Mandiri Dalam Bekerja Merdeka Dalam Berkarya

Thursday, 24 March 2016

Desain Jaringan Laboratorium FMIPA UAD







Pada praktikum desain pengelolaan jaringan yang pertama dimalam malam hari karena jadwal laboratorium yang fullll.....disini saya belajar untuk mendesain jaringan pada lab computer FMIPA UAD

Keterangan :

1. Server
2. Swicth 1
3. Switch 2
4. Switch 3
5. Switch 4
6. Computer laboran
7. Komputer client lab.
8. Computer pengajar
Perangkat perangkat yang digunakan

1. Menggunakan 1 buah Sever
2. Menggunakan 4 Switch
3. Menggunakan 34 Computer ( 32 komputer lab dan 2 komputer laboran)
4. Menggunaka 1 unit computer untuk pengajar
5.  Menggunakan konektor RJ-45
6.  Menggunakan kabel utp untuk menyambungkan computer 1 dengan computer lain
7.  Menggunkan kabel cross untuk menghubungkan switch ke switch dan kabel straight untuk menghubungkan computer ke switch
8.       Menggunakan topologi FMIPA ini menggunakan topologi BUS


Alur jaringan

Pertama jaringan internet dari luar diterima oleh switch 1 dan diteruskan ke server, kemudian server meneruskan ke switch 1 yang akan disebarkan ke lab computer melalui Switch 2 yang akan menuju ke swich 4 yang akan di sebarkan ke 2 komputer laboran dan 4 komputer lab. Di barisan kiri paling belakang. Swich 1 memberikan jaringan ke swich 3 yang akan diteruskan ke 12 komputer lab bagian kanan. Swich 1 memberikan jaringan ke swich 3 dan meneruskan ke 20 komputer lab ( client).

Tuesday, 22 March 2016

Cara kerja email, perbedaan smtp dan pop3

Cara Kerja email
Sebenarnya cara kerjanya hampir sama dengan sms. Bedanya untuk sms, kita harus punya no. hp dan pulsa. Sedangkan untuk email, yang kita butuhkan adalah alamat email. Kita harus mendaftarkan alamat email kita dulu. Setelah mempunyai alamat email, kita sudah bisa mengirim maupun menerima email.

Ada 2 mekanisme yang digunakan dalam mengirim dan membaca email; yaitu menggunakan:
§  Email client
Email client adalah perangkat lunak (software) yang bekerja dengan mengunduh dari server semuaemail yang masuk ke alamat kita dan menyimpannya dalam harddisk sehingga kita bisa melihatnya walaupun dalam keadaan tidak terkoneksi internet. Beberapa email client yang terkenal adalahEudora, Mozilla Thunderbird, Microsoft Outlook, Evolution, dll.
§  Webmail
Pada dasarnya, webmail mirip dengan email client, hanya saja ini merupakan aplikasi web yang hanya dapat diakses dengan adanya koneksi internet. Webmail tidak mengunduh email kita ke harddisk sehingga kita tidak dapat membacanya jika tidak ada koneksi internet. Beberapa contoh webmail yang terkenal adalah Yahoo! Mail dan Gmail.

Namun seperti no. hp, bila kita salah mengetikkan alamat tujuan email kita, email kita tidak akan sampai pada orang yang diinginkan. Jadi, telitilah dalam mengetikkan alamat email yang akan dituju. Jangan sampai salah kirim.

 Perbedaan smtp dan POP3
POP3
POP3 adalah kepanjangan dari Post Office Protocol version 3, yakni protokol yang digunakan untuk mengambil email dari email server. Protokol POP3 dibuat karena desain dari sistem email yang mengharuskan adanya email server yang menampung email untuk sementara sampai email tersebut diambil oleh penerima yang berhak.
Kehadiran email server ini disebabkan kenyataan hanya sebagian kecil dari komputer penerima email yang terus-menerus melakukan koneksi ke jaringan internet.
SMTP
SMTP adalah kepanjangan dari Simple Mail Transfer Protocol yang merupakan salah satu protokol yang umum digunakan untuk pengiriman email.
Protokol ini dipergunakan untuk mengirimkan data dari komputer pengirim email ke server email penerima. Protokol ini timbul karena desain sistem email yang mengharuskan adanya email server yang menampung sementara sampai surat elektronik diambil oleh penerima yang berhak. 

