LECTURE NOTES

Information System Security

Week 3
Protection Mechanism

ISYS6314 - Information System Security

 LEARNING OUTCOMES

1. Understand the technical aspect of information system security

2. Understand threat and risk of information system and know how to manage them

OUTLINE MATERI(Sub-Topic):

1. Access Control

a. Part and types of access control

b. Authorization policy

c. Identification method

d. Authentication process

e. Formal model of access control

f. Threat to access control

g. Centralized and decentralized access control

2. Crypthography

a. What is crypthography

b. Crypthography application and uses

c. Principles, concept and terminology

3. Firewalls

4. Intrusion detection dan Prevention system

ISYS6314 - Information System Security

 ISI MATERI

Pada minggu ini kita akan mempelajari mengenai mekanisme perlindungan. Ada beberapa
cara yang dapat digunakan untuk melindungi aset. Penting untuk memahami metode
perlindungan yang tepat untuk menghadapi serangan yang beragam.

Access control
(kontrol akses) adalah cara yang digunakan untuk membatasi akses terhadap aset. Beberapa
cara yang mungkin sudah kita lakukan seperti mengunci lemari, menggunakan password pada
telepon. Dengan akses kontrol kita memastikan hanya orang yang berhak saja yang dapat
mengakses aset tersebut.

Ada dua jenis akses kontrol

Akses kontrol fisik

Contohnnya adalah ketika kita membutuhkan kunci jika ingin membuka sebuah pintu.
Contoh lainnya adalah sebuah smart card yang dimiliki oleh seorang pegawai. Smart card
tersebut dapat membuka pintu-pintu yang karyawan tersebut diijinkan untuk masuk.

Akses kontrol logis

Sebuah sistem komputer biasanya memiliki akses kontrol logis untuk menentukan siapa saja
yang boleh masuk kedalam sistem, dan aktifitas apa saja yang di ijinkan oleh sistem tersebut.

The Four Parts of Access Control

Ada empat bagian dari akses kontrol:

 Authorization. Siapa yang di ijinkan untuk mengakses sistem, dan apa yang bisa
diakses
 Identification. Bagaimana user diidentifikasi

ISYS6314 - Information System Security

  Authentication. Apakah identitas mereka bisa dipastikan kembali
 Accountability. Bagaimana aktivitas user di catat dan dapat ditelusuri kembali jika
diperlukan

Keempat bagian tersebut biasanya dipisahkan menjadi dua tahap

 Policy definition phase. Tahap ini menentukan siapa yang memiliki akses, dan apa
saja yang bisa mereka gunakan
 Policy enforcement phase. Tahapan ini memberikan dan menolak permintaan akses,
berdasarkan apa yang telah ditentukan di tahapan sebelumnnya.

Defining Authorization policy

Langkah pertama untuk menentukan akses adalah dengan mendefinisikan authorization
rules. Pada sebagian besar organisasi, autorisasi biasanya didasarkan pada tanggung jawab
dan pekerjaan. Tanggung jawab dan pekerjaan ini biasanya dikelompokkan kedalam group
membership policy

Dalam group membership policy, autorisasi ditentukan berdasarkan groupnya. Contohnya,

departement IT dikelompokkan dalam group IT. Group ini memiliki akses terhadap ruang
server.

Di dalam authority-level policy ditentukan tingkatan aset yang dapat diakses. Contohnnya,
hanya sebagian orang dari group IT yang bisa mendapat akses terhadap server yang vital bagi
organisasi.

Identification method and guideline

Setelah ditentukan aturannya, kita dapat mengijinkan individu berdasarkan group nya. Untuk
itu kita perlu melakukan identifikasi terhadap individu tersebut. Individu tersebut bisa saja
berupa user, proses ataupun entitas lainnya. Ada beberapa metode yang dapat digunakan
untuk mengidentifikasi.

ISYS6314 - Information System Security

Username merupakan salah satu metode yang paling umum. Bisa berbentuk user ID, ataupun
nomor account. Beberapa sistem menggunakan smart card. Biometric merupakan salah satu
metode lain untuk melakukan identifikasi. Biometrik mengidentifikasi manusia berdasarkan
ciri fisiknnya. Contohnnya dalah identifikasi sidik jari, retina, ataupun suara.

Untuk memastikan semua aktifitas yang dilakukan didalam sistem bisa diasosiasikan dengan
user tertentu, setiap user harus memiliki unique identifier. Proses untuk mengasosiasikan
aktivitas dengan user untuk digunakan lebih lanjut dalam reporting disebut sebagai
accounting. ID user yang meninggalkan organisasi harus dinonaktifkan.

