keamanan logik -...
TRANSCRIPT
Keamanan Logik
Arsitektur Keamanan dan Sistem Administrator
STMIK Amikom Purwokerto
Control Of Access to General Object
• Control Access
Salah satu cara yang umum digunakan untuk mengamankaninformasi adalah dengan mengatur akses ke informasi melaluimekanisme authentication dan access control. Implementasi darimekanisme ini antara lain dengan menggunakan password.
• Classification of Information Assets• Siapa yang mempunyai hak akses dan untuk apa?
• Level akses yang diberikan
• Siapa yang bertanggungjawab untuk menentukan hak akses dan level akses
• Persetujuan apa yang diperlukan untuk melakukan akses?18/09/2017
2
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
What is access control?
• Kemampuan untuk memberikan ijin hanya kepada orang yang berhak atau mempunyai auhthorized (otoritas) terhadapprogram atau sistem proses atau mengakses sumber data
• Memberikan hak (grant) atau menghapus hak (deny), sesuaidengan security model khusus, yang mempunyai ijin(permission) pasti untuk mengakses sumber data
• Sekumpulan prosedur yang dibentuk oleh h/w, s/w danadministrator, untuk memonitor akses, mengidentifikasi user yang meminta akses, mencatat record yang diakses danmemberikan akses grant atau deny berdasarkan aturan yang sudah ditetapkan.
18/09/2017
3
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
Controls
• Kendali: mengurangi resiko/kerugian• Preventive: mencegah terjadinya insiden
• Detective: mendeteksi terjadinya insiden
• Correctice: memperbaiki (restoration) jika terjadi insiden
• Implementasi:• Administrative Control: policies, prosedur, security awareness/training,
supervisi, dll.
• Logical/Technical Control: pembatasan akses ke sistem dan teknik proteksiyang digunakan, mis. Smart cards, enkripsi dll.
• Physical Control: penjagaan fisik, mis. Biometric door lock, secured area utkserver, deadman door dll.
18/09/2017
4
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
Logical Access Controls
• Akses kontrol infrastruktur TI dapat dilakukan padaberbagai tingkat• Front end (user) & Back end (server)
• Bagaimana jaringan terbagi dan perlindungan akses ke sumberinformasi
• Paths of Logical Access• Network connectivity
• Remote access
• Operator console
• Online workstations or terminals
18/09/2017
5
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
Logical Access Control Software
• Mencegah akses dan modifikasi data sensitif organisasi dari orang yang tidak mempunyai otorisasi dan penggunaan fungsi sistemkritis
• Semua layer: network, operating systems, databases & application systems
• Fungsi software:• Identifikasi dan otentikasi
• Otorisasi akses
• Monitor: Logging aktifitas user, reporting
• Implementasi paling efektif: tingkat networks dan operating system (membatasi privileges pada low level)
18/09/2017
6
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
Fungsi akses kontrol sistem operasi
• Mekanisasi identifikasi dan otentikasi user
• Restricted logon IDs
• Aturan akses untuk sumber informasi yang spesifik
• Create individual accountability and auditability
• Create or change user profile
• Log events
• Log user activities
• Report capabilities
18/09/2017
7
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
Fungsi akses kontrol basis data dan/ataulevel aplikasi
• Create or change data files and database profiles
• Verify user authorization at the application and transaction levels
• Verify user authorization within the application
• Verify user authorization at the field level for changes within a database
• Verify subsystem authorization for the user at the file level
• Log database/data communications access activities for monitoring access violations
18/09/2017
8
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
Logical Security
• Dalam konteks pengontrolan dapat didefinisikan “pengontrolandengan pertolongan software atau aplikasi tertentu terhadappengaksesan pemakai sesuai dengan wewenang yang diberikanuntuk menggunakan data atau informasi termasuk programnyayang tersimpan di dalam komputer”
18/09/2017
9
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
Tujuan dari logical security
• Melindungi data atau informasi dari pencurian, proses edit ataupengrusakan baik yang di sengaja atau tidak disengaja dari orangyang tidak memiliki hak akses
• Menghindari dan mendeteksi perubahan terhadap data atauinformasi
18/09/2017
10
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
Metode Pengamanan Logik
• User ID
Adalah serangkaian huruf atau angka atau kombinasi huruf danangka untuk mengidentifikasi pemakai yang memiliki hak aksesatau otorisasi dalam mengakses sistem computer. User IDmerupakan perisai pertama terhadap pengaksesan sistem
18/09/2017
11
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
Konten User ID
Informasi yang tersimpan pada user ID :
• User Name
Mengidentifikasikan pemakai di dalam sistem
Harus unik, biasanya terdiri dari Alphabet atau Alphanumerik
Misal nama Jono, bagian Keuangan, NIK 0012 Username JBK0012
• Password
Merupakan kunci untuk masuk (log on) ke dalam sistem.
