IDS (Intruision Detection System)

7 03 2008

Intrusion Detection

Anastasya Latubessy 672005117

Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana

email : chu_chuimoet@yahoo.com

Abstrak

Dalam beberapa tahun belakangan, perkembangan dan penggunaan teknologi Internet pesat sekali. Semakin banyak saja kalangan bisnis, organisasi, perkantoran, pendidikan, militer, hingga individu menggunakan jasa teknologi informasi ini yang lebih sering dikenal dengan “the Information Superhighway”.

Sejalan dengan laju pertumbuhan penggunaan Internet yang sangat cepat, maka semakin banyak pula aplikasi-aplikasi yang dibutuhkan oleh pengguna, seperti pada aplikasi di dunia perdagangan bebas secara elektronik (electronic commerce). Namun, hal ini bukannya tanpa gangguan kejahatan sehingga aspek pengamanan jaringan komputer (computer network security) menjadi sangat populer dan penting serta merupakan suatu keharusan atau kebutuhan mutlak di masa depan.

Berdasarkan hasil riset dan survei serta berbagai laporan tentang kejahatan komputer yang terjadi dewasa ini, diketahui bahwa saat ini tidak ada satu pun jaringan komputer yang dapat diasumsikan 100 persen persen aman dari serangan virus komputer, spam, e-mail bomb, atau diterobos langsung oleh para hackers. Seorang hacker berpengalaman dengan mudah melakukan hacking atau memasuki jaringan komputer yang menjadi targetnya. Tidak terhambat kenyataan jaringan tersebut sudah mempunyai sistem pengaman.

KataKunci : Network and Security, Intrusion Detection

I. Analisis

Keamanan pada jaringan komputer sangat diperlukan, karena setiap orang mengharapkan hasil pekerjaannya aman dan jauh kemungkinan dicuri, di-copy, atau dihapus. Kita juga menginginkan keamanan pada waktu saling kirim e-mail (electronic mail) tanpa khawatir ada pihak tidak bertanggung jawab (malicious users) yang dapat membaca, mengubah atau menghapus isi berita e-mail tersebut. Dan terakhir, kita juga menginginkan keamanan saat melakukan transaksi pembelian lewat Internet tanpa rasa takut seseorang dapat mencuri informasi dalam kartu kredit kita sehingga merugikan di kemudian hari.

Pengetahuan serta informasi tentang bagaimana membobol sebuah jaringan komputer hanya diketahui oleh segelintir orang berprofesi khusus, seperti network consultant, network administrator, dan sebagainya. Namun sekarang dengan adanya Internet semua orang dapat mempelajari cara – cara menjadi seorang hacker dengan mudah.

Namun, seperti layaknya pertempuran abadi antara kejahatan dan kebaikan, maka di sisi lain pengetahuan untuk mengamankan sebuah jaringan komputer juga berkembang dengan pesat. Banyak situs Internet yang juga menyediakan informasi dan utiliti program untuk mengamankan jaringan komputer, salah satu contohnya adalah Firewall.

Hal ini membuktikan bahwa saat ini “Internet & Computer Network Securities” menjadi pusat perhatian bagi para pengguna Internet baik ditinjau dari sisi kejahatan maupun sisi kebaikannya.

Sekarang ini, sudah banyak terdapat beberapa program atau utility untuk mengevaluasi aspek keamanan komputer antara lain IP Scanner, IP Sniffer, Network Analyzer, Email Bombs, Spamming, TCP Wrapper, Password Cracking, dan sebagainya. Dengan cara ini segera dapat dilihat kemampuan pengamanan dan keamanan jaringan komputer tersebut yang sering disebut dengan “Security Holes” atau “Back Doors”. Kemudian segera bisa diambil langkah preventif untuk memproteksi jaringan komputer tersebut.

