BAB 2 LANDASAN TEORI 2.1
Teori –teori Dasar/ Umum 2.1.1
Perangakat Keras Jaringan
Pada desain jaringan ada dua dimensi penting yaitu teknologi transmisi dan skala. Umumnya, ada 2 tipe teknologi transmisi yang digunakan secara luas yaitu broadcast links dan point-to-point links. (Tanenbaum, 2003, p14) Broadcast network memiliki saluran komunikasi tunggal yang dimiliki oleh semua mesin yang ada pada jaringan. Cara kerjanya adalah paket dikirimkan oleh sebuah mesin dan diterima oleh semua mesin lainnya. Alamat field dalam paket menentukan penerima pesan yang dituju. Setelah menerima paket, mesin memeriksa alamat field. jika paket ditujukan untuk mesin penerima, maka mesin akan memproses paket; Jika paket ditujukan untuk mesin lainnya, maka mesin akan membiarkan paket tersebut. Beberapa broadcast system juga mendukung transmisi ke subset dari mesin, sesuatu yang dikenal sebagai multicasting Point-to-point network terdiri dari banyak koneksi antara sepasang mesin. Agar sumber dapat sampai ke tujuan, paket pada jaringan jenis ini harus mengunjungi satu atau lebih mesin perantara untuk menemukan jalur yang terbaik. Umumnya jaringan kecil dan jaringan
geografis
lokal
cenderung 7
menggunakan
broadcasting,
8
sedangkan
jaringan
besar
biasanya
menggunakan
point-to-point.
Transmisi point-to-point dengan satu pengirim dan satu penerima sering disebut juga unicasting (Tanenbaum, 2003, p15). Jarak penting sebagai klasifikasi metrik karena teknik yang berbeda digunakan pada skala yang berbeda. Tabel 2.1 Klasifikasi cakupan jaringan Processor pada jaringan yang sama 1m Meter persegi 10m Ruangan 100m Bangunan 1km Kampus 10km Kota 100km Negara 1000km Benua 10000km Planet Jarak
Skala Personal area network Local area network Local area network Local area network Metropolitan area network Wide area network Wide area network Internet
2.1.1.1 Local Area Network (Tanenbaum, 2003, p16) Jaringan area lokal atau biasa disebut LAN, adalah jaringan milik pribadi dalam sebuah bangunan tunggal atau kampus.
LAN
banyak
digunakan
untuk
menghubungkan
komputer pribadi dan workstation dalam kantor perusahaan dan pabrik-pabrik untuk berbagi sumber daya (misalnya, printer) dan pertukaran informasi. LAN dapat menggunakan teknologi transmisi yang terdiri dari kabel dipasang ke semua mesin. Tradisional LAN berjalan pada kecepatan 10 Mbps sampai 100
9
Mbps, memiliki delay rendah (mikrodetik atau nanodetik), LAN dengan teknologi terbaru dapat beroperasi hingga 10 Gbps. 2.1.1.2 Metropolitan Area Network (Tanenbaum, 2003, p18) Metropolitan area network (MAN) adalah jaringan komputer yang mencakup sebuah kota. ataupun kampus besar, MAN
biasanya
interkoneksi
sejumlah
LAN
menggunakan
teknologi backbone berkapasitas tinggi, seperti serat optik, dan menyediakan layanan up-link untuk WAN dan internet. 2.1.1.3 Wide Area Network (Tanenbaum, 2003, p19) Wide area network (WAN), mencakup wilayah geografis yang luas, seringkali sebuah negara atau benua. Dalam jaringan area yang paling luas, subnet terdiri dari dua komponen yang berbeda yaitu jalur transmisi dan elemen switching. Jalur transmisi memindahkan bit antar mesin. Jalur transmisi dapat terbuat dari kawat tembaga, serat optik, atau bahkan radio link. Elemen switching adalah komputer khusus yang menghubungkan tiga atau lebih jalur transmisi. Ketika data tiba pada jalur masuk, elemen
switching
harus
memilih
jalur
keluar
untuk
meneruskannya, saat sekarang lebih dikenal dengan nama router. 2.1.1.4 Jaringan Wireless (Tanenbaum, 2003, p21) Wireless network dapat dibagi menjadi tiga kategori utama: 1. Sistem interkoneksi.
10
2. Wireless LAN. 3. Wireless WAN. Sistem interkoneksi adalah semua tentang interkoneksi komponen dari sebuah komputer menggunakan radio jarak pendek. Hampir setiap komputer memiliki monitor, keyboard, mouse, dan printer yang terhubung ke unit utama dengan kabel. Jadi banyak pengguna baru memiliki kesulitan memasukkan semua kabel ke dalam lubang-lubang kecil dengan tepat (meskipun mereka biasanya berkode warna) dan vendor komputer menawarkan pilihan untuk mengirim teknisi ke rumah pengguna untuk melakukannya. Akibatnya, beberapa perusahaan berkumpul untuk merancang sebuah jaringan nirkabel jarak pendek disebut Bluetooth untuk menghubungkan komponen-komponen ini tanpa kabel. Bluetooth juga memungkinkan kamera digital, headset, scanner, dan perangkat lain dapat terhubung ke komputer hanya dengan dibawa dalam jangkauan. Tidak ada kabel, tidak ada instalasi driver, hanya perlu mematikan atau menyalakan untuk menghubungkannya. Wireless LAN adalah sistem dimana setiap komputer memiliki modem radio dan antena yang dapat berkomunikasi dengan sistem lain. Wireless LAN menjadi semakin umum di kantor kecil dan rumah,serta di gedung perkantoran tua, kafetaria
11
perusahaan, ruang konferensi, dan tempat-tempat lainnya. Ada sebuah standar untuk Wireless LAN, yaitu IEEE 802.11. Jaringan radio yang digunakan untuk telepon seluler adalah contoh dari sistem wireless bandwidth rendah. Sistem ini telah melewati tiga generasi. Generasi pertama adalah analog dan untuk suara, generasi kedua adalah digital dan untuk suara, generasi ketiga adalah digital baik untuk suara dan data. perbedaan wireless WAN dan jaringan radio yang digunakan telepon seluler adalah jarak yang jauh lebih besar dan bit rate yang jauh lebih rendah. Wireless LAN dapat beroperasi pada tingkat hingga sekitar 50 Mbps lebih dari jarak puluhan meter. Sistem selular beroperasi di bawah 1 Mbps, namun jarak antara base station dan komputer atau telepon diukur dalam kilometer, bukan lagi dalam meter.
