BAB 7 PENGAMANAN JARINGAN KOMPUTER

1. Apa itu Keamanan Jaringan
Satu hal yang perlu
diingat bahwa tidak ada jaringan yang anti sadap atau tidak ada jaringan
komputer yang benar-benar aman. Sifat dari jaringan adalah melakukan
komunikasi. Setiap komunikasi dapat jatuh ke tangan orang lain dan
disalahgunakan. Sistem keamanan membantu mengamankan jaringan tanpa menghalangi
penggunaannya dan menempatkan antisipasi ketika jaringan berhasil ditembus.
Selain itu, pastikan bahwa user dalam jaringan memiliki pengetahuan yang cukup
mengenai keamanan dan pastikan bahwa mereka menerima dan memahami rencana
keamanan yang Anda buat. Jika mereka tidak memahami hal tersebut, maka mereka
akan menciptakan lubang (hole) keamanan
pada jaringan Anda.
Ada dua elemen utama
pembentuk keamanan jaringan :
·
Tembok pengamanan, baik secara fisik maupun maya,
yang ditaruh diantara piranti dan layanan jaringan yang digunakan dan
orang-orang yang akan berbuat jahat.
·
Rencana pengamanan, yang akan diimplementasikan
bersama dengan user lainnya, untuk menjaga agar sistem tidak bisa ditembus dari
luar.
Segi-segi keamanan
didefinisikan dari kelima point ini.
a.
Confidentiality Mensyaratkan bahwa informasi (data)
hanya bisa diakses oleh pihak yang memiliki wewenang.
b.
Integrity Mensyaratkan bahwa informasi hanya
dapat diubah oleh pihak yang memiliki wewenang.
c.
Availability Mensyaratkan bahwa informasi
tersedia untuk pihak yang memiliki wewenang ketika dibutuhkan.
d.
Authentication Mensyaratkan bahwa pengirim suatu
informasi dapat diidentifikasi dengan benar dan ada jaminan bahwa identitas
yang didapat tidak palsu.
e.
Nonrepudiation Mensyaratkan bahwa baik pengirim
maupun penerima informasi tidak dapat menyangkal pengiriman dan penerimaan
pesan.
Serangan (gangguan)
terhadap keamanan dapat dikategorikan dalam empat kategori utama :
a.
Interruption
Suatu aset dari suatu
sistem diserang sehingga menjadi tidak tersedia atau tidak dapat dipakai oleh
yang berwenang. Contohnya adalah perusakan/modifikasi terhadap piranti keras
atau saluran jaringan.
b.
Interception
Suatu pihak yang tidak
berwenang mendapatkan akses pada suatu aset. Pihak yang dimaksud bisa
berupa orang, program, atau sistem yang
lain. Contohnya adalah penyadapan terhadap data dalam suatu jaringan.
c.
Modification
Suatu pihak yang tidak
berwenang dapat melakukan perubahan terhadap suatu aset. Contohnya adalah
perubahan nilai pada file data, modifikasi program sehingga berjalan dengan
tidak semestinya, dan modifikasi pesan
yang sedang ditransmisikan dalam jaringan.
d.
Fabrication
Suatu pihak yang tidak
berwenang menyisipkan objek palsu ke dalam sistem.
Contohnya adalah
pengiriman pesan palsu kepada orang lain.
Ada beberapa prinsip yang
perlu dihindari dalam menangani masalah keamanan :
§
diam
dan semua akan baik-baik saja
§
sembunyi
dan mereka tidak akan dapat menemukan anda
§
teknologi
yang digunakan kompleks/rumit, artinya aman
2. Kepedulian Masalah Jaringan
Overview
Pendefinisian keamanan (pada
jaringan komputer) dapat dilakukan dengan melihat target yang ingin dicapai
melalui konsep 'aman'. Berikut adalah daftar fitur
yang dapat mencegah/mengantisipasi serangan
dari pihak luar ataupun pihak dalam.
Security
Policy
Sebelum melanjutkan
implementasi ke tingkat yang lebih jauh sebaiknya ditentukan dulu apa yang
hendak dilindungi dan dilindungi dari siapa. Beberapa pertanyaan berikut dapat
membantu penentuan kebijakan keamanan yang diambil.
- Informasi apa yang dianggap rahasia atau sensitif ?
- Anda melindungi sistem anda dari siapa ?
- Apakah anda membutuhkan akses jarak jauh?
- Apakah password dan enkripsi cukup melindungi ?
- Apakah anda butuh akses internet?
- Tindakan apa yang anda lakukan jika ternyata sistem anda dibobol?
Serta masih banyak pertanyaan lain
tergantung bentuk organisasi yang anda kelola.
Kebijaksanaan
keamanan tergantung sebesar apa anda
percaya orang lain, di dalam ataupun di luar organisasi anda. Kebijakan
haruslah merupakan keseimbangan antara mengijinkan user untuk mengakses
informasi yang dibutuhkan dengan tetap menjaga keamanan sistem.
Keamanan Secara
Fisik
Fisik dalam bagian ini
diartikan sebagai situasi di mana seseorang dapat masuk ke dalam ruangan server/jaringan dan dapat mengakses piranti
tersebut secara illegal. Orang yang tidak berkepentingan ini bisa saja seorang
tamu, staf pembersih, kurir pengantar paket, dan lainnya yang dapat masuk ke
ruangan tersebut dan mengutak-atik piranti yang ada. Apabila seseorang memiliki
akses terhadap ruangan tersebut, orang
tersebut bisa saja memasang program trojan horse di komputer, melakukan
booting dari floppy disk, atau mencuri
data-data penting (seperti file password) dan membongkarnya di tempat yang
lebih aman.
Untuk menjaga keamanan, taruhlah server di ruangan
yang dapat dikunci dan pastikan bahwa ruangan tersebut dikunci dengan baik. Untuk menghindari
pengintaian, gunakan screen-saver yang dapat dipassword. Atur juga semua komputer untuk melakukan fungsi
auto-logout setelah tidak aktif dalam jangka waktu tertentu.
BIOS
Security
Sebenarnya seorang admin direkomendasikan men-disable
boot dari floppy. Atau bisa dilakukan dengan membuat password pada BIOS dan
memasang boot password.
Password Attack
Banyak orang menyimpan
informasi pentingnya pada komputer dan seringkali sebuah password hal yang
mencegah orang lain untuk melihatnya. Untuk menghindari serangan password maka
sebaiknya user menggunakan password yang cukup baik. Petunjuk pemilihan
password :
·
Semua
password harus terdiri dari paling sedikit 7 karakter.
·
Masukkan
kombinasi huruf, angka, dan tanda baca sebanyak mungkin dengan catatan bahwa
password tetap mudah untuk diingat.
