Presentasi sedang didownload. Silahkan tunggu

Presentasi sedang didownload. Silahkan tunggu

Keamanan WWW dan SSL Pertemuan 7. Sejarah WWW  Dikembangan oleh Tim Berners-Lee ketika sedang berada di CERN  Kemudahan untuk mengakses informasi melalui.

Presentasi serupa


Presentasi berjudul: "Keamanan WWW dan SSL Pertemuan 7. Sejarah WWW  Dikembangan oleh Tim Berners-Lee ketika sedang berada di CERN  Kemudahan untuk mengakses informasi melalui."— Transcript presentasi:

1 Keamanan WWW dan SSL Pertemuan 7

2 Sejarah WWW  Dikembangan oleh Tim Berners-Lee ketika sedang berada di CERN  Kemudahan untuk mengakses informasi melalui sistem hypertext  Mula-mula dikembangkan dengan NeXT, kemudian muncul Mosaic (Windows, Mac, Unix), dan … akhirnya Netscape. Kemudian meledak

3 Sistem WWW  Arsitektur sistem WWW Server (apache, IIS) Client (IE, Netscape, Mozilla, opera, kfm, arena, amaya, lynx) Terhubung melalui jaringan  Program dapat dijalankan di server (CGI, [java] servlet) atau di sisi client (javascript, java applet)

4 Asumsi [Sisi Pengguna]  Server dimiliki dan dikendalikan oleh organisasi yang mengaku memiliki server tersebut  Dokumen yang ditampilkan bebas dari virus atau itikad jahat lainnya  Server tidak mencatat atau mendistribusikan informasi tentang user (misalnya kebiasaan browsing)

5 Asumsi [Sisi Webmaster]  Pengguna tidak beritikad untuk merusak web server atau mengubah isinya  Pengguna hanya mengakses dokumen 2 yang diperkenankan diakses (dimana dia memiliki ijin)  Identitas pengguna benar

6 Asumsi Kedua Pihak  Network dan komputer bebas dari penyadapan pihak ketiga  Informasi yang disampaikan dari server ke pengguna (dan sebaliknya) terjamin keutuhannya dan tidak dimodifikasi oleh pihak ketiga

7 Keamanan Server WWW  Server WWW (httpd) menyediakan informasi (statis dan dinamis)  Halaman statis diperoleh dengan perintah GET  Halaman dinamis diperoleh dengan CGI (Common Gateway Interface) Server Side Include (SSI) Active Server Page (ASP), PHP Servlet (seperti Java Servlet, ASP)

8 Eksploitasi server WWW  Tampilan web diubah (deface)  dengan eksploitasi skrip / previledge / OS di server  Situs yang dideface dikoleksi di  Informasi bocor  (misal laporan keuangan semestinya hanya dapat diakses oleh orang/ bagian tertentu)

9 Eksploitasi server WWW [2]  Penyadapan informasi URLwatch: melihat siapa mengakses apa saja. Masalah privacy SSL memproteksi, namun tidak semua menggunakan SSL karena komputasi yang tinggi  DoS attack Request dalam jumlah yang banyak (bertubi-tubi) Request yang memblokir (lambat mengirimkan perintah GET)

10 Eksploitasi server WWW [3]  Digunakan untuk menipu firewall (tunelling ke luar jaringan)  Port 80 digunakan untuk identifikasi server (karena biasanya dibuka di router/firewall) telnet ke port 80 (dibahas di bagian lain)

11 Membatasi Akses  Access Control Hanya IP tertentu yang dapat mengakses server (konfigurasi web server atau firewall) Via userid & password (htaccess) Menggunakan enkripsi untuk menyandikan data-data

12 htaccess di Apache Isi berkas “.htaccess” AuthUserFile /home/budi/.passme AuthGroupFile /dev/null AuthName “Khusus untuk Tamu Budi” AuthType Basic require user tamu Membatasi akses ke user “tamu” dan password Menggunakan perintah “ htpasswd “ untuk membuat password yang disimpan di “.passme”

13 Cari info server  Informasi tentang server digunakan sebagai bagian dari casing the joint  Dapat dilakukan dengan Memberikan perintah HTTP langsung via telnet Menggunakan program nc, ogre

14 Keamanan CGI  CGI digunakan sebagai interface dengan sistem informasi lainnya (gopher, WAIS)  Diimplementasikan dengan berbagai bahasa (perl, C, C++, python, dll.)  Skrip CGI dijalankan di server sehingga membuka potensi lubang keamanan

15 Lubang Keamanan CGI  Beberapa contoh CGI dipasang oleh orang yang tidak berhak CGI dijalankan berulang-ulang untuk menghabiskan resources (CPU, disk): DoS Masalah setuid CGI di sistem UNIX, dimana CGI dijalankan oleh userid web server ASP di sistem Windows Guestbook abuse dengan informasi sampah Akses ke database via SQL

16 Keamanan Client WWW  Berhubungan dengan masalah privacy Cookies untuk tracking kemana saja browsing Pengiriman informasi pribadi  Attack (via active script, javascript, java) Pengiriman data-data komputer (program apa yang terpasang, dsb.) DoS attack (buka windows banyak) Penyusupan virus dan trojan horse

17 Secure Socket Layer (SSL)  Menggunakan enkripsi untuk mengamankan transmisi data  Mulanya dikembangkan oleh Netscape  Implementasi gratis pun tersedia openSSL

