3.7 TCP and UDP Vulnerabilities
- TCP Segment Header
Sementara beberapa serangan menargetkan IP, topik ini membahas serangan yang menargetkan TCP dan UDP.
Informasi segmen TCP muncul segera setelah header IP. Bidang segmen TCP dan bendera untuk bidang Control Bits ditampilkan pada gambar.
URG - Bidang penunjuk mendesak signifikanACK - Bidang pengakuan signifikan PSH - Fungsi pushRST - Setel ulang koneksiSYN - Menyingkronkan nomor urutFIN - Tidak ada lagi data pengirim
- TCP Services
TCP menyediakan layanan ini:
- Pengiriman yang andal - TCP menggabungkan pengakuan untuk menjamin pengiriman, alih-alih mengandalkan protokol lapisan atas untuk mendeteksi dan menyelesaikan kesalahan. Jika pengakuan tepat waktu tidak diterima, pengirim mengirimkan ulang data. Membutuhkan pengakuan data yang diterima dapat menyebabkan penundaan yang substansial. Contoh protokol lapisan aplikasi yang memanfaatkan keandalan TCP termasuk HTTP, SSL / TLS, FTP, transfer zona DNS, dan lain-lain.
- Kontrol aliran - TCP mengimplementasikan kontrol aliran untuk mengatasi masalah ini. Daripada mengakui satu segmen pada satu waktu, beberapa segmen dapat diakui dengan satu segmen pengakuan.
- Komunikasi stateful - Komunikasi stateful TCP antara dua pihak terjadi selama jabat tangan tiga arah TCP. Sebelum data dapat ditransfer menggunakan TCP, jabat tangan tiga arah membuka koneksi TCP, seperti yang ditunjukkan pada gambar. Jika kedua belah pihak menyetujui koneksi TCP, data dapat dikirim dan diterima oleh kedua belah pihak menggunakan TCP.
- TCP Attack
Serangan banjir TCP SYN
Serangan TCP SYN Flood mengeksploitasi jabat tangan tiga arah TCP. Gambar tersebut menunjukkan aktor ancaman yang terus-menerus mengirim paket permintaan sesi TCP SYN dengan alamat IP sumber yang dipalsukan secara acak ke target. Perangkat target membalas dengan paket TCP SYN-ACK ke alamat IP palsu dan menunggu paket TCP ACK. Tanggapan itu tidak pernah sampai. Akhirnya host target kewalahan dengan koneksi TCP setengah terbuka, dan layanan TCP ditolak untuk pengguna yang sah.
Serangan Setel Ulang TCP
Serangan reset TCP dapat digunakan untuk mengakhiri komunikasi TCP antara dua host. TCP dapat mengakhiri koneksi dengan cara yang beradab (yaitu, normal) dan tidak beradab (yaitu, tiba-tiba).
Gambar tersebut menampilkan cara beradab ketika TCP menggunakan pertukaran empat arah yang terdiri dari sepasang segmen FIN dan ACK dari setiap titik akhir TCP untuk menutup koneksi TCP.
Cara yang tidak beradab adalah ketika host menerima segmen TCP dengan set bit RST. Ini adalah cara mendadak untuk merobohkan koneksi TCP dan menginformasikan host penerima untuk segera berhenti menggunakan koneksi TCP.
Aktor ancaman dapat melakukan serangan reset TCP dan mengirim paket palsu yang berisi TCP RST ke satu atau kedua titik akhir.Pembajakan Sesi TCP
Pembajakan sesi TCP adalah kerentanan TCP lainnya. Meskipun sulit dilakukan, aktor ancaman mengambil alih host yang sudah diautentikasi saat berkomunikasi dengan target. Aktor ancaman harus menipu alamat IP dari satu host, memprediksi nomor urut berikutnya, dan mengirim ACK ke host lainnya. Jika berhasil, aktor ancaman dapat mengirim, tetapi tidak menerima, data dari perangkat target.
