Pengenalan Keamanan Jaringan

Keamanan Dan Manajemen Perusahaan

Seringkali sulit untuk membujuk manajemen perusahaan atau pemilik sistem informasi untuk melakukan investasi di bidang keamanan. Di tahun 1997 majalah Information Week melakukan survey terhadap 1271 system atau network manager di Amerika Serikat. Hanya 22% yang menganggap keamanan sistem informasi sebagai komponen sangat penting(“extremely important”). Mereka lebih mementingkan “reducing cost” dan “improving competitiveness” meskipun perbaikan sistem informasi setelah dirusak justru dapat menelan biaya yang lebih banyak.

Keamanan itu tidak dapat muncul demikian saja. Dia harus direncanakan. Ambil contoh berikut. Jika kita membangun sebuah rumah, maka pintu rumah kita harus dilengkapi dengan kunci pintu. Jika kita terlupa memasukkan kunci pintu pada budget perencanaan rumah, maka kita akan dikagetkan bahwa ternyata harus keluar dana untuk menjaga keamanan.

Pengelolaan terhadap keamanan dapat dilihat dari sisi pengelolaan resiko (riskmanagement). Lawrie Brown dalam menyarankan menggunakan “Risk Management Model” untuk menghadapi ancaman (managing threats). Ada tiga komponen yang memberikan kontribusi kepada Risk, yaitu Asset, Vulnerabilities, dan Threats.

Nama Komponen Contoh & Keterangan Lebih Lanjut
Asset (Aset)
• Hardware
• Software
• Dokumentasi
• Data
• Komunikasi
• Lingkungan
• Manusia
Threats (Ancaman)
• Pemakai (Users)
• Teroris
• Kecelakaan (Accidents)
• Crackers
• Penjahat Kriminal
• Nasib (Acts Of God)
• Intel Luar Negeri (Foreign Intelligence)
Vulnerability (Kelemahan)
• Software Bugs
• Hardware Bugs
• Radiasi (dari layar, transmisi)
• Tapping, Crosstalk
• Unauthorized Users
• Cetakan, Hardcopy
• Keteledoran (Oversight)
• Cracker via telepon
• Strorage media

Untuk menanggulangi resiko (Risk) tersebut dilakukan apa yang disebut “countermeasures” yang dapat berupa :

• Usaha untuk mengurangi Threat
• Usaha untuk mengurangi Vulnerability
• Usaha untuk mengurangi impak (impact)
• Mendeteksi kejadian yang tidak bersahabat (hostile event)
• Kembali (recover) dari kejadian

Klasifikasi Kejahatan Komputer

Kejahatan komputer dapat digolongkan kepada yang sangat berbahaya sampai ke yang hanya mengesalkan (annoying). Menurut David Icove berdasarkan lubang keamanan, keamanan dapat diklasifikasikan menjadi empat, yaitu :

1. Keamanan yang bersifat fisik (physical security)
Termasuk akses orang ke gedung, peralatan, dan media yang digunakan. Beberapa bekas penjahat komputer (crackers) mengatakan bahwa mereka sering pergi ke tempat sampah untuk mencari berkas-berkas yang mungkin memiliki informasi tentang keamanan. Misalnya pernah diketemukan coretan password atau manual yang dibuang tanpa dihancurkan.

Wiretapping atau hal-hal yang berhubungan dengan akses ke kabel atau komputer yang digunakan juga dapat dimasukkan ke dalam kelas ini. Pencurian komputer dan notebook juga merupakan kejahatan yang besifat fisik. Menurut statistik, 15% perusahaan di Amerika pernah kehilangan notebook. Padahal biasanya notebook ini tidak dibackup (sehingga data-datanya hilang), dan juga seringkali digunakan untuk menyimpan data-data yang seharusnya sifatnya confidential (misalnya pertukaran email antar direktur yang menggunakan notebook tersebut).

Denial of service, yaitu akibat yang ditimbulkan sehingga servis tidak dapat diterima oleh pemakai juga dapat dimasukkan ke dalam kelas ini. Denial of service dapat dilakukan misalnya dengan mematikan peralatan atau membanjiri saluran komunikasi dengan pesan-pesan (yang dapat berisi apa saja karena yang diutamakan adalah banyaknya jumlah pesan). Beberapa waktu yang lalu ada lubang keamanan dari implementasi protokol TCP/IP yang dikenal dengan istilah Syn Flood Attack, dimana sistem (host) yang dituju dibanjiri oleh permintaan sehingga dia menjadi terlalu sibuk dan bahkan dapat berakibat macetnya sistem (hang).

