#[1]JOURNAL: Jim Geovedi (Atom 0.3) [2]JOURNAL: Jim Geovedi (RSS 2.0)

   Notify Blogger about objectionable content.
   [3]What does this mean? 

   [4]Blogger 
   [5]Send As SMS
   [6]Get your own blog [7]Flag Blog [8]Next blog 
   ____________________ Search This Blog Search[9]BlogThis!

[10]JOURNAL: Jim Geovedi 

   a not-so-daily record of news and events of a personal nature; a diary
   with noises up to 68%.

25 October, 2005

Bagaimana mengamankan web server?

     [11]sugita: Jika kita menjadi seorang web admin, apa yang harus
     kita lakukan untuk menjaga data agar tetap aman dari serangan dari
     luar?

   Beberapa tips berikut dapat menjadi pertimbangan:
   1--Lakukan autentikasi untuk setiap pengguna
   Cobalah berpegang pada prinsip "pengguna tidak selalu dapat
   dipercaya". Lakukan autentikasi untuk memastikan bahwa orang yang
   hendak mengakses server Anda adalah pengguna yang sah.
   2--Batasi akses dengan Firewall
   Melakukan filtering untuk service ports dapat membuat ruang gerak
   calon penyeran menjadi terbatas. Pada web server publik, firewall
   policy yang digunakan umumnya hanya membatasi akses masuk pada port 80
   (http) dan 443 (https) untuk umum, port lain yang digunakan untuk
   keperluan administrasi sistem seperti 21 (ftp) dan 22 (ssh) hanya
   diijinkan ke IP address tertentu.
   Pengamanan lebih ketat dapat dilakukan dengan memblokir akses keluar
   dari webserver untuk menggagalkan serangan yang menggunakan teknik
   connect-back shell (inisialisasi koneksi dilakukan oleh server).
   Selain itu, jika ternyata server telah berhasil dikuasai penyerang
   maka penyerang tidak dapat melakukan hubungan keluar sepeerti
   melakukan serangan pada host lain.
   3--Pengamanan Sistim Operasi dan Applikasi
   Merupakan rahasia umum bahwa calon penyusup akan mengumpulkan
   informasi mengenai sistim yang menjadi target (dalam hal ini adalah
   web server Anda dan juga aplikasi yang berada di dalamnya). Jangan
   mengkespose informasi apapun yang tidak dibutuhkan oleh pengguna.
   Sebagai contoh:
    1. Menghilangkan informasi personal dari catatan [12]WHOIS dari
       domain yang dapat digunakan untuk serangan social engineering,
       gunakan account yang spesifik untuk keperluan tersebut seperti
       domain-admin, billing-admin, atau tech-admin.
    2. Hindari penggunaan nama yang mengindikasikan sistim operasi
       dan/atau versinya.
    3. Hilangkan banner atau server header dari server.
    4. Hilangkan informasi yang berhubungan dengan server atau aplikasi
       pada error pages.
    5. Hilangkan komentar yang tidak perlu, yang menginformasikan
       bagaimana proses implementasi atau nama dari situs atau personil
       yang membuat, dari kode HTML, CSS atau Javascript.
    6. Batasi ruang gerak robot-robot Search Engine dengan tidak
       mengekspose file atau direktori sensitif dalam file
       [13]robots.txt.

   Untuk tingkat lanjut, teknik [14]yang [15]dapat [16]membodohi
   [17]pemindai seperti [18]NMAP dapat dimanfaatkan.
   Jika Anda mempunyai anggaran belanja lebih untuk melakukan pengamanan
   pada web server, Anda dapat mempertimbangkan untuk menggunakan
   aplikasi seperti [19]SecureIIS dan [20]ServerMask.
   4--Pemanfaatan Honeypot
   Jika infrastruktur memungkinkan, teknologi [21]Honeypot dapat membantu
   Anda mengenali siapa penyerang yang menggunakan perlengkapan menyerang
   otomatis (automated attack tools) seperti auto rootkit dan worms serta
   kemudian dapat memblokir source address dari penyerang.
   5--Inspeksi requests dan input dari pengguna
   Setelah pengguna melakukan autentikasi, umumnya mereka akan
   mendapatkan kepercayaan yang lebih untuk melakukan request atau input
   data ke aplikasi atau sistem. Kembali diingatkan bahwa "pengguna tidak
   selalu dapat dipercaya".
   Penyerang (yang notabene juga adalah pengguna) dapat melakukan
   serangan berbahaya dengan melakukan modifikasi input pada aplikasi
   berbasis web karena pengguna dapat mem-bypass setiap batasan-batasan
   pada tingkat client-side untuk setiap tipe dan besarnya input.
   Hal lain yang harus diperhatikan adalah hidden form fields dan
   [22]cookies yang umumnya digunakan pada setiap transaksi web. Kedua
   hal tersebut dapat dimodifikasi oleh pengguna karena berada dalam
   kontrolnya sebelum diterima oleh server.
   6--Monitor dan pengujian secara kontinyu dan berkelanjutan
   Pengamanan tidak cukup dengan hanya dengan mengamati logs saja.
   Ujicoba secara aktif perlu dilakukan. Anda dapat menggunakan tools
   yang tersedia secara gratis di Internet atau dapat membelinya. Fyodor
   membuat daftar [23]Top 75 Security Tools yang banyak digunakan untuk
   keperluan ujicoba keamanan. Jika Anda merasa tidak memiliki kemampuan
   yang memadai untuk melakukan pengujian yang efektif, pertimbangkan
   untuk menyewa konsultan keamanan untuk melakukan security assessment
   dan uji penetrasi.
   7--Manajemen keamanan antara pengembang dan administrator
   Tantangan terbesar dalam mengadministrasikan sebuah web server adalah
   koordinasi keamanan antara pengembang aplikasi (maupun sistim operasi)
   dengan sistem administrator. Tanpa memiliki pengetahuan yang cukup
   mengenai bagaimana sebuah sistim operasi dan aplikasi yang berjalan,
   sistem administrator tidak dapat berbuat banyak untuk melakukang
   pengamanan. Kerjasama antar pengembang dan administrator diperlukan
   agar unsur keamanan dapat terimplementasi dengan baik tanpa harus
   mengurangi kinerja sistim.
   8--Bersiap untuk sesuatu yang buruk
   Siapkan rencana untuk menghadapi insiden keamanan yang mungkin dapat
   terjadi sewaktu-waktu seperti sistem disusupi oleh penyerang, terkena
   serangan denial-of-service, atau data sensitif yang dimiliki
   terekspose. Pastikan bahwa Anda mempunyai selalu mempunyai backup dan
   melakukan pengujian atas backup tersebut.
   (This post originally appeared on Detik-I-net Ask The Expert column)

