CARA SISTEM PENDETEKSI

& PENAHAN ANCAMAN

SERANGAN JARINGAN
KEAMANAN JARINGAN
Gracia Vania | XII KJ 1 | Jan 01 2019
 A. IDS (Intrusion Detection System)

Intrusion Detection System adalah sebuah aplikasi perangkat lunak atau perangkat keras
yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan.
IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah
sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi
(penyusupan).
Jenis-Jenis IDS
• Network-based Intrusion Detection System (NIDS): Semua lalu lintas yang mengalir ke
sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau
penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan
penting di mana server berada atau terdapat pada “pintu masuk” jaringan. Kelemahan
NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang
menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah
menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi.
• Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual
akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya
atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya
firewall, web server, atau server yang terkoneksi ke Internet.
Implementasi dan cara kerja
• Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan
menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh
beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis
data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh
penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan
terhadap basis data signature IDS yang bersangkutan.
• Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai
Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan
sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan
menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau
dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan
dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan yang baru
dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini
sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih
rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya
dari banyaknya laporan false positive yang muncul.
• Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi,
yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem
operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS,
selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah
terjadi kejadian yang tidak biasa.
Kelebihan dan Kekurangan IDS
Kelebihan
• Dapat mendeteksi “external hackers” dan serangan jaringan internal.
• Dapat disesuaikan dengan mudah dalam menyediakan perlindungan untuk keseluruhan jaringan.
• Dapat dikelola secara terpusat dalam menangani serangan yang tersebar dan bersama-sama.
• Menyediakan pertahanan pada bagian dalam.
• Menyediakan layer tambahan untuk perlindungan.
• IDS memonitor Internet untuk mendeteksi serangan.
• IDS membantu organisasi utnuk mengembangkan dan menerapkan kebijakan keamanan yang efektif.
• IDS memungkinkan anggota non-technical untuk melakukan pengelolaan keamanan menyeluruh.
• Adanya pemeriksaan integritas data dan laporan perubahan pada file data.
• IDS melacak aktivitas pengguna dari saat masuk hingga saat keluar.
• IDS menyederhanakan sistem sumber informasi yang kompleks.
• IDS memberikan integritas yang besar bagi infrastruktur keamanan lainnya
Kekurangan
• Lebih bereaksi pada serangan daripada mencegahnya.
• Menghasilkan data yang besar untuk dianalisis.
• Rentan terhadap serangan yang “rendah dan lambat”.
• Tidak dapat menangani trafik jaringan yang terenkripsi.
• IDS hanya melindungi dari karakteristik yang dikenal.
• IDS tidak turut bagian dalam kebijakan keamanan yang efektif, karena dia harus diset terlebih dahulu.
• IDS tidak menyediakan penanganan kecelakaaN.
• IDS tidak mengidentifikasikan asal serangan.
• IDS hanya seakurat informasi yang menjadi dasarnya.
• Network-based IDS rentan terhadap “overload”.
• Network-based IDS dapat menyalahartikan hasil dari transaksi yang mencurigakaN.
• Paket terfragmantasi dapat bersifat problematis
Snort
Snort merupakan sebuah perangkat lunak yang berfungsi untuk mengamati aktivitas
dalam suatu jaringan komputer. Snort ini disebut juga sebagai NIDS yang berskala ringan
(lightweight). Snort pertama kali dikenalkan pada tahun 1998 oleh Marty Roesch.
Karakteristik
Snort menjadi sangat terkenal dan mempunyai reputasi yang baik dikarenakan memiliki
beberapa karakteristik sebgai berikut:
1. Berukuran kecil – Baik source code dan rules yang dirilis hanya berukuran sekitar
2256kb.
