November 14, 2016 | Author: Yossa Lee | Category: N/A
Web Service Security Yosalia Sitompul Nim. 110155201076 Jln.kijang lama, no.33, tanjungpinang, Kepri 29123, Indonesia E-mail :
[email protected] Mahasiswa Program S1 Teknik Informatika, FT, UMRAH
ABSTRAK Web service adalah suatu layanan yang diberikan oleh website yang dirancang untuk mendukung interoperabilitas dan interaksi antar sistem pada suatu jaringan. Web Service juga memberikan paradigma baru dalam mengimplementasikan sistem terdistribusi melalui Web dengan menggunakan standard protokol SOAP, WSDL dan UDDI yang berbasis XML. Dengan teknologi Web Service, konsep sistem terdistribusi yang biasanya digunakan pada sistem yang bersifat tertutup dan proprietary (DCOM, CORBA, RMI) dapat diterapkan kedalam sistem yang bersifat terbuka (non-propriertary) berbasis Web. Namun demikian, masih banyak yang ragu untuk segera menerapkan Web Service, khususnya jika digunakan untuk mendukung transaksi bisnis melalui Internet (global). Alasan utama yang menjadi perhatian adalah pada aspek keamanan dan kerentanan (vulnerability) yang terdapat pada teknologi Web Service. Sementara itu standard keamanan yang biasa digunakan untuk mengamankan aplikasi berbasis Web pada umumnya tidak cukup mampu untuk mengamankan transaksi Web Service.
ABSTRACT Web service is a service provided by the website is designed to support interoperability and interaction between systems on a network . Web services also provide a new paradigm for implementing distributed systems over the Web by using a standard protocol SOAP , WSDL and UDDI XML -based . With the Web Service technology , the concept of distributed systems that are typically used on systems that are closed and proprietary ( DCOM , CORBA , RMI ) can be incorporated into a system that is open ( non - propriertary ) Web -based . Nevertheless , there are still many who hesitate to immediately implement a Web Service , particularly if used to support business transactions over the Internet ( global ) . The main reason of concern is the safety and vulnerability (vulnerability ) contained in the Web Service technology . Meanwhile security standard used to secure Web-based applications in general are not quite able to secure a Web Service transactions
1. PENDAHULUAN
Keamanan selalu menjadi perhatian penting dalam
Web service adalah sebuah software yang
pengembangan
dirancang
untuk
mendukung
interaksi
mesin-ke-mesin
interoperabilitas
layanan
web.
Namun,
metode
pengembangan perangkat lunak saat ini hampir lalai [2].
melalui
sebuah
teknis
memiliki
Hal ini dibuktikan dengan banyaknya faktor
mekanisme interaksi antar sistem sebagai penunjang
yang menimbulkan celah-celah ancaman terhadap web
interoperabilitas, baik berupa agregasi (pengumpulan)
service tersebut seperti yang telah dilakukan oleh
maupun sindikasi (penyatuan). Web service memiliki
penelitian terdahulu. Selain itu, pada kerahasiaan
layanan terbuka untuk kepentingan integrasi data dan
pesan yang dikirimkan melalui web service masih
kolaborasi informasi yang bisa diakses melalui
berupa data XML. Sehingga hal ini menyebabkan
internet oleh berbagai pihak menggunakan teknologi
terjadinya data yang tidak asli ketika sampai di sisi
yang dimiliki oleh masingmasing pengguna.
penerima.
jaringan.Web
service
secara
Walaupun
pesan
telah
di
enkripsi
Web services merupakan komponen yang
menggunakan suatu algoritma maka bukan berarti
independen terhadap platform ataupun bahasa. Web
bahwa pesan yang di terima oleh penerima benar-
services menggunakan web protokol (HTTP) yang
benar masih asli, karena bisa saja bahwa struktur pesan
sangat mendukung heterogenoitas dan
telah berubah ketika pesan dikirimkan atau ketika
interoperabilitas serta memudahkan integrasi [1].
diterima [3].
