Access ControlKeamanan KomputerPuji Hartono2010
PembahasanPengertian access controlModel Access ControlDACRole basedMandatoryMetode Access ControlTerpusatTerdistribusiIdentifikasi dan AutentifikasiYou know You have You are
Autentifikasi vs Access ControlIdentifikasi memastikan keabsahan userAcces control mengatur wewenang
Contoh Access Control (1)Contoh:
*Access Control Policy for son EdwardAllowed access:HouseDisallowed access:Automobile
Contoh Access Control (2)Contoh:
*Access Control Policy for son EdwardAllowed access:HouseDisallowed access:Automobile
Contoh Access Control (3)Contoh:
*Access Control policyAllowed access:House: Disallowed access:Automobile
Problem!Unauthorized access
Contoh Access Control (4)Contoh:
*Correct Access Control Policy for son EdwardAllowed access:HouseKitchen Disallowed access:AutomobileCar key
Access Control (1)Close your front door before remove backdoorAccess control: menjamin bahwa seluruh akses ke objek hanya bisa dilakukan oleh yang berhakMelindungi terhadap insiden dan ancaman berbahaya pada data dan program dengan menerapkan aturan baca-tulis-eksekusiUntuk itu dibutuhkan:Identidikasi dan autentifikasi yang benarHak akses terjaga dari perubahan
*
Access Control (2)Access Control requirementCannot be bypassedEnforce least-privilege and need-to-know restrictionsEnforce organizational policy
*
Access Control (3)Beberapa definisi :Resource/objek: Memory, file, directory, hardware resource, software resources, external devices, etc.Subjects: entitas yang melakukan akses ke resourceUser, owner, program, etc.Access mode: jenis aksesRead, write, execute*
Access Control (4)Access control components:Access control policy: specifies the authorized accesses of a systemAccess control mechanism: implements and enforces the policySeparation of components allows to:Define access requirements independently from implementationCompare different policiesImplement mechanisms that can enforce a wide range of policies *
Access Control (5)Close vs Open System*Closed systemOpen SystemDissallowed accessesAccess requ.Access requ.Exists Rule?Exists Rule?Access permittedAccess deniedAccess deniedAccess permitted
Allowed accessesyesnoyesno(minimum privilege)(maximum privilege)
Model Access ControlModel-model access controlDAC (Discretionary Access Control)Role basedMandatory
Discretionary Access Control (1)Access control berdasarkanIdentitas userRule access controlSistem administrasi yang umum: berdasarkan kepemilikanUsers can protect what they ownOwner dapat memberikan hak akses objek miliknya kepada subjek lainOwner dapat mendefinisikan hak akses yang diberikan kepada subjek lain
Discretionary Access Control (2)Access Matrix Model
File 1File 2File 3File nUser 1{r,w}{w}{r,w}User 2{w}{w}{r,w}User 3{r}{w}User k{r}{r}{r,w}{r}{w}
*Discretionary Access Control (4)EmployeeBlacks EmployeeBrown: read, writeBlack, Brown: read, writeBrownBlack DAC dan Trojan horse
EmployeeBlacks EmployeeBrown: read, writeBlack, Brown: read, writeBrownBlackWord ProcessorUses shared programDiscretionary Access Control (5) DAC dan Trojan horse
Discretionary Access Control (6)Kelebihan dan kekuranganKelebihanIntuitifMudah diimplementasikaKekuranganInherent vulnerability (contoh: trojan horse)Perlunya pemeliharaan ACL/Capability listsPerlunya pemeliharaan grant/revoke
Discretionary Access Control (7)Contoh implementasiAccess control pada sistem unix, ms windows dll
Discretionary Access Control (8)Access control pada sistem database: UserDatabase/tabelPrivledge
Non-DAC (1)Disebut juga role basedMotivasiMulti-user systemsMulti-application systemsPermissions are associated with rolesRole-permission assignments are persistent v.s. user-permission assignmentsIntuitive: competency, authority and responsibility
Non-DAC (2)Express organizational policiesSeparation of dutiesDelegation of authorityFlexible: easy to modify to meet new security requirementsSupportsLeast-privilegeSeparation of dutiesData abstraction
Non-DAC (3)RolesUser group: collection of user with possibly different permissionsRole: mediator between collection of users and collection of permissionsRBAC independent from DAC and MAC (they may coexist)RBAC is policy neutral: configuration of RBAC determines the policy to be enforced
Non-DAC (4)
.. UUsers RRoles PPermissions. SSessions User assignmentPermissionassignmentUser: human beingsRole: job function (title)Permission: approval of a mode of accessAlways positiveAbstract representationCan apply to single object or to many
Non-DAC (5)Contoh sederhana: Akses PC
Non-DAC (6)Contoh sederhana: Facebook
Non-DAC (7)Contoh sederhana: Facebook
Mandatory AC (1)Sistem memutuskan bagaimana data akan di share (mandatory) Ciri-2 Mandatory Access Control (MAC)Menentukan tingkat sensitivitas alias labelSetiap obyek diberikan label sensitivitas dan hanya dapat diakses oleh user yang sudah memperoleh klarifikasi di level tsbHanya administrator yang diperbilehkan mengganti level obyek, bukan pemilik obyekDipakai oleh system dimana keamanan adalah sangat critical
Mandatory AC (2)Sulit diprogram konfigurasi serta implementasinyaPerforma berkurangBergantung pada system untuk akses controlSebagai contoh: Bila suatu file diklasifikasikan sebagai rahasia, MAC akan mencegah setiap orang untuk menuliskan informasi rahasia atau sangat rahasia kedalam file tersebutSeluruh output, spt print job, flopy disk, media magnetic lainnyaharus dilabel tingkat sensitivisme nya.
Mandatory AC (3)Contoh pelabelan objek
Mandatory AC (4)Contoh: Publikasi di Wordpress
Metodhologi access control (1)Terpusat. Contoh: VPN remote site, remote login di sistem UnixTerdistribusi. Contoh: NIS
Identification, Authentifications (1)Identifikasi dan autentifikasiMerupakan kunci utama dalam acces controlIdentifikasiMemastikan apakah user tersebut boleh mengakses ke sistemContoh: form login berisi usernameAutentifikasiVerifikasi apakah user yang mengaku berhak tersebut benar-benar valid
Metode AuthentificationsMetode AutentifikasiSomething you know?Contoh: Password, PINSomething you have?Contoh: Kartu magneticSomething you are?Contoh: Biometric
Password (1)Password idealSeseuatu yang anda ketahuiSesuatu yang tidak diketahui orang lainSesuatu yang sulit ditebakJumlah karakter cukup panjangTerdapat kombinasi huruf kecil, huruf besar, angka dan karakterContoh: P0kem0N
Password (2)Password idealSeseuatu yang anda ketahuiSesuatu yang tidak diketahui orang lainSesuatu yang sulit ditebak
Biometrics (1)FingerprintMenggunakan pola minutia yang khas tiap orangProsesEkstrak minutiaCompare minutia
Biometrics (2)HandgeometriMenggunakan pola geometris tangan yang khas tiap orangProsesEkstrak Compare
Biometrics (3)Iris ScanMenggunakan pola iris mata yang khas tiap orangProsesEkstrak Compare
Something you have Something you haveKartu magnetikSmartCardRFID
Kartu magnetikSmart CardRFID transmiter
Top Related