Cara Kerja Sistem Pendeteksi dan Penahanan Serangan ke Jaringan | Desain Keamanan Jaringan - Mas Fadli

Saturday, 8 December 2018

Cara Kerja Sistem Pendeteksi dan Penahanan Serangan ke Jaringan | Desain Keamanan Jaringan


A. Instrusion Detection System
IDS (Intrusion Detection System) adalah sebuah sistem yang melakukan pengawasan terhadap traffic jaringan dan pengawasan terhadap kegiatan-kegiatan yang mencurigakan didalam sebuah sistem jaringan. Jika ditemukan kegiatankegiatan yang mencurigakan berhubungan dengan traffic jaringan maka IDS akan memberikan peringatan kepada sistem atau administrator jaringan. Dalam banyak kasus IDS juga merespon terhadap traffic yang tidak normal/ anomali melalui aksi pemblokiran seorang user atau alamat IP (Internet Protocol) sumber dari usaha pengaksesan jaringan.
IDS sendiri muncul dengan beberapa jenis dan pendekatan yang berbeda yang intinya berfungsi untuk mendeteksi traffic yang mencurigakan didalam sebuah jaringan. Beberapa jenis IDS adalah : yang berbasis jaringan (NIDS) dan berbasis host (HIDS). Ada IDS yang bekerja dengan cara mendeteksi berdasarkan pada pencarian ciri-ciri khusus dari percobaan yang sering dilakukan. Cara ini hampir sama dengan cara kerja perangkat lunak antivirus dalam mendeteksi dan melindungi sistem terhadap ancaman. Kemudian ada juga IDS yang bekerja dengan cara mendeteksi berdasarkan pada pembandingan pola traffic normal yang ada dan kemudian mencari ketidaknormalan traffic yang ada. Ada IDS yang fungsinya hanya sebagai pengawas dan pemberi peringatan ketika terjadi serangan dan ada juga IDS yang bekerja tidak hanya sebagai pengawas dan pemberi peringatan melainkan juga dapat melakukan sebuah kegiatan yang merespon adanya percobaan serangan terhadap sistem jaringan dan komputer.

Intrution Detection System atau IDS adalah perangkat (atau aplikasi) yang memonitor jaringan dan / atau sistem untuk kegiatan berbahaya atau pelanggaran kebijakan dan memberikan laporan ke administrator atau station manajemen jaringan. Pencegahan intrusi / pemyusupkan adalah proses melakukan deteksi intrusi dan mencoba untuk menghentikan insiden yang mungkin terdeteksi. Intrusion Detection and Prevention System IDPS atau Sistem pendeteksi intrusi dan pencegahanterutama difokuskan pada identifikasi kemungkinan insiden, mencatat informasi tentang insiden tersebut, mencoba untuk menghentikan mereka, dan melaporkan mereka ke administrator keamanan. Selain itu, organisasi dapat menggunakan IDPS untuk keperluan lain, seperti mengidentifikasi masalah dengan kebijakan keamanan, mendokumentasikan ancaman yang ada, dan menghalangi orang dari melanggar kebijakan keamanan. IDPS telah menjadi tambahan yang diperlukan untuk infrastruktur keamanan hampir setiap organisasi.
IDPS biasanya mencatat informasi yang berkaitan dengan peristiwa yang diamati, memberitahu administrator keamanan penting peristiwa yang diamati, dan menghasilkan laporan. Banyak IDPS juga dapat menanggapi ancaman yang terdeteksi dengan mencoba untuk mencegah berhasil. Mereka menggunakan beberapa teknik respon, yang melibatkan IDPS menghentikan serangan itu sendiri, mengubah lingkungan keamanan (misalnya, konfigurasi ulang firewall), atau mengubah konten serangan ini.[ CITATION TKJ18 \l 1033 ]

  • NIDS (Network Intrusion Detection System)
IDS berbasis jaringan ini akan ditempatkan pada suatu titik strategis dalam jaringan untuk melakukan pengawasan jalur lintasan traffic dan menganalisis apakah ada percobaan penyerangan atau penyusupan ke dalam sistem jaringan.
  • HIDS (Host Intrusion Detection System)
IDS jenis ini akan menganalisis aktivitas sebuah host jaringan individual apakah terdapat percobaan penyerangan atau pengusupan ke dalam jaringan dan melakukan pengawasan terhadap paket-paket yang berasal dari dalam maupun luar hanya pada satu alat saja dan kemudian memberikan peringatan terhadap sistem atau administrator jaringan.[ CITATION Adm18 \l 1033 ]

