akhmad-report by N3Uq2Z51

VIEWS: 0 PAGES: 38

									   TUGAS AKHIR MATA KULIAH
      KEAMANAN SISTEM LANJUT
          KODE MK : EC.7010
       (Dosen Dr.Ir. Budirahardjo)


   OTENTIKASI PADA APLIKASI
        BERBASIS WEB

                  OLEH


           AKHMAD BUDIHARJO
              NIM. 23202114




PROGRAM MAGISTER TEKNIK ELEKTRO
BIDANG KHUSUS TEKNOLOGI INFORMASI
  INSTITUT TEKNOLOGI BANDUNG
              2003
                OTENTIKASI PADA APLIKASI BERBASIS WEB
                  Oleh : Akhmad Budiharjo / NIM. 23202114


                                    ABSTRAK


Sekarang ini , teknologi informasi        sedang berkembang dengan pesat yang
memungkinkan semua orang dapat berkomunikasi dari satu tempat ke tempat lain
dengan      jarak ribuan kilometer. Data yang dikirimkan itu menggunakan jalur
transmisi telekomunikasi yang belum tentu terjamin keamananya. Bila data yang
sedang dikirim melalui media transmisi itu dicuri atau diubah oleh penyadap dan
cracker untuk kepentingan tertentu. Hal ini sedang menjadi masalah bagi dunia
telekomunikasi terutama dalam pengiriman data penting yang memerlukan
kerahasiaan tinggi seperti informasi intelijen kemeliteran, keuangan bank, informasi
rahasia negara dan informasi penting lainnya.


Berkaitan dengan pengamanan beragam kendali yang dibangun pada perangkat keras
dan sistem operasi yang handal dan tidak terkorupsi untuk menjaga integritas program
dan data.


Untuk mengatasi masalah itu digunakan otentikasi untuk melindungi data dan
informasi pada sistem komputer, agar tidak digunakan atau dimodifikasi orang yang
tidak di otorisasi.bahwa informasi di sistem komputer hanya dapat diakses oleh pihak-
pihak yang diotorisasi dan modifikasi tetap menjaga konsistensi dan keutuhan data di
sistem.


Authentification adalah proses dalam rangka validasi user pada saat memasuki sistem,
nama dan password dari user di cek melalui proses yang mengecek langsung ke daftar
mereka yang diberikan hak untuk memasuki sistem tersebut. Autorisasi ini di set up
oleh administrator, webmaster atau pemilik situs (pemegang hak tertinggi atau mereka
yang ditunjuk di sistem tersebut. Untuk proses ini masing-masing user akan di cek
dari data yang diberikannya seperti nama, password serta hal-hal lainnya yang tidak
tertutup kemungkinannya seperti jam penggunaan, lokasi yang diperbolehkan.
                                                                                1/33
Selain itu authentification juga merupakan salah satu dari banyak metode yang
digunakan untuk menyediakan bukti bahwa dokumen tertentu yang diterima secara
elektronik benar-benar datang dari orang yang bersangkutan dan tak berubah caranya
adalah dengan mengirimkan suatu kode tertentu melaui e-mail dan kemudian pemilik
e-mail mereplay email tersebut atau mengetikan kode yang telah dikirimkan.
Authentication server berfungsi untuk mengenali user yang berintegrasi ke jaringan
dan memuat semua informasi dari user tersebut, dalam praktek biasanya
authentification server mempunyai backupp yang berfungsi untuk menjaga jika server
itu ada masalah sehingga jaringan dan pelayanan tidak terganggu.


Dalam aplikasi Web dibutuhkan mekanisme yang dapat melindungi data dari
pengguna yang tidak berhak mengaksesnya, misalnya sebuah situs Web yang
berisikan foto-foto keluarga dan hanya dapat diakses sesama anggota keluarga.
Mekanisme ini dapat diimplementasikan dalam bentuk sebuah proses login yang
biasanya terdiri dari tiga buah tahapan yaitu : identifikasi, otentikasi dan otorisasi


Proses otentifikasi pada prinsipnya berfungsi sebagai kesempatan pengguna dan
pemberi layanan dalam proses pengaksesan resource. Pihak pengguna harus mampu
memberikan informasi yang dibutuhkan pemberi layanan untuk berhak mendapatkan
resourcenya. Sedang pihak pemberi layanan harus mampu menjamin bahwa pihak
yang tidak berhak tidak akan dapat mengakses resource ini.


Proses otentikasi dapat dilakukan oleh webserver ataupun PHP, sebagai berikut
Otentikasi oleh Webserver


Pada server Apache ada beberapa metode yang dipakai dalam mengimplementasikan
mekanisme otentikasi. Pada prinsipnya mekanisme ini dibagi dua jenis yaitu :


    Otentikasi dasar HTTP (HTTP Basic Authentication) yang dapat menggunakan
     beberapa media penyimpanan data otentikasi seperti file teks, file database
     DBM, atau RDBMS (misalnya My SQL )
    Otentikasi menggunakan MD5 Digest


                                                                                         2/33
Dalam melakukan perlindungan terhadap suatu resource, kedua jenis otentikasi di atas
menggunakan metode berbasis realm (daerah akses yang dikontrol). Setiap resource
baik tunggal maupun jamak yang dilindungi akan mempunyai sebuah nama realm.
nama realm dapat dispesifikasikan dalam file konfigurasi dengan menggunakan
direktif AuthName.


Otentikasi dasar HTTP


Otentikasi dasar HTTP menggunakan teknik base64-encoding sederhana yang
diaplikasikan untuk username dan password sebelum data tersebut ditransfer ke server


Otentikasi jenis ini dipakai untuk membatasi akses ke halaman-halaman web dengan
berdasarkan kepada :
   nama host dari browser;
   password yang dimasukkan oleh user


Otentikasi dasar berbasis password


Jika seorang pengguna untuk pertama kalinya mencoba mengakses direktori yang
dilindungi, maka ia harus terlebih dahulu menuliskan nama dan password ke dalam
sebuah form yang muncul dalam bentuk window pop up. Jika nama dan password
pengguna ini diizinkan untuk mengakses, maka browser berhak mengakses ke
direktori ini selama sisa sesi browsing.


Otentikasi dasar berbasis Host


Jenis otentikasi dasar lainnya adalah pembatasan akses berdasarkan host klien. Host
dapat berupa nama domain seperti f117.bopmber.org atau alamat IP seperti 172.20.172.10.




                                                                                  3/33
Pendahuluan

Sejak memasyarakatnya Internet dan dipasarkannya sistem operasi Windows95 oleh
Microsoft, menghubungkan beberapa komputer baik komputer pribadi (PC) maupun
server dengan sebuah jaringan dari jenis LAN (Local Area Network) sampai WAN
(Wide Area Network) menjadi sebuah hal yang biasa. Demikian pula dengan konsep
“downsizing” maupun “lightsizing” yang bertujuan menekan anggaran belanja
khususnya peralatan komputer, maka sebuah jaringan merupakan satu hal yang sangat

Kini penggunaan jaringan komputer kian populer, banyak berbagai jenis perusahaan
memiliki jaringan komputer dalam beberapa bentuk. Jaringan komputer digolongkan
dalam dua kelompok utama, Jaringan komputer yang terdiri dari beberapa komputer
sampai ratusan komputer disuatu kantor atau gedung merupakan jaringan lokal atau
disebut Local Area Network (LAN). LAN yang terpisah dapat dihubungkan
menggunakan jalur komunikasi tertentu, misalnya jalur telpon. Hasilnya berupa
jaringan luas atau Wide Area Network (WAN).

Peralatan - peralatan yang dibutuhkan untuk membangun Jaringan Komputer /
Local Area Network (Lan).

Perlengkapan Jaringan / Hardware


Berapa biaya untuk membangun sebuah jaringan ? pertanyaan inilah yang pertama
muncul dari orang yang ingin membangun jaringan. Tentu saja pertanyaan ini tidak
dapat begitu saja dijawab oleh ahli jaringan sekalipun. Tergantung pada faktor-faktor
seperti jenis jaringan (peer to peer atau client server) yang akan dibangun, jumlah
pemakai jaringan nantinya, apakah kantor atau sekolah yang bersangkutan sudah
memiliki PC yang selama ini masih stand-alone, dan sebagainya.
Berikut adalah perlengkapan yang Anda butuhkan untuk membangun sebuah jaringan,
yang meliputi :




                                                                                4/33
   Satu (1) Unit komputer untuk Server.
   Beberapa Unit komputer untuk Client.
   HUB 16 Port, Untuk jaringan yang terdiri dari 1 Server dan 15 Client.
   Ethernet Card, Untuk masing masing komputer dibutuhkan 1 Ethernet Card.
   Jack RJ 45, Untuk masing-masing komputer dibutuhkan 2 PCS Jack RJ 45.
   Kabel UTP, Panjangnya tergantung kebutuhan pada saat pemsangan.
   Modem 56 Kbps.
   Line Telpon.
   UPS.

Server

   Pada jaringan peer to peer, tidak dibutuhkan satu komputer tersendiri yang
    bertindak sebagai Server. Setiap komputer di dalamnya dapat berfungsi sebagai
    server bagi komputer lainnya. Server disini bertindak sebagai penyedia
    sumberdaya jaringan seperti data, aplikasi, printer, ruang disk, dan sebagainya
    bagi komputer lainnya.

