Oleh :
SELAMET WAHYUDI
NIM: 1109100334
1
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
KATA PENGANTAR
Puji syukur penulis panjatkan kehadirat Tuhan Yang Maha Esa, karena atas rahmat
dan hidayah-Nya maka laporan tugas akhir ini dapat diselesaikan. Tugas akhir yang
Deployment”, ini adalah untuk memenuhi salah satu tugas mata kuliah Keamanan
Dalam kesempatan yang baik ini penulis ingin mengucapkan terimakasih atas
bimbingan dan dukungan moril sehingga terselesaikanya tugas akhir ini terutama
kepada:
1. Dr. Ir. Budi Rahardjo, selaku dosen dan pembimbing mata kuliah
4. Istri dan anakku tercinta yang selalu berdoa dan setia di rumah,
Penulis menyadari tugas akhir ini masih banyak kekurangannya, tetapi penulis
sangat mengharapkan agar tugas akhir ini dapat memberikan manfaat bagi pihak-
Penulis
2
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
Oleh :
SELAMET WAHYUDI
NIM: 110910034
selametwahyudi@gmail.com
Abstrak
3
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
mengembangkan .NET Framework dan Web Service. Penulisan ini dengan singkat
menguraikan sistem keamanan, untuk mendiskusikan isu keamanan sebagai
pertimbangan untuk mengambil kebijakan dalam perusahaan, dan menyediakan
petunjuk untuk menggolongkan komponen-komponen keamanan sebagai
pengetahuan dari isu yang harus digunakan, sehingga dapat memastikan dan
menunjukkan bahwa kebijakan perusahaan tersebut benar-benar aman.
Persyaratan yang harus dimiliki adalah terbiasa dengan bahasa Runtime dan
Microsoft® .NET Framework, yang mencakup pengetahuan dasar dari Common
Language Runtime (CLR).
BAB I
PENDAHULUAN
Keamanan, merupakan satu kebutuhan pokok hampir di semua bidang terlebih lagi
di bidang IT sampai saat ini. Tidak heran banyak instansi dan perusahaan berani
membayar harga mahal hanya untuk keamanan. Hal ini dikarenakan kekhawatiran
pada kejahatan, penyusupan dan penyadapan informasi, tentu saja melalui berkas
keamanan lain (security hole) yang tadinya telah teratasi dengan mekanisme
keamanan secara fisik dan lokal. Jaringan internet, merupakan sebuah jaringan
adalah tidak ada jaminan keamanan bagi jaringan yang terkait ke Internet. Artinya
jika operator jaringan tidak hati-hati dalam men- set up sistem dan menerapkan
policy-nya, maka kemungkinan besar jaringan yang terkait ke Internet akan dengan
sendiri. Semakin tinggi tingkat keamanan, semakin sulit (tidak nyaman) untuk
terlebih dahulu tingkat ancaman yang harus diatasi dan resiko yang harus diambil
maupun resiko yang harus dihindari, sehingga dapat dicapai keseimbangan yang
4
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
Sebagai komponen kunci dari .NET Framework adalah common language runtime
dan .NET Framework class library termasuk didalamnya ADO.NET, ASP.NET dan
windows .NET Framework juga digunakan untuk mengatur .NET ( managed) dan
mengandung banyak sekali informasi dan untuk memahami seluruh informasi yang
mengambil kebijakan perusahaan, yang telah dipublikasikan sampai saat ini antara
lain [5]:
3. TEAF, dikeluarkan oleh Chief Information Officer (CIO) Council, yaitu sebuah
di Amerika Serikat.
Hampir dua dekade yang lalu John Zachman, telah meningkatkan suatu bagan
kompleks dimasa sekarang dan untuk mengatur berbagai perspektif dari suatu
sebagai berikut.
5
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
[5]
Gambar 1.1 Arsitektur Framework Perusahaan
1.2 Tujuan
Tujuan dari penulisan laporan ini adalah untuk memperoleh hasil kajian
Dalam penulisan laporan ini pembahasan dibatasi pada .Net Framework sebagai
meningkatkan keamanan.
Laporan ini terdiri dari 4 bab yang di dalamnya mencakup hal-hal sebagai berikut:
1. BAB I : Pendahuluan
Pada bab ini membahas tentang latar belakang masalah yang akan dibahas, tujuan
2. BAB II :
Pada bab ini membahas tentang penggunaan .NET Framework sebagai managed
(CLR)
3. BAB III
6
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
Pada bab ini membahas tentang bagaimana mengambil kebijakan keamanan untuk
operasi database.
