INFORMATICS ENGINEERING BILINGUAL CLASS

Pengenalan IDS ( Intrusion Detection System ) dan IPS ( Instrusion Prevention System ) sebagai Manajemen Keamanan Informasi dan Pengamanan Jaringan

KEAMANAN JARINGAN KOMPUTER

Handry Fratama Diansyah 5906 1002 010

FAKULTAS ILMU KOMPUTER UNIVERSITAS SRIWIJAYA

Pengenalan IDS ( Intrusion Detection System ) dan IPS ( Instrusion Prevention System ) Sebagai Manajemen Keamanan Informasi dan Pengamanan Jaringan Abstrak Seiring dengan Perkembangan Teknologi Informasi saat ini yang selalu berubah, menjadikan keamanan suatu informasi sangatlah penting terlebih lagi pada suatu jaringan yang terkoneksi dengan internet. Namun yang cukup disayangkan adalah ketidakseimbangan antara setiap perkembangan suatu teknologi tidak diiringi dengan perkembangan pada sistem keamanan itu sendiri, dengan demikian cukup banyak sistem sistem yang masih lemah dan harus ditingkatkan dinding keamanannya. Keamanan suatu jaringan seringkali terganggu dengan adanya ancaman dari dalam ataupun dari luar. Serangan tersebut berupa serangan Hacker yang bermaksud merusak Jaringan Komputer yang terkoneksi pada internet ataupun mencuri informasi penting yang ada pada jaringan tersebut. Hadirnya firewall telah banyak membatu dalam pengamanan, akan tetapi seiring berkembang teknolgi sekrang ini hanya dengan firewall keamanan tersebut belum dapat dijamin sepenuhnya. Karena itu telah berkembang teknologi IDS dan IPS sebagai pembantu pengaman data pada suatu jarigan komputer. Dengan adanya IDS ( Intrusion Detection System ) dan IPS ( Instrusion Prevention System ), maka serangan serangan tersebut lebih dapat dicegah ataupun dihilangkan. IDS ( Intrusion Detection System) berguna untuk mendeteksi adanya serangan dari penyusup (serangan dari dalam) sedangkan IPS ( Intrusion Prevention System ) berguna untuk mendeteksi serangan dan menindaklanjutinya dengan pemblokan serangan.

BAB I PENDAHULUAN Latar Belakang Keamanan jaringan komputer dikategorikan dalam dua bagian, yaitu keamanan secara fisik dan juga keamanan secara non fisik. Kemanan secara fisik merupakan keamanan yang cenderung lebih memfokuskan segala sesuatunya berdasarkan sifat fisiknya dalam hal ini misalanya pengamanan komputer agar terhindar dari pencurian dengan rantai sehingga fisik komputer tersebut tetap pada tempatnya, kondisi ini sudah sejak lama diaplikasikan dan dikembangkan. Sedangkan keamaanan non fisik adalah keamanan dimana suatu kondisi keamanan yang menitik beratkan pada kepentingan secara sifat, sebagai contoh yaitu pengamanan data, misalnya data sebuah perusahaan yang sangat penting, Keamanan fisik ataupun keamanan non fisik kedua duanya sangat penting namung yang terpenting adalah bagaimana agar jaringan komputer tersebut terhindar dari gangguan. Gangguan tersebut dapat berupa gangguan dari dalam ( internal ) ataupun gangguan dari luar (eksternal). Gangguan internal merupakan gangguan yang berasala dari lingkup dalam jaringan infrastruktur tersebut, dalam hal ini adalah gangguan dari pihak pihak yang telah mengetahui kondisi keamanan dan kelemahan jaringan tersebut. Gangguan eksternal adalah gangguan yang memang berasal daru pihak luar yang ingin mencoba atau dengan sengaja ingin menembus keamanan yang telah ada. Untuk melakukan pendektesian dan pencegahan dari hal hal yang telah disampaikan diatas, telah banyak dikembangkan sistem ataupun metode untuk melakukan pendekteksian dan pencegahan tersebut. Metode tersebut dapat berupa IDS (Intrusion Detection System) dan IPS (), dimana metode tersebut mampu melakukan pendeteksian dan pencegahan gangguan dalam jaringan komputer dan menjaga keamanan jaringan tersebut. Pada penulisan makalah ini, penulis membuat penjelasan mengenai pengamanan jaringan komputer dengan metode IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System). Penulis akan menuliskan apakah IDS dan IPS itu, kelebihannya dan kekuranngannya agar pembaca dapat mengetahui dengan benar penggunaan IDS (Instrusion Detection System) dan IPS (Instrusion Detection System) tersebut.

Tujuan Berdasarkan latar belakan di atas, tujuan penulis membuat makalah pengamanan jaringan komputer dengan metode Pendeteksian dan Pencegahan adalah sebagai berikut : 1. Pembaca mengetahui metode metode pendeteksian dan pencegahan yang baik dan secara umum sering digunakan. 2. Pembaca mengetahui apakah IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System) dan bagaimana IDS (Intrusion Detection System) yang ada. 3. Pembaca mengetahui Karateristik dari metode IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System). 4. Pembaca memiliki pandangan kedepan mengenai manajemen keamanan informasi dan pengaman jaringan komputer. serta IPS (Intrusion Prevention System) pada saat sekarang ini secara umum berdasarkan beberapa pandangan dan pengertian

Metode Penelitian Metode penelitian yang dilakukan oleh penulis adalah metode literature, yaitu dengan literature dari materi materi yang ada pada buku dan internet.

