Sistem pengamanan aplikasi layanan publik

Onno W. PurboXECUREIT

onno@indo.net.id@onnowpurbo

Dari hacking, virus & fraud

Sistem pengamanan aplikasi layanan publik

Outline

● Hosting Sederhana● Hosting Kompleks● Hardening Server● Admin Data Entry● Bagaimana Kalau ada Incident?● Intro – Information Security Management

System

Hosting Sederhana

Hosting Sederhana

● Ada Firewall● Network Intrusion Detection System (NIDS)● Host Intrusion Detection System (HIDS)● Web Application Firewall (WAF)● Ada perusahaan Hosting yang tanggung jawab

● Apakah cukup?

Secure Hosting

Secure Hosting

Secure Hosting

● Split Web Server, Middleware Server, Database Server via Firewall● iptables Firewall● Snort (NIDS)● Tripwire (HIDS)● Apache modsecurity (WAF)● Audit Source Code● Ada perusahaan Secure Hosting yang tanggung jawab

● Apakah cukup?

Contoh Hardening Server

● Keamanan Fisik Server● Enkripsi semua komunikasi data, matikan semua

FTP, Telnet, dan Rlogin / Rsh.● Minimalkan Software Aplikasi untuk Minimalisasi

Kelemahan● Satu layanan jaringan per sistem atau per VM

Instance● Menjaga Kernel Linux dan Software Tetap Up to Date

Contoh Hardening Server

● User Account dan Kebijakan Password Kuat● Umur Password● Pembatasan Penggunaan Password Lama● Kunci Account User setelah beberapa kali gagal Login● Verifikasi tidak ada Account dengan password kosong?● Pastikan tidak ada Account Non-Root yang mempunyai UID 0

● Disable Login sebagai root● Disable Layanan Yang Tidak Perlu

● Mencari Port Network yang Aktif

Contoh Hardening Server

● Hapus X Windows● Pengaturan Iptables dan TCPWrappers

● Linux Kernel /etc/sysctl.conf Hardening● Pisahkan Partisi Disk

● Kuota disk

● Matikan IPv6● Matikan Binari dengan SUID dan SGID Yang Tidak

Diinginkan● File yang World-Writable● File Noowner

Contoh Hardening Server

● Gunakan Layanan Authentikasi Terpusat● Kerberos

● Logging dan Auditing● Monitor Message Log yang mencurigakan menggunakan Logwatch / Logcheck● System Accounting menggunakan auditd

● Secure OpenSSH Server● Instalasi dan Penggunaan Intrusion Detection System● Protecting Files, Directories and Email

● Mengamankan Email Server● Mailscanner untuk virus & spam● Gunakan Enkripsi seperti GnuPG

● Kebijakan Backup Data Server

Workstation Entry Data

● Apakah pakai Windows?● Apakah hanya digunakan untuk data entry saja?● Apakah hanya browse ke situs yang di approved saja?● Apakah USB bisa digunakan? Apakah semua USB bisa

dimasukan dengan mudah?● Apakah hanya orang tertentu yang bisa pakai?● Bagaimana password login-nya?● Bagaimana akses ke file server / file sharing / printer

sharing?

Setelah Hardening

● Bagaimana kalau ada tanda2 serangan?● Apakah kita tahu, asset kita yang mana saja?● Apakah kita tahu, mana yang penting? Mana

yang tidak penting?● Apakah kita tahu, mana yang critical? Mana

yang tidak critical?● Apakah ada Disaster Recovery Center?

Dimana?

Intro Information Security Management System

● ISO 27000 Series● ISO 31000 Series● NIST SP 800 (SP = Special Publications)

Information Security Components

PeoplePeople

ProcessProcess

TechnologyTechnology PhysicalPhysical

do

indirectly(helped by)

directly

depends on

Information Security Aspects

AvailabilityInformasiInformasi

● Integrity– Closely related with proof, non-

repudiation,identification, authentication.

– Information has been changed only by authorized subject throughauthorized process usingauthorized technology fromauthorized physical condition.

– Threat: Alteration / Corruption / Modification

● Confidentiality– Information has been access only by

authorized subject throughauthorized process usingauthorized technology fromauthorized physical condition.

– Threat: Disclosure

● Availability– Closely related with capacity and

performance.– Information is available when needed for

authorized subject throughauthorized process usingauthorized technology fromauthorized physical condition.

– Threat: Destruction / Interruption / Removal

Integrated Information SecurityImplementation Level and Flow

Tingkat 3b :Entitas Akhir

Tingkat 3a :Infrastruktur

Tingkat 2 :Arsitektur

Tingkat 1 :Kebijakan

Tingkat 0 :Organisasi

Komitmen Manajemen

Spesifikasi KebutuhanKeamanan

Pengembangan, Implementasi dan Operasi

Hukum,Regulasi& Mgmt

Risiko Bisnis

Kepa

tuha

n &

Tang

gung

Jaw

ab

DefinisiKebutuhan

Kontrol

Kese

suai

an

Pem

aksa

an

Orang: Integritas dan KompetensiAdministratif: Prosedur Non-Teknis dan TeknisTeknologi: Rancangan, Kapasitas dan FungsiFisik: Arsitektur, Kapasitas dan Fungsi

Information Security Risk Concept Flow

AssetsAssets

RisksRisks

VulnerabilitiesVulnerabilities& Exposure& Exposure

ControlsControls

OwnerOwner

ThreatThreatAgentsAgents

ThreatsThreats

define value of

wish to minimize

to reduce

may pose

may bereduced by

impose

may be aware of

give rise to

wish to abuse and/or may damage of

increase

exploit

to

leadingto

Information Security Components and Controls

Vulnerability / Exposures / Threat Agents

ControlComponents

People PeopleAdministrative (Policies & Procedures)TechnologyPhysical

Process PeopleAdministrative (Policies & Procedures)TechnologyPhysical

Technology PeopleAdministrative (Policies & Procedures)TechnologyPhysical

Physical PeopleAdministrative (Policies & Procedures)TechnologyPhysical

Information SecurityControls Relationship Diagram

NIST 800 30

Information Security Risk Treatment

Incident Check List

SOC

Plan – Detect – Responds - Learn

Terima Kasih