Sistem Untuk Mendeteksi Adanya Penyusup (IDS : Intrusion Detection System) Jutono Gondohanindijo Fakultas Ilmu Komputer Universitas AKI Abstract By the increasing use of network computer system in daily life, this system increasingly will be the target of crime, either by our enemies or by a real villain. IDS (Intrusion Detection System) is used to detect suspicious activity in a system or network. An attack or intrusion can be defined as "any set of actions that attempt to compromise the integrity, confidentiality, or availability of a resource" (Sundaram, 1996). IDS will monitor traffic data on a network or retrieve data from the log file. IDS will analyze and with a certain algorithm will give warning to a network administrator. Key words: System, crime, intrusion, detection, integrity, administrator. peringatan kepada seorang administrator Pengertian IDS IDS (Intrusion Detection System) jaringan atau tidak. adalah sebuah aplikasi perangkat lunak atau IDS (Intrusion Detection System) perangkat keras yang dapat mendeteksi sendiri mempunyai beberapa pengertian aktivitas yang mencurigakan dalam sebuah yaitu: sistem atau jaringan. IDS digunakan untuk a. Sistem untuk mendeteksi adanya mendeteksi aktivitas yang mencurigakan intrusion yang dilakukan oleh intruder dalam sebuah sistem atau jaringan. (pengganggu atau penyusup) dalam Intrusion adalah aktivitas tidak sah jaringan. Pada awal serangan, intruder atau tidak diinginkan yang mengganggu biasanya konfidensialitas, atau Namun, pada tingkat yang lebih serius ketersediaan dari informasi yang terdapat di intruder berusaha untuk mendapat akses sebuah ke sistem seperti membaca data rahasia, sistem. integritas IDS akan dan memonitor hanya mengexplore lalulintas data pada sebuah jaringan atau memodifikasi mengambil data dari berkas log. IDS akan mengurangi hak akses ke sistem sampai menganalisa dan dengan algoritma tertentu menghentikan sistem. akan -46- memutuskan untuk memberi data tanpa data. permisi, Sistem Untuk Mendeteksi Adanya Penyusup (IDS : Intrusion Detection System) (Jutono G) b. Sistem keamanan yang bekerja bersama fungsi Firewall untuk mengatasi Intrusion. pelaporan jika terjadi sesuatu. Intrusion itu sendiri melakukan c. Collector: seperti agent, tetapi lebih sebagai kegiatan yang bersifat anomaly, kecil, dan tidak membuat keputusan, incorrect, inappropite yang terjadi di tetapi jaringan atau di host tersebut. Intrusion manager pusat. 2. hanya menyampaikan ke Analisis data: Proses analisis data dan rules ke dalam IDS (Intrusion Detection data System). dilakukan oleh lapisan(layer), kadang Sebuah metode pengamanan jaringan diletakkan pada pusat data/server. dengan d. Dan didefinisikan tersebut kemudian akan diubah menjadi c. tertentu. melakukan pendeteksian 3. mining sejumlah besar data Manajemen konfigurasi/GUI : Biasa terhadap gangguan – gangguan atau disebut intrusion yang mengganggu. antarmuka operator dengan IDS. juga console merupakan Sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi Sensor bertugas untuk memfilter aktivitas yang mencurigakan dalam informasi dan mendiscard data yang tidak sebuah sistem atau jaringan. relevan dari sekumpulan kejadian yang terhubung sistem terproteksi, misalnya mendeteksi aktivitas-aktivitas yang Arsitektur IDS IDS dengan umumnya berdasar pada mencurigakan. Analis dilakukan dengan arsitektur multi-tier dari: menggunakan 1. Teknologi deteksi, yang bergantung kebijakan dalam mendeteksi. Di dalamnya pada: terdapat tanda tangan penyerang, deskripsi a. Sensor: biasanya database yang berisi disebut perilaku normal, dan parameter yang penting engine/probe, merupakan teknologi (misal, nilai ambang batas). Database