modul 10 www security
DESCRIPTION
teknik informatikaTRANSCRIPT
10. WWW SECURITY
Overview
Perkembangan internet yang cukup pesat membawa pengaruh besar dalam implementasinya dalam pertukaran data, maupun akses on line dan lain-lain. Kondisi ini menuntut perlakuan keamanan yang baik agar terjadi kelancaran dalam berintrnet
Tujuan
1.Mahasiswa dapat memahami proses apa yang mengganggu pada internet
2.Mahasiswa dapat menentukan kebijakan apa yang mungkin diambil untuk mengatasi kendala atau gangguan yang terjadi pada
Gambar 10.1 WWW Security
10.1 Aplikasi InternetInsiden keamanan menjadikan para pengguna internet merasa tidak aman untuk itu dicari berbagai metode yang mendukung aspek keamanan. Beberapa metode :
1. User Management:
User adalah komponen yang significan dari aplikasi,oleh karena itu user menjadi tujuan dari keamanan Web. Setiap aplikasi Web memiliki level yang berbeda dalam resiko ancaman. Oleh karena itu adalah suatu hal yang penting memperhatikan keamanan dari suatu Web, sehingga dapat mengeliminasi resiko yang di alami user. Dengan menggunakan password yang unik diharapkan dapat menghindari ancaman
Ancaman yang terjadi di sini a.l: Brutte Force attack pada Basic Authentication :merupakan ancaman karena penggunaan password yang mudah diprediksi , pemilihan kode yang dapat dipecahkan dengan mudah
contoh :
Username = Jon
Passwords=smith,MichaelJordan,[petnames],[birthday],…
Username = Jon,Dan,Ed
Passwords =12345678
Pada contoh di atas dicobakan satu nama,dan banyak passwords,dan banyak nama satu password.Ini merupakan tindakan Brutte force attack
Session HijackingSeseorang dapat membajak user dengan mengetahui cookies. sehingga identitas user dapat diketahui dan melakukan review informasi yang seharusnya diketahui oleh user
2. Authentication dan AuthorizingAuthentication merupakan pembentukan identitas user. Jika identitas terbukti valid maka user memiliki hak untuk mengakses berbagai fitur pada aplikasi Web. Ancaman yang utama terjadi pada proses ini adalah
man in the middle: pada persimpangan lalulintas data penyerang dapat membaca atau memodifikasi data yang transit antara 2 sistem.
3. Data Confidentiality dan Integrity
Data confidentiality mencegah dapat diaksesnya data tanpa izin, sedangkan integritas data menunjukan suatu data otentik atau belum dimodifikasi. Guna memperoleh dua kondisi di atas maka merupakan suatu hal yang penting melakukan enkripsi
Hal yang menjadi ancaman :
• Cryptanalysis : adanya pihak yang mempelajari tentang cryptographic algorithms sehingga dapat memecahkan kode .
• Side-channel leakage : merupakan tindakan menemukan kunci cryptographi dengan mengukur dan menganalisa timing, pemakaian daya dan dissipasi, radiasi electromagnetic, radiasi panas disekitar kanal.
• Physical attack penyerang melakukan gangguan secara fisik ke akses computer untuk mengetahui private key atau melakukan install key logger .
4.Transport Security dan privacy
Cookies merupakan penyimpan informasi yang dibuat oleh suatu Web site yang berisi informasi tentang user yang mengunjungi situs yang bersangkutan. Cookies adalah file ASCII yang dikirimkan server ke client, lalu client menyimpannya di sistem lokal
Saat request dikirimkan, server meminta browser untuk memeriksa adanya cookies, dan server dapat meminta browser untuk mengirimkan cookies ke web server. Informasi ini yang sering disalahgunakan penyerang.
Pengamanan Form authenticationProtokol standar web adalah http,yang sifatnya adalah stateless. Ditentukan pembagian area mana yang bisa diakses oleh anonim dan area mana yanghanya bisa diakses oleh user dengan menggunakan otentifikasi. Jika aplikasi berbasis web,dapat digunakan Secure Sockets Layer (SSL).SSL merupakan langkah security transport, pola kerjanya memakai asymmetric maupun symmetric key encryption untuk
membentuk dan mentransfer data pada link komunikasi yang aman pada jaringan yang tidak aman
SSL dapat membentuk suatu koneksi yang aman antara browser pada client dengan server.Untuk HTTP over SSLyaitu (HTTPS) dimana dibentuk suatu encrypted tunnel antara browser dengan Web server yang dapat digunakan untuk mengirimkan data
Rangkuman
1. Sistem keamanan pada suatu aplikasi berbeda dengan sistem keamanan pada jaringan .
2. Pada Internet terdapat komponen Web server dan Web browser. Agar system berjalan baik maka dibuat kebijakan keamanan terhadap ancaman atau gangguan .
3. Langkah antisipasi terhadap ancaman tidak hanya dilakukan pada satu lapisan tetapi pada tiap lapisan (layer).Terutama pada layer aplikasi dimana banyak sekali ancaman terjadi di lapisan ini
4. Untuk suatu parameter keamanan dapat terjadi beberapa ancaman atau gangguan.Untuk itu agar diperoleh resiko terganggunya system,maka tindakan pencegahan contoh :User Managementmenggunakan password yang unik untuk menghindari ancaman
LatihanRangkuman
Petunjuk: Pilihlah jawaban yang paling tepat!
1.Seseorang dapat membajak user dengan mengetahui cookies Tindakannya disebut :
A. Flying FoxB. Hi JackC. StealD. CheatingE. Masking
2. Penggunaan password yang mudah diprediksi , sangat rentan terhadap ancaman :
A. DOSB. Hi jackC. SnifferD. Brutte force attackE. Information intrusion
3.Encrypted tunnel antara browser dengan Web server yang dapat digunakan untuk mengirimkan data dikenal sebagai :A. TunnelB. SSHC. HttpsD. FtpE. SSX
4. Penyimpan informasi yang dibuat oleh suatu Web site yang berisi informasi tentang user yang mengunjungi situs yang bersangkutan
A. CookiesB. CachingC. TempD. Bookmark
E. Virtual
5 .Tindakan menemukan kunci cryptographi dengan mengukur pemakaian daya dan dissipasi, radiasi elektromagnetik, radiasi
panas disekitar kanal. Dikenal sebagai
A. Side-channel leakageB. Electromagnetic shieldingC. Heat transmission leakageD.Power consume leakageE. Criptograph Physical
Soal Essay
Latihan Kelas Virtual Practise:There are several free, shareware, and commercial ssh clients for Windows:See http://www.openssh.org/windows.html for a list.How to enable and configure SSH?