Authentication Process and Requirement

Authentication membuktikan bahwa user yang meminta akses adalah user yang sama yang
diijinkan untuk mendapatkan akses tersebut. Dengan proses authentication kita membuktikan
bahwa user tersebut adalah benar user yang sah. Contohnnya adalah apabila kita meminta
pelayanan di bank, seringkali kita diminta untuk menunjukkan KTP untuk membuktikan
bahwa kita adalah orang yang berhak.

Ada tiga jenis autentikasi:

Knowledge

Yaitu autentikasi berdasarkan sesuatu yang kita ketahui. Contohnnya seperti: password, PIN

Ownership

Yaitu autentikasi berdasarkan sesuatu yang kita miliki.Contohnya seperti: smard card, kunci,
token.

Characteristic

Yaitu autentikasi berdasarkan desuatu yang unik pada diri kita. contohnya seperti: sidik jari,
retina mata. Autentikasi ini sering jug adisebut sebagai biometric.

Setiap jenis autentikasi memiliki kelemahannya masing-masing. Karena itu, untuk data yang
sifatnnya sensitif, sebaiknnya digunakan lebih dari satu jenis autentikasi.

ISYS6314 - Information System Security

Accountability Policies and Procedures
Accountability adalah proses penelusuran sebuah aktifitas tertentu kepada individu atau
proses, untuk mengetahui siapa yang melakukan perubahan terhadap sistem atau data. Tahap
ini penting untuk audit ataupun penyelidikan jika terjadi permasalahan atau kesalahan di
dalam sistem.

Kunci dari accountability adalah log files. Log files mencatat secara detail siapa yang masuk
kedalam sistem, kapan mereka masuk, dan informasi apa yang mereka akses.

Formal Model of Access Control

Secara lebih detail, ada banyak metode dan cara yang dapat digunakan untuk mengatur access
control. Karena itu akan sangat baik jika kita merancan access control, kita mengacu kepada
model access control yang sudah berjalan dengan baik. Berikut ini adalah beberapa model
access control

Discretionary Access Control (DAC). model ini menentukan pemilik resource menentukan
siapa yang bisa masuk, dan mengganti ijin sesuai kebutuhan. Pemilik juga bisa memberikan
tugas ini kepada user lain

Mandatory Access Control (MAC). Model ini menentukan ijin untuk memasuki sistem
dimiliki oleh owner, dan tidak bisa diberikan kepada user lain.

Non-discretionary Access Control. Pada model ini, access control di awasi oleh security
administrator, bukan oleh system administrator. Security administrator memberikan ijin
akses. User tidak bisa memberikan ijin akses, meskipun file tersebut adalah milik mereka
sendiri.

Rule-based Access Control. Model ini memiliki daftar aturan siapa yang memiliki akses
terhadap apa. List ini dikelola oleh pemilik data.

ISYS6314 - Information System Security

Threat to Access Control
Tantangan terhadap access control bisa muncul dalam berbagai bentuk. Jumlahnnya akan
selalu bertambah. Berikut ini adalah beberapa contohnya:

Akses fisik. Jika penyusup mendapatkan akses fisik terhadap aset, maka kontrol logis
mungkin akan menjadi sia-sia. Seorang penyusup bisa saja memasang keylogger jika dia
tidak memiliki password terhadap sistem.

Penyadapan dengan observasi. Salah satu cara yang paling mudah untuk mendapatkan
password adalah dengan melihat orang tersebut menginput passwordnnya kedalam sistem.

Eksploitasi hardware dan software. Penyerang mungkin akan mencoba untuk mengisntall
malware trojan horse kedalam sistem. Administrator mungkin tidak akan mengetahui jika
aplikasi tersebut sudah terinstall.

Mencegat komunikasi. Penyerang bisa saja menyadap data dari media komunikasi, lalu
melakukan perubahan terhadap data tersebut, dan kemudian mengirimkannya kembali. Hal
ini umum disebut sebagai man-in-the-middle.

Cryptography
Cryptography biasanya berkaitan dengan dua jenis informasi. Informasi yang tidak
terenkripsi dan informasi yang terenkripsi. Informasi yang tidak terenkripsi adalah informasi
yang dapat dipahami dengan mudah. biasa disebut plaintext atau cleartext. Infromasi yang
terenkripsi adalah informasi dalam bentuk acak yang sulit dipahami. Biasa disebut sebagai
ciphertext.

Enkripsi adalah tindakan mengacak plaintext menjadi ciphertext. Sedangkan dekripsi adalah
tindakan mengembalikan ciphertext menjadi plaintext. Proses enkripsi biasanya melibatkan
proses matematika. Proses ini disebut sebagai algoritma. Chiper adalah algoritma yang
digunakan untuk melakukan enkripsi dan dekripsi

ISYS6314 - Information System Security

Cipher yang sempurna tidak pernah ada. Dengan resource dan waktu yang cukup, seorang
cracker bisa saja memecahkan kode apapun. Tetapi tujuan dari cryptography adalah supaya
biaya dan waktu yang diperlukan untuk mendekripsi sebuah pesan menjadi lebih mahal
daripada nilai informasi yang ada didalamnya.

