Laporan ResmiKeamanan Jaringan

“HTTP & HTTPS”HTTP1. installasi web server apache2 pada server terlebih dahulu(pada virtual debian) dengan perintah

apt-get install apache2

2. Buka web Browser di gunakan untuk mengecek apakah web server berjalan dengan baik, web browser di sini yaitu web browser yang terletak pada OS windows yang di gunakan sebagai client dari server debian kita. Untuk melakukan pengecekan, pastikan ip client berada dalam satu jaringan dengan server. Kemudian jika server tak menggunakan proxy atau port tertentu gunakan no proxy pada pengaturan jaringan browser. untuk mengeceknya Ketikkan ip server kita pada url, disini kami menggunakan IP “10.252.132.89”

Pada gambar di atas web server apache berhasil berjalan karena dapat mengembalikan halaman default.

M.Husni Mubarrok | 2103131032 1

3. Setelah melakukan pengecekan, hal yang di lakukan juga yaitu monitoring taffic jaringan dengan menggunakan wireshark, yang akan di tunjukkan pada gambar di bawah ini :

Pada pengamatan wireshark kita tahu bahwa protocol yang digunakan adalah HTTP dan FTP.

Pada flowgraph tersebut kita dapat mengetahui bahwa client mengawali komunikasi dengan server dengan mengirimkan SYN, kemudian server membalas SYN ACK, yang selanjutnya client akan mengirim ACK dan PSH ACK – leng secara bersamaan

M.Husni Mubarrok | 2103131032 2

HTTPS1. Karena dalam praktikum sebelumnya telah menginstall web server apache2, langkah

selanjutnya yaitu mengaktifkan mode ssl dengan perintah a2enmod ssl

2. Kemudian lakukan restart pada web service apache2 dengan perintah /etc/init.d/apache2 restart

3. Setelah itu buatlah folder baru dengan nama ssl di dalam direktori /etc/apache2/ dengan perintah mkdir /etc/apache2/ssl untuk menyimpan server key dan sertifikat

4. Kemudian kita akan membuat Sertifikat SSL dengan perintah seperti di bawah ini

Saat kita membuat Sertifikat SSL, bisa ditentukan masa berlakunya seperti pada contoh gambar di atas –days 730 berarti masa berlakunya 730 hari (2 tahun). Pada perintah –keyout /etc/apache2/ssl/apache.key berarti server key akan disimpan pada direktori apache2/ssl dengan nama apache.key, sedangkan pada perintah –out /etc/apache2/ssl/apache.crt berarti sertifikat akan disimpan pada direktori apache2/ssl dengan nama apache.crt, berikut adalah proses generate untuk mendapatkan server key dan Sertifikat SSL

Pada sertifikat SSL di atas kita isi data perusahaan penyedia sertifikat mulai dari nama negara, provinsi, lokasi perusahaan, nama organisasi, nama domain(server FQDN), dan alamat e-mail.

M.Husni Mubarrok | 2103131032 3

5. Kita telah mengaktifkan 2 metode, yaitu HTTP dan HTTPS. Kita bisa mengabaikan HTTP, karena secara default pasti berjalan dengan semestinya. Ketikkan perintah nano /etc/apache2/sites-available/default-ssl

Konfigurasi pada file default pada direktori /etc/apache2/sites-available. File ini yang menunjukkan di mana letak website kita disimpan, secara default file ini merujuk ke direktori /var/www. Di dalam direktori /etc/apache2/sites-available terdapat 2 buah file, yaitu default yang telah dibahas di atas dan default-ssl yang digunakan untuk membuat mode HTTPS aktif.pada file default-ssl. tambahkan baris SSLEngine On seperti pada gambar diatas yang diberi lingkaran biru, Jika baris yang diberi lingkaran kuning belum ada, maka tambahkan di bawah SSLEngine pada file tersebut. Jika sudah simpanlah perubahan file tersebut.

6. Lakukan pengaktifan website default-ssl dengan perintah di bawah ini

7. Setelah itu restartlah lagi service apache agar perubahan konfigurasi dijalankan.

8. Cek pada browser untuk memastikan apakah https telah berjalan, yaitu dengan ketikkan perintah https://10.252.132.89 pada URL browser

M.Husni Mubarrok | 2103131032 4

Ketika menggunakan https, hal yang pertama kali akan di temui dalam open page tersebut adalah berupa informasi “This Connection is Untrusted” , untuk bisa melihat detail dari certificate tersebut dengan cara mengeklik pada tulisan “I Understand the Risks” kemudian klik details, maka akan mubcul tampilan seperti pada gambar di bawah ini

M.Husni Mubarrok | 2103131032 5

Karena kita mengaktifkan mode HTTP secure (HTTPS) maka protocol yang digunakan adalah TLS. Kemudian pada saat client hendak mengakses halaman web server tidak langsung diizinkan seperti pada HTTP sebelumnya, namun ada pengenalan terlebih dahulu oleh si server pada saat pertama kali (belum terinstall sertifikat pada browser client). Pada saat pertama client(ip .107) mengakses halaman web server(ip .108) Hello. Kemudian Server membalas Hello, Certificate(server meminta sertifikat pada client untuk dapat membuka halaman tujuan client, disaat itu juga server mengirimkan public key miliknya ke client). Kemudian Client membalas dengan private key miliknya dengan menggunakan algoritma cipher client melakukan request lagi ke server. Kemudian server proses enkripsi dan menggunakan private key milik client saat melakukan komunikasi dengan client.

9. klik pada “Confirm Security Exception”

M.Husni Mubarrok | 2103131032 6

Maka akan muncul halamanberikut, hal ini bisa terjadi di karenakan private key dari server belum di kenali oleh user, maka user akan meminta certificate tersebut untuk di kenali private key oleh user, sehingga server dapat mengembalikan halaman Default

Karena pada proses sebelumnya sertifikat telah terinstall pada browser maka disaat client mengakses halaman web server untuk yang kedua kali dan seterusnya maka halaman web akan langsung terbuka karena server telah menyimpan private key client dan client telah menyimpan public key server melalui sertifikat yang terinstall pada web browser. Akan terjadi galat/ error lagi dalam mengakses halaman web server jika menggunakan browser lain atau sertifikat pada browser dihapus(di uninstall).

M.Husni Mubarrok | 2103131032 7

Perbedaan HTTP Dan HTTPS

Beberapa perbedaan utama antara http dan https, dimulai dengan port default, pada HTTP, Sisi client meminta sisi server untuk membuka komunikasi pada port 80, port terbuka sisi server 80 dan di sisi client port acak terbuka. sedangkan HTTPS, Protokol ini menggunakan port 443 untuk komunikas.

Data paket yang dikirim menggunakan HTTP tidak terenkripsi, siapapun dapat melihat data dalam teks biasa, sedangkan Https bekerja dengan transmisi interaksi yang normal http melalui sistem terenkripsi, orang tidak dapat melihat data paket dalam jaringan publik .

sehingga dalam teori, informasi tidak dapat diakses oleh pihak selain klien dan server akhir. Ada dua jenis umum lapisan enkripsi: Transport Layer Security (TLS) dan Secure Socket Layer (SSL), yang keduanya menyandikan catatan data yang dipertukarkan.

Http dan https memiliki peranan yang sama dalam mendefinisikan bagaimana suatu pesan bisa diformat dan dikirimkan dari server ke client, hanya saja https memiliki kelebihan fungsi dalam sistem keamanan dengan mengenkripsikan informasi menggunakan SSL dan TLS. Sehingga https memiliki keamanan yang lebih di bandingkan http

M.Husni Mubarrok | 2103131032 8