Saturday, 24 March 2018

KERTAS PENERANGAN KSK 7023 (K3)

Muhamad Razak b. Teridi

             KERTAS PENERANGAN
KOD DAN NAMA  PROGRAM /
PROGRAM’S CODE & NAME
IT-030-4:2013: COMPUTER NETWORK ADMINISTRATION
TAHAP / LEVEL
4
NO. DAN TAJUK UNIT KOMPETENSI  /
COMPETENCY UNIT NO. AND TITLE
3.0 EXECUTE COMPUTER NETWORK SECURITY DEPLOYMENT (32 HOURS)
NO. DAN PENYATAAN AKTIVITI KERJA / WORK ACTIVITIES NO. AND STATEMENT
3.1       Firewall configuration tasks
3.2       Virtual Private Network (VPN) configuration
3.3       Internet security control
3.4       Password policy setting
3.5       Penetration test 
3.6       Network security irregularities
3.7       Network security remedies process
3.8       Managerial skill
NO. KOD  / CODE NUM.

IT-030-4:2013/C03/P(3/4)
Muka :  1    Drp :  24




TAJUK/TITLE:

3.1       Firewall configuration tasks
3.2       Virtual Private Network (VPN) configuration
3.3       Internet security control
3.4       Password policy setting
3.5       Penetration test  
3.6       Network security irregularities
3.7       Network security remedies process
3.8       Managerial skill

PENERANGAN/INFORMATION:

3.1 Firewall Configuration Tasks
Definisi Firewall
Firewall adalah sistem yang mengawal polisi kawalan kemasukan (access control polisi) di antara 2 rangkaian – sebagai contoh: LAN anda di rumah dan rangkaian internet di luar yang terdedah pada berbagai anasir yang tidak selamat. Firewall menentukan apakah ‘services’ di dalam rangkaian peribadi anda yang boleh diakses dari luar dan sebaliknya, iaitu menentukan apakah ‘services’ luar yang boleh diakses oleh peranti di dalam rangkaian peribadi anda. Secara umumnya firewall berfungsi menggunakan mekanisma berpasangan: satu untuk menghadang (block) aliran@services internet yang tertentu dan satu lagi untuk membenarkan aliran internet.

Firewall membolehkan pendtadbir rangkaian (network administrator) dengan data tentang jenis dan jumlah trafik yang melaluinya dan berapa banyak cubaan untuk menembusi rangkaian.

Perkara-perkara yang boleh dikawal kebenarannya oleh firewall:
  • Alamat IP dari komputer sumber
  • Port TCP/UDP sumber dari sumber.
  • Alamat IP komputer yang hendak diakses
  • Port TCP/UDP tujuan data pada komputer yang hendak diakses.
  • maklumat dari header yang disimpan dalam paket data.

Kegunaan firewall.
  1. menyimpan maklumat rahsia dan berharga yang menyelinap tanpa pengetahuan anda. Contohnya, trafik FTP (File Transfer Protocol) dari rangkaian komputer organisasi dikawal oleh tembok api. Ini dilakukan untuk menghalang pengguna di rangkaian daripada menghantar fail yang disengajakan dengan sengaja atau sengaja kepada pihak lain.
  2. penapis untuk mencegah lalu lintas tertentu daripada mengalir ke subnet rangkaian. Ini menghalang pengguna daripada berkongsi fail, dan bermain di rangkaian. Jenis aplikasi ini amat berguna dalam sektor korporat.
  3. mengubahsuai paket data yang datang ke dalamnya. Proses ini dipanggil Terjemahan Alamat Rangkaian (NAT). Terdapat jenis NAT yang dipanggil NAT asas, di mana alamat IP (Internet Protocol) peribadi rangkaian komputer tersembunyi di belakang alamat IP tertentu. Proses ini dipanggil IP nama samaran. Ini membantu pengguna pada rangkaian yang merangkumi sistem tanpa nombor IP awam dengan alamat, untuk mengakses Internet. Ketepatan data seperti maklumat kewangan, spesifikasi produk, harga produk dan sebagainya, adalah penting untuk sebarang perkembangan perniagaan. Jika maklumat itu diubah oleh sumber luaran, ia akan mempunyai kesan yang merugikan. Manfaat Firewall di sini adalah untuk menghalang pengubahsuaian data yang tidak sah di laman web.

Komputer mempunyai beribu-ribu port yang boleh diakses untuk pelbagai tujuan. Firewall dari komputer sedang menutup port kecuali untuk port tertentu yang perlu dibuka.








