TUGAS BESARKEAMANAN JARINGAN
KOMPUTER
Intrusion Detection System
Nama : Hepta Hazairin
NIM : 08053111007
Jurusan : Teknik Informatika
FAKULTAS ILMU KOMPUTER
UNIVERSITAS SRIWIJAYA
2008DAFTAR ISI
BAB 1
Pendahluan ............................................................................................ 1
1.1 latar belakang ................................................................................ 1
1.2 Tujuan Penelitian .......................................................................... 3
1.3 Metode Penelitian .......................................................................... 3
BAB 2 Landasan Teori ..................................................................................... 4
BAB 3
Pembahasan ........................................................................................... 6
3.1 Tinjauan Fungsional Ids ............................................................... 6
3.2 Bagaimana Mendeteksi Penyusupan ......................................... 9
3.3 Mencegah Penyusupan ................................................................ 13
3.4 Respons Dari Kegiatan IDS ......................................................... 14
3.5 Produk-produk IDS ...................................................................... 15
3.6 Keterbatasan IDS .......................................................................... 17
BAB 4 Kesimpulan ........................................................................................... 21
DAFTAR PUSTAKA ........................................................................................ 24
DAFTAR GAMBAR
Gambar 1 : Tahap Pengembangan IDS .................................................................... 2
Gambar 2 : Contoh serangan yg berhasil di deteksi ........................................... 9
Gambar 3 : Tampilan Konfigurasi IDS Center Main Snort ……………… …. 17
Gambar 4. Halaman Konfigurasi IDS Center Snort Rule ………………………. 18
Gambar 5. IDS Center Notification …………………………………………….…. 18
BAB I
PENDAHULUAN
1.1 Latar Belakang
Jaringan dalam semua ukuran didesain agar dapat mem-bagi informasi dan keamanan sebagai bagian dari desain tersebut. Sebagian bisnis menggunakan jaringan berbasis-IP, seperti Internet, untuk kantor yang letaknya jauh, pekerja yang selalu berpindah-pindah, dan relasi bisnis ke dalam lingkup jaringan
internal mereka. Internet secara terus-menerus berkembang dan mengoneksikan lebih banyak tempat. Karena daya tahannya terus meningkat, perusahaan dapat menetapkan kembali fungsi aplikasinya. Contoh yang paling jelas adalah hampir segala hal di dalam Internet didasarkan pada HTML. Meskipun hal ini membuat bisnis memiliki interaksi yang lebih luas dengan pelanggan, mempersingkat operasi, mengurangi biaya, dan mcningkatkan pendapatan, namun dapat juga menjadi berisiko misalnya mengenai keamanan.
Jangkauan dan keterbukaan Internet menjadikan suatu alat bisnis yang kuat sekaligus rentan terhadap banyak hal. Sederhananya, Internet didesain Untuk mengoneksi dan men-share, tetapi bukan untuk mengamankan dan melindungi. Website dan portal yang mendukung remote site, mobile user, pelanggan, dan relasi bisnis pada jaringan internal dapat juga dimasuki penyerang yang akan menyalahgunakan sumber jaringan untuk kepentingan pribadi.
Bagaimana komunikasi yang penting terlindungi dari perantara yang tidak aman seperti Internet? Cara untuk meningkatkan keamanan yaitu dengan menambahkan lapisan proteksi. Lapisan keamanan yang paling umum dalam jaringan adalah Internet router prescreening paket dan firewall. Akan tetapi, suatu organisasi pasti memiliki web dan e-mail server yang harus dapat diakses dalam Internet dan tidak dapat menahan aliran ini karena suatu bisnis tergantung padanya. Kita juga mengetahui bahwa, seiring berkembangnya Internet, semakin berkembang pula suatu serangan.
Baik router maupun firewall dapat memberitahu sistem jika paket WWW berisi sebuah serangan atau seorang pelanggan. Mungkin suatu perusahaan mempunyai administrator sistem yang berbakat yang dipercaya untuk mengamankan server bisnis yang penting atau mengimplementasikan kebijakan dan prosedur keamanan. Tidak ada satu pun solusi keamanan, yang
menekankan kebutuhan untuk mendeteksi serangan atau usaha-usaha penyusupan!
