Web Service memberikan paradigma baru dalam
mengimplementasikan sistem terdistribusi melalui Web dengan menggunakan
standard protokol SOAP, WSDL dan UDDI yang berbasis XML. Dengan teknologi Web
Service, konsep sistem terdistribusi yang biasanya digunakan pada sistem yang
bersifat tertutup dan proprietary (DCOM, CORBA, RMI) dapat diterapkan kedalam
sistem yang bersifat terbuka (non-propriertary) berbasis Web. Penerapan Web
Service akan memudahkan proses integrasi dan kolaborasi antar aplikasi pada lingkungan
platform yang heterogen baik melalui jaringan Intranet maupun Internet, dengan
biaya yang lebih murah dan dalam waktu yang relative lebih cepat. Namun
demikian, masih banyak yang ragu untuk segera menerapkan Web Service, khususnya
jika digunakan untuk mendukung transaksi bisnis melalui Internet (global).
Alasan utama yang menjadi perhatian adalah pada aspek keamanan dan kerentanan
(vulnerability) yang terdapat pada teknologi Web Service. Sementara itu
standard keamanan yang biasa digunakan untuk mengamankan aplikasi berbasis Web
pada umumnya tidak cukup mampu untuk mengamankan transaksi Web Service.
STANDAR PENGAMANAN WEB
XML signatures merupakan dokumen XML yang berisi informasi
mengenai tanda tangan digital. Tanda tangan digital dapat dilakukan terhadap
dokumen dengan tipe apapun, termasuk dokumen XML. XML signatures dapat ditambahkan
pada dokumen XML yang ditandatangani ataupun dapat berupa sebuah dokumen XML
tersendiri. Secara garis besar, struktur XML signatures adalah sebagaimana
(dimana “?” menandakan nol atau satu kemunculan, “+” menandakan satu atau lebih
kemunculan, dan “*” menandakan nol atau lebih kemunculan) ditampilkan pada
Kode XML
Kode XML
Salah satu keuntungan
penggunaan standar XML signature adalah dapat dilakukannya penandatanganan
sebuah dokumen XML oleh lebih dari satu pihak. Pihak tertentu hanya akan
menandatangani elemen XML yang menjadi tanggung jawabnya.
XML Encryption
XML Encryption
Pengamanan terhadap
data yang dipertukarkan merupakan salah satu kebutuhan yang muncul pada proses
pertukaran data. W3C telah merekomendasikan Enkripsi XML sebagai metode
alternatif untuk pengamanan data dengan menggunakan format XML. Namun demikian,
Enkripsi XML dirancang untuk dapat diterapkan baik pada data XML maupun data
non XML.
Implementasi Enkripsi
XML memungkinkan penggabungan data yang telah dienkripsi dengan data yang tidak
dienkripsi di dalam satu dokumen XML. Dengan demikian, proses enkripsi maupun
dekripsi dapat dilakukan hanya pada data yang memang perlu diamankan saja.
Xml Key Management Specification
XML key management specification (XMKS) merupakan sebuah spesifikasi infrastruktur yang digunakan untuk pengamanan transaksi berbasis XML. Pada web services digunakan format komunikasi data berbasis XML dan untuk keamanan data-data tersebut digunakan teknik kriptografi kunci-publik. Pengelolaan terhadap kunci-publik ditentukan dengan adanya public-key infrastructure (PKI).
Xml Key Management Specification
XML key management specification (XMKS) merupakan sebuah spesifikasi infrastruktur yang digunakan untuk pengamanan transaksi berbasis XML. Pada web services digunakan format komunikasi data berbasis XML dan untuk keamanan data-data tersebut digunakan teknik kriptografi kunci-publik. Pengelolaan terhadap kunci-publik ditentukan dengan adanya public-key infrastructure (PKI).