Jadi perbedaan POP3 dan SMTP pada dasarnya bisa diartikan sebagai berikut :
Pop 3 itu setting yang  digunakan untuk menerima email dari pihak ketiga misal aplikasi microsoft outlok, push Blackberry, Seven. Dengan settingan POP3 ini kita dapat membuka email kita melalui aplikasi pihak ketiga tanpa membuka akun di penyedia alamat email, contoh: Ymail,gmail,hotmail.
Sedangkan SMTP ialah settingan agar aplikasi pihak ketiga dapat mengirim email melalui akun kita tanpa kita membuka akun di email kita secara langsung, 
Misalnya: saat kita setting Smtp di REFOG (Cara Setting Refog Keylogger),
Aplikasi REFOG ini akan Mengirimkan Email dengan alamat email yg kita masukan di aplikasi ini.
POP3 = In

SMTO – Out

Usaha-usaha untuk mengamankan email :
·           Usaha usaha untuk mengamankan email
Untuk mengamankan Email, ada beberapa hal yang perlu diperhatikan, contohnya settingan verifikasi email dan forwarding email.
a.       Setting update informasi Recovery dan Alerts Email
Anda perlu mengupdate informasi ini agar anda mendapat pemberitahuan setiap kali terjadi perubahan data di akun mail anda, dan juga untuk membantu recovery/pengembalian password jika password anda dirubah oleh si hacker.
Hindarkan metode recovery dengan menggunakan EMAIL, gunakan hanya Recovery by SMS/Telpon
Jika memang harus menggunakan recovery dengan email, pastikan setiap email anda berbeda passwordnya

b.       Cek Forwarding Email anda
Sering sekali email yang telah dihack walaupun sudah merubah password namun tetap terhack kembali. Hal ini bisa dikarenakan settingan forwarding email yang telah sempat diubah oleh si pencuri email. Artinya setiap email masuk ke email korban akan otomatis terkirim ke email si hacker, tanpa disadari oleh si korban.

Untuk metode pengamanan standard lainnya pada akun email antara lain:
a.       Hindari mencentang “stay signed in”. Terutama di komputer yang digunakan banyak orang. Kalau anda memberi centang, maka username dan password anda akan disimpan pada cookies di komputer. Bahayanya, spyware bisa ikutan membaca informasi yang disimpan ini.
b.      Ubah password anda secara berkala. Buat kombinasi password yang tidak mudah ditebak orang. Gunakan simbol seperti ! ” ? $ ? % ^ & * ( ) _ – + = { [ } ] : ; @ ‘ ~ # | \ < , > . ? / dalam password.
c.       Log out jangan lupa. Setelah selesai menggunakan email, jangan lupa lakukan log out. Sekalipun anda menggunakan komputer pribadi, lebih baik jika anda biasakan memencet tombol log out setiap selesai menggunakan gmail. Buat jaga-jaga.
d.      Bersihkan juga data di browser. Untuk pengamanan ekstra, bersihkan juga cache, cookies, dan history pada browser anda sehabis menggunakan gmail. Biar lebih aman.
·         PGP
PGP adalah suatu metode penyandian informasi yang bersifat rahasia sehingga jangan sampai diketahui oleh orang yang tidak berhak. Informasi ini bisa berupa e-mail yang sifatnya rahasia, nomor kode kartu kredit, atau pengiriman dokumen rahasia perusahaan melalui internet. PGP menggunakan metode kriptografi yang disebut “public key encryption”; yaitu suatu metode kriptografi yang sangat sophisticate.
Cara kerja:
1. PGP menggunakan teknik yang disebut public key encryption dengan dua kode. Kode-kode ini berhubungan secara intrinstik, namun tidak mungkin untuk memecahkan satu sama lain.
2.  Ketika dibuat satu kunci, maka secara otomatis akan dihasilkan sepanjang kunci,yaitu kunci publik dan kunci rahasia.
3. PGP menggunakan dua kunci, Pertama, kunci untuk proses enkripsi (kunci publik). Disebut kunci publik karena kunci yang digunakan untuk enkripsi ini akan diberitahukan kepada umum. Orang yang akan mengirimkan e-mail rahasia kepada kita harus mengetahui kunci publik ini. Kedua, kunci untuk proses deskripsi (kunci pribadi). Disebut kunci pribadi karena kunci ini hanya diketahui oleh kita sendiri.
Metode 
- Hash atau disebut juga algoritma yang menghasilkan output yang bersifat unik dari sebuah input tertentu, misalnya pesan.
- Ketika seseorang ingin membuktikan bahwa pesan itu belum diubah, mereka akan mengoperasikan algoritma hash pada pesan dan membandingkannya dalam hash pada akhir pesan. Jika tanda tangan sesuai berarti pesan belum diubah.

