LAYANAN KEAMANAN
(TUGAS PENGANTAR TELEMATIKA: JURNAL KASUS)
Emir Firdaus
12112488
4KA11
LAYANAN KEAMANAN
1.
Abstrak
Sistem keamanan
komputer semakin dibutuhkan saat ini seiring dengan meningkatnya penggunaan
komputer di seluruh penjuru dunia. Selain itu makin meningkatnya para pengguna
yang menghubungkan jaringan LANnya ke internet, namun tidak di
imbangi dengan SDM yang dapat menjaga keamanan data dan infomasi yang dimiliki.
Sehingga keamanan data yang ada menjadi terancam untuk diakses dari orang-orang
yang tidak berhak.
2.
Pendahuluan
Masalah keamanan merupakan salah satu aspek penting
dari sebuah sistem informasi. Sayang sekali masalah keamanan ini sering kali
kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi.
Seringkali masalah keamanan berada di urutan kedua, atau bahkan di urutan
terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu
performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan.
William Stalling (2011) menyatakan bahwa security
service adalah sebuah proses atau layanan komunikasi yang disediakan oleh
sistem untuk memberikan jenis perlindungan tertentu terhadap sumber daya
sistem, layanan keamanan menerapkan kebijakan keamanan dan dilaksanakan oleh
mekanisme keamanan.
3.
Metode
Penelitian
Teknik pengumpulan data
dilakukan dengan mencari data sesuai topik yang ada pada buku dan website di
internet. Alat yang digunakan adalah sebuah laptop dan koneksi
internet. Subyek pada penelitian ini adalah semua artikel mengenai Layanan
komputer.
4.
Hasil
Garfinkel
mengemukakan bahwa keamanan komputer (computer security) melingkupi empat
aspek, yaitu privacy, integrity, authentication, dan availability. Selain
keempat hal di atas, masih ada dua aspek lain yang juga sering dibahas dalam
kaitannya dengan electronic commerce, yaitu access control dan non-repudiation.
1.
Privacy / Confidentiality
Inti utama aspek privacy atau confidentiality adalah
usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Privacy lebih
kearah data-data yang sifatnya privat sedangkan confidentiality biasanya
berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu
(misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya
diperbolehkan untuk keperluan tertentu tersebut. Contoh hal yang berhubungan
dengan privacy adalah e-mail seorang pemakai (user) tidak
boleh dibaca oleh administrator. Contoh confidential information adalah
data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social
security number, agama, status perkawinan, penyakit yang pernah diderita, nomor
kartu kredit, dan sebagainya) merupakan data-data yang ingin diproteksi
penggunaan dan penyebarannya. Contoh lain dari confidentiality adalah
daftar pelanggan dari sebuah Internet Service Provider (ISP).
Untuk mendapatkan kartu
kredit, biasanya ditanyakan data-data pribadi. Jika saya mengetahui data-data
pribadi anda, termasuk nama ibu anda, maka saya dapat melaporkan melalui
telepon (dengan berpura-pura sebagai anda) bahwa kartu kredit anda hilang dan
mohon penggunaannya diblokir. Institusi (bank) yang mengeluarkan kartu kredit
anda akan percaya bahwa saya adalah anda dan akan menutup kartu kredit anda.
Masih banyak lagi kekacauan yang dapat ditimbulkan bila data-data pribadi ini
digunakan oleh orang yang tidak berhak.
Dalam bidang kesehatan
(health care) masalah privacy merupakan topik yang sangat serius di
Amerika Serikat. Health Insurance Portability and Accountability Act (HIPPA),
dikatakan akan mulai digunakan di tahun 2002, mengatakan bahwa rumah sakit,
perusahaan asuransi, dan institusi lain yang berhubungan dengan kesehatan harus
menjamin keamanan dan privacy dari data-data pasien. Data-data yang
dikirim harus sesuai dengan format standar dan mekanisme pengamanan yang cukup
baik. Partner bisnis dari institusi yang bersangkutan juga harus menjamin hal
tersebut. Suatu hal yang cukup sulit dipenuhi. Pelanggaran akan act ini dapat
didenda US$ 250.000 atau 10 tahun di penjara.
Serangan terhadap aspek privacy misalnya
adalah usaha untuk melakukan penyadapan (dengan program sniffer).
Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy dan confidentiality adalah
dengan menggunakan teknologikriptografi (dengan enkripsi dan dekripsi).
Ada beberapa masalah lain yang berhubungan dengan confidentiality.
Apabila kita menduga
seorang pemakai (sebut saja X) dari sebuah ISP (Z), maka dapatkah kita meminta
ISP (Z) untuk membuka data-data tentang pemakai X tersebut? Di luar negeri, ISP
Z akan menolak permintaan tersebut meskipun bukti-bukti bisa ditunjukkan bahwa
pemakai X tersebut melakukan kejahatan. Biasanya ISP Z tersebut meminta kita
untuk menunjukkan surat dari pihak penegak hukum (subpoena). Masalah privacy atau confidentiality ini
sering digunakan sebagi pelindung oleh orang yang jahat/nakal.
Informasi mengenai privacy yang
lebih rinci dapat diperoleh dari situs Electronic Privacy Information
Center (EPIC, http://www.epic.org) dan Electronic Frontier Foundation (EFF, http://www.eff.org).
Confidentiality
merupakan aspek yang menjamin kerahasiaan data atau informasi. Sistem yang
digunakan untuk mengimplementasikan e-procurement harus dapat menjamin
kerahasiaan data yang dikirim, diterima dan disimpan. Bocornya informasi dapat
berakibat batalnya proses pengadaan.
Kerahasiaan ini dapat
diimplementasikan dengan berbagai cara, seperti misalnya menggunakan teknologi
kriptografi dengan melakukan proses enkripsi (penyandian, pengkodean) pada
transmisi data, pengolahan data (aplikasi dan database), dan penyimpanan data
(storage). Teknologi kriptografi dapat mempersulit pembacaan data tersebut bagi
pihak yang tidak berhak.
Seringkali perancang
dan implementor dari sistem informasi atau sistem transaksi elektronik lalai
dalam menerapkan pengamanan. Umumnya pengamanan ini baru diperhatikan pada
tahap akhir saja sehingga pengamanan lebih sulit diintegrasikan dengan sistem
yang ada. Penambahan pada tahap akhir ini menyebabkan sistem menjadi tambal
sulam. Akibat lain dari hal ini adalah adanya biaya yang lebih mahal daripada
jika pengamanan sudah dipikirkan dan diimplementasikan sejak awal.
Akses terhadap
informasi juga harus dilakukan dengan melalui mekanisme otorisasi
(authorization) yang ketat. Tingkat keamanan dari mekanisme otorisasi
bergantung kepada tingkat kerahasiaan data yang diinginkan.
2.
Integrity
Aspek ini menekankan
bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya
virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin
merupakan contoh masalah yang harus dihadapi. Sebuah e-mail dapat saja
“ditangkap” (intercept) di tengah jalan, diubah isinya (altered, tampered,
modified), kemudian diteruskan ke alamat yang dituju. Dengan kata lain,
integritas dari informasi sudah tidak terjaga. Penggunaan enkripsi dan digital
signature, misalnya, dapat mengatasi masalah ini.
Salah satu contoh kasus trojan
horse adalah distribusi paket program TCP Wrapper (yaitu program
populer yang dapat digunakan untuk mengatur dan membatasi akses TCP/IP) yang
dimodifikasi oleh orang yang tidak bertanggung jawab. Jika anda memasang
program yang berisi trojan horse tersebut, maka ketika anda merakit (compile)
program tersebut, dia akan mengirimkan eMail kepada orang tertentu yang
kemudian memperbolehkan dia masuk ke sistem anda. Informasi ini berasal dari
CERT Advisory, “CA- 99-01 Trojan-TCP-Wrappers” yang didistribusikan 21 Januari
1999.
Contoh serangan lain
adalah yang disebut “man in the middle attack” dimana seseorang menempatkan
diri di tengah pembicaraan dan menyamar sebagai orang lain.
Integrity merupakan
aspek yang menjamin bahwa data tidak boleh berubah tanpa ijin pihak yang
berwenang (authorized). Aspek ini menekankan bahwa informasi tidak boleh diubah
tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain
yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus
dihadapi. Sebuah e-mail dapat saja “ditangkap” (intercept) di tengah jalan,
diubah isinya (altered, tampered, modified), kemudian diteruskan ke alamat yang
dituju. Dengan kata lain, integritas dari informasi sudah tidak terjaga.
