IDS (INTRUTION DETECTION SYSTEM)

Intrution Detection System (IDS)

IDS (Intrution Detection System) adalah sebuah sistem yang melakukan pengawasan terhadap traffic jaringan dan pengawasan terhadap kegiatan-kegiatan yang mencurigakan didalam sebuah sistem jaringan. Jika ditemukan kegiatan kegiatan yang mencurigakan berhubungan dengan traffic jaringan maka IDS akan memberikan peringatan kepada sistem atau administrator jaringan. Dalam banyak kasus IDS juga merespon terhadap traffic yang tidak normal/ anomali melalui aksi pemblokiran seorang user atau alamat IP (Internet Protocol) sumber dari usaha pengaksesan jaringan[8].

IDS sendiri muncul dengan beberapa jenis dan pendekatan yang berbeda yang intinya berfungsi untuk mendeteksi traffic yang mencurigakan didalam sebuah jaringan. Beberapa jenis IDS adalah : yang berbasis jaringan (NIDS) dan berbasis host (HIDS). Ada IDS yang bekerja dengan cara mendeteksi berdasarkan pada pencarian ciri-ciri khusus dari percobaan yang sering dilakukan. Cara ini hampir sama dengan cara kerja perangkat lunak antivirus dalam mendeteksi dan melindungi sistem terhadap ancaman. Kemudian ada juga IDS yang bekerja dengan cara mendeteksi berdasarkan pada pembandingan pola traffic normal yang ada dan kemudian mencari ketidaknormalan traffic yang ada.

jenis – jenis IDS

Adapun jenis-jenis IDS sebagai berikut:

1.                  NIDS (Network Intrusion Detection System).

IDS jenis ini ditempatkan disebuah tempat/ titik yang strategis atau sebuah titik didalam sebuah jaringan untuk melakukan pengawasan terhadap traffic yang menuju dan berasal dari semua alat-alat (devices) dalam jaringan. Idealnya semua traffic yang berasal dari luar dan dalam jaringan di lakukan di scan, namun cara ini dapat menyebabkan bottleneck yang mengganggu kecepatan akses di seluruh jaringan[9].

2.             HIDS (Host Intrution Detection System)

IDS jenis ini berjalan pada host yang berdiri sendiri atau perlengkapan dalam sebuah jaringan. Sebuah HIDS melakukan pengawasan terhadap paket-paket yang berasal dari dalam maupun dari luar hanya pada satu alat saja dan kemudian memberi peringatan kepada user atau administrator sistem jaringan akan adanya kegiatan-kegiatan yang mencurigakan yang terdeteksi oleh HIDS[9].

3.             Signature Based

IDS yang berbasis pada signature akan melakukan pengawasan terhadap paket-paket dalam jaringan dan melakukan pembandingan terhadap paket-paket tersebut dengan basis data signature yang dimiliki oleh sistem IDS ini atau atribut yang dimiliki oleh percobaan serangan yang pernah diketahui. Cara ini hampir sama dengan cara kerja aplikasi antivirus dalam melakukan deteksi terhadap malware. Intinya adalah akan terjadi keterlambatan antara terdeteksinya sebuah serangan di internet dengan signature yang digunakan untuk melakukan deteksi yang di implementasikan didalam basis data IDS yang digunakan. Jadi bisa saja basis data signature yang digunakan dalam sistem IDS ini tidak mampu mendeteksi adanya sebuah percobaan serangan terhadap jaringan karena informasi jenis serangan ini tidak terdapat dalam basisdata signature sistem IDS ini. Selama waktu keterlambatan tersebut sistem IDS tidak dapat mendeteksi adanya jenis serangan baru[9].

4.             Anomaly Based

IDS jenis ini akan mengawasi traffic dalam jaringan dan melakukan perbandingan traffic yang terjadi dengan rata-rata traffic yang ada (stabil). Sistem akan melakukan identifikasi apa yang dimaksud dengan jaringan “normal” dalam jaringan tersebut, berapa banyak bandwidth yang biasanya digunakan di jaringan tersebut, protokol apa yang digunakan, port-port dan alat-alat apa saja yang biasanya saling berhubungan satu sama lain didalam jaringan tersebut, dan memberi peringatan kepada administrator ketika dideteksi ada yang tidak normal, atau secara signifikan berbeda dari kebiasaan yang ada.

5.             Passive IDS

IDS jenis ini hanya berfungsi sebagai pendeteksi dan pemberi peringatan. Ketika traffic yang mencurigakan atau membahayakan terdeteksi oleh IDS maka IDS akan membangkitkan sistem pemberi peringatan yang dimiliki dan dikirimkan ke administrator atau user dan selanjutnya terserah kepada administrator apa tindakan yang akan dilakukan terhadap hasil laporan IDS.

6.             Reactive IDS

IDS jenis ini tidak hanya melakukan deteksi terhadap traffic yang mencurigakan dan membahayakan kemudian memberi peringatan kepada administrator tetapi juga mengambil tindakan pro aktif untuk merespon terhadap serangan yang ada. Biasanya dengan melakukan pemblokiran terhadap traffic jaringan selanjutnya dari alamat IP sumber atau user jika alamat IP sumber atau user tersebut mencoba untuk melakukan serangan lagi terhadap sistem jaringan di waktu selanjutnya.

1.1.2   Snort IDS

Snort IDS merupakan IDS open source yang secara defacto menjadi standar IDS di industri. Snort dapat diimplementasikan dalam jaringan yang multiplatform, salah satu kelebihannya adalah mampu mengirimkan alert dari mesin Unix atupun Linux ke platform Microsoft Windows dengan melalui SMB[10]. Snort dapat berkerja dalam 3 mode: sniffer mode (penyadap), packet logger dan network intrusion detection mode.

