IPS (Intrusion Prevention System) Untuk

Mencegah Tindak Penyusupan / Intrusi

Jutono Gondohanindijo
Fakultas Ilmu Komputer Universitas AKI

Abstract

In a complex computer network, data security and authentication process is a must. To

ensure that the data is accessible, and the process by which the right to access the data, then the
rules or protocols that have a good mechanism but it is very compact and easy to use needs to be
applied on the network.

IPS (Intrusion Prevention System) is a network security tools that monitor system or
network activity from undesirable behavior (anomaly) and can react in real-time to stop these
activities. IPS born is the development of IDS (Intrusion Detection System).

In this study will be presented how to use IPS in preventing intrusion into our computer
connected to the global network called the Internet in order to stay safe.

Key words : IPS, System, Crime, Intrusion, Detection, Integrity, Security, Network

1. Pendahuluan Intrusion adalah aktivitas tidak sah

atau tidak diinginkan yang mengganggu
Sistem Keamanan Komputer telah
konfidensialitas, integritas dan atau
menjadi fokus utama dalam dunia
ketersediaan dari informasi yang terdapat di
Jaringan Komputer, hal ini disebabkan
sebuah sistem. IDS akan memonitor
tingginya ancaman yang mencurigakan
lalulintas data pada sebuah jaringan atau
(suspicious threat) dan serangan dari
mengambil data dari berkas log. IDS akan
Internet. Keamanan Komputer (Security)
menganalisa dan dengan algoritma tertentu
merupakan salah satu kunci yang dapat
akan memutuskan untuk memberi
mempengaruhi tingkat Reliability (termasuk
peringatan kepada seorang administrator
performance dan availability) suatu
jaringan atau tidak.
internetwork ( Deris S., A. Hanan, M. Yazid,
2010 ).

-38-
IPS (Intrusion Prevention System) Untuk Mencegah Tindak
Penyusupan / Intrusi (Jutono Gondohanindijo)

1.1. IPS ( Intrusion Prevention System ) menjadi kendala utama dalam

implementasi ini, karena IPS adalah salah
Intrusion Prevention System (IPS),
satu bagian dalam system keamanan yang
adalah pendekatan yang sering digunakan
dibangun, hendaknya memperhatikan isu-isu
untuk membangun system keamanan
yang ada dalam jaringan komputer. Dalam
komputer, IPS mengkombinasikan teknik
tulisan ini, penulis mencoba menjabarkan
firewall dan metode Intrusion Detection
secara umum apa saja faktor-faktor utama
System (IDS) dengan sangat baik. Teknologi
yang menjadi perhatian utama dalam
ini dapat digunakan untuk mencegah
implementasi teknologi ini, serta solusi
serangan yang akan masuk ke jaringan lokal
yang dapat dilakukan sebagai
dengan memeriksa dan mencatat semua
pemecahannya.
paket data serta mengenali paket dengan
sensor, disaat attack telah teridentifikasi, IPS Jika kita lihat dan beranjak dari data
akan menolak akses (block) dan mencatat CSI/FBI survey ( Robert Richardson, 2008 ),
(log) semua paket data yang teridentifikasi saat ini telah banyak perusahaan yang
tersebut. Jadi IPS bertindak sepeti layaknya membelanjakan uangnya untuk terhindar
Firewall yang akan melakukan allow dan dari masalah keamanan ini dan sementara itu
block yang dikombinasikan seperti IDS yang juga untuk mengamankan sistemnya,
dapat mendeteksi paket secara detail. IPS banyak perusahaan tersebut telah
menggunakan signatures untuk mendeteksi menggunakan system dengan
di aktivitas traffic di jaringan dan terminal, mengkombinasikan beberapa teknologi
dimana pendeteksian paket yang masuk dan system keamanan, dimana hampir 69%nya
keluar (inbound-outbound) dapat di cegah menggunakan solusi dari Intrusion
sedini mungkin sebelum merusak atau Prevention System (IPS).
mendapatkan akses ke dalam jaringan lokal.
Jadi early detection dan prevention menjadi
penekanan pada IPS ini ( E. Carter, 2006 ). 1.2. IDS ( Intrusion Detection System )
IDS (Intrusion Detection System)
Namun implementasi IPS pada
adalah sebuah aplikasi perangkat lunak atau
jaringan internetwork sangat dipengaruhi
perangkat keras yang dapat mendeteksi
oleh beberapa faktor lainnya. Faktor teknis
aktivitas yang mencurigakan dalam sebuah

