CyberOps Associate Modul 19 Access Control

Module 19: Access Control
CyberOps Associate v1.0

Modul 19: Kontrol Akses
CyberOps Associate v1.0

3
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Tujuan Modul
Judul Modul: Kontrol akses
Tujuan Modul: Jelaskan kontrol akses sebagai metode untuk melindungi jaringan.
Judul Topik Tujuan Topik
Konsep Kontrol Akses
Jelaskan bagaimana protokol kontrol akses data
jaringan.
Penggunaan dan
Pengoperasian AAA
Jelaskan bagaimana AAA digunakan untuk
mengontrol akses jaringan.

4
19.1 Konsep Kontrol Akses

5
Kontrol akses
Keamanan Komunikasi: CIA
Keamanan informasi berkaitan dengan perlindungan
informasi dan sistem informasi dari akses, penggunaan,
pengungkapan, gangguan, modifikasi, atau penghancuran
yang tidak sah.
CIA Triad
Triad CIA terdiri dari tiga komponen keamanan informasi:
• Confidentiality (Kerahasiaan) - Hanya individu, entitas,
atau proses yang berwenang yang dapat mengakses
informasi sensitif.
• Integrity (Integritas) - Ini mengacu pada perlindungan data
dari perubahan yang tidak sah.
• Availability (Ketersediaan) - Pengguna resmi harus
memiliki akses tanpa gangguan ke sumber daya jaringan
dan data yang mereka butuhkan.

6
Kontrol akses
Zero Trust Security
• Zero trust adalah sebuah pendekatan komprehensif untuk mengamankan semua akses di
seluruh jaringan, aplikasi, dan lingkungan.
• Pendekatan ini membantu mengamankan akses dari pengguna, perangkat pengguna akhir,
API, IoT, layanan mikro, kontainer, dan lainnya.
• Prinsip pendekatan Zero trust adalah "tidak pernah percaya dan selalu memverifikasi".
• Kerangka kerja keamanan zero trust membantu mencegah akses tidak sah, berisi
pelanggaran, dan mengurangi risiko pergerakan lateral penyerang melalui jaringan.
• Dalam pendekatan zero trust, setiap tempat di mana keputusan kontrol akses diperlukan
harus dianggap sebagai perimeter.

7
Kontrol akses
Zero Trust Security (Lanjutan)
Tiga pilar zero trust adalah tenaga kerja, beban kerja, dan tempat kerja.
• Zero Trust untuk Tenaga Kerja - Pilar ini terdiri dari orang-orang yang mengakses aplikasi
kerja dengan menggunakan perangkat yang dikelola pribadi atau perusahaan. Ini
memastikan hanya pengguna yang tepat dan perangkat aman yang dapat mengakses
aplikasi, terlepas dari lokasinya.
• Zero Trust untuk Beban Kerja - Pilar ini berkaitan dengan aplikasi yang berjalan di cloud, di
pusat data, dan lingkungan virtual lainnya yang berinteraksi satu sama lain. Ini berfokus pada
akses aman ketika API, layanan mikro, atau container mengakses database dalam aplikasi.
• Zero Trust untuk Tempat Kerja - Pilar ini berfokus pada akses yang aman untuk semua
perangkat, termasuk di internet of things (IoT), yang terhubung ke jaringan perusahaan,
seperti end point pengguna, server fisik dan virtual, printer, kamera, dan lainnya.

8
Kontrol akses
Model Kontrol Akses
• Organisasi harus menerapkan kontrol akses yang tepat untuk melindungi sumber daya jaringan,
sumber daya sistem informasi, dan informasinya.
• Seorang analis keamanan harus memahami model kontrol akses dasar yang berbeda untuk
memiliki pemahaman yang lebih baik tentang bagaimana penyerang dapat merusak kontrol akses.
• Tabel berikut mencantumkan berbagai jenis model kontrol akses:
Model Kontrol
Akses
Deskripsi
Discretionary
access control
(DAC)
• Ini adalah model yang paling tidak membatasi dan memungkinkan pengguna
untuk mengontrol akses ke datanya sebagai pemilik data tersebut.
• Ini dapat menggunakan ACL atau metode lain untuk menentukan pengguna
atau kelompok pengguna mana yang memiliki akses ke informasi.
Mandatory
access control
(MAC)
• Ini menerapkan kontrol akses yang paling ketat dan digunakan dalam aplikasi
penting militer atau misi.
• Ini memberikan label tingkat keamanan ke informasi dan memungkinkan
pengguna dengan akses berdasarkan izin tingkat keamanan mereka.