- UDP Segment Header and Operation
UDP adalah protokol lapisan transport connectionless. Ini memiliki overhead yang jauh lebih rendah daripada TCP karena tidak berorientasi koneksi dan tidak menawarkan mekanisme transmisi ulang, pengurutan, dan kontrol aliran canggih yang memberikan keandalan. Struktur segmen UDP, yang ditunjukkan pada gambar, jauh lebih kecil daripada struktur segmen TC-- UDP Attacks
Serangan Banjir UDP
Dalam serangan banjir UDP, semua sumber daya di jaringan dikonsumsi. Aktor ancaman harus menggunakan alat seperti UDP Unicorn atau Low Orbit Ion Cannon. Alat-alat ini mengirim banjir paket UDP, seringkali dari host palsu, ke server di subnet. Program ini akan menyapu semua port yang dikenal mencoba menemukan port tertutup. Ini akan menyebabkan server membalas dengan pesan port ICMP yang tidak terjangkau. Karena ada banyak port tertutup di server, ini menciptakan banyak lalu lintas di segmen, yang menggunakan sebagian besar bandwidth. Hasilnya sangat mirip dengan serangan DoS.
Sementara beberapa serangan menargetkan IP, topik ini membahas serangan yang menargetkan TCP dan UDP.
Informasi segmen TCP muncul segera setelah header IP. Bidang segmen TCP dan bendera untuk bidang Control Bits ditampilkan pada gambar.
TCP menyediakan layanan ini:
- Pengiriman yang andal - TCP menggabungkan pengakuan untuk menjamin pengiriman, alih-alih mengandalkan protokol lapisan atas untuk mendeteksi dan menyelesaikan kesalahan. Jika pengakuan tepat waktu tidak diterima, pengirim mengirimkan ulang data. Membutuhkan pengakuan data yang diterima dapat menyebabkan penundaan yang substansial. Contoh protokol lapisan aplikasi yang memanfaatkan keandalan TCP termasuk HTTP, SSL / TLS, FTP, transfer zona DNS, dan lain-lain.
- Kontrol aliran - TCP mengimplementasikan kontrol aliran untuk mengatasi masalah ini. Daripada mengakui satu segmen pada satu waktu, beberapa segmen dapat diakui dengan satu segmen pengakuan.
- Komunikasi stateful - Komunikasi stateful TCP antara dua pihak terjadi selama jabat tangan tiga arah TCP. Sebelum data dapat ditransfer menggunakan TCP, jabat tangan tiga arah membuka koneksi TCP, seperti yang ditunjukkan pada gambar. Jika kedua belah pihak menyetujui koneksi TCP, data dapat dikirim dan diterima oleh kedua belah pihak menggunakan TCP.
Serangan banjir TCP SYN
Serangan TCP SYN Flood mengeksploitasi jabat tangan tiga arah TCP. Gambar tersebut menunjukkan aktor ancaman yang terus-menerus mengirim paket permintaan sesi TCP SYN dengan alamat IP sumber yang dipalsukan secara acak ke target. Perangkat target membalas dengan paket TCP SYN-ACK ke alamat IP palsu dan menunggu paket TCP ACK. Tanggapan itu tidak pernah sampai. Akhirnya host target kewalahan dengan koneksi TCP setengah terbuka, dan layanan TCP ditolak untuk pengguna yang sah.
Serangan Setel Ulang TCP
Gambar tersebut menampilkan cara beradab ketika TCP menggunakan pertukaran empat arah yang terdiri dari sepasang segmen FIN dan ACK dari setiap titik akhir TCP untuk menutup koneksi TCP.
Cara yang tidak beradab adalah ketika host menerima segmen TCP dengan set bit RST. Ini adalah cara mendadak untuk merobohkan koneksi TCP dan menginformasikan host penerima untuk segera berhenti menggunakan koneksi TCP.
Aktor ancaman dapat melakukan serangan reset TCP dan mengirim paket palsu yang berisi TCP RST ke satu atau kedua titik akhir.
