ACCESS CONTROL & PROTECTION

-


Pengertian Access Control
Kontrol akses adalah kumpulan mekanisme yang memungkinkan manajer sistem atau seorang sistem administrator untuk memberlakukan aturan aturan dalam penggunaan suatu sistem, obyek atau target. Fitur keamanan yang mengontrol bagaimana pengguna dan sistem berkomunikasi dan berinteraksi satu sama lain. Hal ini memungkinkan manajemen untuk menentukan apa yang dapat dilakukan pengguna, sumber daya yang mereka dapat akses, dan operasi apa yang mereka dapat melakukan pada sistem.
Pengendalian Akses / Akses
Kontrol (Access Control)
·         Obyek/Target : semua hal yang perlu untuk dikendalikan. Misal: ruangan, jaringan, dll.
·         Subyek/pelaku : pengguna, program atau proses yang meminta izin untuk mengakses obyek.
·         Sistem/Proses: antarmuka antara obyek dan subyek dari pengendalian akses.

Dalam pengendalian akses, subyek harus di-identifikasi, otentikasi dan otorisasi (identified, authenticated and authorized).

Akses Kontrol meliputi:
·       Authentication : pengenalan pengguna
o   menentukan akses apa saja yang diijinkan
o   Otentikasi manusia ke mesin
o   Otentikasi mesin ke mesin
·         Authorization : pemberian hak akses atas obyek. n Setelah Anda memiliki akses, apa yang dapat Anda lakukan?
·         Accounting : pelacakan, pencatatan dan audit aktivitas Trio Authentication, Authorization, and Accounting sering dikenal dengan singkatan AAA.
Trio Authentication, Authorization, and Accounting sering dikenal dengan singkatan AAA.

Authentication
Faktor-faktor dalam identifikasi dan otentikasi:
o   Sesuatu yang diketahui (contoh: password)
o   Sesuatu yang dimiliki (contoh : smartcard)
o   Sesuatu yang bagian dari diri sendiri / Biometric (contoh: sidik jari)
Peningkatan keamanan dilakukan dengan mengkombinasikan faktor yang digunakan, dan sistem ini dikenal dengan nama terkait jumlah faktor nya. Misal: identifikasi atau otentikasi dua faktor.

Authorization
Proses dimana subyek atau pelaku, telah memenuhi kriteria identifikasi dan otentikasi, diberikan hak akses atas sesua obyek yang dikendalikan.
Hak akses dapat berupa tingkatan-tingkatan tertentu terhadap obyek. Misal: tingkatan direktori, jenis/klasifikasi dokumen, dll.

Accounting
Sistem pengendalian akses yang dipercayakan dalam transaksi terkait keamanan harus menyediakan fasilitas yang dapat menjelaskan apa saja yang terjadi. Dalam hal ini termasuk pelacakan atas aktivitas sistem dan pelakunya. Diterapkan dalam bentuk catatan atau log dari kejadian atau audit.
Sesuatu yang diketahui  
o   Passwords
Banyak hal bertindak sebagai password!
o   PIN
Nomor jaminan sosial
o   Nama gadis ibu
o   Tanggal lahir
o   Nama hewan peliharaan Anda, dll
Password
Perlu dilakukan karena bagian penting dari sistem pengendalian akses manapun, baik sistem yang otomatis ataupun manual.
o   Pemilihan password: terkait panjang karakter minimum, jenis karakter yg digunakan, umur atau penggunaan ulang password.
o   Pengelolaan catatan Password: mencatat apa saja kejadian pada password, mulai dari permintaan pembuatan, reset, kadaluarsa hingga dihapus.
o   Audit dan Kontrol Password: menentukan manfaat secara umum dari sistem pengendalian akses dalam menurunkan akses tidak berhak atau serangan


Administrasi, Metoda, Kebijakan, Model Pada Access Control
Administrasi Access Control
o   Account Administration: Hal-hal berkaitan dengan pengelolaan akun semua pelaku, baik pengguna sistem, dan layanan. Dalam hal ini termasuk, pembuatan ( (authorization, rights, permissions), pemeliharaan (account lockout-reset, audit, password policy), dan pemusnahan akun(rename or delete).
o   Access Rights and Permissions: Pemilik data menentukan hak dan perizinan atas akun dengan mempertimbangkan principle of least privilege.
(akses hanya diberikan sesuai dengan keperluan).
Administrasi Access Control (cont)
o   Monitoring: mengawasi dan mencatat perubahan atau aktivitas akun.
o   Removable Media Security: Dilakukan pembatasan penggunaan removable media untuk meningkatkan keamanan.
o   Management of Data Caches: pengelolaan file temporary, session file, dll.

