Presentasi sedang didownload. Silahkan tunggu

Presentasi sedang didownload. Silahkan tunggu

Keamanan Sistem WWW Oleh : Kundang K.Juman, Ir.MMSI.

Presentasi serupa


Presentasi berjudul: "Keamanan Sistem WWW Oleh : Kundang K.Juman, Ir.MMSI."— Transcript presentasi:

1 Keamanan Sistem WWW Oleh : Kundang K.Juman, Ir.MMSI

2 2 Sejarah WWW Dikembangan oleh Tim Berners- Lee ketika sedang berada di CERN Dikembangan oleh Tim Berners- Lee ketika sedang berada di CERN Kemudahan untuk mengakses informasi melalui sistem hypertext Kemudahan untuk mengakses informasi melalui sistem hypertext Mula-mula dikembangkan dengan NeXT, kemudian muncul Mosaic (Windows, Mac, Unix), dan … akhirnya Netscape. Kemudian meledak Mula-mula dikembangkan dengan NeXT, kemudian muncul Mosaic (Windows, Mac, Unix), dan … akhirnya Netscape. Kemudian meledak

3 3 Sejarah WWW Bahan bacaan Bahan bacaan Buku Tim Berners-Lee, “Weaving the Web” Buku Tim Berners-Lee, “Weaving the Web”

4 4 Sistem WWW Arsitektur sistem WWW Arsitektur sistem WWW Server (apache, IIS) Server (apache, IIS) Client (IE, Netscape, Mozilla, opera, kfm, arena, amaya, lynx) Client (IE, Netscape, Mozilla, opera, kfm, arena, amaya, lynx) Terhubung melalui jaringan Terhubung melalui jaringan Program dapat dijalankan di server (CGI, [java] servlet) atau di sisi client (javascript, java applet) Program dapat dijalankan di server (CGI, [java] servlet) atau di sisi client (javascript, java applet)

5 5 Asumsi [Sisi Pengguna] Server dimiliki dan dikendalikan oleh organisasi yang mengaku memiliki server tersebut Server dimiliki dan dikendalikan oleh organisasi yang mengaku memiliki server tersebut Dokumen yang ditampilkan bebas dari virus atau itikad jahat lainnya Dokumen yang ditampilkan bebas dari virus atau itikad jahat lainnya Server tidak mencatat atau mendistribusikan informasi tentang user (misalnya kebiasaan browsing) Server tidak mencatat atau mendistribusikan informasi tentang user (misalnya kebiasaan browsing)

6 6 Asumsi [Sisi Webmaster] Pengguna tidak mencoba merusak web server atau mengubah isinya Pengguna tidak mencoba merusak web server atau mengubah isinya Pengguna hanya mengakses dokumen yang diperkenankan Pengguna hanya mengakses dokumen yang diperkenankan Identitas pengguna benar Identitas pengguna benar

7 7 Asumsi Kedua Pihak Network bebas dari penyadapan pihak ketiga Network bebas dari penyadapan pihak ketiga Informasi yang disampaikan dari server ke pengguna terjamin keutuhannya dan tidak dimodifikasi oleh pihak ketiga Informasi yang disampaikan dari server ke pengguna terjamin keutuhannya dan tidak dimodifikasi oleh pihak ketiga

8 8 Keamanan Server WWW Server WWW (httpd) menyediakan informasi (statis dan dinamis) Server WWW (httpd) menyediakan informasi (statis dan dinamis) Halaman statis diperoleh dengan perintah GET Halaman statis diperoleh dengan perintah GET Halaman dinamis diperoleh dengan Halaman dinamis diperoleh dengan CGI (Common Gateway Interface) CGI (Common Gateway Interface) Server Side Include (SSI) Server Side Include (SSI) Active Server Page (ASP), PHP Active Server Page (ASP), PHP Servlet (seperti Java Servlet, ASP) Servlet (seperti Java Servlet, ASP)

9 9 Eksploitasi server WWW Tampilan web diubah (deface) Tampilan web diubah (deface) dengan eksploitasi skrip / previledge / OS di server dengan eksploitasi skrip / previledge / OS di server Situs yang dideface dikoleksi di Situs yang dideface dikoleksi di Informasi bocor Informasi bocor (misal laporan keuangan semestinya hanya dapat diakses oleh orang/ bagian tertentu) (misal laporan keuangan semestinya hanya dapat diakses oleh orang/ bagian tertentu)