2. Mendukung banyak Sistem Operasi – Sekarang ini Snort telah di porting ke Linux,
Windows, OSX, Solaris, BSD, dan lain-lain.
3. Kemampuan yang cepat – Snort mampu mendeteksi serangan pada jaringan 100Mbps.
4. Mudah dikonfigurasi – Snort dapat dikonfigurasi sesuai dengan kebutuhan pada
jaringan kita, bahkan kita dapat membuat rule sendiri untuk mendeteksi serangan baru.
5. Free – Snort ini bersifat open source dan menggunakan lisensi GPL, jadi kita tidak perlu
membayar untuk dapat menggunakan snort.
Komponen Pada Snort
Snort merupakan packet sniffing yang sangat ringan. Sniffing interface yang
digunakan berbasis libcap. Terdapat hubungan antara snort dan tcpdump, yaitu snort
memanfaatkan tcpdump untuk mengambil (capture) paket pada jaringan. Salah satu
keunggulan snort adalah snor memiliki sistem plugin yang sangat fleksibel untuk
dimodifikasi.
Adapun komponen penyusun Snort itu sendiri yang mana setiap komponen
memiliki fungsi masing-masing.
• Packet capture library (libcap)
Komponen ini yang akan memisahkan paket data yang melalui ethernet card yang
selanjutnya akan digunakan oleh snort.
• Packet Decoder
Komponen ini mengambil data di layer 2 yang dikirim oleh komponen sebelumnya
(Packet Capture Library). Untuk proses pertama yaitu dengan memisahkan Data Link
(ethernet, tokenring, 802.11) kemudian protokol IP, dan yang terakhir adalah jenis paket
TCP dan UDP. Hasil dari proses ini adalah adanya informasi mengenai protokol yang
digunakan proses selanjutnya.t
• Preprocessor
Selanjutnya dilakukan analisis terhadap paket sebelum diproses oleh komponen
berikutnya. Adapun proses analisis yang dilakukan dapat berupa ditandai, dikelompokkan
atau dihentikan karena paket yang diterima tidak lengkap.
• Detection Engine
Detection Engine ini bisa dikatakan sebagai jantung dari Snort. Paket yang diterima disini
setelah melalui beberapa tahapan proses akan dibandingkan dengan rule yang ada atau
telah ditetapkan sebelumnya. Rule disni berisi signature yang merupakan kategori
serangan.
• Output
Setelah proses Detection Engine dilakukan maka hasilnya adalah berupa report dan alert.
Snort mendukung variasi dari output yang dihasilkan, yaitu teks(ASCII), syslog, XML,
binary, atau database (MySql, MsSql, PostgreSql, dan sebagainya).
Rule Snort
Seperti yang sudah disebutkan bahwa Snort memberikan fasililtas untuk
penggunanya untuk dapat membuat rule sendiri yang sesuai dengan kondisi dan
kebutuhan user. Namun Snort juga telah menyediakan banyak rule secara default yang
mana user tidak perlu melakukan konfigurasi apapun.
Membuat rule Snort ini sangat sederhana namun dapat lebih efisien untuk trafik-
trafik atau serangan tertentu. Ada beberapa hal yang harus diperhatikan saat membuat
custom rule Snort.
• Pass – yaitu membiarkan paket yang melewati Snort dan tidak tindakan (action) apapun.
• Log – opsi ini memungkinkan untuk melakukan tindakan (log) ke lokasi direktori tertentu
yang sudah ditentukan dalam file konfigurasi Snort (snort.conf)
• Alert – Opsi ini memungkinkan untuk mengirimkan Alert ke sentral syslog server, popup
windows melalui SMB. Dapat menggunakan tools Swatch untuk membaca file alert ini
yang mana untuk memberitahukan kepada analyst bahwa ada aktivitas intrusi.
• Active – Opsi ini digunakan Snort untuk mengirimkan Alert sekaligus
mengerjakan/mengaktifkan rule yang lain. Sebagai contoh, ketika ada serangan maka
snort akan mendeteksi melalui rule yang sudah ada kemudian mengirimkan alert dan
langsung melakukan tindakan blok port tertentu sebagai tindakan preventif dari dynamic
rule yang lain.
• Dynamic – Opsi ini dalam kondisi idle dan akan aktif ketika rule yang bersangkutan telah
aktif, seperti contoh diatas.
Mode Pengoperasian Pada Snort
1. Sniffer Mode – Pada mode operasi ini snort bertindak sebagai sniffer, yaitu snort
dapat menangkap atau melihat semua paket yang lewat dalam jaringan dimana Snort
diletakkan. Snort menampilkan hasil dari sniffing ini secara real time.
Adapun command dasar untuk menjalankan Snort ini sebagai sniffer:
snort -v (Melihat header TCP/IP paket yang lewat)
snort -vd (opsi d ini untuk menampilkan isi paket yang lewat)
snort -vde (opsi e ini untuk melihat header link layer, seperti ethernet)
2. Packet Logger Mode – Pada mode ini selain dapat melihat semua paket yang lewat,
Snort juga dapat mencatat atau logging menyimpannya pada storage. Berikut ini command
yang dapat dilakukan:
snort -vde -l /home/log-snort (opsi -l ini digunakan agar paket yang lewat disimpan ke file
yang berada pada /home/log-snort)