Implementasi dan cara kerja :
  1. Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan.
  2. Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.
  3. Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak biasa. [ CITATION Adm121 \l 1033 ]
B. Intrusion Prevention System
Intrusion Prevention System (IPS) adalah sebuah aplikasi yang bekerja untuk monitoring traffic jaringan, mendeteksi aktivitas yang mencurigakan, dan melakukan pencegahan dini terhadap intrusi atau kejadian yang dapat membuat jaringan menjadi berjalan tidak seperti sebagaimana mestinya. Bisa jadi karena adanya serangan dari luar, dan sebagainya.
Produk IPS sendiri dapat berupa perangkat keras (hardware) atau perangkat lunak (software).Secara umum, ada dua jenis IPS, yaitu Host-based Intrusion Prevention System (HIPS) dan Network-based Intrusion Prevention System (NIPS). [ CITATION rah10 \l 1033 ]

Secara umum, ada dua jenis IPS, yaitu:
1. Host-based Intrusion Prevention System (HIPS)
HIPS merupakan sebuah system pecegahan yang terdiri dari banyak layer, menggunakan packet filtering, inspeksi status dan metode pencegahan intrusi yang bersifat real-time untuk menjaga host berada di bawah keadaan dari efisiensi performansi yang layak. Mekanisme kerjanya yaitu dengan mencegah kode-kode berbahaya yang memasuki host agar tidak dieksekusi tanpa perlu untuk mengecek threat signature.

Program agent HIPS diinstall secara langsung di sistem yang diproteksi untuk dimonitor aktifitas sistem internalnya. HIPS di binding dengan kernel sistem operasi dan services sistem operasi. Sehingga HIPS bisa memantau dan menghadang system call yang dicurigai dalam rangka mencegah terjadinya intrusi terhadap host. HIPS juga bisa memantau aliran data dan aktivitas pada aplikasi tertentu. Sebagai contoh HIPS untuk mencegah intrusion pada webserver misalnya. Dari sisi security mungkin solusi 

2. Network-based Intrusion Prevention System (NIPS)
Network Based IPS (NIPS) atau In-line proactive protection dapat menahan semua trafik jaringan dan menginspeksi kelakuan dan kode yang mencurigakan. Karena menggunakan in-line model, performansi tinggi merupakan sebuah elemen krusial dari perangkat IPS untuk mencegah terjadinya bottleneck pada jaringan. Oleh karena itu, NIPS biasanya didesain menggunakan tiga komponen untuk mengakselerasi performansi bandwidth. Network-based Intrusion Prevention System (NIPS) tidak melakukan pantauan secara khusus di satu host saja. Tetapi melakukan pantauan dan proteksi dalam satu jaringan secara global. NIPS menggabungkan fitur IPS dengan firewall dan kadang disebut sebagai In-Line IDS atau Gateway Intrusion Detection System (GIDS). [CITATION eta14 \l 1033 ]

Formula yang umum digunakan untuk mendefinisikan IPS adalah: IPS = IDS + Firewall.
Penjelasan :

Firewall merupakan sebuah system yang menerapkan sebuah kebijakan kontrol akses yang memeriksa trafik data yang lalu lalang dan memblok paket data yang tidak sesuai dengan kebijakan keamanan. Sebuah Intrusion Detection System (IDS) memonitor performansi system atau jaringan, mencari pola tingkah laku yang tidak sesuai dengan kebijakan keamanan atau tanda-tanda serangan yang dapat dikenali, dan kemudian jika ditemukan maka IDS akan memicu alarm. Di sini, firewall akan menolak serangan yang sudah pasti/jelas, sementara trafik yang mencurigakan akan dibiarkan lewat. Di sisi lain, IDS memonitor semua data di dalam jaringan, memberitahukan administrator jaringan akan adanya serangan pada saat serangan mulai ‘hidup’ dan berada di dalam jaringan. Dengan kata lain, baik IDS maupun firewall tidak mampu memblokir serangan ketika intrusi benar-benar telah terjadi.

