Intrusion
Detection System (IDS)
Ada dua
jenis IDS, yaitu:
1. Network-based
Intrusion Detection System (NIDS): Semua lalu lintas yang mengalir
ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan
atau penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam segmen
jaringan penting di mana server berada atau terdapat pada “pintu masuk”
jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam
sebuah jaringan yang menggunakan switch Ethernet, meskipun
beberapa vendor switch Ethernet sekarang telah menerapkan
fungsi IDS di dalam switch buatannya untuk memonitor port atau
koneksi.
2. Host-based
Intrusion Detection System (HIDS): Aktivitas
sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan
serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada
server-server kritis di jaringan, seperti halnya firewall, web
server, atau server yang terkoneksi ke Internet.
Implementasi
dan cara kerja IDS :
1. Cara kerja IDS yang paling populer adalah dengan
menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh
beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan
basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan
oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan
terhadap basis data signature IDS yang bersangkutan.
2. Metode
selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS.
Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan
yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan
teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan
lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan
dibandingkan signature-based IDS, yakni ia dapat mendeteksi
bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS.
Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive.
Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah
mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false
positive yang muncul.
3. Teknik
lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi,
yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas
sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di
dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk
memantau apakah terjadi kejadian yang tidak biasa.
Intrusion
Prevention System (IPS)
Jenis-jenis IPS yaitu :
1. Host-based
Intrusion Prevention System, Host Based IPS (HIPS)
bekerja dengan memaksa sekelompok perangkat lunak fundamental untuk berkovensi
secara konstan. Hal ini disebut dengan Application Binary Interface (ABI).
Hampir tidak mungkin untuk membajak sebuah aplikasi tanpa memodifikasi Application
Binary Interface, karena konvensi ini bersifat universal di antara
aplikasi-aplikasi yang dimodifikasi. HIPS merupakan sebuah system pecegahan
yang terdiri dari banyak layer, menggunakan packet filtering, inspeksi status
dan metode pencegahan intrusi yang bersifat real-time untuk menjaga host berada
di bawah keadaan dari efisiensi performansi yang layak. Mekanisme kerjanya
yaitu dengan mencegah kode-kode berbahaya yang memasuki host agar tidak
dieksekusi tanpa perlu untuk mengecek threat signature.
2. Network
Intrusion Prevention System, Network Based IPS (NIPS),
yang juga disebut sebagai “In-line proactive protection”, menahan semua trafik
jaringan dan menginspeksi kelakuan dan kode yang mencurigakan. Karena menggunakan
in-line model, performansi tinggi merupakan sebuah elemen krusial dari
perangkat IPS untuk mencegah terjadinya bottleneck pada jaringan. Oleh karena
itu, NIPS biasanya didesain menggunakan tiga komponen untuk mengakselerasi
performansi bandwidth, yaitu :
· Network
Chips (Network processor)
· FPGA
Chips
· ASIC
Chips
Network Based IPS
(NIPS) biasanya dibangun dengan tujuan tertentu, sama halnya dengan switch
dan router. Beberapa teknologi sudah diterapkan pada NIPS, seperti signature matching,
analisa protocol dan kelainan pada protocol,
identifikasi dari pola trafik, dan sebagainya. NIPS dibuat untuk menganalisa,
mendeteksi, dan melaporkan seluruh arus data dan disetting dengan
konfigurasi kebijakan keamanan NIPS, sehingga segala serangan yang datang dapat
langsung terdeteksi. Kebijakan keamanan NIPS sendiri terdiri dari : Content
based Intrusion Prevention System, yang bertugas mengawasi isi dari
paket-paket yang berlalu lalang dan mencari urutan yang unik dari paket-paket tersebut,
berisi virus worm, trojan horse,dll.
Rate based Intrusion Prevention System, bertugas mencegah dengan cara memonitor melalui arus lalu lintas jaringan dan dibandingkan dengan data statistic yang tersimpan dalam database. Apabila RBIPS mengenali paket-paket yang tidak jelas, maka langsung mengkarantina paket tersebut.
Baik host based maupun network IPS memiliki kelebihan dan kekurangannya masing-masing. HIPS dapat mengatasi semua jenis jaringan yang terenkripsi dan dapat menganalisa semua kode, sedangkat NIPS tidak menggunakan prosesor dan memori di client maupun host. NIPS tidak selalu bagus, kadang bisa gagal dalam mendeteksi serangan, kadang bisa langsung mendeteksi serangan. Keuntungan NIPS adalah administrasinya yang gampang.
Rate based Intrusion Prevention System, bertugas mencegah dengan cara memonitor melalui arus lalu lintas jaringan dan dibandingkan dengan data statistic yang tersimpan dalam database. Apabila RBIPS mengenali paket-paket yang tidak jelas, maka langsung mengkarantina paket tersebut.
Baik host based maupun network IPS memiliki kelebihan dan kekurangannya masing-masing. HIPS dapat mengatasi semua jenis jaringan yang terenkripsi dan dapat menganalisa semua kode, sedangkat NIPS tidak menggunakan prosesor dan memori di client maupun host. NIPS tidak selalu bagus, kadang bisa gagal dalam mendeteksi serangan, kadang bisa langsung mendeteksi serangan. Keuntungan NIPS adalah administrasinya yang gampang.
