1 / 50

Pemrograman Jaringan

Pemrograman Jaringan. Network Security & Firewall. -Aurelio Rahmadian-. Pembatasan Akses. Membuat tingkatan akses Mekanisme kendali akses Waspada terhadap rekayasa sosial Membedakan sumber daya internal dan eksternal Sistem otentikasi user. Pembatasan Akses.

helena
Download Presentation

Pemrograman Jaringan

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. PemrogramanJaringan Network Security & Firewall -Aurelio Rahmadian-

  2. PembatasanAkses • Membuattingkatanakses • Mekanismekendaliakses • Waspadaterhadaprekayasasosial • Membedakansumberdaya internal daneksternal • Sistemotentikasi user

  3. Pembatasan Akses A. Membuattingkatanakses Pembatasan-pembatasandapatdilakukansehinggamemperkecilpeluangpenembusanolehpemakai yang takdiotorisasi

  4. Pembatasan Akses • Pembatasan login Login hanyadiperbolehkan: • Pada terminal tertentu • Hanyapadawaktudanharitertentu • Pembatasandengan call-back (Login dapatdilakukansiapapun. Bilatelahsukses login, sistemsegeramemutuskankoneksidanmemanggilnomortelepon yang telahdisepakati. Penyusuptidakdapatmenghubungilewatsembarangsalurantelepon, tapihanyapadasalurantelepontertentu)

  5. Pembatasan Akses • Pembatasanjumlahusaha login • Login dibatasisampaitiga kali dansegeradikuncidandiberitahuke administrator • Semua login direkamdansistemoperasimelaporkaninformasi-informasiberikut: • Waktu, yaituwaktupemakai login • Terminal, yaitu terminal dimanapemakai login • Tingkat akses yang diizinkan (read/write/execute/all)

  6. Pembatasan Akses B. Mekanismekendaliakses Masalahidentifikasipemakaiketika login disebutotentifikasipemakai (user authentication). Kebanyakanmetodeotentikasididasarkanpadatigacara, yaitu: • Sesuatu yang diketahuipemakai misalnya: • Password • Kombinasikunci • Namapeliharaan • dansebagainya

  7. Pembatasan Akses • Sesuatu yang dimilikipemakai, misalnya: • Badge • Kartuidentitas • Kunci • dansebagainya • Sesuatumengenai (ciri) pemakai, misalnya: • Sidikjari • Sidiksuara • Foto • Tandatangan

  8. Pembatasan Akses C. Waspadaterhadaprekayasasosial • Mengakusebagieksekutif yang tidakberhasilmengakses, menghubungi administrator via telepon/fax • Mengakusebagai administrator yang perlumendiagnosamasalah network, menghubungi end user via email/fax/surat • Mengakusebagaipetugaskeamanan e-commerce, menghubungi customer yang telahbertransaksiuntukmengulangkembalitransaksinyadi form yang disediakanolehnya • Pencuriansurat, password • Penyuapan, kekerasan

  9. Pembatasan Akses D. Membedakansumberdaya internal daneksternal Memanfaatkanteknologi firewall yang memisahkan network internal dengan network eksternaldengan rule tertentu.

  10. Pembatasan Akses E. SistemOtentikasi User Proses penentuanidentitasdariseseorang yang sebenarnya, halinidiperlukanuntukmenjagakeutuhan (integrity) dankeamanan (security) data, padaprosesiniseseorangharusdibuktikansiapadirinyasebelumdiperbolehkan menggunakanlayananakses.

  11. Pembatasan Akses Upayauntuklebihmengamankanproteksi password, antara lain: • Salting • One Time Password • Security Question • Challenge-Response

  12. Pembatasan Akses • Salting Menambahkan string pendekke string password yang diberikanpemakaisehinggamencapaipanjang password tertentu

  13. Pembatasan Akses • One time password • Pemakaiharusmengganti password secarateratur. Upayainimembatasipeluang password telahdiketahuiataudicoba-cobapemakai lain • Bentukekstrimpendekataniniadalah one time password, yaitupemakaimendapatsatubukuberisidaftar password. Setiap kali pemakai login, pemakaimenggunakan password berikutnya yang terdapatdidaftar password • Dengan one time password, pemakaidirepotkankeharusanmenjaga agar bukupasswordnyajangansampaidicuri

