02 Acces Control

download 02 Acces Control

of 40

description

fg

Transcript of 02 Acces Control

  • Access ControlKeamanan KomputerPuji Hartono2010

  • PembahasanPengertian access controlModel Access ControlDACRole basedMandatoryMetode Access ControlTerpusatTerdistribusiIdentifikasi dan AutentifikasiYou know You have You are

  • Autentifikasi vs Access ControlIdentifikasi memastikan keabsahan userAcces control mengatur wewenang

  • Contoh Access Control (1)Contoh:

    *Access Control Policy for son EdwardAllowed access:HouseDisallowed access:Automobile

  • Contoh Access Control (2)Contoh:

    *Access Control Policy for son EdwardAllowed access:HouseDisallowed access:Automobile

  • Contoh Access Control (3)Contoh:

    *Access Control policyAllowed access:House: Disallowed access:Automobile

    Problem!Unauthorized access

  • Contoh Access Control (4)Contoh:

    *Correct Access Control Policy for son EdwardAllowed access:HouseKitchen Disallowed access:AutomobileCar key

  • Access Control (1)Close your front door before remove backdoorAccess control: menjamin bahwa seluruh akses ke objek hanya bisa dilakukan oleh yang berhakMelindungi terhadap insiden dan ancaman berbahaya pada data dan program dengan menerapkan aturan baca-tulis-eksekusiUntuk itu dibutuhkan:Identidikasi dan autentifikasi yang benarHak akses terjaga dari perubahan

    *

  • Access Control (2)Access Control requirementCannot be bypassedEnforce least-privilege and need-to-know restrictionsEnforce organizational policy

    *

  • Access Control (3)Beberapa definisi :Resource/objek: Memory, file, directory, hardware resource, software resources, external devices, etc.Subjects: entitas yang melakukan akses ke resourceUser, owner, program, etc.Access mode: jenis aksesRead, write, execute*

  • Access Control (4)Access control components:Access control policy: specifies the authorized accesses of a systemAccess control mechanism: implements and enforces the policySeparation of components allows to:Define access requirements independently from implementationCompare different policiesImplement mechanisms that can enforce a wide range of policies *

  • Access Control (5)Close vs Open System*Closed systemOpen SystemDissallowed accessesAccess requ.Access requ.Exists Rule?Exists Rule?Access permittedAccess deniedAccess deniedAccess permitted

    Allowed accessesyesnoyesno(minimum privilege)(maximum privilege)

  • Model Access ControlModel-model access controlDAC (Discretionary Access Control)Role basedMandatory

  • Discretionary Access Control (1)Access control berdasarkanIdentitas userRule access controlSistem administrasi yang umum: berdasarkan kepemilikanUsers can protect what they ownOwner dapat memberikan hak akses objek miliknya kepada subjek lainOwner dapat mendefinisikan hak akses yang diberikan kepada subjek lain

  • Discretionary Access Control (2)Access Matrix Model

    File 1File 2File 3File nUser 1{r,w}{w}{r,w}User 2{w}{w}{r,w}User 3{r}{w}User k{r}{r}{r,w}{r}{w}

  • *Discretionary Access Control (4)EmployeeBlacks EmployeeBrown: read, writeBlack, Brown: read, writeBrownBlack DAC dan Trojan horse

  • EmployeeBlacks EmployeeBrown: read, writeBlack, Brown: read, writeBrownBlackWord ProcessorUses shared programDiscretionary Access Control (5) DAC dan Trojan horse

  • Discretionary Access Control (6)Kelebihan dan kekuranganKelebihanIntuitifMudah diimplementasikaKekuranganInherent vulnerability (contoh: trojan horse)Perlunya pemeliharaan ACL/Capability listsPerlunya pemeliharaan grant/revoke

  • Discretionary Access Control (7)Contoh implementasiAccess control pada sistem unix, ms windows dll

