BAB III ANALISIS Pada bab ini akan dianalisis tentang penggunaan WBEM sebagai sistem manajemen jaringan untuk integrasi IDS yang dikaji. Dalam Tugas Akhir ini analisis yang dilakukan meliputi: 1. Analisis domain masalah, yaitu analisis situasi dan kondisi terhadap kebutuhan penggunaan IDS yang sesuai untuk deteksi penyusupan. 2. Analisis penggunaan WBEM sebagai sistem manajemen jaringan untuk integrasi beberapa IDS ditinjau dari segi keuntungan dalam penggunaannya 3. Analisis arsitektur integrasi IDS menggunakan WBEM beserta komponen dari WBEM yang harus dibangun.
3.1 Analisis Domain Masalah Analisis domain permasalahan yang akan dibahas pada Tugas Akhir kali ini meliputi analisis resiko keamanan jaringan dan kebutuhan penggunaan IDS yang diharapkan dalam suatu jaringan.
3.1.1 Analisis Keamanan Jaringan Insiden keamanan jaringan komputer adalah suatu aktivitas yang berkaitan dengan jaringan komputer, dimana aktivitas tersebut memberikan implikasi terhadap keamanan. Secara garis besar insiden yang sering terjadi dan memiliki potensi besar untuk melakukan serangan pada jaringan dapat diklasifikasikan sebagai berikut: 1. Probe/scan: Usaha-usaha yang tidak lazim untuk memperoleh akses ke dalam sistem, atau untuk menemukan informasi tentang sistem tersebut. Kegiatan probe dalam jumlah besar dengan menggunakan tool secara otomatis biasa disebut Scan. Bermacam-macam tool yang dipergunakan untuk keperluan ini seperti : network mapper, port mapper network scanner, port scanner, atau vulnerability scanner. Informasi yang diperoleh misalkan : a. Topologi dari jaringan target b. Tipe trafik yang melewati firewall c. Host yang aktif d. Sistem operasi pada host e. Perangkat lunak yang berjalan pada server dan versinya. 2. Account Compromise: Penggunaan account sebuah komputer secara ilegal oleh seseorang yang bukan pemilik account, dimana account tersebut tidak mempunyai privilege sebagai administrator sistem.
III-1
III-2 3. Root Compromise: Mirip dengan account compromise tetapi mempunyai hak akses sebagai administrator sistem. Tindakan ini biasanya dilakukan untuk menguasai sistem dengan tujuan tidak baik untuk menghancurkan sistem maupun memodifikasi sistem tanpa sepengetahuan admin. 4. Packet sniffer: Perangkat lunak/keras yang digunakan untuk memperoleh informasi yang melewati jaringan komputer, biasanya dengan menggunakan NIC. Penggunaan perangkat ini digunakan oleh para intruder dengan motivasi yang sama dengan tindakan probe atau scan. 5. Denial of service (DoS): Membuat sumberdaya jaringan maupun komputer tidak bekerja, sehingga tidak mampu memberikan layanan kepada user. Misalkan saja dengan membanjiri sumber daya komputer, misal CPU, memori, ruang disk, bandwith jaringan. Serangan dapat dilakukan dari satu komputer atau beberapa komputer (Distributed DOS). Tindakan ini dilakukan intruder untuk mematikan sistem secara sementara. 6.
Eksploitasi perintah: Menyalahgunakan perintah yang bisa dieksekusi.
7.
Malicious code: Program yang bila dieksekusi akan menyebabkan sesuatu yang tidak diinginkan didalam sistem. Misal trojan horse (kuda troya), virus dan worm.
8. Penetration: Pengubahan data, privilege, atau sumber daya. Beberapa jenisnya: a. User to Root: Pengguna lokal pada suatu host memperoleh hak admin b. Remote to user: Pengakses luar memperoleh account lokal di host target c. Remote to Root: Pengakses luar memperoleh account admin di host target d. Remote to disk read: Pengakses luar bisa membaca file di host target e. Remote disk write: Pengakses luar bisa menulis file di host target Keseluruhan tindakan ini pada umumnya dilakukan untuk mengacaukan data pengguna atau untuk menyerang sistem. 9. Privilege Escalation: Pengguna Publik bisa memperoleh akses sebagai user lokal, yang nantinya bisa dilanjutkan ke hak akses sebagai admin. Meskipun administrator pada jaringan berusaha meminimalkan vulnerabilitas yang memungkinkan serangan dengan memberlakukan beberapa mekanisme kepada sistem, ada banyak situasi yang tidak memungkinkan hal ini dilakukan, diantaranya: 1. Pada beberapa sistem, tidak bisa dilakukan patch atau update sistem operasi. Hal ini sedapatnya tidak sering dilakukan pada jaringan dikarenakan update sistem operasi akan menyebabkan semua klien tidak dapat menggunakan sumber daya jaringan. 2. Administrator tidak memiliki waktu atau sumber daya yang mencukupi untuk melacak dan menginstall semua patch yang diperlukan. Hal ini terjadi karena jaringan pada umumnya memiliki sejumlah host dengan hardware dan software yang berbeda.
