1 Richard H. Baker, “Network Security: how to plan for it and achieve it,”McGraw-Hill International, 1995. Computer Security Institute, “1999 CSI/FBI Computer Crime and Security Survey,” CSI, Winter 1999. http://www.gocsi.com David Icove [John D. Howard, “An Analysis Of Security Incidents On The Internet 1989 - 1995,” PhD thesis, Engineering and Public Policy, Carnegie Mellon University, 1997. Simson Garfinkel, “PGP: Pretty Good Privacy,” O’Reilly & Associ-ates, Inc., 1995 Christopher M. King, Curtis E. Dalton, dan T. Ertem Osmanoglu, “Security Architecture: Design, Deployment & Operation,” Osborne / McGraw-Hill, 2001. Charles P. Pfleeger, “Security in Computing,” Prentice-Hall International,1997 Budi Raharjo, Keamanan Sistem Informasi Berbasis Internet ,PT Insan Infonesia - Bandung & PT INDOCISC – Jakarta 1998, 1999, 2000, 2001, 2002 Joel Scambray, Stuart McClure, and George Kurtz, “Hacking Exposed: Network Security Secrets and Solutions,” first and second edition, McGraw-Hill, 2001. William Stallings, “Network and Internetwork Security,” Prentice Hall, 1995. CSI (Computer Security Institute) , http://www.gocsi.com ICSA (International Computer Security Association),http://www.icsa.net/ Securiteam.com, http://www.securiteam.com , Breaking news tentang security hole, tools. http://www.isaca.org ; http://www.cissp.com; http://www.eccouncil.org; http://www.idsirtii.or.id; http://www.jasakom.com buku-buku mengenai keamanan komputer cetakan, e-book, majalah-majalah/tabloid komputer edisi cetak maupun edisi online.
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
1
�
��������������� ������
������� ������������
������������� �� ���������������������������
� Richard H. Baker, “Network Security: how to plan for it and achieve it,”McGraw-Hill International, 1995.� Computer Security Institute, “1999 CSI/FBI Computer Crime and Security Survey,” CSI, Winter 1999.
http://www.gocsi.com� David Icove [John D. Howard, “An Analysis Of Security Incidents On The Internet 1989 - 1995,” PhD
thesis, Engineering and Public Policy, Carnegie Mellon University, 1997.� Simson Garfinkel, “PGP: Pretty Good Privacy,” O’Reilly & Associ-ates, Inc., 1995� Christopher M. King, Curtis E. Dalton, dan T. Ertem Osmanoglu, “Security Architecture: Design,
Deployment & Operation,” Osborne / McGraw-Hill, 2001.� Charles P. Pfleeger, “Security in Computing,” Prentice-Hall International,1997� Budi Raharjo, Keamanan Sistem Informasi Berbasis Internet ,PT Insan Infonesia - Bandung & PT
INDOCISC – Jakarta 1998, 1999, 2000, 2001, 2002� Joel Scambray, Stuart McClure, and George Kurtz, “Hacking Exposed: Network Security Secrets and
Solutions,” first and second edition, McGraw-Hill, 2001.� William Stallings, “Network and Internetwork Security,” Prentice Hall, 1995.� CSI (Computer Security Institute) , http://www.gocsi.com� ICSA (International Computer Security Association),http://www.icsa.net/� Securiteam.com, http://www.securiteam.com, Breaking news tentang security hole, tools.� http://www.isaca.org ; http://www.cissp.com; http://www.eccouncil.org; http://www.idsirtii.or.id;
http://www.jasakom.com� buku-buku mengenai keamanan komputer cetakan, e-book, majalah-majalah/tabloid komputer edisi
cetak maupun edisi online.
�
2
��������������� ������
������� ������������
Tujuan Umum :� ������������������������������������������������
� “information-based society”, menyebabkan nilai informasimenjadi sangat penting dan menuntut kemampuan untukmengakses dan menyediakan informasi secara cepat danakurat menjadi sangat esensial bagi sebuah organisasi,
� Infrastruktur Jaringan komputer, seperti LAN dan Internet,memungkinkan untuk menyediakan informasi secara cepat,sekaligus membuka potensi adanya lubang keamanan(security hole)
� Aplikasi bisnis berbasis TI dan jaringan komputermeningkat : online banking, e-commerce, Electronic data Interchange (EDI).
� Desentralisasi server.� Transisi dari single vendor ke multi vendor.� Meningkatnya kemampuan pemakai (user).� Semakin kompleksnya system yang digunakan,
semakin besarnya source code program yang digunakan.
� Berhubungan dengan internet.
�
��������������� ������
������� ������������
Menurut David Icove , berdasarkan lubang keamanan, keamanandapat diklasifikasikan menjadi empat, yaitu:1. Keamanan yang bersifat fisik (physical security): termasuk
akses orang ke gedung, peralatan, dan media yang digunakan. Contoh :
� Wiretapping atau hal-hal yang ber-hubungan denganakses ke kabel atau komputer yang digunakan juga dapatdimasukkan ke dalam kelas ini.
� Denial of service, dilakukan misalnya dengan mematikanperalatan atau membanjiri saluran komunikasi denganpesan-pesan (yang dapat berisi apa saja karena yang diuta-makan adalah banyaknya jumlah pesan).
