Intrusion Prevention System (IPS)

Pada kesempatan kali ini saya akan membehas tentang apa itu Intrusion Prevention System (IPS).
Intrusion Prevention System (IPS) adalah sebuah aplikasi yang bekerja untuk monitoring traffic jaringan, mendeteksi aktivitas yang mencurigakan, dan melakukan pencegahan dini terhadap intrusi atau kejadian yang dapat membuat jaringan menjadi berjalan tidak seperti sebagaimana mestinya. Bisa jadi karena adanya serangan dari luar, dan sebagainya.

Produk dari IPS sendiri dapat berupa Software atau hardware yang ditanam di jaringan. Ada beberapa jenis dari IPS dalam peng-aplikasi-an nya di dalam jaringan, antara lain :

Host-based Intrusion Prevention System (HIPS)
Host-based Intrusion Prevention System (HIPS) adalah sama seperti halnya Host-based Intrusion Detection System (HIDS). Program agent HIPS diinstall secara langsung di sistem yang diproteksi untuk dimonitor aktifitas sistem internalnya. HIPS di binding dengan kernel sistem operasi dan services sistem operasi. Sehingga HIPS bisa memantau dan menghadang system call yang dicurigai dalam rangka mencegah terjadinya intrusi terhadap host. HIPS juga bisa memantau aliran data dan aktivitas pada applikasi tertentu. Sebagai contoh HIPS untuk mencegah intrusion pada webserver misalnya. Dari sisi security mungkin solusi HIPS bisa mencegah datangnya  ancaman  terhadap host. Tetapi dari sisi performance, harus diperhatikan apakah HIPS memberikan dampak negatif terhadap performance host. Karena menginstall dan binding HIPS pada sistem operasi mengakibatkan penggunaan resource komputer host menjadi semakin besar.

Network-based Intrusion Prevention System (NIPS)

Network-based Intrusion Prevention System (NIPS) tidak melakukan pantauan secara khusus di satu host saja. Tetapi melakukan pantauan dan proteksi dalam satu jaringan secara global. NIPS menggabungkan fitur IPS dengan firewall dan kadang disebut sebagai In-Line IDS atau Gateway Intrusion Detection System (GIDS).
Sistem kerja IPS yang populer yaitu pendeteksian berbasis signature, pendeteksian berbasis anomali, dan monitoring berkas-berkas pada sistem operasi host.

Sistematika IPS yang berbasis signature
adalah dengan cara mencocokkan lalu lintas jaringan dengan signature database milik IPS yang berisi attacking rule atau cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama halnya dengan antivirus, IPS berbasis signature membutuhkan update terhadap signature database untuk metode-metode penyerangan terbaru. IPS berbasis signature juga melakukan pencegahan terhadap ancaman intrusi sesuai dengan signature database yang bersangkutan.

Sistematika IPS yang berbasis anomali
adalah dengan cara melibatkan pola-pola lalu lintas jaringan yang pernah terjadi. Umumnya, dilakukan dengan menggunakan teknik statistik. Statistik tersebut mencakup perbandingan antara lalu lintas jaringan yang sedang di monitor dengan lalu lintas jaringan yang biasa terjadi (state normal). Metode ini dapat dikatakan lebih kaya dibandingkan signature-based IPS. Karena anomaly-based IPS dapat mendeteksi gangguan terhadap jaringan yang terbaru yang belum terdapat di database IPS. Tetapi kelemahannya adalah potensi timbulnya false positive, yaitu pesan/log yang belum semestinya dilaporkan. Sehingga tugas Network Administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.

Teknik lainnya

adalah dengan cara melakukan monitoring berkas-berkas sistem operasi pada host. IPS akan melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini diimplementasikan dalam IPS jenis Host-based Intrusion Prevention System (HIPS).
Teknik yang digunakan IPS untuk mencegah serangan ada dua, yaitu sniping dan shunning.
Sniping: memungkinkan IPS untuk menterminasi serangan yang dicurigai melalui penggunaan paket TCP RST atau pesan ICMP Unreachable.
Shunning: memungkinkan IPS mengkonfigurasi secara otomatis firewall untuk drop traffic berdasar apa yang dideteksi oleh IPS. Untuk kemudian melakukan prevention terhadap koneksi tertentu.
Perbedaan mendasar antara Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS) dapat dilihat pada tabel berikut:

Sampai saat ini IPS telah menjadi “the new brand” bagi para vendor, mereka berlomba-lomba untuk membuat solusi IPS, namun sangat disayangkan kebanyakan produk tersebut bersifat “proprietary” dan sangat susah untuk di kombinasikan dengan perangkat yang existing dipakai. Banyak peneliti yang terfokus pada signatures, baik disisi algorithma yang digunakan, permodelan dan pemecahan lainnya.Sebut saja vendor terkenal (cisco.com, bluecoat.com, juniper.net, astaro.com) yang memberikan banyak sekali solusi untuk IPS ini dengan “brand” yang berbeda-beda. Sebagai acuan dalam membeli produk IPS, kita dapat berpedoman pada Gatner Magic Quadrant untuk IPS yang diperlihatkan gambar berikut:

Source : Wikipedia, Ngurah Edi's Blog

Intrusion Detection System (IDS)

Pada postingan kali ini saya akan membahas tentang Intrusion Detection System (IDS) . Apakah yang dimaksud dari kedua istilah tersebut tersebut?

