1
Agenda Alasan pengamanan e-business Pengertian keamanan dasar Layer teknologi keamanan Serangan Terhadap E-Commerce SpyWare dan Denial of Service Teknologi Keamanan 2
Pilar Komputasi Terpercaya Kehandalan : sistem komputer dapat dipercaya, tersedia jika
diperlukan, melakukan sesuai harapan pada level tertentu. Keamanan : sustem kebal terhadap serangan dan kerahasiaan, integritas dan ketersediaan sistem dan data terlindungi. Privasi : setiap orang dapat mengendalikan informasi pribadi dan organisasi. Integritas Bisnis : perusahaan bertanggung jawab terhadap pelanggan dan membantu mereka untuk menemukan solusi yang tepat untuk isu bisnis mereka, menyelesiakan masalah dengan produk dan layanan, dan terbuka untuk berinteraksi dengan pelanggan.
3
Skenario koneksi dan kepedulian keamanan Skenario koneksi : Jaringan kabel tradisional Jaringan nirkabel publik Jaringan bergerak Kepedulian keamanan : Aplikasi percaya pada kondisi Internet Bisnis percaya pada Internet Serangan keamanan dari dalam
4
Tipe umum Serangan Serangan Organisasi Penyerang
Data terbatas Pelanggaran keamanan Virus, Trojan Horses, dan Worm
Serangan Otomatis
DoS Koneksi Gagal Denial of Service (DoS) 5
Konsekuensi Kurang Pengamanan Pencurian kekayaan intelektual Terganggunya sistem Kehilangan produktifitas Mengganggu reputasi bisnis Kehilangan kepercayaan konsumen Beberapa kehilangan keuangan karena
hilangnya keuntungan
6
Tantangan Penerapan Sistem Keamanan
Penyerang vs. Tim Penahan
Penyerang hanya perlu tahu satu kelamahan Tim Penahan harus mengamankan semua kemungkinan Penyerang memiliki waktu yang tidak terbatas Tim Penahan bekerja dalam batasan waktu dan biaya Sistem yang aman lebih sulit untuk digunakan Password yang kuat dan komplek sulit untuk diingat Pengguna menyukai password yang sederhana
Keamanan vs. Penggunaan
Apakah Saya perlu Keamanan ?
Keamanan sbg renungan
Pengembang dan manajemen berfikir bahwa keamanan tidak menambah nilai bisnis Menghilangkan kelemahan sebelum produk diluncurkan adalah sangat mahal. 7
E-business memerlukan pengamanan Jika kita akan melakukan bisnis dengan
seseorang Ketika berubah dari kerjasama bilateral menuju pasar dunia … dari “lakukan ini sendiri” menuju “telah dikerjakan oleh tim” Ketika menyediakan layanan online, dimana saja, 24 jam sehari, dan 7 hari seminggu Ketika bekerja di rumah atau secara mobile
8
Keamanan juga untuk area lain
Tele-medicine dan pertukaran data medis
9
Hak Cipta dan intelectual property Hak Cipta Rancangan embedded system Algoritma Karya sastra dan musik Karya seni tari dan pantomim Hasil karya grafis, lukisan dan patung Karya seni video dan audiovisual Karya arsitektur Kekayaan intelektual Kepemilikan ide dan kontrol terhadap representasi virtual dari ide tersebut 10
Area ini juga … Produksi
Pengguna konten Manajemen konten
$$ $
1011011
Pembuat konten
Distribusi beraneka ragam konten 11
Memerlukan Kerahasiaan Hanya orang yang berhak yang dapat membaca pesan
Integritas Modifikasi data harus dapat diketahui
Non-repudiation (Penerimaan) Bukti transmisi data dan perdangan yang faktual
Otentifikasi Identitas rekan bisnis haurs dapat dibuktikan
Kualitas layanan 12
Kepentingan keamanan Kerahasaan
Integritas
Kualitas
Non-rep
Otentifikasi
++
+
+
++
++
++
Layanan
E-commerce
+
Market places
++
+
ASP
++
++
++
++
Teleworking
++
+
++
++
Medicine
++
++
+
++ 13
Agenda Alasan pengamanan e-business Pengertian keamanan dasar Layer teknologi keamanan Serangan Terhadap E-Commerce SpyWare dan Denial of Service Teknologi Keamanan 14
Pengertian Kemanan Definisi kamus : proteksi atau pertahanan terhadap
serangan, campur tangan, spionase dll. Klasifikasi keamanan komputer Kerahasiaan
Perlindungan terhadap pembukaan data yang tidak berhak dan memastikan otentikasi sumber data
Integritas