   Pada jaringan client server dibutuhkan satu komuter tersendiri yang bertindak
    sebagai server. Dalam bentuk fisik, server bisa berupa sebuah PC yang
    berprosesor lebih canggih dan memori serta harddisk yang berkapasitas lebih
    besar daripada komputer klien yang ada didalam jaringan. Tiga faktor utama yang
    perlu dipertimbangkan dalam memilih komputer server yakni kecepatan prosesor
    (CPU), kapasitas memori dan Harddisk.


Komponen jaringan dari ujung ke ujung

Apa sebenarnya yang membentuk jaringan komputer ? jawabannya jelas komputer,
tapi bagaimana komputer-komputer tersebut saling terhubung? ada dua macam yaitu
perangkat keras (peripheral) dan perangkat lunak (software). Perangkat keras yang
dimaksud disini mencakup NIC, hub, switch, repeater, bridge, raouter dan tentu saja
kabel. Perangkat lunak yang jelas dibutuhkan adalah sistem operasi jaringan.




                                                                               5/33
NIC (Network Interface Card)
NIC merupakan peranti penghubung antara komputer dengan jaringan.. Ada tiga hal
yang harus diperhatikan dari suatu NIC yaitu tipe kartu, jenis protokol dan tipe kabel
yang mendukungnya. Ada dua macam tipe kartu yaitu PCI dan ISA, sebagai sedikit
penjelasan pada komputer ada beberapa slot (tempat menancapkan kartu) yang
disebut expansion slot. slot-slot ini saat Anda membeli komputer sengaja dibiarkan
ikosong    oleh pembuat komputer, agar Anda bisa meningkatkan kemampuan
komputer dengan menambahkan beberapa kartu misalnya kartu suara (untuk membuat
komputer bersuara bagus), kartu video (untuk membuat tampilan layar komuter lebih
bagus) dan NIC (untuk membuat komputer bisa berkomunikasi dengan komputer lain
dalam jaringan). Untuk mengetahui kedua slot yaitu PCI dan ISA, Anda dapat
membuka kotak (casing) komputer, dibagian belakang Anda bisa melihat dua deret
slot. Slot PCI yang biasanya adalah yang berwarna putih, slot ini lebih pendek dari
slot ISA. Slot PCI mendukung kecepatan I/O (input/output) yang lebih tinggi.
   Dari sisi protokol, jenis protokol yang saat ini paling banyak digunakan adalah
    etherner dan fast ethernet. Ada beberapa protokol lain yang kurang populer, Token
    Ring, FDDI dan ATM. Dua protokol terakhir cenderung digunakan pada jaringan
    besar sebagai backbone (jaringan tulang punggung yang menghubungkan banyak
    segmen jaringan yang lebih kecil). Ethernet mendukung kecepatan transfer data
    sampai 10 Mbps, sedangkan Fast ethernet mendukung kecepatan transfer data
    sampai 100 Mbps.


Kabel
Kabel merupakan komponen penting dalam jaringan. Kabel yang membuat data bisa
mengalir di jaringan kecuali jika menggunakan jaringan tanpa kabel (Wireless).
Ada beberapa tipe kabel yang digunakan orang yaitu UTP (unshielded Twisted Pain,
coaxial dan fiber optik. UTP paling banyak dipilih orang karena murah,
kemampuannya memadai dan pemasangannya cendrung lebih mudah. Kabel Coaxial
mirip dengan kabel televisi. Fiber optik merupakan kabel paling mahal (dari sisi
instalasi maupun harga per meter), tetapi kemampuannya mendukung kecepatan
transfer data paling bagus.
                                                                                 6/33
Pemasangan kabel fiber optik paling rumit, oleh karena itu paling mahal. Dalam
memilih kartu, harus menyesuaikan dengan tipe kabel yang akan di pasang. Jika
dirangkum dari ciri-ciri yang menentukan tipe kartu adalah kombinasi sebagai
berikut:

   Ethernet/PCI/UTP
   Ethernet/ISA/UTP
   Ethernet/PCI/UTP/BNC
   Combo (Ethernet/Fast Ethernet)/PCI/UTP
   Fast Ethernet/PCI/UTP.

Hub

Secara sederhana Hub adalah perangkat penghubung. Pada jaringan bertopologi star,
Hub adalah perangkat dengan banyak port yang memungkinkan beberapa titik (dalam
hal ini komputer yang sudah memasang NIC) bergabung menjadi satu jaringan. Pada
jaringan sederhana, salah satu port pada hub terhubung ke komuputer server. Hub
memiliki 4 – 24 port plus 1 port untuk ke server atau hub lain. Pada jaringan
bertopologi bus, ada juga perangkat sejenis hub namanya repeater bekerja
memperkuat sinyal agar data bisa mencapai jarak yang lebih jauh.

Bridge

Bridge adalah perangkat yang berfungsi menghubungkan beberapa jaringan terpisah.
Bridge bisa menghubungkan tipe jaringan berbeda (seperti ethernet dan Fast Ethernet)
atau tipe jaringan yang sama. Bridge memetakan alamat ethernet dari setiap node
yang memperbolehkan hanya lalu lintas data yang diperlukan melintasi bridge.

Switch

Switch yang dimaksud disini adalah LAN switch. Switch adalah perluasan dari
konsep Bridge, switch hanya memperhatikan alamat tujuannya sebelum meneruskan
ke segmen tujuan.




                                                                               7/33
Router

Router bekerja dengan cara yang mirip dengan switch dan bridge. Perbedaannya
Router menyaring (filter) lalu lintas data. Penyaringan dilakukan bukan dengan
melihat alamat paket data, tetapi dengan menggunakan protokol tertentu. Router
muncul untuk menangani perlunya membagi jaringan secara logikal bukan fisikal.
Sebuah IP Router bisa membagi jaringan menjadi beberapa subnet sehingga hanya
lalu lintas yang ditujukan untuk IP address tertentu yang bisa mengalir dari satu
segmen ke segmen lainnya.

Software Jaringan :

Komputer tidak dapat bekerja tanpa perangkat lunak (software). Software merupakan
kumpulan dari program yang digunakan untuk menjalankan komputer. Program
merupakan serangkaian perintah yang diberikan kepada komputer apa yang harus
dilakukannya. Software yang digunakan dalam membangun jaringan antara lain :

   Microsoft® Windows NT Server 4.0 , Untuk Operating Sistem pada Server.
   Microsoft® Windows 95/98, Untuk Operating Sistem pada Client.

Teknologi yang digunakan pada jaringan komputer, merupakan perkembangan
teknologi SKDP (PT Telkom). Protokol AX.25 digunakan pada link layer, yang
merupakan perkembangan protokol X.25 (SKDP). Diatas protokol AX.25 digunakan
protokol/InterNet Protokol) yang memungkinkan integrasi berbagai jenis komputer ke
dalam jaringan.

Adapun aplikasi utama yang dijalankan dalam jaringan komputer ini adalah :

   Surat elektronnik.
   Diskusi / konferensi secara elektronik.
   Pengiriman berkas / file secara elektronik
   Akses pada distributed database.




                                                                               8/33
Ethernet

Ethernet adalah sistem jaringan yang dibuat dan dipatenkan perusahaan Xerox.
Ethernet adalah implementasi metoda CSMA/CD (Carrier Sense Multiple Access with
Collision Detection) yang dikembangkan tahun 1960 pada proyek wireless ALOHA
di Hawaii University diatas kabel coaxial. Standarisasi sistem ethernet dilakukan sejak
tahun 1978 oleh IEEE. (lihat Tabel 2.) Kecepatan transmisi data di ethernet sampai
saat ini adalah 10 sampai 100 Mbps. Saat in yang umum ada dipasaran adalah ethernet
berkecepatan 10 Mbps yang biasa disebut seri 10Base. Ada bermacam-macam jenis
10Base diantaranya adalah: 10Base5, 10Base2, 10BaseT, dan 10BaseF yang akan
diterangkan lebih lanjut kemudian.

Pada metoda CSMA/CD, sebuah host komputer yang akan mengirim data ke jaringan
pertama-tama memastikan bahwa jaringan sedang tidak dipakai untuk transfer dari
dan oleh host komputer lainnya. Jika pada tahap pengecekan ditemukan transmisi data
lain dan terjadi tabrakan (collision), maka host komputer tersebut diharuskan
mengulang permohonan (request) pengiriman pada selang waktu berikutnya yang
dilakukan secara acak (random). Dengan demikian maka jaringan efektif bisa
digunakan secara bergantian.

Untuk menentukan pada posisi mana sebuah host komputer berada, maka tiap-tiap
perangkat ethernet diberikan alamat (address) sepanjang 48 bit yang unik (hanya satu
di dunia). Informasi alamat disimpan dalam chip yang biasanya nampak pada saat
komputer di start dalam urutan angka berbasis 16, seperti pada Gambar 3.




Dengan berdasarkan address ehternet, maka setiap protokol komunikasi (TCP/IP,
IPX, AppleTalk, dll.) berusaha memanfaatkan untuk informasi masing-masing host
komputer dijaringan




                                                                                  9/33
Jaringan Internet (IP Network)

Jaringan Internet (IP Network) yang digunakan adalah internet, Corporate atau
Enterprise IP network (Intranet) dan IP Virtual Private Network (Extranet). Jaringan
internet mewakili public internet, memiliki resiko kegagalan yang besar, sedangkan
intranet dan PVN sering disebut Managed IP network. Managed IP Network
menjamin kualitas VoIP, beberapa provider menyediakan koneksi ke jaringan
Managed IP Network-nya.

