by : tugas liberty.,,,Sistem operasi komputer.
SISTEM KEAMANAN KOMPUTER
Berdasarkan Elemen System
§ Network security
difokuskan pada saluran (media) pembawa informasi atau jalur yang dilalui.
§ Application security
difokuskan pada aplikasinya sistem tersebut, termasuk database dan servicesnya.
§ Computer security
§ difokuskan pada keamanan dari komputer pengguna (end system) yang digunakan untuk mengakses aplikasi,termasuk operating system (OS)
Security Principles
a. Authentication
b. Authorization atau Access Control
c. Privacy / confidentiality
d. Integrity
e. Availability
f. Non-repudiation
g. Auditing
CONTOH
JARINGAN LOKAL JTE UGM SEBELUMNYA
Network Security - Josua M. Sinambela
Contoh
Jaringan lantai I JTE UGM sebelumnya
Privacy/confidentiality
§ Keamanan terhadap data data pribadi, messages/pesan-pesan atau informasi lainnya yang sensitif.
§ Serangan pada jaringan berupa aktifitas sniffing (menyadap) dan adanya keylogger. Umumnya terjadi karena kebijakan/policy yang kurang jelas. Admin atau ISP nakal ??
§ Coutermeasure : gunakan teknologi enkripsi/kriptografi
Integrity
§ Bahwa informasi atau pesan dipastikan tidak dirubah atau berubah.
§ Serangan pada jaringan dapat berupa aktifitas spoofing, mail modification, Trojan horse, MITM Attack.
§ Countermeasure : dengan teknologi digitalsignature dan Kriptografi spt PGP, 802.1x,WEP, WPA
Availability
§ Keamanan atas ketersediaan layanan informasi.
§ Serangan pada jaringan: DoS (denial of services) baik disadari/sengaja maupun tidak.Aktifitas malware, worm, virus dan bomb mail sering memacetkan jaringan.
§ Countermeasure : Firewall dan router filtering, backup dan redundancy, IDS dan IPS
Non-repudiation
§ Menjaga agar jika sudah melakukan transaksi atau aktifitas online, maka tidak dapat di sangkal.
§ Umumnya digunakan untuk aktifitas e-commerce. Misalnya email yang digunakan untuk bertransaksi menggunakan digital signature.
§ Pada jaringan dapat menggunakan digital signature, sertifikat dan kriptografi.
§ Contoh kasus, smtp.ugm.ac.id ?? Setiap pengguna di jaringan lokal UGM dapat menggunakannya tanpa adanya authentikasi.
Auditing
§ Adanya berkas semacam rekaman komunikasi data yang terjadi pada jaringan untuk keperluan audit seperti mengidentifikasi serangan serangan pada jaringan atau server.
§ Implementasi : pada firewall (IDS/IPS) atau router menggunakan system logging (syslog)
Ø SERANGAN JARINGAN
Ada banyak model serangan yang dapat diketahui saat ini, namun semakin hari model serangan semakin beragam baik dari pengembangan model sebelumnya atau model-model baru yang telah dicoba-coba dan dilakukan oleh penyerang.
Serangan Dos & DDoS
Denial of Services / Distributed DoS, yaitu serangan yang akan Melumpuhkan sistem agar pengguna yang sah tidak dapat mengakses sistem tersebut, ada banyak Metode yang digunakan, seperti Membanjiri syn (TCP/UDP syn Flood) hingga tidak bisa mengirimkan ACK (3 way handshake) dan akhirnya Membuat server ‘bingung’ hingga down Serangan ini Sering dilakukan “script kiddies” yang tidak dapat masuk ke sistem atau hanya sakit hati di komunitas
Serangan-Serangan ...