Senarai port lazim:
TCP/IP Protocols and Ports yang biasa digunakan.
Protocol dan RFC
TCP/UDP
Nombor Port
File Transfer Protocol (FTP) (RFC 959)
TCP
20/21
Secure Shell (SSH) (RFC 4250-4256)
TCP
22
Telnet  (RFC 854)
TCP
23
Simple Mail Transfer Protocol (SMTP) (RFC 5321)
TCP
25
Domain Name System(DNS) (RFC 1034-1035)
TCP/UDP
53
Dynamic Host Configuration Protocol (DHCP) (RFC 2131)
UDP
67/68
Trivial File Transfer Protocol (TFTP) (RFC 1350)
UDP
69
Hypertext Transfer Protocol (HTTP) (RFC 2616)
TCP
80
Post Office Protocol (POP) version 3 (RFC 1939)
TCP
110
Network Time Protocol (NTP) (RFC 5905)
UDP
123
NetBIOS (RFC 1001-1002)
TCP/UDP
137/138/139
Internet Message Access Protocol (IMAP) (RFC 3501)
TCP
143
Simple Network Management Protocol (SNMP)
(RFC 1901-1908, 3411-3418)
TCP/UDP
161/162
Border Gateway Protocol (BGP) (RFC 4271)
TCP
179
Lightweight Directory Access Protocol (LDAP)
(RFC 4510)
TCP/UDP
389
Hypertext Transfer Protocol over SSL/TLS (HTTPS)
(RFC 2818)
TCP
443
Lightweight Directory Access Protocol over TLS/SSL (LDAPS) (RFC 4513)
TCP/UDP
636
FTP over TLS/SSL (RFC 4217)
TCP
989/990

Evolusi firewall.
Generasi pertama    : packet filters.
Generasi kedua       : Stateful filters.
Generasi ketiga        : application layer
Generasi keempat   : next generation firewall.





3.2 Virtual Private Network (VPN) configuration


Definisi VPN.
Rangkaian persendirian maya (VPN) memanjangkan rangkaian persendirian merentasi rangkaian awam, dan membolehkan pengguna menghantar dan menerima data merentasi rangkaian dikongsi atau awam seolah-olah peranti pengkomputeran mereka tersambung terus ke rangkaian persendirian. Oleh itu, aplikasi yang dijalankan merentasi VPN boleh mendapat manfaat daripada fungsi, keselamatan, dan pengurusan rangkaian persendirian. (rajah 1)

Rajah 1.

VPN membolehkan pekerja mengakses intranet korporat dengan selamat semasa berada di luar pejabat. VPN digunakan untuk menyambungkan pejabat yang secara geografinya secara berasingan di sesebuah organisasi, mewujudkan satu rangkaian yang padu. Pengguna Internet individu boleh menjalan urus niaga mereka secara selamat dengan VPN, untuk menghalang pembatasan geografi dan penapisan, atau untuk menyambung ke pelayan proksi untuk tujuan melindungi identiti dan lokasi peribadi.

Walau bagaimanapun, sesetengah laman Internet menghalang akses kepada teknologi VPN yang diketahui untuk mengelakkan sekatan yang ditetapkan.
VPN dicipta dengan mewujudkan sambungan titik-ke-titik maya melalui penggunaan sambungan khusus, virtual tunneling protocol , atau penyulitan trafik. VPN yang tersedia dari Internet awam boleh memberikan beberapa manfaat dari rangkaian kawasan luas (WAN). Dari perspektif pengguna, sumber yang terdapat dalam rangkaian persendirian boleh diakses dari jauh.

VPN tradisional yang menggunakan topologi point-to-point tidak berkecenderung untuk menyokong atau disambung ke broadcast domain, jadi perkhidmatan seperti Microsoft Windows NetBIOS mungkin tidak disokong sepenuhnya atau tidak berfungsi kerana mereka akan menggunakan rangkaian kawasan tempatan (LAN) . Jurutera rangkaian telah membangunkan varian VPN, seperti Virtual Private LAN Service (VPLS), dan Protokol Penjajaran Terowong 2 (L2TP), untuk mengatasi had ini

Jenis sambungan VPN.
  1. akses jauh atau remote access (menyambung komputer ke rangkaian).
  2. tapak-ke-tapak atau site-to-site (menyambungkan dua rangkaian).

Di dalam tetapan korporat, VPN akses jauh (remote access) membolehkan pekerja mengakses intranet syarikat mereka dari rumah atau semasa menjalankan kerja di luar pejabat, dan VPN tapak ke tapak (site-to-site) membenarkan pekerja di pejabat berbeza secara geografi untuk berkongsi satu rangkaian maya. VPN juga boleh digunakan untuk menghubungkan dua rangkaian yang sama melalui rangkaian pertengahan yang berbeza; contohnya, dua rangkaian IPv6 melalui rangkaian IPv4.

VPN dikalisifikasikan mengikut:
  1. Tunneling protocol yang digunakan.
  2. Lokasi penamatan tunnel, cth: di bahagian pelanggan atau di bahagian yang memberikan servis rangkaian vpn itu.
  3. Jenis topology sambungan, iaitu: tapak ke tapak atau rangkaian ke rangkaian.
  4. Tahap keselamatan yang diberikan.
  5. Lapisan OSI yang digunakan dalam menghubungkan VPN, cthnya: Sambungan Lapisan 2, atau Rangkaian Lapisan ke 3.
  6. Bilangan hubungan serentak yang dibenarkan.


Bagaimanakanh VPN lebih selamat dari hubungan@sambungan biasa?
VPN adalah selamat kerana ianya menepati AAA (standard dalam keselamatan rangkaian) iaitu:
  1. Authorization@Confidentiality   : VPN selamat kerana walaupun trafik rangkaian di ‘hidu’ oleh pihak ke 3, penyerang hanya akan dapat melihat data-data ter-enkrip sahaja.
  2. Authentication        : penghantar data mesti diberikan kebenaran@dikenalpasti terlebih dahulu sebelum melakukan sesuatu aktiviti di dalam VPN.
  3. Accountability@Integrity : sebarang message@data yang dihantar di pelihara integritinya untuk mengesan sebarang pengubahsuaian pada message@data yang di hantar.

