+
ACCESS CONTROL & PROTECTION
+
Pengertian Access Control
n Kontrol akses adalah kumpulan mekanisme yang
memungkinkan manajer sistem atau seorang sistem
administrator untuk memberlakukan aturan aturan dalam penggunaan suatu sistem, obyek atau target
n Fitur keamanan yang mengontrol bagaimana pengguna dan
sistem berkomunikasi dan berinteraksi satu sama lain.
n Hal ini memungkinkan manajemen untuk menentukan apa
yang dapat dilakukan pengguna, sumber daya yang mereka dapat akses, dan operasi apa yang mereka dapat melakukan pada sistem
+
Pengendalian Akses / Akses
Kontrol (Access Control)
n Obyek/Target : semua hal yang perlu untuk dikendalikan.
Misal: ruangan, jaringan, dll.
n Subyek/pelaku : pengguna, program atau proses yang
meminta izin untuk mengakses obyek.
n Sistem/Proses: antarmuka antara obyek dan subyek dari
pengendalian akses.
Dalam pengendalian akses, subyek harus di-identifikasi, otentikasi dan otorisasi (identified, authenticated and authorized).
+
Akses Kontrol meliputi
n Authentication : pengenalan pengguna
n menentukan akses apa saja yang diijinkan
n Otentikasi manusia ke mesin
n Otentikasi mesin ke mesin
n Authorization : pemberian hak akses atas obyek.
n Setelah Anda memiliki akses, apa yang dapat Anda lakukan?
n Accounting : pelacakan, pencatatan dan audit aktivitas
Trio Authentication, Authorization, and Accounting sering dikenal dengan singkatan AAA.
+
Authentication
Faktor-faktor dalam identifikasi dan otentikasi:
n
Sesuatu yang diketahui (contoh: password)
n
Sesuatu yang dimiliki (contoh : smartcard)
n
Sesuatu yang bagian dari diri sendiri / Biometric
(contoh: sidik jari)
Peningkatan keamanan dilakukan dengan
mengkombinasikan faktor yang digunakan, dan sistem
ini dikenal dengan nama terkait jumlah faktor nya. Misal:
identifikasi atau otentikasi dua faktor.
+
Authorization
n
Proses dimana subyek atau pelaku, telah
memenuhi kriteria identifikasi dan otentikasi,
diberikan hak akses atas sesua obyek yang
dikendalikan.
hak akses dapat berupa tingkatan-tingkatan
tertentu terhadap obyek. Misal: tingkatan direktori,
jenis/klasifikasi dokumen, dll.
+
Accounting
n Sistem pengendalian akses yang dipercayakan dalam
transaksi terkait keamanan harus menyediakan fasilitas yang dapat menjelaskan apa saja yang terjadi.
n Dalam hal ini termasuk pelacakan atas aktivitas sistem dan
pelakunya.
n Diterapkan dalam bentuk catatan atau log dari kejadian atau
+
Sesuatu yang diketahui
n
Passwords
Banyak hal bertindak sebagai password!
n
PIN
n
Nomor jaminan sosial
n
Nama gadis ibu
n
Tanggal lahir
+
Password
Perlu dilakukan karena bagian penting dari sistem
pengendalian akses manapun, baik sistem yang otomatis ataupun manual.
n Pemilihan password: terkait panjang karakter minimum,
jenis karakter yg digunakan, umur atau penggunaan ulang password.
n Pengelolaan catatan Password: mencatat apa saja kejadian
pada password, mulai dari permintaan pembuatan, reset, kadaluarsa hingga dihapus.
n Audit dan Kontrol Password: menentukan manfaat secara
umum dari sistem pengendalian akses dalam menurunkan akses tidak berhak atau serangan
+
Good and Bad Passwords
n Bad passwords n frank n Fido n password n 4444 n Pikachu n 102560 n AustinStamp n Good Passwords? n jfIej,43j-EmmL+y n 09864376537263 n P0kem0N n FSa7Yago n 0nceuP0nAt1m8 n PokeGCTall150
+
Password Guessing
+
Simple Password
+
Biometric
n
Biometrics dapat digunakan sebagai
pengganti password
n
Saat ini Biometrik sudah murah dan handal
n
Biometrics digunakan dalam keamanan,
seperti pada
n
Sidik jari untuk membuka pintu
nRetina mata
+
Authentication vs Authorization
n Authentication à Siapa itu?
n Pembatasan siapa (atau apa) yang dapat mengakses sistem
n Authorization à Apakah Anda diperbolehkan untuk
melakukan itu?
n Pembatasan tindakan pengguna otentik
n Authorization /Otorisasi merupakan bentuk kontrol akses
n
Authorization /
Otorisasi ditegakkan oleh
+
Lampson
’
s Access Control Matrix
n Subjects (users) index the rows
n Objects (resources) index the columns
rx
rx
r
---
---
rx
rx
r
rw
rw
rwx
rwx
r
rw
rw
rx
rx
rw
rw
rw
OS Accounting program Accounting data Insurance data Payroll data Bob
Alice Sam
Accounting program
+
Jaminan Keamanan
n Keamanan dalam sistem pengendalian akses dapat dianggap
tercapai jika CIA + Accountability terpenuhi. (Confidentiality, Integrity dan Availability)
n Hal diatas terpenuhi jika pertanyaan berikut terjawab
dengan baik:
n Apakah transaksi antara subyek dan obyek akses kontrol
terlindungi?
n Apakah integritas obyek dapat dipastikan dan dijamin? n Apakah obyek tersedia ketika diperlukan?