-39-
 Majalah Ilmiah INFORMATIKA Vol. 3 No. 3, Sept. 2012

sistem atau jaringan. IDS digunakan untuk aktivitas yang mencurigakan dalam
mendeteksi aktivitas yang mencurigakan sebuah sistem atau jaringan.
dalam sebuah sistem atau jaringan (
Wardhani, 2011). 1.3. Cara kerja IDS
IDS (Intrusion Detection System)
IDS melindungi sistem komputer
sendiri mempunyai beberapa pengertian
dengan mendeteksi serangan dan
yaitu:
menghentikannya. Awalnya, IDS melakukan
a. Sistem untuk mendeteksi adanya
pencegahan intrusi. Untuk itu, IDS
intrusion yang dilakukan oleh intruder
mengidentifikasi penyebab intrusi dengan
(pengganggu atau penyusup) dalam
cara membandingkan antara event yang
jaringan.
dicurigai sebagai intrusi dengan signature
Pada awal serangan, intruder biasanya
yang ada. Saat sebuah intrusi telah
hanya mengexplore data. Namun, pada
terdeteksi, maka IDS akan mengirim sejenis
tingkat yang lebih serius intruder
peringatan ke administrator. Langkah
berusaha untuk mendapat akses ke
selanjutnya dimulai dengan melakukan
sistem seperti membaca data rahasia,
policy terhadap administrator dan IDS itu
memodifikasi data tanpa permisi,
sendiri.
mengurangi hak akses ke sistem sampai
Komponen yang menyusun kerja
menghentikan sistem.
sebuah IDS bisa dilihat pada diagram
b. Sistem keamanan yang bekerja bersama
berikut ( Sundaram, 1996 ) :
Firewall untuk mengatasi Intrusion.
Intrusion itu sendiri didefinisikan
sebagai kegiatan yang bersifat anomaly,
incorrect, inappropriate yang terjadi di
jaringan atau di host tersebut. Intrusion
tersebut kemudian akan diubah menjadi
rules ke dalam IDS (Intrusion Detection
System).
c. Sebuah aplikasi perangkat lunak atau
perangkat keras yang dapat mendeteksi

-40-
IPS (Intrusion Prevention System) Untuk Mencegah Tindak
Penyusupan / Intrusi (Jutono Gondohanindijo)

Gambar 1 : Komponen Kerja Sebuah IDS

Ada beberapa cara bagaimana IDS
bekerja. Cara yang paling populer adalah
dengan menggunakan pendeteksian berbasis
signature (seperti halnya yang dilakukan
oleh beberapa antivirus), yang melibatkan
pencocokan lalu lintas jaringan dengan basis
data yang berisi cara-cara serangan dan
penyusupan yang sering dilakukan oleh
penyerang. Sama seperti halnya antivirus,
jenis ini membutuhkan pembaruan terhadap
basis data signature IDS yang bersangkutan.
Cara lainnya adalah dengan
mendeteksi adanya anomali, teknik yang
lainnya adalah dengan memantau berkas-
berkas sistem operasi, yakni dengan cara
melihat apakah ada percobaan untuk
mengubah beberapa berkas sistem operasi,
utamanya berkas log. Teknik ini seringnya
diimplementasikan di dalam HIDS ( Host-
Based IDS ), selain tentunya melakukan
pemindaian terhadap log sistem untuk
memantau apakah terjadi kejadian yang
tidak biasa.
Beranjak dari masalah kemanan
komputer, penelitian ini memberikan
gambaran penggunaan IPS yang semakin
hari semakin banyak dikembangkan dan
banyak diimplementasikan dalam antivirus
seperti Symantec. IPS adalah pengembangan

-41-
 Majalah Ilmiah INFORMATIKA Vol. 3 No. 3, Sept. 2012

lanjut dari IDS (Intrusion Detection dokumen informasi serta wawancara

System). praktisi / pakar teknologi dibidang
informasi yang berhubungan dengan
aplikasi IPS.
1.4. Tujuan dan Manfaat Penelitian
Tujuan umum penelitian ini adalah b. Data Sekunder
untuk memahami cara kerja IPS dan Data sekunder adalah data yang
bagaimana mengimplementasikannya, diperoleh dan dikumpulkan secara tidak
sedangkan manfaatnya adalah mengetahui langsung yaitu melalui buku-buku,
implementasi IPS dalam mengamankan majalah – majalah, dan semua media
sistem komputer, serta mengetahui apa saja yang berkaitan dengan permasalahan
bentuk IPS dan cara memanfaatkannya. pada objek penelitian (Wirartha, 2006,
Hal.35).
2. Metodologi
2.1. Metode Pengumpulan Data :
Dalam penulisan penelitian ini
Sesuai dengan jenis data dan maksud
penulis mendapatkan data dari berbagai
serta tujuan penyusunan penulisan ini maka
sumber yang relevan sebagai bahan untuk
dalam menyusun penelitian, penulis
penyusunan penelitian ini dengan jenis data:
menggunakan metode sebagai berikut:
a. Data Primer
a. Metode Wawancara / Interview
Data Primer diperoleh langsung melalui
Merupakan salah satu metode
proses pengamatan dan wawancara
pengumpulan data dengan jalan
secara langsung dengan sumber atau
komunikasi yaitu dengan kontak
pihak yang bersangkutan (responden)
dan hubungan pribadi antara
yang siap untuk diolah (Wirartha, 2006,
pengumpul data dengan sumber
Hal.35). Dalam penelitian ini data primer
data (Wirartha, 2006, Hal.37).
diperoleh melalui wawancara dan
Penulis melakukan wawancara
observasi pada Instansi Pemerintah
pada personal yang ada di bagian
maupun Swasta yang bergerak dibidang
Pengolahan Data serta pakar
bisnis maupun non bisnis pada bagian
pengolahan datanya, data berupa

