Web Service Security

Transkripsi

1 Web Service Security Yosalia Sitompul Nim Jln.kijang lama, no.33, tanjungpinang, Kepri 29123, Indonesia lia_blue.girl@yahoo.com Mahasiswa Program S1 Teknik Informatika, FT, UMRAH ABSTRAK Web service adalah suatu layanan yang diberikan oleh website yang dirancang untuk mendukung interoperabilitas dan interaksi antar sistem pada suatu jaringan. Web Service juga memberikan paradigma baru dalam mengimplementasikan sistem terdistribusi melalui Web dengan menggunakan standard protokol SOAP, WSDL dan UDDI yang berbasis XML. Dengan teknologi Web Service, konsep sistem terdistribusi yang biasanya digunakan pada sistem yang bersifat tertutup dan proprietary (DCOM, CORBA, RMI) dapat diterapkan kedalam sistem yang bersifat terbuka (non-propriertary) berbasis Web. Namun demikian, masih banyak yang ragu untuk segera menerapkan Web Service, khususnya jika digunakan untuk mendukung transaksi bisnis melalui Internet (global). Alasan utama yang menjadi perhatian adalah pada aspek keamanan dan kerentanan (vulnerability) yang terdapat pada teknologi Web Service. Sementara itu standard keamanan yang biasa digunakan untuk mengamankan aplikasi berbasis Web pada umumnya tidak cukup mampu untuk mengamankan transaksi Web Service. ABSTRACT Web service is a service provided by the website is designed to support interoperability and interaction between systems on a network. Web services also provide a new paradigm for implementing distributed systems over the Web by using a standard protocol SOAP, WSDL and UDDI XML -based. With the Web Service technology, the concept of distributed systems that are typically used on systems that are closed and proprietary ( DCOM, CORBA, RMI ) can be incorporated into a system that is open ( non - propriertary ) Web -based. Nevertheless, there are still many who hesitate to immediately implement a Web Service, particularly if used to support business transactions over the Internet ( global ). The main reason of concern is the safety and vulnerability (vulnerability ) contained in the Web Service technology. Meanwhile security standard used to secure Web-based applications in general are not quite able to secure a Web Service transactions

2 1. PENDAHULUAN Web service adalah sebuah software yang dirancang untuk mendukung interoperabilitas interaksi mesin-ke-mesin melalui sebuah jaringan.web service secara teknis memiliki mekanisme interaksi antar sistem sebagai penunjang interoperabilitas, baik berupa agregasi (pengumpulan) maupun sindikasi (penyatuan). Web service memiliki layanan terbuka untuk kepentingan integrasi data dan kolaborasi informasi yang bisa diakses melalui internet oleh berbagai pihak menggunakan teknologi yang dimiliki oleh masingmasing pengguna. Web services merupakan komponen yang independen terhadap platform ataupun bahasa. Web services menggunakan web protokol (HTTP) yang sangat mendukung heterogenoitas dan interoperabilitas serta memudahkan integrasi [1]. Selain itu web services mendukung koneksi loosely coupled, sehingga sebuah perubahan pada satu aplikasi tidak akan memaksa perubahan pada aplikasi yang lain. Sebuah web services memiliki interface berupa web API (Application Programming Interface) yang dapat dipanggil oleh suatu aplikasi untuk mengakses aplikasi yang mengimplementasikan layanan web services Saat ini web services menjadi sangat populer di enterprise karena kemampuannya dalam mengintegrasikan aplikasi-aplikasi yang berbeda platform dengan menggunakan dokumen XML. XML (extensible Markup Language) adalah sebuah standar untuk mendefinisikan data dalam format yang sederhana dan fleksibel. Dimana web service mendukung komunikasi antar aplikasi dan integrasi aplikasi dengan menggunakan XML dan Web. Faktor keamanan pada jalur komunikasi antara client ke server web service itu belum sepenuhnya terjamin. Keamanan selalu menjadi perhatian penting dalam pengembangan layanan web. Namun, metode pengembangan perangkat lunak saat ini hampir lalai [2]. Hal ini dibuktikan dengan banyaknya faktor yang menimbulkan celah-celah ancaman terhadap web service tersebut seperti yang telah dilakukan oleh penelitian terdahulu. Selain itu, pada kerahasiaan pesan yang dikirimkan melalui web service masih berupa data XML. Sehingga hal ini menyebabkan terjadinya data yang tidak asli ketika sampai di sisi penerima. Walaupun pesan telah di enkripsi menggunakan suatu algoritma maka bukan berarti bahwa pesan yang di terima oleh penerima benarbenar masih asli, karena bisa saja bahwa struktur pesan telah berubah ketika pesan dikirimkan atau ketika diterima [3]. Kemudian masalah keamanan web service pada kasus-kasus sebelumnya kebanyakan penelitian dilakukan pada satu model keamanan atau standar keamanan untuk web service. Sehingga dengan adanya sistem keamanan yang seperti ini dirasakan masih kurang memberi suatu perlindungan yang maksimal terhadap ancaman keamanan web service antara client ke server service sendiri walaupun secara umum sudah mampu mencukupi. Masih adanya kendala mengenai web service yaitu beberapa pihak yang masih merasa ragu untuk menerapkan web service, khususnya mereka yang menggunakan jaringan internet pada transaksinya. Keraguan ini dilihat dari tingkat keamanan dari teknologi web service. Aspek keamanan menjadi sangat penting untuk menjaga data atau informasi agar tidak disalahgunakan ataupun diakses secara sembarangan.[4] Mengatasi keamanan di tahap awal pengembangan layanan web selalu menjadi tren