Dalam sistem informasi, crypthography berperan untuk menjaga confidentiality, integrity,

authentication. Dengan enkripsi, orang yang tidak berhak tidak dapat membaca ataupun
mengubah informasi yang ada didalamnnya. Sehingga confidentiality dan integrity tetap
terjaga. Melalui jenis enkripsinya, juga bisa diidentifikasi pengirimnnya, sehinga bisa
digunakn sebagai authentication. Meskipun tidak terlalu baik.

Symetric Key Chipers

Symetric key chipers menggunakan key yang sama untuk melakukan enkripsi dan dekripsi.
Karena menggunakan key yang sama, maka kedua belah pihak perlu bertukar key terlebih
dahulu. Agar hasil enkripsinnya tidak dapat diketahui dengan mudah, tentu saja key harus
dipertukarkan dengan cara yang aman. Apabila key diketahui oleh pihak ketiga, maka
enkripsi menjadi tidak ada artinya lagi. Karena pihak tersebut juga akan bisa membuka pesan
yang terenkripsi. Masalah inilah yang menyebabkan enkripsi ini menjadi sulit.

Asymmetric Key Chipers

Dengan Asymmetric key chipers, proses enkripsi dan dekripsi menggunakan key yang
berbeda. Key yang digunakan untuk melakukan enkripsi, berbeda dengan key yang
digunakan untuk melakukan dekripsi. Pada asymmetric encryption terdapat dua algoritma
yang berbeda yang berkebalikan satu sama lain. Jika algoritma yang satu diketahui, tidak
akan menyebabkan diketahuinya algoritma yang lain. Sehingga apabila key diketahui pihak
lain, tidak akan menyebabkan pihak tersebut dapat membaca pesan yang terenkripsi.

Metode ini dapat dianalogikan dengan gembok dan kunci. Kita dapat saja membuat kunci
dengan banyak gembok, lalu mendistribusikan gemboknya dan menyimpan kuncinya untuk
kita sendiri. Setiap orang dapat menggunakan gembok tersebut untuk mengirimkan pesan
kepada kita, dan hanya kita yang memiliki kunci untuk membuka gemboknnya.

ISYS6314 - Information System Security

Cryptography Application
Berikut ini adalah beberapa contoh algoritma yang secara umum sudah digunakan untuk
melakukan enkripsi

 Data Encryption Standard (DES)

 Triple DES
 International Data Encryption Algorithm (IDEA)
 CAST
 Blowfish
 AES

Firewalls
Firewall adalah perangkat yang menyaring jenis informasi tertentu dari dunia luar (untrusted
network, internet) ke lingkungan internal (trusted network). Firewall dapat berupa hardware
terpisah, service yang berjalan di dalam router, ataupun berupa network yang berisi beberapa
perangkat khusus.

The Development of Firewalls

Packet Filtering Firewall merupakan firewall generasi pertama. Merupakan perangkat
network sederhana yang memfilter paket dengan memeriksa header paket yang keluar dan
masuk. Filter dapat dilakukan berdasarkan nilai header tertentu, lalu menerima ataupun
menolak paket berdasarkan aturan yang sudah ditentukan. Perangkat ini juga dapat memfilter
berdasarkan IP address pengirim ataupun tujuan.

Firewall generasi kedua disebut sebagai aplication level firewall. Diletakkan setelah router
yang menghubungkan dunia luar. Setelah firewall biasanya terdapat router berikutnnya yang
bertindak sebagai gateway dari internal network

Firewall generasi ketiga biasanya disebut sebagai stateful inspection firewall. Firewall ini
memiliki daftar koneksi yang disimpan dalam state tabel. Pada dasarnya cara kerjannya sama

ISYS6314 - Information System Security

dengan packet filtering firewall. Hanya saja firewall jenis ini akan memeriksa apakah packet
berasal dari koneksi yang ada didalam state tabel atau tidak. jika tidak terdapat dalam tabel,
maka paket akan ditolak.

Firewall Architecture
Packet Filtering Firewall

Merupakan salah satu arsitektur yang paling sederhana. Sebagian besar organisasi yang
terhubung ke internet setidaknnya menggunakan 1 jenis ini. Sederhana namun efektif untuk
mengurangi resiko organisasi terhadap serangan dari luar.

Screened Host Firewall

ISYS6314 - Information System Security

Menggabungkan packet filtering firewall dengan firewall lain yang berada dalam aplikasi
seperti proxy server. Dengan cara ini firewall akan memfilter paket yang tidak diinginkan,
sehingga proxy server bisa fokus untuk memfilter pada layer application.