III-3 3. User menggunakan layanan protokol yang merupakan sumber vulnerabilitas. Hal ini dikarenakan admin jaringan membuka beberapa port untuk memudahkan user mengakses dan mentransfer informasi dari internet. Terbukanya beberapa port ini memberikan peluang yang besar bagi user untuk menggunakan layanan protokol yang merupakan sumber vulnerabilitas. 4. Baik user maupun administrator bisa membuat kesalahan dalam melakukan konfigurasi dan penggunaan sistem 5. Terjadi disparitas policy yang memungkinkan user melakukan tindakan yang melebihi kewenangannya. Hal ini dikarenakan kebijakan penggunaan jaringan pada beberapa institusi pada umumnya tidak dilaksanakan dengan tegas sehingga banyak user yang masih sering melakukan pelanggaran. Dengan adanya kondisi-kondisi di atas maka dapat disimpulkan bahwa jaringan membutuhkan sistem keamanan jaringan otomatis yang dapat memantau pelanggaran penggunaan account oleh user di dalam sistem maupun memantau penyusupan yang dilakukan oleh pihak di luar sistem.
3.1.2 Analisis Kebutuhan Penggunaan IDS Pemahaman tentang tingginya resiko pada jaringan adalah kunci suksesnya penerapan IDS. Untuk menangani semua gangguan yang mengancam keamanan jaringan seperti yang telah dipaparkan pada sub-bab 3.1.1, maka jaringan memerlukan sistem keamanan yang harus dipasang pada jaringan dan dapat dipantau setiap saat. Sistem keamanan ini berfungsi untuk memberikan jalur yang aman antara entitas yang saling bertukar informasi dan juga untuk menjamin adanya perlindungan data-data penting yang ada pada sistem. Dalam dunia keamanan jaringan telah banyak dipakai teknik atau sistem yang telah umum berfungsi untuk mengamankan jaringan yaitu firewall dan kriptografi. Firewall didesain untuk melewatkan, menghentikan atau menolak trafik, akan tetapi tidak akan pernah memberikan alert atau peringatan terhadap trafik yang mencurigakan. Kriptografi berfungsi untuk mengamankan data dari pihak yang mempunyai hak akses, akan tetapi juga tidak pernah memberikan peringatan terhadap akses yang mencurigakan. Sementara itu IDS didesain untuk memberitahu kita kapan aktivitas yang mencurigakan terjadi. Baik teknologi firewall, kriptografi dan IDS ketiga-tiganya perlu diimplementasikan pada jaringan untuk dapat saling melengkapi dalam menjalankan fungsi keamanan jaringan. Oleh karena itu, sistem keamanan yang diharapkan selain dapat mencegah penyusupan juga haruslah dapat melakukan deteksi penyusupan dari luar sistem dan sekaligus dapat melakukan deteksi penyalahgunaan account dari dalam sistem.
