Intrusion Prevention System (IPS)

Nama : Rr. Intan Ari Budiastuti

NRP : 2215206705
Pertanyaan :
IPS terdiri dari 4
1. Network-based intrusion prevention system (NIPS)
2. Wireless intrusion prevention systems (WIPS)
3. Network behavior analysis (NBA)
4. Host-based intrusion prevention system (HIPS)
Jelaskan masing-masing dan berikan contoh.
Kebanyakan IPS menggunakan salah satu (atau lebih) dari ketiga metode deteksi
yaitu metode berbasis signature, anomali berbasis statistik and stateful protocol
analysis. Paparkan ketiganya
Intrusion Prevention System (IPS) atau dikenal dengan intrusion detection and
prevention system (IDPS) adalah keamanan jaringan yang memonitor jaringan
atau aktifitas sistem untuk aktifitas yang berbahaya. Fungsi utama dari IPS untuk
identifikasi

aktifitas

berbahaya

ini

berbahaya,

mencoba

untuk

menyimpan
memblokir

informasi
dan

tentang

menghentikan

aktifitas
ini

dan

melaporkan, inilah yang membedakan IDS dengan IPS. IPS dapat medeteksi
paket yang mencurigkan tapi tidak bisa mencegah paket tersebut masuk ke
dalam jaringan.

Sumber : CISCO, CCNA Security 640-554

Teknologi IPS terbagi menjadi 4 (empat)

1. Network-based intrusion prevention system (NIPS)
2. Wireless intrusion prevention systems (WIPS)
3. Network Behaviour Analysis (NBA)
4. Host Based intrusion prevention system (HIPS)
IPS menggunakan beberapa teknik untuk mengamankan sistem
-

IPS menghentikan serangan dengan cara

o

Mematikan koneksi jaringan atau sesi dari user yang digunakan

untuk menyerang

Blok akses ke alamat target. Biasanya serangan ini membuat

jaringan mengirim paket ke alamat tertentu, alamat target ini yang
akan di blok

IPS mengubah security environtmen

IPS dapat mengubah kontrol keamanan untuk mengatasi serangan.
Mengubahan

konfigurasi

device

firewall,

router

atau

switch

untuk

memblok akses penyerang

-

IPS dapat mengubah konten dari penyerang.

Beberapa teknologi IPS

dapat membuang atau mangganti konten penyerang. Misalkan, di saat

mengirim email, ada attachment yang terinfeksi, IPS akan membuang file
yang terinfeksi tersebut dan tetap meneruskan email yang sudah
dibersihkan.
Metodologi yang digunakan untuk IPS dalam mendeteksi aktifitas yang
mencurigakan antara lain
Signature- based, anomaly-based dan stateful protocol analysis
a. signature-based Detection System
Di dalam metode ini disediakan daftar signature yang dapat digunakan
untuk mendeteksi apakah paket yang dikirimkan berbahaya atau
tidak. Akan dibandingkan paket data yang datang dengan daftar yang
sudah ada. Oleh karena itu daftar signature harus tetap terupdate ada
keamanan sistem jaringan komputer tetap terjaga
b. Anomaly-based Intrusion Detection System
Dalam metode ini pertama dilakukan inisiasi untuk dapat mengetahui
pola paket seperti apa saja yang akan ada pada sebuah sistem
jaringan komputer misal port yang biasa digunakan, penggunaan
bandwidth, device yang digunakan. Sebuah paket anomaly

adalah paket yang tidak sesuai dengan pola kebiasaan jaringan

komputer. Apabila IPS menemukan ada anomaly pada paket yang
diterima atau dikirimkan, maka administrator jaringan akan diberikan
peringatan dan dilakukan blok terhadap paket yang mencurigakan
tersebut.
c. stateful protocol analysis
identifikasi deviasi dari keadaan protocol dengan membandingkan
event yang diteliti dengan profile yang telah ditentukan sebelumnya
( profil ini merupakan definisi dari aktifitas yang bisa diterima oleh
sistem)

