Rabu, 13 Juni 2018

4.3 Bagaimana cara melakukan testing untuk security data pada server? Berikan contoh !


Testing untuk security data pada server



Berbagai profil tinggi serangan hacking telah membuktikan bahwa keamanan web tetap isu yang paling penting untuk setiap usaha yang melakukan operasinya secara online. Web server adalah salah satu wajah publik yang paling bertarget dari suatu organisasi, karena data sensitif mereka biasanya tuan rumah. Mengamankan web server adalah sama pentingnya dengan mengamankan situs web atau aplikasi web itu sendiri dan jaringan sekitarnya. Jika Anda memiliki aplikasi web yang aman dan web server tidak aman, atau sebaliknya, masih menempatkan bisnis Anda beresiko besar. Keamanan perusahaan Anda adalah sebagai kuat sebagai titik terlemah. 

Meskipun mengamankan web server dapat menjadi operasi menakutkan dan memerlukan keahlian khusus, bukan merupakan tugas yang mustahil. Berjam-jam penelitian dan overdosis kopi dan mengambil makanan, bisa menyelamatkan Anda dari malam-malam panjang di kantor, sakit kepala dan pelanggaran data di masa depan.Tidak relevan dari apa yang web server perangkat lunak dan sistem operasi yang Anda berlari, keluar dari konfigurasi kotak biasanya tidak aman. Oleh karena itu kita harus mengambil beberapa langkah yang diperlukan dalam rangka meningkatkan keamanan web server. 

Di bawah ini adalah daftar tugas yang harus diikuti jika mengamankan web server. 

1.  Hapus layanan yang tidak perlu
Standar instalasi sistem operasi dan konfigurasi, yang tidak aman. Dalam instalasi default yang khas, banyak layanan jaringan yang tidak akan digunakan dalam konfigurasi web server yang diinstal, seperti layanan remote registry, layanan print server, RAS dll lebih banyak layanan yang berjalan pada sistem operasi, port lebih akan dibiarkan terbuka, sehingga meninggalkan pintu lebih terbuka bagi pengguna jahat untuk penyalahgunaan.Nonaktifkan semua layanan yang tidak perlu dan menonaktifkan mereka, jadi waktu berikutnya server reboot, mereka tidak dimulai secara otomatis. Mematikan layanan yang tidak perlu juga akan memberikan dorongan ekstra untuk pertunjukan server Anda, dengan membebaskan beberapa sumber daya perangkat keras.

2. Remote akses
Meskipun saat ini tidak praktis, bila mungkin, administrator server harus login ke server web lokal. Jika akses remote diperlukan, kita harus memastikan bahwa sambungan remote dijamin dengan benar, dengan menggunakan protokol tunneling dan enkripsi. Menggunakan token keamanan dan single sign lainnya pada peralatan dan perangkat lunak, adalah praktik keamanan yang sangat baik. Remote akses juga harus dibatasi pada jumlah tertentu IP dan account tertentu saja. Hal ini juga sangat penting untuk tidak menggunakan komputer publik atau jaringan publik untuk mengakses server perusahaan jarak jauh, seperti di kafe internet atau jaringan nirkabel publik.

3. Pisahkan pengembangan / pengujian / lingkungan produksi
Karena lebih mudah dan lebih cepat bagi pengembang untuk mengembangkan versi terbaru dari sebuah aplikasi web pada server produksi, sangat umum bahwa pembangunan dan pengujian aplikasi web dilakukan langsung pada server produksi itu sendiri. Ini adalah kejadian umum di internet untuk menemukan versi terbaru dari sebuah situs web tertentu, atau beberapa konten yang tidak harus tersedia untuk umum dalam direktori seperti /, uji / / baru / atau sub direktori yang sama. Karena aplikasi web seperti berada dalam tahap awal pembangunan mereka, mereka cenderung memiliki sejumlah kerentanan, kurangnya validasi input dan tidak menangani pengecualian tepat. Aplikasi ini dapat dengan mudah ditemukan dan dieksploitasi oleh pengguna jahat, dengan menggunakan alat yang tersedia gratis di internet.

Untuk mengurangi lebih banyak pengembangan dan pengujian aplikasi web, pengembang cenderung untuk mengembangkan aplikasi internal tertentu yang memberi mereka akses istimewa untuk aplikasi web, database dan sumber daya server web lainnya, yang pengguna anonim normal tidak akan. Aplikasi ini biasanya tidak memiliki jenis pembatasan, karena mereka adalah aplikasi tes hanya diakses yang harus diakses dari pengembang saja.Sayangnya, jika pengembangan dan pengujian dilakukan pada server produksi, aplikasi tersebut dengan mudah dapat ditemukan dari pengguna berbahaya, yang dapat membantunya kompromi dan mendapatkan akses pada server produksi.Idealnya, pengembangan dan pengujian aplikasi web harus selalu dilakukan pada server terisolasi dari internet, dan tidak pernah harus menggunakan atau menghubungkan ke data kehidupan nyata dan database.