SYN Flood & UDP Flood, metode yang dilakukan oleh penuerang yang membuat sebuah server di penuhi dengan permintaan dari paket-paket SYN yang tidak lengkap, Akhirnya akan membuat overhead pada server dan hasilnya adalah DoS, sedangkan UDP bersifat connectionless, tidak memperhatikan apakah paket telah diterima atau tidak Mirip dengan ICMP flood, UDP flood dikirim dengan tujuan untuk memperlambat sistem sampai dengan sistem tidak bias mengendalikan koneksi yang valid
Serangan ini umumnya Membanjiri syn (TCP/UDP syn Flood) hingga tidak bisa mengirimkan ACK
(3 way handshake). Proses 3 way handshake seperti gambar 1 adalah proses yang terjadi pada saat sumber dan tujuan melakukan komunikasi dimana proses ini menggunakan protocol TCP yang akan membagi-bagi paket data yang akan ditransmisikan sesuai dengan kesepakatan antara sumber dan tujuan.
Gambar 1. metode 3 way handshake
Serangan dilakukan dengan mesin lain yang disebut zombie, zombie adalah mesin server yang telah dikuasai sebelumnya oleh penyerang untuk menyerang mesin server target lain, hal ini dilakukan agar jejak yang berupa IP address di internet dapat ditutupi dengan menggunakan mesin zombie tersebut. Pada gambar 2 dapat dilihat, penyerang menguasai mesin server lain dahulu yang akan dijadikan zombie, dimana server zombie dipilih oleh penyerang biasanya yang berada di backbone Amerika, kenapa backbone amerika ? karena bandwidth yang berada di backbone amerika pasti besar. Hal ini merupakan syarat mutlak untuk menyerang server tujuan, jika bandwidth mesin zombie kecil atau sama dengan bandwidth server yang akan diserang maka serangan DoS ini akan dapat dicegah oleh mesin firewall.
Serangan DoS akan membuat mesin menjadi bingung karena banyaknya paket data SYN yang datang sedangkan mesin tidak mengetahui mesin asal untuk mengembalikan ACK, akibatnya mesin yang diserang disibukan dengan paket-paket data tersebut yang datangnya bertubi-tubi dan banyak. Akibatnya user yang absah yang akan benar-benar memanfaatkan resources pada server tersebut misalnya mail/ web menjadi tidak dapat dilayani karena mesin tersebut sedang sibuk melayani paket-paket serangan tadi, makanya DoS sering disebut SYN FLOOD
Gambar 2. mesin zombie menyerang server
Serangan yang lebih besar dari DoS adalah Destributed Denial Of Services (DdoS), dimana DDoS menggunakan banyak mesin zombie untuk menyerang server tujuan. Akibatnya tidak hanya server tujuan menjadi down bahkan beberapa kasus provider / telco yang memberikan jasa koneksi internet bagi server tersebut juga terkena imbasnya seperti gambar 4, hal ini dikarenakan bandwidth serangan dari zombie akan menyebabkan bootleneck dari aliran bandwidth ke server tujuan.
Misalnya, sebuah mail / web server yang berada di server farm sebuah perusahaan, dimana perusahaan ini menyewa pada sebuah ISP A. Bandwidth yang disewa kepada ISP A adalah 512 kbps. Pada saat serangan datang dengan bandwidth misalnya saja totalnya 200 mbps maka serangan tersebut tidak hanya mematikan server perusahaan tersebut tapi juga akan mengganngu distribusi bandwidth di ISP A, apalagi jika ISP A mempunyai bandwidth lebih kecil dari bandwidth serangan. Namun jika bandwidth serangan lebih kecil dari bandwidth yang disewa ke ISP A atau total bandwidht ISP A lebih besardari serangan maka serangan tersebut dapat dengan mudah dilumpuhkan dengan mesin firewall.
Gambar 3. Serangan metode DDoS
Serangan DDoS ini biasanya menggunakan mesin zombie yang tersebar dan diatur untuk menyerang secara serentak atau dalam jeda waktu tertentu. DdoS biasanya dilakukan oleh para penyerang bukan amatiran karena penyerang mempunyai banyak mesin zombie yang tersebar diseluruh dunia. Biasanya serangan model ini menyerang server-server pada perusahaan / penyedia jasa yang besar, tercatat seperti Yahoo, e-bay, dan lain-lain telah pernah di DDoS yang tentu saja efeknya mendunia dimana banyak para user yang tidak dapat masuk ke layanan mereka.
Gambar 4. overload pada ISP pada serangan DDoS.
