KIAT PRAKTIS MENGAMANKAN WEB SERVER
Jika Anda mengelola sebuah web server dalam perusahaan atau sebuah lembga tertentu, menjaganya agar selalu bisa tersedia merupakan sebuah tantangan sekaligus sebuah kewajiban yang harus dilaksanakan. Ini karena saat dihubungkan ke internet, sebuah server akan terpapar (exposed) aneka ancaman keamanan, baik ancaman yang bersifat ringan (misalnya perubahan tampilan/defacing) atau berat (misalnya DDoS). Nah, untuk membantu Anda para administrator situs web, di bawah ini tersaji aneka langkah praktis untuk mengamankan web server Anda. Inilah langkah-langkahnya:
1. Nonaktifkan layanan yang tidak diperlukan
Instalasi dan konfigurasi default yang dihadirkan sistem operasi saat melakukan instalasi web server biasanya bersifat standar, dan bayak di antaranya mengaktifkan layanan yang tidak diperlukan. Beberapa layanan (service) yang tidak diperlukan akan diaktifkan secara otomatis seperti print server service atau remote access service (RAS). Banyaknya layanan yang dijalankan akan berakibat banyaknya port yang dibuka sehingga akan memungkinkan terbukanya peluang bagi penjahat untuk memanfaatkannya. Karena itu, matikan semua layanan yang tidak dipakai dan noanaktifkan. Dengan demikian, jika server suatu saat di-restart, aneka layanan ini tidak akan dijalankan lagi secara otomatis.
2. Amankan akses secara remote
Jika koneksi remote diperlukan, pastikan bahwa koneksi ini sudah diamankan dengan baik. Caranya bisa menggunakan koneksi VPN atau menggunakan protokol terenkripsi (misalnya menggunakan SSH). Akses secara remote ini juga harus dibatasi ke hanya beberapa alamat IP tertentu dengan akun tertentu. Disarankan juga untuk tidak menggunakan komputer umum seperti di warnet atau jaringan publik seperti Wi-Fi publik untuk mengakses server tujuan secara remote. Ini untuk menghindari penyadapan via keylogger atau via perangkat nirkabel.
3. Gunakan server berbeda untuk eksperimen dan untuk produksi
Jika Anda memiliki tim pengembangan web atau aplikasi berbasis web, gunakan server web berbeda untuk kepentingan pengembangan dan untuk kepentingan produksi (misalnya untuk menampilkan profil perusahaan dan layanan yang tersedia). Ini karena saat dikembangkan, aneka aplikasi berbasis web ini cenderung memiliki banyak kelemahan atau bug. Tidak mengherankan jika aneka aplikasi yang “setengah matang” ini bisa dimanfaatkan penjahat ahli untuk merugikan situs Anda.
Idealnya, server untuk pengembangan aplikasi berbasis web diletakkan pada jaringan yang tidak terhubung ke internet dan tidak dihubungkan ke database perusahaan.
4. Tetapkan hak akses
Hak akses terhadap file dan sumberdaya jaringan merupakan hal yang vital dalam keamanan sebuah web server. Jika aplikasi web server ditembus, penjahat akan bisa menggunakan akun pengguna dalam server yang menjalankan layanan tertentu. Penjahat lalu akan bisa mematikan atau mengacaukan layanan ini sehingga akan merugikan perusahaan yang menjadi korban. Karena itu, merupakan hal yang penting untuk menetapkan hak akses yang seperlunya bagi akun tertentu yang menjalankan layanan tertentu (misalnya web service). Penting juga untuk membatasi akses pengguna anonim (anonymous user) yang akan mengakses web server, aneka file aplikasi web, serta database.
5. Pasang patch secara teratur
Meskipun memasang patch dalam server tidak berarti akan menjamin server Anda aman seratus persen, merupakan hal yang bijak untuk memperbarui sistem operasi dan aneka software dalam server Anda dengan aneka patch terbaru secara teratur. Sampai saat ini, aktivitas hacking bisa terjadi karena para penjahat memanfaatkan lubang dari aneka software yang belum diperbarui.