4. Aplikasi Web konten dan server-side scripting
Aplikasi web atau file website dan script harus selalu berada pada partisi terpisah atau drive lain daripada sistem operasi, log dan file sistem lainnya. Melalui pengalaman kita telah belajar bahwa hacker yang memperoleh akses ke direktori web root, mampu mengeksploitasi kerentanan lain, dan mampu melangkah lebih jauh dan meningkat hak-hak mereka untuk mendapatkan akses ke data pada seluruh disk, termasuk operasi sistem dan file sistem lainnya.Dari sana seterusnya, pengguna yang jahat memiliki akses untuk melaksanakan setiap perintah sistem operasi, sehingga kendali penuh dari server web.

5. Perizinan dan hak
File dan layanan jaringan perizinan memainkan peran penting dalam keamanan web server. Jika mesin server web dikompromikan melalui software layanan jaringan, pengguna berbahaya dapat menggunakan account di mana layanan jaringan berjalan untuk melaksanakan tugas, seperti mengeksekusi file spesifik. Oleh karena itu sangat penting untuk selalu menetapkan hak paling diperlukan untuk layanan jaringan tertentu untuk menjalankan, seperti perangkat lunak server web. Hal ini juga sangat penting untuk menentukan hak minimum untuk pengguna anonim yang diperlukan untuk mengakses situs, file aplikasi web dan data juga backend dan database.


6. Menginstal patch keamanan semua pada waktu
Meskipun memiliki sepenuhnya perangkat lunak yang ditambal tidak selalu berarti server anda sepenuhnya aman, masih sangat penting untuk memperbarui sistem operasi dan perangkat lunak lain yang berjalan di atasnya dengan patch keamanan terbaru. Sampai hari ini, masih terjadi insiden hacking karena hacker mengambil keuntungan dan dimanfaatkan un-ditambal server dan perangkat lunak.

Security data

7. Memantau dan audit server
Semua log yang ada di web server, idealnya harus disimpan dalam area terpisah. Semua layanan jaringan log, log website akses, log server database (misalnya Microsoft SQL Server, MySQL, Oracle) dan log sistem operasi harus dipantau dan diperiksa sering. Salah satu harus selalu waspada terhadap entri log yang aneh. File log cenderung memberikan semua informasi tentang upaya serangan, dan bahkan dari serangan yang sukses, tetapi sebagian besar kali ini yang diabaikan. Jika salah satu aktivitas aneh dari pemberitahuan log, ini harus segera meningkat sehingga masalah dapat diselidiki untuk melihat apa yang terjadi.

8. Akun pengguna
Account pengguna yang tidak digunakan standar dibuat selama menginstal sistem operasi harus dinonaktifkan. Ada juga daftar panjang perangkat lunak yang ketika diinstal, akun pengguna dibuat pada sistem operasi. Rekening tersebut juga harus diperiksa dengan benar dan izin perlu diubah diperlukan. Yang dibangun pada account administrator harus diganti dan tidak akan digunakan, sama untuk user root pada instalasi linux / unix. Setiap administrator mengakses server web harus memiliki akun sendiri, dengan hak yang benar diperlukan. Ini juga merupakan praktik keamanan yang baik untuk tidak berbagi account setiap pengguna lain.

9. Hapus semua modul yang tidak terpakai dan ekstensi aplikasi
Sebuah instalasi default Apache memiliki sejumlah modul yang telah ditentukan diaktifkan, yang dalam skenario web server khas tidak digunakan, kecuali mereka secara khusus dibutuhkan. Matikan modul seperti untuk mencegah serangan ditargetkan terhadap modul tersebut.Hal yang sama berlaku untuk server web Microsoft; Internet Information Services. Secara default, IIS dikonfigurasi untuk melayani sejumlah besar jenis aplikasi, misalnya ASP, ASP.NET dan banyak lagi. Daftar ekstensi aplikasi hanya berisi daftar ekstensi website atau aplikasi web akan menggunakan. Setiap ekstensi aplikasi juga harus dibatasi untuk menggunakan verba HTTP tertentu saja, mana mungkin.

10. Gunakan alat keamanan yang disediakan dengan perangkat lunak web server
Microsoft merilis sejumlah alat untuk membantu administrator mengamankan instalasi IIS web server, seperti scan URL. Ada juga modul yang disebut mod_security untuk Apache. Meskipun mengkonfigurasi alat tersebut merupakan proses yang membosankan dan dapat memakan waktu, terutama dengan aplikasi web kustom, mereka menambahkan sedikit tambahan keamanan dan bagian dari pikiran.

11. Tetap terinformasi
Saat ini, informasi dan tips tentang perangkat lunak dan sistem operasi yang digunakan dapat ditemukan secara bebas di internet. Hal ini sangat penting untuk tetap informasi dan belajar tentang serangan baru dan alat, dengan membaca majalah terkait keamanan dan berlangganan newsletter, forum atau jenis masyarakat lainnya.

12. Gunakan Scanner
Scanner adalah alat praktis yang membantu Anda mengotomatisasi dan mempermudah proses mengamankan web server dan aplikasi web. Acunetix Web Vulnerability Scanner juga dikirim dengan port scanner , yang bila diaktifkan akan port scan web server hosting aplikasi web yang dipindai. Mirip dengan pemindai keamanan jaringan, Acunetix WVS akan meluncurkan sejumlah pemeriksaan keamanan yang canggih terhadap port terbuka dan layanan jaringan berjalan pada server web Anda


Sumber :

Tidak ada komentar:

Posting Komentar