XKMS merupakan bentuk
pengembangan berikutnya dari PKI yang ada saat ini (PKIX) dan juga melakukan
perubahan standar PKI sebagai salah satu bentuk web services. Dengan demikian
XKMS dapat melakukan proses registrasi pasangan kunci-publik (private-key dan
public-key), penentuan lokasi penyimpanan kunci-publik, validasi kunci-publik,
pencabutan (revoke) kuncipublik, dan pemulihan (recover) kuncipublik. Oleh
karena itu, keseluruhan struktur PKI akan dikembangkan ke dalam lingkungan
berbasis XML. XML Key Management Specification yang diterapkan sebagai web
service akan mengurangi bentuk “ketergantungan” terhadap fungsi PKI yang
terintegrasi dalam aplikasi. Sebelumnya penyedia PKI haruslah mengembangkan
fungsi-fungsi khusus yang diterapkan pada produk aplikasi yang akan digunakan
sedangkan dengan adanya XKMS sebagai web service, pada pengembangan produk
aplikasi cukup dibuat fungsi untuk menentukan pengguna (client) yang mengakses
fungsi/layanan yang disediakan oleh XKMS.
Fungsi-fungsi pada XMKS meliputi:
- Registration (registrasi). Layanan pada XKMS dapat digunakan untuk mendaftarkan (registrasi) pasangan kunci dengan menggunakan fungsi “register”. Pembangkitan pasangan kunci-publik dapat dilakukan oleh client ataupun layanan. Pada saat kunci-kunci telah terdaftarkan, layanan XKMS akan melakukan pengelolaan pencabutan ataupun pemulihan kunci-kunci, yang dibangkitkan oleh server ataupun client.
- Locating. Pada XKMS terdapat fungsi yang digunakan untuk mendapatkan kembali kunci-publik yang terdaftar.
- Validation (validasi). Fungsi validasi digunakan untuk memastikan bahwa kunci-publik yang telah didaftarkan dengan layanan XKMS valid dan tidak kadaluarsa ataupun telah dicabut.
- Keunggulan utama XKMS dibandingkan PKI yang ada sebelumnya adalah proses enkapsulasi kerumitan yang ada pada PKI menjadi komponen pada sisi server. Dengan demikian pihak client hanya perlu mengetahui cara mengakses antarmuka yang disediakan.
WEB SCIENCE SECURITY
WS-Security atau juga
dikenal sebagai Web Service Security Core Language (WSS-Core) merupakan
spesifikasi keamanan Web Service yang mendefinisikan mekanisme pengamanan pada
level pesan SOAP untuk menjamin message integrity & confidentiality.
Standard WS-Security saat ini dikembangkan secara resmi oleh OASIS berdasarkan spesifikasi yang diusulkan oleh Microsoft, IBM, dan VerySign pada 11 April 2002. Selanjutnya, OASIS melalui Web Service Security Technical Committee (WSS) melanjutkan pengembangan WS-Security dengan menetapkan beberapa spesifikasi teknis terpisah, seperti Core Specification, SAML Profile, XMrL Profile, X.509 Profile, dan Karberos Profile. Produk WSS untuk Core Specification (WSS-Core) adalah WSS: Soap Message Security. Spesifikasi lain yang merupakan bagian dari Core Specification ini adalah WSS: User Name Token Profile dan WSS: X.509 Certificate Token Profile.
Standard WS-Security saat ini dikembangkan secara resmi oleh OASIS berdasarkan spesifikasi yang diusulkan oleh Microsoft, IBM, dan VerySign pada 11 April 2002. Selanjutnya, OASIS melalui Web Service Security Technical Committee (WSS) melanjutkan pengembangan WS-Security dengan menetapkan beberapa spesifikasi teknis terpisah, seperti Core Specification, SAML Profile, XMrL Profile, X.509 Profile, dan Karberos Profile. Produk WSS untuk Core Specification (WSS-Core) adalah WSS: Soap Message Security. Spesifikasi lain yang merupakan bagian dari Core Specification ini adalah WSS: User Name Token Profile dan WSS: X.509 Certificate Token Profile.