2.1.1.5 Jaringan Rumah (Tanenbaum, 2003, p23) Jaringan rumahan biasanya hanya terdiri dari beberapa komputer dan saling berhubungan, perangkat penghubung dapat menggunakan hub, switch, ataupun wireless router. Ide dasar untuk jaringan rumah adalah di masa depan setiap perangkat rumah akan mampu berkomunikasi dengan setiap perangkat lain,
12
dan semua perangkat akan dapat diakses melalui internet. Banyak perangkat yang mampu menjadi jaringan. Beberapa kategori yang lebih jelas adalah sebagai berikut: 1. Komputer (PC desktop, notebook PC, PDA, peripheral bersama-sama). 2. Hiburan (TV, DVD, VCR, camcorder, kamera, stereo, MP3). 3. Telekomunikasi (telepon, telepon seluler, faks). 4. Peralatan (microwave, kulkas, jam, tungku, ac, lampu). 5. Telemetri (utilitas meter, alarm, termostat, babycam). 2.1.1.6 Internetworks (Tanenbaum, 2003, p25) Sebuah kumpulan jaringan yang saling berhubungan disebut internetwork atau internet. Sebuah bentuk umum dari internet adalah kumpulan LAN dihubungkan dengan WAN, namun ada sedikit kesepakatan di industri terminologi di daerah ini. Salah satu aturan praktis adalah bahwa jika organisasi yang berbeda dibayar untuk membangun berbagai bagian jaringan dan masing-masing mempertahankan bagiannya, maka kita memiliki internetwork bukan jaringan tunggal. Juga, jika didasari dengan teknologi berbeda di bagian-bagian yang berbeda (misalnya, broadcast dibandingkan point-to-point), kita mungkin memiliki dua jaringan.
13
2.1.2
Perangkat Lunak Jaringan 2.1.2.1 Hierarki Protokol (Tanenbaum, 2003, pp26-pp30)
Gambar 2.1 Layer, Protocols, and Interfaces. Untuk mengurangi kompleksitas desain, sebagian besar jaringan diatur sebagai tumpukan lapisan (layer). Jumlah lapisan, nama setiap lapisan, isi dari setiap lapisan, dan fungsi setiap lapisan berbeda dari jaringan ke jaringan. Tujuan dari setiap lapisan adalah untuk menawarkan layanan tertentu ke lapisan yang lebih tinggi, melindungi lapisan-lapisan dari rincian tentang bagaimana layanan yang ditawarkan benar-benar diterapkan. Dalam arti, setiap lapisan adalah semacam mesin virtual, yang menawarkan layanan tertentu ke lapisan di atasnya. Di bawah lapisan 1 adalah media fisik dimana komunikasi yang sebenarnya terjadi. Antar tiap lapisan yang berdekatan
14
adalah interface. Interface mendefinisikan operasi yang primitif dan melayani layer bawah agar dapat tersedia untuk layer atas. Serangkaian
lapisan
dan
protokol
disebut
arsitektur
jaringan.Serangkaian lapisan dan protokol disebut arsitektur jaringan. Spesifikasi arsitektur harus berisi informasi yang cukup untuk memungkinkan pelaksana untuk menulis program atau membangun hardware untuk setiap layer sehingga dapat dengan tepat mematuhi protokol yang sesuai. Baik rincian pelaksanaan maupun spesifikasi antarmuka merupakan bagian dari arsitektur karena hal ini tersembunyi dalam mesin dan tidak terlihat dari luar. Daftar protokol yang digunakan oleh sistem tertentu, satu protokol per layer, disebut sebuah protocol stack. 2.1.2.2 Masalah Desain Untuk Layer (Tanenbaum, 2003, pp30-pp31) 2.1.2.2.1 Error Control Error control merupakan isu penting karena jalur komunikasi fisik tidak sempurna. Banyak kesalahan-mendeteksi dan kesalahan mengoreksi kode yang dikenal, namun kedua ujung sambungan harus menyetujui jalur digunakan. Selain itu, penerima harus memiliki beberapa cara untuk memberitahu pengirim pesan mana yang telah benar diterima dan mana yang salah. Tidak semua saluran komunikasi menjaga urutan pesan yang dikirim pada mereka. Untuk menangani
15
kemungkinan hilangnya pengurutan, protokol harus membuat ketentuan secara eksplisit bagi penerima untuk memungkinkan potongan untuk dikumpulkan kembali dengan benar. Sebuah solusi yang jelas adalah jumlah potongan, tetapi solusi ini masih menyisakan pertanyaan tentang apa yang harus dilakukan dengan potongan-potongan yang tiba rusak. 2.1.2.2.2 Flow Control Sebuah masalah yang terjadi pada semua tingkatan adalah bagaimana menjaga pengiriman data yang dengan cepat membanjiri penerima, dengan penerimaan yang lambat. Beberapa dari mereka melibatkan beberapa jenis umpan balik dari penerima ke pengirim, baik secara langsung atau tidak langsung. Lainnya membatasi pengirim, mengirimkan data dengan kecepatan transmisi yang telah disepakati. Cara kerja ini dinamakan flow control. 2.1.2.2.3 Routing Ketika ada beberapa jalur antara sumber dan tujuan, rute harus dipilih. Kadang-kadang keputusan ini harus dibagi atas dua atau lebih lapisan. Misalnya, untuk mengirim data dari London ke Roma, keputusan
16
tingkat tinggi mungkin harus dibuat untuk transit Perancis atau Jerman berdasarkan undang-undang privasi masing-masing. Kemudian keputusan tingkat rendah mungkin harus dilakukan untuk memilih salah satu sirkuit yang tersedia berdasarkan beban lalu lintas saat ini. Cara kerja ini dinamakan routing.
2.1.3
Model Referensi 2.1.3.1 Model Referensi OSI (Tanenbaum, 2003, pp37-pp41) OSI model dikembangkan oleh Internasional Standards Organitation (ISO) sebagai langkah awal menuju standar internasional dari protokol yang digunakan dalam berbagai lapisan.
