1. Pengertian
Salah satu aspek penting yang harus diperhatikan dengan adanya sistem jaringan komputer adalah masalah keamanannya, dimana dengan banyaknya komputer yang dihubungkan dalam suatu jaringan dan banyaknya user yang memakai, suatu data maupun informasi menjadi sangat rentan terhadap serangan-serangan dari pihak-pihak yang tidak berwenang. Salah satu masalah dalam keamanan komputer berkaitan dengan bagaimana komputer mengetahui bahwa seseorang yang masuk di dalam koneksi jaringan adaalah benar-benar dirinya sendiri. Dengan kata lain, sekali user mengidentifikasikan drinya ke komputer, komputer harus memastukan apakah identifikasi tersebut autentik atau tidak.
Ada beberapa metode untuk melakukan autentikasi, salah satunya dan yang paling umum adalah menggunakan password. Metode autentikasi dengan menggunakan password statis adalah yang paling banyak digunakan. Tetapi jika user menggunakan password yang sama (password statis) beberapa kali untuk masuk ke dalam suatu sistem, password tersebut akan menjadi rentan terhadap sniffer jaringan. Salah satu bentuk serangan ke sistem komputer jaringan adalah seseorang mencoba masuk ke dalam suatu koneksi jaringan untuk mendapatkan informasi aautentikasi, seperti ID login dan password yang berbeda setiap kali user akan masuk ke sistem,. Sistem autentikasi One Time Password (OTP) dibuat untuk mengatasi serangan seperti diatas.
2. Authenticity
Mengapa perlu autentisasi…..? Internet adalah jaringan publik, dan terbuka bagi setiap orang diseluruh penjuru dunia untuk menggabungkan diri. Begitu besarnya jaringan ini, telah menimbulkan keuntungan serta kerugian. Sering kita dengar dan baca tentang bobolnya sistem komputer keuangan bank, informasi rahasia Pentagon atau basis data transkrip akademik mahasiswa. Kalimat tersebut cukup untuk mewakili pernyataan bahwa kita harus ‘waspada’ terhadap orang-orang ‘jahat’ dan senantiasa berusaha memperkecil kemungkinan bagi mereka untuk dapat melakukan niat jahatnya. Memang mudah untuk meniadakan kemungkinan penyusupan (akses ilegal) dari luar dengan menutup semua kanal trafik servis inbound ke jaringan internal. Namun ini berarti telah mereduksi keuntungan utama adanya jaringan: komunikasi dan pemakaian sumber daya bersama (sharing resources). Jadi, konsekuensi alami dengan jaringan cukup besar, adalah menerima dan berusaha untuk memperkecil resiko ini, bukan meniadakannya.
Pencurian hubungan (hijacking attack) biasanya terjadi pada komputer yang menghubungi jaringan kita, walaupun untuk beberapa kasus langka, bisa terjadi pada sembarang jalur yang dilaluinya. Sehingga akan bijaksana bila seorang NA mempertimbangkan pemberian kepercayaan akses, hanya dari komputer yang paling tidak mempunyai sistem security sama atau mungkin lebih ‘kuat’, dibandingkan dengan jaringan dibawah tanggung-jawabnya. Usaha memperkecil peluang musibah ini, juga dapat dilakukan dengan mengatur packet-filter dengan baik atau menggunakan server modifikasi. Misalnya, kita dapat menyediakan fasilitas anonymous-FTP bagi sembarang komputer dimanapun, tapi authenticated-FTP hanya diberikan pada host-host yang tercantum pada daftar ‘kepercayaan’. Hijacking ditengah jalur dapat dihindari dengan penggunaan enkripsi antar jaringan (end to end encryption).
Kerahasiaan data dan password juga merupakan topik disain security. Program yang didedikasikan untuk packet-sniffing dapat secara otomatis menampilkan isi setiap paket data antara client dengan servernya. Proteksi password dari kejahatan demikian dapat dilakukan dengan implementasi password sekali pakai (non-reusable password), sehingga walaupun dapat termonitor oleh sniffer, password tersebut tidak dapat digunakan lagi.