snort -vde -h 192.168.14.2 -l /home/log-snort (opsi tambahan -h ini merupakan opsi yang
digunakan untuk mencatat paket dari host tertentu misal pada host IP 192.168.14.2)
3. Network Intrusion Detection Mode – Dan yang ketiga adalah mode Network Intrusion
Detection. Ciri khas dari mode ini adalah dengan menjalankan snort beserta file konfigurasi
yang telah ditentukan (secara default file snort.conf). File snort.conf ini sudah banyak
mencakup konfigurasi-konfigurasi yang dibutuhkan dalam mode ini. Berikut adalah
command untuk menjalankan mode ini:
snort -vde -l /home/snort-log -c snort.conf (opsi -c ini adalah untuk membaca file config)
 Snort ini merupakan IDS, dan IDS ini tidak selalu benar dan terkadang dapat
membuat keputusan yang salah dalam melihat paket pada jaringan yang melewatinya.
Maka diperlukan peran seorang Analyst untuk membantu mengambil tindakan pada
alert yang ditampilkan oleh IDS ini. Dan seorang Analyst perlu mengetahui klasifikasi
dari event yang muncul dari IDS, sebagai berikut:
• True Positive – merupakan indikator bahwa IDS berjalan dan berfungsi dengan baik,
dimana IDS mendeteksi adanya serangan dan memberikan alert kepada Analyst untuk
dilakukan identifikasi lebih lanjut.
• False Positive – merupakan tipe alert yang dihasilkan oleh IDS karena telah mendeteksi
serangan yang mana cocok dengan rule dan signature pada IDS, namun serangan
tersebut tidak valid.
• True Negative – merupakan indikator dari IDS bahwa IDS melihat semua paket yang
melewatinya dan untuk kasus ini paket yang lewat bukan merupakan paket yang
bersifat malicious dan oleh karena itu IDS tidak memberikan alert.
• False Negative – indikator ini menyatakan bahwa terjadi serangan pada sistem yang
kita monitor namun tidak terdeteksi oleh IDS (dengan kata lain tidak ada alert), dengan
kata lain serangan tersebut tidak ada yang cocok dalam kategori yang ada
rule/signature dari IDS.
Cara Kerja
Salah satu aplikasi Linux yang dapat dipakai untuk meningkatkan keamanan
komputer adalah Snort. Secara garis besar, Snort adalah sebuah program yang
memiliki tiga fungsi atau tiga modus operasi. Snort dapat dipakai dalam packet
sniffer mode sehingga bekerja sebagai sniffer sama seperti Wireshark. Sama seperti
Wireshark, Snort juga dapat menyimpan setiap packet yang di-capture ke dalam media
penyimpan di moduspacket logger mode. Akan tetapi berbeda dengan Wireshark,
Snort dapat dipakai sebagai komponen NIDS dengan menjalankannya pada Network
Intrusion Detection System (NIDS) mode. Pada modus yang terakhir ini, Snort akan
menganalisa packet berdasarkan rule yang ada untuk mengenali adanya upaya
serangan hacker.
 Untuk memulai menggunakan Snort, download requirement serta source Snort,
kemudian build & install. Bagi yang memakai distro Ubuntu, libdnet di distro tersebut
adalah library yang berbeda dengan yang dibutuhkan Snort. Di
Ubuntu, libdnet adalah DECNet libraries, sementara yang dibutuhkan oleh Snort diganti
namanya menjadi libdumpnet. Sebaiknya download source dari Google Code, kemudian
install ke lokasi /usr, bukan/usr/local. Caranya adalah dengan menambahkan argumen –
-prefix=/usr pada saat memanggil scriptconfigure.
B. IPS (Intrusion Prevention System)
Pengertian IPS
IPS (Intrusion Prevention System) adalah sebuah perangkat jaringan atau perangkat lunak yang
berjalan di belakang firewall untuk mengidentifikasi dan memblokir ancaman terhadap jaringan
dengan menilai setiap paket yang melintas berdasarkan protokol jaringan dalam aplikasi dan
melakukan pelacakan ancaman terhadap keamanan jaringan. IPS membuat akses kontrol dengan cara
melihat konten aplikasi, daripada melihat IP address atau ports yang biasanya digunakan oleh
firewall. Sistem IPS sama dengan sistem setup IDS, IPS mampu mencegah serangan yang datang
dengan sedikit bantuan dari administrator atau bahkan tidak sama sekali. Serangan biasanya datang
dalam bentuk input data berbahaya ke aplikasi target atau melalui layanan yang digunakan
penyerang untuk mengganggu dan menguasai aplikasi atau jaringan target, setelah penyerang atau
penyusup berhasil masuk dan menguasai jaringan maka penyerang dapat menonaktifkan jaringan
target atau bahkan bisa mengakses semua izin dari aplikasi atau jaringan target. Oleh karena itu IPS
akan menghalangi suatu serangan sebelum terjadi eksekusi dalam memori dan IPS akan
membandingkan file checksum yang tidak semestinya mendapatkan izin untuk dieksekusi dan juga
menginterupsi sistem call.
Jenis-Jenis IPS
1. Host-based Intrusion Prevention System (HIPS)

