui di sini. Untuk pengembangan selanjutnya kami mengharapkan saran dan kritik dari pembaca.

Akhirul kalam kami mengucapkan terima kasih atas segenap perhatiannya

Wassalamu’alaikum Wr. Wb.

Bandung, Maret 2009

Penulis

i


DAFTAR ISI

KATA PENGANTAR.................................................................iDAFTAR ISI.............................................................ii1.Pendahuluan Keamanan Jaringan.........................11.1 Konsep Dasar Keamanan Jaringan......................................................... 21.2 Kompleksitas Keamanan Jaringan.................................31.3 Aspek Keamanan Jaringan............................................51.4 Rendahnya Kesadaran Keamanan Jaringan..................63. Konsep dan Mekanisme Penyerangan..............223.1 Serangan Terhadap Jaringan.......................................233.2 Teknik Penyerangan...................................................263.3 Tahapan Hacking........................................................284. Konsep dan mekanisme pertahanan..................335 Antivirus dan Firewall....................................425.1 Virus Komputer...........................................................435.2 Penyebaran Virus dan Penanggulangannya................445.3 Firewall.......................................................................476.Kriptografi dan Enkripsi.....................................526.1 Pengantar Kriptografi..................................................536.2 Cryptanalysis dan cryptology......................................566.3 Enkripsi dan Dekripsi..................................................576.4 Kriptografi dengan menggunakan Key (K)..................577. PERANGKAT KERAS & LUNAK.............................65KEAMANAN JARINGAN...........................................65Gambar 7.2 DFL-210 Network Security Firewall.............688.Database Security.............................................768.1 Alasan utama aspek keamanan basis data.................778.2 Klasifikasi file (arsip)...................................................808.3 Serangan (attack) terhadap basis data......................828.4 Back-up data dan recovery.........................................8612 WLAN Security.............................................11312.1 WLAN, Karakteristik dan Manfaatnya......................114

ii Network Security


12.2 Serangan Terhadap WLAN......................................11612.3 Pengamanan WLAN.................................................118Rangkuman :...................................................................125

iii


1 Pendahuluan Keamanan Jaringan

Overview

Jaringan komputer memungkinkan pemanfaatan sumber daya secara bersama-sama. Sehingga keberlangsungan hidup suatu organisasi atau instansi yang memanfaatkan sumber daya secara bersama-sama, sangat tergantung pada fungsinya. Gangguan sekecil apa pun akan memberikan dampak negatif (kerugian), sehingga diperlukan suatu perlindungan. Keamanan jaringan komputer merupakan upaya untuk memberikan perlindungan sistem atas gangguan yang mungkin timbul, baik gangguan dari dalam maupun dari luar.

Tujuan

1. Memahami konsep dasar keamanan jaringan 2. Memahami kompleksitas keamanan jaringan3. Memahami aspek keamanan jaringan

Network Security 1


4. Memperhatikan kenyataan rendahnya kesadaran akan keamanan jaringan

1.1 Konsep Dasar Keamanan JaringanJaringan komputer merupakan sekumpulan komputer otonom yang saling terhubung melalui media komunikasi dengan memakai protokol tertentu. Manfaat jaringan komputer antara lain adalah memungkinkan pemakaian bersama atas sumber daya yang ada. Sumber daya dalam hal ini dapat berupa perangkat keras, perangkat lunak dan data atau informasi. Manfaat lainnya adalah untuk berkomunikasi, meningkatkan kehandalan dan ketersediaan sistem. Manfaat yang demikian besar tentunya akan berkurang sebanding dengan tingkat gangguan yang muncul terhadap jaringan. Ketika jaringan hanya melibatkan perangkat lokal saja, atau dengan kata lain tidak terhubung ke jaringan lain, munculnya gangguan mungkin menjadi suatu hal yang tidak diperhitungkan. Namun ketika jaringan sudah terhubung dengan jaringan lain, misalnya lewat internet, keamanan menjadi suatu hal yang harus dipertimbangkan. Kita lebih mengenali hitam putihnya jaringan sendiri, namun tidak untuk jaringan lain. Keamanan jaringan merupakan upaya memberikan keterjaminan jaringan atas gangguan-ganguan yang mungkin muncul.

2 Network Security


Gambar 1.1 Jaringan Komputer

Secara umum, terdapat 3 hal dalam konsep keamanan jaringan, yakni : Resiko atau tingkat bahaya (risk)

menyatakan besarnya kemungkinan gangguan yang muncul terhadap jaringan.

Ancaman (threat)Menyatakan kemungkinan gangguan yang muncul terhadap jaringan

Kerapuhan sistem (vulnerability)Menyatakan kelemahan-kelemahan pada sistem yang memungkinkan terjadinya gangguan

Sedangkan keamanan sendiri menyangkut 3 elemen dasar yakni : Keamanan jaringan (network security)

Upaya pengamanan atas jalur / media pengiriman data Keamanan aplikasi (application security)

Upaya pengamanan atas aplikasi-aplikasi dan layanan yang tersedia. Contohnya DBMS

Keamanan komputer (computer security)

Network Security 3


Upaya pengamanan atas komputer yang digunakan untuk memakai aplikasi, termasuk di dalamnya adalah sistem operasi

Keamanan bukanlah suatu produk jadi yang tinggal pakai dan dapat mengatasi segala gangguan. Keamanan merupakan suatu proses, terus menerus berkembang sesuai dengan perkembangan imu dan teknologi maupun gangguannya.

1.2 Kompleksitas Keamanan JaringanPengelolaan keamanan jaringan merupakan suatu hal yang sangat kompleks. Beberapa faktor yang menyebabkan kompleksitas tersebut adalah :

Sharing resources atau berbagi pakai sumber dayaSumber daya dipakai secara bersama-sama oleh banyak user. Sedangkan masing-masing user memiliki tingkat pengetahuan, kepentingan, dan motivasi yang berbeda di dalam memanfaatkan sumber daya. Dari sini ancaman atas sistem dapat muncul.

Keragaman sistem Keragaman sistem, baik dari sisi perangkat keras maupun perangkat lunak, mendatangkan kompleksitas tersendiri dalam hal instalasi, konfigurasi, dan pemakaiannya. Di samping itu setiap perangkat mungkin memiliki kelemahan (bug).

4 Network Security


Batasan yang tidak jelasKetika suatu jaringan tidak terhubung ke jaringan lain, setiap host-nya hanyalah menjadi anggota jaringan yang bersangkutan. Namun ketika jaringan terhubung ke jaringan lain, ada satu atau beberapa host yang menjadi anggota dari jaringan yang bersangkutan sekaligus jaringan yang lain.

Banyak titik rawanPengiriman data antar jaringan, dipastikan melewati banyak host. Kalau pun asal dan tujuan sudah dijamin aman, belum tentu host-host antara juga aman

AnonymityPenyerang biasanya menempuh segala agar tidak dikenali oleh sistem. Misalnya tidak menyerang secara langsung dari host-nya, yakni dengan menguasasi host-host antara yang berjenjang sehingga mempersulit pelacakan.

Jalur yang ditempuh tidak diketahui Data yang dikirim antar jaringan ada kemungkinan menempuh jalur yang berbeda, tergantung kondisi jaringan saat itu baik menyangkut trafik maupun topologinya.

Ilustrasi berikut menggambarkan gangguan keamanan yang mungkin terjadi ketika mengakses situs internet.

Gambar1.2. Akses Situs Internet

Network Security 5


Dari gambar terlihat bahwa terdapat banyak titik yang mungkin timbul gangguan keamanan, bahkan mulai dari host sendiri berupa penyadapan atas data penting / rahasia. Ketika sudah lepas dari host untuk kemudian menuju situs tarjet, data mengalami berbagai gangguan di banyak titik dan dapat dipakai sebagai sarana untuk menyerang host / jaringan kita. Celah keamanan yang memungkinkan munculnya gangguan meliputi : sistem operasi, aplikasi (termasuk basis data) dan jaringan.

1.3 Aspek Keamanan JaringanTerdapat 3 aspek utama keamanan jaringan meliputi :• Confidentiality / Privacy• Integrity• AvailabilitySerta 4 aspek tambahan, antara lain :• Non-repudiation• Authentication• Access Control• Accountability

Confidentiality / PrivacyAdalah kerahasiaan atas data pribadi. Data hanya boleh diakses oleh orang yang bersangkutan atau berwenang. Data tersebut antara lain :

- data pribadi : nomor ktp, nomor hp, alamat, penyakit dll

- data bisnis : daftar gaji, data nasabah / pelangganData-data tersebut sangat sensitif (dilindungi) dalam aplikasi e-commerce maupun healthcare.

Serangan yang dapat terjadi berupa penyadapan atas data, dengan cara teknis : sniffing / logger, man in the middle attack; maupun non teknis dengan social engineering.

6 Network Security


Perlindungan yang dapat dilakukan adalah dengan cara enkripsi yakni mengubah suatu format data menjadi format lain yang tersandikan.

IntegrityBahwa data tidak boleh diubah (tampered, altered, modified) oleh pihak yang tidak berhak. Serangan muncul berupa pengubahan data oleh pihak yang tidak berhak ( spoofing).Perlindungan yang dapat dilakukan adalah : message authentication code (MAC), digital signature / certificate, hash function, logging.

AvailabilityBahwa data harus tersedia atau dapat diakses saat diperlukan. Serangan yang dapat terjadi berupa peniadaan layanan (denial of service Dos, distributed denial of service Ddos), atau menghambat layanan (respon server menjadi lambat), malware, worm dllPerlindungan berupa : backup, redundancy, IDS, DRC, BCP, firewall

Non repudiationMenjaga agar transaksi yang terjadi tidak dapat disangkal atau dipungkiri. Umumnya dipakai pada kegiatan e-commerce. Perlindungan berupa digital signature / certificate, kriptografi, logging.

AuthenticationMeyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan :

what you have (identity card) what you know (password, PIN) what you are (biometric identity)Serangan dapat berupa identitas palsu, terminal palsu,

situs palsu

Access ControlMekanisme untuk mengatur ‘siapa boleh melakukan apa’, ’dari mana boleh ke mana’. Penerapannya membutuhkan klasifikasi data (public, private, confident, secret) dan

Network Security 7


berbasiskan role (kelompok atau group hak akses). Contoh ACL antar jaringan, ACL proxy (pembatasan bandwith) dll

AccountablityAdanya catatan untuk keperlan pengecekan sehingga transaksi dapat dipertanggungjawabkan. Diperlukan adanya kebijakan dan prosedur (policy & procedure). Implementasi dapat berupa IDS/IPS (firewall), syslog (router).

1.4 Rendahnya Kesadaran Keamanan JaringanMeskipun keamanan merupakan faktor yang sangat penting bagi fungsionalitas jaringan, ternyata kesadaran untuk masih sangat rendah. Sebagai contoh berdasarkan survei Information Week(USA) : dari 1271 manajer sistem / jaringan, hanya 22% yang menganggap keamanan jaringan sebagai komponen penting. Diperlukan upaya untuk meyakinkan pihak manajemen bahwa investasi di bidang keamanan jaringan memang sangat diperlukan. Di samping itu juga perlu pemahaman pemakai sistem terkait keamanan. Meskipun teknologi keamanan berkembang pesat, tidak berarti gangguan keamanan dapat dihentikan. Bahkan gangguan keamanan juga mengikuti perkembangan tersebut, memanfaatkan kekurangan dan kelebihan teknologi untuk mlakukan gangguan. Berikut ini adalah beberapa catatan gangguan keamanan yang terjadi, baik di luar maupun dalam negeri. Gangguan keamanan luar negeri1988, RT Moris mengeksploitasi sendmail sehingga melumpuhkan internet. Kerugian yang timbul diperkirakan mencapai $100 juta. Sedangkan Morris dihukum denda $10.000.1996, menurut FBI National Computer Crime Squad : kejahatan komputer yang terdeteksi kurang dari 15%, dan hanya 10% dari angka tersebut yang dilaporkan.1996, menurut American Bar Association : dari 1000 perusahaan, 48% nya mengalami computer fraud (penipuan) dalam 5 tahun terakhir.1996, NCC Information Security Breaches Survey, Inggris :

8 Network Security


kejahatan komputer bertambah 200% dari tahun 1995 hingga 1996.1997, menurut FBI : kasus persidangan terkait kejahatan komputer naik 950% dari tahun 1996 hingga 1997, dan yang convicted (dihukum) naik 88%.10 Maret 1997, seorang hacker dari Massachusetts berhasil menyerang sistem komunikasi bandara lokal Worcester, sehingga memutuskan komunikasi menara kendali dan mempersulit pesawat yang akan mendarat7-9 Februari 2000, terjadi serangan Distributed denial of service (Ddos) terhadap Yahoo, eBay, CNN, Amazon, ZDNet, E-Trade. Diperkirakan serangan menggunakan program Trinoo, TFN.Jumlah kelemahan (vulnerabilities) sistem informasi yang dilaporkan ke Bugtraq meningkat empat kali semenjak tahun 1998 sampai dengan tahun 2000. Dari 20 laporan per bulan menjadi 80 laporan per bulan.1999, Common Vulnerabilities and Exposure cve.mitre.org mempublikasikan lebih dari 1000 kelemahan sistem. CVE beranggotakan 20 entitas keamanan.2000, Ernst & Young Survey menunjukkan bahwa 66% responden menganggap security & privacy menghambat (inhibit) perkembangan e-commerce2001, virus SirCam menyerang harddisk dan mengirimkan file-file ke pihak lain. Sehingga file rahasia dapat tersebar luas. Worm Code Red menyerang sistem IIS, melakukan port scanning dan menyusup ke sistem IIS yang ditemukannya.

Network Security 9


Gangguan keamanan dalam negeriJanuari 1999, terjadi serangan terhadap domain Timor Timur (.tp), yang diduga dilakukan oleh orang Indonesia. Kejadian ini terkait dengan hasil referendum Timor Timur.September 2000, mulai banyak penipuan terkait transaksi pelelangan, dengan tidak mengirimkan barang sesuai kesepakatan24 Oktober 2000, dua warnet di Bandung digrebeg karena menggunakan account dial-up curianBanyak situs web Indonesia (termasuk situs bank) yang di-defaced atau diubah tampilannyaAkhir tahun 2000, banyak pengguna warung internet yang melakukan kejahatan “carding”. Menurut riset Clear Commerce Inc Texas – AS , Indonesia memiliki carder terbanyak kedua di dunia setelah Ukrania.

Satu hal yang menarik dari hasil survei Computer Security Institute (CSI), statistik menunjukkan potensi gangguan terbesar justru berasal dari disgruntled worker (orang dalam). Berikut adalah hasil survei selengkapnya dikutip dari http://www.gocsi.com :

Bisa ditebak, kalau serangan dilakukan oleh orang dalam dan orang tersebut menguasai teknik serangan, kerusakan yang ditimbulkan sangat fatal. Karena tarjet serangan yang vital pasti lebih dikenal oleh orang dalam dibanding orang luar. Bertolak belakang dengan kenyataan di atas, perusahaan riset KMPG merilis hasil surveinya : “79% eksekutif senior terjebak dalam kesalahan berfikir bahwa ancaman terbesar

10 Network Security


terhadap keamanan sistem berasal dari luar (eksternal)”. Keamanan berbanding terbalik dengan kenyamanan. Semakin aman suatu sistem biasanya akan membuat pemakai tidak nyaman, atas antarmuka atau fase yang harus dilewati.

Rangkuman

1. Keamanan merupakan faktor yang sangat penting atas berfungsinya jaringan komputer, sehingga segala manfaatnya dapat dirasakan.

2. Keamanan jaringan adalah upaya menjaga jaringan agar mampu mengatasi segala gangguan, menghilangkan atau meminimalisir akibat gangguan yang timbul.

3. Fokus keamanan jaringan adalah pada saluran atau media transfer data

4. Beberapa hal yang menyebabkan kompleksitas pengamanan jaringan adalah sharing resources, keragaman hardware dan software, batasan yang tidak jelas suatu host, banyaknya titik rawan dan jalur yang berbeda dalam transfer data serta anonimity penyerang.

5. Tiga aspek utama keamanan jaringan adalah confidentiality / privacy, integrity, avalaibility (CIA). Empat aspek tambahannya adalah non repudiation, authentication, access control dan accountability.

6. Orang dalam, ternyata menurut survei, termasuk dalam sumber utama gangguan atas keamanan jaringan.

7. Keamanan berbanding terbalik dengan kenyamanan.

Network Security 11


Latihan

Petunjuk: Pilihlah jawaban yang paling tepat

1. Meyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan, adalah aspek keamanan _____________

A. ConfidentialityB. AuthenticationC. AvailabilityD. Non RepudiationE. Authority

2. Menjaga agar transaksi yang terjadi tidak dapat disangkal atau dipungkiri ______________

A. ConfidentialityB. AuthenticationC. AvailabilityD. Non RepudiationE. Authority

3. Penyerang biasanya menempuh segala agar tidak dikenali oleh sistem.

Hal ini dikenal sebagai ______________A. Anonymity

12 Network Security


B. AvailabilityC. Non RepudiationD. AuthorityE. Extremity

Network Security 13


4. Upaya pengamanan atas aplikasi-aplikasi dan layanan yang tersedia adalah pemahaman dari______

A. Keamanan aplikasi B. Keamanan computerC. Keamanan pribadiD. Keamanan totalE. Keamanan sementara

5. Menyatakan kelemahan-kelemahan pada sistem yang memungkinkan terjadinya gangguan sering dikenal dengan ________

A. Kerapuhan sistem B. Kegagalan sistemC. Kerusakan sistemD. Kebenaran sistemE. Kekuatan sistem

Soal Essay:

1. Sebutkan elemen dasar keamanan jaringan2. Jelaskan faktor-faktor yang menyebabkan

kompleksitas jaringan3. Berikan ilustrasi serangan yang terjadi jika mengakses

situs internet4. Sebutkan dan jelaskan aspek-aspek keamanan

jaringan5. Apakah ada keterkaian antar aspek keamanan?

14 Network Security


2.KEAMANAN JARINGAN

Overview

Penggunaan komputer dapat berupa jaringan dengan konfigurasi tertentu. Hal ini mengakibatkan mekanisme kerjanya juga berbeda dengan komputer tunggal. Akibatnya untuk keamanan juga memerlukan penganan yang spesifik.