BAB II LANDASAN TEORI Keamanan atau security adalah mekanisme dan teknik untuk melindungi sesuatu yang dapat berupa data atau informasi di dalam sistem. Pada dasarnya secutity adalah sistem yang digunakan untuk melindungi sistem dalam suatu jaringan keamanan agar tetap terjaga. Keamanan atau Security haruslah memiliki beberapa bagian penting di dalamnya, yaitu : 1. Availability yaitu menjaga akses untuk masuk ke dalam informasi 2. Confidentianlity yaitu menjaga informasi secara rahasia dan hanya dapat dibuka oleh yang memiliki hak resmi untuk mengaksesnya. 3. Anonymity yaitu menyembunyikan identitas dari entitas yang terlibat dalam prosesnya 4. Privacy yaitu memiliki hak dan kewajiban yang mengatur akusisim rahasia pribadi, dan informasi rahasi yang lain. 5. Identification and Authentication yaitu cara mengetahui identitas user dalam jaringan komputer. IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System) adalah sistem sistem yang banyak digunakan untuk mendeteksi dan melindungi atau mencegah sistem keamanan dari serangan serangan. Mekanisme keamanan ini dilakukan dengan cara membandingkan paket yang masuk dengan data data signature yang ada. IDS (Intrusion Detection System) IDS (Intrusion Detection System) merupakan sistem untuk mendeteksi adanya intrusion yang dilakukan oleh intruder atau pengganggu atau penyusup di jaringan. IDS (Intrusion Detection System) sangat mirip seperti alarm, yaitu IDS (Instrusion Detection System) akan memperingati bila terjadinya atau adanya penyusupan pada jaringan. IDS (Intrusion Detection System) dapat didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect, inappropriate yang terjadi di jaringan atau host. IDS (Intrusion Detection System) adalah sistem keamanan yang bekerja bersama Firewall untuk mengatasi Intrusion. IDS () juga memiliki cara kerja dalam menganalisa apakah paket data yang dianggap sebagai intrusion oleh intruser. Cara kerja IDS () dibagi menjadi dua, yaitu : Knowledge Based (Misuse Detection )

Knowledge Based pada IDS (Intrusion Detection System) adalah cara kerja IDS(Intrusion Detection System) dengan mengenali adanya penyusupan dengan cara menyadap paket data kemudian membandingkannya dengan database rule pada IDS (Intrusion Detection System) tersebut. Database rule tersebut dapat berisi signature signature paket serangan. Jika pattern atau pola paket data tersebut terdapat kesamaan dengan rule pada database rule pada IDS (Intrusion Detection System), maka paket data tersebut dianggap sebagai seranganm dan demikian juga sebaliknya, jika paket data tersebut tidak memiliki kesamaan dengan rule pada database rule pada IDS(Intrusion Detection System), maka paket data tersebut tidak akan dianggap serangan. Behavior Based ( Anomaly Based ) Behavior Base adalah cara kerja IDS (Intrusion Detection System) dengan mendeteksi adanya penyusupan dengan mengamati adanya kejanggalan kejanggalan pada sistem, aatu adanya keanehan dan kejanggalan dari kondiri pada saat sistem normal, sebagai contoh : adanya penggunaan memory yang melonjak secara terus menerus atau terdapatnya koneksi secara paralel dari satu IP dalam jumlah banyak dan dalam waktu yang bersamaan. Kondisi tersebut dianggap kejanggalan yang selanjutnya oleh IDS (Intrusion Detection System) Anomaly Based ini dianggap sebagai serangan. Intrusion itu sendiri didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect, inappropite yang terjadi di jaringan atau di host tersebut. Intrusion tersebut kemudian akan diubah menjadi rules ke dalam IDS (Intrusion Detection System). Sebagai contoh, intrusion atau gangguan seperti port scanning yang dilakukan oleh intruder. Oleh karena itu IDS (Intrusion Detection System) ditujukan untuk meminimalkan kerugian yang dapat ditimbulkan dari intrusion. Jenis Jenis IDS () Network Instrusion Detection System (NIDS) Memantau Anomali di Jaringan dan mampu mendeteksi seluruh host yang berada satu jaringan dengan host implementasi IDS (Intrusion Detection System) tersebut. NIDS (Network Instrusion Detection System) pada umumnya bekerja dilayer 2 pada OSI layer, IDS (Intrusion Detection System) menggunakan raw traffic dari proses sniffing kemudian mencocokknannya dengan signature yang telah ada dalam policy. Jika terdapat kecocokan antara signature dengan raw traffinc hasil sniffing paket, IDS (Intrusion Detection System) memberikan allert atau peringgatan sebagai tanda adanya proses intrusi ke dalam sistem. NIDS (Network Instrusion Detection System) yang cukup banyak dipakai adalah snort karena signature yang customizable, sehingga setiap vulnerability baru ditemukan dapat dengan

mudah ditambahkan agar jika terjadi usaha punyusupan atau intrusion dari intruder akan segera terdeteksi. cotoh : malihat adanya network scanning Host Instrusion Detection System (HIDS) Mamantau Anomali di Host dan hanya mampu mendeteksi pada host tempat implementasi IDS (Intrusion Detection System) tersebut. HIDS (Host Instrusion Detection System) biasanya berupa tools yang mendeteksi anomali di sebuah host seperti perubahan file password dengan penambahan user ber UID 0, perubahan loadable kernel, perubahan ini script, dan gangguan bersifat anomali lainnya. contoh : memonitor logfile, process, file ownership, dan mode. Seperti dijelaskan, IDS(Intrusion Detection System) melakukan deteksi gangguan keamanan dengan melihat Anomali pada jaringan. Anomali dapat dijelaskan sebagai traffic atau aktifitas yang tidak sesuai dengan kebijakan yang dibuat (policy). Contoh Anomali yang dijelaskan sebagai Traffic / aktivitas yang tidak sesuai dengan policy : Akses dari atau menuji ke host yang terlarang Memiliki Content atau Patern terlarang (virus) Menjalakan program terlarang.

