Di zaman sekarang ini dan beberapa tahun kedepan, perusahaan
akan sangat bergantung dengan keberadaan jaringan computer. Maka, kestabilan dan
perawatan system sangat penting bagi kelangsungan perusahaan tersebut. Tidak
hanya itu, karena pengguna kadang membuat kesalahan dan ada beberapa pengguna
yang tidak menggunakan computer sesuai aturan, perusahaan perlu melakukan audit
dan pemantauan jaringan computer secara
berkala.
Setelah adanya jaringan computer, konsep audit jadi memiliki
banyak arti. Secara historis, audit berarti verifikasi berkala yang rutin
dilakukan.
Audit terbagi menjadi tiga, yang pertama adalah audit EDP
(electronic data processing), EDP dapat memantau masalah seperti control pengembangan
aplikasi, persyaratan hak cipta, dan masalah umum lainnya. Yang kedua Audit
System, pada bagian ini yang diteliti adalah alat yang tersedia untuk pemeriksaan
jaringan. Ketiga adalah Intrution Detection, yaitu proses audit atau pemantauan
lanjutan terhadap integritas system dan jaringan dalam perusahaan
Kesalahan Audit
Idealnya, audit harus dilihat sebagai peluang untuk memperbaiki proses. Sayangnya, kenyataannya terkadang terjadi kesalahan penunjuk jari dan dugaan masalah. Berdasarkan pengalaman pribadi, beberapa kesalahan yang lebih umum terhadap audit EDP yang sulit diatasi sebagai berikut:
- Tidak berkonsultasi dengan ahli IT dalam proses penjadwalan atau perencanaan
- Auditor tidak dilatih dengan benar untuk melakukan audit EDP
- Memberlakukan perubahan sepihak dalam organisasi
- Melakukan audit sangat terpaku dengan buku
- Laporan audit melakukan pekerjaan keras
- Kurangnya dukungan manajemen untuk melaksanakan rekomendasi audit
Kekurangan Teknik Audit Tradisional
Kenyataan yang tidak menguntungkan adalah tidak mungkin membangun sistem yang benar-benar aman. Prosedur terkadang diabaikan. Sandi rentan, dan teknologi gagal. Bahkan di lingkungan dimana semuanya berfungsi sesuai rencana, sistem masih rentan terhadap penyalahgunaan oleh orang dalam perusahaan, seperti administrator sistem.
Tujuan akhir dari skema keamanan jaringan adalah untuk mencegah serangan yang berhasil pada jaringan. Secara tradisional, alat utama untuk memastikan keamanan jaringan menjadi firewall. Namun, Firewall hampir tidak berguna untuk aktivitas monitoring di jaringan internal. Organisasi adalah mulai menyadari kebutuhan untuk mengaudit atau memantau jaringan internal mereka hanya karena sebagian besar serangan dan kerugian melibatkan orang dalam.
Sementara audit keamanan tradisional dapat mengidentifikasi kelemahan dalam tindakan keamanan atau bahkan mengekspos pelanggaran keamanan, biasanya setelah kejadian. Alat audit, seperti COPS atau SATAN, hanya akan ada mengidentifikasi kelemahan dalam konfigurasi atau implementasi sistem atau jaringan. Tidak salah satu pendekatan ini mengidentifikasi masalah saat terjadi, Sebaliknya, mereka prihatin dengan risiko residual secara tradisional, risiko residual dianggap dapat diterima oleh operasi organisasi, sehingga audit hanya diperlukan secara berkala. Di hari ini terhubung dengan internet lingkungan paradigma residual risk sudah tidak berlaku lagi. Akibatnya, lebih proaktif metode diperlukan untuk mengaudit atau memonitor jaringan dan sistem. Saat ini ada alat baru tersedia yang memberi administrator kemampuan untuk memantau keamanan jaringan dan sistem on-line secara real time.
