Keamanan Jaringan Internet dan Intranet terhadap Lalu Lintas Data dan Informasi

Transkripsi

1 Keamanan Jaringan Internet dan Intranet terhadap Lalu Lintas Data dan Informasi DR. Hasyim Gautama Diseminarkankan pada Orientasi Pengelola Jaringan TIK Kemenag Bali, 28 Juni 2011

2 Informasi adalah Aset Informasi adalah aset seperti aset penting bisnis lainnya yang memiliki nilai bagi organisasi untuk mencapai tujuan Konsekuensi: informasi wajib diproteksi secara proper

3 Kasus Pencurian Data Ferrari Formula 1 tahun 2007: Data teknis mobil Ferrari di Mc Laren Hukuman untuk Mc Laren: - Kehilangan gelar konstruktor - Denda $100 juta

4 Kasus Bocor Data Diplomatik Data rahasia Indonesia dimiliki oleh AS. Wikileaks memuat data tsb. di situs static.guim.co.uk

5 Siklus Informasi Siklus Pengamanan Informasi

6 Keamanan Informasi Terjaganya informasi dari ancaman dan serangan terhadap: kerahasiaan (confidentiality) keutuhan (integrity) ketersediaan (availability)

7 Aspek Keamanan Informasi Kerahasiaan (confidentiality): pesan hanya bisa terbaca oleh penerima yang berhak Keutuhan (integrity): pesan yang diterima tidak berubah Ketersediaan (availability): pesan dapat tersampaikan ke penerima

8 Ancaman Manusia Alam Gangguan Keamanan Serangan Interupsi: Denial of Service (DoS) Intersepsi: Packet Sniffing Modifikasi: TCP Hijacking, Virus Trojan Fabrikasi: Packet Spoofing

9 Ancaman Berasal dari: Manusia Alam

10 Ancaman dari Manusia Staf internal Mencatat password Meninggalkan sistem tanpa logout Spy Menyadap data Yang ingin tenar Menginginkan perhatian publik Yang ingin coba-coba

11 Ancaman dari Alam Temperatur: panas /dingin yg ekstrim Kelembaban atau gas yg ekstrim: kegagalan AC Air: banjir, pipa bocor Organisme, bakteri, serangga Anomali energi: kegagalan listrik, petir

12 Serangan Interupsi: Denial of Service (DoS) Intersepsi: Packet Sniffing Modifikasi: TCP Hijacking, Virus Trojan Fabrikasi: Packet Spoofing

13 Denial of Service (DoS) Menghalangi akses pihak yang berhak dg membanjiri permintaan akses fiktif Contoh: serangan TCP SYN, permintaan koneksi jaringan ke server dalam jumlah yang besar

14 Distributed DoS

15 Packet Sniffing Mendengarkan dan merekam paket yg lewat pada media komunikasi Contoh: Menggunakan tools packet sniffer: Etherreal, SmartSniffer. Juga digunakan oleh admin jaringan untuk mendiagnosa kerusakan jaringan

16 Tools Packet Sniffer

17 Virus Trojan Merekam pesan lalu memodifikasinya dan dikirimkan ke user tujuan Contoh: Virus Trojan Horse, program tersembunyi yang biasanya menempel pada atau free games software. Masuk ke sistem Mengakses file system Mencuri username dan password

18 Ilustrasi Virus Trojan Horse Principles of Infosec, 3 rd Ed

19 Paket Spoofing Mengubah alamat pengirim paket untuk menipu komputer penerima Contoh: Man-in-the-middel-attack, penyerang berperan sebagai pihak di tengah antara pengirim dan penerima.

20 Man-in-the-middel-attack

21 Pemilihan Lokasi Pengamanan Fisik Konstruksi bangunan Pengamanan akses Pengawasan Personil: penjaga & CCTV Perangkat kontrol akses personil: kunci, security access card & perangkat biometric

22 Pengamanan Logik (1) Otentikasi user Otorisasi user Enkripsi Tanda Tangan dan Sertifikat Digital Firewall

23 Pengamanan Logik (2) DeMilitarized Zone (DMZ) Intrusion Detection System (IDS) Server Client Code/script

24 Otentikasi Account Locking: akun terkunci jika terjadi kesalahan login bbrp kali Password Expiration: password harus diubah jika telah melewati batas waktu Password Complexity Verification: Panjang minimum Kombinasi alfabet, nomor dan tanda baca Tidak sama dengan kata-kata sederhana

25 Otorisasi Pemberian hak akses thd resource Access Control List (ACL), untuk kontrol akses: baca, tulis, edit atau hapus Access Control File (ACF), untuk kontrol akses thd web server: access.conf dan.htaccess Hak akses terhadap beberapa aplikasi diterapkan dg Single Sign On (SSO)

26 Enkripsi

27 Contoh Enkripsi Symmetric Data Encryption Standard (DES) Blow Fish IDEA Asymmetric RSA Merkle-Hellman Scheme

28 Tanda Tangan Digital

29 Sertifikat Digital

30 Firewall

31 DeMilitarized Zone

32 Intrusion Detection System

33 Manajemen Keamanan Plan Act Do Check

34 Standar Keamanan Informasi SNI 27001: tentang Teknologi Informasi Teknik Keamanan Sistem Manajemen Keamanan Informasi Persyaratan;

35 Komponen SNI Kebijakan Keamanan 2. Organisasi Keamanan 3. Pengelolaan Aset 4. Keamanan Sumber Daya Manusia 5. Keamanan Fisik & Lingkungan 6. Manajemen Komunikasi & Operasi 7. Pengendalian Akses 8. Akuisisi, Pengembangan & Pemeliharaan Sistem Informasi 9. Manajemen Insiden Keamanan 10. Manajemen Keberlanjutan Bisnis 11. Kesesuaian

36 Indeks KAMI Tingkat kematangan keamanan informasi di sebuah organisasi berdasarkan kesesuaian dengan kriteria pada SNI Fungsi: indikator penerapan keamanan informasi secara nasional

37 Level KAMI Pengelompokan indeks KAMI menjadi lima level berdasarkan Capability Maturity Model Integration (CMMI): 1. Reaktif 2. Terpantau 3. Proaktif 4. Terkendali 5. Optimal

38 Fasilitasi Seminar dan bimbingan Teknis 2011: Mei di Malang Juni di Yogya Juli di Bandung Workshop Risk Management Penetration Test Konsultansi

39 Terima Kasih