n fratama diansyah.doc · web viewperalatan idps dapat menolong staf ti menemukan aplikasi yang di...
TRANSCRIPT
INFORMATICS ENGINEERING BILINGUAL CLASS
Pengenalan IDS ( Intrusion Detection System ) dan IPS ( Instrusion Prevention System )
sebagaiManajemen Keamanan Informasi dan Pengamanan Jaringan
KEAMANAN JARINGAN KOMPUTER
Handry Fratama Diansyah
5906 1002 010
FAKULTAS ILMU KOMPUTER UNIVERSITAS SRIWIJAYA
Pengenalan IDS ( Intrusion Detection System ) dan IPS ( Instrusion Prevention System )
Sebagai
Manajemen Keamanan Informasi dan Pengamanan Jaringan
Abstrak
Seiring dengan Perkembangan Teknologi Informasi saat ini yang selalu berubah, menjadikan
keamanan suatu informasi sangatlah penting terlebih lagi pada suatu jaringan yang terkoneksi dengan
internet. Namun yang cukup disayangkan adalah ketidakseimbangan antara setiap perkembangan
suatu teknologi tidak diiringi dengan perkembangan pada sistem keamanan itu sendiri, dengan
demikian cukup banyak sistem – sistem yang masih lemah dan harus ditingkatkan dinding
keamanannya.
Keamanan suatu jaringan seringkali terganggu dengan adanya ancaman dari dalam ataupun
dari luar. Serangan tersebut berupa serangan Hacker yang bermaksud merusak Jaringan Komputer
yang terkoneksi pada internet ataupun mencuri informasi penting yang ada pada jaringan tersebut.
Hadirnya firewall telah banyak membatu dalam pengamanan, akan tetapi seiring berkembang
teknolgi sekrang ini hanya dengan firewall keamanan tersebut belum dapat dijamin sepenuhnya.
Karena itu telah berkembang teknologi IDS dan IPS sebagai pembantu pengaman data pada suatu
jarigan komputer. Dengan adanya IDS ( Intrusion Detection System ) dan IPS ( Instrusion Prevention
System ), maka serangan – serangan tersebut lebih dapat dicegah ataupun dihilangkan. IDS ( Intrusion
Detection System) berguna untuk mendeteksi adanya serangan dari penyusup (serangan dari dalam)
sedangkan IPS ( Intrusion Prevention System ) berguna untuk mendeteksi serangan dan
menindaklanjutinya dengan pemblokan serangan.
BAB I PENDAHULUAN
Latar Belakang
Keamanan jaringan komputer dikategorikan dalam dua bagian, yaitu keamanan secara fisik
dan juga keamanan secara non fisik. Kemanan secara fisik merupakan keamanan yang cenderung
lebih memfokuskan segala sesuatunya berdasarkan sifat fisiknya dalam hal ini misalanya pengamanan
komputer agar terhindar dari pencurian dengan rantai sehingga fisik komputer tersebut tetap pada
tempatnya, kondisi ini sudah sejak lama diaplikasikan dan dikembangkan. Sedangkan keamaanan non
fisik adalah keamanan dimana suatu kondisi keamanan yang menitik beratkan pada kepentingan
secara sifat, sebagai contoh yaitu pengamanan data, misalnya data sebuah perusahaan yang sangat
penting,
Keamanan fisik ataupun keamanan non fisik kedua – duanya sangat penting namung yang
terpenting adalah bagaimana agar jaringan komputer tersebut terhindar dari gangguan. Gangguan
tersebut dapat berupa gangguan dari dalam ( internal ) ataupun gangguan dari luar (eksternal).
Gangguan internal merupakan gangguan yang berasala dari lingkup dalam jaringan infrastruktur
tersebut, dalam hal ini adalah gangguan dari pihak – pihak yang telah mengetahui kondisi keamanan
dan kelemahan jaringan tersebut. Gangguan eksternal adalah gangguan yang memang berasal daru
pihak luar yang ingin mencoba atau dengan sengaja ingin menembus keamanan yang telah ada.
Untuk melakukan pendektesian dan pencegahan dari hal – hal yang telah disampaikan diatas,
telah banyak dikembangkan sistem ataupun metode untuk melakukan pendekteksian dan pencegahan
tersebut. Metode tersebut dapat berupa IDS (Intrusion Detection System) dan IPS (), dimana metode
tersebut mampu melakukan pendeteksian dan pencegahan gangguan dalam jaringan komputer dan
menjaga keamanan jaringan tersebut.
Pada penulisan makalah ini, penulis membuat penjelasan mengenai pengamanan jaringan
komputer dengan metode IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System).
Penulis akan menuliskan apakah IDS dan IPS itu, kelebihannya dan kekuranngannya agar pembaca
dapat mengetahui dengan benar penggunaan IDS (Instrusion Detection System) dan IPS (Instrusion
Detection System) tersebut.
Tujuan
Berdasarkan latar belakan di atas, tujuan penulis membuat makalah pengamanan jaringan
komputer dengan metode Pendeteksian dan Pencegahan adalah sebagai berikut :
1. Pembaca mengetahui metode – metode pendeteksian dan pencegahan yang baik dan secara
umum sering digunakan.
2. Pembaca mengetahui apakah IDS (Intrusion Detection System) dan IPS (Intrusion Prevention
System) dan bagaimana IDS (Intrusion Detection System) serta IPS (Intrusion Prevention
System) pada saat sekarang ini secara umum berdasarkan beberapa pandangan dan pengertian
yang ada.
3. Pembaca mengetahui Karateristik dari metode IDS (Intrusion Detection System) dan IPS
(Intrusion Prevention System).
4. Pembaca memiliki pandangan kedepan mengenai manajemen keamanan informasi dan
pengaman jaringan komputer.
Metode Penelitian
Metode penelitian yang dilakukan oleh penulis adalah metode literature, yaitu dengan
literature dari materi – materi yang ada pada buku dan internet.