+
Administrasi, Metoda, Kebijakan,
Model Pada Access Control
+
Administrasi Access Control
n Account Administration: Hal-hal berkaitan dengan pengelolaan
akun semua pelaku, baik pengguna sistem, dan layanan. Dalam hal ini termasuk, pembuatan ( (authorization, rights, permissions),
pemeliharaan (account lockout-reset, audit, password policy), dan pemusnahan akun(rename or delete).
n Access Rights and Permissions: Pemilik data menentukan hak dan
perizinan atas akun dengan mempertimbangkan principle of least
privilege.
+
Administrasi Access Control (cont)
n Monitoring: mengawasi dan mencatat perubahan atau
aktivitas akun.
n Removable Media Security: Dilakukan pembatasan
penggunaan removable media untuk meningkatkan keamanan.
n Management of Data Caches: pengelolaan file temporary,
+
Metoda Access Control
n Centralized access control: Semua permintaan access
control diarahkan ke sebuah titik otentikasi/kelompok sistem.
n Memberikan satu titik pengelolaan
n Lebih memudahkan dengan kompensasi biaya lebih besar. n Implementasi lebih sulit
Contoh: Kerberos, Remote Authentication Dial-In User Service (RADIUS), Terminal Access Controller Access
Control System (TACACS), TACACS+ (allows encryption of data).
+
Metoda Access Control (cont)
n Decentralized access control: akses kontrol tidak
dikendalikan sebuah titik otentikasi atau keompok sistem.
n Menguntungkan pada kondisi akses ke sistem terpusat
sulit disediakan.
n Lebih sulit dalam pengelolaan.
+
Jenis Kebijakan Access Control
n Preventive / pencegahan: mencegah exploitasi atas
vulnerability yang ada. Misal: patching/update, klasifikasi data, background check, pemisahan tugas, dll.
n Detective : Kebijakan yang diterapkan untuk menduga
kapan serangan akan terjadi. Misal: IDS, log monitoring, dll
n Corrective : kebijakan untuk melakukan perbaikan segera
setelah vulnerability di-eksploitasi. Misal: Disaster Recovery Plans (DRP), Emergency Restore Procedures, password
+
Metoda Implementasi
n
Administrative: kebijakan dikendalikan secara
andministrasi dengan kebijakan yan g diteruskan
melalui struktur administrasi, dari atasan/
pimpinan kepada bawahan, dst. Biasanya bersifat
tidak otomatis. Misal: kebijakan tertulis tentang
password (panjang, umur/jangka waktu, dll)
+
Metoda Implementasi (cont)
n
Logical/Technical: Kebijakan ini diterapkan
dengan memaksa penggunaan access control
secara teknis . Ditujukan untuk membatasi
kesalahan manusia dalam penggunaan sistem.
Misal: penggunaan aplikasi SSH, input validation,
dll
+
Metoda Implementasi (cont)
n
Physical: Kebijakan diterapkan secara fisik,
misal : pembatasan akses fisik ke gedung yang
diamankan, perlindungan kabel dan peralatan
terhadap electro-magnetic interference (EMI),dll.
Misal: Petugas keamanan, peralatan biometrik,
katu pengenal kantor, Perimeter defenses
(dinding/kawat), dll.
+
Metoda Implementasi (cont)
Kebijakan dan implementasi dapat dikombinasikan.
Misal:
n Preventive / Administrative dalam bentuk kebijakan
password tertulis;
n Detective / Logical/Technical (misal: IDS);
n Corrective / Administrative (misal: DRP).
n CCTV ?
n Preventive/Physical (kalau hanya merekam) n Detective/Physical (jika dimonitor secara aktif)
+
Model Access Control
n Discretionary Access Control (DAC) : Pemilik data
menentukan hak akses (dapat mengganti perizinan)
n Mandatory Access Control (MAC) : Sistem menentukan hak
akses tergantung pada label klasifikasi (sensitivity label). Lebih tangguh dari DAC. (Hanya admin pusat yang dapat memodifikasi perizinan, namun klasifikasi ditetapkan pemilik data).
n Role-based access control (RBAC) aka Non-
Discretionary : Role atau fungsi dari pengguna/subyek/
tugas menentukan akses terhadap obyek data.
Menggunakan access control terpusat yang menentukan bagaiman subyek dan obyek berinteraksi.
+
+
n
UID
n
integer user ID
n
UID=0 adalah
root
n
GID
n
Integer group ID
n
Pengguna dapat dikelompokkan pada beberapa
+
UNIX File Permissions
Tiga set hak akses:
n User owner n Group owner
n Other (everyone else)
Tiga hak akses per kelompok
n read n write n execute
n UID 0 dapat mengakses tanpa hak akses.