II. Landasan Teori

Security adalah mekanisme total dan teknik yang dapat melindungi suatu aset dalam sistem yang berupa data [ISO 85]. Pada dasarnya security adalah sistem yang digunakan untuk melindungi sistem dalam suatu jaringan agar keamanannya terjaga.

Security sendiri harus mempunyai beberapa bagian yaitu:

Availability: menjaga akses ke informasi

Confidentiality: menjaga informasi secara rahasia dan hanya dapat dibuka oleh yang

berkepentingan.

Anonymity: menyembunyikan identitas dari entitas yang terlibat dalam prosesnya.

Privacy: hak dan kewajiban yang mengatur akusisi, rahasia pribadi, dan informasi rahasia yang lain.

Identification and Authentication: cara mengetahui identitas user dalam jaringan komputer

Intrusion Detection System dan Intrusion Prevention System adalah sistem-sistem yang banyak digunakan untuk mendeteksi dan melindungi sebuah sistem keamanan dari serangan. Mekanisme pertahanan ini dilakukan dengan cara membandingkan paket yang masuk dengan data-data signature yang ada.

Intrusion Detection merupakan sistem untuk mendeteksi adanya “intrusion” yang dilakukan oleh “intruder”. Intrusion detection mirip seperti alarm. Intrusion dapat didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect, inappropriate yang terjadi di jaringan atau di host. Intrusion Detection System bekerjasama dengan (komplemen dari) firewall untuk mengatasi Intrusion.

Sedangkan Intrusion itu sendiri dapat didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect, inappropriate yang terjadi di jaringan atau di host. Apa yang didefinisikan sebagai intrusion kemudian dikodekan menjadi “rules” dalam IDS

Contoh rules: Mendeteksi port scanning

Jenis – jenis IDS (Intrusion Detectin System)

Network-based
memantau anomali di jaringan, misalnya melihat adanya network scanning

Host-based
memantau anomali di host, misal memonitor logfile, process, file owenership, mode

Anomali dapat dijelaskan sebagai Traffic / aktivitas yang tidak sesuai dengan policy:
– Akses dari/ke host yang terlarang
– Memiliki content terlarang (virus)
– Menjalankan program terlarang (web directory traversal: GET ../..; cmd.exe )

IDS yang populer

snort (open source) Sourcefire (versi komersial) http://www.sourcefire.com

ISS RealSecure & BlackICE http://www.iss.net

Axent http://www.axent.com

Cisco IDS (dahulu NetRanger)

Tripwire, swatch, dll. http://www.snort.org

III. Pembahasan

Sistem Pencegahan Penyusupan (Intrusion Preventing System atau IPS) adalah suatu tools yang digunakan untuk mencegah adanya penyusupan. Ada dua fungsi dalam IPS yakni kemampuan mendeteksi penyusupan dan kemampuan untuk mencegah akses penyusupan. Kemampuan mendeteksi penyusupan secara umum disebut IDS (Instrusion Detection System) dan kemampuan untuk mencegah akses dikenal dengan Firewall.

Komponen Sistem Pencegahan Penyusupan

Sistem pencegahan penyusupan harus dapat mendeteksi dan merespon terhadap penyusupan yakni dengan mengkonfigurasi ulang rule firewall yang ada. Untuk itu komponen-komponen yang harus ada pada sistem pencegahan penyusupan meliputi:

  • IDS (Intrusion Detection System)