JENIS – JENIS ANCAMAN KEAMANAN JARINGAN KOMPUTER
Jenis ancaman keamanan jaringan ini lebih umum disebut sebagai Brute Force and Dictionary, serangan ini adalah upaya masuk ke dalam jaringan dengan menyerang database password atau menyerang login prompt yang sedang active. Serangan masuk paksa ini adalah suatu upaya untuk menemukan password dari account user dengan cara yang sistematis mencoba berbagai kombinasi angka, huruf, atau symbol. Sementara serangan dengan menggunakan metoda kamus password adalah upaya menemukan password dengan mencoba berbagai kemungkinan password yang biasa dipakai user secara umum dengan menggunakan daftar atau kamus password yang sudah di-definisikan sebelumnya.
Untuk mengatasi serangan keamanan jaringan dari jenis ini anda seharusnya mempunyai suatu policy tentang pemakaian password yang kuat diantaranya untuk tidak memakai password yang dekat dengan kita missal nama, nama anak, tanggal lahir dan sebagainya. Semakin panjang suatu password dan kombinasinya semakin sulit untuk diketemukan. Akan tetapi dengan waktu yang cukup, semua password dapat diketemukan dengan metoda brute force ini.
Denial of Services (DoS)
Deniel of Services (DoS) ini adalah salah satu ancaman keamanan jaringan yang membuat suatu layanan jaringan jadi mampet, serangan yang membuat jaringan anda tidak bisa diakses atau serangan yang membuat system anda tidak bisa memproses atau merespon terhadap traffic yang legitimasi atau permintaan layanan terhadap object dan resource jaringan. Bentuk umum dari serangan Denial of Services ini adalah dengan cara mengirim paket data dalam jumlah yang sangat bersar terhadap suatu server dimana server tersebut tidak bisa memproses semuanya. Bentuk lain dari serangan keamanan jaringan Denial of Services ini adalah memanfaatkan telah diketahuinya celah yang rentan dari suatu operating system, layanan-2, atau applikasi-2. Exploitasi terhadap celah atau titik lemah system ini bisa sering menyebabkan system crash atau pemakaian 100% CPU.
Tidak semua Denial of Services ini adalah merupakan akibat dari serangan keamanan jaringan. Error dalam coding suatu program bisa saja mengakibatkan kondisi yang disebut DoS ini. Disamping itu ada beberapa jenis DoS seperti:
1. Distributed Denial of Services (DDoS), terjadi saat penyerang berhasil meng-kompromi beberapa layanan system dan menggunakannya atau memanfaatkannya sebagai pusat untuk menyebarkan serangan terhadap korban lain.
2. Ancaman keamanan jaringan Distributed refelective deniel of service (DRDoS) memanfaatkan operasi normal dari layanan Internet, seperti protocol-2 update DNS dan router. DRDoS ini menyerang fungsi dengan mengirim update, sesi, dalam jumlah yang sangat besar kepada berbagai macam layanan server atau router dengan menggunakan address spoofing kepada target korban.
3. Serangan keamanan jaringan dengan membanjiri sinyal SYN kepada system yang menggunakan protocol TCP/IP dengan melakukan inisiasi sesi komunikasi. Seperti kita ketahui, sebuah client mengirim paket SYN kepada server, server akan merespon dengan paket SYN/ACK kepada client tadi, kemudian client tadi merespon balik juga dengan paket ACK kepada server. Ini proses terbentuknya sesi komunikasi yang disebut Three-Way handshake (bahasa teknis kita apa yach …masak jabat tangan tiga jalan????he..he..) yang dipakai untuk transfer data sampai sesi tersebut berakhir. Kebanjiran SYN terjadi ketika melimpahnya paket SYN dikirim ke server, tetapi si pengirim tidak pernah membalas dengan paket akhir ACK.
4. Serangan keamanan jaringan dalam bentuk Smurf Attack terjadi ketika sebuah server digunakan untuk membanjiri korban dengan data sampah yang tidak berguna. Server atau jaringan yang dipakai menghasilkan response paket yang banyak seperti ICMP ECHO paket atau UDP paket dari satu paket yang dikirim. Serangan yang umum adalah dengan jalan mengirimkan broadcast kepada segmen jaringan sehingga semua node dalam jaringan akan menerima paket broadcast ini, sehingga setiap node akan merespon balik dengan satu atau lebih paket respon.
