Upload
ramasatriaf
View
201
Download
0
Embed Size (px)
Citation preview
IFTITAH SITA DEVI ANDANI | 2103 131 043 & M. RAMASATRIA F. | 2103 131 058 1
LAPORAN RESMI KEAMANAN DATA
“HTTP DAN HTTPS”
Oleh : Iftitah Sita Devi Andani | 2103 131 043 & M. Ramasatria F. | 2103 131 058
HTTP
1. Install apache2 apt-get install apache2
2. Lakukan koneksi melalui browse windows ke server dengan alamat
http://192.168.100.5
3. Lihat WireShark untuk melihat proses yang terjadi dalam akses HTTP.
a. Alur Proses TCP dalam Proses HTTP terdapat PSH dan ACK. PSH bersifat
interaktif dan flag ini adalah pada segmen terakhir dari berkas yang ditransfer dengan
menggunakan protokol FTP. Segmen yang dikirimkan dengan flag PSH aktif tidak
harus segera di-acknowledge oleh penerima. Disini hanya terjadi 2 proses.
IFTITAH SITA DEVI ANDANI | 2103 131 043 & M. RAMASATRIA F. | 2103 131 058 2
b. Proses Client mengakses Http Server.
a. Proses Server mengirimkan Http kepada Client.
HTTPS
1. Setelah install apache2 maka langkah selanjutnya adalah mengaktifkan mode ssl kita.
a2enmod ssl 2. Selanjutnya kita restart apache.
service apache2 restart
3. Kita membutuhkan sebuah folder untuk menyimpan server key dan sertifikat. Simpan
ini didalam folder apache kita.
mkdir /etc/apache2/ssl 4. Pada bagian ini kita akan membuat Sertifikat SSL
IFTITAH SITA DEVI ANDANI | 2103 131 043 & M. RAMASATRIA F. | 2103 131 058 3
openssl req -x509 -nodes -days 730 -newkey rsa:2048 -keyout
/etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt
Saat kita meminta sertifikat baru, kita bisa meminta berapa lama sertifikat itu berlaku.
Dalam contoh ini saya membuatnya mempunyai masa berlaku selama 2 tahun, dan
menyimpan keduanya di direktori yang tadi kita buat. Di /etc/apache2/ssl/
Output dari perintah diatas adalah seperti ini :
5. Karena kita mengaktifkan 2 metode, HTTP dan HTTPS. Jadi kita lupakan HTTP,
karena ini sudah pasti akan berfungsi seperti seharusnya. Komponen apache yang
menunjukkan dimana letak website kita disimpan ada pada file default.Ini berada di
/etc/apache2/sites-available/default. Itu adalah salah satu komponen apache yang
menunjukkan letak alamat website kita. Secara default file ini merujuk ke /var/www/.
Didalam /etc/apache2/sites-available/ terdapat 2 buah file, yang satu adalah
file default tadi, dan yang kedua adalah default-ssl. Kita akan fokus pada file default-
ssl.
Buka File default-ssl
nano /etc/apache2/sites-available/default-ssl
tambahkan baris ini dalam default-ssl
SSLEngine On
SSLCertificateFile /etc/apache2/ssl/apache.crt
SSLCertificateKeyFile /etc/apache2/ssl/apache.key
Selanjutnya cari baris ini dan berikan tanda comment (#):
#SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem
# SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
Save lalu exit.
6. Aktifkan website default-ssl.
a2ensite default-ssl
7. Baiklah semuanya telah selesai, sekarang restart apache kita.
service apache2 restart Dengan konfigurasi tadi kita mempunyai 2 metode didalam website kita, dimana untuk website
dengan metode HTTPS, para babi hacker tidak akan bisa mendapatkan password account siapa
saja didalam website kita.
Karena sertifikat yang kita miliki ini adalah buatan sendiri maka ketika mengakses
https://192.168.100.5 maka yang muncul adalah Security Warning seolah-olah kita mengakses
website yang tidak aman. Untuk melanjutkan ke website kita pilih saja pilihan add exception
pada browser anda.
Ada perbedaan diantara sertifikat yang gratis, dan yang berbayar sekaligus verified. Perbedaan
ini sangat jelas ketika kita pertama kali membuka url tersebut di browser kita.
