Latar
Belakang Masalah
Secara
umum Firewall digunakan untuk mengontrol akses untuk siapapun yang
memiliki akses terhadap jaringan pribadi dari pihak luar. Saat ini, pengertian firewall dipahami
dengan istilah generik yang merujuk pada fungsi firewall sebagai
sistem yang mengatur komunikasi antar dua jaringan yang berlainan. Mengingat
sekarang ini banyak perusahaan yang memiliki akses ke Internet maka
perlindungan terhadap aset digital perusahaan tersebut dari serangan para
hacker, pelaku spionase, ataupun pencuri data lainnya, sehingga fungsi
fire-wall menjadi hal yang sangat penting.
Pembahasan
dan Solusi Masalah
IPS dan IDS sistem
mencari intrusi dan gejala dalam lalu lintas. IPS/IDS systems would monitor for
unusual behavior, abnormal traffic, malicious coding and anything that would
look like an intrusion by a hacker being attempted. sistem IPS / IDS akan
memantau perilaku yang tidak biasa, lalu lintas normal, coding berbahaya dan
apa pun yang akan terlihat seperti penyusupan oleh hacker yang berusaha.
IPS (Intrusion Prevention
System) systems are deployed inline and actually take action by blocking the
attack, as well as logging the attack and adding the source IP address to the
block list for a limited amount of time; IPS sistem (Intrusion Prevention
System) dikerahkan inline dan benar-benar mengambil tindakan dengan memblokir
serangan, serta penebangan serangan itu dan menambahkan sumber alamat IP ke
daftar blok untuk waktu terbatas; or even permanently blocking the address
depending on the defined settings. atau bahkan permanen memblokir alamat
tergantung pada pengaturan yang ditetapkan. Hackers take part in lots of port
scans and address scans, intending to find loop holes within organizations.
Hacker mengambil bagian dalam banyak scan port dan alamat, berniat untuk
mencari loop hole dalam organisasi. IPS systems would recognize these types of
scans and take actions such as block, drop, quarantine and log traffic. sistem
IPS akan mengenali jenis scan dan mengambil tindakan seperti blok, drop,
karantina dan log lalu lintas. However this is the basic functionality of IPS.
Namun ini adalah fungsi dasar dari IPS. IPS systems have many advanced
capabilities in sensing and stopping such attacks. sistem IPS memiliki banyak
kemampuan canggih dalam penginderaan dan menghentikan serangan tersebut.
IDS vs IPS IDS vs IPS
IDS (Intrusion Detection
System) systems only detect an intrusion, log the attack and send an alert to
the administrator. IDS sistem (Intrusion Detection System) hanya mendeteksi
penyusupan, log serangan dan mengirimkan peringatan ke administrator. IDS
systems do not slow networks down like IPS as they are not inline. IDS sistem
tidak jaringan lambat turun seperti IPS karena mereka tidak inline.
You may wonder why a
company would purchase an IDS over an IPS? Anda mungkin bertanya-tanya mengapa
sebuah perusahaan akan membeli IDS melalui IPS? Surely a company would want a
system to take action and block such attacks rather than letting it pass and
only logging and alerting the administer. Tentunya perusahaan ingin sistem
untuk mengambil tindakan dan memblokir serangan tersebut daripada membiarkannya
berlalu dan hanya masuk dan mengingatkan kelola tersebut. Well there's a few
reasons; Nah ada beberapa alasan; however there are two primary reasons which
stand out. Namun ada dua alasan utama yang menonjol. IDS systems if not fine
tuned, just like IPS will also produce false positives. IDS sistem jika tidak
diperbaiki, seperti IPS juga akan menghasilkan positif palsu. However it would
be very annoying to have an IPS system producing false positives as legitimate
network traffic will be blocked as where an IDS will just send alerts and log
the false attack. Namun itu akan sangat mengganggu untuk memiliki sistem IPS
memproduksi positif palsu sebagai lalu lintas jaringan yang sah akan diblokir
sebagai mana IDS hanya akan mengirim peringatan dan log serangan palsu. The 2nd
reason is some administrators and managers do not want a system to take over
and make decisions on their behalf; 2 alasannya adalah beberapa administrator
dan manajer tidak ingin sistem untuk mengambil alih dan membuat keputusan atas
nama mereka; they would rather receive an alert and look into the problem and
take action themselves. mereka lebih suka menerima peringatan dan melihat ke
dalam masalah dan mengambil tindakan sendiri.
