Akses Kontrol dan Management Password
Akses Kontrol
Pengertian
Akses Kontrol
Akses kontrol adalah Suatu proses dimana user
diberikan hak akses untuk mengakses sistem atau informasi. Dalam akses kontrol terdapat
identifikasi, otorisasi, otentifikasi dan audit. Akses Kontrol memiliki subjek
(user) yang mencoba untuk mendapatkan akses dari Object (software) yang
tersimpan pada ACL (access control list). ACL merupakan daftar akses kontrol
berisi perizinan dan data kemana user diberikan izin tersebut. Data yang telah
memiliki izin hanya dapat diakses oleh beberapa user yang telah diberikan akses
untuk mengaksesnya dan tentunya sudah dikontrol oleh akses kontrol. Dalam hal
ini mungkin memerlukan administrator untuk mengamankan informasi dan mengatur
hak atas informasi apa saja yang boleh diakses dan kapan informasi tersebut
dapat diakses.
Prinsip Akses Kontrol
·
Principle of least privilege
Jika tidak ada konfigurasi untuk user terutama secara spesifik seperti individu atau kelompok, dimana user berada dll, seharusnya user tidak bisa mengakses informasi tersebut.
Jika tidak ada konfigurasi untuk user terutama secara spesifik seperti individu atau kelompok, dimana user berada dll, seharusnya user tidak bisa mengakses informasi tersebut.
·
Separation of Duties
Memisahkan area akses untuk mengurangi modifikasi data yang tidak sah pada asset atau informasi dari suatu organisasi.
Memisahkan area akses untuk mengurangi modifikasi data yang tidak sah pada asset atau informasi dari suatu organisasi.
·
Need to Know
Prinsip ini berdasarkan konsep atas setiap user yang akan diberikan akses hanya untuk informasi yang mereka butuhkan saja untuk menjalankan tugas.
Prinsip ini berdasarkan konsep atas setiap user yang akan diberikan akses hanya untuk informasi yang mereka butuhkan saja untuk menjalankan tugas.
Kategori Akses Kontrol
1. Administrative control
Ditetapkan oleh
top management dalam satu organisasi
Komponen:
·
Kebijakan dan Prosedur
·
Kontrol Pegawai
·
Struktur Pengawasan
·
Latihan untuk Security-Awareness
·
Testing
2.
Physical Control
Mendukung dan bekerja dengan administratif dan technical control untuk menyediakan access control yang benar.
Mendukung dan bekerja dengan administratif dan technical control untuk menyediakan access control yang benar.
Komponen:
·
Pemisahan Jaringan
·
Keamanan Perimeter
·
Computer Controls
·
Pemisahan Area Kerja
·
Backup Data
·
Cabling
·
Zona Kontrol
3.
Technical Control
Alat yang digunakan untuk membatasi akses subjek ke objek. Melindungi integritas dan ketersediaan sumber dengan membatasi jumlah subjek yang bisa mengakses objek. Melindungi kenyamanan sumber dengan mencegah penyingkapan ke subjek yang tidak dikenal.
Alat yang digunakan untuk membatasi akses subjek ke objek. Melindungi integritas dan ketersediaan sumber dengan membatasi jumlah subjek yang bisa mengakses objek. Melindungi kenyamanan sumber dengan mencegah penyingkapan ke subjek yang tidak dikenal.
Komponen:
·
Akses Sistem
·
Akses Jaringan
·
Enkripsi dan Protokol
·
Proses Audit
·
Rancangan Jaringan
Akses Kontrol Berdasarkan Modelnya
·
Discretionary Acces Control
Merupakan model akses control yang diatur sesuai keinginan pemiliknya yang ditempatkan pada sebuah ACL (access control list). Menggunakan model ini merupakan konfigurasi pemberian akses berdasarkan kebutuhan user tersebut.
Merupakan model akses control yang diatur sesuai keinginan pemiliknya yang ditempatkan pada sebuah ACL (access control list). Menggunakan model ini merupakan konfigurasi pemberian akses berdasarkan kebutuhan user tersebut.
·
Mandatory Access Control
Model ini merupakan model yang sangat terstruktur dan ketat. User diberi izin akses dengan mengklasifikasi subjek (secret, top secret, confidential dll) dan klasifikasi ini juga berlaku untuk objek.
