Pendahuluan
Sistem Keamanan Komputer, dalam beberapa tahun ini
telah menjadi fokus utama dalam dunia Jaringan Komputer, hal ini disebabkan
tingginya ancaman yang mencurigakan (suspicious threat) dan serangan
dari Internet. Keamanan Komputer (Security) merupakan salah satu kunci yang
dapat mempengaruhi tingkat Reliability (termasuk performance dan availability)
suatu internetwork,dalam penelitian tersebut banyak menceritakan tentang apa
saja faktor-faktor yang mempengaruhi faktor Reliability.
Jika kita lihat dan beranjak dari data CSI/FBI
survey , saat ini telah banyak perusahaan yang membelanjakan uangnya untuk
terhindar dari masalah keamanan ini dan sementara itu juga untuk mengamankan
sistemnya, banyak perusahaan tersebut telah menggunakan system
dengan
mengkombinasikan beberapa teknologi system keamanan, dimana hampir 69%nya
menggunakan solusi dari Intrusion Prevention System (IPS).
Pembahasan
Intrusion Prevention System (IPS), adalah
pendekatan yang sering digunakan untuk membangun system keamanan komputer, IPS
mengkombinasikan teknik firewall dan metode Intrusion Detection System (IDS)
dengan sangat baik. Teknologi ini dapat digunakan untuk mencegah serangan yang
akan masuk ke jaringan lokal dengan memeriksa dan mencatat semua paket data
serta mengenali paket dengan sensor, disaat attack telah teridentifikasi, IPS
akan menolak akses (block) dan mencatat (log) semua paket data
yang teridentifikasi tersebut. Jadi IPS bertindak sepeti layaknya Firewall yang
akan melakukan allow dan block yang dikombinasikan seperti IDS yang dapat
mendeteksi paket secara detail.
IPS menggunakan signatures untuk
mendeteksi di aktivitas traffic di jaringan dan terminal, dimana pendeteksian
paket yang masuk dan keluar (inbound-outbound) dapat di cegah sedini mungkin
sebelum merusak atau mendapatkan akses ke dalam jaringan lokal. Jadi early
detection dan prevention menjadi penekanan pada IPS ini.
Sampai
saat ini IPS telah menjadi “the new brand” bagi para vendor, mereka
berlomba-lomba untuk membuat solusi IPS, namun sangat disayangkan kebanyakan
produk tersebut bersifat “proprietary” dan sangat susah untuk di kombinasikan
dengan perangkat yang existing dipakai. Banyak peneliti yang terfokus pada
signatures, baik disisi algorithma yang digunakan, permodelan dan pemecahan
lainnya.
Sebut saja vendor terkenal (cisco.com, bluecoat.com,
juniper.net, astaro.com) yang memberikanbanyak sekali solusi untuk IPS ini
dengan “brand” yang berbeda-beda. Secara umum, ada dua pendekatan yang dapat
digunakan untuk mendeteksi ancaman attack ini, Host-based approach,
Network-based approach, dimana Host-based approach :
teknologi terkini yang dipakai dan sangat popular, dapat melakukan mengecekan
untuk aktiitas yang mencurigakan langsung dari host computer tersebut di level
operating systemnya, dan Network-based approach : sangat terfokus
pada network-based, dengan gabungan komponen keamanan lainnya dapat menjadi
solusi yang menyeluruh pada system keamanan.
Namun implementasi IPS pada jaringan internetwork
sangat dipengaruhi oleh beberapa faktor lainnya. Faktor teknis menjadi kendala
utama dalam implementasi ini, karena IPS adalah salah satu bagian dalam system
keamanan yang dibangun, hendaknya memperhatikan isu-isu yang ada dalam jaringan
computer. Dalam tulisan ini, mencoba menjabarkan secara umum apa saja
faktor-faktor utama yang menjadi kendala utama dalam imlementasi teknologi ini,
serta solusi yang dapat dilakukan sebagai pemecahannya.
