Praktikum 3 - http dan https

Keamanan Jaringan

| Ghozi Septiandri - 3 D3 IT B – 2103131048 |

| Berdawati Sukmaning S - 3 D3 IT B – 2103131056 |

1

Laporan Resmi

HTTP/HTTPS

A. Praktikum HTTP/ HTTPS

HTTP

1. Install apache2. Lalu buat file untuk mengecek di browser.

apt-get install apache2

2. Lakukan konfogurasi pada Windows. Masuk pada Control Panel – Network and

Internet – Network Connections. Pilih VirtualBox lalu atur IP Addresnya.

3. Lakukan koneksi melalui browse windows ke server dengan alamat

http://192.168.10.5

Keamanan Jaringan

| Ghozi Septiandri - 3 D3 IT B – 2103131048 |

| Berdawati Sukmaning S - 3 D3 IT B – 2103131056 |

2

4. Lihat WireShark untuk melihat proses yang terjadi dalam akses HTTP.

Client mengakses HTTP Server :

Keamanan Jaringan

| Ghozi Septiandri - 3 D3 IT B – 2103131048 |

| Berdawati Sukmaning S - 3 D3 IT B – 2103131056 |

3

Server mengirimkan HTTP kepada Client :

Keamanan Jaringan

| Ghozi Septiandri - 3 D3 IT B – 2103131048 |

| Berdawati Sukmaning S - 3 D3 IT B – 2103131056 |

4

HTTPS

1. Setelah install apache2 maka langkah selanjutnya adalah mengaktifkan mode ssl kita.

a2enmod ssl

2. Selanjutnya kita restart apache.

service apache2 restart

3. Kita membutuhkan sebuah folder untuk menyimpan server key dan sertifikat.

Simpan ini didalam folder apache kita.

mkdir /etc/apache2/ssl

Keamanan Jaringan

| Ghozi Septiandri - 3 D3 IT B – 2103131048 |

| Berdawati Sukmaning S - 3 D3 IT B – 2103131056 |

5

4. Pada bagian ini kita akan membuat Sertifikat SSL

openssl req -x509 -nodes -days 730 -newkey rsa:2048 -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt

5. Karena kita mengaktifkan 2 metode, HTTP dan HTTPS. Jadi kita lupakan HTTP,

karena ini sudah pasti akan berfungsi seperti seharusnya. Komponen apache yang

menunjukkan dimana letak website kita disimpan ada pada file default. Ini berada di

/etc/apache2/sites-available/default. Itu adalah salah satu komponen apache yang

menunjukkan letak alamat website kita. Secara default file ini merujuk ke /var/www/.

Didalam /etc/apache2/sites-available/ terdapat 2 buah file, yang satu adalah

file default tadi, dan yang kedua adalah default-ssl. Kita akan fokus pada file

default-ssl.

Buka File default-ssl

nano /etc/apache2/sites-available/default-ssl

Tambahkan baris ini dalam default-ssl

SSLEngine On

SSLCertificateFile /etc/apache2/ssl/apache.crt

SSLCertificateKeyFile /etc/apache2/ssl/apache.key

Selanjutnya cari baris ini dan berikan tanda comment (#):

#SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem

# SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key

Keamanan Jaringan

| Ghozi Septiandri - 3 D3 IT B – 2103131048 |

| Berdawati Sukmaning S - 3 D3 IT B – 2103131056 |

6

Save lalu exit.

Keamanan Jaringan

| Ghozi Septiandri - 3 D3 IT B – 2103131048 |

| Berdawati Sukmaning S - 3 D3 IT B – 2103131056 |

7

6. Aktifkan website default-ssl.

a2ensite default-ssl

7. Baiklah semuanya telah selesai, sekarang restart apache kita.

service apache2 restart

Dengan konfigurasi tadi kita mempunyai 2 metode didalam website kita, dimana

untuk website dengan metode HTTPS, para babi hacker tidak akan bisa mendapatkan

password account siapa saja didalam website kita.

