10. WWW SECURITY

Overview

Perkembangan internet yang cukup pesat membawa pengaruh besar dalam implementasinya dalam pertukaran data, maupun akses on line dan lain-lain. Kondisi ini menuntut perlakuan keamanan yang baik agar terjadi kelancaran dalam berintrnet

Tujuan

1.Mahasiswa dapat memahami proses apa yang mengganggu pada internet

2.Mahasiswa dapat menentukan kebijakan apa yang mungkin diambil untuk mengatasi kendala atau gangguan yang terjadi pada

Gambar 10.1 WWW Security

10.1 Aplikasi InternetInsiden keamanan menjadikan para pengguna internet merasa tidak aman untuk itu dicari berbagai metode yang mendukung aspek keamanan. Beberapa metode :

1. User Management:

User adalah komponen yang significan dari aplikasi,oleh karena itu user menjadi tujuan dari keamanan Web. Setiap aplikasi Web memiliki level yang berbeda dalam resiko ancaman. Oleh karena itu adalah suatu hal yang penting memperhatikan keamanan dari suatu Web, sehingga dapat mengeliminasi resiko yang di alami user. Dengan menggunakan password yang unik diharapkan dapat menghindari ancaman

Ancaman yang terjadi di sini a.l: Brutte Force attack pada Basic Authentication :merupakan ancaman karena penggunaan password yang mudah diprediksi , pemilihan kode yang dapat dipecahkan dengan mudah

contoh :

Username = Jon

Passwords=smith,MichaelJordan,[petnames],[birthday],…

Username = Jon,Dan,Ed

Passwords =12345678

Pada contoh di atas dicobakan satu nama,dan banyak passwords,dan banyak nama satu password.Ini merupakan tindakan Brutte force attack

Session HijackingSeseorang dapat membajak user dengan mengetahui cookies. sehingga identitas user dapat diketahui dan melakukan review informasi yang seharusnya diketahui oleh user

2. Authentication dan AuthorizingAuthentication merupakan pembentukan identitas user. Jika identitas terbukti valid maka user memiliki hak untuk mengakses berbagai fitur pada aplikasi Web. Ancaman yang utama terjadi pada proses ini adalah

man in the middle: pada persimpangan lalulintas data penyerang dapat membaca atau memodifikasi data yang transit antara 2 sistem.

3. Data Confidentiality dan Integrity

Data confidentiality mencegah dapat diaksesnya data tanpa izin, sedangkan integritas data menunjukan suatu data otentik atau belum dimodifikasi. Guna memperoleh dua kondisi di atas maka merupakan suatu hal yang penting melakukan enkripsi

Hal yang menjadi ancaman :

• Cryptanalysis : adanya pihak yang mempelajari tentang cryptographic algorithms sehingga dapat memecahkan kode .

• Side-channel leakage : merupakan tindakan menemukan kunci cryptographi dengan mengukur dan menganalisa timing, pemakaian daya dan dissipasi, radiasi electromagnetic, radiasi panas disekitar kanal.

• Physical attack penyerang melakukan gangguan secara fisik ke akses computer untuk mengetahui private key atau melakukan install key logger .

4.Transport Security dan privacy

Cookies merupakan penyimpan informasi yang dibuat oleh suatu Web site yang berisi informasi tentang user yang mengunjungi situs yang bersangkutan. Cookies adalah file ASCII yang dikirimkan server ke client, lalu client menyimpannya di sistem lokal

Saat request dikirimkan, server meminta browser untuk memeriksa adanya cookies, dan server dapat meminta browser untuk mengirimkan cookies ke web server. Informasi ini yang sering disalahgunakan penyerang.

Pengamanan Form authenticationProtokol standar web adalah http,yang sifatnya adalah stateless. Ditentukan pembagian area mana yang bisa diakses oleh anonim dan area mana yanghanya bisa diakses oleh user dengan menggunakan otentifikasi. Jika aplikasi berbasis web,dapat digunakan Secure Sockets Layer (SSL).SSL merupakan langkah security transport, pola kerjanya memakai asymmetric maupun symmetric key encryption untuk

membentuk dan mentransfer data pada link komunikasi yang aman pada jaringan yang tidak aman

SSL dapat membentuk suatu koneksi yang aman antara browser pada client dengan server.Untuk HTTP over SSLyaitu (HTTPS) dimana dibentuk suatu encrypted tunnel antara browser dengan Web server yang dapat digunakan untuk mengirimkan data

Rangkuman

1. Sistem keamanan pada suatu aplikasi berbeda dengan sistem keamanan pada jaringan .

2. Pada Internet terdapat komponen Web server dan Web browser. Agar system berjalan baik maka dibuat kebijakan keamanan terhadap ancaman atau gangguan .

3. Langkah antisipasi terhadap ancaman tidak hanya dilakukan pada satu lapisan tetapi pada tiap lapisan (layer).Terutama pada layer aplikasi dimana banyak sekali ancaman terjadi di lapisan ini

4. Untuk suatu parameter keamanan dapat terjadi beberapa ancaman atau gangguan.Untuk itu agar diperoleh resiko terganggunya system,maka tindakan pencegahan contoh :User Managementmenggunakan password yang unik untuk menghindari ancaman

LatihanRangkuman

Petunjuk: Pilihlah jawaban yang paling tepat!

1.Seseorang dapat membajak user dengan mengetahui cookies Tindakannya disebut :

A. Flying FoxB. Hi JackC. StealD. CheatingE. Masking

2. Penggunaan password yang mudah diprediksi , sangat rentan terhadap ancaman :

A. DOSB. Hi jackC. SnifferD. Brutte force attackE. Information intrusion

3.Encrypted tunnel antara browser dengan Web server yang dapat digunakan untuk mengirimkan data dikenal sebagai :A. TunnelB. SSHC. HttpsD. FtpE. SSX

4. Penyimpan informasi yang dibuat oleh suatu Web site yang berisi informasi tentang user yang mengunjungi situs yang bersangkutan

A. CookiesB. CachingC. TempD. Bookmark

E. Virtual

5 .Tindakan menemukan kunci cryptographi dengan mengukur pemakaian daya dan dissipasi, radiasi elektromagnetik, radiasi

panas disekitar kanal. Dikenal sebagai

A. Side-channel leakageB. Electromagnetic shieldingC. Heat transmission leakageD.Power consume leakageE. Criptograph Physical

Soal Essay

Latihan Kelas Virtual Practise:There are several free, shareware, and commercial ssh clients for Windows:See http://www.openssh.org/windows.html for a list.How to enable and configure SSH?