Salah satu caranya adalah mengkombinasikan kata-kata acak dengan tanda
baca atau dengan mengkombinasikan
kata-kata dengan angka. Contoh : rasa#melon@manis, komputer0digital1,
kurang<lebih>2001
·
Gunakan
huruf pertama frasa yang gampang diingat. Contoh: dilarang parkir antara pukul
7 pagi hingga pukul 8 sore à
dpap7php8s, tidak ada sistem yang benar-benar aman dalam konteks jaringan à tasybbadkj
·
Gunakan
angka atau tanda baca untuk menggantikan huruf di password. Contoh :
keberhasilan à
k3b3rh45!l4n
· Gantilah
password secara teratur
Malicious
Code
Malicious code bisa
berupa virus, trojan atau worm, biasanya berupa kode instruksi yang akan
memberatkan sistem sehingga performansi sistem menurun. Cara mengantisipasinya
bisa dilihat pada 6 contoh berikut :
- berikan kesadaran pada user tentang ancaman virus.
- gunakan program anti virus yang baik pada workstation, server dan gateway internet (jika punya).
- ajarkan dan latih user cara menggunakan program anti virus
- sebagai admin sebaiknya selalu mengupdate program anti-virus dan database virus
- Biasakan para user untuk TIDAK membuka file attachment email atau file apapun dari floppy sebelum 110 % yakin atau tidak attachment/file tsb “bersih”.
- Pastikan kebijakan kemanan anda up to date.
Sniffer
Sniffer adalah sebuah device penyadapan komunikasi
jaringan komputer dengan memanfaatkan mode premicious pada ethernet. Karena
jaringan komunikasi komputer terdiri dari data biner acak maka sniffer ini
biasanya memiliki penganalisis protokol sehingga data biner acak dapat
dipecahkan. Fungsi sniffer bagi pengelola bisa untuk pemeliharaan jaringan,
bagi orang luar bisa untuk menjebol sistem.
Cara
paling mudah untuk mengantisipasi Sniffer adalah menggunakan aplikasi yang
secure, misal : ssh, ssl, secureftp dan lain-lain
Scanner
Layanan jaringan (network
service) yang berbeda berjalan pada port yang berbeda juga. Tiap layanan
jaringan berjalan pada alamat jaringan tertentu (mis. 167.205.48.130) dan
mendengarkan (listening) pada satu atau lebih port (antara 0 hingga 65535).
Keduanya membentuk apa yang dinamakan socket
address yang mengidentifikasikan secara unik suatu layanan dalam
jaringan. Port 0 hingga 1023 yang paling umum dipergunakan didefinisikan
sebagai well-known number dalam
konvensi UNIX dan dideskripsikan dalam RFC 1700.
Port
Scanner merupakan program yang didesain untuk menemukan layanan (service) apa
saja yang dijalankan pada host jaringan. Untuk mendapatkan akses ke host,
cracker harus mengetahui titik-titik kelemahan yang ada. Sebagai contoh,
apabila cracker sudah mengetahui bahwa host menjalankan proses ftp server, ia
dapat menggunakan kelemahan-kelemahan yang ada pada ftp server untuk
mendapatkan akses. Dari bagian ini kita dapat mengambil kesimpulan bahwa
layanan yang tidak benar-benar diperlukan sebaiknya dihilangkan untuk memperkecil
resiko keamanan yang mungkin terjadi.
Mirip
dengan port scanner pada bagian sebelumnya, network scanner memberikan
informasi mengenai sasaran yang dituju, misalnya saja sistem operasi yang
dipergunakan, layanan jaringan yang aktif, jenis mesin yang terhubung ke
network, serta konfigurasi jaringan. Terkadang, network scanner juga
mengintegrasikan port scanner dalam aplikasinya. Tool ini berguna untuk mencari
informasi mengenai target sebanyak mungkin sebelum melakukan serangan yang
sebenarnya. Dengan mengetahui kondisi dan konfigurasi jaringan, seseorang akan
lebih mudah masuk dan merusak sistem.
Contoh
scanner : Nmap, Netcat, NetScan Tools Pro
2000, SuperScan
Spoofing
Spoofing (penyamaran)
biasa dilakukan oleh pihak yang tidak bertanggungjawab untuk menggunakan
fasilitas dan resource sistem. Spoofing adalah teknik melakukan penyamaran
sehingga terdeteksi sebagai identitas yang bukan sebenarnya, misal : menyamar
sebagai IP tertentu, nama komputer bahkan e-mail address tertentu.
Antisipasinya dapat dilakukan dengan menggunakan aplikasi firewall.
Denial of Service
Denial of Service (DoS)
merupakan serangan dimana suatu pihak mengekploitasi aspek dari suite Internet
Protocol untuk menghalangi akses pihak yang berhak atas informasi atau sistem
yang diserang. Hole yang memungkinkan
DoS berada dalam kategori C, yang berada dalam prioritas rendah. Serangan
ini biasanya didasarkan pada sistem
operasi yang dipergunakan. Artinya, hole ini berada di dalam bagian jaringan dari sistem operasi itu sendiri.
Ketika hole macam ini muncul, hole ini harus diperbaiki oleh pemilik software tersebut atau di-patch oleh
vendor yang mengeluarkan sistem operasi tersebut. Contoh dari serangan ini
adalah TCP SYN dimana permintaan koneksi jaringan dikirimkan ke server dalam
jumlah yang sangat besar. Akibatnya server dibanjiri permintaan koneksi dan
menjadi lambat atau bahkan tidak dapat dicapai sama sekali. Hole ini terdapat
nyaris di semua sistem operasi yang menjalankan TCP/IP untuk berkomunikasi di internet. Hal ini
tampaknya menjadi masalah yang terdapat di dalam desain suite TCP/IP, dan merupakan sesuatu yang tidak
mudah diselesaikan.
Dalam serangan DoS,
sesorang dapat melakukan sesuatu yang mengganggu kinerja dan operasi jaringan
atau server. Akibat dari serangan ini adalah lambatnya server atau jaringan
dalam merespons, atau bahkan bisa menyebabkan crash. Serangan DoS mengganggu
user yang sah untuk mendapatkan layanan yang sah, namun tidak memungkinkan
cracker masuk ke dalam sistem jaringan yang ada. Namun, serangan semacam ini
terhadap server yang menangani kegiatan e-commerce akan dapat berakibat
kerugian dalam bentuk finansial.
3.
Enkripsi
Untuk Keamanan Data Pada Jaringan
Salah satu hal yang penting dalam komunikasi
menggunakan computer untuk menjamin kerahasian data adalah enkripsi. Enkripsi
dalah sebuah proses yang melakukan perubahan sebuah kode dari yang bisa
dimengerti menjadi sebuah kode yang tidak bisa dimengerti (tidak terbaca).
Enkripsi dapat diartikan sebagai kode atau chiper. Sebuah sistem pengkodean
menggunakan suatu table atau kamus yang telah didefinisikan untuk mengganti
kata dari informasi atau yang merupakan bagian dari informasi yang dikirim.
Sebuah chiper menggunakan suatu algoritma yang dapat mengkodekan semua aliran
data (stream) bit dari sebuah pesan menjadi cryptogram yang tidak dimengerti
(unitelligible). Karena teknik cipher merupakan suatu sistem yang telah siap
untuk di automasi, maka teknik ini digunakan dalam sistem keamanan komputer dan
network.
Pada
bagian selanjutnya kita akan membahas berbagai macam teknik enkripsi yang biasa
digunakan dalam sistem sekuriti dari sistem komputer dan network.
A.
Enkripsi Konvensional.