Tujuan

Network Security 15


1.Mahasiswa mengenali pola kerja jaringan komputer dan kelemahannya2.Mahasiswa dapat merencanakan kebijakan pengamanan jarinan komputer

PETA KONSEP KEAMANAN JARINGAN

2.I. Arsitektur Jaringan Komputer 7 Layer OSI & proses tiap layerArsitektur dari suatu jaringan kmputer OSI terdiri dari tujuh lapisan (layer) yang saling indipenden dimana tiap lapisan memiliki fungsi masing masing ,yaitu:

Layer 1 – PhysicalLapisan ini merupakan media fisik yang digunakan untuk transmisi sinyal-sinyal listrik, sinar maupun gelombang radio guna mengirimkan data.

Layer 2 - Data linkPada lapisan ini terjadi pengiriman data antara node berupa frame, juga terjadi pemeriksaan kesalahan dan sebab terjadinya saat transmisi data

Lapisan ini terbagi atas dua bagian, yaitu Pertama Media Access Control (MAC) yang mengatur pengiriman data kedua Logical LinkControl (LLC) yang berfungsi sinkronisasi frame, flow control dan pemeriksaan error.

Pada MAC terdapat mekanisme deteksi tabrakan data (collision).

16 Network Security


Pada dasarnya , lapisan Data link bertanggung jawab terhadap koneksi dari satu node ke node berikutnya dalam komunikasi data

Layer 3 - NetworkSebuah router akan menentukan jalur efisien yang akan dilalui paket tersebut.

Layer 4 - TransportLapisan ini bekerja membentuk koneksi yang relative bebas dari gangguan juga terdapat fungsi handling error.

Layer 5 - SessionLapisan ini bertanggung jawab membuat dan memutuskan koneksi antar session.

Layer 6 - PresentationLapisan ini menentukan bentuk format data yang akan digunakan dalam melakukan komunikasi dan proses enkripsi

Layer 7 - ApplicationPada lapisan terjadi interaksi dengan pengguna dilakukan. Pada lapisan inilah perangkat lunak untuk jaringan komputer dapat diaplikasikan,

2.2. Kelemahan perangkat dan langkah keamanan

Adanya perbedaan fungsi tiap lapisan jaringan komputer, membuat perlakuan keamanan yang dilakukan juga berbeda-beda. Berikut ini akan dijelaskan mengenai perlindungan terhadap jaringan komputer yang dilakukan pada setiap lapisan dari lapisan terbawah hingga atas.

-Layer 1Terjadi proses pengolahan sinyal dan pengiriman, sinyal mengalami modulasi dan enkoding ,didukung infrastruktur menggunakan media kawat (wired) atau nirkabel (Wireless) dan hub sebagai titik akses untuk pengiriman data antar kawat

Network Security 17


Pemilihan jenis metode transmisi juga mempunyai peranan penting didalam masalah keamanan. Setiap informasi rahasia sebaiknya tidak ditransmisikan secara wireless, terutama jika tiak di enkripsidengan baik, sehingga setiap orang dapat menyadap komunikasi "wireless" yang terkirim.

Kelemahan dan serangan yang mungkin terjadi pada lapisan ini

Information Leakage: penyerang menyadap kabel sehingga trafik dapat dibaca

Denial of Service: perusakanmedia kawat Illegitimate Use: penyerang menyadap kabel

lalu menggunakan sumber daya jaringan Integrity Violation: penyerang menyadap kabel

lalu menyuntikkan trafik atau trafiknya dikorupsi

Langkah pengamanan : mengamankan percabangan (protective trunking,), menggunakan pelindung terhadap gelombang elektromagnet ( electromagnetic shielding)

– Layer 2Pada lapisan ini titik akses jaringan komputer adalah berupa switch pada jaringan dengan media kabel dan access-point pada jaringan nirkabel harus dilindungi.

Ada dua mekanisme yang dapat digunakan dalam mengamankan titik akses ke jaringan komputer, yaitu :

– Protokol 802.1xProtokol 802.1x adalah protokol yang dapat melakukan otentikasi pengguna dariperalatan yang akan melakukan hubungan ke sebuah titik-akses..– Mac addressPeralatan yang akan melakukan akses pada sebuah titik-akses sudah terdaftar terlebih dahulu, proses ini dikenal sebagai Mac address Authentication adalah sebuah mekanisme di mana setiap peralatan jaringan komputer disertai identitas yang unik yang menunjukan keotentikan

18 Network Security


tiap komputer. Pada pengiriman data akan mengandung informasi mengenai identitas peralatan tersebut. Dengan identitas ini ditentukan otorisasi suatu komputer melalui proses penyaringan (filtering).

Kelemahan dari metode ini adalah seseorang dapat dengan memanipulasi identitas pada peralatan yang digunakannya, sehingga peralatan tersebut dapat melakukan akses ke sebuah jaringan komputer. Tindakan ini sering disebut sebagai Spoofing.

MAC Flooding Perangkat malicious terhubung dengan switch.Kemudian mengirimkan data yang sangat banyak sehingga switch penuh ( flood) , akhirnya switch menolak setiap usaha koneksi ini berarti switch berubah menjadi seperti hub .

Langkah keamanan layer ini dalah : Mengamankan switch secara fisik

-Mencegah ancaman illegitimate use. Menghindari flooded Memantau pemetaan MAC ke IP address. Membangkitkan peringatan ke network admin.

– Layer 3Pada lapisan ini, untuk membedakan sebuah peralatan jaringan komputer dengan peralatan jaringan komputer yang lainnya, digunakan alamat IP (Internet Protocol). Semua peralatan computer aktif harus memiliki sebuah nomor IP unik yang akan menjadi identitasnya di jaringan komputer.

Pada lapisan ini, metode perlindungan jaringan komputer akan berdasarkan pada alamat IP dan Port. Pada setiap paket data yang dikirimkan oleh sebuah peralatan jaringan komputer ke peralatan lainnya akan mengandung alamat IP dan Port yang digunakan oleh pengirim serta alamat IP dan Port dari tujuan paket tersebut.

Serangan pada lapisan ini

Network Security 19


Penyerang merusak (corrupt) tabel ruting pada router dengan mengirimkan update yang salah

Denial of Service threat. Penyerang dapat me-rekonfigurasi atau

mengambil alih pengendalian router dan mengubah tingkah laku router

Langkah keamanan Memperbaharui (updating ) tabel ruting. Menggunakan sistem pengamanan yang biasanya

dikenal dengan nama firewall

Pada firewall ini dapat melakukan filtering . Pada umumnya firewall diletakkan pada gerbang masuk maupun keluar sebuah sistem jaringan komputer.

– Layer 4 /5Pada lapisan ini, metode pengamanan lebih difokuskan dalam mengamankan data yang dikirimkan. Metode pengamanan yang banyak digunakan adalah :

– VPNVirtual Private Network, adalah jaringan privat maya diatas jaringan publik

20 Network Security


Kelebihan VPN • Peningkatan keamanan dataData yang dikirimkan akan terlindungi sehingga tidak dapat dicuri oleh pihak lain karena data yang ditransmisikan melalui VPN melalui proses enkripsi.

• Menyederhanakan Topologi jaringanPada dasarnya, VPN adalah perkembangan dari network tunneling. Dengan tunneling, dua kelompok jaringan komputer yang terpisah oleh satu atau lebih kelompok jaringan computer dapat disatukan.

– Layer 7Lapisan paling atas dari jaringan komputer adalah lapisan aplikasi. Oleh karena itu, keamanansebuah sistem jaringan komputer tidak terlepas dari keamanan aplikasi yang menggunakan jaringan komputer tersebut, baik itu keamanan data yang dikirimkan dan diterima oleh sebuah aplikasi, maupun keamanan terhadap aplikasi jaringan komputer tersebut. Metode-metode yang digunakan dalampengamanan aplikasi tersebut antara lain adalah:

– SSLSecure Socket Layer (SSL) adalah sebuah protokol yang bekerja dengan metode otentikasi,

–Topologi JaringanTopologi jaringankomputer memiliki peranan yang sangat penting dalam keamanan jaringan komputer. Metode keamanan yang diterapkan pada setiap kelompok jaringan komputer juga dapat berbeda

2.3 Desain jaringan dan keamanan Jenis topologi :

Bus Ring Star Mesh

Network Security 21


Topologi Bus Terdiri dari ruas‐ruas kabel coaxial dengan

menggunakan konektor T, BNC, danTerminator. Maksimum 1 bus 30 komputer dan bisa menggunakan

repeater untuk menyambung 2 bus. Tidak memerlukan peralatan tambahan seperti Hub. Memiliki jangkauan yang dinamis sesuai dengan kabel

yang dipakai Topologi ini rentan terhadap penyadapan

Topologi Star Menggunakan Hub/Switch, mudah menambah

komputer. Jarak radius adalah dalam 500 meter. Komunikasi akan lambat bila ada banyak HUB Menggunakan kabel coaxial dan UTP (Unshielded

Twisted Pair) RJ 45

Topologi ini rentan terhadap serangan yang terjadi pada hub dan switch

Topologi Ring Bentuk seperti cincin, Komunikasi data menggunakan token yang

mengelilingi Ring. Tidak memerlukan hub bila menggunakan kabel

coaxial, Perlu hub untuk kabel STP (Shielded Twisted Pair) dan

UTPTopologi ini rentan terhadap serangan hub, pada interferensi gelombang karena menggunakan utp.

22 Network Security


Rangkuman

1.Dengan semakin berkembangnya teknologi Internet tingkat gangguan keamanan juga semakin kompleks Setiap lapisan dalam jaringan komputer harus dapat melaksanakan fungsinya secara aman. Pemilihan teknologi yang tepat harus sesuai dengan kebutuhan

2.Tiap lapisan memiliki kelemahan dan dapat mengalami serangan yang berbeda tergantung dari fungsi dan komponen yang digunakan.

3. Langkah keamanan yang dilakukan sesuai dengan serangan yang terjadi

4.Desain topologi juga mempengaruhi efektivitas kinerja jaringan, hal ini dipengaruhi antara lain penggunaan komponen.

Network Security 23


Latihan

Petunjuk: Pilihlah jawaban yang paling tepat!

1.Dua kelompok jaringan komputer yang terpisah oleh satu atau lebih kelompok jaringan computer disatukan merupakan dasar prinsip_________

A. MACB. SSL C. FirewallD. VPNE. Data link

2.Seseorang memanipulasi identitas pada peralatan yang digunakannya, sehingga peralatan tersebut dapat melakukan akses ke sebuah jaringan komputer. Tindakan ini sering disebut sebagaindakan ini disebut__________

A. MaskingB. GroupingC. SpoofingD. SniffingE. Caching

3. Metode perlindungan jaringan komputer berdasarkan pada alamat IP dan Port. Dimana firewall diletakkan pada gerbang masuk maupun keluar sebuah sistem jaringan komputer, terjadi pada lapisan___________

24 Network Security


A. 5B. 7C. 1D. 2E. 3

4. Secure Socket Layer (SSL) adalah sebuah protokol yang bekerja dengan metode otentikasi, pada lapisan________:

A. ApplicationB. NetworkC. TransportD. Data linkE. Physical

5. Filtering merupakan salah satu mekanisme ___________A. SniffingB. FirewallC. Man in the middleD. HijackE. Spoofing

Essay :1.Bagaimana tingkat keamanan pada jaringan dengan topologi star? Jelaskan!2. Jelaskan mekanisme SSL dan implementasinya!3.Jelaskan mekanisme spoofing!4.Apakah dalam suatu topologi dapat terjadi banyak ancaman? Jelaskan!5.Jelaskan implementasi VPN! Kelas Virtual : Pelajari mekanisme ,aspek keamanan dengan game Cyber Ciege, Sim City! Buat skenario dan kesimpulan!

Network Security 25


3. Konsep dan Mekanisme Penyerangan

Overview

Serangan terhadap jaringan komputer dapat dilakukan dengan berbagai cara, mulai dari cara yang sederhana hingga yang rumit. Kerusakan yang ditimbulkannya pun beragam, dari gangguan kecil hingga kerusakan hebat. Pemahaman atas serangan yang dilakukan, baik teknik yang dipakai maupun tahapan-tahapan yang harus dilakukan, akan sangat membantu dalam mengatasi serangan tehadap jaringan komputer sehingga kerugian yang timbul dapat ditekan sekecil mungkin.

26 Network Security


Tujuan

1.Memahami jenis serangan terhadap jaringan2.Memahami teknik penyerangan jaringan3. Memahami tahapan hacking

3.1 Serangan Terhadap Jaringan

Berbagai serangan dapat saja menimpa suatu jaringan komputer, apalagi jika jaringan tersebut terhubung ke zona umum atau internet. Contoh serangan yang mungkin timbul antara lain :

• Melakukan interupsi atas data yang sedang dikirim• Memodifikasi data yang sedang dikirim• Mengakses suatu program atau data pada komputer

remote• Memodifikasi program atau data pada komputer

remote• Melakukan penyisipan komunikasi palsu seperti user

lain• Melakukan penyisipan komunikasi sebelumnya secara

berulang-ulang• Menahan data tertentu• Menahan semua data• Menjalankan program di komputer remote dll

Network Security 27


Gambar 3.1. Serangan Terhadap Jaringan

Beberapa jenis pelaku serangan antara lain : The Curious (Si Ingin Tahu)

Pelaku tertarik untuk menemukan jenis sistem dan data yang ada pada sistem sasaran.

The Malicious (Si Perusak) Pelaku berusaha untuk merusak sistem sasaran

The High-Profile Intruder (Si Profil Tinggi)Pelaku berusaha menggunakan sistem sasaran untuk memperoleh popularitas dan ketenaran. Semakin tenar sasaran, pelaku akan semakin populer.

The Competition (Si Pesaing)Pelaku tertarik pada sistem sasaran karena anggapan bahwa sasaran merupakan pesaing dalam suatu hal, berusaha untuk mengetahui lebih dalam pesaingnya maupun melakukan usaha-usaha untuk menjatuhkan.

Banyak istilah yang dipakai untuk menyebut pelaku serangan, di

antaranya adalah : Mundane : mengetahui hacking tapi tidak mengetahui

metode dan prosesnya. Lamer (script kiddies) : mencoba script-script yang

pernah dibuat oleh hacker dengan cara download dari internet atau dari sumber yang lain, tapi belum paham cara membuatnya.

Wannabe : memahami sedikit metode hacking, menerapkan dan sudah mulai berhasil menerobos. Pelaku beranggapan HACK IS MY RELIGION.

Larva (newbie) : hacker pemula, mulai menguasai dengan baik teknik hacking, dan sering bereksperimen.

Hacker : melakukan , hacking sebagai suatu profesi. Wizard : hacker yang membuat komunitas, bertukar

ilmu di antara anggota. Guru, master of the master hacker : hacker dengan

aktifitas lebih mengarah pembuatan tools-tools powerfull guna menunjang aktivitas hacking.

28 Network Security


Serangan terhadap jaringan komputer dapat dikelompokkan dalam beberapa jenis antara lain :

Interruption : pemutusan komunikasi. Dilakukan dengan cara : memutus kabel, membuat layanan sibuk sehingga komunikasi sulit (Denial of Service DoS), menghabiskan bandwith dengan membanjiri data (network flooding), melalukan spoofed originating address.Tools yang dipakai antara lain : ping broadcast, smurf, synk4, macof, various flood utilities

Gambar 3.2 interruption

Interception : berusaha mendapatkan password atau data sensitif lain. Misal password sniffing.

Tools yang dipakai antara lain : tcpdump, ngrep, linux sniffer, dsniff, trojan (BO, Netbus, Subseven)

Gambar 3.3. Interception

Modification : melakukan perubahan (termasuk menghapus, men-delay) terhadap data atau program. Serangan ini dapat dilakukan dengan virus atau trojan horse yang ditempelkan pada email atau website.

Network Security 29


Gambar 3.4 Modification

30 Network Security


Fabrication : melakukan pemalsuan pesan. Misal pengiriman email oleh user palsu, spoofed packet. Berbagai packet construction kit dapat dipakai sebagai tools.

Gambar 3.5 Fabrication

3.2 Teknik PenyeranganTindakan penyerangan terhadap jaringan komputer dapat dilakukan dengan berbagai cara atau teknik. Teknik penyerangan yang dipakai di antaranya :

• Wiretrapping : melakukan interupsi komunikasi antara dua host secara fisik.

• Pemalsuan authentication milik orang lain dengan cara mencoba-coba password (brute force attack)

• Flooding : mengirimkan pesan-pesan dalam jumlah yang sangat besar ke host tertentu.

• Trojan Horse : menggunakan aplikasi palsu yang seolah-olah terlihat seperti aplikasi yang asli tetapi sebenarnya aplikasi tersebut membuat suatu serangan.

Beberapa istilah yang dikenal dalam penyerangan antara lain adalah :

Scanning Adalah pengujian (probe) atas suatu host dengan memakai tools secara otomatis dengan tujuan tertentu. Misal dipakai untuk mendeteksi kelemahan pada komputer sasaran. Pengujian biasanya dilakukan dengan men-scan port TCP /IP dan servis-servisnya serta mencatat respon komputer sasaran. Hasilnya berupa data port-port yang terbuka, yang kemudian dapat diikuti dengan mencari tahu kelemahan-

Network Security 31


kelemahan yang mungkin bisa dimanfaatkan berdasar port yang terbuka tersebut beserta aplikasi yang dapat digunakan.

32 Network Security


SniffingAdalah mendengarkan informasi yang melewati suatu jaringan. Host dengan mode promiscuous mampu mendengar semua trafik di dalam jaringan. Sniffer atau orang yang melakukan sniffing, dapat menyadap password maupun informasi rahasia. Keberadaan sinffer biasanya sulit dideteksi karena bersifat pasif. Sniffer ‘mendengarkan’ aliran data pada port Ethernet, utamanya yang terkait dengan string "Password","Login" dan "su", kemudian mencatat data setelahnya. Dengan cara ini, sniffer memperoleh password untuk sistem. Password teks sangat rentan terhadap sniffing. Untuk mengatasinya, dipakai enkripsi , merancang arsitektur jaringan yang lebih aman dan menggunakan One Time Password (OTP).

ExploitEksploit adalah memanfaatkan kelemahan sistem untuk aktifitas-aktifitas di luar penggunaan yang wajar.

SpoofingSpoofing adalah penyamaran identitas. Biasanya spoofing terkait dengan IP atau Mac address. IP spoofing dilakukan dengan menyamarkan identitas alamat IP menjadi IP yang terpercaya (misal dengan script tertentu) dan kemudian melakukan koneksi ke dalam jaringan. Bila berhasil akan dilanjutkan dengan fase serangan berikutnya.