BAB II LANDASAN TEORI
Keamanan atau security adalah mekanisme dan teknik untuk melindungi sesuatu yang dapat
berupa data atau informasi di dalam sistem. Pada dasarnya secutity adalah sistem yang digunakan
untuk melindungi sistem dalam suatu jaringan keamanan agar tetap terjaga.
Keamanan atau Security haruslah memiliki beberapa bagian penting di dalamnya, yaitu :
1. Availability yaitu menjaga akses untuk masuk ke dalam informasi
2. Confidentianlity yaitu menjaga informasi secara rahasia dan hanya dapat dibuka oleh yang
memiliki hak resmi untuk mengaksesnya.
3. Anonymity yaitu menyembunyikan identitas dari entitas yang terlibat dalam prosesnya
4. Privacy yaitu memiliki hak dan kewajiban yang mengatur akusisim rahasia pribadi, dan
informasi rahasi yang lain.
5. Identification and Authentication yaitu cara mengetahui identitas user dalam jaringan
komputer.
IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System) adalah sistem – sistem
yang banyak digunakan untuk mendeteksi dan melindungi atau mencegah sistem keamanan dari
serangan – serangan. Mekanisme keamanan ini dilakukan dengan cara membandingkan paket yang
masuk dengan data – data signature yang ada.
IDS (Intrusion Detection System)
IDS (Intrusion Detection System) merupakan sistem untuk mendeteksi adanya “intrusion” yang
dilakukan oleh “intruder” atau “pengganggu atau penyusup” di jaringan. IDS (Intrusion Detection
System) sangat mirip seperti alarm, yaitu IDS (Instrusion Detection System) akan memperingati bila
terjadinya atau adanya penyusupan pada jaringan. IDS (Intrusion Detection System) dapat
didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect, inappropriate yang terjadi di jaringan
atau host. IDS (Intrusion Detection System) adalah sistem keamanan yang bekerja bersama Firewall
untuk mengatasi Intrusion.
IDS () juga memiliki cara kerja dalam menganalisa apakah paket data yang dianggap sebagai
intrusion oleh intruser. Cara kerja IDS () dibagi menjadi dua, yaitu :
Knowledge Based (Misuse Detection )
Knowledge Based pada IDS (Intrusion Detection System) adalah cara kerja IDS(Intrusion
Detection System) dengan mengenali adanya penyusupan dengan cara menyadap paket data
kemudian membandingkannya dengan database rule pada IDS (Intrusion Detection System)
tersebut. Database rule tersebut dapat berisi signature – signature paket serangan. Jika pattern
atau pola paket data tersebut terdapat kesamaan dengan rule pada database rule pada IDS
(Intrusion Detection System), maka paket data tersebut dianggap sebagai seranganm dan
demikian juga sebaliknya, jika paket data tersebut tidak memiliki kesamaan dengan rule pada
database rule pada IDS(Intrusion Detection System), maka paket data tersebut tidak akan
dianggap serangan.
Behavior Based ( Anomaly Based )
Behavior Base adalah cara kerja IDS (Intrusion Detection System) dengan mendeteksi adanya
penyusupan dengan mengamati adanya kejanggalan – kejanggalan pada sistem, aatu adanya
keanehan dan kejanggalan dari kondiri pada saat sistem normal, sebagai contoh : adanya
penggunaan memory yang melonjak secara terus menerus atau terdapatnya koneksi secara
paralel dari satu IP dalam jumlah banyak dan dalam waktu yang bersamaan. Kondisi tersebut
dianggap kejanggalan yang selanjutnya oleh IDS (Intrusion Detection System) Anomaly
Based ini dianggap sebagai serangan.
Intrusion itu sendiri didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect, inappropite
yang terjadi di jaringan atau di host tersebut. Intrusion tersebut kemudian akan diubah menjadi “rules”
ke dalam IDS (Intrusion Detection System). Sebagai contoh, intrusion atau gangguan seperti port
scanning yang dilakukan oleh intruder. Oleh karena itu IDS (Intrusion Detection System) ditujukan
untuk meminimalkan kerugian yang dapat ditimbulkan dari intrusion.
Jenis – Jenis IDS ()
Network Instrusion Detection System (NIDS)
Memantau Anomali di Jaringan dan mampu mendeteksi seluruh host yang berada satu
jaringan dengan host implementasi IDS (Intrusion Detection System) tersebut. NIDS
(Network Instrusion Detection System) pada umumnya bekerja dilayer 2 pada OSI layer, IDS
(Intrusion Detection System) menggunakan “raw traffic” dari proses sniffing kemudian
mencocokknannya dengan signature yang telah ada dalam policy. Jika terdapat kecocokan
antara signature dengan raw traffinc hasil sniffing paket, IDS (Intrusion Detection System)
memberikan allert atau peringgatan sebagai tanda adanya proses intrusi ke dalam sistem.
NIDS (Network Instrusion Detection System) yang cukup banyak dipakai adalah snort karena
signature yang customizable, sehingga setiap vulnerability baru ditemukan dapat dengan
mudah ditambahkan agar jika terjadi usaha punyusupan atau intrusion dari intruder akan
segera terdeteksi.
cotoh : malihat adanya network scanning
Host Instrusion Detection System (HIDS)
Mamantau Anomali di Host dan hanya mampu mendeteksi pada host tempat implementasi
IDS (Intrusion Detection System) tersebut. HIDS (Host Instrusion Detection System)
biasanya berupa tools yang mendeteksi anomali di sebuah host seperti perubahan file
password dengan penambahan user ber UID 0, perubahan loadable kernel, perubahan ini
script, dan gangguan bersifat anomali lainnya.
contoh : memonitor logfile, process, file ownership, dan mode.
Seperti dijelaskan, IDS(Intrusion Detection System) melakukan deteksi gangguan keamanan dengan
melihat Anomali pada jaringan. Anomali dapat dijelaskan sebagai traffic atau aktifitas yang tidak
sesuai dengan kebijakan yang dibuat (policy).
Contoh Anomali yang dijelaskan sebagai Traffic / aktivitas yang tidak sesuai dengan policy :
Akses dari atau menuji ke host yang terlarang
Memiliki Content atau Patern terlarang (virus)
Menjalakan program terlarang.
