SlideShare ist ein Scribd-Unternehmen logo

Sister02

Als PPT, PDF herunterladen
Abbanae Dandim
Abbanae Dandim
1 von 53
Sistem keamanan sistem terdistribusi Oleh : SAEFUL ABRAR SOFYAN 1
Rencana Kuliah  Topik  Pendahuluan  Konsep-konsep keamanan • Fungsi biaya, kebijakan, bentuk, dan aspek- aspek keamanan  Jenis-jenis ancaman • Ancaman pasif, jenis-jenis serangan  Mekanisme pengamanan • Autentifikasi, kendali akses, mekanisme pemisahan, mekanisme komunikasi, dan mekanisme deteksi dan pemulihan  Contoh-contoh kasus  Evaluasi  Tugas #1 (mg 8, klp) – 25% • Pemrograman simulasi • Demo di lab Informatika: minggu ke-12  Tugas #2 (mg 12, klp) – 25% • Makalah • Presentasi: minggu terakhir  Ujian akhir – 50%  Acuan  Acuan diberikan pada saat kuliah Lukito E. Nugroho 2
Pendahuluan http://www.cert.org/congressional_testimony/Pethia_testimony_Mar9.html  Relevansi keamanan sistem informasi  Informasi sebagai komoditi ekonomi → obyek kepemilikan yang harus dijaga  Informasi menciptakan “dunia” baru (mis: Internet) → membawa beragam dinamika dari dunia nyata • Komunikasi digital (e-mail, e-news, …) • Aktifitas digital (e-commerce, e-learning, …) • Konflik digital (cyber war, …)  Mengapa sistem informasi rentan terhadap gangguan keamanan  Sistem yg dirancang untuk bersifat “terbuka” (mis: Internet) • Tidak ada batas fisik dan kontrol terpusat • Perkembangan jaringan (internetworking) yang amat cepat  Sikap dan pandangan pemakai • Aspek keamanan belum banyak dimengerti • Menempatkan keamanan sistem pada prioritas rendah  Tidak ada solusi yang komprehensif 3
Pendahuluan  Solusi terhadap masalah keamanan sistem informasi  Pusat-pusat informasi tentang keamanan • CERT • Milis-milis tentang keamanan sistem • Institusi lainnya: SecurityFocus, Symantec  Penggunaan mekanisme deteksi global • Pembentukan jaringan tim penanggap insiden di seluruh dunia  Peningkatan kesadaran terhadap masalah keamanan • Pendidikan bagi pengguna umum • Pelatihan bagi personil teknis (administrator sistem dan jaringan, CIO, CTO) 4
Konsep-konsep Keamanan Olovsson, Thomas. A Structured Approach to Computer Security. TR 122, Dept. Comp. Sci, Chalmers University of Technology, Sweden, 1992. Dari www.securityfocus.com  Keamanan sebagai bagian dari sistem QoS  Ketersediaan, kehandalan, kepastian operasional, dan keamanan  Keamanan: perlindungan thdp obyek- obyek dlm kaitannya dengan kerahasiaan dan integritas • Obyek → komponen pasif  CPU, disk, program, … • Subyek → komponen aktif  pemakai, proses, …  Keamanan sbg. fungsi waktu: Sec(t) • Memungkinkan kuantifikasi tingkat-tingkat keamanan, mirip dengan konsep MTTF (mean time to failure) pada kehandalan  Biaya pengamanan sistem  Pengertian “aman”: penyusup hrs mengeluarkan usaha, biaya, dan waktu yg besar utk dpt menembus sistem  Biaya pengamanan → kombinasi banyak faktor yg saling berpengaruh  Perlu dicari optimisasi: biaya pengamanan vs potensi kerusakan 5
Konsep-konsep Keamanan  Kebijakan keamanan  Mengatur apa yang diijinkan dan tidak diijinkan dlm operasi normal • Mengatur bgmn subyek dapat mengakses obyek  Sering bersifat “politis” drpd teknis  Harus mencerminkan proteksi thdp sistem secara seimbang, komprehen- sif, dan cost-effective  Proses: analisis ancaman → kebijakan keamanan → mekanisme pengamanan • Analisis ancaman: memperkirakan jenis ancaman dan potensi merusaknya • Mekanisme pengamanan: implementasi kebijakan keamanan  Kebijakan keamanan harus berfungsi dengan baik sekaligus mudah dipakai • Dapat mencegah penyusup pada umumnya • Mampu menarik pemakai untuk mengguna- kannya 6
Aspek-aspek dalam Masalah Keamanan  Kerahasiaan  Melindungi obyek informasi dari pelepasan (release) yg tidak sah  Melindungi obyek resource dari akses yg tidak sah  Integritas  Menjaga obyek agar tetap dapat dipercaya (trustworthy)  Melindungi obyek dari modifikasi yang tidak sah 7
Aspek-aspek dalam Masalah Keamanan Layer 5 Auditing, monitoring, and investigating Layer 4 Information security technologies and products Layer 3 Information security awareness and training Validation Layer 6 Layer 2 Information security architecture and processes Layer 1 Information security policies and standards Firewall Anti virus User authentication Access control Cryptography Consulting and Administration Management Assessment Logging, reporting, alerting Certification Physical security 8
Sistem Deteksi Intrusi Bace, Rebecca. An Introduction to Intrusion Detection and Assessment. ICSA. Dari www.securityfocus.com.  Deteksi intrusi:  Teknologi pengamanan sistem untuk menghadapi serangan dan penyalah- gunaan sistem  Mengumpulkan info dari berbagai sumber di sistem dan jaringan, lalu menganalisisnya dari sudut pandang kelemahan pengamanan (security vulnerabilities)  Relevansi  Kenaikan tingkat pembobolan sistem sebesar 22% (1996 - 1998)  Fungsi-fungsi  Pemantauan dan analisis aktivitas pemakai dan sistem  Audit terhadap konfigurasi dan kelemahan sistem  Prakiraan integritas file-file sistem dan data  Pengenalan pola-pola serangan  Analisis statistik ttg. pola-pola abnormal 9
Deteksi Intrusi  Proses  Kombinasi berbagai aktifitas peman- tauan, audit, dan prakiraan  Dilakukan secara kontinyu  Diawali dengan prakiraan kelemahan (vulnerability assessment) • Identifikasi kelemahan sistem yg memung- kinkan terjadinya penyelewengan sistem pengamanan • Teknik pasif: memeriksa konfigurasi sistem, file password, dsb. • Teknik aktif: mengevaluasi performance sistem pengamanan melalui simulasi serangan • Tools: scanners • Hasil prakiraan menunjukkan snapshot kondisi keamanan sistem pd suatu saat  Tidak bisa mendeteksi serangan yg sedang berlangsung  Bisa menunjukkan bahwa sebuah serangan mungkin terjadi  Kadang-kadang bisa menunjukkan bahwa sebuah serangan telah terjadi 10
Fitur Teknologi Deteksi Intrusi Type of System Intrusion Detection Vulnerability Assessment System Design Features Monitoring Approach Timing of Type of Targets and Strategies Analysis Analysis What can it do ? Integrity analysis D = detects Network-based Network-based Batch/Interval P = prevents Target-based Application- Host-based Host-based assessment R = repairs Integrated Statistical Real time Signature Password (passive) analysys analysis (active) S = supports based mode Type Examples of Security Problems Unauthorized access to files and D D D P P P Confidentiality system resources Violation of corporate system use policies D D D D P P P Violation of corporate security policies D D D D D D D P P Weak or non-existent passwords D D D D D D Placement of trojan horses and malicious software D P D D D D P P P Presence of troja horses and D D D D Integrity malicious software Network service-based attacks D D D D P CGI-based attacks D D D P P Denial of service attacks D D D D P Availability Failure or misconfigured firewalls D D D P P Attacks occurring over encrypted networks D D D D Unusual activities or variations of normal user patterns D Errors in system or network configuration D D D,P,R D,P,R Liability exposure associated with P P P P P P P P P P P P P Others attackers using organizational resources to attack others Post-incident damage assessment S S S S S S S S S S S 11
Sistem Deteksi Intrusi dalam Manajemen Pengamanan Sistem Prevention Detection Diagnosis Monitor Analyze and Resolution Report Respond Investigation  Pengamanan sistem bukan kegiatan sesaat  Target berupa lingkungan yang dinamis 12
Keuntungan Sistem Deteksi Intrusi  Memberikan perlindungan yg lebih luas dalam pengamanan sistem  Membantu memahami apa yg terjadi di dalam sistem  Dukungan teknis:  Melacak aktivitas pemakai dari awal sampai akhir  Mengenal dan melaporkan usaha- usaha modifikasi file  Mengetahui kelemahan konfigurasi sistem  Mengenali bahwa sistem telah atau potensial untuk diserang  Memungkinkan operasional pengamanan sistem dilakukan oleh staf tanpa keahlian spesifik  Membantu penyusunan kebijakan dan prosedur pengamanan sistem 13
Kelemahan Sistem Deteksi Intrusi  Bukan solusi total untuk masalah keamanan sistem  Tidak bisa mengkompensasi kelemahan:  mekanisme identifikasi dan autentifikasi  protokol jaringan  integritas dan kualitas informasi dalam sistem yang dilindungi  Masih memerlukan keterlibatan manusia  Banyak berasumsi pada teknologi jaringan konvensional, belum bisa menangani teknologi baru (mis: fragmentasi paket pd jaringan ATM) 14
Beberapa Terminologi telnet request 23 telnet daemon ssh request 22 ssh daemon http request 80 http server Apache, IIS, ... request reply client server acknowledge 15
Sniffing (Penyadapan) Alaric. Sniffin’ the Ether. www.attrition.org/security/newbie/ security/sniffer/sniffer.html  Sniffing: penyadapan informasi  Memanfaatkan metode broadcasting  “Membengkokkan” aturan Ethernet  Dilakukan dengan membuat NIC bekerja pada mode “promiscuous”  Dimanfaatkan untuk:  menyadap password, e-mail, dokumen rahasia, dan semua informasi yg tidak dienkripsi  memetakan network  mengambilalih mesin-mesin “trusted” sbg batu loncatan  Contoh-contoh sniffer  Sniffit, TCP Dump, Linsniffer  Mencegah efek negatif sniffing  Pendeteksian sniffer (local & remote)  Penggunaan kriptografi (mis: ssh sbg pengganti telnet) www.attrition.org/security/newbie/security/sniffer/p54-10.txt 16
Scanning (Pemindaian) Fyodor. The Art of Port Scanning. www.phrack.org/show.php? p=51&a=11, dan R. Jankowski. Scanning and Defending Networks with Nmap. www.linuxsecurity.com/feature_stories/feature_story- 4.html  Teknik untuk menemukan saluran komunikasi yg dpt dieksploitasi  Prinsip: coba ke sebanyak mungkin target, catat target yg potensial untuk dipindai  Teknik pemindaian  Penyapuan ping (Ping sweeping) • Mengirimkan ICMP echo dan TCP ACK ke tiap host • Untuk mengetahui apakah sebuah host sedang hidup atau tidak  TCP connect (port scanning) • Menggunakan system call connect() • Tidak perlu privilege khusus • Mudah dilacak melalui mekanisme log  TCP SYN (model “setengah-terbuka”) • Tidak membangun koneksi TCP secara penuh • Mengirim SYN, menerima SYN|ACK, lalu mengirim RST (bukan ACK spt pada koneksi penuh) • Relatif tidak terlacak oleh mekanisme log • Memerlukan privilege root 17
Scanning (Pemindaian)  TCP FIN • Port tertutup mengirim RST, port terbuka mengabaikannya • Ketidakpatuhan Microsoft dalam mengimple-mentasikan protokol TCP → digunakan untuk membedakan mesin *NIX dan mesin NT  TCP identd • identd protokol mengijinkan pembukaan nama pemilik sebuah proses yg terhubung dengan TCP • Digunakan untuk mengidentifikasi pemilik sebuah proses  Apakah httpd dijalankan oleh root ?  Penyidikan Sistem Operasi • Menggunakan beberapa teknik untuk menginterogasi TCP stack  FIN probing  BOGUS flag probing  ISN sampling, dll • Biasanya dilanjutkan dengan mengeksploita-si kelemahan SO yang bersangkutan 18