Bagian ini berisi analisis, kesimpulan dan saran dari penulisan yang berasal dari
pembahasan sebelumnya.
5. Daftar Pustaka
BAB II
TINJAUAN PUSTAKA
2.1 Umum
perangkat lunak, aplikasi web-based, aplikasi client-server, dan XML web service-
HTTP, serta developer Studio Microsoft Visual .NET 2003 menyediakan developer
Fremework. Satu set server mencakup Microsoft Windows Server 2003, Microsoft
SQL serverTM, dan Microsoft Biztalk Server yang terintegrasi untuk menjalankan
dan mengoperasikan web pada aplikasi web-based. Perangkat lunak pada sisi
Definisi resmi dari microsoft tentang .NET adalah merupakan platform microsoft
untuk XML Web Service. Dimana XML Web Service adalah teknologi standar
dunia bisnis juga semakin baik dibuktikan dengan banyaknya proyek berbasis .NET
yang bermunculan.
membangun dan menjalankan aplikasi perangkat lunak dan web. .NET Framework
7
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
perangkat lunak dalam bisnis. Sehingga akan memudahkan untuk membangun dan
performing aplikasi[2].
bahasa, penyelenggaraan
C
V C +
So
Ma CoB Co# Co
+ Unma
urc
nag Ass
mpi
Ass
mpi
Ass
mpi
emb emb nage
e
ed
emb
ler ler ler
ly ly ly d
cod
cod IL
IL IL comp
ee cod cod cod
onent
e e e
JIT
Common
compi
language
Nativ
ler
runtime
e
code
Operating
system
services
8
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
mengakses dalam wujud XML melalui OLE DB, ODBC, Oracle, dan interface Sql
based dan Web jasa. Format class Windows mendukung pengembangan dari client
paling sesuai dengan tugas yang telah ditentukan dan mengkombinasikan bahasa
50% solusi yang baru. Tiap-Tiap aspek kehidupan dari pengembangan software .
pencapaian dan skalabilitas yang bermanfaat bagi teknologi Pages Server yang
bawah ini telah dicapai oleh Windows 2000 Server tingkat lanjut dan Windows
Server 2003 versi 1.0 dan 1.1 untuk menjalankan .NET Framework. Keduanya
disusun menggunakan SQL Server 2000 database seperti grafik berikut [3].
9
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
[1]
Gambar 2.3 Grafik Pencapain Troughput pada Web Service
Eksekusi aplikasi .NET diatur oleh Common Language Runtime (CLR) yang
merupakan bagian dari .NET Fremework. Oleh karena itu .NET disebut juga aplikasi
Intermeddiate Language (MSLI). CLR juga melihat dan menentukan privalege code
tersebut, tentang apa yang boleh dan tidak boleh dilakukan oleh code tersebut
terhadap resource (misalkan: apakah code tertentu boleh menulis file di harddisk
atau tidak, apakah kode tertentu boleh mengakses registry atau tidak). Diluar
.NET, seorang developer harus menulis sendiri program untuk melakukan hal-hal
tersebut.
CLR kemudian mengkompilasi MSIL code menjadi native code pada saat runtime,
ini dilakukan oleh bagian CLR yang disebut Just In Time compiler (JIT Compiler).