Referensi :



komponen keamanan sistem informasi



Privacy : adalah sesuatu yang bersifat rahasia(provate). Intinya adalah pencegahan agar informasi tersebut tidak diakses oleh orang yang tidak berhak. Contohnya adalah email atau file-file lain yang tidak boleh dibaca orang lain meskipun oleh administrator.
Autentication : ini akan dilakukan sewaktu user login dengan menggunakan nama user dan passwordnya, apakah cocok atau tidak, jika cocok diterima dan tidak akan ditolak. Ini biasanya berhubungan dengan hak akses seseorang, apakah dia pengakses yang sah atau tidak.
Availability :aspek ini berkaitan dengan apakah sebuah data tersedia saat dibutuhkan/diperlukan. Apabila sebuah data atau informasi terlalu ketat pengamanannya akan menyulitkan dalam akses data tersebut.
Hal yang perlu di perhatikan
·         Security Attack 
ð  Segala bentuk pola, cara, metode yang dapat menimbulkan gangguan terhadap suatu system computer / jaringan.

Bentuk – bentuk dasar security attack :
1.Interuption (interupsi)
Suatu aset system dihancurkan, sehingga tidak lagi tersedia / tidak dapat digunakan.
Contoh : Perusakan suatu item hardware, pemutusan jalur komunikasi, disable suatu system manajemen file.
2. Interception (pengalihan)
Pengaksesan aset informasi oleh orang yang tidak berhak (misalkan seseorang, program atau komputer)
Contoh : pencurian data pengguna kartu kredit
3. Modification (pengubahan)
Pengaksesan data oleh orang yang tidak berhak, kemudian ditambah dikurangi atau diubah setelah itu baru dikirimkan pada jalur komunikasi.

4.Fabrication (produksi - pemalsuan)
Seorang user tidak berhak mengambil data, kemudian menambahkannya dengan tujuan untuk dipalsukan.

·       Mechanisme attack
ð  Kami mengatasi kesulitan dalam berbagai cara. Beberapa lebih positif daripada yang lain. Mungkin yang paling buruk adalah di mana kita dapat menyerang orang lain. Diperdebatkan,semua serangan pada orang lain adalah bentuk mengatasi masalah internal kami sendiri.

·       Security sistem


Sistem komputer yang dirancang untuk atau yang didedikasikan untuk melakukan transaksi online ( electronic commerce ) melalui jaringan , termasuk internet .



Cara penjegahan social engineering attack
·    Organisasi atau perusahaan mengeluarkan sebuah buku saku berisi panduan mengamankan informasi yang mudah dimengerti dan diterapkan oleh pegawainya,untuk mengurangi insiden-insiden yang tidak diinginkan.

·    Buatlah seperangkat peraturan tertulis untuk diikuti oleh para personal Anda yang bertujuan untuk menghalau, mencegah, dan mengurangi serangan social engineering ini. Revisilah selalu peraturan tertulis Anda ini secara berkala agar tidak ketinggalan jaman atau dapat menutup celah-celah baru yang sebelumnya memang tidak ada. Dan jangan lupa untuk selalu mendidik para staf di belakangnya karena staf yang terdidik dengan baik merupakan pertahanan yang kuat bagi serangan ini.