Pencegahan modifikasi data yang tidak berhak
Ketersediaan (kebutuhan)
Pencegahan kelambatan data dan kehilangan 15
Sumber serangan keamanan TI Pemerintah dan komunitas perorangan
Ancaman „Internal“ - Pegawai - Kesalahan aplikasi
Rekan Bisnis - Pelanggan - Outsourcer - Saingan
Perusahaan X Hacker 16
Survey keamanan Computer Penelitian bersama FBI USA (Federal Bureau of
Investigation) dan Computer Security Institute (CSI) 520 perusahaan disurvey pada tahun 1998 64% perusahaan melaporkan pelanggaran keamanan Kehilangan keuangan secara keseluruhan diatas 136 juta
USD Akses orang dalam yang tidak berhak menjadi serangan utama Pencurian informasi hak cipta pada urutan kedua
17
Kehilangan Keuangan
Sumber : Cylink Document "The Need for Information Security"
18
Keamanan sangat penting Seharusnya dihubungkan dengan analisis resiko yang
hati-hati Seharusnya dipelihara tidak secara teknologi, lebih
menyeluruh Tidak terlalu overestimasi Dikelola secara wajar 19
Kebijakan dan Integrasi Keamanan Kebijakan keamanan adalah aturan tertulis yang
menjelaskan aset yang dilindungi dan alasan perlindungan serta siapa yang bertanggun jawab terhadapnya. Keamanan fisik Kemanan jaringan Otorisasi akses Proteksi Virus Penanganan benacana
20
Elemen Spesifik Kebijakan Keamanan Otentifikasi Siapa yang mencoba mengakses situs Kendali Akses Siapa yang berhak untuk login dan mengakses situs Kerahasiaan Siapa yang diijinkan untuk melihat informasi yang dipilih Integritas data Siapa yang diijinkan untuk mengubah data Audit Apa dan siapa yang melakukan suatu akses dan kapan waktunya 21
Tiga komponen keamanan Tiga sudut pandang Sudut pandang pengguna Sudut pandang server Sudut pandang keduanya
Tiga bagian Keamanan sisi client Keamanan sisi server Dokumen kerahasiaan 22
Keamanan sisi client Ukuran untuk melindungi kerahasiaan pribadi
pengguna dan integritas komputernya Contoh solusi teknologi
Proteksi dari virus kompter dan berbagai perangkat
lunak lain Batasan jumlah informasi personal yang dapat dikirim browser tanpa sepengetahuan pengguna
23
Keamanan sisi server Ukuran untuk melindungi server dan mesin dari
serangan Denial-of-service, vandalisme terhadap situs, virus server Solusi yang dilakukan Memasaing sistem firewall Mengencangan keamanan sistem operasi Menggunakan aplikasi penangkap serangan dari luar
24
Dokumen kerahasiaan Ukuran untuk melindungi informasi pribadi dari
pembukaan oleh pihak ketiga yang tidak berhak.
Solusi yang dapat dilakukan Password untuk identifikasi pengguna Kriptografi Steganografi Otentifikasi dokumen
25
Agenda Alasan pengamanan e-business Pengertian keamanan dasar Layer teknologi keamanan Serangan Terhadap E-Commerce SpyWare dan Denial of Service Teknologi Keamanan 26
Pendekatan pengamanan berlapis Kemanan Organisasi Keamanan Aplikasi Keamanan Jaringan Kemanan Sistem Operasi Keamanan Fisik
27
Pendekatan pengamanan berlapis Kemanan Organisasi Aplikasi • PembatasanKeamanan akses secara Fisik • Biometrik Keamanan Jaringan
Kemanan Sistem Operasi Keamanan Fisik
28
Pendekatan pengamanan berlapis • Login pengguna Kemanan Organisasi • Pengetahuan tentang kelemahan Keamanan Aplikasi • Enkripsi Data / penyimpan Keamanan Jaringan Kemanan Sistem Operasi Keamanan Fisik
29
Pendekatan pengamanan berlapis Kemanan Organisasi Keamanan Aplikasi • Pelatian danKeamanan pendidikanJaringan pegawai • Tim dan aturan respon bencana • Aturan keamanan Kemanan Sistem Operasi • Proses / pengorganisasian
Keamanan Fisik
30
Pendekatan pengamanan berlapis Infrastruktur Kunci Publik Keamanan Organisasi Keamanan Aplikasi Keamanan Jaringan Keamanan Sistem Operasi Keamanan Fisik
31
Kelemahan pada jaringan IP Sniffing (mendengarkan) Memantau trafik Internet (isi dan alamat) Spoofing (menirukan) Trafik berpura-pura datang dari luar Connection hijacking (pembajakan) Pembajakan oleh seseorang seolah-olah akes dari pengguna yang berhak