However that said today
you will find solutions with both capabilities of IDS and IPS built in. IDS can
be used initially to see how the system behaves without actually blocking
anything. Namun yang mengatakan hari ini Anda akan menemukan solusi dengan
kedua kemampuan IDS dan IPS dibangun di. IDS dapat digunakan pada awalnya untuk
melihat bagaimana sistem berperilaku tanpa benar-benar menghalangi apa-apa. Then
once fine tuned IPS can be turned on and the system can be deployed inline to
provide full protection. Kemudian IPS sekali diperbaiki dapat diaktifkan dan
sistem dapat digunakan inline untuk memberikan perlindungan penuh.
IPS and IDS vs Firewalls
IPS dan IDS vs Firewall
Not having an IPS system
result in attacks going unnoticed. Tidak memiliki hasil sistem IPS dalam
serangan akan ketahuan. Don't forget a firewall does the filtering, blocking
and allowing of addresses, ports, service, but also allows some of these
through the network as well. Jangan lupa firewall tidak penyaringan, memblokir
dan memungkinkan alamat, port, layanan, tetapi juga memungkinkan beberapa
tersebut melalui jaringan juga. However this means that the access allowed is
just let through, and firewalls have no clever way of telling whether that
traffic is legit and normal. Namun ini berarti bahwa akses diperbolehkan hanya
membiarkan melalui, dan firewall tidak memiliki cara cerdas untuk mengatakan
apakah lalu lintas yang legit dan normal. This is where the IPS and IDS systems
come into play. Di sinilah IPS dan IDS sistem ikut bermain.
So where firewalls block
and allow traffic through, IDS/IPS detect and look at that traffic in close
detail to see if it is an attack. Jadi di mana firewall block dan memungkinkan
lalu lintas melalui, IDS / IPS mendeteksi dan melihat bahwa lalu lintas di
dekat detail untuk melihat apakah itu adalah serangan. IDS/IPS systems are made
up of sensors, analysers and GUI's in order to do their specialised job. IDS /
sistem IPS terdiri dari sensor, analisa dan GUI dalam rangka untuk melakukan
pekerjaan khusus mereka.
The Job of an IPS\IDS
system Job sistem IPS \ IDS
Let's take a closer at an
IPS/IDS (also known as IPD systems). Mari kita lebih dekat pada IPS / IDS (juga
dikenal sebagai sistem IPD).
Most common attack types
that IPS and IDS systems are used for are; jenis serangan yang paling umum yang
IPS dan IDS sistem yang digunakan adalah;
Policy Violations -
Rules, protocols and packet designs that are violated. Pelanggaran kebijakan -
Aturan, protokol dan desain paket yang dilanggar. An example would be an IP
packet that are incorrect in length. Sebuah contoh akan menjadi paket IP yang
tidak benar panjang.
Exploits - Attempts to
exploit a vulnerability of a system, application or protocol. Eksploitasi -
Upaya untuk mengeksploitasi kerentanan sistem, aplikasi atau protokol. An
example would be a buffer overflow attacks. Sebuah contoh akan menjadi serangan
buffer overflow.
Reconnaissance - Is a
detection method that is used to gain information about system or network such
as using port scanners to see what ports are open. Pengintai - Apakah metode
deteksi yang digunakan untuk mendapatkan informasi tentang sistem atau jaringan
seperti menggunakan port scanner untuk melihat apa port yang terbuka.
