Keamanan Web Service
-
Upload
annisa-shabrina -
Category
Technology
-
view
658 -
download
2
Transcript of Keamanan Web Service
KEAMANAN
SECURITY PADA WEB SERVICE
ANNISA SHABRINA – MI - 0320110005
OTENTIKASIOTENTIKASI ADALAH PROSES UNTUK MENEMUKAN DAN MEMVERIFIKASI IDENTITAS
PENGGUNA DENGAN MEMERIKSA KREDENSIAL PENGGUNA, DAN KEMUDIAN MEMVALIDASI KREDENSIAL TERHADAP BEBERAPA OTORITAS OTENTIKASI. SAAT INI,
APLIKASI MENGGUNAKAN BERBAGAI MEKANISME OTENTIKASI, DAN ANDA DAPAT MENGGUNAKAN BEBERAPA MEKANISME INI DENGAN NET FRAMEWORK ROLE-BASED
SECURITY.Form Authentication Passport
Bentuk otentikasi adalah mekanisme yang tidak berkepentingan adalah permintaan diarahkan ke Hypertext Markup Language (HTML) bentuk dengan menggunakan Hypertext Transfer Protocol (HTTP) client-side redirection.
Passport adalah layanan otentikasi terpusat yang Microsoft menyediakan dan menawarkan fitur logon tunggal dan layanan profil inti untuk situs member Web. Kedua Bentuk otentikasi dan otentikasi Paspor disebutkan untuk Demi kelengkapan.
OTORISASIOTORISASI ADALAH PROSES MENENTUKAN APAKAH SEORANG PENGGUNA
DIPERBOLEHKAN UNTUK MELAKUKAN TINDAKAN YANG DIMINTA. OTORISASI TERJADI SETELAH OTENTIKASI DAN MENGGUNAKAN INFORMASI TENTANG
IDENTITAS DAN PERAN PENGGUNA UNTUK MENENTUKAN SUMBER DAYA BAHWA PENGGUNA DAPAT MENGAKSES. ANDA DAPAT MENGGUNAKAN .NET
FRAMEWORK ROLE-BASED SECURITY UNTUK MENERAPKAN OTORISASI.
Jenis Otorisasi Yang ada di ASP.NET
Windows NT security Role-based security Code access security
WINDOWS NT SECURITY
• MICROSOFT WINDOWS NT MENYEDIAKAN FITUR KEAMANAN (SECURITY) BERDASAR PADA IDENTITAS USER DAN MENCEGAH AKSES YANG TIDAK DIOTORISASI KE SYSTEM RESOURCES.
• FITUR INI MERUPAKAN OTENTIKASI USER DAN KONTROL AKSES BERBASIS OBJECT.
• ADMINISTRATOR WINDOWS DAPAT MEMBUAT DISCRETIONARY ACCESS CONTROL LIST (DACL) YANG MENGENDALIKAN AKSES KE RESOURCES ATAU OBJECT PADA JARINGAN.
ROLE-BASED SECURITY• ROLE-BASED SECURITY ADALAH MODEL KEAMANAN DIMANA IDENTITAS
KHUSUS DARI USER TIDAK PENTING. YANG TERPENTING ADALAH ATURAN LOGIS YANG DAPAT DIASUMSIKAN USER.
• ROLE-BASED SECURITY MENGGUNAKAN ATURAN YANG TERKAIT DENGAN USER UNTUK MEMBUAT KEPUTUSAN OTORISASI KEAMANAN.
CODE ACCESS SECURITY• CODE ACCESS SECURITY MERUPAKAN MEKANISME KEAMANAN YANG DAPAT DIGUNAKAN
UNTUK MENCEGAH KODE DARI PENGAKSESAN PROTECTED RESOURCES.
• SEPERTI HALNYA ROLE-BASED SECURITY, CODE ACCESS SECURITY MENGHARUSKAN USER DIOTENTIKASI TERLEBIH DAHULU SEBELUM CODE ACCESS SECURITY DAPAT BEROPERASI.
OTENTIKASI SOAPTEKNIK PENGAMANAN WEB SERVICE DENGAN MENGGUNAKAN OTENTIFIKASI SOAP MERUPAKAN METODE YANG CUKUP SEDERHANA. PROSES OTENTIFIKASI DILAKUKAN DENGAN CARA MENYISIPKAN SUATU INFORMASI PADA PESAN SOAP YANG MENGGAMBARKAN BAHWA SUATU PESAN SOAP MEMILIKI KEASLIAN TERSENDIRI YANG BERSIFAT UNIK DARI SUATU CLIENT TERTENTU YANG MEMINTA LAYANAN. INFORMASI YANG DISISIPKAN INI BERISI DATA OTENTIUFIKASI DARI CLIENT YANG MENGAJUKAN REQUEST. INFORMASI Y TERSEBUT MERUPAKAN DATA OTENTIFIKASI SOAP REQUEST YANG BERISI USERNAME DAN PASSWORD.
