Recent Post

Senin, 01 Oktober 2012

Menentukan Jenis Jenis Keamanan Jaringan

Menentukan Jenis Keamanan Jaringan 

•     Dalam  masyarakat  pertanian tanah aset paling penting negara dengan produksi  
tani  terbesar memiliki kekuatan  bersaing.  
•     Dalam  masyarakat  industri    kekuatan  modal  seperti  memiliki  cadangan  minyak  
menjadi faktor utama dalam persaingan.  
•     Dalam    masyarakat    berbasis  informasi  dan  pengetahuan   informasi    adalah    komoditi 
yang  sangat  penting  dan  aset  paling  berharga    Kemampuan  untuk  mendapatkan, 
mengakses,  menyediakan,  menggunakan,  dan  menganalisis  informasi  secara  cepat  dan 
akurat.  

Definisi Informasi : 
•     Secara umum, informasi  didefinisikan  sebagai hasil dari aktivitas mental dan merupakan 
produk abstrak yang ditransmisikan melalui medium.  
•     Dalam  bidang teknologi informasi dan komunikasi, informasi adalah hasil dari pemrosesan, 
manipulasi dan  pengaturan  data, yaitu sekumpulan fakta. 
•     Dalam  bidang  Keamanan Informasi, informasi diartikan sebagai sebuah aset merupakan 
sesuatu yang memiliki nilai dan  karenanya harus dilindungi. Definisi ini mengikuti  ISO/IEC 
27001.  

Aspek keamanan informasi  
Garfinkel and Spafford  mengemukakan bahwa keamanan komputer  (computer security) 
melingkupi empat aspek, yaitu : 
1.   Privacy 
2.   Integrity 
3.   Authentication 
4.   availability.  
Selain keempat hal di atas, masih ada dua aspek lain yang juga sering dibahas dalam kaitannya 
dengan  electronic commerce, yaitu access control dan non-repudiation. 

Berdasar spesifikasi dari OSI, aspek keamanan komputer meliputi : 
•     Access Control, Perlindungan terhadap pemakaian tak legak 
•     Authentication, Menyediakan jaminan identitas seseorang 
•     Confidentiality (kerahasiaan), Perlindungan terhadap pengungkapan identitas tak legal 
•     Integrity, Melindungi dari pengubahan data yang tak legal 
•     Non-repudiation (penyangkalan), Melindungi terhadap penolakan komunikasi yang sudah 
pernah dilakukan 
HandOut KK15-Mendesain Sistem Keamanan Jaringan  TKJ SMKN 2 Bawang 

Pendapat    yang  lain  mengatakan,  Aspek keamanan  informasi adalah  aspek-aspek  yang 
dilingkupi dan melingkupi keamanan informasi dalam sebuah sistem informasi. Aspek-aspek ini 
adalah : 
     Privacy  (privasi/kerahasiaan),  menjaga  kerahasiaan  informasi  dari  semua  pihak,  kecuali 
yang memiliki kewenangan; 
     Integrity (integritas), meyakinkan bahwa data tidak mengalami perubahan oleh yang tidak 
berhak atau oleh suatu hal lain yang tidak diketahui (misalnya buruknya transmisi data); 
     Authentication  (otentikasi/identifikasi),  pengecekan  terhadap  identitas  suatu  entitas,  bisa 
berupa orang, kartt kredit atau mesin; 
     Signature,  Digital  Signature  (tanda  tangan),  mengesahkan  suatu  informasi  menjadi  satu 
kesatuan di bawah suatu otoritas; 
     Authorization (otorisasi), pemberian hak/kewenangan kepada entitas lain di dalam sistem; 
     Validation (validasi), pengecekan keabsahan suatu otorisasi; 
     Access Control (kontrol akses), pembatasan akses terhadap entitas di dalam sistem; 
     Certificate (sertifikasi), pengesahan/pemberian kuasa suatu informasi kepada entitas yang 
tepercaya; 
     Time  stamp  (pencatatan  waktu),  mencatat  waktu  pembuatan  atau  keberadaan  suatu 
informasi di dalam sistem; 
     Verification  (persaksian,  verifikasi),  memverifikasi  pembuatan  dan  keberadaan  suatu 
informasi di dalam sistem bukan oleh pembuatnya 
     Acknowledgement (tanda terima), pemberitahuan bahwa informasi telah diterima; 
     Confirmation (konfirmasi), pemberitahuan bahwa suatu layanan informasi telah tersedia; 
     Ownership (kepemilikan), menyediakan suatu entitas dengan sah untuk menggunakan atau 
mengirimkan kepada pihak lain; 
     Anonymous  (anonimitas),  menyamarkan  identitas  dari  entitas  terkait  dalam  suatu  proses 
transaksi; 
     Non-repudiation  (nirpenyangkalan),  mencegah  penyangkalan  dari  suatu  entitas  atas 
kesepakatan atau perbuatan yang sudah dibuat; 
     Recall (penarikan), penarikan kembali suatu sertifikat atau otoritas. 