Dalam istilah Internet, Instrusion Detection masih relatif baru, diawali dari penelitian pada tahun 1980-an dengan usaha dan tulisan Anderson dan Denning. Pada tahun 1980-an, pertama kali pemerintah mulai menggunakan fungsionalitas IDS dasar pada sesuatu yang kemudian dikenal sebagai ARPANET. Di akhir 1980-an, anggota Haystack Project membentuk Haystack Labs sebagai ventura komersial dengan mengembangkan intrusion detection berbasis host. Dilanjutkan Network-Based Intrusion Detection di tahun 1990-an yang dipimpin oleh Todd Heberlein. Selanjutnya, beberapa organisasi mengembangkan alat-alat IDS, Haystack Labs, SAIL; United States Air Force mengembangkan ASIM (automated security measurement system), dan tim yang mengembangkan solusi ini membentuk Wheel Group pada tahun 1994, (Gambar 1).
Gambar 1 Tahap Pengembangan IDS1.2 Tujuan Penelitian
1. Mengetahui sifat dasar Intrusion Detection dan mengapaini penting sekalipun sudah memiliki firewall.
2. Mengetahui perbedaan antara Network Intrusion Detection System (NIDS) dan Host Intrusion Detection System (HIDS).
3. Memahami bagaimana IDS mendeteksi Intrusion (berupa serangan) dan respons yang dapat muncul.
4. Beberapa solusi IDS yang kini tersedia.
1.3 Metode Penelitian
1. Metode pengumpulan data.
- Studi Kepustakaan (Library Research)
Metode ini dimaksudkan untuk memperoleh data sekunder dari kepustakaan yang berguna dalam penyusunan landasan teori yang berhubungan dengan permasalahan yang dibahas.
- Literature
Metode ini untuk memperoleh data yang dikutip dari para penulis yang didapat dari pencarian di Internet.
2. Metode analisis Data
Data yang dikumpulkan akan diolah terlebih dahulu agar dapat disajikan secara lebih jelas. Penyajian data ini dilakukan dalam bentuk deskriptif untuk lebih memperjelas masalah yang dihadapi dan mempermudahkan dalam melakukan suatu analisis.
BAB 2LANDASAN TEORI
Apakah motivasi suatu penyerang itu dimaksudkan untuk tantangan intelektual, politik, finansial, atau bahkan hanya untuk membuat masalah, suatu jaringan akan tetap menghadapi sebuah serangan. Tidak hanya memonitor serangan, tetapi dalam beberapa kasus, juga menjadi bisnis. Dimulai pada awal 1990-an, projek baru mulai muncul untuk memenuhi aspek keamanan jaringan: Intrusion Detection System (IDS). IDS seperti sistem alarm pada suatu jaringan. Jaringan dilindungi, tetapi tanpa IDS (alarm), tidak akan pernah tahu apakah penyerang berusaha mencapai entry. Sasaran Intrusion Detection adalah memonitor aset jaringan untuk
mendeteksi perilaku yang tidak lazim, kegiatan yang tidak sesuai, dan serangan, atau menghentikan serangan (penyusupan) dan bahkan menyediakan informasi untuk menelusuri penyerang.
IDS dapat dikembangkan di berbagai tempat pada jaringan untuk meningkatkan keamanan dan proteksi sebuah perusahaan. Pada umumnya, ada dua bentuk dasar IDS yang digunakan saat ini: IDS berbasis jaringan dan IDS berbasis host. Kedua tipe sensor ini menawarkan teknik yang berbeda untuk mendeteksi dan menangguhkan kegiatan yang jahat, dan keduanya harus dikembangkan untuk menyediakan peningkatan yang paling efektif pada strategi pertahanan berlapis:1. Host-Based Intrusion Detection System (HIDS) merupakan
aplikasi perangkat lunak khusus yang diinstal pada komputer (biasanya server) untuk melihat semua aliran komunikasi masuk dan keluar ke dan dari server tersebut dan untuk memonitor system file jika ada perubahan. HIDS sangat efektif untuk server aplikasi Internet-accessible, seperti web atau e-mail server karena mereka dapat melihat aplikasi pada source-nya untuk melindungi mereka. Sebagai contoh, berkas-berkas yang sensitif (seperti program untuk melakukan login, authetikasi) dimonitor dengan ketat. Jika terjadi perubahan yang tidak direncanakan maka ada kemungkinan penerobos sudah masuk dan mengganti (mengubah) berkas tersebut. Demikian pula berkas log dimonitor untuk mengetahui adanya penerobosan.
2. Network-Based Intrusion Detection System (NIDS) menempati secara langsung pada jaringan dan melihat semua aliran yang melewati jaringan. NIDS merupakan strategi yang efektif untuk melihat traffic masuk/keluar maupun traffic di antara host ataupun di antara segmen jaringan lokal. NIDS biasanya dikembangkan di depan dan di belakang firewall dan VPN gateway untuk mengukur keefektifan peranti-peranti keamanan tersebut
dan berinteraksi dengan mereka untuk mernperkuat keamanan jaringan.
