• Tidak ada hasil yang ditemukan

ACCESS CONTROL & PROTECTION. Indra Priyandono

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2021

Membagikan "ACCESS CONTROL & PROTECTION. Indra Priyandono"

Copied!
36
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 36 Halaman )

Teks penuh

(1)

+

ACCESS CONTROL & PROTECTION

(2)
(3)

+

Pengertian Access Control

n  Kontrol akses adalah kumpulan mekanisme yang

memungkinkan manajer sistem atau seorang sistem

administrator untuk memberlakukan aturan aturan dalam penggunaan suatu sistem, obyek atau target

n  Fitur keamanan yang mengontrol bagaimana pengguna dan

sistem berkomunikasi dan berinteraksi satu sama lain.

n  Hal ini memungkinkan manajemen untuk menentukan apa

yang dapat dilakukan pengguna, sumber daya yang mereka dapat akses, dan operasi apa yang mereka dapat melakukan pada sistem

(4)

+

Pengendalian Akses / Akses

Kontrol (Access Control)

n  Obyek/Target : semua hal yang perlu untuk dikendalikan.

Misal: ruangan, jaringan, dll.

n  Subyek/pelaku : pengguna, program atau proses yang

meminta izin untuk mengakses obyek.

n  Sistem/Proses: antarmuka antara obyek dan subyek dari

pengendalian akses.

Dalam pengendalian akses, subyek harus di-identifikasi, otentikasi dan otorisasi (identified, authenticated and authorized).

(5)

+

Akses Kontrol meliputi

n  Authentication : pengenalan pengguna

n  menentukan akses apa saja yang diijinkan

n  Otentikasi manusia ke mesin

n  Otentikasi mesin ke mesin

n  Authorization : pemberian hak akses atas obyek.

n  Setelah Anda memiliki akses, apa yang dapat Anda lakukan?

n  Accounting : pelacakan, pencatatan dan audit aktivitas

Trio Authentication, Authorization, and Accounting sering dikenal dengan singkatan AAA.

(6)

+

Authentication

Faktor-faktor dalam identifikasi dan otentikasi:

n 

Sesuatu yang diketahui (contoh: password)

n 

Sesuatu yang dimiliki (contoh : smartcard)

n 

Sesuatu yang bagian dari diri sendiri / Biometric

(contoh: sidik jari)

Peningkatan keamanan dilakukan dengan

mengkombinasikan faktor yang digunakan, dan sistem

ini dikenal dengan nama terkait jumlah faktor nya. Misal:

identifikasi atau otentikasi dua faktor.

(7)

+

Authorization

n 

Proses dimana subyek atau pelaku, telah

memenuhi kriteria identifikasi dan otentikasi,

diberikan hak akses atas sesua obyek yang

dikendalikan.

hak akses dapat berupa tingkatan-tingkatan

tertentu terhadap obyek. Misal: tingkatan direktori,

jenis/klasifikasi dokumen, dll.

(8)

+

Accounting

n  Sistem pengendalian akses yang dipercayakan dalam

transaksi terkait keamanan harus menyediakan fasilitas yang dapat menjelaskan apa saja yang terjadi.

n  Dalam hal ini termasuk pelacakan atas aktivitas sistem dan

pelakunya.

n  Diterapkan dalam bentuk catatan atau log dari kejadian atau

(9)

+

Sesuatu yang diketahui

n 

Passwords

Banyak hal bertindak sebagai password!

n 

PIN

n 

Nomor jaminan sosial

n 

Nama gadis ibu

n 

Tanggal lahir

(10)

+

Password

Perlu dilakukan karena bagian penting dari sistem

pengendalian akses manapun, baik sistem yang otomatis ataupun manual.

n  Pemilihan password: terkait panjang karakter minimum,

jenis karakter yg digunakan, umur atau penggunaan ulang password.

n  Pengelolaan catatan Password: mencatat apa saja kejadian

pada password, mulai dari permintaan pembuatan, reset, kadaluarsa hingga dihapus.

n  Audit dan Kontrol Password: menentukan manfaat secara

umum dari sistem pengendalian akses dalam menurunkan akses tidak berhak atau serangan

(11)

+

Good and Bad Passwords

n  Bad passwords n  frank n  Fido n  password n  4444 n  Pikachu n  102560 n  AustinStamp n  Good Passwords? n  jfIej,43j-EmmL+y n  09864376537263 n  P0kem0N n  FSa7Yago n  0nceuP0nAt1m8 n  PokeGCTall150

(12)

+

Password Guessing

(13)

+

Simple Password

(14)

+

Biometric

n 

Biometrics dapat digunakan sebagai

pengganti password

n 

Saat ini Biometrik sudah murah dan handal

n 

Biometrics digunakan dalam keamanan,

seperti pada

n 

Sidik jari untuk membuka pintu

n 

Retina mata

(15)