IDS () tidak hanya bekerja secara sendiri, IDS (Intrusion Detection System) bekerja mendeteksi gangguan bersama sama dengan firewall. Mekanisme penggunaan IDS adalah IDS (Intrusion Detection System) membantu firewall melakukan pengamanan dengan snort ( open source ) ataupun dengan menggunakan Box IDS sedangkan firewall menggunakan Packet Filtering Firewall. Paket Filtering Firewall dapat membatasi akses koneksi berdasarkan pattern atau pola pola koneksi yang dilakukan, seperti protokol, IP source and IP destination, Port Source and Port Destination, Aliran data dan code bit sehingga daat diatur hanya akses yang sesuai dengan policy saja yang dapat mengakses sestem. Paket Filtering Firewall bersifat statik sehingga fungsi untuk membatasi akses juga secara statik, sebagai contoh : akses terhadap port 80 (webserver) diberikan izin (allow) oleh policy, maka dari manapun dan apapun aktifitas terhadap port tersebut tetap di ijinakan meskipun aktifitas tersebut merupakan gannguan (intrusion) ataupun usaha penetrasi dari para intruder. Untuk itulah Paket Filtering Firewall tidak dapat mengatasi gangguan yang bersifat dinamik sehingga harus dikombinasikan penggunaannya dengan IDS (Intrusion Detection System) untuk membantu sistem hardening atau pengamanan.

IDS (Intrusion Detection System) dan Firewall menggunakan Engine Sistem Pencegahan Penyusupan untuk melakukan pengamanan secara maksimal, Engine tersebut bertugas membaca alert dari IDS (Intrusion Detection System), alert tersebut dapat berupa jenis serangan dan IP address intruder , kemudian memerintahkan firewall untuk melakukan block ataupun drop akses intruder tersebut ke koneksi dalam sistem. Sistem pencegahan intrusion dari para intruder tersebut akan lebih maksimal jika diletakkan pada router, sehingga daerah kerja sistem tersebut dapat mencakup semua host yang berada dalam satu jaringan dengan router sebagai tempat mengimplementasikan sistem pencegahan penyusupan tersebut. Bila konsentrator menggunakan switch, akan terdapat masalah yang timbul. Masalah tersebut adalah proses pendeteksian terhadap paket data yang datang menjadi tidak berfungsi, salah satu cara yang mudah untuk mengatasi masalah seperti ini, cara tersebut adalah dengan melakukan spoofing MAC address terhadap host host yang akan diamati. Paket Decoder Paket yang disandikan. Preprocessor (Plug-ins) Modul plug-in uang berfungsi untuk mengolah paket sebelum dianalisa. Detection Engine Rules from signature. Output Stage Alert dan Log. Ada beberapa tipe penggunaan IDS (Intrusion Detection System) untuk menajemen keamanan informasi dan pengamanan jaringan, yaitu dengan menggunakan Snort IDS (Intrusion Detection System) dan IDS (Intrusion Detection System) dengan menggunakan Box. Snort IDS Snort IDS merupakan IDS open source yang secara defacto menjadi standar IDS (Intrusion Detection System) di industri. Snort merupakan salah satu software untuk mendeteksi instruksi pada system, mampu menganalisa secara real-time traffic dan logging IP, mampu menganalisa port dan mendeteksi segala macam intrusion atau serangan dari luar seperti buffter overflows, stealth scan, CGI attacks, SMP probes, OS fingerprinting.

Secara default Snort memiliki 3 hal yang terpenting, yaitu : 1. Paket Snifferm Contoh : tcpdump, iptraf, dll. 2. Paket Logger Berguna dalam Paket Traffic. 3. NIDS (Network Intrusion Detection System ) Deteksi Intrusion pada Network Komponen komponen Snort IDS (Intrusion Detection System) meliputi : Rule Snort Rule Snort merupakan database yang berisi pola pola serangan berupa signature jenis jenis serangan. Rule snort IDS (Intrusion Detection System) harus selalu terupdate secara rutin agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat terdeteksi. Rule Snort dapat di download pada website www.snort.org. Snort Engine Snort Engine merupakan program yang berjalan sebagai daemon proses yang selalu bekerja untuk membaca paket data dan kemudian membadingkan dengan Rule Snort. Alert Alert merupakan catatan serangan pada deteksi penyusupan. Jika Snort engine mendeteksi paket data yang lewat sebagai sebuah serangan, maka snort engine akam mengirimkan alert berupa log file. Kemudian alert tersebut akan tersimpan di dalam database. Hubungan ketiga komponen snort IDS (Intrusion Detection System) tersebut dapat digambarkan dalam gambar berikut.

IDS (Intrusion Detection System) dengan menggunakan Box IDS (Intrusion Detection System) dengan menggunakan BOX adalah IDS (Intrusion Detection System) dengan yang merupakan product dari suatu perusahaan pengembang keamanan jaringan komputer (Vendor). Sama seperti IDS (Intrusion Detection System) Snort, IDS (Intrusion Detection System) dengan menggunakan Box ini memiliki kemampuan yang sama untuk melakukan pendeteksian terhadap intursion dalam sebuah jaringan. Pada IDS (Intrusion Detection System) dengan menggunakan Box allert yang digunakan dapat berupa message, message tersebut dapat berupa sms ataupun email ke administrator.

Untuk melakukan manajemen keamanan informasi pada sistem, haruslah terlebih dahulu diketahui karateristik yang di dapat dari penggunaan IDS (Intrusion Detection System) agar pengamanan tersebut dapat dilakukan secara maksimal. Karateristik atau sifat yang dimiliki Oleh IDS () pada umumnya : Suitability Aplikasi IDS yang cenderung memfokuskan berdasarkan skema manajemen dan arsitektur jaringan yang dihadapkannya.

Flexibility Aplikasi IDS yang mampu beradaptasi dengan spesifikasi jaringan yang akan dideteksi oleh aplikasi tersebut.