Sebuah pesan, file, dokumen atau kumpulan data yang lainnya aikatakan otentik jika asli dan berasal dari sumber yang terpercaya, artau resmi. Otentik sebuah pesan merupakan suatu prosedur yang mengijinkan partisipan untuk memverifikasi bahwa pesan yang diterima otenti atau asli. Ada dua aspek penting dalam memverifikasi sebuah pesan yaitu :
a. Apakah pesan tersebut belum diubah.
b. Apakah pesan tersebut otentik.
Pada umumnya ada 3 pendekatan dalam pembuktian suatu pesan atau data itu otentik atau asli dengan kelebihan dan keterbatasan.
Pertama, dimana partisipan menyediakan informasi yang hanya dia ketahui, seperti password, PIN atau indentitas lainnya. Kedua, penggunaan peralatan yang dipakai oleh partisipan, seperti printer dan yang lainnya. Dan pendekatan yang terakhir adalah menguji segala sesuatu yang mewakili partisipan yang bisa berupa sidik jari atau bentuk lainnya.
Mekanisme Autentisasi
Subyek autentisasi adalah pembuktian. Yang dibuktikan meliputi tiga kategori, yaitu: sesuatu pada diri kita (something you are SYA), sesuatu yang
kita ketahui (something you know SYK), dan sesuatu yang kita punyai (something you have SYH). SYA berkaitan erat dengan bidang biometrik,
seperti pemeriksaan sidik-jari, pemeriksaan retina mata, analisis suara dll. SYK identik dengan password. Sedangkan bagi SYH umumnya digunakan kartu identitas seperti smartcard.
3. Keamanan Password dan Enkripsi
Salah satu feature keamanan yang penting yang digunakan saat ini adalah password. Penting untuk memiliki password yang aman dan tidak dapat diterka. Enkripsi sangat berguna, mungkin sangat perlu di saat ini. Terdapat berbagai metode enkripsi data, yang memiliki karateristiknya sendiri.
Kebanyakan unicies utamanya menggunakan algoritma enkripsi satu arah (one-way), disebut DES (Data Encryption Standard) untuk mengenkripsi password. Password terenkripsi ini kemudian disimpan (umumnya) di /etc/passwd (atau kurang umum) di /etc/shadow. Ketika login, apapun yang diketikkan dienkripsi dibandingkan dengan masukan dalam file yang menyimpan password. Jika cocok, pastilah passwordnya sama, dan akan dibolehkan mengakses. Meskipun DES merupakan algoritma enkripsi dua arah (dapat menkode dan mendekode pesan, dengan memberi kunci yang tepat), varian yang digunakan kebanyakan unicies adalah satu arah. Artinya tidak mungkin membalik enkripsi untuk memperoleh password dari isi /etc/passwd (atau /etc/shadow).
Serangan brute force, seperti "Crack" atau "John the Ripper" (lihat di bawah) sering dapat digunakan untuk menerka password meski password sudah cukup acak. Modul PAM (lihat di bawah) memungkinkan untuk menggunakan rutin enkripsi yang berbeda dengan password (MD5 atau sejenisnya).
Dapat dilihat di : http://consult.cern.ch/writeup/security/security_3.html
3.1 PGP dan Public Key Cryptography
Public Key Cryptography, seperti yang digunakan untuk PGP, melibatkan kriptografi yang menggunakan satu kunci untuk enkripsi, dan satu kunci untuk dekripsi. Secara tradisional, kriptografi menggunakan kunci yang sama untuk enkripsi dan dekripsi. "Kunci pribadi" ini harus diketahui oleh kedua pihak, dan ditransfer dari satu ke lainnya secara aman.