NIDS dan HIDS harus dikembangkan bersama-sama untuk menyediakan pertahanan lapisan yang benar-benar efektif dengan melihat dan mengontrol komunikasi perusahaan. IDS juga menyediakan perusahaan dengan check-and-balance pada keefektifan sistem keamanan dan keseluruhan keefektifan biaya keamanan mereka. Bagian selanjutnya mendiskusikan keseluruhan kapabilitas IDS.
BAB 3PEMBAHASAN
3. 1 Tinjauan Fungsional IDSSistem IDS memberikan begitu banyak perangkat fitur
dan kapabilitas. Selain event logging biasa, kapabilitas berikut ini seharusnya menjadi fokus ketika mengunakan IDS untuk suatu jaringan : Event correlation - Kemampuan untuk mengorelasikan event
(serangan) menjadi hal penting untuk memastikan keamanan jaringan. Perhatikan bahwa serangan dapat menjangkau berbagai segmen saat sebuah host digunakan untuk menyerang yang lain, dan seterusnya..Tanpa event correlation yang cocok, serangan ini dapat menyebabkan
gangguan yang luar biasa dan terlalu banyak waktu yang terbuang percuma untuk mengisolasi gangguan. Event correlation memungkinkan administrator IDS melacak dan menghubungkan event dengan cepat yang tampak pada berbagai sensor yang dikembangkan dalam subnet berbeda, atau mungkin lokasi geografis yang berbeda dan melalui periode tertentu.
Centralized sensor management—Setiap peranti (server, router, firewall) membuat log; akan tetapi, mereka jarang diperiksa. Oleh karena itu, memiliki platform centralized management yang memungkinkan event correlation dan kontrol respons melalui banyak sensor dan kemampuan untuk menjalankan laporan yang detail pada keamanan jaringan merupakan kunci keberhasilan.
Customizable signatures and threshold - Aplikasi yang dikhususkan untuk perusahaan atau bisnis, upgrade perangkat lunak, sistem operasi baru, virus, dan hacker pintar biasanya melihat dan menemukan kerentanan baru. Selalu ada keterlambatan dari saat kerentanan baru ditemukan dan pengembang IDS, mengeluarkan signature baru yang mendeteksi serangan yang digunakan untuk mengeksploitasi kerentanan. Karenanya, IDS harus mengizinkan administrator untuk membuat attack signature untuk menangkal serangan yang mungkin terjadi.
Elimination of false positives— Diterjemahkan bebas sebagai "kesalahan positif", biasanya dikarenakan algoritma suatu program yang menyatakan suatu gejala/sinyal atau alarm yang sebetulnya tidak ada. Disebut juga dengan false alarm.Karena kemungkinan banyak false positive, dengan demikian menghasilkan FUD (fear, uncertainty, and doubt) pada keamanan jaringan. User dapat memahami bahwa IDS yang bagus memiliki kapabilitas untuk mengeliminasi false positive.
Standards-based implementation — Aspek penting mengembangkan suatu teknologi adalah memilih implementasi yang berbasis standar. Beberapa vendor membuat produk yang menjalankan layanan keamanan yang sangat bagus, tetapi sebagian dapat berinteroperasi atau menyediakan framework untuk implementasi di masa depan. Aturan ini berlaku pula pada IDS dan ada beberapa standar yang baru-baru ini muncul Karena aspek terpenting untuk integrasi dan pengelolaan IDS terletak pada laporan kapabilitasnya, maka standar yang dibuat berdasarkan database Common Vulnerabilities and Exposures (CVE). Database CVE mengklasifikasikan dan mengelompokkan kerentanan ke dalam sistem yang direferensi dengan mudah. Kompabilitas CVE penting untuk IDS karena dia menyediakan laporan kapabilitas yang jauh melampaui laporan yang telah ditemukan IDS sebelumnya. Dengan mengintegrasikan CVE-compatible IDS, perusahaan dapat menggunakan alat-alat CVE-compatible lainnya, misalnya alat-alat Vulnerability Assessment (VA), untuk meningkatkan akurasi dan keesensialan event reporting. CVE telah diadopsi secara luas dan selanjutnya menjadi metode standar laporan dan pengklasifikasian event keamanan jaringan (http://cveanitre.ord/cve/).
Intrusion Prevention functionality — Intrusion Prevention pada dasarnya merupakan kemampuan untuk merespons dan mencegah instrusion (penyusupan) dan aliran yang tidak diinginkan. Istilah "Intrusion Prevention' baru-baru ini telah menjadi topik pembicaraan dan acapkali dipasarkan sebagai teknologi pesaing bagi Intrusion Detection. Namun kenyataannya, di pasaran saat ini, IDS harus mendukung kapabilitas untuk merespons secara aktif ancaman-ancaman yang mencurigakan.