Untuk yang gratis buatan kita sendiri, akan tampil seperti ini :
IFTITAH SITA DEVI ANDANI | 2103 131 043 & M. RAMASATRIA F. | 2103 131 058 4
IFTITAH SITA DEVI ANDANI | 2103 131 043 & M. RAMASATRIA F. | 2103 131 058 5
Disini Algoritma yang digunakan adalah sha1RSA dan algoritma hash nya adalah sha1
dengan public key yang diberikan pada client adalah RSA(2048 Bits).
SHA adalah hast satu arah yang dibuat NIST dan digunakan bersama DSS (Digital Signature
Standart). SHA1 sejenis fungsi hash 160 bit pengganti MD5 yang hashnya 128 bit. SHA1
adalah algoritma yang dipakai untuk enkripsi data biasanya digunakan untuk mengacak
password menjadi barisan kode-kode acak yang tidak dapat dibaca. Sha1 menghasilkan 40bit
karakter enkripsi, sehinggah sha1 memberikan pengacakan lebih banyak dan peluang untuk
mengdeskripsi lebih besar.
8. Lihat WireShark untuk melihat proses yang terjadi dalam akses HTTPS.
a. Proses SYN,ACK,PSH berbeda dari menggunakan Http biasa dikarenakan adalah
proses siknkronisasi dengan SSL milik server.
IFTITAH SITA DEVI ANDANI | 2103 131 043 & M. RAMASATRIA F. | 2103 131 058 6
b. Proses akses Https membutuhkan protocol TLS untuk sertifikat akses http. Yang
berwarna merah dalam wireshark dikarenakan warning pada security dalam SSL
Server.
Kesimpulan :
Perbedaan HTTP dan HTTPS
1. HTTP adalah dasar komunikasi data untuk World Wide Web (WWW). Setiap kali kita
membuka website / halaman web kita akan menggunakan protokol ini.Sisi client meminta sisi
server untuk membuka komunikasi pada port 80, port terbuka sisi server 80 dan di sisi client
port acak terbuka.
Kesimpulan HTTP ::
Data paket yang dikirim menggunakan HTTP tidak terenkripsi, siapapun dapat melihat data
dalam teks biasa seperti BadGuy lakukan. Itulah mengapa tidak menggunakan HTTP untuk
perbankan atau transaksi di internet, dan juga itu tidak dianjurkan jika Anda membuka website
halaman login yang menggunakan HTTP pada jaringan publik seperti area hotspot nirkabel.
2. HTTPS adalah kombinasi dari Hyper Text Transfer Protocol dan Secure Socket Layer
protokol (SSL) / Transport Layer Security (TLS) untuk menyediakan komunikasi terenkripsi
antara web server dan klien. Protokol ini menggunakan port 443 untuk komunikasi.
Kesimpulan HTTPS :
Data paket dikirim menggunakan HTTPS dienkripsi, orang tidak dapat melihat data paket
dalam jaringan publik. Itu sebabnya HTTPS biasanya digunakan untuk perbankan atau
transaksi di internet, dan halaman juga login atau halaman lain perlu untuk mengenkripsi data.
Perbedaan Kriptografi dan Steganografi:
- Hasil tampilan pesan:
1. Kriptografi : Pesan yang sudah disisipi pesan rahasia akan sangat berbeda dengan pesan
sebelum disisipi pesan rahasia. Maka bagi pihak ketiga yang melihat pesan hasil keluaran
IFTITAH SITA DEVI ANDANI | 2103 131 043 & M. RAMASATRIA F. | 2103 131 058 7
kriptografi akan curiga walaupun pihak ketiga tersebut juga tidak mengetahui maksud dari
pesan tersebut.
2. Steganografi : pesan yang sudah disisipi pesan rahasia akan tampak sama (dengan kasat
mata) dengan pesan sebelum disisipi pesan rahasia (pesan rahasia tersamarkan dalam cover
text). Sehingga pihak ketiga tidak tahu bahwa dibalik pesan asli (cover text) tersembunyi pesan
rahasia dibaliknya.
- Keuntungan : steganografi dibandingkan dengan kriptografi adalah bahwa pesan
dikirim tidak menarik perhatian sehingga media penampung/cover text yang membawa pesan
tidak menimbulkan kecurigaan pihak ketiga.