Gambar bentuk model enkrpsi single key
Enkripsi kunci publik membebaskan kebutuhan untuk secara aman mentransmisi kunci yang diperlukan untuk enkripsi dengan menggunakan dua buah kunci berbeda, kunci pribadi dan kunci publik. Kunci publik setiap orang tersedia bagi semua orang untuk melakukan enkripsi, sementara pada saat yang sama setiap orang menjaga kunci pribadinya untuk mendekripsi pesan terenkripsi dengan kunci publik yang tepat.
PGP (Pretty Good Privacy) didukung dengan baik pada Linux. Versi 2.6.2 dan 5.0 dikenal bekerja dengan baik. Untuk perkenalan tentang PGP dan bagaimana menggunakan, silakan lihat PGP FAQ http://www.pgp.com/service/export/faq/55faq.cgi.
Informasi lebih jauh tentang cryptography dapat dijumpai dalam RSA Cryptography FAQ, tersedia di http://www.rsa.com/rsalabs/newfaq. Di sini akan dijumpai informasi mengenai istilah seperti "Diffie-Hellman", "public-key cryptography", "Digital Certificates", dsb.
3.2 Crack dan John the Ripper
Jika untuk beberapa alasan program password anda tidak memaksa password yang tidak mudah diterka, anda mungkin ingin menjalankan program password cracking dan memastikan password pemakai anda aman.
Program password cracking bekerja berdasarkan ide yang mudah. Mereka mencoba setiap kata yang ada di kamus, dan kemudian variasi dari kata-kata tersebut. Mereka mengenkripsi satu kata dan membandingkannya dengan password terenkripsi Jika cocok dicatat.
Terdapat sejumlah program ini...dua yang paling dikenal adalah "Crack" dan "John the Ripper" http://www.false.com/security/john/. Mereka akan mengambil banyak waktu cpu anda, tetapi anda seharusnya dapat mengetahui jika penyerang dapat masuk dengan menggunakan mereka dengan terlebih dulu menjalankan mereka dan memberitahu pemakai dengan password lemah. Perhatikan bahwa penyerang harus menggunakan beberapa lubang lain untuk memperoleh file passwd anda, namun ini lebih umum daripada yang anda pikirkan.
4. Jenis Serangan Terhadap Keamanan (Scurity Attack)
Pada dasarnya serangan-serangan terhadap satu data dalam suatu jaringan dapat dikategorikan dalam suatu jaringan dapat dikategorikan dalam 2 jenis serangan menurut jenisnya, yaitu (Stallings, 1995):
a. Serangan Pasif (Passive Attacks)
Serangan pasif adalah serangan pada sistem autentukasi yang tidak menyisipkan data pada aliran data (data stream), tetapi hanya mengamati atau memonitor pengiriman informasi yang dikirim ke tujuan. Informasi ini dapat digunakan lain waktu oleh pihak yang tidak bertanggung jawaab. Serangan pasif yang mengambil suatu unit data dan kemudian menggunakannya untuk memasuki sesi autentikasi dengan berpura-pura menjadi user yang autentik / asli disebut dengan replay attack. Beberapa informasi autentikasi seperti pssword atau data biometric yang dikirim melalui transmisi elektronik, dapat direkam dan digunakan kemudian unutk memalsukan data yang sebenarnya. Seangan pasif ini sulit untuk dideteksi karena penyerang tidak melakukan perubahan data. Oleh sebab itu untuk mengatasi serangan pasif ini teekanannya adalah pada pencegahannya daripada pendeteksiannya.
b. Serangan Aktif (Aktive Attacks)
Serangan aktif adalah serangan yang mencoba meemodifikasi data, mencoba mendapatkan autentikasi, atau mendapatkan autentikasi dengan mengirimkan paket-paket data yang salah ke data stream atau dengan memodifikasi paket-paket yang meelewati data stream. Kebalikan dari serangan pasif, serangan aktif sulit untuk dicegah karena untuk melakukannya dibutuhkan perlindungan fisik untuk semua fasilitas komunikasi dan jalur-jalurnya setiap saat. Yang dapat dilakukan adalah mendeteksi dan memulihkan dari keadaan yang disebabkan oleh serangan ini.
