for everyone
Apa yang harus dilakukan oleh seorang web admin untuk menjaga data agar tetap aman terhadap serangan dari luar? Praktisi keamanan Jim Geovedi memaparkan delapan tips esensial.
Beberapa tips berikut dapat menjadi pertimbangan:
#1 Lakukan autentikasi untuk setiap pengguna
Cobalah berpegang pada prinsip "pengguna tidak selalu dapat dipercaya". Lakukan autentikasi untuk memastikan bahwa orang yang hendak mengakses server Anda adalah pengguna yang sah.
#2 Batasi akses dengan Firewall
Melakukan filtering untuk service ports dapat membuat ruang gerak calon penyerang menjadi terbatas. Pada web server publik, firewall policy yang digunakan umumnya hanya membatasi akses masuk pada port 80 (http) dan 443 (https) untuk umum, port lain yang digunakan untuk keperluan administrasi sistem seperti 21 (ftp) dan 22 (ssh) hanya diijinkan ke IP address tertentu.
Pengamanan lebih ketat dapat dilakukan dengan memblokir akses keluar dari webserver untuk menggagalkan serangan yang menggunakan teknik connect-back shell (inisialisasi koneksi dilakukan oleh server). Selain itu, jika ternyata server telah berhasil dikuasai penyerang maka penyerang tidak dapat melakukan hubungan keluar sepeerti melakukan serangan pada host lain.
#3 Pengamanan Sistim Operasi dan Applikasi
Merupakan rahasia umum bahwa calon penyusup akan mengumpulkan informasi mengenai sistim yang menjadi target (dalam hal ini adalah web server Anda dan juga aplikasi yang berada di dalamnya). Jangan mengekspose informasi apapun yang tidak dibutuhkan oleh pengguna.
Sebagai contoh:
1. Menghilangkan informasi personal dari catatan WHOIS dari domain yang dapat digunakan untuk serangan social engineering, gunakan account yang spesifik untuk keperluan tersebut seperti domain-admin, billing-admin, atau tech-admin.
2. Hindari penggunaan nama yang mengindikasikan sistim operasi dan/atau versinya.
3. Hilangkan banner atau server header dari server.
4. Hilangkan informasi yang berhubungan dengan server atau aplikasi pada error pages.
5. Hilangkan komentar yang tidak perlu, yang menginformasikan bagaimana proses implementasi atau nama dari situs atau personil yang membuat, dari kode HTML, CSS atau Javascript.
6. Batasi ruang gerak robot-robot Search Engine dengan tidak mengekspose file atau direktori sensitif dalam file robots.txt.
Untuk tingkat lanjut, teknik yang dapat membodohi pemindai seperti NMAP dapat dimanfaatkan.
Jika Anda mempunyai anggaran belanja lebih untuk melakukan pengamanan pada web server, Anda dapat mempertimbangkan untuk menggunakan aplikasi seperti SecureIIS dan ServerMask.
#4 Pemanfaatan Honeypot
Jika infrastruktur memungkinkan, teknologi Honeypot dapat membantu Anda mengenali siapa penyerang yang menggunakan perlengkapan menyerang otomatis (automated attack tools) seperti auto rootkit dan worms serta kemudian dapat memblokir source address dari penyerang.
#5 Inspeksi requests dan input dari pengguna
Setelah pengguna melakukan autentikasi, umumnya mereka akan mendapatkan kepercayaan yang lebih untuk melakukan request atau input data ke aplikasi atau sistem. Kembali diingatkan bahwa "pengguna tidak selalu dapat dipercaya".
Penyerang (yang notabene juga adalah pengguna) dapat melakukan serangan berbahaya dengan melakukan modifikasi input pada aplikasi berbasis web karena pengguna dapat mem-bypass setiap batasan-batasan pada tingkat client-side untuk setiap tipe dan besarnya input.
Hal lain yang harus diperhatikan adalah hidden form fields dan cookies yang umumnya digunakan pada setiap transaksi web. Kedua hal tersebut dapat dimodifikasi oleh pengguna karena berada dalam kontrolnya sebelum diterima oleh server.
#6 Monitor dan pengujian secara kontinyu dan berkelanjutan
Pengamanan tidak cukup dengan hanya dengan mengamati logs saja. Ujicoba secara aktif perlu dilakukan. Anda dapat menggunakan tools yang tersedia secara gratis di Internet atau dapat membelinya. Fyodor membuat daftar Top 75 Security Tools yang banyak digunakan untuk keperluan ujicoba keamanan.
Jika Anda merasa tidak memiliki kemampuan yang memadai untuk melakukan pengujian yang efektif, pertimbangkan untuk menyewa konsultan keamanan untuk melakukan security assessment dan uji penetrasi.
#7 Manajemen keamanan antara pengembang dan administrator
Tantangan terbesar dalam mengadministrasikan sebuah web server adalah koordinasi keamanan antara pengembang aplikasi (maupun sistim operasi) dengan sistem administrator. Tanpa memiliki pengetahuan yang cukup mengenai bagaimana sebuah sistim operasi dan aplikasi yang berjalan, sistem administrator tidak dapat berbuat banyak untuk melakukang pengamanan. Kerjasama antar pengembang dan administrator diperlukan agar unsur keamanan dapat terimplementasi dengan baik tanpa harus mengurangi kinerja sistim.
#8 Bersiap untuk sesuatu yang buruk
Siapkan rencana untuk menghadapi insiden keamanan yang mungkin dapat terjadi sewaktu-waktu seperti sistem disusupi oleh penyerang, terkena serangan denial-of-service, atau data sensitif yang dimiliki terekspose. Pastikan bahwa Anda mempunyai selalu mempunyai backup dan melakukan pengujian atas backup tersebut.
0 komentar:
Posting Komentar
uhmmmm kasih comment ya...!