IPS (Intrusion Prevention System)

APA ITU IPS ????

IPS kepanjangan dari Intrusion Prevention System.Pengertian dari IPS itu sendiri yaitu sebuah aplikasi yang bekerja untuk monitoring traffic jaringan, mendeteksi aktivitas yang mencurigakan, dan melakukan pencegahan dini terhadap intrusi atau kejadian yang dapat membuat jaringan menjadi berjalan tidak seperti sebagaimana mestinya. Bisa jadi karena adanya serangan dari luar, dan sebagainya.

Produk IPS sendiri dapat berupa perangkat keras (hardware) atau perangkat lunak (software).Secara umum, ada dua jenis IPS, yaitu Host-based Intrusion Prevention System (HIPS) dan Network-based Intrusion Prevention System (NIPS).

IPS sebenarnya merupakan penggabungan antara IDS dan ip table. Sehingga system ini dapat mendeteksi jika ada penyusup (intruder) melakukan serangan ke jaringan lokal kita dan juga mencatat semua paket data yang masuk. Oleh karena itu IPS dapat memblock semua serangan yang dilakukan oleh intruder dan juga mencatat semua log yang teridentifikasi. Berbeda dengan IDS yang hanya bisa mencatat atau memberi notifikasi bila ada serangan masuk. 
IPS juga bisa menggunakan signature untuk mendeteksi traffic dalam jaringan, sehingga pencegahan serangan dapat dilakukan sedini mungkin.

Secara umum, ada dua jenis IPS, yaitu:

1.       Host-based Intrusion Prevention System (HIPS)

HIPS merupakan sebuah system pecegahan yang terdiri dari banyak layer, menggunakan packet filtering, inspeksi status dan metode pencegahan intrusi yang bersifat real-time untuk menjaga host berada di bawah keadaan dari efisiensi performansi yang layak. Mekanisme kerjanya yaitu dengan mencegah kode-kode berbahaya yang memasuki host agar tidak dieksekusi tanpa perlu untuk mengecek threat signature.
Program agent HIPS diinstall secara langsung di sistem yang diproteksi untuk dimonitor aktifitas sistem internalnya. HIPS di binding dengan kernel sistem operasi dan services sistem operasi. Sehingga HIPS bisa memantau dan menghadang system call yang dicurigai dalam rangka mencegah terjadinya intrusi terhadap host. HIPS juga bisa memantau aliran data dan aktivitas pada aplikasi tertentu. Sebagai contoh HIPS untuk mencegah intrusion pada webserver misalnya. Dari sisi security mungkin solusi 

2.       Network-based Intrusion Prevention System (NIPS)

Network Based IPS (NIPS) atau In-line proactive protection dapat menahan semua trafik jaringan dan menginspeksi kelakuan dan kode yang mencurigakan. Karena menggunakan in-line model, performansi tinggi merupakan sebuah elemen krusial dari perangkat IPS untuk mencegah terjadinya bottleneck pada jaringan. Oleh karena itu, NIPS biasanya didesain menggunakan tiga komponen untuk mengakselerasi performansi bandwidth. Network-based Intrusion Prevention System (NIPS) tidak melakukan pantauan secara khusus di satu host saja. Tetapi melakukan pantauan dan proteksi dalam satu jaringan secara global. NIPS menggabungkan fitur IPS dengan firewall dan kadang disebut sebagai In-Line IDS atau Gateway Intrusion Detection System (GIDS). 

Cara Kerja IPS :

Cara kerja IPS hampir sama seperti kinerja  IDS. Pertama IDS (Intrusion Detection System) melindungi sistem  komputer  dengan  mendeteksi serangan dan menghentikannya. Awalnya, IDS melakukan pencegahan  intrusi.  Untuk  itu,  IDS mengidentifikasi  penyebab  intrusi  dengan  cara membandingkan antara event yang dicurigai sebagai intrusi dengan tanda yang  ada.  Saat  sebuah intrusi telah  terdeteksi, maka  IDS  akan  mengirim  sejenis peringatan ke administrator. Disini Firewall akan memblock serangan yang diduga merupakan suatu Intrusion.