DOS\DDOS - This is when
an attack attempts to bring down your system by sending a vast amount of requests
to it such as SYN flood attacks. DOS \ DDOS - ini adalah ketika serangan
mencoba untuk membawa sistem anda dengan mengirimkan sejumlah besar permintaan
untuk itu seperti serangan banjir SYN.
IPS Techniques to defend
against Attacks Teknik IPS untuk membela terhadap Serangan
Intrusion prevention
sensors look at header and data portions of the traffic looking for suspicious
traffic that indicate malicious activity. sensor pencegahan intrusi melihat
header dan data bagian dari lalu lintas mencari lalu lintas yang mencurigakan
yang menunjukkan aktivitas berbahaya.
IPS/IDS solution have the
ability to detect threats using a database of signatures, using anomaly
detection techniques looking for abnormal behaviour within protocols and can
also use or integrate with anti virus for malware detection. solusi IPS / IDS
memiliki kemampuan untuk mendeteksi ancaman menggunakan database tanda tangan,
menggunakan teknik deteksi anomali mencari perilaku abnormal dalam protokol dan
juga dapat menggunakan atau mengintegrasikan dengan anti virus untuk mendeteksi
malware. Anomaly detection systems target traffic that isn't necessarily bad
but used with bad intentions such as lots of traffic to overwhelm a system.
sistem deteksi anomali menargetkan lalu lintas yang tidak selalu buruk, tetapi
digunakan dengan niat buruk seperti banyak lalu lintas untuk membanjiri sistem.
TCP Syn Flood attack is an example. Serangan TCP Syn Banjir adalah contoh.
IPS have the ability to
take actions on defined policies such as blocking a connection, providing
alerts, logging the event, quarantining the host or a combination of these. IPS
memiliki kemampuan untuk mengambil tindakan kebijakan didefinisikan seperti
memblokir sambungan, memberikan peringatan, penebangan acara, karantina host
atau kombinasi dari ini. Policies define the rules that specify what should be
detected and type of response required. Kebijakan menentukan aturan yang
menentukan apa yang harus dideteksi dan jenis respon yang dibutuhkan. Policies
will include both signature based rules and anomaly detection rules for
learning typical network traffic and setting thresholds for these. Kebijakan
akan mencakup aturan berdasarkan baik signature dan aturan deteksi anomali
untuk belajar lalu lintas jaringan yang khas dan pengaturan ambang untuk ini. DOS
and reconnaissance rules are based on traffic statistics. DOS dan aturan
pengintaian didasarkan pada statistik lalu lintas.
IPS solutions also
provide logging and alerting on recent attacks so it should be easy to
understand and trace an attack, and provide supporting tools that would aid in
blocking attacks. solusi IPS juga menyediakan logging dan mengingatkan pada
serangan baru-baru ini sehingga harus mudah untuk memahami dan melacak
serangan, dan menyediakan alat-alat pendukung yang akan membantu dalam
memblokir serangan. Also clicking the attack should provide detailed
information about the attack and what can be done to resolve such an attack.
Juga mengklik serangan harus memberikan informasi rinci tentang serangan dan
apa yang dapat dilakukan untuk mengatasi serangan itu. IPS and IDS systems have
the ability to search for attacks using different characteristics of an attack
such as by attack name, impacted applications, attack ID and so on. IPS dan IDS
sistem memiliki kemampuan untuk mencari serangan dengan menggunakan
karakteristik yang berbeda dari serangan seperti dengan nama serangan, aplikasi
berdampak, serangan ID dan sebagainya.