IDS () tidak hanya bekerja secara sendiri, IDS (Intrusion Detection System) bekerja mendeteksi
gangguan bersama – sama dengan firewall. Mekanisme penggunaan IDS adalah IDS (Intrusion
Detection System) membantu firewall melakukan pengamanan dengan snort ( open source ) ataupun
dengan menggunakan Box IDS sedangkan firewall menggunakan Packet Filtering Firewall. Paket
Filtering Firewall dapat membatasi akses koneksi berdasarkan pattern atau pola – pola koneksi yang
dilakukan, seperti protokol, IP source and IP destination, Port Source and Port Destination, Aliran
data dan code bit sehingga daat diatur hanya akses yang sesuai dengan policy saja yang dapat
mengakses sestem. Paket Filtering Firewall bersifat statik sehingga fungsi untuk membatasi akses
juga secara statik, sebagai contoh : akses terhadap port 80 (webserver) diberikan izin (allow) oleh
policy, maka dari manapun dan apapun aktifitas terhadap port tersebut tetap di ijinakan meskipun
aktifitas tersebut merupakan gannguan (intrusion) ataupun usaha penetrasi dari para intruder. Untuk
itulah Paket Filtering Firewall tidak dapat mengatasi gangguan yang bersifat dinamik sehingga harus
dikombinasikan penggunaannya dengan IDS (Intrusion Detection System) untuk membantu sistem
hardening atau pengamanan.
IDS (Intrusion Detection System) dan Firewall menggunakan Engine Sistem Pencegahan
Penyusupan untuk melakukan pengamanan secara maksimal, Engine tersebut bertugas membaca alert
dari IDS (Intrusion Detection System), alert tersebut dapat berupa jenis serangan dan IP address
intruder , kemudian memerintahkan firewall untuk melakukan block ataupun drop akses intruder
tersebut ke koneksi dalam sistem.
Sistem pencegahan intrusion dari para intruder tersebut akan lebih maksimal jika diletakkan pada
router, sehingga daerah kerja sistem tersebut dapat mencakup semua host yang berada dalam satu
jaringan dengan router sebagai tempat mengimplementasikan sistem pencegahan penyusupan
tersebut. Bila konsentrator menggunakan switch, akan terdapat masalah yang timbul. Masalah
tersebut adalah proses pendeteksian terhadap paket data yang datang menjadi tidak berfungsi, salah
satu cara yang mudah untuk mengatasi masalah seperti ini, cara tersebut adalah dengan melakukan
spoofing MAC address terhadap host – host yang akan diamati.
Paket Decoder
Paket yang disandikan.
Preprocessor (Plug-ins)
Modul plug-in uang berfungsi untuk mengolah paket sebelum dianalisa.
Detection Engine
Rules from signature.
Output Stage
Alert dan Log.
Ada beberapa tipe penggunaan IDS (Intrusion Detection System) untuk menajemen keamanan
informasi dan pengamanan jaringan, yaitu dengan menggunakan Snort IDS (Intrusion Detection
System) dan IDS (Intrusion Detection System) dengan menggunakan Box.
Snort IDS
Snort IDS merupakan IDS open source yang secara defacto menjadi standar IDS (Intrusion
Detection System) di industri. Snort merupakan salah satu software untuk mendeteksi
instruksi pada system, mampu menganalisa secara real-time traffic dan logging IP, mampu
menganalisa port dan mendeteksi segala macam intrusion atau serangan dari luar seperti
buffter overflows, stealth scan, CGI attacks, SMP probes, OS fingerprinting.
Secara default Snort memiliki 3 hal yang terpenting, yaitu :
1. Paket Snifferm
Contoh : tcpdump, iptraf, dll.
2. Paket Logger
Berguna dalam Paket Traffic.
3. NIDS (Network Intrusion Detection System )
Deteksi Intrusion pada Network
Komponen – komponen Snort IDS (Intrusion Detection System) meliputi :
Rule Snort
Rule Snort merupakan database yang berisi pola – pola serangan berupa signature jenis –
jenis serangan. Rule snort IDS (Intrusion Detection System) harus selalu terupdate secara
rutin agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat terdeteksi.
Rule Snort dapat di download pada website www.snort.org.
Snort Engine
Snort Engine merupakan program yang berjalan sebagai daemon proses yang selalu
bekerja untuk membaca paket data dan kemudian membadingkan dengan Rule Snort.
Alert
Alert merupakan catatan serangan pada deteksi penyusupan. Jika Snort engine
mendeteksi paket data yang lewat sebagai sebuah serangan, maka snort engine akam
mengirimkan alert berupa log file. Kemudian alert tersebut akan tersimpan di dalam
database.
Hubungan ketiga komponen snort IDS (Intrusion Detection System) tersebut dapat
digambarkan dalam gambar berikut.
IDS (Intrusion Detection System) dengan menggunakan Box
IDS (Intrusion Detection System) dengan menggunakan BOX adalah IDS (Intrusion
Detection System) dengan yang merupakan product dari suatu perusahaan pengembang
keamanan jaringan komputer (Vendor). Sama seperti IDS (Intrusion Detection System) Snort,
IDS (Intrusion Detection System) dengan menggunakan Box ini memiliki kemampuan yang
sama untuk melakukan pendeteksian terhadap intursion dalam sebuah jaringan. Pada IDS
(Intrusion Detection System) dengan menggunakan Box allert yang digunakan dapat berupa
message, message tersebut dapat berupa sms ataupun email ke administrator.
Untuk melakukan manajemen keamanan informasi pada sistem, haruslah terlebih dahulu diketahui
karateristik yang di dapat dari penggunaan IDS (Intrusion Detection System) agar pengamanan
tersebut dapat dilakukan secara maksimal.
Karateristik atau sifat yang dimiliki Oleh IDS () pada umumnya :
Suitability
Aplikasi IDS yang cenderung memfokuskan berdasarkan skema manajemen dan arsitektur jaringan yang dihadapkannya.