JIT compiler tidak hanya sekedar mengkompilasi, tetapi juga mengoptimasi code
terhadap OS dan processor. Sesudah itu, native code ini di-cache, sehingga jika
bagian program tersebut dijalankan kembali, tidak perlu dilakukan kompilasi MSIL
language dan kemudian menjadi native code sudah dimanfaatkan oleh platform
lain yang muncul sebelum .NET. Bedanya, JIT compiler CLR hanya mengkompilasi
bagian program yang dijalankan saja, tidak keseluruhan program seperti yang
10
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
sebagian saja dari seluruh fiture sebuah program, sangat membuang resource jika
Bagaimana sebuah program berjalan dan memakai memori juga di-manage oleh
CLR. CLR mempunyai apa yang disebut Garbage Collector (GC) yang bertanggung
jawab mencari dan membuang obyek yang sudah tidak dipakai lagi. Kebocoran
memori adalah hal yang sering terjadi dalam eksekusi suatu program. Salah satu
code yang baik dalam membuang objek yang sudah tidak terpakai lagi, atau yang
disebut destructor. Di dalam .NET, seorang developer tidak lagi dipusingkan oleh
isu kebocoran memori tersebut. GC bekerja dibelakang layar untuk secara berkala
Selain hal-hal yang dijelaskan di atas, ada berbagai hal lain yang dilakukan oleh
CLR yang pada intinya akan memudahkan pekerjaan seorang developer. Jadi,
dengan menggunakan .NET, seorang developer dapat lebih fokus pada isu-isu
win32API yang umum, dikumpulkan dalam class-class yang terdapat pada Base
Di dalam BCL terdapat class-class yang berlimpah jumlahnya untuk digunakan oleh
(ASP.NET), mengakses data dari DBMS maupun XML file (ADO.NET), aplikasi
Dengan .NET, Developer tidak lagi harus bekerja dengan model pemrograman yang
ataupun model ASP untuk aplikasi web). Penggunakan class-class dalam BCL,
11
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
Seperti dijelaskan di atas, begitu banyak hal yang disediakan oleh .NET Framework
(CLR & BCL) yang dapat memudahkan pekerjaan seorang developer . Dengan
menulis program yang sifatnya infrastruktur (bukan bisnis) sangat banyak yang
dipangkas. Dengan kata lain, membangun sebuah aplikasi akan menjadi lebih
cepat.
Hal ini sudah dikonfirmasi oleh banyak testimoni tentang bagaimana membangun
aplikasi dengan .NET hanya membutuhkan waktu yang jauh lebih sedikit dibanding
dengan platform lain. Dengan kata lain, cycle untuk membangun aplikasi menjadi
lebih pendek, akibatnya, dalam waktu yang sama, akan lebih banyak proyek yang
yang konsisten baik itu kode obyek yang disimpan dan dieksekusi secara lokal,
atau dieksekusi secara lokal namun didistribusi melalui Internet, maupun yang
kode dengan aman, dan mengurangi masalah performa yang selama ini terjadi
3. Untuk membuat para developer memiliki cara kerja yang konsisten pada
Aplikasi client merupakan aplikasi yang paling dekat dengan gaya tradisional
window, menu tombol dan elemen-elemen GUI lainya, selain itu juga
memungkinkan untuk mengakses sumber daya lokal seperti sistem file dan
periperal.
12
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
Kelas-kelas windows forms yang terdapat di dalam .NET Frame work didisain
untuk mengembangkan GUI. Kita dapat dengan mudah membuat window, tombol,
suatu arsitektur yang lengkap untuk mengembangkan situs web dan obyek-obyek
XML Web Service, suatu revolusi yang berharga dalam teknologi berbasis web.
Merupakan komponen aplikasi secara server side dan terdistribusi seperti web
umumnya. Bagaimanapun, tidak seperti aplikasi berbasis web, komponen XML Web
untuk didisain dan dikonsumsi oleh aplikasi client tradisional, aplikasi berbasis
guna membantu pengembangan dan pemakaian aplikasi XML Web Service. XML
pemanggil prosedur secara remote) XML (suatu format data yang ekstensible) dan
non-Microsoft.
BAB III
PENGEMBANGAN PERUSAHAAN
Perusahaan
13
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
Meskipun sering terlihat sebagai besaran yang tidak dapat langsung diukur dengan
dengan besaran yang dapat diukur dengan uang (tangible). Dengan adanya ukuran
Ada beberapa statistik yang berhubungan dengan keamanan sistem informasi yang
authentication dan availability. Selain keempat hal di atas, masih ada dua aspek
lain yang sering dibahas dalam kaitanya dengan electronic commerce, yaitu
Dalam banyak kasus ada dua langkah dasar yang harus diikuti dalam mengambil
bagi Microsoft Installer menjadi paket file Windows, yaitu menggunakan kode
kebijakan sebagai alat pengamanan akses yang dapat ditulis sebagai catatan
14
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
alat bantu untuk membuat kebijakan keamanan menjadi berubah. Alat bantu ini
akan menyatukan Microsoft Windows menjadi file (.msi) ke luar dari suatu tingkat
kebijakan keamanan.
Pengaturan kebijakan keamanan melalui tiga alat ukur kebijakan. Alat tersebut
mengukur ke dalam suatu .msi, menyimpan dan menyebarkan. Dalam banyak kasus
memastikan setiap kinerja para karyawan dalam bekerja sesuai dengan apa yang
Setiap database memiliki satu atau lebih administrator yang bertanggung jawab
Security policy dari suatu database terdiri dari beberapa sub-policy sebagai
berikut.
