KEAMANAN KOMPUTER / SISTEM INFORMASI

Definisi Keamanan (Security) adalah melindungi aset-aset dari ancaman.

Aset-aset dapat berupa informasi, perangkat keras, perangkat lunak, perangkat pendukung (peripheral supplies), orang (people), media komunikasi, kemampuan pemrosesan (processing capabilities), atau uang (dinyatakan dalam bentuk dari informasi tersebut bila dijual).

(Cooper, James Arlin, Computer and Communication Security Strategies for the 1990s, McGraw-Hill 1989, page 11).

Istilah komunikasi (communication) yang dimaksud adalah komunikasi komputer. Aliran data yang mengalir dari satu komputer ke komputer lain atau dari komputer ke perangkat pendukung lain seperti misalnya printer.

Aspek-aspek Keamanan Komputer

1. Authentication

Agar si penerima informasi dapat memastikan keaslian informasi tersebut datang dari si pengirim sesungguhnya.

2. Integrity

Informasi yang dikirim lewat jaringan tidak dimodifikasi oleh orang yang tidak berhak selama perjalanan melalui jaringan

3. Non Repudiation

Si pengirim tidak mengelak bahwa dialah yang mengirim informasi tersebut

4. Authority

Informasi yang berada di jaringan tidak dapat dimodifikasi oleh orang yang tidak berhak

5. Confidentiality

Usaha untuk menjaga agar informasi tidak dapat di akses oleh orang yang tidak berhak

6. Privacy

Data-data yang sifatnya pribadi

7. Availability

Ketersediaan informasi ketika dibutuhkan. OS yang diserang dapat menghambat / meniadakan akses ketempat informasi tersebut disimpan

8. Access Control

Cara pengaturan akses ke informasi. Ini berhubungan dengan masalah Authentication dan juga Privacy. Access Control dilakukan dengan menggunakan kombinasi UserId dan Password atau dengan menggunakan mekanisme lain.

Aspek-aspek Ancaman Keamanan

1. Interruption

Suatu ancaman terhadap availability karena informasi dan data yang ada didalam sistem komputer dirusak dan dihapus sehingga ketika informasi dan data dibutuhkan menjadi tidak tersedia.

2. Interception

Suatu ancaman terhadap kerahasiaan (secrecy) karena informasi yang ada atau tersimpan di komputer disadap oleh orang yang tidak berhak.

3. Modifikasi

Suatu ancaman terhadap integritas karena orang yang tidak berhak dapat menyadap lalulintas informasi yang sedang dikirim dan diubah sesuai kehendak si penyadap.

4. Fabrication

Suatu ancaman terhadap integritas karena informasi yang ada bisa dipalsukan sehingga sipenerima informasi tertipu karena menduga informasi tersebut berasal dari sipengirim sesungguhnya.

Mendeteksi Serangan

1. Anomaly Detection (Deteksi Penyimpangan)

Mendeteksi perilaku tidak lazim yang terjadi dalam host atau network. Serangan dapat dideteksi oleh sistem yang mampu mengidentifikasi perbedaan tersebut. Anomaly Detection menyusun profil yang merepresentasikan kebiasaan user yang normal, host atau jaringan. Profil dibangun berdasar data historis yang dikumpulkan dalam periode operasi normal. Ketika ditemukan adanya penyimpangan dilakukan pengamanan dengan menggunakan langkah yang beragam.

2. Misuse Detection (Signaturesbased Detection)

Detektor melakukan analisis terhadap aktivitas sistem, mencari event yang cocok dengan pola perilaku serangan (signatures)

• Network Monitoring (Sistem Pemantau Jaringan)

Digunakan untuk memantau adanya lobang keamanan. Biasanya menggunakan protokol SNMP (Simple Network Management Protocol). Contoh: SNMP Collector, Packetboy, Etherboy dll.

• IDS (Intrusion Detection System)

Merupakan penghambat atas semua serangan yang akan mengganggu sebuah jaringan. IDS akan memperingatkan Administrator Server sebagai penanggung jawab sebuah sistem saat terjadi aktivitas tertentu yang tidak diharapkan. Selain memberikan peringatan IDS juga mampu melacak jenis aktivitas yang merugikan sebuah sistem. IDS akan melacak paket-paket yang berisi aktivitas yang mencurigakan sekaligus melakukan tindakan pencegahan. Ada dua macam IDS:

· IDS Host-Based

bekerja pada host yang akan dilindungi dengan cara mendeteksi serangan yang ditujukan pada host tsb. Keunggulan host-based adalah pada perlindungan keamanan file seperti tindakan pengubahan file atau usaha untuk akses ke file yang sensitif.

· IDS Network-Based

berupa suatu mesin yang khusus dipergunakan untuk melakukan monitoring seluruh segmen dari jaringan. Network-Based akan mengumpulkan paket-paket data yng ada di jaringan dan kemudian menganalisisnya untuk menentukan ada tidaknya serangan yang ditujukan ke jaringan tersebut.

