Pertemuan 11 Keamanan Sistem WWW

Pertemuan 11 Keamanan Sistem WWW

 1. Memahami Keamanan Sistem WWW


  WWW adalah jaringan virtual yang dilapisi di Internet. Ini terdiri dari semua sistem klien dan server yang berkomunikasi satu sama lain menggunakan Hypertext Transfer Protocol (HTTP). HTTP, pada gilirannya, adalah protokol aplikasi klien / server sederhana yang dilapisi di atas layanan transportasi yang andal, seperti yang disediakan oleh Transport Control Protocol (TCP).

   HTTP dan WWW awalnya ditemukan pada akhir 1980-an oleh Tim Berners-Lee dan rekan-rekannya di Laboratorium Eropa untuk Fisika Partikel (CERN) yang berlokasi di Geneva, Swiss. Digambarkan sebagai cara menerbitkan makalah fisika di Internet tanpa mengharuskan fisikawan melalui proses yang melelahkan untuk mengunduh file dan mencetaknya. Dengan demikian, HTTP dan WWW telah digunakan sejak tahun 1989. 

   Awalnya dikembangkan di komputer NeXT, WWW tidak benar-benar lepas landas sampai tim peneliti di National Center for Supercomputer Application (NCSA) dari University of Illinois menulis Mosaic, browser untuk sistem X Window. Pada awal 1990-an, browser ini segera menjadi standar pembanding semua browser lainnya. Marc Andreessen, yang merupakan kepala tim pengembangan Mosaic asli, kemudian menjadi salah satu pendiri perusahaan baru bernama Mosaic Communications. Perusahaan pertama kali membuat browser baru bernama Mozilla. Setelah itu, perusahaan berganti nama menjadi Netscape Communications dan peramban yang sesuai diganti namanya menjadi Netscape Navigator. 

  Teknologi HTTP dan Web ada di mana-mana di Internet, dan semakin banyak layanan Internet telah didesain ulang dan diimplementasikan sehingga juga dapat diakses dari browser standar standar (bukan dari satu klien perangkat lunak khusus). Misalnya, sebagian besar browser menerapkan File Transfer Protocol (FTP) selain HTTP, dan dapat digunakan untuk mengunduh file secara elektronik. Oleh karena itu, browser ini dapat berfungsi sebagai alat pengganti untuk klien FTP lama.

  Ancaman mengacu pada keadaan, kondisi, atau peristiwa yang dapat melanggar keamanan sistem atau merusak sumber daya sistem. Jaringan komputer dan sistem terdistribusi rentan terhadap berbagai macam ancaman yang dapat dipasang oleh penyusup atau pengguna yang sah. Faktanya, pengguna yang sah adalah musuh yang lebih kuat karena mereka memiliki informasi orang dalam yang biasanya tidak tersedia untuk penyusup. Terakhir, tindakan balasan adalah fitur atau fungsi yang mengurangi atau menghilangkan satu (atau lebih) kerentanan dalam sistem atau terhadap satu (atau lebih) ancaman.

2. Memahami Keamanan Client-Server

  Pelanggaran Privacy Ketika kita mengunjungi sebuah situs web, browser kita dapat“dititipi”sebuah“cookie”yang fungsinya adalah untuk menandai kita. Ketika kita berkunjung ke server itu kembali, maka server dapat mengetahui bahwa kita kembali dan server dapat memberikan setup sesuai dengan keinginan (preference) kita. Ini merupakan servis yang baik. Namun data-data yang sama juga dapat digunakan untuk melakukan tracking kemana saja kita pergi. 

