Professional Documents
Culture Documents
Pendahuluan ...
Sistem Keamanan Komputer, dalam beberapa tahun ini telah menjadi fokus utama dalam dunia
Jaringan Komputer, hal ini disebabkan tingginya ancaman yang mencurigakan (suspicious threat) dan
serangan dari Internet. Keamanan Komputer (Security) merupakan salah satu kunci yang dapat
mempengaruhi tingkat Reliability (termasuk performance dan availability) suatu internetwork [14]
dalam penelitian tersebut banyak menceritakan tentang apa saja faktor-faktor yang mempengaruhi
faktor Reliability. Jika kita lihat dan beranjak dari data CSI/FBI survey [11], saat ini telah banyak
perusahaan yang membelanjakan uangnya untuk terhindar dari masalah keamanan ini dan sementara
itu juga untuk mengamankan sistemnya, banyak perusahaan tersebut telah menggunakan system
dengan mengkombinasikan beberapa teknologi system keamanan, dimana hampir 69%nya menggunakan
solusi dari Intrusion Prevention System (IPS).
Intrusion Prevention System (IPS), adalah pendekatan yang sering digunakan untuk membangun
system keamanan komputer, IPS mengkombinasikan teknik firewall dan metode Intrusion Detection
System (IDS) dengan sangat baik. Teknologi ini dapat digunakan untuk mencegah serangan yang akan
masuk ke jaringan lokal dengan memeriksa dan mencatat semua paket data serta mengenali paket
dengan sensor, disaat attack telah teridentifikasi, IPS akan menolak akses (block) dan mencatat (log)
semua paket data yang teridentifikasi tersebut. Jadi IPS bertindak sepeti layaknya Firewall yang akan
melakukan allow dan block yang dikombinasikan seperti IDS yang dapat mendeteksi paket secara detail.
IPS menggunakan signatures untuk mendeteksi di aktivitas traffic di jaringan dan terminal, dimana
pendeteksian paket yang masuk dan keluar (inbound-outbound) dapat di cegah sedini mungkin sebelum
merusak atau mendapatkan akses ke dalam jaringan lokal. Jadi early detection dan prevention menjadi
penekanan pada IPS ini.
Sampai saat ini IPS telah menjadi the new brand bagi para vendor, mereka berlomba-lomba untuk
membuat solusi IPS, namun sangat disayangkan kebanyakan produk tersebut bersifat proprietary dan
sangat susah untuk di kombinasikan dengan perangkat yang existing dipakai. Banyak peneliti yang
terfokus pada signatures, baik disisi algorithma yang digunakan, permodelan dan pemecahan lainnya.
1|I P S
Sebut saja vendor terkenal (cisco.com, bluecoat.com, juniper.net, astaro.com) yang memberikan
banyak sekali solusi untuk IPS ini dengan brand yang berbeda-beda.
Secara umum, ada dua pendekatan yang dapat digunakan untuk mendeteksi ancaman attack ini, (i)
Host-based approach, (ii) Network-based approach [4],[7],[8],[10], dimana Host-based approach :
teknologi terkini yang dipakai dan sangat popular, dapat melakukan mengecekan untuk aktiitas yang
mencurigakan langsung dari host computer tersebut di level operating systemnya, dan Network-based
approach : sangat terfokus pada network-based, dengan gabungan komponen keamanan lainnya dapat
menjadi solusi yang menyeluruh pada system keamanan.
Namun implementasi IPS pada jaringan internetwork sangat dipengaruhi oleh beberapa faktor lainnya.
Faktor teknis menjadi kendala utama dalam implementasi ini, karena IPS adalah salah satu bagian
dalam system keamanan yang dibangun, hendaknya memperhatikan isu-isu yang ada dalam jaringan
computer. Dalam tulisan ini, mencoba menjabarkan secara umum apa saja faktor-faktor utama yang
menjadi kendala utama dalam imlementasi teknologi ini, serta solusi yang dapat dilakukan sebagai
pemecahannya.
