Keamanan Logik Arsitektur Keamanan dan Sistem Administrator STMIK Amikom Purwokerto
Control Of Access to General Object
2
• Control Access Salah satu cara yang umum digunakan untuk mengamankan informasi adalah dengan mengatur akses ke informasi melalui mekanisme authentication dan access control. Implementasi dari mekanisme ini antara lain dengan menggunakan password. • Classification of Information Assets • • • •
Siapa yang mempunyai hak akses dan untuk apa? Level akses yang diberikan Siapa yang bertanggungjawab untuk menentukan hak akses dan level akses Persetujuan apa yang diperlukan untuk melakukan akses?
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
18/09/2017
What is access control?
3
• Kemampuan untuk memberikan ijin hanya kepada orang yang berhak atau mempunyai auhthorized (otoritas) terhadap program atau sistem proses atau mengakses sumber data • Memberikan hak (grant) atau menghapus hak (deny), sesuai dengan security model khusus, yang mempunyai ijin (permission) pasti untuk mengakses sumber data • Sekumpulan prosedur yang dibentuk oleh h/w, s/w dan administrator, untuk memonitor akses, mengidentifikasi user yang meminta akses, mencatat record yang diakses dan memberikan akses grant atau deny berdasarkan aturan yang sudah ditetapkan. Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
18/09/2017
Controls
4
• Kendali: mengurangi resiko/kerugian • Preventive: mencegah terjadinya insiden • Detective: mendeteksi terjadinya insiden • Correctice: memperbaiki (restoration) jika terjadi insiden
• Implementasi: • Administrative Control: policies, prosedur, security awareness/training, supervisi, dll. • Logical/Technical Control: pembatasan akses ke sistem dan teknik proteksi yang digunakan, mis. Smart cards, enkripsi dll. • Physical Control: penjagaan fisik, mis. Biometric door lock, secured area utk server, deadman door dll. Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
18/09/2017
Logical Access Controls
5
• Akses kontrol infrastruktur TI dapat dilakukan pada berbagai tingkat • Front end (user) & Back end (server) • Bagaimana jaringan terbagi dan perlindungan akses ke sumber informasi
• Paths of Logical Access • • • •
Network connectivity Remote access Operator console Online workstations or terminals
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
18/09/2017
Logical Access Control Software
6
• Mencegah akses dan modifikasi data sensitif organisasi dari orang yang tidak mempunyai otorisasi dan penggunaan fungsi sistem kritis • Semua layer: network, operating systems, databases & application systems • Fungsi software: • Identifikasi dan otentikasi • Otorisasi akses • Monitor: Logging aktifitas user, reporting
• Implementasi paling efektif: tingkat networks dan operating system (membatasi privileges pada low level) Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
18/09/2017
Fungsi akses kontrol sistem operasi • • • • • • • •
7
Mekanisasi identifikasi dan otentikasi user Restricted logon IDs Aturan akses untuk sumber informasi yang spesifik Create individual accountability and auditability Create or change user profile Log events Log user activities Report capabilities
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
18/09/2017
Fungsi akses kontrol basis data dan/atau level aplikasi
8
Create or change data files and database profiles Verify user authorization at the application and transaction levels Verify user authorization within the application Verify user authorization at the field level for changes within a database • Verify subsystem authorization for the user at the file level • • • •
• Log database/data communications access activities for monitoring access violations Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
18/09/2017
Logical Security
9
• Dalam konteks pengontrolan dapat didefinisikan “pengontrolan dengan pertolongan software atau aplikasi tertentu terhadap pengaksesan pemakai sesuai dengan wewenang yang diberikan untuk menggunakan data atau informasi termasuk programnya yang tersimpan di dalam komputer”
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
18/09/2017
Tujuan dari logical security
10
• Melindungi data atau informasi dari pencurian, proses edit atau pengrusakan baik yang di sengaja atau tidak disengaja dari orang yang tidak memiliki hak akses • Menghindari dan mendeteksi perubahan terhadap data atau informasi
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
18/09/2017
Metode Pengamanan Logik