Mode kerja yang akan digunakan dalam membangun sistem pencegahan penyusupan dalam mode kerja network intrusion dection. Penyusupan (intrusion) didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect atau inappropriate yang terjadi di jaringan atau di host.

Komponen-komponen Snort IDS meliputi:

1.             Rule Snort

Rule Snort merupakan database yang berisi pola-pola serangan berupa signature jenis-jenis serangan. Rule Snort IDS ini, harus diupdate secara rutin agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat terdeteksi[10].

2.             Snort Engine

Snort Engine merupakan program yang berjalan sebagai daemon proses yang selalu bekerja untuk membaca paket data dan kemudian membandingkannya dengan rule Snort. Dalam sistem Linux, untuk mendeteksi apakah snort engine dalam keadaan aktif atau tidak dengan melihat prosesnya[10].

3.             Alert

Alert merupakan catatan serangan pada deteksi penyusupan. Jika snort engine menghukumi paket data yang lewat sebagai serangan, maka snort engine akan mengirimkan alert berupa log file. Untuk kebutuhan analisa, alert dapat disimpan di dalam database, sebagai contoh ACID (Analysis Console for Intrusion Databases) sebagai modul tambahan pada Snort.

Cara pengamanan jaringan

Cara pengamanan jaringan

Adapun cara yang biasa dilakukan untuk mengamankan jaringan yang ada ialah sebagai berikut :

1.             Authentikasi

Proses pengenalan peralatan, system operasi, kegiatan, aplikasi dan identitas user yang terhubung dengan jaringan komputer. Autentikasi dimulai pada saat user login ke jaringan dengan cara memasukkan password[3].

 2.             Enkripsi

Teknik pengkodean data yang berguna untuk menjaga data / file baik di dalam komputer rmaupun pada jalur komunikasi dari pemakai yang tidak dikehendaki. Enkripsi diperlukan untuk menjaga kerahasiaan data. Algoritma enkripsi modern menggunakan kunci ( Key )[3].

Pesan M (plaintext) di enkodekan dengan fungsi E dan sebuah kunci K untuk menjadi ciphertext.

Kemudian pesan di dekripsi dengan menggunakan fungsi D dan kunci L.

3.             Kunci Kriptograpi

Adalah parameter yang digunakan dalam algoritma enkripsi dimana hasil enkripsi tidak dapat didekripsi jika tanpa kunci yang sesuai. Berikut merupakan beberapa mode cipher :

A.           Cipher block chaining

Pesan dibagi ke dalam block, dan block terakhir di padding ke ukuran standard yang digunakan, dan setiap block dienkrip secara independent. Block pertama tersedia untuk transmisi setelah enkripsi selesai[3].

Gambar 3.2 Cipher block chaining[2]

B.            Stream cipher

menghasilkan keystream dari setiap enkripsi kunci dengan initialization vector (IV).

Gambar 3.3 Stream cipher[2]

4.             Algoritma Enkripsi

Ada dua tipe dalam algoritma enkripsi, ialah :

A.           Symmetric ( Secret key )

Pengirim dan penerima harus berbagi kunci dan tidak diberikan kepada orang lain dengan one-way function[4].

Gambar 3.4 Symmetric key[2]

B.            Asymmetric (Public-key)

Pengirim pesan menggunakan public key (kunci yang dipublikasikan ke penerima) untuk mengenkrip pesan. Penerima menggunakan private key yang cocok (miliknya) untuk mendekrip pesan. Pola public key dimunculkan pertama oleh Diffie Hellman (1976) Dasar public key : trap-door function adalah one-way function yang dapat dibalikkan dengan hanya adanya secret key[4].

Gambar 3.5 Asymmetric key[2]

Ancaman dan metode penyerangan keamanan jaringan

Ancaman dan metode penyerangan terhadap keamanan jaringan

Berikut merupakan beberapa ancaman yang biasa terjadi pada suatu jaringan.

1.             Leakage (kebocoran) : pengambilan informasi oleh penerima yang tidak berhak.

2.             Tampering : Perubahan informasi yang tidak legal.

3.             Vandalism (perusakan) : gangguan terhadap system operasi tertentu.

4.             Serangan pada sistem terdistribusi tergantung pada pengkasesan ke saluran komunikasi yang ada atau membuat saluran baru yang menyamarkan (masquerade) sebagai koneksi legal.

5.             Penyerangan Pasive, Hanya mengamati komunikasi atau data.

6.             Penyerangan Aktif, Secara aktif memodifikasi komunikasi atau data.

Berikut merupakan metode penyerangan yang biasa dilakukan terhadap suatu jaringan komputer.

1.             Eavesdropping : mendapatkan duplikasi pesan tanpa izin.

2.             Masquerading : mengirim atau menerima pesan dengan identitas lain tanpa izin.

3.             Message tampering : menangkap pesan dan mengubah isinya sebelum dilanjutkan ke penerima sebenarnya. “man-in-the-middle attack” adalah bentuk message tampering dengan menahan pesan pertama pada pertukaran kunci enkripsi pada pembentukan suatu saluran yang aman. Penyerang menyisipkan kunci lain yang memungkinkan penyerang untuk mendeskrip pesan berikutnya sebelum dienkrip oleh penerima.

4.             Replaying : menyimpan pesan yang ditangkap untuk digunakan pada tahap berikutnya.

Denial of Service : membanjiri server dengan mengirim pesan berulang – ulang dengan bertujuan mengalihkan server kepada client.