Penggunaan enkripsi dan digital signature, misalnya, dapat mengatasi masalah
ini.
Untuk aplikasi
e-procurement, aspek integrity ini sangat penting. Data yang telah dikirimkan
tidak dapat diubah oleh pihak yang berwenang. Pelanggaran terhadap hal ini akan
berakibat tidak berfungsinya sistem e-procurement.
Secara teknis ada
banyak cara untuk menjamin aspek integrity ini, seperi misalnya dengan
menggunakan messange authentication code, hash function, digital signature.
Contoh : e-mail di intercept di tengah jalan, diubah
isinya, kemudian diteruskan ke alamat yang dituju.
Bentuk serangan :
Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa
ijin, “man in the middle attack” dimana seseorang menempatkan diri di tengah
pembicaraan dan menyamar sebagai orang lain.
3.
Authentication
Aspek ini berhubungan
dengan metoda untuk menyatakan bahwa informasi betul-betul asli, orang yang
mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud,
atau server yang kita hubungi adalah betul-betul server yang asli.
Masalah pertama,
membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermarking dan digital
signature. Watermarking juga dapat digunakan untuk menjaga “intelectual
property”, yaitu dengan menandai dokumen atau hasil karya dengan “tanda tangan”
pembuat.
Masalah kedua biasanya
berhubungan dengan access control, yaitu berkaitan dengan pembatasan orang
yang dapat mengakses informasi. Dalam hal ini pengguna harus menunjukkan bukti
bahwa memang dia adalah pengguna yang sah, misalnya dengan menggunakan password, biometric (ciri-ciri
khas orang), dan sejenisnya. Ada tiga hal yang dapat ditanyakan kepada orang
untuk menguji siapa dia:
• What
you have (misalnya kartu ATM)
• What
you know (misalnya PIN atau password)
• What
you are (misalnya sidik jari, biometric)
Penggunaan teknologi smart
card, saat ini kelihatannya dapat meningkatkan keamanan aspek ini. Secara umum, proteksi
authentication dapat menggunakandigital certificates. Authentication
biasanya diarahkan kepada orang (pengguna), namun tidak pernah ditujukan kepada
server atau mesin. Pernahkan kita bertanya bahwa mesin ATM yang sedang kita
gunakan memang benar-benar milik bank yang bersangkutan? Bagaimana jika ada
orang nakal yang membuat mesin seperti ATM sebuah bank dan meletakkannya di
tempat umum? Dia dapat menyadap data-data (informasi yang ada di magnetic
strip) dan PIN dari orang yang tertipu. Memang membuat mesin ATM palsu tidak
mudah. Tapi, bisa anda bayangkan betapa mudahnya membuat web site palsu yang
menyamar sebagai web site sebuah bank yang memberikan layanan Internet Banking.
(Ini yang terjadi dengan kasus klikBCA.com.)
4.
Availability
Aspek availability atau
ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan.
Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan
akses ke informasi.
Contoh hambatan adalah
serangan yang sering disebut dengan “denial of service attack” (DoS attack),
dimana server dikirimi permintaan (biasanya palsu) yang bertubi-tubi atau
permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain
atau bahkan sampai down, hang, crash.
Contoh lain adalah
adanya mailbomb, dimana seorang pemakai dikirimi e-mail bertubi-tubi (katakan
ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat
membuka e-mailnya atau kesulitan mengakses e-mailnya(apalagi jika
akses dilakukan melalui saluran telepon). Bayangkan apabila anda dikirimi 5000
email dan anda harus mengambil (download) email tersebut melalui telepon dari
rumah.
Availability merupakan
aspek yang menjamin bahwa data tersedia ketika dibutuhkan. Dapat dibayangkan
efek yang terjadi ketika proses penawaran sedang dilangsungkan ternyata sistem
tidak dapat diakses sehingga penawaran tidak dapat diterima. Ada kemungkinan
pihak-pihak yang dirugikan karena tidak dapat mengirimkan penawaran, misalnya.