-42-
IPS (Intrusion Prevention System) Untuk Mencegah Tindak
Penyusupan / Intrusi (Jutono Gondohanindijo)

teknologi informasi yang ada di 3.1. Kinerja IPS

instansi / lembaga terkait. Intrusion prevention system (IPS)
bertugas untuk memonitor paket-paket data
b. Metode Pengamatan
(data packets) jaringan dari adanya aktivitas
Data dapat diperoleh melalui
mencurigakan dan mencoba melakukan aksi-
pengamatan terhadap gejala yang
aksi tertentu menggunakan kebijakan-
diteliti. Dalam hal ini, panca
kebijakan (policy) tertentu ( Xinyau Zhang,
indra manusia (penglihatan dan
2007). IPS akan mengirimkan sebuah
pendengaran). hasil pengamatan
peringatan (alert) kepada network atau
tersebut ditangkap kemudian di
system administrator ketika suatu hal yang
analisis untuk menjawab masalah
mencurigakan terdeteksi, memungkinkan
penelitian (Wirartha, 2006,
administrator dapat memilih sebuah tindakan
Hal.37). Dari pengamatan ini,
untuk diambil ketika terjadi sebuah event.
penulis mendapatkan data dari
Intrusion prevention system dapat memonitor
dokumen-dokumen informasi
seluruh jaringan, wireless network protocol,
yang ada, tampilan media
perilaku jaringan (network behaviour) dan
elektronik (komputer) serta dari
traffic sebuah komputer. Setiap IPS
tanya jawab langsung dengan
menggunakan metode deteksi tertentu untuk
nara sumber.
menganalisis resiko.
c. Studi Pustaka
Tergantung dari model IPS yang
Metode ini dilakukan dengan
digunakan beserta fitur-fiturnya, sebuah
cara mempelajari literatur –
intrusion prevention system dapat
literatur yang ada hubungannya
mendeteksi berbagai macam pelanggaran
dengan objek penelitian
keamanan. Beberapa diantaranya dapat
(Wirartha, 2006, Hal.36). Dalam
mendeteksi penyebaran malware pada
hal ini referensi yang digunakan
sebuah jaringan, duplikasi file-file besar di
adalah buku – buku dan e-book
antara dua komputer, dan mendeteksi adanya
berkaitan dengan tema penelitian.
aktivitas mencurigakan seperti aktivitas port
scanning.

3. Pembahasan

-43-
 Majalah Ilmiah INFORMATIKA Vol. 3 No. 3, Sept. 2012

Setelah IPS membandingkan masalah sebelumnya. Oleh karena itu, untuk

yang muncul dengan aturan keamanan tetap menjaga keamanan sistem
(security rule) yang telah dibuat, maka IPS jaringan komputer, data signature
akan mencatat setiap event dan akan yang ada harus tetap ter-update.
mencatat frekuensi kemunculan event. Jika 2. Anomaly-based Intrusion Detection
seorang network administrator System
mengkonfigurasikan IPS untuk menjalankan Pada metode ini, terlebih dahulu
tindakan tertentu berdasarkan kejadian, harus melakukan konfigurasi
intrusion prevention system kemudian akan terhadap IDS dan IPS, sehingga IDS
menjalankan perintah yang telah diberikan dan IPS dapat mengetahui pola paket
tersebut. Sebuah basic alert akan dikirimkan seperti apa saja yang akan ada pada
pada administrator, sehingga administrator sebuah sistem jaringan komputer.
dapat merespon secara tepat atau melihat Sebuah paket anomali adalah paket
informasi tambahan pada IPS jika yang tidak sesuai dengan kebiasaan
diperlukan. jaringan komputer tersebut. Apabila
Ada beberapa metode IPS (Intrusion IDS (Intrusion Detection System)
Prevention System) melakukan kebijakan dan IPS (Intrusion Prevention
apakah paket data yang lewat layak masuk System) menemukan ada anomali
atau keluar dalam jaringan tersebut : pada paket yang diterima atau
dikirimkan, maka IDS dan IPS akan
1. Signature-based Intrusion Detection
memberikan peringatan pada
System
pengelola jaringan (IDS) atau akan
Pada metode ini, telah tersedia daftar
menolak paket tersebut untuk
signature yang dapat digunakan
diteruskan (IPS). Untuk metode ini,
untuk menilai apakah paket yang
pengelola jaringan harus terus-
dikirimkan berbahaya atau tidak.
menerus memberi tahu IDS dan IPS
Sebuah paket data akan
bagaimana lalu lintas data yang
dibandingkan dengan daftar yang
normal pada sistem jaringan
sudah ada. Metode ini akan
komputer tersebut, untuk
melindungi sistem dari jenis-jenis
menghindari adanya salah penilaian
serangan yang sudah diketahui

-44-
IPS (Intrusion Prevention System) Untuk Mencegah Tindak
Penyusupan / Intrusi (Jutono Gondohanindijo)

oleh IDS (Intrusion Detection Hal yang perlu diperhatikan dalam

System) atau IPS (Intrusion pemasangan IPS, saran yang diberikan
Prevention System). jangan memasang IPS di gateway karena
sangat beresiko membuat nilai usability
Intrusion prevention system
service yang ditawarkan menjadi sangat
mengkombinasikan kemampuan network
rendah. Terapkan IPS di host – host di
based IDS dengan kemampuan firewall,
jaringan yang sifatnya krusial dengan
sehingga selain mendeteksi adanya
signature detection yang benar-benar akurat
penyusup juga bisa menindaklanjuti dengan
untuk mendeteksi bugs sekuritas yang
melakukan pengeblokan terhadap IP yang
sifatnya critical ( Deris S., A. Hanan, M.
melakukan serangan. Beberapa IPS
Yazid, 2010 ).
opensource yang dikenal :

1. Portsentry
Portsentry digunakan untuk 3.2. Tipe-tipe IPS
melakukan pengeblokan IP address
1. Host Based IPS yang berada pada
yang melakukan scanning port
spesifik IP address, biasanya terdapat
dengan menggunakan fasilitas dari
pada single komputer.
firewall atau teknik null route.
2. Network IPS yang berguna untuk
2. Sshdfilter
mencegah penyusupan pada spesifik
Sshdfilter digunakan untuk
network.
melakukan blocking IP address yang
3. Content Spesific IPS yang
melakukan ssh brute forcing.
memeriksa kontent dari suatu paket
3. Snort
dan mencegah berbagai macam
Snort di gandeng dengan blockit dan
serangan seperti serangan worm.
firewall merupakan NIPS yang
4. Protocol Analysis Menganalisa
mampu melakukan blocking IP
berbagai macam application layer
address terhadap beragam serangan
network protocol seperti http dan ftp.
yang di definisi di signature snort.
5. Rated Based Berguna mencegah
denial of service. Berguna untuk

