NETWORK MONITORING

NETWORK MONITORING

=> Digunakan untuk mengetahui adanya lubang keamanan

=> Menggunakan protokol SNMP (Simple Network Management Protokol)

=> Contoh :

=> Etherboy

=> HP Openview

=> Packetboy

=> SNMP Collector

=> Webboy

Instrusion Detection System (IDS)

• Merupakan penghambat atas semua serangan yang mengganggu sebuah jaringan dengan memberikan peringatan kepada administrator jaringan

• IDS juga mampu melacak aktivitas yang merugikan sebuah sistem

IDS  dibagi menjadi dua yaitu :

1. Host Based (Keamanan file)

2. Network Base (Monitoring semua segmen jaringan)

JENIS-JENIS IDS

1. Arsitektur Sistem

• Host Target Co Location

  IDS yang dijalankan pada sistem yang dilindungi

• Host Target Separation

IDS diletakkan pada komputer yang berbeda dengan komputer yang akan dilindungi

2. Strategi Pengendalian

• Terpusat (lihat Gambar)

• Terdistribusi Parsial (lihat Gambar)

• Terdistribusi Total (lihat Gambar)

3. Waktu

Waktu antara kejadian, baikmonitoring maupun analisis. IDS ini dibagi 2 yaitu :

• Interval Based

• Realtime

 

4. Sumber Data

IDS ini dibedakan menurut sumber daya yang diperoleh dibagi menjadi :

1. Host Base

Memperoleh informasi dari data yang dihasilkan oleh sistem pada sebuah komputer yang diamati. Datanya berupa log

Kelebihan Host Base IDS :

• Menguji keberhasilan atau kegagalan serangan

• Memonitor aktivitas sistem tertentu

• Mendeteksi serangan yang lolos

• Cocok untuk lingkungan enkripsi dan switch

• Deteksi dan respon realtime

• Tidak memperlukan tambahan perangkat keras

2.  Network Base

Memperoleh informasi dari packet-packet jaringan yang ada.

Cara mengenali serangan pada Network Base IDS adalah sbb :

• Pola data, enkripsi, atau pencocokan secara bytecode

• Frekuensi atau pelanggaran ambang batas

• Korelasi yang dekat dengan sebuah interval

• Deteksi anomali secara statistik

 

Kelebihan  Network Base IDS :

• Biaya Rendah

• Serangan yangtidak terdeteksi oleh host base IDS

• Kesulitan bagi penyerang menghapus jejak

• Deteksi secara realtime

• Tidak tergantung pada sistem operasi

Contoh : SNORT

Snort merupakan program yang berfungsi memeriksa data yang masuk dan melaporkan ke administrator apabila ada gerak-gerik yang mencurigakan (hampir sama dengan snipper)

Snort dapat dioperasikan dalam tiga mode yaitu :

1. Snipper mode

2. Packet Logger

3. Instruction Detection Mode

Respon serangan pada IDS network base yaitu 

1. Notifikasi

2. Logging

3. Respons Aktif

3.  Hibrid IDS

Gabungan dari Host Base dan Network Base yang merupakan generasi terbaru (Lebih aman)

Baca Juga : Keamanan Jaringan

Beberapa Fitur yang diharapkan pada Generasi Lanjut IDS yaitu :  

1. Integrasi antara network base IDS dan host based IDS

2. Manajemen consule yang generik untuk semua produk

3. Integrasi sistem report

4. Kemampuan menghubungkan event dengan serangan

5. Integrasi dengan online help untuk respon insiden

6. Prosedur instalsi yang ringkas

Kelebihan Instrusion Detection System

1. Monitoring dan analisis sistem dan perilaku pengguna

2. Pengujian terhadap konfigurasi keamanan sistem

3. Memberikan acuan untuk pelaksanaan keamanan sistem dan penelurusan perubahan pada titik acuan

4. Pengenalan serangan menurut pola yang telah diketahui

5. Pengenalan pola aktivitas yang tidak normal

Keterbasan Instrusion Detection System

1. IDS kurang cepat mengenali serangan pada segmen yang memiliki trafik yang besar

2. IDS tidak dapat mengenali teknik baru yang belum terdapat basis data pola serangan yang dimiliki

3. IDS tidak dapat bekerja secara efektif pada jaringan menggunakan switch hub

Beberapa Aksi IDS

1. Rekonfigurasi firewall

2. Membunyikan speaker

3. Log event

4. Mengirim e-mail peringatan kepada administrator

5. Penyimpang bukti yang merupakan paket yang di curigai

6. Menjelankan program tertentu

7. Menghentikan sesi TCP yang dipakai

Posisi IDS
Terdapat beberapa alternatif untuk meletakkan IDS dalam jaringan :

1. IDS 1 diletakkan berhubungan langsung dengan firewall

2. IDS 2, sebagian besar IDS bekerja di dawerah ini, dipergunakan untuk mendeteksi paket-paket yang melalui firewall

3. IDS 3 mendeteksi serangan-serangan terhadap firewall

4. IDS 4 diletakkan dijaringan internal, dipergunakan untuk mendeteksi serangan yang berasal dari jaringan internal

5. IDS Host base diletakkan pada host yang diinginkan.

Honeypot

=> Adalah suatu sumber sistem informasi yang memiliki nilai kebohongan bagi siapa saja yang secara tidak sah atau tidak memiliki hak untuk mengakses ke sumber sistem informasi.

=> Penempatan Honeypot dikategorikandalam 3 tempat yaitu :

=> Sebelum firewall

=> Sesudah firewall

=> Demilitary Zona

Penggunaan Honeypot dibagi 2 yaitu :

=> Research Honeypot

Kategori tipe ini digunakan untuk keperluan riset dan untuk memperoleh pengetahuantentang metode intruksi

=> Production Honeypot

Dipakai untuk institusi

Mencegah serangan terhadap sistem

=> Desain Sistem

=> Aplikasi yang digunakan

=> Manajemen

=> Manusia

Security Policy sebaiknya :  

=> Penjelasan

=> Tanggung Jawab setiap pihak yang terlibat

=> Bahasa yang biasa

=> Otoritas yang menerapkan

=> Perkecualian

=> Penilaian Ulang

Security Policy Tidak berisi :

=> Detaik teknik

=> Permasalahanpihak lain

=> Masalah yang bukan merupakan masalah keamanan komputer

Langkah Keamanan Komputer

1. Aset

2. Analisis Resiko

3. Perlindungan

4. Alat

5. Prioritas

Strategi dan Taktik Keamanan Komputer

Merupakan komponen dari arsitektur danpolicy yang direncanakansecara lengkap untuk mempertahankansistem, mencegah dan mendeteksi

1. Keamanan Fisik

2. Kunci Komputer

3. Keamanan BIOS

4. Keamanan Boat loader

5. Xlock dan Vlock

6. Mendeteksi gangguan keamanan fisik

Beberapa Hal yang perlu diperiksa pada log  

=> Log pendek atau lengkap

=> Log yang berisi waktu yang aneh

=> Log dengan permisi atau kepemilikan yang tidak tepat

=> Catatan pelayananreboot atau restrart

=> Log yang hilang

=> Masukan ataulogin dari tempat janggal

Password

=> Kunci kehidupan

Terima Kasih......