Upload
vocong
View
215
Download
0
Embed Size (px)
Citation preview
Sistem pengamanan aplikasi layanan publik
Onno W. PurboXECUREIT
[email protected]@onnowpurbo
Dari hacking, virus & fraud
Sistem pengamanan aplikasi layanan publik
Outline
● Hosting Sederhana● Hosting Kompleks● Hardening Server● Admin Data Entry● Bagaimana Kalau ada Incident?● Intro – Information Security Management
System
Hosting Sederhana
Hosting Sederhana
● Ada Firewall● Network Intrusion Detection System (NIDS)● Host Intrusion Detection System (HIDS)● Web Application Firewall (WAF)● Ada perusahaan Hosting yang tanggung jawab
● Apakah cukup?
Secure Hosting
Secure Hosting
Secure Hosting
● Split Web Server, Middleware Server, Database Server via Firewall● iptables Firewall● Snort (NIDS)● Tripwire (HIDS)● Apache modsecurity (WAF)● Audit Source Code● Ada perusahaan Secure Hosting yang tanggung jawab
● Apakah cukup?
Contoh Hardening Server
● Keamanan Fisik Server● Enkripsi semua komunikasi data, matikan semua
FTP, Telnet, dan Rlogin / Rsh.● Minimalkan Software Aplikasi untuk Minimalisasi
Kelemahan● Satu layanan jaringan per sistem atau per VM
Instance● Menjaga Kernel Linux dan Software Tetap Up to Date
Contoh Hardening Server
● User Account dan Kebijakan Password Kuat● Umur Password● Pembatasan Penggunaan Password Lama● Kunci Account User setelah beberapa kali gagal Login● Verifikasi tidak ada Account dengan password kosong?● Pastikan tidak ada Account Non-Root yang mempunyai UID 0
● Disable Login sebagai root● Disable Layanan Yang Tidak Perlu
● Mencari Port Network yang Aktif
Contoh Hardening Server
● Hapus X Windows● Pengaturan Iptables dan TCPWrappers
● Linux Kernel /etc/sysctl.conf Hardening● Pisahkan Partisi Disk
● Kuota disk
● Matikan IPv6● Matikan Binari dengan SUID dan SGID Yang Tidak
Diinginkan● File yang World-Writable● File Noowner
Contoh Hardening Server
● Gunakan Layanan Authentikasi Terpusat● Kerberos
● Logging dan Auditing● Monitor Message Log yang mencurigakan menggunakan Logwatch / Logcheck● System Accounting menggunakan auditd
● Secure OpenSSH Server● Instalasi dan Penggunaan Intrusion Detection System● Protecting Files, Directories and Email
● Mengamankan Email Server● Mailscanner untuk virus & spam● Gunakan Enkripsi seperti GnuPG
● Kebijakan Backup Data Server
Workstation Entry Data
● Apakah pakai Windows?● Apakah hanya digunakan untuk data entry saja?● Apakah hanya browse ke situs yang di approved saja?● Apakah USB bisa digunakan? Apakah semua USB bisa
dimasukan dengan mudah?● Apakah hanya orang tertentu yang bisa pakai?● Bagaimana password login-nya?● Bagaimana akses ke file server / file sharing / printer
sharing?
Setelah Hardening
● Bagaimana kalau ada tanda2 serangan?● Apakah kita tahu, asset kita yang mana saja?● Apakah kita tahu, mana yang penting? Mana
yang tidak penting?● Apakah kita tahu, mana yang critical? Mana
yang tidak critical?● Apakah ada Disaster Recovery Center?
Dimana?
Intro Information Security Management System
● ISO 27000 Series● ISO 31000 Series● NIST SP 800 (SP = Special Publications)
Information Security Components
PeoplePeople
ProcessProcess
TechnologyTechnology PhysicalPhysical
do
indirectly(helped by)
directly
depends on
Information Security Aspects
AvailabilityInformasiInformasi
● Integrity– Closely related with proof, non-
repudiation,identification, authentication.
– Information has been changed only by authorized subject throughauthorized process usingauthorized technology fromauthorized physical condition.
– Threat: Alteration / Corruption / Modification
● Confidentiality– Information has been access only by
authorized subject throughauthorized process usingauthorized technology fromauthorized physical condition.
– Threat: Disclosure
● Availability– Closely related with capacity and
performance.– Information is available when needed for
authorized subject throughauthorized process usingauthorized technology fromauthorized physical condition.
– Threat: Destruction / Interruption / Removal
Integrated Information SecurityImplementation Level and Flow
Tingkat 3b :Entitas Akhir
Tingkat 3a :Infrastruktur
Tingkat 2 :Arsitektur
Tingkat 1 :Kebijakan
Tingkat 0 :Organisasi
Komitmen Manajemen
Spesifikasi KebutuhanKeamanan
Pengembangan, Implementasi dan Operasi
Hukum,Regulasi& Mgmt
Risiko Bisnis
Kepa
tuha
n &
Tang
gung
Jaw
ab
DefinisiKebutuhan
Kontrol
Kese
suai
an
Pem
aksa
an
Orang: Integritas dan KompetensiAdministratif: Prosedur Non-Teknis dan TeknisTeknologi: Rancangan, Kapasitas dan FungsiFisik: Arsitektur, Kapasitas dan Fungsi
Information Security Risk Concept Flow
AssetsAssets
RisksRisks
VulnerabilitiesVulnerabilities& Exposure& Exposure
ControlsControls
OwnerOwner
ThreatThreatAgentsAgents
ThreatsThreats
define value of
wish to minimize
to reduce
may pose
may bereduced by
impose
may be aware of
give rise to
wish to abuse and/or may damage of
increase
exploit
to
leadingto
Information Security Components and Controls
Vulnerability / Exposures / Threat Agents
ControlComponents
People PeopleAdministrative (Policies & Procedures)TechnologyPhysical
Process PeopleAdministrative (Policies & Procedures)TechnologyPhysical
Technology PeopleAdministrative (Policies & Procedures)TechnologyPhysical
Physical PeopleAdministrative (Policies & Procedures)TechnologyPhysical
Information SecurityControls Relationship Diagram
NIST 800 30
Information Security Risk Treatment
Incident Check List
SOC
Plan – Detect – Responds - Learn
Terima Kasih