Karena sertifikat yang kita miliki ini adalah buatan sendiri maka ketika mengakses

https://192.168.100.5maka yang muncul adalah Security Warning seolah-olah kita

mengakses website yang tidak aman. Untuk melanjutkan ke website kita pilih saja

pilihan add exception pada browser anda.

Keamanan Jaringan

| Ghozi Septiandri - 3 D3 IT B – 2103131048 |

| Berdawati Sukmaning S - 3 D3 IT B – 2103131056 |

8

Keamanan Jaringan

| Ghozi Septiandri - 3 D3 IT B – 2103131048 |

| Berdawati Sukmaning S - 3 D3 IT B – 2103131056 |

9

Ada perbedaan diantara sertifikat yang gratis, dan yang berbayar sekaligus verified.

Perbedaan ini sangat jelas ketika kita pertama kali membuka url tersebut di browser

kita.

Untuk yang gratis buatan kita sendiri, akan tampil seperti ini :

8. Lihat WireShark untuk melihat proses yang terjadi dalam akses HTTPS.

Proses akses Https membutuhkan protocol TLS untuk sertifikat akses http. Yang

berwarna merah dalam wireshark dikarenakan warning pada security dalam SSL

Server.

Keamanan Jaringan

| Ghozi Septiandri - 3 D3 IT B – 2103131048 |

| Berdawati Sukmaning S - 3 D3 IT B – 2103131056 |

10

B. Rangkuman dan Kesimpulan HTTP/HTTPS

HTTP

Hypertext Transfer Protocol (HTTP) adalah sebuah protokol jaringan lapisan aplikasi

yang digunakan untuk sistem informasi terdistribusi, kolaboratif, dan menggunakan

hipermedia. Penggunaannya banyak pada pengambilan sumber daya yang saling

terhubung dengan tautan, yang disebut dengan dokumen hiperteks, yang kemudian

membentuk World Wide Web pada tahun 1990 oleh fisikawan Inggris, Tim Berners-Lee.

Hingga kini, ada dua versi mayor dari protokol HTTP, yakni HTTP/1.0 yang

menggunakan koneksi terpisah untuk setiap dokumen, dan HTTP/1.1 yang dapat

menggunakan koneksi yang sama untuk melakukan transaksi. Dengan demikian,

HTTP/1.1 bisa lebih cepat karena memang tidak perlu membuang waktu untuk

pembuatan koneksi berulang-ulang.

Pengembangan standar HTTP telah dilaksanakan oleh Konsorsium World Wide Web

(World Wide Web Consortium/W3C) dan juga Internet Engineering Task Force (IETF),

yang berujung pada publikasi beberapa dokumen Request for Comments (RFC), dan

yang paling banyak dirujuk adalah RFC 2616 (yang dipublikasikan pada bulan Juni

1999), yang mendefinisikan HTTP/1.1.

HTTP adalah sebuah protokol POST dan GET antara klien dan server. Sebuah klien

HTTP (seperti web browser atau robot dan lain sebagainya), biasanya memulai

permintaan dengan membuat hubungan ke port tertentu di sebuah server Webhosting

tertentu (biasanya port 80). Klien yang mengirimkan permintaan HTTP juga dikenal

dengan user agent. Server yang meresponsnya, yang menyimpan sumber daya seperti

berkas HTML dan gambar, dikenal juga sebagai origin server. Di antara user agent dan

Keamanan Jaringan

| Ghozi Septiandri - 3 D3 IT B – 2103131048 |

| Berdawati Sukmaning S - 3 D3 IT B – 2103131056 |

11

juga origin server, bisa saja ada penghubung, seperti halnya proxy, gateway, dan juga

tunnel.

HTTP tidaklah terbatas untuk penggunaan dengan TCP/IP, meskipun HTTP

merupakan salah satu protokol aplikasi TCP/IP paling populer melalui Internet. Memang

HTTP dapat diimplementasikan di atas protokol yang lain di atas Internet atau di atas

jaringan lainnya. Seperti yang disebutkan dalam "implemented on top of any other

protocol on the Internet, or on other networks.", tapi HTTP membutuhkan sebuah

protokol lapisan transport yang dapat diandalkan. Protokol lainnya yang menyediakan

layanan dan jaminan seperti itu juga dapat digunakan.."

