BAB I PENDAHULUAN
A. LATAR BELAKANG MASALAH
World Wide Web (WWW atau Web1) merupakan salah satu “killer applications”
yang menyebabkan populernya Internet. Kehebatan Web adalah kemudahannya untuk
mengakses informasi, yang dihubungkan satu dengan lainnya melalui konsephypertext.
Informasi dapat tersebar di mana-mana di dunia dan
terhubung melalui hyperlink. Informasi lebih lengkap tentang WWW dapat
diperoleh di web W3C .
Pembaca atau peraga
sistem WWW yang lebih dikenal dengan istilah browser dapat diperoleh
dengan mudah, murah atau gratis. Contoh browser adalah Netscape, Internet
Explorer, Opera, kfm (KDE file manager di sistem Linux), dan masih banyak
lainnya.
Kemudahan penggunaan
program browser inilah yang memicu populernya WWW. Sejarah dari browser ini
dimulai dari browser di sistem komputer NeXT yang kebetulan digunakan oleh
Berners-Lee. Selain browser NeXT itu, pada saat itu baru ada browser yang
berbentuk text (text-oriented) seperti “line mode” browser. Berkembangnya WWW
dan Internet menyebabkan pergerakan sistem informasi untuk menggunakannya
sebagai basis. Banyak sistem yang tidak terhubung ke Internet tetapi tetap
menggunakan basis Web sebagai basis untuk sistem informasinya yang dipasang di
jaringan Intranet. Untuk itu, keamanan sistem informasi yang berbasis Web dan teknologi
Internet bergantung kepada keamanan sistem Web tersebut. Arsitektur sistem Web
terdiri dari dua sisi: server dan client. Keduanya dihubungkan dengan jaringan
komputer (computer network). Selain menyajikan data-data dalam bentuk statis,
sistem Web dapat menyajikan data dalam bentuk dinamis dengan menjalankan
program. Program ini dapat dijalankan di server (misal dengan CGI, servlet) dan di client (applet, Javascript).
B. RUMUSAN MASALAH
Munculnya masalah keamanan ini didasarkan atas
beberapa asumsi yang datang dari berbagai kalangan baik dari kalangan / pihak
User, dari pihak Web Master atau dari Sistem Web itu sendiri, sehingga beberapa
asumsi dapat disimpulkan sebagai berikut :
a. Asumsi dari sisi pengguna
·
Server
dimiliki dan dikendalikan oleh organisasi yang mengaku memiliki server
tersebut.
·
Dokumen
yang ditampilkan bebas dari virus, trojan horse, atau itikad jahat lainnya.
Bisa saja seorang yang nakal memasang virus di web nya. Akan tetapi ini
merupakan anomali.
·
Server
tidak mendistribusikan informasi mengenai pengunjung (user yang melakukan
browsing) kepada pihak lain. Hal ini disebabkan ketika kita mengunjungi sebuah
web site, data-data tentang kita (nomor IP, operating system, browser yang
digunakan, dll.) dapat dicatat.
·
Pelanggaran
terhadap asumsi ini sebetulnya melanggar privacy. Jika hal ini dilakukan maka
pengunjung tidak akan kembali ke situs ini.
b. Asumsi dari penyedia layanan (web master)
·
Pengguna
tidak beritikad untuk merusak server atau mengubah isinya (tanpa ijin).
·
Pengguna
hanya mengakses dokumen-dokumen atau informasi yang diijinkan diakses. Seorang
pengguna tidak mencoba-coba masuk ke direktori yang tidak diperkenankan
(istilah yang umum digunakan adalah “directory traversal”).
·
Identitas
pengguna benar. Banyak situs web yang membatasi akses kepada user-user
tertentu. Dalam hal ini, jika seorang pengguna “login” ke web, maka dia
adalah pengguna yang benar.
c. Asumsi dari kedua belah pihak
Jaringan
komputer (network) dan komputer bebas dari penyadapan pihak ketiga. Informasi
yang disampaikan dari server ke pengguna (dan sebaliknya) terjamin keutuhannya
dan tidak dimodifikasi oleh pihak ketiga yang tidak berhak.
Asumsi-asumsi
di atas bisa dilanggar sehingga mengakibatkan adanya masalah keamanan.