Proses
enkripsi ini dapat digambarkan sebagai berikut :
Plain teks -> Algoritma Enkripsi
-> Cipher teks ->Algoritma Dekrispsi -> Plain teks
User A | | User B
|----------------------Kunci (Key) --------------------|
User A | | User B
|----------------------Kunci (Key) --------------------|
Gambar
1
Informasi
asal yang dapat di mengerti di simbolkan oleh Plain teks, yang kemudian oleh
algoritma Enkripsi diterjemahkan menjadi informasi yang tidak dapat untuk
dimengerti yang disimbolkan dengan cipher teks. Proses enkripsi terdiri dari
dua yaitu algoritma dan kunci. Kunci biasanya merupakan suatu string bit yang
pendek yang mengontrol algoritma. Algoritma enkripsi akan menghasilkan hasil
yang berbeda tergantung pada kunci yang digunakan. Mengubah kunci dari enkripsi
akan mengubah output dari algortima enkripsi.
Sekali
cipher teks telah dihasilkan, kemudian ditransmisikan. Pada bagian penerima
selanjutnya cipher teks yang diterima diubah kembali ke plain teks dengan
algoritma dan dan kunci yang sama.
Keamanan
dari enkripsi konvensional bergantung pada beberapa faktor. Pertama algoritma
enkripsi harus cukup kuat sehingga menjadikan sangat sulit untuk mendekripsi
cipher teks dengan dasar cipher teks tersebut. Lebih jauh dari itu keamanan
dari algoritma enkripsi konvensional bergantung pada kerahasian dari kuncinya
bukan algoritmanya. Yaitu dengan asumsi bahwa adalah sangat tidak praktis untuk
mendekripsikan informasi dengan dasar cipher teks dan pengetahuan tentang
algoritma diskripsi / enkripsi. Atau dengan kata lain, kita tidak perlu menjaga
kerahasiaan dari algoritma tetapi cukup dengan kerahasiaan kuncinya.
Manfaat
dari konvensional enkripsi algoritma adalah kemudahan dalam penggunaan secara
luas. Dengan kenyataan bahwa algoritma ini tidak perlu dijaga kerahasiaannya
dengan maksud bahwa pembuat dapat dan mampu membuat suatu implementasi dalam
bentuk chip dengan harga yang murah. Chips ini dapat tersedia secara luas dan
disediakan pula untuk beberapa jenis produk. Dengan penggunaan dari enkripsi
konvensional, prinsip keamanan adalah menjadi menjaga keamanan dari kunci.
Model
enkripsi yang digunakan secara luas adalah model yang didasarkan pada data
encrytion standard (DES), yang diambil oleh Biro standart nasional US pada
tahun 1977. Untuk DES data di enkripsi dalam 64 bit block dengan menggunakan 56
bit kunci. Dengan menggunakan kunci ini, 64 data input diubah dengan suatu
urutan dari metode menjadi 64 bit output. Proses yang yang sama dengan kunci
yang sama digunakan untuk mengubah kembali enkripsi.
B.
Enkripsi Public-Key
Salah
satu yang menjadi kesulitan utama dari enkripsi konvensional adalah perlunya
untuk mendistribusikan kunci yang digunakan dalam keadaan aman. Sebuah cara
yang tepat telah diketemukan untuk mengatasi kelemahan ini dengan suatu model
enkripsi yang secara mengejutkan tidak memerlukan sebuah kunci untuk
didistribusikan. Metode ini dikenal dengan nama enkripsi public-key dan pertama
kali diperkenalkan pada tahun 1976.
Plain teks -> Algoritma Enkripsi
-> Cipher teks -> Algoritma Dekrispsi -> Plain teks
User A | | User B
Private Key B ----|
|----------------------Kunci (Key) --------------------|
Gambar 2
User A | | User B
Private Key B ----|
|----------------------Kunci (Key) --------------------|
Gambar 2
Algoritma
tersebut seperti yang digambarkan pada gambar diatas. Untuk enkripsi
konvensional, kunci yang digunakan pada prosen enkripsi dan dekripsi adalah
sama. Tetapi ini bukanlah kondisi sesungguhnya yang diperlukan. Namun adalah
dimungkinkan untuk membangun suatu algoritma yang menggunakan satu kunci untuk
enkripsi dan pasangannya, kunci yang berbeda, untuk dekripsi. Lebih jauh lagi
adalah mungkin untuk menciptakan suatu algoritma yang mana pengetahuan tentang
algoritma enkripsi ditambah kunci enkripsi tidak cukup untuk menentukan kunci
dekrispi. Sehingga teknik berikut ini akan dapat dilakukan :
- Masing - masing dari sistem dalam network akan menciptakan sepasang kunci yang digunakan untuk enkripsi dan dekripsi dari informasi yang diterima.
- Masing - masing dari sistem akan menerbitkan kunci enkripsinya ( public key ) dengan memasang dalam register umum atau file, sedang pasangannya tetap dijaga sebagai kunci pribadi ( private key ).
- Jika A ingin mengisim pesan kepada B, maka A akan mengenkripsi pesannya dengan kunci publik dari B.
- Ketika B menerima pesan dari A maka B akan menggunakan kunci privatenya untuk mendeskripsi pesan dari A.
Seperti
yang kita lihat, public-key memecahkan masalah pendistribusian karena tidak
diperlukan suatu kunci untuk didistribusikan. Semua partisipan mempunyai akses
ke kunci publik ( public key ) dan kunci pribadi dihasilkan secara lokal oleh
setiap partisipan sehingga tidak perlu untuk didistribusikan. Selama sistem
mengontrol masing - masing private key dengan baik maka komunikasi menjadi
komunikasi yang aman. Setiap sistem mengubah private key pasangannya public key
akan menggantikan public key yang lama. Yang menjadi kelemahan dari metode
enkripsi publik key adalah jika dibandingkan dengan metode enkripsi
konvensional algoritma enkripsi ini mempunyai algoritma yang lebih komplek.
Sehingga untuk perbandingan ukuran dan harga dari hardware, metode publik key
akan menghasilkan performance yang lebih rendah. Tabel berikut ini akan
memperlihatkan berbagai aspek penting dari enkripsi konvensional dan public
key.
Enkripsi
Konvensional
Yang dibutuhkan untuk bekerja :
Yang dibutuhkan untuk bekerja :
- Algoritma yang sama dengan kunci yang sama dapat digunakan untuk proses dekripsi - enkripsi.
- Pengirim dan penerima harus membagi algoritma dan kunci yang sama.
Yang
dibutuhkan untuk keamanan :
- Kunci harus dirahasiakan.
- Adalah tidak mungkin atau sangat tidak praktis untuk menerjemahkan informasi yang telah dienkripsi.
- Pengetahuan tentang algoritma dan sample dari kata yang terenkripsi tidak mencukupi untu menentukan kunc.
Enkripsi
Public Key
Yang dibutuhkan untuk bekerja :
Yang dibutuhkan untuk bekerja :
- Algoritma yang digunakan untuk enkripsi dan dekripsi dengan sepasang kunci, satu untuk enkripsi satu untuk dekripsi.
- Pengirim dan penerima harus mempunyai sepasang kunci yang cocok.
