Keamanan Sistem World Wide Web

Keamanan Sistem World Wide Web

World Wide Web (WWW atau Web)
merupakan salah satu “killer applications” yang menyebabkan populernya Internet. WWW
dikembangkan oleh Tim Berners-Lee ketika sabatical di CERN. Kehebatan WWW adalah kemudahan untuk mengakses informasi, yang dihubungkan satu dengan lainnya melalui konsep hypertext.

Berkembangnya WWW dan Internet menyebabkan pergerakan
sistem informasi untuk menggunakannya sebagai basis. Untuk itu,
keamanan sistem informasi yang berbasis WWW dan teknologi
Internet bergantung kepada keamanan sistem WWW tersebut.
Sistem WWW terdiri dari dua sisi: server dan client. Sistem server
dan client memiliki permasalahan yang berbeda. Keduanya akan
dibahas secara terpisah.

Keamanan Server WWW
Keamanan server WWW biasanya merupakan masalah dari seorang
administrator. Dengan memasang server WWW di sistem anda,
maka anda membuka akses (meskipun secara terbatas) kepada
orang luar. Apabila server anda terhubung ke Internet dan memang
server WWW anda disiapkan untuk publik, maka anda harus lebih berhati-hati.

Server WWW menyediakan fasilitas agar client dari tempat lain
dapat mengambil informasi dalam bentuk berkas (file), atau
mengeksekusi perintah (menjalankan program) di server. Fasilitas
pengambilan berkas dilakukan dengan perintah “GET”, sementara
mekanisme untuk mengeksekusi perintah di server dikenal dengan
istilah “CGI-bin” (Common Gateway Interface). Kedua servis di atas
memiliki potensi lubang keamanan yang berbeda.

Adanya lubang keamanan di sistem WWW dapat dieksploitasi
dalam bentuk yang beragam, antara lain:
• informasi yang ditampilkan di server diubah sehingga dapat
mempermalukan perusahaan atau organisasi anda;
• informasi yang semestinya dikonsumsi untuk kalangan terbatas
(misalnya laporan keuangan, strategi perusahaan anda, atau
database client anda) ternyata berhasil disadap oleh saingan
anda;
• informasi dapat disadap (seperti misalnya pengiriman nomor
kartu kredit untuk membeli melalui WWW);
• server anda diserang sehingga tidak bisa memberikan layanan
ketika dibutuhkan (denial of service attack);
• untuk server web yang berada di belakang firewall, lubang
keamanan di server web yang dieksploitasi dapat melemahkan
atau bahkan menghilangkan fungsi dari firewall.
Sebagai contoh serangan dengan mengubah isi halaman web,
beberapa server Web milik pemerintah Indonesia sempat menjadi
target serangan dari beberapa pengacau (dari Portugal) yang tidak

Kontrol Akses
Sebagai penyedia informasi (dalam bentuk berkas-berkas), sering
diinginkan pembatasan akses. Misalnya, diinginkan agar hanya
orang-orang tertentu yang dapat mengakses berkas (informasi)
tertentu. Pada prinsipnya ini adalah masalah kontrol akses.
Pembatasan akses dapat dilakukan dengan:
• membatasi domain atau nomor IP yang dapat mengakses;
• menggunakan pasangan userid & password;
• mengenkripsi data sehingga hanya dapat dibuka (dekripsi) oleh
orang yang memiliki kunci pembuka.

Secure Socket Layer
Salah satu cara untuk meningkatkan keamanan server WWW adalah
dengan menggunakan enkripsi pada komunikasi pada tingkat
socket. Dengan menggunakan enkripsi, orang tidak bisa menyadap
data-data yang dikirimkan dari/ke server WWW. Salah satu
mekanisme yang cukup populer adalah dengan menggunakan
Secure Socket Layer (SSL) yang mulanya dikembangkan oleh Netscape.
Selain server WWW dari Netscape, beberapa server lain juga
memiliki fasilitas SSL juga. Server WWW Apache (yang tersedia
secara gratis) dapat dikonfigurasi agar memiliki fasilitas SSL dengan
menambahkan software tambahan (SSLeay - yaitu implementasi SSL
dari Eric Young - atau OpenSSL - yaitu implementasi Open Source
dari SSL). Bahkan ada sebuah perusahaan (Stronghold) yang menjual
Apache dengan SSL.
Penggunaan SSL memiliki permasalahan yang bergantung kepada
lokasi dan hukum yang berlaku. Hal ini disebabkan:
• Pemerintah melarang ekspor teknologi enkripsi (kriptografi).
Keamanan Sistem Informasi Berbasis Internet - Budi Rahardjo 67
Keamanan Server WWW
• Paten Public Key Partners atas Rivest-Shamir-Adleman (RSA) publickey
cryptography yang digunakan pada SSL.
Oleh karena hal di atas, implementasi SSLeay Eric Young tidak
dapat digunakan di Amerika Utara (Amerika dan Kanada) karena
“melanggar” paten RSA dan RC4 yang digunakan dalam
implementasinya. SSLeay dapat diperoleh dari:
• http://www.psy.uq.oz.au/~ftp/Crypto
Informasi lebih lanjut tentang SSL dapat diperoleh dari:
• http://home.netscape.com/newsref/std