Mematikan jalur listrik sehingga sistem menjadi tidak berfungsi juga merupakan serangan fisik. Masalah keamanan fisik ini mulai menarik perhatikan ketika gedung World Trade Center yang dianggap sangat aman dihantam oleh pesawat terbang yang dibajak oleh teroris. Akibatnya banyak sistem yang tidak bisa hidup kembali karena tidak diamankan. Belum lagi hilangnya nyawa.

2. Keamanan yang berhubungan dengan orang (personel)
Termasuk identifikasi, dan profil resiko dari orang yang mempunyai akses (pekerja). Seringkali kelemahan keamanan sistem informasi bergantung kepada manusia (pemakai dan pengelola). Ada sebuah teknik yang dikenal dengan istilah “social engineering” yang sering digunakan oleh kriminal untuk berpura-pura sebagaiorang yang berhak mengakses informasi. Misalnya kriminal ini berpura-pura sebagai pemakai yang lupa passwordnya dan minta agar diganti menjadi kata lain.

3. Keamanan dari data dan media serta teknik komunikasi (communications).
Yang termasuk di dalam kelas ini adalah kelemahan dalam software yang digunakan untuk mengelola data. Seorang kriminal dapat memasang virus atau trojan horse sehingga dapat mengumpulkan informasi (seperti password) yang semestinya tidak berhak diakses. Bagian ini yang akan banyak kita bahas dalam buku ini.

4. Keamanan dalam operasi
Termasuk kebijakan (policy) dan prosedur yang digunakan untuk mengatur dan mengelola sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack recovery). Seringkali perusahaan tidak memiliki dokumen kebijakan dan prosedur.

Aspek / Service Dari Keamanan (Security)

Garfinkel mengemukakan bahwa keamanan komputer (computer security) melingkupi empat aspek, yaitu privacy, integrity, authentication, dan availability.

1. Privacy / Confidentiality
Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Privacy lebih kearah data-data yang sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut. Contoh hal yang berhubungan dengan privacy adalah e-mail seorang pemakai (user) tidak boleh dibaca oleh administrator. Contoh confidential information adalah data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) merupakan data-data yang ingin diproteksi penggunaan dan penyebarannya. Contoh lain dari confidentiality adalah daftar pelanggan dari sebuah Internet Service Provider (ISP). Untuk mendapatkan kartu kredit, biasanya ditanyakan data-data pribadi. Jika saya mengetahui data-data pribadi anda, termasuk nama ibu anda, maka saya dapat melaporkan melalui telepon (dengan berpura-pura sebagai anda) bahwa kartu kredit anda hilang dan mohon
penggunaannya diblokir. Institusi (bank) yang mengeluarkan kartu kredit anda akan percaya bahwa saya adalah anda dan akan menutup kartu kredit anda. Masih banyak lagi kekacauan yang dapat ditimbulkan bila data-data pribadi ini digunakan oleh orang yang tidak berhak. Ada sebuah kasus dimana karyawan sebuah perusahaan dipecat dengan tidak hormat dari perusahaan yang bersangkutan karena kedapatan mengambil data-data gaji karyawan di perusahaan yang bersangkutan. Di perusahaan ini, daftar gaji termasuk informasi yang bersifat confidential /rahasia.

2. Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi. Sebuah e-mail dapat saja “ditangkap” (intercept) di tengah jalan, diubah isinya (altered, tampered, modified), kemudian diteruskan ke alamat yang dituju. Dengan kata lain, integritas dari informasi sudah tidak terjaga. Penggunaan enkripsi dan digital signature, misalnya, dapat mengatasi masalah ini. Salah satu contoh kasus trojan horse adalah distribusi paket program TCP Wrapper (yaitu program populer yang dapat digunakan untuk mengatur dan membatasi akses TCP/IP) yang dimodifikasi oleh orang yang tidak bertanggung jawab. Jika anda memasang program yang berisi trojan horse tersebut, maka ketika anda merakit (compile) program tersebut, dia akan mengirimkan eMail kepada orang tertentu yang
kemudian memperbolehkan dia masuk ke sistem anda. Informasi ini berasal dari CERT Advisory, “CA-99-01 Trojan-TCP-Wrappers” yang didistribusikan 21 Januari 1999. Contoh serangan lain adalah yang disebut “man in the middle attack” dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain.

3. Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betulbetul asli, orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud, atau server yang kita hubungi adalah betul-betul server yang asli. Masalah pertama, membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermarking dan digital signature. Watermarking juga dapat digunakan untuk menjaga “intelectual property”, yaitu dengan menandai dokumen atau hasil karya dengan “tanda tangan” pembuat.Masalah kedua biasanya berhubungan dengan access control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi. Dalam hal ini pengguna harus menunjukkan bukti bahwa memang dia adalah pengguna yang sah, misalnya dengan menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya. Ada tiga hal yang dapat ditanyakan kepada orang untuk menguji siapa dia :

• What you have (misalnya kartu ATM)
• What you know (misalnya PIN atau password)
• What you are (misalnya sidik jari, biometric)

Penggunaan teknologi smart card, saat ini kelihatannya dapat meningkatkan keamanan aspek ini. Secara umum, proteksi authentication dapat menggunakan digital certificates. Authentication biasanya diarahkan kepada orang (pengguna), namun tidak pernah ditujukan kepada server atau mesin. Pernahkan kita bertanya bahwa mesin ATM yang sedang kita gunakan memang benar-benar milik bank yang bersangkutan? Bagaimana jika ada orang nakal yang membuat mesin seperti ATM sebuah bank dan meletakkannya di tempat umum? Dia dapat menyadap data-data (informasi yang ada di magnetic strip) dan PIN dari orang yang tertipu. Memang membuat mesin ATM palsu tidak mudah. Tapi, bisa anda bayangkan betapa mudahnya membuat web site palsu yang menyamar sebagai web site sebuah bank yang memberikan layanan Internet Banking. (Ini yang terjadi dengan kasus klikBCA.com.)

4. Availability
Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi. Contoh hambatan adalah serangan yang sering disebut dengan “denial of service attack” (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubitubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash. Contoh lain adalah adanya mailbomb, dimana seorang pemakai dikirimi e-mail bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya (apalagi jika akses dilakukan melalui saluran telepon).

Pentingnya Akses Kontrol

Bagi para profesional keamanan sistem/teknologi informasi, perhatian harus diberikan pada kebutuhan akses kontrol dan metode-metode implementasinya untuk menjamin bahwa sistem memenuhi availability (ketersediaan), confidentiality (kerahasiaan), dan integrity(integritas). Dalam komputer jaringan, juga diperlukan pemahaman terhadap penggunaan akses kontrol pada arsitektur terdistribusi dan terpusat.

Melakukan kontrol akses pada sistem informasi dan jaringan yang terkait juga merupakan hal penting untuk menjaga confidentiality, integrity, dan availability. Confidentiality atau kerahasiaan memastikan bahwa informasi tidak terbuka ke individu, program atau proses yang tidak berhak. Beberapa informasi mungkin lebih sensitif dibandingkan informasi lainnya dan memerlukan level kerahasiaan yang lebih tinggi. Mekanisme kontrol perlu ditempatkan untuk mendata siapa yang dapat mengakses data dan apa yang orang dapat lakukan terhadapnya saat pertama kali diakses. Aktivitas tersebut harus dikontrol, diaudit, dan dimonitor.

Beberapa tipe informasi yang dipertimbangkan sebagai informasi rahasia adalah misalnya catatan kesehatan, informasi laporan keuangan, catatan kriminal, kode sumberprogram, perdagangan rahasia, dan rencana taktis militer. Sedangkan beberapa mekanisme yang memebrikan kemampuan kerahasiaan sebagai contoh yaitu enkripsi, kontrol akses fisikal dan logikal, protokol transmisi, tampilan database, dan alur trafik yang terkontrol.

Bagi suatu institusi (skala besar, menengah maupun kecil), adalah merupakan hal penting untuk mengidentifikasi data dan kebutuhan-kebutuhan yang terklasifikasi sehingga dapat dipastikan bahwa suatu peringkat prioritas akan melindungi data dan informasi serta terjaga kerahasiaannya. Jika informasi tidak terklasifikasi maka akan diperlukan banyak waktu dan biaya yang dikeluarkan saat mengimplementasikan besaran yang sama pada tingkat keamanan untuk informasi kritis maupun informasi tidak penting.

Integritas memiliki tujuan mencegah modifikasi pada informasi oleh user yang tidak berhak, mencegah modifikasi yang tidak sengaja atau tidak berhak pada informasi oleh orang yang tidak berkepentingan, dan menjaga konsistensi internal maupun eksternal.

Konsistensi internal memastikan bahwa data internal selalu konsisten. Misalnya, diasumsikan sebuah database internal memiliki jumlah unit suatu komponen tertentu pada tiap bagian suatu organisasi. Jumlah bilangan dari komponen di tiap bagian tersebut harus sama dengan jumlah bilangan komponen pada database yang terekam secara internal pada keseluruhan organisasi.

