Web Service Security

Web Service Security Yosalia Sitompul Nim. 110155201076 Jln.kijang lama, no.33, tanjungpinang, Kepri 29123, Indonesia E-mail : [email protected] Mahasiswa Program S1 Teknik Informatika, FT, UMRAH

ABSTRAK Web service adalah suatu layanan yang diberikan oleh website yang dirancang untuk mendukung interoperabilitas dan interaksi antar sistem pada suatu jaringan. Web Service juga memberikan paradigma baru dalam mengimplementasikan sistem terdistribusi melalui Web dengan menggunakan standard protokol SOAP, WSDL dan UDDI yang berbasis XML. Dengan teknologi Web Service, konsep sistem terdistribusi yang biasanya digunakan pada sistem yang bersifat tertutup dan proprietary (DCOM, CORBA, RMI) dapat diterapkan kedalam sistem yang bersifat terbuka (non-propriertary) berbasis Web. Namun demikian, masih banyak yang ragu untuk segera menerapkan Web Service, khususnya jika digunakan untuk mendukung transaksi bisnis melalui Internet (global). Alasan utama yang menjadi perhatian adalah pada aspek keamanan dan kerentanan (vulnerability) yang terdapat pada teknologi Web Service. Sementara itu standard keamanan yang biasa digunakan untuk mengamankan aplikasi berbasis Web pada umumnya tidak cukup mampu untuk mengamankan transaksi Web Service.

ABSTRACT Web service is a service provided by the website is designed to support interoperability and interaction between systems on a network . Web services also provide a new paradigm for implementing distributed systems over the Web by using a standard protocol SOAP , WSDL and UDDI XML -based . With the Web Service technology , the concept of distributed systems that are typically used on systems that are closed and proprietary ( DCOM , CORBA , RMI ) can be incorporated into a system that is open ( non - propriertary ) Web -based . Nevertheless , there are still many who hesitate to immediately implement a Web Service , particularly if used to support business transactions over the Internet ( global ) . The main reason of concern is the safety and vulnerability (vulnerability ) contained in the Web Service technology . Meanwhile security standard used to secure Web-based applications in general are not quite able to secure a Web Service transactions

1. PENDAHULUAN

Keamanan selalu menjadi perhatian penting dalam

Web service adalah sebuah software yang

pengembangan

dirancang

untuk

mendukung

interaksi

mesin-ke-mesin

interoperabilitas

layanan

web.

Namun,

metode

pengembangan perangkat lunak saat ini hampir lalai [2].

melalui

sebuah

teknis

memiliki

Hal ini dibuktikan dengan banyaknya faktor

mekanisme interaksi antar sistem sebagai penunjang

yang menimbulkan celah-celah ancaman terhadap web

interoperabilitas, baik berupa agregasi (pengumpulan)

service tersebut seperti yang telah dilakukan oleh

maupun sindikasi (penyatuan). Web service memiliki

penelitian terdahulu. Selain itu, pada kerahasiaan

layanan terbuka untuk kepentingan integrasi data dan

pesan yang dikirimkan melalui web service masih

kolaborasi informasi yang bisa diakses melalui

berupa data XML. Sehingga hal ini menyebabkan

internet oleh berbagai pihak menggunakan teknologi

terjadinya data yang tidak asli ketika sampai di sisi

yang dimiliki oleh masingmasing pengguna.

penerima.

jaringan.Web

service

secara

Walaupun

pesan

telah

di

enkripsi

Web services merupakan komponen yang

menggunakan suatu algoritma maka bukan berarti

independen terhadap platform ataupun bahasa. Web

bahwa pesan yang di terima oleh penerima benar-

services menggunakan web protokol (HTTP) yang

benar masih asli, karena bisa saja bahwa struktur pesan

sangat mendukung heterogenoitas dan

telah berubah ketika pesan dikirimkan atau ketika

interoperabilitas serta memudahkan integrasi [1].

diterima [3].

Selain itu web services mendukung koneksi loosely

Kemudian masalah keamanan web service

coupled, sehingga sebuah perubahan pada satu

pada kasus-kasus sebelumnya kebanyakan penelitian

aplikasi tidak akan memaksa perubahan pada aplikasi

dilakukan pada satu model keamanan atau standar

yang lain. Sebuah web services memiliki interface

keamanan untuk web service. Sehingga dengan adanya

berupa web API (Application Programming Interface)