Mengetahui Jenis Server
Informasi tentang server yang digunakan dapat digunakan oleh
perusak untuk melancarkan serangan sesuai dengan tipe server dan
operating system yang digunakan.
Informasi tentang program server yang digunakan sangat mudah
diperoleh. Program Ogre (yang berjalan di sistem Windows) dapat
mengetahui program server web yang digunakan. Sementara itu,
untuk sistem UNIX, program lynx dapat digunakan untuk melihat
jenis server dengan menekan kunci “sama dengan” (=).

Keamanan Program CGI
Meskipun mekanisme CGI tidak memiliki lubang keamanan,
program atau skrip yang dibuat sebagai CGI dapat memiliki lubang
keamanan. Misalnya, seorang pemakai yang nakal dapat memasang
skrip CGI sehingga dapat mengirimkan berkas password kepada
pengunjung yang mengeksekusi CGI tersebut.

Dalam bagian terdahulu dibahas masalah yang berhubungan
dengan server WWW. Dalam bagian ini akan dibahas masalahmasalah
yang berhubungan dengan keamanan client WWW, yaitu
pemakai (pengunjung) biasa.
Seorang pengunjung sebuah tempat WWW dapat diganggu dengan
berbagai cara. Misalnya, tanpa dia ketahui, dapat saja program Java,
Javascript, atau ActiveX yang jahat didownload dan dijalankan.
Program ini dapat mengirimkan informasi tentang anda ke server
WWW tersebut, atau bahkan menjalankan program tertentu di
komputer anda. Bayangkan apabila yang anda download adalah
virus atau trojan horse yang dapat menghapus isi harddisk anda.

Firewall

Firewall

Firewall

Firewall atau tembok-api adalah sebuah sistem atau perangkat yang mengizinkan lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak aman. Umumnya, sebuah tembok-api diterapkan dalam sebuah mesin terdedikasi, yang berjalan pada pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya. Tembok-api umumnya juga digunakan untuk mengontrol akses terhadap siapa saja yang memiliki akses terhadap jaringan pribadi dari pihak luar. Saat ini, istilah firewall menjadi istilah lazim yang merujuk pada sistem yang mengatur komunikasi antar dua jaringan yang berbeda. Mengingat saat ini banyak perusahaan yang memiliki akses ke Internet dan juga tentu saja jaringan berbadan hukum di dalamnya, maka perlindungan terhadap modal digital perusahaan tersebut dari serangan para peretas, pemata-mata, ataupun pencuri data lainnya, menjadi hakikat.