Dual Homed host Firewall

Pada arsitektur ini, firewall memiliki dua network card. Yang satu terhubung ke internal
network, yang lainnya terhubung ke dunia luar. Pada firewall ini menyediakan fungsi
network address translator. Yaitu untuk menterjemahkan IP address internal ke IP address
publik.

Screened Subnet (DMZ) Firewall

ISYS6314 - Information System Security

Pada model ini terdapat beberapa host yang berada diantara eksternal router dan internal
router. Host ini biasanya server yang dapat diakses dari luar organisasi, atau bisa juga berupa
perangkat jaringan lainnya.

Some Firewall Best Practice

Ada banyak arsitektur dan cara untuk mengelola firewall. Semuannya memiliki kelebihan dan
kekurangannya masing masing. Namun secara umum, firewall berisi rules yang sudah
ditentukan sebelumnnya oleh manusia. Firewall tidak bisa beradaptasi terhadap perubahan
kondisi.

Berikut ini adalah beberapa best practice untuk penggunaan firewall

 Semua traffic dari dalam selalu diijinkan keluar

 Firewall tidak boleh dapat langsung diakses dari internet
 Data SMTP (email) selalu diijikan untuk melewati firewall, tetapi langsung diarahkan
ke gateway SMTP
 Semua data ICMP ditolak
 telnet ke internal server dari jaringan luar ditolak

Intrusion Detection and Prevention System

IDPS bekerja seperti alarm. IDPS akan memantau traffic yang ada didalam jaringan, dan
apabila ditemukan tanda-tanda pelanggaran, maka sistem akan memberikan peringatan, atau
melakukan tindakan tertentu.

Beberapa jenis IDPS adalah sebagai berikut

Host-based IDPS. Bekerja didalam sebuah host dan mengawasi aktivitas yang terjadi
didalam host tersebut saja.

ISYS6314 - Information System Security

Network-based IDPS bekerja dalam jaringan dan memantau aktivitas yang terjadi didalam
jaringan. Apabila terjadi sesuatu yang mencurigakan didalam jaringan, maka IDPS akan
memberikan peringatan kepada administrator

Signature-based IDPS. Bekerja seperti antivirus. Sistem akan memantau aktivitas dalam
jaringan. Jika ditemukan aktivitas yang sesuai dengan knowledgebase yang dimilikinya,
IDPS akan melakukan tindakan tertentu.

Statistical anomaly-based IDPS atau behavior-based IDPS. IDPS ini akan mengumpulkan
data pada saat kondisi normal dan membuat standar tersendiri. Apabila terjadi aktivitas yang
diluar kewajaran pada saat normal, IDPS akan memberikan notifikasi

ISYS6314 - Information System Security

 SIMPULAN

Access control (kontrol akses) adalah cara yang digunakan untuk membatasi akses terhadap
aset. Dengan akses kontrol kita memastikan hanya orang yang berhak saja yang dapat
mengakses aset tersebut.Ada dua jenis akses kontrol Akses kontrol fisik Akses kontrol logis
Ada empat bagian dari akses kontrol:
•Authorization. Siapa yang diijinkan untuk mengakses sistem, dan apa yang bisa diakses
•Identification. Bagaimana user diidentifikasi
•Authentication. Apakah identitas mereka bisa dipastikan kembali
•Accountability. Bagaimana aktivitas user di catat

Cryptography biasanya berkaitan dengan dua jenis informasi. Informasi yang tidak
terenkripsi dan informasi yang terenkripsi. Informasi yang tidak terenkripsi adalah informasi
yang dapat dipahami dengan mudah. biasa disebut plaintext atau cleartext. Infromasi yang
terenkripsi adalah informasi dalam bentuk acak yang sulit dipahami. Biasa disebut sebagai
ciphertext.
Enkripsi adalah tindakan mengacak plaintext menjadi ciphertext. Sedangkan dekripsi adalah
tindakan mengembalikan ciphertext menjadi plaintext. Proses enkripsi biasanya melibatkan
proses matematika. Proses ini disebut sebagai algoritma. Chiper adalah algoritma yang
digunakan untuk melakukan enkripsi dan dekripsi

Firewall adalah perangkat yang menyaring jenis informasi tertentu dari dunia luar (untrusted
network, internet) ke lingkungan internal (trusted network)

IDPS bekerja seperti alarm. IDPS akan memantau traffic yang ada didalam jaringan, dan
apabila ditemukan tanda-tanda pelanggaran, maka sistem akan memberikan peringatan, atau
melakukan tindakan tertentu

ISYS6314 - Information System Security

 DAFTAR PUSTAKA

1. Kim, David. And Michael G. Solomon,(2012), Fundamentals of Information

System Security, Jones & Bartlett Learning, Sudbury
2. Mattord, Whitman,(2010) Management of Information Security, 3rd edition, Course
Technology Cengage Learning, Boston

ISYS6314 - Information System Security