VPN pada router.
Dengan berkembangnya teknologi VPN, banyak syarikat telah mula menggunakan hubungan VPN di peringkat router untuk menambahkan ciri keselamatan. Apabila VPN dipasang di dalam sesebuah rangkaian pada peringkat router, ia membolehkan setiap peranti mengakses ke semua rangkaian tersebut – semua peranti menjadi peranti local di dalam rangkaian.

Banyak pembuat router menyediakan router dengan VPN Client terbina di dalamnya Sesetengahnya menggunakan firmware sumber terbuka seperti DD-WRT, OpenWRT dan Tomato untuk menyokong protokol tambahan seperti OpenVPN.

Pemasangan khidmat VPN di router memerlukan pengetahuan yang mendalam di bidang keselamatan rangkaian dan proses instalasi yang amat cerewet. Sebarang kesalahan walapun kecil akan mendedahkan rangkaian kepada serangan luar.





3.3 Internet security control


Keselamatan internet adalah cabang keselamatan komputer yang khusus berkaitan dengan Internet, sering melibatkan keselamatan browser dan juga keselamatan rangkaian pada tahap yang lebih umum, kerana ia digunakan untuk aplikasi lain atau sistem operasi secara keseluruhan. Objektifnya adalah untuk mewujudkan peraturan dan langkah-langkah untuk digunakan meminimumkan serangan melalui Internet.

1.    Perisian berbahaya
Seorang pengguna komputer boleh ditipu atau dipaksa untuk memuat turun perisian ke komputer yang berniat jahat. Perisian seperti ini terdapat dalam pelbagai bentuk, seperti virus, kuda Trojan, spyware, dan cacing.
1.1. Malware atau perisian berniat jahat, adalah perisian yang digunakan untuk mengganggu operasi komputer, mengumpul maklumat sensitif, atau mendapatkan akses ke sistem komputer peribadi. Perisian malware ditakrifkan oleh niat jahatnya, bertindak terhadap kehendak pengguna komputer, dan tidak termasuk perisian yang menyebabkan kemudaratan yang tidak disengajakan disebabkan oleh beberapa kekurangan.
1.2. Botnet adalah rangkaian komputer zombie yang telah diambil oleh robot atau bot yang melakukan perbuatan jahat secara besar-besaran untuk pencipta botnet.
1.3. Komputer Virus adalah program yang dapat meniru struktur atau kesan mereka dengan menjangkiti fail atau struktur lain pada komputer. Penggunaan umum virus adalah untuk mengambil alih komputer untuk mencuri data.
1.4. Cacing computer (worm) adalah program yang dapat meniru diri mereka di seluruh rangkaian komputer, melakukan tugas-tugas yang berniat jahat di seluruh computer atau rangkaian.
1.5. Ransomware adalah sejenis malware yang menyekat akses kepada sistem komputer yang ia jangkakan, dan menuntut wang tebusan yang dibayar kepada pencipta malware agar sekatan itu dikeluarkan.
1.6. Scareware adalah perisian penipuan dengan muatan jahat, biasanya terhad atau tiada faedah, yang dijual kepada pengguna melalui amalan pemasaran tertentu yang tidak beretika. Pendekatan jualan menggunakan kejuruteraan sosial untuk menyebabkan kejutan, kebimbangan, atau persepsi ancaman, secara amnya diarahkan kepada pengguna yang tidak curiga.
1.7. Spyware merujuk kepada program yang memantau secara terperinci aktiviti pada sistem komputer dan melaporkan maklumat tersebut kepada orang lain tanpa persetujuan pengguna.
1.8. Kuda Trojan, yang biasanya dikenali sebagai Trojan, adalah istilah umum untuk perisian berniat jahat yang berpura-pura tidak berbahaya, supaya pengguna dengan rela membenarkannya dimuat turun ke komputer.
1.9. KeyLogger, Keystroke, sering dirujuk sebagai keylogging atau merekod papan kekunci, adalah tindakan merakam kekunci yang disentuh oleh pengguna, terutamanya password, data kad kredit dan sebagainya yang boleh digunakan.

2.    Seragan DOS (Denial-Of-Service).
Serangan penafian perkhidmatan (serangan DoS) atau serangan penafian-perkhidmatan-teredar (serangan DDoS) adalah percubaan untuk menjadikan sumber komputer tidak dapat memberikan perkhidmatan yang sepatutnya. Satu lagi cara untuk memahami DDoS adalah melihatnya sebagai serangan dalam persekitaran pengkomputeran awan yang berkembang disebabkan oleh ciri-ciri penting pengkomputeran awan. Walaupun cara-cara untuk melaksanakan, motif, dan sasaran serangan DoS mungkin berbeza-beza, secara umumnya ia terdiri daripada usaha-usaha yang bersatu untuk mencegah laman web atau perkhidmatan daripada berfungsi dengan cekap atau sama sekali, secara sementara atau selama-lamanya. Mengikut perniagaan yang mengambil bahagian dalam kaji selidik keselamatan perniagaan antarabangsa, 25% responden mengalami serangan DoS pada tahun 2007 dan 16.8% mengalami satu pada tahun 2010.

