KATA
PENGANTAR
Segala puji dan syukur penulis panjatkan ke hadirat Allah
Swt. atas limpahan rahmat dan
karunia-Nya penulis dapat menyelesaikan penyusunan modul ini. Shalawat dan
salam penulis sampaikan untuk junjungan kita Nabi besar Muhammad Saw. Modul Praktikum Keamanan jaringan ini disusun
untuk memenuhi kebutuhan pendidikan dalam kegiatan Praktikum mata kuliah
Keamanan jaringan,
Penulis menyadari
sepenuhnya bahwa modul ini tentu punya banyak kekurangan. Untuk itu penulis
dengan berlapang dada menerima masukan dan kritikan konstruktif dari berbagai
pihak demi kesempurnaannya di masa yang akan datang.
Pelaihari, April 2020
Penulis,
,
KONFIGURASI
IDS DAN IPS
IDS (Intrusion Detection System) adalah
sebuah sistem yang melakukan pengawasan terhadap traffic jaringan dan
pengawasan terhadap kegiatan-kegiatan yang mencurigakan di dalam sebuah sistem
jaringan. IDS akan memberikan peringatan kepada sistem atau administrator jika
menemukan kegiatan-kegiatan yang mencurigakan berhubungan dengan traffic
jaringan. IDS juga merespon terhadap traffic yang tidak normal/ anomali melalui
aksi pemblokiran seorang user atau alamat IP (Internet Protocol).
IDS sendiri muncul
dengan beberapa jenis dan pendekatan yang berbeda yang intinya berfungsi untuk
mendeteksi traffic yang mencurigakan didalam sebuah jaringan. Beberapa jenis
IDS adalah yang berbasis jaringan (NIDS) dan berbasis host (HIDS).
IDS yang bekerja
dengan cara mendeteksi berdasarkan pada pencarian ciri-ciri khusus dari
percobaan yang sering dilakukan. Cara ini hampir sama dengan cara kerja
perangkat lunak antivirus dalam mendeteksi dan melindungi sistem terhadap
ancaman. Kemudian ada juga IDS yang bekerja dengan cara mendeteksi berdasarkan
pada pembandingan pola traffic normal yang ada dan kemudian mencari ketidaknormalan
traffic yang ada. Ada IDS yang fungsinya hanya sebagai pengawas dan pemberi
peringatan ketika terjadi serangan dan ada juga IDS yang bekerja tidak hanya
sebagai pengawas dan pemberi peringatan melainkan juga dapat melakukan sebuah
kegiatan yang merespon adanya percobaan serangan terhadap sistem jaringan dan
komputer.
A. Jenis-jenis IDS
- NIDS (Network Intrusion Detection
System)
IDS jenis ini
ditempatkan disebuah tempat/ titik yang strategis atau sebuah titik didalam
sebuah jaringan untuk melakukan pengawasan terhadap traffic yang menuju dan
berasal dari semua alat-alat (devices) dalam jaringan. Idealnya semua traffic
yang berasal dari luar dan dalam jaringan di lakukan di scan, namun cara ini
dapat menyebabkan bottleneck yang mengganggu kecepatan akses di seluruh
jaringan.
- HIDS (Host Intrusion Detection
System)
IDS jenis ini
berjalan pada host yang berdiri sendiri atau perlengkapan dalam sebuah
jaringan. Sebuah HIDS melakukan pengawasan terhadap paket-paket yang berasal
dari dalam maupun dari luar hanya pada satu alat saja dan kemudian memberi
peringatan kepada user atau administrator sistem jaringan akan adanya
kegiatan-kegiatan yang mencurigakan yang terdeteksi oleh HIDS.