Merupakan sebuah sistem pencegahan yang terdiri dari banyak lapisan, menggunakan packet filtering,
inspeksi status dan metode pencegahan yang bersifat real-time untuk menjaga host berada dibawah
keadaan dari efisiensi performansi yang layak. Mekanisme kerjanya yaitu dengan mencegah kode-kode
berbahaya yang memasuki host agar tidak dieksekusi tanpa perlu mengecek threat signature.

2. Network-based Intrusion Prevention System (NIPS)

IPS jenis ini dapat menahan semua traffic jaringan dan memeriksa kelakuan dan kode yang
mencurigakan. IPS jenis ini menggunakan in-line model, sehingga performansi tinggi merupakan
sebuah elemen krusial dari perangkat IPS untuk mencegah bottleneck pada jaringan. Oleh karena itu,
NIPS biasanya didesain menggunakan 3 komponen untuk mengakselerasi performa bandwidth. NIPS
melakukan pantauan dan proteksi dalam satu jaringan secara global. NIPS menggabungkan fitur IPS
dengan firewall dan kadang disebut sebagai In-Line IDS atau Gateway Intrusion Detection System
(GIDS).
Cara Kerja IPS
Pertama IPS akan melakukan pecegahan penyusupan (Intrusi) dan mengidentifikasi
penyebab intrusi dengan membandingkan aktivitas yang dicurigai dan tanda yang ada.
Saat intrusi terdeteksi maka IPS akan mengirim peringatan kepada administrator dan
disini firewall akan memblock serangan yang dicurigai sebagai intusion.
C. Managed Authentication
Pengertian
Perangkat yang mampu memonitor otentikasi yang memastikan identitas pemakai
diperbolehkan untuk mengakses system atau aplikasi yang akan digunakan.
Pengguna dapat membuktikan identitas mereka dengan apa yang mereka ketahui
(sandi), apa yang mereka miliki (smart card), dan yang mereka (biometrik). Metode
autentikasi bisa dilihat dalam 4 kategori metode.
a. Something you know

Ini adalah metode autentikasi yang paling umum. Cara ini mengandalkan kerahasiaan informasi, contohnya adalah
password dan PIN. Cara ini berasumsi bahwa tidak ada seorangpun yang mengetahui rahasia itu kecuali anda seorang.

b. Something you have

Cara ini biasanya merupakan faktor tambahan untuk membuat autentikasi menjadi lebih aman. Cara ini mengandalkan
barang yang sifatnya unik, contohnya adalah kartu magnetic/smartcard, hardware token, USB token dan sebagainya.
Cara ini berasumsi bahwa tidak ada seorangpun yang memiliki barang tersebut kecuali anda seorang.

c. Something you are

Ini adalah metode yang paling jarang dipakai karena faktor teknologi dan manusia juga. Cara ini menghandalkan
keunikan bagian-bagian tubuh anda yang tidak mungkin ada pada orang lain seperti sidik jari, suara atau sidik retina.
Cara ini berasumsi bahwa bagian tubuh anda seperti sidik jari dan sidik retina, tidak mungkin sama dengan orang lain.