32
Keamanan Jaringan SSL / TLS IPsec VPN Keamanan Mobile
33
Secure Sockets Layer (SSL) Dibangun oleh Netscape untuk mengamankan
browsing web Dirancang sebagai protokol “session layer” pada TCP – sesi individu dapat digunakan untuk multikoneksi TCP Model komunikasi berbasis client-server Mendukung multienkripsi, otentifikasi-integritas, dan algoritma pertukaran kunci publik Protokol Transport Layer Security (TLS) pada IETF adalah standar sebelumnya 34
Layanan Keamaan SSL Kerahasiaan Otentifikasi Server Berbasis sertifikat server X.509, roots pada browser Otentifikasi Client opsional, didukung jika client memiliki sertifikat Strict Message Sequencing Berdasarkan TCP
35
Sekilas IPsec Diadopsi sebagai standar yang diusulkan oleh IETF: RFCs
2401-2412 (12/98) Format yang sesuai antara IPv4 dan IPv6 Authentication Header (AH) untuk seluruh integritas dan
otentifikasi datagram Encapsulating Security Payload (ESP) untuk kerahaisan,
otentifikasi dan integritas modular Negosiasi kemanan secara terpisah dan protokol
manajemen kunci : IKE 36
Virtual Private Network (VPN) Jaringan tertutup pada infrastruktur publik Enkripsi trafik data Mengaburkan sistem internal Mencegah data dari sistem yang tidak
dikenal Dukungan kualitas layanan
37
Metode lain untuk VPN PPTP: protokol Point-to-Point Tunneling Protocol
milik microsoft. Pada saat ini, PPTP dibundle dalam sistem operasi windows L2TP: Layer 2 Tunneling Protocol (L2TP) dirancanga oleh IETF, standara yang menunjukan gabungan antara PPTP engan protokol L2F (Layer 2 Forwarding) MPLS untuk VPN : menyediakan isolasi trafik, mirip layanan ATM atau Frame Relay. 38
Kemanan WAP Wireless Application Protocol menggunakan WTLS Tidak selalu diimplementasikan (gateway / telepon) server
GSM / GPRS
Gateway WAP
WTLS
SSL / VPN 39
Keamanan Aplikasi Sistem messaging yang aman Keamanan EDI Keamanan Middleware Keamanan basis data Keamanan server
40
Keamanan Messaging E-mail dan aplikasi e-mail, dimana pesan dibuat dan
diterima oleh pengguna yang berupa orang atau program email Standar : S/MIME PGP MSP MOSS PEM X.400 41
Protokol keamanan EDI Keamanan Electronic Data Interchange (EDI) Standar X12 Standar EDIFACT (EDI for Administration,
Commerce and Transport) EDI diatas Internet: Menggunakan FTP: tidak ada dukungan keamanan Menggunakan XML: menggunakan jaringan atau kemanan aplikasi 42
Struktur EDI dalam X.12 An Interchange: Header (ISA)
Functional group
Functional group
Functional group
Trailer (IEA)
A Functional group: Header (GS)
Transaction set
Transaction set
Transaction set
A Transaction set Header (ST)
Transaction set segments
Sumber : „E-business security“
Trailer (SE)
Trailer (GE) Security segment inserted here
43
Keamanan Middleware Keamanan CORBA Menyerang sistem client/server (kepercayaan
terhadap client) Srangan dari distributed object system Realisasi keamanan CORBA Menggunakan SSL Dengan implementasi Secure Inter-ORB Protocol (SECIOP)
44
Projek Kota Virtual Pelabuhan Rotterdam
menggunakan EDI Tidak dapat diakses untuk SME’s Sehingga X.25 Internet EDI XML Layanan mobile (WAP, GPRS)
Esensi keamanan Analisis resiko Arsitektur keamanan Termasuk mobile, jalur back office
ABN AMRO, CMG, PCR, ECT,
EUR, Telematica Instituut 45
Arsitektur keamanan Arstitektur keamanan Pendekatan keamanan yang integral pada semua lapis Model dan alat untuk mengahadapi situasi yang komplek Kemanan pada situasi yang hetrogen Internet Mobile + fixed / perangkat yang berbeda Teknologi jaringan yang berbeda Sertifikasi keamanan internasional Hubungan antara otentifikasi dan identifikasi
personal
46
Agenda Alasan pengamanan e-business Pengertian keamanan dasar Layer teknologi keamanan Serangan Terhadap E-Commerce SpyWare dan Denial of Service Teknologi Keamanan 47