-45-
 Majalah Ilmiah INFORMATIKA Vol. 3 No. 3, Sept. 2012

memonitoring dan dan mempelajari NIPS (Network Based Intrusion

keadaan normal network. RBIPS Prevention System) adalah sebuah
dapat memonitoring taffic TCP, pengamanan jaringan yang dapat
UDP, ARP Packets, koneksi per mendeteksi dan melakukan blocking pada
detik, paket per koneksi serangan atau intrusion yang mengganggu
jaringan. NIPS biasanya dikembangkan
IPS memiliki NIPS ( Network
selayaknya switch dan router. NIPS
Based Intrusion Prevention System ).
melakukan deteksi ke seluruh paket data
IPS tidak hanya mendeteksi adanya
yang akan masuk ke dalam jaringan,
serangan tetapi dia akan otomatis
dengan cara melakukan pengecekkan pola
melakukan aksi, biasanya dengan block
serangan ataupun pattern dari paket data
traffic yang ada. NIPS merupakan
tersebut. Ketika NIPS mendeteksi sebuah
gabungan dari NIDS ( Network Based
serangan, NIPS (Network Based Intrusion
Intrusion Detection System ) dan
Prevention System) akan langsung
Firewall.
melakukan tindakan yang dapat berupa
blocking paket – paket data tersebut.

3.3. NIPS (Network Based Intrusion

Prevention System)

Gambar 2. Network Based Intrusion Prevention System (NIPS)

-46-
IPS (Intrusion Prevention System) Untuk Mencegah Tindak
Penyusupan / Intrusi (Jutono Gondohanindijo)

Pada masa sekarang ini IDS 3. Mencegah serangan atau gangguan

(Intrusion Detection System) dan IPS dalam jaringan
(Intrusion Prevention System) telah IDPS adalah peralatan keamanan
berkembang. Kedua metode keamanan yang kompleks yang menggunakan berbagai
tersebut dijadikan satu kesatuan sehingga jenis teknologi pendeteksi untuk
kinerja pengamanannya menjadi lebih menemukan gangguan yang berupa
maksimal. Sebuah vendor telah program-program jahat yang masuk kedalam
mengembangkan teknologi tersebut dan jaringan dan menghentikannya sebelum
mengimplementasikannya ke dalam sebuat worm, trojan, virus atau program jahat
alat yang disebut IDPS (Intrusion Detection lainnya dapat merusak sistem.
and Prevention System). IDPS (Intrusion Dengan hanya memasang IDS, sistem
Detection and Prevention System) menjadi pendeteksi gangguan saja, alat tersebut
sistem pendeteksi dan pencegahan dari hanya akan memberikan alarm peringatan
gangguan – gangguan. Dengan adanya adanya keanehan atau gangguan pada
IDPS (Intrusion Detection and Prevention sistem, dan administrator jaringan yang
System), kinerja IDS (Intrusion Detection harus menyelidiki code mencurigakan yang
System) dan IPS (Intrusion Prevention dimaksud dan memutuskan tindakan
System) menjadi lebih baik ketika selanjutnya. Bila selain IDS dipasangi juga
teknologi keamanan tersebut diintegrasikan IPS, maka code jahat yang ditemukan
dalam sebuah alat. IDPS (Intrusion tersebut akan langsung dihentikan secara
Detection and Prevention System) dapat otomatis.
berfungsi sebagai sebuah virtual device.
IDPS melakukan kedua hal tersebut
IDPS (Intrusion Detection and dengan menghentikan koneksi jaringan/user
Prevention System) sangat perlu diketahui yang menyerang sistem, memblok user
akan pentingnya diterapkan pada masa account yang berbahaya, IP address atau
sekarang ini, hal tersebut dikarenakan IDPS atribut lain dari pengaksesan ilegal terhadap
(Intrusion Detection and Prevention server atau aset lain dalam jaringan. Atau
System) memiliki beberapa kemampuan, dapat pula dengan mematikan seluruh akses
yaitu : ke host, service, aplikasi atau aset-aset lain
dalam jaringan.

