+ ACCESS CONTROL & PROTECTION Indra Priyandono
+
+ Pengertian Access Control n Kontrol akses adalah kumpulan mekanisme yang memungkinkan manajer sistem atau seorang sistem administrator untuk memberlakukan aturan aturan dalam penggunaan suatu sistem, obyek atau target n Fitur keamanan yang mengontrol bagaimana pengguna dan sistem berkomunikasi dan berinteraksi satu sama lain. n Hal ini memungkinkan manajemen untuk menentukan apa yang dapat dilakukan pengguna, sumber daya yang mereka dapat akses, dan operasi apa yang mereka dapat melakukan pada sistem
+ Pengendalian Akses / Akses Kontrol (Access Control) n Obyek/Target : semua hal yang perlu untuk dikendalikan. Misal: ruangan, jaringan, dll. n Subyek/pelaku : pengguna, program atau proses yang meminta izin untuk mengakses obyek. n Sistem/Proses: antarmuka antara obyek dan subyek dari pengendalian akses. Dalam pengendalian akses, subyek harus di-identifikasi, otentikasi dan otorisasi (identified, authenticated and authorized).
+ Akses Kontrol meliputi n Authentication : pengenalan pengguna n menentukan akses apa saja yang diijinkan n Otentikasi manusia ke mesin n Otentikasi mesin ke mesin n Authorization : pemberian hak akses atas obyek. n Setelah Anda memiliki akses, apa yang dapat Anda lakukan? n Accounting : pelacakan, pencatatan dan audit aktivitas Trio Authentication, Authorization, and Accounting sering dikenal dengan singkatan AAA.
+ Authentication Faktor-faktor dalam identifikasi dan otentikasi: n Sesuatu yang diketahui (contoh: password) n Sesuatu yang dimiliki (contoh : smartcard) n Sesuatu yang bagian dari diri sendiri / Biometric (contoh: sidik jari) Peningkatan keamanan dilakukan dengan mengkombinasikan faktor yang digunakan, dan sistem ini dikenal dengan nama terkait jumlah faktor nya. Misal: identifikasi atau otentikasi dua faktor.
+ Authorization n Proses dimana subyek atau pelaku, telah memenuhi kriteria identifikasi dan otentikasi, diberikan hak akses atas sesua obyek yang dikendalikan. hak akses dapat berupa tingkatan-tingkatan tertentu terhadap obyek. Misal: tingkatan direktori, jenis/klasifikasi dokumen, dll.
+ Accounting n Sistem pengendalian akses yang dipercayakan dalam transaksi terkait keamanan harus menyediakan fasilitas yang dapat menjelaskan apa saja yang terjadi. n Dalam hal ini termasuk pelacakan atas aktivitas sistem dan pelakunya. n Diterapkan dalam bentuk catatan atau log dari kejadian atau audit.
+ Sesuatu yang diketahui n Passwords Banyak hal bertindak sebagai password! n PIN n Nomor jaminan sosial n Nama gadis ibu n Tanggal lahir n Nama hewan peliharaan Anda, dll
+ Password Perlu dilakukan karena bagian penting dari sistem pengendalian akses manapun, baik sistem yang otomatis ataupun manual. n Pemilihan password: terkait panjang karakter minimum, jenis karakter yg digunakan, umur atau penggunaan ulang password. n Pengelolaan catatan Password: mencatat apa saja kejadian pada password, mulai dari permintaan pembuatan, reset, kadaluarsa hingga dihapus. n Audit dan Kontrol Password: menentukan manfaat secara umum dari sistem pengendalian akses dalam menurunkan akses tidak berhak atau serangan
+ Good and Bad Passwords n Bad passwords n frank n Fido n password n 4444 n Pikachu n 102560 n AustinStamp n Good Passwords? n jfiej,43j-emml+y n 09864376537263 n P0kem0N n FSa7Yago n 0nceuP0nAt1m8 n PokeGCTall150
+ Password Guessing Matt Bishop, Computer Art & Science
+ Simple Password Klein s Study
+ Biometric n Biometrics dapat digunakan sebagai pengganti password n Saat ini Biometrik sudah murah dan handal n Biometrics digunakan dalam keamanan, seperti pada n Sidik jari untuk membuka pintu n Retina mata n Suara
+ Authentication vs Authorization n Authentication à Siapa itu? n Pembatasan siapa (atau apa) yang dapat mengakses sistem n Authorization à Apakah Anda diperbolehkan untuk melakukan itu? n Pembatasan tindakan pengguna otentik n Authorization /Otorisasi merupakan bentuk kontrol akses n Authorization /Otorisasi ditegakkan oleh n Access Control Lists
+ Lampson s Access Control Matrix n Subjects (users) index the rows n Objects (resources) index the columns OS Accounting program Accounting data Insurance data Payroll data Bob Alice Sam Accounting program rx rx r --- --- rx rx r rw rw rwx rwx r rw rw rx rx rw rw rw
+ Jaminan Keamanan n Keamanan dalam sistem pengendalian akses dapat dianggap tercapai jika CIA + Accountability terpenuhi. (Confidentiality, Integrity dan Availability) n Hal diatas terpenuhi jika pertanyaan berikut terjawab dengan baik: n Apakah transaksi antara subyek dan obyek akses kontrol terlindungi? n Apakah integritas obyek dapat dipastikan dan dijamin? n Apakah obyek tersedia ketika diperlukan? n Apakah sistem akuntabel (ada log/auditing)?