Masalah utama dalam VoIP adalah Quality of Service seperti Interoperability,
Reliability, Availability, Scalability, Accessibility, dan Viability yang belum matang.
Beberapa usaha dilakukan untuk mengatasi hal tersebut, seperti membentu protokol
komunikasi yang sesuai, menggunakan signalling ss7, MPLS, network management,
serta network improvement.

Voice over Internet Protocol (VoIP)

VoIP yang disebut juga internet telephony merupakan teknologi yang menawarkan
solusi teleponi melalui jaringan paket (IP Network). Teknologi menyimpang dari
kelaziman tetapi menjanjikan suatu kelebihan, sehingga banyak pihak yang ikut
melibatkan diri. VoIP mereduksi biaya mereduksi biaya percakapan sampai 60%.
Sebagai contoh, tarif percakapan lewat telepon kabel di Amerika Serikat Rp
6.000/menit atau US$ 66 sen, sementara tarif VoIP hanya Rp 1.300/menit atau sekitar
US$ 14 sen. Selain Reduksi biaya, VoIP juga menyederhanakan sistem, memudahkan
OAM dan mendukung aplikasi multimedia.




                                                                                 10/33
Berikut ini gambar sekilas mengenai VoIP :




Konfigurasi Jaringan

Untuk melewatkan voice melalui jaringan internet (IP), memerlukan gateway.
Gateway mengubah format sinyal suara (analog, T1/E1, BRI maupun PRI) ke paket
IP, begitu juga sebaliknya. Beberapa vendor menyediakan gateway berkapasitas kecil
(SOHO Gateway) yang berbentuk card yang harus diinstal ke sebuah PC, atau
berbentuk smart terminal (tidak memerlukan PC). Bahkan terminal telepon yang
dapat langsung dihubungkan dengan jaringan internet (IP Phone) juga tersedia.
Gambar di atas menunjukkan konfigurasi VoIP.

Layanan

Dari Gambar diatas tampak VoIP menyediakan layanan voice Phone-to-Phone,
Computer-to-Phone atau Computer-to-Computer. Selain layanan voice, VoIP juga
dapat digunakan untuk fax (Fax over Internet Protocol). Layanan internet existing
juga diperkaya dengan layanan web based voice. VoIP juga mendukung layanan
Interactif voice response, Call center integration, dan Video conference




                                                                            11/33
Contoh Jaringan VoIP

Contoh sederhana implementasi jaringan VoIP menggunakan produk DSG
Technologies Inc. Produknya terdiri dari Gateway (IP2000), SOHO Gateway (IPStar)
dan IP Phone (Interphone). InterPhone dapat langsung dihubungkan ke jalur internet
ataupun melalui IP PBX atau router. Sedangkan IPStar sebagai media yang
menghubungkan telepon biasa dengan jalur internet. Gateway IP2000 dapat
menghubungkan 32 jalur telepon analog atau sampai 96 jalur digital E1. Untuk
penggunaan sebagai ITSP, IP2000 dilengkapi dengan billing system.

Tiap perangkat DSG memiliki ID tersendiri, sehingga perangkat satu dengan yang
lain dapat saling berhubungan. Kelemahan produk DSG ini adalah tidak kompatibel
dengan standar H.323, sehingga hanya dapat berhubungan dengan produk sejenis.
Produk DSG telah dipakai di 20 negara dengan jumlah gateway lebih dari 50.
Jaringan internet yang dipakai berupa publik internet atau intranet, sedangkan koneksi
melalui Interconnectivity Provider belum tersedia.


Segmen Bisnis

Meski VoIP masih terkendala oleh kualitas suara, overhead, standarisasi, skalabilitas
dan penggunaan bandwith, pertumbuhannya mencapai 132%/tahun. Beberapa prediksi
yang menunjukkan besarnya pasar VoIP antara lain :

   Pertumbuhan trafik VoIP mencapai 3.6 triliun menit selama tahun 1999 sampai
    hampir 82 triliun menit di tahun 2003. Presentase trafik VoIP mencapai 0.5 % dari
    total trafik pada tahun 1998 dan akan mencapai 6.1 % di tahun 2003 (Piper Jaffray
    Inc.   Minneapolis,      Charting    Ahead,      Tele.Com,     May     3    1999
    www.teledotcom.com).
   IP Network based Service menghasilkan revenue dari $74 juta pada tahun 2000
    sampai $40 triliun pada tahun 2006 (Ovum, London, Hitching a Ride, Global
    Telephony march 2000).




                                                                                12/33
   Market size VoIP mencapai $19.8 juta pada tahun 1996 dan tahun 2001 mencapai
    $1.89 triliun, melibatkan 70% dari Fortune 1000 companies (Frost & Sullivan)
   Trafik world-wide FoIP yang masih mendekati nol pada 1996 namun pada tahun
    2001 mencapai 1.75 triliun menit (US Domestic), inter-country FoIP mencapai 1.1
    triliun menit (Probe research).

Regulasi

VoIP berkembang karena adanya persaingan yang bebas dan dukungan pemerintah,
setidaknya inilah yang terjadi di Amerika. Monopoli perusahaan besar dihindari
(misalnya monopoli AT&T diakhiri pada tahun 1984) dan pengawasan ketat pada
persaingan yang sehat (misalnya saat dua internet backbone service provider terbesar,
MCI dan WorldCom merger pada tahun 1998, pemerintah tetap berusaha agar tidak
ada perusahaan yang mendominasi dengan mewajibkan internet backbone mereka
dipakai oleh perusahaan kompetitor).

Persaingan menyebabkan setiap perusahaan berusaha menghasilkan inovasi/produk
baru. Karena adanya resiko investasi, pemerintah AS turut membantu dengan
mengurangi pajak guna membantu inovasi dan memacu potensial market dengan
mensupport perusahaan pengembang teknologi (The National Institute for Standards
and Technology, National Institues of Health, National Oceanic and Atmospheric
Administration, dan the National Science Foundation).

Keuntungan penggunaan jaringan komputer

Banyak keuntungan yang ditawarkan dengan terbangunnya sebuah jaringan komputer,
baik yang berupa LAN maupun Intranet. Pada awal berkembangnya jaringan dimulai
dari kebutuhan untuk menggunakan secara bersama piranti yang mahal seperti printer
laser. Untuk bisa menggunakan satu printer bersama-sama maka komputer-komputer
yang ada harus saling berhubungan. data. Pada PC yang tidak saling berhubungan
(Stand Alone), jika ingin berbagi data harus melalui media seperti disket yang
tentunya memakan waktu untuk mengantar dan menyalin isi disket tersebut. Belum
lagi jika data yang dikirimkan berupa file-file besar yang kadang terhambat dengan
kapasitas disket. Repotnya lagi, jika orang yang memiliki data tersebut sedang tidak
ada di tempat pada kebutuhan mendesak.
                                                                               13/33
Dengan dibangunnya sistem jaringan komputer pada suatu kantor atau perusahaan
akan memberikan keuntungan - keuntungan antara lain :

   Dapat saling berbagi (Sharing) penggunaan peralatan yang ada, seperti harddisk,
    printer, modem dll, tanpa harus memindahkan peralatan-peralatan tersebut ke
    komputer yang membutuhkan, sehingga dapat mengefisiensikan waktu dan biaya
    pembelian hardware, mengingat harga printer Laser masih cukup mahal.
   Dapat saling berbagi (Sharing) penggunaan file atau data yang ada pada server
    atau pada masing - masing workstation. Dengan demikian untuk mendapatkan
    suatu informasi tertentu dapat dilakukan dengan cepat. Dalam hal ini terjadi
    peningkatan efesiensi waktu.
   Aplikasi dapat dipakai bersama sama (multiuser)
   Akses ke jaringan memakai nama, password dan pengaturan hak untuk data data
    rahasia

Komunikasi antar pemakai melalui E-Mail atau Lan Conference.

   Pengontrolan para pemakai ataupun pemakaian data secara terpusat dan oleh
    orang orang tertentu
   Sistem backup yang mudah karena manajemen yang tersentralisasi
   Tidak tergantung kepada orang yang menyimpan data (apabila orangnya tidak
    ada) karena penyimpanan data tersentralisasi
   Data yang selalu up to date karena server senantiasa meng uptodatekan data begitu
    ada input (Data Entry)
   Seorang Supervisor / Administrator dapat melakukan pengontrolan pemakai
    berdasarkan : Waktu akses, Tempat akses, Kapasitas pemakaian harddisk,
    Mendeteksi pemakai yang tidak berhak, Monitor pekerjaan setiap pemakai.
   Pada saat ini dengan berkembangnya teknologi software, dimungkinkannya
    penggunaan Internet secara bersama-sama secara simultan walaupun hanya
    memiliki satu modem, satu line telpon dan satu account internet.




