Mitigation Strategy #32 – Langkah-langkah mudah blok IP address dari dalam network dengan konfigurasi router

Pendahuluan

Keamanan informasi menurut HISA framework [1] memiliki 3 buah komponen dimensi meliputi manusia, proses dan teknologi. Tiga buah komponen tersebut saling melengkapi satu sama lain demi terwujudnya keamanan informasi yang mendukung tujuan bisnis maupun organisasi. Persepsi yang beredar pada khalayak umum “teknologi yang canggih menjamin keamanan informasi”. Tentu hal tersebut tidak akan terjadi jika proses dan manusia yang menggunakannya tidak mengerti pentingnya keamanan informasi. Proses yang dimaksud merupakan prosedur kerja, kebijakan organisasi dan standar kerja yang melekat pada sistem untuk mencapai tujuan organisasi bagian keamanannya. Proses yang menjunjung tinggi keamanan informasi dapat dicapai bila pimpinan perusahaan atau organisasi telah sadar akan keamanan informasi. Sehingga faktor terakhir yang perlu diurus adalah manusia.

Ancaman yang berasal dari manusia

Manusia pada konteks ancaman dapat berupa faktor internal dan eksternal. Faktor eksternal dapat berupa pengguna layanan teknologi maupun orang luar yang mencoba menyerang sistem untuk kepentingannya. Faktor eksternal dapat diredam dengan pengamanan berlapis (defense in depth) yang dirancang dengan baik. Sama berbahayanya dengan faktor eksternal, faktor internal juga dapat menjadi ancaman paling besar, bahkan kebanyakan ancaman pada keamanan informasi muncul dari faktor internal[2]. Tidak seperti mesin yang mudah diatur dan sedikit variabel, manusia memiliki banyak variabel yang dapat menjadi vulnerabilities untuk di-exploit. Vulnerabilities tersebut meliputi lalai, lupa, ceroboh, tidak patuh dan banyak lagi yang bisa menjadi ancaman besar dalam keamanan informasi.

Dewasa ini, internet sudah menjadi hal yang wajib dalam suatu organisasi atau perusahaan. Kedatangan internet membantu suatu badan dalam konektivitas, produksi, penyimpanan data dan layanan lainnya yang tidak ditemui sebelumnya bahkan dengan harga yang relatif murah. Hanya saja selain keuntungan juga timbul ancaman yang sama besar dengan keuntungannya. Ancaman tersebut sesuai dengan model keamanan (gambar 1) yang membahayakan confidentiality, integrity dan availability[3] dari badan tersebut. Kembali merujuk tiga komponen sebelumnya dalam HISA framework yaitu manusia, proses dan teknologi. Manusia sebagai salah satu sebab kerentanan, harus diminimalisir khususnya dari bagian internal. Minimalisir ancaman tersebut beragam antara lain memberikan kesadaran pada manusianya, membuat kebijakan, hingga implementasi teknologi yang mendukung.

cia_triad

Gambar 1. Model Komponen Cyber Security

Ancaman dari dalam perusahaan atau organisasi sangat beragam. Hal yang biasa terjadi merupakan kecerobohan seperti menggunakan flashdisk, mencatat password di media fisik, tidak tertib dengan peraturan perusahaan, hingga kecerobohan dalam menggunakan internet.

Malicious Site

Tidak dapat dipungkiri bahwa kini banyak situs yang berbahaya[4]. Situs tersebut memungkinkan komputer pengunjung disusupi spyware, worm, trojan dan malicious code lainnya, baik dilindungi anti-virus maupun tidak. Untuk itu menjadi perlu adanya interfensi dari perusahaan atau organisasi untuk blok akses internet pada beberapa situs yang dikenal dan diduga mengandung malicious code.

Cara blok akses situs dari dalam memiliki metode dan implementasi yang beragam. Metode tersebut meliputi packet filtering, url block, domain block, dan lainnya. Begitu juga dengan implementasi yang memiliki beragam cara pula seperti setting router, proxy server, firewall, mikrotik, patch panel dan lainnya. Pada artikel ini dibahas langkah-langkah mudah blok IP address dari dalam jaringan pada router.

Blok IP address dapat dilakukan melalui berbagai cara meliputi router, proxy server dan firewall. Blok IP address dari dalam jaringan bertujuan agar pengguna tidak masuk ke dalam situs-situs berbahaya, yang dapat menurunkan produktifitas hingga faktor keamanan. Blok IP address lebih aman dibandingkan blok nama domain. Hal ini dikarenakan jika DNS server berhasil diserang dan mengarahkan suatu situs ke IP address yang tidak seharusnya (biasanya malicious), maka hal tersebut biasanya tidak terdeteksi oleh domain name filter. Tetapi hal tersebut tidak berlaku untuk IP address filtering, karena yang diblok adalah IP address-nya tidak peduli apapun nama domain-nya.

Blok melalui router

Router merupakan sebuah alat untuk mengirimkan paket data dalam jaringan komputer. Router kini menjadi hal yang umum dimiliki karena dapat membagi IP address publik menjadi beberapa IP address privat. Router baik yang disediakan oleh ISP hingga yang dapat dibeli di pasaran, tidak hanya memiliki fungsi routing saja tetapi juga memiliki fungsi memfilter paket. Hanya saja fungsi filter paket yang dimiliki router terbatas hingga beberapa IP address saja[5]. Sehingga bila dibutuhkan banyak IP address untuk di blok, lebih baik menggunakan firewall. Pada percobaan ini penulis menggunakan router TP-LINK sehingga untuk router lain harus disesuaikan konfigurasinya.

Langkah-langkah untuk blok IP address pada router TP-LINK sebagai berikut :
1. Masuk ke router admin yang biasa terdapat pada IP address 192.168.1.1

gambar2

Gambar 2. Address router gateway

2. Masukkan username dan password
gambar3

Gambar 3. Masukkan username dan password router3. Masuk ke access management > filter
gambar4

Gambar 4. Tampilan panel IP filtering

4. Kemudian set untuk index 1

5. Set interface PVC 1, hal ini karena PVC 0 digunakan untuk host, dan PVC terakhir untuk broadcast

6. Set direction menjadi incoming, hal ini karena kita inginkan blok akses situs dari dalam

7. Set Active menjadi yes

8. Pada kali ini dilakukan blok IP address sakana.com (50.62.230.1)

9. isi Source IP address dengan 0.0.0.0, subnet 0.0.0.0 dan port 0 (untuk mengikat seluruh user), isikan Destination IP address yang akan di blok 50.62.230.1, subnet 255.255.255.255 dan port 0

10. click save.

 

Verifikasi

Setelah melakukan konfigurasi tersebut maka diperlukan verifikasi. Verifikasi yang akan dilakukan adalah memanggil situs yang akan diblok berdasarkan domain namenya dan IP address-nya. Situs yang digunakan untuk diblok adalah sakanamn.com (50.62.230.1). Sebelum dilakukan konfigurasi diatas terlihat pada gambar 5 bahwa website dapat diakses.

gambar5

Gambar 5. Sebelum filter IP address dinyalakan

gambar6

Gambar 6. Setalah filter dinyalakan percobaan dengan IP address

gambar7

Gambar 7. Setelah filter dinyalakan percobaan dengan nama domain

Setelah dinyalakan IP address filtering, maka dihasilkan tampilan seperti pada gambar 6 dan gambar 7. Pada gambar 6 verifikasi ini dicoba masukan IP address dan terlihat bahwa ditampilkan request time out. Sedang pada gambat 7 verifikasi ini dicoba dengan masukan nama domain dan tertampilkan hasil request time out. Hasil menunjukkan filter berhasil dilakukan, dengan hasil IP address yang ingin diakses maupun domain name tidak memberikan respon. Hal tersebut menghasilkan request time out karena terdapat batasan waktu dari browser untuk memproses request yang tidak kunjung datang.

Kesimpulan

Dari hasil tersebut maka dapat diimplementasikan blok IP address menggunakan router. Blok IP address dengan router terbatas oleh jumlah yang dapat diblok, sehingga jika membutuhkan IP address yang diblok dalam jumlah banyak akan lebih baik menggunakan web proxy atau firewall. Langkah-langkah diatas cukup mudah diimplementasikan pada network yang kecil yang tidak membutuhkan memblok banyak IP address.

-M. Fadhli Zakiy (232 13 127) & Renard X. A. Pramono (232 13 031)-

Referensi

1. HISA framework, Hogan Kusnadi, [online diakses pada 23 Oktober 2013]
http://www.aptika.kominfo.go.id/forumegov2011/unduh.php?name=forum-egov3.pptx&ei=_qRuUsvcHceNrQfq0YCwCg&usg=AFQjCNHWXQJmX4ucap9KW0g4iZjWvcUq0g&sig2=sz_jKi32GOAI27I7SfLblA&bvm=bv.55123115,d.bmk
2. Sambutan Kapusdatin Kemhan pada pembukaan Workshop Keamanan Informasi, [online diakses pada 25 Oktober 2013]
http://pusdatin.kemhan.go.id/artikel.php?id_artikel=6
3. Confidentiality, Integrity, and Availability, [online diakses pada 30 Oktober 2013]
http://it.med.miami.edu/x904.xml
4. Malware Domain List, [online diakses pada 30 Oktober 2013]
http://www.malwaredomainlist.com/mdl.php
5. TP-LINK user guide
http://www.tp-link.com/resources/document/TD-W8901N_V1_User_Guide_191001.pdf

Multi Factor Authentication

Seiring dengan perkembangan teknologi informasi dan komunikasi, semua pekerjaan yang dilakukan oleh manusia perlahan-lahan terkomputerisasi. Penggunaan teknologi baru pada suatu perusahaan ataupun organisasi dapat membantu kinerja dan memberikan manfaat bagi perusahaan atau organisasi tersebut. Selain itu, penggunaan teknologi juga dapat memberikan dampak negatif apabila tidak terdapat kendali yang tepat. Sebagai contoh adalah perusahaan perbankan yang saat ini sudah menerapkan kemudahan akses melalui internet ataupun sms yang biasa disebut dengan e-banking dan sms-banking. Keamanan terhadap informasi seorang nasabah sangat diutamakan dalam usaha perbankan. Apabila kendali terhadap informasi nasabah yang rahasia tidak diterapkan dengan baik, seorang yang berniat jahat dapat mencuri informasi milik nasabah dan dapat mengakses segala informasi yang dimiliki nasabah.

Autentikasi merupakan cara untuk mengetahui apakah pengguna yang mengakses ke suatu sistem merupakan pengguna yang berhak dan sesuai atau tidak. Untuk memperkuat keamanan pada suatu sistem, autentikasi terhadap banyak faktor yang berhubungan dengan pengguna digunakan sehingga autentikasi tersebut tidak hanya password saja atau PIN saja. Autentikasi biasa digunakan pada sistem yang penggunanya mengakses sistem tersebut dari jauh, atau ketika seorang pengguna mengakses sebagai hak penuh, dan mengakses database yang berisi informasi rahasia. Dengan Autentikasi banyak faktor memverifikasi identitas pengguna dengan menggunakan dua dari tiga mekanisme berikut:

  1. Sesuatu yang diketahui pengguna, seperti password atau passphrase atau PIN
  2. Sesuatu yang dimiliki pengguna, seperti token atau sertifikat software
  3. Sesuatu yang berada di pengguna, seperti sidik jari atau retina

 

Ketika autentikasi banyak faktor diterapkan dengan benar, seorang penyerang akan lebih sulit untuk mengakses sistem dan mendapatkan informasi-informasi rahasia. Hal ini disebabkan karena seorang pengguna harus memktikan bahwa pengguna memiliki akses secara fisik kepada faktor kedua yang dimiliki oleh pengguna (contoh: paspor, token, kartu autentikasi) atau yang berada di diri pengguna (contoh: sidik jari, retina, kontur wajah) atau menggunakan kode yang berubah-ubah setiap kali pengguna ingin mengakses sebuah sistem.

Beberapa kombinasi faktor-faktor autentikasi yang biasa digunakan adalah:

  1. Token yang dapat membangkitkan angka acak yang digunakan sebagai PIN atau password
  2. Smartcard yang digunakan bersama dengan smartcard-reader dan PIN atau password
  3. Kode acak yang berubah-ubah setiap pengguna mengakses sistem yang dikirimkan lewat SMS dan digunakan bersama dengan PIN atau password
  4. Biometrik seperti sidik jari atau tekstur wajah yang digunakan bersamaan dengan PIN atau password
  5. Sertifikat software yang disimpan di dalam komputer pengguna atau perangkat media penyimpanan yang dapat diakses dengan menggunakan PIN atau password

 

Setiap kombinasi autentikasi banyak faktor memiliki kelebihan dan kekurangannya masing-masing. Penggunaannya harus disesuaikan dengan kebutuhan sistem yang akan digunakan. Autentikasi banyak faktor yang penerapannya tidak baik dapat menyebabkan masalah keamanan dan dapat menimbulkan kerentanan terhadap sistem. Autentikasi banyak faktor menjadi sangat efektif apabila salah satu faktornya terpisah secara fisik dari komputer tempat pengguna mengakses sistem, seperti menggunakan token. Ada beberapa hal yang harus diperhatikan untuk memaksimalkan efektifitas dari autentikasi banya faktor:

  1. Server tempat autentikasi tidak terhubung ke jaringan lain selain untuk autentikasi. Hal ini dapat dilakukan dengan:
    1. Mengaplikasikan semua saran keamanan dari produk yang dikeluarkan oleh vendor
    2. Mengimplementasikan atau membagi-bagi jaringan sesuai dengan ranah kerjanya untuk membatasi mesin dan pengguna yang di dalam jaringan yang dapat mengakses server tempat autentikasi
    3. Pengguna menggunakan password atau PIN yang sulit dan kompleks sebagai langkah keamanan apabila token atau informasi lainnya mengenai autentikasi dikopi, hilang, atau dicuri
    4. Jika tidak menggunakan autentikasi banyak faktor, PIN atau password pengguna yang digunakan untuk akses ke sistem dari jauh sebaiknya berbeda dengan password pengguna yang biasa untuk akses ke jaringan.
    5. Pengguna tidak menyimpan perangkat token dengan perangkat tempat pengguna melakukan akses ke sistem dari jauh.

 

Beberapa contoh teknik dan metoda autentikasi banyak faktor :

Autentikasi banyak faktor berdasarkan token dan waktu akses yang tersinkronisasi

Pengguna diberikan sebuah perangkat token yang memiliki layar dan menampilkan angka yang hanya berlaku dalam jangka waktu tertentu saja (seperti RSA SecurID dan Vasco token). Ketika pengguna ingin mengakses sistem, server autentikasi menyamakan waktu dari kedua perangkat, server dan perangkat pengguna yang digunakan untuk mengakses server, kemudian server autentikasi mengetahui kode apa yang akan keluar pada semua token yang saat itu ingin mengakses server.

DP_go3_2 SD520

Gambar 1. Salah satu contoh produk token satu tombol buatan vasco dan token buatan securID (sumber: http://www.vasco.com/Images/DP_go3_2.jpg dan http://www.tokenguard.com/images/tokens/SID900.gif)

Apabila pengguna mengautentikasi diri untuk masuk ke sistem dengan menggunakan username, PIN atau password, dan kode yang keluar dari token,  maka server autentikasi barulah dapat menyimpulkan apakah pengguna memiliki hak akses ke sistem atau tidak. Jika digunakan dengan cara yang benar, metode ini merupakan metode yang paling efektif untuk melakukan autentikasi banyak faktor. Karena apabila seorang penyerang sistem mengetahui kode apa yang dimasukkan oleh pengguna, kode tersebut sudah tidak berlaku sehingga informasi kode tersebut tidak berguna. Hal yang harus dilakukan untuk memaksimalkan keamanan dan efektifitas metode ini:

  1. Waktu berlakunya kode token diatur menjadi secepat mungkin
  2. Pengguna diberitahu untuk melapor apabila token hilang
  3. Pengguna harus mengetahui bahwa pengguna tidak boleh memberikan informasi tentang token mereka (seperti nomor seri token)

 

Autentikasi banyak faktor berdasarkan smartcard dan sertifikat

Pengguna menggunakan smartcard beserta readernya yang terhubung ke komputer ketika pengguna ingin mengakses sebuah sistem. Software yang terdapat pada komputer pengguna menyediakan PIN atau password untuk mengakses smartcard, kemudian software tersebut melakukan verifikasi terhadap pengguna dan menandatangani permintaan akses dengan kunci privat pengguna. Setelah itu permintaan akses yang sudah ditanda-tangani dicek oleh server autentikasi dan akan ditentukan apakah pengguna yang bersangkutan memiliki hak akses atau tidak.

gemalto-products

Gambar 2. Contoh smart card yang digunakan untuk keamanan beserta reader-nya (sumber: http://cardps.com/content/images/gemalto/gemalto-products.png)

Metoda autentikasi banyak faktor seperti ini memiliki kerentanan karena software yang menandatangani permintaan akses terdapat di komputer tempat pengguna ingin mengakses sistem. Jika penyerang dapat menguasai komputer pengguna maka software tersebut dapat diketahui data-datanya, dan ketika proses sedang berlangsung dapat dicegat dan penyerang mengirim permintaan akses palsu dan berusaha memiliki hak akses. Contoh serangan seperti ini telah terdokumentasikan pada laporan Mandiant M-Trends 2011. Hal yang harus dilakukan untuk memaksimalkan keamanan dan efektifitas adalah:

  1. Kunci dari Certification Authority dilindungi dengan baik, seperti tersimpan pada Hardware Security Module, dan backup kunci aman secara fisik dan tersimpan secara offline.
  2. Komputer yang digunakan pengguna untuk mengakses sistem dipastikan aman dan tidak rentan. Hal ini dapat dicapai dengan melakukan pembaharuan program anti-virus dan menggunakan firewall dan IDS,
  3. Pengguna mendapatkan informasi secara visual setiap kali terdapat permintaan akses yang mengharuskan pengguna memasukkan PIN atau password sehingga dapat mendeteksi permintaan akses yang tidak benar,
  4. Pengguna tidak membiarkan smartcard di dalam reader. Untuk membuat lebih aman maka dapat digunakan smartcard yang contactless,
  5. Kapasitas penyimpanan smartcard dibuat secukupnya sekecil mungkin sehingga aplikasi yang terdapat di smartcard tidak dapat menerobos keamanan sistem,
  6. Menggunakan smartcard yang telah terbukti aman dan pengguna diinstruksikan untuk melapor apabila smartcard yang dimiliki hilang,

 

Autentikasi banyak faktor berdasarkan SMS dan kode satu kali

Metode ini menggunakan media telepon seluler sebagai faktor kedua untuk melakukan autentikasi. Nomor telepon seorang pengguna telah dimiliki oleh sistem dan biasanya diminta ketika pengguna mendaftar ke sistem pertama kali. Ketika pengguna ingin mengakses sistem, sistem akan mengirim pesan berupa kode ke telepon seluler pengguna dan kode tersebut hanya berlaku dalam jangka waktu tertentu dan berubah-ubah setiap pengguna ingin melakukan akses ke sistem. Ketika pengguna ingin masuk ke sistem, sistem akan menanyakan username, password, beserta kode unik yang diberikan melalui pesan singkat dan kemudian sistem melakukan pengecekan apakah pengguna memiliki hak akses atau tidak.

sms-token

Gambar 3. Tampilan yang didapat pengguna ketika mendapat token melalui SMS (sumber: http://www2.safenet-inc.com/sas/img/sms-token.png)

Salah satu contoh produk layanan yang menyediakan autentikasi melalui SMS adalah SafeNet SMS token. Kelebihan menggunakan metode ini adalah metode ini menggunakan kode yang hanya berlaku dalam jangka waktu tertentu dan menggunakan faktor kedua yang telah dimiliki oleh pengguna sehingga dapat mengurangi biaya yang dikeluarkan oleh sistem. Akan tetapi terdapat beberapa kekurangan seperti:

  1. Jaringan telepon seluler tidak dapat dikendalikan oleh sistem sehingga apabila jaringan telepon seluler tidak berjalan dengan baik maka akan mempengaruhi ketersediaan layanan sistem.
  2. Apabila pengguna menggunakan telepon seluler untuk mengakses internet, maka pesan berisi kode yang diterima sudah tidak terbatasi aksesnya karena perangkat telepon seluler terhubung ke internet
  3. Jaringan telepon seluler tidak aman sehingga SMS dapat disadap. Akan tetapi jika kode yang dikirim ke telepon seluler sudah tidak berlaku, penyerang tidak dapat memanfaatkan kode untuk mengakses sistem

Hal yang harus diperhatikan untuk memaksimalkan keamanan dan efektifitas adalah:

  1. Waktu berlakunya kode yang dikirim ke telepon seluler diatur menjadi sekecil mungkin
  2. Pengguna diberitahu untuk melapor apabila telepon seluler mereka hilang atau dicuri, atau apabila pengguna mengganti nomor telepon

 

Autentikasi banyak faktor berdasarkan data biometrik pengguna

Mekanisme autentikasi banyak faktor seperti ini mensyaratkan pengguna untuk memasukkan PIN atau password dengan dilengkapi data biometrik pengguna seperti sidik jari atau pengenalan tekstur wajah yang akan dibandingkan dengan data yang terdapat pada server autentikasi. Jika data yang dimasukkan oleh pengguna valid, maka hak akses akan diberikan kepada pengguna. Jika tidak sesuai maka akan ditolak.

eikontouch700_thumb

Gambar 4. Fingerprint reader sebagai autentikasi biometrik (sumber: http://www.digitalpersona.com/uploadedImages/Biometrics/Hardware_Products/TouchChip_Family/USB_Silicon_Readers/eikontouch700_thumb.jpg)

Jika metode ini diterapkan dengan baik, maka metode ini merupakan metode yang paling aman dari semua metode autentikasi banyak faktor. Akan tetapi untuk mendapatkan teknologi biometrik yang baik dibutuhkan biaya yang tidak murah karena impelemtasi biometrik melibatkan identitas privasi seorang pengguna yang harus dijamin dan tidak boleh terjadi kesalahan ataupun pencurian identitas. Seperti halnya autentikasi yang berdasarkan smartcard, kerentanan pada metode ini disebabkan oleh software yang terpasang pada komputer pengguna. Apabila penyerang sistem dapat menguasai komputer maka teknik yang sama seperti pada smartcard dengan berpura-pura menjadi user yang sah dapat dilakukan. Efektifitas autentikasi berdasarkan teknologi biometrik ini sangat bergantung kepada teknologi biometrik yang digunakan dan software yang mengolah data pada komputer pengguna untuk mencegah terjadinya kesalahan negatif (menolak permintaan hak akses yang seharusnya hak aksesnya diterima) dan kesalahan positif (memperbolehkan permintaan hak akses yang seharusnya dilarang). Biaya penggunaan dan penerapan teknologi biometrik yang tidak murah membuat teknologi biometrik masih sulit untuk diterapkan. Hal-hal yang harus diperhatikan untuk memaksimalkan keamanan dan efektifitas dari metode ini adalah:

  1. Komputer yang digunakan pengguna untuk mengakses sistem dipastikan aman dan tidak rentan. Hal ini dapat dicapai dengan melakukan pembaharuan program anti-virus dan menggunakan firewall dan IDS.
  2. Pengguna mendapatkan informasi secara visual setiap kali terdapat permintaan akses yang mengharuskan pengguna memasukkan PIN atau password sehingga dapat mendeteksi permintaan akses yang tidak benar.
  3. Perangkat pembaca dan software biometrik yang baik harus digunakan untuk memperkecil resiko terjadinya kesalahan negatif dan kesalahan positif.

Metode autentikasi alternatif selain biometrik harus digunakan apabila ada seorang pengguna yang tidak dapat menggunakan metode biometrik.

 

Autentikasi banyak faktor berdasarkan sertifikat software

Ketika pengguna ingin mengautentikasikan diri dan melakukan akses ke sistem, sistem tersebut mengakses sertifikat software yang dimiliki pengguna yang tersimpan di dalam file di media penyimpanan yang dimiliki pengguna. Ketika file sertifikat ditemukan, pengguna diminta untuk memasukkan PIN atau password untuk mengakses database sertifikat. Apabila sukses, maka software yang terdapat pada komputer pengguna membantu pengguna untuk menandatangani permintaan akses dengan kunci privat milik pengguna. Server autentikasi kemudian melakukan verifikasi bahwa permintaan akses yang telah ditandatangani oleh pengguna adalah valid dan menentukan apakah pengguna memiliki hak akses ke sistem atau tidak. Contoh dari autentikasi menggunakan sertifikat terdapat pada sistem operasi telepon genggam android. Pada sistem operasi android, ketika seorang pengembang aplikasi membuat aplikasi, maka dibutuhkan sertifikat pada aplikasi yang dibuat agar dapat dipublikasikan dan dikomersialisasikan. Sertifikat yang terdapat pada aplikasi tersebut ditandatangani oleh para pengembang aplikasi dengan kunci privat mereka. Aplikasi pada sistem operasi android terdiri dari dua tipe yaitu debug dan release, aplikasi debug dapat dipasang di perangkat android pengguna apabila pengguna mengatur pengaturan dan mengizinkan agar aplikasi tersebut diinstall akan tetapi belum ditanda tangani oleh pengembang aplikasi, sedangkan aplikasi release merupakan aplikasi yang sudah siap untuk didistribusikan di google play (toko aplikasi online android). Apabila aplikasi android tidak ditandatangani maka aplikasi tersebut tidak dapat dipasang pada perangkat android pengguna. Autentikasi berdasarkan sertifikat software ini merupakan metode autentikasi banyak faktor yang paling sedikit diminati karena pada penggunaannya salah satu faktornya (yaitu software sertifikat) tidak terpisah dengan komputer tempat pengguna mengakses sistem sehingga seorang penyerang yang telah menguasai komputer pengguna dapat dengan mudah memanipulasi software sertifikat yang terdapat di komputer pengguna. Hal yang harus dilakukan untuk memaksimalkan  keamanan dan efektifitas metode ini adalah:

  1. Komputer yang digunakan pengguna untuk mengakses sistem dipastikan aman dan tidak rentan. Hal ini dapat dicapai dengan melakukan pembaharuan program anti-virus dan menggunakan firewall dan IDS.
  2. Pengguna mendapatkan informasi secara visual setiap kali terdapat permintaan akses yang mengharuskan pengguna memasukkan PIN atau password sehingga dapat mendeteksi permintaan akses yang tidak benar.
  3. Simpan sertifikat atau kunci di database sistem operasi daripada di sebuah file yang terdapat di hard disk.

Referensi

  1. (internet) http://www.asd.gov.au/publications/Top_35_Mitigations_Details_2012.htm
  2. (internet) http://www.asd.gov.au/publications/csocprotect/multi_factor_authentication.htm

 

Oleh :

Muhammad Abduh / 23213153

Retri Derry Febritiandar / 23213057

Application-Based Workstation Firewall – Incoming Traffic

Firewall

Firewall pada dasarnya merupakan sebuah filter. Firewall, bisa merupakan sebuah perangkat lunak ataupun perangkat keras, berfungsi untuk menghadang informasi terlarang keluar / masuk sistem dan mengijinkan informasi yang telah disetujui keluar / masuk sistem.

Firewall beroperasi dengan memantau dan memblokir semua informasi, baik keluar ataupun masuk ke sistem, yang tidak memenuhi kebijakan-kebijakan (rules) yang telah dikonfigurasi. Penerapan firewall dibagi menjadi dua kategori yaitu firewall jaringan dan firewall host. Firewall jaringan adalah firewall yang memantau informasi yang keluar / masuk sebuah jaringan, sedangkan firewall host adalah firewall yang memantau informasi yang keluar / masuk  sebuah komputer tanpa memperdulikan jaringan tempat komputer tersebut diletakkan.

Firewall Incoming
Firewall Incoming

Beberapa lembaga keamanan di dunia memasukkan konfigurasi firewall kedalam salah satu bagian terpenting yang perlu diawasi. Australia dalam laporan Strategies to Mitigate Targeted Cyber Intrusions membagi firewall ke dalam dua model yang berbeda yaitu firewall untuk memfilter informasi yang masuk (incoming) dan informasi yang keluar (outgoing). Pada artikel ini akan dijelaskan lebih detail mengenai firewall untuk memfilter informasi yang masuk (incoming) pada sistem berbasis Microsoft Windows (firewall host).

 Penerapan Firewall Host untuk Memfilter Informasi yang Masuk

Firewall host merupakan perangkat lunak yang terinstalasi pada komputer host dan mempunyai fungsi untuk melakukan filter atas informasi yang keluar ataupun masuk ke komputer tersebut. Karena komputer tersebut dapat digunakan untuk berbagai fungsi, firewall hanya merupakan sebuah bagian kecil dari komputer tersebut berbeda dengan komputer yang khusus berfungsi sebagai firewall jaringan. Fitur-fitur pada perangkat lunak firewall host biasanya tidak selengkap firewall jaringan seperti adanya fitur Intrusion Detection System (IDS).

IDS merupakan fitur yang memakan sumber daya pemrosesan secara intensif (processing-intensive) dan membutuhkan biaya pengoperasian yang tinggi. Selain itu, IDS seringkali melakukan kesalahan yang menganggap sebuah informasi tidak berbahaya adalah informasi yang mengancam sistem sehingga menghasilkan pemberitahuan yang salah (false alarm). Setiap pemberitahuan yang dihasilkan oleh IDS perlu dipantau sehingga staff operasional dapat melakukan tindak lanjut apabila mendapat pemberitahuan berbahaya dan mengabaikan apabila pemberitahuan tersebut salah. Karena alasan-alasan tersebut, fitur-fitur lanjut seperti IDS hanya digunakan oleh firewall jaringan. Firewall host umumnya mempunyai cara kerja dengan metode pemfilteran paket (packet filtering).

Pemfilteran Paket (Packet Filtering) untuk Memfilter Informasi yang Masuk

Kegunaan utama dari firewall adalah pemfilteran lalu lintas informasi. Khusus untuk filter informasi yang masuk, firewall menginspeksi paket data saat masuk ke sistem dan mengecek apakah paket data tersebut memenuhi kriteria firewall yang telah didefinisi oleh administrator agar firewall dapat memberi ijin ataupun menolak paket data tersebut. Firewall akan menolak semua paket data yang tidak memenuhi kriteria firewall. Ada 2 macam penerapan kebijakan kriteria firewall yaitu menggunakan daftar ijin (whitelist) dan daftar tolak (blacklist). Dengan menerapkan whitelist, firewall akan menolak semua paket data yang tidak memenuhi kriteria dalam daftar tersebut dan hanya mengijinkan paket data yang memenuhi kriteria dalam daftar. Sedangkan dengan menerapkan blacklist, firewall akan menerima semua paket data yang tidak memenuhi kriteria dalam daftar tersebut dan menolak semua paket yang memenuhi kriteria dalam daftar.

Berikut adalah atribut-atribut utama pada TCP/IP yang digunakan untuk membuat kriteria pemfilteran paket:

  • Alamat IP sumber
  • Alamat IP tujuan
  • Protokol IP
  • Port TCP dan UDP sumber
  • Port TCP dan UDP tujuan
  • Antarmuka tempat datangnya paket (The interface where the packet arrives)
  • Antarmuka tempat tujuan paket (The interface where the packet is destined)

Pembuat aplikasi umumnya sudah merancang aplikasi buatannya agar dapat berjalan melalui firewall jaringan dan firewall host. Khusus untuk firewall host, biasanya apabila sebuah aplikasi akan terhubung dengan internet untuk pertama kalinya maka akan ada pemberitahuan kepada pengguna (dengan akses administrator) dan pengguna dapat menentukan apakah aplikasi tersebut diijinkan atau ditolak untuk terhubung dengan internet. 

Kriteria Windows Firewall untuk Remote Desktop
Kriteria Windows Firewall untuk Remote Desktop
Kriteria ZoneAlarm untuk Remote Desktop
Kriteria ZoneAlarm untuk Remote Desktop

Kedua contoh gambar di atas adalah contoh dari penerapan kriteria pada dua perangkat lunak firewall host (Windows Firewall dan ZoneAlarm) untuk mengijinkan paket data Remote Desktop dapat melewati firewall. Pada contoh kriteria firewall di atas digunakan filter atribut port TCP yang digunakan oleh aplikasi Remote Desktop yaitu port 3389. Selain menggunakan port, biasanya perangkat lunak firewall host yang ada saat ini dapat menggunakan atribut aplikasi tanpa perlu mengetahui portnya seperti pada contoh gambar di bawah ini.

Kriteria Windows Firewall untuk aplikasi µTorrent
Kriteria Windows Firewall untuk aplikasi µTorrent

Contoh Perangkat Lunak Firewall yang Dapat Digunakan

Banyak tersedia perangkat lunak firewall  pihak ketiga yang dapat dijadikan alternatif apabila perangkat lunak yang sudah ada (Windows Firewall) dirasa tidak sesuai. Berbagai jenis proteksi yang disediakan cukup beragam sehingga dapat dibagi menjadi dua kategori yaitu basic firewall dan firewall dengan HIPS (Host Intrusion Prevention System).

Basic firewall merupakan firewall yang membatasi akses terhadap sistem baik pembatasan dari luar ke dalam maupun pembatasan dari dalam ke luar sistem. Sedangkan firewall dengan HIPS merupakan firewall yang secara aktif melakukan pengawasan terhadap aktivitas-aktivitas mencurigakan pada sistem sebelum malware mendapat kesempatan untuk mengambil alih komputer. HIPS sendiri merupakan sebuah program yang bertujuan untuk mempertahankan integritas sistem yang dilindungi dengan cara mencegah perubahan krusial pada sistem dari sumber-sumber yang tidak diketahui. Umumnya HIPS memberi tahu pengguna apabila akan ada perubahan pada sistem dan membutuhkan otorisasi dari pengguna untuk melakukan perubahan tersebut.

Beberapa contoh perangkat lunak basic firewall pihak ketiga untuk Microsoft Windows adalah:

Beberapa contoh perangkat lunak firewall dengan HIPS pihak ketiga untuk Microsoft Windows adalah:

 

Proteksi Terhadap SSH Dictionary Attacks dengan Menggunakan Firewall untuk Memfilter Informasi yang Masuk

Salah satu contoh kegunaan dari filter informasi yang masuk oleh firewall adalah mencegah SSH dictionary attacks yang merupakan salah satu bentuk umum serangan pada jaringan internet. Komputer-komputer host yang telah dikuasai oleh penyerang akan secara terus-menerus mencari komputer host lain di internet yang membuka port 22 (SSH scanning) yang merupakan port default SSH, dan ketika berhasil menemukan komputer yang membuka port 22 maka komputer yang telah dikuasai penyerang akan mencoba masuk (login) menggunakan daftar berbagai kombinasi username dan password (dictionary of usernames and passwords) yang sudah mereka miliki. Apabila penyerang dapat masuk ke komputer yang membuka port 22 tersebut maka penyerang dapat menggunakan komputer tersebut untuk melakukan serangan lebih lanjut seperti melakukan SSH scanning, denial of service attacks, dan menyimpan konten ilegal.

Ilustrasi SSH dictionary attacks
Ilustrasi SSH dictionary attacks

Berbagai cara dapat dilakukan untuk mencegah SSH dictionary attacks namun salah satu cara yang dapat digunakan adalah dengan cara menggunakan firewall untuk memfilter informasi yang masuk. Kriteria firewall dapat diatur menggunakan port sumber informasi dan alamat sumber informasi sehingga hanya alamat-alamat yang terpercaya saja yang bisa mengakses port SSH yaitu port 22.

