Testing untuk security data pada server
Berbagai
profil tinggi serangan hacking telah membuktikan bahwa keamanan
web tetap isu yang paling penting untuk setiap usaha yang melakukan
operasinya secara online. Web server adalah salah satu wajah publik yang
paling bertarget dari suatu organisasi, karena data sensitif mereka biasanya
tuan rumah. Mengamankan web server adalah sama pentingnya dengan
mengamankan situs web atau aplikasi web itu sendiri dan jaringan
sekitarnya. Jika Anda memiliki aplikasi web yang aman dan web server tidak
aman, atau sebaliknya, masih menempatkan bisnis Anda beresiko
besar. Keamanan perusahaan Anda adalah sebagai kuat sebagai titik
terlemah.
Meskipun
mengamankan web server dapat menjadi operasi menakutkan dan memerlukan keahlian
khusus, bukan merupakan tugas yang mustahil. Berjam-jam penelitian dan
overdosis kopi dan mengambil makanan, bisa menyelamatkan Anda dari malam-malam
panjang di kantor, sakit kepala dan pelanggaran data di masa depan.Tidak
relevan dari apa yang web server perangkat lunak dan sistem operasi yang Anda
berlari, keluar dari konfigurasi kotak biasanya tidak aman. Oleh karena
itu kita harus mengambil beberapa langkah yang diperlukan dalam rangka
meningkatkan keamanan web server.
Di bawah ini adalah daftar tugas yang
harus diikuti jika mengamankan web server.
1. Hapus layanan yang tidak perlu
Standar
instalasi sistem operasi dan konfigurasi, yang tidak aman. Dalam instalasi
default yang khas, banyak layanan jaringan yang tidak akan digunakan dalam
konfigurasi web server yang diinstal, seperti layanan remote registry, layanan
print server, RAS dll lebih banyak layanan yang berjalan pada sistem operasi,
port lebih akan dibiarkan terbuka, sehingga meninggalkan pintu lebih terbuka
bagi pengguna jahat untuk penyalahgunaan.Nonaktifkan semua layanan yang tidak
perlu dan menonaktifkan mereka, jadi waktu berikutnya server reboot, mereka
tidak dimulai secara otomatis. Mematikan layanan yang tidak perlu juga
akan memberikan dorongan ekstra untuk pertunjukan server Anda, dengan
membebaskan beberapa sumber daya perangkat keras.
2. Remote
akses
Meskipun saat
ini tidak praktis, bila mungkin, administrator server harus login ke server web
lokal. Jika akses remote diperlukan, kita harus memastikan bahwa sambungan
remote dijamin dengan benar, dengan menggunakan protokol tunneling dan
enkripsi. Menggunakan token keamanan dan single sign lainnya pada
peralatan dan perangkat lunak, adalah praktik keamanan yang sangat
baik. Remote akses juga harus dibatasi pada jumlah tertentu IP dan account
tertentu saja. Hal ini juga sangat penting untuk tidak menggunakan
komputer publik atau jaringan publik untuk mengakses server perusahaan jarak
jauh, seperti di kafe internet atau jaringan nirkabel publik.
3. Pisahkan
pengembangan / pengujian / lingkungan produksi
Karena lebih
mudah dan lebih cepat bagi pengembang untuk mengembangkan versi terbaru dari
sebuah aplikasi web pada server produksi, sangat umum bahwa pembangunan dan
pengujian aplikasi web dilakukan langsung pada server produksi itu
sendiri. Ini adalah kejadian umum di internet untuk menemukan versi
terbaru dari sebuah situs web tertentu, atau beberapa konten yang tidak harus
tersedia untuk umum dalam direktori seperti /, uji / / baru / atau sub
direktori yang sama. Karena aplikasi web seperti berada dalam tahap awal
pembangunan mereka, mereka cenderung memiliki sejumlah kerentanan, kurangnya
validasi input dan tidak menangani pengecualian tepat. Aplikasi ini dapat
dengan mudah ditemukan dan dieksploitasi oleh pengguna jahat, dengan
menggunakan alat yang tersedia gratis di internet.
Untuk mengurangi
lebih banyak pengembangan dan pengujian aplikasi web, pengembang cenderung
untuk mengembangkan aplikasi internal tertentu yang memberi mereka akses
istimewa untuk aplikasi web, database dan sumber daya server web lainnya, yang
pengguna anonim normal tidak akan. Aplikasi ini biasanya tidak memiliki
jenis pembatasan, karena mereka adalah aplikasi tes hanya diakses yang harus
diakses dari pengembang saja.Sayangnya, jika pengembangan dan pengujian
dilakukan pada server produksi, aplikasi tersebut dengan mudah dapat ditemukan
dari pengguna berbahaya, yang dapat membantunya kompromi dan mendapatkan akses
pada server produksi.Idealnya, pengembangan dan pengujian aplikasi web harus
selalu dilakukan pada server terisolasi dari internet, dan tidak pernah harus
menggunakan atau menghubungkan ke data kehidupan nyata dan database.