- Signature Based
IDS yang berbasis
pada signature akan melakukan pengawasan terhadap paket-paket dalam jaringan
dan melakukan pembandingan terhadap paket-paket tersebut dengan basis data
signature yang dimiliki oleh sistem IDS ini atau atribut yang dimiliki oleh
percobaan serangan yang pernah diketahui. Cara ini hampir sama dengan cara
kerja aplikasi antivirus dalam melakukan deteksi terhadap malware. Intinya
adalah akan terjadi keterlambatan antara terdeteksinya sebuah serangan di
internet dengan signature yang digunakan untuk melakukan deteksi yang
diimplementasikan didalam basis data IDS yang digunakan. Jadi bisa saja basis
data signature yang digunakan dalam sistem IDS ini tidak mampu mendeteksi
adanya sebuah percobaan serangan terhadap jaringan karena informasi jenis
serangan ini tidak terdapat dalam basis data signature sistem IDS ini. Selama
waktu keterlambatan tersebut sistem IDS tidak dapat mendeteksi adanya jenis
serangan baru.
- Anomaly Based
IDS jenis ini akan
mengawasi traffic dalam jaringan dan melakukan perbandingan traffic yang
terjadi dengan rata-rata traffic yang ada (stabil). Sistem akan melakukan identifikasi apa yang dimaksud dengan
jaringan “normal” dalam jaringan tersebut, berapa banyak bandwidth yang
biasanya digunakan di jaringan tersebut, protolkol apa yang digunakan, port-port
dan alat-alat apa saja yang biasanya saling berhubungan satu sama lain didalam
jaringan tersebut, dan memberi peringatan kepada administrator ketika dideteksi
ada yang tidak normal, atau secara signifikan berbeda dari kebiasaan yang ada.
- Passive IDS
IDS jenis ini
hanya berfungsi sebagai pendeteksi dan pemberi peringatan. Ketika traffic
yang mencurigakan atau membahayakan
terdeteksi oleh IDS maka IDS akan membangkitkan sistem pemberi peringatan yang
dimiliki dan dikirimkan ke administrator atau user dan selanjutnya terserah
kepada administrator apa tindakan yang akan dilakukan terhadap hasil laporan
IDS.
- Reactive IDS
IDS jenis ini
tidak hanya melakukan deteksi terhadap traffic yang mencurigakan dan
membahayakan kemudian memberi peringatan kepada administrator tetapi juga
mengambil tindakan proaktif untuk merespon terhadap serangan yang ada. Biasanya
dengan melakukan pemblokiran terhadap traffic jaringan selanjutnya dari alamat
IP sumber atau user jika alamat IP sumber atau user tersebut mencoba melakukan serangan lagi terhadap sistem
jaringan di waktu selanjutnya.
B. Implementasi IDS
Salah satu contoh
penerapan IDS di dunia nyata adalah dengan menerapkan sistem IDS yang bersifat
open source dan gratis. Contohnya SNORT. Aplikasi Snort tersedia dalam beberapa
macam platform dan sistem operasi termasuk Linux dan Windows. Snort memiliki
banyak pemakai di jaringan karena selain gratis, Snort juga dilengkapi dengan
support system di internet sehingga dapat dilakukan updating signature terhadap
Snort yang ada sehingga dapat melakukan deteksi terhadap jenis serangan terbaru
di internet.IDS tidak dapat bekerja sendiri jika digunakan untuk mengamankan
sebuah jaringan. IDS harus digunakan bersama-sama dengan firewall. Ada garis
batas yang tegas antara firewall dan IDS.
C. Cara Kerja IDS
Ada beberapa cara
bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan
pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa
antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data
yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh
penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan
terhadap basis data signature IDS yang bersangkutan.
Metode selanjutnya
adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based
IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah
serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan
menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau
dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan
dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan
yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya,
adalah jenis ini sering mengeluarkan pesan false positive. Sehingga tugas
administrator menjadi lebih rumit, dengan harus memilah-milah mana yang
merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang
muncul.
Teknik lainnya
yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni
dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem
operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam
HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau
apakah terjadi kejadian yang tidak biasa.
