PENDAHULUAN

Computer Access Control adalah suatu proses dimana user diberikan akses dan hak untuk
melihat sistem, sumber atau informasi. Untuk keamanan komputer, access control meliputi
otorisasi, otentikasi, dan audit dari suatu kesatuan untuk memperoleh akses. Dalam sistem
komputer, daftar access control berisi perizinan dan data kemana user memberikan izin tersebut.
Data yang telah memiliki izin hanya dapat dilihat oleh beberapa orang dan ini tentunya sudah
dikontrol oleh access control.
Dalam access control terdapat identifikasi, otorisasi, otentifikasi dan audit. Access control
memiliki subjek (user) yang mencoba untuk mendapatkan access dari Object (software) yang
tersimpan pada ACL (access control list). ACL merupakan daftar access control berisi perizinan
dan data kemana user diberikan izin tersebut. Dalam hal ini mungkin memerlukan administrator
untuk mengamankan informasi dan mengatur hak atas informasi apa saja yang boleh diakses dan
kapan informasi tersebut dapat diakses.

Tantangan dalam Access Control :

1. Berbagai macam tipe user membutuhkan level akses yang berbeda

2. Berbagai macam sumber memiliki klasifikasi level yang berbeda
3. Bermacam-macam data identitas harus disimpan di tipe user berbeda
4. Lingkungan perusahaan berubah secara kontinuitas

Ancaman Access Control :

1. Penolakan Pelayanan (Denial of Service)

2. Melimpahnya Penyangga (Buffer Overflows)
3. Malfungsi Software (Malicious Software)
4. Peretas Kata Sandi (Password Crackers)
5. Penipuan (Spoofing / Masquerading)
6. Emanasi (Emanations)
7. Shoulder Surfing
8. Penggunaan Objek Kembali (Object Reuse)
9. Data Remanence
10. Jebakan (Backdoor / Trapdoor)
11. Dictionary Attacks
12. Bruteforce Attacks
13. Social Engineering
 PEMBAHASAN

Pada kali ini kita akan membahas access control berdasarkan prinsipnya, modelnya dan
teknologinya. Pengaturan akses atau kontrol akses (Inggris: access control) dalam sistem operasi
yang bersifat multiuser atau sistem operasi jaringan semacam keluarga UNIX atau Windows NT,
adalah istilah umum yang menjelaskan bagaimana seorang administrator sistem tersebut (atau
root dalam keluarga sistem operasi UNIX) dapat mengamankan akses terhadap objek-objek yang
terdapat dalam sistem tersebut, yang dapat berupa berkas, direktori, atau objek lainnya seperti
sebuah ruangan yang sering deisebut dengan akses kontrol pintu.
Access control dapat diaplikasikan terhadap setiap objek yang dapat diamankan dalam
sistem operasi. Sebagai contoh, dalam Windows NT, terdapat objek berkas (file object), objek
proses (process object), objek thread (thread object), dan beberapa objek lainnya yang terdaftar
dalam Windows NT Object Manager. Objek-objek dalam Active Directory Windows 2000 dan
Windows Server 2003 juga dapat diamankan, meski seringnya diaplikasikan terhadap sebuah
group atau direktori.
Access control umumnya diimplementasikan dengan memberikan izin (permisi) dan hak
terhadap objek secara spesifik. Izin diberikan terhadap objek untuk menentukan siapa saja yang
dapat mengakses objek tersebut dan sebatas apa ia berhak mengaksesnya. Izin tersebut, dapat
diaplikasikan oleh administrator sistem atau pemilik objek tersebut (orang yang membuat objek).
Jenis izin yang dapat diaplikasikan bergantung pada objek yang hendak diamankan. Sebagai
contoh, objek berkas dalam keluarga sistem operasi Windows NT yang disimpan dalam sebuah
partisi dengan sistem berkas NTFS dapat diamankan.
Dalam beberapa sistem operasi multiuser berorientasi objek, seperti Windows NT, izin
yang diberlakukan terhadap sebuah objek secara default akan diaplikasikan terhadap objek-objek
yang berada di bawahnya (child object), termasuk objek-objek yang baru dibuat pada lain waktu.
Hal ini disebut dengan permission inheritance (pewarisan izin).
Selain izin, access control juga diimplementasikan dalam bentuk hak (right). Hak dapat
diberikan kepada sebuah pengguna atau sebuah group pengguna untuk memberikan kepada
mereka hak untuk melakukan beberapa tugas yang menyangkut administrasi sistem, seperti
halnya melakukan backup, mematikan server, atau melakukan logon secara interaktif.
Prinsip-prinsip dalam Access Control

1. Principle of Least Privilege: Jika tidak ada sesuatu yang sudah di konfigurasi secara
spesifik untuk individu atau kelompok, dimana ia berada, user harusnya tidak bisa
mengakses sumber tersebut.
2. Separation of Duties: Memisahkan area yang bertentangan dari tugas yang bertujuan
untuk mengurangi modifikasi data yang tidak sah dalam aset atau informasi dari suatu
organisasi.
3. Need to Know: Prinsip ini bedasarkan konsep atas individu harus diberikan akses hanya
untuk informasi yang mereka butuhkan untuk menjalankan tugas mereka.