Protection Aplikasi IDS yang secara ketat memproteksi gangguan yang sifatnya utama dan berbahaya.

Interoperability

Aplikasi IDS yang secara umum mampu beroperasi secara baik dengan perangkat-perangkat keamanan jaringan serta manajemen jaringan lainnya. Comprehensiveness Kelengkapan yang dimiliki oleh aplikasi IDS ini mampu melakukan sistem pendeteksian secara menyeluruh seperti pemblokiran semua yang berbentuk Java Applet, memonitor isi dari suatu email serta dapat memblokir address url secara spesifik. Event Management Konsep IDS yang mampu melakukan proses manajemen suatu jaringan serta proses pelaporan pada saat dilakukan setiap pelacakan, bahkan aplikasi ini mampu melakukan updating pada sistem basis data pola suatu gangguan. Active Response Pendeteksi gangguan ini mampu secara cepat untuk mengkonfigurasi saat munculnya suatu gangguan, biasanya aplikasi ini berintegrasi dengan aplikasi lainnya seperti aplikasi Firewall serta aplikasi IDS ini dapat mengkonfigurasi ulang spesifikasi router pada jaringannya. Support Lebih bersifat mendukung pada suatu jenis produk apabila diintegrasikan dengan aplikasi lain. Kelebihan yang akan di dapatkan dengan menggunakan IDS (Intrusion Detection System) sebagai metode Keamanan : 1. Memiliki Akurasi keamanan yang baik IDS (Intrusion Detection System) haruslah memiliki akurasi atau ketelitian, jadi IDS (Intrusion Detection System) yang baik adalah IDS (Intrusion Detection System) yang memiliki ketelitian yang baik untuk mengenal intrusion atau gangguan. Pada saat sekrarang ini IDS (Intrusion Detection System) telah memiliki ketelitian tinggi, yaitu mampu secara realtime mendeteksi dan melakukan blocking terhadap tindakan yang mencurigakan. Selain itu IDS () juga harus mampu memeriksa dan menganalisa pattern objek secara menyeluruh seperti paket paket data baik Header Paket maupun Payload yang dipergunakan serta membedakan paket data yang keluar masuk dalam lalu lintas jaringan sehingga dapat mengenal benar karateristik trafic penyerang. Oleh karena itu untuk melakukan hal tersebut, IDS (Intrusion Detection System) yang baik haruslah memiliki karateristik : Memiliki kemampuan menganalisa protokol dari semua sumber lalu lintas (trafic).

Memiliki kemampuan menganalisa protokol secara stateful untuk Layer Network atau Layer ke tiga pada OSI Layer sampai dengan Layer Aplication atau Layer ke tujuh pada OSI Layer.

Memiliki kemampuan untuk melakukan perbandingan secara Context-Base, Multiple-Tringger, Multiple-Pattern signature dengan tujuan untuk dapat mengenal dan mengetahui jenis exploit yang dipergunakan.

Memiliki kemampuan Forward dan Backward apabila terjadi proses overlap (penumpukan data) pada IP Fragmen (Layer 3).

Memiliki kemampuan Forward dan Backward apabila terjadi proses overlap (penumpukan data) pada TCP Segment.

Memiliki

kemampuan

Forward

dan

Backward

apabila

terjadi

kerancuan

dahbketidakberesan di dalam implementasi protokol (Layer 4). Memiliki kemampuan kontrol pada tingkat aplikasi protokol seperti : HTTP, FTP, Telnet, RPC Fragmentasi, dan SNMP (Layer 6 dan Layer 7 ).

2. Mampu Mendeteksi dan Mencegah Serangan. IDS (Intrusion Detection System) haruslah dapat mendeteksi serangan dn juga mampu untuk melakukan pencegahan terhadap serangan tersebut, IDS (Intrusion Detection System) yang baik dalam mengatasi serangan adalah IDS (Intrusion Detection System ) yang memiliki karateristik : Dapat beroperasi secara in-line. Memiliki kehandalan dan ketersediaan. Deliver high performance. Kebijakan policy pada IDS(Intrusion Detection System)yang dapat diatus sesuai dengan yang dibutuhkan.

3. Memiliki cakupan yang Luas dalam Mengenal Proses Attacking

IDS (Intrusion Detection System) haruslah memiliki pengetahuan yang luas, dapat mengenal serangan apa yang belum dikenalnya, seperti contoh IDS(Intrusion Detection System) harus mampu mendeteksi serangan DOS mempergunakan analisis signature dan mampu mendeteksi segala sesuatu yang mencurigakan. IDS (Intrusion Detection System) yang baik dalam pengenalan attacking adalah IDS (Intrusion Detection System) yang memiliki karateristik : Memiliki AI () sehingga IDS (Intrusion Detection System) tersebut dapat mempelajari sendiri serangan serangan yang datang. Mampu melakukan proses deteksi trafic dan pembersihan terhadap host ( Layer 3 Layer 7 ). Mampu melakukan scanning TCP dan UDP. Mampu memeriksa keberadaan backdoor.

4. Dapat memeberikan Informasi tentang ancaman ancaman yang terjadi.

5. Memiliki tingkat Forensik yang canggih dan mampu menghasilkan reporing yang baik.

6. Memiliki sensor yang dapat dipercaya untuk memastikan pendeteksian dan pencegahan.

IPS ( Intrusion Prevention System) IPS (Intrusion Prevention System) merupakan jenis metode pengamanan jaringan baik

software atau hardware yang dapat memonitor aktivitas yang tidak diinginkan atau intrusion dan dapat langsung bereaksi untuk untuk mencegah aktivitas tersebut. IPS (Intrusion Prevention System) merupakan pengembangan dari dari IDS (Intrusion Detection System) .Sebagai pengembangann dari teknologi firewall, IPS melakukan kontrol dari suatu sistem berdasarkan aplikasi konten atau pattern, tidak hanya berdasarkan ports atau IP address seperti firewall umumnya. . Intrusion Detection System Selain dapat memantau dan monitoring, IPS (Intrusion Prevention System) dapat juga mengambil kebijakan dengan memblock paket yang lewat dengan cara 'melapor' ke firewall.