Signature matching — Memonitor semua aliran yang melewati sebuah jaringan dan selanjutnya mencocokkan masing-masing paket atau rangkaian paket dengan pola serangan Yang telah dikenal (signature). IDS selanjutnya merespons secara aktif atau pasif pada event tersebut. Respons ini dapat bervariasi dari mulai menghasilkan alarm SNMP, memperkuat e-mail alert, atau secara aktif menghentikan penyerang untuk melancarkan serangannya (juga dirujuk sebagai Intrusion Prevention).
Anomaly detection — Menetapkan basis pola traffic yang normal dan aliran informasi, dan selanjutnya merespons kapan pun normal threshold dilewati (misalnya jika protokol baru dideteksi pada sebuah jaringan). Anomaly Detection menjadi sangat efektif saat dia dirangkaikan dengan Protocol Decoding, di mana IDS mengetahui perilaku normal apa yang diharapkan oleh protokol tertentu dan merespons jika mendeteksi adanya command atau request yang tidak sesuai.
Gambar 2. Contoh serangan yg berhasil di deteksi (http://id.wikipedia.org/wiki/Berkas:IDS.png)
3.2 Bagaimana Mendeteksi penyusupanIDS memiliki implementasi TCP/IP khusus yang
memungkinkan ia mengumpulkan paket dan selanjutnya memasang kembali paket-paket tersebut untuk dianalisis. Tidak cukup hanya men-sniff paket; IDS harus menyelidikinya. Hal ini dilakukan dengan beberapa cara, seperti didiskusikan pada bagian selanjutnya. Memasang Kembali Aliran Komunikasi
IDS memiliki kapabilitas untuk membangun kembali aliran paket ke dalam bagian komunikasi dan selanjutnya menganalisis apa yang sebenarnya terjadi. Proses ini penting karena memungkinkan IDS untuk membagi event secara bersama-sama dan menyediakan event correlation kembali ke stasiun manajemen. Ini
menjadi lebih penting karena dari penelitian ditemukan bahwa penyebab inti terjadinya network worm adalah saat pekerja lapangan membawa laptop ke jaringan klien, menjadikannya terinfeksi, dan kemudian membawanya kembali ke jaringan perusahaan. Lebih buruk lagi saat pekerja menetapkan VPN tunnel ke dalam perusahaan, dan pada saat tertentu, dengan melewatkan pemeriksaan keamanan untuk worm. Alasan utamanya adalah karyawan "membawa" PC-nya melewati firewall ke kantornya, plug in dan log in ke jaringan perusahaan dengan PC yang telah terinfeksi. Maka, merupakan gagasan yang bagus untuk memiliki HIIDS pada laptop untuk mencegah hal itu.
Analisis ProtokolSerangan menggunakan metode mengubah
informasi protokol dasar telah banyak digunakan. Misalnya, Ping of Death dapat dilancarkan dengan sukses karena dia mengubah ukuran paket dan hal tersebut akan dideteksi melalui verifikasi protokol. IDS memiliki sistem verifikasi yang dapat mengidentifikasi paket-paket invalid; dapat mencakup paket-paket valid yang terpecah-pecah yang sekali lagi membuktikan bahwa memasang kembali Aliran komunikasi merupakan hal yang penting.
Deteksi AnomaliDeteksi anomali serupa dengan pelatihan filter SPAM
karena tahap pembelajaran dari IDS yang memungkinkan IDS menentukan tingkatan aktivitas dasar yang normal. Tentu saja, normal dalam hal ini diartikan berbeda untuk setiap jaringan. Pemikiran di balik pendekatan ini adalah untuk mengukur dasar statistik seperti kegiatan file, user login, penggunaan CPU, aktivitas disk, dan seterusnya. Seudah baseline ditentukan, IDS digunakan
untuk mendeteksi anomali-anomali statistik. Mencocokkan Signature/Pola
Mencocokkan signature/pola adalah metode yang paling umum untuk mendeteksi serangan dan ini berarti IDS harus mampu mengenali setiap teknik serangan supaya menjadi efektif. IDS memiliki database yang besar dengan ribuan signature yang memungkinkan IDS mencocokkan signature atau pola serangan.
Misalnya beberapa IDS digunakan untuk memonitor penyalahgunaan, seperti pengguna yang mengunjungi sites porno atau mengunjungi website saat bekerja. Mendeteksi jenis penyalahgunaan ini didasarkan, pada kata kunci; pertimbangkan jika ada seseorang yang menggunakan ICMP untuk memindai dan memetakan suatu jaringan. Paket-paket terdiri dari signature tertentu yang dapat dicocokkan.