·    Gunakanlah password yang berisikan kata-kata yang tidak biasa diucapkan atau tidak ada relevansinya dengan kehidupan Anda. Misalnya jangan menggunakan tanggal lahir, nama kecil Anda, nama binatang peliharaan Anda, nama anggota keluarga, dan banyak lagi, karena hal ini bisa jadi sangat mudah dapat ditebak oleh penyerang.
·    Hindarilah penggunaan pertanyaan untuk petunjuk password karena ini juga dapat digunakan para hacker sebagai petunjuk untuk melakukan crack terhadap password Anda. Mereka memiliki berbagai macam cara untuk memecahkan misteri password Anda tersebut dengan sedikit penelitian.


Paket sniffing dan cara pencegahanya

Tool yang mendukung sniffing :

•  wireshark
•  cascade pilot
•  TCPdump
•   DHLS attack
•   Password sniffing
•   Spoofing attack

Cara pencegahan
tidak melakukan aktifitas yang sifatnya rahasia (misal, email, e-banking, chatting rahasia dan lain-lain) pada suatu jaringan komputer yang belum Anda kenal, misanya warnet atau kantor yang memilii komputer yang sangat banyak yang dihubungkan dalam suatu jaringan. Anda harus mengenal orang-orang yang memegang komputer dalam jaringan tersebut. Kenalilah dengan baik apakah mereka pengguna komputer biasa atau pengguna komputer yang memiliki pengetahuan hacking. Gampangnya bila Anda berada pada suatu jaringan komputer yang belum dikenal, jadilah orang yang paranoid atau sangat berhati-hati dalam beraktifitas di dunia internet.



Jenis-jenis daniel of attack dan berikan contohnya

Smurf Attack!
Jenis DoS yang di berikan namanya setelah program pelaku nya sendiri muncul. Tentu kebanyakan dari kita tahu apa itu Smurf, tokoh kartun yang memiliki karakteristik kecil, dengan warna badan kebiruan, dan senangnya berkelompok dalam mengerjakan banyak hal. Demikian pula jenis DoS ini diberi nama seperti itu.

ICMP echo (Ping) yang dalam bahasa Indonesia nya adalah “gema” bekerja seperti layaknya gema yang sesungguhnya. Disaat kita mengatakan A, maka suara akan memantul dari segala penjuru dan kembali kepada kita mengatakan lagi A. Pada dasarnya Smurf attack menggunakan layanan ini sebagai media perantara sekaligus senjatanya. Smurf akan melakukan serangan dengan mengirimkan ICMP echo yang sangat banyak dengan menggunakan kepada Broadcast IP dengan menggunakan IP Address palsu yang juga banyak. Yang mana Ping tersebut harus dibalas kepada setiap IP pengirim, namun dikarenakan IP Address tersebut palsu, dan sudah tidak ada lagi disaat Ping akan di reply, maka request reply tersebut menjadi sedikit delay (Anggaplah pada saat ini komputer berpikir “Kemana sih yang tadi kirimin saya surat!?” serta mencari nya untuk sesaat) dan kemudian menumpuk, menjadikan “beban” kepada system.

Buffer Overflow!
Pada kasus ini, seorang penyerang melakukan pemanfaatan daripada keterabatasan sebuah aplikasi dalam menerima ukuran dari sebuah data. Dengan melakukan pengiriman packet atau data dengan ukuran yang sangat besar, kerapkali bisa membuat sebuah aplikasi mengalami “Crash”.

Mudah nya saja! Pada MSN Messenger Client 7.0! Apabila anda mengirimkan emoticon karya pribadi (Yang tidak disediakan pada folder MSN Messenger dari awal) hingga mencapai titik maksimum jumlah pengiriman dalam tiap message. Dan dilakukan beberapa kali. Sang penerima akan kemudian mengalami lag, dan hang pada MSN Messengernya. Komputer tua, dengan koneksi internet yang lambat seperti pada kebanyakan pengguna MSN di Indonesia, malahan akan mengalami “Wajib Restart” komputer mereka.

Ping of Death Attack!
Simple! Mengirimkan paket ICMP Echo yang melebihi kemampuan terima IP protocol yakni sebesar 65.536 bytes. Yang tentunya tidak akan bekerja pada IPv6.