3.    Pishing
Phishing adalah serangan yang menyasarkan pengguna dalam talian untuk mendapatkan maklumat sensitif mereka seperti nama pengguna, kata laluan dan maklumat kad kredit. Phishing berlaku apabila penyerang berpura-pura menjadi entiti yang boleh dipercayai, baik melalui e-mel atau laman web. Mangsa diarahkan ke laman web palsu, yang berpakaian untuk kelihatan sah, melalui e-mel spoof, messenger segera / media sosial atau saluran lain. Seringkali taktik seperti spoofing e-mel digunakan untuk membuat e-mel kelihatan dari penghantar yang sah, atau subdomains kompleks yang lama menyembunyikan hos laman web sebenar. Kumpulan insurans RSA yang berpengkalan di Ameraika mengatakan bahawa pishing menyumbang kerugian dunia sebanyak $ 1.5 bilion pada tahun 2012.

4.    Kelemahan aplikasi.
Aplikasi yang digunakan untuk mengakses sumber Internet mungkin mengandungi kelemahan keselamatan seperti pepijat keselamatan ingatan (memory safety bug) atau bug ketika proses autentikasi. Pepijat ini boleh memberi kawalan penuh kepada penyerang rangkaian ke atas komputer. Kebanyakan aplikasi dan suite keselamatan tidak ada pertahanan yang mencukupi terhadap jenis serangan ini.

Penyelesaian.

1.    Keselamatan lapisan rangkaian.
Protokol TCP / IP boleh bertambah selamat dengan kaedah kriptografi dan protokol keselamatan. Protokol ini termasuk Layer Sockets Layer (SSL), digantikan oleh Transport Layer Security (TLS) untuk trafik web, Pretty Good Privacy (PGP) untuk e-mel, dan IPsec untuk keselamatan lapisan rangkaian.

2.    Internet Protocol Security (IPsec).
IPsec direka untuk melindungi komunikasi TCP / IP. Ia adalah satu set sambungan keselamatan yang dibangunkan oleh Pasukan Petugas Internet (IETF). Ia menyediakan keselamatan dan pengesahan di lapisan IP dengan mengubah data menggunakan penyulitan@enkripsi. Dua jenis ubahan utama yang membentuk asas IPsec: Header Pengesahan (AH) dan ESP. Kedua-dua protokol ini menyediakan integriti data, pengesahan asal data, dan perkhidmatan anti-ulangan. Protokol ini boleh digunakan secara bersendirian atau dalam gabungan untuk menyediakan set perkhidmatan keselamatan yang dikehendaki untuk lapisan Internet Protokol (IP).

Komponen asas dari seni bina keselamatan IPsec dijelaskan dari segi fungsi berikut:

2.1. Protokol keselamatan untuk AH dan ESP
2.2. Pengaitan keselamatan (security association) untuk pengurusan dasar dan pemprosesan aliran data.
2.3. Pengurusan kunci manual dan automatik untuk Internet Key Exchange (IKE)
2.4. Algoritma untuk pengesahan (Authentication) dan penyulitan (encryption)

Set perkhidmatan keselamatan yang disediakan di lapisan IP termasuk kawalan akses, integriti asal data, perlindungan terhadap replay dan kerahsiaan. Algoritma ini membolehkan set ini berfungsi secara bebas tanpa menjejaskan bahagian lain pelaksanaannya.

3.    Multifactor authentication (MFA) – pengesahan pelbagai faktor.
Pengesahan pelbagai faktor (MFA) adalah kaedah kawalan akses komputer di mana pengguna diberi akses hanya selepas berjaya membentangkan beberapa bukti bukti yang berasingan kepada mekanisme pengesahan - biasanya sekurang-kurangnya dua kategori berikut: pengetahuan (sesuatu yang mereka tahu) , pemilikan (sesuatu yang mereka miliki), dan keturunan (sesuatu yang mereka ada). Sumber-sumber Internet, seperti laman web dan e-mel, boleh diselamatkan menggunakan pengesahan pelbagai faktor.

4.    Token keselamatan.
Sesetengah laman dalam talian menawarkan pelanggan keupayaan untuk menggunakan kod enam angka yang secara rawak berubah setiap 30-60 saat pada tanda keselamatan. Kekunci pada tanda keselamatan telah dibina dalam pengiraan matematik dan memanipulasi nombor berdasarkan masa semasa yang dibina ke dalam peranti. Ini bererti bahawa setiap tiga puluh saat terdapat hanya beberapa nombor tertentu yang mungkin betul untuk mengesahkan akses ke akaun dalam talian.