Ada beberapa metode IPS (Intrusion Prevention System) melakukan kebijakan apakah paket data yang lewat layak masuk atau keluar dalam jaringan tersebut. Signature-based Intrusion Detection System Pada metode ini, telah tersedia daftar signature yang dapat digunakan untuk menilai apakah paket yang dikirimkan berbahaya atau tidak. Sebuah paket data akan dibandingkan dengan daftar yang sudah ada. Metode ini akan melindungi sistem dari jenis-jenis serangan yang sudah diketahui sebelumnya. Oleh karena itu, untuk tetap menjaga keamanan sistem jaringan komputer, data signature yang ada harus tetap ter-update.

Anomaly-based Intrusion Detection System Pada metode ini, terlebih dahulu harus melakukan konfigurasi terhadap IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System), sehingga IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System) dapat mengatahui pola paket seperti apa saja yang akan ada pada sebuah sistem jaringan komputer. Sebuah paket anomali adalah paket yang tidak sesuai dengan kebiasaan jaringan komputer tersebut. Apabila IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System) menemukan ada anomali pada paket yang diterima atau dikirimkan, maka IDS (Intrusion Detection System) dan IPS(Intrusion Prevention System) akan memberikan peringatan pada pengelola jaringan (IDS) atau akan menolak paket tersebut untuk diteruskan (IPS). Untuk metode ini, pengelola jaringan harus terus-menerus memberi tahu IDS (Intrusion Detection System ) dan IPS (Intrusion Prevention System) bagaimana lalu lintas data yang normal pada sistem jaringan komputer tersebut, untuk menghindari adanya salah penilaian oleh IDS (Intrusion Detection System) atau IPS (Intrusion Prevention System).

Intrussion prevenstion system mengkombinasikan kemampuan network based IDS dengan kemampuan firewall, sehingga selain mendeteksi adanya penyusup juga bisa menindaklanjuti dengan melakukan pengeblokan terhadap IP yang melakukan serangan. Beberapa IPS opensource yang dikenal Portsentry Portsentry digunakan untuk melakukan pengeblokan IP address yang melakukan scanning port dengan menggunakan fasilitas dari firewall atau teknik null route. Sshdfilter

sshdfilter digunakan untuk melakukan blocking IP address yang melakukan ssh brute forcing.

Snort Snort di gandeng dengan blockit dan firewall merupakan NIPS yang mampu melakukan blocking IP address terhadap beragam serangan yang di definisi di signature snort.

Hal yang perlu diperhatikan dalam pemasangan IPS, saran yang saya berikan jangan memasang IPS di gateway karena sangat beresiko membuat nilai usability service yang ditawarkan menjadi sangat rendah. Terapkan IPS di host host di jaringan yang sifatnya krusial dengan signature detection yang benar benar akurat untuk mendeteksi bugs sekuritas yang sifatnya critical.

Cara Kerja NIPS dengan menggunakan Aplikasi Opensource Tipe-tipe IPS 1. Host Based Host Based IPS yang berada pada spesifik IP address, biasanya terdapat pada single komputer. 2. Network IPS yang berguna untuk mencegah penyusupan pada spesifik network. 3. Content Spesific Content Spesific IPS yang memeriksa kontent dari suatu paket dan mencegah berbagai macam serangan seperti serangan worm.

4. Protocol Analysis Menganalisa berbagai macam application layer network protocol seperti http dan ftp. 5. Rated Based Berguna mencegah denial of service. Berguna untuk memonitoring dan dan mempelajari keadaan normal network. RBIPS dapat memonitoring taffic TCP, UDP, ARP Packets, koneksi per detik, paket per koneksi Sama dengan IDS, IPS ini pun memiliki NIPS. PIS tidak hanya mendeteksi adanya serangan tetapi dia akan otomatis melakukan aksi, biasanya dengan block traffic yang ada. NIPS merupakan gabungan dari NIDS dan Firewall.

NIPS (Network Based Intrusion Prevention System) NIPS (Network Based Intrusion Prevention System) adalah sebuah pengamanan jaringan yang dapat mendeteksi dan melakukan blocking pada serangan atau intrusion yang mengganggu jaringan. NIPS (Network Based Intrusion Prevention System) biasanya dikembangkan selayaknya switch dan router. NIPS (Network Based Intrusion Prevention System) melakukan deteksi ke seluruh paket data yang akan masuk ke dalam jaringan, dengan cara melakukan pengecekkan pola serangan ataupun pattern dari paket data tersebut. Ketika NIPS (Network Based Intrusion Prevention System) mendeteksi sebuah serangan , NIPS (Network Based Intrusion Prevention System) akan langsung melakukan tindakan yang dapat berupa blocking paket paket data tersebut.

