Mengamankan Sistem Informasi

Pertemuan IV
 Pentingnya Keamanan Sistem
Menurut G.J. Simons, keamanan informasi adalah bagaimana
seseorang dapat mencegah penipuan (cheating) atau paling tidak
mendeteksi adanya penipuan di sebuah sistem yang berbasis
informasi, dimana informasinya tidak memiliki arti fisik.

Meningkatnya kejahatan komputer yang berhubungan dengan

sistem informasi disebabkan oleh beberapa hal antara lain :
Aplikasi bisnis yang menggunakan teknologi informasi dan
jaringan komputer semakin meningkat. Contoh on line
banking.
Transisi dari single vendor menjadi multi vendor
Desentralisasi dan distributed server
Meningkatnya kemampuan pemakai di bidang komputer
Mudahnya memperoleh software untuk menyerang komputer
dan jaringan komputer
Kesulitan dari penegak hukum untuk mengejar kemajuan di
bidang komputer
 Pentingnya Keamanan Sistem lanjutan
Mengapa sistem informasi rentan terhadap gangguan
keamanan
Sistem yg dirancang untuk bersifat terbuka (mis:
Internet)
Tidak ada batas fisik dan kontrol terpusat
Perkembangan jaringan (internetworking) yang
amat cepat
Sikap dan pandangan pemakai
Aspek keamanan belum banyak dimengerti
Menempatkan keamanan sistem pada prioritas
rendah
Ketrampilan (skill) pengamanan kurang
Beberapa Cara Melakukan Serangan pada
jalur Komunikasi
Sniffing
Memanfaatkan metode broadcasting dalam LAN
Membengkokkan aturan Ethernet, membuat
network interface bekerja dalam mode promiscuous
Contoh-contoh sniffer: Sniffit, TCP Dump, Linsniffer
Mencegah efek negatif sniffing
Pendeteksian sniffer (local & remote)
Penggunaan kriptografi (mis: ssh sbg pengganti
telnet)
 Beberapa Cara Melakukan Serangan
Spoofing
Memperoleh akses dengan acara berpura-pura menjadi seseorang
atau sesuatu yang memiliki hak akses yang valid
Spoofer mencoba mencari data dari user yang sah agar bisa
masuk ke dalam sistem (mis: username & password)

Client Penyerang Server

Logon

Invalid logon

Client Server
Logon

Logon berhasil
Pada saat ini, penyerang sudah mendapatkan username & password
yang sah untuk bisa masuk ke server
 Melakukan serangan Man in the
middle
Man-in-the-middle
Membuat client dan server sama-sama mengira
bahwa mereka berkomunikasi dengan pihak yang
semestinya (client mengira sedang berhubungan
dengan server, demikian pula sebaliknya)
Client Man-in-the-middle Server
Brute Force
Menebak password
Dilakukan secara sistematis dengan teknik brute-
force atau dictionary
Teknik brute-force: mencoba semua kemungkinan
password
Teknik dictionary: mencoba dengan koleksi kata-kata
yang umum dipakai, atau yang memiliki relasi dengan
user yang ditebak (tanggal lahir, nama anak)
 Modification Attacks
Biasanya didahului oleh access attack untuk
mendapatkan akses
Dilakukan untuk mendapatkan keuntungan dari
berubahnya informasi
Contoh:
Pengubahan nilai kuliah
Penghapusan data utang di bank
Mengubah tampilan situs web
 Denial of Service Attacks
Berusaha mencegah pemakai yang sah untuk
mengakses sebuah sumber daya atau informasi
Biasanya ditujukan kepada pihak-pihak yang memiliki
pengaruh luas dan kuat (mis: perusahaan besar, tokoh-
tokoh politik, dsb)
Teknik DoS
Mengganggu aplikasi (mis: membuat webserver down)
Mengganggu sistem (mis: membuat sistem operasi down)
Mengganggu jaringan (mis: dengan TCP SYN flood)
 Denial of Service Attacks
Contoh: MyDoom worm email (berita dari F-Secure, 28
Januari 2004) http://www.f-secure.com/news/items/news_2004012800.shtml
Ditemukan pertama kali 26 Januari 2004
Menginfeksi komputer yang diserangnya. Komputer yang
terinfeksi diperintahkan untuk melakukan DoS ke www.sco.com
pada tanggal 1 Februari 2004 jam 16:09:18
Pada saat itu, diperkirakan 20-30% dari total lalulintas e-mail di
seluruh dunia disebabkan oleh pergerakan worm ini
Penyebaran yang cepat disebabkan karena:
Penyamaran yang baik (tidak terlihat berbahaya bagi user)
Penyebaran terjadi saat jam kantor
Koleksi alamat email sasaran yang agresif (selain mengambil dari
address book di komputer korban, juga membuat alamat email
sendiri)
Keamanan sistem sebagai satu konsep
terpadu
Layer 5
Auditing, monitoring, and investigating

