Pengertian Firewall secara tradisional, firewall
digunakan untuk melindungi satu unit bangunan dalam suatu bangunan
multi-unit dari suatu kebakaran yang terjadi dari unit bangunan
didekatnya. Harapannya adalah firewall tersebut untuk mengisolasi
setiap unit bangunan dari suatu bencana kebakaran dari salah satu unit
tetangga.
Sekarang ini di era digital pengertian firewall dalam suatu
jaringan komputer digunakan untuk mengisolasi jaringan dan hosts kita
dari bahaya yang ada pada tetangga kita. Firewall melindungi kita dari
pemakaian resource jaringan kita tanpa authorisasi oleh entitas
external. Sederhananya jika anda memasang firewall, maka anda akan
dilindungi dari apa yang terjadi diluar anda. Dan firewall juga
membantu anda melindungi dan menjaga apa yang terjadi didalam jangan
sampai keluar.
Jenis-jenis Firewall
Firewall terbagi menjadi dua jenis, yakni sebagai berikut
- Personal Firewall: Personal Firewall didesain untuk melindungi sebuah komputer yang terhubung ke jaringan dari akses yang tidak dikehendaki. Firewall jenis ini akhir-akhir ini berevolusi menjadi sebuah kumpulan program yang bertujuan untuk mengamankan komputer secara total, dengan ditambahkannya beberapa fitur pengaman tambahan semacam perangkat proteksi terhadap virus, anti-spyware, anti-spam, dan lainnya. Bahkan beberapa produk firewall lainnya dilengkapi dengan fungsi pendeteksian gangguan keamanan jaringan (Intrusion Detection System). Contoh dari firewall jenis ini adalah Microsoft Windows Firewall (yang telah terintegrasi dalam sistem operasi Windows XP Service Pack 2, Windows Vista dan Windows Server 2003 Service Pack 1), Symantec Norton Personal Firewall, Kerio Personal Firewall, dan lain-lain. Personal Firewall secara umum hanya memiliki dua fitur utama, yakni Packet Filter Firewall dan Stateful Firewall.
- Network Firewall: Network ‘‘’’Firewall didesain untuk melindungi jaringan secara keseluruhan dari berbagai serangan. Umumnya dijumpai dalam dua bentuk, yakni sebuah perangkat terdedikasi atau sebagai sebuah perangkat lunak yang diinstalasikan dalam sebuah server. Contoh dari firewall ini adalah Microsoft Internet Security and Acceleration Server (ISA Server), Cisco PIX, Cisco ASA, IPTables dalam sistem operasi GNU/Linux, pf dalam keluarga sistem operasi Unix BSD, serta SunScreen dari Sun Microsystems, Inc. yang dibundel dalam sistem operasi Solaris. Network Firewall secara umum memiliki beberapa fitur utama, yakni apa yang dimiliki oleh personal firewall (packet filter firewall dan stateful firewall), Circuit Level Gateway, Application Level Gateway, dan juga NAT Firewall. Network Firewall umumnya bersifat transparan (tidak terlihat) dari pengguna dan menggunakan teknologi routing
Fungsi Firewall
Secara fundamental, firewall dapat melakukan hal-hal berikut:
- Mengatur dan mengontrol lalu lintas jaringan
- Melakukan autentikasi terhadap akses
- Melindungi sumber daya dalam jaringan privat
- Mencatat semua kejadian, dan melaporkan kepada administrator
Cara Kerja Firewall
Packet-Filter Firewall
Contoh pengaturan akses (access control) yang diterapkan dalam firewall
Pada bentuknya yang paling sederhana, sebuah firewall adalah sebuah
router atau komputer yang dilengkapi dengan dua buah NIC (Network
Interface Card, kartu antarmuka jaringan) yang mampu melakukan
penapisan atau penyaringan terhadap paket-paket yang masuk. Perangkat
jenis ini umumnya disebut dengan packet-filtering router.
Firewall jenis ini bekerja dengan cara membandingkan alamat sumber
dari paket-paket tersebut dengan kebijakan pengontrolan akses yang
terdaftar dalam Access Control List firewall, router tersebut akan
mencoba memutuskan apakah hendak meneruskan paket yang masuk tersebut
ke tujuannya atau menghentikannya. Pada bentuk yang lebih sederhana
lagi, firewall hanya melakukan pengujian terhadap alamat IP atau nama
domain yang menjadi sumber paket dan akan menentukan apakah hendak
meneruskan atau menolak paket tersebut. Meskipun demikian,
packet-filtering router tidak dapat digunakan untuk memberikan akses
(atau menolaknya) dengan menggunakan basis hak-hak yang dimiliki oleh
pengguna.