Kelemahan (Vulnerability)  Mengindikasikan “lubang-lubang” keamanan yg dapat ditembus  Didokumentasikan (mis: CVE - common vulnerabilities and exposures) agar dapat dimanfaatkan oleh banyak orang  Konsep “security through obscurity” menjadi tidak menguntungkan Name: CVE-1999-0002 Reference: SGI:19981006-01-I Reference: CERT:CA-98.12.mountd Reference: CIAC:J-006 Reference: BID:121 Reference: XF:linux-mountd-bo Buffer overflow in NFS mountd gives root access to remote attackers, mostly in Linux systems. ---------------------- 19
Deteksi Intrusi Jaringan D. Wreski & C. Pallack. Network Intrusion Detection Using Snort. www.linuxsecurity.com/feature_stories/ feature_story-49.html  Untuk mendeteksi usaha-usaha sniffing dan scanning  Berdasarkan basis data pola-pola penyusupan  Penempatan tool pendeteksi  Di antara firewall dan jaringan eksternal → mendeteksi serangan yg dapat ditangkal firewall maupun yg tidak  Di dalam jaringan lokal → hanya mendeteksi serangan yg tidak dapat ditangkal firewall 20
IP Spoofing daemon9. IP Spoofing Demistified. Phrack Magazine, vol 7, no. 48. June 1996. www.phrack.org  IP spoofing: “membajak” identitas (alamat IP) sebuah host untuk membangun komunikasi dengan host lain  Memanfaatkan:  Autentikasi berbasis alamat IP (mis: rlogin)  Kelemahan protokol IP • connectionless (tidak menyimpan connect- ion state) • mudah untuk memodifikasi stack IP  Skenario: 1. Menentukan host sasaran 2. Menemukan “pola-pola kepercayaan” (pattern of trust) dr host yg dapat dipercaya (trusted host) 3. “Melumpuhkan” host yg dpt dipercaya 4. Membajak identitas host yg dpt dipercaya 5. Mencoba membentuk koneksi yg memanfaatkan autentikasi berbasis alamat IP 21
IP Spoofing Host target Host terpercaya (TGT) (TPC) Host asing (A) Host penyerang (P) 1. Menemukan pola-pola kepercayaan antara TGT dan TPC  Memanfaatkan tool-tool yg ada: showmount, rpcinfo, … 1. Melumpuhkan TPC  Melalui SYN flooding (D.o.S dengan permintaan SYN) dengan alamat palsu yg tidak terlacak (alamat milik A) 1. Pencuplikan dan peramalan nomor sekuens (ns) 2. Serangan: 1. P(TPC) →SYN→ TGT 2. TPC ←SYN|ACK← TGT 3. P(TPC) →ACK→ TGT (dng ns yg cocok) 4. P(TPC) →PSH → TGT 3. Memasang backdoor 22
IP Spoofing  Tindakan pencegahan  Tidak menggunakan autentikasi berbasis alamat IP  Penyaringan paket dan firewall  Penggunaan kriptografi  Randomisasi ISN (Initial Sequence Number) 23
Carnivore Tyson, J. How Carnivore Works. www.howstuffworks.com/ carnivore.htm  Packet sniffer milik FBI  Komponen  Carnivore: packet sniffer  Packeteer: packet reassembler  Coolminer: ekstrapolasi dan analisis data  Cara kerja 1. FBI punya alasan cukup mencurigai seseorang terlibat dlm aktivitas ilegal 2. Pengadilan memberi ijin melakukan penyadapan komunikasi  content-wiretap: seluruh isi komunikasi  trap-and-trace: target/tujuan komunikasi  pen-register: asal komunikasi 1. FBI meminta copy file backup ttg. aktivitas orang yg dicurigai ke ISP. Jika data yg diminta tidak ada, maka FBI melaksanakan langkah #4 dst. 2. FBI memasang komputer Carnivore di ISP  Pentium III, Win NT/2000, 128 MB RAM  Software komunikasi komersial  Program C++ untuk packet sniffing  Sistem perlindungan fisik thdp sistem Carnivore  Piranti isolasi jaringan utk menjaga Carnivore dr usaha-usaha penyusupan dsb  Jaz drive 2 GB untuk piranti penyimpanan 24
Carnivore  Cara kerja (lanjutan) 5. Sistem Carnivore di-set sesuai dng penyadapan yg diijinkan. Packet sniffing dilakukan tanpa mengganggu aliran data yg lain 6. Paket target yg disadap disimpan di piranti penyimpan (Jaz drive) 7. Setiap 1 atau 2 hari, FBI mengganti kaset Jaz drive dengan yg baru 8. Proses penyadapan berlangsung maks 1 bulan. Jika diperlukan waktu lebih, hrs ada ijin baru dr pengadilan 9. Data yg diperoleh diproses dng Packeteer dan Coolminer  Isu-isu ttg Carnivore  Privasi dalam berkomunikasi  Pentingnya regulasi  Kebebasan berkomunikasi  Kontrol oleh pemerintah 25
Virus, Worm, dan Trojan Horse Brain, M. How Computer Viruses Work. www.howstuffworks.com/virus3.htm.  Virus  Program yg menumpang program lain  Menginfeksi dng cara bereproduksi dan menempel pd program lain  Worm  Program yg menyebar melalui jaringan dan memanfaatkan lubang-lubang keamanan sistem  Dapat mereplikasi dirinya sendiri  Trojan horse  Program dng “hidden agenda”  Efek yg ditimbulkan virus, worm, dan Trojan horse  Dari gangguan pd tampilan s.d. kerusakan data/file/hard disk  Beban trafik jaringan yg begitu besar  Server-server macet krn. DoS  Kerugian material $17.1 milyar pd tahun 2000 26
Virus dan Penyebarannya  Pemicu munculnya virus:  Popularitas PC dng arsitektur terbuka  Bulletin boards yg menyediakan aneka program → melahirkan Trojan horse  Floppy disk sbg alat transportasi program  Penyebaran virus  Virus menempel pd program lain  Bila program induk dieksekusi, virus akan dimuat ke memori dan menjadi aktif  Virus mencari program induk yg lain, dan bila ada, ia akan menempelkan kode programnya ke program induk baru → menyebar melalui program induk baru ini  Virus dpt masuk ke boot sector, shg tiap kali komputer dihidupkan, ia akan dimuat ke memori dan menjadi aktif  Virus e-mail  Menyebar melalui pengiriman e-mail → sbg attachment e-mail  Aktivasi melalui pembukaan attachment → mengeksekusi script virus yg ada dlm attachment (mis: script VBA)  Melissa, ILOVEYOU, … 27
Worm  Menyebar melalui Internet dan mengeksploitasi kelemahan sistem  Penyebaran: 1. Masuk ke sistem yg tidak terlindung 2. Replikasi 3. Scan sistem-sistem lain yg tdk terjaga  Ledakan kombinatorial dlm penyebarannya  CodeRed: 250 ribu replikasi dlm 9 jam  Populasi mesin di Internet yg amat besar  Ketidakpedulian thdp aspek keamanan  Contoh: CodeRed  Vulnerability di fasilitas ISAPI pd IIS  Replikasi dirinya pd 20 hari pertama pd tiap bulan  Web defacing (mengganti tampilan halaman Web)  Serangan DDoS 28
Contoh Worm: Code Red Microsoft Security Bulletin MS01-033. www.microsoft.com/technet/treeview/default.asp?url=/ technet/security/bulletin/MS1-033.asp  Platform yg terpengaruh:  Windows NT 4.0 dan Windows 2000  Akibat serangan  Eksekusi kode sesuai dng keinginan penyerang  Eksploitasi  Instalasi IIS akan memasang bbrp file DLL yg mrpk ekstensi ISAPI -- salah satunya adl file IDQ.DLL (indexing service)  IDQ.DLL mengandung buffer utk menangani input URL. Buffer ini tidak mengalami error checking  Penyerang yg telah memiliki web session dng IIS dpt melakukan serangan berupa buffer overflow thdp IDQ.DLL  Buffer overflow dng pola ttt menye-babkan eksekusi kode ttt oleh server pd konteks sistem → kendali penuh pd sistem  Kemungkinan penggunaan  Web defacing  Eksekusi perintah OS  Rekonfigurasi server  Eksekusi program lain 29
Pencegahan Virus, Worm, dkk  Anti virus  Update data ttg virus signature secara teratur  Aktifkan proteksi yg disediakan oleh software (mis: proteksi virus macro)  Faktor manusia: kehati-hatian  Menggunakan disket dr sumber asing  Menerima e-mail dengan attachment  Menerima dokumen dr sumber asing  Sering-sering melihat situs keamanan, mengawasi munculnya virus-virus baru, dan menerapkan patch yg diberikan  Gunakan sistem operasi dan software yg tidak banyak memiliki lubang kelemahan  Linux vs Windows  Apache vs IIS 30
Firewall  Program/piranti utk mencegah potensi kerusakan masuk ke network  Metode  Penapisan (filtering) paket • Alamat IP • Nama domain • Protokol • Port  Layanan proxy • Bertindak “atas nama” host di dalam network • Sering digabung dengan fasilitas cache  Potensi kerusakan yg dpt ditangkal oleh firewall  Login jarak-jauh  Application backdoors  Pembajakan sesi SMTP (utk mengirim e-mail spam)  Denial of service  Bom e-mail 31
Firewall  Perancangan firewall  Mengikuti kebijakan pengamanan  Keamanan vs kemudahan akses  Dua pendekatan • Segala sesuatu yg tidak secara eksplisit diijinkan berarti tidak diperbolehkan • Segala sesuatu yg tidak secara eksplisit dilarang berarti diijinkan  Level ancaman  Pentingnya informasi ttg sebuah ancaman atau serangan • Kasus terburuk: tidak ada info sama sekali • Kasus terbaik: info lengkap, dan serangan dapat ditangkal  “Zona-zona beresiko” • Host/network yg beresiko menerima ancaman/serangan yg terkait dng fungsi perlindungan yg diberikan oleh firewall • Minimisasi zona beresiko menjadi sebuah “titik/node” (sentralisasi) 32
Implementasi Firewall  Firewall dengan screening router  Screening router: router dengan fasilitas penapisan paket  Zona-zona beresiko: • Host-host di jaringan privat • Semua layanan yg diijinkan oleh router  Sulit utk mendeteksi usaha-usaha penyusupan  “Segala sesuatu yg tdk scr eksplisit dilarang berarti diijinkan”  Firewall dng “dual-homed gateway”  Tanpa router, dng “bastion host” gateway, forwarding TCP/IP dinonaktifkan  Koneksi dng application gateways (mis: telnet forwarder) atau login ke gateway  “Segala sesuatu yg tdk scr eksplisit diijinkan berarti dilarang”  Jika disusupi dan TCP/IP forwarding diaktifkan, maka zona beresiko mjd amat luas 33
Implementasi Firewall  Firewall dng screened host gateways  Screening router + bastion host • Bastion host di sisi jaringan privat • Router dikonfigurasi agar bastion host mjd satu-satunya host di jaringan privat yg dpt dicapai dari Internet  Zona beresiko terbatas pd bastion host dan router  Dlm kaitannya dng bastion host, mirip dng. model dual-homed gateway  Firewall dng screened subnet  Screening router + bastion host  Zona beresiko: bastion host + router  Koneksi melalui application gateway  Relatif sulit disusupi krn melibatkan 3 jaringan  Firewall hibrid  Menggunakan berbagai kombinasi tool dan piranti untuk mengimplementa- sikan fungsi firewall 34
Kriptografi Purbo, Onno W. dan Wahyudi, Aang A. Mengenal e- Commerce. Elex Media Komputindo. 2001.  Pengetahuan yg menggunakan matematika untuk melakukan enkripsi dan dekripsi data  matematika → persoalan kombinatoris  enkripsi & dekripsi → transmisi data melalui jaringan yg tidak aman  Kriptografi dan e-Commerce  Kerahasiaan • Hanya diketahui si penerima saja ?  Integritas • Tidak berubah ? • Asli ?  Ketersediaan • Tersedia bagi pemakai yang sah ?  Penggunaan yang semestinya • Tidak diakses oleh yang tidak berhak ? → kriptografi berurusan dengan keamanan komunikasi 35