Model ini merupakan model yang sangat terstruktur dan ketat. User diberi izin akses dengan mengklasifikasi subjek (secret, top secret, confidential dll) dan klasifikasi ini juga berlaku untuk objek.
·
Role Based Access Control (RBAC)
Access control berdasarkan tugas user dan menggunakan control administrator untuk memastikan interaksi antara subjek dan objek.
Access control berdasarkan tugas user dan menggunakan control administrator untuk memastikan interaksi antara subjek dan objek.
·
Ruleset Based Access Control (RSBAC)
Access control yang spesifik untuk objek yang akan diakses oleh user.
Access control yang spesifik untuk objek yang akan diakses oleh user.
·
List-Based
Merupakan Daftar User yang diberikan izin untuk mengakses objek.
Merupakan Daftar User yang diberikan izin untuk mengakses objek.
·
Token Based
Merupakan daftar objek yang boleh diakses untuk masing-masing user.
Merupakan daftar objek yang boleh diakses untuk masing-masing user.
Akses Kontrol Berdasarkan Teknologinya
·
Single Sign-On : Teknologi yang memungkinkan
user untuk menginputkan satu perintah untuk mengakses semua sumber daya
didomain jaringan primer dan sekunder.
·
Kerberos : Merupakan protocol otentikasi
yang bekerja berdasarkan kunci kriptografi simetris yang digunakan di system
UNIX dan menjadi metode otentikasi untuk windows 2000.
·
SESAME (Secure European System for Application
in a Multi-vendor Environtment): Merupakan Teknologi SSO yang dikembangkan
untuk peningkatan Kerberos yang menggunakan teknik kriptografi untuk melindungi
pertukaran data dan untuk autentikasi subjek ke jaringan.
Akses Kontrol Berdasarkan
Tekniknya
·
Rule-Based Access Control:
Menggunakan peraturan spesifik yang menginidikasi apa yang bisa dan tidak bisa
terjadi antara subjek dan objek. Subjek harus mematuhi beberapa paraturan yang
sudah tertera sebelum mengakses sebuah objek.
·
Constrained User Interface:
Membatasi kemampuan user dengan tidak mengizinkan user untuk meminta beberapa
informasi atau memberikan akses untuk membuka sumber sistem yang spesifik.
·
Matrix Access Control:
Tabel dari subjek dan objek yang mengindikasi tindakan apa yang subjek lakukan
terhadap objek. Teknik ini menggunakan tabel kapabilitas untuk menspesifikasi
kemampuan dari sebuah subjek yang berkaitan dengan objek.
·
Content Dependant Access
Control: Akses ke sebuah objek bedasarkan konten dari objek tersebut.
·
Context Dependant Access
Control: Keputusan akses lebih bedasarkan atas konteks dari kumpulan informasi
dari pada tingkat kesensitivan data.
Akses Kontrol Berdasarkan Protokol Autentikasi
·
Password Authentication Portocol (PAP)
Merupakan Bentuk autentikasi yang paling standar dimana autentikasi tersebut menggunakan username dan password yang ditransmisikan ke sistem kemudian dicocokan dengan username dan password yang ada pada database. kelemahan dari autentikasi ini adalah username dan password dikirim ke sistem tanpa adanya enkripsi terlebih dahulu.
Merupakan Bentuk autentikasi yang paling standar dimana autentikasi tersebut menggunakan username dan password yang ditransmisikan ke sistem kemudian dicocokan dengan username dan password yang ada pada database. kelemahan dari autentikasi ini adalah username dan password dikirim ke sistem tanpa adanya enkripsi terlebih dahulu.
·
Challenge Handshake Authentication Protocol
(CHAP)
Hampir sama dengan proses autentikasi PAP, perbedaanya pada saat username dan password dikirim ke sistem CHAP menggunakan enkripsi dengan menggunakan algoritma MD5 sehingga lebih aman.
Hampir sama dengan proses autentikasi PAP, perbedaanya pada saat username dan password dikirim ke sistem CHAP menggunakan enkripsi dengan menggunakan algoritma MD5 sehingga lebih aman.
