Web Domain Whitelisting for HTTPS/SSL Domain

Proses whitelisting web domain bertujuan untuk membatasi akses internet hanya pada website yang terdapat dalam daftar putih (whitelist) tersebut. Proses whitelist website ini umumnya dilakukan menggunakan aplikasi tertentu. Dengan menggunakan aplikasi whitelisting yang terpercaya, whitelisting juga dapat dilakukan pada website yang berbasis HTTPS / SSL tanpa adanya intrusi dari aplikasi tersebut, sehingga data yang dikomunikasikan tetap terenkripsi tanpa terbaca oleh aplikasi whitelisting tersebut.

HTTPS

Dewasa ini, metode penyerangan melalui dunia maya semakin beragam dan akibat yang ditimbulkan pun semakin luas, baik secara langsung maupun tidak langsung. Salah satu jalur penyerangan yang paling mudah ialah melalui website, terutama karena tingkat penggunaannya yang sangat tinggi dan mencakup sebagian besar khalayak manusia. Berbagai usaha telah dilakukan untuk meningkatkan keamanan dari sisi website, salah satunya ialah penggabungan protokol HTTP dengan SSL menjadi protokol komunikasi yang lebih aman, yakni HTTPS.

HTTP merupakan protokol aplikasi yang menjadi landasan protokol komunikasi world wide web (www). Sementara itu, Transport Layer Security (TLS) / Secure Socket Layer (SSL) ialah protokol kriptografi yang digunakan untuk meningkatkan keamanan pada komunikasi melalui internet [1]. Kedua protokol ini terletak pada layer aplikasi model TCP / IP, seperti dapat dilihat pada gambar di bawah ini,

tcpip

Ide awal dari HTTPS (HTTP Secure) ialah mengintegrasikan protokol HTTP dengan kapabilitas keamanan yang dimiliki TLS / SSL sehingga menghasilkan protokol komunikasi internet yang jauh lebih aman. Karena tingkat keamanannya ini, HTTPS umum digunakan untuk menyediakan layanan yang membutuhkan keamanan lebih, seperti situs perbankan atau online shopping. Demikian perbedaan singkat antara HTTP dan HTTPS [2],

  • Teknis: url pada HTTP dimulai dengan “http://”, sementara url pada HTTPS dimulai dengan “https://”. Selain itu, HTTP menggunakan port 80 untuk komunikasi, sementara HTTPS menggunakan port 443.
  • HTTPS menggunakan proses enkripsi, sementara HTTP tidak.
  • HTTPS membutuhkan sertifikasi, sementara HTTP tidak.

Perbedaan yang mempengaruhi level keamanan ialah dua poin terakhir, terutama karena server dari sebuah HTTPS host memerlukan sertifikasi kunci publik yang umumnya diberikan oleh pihak ketiga yang terpercaya. Berikut ialah langkah-langkah protokol komunikasi HTTPS antara client dan server secara umum,

  1. Client melakukan koneksi awal
  2. Server menjawab koneksi awal dengan memberikan daftar metode enkripsi yang dapat dilakukan
  3. Client memilih metode enkripsi serta mengirimkan sertifikasi untuk otentikasi identitas
  4. Server mengirimkan sertifikasi web-nya untuk otentikasi identitas
  5. Client dan server saling bertukar informasi menggunakan metode enkripsi yang telah disetujui
  6. Koneksi ditutup

Dapat kita lihat bahwa koneksi HTTPS akan lebih aman dibandingkan koneksi HTTP, karena menggunakan enkripsi dan pertukaran sertifikat sebagai otentikasi. Namun, hal ini masih kurang karena intrusi terhadap dunia maya masih dapat dilakukan, terutama pada tahap pengintaian serta pemaketan data yang akan dicuri [3]. Salah satu proses mitigasi yang dapat dilakukan untuk mengurangi risiko ini ialah dengan melakukan whitelisting pada web yang berbasis HTTPS tersebut.

 

WHITELISTING WEBSITE

Whitelisting berlawan dengan blacklisting dimana pada whitelisting kita membuat daftar hal yang kita beri kapabilitas tertentu, dan hal-hal di luar daftar tersebut tidak memiliki kapabilitas tersebut. Pada dunia maya, whitelisting umum dilakukan terhadap email, LAN, program / perangkat lunak, serta aplikasi tertentu. Artikel ini akan membahas secara spesifik proses whitelisting web yang berbasi HTTPS / SSL.

Proses whitelisting web umumnya dilakukan menggunakan software atau aplikasi tertentu, dimana user mengisi daftar website yang dapat dikunjungi komputernya. Pengisian database whitelist ini dapat dilakukan user setelah proses otentikasi password pada aplikasi tersebut. Koneksi internet selanjutnya akan dilakukan melalui kanal aplikasi tersebut.

 

WHITELISTING WEBSITE BERBASIS HTTPS / SSL

Proses whitelisting pada web yang berbasis HTTPS sedikit berbeda dibandingkan proses whitelisting pada web umumnya. Di saat kita mencoba mengunjungi web berbasis HTTPS yang telah kita whitelist dengan aplikasi tertentu, umumnya akan muncul peringatan “bad certificate” dikarenakan protokol HTTPS membutuhkan pertukaran sertifikat seperti telah dijelaskan pada bagian sebelumnya, sementara saat kita masuk ke web HTTPS tersebut melalui aplikasi whitelist maka pertukaran sertifikat tersebut tidak berjalan lancar. Hal ini bertujuan untuk memberikan kita peringatan lebih mengenai konten yang akan kita whitelist.

