Apa itu IDS ( Intrusion Detection System ) & NIDS ( Network-based Intrusion Detection System )
Abstrak
Seiring dengan
Perkembangan Teknologi Informasi saat ini yang selalu berubah, menjadikan
keamanan suatu informasi sangatlah penting terlebih lagi pada suatu jaringan
yang terkoneksi dengan internet. Namun yang cukup disayangkan adalah
ketidakseimbangan antara setiap perkembangan suatu teknologi tidak diiringi
dengan perkembangan pada sistem keamanan itu sendiri, dengan demikian cukup
banyak sistem – sistem yang masih lemah dan harus ditingkatkan dinding keamanannya.
Keamanan suatu
jaringan seringkali terganggu dengan adanya ancaman dari dalam ataupun dari
luar. Serangan tersebut berupa serangan Hacker yang bermaksud merusak Jaringan
Komputer yang terkoneksi pada internet ataupun mencuri informasi penting yang
ada pada jaringan tersebut.
Hadirnya firewall telah banyak membatu dalam
pengamanan, akan tetapi seiring berkembang teknolgi sekrang ini hanya dengan
firewall keamanan tersebut belum dapat dijamin sepenuhnya. Karena itu telah
berkembang teknologi IDS dan IPS sebagai pembantu pengaman data pada suatu
jarigan komputer. Dengan adanya IDS ( Intrusion Detection System ) dan IPS (
Instrusion Prevention System ), maka serangan – serangan tersebut lebih dapat
dicegah ataupun dihilangkan. IDS ( Intrusion Detection System) berguna untuk
mendeteksi adanya serangan dari penyusup (serangan dari dalam) sedangkan IPS (
Intrusion Prevention System ) berguna untuk mendeteksi serangan dan
menindaklanjutinya dengan pemblokan serangan.
BAB I
PENDAHULUAN
A. Latar
Belakang
Keamanan jaringan komputer dikategorikan dalam
dua bagian, yaitu keamanan secara fisik dan juga keamanan secara non fisik.
Kemanan secara fisik merupakan keamanan yang cenderung lebih memfokuskan segala
sesuatunya berdasarkan sifat fisiknya dalam hal ini misalanya pengamanan
komputer agar terhindar dari pencurian dengan rantai sehingga fisik komputer
tersebut tetap pada tempatnya, kondisi ini sudah sejak lama diaplikasikan dan
dikembangkan. Sedangkan keamaanan non fisik adalah keamanan dimana suatu kondisi
keamanan yang menitik beratkan pada kepentingan secara sifat, sebagai contoh
yaitu pengamanan data, misalnya data sebuah perusahaan yang sangat penting,
B. Tujuan Penelitian
Berdasarkan
latar belakan di atas, tujuan penulis membuat makalah pengamanan jaringan
komputer dengan metode Pendeteksian dan Pencegahan adalah sebagai berikut :
1.
Pembaca
mengetahui metode – metode pendeteksian dan pencegahan yang baik dan secara
umum sering digunakan.
2.
Pembaca
mengetahui apakah IDS (Intrusion Detection System) dan IPS (Intrusion
Prevention System) dan bagaimana IDS (Intrusion Detection System) serta IPS (Intrusion Prevention System) pada
saat sekarang ini secara umum berdasarkan beberapa pandangan dan pengertian
yang ada.
3.
Pembaca
mengetahui Karateristik dari metode IDS (Intrusion Detection System) dan IPS
(Intrusion Prevention System).
4.
Pembaca
memiliki pandangan kedepan mengenai manajemen keamanan informasi dan pengaman jaringan komputer.
C. Metode Penelitian
Metode
penelitian yang dilakukan oleh penulis adalah metode literature, yaitu dengan
literature dari materi – materi yang ada pada buku dan internet.
BAB II
Pembahasan
A. Pengertian
Keamanan atau security adalah mekanisme dan
teknik untuk melindungi sesuatu yang dapat berupa data atau informasi di dalam
sistem. Pada dasarnya secutity adalah sistem yang digunakan untuk melindungi
sistem dalam suatu jaringan keamanan agar tetap terjaga.
