:::: MENU ::::

Komputer™

Universitas Indo Global Mandiri / Kota Palembang

  • Pengenalan Dasar Komponen PC

  • Pengertian Keamanan Komputer

  • Tunggu Update Selanjutnya :D

Pengamanan Web Sistem

 Keamanan Web Sistem

Chapter 9

    Web server adalah sebuah software (perangkat lunak) yang memberikan layanan berupa data. Berfungsi untuk menerima permintaan HTTP atau HTTPS dari klien melalui web browser (Chrome, Firefox). 
Web Server memiliki peran dalam memproses berbagai data yang diminta oleh klien (web browser). Kemudian ia memberikan hasil atau jawaban berupa dokumen, video, foto, atau beragam bentuk berkas lainnya. Pengamanan Web sistem adalah sebuah upaya untuk melindungi dan menjaga website dari serangan virus maupun hacker yang terkoneksi melalui sebuah jaringan.

Jenis - Jenis Web Server

- Apache open-source
- NginX open-source
- IIS (Internet Information Services) 🡪 Proprietary Microsoft
- Lighttpd open-source
- Sun Java System Web Server
- Zeus Web Server

Apache
Web server yang populer dan paling banyak digunakan kebanyakan orang. Apache didesain guna mendukung penuh sistem operasi UNIX. 
Apache juga memiliki beberapa program pendukung sehingga memberikan layanan yang lengkap, seperti PHP, SSI dan kontrol akses.
Nginx
Nginx mampu melayani segala macam permintaan, seperti request pada dengan tingkat kepadatan lalu lintas atau traffic yang sangat padat. Nginx memang lebih unggul dari segi kualitas, kecepatan, dan dalam hal performanya.
Nginx memiliki banyak kelebihan dalam hal fitur, di antaranya URL rewriting, virtual host, file serving, reverse proxying, access control, dan masih banyak lagi.
IIS (Internet Information Services)
Web server IIS (Internet Information Services) merupakan proprietary Microsoft yang digunakan dalam sistem operasi server Windows mulai dari Windows NT 4.0 Server, Windows 2000 Server atau Windows Server 2003 sampai Windows Server 2019.
Bekerja pada jenis protokol seperti DNS, TCP/IP, atau beragam software lainnya yang berguna untuk merangkai sebuah situs.
Lighttpd
Lighttpd adalah server web yang dirancang agar cepat, aman, fleksibel, dan sesuai dengan standar dioptimalkan untuk lingkungan di mana kecepatan sangat penting dan mengkonsumsi lebih sedikit CPU dan RAM daripada server lain.
Merupakan perangkat lunak gratis dan didistribusikan di bawah lisensi BSD.
Sun Java Web Server
Web server yang kerap digunakan dalam pengembangan aplikasi web J2EE buat Sun Microsystem yang juga membuat Oracle. Sun java web server adalah aman dan mudah dalam penggunaan, perangkat lunak infrastrukstur yang canggih, gratis tanpa biaya apapun.
Zeus
Server web proprietary untuk unix dan platform seperti solaris, linux. Web server ini dikembangkan oleh zeus technology.


Cara Kerja Web Server
Pertama, USER/pengguna yang akan mengakses suatu website berupa URL melalui WEB BROWSER (yaitu media untuk menuju URL yang diakses) lalu WEB Browser tersebut mengirimkan permintaan/ request berupa HTTP REQUEST kepada WEB Server melalui layer-layer TCP/IP. Kemudian WEB Server memberi WEB FILES yang direquest jika ada. WEB FILES yang telah diberikan tadi tidak langsung ditampilkan begitu saja, namun WEB Server memberikan respon kembali ke WEB BROWSER melalui HTTP RESPONE yang juga melalui layer-layer TCP/IP. Dan Terakhir Web file yang di terima oleh WEB Browser, dan kemudian dikirmkan kepada USER berupa DISPLAY.

Ancaman Pada Web Server
    Ancaman terhadap server web biasanya berasal dari penolakan layanan, akses yang tidak sah, pembuatan profil, eksekusi kode acak, penyalahgunaan hak istimewa dari virus, trojan, dan sebagainya. Berikut ancaman - ancaman pada web server.