Denial of Service (DoS)Upaya melumpuhkan layanan yang ada pada suatu sistem. Akibatnya sistem tidak dapat memberikan layanan seperti yangdiharapkan, bahkan bisa down. DoS yang dilakukan dari banyak komputer sumber yang tersebar disebut sebagai Ddos (Distributed denial of service). Beberapa penyebab layanan menjadi lumpuh antara lain : Jaringan kebanjiran trafik data (misal dengan

serangan syn flooding, ping flooding, smurfing). Jaringan terpisah karena ada penghubung

(router/gateway) yang tidak berfungsi. Serangan worm/virus yang menyebabkan trafik

jaringan menjadi tinggi dan akhirnya tidak berfungsi

Network Security 33


34 Network Security


Buffer OverflowAdalah kondisi buffer (variabel yang dipakai aplikasi untuk menyimpan data di memori) terisi dengan data yang ukurannya melebihi kapasitasnya sehingga mengakibatkan terjadinya pengisian (overwrite) alamat memori lain yang bukan milik variabel tersebut. Aplikasi yang memiliki akses terhadap sistem dan dapat di-bufferoverflow-kan sangat rentan terhadap pengambilalihan hak akses level sistem atau administrator.

Malicious CodeMalicious code adalah program yang dapat menimbulkan efek yang tidak diinginkan atau kerusakan terhadap sistem jika dieksekusi. Jenisnya antara lain : trojan horse, virus, dan worm.

3.3 Tahapan HackingHacking adalah upaya untuk melakukan penetrasi dan eksplorasi terhadap sistem sasaran tanpa menimbulkan kerusakan atau kerugian, juga tidak melakuan pencurian data. Orang yang melakukan tindakan hacking disebut sebagai hacker. Istilah hacker muncul pada awal tahun 1960-an di antara anggota organisasi mahasiswa TechModel Railroad Club di Laboratorium Kecerdasan Buatan, Massachusetts Institute of Technology (MIT). Istilah ini untuk menyebut anggota yang memiliki keahlian dalam bidang komputer dan mampu membuat program komputer yang lebih baik ketimbang yang telah dirancang bersama. Pada tahun1983, analogi hacker semakin berkembang, digunakan untuk menyebut seseorang yang memiliki obsesi untuk memahami dan menguasai sistem komputer. Dikenal pula istilah cracker, yakni hacker yang melakukan tindakan desktruktif atau merusak sistem sasaran, menimbulkan kerugian, melakukan pencurian data dll.

Network Security 35


Langkah-langkah hacking diilustrasikan dalam gambar anatomi hacking berikut :

Gambar 3.2. Anatomi Hacking

Gambar 3.6 Tahapan Hacking

FootprintingMelakukan pencarian sistem yang dapat dijadikan sasaran, mengumpulkan informasi terkait sistem sasaran dengan memakai search engine, whois, dan DNS zone transfer.

ScanningMencari pintu masuk yang paling mungkin dari sistem sasaran yang sudah ditetapkan. Hal ini dapat dilakukan dengan ping sweep dan port scan.

EnumerationMelakukan telaah intensif terhadap sistem sasaran dengan mencari user account yang sah, sumber daya jaringan dan sharing-nya serta aplikasi yang dipakai, sehingga diketahui titik lemah dari proteksi yang ada.

Gaining AccessBerusaha mendapatkan data lebih banyak lagi untuk mulai mengakses sistem sasaran. Hal ini dilakukan

36 Network Security


dengan cara mengintip dan merampas password, menebak password serta melakukan BufferOverflow.

Network Security 37


Escalating PrivilegeSetelah berhasil masuk ke sistem sasaran, dilakukan usaha untuk mendapatkan privilege tertinggi (administrator atau root) sistem dengan cara password cracking atau exploit memakai get admin, sechole atau lc_messages.

PilferingMelakukan pengumpulan informasi lagi untuk mengidentifikasi mekanisme akses ke trusted sistem, mencakup evaluasi trust dan pencarian cleartext password di registry, config file dan user data.

Covering TracksSetelah kontrol penuh terhadap sistem diperoleh, usaha untuk menutup atau menghilangkan jejak menjadi prioritas, meliputi pembersihan network log dan penggunaan hide tool seperti macam– macam root kit dan file streaming.

Creating BackdoorsMembuat pintu belakang pada berbagai bagian dari sistem, yang dapat dipakai untuk masuk kembali ke sistem secara mudah dan tidak terdeteksi.

Denial of Service (DoS)Bila semua usaha di atas gagal, penyerang dapat melumpuhkan layanan yang ada pada sistem sasaran sebagai usaha terakhir.

38 Network Security


Rangkuman

1. Berbagai jenis serangan dapat terjadi atas jaringan komputer, antara lain : interception, interuption, modification dan fabrication.

2. Teknik serangan yang dilakukan pun beraneka ragam, di antaranya adalah wiretrapping, pemalsuan identitas, flooding dan trojan horse.

3. Hacking merupakan upaya untuk melakukan penetrasi dan eksplorasi atas sistem sasaran tanpa menimbulkan kerusakan dan kerugian serta tidak melakukan pencurian data.

4. Hacker dan cracker mungkin memakai teknik yang sama terhadap sistem sasaran, namun berbeda motivasi dan tujuan.

5. Langkah-langkah hacking terdiri atas footprinting, scanning, enumeration, gaining access, escalating previllege, pilfering, covering tracks, creating backdoor, dan denial of services.

Network Security 39


Latihan

Petunjuk: Pilihlah jawaban yang paling tepat!1. Berikut ini adalah istilah yang terkait dengan

penyerang jaringan :A. Mundane C. Wizard E. Semua

benarB. Lamer D. Hacker

2. Termasuk dalam jenis serangan adalah :

A. Codification

B. Configuration

C. Semua benar

D. Interuption E. Initalization

3. Tidak termasuk dalam anatomi hacking adalah :A. Piltering C Creating

backdoorE. Enumeration

B. Gaining access

D. DoS

4. Tools berikut dipakai dalam footprinting :A. yahoo C. whois E. a,b benar,c

salahB. google D. a,b,c benar

5. Trojan horse dapat melakukan serangan :A. interception C. fabrication E. a,b,c salahB. modification D. a,b,c benar

Soal essay :1. Sebutkan elemen dasar keamanan jaringan2. Jelaskan faktor-faktor yang menyebabkan

kompleksitas jaringan

40 Network Security


3. Berikan ilustrasi serangan yang terjadi jika mengakses situs internet

4. Sebutkan dan jelaskan aspek-aspek keamanan jaringan

Latihan Kelas Virtual :Lakukan serangan ke sebuah lokal server hingga terjadi

DOS

4. Konsep dan mekanisme pertahanan

Overview

Tahap awal dalam menentukan kebijakan dan strategi pengamanan yang efektif adalah dengan mengenali ancaman atau serangan yang mungkin datang. Kemudian perlu Menentukan tingkat keamanan yang diinginkan, dan memperkirakan metode apa yang akan digunakan untuk mencari solusi

Network Security 41


Tujuan

1. Mahasiswa mengetahui kelemahan, ancaman dan serangan yang terjadi

ada suatu jaringan 2. Mahasiswa dapat mengenal konsep pertahanan 3. Mahasiswa dapat melakukan estimasi dan merencanakan

langkah keamanan guna memperoleh keamanan jaringan

4.1 Kelemahan dan ancamanKeamanan jaringan adalah suatu proses guna melindungi semua komponen yang ada pada jaringan. Untuk itu harus ditentukan terlebih dahulu tingkat ancaman yang akan terjadi , dan memperkirakan resiko yang harus diambil maupun yang harus dihindari. Berikut akan dibahas mengenai ancaman, kelemahan, dan strategi pengamanan.

AncamanBiasanya ancaman timbul akibat adanya kelemahan, yang terjadi karena tidak terpenuhi aspek keamanan. Kelemahan memperlihatkan tingkat keandalan sistem keamanan suatu jaringan komputer terhadap jaringan komputer yang lain, sehingga dapat terjadi ancaman dan serangan.

Tujuan pengancam adalah :• Ingin mengetahui data yang ada pada suatu jaringan untuk suatu kepentingan• Membuat sistem jaringan menjadi rusak, atau tampilan situs web berubah .

42 Network Security


• Untuk mendapat keuntungan finansial dengan cara yang tidak benar dll

4.2 Strategi keamanan (Security Policy)

Security Policy merupakan strategi untuk mengatasi permasalahan, misalnya menentukan mekanisme apa yang akan digunakan untuk melindungi atau memperbaiki jaringan. Hal pokok dalam strategi keamanan:

Kajian tentang langkah keamanan yang diambil dikaitkan dengan faktor teknis dan tinjauan hukum

Perumusan perencanaan pemanfaatan teknologi, perkiraan biaya infrastruktur

Analisa resiko yang akan dihadapi Petunjuk bagi administrator sistem untuk

mengelola sistem.

Teknik-teknik yang dapat digunakan untuk mendukung keamanan jaringan antara lain:

• melakukan otentikasi sistem.• Enkripsi terhadap sistem untuk penyimpanan dan pengiriman data • Penggunaan perangkat lunak, dan perangkat keras jaringan untuk mendukung keamanan, misalnya firewall dan router dll.

4.3 Metode keamanan jaringan4.3.1 Meningkatkan keamanan jaringan

Pembatasan akses pada network Penggunaan Password,merupakan suatu limitasi Beberapa hal yang sebaiknya diperhatikan dalam memilih

password : - unik, misterious,mudah diingat - bukan data pribadi

Penggunaan enkripsiBeberapa alasan penggunaan enkripsi :

Network Security 43


aspek hak akses : mencegah orang yang tidak berwenang melihat data-data sensitifaspek kofidensial : mengurangi kemungkinan terbukanya dataaspek otentikasi : mengurangi kemungkinan dipalsukan

Penggunaan Digital signature-Digunakan untuk menyediakan keyakinan bahwa informasi berasal dari sumber tertentu dan belum pernah berubah -Definisi Digital Signature: merupakan sederetan data yang menghubungkan suatu message dengan beberapa sumber informasi

-Cara digital signature dibangkitkan suatu nilai (binary string) dari pesan dengan cara hash.Kemudian digunakan algoritma digital signature untuk menghasilkan tanda tangan dari hash value dan private key.Dengan demikian sekarang pesan dapat di-otentifikasi menggunakan public key dan tandatangan.

Algoritma Digital Signing :RSA ElGamal

44 Network Security


Contoh:Tanda tangan yang dihasilkan:

-----BEGIN PGP SIGNATURE----- version: GnuPG v1.0.7 (GNU/Linux)

Idpoj0Kknio-04uoj19u8DBQA+c2Tek9/AtnRwPcRAuqtAJ0R34tPGWvhaYjXvfuIFiPAU4YfgCeN+

-----END PGP SIGNATURE-----

Tanda tangan ini dapat dikirim pada file terpisah

4.3.2 Mekanisme pertahanan

Metode-metode yang dapat diterapkan untuk membuat jaringan komputer menjadi lebih aman, antara lain adalah:

Packet Sniffing sebagai peralatan (tool) pengelola jaringan packet sniffer dan sebagai alat pertahanan. Dengan melakukan analisa paket yang melalui sebuah media jaringan computer

Contoh:Intrusion Detection System adalah sebuah packet sniffer yang bertugas untuk mencari host yang mengirimkan paket-paket yang berbahaya bagi keamanan. Selain menjadi alat untuk analisa permasalahan yang sedang dihadapi sebuah jaringan komputer. Terutama saat sulitnya sebuah host berhubungan dengan host

Dalam membuat keputusan apakah sebuah paket data berbahaya atau tidak, IDS memakai metode :• Signature-based Intrusion Detection System. Pada metode ini, telah tersedia daftar signature yang dapat digunakan untuk menilai apakah paket yang dikirimkan berbahaya atau tidak. Sebuah paket data

Network Security 45


akan dibandingkan dengan daftar yang sudah ada. Metode ini akan melindungi sistem dari jenis-jenis serangan yang sudah diketahui sebelumnya. Oleh karena itu, untuk tetap menjaga keamanan sistem jaringan komputer, data signature yang ada harus tetap ter-update.

– Port ScanningAwalnya juga merupakan tool pengendali jaringan,tetapi digunakan oleh penyerang untuk mengetahui port apa saja yang terbuka dalam sebuah sistem jaringan komputer. Sebuah port terbuka jika adanya aplikasi jaringan komputer yang siap menerima koneksi. Aplikasi ini dapat menjadi pintu masuk penyerang ke dalam sistem jaringan komputer. Port yang terbuka tetapi tidak digunakan perencanaan yang ada, maka aplikasi yang berjalan pada port tersebut harus segera dimatikan agar tidak menjadi celah tidak aman. – Packet FingerprintingPacket Fingerprinting, adalalah mekanisme mengetahui peralatanapa saja yang ada dalam sebuah jaringan komputer.Hal ini penting karena peralatan dan sistem operasi memiliki karakteristik dan kelemahannya masing-masing. Artinya dapat diantisipasi langkah pengamanannya. Finger printing dapat mengetahui system operasi dengan meninjau header di IP kemudian dibandinkan dengan acuan

4.3.3 Mengatasi AncamanBerikut ini akan dijelaskan beberapa serangan terhadap sebuah jaringan computer dan langkah keamanan yang dapat dilakukan:

– DOS/DDOSDenial of Services dan Distributed denial of services adalah sebuah metode serangan dimana klien menyerang

46 Network Security


Pihak server dengan terus menerus mengirim paket inisiasi sehingga server tidak dapat membuat koneksi

-'Smurf Attack' Mekanismenya adalah penyerang akan mengirimkan paket ping permintaan ke suatu host dan merubah alamatnya menjadi alamat IP lain, sehingga host tersebut akan mengirim paket balasan ke IP tsb

Langkah pengamanan:• Micro-blocks. Ketika ada sebuah host menerima paket inisiasi, maka host akan mengalokasikan ruang memori yang sangat kecil, sehingga host tersebut bisa menerimakoneksi lebih banyak

– Packet SniffingPacket Sniffing adalah sebuah metode serangan dengan cara mendengarkan semua trafik di jaringan, sehinggasebuah host bisa merubah konfigurasi dan memproses semua paket yang dikirimkan oleh host lainnya.

Langkah keamanan:• Memeriksakan apakah ada host di jaringan kita yang sedang dalam mode promiscuous,sehingga dapat melakukan sniffing

• Mempergunakan SSL (Secure Socket Layer) untuk mengamankan HTTP adalah metode enkripsi yang dikembangkan untuk memberikan keamanan di internet. SSL beroperasi pada layer transpor, menciptakan saluran enkripsi yang aman untuk data. SSL menjadi perantara antara pemakai dengan protokol HTTP dan menampilkan HTTPS kepada pemakai.

Network Security 47


IP SpoofingJenis serangan yang dengan penyamaran . Serangan ini dilakukan dengan cara mengubah alamat asal sebuah paket, sehingga dapat melewati perlindungan firewall dan menipu host penerima data.

Salah satu bentuk serangan yang memanfaatkan metode IP Spoofing adalah 'man-in-the-middleattack'. Pada serangan ini, penyerang akan berperan sebagai orang ditengah antara dua pihak yang sedang berkomunikasi dan akan mengganti pesan

Langkah keamanan :SSH mendukung otentikasi terhadap remote host, sehingga meminimalkan spoofing. SSH menyediakan VPN .SSH memakai public-key cryptography untuk mengenkripsi komunikasi antara dua host, demikian pula untuk autentikasi pemakai.

Untuk mengatasi serangan yang berdasarkan IP Spoofing, sebuah sistem operasi memberikan nomor paket secara acak ketika menjawab inisiasi koneksi dari sebuah host (scrambling). Penyerang akan kesulitan tansmisi

Konfigurasi firewall yang tepat dapat meningkatkan kemampuan jaringan komputer dalam menghadapi IP Spoofing.

Antivirus juga merupakan langkah pengamanan bagi pesan yang belum mengalami enkripsi.Lebih lengkapnya akan dibahas pada bab berikutnya

Rangkuman

48 Network Security


1.Keamanan jaringan komputer berpengaruh pada keamanan sistem informasi .Dengan semakin meningkat, penggunaan Internet maka semakin besar potensi gangguan yang akan timbul

2.Memperbaiki kinerja sistem dan mengatasi masalah dengan langkah keamanan yang direncanakan dengan memperhatikan banyak aspek keamanan adalah suatuhal yang penting guna mengikuti perkembangan internet.

Latihan

Petunjuk: Pilihlah jawaban yang paling tepat!1. Untuk meyakinkan bahwa informasi berasal dari sumber

tertentu dan belum pernah berubah:A. Digital SignatureB. Digital electronicC. Electronic SignalD. Digital enkripsiE. Enkripsi sertifikat

2. Penyerang akan mengirimkan paket ping permintaan ke suatu host dan merubah alamatnya menjadi alamat IP lain,sehingga host tersebut akan mengirim paket balasan

Network Security 49


ke IP tsb dalam jumlah yang sangat banyak maka host IP itu akan jenuh ini adalah mekanisme:

A. SpoofingB. SniffingC. FirewallD. Smurf AttackE. Snort

3. Sederetan data yang menghubungkan suatu message dengan beberapa sumber informasi adalah:

A. Definisi spoofingB. Definsi digital signatureC. Definisi cookiesD. Definisi fingerprintingE. Definisi DOS

4. Packet sniffer yang bertugas untuk mencari host yang mengirimkan paket-paket yang berbahaya bagi keamanan adalah :

A. Intrusion Detection SystemB. Interupsi Data SystemC. Probing D. Sniferring systemE. Denial of Service

5.Adanya aplikasi jaringan komputer yang siap menerima koneksi ditandai dengan adanya:

A. Medium wireB. Kanal terbuka C. Port terbukaD. Router rusakE. Cabling

Soal Essay1. Jelaskan tentang spoofing. DOS dan smurf attack!2. Bagaimana langkah keamanan enkripsi secara umum? Jelaskan!3. Jelaskan tentang port scanning,sniffing manfaat dan bahayanya!4.Bagamana Mekanisme man in the middle?

