Host-Based IDPS(IDPS Berbasis Host)

Artikel ini merupakan lanjutan dari artikel MENANGANI SERANGAN INTRUSI MENGGUNAKAN IDS DAN IPS yang membahas lebih detai tentang host-based IDPS.

Artikel yang membahas tentang network-based IDPS dapat diakses melalui link berikut: Network Based IDPS (IDPS Berbasis Jaringan)

Host-based IDPS memonitor karakteristik dan peristiwa yang terjadi pada host. Pemonitoran tersebut untuk medeteksi adanya aktivitas mencurigakan. Host-based IDPS melakukan pemeriksaaan terhadap lalulintas jaringan terhadap host, sistem log, proses yang sedang berjalan, akses file, modifikasi file, serta perubahan pengaturan sistem dan aplikasi.

1  Komponen dan Arsitektur

1.1       Komponen Utama

Host-based IDPS berupa software pendeteksi (agent) yang terinstall pada host dan dalam bentuk alat yang menjalankan software pendeteksi (agent). Alat tersebut diletakkan didepan host pada jaringan.

Satu agent mengawasi hanya satu aplikasi spesifik, misalkan  web server atau database server. Setiap agent didisain khusun untuk melindungi salah satu hal berikut:

  1. Server
    Pemantauan meliputi OS dan aplikasi pada server.
  2. Client host (berupa destop atau laptop)
    Pemantauan meliputi OS dan Aplikasi (misalkan e-mail client dan Wen brouser) yang terinstall di host
  3. Layanan aplikasi
    Contoh layanan tersebut berupa Web server program dan database server program

Produk yang tersedia umumnya tidak memiliki agent untuk host lainnya, semacam network device(firewalls, routers, switches)

1.2       Arsitektur Jaringan

Agent dipasang pada host yang tersambung pada jaringan suatu organisasi. Oleh karena itu, agent pada umummya berkomunikasi melalui jaringan tersebut daripada menggunakan jaringan yang terpisah. Produk host-based IDPS yang dijual umunnya melakukan enkripsi terhadap komuikasi tersebut. Arsitektur jaringan tersebut dideskrisikan pada gambar.

Host-Based IDPS

Gambar Contoh Arsitektur Peletakan Host-Base IDPS

1.3       Lokasi Agent

Host-based IDPS agent paling sering dipasang pada host yang sangat rawan. Hal tersebut misalnya server yang dapat diakses oleh publik dan server yang memiliki informasi penting. Setiap server dan host dapat dipasangi agent ini.

Host-based IDPS ini digunakan untuk mengawasi aktifitas yang tidak bisa dilakukan IDPS lain. pengawasan tersebut misalnya dilakukan  terhadap komunikasi terenkripsi pada jaringan. Host merupakan end-point komuikasi sehingga dapat melakun dekripsi.

Kriteria pemilihan tempat pemasangan agent:

  1. Biaya pemasangan, perawatan, dan pengawasan
  2. OS dan aplikasi yang dapat didukung agent
  3. Tingkat kepentingan data dan layanan pada host
  4. Kemampuan infrastruktur mendukung agent
  5. Ketersediaan bandwidth jarigan untuk mengirim data peringatan dari agnet ke server pusat serta pembaruan perangkat lunak dan kebijakan dari server pusat ke agent

1.4       Arsitektur Host

Untuk menyediakan kemampuan pencegahan, kebanyakan agent dari IDPS merubah arsitektur internal host. Hal ini dlikakan misalnya dalam penggunaan shim. Shim adalah suatu layer yang diletakkan diantara layer-layer code program. Shim ini dapat melakuakan analisa data antar layer tersebut dan menentukan apakah hal tersebut diperbolehkan atau ditolak. Agent dari host-based IDPS mungkin menggunakan shim untuk pemantauan lalulistas jaringan, aktivitas filesystem, system call, aktivitas register window, serta aplikasi umum seperti e-maildan Web.

Selain hal diatas, ada juag agent host-basedIDPS yang tidak merubah arsitektur internal host. Agent-agent ini melakukan pemantauan tanpa menggunakan shim. Sebagai gantinya mereka menggunakan jejak dari aktivitas intrusi, misalnya catatan log dan perubahan file. Walaupun demikian, metode ini lebih tidak efektif mendeteksi ancaman dibandingkan dengan metode sebelumnya. Selain itu, dengan penggunaan metode ini kita tidak bisa melakukan pencegahan intrusi.

Selain pemilihan metode diatas, pemilihan lain yang penting adalah apakah host-based IDPS ini diintall pada host atau menggunakan device fisik. Agent yang di-install di host memiliki sejumlah keuntungan dilihat dari segi pendeteksian dan pencegahan. Agent medapatkan akses langsung terhadap host sehingga dapat melakukan pedetesian dan pencegahan secara lebih lengkap dan akurat.

Namun demikian, tidak semua agent dapat di install pada OS yang digunakan. Disini, agent dalam bentuk device fisik lebih cocok digunakan. Pertimbangan lainnya adalah beban di host. Bila agent di-intall di host, beban di host bertambah banyak dan bisa menyebakan penurunan performa host.

2         Security Capabilities

2.1       Logging Capabilities

Agent melakukan pencatatan terhadap kejadian yang terdeteksi. Data ini digunakan untuk mengecek validitas sinyal peringatan, menghubungkan kejadian antara host-based IDPS dan sumber log yang lain.

Jenis data yang biasanya dicatat adalah:

  1. Timestamp
  2. Kejadian atau jenis sinyal peringatan
  3. Tingkat prioritas, serangan, dampak, dan kepercayaan
  4. Aksi pencegahan yang dilakukan bila ada

2.2       Detection Capabilities

Agent mendeteksi sejumlah aktivitas jahatan. Teknik yang digunakan merupakan kombinasi dari:

  • Teknik pendeteksian berdasarkan signature serangan yang pernah terjadi
  • Teknik pendeteksian berdasarkan kejanggalan. Digunakan untuk mendeteksi serangan yang belum pernah terjadi.

Aspek yang berkaitan dengan kemampuan pendeteteksian host-based IDPS

  1. Jenis kejadian yang terdeteksi
  2. Akurasi pendeteksian
  3. Penyetelan dan kustomisasi
  4. Keterbatasan teknologi

2.3       Prevention Capabilities

Kemampuan pencegahan intrusi beragam tergantung teknik pendeteksian yang digunakan. Teknik yang digunakan misalkan analisa code. Dengan teknik ini dapat dicegah pengeksekusian code berupa malware dan unauthorized aplication. Teknik lainnya adalah analisa lalulintas jaringan, penyaringan lalulintas jaringan, dan pemantauan sistem file

3     Referensi

[1] Scarfone Karen, Mell Peter, “Network Based IDPS” in Guide to Intrusion Detection and Prevention Systems (IDPS),  Special Publication 800-94, National Institute of Standards and Technology, 2007.

[2] http://www.snort.org/

[3] http://www.bro.org/

M. Erza Aminanto – 23213058 & Gian N. L. – 13209104

Leave a Reply

Your email address will not be published. Required fields are marked *