C. TUJUAN
Tujuan dari makalah ini adalah :
1. Mengetahui metode keamanan seperti apa yang tepat
untuk layanan WWW ini.
2. Membuktikan melalui metode keamanan yang didapat
terhadap jawaban dari apa yang diasumsikan diatas.
BAB II
TINJAUAN PUSTAKA
A. LANDASAN TEORI
Internet merupakan jaringan global yang menghubungkan
suatu network dengan network
lainya di seluruh dunia. TCP/IP menjadi protocol penghubung antara jaringan-jaringan yang beragam di seluruh dunia untuk
dapat berkomunikasi. World Wide Web (WWW) merupakan bagian dari internet yang paling
cepat berkembang dan
paling populer WWW
bekerja merdasarkan pada tiga mekanisme berikut:
·
Protocol standard aturan yang di gunakan untuk berkomunikasi
pada computer networking, Hypertext Transfer Protocol (HTTP) adalah protocol
untuk WWW.
·
Address
WWW memiliki aturan penamaan alamat web yaitu: URL(Uniform
Resource Locator) yang di gunakan sebagai
standard alamat internet.
·
HTML digunakan untuk membuat
document yang bisa di akses melalui web. HTML merupakan standard bahasa yang
digunakan untuk menampilkan documentweb.
o Mengontrol tampilan dari web page dan contentnya.
o Mempublikasikan document secara online sehingga bisa
di akses.
o Membuat online form yang bisa di gunakan untuk
menangani pendaftaran, transaksi
secara online.
Menambahkan object-object seperti image, audio, video
dan juga java appletdalam document HTMLBrowser merupakan software yang di
install di mesin client yang berfungsi untukmenterjemahkan tag-tag HTML menjadi
halaman web. Browser yang sering digunakan biasanya Internet Explorer, Netscape
Navigator, Opera, Mozilla dan masih banyak yang lainya.
BAB III
PEMBAHASAN
A. IMPLEMENTASI
a. KEAMANAN SERVER
Server
WWW menyediakan fasilitas agar client dari tempat lain dapat mengambil
informasi dalam bentuk berkas (file), atau mengeksekusi perintah (menjalankan
program) di server. Fasilitas pengambilan berkas dilakukan dengan perintah
“GET”, sementara mekanisme untuk mengeksekusi perintah di server dapat
dilakukan dengan “CGI” (Common Gateway Interface), Server Side Include (SSI),
Active Server Page (ASP), PHP, atau dengan menggunakan servlet (seperti
pernggunaan Java Servlet). Kedua jenis servis di atas (mengambil berkas
biasa maupun menjalankan program di server) memiliki potensi lubang keamanan
yang berbeda.
Adanya
lubang keamanan di sistem WWW dapat dieksploitasi dalam bentuk yang beragam,
antara lain:
·
Informasi
yang ditampilkan di server diubah sehingga dapat mempermalukan perusahaan atau
organisasi anda (dikenal dengan istilah deface1);
·
Informasi
yang semestinya dikonsumsi untuk kalangan terbatas (misalnya laporan keuangan,
strategi perusahaan anda, atau database client anda) ternyata berhasil disadap
oleh saingan anda (ini mungkin disebabkan salah setup server, salah setup
router / firewall, atau salah setup authentication);
·
Informasi
dapat disadap (seperti misalnya pengiriman nomor kartu kredit untuk membeli
melalui WWW, atau orang yang memonitor kemana saja anda melakukan web
surfing);
·
Server
diserang (misalnya dengan memberikan request secara bertubi-tubi) sehingga tidak bisa memberikan layanan ketika
dibutuhkan (denial of service attack);
·
Untuk
server web yang berada di belakang firewall, lubang keamanan di server web yang
dieksploitasi dapat melemahkan atau bahkan menghilangkan fungsi dari firewall
(dengan mekanisme tunneling).
b. STRATEGI IMPLEMENTASI
a) Membatasi akses melalui Kontrol Akses
Sebagai
penyedia informasi (dalam bentuk berkas-berkas), sering diinginkan pembatasan
akses. Misalnya, diinginkan agar hanya orang-orang tertentu yang dapat
mengakses berkas (informasi) tertentu. Pada prinsipnya ini adalah masalah
kontrol akses. Pembatasan akses dapat dilakukan dengan:
·
Membatasi
domain atau nomor IP yang dapat mengakses;
·
Menggunakan
pasangan userid & password;
·
Mengenkripsi
data sehingga hanya dapat dibuka (dekripsi) oleh orang yang memiliki kunci
pembuka.
