karya ilmiah intrusion detection
TRANSCRIPT
BAB I
PENDAHULUAN
I.1 Latar Belakang
Semakin pesatnya perkembangan teknologi internet dan
implementasinya dalam sebuah LAN (intranet) telah
menyebabkan arus informasi dari dalam atau keluar
perusahaan semakin padat. Akses internet tanpa batas telah
menghadirkan banyak keuntungan bagi semua pihak. Tidak
hanya mempermudah pencarian informasi yang diinginkan
tanpa batas waktu dan lokasi, akan tetapi dunia luar dapat
berinteraksi dengan local network yang ada. Hal ini
memungkinkan meningkatnya tindak kejahatan dalam dunia
maya.
Salah satu masalah keamanan yang cukup signifikan
pada jaringan adalah masuknya user dan program ( misalnya :
worm, trojan horse, virus ) yang tidak sah sehingga dapat
merusak sistem. Untuk itu diperlukan cara untuk menjaga
sekuriti sistem. Salah satunya dengan membangun peringatan
dini yang disebut deteksi intrusi /penyusupan (intrusion
detection).
1
Akhir-akhir ini, penelitian telah banyak dilakukan untuk
mendeteksi intrusi. Sebuah pendeteksian intrusi dini yang
efektif dapat mencegah masuknya intrusi lebih lanjut.
Pendeteksian intrusi ini memungkinkan pengumpulan
informasi tentang teknik intrusi yang digunakan. Jika sebuah
intrusi dideteksi dengan cukup cepat, maka penyusup dapat
diidentifikasi dan dikeluarkan dari sistem sebelum sejumlah
bahaya timbul. Namun, jika waktu pendeteksian tidak
mencukupi, maka akan semakin banyak bahaya dan
perbaikan data yang muncul.
Suatu hardware atau software aplikasi yang dapat
mendeteksi intrusi adalah IDS (Intrusion Detection System).
Dewasa ini, pasar dipenuhi dengan berbagai teknik
mendeteksi intrusi dari IDS . Salah satu teknik yang paling
ampuh dan memiliki tingkat keakuratan yang tinggi adalah
Anomaly-Based IDS. Teknik ini menggunakan pendekatan
statistik yang telah teruji.
I.2 Tujuan Penelitian
Tujuan dari penelitian ini yaitu :
1. Memahami salah satu teknik pendeteksian intrusi yang
dilakukan oleh Intrusion Detection System (IDS)
2. Mengetahui pendekatan apa yang digunakan untuk
menunjang keakuratan hasil deteksi intrusi
2
3. Mengetahui bagaimana implementasi teknik deteksi
intrusi untuk mengamankan sistem jaringan
I.3 Metode Penelitian
Metode yang digunakan penulis pada penelitian ini
adalah metode literature.
3
BAB II
LANDASAN TEORI
21 Intrusi dan Intruder
Intrusi atau penyusupan bisa diartikan sebagai kegiatan
akses ke sistem komputer oleh pemakai yang tidak punya hak
misalnya cracker atau hacker, akses oleh yang mempunyai
hak tetapi salah guna dan tercela atau serangan terhadap
keamanan sistem komputer karena bisa menghancurkan
kepercayaan pemakai. Sebuah intrusi dapat diibaratkan
sebagai sekumpulan aksi yang berusaha untuk merusak
integritas, kerahasiaan, ketersediaan dari suatu sumber daya
Teknologi intrusi generasi pertama hanya sebatas
administrasi dan audit pemakaian komputer, terutama
kemungkinan penyalahgunaan hak oleh orang dalam.
Generasi selanjutnya sistem deteksi intrusi dikembangkan
untuk mengawasi juga penyusup yang berniat mencuri data
atau bahkan berniat merusak sistem. Kebanyakan sistem
deteksi intrusi yang dipakai menerapkan model arsitektur
hirarki yang mendeteksi intrusi secara terpusat.