Yang
dibutuhkan untuk keamanan :
- Salah satu dari kunci harus dirahasiakan.
- Adalah tidak mungkin atau sangat tidak praktis untuk menerjemahkan informasi yang telah dienkripsi.
- Pengetahuan tentang algoritma dan sample dari kata yang terenkripsi tidak mencukupi untu menentukan kunci.
BAB 8. PENGAMANAN WEB BROWSER

A. PENGERTIAN WEB BROWSER
Web Browser disebut juga peramban, adalah perangkat lunak yang berfungsi
menampilkan dan melakukan interaksi dengan dokumen- dokumen yang di
sediakan oleh server web.
Web browser adalah sebuah aplikasi perangkat lunak yang memungkinkan
pengguna untuk menayangkan dan berinteraksi dengan tulisan, gambar,
video, musik dan berbagai informasi lainnya yang terdapat pada halaman
Web di sebuah situs di World Wide Web atau di jaringan LAN lokal.
Tulisan dan gambar di halaman Web dapat mempunyai hyperlinks ke halaman
Web lain di mesin yang sama atau di situs web lainnya. Web browser
memungkinkan pengguna secara cepat dan mudah mengakses informasi yang
diberikan oleh banyak situs Web dengan cara menjelajahi link tersebut.
Web browser memformat informasi HTML untuk di tayangkan, oleh karena itu
penampakan halaman Web akan agak berbeda dari satu browser ke browser
yang lain.
Ø SEJARAH SINGKAT
Penjelajah web pertama kali berbasis teks, seperti halnya Lynx yang
populer hingga sekarang, karena memang sistem dengan antarmuka grafis
belum umum digunakan pada saat itu. Baru setelah sistem berbasis grafis
mulai banyak digunakan, seorang mahasiswa bernama Marc Andressen di
University of Illinois di Urbana-Champaign, Amerika Serikat, membuat
sebuah penjelajah web berbasis grafis pertama yang berjalan di atas
sistem operasi Windows dan UNIX (berbasis Motif). Penjelajah web
tersebut dinamai Mosaic.
Selanjutnya, setelah lulus dari universitas, Marc ditawari oleh Alief
Falahuddin, salah seorang petinggi Silicon Graphics Incorporated (SGI),
untuk membuat perusahaan dengan nama Mosaic Communication, yang kemudian
berubah menjadi Netscape Communication. Marc membuat sebuah penjelajah
web populer pertama yang digunakan oleh umum, yang disebut dengan
Netscape Navigator. Pada saat pengembangannya, Navigator memiliki nama
kode Mozilla. Navigator merupakan penjelajah web komersial, akan tetapi
seiring dengan waktu akhirnya Navigator pun menjadi dapat diperoleh
secara gratis. Sementara itu, penjelajah web Mosaic yang gratis tidak
diteruskan lagi pengembangannya, dan diserahkan kepada NCSA (National
Computing for Supercomputer Application). Karena NCSA tidak memiliki
izin untuk mengomersialkan produk Mosaic, NCSA akhirnya menjual Mosaic
kepada Spyglass, yang akhirnya membuat Mosaic menjadi penjelajah web
komersial.
Microsoft, yang terlambat turun di pasar penjelajah web, pun membeli
lisensi Mosaic dari Spyglass, sehingga pada akhirnya merilis produk
penjelajah web-nya, yang disebut sebagai Internet Explorer. Dengan
dirilisnya Internet Explorer, muncullah perang besar antara web browser
populer, yakni antara Netscape Navigator, dan Microsoft Internet
Explorer.
B. CARA KERJA WEB BROWSER
Cara kerja Web Browser
1. USER/Netter yang akan mengakses suatu website berupa URL melaluiWeb browser.
2. Kemudian Web browser tersebut mengirimkan permintaan/ request berupa
HTTP REQUEST kepada Web Browser melalui layer-layerTCP/IP,
3. Kemudian Web Server memberikan WEB FILES yang di-request jika ada.
4. Web Server memberikan respon kembali ke Web Browser melaluiHTTP RESPONSE (melalui layer-layer TCP/IP)
5. Kemudian baru di terima oleh Web browser, dan kemudian dikirimkan kepada USER berupa DISPLAY.
Misalkan seorang yang bernama A ingin membuka blog ini,kemudian dia akan
mengetikan alamat url dari blog saya
yaituhttp://blogsiharry.blogspot.com pada browser.
Kemudian alamat tersebut akan dilewatkan oleh suatu protocol HTTP
melewati port 80 atau 443 pada server. Web browser akan mengirimkan
suatu aturan yang biasa disebut protocol,protocol yang biasa digunakan
adalah TCP/IP. Setelah dikirimkan ke web server, maka web server akan
merespon request dari web browser tersebut. Web server akan memeriksa
web file, apakah ada atau tidak alamat yang di request oleh browser tadi
dan mengirimkan kembali, lalu browser akan menerjemahkan coding HTML
yang dikirimkan oleh server menjadi suatu halaman web seperti yang anda
lihat sekarang. Namun jika halaman tersebut tidak ada di dalam web
server maka respon yang dikirimkan berupa pesan dengan kode 404 yang
berarti tidak ditemukan.
Ø Contoh Web browser :
1. Mozilla Firefox – link
Dibuat oleh mozilla corporation, firefox adalah salah satu web browser
open source yang dibangun dengan Gecko layout engine. Tak hanya handal
firefox juga didukung oleh sejumlah Add-ons yang dapat diinstall
terpisah yang memungkinkan pengguna melakukan sesuai dengan kegunaan
Add-ons tersebut.
2. Google Chrome
Google Chrome dibuat oleh Google Inc. adalah perusahaan multinasional
Amerika Serikat yang berkekhususan pada jasa dan produk Internet.
Produk-produk tersebut meliputi teknologi pencarian, komputasi web,
perangkat lunak, dan periklanan.Web Browser buatan Google ini mulai
dilirik banyak Netter karena web browser ini mempunyai banyak fitur yang
tidak dimiliki oleh web browser lain.
3. Internet Exporer – link
Web browser besutan Microsoft Corporation biasanya dikenal dengan nama
pendek IE, sejak 1995 IE mulai di masukan sebagai default sotware pada
saat instalasi Sistem Operasi Windows, sejak tulisan ini dibuat IE belum
lama ini meluncurkan versi IE8. Pada versi ini dikenalkan salah satu
fitur baru yaitu web slice, Web Slice merupakan pilihan akses langsung
di Favorit Bar yang muncul setiap kali browser web dibuka. Webslice bisa
terdiri dari preview keseluruhan dari sebuah website yang disajikan
dengan ukuran kecil tanpa kita membuka tab baru mengunjungi website
tersebut, content dari webslice sebuah website bergantung dari penyedia
website menyajikan content yang masuk ke webslice.
4. Safari – link
Dibuat oleh Apple Inc, perusahaan yang juga memproduksi komputer
Macintosh, iPod, dan juga iPhone. dibangun dengan browser engine WebKit,
WebKit juga adalah browser engine pertama yang lulus test Acid3
5. Flock – link
Flock adalah web browser yang dibangun dengan code mozilla frefox yang
web browser ini khususkan menyediakan social networking dan Web 2.0
Flock didesain untuk memudahkan aktivitas online pengguna internet
mengatur beberapa social networking, web mail, news feeds dan blogs yang
mereka miliki. Dengan Mengunakan Flock mereka dapat dengan mudah
menjelajah, berbagi, dan menikmati content maupun menjalin hubungan di
situs pertemanan yang mereka inginkan.
