keamanan http dan https berbasis web menggunakan sistem...

Jurnal Ilmiah Komputer dan Informatika (KOMPUTA)69

Vol. 4, No. 2, Oktober 2015, ISSN : 2089-9033

KEAMANAN HTTP DAN HTTPS BERBASIS WEB MENGGUNAKANSISTEM OPERASI KALI LINUX

Adzan Abdul Zabar1, Fahmi Novianto2

Program Studi Teknik Komputer – FTIKUniversitas Komputer Indonesia

Jln. Dipatiukur 122 Call. 022-2504119 Fax. 022-2533754E-mail: [email protected], [email protected]

ABSTRAK

Pada awal perkembangannya jaringan komputerhanya digunakan untuk pengiriman e-mail antarperguruan tinggi untuk keperluan riset dan untukberbagi penggunaan printer dalam suatuperusahaan. Untuk memenuhi tujuan tersebut,aspek keamanan jaringan pada saat itu tidakmendapat perhatian penting. Seiring denganperkembangan, jaringan komputer telah digunakansejak lama untuk hal-hal yang lebih kompleksseperti untuk perbankan, untuk perdagangan danmasih banyak lainnya. Dan semua itu menggunakanmedia Internet. Aspek keamanan dalam komunikasimelalui jaringan komputer menjadi semakinpenting terutama karena banyaknya aktivitaspertukaran informasi rahasia melalui Internet.Untuk menghindari penyadapan atau tindakkejahatan lainnya, maka dibuatlah jurnal ini untukmembahas perbandingan keamanan antar HTTPdan HTTPS.

1. PENDAHULUAN

Banyaknya pertukaran informasi, transaksi dantingginya aktifitas yang dilakukan pada jaringanInternet seperti menyimpan data-data baik datapribadi, data rahasia, ataupun informasi pentinglainnya terkadang membuat pengguna Internet lupabahwa semua informasi yang ada di Internetsebenarnya bersifat umum atau terbuka. Hal inimenjadikan Internet sebagai suatu sarana mediayang rentan terhadap serangan karena banyaknyalubang keamanan yang memungkinkan seseorangdapat mengetahui informasi data.

Oleh karena itu, jurnal ini akan membahasbeberapa kelemahan yang ada pada Internetkhususnya pada website dengan melakukanperbandingan keamanan antara http dan https.

Banyaknya pengguna yang masih belum menyadaritentang pentingnya keamanan sistem informasimenjadikan hal ini sebagai salah satu alasanpenulisan jurnal ini.

2. LANDASAN TEORI2.1 Internet

Internet adalah suatu jaringan komputer yangsaling terhubung untuk keperluan komunikasi daninformasi. Sebuah komputer dalam satu jaringaninternet dapat berada di mana saja atau bahkan diseluruh Indonesia. Sering juga internet diartikansebagai jaringan komputer di seluruh dunia yangberisikan informasi dan sebagai sarana komunikasidata yang berupa suara, gambar, video dan jugateks. Informasi ini dibuat oleh penyelenggara ataupemilik jaringan komputer atau dibuat pemilikinformasi yang menitipkan informasinya kepadapenyedia layanan internet.

Sedangkan pengertian internet menurut jikadilihat dari segi ilmu pengetahuan, internet adalahsebuah perpustakaan besar yang didalamnyaterdapat jutaan (bahkan milyaran) informasi ataudata yang dapat berupa teks, grafik, audio maupunanimasi dan lain lain dalam bentuk mediaelektronik [1].

2.2 WebsiteWebsite atau situs merupakan sebuah kumpulan

halaman-halaman web beserta file-filependukungnya yang mnampilkan informasi sepertifile gambar, video, dan file digital lainnya yangdisimpan pada sebuah web server yang umumnyadapat diakses melalui internet. Atau dengan katalain, website adalah sekumpulan folder dan fileyang mengandung banyak perintah dan fungsifungsi tertentu, seperti fungsi tampilan, fungsimenangani penyimpanan data, dsb [2].