Disamping cracker dan hacker, pada dunia keamanan TI
dikenal juga istilah intruder (penyusup). Pada awal serangan,
4
intruder biasanya hanya mengexplore data. Namun, pada
tingkat yang lebih serius intruder berusaha untuk mendapat
akses ke sistem seperti membaca data rahasia, memodifikasi
data tanpa permisi, mengurangi hak akses ke sistem sampai
menghentikan sistem.
2.2 Komponen Deteksi Intrusi
Perangkat keras atau lunak yang berfungsi untuk
memonitor penyusup secara otomatis dan menganalisisnya
adalah IDS (Intrusion Detection System). Untuk mendukung
kerja IDS, pada tahun 1991 dipublikasikan cara pengamanan
yang lain yaitu dengan memasang firewall yang berfungsi
untuk memblokir trafik yang tidak dinginkan.
Firewall bisa dipandang sebagai benteng sekeliling
sebuah gedung dengan satpam di gerbang, sedangkan IDS
bisa dipandang sebagai pos-pos satpam di setiap pintu,
terdapat juga firewall (perangkat keras / perangkat lunak /
kombinasi keduanya ) yang menyediakan sebuah lokasi untuk
memonitor kejadian-kejadian yang berhubungan dengan
masalah keamanan
2.2.1 IDS
5
IDS adalah sebuah aplikasi perangkat lunak atau
perangkat keras yang dapat mendeteksi aktivitas yang
mencurigakan dalam sebuah sistem atau jaringan. IDS dapat
melakukan inspeksi terhadap lalu lintas inbound dan
outbound dalam sebuah sistem atau jaringan, melakukan
analisis dan mencari bukti dari percobaan intrusi.
2.2.1 .1 Arsitektur dan Struktur IDS
Sebuah IDS selalu mempunyai sebuah sensor ( mesin
analis) yang bertanggung jawab untuk mendeteksi intrusi.
Sensor ini terdiri dari mesin pembuat keputusan yang
berhubungan dengan intrusi. Sensor-sensor menerima baris
data dari 3 sumber informasi utama. IDS memiliki base,
syslog and audit trails. Syslog diincludekan dalam sistem,
misal konfigurasi pada sistem file, autorisasi user, dsb.
Informasi ini menciptakan dasar bagi proses pembuatan
keputusan.
Sensor bertugas untuk memfilter informasi dan
mendiscard data yang tidak relevan dari sekumpulan kejadian
yang terhubung dengan sistem terproteksi, misalnya
mendeteksi aktivitas-aktivitas yang mencurigakan. Analis
menggunakan database yang berisi kebijakan dalam
mendeteksi. Di dalamnya terdapat tandatangan penyerang,
6
deskripsi perilaku normal, dan parameter yang penting
(misal, nilai ambang batas). Database ini mengatur
konfigurasi parameter IDS, termasuk mode komunikasi
dengan modul tanggap. Sensor juga mempunyai database
yang terdiri atas sejarah dinamis dari intrusi yang kpmplek.
Hal ini dibuat dari multiple aksi.-aksi.
Arsitektur IDS.
Sensor diintegrasikan dengan sejumlah komponen yang
bertanggungjawab untuk pengumpulan data Metode
pengumpulan ini ditentukan oleh kebijakan dari event
generator yang akan menjelaskan mode filtering dari suatu
deskripsi informasi. Event generator (misalnya, sistem
operasi, jaringan, dan aplikasi) akan membuat sebuah
kebijakan yang konsisten dalam mengeset sekumpulan
kejadian yang mungkin misal adanya sebuah log atau audit
dari sistem atau packet jaringan. Hal ini diatur baik dengan
7
kebijakan informasi yang disimpan juga didalam atau diluar
sistem terproteksi
Komponen IDS
2.2.1.2 Cara Kerja IDS
Diantara berbagai jenis tugas IDS, identifikasi
penyusup merupakan satu hal yang fundamental. Hal ini
dapat berguna dalam penelitian forensik dan pemilihan patch
yang cocok untuk digunakan.
