New path: Resume Bab 7

BAB 7 PENGAMANAN JARINGAN KOMPUTER

1. Apa itu Keamanan Jaringan

Satu hal yang perlu diingat bahwa tidak ada jaringan yang anti sadap atau tidak ada jaringan komputer yang benar-benar aman. Sifat dari jaringan adalah melakukan komunikasi. Setiap komunikasi dapat jatuh ke tangan orang lain dan disalahgunakan. Sistem keamanan membantu mengamankan jaringan tanpa menghalangi penggunaannya dan menempatkan antisipasi ketika jaringan berhasil ditembus. Selain itu, pastikan bahwa user dalam jaringan memiliki pengetahuan yang cukup mengenai keamanan dan pastikan bahwa mereka menerima dan memahami rencana keamanan yang Anda buat. Jika mereka tidak memahami hal tersebut, maka mereka akan menciptakan lubang (hole) keamanan pada jaringan Anda.

Ada dua elemen utama pembentuk keamanan jaringan :

· Tembok pengamanan, baik secara fisik maupun maya, yang ditaruh diantara piranti dan layanan jaringan yang digunakan dan orang-orang yang akan berbuat jahat.

· Rencana pengamanan, yang akan diimplementasikan bersama dengan user lainnya, untuk menjaga agar sistem tidak bisa ditembus dari luar.

Segi-segi keamanan didefinisikan dari kelima point ini.

a. Confidentiality Mensyaratkan bahwa informasi (data) hanya bisa diakses oleh pihak yang memiliki wewenang.

b. Integrity Mensyaratkan bahwa informasi hanya dapat diubah oleh pihak yang memiliki wewenang.

c. Availability Mensyaratkan bahwa informasi tersedia untuk pihak yang memiliki wewenang ketika dibutuhkan.

d. Authentication Mensyaratkan bahwa pengirim suatu informasi dapat diidentifikasi dengan benar dan ada jaminan bahwa identitas yang didapat tidak palsu.

e. Nonrepudiation Mensyaratkan bahwa baik pengirim maupun penerima informasi tidak dapat menyangkal pengiriman dan penerimaan pesan.

Serangan (gangguan) terhadap keamanan dapat dikategorikan dalam empat kategori utama :

a. Interruption

Suatu aset dari suatu sistem diserang sehingga menjadi tidak tersedia atau tidak dapat dipakai oleh yang berwenang. Contohnya adalah perusakan/modifikasi terhadap piranti keras atau saluran jaringan.

b. Interception

Suatu pihak yang tidak berwenang mendapatkan akses pada suatu aset. Pihak yang dimaksud bisa berupa orang, program, atau sistem yang lain. Contohnya adalah penyadapan terhadap data dalam suatu jaringan.

c. Modification

Suatu pihak yang tidak berwenang dapat melakukan perubahan terhadap suatu aset. Contohnya adalah perubahan nilai pada file data, modifikasi program sehingga berjalan dengan tidak semestinya, dan modifikasi pesan yang sedang ditransmisikan dalam jaringan.

d. Fabrication

Suatu pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem.

Contohnya adalah pengiriman pesan palsu kepada orang lain.

Ada beberapa prinsip yang perlu dihindari dalam menangani masalah keamanan :

§ diam dan semua akan baik-baik saja

§ sembunyi dan mereka tidak akan dapat menemukan anda

§ teknologi yang digunakan kompleks/rumit, artinya aman

2. Kepedulian Masalah Jaringan

Overview

Pendefinisian keamanan (pada jaringan komputer) dapat dilakukan dengan melihat target yang ingin dicapai melalui konsep 'aman'. Berikut adalah daftar fitur

yang dapat mencegah/mengantisipasi serangan dari pihak luar ataupun pihak dalam.

Security Policy

Sebelum melanjutkan implementasi ke tingkat yang lebih jauh sebaiknya ditentukan dulu apa yang hendak dilindungi dan dilindungi dari siapa. Beberapa pertanyaan berikut dapat membantu penentuan kebijakan keamanan yang diambil.

Informasi apa yang dianggap rahasia atau sensitif ?
Anda melindungi sistem anda dari siapa ?
Apakah anda membutuhkan akses jarak jauh?
Apakah password dan enkripsi cukup melindungi ?
Apakah anda butuh akses internet?
Tindakan apa yang anda lakukan jika ternyata sistem anda dibobol?

Serta masih banyak pertanyaan lain tergantung bentuk organisasi yang anda kelola.

Kebijaksanaan keamanan tergantung sebesar apa anda percaya orang lain, di dalam ataupun di luar organisasi anda. Kebijakan haruslah merupakan keseimbangan antara mengijinkan user untuk mengakses informasi yang dibutuhkan dengan tetap menjaga keamanan sistem.

Keamanan Secara Fisik

Fisik dalam bagian ini diartikan sebagai situasi di mana seseorang dapat masuk ke dalam ruangan server/jaringan dan dapat mengakses piranti tersebut secara illegal. Orang yang tidak berkepentingan ini bisa saja seorang tamu, staf pembersih, kurir pengantar paket, dan lainnya yang dapat masuk ke ruangan tersebut dan mengutak-atik piranti yang ada. Apabila seseorang memiliki akses terhadap ruangan tersebut, orang tersebut bisa saja memasang program trojan horse di komputer, melakukan booting dari floppy disk, atau mencuri data-data penting (seperti file password) dan membongkarnya di tempat yang lebih aman.

Untuk menjaga keamanan, taruhlah server di ruangan yang dapat dikunci dan pastikan bahwa ruangan tersebut dikunci dengan baik. Untuk menghindari pengintaian, gunakan screen-saver yang dapat dipassword. Atur juga semua komputer untuk melakukan fungsi auto-logout setelah tidak aktif dalam jangka waktu tertentu.

BIOS Security

Sebenarnya seorang admin direkomendasikan men-disable boot dari floppy. Atau bisa dilakukan dengan membuat password pada BIOS dan memasang boot password.

Password Attack

Banyak orang menyimpan informasi pentingnya pada komputer dan seringkali sebuah password hal yang mencegah orang lain untuk melihatnya. Untuk menghindari serangan password maka sebaiknya user menggunakan password yang cukup baik. Petunjuk pemilihan password :

· Semua password harus terdiri dari paling sedikit 7 karakter.