50 Network Security


Latihan kelas virtual :1.Buat saluran putty

Network Security 51


52 Network Security


5 Antivirus dan Firewall

Overview

Kerusakan atau gangguan yang terjadi dalam suatu jaringan komputer dapat pula disebabkan oleh virus komputer, suatu aplikasi yang memiliki tingkah laku mirip virus. Untuk mencegah terjadinya serangan virus komputer, jaringan harus dilindungi sistem antivirus. Meski tidak menjamin pendeteksian dan pembersihan semua jenis virus, antivirus minimal dapat menghindari kerusakan yang parah akibat serangan virus. Firewall merupakan suatu mekanisme untuk menyaring paket data yang boleh masuk atau mengakses sumber daya jaringan lokal. Dengan menyaring paket data yang masuk, kemungkinan terjadinya serangan dapat dicegah atau ditekan seminimal mungkin.

Tujuan

1. Memahami pengertian virus komputer2. Memahami penyebaran virus komputer dan cara

menanganinya3. Memahami pengertian firewall

Network Security 53


4. Memahami manfaat firewall bagi keamanan jaringan

5.1 Virus Komputer

Pada tahun 1960, para ahli di Laboratorium Bell ( AT & T) mencoba menerapkan teori John von Neuman terkait teori „Self Altering Automata“ , dengan membuat program permainan atau game. Program ini memiliki kemampuan memperbanyak diri dan menghancurkan program lawan. Program yang mampu bertahan dan dapat menghancurkan program lain menjadi pemenangnya. Pada tahun 1980, program ini mulai menyebar ke masyarakat umum. Tahun 1984, Fred Cohen menamai aplikasi yang memiliki persamaan mendasar dengan virus biologis dengan virus komputer. Jadi virus komputer merupakan program komputer yang memiliki kemampuan untuk menulari program lain, mengubah, memanipulasi, bahkan merusaknya.

Kriteria suatu program dikatakan sebagai virus adalah jika memiliki kemampuan :

Mendapatkan informasi, misal virus mampu mengumpulkan informasi berupa daftar nama file yang dapat ditularinya

Memeriksa file, sudah ditulari atau belum. File yang sudah ditulari memiliki byte tanda terinfeksi sehingga tidak perlu lagi dilakukan penularan.

Menggandakan dan menularkan diri : setelah memiliki daftar nama file yang akan ditulari, virus akan menuliskan byte pengenal dan menggandakan / menulis kode objek virus ke file-file tersebut. Atau dapat juga dilakukan dengan menghapus file-file tersebut, kemudian membuat file-file baru yang berisi virus dengan nama yang sama dengan file-file tersebut. File yang sudah tertular, jika dijalankan (di-load ke memori) akan menjadikan virus aktif, dan siap untuk melakukan serangan berikutnya.

Memanipulasi : virus memiliki rutin / fungsi / prosedur yang akan dijalankan ketika file yang ditulari di-load ke memori (aktif). Aksi yang dapat dilakukan rutin antara lain menuliskan pesan; mengubah label file, direktori atau drive, mengubah isi file, merusak file,

54 Network Security


mengacaukan kerja perangkat dan lain-lain. Menyembunyikan diri : kemampuan ini menjadikan

virus sulit untuk dideteksi dan dihilangkan. Langkah penyembunyian diri dilakukan dengan menyimpan kode virus dalam bentuk bahasa mesin dan digabung dengan program lain yang dianggap berguna, menyimpan kode program virus pada boot record, membuat kode program virus sekecil mungkin sehingga file yang ditulari tidak terlalu berubah ukurannya.

5.2 Penyebaran Virus dan Penanggulangannya

Virus komputer umumnya memiliki empat tahap siklus hidup, yakni :

• Dormant phase (fase tidur) adalah fase virus saat tidak aktif. Tidak semua virus melewati fase ini.

• Propagation phase (fase penyebaran) adalah fase virus memperbanyak diri atau menular ke file lain yang menjadi sasaran.

• Triggering phase (fase diaktifkan) adalah fase virus menjadi aktif dari kondisi tidak aktifnya dengan dipicu oleh beberapa hal misalnya tanggal tertentu telah tercapai, kehadiran program lain yang dieksekusi dan lain-lain.

• Execution phase (fase eksekusi) adalah fase virus yang aktif menjalankan rutin yang dimilikinya, seperti menampilkan pesan, merusak file lain dan sebagainya.

Virus komputer dapat diklasifikasikan dalam beberapa kelompok, antara lain :

• Virus makro : virus yang dibuat dengan memakai makro atau bahasa pemograman aplikasi tertentu. Jika aplikasi pendukungnya dapat berjalan dengan baik, dipastikan virus yang memakai makro dari aplikasi tersebut dapat melakukan serangan. Contohnya virus W97M.Panther, WM.Twno.A;TW menginfeksi file-file MS Word.

• Virus boot sector adalah virus yang memindahkan atau mengganti boot sector asli dengan program booting virus. Jika dilakukan booting, virus menjadi aktif dan melakukan serangan. Contohnya virus wyx, v-sign, stoned.june dan

Network Security 55


lain-lain• Virus stealth adalah virus yang menguasai tabel interupsi

DOS (interrupt interception), sehingga dapat mengendalikan interupsi-interupsi level DOS. Contohnya Vmem, Yankee.XPEH.4928, WXYC dan lain-lain

• Virus polymorphic adalah virus yang mengubah strukturnya setelah menginfeksi program lain. Karena strukturnya berubah, virus ini sulit dideteksi oleh program antivirus. Contohnya necropolis A/B, nightfall dan lain-lain.

• Virus program adalah virus yang menginfeksi program-program yang dieksekusi langsung oleh sistem operasi, baik program yang berekstensi EXE maupun COM.

• Virus multi partisi merupakan gabungan dari virus program dan boot sector, menginfeksi program-program EXE atau COM dan boot sector.

Virus menyebar dan melakukan serangan melalui beberapa perantara atau media, di antaranya adalah :

Disket, flashdisk, DVD, CD, hardisk dan media penyimpanan sekunder lainnya

Jaringan atau hubungan antar komputer baik wireline maupun wireless, dengan cakupan lokal hingga antarbenua atau internet.

Aplikasi freeware, shareware yang mudah diunduh (download) dari internet

Server WWW atau FTP, menularkan virus saat diakses Attachment file yang ada pada email, dan lain-lain

Langkah-langkah penanganan virus komputer : Pencegahan (preventif) :

Pasang antivirus yang handal, dengan basis data virus yang selalu uptodate. Nyalakan selalu mode proteksinya (autoprotect on), jadwalkan scanning menyeluruh komputer secara rutin pada waktu tertentu. Terkait dengan jaringan, antivirus dapat dipasang secara standalone / unmanaged, artinya antivirus bersifat masing-masing di setiap komputer. Update

56 Network Security


basis data virus harus dilakukan di setiap komputer. Atau dipasang sentralistis / managed, artinya ada satu komputer dipakai sebagai server antivirus yang akan melakukan update basis data virus otomatis ke semua client yang terhubung.

Memastikan tidak ada virus pada data dari media eksternal yang dibaca; misalnya disket, flashdisk, CD, DVD dan lain-lain; dengan cara men-scannya

Jika terhubung dengan internet, selain antivirus, diperlukan pula program firewall dan antispyware untuk lebih menjamin keamanan komputer.

Tidak mendownload aplikasi-aplikasi dari situs yang tidak jelas

Rutin melakukan update patch untuk aplikasi atau service pack untuk sistem operasi guna mencegah serangan virus yang memanfaatkan kelemahan aplikasi atau sistem operasi terkait.

Perbaikan (kuratif) atas serangan yang sudah terjadi : Tentukan sumber virus (jaringan, flashdisk, atau yang

lain), kemudian lokalisir atau isolasi agar penyebarannya terhenti.

Identifikasi virus yang menyerang berdasar symptom atau gejala yang kelihatan, seperti jenis file yang diserang, kerusakan yang timbul, pesan yang muncul dan lain-lain. Identifikasi dapat dibantu dengan referensi yang memadai, misal majalah, internet atau sumber lain.

Mencoba menghilangkan virus tanpa merusak file yang diserang, dengan memakai antivirus yang ada. Jika tidak berhasil, karantinakan (tidak boleh diakses) file yang diserang, update basis data virus dengan yang terbaru, lakukan lagi scan. Jika tidak berhasil juga, hapus file tersebut. Atau karantinakan hingga diperoleh update basis data virus terbaru yang mampu menghapus virus tersebut. Alternatif lain adalah dengan mencoba antivirus yang lain, menghapus dengan program removal, atau secara manual berdasar referensi yang terpercaya. Tentunya semua ini dilakukan jika serangannya tidak fatal dan

Network Security 57


terlokalisir. Langkah terakhir yang dapat dilakukan, apalagi jika

kerusakannya sangat parah, adalah dengan memformat ulang komputer. Boleh dicoba memakai sistem operasi lain yang lebih handal.

Berdasarkan statistik yang dibuat oleh Andreas Clementi, www.av-comparative.org, perbandingan kinerja beberapa antivirus dapat dilihat sebagai berikut :

58 Network Security


Terkait serangan virus terhadap jenis sistem operasi, menurut id.wikipedia.org/wiki/Virus_komputer, hasilnya adalah :

hampir 95% menyerang sistem operasi MS Windows, 2% menyerang Linux/GNU dengan versi kernel di bawah

1.4 (dan Unix, sebagai source dari Linux), 2% menyerang FreeBSD, OS/2 dan Sun operating system, 1% menyerang Mac terutama Mac OS 9, Mac OS X (Tiger,

Leopard).

5.3 FirewallFirewall merupakan teknik pengamanan dengan melakukan filter atas data yang lewat berdasar aturan tertentu. Firewall juga didefinisikan sebagai sebagai sebuah titik di antara dua atau lebih jaringan dengan semua lalu lintas (trafik) data harus melaluinya; trafik dapat dikendalikan oleh dan diautentifikasi melalui suatu perangkat, dan seluruh trafik selalu dalam kondisi tercatat (logged). Jadi, “firewall adalah penghalang (barrier) antara „kita‟ dan „mereka‟ dengan nilai yang diatur (arbitrary) pada „mereka‟” (Chesswick, W & Bellovin, S., 1994).

Network Security 59


Gambar 5.1 Zona Resiko Tanpa dan Dengan Firewall

Ada 4 jenis firewal, antara lain adalah : Packet filtering : firewall yang melakukan filtering

paket data berdasarkan alamat dan pilihan-pilihan yang sudah ditentukan terkait paket data tersebut. Bekerja pada level IP paket data dan keputusan diteruskan tidaknya berdasarkan kondisi paket tersebut.

Gambar 5.2 Packet Filtering Firewall

60 Network Security


Circuit level gateway : firewall yang beroperasi pada layer (lapisan) transport dan network, dengan authorisasi koneksi berdasarkan alamat. Seperti halnya packet filtering, circuit gateway biasanya tidak dapat memonitor trafik data yang mengalir antara satu network dengan network lainnya, namun mampu mencegah koneksi

langsung antar network.Gambar 5.3 Circuit Level Gateway Firewall

Application level gateway (Proxy) : firewall yang beroperasi pada level aplikasi dan dapat mempelajari informasi pada level data aplikasi (maksudnya adalah isi paket data, karena proxy pada dasarnya tidak beroperasi pada paket data). Filterisasi dilakukan berdasarkan data aplikasi, misal perintah FTP atau URL yang diakses lewat HTTP.

Network Security 61


d. a,b,c benare. a,b benar,c salah

6.Kriptografi dan Enkripsi

Overview Kriptografi dapat dimaknai sebagai kajian untuk melindungi data dengan menggunakan sejumlah teknik penyembunyian rahasia data berupa kunci rahasia untuk digunakan dalam proses enchipering data. Dengan maksud bahwa hanya orang yang ber-hak-lah yang dapat membaca data yang dilindungi tersebut, dengan melakukan proses deciphering data terhadap data yang dikirimkan. Dalam kriptografi dikenal proses enkripsi (enchipering data) dan dekripsi (dechipering data), yang analogi dengan proses modulasi dan demodulasi pada proses transmisi sinyal informasi pada sistem telekomunikasi. Namun enkripsi dan dekripsi lebih dikhususkan untuk melindungi data yang dikirimkan sebelum ditransmisikan oleh transceiver.

62 Network Security


Tujuan

1. Mahasiswa memahami yang dimaksud kriptografi2. Mahasiswa memahami proses enkripsi dan dekripsi3. Mahasiswa dapat menggunakan algoritma

penyembunyian data yang sederhana4. Mahasiswa mengetahui beberapa contoh teknik

kriptografi

6.1 Pengantar KriptografiIlmu yang ditujukan untuk mempelajari dan melakukan eksplorasi seputar keamanan pengiriman sebuah pesan (message).Sedangkan praktisi yang menggunakannya sering disebut dengan kriptografer (cryptographer).

Gambar 6.1 Skema Sistem Kriptografi

Misalkan pada dimodelkan pada sebuah fungsi matematika:Plaintext : xAlgoritma : tambahkan x dengan bilangan 13Key : f(x)Ciphertext : (x+13)

Network Security 63


Gambar 6.2 Contoh Simulasi Perubahan

Kriptografi berasal dari kata cryptography yang diadopsi dari bahasa Yunani untuk merujuk kepada “secret-writing”. Jadi bisa disimpulkan kriptografi adalah ilmu yang mempelajari teknik-teknik, biasanya berdasar pada matematika, yang berhubungan dengan aspek keamanan informasi seperti kerahasiaan, integritas data, serta otentikasi.

Umumnya digunakan terutama dalam bidang pertahanan dan keamanan.Juga banyak diaplikasikan untuk segala aktivitas yang berhubungan dengan Teknologi Informasi, dengan dasar pengembangannya menggunakan model matematika.

Elemen-elemen Sistem Kriptografi adalah: Plaintext: yakni pesan sumber yang sediakalanya pertama

sekali dibuat oleh user; dapat dibaca oleh orang umumnya.

Ciphertext: ini adalah bentuk setelah pesan dalam plaintext telah diubah bentuknya menjadi lebih aman dan tidak dapat dibaca. Proses mengubah plaintext menjadi ciphertext disebut encryption (enciphering), dan proses membalikkannya kembali disebut decryption (deciphering).

Cryptographic algorithm: yaitu mekanisme/tahapan yang digunakan berdasar operasi matematika untuk mengubah plaintext menjadi ciphertext.

64 Network Security


Gambar 6.3 Skema Proses Enkripsi dan Dekripsi

Key: yakni kunci yang digunakan berdasar pada cryptographic algorithm untuk melakukan proses enkripsi dan dekripsi kepada pesan yang dikirimkan. Ini mengartikan bahwa hanya user yang memiliki key saja yang dapat men-decrypt sebuah pesan dalam bentuk ciphertext.Pada sistem kriptografi yang handal bisa melewatkan sebuah pesan dalam bentuk ciphertext pada sebuah kanal yang belum tentu aman.Ada tiga aspek untuk melindungi sebuah pesan yang ingin dikirimkan, yaitu dengan memberi lapisan keamanan pada sisi: pengirim, penerima, dan kanal yang digunakan untuk media pengiriman.

Kesimpulannya, sistem kriprografi (cryptosystem) adalah interaksi diantara elemen-elemen sistem yang terdiri dari: algoritma kriptografi, plaintext, ciphertext, dan kunci untuk menghasilkan bentuk baru dari perubahan bentuk sebelumnya.Orang yang berusaha untuk melakukan penyadapan atau pembongkaran disebut dengan penyadap (eavesdropper) atau intruder.

Bidang-bidang yang biasanya mengaplikasikan kriptografi seperti: proses pengiriman data melalui kanal komunikasi (kanal

suara atau kanal data). mekanisme penyimpanan data ke dalam disk-storage.

Network Security 65


Gambar 6.4 Skema Implementasi Kriptografi

Gambar 6.5 Implementasi Kriptografi pada imageTujuan Kriptografi secara umum adalah: Menjaga kerahasiaan (confidentiality) pesan. Keabsahan pengirim (user authentication). Keaslian pesan (message authentication). Anti-penyangkalan (non-repudiation).

Jika disimbolkan:P = plaintextC = chipertextmaka:Fungsi pemetaan P C disebut E (encryption), sehingga dapat dituliskan sebagai berikut:E(P) = C

Fungsi pemetaan C P disebut D (decryption), sehingga dapat dituliskan sebagai berikut:D(C) = P

66 Network Security


Kekuatan sebuah sistem kriptografi terletak pada hal yaitu: semakin banyak usaha yang diperlukan, untuk membongkar sebuah cryptosystems, maka semakin lama waktu yang dibutuhkan; sehingga semakin kuat algoritma kriptografi yang digunakan, artinya semakin aman digunakan untuk menyandikan pesan.

Sebuah algoritma cryptography bersifat restricted, apabila kekuatan kriptografi-nya ditentukan dengan menjaga kerahasiaan algoritma tersebut.

6.2 Cryptanalysis dan cryptologyHubungan antara cryptanalysis dan cryptology dapat dijelaskan sebagai berikut:Cryptanalysis adalah cara yang digunakan untuk memecahkan chipertext menjadi plaintext tanpa mengetahui kunci (key) yang sebenarnya. User yang melakukannya disebut cryptanalyst.Cryptology adalah studi yang dilakukan untuk mempelajari segala bentuk tentang cryptography dan cryptanalysis.

Network Security 67


Kesimpulan yang dapat diambil adalah sebagai berikut:Persamaan cryptography dan cryptanalysis yaitu: mengeksplorasi bagaimana proses menerjemahkan ciphertext menjadi plaintext.Sedangkan perbedaan cryptography dan cryptanalysis yaitu: Cryptography bekerja secara legal berdasar proses

legitimasi sebagaimana mestinya (yakni pengirim atau penerima pesan).

Cryptanalysis bekerja secara ilegal karena dilakukan dengan cara menyadap untuk memungkin yang tidak berhak mengakses informasi.

6.3 Enkripsi dan DekripsiFakta sejarah penggunaan kriptografi:Tentara Yunani pada perang di Sparta (400SM) menggunakan scytale, yakni pita panjang dari daun papyrus + sebatang silinder, yang digunakan sebagai alat untuk mengirimkan pesan rahasia perihal strategi perang.

Gambar 6.6 Skema Scytale

Mekanisme pemakaiannya sebagai berikut:Plaintext ditulis secara horisontal (yakni baris per baris). Jika pita dilepas, maka huruf-huruf pada pita telah tersusun membentuk pesan rahasia (ciphertext). Sehingga agar penerima bisa membaca pesan tersebut, maka pita dililitkan kembali menggunakan silinder yang diameternya sama dengan diameter silinder si pengirim.