ini yang memungkinkan mengatur IDS untuk memantau sejumlah besar traffic. b. Agents: Software yang di install pada suatu PC untuk memantau file atau konfigurasi parameter IDS, termasuk mode komunikasi dengan modul tanggap. Sensor sejumlah diintegrasikan komponen yang dengan bertanggung -47- Majalah Ilmiah INFORMATiKA Vol. 2 No. 2 Mei 2011 jawab untuk pengumpulan data. Metode membuat sebuah kebijakan yang konsisten pengumpulan ini ditentukan oleh kebijakan dalam mengeset sekumpulan kejadian yang dari event generator yang akan menjelaskan mungkin seperti mode audit dari sistem atau paket jaringan. Berikut filtering dari suatu deskripsi informasi. adanya sebuah log atau ini adalah diagram arsitektur IDS: Event generator (misalnya: sistem operasi, jaringan, dan aplikasi) akan Intrusion Detection System Gambar1: Diagram Arsitektur IDS Sifat – sifat IDS Aplikasi IDS yang mampu beradaptasi Pada umumnya, IDS mempunyai dengan spesifikasi jaringan yang akan sifat-sifat sebagai berikut: a. dideteksi oleh aplikasi tersebut. Suitability c. Aplikasi IDS yang cenderung fokuspada Aplikasi skema memproteksi gangguan yang sifatnya manajemen dan arsitektur jaringan yang dihadapkannya. b. -48- Protection Flexibility IDS yang utama dan berbahaya. d. Interoperability secara ketat Sistem Untuk Mendeteksi Adanya Penyusup (IDS : Intrusion Detection System) (Jutono G) Aplikasi IDS yang secara umum mampu beroperasi secara baik dengan e. h. Support perangkat-perangkat keamanan jaringan Lebih bersifat mendukung pada suatu serta manajemen jaringan lainnya. jenis produk apabila diintegrasikan Comprehensiveness dengan aplikasi lain. Kelengkapan yang dimiliki oleh aplikasi IDS ini mampu melakukan sistem Teknik deteksi IDS Berikut ini adalah teknik deteksi pendeteksian secara menyeluruh seperti pemblokiran semua yang berbentuk yang digunakan dalam IDS: Java Applet, memonitor isi dari suatu a. g. Deteksi Anomali (Anomaly Detection/Behavior Based) email. f. Teknik Behavior Base adalah cara kerja IDS Event Management Konsep IDS yang mampu melakukan (Intrusion proses manajemen suatu jaringan serta mendeteksi adanya penyusupan dengan proses pelaporan pada saat dilakukan mengamati setiap pelacakan, bahkan aplikasi ini kejanggalan pada sistem, yaitu adanya mampu keanehan dan kejanggalan dari kondisi pada melakukan updating pada Detection adanya System) dengan kejanggalan – sistem basis data pola suatu gangguan. saat sistem normal, sebagai contoh : adanya Active Response penggunaan memory yang melonjak secara Pendeteksi gangguan ini mampu secara terus menerus atau terdapatnya koneksi cepat saat secara paralel dari satu IP dalam jumlah munculnya suatu gangguan, biasanya banyak dan dalam waktu yang bersamaan. aplikasi ini berintegrasi dengan aplikasi Kondisi tersebut dianggap kejanggalan yang lainnya seperti aplikasi Firewall serta selanjutnya oleh IDS Anomaly Based ini aplikasi IDS ini dapat mengkonfigurasi dianggap sebagai serangan. ulang untuk mengkonfigurasi spesifikasi router pada jaringannya. -49- Majalah Ilmiah INFORMATiKA Vol. 2 No. 2 Mei 2011 Gambar 2 : Typical Anomaly Detection System b. Teknik Deteksi Penyalahgunaan (Misuse Detection/ Knowledge Based) Knowledge Based dapat berisi signature – signature paket IDS serangan. Jika pattern atau pola paket data mengenali adanya penyusupan dengan cara tersebut terdapat kesamaan dengan rule pada menyadap database rule pada IDS maka paket data paket adalah pada IDS tersebut. Database rule tersebut data kemudian membandingkannya dengan database rule tersebut dianggap sebagai serangan. Gambar 3 : Typical Misuse Detection System Cara kerja IDS dicurigai sebagai intrusi dengan signature IDS melindungi