Deteksi Gangguan
Administrator sistem yang berkompeten selalu memantau sistem mereka untuk memantau gangguan. Proses tersebut biasanya mengharuskan melihat log aktifitas yang terjadi setiap hari. Gangguan masalah yang cukup langka yaitu ulasan after-the-fact biasanya sulit untuk mengatasi kemungkinan masalah. Sayangnya, Waktu telah berubah drastis. Review after-the-fact tidak lagi memadai real-time atau Respon real-time terhadap intrusi sangat diperlukan. Selain itu, volume aktivitas di Jaringan hari ini kerdil apa normalnya 10-15 tahun yang lalu. Akibatnya, itu tidak manusiawi mungkin untuk meninjau jumlah informasi dalam file log hari ini tanpa beberapa otomatis proses. Tanpa otomasi proses review dan monitoring, bisa jadi berminggu-minggu sebelum administrator sistem mengetahui tentang gangguan pada sistemnya.
Secara umum, sebuah "intrusi" dapat didefinisikan sebagai upaya atau pencapaian yang tidak sah mengakses, mengubah, membuat tidak tersedia, atau menghancurkan informasi tentang sistem atau sistem itu sendiri. Pada dasarnya, intrusi adalah seseorang yang mencoba masuk ke atau menyalahgunakan sebuah sistem. Beberapa pengamat membedakan penyalahgunaan dan gangguan. Istilah intrusi biasanya digunakan untuk referensi serangan yang berasal dari luar sebuah organisasi. Penyalahgunaan biasanya digunakan untuk menggambarkan sebuah Serangan itu berasal dari jaringan internal. Namun, tidak semua orang membuat ini diferensiasi.
Deteksi intrusi adalah seni mendeteksi aktivitas yang tidak sah, tidak sesuai, atau anomali. Art of intrusion detection telah dipraktekkan oleh administrator sistem dan jaringan tahun. Namun, deteksi intrusi baru-baru ini mendapat banyak perhatian di media Karena fakta bahwa begitu banyak perusahaan sekarang memasarkan IDS. Seharusnya, IDS baru ini dapat mengidentifikasi serangan yang sedang berlangsung, menghasilkan lansiran real-time, dan bahkan memulai tindakan pencegahan atau mengkonfigurasi ulang router atau firewall untuk melawan serangan.
Intrusion Detection Systems (IDSs)
IDS bertindak sebagai penjaga keamanan atau penjaga. System ini terus-menerus memindai lalu lintas jaringan atau log audit dari host. Sementara produk IDS saat ini menyediakan alat yang berguna untuk meningkatkan keamanan jaringan organisasi, perlu melewati untuk melihat keefektifan sistem. Saat ini, tidak ada sistem tunggal yang menyediakan kemampuan deteksi intrusi end-to-end yang benar-benar efektif. Selain itu, IDS bukan konsep baru. Pada Bab 7, kita membahas TCPWrapper, IDS freeware berbasis UNIX yang telah ada selama bertahun-tahun. Umumnya, IDS jatuh ke dalam salah satu dari dua kategori:
- IDS berbasis jaringan;
- IDS berbasis host
Meskipun ada baiknya keduanya tidak menggunakan metode sama sekali untuk memantau semua ancaman. Akibatnya, tren industri saat ini adalah menggabungkan dua pendekatan.
Sistem Deteksi Intrusi Berbasis Host
Produk berbasis host berada pada host dan dapat secara otomatis memantau dan menerima layanan jika aktivitas yang mencurigakan terdeteksi. Mereka memantau aktivitas pada host individu dibandingkan dengan aktivitas pemantauan di jaringan. IDS berbasis host masih mengandalkan log audit sistem, seperti administrator sistem yang sama, namun IDS mengotomatiskan prosesnya. Biasanya IDS berbasis host memonitor sistem, event, dan log keamanan pada Windows NT dan file syslog untuk UNIX. IDS berbasis host menggunakan file log sistem dan agen audit sistem untuk memonitor sistem.
Ada beberapa pendekatan yang dapat digunakan perangkat lunak deteksi intrusi berbasis host. Salah satunya adalah dengan menggunakan pembungkusnya, seperti TCPWrapper. Pendekatan ini membungkus berbagai layanan jaringan host di lapisan tambahan atau shell yang menafsirkan permintaan paket jaringan ke berbagai layanan. Pendekatan lain menggunakan agen yang berjalan sebagai proses terpisah dan memantau permintaan untuk di-host. Kedua pendekatan tersebut efektif dalam mendeteksi aktivitas anomali atau penyalahgunaan sistem inang.
