tinjauan teknologi keamanan
DESCRIPTION
Tinjauan Teknologi Keamanan. Konsep Desain Keamanan Jaringan. Keamanan Berlapis Akses Kontrol Keamanan dengan peran tertentu Kesadaran Pengguna Monitoring Menjaga sistem terus diperbaharui Tim Respon. Penyaringan Paket dengan Acess Control List. - PowerPoint PPT PresentationTRANSCRIPT
Tinjauan Teknologi Keamanan
Konsep Desain Keamanan Jaringan
• Keamanan Berlapis• Akses Kontrol• Keamanan dengan
peran tertentu• Kesadaran Pengguna• Monitoring• Menjaga sistem terus
diperbaharui• Tim Respon
Penyaringan Paket dengan Acess Control List
• Penyaringan Paket adalah salah satu tipe teknologi monitoring paket yang umum dan paling lama.
• Memeriksa isi paket dan menerapkan aturan apakah paket itu di tolak atau di izinkan
• Metode yang digunakan untuk menconfigurasi dan penyaringan paket pada router (cisco) -> Access Control List
• ACL : ACL berbasis penyaringan IP dan ACL yang memeriksa header paket jika di konfigurasikan
• ACL pada IP :• Standar IP ACL
– Menggunakan source address untuk menyesuaikan dengan operasi
• Extended IP ACL• Menggunakan source address dan destination
addres dan tipe protokol dan port untuk menyesuaikan dengan operasi
• Named ACL• Menggunakan destinantion addres untuk menyesuaikan
pengoperasian
Penempatan Penyaringan Paket
Stateful Packet Inspection (SPI)
• Komponen stateful inspection terkait dengan TCP (layer 4) membuat suatu koneksi
• Pengawasan state dari koneksi TCP di kerjakan di layer 4
• SPI muncul di firewall yang berada dibelakang router yang mengkoneksikan jaringan ke internet
• Jika sudah dilakukan penyaringan paket di router, maka pengamanan selanjutnya adalah SPI di firewall
Rincian Aliran Paket menggunakan SPI
• Saat paket sampai firewall, keputusan harus dibuat untuk menentukan apakah paket akan diteruskan ke jaringan internal
• Piranti yang mengerjakan SPI membawa setiap paket yang datang dan memeriksa headernya untuk menentukan apakah paket tsb sesuai dengan aturan yang mengontrol jenis paket yang diizinkan
• Saat memeriksa header paket, pemeriksaan mencakup Source port, Destination port, tipe protokol, dll
• Data pemeriksaan dibandingkan dengan aturan , misalkan semua aliran HTTP diizinkan ke web server
• Informasi pemeriksaan ini dibandingkan dengan tabel stateful .
Keterbatasan SPI
• Tidak ada monitoring tingkat aplikasi– SPI tidak dapat melihat paket yang lebih tinggi dari
layer 4• Tidak ada status koneksi pada tiap2 protokol
TCP/IP– Protokol tertentu dengan TCP/IP tidaka ada
metode untuk melacak status koneksi diantara komputer
Network Address Translation
• Dengan perkembangan internet yang semakin pesat, kebutuhan alamat IP publik pada jaringan rumah meningkat, -> IPv6
• NAT mengizinkan perusahaan/instansi/rumah menggunakan alamat IP Public
• NAT diimplementasikan pada firewall, router dan komputeryang berada di jaringan internal yang menggunakan IP privat
Meningkatkan Keamanan Jaringan
• Menggunakan NAT membuat lebih sulit bagi penyerang untuk :
• Memetakan topologi jaringan target dan menentukan konektivitas
• Mengindentifikasi berapa banyak sistem yang beroperasi pada sebuahh jaringan
• Mengindentifikasikan tipe mesin dan sistem operasi yang dijalankan
• Mengimplementasikan denial of service attack seperti SYN flooding, portscan dan packet injection
Keterbatasan NAT
• Masalah terkait UDP• Sensitive protocol• Ganguan pada sistem enkripsi dan otentifikasi• Complicated Logging• One Size Fits All
Proxy dan Application Level protection
• Apllication level firewall menyediakan tipe koneksi data yang paling amann karena dapat memeriksa tiap layer pada model TCP/IP
• Untuk mencapai level proteksi ini firewal-firewall (proxies) menghubungkan dan mengontrol koneksi dengan menahan dan memeriksa tiap koneksi
• Jika proxy menentukan bahwa koneksi diizinkan , maka proxy membuka koneksi kedua server .