  14. Pembatasan Akses • Satudaftarpanjangpertanyaandanjawaban • Variasiterhadap password adalahmengharuskanpemakaimemberisatudaftarpertanyaanpanjangdanjawabannya. Pertanyaan-pertanyaandanjawabannyadipilihpemakaisehinggapemakaimudahmengingatnyadantakperlumenuliskandikertas. • Padasaat login, komputermemilihsalahsatudaripertanyaan-pertanyaansecaraacak, menanyakankepemakaidanmemeriksajawaban yang diberikan.

  15. Pembatasan Akses • Tantangantanggapan (challenge-response) • Pemakaidiberikebebasanmemilihsuatualgoritma, misalnya x3 • Ketikapemakai login, komputermenuliskandilayarangka 3. Dalamkasusinipemakaimengetikangka 27. Algoritmadapatberbedadipagi, sore, danhariberbeda, dari terminal berbeda, danseterusnya

  16. Pembatasan Akses ContohProdukOtentikasi User, antara lain : • Secureid ACE (Access Control Encryption) System token hardware sepertikartukreditberdisplay, pemakaiakanmenginputnomor pin yang diketahuibersama, lalumemasukkanpascodebahwadiapemilik token • S/key (Bellcore) System software yang membentuk one time password (OTP) berdasarkaninformasiloginterkhirdenganaturan random tertentu

  17. Pembatasan Akses • Password Authentication Protocol (PAP) Protokolduaarahuntuk PPP (Point to point Protocol). Peer mengirimpasangan user id dan password, authenticator menyetujuinya • Challenge Handshake Authentication Protocol (CHAP) S/key pada PAP, protocol 3 arah, authenticator mengirimpesantantanganke peer, peer menghitungnilailalumengirimkanke authenticator, authenticator menyetujuiotentikasijikajawabannyasamadengannilaitadi

  18. Pembatasan Akses • Remote Authentication Dial-in User Service (RADIUS) Untukhubungan dial-up, menggunakan network access server, darisuatu host yang menjadi client RADIUS, merupakan system satutitikakses • Terminal Access Controller Access Control System (TACACS) Protokolkeamananberbasis server dari CISCO System. Security Server terpusatdangan file password UNIX, database otentikasi, otorisasidanakunting, fungsi digest (transmisi password yang tidakpolos)

  19. Melindungi Aset Organisasi • Administratif/fisik • Teknis

  20. Melindungi Aset Organisasi – Administratif/Fisik • Rencanakemungkinanterhadapbencana • Program penyaringancalonpegawai sistem informasi • Program pelatihan user • Kebijakanakses network

  21. Melindungi Aset Organisasi - Teknis • Firewall • Virtual Private Network (VPN)

  22. Melindungi Aset Organisasi - Teknis Firewall • Istilahpadapenerapan Firewall: • Host Suatusistemkomputer yang terhubungpadasuatu network • Bastion host Sistemkomputer yang harusmemilikitingkatsekuritas yang tinggikarenasisteminirawansekaliterhadapserangan hacker dan cracker, karenabiasanyamesininidieksposke network luar (Internet) danmerupakantitikkontakutamapara user dari internal network. Umumnyaberupa DNS server, Email server, Proxy Server, Web server, Firewall, atau Router

  23. Melindungi Aset Organisasi - Teknis Firewall • Packet Filtering Aksidarisuatu device untukmengatursecaraselektifalur data yang melintasisuatu network. Packet filter dapatmemblokataumemperbolehkansuatupaket data yang melintasi network tersebutsesuaidengankebijakanalur data yang digunakan (security policy) • Perimeter network Suatu network tambahan yang terdapatdiantara network yang dilindungidengan network eksternal, untukmenyediakan layer tambahandarisuatusistem security. Perimeter network jugaseringdisebutdengan DMZ (De-Militarized Zone)