Serangan E-commerce Serangan Client Konten aktif
Java applets, Active X controls, JavaScript, dan VBScript Program yang dieksekusi yang disisipkan pada objek yang didownload Berbagai kontek aktif dapat disisipkan pada halaman web yang tidak merusak sekalipun Cookies menyimpan nama pengguna, password, dan informasi umumnya
48
ActiveX Control ActiveX adalah objek, memanggil program yang
mengandung insturksi untuk melakukan sesuatu. ActiveX berjalan pada windows 98, 2000 Ketika didownload, ActiveX mengeksekusi program lain, sehingga dapat sepentuhnya mengakses sumber daya yang terdapat pada komputer
49
Grafik dan sisipan Email Kode dapat disisipkan ke dalama gambar
menyebabkan kerusakan pada komputer Plug-ins digunakan untuk memutar klip audiovisual, grafik animai Dapat menyimpan instruksi yang merusak yang
disembunyikan dalam objek http://home.netscape.com/plugins/
Sisipan E-mail dapat mengandung macro yang
merusak yang disimpan dalam dokumen
50
Serangan saluran komunikasi Serangan kerahasiaan Kerahasiaan adalah pencegahan pembacaan informasi oleh orang yang tidak berhak Privacy adalah perlindungan hak cipta seseorang sehingga tidak dapat dibajak Pencurian informasi pribadi dan sensitif adalah bahaya yang sangat penting Alamat IP web yang kita gunakan sangat mudah diketahui oleh umum, sangat rawan untuk diserang
51
Serangan Server Semakin komplek suatu software, semakin tinggi
peluang kesalahan (bug) pada kode pemrograman Server bekerja pada berbagai level privilege yang barbed : Level yang paling tinggi menyediakan akses dan
fleksibilitas yang tinggi Level yang paling rendah menyediakan batasan logika pada program yang sedang berjalan
52
Serangan Server Serangan kerahasiaan terjadi pada saat isi foler server
dimunulkan ke dalam halamanWeb sehingga bisa diakses dan diubah dari browser Administrator dapat mematikan fitur tampilan nama folder untuk mencegah serangan terhadap data server Cookie harus dilindungi setiap kali melakukan transmisi Salah satu file yang paling sensitif dalam web adalah sepasang username dan password Administrator Web server bertanggung jawab untuk memastikan keamanan password dan file sensitif lainnya. 53
IP Spoofing Definisi : penyerang mengirim paket dengan
memalsukan alamat IP sumber pada header TCP/IP IP spoofing adalah serangan dasar dari berbagai serangan Denial of Service (DoS) Paket yang dipalsukan sangat sulit untuk dilacak alamat sumber sebenarnya
54
Serangan DoS SYN flood Land Ping of death Teardrop Smurf UDP flood Distributed DoS
55
Serangan Basis Data Pengungkapan informasi perusahaan yang bernilai
dan rahasia adalah kerusakan yang sangat parah Keamanan biasanya dilakukan dengan membuat privilege pengguna Beberapa basis data pada dasarnya tidak aman. Perlu ditambahkan mekanisme pengamanan
56
Pusat Kordinasi CERT CERT (Computer Emergency Response Team) Berlokasi di SEI (Software Engineering Institute)
di Univristas Carnegie Mellon Merespon terhadap kejadian keamanan pada pemerintah USA dan sektor perseorangan www.cert.org
57
Agenda Alasan pengamanan e-business Pengertian keamanan dasar Layer teknologi keamanan Serangan Terhadap E-Commerce SpyWare dan Denial of Service Teknologi Keamanan 58
Spyware Spyware adalah program yang disusupkan yang dapat
mengakses sumber daya yang kita miliki sehingga mengganggu proses pada komputer
Tipe-tipe Spyware Spyware Adware Embedded Programs Trojan Horse Browser Hijackers Dialers Malware 59
Alasan Pembuatan Spyware Keuntungan Tantangan Kebencian Kebosanan Bisnis
60
Ciri-ciri serangan Spyware Komputer berjalan lebih lambat dari biasanya Popup pada internet Toolbar baru Perubahan Homepage Hasil searching terlihat berbeda Pesan kesalahan ketika mengakses web
61
Contoh Spyware
62
Menghilangkan SpyWare 1. 2. 3. 4. 5. 6. 7.
