Keamanan Jaringan

IDS dan IPS

A.    Intrution Detection System atau IDS 

adalah perangkat (atau aplikasi) yang memonitor jaringan dan / atau sistem untuk kegiatan berbahaya atau pelanggaran kebijakan dan memberikan laporan ke administrator atau station manajemen jaringan. Pencegahan intrusi / pemyusupkan adalah proses melakukan deteksi intrusi dan mencoba untuk menghentikan insiden yang mungkin terdeteksi.

Pada dasarnya ada dua tipe utama IDS, yaitu,

1.      Network-Based IDS

Pada sebuah network-based intrusion-detection system (NIDS), sensor biasanya diletakan pada titik pintu gerbang jaringan, seperti demilitarized zone (DMZ) atau pada perbatasan jaringan. Sensor akan menangkap semua traffic jaringan, menganalisa isi masing-masing paket akan adanya traffic yang tidak baik. NIDS, biasanya sebuah platform independent yang mengidentifitasi penyusupan dengan cara menganalisa traffic dan memonitor beberapa host sekaligus. NIDS memperoleh akses ke traffic jaringan dengan menyambungkan diri ke hub, network switch yang di konfigurasi untuk port mirroring, atau network tap. Contoh dari sebuah NIDS adalah Snort.

2.      Host-Based IDS

Pada sebuah host-based intrusion-detection system (HIDS), sensor biasanya terdiri dari software agent, yang akan memonitor semua aktifitas di host dimana dia terinstall biasanya dengan menganalisa system call, modifikasi file system (mondifikasi file binary, password, capability / acl database, log berbagai aplikasi, kernel. Contoh dari HIDS dalah OSSEC, tripwire.

Intrusion detection system dapat juga dibuat secara spesifik untuk system yang kita inginkan menggunakan custom tools dan honeypots.

B.     IPS (Intrusion Prevention System)

Intrusion Prevention System (IPS) adalah sebuah aplikasi yang bekerja untuk monitoring traffic jaringan, mendeteksi aktivitas yang mencurigakan, dan melakukan pencegahan dini terhadap intrusi atau kejadian yang dapat membuat jaringan menjadi berjalan tidak seperti sebagaimana mestinya. Bisa jadi karena adanya serangan dari luar, dan sebagainya.

IPS sendiri dapat berupa perangkat keras (hardware) atau perangkat lunak (software). Secara umum, ada dua jenis IPS, yaitu Host-based Intrusion Prevention System (HIPS) dan Network-based Intrusion Prevention System (NIPS).

1.      Host-based Intrusion Prevention System (HIPS) adalah sama seperti halnya Host-based Intrusion Detection System (HIDS). Program agent HIPS diinstall secara langsung di sistem yang diproteksi untuk dimonitor aktifitas sistem internalnya. HIPS di binding dengan kernel sistem operasi dan services sistem operasi. Sehingga HIPS bisa memantau dan menghadang system call yang dicurigai dalam rangka mencegah terjadinya intrusi terhadap host.

2.      Network-based Intrusion Prevention System (NIPS) tidak melakukan pantauan secara khusus di satu host saja. Tetapi melakukan pantauan dan proteksi dalam satu jaringan secara global. NIPS menggabungkan fitur IPS dengan firewall dan kadang disebut sebagai In-Line IDS atau Gateway Intrusion Detection System (GIDS).Sistem kerja IPS yang populer yaitu pendeteksian berbasis signature, pendeteksian berbasis anomali, dan monitoring berkas-berkas pada sistem operasi host. 

  

Berikut ini adalah Langkah-langlah untuk melakukan IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System). Disini saya menggunakan aplikasi Snort dan WinPcap.

1.      Install Snort_2_9_15_1_Installer, lalu klik I Agree.

2.      Untuk component Snort, centang Snort, Dynamic Modules dan Documentation, klik Next.

3.      Tentukan direktori yang diinginkan.

4.      Proses instalasi sedang berjalan, tunggu sampai selesai.

5.      Selanjutnya adalah install WinPcap_4_1_3.

6.      Pilih I Agree.

7.      Centang Automatically start the WinPcap driver a boot time, lalu klik install.

8.      Tunggu proses instalasi sampai selesai kemudian klik finish.

9.      Setelah itu, Buka Control Panel à Network and Internet à Network Connections. Ini merupakan IP Address yang diberikan otomatis pada laptop.

10.  Buka Command Prompt, kemudian lakukan uji coba ping. Pastikan sudah terkoneksi dengan internet.

11.  Untuk mengecek nomor index dan versi snort, buka Command Prompt lalu arahkan ke folder Snortàbin. Setelah itu ketikkan perintah snort -W.

12.  Lakukan konfigurasi pada snort.conf (C:\Snort\etc). Cari ipvar HOME_NET any dengan cara Ctrl+F,  lalu ganti menjadi HOME_NET 192.168.43.0/24.

13.  Cari var RULE_PATH, ganti menjadi var RULE_PATH C:\Snort\rules.

14.  Cari dynamicpreprocessor, lalu ganti directory:

·         Semula dynamicpreprocessor directory

/usr/local/lib/snort_dynamicpreprocessor/ ganti menjadi dynamicpreprocessor
directory C:\Snort\lib\snort_dynamicpreprocessor.

·         Semula dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so ganti menjadi dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll

·         Semula dynamicdetection directory /usr/local/lib/snort_dynamicrules ganti menjadi dynamicdetection directory C:\Snort\lib\snort_dynamicrules.

15.  Buat folder untuk snort dynamicrules pada C:\Snort\lib. Biarkan isinya kosong.

16.  Cari include classification.config, lalu beri tanda pagar(#), kemudian tambahkan seperti gambar dibawah ini.

17.  Cari nested_ip inner, Ganti nested_ipinner , \ menjadi nested_ip inner #. Kemudian beri tanda pagar (#) pada $WHITE_LIST_PATH/white_list.rules dan blacklist
$BLACK_LIST_PATH/black_list.rules.

18.  Cari preprocessor, lalu beri tanda pagar(#) semuanya.

19.  Cari RULE_PATH, Lalu beri tanda pagar semua kecuali include $RULE_PATH
local.rules

20.  Konfigurasi snort.conf sudah selesai, jangan lupa di save file snort.conf yang telah dikonfigurasi tadi.

21.  Selanjutnya adalah masuk ke Folder C:Snort\rules. Lalu buat file dengan nama local.rules

22.  Lalu isi file dengan rule ping iniàalert icmp any any -> any any (msg:"Seseorang
sedang melakukan PING!";sid:10000001;).

23.  Kemudian masuk ketahap pengetesan. Masuk ke cmd masuk ke directory
c:/Snort/bin

Sytax diatas untuk men start snort dan melihat log. -i1 adalah index dari snort

24.  Snort berjalan tanpa error dan installasi sudah selesai.

25.  Setelah itu lakukan percobaan PING DNS Google.

26.  Lihat log pada cara ke-24 sebelumnya, jika berhasil maka akan muncul tulisan “Seseorang sedang melakukan PING!” sesuai denga nisi file pada local.rules