Memuat...

1.4 AAA Framework

Authentication, Authorization, dan Accounting untuk Manajemen Akses Jaringan

AAA Framework: Authentication, Authorization, Accounting

CompTIA Security+ SY0-701 - Domain 1.4

Pendahuluan: Pilar Manajemen Akses Jaringan

Apa itu AAA Framework?

AAA Framework adalah kerangka kerja keamanan yang terdiri dari tiga komponen fundamental untuk mengelola akses ke sumber daya jaringan: Authentication (Otentikasi), Authorization (Otorisasi), dan Accounting (Akuntansi/Pencatatan).

Mengapa AAA Penting?

Dalam lingkungan enterprise modern, organisasi memiliki ribuan pengguna, ratusan aplikasi, dan berbagai perangkat yang perlu dikelola. AAA Framework menyediakan pendekatan terstruktur untuk:

  • Memverifikasi identitas pengguna dan perangkat
  • Menentukan hak akses yang tepat untuk setiap entitas
  • Mencatat semua aktivitas untuk audit dan compliance

Tiga Pilar AAA

1
Authentication

Siapa Anda?
Membuktikan identitas pengguna atau perangkat.

2
Authorization

Apa yang boleh Anda lakukan?
Menentukan hak akses setelah login berhasil.

3
Accounting

Apa yang Anda lakukan?
Mencatat aktivitas untuk audit trail.

💡 Catatan: AAA sering diimplementasikan menggunakan protokol seperti RADIUS (Remote Authentication Dial-In User Service) atau TACACS+ (Terminal Access Controller Access-Control System Plus) pada server terpusat yang disebut AAA Server.

Authentication: Membuktikan Identitas

Konsep Dasar

Authentication adalah proses memverifikasi bahwa Anda benar-benar adalah orang atau perangkat yang Anda klaim. Ini adalah langkah pertama dalam proses keamanan akses jaringan.

Identification vs Authentication

Tahap Deskripsi Contoh
Identification Klaim identitas (siapa Anda) Memasukkan username
Authentication Pembuktian klaim tersebut Memasukkan password yang benar

Dua Jenis Otentikasi Utama

1. User Authentication (Otentikasi Pengguna)

Membuktikan identitas manusia yang menggunakan sistem.

Metode Umum:

  • Password / PIN
  • Biometrik (fingerprint, face recognition)
  • Multi-Factor Authentication (MFA)
  • Smart card + PIN
2. Device Authentication (Otentikasi Perangkat)

Membuktikan identitas perangkat (laptop, server, IoT device) secara otomatis tanpa interaksi manual.

Metode Utama:

  • Digital Certificates (paling umum)
  • Pre-shared Keys (PSK)
  • MAC Address filtering (kurang aman)

Digital Certificates & Certificate Authority (CA)

Skenario: Laptop Dinas Terhubung ke VPN Perusahaan

Perusahaan memiliki 5000 laptop yang perlu terhubung ke VPN setiap hari. Bagaimana memastikan hanya laptop resmi perusahaan yang bisa masuk, tanpa meminta karyawan memasukkan password tambahan?

1
Instalasi Sertifikat pada Laptop

IT Department menginstal Digital Certificate pada setiap laptop dinas. Sertifikat ini berisi identitas perangkat (serial number, hostname) dan ditandatangani oleh Certificate Authority (CA) internal perusahaan.

2
Proses Otentikasi Otomatis

Saat laptop mencoba terhubung ke VPN:

  1. Laptop mengirim sertifikat digitalnya ke VPN Server
  2. VPN Server memverifikasi tanda tangan CA pada sertifikat
  3. Jika valid, laptop diotentikasi dan diizinkan masuk
3
Peran Certificate Authority (CA)

CA adalah pihak terpercaya yang menandatangani sertifikat. VPN Server hanya mempercayai sertifikat yang ditandatangani oleh CA perusahaan. Jika ada laptop asing (tidak memiliki sertifikat valid), koneksi ditolak.

✅ Keuntungan Device Authentication dengan Sertifikat
  • Otomatis: Tidak perlu input manual dari pengguna
  • Scalable: Mudah dikelola untuk ribuan perangkat
  • Aman: Sertifikat sulit dipalsukan karena menggunakan kriptografi asimetris
  • Revocable: Jika laptop hilang/dicuri, sertifikat dapat dicabut (revoked)

Authorization: Menentukan Hak Akses

Konsep Authorization

Authorization terjadi setelah authentication berhasil. Ini menentukan apa yang boleh diakses atau apa yang boleh dilakukan oleh pengguna yang sudah terverifikasi.

Contoh Sederhana

Alice berhasil login ke sistem perusahaan (authentication success). Namun, Alice adalah staff marketing, bukan IT admin. Oleh karena itu:

✅ Alice DAPAT:

  • Akses folder Marketing
  • Edit kampanye iklan
  • Lihat sales report

❌ Alice TIDAK DAPAT:

  • Akses server HR (payroll)
  • Ubah konfigurasi firewall
  • Hapus database produksi

Masalah Skalabilitas: Per-User Access

⚠️ Mengapa Memberikan Izin Per-User Itu Buruk?

Bayangkan perusahaan dengan 10.000 karyawan dan 50 sistem berbeda. Jika admin harus mengatur izin untuk setiap user secara individual:

  • Waktu setup lama: Karyawan baru perlu diberi izin satu per satu ke 10+ sistem
  • Rawan error: Lupa memberikan akses atau salah memberikan akses berlebih
  • Sulit audit: Tidak jelas siapa seharusnya punya akses apa
  • Pemborosan waktu: Admin menghabiskan 80% waktu hanya untuk mengatur permission

Solusi: Group-Based Access Control

Studi Kasus: Departemen Shipping & Receiving

Perusahaan memiliki departemen "Shipping & Receiving" dengan 25 karyawan. Mereka perlu akses ke 3 sistem: Inventory Management, Shipping Software, dan Barcode Scanner System.