IPS and IDS systems
should be configured to only use signatures they require and to protect the assets
required as using all signatures and pointing it to protect everything will use
up much more resources such as CPU, memory and bandwidth. IPS dan sistem IDS
harus dikonfigurasi untuk hanya tanda tangan penggunaan mereka membutuhkan dan
untuk melindungi aset diperlukan sebagai menggunakan semua tanda tangan dan
menunjuk untuk melindungi segala sesuatu akan menggunakan lebih banyak sumber
daya seperti CPU, memori dan bandwidth. So if it were web server that required
protection then only signatures for web servers should be utilised and
protecting only the DMZ where web servers are located. Jadi jika itu web server
yang diperlukan perlindungan maka hanya tanda tangan untuk server web harus
dimanfaatkan dan melindungi hanya DMZ mana server web berada. This can also be
further defined to be protocols such as HTTP, RDP, or systems like Unix,
Windows or applications such as IIS and Adobe. Ini juga dapat lebih
didefinisikan sebagai protokol seperti HTTP, RDP, atau sistem seperti Unix,
Windows atau aplikasi seperti IIS dan Adobe.
Attacks should have a
severity level that ties to a response such as block, quarantine, log, notify
or a combination of these. Serangan harus memiliki tingkat keparahan yang
mengikat untuk respon seperti blok, karantina, log, memberitahukan atau
kombinasi dari ini.
IPS IDS Deployment IDS
Deployment IPS
IPS can be deployed in
either span\tap mode, inline or IPS on a stick. IPS dapat digunakan baik dalam
modus rentang \ tap, inline atau IPS pada tongkat. In span\tap mode an IPS
sensor receives a copy of every packet and can alert on attacks but cannot
block them. Dalam rentang modus \ tap sensor IPS menerima salinan dari setiap
paket dan dapat mengingatkan pada serangan tetapi tidak dapat memblokir mereka.
This is good for when initially testing the system and fine tuning policies
before deploying it in inline mode. Ini bagus untuk ketika awalnya menguji
sistem dan kebijakan fine tuning sebelum penggelaran dalam mode inline. Inline
is where it sits inline with the network and is able to block and alert on
attacks. Inline adalah di mana ia duduk inline dengan jaringan dan mampu
memblokir dan waspada pada serangan. If you are using a Cisco infrastructure
then IPS on a stick can be deployed where packets can be forwarded to multiple
IPS sensors using Cisco Ethernet Channel technology. Jika Anda menggunakan
infrastruktur Cisco kemudian IPS pada tongkat dapat digunakan di mana paket
dapat diteruskan ke beberapa sensor IPS menggunakan teknologi Cisco Ethernet
Channel.
Some IPS solutions can be
segregated in virtual IPS sensors that are an option for shared environments or
MSSP's. Beberapa solusi IPS dapat dipisahkan dalam sensor maya IPS yang
merupakan pilihan bagi lingkungan bersama atau MSSP ini.
Bets practice would be to
create multiple policies for different resources. praktek taruhan akan membuat
beberapa kebijakan untuk sumber daya yang berbeda. define policies for a
network segment or for an interface or sub interface for VLANS. menentukan
kebijakan untuk segmen jaringan atau untuk sebuah antarmuka atau sub antarmuka
untuk VLAN. Also defining the traffic direction so you are only protecting a
targeted area such as inbound from the internet to the DMZ. Juga mendefinisikan
arah lalu lintas sehingga Anda hanya melindungi area yang ditargetkan seperti
masuk dari internet ke DMZ.
Host based Intrusion
detection and Network based Intrusion Detection Tuan deteksi intrusi berbasis
dan berbasis Jaringan Intrusion Detection
There are a few different
types of intrusion systems. Ada berbagai jenis beberapa sistem intrusi. Firstly
there's host based (HIDS) and network based (NIDS). Pertama ada host berbasis
(HIDS) dan berbasis jaringan (NIDS). Network based (NIDS) monitors for
intrusions on the network. Jaringan berbasis (NIDS) monitor untuk gangguan pada
jaringan. Host based sits on a computer itself and monitors the host itself. Tuan
rumah berdasarkan duduk di komputer itu sendiri dan memonitor host itu sendiri.