Pada masa sekarang ini IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System) telah berkembang. Kedua metode keamanan tersebut dijadikan satu kesatuan sehingga kinerja pengamanan nya menjadi lebih maksimal. Sebuah vendor telah mengembangkan teknologi

tersebut dan mengimplementasikannya ke dalam sebuat alat yang disebut IDPS (Intrusion Detection and Prevention System). IDPS (Intrusion Detection and Prevention System) menjadi sistem pendeteksi dan pencegahan dari gangguan gangguan. Dengan adanya IDPS (Intrusion Detection and Prevention System), kinerja IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System) menjadi lebih baik ketika teknologi keamanan tersebut diintefrasikan dalam sebuah alat. IDPS (Intrusion Detection and Prevention System) dapat berfungsi sebagai sebuah virtual device. IDPS (Intrusion Detection and Prevention System) sangat perlu diketahui akan pentingnya diterapkan pada masa sekarang ini, hal tersebut dikarenakan IDPS (Intrusion Detection and Prevention System) memiliki beberapa kemampuan (dikutip dari tulisan hadiwibowo), yaitu :

Mencegah serangan atau gangguan dalam jaringan IDPS adalah peralatan keamanan yang kompleks yang menggunakan berbagai jenis teknologi pendeteksi untuk menemukan gangguan yang berupa program-program jahat yang masuk kedalam jaringan dan menghentikannya sebelum worm, trojan, virus atau program jahat lainnya dapat merusak sistem. Dengan hanya memasang IDS, sistem pendeteksi gangguan saja, alat tersebut hanya akan memberikan alarm peringatan adanya keanehan atau gangguan pada sistem, dan administrator jaringan yang harus menyelidiki code mencurigakan yang dimaksud dan memutuskan tindakan selanjutnya. Bila selain IDS dipasangi juga IPS, maka code jahat yang ditemukan tersebut akan langsung dihentikan secara otomatis. IDPS melakukan kedua hal tersebut dengan menghentikan koneksi jaringan/user yang menyerang sistem, memblok user account yang berbahaya, IP address atau atribut lain dari pengaksesan ilegal terhadap server atau aset lain dalam jaringan. Atau dapat pula dengan mematikan seluruh akses ke host, service, aplikasi atau aset-aset lain dalam jaringan. Beberapa IDPS cukup baik dalam meningkatkan kemampuan pengamanannya melawan serangan berbahaya. 1. Menghentikan serangan melalui re-configuring peralatan kontrol keamanan pada network, seperti router dan firewall, untuk memblok akses yang bersifat ilegal. 2. Menghentikan serangan melalui pemasangan patch pada host untuk menutup vulnerabilities. 3. Menghentikan serangan melalui penghapusan code jahat yang ditemukan seperti men-delete file attachment dalam e-mail.

Memberitahu administrator jaringan tentang adanya gangguan keamanan

IDPS akan memberitahukan administrator jaringan tentang segala sesuatu yang menyangkut pelanggaran peraturan keamanan atau serangan yang terdeteksi. Pemberitahuan tersebut dapat melalui e-mail, web page, pesan dalam monitor IDPS user, perangkap SNMP (Simple Network Management Protokol), pesan syslog, atau program yang dibuat oleh user dan script. Umumnya pemberitahuan berisi data-data penjelasan tentang halhal dasar yang terjadi. Informasi yang lebih spesifik dikumpulkan dalam reports. Jumlah pemberitahuan yang dikirim oleh sistem sangat tergantung seberapa kuat level yang dipasang. Semakin kuat level keamanan yang dipasang maka semakin banyak pemberitahuan yang dikirimkan. Ketelitian pemasangan level keamanan akan sedikit banyak membantu menurunkan jumlah pemberitahuan, dan hanya pemberitahuan tentang gangguan keamanan tertentu saja yang dikirimkan. Melaksanakan peraturan Manajemen keamanan informasi yang baik adalah kunci terlaksananya peraturan/regulasi yang dibuat. Dan itu adalah salah satu alasan pentingnya penerapan IDPS, terutama di organisasi yang menjalankan regulasi dengan ketat seperti institusi keuangan atau perusahaan kesehatan. Dengan menerapkan IDPS, sebuah perusahaan dapat mempertahankan akuntabilitasnya, memberikan kejelasan hak akses kepada user dan memberikan dukungan infrastuktur yang tepat. Menggalakkan kebijakan keamanan jaringan Peralatan IDPS tidak hanya melindungi sistem dari penyusup yang bermaksud jahat, tetapi juga melindungi gangguan yang disebabkan oleh kesalahan operasional user atau dari pembalasan dendam karyawan yang frustasi. Dari pengalaman perusahaan-perusahaan dalam beberapa tahun belakangan ini, gangguan keamanan sistem yang disebabkan oleh orang dalam ternyata cukup signifikan. IDPS dapat dikonfigurasi sebagai alat untuk mengidentifikasi pelanggaran kebijakan keamanan dengan menset-nya seperti sebuah firewall. Juga dapat diset untuk memantau pengunaan akses yang tidak tepat seperti mentransfer file secara ilegal. Setting pemantauan user ini perlu diumumkan kepada para users, agar para users mengetahui bahwa setiap penggunaan akses akan dipantau. Hal ini diharapkan meminimalisir keinginan/usaha penyalahgunaan hak akses. Selain itu IDPS juga dapat menolong administrator untuk memelihara dan mempertajam kebijakan keamanannya. Sebagai contoh, IDPS akan memberitahu administrator jika didalam jaringan terdapat duplikasi setting firewall atau menangkap trafik mencurigakan yang lolos dari firewall. Membatasi chatting (IM) dan video streaming non-bisnis Chatting atau IM (instant messaging) dan video streaming saat ini telah menjadi sebuah gaya hidup, baik urusan pribadi maupun urusan pekerjaan. Sehingga melarang aktifitas chatting dan video streaming dalam perusahaan bukanlah solusi terbaik. Namun penggunaan aktifitas tersebut yang tidak terkendali tentunya akan menghabiskan sumber daya perusahaan secara sia-sia.