Kriteria Access Control

1. Tugas (Duties)
2. Kelompok (Groups)
3. Lokasi (Location)
4. Waktu (Time)
5. Tipe Transaksi (Transaction Type)

Kategori Access Control

1. Administrative Control
Dietapkan oleh top management dalam suatu organisasi. Komponen:

a. Kebijakan dan Prosedur

b. Kontrol Pegawai
c. Struktur Pengawasan
d. Latihan untuk Security-Awareness
e. Testing

2. Physical Control
Mendukung dan bekerja dengan administratif dan technical control untuk menyediakan
access control yang benar. Komponen:

a. Pemisahan Jaringan
b. Keamanan Perimeter
 c. Computer Controls
d. Pemisahan Area Kerja
e. Backup Data
f. Cabling
g. Zona Kontrol

3. Technical Control
Alat yang digunakan untuk membatasi akses subjek ke objek. Melindungi integritas dan
ketersediaan sumber dengan membatasi jumlah subjek yang bisa mengakses objek.
Melindungi kenyamanan sumber dengan mencegah penyingkapan ke subjek yang tidak
dikenal. Komponen:

a. Akses Sistem
b. Akses Jaringan
c. Enkripsi dan Protokol
d. Proses Audit
e. Rancangan Jaringan

Tipe Access Control

1. Preventative: Menghindari munculnya hal-hal yang tidak diinginkan

2. Detective: Mengidentifikasi kejadian tidak diinginkan yang sudah muncul
3. Corrective: Membenahi kejadian tidak diinginkan yang sudah muncul
4. Deterrent: Menghalangi pelanggaran keamanan
5. Recovery: Mengembalikan sumber dan kemampuan
6. Compensative: Menyediakan alternatif ke kontrol lainnya

Teknologi Access Control

A. Single Sign-On: Teknologi yang memungkinkan user untuk menginputkan satu perintah
untuk mengakses semua sumber di domain jaringan primer dan sekunder
B. Kerberos: Protokol otentikasi yang di desain pada pertengahan 1980 sebagai bagian dari
projek MIT Athena. Bekerja bedasarkan kunci kriptografi simetris. Digunakan di sistem
UNIX dan menjadi metode otentikasi untuk Windows 2k & 2k3. Standar de-facto untuk
jaringan heterogen.
C. SESAME (Secure European System for Application in a Multi-vendor Environtment):
Teknologi SSO yang dikembangkan untuk peningkatan kualitas Kerberos. Menggunakan
teknik kriptografi simetris dan asimetris untuk melindungi pertukaran data dan untuk
mengautentikasi subjek ke sumber jaringan.
D. Security Domain: Sekumpulan sumber yang tersedia untuk subjek (user). Mengacu kepada
sekumpulan sumber dengan sistem keamanan yang sama dan dikelola oleh grup yang sama.
E. Thin Clients: Kadang disebut sebagai “Dumb Terminals”. Bedasarkan atas teknologi dimana
user harus login terlebih dahulu kedalam server untuk menggunakan komputer dan sumber
jaringannya. Menyediakan tipe lain dari akses SSO untuk user, karena user hanya
mengautentikasi ke mainframe saja yang kemudian akan memfasilitasi user untuk
mengakses ke seluruh data jaringan yang dibutuhkan.

Model Access Control

Susunan yang menjelaskan tentang bagaimana subjek (user) mengakses objek (software).
Menggunakan teknologi dan sistem keamanan access control untuk melaksanakan peraturan dan
mencapai tujuan.

A. Discretionary Access Control (DAC): Akses kontrol yang bedasarkan atas kemauan
pemiliknya. Menggunakan sistem DAC yang memungkinkan pemilik sumber untuk
menspesifikasi subjek mana yang bisa mengakses sumber spesifik.
B. Mandatory Access Control (MAC): Model ini sangat terstruktur dan sangat ketat. Askses
kontrol ini bedasarkan atas label keamanan yang terlampir di semua objek. User diberi izin
keamanan dengan mengklasifikasi subjek (secret, top secret, confidential, dll) dan klasifikasi
ini berlaku juga untuk objek.
C. Non Discretionary or Role Based Access Control (RBAC): RBAC bedasarkan atas tugas
user dan menggunakan kontrol administrasi sentral untuk memastikan interaksi antara
subjek dan objek.