                                                                               14/33
Sistem Keamanan Data yang terjamin

Pengaturan Pemakaian Data dan Dokumen yang dapat di Share dan dilindungi




    Data umum dapat dipakai secara bersama sama
    Data data rahasia diproteksi sehingga hanya orang orang tertentu yang dapat
     akses
    Akses kebagian lain ditentukan oleh supervisor atau sistem administrator
    Data setiap user dapat diakses / di-edit apabila mendapat izin dari si pembuat
     data atau supervisor / sistem administrator

Keamanan Internet Berbasis WAP

Akhir-akhir ini, beberapa produsen handphone merilis produk mereka yang
dilengkapi fasilitas WAP (Wireless Application Protocol) atau Protokol Aplikasi
Nirkabel. Dengan adanya WAP, pengguna handphone dapat mengakses informasi dan
bertransaksi di Internet langsung dengan handphone. Sebagaimana akses Internet
dengan komputer biasa, akses dengan WAP ini juga memerlukan keamanan tinggi,
terutama untuk transaksi atau e-commerce.

Dalam bulan Juni 1999, Forum WAP secara formal menyetujui WAP Versi 1.1,
dengan menyertakan spesifikasi Wireless Transport Layer Security (WTLS) yang
menjelaskan keamanan Internet nirkabel. Saat ini WTLS telah memasuki pasar e-
commerce pada Internet nirkabel, seperti SSL (Secure Socket Layer) yang telah
diterima sebagai sistem keamanan untuk transaksi di Internet.

Langkah pertama untuk memahami bagaimana model keamanan WAP bekerja adalah
dengan membahas cara kerja SSL dalam mengamankan e-commerce di Internet. SSL
menjamin bahwa data dijaga aman dan kecurangan transaksi dapat dicegah.

                                                                             15/33
Ada empat ciri yang berbeda tentang sistem yang aman, yaitu kerahasian (secrecy),
integrity (integritas), otentisitas (otenticity), dan tidak terjadi penolakan (non-
repudiation). Kerahasian (secrecy) adalah privasi keterjaminan bahwa informasi di
sistem komputer hanya dapat diakses oleh pihak-pihak yang diotorisasi dan
modifikasi tetap menjaga konsistensi dan kutuhan data di sistem berarti meyakinkan
bahwa hanya pengirin dan penerima pesan yang dapat membaca isi pesan tersebut.
Untuk memperoleh privasi, solusi keamanan harus memastikan bahwa tidak ada
seorang pun yang dapat melihat, mengakses, atau menggunakan informasi privat (se-
perti alamat, nomor kartu kredit, dan nomor telepon) yang ditransmisikan melalui
internet. Integritas (integrity) menjamin bahwa sumber daya sistem komputer hanya
dapat dimodifikasi oleh pihak-pihak yang diotorisasi berarti menjamin pendeteksian
adanya perubahan isi pesan di antara waktu pengiriman dan penerimaan. Sebagai
contoh, ketika pengguna internet memberi instruksi kepada bank untuk mentransfer
Rp 10 juta dari suatu rekening ke rekening yang lain, integritas memberi garansi
bahwa nomor rekening dan jumlah yang ditulis tidak dapat diubah tanpa validasi bank
atau pemberitahuan pengguna. Bila pesan diubah dengan cara apapun selama
transmisi, sistem keamanan harus mampu mendeteksi dan memberi laporan
perubahan ini. Dalam berbagai sistem jika terdeteksi adanya perubahan, sistem
penerima akan meminta pesan dikirim ulang.

Otentikasi memberi jaminan bahwa semua pelaku dalam komunikasi adalah otentik
atau mereka yang dapat di-klaim. Otentikasi server menyediakan aturan bagi
pengguna untuk melakukan verifikasi bahwa mereka benar-benar berkomunikasi
dengan web-site yang mereka yakini terkoneksi. Otentikasi client menjamin bahwa
pengguna adalah orang yang dapat di-klaim. Contoh otentikasi dalam dunia nyata
adalah menunjukkan KTP atau Passport untuk pengakuan identitas. Non-repudiation
menyediakan metode untuk menjamin bahwa tidak terjadi kesalahan dalam
melakukan klaim terhadap pihak yang melakukan transaksi. Dalam dunia nyata, tanda
tangan digunakan untuk menjamin non-repudiation, sehingga yang bersangkutan tidak
dapat mengelak. Ketika pelanggan berbelanja di supermarket, penunjukkan kartu
kredit menjamin identitas pelanggan (otentikasi), sedangkan tanda tangan pada
kuintansi menjamin bahwa pelanggan setuju untuk transaksi (non-repudiation).

                                                                               16/33
Di internet, protokol Secure Socket Layer (SSL), sertifikat digital, user-name dan
password atau tanda tangan digital digunakan secara bersama-sama untuk
menghasilkan empat tipe keamanan.

Keamanan di Lingkungan Nirkabel

Tiga bagian dari model keamanan nirkabel ditunjukkan dalam gambar 1. Pada sisi
kanan diagram, gateway WAP menggunakan SSL untuk komunikasi secara aman
dengan server Web, menjamin privasi, integritas dan otentisitas server. Non-
repudiation dipecahkan melalui metode transaksi elektronik yang ada, seperti nomor
PIN yang hanya dapat digunakan satu kali. Pada sisi kiri, gateway WAP membawa
pesan terenkripsi SSL dari Web, dan menerjemahkan transaksi untuk transmisi pada
jaringan nirkabel dengan protokol keamanan WTLS. Transaksi pesan dari handphone
ke server web adalah kebalikannya, yaitu konversi dari WTLS ke SSL. Pada dasarnya,
gateway WAP merupakan jembatan antara protokol keamanan WTLS dan SSL.
Kebutuhan translasi antara SSL dan WTLS meningkat karena kelemahan komunikasi
nirkabel, yaitu transmisi dengan bandwidth rendah dan latency (potensi gangguan)
tinggi. SSL didesain untuk lingkungan desktop dengan kemampuan proses yang
tinggi dan tersambung pada koneksi internet dengan bandwidth relatif tinggi dan
latency rendah. Akibatnya, pengguna telepon bergerak akan frustrasi karena
lambatnya pemrosesan SSL. Selanjutnya, penerapan SSL pada handset akan
meningkatkan biaya secara tajam.
WTLS secara khusus didesain untuk menjalankan transaksi aman tanpa memerlukan
kekuatan pemrosesan setara desktop dan tanpa memori di handset. WTLS memroses
algoritma keamanan lebih cepat dengan protocol overhead minimization (minimisasi
overhead protokol), dan kompresi data yang lebih baik daripada pendekatan SSL
tradisional. Hasilnya, WTLS mampu menghasilkan keamanan yang baik dengan
keterbatasan jaringan nirkabel, sehingga dengan handphone kita dapat berkomunikasi
secara aman melalui internet.

Transaksi antara SSL dan WTLS pada gateway WAP UP.Link (dari Phone.com)
hanya dalam orde milidetik dan terjadi dalam memori. Ini memungkinkan koneksi
virtual yang aman antara dua protokol tersebut. WTLS menyediakan privasi,

                                                                                17/33
integritas dan otentikasi antara gateway WAP dan browser WAP. Berdasar protokol
standar Internet TLS 1.0 ( yang berbasis pada SSL 3.0 ), WTLS memiliki standar
keamanan Internet yang tinggi di jalur nirkabel. Kemampuan WTLS berada di atas
TLS 1.0 karena adanya fasilitas baru seperti support terhadap datagram, handshake
yang dioptimalkan, dan dynamic key refreshing.

WTLS menghasilkan solusi sangat aman yang dibangun dengan teknologi terbaik dari
dunia Internet dan nirkabel. Bila gateway WAP diaplikasikan sesuai prosedur
keamanan operator standar, pelanggan dan content provider akan memperoleh
jaminan bahwa data dan aplikasinya aman. Phone.com merupakan perusahaan
pertama yang menyediakan komunikasi Internet nirkabel yang aman pada handset
yang memiliki kemampuan browser berstandar HDTP2.0. HDTP2.0 telah tersedia
secara komersial sejak 1997. Phone.com juga merupakan perusahaan pertama yang
menyediakan gateway WAP 1.1-compliant, dengan mengimplementasikan WTLS 1.1
secara lengkap.

Hasilnya, Phone.com telah mampu membangun gateway WAP bernama UP.Link
dengan kemampuan keamanan yang bagus. Sebagai contoh, UP.Link mendukung
sertifikat untuk client yang memungkinkan server Web menyediakan otentikasi atas
nama pengguna. Dengan menggunakan standar Internet yang telah ada dengan user-
name dan password, content provider dapat segera mengimplementasikan aplikasi
yang aman, yang memberikan privasi, integritas, otentikasi dan non-repudiation.
Gateway WAP UP.Link juga mendukung otoritas sertifikat yang fleksibel, termasuk
dukungan terhadap sertifikat server yang disediakan pihak lain. Fleksibilitas ini
antara lain .

   Data yang tidak dienkripsi tidak pernah disimpan dalam media permanen,
    sehingga tidak ada rekaman isi transaksi.
   Algoritma enkripsi/dekripsi UP.Link beropersi dalam proses UNIX single.
    Algoritma ini telah dioptimisasi untuk meminimalkan waktu penyimpanan data
    tidak terenkripsi dalam memori dan penghapusannya saat translasi protokol
    keamanan telah selesai.