Intrusion Detection System (IDS) adalah  sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi (penyusupan).

Dalam IDS ada beberapa jenis metode dalam prosesnya, yaitu antara lain:

NIDS (Network Intrusion Detection System)

IDS jenis ini ditempatkan disebuah tempat/ titik yang strategis atau sebuah titik didalam sebuah jaringan untuk melakukan pengawasan terhadap traffic yang menuju dan berasal dari semua alat-alat (devices) dalam jaringan. Idealnya semua traffic yang berasal dari luar dan dalam jaringan di lakukan di scan, namun cara ini dapat menyebabkan bottleneck yang mengganggu kecepatan akses di seluruh jaringan.

HIDS (Host Intrusion Detection System)

IDS jenis ini berjalan pada host yang berdiri sendiri atau perlengkapan dalam sebuah jaringan. Sebuah HIDS melakukan pengawasan terhadap paket-paket yang berasal dari dalam maupun dari luar hanya pada satu alat saja dan kemudian memberi peringatan kepada user atau administrator sistem jaringan akan adanya kegiatankegiatan yang mencurigakan yang terdeteksi oleh HIDS.

Signature Based

IDS yang berbasis pada signature akan melakukan pengawasan terhadap paket-paket dalam jaringan dan melakukan pembandingan terhadap paket-paket tersebut dengan basis data signature yang dimiliki oleh sistem IDS ini atau atribut yang dimiliki oleh percobaan serangan yang pernah diketahui. Cara ini hampir sama dengan cara kerja aplikasi antivirus dalam melakukan deteksi terhadap malware. Intinya adalah akan terjadi keterlambatan antara terdeteksinya sebuah serangan di internet dengan signature yang digunakan untuk melakukan deteksi yang diimplementasikan didalam basis data IDS yang digunakan. Jadi bisa saja basis data signature yang digunakan dalam sistem IDS ini tidak mampu mendeteksi adanya sebuah percobaan serangan terhadap jaringan karena informasi jenis serangan ini tidak terdapat dalam basis data signature sistem IDS ini. Selama waktu keterlambatan tersebut sistem IDS tidak dapat mendeteksi adanya jenis serangan baru.

Anomaly Based
IDS jenis ini akan mengawasi traffic dalam jaringan dan melakukan perbandingan traffic yang terjadi dengan rata-rata traffic yang ada (stabil). Sistem akan melakukan  identifikasi apa yang dimaksud dengan jaringan “normal” dalam jaringan tersebut, berapa banyak bandwidth yang biasanya digunakan di jaringan tersebut, protolkol apa yang digunakan, port-port dan alat-alat apa saja yang biasanya saling berhubungan satu sama lain didalam jaringan tersebut, dan memberi peringatan kepada administrator ketika dideteksi ada yang tidak normal, atau secara signifikan berbeda dari kebiasaan yang ada.

Passive IDS
IDS jenis ini hanya berfungsi sebagai pendeteksi dan pemberi peringatan. Ketika traffic yang  mencurigakan atau membahayakan terdeteksi oleh IDS maka IDS akan membangkitkan sistem pemberi peringatan yang dimiliki dan dikirimkan ke administrator atau user dan selanjutnya terserah kepada administrator apa tindakan yang akan dilakukan terhadap hasil laporan IDS.

Reactive IDS
IDS jenis ini tidak hanya melakukan deteksi terhadap traffic yang mencurigakan dan membahayakan kemudian memberi peringatan kepada administrator tetapi juga mengambil tindakan proaktif untuk  merespon terhadap serangan yang ada. Biasanya dengan melakukan pemblokiran terhadap traffic jaringan selanjutnya dari alamat IP sumber atau user jika alamat IP sumber atau user tersebut mencoba  melakukan serangan lagi terhadap sistem jaringan di waktu selanjutnya.


Cara Kerja dan Implementasi IDS

Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan.

Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.

Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak biasa.

Produk dari IDS

Beberapa NIDS dan HIDS yang beredar di pasaran antara lain:

• RealSecure dari Internet Security Systems (ISS).
• Cisco Secure Intrusion Detection System dari Cisco Systems (yang mengakuisisi WheelGroup yang memiliki produk NetRanger).
• eTrust Intrusion Detection dari Computer Associates (yang mengakusisi MEMCO yang memiliki SessionWall-3).
• Symantec Client Security dari Symantec
• Computer Misuse Detection System dari ODS Networks
• Kane Security Monitor dari Security Dynamics
• Cybersafe
• Network Associates
• Network Flight Recorder
• Intellitactics
• SecureWorks
• Snort (open source)
• Security Wizards
• Enterasys Networks
• Intrusion.com
• IntruVert
• ISS
• Lancope
• NFR
• OneSecure
• Recourse Technologies
• Vsecure

Source : wikipedia, ngurah edi blog

Story About Network Security

Network security? yah biasa diartikan sebagai keamanan jaringan. Beberapa orang menganggap sepele tentang network security, padahal ini merupakan salah satu bagian penting dalam aplikasi apapun.