Daftar Pustaka
Stalling, Williams, 1995, Network and Internetwork Security Principles and Practice, Prentice Hall, New Jersey
Menezes, Alfred J.; Van Oorschot, Paul C.; Vanstone, Scott A., 1997, Handbook of Applied Cryptography, CRC Press
Hughes, Jr , Larry J., 1995, Actually Useful Internet Security Technique, New Riders, Indianapolis.
Freedman, D., The Goods on Hackers Hoods, Forbes ASAP, September 13,1993.
Andri Kristanto,2003,Keamanan Data pada Jaringan Komputer,Gava Media,Yogyakarta.
Ada beberapa metode untuk melakukan autentikasi, salah satunya dan yang paling umum adalah menggunakan password. Metode autentikasi dengan menggunakan password statis adalah yang paling banyak digunakan. Tetapi jika user menggunakan password yang sama (password statis) beberapa kali untuk masuk ke dalam suatu sistem, password tersebut akan menjadi rentan terhadap sniffer jaringan. Salah satu bentuk serangan ke sistem komputer jaringan adalah seseorang mencoba masuk ke dalam suatu koneksi jaringan untuk mendapatkan informasi aautentikasi, seperti ID login dan password yang berbeda setiap kali user akan masuk ke sistem,. Sistem autentikasi One Time Password (OTP) dibuat untuk mengatasi serangan seperti diatas.
2. Authenticity
Mengapa perlu autentisasi…..? Internet adalah jaringan publik, dan terbuka bagi setiap orang diseluruh penjuru dunia untuk menggabungkan diri. Begitu besarnya jaringan ini, telah menimbulkan keuntungan serta kerugian. Sering kita dengar dan baca tentang bobolnya sistem komputer keuangan bank, informasi rahasia Pentagon atau basis data transkrip akademik mahasiswa. Kalimat tersebut cukup untuk mewakili pernyataan bahwa kita harus ‘waspada’ terhadap orang-orang ‘jahat’ dan senantiasa berusaha memperkecil kemungkinan bagi mereka untuk dapat melakukan niat jahatnya. Memang mudah untuk meniadakan kemungkinan penyusupan (akses ilegal) dari luar dengan menutup semua kanal trafik servis inbound ke jaringan internal. Namun ini berarti telah mereduksi keuntungan utama adanya jaringan: komunikasi dan pemakaian sumber daya bersama (sharing resources). Jadi, konsekuensi alami dengan jaringan cukup besar, adalah menerima dan berusaha untuk memperkecil resiko ini, bukan meniadakannya.
Pencurian hubungan (hijacking attack) biasanya terjadi pada komputer yang menghubungi jaringan kita, walaupun untuk beberapa kasus langka, bisa terjadi pada sembarang jalur yang dilaluinya. Sehingga akan bijaksana bila seorang NA mempertimbangkan pemberian kepercayaan akses, hanya dari komputer yang paling tidak mempunyai sistem security sama atau mungkin lebih ‘kuat’, dibandingkan dengan jaringan dibawah tanggung-jawabnya. Usaha memperkecil peluang musibah ini, juga dapat dilakukan dengan mengatur packet-filter dengan baik atau menggunakan server modifikasi. Misalnya, kita dapat menyediakan fasilitas anonymous-FTP bagi sembarang komputer dimanapun, tapi authenticated-FTP hanya diberikan pada host-host yang tercantum pada daftar ‘kepercayaan’. Hijacking ditengah jalur dapat dihindari dengan penggunaan enkripsi antar jaringan (end to end encryption).
Kerahasiaan data dan password juga merupakan topik disain security. Program yang didedikasikan untuk packet-sniffing dapat secara otomatis menampilkan isi setiap paket data antara client dengan servernya. Proteksi password dari kejahatan demikian dapat dilakukan dengan implementasi password sekali pakai (non-reusable password), sehingga walaupun dapat termonitor oleh sniffer, password tersebut tidak dapat digunakan lagi.