Konsistensi eksternal menjamin bahwa data yang tersimpan pada database konsisten dengan fisiknya. Sebagai contoh dari konsistensi internal di atas, konsistensi eksternal berarti bahwa besarnya komponen yang tercatat pada database untuk setiap bagian adalah sama dengan banyaknya komponen secara fisik di tiap bagian tersebut.

Informasi juga harus akurat, lengkap, dan terlindungi dari modifikasi yang tidak berhak. Ketika suatu mekanisme keamanan memberikan integritas, ia akan melindungi data dari perubahan yang tidak lazim, dan jika memang terjadi juga modifikasi ilegal pada data tersebut maka mekanisme keamanan harus memperingatkan user atau membatalkan modifikasi tersebut.

Availability (ketersediaan) memastikan bahwa untuk user yang berhak memakai sistem, memiliki waktu dan akses yang bebas gangguan pada informasi dalam sistem. Informasi, sistem, dan sumberdaya harus tersedia untuk user pada waktu diperlukan sehingga produktifitas tidak terpengaruh. Kebanyakan informasi perlu untuk dapat diakses dan tersedia bagi user saat diminta sehingga mereka dapat menyelesaikan tugas-tugas dan memenuhi tanggung jawab pekerjaan mereka.

Melakukan akses pada informasi kelihatannya tidak begitu penting hingga pada suatu saat informasi tersebut tidak dapat diakses. Administrator sistem mengalaminya saat sebuah file server mati atau sebuah database yang pemakaiannya tinggi tiba-tiba rusal untuk suatu alasan dan hal lainnya. Fault tolerance dan mekanisme pemulihan digunakan untuk menjamin kontinuitas ketersediaan sumberdaya. Produktifitas user dapat terpengaruh jika data tidak siap tersedia.

Informasi memiliki atribut-atribut yang berbeda seperti akurasi, relevansi, sesuai waktu, privacy, dan keamanan. Mekanisme keamanan yang berbeda dapat memberikan tingkatkerahasiaan, integritas, dan ketersediaan yang berbeda pula. Lingkungan, klasifikasi data yang dilindungi, dan sasaran keamanan perlu dievaluasi untuk menjamin mekanisme keamanan yang sesuai dibeli dan digunakan sebagaimana mestinya.

Tujuan kontrol akses lainnya adalah reliability dan utilitas. Tujuan-tujuan tersebut mengalir dari kebijakan keamanan suatu organisasi. Kebijakan ini merupakan pernyataan tingkat tinggi dari pihak manajemen berkaitan dengan kontrol pada akses suatu informasi dan orang yang berhak menerima informasi tersebut.

Penjelasan Akses Kontrol

Akses kontrol merupakan fitur-fitur keamanan yang mengontrol bagaimana user dan sistem berkomunikasi dan berinteraksi dengan sistem dan sumberdaya lainnya. Akses control melindungi sistem dan sumberdaya dari akses yang tidak berhak dan umumnya menentukan tingkat otorisasi setelah prosedur otentikasi berhasil dilengkapi.

Akses adalah aliran informasi antara subjek dan objek. Sebuah subjek merupakan entitas aktif yang meminta akses ke suatu objek atau data dalam objek tersebut. Sebuah subjek dapat berupa user, program, atau proses yang mengakses informasi untuk menyelesaikan suatu tugas tertentu. Ketika sebuah program mengakses sebuah file, program menjadi subjek dan file menjadi objek. Objek adalah entitas pasif yang mengandung informasi. Objek bisa sebuah komputer, database, file, program komputer, direktori, atau field pada tabel yang berada di dalam database.

Kontrol akses adalah sebuah term luas yang mencakup beberapa tipe mekanisme berbeda yang menjalankan fitur kontrol akses pada sistem komputer, jaringan, dan informasi. Kontrol akses sangatlah penting karena menjadi satu dari garis pertahanan pertama yang


digunakan untuk menghadang akses yang tidak berhak ke dalam sistem dan sumberdaya jaringan.

Saat user diminta memasukan username dan password hal ini disebut dengan kontrol akses. Setelah user log in dan kemudian mencoba mengakses sebuah file, file ini dapat memiliki daftar user dan grup yang memiliki hak akses ke file tersebut. Jika user tidak termasuk dalam daftar maka akses akan ditolak. Hal itu sebagai bentuk lain dari control akses. Hak dan ijin user adalah berdasarkan identitas, kejelasan, dan atau keanggotaan suatu grup. Kontrol akses memberikan organisasi kemampuan melakukan kontrol, pembatasan, monitor, dan melindungi ketersediaan, integritas, dan kerahasiaan sumberdaya.