Pembajakan Sesi TCP
Pembajakan sesi TCP adalah kerentanan TCP lainnya. Meskipun sulit dilakukan, aktor ancaman mengambil alih host yang sudah diautentikasi saat berkomunikasi dengan target. Aktor ancaman harus menipu alamat IP dari satu host, memprediksi nomor urut berikutnya, dan mengirim ACK ke host lainnya. Jika berhasil, aktor ancaman dapat mengirim, tetapi tidak menerima, data dari perangkat target.
Serangan Banjir UDP
Dalam serangan banjir UDP, semua sumber daya di jaringan dikonsumsi. Aktor ancaman harus menggunakan alat seperti UDP Unicorn atau Low Orbit Ion Cannon. Alat-alat ini mengirim banjir paket UDP, seringkali dari host palsu, ke server di subnet. Program ini akan menyapu semua port yang dikenal mencoba menemukan port tertutup. Ini akan menyebabkan server membalas dengan pesan port ICMP yang tidak terjangkau. Karena ada banyak port tertutup di server, ini menciptakan banyak lalu lintas di segmen, yang menggunakan sebagian besar bandwidth. Hasilnya sangat mirip dengan serangan DoS.
3.8 IP Services
- ARP Vulnerabilities
Setiap klien dapat mengirim ARP Reply yang tidak diminta yang disebut "ARP serampangan." Ini sering dilakukan ketika perangkat pertama kali melakukan booting untuk memberi tahu semua perangkat lain di jaringan lokal tentang alamat MAC perangkat baru. Ketika host mengirim ARP serampangan, host lain di subnet menyimpan alamat MAC dan alamat IP yang terkandung dalam ARP serampangan dalam tabel ARP mereka.
Fitur ARP ini juga berarti bahwa setiap host dapat mengklaim sebagai pemilik IP atau MAC apa pun. Aktor ancaman dapat meracuni cache ARP perangkat di jaringan lokal, menciptakan serangan MITM untuk mengalihkan lalu lintas. Tujuannya adalah untuk menargetkan host korban, dan mengubahnya gateway default ke perangkat aktor ancaman. Ini menempatkan aktor ancaman di antara korban dan semua sistem lain di luar subnet lokal.
- ARP Cache Poisoning
- Permintaan ARP
- DNS Attacks
Serangan DNS meliputi:
- Serangan penyelesai terbuka DNS
- Serangan siluman DNS
- Serangan bayangan domain DNS
- Serangan tunneling DNS
Serangan DNS Open Resolver
Banyak organisasi menggunakan layanan server DNS yang terbuka secara publik seperti GoogleDNS (8.8.8.8) untuk memberikan respons terhadap kueri. Jenis server DNS ini disebut open resolver. DNS open resolver menjawab pertanyaan dari klien di luar domain administratifnya
Kerentanan DNS Resolver Deskripsi Serangan keracunan cache DNS Pelaku ancaman mengirim informasi sumber daya rekaman (RR) palsu dan palsu ke penyelesai DNS untuk mengalihkan pengguna dari situs yang sah ke situs berbahaya. Serangan keracunan cache DNS semuanya dapat digunakan untuk menginformasikan DNS resolver untuk menggunakan server nama berbahaya yang menyediakan informasi RR untuk aktivitas berbahaya. Amplifikasi DNS dan serangan refleksi Pelaku ancaman menggunakan serangan DoS atau DDoS pada DNS open resolver untuk meningkatkan volume serangan dan menyembunyikan sumber serangan yang sebenarnya. Pelaku ancaman mengirim pesan DNS ke resolver terbuka menggunakan alamat IP host target. Serangan ini dimungkinkan karena resolver terbuka akan menanggapi pertanyaan dari siapa pun yang mengajukan pertanyaan. Serangan pemanfaatan sumber daya DNS Serangan DoS yang menghabiskan sumber daya DNS open resolver. Serangan DoS ini mengkonsumsi semua sumber daya yang tersedia untuk secara negatif mempengaruhi operasi DNS open resolver. Dampak dari serangan DoS ini mungkin memerlukan DNS open resolver untuk di-boot ulang atau layanan dihentikan dan dimulai ulang. Serangan Stealth DNS
Untuk menyembunyikan identitas mereka, pelaku ancaman juga menggunakan teknik siluman DNS yang dijelaskan dalam tabel untuk melakukan serangan mereka.
