Authentication and Remote Access

    Assalamualaikum wr wb, semoga sehat selalu , Sekarang saya akan membagikan materi dari pelajaran Keamanan Sistem Komputer tentang Autentikasi dan remot akses.

1. Pengguna, Grup dan Manajemen

User

User atau pengguna umumnya dikenal sebagai  suatu individu yang mengakses sistem komputer , seorang pengguna adalah individu tunggal dalam manajemen hak istimewa, seperti “John Lukas” atau “Yakes Citra.”  Ketika mengakses sistem komputer, setiap pengguna umumnya diberikan username berupa alfanumerik yang unik guna untuk mengidentifikasi dirinya sendiri ketika masuk ke atau mengakses sistem. Secara umum, pengguna yang ingin mengakses sistem komputer harus terlebih dahulu memiliki nama pengguna yang dibuat untuknya di sistem yang ingin digunakan.  Setelah akun dibuat dan nama pengguna dipilih, administrator dapat memberikan izin khusus kepada pengguna tersebut. 

Grup Grup adalah kumpulan pengguna dengan beberapa kriteria umum, seperti kebutuhan akan akses ke kumpulan data atau grup aplikasi tertentu. Sebuah sistem komputer dapat memiliki banyak grup yang berbeda, masing-masing dengan hak dan izinnya sendiri.Grup ini memiliki akses lengkap dan tidak terbatas ke sistem. Ini termasuk akses ke semua file, aplikasi, dan kumpulan data. Siapa pun yang termasuk dalam grup Administrator atau ditempatkan dalam grup ini akan memiliki banyak akses dan kontrol atas sistem.

Role 

Metode umum lainnya untuk mengelola akses dan hak istimewa adalah dengan peran. Misalnya, peran admin keamanan di Microsoft SQL Server dapat diterapkan pada seseorang yang bertanggung jawab untuk membuat dan mengelola login, membaca log kesalahan, dan mengaudit aplikasi. Contohnya siapa pun yang berperan sebagai admin keamanan memerlukan hak dan hak istimewa yang sama seperti setiap admin keamanan lainnya.

2. Kebijakan Sandi dan Sandi Domain

Kata Sandi Kata Sandi Kombinasi nama pengguna/kata sandi sejauh ini merupakan cara yang paling umum untuk mengontrol akses ke aplikasi, situs web, dan sistem komputer. Rata-rata pengguna mungkin memiliki selusin atau lebih nama pengguna dan kata sandi kombinasi antara sekolah, pekerjaan, dan penggunaan pribadi. Untuk membantu pengguna memilih kata sandi yang bagus dan sulit ditebak, sebagian besar organisasi menerapkan dan menerapkan kebijakan kata sandi

Komponen Kata Sandi

• Password construction
• Protection of passwords
• Reuse restrictions
• Consequences
• Duration

3. Metode Manajemen Akses

Mandatory Access Control Merupakan proses pengendalian akses ke informasi berdasarkan sensitivitas informasi tersebut. setiap bagian informasi serta setiap sumber daya sistem (file, perangkat, jaringan, dan sebagainya) diberikan label dengan tingkat sensitivitasnya (seperti Publik, Teknik Pribadi, Rahasia). Pengguna diberikan tingkat izin yang menetapkan batas atas informasi dan perangkat yang boleh mereka akses.

• Informasi sumber daya di sebelah kiri telah diberi label “Teknik Rahasia,” berarti hanya pengguna di Grup teknik yang beroperasi pada tingkat sensitivitas Rahasia atau lebih tinggi dapat mengakses sumber daya tersebut. 
• Bagian atas pengguna beroperasi pada tingkat Rahasia tapi bukan anggota Teknik dan ditolak aksesnya ke sumber daya.
• Pengguna menengah adalah anggota Teknik tetapi beroperasi pada tingkat sensitivitas Publik dan oleh karena itu akses ke sumber daya ditolak.
• Pengguna bawah adalah anggota Teknik, beroperasi pada tingkat sensitivitas Rahasia, dan diizinkan untuk mengakses sumber informasi. 

Discretionary Acess Control (DAC)

Proses menggunakan hak akses file dan ACL opsional untuk membatasi akses ke informasi berdasarkan keanggotaan identitas atau kelompok pengguna. DAC merupakan sistem kontrol akses yang paling umum dan umumnya digunakan di sistem operasi UNIX dan Windows.

