Keamanan Sistem Informasi Oleh: Puji Hartono Versi: 2014 Modul 2 Access Control
Overview 1. Mengenal Access Control 2. Tipe Access Control 3. Layanan Access Control 4. Kategori Access Control Access Control pada Sistem Access Control pada Data
Mengenal Access Control (1) Access control adalah mekanisme untuk mengendalikan akses oleh subject terhadap objek Access control merupakan jantung/inti dari pengamanan sistem Close your front door before remove backdoor Tujuan Menjamin bahwa seluruh akses ke objek hanya bisa dilakukan oleh yang berhak Melindungi terhadap insiden dan ancaman berbahaya pada data dan program dengan menerapkan aturan bacatulis-eksekusi
Mengenal Access Control (2) Beberapa definisi Resource/objek, seperti: Memory, file, directory, hardware resource, software resources, external devices, etc. Subjects: entitas yang melakukan akses ke resource, seperti seperti: User, owner, program, etc. Access mode: jenis akses, seperti: Read, write, execute
Mengenal Access Control (3) Requirement Access Control Access Control tidak dapat di-bypass Menerapkan prinsip least-privilege and need-to-know restrictions Didukung dengan kebijakan organisasi
Tipe Control (1) Access control dapat dilakukan secara Administratif Technical/Logical Physical Access Control secara Administratif untuk memastikan bahwa Access Control secara technical dan physical dapat dipahami dan diimlementasikan dengan baik
Tipe Control (2) 1. Secara Administratif Kebijakan dan prosedur Pelatihan kepedulian akan keamanan kepada pegawai Klasifikasi dan pengendalian aset Kebijakan bagi pegawai, misal rotasi jabatan secara rutin Administrasi account dll
Tipe Control (3) 2. Secara Technical/Logical Preventive Encryption Access control mechanisms: Biometrics, smart cards, and tokens. Access control lists Detective Violation reports Network monitoring Intrusion detection
Tipe Control (4) 3. Secara Physical Preventive Pengendalian lingkungan sistem, misalnya ventilasi, AC Pengamanan area, misalnya: pintu dan kuncinya Satpam Anjing penjaga Detective Motion detectors CCTV Sensor, misalnya: sensor asap untuk deteksi kebakaran
Layanan Access Control Authentication, menentukan siapa saja yang berhak login Identification : memastikan apakah user tersebut boleh mengakses ke sistem. Authentication: verifikasi apakah user yang mengaku berhak tersebut benar-benar valid Authorization, menentukan apa saja yang dapat dilakukan oleh user Accountability, menentukan apa saja yang telah dilakukan oleh user. Non-repudiation, user tidak dapat mengelak atas catatan apa saja yang telah dilakukan
Kategori Access Control Access Control ada 2 kategori Access control pada sistem Access control pada data
Access Control pada Sistem (1) Autentifikasi dilakukan dengan berbasis: Something you know Password PIN Something you have Smart card RFID Something you are Fingerprint Retina
Access Control pada Sistem (2) Masalah-masalah pada password Insecure Human nature (contoh: bandung12031985) Transmission and storage, yang tidak dienkripsi Easily broken Brute force attack Inconvenient Password yang 'aman' tidak nyaman dipakai Refutable Authentifikasi dengan hanya 1 password kurang memastikan apakah user tersebut user yang sah Tidak terpenuhinya accountability
Access Control pada Sistem (3) Aturan password yang seharusnya ditentukan dalam security policy/sistem Length Minimal 6 karakter Complexity r4h4514 Aging 1 bulan History Password sekarang dan yang lama Limited Attempts Salah password 3x block Lockout duration User diblock 30 menit Limited time periods Account khusus di hari kerja System Messages Login banner, last username, last succesfull logon
Access Control pada Sistem (4) Tips password lebih aman Gunakan lower dan uppercase AdministratoR Ganti karakter dengan angka 4dm1n5tr4t0r Gunakan special karakter antara 2 kata bandung@indonesia Gunakan panjang password yang cukup Minimal 6 karakter
Access Control pada Sistem (5) Akurasi teknologi biometric The Crossover Error Rate (CER) is the point at which the FRR equals the FAR, stated as a percentage
Access Control pada Sistem (6) Jenis password dilihat dari kedinamikannya Static password Password yang sama untuk setiap login One-time password Password yang digunakan hanya saat itu saja. Contoh: token
Access Control pada Sistem (7) Metodologi Access Control Centralized access controls, seperti LDAP: Lightweight Directory Access Protocol (LDAP) RAS: Remote Access Service RADIUS: The Remote Authentication Dial-In User Service Diameter: This next-generation RADIUS Decentralized access controls Multiple domains and trusts Databases: Access ke database diatur dengan database management system (DBMS)
Access Control pada Sistem (9) Serangan pada Access Control Brute force/dictionary attack Buffer overflow Man-in-the-middle attacks Adanya penyusup diantara user, kemudian memforward pesan/data yang telah dimodifikasi Packet (or password) sniffing Session hijacking Penyusup mengambil alih salah satu user yang terlibat dalam komunikasi Social engineering
Access Control pada Data (1) Model/Teknik Access Control, diantaranya 1. DAC (Discretionary access control) 2. NonDAC (Role Based) 3. Mandatory Access Control
Access Control pada Data (2) 1. DAC (discretionary access control) Karakteristik Owner dapat melindungi objeknya Owner dapat memberikan hak akses objek miliknya kepada subjek lain Owner dapat mendefinisikan hak akses yang diberikan kepada subjek lain Konsep DAC, dalam DAC harus didefinisikan Kepemilikan Hak akses dan permisi (R/W/X) Contoh: permisi file di Linux, Windows
Access Control pada Data (3) 2. Role Based (NonDAC) Access control dengan mendaftarkan user ke dalam anggauta group berdasarkan fungsi atau jabatan dalam organisasi Contoh:
Access Control pada Data (4) 3. Mandatory Access Control Access Control yang ditentukan sistem (bukan owner sebagaimana pada DAC). Dengan cara: Pemberian label sensitifitas Pengendalian data masuk dan keluar Contoh: dalam arsip kemiliteran