Web Deface
Adalah serangan yang dilakukan untuk mengganti visual (tampilan) dari sebuah website. Web Deface ada 2 yaitu Full dan Sebagian
Full : Mendeface/Merubah satu halaman penuh tampilan depan alias file index.
Sebagian : Tidak secara penuh, misalnya menampilkan beberapa kata atau gambar, atau penambahan script-script yang mengganggu.

Perubahan Data Pada Server
Ancaman Web server satu ini terdapat 2 macam yaitu : 
Langsung : Akses fisik ke server yang ada. Biasa dilakukan oleh pihak internal, dan ada korelasi dengan akses menuju ruang server, dan akses ke server yaitu mengetahui username dan pasword login.
Remote / Jarak Jauh : Melalui CGI, dan eksploit data di database (SQL injection, XSS, dll)

Penyadapan Informasi
Untuk memperoleh data-data penting yang keluar masuk kedalam server web, misalnya data login (user, password)
Metode yang digunakan :
- URLWatch.
Metode melihat siapa dan mengakses apa saja pada web yang disadap.
- Sniffing.
Penyadapan yang dilakukan menggunakan jaringan internet dengan tujuan utama untuk mengambil data dan informasi.

Denial of Service (DoS)
Menghabiskan resource (RAM, Processor, kemampuan ethernet) yang dimiliki oleh web server sampai tidak dapat menjalankan fungsinya dengan benar dengan cara membanjiri web server dengan trafik tinggi.
DoS ada 3 macam yaitu:
- Traffic Flooding
Membanjiri traffic jaringan dgn banyak data, sehingga traffic dari pengguna tidak dapat masuk.
- Request Flooding
Membanjiri jaringan dengan banyak request terhadap sebuah host service, sehingga request dari pengguna tidak dapat dilayani.
- Communication Disturbance
Mengganggu komunikasi antara host dan kliennya. Misalnya mengubah informasi konfigurasi sistem, atau bahkan perusakan fisik terhadap komponen web server.

Menjaga Keamanan Web Server
Menjaga keamanan pada web server dapat dilakukan dengan hal - hal berikut.
- Nonaktifkan layanan 
Matikan semua layanan yang tidak dipakai & noanaktifkan.
- Amankan akses secara remote
Menggunakan koneksi VPN atau protokol terenkripsi (SSH).
Bisa juga dengan membatasi IP.
- Server eksperimen vs Server produksi
Gunakan server web berbeda untuk kepentingan pengembangan dan untuk kepentingan produksi.
- Tetapkan hak akses 
Menetapkan hak akses bagi akun tertentu yang menjalankan layanan tertentu.
Membatasi akses anonymous user yang mengakses web server, aneka file aplikasi web, serta database.
- Pasang patch secara teratur
Aktivitas hacking bisa terjadi karena para penjahat memanfaatkan lubang dari software yang belum diperbarui.
- Pantau dan periksa server
Memantau semua log aktivitas jaringan, akses ke web server, database server,dan sistem operasi.
Waspada terhadap aktivitas mencurigakan.
- Gunakan scanner untuk memeriksa port terbuka
Gunakan tools untuk melakukan pemeriksaan terhadap keamanan port dalam server, seperti NMAP.
- Gunakan layanan content delivery network (CDN)
CDN “menyerap” serangan DDoS via penyebaran serangan ke berbagai mesin yg berada dalam jaringannya.
- Ikuti berita terbaru
Mengikuti aneka informasi dan berita untuk mengetahui perkembangan terbaru tentang issue keamanan dan tools pengaman yang tersedia atau aneka potensi serangan terbaru.

Menggunakan Audit Server, Audit Database, Audit Aplikasi dan CMS
- Audit Server 
Memperbarui PHP dan MySQL.
Menginstall security update terbaru.
Mengamankan traffic jaringan.
Menggunakan FTP yang lebih aman.
Melakukan backup.

- Audit Database 
Menyaring input pengguna.
Membatasi akses database.
Menggunakan SSL (Secure Socket Layer).

- Audit Aplikasi dan CMS
Update CMS.
Menggunakan Captcha.
Memakai password yang kuat.
Membatasi permintaan login.
Nonaktifkan debugging.

0 comments:

Posting Komentar

A call-to-action text Contact us

Blogroll

About