· Masukkan kombinasi huruf, angka, dan tanda baca sebanyak mungkin dengan catatan bahwa password tetap mudah untuk diingat. Salah satu caranya adalah mengkombinasikan kata-kata acak dengan tanda baca atau dengan mengkombinasikan kata-kata dengan angka. Contoh : rasa#melon@manis, komputer0digital1, kurang<lebih>2001

· Gunakan huruf pertama frasa yang gampang diingat. Contoh: dilarang parkir antara pukul 7 pagi hingga pukul 8 sore à dpap7php8s, tidak ada sistem yang benar-benar aman dalam konteks jaringan à tasybbadkj

· Gunakan angka atau tanda baca untuk menggantikan huruf di password. Contoh : keberhasilan à k3b3rh45!l4n

· Gantilah password secara teratur

Malicious Code

Malicious code bisa berupa virus, trojan atau worm, biasanya berupa kode instruksi yang akan memberatkan sistem sehingga performansi sistem menurun. Cara mengantisipasinya bisa dilihat pada 6 contoh berikut :

berikan kesadaran pada user tentang ancaman virus.
gunakan program anti virus yang baik pada workstation, server dan gateway internet (jika punya).
ajarkan dan latih user cara menggunakan program anti virus
sebagai admin sebaiknya selalu mengupdate program anti-virus dan database virus
Biasakan para user untuk TIDAK membuka file attachment email atau file apapun dari floppy sebelum 110 % yakin atau tidak attachment/file tsb “bersih”.
Pastikan kebijakan kemanan anda up to date.

Sniffer

Sniffer adalah sebuah device penyadapan komunikasi jaringan komputer dengan memanfaatkan mode premicious pada ethernet. Karena jaringan komunikasi komputer terdiri dari data biner acak maka sniffer ini biasanya memiliki penganalisis protokol sehingga data biner acak dapat dipecahkan. Fungsi sniffer bagi pengelola bisa untuk pemeliharaan jaringan, bagi orang luar bisa untuk menjebol sistem.

Cara paling mudah untuk mengantisipasi Sniffer adalah menggunakan aplikasi yang secure, misal : ssh, ssl, secureftp dan lain-lain

Scanner

Layanan jaringan (network service) yang berbeda berjalan pada port yang berbeda juga. Tiap layanan jaringan berjalan pada alamat jaringan tertentu (mis. 167.205.48.130) dan mendengarkan (listening) pada satu atau lebih port (antara 0 hingga 65535). Keduanya membentuk apa yang dinamakan socket address yang mengidentifikasikan secara unik suatu layanan dalam jaringan. Port 0 hingga 1023 yang paling umum dipergunakan didefinisikan sebagai well-known number dalam konvensi UNIX dan dideskripsikan dalam RFC 1700.

Port Scanner merupakan program yang didesain untuk menemukan layanan (service) apa saja yang dijalankan pada host jaringan. Untuk mendapatkan akses ke host, cracker harus mengetahui titik-titik kelemahan yang ada. Sebagai contoh, apabila cracker sudah mengetahui bahwa host menjalankan proses ftp server, ia dapat menggunakan kelemahan-kelemahan yang ada pada ftp server untuk mendapatkan akses. Dari bagian ini kita dapat mengambil kesimpulan bahwa layanan yang tidak benar-benar diperlukan sebaiknya dihilangkan untuk memperkecil resiko keamanan yang mungkin terjadi.

Mirip dengan port scanner pada bagian sebelumnya, network scanner memberikan informasi mengenai sasaran yang dituju, misalnya saja sistem operasi yang dipergunakan, layanan jaringan yang aktif, jenis mesin yang terhubung ke network, serta konfigurasi jaringan. Terkadang, network scanner juga mengintegrasikan port scanner dalam aplikasinya. Tool ini berguna untuk mencari informasi mengenai target sebanyak mungkin sebelum melakukan serangan yang sebenarnya. Dengan mengetahui kondisi dan konfigurasi jaringan, seseorang akan lebih mudah masuk dan merusak sistem.

Contoh scanner : Nmap, Netcat, NetScan Tools Pro 2000, SuperScan

Spoofing

Spoofing (penyamaran) biasa dilakukan oleh pihak yang tidak bertanggungjawab untuk menggunakan fasilitas dan resource sistem. Spoofing adalah teknik melakukan penyamaran sehingga terdeteksi sebagai identitas yang bukan sebenarnya, misal : menyamar sebagai IP tertentu, nama komputer bahkan e-mail address tertentu. Antisipasinya dapat dilakukan dengan menggunakan aplikasi firewall.

Denial of Service

Denial of Service (DoS) merupakan serangan dimana suatu pihak mengekploitasi aspek dari suite Internet Protocol untuk menghalangi akses pihak yang berhak atas informasi atau sistem yang diserang. Hole yang memungkinkan DoS berada dalam kategori C, yang berada dalam prioritas rendah. Serangan ini biasanya didasarkan pada sistem operasi yang dipergunakan. Artinya, hole ini berada di dalam bagian jaringan dari sistem operasi itu sendiri. Ketika hole macam ini muncul, hole ini harus diperbaiki oleh pemilik software tersebut atau di-patch oleh vendor yang mengeluarkan sistem operasi tersebut. Contoh dari serangan ini adalah TCP SYN dimana permintaan koneksi jaringan dikirimkan ke server dalam jumlah yang sangat besar. Akibatnya server dibanjiri permintaan koneksi dan menjadi lambat atau bahkan tidak dapat dicapai sama sekali. Hole ini terdapat nyaris di semua sistem operasi yang menjalankan TCP/IP untuk berkomunikasi di internet. Hal ini tampaknya menjadi masalah yang terdapat di dalam desain suite TCP/IP, dan merupakan sesuatu yang tidak mudah diselesaikan.

Dalam serangan DoS, sesorang dapat melakukan sesuatu yang mengganggu kinerja dan operasi jaringan atau server. Akibat dari serangan ini adalah lambatnya server atau jaringan dalam merespons, atau bahkan bisa menyebabkan crash. Serangan DoS mengganggu user yang sah untuk mendapatkan layanan yang sah, namun tidak memungkinkan cracker masuk ke dalam sistem jaringan yang ada. Namun, serangan semacam ini terhadap server yang menangani kegiatan e-commerce akan dapat berakibat kerugian dalam bentuk finansial.

3. Enkripsi Untuk Keamanan Data Pada Jaringan

Salah satu hal yang penting dalam komunikasi menggunakan computer untuk menjamin kerahasian data adalah enkripsi. Enkripsi dalah sebuah proses yang melakukan perubahan sebuah kode dari yang bisa dimengerti menjadi sebuah kode yang tidak bisa dimengerti (tidak terbaca). Enkripsi dapat diartikan sebagai kode atau chiper. Sebuah sistem pengkodean menggunakan suatu table atau kamus yang telah didefinisikan untuk mengganti kata dari informasi atau yang merupakan bagian dari informasi yang dikirim. Sebuah chiper menggunakan suatu algoritma yang dapat mengkodekan semua aliran data (stream) bit dari sebuah pesan menjadi cryptogram yang tidak dimengerti (unitelligible). Karena teknik cipher merupakan suatu sistem yang telah siap untuk di automasi, maka teknik ini digunakan dalam sistem keamanan komputer dan network.

Pada bagian selanjutnya kita akan membahas berbagai macam teknik enkripsi yang biasa digunakan dalam sistem sekuriti dari sistem komputer dan network.