Keamanan atau Security haruslah memiliki beberapa bagian penting di
dalamnya, yaitu :
1. Availability
yaitu menjaga akses untuk masuk ke dalam informasi
2. Confidentianlity
yaitu menjaga informasi secara rahasia dan hanya dapat dibuka oleh yang
memiliki hak resmi untuk mengaksesnya.
3. Anonymity
yaitu menyembunyikan identitas dari entitas yang terlibat dalam prosesnya
4. Privacy
yaitu memiliki hak dan kewajiban yang mengatur akusisim rahasia pribadi, dan
informasi rahasi yang lain.
5. Identification
and Authentication yaitu cara mengetahui identitas user dalam jaringan
komputer.
IDS (Intrusion Detection System) dan IPS
(Intrusion Prevention System) adalah sistem – sistem yang banyak digunakan
untuk mendeteksi dan melindungi atau mencegah sistem keamanan dari serangan –
serangan. Mekanisme keamanan ini dilakukan dengan cara membandingkan paket yang
masuk dengan data – data signature yang ada.
Apa itu IDS (Instruction Detection
System)?
IDS
(Intrution Detection System) adalah
sebuah sistem yang melakukan pengawasan terhadap traffic jaringan dan pengawasan terhadap kegiatan-kegiatan yang
mencurigakan didalam sebuah sistem jaringan. Jika ditemukan kegiatan-kegiatan
yang mencurigakan berhubungan dengan traffic
jaringan maka IDS akan memberikan peringatan kepada sistem atau administrator
jaringan. Dalam banyak kasus IDS juga merespon terhadap traffic yang tidak normal/ anomali melalui aksi pemblokiran seorang
user atau alamat IP (Internet Protocol)
sumber dari usaha pengaksesan jaringan.
IDS sendiri muncul dengan beberapa
jenis dan pendekatan yang berbeda yang intinya berfungsi untuk mendeteksi traffic yang mencurigakan didalam sebuah
jaringan. Beberapa jenis IDS adalah : yang berbasis jaringan (NIDS) dan
berbasis host (HIDS). Ada IDS yang bekerja dengan cara mendeteksi berdasarkan
pada pencarian ciri-ciri khusus dari percobaan yang sering dilakukan. Cara ini
hampir sama dengan cara kerja perangkat lunak antivirus dalam mendeteksi dan
melindungi sistem terhadap ancaman. Kemudian ada juga IDS yang bekerja dengan
cara mendeteksi berdasarkan pada pembandingan pola traffic normal yang ada dan kemudian mencari ketidaknormalan traffic yang ada.
Ada IDS yang fungsinya hanya sebagai pengawas dan pemberi
peringatan ketika terjadi serangan dan ada juga IDS yang bekerja tidak hanya
sebagai pengawas dan pemberi peringatan melainkan juga dapat melakukan sebuah
kegiatan yang merespon adanya percobaan serangan terhadap sistem jaringan dan
komputer.
IDS tidak hanya bekerja
secara sendiri, IDS (Intrusion Detection System) bekerja mendeteksi gangguan
bersama – sama dengan firewall. Mekanisme penggunaan IDS adalah IDS (Intrusion
Detection System) membantu firewall melakukan pengamanan dengan snort ( open
source ) ataupun dengan menggunakan Box IDS sedangkan firewall menggunakan
Packet Filtering Firewall.
Paket Filtering Firewall
dapat membatasi akses koneksi berdasarkan pattern atau pola – pola koneksi yang
dilakukan, seperti protokol, IP source and IP destination, Port Source and Port
Destination, Aliran data dan code bit sehingga daat diatur hanya akses yang
sesuai dengan policy saja yang dapat mengakses sestem. Paket Filtering Firewall
bersifat statik sehingga fungsi untuk membatasi akses juga secara statik,
sebagai contoh : akses terhadap port 80 (webserver) diberikan izin (allow) oleh
policy, maka dari manapun dan apapun aktifitas terhadap port tersebut tetap di
ijinakan meskipun aktifitas tersebut merupakan gannguan (intrusion) ataupun
usaha penetrasi dari para intruder.