Satu keuntungan untuk agen berbasis host adalah mereka dapat memantau perubahan pada file sistem kritis dan perubahan hak pengguna. Ketika sebuah file sistem kunci berubah, IDS membandingkan properti file dengan tanda tangan serangan yang diketahui untuk melihat apakah ada kecocokan. Salah satu metode populer untuk mendeteksi gangguan melibatkan verifikasi file sistem kunci dan file executable melalui checksum secara berkala untuk perubahan yang tidak terduga. Misalnya, Bab 7 membahas penggunaan MD5 untuk memantau perubahan pada file sistem dan IDS Tripwire, yang juga menyediakan fungsi ini. Pertama kali salah satu sistem dijalankan, ia menghasilkan cuplikan atribut file, termasuk ukuran file dan hak akses. Informasi ini disimpan dalam database. Setiap lari berikutnya dari IDS membandingkan atribut file pada disk dengan atribut yang tersimpan dalam database-nya.
Jika atribut telah berubah maka alarm akan berbunyi.
Beberapa IDS berbasis host memantau aktivitas port TCP dan memberi tahu administrator sistem saat port tertentu diakses atau dipindai. Mereka juga bisa memantau dan mencatat kapan port fisik diakses. Ini bisa berguna jika port memiliki modem yang terhubung dengannya.
Mungkin kelemahan terbesar pada IDS berbasis host, seperti TCPWrapper dan Tripwire, adalah bahwa proses deteksi intrusi tidak real-time. Program deteksi intrusi berbasis host, terlepas dari apakah mereka menggunakan beberapa pembungkus atau agen, umumnya mengidentifikasi upaya penyusupan setelah mereka dicoba atau berhasil. Keterlambatan antara penyusupan dan penemuannya bisa menjadi substansial. Pada saat itu bisa terlambat. Ini adalah kelemahan dengan IDS berbasis host pada umumnya. Kelemahan umum lainnya dengan IDS berbasis host, seperti TCPWrapper dan Tripwire, adalah bahwa mereka tidak memiliki kemampuan untuk bereaksi secara proaktif terhadap gangguan. Mereka juga tidak membiarkan administrator sistem bersikap proaktif.
Kelemahan lain dari pendekatan berbasis host adalah untuk mengamankan keseluruhan jaringan, perlu memuat IDS di setiap komputer. Namun, aspek IDS berbasis host ini juga bisa bermanfaat. Jika Anda hanya ingin memonitor satu sistem, biaya IDS berbasis host seringkali lebih rendah daripada jaringan berbasis jaringan mereka. Seperti yang telah kita bahas, ada versi freeware dari IDS berbasis host yang tersedia di Internet. Selain itu, IDS hostbased biasanya tidak memerlukan perangkat keras tambahan, karena berjalan pada sistem itu sendiri. IDS berbasis jaringan sangat membutuhkan sistem atau perangkat khusus untuk berfungsi. Hal ini juga meningkatkan biaya.
Keuntungan lain dari IDS berbasis host adalah memonitor sistem spesifik dan dapat mengidentifikasi serangan berbasis jaringan. IDS berbasis host dapat memonitor integritas file sistem, hak akses file, dan parameter sistem file lainnya yang IDS berbasis jaringan tidak dipantau. Selain itu, IDS berbasis host dapat memantau koneksi terminal yang melewati jaringan, dan mereka juga dapat memantau aktivitas spesifik seseorang yang masuk ke host dan mengakses file. Selain itu, IDS berbasis host dapat memantau aktivitas aplikasi dan proses yang berjalan pada host. IDS berbasis jaringan hanya dapat memantau jaringan, bukan apa yang terjadi pada host tertentu.