Sesuai dengan perkembangan infrastruktur internet maka pada tahun 1999

dikeluarkan HTTP versi 1.1 untuk mengakomodasi proxy, cache dan koneksi yang

persisten.

HTTPS

Protokol transfer hiperteks adalah versi HTTP yang lebih aman dan protokol

komunikasinya dari World Wide Web. Ditemukan oleh Netscape Communications

Corporation untuk menyediakan autentikasi dan komunikasi tersandi dan penggunaan

dalam komersi elektris.

Selain menggunakan komunikasi plain text, HTTPS menyandikan data sesi

menggunakan protokol SSL (Secure Socket layer) atau protokol TLS (Transport Layer

Security). Kedua protokol tersebut memberikan perlindungan yang memadai dari

serangan eavesdroppers. Pada umumnya port HTTPS adalah 443.

Tingkat keamanan tergantung pada ketepatan dalam mengimplementasikan pada

browser web dan perangkat lunak server dan didukung oleh algorithma penyandian yang

actual.

Oleh karena itu, pada halaman web digunakan HTTPS, dan URL yang digunakan

dimulai dengan „https://‟ bukan dengan „http://‟

Kesalahpahaman yang sering terjadi pada pengguna kartu kredit di web ialah dengan

menganggap HTTPS “sepenuhnya” melindungi transaksi mereka. Sedangkan pada

kenyataannya, HTTPS hanya melakukan enkripsi informasi dari kartu mereka antara

browser mereka dengan web server yang menerima informasi.

Pada web server, informasi kartu mereka secara tipikal tersimpan di database server

(kadang-kadang tidak langsung dikirimkan ke pemroses kartu kredit), dan server database

inilah yang paling sering menjadi sasaran penyerangan oleh pihak-pihak yang tidak

berkepentingan.

Perbedaan HTTP dan HTTPS :

HTTP merupakan kependekan dari Hypertext Transfer Protocol yaitu suatu protokol

yang dipakai oleh www dimana HTTP itu sendiri memberikan definisi terhadap

bagaimana pesan dapat disampaikan dan diformat dari server menuju klien. Sementara itu

HTTPS atau yang memiliki kepanjangan Hypertext Transfer Protocol Secure ini juga

Keamanan Jaringan

| Ghozi Septiandri - 3 D3 IT B – 2103131048 |

| Berdawati Sukmaning S - 3 D3 IT B – 2103131056 |

12

merupakan suatu protokol yang dipakai oleh www dimana HTTPS itu sendiri akan

memberikan definisi terhadap bagaimana pesan dapat disampaikan dan diformat dari

server menuju klien dengan sangat aman.

Jadi kedua protokol tersebut memiliki fungsi yang sama, namun berbeda pada bagian

keamanannya. Ketika kita hendak browsing dengan menggunakan browser

yang meggunakan kemananan yang terjaga tentu HTTPS yang akan muncul dan diakses

oleh browser tersebut. Lain halnya jika masih menggunakan HTTP, informasi yang kita

kirimkan kepada pihak kedua yaitu website yang tertera akan sangat mudah diambil alih

oleh pihak ketiga. Hal yang berbeda ketika telah menggunakan HTTPS, informasi yang

kita kirimkan kepada pihak kedua tidak dapat diambil alih oleh pihak ketiga.

Beberapa perbedaan utama antara HTTP dan HTTPS, dimulai dengan port default,

80 untuk HTTP dan 443 untuk HTTPS. HTTPS bekerja dengan transmisi interaksi yang

normal sedangkan HTTP melalui sistem terenkripsi, sehingga dalam teori, informasi

tidak dapat diakses oleh pihak selain klien dan server akhir.