Layer 4
Information security technologies and products
Validation

Layer 3
Layer 6

Information security awareness and training

Layer 2
Information security architecture and processes

Layer 1
Information security policies and standards
 Mengatur akses (Access Control)
Salah satu cara yang umum digunakan untuk
mengamankan informasi adalah dengan mengatur
akses ke informasi melalui mekanisme authentication
dan access control. Implementasi dari mekanisme ini antara lain
dengan menggunakan password.

Pada system Linux password disimpan dalam file text terletak di

/etc/passwd, pada windows terletak di c:\windows\system32\config
dan file password tersebut telah menggunakan enkripsi algoritma.

Penyerang (attacker) dapat melakukan dictionary-based attack

dengan cara :
- Menyalin file /etc/passwd, file sam pada windows
- Menjalankan program yang berguna untuk membongkar
password, Contohnya : Crack
 Setting User dan Password pada windows

Menampilkan jendela User Account

Klik Start > Run dan ketik
control userpasswords2

Klik tombol Add untuk menambah

user baru dan Remove untuk
menghapus User.

Klik tombol Reset Password untuk

merubah Password User
 Merubah Properties User
Klik tombol Properties untuk melihat
properties dari user.
Ada 2 Pilihan utama disamping 8
pilihan anggota group yaitu :
1. Standard User (Power User)
User dapat merubah beberapa
file sistem, menginstall program
yang tidak berpengaruh terhadap
file sistem windows
2. Restricted User (User Groups)
User dapat menggunakan
komputer dan menyimpan
dokumen tetapi tidak dapat
menginstall program dan
merubah setting sistem windows.
 Pengaturan User (lanjutan)

Passwords dan .NET Passwords

digunakan sebagai fasilitas untuk
mengatur data password user
yang dapat menggunakan
komputer dan email.

Advanced user management

digunakan untuk mengatur group
dan user pemakai komputer
secara lebih detail.
 Kriteria pembuatan password
Jangan menggunakan nama login, nama pertama atau akhir
beserta variasinya dan nama pasangan atau anak.
Jangan menggunakan informasi lainnya yang mudah didapat
tentang anda seperti No telp, Tgl Lahir.
Gunakan password yang merupakan kombinasi antara huruf
kapital dan huruf kecil dan angka.
Gunakan special 32 karakter ALT, diketikkan dengan
menahan tombol Alt ketika mengetik angka antara 128 and
255 pada tombol angka dengan indikator Num Lock on.
Gunakan Pasword yang mudah diketikkan, tanpa perlu
melihat pada keyboard.
 Comparative Analysis for password breaking
(assumption software can calculate 500.000 words
/sec)
Active Directori pada windows 2000
dan Windows 2003
Pengaturan hak dan penggunaan PC
 Menutup servis yang tidak digunakan
Seringkali sistem (perangkat keras dan/atau perangkat
lunak) diberikan dengan beberapa servis dijalankan sebagai
default. contoh, pada sistem UNIX servis-servis berikut
sering dipasang dari vendornya: finger, telnet, ftp, smtp, pop,
echo, dan seterusnya.

Servis tersebut tidak semuanya dibutuhkan. Untuk

mengamankan sistem, servis yang tidak diperlukan di server
(komputer) tersebut sebaiknya dimatikan.
 Memasang Proteksi
Untuk lebih meningkatkan keamanan sistem informasi,
proteksi dapat ditambahkan. Proteksi ini dapat berupa filter
(secara umum) dan yang lebih spesifik adalah firewall. Filter
dapat digunakan untuk memfilter e-mail, informasi, akses,
atau bahkan dalam level packet.
contoh, di sistem UNIX ada paket program tcpwrapper
yang dapat digunakan untuk membatasi akses kepada servis
atau aplikasi tertentu. Misalnya, servis untuk telnet dapat
dibatasi untuk untuk sistem yang memiliki nomor IP tertentu,
atau memiliki domain tertentu.
Sementara firewall dapat digunakan untuk melakukan filter
secara umum.
The End