Sistem Pendukung Keputusan (Decision Support Systems)

Ada banyak definisi tentang DSS antara lain:

·    Little,J.D.C (dalam “Models and Managers:The Concept of a Decision Calculus”,1970) : DSS sebagai “sekumpulan prosedur berbasis model untuk data pemrosesan dan penilaian guna membantu para manager mengambil keputusan”. Untuk sukses sistem tersebut haruslah:

o   Sederhana

o   Cepat

o   Mudah dikontrol

o   Adaptif

o   Lengkap dengan isu-isu penting

o   Mudah berkomunikasi

·     Alter,S.L. (dalam Decision support systems: Current Practices and Continuing Challenges, 1980) : mendefinsikan DSS dengan membandingkannya dengan sistem EDP (Electronic Data Processing) tradisional pada lima dimensi sbb:

Tabel DSS versus EDP

 

·     Bonczek, R.H, C.W. Holsapple dan A.B. Whinston, dalam “The Evolving Roles of Models un Decision Support Systems” , 1980) mendefinsikan “DSS sebagai sistem berbasis computer yang terdiri dari tiga komponen yang saling berinteraksi : sistem bahasa (mekanisme untuk memberikan komunikasi antara pengguna dan komponen DSS lain), sistem pengetahuan (repository pengetahuan domain masalah yang ada pada DSS entah sebagai data atau sebagai prosedur), dan sistem pemrosesan masalah (hubungan antara dua komponen lainnya, terdiri dari satu atau lebih kapabilitas manipulasi masalah umum yang diperlukan untuk pengambilan keputusan).

·    Keen, P.G.W. (dalam Adaptive Design for Decision Support Systems”, 1980) mendefinisikan “DSS sebagai suatu produk dari proses pengembangan dimana pengguna DSS, pembangun DSS, dan DSS itu sendiri mampu mempengaruhi satu dengan yang lainnya, dan menghasilkan evolusi sistem dan pola-pola penggunaan”.

·    Sistem interaktif berbasis computer, yang membantu pembuat keputusan dengan menggunakan data dan model untuk menyelesaikan masalah yang tidak terstruktur.

Terlihat bahwa definisi-definisi tersebut diperbandingkan dan dikontraskan dengan memeriksa berbagai konsep yang digunakan untuk mendefinisikan DSS (tabel konsep yang mendasari Definisi DSS).

Tebel: Konsep yang mendasari definisi DSS

 

DSS biasanya dibangun untuk mendukung solusi terhadap suatu masalah atau untuk mengevaluasi suatu peluang. DSS yang seperti itu disebut DSS aplikasi.

Definisi DSS yang lain:

• Sistem berbasis komputer yang interaktif, yang membantu pengambil keputusan memanfaatkan data dan model untuk menyelesaikan masalah-masalah tak terstruktur.
• DSS mendayagunakan resources individu-individu secara intelek dengan kemampuan komputer untuk meningkatkan kualitas keputusan. Jadi merupakan sistem pendukung berbasis komputer untuk manajemen pengambilan keputusan yang berhubungan dengan masalah-masalah yang semi terstruktur.
• Sistem tambahan yang mampu untuk mendukung analisis data secara ad hoc dan pemodelan keputusan, berorientasi pada perencanaan masa depan, dan digunakan pada interval yang tak teratur atau tak terencana.
• Sistem berbasis komputer yang terdiri atas 3 komponen interaktif: (1) sistem bahasa – mekanisme yang menyediakan komunikasi diantara user dan pelbagai komponen dalam DSS, (2) knowledge systems – penyimpanan knowledge domain permasalahan yang ditanamkan dalam DSS, baik sebagai data ataupun prosedur, dan (3) Sistem pemrosesan permasalahan – link diantara dua komponen, mengandung satu atau lebih kemampuan memanipulasi masalah yang dibutuhkan untuk pengambilan keputusan.

 

Mengapa menggunakan DSS

• Kebutuhan akan informasi yang akurat: DSS yang berbasis komputer memanfaatkan data dan melibatkan model matematika maupun algoritma dalam memperoleh hasil yang mampu digunakan dalam pendukung keputusan. Keakuratan perhitungan dapat lebih terjamin selama sistem yang dikerjakan tidak mengalami perubahan.
• DSS dipandang sebagai pemenang secara organisasi.
• Kebutuhan akan informasi baru.
• Penyedia informasi yang tepat waktu.
• Pencapaian pengurangan biaya.