-47-
 Majalah Ilmiah INFORMATIKA Vol. 3 No. 3, Sept. 2012

Beberapa IDPS cukup baik dalam dasar yang terjadi. Informasi yang lebih
meningkatkan kemampuan pengamanannya spesifik dikumpulkan dalam reports.
melawan serangan berbahaya. Jumlah pemberitahuan yang dikirim
oleh sistem sangat tergantung seberapa kuat
1. Menghentikan serangan melalui re-
level yang dipasang. Semakin kuat level
configuring peralatan kontrol
keamanan yang dipasang maka semakin
keamanan pada network, seperti
banyak pemberitahuan yang dikirimkan.
router dan firewall, untuk memblok
Ketelitian pemasangan level keamanan akan
akses yang bersifat ilegal.
sedikit banyak membantu menurunkan
2. Menghentikan serangan melalui
jumlah pemberitahuan, dan hanya
pemasangan patch pada host untuk
pemberitahuan tentang gangguan keamanan
menutup vulnerabilities.
tertentu saja yang dikirimkan.
3. Menghentikan serangan melalui
penghapusan code jahat yang
5. Melaksanakan peraturan
ditemukan seperti men-deletefile
Manajemen keamanan informasi yang
attachment dalam e-mail.
baik adalah kunci terlaksananya
peraturan/regulasi yang dibuat. Dan itu
4. Memberitahu administrator jaringan
adalah salah satu alasan pentingnya
tentang adanya gangguan keamanan
penerapan IDPS, terutama di organisasi
IDPS akan memberitahukan
yang menjalankan regulasi dengan ketat
administrator jaringan tentang segala sesuatu
seperti institusi keuangan atau perusahaan
yang menyangkut pelanggaran peraturan
kesehatan.
keamanan atau serangan yang terdeteksi.
Dengan menerapkan IDPS, sebuah
Pemberitahuan tersebut dapat
perusahaan dapat mempertahankan
melalui e-mail, web page, pesan dalam
akuntabilitasnya, memberikan kejelasan hak
monitor IDPS user, perangkap SNMP
akses kepada user dan memberikan
(Simple Network Management Protokol),
dukungan infrastuktur yang tepat.
pesan syslog, atau program yang dibuat oleh
user dan script. Umumnya pemberitahuan
6. Menggalakkan kebijakan keamanan
berisi data-data penjelasan tentang hal-hal
jaringan

-48-
IPS (Intrusion Prevention System) Untuk Mencegah Tindak
Penyusupan / Intrusi (Jutono Gondohanindijo)

Peralatan IDPS tidak hanya

melindungi sistem dari penyusup yang 7. Membatasi chatting (IM) dan video
bermaksud jahat, tetapi juga melindungi streaming non-bisnis
gangguan yang disebabkan oleh kesalahan Chatting atau IM (instant
operasional user atau dari pembalasan messaging) dan video streaming saat ini
dendam karyawan yang frustrasi. Dari telah menjadi sebuah gaya hidup, baik
pengalaman perusahaan-perusahaan dalam urusan pribadi maupun urusan pekerjaan.
beberapa tahun belakangan ini, gangguan Sehingga melarang aktifitas chatting dan
keamanan sistem yang disebabkan oleh video streaming dalam perusahaan bukanlah
orang dalam ternyata cukup signifikan. solusi terbaik. Namun penggunaan aktifitas
IDPS dapat dikonfigurasi sebagai tersebut yang tidak terkendali tentunya akan
alat untuk mengidentifikasi pelanggaran menghabiskan sumber daya perusahaan
kebijakan keamanan dengan menset-nya secara sia-sia.
seperti sebuah firewall. Juga dapat diset Perusahaan dapat memanfaatkan
untuk memantau pengunaan akses yang IDPS untuk menjamin penggunaan sarana
tidak tepat seperti mentransfer file secara internet tersebut agar lebih banyak
ilegal. digunakan bagi kepentingan pekerjaan. Ini
Setting pemantauan user ini perlu merupakan fungsi unik dari IDPS, proactive
diumumkan kepada para users, agar para bussiness policy-setting device.
users mengetahui bahwa setiap penggunaan Perlu diwaspadai bahaya yang
akses akan dipantau. Hal ini diharapkan mungkin terjadi saat pertukaran informasi
meminimalisir keinginan/usaha melalui IM. Yaitu saat terjadi pertukaran file
penyalahgunaan hak akses. attachment yang disisipi program jahat
Selain itu IDPS juga dapat (malware) seperti worm. Sekali worm itu
menolong administrator untuk memelihara masuk kedalam sistem, maka penyerang
dan mempertajam kebijakan keamanannya. akan dapat menggunakannya untuk masuk
Sebagai contoh, IDPS akan memberitahu ke host jaringan komputer dan mengambil
administrator jika didalam jaringan terdapat keuntungan dari akses yang telah
duplikasi setting firewall atau menangkap diperolehnya tersebut. Beberapa peralatan
trafik mencurigakan yang lolos dari firewall. IDPS telah dapat digunakan untuk

-49-
 Majalah Ilmiah INFORMATIKA Vol. 3 No. 3, Sept. 2012

menghentikan dan mencegah penyisipan lumpuh membutuhkan waktu yang lama

malware ini. untuk memulihkannya.
10. Memantau program aplikasi yang
8. Lebih memahami aktifitas dalam diinstal user
network Peralatan IDPS dapat menolong staf
IDPS mencatat semua lalulintas TI menemukan aplikasi yang di download
informasi dalam jaringan, termasuk bila ada oleh user dalam jaringan. Jika aplikasi
hal yang mencurigakan yang telah berhasil tersebut diperkirakan dapat merusak sistem,
menyusup kedalam sistem. Catatan ini staf TI dapat dengan segera mencegahnya.
memiliki dua kegunaan : (1) staf TI lebih 11. Membangun kepercayaan
memahami kemampuan peralatan IDPS ini IDPS tidak hanya menurunkan risiko
sebelum alat itu menjadi bagian aktif dalam keamanan jaringan perusahaan, tetapi juga
perusahaan; (2) memberikan pengetahuan memberikan keyakinan bahwa sistem
dasar tentang berbagai macam data yang tersebut aman dari serangan program-
masuk dan keluar dari jaringan setiap hari. program jahat serta tidak berpotensi
Kedua hal itu berguna ketika staf TI menyebarkannya kepada jaringan milik
akan mengambil sebuah keputusan mitra bisnis.
operasional untuk melindungi aset-aset 12. Menghemat biaya
perusahaan. Dan juga memberikan IDPS dapat menghemat biaya yang
pengalaman nyata kepada para eksekutif terjadi akibat kelumpuhan sistem, biaya
perusahaan tentang berbagai macam teknisi untuk penelusuran malware secara
ancaman yang mencoba masuk. manual setiap hari, dan pemborosan biaya-
biaya lain akibat kerusakan sistem yang
9. Menghemat waktu tidak perlu. Dan tentunya biaya kepercayaan
Dengan IDPS, staf TI tidak perlu dari mitra bisnis yang tidak dapat dihitung
menyisir secara manual log dalam firewall secara eksak.
setiap hari yang akan memakan waktu
sangat lama. Juga mencegah terjadinya
kelumpuhan jaringan yang diakibatkan oleh 3.4. Perbedaan IPS dan IDS
serangan. Tentunya bila jaringan sempat