SYN Flood!
Pada kasus ini, terjadilah pengiriman permintaan “buka” koneksi TCP pada FTP, Website, maupun banyak layanan lainnya. Namun SYN Packet nya itu sendiri telah di modifikasi oleh si penyerang, yang dimana SYN-ACK (Atau reply dari pada SYN Packet) dari sang server akan tertuju kepada komputer atau mesin yang tidak akan pernah membalas.



Referensi
ttps://ghesumar.wordpress.com/2011/01/02/tahapan-hacking/


https://kelompok9eptik.wordpress.com/jenis-jenis-dos-attack/

Saturday, 4 July 2015

Sekuritas Komputer “Social engineering”



1. Pengertian social engineering dan 3 contoh terbaru

Social Engineering adalah sebuah teknik pendekatan yang memanfaatkan aspek-aspek sosial di dunia komputer dan internet. Teknik ini biasanya digunakan untuk mendapatkan data-data pribadi seseorang untuk keperluan yang negatif seperti pencurian rekening bank, pencurian password, pencurian akun-akun tertentu atau kejahatan teknologi yang berpotensi lainnya. Semua hal ini dilakukan oleh para hacker dan sejenisnya. Para hacker memanfaatkan kelemahan suatu sistem yaitu manusia, karena tidak ada sitem di dunia ini yang tidak melibatkan interaksi manusia. Secanggih apapun teknologi internet tetap membutuhkan manusia, kelemahan ini bersifat universal, tidak tergantung platform, sistem informasi, protokol, software ataupun hardware. Intinya, semua sistem memiliki kekurangan yang sama pada satu titik yaitu pada faktor sosial manusia.

Contoh dari social engineering:
a) Hacker berpura-pura sedang melakukan perbaikan sistem akun perbankan dan mengirimkan informasi itu kepada para nasabah bank. Hacker kemudian memerintahkan memasukkan data-data pribadinya untuk keperluan tersebut. Hacker tentu saja berusaha untuk membuat percaya nasabah bahwa informasi itu benar-benar dari kantor induk bank dengan melampirkan nama dan alamat nasabah sehingga nasabah tertipu. Hackerpun kemudian bisa dengan mudah mendapatkan password atau semacamnya karena nasabahlah yang menuliskannya sendiri.
b) IT Support - Seseorang yang mengaku dari IT support perusahaan menelpon seorang user dan menjelaskan bahwa ia sedang mencari kerusakan jaringan. Dia telah berhasil mengatasi bahwa kerusakan itu terjadi pada departemen tempat user itu berada tetapi ia memerlukan user ID dan password dari departemen itu untuk menyelesaikan masalah. Terkecuali user ini terdidik dalam bidang security, ia tampaknya akan memberikan informasi kepada sang "trouble shooter
c) Rekan pegawai – Seorang pria berpakaian rapi dengan ekspresi panik di wajahnya masuk ke ruangan yang penuh dengan pekerja. Dia mengaku baru saja bekerja di perusahaan tersebut namun ia melupakan password ke database keuangan. Ia lalu bertanya apakah ada yang bisa mengingatkannya. Kemungkinan, setidaknya satu orang akan memberitahunya.