Karakteristik dan Kapabilitas DSS

Karena belum ada konsensus mengenai apa sebenarnya DSS, maka jelas belum ada kesepakatan mengenai karakteristik dan kapabilitas standar DSS, namun ada beberapa definisi dapat disimpulkan bahwa karekteristik dan kapabilitas kunci DSS sbb:

 

1. Dukungan untuk pengambil keputusan, terutama pada situasi semiterstruktur dan tak terstruktur, dengan menyertakan penilaian manusia dan informasi terkomputerisasi. Masalah-masalah tersebut tidak dapat dipecahkan (atau tidak dapat dipecahkan dengan konvenien) oleh sistem computer lain atau oleh metode atau alat kuantitatif standar.
2. Dukungan untuk semua level manajerial, dari eksekutif puncak sampai manajer lini
3. Dukungan untuk  individu dan kelompok. Masalah yang kurang terstruktur sering memerlukan keterlibatan individu dari departemen dan tingkat organisasional yang berbeda atau bahkan dari organisasi lain. DSS mendukung tim virtual melalui alat-alat Web kolaboratif.
4. Dukungan untuk keputusan independen dan atau sekuensial. Keputusan dapat dibuat satu kali, beberapa kali, atau berulang (dalam interval yang sama)
5. Dukungan di semua fase proses pengambilan keputusan: intelegensi, desain, pilihan dan implementasi.
6. Dukungan untuk di berbagai proses dan gaya pengambilan keputusan.
7. Adoptivitas sepanjang waktu. Pengambilan keputusan seharusnya reaktif, dapat menghadapi perubahan kondisi secara cepat, dan dapat mengadaptasikan DSS untuk memenuhi perubahan tersebut. DSS bersifat fleksibel dan karena itu pengguna dapat menambahkan, menghapus, menggabungkan, mengubah, atau menyusun kembali elemen-elemen dasar. DSS juga fleksibel dalam hal dapat dimodifikasi untuk memecahkan masalah lain yang sejenis.
8. Pengguna merasa seperti di rumah. Rumah-pengguna, kapabilitas grafis yang sangat kuat, dan antarmuka menusia-mesin interaktif dengan satu bahasa alami dapat sangat meningkatkan keefektifan DSS. Kebanyakan aplikasi DSS yang baru menggunakan antarmuka berbasis-Web.
9. Peningkatan terhadap keefektifan pengambilan keputusan (akurasi, timeliness, kualitas) ketimbang pada efisiensinya (biaya pengambilan keputusan). Ketika DSS disebarkan, pengambilan keputusan sering membutuhkan waktu lebih lama, namun keputusannya lebih baik.
10. Kontrol penuh oleh pengambil keputusan terhadap semua langkah proses pengambilan keputusan dalam memecahkan suatu masalah. DSS secara khusus menekankan untuk mendukung pengambilan keputusan, bukannya menggantikan.
11. Pengguna akhir dapat mengembangkan dan memodifikasi sendiri sistem sederhana. Sistem yang lebih besar dapat dibangun dengan bantuan ahli sistem informasi.
12. Biasanya model-model digunakan untuk menganalisis situasi pengambilan keputusan. Kapabilitas pemodelan memungkinkan eksperimen dengan berbagai strategi yang berbeda di bawah konfigurasi yang berbeda. Sebenarnya, model-model membuat DSS berbeda dari kebanyakan MIS.
13. Akses disediakan untuk berbagai sumber data, format, dan tipe, mulai dari sistem informasi geografis (GIS) sampai sistem berorientasi-objek.
14. Dapat dilakukan sebagai alat standalone yang digunakan oleh seorang pengambil keputusan pada satu lokasi atau didistribusikan di satu organisasi keseluruhan dan di berbagai organisasi sepanjang rantai persediaan. Dapat diintegrasikan dengan DSS lain dan atau aplikasi lain.