8
Intrusion
detection system activities
IDS melindungi sistem komputer dengan mendeteksi
serangan dan menghentikannya. Awalnya, IDS melakukan
pencegahan intrusi. Untuk itu, IDS mengidentifikasi
penyebab intrusi dengan cara membandingkan antara event
yang dicurigai sebagai intrusi dengan signature yang ada.
Saat sebuah intrusi telah terdeteksi, maka IDS akan
mengirim sejenis peringatan ke administrator. Langkah
selanjutnya dimulai dengan melakukan policy terhadap
administrator dan IDS itu sendiri
Sewaktu-waktu, IDS dapat menghasilkan alarm yang
salah. Hal ini biasanya terjadi pada saat kegagalan fungsi dari
9
interface jaringan serta pengiriman deskripsi serangan atau
tandatangan melalui email.
Intrusion detection system infrastructure
2.2.2 Perbandingan antara Firewall dan IDS
Meskipun firewall dan IDS berhubungan dengan
masalah keamanan jaringan, tetapi IDS berbeda dengan
firewall yang penggunaanya untuk memfilter traffic atau
paket data yang masuk dan mencegah akses yang tidak
terautorisasi ke atau dari bagian berbeda dari arsitektur
keamanan sebuah sistem. Hanya traffic terautorisasi dan
terdefinisi dalam kebijakan keamanan lokal yang diijinkan
untuk lewat. Berbeda halnya dengan IDS yang digunakan
10
untuk mengaudit traffic dan mencari pola traffic atau
aktivitas tertentu yang terdapat anomali atau kemungkinan
malicious. Selama konfigurasi, pola traffic ini dapat
ditentukan secara manual dan pada saat proses inisialisasi
pola ini dapat dilakukan secara automatis atau kombinasi dari
keduanya.
Tidak seperti IDS yang dapat mengaudit traffic, firewall
hanya mengaudit manajemen jaringan dan mengatur
penggunaan internet. Firewall dirancang untuk membatasi
akses antar jaringan agar bisa mencegah terjadinya
penyusupan. Umumnya firewall tidak dirancang untuk
menyediakan notifikasi detail dari serangan dan deteksi
komprehensif dari semua kemungkinan serangan atau
anomaly dari aktivitas di jaringan, namun firewall dapat
mengontrol layanan, arah layanan, user dan menyediakan
perlindungan dari berbagai jenis serangan.
Sedangkan IDS mengevaluasi kejadian yang
mencurigakan ketika itu sedang atau telah terjadi. Selain itu,
IDS dapat menciptakan audit trail yang detail pada satu atau
lebih lokasi yang aman, memberi signal berupa alarm atau
notifikasi dan kemungkinan melakukan aksi secara otomatis
untuk mengamanakan jaringan. IDS juga dapat memantau
serangan-serangan atau peristiwa-peristiwa yang berasal dari
jaringan dalam organisasi. Hal ini akan melindungi organisasi
11
dari kemungkinan aksi legal punitive yang terinisiasi sebagai
serangan dari dalam organisasi.
.
Sebuah firewall dapat dilihat sebagai sebuah alat
pelindung keamanan pada aset yang berharga. Sedangkan
IDS dapat dianalogikan sebagai kamera surveillance, alarm,
detector atau sensor yang memonitor area disekelilingnya
Umumnya, firewall tidak sehebat IDS dalam
mendeteksi penyusupan. IDS juga tidak memiliki
kemampuan firewalling dibanding firewall. Hal lain yang
dapat membedakan kedua teknologi ini yaitu kebanyakan
firewall dirancang untuk tidak melakukan apa-apa dalam
mode yang tertutup. Namun firewall mempunyai sebuah
system kegagalan yang kritis, bagian sensitive dari jaringan.
12
Kebanyakan kegagalan kritis pada IDS berbentuk mode
terbuka yang artinya bahwa mesin IDS tidak memerlukan
waktu yang lama untuk memproses pola jaringan.
2. 3 Pendekatan dalam Mendeteksi Intrusi
2.3.1 Statistical Anomaly Detection
Melibatkan sekumpulan data yang berhubungan dengan
tingkah laku legitimate user selama waktu tertentu.
