Jumat, 06 April 2012

Security Dimension : Non-Repudiation

Menurut Recommendation X.800, ancaman keamanan jaringan dapat dilakukan solusi dengan non-Repudiation, yaitu merupakan sebuah identifikasi yang bersifat individual atau devais yang diakses oleh user yang dikirim melalui jalur komunikasi melalui sebuah rekaman (system log). Rekaman itu akan digunakan sebagai bukti aksesibilitas user sehingga user tidak dapat menyangkal.
Pada saat melakukan pengiriman atau penerimaan pesan pada jaringan komunikasi terdapat beberapa persoalan yaitu confidentiality, data integrity, authentication, dan non-repudiation. Non-repudiation adalah layanan yang mencegah sebagian atau salah satu pihak menyangkal komitmen atau tindakan yang dilakukan sebelumnya. Saat perselisihan timbul jika salah satu pihak menyangkal apa yang sebetulnya terjadi, maka dibutuhkan suatu jalan untuk menyelesaikan situasi ini. Sebagai contoh, satu pihak mungkin memberikan kuasa pada pihak lain untuk membeli properti dan kemudian menyangkal bahwa pemberi kuasa tersebut telah memberikan kuasa kepada pihak yang diberi kuasa. Oleh karena itu diperlukan suatu prosedur untuk melibatkan pihak ketiga yang dipercaya untuk menyelesaikan masalah tersebut.
Non-repudiation with proof of origin:
Receiver menerima bukti asal-usul data. Hal ini akan dilindungi sebagai upaya oleh pengirim palsu yang menyangkal mengirim data atau isinya.
Non-repudiation with proof of delivery:
Data sender disediakan dengan bukti pengiriman data. Hal ini akan dilindungi sebagai upaya untuk penerima yang palsu untuk menyangkal menerima data atau isinya.
Dalam suatu jaringan baik itu jaringan komputer maupun internet, seseorang yang bertindak sebagai user harus bisa memberikan laporan atau fakta-fakta mengenai penggunaan layanan yang dipakai, sehingga dia tidak bisa menyangkal fakta bahwa dia telah benar-benar menggunakan atau melakukan akses terhadap jaringan tersebut. Jika seseorang telah terlibat dengan orang lain dalam berkomunikasi, bertransaksi, baik itu mengirimkan dokumen ataupun kegiatan yang lain, maka kondisi seperti ini sangat diperlukan bukti autentik, sebab bilamana terjadi kekeliruan maka dapat dipertanggungjawabkan. Berbicara tentang pembuktian tak tersangkal, kita akan menyoroti pada penyangkalan yang pelanggarannya ingin kita lindungi. Dalam sebuah komunikasi dan terjadi suatu transaksi, ada kemungkinan bahwa salah satu pengguna akan menyangkal isi transaksi atau mengemukakan bahwa transaksi tidak pernah terjadi.

Dalam sistem transaksi konvensional, aspek non-repudiation ini diimplementasikan dengan menggunakan tanda tangan. Dalam transaksi elektronik, aspek non-repudiation dijamin dengan penggunaan tanda tangan digital (digital signature), penyediaan log (audit trail), dan pembuatan sistem agar dapat diperiksa dengan mudah (auditable).

Model Arsitektur Sistem Pengamanan Jaringan
Untuk memperoleh sistem pengamanan secara end-to-end dalam jaringan, maka   ITU-T merekomendasikan arsitektur sistem pengamanan (Rekomendasi X.805) seperti pada gambar :



Prinsip dasar pendefinisian kerangka sistem pengamanan adalah untuk memberikan pengamanan ke seluruh aplikasi berdasarkan jenis ancaman serangan dan celah-celah/bagian-bagian yang potensial terhadap serangan (vulnerabilities). Kerangka arsitektur sistem pengamanan dibangun berdasarkan konsep lapisan (layering) dan bidang/bagian (plane). Konsep lapisan dimaksudkan agar diperoleh pengamanan secara end-to-end pada setiap layer yang meliputi: layer infrastruktur, layer servis, dan layer aplikasi.

·               Layer Infrastruktur terdiri dari fasilitas transmisi beserta elemen-elemennya seperti router, switch, server beserta link penghubung elemen-elemen tersebut.
·               Layer Servis merupakan pengamanan terhadap jaringan yang ditawarkan kepada customer seperti leased line, value added service seperti instant messaging dsb.
·               Layer Aplikasi merupakan persyaratan pengamanan untuk aplikasi baik aplikasi-aplikasi yang sederhana seperti e-mail dsb, maupun aplikasi-aplikasi yang lebih kompleks seperti transfer gambar video berkualitas tinggi yang biasa dilakukan kerjasama dengan perusahaan perminyakan dsb.

Kerangka kedua adalah kerangka bidang/bagian atau plane, yakni yang berkaitan dengan jenis aktivitas yang dilakukan terhadap jaringan. Kerangka ini terdiri dari tiga bidang (security plane) : management plane, control plane dan end-user plane.