2. User authentication
User dari database merupakan jalur akses menuju informasi dalam database. Maka
dari itu, manajemen user dari database harus memiliki kemanan yang ketat.
Tergantung dari besarnya sistem database dan jumlah pekerjaan mengatur user
memiliki privilege untuk melakukan perintah create, alter, atau drop user dari
database. Namun ada juga administrator lain yang memiliki privilege untuk
mengatur user dari database. Bagaimanapun juga, hanya individual yang bisa
dipercaya yang memiliki powerful privilege untuk mengatur user dari database.
15
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
database, sistem operasi, network service, atau dengan Secure Socket Layer
(SSL). Tergantung bagaimana identitas user akan diautentikasi, ada beberapa cara
1. Autentikasi database
2. Autentikasi eksternal
3. Autentikasi global
Pada autentikasi database, maka administrasi dari user account, password , dan
autentikasi user akan dilakukan sepenuhnya oleh MySQL. Untuk melakukan ini,
maka dibuat suatu password untuk setiap user pada saat melakukan perintah
create user atau alter user. User dapat mengganti password-nya kapan saja.
Password akan disimpan dalam format yang terenkripsi. Setiap password harus
sedikit.
Pada autentikasi eksternal, account user diatur oleh database MySQL, tapi
administrasi password dan autentikasi user dilakukan oleh service eksternal, yaitu
sistem operasi atau network service seperti Net8. Dengan demikian, database
16
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
Secara umum, autentikasi user via sistem operasi memiliki keuntungan user dapat
melakukan koneksi ke MySQL lebih cepat tanpa melakukan login username dan
2. Banyak service dari autentikasi jaringan, seperti Kerberos dan DCE yang
sedikit password.
dari informasi yang berkaitan dengan user termasuk otorisasi, dalam sebuah LDAP-
based directory service. User dapat diidentifikasi dalam database sebagai global
user, yang berarti user tersebut diautentikasi menggunakan SSL dan manajemen
tersentralisasi. Global role didefinisikan dalam database dan hanya dikenal dalam
database itu sendiri, tapi autorisasi role tersebut dilakukan oleh directory service.
sebagai berikut.
authentication.
17
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
2. User umum dari database tidak memiliki privilege sistem operasi untuk
Data security meliputi suatu mekanisme yang mengontrol akses dan penggunaan
database pada level obyek. Data security policy akan menentukan user mana yang
memiliki akses ke obyek schema tertentu. Misalnya, user scott dapat melakukan
perintah select dan insert, tapi tidak dapat melakukan perintah delete terhadap
tabel emp.
jauh level keamanan yang akan dibangun untuk data dalam database. Misalnya,
dapat saja diterapkan level data security yang rendah bila diinginkan agar setiap
user melakukan perintah create obyek schema atau privilege grant akses
obyeknya ke user lain dalam sistem tersebut. Di sisi lain, dapat saja level data
privilege untuk melakukan perintah create obyek dan privilege grant akses setiap
Secara umum, level data security juga bergantung pada tingkat sensitifitas suatu
data dalam database. Untuk data yang tidak terlalu sensitif, policy dari data
security dapat lebih longgar. Namun untuk data yang sensitif, secutiry policy harus
Policy untuk keamanan user dapat dibagi dalam pembahasan aspek-aspek berikut:
2. End-user security
3. Administrator security
18
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
privilege management. Jika autentikasi terhadap user dilakukan dan diatur oleh
policy untuk mengatur keamanan akses database. Misalnya, user diharuskan untuk
mudah ditebak oleh orang lain. Dengan usaha ini, maka pengaksesan database
server/server.
manajemen privilege untuk semua tipe user. Untuk database yang memiliki banyak
role.
Jika database cakupannya sangat besar dengan banyak user, maka security
setiap kelompok user, mekalukan grant privilege terhadap kategori role, dan
19
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
administrator. Pada cakupan database yang besar dan terdapat beberapa macam
Atau, bila cakupan database-nya tidak terlalu besar dimana hanya ada sedikit
administrator, akan lebih bijaksana bila dibuat satu role administratif, kemudian
tersebut. Koneksi user SYS dan SYSTEM akan memberikan powerful privilege
melakukan grant privilege untuk membuat obyek yang penting bagi pembangun
aplikasi. Atau bisa juga privilege untuk membuat obyek diberikan kepada database
aplikasi
Dalam suatu sistem database besar yang memiliki banyak aplikasi database,
1. Membuat role untuk aplikasi dan mengatur privilege untuk setiap role aplikasi.
MySQL.