A. Enkripsi Konvensional.

Proses enkripsi ini dapat digambarkan sebagai berikut :

Plain teks -> Algoritma Enkripsi -> Cipher teks ->Algoritma Dekrispsi -> Plain teks
User A | | User B
|----------------------Kunci (Key) --------------------|

Gambar 1

Informasi asal yang dapat di mengerti di simbolkan oleh Plain teks, yang kemudian oleh algoritma Enkripsi diterjemahkan menjadi informasi yang tidak dapat untuk dimengerti yang disimbolkan dengan cipher teks. Proses enkripsi terdiri dari dua yaitu algoritma dan kunci. Kunci biasanya merupakan suatu string bit yang pendek yang mengontrol algoritma. Algoritma enkripsi akan menghasilkan hasil yang berbeda tergantung pada kunci yang digunakan. Mengubah kunci dari enkripsi akan mengubah output dari algortima enkripsi.

Sekali cipher teks telah dihasilkan, kemudian ditransmisikan. Pada bagian penerima selanjutnya cipher teks yang diterima diubah kembali ke plain teks dengan algoritma dan dan kunci yang sama.

Keamanan dari enkripsi konvensional bergantung pada beberapa faktor. Pertama algoritma enkripsi harus cukup kuat sehingga menjadikan sangat sulit untuk mendekripsi cipher teks dengan dasar cipher teks tersebut. Lebih jauh dari itu keamanan dari algoritma enkripsi konvensional bergantung pada kerahasian dari kuncinya bukan algoritmanya. Yaitu dengan asumsi bahwa adalah sangat tidak praktis untuk mendekripsikan informasi dengan dasar cipher teks dan pengetahuan tentang algoritma diskripsi / enkripsi. Atau dengan kata lain, kita tidak perlu menjaga kerahasiaan dari algoritma tetapi cukup dengan kerahasiaan kuncinya.

Manfaat dari konvensional enkripsi algoritma adalah kemudahan dalam penggunaan secara luas. Dengan kenyataan bahwa algoritma ini tidak perlu dijaga kerahasiaannya dengan maksud bahwa pembuat dapat dan mampu membuat suatu implementasi dalam bentuk chip dengan harga yang murah. Chips ini dapat tersedia secara luas dan disediakan pula untuk beberapa jenis produk. Dengan penggunaan dari enkripsi konvensional, prinsip keamanan adalah menjadi menjaga keamanan dari kunci.

Model enkripsi yang digunakan secara luas adalah model yang didasarkan pada data encrytion standard (DES), yang diambil oleh Biro standart nasional US pada tahun 1977. Untuk DES data di enkripsi dalam 64 bit block dengan menggunakan 56 bit kunci. Dengan menggunakan kunci ini, 64 data input diubah dengan suatu urutan dari metode menjadi 64 bit output. Proses yang yang sama dengan kunci yang sama digunakan untuk mengubah kembali enkripsi.

B. Enkripsi Public-Key

Salah satu yang menjadi kesulitan utama dari enkripsi konvensional adalah perlunya untuk mendistribusikan kunci yang digunakan dalam keadaan aman. Sebuah cara yang tepat telah diketemukan untuk mengatasi kelemahan ini dengan suatu model enkripsi yang secara mengejutkan tidak memerlukan sebuah kunci untuk didistribusikan. Metode ini dikenal dengan nama enkripsi public-key dan pertama kali diperkenalkan pada tahun 1976.

Plain teks -> Algoritma Enkripsi -> Cipher teks -> Algoritma Dekrispsi -> Plain teks
User A | | User B
Private Key B ----|
|----------------------Kunci (Key) --------------------|
Gambar 2

Algoritma tersebut seperti yang digambarkan pada gambar diatas. Untuk enkripsi konvensional, kunci yang digunakan pada prosen enkripsi dan dekripsi adalah sama. Tetapi ini bukanlah kondisi sesungguhnya yang diperlukan. Namun adalah dimungkinkan untuk membangun suatu algoritma yang menggunakan satu kunci untuk enkripsi dan pasangannya, kunci yang berbeda, untuk dekripsi. Lebih jauh lagi adalah mungkin untuk menciptakan suatu algoritma yang mana pengetahuan tentang algoritma enkripsi ditambah kunci enkripsi tidak cukup untuk menentukan kunci dekrispi. Sehingga teknik berikut ini akan dapat dilakukan :

Masing - masing dari sistem dalam network akan menciptakan sepasang kunci yang digunakan untuk enkripsi dan dekripsi dari informasi yang diterima.
Masing - masing dari sistem akan menerbitkan kunci enkripsinya ( public key ) dengan memasang dalam register umum atau file, sedang pasangannya tetap dijaga sebagai kunci pribadi ( private key ).
Jika A ingin mengisim pesan kepada B, maka A akan mengenkripsi pesannya dengan kunci publik dari B.
Ketika B menerima pesan dari A maka B akan menggunakan kunci privatenya untuk mendeskripsi pesan dari A.

Seperti yang kita lihat, public-key memecahkan masalah pendistribusian karena tidak diperlukan suatu kunci untuk didistribusikan. Semua partisipan mempunyai akses ke kunci publik ( public key ) dan kunci pribadi dihasilkan secara lokal oleh setiap partisipan sehingga tidak perlu untuk didistribusikan. Selama sistem mengontrol masing - masing private key dengan baik maka komunikasi menjadi komunikasi yang aman. Setiap sistem mengubah private key pasangannya public key akan menggantikan public key yang lama. Yang menjadi kelemahan dari metode enkripsi publik key adalah jika dibandingkan dengan metode enkripsi konvensional algoritma enkripsi ini mempunyai algoritma yang lebih komplek. Sehingga untuk perbandingan ukuran dan harga dari hardware, metode publik key akan menghasilkan performance yang lebih rendah. Tabel berikut ini akan memperlihatkan berbagai aspek penting dari enkripsi konvensional dan public key.

Enkripsi Konvensional
Yang dibutuhkan untuk bekerja :

Algoritma yang sama dengan kunci yang sama dapat digunakan untuk proses dekripsi - enkripsi.
Pengirim dan penerima harus membagi algoritma dan kunci yang sama.

Yang dibutuhkan untuk keamanan :

Kunci harus dirahasiakan.
Adalah tidak mungkin atau sangat tidak praktis untuk menerjemahkan informasi yang telah dienkripsi.
Pengetahuan tentang algoritma dan sample dari kata yang terenkripsi tidak mencukupi untu menentukan kunc.

Enkripsi Public Key
Yang dibutuhkan untuk bekerja :

Algoritma yang digunakan untuk enkripsi dan dekripsi dengan sepasang kunci, satu untuk enkripsi satu untuk dekripsi.
Pengirim dan penerima harus mempunyai sepasang kunci yang cocok.

Yang dibutuhkan untuk keamanan :

Salah satu dari kunci harus dirahasiakan.
Adalah tidak mungkin atau sangat tidak praktis untuk menerjemahkan informasi yang telah dienkripsi.
Pengetahuan tentang algoritma dan sample dari kata yang terenkripsi tidak mencukupi untu menentukan kunci.