6. Opera – link
Opera dikembangkan oleh Opera Software company adalah salah satu Web
Browser dan juga Internet Suite. Jika firefox punya Add-ons, Opera punya
“Opera Widgets”, sebuah aplikasi web kecil yang dijalankan bersamaan
dengan Opera yang mempunyai kegunaan tertentu, layaknya Add-ons firefox.
7. K-Meleon – link
K-Meleon salah satu browser gratis dan open source di rilis dibawah
Lisensi GNU General Public dan berjalan diplatform Microsoft Windows
(Win32) operating systems. Dibangun di atas Gecko layout engine, layout
engine yang sama seperti digunakan Mozilla Firefox.
8. SeaMonkey – link
SeaMonkey adalah sebuah proyek komunitas untuk menjadikan SeaMonkey
all-in-one internet application suite, seperti software suite populer
yang sudah dibuat sebelumnya oleh Netscape dan Mozilla, dan proyek
SeaMonkey melanjutkan konsep tersebut. Terdiri dari Internet browser,
email & newsgroup client, HTML editor, IRC chat and web development
tools, SeaMonkey direkomendasikan bagi advanced users, web developers
dan corporate users.
9. Camino – link
Camino, Mozilla Power Mac Style. Camino adalah open source web browser
dikembangkan dan berfokus pada pemberikan experience terbaik kepada
pengguna Mac OS X. Camino mengkombinasikan visual sederhana, elegan dan
menyajikan pengalaman yang mengagumkan yang menjadi filosofi dari
Macintosh dengan Gecko layout engine yang powerful. Camino hanya dapat
diinstall dalam Sistem Operasi Mac.
10. Konqueror – link
Konqueror adalah web browser, file manager, dll. Konqueror menyediakan
file viewer yang bisa mengexplore file-file di komputer anda maupun
secara remote ke komputer lain. Protokol yang didukung Konqueror.
C. BENTUK ANCAMAN KEAMANAN DARI WEB BROWSER
1. Hijacking
Hijacking adalah suatu kegiatan yang berusaha untuk memasuki [menyusup]
ke dalam sistem melalui sistem operasional lainnya yang dijalankan oleh
seseorang [pelaku: Hacker]. Sistem ini dapat berupa server,
jaringan/networking [LAN/WAN], situs web, software atau bahkan kombinasi
dari beberapa sistem tersebut. Namun perbedaanya adalah Hijacker
menggunakan bantuan software atau server robot untuk melakukan aksinya,
tujuanya adalah sama dengan para cracker namun para hijacker melakukan
lebih dari para cracker, selain mengambil data dan informasi pendukung
lain, tidak jarang sistem yang dituju juga diambil alih, atau bahkan
dirusak. Dan yang paling sering dilakukan dalam hijacking adalah Session
Hijacking.
2. Session Hijacking
Hal yang paling sulit dilakukan seseorang untuk masuk ke dalam suatu
sistem (attack) adalah menebak password. Terlebih lagi apabila password
tersebut disimpan dengan menggunakan tingkat enkripsi yang tinggi, atau
password yang hanya berlaku satu kali saja (one-time-password). Satu
cara yang lebih mudah digunakan untuk masuk ke dalam sistem adalah
dengan cara mengambil alih session yang ada setelah proses autentifikasi
berjalan dengan normal. Dengan cara ini penyerang tidak perlu repot
melakukan proses dekripsi password, atau menebak-nebak password terlebih
dahulu. Proses ini dikenal dengan istilah session hijacking. Session
hijacking adalah proses pengambil-alihan session yang sedang aktif dari
suatu sistem. Keuntungan dari cara ini adalah Anda dapat mem-bypass
proses autentikasi dan memperoleh hak akses secara langsung ke dalam
sistem.
Ada dua tipe dari session hijacking, yaitu serangan secara aktif dan
serangan secara pasif. Pada serangan secara pasif, penyerang hanya
menempatkan diri di tengah-tengah dari session antara computer korban
dengan server, dan hanya mengamati setiap data yang ditransfer tanpa
memutuskan session aslinya. Pada aktif session hijacking, penyerang
mencari session yang sedang aktif, dan kemudian mengambil-alih session
tersebut dengan memutuskan hubungan session aslinya.
Enam langkah yang terdapat pada session hijacking adalah:
- Mencari target
- Melakukan prediksi sequence number
- Mencari session yang sedang aktif
- Menebak sequence number
- Memutuskan session aslinya
- Mengambil-alih session
Beberapa program atau software yang umumnya digunakan untuk melakukan
session hijacking adalah Juggernaut,Hunt, TTY Watcher, dan IP Watcher.
Untuk lebih jelasnya di bawah ini dibahas dua tool dari session
hijacking yang sudah cukup populer dan banyak digunakan, yakni
Juggernaut dan Hunt.
Ø Juggernaut
Software ini sebenarnya adalah software network sniffer yang juga dapat
digunakan untuk melakukan TCP session hijacking. Juggernaut berjalan
pada sistem operasi Linux dan dapat diatur untuk memantau semua network
traffic. Di samping itu program ini pun dapat mengambil (capture) data
yang kemungkinan berisi user name dan password dari user (pengguna) yang
sedang melakukan proses login.
Ø Hunt
Software ini dapat digunakan untuk mendengarkan (listen), intersepsi
(intercept), dan mengambil-alih (hijack) session yang sedang aktif pada
sebuah network. Hunt dibuat dengan menggunakan konsep yang sama dengan
Juggernaut dan memiliki beberapa fasilitas tambahan.
D. CARA MENGATASI ANCAMAN PADA WEB BROWSER
· Selalu mengupdate web browser menggunakan patch terbaru
· Mencegah virus
· Menggunakan situs yang aman untuk transaksi finansial dan sensitif
· Menggunakan secure proxy
· Mengamankan lingkungan jaringan
· Tidak menggunakan informasi pribadi
· Hati-hati ketika merubah setting browser
· Hati-hati ketika merubah konfigurasi browser
· Jangan membuat konfigurasi yang mendukung scripts dan macros
· Jangan langsung menjalankan program yang anda download dari internet
· Browsing ke situs-situs yang aman
· Mengurangi kemungkinan adanya malcode dan spyware
· Konfigurasi home page harus hati-hati
· Lebih baik gunakan blank.