Dalam sistem operasi UNIX, hak akses file terdiri dari tiga bagian yang berbeda

Role-Based Access Control (RBAC)

Role-Based Access Control (RBAC) proses mengelola akses dan hak istimewa berdasarkan peran yang ditetapkan pengguna. Dalam skema ini, Saat peran ditetapkan ke pengguna tertentu, pengguna tersebut akan mendapatkan Semua hak dan hak istimewa yang diberikan untuk peran itu.

Rule-Based Access Control 

Metode lain untuk mengelola akses dan hak istimewa (dan sayangnya berbagi akronim yang sama dengan kontrol akses berbasis peran). Dalam metode ini, akses diperbolehkan atau ditolak berdasarkan seperangkat aturan yang telah ditentukan

Attribute-Based Access Control 

Skema kontrol akses baru yang didasarkan atas penggunaan atribut yang terkait dengan identitas. Menggunakan semua jenis atribut (atribut pengguna, atribut sumber daya, atribut lingkungan, dan sebagainya), seperti lokasi, waktu, aktivitas yang diminta, dan kredensial pengguna. 

4. Metode Dan Protokol Akses Jauh

Proses menghubungkan dengan akses jarak jauh melibatkan dua elemen yaitu koneksi jaringan sementara dan serangkaian protokol untuk dinegosiasikan hak istimewa dan perintah. Koneksi jaringan sementara dapat terjadi melalui layanan dial-up, Internet, akses nirkabel, atau metode lainnya menghubungkan ke jaringan. Setelah koneksi dibuat, masalah utamanya adalah mengautentikasi identitas pengguna dan menetapkan hak istimewa yang tepat untuk pengguna itu. Hal ini dicapai dengan menggunakan kombinasi protokol dan sistem operasi pada mesin host. Kontrol akses menentukan tindakan apa yang dapat dilakukan pengguna atau objek apa yang pengguna diperbolehkan untuk mengakses. Kontrol akses dibangun di atas dasar elemen yang dirancang untuk memfasilitasi pencocokan pengguna untuk suatu proses. Ini elemen adalah identifikasi, otentikasi, dan otorisasi.

AUTHENTICATION

Authentication atau Autentikasi adalah proses mengikat ID tertentu ke komputer tertentu koneksi. tiga kategori rahasia digunakan untuk mengotentikasi identitas pengguna yaitu apa yang diketahui pengguna, apa yang dimiliki pengguna, dan apa itu pengguna.

tugas mekanisme autentikasi untuk memastikan bahwa hanya pengguna yang valid yang diterima.

KERBEROS

Kerberos adalah jaringan protokol otentikasi yang dirancang untuk lingkungan klien/server. Sekarang versi Kerberos 5 rilis 1.13.2 dan didukung oleh semua operasi utama sistem. Kerberos dengan aman melewati kunci simetris di atas yang tidak aman jaringan menggunakan protokol kunci simetris Needham-Schroeder.

Mengambil namanya dari anjing berkepala tiga dalam mitologi Yunani, Kerberos dirancang untuk bekerja di Internet, lingkungan yang pada dasarnya tidak aman. Kerberos menggunakan enkripsi yang kuat sehingga klien dapat membuktikan identitasnya kepada server dan server pada gilirannya dapat mengotentikasi dirinya ke klien.

CERTIFICATION & AUTHORIZATION

Sertifikat adalah metode untuk menetapkan keaslian objek tertentu seperti sebagai kunci publik individu atau perangkat lunak yang diunduh. Sertifikat digital adalah file digital yang dikirim sebagai lampiran pada pesan dan digunakan untuk memverifikasi bahwa pesan itu memang datang dari entitas yang diklaimnya telah datang.

Otorisasi adalah proses mengizinkan atau menolak akses ke sumber. Setelah identitas dikonfirmasi melalui otentikasi, tindakan tertentu dapat diotorisasi atau ditolak. Banyak jenis skema otorisasi yang digunakan, tetapi tujuannya sama menentukan apakah pengguna tertentu yang telah diidentifikasi memiliki izin untuk objek atau sumber daya tertentu yang diminta. Fungsionalitas ini sering kali merupakan bagian dari sistem operasi dan merupakan transparan kepada pengguna.

