78 119 1 PB - 4
78 119 1 PB - 4
Jutono Gondohanindijo
Fakultas Ilmu Komputer Universitas AKI
Abstract
IPS (Intrusion Prevention System) is a network security tools that monitor system or
network activity from undesirable behavior (anomaly) and can react in real-time to stop these
activities. IPS born is the development of IDS (Intrusion Detection System).
In this study will be presented how to use IPS in preventing intrusion into our computer
connected to the global network called the Internet in order to stay safe.
Key words : IPS, System, Crime, Intrusion, Detection, Integrity, Security, Network
-38-
IPS (Intrusion Prevention System) Untuk Mencegah Tindak
Penyusupan / Intrusi (Jutono Gondohanindijo)
-39-
Majalah Ilmiah INFORMATIKA Vol. 3 No. 3, Sept. 2012
sistem atau jaringan. IDS digunakan untuk aktivitas yang mencurigakan dalam
mendeteksi aktivitas yang mencurigakan sebuah sistem atau jaringan.
dalam sebuah sistem atau jaringan (
Wardhani, 2011). 1.3. Cara kerja IDS
IDS (Intrusion Detection System)
IDS melindungi sistem komputer
sendiri mempunyai beberapa pengertian
dengan mendeteksi serangan dan
yaitu:
menghentikannya. Awalnya, IDS melakukan
a. Sistem untuk mendeteksi adanya
pencegahan intrusi. Untuk itu, IDS
intrusion yang dilakukan oleh intruder
mengidentifikasi penyebab intrusi dengan
(pengganggu atau penyusup) dalam
cara membandingkan antara event yang
jaringan.
dicurigai sebagai intrusi dengan signature
Pada awal serangan, intruder biasanya
yang ada. Saat sebuah intrusi telah
hanya mengexplore data. Namun, pada
terdeteksi, maka IDS akan mengirim sejenis
tingkat yang lebih serius intruder
peringatan ke administrator. Langkah
berusaha untuk mendapat akses ke
selanjutnya dimulai dengan melakukan
sistem seperti membaca data rahasia,
policy terhadap administrator dan IDS itu
memodifikasi data tanpa permisi,
sendiri.
mengurangi hak akses ke sistem sampai
Komponen yang menyusun kerja
menghentikan sistem.
sebuah IDS bisa dilihat pada diagram
b. Sistem keamanan yang bekerja bersama
berikut ( Sundaram, 1996 ) :
Firewall untuk mengatasi Intrusion.
Intrusion itu sendiri didefinisikan
sebagai kegiatan yang bersifat anomaly,
incorrect, inappropriate yang terjadi di
jaringan atau di host tersebut. Intrusion
tersebut kemudian akan diubah menjadi
rules ke dalam IDS (Intrusion Detection
System).
c. Sebuah aplikasi perangkat lunak atau
perangkat keras yang dapat mendeteksi
-40-
IPS (Intrusion Prevention System) Untuk Mencegah Tindak
Penyusupan / Intrusi (Jutono Gondohanindijo)
Ada beberapa cara bagaimana IDS melihat apakah ada percobaan untuk
bekerja. Cara yang paling populer adalah mengubah beberapa berkas sistem operasi,
dengan menggunakan pendeteksian berbasis utamanya berkas log. Teknik ini seringnya
signature (seperti halnya yang dilakukan diimplementasikan di dalam HIDS ( Host-
oleh beberapa antivirus), yang melibatkan Based IDS ), selain tentunya melakukan
pencocokan lalu lintas jaringan dengan basis pemindaian terhadap log sistem untuk
data yang berisi cara-cara serangan dan memantau apakah terjadi kejadian yang
penyusupan yang sering dilakukan oleh tidak biasa.
penyerang. Sama seperti halnya antivirus,
Beranjak dari masalah kemanan
jenis ini membutuhkan pembaruan terhadap
komputer, penelitian ini memberikan
basis data signature IDS yang bersangkutan.
gambaran penggunaan IPS yang semakin
Cara lainnya adalah dengan
hari semakin banyak dikembangkan dan
mendeteksi adanya anomali, teknik yang
banyak diimplementasikan dalam antivirus
lainnya adalah dengan memantau berkas-
seperti Symantec. IPS adalah pengembangan
berkas sistem operasi, yakni dengan cara
-41-
Majalah Ilmiah INFORMATIKA Vol. 3 No. 3, Sept. 2012
-42-
IPS (Intrusion Prevention System) Untuk Mencegah Tindak
Penyusupan / Intrusi (Jutono Gondohanindijo)
3. Pembahasan
-43-
Majalah Ilmiah INFORMATIKA Vol. 3 No. 3, Sept. 2012
-44-
IPS (Intrusion Prevention System) Untuk Mencegah Tindak
Penyusupan / Intrusi (Jutono Gondohanindijo)
1. Portsentry
Portsentry digunakan untuk 3.2. Tipe-tipe IPS
melakukan pengeblokan IP address
1. Host Based IPS yang berada pada
yang melakukan scanning port
spesifik IP address, biasanya terdapat
dengan menggunakan fasilitas dari
pada single komputer.
firewall atau teknik null route.