                                                                            18/33
   Hanya root di sistem UNIX yang bisa melihat pesan yang tidak terenkripsi.
   Sangat sulit untuk menemukan data di memori yang tidak terenkripsi. Tool khusus
    di UNIX hanya tersedia bagi root untuk melihat isi memori. Itupun membutuhkan
    banyak pekerjaan penggeseran data untuk menentukan kapan dan di mana
    transaksi terjadi.Karena transaksi terjadi di memori, maka pekerjaan ini sangat
    sulit.
   Akses ke transmisi WTLS membutuhkan pengetahuan tentang implementasi WAP
    yang sangat tinggi. Beberapa informasi yang diperlukan untuk mencoba penetrasi
    gateway WAP tidak tersedia dalam dokumentasi yang diterima operator jaringan
    dari Phone.com. Meskipun telah ada lima proteksi di atas, usaha untuk transaksi
    yang curang pada gateway melalui console masih bisa terjadi. Untuk itu, fasilitas
    keamanan tambahan diperlukan sesuai tingkatan aplikasi nirkabel.

Solusi WAP yang didesain untuk menyediakan transmisi aman pada jaringan nirkabel
harus sesuai dengan kebutuhan pelanggan, operator jaringan dan content provider.
Solusi ini harus terbuka sesuai standar sehingga dapat beroperasi dengan peralatan
lain (interoperable). Sebagai contoh, Phone.com bekerja sama dengan WAP Forum
untuk menghasilkan standar untuk solusi di masa depan, yang akan menjadikan e-
commerce nirkabel dapat diterima pasar. rus

Perlunya Otentikasi

Informasi log on banyak yang dilewatkan sebagai clear text, yang berarti dengan
mudah seseorang dapat memperoleh logon credential (user name dan password)
orang lain, misalnya pada insecure service seperti pop mail. Namun otentikasi yang
baik lebih dari sekedar memvalidasi sumber yang melakukan logon awal, melainkan
juga memastikan bahwa setelah logon berhasil, sesi logon ini tidak dibajak orang lain
di tengah jalan. Serangan jenis ini dikenal sebagai session hijacking atau man-in-the-
middle attack.

Session Hijacking

Katakanlah suatu client yang terhubung ke suatu server melalui koneksi network yang
tidak secure. Client ini sudah diotentikasi oleh server dan telah memperoleh hak akses




                                                                                19/33
dari server berupa hak akses administrator. Pihak ketiga, yaitu penyerang dapat
menempatkan dirinya di tengah-tengah segmen network tadi dan secara diamdiam
memonitor sesi yang sedang berlangsung. Dengan sabar penyerang dapat mempelajari
segala hal sehubungan dengan sesi ini. Setelah mendapat cukup informasi, penyerang
dapat membajak sesi administrator ini untuk menciptakan suatu account baru pada
level administrator. Caranya adalah dengan memaksa client agar terputus
hubungannya dari server. Hal ini dapat dilakukan dengan meng-crash komputer client
dengan mengirimkan misalnya Ping of Death melalui utilitas seperti WinNuke. Juga
dapat digunakan ICMP flood yang membuat client sebagai sasaran ini terlalu sibuk
memproses begitu banyak request ICMP, sehingga tidak dapat memberikan respon
terhadap komunikasi yang lain.
Dengan lenyapnya client tadi, maka penyerang dapat berkomunikasi dengan server,
olah-olah dialah client yang tadi itu. Otentikasi yang baik harus mampu memastikan
bahwa client yang terhubung tetap client yang sebelumnya dan tidak digantikan pihak
lain.

Verfikasi Tujuan

Apabila sebelumnya kita membahas perlunya memverifikasi client, maka pada
verifikasi tujuan, kita memverifikasi server-nya. Banyak orang percaya saja bahwa
server yang dihubunginya adalah memang server yang dituju atau server sedang down
apabila tampil pesan host unreachable. Padahal bisa saja server. yang dihubungi itu
palsu. C2MYAZZ Utilitas C2MYAZZ adalah contoh baik mengenai server spoofing
attack yang digunakan untuk mengelabui client yang menggunakan Windows 95
(Windows 9x dan yang lebih baru sudah tidak mengandung kelemahan ini lagi).
Sewaktu client yang menggunakan Windows 95 menghubungi Windows NT domain,
maka otentikasi dilakukan melalui dua metode melalui SMB (session message block)
system yang menggunakan encrypted password dan yang kedua dalam bentuk clear
text (LANMAN authentication). Yang kedua ini terdapat karena kebutuhan backward
compatibility dengan LANMAN server.




                                                                             20/33
Otentikasi & Enkripsi

Model otentikasi di sistem Windows berbeda dengan sistem Unix. Di Windows (sejak
Windows 95 SMB Update dan Windows NT 4.0 setelah Service Pack 3), password
dikirimkan dalam bentuk enkripsi, sedangkan Unix mengirimkannya dalam bentuk
teks biasa. Selain itu, Windows menyimpan passwordnya ke dalam sebuah file,
sedangkan Unix tidak.
Untuk lebih jelasnya, bagaimana otentikasi di Windows berjalan, digambarkan dalam
langkah berikut :
Komputer mencoba menegosiasikan sebuah session lewat satu protokol kepada server
Server memberikan respon sebagai tanda bahwa server tersebut mendukung sistem
password terenkripsi.
Server mengirimkan 8 byte string yang dibuat secara acak.
Komputer menggunakan string tersebut sebagai kunci untuk mengenkripsikan
password yang sudah terenkripsi dengan algoritma yang telah didefinisikan
sebelumnya pada saat negosiasi protokol. Hasilnya dikirim ke server.
Server juga menggunakan string tersebut untuk menenkripsi password yang disimpan
dalam database. Jika hasilnya sama dengan yang dikirimkan user, maka user tersebut
memperoleh otentikasi, dan sebaliknya
Enkripsi dan Otentikasi adalah dua teknologi yang saling berhubungan untuk
menjamin data anda tetap aman. Otentikasi adalah cara untuk memastikan bahwa
pihak yang anda hubungi atau yang menghubungi anda adalah memang sesuai dengan
pengakuannya, bukan pihak ketiga yang menyamarkan diri. Enkripsi adalah
teknologi untuk memastikan bahwa informasi yang mengalir pada suatu sesi tidak
diintip atau diubah orang lain (compromised).
Network Security:


Start
231
2211
1238888a




                                                                              21/33
Apabila C2MYAZZ dijalankan, program ini secara pasif menunggu client melakukan
otentikasi ke NT server. Begitu logon terdeteksi, C2MYAZZ mentrasmisikan satu
paket tunggal ke client yang meminta agar client mengirimkan LANMAN
authentication. Client karena percaya sedang terhubung ke server tujuannya,
mengirimkan saja otentikasi yang berupa clear text ini. Utilitas C2MYAZZ kemudian
meng-capture dan menampilkan
kombinasi logon name dan password yang didapatnya, tanpa sama sekali mengganggu
akses client ke server. Client dengan demikian sama sekali tidak sadar bahwa logon
credential-nya telah dicuri. Utilitas C2MYAZZ ini sangat kecil dan dapat dijalankan
hanya pada satu disket. penyerang tinggal menempatkan utilitas ini pada bootable
floppy disk, menyalakan sistem, dan kembali lagi di lain waktu untuk memanen
hasilnya. Pada Windows 98 ke atas, kelemahan ini sudah diatasi sehingga C2MYAZZ
bukan lagi menjadi ancaman terhadap client yang menggunakan sistem operasi
Windows. DNS poisoning DNS poisoning yang dikenal juga sebagai cache poisoning
adalah proses menyampaikan informasi IP address yang salah mengenai host tertentu
dengan tujuan mengalihkan lalu-lintas paket data dari tujuan sebenarnya. Hal ini
pertama kali ditunjukkan oleh Eugene Kashpureff pada tahun 1997 sewaktu ia
mengalihkan request ke host InterNIC menuju situs pendaftaran domain name
alternatif, AlterNIC. Request ini dialihkan dengan mengeksploitasi vulnerability yang
terdapat pada DNS service. Sewaktu suatu name server menerima jawaban terhadap
suatu DNS query, sumber jawaban ini tidak divalidasi dan mengabaikan informasi
yang tidak ditanyakan. Kashpureff memanfaatkan vulnerabilities ini dengan
menyembunyikan informasi DNS yang palsu di dalam jawaban yang absah. Name
server yang menerima jawaba akan menyimpan informasi yang didapat (yang benar
maupun palsu) dalam cache-nya. Sebagai akibatmya, apabila pemakai mencoba me-
resolve suatu host dalam domain InterNIC, maka ia akan menerima IP address dalam
domain AlterNIC dan dengan demikian dialihkan ke AlterNIC network. Kini dengan
berkembangnya e-commerce dan online banking, teknik ini menjadi sangat berbahaya.
Bisa saja suatu server palsu tampil identik dengan server online banking yang asli.




                                                                                 22/33
Apabila nasabah mengakses web server bank itu dan mengotentikasi dirinya, maka
server palsu akan menangkap informasi otentikasi nasabah itu. Nasabah itu pun tidak
akan pernah tahu bahwa ia dilayani oleh server palsu. Untuk itulah diperlukan digital
certificate.


