MENANGANI SERANGAN INTRUSI MENGGUNAKAN IDS DAN IPS
Pada tulisan ini akan dibahas salah satu teknologi untuk menangani
intrusi dalam suatu jaringan. Teknologi tersebut disebut IDPS, yaitu Intrusion Detection and Prevention Systems. IDPS
ini dapat dibagi dua, yaitu IDS dan IPS. IDS digunakan untuk hanya
mendeteksi adanya intrusi sedangkan IPS dapat digunakan juga
menghentikan intrusi. Baik IDS maupun IPS juga terdapat dua jenis,
host-based dan network-based. Pada tulisan ini juga akan dibahas
mengenai metode pendeteksian yang digunakan oleh IDPS ini, serta
komponen yang digunakan.
PENDAHULUAN
Penggunaan internet saat ini merupakan suatu kebutuhan yang tidak dapat
dihindari lagi. Dengan internet, segala sesuatunya akan menjadi lebih
mudah. Namun dibalik semua kemudahan dan keuntungan yang didapatkan
dengan hadirnya internet, terdapat pula masalah yang mengikutinya. Dalam
beberapa tahun ini, masalah keamanan telah menjadi fokus utama dalam
dunia jaringan komputer, hal ini disebabkan tingginya ancaman yang
mencurigakan (suspicious threat) dan serangan dari Internet. Keamanan Informasi merupakan salah satu kunci yang dapat mempengaruhi tingkat Reliability (termasuk performa dan availability)
suatu jaringan. Untuk mengatasi masalah keamanan jaringan dan komputer
ada banyak pendekatan yang dapat dilakukan. Salah satunya adalah dengan
menggunakan sistem IDS (Intrution Detection System) dan IPS (Intrusion Prevention System).
DEFINISI DAN KLASIFIKASI
IDS (Intrution Detection System) adalah sebuah sistem yang melakukan pengawasan terhadap lalulintas (traffic)
jaringan dan pengawasan terhadap kegiatan-kegiatan yang mencurigakan
didalam sebuah sistem jaringan. Jika ditemukan kegiatan-kegiatan yang
mencurigakan berhubungan dengan lalulintas jaringan, maka IDS akan
memberikan peringatan kepada sistem atau administrator jaringan. Dalam
banyak kasus IDS juga merespon terhadap lalulintas yang tidak normal /
anomali melalui aksi pemblokiran user atau alamat IP (Internet Protocol) yang melakukan usaha pengaksesan jaringan tersebut.
IPS (Intrusion Prevention System) adalah sebuah sistem yang
menggabungkan fungsi firewall dan fungsi IDS dengan proporsional.
Teknologi ini dapat digunakan untuk mencegah serangan yang akan masuk ke
jaringan lokal dengan memeriksa dan mencatat semua paket data serta
mengenali paket dengan sensor, disaat serangan telah teridentifikasi,
IPS akan menolak akses (block) dan mencatat (log) semua paket data yang teridentifikasi tersebut. Jadi IPS bertindak sepeti layaknya firewall yang akan melakukan allow dan block yang dikombinasikan dengan IDS yang dapat mendeteksi paket secara detail. IPS menggunakan signatures dari paket untuk mendeteksi aktivitas lalulintas di jaringan dan terminal, dimana pendeteksian paket yang masuk dan keluar (inbound-outbound) dapat di cegah sedini mungkin sebelum merusak atau mendapatkan akses ke dalam jaringan lokal. Jadi early detection dan prevention menjadi penekanan pada IPS ini.
IDS dan IPS secara umum dikenal sebagai IDPS (Intrusion Detection and Prevention Systems).
Biasanya dalam suatu perangkat keras memiliki fungsi IDS maupun IPS.
Gambar 1 menunjukkan pembagian fungsi IDPS. Terdapat dua tipe IDS, yaitu
NIDS dan HIDS. IPS juga memiliki dua tipe, yaitu NIPS dan HIPS.