Kemudian test statistik diimplementasikan untuk mengamati
tingkahlaku dan menentukan tingkat kerahasiaan dari suatu
data.
Pendekatan ini terbagi dalam dua kategori :
a. Threshold detection : melibatkan penjelasan
Threshold(petunjuk awal), independent user, untuk frekuensi
yang terjadi dari berbagai macam kejadian.
b. Profiled Based : Sebuah profile dari aktivitas setiap user
dikembangkan dan digunakan untuk mendeteksi perubahan
pada tingkah laku dari account individu.\
2.3.2 Ruled based Detection
Melibatkan usaha untuk menggambarkan satu set dari
peraturan yang dapat digunakan untuk memutuskan apakah
ada intruder atau tidak. Terdiri dari dua jenis :
13
a. Anomaly detection : Aturan-aturan dikembangkan
untuk mendeteksi deviasi dari pola yang dipakai
sebelumnya.
b. Penetration Identification : Sebuah pendekatan sistem
pakar yang mencari tingkah laku yang mencurigakan.
2.4 Model untuk Mendeteksi Intrusi
2.4.1 Misuse detection model
Model ini menggunakan deteksi signature dengan cara
mencari titik-titik lemah sistem yang bisa dideskripsi oleh
sebuah pola atau sederet kejadian /data.
2.4.2 Anomaly detection model
Pendeteksian intrusi pada model ini didasarkan pada
perubahan dalam pola pemakaian atau kelakuan sistem. Cara
yang dilakukan adalah dengan membangun sebuah model
statistik yang berisi satuan-satuan alat ukur (metrik) yang
nilainya akan diambil dari aktifitas proses sistem.
Anomali adalah suatu keadaan tidak normal atau
nominal. Pendeteksi anomaly harus dapat membedakan
antara keadaan normal atau anomali
14
15
BAB III
PEMBAHASAN
Apa yang mengindikasikan jika suatu hal dianggap
anomali ? Biasanya, hal ini dapat ditunjukkan dari beberapa
peristiwa yang memiliki frekuensi lebih besar atau kurang
dari dua standar deviasi pada table statistik. Misalnya, jika
dalam satu hari ada seorang user yang log on dan log off
pada satu mesin sebanyak 20 kali (padahal normalnya hanya
1 atau 2 kali) maka ini tentunya akan menimbulkan
kecurigaan.
Penggunaan anomaly based IDS (teknik deteksi intrusi
yang merujuk pada anomali ) dapat mendeteksi tidak hanya
penyusup yang telah atau belum tercatat tetapi juga
menginformasikan tentang kemungkinan masalah-masalah di
jaringan. Metode ini melibatkan pola lalu lintas yang
mungkin merupakan sebuah serangan yang sedang dilakukan
oleh penyerang.
Cara umum untuk menggambarkan bentuk ini adalah
dengan dengan menggunakan teknik statistik untuk
membandingkan lalu lintas yang sedang dipantau dengan lalu
lintas normal yang biasa terjadi. Hal ini dapat ditempuh
16
melalui penghitungan nilai rata-rata dan standar deviasi dari
statistik terdistribusi. Jika hasil perhitungan berada diluar dari
parameter standar deviasi, maka kemungkinan telah terjadi
intrusi.
Pendeteksi ini membangun deksripsi yang
merepresentasikan penggunaan atau pola perilaku normal.
Selanjutnya, deskripsi atau pola ini dibandingkan dengan
perilaku user dan sistem untuk memprediksi dan mendeteksi
ketidakcocokan yang mungkin timbul. Sehingga pada
akhirnya akan dikenali kemungkinan usaha serangan.
Untuk mencocokkan deskripsi, sistem melakukan
inisialisasi deskripsi user dengan pola perilaku user yang sah.