Selain itu web services mendukung koneksi loosely
Kemudian masalah keamanan web service
coupled, sehingga sebuah perubahan pada satu
pada kasus-kasus sebelumnya kebanyakan penelitian
aplikasi tidak akan memaksa perubahan pada aplikasi
dilakukan pada satu model keamanan atau standar
yang lain. Sebuah web services memiliki interface
keamanan untuk web service. Sehingga dengan adanya
berupa web API (Application Programming Interface)
sistem keamanan yang seperti ini dirasakan masih
yang dapat dipanggil oleh suatu aplikasi untuk
kurang memberi suatu perlindungan yang maksimal
mengakses
terhadap ancaman keamanan web service antara client
aplikasi
yang
mengimplementasikan
ke server service sendiri walaupun secara umum sudah
layanan web services Saat ini web services menjadi sangat populer
mampu mencukupi. Masih adanya kendala mengenai
dalam
web service yaitu beberapa pihak yang masih merasa
mengintegrasikan aplikasi-aplikasi yang berbeda
ragu untuk menerapkan web service, khususnya
platform dengan menggunakan dokumen XML. XML
mereka yang menggunakan jaringan internet pada
(eXtensible Markup Language) adalah sebuah standar
transaksinya. Keraguan ini dilihat dari tingkat
untuk mendefinisikan data dalam format yang
keamanan dari teknologi
sederhana dan fleksibel. Dimana web service
keamanan menjadi sangat penting untuk menjaga data
mendukung komunikasi antar aplikasi dan integrasi
atau informasi agar tidak disalahgunakan ataupun
aplikasi dengan menggunakan XML dan Web. Faktor
diakses secara sembarangan.[4]
di
enterprise
karena
kemampuannya
keamanan pada jalur komunikasi antara client ke server web service itu belum sepenuhnya terjamin.
Mengatasi
web
keamanan
service.
di
tahap
Aspek
awal
pengembangan layanan web selalu menjadi tren
rekayasa besar. Namun, untuk menjamin keamanan
mengotomasikan proses bisnis, supply chain, dan
layanan web yang diperlukan untuk melakukan
costumer relationship. Saat sebuah enterprise ingin
evaluasi keamanan secara ketat dan nyata. Hasil
mengintegrasikan
evaluasi yang jika dilakukan dalam tahap awal dari
partnernya menggunakan internet, informasi yang
proses
untuk
dialirkan harus dipastikan dalam kondisi aman [7].
meningkatkan kualitas layanan web sasaran. Di sisi
Oleh karena itu keamanan menjadi isu yang sangat
lain, tidak mungkin untuk menghapus semua
penting untuk keperluan tersebut. Dalam beberapa
kesalahan keamanan selama analisis keamanan
kasus, layanan keamanan berbasis Operating System
layanan web. Akibatnya, keamanan mutlak tidak
dan Internet Information Services (IIS) dapat
pernah mungkin untuk mencapai dan kegagalan
diandalkan. Akan tetapi lingkungan implementasi
keamanan mungkin terjadi selama pelaksanaan
yang heterogen selalu menimbul kan celah-celah
layanan web. [5]
ancaman
pembangunan
dapat
digunakan
system
keamanan
baru.
bisnis
nya
Ancaman
dengan
terhadap
keamanan web services antara lain unauthorized
2. WEB SERVICE SECURITY
access, parameter manipulation, network eaves dropping,
Saat ini web services menjadi sangat populer di enterprise karena kemampuannya dalam mengintegrasi kan aplikasi-aplikasi yang berbeda platform [6].
disclosure of configuration data, dan
message replay. Bahkan dewasa ini banyak praktisi teknologi yang beralih pada Web service(WS) untuk alasan fleksibilitas dan skalabilitas yang lebih tinggi .Serupa dengan RPC pada protokol yang lain, pemanggilan layanan WS oleh sebuah sistem harus melaluit ahapantahapan keamanan untuk memastikan pemanggil dan fungsi yang dipanggilnya adalah valid. Sehubungan dengan ini, ada proses otentikasi dan otorisasi yang dilakukan oleh system penyedia layanan WS terhadap pemanggilnya untuk memastikan bahwa ia boleh dilayani. Tanpa mekanisme ini maka WS menjadi sistem yang terbuka lebar bagi siapapun untuk mengaksesnya,bahkan untuk pihak-pihak yang tidak berkepentingan [8].
Gambar 1 - Sebuah web service
Ini membuktikan Tantangan keamanan yang disajikan oleh Web service tidak dapat dihindari dan
Web services saat ini semakin banyak digunakan oleh enterprise untuk memudahkan akses pada produknya,meningkatkan layanan ke konsumen dan ke business partner melalui internet atau corporat extranet . Sebagai contoh mengintegrasi kan dan
juga masih kurangnya pendekatan yang komprehensif yang menawarkan pengembangan metodis dalam pembangunan arsitektur keamanan [9].
3.1. Windows authentication Sesuai
dengan
namanya,
Windows
authentication adalah metoda otentikasi menggunakan akun
Windows
untuk
memvalidasi
credential
pemanggil. Tipe ini sangat baik diterapkan pada lingkungan intranet dimana pemanggil Web Service berasal dari dalam jaringan lokal dan telah dikenal secara baik. Lebih lanjut, Windows authentication Gambar 2 - Ancaman keamanan web services
dibedakan menjadi:
_ Integrated Windows authentication
3. JENIS-JENIS KEAMANAN WEB SERVICE
_ Basic authentication _ Digest authentication _ Client Certificate authentication Tipe-tipe otentikasi di atas sesuai dengan
Di dalam platform Windows, Web Service
cara penanganan yang dilakukan oleh IIS. Pada
diaplikasikan melalui .NET Framework, Internet
dokumen ini tipe yang akan dibahas adalah Integrated
Information Services (IIS) dan tentunya sistem operasi
Windows dan Basic authentication.