Keuntungan DSS

1. Mampu mendukung pencarian solusi dari masalah yang kompleks.
2. Respon cepat pada situasi yang tak diharapkan dalam kondisi yang berubah-ubah.
3. Mampu untuk menerapkan pelbagai strategi yang berbeda pada konfigurasi yang berbeda secara cepat dan tepat.
4. Pandangan dan pembelajaran baru.
5. Memfasilitasi komunikasi.
6. Meningkatkan kontrol manajemen dan kinerja.
7. Menghemat biaya.
8. Keputusannya lebih tepat.
9. Meningkatkan efektivitas manajerial, menjadikan manajer dapat bekerja lebih singkat dan dengan sedikit usaha.
10. Meningkatkan produktivitas analisis

Komponen-Komponen DSS

1.     Subsistem manajemen data. Subsistem manajemen data mencakup satu database yang berisi data yang relevan untuk situasi dan dikelola oleh sistem manajemen basisdata (Data Base Management Systems (DBMS)). Ada beberapa perbedaan antara data base untuk DSS dan non-DSS. Pertama, sumber data untuk DSS lebih “kaya” dari pada non-DSS yaitu data harus berasal dari luar dan dari dalam karena proses pengambilan keputusan, terutama pada level manajemen puncak, sangat bergantung data dari luar, seperti data ekonomi. Perbedaan lain adalah proses pengambilan dan ekstrasi data dari sumber data yang Sangat besar. DSS membutuhkan proses ekstraksi dan DBMS yang dalam pengelolaannya harus cukup fleksibel untuk memungkinkan penambahan dan pengurangan secara cepat. Subsistem manajemen data dapat diinterkoneksikan dengan data warehouse perusahaan. SUbsistem manajemen data terdiri dari elemen-elemen berikut ini:

a.  DSS database: kumpulan data yang saling terkait yang diorganisir untuk memenuhi kebutuhan sebuah organisasi dan dapat digunakan oleh lebih dari satu orang untuk lebih dari satu aplikasi. Data pada database DSS diekstrak dari sumber data internal dan eksternal, juga dari data personal milik satu atau lebih pengguna. Hasil ekstraksi ditempatkan pada database aplikasi khusus atau pada data warehouse perusahaan, jika ada.

b.    Sistem manajemen database: Database dibuat, diakses, dan diperbarui oleh sebuah DBMS. Kebanyakan DSS dibuat dengan sebuah DBMS relasional komersial standar yang memberikan berbagai kapabilitas.

c.   Direktori data: Merupakan sebuah katalog dari semua data di dalam database. Direktori ini berisi definsi data, dan fungsi utamanya adalah untuk menjawab pertanyaan mengenai ketersediaan item-item data, sumbernya, dan makna eksak dari data. Direktori ini terutama cocok untuk mendukung fase inteligensi dari proses pengambilan keputusan karena membantu men-scan data dan mengidentifikasi area masalah atau peluang-peluang.

d.   Query facility: Membangun dan menggunakan DSS sering memerlukan akses, manipulasi dan query data. Tugas-tugas tersebut dilakukan oleh query facility. Ia menerima permintaan untuk data dari komponen DSS lain, menentukan bagaimana permintaan dapat dipenuhi, memformulasikan permintaan dengan detail, dan mengembalikan hasilnya kepada pemberi permintaan. Query facility memasukkan sebuah bahasa query khusus (misal SQL).

2.     Subsistem manajemen model. Merupakan paket perangkat lunak yang memasukkan model keuangan, statistik, ilmu manajemen, atau model kuantitatif lainnya yang memberikan kapabilitas analitik dan manajemen perangkat lunak yang tepat.

a.   Basis model: Strategis, taktis, operasional. Statistik, keuangan, pemasaran, ilmu manajemen, akuntansi, teknik, dsb. Blok pembangun model.

b.  Sistem manajemen basis model: Perintah pemodelan, creation. Pemerliharaan; update. Antarmuka database.

c.   Bahasa pemodelan

d.   Direktori model

e.   Eksekusi model, integrasi, dan prosesor perintah

3.     Subsistem antarmuka pengguna. Pengguna berkomunikasi dengan dan memerintahkan DSS melalui subsistem ini. Pengguna adalah bagian yang dipertimbangkan dari sistem. Para peneliti menegaskan bahwa beberapa kontribusi unik dari DSS berasal dari interaksi yang intensif antara komputer dan pembuat keputusan.