Sekumpulan deskripsi yang normal tidak semuanya cocok
dengan deskripsi yang tersimpan. Jika ada masalah yang
berhubungan dengan pendeskripsian, sementara sistem terus
mempelajari kemungkinan anomali, maka intruder /
penyusup yang berpengalaman dapat balik mempelajari
sistem tersebut.
Sebuah hasil deskripsi yang menyatakan ketidakcocokan
akan disimpan dan dijadikan pedoman untuk membantu
pendeteksian semua kemungkinan aktivitas intrusi
selanjutnya. Mengupdate deskripsi atau menguji sistem
merupakan tugas yang sulit dan menghabiskan banyak waktu.
17
3. 1 Jenis Anomaly-Based IDS
Deteksi anomali terbagi menjadi dua kategori yaitu :
Anomali Statis
Metode jenis ini berguna untuk mengecek integritas
data. Pendeteksian intrusi didasarkan pada asumsi bahwa
terdapat :
Terdapat bagian program yang seharusnya bernilai tetap
pada sistem yang sedang dipantau
Kode dan data yang bernilai konstant
Hardware yang ada tidak perlu dicek.
Perangkat sistem administrasi yang mengecek
komponen fisik dan melaporkan jika terjadi perubahan.
Bagian statis dari suatu sistem dapat direpresentasikan
sebagai sebuah string bit binary atau sekumpulan string
( seperti, file-file). Jika bagian yang statis berbeda dengan
aslinya, maka diasumsikan error telah terjadi atau penyusup
telah merubah bagian statis dari sistem.
Anomali Dinamis
Pada metode ini, pendeteksi anomali dinamis harus
mengincludekan sejumlah deskripsi tentang perilaku sistem
yang dijelaskan seperti sebuah pengurutan namun dipesan
secara terpisah dari kejadian yang berbeda. Untuk itu,
18
pendeteksi ini harus memiliki record tentang user yang
berpotensi menjadi penyusup.
Pendeteksi anomali mengamati aktivitas-aktivitas
subjek dan menggenerate deskripsi perilaku. Proses
monitoring antara user dan system dilakukan secara
bergiliran. Pemetaan antara proses, account, dan user hanya
dilakukan ketika terdapat alarm yang berbunyi.
Tidak peduli apakah terdapat anomali atau tidak, sistem
tetap merujuk pada parameter yang diset selama proses
inisialisasi perilaku sistem. Perilaku ini diasumsikan sebagai
bentuk normal, diukur dan akhirnya digunakan untuk
mengeset parameter sehingga dapat menjelaskan mana
perilaku yang normal dan yang mengandung anomali.
Jika suatu perilaku dianggap tidak mengandung
anomali, maka tidak terjadi intrusi. Namun, jika anomali
terdapat pada suatu perilaku, maka sistem administrator dapat
membunyikan false alarm sebagai tindak lanjut.
III.2 Aturan Dasar pada Anomaly-Based IDS
√ Identifikasi Aliran Data
19
Seluruh keamanan jaringan didasarkan pada boleh
tidaknya suatu traffic masuk dari atau ke suatu jaringan.
Sangatlah penting bagi kita untuk mengetahui tentang
protokol dan sistem jaringan apa yang dipakai. Hal ini
dimaksudkan untuk memudahkan pengidentifikasian aliran
data dan jenis paket apa yang boleh atau tidak boleh dalam
melintasi jaringan. Selain itu, pengetahuan lain yang
diperlukan yaitu mengenai :
Source, Destination IP/network
Protokol Jaringan (IP, ICMP,..)
Protokol aplikasi(ditentukan oleh port-port)
Content (ukuran, tipe, karakteristik.)
Feature yang lain ( TCP flags, TTL,,,)
√ Kelompokkan paket data yang diizinkan
Hal pertama yang dilakukan adalah kelompokkan
semua paket data yang diminta dengan jelas sesuai
kebutuhan sistem. Selanjutnya, pastikan bahwa content (isi)
dapat diterima karena komunikasi tidak hanya berlangsung
karena ada IP atau port. Untuk itu, perlu dilakukan
pengecekan ukuran dan nilai yang spesifik untuk
menentukan kategori dari paket data.