sistem keamanan yang seperti ini dirasakan masih

yang dapat dipanggil oleh suatu aplikasi untuk

kurang memberi suatu perlindungan yang maksimal

mengakses

terhadap ancaman keamanan web service antara client

aplikasi

yang

mengimplementasikan

ke server service sendiri walaupun secara umum sudah

layanan web services Saat ini web services menjadi sangat populer

mampu mencukupi. Masih adanya kendala mengenai

dalam

web service yaitu beberapa pihak yang masih merasa

mengintegrasikan aplikasi-aplikasi yang berbeda

ragu untuk menerapkan web service, khususnya

platform dengan menggunakan dokumen XML. XML

mereka yang menggunakan jaringan internet pada

(eXtensible Markup Language) adalah sebuah standar

transaksinya. Keraguan ini dilihat dari tingkat

untuk mendefinisikan data dalam format yang

keamanan dari teknologi

sederhana dan fleksibel. Dimana web service

keamanan menjadi sangat penting untuk menjaga data

mendukung komunikasi antar aplikasi dan integrasi

atau informasi agar tidak disalahgunakan ataupun

aplikasi dengan menggunakan XML dan Web. Faktor

diakses secara sembarangan.[4]

di

enterprise

karena

kemampuannya

keamanan pada jalur komunikasi antara client ke server web service itu belum sepenuhnya terjamin.

Mengatasi

web

keamanan

service.

di

tahap

Aspek

awal

pengembangan layanan web selalu menjadi tren

rekayasa besar. Namun, untuk menjamin keamanan

mengotomasikan proses bisnis, supply chain, dan

layanan web yang diperlukan untuk melakukan

costumer relationship. Saat sebuah enterprise ingin

evaluasi keamanan secara ketat dan nyata. Hasil

mengintegrasikan

evaluasi yang jika dilakukan dalam tahap awal dari

partnernya menggunakan internet, informasi yang

proses

untuk

dialirkan harus dipastikan dalam kondisi aman [7].

meningkatkan kualitas layanan web sasaran. Di sisi

Oleh karena itu keamanan menjadi isu yang sangat

lain, tidak mungkin untuk menghapus semua

penting untuk keperluan tersebut. Dalam beberapa

kesalahan keamanan selama analisis keamanan

kasus, layanan keamanan berbasis Operating System

layanan web. Akibatnya, keamanan mutlak tidak

dan Internet Information Services (IIS) dapat

pernah mungkin untuk mencapai dan kegagalan

diandalkan. Akan tetapi lingkungan implementasi

keamanan mungkin terjadi selama pelaksanaan

yang heterogen selalu menimbul kan celah-celah

layanan web. [5]

ancaman

pembangunan

dapat

digunakan

system

keamanan

baru.

bisnis

nya

Ancaman

dengan

terhadap

keamanan web services antara lain unauthorized

2. WEB SERVICE SECURITY

access, parameter manipulation, network eaves dropping,

Saat ini web services menjadi sangat populer di enterprise karena kemampuannya dalam mengintegrasi kan aplikasi-aplikasi yang berbeda platform [6].

disclosure of configuration data, dan

message replay. Bahkan dewasa ini banyak praktisi teknologi yang beralih pada Web service(WS) untuk alasan fleksibilitas dan skalabilitas yang lebih tinggi .Serupa dengan RPC pada protokol yang lain, pemanggilan layanan WS oleh sebuah sistem harus melaluit ahapantahapan keamanan untuk memastikan pemanggil dan fungsi yang dipanggilnya adalah valid. Sehubungan dengan ini, ada proses otentikasi dan otorisasi yang dilakukan oleh system penyedia layanan WS terhadap pemanggilnya untuk memastikan bahwa ia boleh dilayani. Tanpa mekanisme ini maka WS menjadi sistem yang terbuka lebar bagi siapapun untuk mengaksesnya,bahkan untuk pihak-pihak yang tidak berkepentingan [8].

Gambar 1 - Sebuah web service

Ini membuktikan Tantangan keamanan yang disajikan oleh Web service tidak dapat dihindari dan

Web services saat ini semakin banyak digunakan oleh enterprise untuk memudahkan akses pada produknya,meningkatkan layanan ke konsumen dan ke business partner melalui internet atau corporat extranet . Sebagai contoh mengintegrasi kan dan

juga masih kurangnya pendekatan yang komprehensif yang menawarkan pengembangan metodis dalam pembangunan arsitektur keamanan [9].

3.1. Windows authentication Sesuai

dengan

namanya,

Windows

authentication adalah metoda otentikasi menggunakan akun

Windows

untuk

memvalidasi

credential

pemanggil. Tipe ini sangat baik diterapkan pada lingkungan intranet dimana pemanggil Web Service berasal dari dalam jaringan lokal dan telah dikenal secara baik. Lebih lanjut, Windows authentication Gambar 2 - Ancaman keamanan web services

dibedakan menjadi:

_ Integrated Windows authentication

3. JENIS-JENIS KEAMANAN WEB SERVICE

_ Basic authentication _ Digest authentication _ Client Certificate authentication Tipe-tipe otentikasi di atas sesuai dengan

Di dalam platform Windows, Web Service

cara penanganan yang dilakukan oleh IIS. Pada

diaplikasikan melalui .NET Framework, Internet

dokumen ini tipe yang akan dibahas adalah Integrated

Information Services (IIS) dan tentunya sistem operasi

Windows dan Basic authentication.