Kelemahan Enkripsi
Dasar-dasar enkripsi dibahas dalam artikel khusus tulisan Kurniaji Satrio. Di sini
hanya akan dibahas kelemahankelemahan enkripsi, yaitu;
• Salah penanganan atau human error
• Kelemahan cipher itu sendiri
• Serangan brute force


Salah penanganan atau human error
Metode enkripsi yang satu membutuhkan key management yang lebih baik daripada
yang lain.Gejala pemakai bodoh (stupid user syndrome) menjadi penting dalam
memilih metode enkripsi yang dipilih. Public/private cipher key (seperti misalnya
PGP) menjadi populer karena sederhananya key management yang dibutuhkan.
Dengan metode ini private key cukup disimpan sendiri, sedangkan public key bisa
ditransmisikan dengan metode apa saja, tidak harus metode yang secure.


Kelemahan cipher
Untuk memastikan bahwa cipher yang digunakan itu aman, ada beberapa hal yang
perlu diperhatikan.
•   Rumus matematik yang digunakan dalam algoritma enkripsi harus diketahui
    umum. Algoritma yang mengandalkan kerahasiaan malah besar kemungkinannya
    mengandung kesalahan yang memudahkan cracking.
•   Algoritma enkripsi harus melewati penelaahan umum. Setiap orang harus dapat
    mengevaluasi algoritma ini dan bebas mendiskusikan penemuannya. Ini artinya
    analisa terhadap suatu algoritma tidak boleh dibatasi oleh perjanjian kerahasiaan.




                                                                                23/33
   Algoritma enkripsi ini harus tersedia untuk umum selama waktu yang memadai
    untuk terjadinya proses analisa. Algoritma enkripsi yang belum diketahui
    kelemahannya dan baru tersedia beberapa bulan belumlah lulus menghadapi ujian.
    Salah satu alasan mengapa orang mempercayai enkripsi DES adalah bahwa
    enkripsi ini sudah ada sejak 15 tahun yang lalu.
•   Setiap algoritma mempunyai kelemahan-kelemahan kecil yang seharusnya tidak
    secara dramatis mengurangi waktu yang diperlukan untuk meng-crack semua
    kombinasi key yang mungkin.
Serangan brute force
Serangan brute force adalah usaha mencoba semua kombinsi cipher key yang
mungkin untuk mendapatkan cipher key yang dapat meng-unlock ciphertext.
Serangan ini dikenal juga sebagai exhaustive key search. Dalam brute force
sebenarnya tidak dilakukan usaha meng-crack cipher key, melainkan mengandalkan
pada mencoba semua kombinasi key yang mungkin dalam suatu jangka waktu yang
wajar.


Autentifikasi Pemakai (user authentification) yaitu proses otentifikasi pemakai
seperti : login yaitu proses memasuki sistem, proses ini disebut juga dengan
otentifikasi pemakai (user authentification), log off yaitu proses memutuskan atau
melepaskan dari suatu sistem komputer.

Authentification adalah proses dalam rangka validasi user ppada saat memasuki
sistem, nama dan password dari user di cek melalui proses yang mengecek langsung
ke daftar mereka yang diberikan hak untuk memasuki sistem tersebut. Autorisasi ini
di set up oleh administrator, webmaster atau pemilik situs (pemegang hak tertinggi
atau mereka yang ditunjuk di sistem tersebut. Untuk proses ini masing-masing user
akan di cek dari data yang diberikannya seperti nama, password serta hal-hal lainnya
yang tidak tertutup kemungkinannya seperti jam penggunaan, lokasi yang
diperbolehkan.




                                                                              24/33
Selain itu authentification juga merupakan salah satu dari banyak metode yang
digunakan untuk menyediakan bukti bahwa dokumen tertentu yang diterima secara
elektronik benar-benar datang dari orang yang bersangkutan dan tak berubah caranya
adalah dengan mengirimkan suatu kode tertentu melaui e-mail dan kemudian pemilik
e-mail mereplay email tersebut atau mengetikan kode yang telah dikirimkan.
Authentication server berfungsi untuk mengenali user yang berintegrasi ke jaringan
dan memuat semua informasi dari user tersebut, dalam praktek biasanya
authentification server mempunyai backupp yang berfungsi untuk menjaga jika server
itu ada masalah sehingga jaringan dan pelayanan tidak terganggu.

Dalam aplikasi Web kadang-kadang dibutuhkan mekanisme yang dapat melindungi
data dari pengguna yang tidak berhak mengaksesnya, misalnya sebuah situs Web
yang berisikan foto-foto keluarga dan hanya dapat diakses sesama anggota keluarga.


Mekanisme ini dapat diimplementasikan dalam bentuk sebuah proses login yang
biasanya terdiri dari tiga buah tahapan yaitu :


1.   Identifikasi. Di tahap ini pengguna memberitahukan siapa dirinya
2.   Otentikasi. Di dalam tahap ini si pengguna memverifikasi klaimnya user yaitu :
     1) sesuatu yang mereka ketahui, contohnya adalah kode PIN dan password; 2)
     sesuatu yang mereka miliki, contohnya adalah kartu tanda pengenal dan kartu
     magnetik; 3) sesuatu yang menjadi jatidiri, contohnya data sidik jari dan pindai
     retina
3. Otorisasi. Pada tahapan terakhir ini jika identifikasi pengguna benar, sistem
     menyelesaikan proses loginnya dan mengasosiasikan identitas pengguna dan
     informasi kontrol akses dengan sesi pengguna.


Proses otentifikasi pada prinsipnya berfungsi sebagai kesempatan pengguna dan
pemberi layanan dalam proses pengaksesan resource. Pihak pengguna harus mampu
memberikan informasi yang dibutuhkan pemberi layanan untuk berhak mendapatkan
resourcenya. Sedang pihak pemberi layanan harus mampu menjamin bahwa pihak
yang tidak berhak tidak akan dapat mengakses resource ini.


                                                                               25/33
Dalam artikel ini akan menggunakan terminologi otentikasi untuk mencakup
keseluruhan tahapan di atas.

Proses otentikasi dapat dilakukan oleh webserver ataupun PHP, sebagai berikut
Otentikasi oleh Webserver

Pada server Apache ada beberapa metode yang dipakai dalam mengimplemtasikan
mekanisme otentikasi. Pada prinsipnya mekanisme ini dibagi dua jenis yaitu :


1. Otentikasi dasar HTTP (HTTP Basic Authentication) yang dapat menggunakan
    beberapa media penyimpanan data otentikasi seperti file teks, file database DBM,
    atau RDBMS (misalnya My SQL )
2. Otentikasi menggunakan MD5 Digest


Dalam melakukan perlindungan terhadap suatu resource, kedua jenis otentikasi di atas
menggunakan metode berbasis realm (daerah akses yang dikontrol). Setiap resource
baik tunggal maupun jamak yang dilindungi akan mempunyai sebuah nama realm.
nama realm dapat dispesifikasikan dalam file konfigurasi dengan menggunakan
direktif AuthName.


Pengguna yang ingin mengakses resource ini untuk pertama kalinya harus melakukan
otentikasi dengan menyertakan nama realm . Pada pengaksesan selanjutnya realm
secara implisit akan tercakup dalam URL.

Otentikasi dasar HTTP


Otentikasi dasar HTTP menggunakan teknik base64-encoding sederhana yang
diaplikasikan untuk username dan password sebelum data tersebut ditransfer ke server


Otentikasi jenis ini dipakai untuk membatasi akses ke halaman-halaman web dengan
berdasarkan kepada :
   nama host dari browser;
   password yang dimasukkan oleh user


                                                                               26/33
Proses pengontrolan terhdap resource yang dilindungi ini biasanya menggunakan
direktif yang dapat dituliskan dalam file konfigurasi            httpd.conf   secara langsung atau
disimpan dalam file .htaccess. Pengguna nama file yang lain dapat dilakukan dengan
cara mengeset      direktif AccessFileName   dalam file konfigurasi   httpd.conf.   Isi dari direktif ini
adalah instruksi yang dipakai oleh Webserver untuk memastikan siapa yang berhak
mengakses dan siapa yang tidak berhak mengakses seuatu resource.


Dalam contoh ini kita akan menggunakan file .htAccess untuk menyimpan instruksi
tersebut.

Otentikasi dasar berbasis password

Jika seorang pengguna untuk pertama kalinya mencoba mengakses direktori yang
dilindungi, maka ia harus terlebih dahulu menuliskan nama dan password ke dalam
sebuah form yang muncul dalam bentuk window pop up. Jika nama dan password
pengguna ini diizinkan untuk mengakses, maka browser berhak mengakses ke
direktori ini selama sisa sesi browsing.