Model
ini
disebut
ISO
OSI
(Open
Systems
Interconnection) Reference Model karena berhubungan dengan menghubungkan sistem terbuka dengan sistem lain. OSI model mempunyai tujuh lapisan antara lain : 2.1.3.1.1 Physical Layer Physical layer berkaitan dengan transmisi bit mentah yang melalui saluran komunikasi. Masalah desain yang harus dilakukan adalah untuk memastikan bahwa ketika satu sisi mengirim 1 bit, diterima oleh sisi lainnya sebagai 1 bit, bukan sebagai bit 0. Masalah desain di sini sebagian besar berurusan dengan
17
interface mekanik, listrik, waktu, dan media transmisi fisik, yang terletak di bawah physical layer. 2.1.3.1.2 Data link layer Tugas utama dari data link layer adalah mengubah sebuah fasilitas transmisi mentah menjadi sebuah baris yang muncul, bebas dari kesalahan transmisi yang tidak terdeteksi ke lapisan jaringan. Menyelesaikan tugas ini dengan meminta pengirim memecah
data
input
menjadi
data
frame
dan
mengirimkan frame secara berurutan. Jika layanan ini dapat diandalkan, penerima menegaskan penerimaan yang benar dari setiap frame dengan mengirimkan kembali sebuah acknowledgement frame. 2.1.3.1.3 Network layer Network layer mengontrol operasi dari subnet. Masalah utama adalah menentukan bagaimana paket yang diarahkan dari sumber ke tujuan. Jika terlalu banyak paket yang hadir dalam subnet pada saat yang sama, mereka akan mendapatkan di jalan satu sama lain yang akan menimbulkan kemacetan. Pengendalian kemacetan seperti itu juga menjadi tanggung jawab network layer. Lebih umumnya, kualitas layanan yang
18
disediakan (delay, transit time, jitter, dll) juga menjadi permasalahan pada network layer. 2.1.3.1.4 Transport layer Fungsi dasar dari transport layer adalah menerima data, membaginya menjadi unit yang lebih kecil, jika perlu melewatkan data ke network layer, dan memastikan bahwa semua potongan tiba dengan urutan yang benar di ujung lain. Selanjutnya, semua ini harus dilakukan secara efisien dan dengan cara yang mengisolasi lapisan atas dari perubahan yang tak terelakkan dalam teknologi perangkat keras. Transport layer
juga
menentukan
jenis
layanan
untuk
menyediakan session layer, dan pada akhirnya, untuk para pengguna jaringan. 2.1.3.1.5 Session layer Session layer memungkinkan pengguna pada mesin yang berbeda untuk membangun sesi diantara mereka.
Session
menawarkan
berbagai
layanan,
termasuk pengendalian dialog (melacak giliran untuk pengiriman), token management (mencegah dua pihak dari upaya menjalankan operasi kritis pada waktu yang bersamaan), dan sinkronisasi (membuat checkpoint
19
pada transmisi yang telah berlangsung lama, untuk memungkinkan mereka melanjutkan dari mana mereka setelah terjadi tabrakan). 2.1.3.1.6 Presentation layer Presetation
Layer
bertanggung
jawab
bagaimana data dikonversi dan diformat untuk transfer data. Contoh konversi format text ASCII untuk dokumen, .gif dan .jpg untuk gambar. Layer ini membentuk kode konversi, translasi data, enkripsi dan konversi. 2.1.3.1.7 Application layer Application Layer adalah yang paling “cerdas”, gateway berada pada layer ini. Gateway melakukan pekerjaan yang sama seperti sebuah router, tetapi ada perbedaan diantara mereka. Application layer adalah penghubung utama antara aplikasi yang berjalan pada satu
komputer
dan
resources
network
yang
membutuhkan akses padanya. Layer Application adalah layer dimana user akan beroperasi padanya, protokol seperti FTP, telnet, SMTP, HTTP, POP3 berada pada application layer.
20
2.1.3.2 Model Referensi TCP/IP (Tanenbaum, 2003, pp41-pp44) 2.1.3.2.1 Internet Layer Internet layer memiliki tugas utama untuk memilih rute terbaik yang akan dilewati oleh sebuah paket data dalam sebuah jaringan. Selain itu, layer ini juga bertugas untuk melakukan packet switching yang bertugas untuk memungkinkan host menginjeksi paket ke jaringan apapun dan paket dengan sendirinya pergi ke tujuan (berpotensi pada jaringan yang berbeda). Paket mungkin tiba dalam urutan yang berbeda dari urutan yang dikirim. Dalam hal ini untuk mengatur ulang urutan paket adalah tugas dari lapisan yang lebih tinggi. 2.1.3.2.2 Transport Layer Transport
layer
dirancang
untuk
memungkinkan host sumber dan host tujuan melakukan percakapan, oleh karena itu sering disebut juga host to host layer. Ada dua end-to-end protokol transport yang akan didefinisikan di sini. Yang pertama, TCP (Transmission Control Protocol), merupakan protokol berorientasi koneksi yang handal yang memungkinkan aliran byte yang berasal pada satu mesin akan dikirimkan tanpa kesalahan pada setiap mesin lain di
21
internet. Protokol yang kedua adalah UDP (User Diagram Protocol) merupakan jenis protokol yang tidak
andal
(unreliable)
dan
tanpa
koneksi
(connectionless). UDP bersifat connectionless karena pesan-pesan UDP akan dikirimkan tanpa harus dilakukan proses negosiasi koneksi antara dua host yang hendak bertukar informasi. Dan UDP juga bersifat unreliable, ini dikarenakan oleh pesan-pesan UDP akan dikirimkan sebagai datagram tanpa adanya nomor urut atau pesan acknowledgment. Kemampuan UDP untuk mengirimkan data streaming dengan cepat dalam teknologi VoIP membuat UDP menjadi salah satu protocol penting yang digunakan sebagai header pengiriman data selain RTP (Real-time Transport Protocol) dan IP. Dalam UDP, tidak ada mekanisme pengiriman data ulang. 2.1.3.2.3 Application Layer Application layer merupakan layer paling atas pada model TCP/IP, yang bertanggung jawab untuk menyediakan akses kepada aplikasi terhadap layanan jaringan TCP/IP. Protokol ini mencakup Dynamic Host Configuration Protocol (DHCP), Domain Name System (DNS), Hypertext Transfer Protocol (HTTP), File
22
Transfer Protocol (FTP), Telnet, Simple Mail Transfer Protocol
(SMTP),
Simple
Network
Management
Protocol (SNMP), dan masih banyak protokol lainnya. Dalam beberapa implementasi Stack Protocol, seperti halnya Microsoft TCP/IP, protokol-protokol lapisan aplikasi berinteraksi dengan menggunakan antarmuka Windows Sockets (Winsock) atau NetBios over TCP/IP (NetBT). 2.1.3.2.4 Host to Network Layer Host to network layer hanya bertugas untuk menunjukkan bahwa host telah dapat terhubung ke jaringan dengan menggunakan beberapa protokol sehingga dapat mengirimkan paket IP. Protokol ini tidak didefinisikan dan bervariasi dari host ke host dan jaringan ke jaringan.
