Sistem Pencegah Penyusupan

Sistem Pencegahan Penyusupan (Intrusion Preventing System atau IPS) adalah suatu tools yang digunakan untuk mencegah adanya penyusupan. Ada 2 fungsi dalam IPS yakni kemampuan mendeteksi penyusupan dan kemampuan untuk mencegah akses penyusupan.Kemampuan mendeteksi penyusupan secara umum disebut IDS (Instrusion Detection System) dan kemampuan untuk mencegah akses dikenal dengan Firewall. Komponen Sistem Pencegahan PenyusupanSistem pencegahan penyusupan harus dapat mendeteksi dan merespon terhadap penyusupan yakni dengan mengkonfigurasi ulang rule firewall yang ada. Untuk itu komponen-komponen yang harus ada pada sistem pencegahan penyusupan meliputi:
• IDS (Intrusion Detection System).
Dilihat dari cara kerja dalam menganalisa apakah paket data dianggap sebagai penyusupan atau bukan, IDS dibagi menjadi 2:knowledge based atau misuse detection dan behavior based atau anomaly based. Knowledge-based IDS dapat mengenali adanya penyusupan dengan cara menyadap paket data kemudian membandingkannya dengan database rule IDS (berisi catatan paket serangan). Jika paket data mempunyai pola yang sama dengan salah satu atau lebih pola di database rule IDS, maka paket tersebut dianggap sebagai serangan, dan demikian juga sebaliknya, jika paket data tersebut sama sekali tidak mempunyai pola yang sama dengan pola di database rule IDS, maka paket data tersebut dianggap bukan serangan.
Sedangkan behavior based (anomaly) dapat mendeteksi adanya penyusupan dengan mengamati adanya kejanggalan-kejanggalan pada sistem, atau adanya penyimpangan-penyimpangan dari kondisi
normal, sebagai contoh ada penggunaan memori yang melonjak secara terus menerus atau ada koneksi parallel dari 1 buah IP dalam jumlah banyak dan dalam waktu yang bersamaan. Kondisi-kondisi diatas
dianggap kejanggalan yang kemudian oleh IDS jenis anomaly based dianggap sebagai serangan.
Sedangkan dilihat dari kemampuan mendeteksi penyusupan pada jaringan, IDS dibagi menjadi 2 yakni: host based dan network based.
Host based mampu mendeteksi hanya pada host tempat implementasi IDS, sedangkan network based IDS mampu mendeteksi seluruh host yang berada satu jaringan dengan host implementasi IDS tersebut. Tulisan ini secara khusus menggunakan IDS jenis knowledge based dan network based.
• Packet Filtering Firewall.
Packet Filtering Firewall dapat membatasi akses koneksi berdasarkan parameter-parameter: protokol, IP asal, IP tujuan, port asal, port tu-juan, chain (aliran data) dan code bit sehingga dapat diatur hanya akses yang sesuai dengan policy saja yang dapat mengakses sistem. Packet filtering firewall ini bersifat statik sehingga fungsi untuk membatasi aksespun statik, misalnya akses ke web server (port 80) di-ijinkan oleh policy, maka dari manapun dan apapun aktifitas terhadap webserver diijinkan walaupun merupakan usaha penetrasi oleh craker. Untuk itulah packet filtering firewall tidak dapat mengatasi gangguan yang bersifat dinamik sehingga harus dikombinasikan dengan IDS untuk membentuk sistem hardening yang maksimal.
• Engine Sistem Pencegahan Penyusupan (IDS-Firewall).
Engine ini bertugas untuk membaca alert dari IDS (antara lain berupa jenis serangan dan IP Address penyusup) untuk kemudian memerintahkan firewall untuk memblok akses koneksi ke sistem dari penyusup tersebut.
Dimana diletakkan Sistem Pencegahan Penyusupan?
Sistem pencegahan penyusupan akan maksimal jika diletakkan di router sehingga daerah kerja sistem ini dapat mencakup semua host yang berada dalam 1 jaringan dengan router tempat mengimplementasikan Sistem Pencegahan Penyusupan. Masalah timbul ketika konsentrator menggunakan switch dimana proses penyadapan yang harus dilakukan dalam proses deteksi penyusupan menjadi tidak berfungsi, salah satu cara yang mudah untuk mengatasi masalah ini adalah dengan melakukan spoofing MAC address terhadap host-host yang akan diamati. Posisi sistem pencegahan penyusupan untuk menghasilkan hasil yang maksimal.
Sistem Pencegahan Penyusupan berupa IDS dan Firewall yang diimplementasikan di router/gateway antara internet-DMZ digunakan untuk melindungi server-server yang berada di wilayah DMZ dari kemungkinan serangan dari internet, sedangkan yang diimplentasikan antara jaringan DMZ-intranet digunakan untuk melindungi kemungkinan serangan dari intranet ke wilayah DMZ maupun internet.Snort IDS dan IPTables Firewall
Seperti dijelaskan sebelumnya, sistem pencegahan penyusupan dibangun dari 2 komponen utama yakni IDS dan Firewall. Dalam pembahasan ini, IDS yang digunakan adalah Snort (www.snort.org) sedangkan firewall yang digunakan adalah Iptables yang merupakan firewall bawaan Linux.