  24. Melindungi Aset Organisasi - Teknis

  25. Melindungi Aset Organisasi - Teknis • Keuntungan Firewall: • Firewall merupakanfokusdarisegalakeputusansekuritas. Hal inidisebabkankarena Firewall merupakansatutitiktempatkeluarmasuknyatrafik internet padasuatujaringan • Firewall dapatmenerapkansuatukebijakansekuritas. Banyaksekali service-service yang digunakandi Internet. Tidaksemua service tersebutamandigunakan, olehkarenanya Firewall dapatberfungsisebagaipenjagauntukmengawasi service-service mana yang dapatdigunakanuntukmenujudanmeninggalkansuatu network

  26. Melindungi Aset Organisasi - Teknis • Semuatrafik yang melalui Firewall dapatdiamatidandicatatsegalaaktivitas yang berkenaandenganalur data tersebut. Dengandemikian Network Administrator dapatsegeramengetahuijikaterdapataktivitas-aktivitas yang berusahauntukmenyerang internal network mereka • Firewall dapatdigunakanuntukmembatasipengunaansumberdayainformasi. Mesin yang menggunakan Firewall merupakanmesin yang terhubungpadabeberapa network yang berbeda, sehinggakitadapatmembatasi network manasaja yang dapatmengaksessuatu service yang terdapatpada network lainnya

  27. Melindungi Aset Organisasi - Teknis • Kelemahan Firewall : • Firewall tidakdapatmelindungi network dariserangankoneksi yang tidakmelewatinya (terdapatpintu lain menuju network tersebut) • Firewall tidakdapatmelindungidariserangandenganmetodabaru yang belumdikenaloleh Firewall • Firewall tidakdapatmelindungidariserangan virus

  28. Melindungi Aset Organisasi - Teknis • Pilihanklasifikasidesain Firewall: • Packet Filtering Sistempaketfiltering atauseringjugadisebutdenganscreeningrouteradalahrouter yang melakukan routing paketantara internal daneksternalnetworksecaraselektifsesuaidengansecuritypolicy yang digunakanpada network tersebut Informasi yang digunakanuntukmenyeleksipaket-pakettersebutadalah: • IP address asal • IP address tujuan • Protocol (TCP, UDP, atau ICMP) • Port TCP atau UDP asal • Port TCP atau UDP tujuan

  29. Melindungi Aset Organisasi - Teknis • Beberapacontoh routing paketselektif yang dilakukanolehScreeningRouter: • Semuakoneksidariluarsistem yang menuju internal networkdiblokadekecualiuntukkoneksi SMTP • Memperbolehkanservice email dan FTP, tetapimemblokservice-serviceberbahayaseperti TFTP, X Window, RPC dan ‘r’ service (rlogin, rsh, rcp, dan lain-lain)

  30. Melindungi Aset Organisasi - Teknis • Selainmemilikikeuntungantertentudiantaranyaaplikasiscreeningrouterinidapatbersifattransparandanimplementasinyarelatiflebihmurahdibandingkanmetodefirewall yang lain, sistempaketfilteringinimemilikibeberapakekuranganyakni: tingkatsecuritynyamasihrendah, masihmemungkinkanadanya IP Spoofing, tidakadascreeningpada layer-layer diatasnetwork layer

  31. Melindungi Aset Organisasi - Teknis • Application Level Gateway (Proxy Services) • Proxyservicemerupakanaplikasispesifikatau program server yang dijalankanpadamesinFirewall, program inimengambiluserrequestuntuk Internet service (seperti FTP, telnet, HTTP) danmeneruskannya (bergantungpadasecuritypolicy) kehost yang dituju.Dengankata lain adalahproxymerupakanperantaraantara internal networkdenganeksternalnetwork (Internet) • Padasisiekternalhanyadikenalmesinproxytersebut, sedangkanmesin-mesin yang beradadibalikmesinproxytersebuttidakterlihat. Akibatnyasistemproxyinikurangtransparanterhadapuser yang adadidalam