Add dan Remove Programs Menu Reboot Jalankan Spybot Scan Reboot Jalankan Microsoft Antispyware Scan Reboot Jika masih belum selesi lakukan perubahan pada register
63
Denial of Service (DoS) DoS adalah aktifitas penyerangan yang mencegah
sistem dari menyediakan layanan kepada pengguna yang berhak Serangan DoS menggunakan berbagai bentuk dan berbagai vektor serangan Ketika serangan sukses, host yang ditarget mungkin menghentikan penyediaan layanan, menyediakan layanan terbatas atau hanya memberi layanan pada pengguna tertentu saja.
64
Pendorong DoS Serangan DoS bisanya dilakukan oleh beberapa tipe
penyerang :
Kesenangan (karena mereka bisa…) Aktifis (anarkis, anti globalisasi, dll) Teroris (alat untuk membuat keonaran) Persaingan (dareah abu-abu seperti industri judi dll) Militer
Masih terdapat alasan-alasan lain pelaku serangan
DoS tapi tidak terlalu berarti
65
DDoS – Distributed DoS Sejalan dengan peningaktan perlindungan DoS,
langkah berikutnya adalah menghabiskan bandwidh dari host yang dituju Hal ini bisa dicapai dengan menggunakan serangan DDoS. Dengan DDoS, setiap anggota penyerang membangkitkan sejumlah trafik. Secara bersamaan akan menghasilkan trafik yang membanjiri sistem yang dituju.
66
Serangan DoS DoS dapat dilakukan dengan berbagai cara : Merusak aplikasi
Kegagalan akses memori Buffer overflow Berbagai eksepsi akses memori
Menghancurkan data Menghabiskan sumber daya Memori CPU Bandwidth Ruang harddisk 67
Merusak aplikasi Cara yang paling umum dilakukan pada serangan DoS Dalam berbagai kasus, tipe input tertentu dapat memunculkan kesalahan pada aplikasi yang tidak diantisipasi, yang menyebabkan kerusakan : Buffer overflow Perubahan data – sehingga aplikasi tidak dapat
mengenali. Akhirnya berhenti karena kesalahan SQL Injection yang menyebabkan shutdown 68
Penghancuran Data Salah satu cara serangan DoS adalah dengan merusak data yang diakses bukan layanannya sendiri Jika situs memiliki kelemahan dalam SQL injection, misalnya, mungkin dimasuki dilakukan perintah DELETE semua data pada semua tabel Meskipun situs web online, akan tidak berarti kalau tidak ada dukungan basis data yang benar
69
Menghabiskan Sumberdaya Penghabisan sumber daya adalah teknik melakukan serangan DoS pada berbagai situs atau aplikasi Serangan tipe ini dilakukan dengan melakukan serangan dalam jumah banyak sehingga menghabiskan kapasitas Serangan yang sempurna dilakukan dengan mengarahkan pada titik kelemahan serhingga efeknya maksimum menggunakan sumber daya yang minimal. 70
Contoh – Penghabisan Sumberdaya Konsumsi CPU Apliksi forum dalam jumlah besar Mengandung jutaan pesan Pada proses pencarian, penyerang dapat dengan
mudah membuat ekspresi yang komplik yang mengkonsumsi waktu kerja CPU setiap kali melakukan pencarian. Penyerang kemudian menulis permintaan ini lebih banyak lagi
71
Contoh – Penghabisan Sumberdaya Konsumsi CPU – dengan cara SQL Injection Ketika SQL injection dilakukan – dapat digunakan untuk serangan DoS walaupun tanpa permisi untuk mematikan komputer atau menghapus data Salah satu cara menyibukan CPU adalah dengan melakukan query data bersarang :
72
Contoh – Penghabisan Sumberdaya Konsumsi Memori Aplikasi web mail Mengijinkan upload file untuk disisipkan pada email Semua sisipan file disimpan dalam memori aplikasi sampai tombol “send” ditekan Tidak ada batasan atau ukuran atau jumlah sisipan file Asumsi bahwa hacker memiliki bandwidth yang besar, hacker dapat mengupload ribuan sisipan file, mengkonsumsi semua memori pada mesin
73
Contoh – Penghabisan Sumberdaya Konsumsi Hard Disk Beberapa aplikasi web Log rinci setiap kali terjadi kesalahan disimpan dalam hard disk Penyerang melakukan permintaan sederhana yang akan menghasilkan beberapa KB file log Penyerang akan mengulangi permintaan ini sampai hard disk penuh. Prilaku aplikasi pada saat hard disk penuh adalah :
Aplikasi akan berhenti pada saat tidak dapat menulis file Jika file terletak pada partisi sistem, seluruh mesin mungkin crash 74
Contoh – Penghabisan Sumberdaya Konsumsi jaringan Beberapa aplikasi web Penyerang memiliki koneksi Internet yang luas Peneyrang melakukan permintaan kecil yang menghasilkan sejumlah besar data (misal menampilkan semua item dalam sistem) Penyerang dapat melakukan permintaan yang sama berualng-ualng sehingga sejumlah besar data akan kembali ke server.
