Faktor keamanan:
- Pengelolaan dan penjagaan keamanan secara fisik
- Penambahan perangkat-perangkat elektronik (perangkat lunak dan perangkat keras) untuk melindungi data, sarana komunikasi serta transaksi
Pilar Keamanan Sistem e-Commerce :
- Authentication (keabsahan pengirim) : Identitas pengguna/pengirim data teridentifikasi (tidak ada kemungkinan penipuan)
- Confidentiality (kerahasiaan data) : Data tidak dapat dibaca oleh pihak yang tidak berhak
- Integrity (keaslian data) : Data tidak dapat diubah secara tidak sah
- Non-Repudiation (anti-penyangkalan) : Tidak ada penyangkalan pengiriman data (dari pihak penerima terhadap pihak pengirim)
Ancaman Keamanan di Internet
Enkripsi vs Dekripsi
- Enkripsi berarti mengkodekan data ke format tertentu menggunakan kunci rahasia
- Dekripsi mendekodekan data yang terenkripsi ke format asli
Standar Keamanan di Internet
Keamanan untuk Aplikasi Web:
- S-HTTP : secara spesifik dirancang untuk mendukung protokol HTTP (Hypertext Transfer Protokol) dalam hal otorisasi dan keamanan dokumen
- SSL : Melindungi saluran komunikasi di antara 2 protokol bagian bawah dalam tumpukan protokol menurut standar TCP/IP, Dapat juga digunakan untuk transaksi-transaksi selain yang berjalan di Web Tidak dirancang untuk menangani keputusan keamanan berbasis pada otentikasi pada peringkat aplikasi atau dokumen → perlu metode tambahan untuk mengendalikan akses ke berkas (file) yang berbeda
Keamanan untuk e-Mail:
- Privacy-Enhanced Mail (PEM) : Standar Internet untuk mengamankan e-mail menggunakan kunci publik maupun kunci simetris. Saat ini mulai berkurang penggunaannya karena ia tidak dirancang dan dikembangkan untuk menangani surat elektronik yang memiliki berbagai jenis lampiran (misalnya: gambar, suara serta video).
- Secure MIME (S/MIME) : Standar baru untuk keamanan e-mail yang menggunakan algoritma-algoritma kriptografi yang telah memiliki hak paten dan dilisensi oleh RSA Data Security Inc. Bergantung pada berbagai jenis otoritas sertifikat, apakah bersifat global atau perusahaan, untuk memastikan otentikasi.
- Pretty Good Privacy (PGP) : Suatu aplikasi populer yang dikembangkan untuk pengiriman pesan dan berkas (file). Merupakan aplikasi keamanan yang paling banyak digunakan untuk e-mail, serta menggunakan berbagai standar enkripsi. Aplikasi-aplikasi enkripsi/deskripsi PGP tersedia bagi hampir semua sistem operasi dan pesan dapat dienkripsi
- Firewall : Melindungi serangan pada protokol individual atau aplikasi, melindungi sistem komputer dari Spoofing (program-program merusak yang menyamar sebagai aplikasi yang bermanfaat), menyediakan titik tunggal kendali keamanan bagi jaringan (kontradiksi: Firewall dijadikan titik pusat perhatian Hacker untuk membobol jaringan), Firewall tidak memeriksa adanya virus pada berkas yang masuk, sehingga tidak dapat menjamin integritas data, Firewall tidak melakukan otentikasi sumber data
Keamanan untuk Jaringan:
Kategori dalam Firewall:
- Statis: Mengijinkan semua lalu lintas data melewatinya, kecuali secara eksplisit dihalangi (blocked) oleh administrator firewall, menghalangi semua lalu lintas data yang masuk, kecuali secara eksplisit diijinkan oleh administrator firewall.
- Dinamis: layanan yang keluar masuk ditetapkan untuk periode waktu tertentu (membutuhkan sumber daya manusia yang lebih.