3 rekayasa besar. Namun, untuk menjamin keamanan layanan web yang diperlukan untuk melakukan evaluasi keamanan secara ketat dan nyata. Hasil evaluasi yang jika dilakukan dalam tahap awal dari proses pembangunan dapat digunakan untuk meningkatkan kualitas layanan web sasaran. Di sisi lain, tidak mungkin untuk menghapus semua kesalahan keamanan selama analisis keamanan layanan web. Akibatnya, keamanan mutlak tidak pernah mungkin untuk mencapai dan kegagalan keamanan mungkin terjadi selama pelaksanaan layanan web. [5] 2. WEB SERVICE SECURITY Saat ini web services menjadi sangat populer di enterprise karena kemampuannya dalam mengintegrasi kan aplikasi-aplikasi yang berbeda platform [6]. Gambar 1 - Sebuah web service Web services saat ini semakin banyak digunakan oleh enterprise untuk memudahkan akses pada produknya,meningkatkan layanan ke konsumen dan ke business partner melalui internet atau corporat extranet. Sebagai contoh mengintegrasi kan dan mengotomasikan proses bisnis, supply chain, dan costumer relationship. Saat sebuah enterprise ingin mengintegrasikan system bisnis nya dengan partnernya menggunakan internet, informasi yang dialirkan harus dipastikan dalam kondisi aman [7]. Oleh karena itu keamanan menjadi isu yang sangat penting untuk keperluan tersebut. Dalam beberapa kasus, layanan keamanan berbasis Operating System dan Internet Information Services (IIS) dapat diandalkan. Akan tetapi lingkungan implementasi yang heterogen selalu menimbul kan celah-celah ancaman keamanan baru. Ancaman terhadap keamanan web services antara lain unauthorized access, parameter manipulation, network eaves dropping, disclosure of configuration data, dan message replay. Bahkan dewasa ini banyak praktisi teknologi yang beralih pada Web service(ws) untuk alasan fleksibilitas dan skalabilitas yang lebih tinggi.serupa dengan RPC pada protokol yang lain, pemanggilan layanan WS oleh sebuah sistem harus melaluit ahapantahapan keamanan untuk memastikan pemanggil dan fungsi yang dipanggilnya adalah valid. Sehubungan dengan ini, ada proses otentikasi dan otorisasi yang dilakukan oleh system penyedia layanan WS terhadap pemanggilnya untuk memastikan bahwa ia boleh dilayani. Tanpa mekanisme ini maka WS menjadi sistem yang terbuka lebar bagi siapapun untuk mengaksesnya,bahkan untuk pihak-pihak yang tidak berkepentingan [8]. Ini membuktikan Tantangan keamanan yang disajikan oleh Web service tidak dapat dihindari dan juga masih kurangnya pendekatan yang komprehensif yang menawarkan pengembangan metodis dalam pembangunan arsitektur keamanan [9].

