Keamanan Sistem Informasi

Oleh: Puji HartonoVersi: 2014

Modul 2Access Control

Overview

1. Mengenal Access Control

2. Tipe Access Control

3. Layanan Access Control

4. Kategori Access Control● Access Control pada Sistem● Access Control pada Data

Mengenal Access Control (1)

● Access control adalah mekanisme untuk mengendalikan akses oleh subject terhadap objek● Access control merupakan jantung/inti dari pengamanan

sistem● “Close your front door before remove backdoor”

● Tujuan➔ Menjamin bahwa seluruh akses ke objek hanya bisa

dilakukan oleh yang berhak➔ Melindungi terhadap insiden dan ancaman berbahaya

pada data dan program dengan menerapkan aturan baca-tulis-eksekusi

Mengenal Access Control (2)

● Beberapa definisi● Resource/objek, seperti: Memory, file, directory,

hardware resource, software resources, external devices, etc.

● Subjects: entitas yang melakukan akses ke resource, seperti seperti: User, owner, program, etc.

● Access mode: jenis akses, seperti: Read, write, execute

Mengenal Access Control (3)

● Requirement Access Control➔ Access Control tidak dapat di-bypass➔ Menerapkan prinsip least-privilege and need-to-know

restrictions➔ Didukung dengan kebijakan organisasi

Tipe Control (1)

● Access control dapat dilakukan secara➔ Administratif➔ Technical/Logical➔ Physical

● Access Control secara Administratif untuk memastikan bahwa Access Control secara technical dan physical dapat dipahami dan diimlementasikan dengan baik

Tipe Control (2)

1. Secara Administratif➔ Kebijakan dan prosedur ➔ Pelatihan kepedulian akan keamanan kepada pegawai➔ Klasifikasi dan pengendalian aset➔ Kebijakan bagi pegawai, misal rotasi jabatan secara rutin➔ Administrasi account➔ dll

Tipe Control (3)

2. Secara Technical/Logical➔ Preventive

● Encryption● Access control mechanisms: Biometrics, smart cards, and

tokens.● Access control lists

➔ Detective

● Violation reports ● Network monitoring ● Intrusion detection

Tipe Control (4)

3. Secara Physical➔ Preventive

● Pengendalian lingkungan sistem, misalnya ventilasi, AC● Pengamanan area, misalnya: pintu dan kuncinya● Satpam● Anjing penjaga

➔ Detective● Motion detectors ● CCTV● Sensor, misalnya: sensor asap untuk deteksi kebakaran

Layanan Access Control

● Authentication, menentukan siapa saja yang berhak login– Identification : memastikan apakah user tersebut boleh mengakses

ke sistem.

– Authentication: verifikasi apakah user yang mengaku berhak tersebut benar-benar valid

● Authorization, menentukan apa saja yang dapat dilakukan oleh user

● Accountability, menentukan apa saja yang telah dilakukan oleh user. Non-repudiation, user tidak dapat mengelak atas catatan apa saja yang telah dilakukan

Kategori Access Control

Access Control ada 2 kategori● Access control pada sistem● Access control pada data

Access Control pada Sistem (1)

Autentifikasi dilakukan dengan berbasis:● Something you know

● Password● PIN

● Something you have● Smart card● RFID

● Something you are● Fingerprint● Retina

Access Control pada Sistem (2)

● Masalah-masalah pada password– Insecure

● Human nature (contoh: bandung12031985)● Transmission and storage, yang tidak dienkripsi

– Easily broken● Brute force attack

– Inconvenient● Password yang 'aman' tidak nyaman dipakai

– Refutable● Authentifikasi dengan hanya 1 password kurang memastikan

apakah user tersebut user yang sah● Tidak terpenuhinya accountability

Access Control pada Sistem (3)

● Aturan password yang seharusnya ditentukan dalam security policy/sistem– Length

● Minimal 6 karakter

– Complexity● r4h4514

– Aging● 1 bulan

– History● Password sekarang

dan yang lama

– Limited Attempts● Salah password 3x block→

– Lockout duration● User diblock 30 menit

– Limited time periods● Account khusus di hari kerja

– System Messages● Login banner, last username, last

succesfull logon

Access Control pada Sistem (4)

● Tips password lebih aman– Gunakan lower dan uppercase

● AdministratoR

– Ganti karakter dengan angka● 4dm1n5tr4t0r

– Gunakan special karakter antara 2 kata● bandung@indonesia

– Gunakan panjang password yang cukup● Minimal 6 karakter

Access Control pada Sistem (5)

● Akurasi teknologi biometric

The Crossover Error Rate (CER) is the point at which the FRR equals the FAR, stated as a percentage

Access Control pada Sistem (6)

● Jenis password dilihat dari kedinamikannya– Static password

● Password yang sama untuk setiap login

– One-time password● Password yang digunakan hanya saat itu saja.● Contoh: token

Access Control pada Sistem (7)

● Metodologi Access Control– Centralized access controls, seperti

● LDAP: Lightweight Directory Access Protocol (LDAP)● RAS: Remote Access Service ● RADIUS: The Remote Authentication Dial-In User Service ● Diameter: This next-generation RADIUS

– Decentralized access controls● Multiple domains and trusts● Databases: Access ke database diatur dengan database

management system (DBMS)

Access Control pada Sistem (9)

● Serangan pada Access Control– Brute force/dictionary attack

– Buffer overflow

– Man-in-the-middle attacks● Adanya penyusup diantara user, kemudian memforward

pesan/data yang telah dimodifikasi

– Packet (or password) sniffing

– Session hijacking● Penyusup mengambil alih salah satu user yang terlibat dalam

komunikasi

– Social engineering

Access Control pada Data (1)

● Model/Teknik Access Control, diantaranya

1. DAC (Discretionary access control)

2. NonDAC (Role Based)

3. Mandatory Access Control

Access Control pada Data (2)

1. DAC (discretionary access control)– Karakteristik

● Owner dapat melindungi objeknya● Owner dapat memberikan hak akses objek miliknya kepada

subjek lain● Owner dapat mendefinisikan hak akses yang diberikan kepada

subjek lain

– Konsep DAC, dalam DAC harus didefinisikan● Kepemilikan● Hak akses dan permisi (R/W/X)

– Contoh: permisi file di Linux, Windows

Access Control pada Data (3)

2. Role Based (NonDAC)– Access control dengan mendaftarkan user ke dalam

anggauta group berdasarkan fungsi atau jabatan dalam organisasi

– Contoh:

Access Control pada Data (4)

3. Mandatory Access Control– Access Control yang ditentukan sistem (bukan owner

sebagaimana pada DAC). Dengan cara:● Pemberian label sensitifitas● Pengendalian data masuk dan keluar

– Contoh: dalam arsip kemiliteran