  • Discretionary Access Control (8)Access control pada sistem database: UserDatabase/tabelPrivledge

  • Non-DAC (1)Disebut juga role basedMotivasiMulti-user systemsMulti-application systemsPermissions are associated with rolesRole-permission assignments are persistent v.s. user-permission assignmentsIntuitive: competency, authority and responsibility

  • Non-DAC (2)Express organizational policiesSeparation of dutiesDelegation of authorityFlexible: easy to modify to meet new security requirementsSupportsLeast-privilegeSeparation of dutiesData abstraction

  • Non-DAC (3)RolesUser group: collection of user with possibly different permissionsRole: mediator between collection of users and collection of permissionsRBAC independent from DAC and MAC (they may coexist)RBAC is policy neutral: configuration of RBAC determines the policy to be enforced

  • Non-DAC (4)

    .. UUsers RRoles PPermissions. SSessions User assignmentPermissionassignmentUser: human beingsRole: job function (title)Permission: approval of a mode of accessAlways positiveAbstract representationCan apply to single object or to many

  • Non-DAC (5)Contoh sederhana: Akses PC

  • Non-DAC (6)Contoh sederhana: Facebook

  • Non-DAC (7)Contoh sederhana: Facebook

  • Mandatory AC (1)Sistem memutuskan bagaimana data akan di share (mandatory) Ciri-2 Mandatory Access Control (MAC)Menentukan tingkat sensitivitas alias labelSetiap obyek diberikan label sensitivitas dan hanya dapat diakses oleh user yang sudah memperoleh klarifikasi di level tsbHanya administrator yang diperbilehkan mengganti level obyek, bukan pemilik obyekDipakai oleh system dimana keamanan adalah sangat critical

  • Mandatory AC (2)Sulit diprogram konfigurasi serta implementasinyaPerforma berkurangBergantung pada system untuk akses controlSebagai contoh: Bila suatu file diklasifikasikan sebagai rahasia, MAC akan mencegah setiap orang untuk menuliskan informasi rahasia atau sangat rahasia kedalam file tersebutSeluruh output, spt print job, flopy disk, media magnetic lainnyaharus dilabel tingkat sensitivisme nya.

  • Mandatory AC (3)Contoh pelabelan objek

  • Mandatory AC (4)Contoh: Publikasi di Wordpress

  • Metodhologi access control (1)Terpusat. Contoh: VPN remote site, remote login di sistem UnixTerdistribusi. Contoh: NIS

  • Identification, Authentifications (1)Identifikasi dan autentifikasiMerupakan kunci utama dalam acces controlIdentifikasiMemastikan apakah user tersebut boleh mengakses ke sistemContoh: form login berisi usernameAutentifikasiVerifikasi apakah user yang mengaku berhak tersebut benar-benar valid

  • Metode AuthentificationsMetode AutentifikasiSomething you know?Contoh: Password, PINSomething you have?Contoh: Kartu magneticSomething you are?Contoh: Biometric

  • Password (1)Password idealSeseuatu yang anda ketahuiSesuatu yang tidak diketahui orang lainSesuatu yang sulit ditebakJumlah karakter cukup panjangTerdapat kombinasi huruf kecil, huruf besar, angka dan karakterContoh: P0kem0N

  • Password (2)Password idealSeseuatu yang anda ketahuiSesuatu yang tidak diketahui orang lainSesuatu yang sulit ditebak

  • Biometrics (1)FingerprintMenggunakan pola minutia yang khas tiap orangProsesEkstrak minutiaCompare minutia

  • Biometrics (2)HandgeometriMenggunakan pola geometris tangan yang khas tiap orangProsesEkstrak Compare

  • Biometrics (3)Iris ScanMenggunakan pola iris mata yang khas tiap orangProsesEkstrak Compare

  • Something you have Something you haveKartu magnetikSmartCardRFID

    Kartu magnetikSmart CardRFID transmiter