5.    Keselamatan e-mail.
5.1. PGP (pretty good privacy) -  menyediakan kerahsiaan dengan menyulitkan mesej untuk dihantar atau fail data yang akan disimpan menggunakan algoritma penyulitan seperti Triple DES atau CAST-128. Mesej e-mel boleh dilindungi dengan menggunakan kriptografi dalam pelbagai cara, seperti berikut:
·              Menandatangani mesej e-mel untuk memastikan integriti dan mengesahkan identiti penghantarnya.
·              Menyulitkan badan mesej e-mel untuk memastikan kerahsiaannya.
·              Menyulitkan komunikasi antara pelayan mel untuk melindungi kerahsiaan kedua-dua badan mesej dan mesej mesej
5.2. Multipurpose Internet Mail Extensions (MIME) - MIME mengubah data bukan ASCII di laman penghantar ke data ASCII Rangkaian Maya Terminal (NVT) dan menyampaikannya kepada Simple Mail Transfer Protocol (SMTP) klien yang dihantar melalui Internet. SMTP pelayan di sisi penerima menerima data NVT ASCII dan menyerahkannya kepada MIME untuk diubah semula ke data asal bukan ASCII.
5.3. Message Authentication Code - Kod pengesahan mesej (MAC) adalah kaedah kriptografi yang menggunakan kunci rahsia untuk menyulitkan@mengenkripsi mesej. Kaedah ini menghasilkan nilai MAC yang boleh di-dikripsi@dinyahsulit oleh penerima, menggunakan kunci rahsia yang sama yang digunakan oleh penghantar. Kod Pengesahan Mesej melindungi kedua-dua integriti data mesej serta keasliannya

6.    Firewalls

Firewall mengawal akses antara rangkaian. Ia biasanya terdiri daripada gerbang dan penapis yang berbeza dari satu firewall ke yang lain. Firewall menyaring trafik rangkaian dan menghalang data berbahaya. Firewall berfungsi sebagai pelayan perantaraan antara sambungan SMTP dan Hypertext Transfer Protocol (HTTP).

Trafik masuk atau keluar mesti melalui firewall; hanya trafik yang dibenarkan dibenarkan melaluinya. Firewall mencipta titik pemeriksaan antara rangkaian persendirian dalaman dan Internet awam, yang juga dikenali sebagai titik cekik (dipinjam dari istilah ketenteraan). Firewall membuat titik-cekik berdasarkan sumber IP dan nombor port TCP. Mereka juga boleh berfungsi sebagai platform untuk IPsec Firewall juga boleh menghadkan pendedahan rangkaian dengan menyembunyikan sistem rangkaian dalaman dan maklumat dari Internet awam.











Jenis-jenis Firewall

7.    Pemilihan pelayar web (web browser)
Pelayar web mudah dieksploitasi. Sebagai contoh, Internet Explorer 6, yang dahulunya digunakan oleh sebahagian besar pengguna kerana telah terbina dalam OS windows, dianggap sangat tidak selamat kerana telah dieksploitasi. Namun sekarang statistik menunjukkan penggunaan pelayar web agak serata  (Internet Explorer pada 28.5%, Firefox pada 18.4%, Google Chrome pada 40.8%, dan sebagainya), kelemahan dieksploitasi dalam banyak pelayar yang berbeza.

8.    Produk keselamatan internet.
8.1. Antivirus - Perisian antivirus dan program keselamatan internet boleh melindungi peranti yang boleh diprogramkan daripada serangan dengan mengesan dan menghapuskan virus; Perisian antivirus terutamanya shareware pada tahun-tahun awal Internet, tetapi sekarang beberapa aplikasi keselamatan percuma di Internet untuk dipilih untuk semua platform.
8.2. Pengurus Katalaluan (Password manager) –
Pengurus kata laluan adalah aplikasi perisian yang membantu pengguna menyimpan dan mengatur kata laluan. Pengurus kata laluan biasanya menyimpan kata laluan yang disulitkan, yang memerlukan pengguna membuat kata laluan induk; satu kata kunci yang sangat kuat yang memberi akses pengguna kepada pangkalan data keseluruhan kata laluan.
8.3. Suit Keselamatan (Security suites) - suite keselamatan pertama kali ditawarkan untuk jualan pada tahun 2003 (McAfee) dan mengandungi serangkaian firewall, anti-virus, anti-spyware dan banyak lagi. Mereka juga menawarkan perlindungan kecurian, cek keselamatan peranti penyimpanan mudah alih, penyemakan imbas Internet peribadi, anti-spam awan, pemutus fail atau membuat keputusan berkaitan keselamatan (menjawab windows popup) dan beberapa adalah percuma.

Sumber : https://en.wikipedia.org/wiki/Internet_security



3.4 Password Policy Setting
Dasar kata laluan adalah satu set peraturan yang direka untuk meningkatkan keselamatan komputer dengan menggalakkan pengguna menggunakan kata laluan yang kuat dan menggunakannya dengan betul. Dasar kata laluan sering merupakan sebahagian daripada peraturan rasmi organisasi dan mungkin diajar sebagai sebahagian daripada latihan kesedaran keselamatan. Sama ada dasar kata laluan hanyalah penasihat, atau sistem komputer memaksa pengguna untuk mematuhinya. Sesetengah kerajaan mempunyai kerangka pengesahan nasional yang menentukan keperluan untuk pengesahan pengguna kepada perkhidmatan kerajaan, termasuk keperluan untuk kata laluan. Dasar2 penting itu adalah:
3.4.1.   Panjang character password dan pembentukkannya.
Sesetengah dasar mencadangkan atau mengenakan keperluan mengenai jenis kata laluan yang boleh dipilih, seperti:
      • penggunaan kedua huruf besar dan huruf kecil (kepekaan huruf besar huruf kecil)
      • memasukkan satu atau lebih angka berangka.
      • memasukkan aksara khas, seperti @, #, $
      • larangan kata-kata yang terdapat dalam senarai hitam kata laluan.
      • larangan kata-kata yang terdapat dalam maklumat peribadi pengguna
      • larangan penggunaan nama syarikat atau singkatan
      • Larangan kata laluan yang sepadan dengan format tarikh kalendar, nombor plat lesen, nombor telefon, atau nombor biasa lain.

