ANALISIS
DAN PERANCANGAN KEAMANAN WEB SERVER DENGAN METODE WEB APPLICATION FIREWALL
MENGGUNAKAN MODEVASIVE TERHADAP SERANGAN BRUTE FORCE
ABSTRAK
Seiring berkembangnya zaman maka
teknologi informasi juga ikut terkena dampaknya dengan berkembang dengan pesat.
Di era modern seperti saat ini kebutuhan informasi sangat tinggi sehingga
penerapan teknologi informasi terkhusus website merupakan hal yang wajib
dilaksanakan bagi perusahaanperusahaan baik itu perorangan maupun kelompok
serta tak luput juga instansi pemerintah, pendidikan, dan lain sebagainya.
Dengan pesatnya perkembangan ini maka semakin rentan juga keamanannya website
dan web server terhadap berbagai serangan eksternal salah satunya yang cukup
populer adalah Brute Force yang dilancarkan dari pihakpihak yang tidak
bertanggung jawab dengan tujuan mencuri informasi dan sandi dari akun pengguna
untuk mencoba melakukan log in. Penelitian ini mempunyai misi untuk menganalisa
sistem keamanan dari sebuah web server terhadap serangan Brute Force yang
nantinya akan menggunakan metode WAF yaitu Web Application Firewall dengan
sebuah aplikasi bernama ModEvasive. Hasil dari penelitian ini akan menyimpulkan
bagaimana cara yang tepat untuk memberikan perlindungan terhadap web server
sekaligus solusi tindak pencegahan terhadap serangan Brute Force agar data
klien yang tersimpan di database aman
Seiring berkembangnya teknologi dalam bidang
informasi dan komunikasi yang begitu pesat dari zaman ke zaman, semakin tinggi
pula permintaan servis internet diberbagai tempat baik itu menggunakan kabel
atau nirkabel (Wireless) yang meliputi instansi pemerintahan,
perusahaan-perusahaan, tempat hiburan dan termasuk juga sekolah serta kampus
yang dinilai dapat membantu proses kelangsungan hidup manusia agar lebih
efektif dan instan (Widodo, 2015). Saat ini jaringan komputer sangat dibutuhkan
dimana-mana terlihat dari banyak nya penyedia servis internet (Internet Service
Provider) bermunculan dan saling menawarkan jasa mereka bagi instansi atau
individu yang membutuhkan, karena di era globalisasi dan digitalisasi ini sudah
menjadi syarat bahwa untuk kelangsungan bisnis, pendidikan, serta pemerintahan
harus menerapkan jaringan komputer di kantor atau gedung tempat proses itu
berlangsung baik antar wilayah, kota atau negara sekalipun (Lestariningati
& Rozak, 2012). Saat ini Internet menjadi salah satu pondasi untuk
mendapatkan informasi, Situs atau Web merupakan salah satunya yang kini tengah
berkembang sangat pesat dan merambat dari bidang bisnis, pendidikan, hiburan
maupun pemerintahan pun memiliki situs pribadi untuk tujuan masingmasing baik
untuk meraup keuntungan atau berbagi informasi, oleh karena itu bermunculan
pula peretas atau hacker untuk meretas keamanan Web tersebut dengan motif
tertentu apakah itu hobi semata atau mencari keuntungan pribadi atau kelompok
yang saat ini populer dengan sebutan Cyber Crime.
Web server sendiri merupakan wadah untuk menopang
sebuah website yang berisikan informasi, konten, maupun akun surel atau email
pengguna, sekaligus sebagai penghubung antara server dan client dalam
pengiriman dan perolehan informasi dan data serta mempercepat dan
mengorganisasikan nya secara terpusat (Aziz & Tampati, 2015). Web
Application Firewall atau WAF adalah sebuah aplikasi yang bertujuan untuk
mengamankan dan mencegah sebuah web dari upaya penyerangan dari peretas untuk
mendapatkan data dan informasi dan eksploitasi dalam jumlah yang besar yang
dapat mempengaruhi kestabilan sebuah web hingga memnyebabkan web tidak dapat
diakses atau sering disebut down (Syaefuddin, 2018). Brute Force atau dalam
Bahasa Indonesia yaitu Serang Brutal merupakan sebuah serangan terhadap sistem
kemaman pada sebuah perangkat komputer, web server, database dan lain
sebagainya yang memiliki kunci dengan percobaan kumpulan sandi atau password,
kode, dan kombinasi. Kata sandi yang dibongkar dengan menggunakan program yang
dinamakan password cracker, adalah sebuah program yang mencoba membobol sebuah
kata sandi yang telah terenkripsi dengan algoritma tertentu dari berbagai
kemungkinan percobaan, walaupun sangat sederhana dan terbilang memakan waktu
yang cukup lama tergantung seberapa rumit kata sandi itu sendiri namun belum
ada sistem di masa kini yang aman terhadap serangan sederhana seperti ini
(Pramaditya, 2016).
