Web Security Berbasis Linux

Konsep, Sistem, User, Kebijakan, Serta Kaitannya

Terhadap Smart City dan Internet Of Things (IOT)
Oleh :

I Putu Agus Eka Pratama, ST MT

Information Network and System (INS) Research Lab STEI ITB
http://www.slideshare.net/PutuShinoda
Presentasi Unikom Bandung 14 Maret 2015

Template oleh Fedora Linux Community https://fedoraproject.org/wiki/Licensing#Content_Licenses

#pendahuluan
1.Saat ini hampir semua produk dan layanan
berbasis teknologi informasi, terhubung ke
internet dan berbasis tatap muka web.
2. Setiap layanan bukan saja menyajikan
kemudahan, tapi juga harus
memperhatikan keamanan.
Mengapa?
Kenyamanan, privasi, dan kepercayaan
(Trust) pengguna/konsumen/nasabah.

Disebutkan bahwa keamanan

(termasuk juga pada web)
mencakup 3 hal utama :
sistem, user, dan kebijakan.
I Made Wiryana (Univ Gunadarma)
Budi Rahardjo (STEI ITB)

#sistem
Keamanan (termasuk juga keamanan pada
web) dilihat dari sisi sistem, mencakup :
perangkat keras (Hardware), perangkat lunak
(Software).
Ancaman keamanan pada web dapat ditinjau
berdasarkan 5 layer TCP/IP (Application Layer,
Transport Layer, Network Layer, Data Link
Layer, Physical Layer).
Setiap layer memiliki potensi celah keamanan
dan bentuk serangan (sistem maupun web).

#sistem #cont
Application Layer : Deface, SQL Injection, DNS
Poisoning, MITM (Man In The Middle).
Transport Layer : MITM, SSL/TLS Vulnerability.
Network Layer : IP Spoofing, IP Packet Header
Fake, DOS/DDOS.
Data Link Layer : ARP Poisoning, MAC Flooding.
Physical Layer : pencurian data secara
langsung ke ruang server, kerusakan oleh
manusia/hewan/alam.

#sistem #cont
Pencegahan? Penanggulangan?
Firewall, update sistem (versi os, kernel os,
versi aplikasi) secara berkala, menggunakan
SSH untuk remote, menggunakan enkripsi,
mengaktifkan SELINUX,
mengimplementasikan
Honeynet/honeypot/honeywall, menggunakan
Deep Packet Inspection (DPI) dan Intrusion
Detection System (IDS), memantau service dan
port (Scan), menggunakan Kerberos, Audit IT
(Security) berkala.

#sistem #cont
Contoh :
Menggunakan nmap, nikto, dan tool open
source lainnya untuk melakukan scan, deteksi,
dan penanganan celah keamanan pada web
dan server.
Menggunakan distro Linux khusus untuk
penetrasi sistem.
Perintah chkconfig untuk mengecek service.
Perintah yum/apt-get/zyper untuk mengecek
aplikasi yang telah terinstal.

#user
Keamanan (termasuk juga keamanan pada
web) dilihat dari sisi user (pengguna),
mencakup : manajemen user, security
awareness (kesadaran akan keamanan).
Ancaman ancaman keamanan pada sisi user
antara lain dengan memanfaatkan psikologis
user (Social Engineering, Spam, penipuan via
web), kecerobohan user, ketidak tahuan dan
ketidak pedulian user terhadap keamanan.
Saya dan anda pun adalah user.... :)

#user #cont
Penanganan? Penanggulangan?
Manajemen user dengan baik pada sistem (hak
akses/Privillege), peningkatan pengetahuan
dan kepedulian user terhadap pentingnya
keamanan (Security Awareness), penggantian
password secara berkala, kombinasi password
yang baik (kuat, tidak mudah ditebak, mudah
diingat).
Pada web, SSH, FTP, perlu ada manajemen
user dan privillege.

#kebijakan
Keamanan (termasuk juga keamanan pada
web) dilihat dari sisi kebijakan, tertuang di
dalam dokumen ISO (International
Organization for Standarization organisasi
untuk standarisasi internasional).
Dokumen ISO yg membahas mengenai
keamanan pada web, dimuat di dalam ISO27k
(ISO 27000), atau disebut juga dengan ISMS
(Information Security Management System).
Apa saja yang tertuang di dalam ISO27k ini?