Untuk mempermudah hal ini, pada umumnya aplikasi whitelisting HTTPS yang bersangkutan menyediakan sertifikat khusus untuk koneksi HTTPS / SSL yang dapat kita unduh [4]. Menggunakan sertifikat ini, proses pertukaran sertifikat dengan web yang berbasi HTTPS / SSL dapat dilakukan secara langsung. Apabila aplikasi penyedia jasa whitelist ini tidak melakukan kecurangan, maka komunikasi yang dilakukan semestinya akan tetap terenkripsi tanpa diintrusi / didekripsi oleh aplikasi tersebut.

Jadi, inti dari proses whitelisting pada web yang berbasis HTTPS ialah kita dapat melakukan proses whitelisting seperti pada web HTTP umumnya, namun proses komunikasi tetap terjamin dengan enkripsi tanpa diintrusi / dibaca oleh aplikasi penyedia jasa whitelisting.

peringkat

Saat ini strategi mitigasi intrusi dunia maya menggunakan proses whitelisting web berbasis HTTPS / SSL sudah umum dilakukan, dan berdasarkan Australian Signals Directorate strategi mitigasi ini termasuk ke dalam 35 besar (peringkat 17) strategi mitigasi terhadap intrusi dunia maya. Strategi ini umumnya tidak terlalu banyak menghabiskan biaya untuk diaplikasikan dalam suatu organisasi, namun strategi ini biasanya tidak dapat mendeteksi datangnya intrusi.

 

IMPLEMENTASI

Pada bagian ini akan dijelaskan contoh implementasi whitelisting website menggunakan software Whitetrash pada OS Ubuntu [5]. Pertama akan ditunjukkan implementasi whitelisting menggunakan Whitetrash pada domain web biasa (HTTP).

1.  Pengguna melakukan koneksi dengan website yang belum terdapat dalam whitelist

whitetrash7

2.  Pengguna akan terhubung pada aplikasi Whitetrash untuk konfirmasi mengenai website tersebut, namun sebelumnya terdapat otentikasi user

whitetrash1

3.  Apabila otentikasi yang dilakukan berhasil, maka pengguna akan diminta untuk memilih apakah website tersebut akan dimasukkan ke dalam whitelist-nya atau tidak, seperti berikut

whitetrash2

4.  Apabila pengguna setuju untuk memasukkan website tersebut ke dalam whitelist-nya, Whitetrash akan mengkonfirmasi penambahan website tersebut ke dalam database whitelist pengguna seperti berikut,

whitetrash3

5.  Setelah konfirmasi dari Whitetrash, pengguna akan diarahkan pada website tersebut seperti berikut,

whitetrash4

Selanjutnya, tiap koneksi pada website yang belum terdapat pada whitelist akan diarahkan terlebih dahulu pada konfirmasi penambahan website pada whitelist Whitetrash (poin 3). Otentikasi user hanya dilakukan di awal.

6.  Pengguna juga dapat mengamati daftar website dalam whitelist sebagai berikut,

whitetrash5

atau melalui akun admin sebagai berikut,

whitetrash6

 

CONTOH INSIDEN

Whitelisting web secara umum (HTTP) merupakan usaha mitigasi untuk menanggulangi intrusi dunia maya pada tahap pengintaian awal serta pemaketan data yang akan dicuri. Dua skenario intrusi yang mungkin terjadi ialah,

  • Seseorang menggunakan komputer orang lain untuk mengunjungi situs yang berbahaya.
  • Malware menghubungkan koneksi internet seseorang dengan sebuah situs berbahaya tanpa disadari pemilik komputer tersebut.

Kedua skenario ini dapat ditanggulangi dengan aplikasi whitelisting situs karena untuk penambahan daftar putih (whitelist) dibutuhkan otentikasi pengguna. Intrusi tidak dapat dilakukan apabila pihak penyerang tidak memiliki bukti otentikasi (password) yang valid.

Sementara itu, contoh skenario yang mungkin terjadi pada penggunaan aplikasi whitelisting situs yang spesifik pada HTTPS / SSL ialah sebagai berikut,

  • Aplikasi whitelisting yang digunakan kurang terpercaya, sementara pengguna melakukan koneksi HTTPS/SSL dengan sebuah situs. Komunikasi data yang seharusnya terenkripsi sebagaimana koneksi HTTPS/SSL pada umumnya tidak terenkripsi, atau diintrusi oleh aplikasi whitelisting tersebut sehingga data yang dikomunikasikan dibaca oleh aplikasi tersebut. Untuk menanggulangi hal ini, pilih aplikasi whitelisting yang terpercaya.

 

REFERENSI

  1. IETF, 2008. The Transport Layer Security (TLS) Protocol Version 1.2. [Online] Available at: http://tools.ietf.org/html/rfc5246 [Diakses 29 10 2013].
  2. Kumar, Naresh, 2012. HTTP vs HTTPS: Similarities and Difference. [Online] Available at: http://theprofessionalspoint.blogspot.com/2012/04/http-vs-https-similarities-and.html [Diakses 29 10 2013].
  3. Directorate, A. S., 2012. Strategies to Mitigate Targeted Cyber Intrusions.[Online] Available at: http://www.asd.gov.au/infosec/top-mitigations/top35mitigationstrategies-list.htm [Diakses 28 10 2013].
  4. Whitetrash, 2009. Frequently Ask Question (FAQ).[Online] Available at: http://whitetrash.sourceforge.net/FAQ.shtml [Diakses 28 10 2013].
  5. Whitetrash, 2009. Frequently Ask Question (FAQ).[Online] Available at: http://whitetrash.sourceforge.net/ [Diakses 28 10 2013].

 

Alan Yudhahutama / 23213028

Galih Gilang Wicaksono / 23213098

Leave a Reply

Your email address will not be published. Required fields are marked *