 Sumber

Ditulis oleh:  Adrian Dwiananto A (23212035) & Mulkan Fadhli (23212034)

Web Content Filtering

Mukti Winanda/23213094  & Rizka Widyarini/23213018

v:* {behavior:url(#default#VML);}
o:* {behavior:url(#default#VML);}
w:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
Pengertian Web Content Filtering

Web content filtering merupakan saringan konten website yang digunakan oleh perorangan, kelompok, maupun organisasi untuk melakukan penyaringan terhadap situs-situs yang tidak diperbolehkan oleh pihak berwenang maupun yang tidak berhubungan dengan tujuan bisnis atau organisasi agar tidak dapat diakses.

Penyaringan konten perangkat lunak serta akses terhadap website yang aman oleh pengguna merupakan penggambaran perangkat lunak yang dirancang untuk membatasi atau mengontrol isi dari website yang diakses oleh pengguna, dan juga ketika membatasi bahan yang disampaikan melalui internet via web, e-mail, atau cara lain.

Kendali konten perangkat lunak nantinya akan menentukan konten apa saja yang tersedia maupun konten-konten yang tidak boleh diakses atau diblokir. Pembatasan tersebut dapat diterapkan di berbagai tingkatan: perorangan, kelompok, sekolah (pendidikan), organisasi, maupun pada penyedia jasa layanan internet (Internet Service Provider).

Pemasangan Web Content Filtering

Posisi yang tepat dalam penempatan web filtering dapat mengoptimalkan penggunaan dari filtering tersebut. Dalam hal pemasangan web content filtering, dapat dilakukan pada tiga tempat, yaitu:

1. Terpasang di komputer pribadi / Laptop pengguna

2. Terpasang di jaringan lokal baik di rumah, kantor, sekolah, dan kampus

3. Terpasang di Internet Service Provider (ISP)

1.  Komputer Pribadi / Laptop Pengguna

Saringan ataupun filtering yang tersedia pada pengguna pribadi umumnya berbentuk aplikasi yang dapat diunduh dari internet maupun yang berbentuk plugin yang terpasang pada browser.  Banyak aplikasi yang beredar untuk melakukan  saringan ini dan dapat dengan mudah diperoleh melalui situs internet.

Sebagian besar filtering yang beredar merupakan buatan perusahaan/organisasi dari Eropa dan Amerika, sehingga kategorisasi situs yang diberikan tentu berdasarkan aturan/budaya negara ini.  Pada negara- negara tersebut, yang menjadi konsentrasi dalam melakukan filtering adalah pornografi anak seperti halnya playboy.com. Situs tersebut merupakan pornografi namun bagi mereka situs ini termasuk kategori dewasa (adult content).  Inilah yang harus menjadi konsiderasi kita dalam memilih saringan baik yang akan dijalankan pada komputer pribadi.

Aplikasi penyaringan yang berjalan di komputer rata rata memiliki dua versi, yaitu gratis dan berbayar.  Fitur yang tersedia di aplikasi yang berbayar tentu akan berbeda jauh dengan yang versi gratis. Kelebihan jika saringan tersebut terpasang di komputer pribadi ialah dapat di sesuaikan dengan kebutuhan penggunanya.

2. Jaringan lokal (rumah, kantor, sekolah/kampus)

Teknologi yang banyak digunakan untuk melakukan penyaringan di tingkat jaringan lokal baik itu dirumah, kantor, maupun sekolah atau warnet adalah Proxy.  Kita mengenal Squid Proxy sebagai aplikasi yang paling sering digunakan oleh para Sys Admin.  Dengan menambahkan beberapa komponen seperti Squid Guard atau Dansguardian maka Squid proxy tersebut akan berfungsi sebagai penyaring internet.  Dari sisi efektifitas, saringan berbasis pada proxy termasuk efektif apalagi jika diset sebagai transparant proxy.

Namun ada keterbatasan yang harus diperhitungkan:  jumlah database yang bisa di masukkan ke dalam sebuah proxy sebenarnya terbatas.  Dari hasil percobaan di tingkat warnet, jika database sudah mencapai angka 500.000 situs maka akan terjadi delay yang sangat mengganggu kenyamanan berselancar.  Ini tentu menjadi pertimbangan utama yang menunjukkan sistem seperti ini sebenarnya tidak cocok untuk di gunakan di tingkat yang lebih tinggi (ISP/Carrier) karena membutuhkan sumber daya yang sangat besar dan efek buruk pada delay yang besar.  Selain itu, proxy juga mengubah source IP Address dari pengguna dan dapat menjadi masalah dalam mengakses beberapa situs (contoh: situs file sharing).

Khusus untuk Dansguardian yang melakukan penyaringan dengan metoda kata kunci, akan memberikan kerepotan tersendiri karena Sys Admin harus merawat sebuah whitelist (daftar situs yang dibebaskan dari saringan walaupun berisi kata kunci yang ditetapkan).  Kesalahan penyaringan teknologi dengan metoda kata kunci memang lebih besar dibandingkan metoda blacklist (daftar situs yang perlu disaring). Di masa web 2.0 dimana situs umumnya memanfaatkan CMS (Content Management System) dan kata kunci saat ini bisa  dibuat otomatis oleh CMS berdasarkan kata yang terdapat pada halaman web, maka semua halaman dinamis yang memiliki kata porno bisa otomatis tersaring dan tidak bisa di akses oleh pengguna.  

3. Internet Service Provider (ISP)

Faktor yang perlu dipertimbangkan pada pemilihan teknologi penyaringan di tingkat Internet Service Provider (ISP) adalah efeknya pada unjuk kerja jaringan (delay).  Kiita tentu menginginkan teknologi yang digunakan tidak berakibat apapun terhadap unjuk kerja jaringan.  Selain itu pertimbangan lainnya adalah:  biaya per pengguna, efektifitas, kemudahan implementasi dan tentu sosialisasi di tingkat pengguna.  Persiapan pada tingkat consumer services sebagai garda depan pelayanan ISP juga harus dilakukan.   Sosialisasi yang baik akan mencegah protes dari pengguna sebab mereka telah diinformasikan sebelumnya jika akan terjadi penyaringan.  

Teknologi yang bisa di pertimbangkan untuk tingkat ISP adalah: DNS Poisoning, Pass-by Filter Appliance dan BGP Filtering.  Ketiga teknologi ini tidak memiliki efek pada unjuk kerja jaringan.  Yang membedakan ketiganya adalah biaya yang perlu dikeluarkan oleh pihak ISP.   Biaya yang paling perlu diperhitungkan justru bukan pada saat pertama kali memilih teknologi, namun pada biaya perawatan sistem terutama pada biaya pembaharuan database.   Seringkali sebuah teknologi terasa murah saat dibeli pertama kali namun menjadi beban operasional yang tinggi pada saat digunakan.   Perusahaan/organisasi pembuat sistem penyaringan sudah sangat mengerti akan pentingnya pembaharuan pada database agar efektifitas sistem terjaga dan otomatis sebuah pembaharuan database akan dihargai dengan biaya cukup tinggi.

Tipe/Jenis Filtering

Terdapat beberapa cara untuk melakukan filtering terhadap para pengguna yang ingin melakukan penjelajahan internet. Berikut merupakan beberapa cara untuk melakukan pembatasan akses kepada para pengguna:

Content-limited (or filtered) ISP: Merupakan penyedia layanan internet yang menawarkan akses ke hanya satu set bagian konten internet. Orang yang berlangganan pelayanan jenis ini tunduk pada pembatasan yang disediakan. Jenis filter ini berguna untuk melakukan pembatasan segala konten yang diberikan kepada pengguna.

Network-based filtering: filter jenis ini dilakukan pada transport layer sebagai transparan proxy, atau pada application layer sebagai web proxy. Penyaringan perangkat lunak termasuk didalamnya ialah fungsi untuk pencegahan kehilangan data. Semua pengguna yang tunduk pada kebijakan akses berdasarkan jaringan ini didefinisikan oleh lembaga. Penyaringan dapat disesuaikan, sehingga setiap perpustakaan sekolah menengah atas, dapat memiliki perbedaan profil penyaringan dibandingkan dengan perpustakaan sekolah menengah pertama.

Search-engine filters: banyak mesin pencari, seperti halnya Google dan Alta vista menawarkan pengguna pilihan untuk menyalakan sebuah filter yang aman. Ketika keamanan filter diaktifkan, maka akan disaring keluar link yang dirasa tidak pantas dari semua pencarian yang hasil. Jika pengguna tahu URL yang sebenarnya merupakan sebuah website yang menampilkan eksplisit konten orang dewasa, mereka memiliki kemampuan untuk akses konten tersebut tanpa menggunakan mesin pencari. Engines seperti Lycos, Yahoo dan Bing menawarkan versi kid-oriented yang hanya mengizinkan izin terhadap situs anak-anak yang ramah.

Pada pembahasan lebih lanjut, terdapat empat buah pilihan untuk penyaringan atau pembatasan konten yaitu: client based software, server based software, stand-alone appliances (hardware) and managed service.

  • Client based softwareKlien yang berbasis perangkat lunak dipasang pada workstation yang digunakan untuk menjelajahi internet. Perangkat lunak ini adalah tambahan pada web browser yang menawarkan penyaringan konten untuk level tertentu. perangkat lunak membutuhkan instalasi terpisah dan pemeliharaan untuk setiap workstation. Klien berbasis perangkat lunak dapat digunakan di lingkungan dengan jumlah pengguna yang terbatas, seperti perorangan, kelompok, maupun organisasi.
  • Server based softwareServer berbasis perangkat lunak dipasang pada host server seperti web server, proxy server, atau firewall dan dipelihara menggunakan perangkat lunak administrator. Server berbasis perangkat lunak memungkinkan untuk mengontrol pusat seluruh jaringan atau subnet tunggal pada satu instalasi. Karena perhatian dan biaya yang diperlukan, infrastruktur jaringan server-based perangkat lunak biasanya digunakan pada lingkungan menengah keatas.
  • Stand-alone applianceMerupakan perangkat hardware yang dapat diinstal pada jaringan dimana ingin dilakukan monitor dan penyaringan. Umumnya ini merupakan solusi lebih tinggi karena digunakan perangkat keras yang didedikasikan dan dioptimalkan untuk penyaringan. Solusi aplikasi dapat diskala untuk penyebaran dalam lingkungan kecil maupun besar.
  • Managed ServiceSolusi ini melibatkan sebagian outsourcing atau semua keamanan infrastruktur perusahaan termasuk penyaringan konten. Solusi keamanan dikelola dari pihak ketiga dan digunakan di semua lingkungan perusahaan.

Beberapa penyedia layanan internet (ISP) menyediakan penyaringan konten sebagai bagian dari penawaran suatu bisnis produk. Untuk mendapatkan informasi lebih banyak, pengguna dapat bertanya dan periksa penyedia jasa layanan lokal. Sistem penyaringan konten yang didedikasikan ialah yang dapat meningkatkan kinerja jaringan dan dapat mengontrol penggunaan bandwith. Produk penyaringan konten dapat juga digunakan dalam hubungannya dengan bloking yang dilakukan dengan firewall.

Berdasarkan empat jenis pilihan filter diatas, yang akan dibahas lebih lanjut pada artikel ini ialah client based software. Terdapat beberapa contoh perangkat lunak yang dapat digunakan dalam melakukan penyaringan konten, misalnya K9 Web Protection, Dans Guardian, maupun Squid Guard. Perangkat lunak yang berikutnya akan dijelaskan, fitur apa saja yang dimiliki, serta bagaimana cara menggunakannya ialah K9 Web Protection.

Contoh Software Untuk Web Content Filtering

Terdapat beberapa software yang dapat digunakan untuk melakukan web content filtering. Pada contoh kali ini, digunakan K9 Web Protection yang merupakan perangkat lunak bebas yang berkelas perusahaan dan di desain untuk pengguna individu, rumah, maupun organisasi.

Normal
0

false
false
false

EN-US
X-NONE
X-NONE

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:”Table Normal”;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:””;
mso-padding-alt:0in 5.4pt 0in 5.4pt;
mso-para-margin-top:0in;
mso-para-margin-right:0in;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0in;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:”Calibri”,”sans-serif”;
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:”Times New Roman”;
mso-bidi-theme-font:minor-bidi;}

Normal
0

false
false
false

EN-US
X-NONE
X-NONE

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:”Table Normal”;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:””;
mso-padding-alt:0in 5.4pt 0in 5.4pt;
mso-para-margin-top:0in;
mso-para-margin-right:0in;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0in;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:”Calibri”,”sans-serif”;
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:”Times New Roman”;
mso-bidi-theme-font:minor-bidi;}

Content 1

Serangan malware yang meningkatkan secara eksponensial setiap harinya, bahkan pada Bulan Agustus 2009 tercatat lebih dari 56,000 serangan phishing. Oleh karena itu, untuk melindungi komputer rumah maupun organisasi yang online dari berbagai jenis ancaman, dibutuhkan suatu keamanan yang kuat, serta solusi perlindungan yang tepat dan nyata.

Dengan perlindungan dari K9 Web Protection, pengguna tidak perlu menunggu untuk memperoleh upgrade keamanan terbaru seperti list dari ancaman website terkini, namun K9 Web Protection akan memberikan perlindungan yang komprehensif yang diperlukan secara otomatis. Dengan K9 Web Protection, pengguna perorangan akan mendapatkan hasil yang sama seperti menggunakan penyaringan konten web yang biasa digunakan oleh perusahaan dan lembaga pemerintah di seluruh dunia. Dilengkapi antarmuka yang user-friendly, memungkinkan pengguna untuk mengendalikan penggunaan internet dengan mudah dan tepat.

Memblokir situs web di lebih dari 70 kategori, termasuk pornografi, perjudian, obat-obatan,  kekerasan, rasisme, malware, phishing serta memudahkan pengguna untuk menggunakan safe search pada semua search engine utama yang dipakai. Selain itu, teknologi dari Blue Coat’s Web filtering dapat memungkinkan pengguna untuk memblok konten berdasarkan kategori yang akan dikunjungi. Seperti halnya pornografi, perjudian, maupun website spesifik seperti halnya facebook.

K9 Web Protection juga menawarkan beberapa hal berikut:

Perlindungan terhadap malware secara real-time Membantu mengidentifikasikan dan memblok konten yang ilegal maupun yang tidak diinginkan secara real-time, termasuk situs yang terinfeksi malware. Pengguna juga mendapat manfaat dari layanan Web Pulse Cloud , yang merupakan komunitas yang tumbuh lebih dari 62 juta pengguna jasa yang menyediakan lebih dari enam miliar konten web real-time rating per hari.

Pemberian rating pada konten secara otomatis — Halaman dan situs website baru tercipta setiap menitnya, dan tidak ada seorang pun yang dapat memberikan rating dari konten yang terdapat dalam semua situs tersebut. Untuk mkemastikan perlindungan terhadap situs baru maupun lama yang masih unrated, Blue Coat’s menyediakan teknologi Dynamic Real-Time Rating™ (DRTR) yang secara otomatis menentukan kategori dari halaman situs yang masih unrated, dan memperbolehkan atau memblok situs tersebut sesuai spesifikasi yang diperbolehkan oleh pengguna.

Perlindungan yang berkelanjutan tanpa memperlambat komputer Caching merupakan metode yang digunakan oleh web browser untuk meyimpan data yang sering digunakan, dimana dapat meningkatkna efisiensi dengan mengurangi jumlah informasi yang di request secara langsung ke internet. K9 Web Protection menggunakan  sistem teknologi caching Blue Coat’s yang unik sehingga penjelajahan dengan menggunakan internet tetap dapat dilakukan dengan cepat tanpa memperlambat komputer.

Fitur Produk

Content Categories

Pengguna dapat dengan mudah melakukan blok suatu web berdasarkan kategori konten sebagai berikut:

  • Pornografi
  • Perjudian
  • Narkoba
  • Kekerasan/Rasisme
  • Malware/Spyware
  • Phishing

Safe Search

Safe search didukung oleh banyak search engine yang terkemuka sebagai jalan untuk memblok suatu topik yang tidak diinginkan. Contohnya, safe search tidak akan menampilkan hasil pencarian yang bertemakan foto-foto dewasa. Perlindungan dari safe search juga memungkinkan pengguna untuk memastikan bahwa sebaiknya digunakan search engines yang aman, seperti : Google, A9, AltaVista, Microsoft Live, Yahoo, Ask and Orange.co.uk.

Content 2

Personal firewalls and internet security products

K9 Web Protection kompatibel dengan third-party firewall dan produk keamanan lainnya, seperti:

  • Personal firewalls: Comodo
  • Anti-virus products: Avast, Avira
  • Internet security suites: McAfee, F-Secure, Norton/Symantec, Computer Associates and Check Point ZoneAlarm

Night Guard

Sebagai tambahan, untuk mengizinkan pengguna agar dapat memasuki atau memblok akses kepada suatu web tertentu selama waktu yang telah ditentukan dalam satu hari, K9 Web Protection menawarkan NightGuard, cara yang tepat untuk memblok segala akses kepada web selama waktu yang telah ditentukan. Contohnya, pengguna dapat melakukan disable semua akses web antara pukul 10 pm sampai 7 am setiap harinya.

Content 3

Logging features

Pengguna juga dapat melakukan tracking terhadapt segala aktivitas penelusuran internet yang dilakukan dengan menggunakan K9 Web Protection, detail log dapat memperbolehkan pengguna untuk:

  • Melihat segala log setiap waktu per harinya
  • Mengorganisasikan setiap situs web yang diblok maupun situs yang diduga tidak aman
  • Memindahkan log rekaman yang lama
  • Menyimpan log baru dalam komputer dengan format yang hanya dapat dibaca dengan K9 Web Protection

Content 4

Contoh Penerapan Software Untuk Mengatasi Insiden

Sebelum menggunakan software untuk melakukan web content filtering, kita dapat langsung melakukan browsing internet secara langsung dengan berbagai konten yang diinginkan. Pada contoh dibawah diperlihatkan bahwa dilakukan penjelajahan internet ke situs www.youtube.com tanpa memperhatikan konten apa saja yang mungkin terdapat didalamnya. Selain itu, dapat pula dilakukan penjelajahan terhadap situs yang mengandung pornografi.