OSI Layer
Kegunaan
Aktivitas
Komponen
Integrated
IDS
Layer 3
IDS
didesign
hanya
untuk
mengidentifikasi dan memeriksa semua
paket yang lewat, jika ditemukan
keganjilan maka akan memtrigger alarm
Mendeteksi serangan hanya disaat
serangan tersebut telah masuk ke
jaringan dan tidak akan melakukan
sesuatu untuk menghentikannya
Tidak dapat mendeteksi semua aktivitas
malicious dan malware setiap saat yang
akan mengakibatkan false negative
sangat banyak
Tidak dapat menggunakan ACL / script
dari komponen system keamanan yang
lain
2|I P S
IPS
Layer 2, 3 dan 7
Mengkombinasikan Firewall, Policy, QoS
dan IDS dengan baik. IPS memang dibuat
untuk dapat mentrigger alarm dan
melakukan Allow, Block, Log
Early Detection, teknik yang proaktif,
mencegah sedini mungkin attack masuk
ke jaringan, dan akan menghentikannya
jika teridentifikasi
Memungkinkan dapat mendeteksi new
signature dan behavior attack, dan
mengakibatkan rendahnya false negative
Dapat diintegrasikan dengan ACL dan
perimeter DMZ lainnya
Gambar 1. Contoh topology yang mengambarkan permasalahan isu utama dalam implementasi IPS,
ilihat dari gambar tersebut dengan penomeran (1) akurasi signature, (2) volume traffic, (3) topology
penempatan sensor, (4) penggunaan quota log, (5) proteksi mesin IPS, (6) sensor monitoring, (7)
kolaborasi U.T.M
3|I P S
1. Akurasi Signature
Keakurasian signature sangat ditentukan oleh sensor dan update informasi yang ada, dimana sensor
membuat alert, disuatu kondisi mentrigger alarm dari sensor (valid atau tidak), jika tidak valid
terdeteksi bisa juga sangat memungkinkan sebagai serangan. Ada empat alert yang dibuat oleh
sensor, seperti (i) True Negative (TN) : dimana pada kondisi traffic normal dan tidak ada alarm
yang dibangkitkan, (ii) True Positive (TP) akan mentrigger alarm jika ditemukan kecocokan yang
diidentifikasi sebagai serangan, (iii) False Negative (FN) akan tetap diam dengan tidak memberikan
alarm walaupun attack telah masuk dan menyerang, dan (iv) False Positive (FP) membuat alert
pada kondisi aktivitas traffic normal, fokus utama banyak peneliti adalah pada bagaimana untuk
mengurangi alert FP ini.
IPS seperti memiliki hidung dan mata untuk mengidentifikasi semua data paket inbound-outbound.
Penempatan yang tepat perangkat Host-based dan Network-based akan sangat mempengaruhi
keakuratan dari sensor. ada tiga macam pola pengenalan dari signature :
1. Pattern-based Prevention : untuk mengenali pattern secara spesifik, yang biasanya
direpresentasikan dengan sebuah text atau binary string. Pola ini membuat mekanisme seperti:
(i) Pattern Detection regex, dan (ii) Deobfuscation techniques, yang dijabarkan oleh
[4],[5],[15].
2. Anomaly-based Prevention : kita harus membuat profile untuk mendefinisikan dengan jelas
bagaiaman digolongka sebagai aktivitas normal dan sebaliknya, kelebihan model ini adalah
dapat mengenali pola-pola baru walaupun belum dideklasikan di signature database [2],[12].
3. Behavior-based Prevention, model ini hampi sama dengan pattern prevention, namun behavior
menjelaskan dengan tegas activity user dalam kelas-kelas untuk mengenali malicious threat.
Pada model ini dibutuhkan penjabaran kebiasaan dari aktivitas user di jaringan tersebut [1],[6].
2. Volume Traffic
Permasalah kedua di IPS adalah volume traffic. Dimana sangat dipengaruhi dari perangkat yang
digunakan. Hal ini akan meningkat dengan tingginya traffic jaringan yang akan dipantau, yang akan
mempengaruhi performance secara keseluruhan. Dibutuhkan klarifikasi jumlah paket traffic yang
digunakan. Jumlah keseluruhan traffic didapat dari jumlah segment jaringan dan jumlah sensor
yang ditempatkan. Penggunaan Fast Eth dan Gigabit Eth akan mempengaruhi dari faktor ini.
Hubungannya adalah akan
karena setiap node jaringan dapat membuat permasalahan, termasuk kesalahan hardware, laporan
kesalahan sistem operasi, perangkat jaringan akan menghasilkan broadcast yang memerlukan
bandwidth.
4|I P S
cara penyerang untuk mencari kelemahan, langkah scanning yang sering dilakukan untuk mencari
titik kelemahan tersebut, baik yang hanya sekedar mengumpulkan informasi seperti IP Address,
skema diagram, aplikasi yang dijalankan, model firewall yang diintegrasikan sampai dengan
mencari celah user dan password.
