Network Based IDPS (IDPS Berbasis Jaringan)

Artikel ini merupakan lanjutan dari MENANGANI SERANGAN INTRUSI MENGGUNAKAN IDS DAN IPS

Sebuah IDPS berbasis jaringan memonitor lalu lintas jaringan untuk segmen jaringan atau perangkat tertentu dan menganalisa protokol network, transportation, dan application untuk mengidentifikasi aktivitas yang mencurigakan. Tulisan ini diawali gambaran singkat tentang TCP / IP. Selanjutnya, akan dijelaskan komponen utama IDPS berbasis jaringan dan arsitektur yang biasa digunakan. Berikutnya akan dijelaskan kemampuan keamanannya, termasuk metodologi yang digunakan untuk mengidentifikasi aktivitas yang mencurigakan.

1.      Ringkasan Mengenai TCP/IP

TCP / IP secara luas telah digunakan sebagai protokol jaringan komunikasi. Protokol TCP / IP terdiri dari empat lapisan yang bekerja sama. Ketika seorang pengguna ingin mentransfer data melalui jaringan, data dilewatkan dari lapisan tertinggi, lalu ke lapisan menengah, dan terakhir ke lapisan terendah, dengan setiap lapisan menambahkan informasi lebih lanjut. Lapisan terendah mengirimkan data yang terakumulasi melalui jaringan fisik ke tujuannya. Pada dasarnya, data yang dihasilkan oleh sebuah lapisan, akan dibungkus oleh lapisan bawahnya sehingga paket data menjadi lebih besar. Penjelasan ini diilustrasikan oleh Gambar 1.

 tcpip

Gambar 1 Pembangunan paket dat pada TCP/IP

Keempat lapisan TCP / IP, dari tertinggi ke terendah, ditunjukkan pada Gambar 2.

Lapisan Aplikasi. Lapisan ini mengirim dan menerima data untuk aplikasi tertentu. Contohnya adalah Domain Name System (DNS), Hypertext Transfer Protocol (HTTP), dan Simple Mail Transfer Protocol (SMTP).
Lapisan Transport. Layer ini menyediakan layanan connection-oriented atau connectionless untuk memindahkan layanan lapisan aplikasi antar jaringan. Lapisan transport ini dapat digunakan untuk memastikan reliability dari komunikasi. Transmission Control Protocol (TCP) dan User Datagram Protocol (UDP) merupakan protokol yang biasa digunakan pada lapisan transport ini.
Aplikasi Jaringan (juga disebut lapisan internet protocol (IP)). Lapisan ini menentukan rute paket data saat melalui jaringan. IPv4 merupakan protokol dasar yang sering digunakan untuk TCP/IP. Prtotokol lain yang digunakan adalah Ipv6, Internet Control Message Protocol (ICMP), dan Internet Group Management Protocol (IGMP).
Lapisan Fisik (juga disebut lapisan data link). Lapisan ini melakukan komunikasi melalui komponen fisik jaringan. Protokol yang biasa digunakan adalah Ethernet.

Gambar 2 Lapisan pada TCP/IP[1]

 2.      Komponen dan Arsitektur

Pada bagian ini akan dijelaskan mengenai komponen utama dari IDPS berbasis jaringan dan akan diilustrasikan arsitektur jaringannya yang sering digunakan.

2.1.  Komponen Utama

Sebuah IDPS berbasis jaringan terdiri dari sensor, satu atau lebih server manajemen, beberapa konsol, dan secara opsional satu atau lebih database server. Kebanyakan IDPS menggunakan beberapa sensor, bahkan untuk jaringan yang besar, digunakan ratusan sensor. Terdapat dua jenis sensor, yaitu:

2.1.1.      Perangkat Keras dan Perangkat Lunak

Sensor jenis ini terdiri dari perangkat keras dan perangkat lunak khusus sensor. Perangkat keras biasanya dioptimalkan untuk penggunaan sensor, termasuk NIC khusus dan driver NIC untuk menangkap paket secara efisien, dan prosesor khusus atau komponen perangkat keras lainnya yang membantu dalam analisis. Sebagian atau seluruh perangkat lunak IDPS berada dalam firmware untuk meningkatkan efisiensi. Sensor jenis ini sering menggunakan Operating System (OS) yang telah diperkuat sehingga administrator tidak dapat mengakses langsung.

2.1.2.      Perangkat Lunak Saja

Beberapa vendor menjual perangkat lunak sensor tanpa perangkat kerasnya. Administrator dapat menginstal perangkat lunak ke host yang memenuhi spesifikasi tertentu. Perangkat lunak sensor ini termasuk OS yang customized.