+

Authentication vs Authorization

n  Authentication à Siapa itu?

n  Pembatasan siapa (atau apa) yang dapat mengakses sistem

n  Authorization à Apakah Anda diperbolehkan untuk

melakukan itu?

n  Pembatasan tindakan pengguna otentik

n  Authorization /Otorisasi merupakan bentuk kontrol akses

n 

Authorization /

Otorisasi ditegakkan oleh

(16)

+

Lampson

s Access Control Matrix

n  Subjects (users) index the rows

n  Objects (resources) index the columns

rx

rx

r

---

---

rx

rx

r

rw

rw

rwx

rwx

r

rw

rw

rx

rx

rw

rw

rw

OS Accounting program Accounting data Insurance data Payroll data Bob

Alice Sam

Accounting program

(17)

+

Jaminan Keamanan

n  Keamanan dalam sistem pengendalian akses dapat dianggap

tercapai jika CIA + Accountability terpenuhi. (Confidentiality, Integrity dan Availability)

n  Hal diatas terpenuhi jika pertanyaan berikut terjawab

dengan baik:

n  Apakah transaksi antara subyek dan obyek akses kontrol

terlindungi?

n  Apakah integritas obyek dapat dipastikan dan dijamin? n  Apakah obyek tersedia ketika diperlukan?

(18)

+

Administrasi, Metoda, Kebijakan,

Model Pada Access Control

(19)

+

Administrasi Access Control

n  Account Administration: Hal-hal berkaitan dengan pengelolaan

akun semua pelaku, baik pengguna sistem, dan layanan. Dalam hal ini termasuk, pembuatan ( (authorization, rights, permissions),

pemeliharaan (account lockout-reset, audit, password policy), dan pemusnahan akun(rename or delete).

n  Access Rights and Permissions: Pemilik data menentukan hak dan

perizinan atas akun dengan mempertimbangkan principle of least

privilege.

(20)

+

Administrasi Access Control (cont)

n  Monitoring: mengawasi dan mencatat perubahan atau

aktivitas akun.

n  Removable Media Security: Dilakukan pembatasan

penggunaan removable media untuk meningkatkan keamanan.

n  Management of Data Caches: pengelolaan file temporary,

(21)

+

Metoda Access Control

n  Centralized access control: Semua permintaan access

control diarahkan ke sebuah titik otentikasi/kelompok sistem.

n  Memberikan satu titik pengelolaan

n  Lebih memudahkan dengan kompensasi biaya lebih besar. n  Implementasi lebih sulit

Contoh: Kerberos, Remote Authentication Dial-In User Service (RADIUS), Terminal Access Controller Access

Control System (TACACS), TACACS+ (allows encryption of data).

(22)
(23)

+

Metoda Access Control (cont)

n  Decentralized access control: akses kontrol tidak

dikendalikan sebuah titik otentikasi atau keompok sistem.

n  Menguntungkan pada kondisi akses ke sistem terpusat

sulit disediakan.

n  Lebih sulit dalam pengelolaan.

(24)

+

Jenis Kebijakan Access Control

n  Preventive / pencegahan: mencegah exploitasi atas

vulnerability yang ada. Misal: patching/update, klasifikasi data, background check, pemisahan tugas, dll.

n  Detective : Kebijakan yang diterapkan untuk menduga

kapan serangan akan terjadi. Misal: IDS, log monitoring, dll

n  Corrective : kebijakan untuk melakukan perbaikan segera

setelah vulnerability di-eksploitasi. Misal: Disaster Recovery Plans (DRP), Emergency Restore Procedures, password

(25)

+

Metoda Implementasi

n 

Administrative: kebijakan dikendalikan secara

andministrasi dengan kebijakan yan g diteruskan

melalui struktur administrasi, dari atasan/

pimpinan kepada bawahan, dst. Biasanya bersifat

tidak otomatis. Misal: kebijakan tertulis tentang

password (panjang, umur/jangka waktu, dll)

(26)

+

Metoda Implementasi (cont)

n 

Logical/Technical: Kebijakan ini diterapkan

dengan memaksa penggunaan access control

secara teknis . Ditujukan untuk membatasi

kesalahan manusia dalam penggunaan sistem.

Misal: penggunaan aplikasi SSH, input validation,

dll

(27)
(28)

+

Metoda Implementasi (cont)

n 

Physical: Kebijakan diterapkan secara fisik,

misal : pembatasan akses fisik ke gedung yang

diamankan, perlindungan kabel dan peralatan

terhadap electro-magnetic interference (EMI),dll.