• Initial Menu
Menu utama yang akan tampil sesuai dengan wewenangnya
18/09/2017
12
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
Konten User ID
• Output Queue
• Special Authorities
• Password Change Date
• Acess Levels
18/09/2017
13
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
Password
• Memiliki kaitan dengan User ID
• Untuk membuktikan pemilik memiliki wewenang masuk ke dalamsystem
• User ID dengan Password akan di cocokan oleh system denganinformasi yang tersimpan di dalam file User ID.
• Agar tidak dapat dilihat oleh orang lain, system menayangkanpassword yang diketik oleh user menjadi model asterisk (*****)
• Analisis kekuatan Password
18/09/2017
14
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
Pengontrolan Password
• Pengawasan terhadap password bisa dilakukan oleh system, perusahaan
• Membatasi kesalahan gagal login
• Panjang dan kombinasi karakter ditentukan
• Tidak menggunakan nama keluarga, tanggal lahir, dan hal-hal yang berkaitan dengan dirinya
• Password harus diganti paling sedikit setiap 3 bulan
• Password tidak boleh ditampilkan di monitor atau di cetak
• Password dan User ID di hapus jika karyawan keluar dari perusahaan
• Password dan User ID di non aktifkan apabila pemilik cuti
• Password yang sangat kritis (pass administrator) harus disiapkan prosedurpengambil alihan pada saat darurat
18/09/2017
15
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
Ancaman Serangan terhadap Password
• Brute Force• Mencoba segala kombinasi huruf dan angka (trial and error)
• Dictionary based• Dengan bantuan file yang berisi daftar password-password yang sering
dipakai orang
• Password sniffing• Menyadap data yang lewat di jaringan komputer
• Social Engineering• Menyadap pembicaraan orang
• Membuat agar orang menyebutkan passwordnya
18/09/2017
16
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
Access Level
Sekali user login ke sistem, maka user tersebut diberikan otorisasiuntuk mengakses sumber daya sistem, misalnya file, directory, dll
Yang perlu diperhatikan adalah:
• Siapa saja yang boleh membaca isi file kita
• Siapa saja yang boleh merubah isi file kita
• Bolehkah file kita di-share ke user lain
18/09/2017
17
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
Access level
Ada 3 tipe dasar pengaksesan file
• Read (r) -> hak untuk membaca file
• Write (w) -> hak untuk menulis ke file
• Execute (x) -> hak untuk menjalankan file
18/09/2017
18
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
Access level
Metode Ownership
• Pembuat file adalah pemilik file
• Id pembuat file disimpan
• Hanya pemilik yang dapat mengakses file miliknya
• Administrator dapat mengakses juga
18/09/2017
19
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
Access level
Metode File Types
• File akan didefinisikan sebagai public file, semipublic file atauprivate file• Public file -> semua user mempunyai hak penuh (rwx)
• Semi public file -> user lain hanya mempunyak hak read execute(rx)
• Private file -> user lain tidak punya hak
18/09/2017
20
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
Access level
Metode Self/Group/Public Controls
• Disebut juga user/group/other
user – pemilik file
group – sekelompok user
other – user yang tidak termasuk di atas
• Setiap file/directory memiliki sekumpulan bit-bit yang disebut file permissions/ Protection mode
18/09/2017
21
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
Access level
Contoh:
-rwxrw-r-- 1 budi staff 81904 nov 7 13:25 program.c
-rwx rw- r--
S G P
• Tanda (–) menunjukkan bahwa user tidak punya hak
• Abaikan tanda (-) pertama
• Pemilik file (budi) mempunyai hak rwx
• Anggota group staff mempunyai hak rw
• User lainnya hanya mempunyai hak r
18/09/2017
22
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016
• To be continue
18/09/2017
23
Arsitektur Keamanan & Sistem Administrator, STMIK AMIKOM Purwokerto 2016