Lebih jauh lagi, IPS sebenarnya lebih dari sekedar IDS + firewall. IPS didesain sebagai sebuah embedded system yang membuat banyak filter untuk mencegah bermacam-macam serangan seperti hacker, worm, virus, Denial of Service (DoS) dan trafik berbahaya lainnya, agar jaringan enterprise tidak menderita banyak kerugian bahkan ketika security patch terbaru belum diterapkan. Pembangunan IPS didasarkan pada sebuah modul “in-line”: data melewati perangkat IPS dari satu ujung dari kanal data tunggal, hanya data yang sudah dicek dan divalidasi oleh mesin IPS yang diperbolehkan untuk lewat menuju ujung lain dari kanal data. Pada scenario ini, paket yang mengandung tanda-tanda serangan pada paket asalnya akan dibersihkan dari jaringan.

Penggunaan multiple filter pada IPS membuatnya secara signifikan lebih efektif ketika menginspeksi, mengidentifikasi dan memblokir serangan berdasarkan urutan waktu. IPS membuat filter baru ketika sebuah metode serangan baru diidentifikasi. Mesin inspeksi paket data IPS normalnya terdiri dari integrated circuit yang didesain untuk inspeksi data mendalam. Setiap serangan yang mencoba mengeksploitasi kelemahan dari layer 2 sampai layer 7 OSI akan difilter oleh mesin IPS yang mana, secara tradisional, kemampuan firewall hanya terbatas sampai modul 3 atau 4 saja. Teknologi packet-filter dari firewall tradisional tidak menerapkan inspeksi untuk setiap byte dari segmen data yang bermakna tidak semua serangan dapat diidentifikasikan olehnya. Secara kontras, IPS mampu melakukan inspeksi tersebut dan semua paket data diklasifikasikan dan dikirim ke filter yang sesuai menurut informasi header yang ditemukan di segmen data, seperti alamat asal, alamat tujuan, port, data field dan sebagainya. Setiap filter bertanggung jawab untuk menganalisis paket-paket yang berkaitan, dan yang mengandung tanda-tanda membahayakan akan didrop dan jika dinyatakan tidak berbahaya akan dibiarkan lewat. Paket yang belum jelas akan diinspeksi lebih lanjut. Untuk setiap tipe serangan berbeda, IPS membutuhkan sebuah filter yang bersesuaian dengan aturan filtering yang sudah ditentukan sebelumnya. Aturan-aturan ini mempunyai definisi luas untuk tujuan akurasi, atau memastikan bahwa sebisa mungkin jangkauan aktifitas yang luas dapat terenkapsulasi di dalam sebuah definisi. Ketika mengklasifikasikan sebuah aliran data, mesin filter akan mengacu pada informasi segmen paket, menganalisa konteks dari field tertentu dengan tujuan untuk mengimprovisasi akurasi dari proses filtering. [ CITATION Den17 \l 1033 ]
 
C. Managed Authentification
Perangkat yang mampu memonitor otentikasi yang memastikan identitas pemakai diperbolehkan untuk mengakses system atau aplikasi yang akan digunakan. [ CITATION muh16 \l 1033 ]

D. Managed Antivirus Protection
Perusahaan yang memilih untuk mengintegrasikan solusi antivirus yang dikelola umumnya
melihat lima manfaat utama.

  1. Semua sistem akan memiliki tingkat keamanan yang sama - Dengan layanan yang dikelola, mitra TI Anda akan memastikan untuk menginstal perangkat lunak pada semua sistem Anda. Ini berarti bahwa harus ada program yang diinstal pada system Anda, dan bahwa antivirus akan diperbarui untuk memastikan bahwa system terlindung dari ancaman keamanan baru yang datang.
  2. Lebih mudah untuk mengelola - Mengelola solusi antivirus Anda dapat menjadi tugas yang sulit, terutama di perusahaan besar di mana solusi yang berbeda mungkin perlu  digunakan. Dengan bekerja sama dengan mitra TI, solusi antivirus Anda dikelola oleh pakar teknologi. Ini adalah solusi hebat bagi pemilik bisnis yang tidak terlalu akrab dengan teknologi, atau departemen TI yang terlalu banyak bekerja.
  3. Solusinya bisa murah - Sebagian besar solusi antivirus yang dikelola ditawarkan sebagai paket bulanan, di mana perusahaan membayar per pengguna. Untuk beberapa perusahaan, solusi ini lebih terjangkau per pengguna daripada solusi non-dikelola. Ini terutama bena jika Anda memiliki banyak pengguna dan perlu membeli beberapa lisensi.
  4. Manajemen berkelanjutan - Dengan solusi yang tidak dikelola, banyak pengguna mematikan perlindungan antivirus karena dapat memperlambat komputer mereka atau karena mereka percaya kebiasaan penggunaan mereka tidak mengorbankan keamanan. Solusi antivirus yang dikelola biasanya tidak dapat dicopot atau dimatikan, artinya sistem Anda terus dilindungi.
  5. Sistem Anda benar-benar dilindungi - Terlepas dari seberapa aman sistem Anda dan langkah-langkah yang Anda ambil untuk memastikan bahwa malware tidak berhasil, kemungkinan Anda pada akhirnya akan terinfeksi. Ketika Anda, mungkin sulit untuk benar-benar menghapus virus. Mitra TI dilatih tentang cara melakukan ini dengan cepat dan efisien dan biasanya dapat menghapus virus sepenuhnya, memastikan bahwa sistem Anda benar-benar aman [ CITATION Edi14 \l 1033 ]

