1 / 45

Tinjauan Teknologi Keamanan

Tinjauan Teknologi Keamanan. Konsep Desain Keamanan Jaringan. Keamanan Berlapis Akses Kontrol Keamanan dengan peran tertentu Kesadaran Pengguna Monitoring Menjaga sistem terus diperbaharui Tim Respon. Penyaringan Paket dengan Acess Control List.

argyle
Download Presentation

Tinjauan Teknologi Keamanan

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. TinjauanTeknologiKeamanan

  2. KonsepDesainKeamananJaringan • KeamananBerlapis • AksesKontrol • Keamanandenganperantertentu • KesadaranPengguna • Monitoring • Menjagasistemterusdiperbaharui • Tim Respon

  3. PenyaringanPaketdenganAcess Control List • PenyaringanPaketadalahsalahsatutipeteknologi monitoring paket yang umumdan paling lama. • Memeriksaisipaketdanmenerapkanaturanapakahpaketitu di tolakatau di izinkan • Metode yang digunakanuntukmenconfigurasidanpenyaringanpaketpada router (cisco) -> Access Control List • ACL : ACL berbasispenyaringan IP dan ACL yang memeriksa header paketjika di konfigurasikan

  4. ACL pada IP : • Standar IP ACL • Menggunakan source address untukmenyesuaikandenganoperasi • Extended IP ACL • Menggunakan source address dan destination addresdantipeprotokoldan port untukmenyesuaikandenganoperasi • Named ACL • Menggunakandestinantionaddresuntukmenyesuaikanpengoperasian

  5. PenempatanPenyaringanPaket

  6. Stateful Packet Inspection (SPI) • Komponenstateful inspection terkaitdengan TCP (layer 4) membuatsuatukoneksi • Pengawasan state darikoneksi TCP di kerjakan di layer 4

  7. SPI muncul di firewall yang beradadibelakang router yang mengkoneksikanjaringanke internet • Jikasudahdilakukanpenyaringanpaket di router, makapengamananselanjutnyaadalah SPI di firewall

  8. RincianAliranPaketmenggunakan SPI • Saatpaketsampai firewall, keputusanharusdibuatuntukmenentukanapakahpaketakanditeruskankejaringan internal • Piranti yang mengerjakan SPI membawasetiappaket yang datangdanmemeriksaheadernyauntukmenentukanapakahpakettsbsesuaidenganaturan yang mengontroljenispaket yang diizinkan • Saatmemeriksa header paket, pemeriksaanmencakup Source port, Destination port, tipeprotokol, dll • Data pemeriksaandibandingkandenganaturan , misalkansemuaaliran HTTP diizinkanke web server • Informasipemeriksaaninidibandingkandengantabelstateful .

  9. Keterbatasan SPI • Tidakada monitoring tingkataplikasi • SPI tidakdapatmelihatpaket yang lebihtinggidari layer 4 • Tidakada status koneksipada tiap2 protokol TCP/IP • Protokoltertentudengan TCP/IP tidakaadametodeuntukmelacak status koneksidiantarakomputer

  10. Network Address Translation • Denganperkembangan internet yang semakinpesat, kebutuhanalamat IP publikpadajaringanrumahmeningkat, -> IPv6 • NAT mengizinkanperusahaan/instansi/rumahmenggunakanalamat IP Public • NAT diimplementasikanpada firewall, router dankomputeryangberada di jaringan internal yang menggunakan IP privat

  11. MeningkatkanKeamananJaringan • Menggunakan NAT membuatlebihsulitbagipenyeranguntuk : • Memetakantopologijaringan target danmenentukankonektivitas • Mengindentifikasiberapabanyaksistem yang beroperasipadasebuahhjaringan • Mengindentifikasikantipemesindansistemoperasi yang dijalankan • Mengimplementasikan denial of service attack seperti SYN flooding, portscandan packet injection

  12. Keterbatasan NAT • Masalahterkait UDP • Sensitive protocol • Ganguanpadasistemenkripsidanotentifikasi • Complicated Logging • One Size Fits All

  13. Proxy dan Application Level protection • Apllication level firewall menyediakantipekoneksi data yang paling amannkarenadapatmemeriksatiap layer pada model TCP/IP • Untukmencapai level proteksiinifirewal-firewall (proxies) menghubungkandanmengontrolkoneksidenganmenahandanmemeriksatiapkoneksi • Jika proxy menentukanbahwakoneksidiizinkan , maka proxy membukakoneksikedua server .

  14. Tipe-tipe firewall • Standard Proxy Firewall • Dinamic proxy firewall

  15. Keterbatasan Proxy • Reduced performance • Tidakselalu update

  16. Content Filter • Public Libraries danpornografi • SPAM • Virus dantrojan horse • Web page yang tidakaman

  17. Cara untukmemfilter traffic • Client Based Filtering • Server based Filtering

  18. Keterbatasan content Filtering • 3-5 juta website selaludiperbaharuidanseringdigantinamanya • Content basanyaberubah

  19. Public Key Infrastructure (PKI)

  20. Sertifikat Digital • Kunci publik tidak mempunyai suatu kode identifikasi kepemilikan. • Pihak lain dapat menyalahgunakan kunci publik yang bukan miliknya untuk (impersonation attack ). • Contoh: client perlu mengotentikasi server (via tanda-tangan digital dan menggunakan kunci publik server) • Kasus menarik: peniruan website BCA.