Kontrol diimplementasikan untuk menanggulangi resiko dan mengurangi potensi kehilangan. Kontrol dapat bersifat preventif, detektif, atau korektif. Kontrol preventif dipakai untuk mencegah kejadian-kejadian yang merusak. Kontrol detektif diterapkan untuk menemukan kejadian-kejadian yang merusak. Kontrol korektif digunakan untuk memulihkan sistem yang menjadi korban dari serangan berbahaya.

Untuk menerapkan ukuran-ukuran tersebut, kontrol diimplementasikan secara administratif, logikal atau teknikal, dan fisikal. Kontrol administratif termasuk kebijakan dan prosedur, pelatihan perhatian terhadap keamanan, pemeriksaan latar belakang, pemeriksaan kebiasaan kerja, tinjauan riwayat hari libur, dan supervisi yang ditingkatkan.

Kontrol logikal atau teknikal mencakup pembatasan akses ke sistem dan perlindungan informasi. Contoh kontrol pada tipe ini adalah enkripsi, smart cards, daftar kontrol akses, dan protokol transmisi. Sedangkan kontrol fisikal termasuk penjagaan dan keamanan bangunan secara umum seperti penguncian pintu, pengamanan ruang server atau laptop, proteksi kabel, pemisahan tugas kerja, dan backup data.

Kontrol fisikal merupakan penempatan penjaga dan bangunan secara umum, seperti penguncian pintu, pengamanan ruang server atau laptop, perlindungan pada kabel, pembagian tanggung jawab, dan backup file.

Model Kontrol Akses

Penerapan akses kontrol pada subjek sistem (sebuah entitas aktif seperti individu atau proses) terhadap objek sistem (sebuah entitas pasif seperti sebuah file) berdasarkan aturan (rules). Model kontrol akses merupakan sebuah framework yang menjelaskan bagaimana subjek mengakses objek. Model ini menggunakan teknologi kontrol akses dan mekanisme sekuriti untuk menerapkan aturan dan tujuan suatu model.

Ada tiga tipe utama model kontrol akses yaitu mandatory, discretionary, dan nondiscretionary (sering disebut juga role-based). Tiap tipe model memakai metode berbeda untuk mengkontrol bagaimana subjek mengakses objek dan mempunyai kelebihan serta keterbatasan masing-masing.

Tujuan bisnis dan keamanan dari suatu organisasi akan membantu menjelaskan model kontrol akses mana yang sebaiknya digunakan, bersamaan dengan budaya perusahaan dan kebiasaan menjalankan bisnisnya. Beberapa model dipakai secara ekslusif dan kadang-kadang model tersebut dikombinasikan sehingga mampu mencapai tingkat keperluan kemanan lingkungan yang dibutuhkan. Aturan pada akses kontrol diklasifikasikan menjadi :


• Mandatory access control
Otorisasi suatu akses subjek terhadap objek bergantung pada label, dimana labelini menunjukan ijin otorisasi suatu subjek dan klasifikasi atau sensitivitas dari objek. Misalnya, pihak militer mengklasifikasikan dokumen sebagai unclassified, confidential, secret, dan top secret. Untuk hal yang sama, individu dapat menerima ijin otorisasi tentang confidential, secret, atau top secret dan dapat memiliki akses ke dokumen bertipe classified atau tingkatan di bawah status ijin otorisasinya. Sehingga individu dengan ijin otorisasi secret dapat mengakses tingkatan secret dan confidential dokumen dengan suatu batasan. Batasan ini adalah bahwa individu memiliki keperluan untuk mengetahui secara relatif classified dokumen yang dimaksud. Meskipun demikian dokumen yang dimaksud harus benar-benar diperlukan oleh individu tersebut untuk menyelesaikan tugas yang diembannya. Bahkan jika individu memiliki ijin otorisasi untuk tingkat klasifikasi suatu informasi, tetapi tidak memiliki keperluan untuk mengetahui maka
individu tersebut tetap tidak boleh mengakses informasi yang diinginkannya. Pada model mandatory access control, user dan pemilik data tidak memiliki banyak kebebasan untuk menentukan siapa yang dapat mengakses file-file mereka. Pemilik data dapat mengijinkan pihak lain untuk mengakses file mereka namun operating system (OS) yang tetap membuat keputusan final dan dapat membatalkan kebijakan dari pemilik data. Model ini lebih terstruktur dan ketat serta berdasarkan label keamanan sistem. User diberikan ijin otorisasi dan data diklasifikasikan. Klasifikasi disimpan di label sekuriti pada sumber daya. Klasifikasi label menentukan tingkat kepercayaan user yang harus dimiliki untuk dapat mengakses suatu file. Ketika sistem membuat keputusan mengenai pemenuhan permintaan akses ke suatu objek, keputusan akan didasarkan pada ijin otorisasi subjek dan klasifikasi objek. Aturan-aturan bagaimana subjek mengakses data dibuat oleh manajemen, dikonfigurasikan oleh administrator, dijalankan oleh operating system, dan didukung oleh teknologi sekuriti.