Enkripsi dan Dekripsi  Enkripsi: plaintext → ciphertext  Dekripsi: ciphertext → plaintext  Komponen sistem kriptografi  algoritma kriptografi: fungsi matematis  kunci + algoritma kriptografi = enkripsi / dekripsi  Keamanan data terenkripsi tergantung pada  algoritma kriptografi: seberapa besar usaha yg hrs dikeluarkan untuk menguraikan ciphertext  kunci: seberapa jauh kerahasiaan kunci dapat dijaga • Kunci yg panjang → lebih sulit memecahkan algoritma, tapi juga lebih lama waktu pemrosesannya 36
Kriptografi Kunci Simetris  Satu kunci digunakan dalam proses enkripsi dan dekripsi  Algoritma:  DES (Data Encryption Standard)  IDEA (Int’l Data Encryption Algorithm)  RC5  Prinsip kerja  Pengirim & penerima sepakat menggunakan sistem kriptografi ttt  Pengirim & penerima sepakat menggunakan satu kunci tertentu  Dilakukan enkripsi sbl pengiriman teks dan dekripsi stl diterima  Contoh: Caesar’s Key  Keuntungan  Mekanisme sederhana  Kecepatan proses tinggi  Kelemahan  Keamanan kunci  Distribusi kunci 37
Kriptografi Kunci Asimetris  Enkripsi dan dekripsi tidak menggunakan kunci yang sama  Kriptografi kunci publik  Kunci publik • Untuk enkripsi • Didistribusikan kepada publik  Kunci privat • Untuk dekripsi • Bersifat rahasia  Keuntungan: • Keamanan kunci terjaga  Contoh algoritma • RSA (Rivest-Shamir-Adleman) • Elgamal • Diffie-Hellman 38
Kriptografi Hibrid  PGP (Pretty Good Privacy)  Menggabungkan keuntungan sistem kriptografi simetris dan asimetris  Kunci sesi, kunci privat, dan kunci publik  Cara kerja PGP 1. Plaintext dimampatkan (kompresi) 2. Pengirim membuat kunci sesi yg bersifat one-time-only dng algoritma konvensional 3. Plaintext terkompresi dienkripsi dng kunci sesi 4. Kunci sesi dienkripsi dengan kunci publik 5. Ciphertext + kunci dikirimkan 6. Kunci sesi didekripsi dng kunci privat 7. Kunci sesi digunakan untuk mendekripsi ciphertext 8. Hasil deskripsi didekompresi utk mendapatkan plaintext kembali  Keuntungan  Distribusi kunci terjaga  Keamanan cukup tinggi krn enkripsi berlapis  Kecepatan enkripsi & dekripsi tinggi 39
Analisis Matematis Kriptografi  Tingkat “kesulitan” algoritma → waktu utk memecahkan algoritma  Fungsi satu arah (irreversible)  Sangat mudah dihitung tetapi sulit sekali menguraikannya kembali  Digunakan utk membuat pasangan kunci publik dan kunci privat  Contoh: algoritma RSA 1. Pilih secara acak 2 bilangan prima yg cukup besar, p dan q. 2. Pilih sebuah bilangan integer secara acak yg akan berfungsi sebagai kunci publik, e, dengan syarat: e < n dan [ (p-1)(q-1)] / e bukan integer 3. Dari e, dicari kunci privat d: d = e-1 mod [ (p-1)(q-1)] Bilangan d harus memenuhi syarat: (de –1)/ [ (p-1)(q-1)] adalah integer 4. Tahap enkripsi plaintext m: c = me mod n c adalah ciphertext yg dihasilkan dari enkripsi 5. Tahap dekripsi ciphertext c: m = cd mod n 40
Tandatangan Digital Prosise, J. Digital Signatures: How They Work. PC Magazine Online, April 1996.  Fungsi mirip dengan tanda tangan biasa  Menjaga autentikasi (keaslian)  Menjaga integritas informasi  Memberikan layanan non-repudiation (atas klaim yg tidak benar)  Implementasi: didasari konsep matematis  Checksum • checksum = total % (maxval + 1) • Checksum yg cocok belum tentu menjamin bhw data tidak berubah  Cyclic Redundancy Checks (CRC) • Berbasis pembagian polinomial → tiap bit pd data merepresentasikan sebuah koefisien dr polinomial yg sangat besar • Nilai CRC = poli_data % poli_acuan • Lebih akurat drpd metode checksum  Algoritma hash (fungsi searah) • Nilai yg dihasilkan bersifat unik dan sangat sulit diduplikasi  Sistem kriptografi publik + hash 41
Sertifikat Digital  Fungsi sertifikat: utk membuktikan kebenaran sesuatu  Contoh pentingnya sertifikat dlm e- commerce: kasus BCA on-line  Komponen sertifikat digital  Kunci publik  Informasi sertifikat  Satu atau lebih tanda tangan digital  Penggunaan sertifikat digital (SD) 1. SD dikeluarkan oleh otoritas sertifikat (CA) 2. SD dikirim terenkripsi utk memastikan keaslian pemilik/situs web tertentu 3. Penerima menggunakan kunci publik milik CA untuk mendekripsi kunci publik pengirim yg disertakan di SD 4. Kunci publik pengirim dpt digunakan utk mendekripsi pesan yg sebenarnya 42
Keamanan Dalam Sistem-sistem Virtual Mengenal E-Commerce  Kebutuhan layanan yg terkait dng keamanan sistem-sistem virtual (e- commerce, e-government, dll)  Autentikasi • Memastikan seseorang itu memang benar dia adanya (asli)  Autorisasi • Memastikan seseorang memang berhak mengakses sesuatu  Kerahasiaan • Suatu informasi hanya bisa diakses oleh yg berhak saja  Integritas • Menjaga agar informasi tidak diubah oleh yg tidak berhak  Penyangkalan (non-repudiation) • Melindungi pemakai dr sangkalan pemakai sah yg lain  Aspek keamanan pd sistem-sistem virtual bersifat integral  Dukungan infrastruktur  Dukungan teknologi  Sumber daya manusia 43
Infrastruktur Sistem-sistem Virtual - CA Mengenal E-Commerce  Otoritas sertifikat digital (CA - certificate authority)  Pihak ketiga yg terpercaya (trusted) utk mengeluarkan sertifikat digital sbg hak/ijin utk melakukan transaksi elektronis  Pengelolaan sertifikat digital (SD) • Pengeluaran • Pembaruan • Penarikan  Mekanisme kerja dng prinsip rantai kepercayaan (trust chain) • Tidak hanya mengesahkan sertifikat miliknya saja, tetapi juga mampu memberi- kan kuasa yg sama kpd pihak lain yg berada pd jalur hirarkisnya  Badan-badan CA • Verisign • Thawte • OpenCA 44
Infrastruktur Sistem-sistem Virtual - SET Mengenal E-Commerce  Secure Electronic Transaction (SET)  Spesifikasi protokol dan infrastruktur pembayaran dng kartu bank  Dikembangkan oleh Visa & MasterCard  Komponen SET  Issuer • Institusi finansial yg mengeluarkan merk ttt spt Visa dan MasterCard  Cardholder • Sarana bagi pemegang sah kartu bank utk melakukan transaksi elektronis dng kartu tsb. Biasanya berupa software yg bekerja dng protokol SET  Merchant • Penjual barang/jasa yg menerima pembayaran secara elektronis  Acquirer • Institusi finansial yg menyediakan layanan utk memroses transaksi elektronis  Cara kerja SET  Mirip dng sistem kartu kredit konven-sional, tetapi dilakukan scr elektronis  Autorisasi menggunakan manajemen sertifikat digital scr hirarkis  Penggunaan kriptografi dlm setiap pengiriman pesan 45
Infrastruktur Sistem-sistem Virtual - XML Mengenal E-Commerce  eXtended Markup Language (XML)  Bahasa markup dng semantik yg bisa didefinisikan pemakai  Pengembangan dr SGML dan HTML  Berorientasi pada aspek semantik, bukan pd tampilan  Komponen utama  Kode XML yg terdiri atas tag-tag  DTD yg menjelaskan tag-tag tsb < ?xml:stylesheet type= ”test/ xsl” href= ”display.xsl” ?> < MYSHOP> < ABOUT> Toko virtual saya < / ABOUT> < BARANG> < JENIS> Komputer < / JENIS> < HARGA> 5500000 < / HARGA> < / BARANG> < BARANG> < JENIS> Printer < / JENI S> < HARGA> 3000000 < / HARGA> < / BARANG> < / MYSHOP> 46
Infrastruktur Sistem-sistem Virtual - XML < ?xml version= ”1.0” ?> < xsl:stylesheet xmlns:xsl= ”http:/ / www.w3.org/ TR/ WD-xsl”> < xsl:template match= ”/ ”> < HTML> ..... < / HTML> < / xsl:template> < xsl:template match= ”MYSHOP”> < TABLE> ..... < xsl:for-each select= ”BARANG”> ... < / xsl:for-each> < / TABLE> < / xsl:template> < / xsl:stylesheet>  Kelebihan XML  Dapat dikembangkan dng mudah • Chemical ML • MathML  Aspek isi terpisah dr aspek tampilan • mudah memanipulasi tampilan tanpa hrs mengubah isi • mudah menggabung satu dokumen XML dng dokumen lain • “write once, display anywhere” 47
Layanan Autentikasi  Autentikasi: meyakinkan bahwa seseorang itu benar dia adanya  Tujuan autentikasi: meyakinkan sebuah layanan hanya digunakan oleh orang-orang yang berhak  Contoh: autentikasi dengan SIM/KTP untuk membuktikan kebenaran si pembawa  SIM/KTP digunakan untuk mengakses berbagai layanan  SIM/KTP sbg alat bukti • Institusi yg mengeluarkan SIM/KTP • Sebuah identitas → nama pemegang SIM/KTP • Deskripsi (fisis) tentang identitas ybs → foto • Lingkup → KTP hanya berlaku di Indonesia • Masa berlaku  Pemakaian SIM/KTP disertai asumsi- asumsi • Kepercayaan thdp institusi yg mengeluarkan SIM/KTP • Tidak terjadi pemalsuan-pemalsuan • Tidak terjadi perubahan data pemegang 48
Kerberos Brian Tung. The Moron’s Guide to Kerberos. http://www.isi.edu/gost/brian/security/kerberos.html  Layanan autentikasi digital yang dikembangkan di MIT pertengahan th. 80-an  Dirancang untuk menggantikan metode authentication by assertion (sebuah client memberitahu server bahwa ia bekerja atas nama pemakai yg menjalankannya)  Contoh: rlogin → bertindak atas nama user yg terdaftar di sebuah mesin utk login ke mesin lain  Berbahaya jika penyusup dapat meyakinkan rlogin bahwa dia adalah pemakai yang berhak  Kerawanan muncul krn. metode authentication by assertion harus mendemonstrasikan kepemilikan informasi rahasia pd saat mengakses layanan rlogin rlogin daemon 49
Kerberos  Prinsip kerja Kerberos mirip dengan autentikasi dengan SIM/KTP  Skenario: pemakai ingin mengakses sebuah layanan, dan server ingin yakin bhw si pemakai adl. benar dia adanya  Pemakai memberikan tiket yg dikeluar- kan oleh server autentikasi Kerberos, yg kmd diverifikasi oleh server layanan  Asumsi-asumsi yg dipakai Kerberos  Pemakai memilih password yg “baik” (tidak mudah ditebak)  Penyusup tidak bisa masuk di antara pemakai dan program client (untuk mencuri password yg diberikan ke program client)  Komponen  Tiket  Server autentikasi (SA)  Kunci • Kunci pemakai • Kunci layanan • Kunci sesi  Enkripsi simetris 50
Kerberos User A “Saya ingin mengakses server XYZ” Server Kunci pemakai autentikasi Kunci layanan Kunci pemakai Kunci sesi “Server XYZ” Kunci layanan Kunci sesi “User A” User A Kunci sesi “Server XYZ” User A Kunci sesi Server Timestamp layanan Kunci sesi “User A” Kunci layanan Timestamp Server Kunci sesi layanan “User A” 51
Kerberos  Autentikasi layanan  Server mengambil timestamp, menam- bahkan info nama server, mengenkrip- sinya dengan kunci sesi, lalu mengirimkan kembali ke pemakai  Kelemahan mekanisme dasar Kerberos adl tiap saat pemakai hrs menuliskan password utk mem- bangkitkan kunci pemakai guna membuka enkripsi pesan yg berisi kunci sesi (yg dikirim oleh SA)  Mekanisme cache tidak disarankan utk digunakan krn rawan utk disadap  Mekanisme Ticket Granting Service (TGS) utk mengatasi kelemahan di atas  Bekerja dng prinsip “tiket temporer” dlm mengakses layanan → hanya berlaku sementara  Analog dng “tiket tamu/pengunjung” 52
Kerberos  Autentikasi cross-realm  Semakin besar cakupan jaringan, SA/TGS dapat menjadi bottleneck → sistem tidak scalable  Kerberos membagi cakupan jaringan ke dalam bbrp realms  Tiap realm punya SA/TGS sendiri  Akses di luar realm melalui remote SA/TGS SA SA TGS TGS Service Service 53