D. Kelebihan dan Kekurangan IDS
a. Kelebihan
1. Dapat
mendeteksi “external hackers” dan serangan jaringan internal.
2. Dapat
disesuaikan dengan mudah dalam menyediakan perlindungan untuk keseluruhan
jaringan.
3. Dapat
dikelola secara terpusat dalam menangani serangan yang tersebar dan
bersama-sama.
4. Menyediakan
pertahanan pada bagian dalam.
5. Menyediakan
layer tambahan untuk perlindungan.
6. IDS
memonitor Internet untuk mendeteksi serangan.
7. IDS
membantu organisasi utnuk mengembangkan dan menerapkan kebijakan keamanan yang
efektif.
8. IDS memungkinkan anggota non-technical untuk
melakukan pengelolaan keamanan menyeluruh.
9. Adanya
pemeriksaan integritas data dan laporan perubahan pada file data.
10. IDS melacak aktivitas pengguna dari saat masuk
hingga saat keluar.
11. IDS
menyederhanakan sistem sumber informasi yang kompleks.
12. IDS
memberikan integritas yang besar bagi infrastruktur keamanan lainnya
b. Kekurangan
1. Lebih
bereaksi pada serangan daripada mencegahnya.
2. Menghasilkan
data yang besar untuk dianalisis.
3. Rentan
terhadap serangan yang “rendah dan lambat”.
4. Tidak
dapat menangani trafik jaringan yang terenkripsi.
5. IDS
hanya melindungi dari karakteristik yang dikenal.
6. IDS
tidak turut bagian dalam kebijakan keamanan yang efektif, karena dia harus
diset terlebih dahulu.
7. IDS
tidak menyediakan penanganan kecelakaan.
8. IDS
tidak mengidentifikasikan asal serangan.
9. IDS
hanya seakurat informasi yang menjadi dasarnya.
10. Network-based
IDS rentan terhadap “overload”.
11. Network-based
IDS dapat menyalah artikan hasil dari transaksi yang mencurigakan.
12. Paket
terfragmantasi dapat bersifat problematis.
E. Contoh Program IDS
1. chkwtmp
Program
chkwtmp
Program yaitu, yang melakukan pengecekan terhadap entry kosong. dalam arti wtmp
mencatat sesuatu tapi isinya kosong.
1. tcplogd
Program
tcplogd
Program yaitu, yang mendeteksi stealth scan. Stealth scan adalah scanning yang
dilakukan tanpa harus membuat sebuah sesi tcp. sebuah koneksi tcp dapat
terbentuk jika klien mengirimkan paket dan server mengirimkan kembali paketnya
dengan urutan tertentu, secara terus menerus sehingga sesi tcp dapat berjalan.
stealth scan memutuskan koneksi tcp sebelum klien menrima kembali jawaban dari
server. scanning model ini biasanya tidak terdeteksi oleh log umum di linux.
2. Hostsentry
Program
Hostsentry
Program yaitu, yang mendeteksi login anomali. anomlai disini termasuk perilaku
aneh (bizzare behaviour), anomali waktu (time anomalies), dan anomali lokal
(local anomalies).
3. Snort
Snort
adalah program IDS yang bekerja pada umumnya pada sistem operasi Linux, namun
banyak pula versi yang dapat digunakan di beragam platform. Snort pada umumnya
merujuk kepada intrusion detection system yang sifatnya lightweight atau ringan
karena diperuntukkan bagi jaringan kecil. Snort sangat fleksibel karena
arsitekturnya yang berbasis rule.
2. Intrusion
Prevention System (IPS)
Intrusion
Prevention System merupakan kombinasi antara fasilitas blocking capabilities
dari Firewall dan kedalaman inspeksi paket data dari Intrusion Detection System
(IDS). IPS diciptakan pada awal tahun 1990-an untuk memecahkan masalah serangan
yang selalu melanda jaringan komputer. IPS membuat akses kontrol dengan cara
melihat konten aplikasi, dari pada melihat IP address atau ports, yang biasanya
dilakukan oleh firewall. IPS komersil pertama dinamakan BlackIce diproduksi
oleh perusahaan NetworkIce, hingga kemudian berubah namanya menjadi
ISS(Internet Security System). Sistem setup IPS sama dengan sistem setup IDS.