• Discretionary access control
Subjek memiliki otoritas, dengan batasan tertentu, untuk menentukan objek-objek apa yang dapat diakses. Contohnya adalah penggunaan daftar kontrol akses (access control list). Daftar kontrol akses merupakan sebuah daftar yang menunjuk user-user mana yang memiliki hak ke sumber daya tertentu. Misalnya daftar tabular akan menunjukan subjek atau user mana yang memiliki akses ke objek (file x) dan hak apa yang mereka punya berkaitan dengan file x tersebut. Kontrol akses triple terdiri dari user, program, dan file dengan hubungan hak akses terkait dengan tiap user. Tipe kontrol akses ini digunakan secara lokal, dan mempunyai situasi dinamis dimana subjek-subjek harus memiliki pemisahan untuk menentukan sumber daya tertentu yang user diijinkan untuk mengakses. Ketika user dengan batasan tertentu memiliki hak untuk merubah kontrol akses ke objek-objek tertentu, hal ini disebut sebagai user-directed discretionary access control. Sedangkan kontrol akses berbasis identitas (identity-based access control) adalah tipe kontrol akses terpisah berdasarkan identitas suatu individu.


Dalam beberapa kasus, pendekatan hybrid juga digunakan, yaitu yang mengkombinasi-kan fitur-fitur user-based dan identity-based discretionary access control. Jika user membuat suatu file, maka ia merupakan pemilik file tersebut. Kepemilikan juga bisa diberikan kepada individu spesifik. Misalnya, seorang manager pada departemen tertentu dapat membuat kepemilikan suatu file dan sumber daya dalam domain-nya. Pengenal untuk user ini ditempatkan pada file header. Sistem yang menerapkan model discretionary access control memungkinkan pemilik sumber daya untuk menentukan subjek-subjek apa yang dapat mengakses sumber daya spesifik.

Model ini dinamakan discretionary karena kontrol akses didasarkan pada pemisahan pemilik. Pada model ini, akses dibatasi berdasarkan otorisasi yang diberikan pada user. Ini berarti bahwa subjek-subjek diijinkan untuk menentukan tipe akses apa yang dapat terjadi pada objek yang mereka miliki. Jika organisasi menggunakan model discretionary access control, administrator jaringan dapat mengijinkan pemilik sumber daya mengkontrol siapa yang dapat mengakses file/sumber daya tersebut.

Implemetasi umum dari discretionary access control adalah melalui access control list yang dibuat oleh pemilik, diatur oleh administrator jaringan, dan dijalankan oleh operating system. Dengan demikian kontrol ini tidak termasuk dalam lingkungan terkontrol terpusat dan dapat membuat kemampuan user mengakses informasi secara dinamis, kebalikan dari aturan yang lebih statis pada mandatory access control.

