KEAMANAN

SECURITY PADA WEB SERVICE

ANNISA SHABRINA – MI - 0320110005

OTENTIKASIOTENTIKASI ADALAH PROSES UNTUK MENEMUKAN DAN MEMVERIFIKASI IDENTITAS

PENGGUNA DENGAN MEMERIKSA KREDENSIAL PENGGUNA, DAN KEMUDIAN MEMVALIDASI KREDENSIAL TERHADAP BEBERAPA OTORITAS OTENTIKASI. SAAT INI,

APLIKASI MENGGUNAKAN BERBAGAI MEKANISME OTENTIKASI, DAN ANDA DAPAT MENGGUNAKAN BEBERAPA MEKANISME INI DENGAN NET FRAMEWORK ROLE-BASED

SECURITY.Form Authentication Passport

Bentuk otentikasi adalah mekanisme yang tidak berkepentingan adalah permintaan diarahkan ke Hypertext Markup Language (HTML) bentuk dengan menggunakan Hypertext Transfer Protocol (HTTP) client-side redirection.

Passport adalah layanan otentikasi terpusat yang Microsoft menyediakan dan menawarkan fitur logon tunggal dan layanan profil inti untuk situs member Web. Kedua Bentuk otentikasi dan otentikasi Paspor disebutkan untuk Demi kelengkapan.

OTORISASIOTORISASI ADALAH PROSES MENENTUKAN APAKAH SEORANG PENGGUNA

DIPERBOLEHKAN UNTUK MELAKUKAN TINDAKAN YANG DIMINTA. OTORISASI TERJADI SETELAH OTENTIKASI DAN MENGGUNAKAN INFORMASI TENTANG

IDENTITAS DAN PERAN PENGGUNA UNTUK MENENTUKAN SUMBER DAYA BAHWA PENGGUNA DAPAT MENGAKSES. ANDA DAPAT MENGGUNAKAN .NET

FRAMEWORK ROLE-BASED SECURITY UNTUK MENERAPKAN OTORISASI.

Jenis Otorisasi Yang ada di ASP.NET

Windows NT security Role-based security Code access security

WINDOWS NT SECURITY

• MICROSOFT WINDOWS NT MENYEDIAKAN FITUR KEAMANAN (SECURITY) BERDASAR PADA IDENTITAS USER DAN MENCEGAH AKSES YANG TIDAK DIOTORISASI KE SYSTEM RESOURCES.

• FITUR INI MERUPAKAN OTENTIKASI USER DAN KONTROL AKSES BERBASIS OBJECT.

• ADMINISTRATOR WINDOWS DAPAT MEMBUAT DISCRETIONARY ACCESS CONTROL LIST (DACL) YANG MENGENDALIKAN AKSES KE RESOURCES ATAU OBJECT PADA JARINGAN.

ROLE-BASED SECURITY• ROLE-BASED SECURITY ADALAH MODEL KEAMANAN DIMANA IDENTITAS

KHUSUS DARI USER TIDAK PENTING. YANG TERPENTING ADALAH ATURAN LOGIS YANG DAPAT DIASUMSIKAN USER.

• ROLE-BASED SECURITY MENGGUNAKAN ATURAN YANG TERKAIT DENGAN USER UNTUK MEMBUAT KEPUTUSAN OTORISASI KEAMANAN.

CODE ACCESS SECURITY• CODE ACCESS SECURITY MERUPAKAN MEKANISME KEAMANAN YANG DAPAT DIGUNAKAN

UNTUK MENCEGAH KODE DARI PENGAKSESAN PROTECTED RESOURCES.

• SEPERTI HALNYA ROLE-BASED SECURITY, CODE ACCESS SECURITY MENGHARUSKAN USER DIOTENTIKASI TERLEBIH DAHULU SEBELUM CODE ACCESS SECURITY DAPAT BEROPERASI.

OTENTIKASI SOAPTEKNIK PENGAMANAN WEB SERVICE DENGAN MENGGUNAKAN OTENTIFIKASI SOAP MERUPAKAN METODE YANG CUKUP SEDERHANA. PROSES OTENTIFIKASI DILAKUKAN DENGAN CARA MENYISIPKAN SUATU INFORMASI PADA PESAN SOAP YANG MENGGAMBARKAN BAHWA SUATU PESAN SOAP MEMILIKI KEASLIAN TERSENDIRI YANG BERSIFAT UNIK DARI SUATU CLIENT TERTENTU YANG MEMINTA LAYANAN. INFORMASI YANG DISISIPKAN INI BERISI DATA OTENTIUFIKASI DARI CLIENT YANG MENGAJUKAN REQUEST. INFORMASI Y TERSEBUT MERUPAKAN DATA OTENTIFIKASI SOAP REQUEST YANG BERISI USERNAME DAN PASSWORD.