Snort IDS
Snort IDS merupakan IDS open source yang secara defacto menjadi standar IDS di industri. Snort dapat didownload di situs www.snort.org. Snort dapat diimplementasikan dalam jaringan yang multiplatform, salah satu kelebi-hannya adalah mampu mengirimkan alert dari mesin Unix atupun Linux ke platform Microsoft Windows dengan melalui SMB. Snort dapat berkerja dalam 3 mode: sniffer
mode (penyadap), packet logger dan network intrusion detection mode. Tentunya mode kerja yang akan digunakan dalam membangun sistem pencegahan penyusupan dalam mode kerja network intrusion
dection. Penyusupan (intrusion) didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect atau inappropriate yang terjadi di jaringan atau di host.
Komponen-komponen Snort IDS meliputi:
• Rule Snort
Rule Snort merupakan database yang berisi pola-pola serangan berupa signature jenis-jenis serangan. Rule Snort IDS ini, harus diupdate secara rutin agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat terdeteksi. Rule Snort dapat didownload di www.snort.org.
Dari rule-rule seperti di ataslah IDS Snort menentukan apakah sebuah paket data dianggap sebagai penyusupan/serangan atau bukan, paket data dibandingkan dengan rule IDS, jika terdapat dalam rule, maka paket data tersebut dianggap sebagai penyusupan/serangan dan demikian juga sebaliknya jika tidak ada dalam rule maka dianggap bukan penyusupan/serangan.
• Snort Engine
Snort Engine merupakan program yang berjalan sebagai daemon proses yang selalu bekerja untuk membaca paket data dan kemudian mem-bandingkannya dengan rule Snort. Dalam sistem Linux, untuk
mende-teksi apakah snort engine dalam keadaan aktif atau tidak dengan melihat prosesnya seperti contoh di bawah ini:
[root@localhost rules] # ps aux | grep snort
root 3060 0.0 1.3 9188 820 ? S Jun03 0:04 [snort]
Contoh diatas menunjukkan bahwa snort engine dalam keadaan aktif dengan proses ID 3060 dan dijalankan oleh user "root"
• Alert
Alert merupakan catatan serangan pada deteksi penyusupan. Jika snort engine menghukumi paket data yang lewat sebagai serangan, maka snort engine akan mengirimkan alert berupa log file. Untuk kebutuhan analisa, alert dapat disimpan di dalam database, sebagai contoh ACID (Analysis Console for Intrusion Databases) sebagai modul tambahan pada Snort.
Contoh alert sebagai berikut:
[**] [1:499:3] ICMP Large ICMP Packet [**] [Classification:
Potentially Bad Traffic] [Priority: 2] 05/09-20:15:14. 895348
10.1.4.113 -> 10.1.3.126 ICMP TTL:128 TOS:0x0 ID:6316
IpLen:20 DgmLen:65528 Type:8 Code:0 ID:512 Seq:3072 ECHO
[Xref => http://www.whitehats.com/info/IDS246]
Contoh alert di atas merupakan alert ketika terdapat paket data dalam ukuran besar dari IP Address 10.1.4.113 ke 10.1.3.126 yang dianggap sebagai serangan oleh Snort karena pola paket data tersebut terdapat dalam rule Snort.
Hubungan ketiga komponen IDS dijelaskan dalam gambar berikut:

IPTables Firewall
IPTables merupakan firewall bawaan Linux. Iptables mampu melakukan filtering dari layer transport sampai layer fisik. Sebagai contoh rule dalam sebuah firewall akan menutup semua koneksi kecuali ke port 80 protokol TCP, atau sebuah rule firewall mendefiniskan bahwa yang dapat melakukan koneksi hanya paket data yang berasal dari MAC address 00-80-48-24-3b-e5. Variabel-variabel dalam Iptables Firewall meliputi:
• Protokol, contoh: tcp, udp, icmp
• Port asal, contoh: port yang lebih besar dari 1023
• Port tujuan, contoh: port 21, 22, 80
• IP asal/Jaringan asal: contoh 202.91.8.112, 202.62.9.216/28
• IP tujuan/Jaringan tujuan: contoh 202.91.8.112,202.62.9.216/28
• Chain (aliran), contoh: INPUT, OUTPUT, FORWARD (khusus router)
• Code bit (flag), contoh: SYN, ACK.
Contoh rule firewall pada Iptables sebagai berikut:
iptables -A FORWARD -p tcp -d 202.91.8.112 —dport 80 –j ACCEPT
iptables -A FORWARD -p tcp -d 202.91.8.112 -j DROP
Rule di atas mendefinisikan bahwa semua paket data dengan protocol tcp dari manapun yang menuju 202.91.8.112 ditolak semua kecuali yang menuju ke port 80.