Tipe-tipe firewall
• Standard Proxy Firewall• Dinamic proxy firewall
Keterbatasan Proxy
• Reduced performance• Tidak selalu update
Content Filter
• Public Libraries dan pornografi• SPAM• Virus dan trojan horse• Web page yang tidak aman
Cara untuk memfilter traffic
• Client Based Filtering• Server based Filtering
Keterbatasan content Filtering
• 3-5 juta website selalu diperbaharui dan sering diganti namanya
• Content basanya berubah
Public Key Infrastructure (PKI)
22
23
24
Sertifikat Digital• Kunci publik tidak mempunyai suatu kode
identifikasi kepemilikan.
• Pihak lain dapat menyalahgunakan kunci publik yang bukan miliknya untuk (impersonation attack ).
• Contoh: client perlu mengotentikasi server (via tanda-tangan digital dan menggunakan kunci publik server)
• Kasus menarik: peniruan website BCA.
25
• Kunci publik perlu dilindungi status kepemilikannya dengan memberikan sertifikat digital.
• Sertifikat digital dikeluarkan (issued) oleh pemegang otoritas sertifikasi (Certification Authority atau CA).
• Analog dengan sertifikat rumah/tanah (dikeluarkan oleh Pemkot/Pemda)
• CA biasanya adalah institusi keuangan (seperti bank) atau institusi yang terpercaya.
• Contoh CA terkenal: Verisign (www.verisign.com)
26
27
28
Sertifikat digital adalah dokumen digital yang berisi informasi sebagai berikut:
- nama subjek (perusahaan/individu yang disertifikasi)
- kunci publik si subjek - waktu kadaluarsa sertifikat (expired
time) - informasi relevan lain seperti nomor
seri sertifikat, dll
29
• CA membangkitkan nilai hash dari sertifikat digital tersebut (misalnya dengan fungsi hash satu-arah MD5 atau SHA)
• Kemudian, CA menandatangani nilai hash tersebut dengan menggunakan kunci privat CA.
• Contoh: Bob meminta sertifikat digital kepada CA untuk kunci publik:198336A8B03030CF83737E3837837FC387092827FFA15C76B01
• CA memmbuat sertifikat digital untuk Bob lalu menandatanganinya dengan kunci prvat CA.
30
X.509• Standard untuk sertifikat telah ditetapkan
oleh ITU.
• Standard tersebut dinamakan X.509 dan digunakan secara luas di internet.
• Ada tiga versi standard X.509, yaitu V1, V2, dan V3.
31
X.509 adalah cara mendeskripsikan sertifikat. Field-field utama di dalam sertifikat standard X.509 adalah sebagai berikut:
Field Arti Version Versi X.509 Serial Number Nomor ini plus nama CA secara unik
digunakan untuk mengidentifikasi sertifikat Signature Algorithm Algoritma yang digunakan untuk
menandatangani sertifikat. Issuer Nama pemberian X.509 untuk CA Validity period Waktu awal dan akhir periode valid Subject name Entitas (individu atau organisasi) yang
disertifikasi Public Key Kunci publik subjek dan ID dari algoritma
yang menggunakannya. Issuer ID ID opsional yang secara unik
mengidentifikasi certificate’s issuer. Subject ID ID opsional yang secara unik
mengidentifikasi certificate’s subject Extensions Bayak ekstensi yang telah didefinisikan. Signature Tanda-tangan sertifikat (ditandatangani
dengan kunci privat CA).
32
Contoh sertifikat digital:
*) Sumber: http://budi.paume.itb.ac.id
33
34*) Sumber: http://budi.paume.itb.ac.id
35
36
• Adanya atribut waktu kadualarsa pada sertifikat digital dimaksudkan agar pengguna mengubah kunci publik (dan kunci privat pasangannya) secara periodik.