Packet-filtering router juga dapat dikonfigurasikan agar
menghentikan beberapa jenis lalu lintas jaringan dan tentu saja
mengizinkannya. Umumnya, hal ini dilakukan dengan
mengaktifkan/menonaktifkan port TCP/IP dalam sistem firewall tersebut.
Sebagai contoh, port 25 yang digunakan oleh Protokol SMTP (Simple Mail Transfer Protocol)
umumnya dibiarkan terbuka oleh beberapa firewall untuk mengizinkan
surat elektronik dari Internet masuk ke dalam jaringan privat,
sementara port lainnya seperti port 23 yang digunakan oleh Protokol
Telnet dapat dinonaktifkan untuk mencegah pengguna Internet untuk
mengakses layanan yang terdapat dalam jaringan privat tersebut.
Firewall juga dapat memberikan semacam pengecualian (exception)
agar beberapa aplikasi dapat melewati firewall tersebut. Dengan
menggunakan pendekatan ini, keamanan akan lebih kuat tapi memiliki
kelemahan yang signifikan yakni kerumitan konfigurasi terhadap
firewall: daftar Access Control List firewall akan membesar seiring
dengan banyaknya alamat IP, nama domain, atau port yang dimasukkan ke
dalamnya, selain tentunya juga exception yang diberlakukan.
Circuit Level Gateway
Firewall jenis lainnya adalah Circuit-Level Gateway, yang umumnya
berupa komponen dalam sebuah proxy server. Firewall jenis ini
beroperasi pada level yang lebih tinggi dalam model referensi tujuh
lapis OSI (bekerja pada lapisan sesi/session layer) daripada Packet
Filter Firewall. Modifikasi ini membuat firewall jenis ini berguna
dalam rangka menyembunyikan informasi mengenai jaringan terproteksi,
meskipun firewall ini tidak melakukan penyaringan terhadap paket-paket
individual yang mengalir dalam koneksi.
Dengan menggunakan firewall jenis ini, koneksi yang terjadi antara
pengguna dan jaringan pun disembunyikan dari pengguna. Pengguna akan
dihadapkan secara langsung dengan firewall pada saat proses pembuatan
koneksi dan firewall pun akan membentuk koneksi dengan sumber daya
jaringan yang hendak diakses oleh pengguna setelah mengubah alamat IP
dari paket yang ditransmisikan oleh dua belah pihak. Hal ini
mengakibatkan terjadinya sebuah sirkuit virtual (virtual circuit) antara pengguna dan sumber daya jaringan yang ia akses.
Firewall ini dianggap lebih aman dibandingkan dengan
Packet-Filtering Firewall, karena pengguna eksternal tidak dapat
melihat alamat IP jaringan internal dalam paket-paket yang ia terima,
melainkan alamat IP dari firewall. Protokol yang populer digunakan
sebagai Circuit-Level Gateway adalah SOCKS v5.
Application Level Firewall
Application Level Firewall (disebut juga sebagai application proxy atau application level gateway)
Firewall jenis lainnya adalah Application Level Gateway (atau
Application-Level Firewall atau sering juga disebut sebagai Proxy
Firewall), yang umumnya juga merupakan komponen dari sebuah proxy
server. Firewall ini tidak mengizinkan paket yang datang untuk melewati
firewall secara langsung. Tetapi, aplikasi proxy yang berjalan dalam
komputer yang menjalankan firewall akan meneruskan permintaan tersebut
kepada layanan yang tersedia dalam jaringan privat dan kemudian
meneruskan respons dari permintaan tersebut kepada komputer yang
membuat permintaan pertama kali yang terletak dalam jaringan publik
yang tidak aman.