2.3 Hypertext Transfer Protokol (HTTP)HTTP adalah sebuah protokol meminta atau

menjawab antara client dan server. Sebuh clientHTTP seperti web browser, biasanya memulaipermintaan dengan membuat hubungan TCP/IP keport tertentu di tuan rumah yang jauh (biasanya port80). Sebuah server HTTP yang mendengarkan diport tersebut menunggu client mengirim kodepermintaan (request), seperti "GET / HTTP/1.1"(yang akan meminta halaman yang sudahditentukan), diikuti dengan pesan MIME yangmemiliki beberapa informasi kode kepala yangmenjelaskan aspek dari permintaan tersebut, diikutdengan badan dari data tertentu. Beberapa kepala(header) juga bebas ditulis atau tidak, sementaralainnya (seperti tuan rumah) diperlukan olehprotokol HTTP/1.1. Begitu menerima kodepermintaan (dan pesan, bila ada), server mengirimkembali kode jawaban, seperti "200 OK", dansebuah pesan yang diminta, atau sebuah pesan erroratau pesan lainnya. Pengembangan HTTPdikoordinasi oleh Konsorsium World Wide Web(W3C) dan grup bekerja Internet Engineering TaskForce (IETF), bekerja dalam publikasi satu seriRFC, yang paling terkenal RFC 2616, yangmenjelaskan HTTP/1.1, versi HTTP yangdigunakan umum sekarang ini [3].

2.4 Hypertext Transfer Protocol Secure(HTTPS)

Hypertext Transfer Protocol Secure memilikipengertian yang sama dengan http hanya saja httpsmemiliki kelebihan fungsi di bidang keamanan(secure). Dengan menggunakan Secure SocketLayer (SSL) atau Transport Layer Security (TLS)sebagai sublayer di bawah http aplikasi layer yangbiasa. Teknologi https protokol mencegahkemungkinan “dicurinya” informasi penting yangdikirimkan selama proses komunikasi berlangsungantara user dengan web server atau sebaliknya.

Secara teknis, website yang menggunakan httpsakan melakukan enkripsi terhadap informasi (data)menggunakan teknik enkripsi SSL. Dengan cara inimeskipun seseorang berhasil “mencuri” datatersebut selama dalam perjalanan user web server,orang tersebut tidak akan bisa membacanya karenasudah diubah oleh teknik enkripsi SSL. Umumnyawebsite yang menggunakan https ini adalah websiteyang memiliki tingkat kerawanan tinggi yangberhubungan dengan masalah keuangan dan privasi

dari pelanggannya seperti website perbankan daninvestasi.

HTTPS dienkripsi dan deskripsi dari halamanyang di minta oleh pengguna dan halaman yang dikembalikan oleh web server. Kedua protokoltersebut memberikan perlindungan yang memadaidari serangan eavesdroppers, dan man in the middleattacks. Pada umumnya port yang digunakanHTTPS adalah port 443. Tingkat keamanantergantung pada ketepatan dalammengimplementasikan pada browser web danperangkat lunak server dan didukung olehalgoritma penyandian yang aktual. Oleh karena itu,pada halaman web digunakan HTTPS, dan URLyang digunakan dimulai dengan https:// [2].

2.5 Cara Kerja HTTP

Https bukan protokol yang terpisah, tetapimengacu pada kombinasi dari interaksi HTTPnormal melalui Socket Layer terenkripsi SSL(Secure) atau Transport Layer Security (TLS)mekanisme transportasi. Hal ini menjaminperlindungan yang wajar dari penyadapan danserangan. Port default TCP https: URL adalah 443.Untuk mempersiapkan web-server terkoneksidengan https penerima harus menjadi administratordan membuat sertifikat kunci publik untuk serverweb. Sertifikat ini dapat dibuat untuk serverberbasis Linux dengan alat seperti open SSL.Sertifikat ini harus ditandatangani oleh otoritassertifikat satu bentuk atau lain, yang menyatakanbahwa pemegang sertifikat adalah siapa yangmereka ajukan. Web browser pada umumnyadidistribusikan dengan penandatanganan sertifikatotoritas sertifikat utama, sehingga mereka dapatmemverifikasi sertifikat yang ditandatangani olehmereka.

Bila menggunakan koneksi https, servermerespon koneksi awal dengan menawarkan daftarmetode enkripsi mendukung. Sebagai tanggapan,client memilih metode sambungan, dan client dansertifikat server pertukaran untuk otentikasiidentitas mereka. Setelah ini dilakukan, kedua belahpihak bertukar informasi terenkripsi setelahmemastikan bahwa kedua menggunakan tombolyang sama, dan koneksi ditutup. Untuk hostkoneksi https, server harus memiliki sertifikat kuncipublik, yang embeds informasi kunci denganverifikasi identitas pemilik kunci itu. SertifikatKebanyakan diverifikasi oleh pihak ketiga sehinggaclient yakin bahwa kuncinya adalah aman [2].



2.6 Secure Socket Layer (SSL)

Secure Socket Layer adalah suatu protokol yangdiciptakan oleh Netscape untuk memastikankeamanan dalam bertransaksi di internet antarawebserver dan browser dari client. Protokol inimenggunakan sebuah badan yang biasa disebut CA(Certificate Authority) untuk mengidentifikasimemverifikasi pihak-pihak yang bertransaksi.Secara umum, cara kerja protokol SSL adalahsebagai berikut:1. Client membuka suatu halaman yang

mendukung protokol SSL, biasanya diawalidengan “https://” pada browser.

2. Webserver mengirimkan kunci publiknyabesertsa dengan sertifikat server

3. Browser melakukan pemeriksaan, apakahsertifikat tersebut dikeluarkan oleh CA(Certificate Authority) yang terpercaya? Apakahsertifikat terebut masih valid dan memangberhubungan dengan alamat situs yang sedangdikunjungi?

4. Setelah diyakini kebenaran dari web-servertersebut, kemudian browser menggunakankunci publik dari web-server untuk melakukanenkripsi terhadap suatu kunci simetri yangdibangkitkan secara acak dari pihak client.Kunci yang dienkripsi kemudian dikirimkan keweb-server untuk digunakan sebagai kunci utukmengenkripsi alamat URL (Uniform ResourceLocator) dan data http lain yang diperlukan

5. Web-server melakukan dekripsi terhadapenkrispi dari client tadi, menggunakan kunciprivate server. Server kemudian menggunakankunci simetri dari client tersebut untukmendekripsi URL dan data http yang akandiperlukan client

6. Server mengirimkan kembali halaman dokumenHTML yang diminta client dan data http yangterenkripsi dengan kunci simetri.

7. Browser melakukan dekripsi data http dandokumen HTML menggunakan kunci simetridan menampilkan informasi yang diminta [3].

2.7 Transport Layer Security (TLS)

Protokol keamanan dari Internet EngineeringTask Force (IETF) adalah Transport Layer Securitysebagai pengganti untuk protokol SSL v3.0 yangdikembangkan oleh Netscape. TLS didefinisikan didalam suatu request for comment, yaitu padaRFC2246. Banyak protokol pada layer aplikasi

yang menggunakan TLS untuk menciptakankoneksi yang aman, antara lain HTTP, IMAP,POP3, dan SMTP [4].

2.8 Kriptografi

Kriptografi adalah ilmu dan praktik menjagakerahasiaan dari pihak-pihak yang tidakdikehendaki baik saat penyampaian maupunpenyimpanan informasi tersebut. Informasi yanghendak dilindungi itu disamarkan denganmenggunakan cara-cara dan kunci tertentu.Kriptografi tidak hanya menjaga kerahasiaaninformasi, namun juga menjaga keutuhan dankeaslian informasi yang disampaikan.

Salah satu aplikasi kriptografi di jaringaninternet adalah pengamanan situs denganmenggunakan protokol HTTPS ini memungkinkanterjadinya akses dan transaksi melalui situs internetsecara aman, misalnya dalam online banking,online shopping, login ke email host dansebagainya. Ketika menggunakan koneksi HTTPS,server menanggapi inisiasi koneksi oleh clientdengan menawarkan berbagai metode enkripsi yangdapat menunjang [5].

3. PEMBAHASAN3.1 Obyek Penelitian

Obyek penelitian berupa sebuah sistem operasi,program aplikasi dan juga sebuah device. Sistemoperasi yang akan diteliti adalah Kali Linux 2.0,yang merupakan sistem operasi khusus untukpenetration testing. Sedangkan aplikasi yang akandipakai untuk menganalisa hasil percobaan adalahWireshark, sebuah program aplikasi yangdigunakan untuk memantau paket data yangterkirim maupun diterima oleh sebuah device, yangpada percobaan Wireshark akan digunakan sebagaiaplikasi untuk sniffing paket data [6]. Kemudian,device yang akan dijadikan obyek percobaan adalahsebuah smartphone Sony Xperia LT25i berbasisAndroid Jellybean 4.3.

3.2 Langkah Percobaan

Percobaan dilakukan menggunakan laptopdengan system operasi Kali Linux 2.0 (SANA) yangterhubung dengan sebuah jaringan kabel LAN(Local Area Network), dimana laptop tersebut akandigunakan sebagai hot-spot untuk membagi koneksiinternet-nya kepada device lain yang terhubungmelalui jaringan wireless (dalam hal ini device



adalah smartphone android). Adapun langkah-langkah yang harus dilakukan dalam percobaan iniyaitu:1. Mengaktifkan wi-fi hotspot pada laptop.2. Hubungkan smartphone dengan wifi

menggunakan fasilitas wireless yang sudah adapada smartphone.

3. Setelah smartphone terhubung dengan wifilaptop, jalankan program Wireshark yang sudahter-install pada Kali Linux 2.0.

4. Pada program Wireshark pilih interface yangakan di analisa paket datanya (dalam kasus iniakan dianalisa paket data yang aktif padainterface eth0).

5. Setelah interface dipilih, dapat langsungmengaktifkan Wireshark untuk menganalisapaket data yang aktif (pengiriman danpenerimaan) yang terjadi antara laptop,smartphone dan internet (proses ini disebutsniffing)

6. Pada saat smartphone melakukan aktivitasnyapada jaringan wireless yang disediakan olehlaptop dan berinteraksi dengan internet,beberapa aktivitasnya meninggalkan jejak yangdapat dilihat (sniff) pada program Wireshark

7. Setelah cukup, berikutnya menghentikanprogram Wireshark dan menganalisa hasilsniffing yang diperoleh. Akan memakan banyakwaktu jika menjalankan program Wiresharkterlalu lama, oleh karena itu beberapa detik puncukup untuk menangkap segala aktivitas yangdilakukan smartphone.

8. Lakukan analisa terhadap beberapa protokolseperti HTTP, UDP, dan TCP. Untuk protokoltertentu seperti TLSv1.2 dan SSL tidak dapatdianalisa, karena protokol tersebut merupakanprotokol secure, dimana pada saat mencobauntuk menganalisanya, maka akan mendapatkankarakter acak yang mana itu adalah enkripsipada protokol tersebut.

9. Selesai. Untuk keterangan mengenai percobaanakan dijelaskan pada Hasil Percobaan danPembahasan.

3.3 Hasil Pengujian

Setelah mengaktifkan wireless hotspot padaKali Linux seperti yang terlihat pada gambar 1,maka proses selanjutnya adalah pemilihan ethernetpada perangkat lunak wireshark.

Gambar 1. Mengaktifkan wireless hotspot padasistem operasi kali linux

Wireshark yang digunakan berfungsi sebagaiinterface untuk memantau paket data, tampilaninterface wireshark dapat dilihat seperti yangditunjukkan pada gambar 2 di bawah ini:

Gambar 2. Tampilan perangkat lunak Wireshark

Setelah melakukan sambungan terhadap eth0pada wireshark maka terlihat aktifitas yangdilakukan oleh pengguna lain dalam jaringan yangsama. Melakukan teknik sniffing terhadappengguna yang melakukan aktifitas internet sepertilogin atau memasukan password yang bersifatpribadi. Berikut adalah contoh gambar penggunayang melakukan login pada salah satu websiteunikom yang ditunjukkan pada gambar 3.












3.3 Hasil Pengujian

















3.3 Hasil Pengujian








Gambar 3. Tampilan web yang hendak dimasukioleh pengguna lain.

Dan berikut ini adalah hasil sniffing dari webunikom yang dimasuki oleh pengguna lain. Yangditunjukan pada gambar 4 seperti berikut:

Gambar 4. Nim dan password pada website yangdiakses dapat terlihat.

Selain itu teknik sniffing ini juga mampumelihat aktifitas yang dilakukan terhadap situs weblainnya baik melalui http atau https sepertimisalnya teknik sniffing yang dilakukan di jejaringsosial facebook. Pada alamat https://facebook.commelalui browser. Terlihat aktifitas yang terdapatpada jaringan tersebut. Hal ini dapat terlihat padagambar 5 berikut.