Kesimpulan :

Jadi HTTP dan HTTPS memiliki peranan yang sama dalam mendefinisikan

bagaimana suatu pesan bisa diformat dan dikirimkan dari server ke klien, hanya saja

HTTPS memiliki kelebihan fungsi dalam sistem keamanan dengan mengenkripsikan

informasi menggunakan SSL dan TLS. Sehingga HTTPS memiliki keamanan yang lebih

di bandingkan HTTP.

C. Kriptografi

a. Definisi

Kriptografi adalah konversi data ke dalam kode acak yang dideskripsi dan dikirim

melalui jaringan pribadi atau publik. Kriptografi digunakan untuk melindungi pesan

e-mail, informasi credit card dan data perusahaan.

b. Tujuan

Kriptografi bertujuan untuk memberi layanan keamanan (aspek-aspek keamanan)

sebagai berikut :

- Kerahasiaan (confidentiality) adalah layanan yang digunakan untuk menjaga isi

informasi dari semua pihak kecuali pihak yang memiliki otoritas terhadap

informasi tersebut. Untuk menjaga keamanan informasi dapat dilakukan dengan

pengamanan secara fisik hingga penggunaan algoritma matematika yang

membuat informasi tidak dapat dipahami.

- Integritas data (data integrity) adalah layanan yang menjamin bahwa pesan

masih utuh atau belum pernah dimanipulasi selama pengiriman. Untuk menjaga

integritas data, sistem harus memiliki kemampuan untuk mendeteksi manipulasi

pesan oleh pihak-pihak yang tidak berhak, seperti penyisipan, penghapusan, dan

pensubsitusian data lain kedalam pesan yang sebenarnya.

Keamanan Jaringan

| Ghozi Septiandri - 3 D3 IT B – 2103131048 |

| Berdawati Sukmaning S - 3 D3 IT B – 2103131056 |

13

- Otentikasi (authentication) adalah layanan yang berhubungan dengan

identifikasi, baik mengidentifikasikan kebenaran pihak-pihak yang

berkomunikasi (user authentication atau entity authentication) maupun

mengidentifikasi kebenaran sumber pesan (data origin authentication). Dua

pihak yang saling berkomunikasi harus dapat mengotentikasi satu sama lain,

sehingga ia dapat memastikan sumber pesan. Pesan yang dikirim melalui

saluran komunikasi juga harus diotentikasi asalnya. Otentikasi sumber pesan

secara implisit juga memberikan kepastian integritas data, sebab jika pesan telah

dimodifikasi berarti sumber pesan sudah tidak benar. Oleh karena itu, layanan

integritas data selalu dikombinasikan dengan layanan otentikasi sumber pesan.

- Nirpenyangkalan (non-repudiation) adalah layanan untuk mencegah entitas yang

berkomunikasi melakukan penyangkalan, yaitu pengirim pesan menyangkal

melakukan pengiriman atau penerima pesan menyangkal telah menerima pesan.

c. Tipe

- Symmetric Encryption (Secret key,shared key dan public key) menggunakan

kunci yang sama untuk encryption maupun decryption.

- Asymmetric Encription (Public key) menggunakan encryption keys untuk

encryption dan decryption. Keys ini dikenal sebagai public and private keys

- Hash Function (*Message digest atau satu arah encryption) Tanpa menggunakan

key untuk encryption dan decryption (* sebuah nilai yang dikenal juga sebagai

kriptografi checksum atau secure hash. Message digest dimaksudkan untuk

meningkatkan keamanan dalam transformasi data, seperti password).

d. Government Access to Keys (GAK)

- GAK berarti bahwa perusahaan perangkat lunak akan memberikan salinan dari

semua kunci , untuk setidaknya kunci yang sisanya bisa untuk pemerintah.

- Pemerintah berjanji bahwa mereka akan menjaganya dengan cara yang aman,

dan hanya akan menggunakannya ketika pengadilan mengeluarkan surat

perintah untuk melakukannya.

- Untuk pemerintah, masalah ini mirip dengan kemampuan untuk penyadapan

telepon.

e. Chipers

Algoritma yang digunakan untuk encrypt dan decrypt data.

Classical Chipers :

- Substitution chipper menggantikan bit , karakter , atau blok karakter dengan bit

yang berbeda , karakter atau blok.