-50-
IPS (Intrusion Prevention System) Untuk Mencegah Tindak
Penyusupan / Intrusi (Jutono Gondohanindijo)

Ada perbedaan yang mendasar antara

Intrusion Detection System (IDS) dan IPS
menurut Rainer Bye (2009) seperti pada
tabel dibawah ini :
Tabel 1 : Perbedaan IPS dan IDS

IDS IPS
OSI Layer Layer 3 Layer 2, 3 dan 7

Kegunaan IDS didesain hanya untuk Mengkombinasikan Firewall,

mengidentifikasi dan memeriksa Policy, QoS dan IDS dengan
semua paket yang lewat, jika ditemukan baik. IPS memang dibuat untuk
keganjilan maka akan mentrigger alarm dapat mentrigger alarm dan
melakukan Allow, Block, Log
Aktivitas Mendeteksi serangan hanya disaat Early Detection, teknik yang
serangan tersebut telah masuk ke proaktif, mencegah sedini
jaringan dan tidak akan melakukan mungkin attack masuk ke
sesuatu untuk menghentikannya jaringan, dan akan
menghentikannya jika
teridentifikasi
Komponen Tidak dapat mendeteksi semua Memungkinkan dapat
aktivitas malicious dan malware setiap mendeteksi new signature dan
saat yang akan mengakibatkan false behavior attack,dan
negative sangat banyak mengakibatkan rendahnya false
negative
Integrated Tidak dapat menggunakan ACL / Dapat diintegrasikan dengan
script dari komponen system ACL dan perimeter DMZ
keamanan yang lain lainnya

merupakan pengembangan dari dari IDS

IPS (Intrusion Prevention System)
(Intrusion Detection System) .Sebagai
merupakan jenis metode pengamanan
pengembangann dari teknologi firewall, IPS
jaringan baik software atau hardware yang
melakukan kontrol dari suatu sistem
dapat memonitor aktivitas yang tidak
berdasarkan aplikasi konten atau pattern,
diinginkan atau intrusion dan dapat langsung
tidak hanya berdasarkan ports atau IP
bereaksi untuk untuk mencegah aktivitas
address seperti firewall umumnya. .
tersebut. IPS (Intrusion Prevention System)

-51-
 Majalah Ilmiah INFORMATIKA Vol. 3 No. 3, Sept. 2012

Intrusion Detection System selain dapat hardware. IPS dapat melakukan monitoring
memantau dan monitoring, IPS (Intrusion terhadap seluruh aktifitas pada jaringan, IPS
Prevention System) dapat juga mengambil akan langsung melakukan pencegahan
kebijakan dengan memblock paket yang terhadap gangguan – gangguan atau
lewat dengan cara 'melapor' ke firewall. intrusion seperti blocking atau drop program
gannguan.

Kelebihan dari IPS adalah sistem

3.5. Implementasi IPS Dalam
Mengamankan Komputer yang dimilikinya, IPS memilki kecerdasan
buatan sendiri yang dapat mempelajari dan
Seiring dengan berkembangnya
mengenali serangan dan metode yang
teknologi mengenai jaringan komputer,
digunakan dalam penyerangan tersebut
maka berkembang pula metode
(TRIGER). IDS (Intrusion Detection
pengamanannya. Hal ini dikarenakan agar
System) dan IPS (Intrusion Prevention
keamanan dari informasi di dalam jaringan
System) melakukan pendeteksian dan
tersebut dan juga keamanan jaringan itu
pencegahan terhadap gangguan atau
sendiri dapat terjaga keamanannya dari para
intrusion berdasarkan signature atau pattern
punyusup atau intruder. Karena hal
yang terdapat pada rule yang dibuat. Paket
tersebutlah diperlukan metode keamanan
data yang datang terlebih dahulu akan di
berupa pendeteksian dan pencegahan,
periksa kecocokannya terhadap rule yang
metode tersebut terdapat di dalam IDS
dibuat, apabila terdapat kesamaan pada rule
(Intrusion Detection System) dan IPS
yang maka secara otomatis IDS (Intrusion
(Intrusion Prevention System) yang dapat
Detection System) dan IPS (Intrusion
melakukan pengaturan agar keamanan
Prevention System) akan melakukan
Informasi dalam jaringan tersebut dapat di
peringatan (allert) dan selanjutnya akan
manage atau dijaga dan juga keamanan
melakukan pencegahan berupa blocking
jaringannya pun menjadi lebih secure atau
terhadap gangguan tersebut.
aman.