Gambar 1 Hirarki IDPS
NIDS (Network based IDS)
Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk
mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem
jaringan. NIDS umumnya terletak di dalam segmen jaringan penting di mana
server berada atau terdapat pada “pintu masuk” jaringan. Idealnya semua
traffic yang berasal dari luar dan dalam jaringan di lakukan proses
scan, namun cara ini dapat menyebabkan bottleneck yang mengganggu kecepatan akses di seluruh jaringan. Posisi dari NIDS dalam suatu jaringan dapat dilihat pada Gambar 2.
HIDS (Host based IDS)
IDS jenis ini diletakkan pada host yang berdiri sendiri atau
perlengkapan dalam sebuah jaringan. Sebuah HIDS melakukan pengawasan
terhadap paket-paket yang berasal dari dalam maupun dari luar hanya pada
satu alat saja dan kemudian memberi peringatan kepada user atau
administrator sistem jaringan akan adanya kegiatankegiatan yang
mencurigakan yang terdeteksi oleh HIDS. Posisi dari HIDS dalam suatu
jaringan dapat dilihat pada Gambar 2.
Gambar 2 Peletakkan NIDS dan HIDS dalam Sebuah Jaringan
NIPS (Network based IPS)
NIPS yang juga disebut sebagai “In-line proactive protection”, menahan semua trafik jaringan dan menginspeksi kelakuan dan kode yang mencurigakan. Karena menggunakan in-line model, performansi tinggi merupakan sebuah elemen krusial dari perangkat IPS untuk mencegah terjadinya bottleneck pada jaringan. Posisi dari NIPS dalam suatu jaringan dapat dilihat pada Gambar 3.
HIPS (Host based IPS)
HIPS bekerja dengan memaksa sekelompok perangkat lunak fundamental untuk berkovensi secara konstan. Hal ini disebut dengan Application Binary Interface
(ABI). Hampir tidak mungkin untuk membajak sebuah aplikasi tanpa
memodifikasi ABI, karena konvensi ini bersifat universal di antara
aplikasi-aplikasi yang dimodifikasi. HIPS merupakan sebuah system
pecegahan yang terdiri dari banyak layer, menggunakan packet filtering,
inspeksi status dan metode pencegahan intrusi yang bersifat real-time
untuk menjaga host berada di bawah keadaan dari efisiensi performansi
yang layak. Mekanisme kerjanya yaitu dengan mencegah kode-kode berbahaya
yang memasuki host agar tidak dieksekusi tanpa perlu untuk mengecek
threat signature. Posisi dari HIPS dalam suatu jaringan dapat dilihat
pada Gambar 3.
Gambar 3 Peletakkan NIPS dan HIPS dalam Sebuah Jaringan
Dari definisi dan klasifikasi IDS dan IPS yang sudah dijabarkan,
terdapat perbedaan mendasar antara IDS dan IPS. Perbedaannya adalah IDS
tidak berada in-line dalam jaringan, atau dengan kata lain IDS “hanya” memantau jaringan saja dengan cara “terhubung” atau “tap” ke jaringan. Sedangkan IPS berada in-line
dalam jaringan. Sehingga ketika terdapat serangan atau akses yang
mencurigakan, maka IPS dapat langsung menutup akses tersebut. Perbedaan
IDS dan IPS dari peletakannya dalam jaringan ditunjukkan oleh Gambar 4.
Gambar 4 Perbedaan IDS dan IPS Ditinjau dari Peletakannya
Untuk lebih detailnya, perbedaan IDS dan IPS dapat dilihat pada tabel 1.
Tabel 1 Perbedaan IDS dan IPS[2]
Metode Deteksi
IDPS memiliki 3 metode untuk melakukan deteksi, yaitu signatured-based,
anomaly-based, dan stateful protocol analysis. Ketiga metode ini dapat
digunakan sekaligus atau sebagain aja.