IPS didesain sebagai sebuah embedded system yang membuat banyak filter untuk mencegah bermacam-macam serangan seperti hacker, worm, virus, Denial of Service (DoS) dan trafik berbahaya lainnya, agar jaringan enterprise tidak menderita banyak kerugian bahkan ketika security patch terbaru belum diterapkan. Pembangunan IPS didasarkan pada sebuah modul “in-line”: data melewati perangkat IPS dari satu ujung dari kanal data tunggal, hanya data yang sudah dicek dan divalidasi oleh mesin IPS yang diperbolehkan untuk lewat menuju ujung lain dari kanal data. Pada scenario ini, paket yang mengandung tanda-tanda serangan pada paket asalnya akan dibersihkan dari jaringan.
Penggunaan multiple filter pada IPS membuatnya secara signifikan lebih efektif ketika menginspeksi, mengidentifikasi dan memblokir serangan berdasarkan urutan waktu. IPS membuat filter baru ketika sebuah metode serangan baru diidentifikasi. Mesin inspeksi paket data IPS normalnya terdiri dari integrated circuit yang didesain untuk inspeksi data mendalam. Setiap serangan yang mencoba mengeksploitasi kelemahan dari layer 2 sampai layer 7 OSI akan difilter oleh mesin IPS yang mana, secara tradisional, kemampuan firewall hanya terbatas sampai modul 3 atau 4 saja. Teknologi packet-filter dari firewall tradisional tidak menerapkan inspeksi untuk setiap byte dari segmen data yang bermakna tidak semua serangan dapat diidentifikasikan olehnya. Secara kontras, IPS mampu melakukan inspeksi tersebut dan semua paket data diklasifikasikan dan dikirim ke filter yang sesuai menurut informasi header yang ditemukan di segmen data, seperti alamat asal, alamat tujuan, port, data field dan sebagainya. Setiap filter bertanggung jawab untuk menganalisis paket-paket yang berkaitan, dan yang mengandung tanda-tanda membahayakan akan didrop dan jika dinyatakan tidak berbahaya akan dibiarkan lewat. Paket yang belum jelas akan diinspeksi lebih lanjut. Untuk setiap tipe serangan berbeda, IPS membutuhkan sebuah filter yang bersesuaian dengan aturan filtering yang sudah ditentukan sebelumnya. Aturan-aturan ini mempunyai definisi luas untuk tujuan akurasi, atau memastikan bahwa sebisa mungkin jangkauan aktifitas yang luas dapat terenkapsulasi di dalam sebuah definisi. Ketika mengklasifikasikan sebuah aliran data, mesin filter akan mengacu pada informasi segmen paket, menganalisa konteks dari field tertentu dengan tujuan untuk mengimprovisasi akurasi dari proses filtering.

MENGENAL FIREWALL DALAM KOMPUTER

MENGENAL FIREWALL

A.    Sejarah Firewall

Penggunaan firewall untuk keperluan sekuriti (security firewall) pertama kali digunakan pada awal dekade 1990 an, berupa router IP dengan aturan filter tertentu. Aturan sekuriti saat itu berupa sesuatu seperti: ijinkan setiap orang “disini” untuk mengakses “keluar sana” , juga cegahlah setiap orang (atau apa saja yang tidak disukai) “diluar sana” untuk masuk “kesini”. Firewall semacam ini cukup efektif, tetapi memiliki kemampuan yang terbatas.

Firewall generasi selanjutnya lebih fleksibel, yaitu berupa sebuah firewall yang dibangun pada apa yang disebut “Bastion Host”. Firewall komersial yang pertama dari tipe ini, yang menggunakan filter dan gateway aplikasi (proxies), kemungkinan adalah produk dari Digital Equipment Corp (DEC).

Firewall komersial pertama di konfigurasi untuk, dan dikirimkan kepada pelanggan pertamanya, sebuah perusahaan kimia besar yang berbasis di pantai timur AS pada 13 Juni 1991. Dalam beberapa bulan kemudian, Marcus Ranum dari Digital Corp. Menciptakan security proxies dan menulis ulang sebagian besar kode program firewall. Produk firewall tersebut kemudian diproduksi massal dengan nama dagang DECSEAL (singkatan dari Security External Access Link). DECSEAL tersusun atas sebuah sistem eksternal yang disebut gatekeeper sebagai satu satunya sistem yang dapat berhubungan dengan internet, sebuah filtering gateway yang disebut gate, dan sebuah mailhub internal.

Firewall untuk pertama kalinya dilakukan dengan menggunakan prinsip “non routing” pada sebuah Unix host yang menggunakan 2 buah network interface card, network interface card yang pertama dihubungkan ke internet (jaringan lain) sedangkan yang lainnya dihubungkan ke PC (jaringan lokal) (dengan catatan tidak terjadi “route” antara kedua network interface card di PC ini).

B.     Definisi Firewall

Firewall didefinisikan sebagai suatu cara atau mekanisme yang diterapkan baik terhadap hardware, software ataupun system itu sendiri dengan tujuan untuk melindungi, baik dengan menyaring, membatasi atau bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar yang bukan merupakan ruang lingkupnya.

Ilmuwan lain mendefinisikan firewall sebagai sebuah titik diantara dua/lebih jaringan dimana semua lalulintas (trafik) harus melaluinya (choke point); trafik dapat dikendalikan oleh dan diautentifikasi melalui sautu perangkat, dan seluruh trafik selalu dalam kondisi tercatat (logged). Dari beberapa definisi diatas, penulis dapat memberikan definisi dimana firewall adalah sebuah pembatas antara suatu jaringan local dengan jaringan lainnya yang sifatnya public (dapat diakses oleh siapapun) sehingga setiap data yang masuk dapat diidentifikasi untuk dilakukan penyaringan sehingga aliran data dapat dikendalikan untuk mencegah bahaya/ancaman yang dating dari jaringan publik.

C.    Tujuan Penggunaan Firewall

a.       Firewall biasanya digunakan untuk mencegah atau mengendalikan aliran data tertentu. Artinya, setiap paket yang masuk atau keluarakan diperiksa, apakah cocok atau tidak dengan kriteria yang ada pada standar keamanan yang didefinisikan dalam firewall.

b.      Untuk melindungi dengan menyaring, membatasi atau bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar yang bukan merupakan ruang lingkupnya. Segmen tersebut dapat merupakan sebuah workstation, server.

c.       Penggunaan firewall yang dapat mencegah upaya berbagai Trojan horses, virus, phishin, spyware untuk memasuki system yang dituju dengan cara mencegah hubungan dari luar, kecuali yang diperuntukan bagi computer dan port tertentu.

d.      Firewall akan memfilter serta mengaudit traffic yang melintasi perbatasan antara jaringan luar maupun dalam.

Gambar 1.Gambaran kerja firewall A.    Teknik Dalam Firewall ·         Service control (kendali terhadap layanan) Berdasarkan tipetipe layanan yang digunakan di Internet dan boleh diakses baik untuk kedalam ataupun keluar 6 firewall. Biasanya firewall akan mencek no IP Address dan juga nomor port yang digunakan baik pada protocol TCP dan UDP, bahkan bisa dilengkapi software untuk proxy yang akan menerima dan menterjemahkan setiap permintaan akan suatu layanan sebelum mengijinkannya. Bahkan bisa jadi software pada server itu sendiri, seperti layanan untuk web ataupun untuk mail. ·         Direction Conrol (kendali terhadap arah) Berdasarkan arah dari berbagai permintaan (request) terhadap layanan yang akan dikenali dan diijinkan melewati firewall. ·         User control (kendali terhadap pengguna) Berdasarkan pengguna/user untuk dapat menjalankan suatu layanan, artinya ada user yang dapat dan ada yang tidak dapat menjalankan suatu servis, hal ini dikarenakan user tersebut tidak diijinkan untuk melewati firewall. Biasanya digunakan untuk membatasi user dari jaringan local untuk mengakses keluar, tetapi bisa juga diterapkan untuk membatasi terhadap pengguna dari luar. ·         Behavior Control (kendali terhadap perlakuan) Berdasarkan seberapa banyak layanan itu telah digunakan. Misalnya, firewall dapat memfilter email untuk menanggulangi/mencegah spam. B.     Tipe-Tipe Firewall                       Packet Filtering Router Firewall jenis ini memfilter paket data berdasarkan alamat dan pilihan yang sudah ditentukan terhadap paket tersebut. Ia bekerja dalam level internet protocol (IP) paket data dan membuat keputusan mengenai tindakan selanjutnya 9 (diteruskan atau tidak diteruskan) berdasarkan kondisi dari paket tersebut. Firewall ini dapat digambarkan seperti gambar 2. Firewall jenis ini terbagi lagi menjadi tiga subtipe: ü  Static Filtering : Jenis filter yang diiplementasikan pada kebanyakan router, dimana modifikasi terhadap aturan aturan filter harus dilakukan secara manual. ü  Dynamic Filtering : Apabila proses-proses tertentu disisi luar jaringan dapat merubah aturan filer secara dinamis berdasarkan eveneven tertentu yang diobservasi oleh router (sebagai contoh, paket FTP dari sisi luar dapat diijinkan apabila seseorang dari sisi dalam merequest sesi FTP). ü  Stateful Inspection : Dikembangkan berdasarkan teknologi yang sama dengan dynamic filtering dengan tambahan fungsi eksaminasi secara bertingkat berdasarkan muatan data yang terkandung dalam paket IP. Baik dynamic maupun static filtering menggunakan table status (statetable) dinamis yang akan membuat aturanaturan filter sesuai dengan even yang tengah berlangsung. Ditambahkan bahwa kelemahan tipe ini adalah cukup rumitnya untuk menyetting paket yang akan difilter secara tepat, serta lemah dalam hal authentikasi. Adapun serangan yang dapat terjadi pada firewall dengan tipe ini adalah: §  IP address spoofing : Intruder (penyusup) dari luar dapat melakukan ini dengan cara menyertakan/menggunakan ip address jaringan local yang telah diijinkan untuk melalui firewall. §  Source routing attacks : Tipe ini tidak menganalisa informasi routing sumber IP, sehingga memungkinkan untuk membypass firewall. §  Tiny Fragment attacks : Intruder membagi IP kedalam bagianbagian (fragment) yang lebih kecil dan memaksa terbaginya informasi mengenai TCP header. Serangan jenis ini didesign untuk menipu aturan penyaringan yang bergantung kepada informasi dari TCP header. Penyerang berharap hanya bagian (fragment) pertama saja yang akan diperiksa dan sisanya akan bisa lewat dengan bebas. Hal ini dapat ditanggulangi dengan cara menolak semua packet dengan protocol TCP dan memiliki Offset = 1 pada IP fragment (bagian IP) Gambar 2.Packet Filtering a.      Circuit Gateways Firewall jenis ini beroperasi pada layer (lapisan) transport pada network, dimana koneksi juga diautorisasi berdasarkan alamat. Sebagaimana halnya Packet Filtering, Circuit Gateway (biasanya) tidak dapat memonitor trafik data yang mengalir antara satu network dengan network lainnya, tetapi ia mencegah koneksi langsung antar network. Cara kerjanya adalah gateway akan mengatur kedua hubungan tcp tersebut, 1 antara dirinya (gw) dengan TCP pada pengguna local (inner host) serta 1 lagi antara dirinya (gw) dengan TCP pengguna luar (outside host). Saat dua buah hubungan terlaksana, gateway akan menyalurkan TCP segment dari satu hubungan kelainnya tanpa memeriksa isinya. Fungsi pengamanannya terletak pada penentuan hubungan mana yang diijinkan. Penggunaan tipe ini biasanya dikarenakan administrator percaya dengan penggunainternal (internal users). Gambar 3. Circuit Gateway a.      