� Syn Flood Attack, dimana sistem (host) yang dituju dibanjirioleh permintaan sehingga dia menjadi ter-lalu sibuk danbahkan dapat berakibat macetnya sistem (hang).
�
�
5
��������������� ������
������� ������������
2. Keamanan yang berhubungan dengan orang (personel), Contoh :� Identifikasi user (username dan password)� Profil resiko dari orang yang mempunyai akses (pemakai
dan pengelola).
3. Keamanan dari data dan media serta teknik komunikasi(communications).Contoh : � Komunikasi email dgn menggunakan encryption
4. Keamanan dalam operasi: Adanya prosedur yang digunakanuntuk mengatur dan mengelola sistem keamanan, dan jugater-masuk prosedur setelah serangan (post attack recovery).
��������������� ������
������� ������������
Wire Tapping
�
6
��������������� ������
������� ������������
��
Denial of Service Attack
��������������� ������
������� ������������
��
Karakteristik Penyusup :�The Curious (Si Ingin Tahu) - tipe penyusup ini pada dasarnyatertarik menemukan jenis sistem dan data yang anda miliki.
�The Malicious (Si Perusak) - tipe penyusup ini berusaha untukmerusak sistem anda, atau merubah web page anda.
�The High-Profile Intruder (Si Profil Tinggi) - tipe penyusup iniberusaha menggunakan sistem anda untuk memperolehpopularitas dan ketenaran. Dia mungkin menggunakan sistemprofil tinggi anda untuk mengiklankan kemampuannya.
�The Competition (Si Pesaing) - tipe penyusup ini tertarik padadata yang anda miliki dalam sistem anda. Ia mungkin seseorangyang beranggapan bahwa anda memiliki sesuatu yang dapatmenguntungkannya secara keuangan atau sebaliknya.
7
��������������� ������
������� ������������
��
Istilah bagi penyusup :�Mundane ; tahu mengenai hacking tapi tidak mengetahuimetode dan prosesnya.�lamer (script kiddies) ; mencoba script2 yang pernah di buatoleh aktivis hacking, tapi tidak paham bagaimana caramembuatnya.�wannabe ; paham sedikit metode hacking, dan sudah mulaiberhasil menerobos sehingga berfalsafah ; HACK IS MY RELIGION.�larva (newbie) ; hacker pemula, teknik hacking mulai dikuasaidengan baik, sering bereksperimen.�hacker ; aktivitas hacking sebagai profesi.�wizard ; hacker yang membuat komunitas pembelajaran diantara mereka.�guru ; master of the master hacker, lebih mengarah kepenciptaan tools-tools yang powerfull yang salah satunya dapatmenunjang aktivitas hacking, namun lebih jadi tools pemrograman system yang umum.
1. Privacy / Confidentiality � Defenisi : menjaga informasi dari orang yang tidak berhak
mengakses.Privacy : lebih kearah data-data yang sifatnya privat , Contoh : e-mail seorang pemakai (user) tidak boleh dibaca oleh administrator.
� Confidentiality : berhubungan dengan data yang diberikan kepihak lain untuk keperluan tertentu dan hanya diperbolehkan untukkeperluan tertentu tersebut.
� Contoh : data-data yang sifatnya pribadi (seperti nama, tempattanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) harus dapat diproteksi dalam penggunaan dan penyebarannya.
� Bentuk Serangan : usaha penyadapan (dengan program sniffer). Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy danconfidentiality adalah dengan menggunakan teknologi kriptografi.
��
��������������� ������
������� ������������
2. Integrity � Defenisi : informasi tidak boleh diubah tanpa seijin
pemilik informasi. � Contoh : e-mail di intercept di tengah jalan, diubah
isinya, kemudian diteruskan ke alamat yang dituju. � Bentuk serangan : Adanya virus, trojan horse, atau
pemakai lain yang mengubah informasi tanpa ijin, “man in the middle attack” dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain.
��
9
��������������� ������
������� ������������
3. Authentication � Defenisi : metoda untuk menyatakan bahwa informasi
betul-betul asli, atau orang yang mengakses ataumemberikan informasi adalah betul-betul orang yang dimaksud.
� Dukungan : Adanya Tools membuktikan keasliandokumen, dapat dilakukan dengan teknologiwatermarking(untuk menjaga “intellectual property”, yaitu dengan menandai dokumen atau hasil karyadengan “tanda tangan” pembuat ) dan digital signature.
� Access control, yaitu berkaitan dengan pembatasanorang yang dapat mengakses informasi. User harusmenggunakan password, biometric (ciri-ciri khasorang), dan sejenisnya.
��
��������������� ������
������� ������������
4. Availability � Defenisi : berhubungan dengan ketersediaan informasi
ketika dibutuhkan. Contoh hambatan :
� “denial of service attack” (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubi-tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash.
� mailbomb, dimana seorang pemakai dikirimi e-mail bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya.
��
10
��������������� ������
������� ������������
5. Access Control� Defenisi : cara pengaturan akses kepada informasi.
berhubungan dengan masalah� authentication dan juga privacy
Metode : menggunakan kombinasi userid/password atau dengan menggunakan mekanisme lain.
6. Non-repudiation� Defenisi : Aspek ini menjaga agar seseorang tidak dapat
menyangkal telah melakukan sebuah transaksi. Dukungan bagi electronic commerce.