6. Pantau dan periksa server
Semua log yang mencatat aktivitas pengguna dalam server serta aneka hal yang berlangsung dalam server haruslah dipantau dan diperiksa secara teratur. Ini termasuk semua log aktivitas jaringan, akses ke web server, database server, dan sistem operasi. Anda harus mewaspadai aneka log yang mencurigakan. Log file akan mencatat semua usaha serangan terhadap server Anda, bahkan serangan yang berhasil dilakukan. Jika Anda melihat ada hal yang mencurigakan dalam log file, langkah penyelidikan harus segera dilakukan untuk mengetahui apa yang terjadi dan memastikan hal ini segera diatasi.
7. Nonaktifkan atau hapus akun pengguna yang tidak terpakai
Akun pengguna yang tidak terpakai (yang dibuat saat sistem operasi dipasang), sebaiknya dinonaktifkan. Sementara aneka akun pengguna yang dibuat saat aneka software dipasang dalam server sebaiknya diperiksa dengan baik dengan hak akses yang segera ditetapkan sesuai kepentingannya. Akun administrator seperti root user bisa dinonaktifkan dan tidak dipakai. Untuk melakukan pengelolaan sistem, kita bisa membuat akun lagi dengan akun berbeda serta hak akses sesuai dengan keperluan. Akun ini juga sebaiknya tidak dibagi pakai dengan pengguna lain yang melakukan tugas pengelolaan server.
8. Hapus modul server yang tidak dipakai
Jika Anda menggunakan Apache Web Server, sebaiknya lakukan penonaktifan aneka modul yang tidak dipakai. Aneka modul ini diaktifkan secara default saat Apache dipasang. Karena itu, menonaktifkan aneka modul ini akan bisa mengurangi risiko serangan dan eksploitasi aneka modul ini. Hal ini juga berlaku jika Anda menggunakan web server Microsoft, Internet Information Services.
9. Gunakan perkakas sekuriti yang disediakan dalam web server
Para pembuat web server biasanya menyertakan sejumlah perkakas yang membantu administrator mengamankan web server-nya. Perkakas ini misalnya URL scan untuk IIS atau mod_security untuk Apache. Aneka perkakas ini memang membutuhkan konfigurasi yang sedikit memakan waktu. Namun, hasilnya cukup sepadan untuk meminimalkan risiko sekuriti web server Anda.
10. Ikuti berita terbaru
Saat ini, informasi, berita, dan aneka kiat untuk mengamankan sistem operasi dan software server bisa didapat secara mudah dan gratis di internet. Karena itu, usahakan secara konsisten untuk mengikuti aneka informasi dan berita tersebut untuk mengetahui perkembangan terbaru tentang perkakas pengaman yang tersedia atau aneka potensi serangan terbaru. Hal ini bisa didapat dengan cara membaca aneka artikel komputer secara online, mendaftar ke newsletter, mengikuti aneka forum online, atau menjadi anggota mailing list/milis TI, atau menjadi anggota group sekuriti di Facebook.
11. Gunakan scanner untuk memeriksa port terbuka
Perkakas seperti port scanner merupakan alat ampuh untuk mengotomatiskan dan memudahkan administrator untuk mengamankan web server dan web applications. Anda bisa memasang aneka perkakas semacam ini untuk melakukan pemeriksaan terhadap port dalam server Anda. Anda juga bisa memanfaatkan layanan online port scanner yang ditawarkan Gibson Research Corporation (www.grc.com). Situs ini menyediakan scanner secara online untuk memeriksa keamanan port dalam server Anda secara real time. Hasil pengujian situs ini akan ditampilkan dalam bentuk laporan singkat untuk memudahkan administrator meninjau keamanan server-nya
Perkakas lain seperti Acunetix Web Vulnerability akan memeriksa aneka masalah konfigurasi server, lubang-lubang sekuriti, SQL injection, serta cross site scripting. Aplikasi ini juga akan memeriksa kekuatan password dalam halaman validasi sekaligus memeriksa aneka aplikasi web yang ada dalam web server. Hasil pemeriksaan perkakas ini akan ditampilkan dalam bentuk laporan detail yang menjelaskan letak lubang atau potensi lubang sekuriti.
12. Gunakan layanan content delivery network (CDN)
Meskipun sebenarnya ditujukan untuk penyajian situs web secara optimal dan andal, CDN juga bisa dipakai untuk melindungi web server dari serangan denial of service attack (DDoS). Hal ini dilakukan CDN dengan cara “menyerap” serangan DDoS via penyebaran serangan ke berbagai mesin yang berada dalam jaringannya. Dengan demikian, situs web Anda akan aman dari serangan semacam ini, setidaknya terhindar dari ancaman down.