4 Gambar 2 - Ancaman keamanan web services 3.1. Windows authentication Sesuai dengan namanya, Windows authentication adalah metoda otentikasi menggunakan akun Windows untuk memvalidasi credential pemanggil. Tipe ini sangat baik diterapkan pada lingkungan intranet dimana pemanggil Web Service berasal dari dalam jaringan lokal dan telah dikenal secara baik. Lebih lanjut, Windows authentication dibedakan menjadi: 3. JENIS-JENIS KEAMANAN WEB SERVICE Di dalam platform Windows, Web Service diaplikasikan melalui.net Framework, Internet Information Services (IIS) dan tentunya sistem operasi Windows itu sendiri. Jenis-jenis keamanan yang dapat diterapkan pada platform ini adalah: 1. Windows authentication 2. Forms authentication 3. Passport authentication 4. None Pilihan jenis keamanan tersebut dapat dikonfigur melalui tag <authentication> di dalam file Web.config dari aplikasi Web Service yang bersangkutan. Berikut ini diperlihatkan potongan isi file tersebut: <authentication mode="windows Forms Passport None"> </authentication> _ Integrated Windows authentication _ Basic authentication _ Digest authentication _ Client Certificate authentication Tipe-tipe otentikasi di atas sesuai dengan cara penanganan yang dilakukan oleh IIS. Pada dokumen ini tipe yang akan dibahas adalah Integrated Windows dan Basic authentication Forms authentication Pada Forms authentication, pemanggil yang tidak terotentikasi akan dialihkan pada sebuah halaman web yang dikonfigur pada file Web.config. Halaman web tersebut umumnya berisi kolom User ID dan password yang harus dibuat oleh programmer. Pada otentikasi jenis ini, daftar User ID dan passwordnya dapat disimpan di dalam file Web.config, file XML terpisah atau di dalam database. Forms authentication dapat diaktifkan dengan: 1. Mengkonfigur atribut dari tag <authentication> tag di dalam file Web.config menjadi Forms. Contoh: <system.web> <authentication mode="forms"/> </system.web>

5 2. Tidak memperbolehkan anonymous users pada IIS. Jenis otentikasi ini kurang cocok jika diterapkan pada Web Service karena ia akan mengalihkan pemanggil pada sebuah user interface sebelum layanan WS dapat dijalankan. Pemanggil sebetulnya mengharapkan sebuah pesan SOAP yang dikembalikan oleh WS bukan halaman HTML. Jika ini yang terjadi, maka masalah akan timbul Passport authentication Pada Passport authentication, sebuah layanan terpusat dikelola oleh Microsoft menyediakan sebuah pusat login untuk WS client. Pemanggil yang tidak terotentikasi dialihkan ke situs Passport site. Serupa dengan Forms authentication, pengalihan ini akan menyebabkan masalah bagi pemanggilnya kecuali hal ini ditangani secara baik pada program pemanggilnya. Passport authentication dapat diaktifkan dengan: 1. Mengkonfigur atribut dari tag <authentication> tag di dalam file Web.config menjadi Passport. Contoh: <system.web> <authentication mode="passport"/> </system.web> 2. Tidak memperbolehkan anonymous users pada IIS None Jika pilihan otentikasi adalah None, maka itu adalah kesempatan bagi programmer untuk melakukan otentikasi buatan sendiri (custom authentication). Custom authentication dapat diaktifkan dengan: 1. Mengkonfigur atribut dari tag <authentication> tag di dalam file Web.config menjadi None. Contoh: <system.web> <authentication mode="none"/> </system.web> 2. Memperbolehkan anonymous users pada IIS [10]. 4. KESIMPULAN Meskipun Webservice performansinya baik, namun dari segi security web service masih belum matang. Terdapat perbedaan implementasi keamanan web service pada berbagai platform sehingga masih diperlukan suatu standar baku dalam mengimplemen tasikan security pada web service. Selain itu, tanpa mekanisme yang tepat ini maka Web service menjadi sistem yang terbuka lebar bagi siapapun untuk mengaksesnya termasuk pihak-pihak yang tidak berkepentingan. Tentunya ini adalah sesuatu yang tidak diinginkan. Maka dari itu aspek keamanan menjadi seuatu yang sangat penting

6 5. REFERENSI [1] Adriansyah,Arya, Arifand,Wahyudi, Wicaksono,Narenda, 2003 Keamanan Web Service Departemen Teknik Informatika Institut Teknologi Bandung, No.1 [2] Mougouei, Davoud, Nurhayati, Wan, AB,Rahma,, M.A., Mohammad 2012, Measuring Security of Web Services in Requirement Engineering Phase International Journal of Cyber-Security and Digital Forensics, No.1 [3] Muzakir,Ari 2013, Sistem Keamanan Data Pada Web Service Menggunakan XML Encryption, No.1 [4] 2013, Sistem Keamanan Data Pada Web Service Menggunakan XML Encryption, No.1 [6] 2005 Keamanan Web Service Departemen Teknik Informatika Institut Teknologi Bandung, No.2 [7] 2005 Keamanan Web Service Departemen Teknik Informatika Institut Teknologi Bandung, No.3 [8] Feri Djuandi 2012, Web Service Security : hal. 1 [9] Fareghzadeh, Nafise 2009 Web Service Security Method To SOA Development World Academy of Science, Engineering and Technology, No.1 [10] 2012 Web Service Security : hal. 3-5 [5] 2012 Measuring Security of Web Services in Requirement Engineering Phase International Journal of Cyber-Security and Digital Forensics, No.1