• Non-Discretionary access control
Otoritas sentral menentukan subjek-subjek apa yang mempunyai akses ke objekobjek tertentu berdasarkan kebijakan keamanan organisasi. Kontrol akses bisa berdasarkan peran individu dalam suatu organisasi (role-based) atau tanggung jawab subjek dan tugasnya (task-based). Dalam organisasi dimana sering terdapat adanya perubahan/pergantian personel, nondiscretionary access control merupakan model yang tepat karena kontrol akses didasarkan pada peran individu atau jabatan dalam suatu organisasi. Kontrol akses ini tidak perlu dirubah saat individu baru masuk menggantikan individu lama. Tipe lain dari non-discretionary access control adalah kontrol akses lattice-based. Dalam model lattice (lapis tingkatan), terdapat pasangan-pasangan elemen yang memiliki batas tertinggi terkecil dari nilai dan batas terendah terbesar dari nilai. Untuk menerapkan konsep kontrol akses ini, pasangan elemen adalah subjek dan objek, dan subjek memiliki batas terendah terbesar serta batas tertinggi terkecil untuk hak akses pada suatu objek. Selain itu terdapat model role-based access control yang juga sebagai nondiscretionary access control. Model ini menerapkan seperangkat aturan terpusat pada kontrol untuk menentukan bagaimana subjek dan objek berinteraksi. Tipe model ini mengijinkan akses ke sumber daya berdasarkan peran yang user tangani dalam suatu organisasi. Administrator menempatkan user dalam peran dan kemudian memberikan hak akses pada peran tersebut. Peran dan kelompok merupakan hal berbeda meskipun mereka mempunyai tujuan yang sama. Mereka bekerja sebagai penampungan untuk para user. Perusahaan mungkin memiliki kelompok auditor yang terdiri dari beberapa user yang berbeda. Para user ini dapat menjadi bagian suatu kelompok lain dan biasanya memiliki hak individunya masing-masing serta ijin yang diberikan kepada mereka. Jika perusahaan menerapkan peran, tiap user yang ditugaskan pada peran tertentu yang hanya memiliki hak pada peran tersebut. Hal ini menjadikan kontrol yang lebih ketat.

Serangan terhadap keamanan system informasi

•Interruption: perangkat system menjadi rusak atau tidak tersedia.
Serangan ditujukan kepada ketersediaan dari system.
•Serangan untuk mendapatkan akses (access attacks)
Berusaha mendapatkan akses ke berbagai sumber daya komputer atau data/informasi
•Serangan untuk melakukan modifikasi (modification attacks)
Didahului oleh usaha untuk mendapatkan akses, kemudian mengubah data/informasi secara tidak sah
•Serangan untuk menghambat penyediaan layanan (denial of service attacks)
Menghambat penyediaan layanan dengan cara mengganggu jaringan computer.
•Interception : Pihak yang tidak berwenang berhasil mengakses asset atau informasi. Cantoh dari serangan ini adalah “wiretapping”.
•Fabrication : Pihak yabg tidak beerwenang menyisipkan obyek palsu ke dalam system. Contohnya adalah memasukkan pesan-pesan palsu ke dalam jaringan komputer

Istilah-istilah keamanan jaringan

• Hacking adalah setiap usaha atau kegiatan di luar izin atau sepengetahuan pemilik jaringan untuk memasuki sebuah jaringan serta mencoba mencuri file seperti file password dan sebagainya.

• Atau usaha untuk memanipulasi data, mencuri file-file penting, atau mempermalukan orang lain dengan memalsukan user identity-nya.

• Pelakunya disebut hacker yang terdiri dari seorang atau sekumpulan orang yang secara berkelanjutan berusaha untuk menembus sistem pengaman kerja dari operating system suatu komputer.

• Cracker adalah Seorang atau sekumpulan orang yang memang secara sengaja berniat untuk merusak dan menghancurkan integritas di seluruh jaringan sistem komputer dan tindakannya dinamakan cracking.

• Pada umumnya para cracker setelah berhasil masuk ke dalam jaringan komputer akan langsung melakukan kegiatan perusakan dan penghancuran data-data penting hingga menyebabkan kekacauan bagi para user dalam menggunakan komputernya.

Proses Serangan dan Alat yang digunakan

Hackers menggunakan beberapa aplikasi untuk mengumpulkan informasi yang diperlukan, misalnya dengan menggunakan:

• Finger Protocol: protokol ini memberikan informasi detail tentang user.

• Ping Program: digunakan untuk melihat aktifasi hubungan dari satu host ke host yang lain.

• SNMP: digunakan untuk mengakses routing table router yang tidak diproteksi utk melihat topologi jaringan.

• Trace Route: digunakan untuk melihat route jaringan yang digunakan penyerang menuju ke host yang dituju.

Tools jaringan yang digunakan

• Internet Security Scanner (ISS) atau Security Analysis Tool for Auditing (SATAN)

program ini akan menginformasikan kelemahan dari sistem yang dituju dan dapat melakukan scanning seluruh domain atau sub network.

• TCP Wrapper untuk memonitor jaringan komputer

• Crack untuk melakukan testing password security.

• IP Scanner

• IP Sniper

• Network Analyzer

Bentuk Penyerangan

§ Denial of service: Membanjiri suatu IP address dengan data sehingga menyebabkan crash atau kehilangan koneksinya ke internet.

§ Distributed Denial of Service: Memakai banyak komputer untuk meluncurkan serangan DoS. Seorang hacker “menculik” beberapa komputer dan memakainya sebagai platform untuk menjalankan serangan, memperbesar intensitasnya dan menyembunyikan identitas si hacker.

