Web Security Berbasis Linux

Transkripsi

1 Web Security Berbasis Linux Konsep, Sistem, User, Kebijakan, Serta Kaitannya Terhadap Smart City dan Internet Of Things (IOT) Oleh : I Putu Agus Eka Pratama, ST MT Information Network and System (INS) Research Lab STEI ITB Presentasi Unikom Bandung 14 Maret 2015 Template oleh Fedora Linux Community

2 #pendahuluan 1.Saat ini hampir semua produk dan layanan berbasis teknologi informasi, terhubung ke internet dan berbasis tatap muka web. 2. Setiap layanan bukan saja menyajikan kemudahan, tapi juga harus memperhatikan keamanan. Mengapa? Kenyamanan, privasi, dan kepercayaan (Trust) pengguna/konsumen/nasabah.

3 Disebutkan bahwa keamanan (termasuk juga pada web) mencakup 3 hal utama : sistem, user, dan kebijakan. I Made Wiryana (Univ Gunadarma) Budi Rahardjo (STEI ITB)

4 #sistem Keamanan (termasuk juga keamanan pada web) dilihat dari sisi sistem, mencakup : perangkat keras (Hardware), perangkat lunak (Software). Ancaman keamanan pada web dapat ditinjau berdasarkan 5 layer TCP/IP (Application Layer, Transport Layer, Network Layer, Data Link Layer, Physical Layer). Setiap layer memiliki potensi celah keamanan dan bentuk serangan (sistem maupun web).

5 #sistem #cont Application Layer : Deface, SQL Injection, DNS Poisoning, MITM (Man In The Middle). Transport Layer : MITM, SSL/TLS Vulnerability. Network Layer : IP Spoofing, IP Packet Header Fake, DOS/DDOS. Data Link Layer : ARP Poisoning, MAC Flooding. Physical Layer : pencurian data secara langsung ke ruang server, kerusakan oleh manusia/hewan/alam.

6 #sistem #cont Pencegahan? Penanggulangan? Firewall, update sistem (versi os, kernel os, versi aplikasi) secara berkala, menggunakan SSH untuk remote, menggunakan enkripsi, mengaktifkan SELINUX, mengimplementasikan Honeynet/honeypot/honeywall, menggunakan Deep Packet Inspection (DPI) dan Intrusion Detection System (IDS), memantau service dan port (Scan), menggunakan Kerberos, Audit IT (Security) berkala.

7 #sistem #cont Contoh : Menggunakan nmap, nikto, dan tool open source lainnya untuk melakukan scan, deteksi, dan penanganan celah keamanan pada web dan server. Menggunakan distro Linux khusus untuk penetrasi sistem. Perintah chkconfig untuk mengecek service. Perintah yum/apt-get/zyper untuk mengecek aplikasi yang telah terinstal.

8 #user Keamanan (termasuk juga keamanan pada web) dilihat dari sisi user (pengguna), mencakup : manajemen user, security awareness (kesadaran akan keamanan). Ancaman ancaman keamanan pada sisi user antara lain dengan memanfaatkan psikologis user (Social Engineering, Spam, penipuan via web), kecerobohan user, ketidak tahuan dan ketidak pedulian user terhadap keamanan. Saya dan anda pun adalah user... :)

9 #user #cont Penanganan? Penanggulangan? Manajemen user dengan baik pada sistem (hak akses/privillege), peningkatan pengetahuan dan kepedulian user terhadap pentingnya keamanan (Security Awareness), penggantian password secara berkala, kombinasi password yang baik (kuat, tidak mudah ditebak, mudah diingat). Pada web, SSH, FTP, perlu ada manajemen user dan privillege.

10 #kebijakan Keamanan (termasuk juga keamanan pada web) dilihat dari sisi kebijakan, tertuang di dalam dokumen ISO (International Organization for Standarization organisasi untuk standarisasi internasional). Dokumen ISO yg membahas mengenai keamanan pada web, dimuat di dalam ISO27k (ISO 27000), atau disebut juga dengan ISMS (Information Security Management System). Apa saja yang tertuang di dalam ISO27k ini?

11 #iso27k #isms ISO/IEC Overview And Vocabulary. ISO/IEC Formal ISMS Specification. ISO/IEC Infosec Controls. ISO/IEC ISMS Implementation Guide. ISO/IEC Infosec Metrics. ISO/IEC Infosec Risk Management. ISO/IEC ISMS Certification Guide. ISO/IEC Management System Auditing. ISO/IEC TR Technical Auditing. ISO/IEC Inter Organization Communication.

12 #iso27k #isms #cont ISO/IEC Telecommunication Industry. ISO/IEC ISMS And IT Service Management. ISO/IEC Infosec Governance. ISO/IEC TR Financial Services. ISO/IEC TR Infosec Economics. ISO/IEC Cloud Privacy. ISO/IEC TR Process Control In Energy. ISO/IEC ICT Business Continuity. ISO/IEC Cyber Security.

13 #iso27k #isms #cont ISO/IEC to -5 Network Security. ISO/IEC Application Security. ISO/IEC Incident Management. ISO/IEC & -3 ICT Supply Chain. ISO/IEC Digital Evidence (Forensics). ISO/IEC Document Redaction. ISO ISO27k Healthcare Industry.

14 #IOT 1.IOT (Internet Of Things) atau disebut juga dengan M2M (Machine to Machine), mengacu kepada trend teknologi saat ini, di mana segalanya (things) terhubung ke internet : komputer, perangkat (Device). 2. IOT menyajikan dua buah tatap muka utama untuk pengguna : WOT (Web Of Things) --> paling umum. MOT (Mobile Of Things) --> smartphone.

15 #SmartCity 1.Smart City mengacu kepada konsep kota pintar (Smart) berbasiskan teknologi informasi, di dalam mengelola potensi2 yg ada maupun memberikan solusi terhadap masalah2 yg ada. 2. Sebagaimana IOT, Smart City diimplementasikan ke dalam aplikasi berbasis desktop, web, dan mobile. 3.Kota Bandung memiliki Bandung Command Center untuk Smart City.

16 #IOT #SmartCity #WebSecurity IOT dan Smart City banyak diimplementasikan ke dalam layanan berbasis web, sehingga perlu adanya keamanan pada web (Web Security) --> privasi, kenyamanan, kepercayaan, kehandalan. Sebagaimana SDLC (Software Development Life Cycle) pada perangkat lunak, maka keamanan (termasuk pada web) akan terus mengalami fasa perkembangan, serta dimasukan sejak tahap desain dan perencanaan.

17 Referensi ISO Security. Linux Security. Linux Server Hardening Security. Linux Tutorial Internet Security. I Putu Agus Eka Pratama. Smart City Beserta Cloud Computing dan Teknologi Teknologi Pendukung Lainnya. Informatika Bandung I Putu Agus Eka Pratama. Handbook Jaringan Komputer. Informatika Bandung

18 Ada yang ingin ditanyakan? Mari kita diskusikan bersama :) Slide dapat diunduh bebas di Buku Smart City dan buku Handbook Jaringan Komputer dapat dibeli di toko toko buku terdekat seindonesia (Gramedia, Gunung Agung,Toga Mas, Karisma, BI Obses, dll) atau silahkan cek di : Template oleh komunitas Linux Fedora