Flexibility
Aplikasi IDS yang mampu beradaptasi dengan spesifikasi jaringan yang akan dideteksi oleh aplikasi tersebut.
Protection
Aplikasi IDS yang secara ketat memproteksi gangguan yang sifatnya utama dan berbahaya.
Interoperability
Aplikasi IDS yang secara umum mampu beroperasi secara baik dengan perangkat-perangkat keamanan jaringan serta manajemen jaringan lainnya.
Comprehensiveness
Kelengkapan yang dimiliki oleh aplikasi IDS ini mampu melakukan sistem pendeteksian secara menyeluruh seperti pemblokiran semua yang berbentuk Java Applet, memonitor isi dari suatu email serta dapat memblokir address url secara spesifik.
Event Management
Konsep IDS yang mampu melakukan proses manajemen suatu jaringan serta proses pelaporan pada saat dilakukan setiap pelacakan, bahkan aplikasi ini mampu melakukan updating pada sistem basis data pola suatu gangguan.
Active Response
Pendeteksi gangguan ini mampu secara cepat untuk mengkonfigurasi saat munculnya suatu gangguan, biasanya aplikasi ini berintegrasi dengan aplikasi lainnya seperti aplikasi Firewall serta aplikasi IDS ini dapat mengkonfigurasi ulang spesifikasi router pada jaringannya.
Support
Lebih bersifat mendukung pada suatu jenis produk apabila diintegrasikan dengan aplikasi lain.
Kelebihan yang akan di dapatkan dengan menggunakan IDS (Intrusion Detection System) sebagai
metode Keamanan :
1. Memiliki Akurasi keamanan yang baik
IDS (Intrusion Detection System) haruslah memiliki akurasi atau ketelitian, jadi IDS
(Intrusion Detection System) yang baik adalah IDS (Intrusion Detection System) yang
memiliki ketelitian yang baik untuk mengenal intrusion atau gangguan. Pada saat sekrarang
ini IDS (Intrusion Detection System) telah memiliki ketelitian tinggi, yaitu mampu secara
realtime mendeteksi dan melakukan blocking terhadap tindakan yang mencurigakan. Selain
itu IDS () juga harus mampu memeriksa dan menganalisa pattern objek secara menyeluruh
seperti paket – paket data baik Header Paket maupun Payload yang dipergunakan serta
membedakan paket data yang keluar masuk dalam lalu lintas jaringan sehingga dapat
mengenal benar karateristik trafic penyerang.
Oleh karena itu untuk melakukan hal tersebut, IDS (Intrusion Detection System) yang baik
haruslah memiliki karateristik :
Memiliki kemampuan menganalisa protokol dari semua sumber lalu lintas (trafic).
Memiliki kemampuan menganalisa protokol secara stateful untuk Layer Network
atau Layer ke tiga pada OSI Layer sampai dengan Layer Aplication atau Layer ke
tujuh pada OSI Layer.
Memiliki kemampuan untuk melakukan perbandingan secara Context-Base,
Multiple-Tringger, Multiple-Pattern signature dengan tujuan untuk dapat mengenal
dan mengetahui jenis exploit yang dipergunakan.
Memiliki kemampuan Forward dan Backward apabila terjadi proses overlap
(penumpukan data) pada IP Fragmen (Layer 3).
Memiliki kemampuan Forward dan Backward apabila terjadi proses overlap
(penumpukan data) pada TCP Segment.
Memiliki kemampuan Forward dan Backward apabila terjadi kerancuan
dahbketidakberesan di dalam implementasi protokol (Layer 4).
Memiliki kemampuan kontrol pada tingkat aplikasi protokol seperti :
HTTP, FTP, Telnet, RPC Fragmentasi, dan SNMP (Layer 6 dan Layer 7 ).
2. Mampu Mendeteksi dan Mencegah Serangan.
IDS (Intrusion Detection System) haruslah dapat mendeteksi serangan dn juga mampu untuk
melakukan pencegahan terhadap serangan tersebut,
IDS (Intrusion Detection System) yang baik dalam mengatasi serangan adalah IDS (Intrusion
Detection System ) yang memiliki karateristik :
Dapat beroperasi secara in-line.
Memiliki kehandalan dan ketersediaan.
Deliver high performance.
Kebijakan policy pada IDS(Intrusion Detection System)yang dapat diatus sesuai
dengan yang dibutuhkan.
3. Memiliki cakupan yang Luas dalam Mengenal Proses Attacking
IDS (Intrusion Detection System) haruslah memiliki pengetahuan yang luas, dapat mengenal
serangan apa yang belum dikenalnya, seperti contoh IDS(Intrusion Detection System) harus
mampu mendeteksi serangan DOS mempergunakan analisis signature dan mampu
mendeteksi segala sesuatu yang mencurigakan.
IDS (Intrusion Detection System) yang baik dalam pengenalan attacking adalah IDS
(Intrusion Detection System) yang memiliki karateristik :
Memiliki AI () sehingga IDS (Intrusion Detection System) tersebut dapat
mempelajari sendiri serangan – serangan yang datang.
Mampu melakukan proses deteksi trafic dan pembersihan terhadap host ( Layer 3 –
Layer 7 ).
Mampu melakukan scanning TCP dan UDP.
Mampu memeriksa keberadaan backdoor.
4. Dapat memeberikan Informasi tentang ancaman – ancaman yang terjadi.
5. Memiliki tingkat Forensik yang canggih dan mampu menghasilkan reporing yang baik.
6. Memiliki sensor yang dapat dipercaya untuk memastikan pendeteksian dan pencegahan.
IPS ( Intrusion Prevention System)
IPS (Intrusion Prevention System) merupakan jenis metode pengamanan jaringan baik
software atau hardware yang dapat memonitor aktivitas yang tidak diinginkan atau intrusion dan dapat
langsung bereaksi untuk untuk mencegah aktivitas tersebut. IPS (Intrusion Prevention System)
merupakan pengembangan dari dari IDS (Intrusion Detection System) .Sebagai pengembangann dari
teknologi firewall, IPS melakukan kontrol dari suatu sistem berdasarkan aplikasi konten atau pattern,
tidak hanya berdasarkan ports atau IP address seperti firewall umumnya. . Intrusion Detection System
Selain dapat memantau dan monitoring, IPS (Intrusion Prevention System) dapat juga mengambil
kebijakan dengan memblock paket yang lewat dengan cara 'melapor' ke firewall.