  32. Melindungi Aset Organisasi - Teknis • SistemProxyiniefektifhanyajikapadakonjungsiantara internal daneksternalnetworkterdapatmekanisme yang tidakmemperbolehkankeduanetworktersebutterlibatdalamkomunikasilangsung • Keuntungan yang dimilikiolehsistemproxyiniadalahtingkatsekuritasnyalebihbaikdaripadascreeningrouter, deteksipaket yang dilakukansampaipada layer aplikasi. Sedangkankekurangandarisisteminiadalahperfomansinyalebihrendahdaripadascreeningrouterkarenaterjadipenambahanheaderpadapaket yang dikirim, aplikasi yang di-support olehproxyiniterbatas, sertasisteminikurangtransparan

  33. Melindungi Aset Organisasi - Teknis • Arsitekturdasar firewall: • Arsitekturdengan dual-homed host (kadangkadangdikenaljugasebagaidual homed gateway/DHG) Sistem DHG menggunakansebuahkomputerdengan (paling sedikit) dua network-interface. Interface pertamadihubungkandenganjaringan internal dan yang lainnyadengan Internet. Dual-homed host nyasendiriberfungsisebagai bastion host (front terdepan, bagianterpentingdalam firewall)

  34. Melindungi Aset Organisasi - Teknis

  35. Melindungi Aset Organisasi - Teknis • Screened-host (screened host gateway/ SHG) Padatopologi SHG, fungsi firewall dilakukanolehsebuah screening-router dan bastion host. Router inidikonfigurasisedemikiansehinggaakanmenolaksemuatrafikkecuali yang ditujukanke bastion host, sedangkanpadatrafik internal tidakdilakukanpembatasan. Dengancarainisetiap client servispadajaringan internal dapatmenggunakanfasilitaskomunikasi standard dengan Internet tanpaharusmelalui proxy

  36. Melindungi Aset Organisasi - Teknis

  37. Melindungi Aset Organisasi - Teknis • Screened subnet (screened subnet gateway/ SSG) Firewall denganarsitektur screened-subnet menggunakandua screening-router danjaringantengah (perimeter network) antarakedua router tersebut, dimanaditempatkan bastion host

  38. Melindungi Aset Organisasi - Teknis

  39. Melindungi Aset Organisasi - Teknis Penerapan VPN • Definisi VPN  • Virtual Private Network atauJaringanPribadi Maya sesungguhnyasamadenganJaringanPribadi (Private Network/PN) padaumumnya, dimanasatujaringankomputersuatulembagaatauperusahaandisuatudaerahataunegaraterhubungdenganjaringankomputerdarisatugrupperusahaan yang samadidaerahataunegara lain. Perbedaannyahanyalahpada media penghubungantarjaringan. Kalaupada PN, media penghubungnyamasihmerupakanmilikperusahaan/grupitusendiri, dalam VPN, media penghubungnyaadalahjaringanpublikseperti Internet

  40. Melindungi Aset Organisasi - Teknis • Dalam VPN, karena media penghubungantarjaringannyaadalahjaringanpublik, diperlukanpengamanandanpembatasan-pembatasan • Pengamanandiperlukanuntukmenjaga agar tidaksebarangorangdarijaringanpublikdapatmasukkejaringanpribadi. Yang dikecualikanhanyalahorang-orang yang terdaftaratauterotentifikasiterlebihdahulu yang dapatmasukkejaringanpribadi • Pembatasandiperlukanuntukmenjaga agar tidaksemuaorangatau user darijaringanpribadidapatmengaksesjaringanpublik (internet)

  41. Melindungi Aset Organisasi - Teknis • Cara membentuk VPN • Tunnelling • Sesuaidenganarti tunnel ataulorong, dalammembentuksuatu VPN inidibuatsuatu tunnel didalamjaringanpublikuntukmenghubungkanantarajaringan yang satudanjaringan lain darisuatugrupatauperusahaan.yanginginmembangun VPN tersebut

  42. Melindungi Aset Organisasi - Teknis • Seluruhkomunikasi data antarjaringanpribadiakanmelalui tunnel ini, sehinggaorangatau user darijaringanpublik yang tidakmemilikiizinuntukmasuktidakakanmampuuntukmenyadap, mengacakataumencuri data yang melintasi tunnel ini • Adabeberapametodetunelling yang umumdipakai, diantaranya: • - IPX To IP Tunnelling, atau • - PPP To IP Tunnelling