Empfohlen

Keamanan si (ugm)
Keamanan si (ugm)Keamanan si (ugm)
Keamanan si (ugm)Fathoni Mahardika II
 
Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...
Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...
Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...Lia Sapoean
 
Si & pi, dian andriani, hapzi ali, konsep dasar keamanan informasi, pemahaman...
Si & pi, dian andriani, hapzi ali, konsep dasar keamanan informasi, pemahaman...Si & pi, dian andriani, hapzi ali, konsep dasar keamanan informasi, pemahaman...
Si & pi, dian andriani, hapzi ali, konsep dasar keamanan informasi, pemahaman...Dian Andriani
 
SI & PI, Novian Risqi Nur Utami, Hapzi Ali, keamanan informasi, pemahaman ser...
SI & PI, Novian Risqi Nur Utami, Hapzi Ali, keamanan informasi, pemahaman ser...SI & PI, Novian Risqi Nur Utami, Hapzi Ali, keamanan informasi, pemahaman ser...
SI & PI, Novian Risqi Nur Utami, Hapzi Ali, keamanan informasi, pemahaman ser...Novian Risqi Nur Utami
 
TEORI BAB 9
TEORI BAB 9TEORI BAB 9
TEORI BAB 9Fany Widyodiningrat
 
Tugas sim
Tugas sim Tugas sim
Tugas sim rainbi
 
Bab 9 keamanan informasi
Bab 9 keamanan informasiBab 9 keamanan informasi
Bab 9 keamanan informasiFadlichi
 
Pendahuluan : Keamanan Sistem Informasi Berbasis Internet
Pendahuluan : Keamanan Sistem Informasi Berbasis InternetPendahuluan : Keamanan Sistem Informasi Berbasis Internet
Pendahuluan : Keamanan Sistem Informasi Berbasis InternetWildan Maulana
 

Empfohlen

Keamanan si (ugm)
Keamanan si (ugm)Keamanan si (ugm)
Keamanan si (ugm)Fathoni Mahardika II
 
Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...
Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...
Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...Lia Sapoean
 
Si & pi, dian andriani, hapzi ali, konsep dasar keamanan informasi, pemahaman...
Si & pi, dian andriani, hapzi ali, konsep dasar keamanan informasi, pemahaman...Si & pi, dian andriani, hapzi ali, konsep dasar keamanan informasi, pemahaman...
Si & pi, dian andriani, hapzi ali, konsep dasar keamanan informasi, pemahaman...Dian Andriani
 
SI & PI, Novian Risqi Nur Utami, Hapzi Ali, keamanan informasi, pemahaman ser...
SI & PI, Novian Risqi Nur Utami, Hapzi Ali, keamanan informasi, pemahaman ser...SI & PI, Novian Risqi Nur Utami, Hapzi Ali, keamanan informasi, pemahaman ser...
SI & PI, Novian Risqi Nur Utami, Hapzi Ali, keamanan informasi, pemahaman ser...Novian Risqi Nur Utami
 
TEORI BAB 9
TEORI BAB 9TEORI BAB 9
TEORI BAB 9Fany Widyodiningrat
 
Tugas sim
Tugas sim Tugas sim
Tugas sim rainbi
 
Bab 9 keamanan informasi
Bab 9 keamanan informasiBab 9 keamanan informasi
Bab 9 keamanan informasiFadlichi
 
Pendahuluan : Keamanan Sistem Informasi Berbasis Internet
Pendahuluan : Keamanan Sistem Informasi Berbasis InternetPendahuluan : Keamanan Sistem Informasi Berbasis Internet
Pendahuluan : Keamanan Sistem Informasi Berbasis InternetWildan Maulana
 
Keamanan informasi
Keamanan informasi Keamanan informasi
Keamanan informasi Harisno Al-anshori
 
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...HAJUINI ZEIN
 
Keamanan sistem informasi
Keamanan sistem informasiKeamanan sistem informasi
Keamanan sistem informasidzulfadlie
 
Sistem informasi manajemen keamanan informasi
Sistem informasi manajemen keamanan informasiSistem informasi manajemen keamanan informasi
Sistem informasi manajemen keamanan informasiHarisno Al-anshori
 
Sim keamanan sistem informasi
Sim keamanan sistem informasiSim keamanan sistem informasi
Sim keamanan sistem informasiSelfia Dewi
 
6. si &amp; pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...
6. si &amp; pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...6. si &amp; pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...
6. si &amp; pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...Anggriafriani
 
Membuat desain sistem keamanan jaringa
Membuat desain sistem keamanan jaringaMembuat desain sistem keamanan jaringa
Membuat desain sistem keamanan jaringaAhmad Hassan Saeful Bahri
 
20120930 studikasus isms
20120930 studikasus isms20120930 studikasus isms
20120930 studikasus ismsjakabayan
 
Keamanan sistem informasi
Keamanan sistem informasi Keamanan sistem informasi
Keamanan sistem informasi handy watung
 
BAB 9. Keamanan Informasi
BAB 9. Keamanan Informasi BAB 9. Keamanan Informasi
BAB 9. Keamanan Informasi audi15Ar
 
TUGAS SISTEM INFORMASI MANAJEMEN: KEAMANAN INFORMASI DALAM PEMANFATAN TEKNOLO...
TUGAS SISTEM INFORMASI MANAJEMEN: KEAMANAN INFORMASI DALAM PEMANFATAN TEKNOLO...TUGAS SISTEM INFORMASI MANAJEMEN: KEAMANAN INFORMASI DALAM PEMANFATAN TEKNOLO...
TUGAS SISTEM INFORMASI MANAJEMEN: KEAMANAN INFORMASI DALAM PEMANFATAN TEKNOLO...SitiNurAzizahPutriHe
 
Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...
Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...
Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...Ratih Safitri
 
Tugas sim, yenni nalam sinaga, yananto mahadi putra, keamanan informasi, 2018
Tugas sim, yenni nalam sinaga, yananto mahadi putra, keamanan informasi, 2018Tugas sim, yenni nalam sinaga, yananto mahadi putra, keamanan informasi, 2018
Tugas sim, yenni nalam sinaga, yananto mahadi putra, keamanan informasi, 2018ynsinaga
 
Snati2011 Penelitian cloud computing - nanang
Snati2011 Penelitian cloud computing - nanangSnati2011 Penelitian cloud computing - nanang
Snati2011 Penelitian cloud computing - nanangNanang Sasongko
 
Tugas sistem informasi manajemen feliks 43218110078 (10)
Tugas sistem informasi manajemen feliks 43218110078 (10)Tugas sistem informasi manajemen feliks 43218110078 (10)
Tugas sistem informasi manajemen feliks 43218110078 (10)felikstevanus
 
Pertemuan10
Pertemuan10Pertemuan10
Pertemuan10Abbanae Dandim
 
Pertemuan1
Pertemuan1Pertemuan1
Pertemuan1Abbanae Dandim
 
Sister09
Sister09Sister09
Sister09Abbanae Dandim
 
Riti di passaggio
Riti di passaggioRiti di passaggio
Riti di passaggio152916
 
Moçambique - O Despertar de Emoções
Moçambique - O Despertar de EmoçõesMoçambique - O Despertar de Emoções
Moçambique - O Despertar de EmoçõesACRENARMO
 
OSI layer
OSI layerOSI layer
OSI layerSMKN 3 Kota Tangerang
 
Ancaman Keamanan Jaringan
Ancaman Keamanan JaringanAncaman Keamanan Jaringan
Ancaman Keamanan Jaringancandra358
 

Weitere ähnliche Inhalte

Was ist angesagt?

SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...HAJUINI ZEIN
 
Keamanan sistem informasi
Keamanan sistem informasiKeamanan sistem informasi
Keamanan sistem informasidzulfadlie
 
Sistem informasi manajemen keamanan informasi
Sistem informasi manajemen keamanan informasiSistem informasi manajemen keamanan informasi
Sistem informasi manajemen keamanan informasiHarisno Al-anshori
 
Sim keamanan sistem informasi
Sim keamanan sistem informasiSim keamanan sistem informasi
Sim keamanan sistem informasiSelfia Dewi
 
6. si &amp; pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...
6. si &amp; pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...6. si &amp; pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...
6. si &amp; pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...Anggriafriani
 
20120930 studikasus isms
20120930 studikasus isms20120930 studikasus isms
20120930 studikasus ismsjakabayan
 
Keamanan sistem informasi
Keamanan sistem informasi Keamanan sistem informasi
Keamanan sistem informasi handy watung
 
BAB 9. Keamanan Informasi
BAB 9. Keamanan Informasi BAB 9. Keamanan Informasi
BAB 9. Keamanan Informasi audi15Ar
 
TUGAS SISTEM INFORMASI MANAJEMEN: KEAMANAN INFORMASI DALAM PEMANFATAN TEKNOLO...
TUGAS SISTEM INFORMASI MANAJEMEN: KEAMANAN INFORMASI DALAM PEMANFATAN TEKNOLO...TUGAS SISTEM INFORMASI MANAJEMEN: KEAMANAN INFORMASI DALAM PEMANFATAN TEKNOLO...
TUGAS SISTEM INFORMASI MANAJEMEN: KEAMANAN INFORMASI DALAM PEMANFATAN TEKNOLO...SitiNurAzizahPutriHe
 
Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...
Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...
Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...Ratih Safitri
 
Tugas sim, yenni nalam sinaga, yananto mahadi putra, keamanan informasi, 2018
Tugas sim, yenni nalam sinaga, yananto mahadi putra, keamanan informasi, 2018Tugas sim, yenni nalam sinaga, yananto mahadi putra, keamanan informasi, 2018
Tugas sim, yenni nalam sinaga, yananto mahadi putra, keamanan informasi, 2018ynsinaga
 
Snati2011 Penelitian cloud computing - nanang
Snati2011 Penelitian cloud computing - nanangSnati2011 Penelitian cloud computing - nanang
Snati2011 Penelitian cloud computing - nanangNanang Sasongko
 
Tugas sistem informasi manajemen feliks 43218110078 (10)
Tugas sistem informasi manajemen feliks 43218110078 (10)Tugas sistem informasi manajemen feliks 43218110078 (10)
Tugas sistem informasi manajemen feliks 43218110078 (10)felikstevanus
 

Was ist angesagt? (15)

Keamanan informasi
Keamanan informasi Keamanan informasi
Keamanan informasi
 
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...
 
Keamanan sistem informasi
Keamanan sistem informasiKeamanan sistem informasi
Keamanan sistem informasi
 
Sistem informasi manajemen keamanan informasi
Sistem informasi manajemen keamanan informasiSistem informasi manajemen keamanan informasi
Sistem informasi manajemen keamanan informasi
 
Sim keamanan sistem informasi
Sim keamanan sistem informasiSim keamanan sistem informasi
Sim keamanan sistem informasi
 
6. si &amp; pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...
6. si &amp; pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...6. si &amp; pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...
6. si &amp; pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...
 
Membuat desain sistem keamanan jaringa
Membuat desain sistem keamanan jaringaMembuat desain sistem keamanan jaringa
Membuat desain sistem keamanan jaringa
 
20120930 studikasus isms
20120930 studikasus isms20120930 studikasus isms
20120930 studikasus isms
 
Keamanan sistem informasi
Keamanan sistem informasi Keamanan sistem informasi
Keamanan sistem informasi
 
BAB 9. Keamanan Informasi
BAB 9. Keamanan Informasi BAB 9. Keamanan Informasi
BAB 9. Keamanan Informasi
 
TUGAS SISTEM INFORMASI MANAJEMEN: KEAMANAN INFORMASI DALAM PEMANFATAN TEKNOLO...
TUGAS SISTEM INFORMASI MANAJEMEN: KEAMANAN INFORMASI DALAM PEMANFATAN TEKNOLO...TUGAS SISTEM INFORMASI MANAJEMEN: KEAMANAN INFORMASI DALAM PEMANFATAN TEKNOLO...
TUGAS SISTEM INFORMASI MANAJEMEN: KEAMANAN INFORMASI DALAM PEMANFATAN TEKNOLO...
 
Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...
Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...
Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...
 
Tugas sim, yenni nalam sinaga, yananto mahadi putra, keamanan informasi, 2018
Tugas sim, yenni nalam sinaga, yananto mahadi putra, keamanan informasi, 2018Tugas sim, yenni nalam sinaga, yananto mahadi putra, keamanan informasi, 2018
Tugas sim, yenni nalam sinaga, yananto mahadi putra, keamanan informasi, 2018
 
Snati2011 Penelitian cloud computing - nanang
Snati2011 Penelitian cloud computing - nanangSnati2011 Penelitian cloud computing - nanang
Snati2011 Penelitian cloud computing - nanang
 
Tugas sistem informasi manajemen feliks 43218110078 (10)
Tugas sistem informasi manajemen feliks 43218110078 (10)Tugas sistem informasi manajemen feliks 43218110078 (10)
Tugas sistem informasi manajemen feliks 43218110078 (10)
 

Andere mochten auch

Riti di passaggio
Riti di passaggioRiti di passaggio
Riti di passaggio152916
 
Moçambique - O Despertar de Emoções
Moçambique - O Despertar de EmoçõesMoçambique - O Despertar de Emoções
Moçambique - O Despertar de EmoçõesACRENARMO
 
Ancaman Keamanan Jaringan
Ancaman Keamanan JaringanAncaman Keamanan Jaringan
Ancaman Keamanan Jaringancandra358
 
GOAP LatAm 2013 > 7X7 Presentation: Kueski
GOAP LatAm 2013 > 7X7 Presentation: KueskiGOAP LatAm 2013 > 7X7 Presentation: Kueski
GOAP LatAm 2013 > 7X7 Presentation: Kueski500 Startups
 

Andere mochten auch (13)

Pertemuan10
Pertemuan10Pertemuan10
Pertemuan10
 
Pertemuan1
Pertemuan1Pertemuan1
Pertemuan1
 
Sister09
Sister09Sister09
Sister09
 
Riti di passaggio
Riti di passaggioRiti di passaggio
Riti di passaggio
 
Moçambique - O Despertar de Emoções
Moçambique - O Despertar de EmoçõesMoçambique - O Despertar de Emoções
Moçambique - O Despertar de Emoções
 
OSI layer
OSI layerOSI layer
OSI layer
 
Ancaman Keamanan Jaringan
Ancaman Keamanan JaringanAncaman Keamanan Jaringan
Ancaman Keamanan Jaringan
 
Pertemuan2
Pertemuan2Pertemuan2
Pertemuan2
 
Nelson Mandela
Nelson MandelaNelson Mandela
Nelson Mandela
 
Pertemuan6
Pertemuan6Pertemuan6
Pertemuan6
 
Pertemuan7
Pertemuan7Pertemuan7
Pertemuan7
 
GOAP LatAm 2013 > 7X7 Presentation: Kueski
GOAP LatAm 2013 > 7X7 Presentation: KueskiGOAP LatAm 2013 > 7X7 Presentation: Kueski
GOAP LatAm 2013 > 7X7 Presentation: Kueski
 
CP-life
CP-lifeCP-life
CP-life
 

Ähnlich wie Sister02

Desain sistem keamanan jaringan
Desain sistem keamanan jaringanDesain sistem keamanan jaringan
Desain sistem keamanan jaringanTeuacan Nami
 
SiPi puji rahayu_hapziali_pentingnya keamanan sistem informasi_universitas me...
SiPi puji rahayu_hapziali_pentingnya keamanan sistem informasi_universitas me...SiPi puji rahayu_hapziali_pentingnya keamanan sistem informasi_universitas me...
SiPi puji rahayu_hapziali_pentingnya keamanan sistem informasi_universitas me...Puji Rahayu
 
552-P01 [Compatibility Mode].pdf
552-P01 [Compatibility Mode].pdf552-P01 [Compatibility Mode].pdf
552-P01 [Compatibility Mode].pdfFadlyBandit
 
Ethical Hacking1
Ethical Hacking1Ethical Hacking1
Ethical Hacking1dodontn
 
Module6 bahasa (1)
Module6 bahasa (1)Module6 bahasa (1)
Module6 bahasa (1)elimyudha
 
Seminar and Workshop Computer Security, BPPTIK Kominfo
Seminar and Workshop Computer Security, BPPTIK KominfoSeminar and Workshop Computer Security, BPPTIK Kominfo
Seminar and Workshop Computer Security, BPPTIK KominfoDigit Oktavianto
 
Tugas sim
Tugas sim Tugas sim
Tugas sim rainbi
 
Tugas sim
Tugas sim Tugas sim
Tugas sim rainbi
 
Mis2013 chapter 13-keamanan sistem informasi
Mis2013 chapter 13-keamanan sistem informasiMis2013 chapter 13-keamanan sistem informasi
Mis2013 chapter 13-keamanan sistem informasiAndi Iswoyo
 
10. SIM, Yasmin Al-Hakim, Hapzi Ali, Keamanan Sistem Informasi, Universitas M...
10. SIM, Yasmin Al-Hakim, Hapzi Ali, Keamanan Sistem Informasi, Universitas M...10. SIM, Yasmin Al-Hakim, Hapzi Ali, Keamanan Sistem Informasi, Universitas M...
10. SIM, Yasmin Al-Hakim, Hapzi Ali, Keamanan Sistem Informasi, Universitas M...Yasmin Al-Hakim
 
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and ResponseCyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and ResponsePanji Ramadhan Hadjarati
 
Sistem informasi manajemen keamanan informasi
Sistem informasi manajemen keamanan informasiSistem informasi manajemen keamanan informasi
Sistem informasi manajemen keamanan informasiHarisno Al-anshori
 
Manajemen Risiko
Manajemen RisikoManajemen Risiko
Manajemen Risikoulianiati
 
Slide-SIF324-W1-Keamanan-Informasi.ppt
Slide-SIF324-W1-Keamanan-Informasi.pptSlide-SIF324-W1-Keamanan-Informasi.ppt
Slide-SIF324-W1-Keamanan-Informasi.pptsaydewiknow
 
ppt hari ini.pptx
ppt hari ini.pptxppt hari ini.pptx
ppt hari ini.pptxMeiRinta1
 

Ähnlich wie Sister02 (20)

Desain sistem keamanan jaringan
Desain sistem keamanan jaringanDesain sistem keamanan jaringan
Desain sistem keamanan jaringan
 
SiPi puji rahayu_hapziali_pentingnya keamanan sistem informasi_universitas me...
SiPi puji rahayu_hapziali_pentingnya keamanan sistem informasi_universitas me...SiPi puji rahayu_hapziali_pentingnya keamanan sistem informasi_universitas me...
SiPi puji rahayu_hapziali_pentingnya keamanan sistem informasi_universitas me...
 
552-P01 [Compatibility Mode].pdf
552-P01 [Compatibility Mode].pdf552-P01 [Compatibility Mode].pdf
552-P01 [Compatibility Mode].pdf
 
Ethical Hacking1
Ethical Hacking1Ethical Hacking1
Ethical Hacking1
 
Module6 bahasa (1)
Module6 bahasa (1)Module6 bahasa (1)
Module6 bahasa (1)
 
Sistem informasi akuntansi
Sistem informasi akuntansiSistem informasi akuntansi
Sistem informasi akuntansi
 
Seminar and Workshop Computer Security, BPPTIK Kominfo
Seminar and Workshop Computer Security, BPPTIK KominfoSeminar and Workshop Computer Security, BPPTIK Kominfo
Seminar and Workshop Computer Security, BPPTIK Kominfo
 
Bab 9 teori
Bab 9 teoriBab 9 teori
Bab 9 teori
 
Bab 9 teori
Bab 9 teoriBab 9 teori
Bab 9 teori
 
SIM TEORI BAB 9
SIM TEORI BAB 9SIM TEORI BAB 9
SIM TEORI BAB 9
 
Tugas sim
Tugas sim Tugas sim
Tugas sim
 
Tugas sim
Tugas sim Tugas sim
Tugas sim
 
Mis2013 chapter 13-keamanan sistem informasi
Mis2013 chapter 13-keamanan sistem informasiMis2013 chapter 13-keamanan sistem informasi
Mis2013 chapter 13-keamanan sistem informasi
 
It risk management with octave sm
It risk management with octave smIt risk management with octave sm
It risk management with octave sm
 
10. SIM, Yasmin Al-Hakim, Hapzi Ali, Keamanan Sistem Informasi, Universitas M...
10. SIM, Yasmin Al-Hakim, Hapzi Ali, Keamanan Sistem Informasi, Universitas M...10. SIM, Yasmin Al-Hakim, Hapzi Ali, Keamanan Sistem Informasi, Universitas M...
10. SIM, Yasmin Al-Hakim, Hapzi Ali, Keamanan Sistem Informasi, Universitas M...
 
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and ResponseCyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
 
Sistem informasi manajemen keamanan informasi
Sistem informasi manajemen keamanan informasiSistem informasi manajemen keamanan informasi
Sistem informasi manajemen keamanan informasi
 
Manajemen Risiko
Manajemen RisikoManajemen Risiko
Manajemen Risiko
 
Slide-SIF324-W1-Keamanan-Informasi.ppt
Slide-SIF324-W1-Keamanan-Informasi.pptSlide-SIF324-W1-Keamanan-Informasi.ppt
Slide-SIF324-W1-Keamanan-Informasi.ppt
 
ppt hari ini.pptx
ppt hari ini.pptxppt hari ini.pptx
ppt hari ini.pptx
 

Mehr von Abbanae Dandim

Mehr von Abbanae Dandim (12)