Beberapa contoh serangan pada web server yang sering
terjadi adalah :
- Melakukan
perubahan tampilan (Deface)
Metode ini umum dilakukan dengan cara menjalankan skrip eksploit, memanfaatkan celah priveledge yang terbuka, atau memanfaatkan kelemahan operating system yang digunakan sebagai web server. - Perubahan
data pada server
Cara paling mudah untuk mengubah data pada server adalah dengan melakukan akses fisik ke server yang ada. Untuk itu keamanan dan akses ruang server haruslah sangat terjaga. Cara perubahan data yang sering dilakukan juga adalah dengan melalui CGI, dan eksploit data di database (SQL injection, XSS, dll) - Penyadapan
Informasi
Penyadapan informasi dilakukan untuk memperoleh data-data penting yang keluar masuk kedalam server web seperti data login (user, password), maupun data sensitif lainnya. Metode untuk penyadapan informasi biasanya dilakukan dengan cara Urlwatch, sniffing, dll
- DoS
(Denial of Service) attack
adalah jenis serangan terhadap web server dengan cara menghabiskan resource (RAM, Processor, kemampuan ethernet) yang dimiliki oleh web server sampai tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung mencegah pengguna memperoleh service web.
Dalam sebuah serangan Denial of Service, si penyerang akan mencoba untuk mencegah akses seorang pengguna terhadap sistem atau jaringan dengan menggunakan beberapa cara, yakni sebagai berikut:
1. Membanjiri
lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan yang
datang dari pengguna yang terdaftar menjadi tidak dapat masuk ke dalam sistem
jaringan. Teknik ini disebut sebagai traffic flooding.
2. Membanjiri
jaringan dengan banyak request terhadap sebuah layanan jaringan yang disedakan
oleh sebuah host sehingga request yang datang dari pengguna terdaftar tidak
dapat dilayani oleh layanan tersebut. Teknik ini disebut sebagai request
flooding.
3. Mengganggu
komunikasi antara sebuah host dan kliennya yang terdaftar dengan menggunakan
banyak cara, termasuk dengan mengubah informasi konfigurasi sistem atau bahkan
perusakan fisik terhadap komponen dan server.
Berikut adalah beberapa metode pengamanan untuk akses
web server :
- Access
Control
Kita dapat memberlakukan kontrol akses untuk web server dengan cara :
1. Melakukan
pengaturan pada web server agar membatasi akses menuju web server dengan
identifikasi alamat ip (/etc/httpd.conf).
2. Menggunakan
htaccess
Membuat file“.htaccess” pada root directory web server, contohnya sbb :AuthUserFile /home/duyz/.pass
AuthGroupFile /dev/null
AuthName “Akses terbatas untuk user khusus”
AuthType Basic
<Limit GET>
require user khusus
</Limit>
Membuat file“.htaccess” pada root directory web server, contohnya sbb :AuthUserFile /home/duyz/.pass
AuthGroupFile /dev/null
AuthName “Akses terbatas untuk user khusus”
AuthType Basic
<Limit GET>
require user khusus
</Limit>
Skrip
ini akan membatasi akses web server hanya dapat digunakan oleh user “khusus”
dan password
Menggunakan perintah “htpasswd“ untuk membuat password yang disimpan di file “.pass”.
Menggunakan perintah “htpasswd“ untuk membuat password yang disimpan di file “.pass”.
3. Menggunakan
Secure Connection (ssl, openssl)
SSL (Secure Socket Layer) adalah sebuah metode untuk pengamanan web server dengan penggunaan enkripsi pada transmisi data menuju web server. Metode ini lazim digunakan oleh Korporasi, Bank, maupun badan intelejen untuk menghindari sniffing, maupun percobaan intersepsi data lainnya.
SSL (Secure Socket Layer) adalah sebuah metode untuk pengamanan web server dengan penggunaan enkripsi pada transmisi data menuju web server. Metode ini lazim digunakan oleh Korporasi, Bank, maupun badan intelejen untuk menghindari sniffing, maupun percobaan intersepsi data lainnya.
Referensi :
Tidak ada komentar:
Posting Komentar