Content 5

Content 6

Berikutnya digunakan software K9 Web Protection untuk melakukan web content filtering terhadap setiap situs dan konten website yang akan kita kunjungi. Berikut merupakan tampilan dari halaman utama K9 Web Protection Administration, dimana kita dapat melakukan setup terhadap software tersebut. Setup dilakukan agar pengguna dapat mengatur konten apa saja yang dapat atau tidak dapat diakses oleh setiap orang ketika sedang menggunakan internet di komputer. Selain itu, dengan adanya software ini pengguna juga dapat melihat rekaman segala aktivitas internet yang telah terjadi.

Content 7

Untuk dapat melakukan perubahan setup, diperlukan proses log in terlebih dahulu dimana hanya pengguna terotentikasi saja yang dapat mengganti setup yang diinginkan. Password diperoleh saat pengguna pertama kali melakukan install software ke dalam komputer pengguna.

Content 8

Pada bagian setup software dibawah, dapat terlihat bahwa terdapat beberapa pilihan dalam melakukan pengaturan. Pada bagian sebelah kiri, pengguna dapat mengatur kategori/konten yang ingin diblok, waktu yang diperbolehkan oleh admin untuk memblok situs atau konten yang tidak diinginkan, pengecualian website yang masih dapat diakses atau tidak, kata kunci URL yang diperbolehkan, serta rekomendasi safe search yang diperbolehkan misalnya google.

Content 9

Berikut list dari konten-konten apa saja yang akan diblok oleh software apabila dirasa website yang dikunjungi memiliki konten tersebut. Kategori konten pada software ini dibagi menjadi enam bagian, yaitu high, default, moderate, minimal, monitor, dan custom. Contoh pada gambar dibawah ialah konten yang akan diblok bila menggunakan kategori default dan minimal. Pada bagian minimal dapat dilihat bahwa minimal konten yang akan diblok ialah yang memiliki unsur extreme, pornography, malware sources, suspicious, spyware effects, dan phishing. Sedangkan apabila dipilih setting pada mode default, konten tambahan yang tidak diizinkan ialah mengenai unsur adult, kekerasan, hacking, aborsi, alkohol, dan juga konten dewasa.

Content 10

Content 11

Penyaringan konten juga dapat dilakukan pada waktu yang diinginkan oleh pengguna. Pada gambar dibawah dapat dilihat bahwa akses kepada konten yang diblok dilakukan pada pukul antara 10.00 PM hingga 7.00 AM.

Content 12

Berikut ini contoh penggunaan dari software K9 Web Protection ketika pengguna ingin mengakses situs pornografi. Dapat dilihat ketika terdapat unsur konten porn pada situs yang akan dikunjungi, maka K9 Web Protection akan melakukan pembatasan akses ke situs web tersebut. Pengguna dapat kembali ke halaman sebelumnya apabila ingin melanjutkan penjelajahan di internet.

Content 13

Content 14

Untuk dapat membuat pengecualian pada situs website dengan konten yang tidak diperbolehkan, maka pada bagian setup pengguna juga dapat mengaturnya. Pada contoh dibawah dapat dilihat bahwa walaupun terdapat situs dengan konten yang dilarang, namun pengguna tetap dapat memasukinya dengan menambahkan list website yang tetap boleh dimasuki.

Content 15

Pengguna juga dapat menambahkan efek pada setiap bloking yang terjadi ketika sedang mengunjungi suatu situs yang terindikasi memiliki konten yang dilarang. Pengguna dapat memunculkan HTTPS blocks maupun bark sound ketika terdapat indikasi konten yang berbahaya. Selain itu, terdapat pula fitur enable time out jika pengguna mengakses terlalu banyak situs dengan konten yang dilarang. Hal ini akan mengakibatkan pengguna tidak dapat menggunakan internet pada waktu yang telah ditentukan.

Content 16

Disamping itu, selain pengguna dapat melakukan penyaringan web berdasarkan konten isi dari web, pengguna dapat melakukan penyaringan pada kata kunci yang dimasukkan pada URL. Pada gambar dibawah dapat dilihat bahwa kata yang diblok pada URL ialah porn dan xxx movies.

Content 17

Selain melakukan penyaringan berdasarkan konten yang terdapat dalam isi web, K9 Web Protection juga menyediakan fasilitas safe search yang dapat mengarahkan dan membuat pengguna hanya melakukan penjelajahan internet dengan search engine yang aman. Contoh penggunaan yang aman ialah Google, Yahoo, MSN, Ask, and Flickr. Penjelajahan tersebut menggunakan jaringan standar yang aman yaitu HTTPS.

Content 18

Pada K9 Web Protection, sebenarnya setiap akses yang dilarang atau diblok dapat dimasuki oleh admin dari K9. Hal ini dapat dilakukan dengan memasukkan password log in seperti halnya ketika akan melakukan setup awal. Sebagai admin maka situs dengan konten yang dilarang dapat dimasuki secara langsung. Namun perlu diperhatikan bahwa sebaiknya yang mengetahui password ini ialah pengguna yang berwenang dan memiliki hak akses lebih saja terhadap akses internet dimana terinstall K9 Web protection di komputer.

Content 19

Content 20

Referensi

[1] Yayasan Nawala Nusantara (2012). Memilih Teknologi Penyaringan Situs/Konten Internet dan Posisi DNS Nawala Dalam Peta Penyaringan Situs. [Online], Available: http://nawala.org/berita/artikel-teknologi/86-memilih-teknologi-penyaringan-situskonten-internet-dan-posisi-dns-nawala-dalam-peta-penyaringan-situs. [Accessed: 25 Oktober 2013].

[2] SmoothWall (2013). Why you need web filtering. [Online], Available: http://www.smoothwall.net/why-choose-smoothwall/why-you-need-web-filtering. [Accessed: 25 Oktober 2013].

[3] Wikipedia (27 Oktober 2013). Content-control software. [Online], Available: http://en.wikipedia.org/wiki/Content-control_software. [Accessed: 25Oktober 2013].

[4] Standards for Technology in Automotive Retail (2013). Internet Content Filtering. [Online], Available: http://www.starstandard.org/guidelines/DIG2012v1/ch14s02.html. [Accessed: 25 Oktober 2013].

[5] K9 Web Protection (2010). K9 Web Protection Download. [Online], Available: http://www1.k9webprotection.com. [Accessed: 25 Oktober 2013].

[6] K9 Web Protection (2010). K9 Web Protection Features. [Online], Available: http://www1.k9webprotection.com/aboutk9/product-features.   [Accessed: 25 Oktober 2013].

<!–[if gte mso 9]>

Mukti Winanda/23213094

Rizka Widyarini/23213018

Normal
0

false
false
false

EN-US
X-NONE
X-NONE

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:”Table Normal”;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:””;
mso-padding-alt:0in 5.4pt 0in 5.4pt;
mso-para-margin-top:0in;
mso-para-margin-right:0in;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0in;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:”Calibri”,”sans-serif”;
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:”Times New Roman”;
mso-bidi-theme-font:minor-bidi;}

Host-Based IDPS(IDPS Berbasis Host)

Artikel ini merupakan lanjutan dari artikel MENANGANI SERANGAN INTRUSI MENGGUNAKAN IDS DAN IPS yang membahas lebih detai tentang host-based IDPS.

Artikel yang membahas tentang network-based IDPS dapat diakses melalui link berikut: Network Based IDPS (IDPS Berbasis Jaringan)

Host-based IDPS memonitor karakteristik dan peristiwa yang terjadi pada host. Pemonitoran tersebut untuk medeteksi adanya aktivitas mencurigakan. Host-based IDPS melakukan pemeriksaaan terhadap lalulintas jaringan terhadap host, sistem log, proses yang sedang berjalan, akses file, modifikasi file, serta perubahan pengaturan sistem dan aplikasi.

1  Komponen dan Arsitektur

1.1       Komponen Utama

Host-based IDPS berupa software pendeteksi (agent) yang terinstall pada host dan dalam bentuk alat yang menjalankan software pendeteksi (agent). Alat tersebut diletakkan didepan host pada jaringan.

Satu agent mengawasi hanya satu aplikasi spesifik, misalkan  web server atau database server. Setiap agent didisain khusun untuk melindungi salah satu hal berikut:

  1. Server
    Pemantauan meliputi OS dan aplikasi pada server.
  2. Client host (berupa destop atau laptop)
    Pemantauan meliputi OS dan Aplikasi (misalkan e-mail client dan Wen brouser) yang terinstall di host
  3. Layanan aplikasi
    Contoh layanan tersebut berupa Web server program dan database server program

Produk yang tersedia umumnya tidak memiliki agent untuk host lainnya, semacam network device(firewalls, routers, switches)

1.2       Arsitektur Jaringan

Agent dipasang pada host yang tersambung pada jaringan suatu organisasi. Oleh karena itu, agent pada umummya berkomunikasi melalui jaringan tersebut daripada menggunakan jaringan yang terpisah. Produk host-based IDPS yang dijual umunnya melakukan enkripsi terhadap komuikasi tersebut. Arsitektur jaringan tersebut dideskrisikan pada gambar.

Host-Based IDPS

Gambar Contoh Arsitektur Peletakan Host-Base IDPS

1.3       Lokasi Agent

Host-based IDPS agent paling sering dipasang pada host yang sangat rawan. Hal tersebut misalnya server yang dapat diakses oleh publik dan server yang memiliki informasi penting. Setiap server dan host dapat dipasangi agent ini.

Host-based IDPS ini digunakan untuk mengawasi aktifitas yang tidak bisa dilakukan IDPS lain. pengawasan tersebut misalnya dilakukan  terhadap komunikasi terenkripsi pada jaringan. Host merupakan end-point komuikasi sehingga dapat melakun dekripsi.

Kriteria pemilihan tempat pemasangan agent:

  1. Biaya pemasangan, perawatan, dan pengawasan
  2. OS dan aplikasi yang dapat didukung agent
  3. Tingkat kepentingan data dan layanan pada host
  4. Kemampuan infrastruktur mendukung agent
  5. Ketersediaan bandwidth jarigan untuk mengirim data peringatan dari agnet ke server pusat serta pembaruan perangkat lunak dan kebijakan dari server pusat ke agent

1.4       Arsitektur Host

Untuk menyediakan kemampuan pencegahan, kebanyakan agent dari IDPS merubah arsitektur internal host. Hal ini dlikakan misalnya dalam penggunaan shim. Shim adalah suatu layer yang diletakkan diantara layer-layer code program. Shim ini dapat melakuakan analisa data antar layer tersebut dan menentukan apakah hal tersebut diperbolehkan atau ditolak. Agent dari host-based IDPS mungkin menggunakan shim untuk pemantauan lalulistas jaringan, aktivitas filesystem, system call, aktivitas register window, serta aplikasi umum seperti e-maildan Web.

Selain hal diatas, ada juag agent host-basedIDPS yang tidak merubah arsitektur internal host. Agent-agent ini melakukan pemantauan tanpa menggunakan shim. Sebagai gantinya mereka menggunakan jejak dari aktivitas intrusi, misalnya catatan log dan perubahan file. Walaupun demikian, metode ini lebih tidak efektif mendeteksi ancaman dibandingkan dengan metode sebelumnya. Selain itu, dengan penggunaan metode ini kita tidak bisa melakukan pencegahan intrusi.

Selain pemilihan metode diatas, pemilihan lain yang penting adalah apakah host-based IDPS ini diintall pada host atau menggunakan device fisik. Agent yang di-install di host memiliki sejumlah keuntungan dilihat dari segi pendeteksian dan pencegahan. Agent medapatkan akses langsung terhadap host sehingga dapat melakukan pedetesian dan pencegahan secara lebih lengkap dan akurat.

Namun demikian, tidak semua agent dapat di install pada OS yang digunakan. Disini, agent dalam bentuk device fisik lebih cocok digunakan. Pertimbangan lainnya adalah beban di host. Bila agent di-intall di host, beban di host bertambah banyak dan bisa menyebakan penurunan performa host.

2         Security Capabilities

2.1       Logging Capabilities

Agent melakukan pencatatan terhadap kejadian yang terdeteksi. Data ini digunakan untuk mengecek validitas sinyal peringatan, menghubungkan kejadian antara host-based IDPS dan sumber log yang lain.

Jenis data yang biasanya dicatat adalah:

  1. Timestamp
  2. Kejadian atau jenis sinyal peringatan
  3. Tingkat prioritas, serangan, dampak, dan kepercayaan
  4. Aksi pencegahan yang dilakukan bila ada

2.2       Detection Capabilities

Agent mendeteksi sejumlah aktivitas jahatan. Teknik yang digunakan merupakan kombinasi dari:

  • Teknik pendeteksian berdasarkan signature serangan yang pernah terjadi
  • Teknik pendeteksian berdasarkan kejanggalan. Digunakan untuk mendeteksi serangan yang belum pernah terjadi.

Aspek yang berkaitan dengan kemampuan pendeteteksian host-based IDPS

  1. Jenis kejadian yang terdeteksi
  2. Akurasi pendeteksian
  3. Penyetelan dan kustomisasi
  4. Keterbatasan teknologi

2.3       Prevention Capabilities

Kemampuan pencegahan intrusi beragam tergantung teknik pendeteksian yang digunakan. Teknik yang digunakan misalkan analisa code. Dengan teknik ini dapat dicegah pengeksekusian code berupa malware dan unauthorized aplication. Teknik lainnya adalah analisa lalulintas jaringan, penyaringan lalulintas jaringan, dan pemantauan sistem file

3     Referensi

[1] Scarfone Karen, Mell Peter, “Network Based IDPS” in Guide to Intrusion Detection and Prevention Systems (IDPS),  Special Publication 800-94, National Institute of Standards and Technology, 2007.

[2] http://www.snort.org/

[3] http://www.bro.org/

M. Erza Aminanto – 23213058 & Gian N. L. – 13209104

Mitigation 9# Application Based Workstation Firewall

Contributor : Ardy Pratama (23213056)
                       Harry Chandra (23213066)

1. Pendahuluan
Prinsip dasar dari semua keamanan adalah untuk menghentikan orang tidak berkepentingan atau proses yang tidak diizinkan dan memberikan akses kepada orang atau proses yang diizinkan. Jadi keamanan adalah tentang kontrol akses, dan kontrol akses pada umumnya dimulai dengan identitas. Namun identitas sendiri tidak cukup – kita juga perlu memahami tujuan. Kita perlu mengidentifikasi orang atau proses, dan memutuskan apakah tujuannya baik atau buruk.

Sebagai contohnya adalah paspor. Paspor membuktikan identitas, tetapi tidak memberi tahu kita identitias dari orang tersebut baik atau buruk. Untuk itu kita perlu membuat whitelist untuk orang yang dikenal baik seperti orang yang sering berpergian keluar negeri dan blacklist untuk orang jahat dan teroris yang biasanya memiliki tujuan tidak baik. Keamanan Cyber pun memiliki prinsip yang sama seperti kontrol akses pada paspor.

Prinsipnya adalah whitelist diberikan kepada prilaku orang atau proses yang dikenal baik atau minimal dapat diterima oleh system dan blacklist diberikan kepada prilaku orang atau proses yang tidak dapat diterima. Keamanan sebagian besar didasarkan pada bagaimana kita menggunakan daftar blacklist dan whitelist ini. Kita akan mengizinkan whitelist untuk melakukan prosesnya dan kita mencegah apa yang ada di blacklist.

Pada awalnya industri anti-malware hanya mencatat blacklist tetapi sekarang yang juga dilakukan adalah mengelompokan hal-hal yang dikenal baik ke dalam whitelist. Kita perlu tahu mana yang terbaik untuk keamanan yang optimal.

2. Whitelisting vs Blacklisting
2.1 Pendukung Blacklisting
Dasar keamanan anti-virus adalah blacklist dari semua malware yang dikenal. Teknologi ini didasarkan pada blacklist karena pada awalnya hanya ada sangat sedikit virus. Keuntungan utama secara konseptual sederhana dari blacklist adalah mengenali beberapa hal yang dianggap malware, menghentikan mereka, dan memperbolehkan proses yang lain selain yang ada di blacklist.

Argumen kedua yang mendukung blacklist adalah ‘kemudahan administrasi’. Pemeliharaan blacklist adalah sesuatu yang kita dapat mendelegasikan kepada pihak ketiga yang terpercaya-dalam hal ini perusahaan anti-virus. Perusahaan antivirus yang ada secara bergiliran, melalui internet, secara otomatis dapat memperbarui blacklist untuk kita tanpa kita perlu melakukan apa pun.

Dan PowerDan Power, UK manajer regional, Spamina

Whitelisting lebih sulit untuk didelegasikan kepada pihak ketiga keputusan yang aplikasi yang kita butuhkan. “Whitelisting akan menjadi solusi sempurna jika orang hanya memiliki satu komputer yang tidak pernah dipatch dan tidak pernah berubah”, menurut penjelasan Dan Power, UK manajer regional untuk anti-spam Spamina perusahaan”. Secara logika memang akan sangat baik jika mengizinkan eksekusi file yang berada dalam whitelist tapi mempertahankan whitelist ini sulit. Masalahnya muncul ketika Anda harus mendaftar atau mendaftar ulang setiap DLL setiap kali Anda menginstal baru , atau patch yang ada, aplikasi. Masalah yang lainnya adalah siapa saja yang diperbolehkan untuk menginstall software sendiri dan siapa yang tidak diperbolehkan dan bit mana saja dari software yang boleh diubah dan bit yang mana yang tidak boleh diubah? Ini menjadi lebih dari masalah administratif daripada masalah intelektual.