Dilihat dari cara kerja dalam menganalisa apakah paket data dianggap sebagai penyusupan atau bukan, IDS dibagi menjadi dua: knowledge-based atau misuse detection dan behavior based atau anomaly based. Knowledge-based IDS dapat mengenali adanya penyusupan dengan cara menyadap paket data kemudian membandingkannya dengan database rule IDS (berisi signature-signature paket serangan). Jika paket data mempunyai pola yang sama dengan (setidaknya) salah satu pola di database rule IDS, maka paket tersebut dianggap sebagai serangan, dan demikian juga sebaliknya, jika paket data tersebut sama sekali tidak mempunyai pola yang sama dengan pola di database rule IDS, maka paket data tersebut dianggap bukan serangan. Sedangkan behavior based (anomaly) dapat mendeteksi adanya penyusupan dengan mengamati adanya kejanggalan-kejanggalan pada sistem, atau adanya penyimpangan-penyimpangan dari kondisi normal, sebagai contoh ada penggunaan memori yang melonjak secara terus menerus atau ada koneksi parallel dari satu buah IP dalam jumlah banyak dan dalam waktu yang bersamaan. Kondisi-kondisi diatas dianggap kejanggalan yang kemudian oleh IDS jenis anomaly based dianggap sebagai serangan. Sedangkan dilihat dari kemampuan mendeteksi penyusupan pada jaringan, IDS dibagi menjadi dua yakni: host based dan network based. Host based mampu mendeteksi hanya pada host tempat implementasi IDS, sedangkan network based IDS mampu mendeteksi seluruh host yang berada satu jaringan dengan host implementasi IDS tersebut.

Packet Filtering Firewall

Packet Filtering Firewall dapat membatasi akses koneksi berdasarkan parameter-parameter: protokol, IP asal, IP tujuan, port asal, port tujuan, chain (aliran data) dan code bit sehingga dapat diatur hanya akses yang sesuai dengan policy saja yang dapat mengakses sistem. Packet filtering firewall ini bersifat statik sehingga fungsi untuk membatasi aksespun statik, misalnya akses ke web server (port 80) diijinkan oleh policy, maka dari manapun dan apapun aktifitas terhadap webserver diijinkan walaupun merupakan usaha penetrasi oleh craker. Untuk itulah packet filtering firewall tidak dapat mengatasi gangguan yang bersifat dinamik sehingga harus dikombinasikan dengan IDS untuk membentuk sistem hardening yang maksimal.

  • Engine Sistem Pencegahan Penyusupan (IDS-Firewall)

Engine ini bertugas untuk membaca alert dari IDS (antara lain berupa jenis serangan dan IP Address penyusup) untuk kemudian memerintahkan firewall untuk memblok akses koneksi ke sistem dari penyusup tersebut

Sistem pencegahan penyusupan akan maksimal jika diletakkan di router sehingga daerah kerja sistem ini dapat mencakup semua host yang berada dalam satu jaringan dengan router tempat mengimplementasikan Sistem Pencegahan Penyusupan. Masalah timbul ketika konsentrator menggunakan switch dimana proses penyadapan yang harus dilakukan dalam proses deteksi penyusupan menjadi tidak berfungsi, salah satu cara yang mudah untuk mengatasi masalah ini adalah dengan melakukan spoofing MAC address terhadap host-host yang akan diamati.

Packet Decoder => paket yang disandikan

Preprocessor(Plug-ins) => modul pug-in yang berfungsi untuk mengolah paket sebelum dianalisa

(misal = normalisasi trafik data, deframentasi Ip, reassembly paket TCP stream dsb )

Detection Engine => rules from “signatures”

Output Stage=> alert, log etc

Dalam penempatannya IDS dapat diletakan sebelum atau sesudah firewall. Dapat dilihat pada gambar dibawah.

IV Kesimpulan

Sebuah sistem pencegahan penyusupan haruslah mempunyai fungsi: deteksi (IDS) dan memberikan respon berupa update rule firewall, untuk mempermudah pengelolaan IPS dibutuhkan modul-modul tambahan selain IDS dan Firewall.

Ada beberapa langkah yang dapat digunakan untuk memproteksi atau meningkatkan kemampuan proteksi sistem jaringan komputer, antara lain dengan merumuskan dan membuat sebuah kebijakan tentang sistem pengamanan yang handal (higher security policy) dan menjelaskan kepada para pengguna tentang hak dan kewajiban mereka dalam menggunakan sistem jaringan.