  Ada juga situs web yang mengirimkan script (misal Javascript) yang melakukan interogasi terhadap server kita (melalui browser) dan mengirimkan informasi ini ke server. Bayangkan jika di dalam komputer kita terdapat data-data yang bersifat rahasia dan informasi ini dikirimkan ke server milik orang lain

a. Penyisipan Trojan Horse 

  Cara penyerangan terhadap client yang lain adalah dengan menyisipkan virus atau trojan horse. Bayangkan apabila yang anda download adalah virus atau trojan horse yang dapat menghapus isi harddisk anda. Salah satu contoh yang sudah terjadi adalah adanya web yang menyisipkan trojan horse Back Orifice (BO) atau Netbus sehingga komputer anda dapat dikendalikan dari jarak jauh. Orang dari jarak jauh dapat menyadap apa yang anda ketikkan, melihat isi direktori, melakukan reboot, bahkan memformat harddisk. SSH memiliki port default 22, jadi agar tidak semua orang mengetahui port yang Anda gunakan untuk login maka sebaiknya merubah port standart.

  Untuk merubah port SSH standart caranya gampang, Anda tinggal masuk ke bagian file konfigurasi SSH sesuai dengan sistem operasi yang diinstall pada server. Selain itu perlu dicatat juga jangan sampai port yang Anda rubah bertabrakan dengan port aplikasi lain yang bisa menyebabkan
error pada server.

  Selain menggunakan password yang kuat, ada satu hal penting yaitu menonaktifkan akun root server. Bayangkan jika ada hacker yang bisa mengakses root server, semua file yang ada pada server bisa dikuasainya dengan mudah. Hal ini cukup berbahaya untuk keamanan server website, solusinya bisa dengan menonaktifkan akun root server.

b. Aplikasi Web 

Pada awalnya aplikasi Web dibangun hanya dengan menggunakan bahasa yang disebut HTML (HyperText Markup Language). Pada perkembangan keamanan client WWW Pelanggaran Privacy Adanya penyimpanan data browsing pada “cookie” yang fungsinya adalah untuk menandai kemana user browsing.- Adanya situs web yang mengirimkan script (misal Javascript) yang melakukan interogasi terhadap server client (melalui browser) dan mengirimkan informasi ini ke server.Attack (via active script, javascript, java)- Pengiriman data-data komputer (program apa yang terpasang, dsb.)- DoS attack (buka windows banyak)- Penyusupan virus, trojan horse, spyware. Berikutnya, sejumlah skrip dan objek dikembangkan untukmemperluas kemampuanHTML. Aplikasi Web itu dapat dibagi menjadi Web statis dan Web dinamis  Dari sisi teknologi yang digunakan untuk membentuk web dinamis terdapat dua pengelompokan, yaitu teknologi pada sisi client dan teknologi pada sisi server.

c.  Aplikasi Web-Server Side Programming 


Teknologi Web pada sisi server memungkinkan pemrosesan kode di dalam server sehingga kode yang sampai pada pemakai berbeda dengan kode asli pada server. Contoh teknologi yang berjalan di server, yaitu CGI, ASP, JSP, PHP dan lain sebagainya. Keuntungan penggunaan teknologi pada
sisi server adalah sebagai berikut: 


1). Mengurangi lalu lintas jaringan dengan cara menghindari percakapan bolak-balik antara client dan server.

2) Mengurangi waktu pemuatan kode, mengingat client hanya mengambil kode HTML saja.

3) Mencegah masalah ketidakkompatibelan browser. Client dapat berinteraksi dengan data yang ada pada server.

4) Mencegah client mengetahui rahasia kode (mengingat kode yang diberikan ke client berbeda dengan kode asli pada server) (Nugroho, 2004). 

d.  Aplikasi Web-Client Side Programming 

Teknologi Web pada sisi client diimplementasikan dengan mengirimkan kode perluasan HTML atau program tersendiri dan HTML ke client Clientlah  yang bertanggung jawab dalam melakukan proses terhadap seluruh kode yang  diterima. Kelemahan pendekatan seperi ini adalah terdapat
kemungkinan bahwa browser pada client tidak mendukung fitur kode perluasan HTML. Kelebihan teknologi pada sisi client, yaitu memungkinkan penampilan yang bersifat dinamis. Contoh teknologi  pada  sisi client, yaitu  Kontrol ActiveX, Java Applet, dan Skrip sisi-client.

3. Meningkatkan Keamanan Sistem WWW

  Keamanan server WWW biasanya merupakan masalah dari seorang administrator. Dengan memasang server WWW di system,berikut cara untuk meningkatkan keamanan sistem www:

a. Proteksi halaman dengan menggunakan password 

Salah satu mekanisme mengatur akses adalah dengan menggunakan (user identification) dan password. Untuk server Web yang berbasis Apache, akses kesebuah halaman (atau sekumpulan berkas yang terletak disebuah directory disistem Unix) dapat diatur dengan menggunakan berkas“. htaccess”.

b.  Membatasi Akses 

Penyedia informasi dalam bentuk berkas, sering inginkan pembatasan akses. Contoh,ingin agar orang-orang tertentu saja yang mampu mengakses berkas (informasi) tertentu. saja yang mampu mengakses berkas (informasi) tertentu. Pada prinsipnya ini adalah perkara access control.
Pembatasan akses dapat dilakukan dengan: 

> Pembatasan domain atau IP  yang mengakses;
> Gunakan userid & password;
> Mengenkripsi data sehingga dapat didekripsi oleh orang yang memiliki kunci pembuka saja.
> Menggunakan token;
> Mekanisme untuk kontrol akses ini bergantung pada program yang digunakan sebagai server.

c. Membatasi htaccess Apache

Berikut ini cara untuk membatasi htaccess di Apache :


1) Isi berkas“.htaccess” AuthUserFile /home/Lias/passme AuthGroupFile /dev/null AuthName “Khusus tamu Lias” AuthType Basic <Limit GET> require user tamu /Limit>

2) Membatasi akses ke user “tamu” dan password

3). . Menggunakan perintah “htpasswd“ untuk membuat password yang disimpan di “.passme".

  d. Secure Socket Layer (SSL)

    Menggunakan enkripsi untuk mengamankan transmisi data Mulanya dikembangkan oleh Netscape Implementasi gratis pun tersedia openSSL. Beberapa masalah dengan SSL ASN.1 compiler yang bermasalah menimbulkan masalah di beberapa implementasi SSL (sehingga server down).

   Salah satu cara untuk meningkatkan keamanan server WWW adalah dengan menggunakan enkripsi pada komunikasi pada tingkat socket. Dengan menggunakan enkripsi, orang tidak bisa menyadap data-data (transaksi) yang dikirimkan dari/ke server WWW. Salah satu mekanisme yang cukup populer adalah dengan menggunakan Secure Socket Layer (SSL) yang mulanya dikembangkan oleh Netscape. 

e. Keamanan CGI

   Common Gateway Interface (CGI) digunakan untuk menghubungkan sistem WWW dengan software lain di server web. Adanya CGI memungkinkan hubungan interaktif antara user dan server web. CGI seringkali digunakan sebagai mekanisme untuk mendapatkan informasi dari user melalui “fill  out  form”, mengakses database, atau menghasilkan halaman yang dinamis.

   Meskipun secara prinsip mekanisme CGI tidak memiliki lubang keamanan, program atau skrip yang dibuat sebagai CGI dapat memiliki lubang keamanan (baik secara sengaja dibuat lubang keamanannya ataupun tidak sengaja). Pasalnya, program CGI ini dijalankan di server web sehingga
menggunakan resources web server tersebut. Pada mulanya CGI digunakan sebagai interface dengan sistem informasi lainnya (gopher, WAIS, ftp). Diimplementasikan dengan berbagai bahasa (perl, C, C++, python, sh, dll.). 

f. Keamanan Lubang CGI

   Web & SQL Banyak aplikasi (transaksi) menggunakan basis web untuk mengakses database Juga dynamic web site Database diakses melalui SQL Sayangnya seringkali implementasi teledor SQL injection attack Memasukkan perintah-perintah SQL yang nakal dengan akibat yang berbeda (server down, database berubah) drop table tanda petik UNION/OR Tidak terdeteksi oleh  firewall atau IDS karena pada level aplikasi.