· Jangan mempercayai setiap links (periksa dulu arah tujuan link itu)
· Jangan selalu mengikuti link yang diberitahukan lewat e-mail
· Jangan browsing dari sistem yang mengandung data sensitif
· Lindungi informasi anda kalau bisa jangan gunakan informasi pribadi pada web
· Gunakan stronger encryption
· Pilih 128-bit encryption
· Gunakan browser yang jarang digunakan
· Serangan banyak dilakukan pada web browser yang populer
· Minimalkan penggunaan plugins
· Minimalkan penggunaan cookies
· Perhatikan cara penanganan dan lokasi penyimpanan temporary files
v Poin-poin penting dalam keamanan web
1. Remote File Inklusi (RFI)
Remote File Inklusi (RFI) adalah jenis kerentanan paling sering
ditemukan di situs Web, memungkinkan penyerang untuk menyertakan file
jarak jauh yang biasanya melalui sebuah script di server web. Kerentanan
terjadi karena penggunaan input yang diberikan pengguna tanpa validasi
yang tepat. Hal ini dapat mengakibatkan sesuatu yang minimal keluaran
isi file, tetapi tergantung pada beratnya, untuk daftar beberapa itu
bisa mengarah pada:
o Kode eksekusi pada server web
o Kode eksekusi di sisi-klien seperti Javascript yang dapat menyebabkan serangan lain seperti situs cross scripting (XSS).
o Denial of Service (DoS)
o Pencurian Data / Manipulasi
Dalam PHP penyebab utama adalah karena penggunaan unvalidated variabel
eksternal seperti $ _GET, $ _POST, $ _COOKIE dengan fungsi filesystem,
yang paling menonjol adalah meliputi dan membutuhkan laporan. Sebagian
besar kerentanan dapat dikaitkan dengan programmer pemula tidak akrab
dengan semua kemampuan bahasa pemrograman PHP. Bahasa PHP memiliki
direktif allow_url_fopen dan jika diaktifkan memungkinkan fungsi
filesystem untuk menggunakan URL yang memungkinkan mereka untuk
mengambil data dari lokasi terpencil. Seorang penyerang akan mengubah
variabel yang dilewatkan ke salah satu fungsi-fungsi ini menyebabkan itu
untuk memasukkan kode berbahaya dari sumber daya remote. Untuk
mengatasi ini, semua input pengguna harus divalidasi sebelum digunakan.
2. Local File Inclusion (LFI)
Metode yang memanfaatkan kelemahan script PHP include(), include_once(),
require(), require_once() yang variabel nya tidak dideklarasikan dengan
sempurna.
Dengan LFI seorang attacker dapat menginclude kan file yang berada di dalam server yang bersangkutan.
3. SQL injection
SQL Injection adalah kode injeksi teknik yang memanfaatkan kelemahan
keamanan yang terjadi pada lapisan aplikasi database. kerentanan ini
hadir ketika masukan pengguna tidak benar baik disaring untuk
menghindari karakter string literal tertanam dalam pernyataan SQL atau
masukan pengguna tidak kuat diketik dan dengan demikian tak terduga
dieksekusi. Ini adalah sebuah instance dari kelas yang lebih umum dari
kerentanan yang dapat terjadi kapan pun salah satu bahasa pemrograman
atau script yang tertanam di dalam yang lain. serangan injeksi SQL juga
dikenal sebagai serangan penyisipan SQL.
4. Cross Site Scripting (XSS)
Cross-site scripting (XSS) adalah jenis kerentanan keamanan komputer
biasanya ditemukan di aplikasi web yang memungkinkan penyerang berbahaya
untuk menyuntik script sisi klien ke dalam halaman web dilihat oleh
pengguna lain. Sebuah kerentanan dieksploitasi scripting lintas situs
dapat digunakan oleh penyerang untuk mem-bypass akses kontrol seperti
kebijakan asal-usul yang sama. Cross-site scripting dilakukan di situs
Web adalah sekitar 80% dari semua kerentanan keamanan didokumentasikan
oleh Symantec pada 2007. Dampak beragam, mulai dari gangguan kecil
dengan risiko keamanan yang signifikan, tergantung pada kepekaan data
ditangani oleh situs rentan, dan sifat dari setiap mitigasi keamanan
dilaksanakan oleh pemilik situs.
Lubang Cross-site scripting adalah kelemahan aplikasi web yang
memungkinkan penyerang untuk mem-bypass mekanisme klien-sisi keamanan
biasanya dikenakan pada konten web oleh browser modern. Dengan mencari
cara suntik script jahat ke dalam halaman web, penyerang bisa
mendapatkan hak akses diangkat ke konten halaman sensitif, cookie sesi,
dan berbagai informasi lainnya yang dikelola oleh browser atas nama
pengguna. serangan Cross-site scripting Oleh karena itu kasus khusus
injeksi kode.
Ekspresi "cross-site scripting" pada awalnya merujuk pada tindakan
loading aplikasi, web diserang pihak ketiga dari sebuah situs serangan
yang tidak berhubungan, dengan cara yang mengeksekusi sebuah fragmen
JavaScript disusun oleh penyerang dalam konteks keamanan dari domain
yang ditargetkan (a dipantulkan atau non-persistent kerentanan XSS).
Definisi ini secara bertahap diperluas untuk mencakup modus lain injeksi
kode, termasuk vektor persisten dan non-JavaScript (termasuk Jawa,
ActiveX, VBScript, Flash, HTML atau bahkan murni), menyebabkan
kebingungan untuk pendatang baru dalam bidang keamanan informasi.
BAB9. PENGAMANAN WEB SYSTEM / SERVER
Pengertian Web Server
Server web atau yang dalam bahasa inggris disebut web server adalah
perangkat lunak (software) dalam server yang berfungsi untuk menerima
permintaan (request) berupa halaman web melalui protokol HTTP dan atau
HTTPS dari klien yang lebih dikenal dengan nama browser, kemudian
mengirimkan kembali (respon) hasil permintaan tersebut ke dalam bentuk
halaman-halaman web yang pada umumnya berbentuk dokumen HTML.
Dari pengertian di atas, dapat disimpulkan bahwa web server merupakan
pelayan (pemberi layanan) bagi web klien (browser) seperti Mozilla,
Opera, Chrome, Safari, Internet Explorer, dan lain sebagainya, supaya
browser dapat menampilkan halaman atau data yang Anda minta.
Fungsi Web Server
Fungsi utama dari web server adalah untuk melakukan atau mentransfer
berkas permintaan pengguna melalui protokol komunikasi yang telah
ditentukan sedemikian rupa. Halaman web yang diminta terdiri dari berkas
teks, video, gambar, file dan banyak lagi.
Salah satu contoh dari Web Server adalah Apache. Apache (Apache Web
Server – The HTTP Web Server) merupakan web server yang paling banyak
dipergunakan di Internet. Program ini pertama kali didesain untuk sistem
operasi lingkungan UNIX. Apache mempunyai program pendukung yang cukup
banyak. Hal ini memberikan layanan yang cukup lengkap bagi penggunanya.
Beberapa dukungan Apache :
PHP (Personal Home Page/PHP Hypertext Processor)
Program dengan metode semacam CGI, yang memproses teks dan bekerja di
server. Apache mendukung PHP dengan menempatkannya sebagai salah satu
modulnya (mod_php).
Kontrol Akses
Kontrol ini dapat dijalankan berdasarkan nama host atau nomor IP CGI
(Common Gateway Interface). Yang paling terkenal untuk digunakan adalah
PERL (Practical Extraction and Report Language), didukung oleh Apache
dengan menempatkannya sebagai modul (mod_perl)
Cara Kerja Web Server
Sederhananya tugas web server adalah untuk menerima permintaan dari
klien dan mengirimkan kembali berkas yang diminta oleh klien tersebut.