Untuk itulah Paket
Filtering Firewall tidak dapat mengatasi gangguan yang bersifat dinamik
sehingga harus dikombinasikan penggunaannya dengan IDS (Intrusion Detection
System) untuk membantu sistem hardening atau pengamanan.
IDS
(Intrusion Detection System) dan Firewall menggunakan Engine Sistem Pencegahan
Penyusupan untuk melakukan pengamanan secara maksimal, Engine tersebut bertugas
membaca alert dari IDS (Intrusion Detection System), alert tersebut dapat
berupa jenis serangan dan IP address intruder , kemudian memerintahkan firewall
untuk melakukan block ataupun drop akses intruder tersebut ke koneksi dalam
sistem.
Sistem
pencegahan intrusion dari para intruder tersebut akan lebih maksimal jika
diletakkan pada router, sehingga daerah kerja sistem tersebut dapat mencakup
semua host yang berada dalam satu jaringan dengan router sebagai tempat
mengimplementasikan sistem pencegahan penyusupan tersebut. Bila konsentrator
menggunakan switch, akan terdapat masalah yang timbul. Masalah tersebut adalah
proses pendeteksian terhadap paket data yang datang menjadi tidak berfungsi,
salah satu cara yang mudah untuk mengatasi masalah seperti ini, cara tersebut
adalah dengan melakukan spoofing MAC address terhadap host – host yang akan
diamati.
-
Paket
Decoder
Paket
yang disandikan.
-
Preprocessor
(Plug-ins)
Modul
plug-in uang berfungsi untuk mengolah paket sebelum dianalisa.
-
Detection
Engine
Rules
from signature.
-
Output
Stage
Alert dan
Log.
Ada beberapa tipe penggunaan
IDS (Intrusion Detection System) untuk menajemen keamanan informasi dan
pengamanan jaringan, yaitu dengan menggunakan Snort IDS (Intrusion Detection
System) dan IDS (Intrusion Detection System) dengan menggunakan Box.
-
Snort
IDS
Snort
IDS merupakan IDS open source yang secara defacto menjadi standar IDS
(Intrusion Detection System) di industri. Snort merupakan salah satu software
untuk mendeteksi instruksi pada system, mampu menganalisa secara real-time
traffic dan logging IP, mampu menganalisa port dan mendeteksi segala macam intrusion
atau serangan dari luar seperti buffter overflows, stealth scan, CGI attacks,
SMP probes, OS fingerprinting.
Secara
default Snort memiliki 3 hal yang terpenting, yaitu :
1.
Paket
Snifferm
Contoh : tcpdump, iptraf, dll.
2.
Paket
Logger
Berguna dalam Paket Traffic.
3.
NIDS
(Network Intrusion Detection System )
Deteksi Intrusion pada Network
Komponen – komponen Snort IDS (Intrusion Detection
System) meliputi :
-
Rule
Snort
Rule Snort merupakan database yang
berisi pola – pola serangan berupa signature jenis – jenis serangan. Rule snort
IDS (Intrusion Detection System) harus selalu terupdate secara rutin agar
ketika ada suatu teknik serangan yang baru, serangan tersebut dapat terdeteksi.
Rule Snort dapat di download pada website www.snort.org.
-
Snort
Engine
Snort Engine merupakan program yang
berjalan sebagai daemon proses yang selalu bekerja untuk membaca paket data dan
kemudian membadingkan dengan Rule Snort.
-
Alert
Alert merupakan catatan serangan
pada deteksi penyusupan. Jika Snort engine mendeteksi paket data yang lewat
sebagai sebuah serangan, maka snort engine akam mengirimkan alert berupa log
file. Kemudian alert tersebut akan tersimpan di dalam database.
Hubungan ketiga komponen snort IDS
(Intrusion Detection System) tersebut dapat digambarkan dalam gambar berikut.