Ada
perbedaan yang mendasar antara Intrusion Detection System (IDS) dan IPS,
pada tabel 1 dibawah ini dijelaskan tentang perbedaan tersebut,
IDS
|
IPS
|
|
OSI
Layer
|
Layer
3
|
Layer
2, 3 dan 7
|
Kegunaan
|
IDS
didesign hanya untuk
mengidentifikasi
dan memeriksa semua paket yang lewat, jika ditemukan keganjilan maka akan
memtrigger alarm.
|
Mengkombinasikan
Firewall, Policy, QoS dan IDS dengan baik. IPS memang dibuat
untuk
dapat mentrigger alarm dan melakukan Allow, Block, Log.
|
Aktivitas
|
Mendeteksi
serangan hanya disaat
serangan
tersebut telah masuk ke
jaringan
dan tidak akan melakukan
sesuatu
untuk menghentikannya.
|
Early
Detection, teknik yang proaktif, mencegah sedini mungkin attack masuk Kejaringan,
dan akan menghentikannya jika teridentifikasi.
|
Komponen
|
Tidak
dapat mendeteksi semua aktivitas malicious dan malware setiap saat yang akan
mengakibatkan false negative sangat banyak.
|
Memungkinkan
dapat mendeteksi new signature dan behavior attack, dan mengakibatkan
rendahnya false negative.
|
Integrated
|
Tidak
dapat menggunakan ACL / script
dari
komponen system keamanan yang
lain.
|
Dapat
diintegrasikan dengan ACL dan perimeter DMZ lainnya.
|
Signature
dan Sensor
Signature adalah salah satu faktor yang mempengaruhi
IPS, menurut dalam penelitiannya yang dikutip banyak pneliti lainnya, dikatakan
signature dapat dibagi menjadi, signature
types, signature trigger, and signature actions. Signature
telah menjadi perhatikan para peneliti di area IPS, karena akan sangat
mempengaruhi sensor yang akan bertugas untuk mengenali, mengidentifikasi semua
pola paket yang masuk dan keluar jaringan. Ada tiga mekanisme trigger yang
biasa digunakan, yaitu pattern
prevention, anomalybased prevention, behavior-based prevention .
Model yang digunakan telah ada yang dikembangkan
oleh peneliti sebelumnya, seperti yang
menggunakan metode Wavelet, menpersentasikan suatu teknik dengan Hidden
Markov Model (HMM) untuk model sensornya, dan menggunakan model algoritma
Incremental-learning, serta menggunakan algorithma pattern-matching
dan algoritma Artificial Immune.
Dalam
Implementasi IPS, terdapat beberapa isu permasalahan, didalam bab ini akan
dijabarkan isu permasalahan tersebut.
Gambar
1. Contoh topology yang mengambarkan permasalahan isu utama dalam implementasi
IPS,lihat dari gambar tersebut dengan penomeran (1) akurasi signature, (2)
volume traffic, (3) topology penempatan sensor, (4) penggunaan quota log, (5)
proteksi mesin IPS, (6) sensor monitoring, (7) kolaborasi U.T.M
1.Akurasi
Signature
Keakurasian signature sangat ditentukan oleh sensor
dan update informasi yang ada, dimana sensor membuat alert, disuatu kondisi
mentrigger alarm dari sensor (valid atau tidak), jika tidak valid terdeteksi
bisa juga sangat memungkinkan sebagai serangan. Ada empat alert yang dibuat
oleh sensor, seperti (i) True Negative (TN) : dimana pada kondisi traffic
normal dan tidak ada alarm yang dibangkitkan, (ii) True Positive (TP) akan
mentrigger alarm jika ditemukan kecocokan yang diidentifikasi sebagai serangan,
(iii) False Negative (FN) akan tetap diam dengan tidak memberikan alarm
walaupun attack telah masuk dan menyerang, dan (iv) False Positive (FP) membuat
alert pada kondisi aktivitas traffic normal, fokus utama banyak peneliti adalah
pada bagaimana untuk mengurangi alert FP ini. IPS seperti memiliki hidung dan
mata untuk mengidentifikasi semua data paket inbound-outbound. Penempatan yang
tepat perangkat Host-based dan Network-based akan sangat mempengaruhi
keakuratan dari sensor. ada tiga macam pola pengenalan dari signature :
1.
Pattern-based Prevention : untuk mengenali pattern secara spesifik, yang
biasanya direpresentasikan dengan sebuah text atau binary string. Pola ini
membuat mekanisme seperti: Pattern Detection regex, dan Deobfuscation
techniques.
2.
Anomaly-based Prevention : kita harus membuat profile untuk mendefinisikan
dengan jelas bagaiaman digolongka sebagai aktivitas normal dan sebaliknya,
kelebihan model ini adalah dapat mengenali pola-pola baru walaupun belum
dideklasikan di signature database.
3.
Behavior-based Prevention, model ini hampi sama dengan pattern
prevention, namun behavior menjelaskan dengan tegas activity user dalam
kelas-kelas untuk mengenali malicious threat. Pada model ini dibutuhkan
penjabaran kebiasaan dari aktivitas user di jaringan tersebut.
2.Volume Traffic
Permasalah kedua di IPS adalah volume traffic.
Dimana sangat dipengaruhi dari perangkat yang digunakan. Hal ini akan meningkat
dengan tingginya traffic jaringan yang akan dipantau, yang akan mempengaruhi
performance secara keseluruhan. Dibutuhkan klarifikasi jumlah paket traffic yang
digunakan. Jumlah keseluruhan traffic didapat dari jumlah segment jaringan dan
jumlah sensor yang ditempatkan. Penggunaan Fast Eth dan Gigabit Eth akan
mempengaruhi dari faktor ini. Hubungannya adalah akan mempengaruhi kinerja
jaringan secara keseluruhan. Hal ini penting karena setiap node jaringan dapat
membuat permasalahan, termasuk kesalahan hardware, laporan kesalahan sistem
operasi, perangkat jaringan akan menghasilkan broadcast yang memerlukan
bandwidth.
3. Topology Penempatan Sensor
Dalam sesi ini, harus diidentifikasi akses yang akan
dibuat, misalnya akses juga akan diberikan ke mitra bisnis, dan koneksi dapat
di lakukan telecommutes secara mobile. Tujuannya adalah untuk menentukan model
aksesnya, terdapat dua akses, yaitu akses outside dan inside. Akses outside
langsung terhubung ke Internet, sedangkan inside adalah sisi jaringan yang
terpecaya. Sedangkan DMZ adalah dari sisi perimeter demiliterisasi zone, untuk
mengidentifikasi dan memonitoring server farm. Terdapat dua faktor yang akan
mempengaruhi dalam isu ini, penempatan sensor, dan jumlah sensor yang akan digunakan.
Kejelian dalam menentukan dua faktor ini akan
meningkatkan akurasi dalam pengenalan pola serangan yang akan dilakukan.
Penempatan disisi outside akan memonitor dan mengidentifikasi paket yang akan
masuk dan keluar, sedangkan penempatan di sisi inside misalnya di core,
distribution atau access akan mempengaruhi keakuratan yang dimonitor, karena
sifar sensor ini hanya akan mengidentifikasi paket yang lewat di interfacenya.
4.Pengguna kuota log
Semua system logs disimpan pada peralatan yang aman,
model dengan menggunakan redundancy ditawarkan dengan jaminan high reliability
yang tinggi. Namun tidak menjelaskan secara detail secara teknis bagaiman
konfigurasi secara teknis dan peralatan yang digunakan. Hal ini berkaitan
dengan berapa besar penggunaan media storages yang akan digunakan, dalam
pantauan yang dilakukan dalam jaringan sesungguhnya yang dilakukan, pada percobaan
yang dilakukan, didapat log sebesar 150 MBps di traffic jaringan dengan
bandwidth ke internasional 135 Mbps. Sedankan pengambilan data hanya data
transaction (IP Add dan Mac Add) bukan dataset secara utuh. Pada isu
permasalahan ini, ada banyak sekali log file yang didapat dari logging system,
seperti transaksi data log, log data attack, log data traffic, log record insiden,
log notofikasi insden, log laporan kegagalan, dan sebagainya yang memerlukan
media storage yang besar.