68 Network Security


6.4 Kriptografi dengan menggunakan Key (K)Saat ini algoritma bersifat restricted tidak lagi banyak digunakan; dengan alasan tidak cocok dalam penggunaan pada karakter open-systems.Pada lingkungan dengan karakter open-systems, kekuatan algoritma cryptograpy-nya terletak pada key yang digunakan, yakni berupa deretan karakter atau bilangan bulat.

Dengan menggunakan key (K), fungsi enkripsi dan dekripsi berubah menjadi:EK(P) = C untuk enkripsiDK(C) = P untuk dekripsi

dan ekivalen menjadi:DK(EK(P)) = P

Gambar 6.7 Skema Proses Enkripsi dan Dekripsi dengan K

6.4.1 Kriptografi Simetris

Pada Key (K) berlaku sebagai berikut:Apabila kunci (K) enkripsi sama dengan kunci dekripsi, maka sistem kriptografi-nya disebut sistem simetris (sistem konvensional); dan algoritma kriptografi-nya disebut dengan algoritma simetri atau algoritma konvensional.Contohnya: Algoritma DES (Data Encyption Standard).

Network Security 69


Pada kriptografi simetris, K yang sama digunakan untuk enkripsi dan dekripsi pesan seperti ditunjukkan pada skema berikut ini:

Gambar 6.8 Kriptografi SimetrisKelebihan algoritma simetris: Kecepatan operasi lebih tinggi bila dibandingkan dengan

algoritma asimetris. Karena kecepatan operasinya yang cukup tinggi, maka

dapat digunakan pada sistem real-time.

Kelemahan algoritma simetris: Untuk tiap pengiriman pesan dengan user yang berbeda

dibutuhkan kunci yang berbeda juga, sehingga akan terjadi kesulitan dalam manajemen kunci tersebut.

Permasalahan dalam pengiriman kunci itu sendiri yang disebut "key distribution problem".

6.4.2 Kritografi NirsimetrisPada Key (K) berlaku sebagai berikut:Apabila kunci (K) enkripsi tidak sama dengan kunci dekripsi, maka sistem kriptografi-nya disebut sistem asimetris atau sistem kunci-publik; dan algoritma kriptografi-nya disebut dengan algoritma nirsimetri atau algoritma kunci-publik.Contohnya: Algoritma RSA (Rivest-Shamir-Adleman)

Pada algoritma asimetris, digunakan 2 kunci, Key (K), dimana berlaku sebagai berikut:Algoritma ini menggunakan dua kunci yakni kunci publik (public-key), umumnya digunakan sebagai kunci enkripsi; dan kunci privat (private-key) yang umumnya digunakan sebagai kunci dekripsi. Kunci publik disebarkan secara umum sedangkan kunci privat disimpan secara rahasia oleh

70 Network Security


user.Walaupun kunci publik telah diketahui namun akan sangat sukar mengetahui kunci privat yang digunakan

Pada kriptografi asimetris, K1 digunakan untuk enkripsi plaintext dan K2 digunakan untuk dekripsi ciphertext seperti ditunjukkan sebagai berikut:

Kelebihan algoritma asimetris: Masalah keamanan pada distribusi kunci dapat lebih baik. Masalah manajemen kunci yang lebih baik karena jumlah

kunci yang lebih sedikit.

Kelemahan algoritma asimetris: Kecepatan yang lebih rendah bila dibandingkan dengan

algoritma simetris. Untuk tingkat keamanan sama, kunci yang

digunakan lebih panjang dibandingkan dengan algoritma simetris.

Klasifikasi algoritma kriptografi berdasar panjang data digunakan dalam sekali proses: Algoritma block cipher : Informasi/data yang hendak

dikirim dalam bentuk blok-blok besar (misal 64-bit) dimana blok-blok ini dioperasikan dengan fungsi enkripsi yang sama dan akan menghasilkan informasi rahasia dalam blok-blok yang berukuran sama juga. Contoh: RC4, Seal, A5, Oryx.

Algoritma stream cipher : Informasi/data yang hendak dikirim dioperasikan dalam bentuk blok-blok yang lebih kecil (byte atau bit), biasanya satu karakter per-satuan waktu proses, menggunakan tranformasi enkripsi yang berubah setiap waktu. Contohnya: Blowfish, DES, Gost, Idea, RC5, Safer, Square, Twofish, RC6, Loki97.

Sebuah algoritma kriptografi dikatakan aman (computationally secure) bila memenuhi tiga kriteria berikut:

Network Security 71


Persamaan matematis yang menggambarkan operasi algoritma kriptografi sangat kompleks sehingga algoritma tidak mungkin dipecahkan secara analitik.

Biaya untuk memecahkan ciphertext melampaui nilai informasi yang terkandung di dalam ciphertext tersebut.

Waktu yang diperlukan untuk memecahkan ciphertext melampaui lamanya waktu informasi tersebut harus dijaga kerahasiaannya.

Salah satu contoh teknik public key cryptography (Kriptografi Asimetris ) yang saat ini digunakan untuk transaksi elektronis dunia maya (internet) adalah digital signature. Prinsip utama digital signature adalah terletak labelling unik subscriber pada akhir form transaksi yang disepakati olehnya untuk dikirimkan. Tujuan digital signature ini untuk memastikan identitas seseorang atau labelling untuk copyright sebuah produk (software maupun hardware). Untuk proses enkripsi digunakan kunci privat, sedangkan untuk proses dekripsi-nya menggunakan kunci publik.

Gambar 6.9 Kriptografi Asimetris untuk jenis Digital Signature

72 Network Security


Rangkuman

1. Kriptografi adalah ilmu yang ditujukan untuk mempelajari dan melakukan eksplorasi seputar keamanan pengiriman sebuah pesan (message).

2. Tujuan kriptografi adalah untuk melindungi data (message) yang akan dikirimkan dari pihak-pihak yang tidak memiliki otoritas untuk membaca atau membukanya. Contohnya: proses enkripsi dan dekripsi dan digital signature.

3. Elemen-elemen sistem kriptografi terdiri dari plaintext, ciphertext, cryptographic algorithm, key.

4. Plaintext: yakni pesan sumber yang sediakalanya pertama sekali dibuat oleh user; dapat dibaca oleh orang umumnya.

5. Ciphertext: ini adalah bentuk setelah pesan dalam plaintext telah diubah bentuknya menjadi lebih aman dan tidak dapat dibaca. Proses mengubah plaintext menjadi ciphertext disebut encryption (enciphering), dan proses membalikkannya kembali disebut decryption (deciphering).

6. Cryptographic algorithm: yaitu mekanisme/tahapan yang digunakan berdasar operasi matematika untuk mengubah plaintext menjadi ciphertext.

7. Key: yakni kunci yang digunakan berdasar pada cryptographic algorithm untuk melakukan proses enkripsi dan dekripsi kepada pesan yang dikirimkan. Ini mengartikan bahwa hanya user yang memiliki key saja yang dapat men-decrypt sebuah pesan dalam bentuk ciphertext.

8. Proses enkripsi disebut juga enciphering, yaitu mengubah plaintext menjadi chipertext.

9. Proses dekripsi disebut juga deciphering, yaitu mengubah ciphertext menjadi plaintext.

Network Security 73


10. Algoritma kriptografi simetris adalah algoritma yang menggunakan kunci (K) enkripsi sama dengan kunci dekripsi. Contoh: Algoritma DES (Data Encyption Standard).

11. Algoritma kriptografi nirsimteris adalah algoritma yang kunci (K) enkripsi-nya tidak sama dengan kunci dekripsi. Contoh: Algoritma RSA (Rivest-Shamir-Adleman).

Latihan


1. Praktisi yang menggunakan cryptography disebut dengan _____________

A. cryptanalist D. cryptogralyst

B. kriptograferE. kriptografis

C. kriptofera

2.Elemen-elemen sistem kriptografi berikut ini kecuali_______

A.Cryptographic algorithm D. Key

B. enciphering E. PlaintextC. Ciphertext

3. Agar pesan yang dikirimkan aman, entitas-entitas berikut ini harus dilapisi keamanan, kecuali___________

A. recipient D. serverB. person E. messageC. channel

4. Persamaan cryptography dan cryptanalysis:_________A. Melindungi pesan D. Membongkar pesan

74 Network Security


B.Menyembunyikan pesan E. Mengacak pesan

C. Mengirimkan pesan

5. Mengubah ciphertext menjadi plaintext disebut dengan:_____

A. encryption D. crypto processB. dechipering process E. hackingC. data labelling

Network Security 75


Soal Essay

1. Jelaskan perbedaan utama antara cryptography dengan steganography!

2. Ulas dengan lengkap perihal Enigma-E pada alamat berikut:

a. http://www.xat.nl/enigma-e/desc/index.htm!3. Buatlah sebuah program dalam bahasa pemrograman

C++ untuk membuat kunci enkripsi dengan algoritma ROT-13 sebagai berikut:

a. Jika plaintext adalah setiap karakter pada alphabetikal, maka ciphertext yang dihasilkan adalah karakter ke-13 dari plaintext tersebut!

4. Sebuah pesan dikirimkan oleh komandan perang ke markas besar. Pesan di-enkripsi dengan sebuah password dengan kunci dalam bentuk string: selalu ia angkat piring!

a. Carilah isi password jika algoritma enkripsinya sebagai berikut:

b. Jika x adalah panjang string maks. 4 katac. Ambil huruf pertama dari setiap katad. Keempat huruf di-concatenate-kane. Hasil concatenate jadikan sebagai kata sandif. Selesai.

5. Carilah plaintext dari sebuah ciphertext berikut ini:a. 3a3bc333de3fghi33jb. 3k3lm3nopq3rstu3v3c. 333wx333yz3abcd3e3d. 3f3g3hijkl3mnop33qe. 3r3st333uv333wx3yz

76 Network Security


7. PERANGKAT KERAS & LUNAK

KEAMANAN JARINGAN

Overview

Pada saat ini dalam suatu jaringan komputer semakin rumit permasalahan yang timbul dalam hal keamanan, oleh karena itu perlu pemantauan jaringan yang sifatnya rutin dan terus menerus . Perangkat bantu baik perangkat lunak atau keras. Digunakan di sini. Pada bab ini akan ditelaah mekanisme perangkat tersebut mendukung keamanan jaringan.

Tujuan

Network Security 77


1. Mahasiswa mengidentifikasi gangguan keamanan dan akibatnya

2. Mahasiswa mengenali perangkat keras dan lunak yang digunakan dalam pengamanan jaringan

3. Mahasiswa dapat menentukan metode dalam pengamanan terhadap gangguan dan menggunakan perangkat yang sesuai.

7.I Sistem keamananSuatu aktivitas jaringan komputer dan telekomunikasi akan terpengaruh dengan adanya suatu kegiatan yang berdampak pada sistem keamanan secara umum. Beberapa kegiatan yang sering dilakukan pada jaringan antara lain :

SniffingSniffer adalah suatu perangkat , berupa perangkat lunak maupun perangkat keras yang digunakan untuk memperoleh informasi pada suatu jaringan komputer. Sniffer dapat membuat NIC (Network Interface Card), dan bekerja dengan mode promiscuous sehingga dapat menangkap semua traffic dalam jaringan. Mode promiscuous adalah mode di mana semua workstation pada jaringan komputer memantau trafik lain. Keberadaan sniffer di dalam jaringan sulit dideteksi karena sniffer tidak meninggalkan jejak pada siste

Probing: Adalah kegiatan mengakses ke dalam suatu sistem oleh pihak yang tidak mempunyai otorisasi , dengan maksud untuk menemukan informasi tentang sistem tersebut.

ScanningScanning adalah kegiatan menggunakan tool secara otomatis dapat mengetahui port-port yang terbuka pada host lokal maupun host remote, IP address yang aktif dllI.

Kegiatan tersebut awalnya ditujukan untuk memperbaiki kinerja jaringan tetapi disalahgunakan sehingga timbul mekanisme gangguan sbb:

Denial Of Service (Dos)

78 Network Security


Adalah gangguan yang timbul antara lain karena :

jaringan dalam hal ini server dibanjiri trafiknya sehingga kinerjanya lambat atau bahkan mati.

Ada virus yang melakukan duplikasi dan menyebar Adanya kerusakan perangkat pelindung,contoh firewall.

Malicious Codeadalah suatu program yang menyebabkan sesuatu kerusakan atau kehilangan data.Trojan horse, virus, dan worm dapat dikatagorikan sebagai malicious code yang umumnya disertakan dalam suatu file atau program. Gangguan keamanan di atas sebenarnya adalah suatu efek samping dari penggunaan perangkat (tool), yang mulanya ditujukan untuk menilai kinerja dari trafik jaringan.

Berikut terdapat diagram dimana terlihat bahwa untuk tiap tahapan perkembangan perangkat keamanan pada suatu era disertai dengan serangan keamanan terhadap jaringan, ibarat pisau satu sisi bermanfaat di sisi lain berbahaya.

Network Security 79


Gambar 7.1 Perkembangan perangkat & timbulnya gangguan keamanan

7.2 Perangkat Keras

Pada suatu jaringan komputer selain perangkat komputer terdapat Perangkat :

Hub & Switch : berfungsi sebagai titik akses yang terhubung satu sama lain dengan topologi tertentu

– Threat: Information Leakage. Orang dapat melakukan penyadapan

Firewall

80 Network Security


Gambar 7.2 DFL-210 Network Security Firewall

Jaringan komputer dengan firewall sangat ketat mengendalikan akses antar sistem Pada dasarnya firewall firewall bukan router, karena tidak meneruskan (forwarding) paket IP. Firewall mencegah paket IP diteruskan melalui layer IP

Router yang mempunyai fasilitas keamanan seperti firewall, disebut ‘secure router’ atau ‘secure gateway’. Firewall digunakan untuk memisahkan jaringan, sebaiknya tidak digunakan untuk memisahkan seluruh jaringan internal dari jaringan luar. Dipakai firewall internal untuk memisahkan beberapa bagian dari jaringan internal yang sensitif terhadap jaringan nonsensitif dan jaringan luar. Sedangkan firewall external memisahkan antara jaringan non sensitif dengan jaringan luar

Penggunaan firewall membuat tidak semua paket jaringan luar dapat masuk langsung Semua hubungan harus dilakukan melalui mesin firewall.Oleh sebab itu sistem keamanan di mesin firewall harus sangat ketat. Mekanismenya tidak semua mesin sisem keamananya ketat tetapi hanya satu saja.

Network Security 81


Router Routers melakukan pengiriman indirect IP datagram Bekerja dengan menggunakan tabel ruting. Ada tiga kemungkinan tindakan terhadap datagram

IP :o Dikirimkan langsung ke ke destination host.o Dikirimkan ke router berikutnya o Dikirimkan ke default router.

Routers bekerja pada Layer 3.

Gambar 7.3 router

7.3. Perangkat Lunak

a. Analisis Keamanan Jaringan InternetPenggunaan perangkat lunak untuk mengamati kinerja jaringan internet .Adapun perangkat yang dapat digunakan adalah tool seperti Hping, Nessus, dan SNORT

Snort Bekerja pada berbagai sistem operasi Snort adalah software free dan merupakan open

source network security tool merupakan packet sniffer untuk intrusion detection

82 Network Security


bekerja secara real time

HpingHping adalah sebuah TCP/IP assembler yang dapat melakukan:• Port scanning• Network testing, • Mengetes firewall• TracerouteDll

Program hping merupakan software free dapat didownload pada situs www.hping.org

Fungsi-fungsi Hping Hping statistic

Dapat mengetahui jumlah data yang ditransmisikan dan yang diterima Mengetahui round time trip.

Inverse MappingInverse mapping dilakukan untuk mengetahui host yang aktif atau tidak. Mekanismenya adalah dengan mengirimkan paket TCP. Jika mendapat respon “ICMP host unreachable” maka dapat disimpulkan bahwa IP address tujuan tidak aktif, jika tidak ada respon berarti host tersebut aktif.

Dengan menscan port host tujuan, dapat diketahui port yang terbuka. Mekanismenya dengan mengirim paket TCP dengan flag SYN on ke target host yang ingin discan portnya. Jika port target membalas dengan flag SA maka port tersebut terbuka sedangkan jika port target membalas dengan flag RA maka port tersebut tertutup.

Iddle ScanningIdle Scanning merupakan cara dalam scanning port dimana host tujuan tidak akan mengetahui alamat IP kita yang sebenarnya.

Network Security 83

http://www.hping.org/


NessusNessus adalah program yang berfungsi memonitor , kemudian menganalisa kelemahan dari jaringan.

Berikut ini adalah penjelasan tentang karakteristik Nessus:• NASL (Nessus Attack Scripting Language)NASL merupakan cara penulisan program dengan bahasa yang mudah dan cepat.

• Plug-in architectureMekanismenya mudah jika ingin menambah parameter tes yang kita inginkan • Dapat memeriksa banyak host secara bersamaan

b.Antivirus

Merupakan perangkat lunak yang merupakan program utility,Dimana mampu mencegah atau memindahkan virusContoh : Norton Utility, Kaspersky dll

7.4 EnkripsiSalah satu limitasi akses adalah dengan enkripsi. Proses enkripsi merubah format data dalam bentuk yang hanya dapat dibaca oleh sistem yang mempunyai kunci untuk membaca data. Prosesnya enkripsi dapat dengan menggunakan software atau hardware. kuncinya).

84 Network Security


Gambar 7.3 Tools Enkripsi

Network Security 85


Rangkuman

Berdasarkan uraian di atas dapat diambil kesimpulansebagai berikut :1.Jaringan komputer internet selalu berpotensi terganggu aspek keamanannya karena seluruh dunia dapat mengakses

2.Untuk meningkatkan keamanan jaringan internet dapat menggunakan beberapa metode, contohnya metode authentikasi, penggunaan metode enkripsi-dekripsi, dan menggunakan perangkat keras Firewall serta perangkat lunak

3.Kelemahan suatu sistem jaringan dapat dilihat dengan menggunakan tools

4.Selain teknologi yang berguna untuk menjaga keamanan jaringan internet, faktor orang, dalam hal ini pengguna jaringan internet, harus juga mempunyai etika berinternet yang baik.