   posted by Jim Geovedi @ [24]4:25 PM   [25]1 comments

1 Comments:

   At [26]9:08 PM, [27]mbelienkz said...
          ai ai captain!!! pengamanan akan segera diperketat!!

           

   [28]Post a Comment

   [29]<< Home

About Me

          Jim Geovedi Jim Geovedi,a twenty-something computer hacker and
          electronic music composser wannabe who loves hacking and mixing
          stuff in unusual ways.

   [30]Profile

Previous Posts

     * [31]Pemilihan produk Web Filtering
     * [32]Mengapa saya masih menerima spam walaupun sudah menggunakan
       antispam?
     * [33]Mengintegrasikan produk Enterprise Network Security


Currently Reading

   [34]del.icio.us/negative

   More on [35]del.icio.us/negative

   [36]Powered by Blogger 
     _________________________________________________________________

   JIM GEOVEDI DOESN'T GIVE A SHIT ABOUT DMCA
   You are allowed to steal any contents of this blog with or without
   notifying author.

References

   Visible links
   1. http://geovedi.blogspot.com/atom.xml
   2. http://geovedi.blogspot.com/rss.xml
   3. http://help.blogger.com/bin/answer.py?answer=1200
   4. http://www.blogger.com/
   5. sms:?body=Hi%2C%20check%20out%20JOURNAL%3A%20Jim%20Geovedi%20at%20geovedi.blogspot.com
   6. http://www.blogger.com/
   7. javascript:toggleFlag();
   8. http://www.blogger.com/redirect/next_blog.pyra?navBar=true
   9. javascript:BlogThis();
  10. http://geovedi.blogspot.com/
  11. mailto:ash4bul_k4hfi@yahoo.co.id
  12. http://en.wikipedia.org/wiki/Whois
  13. http://en.wikipedia.org/wiki/Robots.txt
  14. http://voodoo.somoslopeor.com/papers/nmap.html
  15. http://www.oreilly.com/catalog/netsechacks/chapter/hack40.pdf
  16. http://undeadly.org/cgi?action=article&sid=20040301084902&pid=16
  17. http://undeadly.org/cgi?action=article&sid=20040301084902&pid=45
  18. http://www.nmap.org/
  19. http://www.eeye.com/html/products/SecureIIS/
  20. http://www.port80software.com/products/servermask/
  21. http://www.honeypots.org/
  22. http://en.wikipedia.org/wiki/HTTP_cookie
  23. http://www.insecure.org/tools.html
  24. http://geovedi.blogspot.com/2005/10/bagaimana-mengamankan-web-server.html
  25. http://www.blogger.com/comment.g?blogID=29954061&postID=115078453004389826
  26. http://geovedi.blogspot.com/2005/10/bagaimana-mengamankan-web-server.html#c115245412322083760
  27. http://mbelienkz.net/wp
  28. http://www.blogger.com/comment.g?blogID=29954061&postID=115078453004389826
  29. http://geovedi.blogspot.com/
  30. http://www.blogger.com/profile/4785455
  31. http://geovedi.blogspot.com/2005/07/pemilihan-produk-web-filtering.html
  32. http://geovedi.blogspot.com/2005/06/mengapa-saya-masih-menerima-spam.html
  33. http://geovedi.blogspot.com/2005/06/mengintegrasikan-produk-enterprise.html
  34. http://del.icio.us/negative
  35. http://del.icio.us/negative
  36. http://www.blogger.com/

   Hidden links:
  37. http://www.blogger.com/delete-comment.g?blogID=29954061&postID=115245412322083760