Daripada melarang penggunaan sarana internet tersebut, perusahaan dapat memanfaatkan IDPS untuk menjamin penggunaan sarana internet tersebut agar lebih banyak digunakan bagi kepentingan pekerjaan. Ini merupakan fungsi unik dari IDPS, proactive bussiness policysetting device. Perlu diwaspadai bahaya yang mungkin terjadi saat pertukaran informasi melalui IM. Yaitu saat terjadi pertukaran file attachment yang disisipi program jahat (malware) seperti worm. Sekali worm itu masuk kedalam sistem, maka penyerang akan dapat menggunakannya untuk masuk ke host jaringan komputer dan mengambil keuntungan dari akses yang telah diperolehnya tersebut. Beberapa peralatan IDPS telah dapat digunakan untuk menghentikan dan mencegah penyisipan malware ini. Lebih memahami aktifitas dalam network IDPS mencatat semua lalulintas informasi dalam jaringan, termasuk bila ada hal yang mencurigakan yang telah berhasil menyusup kedalam sistem. Catatan ini memiliki dua kegunaan : (1) staf TI lebih memahami kemampuan peralatan IDPS ini sebelum alat itu menjadi bagian aktif dalam perusahaan; (2) memberikan pengetahuan dasar tentang berbagai macam data yang masuk dan keluar dari jaringan setiap hari. Kedua hal itu berguna ketika staf TI akan mengambil sebuah keputusan operasional untuk melindungi aset-aset perusahaan. Dan juga memberikan pengalaman nyata kepada para eksekutif perusahaan tentang berbagai macam ancaman yang mencoba masuk. Menghemat waktu Dengan IDPS, staf TI tidak perlu menyisir secara manual log dalam firewall setiap hari yang akan memakan waktu sangat lama. Juga mencegah terjadinya kelumpuhan jaringan yang diakibatkan oleh serangan. Tentunya bila jaringan sempat lumpuh membutuhkan waktu yang lama untuk memulihkannya. Memantau program aplikasi yang diinstal user Peralatan IDPS dapat menolong staf TI menemukan aplikasi yang di download oleh user dalam jaringan. Jika aplikasi tersebut diperkirakan dapat merusak sistem, staf TI dapat dengan segera mencegahnya. Membangun kepercayaan IDPS tidak hanya menurunkan risiko keamanan jaringan perusahaan, tetapi juga memberikan keyakinan bahwa sistem tersebut aman dari serangan program-program jahat serta tidak berpotensi menyebarkannya kepada jaringan milik mitra bisnis. Menghemat biaya IDPS dapat menghemat biaya yang terjadi akibat kelumpuhan sistem, biaya teknisi untuk penelusuran malware secara manual setiap hari, dan pemborosan biaya-biaya lain akibat kerusakan sistem yang tidak perlu. Dan tentunya biaya kepercayaan dari mitra bisnis yang tidak dapat dihitung secara eksak. -antz-

BAB II PEMBAHASAN Seiring dengan berkembangnya teknologi mengenai jaringan komputer, maka berkembang pula metode pengamanannya. Hal ini dikarenakan agar keamanan dari informasi di dalam jaringan tersebut dan juga keamanan jaringan itu sendiri dapat terjaga keamanannya dari para punyusup atau intruder. Karena hal tersebutlah diperlukan metode keamanan berupa pendeteksian dan pencegahan, metode tersebut terdapat di dalam IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System) yang dapat melakukan pengaturan agar keamanan Informasi dalam jaringan tersebut dapat di manage atau dijaga dan juga keamanan jaringannya pun menjadi lebih secure atau aman. IDS (Intrusion Detection System) adalah sebuah metode pengamanan jaringan dengan melakukan pendeteksian terhadap gangguan gangguan atau intrusion yang mengganggu. Bila terdeteksi adanya gangguan tersebut, maka IDS (Intrusion Detection System) akan memberikan allert selayaknya alarm yang kemudian akan diberitahukan kepada administrator jaringan untuk segera ditidak lajuti ( melakukan Blocking atau tidak ). IDS (Intrusion Detection System) dapat berupa aplikasi dari open source seperti Snort ataupun menggunakan IDS (Intrusion Detection System) yang berupa Box yang diproduksi oleh beberapa vendor jaringan. IDS tersdiri dari dua bagian yaitu, Network Instrusion Detection System (NIDS) dan Host Instrusion Detection System (NIDS). Kedua bagian tersebut bekerja pada bagian yang berbeda untuk melakukan pengamanan. Network Instrusion Detection System (NIDS) dapat melakukan pengamanan pada Network tersebut dengan cara memantau atau mendeteksi anomali pada jaringan, selain itu Network Instrusion Detection System (NIDS) juga dapat melakukan pendeteksian di seluruh host yang berada pada satu jaringan dengan IDS tersebut. Network Instrusion Detection System (NIDS)

yang sering dipakai pada implementasinya adalah dengan menggunakan Snort karena sifat aplikasi Snort yang Cutomizalbe. Sedangkan Host Instrusion Detection System (NIDS) dapat melakukan pengamanan dengan melakukan deteksi atau pemantauan anomali pada host dan hanya mampu mendeteksi pada host tempat di implementasikannya IDS tersebut.

Intrusion Detection System Dalam penggunaannya, terdapat beberapa metode penggunaan IDS () , yaitu melalui

aplikasi ataupun dengan Box IDS (). IDS () yang menggunakan Aplikasi contohnya adalah aplikasi Snort yang berjalan berdasarkan rule rule yang dibuat. Untuk memperoleh Snort tersebut, dapat di download secara free melalui internet. Cara mendapatkan dan easy instalation IDS Snort (open source) dari Internet : 1.
Download dan Instalasi PCRE o Sebelum diinstal snort membutuhkan PCRE (Perl Compatible Regular Expressions, http://www.pcre.org/) yang dibuat oleh Philip Hazel. Anda bisa memperoleh PCRE di: ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/

http://sourceforge.net/project/showfiles.php?group_id=10194 ftp://ftp.sourceforge.net/pub/sourceforge/p/pc/pcre/ Download pcpre:

wget http://easynews.dl.sourceforge.net/sourceforge/pcre/pcre-5.0.tar.gz Ekstrak: tar xvzf pcre-5.0.tar.gz o Ke direktori pcpre-5.0 cd pcre-5.0 o Pra-instalasi: ./configure o Kompail make make install Download, Instalasi dan Konfigurasi SNORT o Download snort wget http://www.snort.org/dl/current/snort-2.3.3.tar.gz o Ekstrak: tar -xvzf snort-2.3.3.tar.gz o Ke direktori snort-2.3.3