3.4.2.   Senarai hitam katalaluan.
Senarai hitam kata laluan adalah senarai kata laluan yang sentiasa disekat dari penggunaan. Senarai hitam mengandungi kata laluan yang dibina daripada kombinasi karakter yang selainnya memenuhi dasar syarikat, tetapi tidak boleh digunakan lagi kerana ia dianggap tidak selamat untuk satu atau lebih sebab, seperti mudah diteka, mengikuti corak umum atau katalaluan yang telah didedahkan kepada awam. Contoh: Password1, Qwerty123, atau Qaz123wsx, admin, admin123.

3.4.3.   Jangkamasa penggunaan katalaluan.
Sesetengah dasar memerlukan pengguna menukar kata laluan secara berkala, biasanya setiap 90 atau 180 hari. Walau bagaimanapun, manfaat tamat tempoh kata laluan boleh dibahaskan. Sistem yang melaksanakan dasar tersebut kadang-kadang menghalang pengguna memilih kata laluan terlalu dekat dengan pilihan sebelumnya.

Keburukan dasar ini: Sesetengah pengguna merasa sukar untuk mencipta kata laluan "baik" yang juga mudah diingat, jadi jika orang dikehendaki memilih banyak kata laluan kerana mereka perlu menukarnya dengan kerap, mereka akhirnya menggunakan kata laluan yang lemah dan mudah diteka; dasar ini juga menggalakkan pengguna menulis kata laluan.

Jika dasar itu menghalang pengguna daripada mengulangi kata laluan baru. Maka pengguna yang ingin mengekalkan password lama mereka akan menukar kata laluan berulang kali dalam beberapa minit, dan kemudian menukar kembali kepada yang mereka mahu gunakan, mengelakkan dasar perubahan kata laluan sama sekali. Cth:
Minit 1. password lama: A, password baru: B
Minit 3. Password lama: B, password baru: A

Penggunaan mnemonik tidak digalakkan kerana pengguna sukar mengingati mnemonik digunakan. penggunaan mnemonik (yang membawa kepada kata laluan seperti "2BOrNot2B") menjadikan kata laluan mudah diteka.

Memerlukan kata laluan yang sangat kuat dan tidak memerlukannya diubah adalah lebih baik. Walau bagaimanapun, kelemahan pendekatan ini: jika seseorang yang tidak diberi kuasa memperoleh kata laluan dan menggunakannya tanpa dikesan, orang itu mungkin mempunyai akses untuk tempoh yang tidak ditentukan.

"apa-apa perkara yang boleh diingat boleh ‘dicrack’ adalah disyorkan skema yang menggunakan kata laluan yang tiada dalam mana-mana kamus.

3.4.4.   Panduan katalaluan NIST (National Institute of Standards and Technology) – US.
§  Kata laluan mesti sekurang-kurangnya 8 aksara jika dipilih oleh pelanggan.
§  Sistem pengesah kata laluan harus membenarkan kata laluan yang dipilih pelanggan sekurang-kurangnya 64 aksara panjang.
§  Semua aksara ASCII percetakan serta watak ruang harus diterima dalam kata laluan. Penerimaan aksara Unicode juga dibenarkan.
§  Pengesahan boleh menggantikan beberapa aksara ruang berturut-turut dengan satu aksara ruang tunggal sebelum pengesahan, dengan syarat hasilnya sekurang-kurangnya 8 aksara panjang, tetapi pemotongan kata laluan tidak akan dilakukan.
§  Pengesahan tidak boleh mengenakan peraturan komposisi lain (contohnya, memerlukan campuran jenis karakter yang berlainan atau melarang aksara berturut-turut berulang) untuk kata laluan.
§  Pengesahan tidak harus meminta kata laluan diubah sewenang-wenangnya (mis., Secara berkala). Walau bagaimanapun, pengesah akan memaksa perubahan jika terdapat bukti katalaluan telah dikompromi.
§  Pengesahan tidak membenarkan pelanggan untuk menyimpan "petunjuk" yang boleh diakses oleh pihak menuntut yang tidak disahkan dan pengesah tidak akan memaksa pelanggan untuk menggunakan jenis maklumat tertentu (cth., "Apakah nama haiwan kesayangan yang pertama?") Apabila memilih kata laluan.
§  Apabila memproses permintaan untuk menubuhkan atau menukar kata laluan, pengesah akan membandingkan calon kata laluan terhadap senarai yang mengandungi nilai yang diketahui umum digunakan, dijangka, atau dikompromikan. Senarai ini mungkin termasuk, tetapi tidak terhad kepada:
o   Kata laluan yang diperoleh daripada corpus pelanggaran sebelumnya.
o   Kata-kata kamus
o   Kata laluan yang terdiri daripada watak berulang atau berurutan (cth. 'Aaaaaa', '1234abcd')
o   Perkataan khusus konteks, seperti nama perkhidmatan, nama pengguna dan derivatifnya
§  Jika kata laluan yang dipilih telah ada dalam senarai, pengesah akan memberi nasihat kepada pelanggan bahawa mereka perlu memilih kata laluan yang berbeza, berikan sebab penolakan.
§  Pengesah harus memberi panduan kepada pelanggan, seperti meter kekuatan kata laluan, untuk membantu pengguna memilih kata laluan yang kuat. Ini amat penting berikutan penolakan kata laluan pada senarai di atas kerana ia tidak menggalakkan pengubahsuaian remeh kata laluan tersenarai hitam (dan mungkin sangat lemah).
§  Pengesah mengehadkan jumlah percubaan pengesahan gagal yang boleh dibuat pada akaun pelanggan.
§  Verifier akan menyimpan kata laluan dalam bentuk yang tahan serangan luar talian. Kata laluan hendaklah di ’salted’, dan ‘hashed’.





