keamanan sistem informasi - blognya puji · keamanan sistem informasi oleh: puji hartono versi:...
Post on 01-Apr-2019
224 Views
Preview:
TRANSCRIPT
Overview
1. Mengenal Access Control
2. Tipe Access Control
3. Layanan Access Control
4. Kategori Access Control● Access Control pada Sistem● Access Control pada Data
Mengenal Access Control (1)
● Access control adalah mekanisme untuk mengendalikan akses oleh subject terhadap objek● Access control merupakan jantung/inti dari pengamanan
sistem● “Close your front door before remove backdoor”
● Tujuan➔ Menjamin bahwa seluruh akses ke objek hanya bisa
dilakukan oleh yang berhak➔ Melindungi terhadap insiden dan ancaman berbahaya
pada data dan program dengan menerapkan aturan baca-tulis-eksekusi
Mengenal Access Control (2)
● Beberapa definisi● Resource/objek, seperti: Memory, file, directory,
hardware resource, software resources, external devices, etc.
● Subjects: entitas yang melakukan akses ke resource, seperti seperti: User, owner, program, etc.
● Access mode: jenis akses, seperti: Read, write, execute
Mengenal Access Control (3)
● Requirement Access Control➔ Access Control tidak dapat di-bypass➔ Menerapkan prinsip least-privilege and need-to-know
restrictions➔ Didukung dengan kebijakan organisasi
Tipe Control (1)
● Access control dapat dilakukan secara➔ Administratif➔ Technical/Logical➔ Physical
● Access Control secara Administratif untuk memastikan bahwa Access Control secara technical dan physical dapat dipahami dan diimlementasikan dengan baik
Tipe Control (2)
1. Secara Administratif➔ Kebijakan dan prosedur ➔ Pelatihan kepedulian akan keamanan kepada pegawai➔ Klasifikasi dan pengendalian aset➔ Kebijakan bagi pegawai, misal rotasi jabatan secara rutin➔ Administrasi account➔ dll
Tipe Control (3)
2. Secara Technical/Logical➔ Preventive
● Encryption● Access control mechanisms: Biometrics, smart cards, and
tokens.● Access control lists
➔ Detective
● Violation reports ● Network monitoring ● Intrusion detection
Tipe Control (4)
3. Secara Physical➔ Preventive
● Pengendalian lingkungan sistem, misalnya ventilasi, AC● Pengamanan area, misalnya: pintu dan kuncinya● Satpam● Anjing penjaga
➔ Detective● Motion detectors ● CCTV● Sensor, misalnya: sensor asap untuk deteksi kebakaran
Layanan Access Control
● Authentication, menentukan siapa saja yang berhak login– Identification : memastikan apakah user tersebut boleh mengakses
ke sistem.
– Authentication: verifikasi apakah user yang mengaku berhak tersebut benar-benar valid
● Authorization, menentukan apa saja yang dapat dilakukan oleh user
● Accountability, menentukan apa saja yang telah dilakukan oleh user. Non-repudiation, user tidak dapat mengelak atas catatan apa saja yang telah dilakukan
Kategori Access Control
Access Control ada 2 kategori● Access control pada sistem● Access control pada data
Access Control pada Sistem (1)
Autentifikasi dilakukan dengan berbasis:● Something you know
● Password● PIN
● Something you have● Smart card● RFID
● Something you are● Fingerprint● Retina
Access Control pada Sistem (2)
● Masalah-masalah pada password– Insecure
● Human nature (contoh: bandung12031985)● Transmission and storage, yang tidak dienkripsi
– Easily broken● Brute force attack
– Inconvenient● Password yang 'aman' tidak nyaman dipakai
– Refutable● Authentifikasi dengan hanya 1 password kurang memastikan
apakah user tersebut user yang sah● Tidak terpenuhinya accountability
Access Control pada Sistem (3)
● Aturan password yang seharusnya ditentukan dalam security policy/sistem– Length
● Minimal 6 karakter
– Complexity● r4h4514
– Aging● 1 bulan
– History● Password sekarang
dan yang lama
– Limited Attempts● Salah password 3x block→
– Lockout duration● User diblock 30 menit
– Limited time periods● Account khusus di hari kerja
– System Messages● Login banner, last username, last
succesfull logon
Access Control pada Sistem (4)
● Tips password lebih aman– Gunakan lower dan uppercase
● AdministratoR
– Ganti karakter dengan angka● 4dm1n5tr4t0r
– Gunakan special karakter antara 2 kata● bandung@indonesia
– Gunakan panjang password yang cukup● Minimal 6 karakter
Access Control pada Sistem (5)
● Akurasi teknologi biometric
The Crossover Error Rate (CER) is the point at which the FRR equals the FAR, stated as a percentage
Access Control pada Sistem (6)
● Jenis password dilihat dari kedinamikannya– Static password
● Password yang sama untuk setiap login
– One-time password● Password yang digunakan hanya saat itu saja.● Contoh: token
Access Control pada Sistem (7)
● Metodologi Access Control– Centralized access controls, seperti
● LDAP: Lightweight Directory Access Protocol (LDAP)● RAS: Remote Access Service ● RADIUS: The Remote Authentication Dial-In User Service ● Diameter: This next-generation RADIUS
– Decentralized access controls● Multiple domains and trusts● Databases: Access ke database diatur dengan database
management system (DBMS)
Access Control pada Sistem (9)
● Serangan pada Access Control– Brute force/dictionary attack
– Buffer overflow
– Man-in-the-middle attacks● Adanya penyusup diantara user, kemudian memforward
pesan/data yang telah dimodifikasi
– Packet (or password) sniffing
– Session hijacking● Penyusup mengambil alih salah satu user yang terlibat dalam
komunikasi
– Social engineering
Access Control pada Data (1)
● Model/Teknik Access Control, diantaranya
1. DAC (Discretionary access control)
2. NonDAC (Role Based)
3. Mandatory Access Control
Access Control pada Data (2)
1. DAC (discretionary access control)– Karakteristik
● Owner dapat melindungi objeknya● Owner dapat memberikan hak akses objek miliknya kepada
subjek lain● Owner dapat mendefinisikan hak akses yang diberikan kepada
subjek lain
– Konsep DAC, dalam DAC harus didefinisikan● Kepemilikan● Hak akses dan permisi (R/W/X)
– Contoh: permisi file di Linux, Windows
Access Control pada Data (3)
2. Role Based (NonDAC)– Access control dengan mendaftarkan user ke dalam
anggauta group berdasarkan fungsi atau jabatan dalam organisasi
– Contoh:
top related