2. Teknik-teknik social engineering

a) Pretexting : Pretexting adalah suatu teknik untuk membuat dan menggunakan skenario yang diciptakan (sebuah dalih) yang melibatkan korban yang ditargetkan dengan cara meningkatkan kemungkinan korban membocorkan informasinya. Pretexting bisa disebut sebagai kebohongan yang terencana dimana telah diadakan riset data sebelumnya untuk mendapatkan data-data akurat yang dapat meyakinkan target bahwa kita adalah pihak yang terautorifikasi.
b) Diversion Theft : Diversion Theft atau yang sering dikenal dengan Corner Game adalah pengalihan yang dilakukan oleh professional yang biasanya dilakukan pada bidan transportasi atau kurir. Dengan meyakinkan kurir bahwa kita adalah pihak legal, kita dapat mengubah tujuan pengiriman suatu barang ke tempat kita.
c) Phising : Phising adalah suatu teknik penipuan untuk mendapatkan informasi privat. Biasanya teknik phising dilakukan melalui email dengan mengirimkan kode verifikasi bank atau kartu kredit tertentu dan disertai dengan website palsu yang dibuat sedemikian rupa terlihat legal agar target dapat memasukkan account-nya. Teknik phising bisa dilakukan melalui berbagai macam media lain seperti telepon, sms, dsb.
d) Baiting : Baiting adalah Trojan horse yang diberikan melalui media elektronik pada target yang mengandalkan rasa ingin tahu target. Serangan ini dilakukan dengan menginjeksi malware ke dalam flash disk, atau storage lainnya dan meninggalkannya di tempat umum, seperti toilet umum, telepon umum, dll dengan harapan target akan mengambilnya dan menggunakannya pada komputernya.
e) Quid pro pro : Quid pro pro adalah sesuatu untuk sesuatu. Penyerang akan menelpon secara acak kepada suatu perusahaan dan mengaku berasal dari technical support dan berharap user menelpon balik untuk meminta bantuan. Kemudian, penyerang akan “membantu” menyelesaikan masalah mereka dan secara diam-diam telah memasukkan malware ke dalam komputer target.
d) Dumpster diving : Dumpster diving adalah pengkoleksian data dari sampah perusahaan. Bagi perusahaan yang tidak mengetahui betapa berharganya sampah mereka akan menjadi target para hacker. Dari sampah yang dikumpulkan seperti buku telepon, buku manual, dan sebagainya akan memberikan hacker akses besar pada perusahaan tersebut.
e) Persuasion : Persuasion lebih dapat disebut sebagai teknik psikologis, yaitu memanfaatkan psikologis target untuk dapat memperoleh informasi rahasia suatu perusahaan. Metode dasar dari persuasi ini adalah peniruan, menjilat, kenyamanan, dan berpura-pura sebagai teman lama.

3. Usaha-usaha agar terhindar dari social engineering
a) Selalu hati-hati dan mawas diri dalam melakukan interaksi di dunia nyata maupun di dunia maya. Tidak ada salahnya perilaku "ekstra hati-hati" diterapkan disini mengingat informasi merupakan aset sangat berharga yang dimiliki oleh organisasi atau perusahaan.

b) Organisasi atau perusahaan mengeluarkan sebuah buku saku berisi panduan mengamankan informasi yang mudah dimengerti dan diterapkan oleh pegawainya, untuk mengurangi insiden-insiden yang tidak diinginkan.

c) Belajar dari buku, seminar, televisi, internet, maupun pengalaman orang lain agar terhindar dari berbagai penipuan dengan menggunakan modus social engineering.

d) Pelatihan dan sosialisai dari perusahaan ke karyawan dan unit-unit terkait mengenai pentingnya mengelola keamanan informasi melalui berbagai macam dan kiat.

e) Memasukan unsur- unsur keamanan informasidalam standar prosedur operasional sehari-hari, misalnya "clear table and monitor policy" untuk memastikan semua pegawai melaksakannya.

Selain usaha yang dilakukan individu tersebut, perusahaan atau organisasi yang bersangkutan perlu pula melakukan sejumlah usaha, seperti:
a) Melakukan analisa kerawanan sistem keamanan informasi yang ada di perusahaan ( vulnerability analysis).

b) Mencoba melakukan uji coba ketangguhan keamanan dengan cara melakukan "penetration test".

c) Mengembangkan kebijakan, peraturan, prosedur, proses, mekanisme, dan standar yang harus dipatuhi seluruh pemangku kepentingan dalam wilayah organisasi.

d) Menjalin kerjasama dengan pihak ketiga seperti vendor, ahli keamanan informasi, institusi penanganan insiden, dan lain sebagainya untuk menyelenggarakan berbagai program dan akifitas bersama yang mempromosikan perduli pada keamanan informasi.

e) Membuat standar klasifikasiaset informasi berdasarkan tingkat kerahasiaan dan nilainya.

f) Melakukan audit secara berkala dan berkesinambungan terhadap insfraktutur dan suprastruktur perusahaan dalam menjalankan keamanan informasi dan lain lain.