Salah Satu pola yang paling cocok Adalah saat penyerang memastikan bahwa dia mencapai root permission pada host. Host me-reply bahwa root access dicapai dalam paket yang Akan dikirim ke penyerang dan bahwa asal katanya (word root) dapat dianalisis. Ini merupakan contoh yang paling sederhana, tetapi dia menunjukkan apa yang dilihat IDS (jika Ada kecocokan).
Analisis LogIDS memiliki kapabilitas untuk menerima pesan
log dari berbagai peranti dan memeriksa log-log ini untuk event-event keamanan terkait. Misalnya, NIDS dapat menyederhanakan semua log protokol lapisan aplikasi yang digunakan pada sebuah mesin. Analisis log tidak hanya berarti memiliki kapabilitas untuk mengorelasikan Syslogs dan event lain, tetapi juga
memiliki mekanisme untuk merekam paket yang memicu IDS untuk menyalakan tanda peringatan. berikut ini beberapa fungsi mekanisme tambahan tersebut:1. Capture offending packet—Sensor IDS mengambil
paket yang dihasilkan oleh event/tanda peringatan yang dipicu. Ini menyediakan isi paket untuk dianalisis. IDS dapat dikonfigurasi untuk mengumpulkan paket-paket tambahan dan bahkan keseluruhan session. Adalah penting untuk memahami mengapa signature memicu dan mengidentifikasi true dari false positive.
2. Session reconstruction—Acap kali IDS memberi peringatan pada paket, tetapi paket tersebut hanya merupakan event yang dipicu oleh alarm. Kapabilitas untuk membuat kembali keseluruhan session komunikasi penting untuk mendeteksi SCIMM serangan dan membantu mengeliminasi false positive karena Anda memiliki gambaran yang lebih baik tentang apa yang telah terjadi.
Log merupakan hal penting karena mereka menyediakan alat-alat untuk menyalakan alarm pada saat sebuah event terjadi. Langkah selanjutnya adalah mengombinasikan metode-metode tersebut untuk meningkatkan keamanan jaringan Anda.
Mengombinasikan MetodePenyerang secara terus-menerus memodifikasi dan
meningkatkan kemampuan mereka, dengan membuat mereka menjadi sulit untuk dideteksi. Dengan menyerang Para penyerang, IDS kemudian ber-kembang, menjadi lebih cerdas dan lebih baik ketika melakukan deteksi dengan mengombinasikan metode-metode yang mereka gunakan untuk mendeteksi
intrusion (penyusupan).Misalnya, IDS mungkin memiliki kapabilitas
untuk mengombinasikan metode mencocokkan pola berdasarkan signature, analisis protokol, dan deteksi anomali. Kemampuan menggunakan berbagai metode deteksi serangan adalah contoh lain dari cara yang digunakan IDS untuk meningkatkan kemampuannya.
3.3 Mencegah PenyusupanKebanyakan produk IDS merupakan sistem yang bersifat pasif,
mengingat tugasnya hanyalah mendeteksi intrusi yang terjadi dan memberikan peringatan kepada administrator jaringan bahwa mungkin ada serangan atau gangguan terhadap jaringan. Akhir-akhir ini, beberapa vendor juga mengembangkan IDS yang bersifat aktif yang dapat melakukan beberapa tugas untuk melindungi host atau jaringan dari serangan ketika terdeteksi, seperti halnya mentutp beberapa port atau memblokir beberapa alamat IP. Produk seperti ini umumnya disebut sebagai Intrusion Prevention System (IPS). Beberapa produk IDS juga menggabungkan kemampuan yang dimiliki oleh HIDS dan NIDS, yang kemudian disebut sebagai sistem hibrid (hybrid intrusion detection system).
Intrusion Prevention System (IPS) mencegah sedini mungkin agar serangan tidak berhasil. IPS bekerja dengan sebuah IDS dan vendor-vendor telah mengombinasikan dua teknologi tersebut untuk membuat IDS berkemampuan IPS. Berikut ini dua teknik yang digunakan untuk mencegah sebuah serangan:
Sniping—Memungkinkan IDS untuk menterminasi serangan yang dicurigai melalui penggunaan paket TCP Reset atau ICMP unreachable message.
Shunning—Memungkinkan IDS mengonfigurasi secara otomatis router pre-screening atau firewall Anda untuk meniadakan traffic berdasarkan apa yang ia deteksi dan kemudian men-shunning (menghindarkan) sebuah
koneksi. Saat IDS menjadi lebih bagus, shunning berkembang menjadi istilah bare, blocking, di mana IDS mengoneksikan router atau firewall dan membuat access control list (ACL) untuk menahan serangan IP address.
