Control Acces
•Control Access jantungnya keamanan / security
•Classification of Information Assets
–Siapa yang mempunyai hak akses dan untuk apa?
–Level akses yang diberikan
–Siapa yang bertanggungjawab untuk menentukan hak akses
dan level akses
–Persetujuan apa yang diperlukan untuk melakukan akses?
•Kendali: mengurangi resiko/kerugian
–Preventive: mencegah terjadinya insiden
–Detective: mendeteksi terjadinya insiden
–Correctice: memperbaiki (restoration) jika terjadi insiden
•Implementasi:
–Administrative Control: policies, prosedur, security
awareness/training, supervisi, dll.
–Logical/Technical Control:pembatasan akses ke sistem dan teknik
proteksi yang digunakan,mis. Smart cards, enkripsi dll.
–Physical Control: penjagaan fisik, mis. Biometric door lock,
secured area utk server,dead man door dll.
•Transaksi yang aman tetap dipertanyakan karena tidak yakin
apakah e-mail purchase order yang diterima benar-benar otentik,
apakah transfer bonus anggota tidak diubah-ubah.
•Untuk meyakinkan maka dipelajari Security Architecture & Models.
Security Architecture & Models
Prinsi-prinsip keamanan:
•Least Previlage-> pemberian akses sesuai kebutuhan
•Defencein Depth -> berbagai perangkat keamanan untuk
saling memback-up
•Choke in depth -> semua keluar masuk lewat gerbang
•Weakst Link -> kelemahan jaringan
•Fail-Safe Stance -> jika suatu perangkat rusak, maka secara default
perangkat disetting kesettingan paling aman
•Unversal participation -> semua orang dalam organisasi harus
terlibat dalam security.
•Diversity of defence-> penggunaan sistem yang berbeda
•Simplicity -> sistem jangan terlalu kompleks
Tingkatan Jaminan Keamanan
System Architecture Security
Contoh pada operating systems
KEAMANAN SISTEM OPERASI LINUX
•Komponen arsitektur keamanan Linux:
–Account pemakai
–Kontrol akses secara diskresi (Discretionary Access Control)
–Kontrol akses jaringan(Network Access Control)
–Enkripsi
–Logging
–DeteksiPenyusupan(Intrusion Detection)
Keamanan Sistem Operasi Linux Account Pemakai
•MacamUser:
–Root kontrol system file,user,sumber daya (devices) dan
akses jaringan
–User account dengan kekuasaan yang diatur oleh root dalam
melakukan aktifitas dalam system.
–Group kumpulan user yang memiliki hak sharing yang sejenis
terhadap suatu devices tertentu.
Discretionary Acess Control
•DAC adalah metode pembatasan yang ketat, yang meliputi:
–Setiap account memiliki username dan password sendiri
–Setiap file/device memiliki atribut (read/write/execution)
kepemilikan, group, dan user umum.
Discretionary Acess Control
Penerapan DAC pada file system linux:
Discretionary Acess Control
Perintah-perintah pentingDAC:
•Mengubah izin akses file:
1.bu:chmod<u|g|o><+|‐><r|w|e> nama file,contoh:chmodu+xg+
w o-r borg.dead.letter ;tambahkan akses eksekusi(e) untuk user(u),
tambahkan juga akses write(w)un
ukgroup(g) dan kurangi izin akses read(r) untuk other(o) user.
2.chmod metode octal, bu: chmod‐‐‐namafile,digit dash(‐) pertama
untuk izin akses user,digit ke 2 untuk izin akses group dan digit ke 3
untuk izin akses other,berlaku ketentuan:r(read)=4,w(write)=
2,x(execute)=1 dan tanpa izin akses=0.
Contoh:
Chmod 740 borg.dead.letter
Berarti:bagi file borg.dead.letter berlaku
digit ke‐1->7=4+2+1=izin akses r,w,x penuh untuk user.
digit ke‐2->4=4+0+0=izin akses r untuk group
digit ke‐3->0=0+0+0=tanpa izin akses untuk other user.
Discretionary Acess Control
Perintah-perintah pentingDAC:
•Mengubah kepemilikan: chown<owner><namafile>
•Mengubah kepemilikan group: chgrp<group owner><namafile>
•Menggunakan account root untuk sementara:
~$su; sistem akan meminta password password: ****;prompt
akan berubah jadi ~# pagar,tanda login sebagai root.
Perintah-perintah penting DAC:
•Mengaktifkan shadow password, yaitu membuat file
/etc/passwd menjadi dapat dibaca (readable) tetapi tidak lagi
berisi password,karena sudah dipindahkan ke/etc/shadow.
Perlunya Pro Aktif Password
Linux menggunakan metode DES (Data Encription Standart)
untuk passwordnya. User harus training dalam memilih password
supaya tidak mudah ditebak dengan pogram crack password.
Perlu adanya program bantu cek keamanan password seperti:
1.Passwd+ : meningkatkan loging dan mengingatkan user jika
mengisi password yang mudah ditebak
2.Anlpasswd : dapat membuat aturan standar pengisian password
seperti batas minimum, gabungan huruf besar kecil, dsb.