   Berhubungan dengan masalah privacy Cookies untuk tracking kemana saja browsing Pengiriman informasi pribadi Attack (via active script, javascript, java) Pengiriman data-data komputer (program apa yang terpasang, dsb.) DoS attack (buka windows banyak) Penyusupan virus, trojan horse, spyware Security hole di JPEG bisa mengeksekusi aplikasi di sisi client. WWW merupakan salah satu aplikasi utama Internet dan Intranet Meskipun memiliki banyak keuntungan, sistem www masih banyak lubang keamanan baik di sisi server maupun di sisi client.

Komentar

Posting Komentar

Postingan populer dari blog ini

Pertemuan 14 Pengenalan Dan Penanggulangan Virus,Trojan, Dan Worm

 Pertemuan 14 Pengenalan Dan Penanggulangan Virus, Trojan, Dan Worm 1. Memahami Virus dan Jenisnya a. Pengertian Virus      Virus adalah malware yang ketika dijalankan, mencoba mereplikasi  dirinya sendiri menjadi kode lain yang dapat dipotong bila berhasil, kodenya  dikatakan terinfeksi? Kode yang terinfeksi, ketika dijalankan, dapat  menginfeksi kode baru secara bergantian. Replikasi diri ini ke dalam kode  yang dapat dijalankan yang ada adalah kunci yang menentukan karakteristik  virus. Dalam kata lain virus merupakan Suatu program komputer yang dapat  menyebar pada komputer atau jaringan dengan cara membuat copy dari  dirinya sendiri tanpa sepengetahuan dari pengguna komputer tersebut.     Virus dapat menyebar dalam satu komputer, atau dapat berpindah dari  satu komputer ke komputer lain menggunakan media yang dibawa manusia,  seperti floppy disk, CD-ROM, DVD-ROM, atau USB fla...
Baca selengkapnya

Pertemuan 13 Ekploitasi Keamanan

Gambar
 Pertemuan 13 Ekploitasi  Keamanan   1. Memahami Konsep Ekploitasi Keamanan      Eksploitasi keamanan/eksploit adalah sebuah kode yang menyerang  keamanan komputer secara spesifik. Eksploit banyak digunakan untuk peretasan  baik secara legal ataupun ilegal untuk mencari celah pada komputer yang dituju.  Bisa juga dikatakan sebuah perangkat lunak yang menyerang celah keamanan  dalam komputer melakukan dengan cara yang spesifik namun tidak selalu  bertujuan untuk melancarkan aksi yang tidak diinginkan.      Ada beberapa metode untuk mengklasifikasikan eksploitasi. Yang paling  umum adalah bagaimana exploit berkomunikasi dengan perangkat lunak yang  rentan. a. Eksploitasi jarak jauh bekerja melalui jaringan dan mengeksploitasi  kerentanan keamanan tanpa akses sebelumnya ke sistem yang rentan. b. Eksploitasi lokal memerlukan akses sebelumnya ke sistem yang rentan dan  biasa...
Baca selengkapnya

Pertemuan 2 Physical Security & Biometrics

Gambar
    Pertemuan 2 Phyiscal Security & Biometrics     Pengertian Keamanan Fisik Keamanan fisik mencakup tindakan dan teknologi yang digunakan untuk melindungi peralatan, bangunan, dan sumber daya dari akses atau kerusakan yang tidak diizinkan.  Penggunaan tindakan fisik untuk melindungi barang berharga, data, atau akses ke sumber daya yang terbatas disebut keamanan fisik.  Serangannya dapat memengaruhi kerahasiaan dan integritas, dan keadaan lingkungan dapat memengaruhi ketersediaan. 1.  Keamanan Fisik     Pengertian Keamanan Fisik: Keamanan fisik mencakup tindakan dan teknologi yang digunakan untuk melindungi peralatan, bangunan, dan sumber daya dari akses atau kerusakan yang tidak diizinkan.  Penggunaan tindakan fisik untuk melindungi barang berharga, data, atau akses ke sumber daya yang terbatas disebut keamanan fisik.  Serangannya dapat memengaruhi kerahasiaan dan integritas, dan keadaan lingkungan dapat memengaruhi keters...
Baca selengkapnya