2. Network IPS yang berguna untuk
2. Sshdfilter
mencegah penyusupan pada spesifik
Sshdfilter digunakan untuk
network.
melakukan blocking IP address yang
3. Content Spesific IPS yang
melakukan ssh brute forcing.
memeriksa kontent dari suatu paket
3. Snort
dan mencegah berbagai macam
Snort di gandeng dengan blockit dan
serangan seperti serangan worm.
firewall merupakan NIPS yang
4. Protocol Analysis Menganalisa
mampu melakukan blocking IP
berbagai macam application layer
address terhadap beragam serangan
network protocol seperti http dan ftp.
yang di definisi di signature snort.
5. Rated Based Berguna mencegah
denial of service. Berguna untuk
-45-
Majalah Ilmiah INFORMATIKA Vol. 3 No. 3, Sept. 2012
-46-
IPS (Intrusion Prevention System) Untuk Mencegah Tindak
Penyusupan / Intrusi (Jutono Gondohanindijo)
-47-
Majalah Ilmiah INFORMATIKA Vol. 3 No. 3, Sept. 2012
Beberapa IDPS cukup baik dalam dasar yang terjadi. Informasi yang lebih
meningkatkan kemampuan pengamanannya spesifik dikumpulkan dalam reports.
melawan serangan berbahaya. Jumlah pemberitahuan yang dikirim
oleh sistem sangat tergantung seberapa kuat
1. Menghentikan serangan melalui re-
level yang dipasang. Semakin kuat level
configuring peralatan kontrol
keamanan yang dipasang maka semakin
keamanan pada network, seperti
banyak pemberitahuan yang dikirimkan.
router dan firewall, untuk memblok
Ketelitian pemasangan level keamanan akan
akses yang bersifat ilegal.
sedikit banyak membantu menurunkan
2. Menghentikan serangan melalui
jumlah pemberitahuan, dan hanya
pemasangan patch pada host untuk
pemberitahuan tentang gangguan keamanan
menutup vulnerabilities.
tertentu saja yang dikirimkan.
3. Menghentikan serangan melalui
penghapusan code jahat yang
5. Melaksanakan peraturan
ditemukan seperti men-deletefile
Manajemen keamanan informasi yang
attachment dalam e-mail.
baik adalah kunci terlaksananya
peraturan/regulasi yang dibuat. Dan itu
4. Memberitahu administrator jaringan
adalah salah satu alasan pentingnya
tentang adanya gangguan keamanan
penerapan IDPS, terutama di organisasi
IDPS akan memberitahukan
yang menjalankan regulasi dengan ketat
administrator jaringan tentang segala sesuatu
seperti institusi keuangan atau perusahaan
yang menyangkut pelanggaran peraturan
kesehatan.
keamanan atau serangan yang terdeteksi.
Dengan menerapkan IDPS, sebuah
Pemberitahuan tersebut dapat
perusahaan dapat mempertahankan
melalui e-mail, web page, pesan dalam
akuntabilitasnya, memberikan kejelasan hak
monitor IDPS user, perangkap SNMP
akses kepada user dan memberikan
(Simple Network Management Protokol),
dukungan infrastuktur yang tepat.
pesan syslog, atau program yang dibuat oleh
user dan script. Umumnya pemberitahuan
6. Menggalakkan kebijakan keamanan
berisi data-data penjelasan tentang hal-hal
jaringan
-48-
IPS (Intrusion Prevention System) Untuk Mencegah Tindak
Penyusupan / Intrusi (Jutono Gondohanindijo)
-49-
Majalah Ilmiah INFORMATIKA Vol. 3 No. 3, Sept. 2012
-50-
IPS (Intrusion Prevention System) Untuk Mencegah Tindak
Penyusupan / Intrusi (Jutono Gondohanindijo)
IDS IPS
OSI Layer Layer 3 Layer 2, 3 dan 7
-51-
Majalah Ilmiah INFORMATIKA Vol. 3 No. 3, Sept. 2012
Intrusion Detection System selain dapat hardware. IPS dapat melakukan monitoring
memantau dan monitoring, IPS (Intrusion terhadap seluruh aktifitas pada jaringan, IPS
Prevention System) dapat juga mengambil akan langsung melakukan pencegahan
kebijakan dengan memblock paket yang terhadap gangguan – gangguan atau
lewat dengan cara 'melapor' ke firewall. intrusion seperti blocking atau drop program
gannguan.