  43. Melindungi Aset Organisasi - Teknis • Firewall • Sebagaimanalayaknyasuatudinding, Firewall akanbertindaksebagaipelindungataupembatasterhadaporang-orang yang tidakberhakuntukmengaksesjaringankita • Umumnyaduajaringan yang terpisah yang menggunakan Firewall yang sejenis, atauseorang remote user yang terhubungkejaringandenganmenggunakan software client yang terenkripsiakanmembentuksuatu VPN, meskipun media penghubungdarikeduajaringantersebutataupenghubungantara remote user denganjaringantersebutadalahjaringanpublikseperti Internet

  44. Melindungi Aset Organisasi - Teknis • Kemampuan firewall dalampenerapannyapada VPN • IP Hiding/Mapping. Kemampuaninimengakibatkan IP address dalamjaringandipetakanatauditranslasikankesuatu IP address baru. Dengandemikian IP address dalamjaringantidakakandikenalidi Internet • Privilege Limitation. Dengankemampuaninikitadapatmembatasipara user dalamjaringansesuaidenganotorisasiatauhak yang diberikankepadanya. Misalnya, User A hanyabolehmengakses home page, user B bolehmengakses home page, e-mail dan news, sedangkan user C hanyabolehmengakses e-mail

  45. Melindungi Aset Organisasi - Teknis • Outside Limitation. Dengankemampuaninikitadapatmembatasipara user dalamjaringanuntukhanyamengakseskealamat-alamattertentudi Internet ataudiluardarijaringankita • Inside Limitation. Kadang-kadangkitamasihmemperbolehkanorangluaruntukmengaksesinformasi yang tersediadalamsalahsatukomputer (misalnya Web Server) dalamjaringankita. Selainitu, tidakdiperbolehkan, ataumemangsamasekalitidakdizinkanuntukmengaksesseluruhkomputer yang terhubungkejaringankita

  46. Melindungi Aset Organisasi - Teknis • Password and Encrypted Authentication. Beberapa user diluarjaringanmemangdiizinkanuntukmasukkejaringankitauntukmengakses data dansebagainya, denganterlebihdahuluharusmemasukkan password khusus yang sudahterenkripsi

  47. Mengamankan Saluran Terbuka KeamananPadalapisanaplikasi • SET (Secure Electronics Transaction) • Menentukanbagaimanatransaksimengalirantarapemakai, pedagangdan bank • Menentukanfungsikeamanan: digital signature, hash danenkripsi • ProdukdariMastercarddan VISA International • Secure HTTP • Produkdari workgroup IETF, diimplementasikanpadawebservermulai 1995 • Menentukanmekanismekriptografistandaruntukmengenkripsikanpengiriman data http

  48. Mengamankan Saluran Terbuka • Pretty Good Privacy (PGP) • Standarisasi RFC 1991 • Membuatdanmemastikan digital signature, mengenkripsi – deskripsidanmengkompresi data • Secure MIME (S/MIME) • Standarisasi RFC 1521 • MIME (Multipurpose Internet Mail Extension) • Menentukancaramenempelkan file untukdikirimke internet denganmenggunakanmetodehirarkidalampendefenisian user remidansertifikatdigitalnya • Cybercash • Standarisasi RFC 1898 • Memproseskartukreditdi internet denganmengenkripsidanmenandatanganitransaksisecara digital

  49. Mengamankan Saluran Terbuka Keamanandalamlapisantransport • SSL (Secure Socket Layer) • Produk Netscape • Protocol yang menegoisasikanhubungan yang amanantara client dan server, denganmenggunakankuncienkripsi 40-bit

  50. Mengamankan Saluran Terbuka Keamanandalamlapisannetwork • IP Security Protocol: melindungi protocol client IP pada network layer • IP Authentication header • IP Encapsulating Security protocol • Simple-key management for Internet protocol (SKIP) • Internet security Association and key management protocol (ISAKMP) • Internet key management protocol (IKMP)

More Related