E. Content Filterint
Penyaringan konten perangkat lunak serta akses terhadap website yang aman oleh pengguna merupakan penggambaran perangkat lunak yang dirancang untuk membatasi atau mengontrol isi dari website yang diakses oleh pengguna, dan juga ketika membatasi bahan yang disampaikan melalui internet via web, e-mail, atau cara lain.

Kendali konten perangkat lunak nantinya akan menentukan konten apa saja yang tersedia maupun konten-konten yang tidak boleh diakses atau diblokir. Pembatasan tersebut dapat diterapkan di berbagai tingkatan: perorangan, kelompok, sekolah (pendidikan), organisasi, maupun pada penyedia jasa layanan internet (Internet Service Provider). [ CITATION muh16 \l 1033 ]


DAFTAR PUSAKA


Admin. (2012, Mei Senin). Pengertian tentang IDS DAN IPS DALAM KEAMANAN JARINGAN. Retrieved from Goresan Ringan: https://sived.wordpress.com/2012/05/12/mengenal-ids-dan-ips-dalam-keamanan-jaringan/
Admin. (2018, Februari Senin). PENGERTIAN IDS SECURITY, JENIS, DAN CARA KERJANYA. Retrieved from IMMERSA LAB: http://www.immersa-lab.com/pengertian-ids-jenis-dan-cara-kerjanya.htm
Binsar, D. (2017, Juni Senin). Apa itu IDS dan IPS dalam keamanan jaringan. Retrieved from Lembaga Sandi Negara: http://top-bing.blogspot.com/2010/06/apa-itu-ids-dan-ips-dalam-keamanan_07.html
Editor. (2014, Januari Senin). Editor Manged Antivirus. Retrieved from Techadvisory: https://www.google.co.id/search?safe=strict&ei=poyMWvGKcfTvgSz_JCwAg&q=Managed+Antivirus+Protection&oq=Managed+Antivirus+Protection&gs_l
etana. (2014, Maret Senin). Pengertian IPS (Intrusion Prevention System) dalam Keamanan Jaringan. Retrieved from ETAKNOWLOGY: http://etaknowlogy.blogspot.com/2014/03/pengertian-ips-intrusion-prevention.html
Marthdanic, S. D. (2012, Februari Senin). Jenis - Jenis IDS (Intrusion Detection System). Retrieved from †Satrio's Blog†: http://54tr10.blogspot.com/2012/02/jenis-jenis-ids-intrusion-detection.html
masum, m. (2016, November Senin). SISTEM PENDETEKSI KEAMANAN JARINGAN. Retrieved from MAMBOLKU: https://mambolku.blogspot.com/2016/11/sistem-pendeteksi-keamanan-jaringan.html
rahedy. (2010, Juni Senin). APAKAH INTRUSION PREVENTION SYSTEM (IPS) ??? Retrieved from ngurah edy's Blog: https://rahedy.wordpress.com/2010/06/24/apakah-itrusion-prevention-system-ips/
TKJ. (2018, Januari 2018). Cara kerja Sistem Pendeteksi dan Penahan Serangan ke Jaringan (Instrusion Detection System (IDS) ). Retrieved from Bahan Ajar Teknik Komputer dan Informatika (TEKI): http://edukasiteki.blogspot.com/2018/01/cara-kerja-sistem-pendeteksi-dan.html

Share with your friends

Give us your opinion

Notification
This is just an example, you can fill it later with your own note.
Done