4.    Subsistem manajemen berbasis-pengetahuan. Subsistem ini dapat mendukung semua subsistem lain atau bertindak sebagai komponen independen. Ia memberikan inteligensi untuk memperbesar pengetahuan si pengambil keputusan. Susbsistem ini dapat diinterkoneksikan dengan repositori pengetahuan perusahaan yang kadang-kadang disebut basis pengetahuan organisasional.

Klasifikasi DSS

Ada beberapa cara untuk mengklasifikasi aplikasi DSS. Proses desain, dan juga operasi dan implementasi DSS, pada banyak kasus tergantung pada tipe DSS yang terlibat. Akan tetapi ingat bahwa tidak setiap DSS cocok untuk suatu kategori.

Klasifikasi Output Menurut Alter

Alter, S.L. (dalam “Decision Support Systems:Current Practices and Continuing Challenges”. Reading, MA: Addison-Wesley,1980) mengatakan bahwa klasifikasi dibuat berdasarkan “tingkat implikasi tindakan dari output sistem” atau tingkat dimana output sistem dapat langsung mendukung (atau menentukan) keputusan. Menurut klasifikasi ini, ada tujuh kategori DSS (lihat tabel dibawah):

Tabel Karakteristik Kelas Sistem Pendukung Keputusan

Klasifikasi Menurut Holsapple dan Whinston

Holsapple dan Whinston (1996) mengklasifikasikan DSS menjadi enam kerangka kerja:

1. DSS berorientasi-teks : Informasi (meliputi data dan pengetahuan) sering disimpan dalam format teks dan harus diakses oleh pengambil keputusan. Dengan demikian, adalah penting untuk menyajikan dan memproses dokumen dan fragmen teks secara efektif dan efisien. DSS berorientasi teks mendukung pengambil keputusan dengan secara elektronik melacak informasi yang disajikan secara teks yang dapat memengaruhi keputusan. DSS ini memungkinkan dokumen-dokumen dibuat secara elektronik, direvisi, dan dilihat ketika diperlukan. Teknologi informasi seperti imaging dokumen berbasis-Web, hypertext, dan agen cerdas dapat digabungkan ke dalam aplikasi DSS berorientasi teks. Aplikasi DSS berorientasi teks, diantaranya adalah sistem manajemen dokumen elektronik, manajemen pengetahuan, content management isi (Content Management Systems), dan sistem aturan bisnis. CMS digunakan untuk mengelola materi yang dikirimkan pada situs Web. Pengiriman (misal FedEx dan UPS) menggunakan DSS berbasis teks untuk mengoordinasikan pengiriman, membantu pelanggan menentukan cara terbaik untuk menirim, dan membantu pelanggan serta perusahaan untuk melacak paket.
2. DSS berorientasi-database : Pada DSS ini, database organisasi punya peran penting dalam struktur DSS. Generasi awal dari DSS ini terutama menggunakan konfigurasi database relasional. DSS berorientasi-database bercirikan pembuatan laporan yang baik dan kapabilitas query.  Hendricks (2002) menjelaskan bagaimana pemerintah Belanda menyediakan manajemen properti berbasis-Web untuk pengambilan keputusan cerdas. Sistem ini terutama berorientasi-data dan membantu agen pemerintah melalui standar dan database GIS dengan menggunakan properti portfolionya secara efektif.
3. DSS berorientasi-spreadsheet : Spreadsheet merupakan sistem pemodelan yang memungkinkan penguna mengembangkan model-model untuk mengeksekusi analisis DSS. Model ini tidak hanya membuat, melihat, dan memodifikasi pengetahuan prosedural, tetapi juga menginstruksikan sistem untuk mengeksekusi instruksi self-contained mereka (macro). Spreadsheet digunakan secara luas pada DSS yang dikembangkan oleh pengguna akhir. Alat pengguna akhir yang paling populer untuk mengembangkan DSS adalah Microsoft Excel. Karena paket-paket seperti Excel dapat memasukkan DBMS prinsipil atau dapat berantarmuka dengan DBMS, maka mereka pun dapat menangani beberapa properti dari DSS berorientasi-database, terutama manipulasi pengetahuan deskriptif. Beberapa alat pengembangan spreadsheet meliputi analisis ‘bagaimana-jika’ dan kapabilitas untuk menentukan tujuan.
4. DSS berorientasi-solver : Solver adalah suatu algoritma atau prosedur yang ditulis sebagai satu program komputer untuk melakukan komputasi tertentu untuk memecahkan suatu tipe masalah tertentu. Contoh-contoh solver dapat berupa prosedur kuantitas pesanan ekonomis untuk menghitung kuantitas pesanan optimal atau rutin regresi linier untuk menghitung suatu tren. Solver dapat diprogram secara komersial dalam perangkat lunak pengembangan. Sebagai contoh, Excel, memasukan beberapa solver powerful – function dan procedure – yang memecahkan sejumlah masalah bisnis. Pembangun DSS dapat menggabungkan beberapa solver ketika membuat aplikasi DSS. Solver dapat ditulis dalam suatu bahasa pemrograman seperti C++; solver dapat ditulis secara langsung atau dapat menjadi alat add-in pada sebuah spreadsheet atau dapat di-embeded pada suatu bahasa pemodelan khusus, seperti Lingo.
5. DSS berorientasi-aturan (rule) : Komponen DSS yang telah dijelaskan sebelumnya mencakup aturan prosedural maupun inferensial (reasoning), sering pada suatu format sistem pakar. Aturan ini bisa jadi kualitatif atau kuantitatif, dan komponen seperti itu dapat menggantikan atau diintegrasikan dengan model kualitatif.
6. DSS gabungan (compound DSS) : Compound DSS adalah suatu hibrid yang meliputi dua atau lebih dari lima struktur dasar yang telah dijelaskan sebelumnya.
7. DSS Cerdas : DSS cerdas atau DSS berbasis-pengetahuan (knowledge-base DSS). DSS cerdas akan dibahas di bagian lain.