Teknik DNS Stealth Deskripsi Fluks Cepat Pelaku ancaman menggunakan teknik ini untuk menyembunyikan situs pengiriman phishing dan malware mereka di balik jaringan host DNS yang disusupi yang berubah dengan cepat. Alamat IP DNS terus berubah dalam beberapa menit. Botnet sering menggunakan teknik Fast Flux untuk secara efektif menyembunyikan server berbahaya agar tidak terdeteksi. Fluks IP Ganda Aktor ancaman menggunakan teknik ini untuk dengan cepat mengubah nama host menjadi pemetaan alamat IP dan juga mengubah server nama otoritatif. Ini meningkatkan kesulitan mengidentifikasi sumber serangan. Algoritma Pembuatan Domain Pelaku ancaman menggunakan teknik ini dalam malware untuk secara acak menghasilkan nama domain yang kemudian dapat digunakan sebagai titik pertemuan ke server perintah dan kontrol (C&C) mereka. Serangan Membayangi Domain DNS
Domain shadowing melibatkan aktor ancaman yang mengumpulkan kredensial akun domain untuk secara diam-diam membuat beberapa sub-domain untuk digunakan selama serangan. Subdomain ini biasanya mengarah ke server berbahaya tanpa memberi tahu pemilik sebenarnya dari domain induk.
- DNS Tunneling
- Data perintah dibagi menjadi beberapa potongan yang dikodekan.
- Setiap potongan ditempatkan ke label nama domain tingkat yang lebih rendah dari kueri DNS.
- Karena tidak ada respons dari DNS lokal atau jaringan untuk kueri, permintaan dikirim ke server DNS rekursif ISP.
- Layanan DNS rekursif akan meneruskan kueri ke server nama otoritatif aktor ancaman.
- Proses ini diulang sampai semua kueri yang berisi potongan dikirim.
- Ketika server nama otoritatif aktor ancaman menerima kueri DNS dari perangkat yang terinfeksi, ia mengirimkan respons untuk setiap kueri DNS, yang berisi perintah CnC yang dienkapsulasi dan dikodekan.
- Malware pada host yang disusupi menggabungkan kembali potongan dan menjalankan perintah yang tersembunyi di dalam catatan DNS.
- DHCP
Operasi DHCP Normal
- DHCP Attacks
Serangan DHCP Spoofing
Serangan DHCP spoofing terjadi ketika server DHCP nakal terhubung ke jaringan dan memberikan parameter konfigurasi IP palsu untuk klien yang sah. Server jahat dapat memberikan berbagai informasi yang menyesatkan:
- Gateway default salah - Aktor ancaman menyediakan gateway yang tidak valid, atau alamat IP host-nya untuk membuat serangan MITM. Ini mungkin sama sekali tidak terdeteksi karena penyusup mencegat aliran data melalui jaringan.
- Server DNS salah - Aktor ancaman memberikan alamat server DNS yang salah yang mengarahkan pengguna ke situs web berbahaya.
- Alamat IP salah - Pelaku ancaman memberikan alamat IP yang tidak valid, alamat IP gateway default yang tidak valid, atau keduanya. Aktor ancaman kemudian membuat serangan DoS pada klien DHCP.
3.9 Network Security Best Practices
- Confidentially, Integrity, and Availability
Keamanan jaringan terdiri dari melindungi informasi dan sistem informasi dari akses, penggunaan, pengungkapan, gangguan, modifikasi, atau penghancuran yang tidak sah.
Sebagian besar organisasi mengikuti triad keamanan informasi CIA:
- Kerahasiaan - Hanya individu, entitas, atau proses yang berwenang yang dapat mengakses informasi sensitif. Mungkin perlu menggunakan algoritma enkripsi kriptografi seperti AES untuk mengenkripsi dan mendekripsi data.