d. Something you do

Melibatkan bahwa setiap user dalam melakukan sesuatu dengan cara yang berbeda. Contoh : Penggunaan analisis suara
(voice recognation), dan analisis tulisan tangan.
Implementasi
Setiap aplikasi memiliki ApplicationID. ApplicationID tersebut harus telah
terdaftar di authentication server. ApplicationID sendiri didaftarkan secara manual
oleh system administrator ke dalam Autentikasi server. Perancangan proses
pendaftaran ApplicationID dapat dilihat pada bab perancangan. Gambar dibawah ini
menunjukkan bagaimana MEZO bekerja.
 Aplikasi yang membutuhkan data dari Sistem Informasi Nilai(SIN), terlebih dahulu
sistem harus memiliki RegisterID1. Untuk mendapatkan RegisterID, aplikasi harus
mengirimkan ApplicationIDnya ke authentication server. Jika ApplicationID yang
dikirimkan telah terdaftar di authentication server, maka authentication server akan
mengirimkan RegisterID ke aplikasi. Jika tidak terdaftar, koneksi akan diputuskan dan
aplikasi tidak berhak melakukan akses ke SIA. Jika aplikasi mencoba hingga 3(tiga) kali
untuk autentikasi dan gagal, Internet Protocol (IP) dari aplikasi ini akan di blok, tidak bisa
melakukan proses autentikasi. Aplikasi dari IP yang sama bisa kembali melakukan
autentikasi jika sudah di-enable kembali IP-nya oleh system administrator. Web services
digunakan pada proses request-response RegisterID yang dilakukan pada proses autentikasi.
 Setelah mendapatkan RegisterID, RegisterID bersamaan dengan ApplicationID,
dan data 2 kemudian dikirim oleh Aplikasi ke SIN untuk mendapatkan informasi.
Ketika request diterima, SIN akan mencatat waktu penerimaan dan mengecek
apakah RegisterID dan ApplicationID yang diterima telah terdaftar di Application
Server.
• 1. RegisterID menandakan aplikasi tersebut diberikan izin pada saat itu berhak
mendapatkan informasi dari SIA sampai kurun waktu tertentu
• 2. Data merupakan data yang dibutuhkan untuk mendapatkan informasi yang
diinginkan dari SIN.
 Jika valid, authentication server akan mengirim balik status “OK” yang
menandakan bahwa RegisterID dan ApplicationID tersebut valid dan lama waktu
(time) yang diperbolehkan aplikasi mengakses informasi di SIN. Jika salah satu atau
kedua-duanya antara RegisterID dan ApplicationID tidak terdaftar di authentication
server maka akan dikirim status “Not Registered” dan aplikasi tidak mendapatkan
informasi dan koneksi diputuskan.
D. Managed Antivirus Protection
Managed Antivirus Protection adalah sebuah keamanan untuk konten data
seperti keamanan pada web server atau pun data data dalam server . Managed
antivirus protection berfungsi untuk keamanan membuang virus virus yang muncul.
Biasanya Managed Antivirus Protection digunakan untuk bisnis bisnis kecil.
E. Pengertian Content Filtering
Web content filtering merupakan saringan konten website yang digunakan oleh perorangan,
kelompok, maupun organisasi untuk melakukan penyaringan terhadap situs-situs yang tidak
diperbolehkan oleh pihak berwenang maupun yang tidak berhubungan dengan tujuan bisnis
atau organisasi agar tidak dapat diakses.
Penyaringan konten perangkat lunak serta akses terhadap website yang aman oleh pengguna
merupakan penggambaran perangkat lunak yang dirancang untuk membatasi atau
mengontrol isi dari website yang diakses oleh pengguna, dan juga ketika membatasi bahan
yang disampaikan melalui internet via web, e-mail, atau cara lain.
Kendali konten perangkat lunak nantinya akan menentukan konten apa saja yang tersedia
maupun konten-konten yang tidak boleh diakses atau diblokir. Pembatasan tersebut dapat
diterapkan di berbagai tingkatan: perorangan, kelompok, sekolah (pendidikan), organisasi,
maupun pada penyedia jasa layanan internet (Internet Service Provider).