Ada beberapa metode IPS (Intrusion Prevention System) melakukan kebijakan apakah paket data yang lewat layak masuk atau keluar dalam jaringan tersebut.
Signature-based Intrusion Detection System
Pada metode ini, telah tersedia daftar signature yang dapat digunakan untuk menilai apakah
paket yang dikirimkan berbahaya atau tidak. Sebuah paket data akan dibandingkan dengan
daftar yang sudah ada. Metode ini akan melindungi sistem dari jenis-jenis serangan yang
sudah diketahui sebelumnya. Oleh karena itu, untuk tetap menjaga keamanan sistem jaringan
komputer, data signature yang ada harus tetap ter-update.
Anomaly-based Intrusion Detection System
Pada metode ini, terlebih dahulu harus melakukan konfigurasi terhadap IDS (Intrusion
Detection System) dan IPS (Intrusion Prevention System), sehingga IDS (Intrusion Detection
System) dan IPS (Intrusion Prevention System) dapat mengatahui pola paket seperti apa saja
yang akan ada pada sebuah sistem jaringan komputer. Sebuah paket anomali adalah paket
yang tidak sesuai dengan kebiasaan jaringan komputer tersebut. Apabila IDS (Intrusion
Detection System) dan IPS (Intrusion Prevention System) menemukan ada anomali pada
paket yang diterima atau dikirimkan, maka IDS (Intrusion Detection System) dan
IPS(Intrusion Prevention System) akan memberikan peringatan pada pengelola jaringan (IDS)
atau akan menolak paket tersebut untuk diteruskan (IPS). Untuk metode ini, pengelola
jaringan harus terus-menerus memberi tahu IDS (Intrusion Detection System ) dan IPS
(Intrusion Prevention System) bagaimana lalu lintas data yang normal pada sistem jaringan
komputer tersebut, untuk menghindari adanya salah penilaian oleh IDS (Intrusion Detection
System) atau IPS (Intrusion Prevention System).
Intrussion prevenstion system mengkombinasikan kemampuan network based IDS dengan
kemampuan firewall, sehingga selain mendeteksi adanya penyusup juga bisa menindaklanjuti dengan
melakukan pengeblokan terhadap IP yang melakukan serangan. Beberapa IPS opensource yang
dikenal
Portsentry
Portsentry digunakan untuk melakukan pengeblokan IP address yang melakukan scanning
port dengan menggunakan fasilitas dari firewall atau teknik null route.
Sshdfilter
sshdfilter digunakan untuk melakukan blocking IP address yang melakukan ssh brute forcing.
Snort
Snort di gandeng dengan blockit dan firewall merupakan NIPS yang mampu melakukan
blocking IP address terhadap beragam serangan yang di definisi di signature snort.
Hal yang perlu diperhatikan dalam pemasangan IPS, saran yang saya berikan jangan memasang IPS di
gateway karena sangat beresiko membuat nilai usability service yang ditawarkan menjadi sangat
rendah. Terapkan IPS di host – host di jaringan yang sifatnya krusial dengan signature detection yang
benar benar akurat untuk mendeteksi bugs sekuritas yang sifatnya critical.
Cara Kerja NIPS dengan menggunakan Aplikasi Opensource
Tipe-tipe IPS
1. Host Based Host Based IPS yang berada pada spesifik IP address, biasanya terdapat pada
single komputer.
2. Network IPS yang berguna untuk mencegah penyusupan pada spesifik network.
3. Content Spesific Content Spesific IPS yang memeriksa kontent dari suatu paket dan
mencegah berbagai macam serangan seperti serangan worm.
4. Protocol Analysis Menganalisa berbagai macam application layer network protocol seperti
http dan ftp.
5. Rated Based Berguna mencegah denial of service. Berguna untuk memonitoring dan dan
mempelajari keadaan normal network. RBIPS dapat memonitoring taffic TCP, UDP, ARP
Packets, koneksi per detik, paket per koneksi
Sama dengan IDS, IPS ini pun memiliki NIPS. PIS tidak hanya mendeteksi adanya serangan tetapi dia
akan otomatis melakukan aksi, biasanya dengan block traffic yang ada. NIPS merupakan gabungan
dari NIDS dan Firewall.
NIPS (Network Based Intrusion Prevention System)
NIPS (Network Based Intrusion Prevention System) adalah sebuah pengamanan jaringan yang dapat
mendeteksi dan melakukan blocking pada serangan atau intrusion yang mengganggu jaringan. NIPS
(Network Based Intrusion Prevention System) biasanya dikembangkan selayaknya switch dan router.
NIPS (Network Based Intrusion Prevention System) melakukan deteksi ke seluruh paket data yang
akan masuk ke dalam jaringan, dengan cara melakukan pengecekkan pola serangan ataupun pattern
dari paket data tersebut. Ketika NIPS (Network Based Intrusion Prevention System) mendeteksi
sebuah serangan , NIPS (Network Based Intrusion Prevention System) akan langsung melakukan
tindakan yang dapat berupa blocking paket – paket data tersebut.
Pada masa sekarang ini IDS (Intrusion Detection System) dan IPS (Intrusion Prevention
System) telah berkembang. Kedua metode keamanan tersebut dijadikan satu kesatuan sehingga
kinerja pengamanan nya menjadi lebih maksimal. Sebuah vendor telah mengembangkan teknologi
tersebut dan mengimplementasikannya ke dalam sebuat alat yang disebut IDPS (Intrusion Detection
and Prevention System). IDPS (Intrusion Detection and Prevention System) menjadi sistem
pendeteksi dan pencegahan dari gangguan – gangguan. Dengan adanya IDPS (Intrusion Detection and
Prevention System), kinerja IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System)
menjadi lebih baik ketika teknologi keamanan tersebut diintefrasikan dalam sebuah alat. IDPS
(Intrusion Detection and Prevention System) dapat berfungsi sebagai sebuah virtual device.