·
Terminal Access Controller Access Control
System (TACACS)
Merupakan protokol autentikasi yang bersifat opensource, yang cukup terkenal adalah TACACS+. TACACS+ merupakan hasil modifikasi yang dilakukan cisco sebagai protokol proprietary milik cisco. TACACS+ merupakan proses sentralisasi autentikasi bagi user yang ingin mendapatkan akses ke sebuah router cisco. service TACACS+ ini tersimpan dalam database TACAS+ daemon yang bisa berjalan pada sistem operasi UNIX, Windows NT dan Windows 2000. TACACS+ menyediakan fitur authentication, authorization dan accounting yang terpisah dan modular sehingga lebih fleksibel dalam mengkonfigurasi keperluanya.
Merupakan protokol autentikasi yang bersifat opensource, yang cukup terkenal adalah TACACS+. TACACS+ merupakan hasil modifikasi yang dilakukan cisco sebagai protokol proprietary milik cisco. TACACS+ merupakan proses sentralisasi autentikasi bagi user yang ingin mendapatkan akses ke sebuah router cisco. service TACACS+ ini tersimpan dalam database TACAS+ daemon yang bisa berjalan pada sistem operasi UNIX, Windows NT dan Windows 2000. TACACS+ menyediakan fitur authentication, authorization dan accounting yang terpisah dan modular sehingga lebih fleksibel dalam mengkonfigurasi keperluanya.
·
Radius
Merupakan protokol kemanan jaringan yang diguanakan untuk proses Authentication, Authorization dan Accounting secara terpusat pada suatu jaringan. Radius dalam jaringan ini diterapkan dengan model client server, dimana server Radius berfungsi sebagai autentikasi dan authorisasi dari client dengan meminta user name dan password yang kemudian dicocokan dengan data yang ada pada database server radius tersebut.
Merupakan protokol kemanan jaringan yang diguanakan untuk proses Authentication, Authorization dan Accounting secara terpusat pada suatu jaringan. Radius dalam jaringan ini diterapkan dengan model client server, dimana server Radius berfungsi sebagai autentikasi dan authorisasi dari client dengan meminta user name dan password yang kemudian dicocokan dengan data yang ada pada database server radius tersebut.
·
Diameter
Merupakan pengembangan dari RADIUS, Jika radius menggunakan UDP untuk authentikasinya DIAMETER ini menggunakan TCP dan SCTP untuk proses authentikasinya. SCTP merupakan pengembangan dari TCP dimana SCTP memerlukan prosedur call set up sebelum terjadi pengiriman data. SCTP juga memiliki beberapa fitur baru seperti Multi-homing, Multi-streaming dan Heartbeat.
Merupakan pengembangan dari RADIUS, Jika radius menggunakan UDP untuk authentikasinya DIAMETER ini menggunakan TCP dan SCTP untuk proses authentikasinya. SCTP merupakan pengembangan dari TCP dimana SCTP memerlukan prosedur call set up sebelum terjadi pengiriman data. SCTP juga memiliki beberapa fitur baru seperti Multi-homing, Multi-streaming dan Heartbeat.
·
Active Directory
Merupakan directory service yang ada pada windows 2000 yang digunakan untuk proses authentikasi, authorisasai dan accounting pada suatu jaringan.
Merupakan directory service yang ada pada windows 2000 yang digunakan untuk proses authentikasi, authorisasai dan accounting pada suatu jaringan.
Management Password
Pengertian Management Password
Manajemen
password merupakan suatu tata cara mengelola kata kunci agar fungsinya sebagai
gerbang keamanan informasi dapat berperan secara efektif. cara yang umum
digunakan untuk mengamankan sebuah sistem adalah dengan mengatur akses pemakai
(user) melalui mekanisme pencocokan kebenaran (authentication) dan pemberian
hak akses (access control) implementasinya adalah penggunaan password. Contoh
mudahnya adalah ketika akan menggunakan sebuah komputer, pemakai diharuskan
melalui proses authentication dengan menuliskan user id dan password-nya. Password (frase atau PIN) yang
sulit diingat akan mengurangi nilai dari password itu sendiri. Hal tersebut
dapat terjadi bila administrator terlalu sering melakukan penggantian password
sehingga user kesulitan untuk mengingat password terbaru. Jadi, yang disarankan
adalah menjaga password secara rahasia dan aman.