Windows itu sendiri. 3.2. Forms authentication
Jenis-jenis keamanan yang dapat diterapkan pada
Pada Forms authentication, pemanggil yang
platform ini adalah: 1. Windows authentication
tidak terotentikasi akan dialihkan pada sebuah
2. Forms authentication
halaman web yang dikonfigur pada file Web.config.
3. Passport authentication
Halaman web tersebut umumnya berisi kolom User ID
4. None
dan password yang harus dibuat oleh programmer. Pilihan jenis keamanan tersebut dapat
Pada otentikasi jenis ini, daftar User ID dan password-
dikonfigur melalui tag di dalam file
nya dapat disimpan di dalam file Web.config, file
Web.config
XML terpisah atau di dalam database.
dari
aplikasi
Web
Service
yang
Forms authentication dapat diaktifkan
bersangkutan. Berikut ini diperlihatkan potongan isi file tersebut:
dengan:
...
1. Mengkonfigur atribut dari tag
“Forms”. Contoh:
...
...
...
...
3.4. None
2. Tidak memperbolehkan anonymous users pada
Jika pilihan otentikasi adalah None, maka itu
IIS.
adalah kesempatan bagi programmer untuk melakukan
Jenis otentikasi ini kurang cocok jika diterapkan
otentikasi buatan sendiri (custom authentication).
pada Web Service karena ia akan mengalihkan
Custom authentication dapat diaktifkan dengan:
pemanggil pada sebuah user interface sebelum layanan
WS
dapat
dijalankan.
Pemanggil
1. Mengkonfigur atribut dari tag
sebetulnya mengharapkan sebuah pesan SOAP
tag di dalam file Web.config menjadi
yang dikembalikan oleh WS bukan halaman
“None”. Contoh:
HTML. Jika ini yang terjadi, maka masalah akan
...
timbul.
3.3. Passport authentication
Pada Passport authentication, sebuah layanan
...
terpusat dikelola oleh Microsoft menyediakan sebuah
2. Memperbolehkan anonymous users pada IIS
pusat login untuk WS client. Pemanggil yang tidak
[10].
terotentikasi dialihkan ke situs Passport site. Serupa dengan Forms authentication, pengalihan ini akan menyebabkan masalah bagi pemanggilnya kecuali hal
4. KESIMPULAN
ini ditangani secara baik pada program pemanggilnya. Passport authentication dapat diaktifkan dengan:
Meskipun Webservice performansinya baik, namun dari segi security web service masih belum
1. Mengkonfigur atribut dari tag tag di dalam file Web.config menjadi “Passport”. Contoh: ... ... 2. Tidak memperbolehkan anonymous users pada IIS.
matang. Terdapat perbedaan implementasi keamanan web service pada berbagai platform sehingga masih diperlukan suatu standar baku dalam mengimplemen tasikan security pada web service. Selain itu, tanpa mekanisme yang tepat ini maka Web service menjadi sistem yang terbuka lebar bagi siapapun untuk mengaksesnya termasuk pihak-pihak yang tidak berkepentingan. Tentunya ini adalah sesuatu yang tidak diinginkan. Maka dari itu aspek keamanan menjadi seuatu yang sangat penting
5. REFERENSI 2005 ‘Keamanan Web Service’
[1] Adriansyah ,Arya,
Arifand,Wahyudi,
[6]
Wicaksono,Narenda, 2003
‘Keamanan Web
Departemen Teknik Informatika Institut
Service’
Departemen
Teknik
Informatika
Teknologi Bandung, No.2
Institut Teknologi Bandung, No.1 [7]
2005 ‘Keamanan Web Service’
[2] Mougouei, Davoud, Nurhayati, Wan,
Departemen Teknik Informatika Institut
AB,Rahma, , M.A., Mohammad 2012,
Teknologi Bandung, No.3
‘Measuring Security of Web Services in Requirement Engineering Phase’ International
[8] Feri Djuandi 2012, ‘Web Service Security’
Journal of Cyber-Security and Digital
: www.tobuku.com, hal. 1
Forensics, No.1 [3] Muzakir,Ari 2013, ‘Sistem Keamanan Data Pada Web Service Menggunakan XML Encryption’, No.1
[4]
2013, ‘Sistem Keamanan Data Pada
Web Service Menggunakan XML Encryption’, No.1
[5]
2012 ‘Measuring Security of Web
Services in Requirement Engineering Phase’ International Journal of Cyber-Security and Digital Forensics, No.1
[9] Fareghzadeh , Nafise 2009 ‘Web Service Security Method To SOA Development’ World Academy of Science, Engineering and Technology, No.1 [10]
2012 ‘Web Service Security’ :
www.tobuku.com, hal. 3-5