David Harley, peneliti senior di ESET LLC, setuju dengan pernyataan “Whitelisting tidak jauh berbeda dengan memeriksa integritas proses/data dan akan memperbanyak pekerjaan yang dilakukan oleh tim pendukung di bagian internal dan akan mengganggu pengguna akhir karena pengguna tidak dapat untuk menginstall sesuai dengan keinginan mereka”.

David HarleyDavid Harley, peneliti senior ESET

Tahun lalu Scott Charney dari Microsoft mengusulkan bentuk whitelist untuk akses ke internet yaitu hanya pengguna yang memiliki sertifikat sehat berinternet untuk komputer mereka yang diizinkan mengakses internet. Hanya sedikit di industri keamanan yang mendukung usul Scoot Charney. Jika komputer seperti televisi, hanya dengan satu sistem operasi dasar yang tidak pernah berubah, maka itu bisa dilakukan. Tapi di dunia nyata ada begitu banyak variabel yang terkait dengan Windows dan semua bit perangkat lunak yang pernah ditulis untuk Windows, sehingga hampir mustahil untuk dapat mengatakan apa yang dapat dan apa yang tidak dapat dan apakah komputer tidak bersih dari malware atau sehat. ”

 Jennifer GilburgJennifer Gilburg, Direktur marketing Intel

Jennifer Gilburg, direktur pemasaran di Intel, melihat masalah yang berbeda dengan jenis blacklist. “Pikirkan e-commerce”, katanya. “Penjual online akan lebih memilih melakukan penipuan dalam transaksi sesekali daripada risiko dari transaksi yang benar. Jadi, pemikiran pemblokiran pengguna datang ke internet sampai mereka dapat dipercaya akan menakut-nakuti banyak penyedia e-commerce yang mata pencaharian mereka atas dasar lebih banyak pengguna lebih baik. Saya menduga bahwa sebagian besar dunia e-commerce akan mengaku sangat sulit untuk melakukan versi whitelist”. Jadi salah satu argumen terkuat yang mendukung blacklist adalah masalah yang bersangkutan dengan whitelist.

2.2 Pendukung Whitelisting

Henry harrison
Henry Harrison, Direktur teknis, Detica

Namun, Henry Harrison, direktur teknis di Detica, menunjuk ke suatu masalah tertentu dengan blacklist”. Blacklist anti-virus”, katanya , “didasarkan pada gagasan untuk mendeteksi hal-hal yang dikenal buruk dan menghentikan mereka. Akan tetapi tidak bisa mendeteksi hal-hal yang buruk yang tidak diketahui”. Ancaman zero-day tidak dikenal tidak akan dimasukan ke dalam blacklist jika mereka tidak melakukan proses yang mencurigakan(baik-baik saja)”. “Apa yang kita lihat hari ini”, lanjut Harrison, “Banyak target, serangan rahasia-infiltrasi eksternal ke jaringan perusahaan dengan maksud untuk pencurian informasi berharga menggunakan teknik yang secara khusus dirancang untuk menghindari blacklist dan satu respon yang mungkin untuk ancaman zero-day adalah whitelist”.

Senior vice president lumension, Alan Bentley, menjelaskan bahwa dasar blacklisting adalah dari sisi ancaman sedangkan dasar dari whitelist adalah sisi kepercayaan. Malware yang diblaclist harus cukup tetapi dengan kondisi ancaman dalam dunia cyber yang sangat banyak ini kita harus mempertanyakan apakah blacklist saja masih cukup baik.

Alan Bentley Alan Bentley, senior vice president, Lumension

Inilah yang dilakukan Lumension yaitu melindungi end-points dengan membuatnya mudah secara administratif untuk menciptakan dan memelihara whitelist dari aplikasi dengan cara memblacklist malware. “Kami percaya bahwa jika Anda melihat dua hal tersebut bersama-sama, whitelist merupakan pertahanan awal dari keamanan yang ada pada organisasi karena whitelist akan menghentikan segala sesuatu yang tidak disetujui untuk dilakukan. Akan tetapi apa yang tidak dapat dilakukan adalah menghapus malware yang telah berada di dalam mesin”.

Bit9, seperti Lumension, adalah perusahaan yang berkonsentrasi pada whitelist. “Prinsip dari whitelist aplikasi sangat sederhana,” jelas Harry Sverdlove, kepala kantor teknologi. “Apa yang Anda inginkan berjalan pada sistem Anda lebih kecil daripada apa yang tidak Anda inginkan. Kami menerapkan model ini untuk aspek keamanan lainnya dalam hidup kita. Misalnya, siapa yang Anda biarkan ke rumah Anda? Anda tidak menyimpan daftar orang yang buruk di dunia. Sebaliknya, Anda hanya memungkinkan orang yang anda percaya masuk ke rumah Anda”.

Harry Sverdlove
Harry Sverdlove, CTO, Bit9

Ledakan malware yang berjumlah lebih dari 2 juta buah malware baru setiap bulan adalah hal yang membuat kita mempertanyakan apakah blacklist tetap realistis”. “Secara umum, whitelist selalu lebih aman daripada blacklist”, lanjut Sverdlove. “Akan tetapi itu membutuhkan pemikiran lebih tentang apakah software yang ada pada sistem dapat dipercaya atau tidak. Itulah alasan mengapa perlu dimasukkan reputasi software ke dalam database menjadi hal sangat penting dalam whitelist. Whitelist menyediakan tingkat kepercayaan pada perangkat lunak, seperti penasihat terpercaya yang dapat membuat proses lebih mudah dikelola. Jika semua yang dijalankan berasal dari pihak ketiga yang terkenal, kita hanya perlu melihat reputasi software yang ada pada cloud untuk menyetujui penggunaan software”.

2.3 Kesimpulan whitelisting vs blacklisting
Kesimpulan yang kita dapatkan dari pendapat para ahli adalah whitelisting merupakan solusi keamanan yang secara dasarnya lebih baik daripada blacklisting. Jika sesuatu tersebut tidak ada dalam list maka proses tersebut akan dihentikan maka posisi dari whitelisting lebih aman. Akan tetapi dengan blacklisting, jika sesuatu tidak terdapat dalam daftar maka proses tersebut diizinkan maka dalam hal ini blacklisting lebih kurang aman. Walaupun whitelisting lebih baik dalam hal keamanan tetapi usaha untuk melakukan blacklisting lebih kecil dibandingkan dengan whitelisting. Namun, efisiensi blacklist menurun dengan meningkatnya daftar ukuran blacklistnya. Hampir dapat dikatakan bahwa whitelist akan menjadi yang terbaik jika ukuran whitelistnya kecil dan blacklisting akan menjadi yang terbaik jika daftar blacklistnya kecil juga. Namun, karena tak satu pun dari situasi ini mungkin terjadi di dunia nyata, kesimpulan yang didapatkan adalah sederhana yaitu kita membutuhkan keduanya.

3. Application-based workstation firewall
Dengan memahami bahwa konsep keamanan whitelist selalu lebih baik dari blacklist dan dalam dunia nyata kira membutuhkan keduanya untuk melakukan proteksi pada sistem kita maka untuk memitigasi risiko pada kejahatan cyber maka:

  • Firewall sebaiknya menggunakan blacklist dari koneksi internet yang masuk ke dalam komputer user. Tujuannya agar koneksi yang masuk ke dalam komputer tetap dapat berjalan kecuali yang masuk ke dalam daftar blacklist.

Blacklist packet
Filtering Blacklist pada Firewall

  • Firewall sebaiknya menggunakan whitelist untuk koneksi yang akan keluar dari komputer user ke internet. Tujuannya agar koneksi keluar komputer tidak dapat dilakukan tanpa izin dari user sehingga komputer user tidak dapat dikontrol oleh hacker jika user telah terkena malware dibuat oleh hacker. Contoh serangan yang dapat diatas dengan menggunakan whitelist firewall ini adalah :
    1. Virus Trojan Horse
    Cara kerja virus ini adalah dengan melakukan penyusupan tanpa diketahui korban kemudian komputer korban akan dapat dikontrol oleh attacker dari jarak jauh. Biasanya attacker akan menggunakan komputer korban untuk mencuri password, sebagai zombie untuk melakukan DOS attack.
    2. Stuxnet
    Malware yang menggunakan Zero-day untuk melakukan penyerangan alat sentrifugal nuklir yang berada di Iran. Zero-day Merupakan vulnerabilities dari software yang telah ditemukan oleh attacker tetapi dari pihak developer masih belum menemukan vulnerabilites sehingga patch terhadap vulnerabilites tersebut belum keluar. Vulnerabilites tersebut yang digunakan oleh hacker untuk melakukan exploit ke dalam komputer korban.
    3. Duqu
    Sama seperti stuxnet tetapi tujuannya berbeda. Tujuan dari Duqu yaitu untuk mencuri data di Iran. Duqu menyerang zero-day vulnerabilites dari kernel komputer Windows.
    4. Flame
    Merupakan malware yang ditemukan oleh Kaspersky lab. Malware ini dirancang untuk fungsi intelijen yaitu untuk melakukan sniffing dari jaringan untuk mendapatkan pembicaraan audio melalui aplikasi seperti skype, chatting, dan keystrokes.
    5. Malware – malware lain yang belum ditemukan dan bersifat untuk mengontrol sistem korban dari jarak jauh.

Whitelist Packet
Filtering Whitelist pada Firewall

Aplikasi antivirus sekarang ini pun hampir semuanya telah dilengkapi dengan firewall untuk melakukan filtering terhadap incoming dan outgoing packet. Contoh antivirus yang dilengkapi dengan firewall  adalah Avast Antivirus, Kaspersky, Comodo firewall, ESET NOD32, dll.

Berikut ini adalah contoh penggunaan aplikasi avast antivirus untuk melakukan whitelist terhadap outgoing packet yang berasal dari aplikasi:

Avast FilteringWhitelist Antivirus

Dari gambar diatas dapat dilihat bahwa URL yang tidak difilter oleh antivirus adalah url http://api*.webrep.avast.com/*.

Referensi

[1] http://kevtownsend.wordpress.com/2011/08/24/whitelisting-vs-blacklisting/

[2] http://www.techterms.com/definition/whitelist

[3] http://science.opposingviews.com/firewall-whitelist-2390.html

[4] http://security.stackexchange.com/questions/25736/how-should-an-outgoing-connection-white-list-be-created

Penolakan Akses Internet Secara Langsung dari Workstation dengan Firewall

Seiring dengan semakin pesatnya perkembangan internet dewasa ini, risiko keamanan yang muncul dari penggunaan internet pun semakin tinggi. Beberapa risiko tersebut diantaranya pengaksesan data yang dilakukan oleh pihak yang tidak berwenang, menyebarnya virus tanpa diketahui proses penyebarannya, dan lain-lain. Risiko ini dapat dimitigasi dengan melakukan penolakan akses internet baik dari server maupun secara langsung dari workstation. Mitigasi risiko yang akan dibahas pada tulisan ini adalah penolakan akses internet secara langsung dari workstation atau komputer pribadi. Salah satu cara yang dapat dilakukan adalah  dengan menggunakan firewall.

Firewall

Secara umum, Firewall adalah sebuah sistem yang didesain untuk mencegah akses dari pihak yang tidak berwenang menuju atau dari jaringan lokal. Firewall dapat diimplementasikan dalam bentuk hardwaresoftware, atau keduanya. Firewall biasanya digunakan untuk mencegah atau mengendalikan aliran data tertentu. Semua data yang masuk atu keluar jaringan harus melewati firewall, yang akan memeriksa setiap paket apakah cocok atau tidak dengan aturan yang ada pada standar keamanan yang didefinisikan dalam firewall. [1]

Ilustrasi Firewall (sumber: http://2.bp.blogspot.com/-OXvT0W9zd9Q/UbThfC3HeXI/AAAAAAAACGI/3Z1kadTbbW8/s1600/firewall.jpg)

Secara mendasar, firewall dapat melakukan hal-hal berikut ini [2]:

1. Mengatur dan mengontrol lalu lintas jaringan

Firewall melakukan hal yang demikian, dengan melakukan inspeksi terhadap paket-paket dan memantau koneksi yang sedang dibuat, lalu melakukan penapisan (filtering) terhadap koneksi berdasarkan hasil inspeksi paket dan koneksi tersebut.

2. Melakukan otentikasi terhadap akses

Protokol TCP/IP dibangun dengan premis bahwa protokol tersebut mendukung komunikasi yang terbuka. Jika dua host saling mengetahui alamat IP satu sama lainnya, maka mereka diizinkan untuk saling berkomunikasi. Pada awal mula perkembangan Internet, hal ini boleh dianggap sebagai suatu berkah. Tetapi saat ini, di saat semakin banyak orang yang terhubung dengan internet, mungkin terdapat pihak-pihak yang tidak ingin kita izinkan atau tidak berwenang untuk dapat berkomunikasi dengan sistem yang kita miliki. Dengan mengimplementasikan proses autentikasi, firewall dapat menjamin bahwa koneksi dapat diizinkan atau tidak. Meskipun jika paket telah diizinkan dengan menggunakan inspeksi paket (PI) atau berdasarkan keadaan koneksi (SPI), jika host tersebut tidak lolos proses otentikasi, paket tersebut akan dibuang.

3. Melindungi sumber daya dalam jaringan privat

Contoh Pengaturan Akses yang Diterapkan pada Firewall (Sumber : http://upload.wikimedia.org/wikipedia/id/5/58/Firewall-ContohAccessControl.png)

Salah satu tugas firewall adalah melindungi sumber daya dari ancaman yang mungkin datang. Proteksi ini dapat diperoleh dengan menggunakan beberapa pengaturan peraturan akses (access control), penggunaan SPI, application proxy, atau kombinasi dari semuanya untuk mengamankan host yang dilindungi supaya tidak dapat diakses oleh host-host yang mencurigakan atau dari lalu lintas jaringan yang mencurigakan.

4. Mencatat semua kejadian, dan melaporkan kepada administrator.

Firewall pada umumnya mengimplementasikan pencatatan (logging) sebagai bagian dari kebijakan keamanan yang diterapkan.

Firewall terbagi menjadi dua jenis, yaitu [2]:

1. Personal Firewall

Personal Firewall didesain untuk melindungi sebuah komputer yang terhubung ke jaringan dari akses yang tidak dikehendaki. Firewall jenis ini akhir-akhir ini berevolusi menjadi sebuah kumpulan program yang bertujuan untuk mengamankan komputer secara total, dengan ditambahkannya beberapa fitur pengaman tambahan semacam perangkat proteksi terhadap virus, anti-spywareanti-spam, dan lainnya. Bahkan beberapa produk firewall lainnya dilengkapi dengan fungsi pendeteksian gangguan keamanan jaringan (Intrusion Detection System). Contoh dari firewall jenis ini adalah Microsoft Windows Firewall (yang telah terintegrasi dalam sistem operasi Windows XP Service Pack 2, Windows Vista dan Windows Server 2003 Service Pack 1), Symantec Norton Personal Firewall, Kerio Personal Firewall, dan lain-lain. Personal Firewall secara umum hanya memiliki dua fitur utama, yakni Packet Filter Firewall dan Stateful Firewall.

2. Network Firewall:

Network Firewall didesain untuk melindungi jaringan secara keseluruhan dari berbagai serangan. Umumnya dijumpai dalam dua bentuk, yakni sebuah perangkat terdedikasi atau sebagai sebuah perangkat lunak yang diinstalasikan dalam sebuah server. Contoh dari firewall ini adalah Microsoft Internet Security and Acceleration Server (ISA Server), Cisco PIX, Cisco ASA, IPTables dalam sistem operasi GNU/Linux, pf dalam keluarga sistem operasi Unix BSD, serta SunScreen dari Sun Microsystems, Inc. yang dibundel dalam sistem operasi Solaris. Network Firewall secara umum memiliki beberapa fitur utama, yakni apa yang dimiliki oleh personal firewall (packet filter firewall dan stateful firewall), Circuit Level GatewayApplication Level Gateway, dan juga NAT Firewall. Network Firewall pada umumnya bersifat transparan (tidak terlihat) dari pengguna dan menggunakan teknologi routing untuk menentukan paket mana yang diizinkan, dan paket mana yang akan ditolak.

Personal Firewall

Sebuah personal firewall adalah sebuah aplikasi yang mengontrol lalu lintas jaringan ke dan dari komputer, memungkinkan atau menolak komunikasi berdasarkan kebijakan keamanan yang ditentukan. Biasanya personal firewall bekerja sebagai application layer firewall. [3]

Sebuah personal firewall berbeda dengan firewall konvensional dalam hal skala. Sebuah personal firewall biasanya hanya akan melindungi komputer yang telah dipasangi dirinya, dibandingkan dengan firewall konvensional yang biasanya dipasang pada antarmuka yang ditunjuk antara dua atau lebih jaringan, seperti router atau proxy server. Oleh karena itu, personal firewall memungkinkan pengguna untuk mendefinisikan kebijakan keamanan pada komputer pribadinya, sedangkan firewall konvensional dapat mengontrol kebijakan antara jaringan yang menghubungkannya. [3]

Ketika sebuah aplikasi mencoba koneksi ke luar, firewall dapat menghalangi jika aplikasi tersebut termasuk dalam daftar blacklist. Jika belum diketahui, firewall akan meminta pendapat pengguna apakah aplikasi tersebut akan dimasukkan ke dalam daftar blacklist atau tidak. Hal ini dapat melindungi komputer dari malware yang diimplementasikan sebagai program executable. Personal Firewall juga dapat memberikan beberapa tingkat deteksi intrusi, yang memungkinkan perangkat lunak untuk menghentikan atau memblokir konektivitas di mana terdeteksi adanya dugaan penyusupan. [3]

Comodo Firewall

Comodo Firewall merupakan sebuah personal firewall yang sudah populer saat ini. Comodo Firewall sudah dilengkapi dengan fitur penuh (full version) dan gratis untuk dapat digunakan secara pribadi. Comodo Firewall dapat membantu pengguna untuk melindungi komputer dari koneksi yang tidak diizinkan ke dan dari Internet. [4]

Secara umum, terdapat empat daftar tugas utama yang dapat dilakukan oleh Comodo Firewall , yaitu General Tasks, Firewall Tasks, Sandbox Tasks, dan Advanced Tasks. Yang akan dibahas lebih lanjut adalah Firewall Tasks. Gambar di bawah ini adalah tampilan Firewall Tasks pada Comodo FirewallHal-hal yang dapat dilakukan oleh Comodo Firewall terkait Firewall Tasks diantaranya mengijinkan dan memblokir aplikasi ke dan dari koneksi internet, mengelola visibilitas komputer sehingga pengguna dapat mengetahui ketika ada komputer lain yang ingin melakukan komunikasi dengan komputer pengguna, mengatur jaringan yang terdeteksi, memblokir seluruh aktivitas jaringan ke dan dari komputer, serta mengakses dan mengatur berbagai pilihan konfigurasi firewall.

