Keamanan Web Server ARSITEKTUR KEAMANAN DAN SISTEM ADMINISTRATOR
Aspek aspek dalam Membangun keamanan Web Server • • • • • •
2
Instalasi Web Server Secara Aman Konfigurasi Kontrol Akses Konfigurasi Permission pada Aplikasi Web Server Konfigurasi Direktori Konten Web yang Aman Uniform Resource Identifiers (URI) dan Cookies Mengendalikan Dampak Web “Bots” pada Web Server
Arsitektur Keamanan Sistem Administrator - Azhari Shouni Barkah, M.Kom - STMIK AMIKOM Purwokerto - 2015
9/18/2017
Instalasi Web Server Secara Aman
3
• Instal perangkat lunak Web server pada dedicated host • Instal patch atau upgradeperangkat lunak Web Server • Sediakan media storage/disk secara fisik atau partisi secara logikuntuk konten Web, yang terpisah dari OS dan aplikasi Web server. • Hapus semua file contoh atau tes dari server, termasuk script dan executable code. • Terapkan template keamanan yang sesuai atau scriptuntuk memperkuat keamanan ke server. Arsitektur Keamanan Sistem Administrator - Azhari Shouni Barkah, M.Kom - STMIK AMIKOM Purwokerto - 2015
9/18/2017
Konfigurasi Kontrol Akses
4
• Membatasi akses dari aplikasi Web server pada sebagian sumber daya yang bersifat komputasi. • Membatasi akses para pengguna melalui kontrol akses yang diberlakukan oleh Web server, dimana perlu diterapkan tingkat kontrol akses yang lebih detil.
Arsitektur Keamanan Sistem Administrator - Azhari Shouni Barkah, M.Kom - STMIK AMIKOM Purwokerto - 2015
9/18/2017
Konfigurasi Permission pada Aplikasi Web Server • Digunakan untuk membatasi file-file yang dapat diakses oleh proses-proses layanan Web server. • Digunakan untuk memastikan bahwa aplikasi Web server tidak dapat menyimpan (atau membaca) file-file diluar struktur file untuk konten Web. • Memastikan bahwa direktori dan file-file diluar struktur file untuk konten web tidak dapat diakses, sekalipun jika para pengguna melakukan browsing langsung dengan cara mengakses URL dari file-file tersebut atau melalui directory traversal attacks (serangan lintas direktori) terhadap proses Webserver. Arsitektur Keamanan Sistem Administrator - Azhari Shouni Barkah, M.Kom - STMIK AMIKOM Purwokerto - 2015
9/18/2017
5
Konfigurasi Direktori Konten Web yang Aman
6
• Jangan menggunakan link, alias, atau jalan pintas dalam pohon direktori file konten Web yang menunjuk ke direktori atau file-file di tempat lain dalam host server atau sistem file jaringan. • Menonaktifkan kemampuan perangkat lunak Web server dalam hal mengikuti link dan alias. • Tentukan suatu hard drive atau partisi logik tunggal yang diperuntukkan bagi konten Web dan buatlah sub direktori terkait khusus untuk file konten Web server, termasuk grafik namun tidak memuat script dan program-program lain. • Tetapkan suatu pohon direktori tunggal khusus untuk seluruh script atau program eksternal yang dieksekusi sebagai bagian dari konten Web. • Menonaktifkan eksekusi script yang tidak secara khusus berada dibawah kontrol dari akunadministratif. Arsitektur Keamanan Sistem Administrator - Azhari Shouni Barkah, M.Kom - STMIK AMIKOM Purwokerto - 2015
9/18/2017
Uniform Resource Identifiers (URI) dan Cookies
7
• Uniform Resource Identifiers (URI) merupakan teknologi pengalamatan dimana URL diciptakan. • URI dikirimkan secara terang, data apapun yang tersimpan didalamnya dapat dibobol dengan mudah. • Tidak direkomendasikan untuk menyembunyikan data sensitif seperti halnya usernames dan password atau sumberdaya tersembunyi dari server lainnya di dalam URI. • Cookie merupakan bagian kecil dari informasi yang mungkin ditulis pada hard drive pengguna saat pengguna mengunjungi suatu situs Web. • Cookie biasanya dikirim dalam bentuk terang dan disimpan secara terang dalam hostpengguna, cookie rentan untuk dibobol. Arsitektur Keamanan Sistem Administrator - Azhari Shouni Barkah, M.Kom - STMIK AMIKOM Purwokerto - 2015
9/18/2017
Mengendalikan Dampak Web “Bots” pada Web Server • Web bots (juga dikenal sebagai crawler atau spider) merupakan aplikasi software yang digunakan untuk mengumpulkan, menganalisis, dan meng-indeks konten Web. • Web bots digunakan oleh berbagai organisasi untuk berbagai tujuan.
Arsitektur Keamanan Sistem Administrator - Azhari Shouni Barkah, M.Kom - STMIK AMIKOM Purwokerto - 2015
9/18/2017
8