Jenis-jenis Firewall

Taksonomi Firewall

Firewall terbagi menjadi dua jenis, yakni sebagai berikut

• Personal Firewall: Personal Firewall didesain untuk melindungi sebuah komputer yang terhubung ke jaringan dari akses yang tidak dikehendaki. Firewall jenis ini akhir-akhir ini berevolusi menjadi sebuah kumpulan program yang bertujuan untuk mengamankan komputer secara total, dengan ditambahkannya beberapa fitur pengaman tambahan semacam perangkat proteksi terhadap virus, anti-spyware, anti-spam, dan lainnya. Bahkan beberapa produk firewall lainnya dilengkapi dengan fungsi pendeteksian gangguan keamanan jaringanIntrusion Detection System). Contoh dari firewall jenis ini adalah Microsoft Windows FirewallWindows XP Service Pack 2, Windows VistaWindows Server 2003 Service Pack 1), Symantec Norton Personal Firewall, KerioPacket Filter Firewall dan Stateful Firewall. ( (yang telah terintegrasi dalam sistem operasi dan Personal Firewall, dan lain-lain. Personal Firewall secara umum hanya memiliki dua fitur utama, yakni
• Network Firewall: Network Firewall didesain untuk melindungi jaringan secara keseluruhan dari berbagai serangan. Umumnya dijumpai dalam dua bentuk, yakni sebuah perangkat terdedikasi atau sebagai sebuah perangkat lunak yang diinstalasikan dalam sebuah server. Contoh dari firewall ini adalah Microsoft Internet Security and Acceleration Server (ISA Server), Cisco PIX, Cisco ASA, IPTables dalam sistem operasi GNU/Linux, pf dalam keluarga sistem operasi Unix BSD, serta SunScreen dari Sun Microsystems, Inc. yang dibundel dalam sistem operasi Solaris. Network Firewall secara umum memiliki beberapa fitur utama, yakni apa yang dimiliki oleh personal firewall (packet filter firewall dan stateful firewall), Circuit Level Gateway, Application Level Gateway, dan juga NAT Firewall. Network Firewall umumnya bersifat transparan (tidak terlihat) dari pengguna dan menggunakan teknologi routing untuk menentukan paket mana yang diizinkan, dan mana paket yang akan ditolak.

Fungsi Firewall

Secara fundamental, firewall dapat melakukan hal-hal berikut:

• Mengatur dan mengontrol lalu lintas jaringan
• Melakukan autentikasi terhadap akses
• Melindungi sumber daya dalam jaringan privat
• Mencatat semua kejadian, dan melaporkan kepada administrator

Mengatur dan Mengontrol Lalu lintas jaringan

Fungsi pertama yang dapat dilakukan oleh firewall adalah firewall harus dapat mengatur dan mengontrol lalu lintas jaringan yang diizinkan untuk mengakses jaringan privat atau komputer yang dilindungi oleh firewall. Firewall melakukan hal yang demikian, dengan melakukan inspeksi terhadap paket-paket dan memantau koneksi yang sedang dibuat, lalu melakukan penapisan (filtering) terhadap koneksi berdasarkan hasil inspeksi paket dan koneksi tersebut.

Proses inspeksi Paket

Inspeksi paket ('packet inspection) merupakan proses yang dilakukan oleh firewall untuk 'menghadang' dan memproses data dalam sebuah paket untuk menentukan bahwa paket tersebut diizinkan atau ditolak, berdasarkan kebijakan akses (access policy) yang diterapkan oleh seorang administrator. Firewall, sebelum menentukan keputusan apakah hendak menolak atau menerima komunikasi dari luar, ia harus melakukan inspeksi terhadap setiap paket (baik yang masuk ataupun yang keluar) di setiap antarmuka dan membandingkannya dengan daftar kebijakan akses. Inspeksi paket dapat dilakukan dengan melihat elemen-elemen berikut, ketika menentukan apakah hendak menolak atau menerima komunikasi:

• Alamat IP dari komputer sumber
• Port sumber pada komputer sumber
• Alamat IP dari komputer tujuan
• Port tujuan data pada komputer tujuan
• Protokol IP
• Informasi header-header yang disimpan dalam paket

Koneksi dan Keadaan Koneksi

Agar dua host TCP/IP dapat saling berkomunikasi, mereka harus saling membuat koneksi antara satu dengan lainnya. Koneksi ini memiliki dua tujuan:

1. Komputer dapat menggunakan koneksi tersebut untuk mengidentifikasikan dirinya kepada komputer lain, yang meyakinkan bahwa sistem lain yang tidak membuat koneksi tidak dapat mengirimkan data ke komputer tersebut. Firewall juga dapat menggunakan informasi koneksi untuk menentukan koneksi apa yang diizinkan oleh kebijakan akses dan menggunakannya untuk menentukan apakah paket data tersebut akan diterima atau ditolak.
2. Koneksi digunakan untuk menentukan bagaimana cara dua host tersebut akan berkomunikasi antara satu dengan yang lainnya (apakah dengan menggunakan koneksi connection-oriented, atau connectionless).