Untuk pengguna fasilitas ini, kita harus menuliskan beberapa instruksi ke dalam                      file.

htaccess   yang harus disimpan dalam direktori yang akan dilindungi. Sebagai contoh
adalah sebagai berikut :

AuthType Basic
AuthName “Protected Directory”
AuthUserFile/usr/local/httpd/.htpasswd
require valid-user

Disini setiap kali direktori diakses, Webserver akan melihat ke file.htpasswd yang berada
direktori /usr/local/httpd untuk memastikan apakah browser mempunyai akses atau tidak.
File ini dapat dibuat dengan bantuan program                 htpasswd   yang disertakan bersama
Apache. Isi dari file ini kurang lebih baris-baris seperti berikut :

budi:Yq8VgagJ3WXCo

Dimana kolom pertama (sebelum titik dua) adalah nama pengguna dan kolom
berikutnya adalah password yang sudah terenkripsi


                                                                                                  27/33
Otentikasi dasar berbasis Host

Jenis otentikasi dasar lainnya adalah pembatasan akses berdasarkan host klien. Host
dapat berupa nama domain seperti f117.bopmber.org atau alamat IP seperti 172.20.172.10.


contoh dari        file . htaccess    yang hanya mengizinkan host ddengan alamat IP
172.20.172.10. untuk mengakses direktori adalah seperti berikut ini :

AuthType Basic
AuthName “Protected Directory”
AuthUserFile/dev/null
order deny,allow
deny from all
allow from 172.20.172.10

Dukungan otentikasi di atas diimplementasikan oleh modul Apache               mod_auth.   Untuk
menggunakan metode otentikasi yang sama, namun dengan menggunakan media
penyimpanan informasi yang otentikasi lain (bukan          file.htpasswd),   dapat digunakan
modul mod_auth_dbm_auth_db, atau mod_auth_mysql.


Otentikasi Digest HTTP

Otentikasi       yang diimplementasikan dalam modul        mod_auth_digest    ini mempunyai
kelebihan yaitu sistem passwordnya lebih aman dibandingkan dengan otentikasi
dasar. Password yang ditulis oleh user akan mengalami proses message digest
dengan metode MD5 terlebih dahulu sebelum dikirimkan ke server. Untuk
memanfaatkan dukungan ini, di sisi browser harus ada dukungan untuk MD5. Internet
Explorer 5.0, Amaya, dan Mozilla mendukung otentikasi digest.


Cara menggunakan otentikasi ini cukup sederhana seperti pada otentikasi dasar.
Berikut contoh konfigurasi file.httpd.conf untuk menggunakan otentikasi ini:

<Location /private/>
AuthType Basic
AuthName “Protected Directory”
AuthDigestDomain/private
AuthDigestFile/usr/local/httpd/.digestpw
require valid-user
</Locaton>




                                                                                          28/33
Sebagai   AuthType   digunakan nilai Digest. File yang akan menyimpan nama pengguna
dengan passwordnya dapat diset dengan instruksi                     AuthDigestFile.   Pada contoh di atas,
nama file ini adalah .digestpw yang berada dalam direktori                   /usr/local/httpd.   File ini dapat
dihasilkan dengan bantuan program aplikasi                   htdigest   yang juga disertakan bersama
Apache. Contoh isi dari file adalah seperti berikut :

budi :Protectd directory : fbbd87bdfc47774c42100bf1f5dfe29

Kolom pertama membuat nama pengguna yang dipakai sebagai login. Kolom kedua

adalah nama realm tempat pengguna yang bersangkutan memiliki akses. Sedang

kolom ketiga adalah hasil message digest.


Cara kerja otentikasi

Setelah kita membahas jenis otentikasi, ada baiknya kita mengehuai cara kerja
otentikasi dasar ini.


Jika browser untuk pertama kalinya mengakses resource yang dilindungi :

Get/provate/pic01.jpg HTTP/1.1
Host:www.budi.com

maka server akan mengirimkan status respon 401 (unauthorized) serta header respon
WWW-Authenticate yang berisi tipe otentikasi Basic serta nama realm ke browser :


HTTP/1.1.401 Authoriztion Required
WWW-Authenticate :Basic realm=”Protect Area”



Menerima pesan ini, browser akan meminta pengguna untuk menuliskan username
serta password yang dibutuhkan untuk otentikasi. Di browser GUI seperti Nescape
atau Internet Explorer (IE), akan muncul window pop up.


Selesai pengguna memasukkan informasi otentikasinya, browser akan kembali
mengakses ke resource yang sama dengan mengirimkan                         header request Authorization   yang
juga berisi username, password serta tipe otentikasi Basic ke server.
                                                                                                          29/33
Get/provate/pic01.jpg HTTP/1.1
Host:www.budi.com
Authorization :Basic c3R1dmVuOnN1cGVybWFu

Jika username dan password ini tidak valid, maka server akan mengirimkan status
respon 401 seperti sebelumnya. Seandainya username dan password valid, maka
Webserver baru akan memberikan resource tersebut .

HTTP/1.1 200 OK
Date : Fri, 26 Jun 2003 19:36:45 GMT
Server : Apache /1.3.20(unix) mod_fastcgi/2.2.10
Last-modifined: Thu, 22 Jun 2002 11 : 49:58 GMT
content-Length:23982

......

Untuk selanjutnya, jika mengakses direktori/private atau direktori di bawahnya,
browser akan selalu mengirimkan                    header request Authorization   yang sama. Hal ini
dikarenakan protokol HTTP yang bersifat stateless, sehingga browser harus selalu
mengirim ulang informasi otentikasi kepada server disetiap request.

Dukungan Otentikasi pada PHP

Dukungan otentikasi oleh PHP secara default hanya jika PHP dibuat sebagai modul
Apache dan bukan sebagai CGI. Pada dasarnya dukungan ini berkonsep pada cara
kerja otentikasi yang telah kita bahas sebelumnya. Untuk bisa menghasilkan header
respon, dapat digunakan fungsi header().


Kita akan mengambil contoh dari manual PHP untuk menunjukkan dukungan
otentikasi pada PHP. Skrip di bawah ini akan mengharuskan seorang pengguna untuk
mengisi username serta password

<?
if (!isset($PHP_AUTH_USER){
header(“WWW-Authenticate:Basic realm=\”My Realm\”);
header(“HTTP/1.0 401 Unauthorized”);
echo “Text to send if user hits Cancel button\n”;
exit;
} else{
echo “<P> Hello $PHP_AUTH_USER.</P>”;
echo “<P> You entered $PHP_AUTH_PW as your password.</P>”;
}
?>
                                                                                               30/33
Jika pengguna sudah mengisi username dan password, maka skrip PHP ini akan
kembali diakses oleh browser dan PHP akan menyimpan beberapa variabel :


   $PHP_AUTH_USER berisi username;
   $PHP_AUTH_PW berisi password;
   &PHP_AUTH_TYPE berisi tipe otentikasi. Manual PHP menyebutkan bahwa
    hanya tipe Basic yang didukung oleh PHP.


Dalam aplikasi yang sesungguhnya, variabel di atas dapat dimanfaatkan untuk
memeriksa validitas username dan password dengan bantuan database yang
menyimpan data pengguna.

Mendesain Aplikasi untuk proses Otentikasi

Dalam artikel ini kita akan membahas pembuatan aplikasi guna menangani proses
otentikasi dengan memanfaatkan fitur sesi dan OOP yang ada pada PHP4. Beberapa
dukungan yang harus diimplementasikan pada aplikasi ini antara lain :


   penggunaan sesi untuk menyimpan variabel otentikasi dan data lainnya;
   penggunaan MD5 untuk menghindari pengiriman password secara apa adanya
    tanpa dilindungi (plain-text) ke webserver;
   dukungan untuk sign out secara otomatis;
   pengimplementasian dengan kelas yang memudahkan pengguna menambahkan
    fitur yang diperlukan


   Dengan menggunakan sesi, maka hanya        session id   saja yang akan selalu ditransfer
    dari browser ke webserver dan sebaliknya. Variabel lain yang dibutuhkan akan
    tersimpan dalam webserver dan tidak terlihat oleh browser.


   Untuk menghindari pengiriman sebuah password secara polos digunakan metode
    message digest. Secara prinsip dapat juga digunakan metode enkripsi, namun
    cara ini biasanya terlalu banyak memakan resource prosesor. Impelementasi
    message digest direalisasikan dengan javascript yang source codenya bisa di
    dapatkan di Internet.
                                                                                      31/33
Komponen Pendukung

Sebagian besar komponen pendukung aplikasi diimplementasikan dalam bentuk kelas.
Hal ini akan memudahkan pengguna menambahkan fungsi yang diinginkan hanya
dengan membuat kelas baru yang diturunkan dari kelas yang sudah ada.

Penutup


Dalam aplikasi Web kadang-kadang dibutuhkan mekanisme yang dapat melindungi
data dari pengguna yang tidak berhak mengaksesnya, Mekanisme ini dapat
diimplementasikan dalam bentuk sebuah proses login yang biasanya terdiri dari tiga
buah tahapan yaitu :


    Identifikasi. Di tahap ini pengguna memberitahukan siapa dirinya
    Otentikasi. Di dalam tahap ini si pengguna memverifikasi klaimnya user yaitu :
     1) sesuatu yang mereka ketahui, contohnya adalah user ID, kode PIN dan
     password; 2) sesuatu yang mereka miliki, contohnya adalah kartu tanda
     pengenal dan kartu magnetik; 3) sesuatu yang menjadi jatidiri, contohnya data
     sidik jari dan pindai retina
    Otorisasi. Pada tahapan terakhir ini jika identifikasi pengguna benar, sistem
     menyelesaikan proses loginnya dan mengasosiasikan identitas pengguna dan
     informasi kontrol akses dengan sesi pengguna.
    Automatic log out, jika tidak ada tindakan yang dilakukan lebih dari 10 menit,
     secara otomatis akan mengakhiri dan kembali ke menu utama.