sistem komputer dengan mendeteksi serangan dan yang ada. Saat sebuah peringatan ke pencegahan selanjutnya dimulai Untuk itu, IDS telah terdeteksi, maka IDS akan mengirim sejenis menghentikannya. Awalnya, IDS melakukan intrusi. intrusi administrator. dengan Langkah melakukan mengidentifikasi penyebab intrusi dengan policy terhadap administrator dan IDS itu cara membandingkan antara event yang sendiri. -50- Sistem Untuk Mendeteksi Adanya Penyusup (IDS : Intrusion Detection System) (Jutono G) Komponen yang menyusun kerja berikut: sebuah IDS bisa dilihat pada diagram Gambar 4 : Komponen Kerja Sebuah IDS Ada beberapa cara bagaimana IDS lainnya adalah dengan memantau berkas- bekerja. Cara yang paling populer adalah berkas sistem operasi, yakni dengan cara dengan menggunakan pendeteksian berbasis melihat signature (seperti halnya yang dilakukan mengubah beberapa berkas sistem operasi, oleh beberapa antivirus), yang melibatkan utamanya berkas log. Teknik ini seringnya pencocokan lalu lintas jaringan dengan basis diimplementasikan di dalam HIDS, selain data yang berisi cara-cara serangan dan tentunya melakukan pemindaian terhadap penyusupan yang sering dilakukan oleh log sistem untuk memantau apakah terjadi penyerang. Sama seperti halnya antivirus, kejadian yang tidak biasa. apakah ada percobaan untuk jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan. Cara lainnya adalah dengan mendeteksi adanya anomali, teknik yang Jenis – jenis IDS Jenis – jenis IDS dapat dikategorikan sebagai berikut: -51- Majalah Ilmiah INFORMATiKA Vol. 2 No. 2 Mei 2011 1. Network-based Intrusion Detection menganalisa System (NIDS) pattern objek secara menyeluruh yang dipergunakan serta Memantau Anomali di Jaringan dan membedakan paket data yang keluar mampu mendeteksi seluruh host yang masuk berada dalam satu jaringan. Semua lalu sehingga lintas yang mengalir ke sebuah jaringan karakteristik trafic penyerang. akan dianalisis untuk mencari apakah ada b. dalam lalu dapat lintas jaringan mengenal benar Mampu Mendeteksi dan Mencegah percobaan serangan atau penyusupan ke Serangan. dalam sistem jaringan. Contoh: melihat IDS dapat mendeteksi serangan dan adanya network scanning. juga 2. pencegahan terhadap serangan tersebut. Host-based Intrusion Detection System (HIDS) c. Aktivitas sebuah host jaringan mampu untuk melakukan Memiliki cakupan yang Luas dalam Mengenal Proses Attacking. individual akan dipantau apakah terjadi IDS memiliki pengetahuan yang luas, sebuah percobaan serangan atau penyusupan dapat mengenal serangan apa yang ke dalamnya atau tidak. HIDS seringnya belum diletakkan pada server-server kritis di mendeteksi jaringan, seperti halnya firewall, web server, mencurigakan. atau server yang terkoneksi ke Internet. d. segala dan mampu sesuatu yang Dapat memberikan Informasi tentang ancaman – ancaman yang terjadi. Contoh: memonitor logfile, process dan file ownership. dikenalnya e. Memiliki tingkat Forensik yang canggih dan mampu menghasilkan reporting Kelebihan dan Kelemahan IDS yang baik. IDS memiliki beberapa kelebihan f. Memiliki sensor yang dapat dipercaya diantaranya sebagai berikut: untuk memastikan pendeteksian dan a. pencegahan Memiliki Akurasi keamanan yang baik IDS telah memiliki ketelitian tinggi, yaitu secara Sedangkan realtime mendeteksi dan melakukan blocking adalah: terhadap tindakan yang mencurigakan. a. IDS -52- mampu juga mampu memeriksa dan Alarm palsu kelemahan IDS sendiri Sistem Untuk Mendeteksi Adanya Penyusup (IDS : Intrusion Detection System) (Jutono G) Sering terjadinya alarm ataupun gangguan yang bersifat palsu, yaitu signature-nya. paket data yang datang terdeteksi memberikan alert, walaupun sebenarnya