Ilustrasi mengenai percakapan antara dua buah host

Kedua tujuan tersebut dapat digunakan untuk menentukan keadaan koneksi antara dua host tersebut, seperti halnya cara manusia bercakap-cakap. Jika Amir bertanya kepada Aminah mengenai sesuatu, maka Aminah akan meresponsnya dengan jawaban yang sesuai dengan pertanyaan yang diajukan oleh Amir; Pada saat Amir melontarkan pertanyaannya kepada Aminah, keadaan percakapan tersebut adalah Amir menunggu respons dari Aminah. Komunikasi di jaringan juga mengikuti cara yang sama untuk memantau keadaan percakapan komunikasi yang terjadi.

Firewall dapat memantau informasi keadaan koneksi untuk menentukan apakah ia hendak mengizinkan lalu lintas jaringan. Umumnya hal ini dilakukan dengan memelihara sebuah tabel keadaan koneksi (dalam istilah firewall: state table) yang memantau keadaan semua komunikasi yang melewati firewall. Dengan memantau keadaan koneksi ini, firewall dapat menentukan apakah data yang melewati firewall sedang "ditunggu" oleh host yang dituju, dan jika ya, aka mengizinkannya. Jika data yang melewati firewall tidak cocok dengan keadaan koneksi yang didefinisikan oleh tabel keadaan koneksi, maka data tersebut akan ditolak. Hal ini umumnya disebut sebagai Stateful Inspection.

Stateful Packet Inspection

Ketika sebuah firewall menggabungkan stateful inspection dengan packet inspection, maka firewall tersebut dinamakan dengan Stateful Packet Inspection (SPI). SPI merupakan proses inspeksi paket yang tidak dilakukan dengan menggunakan struktur paket dan data yang terkandung dalam paket, tapi juga pada keadaan apa host-host yang saling berkomunikasi tersebut berada. SPI mengizinkan firewall untuk melakukan penapisan tidak hanya berdasarkan isi paket tersebut, tapi juga berdasarkan koneksi atau keadaan koneksi, sehingga dapat mengakibatkan firewall memiliki kemampuan yang lebih fleksibel, mudah diatur, dan memiliki skalabilitas dalam hal penapisan yang tinggi.

Salah satu keunggulan dari SPI dibandingkan dengan inspeksi paket biasa adalah bahwa ketika sebuah koneksi telah dikenali dan diizinkan (tentu saja setelah dilakukan inspeksi), umumnya sebuah kebijakan (policy) tidak dibutuhkan untuk mengizinkan komunikasi balasan karena firewall tahu respons apa yang diharapkan akan diterima. Hal ini memungkinkan inspeksi terhadap data dan perintah yang terkandung dalam sebuah paket data untuk menentukan apakah sebuah koneksi diizinkan atau tidak, lalu firewall akan secara otomatis memantau keadaan percakapan dan secara dinamis mengizinkan lalu lintas yang sesuai dengan keadaan. Ini merupakan peningkatan yang cukup signifikan jika dibandingkan dengan firewall dengan inspeksi paket biasa. Apalagi, proses ini diselesaikan tanpa adanya kebutuhan untuk mendefinisikan sebuah kebijakan untuk mengizinkan respons dan komunikasi selanjutnya. Kebanyakan firewall modern telah mendukung fungsi ini.

Melakukan autentikasi terhadap akses

Fungsi fundamental firewall yang kedua adalah firewall dapat melakukan autentikasi terhadap akses.

Protokol TCP/IP dibangun dengan premis bahwa protokol tersebut mendukung komunikasi yang terbuka. Jika dua host saling mengetahui alamat IP satu sama lainnya, maka mereka diizinkan untuk saling berkomunikasi. Pada awal-awal perkembangan Internet, hal ini boleh dianggap sebagai suatu berkah. Tapi saat ini, di saat semakin banyak yang terhubung ke Internet, mungkin kita tidak mau siapa saja yang dapat berkomunikasi dengan sistem yang kita miliki. Karenanya, firewall dilengkapi dengan fungsi autentikasi dengan menggunakan beberapa mekanisme autentikasi, sebagai berikut:

• Firewall dapat meminta input dari pengguna mengenai nama pengguna (user name) serta kata kunci (password). Metode ini sering disebut sebagai extended authentication atau xauth. Menggunakan xauth pengguna yang mencoba untuk membuat sebuah koneksi akan diminta input mengenai nama dan kata kuncinya sebelum akhirnya diizinkan oleh firewall. Umumnya, setelah koneksi diizinkan oleh kebijakan keamanan dalam firewall, firewall pun tidak perlu lagi mengisikan input password dan namanya, kecuali jika koneksi terputus dan pengguna mencoba menghubungkan dirinya kembali.
• Metode kedua adalah dengan menggunakan sertifikat digital dan kunci publik. Keunggulan metode ini dibandingkan dengan metode pertama adalah proses autentikasi dapat terjadi tanpa intervensi pengguna. Selain itu, metode ini lebih cepat dalam rangka melakukan proses autentikasi. Meskipun demikian, metode ini lebih rumit implementasinya karena membutuhkan banyak komponen seperti halnya implementasi infrastruktur kunci publik.
• Metode selanjutnya adalah dengan menggunakan Pre-Shared Key (PSK) atau kunci yang telah diberitahu kepada pengguna. Jika dibandingkan dengan sertifikat digital, PSK lebih mudah diimplenentasikan karena lebih sederhana, tetapi PSK juga mengizinkan proses autentikasi terjadi tanpa intervensi pengguna. Dengan menggunakan PSK, setiap host akan diberikan sebuah kunci yang telah ditentukan sebelumnya yang kemudian digunakan untuk proses autentikasi. Kelemahan metode ini adalah kunci PSK jarang sekali diperbarui dan banyak organisasi sering sekali menggunakan kunci yang sama untuk melakukan koneksi terhadap host-host yang berada pada jarak jauh, sehingga hal ini sama saja meruntuhkan proses autentikasi. Agar tercapai sebuah derajat keamanan yang tinggi, umumnya beberapa organisasi juga menggunakan gabungan antara metode PSK dengan xauth atau PSK dengan sertifikat digital.

Dengan mengimplementasikan proses autentikasi, firewall dapat menjamin bahwa koneksi dapat diizinkan atau tidak. Meskipun jika paket telah diizinkan dengan menggunakan inspeksi paket (PI) atau berdasarkan keadaan koneksi (SPI), jika host tersebut tidak lolos proses autentikasi, paket tersebut akan dibuang.

Melindungi sumber daya dalam jaringan privat

Salah satu tugas firewall adalah melindungi sumber daya dari ancaman yang mungkin datang. Proteksi ini dapat diperoleh dengan menggunakan beberapa peraturan pengaturan akses (access control), penggunaan SPI, application proxy, atau kombinasi dari semuanya untuk mencegah host yang dilindungi dapat diakses oleh host-host yang mencurigakan atau dari lalu lintas jaringan yang mencurigakan. Meskipun demikian, firewall bukanlah satu-satunya metode proteksi terhadap sumber daya, dan mempercayakan proteksi terhadap sumber daya dari ancaman terhadap firewall secara eksklusif adalah salah satu kesalahan fatal. Jika sebuah host yang menjalankan sistem operasi tertentu yang memiliki lubang keamanan yang belum ditambal dikoneksikan ke Internet, firewall mungkin tidak dapat mencegah dieksploitasinya host tersebut oleh host-host lainnya, khususnya jika exploit tersebut menggunakan lalu lintas yang oleh firewall telah diizinkan (dalam konfigurasinya). Sebagai contoh, jika sebuah packet-inspection firewall mengizinkan lalu lintas HTTP ke sebuah web server yang menjalankan sebuah layanan web yang memiliki lubang keamanan yang belum ditambal, maka seorang pengguna yang "iseng" dapat saja membuat exploit untuk meruntuhkan web server tersebut karena memang web server yang bersangkutan memiliki lubang keamanan yang belum ditambal. Dalam contoh ini, web server tersebut akhirnya mengakibatkan proteksi yang ditawarkan oleh firewall menjadi tidak berguna. Hal ini disebabkan oleh firewall yang tidak dapat membedakan antara request HTTP yang mencurigakan atau tidak. Apalagi, jika firewall yang digunakan bukan application proxy. Oleh karena itulah, sumber daya yang dilindungi haruslah dipelihara dengan melakukan penambalan terhadap lubang-lubang keamanan, selain tentunya dilindungi oleh firewall.

