Access Control dan Administrasi User Kuliah 3 Computer Security Eko Aribowo Teknik Informatika UAD
Topologi Lubang Keamanan ISP Users Userid, Password, PIN, credit card # Network sniffed, attacked Network sniffed, attacked Trojan horse Internet Network sniffed, attacked, flooded Holes Web Site www.bank.co.id 1. System (OS) 2. Network 3. Applications + db - Applications (database, Web server) hacked -OS hacked
Pelaku di bidang Security Information bandit Sekarang masih dipotretkan sebagai jagoan Akan tetapi akan berkurang the disappearance act of information bandits Information security professionals Masih kurang Sangat diperlukan Lebih menyenangkan Keduanya menggunakan tools yang sama Perbedaannya sangat tipis: itikad & pandangan Jangan bercita-cita menjadi bandit!
Access Control Spesifikasi dan implementqsinya sangat bergantung pd kebijakan dan aturan Yang mana yg diatur, user atau aplikasi Internal dan external user, aplikasi? Sumber daya mana yg dapat diakses / dikontrol Files, databases, aplikasi Apa tujuan pengontrolan Read, Write, Execute? Kapan kontrol / batasan dilakukan Harian,sesi tertentu Pada kondisi apa kontrol dilakukan Sbg autentikasi tambahan? Yg utama?satu-satunya?
Mekanisme Access Control Access control fisik Kunci, Key Rings, Master Keys seleuh cara untuk mengontro akses Menyebarluaskan identifikasi biometric akses control fisik Mekanisme Software dan Hardware pd routers, misal, Cisco s TACACS+ Sistems, misal Unix, NT, mengijinkan akses control pd level file Aplikasi, web servers Access Control Servers (ACS), misal, RADIUS
Access Control Mechanisms Access Control Lists (ACL) Spesifikasi hak akses per sumber daya: dgn daftar user / userid dan suber daya yg dpt diakses Masalah? Groups Kebanyakan sistem mengijinkan pengelompokan user dan spesifikasi kebijkan tiap kelompok Anggota kelompok dapat berpartisipasi dgn cara didaftar/sertifikasi Contoh: administrator,power user, marketing department, backup operators, guests Hierarchical groups Akses control secara bertingkat Misal : dalam SI Akademik,rektorat bisa mengakses semua aplikasi/data yg ada dibawahnya,tp pimpinan biro/fakultas hanya berhak mengakses data yg dipimpinya saja.
Access Control pd SO Pd Unix / Linux (jika salah tolong dikoreksi) tiap file di asosiasikan mode /atribut Read, Write, dan execute untuk pemilik, group Misal, dr--r-xrwx getacl, setacl mendukung fungsi tambahan masukan ACL untuk users, group, dan objek Windows NT / Windows XP NTFS mengijinkan spesifikasi yg dapat user/group lakukan file, folder, registri, dan objek sistem lain Beberapa groups didefinisikan,misal: admin, poweruser, user
Lanjt Masalah: SO aslinya didesain tanpa pemikiran / mengutamakan tingkat sekuriti Banyak layanan friendly, misal : mail, ftp, file, printer, login Banyak account yg dikonfigurasi sebelumnya, misal : system, administrator, user Hackers menggunakan layanan ini untuk penetrasi Solusi: SO yg lebih tegas menghapus layanan / fasilitas seperti sendmail, remote login Untk Pengembangan aplikasi yg berjalan di SO diberikan tambahan security
Role-Based Access Control (RBAC) Secara logical layer gambaran hubungan users dan sumber daya yg dpt diakses Penetapan Role ditetapkan berdasar resource yg dibutuhkan user User-Role dan Role-Resource relasi secara simpel antara User-Resource Roles Layer Credit Telemarketers Manager Admin Employee Org role(s) Geography Member of committee 2 1 3 Roles can be hierarchical Reporting to In charge of process Weekend shift Credit Screen Credit Alert Marketing Mgmt Security HQ
Keuntungan RBAC Keuntungan Produktifitas Lebih mudah untuk penentuan karyawan baru Asih mengganti Bahtiar sbg Manager Marketing Cahyo masuk sbg tim security administration Lebih mudah untuk me-manage perubahan Dudi dipindahkan di kantor Jogja Evi mengganti Ferry pd EDP Keuntungan Security Banyak users di collectors pd hak akses Fasilitas tambahan kedepan adanya audit atas access rights
Usaha Administrasi User Manajemen seluruh user dan haknya secar terpusat Menambah/Menghapus/update info ttg user & resource Menambah/menghapus hak untuk platforms dan/atau aplikasi Advanced EUAs are two-way, with agents on the individual platforms and applications UAU harus mendukung aturan dasar managemen UAU harus mendukung atomasi aliran kerja Keunggulan : Managemen user dan haknya scr terpusat Otomatisasi penetapan hak akses Penetapan mutasi pekerja dan hak aksesnya lebih mudah/cepat
Buku Petunjuk Tujuan: centralized management of users and privileges Solusi: Directory A centralized repository of users, resources, and privileges Often implemented in a hierarchical database Users (leaves) appear with their specific information (attributes) name, user names, certificates, org, etc. Fast retrieval Difficult update IETF X.500 Directory Access Protocol (DAP) Defines access to the Directory Runs on top of TCP Almost all implementations are Lightweight DAP Directories can be federated
Bidang Terkait Managemen identitas merupakan nama umum proses pemusatan informasi user dan haknya dgn atau tanpa penetapan Pengebangan AAA/3A : Authentication, Authorization, Administration Menjadi 4A A ke empat Audit Managemen Password / Synchronization Banyak password: terlalu banyak, hrs mengingat, hrs ganti Enakkah mengingat beberapa pasword? Sinkronisasi scr otomatis pd aplikasi Self service Diperkirakan bahwa 40% helpdesk calls dihubungkan password