Perangkat lunak web server terdapat pada komputer server, dan di
komputer ini pula data-data website tersimpan dengan rapih. Sama halnya
dengan komputer klien, komputer server juga harus terhubung dengan
jaringan internet untuk dapat diakses oleh klien.
Pada saat klien (browser) meminta data web page kepada server, maka
instruksi permintaan data oleh browser tersebut akan dikemas di dalam
TCP yang merupakan protokol transport dan dikirim ke alamat yang dalam
hal ini merupakan protokol berikutnya yaitu HTTP dan atau HTTPS.
Data yang diminta dari browser ke web server disebut dengan HTTP request
yang kemudian akan dicarikan oleh web server di dalam komputer server.
Jika ditemukan, data tersebut akan dikemas oleh web server dalam TCP dan
dikirim kembali ke browser untuk ditampilkan.
Nah, data yang dikirim dari server ke browser dikenal dengan HTTP
response. Jika data yang diminta oleh browser tersebut ternyata tidak
ditemukan oleh web server, maka web server akan menolak permintaan
tersebut dan browser akan menampilkan notifikasi Page Not Found atau
Error 404.
Meskipun proses atau cara kerja web server di atas sepertinya sangat
rumit, tapi pada prakteknya proses tersebut berlangsung dengan sangat
cepat. Anda bahkan bisa sampai tidak menyadari bahwa pada saat meminta
suatu halaman web, ternyata hal itu membutuhkan proses yang sangat
panjang sampai halaman tersebut dapat Anda lihat di browser.
Ø Apache Web server - the HTTP web server
Ø Apache Tomcat
Ø Microsoft Windows server 2003 Internet Information Service (IIS)
Ø Light HTTP
Ø Jigsaw
Ø Sun java system web server
Ø Xitami web server
Ø Zerus web server
Ancaman Web Server:
Ancaman keamanan secara spesifik terhadap Web server umumnya terbagi
menjadi beberapa kategori:
1. Entitas malicious dapat mengeksploitasi bug perangkat lunak dalam Web server, sistem operasi web server, atau active content untuk memperoleh akses ilegal ke dalam Web server.
2. Serangan Denial of Service (DoS) yang diarahkan pada Web server atau infrastruktur jaringan pendukungnya, sehingga dapat menolak atau menghalangi para pengguna sah yang akan
memanfaatkan layanannya.
3. Informasi sensitif pada Web server yang memungkinkan untuk dibaca atau dimodifikasi tanpa otorisasi.
4. Informasi sensitif di database penyangga yang digunakan untuk mendukung elemen interaktif dari suatu aplikasi Web memungkinkan untuk dibobol melalui serangan commandinjection, misalnya injeksi Structured Query Language [SQL], injeksi Lightweight Directory Access Protocol [LDAP], cross-site scripting [XSS].
5. Informasi sensitif yang ditransmisikan tanpa dienkripsi antara Web server dan Browser yang dapat disadap dan terbaca dengan jelas.
6. Informasi pada Web server yang dapat diubah untuk tujuan jahat. Defacement (penggantian tampilan) situs Web merupakan contoh yang umumnya dilaporkan untuk ancaman ini.
7. Entitas malicious yang berhasil mendapatkan akses ilegal Pedoman Keamanan Web Server | 2 terhadap sumber daya di tempat lain dalam jaringan organisasi melalui suatu serangan terhadap Web server.
8. Entitas malicious yang menyerang organisasi inernal setelah membobol suatu host Web server. Serangan tersebut dapat dilancarkan secara langsung, misalnya dari host yang bobol terhadap suatu server internal atau secara tidak langsung misalnya dengan menempatkan konten malicious pada Web server yang bobol yang berusaha mengeksploitasi kerawanan dalam browser Web dari para pengguna yang mengunjungi situs tersebut.
9. Server yang dapat digunakan sebagai suatu titik distribusi perangkat serangan, pornografi, atau lunak yang dicopy secara ilegal.
Tipe Serangan Tak Langsung terhadap Web server bertujuan mendapatkan informasi dari para penggunanya. Serangan tidak langsung ini dapat berbentuk:
1. Phishing, dimana para penyerang menggunakan social engineering (rekayasa sosial) untuk memperdaya para pengguna agar melakukan logging ke suatu situs palsu.
2. Pharming, dimana server DNS atau file host para pengguna dibobol sehingga para pengguna diarahkan ke suatu situs malicious pengganti situs yang sah.Pedoman Keamanan Web Server | 3 Dokumen ini dimaksudkan untuk memberikan asistensi pada organisasi dalam instalasi, melakukan konfigurasi, dan mengelola Web server yang aman.
Lima langkah dasar yang dibutuhkan untuk memelihara keamanan OS dasar:
1. Merencanakan instalasi dan penyebaran OS host dan komponen lain untuk Web server
2. Melakukan patch dan update OS host seperlunya
3. Memperkuat secara fisik dan mengkonfigurasikan OS hostuntuk mengatasi keamanan secukupnya
4. Menginstal dan mengkonfigurasikan tambahan kontrol-kontrol keamanan, jika dibutuhkan
5. Menguji OS host untuk memastikan bahwa keempat langkah sebelumnya cukup mengatasi seluruh pokok persoalan keamanan.
Beberapa rekomendasi penanggulangan yang dapat dilakukan antara lain adalah
1. Organisasi sebaiknya merencanakan dengan cermat, termasukmasalah penentuan personil dan keterampilan yang dibutuhkan dalam mengamankan suatu Web server .Hal-hal yang perlu diperhatikan dalam suatu perencanaan untuk menghasilkan tindakan yang efektif adalah sebagai berikut :
a) Personil yang dibutuhkan, misalnya, para administrator Web server dan sistem, Webmaster, administrator jaringan, pejabat keamanan sistem informasi [ISSO] dan lain-lain.
b) Keterampilan dan pelatihan yang dibutuhkan oleh personil yang ditugaskan.
c) Persyaratan individu, yaitu spesifikasi yang disyaratkan dari tipe personil tertentu dan kelompok kerja yang dibentuk untuk menangani aspek keamanan.
2. Organisasi sebaiknya mengimplementasikan praktek dan kontrol manajemen keamanan yang tepat ketika memelihara dan mengoperasikan suatu Web server yang aman.Untuk memastikan keamanan dari suatu Web server dan infrastruktur jaringan pendukung, hal-hal berikut semestinya diimplementasikan:
a) Kebijakan keamanan sistem informasi lingkup organisasi
b) Kontrol dan manajemen konfigurasi/perubahan
c) Penilaian dan manajemen resiko
d) Konfigurasi perangkat lunak yang distandarkan yang memenuhi kebijakan keamanan sistem informasiPedoman Keamanan Web Server | 4
e) Kesadaran dan pelatihan keamanan
f) Rencana contingency, kontinuitas operasi, dan perencanaan pemulihan bencana
g) Sertifikasi dan akreditasi.