9
Kontrol akses
Model Kontrol Akses (Lanjutan)
Model Kontrol Akses Deskripsi
Role-based access
control (RBAC)
• Keputusan akses didasarkan pada peran dan tanggung jawab individu
dalam organisasi.
• Peran berbeda diberikan hak keamanan yang berbeda, dan peran individu
ditetapkan ke profil RBAC untuk bertindak dengan peran tersebut.
• Juga dikenal sebagai jenis kontrol akses non-discretionary.
Attribute-based access
control (ABAC)
Ini memungkinkan akses berdasarkan atribut objek yang akan diakses, subjek
mengakses sumber daya, dan faktor lingkungan mengenai bagaimana objek
tersebut diakses.
Rule-based access
control (RBAC)
• Staf keamanan jaringan menentukan sekumpulan aturan atau kondisi yang
terkait dengan akses ke data atau sistem.
• Aturan ini dapat menentukan alamat IP yang diizinkan atau ditolak, atau
protokol tertentu dan ketentuan lainnya.
• Juga dikenal sebagai RBAC Berbasis Aturan (rule base).
Time-based access
control (TAC)
Ini memungkinkan akses ke sumber daya jaringan berdasarkan waktu dan hari.

10
19.2 Penggunaan dan Operasi
AAA

11
Penggunaan dan Pengoperasian AAA
Operasi AAA
• Jaringan harus dirancang untuk mengontrol siapa yang diizinkan untuk terhubung
dengannya dan apa yang diizinkan untuk mereka lakukan ketika terhubung. Persyaratan
desain ini diidentifikasi dalam kebijakan keamanan jaringan.
• Kebijakan tersebut menetapkan bagaimana administrator jaringan, pengguna korporat,
pengguna jarak jauh, mitra bisnis, dan klien mengakses sumber daya jaringan.
• Kebijakan keamanan jaringan juga dapat mengamanatkan penerapan sistem akuntansi
yang melacak siapa yang masuk dan kapan serta apa yang mereka lakukan saat masuk.
• Protokol Authentication, Authorization, and Accounting (AAA) menyediakan kerangka kerja
yang diperlukan untuk mengaktifkan keamanan akses yang dapat diskalakan.

12
Operasi AAA (Lanjutan)
Tabel berikut mencantumkan tiga fungsi keamanan independen yang disediakan oleh
kerangka arsitektur AAA:
AAA Component Deskripsi
Authentication • Otentikasi dapat dibuat menggunakan kombinasi nama pengguna dan kata sandi,
pertanyaan tantangan dan tanggapan, kartu token, dan metode lainnya.
• Otentikasi AAA menyediakan cara terpusat untuk mengontrol akses ke jaringan.
Authorization • Setelah pengguna diautentikasi, layanan otorisasi menentukan sumber daya
mana yang dapat diakses pengguna dan operasi mana yang boleh dilakukan
pengguna.
• Contohnya adalah "Pengguna dapat mengakses server host XYZ hanya
menggunakan SSH."
Accounting • Akuntansi mencatat apa yang dilakukan pengguna, termasuk apa yang diakses,
jumlah waktu sumber daya diakses, dan setiap perubahan yang dibuat.
• Akuntansi melacak bagaimana sumber daya jaringan digunakan.
• Contohnya adalah "Pengguna mengakses server host XYZ menggunakan SSH
selama 15 menit."

13
Operasi AAA (Lanjutan)
Konsep ini mirip dengan
penggunaan kartu kredit, seperti
yang ditunjukkan pada gambar.
Kartu kredit mengidentifikasi siapa
yang dapat menggunakannya,
berapa banyak yang dapat
dibelanjakan pengguna, dan
memperhitungkan item apa yang
dibelanjakan oleh pengguna.

14
AAA Authentication
• AAA Authentication dapat digunakan untuk mengotentikasi pengguna untuk akses
administratif atau dapat digunakan untuk mengotentikasi pengguna untuk akses jaringan
jarak jauh.
• Cisco menyediakan dua metode umum untuk mengimplementasikan Layanan AAA:
Local AAA Authentication
• Metode ini dikenal sebagai autentikasi mandiri karena meng-autentikasi pengguna
terhadap nama pengguna dan sandi yang disimpan secara lokal.
• AAA lokal sangat ideal untuk jaringan kecil.