√ Kelompokkan paket data yang mencurigakan
20
Dengan mereview layanan yang dibutuhkan maka akan
terdapat banyak pilihan yang sebenarnya tidak dibutuhkan
atau digunakan oleh end-system. Misalnya, jika content suatu
website tidak menggunakan syntax/ method POST maka akan
timbul sebuah peringatan karena paket data yang masuk
terlihat mencurigakan
√ Kelompokkan paket yang tidak diijinkan
Paket, sistem atau peralatan jaringan yang tidak
diinginkan oleh beberapa layanan, termasuk dalam kategori
ini. Apalagi jika paket-paket tersebut mempunyai tujuan
yang tidak valid
III.3 Tahapan Fase Anomaly-Based IDS
21
III.4 Model Pendeteksian Intrusi pada Anomaly-
Based IDS
Model Ukuran String
Perbedaan panjang yang dimiliki variabel string sering
menunjukkan perilaku regular. Misal, ukuran panjang dari
setiap user id dan pencarian string yang berbeda dapat
dilakukan melalui penghitungan rata-rata.
Model PenemuanToken
Nilai selalu tampak secara berulang pada monitoring
interface. Beberapa parameter dapat menggambarkan nilai
22
yang berbeda. Hal ini dapat dimulai dari enumerasi yang
kecil. Untuk itu, simpanlah history dari parameter nilai.
Dengan adanya sekumpulan peluang yang terbatas,
maka model akan menyimpan suatu enumerasi. Jika tidak,
model akan menampilkan pesan “no enumeration”. Pada saat
pengujian, model akan mengembalikan score antara 1 atau 0.
Model Pendistribusian Karakter String
Dari hasil pengamatan, kebanyakan string mempunyai
distribusi karakter yang mirip. Model ini menciptakan
idealized character distribution (ICD) untuk setiap string
yang teruji pada fase training. Penghitungan score anomali
menggunakan variasi dari Pengujian Pearson Chisquared
Model Struktur Inference
Dalam mendeteksi anomali, model ini dapat
membangun kemungkinan tata bahasa yang digunakan
penyusup. Banyak atribut nilai yang dapat dimodelkan ketika
23
string digenerate oleh tata bahasa regular. Penghitungan
score anomali dilakukan ketika hasil dari transisi state dapat
berpeluang memberikan nilai.
III.5 Protokol untuk Deteksi Anomali
Protokol anomali pada network dan transport layer
( layer 3-4 ) dan application layer (layer 6-7). Untuk
mendeteksi anomali, dilakukan dengan mendefrag
keseluruhan IP, mengeset ulang TCP dan mengecek setiap
kondisi pada proses yang tidak biasa.
Beberapa anomali yang dapat dideteksi pada protokol
3-4, antara lain:
¤ Tumpang tindih fragmentasi IP dan sejumlah IP yang
mencurigakan
¤ Tumpang tindih segmentasi TCP dan sejumlah TCP
yang illegal
¤ Penggunaan checksum yang corrupt
24
III.6 Kelebihan dan Kelemahan Anomaly-Based
IDS
Kelebihan
Memungkinkan deteksi intrusi dini,
Mengenali anomali tanpa mengetahui karakteristik dan
penyebabnya
Mendeteksi penyalahgunaan hak akses user.
Dibandingkan signature-based IDS, metode ini dapat
mendeteksi bentuk serangan yang baru dan belum
terdapat di dalam basis data signature IDS.
Kelemahan
Penggunaan sistem tidak diawasi selama pembuatan
deskripsi dan phase pembelajaran
Perilaku user dapat berubah sewaktu-waktu, sehingga
diperlukan update yang konstant dari waktu ke waktu
dan memungkinkan timbulnya.alarm kesalahan
Merubah perilaku sistem menjadi kebal tehadap
anomali yang terdeteksi selama fase pembelajaran
Sering mengeluarkan pesan false positive. Sehingga
tugas administrator menjadi lebih rumit, dengan harus
memilah-milah mana yang merupakan serangan yang
25
sebenarnya dari banyaknya laporan false positive yang
muncul.