3. Organisasi sebaiknya memastikan bahwa aplikasi Web server diinstal,
dikonfigurasi dan dikelola sesuai kebutuhan keamanan
organisasi.Mengamankan aplikasi Web server biasanya akan mencakup
langkah-langkah berikut:
a) Melakukan patch dan upgrade aplikasi Web server
b) Menghilangkan atau menon-aktifkan layanan, aplikasi dan contoh konten yang tidak perlu
c) Mengkonfigurasikan otentikasi pengguna dan kendali akses Pedoman Keamanan Web Server | 5 Web server
d) Mengkonfigurasikan access control sumber daya Web server
e) Melakukan tes keamanan aplikasi Web server dan konten Web
a) Melakukan patch dan upgrade aplikasi Web server
b) Menghilangkan atau menon-aktifkan layanan, aplikasi dan contoh konten yang tidak perlu
c) Mengkonfigurasikan otentikasi pengguna dan kendali akses Pedoman Keamanan Web Server | 5 Web server
d) Mengkonfigurasikan access control sumber daya Web server
e) Melakukan tes keamanan aplikasi Web server dan konten Web
4. Organisasi sebaiknya mengambil langkah-langkah untukmemastikan bahwa hanya konten yang layak yang dipublikasikan pada suatu situs Web dan bahwa konten sudah diproteksi dengan baik.Beberapa informasi yang seharusnya tidak dipublikasikan adalah sebagai berikut :
a) Informasi berklasifikasi rahasia dan sangat rahasia
b) Informasi tentang komposisi atau penyiapan material berbahaya atau beracun
c) Informasi sensitif terkait keamanan dalam negeri
d) Catatan medis
e) Usaha perlindungan terhadap keamanan detil fisik dan informasi dari suatu organisasi
f) Detil tentang infrastruktur jaringan dan sistem informasi organisasi (misalnya, jangkauan address, konvensi penamaan, jumlah akses)
g) Informasi yang menspesifikasikan atau mengimplikasikan kerawanan keamanan fisik
h) Detil rencana, peta, diagram, foto udara, gambar arsitektur dari gedung, properti atau instalasi organisasi
i) Informasi sensitif apapun tentang individu, seperti informasi yang dapat mengidentifikasi secara personal (personally identifiable information [PII]), yang dapat menjadi subyek hukum.Pedoman Keamanan Web Server | 6
5. Organisasi sebaiknya memastikan langkah-langkah tepat yang diambil untuk melindungi konten Web server dari akses atau modifikasi yang tidak sah.Langkah-langkah yang diambil untuk melindungi konten web tersebut antara lain :
a) Menginstal atau mengaktifkan layanan yang memang diperlukan.
b) Menempatkan konten Web pada suatu hard drive atau partisi logik tertentu.
c) Membatasi upload ke direktori yang tidak dapat dibaca oleh Web server.
d) Menentukan suatu direktori tunggal untuk semua script atau program eksternal yang dieksekusi sebagai bagian dari konten Web.
e) Menon-aktifkan penggunaan hard /symbolic link.
f) Menentukan suatu matriks akses konten Web lengkap yang mengidentifikasi folder dan file mana dalam direktori dokumen Web server yang bebas atau dibatasi aksesnya (dan oleh siapa).
g) Menon-aktifkan listing direktori.
h) Menggunakan otentikasi, tandatangan digital, dan mekanisme kriptografi yang diperlukan
i) Menggunakan host-based sistem deteksi gangguan (intrusion detection system [IDS]) dan/atau pengecek integritas file untuk mendeteksi gangguan atau memverifikasi konten Web.
j) Memproteksi setiap server penyangga (misalnya server database, server direktori) dari serangan injeksi perintah (command injection attack) baik dari Web server maupun server penyangga itu sendiri. Pedoman Keamanan Web Server | 7
6. Organisasi sebaiknya menggunakan active content secara bijaksana untuk menyeimbangkan antara manfaat yang diperoleh dengan resiko yang menyertainya.
Sebagian besar situs Web pada generasi awal memberikan informasi statis yang diletakkan pada server, umumnya berbentuk dokumen berbasis teks. Dalam perkembangannya, elemen interaktif diperkenalkan kepada para pengguna tentang cara baru berinteraksi dengan suatu situs Web. Sayangnya, elemen interaktif tersebut memperkenalkan kerentanan baru yang terkait dengan Web karena elemen-elemen tersebut melibatkan kode eksekusi dinamis baik pada Web server ataupun klien yang menggunakan input sangat besar, mulai dari parameter Universal Resource Locator (URL) hingga konten Hypertext Transfer Protocol (HTTP) POST maupun konten XML berbentuk pesan-pesan layanan Web. Teknologi active contentyang berbeda memiliki kerentanan terkait yang berbeda, dan resikonya harus diseimbangkan dengan manfaatnya.
7. Organisasi harus menggunakan teknologi otentikasi dan enkripsi untuk melindungi data sensitif tertentu.
Seringkali diperlukan teknologi untuk mengidentifikasikan dan membuktikan keaslian para pengguna dengan privilege yang berbeda untuk mengakses informasi. Beberapa dari teknologi ini berbasiskan fungsi kriptografi yang dapat menyediakan suatu jalur terenkripsi antara klien browser Web dan Web server yang mendukung enkripsi. Sekalipun dengan suatu jalur terenkripsi dan mekanisme otentikasi, mungkin saja para penyerang berupaya mengakses situs melalui suatu serangan brute force.Teknik otentikasi yang tidak tepat dapat menyebabkan para penyerang mengumpulkan username yang sah atau kemungkinan besar mendapatkan akses ke situs Web. Mekanisme otentikasi yang baik dapat pula melindungi terhadap serangan phishing dan pharming. Oleh Pedoman Keamanan Web Server | 8 karena itu, harus dimplementasikan otentikasi dengan tingkatanyang tepat berdasarkan pada sensitifitas para pengguna dan konten Web server.
8. Organisasi sebaiknya mengembangkan keamanan infrastruktur jaringan untuk membantu melindungi server Web-nya.
Insfrastruktur jaringan (misalnya, firewall, router, IDS) yang mendukung Web server memainkan suatu peran penting dalam hal keamanan dari Web server. Pada sebagian besar konfigurasi, infrastruktur jaringan akan menjadi garis terdepan pertahanan antara suatu Web server dan Internet. Desain jaringan saja tidak dapat melindungi suatu Web server. Frekuensi, kecanggihan dan ragam serangan Web server yang dilakukan kini mendukung gagasan bahwa keamanan Web server harus diimplementasikan melalui mekanisme proteksi yang berlapis dan terpelihara.
9. Organisasi sebaiknya berkomitmen terhadap proses pemeliharaan keamanan Web server yang dilakukan secara rutin untuk memastikan keamanan berkelanjutan.
Memelihara suatu Web server yang aman memerlukan upaya yang konsisten, sumber daya, dan kewaspadaan dari suatu organisasi. Memelihara keamanan dari suatu Web server biasanya akan melibatkan langkah-langkah berikut:
a) Mengkonfigurasi, memproteksi, dan menganalisa file log
b) Membuat backup informasi kritis secara rutin
c) Menetapkan dan menjalankan prosedur untuk pemulihan dari kebobolan
d) Pengetesan dan penerapan patch secara tepat waktu
e) Pengetesan keamanan secara periodik.
Tidak ada komentar:
Posting Komentar