15
AAA Authentication (Lanjutan)
• Klien membuat koneksi dengan router.
• Router AAA meminta pengguna untuk memasukkan nama pengguna dan kata sandi.
• Router mengotentikasi nama pengguna dan kata sandi menggunakan database lokal dan
pengguna diberikan akses ke jaringan berdasarkan informasi di database lokal.

16
Otentikasi AAA berbasis server
• Metode ini mengotentikasi server AAA pusat yang berisi nama pengguna dan sandi untuk
semua pengguna. Ini ideal untuk jaringan menengah hingga besar.
• Klien membuat koneksi dengan router.
• Router AAA meminta pengguna untuk memasukkan nama pengguna dan kata sandi.
• Router mengotentikasi nama pengguna dan kata sandi menggunakan server AAA.
• Pengguna diberikan akses ke jaringan berdasarkan informasi di remote AAA server.

17
Centralized AAA
• AAA terpusat lebih dapat diskalakan dan dikelola daripada otentikasi AAA lokal, dan karena
itu, AAA terpusat menjadi implementasi AAA yang lebih disukai.
• Sistem AAA terpusat dapat secara independen memelihara database untuk authentication,
authorization, and accounting.
• Ini dapat memanfaatkan Active Directory atau Lightweight Directory Access Protocol (LDAP)
untuk otentikasi pengguna dan keanggotaan grup, sambil mempertahankan database
authorization dan accounting sendiri.
• Perangkat berkomunikasi dengan centralized AAA server menggunakan protokol Remote
Authentication Dial-In User Service (RADIUS) atau Terminal Access Controller Access
Control System (TACACS +).

18
Tabel berikut mencantumkan perbedaan antara dua protokol:
Fungsi TACACS + RADIUS
Kegunaan Ini memisahkan fungsi authentication,
authorization, dan accounting sesuai
dengan arsitektur AAA. Ini
memungkinkan implementasi modularitas
server keamanan.
Ini menggabungkan authentication dan
authorization tetapi memisahkan accounting,
yang memungkinkan lebih sedikit fleksibilitas
dalam implementasinya daripada TACACS +.
Standard Sebagian besar didukung oleh Cisco Open/RFC standard
Transport Port TCP 49 Porta UDP 1812 dan 1813, atau 1645 dan
1646
Protocol CHAP Tantangan dan respons dua arah seperti
yang digunakan dalam Challenge
Handshake Authentication Protocol
(CHAP)
Tantangan dan respons searah dari server
keamanan RADIUS ke klien RADIUS

19
Fungsi TACACS + RADIUS
Confidentiality Mengenkripsi seluruh isi paket tetapi
meninggalkan header TACACS +
standar.
Mengenkripsi hanya kata sandi dalam paket
permintaan akses dari klien ke server. Sisa
paket tidak dienkripsi, meninggalkan nama
pengguna, layanan resmi, dan accounting tidak
terlindungi.
Customization Memberikan otorisasi perintah router
per pengguna atau per grup.
Tidak memiliki opsi untuk mengotorisasi
perintah router per pengguna atau per grup.
Accounting Limited (terbatas) Extensive (luas)

20
AAA Accounting Logs
• Centralized AAA juga memungkinkan penggunaan metode Accounting.
• Catatan Accounting dari semua perangkat dikirim ke repositori terpusat, yang
menyederhanakan audit tindakan pengguna.
• AAA Accounting mengumpulkan dan melaporkan data penggunaan dalam log AAA. Log ini
berguna untuk audit keamanan.
• Data yang dikumpulkan mungkin termasuk waktu koneksi mulai dan berhenti, perintah yang
dijalankan, jumlah paket, dan jumlah byte.
• Salah satu penggunaan Accounting yang digunakan secara luas adalah menggabungkannya
dengan AAA authentication. Ini membantu mengelola akses ke perangkat internetworking
oleh staf administrasi jaringan.