HIDS are expensive to deploy on all computers, and so are used for servers that
require this extra protection, where network based is usually cheaper to
purchase as the investment is in one appliance sitting on your network
monitoring traffic. HIDS mahal untuk menyebarkan pada semua komputer, dan
sebagainya digunakan untuk server yang membutuhkan perlindungan ekstra ini, di
mana jaringan berbasis biasanya lebih murah untuk membeli sebagai investasi
dalam satu alat duduk di memonitor lalu lintas jaringan Anda.
HIDS and NIDS can come in
a number of types of intrusion systems as well; HIDS dan NIDS dapat datang
dalam jumlah jenis sistem intrusi juga;
Signature based Signature
berdasarkan
Signatures are created by
vendors based on potential attacks and attacks that have been taken place in
the past. Tanda tangan yang dibuat oleh vendor berdasarkan potensi serangan dan
serangan yang telah terjadi di masa lalu. These signatures are scheduled and
downloaded by the intrusion software itself. Signature ini dijadwalkan dan
di-download oleh software intrusion itu sendiri. Any packets arriving into the
network are compared to the set of downloaded signatures comparing these for
any attacks. Setiap paket tiba ke jaringan dibandingkan dengan set tanda tangan
yang didownload membandingkan ini untuk serangan apapun. Signature based
systems are the most common. sistem berbasis signature adalah yang paling umum.
Most UTM appliances consist of signature based intrusion prevention/detection
systems. Kebanyakan peralatan UTM terdiri dari sistem pencegahan / deteksi
intrusi berbasis signature. The only downfall to these systems is that they can
not detect new attacks, as they only compare attacks to the signatures their
system currently holds. Kejatuhan hanya untuk sistem ini adalah bahwa mereka
tidak dapat mendeteksi serangan baru, karena mereka hanya membandingkan
serangan untuk tanda tangan sistem mereka saat ini memegang.
Anomaly based anomali berdasarkan
In anomaly based, the
system would first need to learn the NORMAL behavior, traffic or protocol set
of the network. Dalam anomali berbasis, sistem yang pertama akan perlu
mempelajari NORMAL perilaku, lalu lintas atau set protokol jaringan. When the
system has learnt the normal state of a network and the types of packets and
throughput it handles on a daily basis, taking into account peak times such as
lunch time for example for web browsing, then it can be put into action. Ketika
sistem telah belajar keadaan normal jaringan dan jenis paket dan troughput
menangani setiap hari, dengan puncak kali akun seperti waktu makan siang
misalnya untuk web browsing, maka dapat dimasukkan ke dalam tindakan. Now when
traffic is detected that is out of the normal state of the network, the anomaly
based detection system would take action. Sekarang ketika lalu lintas
terdeteksi yang keluar dari keadaan normal jaringan, sistem deteksi berdasarkan
anomali akan mengambil tindakan.
The good thing about this
type of system is that it can detect new attacks; Hal yang baik tentang jenis
sistem adalah bahwa hal itu dapat mendeteksi serangan baru; it does not need to
rely on signatures. tidak perlu bergantung pada tanda tangan. The bad thing is
if you do not spend time fine stunning the system and maintaining it, it will
usually produce many false positives (Stop normal traffic). Hal yang buruk
adalah jika Anda tidak menghabiskan waktu yang baik menakjubkan sistem dan
mempertahankan itu, biasanya akan menghasilkan banyak positif palsu (Hentikan
lalu lintas normal). Also some clever hackers try and emulating their attacks
as normal traffic, however this is usually difficult to do from a hacking
perspective, but if they get it right, it may fool the ADS system as normal and
legitimate traffic. Juga beberapa hacker pintar mencoba dan meniru serangan
mereka sebagai lalu lintas normal, namun hal ini biasanya sulit untuk dilakukan
dari perspektif hacking, tetapi jika mereka bisa melakukannya dengan benar,
mungkin mengelabui sistem ADS sebagai lalu lintas normal dan sah.