Pembagian jenis IDS didasarkan atas beberapa terminologi seperti:

· a. Arsitektur Sistem

Dibedakan menurut komponen fungsional IDS

· 1. Host-Target Co-Location

IDS yang dijalankan pada sistem yang akan dilindungi. Kelemahan sistem ini adalah jika sipenyusup berhasil memperoleh akses ke sistem, maka sipenyusup dapat denagn mudah mematikan IDS jenis ini.

· 2. Host-target Separation

IDS diletakkan pada komputer yang berbeda dengan komputer yang akan dilindungi.

· b. Strategi Pengendalian

IDS dibedakan berdasar atas cara kendali IDS-IDS yang ada baik disisi input maupun output.

· Terpusat

Seluruh kendali pada IDS seperti monitoring, deteksi, dan pelaporan dikendalikan terpusat.

· Terdistribusi Parsial

Monitoring dan deteksi dikendalikan dari node lokal dengan hirarkhi pelaporan pada satu atau beberapa pusat lokasi.

· Terdistribusi Total

Monitoring dan deteksi menggunakan pendekatan berbasis agent, yaitu keputusan respons dibuat pada kode analisis.

· c. Waktu

yang dimaksud waktu disini adalah waktu antara kejadian, baik monitoring maupun analisis.

· 1. Interval-Based (Batch Mode)

Informasi dikumpulkan terlebih dulu, setelah itu dilakukan evaluasi berdasar interval waktu yang telah ditentukan.

· 2. Realtime (Continues)

IDS memperoleh data secara terus-menerus sehingga ketika timbul serangan dapat diantisipasi dengan cepat pula.

· d. Sumber Data

IDS dibedakan menurut sumber data yang diperoleh.

· 1. Host-Based

IDS memperoleh informasi dari sebuah sistem komputer. Data host-based IDS berupa log yang dihasilkan dengan cara memonitor sistem file, event, dan keamanan pada sistem operasi Windows NT dan Syslog pada OS UNIX. Ketika terjadi perubahan pada log tersebut, lalu dilakukan analisis untuk mengetahui apakah polanya sama dengan pola serangan yang ada pada basis data IDS.

Teknik yang sering digunakan adalah dengan melakukan pengecekan kunci file sistem dan file eksekusi dengan checksum pada interval waktu tertentu untuk mendapatkan perubahan yang tidak diharapkan (unexpected Changes).

Dalam hal mendeteksi adanya serangan Host-based kalah cepat dibanding Network-based. Kelebihan Host-based adalah analisis forensik yang lebih kuat, fokus terhadap sebuah host. Kelebihan lainnya adalah:

· Menguji keberhasilan atau kegagalan serangan dengan menggunakan logs yang berisi event yang telah terjadi.

· Memonitor aktivitas sistem tertentu seperti mobnitoring aktivitas pengguna, akses terhadap file seperti ganti atribut file, percobaan instalasi file executable baru dan percobaan untuk mengakses service privileged.

· Mendeteksi serangan yang lolos pada Network-based misalnya karena searangan melalui sistem lokal dan bukan lewat jaringan.

· Cocok untuk jaringan yang memanfaatkan fasilitas switch dan juga teknik enkripsi pada sistem komunikasi datanya.

· Tidak memerlukan tambahan perangkat keras karena host-base IDS berada didalam infrastruktur jaringan yang ada termasuk server file, server web dan sumber daya lainnya.

· 2. Network-Based

IDS (Intrussion Detection System) memperoleh informasi dari paket-paket jaringan yang ada.

Sumber data Network-based IDS menggunakan raw packet yang ada di jaringan. Alat untuk menangkap paket-paket yang akan dipantau menggunakan network adapter.

Cara untuk mengenali serangan pada Network-based IDS antara lain:

1. Pola data, ekspresi, atau pencocokan secara bytecode.

2. Frekuensi atau pelanggaran ambang batas

3. Korelasi yang dekat dengan sebuah event.

4. Deteksi anomali secara statistik.

Keuntungan menggunakan Network-based:

· Biaya lebih rendah karena pengawasan dilakukan pada titik akses yang kritis untuk menampilkan network traffic atas beragam sistem yang diamati. Dengan demikian tidak diperlukan perangkat lunak untuk dipasang pada banyak host.

· Mampu menangani serangan yang tidak terdeteksi oleh Host-based IDS seperti IpbasedDoS dan Fragmented Packet (Tear Drop) karena semua serangan dapat diidentifikasi dengan membaca header dari packet yang ada.

· Penyerang sulit menghapus jejak karena penggunaan data live network traffic untuk mendeteksi serangan secara real-time.

· Tidak tergantung pada sistem operasi karena evaluasi yang dilakukan tidak harus berada pada host tersebut.

Contoh Network-based IDS: SNORT.

Snort merupakan NIDS (network-base Intrusion Detection System) yang berfungsi memeriksa data yang masuk dan melaporkan ke administrator bila ditemukan gejala mencurigakan. Dengan kata lain Snort bersifat sniffer karena mengawasi gerak-gerik paket-paket yang melewati jaringan. Selain memsang Snort sebaiknya didampingi pula dengan ACID (Analysis Console for Intrusion Databases) karena dilengkapi dengan PHPlot sebuah library untuk membuat grafik di PHP.