21
AAA Accounting Logs (Lanjutan)
• Accounting memberikan keamanan lebih dari sekedar authentication. Server AAA
menyimpan log mendetail tentang apa yang dilakukan pengguna yang diautentikasi pada
perangkat.
• Ini termasuk semua EXEC dan perintah konfigurasi yang dikeluarkan oleh pengguna.
• Ketika pengguna telah diautentikasi, proses AAA Accounting menghasilkan pesan awal untuk
memulai proses Accounting.
• Ketika pengguna selesai, pesan berhenti dicatat dan proses Accounting berakhir.

22
AAA Accounting Logs (Lanjutan)
Tabel berikut menjelaskan jenis informasi accounting yang dapat dikumpulkan:
Jenis Informasi
Akuntansi
Deskripsi
Network Accounting
Ini menangkap informasi untuk semua sesi Point-to-Point Protocol (PPP), termasuk
jumlah paket dan byte.
Connection Accounting
Ini menangkap informasi tentang semua koneksi keluar yang dibuat dari klien AAA,
seperti oleh SSH.
EXEC Accounting
Ini menangkap informasi tentang sesi terminal EXEC pengguna di server akses
jaringan, termasuk nama pengguna, tanggal, waktu mulai dan berhenti, dan alamat
IP server akses.
System Accounting Ini menangkap informasi tentang semua peristiwa tingkat sistem.
Command Accounting
Ini menangkap informasi tentang perintah shell EXEC untuk tingkat privilege yang
ditentukan, serta tanggal dan waktu setiap perintah dijalankan, dan pengguna yang
mengeksekusinya.
Resource Accounting
Ini menangkap dukungan rekaman ‘start' dan ‘stop' untuk koneksi yang telah
melewati otentikasi pengguna.

23
19.3 Ringkasan Kontrol Akses

24
Ringkasan Kontrol Akses
Apa yang Saya Pelajari dalam Modul ini?
• Tiga serangkai CIA terdiri dari tiga komponen utama keamanan informasi: kerahasiaan, integritas, dan
ketersediaan.
• Zero trust adalah pendekatan komprehensif untuk mengamankan semua akses di seluruh jaringan,
aplikasi, dan lingkungan.
• Prinsip nol kepercayaan adalah "jangan pernah percaya, selalu verifikasi". Pilar kepercayaan adalah nol
kepercayaan untuk tenaga kerja, nol kepercayaan untuk beban kerja, dan nol kepercayaan untuk tempat
kerja.
• Dalam pendekatan kepercayaan nol, setiap tempat di mana keputusan kontrol akses diperlukan harus
dianggap sebagai perimeter.
• Metode kontrol akses termasuk discretionary access control (DAC), mandatory access control (MAC),
role-based access control (RBAC), attribute-based control (ABAC), rule-based access (RBAC), dan time-
based access control (TAC).
• Jaringan harus dirancang untuk mengontrol siapa yang diizinkan untuk menyambung ke jaringan itu dan
apa yang boleh mereka lakukan saat tersambung yang ditentukan dalam kebijakan keamanan jaringan.

25
Ringkasan Kontrol Akses
Apa yang Saya Pelajari dalam Modul ini? (Lanjutan.)
• Sistem Authentication, Authorization, dan Accounting (AAA) menyediakan kerangka kerja
yang diperlukan untuk mengaktifkan keamanan yang dapat diskalakan.
• Cisco menyediakan dua metode umum untuk mengimplementasikan layanan AAA:
Otentikasi AAA Lokal dan Otentikasi AAA berbasis Server.
• AAA terpusat lebih dapat diskalakan dan dikelola daripada AAA lokal dan merupakan
implementasi AAA yang lebih disukai.
• Perangkat berkomunikasi dengan server AAA terpusat menggunakan protokol Remote
Authentication Dial-In User Service (RADIUS) atau Terminal Access Controller Access
Control Systems (TACACS +).
• AAA terpusat juga memungkinkan penggunaan metode accounting. Accounting AAA
mengumpulkan dan melaporkan data penggunaan dalam log AAA.
• Berbagai jenis informasi akuntansi yang dapat dikumpulkan adalah network accounting,
connection accounting, EXEC accounting, system accounting, command accounting, dan
resource accounting.

CyberOps Associate Modul 19 Access Control

CyberOps Associate Modul 19 Access Control

More Related Content

What's hot (20)

More from Panji Ramadhan Hadjarati (10)

Recently uploaded (20)

CyberOps Associate Modul 19 Access Control