Ada beberapa klasifikasi DSS yang lain yaitu:

• DSS Institusional dan DSS Ad Hoc : DSS institusional (Donovan dan Madnick, 1977) berkaitan dengan keputusan yang terjadi secara alamiah. Contoh umumnya adalah sistem manajemen portfolio (PMS) yang digunakan oleh beberapa bank besar untuk mendukung keputusan investasi. DSS institusional dapat dikembangkan dan diperbaiki saat DSS makin bertambah umur karena DSS digunakan secara berulang-ulang untuk memecahkan masalah yang identik atau serupa. Penting untuk diingat bahwa DSS institusional tidak dapat digunakan oleh setiap orang disuatu organisasi; masalah pengambilan keputusan punya sifat ‘terjadi lagi’, dan sifat tersebut menentukan apakah DSS tersebut institusional atau ad hoc.

Security Network - Authentication

Chapter V Authentication

Definition of Authentication

•  Authentication can be defined in two contexts

– The first is viewing authentication as it relates to access control

– The second is to look at it as one of the three key elements of security—authentication, authorization, and accounting

Authentication and Access Control Terminology

•  Access control is the process by which resources or services are granted or denied

•  Identification

– The presentation of credentials or identification

•  Authentication

– The verification of the credentials to ensure that they are genuine and not fabricated

•  Authorization

– Granting permission for admittance

•  Access is the right to use specific resources

Authentication, Authorization, and Accounting (AAA)

•  Authentication in AAA provides a way of identifying a user

– Typically by having them enter a valid password before granting access

•  Authorization is the process that determines whether the user has the authority to carry out certain tasks

– Often defined as the process of enforcing policies

•  Accounting measures the resources a user “consumes” during each network session

•  The information can then be used in different ways:

– To find evidence of problems

– For billing

– For planning

•  AAA servers

– Servers dedicated to performing AAA functions

– Can provide significant advantages in a network

Authentication Credentials

•  Types of authentication, or authentication credentials

– Passwords

– One-time passwords

– Standard biometrics

– Behavioral biometrics

– Cognitive biometrics

One-Time Passwords

•  Standard passwords are typically static in nature

•  One-time passwords (OTP)

– Dynamic passwords that change frequently

– Systems using OTPs generate a unique password on demand that is not reusable

•  The most common type is a time-synchronized OTP

– Used in conjunction with a token

•  The token and a corresponding authentication server share the same algorithm

– Each algorithm is different for each user’s token

•  There are several variations of OTP systems

•  Challenge-based OTPs

– Authentication server displays a challenge (a random number) to the user

– User then enters the challenge number into the token

•  Which then executes a special algorithm to generate a password

– Because the authentication server has this same algorithm, it can also generate the password and compare it against that entered by the user