2.1.4
Contoh Jaringan 2.1.4.1 Ethernet (Tanenbaum, 2003, p65) Ethernet adalah teknologi standar yang digunakan dalam jaringan LAN, yang mempunyai data rate 10 megabit per detik. Ethernet di definisikan dalam standar Institute of Electrical and Electronics Engineers (IEEE) 802.3. Standar-standar yang dibuat untuk teknologi ini adalah 10Base2, 10Base5, 10BaseF, 10BaseT.
23
2.1.4.2 Wireless LAN: 802.11 (Tanenbaum, 2003, p68) Wireless LAN (Wireless Local Area Networks/WLAN) memiliki pengertian yaitu suatu jaringan komputer yang saling terhubung dengan menggunakan frekuensi radio untuk mengirim dan menerima data tanpa membutuhan kabel. Wireless LAN didasari pada spesifikasi IEEE 802.11. Ada beragam standar 802.11 yang ditetapkan oleh IEEE. Untuk koneksi Wi-Fi antar perangkat, ada tiga jenis jaringan nirkabel yang ditetapkan oleh IEEE yaitu standar 802.11a, 802.11b, dan 802.11g. Yang membedakan masing-masing standar adalah jangkauan frekuensi dan kecepatan transfernya. 2.2
Teori –teori Khusus 2.2.1
Cracker
Cracker
adalah
penjahat
komputer
yang
masuk
dan
menghancurkan/merusak (Kaelola, 2009, p8). Cracker dapat menerobos masuk ke sistem komputer orang lain (biasanya menggunakan jaringan), dengan melewati password atau lisensi program komputer untuk kepentingan pribadi dan mencari keuntungan dari system yang di masuki, seperti pencurian data, penghapusan data, dan pengubahan data. 2.2.1.1 Buffer Overflow Buffer overflow adalah salah satu metode yang digunakan oleh cracker untuk mengeksploitasi sebuah sistem komputer yang
24
memiliki kelemahan pada salah satu aplikasi yang digunakan oleh system tersebut. Pemahaman Buffer overflow memiliki arti suatu keadaan dimana data yang diisikan ke suatu buffer mempunyai ukuran yang lebih besar dibandingkan ukuran buffer itu sendiri, dan dapat dianalogikan dengan kehidupan sehari-hari, yaitu saat kita mengisi bak mandi melebihi daya tampungnya, maka air yang kita isikan akan meluap (overflow). Berikut adalah contoh pemrograman dengan bahasa C yang mengandung buffer overflow : #test.c #include<stdio.h> void fungsi(char* txt) { char buffer[4]; strcpy(buffer, txt); } int main() { char buffer[17]; int i; for (i=0; i<16;I++) buffer[i]=0x19; fungsi(buffer); return 0; }
Setelah sukses dikompilasi maka ketika program diatas dieksekusi akan ada pesan segmentation violation. Segmentation
25
violation terjadi karena pada fungsi fungsi(), variable array buffer didefinisikan hanya berukuran 4 byte, sedangkan data yang disalinkan kepadanya berukuran sebesar 17 byte. Sebagai catatan, fungsi stcpy() akan menyalinkan data yang direferensi oleh pointer txt ke buffer sampai karakter null ditemukan di txt. Di bawah ini adalah kondisi blok memori saat sudah mengalami overflow setelah pemanggilan fungsi diatas dapat dilihat pada Gambar 2. 2.
Gambar 2.2 Keadaan Memori Saat Overflow Seperti terlihat pada gambar, data yang mempunyai nilai karakter 0x19 sebesar 17 byte disalinkan ke memori stack mulai dari alamat buffer[0] ke arah stack bawah sampai memori stack yang mempunyai pointer *txt. Akibat yang fatal adalah termodifikasinya memori stack yang menyimpan alamat fungsi kembali RET. Dalam hal ini nilai RET berubah menjadi 0x19191919 yang merupakan alamat memori yang instruksinya akan dipanggil setelah fungsi fungsi() selesai dikerjakan. Tentu
26
hal ini akan menyebabkan kesalahan karena instruksi yang terdapat pada alamat memori tersebut bukanlah instruksi yang valid. Kondisi diatas menjadi prinsip apa yang disebut dengan buffer overflow, yaitu membuat buffer meluap sehingga nilai dari RET termodifikasi untuk mengubah alur dari instruksi program sesuai dengan keinginan kita (IluFa, 2005, pp5-pp6). 2.2.1.2 Distributed Component Object Model Distributed Component Object Model (DCOM) adalah teknologi milik Microsoft yang berfungsi untuk melakukan komunikasi antara komponen-komponen perangkat lunak yang didistribusikan di seluruh jaringan komputer (Wikipedia, 2011).
2.2.2
Virus
Virus komputer merupakan program komputer yang dapat menggandakan atau menyalin dirinya sendiri (Encyclopedia, 1995). dan menyebar dengan cara menyisipkan salinan dirinya ke dalam program atau dokumen lain. Virus komputer dapat dianalogikan dengan virus biologis yang menyebar dengan cara menyisipkan dirinya sendiri ke sel makhluk hidup Virus komputer dapat merusak (misalnya dengan merusak data pada dokumen), membuat pengguna komputer merasa terganggu, maupun tidak menimbulkan efek sama sekali.
27
2.2.3
Trojan
Trojan mempunyai banyak cara untuk melakukan tindakkan yang merugikan, seperti mencuri password yang di simpan pada sistem operasi (pencurian password), memantau apa saja yang diketikkan pengguna, setelah itu di kirimkan si pengirim (keylogger), mengambil alih kontrol secara penuh terhadap sistem, sehingga penyerang dapat menghapus atau mencuri file (remote administration tools), melakukan penolakanpenolakan layanan (zombie Trojan), dan masuk kedalam program, setelah itu mengubah cara kerja program tersebut (Wikipedia, 2011).