- Integritas - Mengacu pada melindungi data dari perubahan yang tidak sah. Ini membutuhkan penggunaan algoritma hashing kriptografi seperti SHA.
- Ketersediaan - Pengguna yang berwenang harus memiliki akses tanpa gangguan ke sumber daya dan data penting. Ini membutuhkan penerapan layanan, gateway, dan tautan yang berlebihan.
- The Defense-in-Depth Approach
Untuk memastikan komunikasi yang aman di jaringan publik dan pribadi, Anda harus mengamankan perangkat termasuk router, sakelar, server, dan host. Sebagian besar organisasi menggunakan pendekatan pertahanan mendalam terhadap keamanan. Ini juga dikenal sebagai pendekatan berlapis. Ini membutuhkan kombinasi perangkat jaringan dan layanan yang bekerja bersama. Pertimbangkan jaringan pada gambar.
Keamanan jaringan terdiri dari melindungi informasi dan sistem informasi dari akses, penggunaan, pengungkapan, gangguan, modifikasi, atau penghancuran yang tidak sah.
Sebagian besar organisasi mengikuti triad keamanan informasi CIA:
- Kerahasiaan - Hanya individu, entitas, atau proses yang berwenang yang dapat mengakses informasi sensitif. Mungkin perlu menggunakan algoritma enkripsi kriptografi seperti AES untuk mengenkripsi dan mendekripsi data.
- Integritas - Mengacu pada melindungi data dari perubahan yang tidak sah. Ini membutuhkan penggunaan algoritma hashing kriptografi seperti SHA.
- Ketersediaan - Pengguna yang berwenang harus memiliki akses tanpa gangguan ke sumber daya dan data penting. Ini membutuhkan penerapan layanan, gateway, dan tautan yang berlebihan.
Melindungi dari serangan jaringan
- VPN - Router digunakan untuk menyediakan layanan VPN yang aman dengan situs perusahaan dan dukungan akses jarak jauh untuk pengguna jarak jauh menggunakan terowongan terenkripsi yang aman
- ASA Firewall - Perangkat khusus ini menyediakan layanan firewall stateful. Ini memastikan bahwa lalu lintas internal dapat keluar dan kembali, tetapi lalu lintas eksternal tidak dapat memulai koneksi ke host dalam
- IPS - Sistem Pencegahan Intruksi (IPS) memantau lalu lintas masuk dan keluar untuk mencari malware, tanda tangan serangan jaringan. Jika mengenali ancaman, ia dapat segera mengehntikannya
- ESA / WSA - Alat keamanan email (ESA) memfilter spam dan email yang mencurigakan. Alat keamanan web menhyaring situs malware internet yang dikenal dan mencurigakan
- AAA Server - Server ini berisi databse aman tentanf siapa yang berwenang untuk mengakses dan mengelola peranfkat jaringan. Perangkat jaringan mengautentikasu pengguna administratif menggunakan database ini
- Firewall
Semua firewall berbagi beberapa properti umum:
- Firewall tahan terhadap serangan jaringan.
- Firewall adalah satu-satunya titik transit antara jaringan internal perusahaan dan jaringan eksternal karena semua lalu lintas mengalir melalui firewall.
- Firewall memberlakukan kebijakan kontrol akses.
Ada beberapa manfaat menggunakan firewall dalam jaringan:
- Mereka mencegah pemaparan host, sumber daya, dan aplikasi sensitif kepada pengguna yang tidak tepercaya.
- Mereka membersihkan aliran protokol, yang mencegah eksploitasi kelemahan protokol.
- Mereka memblokir data berbahaya dari server dan klien.
- Mereka mengurangi kompleksitas manajemen keamanan dengan off-loading sebagian besar kontrol akses jaringan ke beberapa firewall dalam jaringan.
Firewall juga menghadirkan beberapa keterbatasan:
- Firewall yang salah dikonfigurasi dapat memiliki konsekuensi serius bagi jaringan, seperti menjadi satu titik kegagalan.
- Data dari banyak aplikasi tidak dapat melewati firewall dengan aman.