IPS (Intrusion Prevention System)

adalah sebuah metode pengamanan jaringan
yang dapat berupa software ataupun

-52-
IPS (Intrusion Prevention System) Untuk Mencegah Tindak
Penyusupan / Intrusi (Jutono Gondohanindijo)

3.6. Topologi IPS

Gambar 3. Topologi dan terminologi dalam implementasi IPS ( Deris S., A. Hanan, M. Yazid,
2010 )

Berikut ini adalah beberapa istilah True Negative (TN) : dimana pada
kondisi traffic normal dan tidak ada
atau terminologi yang digunakan dalam
alarm yang dibangkitkan, (ii) True
mengimplentasikan Topologi IPS :
Positive (TP) akan mentrigger alarm
jika ditemukan kecocokan yang
1. Akurasi Signature
diidentifikasi sebagai serangan, (iii)
Keakurasian signature sangat False Negative (FN) akan tetap diam
ditentukan oleh sensor dan update dengan tidak memberikan alarm
informasi yang ada, dimana sensor walaupun attack telah masuk dan
membuat alert, disuatu kondisi menyerang, dan (iv) False Positive
mentrigger alarm dari sensor (valid (FP) membuat alert pada kondisi
atau tidak), jika tidak valid terdeteksi aktivitas traffic normal, fokus utama
bisa juga sangat memungkinkan banyak peneliti adalah pada
sebagai serangan. Ada empat alert bagaimana untuk mengurangi alert FP
yang dibuat oleh sensor, seperti (i) ini. IPS seperti memiliki hidung dan

-53-
 Majalah Ilmiah INFORMATIKA Vol. 3 No. 3, Sept. 2012

mata untuk mengidentifikasi semua

data paket inbound-outbound. Dalam sesi ini, harus
diidentifikasi akses yang akan dibuat,
misalnya akses juga akan diberikan ke
mitra bisnis, dan koneksi dapat di
2. Volume Traffic
lakukan telecommutes secara mobile.
Volume traffic sangat Tujuannya adalah untuk menentukan
dipengaruhi oleh perangkat yang model aksesnya. Terdapat dua akses,
digunakan. Hal ini akan meningkat yaitu akses outside dan inside, akses
dengan tingginya traffic jaringan yang outside langsung terhubung ke
akan dipantau, yang akan Internet, sedangkan inside adalah sisi
mempengaruhi performance secara jaringan yang terpercaya. Sedangkan
keseluruhan. Dibutuhkan klarifikasi DMZ adalah dari sisi perimeter
jumlah paket traffic yang digunakan. demiliterisasi zone, untuk
Jumlah keseluruhan traffic didapat mengidentifikasi dan memonitoring
dari jumlah segment jaringan dan server farm. Terdapat dua faktor yang
jumlah sensor yang ditempatkan. akan mempengaruhi dalam hal ini, (i)
Penggunaan Fast Eth dan Gigabit Eth penempatan sensor, dan (ii) jumlah
akan mempengaruhi dari faktor ini. sensor yang akan digunakan. Kejelian
Hubungannya adalah akan dalam menentukan dua faktor ini akan
mempengaruhi kinerja jaringan secara meningkatkan akurasi dalam
keseluruhan. Hal ini penting karena pengenalan pola serangan yang akan
setiap node jaringan dapat membuat dilakukan.
permasalahan, termasuk kesalahan
Penempatan disisi outside
hardware, laporan kesalahan sistem
akan memonitor dan
operasi, perangkat jaringan akan
mengidentifikasi paket yang akan
menghasilkan broadcast yang
masuk dan keluar, sedangkan
memerlukan bandwidth.
penempatan di sisi inside misalnya di
core, distribution atau access akan
mempengaruhi keakuratan yang
3. Topologi Penempatan Sensor

-54-
IPS (Intrusion Prevention System) Untuk Mencegah Tindak
Penyusupan / Intrusi (Jutono Gondohanindijo)

dimonitor, karena sifat sensor ini Pada isu permasalahan ini, ada
hanya akan mengidentifikasi paket banyak sekali log file yang didapat
yang lewat di interfacenya. dari logging system, seperti transaksi
data log, log data attack, log data
traffic, log record insiden, log
4. Penggunaan Quota Log
notifikasi insiden, log laporan
kegagalan, dan sebagainya yang
Pada penelitian sebelumnya,
memerlukan media storage yang
semua system logs disimpan pada
besar.
peralatan yang aman, model dengan
menggunakan redundancy ditawarkan
dengan jaminan high reliability yang
5. Proteksi Mesin IPS
tinggi ( Taras Dutkevych, 2007 ).
Namun tidak menjelaskan secara
Terdapat beberapa statement
detail secara teknis bagaimana
dan kesimpulan penelitian
konfigurasi secara teknis dan
sebelumnya, dimana Xinyau Zhang
peralatan yang digunakan. Hal ini
(2007) membuat intrusion prevention
berkaitan dengan berapa besar
dengan berbasis SNMP untuk
penggunaan media storages yang akan
mengintegrasikan dengan system
digunakan, dalam pantauan yang
pertahanan yang lain, sedangkan Anh
dilakukan dalam jaringan
Le (2008) mengatakan implementasi
sesungguhnya yang dilakukan, pada
load balancing dengan
percobaan yang dilakukan, didapat log
menggunakan libcap library dengan
sebesar 150 MBps di traffic jaringan
teknik clustering. Namun sangat
dengan bandwidth ke internasional
disayangkan, tidak ada yang
135 Mbps. Sedangkan pengambilan
membahas tentang bagaimana
data hanya data transaction (IP Add
menjaga mesin IPS dari serangan yang
dan Mac Add) bukan dataset secara
mungkin akan dilakukan penyerang.
utuh.
Dalam pengamatan sangat
dimungkinkan penyerang akan