DAC v MAC v RBAC

Intent-based Access Control (IBAC) adalah Sebuah sistem access control yang
mendeteksi tujuan user meminta akses dengan menjawab pertanyaan mengapa user meminta
akses tersebut dan siapa yang meminta akses tersebut. IBAC didesain untuk mencegah ancaman
dari dalam dan luar. Merupakan sebuah risk-based access control yang menilai resiko dari akses
yang bedasarkan dari maksud yang terdeteksi dan level motivasi terhadap pengeksekusian
maksud tersebut.
Emotion-based Access Control (EBAC) adalah Sebuah sistem access control yang
mendeteksi emosi user saat meminta akses dengan tujuan untuk menentukan keputusan akses.
EBAC menambahkan aspek sensitivitas untuk menganalisis lebih jauh mengenai resiko dari
memberikan akses kepada user. Menggunakan teknologi untuk mendeteksi emosi dengan tujuan
untuk melengkapi sistem access control dan menggunakan hasil deteksi tersebut untuk
menambahkan faktor autentikasi bersamaan dengan identitas user.
Attribute-based Access Control (ABAC), dalam ABAC, akses diberikan tidak bedasarkan
dari hak subjek terkait dengan user setelah proses autentikasi, melainkan bedasarkan dari atribut
user. User harus membuktikan so-called claims tentang atribut untuk mengakses control engine.
Kebijakan ABAC menetapkan bahwa klaim harus terpenuhi agar user bisa mengakses objek.
User bisa menjadi anonimus ketika proses autentikasi dan identifikasi tidak terlalu diperlukan.

Teknik Access Control

1. Rule-Based Access Control: Menggunakan peraturan spesifik yang menginidikasi apa yang
bisa dan tidak bisa terjadi antara subjek dan objek. Subjek harus mematuhi beberapa
paraturan yang sudah tertera sebelum mengakses sebuah objek.
2. Constrained User Interface: Membatasi kemampuan user dengan tidak mengizinkan user
untuk meminta beberapa informasi atau memberikan akses untuk membuka sumber sistem
yang spesifik.
3. Matrix Access Control: Tabel dari subjek dan objek yang mengindikasi tindakan apa yang
subjek lakukan terhadap objek. Teknik ini menggunakan tabel kapabilitas untuk
menspesifikasi kemampuan dari sebuah subjek yang berkaitan dengan objek.
4. Content Dependant Access Control: Akses ke sebuah objek bedasarkan konten dari objek
tersebut.
5. Context Dependant Access Control: Keputusan akses lebih bedasarkan atas konteks dari
kumpulan informasi dari pada tingkat kesensitivan data.
Administrasi Access Control

1. Centralized Access Control: Sebuah kesatuan (departemen atau individual) yang

bertanggungjawab untuk mengawasi akses ke semua sumber yang terhubung. Administrasi
tipe ini memberikan metode yang konsisten dan seragam untuk mengendalikan hak akses
user.
2. Decentralized Access Control: Memberikan pengendalian akses kepada user untuk lebih
dekat ke sumber. Sering digunakan oleh manajer yang memberikan akses kontrol kepada
karyawannya. Administrasi tipe ini akan lebih mudah untuk menghasilkan perubahan
karena tidak hanya satu kesatuan yang membuat perubahan untuk suatu organisasi.
Kemungkinan untuk terjadinya sebuah konflik tetap ada karena, manajer dari departemen
berbeda bisa saja menerapkan sistem keamanan dan access control yang berbeda.

Access Control Monitoring

Adalah sebuah metode untuk melacak siapa saja yang mengakses sumber jaringan yang spesifik.

1. Intruision Detection Systems (IDS): Proses untuk mendeteksi penggunaan yang tidak sah
dari sebuah komputer, jaringan, atau infrastruktur telekomunikasi. IDS didesain untuk
membantu mengurangi kerusakan yang bisa disebabkan oleh peretasan sistem komputer
dan jaringan.
2. Intrusion Prevention System (IPS): Tujuan IPS adalah untuk mendeteksi sesuatu yang
buruk (dan mengirimkan peringatan akan hal tersebut) dan tidak mengijinkan lalu lintas
dari IDS untuk mengakses target. IPS adalah teknologi pencegah dan proaktif. Sedangkan,
IDS adalah sebuah teknologi detektif dan after-the-fact. IPS adalah perluasan dari IDS dan
apapun yang menguasai IDS juga menguasai IPS. Lalu, IPS bersifat mencegah dan IDS
bersifat detektif.
Sumber:
https://en.wikibooks.org/wiki/Fundamentals_of_Information_Systems_Security/Access_Control
_Systems 18