Standard Biometrics

•  Standard biometrics

– Uses a person’s unique characteristics for authentication (what he is)

– Examples: fingerprints, faces, hands, irises, retinas

•  Types of fingerprint scanners

– Static fingerprint scanner

– Dynamic fingerprint scanner

•  Disadvantages

– Costs

– Readers are not always foolproof

Behavioral Biometrics

•  Behavioral biometrics

– Authenticates by normal actions that the user performs

•  Keystroke dynamics

– Attempt to recognize a user’s unique typing rhythm

– Keystroke dynamics uses two unique typing variables

•  Dwell time

•  Flight time

•  Voice recognition

– Used to authenticate users based on the unique characteristics of a person’s voice

– Phonetic cadence

•  Speaking two words together in a way that one word “bleeds” into the next word

•  Becomes part of each user’s speech pattern

•  Computer footprint

– When and from where a user normally accesses a system

Cognitive Biometrics

•  Cognitive biometrics

– Related to the perception, thought process, and understanding of the user

– Considered to be much easier for the user to remember because it is based on the user’s life experiences

•  One example of cognitive biometrics is based on a life experience that the user remembers

•  Another example of cognitive biometrics requires the user to identify specific faces

Authentication Models

•  Single and multi-factor authentication

– One-factor authentication

•  Using only one authentication credential

– Two-factor authentication

•  Enhances security, particularly if different types of authentication methods are used

– Three-factor authentication

•  Requires that a user present three different types of authentication credentials

•  Single sign-on

– Identity management

•  Using a single authenticated ID to be shared across multiple networks

– Federated identity management (FIM)

•  When those networks are owned by different organizations

– One application of FIM is called single sign-on (SSO)

•  Using one authentication to access multiple accounts or applications

•  Windows Live ID

– Originally introduced in 1999 as .NET Passport

– Requires a user to create a standard username and password

– When the user wants to log into a Web site that supports Windows Live ID

•  The user will first be redirected to the nearest authentication server

– Once authenticated, the user is given an encrypted time-limited “global” cookie

•  Windows CardSpace

– Feature of Windows that is intended to provide users with control of their digital identities while helping them to manage privacy

– Types of cards

•  Manage cards

•  Personal cards

•  OpenID

– A decentralized open source FIM that does not require specific software to be installed on the desktop

– A uniform resource locator (URL)-based identity system

•  An OpenID identity is only a URL backed up by a username and password

•  OpenID provides a means to prove that the user owns that specific URL

Authentication Servers

•  Authentication can be provided on a network by a dedicated AAA or authentication server

•  The most common type of authentication and AAA servers are

– RADIUS, Kerberos, TACACS+, and generic servers built on the Lightweight Directory Access Protocol (LDAP)

RADIUS

•  RADIUS (Remote Authentication Dial in User Service)

– Developed in 1992

– Quickly became the industry standard with widespread support

– Suitable for what are called “high-volume service control applications”

•  With the development of IEEE 802.1x port security for both wired and wireless LANs

– RADIUS has recently seen even greater usage

•  A RADIUS client is typically a device such as a dial-up server or wireless access point (AP)

– Responsible for sending user credentials and connection parameters in the form of a RADIUS message to a RADIUS server

•  The RADIUS server authenticates and authorizes the RADIUS client request

– Sends back a RADIUS message response

•  RADIUS clients also send RADIUS accounting messages to RADIUS servers

Kerberos

•  Kerberos

– An authentication system developed by the Massachusetts Institute of Technology (MIT)

– Used to verify the identity of networked users

•  Kerberos process

– User is provided a ticket that is issued by the Kerberos authentication server

– The user presents this ticket to the network for a service

– The service then examines the ticket to verify the identity of the user

Terminal Access Control Access Control System (TACACS+)

•  Terminal Access Control Access Control System (TACACS+)

– An industry standard protocol specification that forwards username and password information to a centralized server

•  The centralized server can either be a TACACS+ database

– Or a database such as a Linux or UNIX password file with TACACS protocol support

Lightweight Directory Access Protocol (LDAP)