- Transposition chipper huruf plaintext ditukarkan untuk membentuk cryptogram.

Modern Chipers :

Berdasarkan type key yang digunakan :

- Private Key : key yang sama digunakan encryption dan decryption

- Public Key : dua key yang berbeda digunakan encryption dan decryption

Keamanan Jaringan

| Ghozi Septiandri - 3 D3 IT B – 2103131048 |

| Berdawati Sukmaning S - 3 D3 IT B – 2103131056 |

14

Berdasarkan type input data :

- Block chipper : encrypt block data ukuran tetap

- Stream cipher : encrypts aliran kontinyu data

f. Advanced Encryption Standard (AES)

- AES adalah standar symmetric key encryption yang diadopsi oleh pemerintah

AS .

- AES adalah block chiper iterasi , bekerja dengan mengulangi langkah definisi

yang sama berulang kali .

- AES memiliki ukuran blok 128 bit , dengan ukuran kunci 128, 192, dan 256 bit,

masing-masing untuk AES - 128, AES - 192 dan AES -256.

g. Data Encryption Standard (DES)

- DES adalah nama dari Federal Information Processing Standard (FIPS) 46-3,

yang mendeskripsikan Data Encryption Algorithm (DEA).

- DEA adalah symmetric cryptosystem yang awalnya dirancang untuk

implementasi di hardware.

- DEA juga digunakan untuk enkripsi single-user , seperti untuk menyimpan file

pada hard disk dalam bentuk terenkripsi.

h. Algoritma RC4,RC5,RC6

- RC4

Variabel key ukuran stream chiper dengan operasi byte - oriented, dan

didasarkan pada penggunaan permutasi acak.

- RC5

Ini adalah algoritma parameter dengan ukuran variabel blok , ukuran variabel

key, dan sejumlah variabel putaran . Ukuran kunci adalah 128 bit

- RC6

RC6 menambahkan dua fitur untuk RC5 : masuknya perkalian bilangan bulat,

dan penggunaan empat 4 - bit register bekerja daripada dua register 2 - bit RC5

itu.

i. Skema DSA dan Related Signature

- DSA

DSA telah menjadi FIPS 186 disebut DSS.

- Digital Signature

Ini skema digital signature pertama kali diakui oleh pemerintah.

j. Rivest Shamir Adleman (RSA)

- RSA adalah enkripsi internet dan sistem otentikasi yang menggunakan algoritma

yang dikembangkan oleh Ron Rivest , Adi Shamir , dan Leonard Adleman

- RSA encryption digunakan secara meluas dan de-facto encryption standard

Keamanan Jaringan

| Ghozi Septiandri - 3 D3 IT B – 2103131048 |

| Berdawati Sukmaning S - 3 D3 IT B – 2103131056 |

15

- RSA menggunakan modular arithmetic, dan elementary number theories untuk

melakukan komputasi menggunakan 2 large prime numbers

k. Message Digest Function

- Menghitung representasi bit string berukuran tetap unik yang disebut Hash

Value dari setiap blok yang berubah-ubah informasi.

- Jika ada sedikit diberikan input fungsi ini berubah , setiap bit output memiliki

kesempatan 50 persen berubah.

- Ini adalah komputasi tidak layak untuk memiliki dua file dengan message digest

yang sama.

- Message Digest juga disebut one-way Bash function karena mereka

menghasilkan nilainilai yang sulit untuk dibalikkan.

l. Message Digest Function: MD5

- Algoritma MD5 mengambil pesan dari arbitrary length sebagai input dan output

128 bit fingerprint atau message digest dari input.

- MD5 mempunyai 32 digit hexadecimal number; MD5 tidak tahan tabrakan,

penggunaanalgoritma terbaru seperti SHA - 1 dan SHA - 2 dianjurkan.