1. NETWORK-BASED IPS (NIPS)

Di dalam Network based IPS , IPS memonitor traffik dari jaringan dan
menganalisa aktifitas protokol aplikasi jaringan apabila ada aktifitas yang
mencurigai. NIPS ditempatkan di jaringan untuk menverifikasi trafik jaringan.
NIPS bagus jika digunakan untuk mengatasi jaringan di layer 1 3 Model OSI,
sayangnya NIPS tidak bisa mendeteksi ancaman jaringan yang terenkripsi.
Metode yang digunakan :
Berbasis signature deteksi:
Pola serangan yang telah pre-configured dan telah predetermined dikenal
sebagai Signature. Metode deteksi ini memonitor lalu lintas jaringan dan
membandingkannya dengan daftar signature yang sudah ada. Jika berhasil
menemukan, NIPS mengambil tindakan yang sesuai. Jenis deteksi gagal untuk
mengidentifikasi zero-day ancaman error. Namun, telah terbukti sangat baik
terhadap serangan paket tunggal. Intrusion prevention ini kehandalannya
terlatak

pada

daftar

signature

yang

ditetapkan.

Karena

banyaknya

kerentanan maka perusahaan distribusi harus cepat menyediakan update dari

daftar signature.
Deteksi berbasis anomali:
Di dalam metode ini ditentukan terlebih dahulu aktifitas jaringan yang normal
itu seperti apa, bandwidth yang biasa digunakan, protokol yang digunakan,
port , device yang biasa terhubung. Setelah dasar penentuan telah dibuat,
sistem akan mengambil sampel lalu lintas jaringan berdasarkan analisis
statistik dan membandingkan sampel dengan dasar yang telah dibuat. Jika

aktivitas tersebut ditemukan berada di luar parameter dasar, NIPS mengambil

tindakan yang diperlukan.
Stateful

protocol

Analysis

Jenis

metode

deteksi

mengidentifikasi

penyimpangan dari protokol dengan membandingkan kejadian diamati

dengan profil yang telah ditetapkan sebelumnya.
Network based IPS terdiri dari sensor sensor, satu atau lebih server
management, multiple console, satu atau lebih database server. Semua
kompononennya sama dengan teknologi IPS yang lain kecuali komponen
sensor. Sensor pada NIPS ini monitor dan menganalisa aktifitas jaringan dan
ditempatkan di promiscuous mode, semua paket yang dilihat , diterima
terlepas dari tujuan.

Contoh perusahaan yang mendukung teknologi ini adalah Symantec

Kebanyakan praktisi keamanan telah mendengar aplikasi network-based
intrusion detection sistem yang open source salah satunya adalah Snort.
Scott Sidel menyoroti kemampuan alat untuk memonitor lalu lintas, paket log

dan menganalisis protokol. Snort dapat melindungi jaringan Anda dari buffer
overflows dan berbagai serangan dan probe.
Snort

merupakan

sistem

deteksi

intrusi

rule

based,

artinya

Snort

membandingkan trafik masuk (atau keluar) dengan signature. Jika trafik sama
dengan signature maka trafik akan diberikan flag dan operator konsol
disiagakan.
2. Wireless Intrusion Prevention System (WIPS)
Memonitor trafik jaringan wireless

untuk mengidentifikasi ancaman yang

mungkin terjadi dengan cara menganalisa protocol jaringan wireless

Wireless Local Area Network atau WLAN menggunakan standard IEEE 802.11.
Terdisi dari station (laptop, mobile phone) dan akses point (AP) dimana secara
logic terhubung walaupun tidak menggunakan kabel. Ancaman yang sering
terjadi di jaringan wireless adalah :

Rogue Access Point

MAC Address Spoofing

Serangan Denial of service (DoS)

Di dalam System WIP ( Wireless Intrusion Prevention) terdiri dari beberapa

komponon :

Wireless sensor digunakan untuk memonitor dan menganalisa aktifitas

jaringan wireless

Management

Server

menerima

informasi

dari

sensor

dan

menganalisanya

Database server digunakan untuk menyimpan informasi yang

digenerate sensor dan server management

Console menyajikan tampilan untuk user dan administrator

Sumber gambar Guide to Intrusion Detection and Prevention System

Di WIP sensor normal tidak bisa memonitor semua trafic yang terdiri dari
banyak channel dan hanya dapat memonitor 1 channel dalam 1 waktu. Untuk
mendeteksi multiple channel digunakan teknik channel scanning yang
memonitor beberapa channel dalam 1 waktu.
IPS dapat mendeteksi malicious activity dengan 3 metode , signature based,
anomaly-based

dan

stateful

protocol

analysis.

Kebanyakan

sistem

menggunakan kombinasi metode deteksi untuk mendeteksi lebih akurat.

Signature based : membandingkan signature yang telah terjadi dengan
yang masuk jaringan untuk mengidentifikasi insiden yang mungkin terjadi.
Metode ini sangat efektif dalam mendeteksi ancaman yang sudah diketahui
sebelumnya tetapi tidak memberikan hasil yang baik di saat mendeteksi
ancaman yang tidak diketahui sebelumnya.
Anomaly based detection : membuat pola aktivitas yang normal dan
membandingkannya dengan event yang dianalisa. Tahap awal di dalam
intrusion detection ini adalah sistem mempelajari perilaku normal dan
menciptakan profil, inilah yang digunakan sebagai dasar untuk perbandingan.
Profil statis ditentukan dalam fase pelatihan dan tetap tidak berubah,
sedangkan
profil dinamis terus-menerus disesuaikan even event yang diamati.

Stateful protocol analysis adalah proses membandingkan profil yang telah

ditentukan, biasanya
definisi aktifitas protokol yang masih boleh diterima

di setiap protokol.

Mengidentifikasi penyimpangan yang mungkin terjadi.

Event yang bisa dideteksi di wireles intrusion prevention system adalah :

Unathorized WLAN ( rogue AP, Unauthorized station, Unauthorized

WLAN)

WLAN yang lemah keamanannya

Pola penggunaan yang tidak biasa ( menggunakan deteksi Anomalybased)

Penggunaan scanner jaringan wireless- hanya aktif scanner yang bisa

dideteksi

Serangan Denial of Service (DoS) ( flooding, jamming)

Impersonation dan serangan man-in-the-middle

Kemampuan prevention WIP ini seperti

-

mematikan koneksi antara rogue station dengan AP yang ter authorized

dengan cara mengirimkan message ke endpoint

wired action, blocking port switch tempat station atau AP tersebut

terhubung

Contoh pengembang WIP ini adalah AirDefense (www.airdefense.net)

AirDefense menggunakan deteksi context-aware, correlation dan mesin
deteksi multi dimensional. Sistem ini mendeteksi ad-hoc station, rogue AP,
serangan

masquerade

MAC

serangan denial-of Service.

spoofing),

serangan

man-in-the-middle,

Sistem airdefense dapat dikonfigurasi untuk

menjalankan aktif role dan merespon secara otomatis jika ada ancaman
wireless dengan cara menghentikan device sebelum melakukan kerusakan
dalam jaringan. Untuk AP rogue, sistem AirDefense dapat mengidentifikasi
port switch yang terkoneksi dan mematikannya, hal ini bisa mencegah rogue
device

mengakses

jaringan.

Selain

itu,

airDefense

juga

memebantu

administrator sistem menangani performansi jaringan wireless dan dapat

mengenerate report. Tool Open source lainnya yang mempunyai kemampuan
intrusion detection adalah Snort-Wireless atau Kismet.
Keterbatasan
Walaupun Wireless IPS dapat melakukan banyak hal, WIPS punya keterbatas.
Contohnya WIPS tidak bisa mendeteksi Pasif Sniffer, biasanya penyerang bisa

mengumpulkan data trafik sebelum melangsungkan serangan. Periode pasif

sniffing ini cukup berbahaya. Satu-satunya cara mengatasi adalah dengan
menggunakan perlindungan yang tepat melalui enkripsi.
Masalah lainnya berkaitan dengan penyebaran sensor. Sebagai lawan dari
kabel IDS sistem / IPS, di mana lokasi sensor mengikuti struktur logis dari
jaringan, sensor nirkabel harus ditempatkan berdasarkan lokasi fisik.
3. Network Behaviour Analysis (NBA)
Teknik Identifikasi trafik jaringan untuk mengatasi ancaman trafik yang tidak
biasa seperti serangan DdoS, bentuk bentuk tertentu malware (worm,
backdoor) violation policy. Teknik ini menggunakan pola dalam struktur dan
properti trafik jaringan untuk mengidentifikasi kemungkinan serangan yang
terjadi dengan pengaruh yang minimal dalam user data privacy. Analisa ini
tidak berdasarkan content informasi yang ditransfer melainkan statistik trafik
jaringan dalam format NetFlow.

Sumber Guide to intrusion detection and prevention system (IDPS)

Component dan arsiterktur NBA

Di dalam System NBA terdiri dari beberapa komponon utama:
NBA mempunyai sensor dan console. Beberapa produk juga menawarkan
management server yang biasanya disebut dengan analyzer. Beberapa
sensor nya hampir sama dengan sernsor pada network-based IPS. Sensor ini
akan mengawasi paket, memonitor aktifitas jaringan di satu atau beberapa
segment jaringan. Terkadang ada sensor NBA yang tidak secara langsung
memonitor jaringan, tapi bergantung pada informasi yang disediakan oleh
router dan peralatan jaringan lainnya. Aliran data yang biasanya diamati
dalam sistem ini adalah
-

Source dan destination alamat IP

Source dan destination port TCP atau UDP atau tipe ICMP

Jumlah paket yang ditrasmisikan di sesion

Timestamp awal dan akhir sesion

Pendeteksian di NBA
Teknologi NBA menggunakan metode deteksi primer Anomaly based
Detection : dalam metode ini menggunakan history dari trafik untuk
membentuk

model

karakteristik

dari

network

behaviour.

Memprediksi

karakteristik trafik jaringan mendatang dan mengidentifikasi perbedaan

model dengan trafik yang ada apakah termasuk diklasifikasikan sebagai
serangan.
Masalah terbesar dari pendeteksian dengan metode ini adalah error rate yang
terdiri dari 2 tipe error. False positif flow yang sah diklasifikasi sebagai
anomali, sedangkan Flase Negative adalah flow malicious yang diklasifikasi
sebagai aktifitas yang normal. Kebanyakan, teknik deteksi NBA standalone
tingkat rate false positifnya tinggi. Sistem NBA menggunakan beberapa
macam

pendekatan

seperti

multistage

collaborative,

trust

modelling,

autonomous adaptation untuk membuat operasional deteksi ini deployable.

Sebagian besar teknologi NBA menawarkan no signature-based detection
Tipe event yang didektesi oleh sensor NBA :

Serangan DoS , DdoS. Serangan ini meningkatkan penggunaan

bandwidth atau jumlah paket yang lain daripada kebiasaan. Dengan
memonitor karakteristik ini, anomaly detection dapat menentukan
aktifitas ini berbeda dengan aktifitas yang diharapkan.

Scanning.

Scanning dapat dideteksi dengan

pola aliran di layer

aplikasi( grabbing), layer trasport (TCP dan UDP port scanning) dan
layer jaringan ( ICMP scanning)

Worm. Worm menyebar diantara host dapat dideteksi dengan lebih dari
satu cara.

Unexpected service aplikasi ( protokol tunnel, backdoor)

Policy Violation. Kebanyakan sensor NBA membolehkan administrator

untuk menspesifikasi detil policy.

Sebagian besar sensor NBA dapat mengetahui asal dari ancaman tersebut.
Misal , worm menginfeksi jaringan, sensor NBA dapat menganalisa aliran
worm dan menemukan host yang pertama kali mengirim worm ke host
lainnya.
Produk NBA secara otomatis memperbarui data dasar mereka secara rutin.
Akibatnya, biasanya tidak banyak tuning atau kustomisasi yang harus
dilakukan, selain mengupdate ruleset- policy (aturan aturan sistem) firewall.
Beberapa produk NBA menawarkan kemampuan kustomisasi signature
terbatas.Fitur ini paling membantu untuk sensor inline karena mereka dapat
menggunakan signature untuk menemukan dan memblokir serangan yang
mungkin tidak bisa dihalangi oleh firewall atau router. Selain memeriksa
keakuratan tuning dan kustomisasi secara berkala, administrator juga harus
memastikan perubahan pada host ( host baru atau service baru). Umumnya
tidak layak untuk secara otomatis menghubungkan sistem NBA dengan
sistem manajemen perubahan, tapi administrator bisa meninjau catatan
perubahan manajemen secara teratur dan mengatur informasi persediaan
tuan rumah di NBA untuk mencegah positif palsu.
Keterbatasan
Teknologi NBA memiliki beberapa keterbatasan yang signifikan. Teknologi ini
tertunda dalam mendeteksi serangan karena sumber data mereka, terutama
ketika mereka mengandalkan aliran data dari router dan perangkat jaringan
lainnya. Data ini sering dipindahkan ke NBA dalam batch dari setiap menit
sampai beberapa kali dalam satu jam. Serangan yang terjadi dengan cepat
mungkin tidak terdeteksi sampai sistem mengalami kerusakan. Penundaan ini
dapat dihindari dengan menggunakan sensor yang menangkap paket mereka
sendiri dan analisis; Namun, ini jauh lebih intensif mengabil data dari dari
menganalisis data aliran. Oleh karena itu, untuk melakukan pemantauan

langsung daripada menggunakan aliran data dari router, organisasi mungkin

harus membeli sensor yang lebih kuat.
Contoh Studi kasus anomaly Detection Worm Detection dengan tool NBA
CAMNEP adalah tool network Behavioural analysis tool, yang menggunakan
beberapa algoritma deteksi untuk mengklasifikasi trafik yang legitimate dan
malicious.
Mengamati lalu lintas jaringan menggunakan FlowMon probe, mendeteksi
anomali

jaringan

menggunakan

teknologi

agen

dan

visualisasi

traffic

berbahaya. CAMP sekarang dikembangkan dan dikelola oleh Perusahaan

keamanan kognitif (universitas start-up company).
CAMNEP mengurutkan aliran dengan trustfulness(kebenaran), menempatkan
event yang berpotensi berbahaya dekat dengan tepi kiri histogram yang bisa
kita lihat pada Gambar berikut Puncak merah (disorot oleh aposteriori GUIlevel ) filtering dapat dengan mudah ditemukan, dan dianalisis.

4. Host Based Intrusion Prevention System

Sensor host based memeriksa informasi di local host atau di sistem operasi.
Host Based Intrusion Prevention System (HIPS) mempunyai akses penuh
terhadap

sistem operasi

sebuah

workstation.

HIPS

dapat

mendeteksi

perubahan pada memori, file konfigurasi, setting registry ( untuk windows

boxes). HIPS bisa menjadi lebih agresif dan kompleks ketika sistemnya
dikonfigurasi untuk memeriksa system call, atau implementasinya dapat lebih
sederhana dengan hanya memeriksa file log system.
Component dan arsiterktur Host-Based IPS
Agent software deteksi yang terinstall di host. Tiap agen memonitor aktifitas
dari single host. Agen kemudian menstrasmit data ke management server

dan bisa menyimpan data tersebut ke server database. Console digunakan

untuk management dan monitoring.
Secara teknis penerapa ini dapat dianggap network-based IPS karena di
deploy untuk memonitor trafik dari jaringan. Tetapi biasanya, di dalam host
based IPS hanya memonitor aktifitas 1 aplikasi yang spesific contohnya web
server atau database server.

Sumber Guide to intrusion detection and prevention system (IDPS

Kemampuan pengamanan
Host based IPS mempunyai kemampuan :
Logging capabilities
Biasanya melakukan kegiatan logging data event. Data ini dapat digunakan
untuk

mengkonfirmasi

keabsahan

alert,

untuk

menyelidiki

dan

untuk

mengkorelasikan peristiwa antara host-based IPS dengan sumber logging

lainnya. Data yang biasa di logging

Timestamp (tanggal dan waktu)

Acara atau jenis peringatan

Rating (misalnya, prioritas, tingkat keparahan, dampak, kepercayaan)

detail event : alamat IP dan informasi port, informasi aplikasi, nama file
dan path, dan ID pengguna

Kemampuan mendeteksi
Kebanyakan host-based IDPS mempunyai kemampuan mendeteksi aktifitas
berbahaya.

Sistem

ini

biasanya

menggunakan

kombinasi

dari

teknik

Signature-based detection untuk mengidentifikasi serangan yang dikenal dan

teknik anomaly based detection dengan policy dan ruleset untuk
mendeteksi serangan yang tidak dikenal.
Teknik spesifik yang biasanya digunakan oleh host based IPS adalah :
1. Code Analysis
Agent menggunakan teknik berikut untuk identifikasi aktifitas berbahaya
dengan

menganalisa

execute

code.

Semua

teknik

ini

membantu

menghentikan malware dan dapat mengatasi serangan

-

Code behaviour analysis

Buffer overflow Detection

System Call Monitoring

List aplikasi dan library

2. Analisa Trafik jaringan. Menghentikan trafik jaringan yang datang sebelum

diproses.
3. Filtering trafik jaringan. Bekerja sebagai firewall, dapat menhentikan akses
yang tidak berhak. Hal ini hanya efekti terhadap aktifitas yang mempunya
identitas alamat IP, TCP port, UDP port , dan kode tipe ICMP
4. Monitoring File system. Dapat menghindarkan file diakses, dimodifikasi,
diganti dan dihapus. Dapat menghentikan instalasi malware, termasuk
trojan horses dan rootkits.
Contoh pengembang host-based adalah Cisco Security Agent (CSA) . Agent
dari security CISCO ini bernama SHIM ( rangkaian kode yang berada di antara
sistem operasi dan aplikasi) yang memonitor semua perubahan dari sistem
operasi host computer. Cisco Secuirty Agent ini dapat di deploy di kedua
server dan desktop. CSA ini mempunyai manager yang mengkontrol dan
monitor

semua

agent.

Productnya

dinamakan

Cisco

Secure

agent

Management Center (CSAMC). HIPS biasanya dibuat untuk sistem operasi

tertentu dan tidak melindungi serangan di layer bawah (1-3) dari model OSI.

Di kebanyakan lingkungan, kombinasi teknologi ini diperlukan untuk solusi IPS

yang efektif. Misalkan Network based IPS tidak bisa memonitor protokol
wiress dan wireless IPS tidak bisa memonitor aktifitas protokol aplikasi.
Kelebihan teknologi IPS dirangkum dalam table di bawah ini.

DAFTAR PUSTAKA

1. Dinesh Sequeira, Intrusion Prevention Systems Securitys Silver Bullet?,

2002
2. Karen Scarfone, Peter Mell, Guide to Intrusion Detection and Prevention
Systems (IDPS), 2007
3. CISCO, CCNA Security 640 - 554
4. Geant, Network Security Monitoring and Behaviour Analysis, 2011
5. NIST, Guide to intrusion detection and prevention system (IDPS), 2007
6. Ariyadi, Tamsir. Intrusion Prevention System (IPS) oada jaringan komputer
kampus B universitas Bina Darma