18 Sejarah SSL dan TLS SSL 1.0 Design complete SSL 1.0 Design complete SSL 2.0 Product ship SSL 2.0 Product ship PCT 1.0 publihsed PCT 1.0 publihsed SSL 3.0 publihsed SSL 3.0 publihsed TLS formed TLS formed TLS published TLS published NCSA Mosaic released NCSA Mosaic released Netscape Navigator released Netscape Navigator released Internet Explorer released Internet Explorer released

19 Pendekatan Keamanan Jaringan Keterangan: A = Full Security B = Multiple Application C = Tailored Service D = Transparent to Application E = Easy to Deploy Arsitektur ProtokolContohABCDE Separate Protocol Layer SSL Application LayerS-HTTP Integrated with Core IPSEC Parallel ProtocolKerberos

20 Separated Security Protocols  Not Secure  Secure HTTP SSL TCP IP TCP

21 Penambahan SSL di aplikasi lain selain HTTP HTTP SSL TCP IP NNTP FTP

22 Application Specific Security  Not Secure  Secure HTTP IP TCP HTTP IP TCP security

23 Security within Protocols  Not Secure  Secure HTTP IP TCP HTTP IP with IPSec TCP

24 Parallel Security Protocol  Not Secure  Secure HTTP IP TCP HTTP IP TCP and UDP Kerberos

25 Operasi SSL  SSL memiliki dua aturan yang berbeda, untuk client dan server;  Client yang memulai secure communication  WEB Browser => SSL untuk client  WEB Site => SSL untuk server

26 SSL Message Tipe-tipe Message (Pesan)Keterangan AlertMenginformasikan pihak lain dari kemungkinan kegagalan komunikasi atau pelanggaran keamanan Application DataKedua belah pihak saling tukar informasi yang aktual untuk membuktikan keasliannya, yang dienkripsi, dan atau diverifikasi melalui SSL SertifikatSuatu pesan yang dibawa pengirim berupa public key certificate Permintaan SertifikatSuatu permintaan oleh server kemudian client menyediakan public key certificate Verifikasi sertifikatSuatu pembuktian sertifikate dari client bahwa itu adalah miliknya ChangeChiperSpecSebuah indikasi untuk memulai persetujuan menggunakan pelayanan keamanan (seperti enkripsi) Client HelloSebuah pesan dari identifikasi client untuk kemampuan dan mendukung pelayanan keamanan ClientKeyExchangePesan berasal dari client yang membawa kunci enkripsi untuk komunikasi FinishedSebuah indikasi bahwa seluruh penginisialisasi negosiasi telah lengkap dan komunikasi telah terjaga keamanannya HelloRequestPermintaan server ke client untuk memulai proses negosiasi melalui SSL ServerHelloSebauh pesan dari server bahwa pelayanan keamanan akan digunakan untuk komunikasi ServerHelloDoneSebuah pesan dari server bahwa seluruh permintaan client telah lengkap untuk kemantapan keamanan komunikasi ServerKeyExchageSebuah pesan server yang membawa kunci kripto untuk komunikasi

27 Komunikasi establish encrypted ClientHello Fineshed ChangeChiperSpec ClientKeyExchange ServerHello ServerKeyExchange ServerHelloDone ChangeChiperSpec Finished

28 Proses negosiasi komunikasi yang di enskripsi LangkahAksi 1Client mengirim pesan ClientHello dengan menggusulkan pilihan SSL 2Server merespon dengan pesan ServerHello dengan memilih SSL 3Server mengirimkannya informasi public key dalam bentuk pesan ServerKeyExchange 4Server mengakhiri negosiasi dengan pesan ServerHelloDone 5Client mengirim session key infformation (di endskripsikan dengan public key server) didalam pesan ClientKeyExchange 6Client mengirim pesan ChangeCipherSet mengaktifkan negosiasi pilihan untuk keseluruhan pesan selanjutnya (future message) yang akan dikirimkan 7Client mengirimkan pesan Finished selanjutnya server memeriksa pilihan aktifitas yang terbaru 8Server mengirim pesan ChangeCipherSet mengaktifkan negosiasi pilihan untuk keseluruhan future message yang akan dikirimkan 9Server mengirimkan pesan Finished selanjutnya client memeriksa pilihan aktifitas yang terbaru

29 Mengakhiri secure communication PPesan ClosureAlert menjamin akhir dari sesi keamanan antara dua komponen 1 2 ClosureAlert ClosureAlert

30 Membuktikan keaslian identitas server  Menggunakan sertifikat sebagai pengganti ServerKeyExchange  secara sederhana, rantai sertifikat yang dimulai dari setifikat pubic key server dan berakhir denga sertifikat otoritas  Client memiliki tanggung jawab untuk meyakinkan sertifikat yang didapat berasal dari server, tangung jawab termasuk; Sertifikat tanda tangan Validasi waktu Status untuk mengambil kembali

31 Prosesnya ClientHello Fineshed ChangeChiperSpec ClientKeyExchange ServerHello Certificate ServerHelloDone ChangeChiperSpec Finished

32 Format pesan (message) HTTP Record Layer TCP Change Chiper Change Chiper Alert Hand- shake Hand- shake Appli- cation Appli- cation SSL

33 Sejarah WWW  Bahan bacaan Buku Tim Berners-Lee, “Weaving the Web” Thomas, Stephen; SSL and TLS Essentials; Willey; 2000


Download ppt "Keamanan WWW dan SSL Pertemuan 7. Sejarah WWW  Dikembangan oleh Tim Berners-Lee ketika sedang berada di CERN  Kemudahan untuk mengakses informasi melalui."

Presentasi serupa


Iklan oleh Google