-55-
 Majalah Ilmiah INFORMATIKA Vol. 3 No. 3, Sept. 2012

menyerang IPS. Dari sisi penyerang, solusi SPAN (Switched Port

hacker akan melakukan serangan pada Analyzer) dapat digunakan untuk
mesin target dengan berbagai cara dan mengidentifikasi dan mengenali paket-
mekanisme, dimana serangan akan paket tersebut.
direncanakan dengan baik. Ada
Sensor monitoring digunakan
beberapa tahapan secara umum seperti
untuk mengintegrasikan dan
: probe, scan, intrusion dan goal
mencakup infrastruktur keamanan
(Zhijie Liu, 2008). Menurut
yang tersebar agar bisa berinteraksi
pengamatan yang dilakukan terdapat
secara dinamis dan otomatis dengan
banyak cara penyerang untuk mencari
perangkat keamanan yang berbeda.
kelemahan, langkah scanning yang
Berarti disini dibutuhkan suatu
sering dilakukan untuk mencari titik
mekanisme system monitoring yang
kelemahan tersebut, baik yang hanya
terpadu (Sourour M., 2008).
sekedar mengumpulkan informasi
seperti IP Address, skema diagram,
aplikasi yang dijalankan, model 7. Kolaborasi U.T.M
firewall yang diintegrasikan sampai
dengan mencari celah user dan
password. Pada sesi ini, kolaborasi system
keamanan akan menjadi fokus utama.
Unified Threat Management (UTM)
6. Sensor Monitoring
coba ditawarkan disesi ini. Ada
beberapa model dalam system

Sensor merupakan bagian keamanan ini, namun sangat

kritikal di IPS, namun sangat disayangkan, model-model ini

disayangkan, capacity sensor ini biasanya mempunyai standar sendiri-

sangat dibatasi oleh jumlah dari trafik sendiri yang tidak dapat diintegrasikan

jaringan, penempatan sensor, dan satu dengan yang lain. Dalam

penggunaan system (apakah hardware pengamatan yang dilakukan terdapat

atau berbasis module), karenanya tiga bagian utama pada system

-56-
IPS (Intrusion Prevention System) Untuk Mencegah Tindak
Penyusupan / Intrusi (Jutono Gondohanindijo)

keamanan computer, (i) web security, buatan manusia, metode keamanan

(ii) network protection, and (iii) mail tersebut tidak akan sempurna.
filtering. c) Kemanan komputer merupakan
aspek yang sangat vital ketika
komputer yang digunakan tersebut
terhubung dalam jaringan baik lokal
4. Kesimpulan
maupun global. Untuk mencegah
Dari pembahasan dapat disimpulkan penyusupan maka diperlukan sebuah
sarana yang digunakan untuk
bahwa :
mendeteksi dan mencegahnya. IPS

a) IPS (Intrusion Prevention System) adalah solusi dari tindak pencegahan

digambarkan seolah – olah bekerja intrusi masuk ke dalam komputer

pada bagian luar network dan kita.

mendeteksi seluruh paket data yang

datang untuk kemudian akan di Daftar Pustaka
analisa apakah paket data tersebut
Anh Le, et al, 2008, ” On Optimizing Load
berupa gangguan atau intrusi dengan
Balancing of Intrusion Prevention
mencocokkan signature atau pattern
and Prevention Systems”, IEEE,
paket data tersebut dengan rule yang
INFOCOM Workshops.
dibuat.
b) Sangat penting untuk melakukan
manajemen Keamanan informasi.
Deris S., A. Hanan, M. Yazid, 2010, “The
Untuk melakukannya tidak hanya
Measurement Internet Services”,
butuh satu metode keamanan yang
International Conferences, ICGC-
sangat baik, tetapi akan lebih baik
RCICT.
dan dibutuhkan beberapa metode
keamanan yang saling bekerja sama
untuk menutupi kekurangannya
E. Carter, et al, 2006, “Intrusion Prevention
karena selama masih dalam konteks
Fundamentals : an introduction to

-57-
 Majalah Ilmiah INFORMATIKA Vol. 3 No. 3, Sept. 2012

network attack mitigation with IPS”, Taras Dutkevych, et al, 2007, “Real-Time
Cisco press. Intrusion Prevention and Anomaly
Analyze System for Corporate
Networks”, IEEE International
Rainer Bye, et al, 2009, “Design and Workshop on Intelligent Data
Modeling of Collaboration Acquisition and Advanced
Architecture for Security”, Computing Systems: Technology
International Symposium and Applications.
Collaborative Technologies and
Systems.
Wardhani, H. M., 2010, “Intrusion
Detection System”,
Robert Richardson, 2008, “CSI Computer http://helenamayawardhani.wordpre
Crime & Security Survey 2008”. ss.com

Sourour M., et al, 2008, “Collaboration Wirartha, I.M., 2006, “Metodologi

between Security Devices toward Penelitian Sosial Ekonomi”,
improving Network Defense”, Yogyakarta, Penerbit Andi.
sevent IEEE/ACIS International
Conference on Computer and
Information Science. Xinyau Zhang, et al, 2004, “Intrusion
Prevention System Design”,
Computer and Information
Sundaram, A., 1996, “An Introduction to Technology.
Intrusion Detection”, USA:
Whitepaper.

Zhijie Liu, et al, 2008, “Correlating Multi-

Step Attack and Constructing Attack

-58-
IPS (Intrusion Prevention System) Untuk Mencegah Tindak
Penyusupan / Intrusi (Jutono Gondohanindijo)

Scenarios Based on Attack Pattern

Modeling“, International
Conference on Information Security
and Assurance.

-59-