10 10 Eksploitasi server WWW [2] Penyadapan informasi Penyadapan informasi URLwatch: melihat siapa mengakses apa saja. Masalah privacy URLwatch: melihat siapa mengakses apa saja. Masalah privacy SSL memproteksi, namun tidak semua menggunakan SSL karena komputasi yang tinggi SSL memproteksi, namun tidak semua menggunakan SSL karena komputasi yang tinggi DoS attack DoS attack Request dalam jumlah yang banyak (bertubi-tubi) Request dalam jumlah yang banyak (bertubi-tubi) Request yang memblokir (lambat mengirimkan perintah GET) Request yang memblokir (lambat mengirimkan perintah GET)

11 11 Eksploitasi server WWW [3] Digunakan untuk menipu firewall (tunelling ke luar jaringan) Digunakan untuk menipu firewall (tunelling ke luar jaringan) Port 80 digunakan untuk identifikasi server (karena biasanya dibuka di router/firewall) Port 80 digunakan untuk identifikasi server (karena biasanya dibuka di router/firewall) telnet ke port 80 (dibahas di bagian lain) telnet ke port 80 (dibahas di bagian lain)

12 12 Membatasi Akses Access Control Access Control Hanya IP tertentu yang dapat mengakses server (konfigurasi web server atau firewall) Hanya IP tertentu yang dapat mengakses server (konfigurasi web server atau firewall) Via userid & password (htaccess) Via userid & password (htaccess) Menggunakan enkripsi untuk menyandikan data-data Menggunakan enkripsi untuk menyandikan data-data

13 13 htaccess di Apache Isi berkas “.htaccess” Isi berkas “.htaccess” AuthUserFile /home/budi/.passme AuthGroupFile /dev/null AuthName “Khusus untuk Tamu Budi” AuthType Basic require user tamu Membatasi akses ke user “tamu” dan password Membatasi akses ke user “tamu” dan password Menggunakan perintah “ htpasswd “ untuk membuat password yang disimpan di “.passme” Menggunakan perintah “ htpasswd “ untuk membuat password yang disimpan di “.passme”

14 14 Secure Socket Layer (SSL) Menggunakan enkripsi untuk mengamankan transmisi data Menggunakan enkripsi untuk mengamankan transmisi data Mulanya dikembangkan oleh Netscape Mulanya dikembangkan oleh Netscape Implementasi gratis pun tersedia Implementasi gratis pun tersedia openSSL openSSL

15 15 Cari info server Informasi tentang server digunakan sebagai bagian dari casing the joint Informasi tentang server digunakan sebagai bagian dari casing the joint Dapat dilakukan dengan Dapat dilakukan dengan Memberikan perintah HTTP langsung via telnet Memberikan perintah HTTP langsung via telnet Menggunakan program nc, ogre Menggunakan program nc, ogre

16 16 Keamanan CGI CGI digunakan sebagai interface dengan sistem informasi lainnya (gopher, WAIS) CGI digunakan sebagai interface dengan sistem informasi lainnya (gopher, WAIS) Diimplementasikan dengan berbagai bahasa (perl, C, C++, python, dll.) Diimplementasikan dengan berbagai bahasa (perl, C, C++, python, dll.) Skrip CGI dijalankan di server sehingga membuka potensi lubang keamanan Skrip CGI dijalankan di server sehingga membuka potensi lubang keamanan

17 17 Lubang Keamanan CGI Beberapa contoh Beberapa contoh CGI dipasang oleh orang yang tidak berhak CGI dipasang oleh orang yang tidak berhak CGI dijalankan berulang-ulang untuk menghabiskan resources (CPU, disk): DoS CGI dijalankan berulang-ulang untuk menghabiskan resources (CPU, disk): DoS Masalah setuid CGI di sistem UNIX, dimana CGI dijalankan oleh userid web server Masalah setuid CGI di sistem UNIX, dimana CGI dijalankan oleh userid web server ASP di sistem Windows ASP di sistem Windows Guestbook abuse dengan informasi sampah Guestbook abuse dengan informasi sampah Akses ke database via SQL Akses ke database via SQL

18 18 Keamanan Client WWW Berhubungan dengan masalah privacy Berhubungan dengan masalah privacy Cookies untuk tracking kemana saja browsing Cookies untuk tracking kemana saja browsing Pengiriman informasi pribadi Pengiriman informasi pribadi Attack (via active script, javascript, java) Attack (via active script, javascript, java) Pengiriman data-data komputer (program apa yang terpasang, dsb.) Pengiriman data-data komputer (program apa yang terpasang, dsb.) DoS attack (buka windows banyak) DoS attack (buka windows banyak) Penyusupan virus dan trojan horse Penyusupan virus dan trojan horse


Download ppt "Keamanan Sistem WWW Oleh : Kundang K.Juman, Ir.MMSI."

Presentasi serupa


Iklan oleh Google