75
Distributed Application DoS Penyerangan terhadap suatu aplikasi untuk menghabiskan sumber daya Hasil akhirnya mirip dengan serangan DoS yaitu aplikasi kehabisan sumber daya DADoS sedikit barbed dengan serangan DoS Biasanya diperlukan beberapa host untuk melakukan semua serangan
76
Agenda Alasan pengamanan e-business Pengertian keamanan dasar Layer teknologi keamanan Serangan Terhadap E-Commerce SpyWare dan Denial of Service Teknologi Keamanan 77
Teknologi Keamanan Pengembang perlu menggunakan dan menerapkan : Enkripsi Hash Tandatangan digital Sertifikat digital Komunkasi yang aman Otentifikasi Otorisasi Firewall Audit Paket layanan 78
Enkripsi Enkripsi adalah proses pengkodean data Dalam rangka melindungi identitas atau data Melindungi data dari penambahan
Enkripsi dapat : Asimetrik Simetrik
79
Simetrik vs. Asimetrik Tipe Algoritma
Penjelasan Menggunakan satu kunci untuk :
Simetrik
Mengenkripsi data Mendekripsi data
Cepat dan efesien Menggunakan dua kunci :
Asimetrik
Kunci publik untuk mengenkripsi data Kunci pirvate untuk mendekripsi data
Lebih aman Lebih lambat daripada enkripsi simeteri 80
Memeriksa Integritas data dengan Hash User A
Nilai Hash
User B
Data
Algoritma Hash
Algoritma Hash
Data Nilai Hash
Jika nilai hash sama, data valid
Data Nilai Hash
User A mengirim data dan nilai hash ke User B 81
Tandatangan digital User B
User A
Algoritma Hash
Data Algoritma Hash
Data
Kunci Publik User A
Nilai Hash
Nilai Hash Kunci Private User A
Nilai Hash
Jika nilai hash cocok, data berasal dari pemilik kunci private dan valid 82
Sertifikat Digital User
Kunci Private
Sepasang Kunci Private/Publik
Komputer Kunci Publik
Aplikasi
Layanan Otoritas Sertifikasi
Administrator yang tersertifikasi 83
Teknologi komunikasi yang aman Teknologi pengamanan IPSec SSL TLS Enkripsi RPC SSL/TLS
IPSec Enkripsi RPC
84
Bagaimana IPSec Bekerja Kebijakan IPSec
Kebijakan IPSec
Negosiasi Asosiasi Kemanan
Layer TCP
Layer TCP
Driver IPSec
Driver IPSec
Paket IP Terenkripsi 85
Bagaimana SSL bekerja 2
Browser Aman
Sertifikat Root Server Web
Pesan Server Web Aman
3
4
HTTPS 1
1.
Pengguna membuak server web yang aman dengan HTTPS
2.
Browser membuat kunci sesi yang unik dan mengenkripsinya dengan kunci publik server web, yang dibuat dari sertifikat root
3.
Server Web menerima kunci sesi dan mendekrip menggunakan kunci private server
4.
Setelah koneksi terbangun, semua komunikasi antara browser dan server web aman
86
Daftar Pustaka Chen, Shay. “Application Denial of Service”. Hactics.
2007. Janssen, Wil. “E-business security”. Telematika Instituut. Lee, Insup. “E-Commerce Systems”. University of Pennsylvania. ___. “Essentials of Application Security”. MSDN. 2002.
87