Penelitian ini akan terlaksana
berdasarkan hasil dari peneliti-peneliti sebelumnya, yaitu oleh
(Syaefuddin, 2018) dengan judul “Implementasi Web
Application Firewall pada Web Mytra Dashboard dengan Menggunakan Modul
ModSecurity” yang dimana dalam penelitian tersebut penulis melakukan pengujian
serangan SQL Injection dan XSS Attack terhadap web server Nginx yang telah
dilindungi oleh WAF ModSecurity menggunakan rule Comodo Security. Hasil yang
didapatkan dari kedua serangan tersebut berbuah manis sesuai yang diharapkan
ditandai dengan terdeteksinya serangan di log dan serangan berhasil dialihkan
dengan tampilan pada web menjadi 403 Forbidden. Penelitian berikutnya dilakukan
oleh (Suartana, Wahanani,
& Sandy, 2015) dengan judul
“Sistem Pengamanan Web Server Dengan Web Application
Firewall (WAF)” yang dilakukan pengujian serangan
Cross Site Scripting atau XSS dan SQL Injection terhadap web server dengan
perlindungan dari web application firewall yaitu ModSecurity dengan pelaporan
serangan menggunakan Jwall Auditconsole yang dimana ModSecurity akan bekerja
memerika dan melakukan filter request yang akan dating meliputi user, user
angent, ip address dan input yang akan diinput ke web server serta jenis file
yang diminta, apakah berbahaya atau tidak sebelum mendapat akses ke website. Selanjutnya
penelitian yang telah dilakukan oleh (Jamain, Periyadi, & Ismail, 2015)
dengan judul penelitian
“Implementasi Keaman Aplikasi Web Dengan Web
Application Firewall” yang dimana penulis akan menguji web
Application firewall yaitu Naxsi dalam melindungi web
server yang telah diimplementasikan pada Linux Mint terhadap serangan Comman
Execution, XSS dan SQL Injection. Penulis melakukan pengujian dengan dan tanpa
WAF yang dimana ketika WAF belum diaktifkan penyerang dapat mencuri data,
sedangkan ketika WAF telah diaktifkan maka Naxsi akan melakukan filtering
terhadap HTTP Request yang akan menuju server, jika mengandung tindakan
penyerangan akan segera dihentikan. Berikut adalah penelitian yang dilaksanakan
oleh (Widianto & Azzam, 2018) yang berjudul “Analisis Upaya Peretasan Web
Application Firewall dan Notifikasi Serangan Menggunakan Bot Telegram pada
Layanan Web Server” yang dimana penulis akan melakukan pengujian terhadap web
server dari berbagai serangan yaitu Remote Command Execution, Remote File
Inclusion, Local File Inclusion, XSS, dan SQL Injection dan Bot Telegram
berperan sebagai pemberitahu jika terjadi serangan yang telah terdeteksi oleh
bantuan WAF ModSecurity pada syslog agar SysAdmin dapat mudah mengetahui apakah
server sedang diserang secara jamak atau secara individual atau perorangan.
Penelitian selanjutnya dilakukan oleh (Pramaditya, 2016) yang berjudul “Brite
Force Password Cracking Dengan Menggunakan Graphic Processing Power” yang
dimana penulis mencoba membobol kata sandi secara manual dengan cara menebak
semua abjad huruf atau angka serta simbol yang kemungkinan dapat diprediksi
kata sandinya. Pada penelitian ini penulis menggunakan software WinZip dan
WinRAR yang dapat menebak kata sandi sebanyak-banyaknya tanpa batas, dan membebankan
terhadap spesifikasi komputer yang penulis gunakan yaitu CPU (Intel Core
i5-2500k) dengan kecepatan sekitar 28 juta kata sandi per detik, sedangkan pada
pengujian dengan GPU (Geforce GTX 460) yang memakai software Accent Password
Recovery dan ketika diuji dapat dinilai bahwa ada lonjakan performa yang sangat
signifikan sebesar 500 juta kata sandi per detik.
0 Komentar