5. Serangan keamanan jaringan Ping of Death, adalah serangan ping yang oversize. Dengan menggunakan tool khusus, si penyerang dapat mengirimkan paket ping oversized yang banyak sekali kepada korbannya. Dalam banyak kasus system yang diserang mencoba memproses data tersebut, error terjadi yang menyebabkan system crash, freeze atau reboot. Ping of Death ini tak lebih dari semacam serangan Buffer overflow akan tetapi karena system yang diserang sering jadi down, maka disebut DoS attack.
6. Stream Attack terjadi saat banyak jumlah paket yang besar dikirim menuju ke port pada system korban menggunakan sumber nomor yang random.
Spoofing
Spoofing adalah seni untuk menjelma menjadi sesuatu yang lain. Spoofing attack terdiri dari IP address dan node source atau tujuan yang asli atau yang valid diganti dengan IP address atau node source atau tujuan yang lain.
Serangan Man-in-the-middle
Serangan keamanan jaringan Man-in-the-middle (serangan pembajakan) terjadi saat user perusak dapat memposisikan diantara dua titik link komunikasi.
* Dengan jalan mengkopy atau menyusup traffic antara dua party, hal ini pada dasarnya merupakan serangan penyusup.
* Para penyerang memposisikan dirinya dalam garis komunikasi dimana dia bertindak sebagai proxy atau mekanisme store-and-forwad (simpan dan lepaskan).
Para penyerang ini tidak tampak pada kedua sisi link komunikasi ini dan bisa mengubah isi dan arah traffic. Dengan cara ini para penyerang bisa menangkap logon credensial atau data sensitive ataupun mampu mengubah isi pesan dari kedua titik komunikasi ini.
Spamming
Spam yang umum dijabarkan sebagai email yang tak diundang ini, newsgroup, atau pesan diskusi forum. Spam bisa merupakan iklan dari vendor atau bisa berisi kuda Trojan. Spam pada umumnya bukan merupakan serangan keamanan jaringan akan tetapi hampir mirip DoS.
Sniffer
Suatu serangan keamanan jaringan dalam bentuk Sniffer (atau dikenal sebagai snooping attack) merupakan kegiatan user perusak yang ingin mendapatkan informasi tentang jaringan atau traffic lewat jaringan tersebut. suatu Sniffer sering merupakan program penangkap paket yang bisa menduplikasikan isi paket yang lewat media jaringan kedalam file. Serangan Sniffer sering difokuskan pada koneksi awal antara client dan server untuk mendapatkan logon credensial, kunci rahasia, password dan lainnya.
Crackers
Ancaman keamanan jaringan Crackers adalah user perusak yang bermaksud menyerang suatu system atau seseorang. Cracker bisasanya termotivasi oleh ego, power, atau ingin mendapatkan pengakuan. Akibat dari kegiatan hacker bisa berupa pencurian (data, ide, dll), disable system, kompromi keamanan, opini negative public, kehilangan pasar saham, mengurangi keuntungan, dan kehilangan produktifitas.
Dengan memahami ancaman keamanan jaringan ini, anda bisa lebih waspada dan mulai memanage jaringan anda dengan membuat nilai resiko keamanan jaringan dalam organisasi anda atau lazim disebut Risk Security Assessment.
PENANGGULANGAN ANCAMAN
Metode penanganan DoS dan DDoS
Ada beberapa cara penanganan untuk serangan ini, seperti ;
1. Lihat ip source dan destination yang diserang, hal ini dilakukan untuk mengetahui ip address dari penyerang dan yang diserang. Untuk melihat ip source dan destinationsnya bisa dilakukan di server /router kita dengan memberikan command tertentu.