5.Jaringan komputer internet juga didukung perangkat keras yang juga memiliki kelemahan dari segi keamanan

86 Network Security


Network Security 87


Latihan


1. Untuk memisahkan beberapa bagian dari jaringan internal yang sensitif terhadap jaringan nonsensitif dan jaringan luarDigunakan__________

A. Firewall internalB. Firewall eksternalC. Router internalD. Router eksternalE. Gateway internal

2. Hping statistic dapat mengetahui______A. jumlah data yang ditransmisikan dan yang diterima B. Jenis virus yang adaC. Kapasitas jaringanD. Paket yang terinfeksi virusE. Kehandalan router

3.Plug-in architecture adalah karakteristik dari tool Nessus yang berarti______

A. Arsitektur jaringan tertutup yang dipakai B. Arsitektur yang mudah jika ingin menambah

parameter tes yang kita inginkan C. Arsitektur dengan memperhatikan jumlah

router D.Arsitektur memperhatikan pemasangan firewall E. Arsitektur yang asal pasang perangkat

88 Network Security


4. Perangkat (Tool) yang merupakan packet sniffer untuk intrusion detection dan bekerja secara real time__________

A. NortonB. SnortC. NessusD. HpingE. Antivirus

5. Proses merubah format data dalam bentuk yang hanya

dapat dibaca oleh sistem yang mempunyai kunci untuk

membaca data disebut:A. Denial of serviceB. Key exchangeC. ReformatingD. EnkripsiE. Deshape 3.

Soal Essay

1. Jelaskan perbedaan yang signifikan antara Nessus,Hping,Snort!

2. Bagaimana jika perangkat lunak dijalankan waktu yang sama?

3. Jelaskan parameter yang dimonitor oleh SNORT?4. Lihat di web source free dari Nessus!

5. Kelas virtual coba instalasi Nessus , apa yang terjadi?

Network Security 89


8.Database Security

Overview

Tindakan back-up adalah salah satu aspek penting dari operasi sistem komputer. Mendapatkan data yang valid, complete, up-to-date, adalah hal utama yang diinginkan selalu, saat sebuah basis data sedang diakses. Namun kesalahan seperti bugs, kecelakaan, malapetaka akibat human-error, dan serangan ke basis data adalah sesuatu hal yang kadangkala sulit untuk diprediksi namun dapat dicegah bila dilakukan tindakan preventif sedini mungkin. Dengan melakukan tindakan back-up data secara periodik, hal-hal yang sewajarnya bisa dihindari dapat direalisasikan sehingga user dapat melakukan perbandingan antara sistem di saat sekarang sedang berjalan dengan hasil back-up data sebelumnya. Dengan demikian akan ada tindakan analisa apakah telah terjadi perubahan data pada sistem ataukah masih berjalan sewajarnya.

90 Network Security


Tujuan

1. Mahasiswa memahami aspek terpenting keamanan basis data dan alasan melindunginya

2. Mahasiswa memahami klasifikasi keamanan basis data3. Mahasiswa memahami apa yang menjadi aspek

kehandalan keamanan basis data4. Mahasiswa memahami yang dimaksud back-up dan

recovery dan manfaatnya untuk keamanan basis data

8.1 Alasan utama aspek keamanan basis data

Mengapa masalah keamanan basis data menjadi penting? Jawaban secara sederhananya, sebagai berikut: basis-data merupakan salah satu komponen yang penting dalam sistem informasi; karena merupakan media utama dalam menyediakan informasi kepada user. Alasan lain, adalah karena menyangkut informasi yang tersimpan dari sebuah sistem atau organisasi pada media simpanan data itu sehingga sangat penting sekali untuk dijaga keamanannya dari penggunaan orang yang tidak memiliki otoritas.Informasi yang disimpan bisa dalam bentuk hard-copy, atau dalam bentuk soft-copy. Dalam bentuk soft-copy disebut data-base (basis data); sedangkan penerapan data-base ke dalam sistem informasi disebut dengan database system.

Kesimpulannya, beberapa hal penting mengapa harus menjadi perhatian khusus dalam keamanan basis-data adalah sebagai berikut: Kemampuan menyediakan informasi dengan cepat dan

akurat, adalah merupakan kebutuhan dalam information-based society.

Sangat pentingnya informasi sehingga hanya boleh diakses oleh orang yang memiliki otorisas (hak akses).

Network Security 91


Adanya trend trade-secret, yaitu jual-beli data, sehingga ada muncul perilaku untuk mencuri informasi, karena ada nilai ekonomis-nya.

8.1.1. Perubahan paradigma personal-computer menjadi shared-computer

Awalnya sebuah komputer disebut PC (Personal Computer), namun seiring dengan perkembangan bidang jaringan komputer, maka sebuah komputer tidak tepat lagi disebut PC, melainkan shared-computer. Shared-computer biasanya digunakan untuk menyimpan data yang bersifat classified-information.

Shared-computer adalah komputer yang saling dikoneksikan satu dengan yang lain, sehingga user bisa saling berbagi informasi (shared-resources), yang membentuk sebuah Local Area Network (LAN). Dengan adanya LAN (computer networks) akan mempercepat user untuk melakukan akses ke basis data.

Basis Data yang berada pada komputer dihubungkan ke jaringan komputer agar proses sharing-information dapat berjalan. Dengan demikian, user dapat mengakses informasi yang diinginkan ke basis data dari mana saja dan kapan saja.

Dengan adanya koneksi ke basis data dari segala arah, menyebabkan beberapa hal baru yang mengkhawatirkan muncul seperti: Membuka potensi lubang keamanan untuk disusupi oleh

penyadap (mata-mata) User dihadapkan kepada pilihan: keamanan (secure) atau

kenyamanan (comfortable). Meningkatnya jumlah host yang digunakan seiring jumlah

user yang memiliki otoritas menyebabkan, lebih banyak server yang harus ditangani; sehingga membutuh lebih banyak SDM yang handal dan tersebar; padahal susah mencari SDM yang diinginkan berdasar kebutuhan, untuk itu dilakukan desentralisasi server.

92 Network Security


8.1.2. Klasifikasi Keamanan Basis DataKlasifikasi Keamanan Basis Data dapat disebutkan sebagai berikut: Keamanan yang bersifat fisik (physical security), yaitu

yang berdasar pada aspek fisik perangkat. Misalkan ruang server, kunci komputer, kartu elektronis.

Keamanan yang berhubungan dengan orang (personel), yaitu user yang diberi labelling untuk privillege akses pengguna.

Keamanan dari data dan media serta teknik komunikasi, yaitu bagaimana agar prosedur penyimpanan lebih aman, begitu juga pada media yang digunakan dan teknik untuk mengamankan data tersebut.

Keamanan dalam operasi, yaitu menyusun mekanisme pengoperasian user agar terkontrol sehingga dapat diantisipasi kesalahan yang terjadi saat penyimpanan dan pengambilan data.

Beberapa aspek untuk mendukung Keamanan Basis Data dapat disebutkan sebagai berikut: Network security, memfokuskan kepada saluran pembawa

informasi serta sistem yang terintegrasi kepadanya (host dan kanal).

Application security, memfokuskan kepada aplikasi itu sendiri (yang digunakan untuk basis data atau yang menjadi antar-muka kepada basis data), beserta aplikasi dukungan lainnya kepada basis data itu sendiri.

Computer security, memfokuskan kepada keamanan dari komputer (end system) yang digunakan, khususnya hardware pada komputer tersebut.

Selanjutnya, aspek kehandalan terhadap Keamanan Basis Data, yaitu: Privacy / confidentiality

Seperti bagaimana memproteksi data bersifat pribadi yang sensitif seperti:nama, tempat tanggal lahir, agama, hobby, penyakit yang pernah diderita, status perkawinan; data pelanggan; dan transaksi pada e-commerce.

Network Security 93


Juga khususnya melakukan proteksi terhadap serangan sniffer.

IntegrityTindakan bagaimana agar informasi tidak berubah tanpa ijin seperti: Tampered (data baru menimpa data lama) Altered (perubahan terhadap nilai data yang eksis,

yakni data ter-edit) Modified (data yang eksis dapat disisipkan, ditambah,

dihapus oleh data baru)Khususnya melakukan proteksi terhadap serangan: spoof, virus, trojan horse.

Authentication (otentikasi)Tindakan otentifikasi dilakukan untuk meyakinkan keaslian data, sumber data yang diakses, user yang mengakses data, serta server yang digunakan, dengan melakukan cara seperti: penggunaan digital signature, dan biometrics.Ini dilakukan untuk memproteksi terhadap serangan seperti password palsu.

AvailabilityArtinya, informasi harus dapat tersedia ketika dibutuhkan, dengan menghindari server dibuat hang, down, crash.Tindakan ini bertujuan untuk proteksi terhadap serangan: denial of service (DoS) attack.

Non-repudiationNon-repudiation maksudnya menghindari akses-user agar tidak dapat menyangkal bahwa telah melakukan transaksi; dengan cara setiap akhir transaksi pada form dilengkapi dengan penggunaan digital signature.Hal ini dilakukan untuk proteksi terhadap serangan: deception.

Access controlDengan adanya access control, maka ada sebuah mekanisme yang digunakan untuk mengatur user dan

94 Network Security


akses yang dilakukan oleh user (siapa boleh melakukan apa).Beberapa caranya seperti:

Dengan menggunakan password. Membuat kelas / klasifikasi privillege- user.

Ini bertujuan untuk melakukan proteksi terhadap serangan: intruder.

Batasan privillege-user untuk Access Control pada basis data ditunjukkan pada skema berikut ini:

Gambar 8.1 Pembatasan akses pada basis data

8.2 Klasifikasi file (arsip)

Master File (File Induk): dalam sebuah aplikasi, file ini merupakan file yang penting karena berisi record-record yang sangat perlu di dalam organisasi.Transaction File (File Transaksi): digunakan untuk merekam data hasil dari transaksi yang terjadi.

Network Security 95


Report File (File Laporan): berisi informasi-informasi yang akan ditampilkan.History File (File Sejarah): berisi data masa lalu yang sudah tidak aktif lagi, namun masih tetap disimpan sebagai arsip.Backup File (File Pelapis): salinan dari file-file yang masih aktif di dalam basis data pada suatu saat tertentu

Hirarki organisasi data dapat ditunjukkan sebagai berikut:

Gambar 8.2 Jenjang level data pada Basis Data

Penjelasannya sebagai berikut: Bit merupakan unit data yang terkecil dan terdiri dari

biner 1 atau 0. Byte yaitu suatu kelompok yang terdiri dari beberapa bit

yang menggambarkan satu angka, karakter atau simbol lainnya.

Field yaitu kelompok karakter, angka atau simbol-simbol menjadi suatu kata, kelompok huruf atau kelompok angka.

Record yakni kelompok dari suatu field. Arsip (file) adalah kelompok dari record yang mempunyai

tipe yang sama. Database yaitu kelompok dari arsip-arsip yang

berhubungan.

96 Network Security


8.3 Serangan (attack) terhadap basis dataJenis-jenis serangan (attack): Interruption, yaitu penghentian sebuah proses yang sedang berjalan. Interception yaitu menyela sebuah proses yang sedang berjalan. Modification yaitu mengubah data tanpa ijin dari pihak otoritas. Fabrication yaitu serangan yang bersifat destruktif berupa perusakan secara mendasar pada sistem utama.

Gambar 8.3 Skema Akses dan Prosedur pada Basis Data yang terkoneksi on-line

Perlunya keamanan menyeluruh pada Basis Data disebabkan keamanan merupakan suatu proteksi terhadap pengrusakan data dan pemakaian data oleh user yang tidak memiliki otoritas.

Oleh sebab itu untuk menjaga keamanan Basis Data dibutuhkan beberapa cara seperti:

Network Security 97


Penentuan perangkat lunak Basis Data Server yang handal.

Pemberian otoritas kepada user mana saja yang berhak mengakses, serta memanipulasi data-data yang ada.

Gambar 8.4 Skema Lapisan pada Basis Data yang dinterkoneksikan dengan aplikasi

Beberapa penyalahgunaan basis data: Tidak disengaja, misalnya sebagai berikut:

kerusakan selama proses transaksi keadaan yang disebabkan oleh akses database yang

konkuren keadaan yang disebabkan oleh pendistribuasian data

pada beberapa komputer logika error yang mengancam kemampuan transaksi

untuk mempertahankan konsistensi database. Disengaja oleh pihak yang tidak ada otoritas, seperti

misalnya: Pengambilan data / pembacaan data Pengubahan data Penghapusan data

98 Network Security


Tingkatan entitas pada Keamanan Basis Data, dapat disebutkan sebagai berikut: Physical, yaitu lokasi-lokasi dimana terdapat sistem

komputer haruslah aman secara fisik terhadap serangan destroyer.

User, yaitu wewenang user harus dilakukan dengan berhati-hati untuk mengurangi kemungkinan adanya manipulasi oleh user lain yang otoritas.

Sistem Operasi, yaitu kelemahan entitas ini memungkinkan pengaksesan data oleh user tak berwenang, karena hampir seluruh jaringan sistem basis-data berjalan secara on-line.

Sistem Basisdata, yaitu pengaturan hak pengguna yang baik.

Gambar 8.5 Skema Utama Mekanisme Keamanan Basis Data on-line

Alasan mengapa dibutuhkan otoritas pada keamanan basis data, yaitu: Pemberian wewenang atau hak istimewa (priviledge)

untuk mengakses sistem basis data.

Network Security 99


Kendali otorisasi dapat dibangun pada perangkat lunak dengan 2 fungsi, yaitu: Mengendalikan sistem atau obyek yang dapat diakses Mengendalikan bagaimana user menggunakannya

Sistem administrasi yang bertanggungjawab untuk memberikan hak akses dengan membuat user account.

Sedangkan yang dimaksud dengan Tabel View pada keamanan basis data adalah metode pembatasan bagi user untuk mendapatkan model basis-data yang sesuai dengan kebutuhan pengguna.Metode ini dapat menyembunyikan data yang tidak digunakan atau tidak perlu dilihat oleh user.

100 Network Security


Untuk pengamanan pada Basis Data Relasional dilakukan beberapa level seperti: Relation, yaitu user diperbolehkan atau tidak

diperbolehkan mengakses langsung suatu relasi. View, yaitu user diperbolehkan atau tidak diperbolehkan

mengakses data yang tertampil pada view. Read Authorization, yaitu user diperbolehkan membaca

data, tetapi tidak dapat memodifikasi. Insert Authorization, yaitu user diperbolehkan menambah

data baru, tetapi tidak dapat memodifikasi data yang sudah ada.

Update Authorization, yaitu user diperbolehkan memodifikasi data, tetapi tidak dapat menghapus data.

Delete Authorization, yaitu user diperbolehkan menghapus data.

Beberapa otorisasi tambahan untuk Modifikasi Data (Update Authorization), seperti: Index Authorization adalah user diperbolehkan membuat

dan menghapus index data. Resource Authorization adalah user diperbolehkan

membuat relasi-relasi baru. Alteration Authorization adalah user diperbolehkan

menambah/menghapus atribut suatu relasi. Drop Authorization adalah user diperbolehkan menghapus

relasi yang sudah ada.

Contoh perintah menggunakan SQL:GRANT : memberikan wewenang kepada pemakaiSyntax : GRANT <priviledge list> ON <nama relasi/view> TO <pemakai>Contoh :GRANT SELECT ON S TO BUDIGRANT SELECT,UPDATE (STATUS,KOTA) ON S TO ALI,BUDI

Network Security 101


REVOKE : mencabut wewenang yang dimiliki oleh pemakaiSyntax : REVOKE <priviledge list> ON <nama relasi/view> FROM <pemakai>Contoh :REVOKE SELECT ON S FROM BUDIREVOKE SELECT,UPDATE (STATUS,KOTA) ON S FROM ALI,BUDI

Priviledge list : READ, INSERT, DROP, DELETE, INDEX, ALTERATION, RESOURCE

8.4 Back-up data dan recoveryTindakan back-up adalah proses secara periodik untuk mebuat duplikat dari basis-data dan melakukan logging-file (atau program) ke media penyimpanan eksternal.

Sedangkan tindakan recovery (pemulihan) adalah merupakan upaya uantuk mengembalikan basis data ke keadaaan yang dianggap benar setelah terjadinya suatu kegagalan.

Ada tiga jenis tindakan pemulihan, yaitu: Pemulihan terhadap kegagalan transaksi : yaitu kesatuan

prosedur alam program yang dapat mengubah / memperbarui data pada sejumlah tabel.

Pemulihan terhadap kegagalan media : yaitu pemulihan karena kegagalan media dengan cara mengambil atau memuat kembali salinan basis data (back-up)

Pemulihan terhadap kegagalan sistem : yakni karena gangguan sistem, hang, listrik terputus alirannya.

Fasilitas pemulihan pada DBMS (Database Management Systems): Mekanisme back-up secara periodik Fasilitas logging (log-book) dengan membuat track pada

tempatnya saat transaksi berlangsung dan pada saat database berubah.

Fasilitas checkpoint, melakukan update database yang terbaru.



Manager pemulihan, memperbolehkan sistem untuk menyimpan ulang database menjadi lebih konsisten setelah terjadinya kesalahan.

Rangkuman

1. Kemampuan menyediakan informasi dengan cepat dan akurat, merupakan kebutuhan dalam information-based society.

2. Klasifikasi Keamanan Basis Data:a. Keamanan yang bersifat fisik (physical

security).b. Keamanan yang berhubungan dengan orang

(personel).c. Keamanan dari data dan media serta teknik

komunikasi.d. Keamanan dalam operasi.

3. Back-up adalah proses secara periodik untuk mebuat duplikat dari basis-data dan melakukan logging-file (atau program) ke media penyimpanan eksternal.