Application Gateway Firewall tipe ini juga disebut sebagai firewall berbasis proxy. Ia beroperasi dilevel aplikasi dan dapat mempelajari informasi pada level data aplikasi (yang dimaksudkan disini adalah isi (content) dari paket data karena proxy pada dasarnya tidak beroperasi pada paket data). Filterisasi dilakukan berdasarkan data aplikasi, seperti perintahperintah FTP atau URL yang diakses lewat HTTP. Dapat dikatakan bahwa firewall jenis ini “memecah model clientserver”. Cara kerjanya adalah apabila ada pengguna yang menggunakan salah satu aplikasi semisal FTP untuk mengakses secara remote, maka gateway akan meminta user memasukkan alamat remote host yang akan diakses. Saat pengguna mengirimkan user ID serta informasi lainnya yang sesuai maka gateway akan melakukan hubungan terhadap aplikasi tersebut yang terdapat pada remote host, dan menyalurkan data diantara kedua titik. Apabila data tersebut tidak sesuai maka firewall tidak akan meneruskan data tersebut atau menolaknya. Lebih jauh lagi, pada tipe ini Firewall dapat dikonfigurasikan untuk hanya mendukung beberapa aplikasi saja dan menolak aplikasi lainnya untuk melewati firewall. Kelebihannya adalah relative lebih aman daripada tipe packet filtering router lebih mudah untuk memeriksa (audit) dan mendata (log) semua aliran data yang masuk pada level aplikasi. Kekurangannya adalah pemrosesan tambahan yang berlebih pada setiap hubungan. Yang akan mengakibatkan terdapat dua buah sambungan koneksi antara pemakai dan gateway, dimana gateway akan memeriksa dan meneruskan semua arus dari dua arah  Gambar 4. Application Gateway a.       Hybrid Firewall Firewall jenis ini menggunakan elemen elemen dari satu atau lebih tipe firewall. Hybrid firewall sebenarnya bukan sesuatu yang baru. Firewall komersial 12 yang pertama, DECSEAL, adalah firewall berjenis hybrid, dengan menggunakan proxy pada sebuah bastion hosts (mesin yang dilabeli sebagai “gate keeper”) dan packet filtering pada gateway (“gate”). Sistem hybrid seringkali digunakan untuk menambahkan layanan baru secara cepat pada system firewall yang sudah tersedia. Kita bisa saja menambahkan sebuah circuit gateway atau packet filtering pada firewall berjenis application gateway, karena untuk itu hanya diperlukan kode proxy yang baru yang ditulis untuk setiap service baru yang akan disediakan. Kita juga dapat memberikan autentifikasi pengguna yang lebih ketat pada Stateful Packet Filer dengan menambahkan proxy untuk tiap service. A.     Koneksi Paket Ø  Koneksi TCP Sebuah koneksi TCP  dikenal sebagai koneksi yang bersifat Connection Oriented yang berarti sebelum melakukan pengiriman data, mesin-mesin tersebut akan melalui 3 langkah cara berhubungan ( 3-way handshake ).    Gambar 5. Koneksi awal TCP Ø Koneksi IP Sebuah frame yang diidentifikasi menggunakan kelompok protokol Internet (IP) harus melalui aturan firewall yang didefinisikan menggunakan protokol IP sebelum paket tersebut mendapat jawaban koneksi dari tujuan paket tersebut. Salah satu paket yang merupakan kelompok protokol IP adalah ICMP, yang sering digunakan sebagai aplikasi pengujian koneksi ( link ) antar host Gambar 6. Sebuah Koneksi ICMP Salah satu paket yang merupakan kelompok protokol IP adalah ICMP, yang sering digunakan sebagai aplikasi pengujian koneksi ( link ) antar host. Ø  Koneksi UDP Berbeda dengan koneksi TCP, koneksi UDP bersifat connectionless . Sebuah mesin yang mengirimkan paket UDP tidak akan mendeteksi kesalahan terhadap pengiriman paket tersebut. Paket UDP tidak akan mengirimkan kembali paket-paket yang mengalami error. Model pengiriman paket ini akan lebih efisien pada koneksi broadcasting atau multicasting . Ø  Koneksi UDP Berbeda dengan koneksi TCP, koneksi UDP   bersifat connectionless . Sebuah mesin yang mengirimkan paket UDP tidak akan mendeteksi kesalahan terhadap pengiriman paket tersebut. Paket UDP tidak akan mengirimkan kembali paket-paket yang mengalami error. Model pengiriman paket ini akan lebih efisien pada koneksi broadcasting atau multicasting .