b) Proteksi halaman dengan menggunakan password
Salah
satu mekanisme mengatur akses adalah dengan menggunakan pasangan userid (user
identification) dan password. Untuk server Web yang berbasis
Apache1, akses ke sebuah halaman (atau sekumpulan berkas yang terletak di
sebuah directory di sistem Unix) dapat diatur dengan menggunakan berkas
“.htaccess”.
c) Secure Socket Layer
Salah
satu cara untuk meningkatkan keamanan server WWW adalah dengan menggunakan
enkripsi pada komunikasi pada tingkat socket. Dengan menggunakan enkripsi,
orang tidak bisa menyadap data-data (transaksi) yang dikirimkan dari/ke server
WWW. Salah satu mekanisme yang cukup populer adalah dengan menggunakan Secure
Socket Layer (SSL) yang mulanya dikembangkan oleh Netscape.
d) Mengetahui Jenis Server
Informasi
tentang web server yang digunakan dapat dimanfaatkan oleh perusak untuk
melancarkan serangan sesuai dengan tipe server dan operating system yang
digunakan. Seorang penyerang akan mencari tahu software dan versinya yang
digunakan sebagai web server, kemudian mencari informasi di Internet tentang
kelemahan
web server tersebut. Informasi tentang program server yang digunakan sangat
mudah diperoleh. Cara yang paling mudah adalah dengan menggunakan program
“telnet” dengan melakukan telnet ke port 80 dari server web tersebut, kemudian
menekan tombol return dua kali. Web server akan mengirimkan respon dengan
didahuli oleh informasi tentang server yang digunakan.
e) Keamanan Program CGI
Common
Gateway Interface (CGI) digunakan untuk menghubungkan sistem WWW dengan
software lain di server web. Adanya CGI memungkinkan hubungan interaktif antara
user dan server web. CGI seringkali digunakan sebagai mekanisme untuk
mendapatkan informasi dari user melalui “fill out form”, mengakses database,
atau menghasilkan halaman yang dinamis.
c.
KEAMANAN
CLIENT WWW
Dalam bagian terdahulu dibahas masalah yang
berhubungan dengan server WWW. Dalam bagian ini akan dibahas masalah-masalah
yang berhubungan dengan keamanan client WWW, yaitu pemakai (pengunjung) biasa.
Keamanan di sisi client biasanya berhubungan dengan masalah privacy dan
penyisipan virus atau trojan horse.
a) Pelanggaran Privacy
Ketika
kita mengunjungi sebuah situs web, browser kita dapat “dititipi” sebuah “cookie”
yang fungsinya adalah untuk menandai kita. Ketika kita berkunjung ke server itu
kembali, maka server dapat mengetahui bahwa kita kembali dan server dapat
memberikan setup sesuai dengan keinginan (preference) kita. Ini
merupakan servis yang baik. Namun data-data yang sama juga dapat digunakan
untuk melakukan tracking kemana saja kita pergi. Ada juga situs web yang
mengirimkan script (misal Javascript) yang melakukan interogasi terhadap server
kita (melalui browser) dan mengirimkan informasi ini ke server. Bayangkan jika
di dalam komputer kita terdapat data-data yang bersifat rahasia dan informasi ini
dikirimkan ke server milik orang lain.
b) Penyisipan Trojan Horse
Cara
penyerangan terhadap client yang lain adalah dengan menyisipkan virus atau
trojan horse. Bayangkan apabila yang anda download adalah virus atau trojan
horse yang dapat menghapus isi harddisk anda. Salah satu contoh yang sudah
terjadi adalah adanya web yang menyisipkan trojan horse Back Orifice (BO) atau
Netbus sehingga komputer anda dapat dikendalikan dari jarak jauh. Orang dari
jarak jauh dapat menyadap apa yang anda ketikkan, melihat isi direktori,
melakukan reboot, bahkan memformat harddisk.