4. Recovery merupakan upaya untuk mengembalikan basis data ke keadaaan yang dianggap benar setelah terjadinya suatu kegagalan

Latihan


1. Upaya untuk mengembalikan basis data ke keadaaan



yang dianggap benar setelah terjadinya suatu kegagalan, disebut _____________

A. back-up D. recoveryB. filtering E. encipheringC. polling

2. User diperbolehkan membuat relasi-relasi baru disebut______

A. Index AuthorizationD. Drop Authorization

B. Alteration Authorization E. Resource AuthorizationC. Authorization

3. User diperbolehkan menambah data baru, tetapi tidak dapat memodifikasi data yang sudah ada, disebut____

A. Delete AuthorizationD. Update Authorization

B. Insert Authorization E. Resource AuthorizationC. Index Authorization

4. Metode pembatasan bagi user untuk mendapatkan model basis data yang sesuai dengan kebutuhan pengguna, disebut____

A. Table-statementD. SQL-method

B. Table-view E. Authorization-technicC. Scanning-method

5. Pemberian wewenang atau hak istimewa untuk mengakses sistem basis data, disebut___

B. Access-controlD. User-account

B. Privillege-access E. Net-administratorB. Log-book



Soal Essay

1. Carilah pada literatur-literatur apa yang dimasud dengan Discretionary Access Control!

2. Jelaskan mekanisme Discretionary Access Control pada Database Security!

3. Jelaskan perbedaan mendasar antara data security dengan data integrity!.

4. Carilah pada literatur-literatur apa yang dimasud dengan Mandatory Access Control!

9. EMAIL SECURITY

Overview



Pada pemakaian internet, setelah browsing, e-mail merupakan aplikasi yang paling sering dipergunakan. Layanan basic e-mail ternyata tidak seaman perkiraan kita Email sebagai salah satu mekanisme pengiriman pesan juga tidak luput dari serangan terhadap aspek keamanannya. Oleh karena itu akan dibahas pada bab ini tentang pengiriman email yang aman.

Tujuan

1. Mahasiswa mengetahui mekanisme pengiriman email yang aman

2. Mahasiswa dapat melakukan langkah pengamanan terhadap gangguan yang mungkin terjadi pada email

9.I Pengertian & Kinerja E-mail

Pengertian EmailSecara teknis email didefinisikan sebagai pesan yang terdiri atas kumpulan string ASCII dalam format RFC 822 (dikembangkan thn 1982).Terdiri atas dua bagian yaitu :- Header : sender, recipient, date, subject, delivery path - Body : isi pesanPersyaratan Email yang aman

Tinjauan aspek keamanan :

konfidensialitas (confidentiality): • menggunakan enkripsi• menggunakan saluran yang aman

integritas (integrity) : • menggunakan hashing atau message digest algorithm• menggunakan digital signature• menggunakan public key encryption• melakukan attachment



otentikasi (authentication) :• Verifikasi pengirim• Verifikasi penerima

Beberapa Protokol yang terlibat dalam pengiriman e-mail antara lain :

1.SMTP (Simple Mail Transfer Protocol): SMTP– Simple Mail Transfer Protocol– Digunakan untuk pengiriman e-mail antar

server

Bekerja berdasarkan RFC 821 menangani pengiriman antarMUA-MTA atau MTA-MTA dimana MUA= Mail User Agent, atau Mail ClientMTA=Mail Transport Agent, atau Mail ServerSMTP dibawa lewat Internet dan tidak diproteksi. Tidak adanya proses otentikasi (authentication) sehingga mudah sekali untuk menyamarkan asal email2.POP ( Post Office Protocol):Digunakan untuk mengambil e-mail dari server

3. IMAP ( Internet Message Access Protocol)Merupakan untuk mengakses e-mail pada remote server. E-mail tetap berada di server, user dapat mengakses e-mail lebih dari satu . Performansi baik dan lebih efisien saat bekerja pada bandwidth kecil

9.2 Kelemahan (vulnerability) & ancaman (threat) email

• Tidak adanya integritas dengan adanya email yang dapat diubah

• Tidak adanya konfidensialitas karena email dikirim lewat jaringan yang tidak aman.

• Tidak ada otentikasi ditandai tidak jelasnya pengirim



Karena adanya celah tidak aman akan timbul ancaman dan serangan email berupa

• Virus, worm pada e-mail tanpa attachment• Kebocoran informasi (information leakage) yang

sensitif• Serangan DOS baik pada server atau client• Pengiriman dan eksekusi malicious code (malcode)• Akses ilegal ke system• SPAM

Keterangan :SPAM:Spam merupakan e-mail yang tidak diharapkan diiterima. Pengiriman spam dalam jumlah sangat banyak akan menjadi bentuk serangan DoS (Denial-of-Service Attack) yang membuat server lambat atau bahkan mati. E-mail address milik korban jadi tidak dapat digunakan. Bila e-mail address milik korban masuk ke dalam daftar hitam, maka korban sulit untuk mengirim e-mail

Mencegah SPAM• Membuat konfigurasi mail server untuk mencegah

terjadi relai email.• Mencegah server digunakan sebagai pihak yang

meneruskan email (forward email ) • Menghilangkan spam dengan spam dll.

Software Anti SPAM• Chebyshev • filter • ASK – Active Spam Killer • Blackmail



Gambar 9.1 Filter Spam

9.3 Langkah keamanan pengiriman email

PGP (Pretty Good Privacy )• PGP adalah algoritma otentikasi untuk source dan

receiver email• PGP Freeware:

OpenPGP (www.openpgp.org ), • PGP merupakan program enkripsi dapat digunakan

untuk mengenkripsi e-mail maupun file• PGP menggunakan public key cryptography • PGP juga menggunakan digital signatures untuk

mengotentikasi identitas pengirim • Contoh:


http://www.openpgp.org/


Multipurpose Internet mail extension/ Secure multipurpose Internet mail extension (MIME) (S/MIME);

S/MIME adalah 110eighbor yang memungkinkan penambahan digital signature atau enkripsi ke MIME

Setting S/MIME : pada sisi email-client.Arahkan ke bagian security, pilih untuk ”Digital

Signing” atau ”Encryption”.

SSH TunnelSSH = Secure Shell

• merupakan program untuk logging ke remote machine• SSH menyediakan komunikasi yang aman antara dua

host yang untrusted , karena sudah dilakukan enkripsi .

• Implementasi SSH : PuTTY



Gambar 9.2 Konfigurasi PuTTY

Secure Socket Layer

• untuk layanan keamanan pada pengiriman informasi melalui Internet berupa jalur komunikasi yang aman pada jaringan yang tidak aman

• SSL membentuk suatu koneksi yang aman antara browser pada client dengan server

– Umumnya berbentuk HTTP melalui SSL (HTTPS)

– Disini terbentuk suatu encrypted tunnel antara browser dengan Web server yang dapat digunakan untuk mengirimkan data



Gambar 9.3 Secure Socket Layer

Rangkuman

1.Email didefinisikan sebagai pesan yang terdiri atas kumpulan string ASCII dalam format RFC 822 (dikembangkan thn 1982),Terdiri atas dua bagian yaitu Header dan body

2.Email relative aman jika beberapa aspek keamanan dipenuhi antara lain konfidensialitas, integritas dan integritas dan otentikasi. Kelemahan akan timbul jika aspek keamanan tidak dipenuhi. Akibatnya rentan terhadap ancaman dan serangan

3. Langkah keamanan (Safeguard) untuk pengiriman email anatara lain PGP (Pretty Good Privacy ), Multipurpose



Internet mail extension/ Secure multipurpose Internet mail extension (MIME) (S/MIME); Secure Socket Layer,dan SSH TUNNEL

Latihan

1. Setting penambahan digital signature atau enkripsi ke MIME dilakukan

A. secara randomB. pada pihak email serverC. secara sekuensialD. pada pihak email clientE. secara hybrid

2. Pada pembuatan konfigurasi PuTTY disetting suatu koneksi dengan

A. IP address suatu Host.B. Ipaddress clientC. IP address D. IP address ad hocE. IP address firewall

3. Layanan keamanan pada pengiriman informasi melalui Internet berupa jalur komunikasi yang aman pada jaringan yang tidak aman disebut :

A. SSX

B. SSH

C. SSL

D. SXL

E. XML4. SSH menyediakan komunikasi yang aman antara dua

host yang untrusted ,karena dilakukan:A. enkripsi B. virus removalC. firewall



D. spam assassinE. injection traffic

5. Mencegah SPAM dengan cara :

A. mengakses e-mail pada remote serverB. mengakses e-mail pada remote serverC. menggunakan hashing atau message digest

algorithmD. membuat konfigurasi mail server untuk

mencegah terjadi relai email E. mengakses e-mail lebih dari satu

Soal Essay

1. Jelaskan cara mengirim email yang benar!2. Apakah spam mengalami enkripsi?3.Mengapa spam dikirimkan?

Kelas virtual :Instalasi dan konfigurasi SSL



10. WWW SECURITY



Overview

Perkembangan internet yang cukup pesat membawa pengaruh besar dalam implementasinya dalam pertukaran data, maupun akses on line dan lain-lain. Kondisi ini menuntut perlakuan keamanan yang baik agar terjadi kelancaran dalam berinternet

Tujuan

1 .Mahasiswa dapat memahami proses apa yang mengganggu

pada internet

2. Mahasiswa dapat menentukan kebijakan apa yang

diambil untuk mengatasi kendala atau gangguan yang



Gambar 10.1 WWW Security

10.1 Aplikasi Internet Insiden keamanan menjadikan para pengguna internet merasa tidak aman untuk itu dicari berbagai metode yang mendukung aspek keamanan. Beberapa metode :

a. mengamankan layer transportb. melakukan enkripsi

Lapisan Infrastruktur IT bisa dimulai dari level fisik (network) sampai ke level aplikasi yang masih bersifat shareable seperti software components atau web service

1.User Management:

User adalah komponen yang significan dari aplikasi,oleh karena itu user menjadi tujuan dari keamanan Web. Setiap aplikasi Web memiliki level yang berbeda dalam resiko ancaman.Oleh karena itu adalah suatu hal yang penting memperhatikan keamanan dari suatu Web,sehingga dapat mengeliminasi resiko yang di alami user.Dengan menggunakan password yang unik diharapkan dapat menghindari ancaman

Ancaman yang terjadi di sini a.l: Brutte Force attack pada Basic Authentication : merupakan ancaman karena penggunaan password yang mudah



diprediksi , pemilihan kode yang dapat dipecahkan dengan mudah



contoh :

Username = Jon

Passwords=smith,MichaelJordan,[petnames],

[birthday],…

Username = Jon,Dan,Ed

Passwords =12345678

Pada contoh di atas dicobakan satu nama, dan banyak passwords,dan banyak nama satu password.Ini merupakan tindakan Brutte force attack

Session HijackingSeseorang dapat membajak user dengan mengetahui cookies. sehingga identitas user dapat diketahui dan melakukan review informasi yang seharusnya diketahui oleh user

2.Authentication dan AuthorizingAuthentication merupakan pembentukan identitas user. Jika identitas terbukti valid maka user memiliki hak untuk mengakses berbagai fitur pada aplikasi Web . Ancaman yang utama terjadi pada proses ini adalah

man in the middle: pada persimpangan lalulintas data penyerang dapat membaca atau memodifikasi data yang transit antara 2 sistem.

3. Data Confidentiality dan Integrity

Data confidentiality mencegah dapat diaksesnya data tanpa izin,sedangkan integritas data menunjukan suatu data otentik atau belum dimodifikasi. Guna memperoleh dua kondisi di atas maka merupakan suatu hal yang penting melakukan enkripsi

Hal yang menjadi ancaman :



• Cryptanalysis :adanya pihak yang mempelajari tentang cryptographic algorithms sehingga dapat memecahkan kode .

• Side-channel leakage : merupakan tindakan menemukan kunci cryptographi dengan mengukur dan menganalisa timing, pemakaian daya dan dissipasi, radiasi electromagnetic, radiasi panas disekitar kanal.

• Physical attack penyerang melakukan gangguan secara fisik ke akses computer untuk mengetahui private key atau melakukan install key logger .

4.Transport Security dan privacy

Cookies merupakan penyimpan informasi yang dibuat oleh suatu Web site yang berisi informasi tentang user

yang mengunjungi situs yang bersangkutan. Cookies

adalah file ASCII yang dikirimkan server ke client, lalu client menyimpannya di sistem lokal

Saat request dikirimkan, server meminta browser untuk memeriksa adanya cookies, dan server dapat meminta browser untuk mengirimkan cookies ke web server . Informasi ini yang sering disalahgunakan penyerang.

Pengamanan Form authenticationProtokol standar web adalah http, yang sifatnya adalah stateless. Ditentukan pembagian area mana yang bisa diakses oleh anonim dan area mana yang hanya bisa diakses oleh user dengan menggunakan otentifikasi. Jika aplikasi berbasis web, dapat digunakan Secure Sockets

Layer (SSL). SSL merupakan langkah security transport,

pola kerjanya memakai asymmetric maupun symmetric key encryption untuk membentuk dan mentransfer data



pada link komunikasi yang aman pada jaringan yang tidak aman

SSL dapat membentuk suatu koneksi yang aman antara browser pada client dengan server .Untuk HTTP over SSL yaitu (HTTPS) dimana dibentuk suatu encrypted tunnel antara browser dengan Web server yang dapat digunakan untuk mengirimkan data

Rangkuman

1. Sistem keamanan pada suatu aplikasi berbeda dengan sistem keamanan pada jaringan . 2. Pada Internet terdapat komponen Web server dan

Web browser.Agar system berjalan baik maka dibuat kebijakan keamanan terhadap ancaman atau gangguan .

3. Langkah antisipasi terhadap ancaman tidak hanya dilakukan pada satu lapisan tetapi pada tiap lapisan (layer). Terutama pada layer aplikasi dimana banyak sekali ancaman terjadi di lapisan ini

4. Untuk suatu parameter keamanan dapat terjadi beberapa ancaman atau gangguan.Untuk itu agar diperoleh resiko terganggunya system, maka tindakan pencegahan contoh : User Management



menggunakan password yang unik untuk menghindari ancaman



Latihan


1. Seseorang dapat membajak user dengan mengetahui cookies Tindakannya disebut :

A. Flying FoxB. Hi JackC. StealD. CheatingE. Masking

2. Penggunaan password yang mudah diprediksi , sangat rentan terhadap ancaman :

A. DOSB. Hi jackC. SnifferD. Brutte force attackE. Information intrusion

3.Encrypted tunnel antara browser dengan Web server yang dapat digunakan untuk mengirimkan data dikenal sebagai :A. TunnelB. SSHC. HttpsD. FtpE. SSX

4. Penyimpan informasi yang dibuat oleh suatu Web site yang berisi informasi tentang user yang mengunjungi situs yang bersangkutan



A. CookiesB. CachingC. TempD. Bookmark

E. Virtual

5 .Tindakan menemukan kunci cryptographi dengan mengukur pemakaian daya dan dissipasi, radiasi elektromagnetik, radiasi panas disekitar kanal. Dikenal sebagai

A. Side-channel leakageB. Electromagnetic shielding

C. Heat transmission leakage

D. Power consume leakage

E. Criptograph Physical

Soal Essay

Latihan Kelas Virtual Practise:There are several free, shareware, and commercial ssh clients for Windows:See http://www.openssh.org/windows.html for a list.How to enable and configure SSH?



11. KERBEROS

Overview

Aliran informasi dalam jaringan yang sangat deras dan beragam membuat keamanan jaringan adalah hal yang sangat penting dan rentan akan gangguan. Kerberos merupakan suatu teknik keamanan dari aspek otentikasi. Kerberos memungkinkan client dan server untuk saling mengotentikasi sebelum melakukan koneksi. Pada



Tujuan

1. Mahasiswa mengenal pola langkah keamanan khusus.

2. Mahasiswa mengetahui mekanisme 11.1 Definisi dan Struktur Kerberos

Kerberos berasal dari Cerberus yaitu nama makhluk berkepala tiga yang menjaga dunia bawah (underworld) dari makhluk hidup yang mencoba untuk memasukinya menurut mitologi Yunani.

Kerberos pada dasarnya diperuntukan menangani masalah otentikasi. Kerberos memungkinkan server dan client saling melakukan otentikasi sebelum membuat suatu koneksi.

Protokol ini dibuat oleh MIT (Massachusetts Institute of Technology ) tahun 1980. Pada prinsipnya pola kerja Kerberos adalah membuat satu server relatif handal ditinjau dari segi keamanan disebut server Kerberos. Server ini akan melakukan otentikasi terhadap password dari client. Dimana pihak client yang sudah dinyatakan valid dapat memperoleh otorisasi untuk akses atau melakukan operasi tertentu. Pada Kerberos username dan password client tidak dikirim melalui jaringan . Tetapi memakai sesssion key yang ditujukan untuk meningkatkan keamanan komunikasi dengan protokol Kerberos.

Struktur Kerberos



Gambar11.1 Struktur Kerberos

11.2 Mekanisme Kerberos

EnkripsiKerberos menyiapkan sarana enkripsi karena informasi dapat mengalami penyadapan (leakage) di jaringan.

Enkripsi Kerberos menggunakan algoritma kunci simetris sebagai contoh DES (Data Encryption Standard) dan AES (Advanced Encryption Standard). dimana algoritma ini bekerja relative cepat karena penggunaan kunci yang sama saat enkripsi dan dekripsi.

Kerberos akan memberikan tiket pada client dan server yang telah dienkripsi, jika server dan client berkomunikasi dengan membandingkan tiket yang diberikan oleh Kerberos, jika sama maka komunikasi dapat dilanjutkan.

OtentikasiUntuk aspek keamanan ini Kerberos memakai metode key exchange (pertukaran kunci)



• Dimana pertukaran kunci ini mengandalkan public key cryptography dan teknologi digital signature • Kerberos menggunakan kunci cryptographic yang disebut "tickets" untuk mengendalikan akses terhadap sumber daya server jaringan• Tickets merupakan encrypted passes atau encrypted files yang dikeluarkan oleh "trusted" server kepada user dan proses untuk menentukan access level

Tahapan proses otentikasi oleh server Kerberos adalah sebagai berikut:

1.mulanya client meminta sebuah ticket pada Kerberos dengan mengirimkan namanya. Kemudian server Kerberos mengenali client ada pada data basenya dan merespon dengan memberikan:

a.Sebuah client ticket yang telah dienkripsi dengan kunci clientb.Sebuah granting ticket yang dienkripsi dengan kunci rahasia Server Kerberos

Gambar 11.2 proses otentikasi & otorisasi



Ticket Granting ServiceJika client terotentikasi pada Kerberos maka client tersebut tidak dapat langsung melakukan hubungan dengan layanan (server) yang ia butuhkan, tetapi harus melakukan permintaan kepada Kerberos lebih dahulu.

Prosesnya:1.Ticket Granting Ticket (TGT) yang diterima pada saat otentikasi digunakan untuk memeriksa kesesuaian antara nama client dan kuncinya,jika sesuai maka akan dilakukan deskripsi client

1. Client Ticket akan digunakan oleh client dan server untuk berkomunikasi, seluruhnya dienkripsi dengan kunci yang hanya diketahui client dan Kerberos.