IDPS (Intrusion Detection and Prevention System) sangat perlu diketahui akan pentingnya diterapkan
pada masa sekarang ini, hal tersebut dikarenakan IDPS (Intrusion Detection and Prevention System)
memiliki beberapa kemampuan (dikutip dari tulisan hadiwibowo), yaitu :
Mencegah serangan atau gangguan dalam jaringan
IDPS adalah peralatan keamanan yang kompleks yang menggunakan berbagai jenis teknologi pendeteksi untuk menemukan gangguan yang berupa program-program jahat yang masuk kedalam jaringan dan menghentikannya sebelum worm, trojan, virus atau program jahat lainnya dapat merusak sistem.
Dengan hanya memasang IDS, sistem pendeteksi gangguan saja, alat tersebut hanya akan memberikan alarm peringatan adanya keanehan atau gangguan pada sistem, dan administrator jaringan yang harus menyelidiki code mencurigakan yang dimaksud dan memutuskan tindakan selanjutnya. Bila selain IDS dipasangi juga IPS, maka code jahat yang ditemukan tersebut akan langsung dihentikan secara otomatis.
IDPS melakukan kedua hal tersebut dengan menghentikan koneksi jaringan/user yang menyerang sistem, memblok user account yang berbahaya, IP address atau atribut lain dari pengaksesan ilegal terhadap server atau aset lain dalam jaringan. Atau dapat pula dengan mematikan seluruh akses ke host, service, aplikasi atau aset-aset lain dalam jaringan.
Beberapa IDPS cukup baik dalam meningkatkan kemampuan pengamanannya melawan serangan berbahaya.
1. Menghentikan serangan melalui re-configuring peralatan kontrol keamanan pada network, seperti router dan firewall, untuk memblok akses yang bersifat ilegal.
2. Menghentikan serangan melalui pemasangan patch pada host untuk menutup vulnerabilities.
3. Menghentikan serangan melalui penghapusan code jahat yang ditemukan seperti men-delete file attachment dalam e-mail.
Memberitahu administrator jaringan tentang adanya gangguan keamanan
IDPS akan memberitahukan administrator jaringan tentang segala sesuatu yang menyangkut pelanggaran peraturan keamanan atau serangan yang terdeteksi.
Pemberitahuan tersebut dapat melalui e-mail, web page, pesan dalam monitor IDPS user, perangkap SNMP (Simple Network Management Protokol), pesan syslog, atau program yang dibuat oleh user dan script. Umumnya pemberitahuan berisi data-data penjelasan tentang hal-hal dasar yang terjadi. Informasi yang lebih spesifik dikumpulkan dalam reports.
Jumlah pemberitahuan yang dikirim oleh sistem sangat tergantung seberapa kuat level yang dipasang. Semakin kuat level keamanan yang dipasang maka semakin banyak pemberitahuan yang dikirimkan. Ketelitian pemasangan level keamanan akan sedikit banyak membantu menurunkan jumlah pemberitahuan, dan hanya pemberitahuan tentang gangguan keamanan tertentu saja yang dikirimkan.
Melaksanakan peraturan
Manajemen keamanan informasi yang baik adalah kunci terlaksananya peraturan/regulasi yang dibuat. Dan itu adalah salah satu alasan pentingnya penerapan IDPS, terutama di organisasi yang menjalankan regulasi dengan ketat seperti institusi keuangan atau perusahaan kesehatan.
Dengan menerapkan IDPS, sebuah perusahaan dapat mempertahankan akuntabilitasnya, memberikan kejelasan hak akses kepada user dan memberikan dukungan infrastuktur yang tepat.
Menggalakkan kebijakan keamanan jaringan
Peralatan IDPS tidak hanya melindungi sistem dari penyusup yang bermaksud jahat, tetapi juga melindungi gangguan yang disebabkan oleh kesalahan operasional user atau dari pembalasan dendam karyawan yang frustasi. Dari pengalaman perusahaan-perusahaan dalam beberapa tahun belakangan ini, gangguan keamanan sistem yang disebabkan oleh orang dalam ternyata cukup signifikan.
IDPS dapat dikonfigurasi sebagai alat untuk mengidentifikasi pelanggaran kebijakan keamanan dengan menset-nya seperti sebuah firewall. Juga dapat diset untuk memantau pengunaan akses yang tidak tepat seperti mentransfer file secara ilegal.
Setting pemantauan user ini perlu diumumkan kepada para users, agar para users mengetahui bahwa setiap penggunaan akses akan dipantau. Hal ini diharapkan meminimalisir keinginan/usaha penyalahgunaan hak akses.
Selain itu IDPS juga dapat menolong administrator untuk memelihara dan mempertajam kebijakan keamanannya. Sebagai contoh, IDPS akan memberitahu administrator jika didalam jaringan terdapat duplikasi setting firewall atau menangkap trafik mencurigakan yang lolos dari firewall.
Membatasi chatting (IM) dan video streaming non-bisnis
Chatting atau IM (instant messaging) dan video streaming saat ini telah menjadi sebuah gaya hidup, baik urusan pribadi maupun urusan pekerjaan. Sehingga melarang aktifitas chatting dan video streaming dalam perusahaan bukanlah solusi terbaik. Namun penggunaan aktifitas tersebut yang tidak terkendali tentunya akan menghabiskan sumber daya perusahaan secara sia-sia.
Daripada melarang penggunaan sarana internet tersebut, perusahaan dapat memanfaatkan IDPS untuk menjamin penggunaan sarana internet tersebut agar lebih banyak digunakan bagi kepentingan pekerjaan. Ini merupakan fungsi unik dari IDPS, proactive bussiness policy-setting device.