Hilangnya layanan dapat
disebabkan oleh berbagai hal, mulai dari benca alam (kebakaran, banjir, gempa
bumi), ke kesalahan sistem (server rusak, disk rusak, jaringan putus), sampai
ke upaya pengrusakan yang dilakukan secara sadar (attack). Pengamanan terhadap
ancaman ini dapat dilakukan dengan menggunakan sistem backup dan menyediakan
disaster recovery center (DRC) yang dilengkapi dengan panduan untuk melakukan
pemulihan (disaster recovery plan).
5.
Access Control
Aspek ini berhubungan
dengan cara pengaturan akses kepada informasi. Hal ini biasanya berhubungan
dengan klasifikasi data (public, private, confidential, top secret) & user
(guest, admin, top manager, dsb.), mekanisme authentication dan juga privacy.
Access control seringkali dilakukan dengan menggunakan kombinasi
userid/password atau dengan menggunakan mekanisme lain (seperti kartu,
biometrics).
6.
Non-repudiation
Aspek ini menjaga agar
seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Sebagai
contoh, seseorang yang mengirimkan email untuk memesan barang tidak dapat
menyangkal bahwa dia telah mengirimkan email tersebut. Aspek ini sangat penting
dalam hal electronic commerce. Penggunaan digital signature, certifiates, dan
teknologi kriptografi secara umum dapat menjaga aspek ini. Akan tetapi hal ini
masih harus didukung oleh hukum sehingga status dari digital signature itu
jelas legal. Hal ini akan dibahas lebih rinci pada bagian tersendiri.
5.
Pembahasan
Berdasarkan level,
metode pengamanan komputer dibedakan berdasarkan level keamanan, dan disusun
seperti piramida, yaitu:
Keamanan Level 0,
merupakan keamanan fisik (Physical Security) atau keamanan tingkat awal. Apabila
keamanan fisik sudah terjaga maka keamanan di dalam computer juga akan terjaga.
Keamanan Level 1,
terdiri dari database security, data security, dan device security. Pertama
dari pembuatan database dilihat apakah menggunakan aplikasi yang sudah diakui
keamanannya. Selanjutnya adalah memperhatikan data security yaitu pendesainan
database, karena pendesain database harus memikirkan kemungkinan keamanan dari
database. Terakhir adalah device security yaitu adalah yang dipakai untuk
keamanan dari database tersebut.
Keamanan Level 2, yaitu
keamanan dari segi keamanan jaringan. Keamanan ini sebagai tindak lanjut dari
keamanan level 1.
Keamanan Level 3,
merupakan information security. Informasi – informasi seperti kata sandi yang
dikirimkan kepada teman atau file – file yang penting, karena takut ada orang
yang tidak sah mengetahui informasi tersebut.
Keamanan Level 4,
keamanan ini adalah keseluruhan dari keamanan level 1 sampai level 3. Apabila
ada satu dari keamanan itu tidak terpenuhi maka keamanan level 4 juga tidak
terpenuhi.
Berdasarkan sistem,
metode pengamanan komputer terbagi dalam beberapa bagian antara lain :
Network Topology
Sebuah jaringan
komputer dapat dibagi atas kelompok jaringan eksternal (Internet atau pihak
luar) kelompok jaringan internal dan kelompok jaringan eksternal diantaranya
disebut DeMilitarized Zone (DMZ). - Pihak luar : Hanya dapat berhubungan
dengan host-host yang berada pada jaringan DMZ, sesuai dengan kebutuhan
yang ada. - Host-host pada jaringan DMZ : Secara default dapat melakukan
hubungan dengan host-host pada jaringan internal. Koneksi secara terbatas dapat
dilakukan sesuai kebutuhan. - Host-host pada jaringan Internal : Host-host
pada jaringan internal tidak dapat melakukan koneksi ke jaringan luar,
melainkan melalui perantara host pada jaringan DMZ, sehingga pihak luar tidak
mengetahui keberadaan host-host pada jaringan komputer internal.
Security Information Management
Salah satu alat bantu
yang dapat digunakan oleh pengelola jaringan komputer adalah Security
Information Management (SIM). SIM berfungsi untuk menyediakan seluruh informasi
yang terkait dengan pengamanan jaringan komputer secara terpusat. Pada
perkembangannya SIM tidak hanya berfungsi untuk mengumpulkan data dari semua
peralatan keamanan jaringan komputer tapi juga memiliki kemampuan untuk analisa
data melalui teknik korelasi dan query data terbatas sehingga menghasilkan
peringatan dan laporan yang lebih lengkap dari masing-masing serangan. Dengan
menggunakan SIM, pengelola jaringan komputer dapat mengetahui secara efektif
jika terjadi serangan dan dapat melakukan penanganan yang lebih terarah,
sehingga organisasi keamanan jaringan komputer tersebut lebih terjamin.