BAB 8. PENGAMANAN WEB BROWSER

A. PENGERTIAN WEB BROWSER

Web Browser disebut juga peramban, adalah perangkat lunak yang berfungsi menampilkan dan melakukan interaksi dengan dokumen- dokumen yang di sediakan oleh server web.

Web browser adalah sebuah aplikasi perangkat lunak yang memungkinkan pengguna untuk menayangkan dan berinteraksi dengan tulisan, gambar, video, musik dan berbagai informasi lainnya yang terdapat pada halaman Web di sebuah situs di World Wide Web atau di jaringan LAN lokal. Tulisan dan gambar di halaman Web dapat mempunyai hyperlinks ke halaman Web lain di mesin yang sama atau di situs web lainnya. Web browser memungkinkan pengguna secara cepat dan mudah mengakses informasi yang diberikan oleh banyak situs Web dengan cara menjelajahi link tersebut. Web browser memformat informasi HTML untuk di tayangkan, oleh karena itu penampakan halaman Web akan agak berbeda dari satu browser ke browser yang lain.

Ø SEJARAH SINGKAT

Penjelajah web pertama kali berbasis teks, seperti halnya Lynx yang populer hingga sekarang, karena memang sistem dengan antarmuka grafis belum umum digunakan pada saat itu. Baru setelah sistem berbasis grafis mulai banyak digunakan, seorang mahasiswa bernama Marc Andressen di University of Illinois di Urbana-Champaign, Amerika Serikat, membuat sebuah penjelajah web berbasis grafis pertama yang berjalan di atas sistem operasi Windows dan UNIX (berbasis Motif). Penjelajah web tersebut dinamai Mosaic.

Selanjutnya, setelah lulus dari universitas, Marc ditawari oleh Alief Falahuddin, salah seorang petinggi Silicon Graphics Incorporated (SGI), untuk membuat perusahaan dengan nama Mosaic Communication, yang kemudian berubah menjadi Netscape Communication. Marc membuat sebuah penjelajah web populer pertama yang digunakan oleh umum, yang disebut dengan Netscape Navigator. Pada saat pengembangannya, Navigator memiliki nama kode Mozilla. Navigator merupakan penjelajah web komersial, akan tetapi seiring dengan waktu akhirnya Navigator pun menjadi dapat diperoleh secara gratis. Sementara itu, penjelajah web Mosaic yang gratis tidak diteruskan lagi pengembangannya, dan diserahkan kepada NCSA (National Computing for Supercomputer Application). Karena NCSA tidak memiliki izin untuk mengomersialkan produk Mosaic, NCSA akhirnya menjual Mosaic kepada Spyglass, yang akhirnya membuat Mosaic menjadi penjelajah web komersial.

Microsoft, yang terlambat turun di pasar penjelajah web, pun membeli lisensi Mosaic dari Spyglass, sehingga pada akhirnya merilis produk penjelajah web-nya, yang disebut sebagai Internet Explorer. Dengan dirilisnya Internet Explorer, muncullah perang besar antara web browser populer, yakni antara Netscape Navigator, dan Microsoft Internet Explorer.

B. CARA KERJA WEB BROWSER

Cara kerja Web Browser

1. USER/Netter yang akan mengakses suatu website berupa URL melaluiWeb browser.

2. Kemudian Web browser tersebut mengirimkan permintaan/ request berupa HTTP REQUEST kepada Web Browser melalui layer-layerTCP/IP,

3. Kemudian Web Server memberikan WEB FILES yang di-request jika ada.

4. Web Server memberikan respon kembali ke Web Browser melaluiHTTP RESPONSE (melalui layer-layer TCP/IP)

5. Kemudian baru di terima oleh Web browser, dan kemudian dikirimkan kepada USER berupa DISPLAY.

Misalkan seorang yang bernama A ingin membuka blog ini,kemudian dia akan mengetikan alamat url dari blog saya yaituhttp://blogsiharry.blogspot.com pada browser.

Kemudian alamat tersebut akan dilewatkan oleh suatu protocol HTTP melewati port 80 atau 443 pada server. Web browser akan mengirimkan suatu aturan yang biasa disebut protocol,protocol yang biasa digunakan adalah TCP/IP. Setelah dikirimkan ke web server, maka web server akan merespon request dari web browser tersebut. Web server akan memeriksa web file, apakah ada atau tidak alamat yang di request oleh browser tadi dan mengirimkan kembali, lalu browser akan menerjemahkan coding HTML yang dikirimkan oleh server menjadi suatu halaman web seperti yang anda lihat sekarang. Namun jika halaman tersebut tidak ada di dalam web server maka respon yang dikirimkan berupa pesan dengan kode 404 yang berarti tidak ditemukan.

Ø Contoh Web browser :

1. Mozilla Firefox – link

Dibuat oleh mozilla corporation, firefox adalah salah satu web browser open source yang dibangun dengan Gecko layout engine. Tak hanya handal firefox juga didukung oleh sejumlah Add-ons yang dapat diinstall terpisah yang memungkinkan pengguna melakukan sesuai dengan kegunaan Add-ons tersebut.

2. Google Chrome

Google Chrome dibuat oleh Google Inc. adalah perusahaan multinasional Amerika Serikat yang berkekhususan pada jasa dan produk Internet. Produk-produk tersebut meliputi teknologi pencarian, komputasi web, perangkat lunak, dan periklanan.Web Browser buatan Google ini mulai dilirik banyak Netter karena web browser ini mempunyai banyak fitur yang tidak dimiliki oleh web browser lain.

3. Internet Exporer – link

Web browser besutan Microsoft Corporation biasanya dikenal dengan nama pendek IE, sejak 1995 IE mulai di masukan sebagai default sotware pada saat instalasi Sistem Operasi Windows, sejak tulisan ini dibuat IE belum lama ini meluncurkan versi IE8. Pada versi ini dikenalkan salah satu fitur baru yaitu web slice, Web Slice merupakan pilihan akses langsung di Favorit Bar yang muncul setiap kali browser web dibuka. Webslice bisa terdiri dari preview keseluruhan dari sebuah website yang disajikan dengan ukuran kecil tanpa kita membuka tab baru mengunjungi website tersebut, content dari webslice sebuah website bergantung dari penyedia website menyajikan content yang masuk ke webslice.

4. Safari – link

Dibuat oleh Apple Inc, perusahaan yang juga memproduksi komputer Macintosh, iPod, dan juga iPhone. dibangun dengan browser engine WebKit, WebKit juga adalah browser engine pertama yang lulus test Acid3

5. Flock – link

Flock adalah web browser yang dibangun dengan code mozilla frefox yang web browser ini khususkan menyediakan social networking dan Web 2.0 Flock didesain untuk memudahkan aktivitas online pengguna internet mengatur beberapa social networking, web mail, news feeds dan blogs yang mereka miliki. Dengan Mengunakan Flock mereka dapat dengan mudah menjelajah, berbagi, dan menikmati content maupun menjalin hubungan di situs pertemanan yang mereka inginkan.