Standar Kegiatan Keamanan Informasi  
ISO/IEC  27001,  atau  lengkapnya  "ISO/IEC  27001:2005  -  Information  technology  -- 
Security  techniques  --  Information  security  management  systems  --  Requirements",  adalah 
suatu standar sistem manajemen keamanan informasi (ISMS, information security management 
system)  yang  diterbitkan  oleh ISO dan IEC pada  Oktober 2005.  Standar  yang  berasal  dari BS 
7799-2 ini ditujukan untuk digunakan bersama denganISO/IEC 27002, yang memberikan daftar 
tujuan   pengendalian   keamanan   dan   merekomendasikan   suatu   rangkaian   pengendalian 
keamanan spesifik.  
      Kegiatan keamanan dalam  ISO/IEC27001 terdiri dari 133 kontrol dan 11 domain Beberapa 
item yang dikontrol di ISO/IEC27001, diantaranya : 

Domain      Item 
A5          Kebijakan keamanan 
A6          Organisasi keamanan informasi 
A7          Manajemen aset 
A8          Keamanan sumber daya manusia 
A9          Keamanan fisik dan lingkungan 
A10         Manajemen komunikasi dan operasi 
A11         Kontrol akses 
A11         Pengadaan, pengembangan dan pemeliharaan sistem informasi 
A13         Manajemen insiden keamanan informasi 
A14         Manajemen keberlangsungan bisnis 
HandOut KK15-Mendesain Sistem Keamanan Jaringan  TKJ SMKN 2 Bawang 

      ISO/IEC27001  mengadopsi    model  proses    Plan-Do-Check-Act,  yang    digunakan  untuk 
mengatur struktur seluruh proses ISMS. Dalam ISO/IEC27001, semua bukti hasil penilaian ISMS 
harus didokumentasikan; sertifikasinya harus diaudit secara eksternal setiap enam bulan; dan  
seluruh  proses diulangi  sesudah  tiga tahun untuk terus mengatur ISMS.  

Keterbukaan Informasi  
      Selain  memiliki  banyak  keuntungan,  keterbukaan  akses  informasi  tersebut  memunculkan 
berbagai masalah baru, antara lain : 
•    Pemeliharaan validitas dan integritas data/informasi tersebut 
•    Jaminan ketersediaan informasi bagi pengguna yang berhak 
•    Pencegahan akses informasi dari yang tidak berhak 
•    Pencegahan akses sistem dari yang tidak berhak 

Konsep 4R 
Konsep  pengaturan  4R  berikut  ini  adalah  cara  paling  efisien  untuk  memelihara  dan 
mengontrol  nilai  informasi.  4R keamanan  informasi  adalah  Right  Information  (Informasi  yang 
benar),  Right  People  (Orang  yang  tepat),    Right  Time  (Waktu  yang  tepat)  dan    Right  Form 
(Bentuk yang tepat).  
1.    Right Information mengacu pada  ketepatan  dan kelengkapan informasi, yang menjamin 
integritas informasi.  
2.    Right People  berarti informasi tersedia hanya bagi individu yang berhak, yang menjamin 
kerahasiaan. 
3.    Right  Time    mengacu  pada  aksesibilitas  informasi  dan  penggunaannya    atas  permintaan 
entitas yang berhak. Ini menjamin ketersediaan.  
4.    Right Form mengacu pada penyediaan informasi dalam format yang tepat.  

Piramida Metodologi Kemananan 
Berikut  ini  adalah  piramida  metodologi  keamanan.  Secara  singkat  pada  piramida  di 
bawah ini telah tergambar unsur-unsur apa saja yang dibutuhkan dalam membangun sebuah 
sistem keamanan secara utuh 

HandOut KK15-Mendesain Sistem Keamanan Jaringan  TKJ SMKN 2 Bawang 
 Orang yang Terlibat  
1.    Administrator System  (SysAdmin), Network Admin, stakeholder 
2.    Phreaker  
Orang  yang  mengetahui  sistem  telekomunikasi  dan  memanfaatkan  kelemahan  sistem 
pengamanan telepon tersebut  
3.    Hacker 
Orang  yang  mempelajari  sistem  yang  biasanya  sukar  dimengerti  untuk  kemudian 
mengelolanya dan men-share hasil ujicoba yang  dilakukannya. 
Hacker tidak merusak sistem  
4.    Craker  
Orang yang mempelajari sistem dengan maksud jahat – Muncul karena sifat dasar manusia 
(salah satunya merusak) 

Ancaman Jaringan komputer dilihat dari BENTUKNYA :  
•     Fisik (physical) 
-   Pencurian perangkat keras komputer atau perangkat   jaringan  
-   Bencana alam (banjir, kebakaran, dll) Major cause 
-   Kerusakan pada komputer dan perangkat komunikasi jaringan  
-   Wiretapping Man the Middle Attack Aktif / Pasif  
-   Wardriving Man the Middle Attack Aktif / Pasif  
-    
•     Logik (logical) 
-   Kerusakan pada sistem operasi atau aplikasi  
-   Virus 
-   Sniffing, dan lain lain seperti tersebut di bawah ini 