Karakteristik Firewall:
- Penyaringan paket (packet filtering)
- Penerjemahan alamat jaringan (network address translation)
- Proxy peringkat aplikasi (application-level proxies)
- Pemeriksaan keadaan (stateful inspection)
- VPN (Virtual Private Network)
- Real-time monitoring
Tujuan-tujuan Sistem Keamanan Informasi :
- Confidentially : Menjamin apakah informasi yang dikirim tersebut tidak dapat dibuka atau tidak dapat diketahui oleh orang lain yang tidak berhak.
- Integrity: Menjamin konsistensi data tersebut apakah masih utuh sesuai aslinya atau tidak, sehingga upaya orang-orang yang tidak bertanggung jawab untuk melakukan penduplikatan dan perusakan data bisa dihindari.
- Availability: Menjamin pengguna yang sah agar dapat mengakses informasi dan sumber miliknya sendiri.
- Legitimate Use: Menjamin kepastian bahwa sumber tidak digunakan oleh orang- orang yang tidak bertanggung jawab.
Tiga aspek keamanan informasi perlu diperhatikan :
- Serangan Keamanan (Security attacks), sebagai tindakan yang mengkompromikan (atau usaha untuk mengkompromikan) keamanan sistem informasi (atau sumber informasi) yang dimiliki oleh sebuah organisasi, karyawan, atau pelanggan.
- Mekanismen Keamanan (Security mechanisms), mekanisme (prosedur, aplikasi, atau perangkat) yang dirancang untuk mendeteksi, mencegah, atau me- recover dari serangan keamanan.
- Layanan Keamanan (Security services), layanan yang meningkatkan keamanan dalam pengolahan data dan transfer informasi dari sebuah organisasi. Layanan dimaksudkan untuk melawan serangan keamanan dan diasumsikan menggunakan satu atau lebih mekanisme keamanan.
Serangan pada sistem :
- Menyadap (Eavesdropping) - mengintersepsi dan membaca pesan yang ditujukan untuk pelaku lainnya.
- Menyamar (Masquerading) - mengirim / menerima pesan menggunakan identitas pelaku lain.
- Mengulang (Replaying) - menggunakan pesan yang dikirim sebelumnya untuk mendapatkan akses sebagai pelaku lain.
- Penyusupan (Infiltration) - menyalahgunakan kewenangan seorang pelaku untuk menjalankan program yang berbahaya.
- Menganalisis Traffic - mengamati lalu lintas ke / dari pelaku.
- Denial-of-service - mencegah para pelaku yang berwenang mengakses berbagai sumber daya.
Organisasi Internasional untuk Standardisasi mendefinisikan layanan keamanan dasar sebagai berikut:
- Authentication - memastikan bahwa asal usul identitas atau data seorang pelaku adalah asli.
- Access control - memastikan bahwa hanya pelaku yang berwenang yang dapat memperoleh akses ke sumber daya yang dilindungi.
- Data confidentiality - memastikan bahwa hanya pelaku yang berwenang yang dapat memahami data yang dilindungi (juga disebut privasi).
- Data integrity - memastikan bahwa tidak ada modifikasi data telah dilakukan oleh pelaku yang tidak berhak.
- Nonrepudiation - memastikan bahwa pelaku tidak bisa memungkiri melakukan beberapa tindakan pada data (misalnya, menulis, mengirim, menerima).
Mekanisme keamanan untuk mengimplementasikan layanan keamanan :
- Mekanisme enkripsi melindungi kerahasiaan (atau privasi) data.
- Tanda tangan digital bahkan lebih kuat daripada tanda tangan tulisan tangan.
- Mekanisme kontrol akses berhubungan erat dengan otentikasi.
- Mekanisme integritas data melindungi data dari modifikasi yang tidak sah.
- Mekanisme traffic padding menawarkan perlindungan terhadap analisis lalu lintas.
- Mekanisme routing control memungkinkan untuk memilih jalur tertentu untuk mengirimkan data melalui jaringan.
- Mekanisme Notarization disediakan oleh pihak ketiga yang harus dipercaya oleh semua peserta.