III.7 Impelementasi
III.7.1 Contoh Kondisi Anomali pada Lingkungan
LAN
Berikut diberikan deskripsi kondisi beberapa anomali, misal
terdapat sebuah router dalam jaringan (kemungkinan
menggunakan NAT)
Kemudian, dapat dilihat jika ada seseorang sedang
menguping IP dijaringan dengan mentraceroute IP tersebut
26
SYN packet
SRC=local LAN
TTL=[Standard TTL -1]
TTL=1
SRC=local
LAN
Standard TTL is 256/128/64
Src port = 21 ( sebuah srever FTP dalam jaringan
)
Packet outgoing
Port 135-139
Going through gateway
TTL=1
DST=local LAN
Orang yang menguping ini, sedang mencoba menemukan
jalan keluar dengan mentraceroute IP
III.7.2 Contoh Pendeteksian Intrusi
a. Kasus Pertama
Contoh Konfigurasi
Berdasarkan konfigurasi diatas, dapat dilihat bahwa
administrator telah mengidentifikasi aliran data berupa
protokol jaringan (IP, TCP,UDP), protokol aplikasi(port
80), IP source(1024) yang digunakan. Kasus ini didasari oleh
filtering traffic yang diijinkan lewat dan namun waspadai
sisanya.
27
#web server
Pass TCP $WEB_SERVER 80 <> any 1024:
#admin access
Pass TCP $ADMIN_IP 1024: <> $WEB_SERVER 22
#DNS
Pass UDP $WEB_SERVER 1024: <> $DNS_SERVER 53
#alert rules
ALERT IP any any <> any any (msg: “not allowed traffic”;)
Statement any <>any, menunjukkan bahwa traffic yang
memilki anomali tidak diijinkan masuk ke jaringan. Merujuk
pada statement (msg: “not allowed traffic”;), maka dapat
terlihat bahwa proses filtering yang berdasarkan pada pesan
atau prioritas menjadi lebih sulit .
Untuk itu, penulis menyarankan
diimplementasikannya :
IDS, sistem honeypot dan firewall
Area keamanan yang tinggi dengan kecilnya jumlah
traffic yang tidak terdefinisi/sah serta terfilter dengan
baik
b. Kasus kedua
Statement diatas menunjukkan bahwa terdapat proses request
akses layanan web dari klien ke server. Untuk mendeteksi
intrusi, awalnya dilakukan pengujian seperti :
Mengeksekusi aplikasi
Dilakukan melalui perintah(bertanda merah) :
GET /cgi-bin/show.cgi?sID=12345&file=images/foo.png
28
GET /cgi-bin/show.cgi?sID=12345&file=images/foo.png
Menguji parameter aplikasi berupan nama
GET /cgi-bin/show.cgi?sID=12345&file=images/foo.png
Menguji parameter aplikasi berupa nilai
GET /cgi-bin/show.cgi?sID=12345&file=images/foo.png
Menerapkan model statistik pada setiap atribut
aplikasi melalui dua fase, yaitu : Fase Pembelajaran
(membangun deskripsi perilaku normal dari setiap
parameter aplikasi) dan Fase Pendeteksian (mendeteksi
deviasi dari deskripsi yang telah dipelajari)
BAB IV
KESIMPULAN
29
Betapapun banyaknya administrator yang bertugas
untuk mendeteksi atau menganalisis intrusi secara manual
tidaklah efektif jika dibandingkan dengan penggunaan
komponen pendeteksi intrusi seperti IDS. Meskipun
demikian, tidak ada jawaban yang jelas mengenai teknik
mana yang lebih baik karena masing-masing memiliki
kelebihan dan kelemahan. Bukan IDS yang mengamankan
suatu organisasi, tetapi orang-orang yang memanagenya
Untuk mencapai tingkat keamanan yang maximum,
maka sebaiknya kita memadukan kedua teknologi keamanan yaitu IDS dan
Firewall.
30