6. Sensor Monitoring
Sensor merupakan bagian kritikal di IPS, namun sangat disayangkan, capacity sensor ini sangat
dibatasi oleh jumlah dari trafik jaringan, penempatan sensor, dan penggunaan system (apakah
hardware atau berbasis module), karenanya solusi SPAN (Switched Port Analyzer) dapat digunakan
untuk mengidentifikasi dan mengenali paket-paket tersebut
Dalam penelitian sebelumnya [17], dikatakan untuk mengintegrasikan dan mencakup infrastruktur
keamanan yang tersebar agar bisa berinteraksi secara dinamis dan otomatis dengan perangkat
keamanan yang berbeda. Berarti disini dibutuhkan suatu mekanisme system monitoring yang
terpadu, pada gambar 8, diilustrasikan bagaimana sensor dengan traffic analysis dapat dimonitoring
dengan satu tampilan yang terpusat, hal ini akan mempermudah pekerjaan dalam mengatur
infrastruktur.
7. Kolaborasi U.T.M
Pada sesi ini, kolaborasi system keamanan akan menjadi fokus utama. Unified Threat Management
(UTM) coba ditawarkan untuk disesi ini. Ada beberapa model dalam system keamanan ini, namun
sangat disayangkan, model-model ini biasanya mempunyai standar sendiri-sendiri yang tidak dapat
diintegrasikan satu dengan yang lain. Dalam pengamatan yang dilakukan terdapat tiga bagian
utama pada system keamanan computer, (i) web security, (ii) network protection, and (iii) mail
filtering.
Dalam tulisan berikutnya, akan dijabarkan tentang metode signatures yang akan digunakan untuk
mengidentifikasi paket data. Saat ini dataset sedang dicoba dicapture pada jaringan sesungguhnya.
Daftar Pustaka
[1]
[2]
[3]
[4]
[5]
C.M. Akujuobi, et al Application of Wavelets and Self-similarity to Enterprise Network Intrusion Prevention
and Prevention Systems, Consumer Electronics, 2007.
E. Guillen, et al Weakness and Strength Analysis over Network-Based Intrusion Prevention and Prevention
Systems Communications, 2009.
C. Pattinson, et al,Trojan Prevention using MIB-based IDS/IPS system, Information, Communication and
Automation Technologies, 2009.
E. Carter, et al, Intrusion Prevention Fundamentals : an introduction to network attack mitigation with IPS,
Cisco press, 2006.
Kjetil Haslum, et al, Real-time Intrusion Prevention and Security of Network using HMMs, Local Computer
Networks, 2008.
6|I P S
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
Frias-Martinez.V, et al, Behavior-Profile Clustering for False Alert Reduction in Anomaly Prevention Sensors
Computer Security Applications Conference, 2008.
Xinyau Zhang, et al, Intrusion Prevention System Design, Computer and Information Technology, 2004
Martuza Ahmed, et al, NIDS : A Network based approach to intrusion prevention and prevention,
International Association of Computer Science and Information Technology - Spring Conference, 2009.
Yaping Jiang, et al ,A Model of Intrusion Prevention Base on Immune, Fifth International Conference on
Information Assurance and Security, 2009.
Rainer Bye, et al, Design and Modeling of Collaboration Architecture for Security, International Symposium
Collaborative Technologies and Systems, 2009.
Robert Richardson, CSI Computer Crime & Security Survey 2008, 2008.
Anh Le, et al, On Optimizing Load Balancing of Intrusion Prevention and Prevention Systems, IEEE,
INFOCOM Workshops, 2008
Kamei, S, et al, Practicable network design for handling growth in the volume of peer-to-peer traffic,
Communications, Computers and signal Processing, 2003.
Deris S, A. Hanan, M. Yazid, The Measurement Internet Services, International Conferences, ICGC-RCICT,
2010.
Taras Dutkevych, et al, Real-Time Intrusion Prevention and Anomaly Analyze System for Corporate
Networks, IEEE International Workshop on Intelligent Data Acquisition and Advanced Computing Systems:
Technology and Applications, 2007.
Zhijie Liu, et al, Correlating Multi-Step Attack and Constructing Attack Scenarios Based on Attack Pattern
Modeling, International Conference on Information Security and Assurance, 2008.
Sourour.M, et al, Collaboration between Security Devices toward improving Network Defense, sevent
IEEE/ACIS International Conference on Computer and Information Science, 2008.
7|I P S