2.2.4
Worm
Worm adalah program berbahaya yang berasal pada satu komputer dan mencari komputer lain yang terhubung melalui jaringan area lokal atau koneksi internet (Erbschloe, 2005, p23). Worm dalam keamanan komputer, adalah sebuah program komputer yang dapat menggandakan dirinya secara sendiri dalam sistem komputer dengan memanfaatkan jaringan (LAN/WAN/Internet) tanpa perlu campur tangan dari user itu sendiri. Worm tidak seperti virus komputer biasa, yang menggandakan dirinya dengan cara menyisipkan program dirinya pada program yang ada dalam komputer tersebut, tapi worm memanfaatkan celah keamanaan yang memang terbuka atau lebih dikenal dengan sebutan vulnerability. Beberapa worm juga menghabiskan bandwidth yang tersedia. Hanya ada satu cara untuk mengatasi worm
28
yaitu dengan menutup celah keamanan yang terbuka tersebut, dengan cara meng-update patch atau Service Pack dari operating system yang digunakan dengan patch atau Service Pack yang paling terbaru. 2.2.4.1 Conficker Worm conficker dapat menyebar dengan cepat ke semua komputer yang terkoneksi pada jaringan yang sama. Jika terinfeksi worm ini, user tidak dapat membuka situs-situs antivirus ataupun meng-update windows. Worm ini juga dapat bersembunyi di dalam memori untuk menghindari anti-virus, bahkan worm ini juga mampu merusak beberapa software antivirus dan meniru anti-virus tersebut untuk lebih menginfeksi komputer, yang lebih menjengkelkan lagi confiker dapat membuat jaringan internet maupun jaringan LAN terputus (Microsoft, 2011).
2.2.5
Spam
Spam atau bisa juga berbentuk junk mail adalah penyalahgunaan sistem pesan elektronik (termasuk media penyiaran dan sistem pengiriman digital) untuk mengirim berita, iklan, dan keperluan lainnya secara massal. Umumnya, spam menampilkan berita secara bertubi-tubi tanpa diminta dan sering kali tidak dikehendaki oleh penerimanya (Saleh, 2008, pp6-pp46).
29
2.2.6
Phising
Phishing adalah cara mencoba untuk mendapatkan informasi seperti username, password, dan rincian kartu kredit dengan menyamar sebagai entitas terpercaya dalam sebuah komunikasi elektronik. Komunikasi yang mengaku berasal dari situs web sosial yang populer, situs lelang, prosesor pembayaran online atau IT administrator biasanya digunakan untuk memikat publik agat tidak adanya kecurigaan. Phishing biasanya dilakukan melalui e-mail (Tan, 2006).
2.2.7
Anti-spam
Anti-spam mengacu pada perangkat keras, perangkat lunak atau proses yang digunakan untuk memerangi penyebaran spam atau untuk menjaga spam memasuki sistem. Sebagai contoh, sebuah filter Bayesian adalah sebuah aplikasi anti-spam software, dan penggunaan opt-in e-mail adalah sebuah proses anti-spam (QuinStreet Inc, 2011).
2.2.8
Anti-virus
Anti-virus adalah sebuah jenis perangkat lunak yang digunakan untuk mengamankan, mendeteksi, dan menghapus virus komputer dari sistem komputer (Wikipedia, 2011). Anti-virus disebut juga Virus Protection Software. Aplikasi ini dapat menentukan apakah sebuah sistem komputer telah terinfeksi dengan sebuah virus atau tidak. Umumnya, perangkat lunak ini berjalan di latar belakang (background)
30
dan melakukan pemindaian terhadap semua berkas yang diakses (dibuka, dimodifikasi, atau ketika disimpan). 2.2.8.1 Exploit-Signature-based Detection Metode deteksi menggunakan signature yaitu menyerang pola yang telah dikonfigurasi dan ditentukan sebelumnya. Antivirus biasanya mendeteksi berdasarkan signature, ketika antivirus sedang melakukan scan atau memfilter paket dan ternyata ada virus atau worm yang cocok dengan signature yang ada di anti-virus, maka anti-virus akan memblok paket-paket tersebut (Wikipedia, 2011).
2.2.9
Enterprise Resource Planning
Enterprise Resource Planning (ERP) adalah sistem aplikasi perangkat
lunak
yang
digunakan
untuk
mengelola
dan
mengkoordinasikan informasi antar unit bisnis yang berbeda dari suatu organisasi dan antara pemasoknya. ERP membantu untuk memastikan perencanaan
yang
efektif,
mengoptimalisasi
informasi,
dan
memberdayakan karyawan untuk membuat keputusan yang lebih baik (Madu, 2004, p77).
2.2.10 VLAN
VLAN adalah pengelompokan logis dari sumber daya jaringan dan perangkat berbasis host pada port, dimana host ini terhubung ke
31
switch, atau berdasarkan pada alamat MAC. Sebuah VLAN pada dasarnya adalah pengelompokan logis dari port switch atau alamat MAC (Angelescu, 2010, p416). VLAN atau Virtual LAN merupakan suatu model jaringan yang tidak terbatas pada lokasi fisik seperti LAN, hal ini mengakibatkan suatu network dapat dikonfigurasi secara virtual tanpa harus menuruti lokasi fisik peralatan. Penggunaan VLAN akan membuat pengaturan jaringan menjadi sangat fleksibel dimana VLAN memungkinkan komputer untuk berkomunikasi pada switch yang berbeda, dengan cara dikonfigurasi melalui perangkat lunak, bukan perangkat fisik relokasi atau koneksi. Keunggulan VLAN dibandingkan LAN adalah dapat dibagi kedalam segmen-segmen
dimana
tiap
user
yang
tergabung
dalam
satu
VLAN/bagian (divisi, organisasi, kelompok) dapat tetap saling berhubungan walaupun terpisah secara fisik.
2.2.11 Inter-VLAN-Routing
Inter-VLAN-Routing adalah pemecahan untuk tidak dapatnya transportasi paket pada vlan yang berbeda. Untuk mentransportasi paket antara VLAN, harus digunakan alat yang mempunyai layer 3 yaitu fungsi router. Router harus mempunyai koneksi fisik dan logical pada tiap VLAN, sehingga dapat mentrasportasi paket antar VLAN (Hucaby, 2010, p502).
32
2.2.12 Access Control List
Access Control List (ACL) digunakan untuk mengidentifikasi arus lalu lintas tertentu. Bersamaan dengan instruksi untuk tindakan apa yang harus diambil ketika terdapat kesamaan dalam pola lalu lintas yang ditemukan. Tindakan yang diambil adalah untuk menolak atau mengizinkan. Pola aliran lalu lintas akan dibandingkan dengan daftar yang diterapkan dan membaca secara berurutan, baris per baris, atas ke bawah, hingga kecocokan ditemukan, tidak ada perbandingan lebih lanjut hingga akhir dari daftar (Payne, 2003, pp756-pp757).