§ Theft of Information: Penyerang akan mencuri informasi rahasia dari suatu perusahaan. Hal ini dapat dilakukan dengan menggunakan program pembobol password, dan lain-lain.

§ Corruption of Data: Penyerang akan merusak data yang selama ini disimpan dalam harddisk suatu host.

§ Spoofing, yaitu sebuah bentuk kegiatan pemalsuan di mana seorang hacker memalsukan (to masquerade) identitas seorang user hingga dia berhasil secara ilegal logon atau login ke dalam satu jaringan komputer seolah-olah seperti user yang asli.

§ Sniffer adalah kata lain dari "network analyser" yang berfungsi sebagai alat untuk memonitor jaringan komputer. Alat ini dapat dioperasikan hampir pada seluruh tipe protokol seperti Ethernet, TCP/IP, IPX, dan lainnya.

§ Password Cracker adalah sebuah program yang dapat membuka enkripsi sebuah password atau sebaliknya malah untuk mematikan sistem pengamanan password.

• Destructive Devices adalah sekumpulan program virus yang dibuat khusus untuk melakukan penghancuran data-data, di antaranya Trojan Horse, Worms, Email Bombs, dan Nukes.

• Scanner adalah sebuah program yang secara otomatis akan mendeteksi kelemahan (security weaknesses) sebuah komputer di jaringan lokal (local host) ataupun komputer di jaringan dengan lokasi lain (remote host). Oleh karena itu, dengan menggunakan program ini, seorang hacker yang secara fisik berada di Inggris dapat dengan mudah menemukan security weaknesses pada sebuah server di Amerika ataupun di belahan dunia lainnya, termasuk di Indonesia, tanpa harus meninggalkan ruangannya!

Seputar feedburner.!

Kalau ada yang bila Wordpress as SEO war, saya adalah orang yang tidak mendukung pendapat ini. Jawaban yang tepat untuk SEO war adalah feedburner. Pembakar feed ini merupakan tools yang wahid untuk dipakai sebagai SEO war. Bila anda punya web dan ada fasilitas script RSS feed maka web anda bisa dijadikan sebagai SEO war. Jadi Joomla, web PHP, web asp, drupal, html, asp, web ajah asal ada RSS feed, bisa sebagai SEO war. So kenapa pakai wordpress, mendingan manfaatin feedburner sebagai mesin perang SEO. Jadi lebih umum. Web apa ajah bisa sebagai SEO war. Yuk, pakai feedburner.

Cari tahu feedburner-mu?

Nama domainnya feedburner.com. Para pelaku SEO senior dan penulis blog kapalan, tahu benar kehandalan dan kedahsyatan feedburner ini. Saya cukup kagum dan berdecak-decak memahami dan menguji mesin feedburner ini. Secara teknis feedburner adalah mesin web yang menyediakan jasa feed lewat web. Dengan kode-kode skrip, feedburner menyediakan jasa pengelolaan RSS feed bagi para pelaku blog (blogger), penggila podcast (podcaster), dan penerbit isi berita berbasis web.

Feedburner mendapat mandat untuk menjadi penyedia jasa pendistribusian dan pelayanan tambahan untuk menjangkau pengguna web untuk web yang memiliki script atau fungsi RSS feed. Selama ada website yang memiliki RSS feed script maka feedburner bisa didayagunakan sebagai manager distribusi dan pelayanan pengunjung website. Banyak sekali layanan yang disediakan oleh feedburner. Ada chicklet, optimizer, iklan, jasa sosial networking,

Jasa distribusi dan layanan yang disediakan

Jasa yang terkenal dan dikagumi dari feedburner adalah mendistribusikan informasi berupa newsletter kepada pelanggan (terdaftar, subscriber) mengenai info atau berita terbaru dari website. Berbekal email yang sudah didaftarkan (oleh pengunjung), feedburner mengirimkan info terbaru. Informasi yang dikirimkan berupa feed info yang bisa diset berdasarkan panjang dan lebarnya kalimat. Jadi bisa pendek berdasarkan karakter yang dikirim. Atau informasinya lengkap satu halaman sesuai halaman web.

Sementara layanan yang disediakan banyak sekali. Yang favorit menurut saya adalah jasa ping back ke mesin pencari dan web/blog direktori. Tinggal di set maka layanan ini bekerja otomatis. Jadi anda tinggal ongkang-ongkang kaki, biarkan feedburner berkeringat dan berdarah-darah mengerjakan tugasnya.

Semoga anda menyenangi artikel ini.

-----