Umumnya, firewall jenis ini akan melakukan autentikasi terlebih
dahulu terhadap pengguna sebelum mengizinkan pengguna tersebut untuk
mengakses jaringan. Selain itu, firewall ini juga mengimplementasikan
mekanisme auditing dan pencatatan (logging) sebagai bagian dari
kebijakan keamanan yang diterapkannya. Application Level Firewall juga
umumnya mengharuskan beberapa konfigurasi yang diberlakukan pada
pengguna untuk mengizinkan mesin klien agar dapat berfungsi. Sebagai
contoh, jika sebuah proxy FTP dikonfigurasikan di atas sebuah
application layer gateway, proxy tersebut dapat dikonfigurasikan untuk
mengizinlan beberapa perintah FTP, dan menolak beberapa perintah
lainnya. Jenis ini paling sering diimplementasikan pada proxy SMTP
sehingga mereka dapat menerima surat elektronik dari luar (tanpa
menampakkan alamat e-mail internal), lalu meneruskan e-mail tersebut
kepada e-mail server dalam jaringan. Tetapi, karena adanya pemrosesan
yang lebih rumit, firewall jenis ini mengharuskan komputer yang
dikonfigurasikan sebagai application gateway memiliki spesifikasi yang
tinggi, dan tentu saja jauh lebih lambat dibandingkan dengan
packet-filter firewall.
NAT Firewall
NAT (Network Address Translation) Firewall secara otomatis
menyediakan proteksi terhadap sistem yang berada di balik firewall
karena NAT Firewall hanya mengizinkan koneksi yang datang dari
komputer-komputer yang berada di balik firewall. Tujuan dari NAT adalah
untuk melakukan multiplexing terhadap lalu lintas dari
jaringan internal untuk kemudian menyampaikannya kepada jaringan yang
lebih luas (MAN, WAN atau Internet) seolah-olah paket tersebut datang
dari sebuah alamat IP atau beberapa alamat IP. NAT Firewall membuat
tabel dalam memori yang mengandung informasi mengenai koneksi yang
dilihat oleh firewall. Tabel ini akan memetakan alamat jaringan
internal ke alamat eksternal. Kemampuan untuk menaruh keseluruhan
jaringan di belakang sebuah alamat IP didasarkan terhadap pemetaan
terhadap port-port dalam NAT firewall.
Stateful Firewall
Stateful Firewall merupakan sebuah firewall yang menggabungkan
keunggulan yang ditawarkan oleh packet-filtering firewall, NAT
Firewall, Circuit-Level Firewall dan Proxy Firewall dalam satu sistem.
Stateful Firewall dapat melakukan filtering terhadap lalu lintas
berdasarkan karakteristik paket, seperti halnya packet-filtering
firewall, dan juga memiliki pengecekan terhadap sesi koneksi untuk
meyakinkan bahwa sesi koneksi yang terbentuk tersebut diizinlan. Tidak
seperti Proxy Firewall atau Circuit Level Firewall, Stateful Firewall
umumnya didesain agar lebih transparan (seperti halnya packet-filtering
firewall atau NAT firewall). Tetapi, stateful firewall juga mencakup
beberapa aspek yang dimiliki oleh application level firewall, sebab ia
juga melakukan inspeksi terhadap data yang datang dari lapisan aplikasi
(application layer) dengan menggunakan layanan tertentu. Firewall ini
hanya tersedia pada beberapa firewall kelas atas, semacam Cisco PIX.
Karena menggabungkan keunggulan jenis-jenis firewall lainnya, stateful
firewall menjadi lebih kompleks.
Virtual Firewall
Virtual Firewall adalah sebutan untuk beberapa firewall logis yang
berada dalam sebuah perangkat fisik (komputer atau perangkat firewall
lainnya). Pengaturan ini mengizinkan beberapa jaringan agar dapat
diproteksi oleh sebuah firewall yang unik yang menjalankan kebijakan
keamanan yang juga unik, cukup dengan menggunakan satu buah perangkat.
Dengan menggunakan firewall jenis ini, sebuah ISP (Internet Service
Provider) dapat menyediakan layanan firewall kepada para pelanggannya,
sehingga mengamankan lalu lintas jaringan mereka, hanya dengan
menggunakan satu buah perangkat. Hal ini jelas merupakan penghematan
biaya yang signifikan, meski firewall jenis ini hanya tersedia pada
firewall kelas atas, seperti Cisco PIX 535.
Transparent Firewall
Transparent Firewall (juga dikenal sebagai bridging firewall)
bukanlah sebuah firewall yang murni, tetapi ia hanya berupa turunan
dari stateful Firewall. Daripada firewall-firewall lainnya yang
beroperasi pada lapisan IP ke atas, transparent firewall bekerja pada
lapisan Data-Link Layer, dan kemudian ia memantau lapisan-lapisan yang
ada di atasnya. Selain itu, transparent firewall juga dapat melakukan
apa yang dapat dilakukan oleh packet-filtering firewall, seperti halnya
stateful firewall dan tidak terlihat oleh pengguna (karena itulah, ia
disebut sebagai Transparent Firewall).