Rule based berdasarkan
aturan
Rule based systems are
more advanced and cleverly built systems. sistem berbasis aturan yang lebih
maju dan cerdik dibangun sistem. A knowledge base programmed as rules will
decide the output alongside an inference engine. Sebuah basis pengetahuan
diprogram sebagai aturan akan memutuskan output samping mesin inferensi. If the
defined rules for example all match, a certain assumption can be determined in
which an action may take place. Jika aturan yang ditetapkan misalnya semua
pertandingan, asumsi tertentu dapat ditentukan di mana tindakan mungkin
terjadi. This assumption is the power of the inference engine. Asumsi ini
adalah kekuatan mesin inferensi. The inference engine can assume an attack may
be occurring because of so many factors; Mesin inferensi dapat mengasumsikan
serangan mungkin terjadi karena banyak faktor; this is unique and is very much
behaving like the human mind. ini adalah unik dan sangat berperilaku seperti
pikiran manusia. In normal computing assumptions can not be made, its either
yes or no, but the inference engine adds a different level of thinking; Dalam
asumsi komputasi normal tidak dapat dibuat, yang baik ya atau tidak, tapi mesin
inferensi menambah tingkat berpikir yang berbeda; it also adds the “Probably”
to the list, like humans. itu juga menambahkan "Mungkin" ke dalam
daftar, seperti manusia. If it rains and is warm, we can assume it may thunder.
Jika hujan dan hangat, kita bisa berasumsi mungkin guntur. If more traffic was
leaving the company than usual, as well as coming from a certain server, the
inference engine may assume, the server could be compromised by a hacker. Jika
lebih banyak lalu lintas adalah meninggalkan perusahaan dari biasanya, serta
berasal dari server tertentu, mesin inferensi mungkin menganggap, server bisa
dikompromikan oleh hacker.
Many IDS/IPS solutions
have combined both signature and anomaly based detection system. Banyak IDS /
solusi IPS telah menggabungkan kedua tangan dan sistem deteksi anomali berbasis.
Kesimpulan
Dan Saran
Komputer memiliki ribuan
port yang dapat diakses untuk berbagai keperluan. Cara Kerja
Firewall dari komputer adalah menutup port kecuali untuk beberapa port
tertentu yang perlu tetap terbuka. Firewall di komputer bertindak sebagai
garis pertahanan terdepan dalam mencegah semua jenis hacking ke dalam jaringan,
karena, setiap hacker yang mencoba untuk menembus ke dalam jaringan komputer
akan mencari port yang terbuka yang dapat diaksesnya.
Teknologi firewall saat
ini sudah sangat canggih. Sebelumnya, cara kerja firewall dengan
menyaring lalu lintas jaringan yang menggunakan alamat IP, nomor port, dan
protokol, tapi saat ini fire-wall dapat menyaring data dengan mengidentifikasi
pesan konten itu sendiri. Dengan bantuan fire-wall, informasi sensitif
atau tidak layak dapat dicegah melalui interface. Pastikan sistem keamanan
jaringan di lapisi firewall.
Referensi
Data
Diri
Nama : Ketut Adi Wijanarko
NPM : 1144031
Kelas : D4 Teknik Informatika 3D
Mata Kuliah : Keamanan Jaringan
Kampus : Poiteknik Pos Indonesia
URL
Github
https://github.com/KetutAdiW/keamanan-jaringan-ketut-adi-wijanarko-1144031-d4-ti-3d-poltekpos/blob/master/doc/kuliah/keamanan-jaringan/pertemuan%209/pertemuan9.md
Plagiarisme
https://drive.google.com/open?id=0B6T8zh1IttsDekxIYTh5ZDE5N00https://drive.google.com/open?id=0B6T8zh1IttsDczk5eVNBZ1oxcW8
Tidak ada komentar:
Posting Komentar