Access Control dan Administrasi User Kuliah 3 Computer Security
Eko Aribowo Teknik Informatika UAD
Topologi Lubang Keamanan Network sniffed, attacked
ISP
Holes
Internet Network sniffed, attacked
Users
Network sniffed, attacked, flooded
1. 2. 3.
System (OS) Network Applications + db
Web Site Trojan horse
Userid, Password, PIN, credit card #
www.bank.co.id
- Applications (database, Web server) hacked -OS hacked
Pelaku di bidang Security ¡
Information bandit l l l
¡
Information security professionals l l l
¡ ¡ ¡
Sekarang masih dipotretkan sebagai jagoan Akan tetapi akan berkurang the disappearance act of information bandits Masih kurang Sangat diperlukan Lebih menyenangkan
Keduanya menggunakan tools yang sama Perbedaannya sangat tipis: itikad & pandangan Jangan bercita-cita menjadi bandit!
Access Control ¡
¡
Spesifikasi dan implementqsinya sangat bergantung pd kebijakan dan aturan Yang mana yg diatur, user atau aplikasi l
¡
Sumber daya mana yg dapat diakses / dikontrol l
¡
Read, Write, Execute?
Kapan kontrol / batasan dilakukan l
¡
Files, databases, aplikasi
Apa tujuan pengontrolan l
¡
Internal dan external user, aplikasi ?
Harian,sesi tertentu
Pada kondisi apa kontrol dilakukan l
Sbg autentikasi tambahan? Yg utama?satu-satunya?
Mekanisme Access Control ¡
Access control fisik l l
¡
Kunci, Key Rings, Master Keys seleuh cara untuk mengontro akses Menyebarluaskan identifikasi biometric akses control fisik
Mekanisme Software dan Hardware l l l l
pd routers, misal, Cisco’s TACACS+ Sistems, misal Unix, NT, mengijinkan akses control pd level file Aplikasi, web servers Access Control Servers (ACS), misal, RADIUS
Access Control Mechanisms ¡
Access Control Lists (ACL) l l
¡
Groups l l l
¡
Spesifikasi hak akses per sumber daya: dgn daftar user / userid dan suber daya yg dpt diakses Masalah ? Kebanyakan sistem mengijinkan pengelompokan user dan spesifikasi kebijkan tiap kelompok Anggota kelompok dapat berpartisipasi dgn cara didaftar/sertifikasi Contoh: administrator,power user, marketing department, backup operators, guests
Hierarchical groups l l
Akses control secara bertingkat Misal : dalam SI Akademik,rektorat bisa mengakses semua aplikasi/data yg ada dibawahnya,Tp pimpinan biro/fakultas hanya berhak mengakses data yg dipimpinya saja.
Access Control pd SO ¡
Pd Unix / Linux – l l l l
¡
(jika salah tolong dikoreksi)
tiap file di asosiasikan “mode”/atribut Read, Write, dan eXecute untuk pemilik, group Misal , dr--r-xrwx getacl, setacl mendukung fungsi tambahan masukan ACL untuk users, group, dan objek
Windows NT / Windows XP l
l
NTFS mengijinkan spesifikasi yg dapat user/group lakukan file, folder, registri, dan objek sistem lain Beberapa groups didefinisikan,misal: admin, poweruser, user
Lanjt ¡
Masalah: SO aslinya didesain tanpa pemikiran / mengutamakan tingkat sekuriti l
l
Banyak layanan “friendly” , misal : mail, ftp, file, printer, login Banyak account yg dikonfigurasi sebelumnya, misal : system, administrator, user
¡
Hackers menggunakan layanan ini untuk penetrasi
¡
Solusi: l
SO yg lebih tegas ¡
l
menghapus layanan / fasilitas seperti sendmail, remote login
Untk Pengembangan aplikasi yg berjalan di SO diberikan tambahan security
Role-Based Access Control (RBAC) ¡
Secara “logical layer” gambaran hubungan users dan sumber daya yg dpt diakses l l
ü ü ü ü
ü ü
ü
Penetapan Role ditetapkan berdasar resource yg dibutuhkan user User-Role dan Role-Resource relasi secara simpel antara User-Resource
Roles Layer Employee Org role(s) Geography Member of committee Reporting to In charge of process Weekend shift
Credit
Telemarketers
Manager
Admin
ü
1 3
2
Credit Screen
Credit Alert
Marketing
Mgmt Security
HQ
Roles can be hierarchical
Keuntungan RBAC ¡
Keuntungan Produktifitas l
l
¡
Lebih mudah untuk penentuan karyawan baru ¡ Asih mengganti Bahtiar sbg Manager Marketing ¡ Cahyo masuk sbg tim security administration Lebih mudah untuk me-manage perubahan ¡ Dudi dipindahkan di kantor Jogja ¡ Evi mengganti Ferry pd EDP
Keuntungan Security l l
Banyak users di “collectors” pd hak akses Fasilitas tambahan kedepan adanya audit atas access rights
Usaha Administrasi User ¡
Manajemen seluruh user dan haknya secar terpusat l l l
Menambah/Menghapus/update info ttg user & resource Menambah/menghapus hak untuk platforms dan/atau aplikasi Advanced EUAs are two-way, with agents on the individual platforms and applications
¡
UAU harus mendukung aturan dasar managemen UAU harus mendukung atomasi aliran kerja
¡
Keunggulan :
¡
l l l
Managemen user dan haknya scr terpusat Otomatisasi penetapan hak akses Penetapan mutasi pekerja dan hak aksesnya lebih mudah/cepat
Buku Petunjuk ¡ ¡
Tujuan: centralized management of users and privileges Solusi: Directory l l l
A centralized repository of users, resources, and privileges Often implemented in a hierarchical database Users (leaves) appear with their specific information (attributes) ¡
l l
¡
name, user names, certificates, org, etc.
Fast retrieval Difficult update
IETF X.500 Directory Access Protocol (DAP) l l l l
Defines access to the Directory Runs on top of TCP Almost all implementations are Lightweight DAP Directories can be federated
Bidang Terkait ¡
¡
Managemen identitas merupakan nama umum proses pemusatan informasi user dan haknya dgn atau tanpa penetapan Pengebangan AAA/3A : Authentication, Authorization, Administration l l
¡
Menjadi 4A A ke empat Audit
Managemen Password / Synchronization l
Banyak password: terlalu banyak, hrs mengingat, hrs ganti ¡ ¡
l
Enakkah mengingat beberapa pasword? Sinkronisasi scr otomatis pd aplikasi
Self service ¡
Diperkirakan bahwa 40% helpdesk calls dihubungkan password