- Pengguna mungkin secara proaktif mencari cara di sekitar firewall untuk menerima materi yang diblokir, yang memaparkan jaringan terhadap potensi serangan.
- Kinerja jaringan dapat melambat.
- Lalu lintas yang tidak sah dapat terowongan atau disembunyikan sehingga muncul sebagai lalu lintas yang sah melalui firewall.
- IPS
Sensor IDS atau IPS dapat berupa beberapa perangkat berbeda:
- Router yang dikonfigurasi dengan perangkat lunak Cisco IOS IPS
- Perangkat yang dirancang khusus untuk menyediakan layanan IDS atau IPS khusus
- Modul jaringan yang dipasang di alat keamanan adaptif (ASA), sakelar, atau router
- Content Security Appliances
Alat Keamanan Email Cisco (ESA)
Cisco Email Security Appliance (ESA) adalah perangkat khusus yang dirancang untuk memantau Simple Mail Transfer Protocol (SMTP). Cisco ESA terus diperbarui oleh umpan real-time dari Cisco Talos, yang mendeteksi dan menghubungkan ancaman dan solusi dengan menggunakan sistem pemantauan basis data di seluruh dunia. Data intelijen ancaman ini ditarik oleh Cisco ESA setiap tiga hingga lima menit.
Alat Keamanan Web Cisco (WSA)
Cisco Web Security Appliance (WSA) adalah teknologi mitigasi untuk ancaman berbasis web. Ini membantu organisasi mengatasi tantangan mengamankan dan mengendalikan lalu lintas web. Cisco WSA menggabungkan perlindungan malware tingkat lanjut, visibilitas dan kontrol aplikasi, kontrol kebijakan penggunaan yang dapat diterima, dan pelaporan.
Cisco WSA memberikan kontrol penuh atas bagaimana pengguna mengakses internet. Fitur dan aplikasi tertentu, seperti obrolan, pesan, video, dan audio, dapat diizinkan, dibatasi dengan batas waktu dan bandwidth, atau diblokir, sesuai dengan persyaratan organisasi. WSA dapat melakukan daftar hitam URL, penyaringan URL, pemindaian malware, kategorisasi URL, penyaringan aplikasi web, dan enkripsi dan dekripsi lalu lintas web.
3.10 Cryptography
- Securing Communications
Ini adalah empat elemen komunikasi yang aman:
- Integritas Data - Menjamin bahwa pesan tidak diubah. Setiap perubahan pada data saat transit akan terdeteksi. Integritas dipastikan dengan menerapkan salah satu dari Secure Hash Algorithms (SHA-2 atau SHA-3). Algoritma intisari pesan MD5 masih banyak digunakan tetapi secara inheren tidak aman dan menciptakan kerentanan dalam jaringan. Penggunaan MD5 harus dihindari.
- Otentikasi Asal - Menjamin bahwa pesan tersebut bukan pemalsuan dan benar-benar berasal dari siapa yang dinyatakannya. Banyak jaringan modern memastikan otentikasi dengan protokol, seperti kode otentikasi pesan hash (HMAC).
- Kerahasiaan Data - Menjamin bahwa hanya pengguna yang berwenang yang dapat membaca pesan. Jika pesan dicegat, itu tidak dapat diuraikan dalam jumlah waktu yang wajar. Kerahasiaan data diimplementasikan menggunakan algoritma enkripsi simetris dan asimetris.
- Non-Repudiation Data - Menjamin bahwa pengirim tidak dapat menolak, atau membantah, validitas pesan yang dikirim. Nonrepudiation bergantung pada fakta bahwa hanya pengirim yang memiliki karakteristik atau tanda tangan unik untuk bagaimana pesan itu diperlakukan.
- Data Integrity
Fungsi hash digunakan untuk memastikan integritas pesan. Mereka menjamin bahwa data pesan tidak berubah secara tidak sengaja.
Pada gambar, pengirim mengirim transfer uang $ 100 ke Alex.
- Hash Functions
Ada empat fungsi hash yang terkenal.