  21. Kunci publik perlu dilindungi status kepemilikannya dengan memberikan sertifikat digital. • Sertifikat digital dikeluarkan (issued) oleh pemegang otoritas sertifikasi (Certification Authority atau CA). • Analog dengan sertifikat rumah/tanah (dikeluarkan oleh Pemkot/Pemda) • CA biasanya adalah institusi keuangan (seperti bank) atau institusi yang terpercaya. • Contoh CA terkenal: Verisign (www.verisign.com)

  22. CA membangkitkan nilai hash dari sertifikat digital tersebut (misalnya dengan fungsi hash satu-arah MD5 atau SHA) • Kemudian, CA menandatangani nilai hash tersebut dengan menggunakan kunci privat CA. • Contoh: Bob meminta sertifikat digital kepada CA untuk kunci publik: 198336A8B03030CF83737E3837837FC387092827FFA15C76B01 • CA memmbuat sertifikat digital untuk Bob lalu menandatanganinya dengan kunci prvat CA.

  23. X.509 • Standard untuk sertifikat telah ditetapkan oleh ITU. • Standard tersebut dinamakan X.509 dan digunakan secara luas di internet. • Ada tiga versi standard X.509, yaitu V1, V2, dan V3.

  24. Contoh sertifikat digital: *) Sumber: http://budi.paume.itb.ac.id

  25. *) Sumber: http://budi.paume.itb.ac.id

  26. Adanya atribut waktu kadualarsa pada sertifikat digital dimaksudkan agar pengguna mengubah kunci publik (dan kunci privat pasangannya) secara periodik. • Makin lama penggunaan kunci, makin besar peluang kunci diserang dan dikriptanalisis. Jika pasangan kunci tersebut diubah, maka sertifikat digital yang lama harus ditarik kembali (revoked). • Pada sisi lain, jika kunci privat berhasil diketahui pihak lain sebelum waktu kadualarsanya, sertifikat digital harus dibatalkan dan ditarik kembali, dan pengguna harus mengganti pasangan kuncinya.

  27. Public Key Infrastructure (PKI) • Jika hanya ada satu CA untuk melayani sertifikat digital dari seluruh dunia  overload • Solusi yang mungkin: - mempunyai banyak CA - semua CA dijalankan oleh organisasi yang sama - Setiap CA bekerja dengan menggunakan kunci privat yang sama untuk menandatangani sertifikat. • Solusi di atas rentan jika kunci privat dicuri, maka seluruh sertifikat tidak berlaku lagi. • CA mana yang mempunyai otoritas dan diterima di seluruh dunia?

  28. Solusi yang digunakan saat ini: menggunakan PKI (Public Key Infrastructure). PKI menyediakan cara penstrukturan komponen-komponen di atas dan mendefinisikan standard bermacam-macam dokumen dan protokol.

  29. Wireless PKI • WirelessPKI (WPKI) adalah protokol keamanan yang dispesifikasikan untuk transmisi nirkabel (wireless). • Seperti PKI, WPKI mengotentikasi pengguna dengan sertifikat digital dan mengenkripsi pesan dengan kriptografi kunci-publik. • CA WPKI melibatkan Certicom (www.certicom.com) dan RSA (www.rsasecurity.com).

  30. Microsof Authenticode • Banyak perusahaan piranti lunak (software companies) yang menawarkan produknya secara on-line, sedemikian sehingga pembeli dapat men-download piranti lunak langsung ke komputernya

  31. Beberapa pertanyaan yang sering muncul jika kita men-download piranti lunak dari internet: - 1. Bagaimana kita tahu bahwa program yang kita beli dari internet adalah aman dan tidak mengalamai perubahan (misalnya berubah karena gangguan virus)? -  2. Bagaimana kita yakin bahwa kita tidak men-download virus komputer? - 3. Bagaimana kita mempercayai situs web yang menjual program (software publisher) tersebut?

  32. Teknologi keamanan digunakan untuk menjamin bahwa piranti lunak yang di-download dapat dipercaya dan tidak mengalami perubahan. • Microsoft Auhenticode, dikombinasikan dengan sertifikat digital VeriSign (atau digital ID), mengotentikasi penerbit piranti lunak (software publisher) dan mendeteksi apakah piranti lunak mengalami perubahan. • Auhenticode adalah fitur sekuriti yang dibangun di dalam Internet Explorer

  33. Untuk menggunakan Microsoft Auhenticode, setiap penerbit harus mempunyai sertifikat digital yang dirancang untuk tujuan penerbitan piranti lunak. • Sertifikat semacam itu dapat diperoleh dari CA seperti VeriSign. Untuk memperoleh sertifikat, penerbit piranti lunak harus menyediakan kunci publik dan informasi identifikasi lainnya dan menandatangai perjanjian bahwa ia tidak mendistribusikan virus.

  34. Microsoft Auhenticode menggunakan teknologi tanda-tangan digital untuk menandatangani piranti lunak. • Piranti lunak yang ditandatangani dan sertifikat digital penerbit memberikan bukti bahwa piranti lunak tersebut aman dan tidak mengalami perubahan

  35. Bila pembeli mencoba men-downoad file, kotak dialog yang muncul di layar menampilkan sertifikat digital dan nama CA-nya. • Link ke penerbit piranti lunak dan link ke CA juga disediakan sehingga pembeli dapat mempelajari lebih jauh mengenai penerbit dan CA sebelum ia menyetujui untuk men-download piranti lunak. • Jika Microsoft Auhenticode menyatakan bahwa piranti lunak tersebut membahayakan, maka transaksi dihentikan

More Related