3.5.    Penetration Test
Pada awal tahun 1971, Angkatan Udara A.S. mengikat syarikat swasta Anderson untuk mengkaji keselamatan sistem perkongsian masa di Pentagon. Dalam kajiannya, Anderson menggariskan beberapa faktor utama yang terlibat dalam penembusan komputer. Anderson menerangkan urutan serangan umum dalam langkah-langkah:

§  Cari kelemahan pada sistem yang boleh dieksploitasi.
§  Rekakan bentuk serangan pada sistem.
§  Uji serangan.
§  Rebut satu garisan yang sedang digunakan.
§  Masukkan serangan.
§  Memanfaatkan proses pemulihan maklumat di sistem yang di serang.

Pada tahun-tahun berikutnya, penembusan komputer sebagai alat penilaian keselamatan menjadi lebih canggih dan sukar dikesan.

3.6.    Network Security Irregularities
Dalam usaha untuk mengesan pelanggaran data dengan lebih cepat, indikator kompromi boleh bertindak sebagai petunjuk yang penting bagi pengawal keselamatan yang memerhatikan persekitaran IT mereka. Aktiviti yang luar biasa pada rangkaian atau petunjuk aneh pada sistem sering dapat membantu organisasi menyekat aktiviti penyerang pada sistem dengan lebih cepat agar mereka dapat mengelakkan pencerobohan terjadi - atau sekurang-kurangnya menghentikannya di peringkat terawal.

Menurut para pakar, terdapat beberapa penunjuk utama kompromi untuk memantau, tanpa urutan tertentu:

1. Trafik Rangkaian Keluar Luar Biasa
Mungkin salah satu tanda kecanggihan terbesar yang ada sesuatu yang salah ialah ketika TI menjumpai corak lalu lintas yang tidak biasa meninggalkan rangkaian.

Salah tanggapan umum adalah bahawa trafik di dalam rangkaian selamat, trafik yang mencurigakan boleh yang masuk ke dalam rangkaian DAN yang keluar.

Memandangkan peluang untuk memastikan penyerang luar masuk rangkaian sukar dalam menghadapi serangan moden, petunjuk keluar mungkin lebih mudah dipantau.

Pendekatan terbaik adalah untuk melihat aktiviti dalam rangkaian dan mencari lalu lintas yang meninggalkan perimeter rangkaian kerana sistem yang telah dicerobohi akan sering mengadakan hubungan ke sumber serangan dan lalu lintas ini mungkin kelihatan sebelum sebarang kerosakan sebenar dilakukan.

2. Anomali di dalam aktitviti Privileged User Account.
Serangan yang dirancang dengan baik adalah untuk penyerang sama ada meningkatkan keistimewaan akaun yang telah mereka cerobohi atau menggunakan akaun tersebut untuk melompat ke akaun lain dengan keistimewaan yang lebih tinggi. Memerhati tingkah laku akaun yang luar biasa dari account privileged bukan sahaja menyelematkan serangan, tetapi juga pengambilalihan akaun.

Memerhati perubahan atau ketidaknormalan pada akaun - seperti masa aktiviti, sistem yang diakses, jenis atau jumlah maklumat yang diakses - akan memberikan petunjuk awal pencerobohan.

3. Ketidaktentuan geografi – perhatikan ketidaknormalan pada ip address, iaitu lokasi dari mana user itu login. Jika bukan dari tempat yang biasa user login maka kemungkin besarnya account user itu sedang dicerobohi.

4.    Log-in RED Flags – tanda-tanda ketidaknormalan pada sesi login, iaitu:
4.1. Bilangan gagal percubaan - login yang banyak bagi satu-satu account – kemungkinannya penceroboh sedang mencuba untuk memecahkan katalaluan.
4.2. Masa login user account yang tidak normal – cth: Ali selalu login pada pukul 8 pagi – 5 petang. Tetapi terdapat Ali login pada 12 malam. Maka pentadbir sistem atau pegawai keselamatan rangkaian dinasihatkan pergi berjumpa dengan Ali atau menelefon Ali untuk memastikan benar-benar Ali yang login pada waktu tersebut. Email dan sebarang komunikasi bukan lisan adalah tidak digalakkan dalam kes seperti ini.


3.7 Network security remedies process

Empat Tiang Keselamatan
·           pengesanan virus,
·           firewall,
·           sistem pengesanan pencerobohan (IDS), dan
·           penilaian kerentanan/kelemahan (vulnerability assessment).