Intinya, transparent firewall bekerja sebagai sebuah bridge yang
bertugas untuk menyaring lalu lintas jaringan antara dua segmen
jaringan. Dengan menggunakan transparent firewall, keamanan sebuah
segmen jaringan pun dapat diperkuat, tanpa harus mengaplikasikan NAT
Filter. Transparent Firewall menawarkan tiga buah keuntungan, yakni
sebagai berikut:
- Konfigurasi yang mudah (bahkan beberapa produk mengklaim sebagai “Zero Configuration”). Hal ini memang karena transparent firewall dihubungkan secara langsung dengan jaringan yang hendak diproteksinya, dengan memodifikasi sedikit atau tanpa memodifikasi konfigurasi firewall tersebut. Karena ia bekerja pada data-link layer, pengubahan alamat IP pun tidak dibutuhkan. Firewall juga dapat dikonfigurasikan untuk melakukan segmentasi terhadap sebuah subnet jaringan antara jaringan yang memiliki keamanan yang rendah dan keamanan yang tinggi atau dapat juga untuk melindungi sebuah host, jika memang diperlukan.
- Kinerja yang tinggi. Hal ini disebabkan oleh firewall yang berjalan dalam lapisan data-link lebih sederhana dibandingkan dengan firewall yang berjalan dalam lapisan yang lebih tinggi. Karena bekerja lebih sederhana, maka kebutuhan pemrosesan pun lebih kecil dibandingkan dengan firewall yang berjalan pada lapisan yang tinggi, dan akhirnya performa yang ditunjukannya pun lebih tinggi.
- Tidak terlihat oleh pengguna (stealth). Hal ini memang dikarenakan Transparent Firewall bekerja pada lapisan data-link, dan tidak membutuhkan alamat IP yang ditetapkan untuknya (kecuali untuk melakukan manajemen terhadapnya, jika memang jenisnya managed firewall). Karena itulah, transparent firewall tidak dapat terlihat oleh para penyerang. Karena tidak dapat diraih oleh penyerang (tidak memiliki alamat IP), penyerang pun tidak dapat menyerangnya.
Packet Filtering
Penapisan paket (bahasa Inggris: Packet filtering) adalah mekanisme
yang dapat memblokir paket-paket data jaringan yang dilakukan
berdasarkan peraturan yang telah ditentukan sebelumnya. Packet
filtering adalah salah satu jenis teknologi keamanan yang digunakan
untuk mengatur paket-paket apa saja yang diizinkan masuk ke dalam
sistem atau jaringan dan paket-paket apa saja yang diblokir. Packet
filtering umumnya digunakan untuk memblokir lalu lintas yang
mencurigakan yang datang dari alamat IP yang mencurigakan, nomor port
TCP/UDP yang mencurigakan, jenis protokol aplikasi yang mencurigakan,
dan kriteria lainnya. Akhir-akhir ini, fitur packet filtering telah
dimasukkan ke dalam banyak sistem operasi (IPTables dalam GNU/Linux,
dan IP Filter dalam Windows) sebagai sebuah fitur standar, selain
tentunya firewall dan router.
Proxy
Proxy dapat dipahami sebagai pihak ketiga yang berdiri
ditengah-tengah antara kedua pihak yang saling berhubungan dan
berfungsi sebagai perantara, sedemikian sehingga pihak pertama dan
pihak kedua tidak secara langsung berhubungan, akan tetapi
masing-masing berhubungan dengan perantara, yaitu Proxy.
Sebuah analogi; bila seorang mahasiswa meminjam buku di
perpustakaan, kadang si mahasiswa tidak diperbolehkan langsung mencari
dan mengambil sendiri buku yang kita inginkan dari rak, tetapi kita
meminta buku tersebut kepada petugas, tentu saja dengan memberikan
nomor atau kode bukunya, dan kemudian petugas tersebut yang akan
mencarikan dan mengambilkan bukunya. Dalam kasus diatas, petugas
perpustakaan tersebut telah bertindak sebagai perantara atau Proxy.
Petugas tersebut juga bisa memastikan dan menjaga misalnya, agar
mahasiswa hanya bisa meminjam buku untuk mahasiswa, dosen boleh
meminjam buku semua buku, atau masyarakat umum hanya boleh meminjam
buku tertentu.