IDS / IPS
Intrusion detection
system (IDS) dan Intrusion Prevention system (IPS) adalah sistem yang digunakan
untuk mendeteksi dan melindungi sebuah sistem keamanan dari serangan pihak luar
atau dalam. Pada IDS berbasiskan jaringan
komputer , IDS akan
menerima kopi paket yang ditujukan pada sebuah host untuk selanjutnya memeriksa
paket-paket tersebut. Jika ditemukan paket yang berbahaya, maka IDS akan
memberikan peringatan pada pengelola sistem. Karena paket yang diperiksa adalah
salinan dari paket yang asli, maka jika ditemukan paket yang berbahaya maka
paket tersebut akan tetap mancapai host yang ditujunya.Sebuah IPS bersifat
lebih aktif daripada IDS. Bekerja sama denganfirewall, sebuah IPS dapat
memberikan keputusan apakah sebuah paket dapat diterima atau tidak oleh sistem.
Apabila IPS menemukan paket yang dikirimkan adalah paket berbahaya, maka IPS
akan memberitahu firewall sistem untuk menolak paket data itu. Dalam membuat
keputusan apakah sebuah paket data berbahaya atau tidak, IDS dan IPS dapat
memnggunakan metode
Signature based
Intrusion Detection System : Telah tersedia daftar signature yang
dapat digunakan untuk menilai apakah paket yang dikirimkan berbahaya atau
tidak.
Anomaly based Intrusion
Detection System : Harus melakukan konfigurasi terhadap IDS dan IPS agar
dapat mengetahui pola paket seperti apa saja yang akan ada pada sebuah sistem
jaringan komputer. Paket anomaly adalah paket yang tidak sesuai dengan kebiasaan
jaringan komputer tersebut.
Port Scanning
Metode Port Scanning
biasanya digunakan oleh penyerang untuk mengetahui port apa saja yang terbuka
dalam sebuah sistem jaringan komputer. Cara kerjanya dengan cara mengirimkan
paket inisiasi koneksi ke setiap port yang sudah ditentukan
sebelumnya. Jika port scanner menerima jawaban dari sebuah port, maka ada
aplikasi yang sedang bekerja dan siap menerima koneksi pada port tersebut.
Packet Fingerprinting
Dengan melakukan packet fingerprinting,
kita dapat mengetahui peralatan apa saja yang ada dalam sebuah jaringan
komputer. Hal ini sangat berguna terutama dalam sebuah organisasi besar dimana
terdapat berbagai jenis peralatan jaringan komputer serta sistem operasi yang
digunakan.
6. Kesimpulan
Berdasarkan penelitian yang telah dilakukan dapat
disimpulkan, bahwa manfaat sistem keamanan komputer yaitu menjaga suatu sistem
komputer dari pengaksesan seseorang yang tidak memiliki hak untuk mengakses
sistem komputer tersebut. Keamanan komputer menjadi penting karena ini terkait
dengan Privacy, Integrity, Autentication, Confidentiality dan Availability.
Beberapa ancaman pada keamanan komputer adalah virus, worm, trojan,
spam dan lain-lain. Masing-masingnya memiliki cara untuk mencuri
data bahkan merusak sistem komputer. Ancaman bagi keamanan sistem komputer ini
tidak dapat dihilangkan begitu saja, namun kita dapat meminimalkan hal ini
dengan menggunakan software keamanan sistem diantaranya antivirus, antispam dan
sebagainya.
7. Daftar Pustaka
7. Daftar Pustaka
[1] Budi Rahardjo. 2005. Keamanan Sistem Informasi
Berbasis Internet.
PT Insan Infonesia: Bandung
[2] URL: https://id.wikipedia.org/wiki/Keamanan_komputer
(13 Oktober 2015)
[3] URL: http://belajarjaringanringan.blogspot.co.id/2014/05/security-service-layanan-keamanan.html (13 Oktober 2015)
Tidak ada komentar:
Posting Komentar