•  Directory service

– A database stored on the network itself that contains information about users and network devices

•  X.500

– A standard for directory services

– Created by ISO

•  White-pages service

– Capability to look up information by name

•  Yellow-pages service

– Browse and search for information by category

•  The information is held in a directory information base (DIB)

•  Entries in the DIB are arranged in a tree structure called the directory information tree (DIT)

•  Directory Access Protocol (DAP)

– Protocol for a client application to access an X.500 directory

– DAP is too large to run on a personal computer

•  Lightweight Directory Access Protocol (LDAP)

– Sometimes called X.500 Litea

– A simpler subset of DAP

•  Primary differences

– LDAP was designed to run over TCP/IP

– LDAP has simpler functions

– LDAP encodes its protocol elements in a less complex way than X.500

•  LDAP is an open protocol

Extended Authentication Protocols (EAP)

•  Extensible Authentication Protocol (EAP)

– Management protocol of IEEE 802.1x that governs the interaction between the system, authenticator, and RADIUS server

– An “envelope” that can carry many different kinds of exchange data used for authentication

•  The EAP protocols can be divided into three categories:

– Authentication legacy protocols, EAP weak protocols, and EAP strong protocols

Authentication Legacy Protocols

•  No longer extensively used for authentication

•  Three authentication legacy protocols include:

– Password Authentication Protocol (PAP)

– Challenge-Handshake Authentication Protocol (CHAP)

– Microsoft Challenge-Handshake Authentication Protocol (MS-CHAP)

EAP Weak Protocols

•  Still used but have security vulnerabilities

•  EAP weak protocols include:

– Extended Authentication Protocol–MD5 (EAP-MD5)

– Lightweight EAP (LEAP)

EAP Strong Protocols

•  EAP strong protocols include:

– EAP with Transport Layer Security (EAP-TLS)

– EAP with Tunneled TLS (EAP-TTLS) and Protected EAP (PEAP)

Remote Authentication and Security

•  Important to maintain strong security for remote communications

– Transmissions are routed through networks or devices that the organization does not manage and secure

•  Managing remote authentication and security usually includes:

– Using remote access services

– Installing a virtual private network

– Maintaining a consistent remote access policy

Remote Access Services (RAS)

•  Remote Access Services (RAS)

– Any combination of hardware and software that enables access to remote users to alocal internal network

– Provides remote users with the same access and functionality as local users

Virtual Private Networks (VPNs)

•  Virtual private network (VPN)

– One of the most common types of RAS

– Uses an unsecured public network, such as the Internet, as if it were a secure private network

– Encrypts all data that is transmitted between the remote device and the network

•  Common types of VPNs

– Remote-access VPN or virtual private dial-up network (VPDN)

– Site-to-site VPN

•  VPN transmissions are achieved through communicating with endpoints

•  Endpoint

– End of the tunnel between VPN devices

•  VPN concentrator

– Aggregates hundreds or thousands of multiple connections

•  Depending upon the type of endpoint that is being used, client software may be required on the devices that are connecting to the VPN

•  VPNs can be software-based or hardware-based

•  Software-based VPNs offer the most flexibility in how network traffic is managed

– Hardware-based VPNs generally tunnel all traffic they handle regardless of the protocol

•  Generally, software based VPNs do not have as good of performance or security as a hardware-based VPN

•  Advantages of VPN technology:

– Cost savings

– Scalability

– Full protection

– Speed

– Transparency

– Authentication

– Industry standards

•  Disadvantages to VPN technology:

– Management

– Availability and performance

– Interoperability

– Additional protocols

– Performance impact

Remote Access Policies

•  Establishing strong remote access policies is important

•  Some recommendations for remote access policies:

– Remote access policies should be consistent for all users

– Remote access should be the responsibility of the IT department

– Form a working group and create a standard that all departments will agree to

Summary

• Access control is the process by which resources or services are denied or granted
• There are three types of authentication methods
• Authentication credentials can be combined to provide extended security
• Authentication can be provided on a network by a dedicated AAA or authentication server
• The management protocol of IEEE 802.1x that governs the interaction between the system, authenticator, and RADIUS server is known as the Extensible Authentication Protocol (EAP)
• Organizations need to provide avenues for remote users to access corporate resources as if they were sitting at a desk in the office

Thanks ..........