3.4 Respons dan Kegiatan IPSIDS dapat menjalankan beberapa tindakan untuk mencegah
penyusupan yang telah terdeteksi. Cara yang paling proaktif mencakup sniping dan shunning. IDS dapat mengelola sniping; tetapi, shunning membutuhkan dukungan dari peranti-peranti lain. Bagaimanapun, sensor IDS harus melaporkan kembali console central yang juga menghasilkan beberapa respons jika dikonfigurasi. Berikut adalah beberapa kegiatan yang dapat dihasilkan IDS untuk merespons sebuah serangan:
Mengonfigurasi kembali firewall/router—IDS berkemampuan shun dapat mengonfigurasi firewall untuk memfilter IP address penyusup. Akan tetapi, penyusup masih dapat menyerang dari address lain. Checkpoint firewall mendukung Suspicious Activity Monitoring Protocol (SAMP) untuk mengonfigurasi firewall. Checkpoint memiliki standar OPSEC untuk mengonfigurasi kembali firewall untuk menahan IP address yang menyebabkan penyusupan.
Mengirim SNMP trap—Mengonfigurasi IDS untuk mengirim datagram SNMP trap ke console manajemen seperti HP Open View, Tivoli, Cabletron Spectrum, dan lain sebagainya.
Menghasilkan Log—IDS dapat me-log ke Windows event log, Syslog server, pager, atau bahkan mengirim e-mail.
Dapat disimpulkan IDS adalah area pengembangan, dan IPS adalah area pengembangan yang lebih awal (hanya beberapa
tahun).3.5 Produk-Produk IDS
Ada banyak kejanggalan pada beberapa sistem IDS yang ada karena hanya ada sedikit standar terkait dengan bagaimana mereka beroperasi. Sangat sulit untuk menyajikan perbandingan langsung antarproduk karena masalah pada terminologi, makna, fitur, dan fungsionalitas yang belum matang untuk dijadikan perbandingan yang efektif. Akan tetapi, sebagian produk didasarkan pada basil kerja dari komunitas open source di dalam lingkup IDS. Produk terkemukanya adalah Snort.
Snort!Snort adalah Intrusion Detection System jaringan open
source yang mampu menjalankan analisis aliran real-time dan paket logging pada IP network. Dia dapat menjalankan analisis protokol, content searching/matching, dan dapat digunakan untuk mendeteksi berbagai serangan dan penyusupan, seperti buffer overflow, stealth port scan, serangan CGI, penyusupan SMB, usaha-usaha OS fingerprinting, dan masih banyak lagi.
Snort menggunakan bahasia aturan yang fleksibel untuk menguraikan aliran yang harus dikumpulkan atau dilewatkan, dari mesin deteksi yang memanfaatkan arsitektur modular plugin. Snort memiliki kapabilitas real-time alerting yang digabungkan dengan mekanisme alerting untukk syslog, file yang ditentukan pengguna, soket UNIX, pesan WinPopup ke klien Windows dengan menggunakan smbclient dari Samba.
Snort memiliki tiga kegunaan utama. Dia dapat digunakan sebagai straight packet sniffer seperti tcpdump (1), packet logger (berguna untuk network traffic debugging, dan lain-lain), atau Intrusion Detection System jaringan full blown.
Aplikasi Snort itu sendiri merupakan aplikasi command-line yang ditulis dengan sangat bagus, sekalipun kadang-kadang sulit untuk dikonfigurasi dan dimonitor. seperti ditunjukkan pada Gambar 3, IDS Center GUI front-end memungkinkan
pengguna Untuk memiliki konfigurasi grafis dan interface monitoring.
Gambar 3. Tampilan Konfigurasi IDS Center Main Snort
Gambar 4 memberi Anda sebuah gagasan tentang opsi konfigurasi dasar yang dapat di-set untuk operasi Snort. Tampilan dalam IDS Center ini penting untuk memulai tweaking yang mau tak mau harus muncul.
Gambar 4. Halaman Konfigurasi IDS Center Snort Rule
Gambar 5 menunjukkan metode bagi pengguna untuk menyeleksi profile penyusupan atau serangan yang dibutuhkan Snort untuk melihat dan bagaimana memberitahukan pelanggan. Selain itu, gambar 5 menunjukkan opsi alerting yang dapat di-set saat muncul situasi yang membutuhkan perhatian administratif.