MD5 dengan Digest 128-bit
Dikembangkan oleh Ron Rivest dan digunakan dalam berbagai aplikasi internet, MD5 adalah fungsi satu arah yang menghasilkan pesan hash 128-bit. MD5 dianggap sebagai algoritma warisan dan harus dihindari dan digunakan hanya ketika tidak ada alternatif yang lebih baik tersedia. Disarankan agar SHA-2 atau SHA-3 digunakan sebagai gantinya.
Algoritma SHA Hashing
Dikembangkan oleh Badan Keamanan Nasional AS (NSA) pada tahun 1995. Ini sangat mirip dengan fungsi hash MD5. Ada beberapa versi. SHA-1 membuat pesan hash 160-bit dan sedikit lebih lambat dari MD5. SHA-1 memiliki kekurangan yang diketahui dan merupakan algoritma warisan.
SHA-2dikembangkan oleh NSA. Ini termasuk SHA-224 (224 bit), SHA-256 (256 bit), SHA-384 (384 bit), dan SHA-512 (512 bit). Jika Anda menggunakan SHA-2, maka algoritma SHA-256, SHA-384, dan SHA-512 harus digunakan bila memungkinkan.SHA-3adalah algoritma hashing terbaru dan diperkenalkan oleh NIST sebagai alternatif dan pengganti akhirnya untuk keluarga algoritma hashing SHA-2. SHA-3 mencakup SHA3-224 (224 bit), SHA3-256 (256 bit), SHA3-384 (384 bit), dan SHA3-512 (512 bit). Keluarga SHA-3 adalah algoritma generasi berikutnya dan harus digunakan bila memungkinkan.Meskipun hashing dapat digunakan untuk mendeteksi perubahan yang tidak disengaja, hashing tidak dapat digunakan untuk menjaga terhadap perubahan yang disengaja yang dibuat oleh aktor ancaman. Tidak ada informasi identifikasi unik dari pengirim dalam prosedur hashing. Ini berarti bahwa siapa pun dapat menghitung hash untuk data apa pun, selama mereka memiliki fungsi hash yang benar.Misalnya, ketika pesan melintasi jaringan, penyerang potensial dapat mencegat pesan, mengubahnya, menghitung ulang hash, dan menambahkannya ke pesan. Perangkat penerima hanya akan memvalidasi terhadap hash apa pun yang ditambahkan.Oleh karena itu, hashing rentan terhadap serangan man-in-the-middle dan tidak memberikan keamanan pada data yang dikirimkan. Untuk memberikan integritas dan otentikasi asal, diperlukan sesuatu yang lebih.Catatan: Algoritme hashing hanya melindungi dari perubahan yang tidak disengaja dan tidak melindungi data dari perubahan yang sengaja dilakukan oleh aktor ancaman.- Data Confidentiality
Ada dua kelas enkripsi yang digunakan untuk memberikan kerahasiaan data. Kedua kelas ini berbeda dalam cara mereka menggunakan kunci.
Algoritma enkripsi simetris seperti Data Encryption Standard (DES), 3DES, dan Advanced Encryption Standard (AES) didasarkan pada premis bahwa setiap pihak yang berkomunikasi mengetahui kunci yang dibagikan sebelumnya. Kerahasiaan data juga dapat dipastikan menggunakan algoritma asimetris, termasuk Rivest, Shamir, and Adleman (RSA) dan public key infrastructure (PKI).
Gambar tersebut menunjukkan perbedaan antara enkripsi simetris dan asimetris. Karakteristik enkripsi simetris meliputi: menggunakan kunci yang sama untuk mengenkripsi dan mendekripsi data; panjang kunci pendek (40 bit - 256 bit); lebih cepat dari enkripsi asimetris; dan biasanya digunakan untuk mengenkripsi data massal seperti dalam lalu lintas VPN. Karakteristik enkripsi asimetris meliputi: menggunakan kunci yang berbeda untuk mengenkripsi dan mendekripsi data; panjang kunci panjang (512 bit - 4096 bit); Oleh karena itu, tasking komputasi lebih lambat dari enkripsi simetris; dan biasa digunakan untuk transaksi data cepat seperti HTTPS saat mengakses data bank Anda.- Diffie-Hellman
Ini adalah empat elemen komunikasi yang aman:
- Integritas Data - Menjamin bahwa pesan tidak diubah. Setiap perubahan pada data saat transit akan terdeteksi. Integritas dipastikan dengan menerapkan salah satu dari Secure Hash Algorithms (SHA-2 atau SHA-3). Algoritma intisari pesan MD5 masih banyak digunakan tetapi secara inheren tidak aman dan menciptakan kerentanan dalam jaringan. Penggunaan MD5 harus dihindari.