Contoh :
show log /var/tmp/sample | match 222.73.238.152
# Oct 17 15:34:04 202.xxx.xxx.xx 222.73.238.152 33945 33903
# Oct 17 15:34:04 202.xxx.xxx.xx 222.73.238.152 51457 33903
# Oct 17 15:34:04 202.xxx.xxx.xx 222.73.238.152 1315 33903
# Oct 17 15:34:04 202.xxx.xxx.xx 222.73.238.152 38455 33903
2. Block IP address source & Port yang digunakan oleh penyerang dari mesin firewall / router kita, pada saat serangan berlangsung pastilah terdapat ip address penyerang dan port yang digunakan oleh penyerang seperti contoh diatas.
3 Block IP address source dari Firewall,
Contoh
iptables -I FORWARD -s 222.73.238.152/32 -d 0/0 -j DROP
iptables -I FORWARD -s 67.18.84.0/24 -d 0/0 -j DROP
Gambar 5. metode block port dan ip address di router / server
4. Kontak Provider untuk membantu block port dan ip source yang menyerang, makanya kontak teknis provider harus diketahui dan sangat berguna jika kita sewaktu-waktu kita membutuhkannya, kontak bisa berupa telpon langsung ke NOC/Admin atau bias dilakukan dengan chat dari YM.
5. Amati model serangan berikutnya, pengamatan ini dilakukan untuk melihat model serangan berikutnya dan mungkin saja ip address lain dari sumber daya jaringan kita
6. Laporkan ke abuse@xxx.xx pemilik IP address tersebut, jadi pada saat kita mengetahui
IP Address sumber serangan maka secepatnya mengirimkan abuse ke pemilik IP tersebut agar bisa ditindaklanjuti lebih jauh. Untuk mengetahui pemilik IP address tersebut bisa klik http://wq.apnic.net/apnic-bin/whois.pl dan masukan IP tersebut,
contoh :
% [whois.apnic.net node-1]
% Whois data copyright terms
inetnum: 222.64.0.0 - 222.73.255.255
netname: CHINANET-SH
descr: CHINANET shanghai province network
descr: China Telecom
descr: No1,jin-rong Street
descr: Beijing 100032
country: CN
admin-c: CH93-AP
tech-c: XI5-AP
changed: hm-changed@apnic.net 20031024
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-SH
mnt-routes: MAINT-CHINANET-SH
status: ALLOCATED PORTABLE
source: APNIC
person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: anti-spam@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: dingsy@cndata.com 20070416
mnt-by: MAINT-CHINANET
source: APNIC
person: Wu Xiao Li
address: Room 805,61 North Si Chuan Road,Shanghai,200085,PRC
country: CN
phone: +86-21-63630562
fax-no: +86-21-63630566
e-mail: ip-admin@mail.online.sh.cn
7. Lakukan kerjasama dengan admin pemilik IP add penyerang dan lakukan cek dan ricek sebelum membuat statement kalau memang IP Address tersebut adalah penyerangnya karena bisa saja itu adalah mesin zombie.
8. Catat semua kejadian untuk menjadi pembahasan untuk pembelajaran metode serangan dan dokumentasi jika nanti diperlukan pada saat penyelesaian secara hukum.
9. Edukasi user untuk memperhatikan “etika” di internet, etika diinternet misalnya ;
• Jangan pernah mendownload dari stus-situs yang tidak terpecaya
• Jangan melakukan kegiatan hacking dan lainnya dari internal jaringan kita
• Pada saat dikomunitas milist / forum jangan pernah memancing kemarahan pihak lainnnya.
Kegiatan Port Scanning
Mencoba-coba untuk mengetahui port / layanan yang tersedia di server, dengan harapan system akan menjawab request, dengan menggunakan tools script kiddies biasanya penyerang melakukan scanning terlebih dahulu mesin tujuan, untuk mengetahui layanan apa saja yang tersedia. Berguna untuk mengetahui port/ daemon/ aplikasi aktif yang berguna untuk mencari celah. Kegiatan ini diibaratkan ”mengedor” pintu jaringan kita dengan harapan ada jawaban dari dalam jaringan kita. Penangananya kita dapat menggunakan IDS yang akan dijelaskan nanti dan catat dari log system serta Tutup / close layanan yang tidak digunakan
Gambar 6. port scanning yang dilakukan