- Ini digunakan secara meluas untuk aplikasi digital signature, memeriksa

integritas file dan kekuatan password

m. Secure Hashing Algorithm (SHA)

Ini adalah sebuah algoritma untuk menghasilkan cryptographically aman hash satu

arah, diumumkan oleh National Institute of Standards and Technology sebagai U.S

Federal Information Processing Standard

- SHA1

SHA1 menghasilkan 160 -bit digest dari pesan dengan panjang maksimum (264-

1) bit, menyerupai algoritma MD5.

- SHA2

SHA2 adalah keluarga dari dua fungsi hash yang sama, dengan ukuran blok

yang berbeda, yaitu SHA-256 yang menggunakan 32-bit words dan SHA-512

yang menggunakan 64-bit words.

- SHA3

SHA3 adalah fungsi hash standar masa depan yang masih dalam pengembangan,

dipilihdalam proses review publik dari desainer non-pemerintah.

n. Secure Shell (SSH)

- Komunikasi jarak jauh

SSH adalah pengganti yang aman untuk telnet dan Berkeley r - utilitas (rlogin,

rsh , rcp ,dan rdist).

- Saluran aman

- SSH menyediakan saluran terenkripsi untuk remote logging, perintah eksekusi

dan transfer file.

Keamanan Jaringan

| Ghozi Septiandri - 3 D3 IT B – 2103131048 |

| Berdawati Sukmaning S - 3 D3 IT B – 2103131056 |

16

- Otentikasi kuat

SSH menyediakan host-to-host dan otentikasi pengguna , dan komunikasi yang

aman melalui internet yang tidak aman.

o. Definisi Public Key Infrastructure (PKI)

PKI adalah satu set perangkat keras, perangkat lunak, orang, kebijakan, dan prosedur

yang diperlukan untuk membuat, mengelola, mendistribusikan, penggunaan,

menyimpan, dan mencabut sertifikat digital .

p. Komponen Public Key Infrastructure (PKI)

- Sebuah sistem manajemen sertifikat untuk pembangkit , distribusi, penyimpanan

dan verifikasi sertifikat.

- Satu atau lebih direktori dimana sertifikat ( dengan public keys mereka )

diadakan.

- Certificate authority (CA) bahwa isu-isu dan memverifikasi sertifikat digital.

- Registration authority (RA) yang bertindak sebagai verifikator untuk otoritas

sertifikat.

q. Digital Signature

- Digital signature digunakan asymmetric cryptography untuk mensimulasikan

sifat keamanan tanda tangan di digital, daripada bentuk tertulis.

- Skema Digital signature melibatkan dua algoritma ; private key untuk

menandatangani pesan dan public key untuk memverifikasi tanda tangan.

r. Secure Sockets Layer (SSL)

SSL adalah sebuah protokol lapisan aplikasi yang dikembangkan oleh Netscape

untuk mengelola keamanan transmisi pesan di internet . SSL menggunakan enkripsi

asimetris untuk mengenkripsi data yang ditransfer melalui koneksi SSL.

s. Transport Layer Security (TLS)

TLS adalah protokol untuk membuat sambungan aman antara klien dan server dan

memastikan privasi dan integritas informasi selama transmisi . TLS menggunakan

algoritma RSA dengan kekuatan 1024 dan 2048 bit

Keamanan Jaringan

| Ghozi Septiandri - 3 D3 IT B – 2103131048 |

| Berdawati Sukmaning S - 3 D3 IT B – 2103131056 |

17

Rangkuman :

- Menggunakan Public Key Infrastructure(PKI) , siapapun dapat mengirim pesan

rahasia

menggunakan informasi publik , yang hanya dapat didecrypted dengan private key di

satusatunya milik penerima yang dimaksud

- RSA digunakan secara luas dan merupakan standar encryption de –facto

- Algoritma MD5 ditujukan untuk aplikasi tanda tangan digital , di mana file besar

harus di

compressed securely (kompress secara aman) sebelum di encrypted

- Algoritma SHA mengambil pesan dari arbitrary length sebagai input dan output

message digest 160 -bit dari input

- SSL adalah protokol untuk transmisi dokumen pribadi melalui internet

- rsa adalah fast block chiper yang dirancang oleh RSA Security