CUSTOM AUTHENTICATION USING SOAP HEADERS
• USING A SOAP HEADER IN A WEB SERVICE
• USING A SOAP HEADER IN A WEB SERVICE CONSUMER
Untuk menjelaskan SOAP header untuk sebuah web service dan menggunakan header di web service, caranya :• Mengambil kelas dari
SoapHeader• Menambahkan sebuah
public field dari SoapHeader-derived typr
• Memakai SoapHeader atribut.
• SOAP headers di WSDL• Web service proxi dan
SOAP headers• Menggunakan SOAP
headers ketika memanggil Web Service
MENGATUR MODE OTENTIKASI DI WEB.CONFIG
• UNTUK MENERAPKAN SKEMA OTENTIKASI KUSTOM DENGAN MENGGUNAKAN HEADER SOAP, ANDA JUGA HARUS MENONAKTIFKAN JENIS OTENTIKASI LAINNYA DALAM FILE THEWEB.CONFIG UNTUK LAYANAN WEB, SEPERTI YANG DITUNJUKKAN DALAM KODE BERIKUT:
• UNTUK MELAKUKAN INI, ANDA HARUS MENGUBAH WEB.CONFIG FILE. DALAM WEB.CONFIG FILE, MENCARI TAG <AUTHENTICATION>, DAN KEMUDIAN MENETAPKAN ATRIBUT MODUS UNTUK WINDOWS, SEPERTI DALAM CONTOH BERIKUT:
<AUTHENTICATION MODE="WINDOWS" />
CONTOH KONFIGURASI UNTUK MEMBATASI AKSES PADA WEB CONFIG
KEMANAN MENGGUNAKAN HTTPMODULE
HttpApplication events dan
HttpModulesOtentikasi menggunakan
HttpModules Otorisasi setelah otentikasi
Event AuthenticateRequest dihandel di Global.asax. Method lebih baik digunakan di kelas HttpModule.Konfigurasi HttpModules untuk menerima HttpApplication event.Konfigurasi HttpModules untuk menerima HttpApplication event.Hasilnya semua kode custom otentikasi dapat diimplementasikan di HttpModule dan menggunakan kembali HttpModule di aplikasi ASP .NET
Untuk menampilkan otentikasi di HttpModule, HttpModule harus mempunyai event
AuthenticateRequest.Untuk menginvoke HttpModule pada web service, Web Config
harus berisi informasi konfigurasi yang tepat.
Setelah HttpModule telah diotentikasi, dapat digunakan .NET role-based security dalam implementasi web service method.
KEMANAN MENGGUNAKAN HTTPMODULE (CONTOH)
HttpApplication events dan HttpModules
KEMANAN MENGGUNAKAN HTTPMODULE (CONTOH)
Otentikasi menggunakan HttpModules Web Config
ENKRIPSI MENGGUNAKAN SSL
• Menggunakan SSL adalah cara mudah untuk mengenkripsi seluruh komunikasi antara web service consumer dan web service.
• Untuk mengaktifkan IIS dalam men-support koneksi SSL, dibutuhkan sertifikat X.509.
• X.509 berisi informasi tentang subjek, issuer’s name, masa berlaku, dan karakteristik lainya.
• SSL selalu menggunakan sertifikat X.509 untuk otentikasi Web server• Kegiatan mendapatkan sertifikat dan mengkonfigurasi Web server SSL adalah
tanggung jawab administrator bukan developer.
CARA MENGAKTIFKAN SSL PADA WEB SERVER:
• Hal-hal yang dibutuhkan untuk mengaktifkan SSL :• Memiliki sertifikat
• Sertifikat X.509 didapatkan dengan membuat request untuk Certificat Authority (CA).
• Ketika subjek(entitas) memiliki sertifikat CA, maka subjek tersebut meng-claim dan menandatangani sertifikat tersbut sehingga menjadi private key miliknya.
• Menginstall sertifikat• Install pada Web Server saat IIS running.• Menginstall sertifikat dari tab Directory Security dalam kotak dialog Properties
untuk Web site atau direktori virtual
ENKRIPSI MENGGUNAKAN SOAP EXTENSION
Metode Enkripsi :• Seluruh message• Hanya body atau header dari message• Hanya message terpilih• Partitioning
Enkripsi menggunakan SOAP extension :• Jika kita membutuhkan control yang lebih detail, kita bisa mengimplementasikan SOAP
extension untuk mengeksripsi hanya data sensitif • HTTP dan SOAP adalah text-based protocols. Ini membuat kita lebih mudah untuk
unauthorized entity untuk melihat isi dari message yang digtukar antara Web Service Consumer and Web Service.
Keuntungan SOAP Extension dibandingkan SSL: • Enkripsi hanya beberapa dari request dan response• Enkripsi hanya beberapa bagian dari request dan response• Menggunakan solution yang tidak memiliki persamaan
ENKRIPSI MENGGUNAKAN SOAP EXTENSION
TERIMA KASIH ATAS PERHATIANNYA