Mungkin proses tersebut menjadi lebih lama dibandingkan bila kita
langsung mencari dan mengambil sendiri buku yang kita inginkan. Namun
bila saja setiap kali petugas mencari dan mengambil buku untuk
seseorang, si petugas juga membuat beberapa salinan dari buku tersebut
sebelum memberikan bukunya kepada orang yang meminta, dan menyimpannya
di atas meja pelayanan, maka bila ada orang lain yang meminta buku
tertentu, sangat besar kemungkinan buku yang diminta sudah tersedia
salinannya diatas meja, dan si petugas tinggal memberikannya langsung.
Hasilnya adalah layanan yang lebih cepat dan sekaligus keamanan yang
baik.
Analogi diatas menjelaskan konsep dan fungsi dasar dari suatu proxy
dalam komunikasi jaringan komputer dan internet. Proxy server mempunyai
3 fungsi utama, yaitu,
* Connection Sharing
* Filtering
* Caching
* Filtering
* Caching
Masing masing fungsi akan dijelaskan lebih lanjut dibawah.
Proxy dalam pengertiannya sebagai perantara, bekerja dalam berbagai
jenis protokol komunikasi jaringan dan dapat berada pada level-level
yang berbeda pada hirarki layer protokol komunikasi jaringan. Suatu
perantara dapat saja bekerja pada layer Data-Link, layer Network dan
layer Transport, maupun layer Aplikasi dalam hirarki layer komunikasi
jaringan menurut OSI. Namun pengertian proxy server sebagian besar
adalah untuk menunjuk suatu server yang bekerja sebagai proxy pada
layer Aplikasi, meskipun juga akan dibahas mengenai proxy pada level
sirkuit.
Dalam suatu jaringan lokal yang terhubung ke jaringan lain atau
internet, pengguna tidak langsung berhubungan dengan jaringan luar atau
internet, tetapi harus melewati suatu gateway, yang bertindak sebagai
batas antara jaringan lokal dan jaringan luar. Gateway ini sangat
penting, karena jaringan lokal harus dapat dilindungi dengan baik dari
bahaya yang mungkin berasal dari internet, dan hal tersebut akan sulit
dilakukan bial tidak ada garis batas yang jelas jaringan lokal dan
internet. Gateway juga bertindak sebagai titik dimana sejumlah koneksi
dari pengguna lokal akan terhubung kepadanya, dan suatu koneksi ke
jaringan luar juga terhubung kepadanya. Dengan demikian, koneksi dari
jaringan lokal ke internet akan menggunakan sambungan yang dimiliki
oleh gateway secara bersama-sama (connection sharing). Dalam hal ini,
gateway adalah juga sebagai proxy server, karena menyediakan layanan
sebagai perantara antara jaringan lokal dan jaringan luar atau internet.
Diagram berikut menggambarkan posisi dan fungsi dari proxy server, diantara pengguna dan penyedia layanan:
PROXY, GATEWAY DAN FIREWALL
Proxy server juga biasanya menjadi satu dengan firewall server,
meskipun keduanya bekerja pada layer yang berbeda. Firewall atau packet
filtering yang digunakan untuk melindungi jaringan lokal dari serangan
atau gangguan yang berasal dari jaringan internet bekerja pada layer
network, sedangkan proxy server bekerja pada layer aplikasi. Firewall
biasanya diletakkan pada router-router, untuk sehingga bisa melakukan
filtering atas paket yang lewat dari dan ke jaringan-jaringan yang
dihubungkan.
Karena firewall melakukan filtering berdasarkan suatu daftar aturan
dan pengaturan akses tertentu, maka lebih mudah mengatur dan
mengendalikan trafik dari sumber-sumber yang tidak dipercaya. Firewall
juga melakukan filtering berdasarkan jenis protokol yang digunakan
(TCP,UDP,ICMP) dan port TCP atau port UDP yang digunakan oleh suatu
layanan (semisal telnet atau FTP). Sehingga firewall melakukan kendali
dengan metode boleh lewat atau tidak boleh lewat, sesuai dengan daftar
aturan dan pengaturan akses yang dibuat. Bila suatu layanan tertentu
atau alamat tertentu merupakan layanan atau alamat yang terpercaya,
maka dapat diatur pada firewall agar paket dari sumber terpercaya
diperbolehkan lewat.