6. Opera – link

Opera dikembangkan oleh Opera Software company adalah salah satu Web Browser dan juga Internet Suite. Jika firefox punya Add-ons, Opera punya “Opera Widgets”, sebuah aplikasi web kecil yang dijalankan bersamaan dengan Opera yang mempunyai kegunaan tertentu, layaknya Add-ons firefox.

7. K-Meleon – link

K-Meleon salah satu browser gratis dan open source di rilis dibawah Lisensi GNU General Public dan berjalan diplatform Microsoft Windows (Win32) operating systems. Dibangun di atas Gecko layout engine, layout engine yang sama seperti digunakan Mozilla Firefox.

8. SeaMonkey – link

SeaMonkey adalah sebuah proyek komunitas untuk menjadikan SeaMonkey all-in-one internet application suite, seperti software suite populer yang sudah dibuat sebelumnya oleh Netscape dan Mozilla, dan proyek SeaMonkey melanjutkan konsep tersebut. Terdiri dari Internet browser, email & newsgroup client, HTML editor, IRC chat and web development tools, SeaMonkey direkomendasikan bagi advanced users, web developers dan corporate users.

9. Camino – link

Camino, Mozilla Power Mac Style. Camino adalah open source web browser dikembangkan dan berfokus pada pemberikan experience terbaik kepada pengguna Mac OS X. Camino mengkombinasikan visual sederhana, elegan dan menyajikan pengalaman yang mengagumkan yang menjadi filosofi dari Macintosh dengan Gecko layout engine yang powerful. Camino hanya dapat diinstall dalam Sistem Operasi Mac.

10. Konqueror – link

Konqueror adalah web browser, file manager, dll. Konqueror menyediakan file viewer yang bisa mengexplore file-file di komputer anda maupun secara remote ke komputer lain. Protokol yang didukung Konqueror.

C. BENTUK ANCAMAN KEAMANAN DARI WEB BROWSER

1. Hijacking

Hijacking adalah suatu kegiatan yang berusaha untuk memasuki [menyusup] ke dalam sistem melalui sistem operasional lainnya yang dijalankan oleh seseorang [pelaku: Hacker]. Sistem ini dapat berupa server, jaringan/networking [LAN/WAN], situs web, software atau bahkan kombinasi dari beberapa sistem tersebut. Namun perbedaanya adalah Hijacker menggunakan bantuan software atau server robot untuk melakukan aksinya, tujuanya adalah sama dengan para cracker namun para hijacker melakukan lebih dari para cracker, selain mengambil data dan informasi pendukung lain, tidak jarang sistem yang dituju juga diambil alih, atau bahkan dirusak. Dan yang paling sering dilakukan dalam hijacking adalah Session Hijacking.

2. Session Hijacking

Hal yang paling sulit dilakukan seseorang untuk masuk ke dalam suatu sistem (attack) adalah menebak password. Terlebih lagi apabila password tersebut disimpan dengan menggunakan tingkat enkripsi yang tinggi, atau password yang hanya berlaku satu kali saja (one-time-password). Satu cara yang lebih mudah digunakan untuk masuk ke dalam sistem adalah dengan cara mengambil alih session yang ada setelah proses autentifikasi berjalan dengan normal. Dengan cara ini penyerang tidak perlu repot melakukan proses dekripsi password, atau menebak-nebak password terlebih dahulu. Proses ini dikenal dengan istilah session hijacking. Session hijacking adalah proses pengambil-alihan session yang sedang aktif dari suatu sistem. Keuntungan dari cara ini adalah Anda dapat mem-bypass proses autentikasi dan memperoleh hak akses secara langsung ke dalam sistem.

Ada dua tipe dari session hijacking, yaitu serangan secara aktif dan serangan secara pasif. Pada serangan secara pasif, penyerang hanya menempatkan diri di tengah-tengah dari session antara computer korban dengan server, dan hanya mengamati setiap data yang ditransfer tanpa memutuskan session aslinya. Pada aktif session hijacking, penyerang mencari session yang sedang aktif, dan kemudian mengambil-alih session tersebut dengan memutuskan hubungan session aslinya.

Enam langkah yang terdapat pada session hijacking adalah:

- Mencari target

- Melakukan prediksi sequence number

- Mencari session yang sedang aktif

- Menebak sequence number

- Memutuskan session aslinya

- Mengambil-alih session

Beberapa program atau software yang umumnya digunakan untuk melakukan session hijacking adalah Juggernaut,Hunt, TTY Watcher, dan IP Watcher. Untuk lebih jelasnya di bawah ini dibahas dua tool dari session hijacking yang sudah cukup populer dan banyak digunakan, yakni Juggernaut dan Hunt.

Ø Juggernaut

Software ini sebenarnya adalah software network sniffer yang juga dapat digunakan untuk melakukan TCP session hijacking. Juggernaut berjalan pada sistem operasi Linux dan dapat diatur untuk memantau semua network traffic. Di samping itu program ini pun dapat mengambil (capture) data yang kemungkinan berisi user name dan password dari user (pengguna) yang sedang melakukan proses login.

Ø Hunt

Software ini dapat digunakan untuk mendengarkan (listen), intersepsi (intercept), dan mengambil-alih (hijack) session yang sedang aktif pada sebuah network. Hunt dibuat dengan menggunakan konsep yang sama dengan Juggernaut dan memiliki beberapa fasilitas tambahan.

D. CARA MENGATASI ANCAMAN PADA WEB BROWSER

· Selalu mengupdate web browser menggunakan patch terbaru

· Mencegah virus

· Menggunakan situs yang aman untuk transaksi finansial dan sensitif

· Menggunakan secure proxy

· Mengamankan lingkungan jaringan

· Tidak menggunakan informasi pribadi

· Hati-hati ketika merubah setting browser

· Hati-hati ketika merubah konfigurasi browser

· Jangan membuat konfigurasi yang mendukung scripts dan macros

· Jangan langsung menjalankan program yang anda download dari internet

· Browsing ke situs-situs yang aman

· Mengurangi kemungkinan adanya malcode dan spyware

· Konfigurasi home page harus hati-hati

· Lebih baik gunakan blank.