Windows itu sendiri. 3.2. Forms authentication

Jenis-jenis keamanan yang dapat diterapkan pada

Pada Forms authentication, pemanggil yang

platform ini adalah: 1. Windows authentication

tidak terotentikasi akan dialihkan pada sebuah

2. Forms authentication

halaman web yang dikonfigur pada file Web.config.

3. Passport authentication

Halaman web tersebut umumnya berisi kolom User ID

4. None

dan password yang harus dibuat oleh programmer. Pilihan jenis keamanan tersebut dapat

Pada otentikasi jenis ini, daftar User ID dan password-

dikonfigur melalui tag di dalam file

nya dapat disimpan di dalam file Web.config, file

Web.config

XML terpisah atau di dalam database.

dari

aplikasi

Web

Service

yang

Forms authentication dapat diaktifkan

bersangkutan. Berikut ini diperlihatkan potongan isi file tersebut:

dengan:

...

1. Mengkonfigur atribut dari tag


tag di dalam file Web.config menjadi

None">

“Forms”. Contoh:

...

...



<system.web>

...



...

3.4. None

2. Tidak memperbolehkan anonymous users pada

Jika pilihan otentikasi adalah None, maka itu

IIS.

adalah kesempatan bagi programmer untuk melakukan

Jenis otentikasi ini kurang cocok jika diterapkan

otentikasi buatan sendiri (custom authentication).

pada Web Service karena ia akan mengalihkan

Custom authentication dapat diaktifkan dengan:

pemanggil pada sebuah user interface sebelum layanan

WS

dapat

dijalankan.

Pemanggil

1. Mengkonfigur atribut dari tag

sebetulnya mengharapkan sebuah pesan SOAP

tag di dalam file Web.config menjadi

yang dikembalikan oleh WS bukan halaman

“None”. Contoh:

HTML. Jika ini yang terjadi, maka masalah akan

...

timbul.

<system.web>

3.3. Passport authentication



Pada Passport authentication, sebuah layanan

...

terpusat dikelola oleh Microsoft menyediakan sebuah

2. Memperbolehkan anonymous users pada IIS

pusat login untuk WS client. Pemanggil yang tidak

[10].

terotentikasi dialihkan ke situs Passport site. Serupa dengan Forms authentication, pengalihan ini akan menyebabkan masalah bagi pemanggilnya kecuali hal

4. KESIMPULAN

ini ditangani secara baik pada program pemanggilnya. Passport authentication dapat diaktifkan dengan:

Meskipun Webservice performansinya baik, namun dari segi security web service masih belum

1. Mengkonfigur atribut dari tag tag di dalam file Web.config menjadi “Passport”. Contoh: ... <system.web> ... 2. Tidak memperbolehkan anonymous users pada IIS.

matang. Terdapat perbedaan implementasi keamanan web service pada berbagai platform sehingga masih diperlukan suatu standar baku dalam mengimplemen tasikan security pada web service. Selain itu, tanpa mekanisme yang tepat ini maka Web service menjadi sistem yang terbuka lebar bagi siapapun untuk mengaksesnya termasuk pihak-pihak yang tidak berkepentingan. Tentunya ini adalah sesuatu yang tidak diinginkan. Maka dari itu aspek keamanan menjadi seuatu yang sangat penting

5. REFERENSI 2005 ‘Keamanan Web Service’

[1] Adriansyah ,Arya,

Arifand,Wahyudi,

[6]

Wicaksono,Narenda, 2003

‘Keamanan Web

Departemen Teknik Informatika Institut

Service’

Departemen

Teknik

Informatika

Teknologi Bandung, No.2

Institut Teknologi Bandung, No.1 [7]

2005 ‘Keamanan Web Service’

[2] Mougouei, Davoud, Nurhayati, Wan,

Departemen Teknik Informatika Institut

AB,Rahma, , M.A., Mohammad 2012,

Teknologi Bandung, No.3

‘Measuring Security of Web Services in Requirement Engineering Phase’ International

[8] Feri Djuandi 2012, ‘Web Service Security’

Journal of Cyber-Security and Digital

: www.tobuku.com, hal. 1

Forensics, No.1 [3] Muzakir,Ari 2013, ‘Sistem Keamanan Data Pada Web Service Menggunakan XML Encryption’, No.1

[4]

2013, ‘Sistem Keamanan Data Pada

Web Service Menggunakan XML Encryption’, No.1

[5]

2012 ‘Measuring Security of Web

Services in Requirement Engineering Phase’ International Journal of Cyber-Security and Digital Forensics, No.1

[9] Fareghzadeh , Nafise 2009 ‘Web Service Security Method To SOA Development’ World Academy of Science, Engineering and Technology, No.1 [10]

2012 ‘Web Service Security’ :

www.tobuku.com, hal. 3-5