1 / 26

EVALUASI KEAMANAN SISTEM INFORMASI

EVALUASI KEAMANAN SISTEM INFORMASI. Pentingnya Evaluasi. Lubang keamanan diketemukan hampir setiap hari. Kesalahan konfigurasi bisa terjadi. Penambahan perangkat baru yang mengubah konfigurasi yang sudah ada. I. Sumber lubang keamanan. Salah disain Salah konfigurasi

robyn
Download Presentation

EVALUASI KEAMANAN SISTEM INFORMASI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. EVALUASI KEAMANAN SISTEM INFORMASI

  2. Pentingnya Evaluasi • Lubang keamanan diketemukan hampir setiap hari. • Kesalahan konfigurasi bisa terjadi. • Penambahan perangkat baru yang mengubah konfigurasi yang sudah ada.

  3. I. Sumber lubang keamanan • Salahdisain • Salahkonfigurasi • Implementasi yang kurangbaik • Salahmenggunakan program / sistem

  4. 1. Salah Disain (design flaw) • Umumnyajarangterjadi. Akantetapiapabilaterjadisangatsulituntukdiperbaiki. Akibatdisain yang salah, makabiarpundiadiimplementasikandenganbaik, kelemahandarisistemakantetapada. • Contoh : • Lemahdisainnyaalgoritmaenkripsi ROT13 atau Caesar cipher, dimanakarakterdigeser 13 hurufatau 3 huruf. Meskipundiimplementasikandengan programming yang sangatteliti, siapapun yang mengetahuialgoritmanyadapatmemecahkanenkripsitersebut. • Kesalahandisainurutannomor (sequence numbering) daripaket TCP/IP. Kesalahaninidapatdieksploitasisehinggatimbulmasalah yang dikenaldengannama “IP spoofing” (sebuah host memalsukandiriseolah-olahmenjadi host lain denganmembuatpaketpalsusetelahengamatiurutanpaketdari host yang hendakdiserang).

  5. 2. Implementasikurangbaik • Banyak program yang diimplementasikansecaraterburu-burusehinggakurangcermatdalampengkodean. • Akibattidakadanyacekatau testing implementasisuatu program yang barudibuat. • Contoh: • Tidakmemperhatikanbatas (“bound”) darisebuah “array” tidakdiceksehinggaterjadi yang disebut out-of-bound array atau buffer overflow yang dapatdieksploitasi (misalnya overwrite ke variable berikutnya). • Kealpaanmemfilterkarakter-karakter yang aneh-aneh yang dimasukkansebagai input darisebuah program sehingga sang program dapatmengaksesberkasatauinformasi yang semestinyatidakbolehdiakses.

  6. 3. Salahkonfigurasi • Contoh : • Berkas yang semestinyatidakdapatdiubaholehpemakaisecaratidaksengajamenjadi “writeable”. Apabilaberkastersebutmerupakanberkas yang penting, sepertiberkas yang digunakanuntukmenyimpan password, makaefeknyamenjadilubangkeamanan. Kadangkalasebuahkomputerdijualdengankonfigurasi yang sangatlemah. • Adanya program yang secaratidaksengajadisetmenjadi “setuid root” sehinggaketikadijalankanpemakaimemilikiaksesseperti super user (root) yang dapatmelakukanapasaja.

  7. 4. Salahmenggunakan program atausistem • Contoh : • Kesalahan menggunakan program yang dijalankan dengan menggunakan account root (super user) dapat berakibat fatal.

  8. Pengujikeamanansistem • Untuk memudahkan administrator dari sistem informasi membutuhkan “automated tools”, perangkat pembantu otomatis, yang dapat membantu menguji atau meng-evaluasi keamanan sistem yang dikelola

  9. Contoh Tools Pengujian yang dibuat para hacker :

  10. 1. Salah disain * Algoritma enkripsi Salah mendisain algoritma enkripsi * Urutan nomor dari paket TCP/IP (masalah IP spoofing) sebuah host memalsukan diri menjadi host lain, kemudian membuat paket data palsu dan mengirimkan ke server.

  11. 2. Informasi yang kurang baik • Out-of-bound array /buffer overflow Data keluar dari batas bound, sehingga membentuk variabel baru. • Kealpaan memfilter karakter aneh. Tidak memfilter karakter aneh sehingga data yang terkirim salah.

  12. 3. Salah konfigurasi * Writeable : Berubahnya berkas secara tidak sengaja oleh pemakai, misalnya berkas itu adalah password.

  13. 4. Salah menggunakan program • Kesalahan menggunakan program pada super user. Misalnya: menjalankan perintah C> del *.*

  14. Port • Port Perangkat keras • Port perangkat lunak

  15. Port perangkat keras. • Pintu keluar masuk data dari dalam dan keluar komputer pada fisik. untuk printer : Lpt1, Lpt2 (jenis serial) Com1 dan Com2 (paralel)

  16. Port perangkat lunak • Pintu keluar masuk data dari dalam dan keluar komputer pada jaringan. nomor port pada jaringan: dari 1 s.d 4915

  17. Port-port penting pada jaringan • Port 80 untuk HTTP/WEB • Port 443 untuk SSL

  18. Konsep dasar yang berkaitan dengan keamanan jaringan • kebijakan keamanan (Security Policy) Seperangkat aturan pengamanan yang diterapkan pada semua kegiatan sistem komunikasi pada komputer yang dimiliki oleh suatu organisasi.

  19. 2. Authorization Adalah bagian dari security policy, berupa pemberian kekuatan secara hukum kepada pengguna / user untuk melakukan segala aktivitas nya.

  20. 3. Accountability Adalah kemampuan untuk dapat diakses, dimana bila individu yang berhak ingin mengakses accountnya harus dijamin oleh securiy policy tsb. bahwa ia benar-benar bisa melakukan segala aktivitasnya.

  21. 4 a Threat Ancaman yang mungkin timbul, yang dapat membahayakan aset-aset yang berharga, khususnya yang berhubungan dengan confidientality, integrity, availability dan legitimateuse yang disebabkan oleh banyak hal seperti: penetrasi atau kejadian yang tidak disengaja misalnya pesan dikirim kealamat yang salah.

  22. 5. An Attack Adalah ancaman yang telah terjadi menjadi kenyataan, ada 2 attack, yaitu: 1. Passive attack: misalnya monitoring data traffic 2. Active attack misalnya merusak informasi dgn sengaja.

  23. 6. Safeguard Adanya kontrol secara fisik, kemudian ada mekanisme dari kebijaksanaan dan prosedur yang melindungi informasi berharga dari ancaman yang mungkin datang setiap saat.

  24. 7. Vulnerabilities Adanya selah-selah keamanan yang bisa tembus oleh karena mudah rusak atau karena serangan, atau bisa juga pada saat pengamanan sedang tidak aktif

  25. 8. Risk Adalah perkiraan nilai kerugian yg ditimbulkan oleh kemungkinan ada nya attack yang sukses, makin tinggi Vulnarablenya maka semakin tinggi pula tingkat risknya.

  26. 9. Risk Analysis Adalah proses yang menghasilkan suatu keputusan apakah pengeluar an yang dilakukan terhadap safeguard benar-benar bisa menjamin tingkat keamanan yang diinginkan.

More Related