Misal: Petugas keamanan, peralatan biometrik,

katu pengenal kantor, Perimeter defenses

(dinding/kawat), dll.

(29)

+

Metoda Implementasi (cont)

Kebijakan dan implementasi dapat dikombinasikan.

Misal:

n  Preventive / Administrative dalam bentuk kebijakan

password tertulis;

n  Detective / Logical/Technical (misal: IDS);

n  Corrective / Administrative (misal: DRP).

n  CCTV ?

n  Preventive/Physical (kalau hanya merekam) n  Detective/Physical (jika dimonitor secara aktif)

(30)

+

Model Access Control

n  Discretionary Access Control (DAC) : Pemilik data

menentukan hak akses (dapat mengganti perizinan)

n  Mandatory Access Control (MAC) : Sistem menentukan hak

akses tergantung pada label klasifikasi (sensitivity label). Lebih tangguh dari DAC. (Hanya admin pusat yang dapat memodifikasi perizinan, namun klasifikasi ditetapkan pemilik data).

n  Role-based access control (RBAC) aka Non-

Discretionary : Role atau fungsi dari pengguna/subyek/

tugas menentukan akses terhadap obyek data.

Menggunakan access control terpusat yang menentukan bagaiman subyek dan obyek berinteraksi.

(31)

+

(32)

+

n 

UID

n 

integer user ID

n 

UID=0 adalah

root

n 

GID

n 

Integer group ID

n 

Pengguna dapat dikelompokkan pada beberapa

(33)

+

UNIX File Permissions

Tiga set hak akses:

n  User owner n  Group owner

n  Other (everyone else)

Tiga hak akses per kelompok

n  read n  write n  execute

n  UID 0 dapat mengakses tanpa hak akses.

(34)

+

(35)

+

Octal Permission Notation

Setiap set (u, g, o) diwakili oleh digit oktal.

Setiap Permission (r, w, x) merupakan salah satu bit

dalam digit.

ex:

chmod 0644 file

u: rw, g: r, o: r

ex:

chmod 0711 bin

u: rwx, g: x, o: x

(36)

Referensi

Unduh sekarang ( PDF - 36 Halaman - 399.92 KB )

Dokumen terkait

ppl2_3301409033_R112_1349792749. 308.17KB 2013-07-11 22:14:59

Dalam Peraturan Rektor Universitas Negeri Semarang Nomor 14 Tahun 2012 tentang “ Pedoman Praktik Pengalaman Lapangan (PPL) bagi Mahasiswa Program Kependidikan Universitas

Training Leadership 1 Pimpin diri sebelu

Tabungan Energi (TE) bisa bernilai positif (+) atau negatif (-) tergantung dari bentuk energi yang kita keluarkan pada saat berusaha. Contoh : Korupsi bentuk usaha

KOMISI PEMILIHAN UMUM PROVINSI DAERAH KHUSUS IBUKOTA JAKARTA KEPUTUSAN KOMISI PEMILIHAN UMUM PROVINSI DAERAH KHUSUS IBUKOTA JAKARTA

bahwa berdasarkan ketentuan Pasal 16 ayat (1) Peraturan Komisi Pemilihan Umum Nomor 13 tahun 2010 tentang Pedoman Teknis Tata Cara Pencalonan Pemilihan Umum Kepala Daerah dan

KEMUNDURAN DAN KEHANCURAN KERAJAAN MUGHAL

Kebijakan puritanisme oleh sultan Aurangzeb dan pengislaman orang-orang Hindu secara paksa demi menjadikan tanah India sebagai negara Islam, dengan menyerang berbagai praktek

PENGARUH PERILAKU MAKAN DAN AKTIVITAS FISIK TERHADAP KEJADIAN OBESITAS PADA PELAJAR DI SMU METHODIST MEDAN

Tingginya obesitas pada remaja ada kecenderungan mengalami peningkatan, dengan pola makan yang sudah berubah serta aktivitas fisik yang kurang dengan latar

NON-ACTIVATED VERSION

Dalam teori pendekatan situasional, kepemimpinan yang efektif adalah bagaimana seorang pemimpin dapat mengetahui keadaan baik kemampuan ataupun sifat dari anak buah yang di

Pancasila sebagai Ideologi dan Filsafat

Perkembangan masyarakat Indonesia pada saat ini dalam menghadapi era globalisasi yang penuh dengan tantangan dan kemungkinan yang bisa terjadi seakan-akan masyarakat Indonesia

Edisi Khusus Desember 2009 | JURNAL PENELITIAN SAINS d muharni ganjil

Isolasi dan identifikasi bakteri termofilik penghasil kitinase dari sumber air panas Danau Ranau Suma- tera Selatan, diperoleh 2 isolat yang mampu meng- hasilkan kitinase dengan