Ada tiga macam Computer security yang berkaitan dgn kehidupan sehari-hari antara lain :
- Keamanan eksternal / external security : Berkaitan dengan pengamanan fasilitas komputer dari penyusup dan bencana seperti kebakaran /kebanjiran.
- Keamanan interface pemakai / user interface security : Berkaitan dengan indentifikasi pemakai sebelum pemakai diijinkan mengakses program dan data yang disimpan
- Keamanan internal / internal security : Berkaitan dengan pengamanan beragam kendali yang dibangun pada perangkat keras dan sistem operasi yang menjamin operasi yang handal dan tak terkorupsi untuk menjaga integritas program dan data.
Dampak negatif yang ditimbulkan dari penggunaan sistem keamanan komputer yaitu :
- Menurunnya nilai transaksi melalui internet terhadap E-Commerse
- Menurutnya tingkat kepercayaan dalam melakukan komunikasi dan transaksi melalui media online.
- Merugikan secara moral dan materi bagi korban yang data-data pribadinya dimanipulasi.
Audit jaringan komputer secara umum dapat dibagi menjadi dua bagian, yaitu :
- Performance Audit : Lebih menitikberatkan pada peningkatan kinerja jaringan komputer.
- Security Audit : Lebih menitikberatkan pada sistem keamanan jaringan komputer. Pembahasan ini akan menjelaskan teknik audit dengan pendekatan secara umum yang berlaku di kedua jenis audit di atas.
Metode Audit Jaringan
- Pendekatan Top-down : Audit dengan pendekatan Top-down adalah dengan memulai melakukan identifikasi dari layer OSI yang tertinggi, yaitu Application Layer menuju ke layer yang terendah, yaitu Physical Layer. Berarti audit dilakukan dari perangkat lunak (software) aplikasi komunikasi dan berakhir di infrastruktur komunikasi.
- Pendekatan Bottom-up : Audit dengan pendekatan Bottom-up adalah kebalikan dari pendekatan Top-down, yaitu dengan memulai melakukan identifikasi dari layer OSI yang terendah, yaitu Physical Layer menuju ke layer yang tertinggi, yaitu Application Layer. Dalam hal ini audit dimulai dari infrastruktur komunikasi dan berakhir di perangkat lunak (software) aplikasi komunikasi.
Prosedur audit
- Memeriksa apakah ada fungsi manajemen Jaringan yang kuat dengan otoritas untuk membuat standar dan prosedur.
- Memeriksa apakah tersedia dokumen mengenai inventarisasi peralatan Jaringan, termasuk dokumen penggantian peralatan.
- Memeriksa apakah tersedia prosedur untuk memantau network usage untuk keperluan peningkatan kinerja dan penyelesaian masalah yang timbul.
- Memeriksa apakah ada control secara aktif mengenai pelaksanaan standar untuk aplikasi-aplikasi on-line yang baru diimplementasikan
Kontrol akses
Adalah pusat keamanan dalam sebuah komputer dengan cara membatasi pengguna untuk mengakses sumber daya, dan dimotivasi oleh kebutuhan untuk membocorkan akses dalam memperoleh informasi yang tersedia di sumber daya.
Kontrol akses benar-benar teknik keamanan yang dapat dirancang untuk mengatur siapa atau jadi apa yang dilakukan pandangan atau penggunaan sumber daya dalam lingkungan komputasi.
Sistem kontrol akses melakukan identifikasi otorisasi, otentikasi, persetujuan akses, dan akuntabilitas entitas melalui kredensial masuk termasuk password, nomor identifikasi pribadi (PIN), scan biometrik, dan kunci fisik atau elektronik.
Access control model kadang-kadang dikategorikan sebagai diskresioner atau non-diskresioner. Tiga model yang paling dikenal luas adalah :
- Discretionary Access Control (DAC) : adalah kebijakan yang ditentukan oleh pemilik obyek. Pemilik memutuskan siapa yang diperbolehkan untuk mengakses objek dan apa hak istimewa yang mereka miliki.
- Mandatory Access Control (MAC). MAC adalah non-diskresioner, sebuah mekanisme untuk mengontrol pengguna atau suatu proses yang memiliki akses ke sumber daya dalam sebuah sistem.