4. Aplikasi Web
konten dan server-side scripting
Aplikasi web
atau file website dan script harus selalu berada pada partisi terpisah atau
drive lain daripada sistem operasi, log dan file sistem lainnya. Melalui
pengalaman kita telah belajar bahwa hacker yang memperoleh akses ke direktori
web root, mampu mengeksploitasi kerentanan lain, dan mampu melangkah lebih jauh
dan meningkat hak-hak mereka untuk mendapatkan akses ke data pada seluruh disk,
termasuk operasi sistem dan file sistem lainnya.Dari sana seterusnya, pengguna
yang jahat memiliki akses untuk melaksanakan setiap perintah sistem operasi,
sehingga kendali penuh dari server web.
5. Perizinan
dan hak
File dan layanan
jaringan perizinan memainkan peran penting dalam keamanan web server. Jika
mesin server web dikompromikan melalui software layanan jaringan, pengguna
berbahaya dapat menggunakan account di mana layanan jaringan berjalan untuk melaksanakan
tugas, seperti mengeksekusi file spesifik. Oleh karena itu sangat penting
untuk selalu menetapkan hak paling diperlukan untuk layanan jaringan tertentu
untuk menjalankan, seperti perangkat lunak server web. Hal ini juga sangat
penting untuk menentukan hak minimum untuk pengguna anonim yang diperlukan
untuk mengakses situs, file aplikasi web dan data juga backend dan database.
6. Menginstal
patch keamanan semua pada waktu
Meskipun
memiliki sepenuhnya perangkat lunak yang ditambal tidak selalu berarti server
anda sepenuhnya aman, masih sangat penting untuk memperbarui sistem operasi dan
perangkat lunak lain yang berjalan di atasnya dengan patch keamanan
terbaru. Sampai hari ini, masih terjadi insiden hacking karena hacker
mengambil keuntungan dan dimanfaatkan un-ditambal server dan perangkat lunak.
 |
Security data
|
7. Memantau
dan audit server
Semua log yang
ada di web server, idealnya harus disimpan dalam area terpisah. Semua
layanan jaringan log, log website akses, log server database (misalnya
Microsoft SQL Server, MySQL, Oracle) dan log sistem operasi harus dipantau dan
diperiksa sering. Salah satu harus selalu waspada terhadap entri log yang
aneh. File log cenderung memberikan semua informasi tentang upaya
serangan, dan bahkan dari serangan yang sukses, tetapi sebagian besar kali ini
yang diabaikan. Jika salah satu aktivitas aneh dari pemberitahuan log, ini
harus segera meningkat sehingga masalah dapat diselidiki untuk melihat apa yang
terjadi.
8. Akun
pengguna
Account pengguna
yang tidak digunakan standar dibuat selama menginstal sistem operasi harus
dinonaktifkan. Ada juga daftar panjang perangkat lunak yang ketika
diinstal, akun pengguna dibuat pada sistem operasi. Rekening tersebut juga
harus diperiksa dengan benar dan izin perlu diubah diperlukan. Yang
dibangun pada account administrator harus diganti dan tidak akan digunakan,
sama untuk user root pada instalasi linux / unix. Setiap administrator
mengakses server web harus memiliki akun sendiri, dengan hak yang benar
diperlukan. Ini juga merupakan praktik keamanan yang baik untuk tidak
berbagi account setiap pengguna lain.
9. Hapus
semua modul yang tidak terpakai dan ekstensi aplikasi
Sebuah instalasi
default Apache memiliki sejumlah modul yang telah ditentukan diaktifkan, yang
dalam skenario web server khas tidak digunakan, kecuali mereka secara khusus
dibutuhkan. Matikan modul seperti untuk mencegah serangan ditargetkan
terhadap modul tersebut.Hal yang sama berlaku untuk server web Microsoft;
Internet Information Services. Secara default, IIS dikonfigurasi untuk
melayani sejumlah besar jenis aplikasi, misalnya ASP, ASP.NET dan banyak
lagi. Daftar ekstensi aplikasi hanya berisi daftar ekstensi website atau
aplikasi web akan menggunakan. Setiap ekstensi aplikasi juga harus
dibatasi untuk menggunakan verba HTTP tertentu saja, mana mungkin.
10. Gunakan
alat keamanan yang disediakan dengan perangkat lunak web server
Microsoft
merilis sejumlah alat untuk membantu administrator mengamankan instalasi IIS
web server, seperti scan URL. Ada juga modul yang disebut mod_security
untuk Apache. Meskipun mengkonfigurasi alat tersebut merupakan proses yang
membosankan dan dapat memakan waktu, terutama dengan aplikasi web kustom,
mereka menambahkan sedikit tambahan keamanan dan bagian dari pikiran.
11. Tetap
terinformasi
Saat ini,
informasi dan tips tentang perangkat lunak dan sistem operasi yang digunakan
dapat ditemukan secara bebas di internet. Hal ini sangat penting untuk
tetap informasi dan belajar tentang serangan baru dan alat, dengan membaca
majalah terkait keamanan dan berlangganan newsletter, forum atau jenis
masyarakat lainnya.
12. Gunakan
Scanner
Scanner adalah
alat praktis yang membantu Anda mengotomatisasi dan mempermudah proses
mengamankan web server dan aplikasi web. Acunetix
Web Vulnerability Scanner juga dikirim dengan port
scanner , yang bila diaktifkan akan port scan web server hosting
aplikasi web yang dipindai. Mirip dengan pemindai keamanan jaringan,
Acunetix WVS akan meluncurkan sejumlah pemeriksaan keamanan yang canggih
terhadap port terbuka dan layanan jaringan berjalan pada server web Anda
Sumber :