-
IDS
(Intrusion Detection System) dengan menggunakan Box
IDS
(Intrusion Detection System) dengan menggunakan BOX adalah IDS (Intrusion
Detection System) dengan yang merupakan product dari suatu perusahaan
pengembang keamanan jaringan komputer (Vendor). Sama seperti IDS (Intrusion
Detection System) Snort, IDS (Intrusion Detection System) dengan menggunakan
Box ini memiliki kemampuan yang sama untuk melakukan pendeteksian terhadap
intursion dalam sebuah jaringan. Pada IDS (Intrusion Detection System) dengan
menggunakan Box allert yang digunakan dapat berupa message, message tersebut
dapat berupa sms ataupun email ke administrator.
Untuk melakukan manajemen
keamanan informasi pada sistem, haruslah terlebih dahulu diketahui karateristik
yang di dapat dari penggunaan IDS (Intrusion Detection System) agar pengamanan
tersebut dapat dilakukan secara maksimal.
Karateristik atau sifat yang
dimiliki Oleh IDS () pada umumnya :
-
Suitability
Aplikasi IDS yang cenderung
memfokuskan berdasarkan skema manajemen dan arsitektur jaringan yang
dihadapkannya.
-
Flexibility
Aplikasi IDS yang mampu
beradaptasi dengan spesifikasi jaringan yang akan dideteksi oleh aplikasi
tersebut.
-
Protection
Aplikasi
IDS yang secara ketat memproteksi gangguan yang sifatnya utama dan berbahaya.
-
Interoperability
Aplikasi IDS yang secara umum
mampu beroperasi secara baik dengan perangkat-perangkat keamanan jaringan serta
manajemen jaringan lainnya.
-
Comprehensiveness
Kelengkapan yang dimiliki
oleh aplikasi IDS ini mampu melakukan sistem pendeteksian secara menyeluruh
seperti pemblokiran semua yang berbentuk Java
Applet, memonitor isi dari suatu email serta dapat memblokir address url secara spesifik.
-
Event
Management
Konsep IDS yang mampu
melakukan proses manajemen suatu jaringan serta proses pelaporan pada saat
dilakukan setiap pelacakan, bahkan aplikasi ini mampu melakukan updating pada sistem basis data pola suatu
gangguan.
-
Active
Response
Pendeteksi gangguan ini mampu
secara cepat untuk mengkonfigurasi saat munculnya suatu gangguan, biasanya
aplikasi ini berintegrasi dengan aplikasi lainnya seperti aplikasi Firewall serta aplikasi IDS ini dapat
mengkonfigurasi ulang spesifikasi router pada
jaringannya.
-
Support
Lebih bersifat mendukung pada
suatu jenis produk apabila diintegrasikan dengan aplikasi lain.
Kelebihan yang akan di
dapatkan dengan menggunakan IDS (Intrusion Detection System) sebagai metode
Keamanan :
1.
Memiliki
Akurasi keamanan yang baik
IDS (Intrusion Detection System) haruslah
memiliki akurasi atau ketelitian, jadi IDS (Intrusion Detection System) yang
baik adalah IDS (Intrusion Detection System) yang memiliki ketelitian yang baik
untuk mengenal intrusion atau gangguan. Pada saat sekrarang ini IDS (Intrusion
Detection System) telah memiliki ketelitian tinggi, yaitu mampu secara realtime
mendeteksi dan melakukan blocking terhadap tindakan yang mencurigakan. Selain
itu IDS () juga harus mampu memeriksa dan menganalisa pattern objek secara
menyeluruh seperti paket – paket data baik Header Paket maupun Payload yang
dipergunakan serta membedakan paket data yang keluar masuk dalam lalu lintas
jaringan sehingga dapat mengenal benar karateristik trafic penyerang.
Oleh karena itu untuk melakukan hal
tersebut, IDS (Intrusion Detection System) yang baik haruslah memiliki
karateristik :
-
Memiliki
kemampuan menganalisa protokol dari semua sumber lalu lintas (trafic).