Sistem Deteksi Intrusi Berbasis Jaringan
Produk IDS berbasis Network berjalan di jaringan dan memantau aktivitas yang menganalisa pola dan melaporkan aktivitas yang mencurigakan. IDS berbasis jaringan biasanya menggunakan server jaringan khusus atau perangkat dengan adaptor jaringan yang dikonfigurasi untuk mode romeks untuk memantau dan menganalisis semua lalu lintas secara real time saat melintasi jaringan. IDS berbasis jaringan memonitor paket pada kabel jaringan dan mencoba untuk melihat lalu lintas yang sah dari yang jahat. Beberapa vendor menyatakan bahwa dedicated server tidak diperlukan untuk berfungsinya IDS berbasis jaringan mereka. Namun, pada kenyataannya tidak disarankan untuk menjalankan IDS pada server aplikasi tujuan umum. Apakah Anda ingin IDS jaringan Anda berjalan di server penggajian perusahaan?
Bila dibandingkan dengan IDS berbasis host, IDS berbasis jaringan memiliki kelebihan dan kekurangan. Bergantung pada sistem, IDS berbasis jaringan mungkin lebih murah untuk diterapkan. Hal ini disebabkan oleh fakta bahwa IDS berbasis jaringan beroperasi bebas dari sistem dan tidak diharuskan dimuat pada semua host di jaringan agar efektif.
Selain itu, IDS berbasis host akan kehilangan banyak serangan berbasis jaringan. IDS berbasis host tidak memeriksa header paket, sehingga mereka tidak dapat mendeteksi serangan denial-of-service. IDS berbasis jaringan juga jauh lebih tersembunyi daripada IDS berbasis host. Dengan IDS berbasis host, jika sistem dikompromikan, hacker dapat segera melihat apakah ada IDS yang ada. Akan sangat sulit untuk menentukan apakah IDS berbasis jaringan ada di jaringan hanya dengan memeriksa kabelnya. Tentang satu-satunya hal yang bisa diketahui hacker adalah bahwa ada perangkat di jaringan yang berjalan dalam mode promiscuous. IDS berbasis jaringan juga dapat memberikan kontrol yang superior pada log peristiwa. Dengan banyak IDS berbasis host, log audit berada pada sistem lokal. Akibatnya, jika sistemnya terganggu, hacker bisa memanipulasi file log untuk menyembunyikan jejaknya.
Kelemahan lain dari IDS berbasis jaringan adalah kenyataan bahwa mereka menjadi kurang efektif seiring lalu lintas jaringan meningkat. Mereka bekerja dengan sangat baik pada jaringan yang kosong, namun seiring bertambahnya jumlah paket, keefektifannya menurun sampai pada titik di mana mereka tidak dapat mengidentifikasi gangguan apapun. Ini adalah kelemahan utama mengingat tingginya volume transaksi dan pertumbuhan Ethernet cepat dan Ethernet switch.
Sistem Deteksi Intrusi Berbasis Pengetahuan
Ada dua pendekatan umum yang digunakan untuk mengidentifikasi intrusi yang tidak bersahabat. Satu adalah
berbasis pengetahuan, dan yang lainnya berbasis statistik. Kedua pendekatan tersebut sangat berbeda dan menggunakan teknologi yang berbeda.
Sebagian besar IDS yang dikerahkan saat ini berbasis pengetahuan. IDS berbasis pengetahuan adalah
kadang-kadang disebut sebagai sistem deteksi penyalahgunaan, sistem pakar, atau IDS berbasis model atau tanda tangan.
IDS berbasis pengetahuan bergantung pada kemampuan mengenali serangan yang diketahui. IDS berbasis pengetahuan mengenali skenario intrusi dan pola serangan yang diketahui. IDS berbasis pengetahuan bergantung pada database serangan "tanda tangan" atau "pola" yang dapat diubah untuk sistem yang berbeda. Sebagai contoh, berbasis host, berbasis pengetahuan IDS dapat memantau keystrokes untuk pola serangan. IDS memiliki database pola keystroke yang diketahui yang dikenal sebagai ancaman.