Ancaman Jaringan komputer dilihat dari JENIS-JENISNYA   
Jenis-jenis Serangan Keamanan Informasi yang menjadi tren dan arah Keamanan Informasi: 
1.    Probe 
Probe  atau  yang  biasa  disebut  probing  adalah  usaha  untuk  mengakses  sistem  dan 
mendapatkan informasi tentang sistem 
2.    Scan 
Scan adalah probing dalam jumlah besar menggunakan suatu tool 
3.    Account compromise 
Meliputi User compromize dan root compromize 
4.    Packet Snifer 
Adalah  sebuah  program  yan  menangkap  /  mngcaptur  data  dari  paket  yang  lewat  di 
jaringan. (username, password, dan informasi penting lainnya) 
5.    Hacking 
Hacking adalah tindakan memperoleh akses ke komputer atau jaringan komputer untuk 
mendapatkan atau mengubah informasi tanpa otorisasi yang sah 
6.    Denial-of-Service  
Serangan  Denial-of-service (DoS) mencegah pengguna yang sah dari penggunaan layanan 
ketika pelaku mendapatkan akses tanpa izin ke mesin atau data.  Ini terjadi karena pelaku 
membanjiri‘ jaringan dengan volume data yang besar atau sengaja  menghabiskan  sumber 
daya yang langka atau terbatas, seperti process control blocks atau koneksi jaringan yang 
tertunda. Atau mereka mengganggu komponen fisik jaringan atau memanipulasi data  yang 
sedang dikirimkan, termasuk data terenkripsi. 
7.    Malicious code (Kode Berbahaya)  
Malicious code adalah program yang menyebabkan kerusakan sistem ketika dijalankan. 
Virus, worm dan Trojan horse merupakan jenis-jenis malicious code.  
HandOut KK15-Mendesain Sistem Keamanan Jaringan  TKJ SMKN 2 Bawang 

a.    Virus  komputer adalah sebuah program komputer atau  kode  program  yang merusak 
sistem komputer dan data dengan mereplikasi  dirinya sendiri  melalui peng-copy-an ke 
program lain, boot sector komputer atau dokumen.  
b.    Worm  adalah virus yang mereplikasi  dirinya sendiri yang tidak mengubah  file, tetapi  
ada  di  memory  aktif, menggunakan  bagian dari sistem operasi yang otomatis dan 
biasanya  tidak  terlihat  bagi  pengguna.  Replikasi  mereka  yang  tidak  terkontrol 
memakan  sumber    daya    sistem,  melambatkan  atau  menghentikan  proses  lain. 
Biasanya hanya jika ini terjadi keberadaan worm diketahui.  
c.    Trojan horse  adalah program yang  sepertinya  bermanfaat dan/atau tidak berbahaya 
tetapi sesungguhnya memiliki fungsi merusak seperti unloading hidden program atau 
command scripts yang membuat sistem rentan gangguan. 
8.    Social Engineering / Exploitation of Trust 
Sekumpulan  teknik  untuk  memanipulasi  orang  sehingga  orang  tersebut  membocorkan 
informasi rahasia. Meskipun hal ini mirip dengan  permainan kepercayaan  atau penipuan 
sederhana,  istilah  ini mengacu kepada penipuan untuk mendapatkan informasi atau akses 
sistem komputer. Beberapa jebakan yang dapat dilakukan diantaranya dengan :  
o     Memanfaatkan  kepercayaan orang dalam bersosialisasi dengan komputer. 
o     Memanfaatkan  kesalahan  orang  secara  manusiawi  misal  :  kesalahan  ketik,  asal  klik, 
next-next, dll  

o     Bisa dengan cara membuat tampilan Login yang mirip (teknik fake login), diarahkan ke 
tempat  lain,  juga  biasanya  dibuat  url  yang  hampir  sama  untuk  web  contoh  kasus  : 
www.klikbca.com 
 

9.    Phishing  
Tindakan  pemalsuan  terhadap  data  /  identitas  resmi  yang  dilakukan  untuk  hal  yang 
berkaitan  dengan  pemanfaatannya.  Phising  diawali  dengan  mencuri  informasi  personal 
melalui  Internet.  Phishing    telah  menjadi  aktivitas  kriminal  yang  banyak  dilakukan  di 
Internet. 
 

10.  Deface  
perubahan terhadap tampilan suatu website secara illegal. 
 

11.  Carding  
pencurian data terhadap identitas perbankan seseorang, misalnya pencurian nomor kartu 
kredit, digunakan untuk memanfaatkan saldo yang terdapat pada rekening tersebut untuk 
keperluan belanja online.

0 komentar:

Poskan Komentar