Keamanan Sistem Informasi Oleh: Puji Hartono Versi: 2014
Modul 2
Access Control
Overview 1. Mengenal Access Control 2. Tipe Access Control 3. Layanan Access Control 4. Kategori Access Control ●
Access Control pada Sistem
●
Access Control pada Data
Mengenal Access Control (1) ●
Access control adalah mekanisme untuk mengendalikan akses oleh subject terhadap objek ●
●
●
Access control merupakan jantung/inti dari pengamanan sistem “Close your front door before remove backdoor”
Tujuan ➔
➔
Menjamin bahwa seluruh akses ke objek hanya bisa dilakukan oleh yang berhak Melindungi terhadap insiden dan ancaman berbahaya pada data dan program dengan menerapkan aturan bacatulis-eksekusi
Mengenal Access Control (2) ●
Beberapa definisi ●
●
●
Resource/objek, seperti: Memory, file, directory, hardware resource, software resources, external devices, etc. Subjects: entitas yang melakukan akses ke resource, seperti seperti: User, owner, program, etc. Access mode: jenis akses, seperti: Read, write, execute
Mengenal Access Control (3) ●
Requirement Access Control ➔ ➔
➔
Access Control tidak dapat di-bypass Menerapkan prinsip least-privilege and need-to-know restrictions Didukung dengan kebijakan organisasi
Tipe Control (1) ●
●
Access control dapat dilakukan secara ➔
Administratif
➔
Technical/Logical
➔
Physical
Access Control secara Administratif untuk memastikan bahwa Access Control secara technical dan physical dapat dipahami dan diimlementasikan dengan baik
Tipe Control (2) 1. Secara Administratif ➔
Kebijakan dan prosedur
➔
Pelatihan kepedulian akan keamanan kepada pegawai
➔
Klasifikasi dan pengendalian aset
➔
Kebijakan bagi pegawai, misal rotasi jabatan secara rutin
➔
Administrasi account
➔
dll
Tipe Control (3) 2. Secara Technical/Logical ➔
Preventive ● ●
●
➔
Encryption Access control mechanisms: Biometrics, smart cards, and tokens. Access control lists
Detective ● ● ●
Violation reports Network monitoring Intrusion detection
Tipe Control (4) 3. Secara Physical ➔
Preventive Pengendalian lingkungan sistem, misalnya ventilasi, AC ● Pengamanan area, misalnya: pintu dan kuncinya ● Satpam ● Anjing penjaga Detective ●
➔
● ● ●
Motion detectors CCTV Sensor, misalnya: sensor asap untuk deteksi kebakaran
Layanan Access Control ●
●
●
Authentication, menentukan siapa saja yang berhak login –
Identification : memastikan apakah user tersebut boleh mengakses ke sistem.
–
Authentication: verifikasi apakah user yang mengaku berhak tersebut benar-benar valid
Authorization, menentukan apa saja yang dapat dilakukan oleh user Accountability, menentukan apa saja yang telah dilakukan oleh user. Non-repudiation, user tidak dapat mengelak atas catatan apa saja yang telah dilakukan
Kategori Access Control Access Control ada 2 kategori ●
Access control pada sistem
●
Access control pada data
Access Control pada Sistem (1) Autentifikasi dilakukan dengan berbasis: ●
●
●
Something you know ●
Password
●
PIN
Something you have ●
Smart card
●
RFID
Something you are ●
Fingerprint
●
Retina
Access Control pada Sistem (2) ●
Masalah-masalah pada password –
Insecure ● ●
–
Easily broken ●
–
Brute force attack
Inconvenient ●
–
Human nature (contoh: bandung12031985) Transmission and storage, yang tidak dienkripsi
Password yang 'aman' tidak nyaman dipakai
Refutable ●
●
Authentifikasi dengan hanya 1 password kurang memastikan apakah user tersebut user yang sah Tidak terpenuhinya accountability
Access Control pada Sistem (3) ●
Aturan password yang seharusnya ditentukan dalam security policy/sistem –
Length ●
–
–
●
–
–
Password sekarang dan yang lama
User diblock 30 menit
Limited time periods ●
–
Salah password 3x → block
Lockout duration ●
1 bulan
History
Limited Attempts ●
r4h4514
Aging ●
–
Minimal 6 karakter
Complexity ●
–
Account khusus di hari kerja
System Messages ●
Login banner, last username, last succesfull logon
Access Control pada Sistem (4) ●
Tips password lebih aman –
Gunakan lower dan uppercase ●
–
Ganti karakter dengan angka ●
–
4dm1n5tr4t0r
Gunakan special karakter antara 2 kata ●
–
AdministratoR
bandung@indonesia
Gunakan panjang password yang cukup ●
Minimal 6 karakter
Access Control pada Sistem (5) ●
Akurasi teknologi biometric
The Crossover Error Rate (CER) is the point at which the FRR equals the FAR, stated as a percentage
Access Control pada Sistem (6) ●
Jenis password dilihat dari kedinamikannya –
Static password ●
–
Password yang sama untuk setiap login
One-time password ● ●
Password yang digunakan hanya saat itu saja. Contoh: token
Access Control pada Sistem (7) ●
Metodologi Access Control –
Centralized access controls, seperti ● ● ● ●
–
LDAP: Lightweight Directory Access Protocol (LDAP) RAS: Remote Access Service RADIUS: The Remote Authentication Dial-In User Service Diameter: This next-generation RADIUS
Decentralized access controls ● ●
Multiple domains and trusts Databases: Access ke database diatur dengan database management system (DBMS)
Access Control pada Sistem (9) ●
Serangan pada Access Control –
Brute force/dictionary attack
–
Buffer overflow
–
Man-in-the-middle attacks ●
Adanya penyusup diantara user, kemudian memforward pesan/data yang telah dimodifikasi
–
Packet (or password) sniffing
–
Session hijacking ●
–
Penyusup mengambil alih salah satu user yang terlibat dalam komunikasi
Social engineering
Access Control pada Data (1) ●
Model/Teknik Access Control, diantaranya 1. DAC (Discretionary access control) 2. NonDAC (Role Based) 3. Mandatory Access Control
Access Control pada Data (2) 1. DAC (discretionary access control) –
Karakteristik ● ●
●
–
Konsep DAC, dalam DAC harus didefinisikan ● ●
–
Owner dapat melindungi objeknya Owner dapat memberikan hak akses objek miliknya kepada subjek lain Owner dapat mendefinisikan hak akses yang diberikan kepada subjek lain Kepemilikan Hak akses dan permisi (R/W/X)
Contoh: permisi file di Linux, Windows
Access Control pada Data (3) 2. Role Based (NonDAC) –
Access control dengan mendaftarkan user ke dalam anggauta group berdasarkan fungsi atau jabatan dalam organisasi
–
Contoh:
Access Control pada Data (4) 3. Mandatory Access Control –
Access Control yang ditentukan sistem (bukan owner sebagaimana pada DAC). Dengan cara: ● ●
–
Pemberian label sensitifitas Pengendalian data masuk dan keluar
Contoh: dalam arsip kemiliteran