- Otentikasi Asal - Menjamin bahwa pesan tersebut bukan pemalsuan dan benar-benar berasal dari siapa yang dinyatakannya. Banyak jaringan modern memastikan otentikasi dengan protokol, seperti kode otentikasi pesan hash (HMAC).
- Kerahasiaan Data - Menjamin bahwa hanya pengguna yang berwenang yang dapat membaca pesan. Jika pesan dicegat, itu tidak dapat diuraikan dalam jumlah waktu yang wajar. Kerahasiaan data diimplementasikan menggunakan algoritma enkripsi simetris dan asimetris.
- Non-Repudiation Data - Menjamin bahwa pengirim tidak dapat menolak, atau membantah, validitas pesan yang dikirim. Nonrepudiation bergantung pada fakta bahwa hanya pengirim yang memiliki karakteristik atau tanda tangan unik untuk bagaimana pesan itu diperlakukan.
Fungsi hash digunakan untuk memastikan integritas pesan. Mereka menjamin bahwa data pesan tidak berubah secara tidak sengaja.
Pada gambar, pengirim mengirim transfer uang $ 100 ke Alex.
Ada empat fungsi hash yang terkenal.
MD5 dengan Digest 128-bit
Dikembangkan oleh Ron Rivest dan digunakan dalam berbagai aplikasi internet, MD5 adalah fungsi satu arah yang menghasilkan pesan hash 128-bit. MD5 dianggap sebagai algoritma warisan dan harus dihindari dan digunakan hanya ketika tidak ada alternatif yang lebih baik tersedia. Disarankan agar SHA-2 atau SHA-3 digunakan sebagai gantinya.
Algoritma SHA Hashing
Dikembangkan oleh Badan Keamanan Nasional AS (NSA) pada tahun 1995. Ini sangat mirip dengan fungsi hash MD5. Ada beberapa versi. SHA-1 membuat pesan hash 160-bit dan sedikit lebih lambat dari MD5. SHA-1 memiliki kekurangan yang diketahui dan merupakan algoritma warisan.
Ada dua kelas enkripsi yang digunakan untuk memberikan kerahasiaan data. Kedua kelas ini berbeda dalam cara mereka menggunakan kunci.
Algoritma enkripsi simetris seperti Data Encryption Standard (DES), 3DES, dan Advanced Encryption Standard (AES) didasarkan pada premis bahwa setiap pihak yang berkomunikasi mengetahui kunci yang dibagikan sebelumnya. Kerahasiaan data juga dapat dipastikan menggunakan algoritma asimetris, termasuk Rivest, Shamir, and Adleman (RSA) dan public key infrastructure (PKI).
Diffie-Hellman (DH) adalah algoritma matematika asimetris di mana dua komputer menghasilkan kunci rahasia bersama yang identik tanpa berkomunikasi sebelumnya. Kunci bersama yang baru tidak pernah benar-benar dipertukarkan antara pengirim dan penerima. Namun, karena kedua belah pihak mengetahuinya, kunci tersebut dapat digunakan oleh algoritma enkripsi untuk mengenkripsi lalu lintas antara kedua sistem.
Berikut adalah tiga contoh contoh ketika DH umum digunakan:
- Data dipertukarkan menggunakan VPN IPsec.
- Digunakan saat data dipertukarkan menggunakan SSL atau TLS VPN.
- Data SSH dipertukarkan.
Posting Komentar