2.2.13 Firewall
Firewall adalah sistem yang melindungi jaringan lokal dari pengguna yang tidak sah, yang mencoba untuk mengakses suatu jaringan dari internet (Casad, 2004, p101). Umumnya, sebuah tembok-api diterapkan dalam sebuah mesin terdedikasi, yang berjalan pada gateway antara jaringan lokal dan jaringan lainnya. Firewall umumnya juga digunakan untuk mengontrol akses terhadap siapa saja yang memiliki akses terhadap jaringan pribadi dari pihak luar.
2.2.14 SSL VPN
Secure Socket Layer Virtual Private Network (SSL VPN) adalah suatu bentuk VPN yang dapat digunakan dengan web browser standar. SSL VPN Berbeda dengan Internet Protokol Keamanan tradisional
33
(IPsec) VPN, suatu SSL VPN tidak memerlukan instalasi perangkat lunak pada komputer pengguna. Ini digunakan untuk memberikan pengguna melakukan akses ke aplikasi web, aplikasi client/server dan koneksi jaringan internal (TechTarget, 2011).
2.2.15 Web Filter
Web filter adalah sebuah program yang dapat menyaring halaman web yang masuk untuk menentukan apakah beberapa atau semua itu tidak harus ditampilkan kepada pengguna. Web filter memeriksa asal-usul atau isi dari suatu halaman web berdasarkan aturan yang disediakan oleh perusahaan atau pengguna yang telah terinstal web filter. Web filter memungkinkan suatu perusahaan atau pengguna individu untuk memblokir halaman dari situs web, termasuk iklan tidak pantas, konten pornografi, spyware, virus, dan konten tidak pantas lainnya (TechTarget, 2011).
2.2.16 Intrusi
Dalam arti sebenarnya penyusupan bisa diartikan sebagai tindakan kriminal memasuki properti seseorang tanpa izin dari pemilik. Dan dalam dunia IT penyusupan adalah kegiatan untuk mendapatkan akses ke sistem komputer oleh pemakai yang tidak punya hak misalnya cracker atau orang yang mempunyai hak akses tetapi menyalahgunakan hak akses tersebut untuk melakukan tindakan yang merugikan atau serangan terhadap keamanan sistem komputer. Sebuah intrusi dapat diibaratkan
34
sebagai sekumpulan aksi yang berusaha untuk merusak integritas, kerahasiaan, ketersediaan dari suatu sumber daya.
2.2.17 IDS (Intrusion Detection System)
IDS adalah sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap paket yang masuk dan keluar (inbound dan outbound) dalam sebuah sistem atau jaringan, melakukan
analisis
dan
mencari
bukti
dari
percobaan
intrusi
(penyusupan) (Rowland, 2002, p1).
2.2.18 IPS (Intrusion Prevention System)
Intrusion Prevntion System atau yang biasa disebut dengan IPS adalah sebuah teknologi yang dikembangkan dari teknologi sebelumnya yang disebut Intrusion Detection System (IDS). IDS hanya bisa mendeteksi dan melakukan inspeksi terhadap paket yang masuk, sedangkan IPS adalah peralatan keamanan jaringan yang berfungsi untuk mengidentifikasi jaringan dari aktivitas yang berbahaya, mencatatkan informasi, memblokir atau menghentikan, dan melaporkan kegiatan berbahaya tersebut (Stiawan, 2010). 2.2.18.1 Network-based IPS (NIPS) Network-based IPS merupakan IPS yang berupa hardware dan dipasang di dalam jaringan untuk melakuan
35
pengecekan serta memblok paket-paket yang berbahaya yang masuk ke dalam jaringan suatu perusahaan (Wikipedia, 2011). 2.2.18.2 Local Management Interface (LMI) Local Management Interface atau yang biasa disebut LMI adalah sebuah tampilan di monitor yang digunakan untuk me-manage/melakukan pengaturan terhadap perangkat keras yang kita pakai. Dalam topik ini kami menggunakan LMI untuk mengelola IPS yang kita gunakan. Tampilan di monitor sangat membantu untuk melakukan pengecekan terhadap log-log yang ada di IPS. 2.2.18.3 Vulnerability-Signature-based Detection Metode deteksi berdasarkan kerentanan/kelemahan, yaitu menjaga system yang mempunyai kelemahan dari seranganserangan yang ingin memanfaatkan kelemahan tersebut. Apabila system A mempunyai kelemahan, maka system A akan dijaga dari
semua
penyerang
yang
berusaha
memanfaatkan
kelemahannya (Wikipedia, 2011). 2.2.18.3.1 POP_Command_Overflow Signature ini menyadari adanya usaha untuk mendobrak masuk atau mematikan server dengan mengirimkan perintah/command yang sangat panjang (ISS X-Force, 2011).
36
2.2.18.3.2 MSRPC_Srvsvc_Path_Bo Signature ini mendeteksi adanya permintaan khusus yang dikirimkan ke titik rentan dari servis Microsoft server, dengan begitu penyerang dapat mengeksploitasi celah ini untuk mengeksekusi kode dengan sewenang-wenang dan mendapatkan kontrol penuh terhadap sistem yang terpengaruh (ISS X-Force, 2011). 2.2.18.3.3 SSL_Challenge_Length_Overflow Signature ini mendeteksi adanya paket SSL yang dibuat khusus, dimana panjang dari paket yang diindikasikan meluap (ISS X-Force, 2011). 2.2.18.3.4 HTTP_Oracle_WebCache_Overflow Signature ini mendeteksi permintaan HTTP, dimana metode dalam header berisi 432 karakter atau lebih (tidak termasuk nol, tab, atau spasi). Hal ini mungkin menunjukkan upaya penyerang untuk buffer overflow di server WebCache Oracle (ISS X-Force, 2011).
