IDS dan IPS
A.
Intrution Detection System atau IDS
adalah
perangkat (atau aplikasi) yang memonitor jaringan dan / atau sistem untuk
kegiatan berbahaya atau pelanggaran kebijakan dan memberikan laporan ke
administrator atau station manajemen jaringan. Pencegahan intrusi / pemyusupkan
adalah proses melakukan deteksi intrusi dan mencoba untuk menghentikan insiden
yang mungkin terdeteksi.
Pada dasarnya ada dua tipe utama IDS,
yaitu,
1.
Network-Based IDS
Pada sebuah
network-
based intrusion-
detection
system (NIDS), sensor biasanya diletakan pada titik pintu gerbang
jaringan, seperti
demilitarized
zone (DMZ) atau pada perbatasan jaringan. Sensor akan menangkap
semua traffic jaringan, menganalisa isi masing-masing paket akan adanya traffic
yang tidak baik. NIDS, biasanya sebuah
platform independent yang
mengidentifitasi penyusupan dengan cara menganalisa traffic dan memonitor
beberapa host sekaligus. NIDS memperoleh akses ke traffic jaringan dengan
menyambungkan diri ke
hub,
network switch yang
di konfigurasi untuk
port mirroring,
atau
network tap. Contoh dari
sebuah NIDS adalah
Snort.
2.
Host-Based IDS
Pada sebuah
host-
based intrusion-
detection
system (HIDS), sensor biasanya terdiri dari
software agent,
yang akan memonitor semua aktifitas di host dimana dia terinstall biasanya
dengan menganalisa system call, modifikasi file system (mondifikasi
file
binary,
password,
capability / acl database, log berbagai
aplikasi, kernel. Contoh dari HIDS dalah
OSSEC,
tripwire.
Intrusion detection system dapat juga dibuat secara
spesifik untuk system yang kita inginkan menggunakan custom tools dan honeypots.
B.
IPS (Intrusion Prevention System)
Intrusion
Prevention System (IPS) adalah sebuah aplikasi yang bekerja untuk
monitoring traffic jaringan, mendeteksi aktivitas yang mencurigakan, dan
melakukan pencegahan dini terhadap intrusi atau kejadian yang dapat membuat
jaringan menjadi berjalan tidak seperti sebagaimana mestinya. Bisa jadi karena
adanya serangan dari luar, dan sebagainya.
IPS
sendiri dapat berupa perangkat keras (hardware) atau perangkat lunak
(software). Secara umum, ada dua jenis IPS, yaitu Host-based Intrusion Prevention
System (HIPS) dan Network-based Intrusion Prevention System (NIPS).
1.
Host-based Intrusion Prevention System
(HIPS) adalah sama seperti halnya Host-based Intrusion Detection System
(HIDS). Program agent HIPS diinstall secara langsung di sistem yang diproteksi
untuk dimonitor aktifitas sistem internalnya. HIPS di binding dengan kernel
sistem operasi dan services sistem operasi. Sehingga HIPS bisa memantau
dan menghadang system call yang dicurigai dalam rangka mencegah
terjadinya intrusi terhadap host.
2.
Network-based Intrusion Prevention System (NIPS) tidak melakukan
pantauan secara khusus di satu host saja. Tetapi melakukan pantauan dan
proteksi dalam satu jaringan secara global. NIPS menggabungkan fitur IPS dengan
firewall dan kadang disebut sebagai In-Line IDS atau Gateway Intrusion
Detection System (GIDS).Sistem kerja IPS yang populer yaitu pendeteksian
berbasis signature, pendeteksian berbasis anomali, dan monitoring berkas-berkas
pada sistem operasi host.
Berikut ini adalah Langkah-langlah untuk melakukan IDS (Intrusion
Detection System) dan IPS (Intrusion Prevention System). Disini saya
menggunakan aplikasi Snort dan WinPcap.
1.
Install Snort_2_9_15_1_Installer, lalu
klik I Agree.
2.
Untuk component Snort, centang Snort,
Dynamic Modules dan Documentation, klik Next.
3.
Tentukan direktori yang diinginkan.
4.
Proses instalasi sedang berjalan, tunggu sampai
selesai.
5.
Selanjutnya adalah install WinPcap_4_1_3.
6.
Pilih I Agree.
7.
Centang Automatically start the WinPcap
driver a boot time, lalu klik install.
8.
Tunggu proses instalasi sampai selesai kemudian
klik finish.
9.
Setelah itu, Buka Control Panel à
Network and Internet à Network Connections. Ini merupakan IP Address
yang diberikan otomatis pada laptop.
10. Buka
Command Prompt, kemudian lakukan uji coba ping. Pastikan sudah
terkoneksi dengan internet.
11. Untuk
mengecek nomor index dan versi snort, buka Command Prompt lalu arahkan ke
folder Snortàbin.
Setelah itu ketikkan perintah snort -W.
12. Lakukan
konfigurasi pada snort.conf (C:\Snort\etc). Cari ipvar HOME_NET any
dengan cara Ctrl+F, lalu ganti menjadi HOME_NET
192.168.43.0/24.
13. Cari
var RULE_PATH, ganti menjadi var RULE_PATH C:\Snort\rules.
14. Cari
dynamicpreprocessor, lalu ganti directory:
·
Semula dynamicpreprocessor
directory
/usr/local/lib/snort_dynamicpreprocessor/ ganti
menjadi dynamicpreprocessor
directory C:\Snort\lib\snort_dynamicpreprocessor.
·
Semula dynamicengine
/usr/local/lib/snort_dynamicengine/libsf_engine.so ganti menjadi dynamicengine
C:\Snort\lib\snort_dynamicengine\sf_engine.dll
·
Semula dynamicdetection
directory /usr/local/lib/snort_dynamicrules ganti menjadi dynamicdetection
directory C:\Snort\lib\snort_dynamicrules.
15. Buat
folder untuk snort dynamicrules pada C:\Snort\lib. Biarkan isinya kosong.
16. Cari
include classification.config, lalu beri tanda pagar(#), kemudian tambahkan
seperti gambar dibawah ini.
17. Cari
nested_ip inner, Ganti nested_ipinner , \ menjadi
nested_ip inner #. Kemudian beri tanda pagar (#) pada $WHITE_LIST_PATH/white_list.rules
dan blacklist
$BLACK_LIST_PATH/black_list.rules.
18. Cari
preprocessor, lalu beri tanda pagar(#) semuanya.
19. Cari
RULE_PATH, Lalu beri tanda pagar semua kecuali include $RULE_PATH
local.rules
20. Konfigurasi snort.conf sudah selesai, jangan lupa di save file
snort.conf yang telah dikonfigurasi tadi.
21. Selanjutnya adalah masuk ke Folder C:Snort\rules. Lalu buat file
dengan nama local.rules
22. Lalu isi file dengan rule ping iniàalert icmp any any -> any any (msg:"Seseorang
sedang melakukan PING!";sid:10000001;).
23. Kemudian masuk ketahap pengetesan. Masuk ke cmd masuk ke directory
c:/Snort/bin
Sytax diatas untuk men start
snort dan melihat log. -i1 adalah index dari snort
24. Snort berjalan tanpa error dan installasi sudah selesai.
25. Setelah itu lakukan percobaan PING DNS Google.
26. Lihat log pada cara ke-24
sebelumnya, jika berhasil maka akan muncul tulisan “Seseorang sedang melakukan
PING!” sesuai denga nisi file pada local.rules