Signatured-Based Detection
Metode ini dilakukan dengan membandingkan signature dari setiap paket
untuk mengidentifikasi kemungkinan adanya intrusi. Metode ini efektif
bila IDPS mendeteksi ancaman yang sudah di kenal, tetapi tidak efektif
bila ancamannya baru atau tidak di kenal oleh IDPS. Pengertian dikenal
dalam konteks ini adalah sudah pernah terjadi sebelumnya.. Metode ini
merupakan metode yang paling sederhana, karena hanya membandingkan paket
data, lalu di daftarkan menggunakan operasi perbandingan. Kelemahannya
adalah metode ini tidak dapat melacak kejadian yang terjadi pada
komunikasi yang lebih kompleks.
Anomaly-Based Detection
Metode ini digunakan dengan membandingkan kegiatan yang sedang di pantau
dengan kegiatan yang di anggap normal untuk mendeteksi adanya
penyimpangan. Pada metode ini, IDPS memiliki profil yang mewakili
perilaku yang normal dari user, host, koneksi jaringan dan aplikasi.
Profil tersebut didapat dari hasil pemantauan karakteristik dari suatu
kegiatan dalam selang waktu tertentu. Kelebihan dari metode ini adalah
efektif dalam mendeteksi ancaman yang belum dikenal, contohnya ketika
jaringan diserang oleh tipe intrusi yang baru. Sedangkan kekurangan dari
metode ini adalah dalam beberapa kasus, akan sulit untuk mendapatkan
deteksi yang akurat dalam komunikasi yang lebih kompleks.
Stateful Protocol Analysis
Metode ini sebenarnya menyerupai anomaly-based, yaitu membandingkan
profil yang sudah ada dengan kegiatan yang sedang berlangsung untuk
mengidentifikasi penyimpangan. Namun, tidak seperti Anomaly-Based
Detection yang menggunakan profil host, Stateful Protocol Analysis
menggunakan profil yang lebih luas yang dapat merinci bagaimana sebuah
protokol yang istimewa dapat digunakan atau tidak. Arti “Stateful”
disini adalah sistem di IDPS ini bisa memahami dan melacak situasi pada
protokol network, transport dan application. Kelebihan dari metode ini
adalah dapat mengidentifikasi rangkaian perintah yang tidak terduga
seperti mengeluarkan perintah yang sama berulang – ulang. Sedangkan
kekurangannya adalah kemungkinan terjadinya bentrokan antara protokol
yang digunakan oleh IDPS dengan protokol umum yang digunakan oleh sistem
operasi, atau dengan kata lain sulit membedakan implementasi client dan
server pada interaksi protokol.
Komponen
Ada beberapa tipe komponen pada IDPS seperti yang dijelaskan berikut ini:
Sensor atau Agent
Berfungsi memantau dan menganalisis kegiatan. Sensor biasanya digunakan
IDPS untuk memantau jaringan, termasuk di dalamnya teknologi
Network-Based, Wireless, dan Network Behavior Analysis. Sedangkan Agent
biasanya diguakan IDPS untuk teknologi Host-Based.
Management Server
Management Server adalah perangkat terpusat yang berfungsi menerima
informasi dari Sensor atau Agent dan kemudian mengelolanya. Dalam
konteks ini terdapat istilah korelasi, yaitu menyamakan informasi yang
berasal dari Sensor atau Agent yang bertingkat, seperti menemukan
kejadian yang disebabkan oleh IP address yang sama. Management Server
tersedia dalam bentuk hardware maupun software.
Database Server
Database Server adalah tempat menyimpan informasi yang di catat oleh Sensor, Agent, maupun Management Server.
Console
Console adalah program yang menyediakan interface ke user dan
administrator IDPS. Beberapa Console digunakan hanya untuk hal
administrasi IDPS saja, seperti menkonfigurasi Sensor atau Agent. Namun
juga terdapat beberapa Console yang digunakan untuk administrasi maupun
memonitor.
Tidak ada komentar:
Posting Komentar