37
2.2.18.3.5 Telnet_Polycom_Blank_Password Signature ini mendeteksi ketika sesi telnet berhasil didirikan untuk Polycom View Station yang memiliki password kosong. Polycom View Station memungkinkan penyerang untuk mengubah password untuk mendapatkan akses administratif ke perangkat atau ke link video confferece (ISS X-Force, 2011). 2.2.18.3.6 MSRPC_Race_Heap_Overflow Signature
ini
mencari
upaya
untuk
menyebabkan race condition. Microsoft windows rentan terhadap penolakan layanan, penolakan layanan ini disebabkan oleh multi-threaded race condition ketika menangani permintaan Remote Procedure Call (RPC). Jika dua thread memproses permintaan yang sama, korupsi memori dapat terjadi, yang dapat menyebabkan penolakan layanan. Seorang penyerang dapat mengirim beberapa permintaan RPC yang menyebabkan servis RPC crash (ISS X-Force, 2011). 2.2.18.3.7 SQL_SSRP_Slammer_Worm SQL Slammer worm juga dikenal sebagai W32/SQLSlam-A, Sapphire, New SQL, Worm.SQL, dan
Helkern,
menyebar
dengan
memanfaatkan
38
kerentanan buffer overflow dalam Layanan Resolusi di Microsoft SQL Server 2000 atau Microsoft Desktop Engine (MSDE) 2000. Fungsi utama dari worm Slammer adalah untuk terus melakukan penyebaran, sehingga suatu aplikasi/program akan berjalan lambat (ISS X-Force, 2011). 2.2.18.3.8 Email_Virus_Suspicious_Zip Signature ini mendeteksi lampiran email dalam bentuk zip yang sesuai dengan pola email virus, seperti MiMail dan MyDoom atau serangan teknik sosial lainnya dimana pengguna tertarik untuk menguncompress dan mengeksekusi isi dari file yang terlampir di email (ISS X-Force, 2011). 2.2.18.3.9 SQL_SSRP_MDAC_Client_Overflow Microsoft Data Access Components (MDAC) rentan terhadap buffer overflow, ini disebabkan oleh pengecekan komponen MDAC tertentu diluar batas yang telah ditentukan. Jika penyerang melakukan kamuflase terhadap SQL Server yang terhubung pada jaringan yang rentan untuk melakukan pengiriman broadcast, penyerang dapat mengirimkan paket UDP yang khusus dibuat sebagai tanggapan atas permintaan
39
untuk buffer overflow dan mengeksekusi kode pada sistem dengan hak istimewa dari proses mengeksekusi MDAC (ISS X-Force, 2011). 2.2.18.3.10 DNS_RDATA_String_BO Signature ini mendeteksi adanya upaya untuk overflow
ke
beberapa
DNS
client.
Dengan
mengirimkan jawaban DNS yang berbahaya ke setiap kueri DNS client yang valid, penyerang dapat meluapkan buffer dan mengeksekusi kode dengan sewenang-wenang pada sistem dengan hak istimewa yang digunakan ketika DNS client dipanggil (ISS XForce, 2011). 2.2.18.3.11 Image_JPEG_Tag_Overflow Signature ini mendeteksi sebuah file gambar JPEG yang dibuat khusus untuk dapat menyebabkan integer overflow. Microsoft Windows rentan terhadap buffer overflow, ketika menangani file gambar JPEG. Dengan membuat file JPEG yang mengandung kode berbahaya, penyerang dapat mengeksploit celah ini dengan
membuat
web
yang
berbahaya
atau
mengirimkan email berbahaya pada korbannya (ISS X-Force, 2011).
40
2.2.18.3.12 Email_Calendar_Code_Exec Signature ini mendeteksi icalender yang dibuat secara khusus. Ini dapat mengindikasikan adanya penyerang yang mencoba untuk mengambil kontrol dari server Microsoft Exchange. Dengan mengirim email yang berisi file .iCal yang dibuat khusus untuk menyebabkan layanan email berhenti merespon (ISS X-Force, 2011). 2.2.18.3.13 Image_JPEG_IE_Size_Overflow Signature ini mendeteksi gambar JPEG yang dibuat khusus yang dapat menyebabkan integer meluap di Internet Explorer atau Microsoft Paint. Seorang penyerang dapat membuat gambar JPEG berbahaya yang sekali dilihat, dapat memungkinkan penyerang
untuk
mengeksekusi
kode
dengan
sewenang-wenang pada sistem dengan hak istimewa korban. Seorang penyerang bisa mengeksploitasi celah ini dengan mengirimkan gambar berbahaya kepada korban sebagai email atau hosting di sebuah situs Web dan membujuk korban untuk melihat gambar (ISS X-Force, 2011).
41
2.2.18.3.14 HTTP_repeated_character Signature ini mendeteksi permintaan HTTP GET yang mengandung karakter yang diulang dalam argumen lebih dari 100 byte (default). Rangkaian tersebut dapat mengindikasikan upaya penyerang melakukan buffer overflow (ISS X-Force, 2011). 2.2.18.3.15 Smurf_Attack Signature
ini
mendeteksi
adanya
upaya
penguatan smurf attack. Smurf attack merupakan serangan pada penolakan layanan yaitu dengan cara, ping ditujukan ke alamat IP broadcast yang menyebabkan respon dalam jumlah yang besar. Ketika masing-masing host pada subnet membalas permintaan ping yang sama, respon dalam jumlah yang besar dapat mengkonsumsi semua bandwidth jaringan yang tersedia. Hal ini dapat mencegah lalu lintas yang sah agar tidak ditransmisikan selama serangan itu (ISS X-Force, 2011). 2.2.18.3.16 Email_Executable_Extension Signature ini mendeteksi lampiran email yang memiliki salah satu ekstensi berikut: BAT, EXE, HTML, HTM, RTF, URL, VB, VBE, VBS. Beberapa
42
worm menggunakan nama file dengan format tersebut untuk mengambil keuntungan dari kerentanan dalam beberapa versi Internet Explorer Microsoft (ISS XForce, 2011). 2.2.18.3.17 HTTP_POST_Script Signature ini mendeteksi perintah HTTP POST berisi tag script HTML. Seorang penyerang mungkin
mencoba
sewenang-wenang mengirimkan
untuk pada
perintah
mengeksekusi server
khusus
web POST
kode dengan yang
mengandung script berbahaya. Script dapat ditulis di Java atau bahasa scripting lainnya (ISS X-Force, 2011). 2.2.18.3.18 YahooMSG_UserID_Overflow Signature ini mendeteksi upaya overflow dalam user ID. Yahoo! Messenger rentan terhadap penolakan layanan, hal ini disebabkan oleh buffer overflow
ketika
mentransfer
file.
Dengan
mengirimkan permintaan file yang berisi victimID lebih dari 73 karakter, seorang penyerang bisa melebihkan isi buffer dan menyebabkan klien
43
Messenger rusak/crash, setelah korban menerima file (ISS X-Force, 2011). 2.2.18.3.19 ICMP_Protocol_Unreachable_TCP Signature ini mendeteksi sebuah paket ICMP tipe 3 (unreachable destinantion) kode 2 (protokol unreachable) di dalam protokol TCP. Pesan Error pada
Protokol
ICMP
dapat
digunakan
untuk
melakukan penolakan layanan pada sesi TCP yang aktif, dan menyebabkan koneksi TCP mati (ISS XForce, 2011). 2.2.18.3.20 HTTP_Cross_Site_Scripting Microsoft Internet Information Server (IIS) rentan terhadap Cross-Site Scripting (CSS), yang mempengaruhi server web dalam menghasilkan halaman
HTML.