Pertemuan9
Pertemuan9Pertemuan9
Pertemuan9
 
Pertemuan8
Pertemuan8Pertemuan8
Pertemuan8
 
Pertemuan5
Pertemuan5Pertemuan5
Pertemuan5
 
Pertemuan4
Pertemuan4Pertemuan4
Pertemuan4
 
Pertemuan3
Pertemuan3Pertemuan3
Pertemuan3
 
Pertemuan2
Pertemuan2Pertemuan2
Pertemuan2
 
Pertemuan10
Pertemuan10Pertemuan10
Pertemuan10
 
Pertemuan8
Pertemuan8Pertemuan8
Pertemuan8
 
Pertemuan7
Pertemuan7Pertemuan7
Pertemuan7
 
Pertemuan6
Pertemuan6Pertemuan6
Pertemuan6
 
Pertemuan5
Pertemuan5Pertemuan5
Pertemuan5
 
Pertemuan4
Pertemuan4Pertemuan4
Pertemuan4
 

Sister02

  • 1. Sistem keamanan sistem terdistribusi Oleh : SAEFUL ABRAR SOFYAN 1
  • 2. Rencana Kuliah  Topik  Pendahuluan  Konsep-konsep keamanan • Fungsi biaya, kebijakan, bentuk, dan aspek- aspek keamanan  Jenis-jenis ancaman • Ancaman pasif, jenis-jenis serangan  Mekanisme pengamanan • Autentifikasi, kendali akses, mekanisme pemisahan, mekanisme komunikasi, dan mekanisme deteksi dan pemulihan  Contoh-contoh kasus  Evaluasi  Tugas #1 (mg 8, klp) – 25% • Pemrograman simulasi • Demo di lab Informatika: minggu ke-12  Tugas #2 (mg 12, klp) – 25% • Makalah • Presentasi: minggu terakhir  Ujian akhir – 50%  Acuan  Acuan diberikan pada saat kuliah Lukito E. Nugroho 2
  • 3. Pendahuluan http://www.cert.org/congressional_testimony/Pethia_testimony_Mar9.html  Relevansi keamanan sistem informasi  Informasi sebagai komoditi ekonomi → obyek kepemilikan yang harus dijaga  Informasi menciptakan “dunia” baru (mis: Internet) → membawa beragam dinamika dari dunia nyata • Komunikasi digital (e-mail, e-news, …) • Aktifitas digital (e-commerce, e-learning, …) • Konflik digital (cyber war, …)  Mengapa sistem informasi rentan terhadap gangguan keamanan  Sistem yg dirancang untuk bersifat “terbuka” (mis: Internet) • Tidak ada batas fisik dan kontrol terpusat • Perkembangan jaringan (internetworking) yang amat cepat  Sikap dan pandangan pemakai • Aspek keamanan belum banyak dimengerti • Menempatkan keamanan sistem pada prioritas rendah  Tidak ada solusi yang komprehensif 3
  • 4. Pendahuluan  Solusi terhadap masalah keamanan sistem informasi  Pusat-pusat informasi tentang keamanan • CERT • Milis-milis tentang keamanan sistem • Institusi lainnya: SecurityFocus, Symantec  Penggunaan mekanisme deteksi global • Pembentukan jaringan tim penanggap insiden di seluruh dunia  Peningkatan kesadaran terhadap masalah keamanan • Pendidikan bagi pengguna umum • Pelatihan bagi personil teknis (administrator sistem dan jaringan, CIO, CTO) 4
  • 5. Konsep-konsep Keamanan Olovsson, Thomas. A Structured Approach to Computer Security. TR 122, Dept. Comp. Sci, Chalmers University of Technology, Sweden, 1992. Dari www.securityfocus.com  Keamanan sebagai bagian dari sistem QoS  Ketersediaan, kehandalan, kepastian operasional, dan keamanan  Keamanan: perlindungan thdp obyek- obyek dlm kaitannya dengan kerahasiaan dan integritas • Obyek → komponen pasif  CPU, disk, program, … • Subyek → komponen aktif  pemakai, proses, …  Keamanan sbg. fungsi waktu: Sec(t) • Memungkinkan kuantifikasi tingkat-tingkat keamanan, mirip dengan konsep MTTF (mean time to failure) pada kehandalan  Biaya pengamanan sistem  Pengertian “aman”: penyusup hrs mengeluarkan usaha, biaya, dan waktu yg besar utk dpt menembus sistem  Biaya pengamanan → kombinasi banyak faktor yg saling berpengaruh  Perlu dicari optimisasi: biaya pengamanan vs potensi kerusakan 5
  • 6. Konsep-konsep Keamanan  Kebijakan keamanan  Mengatur apa yang diijinkan dan tidak diijinkan dlm operasi normal • Mengatur bgmn subyek dapat mengakses obyek  Sering bersifat “politis” drpd teknis  Harus mencerminkan proteksi thdp sistem secara seimbang, komprehen- sif, dan cost-effective  Proses: analisis ancaman → kebijakan keamanan → mekanisme pengamanan • Analisis ancaman: memperkirakan jenis ancaman dan potensi merusaknya • Mekanisme pengamanan: implementasi kebijakan keamanan  Kebijakan keamanan harus berfungsi dengan baik sekaligus mudah dipakai • Dapat mencegah penyusup pada umumnya • Mampu menarik pemakai untuk mengguna- kannya 6
  • 7. Aspek-aspek dalam Masalah Keamanan  Kerahasiaan  Melindungi obyek informasi dari pelepasan (release) yg tidak sah  Melindungi obyek resource dari akses yg tidak sah  Integritas  Menjaga obyek agar tetap dapat dipercaya (trustworthy)  Melindungi obyek dari modifikasi yang tidak sah 7
  • 8. Aspek-aspek dalam Masalah Keamanan Layer 5 Auditing, monitoring, and investigating Layer 4 Information security technologies and products Layer 3 Information security awareness and training Validation Layer 6 Layer 2 Information security architecture and processes Layer 1 Information security policies and standards Firewall Anti virus User authentication Access control Cryptography Consulting and Administration Management Assessment Logging, reporting, alerting Certification Physical security 8
  • 9. Sistem Deteksi Intrusi Bace, Rebecca. An Introduction to Intrusion Detection and Assessment. ICSA. Dari www.securityfocus.com.  Deteksi intrusi:  Teknologi pengamanan sistem untuk menghadapi serangan dan penyalah- gunaan sistem  Mengumpulkan info dari berbagai sumber di sistem dan jaringan, lalu menganalisisnya dari sudut pandang kelemahan pengamanan (security vulnerabilities)  Relevansi  Kenaikan tingkat pembobolan sistem sebesar 22% (1996 - 1998)  Fungsi-fungsi  Pemantauan dan analisis aktivitas pemakai dan sistem  Audit terhadap konfigurasi dan kelemahan sistem  Prakiraan integritas file-file sistem dan data  Pengenalan pola-pola serangan  Analisis statistik ttg. pola-pola abnormal 9
  • 10. Deteksi Intrusi  Proses  Kombinasi berbagai aktifitas peman- tauan, audit, dan prakiraan  Dilakukan secara kontinyu  Diawali dengan prakiraan kelemahan (vulnerability assessment) • Identifikasi kelemahan sistem yg memung- kinkan terjadinya penyelewengan sistem pengamanan • Teknik pasif: memeriksa konfigurasi sistem, file password, dsb. • Teknik aktif: mengevaluasi performance sistem pengamanan melalui simulasi serangan • Tools: scanners • Hasil prakiraan menunjukkan snapshot kondisi keamanan sistem pd suatu saat  Tidak bisa mendeteksi serangan yg sedang berlangsung  Bisa menunjukkan bahwa sebuah serangan mungkin terjadi  Kadang-kadang bisa menunjukkan bahwa sebuah serangan telah terjadi 10
  • 11. Fitur Teknologi Deteksi Intrusi Type of System Intrusion Detection Vulnerability Assessment System Design Features Monitoring Approach Timing of Type of Targets and Strategies Analysis Analysis What can it do ? Integrity analysis D = detects Network-based Network-based Batch/Interval P = prevents Target-based Application- Host-based Host-based assessment R = repairs Integrated Statistical Real time Signature Password (passive) analysys analysis (active) S = supports based mode Type Examples of Security Problems Unauthorized access to files and D D D P P P Confidentiality system resources Violation of corporate system use policies D D D D P P P Violation of corporate security policies D D D D D D D P P Weak or non-existent passwords D D D D D D Placement of trojan horses and malicious software D P D D D D P P P Presence of troja horses and D D D D Integrity malicious software Network service-based attacks D D D D P CGI-based attacks D D D P P Denial of service attacks D D D D P Availability Failure or misconfigured firewalls D D D P P Attacks occurring over encrypted networks D D D D Unusual activities or variations of normal user patterns D Errors in system or network configuration D D D,P,R D,P,R Liability exposure associated with P P P P P P P P P P P P P Others attackers using organizational resources to attack others Post-incident damage assessment S S S S S S S S S S S 11
  • 12. Sistem Deteksi Intrusi dalam Manajemen Pengamanan Sistem Prevention Detection Diagnosis Monitor Analyze and Resolution Report Respond Investigation  Pengamanan sistem bukan kegiatan sesaat  Target berupa lingkungan yang dinamis 12
  • 13. Keuntungan Sistem Deteksi Intrusi  Memberikan perlindungan yg lebih luas dalam pengamanan sistem  Membantu memahami apa yg terjadi di dalam sistem  Dukungan teknis:  Melacak aktivitas pemakai dari awal sampai akhir  Mengenal dan melaporkan usaha- usaha modifikasi file  Mengetahui kelemahan konfigurasi sistem  Mengenali bahwa sistem telah atau potensial untuk diserang  Memungkinkan operasional pengamanan sistem dilakukan oleh staf tanpa keahlian spesifik  Membantu penyusunan kebijakan dan prosedur pengamanan sistem 13
  • 14. Kelemahan Sistem Deteksi Intrusi  Bukan solusi total untuk masalah keamanan sistem  Tidak bisa mengkompensasi kelemahan:  mekanisme identifikasi dan autentifikasi  protokol jaringan  integritas dan kualitas informasi dalam sistem yang dilindungi  Masih memerlukan keterlibatan manusia  Banyak berasumsi pada teknologi jaringan konvensional, belum bisa menangani teknologi baru (mis: fragmentasi paket pd jaringan ATM) 14
  • 15. Beberapa Terminologi telnet request 23 telnet daemon ssh request 22 ssh daemon http request 80 http server Apache, IIS, ... request reply client server acknowledge 15
  • 16. Sniffing (Penyadapan) Alaric. Sniffin’ the Ether. www.attrition.org/security/newbie/ security/sniffer/sniffer.html  Sniffing: penyadapan informasi  Memanfaatkan metode broadcasting  “Membengkokkan” aturan Ethernet  Dilakukan dengan membuat NIC bekerja pada mode “promiscuous”  Dimanfaatkan untuk:  menyadap password, e-mail, dokumen rahasia, dan semua informasi yg tidak dienkripsi  memetakan network  mengambilalih mesin-mesin “trusted” sbg batu loncatan  Contoh-contoh sniffer  Sniffit, TCP Dump, Linsniffer  Mencegah efek negatif sniffing  Pendeteksian sniffer (local & remote)  Penggunaan kriptografi (mis: ssh sbg pengganti telnet) www.attrition.org/security/newbie/security/sniffer/p54-10.txt 16
  • 17. Scanning (Pemindaian) Fyodor. The Art of Port Scanning. www.phrack.org/show.php? p=51&a=11, dan R. Jankowski. Scanning and Defending Networks with Nmap. www.linuxsecurity.com/feature_stories/feature_story- 4.html  Teknik untuk menemukan saluran komunikasi yg dpt dieksploitasi  Prinsip: coba ke sebanyak mungkin target, catat target yg potensial untuk dipindai  Teknik pemindaian  Penyapuan ping (Ping sweeping) • Mengirimkan ICMP echo dan TCP ACK ke tiap host • Untuk mengetahui apakah sebuah host sedang hidup atau tidak  TCP connect (port scanning) • Menggunakan system call connect() • Tidak perlu privilege khusus • Mudah dilacak melalui mekanisme log  TCP SYN (model “setengah-terbuka”) • Tidak membangun koneksi TCP secara penuh • Mengirim SYN, menerima SYN|ACK, lalu mengirim RST (bukan ACK spt pada koneksi penuh) • Relatif tidak terlacak oleh mekanisme log • Memerlukan privilege root 17