IPS mampu mencegah serangan yang datang dengan bantuan administrator secara
minimal atau bahkan tidak sama sekali. Secara logic IPS akan menghalangi suatu
serangan sebelum terjadi eksekusi dalam memori, selain itu IPS membandingkan
file checksum yang tidak semestinya mendapatkan izin untuk dieksekusi dan juga
bisa menginterupsi sistem call.
A. Jenis-jenis IPS
1.
Host-based Intrusion Prevention System
Host Based IPS
(HIPS) bekerja dengan memaksa sekelompok perangkat lunak fundamental untuk
berkovensi secara konstan. Hal ini disebut dengan Application Binary Interface
(ABI). Hampir tidak mungkin untuk membajak sebuah aplikasi tanpa memodifikasi
Application Binary Interface, karena konvensi ini bersifat universal di antara
aplikasi-aplikasi yang dimodifikasi. HIPS merupakan sebuah system pecegahan yang
terdiri dari banyak layer, menggunakan packet filtering, inspeksi status dan
metode pencegahan intrusi yang bersifat real-time untuk menjaga host berada di
bawah keadaan dari efisiensi performansi yang layak. Mekanisme kerjanya yaitu
dengan mencegah kode-kode berbahaya yang memasuki host agar tidak dieksekusi
tanpa perlu untuk mengecek threat signature.
2. Network Intrusion Prevention
System
Network Based IPS
(NIPS), yang juga disebut sebagai “In-line proactive protection”, menahan semua
trafik jaringan dan menginspeksi kelakuan dan kode yang mencurigakan. Karena
menggunakan in-line model, performansi tinggi merupakan sebuah elemen krusial
dari perangkat IPS untuk mencegah terjadinya bottleneck pada jaringan. Oleh
karena itu, NIPS biasanya didesain menggunakan tiga komponen untuk
mengakselerasi performansi bandwidth, yaitu :
Network Chips (Network processor)
FPGA Chips
ASIC Chips
Network Based IPS
(NIPS) biasanya dibangun dengan tujuan tertentu, sama halnya dengan switch dan
router. Beberapa teknologi sudah diterapkan pada NIPS, seperti signature
matching, analisa protocol dan kelainan pada protocol, identifikasi dari pola
trafik, dan sebagainya. NIPS dibuat untuk menganalisa, mendeteksi, dan
melaporkan seluruh arus data dan disetting dengan konfigurasi kebijakan
keamanan NIPS, sehingga segala serangan yang datang dapat langsung terdeteksi.
Kebijakan keamanan NIPS sendiri terdiri dari:
1. Content
based Intrusion Prevention System, yang bertugas mengawasi isi dari paket-paket
yang berlalu lalang dan mencari urutan yang unik dari paket-paket tersebut,
berisi virus worm, trojan horse,dll.
2. Rate
based Intrusion Prevention System, bertugas mencegah dengan cara memonitor
melalui arus lalu lintas jaringan dan dibandingkan dengan data statistic yang
tersimpan dalam database.
Apabila RBIPS mengenali paket-paket
yang tidak jelas, maka langsung mengkarantina paket tersebut.
Baik host based
maupun network IPS memiliki kelebihan dan kekurangannya masing-masing. HIPS
dapat mengatasi semua jenis jaringan yang terenkripsi dan dapat menganalisa
semua kode, sedangkat NIPS tidak menggunakan prosesor dan memori di client
maupun host. NIPS tidak selalu bagus, kadang bisa gagal dalam mendeteksi
serangan, kadang bisa langsung mendeteksi serangan. Keuntungan NIPS adalah
administrasinya yang gampang.