-
Memiliki
kemampuan menganalisa protokol secara stateful untuk Layer Network atau Layer
ke tiga pada OSI Layer sampai dengan Layer Aplication atau Layer ke tujuh pada
OSI Layer.
-
Memiliki
kemampuan untuk melakukan perbandingan secara Context-Base, Multiple-Tringger,
Multiple-Pattern signature dengan tujuan untuk dapat mengenal dan mengetahui
jenis exploit yang dipergunakan.
-
Memiliki
kemampuan Forward dan Backward apabila terjadi proses overlap (penumpukan data)
pada IP Fragmen (Layer 3).
-
Memiliki
kemampuan Forward dan Backward apabila terjadi proses overlap (penumpukan data)
pada TCP Segment.
-
Memiliki
kemampuan Forward dan Backward apabila terjadi kerancuan dahbketidakberesan di
dalam implementasi protokol (Layer 4).
-
Memiliki
kemampuan kontrol pada tingkat aplikasi protokol seperti :
HTTP, FTP, Telnet, RPC Fragmentasi,
dan SNMP (Layer 6 dan Layer 7 ).
2.
Mampu
Mendeteksi dan Mencegah Serangan.
IDS (Intrusion Detection System)
haruslah dapat mendeteksi serangan dn juga mampu untuk melakukan pencegahan
terhadap serangan tersebut,
IDS (Intrusion Detection System)
yang baik dalam mengatasi serangan adalah IDS (Intrusion Detection System ) yang
memiliki karateristik :
-
Dapat
beroperasi secara in-line.
-
Memiliki
kehandalan dan ketersediaan.
-
Deliver
high performance.
-
Kebijakan
policy pada IDS(Intrusion Detection System)yang dapat diatus sesuai dengan yang
dibutuhkan.
3.
Memiliki
cakupan yang Luas dalam Mengenal Proses Attacking
IDS (Intrusion Detection System)
haruslah memiliki pengetahuan yang luas, dapat mengenal serangan apa yang belum
dikenalnya, seperti contoh IDS(Intrusion Detection System) harus mampu
mendeteksi serangan DOS mempergunakan analisis signature dan mampu mendeteksi
segala sesuatu yang mencurigakan.
IDS (Intrusion Detection System)
yang baik dalam pengenalan attacking adalah IDS (Intrusion Detection System)
yang memiliki karateristik :
-
Memiliki
AI () sehingga IDS (Intrusion Detection System) tersebut dapat mempelajari
sendiri serangan – serangan yang datang.
-
Mampu
melakukan proses deteksi trafic dan pembersihan terhadap host ( Layer 3 – Layer 7 ).
-
Mampu
melakukan scanning TCP dan UDP.
-
Mampu
memeriksa keberadaan backdoor.
4.
Dapat
memeberikan Informasi tentang ancaman – ancaman yang terjadi.
5.
Memiliki
tingkat Forensik yang canggih dan mampu menghasilkan reporing yang baik.
6.
Memiliki
sensor yang dapat dipercaya untuk memastikan pendeteksian dan pencegahan.
Selanjutnya Apa itu NIDS (Network
Intrusion Detection System) ?
NIDS (Network Intrusion
Detection System)
Untuk memahami NIDS yang tradisional atau
konvensional, bayangkan jika anda memiliki seorang atau beberapa pakar protokol
network yang dilengkapi dengan sebuah network analyzer atau alat penganalisis
network dan mengamati lalu lintas network yang lewat. Spesialis-spesialis ini
mengetahui tentang semua eksploit terakhir yang mungkin akan dicoba dilancarkan
oleh seorang penyerang, dan mereka dengan teliti akan mengecek semua paket yang
lewat untuk melihat apakah ada lalu lintas network yang mencurigakan yang
sedang melewati kabel network.