Tampilan Firewall Tasks pada Comodo Firewall
Tampilan Firewall Tasks pada Comodo Firewall

Gambar di bawah ini merupakan fitur Manage Networks pada Comodo Firewall. Fitur ini memungkinkan pengguna untuk mengijinkan dan memblokir koneksi dari dan ke komputer lain dalam jaringan yang terdeteksi.

Tampilan Fitur Manage Network pada Comodo Firewall
Tampilan Fitur Manage Network pada Comodo Firewall

Insiden yang Dapat Diatasi dengan Firewall

Salah satu insiden yang sering terjadi adalah masuknya trojan, virus, spyware, dll ke komputer tanpa disadari oleh pengguna ketika sedang menggunakan internet. Insiden ini dapat diatasi dengan menggunakan firewall. Seperti yang sudah dijelaskan sebelumnya, firewall dapat mencegah komputer untuk berhubungan dari dan ke luar komputer, kecuali hubungan yang memang dikehendaki.

Daftar Pustaka

[1] http://www.comlabs.itb.ac.id/blog/2006/05/25/sekilas-firewall

[2] http://id.wikipedia.org/wiki/Tembok_api

[3] http://en.wikipedia.org/wiki/Personal_firewall

[4] https://securityinabox.org/id/comodofirewall

 

oleh: Sundari Mega (23213069) – Dea Rahmatia (23213084)

Whitelisted Email Content Filtering

v:* {behavior:url(#default#VML);}
o:* {behavior:url(#default#VML);}
w:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}

12.00

Normal
0
false

false
false
false

EN-GB
X-NONE
X-NONE

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:”Table Normal”;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:””;
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:”Calibri”,”sans-serif”;
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-fareast-font-family:”Times New Roman”;
mso-fareast-theme-font:minor-fareast;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;}
table.MsoTableGrid
{mso-style-name:”Table Grid”;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-priority:59;
mso-style-unhide:no;
border:solid windowtext 1.0pt;
mso-border-alt:solid windowtext .5pt;
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-border-insideh:.5pt solid windowtext;
mso-border-insidev:.5pt solid windowtext;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:”Calibri”,”sans-serif”;
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-fareast-language:EN-US;}
table.MsoTableLightListAccent6
{mso-style-name:”Light List – Accent 6″;
mso-tstyle-rowband-size:1;
mso-tstyle-colband-size:1;
mso-style-priority:61;
mso-style-unhide:no;
border:solid #F79646 1.0pt;
mso-border-themecolor:accent6;
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:”Calibri”,”sans-serif”;
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-fareast-language:EN-US;}
table.MsoTableLightListAccent6FirstRow
{mso-style-name:”Light List – Accent 6″;
mso-table-condition:first-row;
mso-style-priority:61;
mso-style-unhide:no;
mso-tstyle-shading:#F79646;
mso-tstyle-shading-themecolor:accent6;
mso-para-margin-top:0cm;
mso-para-margin-bottom:0cm;
mso-para-margin-bottom:.0001pt;
line-height:normal;
color:white;
mso-themecolor:background1;
mso-ansi-font-weight:bold;
mso-bidi-font-weight:bold;}
table.MsoTableLightListAccent6LastRow
{mso-style-name:”Light List – Accent 6″;
mso-table-condition:last-row;
mso-style-priority:61;
mso-style-unhide:no;
mso-tstyle-border-top:2.25pt double #F79646;
mso-tstyle-border-top-themecolor:accent6;
mso-tstyle-border-left:1.0pt solid #F79646;
mso-tstyle-border-left-themecolor:accent6;
mso-tstyle-border-bottom:1.0pt solid #F79646;
mso-tstyle-border-bottom-themecolor:accent6;
mso-tstyle-border-right:1.0pt solid #F79646;
mso-tstyle-border-right-themecolor:accent6;
mso-para-margin-top:0cm;
mso-para-margin-bottom:0cm;
mso-para-margin-bottom:.0001pt;
line-height:normal;
mso-ansi-font-weight:bold;
mso-bidi-font-weight:bold;}
table.MsoTableLightListAccent6FirstCol
{mso-style-name:”Light List – Accent 6″;
mso-table-condition:first-column;
mso-style-priority:61;
mso-style-unhide:no;
mso-ansi-font-weight:bold;
mso-bidi-font-weight:bold;}
table.MsoTableLightListAccent6LastCol
{mso-style-name:”Light List – Accent 6″;
mso-table-condition:last-column;
mso-style-priority:61;
mso-style-unhide:no;
mso-ansi-font-weight:bold;
mso-bidi-font-weight:bold;}
table.MsoTableLightListAccent6OddColumn
{mso-style-name:”Light List – Accent 6″;
mso-table-condition:odd-column;
mso-style-priority:61;
mso-style-unhide:no;
mso-tstyle-border-top:1.0pt solid #F79646;
mso-tstyle-border-top-themecolor:accent6;
mso-tstyle-border-left:1.0pt solid #F79646;
mso-tstyle-border-left-themecolor:accent6;
mso-tstyle-border-bottom:1.0pt solid #F79646;
mso-tstyle-border-bottom-themecolor:accent6;
mso-tstyle-border-right:1.0pt solid #F79646;
mso-tstyle-border-right-themecolor:accent6;}
table.MsoTableLightListAccent6OddRow
{mso-style-name:”Light List – Accent 6″;
mso-table-condition:odd-row;
mso-style-priority:61;
mso-style-unhide:no;
mso-tstyle-border-top:1.0pt solid #F79646;
mso-tstyle-border-top-themecolor:accent6;
mso-tstyle-border-left:1.0pt solid #F79646;
mso-tstyle-border-left-themecolor:accent6;
mso-tstyle-border-bottom:1.0pt solid #F79646;
mso-tstyle-border-bottom-themecolor:accent6;
mso-tstyle-border-right:1.0pt solid #F79646;
mso-tstyle-border-right-themecolor:accent6;}

Rizka Widyarini (23213018) & Mukti Winanda (23213094)

E-mail merupakan salah satu media yang dapat dimanfaatkan penyerang untuk melakukan serangan, misalnya dengan mengirimkan link maupun file yang terlihat asli namun sesungguhnya berbahaya. Contoh penyerangan lewat email meliputi distribusi malware (misalnya virus, worm, Trojan, keylogger, spyware, dan lain-lain), serangan phishing untuk menyingkap informasi pribadi dari pemilik email, ataupun serangan spam. Secara umum, serangan lewat email dapat dilakukan lewat dua cara, yaitu lewat pesan di dalam email maupun attachment yang dikirimkan bersama email. Agar serangan-serangan tersebut dapat dihindari, terdapat beberapa mekanisme teknis pada sistem layanan email yang dapat diterapkan untuk memilah email berdasarkan kontennya.

12.00

Normal
0

false
false
false

EN-GB
X-NONE
X-NONE

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:”Table Normal”;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:””;
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:”Calibri”,”sans-serif”;
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-fareast-language:EN-US;}


1. Menetapkan jenis file attachment yang diperbolehkan

Email akan disaring berdasarkan kriteria tertentu, misalnya tipe file dan ekstensi file yang dibutuhkan untuk kepentingan bisnis. Metode ini diterapkan oleh CSUChico E-Mail, yaitu layanan email di California State Univeristy, yang melakukan pemblokiran beberapa jenis file attachment.

http://catalog.csuchico.edu/viewer/11/photo/SEAL.jpg
http://catalog.csuchico.edu/viewer/11/photo/SEAL.jpg

File dengan ekstensi tertentu akan dihilangkan dari pesan email, dan pengirim akan dikirimkan pesan notifikasi dari mail server. Berikut ini adalah tabel yang menunjukkan tipe file yang akan diblokir oleh email server kampus.

 

Tipe

Alasan diblokir

rar

Kemungkinan adanya virus tersembunyi di dalam RAR Archive

com

Windows/DOS Executable

exe

Windows/DOS Executable

scr

Kemungkinan adanya virus tersembunyi pada screensaver

pif

Kemungkinan adanya serangan MS-Dos program shortcut

bat

Kemungkinan adanya batch file script yang berbahaya

cmd

Kemungkinan adanya batch file script yang berbahaya

vb[usrv:es]

Kemungkinan adanya serangan Microsoft Visual Basic script

ws[usrv:cfh]

Kemungkinan adanya serangan Microsoft Visual Basic script

hta

Kemungkinan adanya serangan Microsoft HTML archive

sys

Windows/DOS system file

Sementara itu, berikut ini adalah tabel yang menunjukkan daftar file dengan ekstensi tertentu yang diblokir.

 

Ekstensi

Tipe File

.386

Virtual

.3gr

VGA Graphics driver/configuration files

.add

Adapter Drive File

.ade

Microsoft Access project extension

.asp

Active Server Page

.bas

Microsoft Visual Basic class module

.bat

Batch file

.chm

Compiled HTML Help file

.cmd

Microsoft Windows NT Command Script

.com

Microsoft MS-DOS program

.cpl

Control Panel extension

.crt

Security certificate

.dbx

Database index

.dll

Dynamic Link Library

.exe

Program

.fon

Font File

.hlp

Help File

.hta

HTML program

.inf

Setup information

.ins

Internet Naming Service

.isp

Internet Communication settings

.js

Jscript file

.jse

Jscript Encoded Script file

.lnk

Shortcut

.mdb

Microsoft Access program

.mde

Microsoft Access MDE database

.msc

Microsoft Common Console Document

.msi

Microsoft Windows Installer package

.msp

Microsoft Windows Installer patch

.mst

Microsoft Windows Installer transform; Microsoft Visual Test source file

.ocx

Microsoft Object Linking

.pcd

Images CD Creator Corel Adaptec

.pif

Shortcut to MS-DOS program

.reg

Registration entries

.scr

Screen saver

.sct

Windows Script Component

.shs

Shell Scrap object

.shb

Shell Scrap object

.url

Internet shortcut

.vb

VBScript file

.vbe

VBScript Encoded script file

.vbs

VBScript file

.vxd

Microsoft Windows Virtual Device Diver

.wsc

Windows Script Component

.wsf

Windows Script file

.wsh

Windows Script Host Settings file

 

Pada sistem ini, apabila server menjumpai suatu file dengan salah satu tipe di atas, atau virus scanner mendeteksi keberadaan virus pada file, maka pesan di dalam email akan tetap dikirimkan, tetapi attachment tersebut akan dihilangkan dan pesan di dalam email akan ditambahkan dengan peringatan kepada penerima email sebagai berikut.

 

Notification Email

An attachment to this email was removed because it was found to contain a virus, worm, disallowed file type or other malicious software. If the attachment was a legitimate file that you were expecting, you should  arrange an alternate delivery method with the sender.
For a complete list of the file types that are blocked, or for more information, please see: http://www.csuchico.edu/uss/email
IT Support Services – 898-HELP(4357)

 

12.00

Normal
0

false
false
false

EN-GB
X-NONE
X-NONE

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:”Table Normal”;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:””;
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:”Calibri”,”sans-serif”;
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-fareast-language:EN-US;}
2. Melakukan analisis, konversi, ataupun pembersihan hyperlink maupun file attachment

Cara lain yang juga dapat diterapkan adalah dengan melakukan analisis, konversi, maupun proses pembersihan hyperlink, maupun attachment berisi file PDF ataupun Microsoft Office untuk melumpuhkan konten-konten yang mengandung malware yang berbahaya.

Contoh penerapan teknik ini adalah penggunaan plug-in Exchange Defend: PDF (xdpdf) pada aplikasi Microsoft Exchange. Plug-in ini dirancang untuk melakukan render terhadap bagian dari suatu file dokumen PDF yang dipertukarkan lewat server Microsoft Exchange, yang berpotensi memiliki bahaya. Apabila xdpdf mengubah suatu dokumen PDF, pemberitahuan akan disampaikan kepada penerima email dan salinan akan disimpan jika dibutuhkan untuk pemeriksaan administratif. Berikut ini adalah cara kerja xpdf secara umum.

12.00

Normal
0

false
false
false

EN-GB
X-NONE
X-NONE

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:”Table Normal”;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:””;
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:”Calibri”,”sans-serif”;
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-fareast-language:EN-US;}

  • Dilakukan proses deteksi apakah terdapat sebuah dokumen PDF.
  • Setelah keberadaan dokumen PDF terdeteksi, dilakukan pemeriksaan apakah file PDF    tersebut mengandung keyword yang tidak diinginkan.
  • Apabila keyword yang tidak diinginkan ditemukan, xdpdf akan menyalin PDF tersebut ke suatu lokasi yang telah ditentukan oleh administrator.
  • Dilakukan overwrite pada dua byte pertama dari keyword, untuk mencegah eksekusi oleh PDF reader.
  • Pengguna diberi notifikasi, yang menginstruksikan mereka untuk menghubungi mail administrator apabila dokumen PDF asli tersebut dibutuhkan.
http://www.vinet.com.au/images/MicrosoftExchange_Logo.gif
http://www.vinet.com.au/images/MicrosoftExchange_Logo.gif

12.00

Normal
0

false
false
false

EN-GB
X-NONE
X-NONE

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:”Table Normal”;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:””;
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:”Calibri”,”sans-serif”;
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-fareast-language:EN-US;}
3. Memblokir file yang tidak dapat diperiksa isinya

File .zip sebelumnya termasuk ke dalam daftar attachment yang diblokir, tetapi virus scanner saat ini telah semakin berkembang sehingga memungkinkan dilakukannya pemeriksaan file di dalam suatu .zip archive. Dengan demikian, proses pengiriman dan penerimaan file .zip menjadi lebih aman dan karenanya tidak lagi diblokir dalam email. Apabila file .zip mengandung file dengan tipe tertentu yang diblokir atau mengandung file yang terinfeksi virus dan sebagainya, keseluruh archive .zip akan dihilangkan dari email. Bagaimanapun, virus scanner tidak dapat memeriksa file .zip yang dilindungi dengan password.  Karena alasan keamanan, jenis file ini tidak diperbolehkan untuk disertakan sebagai attachment pada email.

 

12.00

Normal
0

false
false
false

EN-GB
X-NONE
X-NONE

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:”Table Normal”;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:””;
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:”Calibri”,”sans-serif”;
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-fareast-language:EN-US;}
4. Melakukan pengecekan dan karantina attachment serta disaktivasi hyperlink

Whitelisted email content filtering juga meliputi penyimpanan attachment berupa file PDF dan Microsoft Office sebagai arsip dan pemeriksaan ulang keberadaan virus setelah sebulan. Attachment juga dikarantina dan hyperlink dilumpuhkan apabila ditemukan pada email dengan layanan webmail yang menyediakan alamat email gratis kepada pengguna internet siapa saja, karena jenis email demikian tentunya lebih rawan dimanfaatkan untuk melakukan penyerangan.

12.00

Normal
0

false
false
false

EN-GB
X-NONE
X-NONE

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:”Table Normal”;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:””;
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:”Calibri”,”sans-serif”;
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-fareast-language:EN-US;}


5. Melakukan pemeriksaan pada sandbox virtual

Digunakan pula teknologi yang dapat secara otomatis membuka atau menjalankan email attachment di dalam suatu sandbox virtual untuk mendeteksi perilaku yang bersifat anomali, misalnya pada lalu lintas jaringan serta perubahan pada file system atau registry. Salah satu aplikasi yang dapat digunakan adalah Threat Emulation, yang merupakan aplikasi yang untuk mencegah infeksi dari malware dengan metode tersebut. Mula-mula, Threat Emulation akan mengidentifikasi file yang berada di dalam email attachment ataupun file yang telah diunduh. Akan ditentukan apakah file tersebut aman atau berbahaya dan mengunggah file tersebut ke suatu virtual sandbox yang berada di cloud. Selanjutnya, file dibuka di dalam suatu virtual sandbox, dan dilakukan pemantauan terhadap perilaku abnormal dari file system, system registry, koneksi jaringan, serta system processes. Penggunaan aplikasi ini merupakan salah satu bentuk tindakan preventif untuk mengidentifikasi file berbahaya serta menghapusnya sebelum file tersebut menginfeksi PC.



Pentingnya kewaspadaan pengguna

Untuk menghindari konten yang berbahaya pada email, selain penerapan metode filtering pada email secara teknis, sebaiknya penerima email pun membudayakan untuk berhati-hati dalam membuka link ataupun mengunduh attachment yang dikirimkan bersama dengan email. Misalnya, apabila email yang berasal dari orang ataupun pihak lain yang tidak dikenal diterima, konten email maupun attachment yang datang bersama dengan email tidak dapat dipastikan keamanannya, sehingga sebaiknya tidak dibuka.