Network Access Control
•Firewall linux
–Fungsinya: analisis dan filtering paket, blocking content dan
protocol, autentikasi koneksi dan enkripsi.
–Tipenya: Application-proxy firewall/ application gateways,
Network Level Firewall.
Enkripsi
Penerapan enkripsi di linux:
•Password : DES (Data Encryption Standard)
•Komunikasi data:
1.Secure Shell (SSH)
Program yang melakukan loging terhadap komputer lain
dalam jaringan,mengeksekusi perintah lewat mesin secara
remote dan memindahkan file dari satu mesin ke mesin lainnya.
2.Secure Socket Layer (SSL)
Mengenkripsi data yang dikirimkan lewat port http.
Konfigurasi dilakukan di:webserverAPACHE dengan
ditambah PATCHSSL.
Logging
Prosedur dari Sistem Operasi atau aplikasi merekam setiap
kejadian dan menyimpan rekaman tersebut untuk dapat dianalisa.
Semua file log linux disimpan di directory /var/log,antara lain:
•Lastlog: rekaman user login terakhir kali
•last: rekaman user yang pernah login dengan mencarinya pada
file /var/log/wtmp
•xferlog: rekaman informasi login di ftp daemon berupa data
waktu akses,durasi transfer file,ip dan dns host yang mengakses,
jumlah/nama file,tipe transfer (binary/ASCII), arah transfer
(incoming/outgoing), modus akses (anonymous/guest/userresmi),
nama/id/layanan user dan metode otentikasi.
•Access_log: rekaman layanan http / webserver.
•Error_log: rekaman pesan kesalahan atas service http/webserver
berupa data jam dan waktu,tipe alasan kesalahan
•Messages: rekaman kejadian pada kernel ditangani oleh dua daemon:
=>Syslog: merekam semua program yang dijalankan,konfigurasi
pada syslog.conf
=>Klog: menerima dan merekam semua pesan kernel.
Deteksi Penyusupan (Intrusion Detection)
•Aktivitas mendeteksi penyusupan secara cepat dengan
menggunakan program khusus secara otomatis yang disebut
Intrusion Detecion System / IDS
•Tipe dasar IDS:
–Ruled based system
–Adptive system
Program IDS:
•Chkwtmp: program pengecekan terhadap entry kosong.
•Tcplogd: program pendeteksi stealth scan (scanning yang
dilakukan tanpa membuat sesiTcp)
•Host entry: program pendeteksi login anomaly (perilaku aneh).
Keamanan Sistem Operasi Windows NT
Komponen Arsitektur Keamanan NT:
1.Account
– Jenis account user (admin, guest, user)
– Jenis account group (admin, guest,user,operator back up,
power user, operator server, operator account, operator printer
Hak akses user/group:
Hak basic dan Hak advance.
2. Keamanan sistem file
•Proteksi untuk integritas data
–Transaction logging
–Sector sparing
–Cluster remapping
•Fault Tolerance: Kemampuan untuk menyediakan data
secara realtime yang akan memberi tindakan penyelematan
bila terjadi kegagalan perangkat keras, korupsi perangkat lunak
dan lainnya.
=>teknologi RAID (Redudant Arrays of Inexpensive Disk).
3. Model Keamanan Windows NT
Beberapa komponen yang bekerjasama untuk memberikan
keamanan log-on dan acces control list (ACL) dalam NT:
•LSA (Local Security Authority)
•ProsesLogon
•Security Account Manager (SAM)
•Security Reference Monitor (SRM)
4. Keamanan Sumber Daya Lokal
Objek Security Descriptor:
•Security ID Owner
•Security ID Group
•Discretionary ACL
•System ACL
5. Keamanan Jaringan
Jenis keamanan jaringan windows NT:
•Model Keamanan user level
•Model Keamanan share level
Cara NT menangani keamanan jaringan:
1.Memberikan permission
2.Keamanan RAS (Remote Access Server)
3.Pengamanan Layanan Internet
4.Share administrative
6. Keamanan Pada Printer
•Dilakukan dengan setting properties printer:
1.Menentukan permission: full control (admin),
manage document (owner), print (semuauser).
2.Mengontrol print job (setting waktucetak, prioritas, notifikasi)
3.Set auditing information.
7. Keamanan Registry
•Tools yang disediakan untuk akses registry:
1.System policy editor
2.Registry editor (regedit32.exe)
3.Windows NT diagnostics (winmsd.exe)
•Tools backup untuk registry:
1.Regback.exe
2.Ntbackup.exe
3.Emergency repair disk (rdisk.exe).
8. Audit dan Pencatatan Log
•Pencatatan log-on dan log-off termasuk pencatatan dalam
multi entry login.
•Object access (pencatatan akses obyek dan file)
•Privilege Use (pencatatan pemakaian hak user)
•Account Management (manajemen user dan group)
•Policy change (Pencatatan perubahan kebijakan keamanan)
•System event (pencatatan proses restart,shutdown dan pesan
system).
•Detailed tracking (pencatatan proses dalam system secara detail).
Sumber: Diolah dari berbagai sumber
>>>>>TERIMAKASIH<<<<<
No comments:
Post a Comment