Kemudian melakukan konsultasi dengan para ahli pengamanan sistem komputer untuk mendapatkan masukan yang profesional tentang bagaimana meningkatkan kemampuan sistem pengamanan jaringan yang dimiliki. Melakukan instalasi versi terbaru dari software atau utility yang dapat membantu memecahkan permasalahan pengamanan jaringan komputer.

Mempekerjakan seorang administrator jaringan yang telah berpengalaman untuk menangani jaringan tersebut. Menggunakan mekanisme sistem authentikasi terbaru dalam jaringan (advanced authentication mechanism). Selalu menggunakan teknik enkripsi dalam setiap melakukan transfer data atau komunikasi data. Dan tidak kalah pentingnya menginstalasi sebuah sistem Firewall pada jaringan komputer untuk melindungi Proxy Server.

Peralatan untuk memproteksi jaringan komputer. Network administator atau system administrator tentu memerlukan berbagai peralatan (tools) untuk membantu mengamankan jaringan komputernya. Beberapa tools bahkan memang dibuat spesial dalam rangka melakukan testing sistem jaringan untuk mengetahui kekuatan dan kelemahan dari sebuah sistem jaringan komputer.

Di antaranya, SATAN (Security Administrator’s Tool for Analysing Network) kemudian ada TCP WRAPPER untuk memonitor jaringan komputer lalu CRACK untuk melakukan testing password security. FIREWALL, adalah sebuah sistem proteksi untuk melaksanakan pengawasan lalu lintas paket data yang menuju atau meninggalkan sebuah jaringan komputer sehingga paket data yang telah diperiksa dapat diterima atau ditolak atau bahkan dimodifikasi terlebih dahulu sebelum memasuki atau meninggalkan jaringan tersebut.

Walaupun peralatan untuk melakukan hacking tersedia dalam jumlah yang banyak, tidak semua peralatan tersebut dapat dipergunakan secara efektif, bahkan beberapa peralatan tersebut sudah out of date saat ini sehingga bukan merupakan ancaman lagi. Namun begitu peralatan lainnya masih sangat ampuh sebagai senjata para hacker.

Dengan demikian, seorang network consultant juga dibutuhkan pendapat profesionalnya serta bantuannya untuk meningkatkan kemampuan total seluruh sistem jaringan komputer.

Tidak kalah penting adalah melaksanakan back up data secara reguler (harian, mingguan, atau bulanan) untuk mengantisipasi bila terjadi kerusakan atau kehilangan seluruh data penting yang disebabkan serangan hacker sehingga dengan mudah dan cepat dapat dilakukan recovery seluruh sistem jaringan komputer tersebut.

Kemudian para system administrator juga harus rajin menginformasikan kepada para pengguna (user) mengenai hak dan kewajibannya dalam menggunakan jaringan. Para user perlu diajari cara benar menggunakan jaringan komputer secara aman seperti bagaimana cara membuat password yang baik dan sebagainya.

Pada akhirnya “keamanan” adalah sesuatu yang tidak pernah ada atau tidak akan pernah ada dalam dunia jaringan Internet. Sebab, apa yang kita anggap aman (secure) pada saat sekarang akan terbukti menjadi tidak aman (insecure) pada masa yang akan datang. Jadi pada prinsipnya Internet security hanyalah sebuah kisah yang tidak akan pernah berakhir (It is just another never-ending story).

Advertisements

Actions

Information

3 responses

1 12 2008
Ryo Churnia

makasih ya kak tentang tutorialnya tentang IDS ne, coz saya juga sedang melakukan penelitian tentang IDS ne. saya anak politeknik unand yang lagi ngerjain tugas akhir. skl thanks banget

22 01 2009
t47a

sama2
senanG bisa bantu ^_^

23 03 2009
teddy

keren..
in right time in right place…
very very helfull..
terima kasih

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s




%d bloggers like this: