1 / 14

Database Security

Database Security. Database Security. Apa itu database? kumpulan data yang disimpan dan diatur / diorganisasikan sehingga data tersebut dapat diambil atau dicari dengan mudah / efisien Contoh database engine: Sql Server MS Access Oracle Database MySQL Firebird PostgreSQL DB2.

nayef
Download Presentation

Database Security

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Database Security

  2. Database Security Apaitu database? kumpulan data yang disimpandandiatur/ diorganisasikansehingga data tersebutdapatdiambilataudicaridenganmudah/ efisien Contoh database engine: • Sql Server • MS Access • Oracle Database • MySQL • Firebird • PostgreSQL • DB2

  3. Database Security • Merupakankomponenpentingdalaminfrastrukturinformasi • Aplikasi-aplikasisisteminformasihampirsemuanyamenggunakan database • Situs-situs e-commerce atausitus-situslainnyamenggunakan database untukmenyimpaninformasidari visitor • Apakahperludiamankan ?? PERLU! • Padaprakteknyatidakdemikian jarangdiperhatikandanseringdiabaikan • Kenapa ?? Karenamerekalebihmemperhatikan web server atau application server ketimbang database server

  4. Database Security • PerhatianlebihbanyakdiberikanuntukperlindunganterhadapserangDoSdan deface • Apa yang terjadibila database server diserang?? akanmengalamikerugian yang besar, bahkanlebihbesardibandingkankerugianakibat downtime • Apa yang dilakukanoleh hacker terhadap database server? bukanmenghapus bukanmerubah bukanmerusak tetapi MENCURI !!

  5. Database Security Apadampakdaripencurian database? • Paling ringan: Perusahaan HANYA akankehilanganwaktudanuanguntukbiayapenyelidikan • Menghentikanlayanankepada customer sampaisistemnyadinyatakandapatdipercaya, misalnya website ditutupsementarawaktu • Diperasolehpelaku

  6. Database Security Contohkasus: • Desember 2000, situs egghead.com, sebuahtokopenjualkomputer retail, mengalamipencurian database, diperkirakan 3.7 juta data kartukreditpembelitelahdicuri • Tahun 1999, seorangRusiabernama Maxus, berhasilmencuri data kartukreditdaricdUniversaldanmemerasperusahaantersebut. • November 2001, situs playboy.com mengalamihal yang sama • Musim semi 2001, diperkirakansebanyak 98000 informasikartukredittelahberhasildicuri • Maret 2001, FBI melaporkanlebihdari 40 situsperbankanmengalamipencurianoleh hacker dariRusiadanUkraina

  7. Database Security Langkah-langkah yang melindungan database • Database server harusdikonfigurasidenganbenar, baik database enginenyamaupuninfrastrukturnya • Pemberianotoritas user harussesuaidengankebutuhanaplikasi • Sebaiknya password database tidakdiberikankepada user • Hanyadiperbolehkanuntukmengakses data yang diperlukansaja • Janganmenggunakan user root, system atauselevelnyapadaaplikasiuntukmengakses database server • Janganpernah user root atauselevelnyatanpa password

  8. Database Security Bagaimanadenganinfrastrukturjaringan? • Pisahkan database server dari application server • Model 3-tier, bukan 2-tier • 2-tier, jika hacker berhasilmenjebol web server, makamerekaakanmemperolehakseske database kita. • Munculmasalah • ada cost untuk server lagi, tetapilebihmurahdibandingkerugianbila database dicuriorang • 3-tierkinerjamenurunkarenabutuhwaktuuntuk transfer data antara web dan database server, tetapipadakenyataannyajustru yang butuhwaktu lama adalah transfer dari client ke application server • Database  Application server cepat, karena intranet

  9. Database Security 2. Janganmenaruh database server di area DMZ • Kalaudi DMZ, dapatdiaksesdaripublik • Adapemikiranbiladitaruhpada area DMZ dandipasang firewall maka database server aman • Yakin aman?? TIDAK !! • Memangbenar firewall akan men-drop paket yang datangdariluarmenujuke database server, tetapitidak men-drop paket yang datangdari area DMZ, misalnya mail server yang telah ‘tercemar’

  10. Database Security Ada 2 cara penerapan database server bila di luar DMZ • Firewall sebelah kanan, dikonfigurasi agar yang menuju ke ‘data1’ harus berasal dari ‘web1’ dan melalui port 4100 • Jika ada server lain yang ‘tercemar’ di area DMZ, maka server itu tidak dapat menyerang ‘data1’

  11. Database Security • Firewall dikonfigurasi agar yang menuju ke ‘data1’ harus berasal dari ‘web1’ dan melalui port 4100 • Jika ada server lain yang ‘tercemar’ di area DMZ, maka server itu tidak dapat menyerang ‘data1’ • ‘data1’ tidak menerima paket yang datang dari luar

  12. Database Security 3. GantiPeralatan Hub dengan Switch • Untukmenghindaribila intruder memasang program disalahsatu server untukmenangkap data yang lewatpadajaringan • Kebanyakan switch dapatdikontrolmelalui telnet konsol • Apakahdenganmemakai switch sudahaman ?? • Bagaimanabila intruder sudahmenguasaisalahsatu server danberusahauntukmendapatkanakseske switch • Jika switch sudahdikuasai, maka intruder dapatmeneruskantrafikdi area DMZ ke port dari server yang sudahdikuasai

  13. Database Security 4. Enkripsi Data Antara Web dan Database Server • Ada yang mengatakan, “Sayasudahmenggunakan SSL, sehinggadatanyaaman” • Perludiingat, SSL ituhanyadari client ke web server • Bagaimanadari web ke database server ?? TIDAK DIENKRIP • Jadi ?? Trafik data antara web dan database server harusdienkrip • Caranya ?? Beberapa database engine sudahdilengkapidenganenkripsimelalui SSL • Bagaimanakalaubelumdilengkapidengan SSL ?? Bisamenggunakan SSH Port Forwarding danSTunnel

  14. Database Security Kesimpulan • Memangbenartidakadajaringan yang kebalterhadapserangan hacker, namundenganlangkah-langkahpencegahanini, kitadapatmembuatsulitbagi intruder untukmencuri data baikdari database ataudarilalulintas data • Membiarkan database server tanpapengamanandengan firewall danenkripsiakanmenimbulkanmasalah yang besar • Pastikanbahwa web server dan database server sudahdipatchdenganversi yang terakhir • Perlupendidikanmengenaikeamanan administrator jaringan, database administrator dan web programmer • Pastikanbahwa web programmer/ web developmerdan DBA telahmelaksanakantugasnyadenganbaik

More Related