5.Proteksi Mesin IPS
Ada beberapa statement dan kesimpulan dimana membuat intrusion
prevention dengan berbasis SNMP untuk mengintegrasikan dnegan system pertahanan
yang lain, sedangkan mengatakan
implementasi load balancing dengan menggunakan libcap library dengan teknik
clustering. Namun sangat disayangkan, tidak ada yang membahas tentang bagaimana
menjaga mesin IPS dari serangan yang mungkin akan dilakukan penyerang. Dalam
pengamatan sangat dimungkinkan penyerang akan menyerang IPS. Dari sisi
penyerang hacker akan melakukan serangan pada mesin target dengan berbagai cara
dan mekanisme, dimana serangan akan direncanakan dengan baik. Ada beberapa
tahapan secara umum seperti : probe, scan, intrusion dan goal. Menurut
pengamatan yang dilakukan terdapat banyak cara penyerang untuk mencari
kelemahan, langkah scanning yang sering dilakukan untuk mencari titik kelemahan
tersebut, baik yang hanya sekedar mengumpulkan informasi seperti IP Address,
skema diagram, aplikasi yang dijalankan, model firewall yang diintegrasikan
sampai dengan mencari celah user dan password.
6.Sensor Monitoring
Sensor merupakan bagian kritikal di IPS, namun
sangat disayangkan, capacity sensor ini sangat dibatasi oleh jumlah dari trafik
jaringan, penempatan sensor, dan penggunaan system (apakah hardware atau
berbasis module), karenanya solusi SPAN (Switched Port Analyzer) dapat
digunakan untuk mengidentifikasi dan mengenali paket-paket tersebut Dalam
penelitian sebelumnya, dikatakan untuk mengintegrasikan dan mencakup
infrastruktur keamanan yang tersebar agar bisa berinteraksi secara dinamis dan
otomatis dengan perangkat keamanan yang berbeda. Berarti disini dibutuhkan
suatu mekanisme system monitoring yang terpadu, diilustrasikan bagaimana sensor
dengan traffic analysis dapat dimonitoring dengan satu tampilan yang terpusat,
hal ini akan mempermudah pekerjaan dalam
mengatur infrastruktur.
7. Kolaborasi U.T.M
Pada sesi ini, kolaborasi system keamanan akan
menjadi fokus utama. Unified Threat Management (UTM) coba ditawarkan untuk
disesi ini. Ada beberapa model dalam system keamanan ini, namun sangat
disayangkan, model-model ini biasanya mempunyai standar sendiri-sendiri yang
tidak dapat diintegrasikan satu dengan yang lain. Dalam pengamatan yang
dilakukan terdapat tiga bagian utama pada system keamanan computer, web security, network protection, and mail filtering.
Kesimpulan
Jadi Intrusion Prevention System (IPS) itu suatu
system yang sering digunakan untuk membangun keamanan suatu jaringan komputer guna
mengantisipasi serangan dari orang yang tidak bertanggung jawab dalam jaringan komputer.
Daftar Pustaka
[1]
C.M. Akujuobi, et al “Application of Wavelets and Self-similarity to Enterprise
Network Intrusion Prevention and Prevention Systems”, Consumer Electronics,
2007.
[2]
E. Guillen, et al “ Weakness and Strength Analysis over Network-Based Intrusion
Prevention and Prevention Systems” Communications, 2009.
[3]
C. Pattinson, et al,”Trojan Prevention using MIB-based IDS/IPS system”,
Information, Communication and Automation Technologies, 2009.
[4]
E. Carter, et al, “Intrusion Prevention Fundamentals : an introduction to
network attack mitigation with IPS”, Cisco press, 2006.
[5]
Kjetil Haslum, et al,” Real-time Intrusion Prevention and Security of Network
using HMMs”, Local Computer Networks, 2008.
Demikian contoh makalah tentang Intrusion Prevention System (IPS) yang didalamnya membahas tentang sistem keamanan jaringan.
Semoga Makalahnya bermanfaat bagi para Pembaca dan kalo masih ada kekurangan mohon dimaafkan semata-mata itu hanya kekhilafan Penulis
{ 0 comments... read them below or add one }
Post a Comment