20
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
1. Account locking
Jika ada user yang melakukan kesalahan login beberapa kali melebihi dengan yang
sudah ditentukan, maka server secara otomatis akan melakukan locking terhadap
langsung. Locking dengan cara ini, tidak dapat dilakukan unlocking secara
otomatis.
Administrator juga akan menentukan grace periode, yaitu tenggang waktu yang
diganti hingga grace periode berakhir, maka account-nya akan hangus dan user
perintah create profile untuk menentukan interval waktu dimana password yang
sudah expired tidak dapat digunakan lagi secara langsung. Berikut ini adalah
21
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
3. Password sedikitnya memiliki satu alfa, satu numerik, dan satu tanda
baca.
5. Password yang baru harus berbeda sedikitnya tiga huruf dengan password
yang lama.
Dari security policy di atas maka untuk dapat memilih nama file dan menempatkan
menginstal paket file microsoft (.msi) lengkap dengan konfigurasi tools .NET
disatukan, dan dapat dilibatkan melalui banyak cara. Dalam kehidupan sehari-hari
Semua kebijakan keamanan adalah versioned, ada user, mesin, dan kebijakan
Framework perusahaan. Karena .msi file yang diciptakan oleh alat administrasi
harus menulis terlalu banyak file kebijakan pada versi tertentu, maka kebijakan
yang harus disebarkan oleh perusahaan adalah semua versi .msi file tanpa
mempedulikan instalasi .NET Framework pada perusahaan. Ini akan menjadi perlu
BAB IV
4.1 Analisis
Microsoft telah mempromosikan .NET dan web service akan tetapi belum banyak
yang menggunakan web service tersebut di aplikasi yang sedang dibangun. Untuk
mereka yang sudah menggunakan platform Microsoft tetapi belum beralih ke .NET,
ada satu alasan lagi untuk segera beralih ke .NET, yaitu: arah kedepan dari
22
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
Studio tools for Office, Developer dapat membuat aplikasi .NET yang menggunakan
Word ataupun Excel sebagai User Interface. Tentu saja dengan model
Salah satu hype di dunia IT adalah akan diluncurkannya versi terbaru dari Windows
Di dalam Longhorn, segala hal adalah “managed”. Jika pada Windows XP tidak
seluruh API dijadikan satu dalam class .NET, di Longhorn seluruh akses API
dijadikan satu dalam class .NET. Sehingga, pembuatan aplikasi untuk Longhorn
baru yang akan ditambahkan, seperti misalnya MSAvalon untuk User Interface
4.2 Kesimpulan
yang akan menangani hal-hal yang bersifat infrastruktur ini dengan sangat baik.
penulisan program untuk masalah bisnis yang hendak dipecahkan. Selain itu,
model pemrograman .NET adalah konsisten untuk semua jenis aplikasi. Akibatnya,
cycle time yang diperlukan untuk membuat sebuah aplikasi yang berkualitas
menjadi lebih singkat dan semakin banyak proyek yang dapat dikerjakan, dengan
Web Service memang fiture kunci dari .NET, akan tetapi, Web Service “hanyalah
sebagian kecil” dari begitu banyak benefit yang ditawarkan oleh .NET Framework.
Jadi, sudah saatnya bagi kita untuk membangun aplikasi berbasiskan .NET.
4.3 Saran
Laporan ini belum mencakup beberapa aspek dari sistem keamanan , seperti ilmu
keamanan, adalah menggunakan .NET Framework suatu alat bantu yang berbentuk
23
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI
DAFTAR PUSTAKA
[2] _________,. Net Development, Secure Coding Guidelines for the .Net
Framework Security, http://www.msdn.microsoft.com, 01 Oktober 2004,
14.05 WIB.
[6] Dr. Ir. Budi Rahardjo, (2002), Keamanan Sistem Informasi Berbasis Internet ,
Bandung, PT. Insan Infonesia.
[9] G. Andrew Duthie, (2002), Microsoft ASP.NET Step by Step , Jakarta, PT Elex
Media Komputindo.
24