· Jangan mempercayai setiap links (periksa dulu arah tujuan link itu)

· Jangan selalu mengikuti link yang diberitahukan lewat e-mail

· Jangan browsing dari sistem yang mengandung data sensitif

· Lindungi informasi anda kalau bisa jangan gunakan informasi pribadi pada web

· Gunakan stronger encryption

· Pilih 128-bit encryption

· Gunakan browser yang jarang digunakan

· Serangan banyak dilakukan pada web browser yang populer

· Minimalkan penggunaan plugins

· Minimalkan penggunaan cookies

· Perhatikan cara penanganan dan lokasi penyimpanan temporary files

v Poin-poin penting dalam keamanan web

1. Remote File Inklusi (RFI)

Remote File Inklusi (RFI) adalah jenis kerentanan paling sering ditemukan di situs Web, memungkinkan penyerang untuk menyertakan file jarak jauh yang biasanya melalui sebuah script di server web. Kerentanan terjadi karena penggunaan input yang diberikan pengguna tanpa validasi yang tepat. Hal ini dapat mengakibatkan sesuatu yang minimal keluaran isi file, tetapi tergantung pada beratnya, untuk daftar beberapa itu bisa mengarah pada:

o Kode eksekusi pada server web

o Kode eksekusi di sisi-klien seperti Javascript yang dapat menyebabkan serangan lain seperti situs cross scripting (XSS).

o Denial of Service (DoS)

o Pencurian Data / Manipulasi

Dalam PHP penyebab utama adalah karena penggunaan unvalidated variabel eksternal seperti $ _GET, $ _POST, $ _COOKIE dengan fungsi filesystem, yang paling menonjol adalah meliputi dan membutuhkan laporan. Sebagian besar kerentanan dapat dikaitkan dengan programmer pemula tidak akrab dengan semua kemampuan bahasa pemrograman PHP. Bahasa PHP memiliki direktif allow_url_fopen dan jika diaktifkan memungkinkan fungsi filesystem untuk menggunakan URL yang memungkinkan mereka untuk mengambil data dari lokasi terpencil. Seorang penyerang akan mengubah variabel yang dilewatkan ke salah satu fungsi-fungsi ini menyebabkan itu untuk memasukkan kode berbahaya dari sumber daya remote. Untuk mengatasi ini, semua input pengguna harus divalidasi sebelum digunakan.

2. Local File Inclusion (LFI)

Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(), require_once() yang variabel nya tidak dideklarasikan dengan sempurna.

Dengan LFI seorang attacker dapat menginclude kan file yang berada di dalam server yang bersangkutan.

3. SQL injection

SQL Injection adalah kode injeksi teknik yang memanfaatkan kelemahan keamanan yang terjadi pada lapisan aplikasi database. kerentanan ini hadir ketika masukan pengguna tidak benar baik disaring untuk menghindari karakter string literal tertanam dalam pernyataan SQL atau masukan pengguna tidak kuat diketik dan dengan demikian tak terduga dieksekusi. Ini adalah sebuah instance dari kelas yang lebih umum dari kerentanan yang dapat terjadi kapan pun salah satu bahasa pemrograman atau script yang tertanam di dalam yang lain. serangan injeksi SQL juga dikenal sebagai serangan penyisipan SQL.

4. Cross Site Scripting (XSS)

Cross-site scripting (XSS) adalah jenis kerentanan keamanan komputer biasanya ditemukan di aplikasi web yang memungkinkan penyerang berbahaya untuk menyuntik script sisi klien ke dalam halaman web dilihat oleh pengguna lain. Sebuah kerentanan dieksploitasi scripting lintas situs dapat digunakan oleh penyerang untuk mem-bypass akses kontrol seperti kebijakan asal-usul yang sama. Cross-site scripting dilakukan di situs Web adalah sekitar 80% dari semua kerentanan keamanan didokumentasikan oleh Symantec pada 2007. Dampak beragam, mulai dari gangguan kecil dengan risiko keamanan yang signifikan, tergantung pada kepekaan data ditangani oleh situs rentan, dan sifat dari setiap mitigasi keamanan dilaksanakan oleh pemilik situs.

Lubang Cross-site scripting adalah kelemahan aplikasi web yang memungkinkan penyerang untuk mem-bypass mekanisme klien-sisi keamanan biasanya dikenakan pada konten web oleh browser modern. Dengan mencari cara suntik script jahat ke dalam halaman web, penyerang bisa mendapatkan hak akses diangkat ke konten halaman sensitif, cookie sesi, dan berbagai informasi lainnya yang dikelola oleh browser atas nama pengguna. serangan Cross-site scripting Oleh karena itu kasus khusus injeksi kode.

Ekspresi "cross-site scripting" pada awalnya merujuk pada tindakan loading aplikasi, web diserang pihak ketiga dari sebuah situs serangan yang tidak berhubungan, dengan cara yang mengeksekusi sebuah fragmen JavaScript disusun oleh penyerang dalam konteks keamanan dari domain yang ditargetkan (a dipantulkan atau non-persistent kerentanan XSS). Definisi ini secara bertahap diperluas untuk mencakup modus lain injeksi kode, termasuk vektor persisten dan non-JavaScript (termasuk Jawa, ActiveX, VBScript, Flash, HTML atau bahkan murni), menyebabkan kebingungan untuk pendatang baru dalam bidang keamanan informasi.

BAB9. PENGAMANAN WEB SYSTEM / SERVER

Pengertian Web Server

Server web atau yang dalam bahasa inggris disebut web server adalah perangkat lunak (software) dalam server yang berfungsi untuk menerima permintaan (request) berupa halaman web melalui protokol HTTP dan atau HTTPS dari klien yang lebih dikenal dengan nama browser, kemudian mengirimkan kembali (respon) hasil permintaan tersebut ke dalam bentuk halaman-halaman web yang pada umumnya berbentuk dokumen HTML.

Dari pengertian di atas, dapat disimpulkan bahwa web server merupakan pelayan (pemberi layanan) bagi web klien (browser) seperti Mozilla, Opera, Chrome, Safari, Internet Explorer, dan lain sebagainya, supaya browser dapat menampilkan halaman atau data yang Anda minta.

Fungsi Web Server

Fungsi utama dari web server adalah untuk melakukan atau mentransfer berkas permintaan pengguna melalui protokol komunikasi yang telah ditentukan sedemikian rupa. Halaman web yang diminta terdiri dari berkas teks, video, gambar, file dan banyak lagi.

Salah satu contoh dari Web Server adalah Apache. Apache (Apache Web Server – The HTTP Web Server) merupakan web server yang paling banyak dipergunakan di Internet. Program ini pertama kali didesain untuk sistem operasi lingkungan UNIX. Apache mempunyai program pendukung yang cukup banyak. Hal ini memberikan layanan yang cukup lengkap bagi penggunanya.

Beberapa dukungan Apache :

PHP (Personal Home Page/PHP Hypertext Processor)

Program dengan metode semacam CGI, yang memproses teks dan bekerja di server. Apache mendukung PHP dengan menempatkannya sebagai salah satu modulnya (mod_php).

Kontrol Akses

Kontrol ini dapat dijalankan berdasarkan nama host atau nomor IP CGI (Common Gateway Interface). Yang paling terkenal untuk digunakan adalah PERL (Practical Extraction and Report Language), didukung oleh Apache dengan menempatkannya sebagai modul (mod_perl)

Cara Kerja Web Server

Sederhananya tugas web server adalah untuk menerima permintaan dari klien dan mengirimkan kembali berkas yang diminta oleh klien tersebut. Perangkat lunak web server terdapat pada komputer server, dan di komputer ini pula data-data website tersimpan dengan rapih. Sama halnya dengan komputer klien, komputer server juga harus terhubung dengan jaringan internet untuk dapat diakses oleh klien.