Packet filtering pada firewall mempunyai keunggulan yaitu kecapatan
yang lebih dan tidak memerlukan konfigurasi tertentu pada
pengguna-pengguna yang terhubung. Namun di sisi lain dapat menimbulkan
kesulitan, karena akan sangat sulit bila kita harus membuat satu daftar
aturan yang banyak dan kompleks. Disamping itu, yang bisa dilakukan
firewall hanya memperbolehkan atau tidak memperbolehkan suatu paket
lewat berdasarkan pada alamat IP sumber atau alamat IP tujuan yang ada
pada paket tersebut. Penyerang bisa melakukan memalsukan alamat IP pada
paket (spoofing) menggunakan alamat IP tertentu yang terpercaya, dan
firewall akan melewatkannya. Penyerang juga dapat melakukan penyadapan
paket (sniffing) dengan relatif mudah untuk mengetahui struktur alamat
IP pada header paket yang lewat di jaringan.
Dalam analogi perpustakaan diatas, filtering pada firewall serupa
dengan petugas perpustakaan menimpan daftar mahasiswa dan dosen yang
terpercaya, dan mereka boleh langsung mengambil sendiri buku yang
diinginkan dari rak. Ini bisa menghasilkan proses sirkulasi buku yang
lebih cepat, namun memerlukan penanganan khusus atas daftar yang
diperbolehkan tersebut. Ini juga beresiko bila ada seseorang yang
menggunkan identitas palsu, sehingga seolah-olah dia adalah salah satu
dari yang ada dalam daftar yang diperbolehkan.
Proxy server menggunakan cara yang berbeda. Proxy server memotong
hubungan langsung antara pengguna dan layanan yang diakases (atau
antara mahasiswa dan buku-buku perpustakaan dalam analogi diatas). Ini
dilakukan pertama-tama dengan mengubah alamat IP, membuat pemetaan dari
alamat IP jaringan lokal ke suatu alamat IP proxy, yang digunakan untuk
jaringan luar atau internet. Karena hanya lamat IP proxy tersebut yang
akan diketahui secara umum di internet (jaringan yang tidak
terpercaya), maka pemalsuan tidak bisa dilakukan.
IDS
Intrusion Detection System (disingkat IDS) adalah sebuah aplikasi
perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas
yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat
melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam
sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari
percobaan intrusi (penyusupan).
Jenis-jenis IDS
Ada dua jenis IDS, yakni:
Ada dua jenis IDS, yakni:
* Network-based Intrusion Detection System (NIDS): Semua lalu lintas
yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah
ada percobaan serangan atau penyusupan ke dalam sistem jaringan. NIDS
umumnya terletak di dalam segmen jaringan penting di mana server berada
atau terdapat pada “pintu masuk” jaringan. Kelemahan NIDS adalah bahwa
NIDS agak rumit diimplementasikan dalam sebuah jaringan yang
menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet
sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk
memonitor port atau koneksi.
* Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet.
* Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet.
Kebanyakan produk IDS merupakan sistem yang bersifat pasif,
mengingat tugasnya hanyalah mendeteksi intrusi yang terjadi dan
memberikan peringatan kepada administrator jaringan bahwa mungkin ada
serangan atau gangguan terhadap jaringan. Akhir-akhir ini, beberapa
vendor juga mengembangkan IDS yang bersifat aktif yang dapat melakukan
beberapa tugas untuk melindungi host atau jaringan dari serangan ketika
terdeteksi, seperti halnya menutup beberapa port atau memblokir
beberapa alamat IP. Produk seperti ini umumnya disebut sebagai
Intrusion Prevention System (IPS). Beberapa produk IDS juga
menggabungkan kemampuan yang dimiliki oleh HIDS dan NIDS, yang kemudian
disebut sebagai sistem hibrid (hybrid intrusion detection system).
Implementasi & Cara Kerja
Cara kerja IDS dan jenis serangan yang mampu ditangkalnya
Cara kerja IDS dan jenis serangan yang mampu ditangkalnya
Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer
adalah dengan menggunakan pendeteksian berbasis signature (seperti
halnya yang dilakukan oleh beberapa antivirus), yang melibatkan
pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara
serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama
seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap
basis data signature IDS yang bersangkutan.
Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.
Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak biasa.
Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.
Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak biasa.
source :
Tidak ada komentar:
Posting Komentar