Dalam dunia Network security ada dua sisi ibaratkan dua sisi mata uang. Satu sisi kita dapat berperan menjadi penyerang (attacker) ataupun bisa menjadi penahan (defender). Keduanya memiliki sisi baik dan buruk, tergantuk dari diri kita menempatkan di sisi yang mana.

Ada beberapa jenis serangan keamanan jaringan yang saya tau, antaranya Sniffing, Trojan Horse, Web Hacking, dan masih banyak lagi jenis-jenisnya.

Saya sendiri pernah mengalami menjadi seorang attacker dalam web hacking. Karena hanya niatnya coba-coba dan tertarik akan keamanan jaringan saya mempelajari sedikit trik meretas ke suatu website.

Dengan metode SQL Injection dan menggunakan sebuah tool hacking bernama havij saya dapat meretas ke sebuah situs berdomain polandia. Saya terkejut senang tapi sekaligus bingung. Karena kejadian itu saya semakin penasaran dengan dunia keamanan jaringan. Mudah-mudahan di kemudian hari saya dapat menjadi ahli keamanan jaringan untuk mengawal data-data penting negara yang sering diretas oleh hacker yang tidak bertanggung jawab.

Sekian Postingan kali ini semoga memberikan pelajaran bagi kita semua

Salam

Story About Conan

Shinichi Kudo, seorang detektif SMA berusia 17 tahun yang biasanya membantu polisi memecahkan kasus, diserang oleh 2 anggota sindikat misterius ketika mengawasi sebuah pemerasan. Ia kemudian diberi minum racun misterius yang baru selesai dikembangkan untuk membunuhnya. Namun, karena sebuah efek samping yang jarang terjadi yang tidak diketahui anggota sindikat tersebut, racun tersebut mengakibatkan tubuhnya mengecil seperti anak kecil berusia tujuh tahun setelah mereka meninggalkannya.^[4]

Untuk menyembunyikan identitasnya dan untuk menginvestigasi keadaan sindikat tersebut, yang selanjutnya dikenal dengan nama Organisasi Berbaju Hitam atau Organisasi Hitam, dia menyamarkan namanya menjadi Conan Edogawa.^[5] Untuk mencari jejak sindikat tersebut, dia tinggal bersama dengan teman sejak kecilnya, Ran Mouri, yang ayahnya, Kogoro Mouri, merupakan seorang detektif swasta.^[5] Dia bersekolah di SD Teitan dan membentuk Grup Detektif Cilik dengan 3 teman sekelasnya, yaitu: Ayumi Yoshida, Mitsuhiko Tsuburaya, dan Genta Kojima.^[6]Meskipun tubuhnya mengecil, ia tetap memecahkan kasus. Biasanya, ia menyelesaikan kasus-kasus tersebut dengan meniru suara Kogoro Mouri dengan alat yang diciptakan oleh tetangganya, Profesor Agasa. Kogoro Mouri, seorang detektif yang agak bodoh, awalnya bingung pada kemampuan memecahkan kasusnya meningkat secara mendadak. Tetapi, kemudian ia tidak heran karena ia senang karena ketenarannya yang meningkat. Ran Mouri pernah beberapa kali mencurigai bahwa Conan adalah Shinichi, namun karena kecerdikan Conan, maka Ran pun percaya bahwa Conan bukanlah Shinichi.

Selanjutnya dalam seri ini, tokoh utama lainnya, Ai Haibara, muncul. Ai adalah seorang mantan anggota Organisasi Hitam, yang memiliki nama sandi "Sherry". Nama aslinya adalah Shiho Miyano, seorang ilmuan yang mengembangkan racun APTX 4869 yang membuat tubuh Shinichi mengecil.^[7] Setelah kakaknya secara kejam dibunuh oleh anggota Organisasi Hitam, ia mencoba keluar dari organisasi itu, namun ia ditangkap.^[7]Dia mencoba bunuh diri dengan menelan pil APTX 4869, namun ternyata tubuhnya mengecil, dan dia berhasil kabur dari organisasi tersebut.^[7] Dia kemudian bersekolah di SD Teitan dengan nama samaran "Ai Haibara".^[7] Dia mengetahui identitas asli Conan dan membantunya dalam perjuangan Conan untuk menjatuhkan Organisasi Hitam.^[7]

Kemudian, Conan terlibat dengan Biro Investigasi Federal (FBI), dan mereka berhasil menangkap Kir, seorang anggota Organisasi Hitam. Kir kemudian diketahui merupakan seorang agen CIA yang menyamar, dan berjanji akan memberi informasi tentang Organisasi Hitam kepada FBI.^[8]Mereka kemudian mengembalikan Kir ke organisasi tersebut. Kemudian, dia memberitahukan kepada FBI bahwa di Organisasi Hitam ada seorang anggota baru dengan nama sandi Bourbon.^[9]


source : wikipedia.com