B. Cara Kerja IPS
Firewall merupakan
sebuah system yang menerapkan sebuah kebijakan kontrol akses yang memeriksa
trafik data yang lalu lalang dan memblok paket data yang tidak sesuai dengan
kebijakan keamanan. Sebuah Intrusion Detection System (IDS) memonitor
performansi system atau jaringan, mencari pola tingkah laku yang tidak sesuai
dengan kebijakan keamanan atau tanda-tanda serangan yang dapat dikenali, dan
kemudian jika ditemukan maka IDS akan memicu alarm. Di sini, firewall akan menolak
serangan yang sudah pasti/jelas, sementara trafik yang mencurigakan akan
dibiarkan lewat. Di sisi lain, IDS memonitor semua data di dalam jaringan,
memberitahukan administrator jaringan akan adanya serangan pada saat serangan
mulai ‘hidup’ dan berada di dalam jaringan. Dengan kata lain, baik IDS maupun
firewall tidak mampu memblokir serangan ketika intrusi benar-benar telah
terjadi Lebih jauh lagi, IPS sebenarnya lebih dari sekedar IDS + firewall. IPS
didesain sebagai sebuah embedded system yang membuat banyak filter untuk
mencegah bermacam-macam serangan seperti hacker, worm, virus, Denial of Service
(DoS) dan trafik berbahaya lainnya, agar jaringan enterprise tidak menderita
banyak kerugian bahkan ketika security patch terbaru belum diterapkan. Pembangunan
IPS didasarkan pada sebuah modul “in-line”: data melewati perangkat IPS dari
satu ujung dari kanal data tunggal, hanya data yang sudah dicek dan divalidasi
oleh mesin IPS yang diperbolehkan untuk lewat menuju ujung lain dari kanal
data. Pada scenario ini, paket yang mengandung tanda-tanda serangan pada paket
asalnya akan dibersihkan dari jaringan.
Penggunaan
multiple filter pada IPS membuatnya secara signifikan lebih efektif ketika
menginspeksi, mengidentifikasi dan memblokir serangan berdasarkan urutan waktu.
IPS membuat filter baru ketika sebuah metode serangan baru diidentifikasi.
Mesin inspeksi paket data IPS normalnya terdiri dari integrated circuit yang
didesain untuk inspeksi data mendalam. Setiap serangan yang mencoba
mengeksploitasi kelemahan dari layer 2 sampai layer 7 OSI akan difilter oleh
mesin IPS yang mana, secara tradisional, kemampuan firewall hanya terbatas
sampai modul 3 atau 4 saja. Teknologi packet-filter dari firewall tradisional
tidak menerapkan inspeksi untuk setiap byte dari segmen data yang bermakna
tidak semua serangan dapat diidentifikasikan olehnya.
Secara kontras,
IPS mampu melakukan inspeksi tersebut dan semua paket data diklasifikasikan dan
dikirim ke filter yang sesuai menurut informasi header yang ditemukan di segmen
data, seperti alamat asal, alamat tujuan, port, data field dan sebagainya.
Setiap filter bertanggung jawab untuk menganalisis paket-paket yang berkaitan,
dan yang mengandung tanda-tanda membahayakan akan didrop dan jika dinyatakan
tidak berbahaya akan dibiarkan lewat. Paket yang belum jelas akan diinspeksi
lebih lanjut. Untuk setiap tipe serangan berbeda, IPS membutuhkan sebuah filter
yang bersesuaian dengan aturan filtering yang sudah ditentukan sebelumnya.
Aturan-aturan ini mempunyai definisi luas untuk tujuan akurasi, atau memastikan
bahwa sebisa mungkin jangkauan aktifitas yang luas dapat terenkapsulasi di
dalam sebuah definisi. Ketika mengklasifikasikan sebuah aliran data, mesin
filter akan mengacu pada informasi segmen paket, menganalisa konteks dari field
tertentu dengan tujuan untuk mengimprovisasi akurasi dari proses filtering.