 

Sumber

http://www.spamlaws.com/different-types-email-exploits.html

http://www.dsd.gov.au/infosec/top35mitigationstrategies.htm

https://wiki.csuchico.edu/confluence/display/help/Blocked+E-mail+Attachments+File+Types

http://code.google.com/p/xdpdf/

http://www.zonealarm.com/security/en-us/products/threat-emulation.htm#!prettyPhoto

http://catalog.csuchico.edu/viewer/11/TRADITIONS/photo/SEAL.html

http://www.vinet.com.au/hosted/exchange

v:* {behavior:url(#default#VML);}
o:* {behavior:url(#default#VML);}
w:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}

12.00

Normal
0
false

false
false
false

EN-GB
X-NONE
X-NONE

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:”Table Normal”;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:””;
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:”Calibri”,”sans-serif”;
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-fareast-font-family:”Times New Roman”;
mso-fareast-theme-font:minor-fareast;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;}
table.MsoTableGrid
{mso-style-name:”Table Grid”;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-priority:59;
mso-style-unhide:no;
border:solid windowtext 1.0pt;
mso-border-alt:solid windowtext .5pt;
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-border-insideh:.5pt solid windowtext;
mso-border-insidev:.5pt solid windowtext;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:”Calibri”,”sans-serif”;
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-fareast-language:EN-US;}
table.MsoTableLightListAccent6
{mso-style-name:”Light List – Accent 6″;
mso-tstyle-rowband-size:1;
mso-tstyle-colband-size:1;
mso-style-priority:61;
mso-style-unhide:no;
border:solid #F79646 1.0pt;
mso-border-themecolor:accent6;
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:”Calibri”,”sans-serif”;
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-fareast-language:EN-US;}
table.MsoTableLightListAccent6FirstRow
{mso-style-name:”Light List – Accent 6″;
mso-table-condition:first-row;
mso-style-priority:61;
mso-style-unhide:no;
mso-tstyle-shading:#F79646;
mso-tstyle-shading-themecolor:accent6;
mso-para-margin-top:0cm;
mso-para-margin-bottom:0cm;
mso-para-margin-bottom:.0001pt;
line-height:normal;
color:white;
mso-themecolor:background1;
mso-ansi-font-weight:bold;
mso-bidi-font-weight:bold;}
table.MsoTableLightListAccent6LastRow
{mso-style-name:”Light List – Accent 6″;
mso-table-condition:last-row;
mso-style-priority:61;
mso-style-unhide:no;
mso-tstyle-border-top:2.25pt double #F79646;
mso-tstyle-border-top-themecolor:accent6;
mso-tstyle-border-left:1.0pt solid #F79646;
mso-tstyle-border-left-themecolor:accent6;
mso-tstyle-border-bottom:1.0pt solid #F79646;
mso-tstyle-border-bottom-themecolor:accent6;
mso-tstyle-border-right:1.0pt solid #F79646;
mso-tstyle-border-right-themecolor:accent6;
mso-para-margin-top:0cm;
mso-para-margin-bottom:0cm;
mso-para-margin-bottom:.0001pt;
line-height:normal;
mso-ansi-font-weight:bold;
mso-bidi-font-weight:bold;}
table.MsoTableLightListAccent6FirstCol
{mso-style-name:”Light List – Accent 6″;
mso-table-condition:first-column;
mso-style-priority:61;
mso-style-unhide:no;
mso-ansi-font-weight:bold;
mso-bidi-font-weight:bold;}
table.MsoTableLightListAccent6LastCol
{mso-style-name:”Light List – Accent 6″;
mso-table-condition:last-column;
mso-style-priority:61;
mso-style-unhide:no;
mso-ansi-font-weight:bold;
mso-bidi-font-weight:bold;}
table.MsoTableLightListAccent6OddColumn
{mso-style-name:”Light List – Accent 6″;
mso-table-condition:odd-column;
mso-style-priority:61;
mso-style-unhide:no;
mso-tstyle-border-top:1.0pt solid #F79646;
mso-tstyle-border-top-themecolor:accent6;
mso-tstyle-border-left:1.0pt solid #F79646;
mso-tstyle-border-left-themecolor:accent6;
mso-tstyle-border-bottom:1.0pt solid #F79646;
mso-tstyle-border-bottom-themecolor:accent6;
mso-tstyle-border-right:1.0pt solid #F79646;
mso-tstyle-border-right-themecolor:accent6;}
table.MsoTableLightListAccent6OddRow
{mso-style-name:”Light List – Accent 6″;
mso-table-condition:odd-row;
mso-style-priority:61;
mso-style-unhide:no;
mso-tstyle-border-top:1.0pt solid #F79646;
mso-tstyle-border-top-themecolor:accent6;
mso-tstyle-border-left:1.0pt solid #F79646;
mso-tstyle-border-left-themecolor:accent6;
mso-tstyle-border-bottom:1.0pt solid #F79646;
mso-tstyle-border-bottom-themecolor:accent6;
mso-tstyle-border-right:1.0pt solid #F79646;
mso-tstyle-border-right-themecolor:accent6;}

12.00

Normal
0

false
false
false

EN-GB
X-NONE
X-NONE

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:”Table Normal”;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:””;
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:”Calibri”,”sans-serif”;
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-fareast-language:EN-US;}

Network Based IDPS (IDPS Berbasis Jaringan)

Artikel ini merupakan lanjutan dari MENANGANI SERANGAN INTRUSI MENGGUNAKAN IDS DAN IPS

Sebuah IDPS berbasis jaringan memonitor lalu lintas jaringan untuk segmen jaringan atau perangkat tertentu dan menganalisa protokol network, transportation, dan application untuk mengidentifikasi aktivitas yang mencurigakan. Tulisan ini diawali gambaran singkat tentang TCP / IP. Selanjutnya, akan dijelaskan komponen utama IDPS berbasis jaringan dan arsitektur yang biasa digunakan. Berikutnya akan dijelaskan kemampuan keamanannya, termasuk metodologi yang digunakan untuk mengidentifikasi aktivitas yang mencurigakan.

1.      Ringkasan Mengenai TCP/IP

TCP / IP secara luas telah digunakan sebagai protokol jaringan komunikasi. Protokol TCP / IP terdiri dari empat lapisan yang bekerja sama. Ketika seorang pengguna ingin mentransfer data melalui jaringan, data dilewatkan dari lapisan tertinggi, lalu ke lapisan menengah, dan terakhir ke lapisan terendah, dengan setiap lapisan menambahkan informasi lebih lanjut. Lapisan terendah mengirimkan data yang terakumulasi melalui jaringan fisik ke tujuannya. Pada dasarnya, data yang dihasilkan oleh sebuah lapisan, akan dibungkus oleh lapisan bawahnya sehingga paket data menjadi lebih besar. Penjelasan ini diilustrasikan oleh Gambar 1.

 tcpip

Gambar 1 Pembangunan paket dat pada TCP/IP

Keempat lapisan TCP / IP, dari tertinggi ke terendah, ditunjukkan pada Gambar 2.

Lapisan Aplikasi. Lapisan ini mengirim dan menerima data untuk aplikasi tertentu. Contohnya adalah Domain Name System (DNS), Hypertext Transfer Protocol (HTTP), dan Simple Mail Transfer Protocol (SMTP).
Lapisan Transport. Layer ini menyediakan layanan connection-oriented atau connectionless untuk memindahkan layanan lapisan aplikasi antar jaringan. Lapisan transport ini dapat digunakan untuk memastikan reliability dari komunikasi. Transmission Control Protocol (TCP) dan User Datagram Protocol (UDP) merupakan protokol yang biasa digunakan pada lapisan transport ini.
Aplikasi Jaringan (juga disebut lapisan internet protocol (IP)). Lapisan ini menentukan rute paket data saat melalui jaringan. IPv4 merupakan protokol dasar yang sering digunakan untuk TCP/IP. Prtotokol lain yang digunakan adalah Ipv6, Internet Control Message Protocol (ICMP), dan Internet Group Management Protocol (IGMP).
Lapisan Fisik (juga disebut lapisan data link). Lapisan ini melakukan komunikasi melalui komponen fisik jaringan. Protokol yang biasa digunakan adalah Ethernet.

Gambar 2 Lapisan pada TCP/IP[1]

 2.      Komponen dan Arsitektur

Pada bagian ini akan dijelaskan mengenai komponen utama dari IDPS berbasis jaringan dan akan diilustrasikan arsitektur jaringannya yang sering digunakan.

2.1.  Komponen Utama

Sebuah IDPS berbasis jaringan terdiri dari sensor, satu atau lebih server manajemen, beberapa konsol, dan secara opsional satu atau lebih database server. Kebanyakan IDPS menggunakan beberapa sensor, bahkan untuk jaringan yang besar, digunakan ratusan sensor. Terdapat dua jenis sensor, yaitu:

2.1.1.      Perangkat Keras dan Perangkat Lunak

Sensor jenis ini terdiri dari perangkat keras dan perangkat lunak khusus sensor. Perangkat keras biasanya dioptimalkan untuk penggunaan sensor, termasuk NIC khusus dan driver NIC untuk menangkap paket secara efisien, dan prosesor khusus atau komponen perangkat keras lainnya yang membantu dalam analisis. Sebagian atau seluruh perangkat lunak IDPS berada dalam firmware untuk meningkatkan efisiensi. Sensor jenis ini sering menggunakan Operating System (OS) yang telah diperkuat sehingga administrator tidak dapat mengakses langsung.

2.1.2.      Perangkat Lunak Saja

Beberapa vendor menjual perangkat lunak sensor tanpa perangkat kerasnya. Administrator dapat menginstal perangkat lunak ke host yang memenuhi spesifikasi tertentu. Perangkat lunak sensor ini termasuk OS yang customized.

2.2.  Arsitektur Jaringan dan Lokasi Sensor

Untuk memilih arsitektur jaringan yang sesuai untuk komponen IDPS, administrator perlu menentukan di mana sensor IDPS harus ditempatkan. Sensor dapat digunakan menggunakan salah satu dari dua mode berikut ini:

2.2.1.      Inline (dalam jalur jaringan)

Sebuah sensor inline digunakan agar setiap lalu lintas jaringan itu melewati sensor ini, seperti arus lalu lintas pada firewall. Bahkan, beberapa sensor inline sudah terdapat dalam firewall, perangkat ini disebutperangkat hibrida. Tujuan utama untuk menggunakan sensor inline adalah untuk membuat IDPS dapat menghentikan serangan dengan memblokir lalu lintas jaringan. Sensor Inline biasanya ditempatkan di tempat firewall dan perangkat keamanan jaringan lainnya akan ditempatkan, contohnya di tempat antara jaringan eksternal dan internal. Sensor inline yang tidak digabung dengan firewall seringnya diletakkan di sisi yang lebih aman (internal) sehingga sensor ini hanya memiliki sedikit lalu lintas untuk diproses. Gambar 3 menunjukkan rangkaian penggunaan sensor inline ini. Sensor ini juga dapat ditempatkan di sisi yang kurang aman (eksternal) untuk menyediakan perlindungan dan mengurangi beban pada perangkat pembagi, seperti firewall.

 inline

Gambar 3 Contoh Arsitektur Jaringan yang Menggunakan Sensor Inline IDPS Berbasis Jaringan[1]

 2.2.2.      Pasif

Sebuah sensor pasif digunakan untuk memantau salinan lalu lintas jaringan yang sebenarnya, sebenarnya lalu lintas jaringan tersebut tidak benar-benar melewati sensor ini. Sensor pasif biasanya digunakan, sehingga mereka dapat memantau lokasi jaringan utama (penting), seperti aktivitas di subnet zona demiliterisasi (DMZ). Sensor pasif dapat memonitor lalu lintas melalui berbagai metode, sebagai berikut:

  • Spanning Port, biasanya switches memiliki spanning port, dimana dari sebuah port tersebut dapat dilihat seluruh lalu lintas jaringan yang melewati switch tersebut.
  • Network Tap, merupakan koneksi langsung antara sensor dengan media jaringan secara fisik, contohnya kabel UTP atau Fiber Optic. Network Tap ini menyediakan salinan seluruh lalu lintas jaringan yang melewati media tersebut kepada sensor.
  • IDS Load Balancer, merupakan suatu alat yang dapat mengumpulkan dan mengarahkan lalu lintas jaringan untuk memantau sistem, termasuk sensor IDPS.

Gambar 4 menunjukkan contoh arsitektur jaringan yang menggunakan sensor IDPS berbasis jaringan secara pasif.

 pasif

Gambar 4 Contoh Arsitektur Jaringan yang Menggunakan Sensor pasif IDPS Berbasis Jaringan[1]

3.      Kemampuan Pengamanan

IDPS berbasis jaringan menyediakan beberapa kemampuan pengamanan, mulai dari pengumpulan informasi, pembuatan log, pendeteksian dan pencegahan. Bahkan beberapa IDPS berbasis jaringan lainnya juga menyediakan fungsi Security Information and Event Management (SIEM), namun fungsi belum dibahas pada tulisan ini.

3.1.      Kemampuan Mengumpulkan Informasi

IDPS berbasis jaringan dapat memberikan layanan pengumpulan informasi, yang artinya IDPS dapat mengumpulkan informasi dari host dan aktivitas jaringan. Contoh kemampuan mengumpulkan informasi sebagai berikut:

  • Identifikasi Host. Sensor IDPS dapat membuat daftar host yang berada di jaringan organisasi berdasarkan IP address atau MAC address. Daftar tersebut dapat digunakan sebagai landasan untuk mengidentifikasi host baru dalam jaringan.
  • Identifikasi Operating System. Sensor IDPS dapat mengidentifikasi OS dan versi OS yang digunakan oleh setiap host dalam jaringan organisasi menggunakan beberapa cara. Salah satunya adalah menganalisa packet header yang identik tiap OSnya, metode ini disebut passive fingerprinting. Dengan mengetahui versi OS, dapat membantu untuk mengidentifikasi kelemahan yang mungkin muncul.
  • Identifikasi Aplikasi. Untuk beberapa aplikasi, sensor IDPS dapat mengidentifikasi versi aplikasi yang digunakan dengan mengetahui port mana yang digunakan dan memantau karakteristik komunikasi aplikasi tersebut. Dengan mengetahui versi aplikasi, dapat membantu untuk mengidentifikasi kelemahan yang mungkin muncul.
  • Identifikasi Karakteristik Jaringan. Beberapa sensor IDPS mengumpulkan informasi umum mengenai lalu lintas jaringan yang berhubungan dengan konfigurasi dari host dan peralatan jaringan. Informasi ini dapat digunakan untuk mendeteksi perubahan dari konfigurasi jaringan.

3.2.      Kemampuan Pembuatan Log

IDPS berbasis jaringan dapat melakukan pembuatan log dari data yang berhubungan dengan kejadian yang terdeteksi. Data ini dapat digunakan untuk mengonfirmasi kebenaran dari alarm, untuk menginvestigasi insiden, dan untuk menghubungkan kejadian antara yang disimpan oleh IDPS dan alat log lainnya. Data yang biasanya disimpan dalam log adalah sebagai berikut:

–          Timestamp (tanggal dan waktu)

–          Connection ID atau Session ID

–          Kejadian atau tipe peringatan

–          Rating (prioritas, dampak, severity, confidence)

–          Protokol Network, transport dan application layer

–          Alamat IP asal dan tujuan

–          Port TCP atau UDP asal dan tujuan, atau tipe ICMP dan kodenya

–          Jumlah bytes yang ditransmisi pada koneksi tersebut

–          Decoded payload data, seperti request dan response aplikasi

–          Informasi state-related (misalnya username yang terotentikasi)

–          Aksi preventif yang dilakukan (jika ada)

3.3.       Kemampuan Deteksi

IDPS berbasis jaringan dapat menyediakan kemampuan deteksi yang luas. Kebanyakan produk IDPS menggunakan kombinasi dari pendeteksian menggunakan signature-based, anomaly-based, dan stateful protocol analysis. Beberapa tipe kejadian yang dapat dideteksi oleh sensor IDPS berbasi jaringan adalah sebagai berikut:

  1. Serangan dan Reconnaissance pada Application Layer (misalnya banner grabbing, buffer overflows, serangan format string, penebakan password, dan transmisi malware). Reconnaissance merupakan kegiatan mengumpulkan informasi sebanyak-banyaknya mengenai korban untuk dapat memulai serangan. Kebanyakan IDPS berbasis jaringan menganalisa protokol aplikasi. Contohnya  Dynamic Host Configuration Protocol (DHCP), DNS, Finger, FTP, HTTP, Internet Message Access Protocol (IMAP), Internet Relay Chat (IRC), Network File System (NFS), Post Office Protocol (POP), rlogin/rsh, Remote Procedure Call (RPC), Session Initiation Protocol (SIP), Server Message Block (SMB), SMTP, SNMP, Telnet, dan Trivial File Transfer Protocol (TFTP), protokol database juga dianalisa, seperti aplikasi instant messaging, dan perangkat lunak peer-to-peer file sharing.
  2. Serangan dan Reconnaissance pada Transport layer (misalnya port scanning, fragmentasi paket yang tidak biasa, dan SYN floods). Protokol yang paling sering dianalisa adalah TCP and UDP.
  3. Serangan dan Reconnaissance pada Network layer (misalnya IP address palsu dan nilai IP header yang ilegal). Protokol yang paling sering dianalisa adalah IPv4, ICMP, and IGMP.
  4. Layanan Aplikasi yang Tidak Diharapkan (misalnya tunneled protocols, backdoors, dan Host menjalankan layanan aplikasi yang tidak terotorisasi). Hal ini biasanya terdeteksi melalui metode analisis stateful protocol, yang dapat menentukan apakah aktivitas dalam sambungan, konsisten dengan protokol aplikasi yang diharapkan, atau melalui metode deteksi anomali, yang dapat mengidentifikasi perubahan lalu lintas jaringan dan port yang terbuka pada host.
  5. Pelanggaran Kebijakan (misalnya pengaksesan web site yang dilarang dan menggunakan protokol aplikasi yang dilarang). Pelanggaran kebijakan dapat dideteksi oleh IDPS yang mengizinkan administrator untuk mengatur karakteristik dari aktivitas yang dilarang, seperti nomor port TCP atauUDP, IP address, nama web site, dan data lainnya yang dapat diidentifikasi dengan melihat lalu lintas jaringan.

3.4.      Kemampuan Pencegahan

IDPS berbasis jaringan memiliki beberapa kemampuan pencegahan. Berikut ini akan dijelaskan kemampuan tersebut berdasarkan jenis sensornya.

                    i.            Pasif saja

Mengakhiri Sesi TCP. Sebuah sensor pasif dapat mencoba untuk mengakhiri sesi TCP yang ada dengan mengirimkan paket reset TCP ke kedua belah pihak, hal ini kadang-kadang disebut session sniping. Sensor melakukan ini untuk membuat seolah-olah bahwa kedua belah pihak mencoba untuk mengakhiri sambungan. Tujuannya adalah agar salah satu pihak mengakhiri sambungan sebelum serangan terjadi.

                  ii.            Inline saja

–          Performing Inline Firewalling. Kebanyakan sensor IDPS yang inline memiliki kemampuan firewall yang dapat digunakan untuk drop atau menolak aktivitas jaringan yang mencurigakan.

–          Throttling Bandwidth Usage. Jika protokol tertentu digunakan secara tidak tepat, misalnya untuk serangan DoS, distribusi malware, atau file sharing peer-to-peer, beberapa sensor IDPS yang inline dapat membatasi bandwidth yang dapat digunakan. Hal ini mencegah dampak negatif penggunaan bandwidth untuk kegiatan lainnya.

–          Altering Malicious Content. beberapa sensor IDPS yang inline dapat membersihkan bagian dari sebuah paket, yang berarti bahwa konten berbahaya diganti menjadi konten jinak dan paket yang telah bersih dikirim ke tujuannya. Sebuah sensor yang bertindak sebagai proxy dapat melakukan normalisasi otomatis dari semua lalu lintas, seperti pengemasan ulang payload aplikasi dalam paket baru. Hal ini akan memiliki efek pembersihan beberapa serangan yang melibatkan header paket dan beberapa header aplikasi, baik IDPS telah mendeteksi serangan atau belum. Beberapa sensor juga dapat membuang lampiran e-mail yang terinfeksi dan menghapus bagian lain yang mengandung konten berbahaya dari lalu lintas jaringan.

 

                iii.            Pasif dan Inline

–          Konfigurasi Kembali Peralatan Keamanan Jaringan Lainnya. Banyak sensor IDPS dapat menginstruksikan perangkat keamanan jaringan seperti firewall, router, dan switch untuk mengkonfigurasi ulang dirinya sendiri untuk memblokir beberapa jenis kegiatan atau mengarahkan ke tempat lain. Hal ini dapat membantu dalam beberapa situasi, seperti menjaga jaringan dari seorang penyerang eksternal dan mengkarantina host internal yang telah dirusak (misalnya, pindah ke VLAN yang terkarantina). Teknik pencegahan ini hanya berguna untuk lalu lintas jaringan yang dapat dibedakan berdasarkan karakteristik paket header yang biasanya diakui oleh perangkat keamanan jaringan, seperti alamat IP dan nomor port.

–          Menjalankan Program atau Script dari Pihak Ketiga. Beberapa sensor IDPS dapat menjalankan script atau program yang ditentukan oleh administrator, kapan aktivitas berbahaya tertentu terdeteksi. Hal ini dapat memicu tindakan pencegahan yang diinginkan oleh administrator, seperti konfigurasi ulang perangkat keamanan lainnya untuk memblokir aktivitas berbahaya. Program atau script pihak ketiga biasanya digunakan ketika IDPS tidak mendukung tindakan pencegahan yang administrator ingin lakukan.

4.      Contoh Insiden yang Dapat Dideteksi dan Dicegah

Berdasarkan penjelasan pada poin 3, maka IDPS berbasis jaringan dapat mendeteksi dan mencegah beberapa insiden, diantaranya banner grabbing, buffer overflows, serangan format string, penebakan password, transmisi malware, port scanning, fragmentasi paket yang tidak biasa, SYN floods, IP address palsu, nilai IP header yang ilegal, tunneled protocols, backdoors, Host menjalankan layanan aplikasi yang tidak terotorisasi, pengaksesan web site yang dilarang dan menggunakan protokol aplikasi yang dilarang. Kemampuan deteksi dan pencegahan insiden tersebut bergantung dari konfigurasi IDPS yang digunakan.

5.      Contoh Perangkat Lunak IDPS

Contoh perangkat lunak IDS dan IPS berbasis jaringan adalah SNORT. Perangkat lunak ini merupakan freeware dan dapat digunakan siapa saja. Sedangkan untuk perangkat lunak unix-based, terdapat freeware BRO yang dapat digunakan. Gambar 5 menunjukkan lambang SNORT, sedangkan Gambar 6 menunjukkan lambang BRO.

snort             logo-bro

Gambar 5 Lambang SNORT[2]                              Gambar 6 Lambang BRO[3]

Referensi:

[1] Scarfone Karen, Mell Peter, “Network Based IDPS” in Guide to Intrusion Detection and Prevention Systems (IDPS),  Special Publication 800-94, National Institute of Standards and Technology, 2007.

[2] http://www.snort.org/

[3] http://www.bro.org/

M. Erza Aminanto – 23213058 & Gian N. L. – 13209104

MENANGANI SERANGAN INTRUSI MENGGUNAKAN IDS DAN IPS

ABSTRAK SINGKAT

Pada tulisan ini akan dibahas salah satu teknologi untuk menangani intrusi dalam suatu jaringan. Teknologi tersebut disebut IDPS, yaitu Intrusion Detection and Prevention Systems. IDPS ini dapat dibagi dua, yaitu IDS dan IPS. IDS digunakan untuk hanya mendeteksi adanya intrusi sedangkan IPS dapat digunakan juga menghentikan intrusi. Baik IDS maupun IPS juga terdapat dua jenis, host-based dan network-based. Pada tulisan ini juga akan dibahas mengenai metode pendeteksian yang digunakan oleh IDPS ini, serta komponen yang digunakan.

PENDAHULUAN

Penggunaan internet saat ini merupakan suatu kebutuhan yang tidak dapat dihindari lagi. Dengan internet, segala sesuatunya akan menjadi lebih mudah. Namun dibalik semua kemudahan dan keuntungan yang didapatkan dengan hadirnya internet, terdapat pula masalah yang mengikutinya. Dalam beberapa tahun ini, masalah keamanan telah menjadi fokus utama dalam dunia jaringan komputer, hal ini disebabkan tingginya ancaman yang mencurigakan (suspicious threat) dan serangan dari Internet. Keamanan Informasi merupakan salah satu kunci yang dapat mempengaruhi tingkat Reliability (termasuk performa dan availability) suatu jaringan. Untuk mengatasi masalah keamanan jaringan dan komputer ada banyak pendekatan yang dapat dilakukan. Salah satunya adalah dengan menggunakan sistem IDS (Intrution Detection System) dan IPS (Intrusion Prevention System).

DEFINISI DAN KLASIFIKASI

IDS (Intrution Detection System) adalah sebuah sistem yang melakukan pengawasan terhadap lalulintas (traffic) jaringan dan pengawasan terhadap kegiatan-kegiatan yang mencurigakan didalam sebuah sistem jaringan. Jika ditemukan kegiatan-kegiatan yang mencurigakan berhubungan dengan lalulintas jaringan, maka IDS akan memberikan peringatan kepada sistem atau administrator jaringan. Dalam banyak kasus IDS juga merespon terhadap lalulintas yang tidak normal / anomali melalui aksi pemblokiran user atau alamat IP (Internet Protocol) yang melakukan usaha pengaksesan jaringan tersebut.

IPS (Intrusion Prevention System) adalah sebuah sistem yang menggabungkan fungsi firewall dan fungsi IDS dengan proporsional. Teknologi ini dapat digunakan untuk mencegah serangan yang akan masuk ke jaringan lokal dengan memeriksa dan mencatat semua paket data serta mengenali paket dengan sensor, disaat serangan telah teridentifikasi, IPS akan menolak akses (block) dan mencatat (log) semua paket data yang teridentifikasi tersebut. Jadi IPS bertindak sepeti layaknya firewall yang akan melakukan allow dan block yang dikombinasikan dengan IDS yang dapat mendeteksi paket secara detail. IPS menggunakan signatures dari paket untuk mendeteksi aktivitas lalulintas di jaringan dan terminal, dimana pendeteksian paket yang masuk dan keluar (inbound-outbound) dapat di cegah sedini mungkin sebelum merusak atau mendapatkan akses ke dalam jaringan lokal. Jadi early detection dan prevention menjadi penekanan pada IPS ini.

IDS dan IPS secara umum dikenal sebagai IDPS (Intrusion Detection and Prevention Systems). Biasanya dalam suatu perangkat keras memiliki fungsi IDS maupun IPS. Gambar 1 menunjukkan pembagian fungsi IDPS. Terdapat dua tipe IDS, yaitu NIDS dan HIDS. IPS juga memiliki dua tipe, yaitu NIPS dan HIPS.

hirarki
Gambar 1 Hirarki IDPS

  • NIDS (Network based IDS)

Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada “pintu masuk” jaringan. Idealnya semua traffic yang berasal dari luar dan dalam jaringan di lakukan proses scan, namun cara ini dapat menyebabkan bottleneck yang mengganggu kecepatan akses di seluruh jaringan. Posisi dari NIDS dalam suatu jaringan dapat dilihat pada Gambar 2.

  • HIDS (Host based IDS)

IDS jenis ini diletakkan pada host yang berdiri sendiri atau perlengkapan dalam sebuah jaringan. Sebuah HIDS melakukan pengawasan terhadap paket-paket yang berasal dari dalam maupun dari luar hanya pada satu alat saja dan kemudian memberi peringatan kepada user atau administrator sistem jaringan akan adanya kegiatankegiatan yang mencurigakan yang terdeteksi oleh HIDS. Posisi dari HIDS dalam suatu jaringan dapat dilihat pada Gambar 2.

 NHIDS

Gambar 2 Peletakkan NIDS dan HIDS dalam Sebuah Jaringan

  • NIPS (Network based IPS)

NIPS yang juga disebut sebagai “In-line proactive protection”, menahan semua trafik jaringan dan menginspeksi kelakuan dan kode yang mencurigakan. Karena menggunakan in-line model, performansi tinggi merupakan sebuah elemen krusial dari perangkat IPS untuk mencegah terjadinya bottleneck pada jaringan. Posisi dari NIPS dalam suatu jaringan dapat dilihat pada Gambar 3.

  • HIPS (Host based IPS)

HIPS bekerja dengan memaksa sekelompok perangkat lunak fundamental untuk berkovensi secara konstan. Hal ini disebut dengan Application Binary Interface (ABI). Hampir tidak mungkin untuk membajak sebuah aplikasi tanpa memodifikasi ABI, karena konvensi ini bersifat universal di antara aplikasi-aplikasi yang dimodifikasi. HIPS merupakan sebuah system pecegahan yang terdiri dari banyak layer, menggunakan packet filtering, inspeksi status dan metode pencegahan intrusi yang bersifat real-time untuk menjaga host berada di bawah keadaan dari efisiensi performansi yang layak. Mekanisme kerjanya yaitu dengan mencegah kode-kode berbahaya yang memasuki host agar tidak dieksekusi tanpa perlu untuk mengecek threat signature. Posisi dari HIPS dalam suatu jaringan dapat dilihat pada Gambar 3.

 NHIPS

Gambar 3 Peletakkan NIPS dan HIPS dalam Sebuah Jaringan

Dari definisi dan klasifikasi IDS dan IPS yang sudah dijabarkan, terdapat perbedaan mendasar antara IDS dan IPS. Perbedaannya adalah IDS tidak berada in-line dalam jaringan, atau dengan kata lain IDS “hanya” memantau jaringan saja dengan cara “terhubung” atau “tap” ke jaringan. Sedangkan IPS berada in-line dalam jaringan. Sehingga ketika terdapat serangan atau akses yang mencurigakan, maka IPS dapat langsung menutup akses tersebut. Perbedaan IDS dan IPS dari peletakannya dalam jaringan ditunjukkan oleh Gambar 4.

perbedaan

Gambar 4 Perbedaan IDS dan IPS Ditinjau dari Peletakannya

Untuk lebih detailnya, perbedaan IDS dan IPS dapat dilihat pada tabel 1.

Tabel 1 Perbedaan IDS dan IPS[2]

tabel perbedaan

Metode Deteksi  

IDPS memiliki  3 metode untuk melakukan deteksi, yaitu signatured-based, anomaly-based, dan stateful protocol analysis. Ketiga metode ini dapat digunakan sekaligus atau sebagain aja.

  • Signatured-Based Detection

Metode ini dilakukan dengan membandingkan signature dari setiap paket untuk mengidentifikasi  kemungkinan adanya intrusi. Metode ini efektif bila IDPS mendeteksi ancaman yang sudah di kenal, tetapi tidak efektif  bila ancamannya baru atau tidak di kenal oleh IDPS. Pengertian dikenal dalam konteks ini adalah sudah pernah terjadi sebelumnya.. Metode ini merupakan metode yang paling sederhana, karena hanya membandingkan paket data, lalu di daftarkan menggunakan operasi perbandingan. Kelemahannya adalah metode ini tidak dapat melacak kejadian yang terjadi pada komunikasi yang  lebih kompleks.

  • Anomaly-Based Detection

Metode ini digunakan dengan membandingkan kegiatan yang sedang di pantau dengan kegiatan yang di anggap normal untuk mendeteksi adanya penyimpangan. Pada metode ini, IDPS memiliki profil yang mewakili perilaku yang normal dari user, host, koneksi jaringan dan aplikasi. Profil tersebut didapat dari hasil pemantauan karakteristik dari suatu kegiatan dalam selang waktu tertentu. Kelebihan dari metode ini adalah efektif dalam mendeteksi ancaman yang belum dikenal, contohnya ketika jaringan diserang oleh tipe intrusi yang baru. Sedangkan kekurangan dari metode ini adalah dalam beberapa kasus, akan sulit untuk mendapatkan deteksi yang akurat dalam komunikasi yang lebih kompleks.

  • Stateful Protocol Analysis

Metode ini sebenarnya menyerupai anomaly-based, yaitu membandingkan profil yang sudah ada dengan kegiatan yang sedang berlangsung untuk mengidentifikasi penyimpangan. Namun, tidak seperti Anomaly-Based Detection yang menggunakan profil host, Stateful Protocol Analysis menggunakan profil yang lebih luas yang dapat merinci bagaimana sebuah protokol yang istimewa dapat digunakan atau tidak. Arti “Stateful” disini adalah sistem di IDPS ini bisa memahami dan melacak situasi pada protokol network, transport dan application. Kelebihan dari metode ini adalah dapat mengidentifikasi rangkaian perintah yang tidak terduga seperti mengeluarkan perintah yang sama berulang – ulang. Sedangkan kekurangannya adalah kemungkinan terjadinya bentrokan antara protokol yang digunakan oleh IDPS dengan protokol umum yang digunakan oleh sistem operasi, atau dengan kata lain sulit membedakan implementasi client dan server pada interaksi protokol.

Komponen

Ada beberapa tipe komponen pada IDPS seperti yang dijelaskan berikut ini:

  • Sensor atau Agent

Berfungsi memantau dan menganalisis kegiatan. Sensor biasanya digunakan IDPS untuk memantau jaringan, termasuk di dalamnya teknologi Network-Based, Wireless, dan Network Behavior Analysis. Sedangkan Agent biasanya diguakan IDPS untuk teknologi Host-Based.

  • Management Server

Management Server adalah perangkat terpusat yang berfungsi menerima informasi dari Sensor atau Agent dan kemudian mengelolanya. Dalam konteks ini terdapat istilah korelasi, yaitu menyamakan informasi yang berasal dari Sensor atau Agent yang bertingkat, seperti menemukan kejadian yang disebabkan oleh IP address yang sama. Management Server tersedia dalam bentuk hardware maupun software.

  • Database Server

Database Server adalah tempat menyimpan informasi yang di catat oleh Sensor, Agent, maupun Management Server.

  • Console

Console adalah program yang menyediakan interface ke user dan administrator IDPS. Beberapa Console digunakan hanya untuk hal administrasi IDPS saja, seperti menkonfigurasi Sensor atau Agent. Namun juga terdapat beberapa Console yang digunakan untuk administrasi maupun memonitor.

Bacaan lebih lanjut:

Network Based IDPS (IDPS Berbasis Jaringan)

Host-Based IDPS(IDPS Berbasis Host)

Referensi:

[1] Karen Scarfone, Peter Mell, Guide to Intrusion Detection and Prevention Systems (IDPS),  Special Publication 800-94, National Institute of Standards and Technology, 2007.

[2] Deris Stiawan, Intrusion Prevention System (IPS) dan Tantangan dalam pengembanganya, Jurusan Sistem Komputer, FASILKOM, Universitas Sriwijaya.

[3] Muhammad Rudyanto Arief, PENGGUNAAN SISTEM IDS (Intrution detection System) UNTUK PENGAMANAN JARINGAN DAN KOMPUTER, AMIKOM

[4] http://sived.wordpress.com/2012/05/12/mengenal-ids-dan-ips-dalam-keamanan-jaringan/

[5] http://www.brighthub.com/computing/smb-security/articles/2759.aspx#imgn_3

[6]http://kepinsinatra.wordpress.com/2013/04/09/intrusion-detection-and-prevention-system/#more-331

M. Erza Aminanto – 23213058 & Gian N. L. – 13209104