2.2.  Arsitektur Jaringan dan Lokasi Sensor

Untuk memilih arsitektur jaringan yang sesuai untuk komponen IDPS, administrator perlu menentukan di mana sensor IDPS harus ditempatkan. Sensor dapat digunakan menggunakan salah satu dari dua mode berikut ini:

2.2.1.      Inline (dalam jalur jaringan)

Sebuah sensor inline digunakan agar setiap lalu lintas jaringan itu melewati sensor ini, seperti arus lalu lintas pada firewall. Bahkan, beberapa sensor inline sudah terdapat dalam firewall, perangkat ini disebutperangkat hibrida. Tujuan utama untuk menggunakan sensor inline adalah untuk membuat IDPS dapat menghentikan serangan dengan memblokir lalu lintas jaringan. Sensor Inline biasanya ditempatkan di tempat firewall dan perangkat keamanan jaringan lainnya akan ditempatkan, contohnya di tempat antara jaringan eksternal dan internal. Sensor inline yang tidak digabung dengan firewall seringnya diletakkan di sisi yang lebih aman (internal) sehingga sensor ini hanya memiliki sedikit lalu lintas untuk diproses. Gambar 3 menunjukkan rangkaian penggunaan sensor inline ini. Sensor ini juga dapat ditempatkan di sisi yang kurang aman (eksternal) untuk menyediakan perlindungan dan mengurangi beban pada perangkat pembagi, seperti firewall.

 inline

Gambar 3 Contoh Arsitektur Jaringan yang Menggunakan Sensor Inline IDPS Berbasis Jaringan[1]

 2.2.2.      Pasif

Sebuah sensor pasif digunakan untuk memantau salinan lalu lintas jaringan yang sebenarnya, sebenarnya lalu lintas jaringan tersebut tidak benar-benar melewati sensor ini. Sensor pasif biasanya digunakan, sehingga mereka dapat memantau lokasi jaringan utama (penting), seperti aktivitas di subnet zona demiliterisasi (DMZ). Sensor pasif dapat memonitor lalu lintas melalui berbagai metode, sebagai berikut:

  • Spanning Port, biasanya switches memiliki spanning port, dimana dari sebuah port tersebut dapat dilihat seluruh lalu lintas jaringan yang melewati switch tersebut.
  • Network Tap, merupakan koneksi langsung antara sensor dengan media jaringan secara fisik, contohnya kabel UTP atau Fiber Optic. Network Tap ini menyediakan salinan seluruh lalu lintas jaringan yang melewati media tersebut kepada sensor.
  • IDS Load Balancer, merupakan suatu alat yang dapat mengumpulkan dan mengarahkan lalu lintas jaringan untuk memantau sistem, termasuk sensor IDPS.

Gambar 4 menunjukkan contoh arsitektur jaringan yang menggunakan sensor IDPS berbasis jaringan secara pasif.

 pasif

Gambar 4 Contoh Arsitektur Jaringan yang Menggunakan Sensor pasif IDPS Berbasis Jaringan[1]

3.      Kemampuan Pengamanan

IDPS berbasis jaringan menyediakan beberapa kemampuan pengamanan, mulai dari pengumpulan informasi, pembuatan log, pendeteksian dan pencegahan. Bahkan beberapa IDPS berbasis jaringan lainnya juga menyediakan fungsi Security Information and Event Management (SIEM), namun fungsi belum dibahas pada tulisan ini.

3.1.      Kemampuan Mengumpulkan Informasi

IDPS berbasis jaringan dapat memberikan layanan pengumpulan informasi, yang artinya IDPS dapat mengumpulkan informasi dari host dan aktivitas jaringan. Contoh kemampuan mengumpulkan informasi sebagai berikut:

  • Identifikasi Host. Sensor IDPS dapat membuat daftar host yang berada di jaringan organisasi berdasarkan IP address atau MAC address. Daftar tersebut dapat digunakan sebagai landasan untuk mengidentifikasi host baru dalam jaringan.
  • Identifikasi Operating System. Sensor IDPS dapat mengidentifikasi OS dan versi OS yang digunakan oleh setiap host dalam jaringan organisasi menggunakan beberapa cara. Salah satunya adalah menganalisa packet header yang identik tiap OSnya, metode ini disebut passive fingerprinting. Dengan mengetahui versi OS, dapat membantu untuk mengidentifikasi kelemahan yang mungkin muncul.
  • Identifikasi Aplikasi. Untuk beberapa aplikasi, sensor IDPS dapat mengidentifikasi versi aplikasi yang digunakan dengan mengetahui port mana yang digunakan dan memantau karakteristik komunikasi aplikasi tersebut. Dengan mengetahui versi aplikasi, dapat membantu untuk mengidentifikasi kelemahan yang mungkin muncul.
  • Identifikasi Karakteristik Jaringan. Beberapa sensor IDPS mengumpulkan informasi umum mengenai lalu lintas jaringan yang berhubungan dengan konfigurasi dari host dan peralatan jaringan. Informasi ini dapat digunakan untuk mendeteksi perubahan dari konfigurasi jaringan.