    SSL 128-bit encryption, seluruh data di Internet dikirimkan melalui protocol
     Secure Socket Layer (SSL), yaitu suatu standar pengiriman data rahasia melalui
     internet. Protocol SSL ini akan mengacak data yang dikirimkan menjadi kode-
     kode rahasia dengan menggunakan 128-bit encryption, yang artinya terdapat 2
     pangkat 128 kombinasi angka kunci, tetapi hanya satu kombinasi yang dapat
     membuka kode-kode tersebut.




                                                                             32/33
Saran

       User ID dan PIN merupakan suatu hal yang rahasia, jangan beritahukan PIN
        sebagian atau seluruhnya kepada orang lain.
       Jika Anda menduga/mengira adanya orang yang tidak berwenang mengetahui
        akan PIN Anda, segera ubah PIN dan laporkan
       Jangan meninggalkan komputer pada saat masih log on, lakukan logout setiap
        meninggalkan komputer meskipun hanya sebentar, dan setelah selesai seluruh
        transaksi selalu lakukan log out meskipun komputer tersebut milik Anda
        pribadi di rumah.
       Jangan membuat PIN yang merupakan angka : tanggal lahir, nomor telphone
        rumah, nomor kendaraan dan lain-lain yang mudah untuk diingat/ditebak
        orang lain.
       Jangan membuat PIN yang merupakan urutan angka, contoh : 123456
       Jangan membuat PIN yang merupakan pengulangan satu angka, contoh :
        111111
       Jangan mencatat PIN ditempat yang mudah dibaca orang lain , contoh :
        agenda, kalender
       Jangan membuat PIN yang merupakan pengulangan dari User ID
       Baca kembali instruksi Anda di layar konfirmasi sebelum PIN dimasukkan,
        dan instruksi teruskan di klik, hal ini untuk menghindari kesalahan nomor
        rekening, nomor refrensi dan jumlah yang Anda inginkan

Referensi :
http://www.neotek.co.id/0304/03041011.pdf
http://www.geocities.com/sistel_service/keamanan_wap.htm
http://www.geocities.com/sistel_service/voip.htm
http://www.geocities.com/sistel_service/PerTelkomsat.htm
http://jurnal_kopertis4.tripoid.com/16-3.htm
http://antareja.rvs.uni_bielefeld_de/avinanta/publication/kelautan
http://www.bankmandiri.co.id/indonesia/internet_banking/id/my_security.asp
http://www.openbsd.org/id/why_cvs.htm
http://www.openbsd.org/id/goals_cvs.htm
http://thor,prohosting.com/~arema/download/fasilitas.htm
http://www.apaceweekcoml
http://standard.ieee.org/regauth/uei/index.html


                                                                                 33/33
                OTENTIKASI PADA APLIKASI BERBASIS WEB
                  Oleh : Akhmad Budiharjo / NIM. 23202114


                                    ABSTRAK


Sekarang ini , teknologi informasi        sedang berkembang dengan pesat yang
memungkinkan semua orang dapat berkomunikasi dari satu tempat ke tempat lain
dengan      jarak ribuan kilometer. Data yang dikirimkan itu menggunakan jalur
transmisi telekomunikasi yang belum tentu terjamin keamananya. Bila data yang
sedang dikirim melalui media transmisi itu dicuri atau diubah oleh penyadap dan
cracker untuk kepentingan tertentu. Hal ini sedang menjadi masalah bagi dunia
telekomunikasi terutama dalam pengiriman data penting yang memerlukan
kerahasiaan tinggi seperti informasi intelijen kemeliteran, keuangan bank, informasi
rahasia negara dan informasi penting lainnya.


Berkaitan dengan pengamanan beragam kendali yang dibangun pada perangkat keras
dan sistem operasi yang handal dan tidak terkorupsi untuk menjaga integritas program
dan data.


Untuk mengatasi masalah itu digunakan otentikasi untuk melindungi data dan
informasi pada sistem komputer, agar tidak digunakan atau dimodifikasi orang yang
tidak di otorisasi.bahwa informasi di sistem komputer hanya dapat diakses oleh pihak-
pihak yang diotorisasi dan modifikasi tetap menjaga konsistensi dan keutuhan data di
sistem.


Authentification adalah proses dalam rangka validasi user pada saat memasuki sistem,
nama dan password dari user di cek melalui proses yang mengecek langsung ke daftar
mereka yang diberikan hak untuk memasuki sistem tersebut. Autorisasi ini di set up
oleh administrator, webmaster atau pemilik situs (pemegang hak tertinggi atau mereka
yang ditunjuk di sistem tersebut. Untuk proses ini masing-masing user akan di cek
dari data yang diberikannya seperti nama, password serta hal-hal lainnya yang tidak
tertutup kemungkinannya seperti jam penggunaan, lokasi yang diperbolehkan.
Selain itu authentification juga merupakan salah satu dari banyak metode yang
digunakan untuk menyediakan bukti bahwa dokumen tertentu yang diterima secara
elektronik benar-benar datang dari orang yang bersangkutan dan tak berubah caranya
adalah dengan mengirimkan suatu kode tertentu melaui e-mail dan kemudian pemilik
e-mail mereplay email tersebut atau mengetikan kode yang telah dikirimkan.
Authentication server berfungsi untuk mengenali user yang berintegrasi ke jaringan
dan memuat semua informasi dari user tersebut, dalam praktek biasanya
authentification server mempunyai backupp yang berfungsi untuk menjaga jika server
itu ada masalah sehingga jaringan dan pelayanan tidak terganggu.


Dalam aplikasi Web dibutuhkan mekanisme yang dapat melindungi data dari
pengguna yang tidak berhak mengaksesnya, misalnya sebuah situs Web yang
berisikan foto-foto keluarga dan hanya dapat diakses sesama anggota keluarga.
Mekanisme ini dapat diimplementasikan dalam bentuk sebuah proses login yang
biasanya terdiri dari tiga buah tahapan yaitu : identifikasi, otentikasi dan otorisasi


Proses otentifikasi pada prinsipnya berfungsi sebagai kesempatan pengguna dan
pemberi layanan dalam proses pengaksesan resource. Pihak pengguna harus mampu
memberikan informasi yang dibutuhkan pemberi layanan untuk berhak mendapatkan
resourcenya. Sedang pihak pemberi layanan harus mampu menjamin bahwa pihak
yang tidak berhak tidak akan dapat mengakses resource ini.


Proses otentikasi dapat dilakukan oleh webserver ataupun PHP, sebagai berikut
Otentikasi oleh Webserver


Pada server Apache ada beberapa metode yang dipakai dalam mengimplementasikan
mekanisme otentikasi. Pada prinsipnya mekanisme ini dibagi dua jenis yaitu :


    Otentikasi dasar HTTP (HTTP Basic Authentication) yang dapat menggunakan
     beberapa media penyimpanan data otentikasi seperti file teks, file database
     DBM, atau RDBMS (misalnya My SQL )
    Otentikasi menggunakan MD5 Digest
Dalam melakukan perlindungan terhadap suatu resource, kedua jenis otentikasi di atas
menggunakan metode berbasis realm (daerah akses yang dikontrol). Setiap resource
baik tunggal maupun jamak yang dilindungi akan mempunyai sebuah nama realm.
nama realm dapat dispesifikasikan dalam file konfigurasi dengan menggunakan
direktif AuthName.


Otentikasi dasar HTTP


Otentikasi dasar HTTP menggunakan teknik base64-encoding sederhana yang
diaplikasikan untuk username dan password sebelum data tersebut ditransfer ke server


Otentikasi jenis ini dipakai untuk membatasi akses ke halaman-halaman web dengan
berdasarkan kepada :
   nama host dari browser;
   password yang dimasukkan oleh user


Otentikasi dasar berbasis password
Jika seorang pengguna untuk pertama kalinya mencoba mengakses direktori yang
dilindungi, maka ia harus terlebih dahulu menuliskan nama dan password ke dalam
sebuah form yang muncul dalam bentuk window pop up. Jika nama dan password
pengguna ini diizinkan untuk mengakses, maka browser berhak mengakses ke
direktori ini selama sisa sesi browsing.


Otentikasi dasar berbasis Host
Jenis otentikasi dasar lainnya adalah pembatasan akses berdasarkan host klien. Host
dapat berupa nama domain seperti f117.bopmber.org atau alamat IP seperti 172.20.172.10.

       rekening, nomor refrensi dan jumlah yang Anda inginkan
Referensi :
http://www.neotek.co.id/0304/03041011.pdf
http://www.geocities.com/sistel_service/keamanan_wap.htm
http://www.geocities.com/sistel_service/voip.htm
http://www.geocities.com/sistel_service/PerTelkomsat.htm
http://jurnal_kopertis4.tripoid.com/16-3.htm
http://antareja.rvs.uni_bielefeld_de/avinanta/publication/kelautan
http://www.bankmandiri.co.id/indonesia/internet_banking/id/my_security.asp
http://www.openbsd.org/id/why_cvs.htm
http://www.openbsd.org/id/goals_cvs.htm
http://thor,prohosting.com/~arema/download/fasilitas.htm
http://www.apaceweekcoml
http://standard.ieee.org/regauth/uei/index.html




                                                 Bandung, 17 September 2003
                                                 Telah disetujui oleh Dosen,



                                                 Dr. Ir. Budirahardjo

								
To top