Saturday, October 23, 2010

Cara Mengamankan Database


D
atabase dewasa ini berpasangan sangat erat dengan aplikasi-aplikasi web. Kegunaannya pun beragam, mulai dari menyimpan nama-nama user, password, hingga menyimpan no kartu kredit (ingat khan artikel yang Spyro posting mengenai tehnik carding dengan meng-crack file database).
Tapi sayangnya, keamanan database kerap kali diabaikan dan dianggap sebagai hal yang tidak terlalu membutuhkan perlindungan keamanan. Hal ini bisa disimpulkan dari sekian banyaknya artikel yang membahas tentang metode-metode srangan terhadap database. Padahal, kebocoran informasi-informasi yang ada pada database bisa berdampak fatal dan kerugian besar. Berikut ini beberapa cara untuk pencegahan serangan terhadap database anda:
 
1.      Rajin mengupdate Patch
Sesegera mungkin downloadlah dan instal patch-patch terbaru yang tersedia. Biasanya, baik untuk Microsoft ataupun Oracle, patch-patch diedarkan secara reguler. Namunjangan lupa untuk melakukan pengujian terlebih dahulu. Perlu diingat bahwa anda harus melakukan pengujian pada system mirror, jangan pada system yang sebenarnya.
 
2.      Konfigurasi Firewall
Terapkan aturan-aturan firewall yang ketat. Pastikan anda memeriksanya secara rutin dan berkala. Selalu blok port untuk akses-akses database seperti TCP dan UDP 1434 (MS SQL) dan TCP 1521-1530 (Oracle)
 
3.      Sanitasi (Penyaringan Input)
Anda harus mensanitasi input yang diterima dari user. Selalu periksa data-data yang diterima dan periksa tipenya (integer, string, dst..). Anda harus memotong karakter-karakter yang tidak diinginkan, misalnya saja meta karakter.
 
4.      Membuang Stored Procedure
Pastikan anda telah membuang semua stored procedure (termasuk extended stored procedure) dari keseluruhan database, tanpa terkecuali master. Script-script yang tidak berbahaya tersebut bisa saja menjadi penumbang database yang paling aman sekalipun.
 
5.      Penggunaan Stored Procedure
Jika memungkinkan, gunakan kode SQL yang sudah digunakan ke dalam sebuah stored procedure. Hal ini akan membatasi kode SQL yang perlu diatur dalam file ASP dan mengurangi exploitasi serangan terhadap validasi input.
 
6.      Enkripsi Session
Jika server database anda terpisah dari web server, pastikan anda mengenkripsi session dengan beberapa cara, misalnya saj menggunakan IPSec built in pada windows 2000.
 
7.      Hak-Hak Khusus
Pastikan (dan kalo bisa selalu) terapkan sesedikit mungkin hak-hak akses. Jangan menggunakan "sa" untuk mengakses file-file database.

 

No comments:

Related Posts Plugin for WordPress, Blogger...

Followers