IDS berbasis pengetahuan menggunakan banyak teknik yang berbeda untuk mengidentifikasi pola intrusi atau tanda tangan. Untuk berbasis host, berbasis pengetahuan IDS proses dapat melibatkan pemantauan keystrokes, meninjau file untuk perubahan dan pemantauan port. Peninjauan ulang file dapat berfungsi dengan cara yang sama seperti pemindai virus di PC. Pemindaian mencari pola atau perubahan yang diketahui yang telah dilakukan pada file penting sejak pemindaian terakhir. String signatures mencari string teks yang mengindikasikan kemungkinan serangan. Contoh string yang mungkin menaikkan bendera merah untuk sistem UNIX adalah seseorang yang memeriksa isi file kata sandi atau file hosts menggunakan "cat / passwd" atau "cat / hosts." Anda harus selalu mencurigai seseorang yang menginginkannya
untuk memeriksa file kata sandi atau meninjau host lain di jaringan. Saat memonitor port, berbasis host, IDS berbasis pengetahuan dapat membandingkan log audit dengan tanda tangan teknik umum. Sebagai contoh, sejumlah besar koneksi TCP yang gagal ke port yang terkenal mungkin merupakan indikasi bahwa seseorang memindai port, atau sejumlah besar paket SYN-ACK yang tidak dikenali mungkin merupakan indikasi bahwa sistem berada di bawah serangan banjir SYN.
Berbasis jaringan, berbasis pengetahuan IDS memeriksa paket pada jaringan. Paket dianggap tersangka jika cocok dengan tanda tangan, string, atau pola yang diketahui. IDS berbasis pengetahuan berbasis jaringan dapat memeriksa tumpukan protokol untuk paket yang tidak valid atau terfragmentasi yang mencurigakan yang melanggar protokol TCP / IP. Ping-of-death dengan paket ICMP besarnya akan menjadi contoh tanda tangan yang diketahui. Berbasis jaringan, IDS berbasis pengetahuan juga dapat memeriksa header paket untuk kombinasi berbahaya atau tidak logis dalam header paket. Tanda tangan header yang terkenal lainnya adalah paket TCP dengan flag SYN dan FIN, yang menandakan bahwa originator ingin memulai dan menghentikan koneksi pada saat yang bersamaan. Ini bisa menjadi indikasi bahwa sebuah sistem sedang diselidiki oleh penyusup.
Sistem berbasis pengetahuan yang menggunakan pencocokan pola cukup menerjemahkan intrusi yang dikenal ke dalam pola yang kemudian disesuaikan dengan sistem atau aktivitas jaringan. IDS mencoba mencocokkan aktivitas dengan pola yang mewakili skenario intrusi. IDS memantau aktivitas tersebut, mengumpulkan lebih banyak bukti untuk usaha penyusupan sampai ambang batas dilewati. Pendekatan dasar yang mendasari pencocokan pola adalah jika terlihat seperti bebek, berjalan seperti bebek, dan dukun seperti bebek, maka pastilah itu bebek. Namun, untuk pola yang sesuai dengan pola kerja harus mudah dikenali, dan harus membedakannya. Dengan kata lain, mereka tidak boleh terlihat seperti aktivitas normal atau sah lainnya.
Keuntungan dari IDS berbasis pengetahuan adalah bahwa mereka biasanya memiliki tingkat alarm palsu yang rendah. Hal ini disebabkan oleh fakta bahwa mereka biasanya memperhatikan tanda tangan, string, dan pola yang sangat spesifik. Selain itu, karena mereka melihat peristiwa tertentu, mereka dapat melaporkan dengan pasti dan pasti akan ancaman yang dihadapi, yang membuatnya lebih mudah menentukan tindakan yang sesuai.
Kelemahan utama IDS berbasis pengetahuan adalah bahwa hal itu hanya efektif melawan ancaman yang mereka sudah kenal sebelumnya. Akibatnya, mereka tidak berguna melawan teknik baru yang tidak memiliki tanda tangan atau pola dalam basis pengetahuan. Selain itu, bukan masalah sederhana untuk membuat tanda tangan atau pola serangan. Tidak mudah untuk menerjemahkan skenario serangan yang diketahui ke dalam pola yang dapat digunakan oleh IDS berbasis pengetahuan. Hal ini mengharuskan IDS tetap up-to-date dengan kerentanan dan lingkungan baru. Selanjutnya, dibutuhkan analisis yang memakan waktu dari setiap kerentanan baru untuk memperbarui basis pengetahuan IDS. Akibatnya, vendor tidak memperbarui basis data mereka sesering yang seharusnya.