  • 18. Scanning (Pemindaian)  TCP FIN • Port tertutup mengirim RST, port terbuka mengabaikannya • Ketidakpatuhan Microsoft dalam mengimple-mentasikan protokol TCP → digunakan untuk membedakan mesin *NIX dan mesin NT  TCP identd • identd protokol mengijinkan pembukaan nama pemilik sebuah proses yg terhubung dengan TCP • Digunakan untuk mengidentifikasi pemilik sebuah proses  Apakah httpd dijalankan oleh root ?  Penyidikan Sistem Operasi • Menggunakan beberapa teknik untuk menginterogasi TCP stack  FIN probing  BOGUS flag probing  ISN sampling, dll • Biasanya dilanjutkan dengan mengeksploita-si kelemahan SO yang bersangkutan 18
  • 19. Kelemahan (Vulnerability)  Mengindikasikan “lubang-lubang” keamanan yg dapat ditembus  Didokumentasikan (mis: CVE - common vulnerabilities and exposures) agar dapat dimanfaatkan oleh banyak orang  Konsep “security through obscurity” menjadi tidak menguntungkan Name: CVE-1999-0002 Reference: SGI:19981006-01-I Reference: CERT:CA-98.12.mountd Reference: CIAC:J-006 Reference: BID:121 Reference: XF:linux-mountd-bo Buffer overflow in NFS mountd gives root access to remote attackers, mostly in Linux systems. ---------------------- 19
  • 20. Deteksi Intrusi Jaringan D. Wreski & C. Pallack. Network Intrusion Detection Using Snort. www.linuxsecurity.com/feature_stories/ feature_story-49.html  Untuk mendeteksi usaha-usaha sniffing dan scanning  Berdasarkan basis data pola-pola penyusupan  Penempatan tool pendeteksi  Di antara firewall dan jaringan eksternal → mendeteksi serangan yg dapat ditangkal firewall maupun yg tidak  Di dalam jaringan lokal → hanya mendeteksi serangan yg tidak dapat ditangkal firewall 20
  • 21. IP Spoofing daemon9. IP Spoofing Demistified. Phrack Magazine, vol 7, no. 48. June 1996. www.phrack.org  IP spoofing: “membajak” identitas (alamat IP) sebuah host untuk membangun komunikasi dengan host lain  Memanfaatkan:  Autentikasi berbasis alamat IP (mis: rlogin)  Kelemahan protokol IP • connectionless (tidak menyimpan connect- ion state) • mudah untuk memodifikasi stack IP  Skenario: 1. Menentukan host sasaran 2. Menemukan “pola-pola kepercayaan” (pattern of trust) dr host yg dapat dipercaya (trusted host) 3. “Melumpuhkan” host yg dpt dipercaya 4. Membajak identitas host yg dpt dipercaya 5. Mencoba membentuk koneksi yg memanfaatkan autentikasi berbasis alamat IP 21
  • 22. IP Spoofing Host target Host terpercaya (TGT) (TPC) Host asing (A) Host penyerang (P) 1. Menemukan pola-pola kepercayaan antara TGT dan TPC  Memanfaatkan tool-tool yg ada: showmount, rpcinfo, … 1. Melumpuhkan TPC  Melalui SYN flooding (D.o.S dengan permintaan SYN) dengan alamat palsu yg tidak terlacak (alamat milik A) 1. Pencuplikan dan peramalan nomor sekuens (ns) 2. Serangan: 1. P(TPC) →SYN→ TGT 2. TPC ←SYN|ACK← TGT 3. P(TPC) →ACK→ TGT (dng ns yg cocok) 4. P(TPC) →PSH → TGT 3. Memasang backdoor 22
  • 23. IP Spoofing  Tindakan pencegahan  Tidak menggunakan autentikasi berbasis alamat IP  Penyaringan paket dan firewall  Penggunaan kriptografi  Randomisasi ISN (Initial Sequence Number) 23
  • 24. Carnivore Tyson, J. How Carnivore Works. www.howstuffworks.com/ carnivore.htm  Packet sniffer milik FBI  Komponen  Carnivore: packet sniffer  Packeteer: packet reassembler  Coolminer: ekstrapolasi dan analisis data  Cara kerja 1. FBI punya alasan cukup mencurigai seseorang terlibat dlm aktivitas ilegal 2. Pengadilan memberi ijin melakukan penyadapan komunikasi  content-wiretap: seluruh isi komunikasi  trap-and-trace: target/tujuan komunikasi  pen-register: asal komunikasi 1. FBI meminta copy file backup ttg. aktivitas orang yg dicurigai ke ISP. Jika data yg diminta tidak ada, maka FBI melaksanakan langkah #4 dst. 2. FBI memasang komputer Carnivore di ISP  Pentium III, Win NT/2000, 128 MB RAM  Software komunikasi komersial  Program C++ untuk packet sniffing  Sistem perlindungan fisik thdp sistem Carnivore  Piranti isolasi jaringan utk menjaga Carnivore dr usaha-usaha penyusupan dsb  Jaz drive 2 GB untuk piranti penyimpanan 24
  • 25. Carnivore  Cara kerja (lanjutan) 5. Sistem Carnivore di-set sesuai dng penyadapan yg diijinkan. Packet sniffing dilakukan tanpa mengganggu aliran data yg lain 6. Paket target yg disadap disimpan di piranti penyimpan (Jaz drive) 7. Setiap 1 atau 2 hari, FBI mengganti kaset Jaz drive dengan yg baru 8. Proses penyadapan berlangsung maks 1 bulan. Jika diperlukan waktu lebih, hrs ada ijin baru dr pengadilan 9. Data yg diperoleh diproses dng Packeteer dan Coolminer  Isu-isu ttg Carnivore  Privasi dalam berkomunikasi  Pentingnya regulasi  Kebebasan berkomunikasi  Kontrol oleh pemerintah 25
  • 26. Virus, Worm, dan Trojan Horse Brain, M. How Computer Viruses Work. www.howstuffworks.com/virus3.htm.  Virus  Program yg menumpang program lain  Menginfeksi dng cara bereproduksi dan menempel pd program lain  Worm  Program yg menyebar melalui jaringan dan memanfaatkan lubang-lubang keamanan sistem  Dapat mereplikasi dirinya sendiri  Trojan horse  Program dng “hidden agenda”  Efek yg ditimbulkan virus, worm, dan Trojan horse  Dari gangguan pd tampilan s.d. kerusakan data/file/hard disk  Beban trafik jaringan yg begitu besar  Server-server macet krn. DoS  Kerugian material $17.1 milyar pd tahun 2000 26
  • 27. Virus dan Penyebarannya  Pemicu munculnya virus:  Popularitas PC dng arsitektur terbuka  Bulletin boards yg menyediakan aneka program → melahirkan Trojan horse  Floppy disk sbg alat transportasi program  Penyebaran virus  Virus menempel pd program lain  Bila program induk dieksekusi, virus akan dimuat ke memori dan menjadi aktif  Virus mencari program induk yg lain, dan bila ada, ia akan menempelkan kode programnya ke program induk baru → menyebar melalui program induk baru ini  Virus dpt masuk ke boot sector, shg tiap kali komputer dihidupkan, ia akan dimuat ke memori dan menjadi aktif  Virus e-mail  Menyebar melalui pengiriman e-mail → sbg attachment e-mail  Aktivasi melalui pembukaan attachment → mengeksekusi script virus yg ada dlm attachment (mis: script VBA)  Melissa, ILOVEYOU, … 27
  • 28. Worm  Menyebar melalui Internet dan mengeksploitasi kelemahan sistem  Penyebaran: 1. Masuk ke sistem yg tidak terlindung 2. Replikasi 3. Scan sistem-sistem lain yg tdk terjaga  Ledakan kombinatorial dlm penyebarannya  CodeRed: 250 ribu replikasi dlm 9 jam  Populasi mesin di Internet yg amat besar  Ketidakpedulian thdp aspek keamanan  Contoh: CodeRed  Vulnerability di fasilitas ISAPI pd IIS  Replikasi dirinya pd 20 hari pertama pd tiap bulan  Web defacing (mengganti tampilan halaman Web)  Serangan DDoS 28
  • 29. Contoh Worm: Code Red Microsoft Security Bulletin MS01-033. www.microsoft.com/technet/treeview/default.asp?url=/ technet/security/bulletin/MS1-033.asp  Platform yg terpengaruh:  Windows NT 4.0 dan Windows 2000  Akibat serangan  Eksekusi kode sesuai dng keinginan penyerang  Eksploitasi  Instalasi IIS akan memasang bbrp file DLL yg mrpk ekstensi ISAPI -- salah satunya adl file IDQ.DLL (indexing service)  IDQ.DLL mengandung buffer utk menangani input URL. Buffer ini tidak mengalami error checking  Penyerang yg telah memiliki web session dng IIS dpt melakukan serangan berupa buffer overflow thdp IDQ.DLL  Buffer overflow dng pola ttt menye-babkan eksekusi kode ttt oleh server pd konteks sistem → kendali penuh pd sistem  Kemungkinan penggunaan  Web defacing  Eksekusi perintah OS  Rekonfigurasi server  Eksekusi program lain 29
  • 30. Pencegahan Virus, Worm, dkk  Anti virus  Update data ttg virus signature secara teratur  Aktifkan proteksi yg disediakan oleh software (mis: proteksi virus macro)  Faktor manusia: kehati-hatian  Menggunakan disket dr sumber asing  Menerima e-mail dengan attachment  Menerima dokumen dr sumber asing  Sering-sering melihat situs keamanan, mengawasi munculnya virus-virus baru, dan menerapkan patch yg diberikan  Gunakan sistem operasi dan software yg tidak banyak memiliki lubang kelemahan  Linux vs Windows  Apache vs IIS 30
  • 31. Firewall  Program/piranti utk mencegah potensi kerusakan masuk ke network  Metode  Penapisan (filtering) paket • Alamat IP • Nama domain • Protokol • Port  Layanan proxy • Bertindak “atas nama” host di dalam network • Sering digabung dengan fasilitas cache  Potensi kerusakan yg dpt ditangkal oleh firewall  Login jarak-jauh  Application backdoors  Pembajakan sesi SMTP (utk mengirim e-mail spam)  Denial of service  Bom e-mail 31
  • 32. Firewall  Perancangan firewall  Mengikuti kebijakan pengamanan  Keamanan vs kemudahan akses  Dua pendekatan • Segala sesuatu yg tidak secara eksplisit diijinkan berarti tidak diperbolehkan • Segala sesuatu yg tidak secara eksplisit dilarang berarti diijinkan  Level ancaman  Pentingnya informasi ttg sebuah ancaman atau serangan • Kasus terburuk: tidak ada info sama sekali • Kasus terbaik: info lengkap, dan serangan dapat ditangkal  “Zona-zona beresiko” • Host/network yg beresiko menerima ancaman/serangan yg terkait dng fungsi perlindungan yg diberikan oleh firewall • Minimisasi zona beresiko menjadi sebuah “titik/node” (sentralisasi) 32
  • 33. Implementasi Firewall  Firewall dengan screening router  Screening router: router dengan fasilitas penapisan paket  Zona-zona beresiko: • Host-host di jaringan privat • Semua layanan yg diijinkan oleh router  Sulit utk mendeteksi usaha-usaha penyusupan  “Segala sesuatu yg tdk scr eksplisit dilarang berarti diijinkan”  Firewall dng “dual-homed gateway”  Tanpa router, dng “bastion host” gateway, forwarding TCP/IP dinonaktifkan  Koneksi dng application gateways (mis: telnet forwarder) atau login ke gateway  “Segala sesuatu yg tdk scr eksplisit diijinkan berarti dilarang”  Jika disusupi dan TCP/IP forwarding diaktifkan, maka zona beresiko mjd amat luas 33
  • 34. Implementasi Firewall  Firewall dng screened host gateways  Screening router + bastion host • Bastion host di sisi jaringan privat • Router dikonfigurasi agar bastion host mjd satu-satunya host di jaringan privat yg dpt dicapai dari Internet  Zona beresiko terbatas pd bastion host dan router  Dlm kaitannya dng bastion host, mirip dng. model dual-homed gateway  Firewall dng screened subnet  Screening router + bastion host  Zona beresiko: bastion host + router  Koneksi melalui application gateway  Relatif sulit disusupi krn melibatkan 3 jaringan  Firewall hibrid  Menggunakan berbagai kombinasi tool dan piranti untuk mengimplementa- sikan fungsi firewall 34
  • 35. Kriptografi Purbo, Onno W. dan Wahyudi, Aang A. Mengenal e- Commerce. Elex Media Komputindo. 2001.  Pengetahuan yg menggunakan matematika untuk melakukan enkripsi dan dekripsi data  matematika → persoalan kombinatoris  enkripsi & dekripsi → transmisi data melalui jaringan yg tidak aman  Kriptografi dan e-Commerce  Kerahasiaan • Hanya diketahui si penerima saja ?  Integritas • Tidak berubah ? • Asli ?  Ketersediaan • Tersedia bagi pemakai yang sah ?  Penggunaan yang semestinya • Tidak diakses oleh yang tidak berhak ? → kriptografi berurusan dengan keamanan komunikasi 35