Mengamankan Sistem Informasi

Mengamankan Sistem Informasi

Mengamankan Sistem Informasi

Pada umunya, pengamanan dapat dikategorikan menjadi dua jenis: pencegahan (preventif) dan pengobatan (recovery). Usaha pencegahan dilakukan agar sistem informasi tidak memiliki lubang keamanan, sementara usaha-usaha pengobatan dilakukan apabila lubang keamanan sudah dieksploitasi.

Mengatur akses (Access Control)

Salah satu cara yang umum digunakan untuk mengamankan informasi adalah dengan mengatur akses ke informasi melalui mekanisme “authentication” dan “access control”. Implementasi dari mekanisme ini antara lain dengan menggunakan “password”.

Menutup servis yang tidak digunakan

Seringkali sistem (perangkat keras dan/atau perangkat lunak) diberikan dengan beberapa servis dijalankan sebagai default. Sebagai contoh, pada sistem UNIX servis-servis berikut sering dipasang dari vendornya: finger, telnet, ftp, smtp, pop, echo, dan seterusnya. Servis tersebut tidak semuanya dibutuhkan. Untuk mengamankan sistem, servis yang tidak diperlukan di server (komputer) tersebut sebaiknya dimatikan.

Memasang Proteksi

Untuk lebih meningkatkan keamanan sistem informasi, proteksi dapat ditambahkan. Proteksi ini dapat berupa filter (secara umum) dan yang lebih spesifik adalah firewall. Filter dapat digunakan untuk memfilter e-mail, informasi, akses, atau bahkan dalam level packet.

Firewall

Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan jaringan internal. Informasi yang keluar atau masuk harus melalui firewall ini. Tujuan utama dari firewall adalah untuk menjaga (prevent) agar akses (ke dalam maupun ke luar) dari orang yang tidak berwenang (unauthorized access) tidak dapat dilakukan.

Pemantau adanya serangan

Sistem pemantau (monitoring system) digunakan untuk mengetahui adanya tamu tak diundang (intruder) atau adanya serangan (attack). Nama lain dari sistem ini adalah “intruder detection system” (IDS). Sistem ini dapat memberitahu administrator melalui e-mail maupun melalui mekanisme lain seperti melalui pager.

Pemantau integritas system

Pemantau integritas sistem dijalankan secara berkala untuk menguji integratitas sistem. Salah satu contoh program yang umum digunakan di sistem UNIX adalah program Tripwire. Program paket Tripwire dapat digunakan untuk memantau adanya perubahan pada berkas.

Audit: Mengamati Berkas Log

Segala (sebagian besar) kegiatan penggunaan sistem dapat dicatat dalam berkas yang biasanya disebut “logfile” atau “log” saja. Berkas log ini sangat berguna untuk mengamati penyimpangan yang terjadi. Kegagalan untuk masuk ke sistem (login), misalnya, tersimpan di dalam berkas log. Untuk itu para administrator diwajibkan untuk rajin memelihara dan menganalisa berkas log yang dimilikinya

Backup secara rutin

Seringkali tamu tak diundang (intruder) masuk ke dalam sistem dan merusak sistem dengan menghapus berkas-berkas yang dapat ditemui. Jika intruder ini berhasil menjebol sistem dan masuk sebagai super user (administrator), maka ada kemungkinan dia dapat menghapus seluruh berkas.

Penggunaan Enkripsi untuk meningkatkan keamanan

Salah satau mekanisme untuk meningkatkan keamanan adalah dengan menggunakan teknologi enkripsi. Data-data yang anda kirimkan diubah sedemikian rupa sehingga tidak mudah disadap. Banyak servis di Internet yang masih menggunakan “plain text” untuk authentication, seperti penggunaan pasangan userid dan password. Informasi ini dapat dilihat dengan mudah oleh program penyadap atau pengendus (sniffer).

Keamanan Server WWW

Keamanan server WWW biasanya merupakan masalah dari seorang administrator. Dengan memasang server WWW di sistem anda, maka anda membuka akses (meskipun secara terbatas) kepada orang luar. Apabila server anda terhubung ke Internet dan memang server WWW anda disiapkan untuk publik, maka anda harus lebih berhati-hati sebab anda membuka pintu akses ke seluruh dunia.

Membatasi akses melalui Kontrol Akses

Sebagai penyedia informasi (dalam bentuk berkas-berkas), sering diinginkan pembatasan akses. Misalnya, diinginkan agar hanya orang-orang tertentu yang dapat mengakses berkas (informasi) tertentu. Pada prinsipnya ini adalah masalah kontrol akses.