+ Administrasi, Metoda, Kebijakan, Model Pada Access Control
+ Administrasi Access Control n Account Administration: Hal-hal berkaitan dengan pengelolaan akun semua pelaku, baik pengguna sistem, dan layanan. Dalam hal ini termasuk, pembuatan ( (authorization, rights, permissions), pemeliharaan (account lockout-reset, audit, password policy), dan pemusnahan akun(rename or delete). n Access Rights and Permissions: Pemilik data menentukan hak dan perizinan atas akun dengan mempertimbangkan principle of least privilege. (akses hanya diberikan sesuai dengan keperluan).
+ Administrasi Access Control (cont) n Monitoring: mengawasi dan mencatat perubahan atau aktivitas akun. n Removable Media Security: Dilakukan pembatasan penggunaan removable media untuk meningkatkan keamanan. n Management of Data Caches: pengelolaan file temporary, session file, dll.
+ Metoda Access Control n Centralized access control: Semua permintaan access control diarahkan ke sebuah titik otentikasi/kelompok sistem. n Memberikan satu titik pengelolaan n Lebih memudahkan dengan kompensasi biaya lebih besar. n Implementasi lebih sulit Contoh: Kerberos, Remote Authentication Dial-In User Service (RADIUS), Terminal Access Controller Access Control System (TACACS), TACACS+ (allows encryption of data).
+
+ Metoda Access Control (cont) n Decentralized access control: akses kontrol tidak dikendalikan sebuah titik otentikasi atau keompok sistem. n Menguntungkan pada kondisi akses ke sistem terpusat sulit disediakan. n Lebih sulit dalam pengelolaan. Contoh: Windows Workgroup
+ Jenis Kebijakan Access Control n Preventive / pencegahan: mencegah exploitasi atas vulnerability yang ada. Misal: patching/update, klasifikasi data, background check, pemisahan tugas, dll. n Detective : Kebijakan yang diterapkan untuk menduga kapan serangan akan terjadi. Misal: IDS, log monitoring, dll n Corrective : kebijakan untuk melakukan perbaikan segera setelah vulnerability di-eksploitasi. Misal: Disaster Recovery Plans (DRP), Emergency Restore Procedures, password lockout threshold, dll.
+ Metoda Implementasi n Administrative: kebijakan dikendalikan secara andministrasi dengan kebijakan yan g diteruskan melalui struktur administrasi, dari atasan/ pimpinan kepada bawahan, dst. Biasanya bersifat tidak otomatis. Misal: kebijakan tertulis tentang password (panjang, umur/jangka waktu, dll)
+ Metoda Implementasi (cont) n Logical/Technical: Kebijakan ini diterapkan dengan memaksa penggunaan access control secara teknis. Ditujukan untuk membatasi kesalahan manusia dalam penggunaan sistem. Misal: penggunaan aplikasi SSH, input validation, dll
+
+ Metoda Implementasi (cont) n Physical: Kebijakan diterapkan secara fisik, misal : pembatasan akses fisik ke gedung yang diamankan, perlindungan kabel dan peralatan terhadap electro-magnetic interference (EMI),dll. Misal: Petugas keamanan, peralatan biometrik, katu pengenal kantor, Perimeter defenses (dinding/kawat), dll.
+ Metoda Implementasi (cont) Kebijakan dan implementasi dapat dikombinasikan. Misal: n Preventive / Administrative dalam bentuk kebijakan password tertulis; n Detective / Logical/Technical (misal: IDS); n Corrective / Administrative (misal: DRP). n CCTV? n Preventive/Physical (kalau hanya merekam) n Detective/Physical (jika dimonitor secara aktif)
+ Model Access Control n Discretionary Access Control (DAC) : Pemilik data menentukan hak akses (dapat mengganti perizinan) n Mandatory Access Control (MAC) : Sistem menentukan hak akses tergantung pada label klasifikasi (sensitivity label). Lebih tangguh dari DAC. (Hanya admin pusat yang dapat memodifikasi perizinan, namun klasifikasi ditetapkan pemilik data). n Role-based access control (RBAC) aka Non- Discretionary : Role atau fungsi dari pengguna/subyek/ tugas menentukan akses terhadap obyek data. Menggunakan access control terpusat yang menentukan bagaiman subyek dan obyek berinteraksi.
+ UNIX Access Control Model
+ n UID n integer user ID n UID=0 adalah root n GID n Integer group ID n Pengguna dapat dikelompokkan pada beberapa kelompok
+ UNIX File Permissions Tiga set hak akses: n User owner n Group owner n Other (everyone else) Tiga hak akses per kelompok n read n write n execute n UID 0 dapat mengakses tanpa hak akses. n Files: directories, devices (disks, printers), IPC
+ UNIX File Access Control
+ Octal Permission Notation Setiap set (u, g, o) diwakili oleh digit oktal. Setiap Permission (r, w, x) merupakan salah satu bit dalam digit. ex: chmod 0644 file u: rw, g: r, o: r ex: chmod 0711 bin u: rwx, g: x, o: x
+