Kelemahan umum lainnya dari IDS berbasis pengetahuan adalah bahwa mereka tidak efektif melawan serangan pasif, seperti sniffing dan penyadapan jaringan. Mereka juga tidak efektif melawan IP atau spoofing nomor urut, serangan berbasis DNS, pembajakan sesi, dan pengalihan. Selain itu, IDS berbasis pengetahuan tidak akan mendeteksi aktivitas penipuan atau kejahatan dari orang dalam yang diasingkan jika aktivitas tersebut dilakukan.
Defense In-Depth Approach
Seperti firewall, IDS harus dilihat hanya sebagai satu alat lagi dalam pendekatan pertahanan. Tindakan keamanan harus multitier, dan IDS dapat berfungsi sebagai lapisan keamanan lainnya. Sebelum Anda menerapkan IDS, pastikan Anda mempertimbangkan pro dan kontra dan yakin bahwa vendor yang Anda pilih memiliki sistem yang paling sesuai dengan kebutuhan Anda. Beberapa pro IDS terdaftar sebagai berikut:
• Dapat mendeteksi beberapa pelanggaran dan gangguan;
• Dapat mengidentifikasi di mana serangan terjadi;
• Dapat berguna untuk mengumpulkan bukti;
• Dapat memberi tahu administrator bahwa seseorang sedang menyelidikinya;
• Dapat mengambil tindakan korektif terhadap beberapa jenis pelanggaran atau intrusi.
Beberapa kontra IDS terdaftar sebagai berikut:
• Merindukan banyak jenis pelanggaran dan gangguan;
• Jangan bekerja dengan baik tanpa jaringan berkecepatan tinggi atau volume berat;
• Menghasilkan alarm palsu.
IDS dapat menambahkan kedalaman keamanan Anda secara keseluruhan, membantu mengidentifikasi kemungkinan gangguan dan pelanggaran, namun IDS dengan sendirinya tidak menjamin keamanan. IDS memiliki jalan yang panjang sebelum mereka seefektif mungkin karena hype pemasaran yang Anda percaya. Ketidakmampuan IDS berbasis jaringan berfungsi secara efektif pada jaringan yang bising, berkecepatan tinggi, atau bervolume tinggi hanyalah salah satu contoh keterbatasan IDS yang harus diatasi sebelum benar-benar efektif. Bahkan saat mereka berfungsi dengan benar, semua IDS masih kehilangan banyak jenis serangan berbahaya dan spesifik. Pendekatan yang paling efektif untuk deteksi intrusi adalah dengan menggunakan kombinasi deteksi berbasis jaringan dan host.
Tujuan Kedepan
Intrusi atau pelanggaran biasanya tidak terbatas pada satu sistem atau segmen jaringan. Kami sekarang bekerja di lingkungan di mana informasi didistribusikan melalui jaringan besar yang dikelola secara terpusat. Sebagai hasilnya, akan berguna untuk memiliki alat deteksi intrusi yang menggunakan pendekatan terdistribusi dimana IDS berbasis host berkomunikasi dengan IDS berbasis jaringan, dan keduanya memberi tahu administrasi pusat dari setiap anomali.
Untuk tujuan ini, IETF telah membentuk sebuah kelompok kerja untuk mempelajari deteksi intrusi. Menurut piagam kelompok kerja, tujuan kelompok kerja deteksi intrusi IETF adalah:
"... untuk menentukan data dari prosedur pertukaran dan pertukaran untuk berbagi informasi yang menarik bagi sistem deteksi dan respons intrusi dan sistem manajemen yang mungkin perlu berinteraksi dengannya."
Kita hanya bisa berharap bahwa upaya IETF menghasilkan IDS end-to-end yang terintegrasi yang dapat memantau dan bereaksi terhadap gangguan dan pelanggaran terhadap keseluruhan perusahaan.
Nama :
Cecep Wahyu Cahyana (11)
Danar Asmoro Jati (16)