5. Metode Manajemen Akses

L2TP DAN PPTP Layer 2 Tunneling Protocol (L2TP) dan Point-to-Point Tunneling Protocol (PPTP) keduanya merupakan OSI Layer 2 dalam protokol tunneling. Tunneling merupakan enkapsulasi satu paket di dalam paket lain, yang memungkinkan untuk menyembunyikan paket asli dari pandangan atau mengubah sifat transportasi jaringan. PPP Point-to-Point Protocol(PPP) merupakan OSI Layer 2 dalam protokol untuk menghubungkan perangkat. Digunakan untuk membuat koneksi dial-in melalui saluran serial atau layanan Integrated Services Digital Network (ISDN) Memiliki beberapa mekanisme otentikasi : PAP, CHAP, dan EAP PPTP

Perpanjangan PPP yang memungkinkan yang memungkinkan pembuatan jaringan virtual (VPN)

Memungkinkan transfer data yang aman dari PC jarak jauh ke server dengan membuat VPN melalui jaringan TCP/IP

L2TP

Dirancang untuk digunakan di semua jenis jaringan, termasuk ATM dan Frame Relay. Dapat diimplementasikan oleh perangkat keras dan perangkat lunak. Desain untuk bekerja dengan layanan AAA yang sudah mapan seperti Radius dan TACACS+

TELNET

Memungkinkan pengguna untuk masuk dari jarak jauh dan mengakses sumber daya seolah-olah mereka memiliki koneksi terminal lokal. Menawarkan sedikit keamanan, karena nama pengguna, kata sandi, dan semua data dilewatkan dalam teks yang jelas melalui koneksi TCP/IP. Kontrol akses ke Telnet pada mesin dan router harus diimplementasikan saat pertama kali diatur menggunakan port TCP 23

SECURE SHELL

Secure Shell adalah rangkaian protokol yang dirancang untuk memfasilitasi fungsi jaringan yang aman di seluruh jaringan yang tidak aman. SSH dirancang sebagai pengganti telnet yang tidak aman. SSH menggunakan port TCP 22

SSH memiliki tiga komponen utama:

Protokol lapisan transport

Protokol otentikasi pengguna

Protokol koneksi

6. Jaringan Pribadi Virtual

VPN

Jaringan pribadi virtual (VPN) adalah jaringan virtual aman yang dibangun di atas jaringan fisik Jaringan fisik tempat VPN dibangun biasanya adalah jaringan publik, seperti Internet. Karena konten paket antara titik akhir VPN dienkripsi, untuk pengamat luar di jaringan publik, komunikasi aman, dan tergantung pada bagaimana VPN diatur, keamanan bahkan dapat diperluas ke mesin kedua pihak yang berkomunikasi. Jaringan pribadi virtual bukanlah protokol semata, melainkan metode penggunaan protokol untuk mencapai tujuan tertentu—komunikasi yang aman Internet Protocol Security (IPsec) IPsec adalah seperangkat protokol yang dikembangkan oleh IETF untuk bertukar paket dengan aman di lapisan jaringan (Layer 3) dari OSI model (RFC 2401–2412). IPsec memiliki dua metode yang ditentukan —transport dan tunneling—yang memberikan tingkat keamanan yang berbeda. IPsec juga memiliki tiga mode koneksi: host-to-server, server-to-server, dan host-to-host. Security Associations (SA) Asosiasi keamanan (SA) adalah cara formal untuk menggambarkan bagian yang diperlukan dan cukup dari seri protokol IPsec untuk mencapai tingkat perlindungan tertentu. SA ada baik untuk sistem perlindungan integritas dan sistem perlindungan kerahasiaan. SA adalah asosiasi satu arah (simpleks), dan jika keamanan komunikasi dua arah diinginkan, dua SA digunakan—satu untuk masing-masing arah. Vulnerabilities of Remote Access Methods Kerentanan utama yang terkait dengan banyak metode akses jarak jauh ini adalah pengiriman data penting dalam teks yang jelas. Passing plaintext password tidak memberikan keamanan jika password diendus, dan sniffer mudah digunakan pada jaringan. Ada beberapa metode untuk mengatasi keterbatasan ini, meskipun membutuhkan disiplin dan pemahaman dalam menyiapkan sebuah sistem. Kekuatan algoritma enkripsi juga menjadi perhatian. Jika algoritma atau metode tertentu terbukti rentan, layanan yang hanya mengandalkannya juga rentan. Bug telah diperbaiki di sebagian besar paket perangkat lunak untuk menutup lubang yang membuat sistem rentan, dan fungsionalitas akses jarak jauh tidak terkecuali. Ini bukan fenomena Microsoft saja, seperti yang mungkin dipercaya oleh pers populer.

Source : Dr. Wm. Arthur Conklin, Dr. Gregory White, Dwayne Williams, Roger L. Davis, Chuck Cothren. 2016. Principles of Computer Security Volume 4. United States: McGraw-Hill Education