Metoda Access Control
o   Centralized access control: Semua permintaan access control diarahkan ke sebuah titik otentikasi/kelompok sistem.
1.      Memberikan satu titik pengelolaan
2.      Lebih memudahkan dengan kompensasi biaya lebih besar.
3.      Implementasi lebih sulit
Contoh: Kerberos, Remote Authentication Dial-In User Service (RADIUS), Terminal Access Controller Access Control System (TACACS), TACACS+ (allows encryption of data).
Metoda Access Control (cont)
o   Decentralized access control: akses kontrol tidak dikendalikan sebuah titik otentikasi atau keompok sistem.
o   Menguntungkan pada kondisi akses ke sistem terpusat sulit disediakan.
o   Lebih sulit dalam pengelolaan. Contoh: Windows Workgroup
Jenis Kebijakan Access Control
Preventive / pencegahan: mencegah exploitasi atas vulnerability yang ada. Misal: patching/update, klasifikasi data, background check, pemisahan tugas, dll.
Detective : Kebijakan yang diterapkan untuk menduga kapan serangan akan terjadi. Misal: IDS, log monitoring, dll
Corrective : kebijakan untuk melakukan perbaikan segera setelah vulnerability di-eksploitasi. Misal: Disaster Recovery Plans (DRP), Emergency Restore Procedures, password lockout threshold, dll.
Metoda Implementasi
Administrative: kebijakan dikendalikan secara andministrasi dengan kebijakan yan g diteruskan melalui struktur administrasi, dari atasan/ pimpinan kepada bawahan, dst. Biasanya bersifat tidak otomatis. Misal: kebijakan tertulis tentang password (panjang, umur/jangka waktu, dll)
Metoda Implementasi (cont)
Logical/Technical: Kebijakan ini diterapkan dengan memaksa penggunaan access control secara teknis. Ditujukan untuk membatasi kesalahan manusia dalam penggunaan sistem. Misal: penggunaan aplikasi SSH, input validation, dll
Metoda Implementasi (cont)
Physical: Kebijakan diterapkan secara fisik, misal : pembatasan akses fisik ke gedung yang diamankan, perlindungan kabel dan peralatan terhadap electro-magnetic interference (EMI),dll. Misal: Petugas keamanan, peralatan biometrik, katu pengenal kantor, Perimeter defenses (dinding/kawat), dll.
Metoda Implementasi (cont)
Kebijakan dan implementasi dapat dikombinasikan. Misal:
o   Preventive / Administrative dalam bentuk kebijakan password tertulis;
o   Detective / Logical/Technical (misal: IDS);
o   Corrective / Administrative (misal: DRP).
o   CCTV?
o   Preventive/Physical (kalau hanya merekam)
o   Detective/Physical (jika dimonitor secara aktif)
Model Access Control
Discretionary Access Control (DAC) : Pemilik data menentukan hak akses (dapat mengganti perizinan)
Mandatory Access Control (MAC) : Sistem menentukan hak akses tergantung pada label klasifikasi (sensitivity label). Lebih tangguh dari DAC. (Hanya admin pusat yang dapat memodifikasi perizinan, namun klasifikasi ditetapkan pemilik data).
Role-based access control (RBAC) aka Non- Discretionary : Role atau fungsi dari pengguna/subyek/ tugas menentukan akses terhadap obyek data. Menggunakan access control terpusat yang menentukan bagaiman subyek dan obyek berinteraksi.


Komentar

Posting Komentar

Postingan populer dari blog ini

Keamanan Fisik (Physical Security) dan Keamanan Logis (Logical Security)

-
Keamanan Fisik (Physical Security) Physical Security adalah Tindakan atau cara yang dilakukan untuk mencegah atau menanggulangi dan menjaga hardware, program, jaringan dan data dari bahaya fisik dan kejadian yang dapat menyebabkan kehilangan yang besar atau kehancuran. Keamanan fisik termasuk perlindungan terhadap kebakaran, bencana alam, pencurian, vandalism dan teroris. Komponen Keamanan Fisik: Penghalang. Ditempatkan pada lokasi yang berpotensi menjadi titik serangan/munculnya bencana alam. Contoh:  “kunci ganda”, pagar, tabung pemadam api, sistem  penyemprot air.   Sistem pemantauan dan pemberitahuan. Contoh:  lampu, sensor panas, detektor asap, detektor penyusupan  fisik, alarm, kamera. Metode pengamanan. Digunakan untuk menemukan  penyerang, sebelum pencurian ata...
Baca selengkapnya

KASUS-KASUS CYBERCRIME YANG TERJADI DI DUNIA

-
Gambar
Teknologi sudah tidak asing lagi dalam kehidupan kita pada saat ini. Banyak sekali kegiatan kita terintegrasi dengan teknologi, sebut saya browsing dan juga steaming. Namun, apa jadinya ketika kita menggunakan teknologi untuk kegiatan tersebut ada bahaya yang mengintai kita? Berikut adalah kasus CyberCrime yang viral didunia. Kasus Bank BCA Dunia perbankan nasional pernah digegerkan dengan kasus phishing pada tahun 2001. Seseorang berinisial SH membeli domain 'plesetan' yang mirip dengan domain resmi BCA  http://www.klikbca.com/  seperti  kilkbca.com ,  clikbca.com ,  klickbca.com  dan  klikbac.com .  Banyak korban terjebak situs gadungan buatan SH ini. Pelaku menggunakan metode pishing dan sinkronisasi akun. Nasabah diminta memasukkan nomer token asli di pop-up yang telah disiapkan agar si pelaku dapat mengambil saldo korban dengan leluasa. Kasus Pembajakan Website Presiden SBY Kasus pembajakan situs presidensby...
Baca selengkapnya