Amankan Web Server

Mengamankan Web Server Microsoft Anda 

Jasakom - Setiap hari kita selalu mendengar web site-web site yang di jebol, dirusak, di masukin oleh hacker dan lain-lain. Bagaimana supaya masalah ini tidak menimpa kita ? Masalah pengamanan pada web server tentu saja tidak semudah membalikkan telapak tangan, seperti yang menimpa microsoft beberapa waktu yang lalu dimana web servernya sempat di jebol oleh hacker.

Memang tidak ada satu langkah apapun yang bisa menjamin 100% keamanan komputer dari serangan luar selain mematikan komputer tersebut. Tapi ada beberapa langkah yang tentunya bisa kita lakukan untuk meminimalkan agar hacker tidak mudah untuk masuk kedalam server kita.

Salah satu hal penting yang harus kita perhatikan adalah bahwa web server bawaan microsoft berupa IIS adalah software yang langsung bisa dipakai ketika kita selesai menginstalasinya. Kemudahan bawaan ini memberikan 2(dua) sisi implikasi dimana satu sisinya adalah kemudahan bagi pemakai dan sisi lainnya adalah kemudahan bagi hacker untuk memasukinya.

Proses pengamanan terhadap web server memakan banyak sekali aspek internal dan external, misalkan saja masalah operating system, setting hak akses, setting keamanan aplikasi yang digunakan, autentikasi password, dll. Pada bagian ini saya akan mencoba membahas beberapa cara yang harus digunakan untuk mengamankan web server microsoft anda dari sisi web server IIS pada windows 2000 anda.

Jangan Menggunakan Direktory Bawaan

Kecuali anda mempunyai satu alasan yang sangat kuat, jangan gunakan direktori default dari windows 2000 seperti \WINNT untuk instalasi sistem operasi anda dan \inetpub untuk digunakan sebagai direktori web server anda. Dengan mengubah direktori default ini, akan menyusahkan hacker untuk memasukin atau mencari file perantara yang sering digunakan seperti cmd.exe yang berada pada direktori \winnt\system32. Beberapa file yang sering digunakan juga terdapat pada direktory \inetpub seperti untuk membaca source code, dll.

Untuk merubah direktory web server anda, gunakan menu dari “Internet Information Services” dari group menu “Administrative Tools”.

Hapus Direktori Contoh

Secara bawaan, microsoft memberikan satu web server contoh yang telah di isi dengan beberapa macam fungsi. Maksudnya adalah agar pemakai dimudahkan dalam mempelajari menggunakan web server ini. Tapi yang selalu menjadi masalah adalah direktori contoh ini selalu mengandung sesuatu file fungsi yang digunakan oleh hacker untuk melakukan eksploitasi terhadap web server, apalagi anda menggunakan direktori default pada saat instalasi. Untuk itu adalah satu keharusan bagi anda untuk menghapus direktori contoh ini :

• IIS Samples c:\inetpub\iissamples(\IISSamples)

• IIS Documentation c:\winnt\help\iishelp(\IISHelp)

• Data Access c:\program files\common files\system\msadc(\MSADC)

Menghapus Semua Mapping Script Yang Tidak Digunakan

Terkadang kita selalu berfikir bahwa “mungkin” dimasa mendatang saya akan menggunakan fungsi ini dan fungsi ini dengan program tertentu, tapi itu hanyalah persiapan yang tidak ada gunanya. Karena untuk mengaktifkan dan mematikan support terhadap dukungan teknologi semudah membalikkan telapak tangan anda. Untuk itu, matikan semua dukungan script yang tidak anda gunakan sekarang, sebagai contohnya dukungan print melalui internet pada script .printer yang sudah terbukti digunakan hacker untuk masuk ke komputer yang aktif pada dukungan teknologi ini. Bahkan yang saya lihat adalah semua komputer yang dimasukin oleh hacker-hacker ini, sebenarnya tidak menggunakan atau bahkan tidak tahu adanya teknologi ini.

Untuk menghapus mapping script ini anda bisa melakukannya melalui Administrative Tools -> Internet Information System-> Default Web Site-> Properties-> Home Directory->Configuration->App Mapping.

Beberapa fungsi dari mapping ini contohnya adalah :

Web-based password reset   .htr

Internet Database Connector  .idc

Server-side Includes .stm, .shtm, and .shtml

Internet Printing .printer

Index Server .htw, .ida and .idq

Setting Hak Akses Yang Perlu

Banyak administrator yang pemula mengeset semua hak akses menjadi administrator untuk menghindari hak akses yang dibatasi. Tentunya ini menimbulkan suatu kelemahan yang sangat besar karena tidak semua atau bahkan banyak yang tidak memerlukan hak akses yang diberikan. Contohnya user yang hanya melakukan baca tapi diberikan hak akses tulis. Karena itu dalam setting web server, anda direkomendasikan untuk membedakan direktori berdasarkan jenis atau type file yang digunakan. Dengan demikian pula anda bisa mengeset security berdasarkan hak akses dari file tersebut. Beberapa rekomendasi seperti berikut bisa anda gunakan sebagai patokan yang direkomendasikan juga oleh microsoft melalui microsoft technet.

Type File ACL

CGI (.exe, .dll, .cmd, .pl) Everyone (X) Administrators (Full Control) System (Full Control)

Script files (.asp) Everyone (X) Administrators (Full Control) System (Full Control)

Include files (.inc, .shtm, .shtml) Everyone (X) Administrators (Full Control) System (Full Control)

Static content (.txt, .gif, .jpg, .html) Everyone (R) Administrators (Full Control) System (Full Control)

Akhir kata, security memerlukan penanganan yang serius jika anda tidak ingin menjadi korban sia-sia di internet. Pengetahuan keamanan meliputi banyak sekali aspek sehingga anda harus merencanakan semuanya secara matang dan bukan dengan teknologi “plug and pray”.

Artikel serupa bisa dibaca juga pada Harian Investor Indonesia terbitan 23 desember 2002 halaman ke 10

Post ; Dejavu-Nugroho