Cross-Site
Scripting
dapat
digunakan oleh operator situs web berbahaya untuk menerapkan script dan mengeksekusi kode dalam web session pengguna lain (ISS X-Force, 2011). 2.2.18.3.21 HTTP_GET_Very_Long Signature ini mendeteksi ketika argumen permintaan
GET
melebihi
ambang
yang
dikonfigurasi. Sebuah kerentanan di NCSA server
44
HTTP dapat memungkinkan seorang penyerang untuk mengirim permintaan khusus yang dibangun untuk mengeksekusi kode dengan sewenang-wenang pada server. Seorang penyerang dapat menggunakan ini untuk mendapatkan akses root (ISS X-Force, 2011). 2.2.18.3.22 Email_Virus_Double_Extension Signature ini mendeteksi lampiran email yang memiliki ekstensi file ganda di mana ekstensi pertama yang ditampilkan kepada pengguna tidak berbahaya, tapi yang kedua sering tidak terlihat dan menampilkan konten executable (ISS X-Force, 2011). 2.2.18.3.23 HTTP_ASP_Security_Bypass Signature ini mendeteksi permintaan URL khusus yang memungkinkan seorang penyerang untuk memotong disebabkan
pembatas oleh
keamanan
kerentanan
(bypass)
dalam
yang
Microsoft
ASP.NET Framework. Seorang penyerang bisa menggunakan Mozilla dan mengirim permintaan khusus dibuat URL yang mengandung backslash (\) untuk memotong metode otentikasi dan mendapatkan hak akses yang tidak sah ke sumber daya yang diserang (ISS X-Force, 2011).
45
2.2.18.3.24 UDP_Bomb Signature ini mendeteksi UDP frame yang rusak. Beberapa sistem Unix yang lama akan crash ketika mereka menerima traffic tersebut. Ini bisa mengindikasikan
upaya
penyerang
untuk
menyebabkan penolakan layanan (ISS X-Force, 2011). 2.2.18.3.25 DCOM_SystemActivation_DoS Signature
ini
memicu
pada
sejumlah
permintaan untuk mengaktifasi sistem DCOM dalam waktu singkat yang mungkin dapat menyebabkan kondisi penolakan layanan. Seorang penyerang dapat mengirim pesan khusus dibuat RPC menyebabkan layanan RPCSS berhenti merespons permintaan dan mungkin menyebabkan layanan untuk melakukan restart secara otomatis (ISS X-Force, 2011). 2.2.18.3.26 HTML_Script_Extension_Evasion Signature ini akan memicu pada tag seperti <script src='sneaky.jpg'>. Biasanya, file dengan ekstensi .jpg adalah gambar JPEG daripada script, tetapi penyerang dapat menggunakan .jpg sebagai
46
ekstensi script untuk menghindari deteksi dari perangkat lunak keamanan (ISS X-Force, 2011). 2.2.18.3.27 DNS_Windows_SMTP_MX_DoS Signature ini mendeteksi DNS MX(Mail Exchanger)
khusus
yang
dapat
menyebabkan
penolakan layanan pada server SMTP. Dengan mengirimkan pesan jaringan khusus
yang dibuat
untuk sebuah komputer yang menerima layanan SMTP, penyerang bisa mengeksploitasi celah ini untuk
menyebabkan
layanan
SMTP
berhenti
merespons dan memaksa restart (ISS X-Force, 2011). 2.2.18.3.28 Image_ANI_RateNumber_DoS Signature
ini mendeteksi adanya serangan
yang dibuat khusus pada header file ANI yang dapat mengakibatkan
penolakan
layanan.
Seorang
penyerang bisa mengeksploitasi celah ini dengan mengirimkan file jahat untuk korban sebagai lampiran email atau hosting pada halaman web (ISS X-Force, 2011). 2.2.18.3.29 TCP_Null_Scan Jika ada host yang mengirimkan paket yang tidak mengikuti urutan yang benar maka dapat
47
menimbulkan kesalahan respon dari host target. Ini dikenal sebagai TCP half scan, Stealth scan, atau TCP Null Scan, karena tidak menghasilkan entri log pada
host.
Stealth
scan
berbahaya
karena
memungkinkan penyerang untuk menentukan port mana yang terbuka pada host target, tanpa terdeteksi oleh sistem operasi host (ISS X-Force, 2011). 2.2.18.3.30 MOV_Container_Overflow Signature ini mendeteksi QuickTime (.Mov) dengan format yang salah, file yang memiliki data yang ukurannya melebihi tempat penampungnya. Salah satu contohnya adalah Apple Quicktime yang menggunakan struktur memori yang disebut sebuah atom untuk menyimpan data. Sebuah atom yang memiliki panjang tertentu lebih besar dari panjang total penampung atom itu akan langsung terdeteksi (ISS X-Force, 2011).
2.2.19 Perbedaan Anti-virus dengan IPS
Anti-virus memiliki perbedaan dengan IPS yaitu pada cara kerjanya. Anti-virus memfilter serta memblok paket berdasarkan exploit, sedangkan IPS bekerja berdasarkan vulnerability. Analoginya seperti sebuah gembok yang sudah karatan, sehingga dapat dibuka dengan
48
menggunakan alat lain tanpa anak kunci. Alat-alat yang digunakan tersebut dapat berupa kawat, obeng, tusuk gigi dan lain-lain. Cara kerja anti-virus, akan menangkap alat-alat tersebut yang mampu membuka gembok tanpa anak kunci. Sedangkan IPS, bekerja dengan cara melindungi titik lemahnya, apapun alat yang digunakan untuk membuka gembok selain anak kunci tidak dipedulikan oleh IPS, sebab IPS tidak akan membiarkan alat-alat lain selain anak kuncinya untuk membuka gembok tersebut. Jadi apabila ada Trojan jenis B sedangkan pada anti-virus hanya terdapat signatures Trojan jenis A, maka Trojan jenis B tersebut bisa masuk ke dalam jaringan perusahaan. Sedangkan IPS menjaga titik lemah yang ada di dalam perusahaan, misalnya ada celah pada OS Windows yang bisa diserang oleh Trojan. Maka IPS akan memblock semua jenis Trojan yang ingin masuk melalui celah tersebut.