Cara kerja dari IPS:
· Formula
yang umum digunakan untuk mendefinisikan IPS adalah: IPS = IDS + Firewall.
Penjelasan :
· Firewall merupakan
sebuah system yang menerapkan sebuah kebijakan kontrol akses yang memeriksa
trafik data yang lalu lalang dan memblok paket data yang tidak sesuai dengan
kebijakan keamanan. Sebuah Intrusion Detection System (IDS)
memonitor performansi system atau jaringan, mencari pola tingkah laku yang
tidak sesuai dengan kebijakan keamanan atau tanda-tanda serangan yang dapat
dikenali, dan kemudian jika ditemukan maka IDS akan memicu alarm. Di
sini, firewall akan menolak serangan yang sudah pasti/jelas,
sementara trafik yang mencurigakan akan dibiarkan lewat. Di sisi lain, IDS
memonitor semua data di dalam jaringan, memberitahukan administrator jaringan
akan adanya serangan pada saat serangan mulai ‘hidup’ dan berada di dalam
jaringan. Dengan kata lain, baik IDS maupun firewall tidak
mampu memblokir serangan ketika intrusi benar-benar telah terjadi.
Lebih jauh lagi, IPS sebenarnya lebih dari sekedar IDS + firewall. IPS didesain sebagai sebuah embedded system yang membuat banyak filter untuk mencegah bermacam-macam serangan seperti hacker, worm, virus, Denial of Service (DoS) dan trafik berbahaya lainnya, agar jaringan enterprise tidak menderita banyak kerugian bahkan ketika security patch terbaru belum diterapkan. Pembangunan IPS didasarkan pada sebuah modul “in-line”: data melewati perangkat IPS dari satu ujung dari kanal data tunggal, hanya data yang sudah dicek dan divalidasi oleh mesin IPS yang diperbolehkan untuk lewat menuju ujung lain dari kanal data. Pada scenario ini, paket yang mengandung tanda-tanda serangan pada paket asalnya akan dibersihkan dari jaringan.
Lebih jauh lagi, IPS sebenarnya lebih dari sekedar IDS + firewall. IPS didesain sebagai sebuah embedded system yang membuat banyak filter untuk mencegah bermacam-macam serangan seperti hacker, worm, virus, Denial of Service (DoS) dan trafik berbahaya lainnya, agar jaringan enterprise tidak menderita banyak kerugian bahkan ketika security patch terbaru belum diterapkan. Pembangunan IPS didasarkan pada sebuah modul “in-line”: data melewati perangkat IPS dari satu ujung dari kanal data tunggal, hanya data yang sudah dicek dan divalidasi oleh mesin IPS yang diperbolehkan untuk lewat menuju ujung lain dari kanal data. Pada scenario ini, paket yang mengandung tanda-tanda serangan pada paket asalnya akan dibersihkan dari jaringan.
Penggunaan
multiple filter pada IPS membuatnya secara signifikan lebih efektif ketika
menginspeksi, mengidentifikasi dan memblokir serangan berdasarkan urutan waktu.
IPS membuat filter baru ketika sebuah metode serangan baru diidentifikasi.
Mesin inspeksi paket data IPS normalnya terdiri dari integrated circuit yang
didesain untuk inspeksi data mendalam. Setiap serangan yang mencoba
mengeksploitasi kelemahan dari layer 2 sampai layer 7 OSI akan difilter oleh
mesin IPS yang mana, secara tradisional, kemampuan firewall hanya terbatas
sampai modul 3 atau 4 saja. Teknologi packet-filter dari firewall tradisional
tidak menerapkan inspeksi untuk setiap byte dari segmen data yang bermakna
tidak semua serangan dapat diidentifikasikan olehnya. Secara kontras, IPS mampu
melakukan inspeksi tersebut dan semua paket data diklasifikasikan dan dikirim
ke filter yang sesuai menurut informasi header yang ditemukan
di segmen data, seperti alamat asal, alamat tujuan, port,
data field dan sebagainya. Setiap filter bertanggung jawab
untuk menganalisis paket-paket yang berkaitan, dan yang mengandung tanda-tanda
membahayakan akan didrop dan jika dinyatakan tidak berbahaya akan dibiarkan
lewat. Paket yang belum jelas akan diinspeksi lebih lanjut. Untuk setiap tipe
serangan berbeda, IPS membutuhkan sebuah filter yang bersesuaian dengan
aturan filtering yang sudah ditentukan sebelumnya.
Aturan-aturan ini mempunyai definisi luas untuk tujuan akurasi, atau memastikan
bahwa sebisa mungkin jangkauan aktifitas yang luas dapat terenkapsulasi di
dalam sebuah definisi. Ketika mengklasifikasikan sebuah aliran data, mesin filter
akan mengacu pada informasi segmen paket, menganalisa konteks dari field
tertentu dengan tujuan untuk mengimprovisasi akurasi dari proses filtering.
Sumber
:
Tidak ada komentar:
Posting Komentar