Sebuah pesan, file, dokumen atau kumpulan data yang lainnya aikatakan otentik jika asli dan berasal dari sumber yang terpercaya, artau resmi. Otentik sebuah pesan merupakan suatu prosedur yang mengijinkan partisipan untuk memverifikasi bahwa pesan yang diterima otenti atau asli. Ada dua aspek penting dalam memverifikasi sebuah pesan yaitu :
a. Apakah pesan tersebut belum diubah.
b. Apakah pesan tersebut otentik.
Pada umumnya ada 3 pendekatan dalam pembuktian suatu pesan atau data itu otentik atau asli dengan kelebihan dan keterbatasan.
Pertama, dimana partisipan menyediakan informasi yang hanya dia ketahui, seperti password, PIN atau indentitas lainnya. Kedua, penggunaan peralatan yang dipakai oleh partisipan, seperti printer dan yang lainnya. Dan pendekatan yang terakhir adalah menguji segala sesuatu yang mewakili partisipan yang bisa berupa sidik jari atau bentuk lainnya.
Mekanisme Autentisasi
Subyek autentisasi adalah pembuktian. Yang dibuktikan meliputi tiga kategori, yaitu: sesuatu pada diri kita (something you are SYA), sesuatu yang
kita ketahui (something you know SYK), dan sesuatu yang kita punyai (something you have SYH). SYA berkaitan erat dengan bidang biometrik,
seperti pemeriksaan sidik-jari, pemeriksaan retina mata, analisis suara dll. SYK identik dengan password. Sedangkan bagi SYH umumnya digunakan kartu identitas seperti smartcard.
3. Keamanan Password dan Enkripsi
Salah satu feature keamanan yang penting yang digunakan saat ini adalah password. Penting untuk memiliki password yang aman dan tidak dapat diterka. Enkripsi sangat berguna, mungkin sangat perlu di saat ini. Terdapat berbagai metode enkripsi data, yang memiliki karateristiknya sendiri.
Kebanyakan unicies utamanya menggunakan algoritma enkripsi satu arah (one-way), disebut DES (Data Encryption Standard) untuk mengenkripsi password. Password terenkripsi ini kemudian disimpan (umumnya) di /etc/passwd (atau kurang umum) di /etc/shadow. Ketika login, apapun yang diketikkan dienkripsi dibandingkan dengan masukan dalam file yang menyimpan password. Jika cocok, pastilah passwordnya sama, dan akan dibolehkan mengakses. Meskipun DES merupakan algoritma enkripsi dua arah (dapat menkode dan mendekode pesan, dengan memberi kunci yang tepat), varian yang digunakan kebanyakan unicies adalah satu arah. Artinya tidak mungkin membalik enkripsi untuk memperoleh password dari isi /etc/passwd (atau /etc/shadow).
Serangan brute force, seperti "Crack" atau "John the Ripper" (lihat di bawah) sering dapat digunakan untuk menerka password meski password sudah cukup acak. Modul PAM (lihat di bawah) memungkinkan untuk menggunakan rutin enkripsi yang berbeda dengan password (MD5 atau sejenisnya).
Dapat dilihat di : http://consult.cern.ch/writeup/security/security_3.html
3.1 PGP dan Public Key Cryptography
Public Key Cryptography, seperti yang digunakan untuk PGP, melibatkan kriptografi yang menggunakan satu kunci untuk enkripsi, dan satu kunci untuk dekripsi. Secara tradisional, kriptografi menggunakan kunci yang sama untuk enkripsi dan dekripsi. "Kunci pribadi" ini harus diketahui oleh kedua pihak, dan ditransfer dari satu ke lainnya secara aman.
Gambar bentuk model enkrpsi single key PGP (Pretty Good Privacy) didukung dengan baik pada Linux. Versi 2.6.2 dan 5.0 dikenal bekerja dengan baik. Untuk perkenalan tentang PGP dan bagaimana menggunakan, silakan lihat PGP FAQ http://www.pgp.com/service/export/faq/55faq.cgi.