CUSTOM AUTHENTICATION USING SOAP HEADERS

• USING A SOAP HEADER IN A WEB SERVICE

• USING A SOAP HEADER IN A WEB SERVICE CONSUMER

Untuk menjelaskan SOAP header untuk sebuah web service dan menggunakan header di web service, caranya :• Mengambil kelas dari

SoapHeader• Menambahkan sebuah

public field dari SoapHeader-derived typr

• Memakai SoapHeader atribut.

• SOAP headers di WSDL• Web service proxi dan

SOAP headers• Menggunakan SOAP

headers ketika memanggil Web Service

MENGATUR MODE OTENTIKASI DI WEB.CONFIG

• UNTUK MENERAPKAN SKEMA OTENTIKASI KUSTOM DENGAN MENGGUNAKAN HEADER SOAP, ANDA JUGA HARUS MENONAKTIFKAN JENIS OTENTIKASI LAINNYA DALAM FILE THEWEB.CONFIG UNTUK LAYANAN WEB, SEPERTI YANG DITUNJUKKAN DALAM KODE BERIKUT:

• UNTUK MELAKUKAN INI, ANDA HARUS MENGUBAH WEB.CONFIG FILE. DALAM WEB.CONFIG FILE, MENCARI TAG <AUTHENTICATION>, DAN KEMUDIAN MENETAPKAN ATRIBUT MODUS UNTUK WINDOWS, SEPERTI DALAM CONTOH BERIKUT:

<AUTHENTICATION MODE="WINDOWS" />

CONTOH KONFIGURASI UNTUK MEMBATASI AKSES PADA WEB CONFIG

KEMANAN MENGGUNAKAN HTTPMODULE

HttpApplication events dan

HttpModulesOtentikasi menggunakan

HttpModules Otorisasi setelah otentikasi

Event AuthenticateRequest dihandel di Global.asax. Method lebih baik digunakan di kelas HttpModule.Konfigurasi HttpModules untuk menerima HttpApplication event.Konfigurasi HttpModules untuk menerima HttpApplication event.Hasilnya semua kode custom otentikasi dapat diimplementasikan di HttpModule dan menggunakan kembali HttpModule di aplikasi ASP .NET

Untuk menampilkan otentikasi di HttpModule, HttpModule harus mempunyai event

AuthenticateRequest.Untuk menginvoke HttpModule pada web service, Web Config

harus berisi informasi konfigurasi yang tepat.

Setelah HttpModule telah diotentikasi, dapat digunakan .NET role-based security dalam implementasi web service method.

KEMANAN MENGGUNAKAN HTTPMODULE (CONTOH)

HttpApplication events dan HttpModules

KEMANAN MENGGUNAKAN HTTPMODULE (CONTOH)

Otentikasi menggunakan HttpModules Web Config

ENKRIPSI MENGGUNAKAN SSL

• Menggunakan SSL adalah cara mudah untuk mengenkripsi seluruh komunikasi antara web service consumer dan web service.

• Untuk mengaktifkan IIS dalam men-support koneksi SSL, dibutuhkan sertifikat X.509.

• X.509 berisi informasi tentang subjek, issuer’s name, masa berlaku, dan karakteristik lainya.

• SSL selalu menggunakan sertifikat X.509 untuk otentikasi Web server• Kegiatan mendapatkan sertifikat dan mengkonfigurasi Web server SSL adalah

tanggung jawab administrator bukan developer.

CARA MENGAKTIFKAN SSL PADA WEB SERVER:

• Hal-hal yang dibutuhkan untuk mengaktifkan SSL :• Memiliki sertifikat

• Sertifikat X.509 didapatkan dengan membuat request untuk Certificat Authority (CA).

• Ketika subjek(entitas) memiliki sertifikat CA, maka subjek tersebut meng-claim dan menandatangani sertifikat tersbut sehingga menjadi private key miliknya.

• Menginstall sertifikat• Install pada Web Server saat IIS running.• Menginstall sertifikat dari tab Directory Security dalam kotak dialog Properties

untuk Web site atau direktori virtual

ENKRIPSI MENGGUNAKAN SOAP EXTENSION

Metode Enkripsi :• Seluruh message• Hanya body atau header dari message• Hanya message terpilih• Partitioning

Enkripsi menggunakan SOAP extension :• Jika kita membutuhkan control yang lebih detail, kita bisa mengimplementasikan SOAP

extension untuk mengeksripsi hanya data sensitif • HTTP dan SOAP adalah text-based protocols. Ini membuat kita lebih mudah untuk

unauthorized entity untuk melihat isi dari message yang digtukar antara Web Service Consumer and Web Service.

Keuntungan SOAP Extension dibandingkan SSL: • Enkripsi hanya beberapa dari request dan response• Enkripsi hanya beberapa bagian dari request dan response• Menggunakan solution yang tidak memiliki persamaan

ENKRIPSI MENGGUNAKAN SOAP EXTENSION

TERIMA KASIH ATAS PERHATIANNYA