Pada saat klien (browser) meminta data web page kepada server, maka instruksi permintaan data oleh browser tersebut akan dikemas di dalam TCP yang merupakan protokol transport dan dikirim ke alamat yang dalam hal ini merupakan protokol berikutnya yaitu HTTP dan atau HTTPS.

Data yang diminta dari browser ke web server disebut dengan HTTP request yang kemudian akan dicarikan oleh web server di dalam komputer server. Jika ditemukan, data tersebut akan dikemas oleh web server dalam TCP dan dikirim kembali ke browser untuk ditampilkan.

Nah, data yang dikirim dari server ke browser dikenal dengan HTTP response. Jika data yang diminta oleh browser tersebut ternyata tidak ditemukan oleh web server, maka web server akan menolak permintaan tersebut dan browser akan menampilkan notifikasi Page Not Found atau Error 404.

Meskipun proses atau cara kerja web server di atas sepertinya sangat rumit, tapi pada prakteknya proses tersebut berlangsung dengan sangat cepat. Anda bahkan bisa sampai tidak menyadari bahwa pada saat meminta suatu halaman web, ternyata hal itu membutuhkan proses yang sangat panjang sampai halaman tersebut dapat Anda lihat di browser.

Berikut jenis-jenis Web server:

Ø Apache Web server - the HTTP web server
Ø Apache Tomcat
Ø Microsoft Windows server 2003 Internet Information Service (IIS)
Ø Light HTTP
Ø Jigsaw
Ø Sun java system web server
Ø Xitami web server
Ø Zerus web server

Ancaman Web Server:

Ancaman keamanan secara spesifik terhadap Web server umumnya terbagi
menjadi beberapa kategori:

1. Entitas malicious dapat mengeksploitasi bug perangkat lunak dalam Web server, sistem operasi web server, atau active content untuk memperoleh akses ilegal ke dalam Web server.

2. Serangan Denial of Service (DoS) yang diarahkan pada Web server atau infrastruktur jaringan pendukungnya, sehingga dapat menolak atau menghalangi para pengguna sah yang akan
memanfaatkan layanannya.

3. Informasi sensitif pada Web server yang memungkinkan untuk dibaca atau dimodifikasi tanpa otorisasi.

4. Informasi sensitif di database penyangga yang digunakan untuk mendukung elemen interaktif dari suatu aplikasi Web memungkinkan untuk dibobol melalui serangan commandinjection, misalnya injeksi Structured Query Language [SQL], injeksi Lightweight Directory Access Protocol [LDAP], cross-site scripting [XSS].

5. Informasi sensitif yang ditransmisikan tanpa dienkripsi antara Web server dan Browser yang dapat disadap dan terbaca dengan jelas.

6. Informasi pada Web server yang dapat diubah untuk tujuan jahat. Defacement (penggantian tampilan) situs Web merupakan contoh yang umumnya dilaporkan untuk ancaman ini.

7. Entitas malicious yang berhasil mendapatkan akses ilegal Pedoman Keamanan Web Server | 2 terhadap sumber daya di tempat lain dalam jaringan organisasi melalui suatu serangan terhadap Web server.

8. Entitas malicious yang menyerang organisasi inernal setelah membobol suatu host Web server. Serangan tersebut dapat dilancarkan secara langsung, misalnya dari host yang bobol terhadap suatu server internal atau secara tidak langsung misalnya dengan menempatkan konten malicious pada Web server yang bobol yang berusaha mengeksploitasi kerawanan dalam browser Web dari para pengguna yang mengunjungi situs tersebut.

9. Server yang dapat digunakan sebagai suatu titik distribusi perangkat serangan, pornografi, atau lunak yang dicopy secara ilegal.
Tipe Serangan Tak Langsung terhadap Web server bertujuan mendapatkan informasi dari para penggunanya. Serangan tidak langsung ini dapat berbentuk:

1. Phishing, dimana para penyerang menggunakan social engineering (rekayasa sosial) untuk memperdaya para pengguna agar melakukan logging ke suatu situs palsu.

2. Pharming, dimana server DNS atau file host para pengguna dibobol sehingga para pengguna diarahkan ke suatu situs malicious pengganti situs yang sah.Pedoman Keamanan Web Server | 3 Dokumen ini dimaksudkan untuk memberikan asistensi pada organisasi dalam instalasi, melakukan konfigurasi, dan mengelola Web server yang aman.
Lima langkah dasar yang dibutuhkan untuk memelihara keamanan OS dasar:
1. Merencanakan instalasi dan penyebaran OS host dan komponen lain untuk Web server
2. Melakukan patch dan update OS host seperlunya
3. Memperkuat secara fisik dan mengkonfigurasikan OS hostuntuk mengatasi keamanan secukupnya
4. Menginstal dan mengkonfigurasikan tambahan kontrol-kontrol keamanan, jika dibutuhkan
5. Menguji OS host untuk memastikan bahwa keempat langkah sebelumnya cukup mengatasi seluruh pokok persoalan keamanan.

Beberapa rekomendasi penanggulangan yang dapat dilakukan antara lain adalah

1. Organisasi sebaiknya merencanakan dengan cermat, termasukmasalah penentuan personil dan keterampilan yang dibutuhkan dalam mengamankan suatu Web server .Hal-hal yang perlu diperhatikan dalam suatu perencanaan untuk menghasilkan tindakan yang efektif adalah sebagai berikut :
a) Personil yang dibutuhkan, misalnya, para administrator Web server dan sistem, Webmaster, administrator jaringan, pejabat keamanan sistem informasi [ISSO] dan lain-lain.
b) Keterampilan dan pelatihan yang dibutuhkan oleh personil yang ditugaskan.
c) Persyaratan individu, yaitu spesifikasi yang disyaratkan dari tipe personil tertentu dan kelompok kerja yang dibentuk untuk menangani aspek keamanan.

2. Organisasi sebaiknya mengimplementasikan praktek dan kontrol manajemen keamanan yang tepat ketika memelihara dan mengoperasikan suatu Web server yang aman.Untuk memastikan keamanan dari suatu Web server dan infrastruktur jaringan pendukung, hal-hal berikut semestinya diimplementasikan:
a) Kebijakan keamanan sistem informasi lingkup organisasi
b) Kontrol dan manajemen konfigurasi/perubahan
c) Penilaian dan manajemen resiko
d) Konfigurasi perangkat lunak yang distandarkan yang memenuhi kebijakan keamanan sistem informasiPedoman Keamanan Web Server | 4
e) Kesadaran dan pelatihan keamanan
f) Rencana contingency, kontinuitas operasi, dan perencanaan pemulihan bencana
g) Sertifikasi dan akreditasi.