3.2.      Kemampuan Pembuatan Log

IDPS berbasis jaringan dapat melakukan pembuatan log dari data yang berhubungan dengan kejadian yang terdeteksi. Data ini dapat digunakan untuk mengonfirmasi kebenaran dari alarm, untuk menginvestigasi insiden, dan untuk menghubungkan kejadian antara yang disimpan oleh IDPS dan alat log lainnya. Data yang biasanya disimpan dalam log adalah sebagai berikut:

–          Timestamp (tanggal dan waktu)

–          Connection ID atau Session ID

–          Kejadian atau tipe peringatan

–          Rating (prioritas, dampak, severity, confidence)

–          Protokol Network, transport dan application layer

–          Alamat IP asal dan tujuan

–          Port TCP atau UDP asal dan tujuan, atau tipe ICMP dan kodenya

–          Jumlah bytes yang ditransmisi pada koneksi tersebut

–          Decoded payload data, seperti request dan response aplikasi

–          Informasi state-related (misalnya username yang terotentikasi)

–          Aksi preventif yang dilakukan (jika ada)

3.3.       Kemampuan Deteksi

IDPS berbasis jaringan dapat menyediakan kemampuan deteksi yang luas. Kebanyakan produk IDPS menggunakan kombinasi dari pendeteksian menggunakan signature-based, anomaly-based, dan stateful protocol analysis. Beberapa tipe kejadian yang dapat dideteksi oleh sensor IDPS berbasi jaringan adalah sebagai berikut:

  1. Serangan dan Reconnaissance pada Application Layer (misalnya banner grabbing, buffer overflows, serangan format string, penebakan password, dan transmisi malware). Reconnaissance merupakan kegiatan mengumpulkan informasi sebanyak-banyaknya mengenai korban untuk dapat memulai serangan. Kebanyakan IDPS berbasis jaringan menganalisa protokol aplikasi. Contohnya  Dynamic Host Configuration Protocol (DHCP), DNS, Finger, FTP, HTTP, Internet Message Access Protocol (IMAP), Internet Relay Chat (IRC), Network File System (NFS), Post Office Protocol (POP), rlogin/rsh, Remote Procedure Call (RPC), Session Initiation Protocol (SIP), Server Message Block (SMB), SMTP, SNMP, Telnet, dan Trivial File Transfer Protocol (TFTP), protokol database juga dianalisa, seperti aplikasi instant messaging, dan perangkat lunak peer-to-peer file sharing.
  2. Serangan dan Reconnaissance pada Transport layer (misalnya port scanning, fragmentasi paket yang tidak biasa, dan SYN floods). Protokol yang paling sering dianalisa adalah TCP and UDP.
  3. Serangan dan Reconnaissance pada Network layer (misalnya IP address palsu dan nilai IP header yang ilegal). Protokol yang paling sering dianalisa adalah IPv4, ICMP, and IGMP.
  4. Layanan Aplikasi yang Tidak Diharapkan (misalnya tunneled protocols, backdoors, dan Host menjalankan layanan aplikasi yang tidak terotorisasi). Hal ini biasanya terdeteksi melalui metode analisis stateful protocol, yang dapat menentukan apakah aktivitas dalam sambungan, konsisten dengan protokol aplikasi yang diharapkan, atau melalui metode deteksi anomali, yang dapat mengidentifikasi perubahan lalu lintas jaringan dan port yang terbuka pada host.
  5. Pelanggaran Kebijakan (misalnya pengaksesan web site yang dilarang dan menggunakan protokol aplikasi yang dilarang). Pelanggaran kebijakan dapat dideteksi oleh IDPS yang mengizinkan administrator untuk mengatur karakteristik dari aktivitas yang dilarang, seperti nomor port TCP atauUDP, IP address, nama web site, dan data lainnya yang dapat diidentifikasi dengan melihat lalu lintas jaringan.

3.4.      Kemampuan Pencegahan

IDPS berbasis jaringan memiliki beberapa kemampuan pencegahan. Berikut ini akan dijelaskan kemampuan tersebut berdasarkan jenis sensornya.

                    i.            Pasif saja

Mengakhiri Sesi TCP. Sebuah sensor pasif dapat mencoba untuk mengakhiri sesi TCP yang ada dengan mengirimkan paket reset TCP ke kedua belah pihak, hal ini kadang-kadang disebut session sniping. Sensor melakukan ini untuk membuat seolah-olah bahwa kedua belah pihak mencoba untuk mengakhiri sambungan. Tujuannya adalah agar salah satu pihak mengakhiri sambungan sebelum serangan terjadi.

                  ii.            Inline saja

–          Performing Inline Firewalling. Kebanyakan sensor IDPS yang inline memiliki kemampuan firewall yang dapat digunakan untuk drop atau menolak aktivitas jaringan yang mencurigakan.