- Akses Berbasis Peran Control (RBAC) : adalah sebuah kebijakan akses ditentukan oleh sistem, bukan pemiliknya. RBAC digunakan dalam aplikasi komersial dan juga dalam sistem militer, di mana persyaratan keamanan multi-level juga mungkin ada
Berdasarkan sistem, metode pengamanan komputer :
- Network Topology : Sebuah jaringan komputer dapat dibagi atas kelompok jaringan eksternal (Internet atau pihak luar) kelompok jaringan internal dan kelompok jaringan eksternal diantaranya disebut DeMilitarized Zone (DMZ). - Pihak luar : Hanya dapat berhubungan dengan host-host yang berada pada jaringan DMZ, sesuai dengan kebutuhan yang ada. - Host-host pada jaringan DMZ : Secara default dapat melakukan hubungan dengan host-host pada jaringan internal. Koneksi secara terbatas dapat dilakukan sesuai kebutuhan. - Host-host pada jaringan Internal : Host-host pada jaringan internal tidak dapat melakukan koneksi ke jaringan luar, melainkan melalui perantara host pada jaringan DMZ, sehingga pihak luar tidak mengetahui keberadaan host-host pada jaringan komputer internal.
- Security Information Management : Salah satu alat bantu yang dapat digunakan oleh pengelola jaringan komputer adalah Security Information Management (SIM). SIM berfungsi untuk menyediakan seluruh informasi yang terkait dengan pengamanan jaringan komputer secara terpusat. Pada perkembangannya SIM tidak hanya berfungsi untuk mengumpulkan data dari semua peralatan keamanan jaringan komputer tapi juga memiliki kemampuan untuk analisis data melalui teknik korelasi dan query data terbatas sehingga menghasilkan peringatan dan laporan yang lebih lengkap dari masing-masing serangan. Dengan menggunakan SIM, pengelola jaringan komputer dapat mengetahui secara efektif jika terjadi serangan dan dapat melakukan penanganan yang lebih terarah, sehingga organisasi keamanan jaringan komputer tersebut lebih terjamin.
- IDS / IPS : Intrusion detection system (IDS) dan Intrusion Prevention system (IPS) adalah sistem yang digunakan untuk mendeteksi dan melindungi sebuah sistem keamanan dari serangan pihak luar atau dalam. Pada IDS berbasiskan jaringan komputer, IDS akan menerima kopi paket yang ditujukan pada sebuah host untuk selanjutnya memeriksa paket-paket tersebut. Jika ditemukan paket yang berbahaya, maka IDS akan memberikan peringatan pada pengelola sistem. Karena paket yang diperiksa adalah salinan dari paket yang asli, maka jika ditemukan paket yang berbahaya maka paket tersebut akan tetap mancapai host yang ditujunya.Sebuah IPS bersifat lebih aktif daripada IDS. Bekerja sama dengan firewall, sebuah IPS dapat memberikan keputusan apakah sebuah paket dapat diterima atau tidak oleh sistem. Apabila IPS menemukan paket yang dikirimkan adalah paket berbahaya, maka IPS akan memberitahu firewall sistem untuk menolak paket data itu.
- Port Scanning : Metode Port Scanning biasanya digunakan oleh penyerang untuk mengetahui port apa saja yang terbuka dalam sebuah sistem jaringan komputer. Cara kerjanya dengan cara mengirimkan paket inisiasi koneksi ke setiap port yang sudah ditentukan sebelumnya. Jika port scanner menerima jawaban dari sebuah port, maka ada aplikasi yang sedang bekerja dan siap menerima koneksi pada port tersebut.
- Packet Fingerprinting : Dengan melakukan packet fingerprinting, kita dapat mengetahui peralatan apa saja yang ada dalam sebuah jaringan komputer. Hal ini sangat berguna terutama dalam sebuah organisasi besar di mana terdapat berbagai jenis peralatan jaringan komputer serta sistem operasi yang digunakan.