Perlu diwaspadai bahaya yang mungkin terjadi saat pertukaran informasi melalui IM. Yaitu saat terjadi pertukaran file attachment yang disisipi program jahat (malware) seperti worm. Sekali worm itu masuk kedalam sistem, maka penyerang akan dapat menggunakannya untuk masuk ke host jaringan komputer dan mengambil keuntungan dari akses yang telah diperolehnya tersebut. Beberapa peralatan IDPS telah dapat digunakan untuk menghentikan dan mencegah penyisipan malware ini.
Lebih memahami aktifitas dalam network
IDPS mencatat semua lalulintas informasi dalam jaringan, termasuk bila ada hal yang mencurigakan yang telah berhasil menyusup kedalam sistem. Catatan ini memiliki dua kegunaan : (1) staf TI lebih memahami kemampuan peralatan IDPS ini sebelum alat itu menjadi bagian aktif dalam perusahaan; (2) memberikan pengetahuan dasar tentang berbagai macam data yang masuk dan keluar dari jaringan setiap hari.
Kedua hal itu berguna ketika staf TI akan mengambil sebuah keputusan operasional untuk melindungi aset-aset perusahaan. Dan juga memberikan pengalaman nyata kepada para eksekutif perusahaan tentang berbagai macam ancaman yang mencoba masuk.
Menghemat waktu
Dengan IDPS, staf TI tidak perlu menyisir secara manual log dalam firewall setiap hari yang akan memakan waktu sangat lama. Juga mencegah terjadinya kelumpuhan jaringan yang diakibatkan oleh serangan. Tentunya bila jaringan sempat lumpuh membutuhkan waktu yang lama untuk memulihkannya.
Memantau program aplikasi yang diinstal user
Peralatan IDPS dapat menolong staf TI menemukan aplikasi yang di download oleh user dalam jaringan. Jika aplikasi tersebut diperkirakan dapat merusak sistem, staf TI dapat dengan segera mencegahnya.
Membangun kepercayaan
IDPS tidak hanya menurunkan risiko keamanan jaringan perusahaan, tetapi juga memberikan keyakinan bahwa sistem tersebut aman dari serangan program-program jahat serta tidak berpotensi menyebarkannya kepada jaringan milik mitra bisnis.
Menghemat biaya
IDPS dapat menghemat biaya yang terjadi akibat kelumpuhan sistem, biaya teknisi untuk penelusuran malware secara manual setiap hari, dan pemborosan biaya-biaya lain akibat kerusakan sistem yang tidak perlu. Dan tentunya biaya kepercayaan dari mitra bisnis yang tidak dapat dihitung secara eksak. -antz-
BAB II PEMBAHASAN
Seiring dengan berkembangnya teknologi mengenai jaringan komputer, maka berkembang
pula metode pengamanannya. Hal ini dikarenakan agar keamanan dari informasi di dalam jaringan
tersebut dan juga keamanan jaringan itu sendiri dapat terjaga keamanannya dari para punyusup atau
intruder. Karena hal tersebutlah diperlukan metode keamanan berupa pendeteksian dan pencegahan,
metode tersebut terdapat di dalam IDS (Intrusion Detection System) dan IPS (Intrusion Prevention
System) yang dapat melakukan pengaturan agar keamanan Informasi dalam jaringan tersebut dapat di
manage atau dijaga dan juga keamanan jaringannya pun menjadi lebih secure atau aman.
IDS (Intrusion Detection System) adalah sebuah metode pengamanan jaringan dengan
melakukan pendeteksian terhadap gangguan – gangguan atau intrusion yang mengganggu. Bila
terdeteksi adanya gangguan tersebut, maka IDS (Intrusion Detection System) akan memberikan allert
selayaknya alarm yang kemudian akan diberitahukan kepada administrator jaringan untuk segera
ditidak lajuti ( melakukan Blocking atau tidak ). IDS (Intrusion Detection System) dapat berupa
aplikasi dari open source seperti Snort ataupun menggunakan IDS (Intrusion Detection System) yang
berupa Box yang diproduksi oleh beberapa vendor jaringan.
IDS tersdiri dari dua bagian yaitu, Network Instrusion Detection System (NIDS) dan Host
Instrusion Detection System (NIDS). Kedua bagian tersebut bekerja pada bagian yang berbeda untuk
melakukan pengamanan. Network Instrusion Detection System (NIDS) dapat melakukan pengamanan
pada Network tersebut dengan cara memantau atau mendeteksi anomali pada jaringan, selain itu
Network Instrusion Detection System (NIDS) juga dapat melakukan pendeteksian di seluruh host
yang berada pada satu jaringan dengan IDS tersebut. Network Instrusion Detection System (NIDS)
yang sering dipakai pada implementasinya adalah dengan menggunakan Snort karena sifat aplikasi
Snort yang Cutomizalbe. Sedangkan Host Instrusion Detection System (NIDS) dapat melakukan
pengamanan dengan melakukan deteksi atau pemantauan anomali pada host dan hanya mampu
mendeteksi pada host tempat di implementasikannya IDS tersebut.
Intrusion Detection System
Dalam penggunaannya, terdapat beberapa metode penggunaan IDS () , yaitu melalui
aplikasi ataupun dengan Box IDS (). IDS () yang menggunakan Aplikasi contohnya adalah aplikasi
Snort yang berjalan berdasarkan rule – rule yang dibuat. Untuk memperoleh Snort tersebut, dapat di
download secara free melalui internet.
Cara mendapatkan dan easy instalation IDS Snort (open source) dari Internet :
1. Download dan Instalasi PCRE
o Sebelum diinstal snort membutuhkan PCRE (Perl Compatible Regular Expressions, http://www.pcre.org/) yang dibuat oleh Philip Hazel.