2.

cd snort-2.3.3 o Pra-instalasi ./configure --with-mysql (jika ingin menggunakan dbase) o Kompilasi: make make install o Membuat grup dan user snort groupadd snort useradd -g snort snort o Membuat direktori snort untuk keperluan log dan file biner (sistem) mkdir /etc/snort mkdir /etc/snort/rules mkdir /var/log/snort o Dari direktori dimana snort di ekstrak (file instal) Copy semua file yang terdapat di direktori rules ke /etc/snort/rules cd rules cp * /etc/snort/rules o Copy semua file yang terdapat di direktori etc ke direktori /etc/snort/ cd ../etc cp * /etc/snort o Modifikasi file snort.conf yang terletak di /etc/snort, var HOME_NET 10.2.2.0/24 (Gunakan CIDR / Classless InterDomain Routing, http://www.oav.net/mirrors/cidr.html) var EXTERNAL_NET !$HOME_NET (Semuanya keculi HOME_NET) o Ganti "var RULE_PATH ../rules" menjadi "var RULE_PATH /etc/snort/rules"

Jangan lupa menambahkan snort pada program startup (rc.local) /usr/local/bin/snort -c /etc/snort/snort.conf -i eth0 -g snort -Dde

IPS (Intrusion Prevention System) adalah sebuah metode pengamanan jaringan yang dapat berupa software ataupun hardware. IPS (Intrusion Prevention System) dapat melakukan monitoring terhadap seluruh aktifitas pada jaringan, IPS (Intrusion Prevention System) akan langsung melakukan pencegahan terhadap gangguan gangguan atau intrusion seperti blocking atau drop program gannguan.

Kelebihan dari IPS () adalah sistem yang dimilikinya, IPS () memilki kecerdasan buatan sendiri yang dapat mempelajari dan mengenali serangan dan metode yang digunakan dalam penyerangan tersebut (TRIGER). IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System) melakukan pendeteksian dan pencegahan terhadap gangguan atau intrusion berdasarlan signature atau pattern yang terdapat pada rule yang dibuat. Paket data yang datang terlebih dahulu akan di periksa kecocokannya terhadap rule yang dibuat, apabila terdapat kesamaan pada rule yang maka secara otomatis IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System) akan melakukan peringgatan (allert) dan selanjutnya akan melakukan pencegahan berupa blocking terhadap gangguan tersebut.

IDS () dan IPS ()yang bertipe Box hasil pengembangan vendor keamanan jaringan biasanya digunakan oleh perusahaan perusahaan yang besar, Hal ini disebabkan karena biaya implementasinya yang sangat besar dan mahal. Akan tetapi bukan berarti IDS () dan IPS () tidak dapat digunakan oleh hal layak, untuk mengatasinya para pengatur jaringan menggunakan IDS () dan IPS () yang bertipe aplikasi open source seperti Snort dan lainnya.

Contoh Gambar IDS dan IPS bertipe Box hasil pengembangan dari salah satu vendor keamanan jaringan :

cisco-security-ids-4250-xl-sensor

Cisco IPS 4270 Appliance

Kelemahan dari penggunaan IDS () dan IPS () adalah sering terjadinya alarm ataupun gangguan yang bersifat palsu, yaitu paket data yang datang terdeteksi sebagai intrusion karena tidak sesuai dengan rule rule yang dibuat. setelah di teliti ternyata hanya paket data biasa dan tidak berbahaya.

BAB III KESIMPULAN Dalam manajemen keamanan informasi terdapat beberapa metode yang dapat digunakan, yaitu IDS (Intrusion Detection System), IPS (Intrusion Prevention System) dan IDPS (Intrusion Detection and Prevention System).

IDS (Intrusion Detection System), IPS (Intrusion Prevention System) dan IDPS (Intrusion Detection and Prevention System) sangat berguna untuk melakukan manajemen keamanan informasi dan jaringan karena dengan adanya ketiga metode tersebut maka gangguan gangguan atau intrusion yang dapat mengganggu keamanan akan dapat ditekan.

IDS (Intrusion Detection System) digambarkan seolah olah bekerja pada bagian dalam sebuah network dan mendeteksi seluruh paket data yang masuk untuk kemudian di cocokan dengan rule yang dibuat.

IPS (Intrusion Prevention System) digambarkan seolah olah bekerja pada bagian luar network dan mendeteksi seluruh paket data yang datang untuk kemudian akan di analisa apakah paket data tersebut berupa gangguan atau intrusin dengan mencocokkan signature atau pattern paket data tersebut dengan rule yang dibuat.

IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System) merupakan metode keamanan yang dapat berupa aplikasi open source ataupun dengan media BOX yang dikembangkan oleh vendor vendor jaringan.

Sangat penting untuk melakukan manajemen Keamanan informasi. Untuk melakukannya tidak hanya butuh satu metode keamanan yang sangat baik, tetapi akan lebih baik dan dibutuhkan beberapa metode keamanan yang saling bekerja sama untuk menutupi kekurangannya karena selama masih dalam konteks buatan manusia, metode keamanan tersebut tidak akan sempurna.

DAFTAR PUSTAKA [1] Haidar, Andry. Keamanan Sistem Lanjut. 23203058 [2] Stiawan, Deris. Sistem Keamanan Komputer. Elex Media Komputindo. 2005

[3] www.wikipedia.com [3] www.hadiwibowo.wordpress.com [4] www.lirva32.org