  • 36. Enkripsi dan Dekripsi  Enkripsi: plaintext → ciphertext  Dekripsi: ciphertext → plaintext  Komponen sistem kriptografi  algoritma kriptografi: fungsi matematis  kunci + algoritma kriptografi = enkripsi / dekripsi  Keamanan data terenkripsi tergantung pada  algoritma kriptografi: seberapa besar usaha yg hrs dikeluarkan untuk menguraikan ciphertext  kunci: seberapa jauh kerahasiaan kunci dapat dijaga • Kunci yg panjang → lebih sulit memecahkan algoritma, tapi juga lebih lama waktu pemrosesannya 36
  • 37. Kriptografi Kunci Simetris  Satu kunci digunakan dalam proses enkripsi dan dekripsi  Algoritma:  DES (Data Encryption Standard)  IDEA (Int’l Data Encryption Algorithm)  RC5  Prinsip kerja  Pengirim & penerima sepakat menggunakan sistem kriptografi ttt  Pengirim & penerima sepakat menggunakan satu kunci tertentu  Dilakukan enkripsi sbl pengiriman teks dan dekripsi stl diterima  Contoh: Caesar’s Key  Keuntungan  Mekanisme sederhana  Kecepatan proses tinggi  Kelemahan  Keamanan kunci  Distribusi kunci 37
  • 38. Kriptografi Kunci Asimetris  Enkripsi dan dekripsi tidak menggunakan kunci yang sama  Kriptografi kunci publik  Kunci publik • Untuk enkripsi • Didistribusikan kepada publik  Kunci privat • Untuk dekripsi • Bersifat rahasia  Keuntungan: • Keamanan kunci terjaga  Contoh algoritma • RSA (Rivest-Shamir-Adleman) • Elgamal • Diffie-Hellman 38
  • 39. Kriptografi Hibrid  PGP (Pretty Good Privacy)  Menggabungkan keuntungan sistem kriptografi simetris dan asimetris  Kunci sesi, kunci privat, dan kunci publik  Cara kerja PGP 1. Plaintext dimampatkan (kompresi) 2. Pengirim membuat kunci sesi yg bersifat one-time-only dng algoritma konvensional 3. Plaintext terkompresi dienkripsi dng kunci sesi 4. Kunci sesi dienkripsi dengan kunci publik 5. Ciphertext + kunci dikirimkan 6. Kunci sesi didekripsi dng kunci privat 7. Kunci sesi digunakan untuk mendekripsi ciphertext 8. Hasil deskripsi didekompresi utk mendapatkan plaintext kembali  Keuntungan  Distribusi kunci terjaga  Keamanan cukup tinggi krn enkripsi berlapis  Kecepatan enkripsi & dekripsi tinggi 39
  • 40. Analisis Matematis Kriptografi  Tingkat “kesulitan” algoritma → waktu utk memecahkan algoritma  Fungsi satu arah (irreversible)  Sangat mudah dihitung tetapi sulit sekali menguraikannya kembali  Digunakan utk membuat pasangan kunci publik dan kunci privat  Contoh: algoritma RSA 1. Pilih secara acak 2 bilangan prima yg cukup besar, p dan q. 2. Pilih sebuah bilangan integer secara acak yg akan berfungsi sebagai kunci publik, e, dengan syarat: e < n dan [ (p-1)(q-1)] / e bukan integer 3. Dari e, dicari kunci privat d: d = e-1 mod [ (p-1)(q-1)] Bilangan d harus memenuhi syarat: (de –1)/ [ (p-1)(q-1)] adalah integer 4. Tahap enkripsi plaintext m: c = me mod n c adalah ciphertext yg dihasilkan dari enkripsi 5. Tahap dekripsi ciphertext c: m = cd mod n 40
  • 41. Tandatangan Digital Prosise, J. Digital Signatures: How They Work. PC Magazine Online, April 1996.  Fungsi mirip dengan tanda tangan biasa  Menjaga autentikasi (keaslian)  Menjaga integritas informasi  Memberikan layanan non-repudiation (atas klaim yg tidak benar)  Implementasi: didasari konsep matematis  Checksum • checksum = total % (maxval + 1) • Checksum yg cocok belum tentu menjamin bhw data tidak berubah  Cyclic Redundancy Checks (CRC) • Berbasis pembagian polinomial → tiap bit pd data merepresentasikan sebuah koefisien dr polinomial yg sangat besar • Nilai CRC = poli_data % poli_acuan • Lebih akurat drpd metode checksum  Algoritma hash (fungsi searah) • Nilai yg dihasilkan bersifat unik dan sangat sulit diduplikasi  Sistem kriptografi publik + hash 41
  • 42. Sertifikat Digital  Fungsi sertifikat: utk membuktikan kebenaran sesuatu  Contoh pentingnya sertifikat dlm e- commerce: kasus BCA on-line  Komponen sertifikat digital  Kunci publik  Informasi sertifikat  Satu atau lebih tanda tangan digital  Penggunaan sertifikat digital (SD) 1. SD dikeluarkan oleh otoritas sertifikat (CA) 2. SD dikirim terenkripsi utk memastikan keaslian pemilik/situs web tertentu 3. Penerima menggunakan kunci publik milik CA untuk mendekripsi kunci publik pengirim yg disertakan di SD 4. Kunci publik pengirim dpt digunakan utk mendekripsi pesan yg sebenarnya 42
  • 43. Keamanan Dalam Sistem-sistem Virtual Mengenal E-Commerce  Kebutuhan layanan yg terkait dng keamanan sistem-sistem virtual (e- commerce, e-government, dll)  Autentikasi • Memastikan seseorang itu memang benar dia adanya (asli)  Autorisasi • Memastikan seseorang memang berhak mengakses sesuatu  Kerahasiaan • Suatu informasi hanya bisa diakses oleh yg berhak saja  Integritas • Menjaga agar informasi tidak diubah oleh yg tidak berhak  Penyangkalan (non-repudiation) • Melindungi pemakai dr sangkalan pemakai sah yg lain  Aspek keamanan pd sistem-sistem virtual bersifat integral  Dukungan infrastruktur  Dukungan teknologi  Sumber daya manusia 43
  • 44. Infrastruktur Sistem-sistem Virtual - CA Mengenal E-Commerce  Otoritas sertifikat digital (CA - certificate authority)  Pihak ketiga yg terpercaya (trusted) utk mengeluarkan sertifikat digital sbg hak/ijin utk melakukan transaksi elektronis  Pengelolaan sertifikat digital (SD) • Pengeluaran • Pembaruan • Penarikan  Mekanisme kerja dng prinsip rantai kepercayaan (trust chain) • Tidak hanya mengesahkan sertifikat miliknya saja, tetapi juga mampu memberi- kan kuasa yg sama kpd pihak lain yg berada pd jalur hirarkisnya  Badan-badan CA • Verisign • Thawte • OpenCA 44
  • 45. Infrastruktur Sistem-sistem Virtual - SET Mengenal E-Commerce  Secure Electronic Transaction (SET)  Spesifikasi protokol dan infrastruktur pembayaran dng kartu bank  Dikembangkan oleh Visa & MasterCard  Komponen SET  Issuer • Institusi finansial yg mengeluarkan merk ttt spt Visa dan MasterCard  Cardholder • Sarana bagi pemegang sah kartu bank utk melakukan transaksi elektronis dng kartu tsb. Biasanya berupa software yg bekerja dng protokol SET  Merchant • Penjual barang/jasa yg menerima pembayaran secara elektronis  Acquirer • Institusi finansial yg menyediakan layanan utk memroses transaksi elektronis  Cara kerja SET  Mirip dng sistem kartu kredit konven-sional, tetapi dilakukan scr elektronis  Autorisasi menggunakan manajemen sertifikat digital scr hirarkis  Penggunaan kriptografi dlm setiap pengiriman pesan 45
  • 46. Infrastruktur Sistem-sistem Virtual - XML Mengenal E-Commerce  eXtended Markup Language (XML)  Bahasa markup dng semantik yg bisa didefinisikan pemakai  Pengembangan dr SGML dan HTML  Berorientasi pada aspek semantik, bukan pd tampilan  Komponen utama  Kode XML yg terdiri atas tag-tag  DTD yg menjelaskan tag-tag tsb < ?xml:stylesheet type= ”test/ xsl” href= ”display.xsl” ?> < MYSHOP> < ABOUT> Toko virtual saya < / ABOUT> < BARANG> < JENIS> Komputer < / JENIS> < HARGA> 5500000 < / HARGA> < / BARANG> < BARANG> < JENIS> Printer < / JENI S> < HARGA> 3000000 < / HARGA> < / BARANG> < / MYSHOP> 46
  • 47. Infrastruktur Sistem-sistem Virtual - XML < ?xml version= ”1.0” ?> < xsl:stylesheet xmlns:xsl= ”http:/ / www.w3.org/ TR/ WD-xsl”> < xsl:template match= ”/ ”> < HTML> ..... < / HTML> < / xsl:template> < xsl:template match= ”MYSHOP”> < TABLE> ..... < xsl:for-each select= ”BARANG”> ... < / xsl:for-each> < / TABLE> < / xsl:template> < / xsl:stylesheet>  Kelebihan XML  Dapat dikembangkan dng mudah • Chemical ML • MathML  Aspek isi terpisah dr aspek tampilan • mudah memanipulasi tampilan tanpa hrs mengubah isi • mudah menggabung satu dokumen XML dng dokumen lain • “write once, display anywhere” 47
  • 48. Layanan Autentikasi  Autentikasi: meyakinkan bahwa seseorang itu benar dia adanya  Tujuan autentikasi: meyakinkan sebuah layanan hanya digunakan oleh orang-orang yang berhak  Contoh: autentikasi dengan SIM/KTP untuk membuktikan kebenaran si pembawa  SIM/KTP digunakan untuk mengakses berbagai layanan  SIM/KTP sbg alat bukti • Institusi yg mengeluarkan SIM/KTP • Sebuah identitas → nama pemegang SIM/KTP • Deskripsi (fisis) tentang identitas ybs → foto • Lingkup → KTP hanya berlaku di Indonesia • Masa berlaku  Pemakaian SIM/KTP disertai asumsi- asumsi • Kepercayaan thdp institusi yg mengeluarkan SIM/KTP • Tidak terjadi pemalsuan-pemalsuan • Tidak terjadi perubahan data pemegang 48
  • 49. Kerberos Brian Tung. The Moron’s Guide to Kerberos. http://www.isi.edu/gost/brian/security/kerberos.html  Layanan autentikasi digital yang dikembangkan di MIT pertengahan th. 80-an  Dirancang untuk menggantikan metode authentication by assertion (sebuah client memberitahu server bahwa ia bekerja atas nama pemakai yg menjalankannya)  Contoh: rlogin → bertindak atas nama user yg terdaftar di sebuah mesin utk login ke mesin lain  Berbahaya jika penyusup dapat meyakinkan rlogin bahwa dia adalah pemakai yang berhak  Kerawanan muncul krn. metode authentication by assertion harus mendemonstrasikan kepemilikan informasi rahasia pd saat mengakses layanan rlogin rlogin daemon 49
  • 50. Kerberos  Prinsip kerja Kerberos mirip dengan autentikasi dengan SIM/KTP  Skenario: pemakai ingin mengakses sebuah layanan, dan server ingin yakin bhw si pemakai adl. benar dia adanya  Pemakai memberikan tiket yg dikeluar- kan oleh server autentikasi Kerberos, yg kmd diverifikasi oleh server layanan  Asumsi-asumsi yg dipakai Kerberos  Pemakai memilih password yg “baik” (tidak mudah ditebak)  Penyusup tidak bisa masuk di antara pemakai dan program client (untuk mencuri password yg diberikan ke program client)  Komponen  Tiket  Server autentikasi (SA)  Kunci • Kunci pemakai • Kunci layanan • Kunci sesi  Enkripsi simetris 50
  • 51. Kerberos User A “Saya ingin mengakses server XYZ” Server Kunci pemakai autentikasi Kunci layanan Kunci pemakai Kunci sesi “Server XYZ” Kunci layanan Kunci sesi “User A” User A Kunci sesi “Server XYZ” User A Kunci sesi Server Timestamp layanan Kunci sesi “User A” Kunci layanan Timestamp Server Kunci sesi layanan “User A” 51
  • 52. Kerberos  Autentikasi layanan  Server mengambil timestamp, menam- bahkan info nama server, mengenkrip- sinya dengan kunci sesi, lalu mengirimkan kembali ke pemakai  Kelemahan mekanisme dasar Kerberos adl tiap saat pemakai hrs menuliskan password utk mem- bangkitkan kunci pemakai guna membuka enkripsi pesan yg berisi kunci sesi (yg dikirim oleh SA)  Mekanisme cache tidak disarankan utk digunakan krn rawan utk disadap  Mekanisme Ticket Granting Service (TGS) utk mengatasi kelemahan di atas  Bekerja dng prinsip “tiket temporer” dlm mengakses layanan → hanya berlaku sementara  Analog dng “tiket tamu/pengunjung” 52
  • 53. Kerberos  Autentikasi cross-realm  Semakin besar cakupan jaringan, SA/TGS dapat menjadi bottleneck → sistem tidak scalable  Kerberos membagi cakupan jaringan ke dalam bbrp realms  Tiap realm punya SA/TGS sendiri  Akses di luar realm melalui remote SA/TGS SA SA TGS TGS Service Service 53