Informasi lebih jauh tentang cryptography dapat dijumpai dalam RSA Cryptography FAQ, tersedia di http://www.rsa.com/rsalabs/newfaq. Di sini akan dijumpai informasi mengenai istilah seperti "Diffie-Hellman", "public-key cryptography", "Digital Certificates", dsb.
3.2 Crack dan John the Ripper
Jika untuk beberapa alasan program password anda tidak memaksa password yang tidak mudah diterka, anda mungkin ingin menjalankan program password cracking dan memastikan password pemakai anda aman.
Program password cracking bekerja berdasarkan ide yang mudah. Mereka mencoba setiap kata yang ada di kamus, dan kemudian variasi dari kata-kata tersebut. Mereka mengenkripsi satu kata dan membandingkannya dengan password terenkripsi Jika cocok dicatat.
Terdapat sejumlah program ini...dua yang paling dikenal adalah "Crack" dan "John the Ripper" http://www.false.com/security/john/. Mereka akan mengambil banyak waktu cpu anda, tetapi anda seharusnya dapat mengetahui jika penyerang dapat masuk dengan menggunakan mereka dengan terlebih dulu menjalankan mereka dan memberitahu pemakai dengan password lemah. Perhatikan bahwa penyerang harus menggunakan beberapa lubang lain untuk memperoleh file passwd anda, namun ini lebih umum daripada yang anda pikirkan.
4. Jenis Serangan Terhadap Keamanan (Scurity Attack)
Pada dasarnya serangan-serangan terhadap satu data dalam suatu jaringan dapat dikategorikan dalam suatu jaringan dapat dikategorikan dalam 2 jenis serangan menurut jenisnya, yaitu (Stallings, 1995):
a. Serangan Pasif (Passive Attacks)
Serangan pasif adalah serangan pada sistem autentukasi yang tidak menyisipkan data pada aliran data (data stream), tetapi hanya mengamati atau memonitor pengiriman informasi yang dikirim ke tujuan. Informasi ini dapat digunakan lain waktu oleh pihak yang tidak bertanggung jawaab. Serangan pasif yang mengambil suatu unit data dan kemudian menggunakannya untuk memasuki sesi autentikasi dengan berpura-pura menjadi user yang autentik / asli disebut dengan replay attack. Beberapa informasi autentikasi seperti pssword atau data biometric yang dikirim melalui transmisi elektronik, dapat direkam dan digunakan kemudian unutk memalsukan data yang sebenarnya. Seangan pasif ini sulit untuk dideteksi karena penyerang tidak melakukan perubahan data. Oleh sebab itu untuk mengatasi serangan pasif ini teekanannya adalah pada pencegahannya daripada pendeteksiannya.
b. Serangan Aktif (Aktive Attacks)
Serangan aktif adalah serangan yang mencoba meemodifikasi data, mencoba mendapatkan autentikasi, atau mendapatkan autentikasi dengan mengirimkan paket-paket data yang salah ke data stream atau dengan memodifikasi paket-paket yang meelewati data stream. Kebalikan dari serangan pasif, serangan aktif sulit untuk dicegah karena untuk melakukannya dibutuhkan perlindungan fisik untuk semua fasilitas komunikasi dan jalur-jalurnya setiap saat. Yang dapat dilakukan adalah mendeteksi dan memulihkan dari keadaan yang disebabkan oleh serangan ini.
Daftar Pustaka
Stalling, Williams, 1995, Network and Internetwork Security Principles and Practice, Prentice Hall, New Jersey
Menezes, Alfred J.; Van Oorschot, Paul C.; Vanstone, Scott A., 1997, Handbook of Applied Cryptography, CRC Press
Hughes, Jr , Larry J., 1995, Actually Useful Internet Security Technique, New Riders, Indianapolis.
Freedman, D., The Goods on Hackers Hoods, Forbes ASAP, September 13,1993.
Andri Kristanto,2003,Keamanan Data pada Jaringan Komputer,Gava Media,Yogyakarta.
0 komentar:
Posting Komentar