Anda bisa memperoleh PCRE di:
ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/
http://sourceforge.net/project/showfiles.php?group_id=10194
ftp://ftp.sourceforge.net/pub/sourceforge/p/pc/pcre/
o Download pcpre:
wget http://easynews.dl.sourceforge.net/sourceforge/pcre/pcre-5.0.tar.gz
o Ekstrak:tar –xvzf pcre-5.0.tar.gz
o Ke direktori pcpre-5.0cd pcre-5.0
o Pra-instalasi:./configure
o Kompailmakemake install
2. Download, Instalasi dan Konfigurasi SNORT
o Download snortwget http://www.snort.org/dl/current/snort-2.3.3.tar.gz
o Ekstrak:tar -xvzf snort-2.3.3.tar.gz
o Ke direktori snort-2.3.3cd snort-2.3.3
o Pra-instalasi./configure --with-mysql (jika ingin menggunakan dbase)
o Kompilasi:makemake install
o Membuat grup dan user snortgroupadd snortuseradd -g snort snort
o Membuat direktori snort untuk keperluan log dan file biner (sistem)mkdir /etc/snortmkdir /etc/snort/rulesmkdir /var/log/snort
o Dari direktori dimana snort di ekstrak (file instal)Copy semua file yang terdapat di direktori rules ke /etc/snort/rulescd rulescp * /etc/snort/rules
o Copy semua file yang terdapat di direktori etc ke direktori /etc/snort/cd ../etccp * /etc/snort
o Modifikasi file snort.conf yang terletak di /etc/snort, var HOME_NET 10.2.2.0/24 (Gunakan CIDR / Classless InterDomain Routing, http://www.oav.net/mirrors/cidr.html)
var EXTERNAL_NET !$HOME_NET (Semuanya keculi HOME_NET)
o Ganti "var RULE_PATH ../rules" menjadi "var RULE_PATH /etc/snort/rules"
o Jangan lupa menambahkan snort pada program startup (rc.local)/usr/local/bin/snort -c /etc/snort/snort.conf -i eth0 -g snort -Dde
IPS (Intrusion Prevention System) adalah sebuah metode pengamanan jaringan yang dapat
berupa software ataupun hardware. IPS (Intrusion Prevention System) dapat melakukan monitoring
terhadap seluruh aktifitas pada jaringan, IPS (Intrusion Prevention System) akan langsung melakukan
pencegahan terhadap gangguan – gangguan atau intrusion seperti blocking atau drop program
gannguan.
Kelebihan dari IPS () adalah sistem yang dimilikinya, IPS () memilki kecerdasan buatan
sendiri yang dapat mempelajari dan mengenali serangan dan metode yang digunakan dalam
penyerangan tersebut (TRIGER).
IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System) melakukan
pendeteksian dan pencegahan terhadap gangguan atau intrusion berdasarlan signature atau pattern
yang terdapat pada rule yang dibuat. Paket data yang datang terlebih dahulu akan di periksa
kecocokannya terhadap rule yang dibuat, apabila terdapat kesamaan pada rule yang maka secara
otomatis IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System) akan melakukan
peringgatan (allert) dan selanjutnya akan melakukan pencegahan berupa blocking terhadap gangguan
tersebut.
IDS () dan IPS ()yang bertipe Box hasil pengembangan vendor keamanan jaringan biasanya
digunakan oleh perusahaan – perusahaan yang besar, Hal ini disebabkan karena biaya
implementasinya yang sangat besar dan mahal. Akan tetapi bukan berarti IDS () dan IPS () tidak dapat
digunakan oleh hal layak, untuk mengatasinya para pengatur jaringan menggunakan IDS () dan IPS ()
yang bertipe aplikasi open source seperti Snort dan lainnya.
Contoh Gambar IDS dan IPS bertipe Box hasil pengembangan dari salah satu vendor keamanan
jaringan :
cisco-security-ids-4250-xl-sensor Cisco IPS 4270 Appliance
Kelemahan dari penggunaan IDS () dan IPS () adalah sering terjadinya alarm ataupun
gangguan yang bersifat palsu, yaitu paket data yang datang terdeteksi sebagai intrusion karena tidak
sesuai dengan rule – rule yang dibuat. setelah di teliti ternyata hanya paket data biasa dan tidak
berbahaya.
BAB III KESIMPULAN
Dalam manajemen keamanan informasi terdapat beberapa metode yang dapat digunakan,
yaitu IDS (Intrusion Detection System), IPS (Intrusion Prevention System) dan IDPS (Intrusion
Detection and Prevention System).
IDS (Intrusion Detection System), IPS (Intrusion Prevention System) dan IDPS (Intrusion
Detection and Prevention System) sangat berguna untuk melakukan manajemen keamanan
informasi dan jaringan karena dengan adanya ketiga metode tersebut maka gangguan –
gangguan atau intrusion yang dapat mengganggu keamanan akan dapat ditekan.
IDS (Intrusion Detection System) digambarkan seolah – olah bekerja pada bagian dalam
sebuah network dan mendeteksi seluruh paket data yang masuk untuk kemudian di cocokan
dengan rule yang dibuat.
IPS (Intrusion Prevention System) digambarkan seolah – olah bekerja pada bagian luar
network dan mendeteksi seluruh paket data yang datang untuk kemudian akan di analisa
apakah paket data tersebut berupa gangguan atau intrusin dengan mencocokkan signature atau
pattern paket data tersebut dengan rule yang dibuat.
IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System) merupakan metode
keamanan yang dapat berupa aplikasi open source ataupun dengan media BOX yang
dikembangkan oleh vendor – vendor jaringan.
Sangat penting untuk melakukan manajemen Keamanan informasi. Untuk melakukannya
tidak hanya butuh satu metode keamanan yang sangat baik, tetapi akan lebih baik dan
dibutuhkan beberapa metode keamanan yang saling bekerja sama untuk menutupi
kekurangannya karena selama masih dalam konteks buatan manusia, metode keamanan
tersebut tidak akan sempurna.
DAFTAR PUSTAKA
[1] Haidar, Andry. Keamanan Sistem Lanjut. 23203058
[2] Stiawan, Deris. Sistem Keamanan Komputer. Elex Media Komputindo. 2005
[3] www.wikipedia.com
[3] www.hadiwibowo.wordpress.com
[4] www.lirva32.org