Proteksi halaman dengan menggunakan password

Salah satu mekanisme mengatur akses adalah dengan menggunakan pasangan userid (user identification) dan password. Untuk server Web yang berbasis Apache[6], akses ke sebuah halaman (atau sekumpulan berkas yang terletak di sebuah directory di sistem Unix) dapat diatur dengan menggunakan berkas “.htaccess”.

Mengetahui Jenis Server

Informasi tentang web server yang digunakan dapat dimanfaatkan oleh perusak untuk melancarkan serangan sesuai dengan tipe server dan operating system yang digunakan.

Keamanan Program CGI

Common Gateway Interface (CGI) digunakan untuk menghubungkan sistem WWW dengan software lain di server web. Adanya CGI memungkinkan hubungan interaktif antara user dan server web.

Keamanan client WWW

Dalam bagian terdahulu dibahas masalah yang berhubungan dengan server WWW. Dalam bagian ini akan dibahas masalah-masalah yang berhubungan dengan keamanan client WWW, yaitu pemakai (pengunjung) biasa. Keamanan di sisi client biasanya berhubungan dengan masalah privacy dan penyisipan virus atau trojan horse.

Evaluasi Keamanan Sistem Informasi

Evaluasi Keamanan Sistem Informasi

Pentingnya Evaluasi

Lubang keamanan diketemukan hampir
setiap hari.

• Kesalahan konfigurasi bisa terjadi.

• Penambahan perangkat baru yang

mengubah konfigurasi yang sudah ada.

Sumber Lubang Keamanan

• Disain kurang baik

• TCP/IP sequence numbering, IP spoofing

• Algoritma enkripsi yang lemah

• Implementasi kurang baik

• Implementasi terburu-buru

• Bad programming, out-of-bound array

• sloppy programming

Sumber Lubang Keamanan

• Kesalahan konfigurasi

• Berkas yang esensial menjadi writeable for

all. Contoh: berkas password, aliases, log.

• Default account masih aktif

• False sense of security

• Kesalahan menggunakan program.

n rm -rf /
n del *,*

Penguji Keamanan Sistem

• Automated tools berbasis informasi

tentang security hole

• Crack: memecahkan password

• Tripwire: integritas berkas dan direktori

• Satan/Saint: Menguji keamanan sistem

melalui Web

• Cops

Probing Services

• Melihat servis yang diberikan oleh

sebuah server

• Servis diberikan melalui TCP atau UDP

dengan port tertentu.

• telnet, port 23

• SMTP, port 25

• HTTP/WWW, port 80

• POP, port 110

Probing Services (cont.)

• Menguji secara manual lewat telnet

• Menguji SMTP:

telnet localhost 25

Program Probe

• Proses probing secara otomatis

• UNIX:

• nmap, strobe, tcpprobe

• Windows 95/98/NT

• SuperScan, Netlab, Ogre

• Deteksi melalui

• Unix: Courtney, Portsentry

• Windows: attacker

Tampilan SuperScan

Penggunaan Attack

• Menyerang diri sendiri untuk melihat security

hole.

• Jangan menyerang sistem milik orang lain

• Memperolah program attack

• http://www.rootshell.com

• http://www.antionline.com

• http://packetstorm.securify.com

• http://www.technotronic.com

Contoh Program Penyerang

• Denial of Service (DoS) Attack

• land, latierra, winnuke, jolt & variasinya

• ping-o-death

• mail server attack: MS Exchange, Netscape

• mail bombing

• mail attachment attack: rockme.c

• Distributed DoS attack: trinoo, TFN

Network Monitoring

• Network monitoring untuk melihat trafik

yang tidak normal.

• Dapat digunakan oleh lawan untuk

menganalisa trafik sistem anda.

• Dapat digunakan untuk menangkap

data (sniffer)

Network Traffic Analysis Tools

• Etherman, packetman

• Etherboy, packetboy

• sniffit, tcpdump

• iptraf, netwatch, ntop

Langkah Selanjutnya

• Setelah melakukan evaluasi, dapat

diketahui bagian mana saja yang dapat
ditingkatkan keamanannya.

• Tingkatkan keamanan.

Dasar-dasar sistem informasi

Ringkasan ini tidak tersedia. Harap klik di sini untuk melihat postingan.