Ø  Management plane (security) merupakan pengamanan yang berkaitan dengan aktivitas sistem Operation, Administration, Maintenance and Provisioning (OAM&P) seperti provisioning jaringan atau user.
Ø  Control plane (security) merupakan pengamanan pada aspek pensinyalan (signaling) saat pembangunan koneksi (seting up/modifying) secara end-to-end melalui jaringan.
Ø  End-user plane (security) merupakan pengamanan saat akses maupun pemakaian jaringan oleh customer yang  berkaitan dengan aliran data (data flow).

Tabel arsitektur keamanan yang menggambarkan pendekatan metodis untuk mengamankan jaringan.

1.        Penerapan dimensi keamanan non repudiation untuk Layer Infrastruktur, Management plane
Memberikan catatan identifikasi individu atau perangkat yang melakukan setiap kegiatan administrasi atau manajemen pada perangkat jaringan atau link komunikasi serta  tindakan yang dilakukan. Catatan ini dapat digunakan sebagai bukti pembuat kegiatan administrasi atau manajemen.
2.        Penerapan dimensi keamanan non repudiation untuk Layer Infrastruktur, Control plane
Memberikan catatan identifikasi setiap individu atau perangkat yang mengamati atau memodifikasi informasi kontrol pada perangkat jaringan serta tindakan yang dilakukan. Catatan ini dapat digunakan sebagai bukti akses atau modifikasi kontrol informasi.
Memberikan catatan
identifikasi alamat pengirim pesan kontrol yang dikirim ke perangkat jaringan dan tindakan yang dilakukan. Catatan ini dapat digunakan sebagai bukti asal pesan kontrol perangkat.
3.        Penerapan dimensi keamanan non repudiation untuk Layer Infrastruktur, End User plane
Memberikan catatan identifikasi setiap individu atau perangkat yang diakses pengguna akhir data yang melintasi elemen jaringan atau link komunikasi atau merupakan perangkat offline serta tindakan yang dilakukan. Catatan ini akan digunakan sebagai bukti akses ke pengguna akhir data.
4.        Penerapan dimensi keamanan non repudiation untuk Layer Servis, Management plane
Memberikan catatan identifikasi individu atau perangkat yang melakukan setiap kegiatan administrasi atau manajemen dari layanan jaringan serta tindakan yang dilakukan. Catatan ini akan digunakan sebagai bukti indikasi individu atau perangkat yang melakukan kegiatan administrasi atau manajemen.
5.        Penerapan dimensi keamanan non repudiation untuk Layer Servis, Control plane
Memberikan catatan identifikasi orang atau perangkat asal dari pesan kontrol layanan jaringan yang diterima oleh suatu perangkat jaringan yang berpartisipasi dalam layanan jaringan serta tindakan yang dilakukan. Catatan ini dapat digunakan sebagai bukti orang atau perangkat asal pesan layanan kontrol jaringan.
6.        Penerapan dimensi keamanan non repudiation untuk Layer Servis, End User plane
Memberikan catatan identifikasi setiap pengguna dan perangkat yang mengakses dan menggunakan layanan jaringan serta tindakan yang dilakukan. Catatan ini akan digunakan sebagai bukti penggunaan dan akses ke layanan jaringan dengan pengguna akhir atau perangkat.
7.        Penerapan dimensi keamanan non repudiation untuk Layer Aplikasi, Management plane
Memberikan catatan identifikasi individu atau perangkat yang melakukan setiap kegiatan administrasi atau manajemen dari aplikasi berbasis jaringan serta tindakan yang dilakukan. Catatan ini akan digunakan sebagai bukti kegiatan administrasi atau manajemen yang dilakukan dengan indikasi dari individu atau perangkat yang melakukan.
8.        Penerapan dimensi keamanan non repudiation untuk Layer Aplikasi, Control plane
Memberikan catatan identifikasi orang atau perangkat asal pesan pengendalian aplikasi yang diterima oleh suatu perangkat jaringan yang berpartisipasi dalam aplikasi berbasis jaringan dan tindakan yang dilakukan. Catatan ini dapat digunakan sebagai bukti orang atau perangkat asal pesan kontrol aplikasi.
9.        Penerapan dimensi keamanan non repudiation untuk Layer Aplikasi, End User plane
Memberikan catatan identifikasi setiap pengguna atau perangkat yang mengakses dan menggunakan aplikasi berbasis jaringan dan tindakan yang dilakukan. Catatan ini akan digunakan sebagai bukti akses dan penggunaan aplikasi oleh pengguna akhir atau perangkat.


Referensi :

Security Architecture for Open System Interconnection for CCITT Applications, Recommendation X.800. http://sce.uhcl.edu/yang/teaching/csci5931netSecuritySpr05/x800.pdf

ITU-T Recommendation X.805 security Architecture for System Providing End to End Communications. http://www.ietf.org/proceedings/63/slides/saag-3/saag-3.ppt