Apa itu database?
Database adalah kumpulan data yang disimpan dan diatur/ diorganisasikan sehingga data tersebut dapat diambil atau dicari dengan mudah dan efisien.
Contoh database engine:
- SQL SERVER
- MS Access
- Oracle Database
- MySQL
- Firebird
- PostgreSQL
- DB2
Database merupakan komponen penting dalam infrakstruktur informasi.
Aplikasi-aplikasi sistem informasi hampir semuanya menggunakan database.
Situs-situe e-Commerce atau situs lainnya menggunakan database untuk menyimpan informasi dari visitor.
Apakah berlu diamankan? tentu saja PERLU.!!
Pada prakteknya tidak demikian, jarang diperhatikan dan sering diabaikan.
Kenapa?
Karena mereka lebih memperhatikan web server atau aplication server ketimbang database server.
Perhatian lebih banyak diberikan untuk perlindungan terhadap serang DoS dan deface.
Apa yang terjadi bila database diserang?
Jawabannya: akan mengalami kerugian yang besar bahkan lebih besar dibandingkan kerugian akibat downtime.
Apa yang dilakukan Hacker terhadap database server?
- bukan menghapus
- bukan merusak
- bukan merubah
- tetapi MENCURI..!!!
- Apa dampak dari pencurian database?
- Paling ringan : perusahaan hanya akan kehilangan waktu dan uang untuk biaya penyelidikan.
- Menghentikan layanan kepada customer sampai sistemnya dinyatakan dapat dipercaya, misalnya website ditutup sementara waktu.
- Diperas oleh pelaku
Contoh Kasus :
- Desember tahun 2000, situs egghead.com, sebuah toko penjual komputer retail, mengalami pencurian database diperkirakan 3.7 juta data kartu kredit pembeli telah dicuri.
- Tahun 1999, seorang rusia bernama Maxus berhasil mencuri data kartu kredit dari cdUniversal dan memeras perusahaan tersebut.
- November 2001, situs playboy.com mengalami hal yang sama.
- Musim semi 2001, diperkirakan sebanyak 98000 informasi kartu kredit telah berhasil dicuri.
- Maret 2001, FBI melaporkan lebih dari 40 situs perbankan mengalami pencurian oleh hacker dari Rusia dan Ukraina.
Langkah-langkah yang melindugi database
Database server harus di konfigurasi dengan benar, baik database enginenya maupun infrakstrukturnya.
Pemberian otoritas user harus sesuai dengan kebutuhan aplikasi.
Sebaiknya password database tidak diberikan kepada user.
hanya diperbolehkan untuk mengakses data yang diperlukan saja.
Jangan menggunakan user root, system atau selevelnya pada aplikasi untuk mengakses database server.
Jangan pernah user root atau selevelnya tanpa password.
Bagaimana dengan Infrakstruktur Jaringan?
Pisahkan database server dengan aplikasi server.
model 3 tier bukan 2 tier
2 tier jika hacker berhasil menjebol webserver, maka mereka akan memperoleh akses kedatabase kita.
muncul masalah:
ada cost untuk server lagi tetapi lebih murah dibanding database dicuri orang.
3-tier kinerja menurun karena butuh waktu untuk transfer data antara web dan database server. tetapi pada kenyataannya justru yang butuh waktu lama adalah trasfer dari client ke aplication server.
Database = aplication server cepa, karena internet.
Jangan menaruh database di area DMZ
jika di DMZ dapat diakses dari publik.
Ada pemikiran, bahwa jika di taruh pada area DMZ dan dipasang Firewall maka database server aman.
Yain Aman? TIDAK!
Memang benar bahwa firewall akan men-drop paket yang datang dari luar menuju ke database server, tetapi tidak men-drop paket yang datang dari area DMZ , misal nya mail server yang telah tercemar.
Ada 2 cara penerapan database server bila di luar DMZ
Firewall sebelah kanan dikonfigurasi agar yang menuju ke "data1" harus berasal dari "web1"dan melalui port 4100
Jika ada server lain yang tercemar, diarea DMZ maka server tersebut tidak dapat menyerang "data1"
Firewall di konfigurasi agar yang menuju ke "data1"harus berasal dari "web1" dan melalui port 4100
Jika ada server lain yang tercemar diarea DMZ, maka server itu tidak dapat menyerang "data1".
Data1 tidak menerima paket dari luar.
Ada pemikiran, bahwa jika di taruh pada area DMZ dan dipasang Firewall maka database server aman.
Yain Aman? TIDAK!
Memang benar bahwa firewall akan men-drop paket yang datang dari luar menuju ke database server, tetapi tidak men-drop paket yang datang dari area DMZ , misal nya mail server yang telah tercemar.
Ada 2 cara penerapan database server bila di luar DMZ
Firewall sebelah kanan dikonfigurasi agar yang menuju ke "data1" harus berasal dari "web1"dan melalui port 4100
Jika ada server lain yang tercemar, diarea DMZ maka server tersebut tidak dapat menyerang "data1"
Firewall di konfigurasi agar yang menuju ke "data1"harus berasal dari "web1" dan melalui port 4100
Jika ada server lain yang tercemar diarea DMZ, maka server itu tidak dapat menyerang "data1".
Data1 tidak menerima paket dari luar.
3. Ganti Peralatan HUB dengan Switch
Untuk menghindari bila intruder memasang program disalah satu server untuk menangkap data yang lewat pada jaringan.
Kebanyakan switch dapat terkontrol melalui telnet konsol.
Apakah dengan memakai switch aman?
Bagaimana bila intruder sudah menguasai salah satu server dan berusaha untuk mendapatkan akses switch.
Jika switch sudah dikuasai, maka intruder dapat meneruskan trafik area DMZ ke port dari server yang sudah dikuasai.
4. Enkripsi Data antara Web dan Database Server.
Ada yang mengatakan "saya sudah menggunakan SSL." sehingga datanya aman.
Perlu di ingat, SSL itu hanya dari client ke erb server.
Bagaimana dari Web ke database server? TIDAK DI ENKRIP
Jadi ?? trafik data antar web dan server harus di enkrip.
Caranya? Beberapa database engine sudah di lengkapi dengan enkripsi melalui SSL.
Bagaiman jika belum dilengkapi dengan SSL? Bisa menggunakan SSH port Forwarding dan stunnel.
Kesimpulan:
Memanf benar, jik tidak ada jaringan yang kebal terhadap serangan hacker, namun dengan langkah-langkah pencegahan ini, kita dapat membuat sulit bagi intruder untuk mencuri data, baik dari database atau dari lintas data.
Membiarkan database server tanpa pengamanan dengan firewall dan enkripsi akan menimbulkan masalah yang besar.
Pastikan database server an dan databse server sudah di patch dengan versi yang terakjir.
Perlu pendidikan mengenai keamanan administrator jaringan, database andministrator dan web programmer.
Pastikan bahwa web programmer / web developer dan DBA telah melaksanakan tugas nya dengan baik.
0 Komentar