sebagai intrusion karena tidak sesuai serangan dengan rule–rule yang dibuat. Setelah sedang berlangsung. diteliti ternyata hanya paket data biasa b. adanya serangan, karena tidak mengenal e. Jadi terhadap IDS sistem tidak tersebut Data Overload dan tidak berbahaya. Hal ini merupakan aspek yang tidak Variants berhubungan secara langsung dengan Mengetahui sukses tidaknya, teknik IDS yang digunakan, tetapi sebuah set signature harus cukup unik sangatlah penting bila melihat dari segi untuk memberikan peringatan atau alert seberapa besar efisiensi dan efektifitas pada saat yang memang berbahaya. hasil kerja analis dalam menganalisa Kesulitannya adalah kode-kode untuk data-data exploit keseluruhan. itu atau dengan mudahnya dalam IDS secara dimodifikasi oleh penyerangnya, jadi sangat memungkinkan sekali banyak Contoh program IDS Ada banyak program yang bisa terjadi variasi pada kodenya. c. d. False Positives dipakai untuk IDS diantaranya adalah: Merupakan alert yang memberitahu a. Tcplogd adanya aktifitas yang berpotensi berupa Program yang mendeteksi stealth scan. serangan, ada Stealth scan adalah scanning yang kemungkinan bahwa ternyata aktifitas dilakukan tanpa harus membuat sebuah tersebut serangan. sesi tcp. Sebuah koneksi tcp dapat Kesulitannya adalah apabila jumlah terbentuk jika klien mengirimkan paket alert banyak dan sulit untuk menyaring dan mana paketnya dengan urutan tertentu, secara tetapi bukan yang masih sebuah memang benar-benar server mengirimkan kembali serangan atau bukan. terus menerus sehingga sesi tcp dapat False Negatives berjalan. Kelemahan ini terjadi pada kondisi koneksi tcp sebelum klien menerima dimana IDS tidak dapat mendeteksi kembali jawaban dari server. Scanning Stealth scan memutuskan -53- Majalah Ilmiah INFORMATiKA Vol. 2 No. 2 Mei 2011 b. c. model ini biasanya tidak terdeteksi oleh menganalisis intrusi secara manual tidaklah log umum di linux. efektif HostSentry penggunaan komponen pendeteksi intrusi Program yang mendeteksi anomali. Anomali perilaku aneh jika dibandingkan dengan login seperti IDS. Meskipun demikian, tidak ada termasuk jawaban yang jelas mengenai teknik mana behaviour), yang lebih baik karena masing-masing anomali waktu (time anomalies), dan memiliki kelebihan dan kelemahan. Bukan anomali lokal (local anomalies). IDS yang mengamankan suatu organisasi, Snort tetapi orang-orang yang me-managenya. Snort merupakan suatu perangkat lunak Untuk mencapai tingkat keamanan yang untuk mendeteksi penyusup dan mampu maximum, maka sebaiknya kita memadukan menganalisa kedua teknologi keamanan yaitu IDS dan disini (bizzare paket yang melintasi jaringan secara langsung dan melakukan Firewall. pencatatan ke dalam penyimpanan data serta mampu mendeteksi berbagai serangan yang berasal dari luar jaringan. Snort merupakan sebuah produk terbuka yang dikembangkan oleh Marty Roesch dan tersedia gratis. Snort bisa digunakan pada sistem operasi Linux, Windows, BSD dan Solaris. Snort merupakan IDS berbasis jaringan yang menggunakan metode deteksi rule based, menganalisis paket data apakah sesuai dengan jenis serangan yang sudah diketahui olehnya. Kesimpulan Betapapun banyaknya administrator yang -54- bertugas untuk mendeteksi atau Daftar Pustaka Sundaram, A. (1996),An Introduction to Intrusion Detection System,. USA: Whitepaper. Unila.(n.d.). Retrieved January 23, 2011, from http://blog.unila.ac.id/zoehellmie87/2 010/09/18/intrusion-detectionsystem/ Wardhani, H. M. (n.d.). Retrieved January 29, 2011, from http://helenamayawardhani.wordpres s.com/2010/06/07/intrusiondetection-system-s/ Wikipedia. (n.d.). Retrieved January 17, 2011, from http://id.wikipedia.org/wiki/Sistem_d eteksi_intrusi