Gambar 5. IDS Center Notification
3.6 Keterbatasan IDSIDS yang merupakan teknologi berkembang, memiliki
keterbatasan tertentu. IDS biasanya dikembangkan untuk menambahkan router pre-screening dan firewall. Sistem utama seperti firewall, enkripsi, dan otentikasi merupakan Sistem yang solid. Bug atau miskonfigurasi sering menyebabkan masalah pada peranti-peranti ini, tetapi konsep mendasar ini terbukti akurat. Berikut beberapa keterbatasan IDS:
Debat coal HIDS versus NIDS—Ini seharusnya tidak pernah menjadi perdebatan; keduanya dibutuhkan dan harus bekerja bersama-sama dalam suatu pendekatan untuk meningkatkan keamanan jaringan saat mereka memainkan peran yang berbeda.
Pola serangan—Produk-produk IDS biasanya tidak di-update
dengan attack signature terbaru. False Positive—aliran normal yang dapat menyebabkan
false positive. Keterbatasan resource—NIDS berada di lokasi central
pada jaringan. Mereka harus mampu tetap dalam kondisi baik dengan menganalisis dan menyimpan informasi yang dihasilkan oleh ribuan mesin. NIDS harus mengemulsi entity yang telah dikombinasikan dari semua mesin dengan mengirim aliran melalui segmennya. Jelasnya, dia tidak dapat menjalankan hal tersebut secara langsung dan dia harus mengambil jalan pintas.
Long term state—Masalah yang sering muncul adalah "slow scan" di mana penyerang memindai Sistem dengan sangat lambat. IDS tidak dapat menyimpan informasi yang banyak tersebut melalui periode waktu yang panjang sehingga dia tidak dapat mencocokkan data secara bersama-sama.
Sensor blindness—IDS dibuat pada komputer yang tidak memiliki kapabilitas khusus; jadi, adalah memungkinkan untuk memenuhi link ke tempat di mana mereka terkoneksi dan menyembunyikan mereka, dengan demikian memampukan mereka men-drop paket Yang seharusnya mereka rekam. Misalnya, alat open source port-scanning nmap mencakup sebuah fitur yang dikenal dengan decoy scan, yang menyebabkan nmap mengirim ratusan scan dengan menggunakan spoofed IP address. Dengan demikian, menjadi mustahil bagi administrator untuk menemukan IP address mana yang riil dan mana yang merupakan salah satu dari decoy address. Bagaimanapun, keduanya menahan data forensik. Jika penyerang dicurigai, data masih dapat ditemukan. Serangan lain mengarah kepada event storage.
Storage limitations - Saat penyerang berusaha mengelabui sensor IDS, dia mungkin memiliki tujuan ganda untuk memenuhi sensor database atau harddrive. Ini menyebabkan
sensor menghapus event atau menghentikan recording event. Denial of service—IDS sangatlah rumit karena dia
memiliki semua implementasi TCP/IP. Hasilnya, IDS dapat mudah terkena serangan. Penyerang acapkali dapat mendownload IDS yang sama untuk target mereka secara gratis dan selanjutnya mencari paket yang akan mematikan IDS, Selama serangan, penyusup kemudian mematikan IDS dan terus melancarkan serangan yang tidak terdeteksi.
Fragmentation—Memecah paket besar menjadi paket-paket yang lebih kecil. Susunan TCP/IP penerima selanjutnya memasang kembali paket dan data mereka. Sebagian besar IDS tidak memiliki kemampuan untuk memasang kembali IP packet: Alat-alat sederhana yang ada yang dapat memecah serangan menghindari IDS secara otornatis.
Pattern evasion/change-Beberapa NIDS sederhana mengandalkan "pencocokan pola”. Skrip serangan memiliki pola yang telah dikenal sehingga cukup dengan menyusun database skrip serangan yang telah dikenal, akan diproleh deteksi yang sangat bagus; akan tetapi, dia dapat dihindarkan dengan mudah hanya dengan mengubah skrip serangan dan dengan demikian membuat pencocokan pola IDS tidak berguna.
IDS "evaluation" tools—Ada berbagai alat yang tersedia secara gratis untuk menguji akurasi dan kegunaan IDS. Yang paling umum digunakan adalah "snot" dan "Stick". Alat-alat ini membuat ribuan serangan untuk melihat apakah IDS akan melihat mereka. Penyerang dapat menggunakan alat-alat ini untuk menyembunyikan serangan-serangan mereka atau berpotensi menyembunyikan IDS.
Keterbatasan tersebut bukan berarti penggunaan IDS tidak valid atau berkurang. Hacking begitu pervasif dan alat-alat
serangan yang tersedia telah berkembang begitu pesat. Pemeliharaan dan pengelolaan yang tepat membuat IDS dapat meningkatkan keamanan semua jaringan. Kebijakan keamanan merupakan hal penting agar bisa menggunakan IDS.