–          Throttling Bandwidth Usage. Jika protokol tertentu digunakan secara tidak tepat, misalnya untuk serangan DoS, distribusi malware, atau file sharing peer-to-peer, beberapa sensor IDPS yang inline dapat membatasi bandwidth yang dapat digunakan. Hal ini mencegah dampak negatif penggunaan bandwidth untuk kegiatan lainnya.

–          Altering Malicious Content. beberapa sensor IDPS yang inline dapat membersihkan bagian dari sebuah paket, yang berarti bahwa konten berbahaya diganti menjadi konten jinak dan paket yang telah bersih dikirim ke tujuannya. Sebuah sensor yang bertindak sebagai proxy dapat melakukan normalisasi otomatis dari semua lalu lintas, seperti pengemasan ulang payload aplikasi dalam paket baru. Hal ini akan memiliki efek pembersihan beberapa serangan yang melibatkan header paket dan beberapa header aplikasi, baik IDPS telah mendeteksi serangan atau belum. Beberapa sensor juga dapat membuang lampiran e-mail yang terinfeksi dan menghapus bagian lain yang mengandung konten berbahaya dari lalu lintas jaringan.

 

                iii.            Pasif dan Inline

–          Konfigurasi Kembali Peralatan Keamanan Jaringan Lainnya. Banyak sensor IDPS dapat menginstruksikan perangkat keamanan jaringan seperti firewall, router, dan switch untuk mengkonfigurasi ulang dirinya sendiri untuk memblokir beberapa jenis kegiatan atau mengarahkan ke tempat lain. Hal ini dapat membantu dalam beberapa situasi, seperti menjaga jaringan dari seorang penyerang eksternal dan mengkarantina host internal yang telah dirusak (misalnya, pindah ke VLAN yang terkarantina). Teknik pencegahan ini hanya berguna untuk lalu lintas jaringan yang dapat dibedakan berdasarkan karakteristik paket header yang biasanya diakui oleh perangkat keamanan jaringan, seperti alamat IP dan nomor port.

–          Menjalankan Program atau Script dari Pihak Ketiga. Beberapa sensor IDPS dapat menjalankan script atau program yang ditentukan oleh administrator, kapan aktivitas berbahaya tertentu terdeteksi. Hal ini dapat memicu tindakan pencegahan yang diinginkan oleh administrator, seperti konfigurasi ulang perangkat keamanan lainnya untuk memblokir aktivitas berbahaya. Program atau script pihak ketiga biasanya digunakan ketika IDPS tidak mendukung tindakan pencegahan yang administrator ingin lakukan.

4.      Contoh Insiden yang Dapat Dideteksi dan Dicegah

Berdasarkan penjelasan pada poin 3, maka IDPS berbasis jaringan dapat mendeteksi dan mencegah beberapa insiden, diantaranya banner grabbing, buffer overflows, serangan format string, penebakan password, transmisi malware, port scanning, fragmentasi paket yang tidak biasa, SYN floods, IP address palsu, nilai IP header yang ilegal, tunneled protocols, backdoors, Host menjalankan layanan aplikasi yang tidak terotorisasi, pengaksesan web site yang dilarang dan menggunakan protokol aplikasi yang dilarang. Kemampuan deteksi dan pencegahan insiden tersebut bergantung dari konfigurasi IDPS yang digunakan.

5.      Contoh Perangkat Lunak IDPS

Contoh perangkat lunak IDS dan IPS berbasis jaringan adalah SNORT. Perangkat lunak ini merupakan freeware dan dapat digunakan siapa saja. Sedangkan untuk perangkat lunak unix-based, terdapat freeware BRO yang dapat digunakan. Gambar 5 menunjukkan lambang SNORT, sedangkan Gambar 6 menunjukkan lambang BRO.

snort             logo-bro

Gambar 5 Lambang SNORT[2]                              Gambar 6 Lambang BRO[3]

Referensi:

[1] Scarfone Karen, Mell Peter, “Network Based IDPS” in Guide to Intrusion Detection and Prevention Systems (IDPS),  Special Publication 800-94, National Institute of Standards and Technology, 2007.

[2] http://www.snort.org/

[3] http://www.bro.org/

M. Erza Aminanto – 23213058 & Gian N. L. – 13209104

2 thoughts on “Network Based IDPS (IDPS Berbasis Jaringan)”

Leave a Reply

Your email address will not be published. Required fields are marked *