• Makin lama penggunaan kunci, makin besar peluang kunci diserang dan dikriptanalisis. Jika pasangan kunci tersebut diubah, maka sertifikat digital yang lama harus ditarik kembali (revoked).
• Pada sisi lain, jika kunci privat berhasil diketahui pihak lain sebelum waktu kadualarsanya, sertifikat digital harus dibatalkan dan ditarik kembali, dan pengguna harus mengganti pasangan kuncinya.
37
Public Key Infrastructure (PKI) • Jika hanya ada satu CA untuk melayani sertifikat digital
dari seluruh dunia overload
• Solusi yang mungkin: - mempunyai banyak CA- semua CA dijalankan oleh organisasi yang sama- Setiap CA bekerja dengan menggunakan kunci privat yang sama untuk menandatangani sertifikat.
• Solusi di atas rentan jika kunci privat dicuri, maka seluruh sertifikat tidak berlaku lagi.
• CA mana yang mempunyai otoritas dan diterima di seluruh dunia?
38
• Solusi yang digunakan saat ini: menggunakan PKI (Public Key Infrastructure).
PKI terdiri atas komponen-komponen: - pengguna (pemohon sertifikat dan pemakai sertifikat) - sertifikat digital - CA - Direktori (menyimpan sertifikat digital dan CRL)
PKI menyediakan cara penstrukturan komponen-komponen di atas dan mendefinisikan standard bermacam-macam dokumen dan protokol.
39
Wireless PKI• Wireless PKI (WPKI) adalah protokol keamanan
yang dispesifikasikan untuk transmisi nirkabel (wireless).
• Seperti PKI, WPKI mengotentikasi pengguna dengan sertifikat digital dan mengenkripsi pesan dengan kriptografi kunci-publik.
• CA WPKI melibatkan Certicom (www.certicom.com) dan RSA (www.rsasecurity.com).
40
Microsof Authenticode • Banyak perusahaan piranti lunak (software
companies) yang menawarkan produknya secara on-line, sedemikian sehingga pembeli dapat men-download piranti lunak langsung ke komputernya
41
• Beberapa pertanyaan yang sering muncul jika kita men-download piranti lunak dari internet:
- 1. Bagaimana kita tahu bahwa program yang kita beli dari internet adalah aman dan tidak mengalamai perubahan (misalnya berubah karena gangguan virus)?
- 2. Bagaimana kita yakin bahwa kita tidak men-download virus komputer?
- 3. Bagaimana kita mempercayai situs web yang menjual program (software publisher) tersebut?
42
• Teknologi keamanan digunakan untuk menjamin bahwa piranti lunak yang di-download dapat dipercaya dan tidak mengalami perubahan.
• Microsoft Auhenticode, dikombinasikan dengan sertifikat digital VeriSign (atau digital ID), mengotentikasi penerbit piranti lunak (software publisher) dan mendeteksi apakah piranti lunak mengalami perubahan.
• Auhenticode adalah fitur sekuriti yang dibangun di dalam Internet Explorer
43
• Untuk menggunakan Microsoft Auhenticode, setiap penerbit harus mempunyai sertifikat digital yang dirancang untuk tujuan penerbitan piranti lunak.
• Sertifikat semacam itu dapat diperoleh dari CA seperti VeriSign. Untuk memperoleh sertifikat, penerbit piranti lunak harus menyediakan kunci publik dan informasi identifikasi lainnya dan menandatangai perjanjian bahwa ia tidak mendistribusikan virus.
44
• Microsoft Auhenticode menggunakan teknologi tanda-tangan digital untuk menandatangani piranti lunak.
• Piranti lunak yang ditandatangani dan sertifikat digital penerbit memberikan bukti bahwa piranti lunak tersebut aman dan tidak mengalami perubahan
45
• Bila pembeli mencoba men-downoad file, kotak dialog yang muncul di layar menampilkan sertifikat digital dan nama CA-nya.
• Link ke penerbit piranti lunak dan link ke CA juga disediakan sehingga pembeli dapat mempelajari lebih jauh mengenai penerbit dan CA sebelum ia menyetujui untuk men-download piranti lunak.
• Jika Microsoft Auhenticode menyatakan bahwa piranti lunak tersebut membahayakan, maka transaksi dihentikan