3. Organisasi sebaiknya memastikan bahwa aplikasi Web server diinstal, dikonfigurasi dan dikelola sesuai kebutuhan keamanan organisasi.Mengamankan aplikasi Web server biasanya akan mencakup langkah-langkah berikut:
a) Melakukan patch dan upgrade aplikasi Web server
b) Menghilangkan atau menon-aktifkan layanan, aplikasi dan contoh konten yang tidak perlu
c) Mengkonfigurasikan otentikasi pengguna dan kendali akses Pedoman Keamanan Web Server | 5 Web server
d) Mengkonfigurasikan access control sumber daya Web server
e) Melakukan tes keamanan aplikasi Web server dan konten Web

4. Organisasi sebaiknya mengambil langkah-langkah untukmemastikan bahwa hanya konten yang layak yang dipublikasikan pada suatu situs Web dan bahwa konten sudah diproteksi dengan baik.Beberapa informasi yang seharusnya tidak dipublikasikan adalah sebagai berikut :
a) Informasi berklasifikasi rahasia dan sangat rahasia
b) Informasi tentang komposisi atau penyiapan material berbahaya atau beracun
c) Informasi sensitif terkait keamanan dalam negeri
d) Catatan medis
e) Usaha perlindungan terhadap keamanan detil fisik dan informasi dari suatu organisasi
f) Detil tentang infrastruktur jaringan dan sistem informasi organisasi (misalnya, jangkauan address, konvensi penamaan, jumlah akses)
g) Informasi yang menspesifikasikan atau mengimplikasikan kerawanan keamanan fisik
h) Detil rencana, peta, diagram, foto udara, gambar arsitektur dari gedung, properti atau instalasi organisasi
i) Informasi sensitif apapun tentang individu, seperti informasi yang dapat mengidentifikasi secara personal (personally identifiable information [PII]), yang dapat menjadi subyek hukum.Pedoman Keamanan Web Server | 6

5. Organisasi sebaiknya memastikan langkah-langkah tepat yang diambil untuk melindungi konten Web server dari akses atau modifikasi yang tidak sah.Langkah-langkah yang diambil untuk melindungi konten web tersebut antara lain :
a) Menginstal atau mengaktifkan layanan yang memang diperlukan.
b) Menempatkan konten Web pada suatu hard drive atau partisi logik tertentu.
c) Membatasi upload ke direktori yang tidak dapat dibaca oleh Web server.
d) Menentukan suatu direktori tunggal untuk semua script atau program eksternal yang dieksekusi sebagai bagian dari konten Web.
e) Menon-aktifkan penggunaan hard /symbolic link.
f) Menentukan suatu matriks akses konten Web lengkap yang mengidentifikasi folder dan file mana dalam direktori dokumen Web server yang bebas atau dibatasi aksesnya (dan oleh siapa).
g) Menon-aktifkan listing direktori.
h) Menggunakan otentikasi, tandatangan digital, dan mekanisme kriptografi yang diperlukan
i) Menggunakan host-based sistem deteksi gangguan (intrusion detection system [IDS]) dan/atau pengecek integritas file untuk mendeteksi gangguan atau memverifikasi konten Web.
j) Memproteksi setiap server penyangga (misalnya server database, server direktori) dari serangan injeksi perintah (command injection attack) baik dari Web server maupun server penyangga itu sendiri. Pedoman Keamanan Web Server | 7

6. Organisasi sebaiknya menggunakan active content secara bijaksana untuk menyeimbangkan antara manfaat yang diperoleh dengan resiko yang menyertainya.
Sebagian besar situs Web pada generasi awal memberikan informasi statis yang diletakkan pada server, umumnya berbentuk dokumen berbasis teks. Dalam perkembangannya, elemen interaktif diperkenalkan kepada para pengguna tentang cara baru berinteraksi dengan suatu situs Web. Sayangnya, elemen interaktif tersebut memperkenalkan kerentanan baru yang terkait dengan Web karena elemen-elemen tersebut melibatkan kode eksekusi dinamis baik pada Web server ataupun klien yang menggunakan input sangat besar, mulai dari parameter Universal Resource Locator (URL) hingga konten Hypertext Transfer Protocol (HTTP) POST maupun konten XML berbentuk pesan-pesan layanan Web. Teknologi active contentyang berbeda memiliki kerentanan terkait yang berbeda, dan resikonya harus diseimbangkan dengan manfaatnya.

7. Organisasi harus menggunakan teknologi otentikasi dan enkripsi untuk melindungi data sensitif tertentu.
Seringkali diperlukan teknologi untuk mengidentifikasikan dan membuktikan keaslian para pengguna dengan privilege yang berbeda untuk mengakses informasi. Beberapa dari teknologi ini berbasiskan fungsi kriptografi yang dapat menyediakan suatu jalur terenkripsi antara klien browser Web dan Web server yang mendukung enkripsi. Sekalipun dengan suatu jalur terenkripsi dan mekanisme otentikasi, mungkin saja para penyerang berupaya mengakses situs melalui suatu serangan brute force.Teknik otentikasi yang tidak tepat dapat menyebabkan para penyerang mengumpulkan username yang sah atau kemungkinan besar mendapatkan akses ke situs Web. Mekanisme otentikasi yang baik dapat pula melindungi terhadap serangan phishing dan pharming. Oleh Pedoman Keamanan Web Server | 8 karena itu, harus dimplementasikan otentikasi dengan tingkatanyang tepat berdasarkan pada sensitifitas para pengguna dan konten Web server.

8. Organisasi sebaiknya mengembangkan keamanan infrastruktur jaringan untuk membantu melindungi server Web-nya.
Insfrastruktur jaringan (misalnya, firewall, router, IDS) yang mendukung Web server memainkan suatu peran penting dalam hal keamanan dari Web server. Pada sebagian besar konfigurasi, infrastruktur jaringan akan menjadi garis terdepan pertahanan antara suatu Web server dan Internet. Desain jaringan saja tidak dapat melindungi suatu Web server. Frekuensi, kecanggihan dan ragam serangan Web server yang dilakukan kini mendukung gagasan bahwa keamanan Web server harus diimplementasikan melalui mekanisme proteksi yang berlapis dan terpelihara.

9. Organisasi sebaiknya berkomitmen terhadap proses pemeliharaan keamanan Web server yang dilakukan secara rutin untuk memastikan keamanan berkelanjutan.
Memelihara suatu Web server yang aman memerlukan upaya yang konsisten, sumber daya, dan kewaspadaan dari suatu organisasi. Memelihara keamanan dari suatu Web server biasanya akan melibatkan langkah-langkah berikut:
a) Mengkonfigurasi, memproteksi, dan menganalisa file log
b) Membuat backup informasi kritis secara rutin
c) Menetapkan dan menjalankan prosedur untuk pemulihan dari kebobolan
d) Pengetesan dan penerapan patch secara tepat waktu
e) Pengetesan keamanan secara periodik.

New path

Kamis, 18 Oktober 2018

Resume Bab 7 - 9

Tidak ada komentar:

Posting Komentar

Arsip Blog