BAB 4KESIMPULAN
Intrusion Detection Systems (IDS) adalah sistem yang dapat memberikan peringatan dan informasi tentang perilaku yang dicurigai sebagai intrusion. Tujuan dari IDS adalah meminimalkan perkiraan kerugian dari intrusion. Jadi pastikan bahwa IDS yang digunakan itu memiliki teknologi sbb :1. Akurasi yang tinggi.
Akurasi merupakan ketelitian, jadi IDS yang baik itu harus memiliki ketelitian yang baik untuk mengenal tindakan-tindakan penyerangan. Pada saat ini sudah banyak IDS yang memiliki level ketelitian yang sangat tinggi, mampu secara realtime mendeteksi dan melakukan 'blocking' terhadap tindakan-tindakan yang mencurigakan. Tidak hanya itu, IDS juga harus mampu memeriksa dan menganalisa secara menyeluruh paket-paket data yang dipergunakan. Membedakan paket data yang keluar masuk dalam
lalu lintas jaringan pun harus dapat dihandalkan sehingga dapat mengenal benar karakteristik traffic penyerang.Untuk dapat melakukan hal tersebut, maka diperlukan IDS dengan karakterisitik : Mampu menganalisa protokol dari semua sumber lalu lintas
data (trafic) Mampu menganalisa protokol secara stateful untuk Layer 3
sampai Layer 7 Mampu melakukan perbandingan secara Context-base,
multiple-trigger, multiple-pattern Signature dengan tujuan bisa mengenal dan mengetahui jenis
exploit yang dipergunakan. Mampu melakukan 'Forward' dan 'Backward' apabila terjadi
proses overlap (penumpukan data) pada IP Fragmen (Layer 3) Mampu melakukan 'Forward' dan 'Backward' apabila terjadi
proses overlap (penumpukan data) pada TCP Segment Mampu melakukan 'Forward' dan 'Backward' apabila terjadi
kerancuan dan ketidakberesan didalam implementasi protokol (layer 4)
Mampu melakukan kontrol pada tingkat aplikasi protokol seperti : HTTP, FTP, Telnet, RPC Fragmentasi, SNMP (Layers 6 and 7)
2. Mampu mencegah serangan dan tidak hanya mendeteksi.Jangan gunakan IDS yang hanya dapat mendeteksi serangan saja, tapi gunakan IDS yang sudah mampu melakukan pencegahan terhadap serangan. IDS yang baik tidak memiliki batasan metoda pendeteksian dan dapat dipercaya dalam mencegah suatu serangan.Pencegahan serangan dapat dipenuhi oleh IDS jika IDS memiliki karakteristik :
Dapat beroperasi secara in-line Memiliki kehandalan dan ketersediaan Deliver high performance
Kebijakan policy pada IDS bisa diatur3. Memiliki cakupan yang luas dalam mengenal proses attacking
IDS harus memiliki pengetahuan yang luas, bisa mengenal apa yang tidak dikenalnya, mampu melakukan deteksi DoS mempergunalan analisis 'signature' dan mampu menditeksi segala sesuatu yang mencurigakan. Untuk memenuhi kriteria ini IDS harus : Mampu melakukan proses deteksi trafic dan pembersihan
terhadap host (Layer 3 - 7) Mampu malakukan 'scanning' TCP dan UDP Mampu memeriksa keberadaan 'Backdoor'
4. Hasil analisis terhadak trafik bisa diterimaKarena banyak paket data yang keluar masuk maka IDS harus mampu menangani area data yang sangat luas, bisa ditempatkan didalam topologi yang berbeda, dapat dihadapkan dengan switch dan data yang terenkripsi.
5. Dapat memberikan informasi tentang ancaman2 yang terjadi6. Memiliki tingkat Forensik yang canggih dan mampu menghasilkan
reporing yang baik7. Memiliki sensor yang dapat dipercaya untuk memastikan
pendeteksian dan pencegahan.
DAFTAR PUSTAKA
1. Tomas, Tom. Newtork Security First Step, Penerbit : Andi, 20042. arius, Dony. Computer Security, Penerbit : Andi, 20053. http://id.wikipedia.org/wiki/Sistem_deteksi_intrusi 4. http://lirva32.org/site/index.php?
option=com_content&task=view&id=62&Itemid=345. http://budi.insan.co.id/courses/ec5010/firewall-ids.pdf 6. http://www.beritanet.com/Literature/Kamus-Jargon/
instrusion_detection_system.html7. http://www.total.or.id/info.php?kk=Intruder%20Detection
%20System
Recommended