11
• User ID Adalah serangkaian huruf atau angka atau kombinasi huruf dan angka untuk mengidentifikasi pemakai yang memiliki hak akses atau otorisasi dalam mengakses sistem computer. User ID merupakan perisai pertama terhadap pengaksesan sistem
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
18/09/2017
Konten User ID
12
Informasi yang tersimpan pada user ID : • User Name Mengidentifikasikan pemakai di dalam sistem Harus unik, biasanya terdiri dari Alphabet atau Alphanumerik Misal nama Jono, bagian Keuangan, NIK 0012 Username JBK0012 • Password Merupakan kunci untuk masuk (log on) ke dalam sistem. • Initial Menu Menu utama yang akan tampil sesuai dengan wewenangnya Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
18/09/2017
Konten User ID • • • •
13
Output Queue Special Authorities Password Change Date Acess Levels
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
18/09/2017
Password
14
• Memiliki kaitan dengan User ID • Untuk membuktikan pemilik memiliki wewenang masuk ke dalam system • User ID dengan Password akan di cocokan oleh system dengan informasi yang tersimpan di dalam file User ID. • Agar tidak dapat dilihat oleh orang lain, system menayangkan password yang diketik oleh user menjadi model asterisk (*****) • Analisis kekuatan Password Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
18/09/2017
Pengontrolan Password • • • • • • • • •
15
Pengawasan terhadap password bisa dilakukan oleh system, perusahaan Membatasi kesalahan gagal login Panjang dan kombinasi karakter ditentukan Tidak menggunakan nama keluarga, tanggal lahir, dan hal-hal yang berkaitan dengan dirinya Password harus diganti paling sedikit setiap 3 bulan Password tidak boleh ditampilkan di monitor atau di cetak Password dan User ID di hapus jika karyawan keluar dari perusahaan Password dan User ID di non aktifkan apabila pemilik cuti Password yang sangat kritis (pass administrator) harus disiapkan prosedur pengambil alihan pada saat darurat Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
18/09/2017
Ancaman Serangan terhadap Password
16
• Brute Force • Mencoba segala kombinasi huruf dan angka (trial and error)
• Dictionary based • Dengan bantuan file yang berisi daftar password-password yang sering dipakai orang
• Password sniffing • Menyadap data yang lewat di jaringan komputer
• Social Engineering • Menyadap pembicaraan orang • Membuat agar orang menyebutkan passwordnya Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
18/09/2017
Access Level
17
Sekali user login ke sistem, maka user tersebut diberikan otorisasi untuk mengakses sumber daya sistem, misalnya file, directory, dll Yang perlu diperhatikan adalah: • Siapa saja yang boleh membaca isi file kita • Siapa saja yang boleh merubah isi file kita • Bolehkah file kita di-share ke user lain Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
18/09/2017
Access level
18
Ada 3 tipe dasar pengaksesan file • Read (r) -> hak untuk membaca file • Write (w) -> hak untuk menulis ke file • Execute (x) -> hak untuk menjalankan file
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
18/09/2017
Access level
19
Metode Ownership • Pembuat file adalah pemilik file • Id pembuat file disimpan • Hanya pemilik yang dapat mengakses file miliknya • Administrator dapat mengakses juga
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
18/09/2017
Access level
20
Metode File Types • File akan didefinisikan sebagai public file, semipublic file atau private file • Public file -> semua user mempunyai hak penuh (rwx) • Semi public file -> user lain hanya mempunyak hak read execute(rx) • Private file -> user lain tidak punya hak
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
18/09/2017
Access level
21
Metode Self/Group/Public Controls • Disebut juga user/group/other user – pemilik file group – sekelompok user other – user yang tidak termasuk di atas • Setiap file/directory memiliki sekumpulan bit-bit yang disebut file permissions/ Protection mode Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
18/09/2017
Access level
22
Contoh: -rwxrw-r-- 1 budi staff 81904 nov 7 13:25 program.c
-rwx rwS • • • • •
G
r-P
Tanda (–) menunjukkan bahwa user tidak punya hak Abaikan tanda (-) pertama Pemilik file (budi) mempunyai hak rwx Anggota group staff mempunyai hak rw User lainnya hanya mempunyai hak r Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
18/09/2017
23 • To be continue
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
18/09/2017