Gambar 5. Hasil sniffing pada https facebook.commelalui browser, data terenkripsi

Selain facebook, aktifitas lainnya yang dapatterlihat adalah instagram sebagaimana terdapatpada gambar 6. berikut ini:

Gambar 6. Pengguna dijaringan LAN yang samamengunggah gambar laptop pada akun instagram-nya.

Dalam gambar dapat terlihat aktifitas yangdilakukan oleh pengunggah foto tersebut denganmelihat data yang dikirimkan dan diterima yangmelewati jaringan yang telah dibuat sebelumnya.Data yang didapat berupa alamat web tempatdimana gambar tersebut diunggah. Di bawah inimerupakan tampilan gambar 7 yang menunjukan























proses sniffing pada akun instagram penggunadevice di jaringan yang sama.

Gambar 7. Sniffing pada aplikasi Instagram didevice, dapat terlihat alamat dari gambar

Alamat web yang terdapat pada wireshark dapatdibuka melalui browser dengan menulis kembalialamat web tersebut. Gambar 8 ini menunjukangambar yang telah dibuka pada browser.

Gambar 8. Hasil gambar yang diakses oleh devicedapat di buka melalui web browser

4. PENUTUP4.1 Kesimpulan

Dari hasil percobaan dan penelitian yangdilakukan http lebih rentan terhadap sniffingdibandingkan dengan https, karena http tidakmenggunakan metode enkripsi dalam pengirimanmaupun penerimaan paket data yang dilakukanantara device dengan server. Oleh karena itudikembangkan https guna untuk mengatasikekurangan tersebut, dengan metode enkripsi yanglebih aman dapat mengurangi serta mencegahserangan sniffing oleh hacker.

Pada percobaan berikutnya diharapkandilakukan penelitian terhadap kemanan https,karena sejauh ini protocol https adalah yang paling

aman walaupun sebenarnya masih ada cara untukmenembus protokol tersebut dengan men-downgrade https menjadi http.

4.2 SaranUntuk para pengguna internet, dari hasil

percobaan ini diharapkan dapat lebih berhati-hatidalam menggunakan wifi sebagai koneksi bebasyang disediakan pada suatu tempat, karena bisa jadisemua aktivitas yang dilakukan dipantau olehhacker dan terjadi hal yang tidak diinginkan, sepertipencurian akun, penyebaran gambar, informasi, dll.

DAFTAR PUSTAKA

[1]. Riska, Hari H, Agustin N, Studi TentangPenggunaan Internet Oleh Pelajar,http://ejournal.sos.fisip-unmul.ac.id/site/?p=614, 25 Januari 2016 13.52

[2]. Hamzah H, Pengertian Website DanFungsinya, http://ilmuti.org/wp-content/uploads/2014/03/HamzahHartono_Pengertian_WEBSITE_Dan_Fungsinya.pdf, 25Januari 2016 14.11

[3]. Ferdian Pramudya P, Agung Kaharesa W,Protocol HTTP Dan Handshaking Client-Server Untuk Berkomunikasi via HTTPS,http://blog.binadarma.ac.id/suryayusra/wp-content/uploads/2011/10/http-dan-handshake-via-https-.pdf, 25 Januari 2016 2.30

[4]. Hary F, Studi dan Implementasi SistemKeamanan Berbasis Web dengan Protokol SSLdi Server Students Informatika ITB,http://informatika.stei.itb.ac.id/~rinaldi.munir/Kriptografi/2009-2010/Makalah2/Makalah2_IF3058_2010_037.pdf, 25 Januari 2016 08.00

[5]. Ernestasia S, Aplikasi Kriptografi pada Secure,Socket Layer (SSL),http://informatika.stei.itb.ac.id/~rinaldi.munir/Matdis/2007-2008/Makalah/MakalahIF2153-0708-057.pdf, 25 Januari 2016 08.00

[6]. F Octavian, Kali Linux 300% Attack ComputerBook, Jasakom, 2015













DAFTAR PUSTAKA



















DAFTAR PUSTAKA







keamanan http dan https berbasis web menggunakan sistem...

Documents