Jika para spesialis menemukan lalu lintas
network yang mencurigakan, mereka dengan segera akan menghubungi administrator
network dan memberitahukan temuan-temuannya kepada mereka.Jika Anda
menghilangkan unsur manusia dari skenario ini, Anda akan memiliki sebuah
Network Intrusion Detection System. Sebuah NIDS menangkap semua lalu lintas
yang lewat di network, sama seperti sebuah network analyzer. Setelah informasi
ini dibaca dan dicopy ke dalam memori, sistem tersebut akan membandingkan paket
tersebut dengan sejumlah pola-pola serangan yang sudah diketahui.
Sebagai contoh, jika NIDS mengetahui bahwa
ada sebuah host tertentu yang secara berulang-ulang mengirimkan paket SYN ke
host lain tanpa mencoba untuk menyelesaikan proses koneksi tersebut, maka NIDS
akan mengidentifikasikan ini sebagai sebuah serangan SYN dan akan mengambil
tindakan yang sesuai untuk mengatasinya. Sebuah NIDS yang baik mungkin memiliki
lebih dari 100 pola serangan yang disimpan di database-nya.
Aksi yang diambil bergantung pada NIDS
tertentu yang Anda gunakan dan bagaimana Anda mengkonfigurasinya. Semua NIDS
bisa membuat log untuk kejadian-kejadian yang mencurigakan. Beberapa NIDS
bahkan bisa menyimpan hasil capture paket dari lalu lintas network dalambentuk
aslinya (rawpacket) agar paket tersebut bisa dianalisis kemudian oleh
administrator network. NIDS yang lain bisa dikonfigurasi untuk mengirimkan
sebuah alert atau peringatan, seperti sebuah pesan e-mail atau sebuah panggilan
pager. Banyak NIDS yang bisa mencoba untuk menghentikan transmisi yang
mencurigakan dengan cara melakukan reset pada kedua ujung koneksi. Terakhir,
beberapa NIDS bisa berinteraksi dengan sebuah firewall atau sebuah router untuk
memodifikasi peraturan-peraturan filter dan memblokir host yang melakukan
serangan.
Sebuah NIDS tradisional terdiri dari dua bagian:
·
Sensor, yang akan
mengcapture dan menganalisis lalu lintas network.
·
Konsol, dari mana Anda
bisa mengelola sensor tersebut dan mengecek semua laporan.
Network Intrusion Detection System
adalah sistem yang sangat haus akan sumber daya. Vendor – vendor NIDS biasanya
memberikan rekomendasi untuk menjalankan sensor di sebuah sistem yang
dedicated. Karena sebuah NIDS membuat log untuk semua lalu lintas network, maka
sebuah ruang disk sekitar 100MB biasanya direkomendasikan, Anda perlu
merencanakan untuk menggunakan ruang disk yang lebih banyak lagi kecuali jika
Anda akan sering mengahpus database database tersebut atau jaringan anda hanya
dilalui lalu lintas network yang sangat sedikit.
Kebutuhan hardware untuk sistem
dedicated yang menjalankan konsol NIDS adalah hampir sama, kecuali bahwa anda
Anda harus menyisakan ruang disk yang cukup untuk menyimpan sebuah copy
database dari setiap sensor.
BAB III
Penutup
Kesimpulan
Sebagai salah satu sistem pengamanan
jaringan dan komputer, IDS hanya cocok digunakan sebagai salah satu simtem
pengamanan dan tidak dapat dijadikan sebagai satu-satunya simstem tunggal untuk
mengamankan jaringan. Karena karakteristik IDS yang hanya berfungsi sebagai
pendeteksi dan pemberi peringatan terhadap gangguan yang datang dari luar dan
dalam dari sistem jaringan itu sendiri. Sehingga IDS harus dikombinasikan
dengan beberapa metode pengamanan lain untuk melengkapi kekurangna-kekurangan
yang dimiliki oleh IDS. Misalnya dengan menggunakan Firewall sebagai tambahan.
Banyak aplikasi IDS yang ada saat ini, namun aplikasi yang paling banyak
digunakan adalah aplikasi SNORT. Karena selain free Snort juga mendukung semua
platform dan berbagai macam Sistem Operasi. Selain ituSnort berbasis Open
Surce.
0 komentar:
Posting Komentar