-52-
IPS (Intrusion Prevention System) Untuk Mencegah Tindak
Penyusupan / Intrusi (Jutono Gondohanindijo)
Gambar 3. Topologi dan terminologi dalam implementasi IPS ( Deris S., A. Hanan, M. Yazid,
2010 )
Berikut ini adalah beberapa istilah True Negative (TN) : dimana pada
kondisi traffic normal dan tidak ada
atau terminologi yang digunakan dalam
alarm yang dibangkitkan, (ii) True
mengimplentasikan Topologi IPS :
Positive (TP) akan mentrigger alarm
jika ditemukan kecocokan yang
1. Akurasi Signature
diidentifikasi sebagai serangan, (iii)
Keakurasian signature sangat False Negative (FN) akan tetap diam
ditentukan oleh sensor dan update dengan tidak memberikan alarm
informasi yang ada, dimana sensor walaupun attack telah masuk dan
membuat alert, disuatu kondisi menyerang, dan (iv) False Positive
mentrigger alarm dari sensor (valid (FP) membuat alert pada kondisi
atau tidak), jika tidak valid terdeteksi aktivitas traffic normal, fokus utama
bisa juga sangat memungkinkan banyak peneliti adalah pada
sebagai serangan. Ada empat alert bagaimana untuk mengurangi alert FP
yang dibuat oleh sensor, seperti (i) ini. IPS seperti memiliki hidung dan
-53-
Majalah Ilmiah INFORMATIKA Vol. 3 No. 3, Sept. 2012
-54-
IPS (Intrusion Prevention System) Untuk Mencegah Tindak
Penyusupan / Intrusi (Jutono Gondohanindijo)
dimonitor, karena sifat sensor ini Pada isu permasalahan ini, ada
hanya akan mengidentifikasi paket banyak sekali log file yang didapat
yang lewat di interfacenya. dari logging system, seperti transaksi
data log, log data attack, log data
traffic, log record insiden, log
4. Penggunaan Quota Log
notifikasi insiden, log laporan
kegagalan, dan sebagainya yang
Pada penelitian sebelumnya,
memerlukan media storage yang
semua system logs disimpan pada
besar.
peralatan yang aman, model dengan
menggunakan redundancy ditawarkan
dengan jaminan high reliability yang
5. Proteksi Mesin IPS
tinggi ( Taras Dutkevych, 2007 ).
Namun tidak menjelaskan secara
Terdapat beberapa statement
detail secara teknis bagaimana
dan kesimpulan penelitian
konfigurasi secara teknis dan
sebelumnya, dimana Xinyau Zhang
peralatan yang digunakan. Hal ini
(2007) membuat intrusion prevention
berkaitan dengan berapa besar
dengan berbasis SNMP untuk
penggunaan media storages yang akan
mengintegrasikan dengan system
digunakan, dalam pantauan yang
pertahanan yang lain, sedangkan Anh
dilakukan dalam jaringan
Le (2008) mengatakan implementasi
sesungguhnya yang dilakukan, pada
load balancing dengan
percobaan yang dilakukan, didapat log
menggunakan libcap library dengan
sebesar 150 MBps di traffic jaringan
teknik clustering. Namun sangat
dengan bandwidth ke internasional
disayangkan, tidak ada yang
135 Mbps. Sedangkan pengambilan
membahas tentang bagaimana
data hanya data transaction (IP Add
menjaga mesin IPS dari serangan yang
dan Mac Add) bukan dataset secara
mungkin akan dilakukan penyerang.
utuh.
Dalam pengamatan sangat
dimungkinkan penyerang akan
-55-
Majalah Ilmiah INFORMATIKA Vol. 3 No. 3, Sept. 2012
sangat dibatasi oleh jumlah dari trafik sendiri yang tidak dapat diintegrasikan
-56-
IPS (Intrusion Prevention System) Untuk Mencegah Tindak
Penyusupan / Intrusi (Jutono Gondohanindijo)
-57-
Majalah Ilmiah INFORMATIKA Vol. 3 No. 3, Sept. 2012
network attack mitigation with IPS”, Taras Dutkevych, et al, 2007, “Real-Time
Cisco press. Intrusion Prevention and Anomaly
Analyze System for Corporate
Networks”, IEEE International
Rainer Bye, et al, 2009, “Design and Workshop on Intelligent Data
Modeling of Collaboration Acquisition and Advanced
Architecture for Security”, Computing Systems: Technology
International Symposium and Applications.
Collaborative Technologies and
Systems.
Wardhani, H. M., 2010, “Intrusion
Detection System”,
Robert Richardson, 2008, “CSI Computer http://helenamayawardhani.wordpre
Crime & Security Survey 2008”. ss.com
-58-
IPS (Intrusion Prevention System) Untuk Mencegah Tindak
Penyusupan / Intrusi (Jutono Gondohanindijo)
-59-