Cara Lama (Per-User)
  1. 1. Karyawan baru masuk (misalnya: John)
  2. 2. Admin membuka Inventory System → tambahkan user "John"
  3. 3. Admin membuka Shipping Software → tambahkan user "John"
  4. 4. Admin membuka Barcode System → tambahkan user "John"
  5. 5. Ulangi 25 kali untuk semua karyawan!
Waktu: ~15 menit per user × 25 users = 6+ jam kerja
Cara Baru (Group-Based)
  1. 1. One-time setup: Buat grup "Shipping_Team"
  2. 2. One-time setup: Berikan grup akses ke 3 sistem
  3. 3. Karyawan baru masuk (John)
  4. 4. Admin: Tambahkan John ke grup "Shipping_Team"
  5. 5. SELESAI! John otomatis punya akses ke 3 sistem
Waktu: ~2 menit per user × 25 users = 50 menit
💡 Prinsip Abstraksi (Abstraction)

Admin tidak perlu tahu detail sistem mana saja yang perlu diakses oleh Shipping team. Cukup masukkan user ke grup yang tepat, dan grup tersebut sudah dikonfigurasi dengan semua permission yang diperlukan. Ini adalah contoh abstraksi yang membuat manajemen akses scalable.

✅ Keuntungan Group-Based Authorization
  • Cepat: Setup karyawan baru hanya butuh 1 langkah (tambahkan ke grup)
  • Konsisten: Semua anggota grup memiliki izin yang sama, tidak ada yang terlewat
  • Mudah audit: Tinjauan grup "Shipping_Team" langsung terlihat siapa saja anggotanya
  • Scalable: Bisa digunakan untuk ribuan pengguna tanpa menambah kompleksitas
  • Mudah revoke: Karyawan pindah departemen? Cukup pindahkan grup membership

Accounting: Pencatatan dan Audit Trail

Apa itu Accounting?

Accounting (dalam konteks AAA) adalah proses mencatat semua aktivitas pengguna selama mereka menggunakan sistem atau jaringan. Ini bukan tentang uang, melainkan tentang logging dan monitoring.

Tujuan Accounting

Audit Trail

Menyediakan jejak aktivitas untuk keperluan investigasi keamanan, compliance, dan forensik digital.

Monitoring Penggunaan

Memantau pola penggunaan jaringan untuk mendeteksi anomali (misalnya: transfer data berlebihan yang mencurigakan).

Billing (Penagihan)

Untuk ISP atau layanan berbayar, accounting mencatat berapa lama pengguna online dan berapa banyak data yang digunakan untuk penagihan.

Non-Repudiation

Log yang lengkap menjadi bukti bahwa pengguna tertentu melakukan aktivitas tertentu pada waktu tertentu.

Data yang Dicatat (Logged)

Data Point Deskripsi Contoh
User ID Siapa yang login alice@company.com
Login Time Kapan sesi dimulai 2026-01-07 09:15:32
Logout Time Kapan sesi berakhir 2026-01-07 17:45:12
Session Duration Durasi total sesi 8 jam 29 menit
Bytes Sent Data yang dikirim user 450 MB
Bytes Received Data yang diterima user 1.2 GB
Source IP IP address pengguna 192.168.1.105
Resources Accessed Sistem/file yang diakses SharePoint, SQL DB

Contoh Log Entry

[2026-01-07 09:15:32] USER_LOGIN: alice@company.com | IP: 192.168.1.105
[2026-01-07 09:16:45] RESOURCE_ACCESS: alice@company.com accessed SharePoint/Sales
[2026-01-07 12:30:10] DATA_TRANSFER: alice@company.com downloaded report.xlsx (5.2 MB)
[2026-01-07 17:45:12] USER_LOGOUT: alice@company.com | Session: 8h 29m | Data: 1.65 GB total
📊 Use Case: Mendeteksi Data Exfiltration

Security team melihat log accounting dan menemukan:

[2026-01-07 03:30:00] bob@company.com uploaded 50 GB data ke cloud storage eksternal

Ini anomali karena Bob biasanya hanya mentransfer ~500 MB per hari. Tim segera investigasi dan menemukan Bob mencoba mencuri data pelanggan sebelum resign. Accounting log menjadi bukti untuk tindakan hukum.

🔐 Perlindungan Log

Log accounting sangat berharga untuk security dan compliance. Oleh karena itu:

  • Log harus disimpan di write-once storage (tidak bisa diedit/dihapus)
  • Gunakan log forwarding ke server terpusat (SIEM)
  • Enkripsi log saat transmisi dan storage
  • Terapkan retention policy (simpan minimal 90 hari untuk compliance)

Latihan: Flashcards Interaktif

Uji pemahaman Anda dengan 10 flashcard interaktif di bawah ini. Klik kartu untuk membalik dan melihat jawabannya.

Kartu 1 dari 10
Soal / Istilah

Apa kepanjangan AAA?

(Klik untuk melihat jawaban)

Jawaban / Definisi

Authentication, Authorization, Accounting

Tips: Ucapkan jawaban dengan lantang sebelum membalik kartu.

Keyboard: ← Sebelumnya | → Selanjutnya | Space/Enter Balik