2. Server Ticket dienkripsi dengan menggunakan kunci rahasia server dan Kerberos Kemudian client mengirimkan server ticket ini kepada server. Setelah client menerima balasan dari Kerberos berupa kunci enkripsi tersebut, client mendekripsi client ticket. Server mendekripsi server ticket dengan menggunakan kunci rahasianya dan memperoleh kunci enkripsi dari Kerberos untuk mendekripsi client. Jika terjadi kesesuaian maka komunikasi berlanjut.



Gambar11.1 Proses Kerberos

Kelebihan Kerberos Pembaharuan otorisasi berupa tiket dapat

diselenggarakan sesegera mungkin Relatif aman dan terpercaya karenahanya ada satu

Server Kerberos

Keterbatasan dan Kelemahan Kerberos• Karena server Kerberos hanya satu sedangkan client

yang mengaksesBanyak maka cenderung rentan terhadap serangan denial-of-service

– Sever tidak perlu dibuat benar-benar crash, cukup dibanjiri request maka server akan kesulitan untuk menanggapi request

• Bisa saja membangun server Kerberos backup, tetapi ini menyalahi filosofi Kerberos

– Memunculkan kelemahan pada jaringan

Rangkuman



Faktor keamanan dalam suatu jaringan penting diperhatikan. Antara lain otentikasi sebagai satu aspek keamanan . Kerberos sebagai salah satu protokol terobosan untuk otentikasi, dimana mekanisme otentikasi Kerberos merupakan salah satu solusi untuk mengatasi serangan keamanan di jaringan yang menjadi kelemahan sistem otentikasi umumnya.

Mekanisme otentikasi oleh Kerberos berdasar pada pertukaran kunci. Dimana kunci privat dibagi antara client dengan server. Kunci privat tersebut dikeluarkan oleh pihak ketiga yang dipercayai bersama (trusted third party).

Pada Kerberos username dan password client tidak dikirim melalui jaringan . Tetapi memakai session key yang ditujukan untuk meningkatkan keamanan komunikasi dengan protokol Kerberos.

Kerberos memiliki kelemahan dan kelebihan. Hal ini menjadi pertimbangan penyelenggara jaringan untuk membangun server Kerberos atau tidak.



Latihan


1. Kerberos pola kerjanya menggunakan key exchange, hal ini merupakan langkah:

A. OtorisasiB. KonfidensialC. OtentikasiD. IntegritasE. Audit

2. Pada Kerberos username dan password client tidak dikirim melalui jaringan ,tetapi memakai :

A. channelB. pathC. sslD. digital signatureE. session key

3.DES (Data Encryption Standard) dan AES (Advanced Encryption Standard) bekerja relative cepat karena :

A. penggunaan kunci yang sama saat enkripsi dan dekripsi.

B. Langsung digabung dengan kunciC. Kunci ada dua yang berbedaD. Memakai satu jalurE. Tidak ada ancaman

4.Kerberos menggunakan kunci cryptographic untuk mengendalikan akses terhadap sumber daya server jaringan yang disebut :

A. tickets B. grantedC. pin



D. data E. pasword

5. Pembuatan server cadangan Kerberos adalah:A. BermanfaatB. MembantuC. MenguatkanD. MembahayakanE. Mengembangkan

Soal Essay

1.Dimana Kerberos diperlukan?

2.Apakah ada kapasitas jaringan tertentu yang menggunakan Kerberos?

3.Server Kerberos apakah munkin mengalamin serangan?

4.Bagaimana jika kunci yang diterima tidak ssuai antara client dan server?

5.Bagaimana implementasi Kerberos (cari di internet)?



12 WLAN Security

Overview

WLAN hadir di tengah-tengah kita memberikan beberapa keleihan yang tidak dimiliki oleh jaringan kabel. Di antaranya memungkinkan pergerakan komputer dalam area jangkauan sinyal, namun tetap tersambung dengan jaringan sehingga sangat mendukung berbagai aktivitas yang memerlukan mobilitas. Di balik kelebihannnya, WLAN memiliki kelemahan terutama terkait keamanannya. Diperlukan beberapa langkah untuk mengatasi masalah tersebut sehingga WLAN tetap dapat dinikmati kelebihannya.



Tujuan

1. Memahami pengertian WLAN, karakteristik dan manfaatnya

2. Memahami kemungkinan serangan terhadap WLAN3. Memahami langkah-langkah pengamanan WLAN

12.1 WLAN, Karakteristik dan Manfaatnya

WLAN (wireless LAN) adalah jaringan lokal (LAN) yang memanfaatkan gelombang radio sebagai media transmisi data. Perkembangan WLAN dimulai tahun 1997, saat IEEE menetapkan standar transmisi wireless 802.11. Beberapa standar yang mengikutinya adalah :

802.11Abandwidth mencapai 54 Mbps. Jangkauan terbatas, sulit menembus tembok atau penghalang lain. 802.11Bbandwidth mencapai 11 Mbps. Jangkauan lebih baik dari 802.11a, lebih mampu menembus tembok atau benda lain. Banyak dipakai, namun perangkat mudah terkena interferensi perangkat lain, seperti microwave. 802.11GBandwith mencapai 54 Mbps, dengan jangkauan mencakup sekitar bangunan. Banyak dipakai, tapi mulai digantikan perangkat 802.11N.802.11.NBandwith mencapai 600 Mbps, dengan cakupan yang lebih luas.



Karakeristik dari WLAN 802.11 adalah seperti terlihat pada tabel berikut :



Susunan fisik (topologi) WLAN ada 3 yakni : adhoc (peer to peer) : setiap node (komputer)

terhubung langsung ke node yang lain infrastructure : setiap node terhubung dengan

node yang lain melalui acces point. Access point berfungsi seperti switch dalam jaringan wireline.

hybrid : campuran antara topologi adhoc dan infrastructure

Topologi WLAN diilustrasikan dalam gambar berikut :

Gambar 12.1. Topologi WLAN

WLAN memiliki empat manfaat utama, di antaranya adalah :

User mobility User dapat mengakses file, resource jaringan, dan internet tanpa harus memiliki koneksi fisik langsung memakai kabel. Selama pengaksesan, user dapat berpindah tempat tanpa terganggu koneksinya.



Rapid installationProses pemasangan jaringan dipercepat karena tidak perlu lagi ada penggelaran kabel. Penggelaran kabel terkadang harus dilakukan dengan membongkar tembok, membentangkannya di atas langit-langit, memasang jalur kabel (cable duck) dan lain-lain.

FlexibilityPerangkat yang terhubung jaringan dapat dipindahkan dengan lebih mudah, tidak lagi terpaku pada satu tempat. User dapat memindahkan atau membuat jaringan dengan lebih cepat seperti untuk keperluan yang bersifat sementara. Misal konferensi, pertemuan, pameran dan lain-lain.

ScalabiltyJaringan dapat dikembangkan dari yang sederhana berupa peer to peer, hingga bentuk yang kompleks dengan kapasitas besar sesuai kebutuhan user.

12.2 Serangan Terhadap WLAN

Jaringan berbasis gelombang radio bersifat terbuka, artinya semua orang yang berada dalam jangkauannya dapat berupaya untuk terhubung ke dalam jaringan meskipun sebenarnya tidak berhak. Dikenal istilah wardriving (wireless footprinting) yang menyatakan aktivitas untuk memperoleh informasi terkait suatu WLAN dan kemudian berupaya untuk mengaksesnya. Kebanyakan adalah untuk mendapatkan akses internet gratis. Namun ada yang melakukannya karena rasa ingin tahu, mencoba-coba hingga ada yang memang berniat jahat. Tools yang dipakai antara lain : NetStumbler, Kismet, Dstumbler, StumbVerter, GPSMap, JiGLE, Prism2dump, Tcpdump, Ethereal, AiroPeek NX, AirSnort, WLAN-Tools dan lain-lain.

Kelemahan yang ada pada WLAN antara lain adalah : Kelemahan konfigurasi

Berbagai fasilitas disediakan oleh vendor perangkat untuk mempermudah konfigurasi, termasuk default konfigurasi yang bisa dipakai membuat WLAN dengan



sedikit atau tanpa melakukan konfigurasi. Perangkat yang dibiarkan memakai konfigurasi default dari vendor, akan sangat mudah diserang karena informasi terkait konfigurasi tersebut sangat mudah ditemukan di internet seperti SSID, IP address yang dipakai, remote manajemen, DHCP enable, kanal frekuensi, user/password administrator perangkat.

Kelemahan enkripsiWEP (Wired Equivalent Privacy) yang dipakai sebagai standar keamanan wireless sebelumnya, saat ini dapat dengan mudah dipecahkan dengan tools yang bisa dicari internet. Dipelopori oleh Cryptanalysts Fluhrer, Mantin, and Shamir (FMS) yang mampu memecahkan algoritma key-scheduling RC4, yang dipakai dalam WEP. WPAPSK dan LEAP yang menjadi alternatif pengganti WEP, saat ini juga sudah dapat dipecahkan dengan metode dictionary attack secara offline.

Kelemahan lapisan data (MAC)Jika sudah terlalu banyak client yang menggunakan kanal yang sama dan terhubung pada access point yang sama, dapat menyebabkan turunnya bandwidth yang dilewatkan. Mac address juga sangat mudah diduplikasikan, sehingga memungkinkan client yang tidak terdaftar tetapi memakai Mac address hasil penggandaan dapat mengakses jaringan.

Serangan yang mungkin terjadi terhadap WLAN : Jamming atau membuat jaringan WLAN macet, dengan

menghidupkan perangkat wireless pada frekuensi sama menyebabkan interferensi

Insertion yakni serangan berupa penguasaan oleh pemakai ilegal atas access point yang tidak diproteksi.

Interception yakni serangan berupa penyadapan atas data sensitif, memakai tools yang mudah dicari di internet.

Locating mobile node yakni memperoleh informasi posisi setiap perangkat wifi dan konfigurasinya, dengan memakai aplikasi wireless site survey, PDA atau notebook serta dukungan perangkat GPS.



Serangan lain yang biasa terjadi pada LAN seperti Ddos, flooding dan sebagainya

Gambar12. 2. Serangan WLAN

12.3 Pengamanan WLAN

Untuk mengamankan WLAN, ada beberapa hal yang harus dilakukan antara lain :

Pengamanan terkait router wireless (access point) : Mengubah nama default dari Service Set Identifier

(SSID) Penyerang tidak akan dapat lagi memakai SSID default sesuai merk perangkat untuk masuk ke jaringan



Disable atau matikan broadcast SSID Dengan mematikan broadcast, akan lebih mempersulit penyerangan karena SSID tidak terlihat atau terdeteksi dari perangkat mobile.

Ubah nama user dan password administrator routerNama user dan atau password default tidak dapat digunakan lagi oleh penyerang untuk menguasai perangkat

Nyalakan kemampuan enkripsi routerData yang ditransmisikan dengan gelombang radio akan dienkripsi atau disandikan sehingga lebih sulit diinterpretasikan.



Nyalakan kemampuan filter Mac address Dengan MAC filtering, hanya perangkat yang Mac addressnya didaftarkan ke administrator router yang dapat mengakses jaringan

Ubah konfigurasi IP address routers Dengan mengubah IP address default, akan mempersulit penyerang mengakses jaringan. Setidaknya penyerang harus mencoba-coba atau menebak konfigurasi IP address baru yang dipakai jaringan.

Periksa log routerPerhatikan log, jika ada catatan yang mencurigakan segera ditutup kebocoran yang mungkin ada

Lakukan upgrade sesuai yang diminta pabrikLakukan upgrade aplikasi atau sistem yang dipakai router, seperti yang diminta oleh pabrik

Terapkan pengalaman praktis terkait keamanan

Metoda enkripsi yang dapat dipilih untuk perangkat wireless :

Wired Equivalent Privacy ( WEP ) Merupakan metoda enkripsi generasi lama Pakailah key 64-bit atau 128 bit akan jauh lebih

aman Wi-Fi Protected Access ( WPA )

Metoda enkripsi yang lebih baru, memakai key 256-bit

Wi-Fi Protected Access 2 ( WPA2 ) Metoda enkripsi terbaru Compatible ke belakang dengan WPA



Rangkuman

1. WLAN memungkinkan komputer bergerak dalam area jangkauan sinyal sehingga tidak terpaku pada lokasi tertentu

2. WLAN memberikan manfaat mobility, rapid installation, flexibility, scalability

3. Beberpa standar yang dipakai dalam WLAN adalah 802.11A, 802.11B, 802.11G dan 802.11N

4. Ada 3 topologi WLAN yakni adhoc, infrastructure dan hybrid.

5. WLAN sangat rentan diserang karena adanya kelemahan pada perangkat wireless.



Latihan

Soal essay :1. Sebutkan 3 topologi WLAN2. Jelaskan manfaat atau kelebihan dari WLAN3. Sebutkan standar yang dipakai pada WLAN4. Jelaskan kelemahan yang ada pada WLAN5. Jelaskan langkah-langkah untuk mengamankan WLAN

Soal pilihan ganda :1. Yang termasuk standar WLAN adalah :

A. 802.11z C. 802.11G E. a salah, b,c benar

B. 802.11N D. a,b,c benar

2. Termasuk dalam topologi WLAN adalah :A. Star C. Ring E Semua

benarB. Bus D.

Hybrid

3. Enkripsi WEP memakai algoritma :A. Hash C. CR-4 E.Semua

salahB. CRC D. CR-7

4. Yang termasuk kelebihan WLAN adalah :A.User mobility

C. Scalability E. Semua benar

B.Rapid installation

D. Flexibility



5. Algoritma enkripsi yang trdapat pada perangat wireless adalah :

A. WEP C. WAP2 E. a,b,c salah

B. WAP D. a,b,c benar

13. Manajemen Resiko

OVERVIEW

Manajemen resiko adalah suatu ilmu yang dasar filosofinya sejalan dengan keamanan jaringan

Tujuan

1.Mahasiswa dapat menerapkan logika keamanan dalam Banyak aspek 2. Mahasiswa mampu berpola pikir sistematis dengan Antisipasi resiko yang akan dihadapi





13.1 KLASIFIKASI RESIKO Sesuatu yang akan terjadi yang dipengaruhi oleh faktor kemungkinan (likelihood), berupa ancaman terhadap beberapa kelemahan yang menghasilkan dampak (impact) yang merugikan”

Hazard risk (resiko bencana): Misal : fire, flood, theft, etc.Financial risk (resiko keuangan) : Misal : price, credit, inflation, etc.Strategic risk (resiko strategis) : Misal : competition, technological innovation, regulatory c hanges, brand image damage etc. Operational risk (resiko operasional) : Misal : IT capability, business operations, security threat, etc.

KLASIFIKASI ANCAMAN TERKAIT INFORMASILoss of confidentiality of information : – Informasi digunakan ole yang tidak berhak Loss of integrity of information – Informasi tidak lengkap, tdak sesuai dengan aslinya atau

sudah mengalami perubahan / modifikasi Loss of availability of information – Informasi tidak tersedia pada saat diperlukan Loss of authentication of information Informasi tidak benar, tidak sesuai fakta atau sumbernya

tidak jelas

Gambar 13.1Bagan manajemen risk



13.2 IDENTIFIKASI ASSET• Aset informasi: file data, dokumentasi sistem, manual

pengguna, materi training, prosedur, basis data• Aset perangkat keras: perangkat komputer (server,

storage, workstation dll), perangkat jaringan (router, switch, hub, modem dll), perangkat komunikasi (PABX, telepon, facsimile), termasuk komponen di dalam perangkat

• Aset perangkat lunak: sistem operasi, perangkat lunak aplikasi, perangkat lunak bantu

• Aset infrastruktur : power supply, AC, rak • Aset layanan : layanan komputer dan komunikasi

DASAR PENILAIAN ASSET

• Nilai beli : pembelian awal dan biaya pengembangan aset

• Nilai wajar pasar • Nilai buku : nilai pembelian dikurangi penyusutan NILAI ASSET

• Bisa digunakan untuk menentukan analisis biaya-keuntungan

• Bisa digunakan untuk keperluan asuransi • Dapat membantu pengambil keputusan dalam memilih

tindakan penanggulangan terhadap pelanggaran keamanan

KLASIFIKASI NILAI ASSET• Memberi gambaran biaya perlindungan keamanan • Mendukung proses pengambilan keputusan yang

berhubungan dengan konfigurasi HW dan desain sistem SW

• Membantu perusahaan untuk fokus pada penyediaan sumber daya keamanan

• Menentukan aset (orang, HW, SW, infrastruktur, layanan)

• Memperkirakan aset mana yang rawan terhadap ancaman

• Memperkirakan resiko apa yang akan terjadi terhadap aset



• Menentukan solusi untuk mengatasi resiko dengan penerapan sejumlah kendali

ANALISIS RESIKO• Kuantitatif : pendekatan nilai finansial • Kualitatif : memakai tingkatan kualitatif • Dapat dilakukan bersama atau terpisah • Pertimbangan waktu dan biaya

13.3 PENDEKATAN KUALITATIF NILAI FINANSIAL• Dapat dijabarkan dalam bentuk neraca, laporan

tahunan, analisis pasar dll • Dipakai untuk memperkirakan dampak, frekuensi, dan

probabilitas • Penilaian terhadap aset, ancaman, kemungkinan dan

dampak terjadinya resiko menggunakan ranking atau tingkatan kualitatif

• Lebih sering digunakan daripada metode kuantitatif

Tiga komponen yang mempengaruhi resiko yakni Asset, Vulnerabilities, dan Threats. Dimana:

Asset meliputi : infrastruktur, layanan dllThreat meliputi : user,cracker dllVulnerabilities: software,hardware,keteledoran dll.

Rangkuman :1. Manajemen resiko adalah bentuk lain keamanan jaringan2. Identifikasi data, masalah dan penentuan kebijakan adalah infrastrukturnya yang pada dasarnya merupakan parameter keamanan jaringan

Latihan : Study kasus untuk tugas besar



DAFTAR PUSTAKA

1.James Kurose, Keith Ross, ”Computer Networking”(2nd Ed.), Addison- Wesley2.William Stalling, W. Stallings “Network Security Essentials”.3 .http://www.nessus.org 4.http://www.hping.org5 .http://www.snort.org 6. Forouzan A.Behrouz,”Cryptography & Network Security”,Mc Graw-Hill


Documents

Network Security Revisi