#iso27k #isms
ISO/IEC 27000 Overview And Vocabulary.
ISO/IEC 27001 Formal ISMS Specification.
ISO/IEC 27002 Infosec Controls.
ISO/IEC 27003 ISMS Implementation Guide.
ISO/IEC 27004 Infosec Metrics.
ISO/IEC 27005 Infosec Risk Management.
ISO/IEC 27006 ISMS Certification Guide.
ISO/IEC 27007 Management System Auditing.
ISO/IEC TR 27008 Technical Auditing.
ISO/IEC 27010 Inter Organization Communication.

#iso27k #isms #cont

ISO/IEC 27011 Telecommunication Industry.
ISO/IEC 27013 ISMS And IT Service Management.
ISO/IEC 27014 Infosec Governance.
ISO/IEC TR 27015 Financial Services.
ISO/IEC TR 27016 Infosec Economics.
ISO/IEC 27018 Cloud Privacy.
ISO/IEC TR 27019 Process Control In Energy.
ISO/IEC 27031 ICT Business Continuity.
ISO/IEC 27032 Cyber Security.

#iso27k #isms #cont

ISO/IEC 27033-1 to -5 Network Security.
ISO/IEC 27034-1 Application Security.
ISO/IEC 27035 Incident Management.
ISO/IEC 27036-1 -2 & -3 ICT Supply Chain.
ISO/IEC 27037 Digital Evidence (Forensics).
ISO/IEC 27038 Document Redaction.
ISO 27799 ISO27k Healthcare Industry.

#IOT
1.IOT (Internet Of Things) atau disebut juga
dengan M2M (Machine to Machine),
mengacu kepada trend teknologi saat ini,
di mana segalanya (things) terhubung ke
internet : komputer, perangkat (Device).
2. IOT menyajikan dua buah tatap muka
utama untuk pengguna :
WOT (Web Of Things) --> paling umum.
MOT (Mobile Of Things) --> smartphone.

#SmartCity
1.Smart City mengacu kepada konsep kota
pintar (Smart) berbasiskan teknologi
informasi, di dalam mengelola potensi2 yg
ada maupun memberikan solusi terhadap
masalah2 yg ada.
2. Sebagaimana IOT, Smart City
diimplementasikan ke dalam aplikasi
berbasis desktop, web, dan mobile.
3.Kota Bandung memiliki Bandung Command
Center untuk Smart City.

#IOT #SmartCity #WebSecurity

IOT dan Smart City banyak diimplementasikan
ke dalam layanan berbasis web, sehingga perlu
adanya keamanan pada web (Web Security) -->
privasi, kenyamanan, kepercayaan,
kehandalan.
Sebagaimana SDLC (Software Development
Life Cycle) pada perangkat lunak, maka
keamanan (termasuk pada web) akan terus
mengalami fasa perkembangan, serta
dimasukan sejak tahap desain dan
perencanaan.

Referensi
ISO 27000 Security.
http://www.iso27001security.com/
Linux Security.
http://www.cyberciti.biz/tips/linux-security.html
Linux Server Hardening Security.
http://www.tecmint.com/linux-server-hardening-security-tips/
Linux Tutorial Internet Security.
http://www.yolinux.com/TUTORIALS/LinuxTutorialInternetSecurity.html
I Putu Agus Eka Pratama. Smart City Beserta Cloud Computing dan
Teknologi Teknologi Pendukung Lainnya. Informatika Bandung. 2014.
I Putu Agus Eka Pratama. Handbook Jaringan Komputer. Informatika
Bandung. 2014.

Ada yang ingin ditanyakan?

Mari kita diskusikan bersama :)
Slide dapat diunduh bebas di www.slideshare.net/PutuShinoda
Buku Smart City dan buku Handbook Jaringan Komputer dapat dibeli di
toko toko buku terdekat seIndonesia (Gramedia, Gunung Agung,Toga
Mas, Karisma, BI Obses, dll) atau silahkan cek di :
www.biobses.com/penulis-201-i_putu_agus_eka_pratama.html
Template oleh komunitas Linux Fedora https://fedoraproject.org/wiki/Licensing#Content_Licenses