Semua empat memainkan peranan penting.

Kebanyakan organisasi telah menggunakan firewall untuk menghalan trafik rangkaian tanpa kebenaran. Sesetengah organisasi juga telah menggunakan sistem pengesanan pencerobohan. Dan hampir semua organisasi mempunyai penyelesaian anti-virus. Dengan semua teknologi keselamatan ini, bagaimanakah penceroboh terus berjaya menembusi rangkaian dan membuat kerosakan atau pencerobohan?

Jawapannya: dengan mengeksploitasi kelemahan aplikasi yang digunakan oleh organisasi untuk menjalankan perniagaan mereka secara dalam talian.

Oleh itu, penilaian kerentanan/kelemahan telah menjadi sempadan baru untuk keselamatan rangkaian.

Penilaian kerentanan/kelemahan
IDS adalah reaktif, mengesan serangan semasa atau selepas ia berlaku manakala penilaian kelemahan adalah proaktif, menentukan kerentanan/kelemahan terhadap serangan sebelum rangkaian dieksploitasi. Dengan pengesanan terdedah awal, syarikat boleh mengambil tindakan pembetulan sebelum kerosakan/pencerobohan boleh berlaku.

Penilaian kerentanan adalah pendekatan yang beretika untuk mengenalpasti dan memprioritaskan kerentanan, membolehkan organisasi IT tidak menguji rangkaian mereka dari "pandangan penggodam" dan secara automatik:
* Kenal pasti kelemahan dan salah faham konfigurasi rangkaian.
* Mengenalpasti peranti rouge, termasuk titik akses wayarles dan VPN.
* Mengesan dan mengutamakan pendedahan kerentanan/kelemahan.
* Memberi penyelesaian yang sesuai untuk kelemahan yang diketahui.
* Mengesahkan konfigurasi firewall dan IDS.

Penilaian kerentanan secara manual adalah dengan: anti-virus, firewall dan IDS. Penilaian kerentanan mengenalpasti potensi kerentanan sebelum mereka dapat dieksploitasi, dan IPS memberitahu syarikat apabila kegiatan anomali telah terjadi. Kedua-dua pendekatan ini adalah sinergi: penilaian kerentanan membolehkan IT mengenal pasti dan menutup lubang yang jelas supaya sistem pengesanan pencerobohan mempunyai masa yang lebih sedikit untuk membuat penilaian.

Penilaian kerentanan juga berfungsi bersamaan dengan firewall untuk memantau secara berterusan kelemahan yang mungkin secara tidak sengaja diperkenalkan oleh perubahan dasar firewall.

CERT (Computer Readiness Emergency Team) mengesyorkan penilaian kerentanan untuk mengesan sistem penceroboh dan pemantauan titik akses baru yang mudah diceroboh dengan cara:

·         Melancarkan secara berkala alat pengimbasan kelemahan pada semua sistem untuk memeriksa kehadiran kelemahan yang diketahui dan menghapuskan semua kelemahan yang dikenal pasti oleh alat ini.

·         Secara berkala melaksanakan pemetaan dan penilaian rangkaian untuk memahami apa yang penceroboh dapat dari rangkaian apabila menggunakan alat-alat pengawasan tersebut.



3.8 Managerial skill/ Kemahiran pengurusan
Tugas-tugas sebagai seorang network manager adalah menetapkan akses kepada:
·         fail,
·         e-mel,
·         internet dan
·         sistem keselamatan untuk menghalang penggodam masuk ke dalam sistem.
·         mungkin perlu menulis program.

Sebaik sahaja sistem baru sudah siap beroperasi tugas utama anda ialah:
·         Melatih kakitangan.
·         Menyediakan sokongan teknikal
·         Melayan pertanyaan staff.
·         Pantau penggunaan sistem.
·         Sediakan akaun pengguna.
·         Mengurus back-up, data dan juga sistem.

Anda juga memerlukan pelan pemulihan bencana yang jelas untuk meminimumkan gangguan kepada perniagaan jika rangkaian ‘down’.
Bergantung kepada saiz organisasi mungkin terdapat lebih daripada satu jenis rangkaian untuk dikendalikan:
·         Rangkaian Kawasan Tempatan (LAN) menghubungkan terminal komputer dalam satu bangunan.
·         Rangkaian Kawasan Metropolitan (MAN) menghubungkan LAN di seluruh bandar dan kampus.
·         Rangkaian Kawasan Luas (WAN) menghubungkan komputer secara nasional atau antarabangsa.

Anda akan berfungsi sebagai sebahagian daripada pasukan IT dengan pengurus projek, jurutera rangkaian dan kakitangan sokongan. Anda perlu menghadiri mesyuarat untuk membincangkan keperluan IT perniagaan.



Kemahiran yang diperlukan untuk menjadi seorang network manager:
·         Kemahiran komputer
·         Kemahiran dan pengalaman interpersonal dalam menyampaikan
·         Penyelesaian masalah
·         Pengalaman pengurusan projek
·         Kemahiran rundingan
·         Kemahiran kerja pasukan
·         Pemahaman anda terhadap perniagaan yang lebih luas
·         Perancangan kewangan dan pengalaman belanjawan

Posted by at

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)