Prinsip Umum Aturan Password
·
Prinsip
pertama adalah tingkat kemudahan password tersebut untuk
ditebak berdasarkan panjang password-nya. Semakin pendek sebuah password, semakin
mudah password tersebut ditebak dan semakin cepat waktu yang dibutuhkan oleh
hacker untuk memecah password dengan tools hacker yang banyak tersedia.
Konsensus umum yang banyak diberlakukan adalah bahwa sebuah password mesti
setidaknya terdiri dari 8 karakter untuk memperoleh tingkat keamanan yang
cukup.
·
Prinsip kedua terkait
dengan kekuatan dari password. Kekuatan yang dimaksud disini adalah terkait
dengan kompleksitas karakter yang digunakan dalam membentuk sebuah password.
Password sebaiknya tidak menggunakan kata-kata yang ada di kamus, nama-nama
yang mudah ditebak atau hanya terdiri dari huruf kecil saja dari huruf-huruf
alfabet. Untuk meningkatkan kekuatan dari password, perlu dikombinasikan antara
huruf kapital dan huruf kecil, angka (setidaknya 1) dan karakter spesial
(setidaknya 1) untuk menambah kompleksitas password sehingga menjadi cukup
sulit untuk ditebak atau di-hack. Seringkali saking kompleksnya sampai-sampai
pemilik password pun sulit mengingatnya.
·
Prinsip
ketiga adalah untuk mencegah
akses yang tidak berhak melalui teknik yang disebut “piggy-backing”, yang
biasanya disebabkan seorang user yang meninggalkan komputer kerjanya tanpa
log-off terlabih dahulu. Lalu pada saat tersebut ada orang lain yang melakukan
akses pada sistem untuk melakukan sesuatu. Untuk meminimalisir kemungkinan ini,
sistem dapat menggunakan fitur seperti “auto-logoff” jika dalam waktu tertentu
user tidak aktif berinteraksi dengan sistem. Berapa lama waktu “time-out” ini
tergantung pada kritikalitas dari sistem dan ragam kultur dari penggunanya.
Biasanya sistem seperti Internet-Banking memiliki waktu time-out yang cukup
singkat.
·
Prinsip
keempat terkait dengan respon
sistem terhadap usaha akses pada sistem yang gagal. Yaitu ketika seseorang
salah memasukkan informasi saat login, bagaimana sistem merespon terhadap hal ini.
Sistem perlu memblokir akun yang gagal melakukan usaha login sebanyak misalnya
3 kali, dengan asumsi bahwa hal ini terjadi karena ada percobaan akses ilegal
melalui menebak-nebak password. Walau seringkali karena memang user yang berhak
tapi terlupa passwordnya. Untuk ini mesti ada mekanisme recovery nya seperti
fasilitas “forgot password”.
·
Prinsip
kelima terkait dengan durasi lockout.
Administrator sistem biasanya dapat mengatur lama waktu yang dibolehkan pada
setiap orang untuk mengakses sistem sebelum diminta untuk melakukan login
ulang. Durasi ini dapat diatur diseseuaikan dengan kritikalitas sistem dan
data.
·
Prinsip
keenam terkait dengan akun
dari karyawan atau anggota organisasi yang sudah berhenti. Seringkali karena
berbagai sebab banyak organisasi terlupa untuk menghapus hak akses mantan
karyawan atau anggota organisasinya. Mesti ada kebijakan dan prosedur yang
memadai untuk memastikan bahwa hak akses karyawan yang sudah berhenti untuk
segera dihapus. Bisa saja Auditor melacak hal ini melalui log sistem untuk
melihat riwayat akses mantan-mantan pegawai perusahaan itu kapan terakhir
mereka mengakses dan kapan ia dihapus.
·
Prinsip
ketujuh terkait dengan
penerapan prinsip segregation
of duties (SoD) untuk orang-orang
yang bertanggung-jawab terhadap kebijakan password, setting dan konfigurasi
password untuk tidak melakukan tugas, aktifitas dan fungsi-fungsi yang tidak
sesuai. Misalnya, pihak yang memonitor perubahan pada kebijakan-kebijakan
password serta perubahan-perubahan yang terjadi pada hak akses mesti dipegang
oleh seseorang selain administrator yang melakukan perubahan. Supaya mekanisme
kotnrol dapat berjalan.
Sumber
Komentar
Posting Komentar