III-4 IDS akan membantu administrator jaringan dengan cara meningkatkan kemampuan penemuan resiko yang membahayakan sistem secara cepat dan real time. Dengan demikian, fungsi IDS adalah memberi peringatan kepada administrator atas serangan yang terjadi sehingga administrator dapat memperoleh keuntungan sebagai berikut: 1. Mencegah resiko timbulnya masalah. 2. Mendeteksi serangan dan pelanggaran keamanan lain yang tidak dicegah oleh perangkat keamanan lainnya. Biasanya penyusupan berlangsung dalam tahapan yang bisa diprediksi. Tahapan pertama adalah probing, atau eksploitasi pencarian titik masuk. Pada sistem tanpa IDS , penyusup memiliki kebebasan melakukannya dengan resiko kepergok lebih kecil. IDS yang mendapati probing bisa melakukan blok akses dan memberitahukan tenaga keamanan yang selanjutnya mengambil tindakan lebih lanjut. 3. Mendeteksi usaha penyusupan yang berkaitan dengan serangan misal probing dan aktivitas DoS. 4. Untuk mendokumentasikan ancaman yang pernah terjadi dan mungkin terjadi lagi pada jaringan. IDS akan mampu menggolongkan ancaman baik dari dalam maupun dari luar jaringan sehingga membantu membuat keputusan untuk alokasi sumber daya keamanan jaringan. 5. Untuk bertindak sebagai pengendali kualitas pada adminitrasi dan perancangan keamanan pada jaringan. Saat IDS dijalankan dalam waktu tertentu, pola dari pemakaian sistem dan masalah yang ditemui bisa nampak. Sehingga akan membantu pengelolaan keamanan dan memperbaiki kekurangan sebelum menyebabkan insiden. 6. Untuk memberikan informasi yang berguna mengenai penyusupan yang terjadi, peningkatan diagnosa, recovery, dan perbaikan dari faktor penyebab. Meskipun pada IDS yang bertipe passive response tidak melakukan blok serangan, tetapi IDS ini masih bisa mengumpulkan informasi yang relevan mengenai serangan, sehingga membantu penanganan insiden dan recovery. Dengan demikian IDS akan membantu konfigurasi atau kebijakan organisasi. Semua teknologi keamanan memiliki resiko. Firewall memiliki resiko untuk dapat dipenetrasi, sementara enkripsi memiliki resiko untuk dibobol atau didecrypt, maka IDS pun memiliki resiko kesalahan dalam mendeteksi jaringan. Resiko kesalahan dalam mendeteksi jaringan ini dikenal dengan false positive. Apabila suatu IDS menghasilkan banyak sekali false positive maka penggunaan IDS pada suatu jaringan justru akan menyibukkan pekerjaan admin dalam merespon banyaknya alarm yang salah melakukan pendeteksian yang dihasilkan setiap harinya. Ada beberapa macam jenis dan produk IDS yang ada di pasaran seperti yang telah dipaparkan pada sub-bab II.1.2. Beberapa IDS tersebut memiliki kemampuan yang berbeda-beda dalam mendeteksi
III-5 beragamnya jenis serangan yang ada . Ada IDS tertentu yang mampu mendeteksi suatu jenis serangan dengan tepat akan tetapi lemah dalam mendeteksi serangan yang lain sehingga menghasilkan banyak false positive untuk serangan itu. Sementara beberapa IDS yang lain bisa jadi memiliki kemampuan yang sebaliknya. Karena itu diperlukan suatu IDS yang mampu meemberikan fungsionalitas yang sebaik-sebaiknya dalam mendeteksi penyusupan tanpa banyak menghasilkan false positive maupun false negative. Berikut adalah beberapa kriteria yang diinginkan untuk suatu IDS yang ideal: 1. Meminimalkan overhead sistem untuk tidak mengganggu operasi normal sehingga tidak mengganggu aktivitas jaringan 2. Mudah dikonfigurasi untuk disesuaikan dengan kebijakan keamanan sistem 3. Mudah diinstalasi 4. Mudah beradaptasi dengan perubahan sistem dan perilaku user, misalnya pemakaian aplikasi atau resource baru. 5. Mampu memonitor sejumlah host dengan tetap memberikan hasil yang cepat dan tepat. 6. Dampak negatif yang minimal 7. Memungkinkan konfigurasi dinamis, khususnya bila pemantauan dilakukan pada sejumlah besar host. 8. Berjalan secara kontinu dengan supervisi minimal dari manusia 9. Mampu mendeteksi serangan: a. Tidak salah menandai aktivitas yang legitimate (false positive) b. Tidak gagal mendeteksi serangan sesungguhnya (false negative) c. Segera melakukan pelaporan penyusupan yang terjadi. d. Cukup general untuk berbagai tipe serangan 10. Mampu fault tolerant dalam arti: a. Bisa melakukan recover dari sistem yang crash baik secara insidental atau karena aktivitas tertentu. b. Setelah itu bisa melanjutkan state sebelumnya tanpa mempengaruhi operasinya 11. Mampu menolak usaha pengubahan: a. Akan memberikan kesulitan yang tinggi bila penyerang mencoba memodifikasi dan menyerang IDS itu sendiri. b. Mampu memonitor dirinya sendiri dan mendeteksi bila dirinya telah dirubah oleh penyerang. Untuk kriteria IDS ideal seperti yang disebutkan pada nomor 10 dan 11 maka IDS yang diharapkan haruslah memiliki respon yang aktif dalam artian mampu menangani beberapa serangan secara otomatis. Beberapa cara yang dimiliki IDS untuk dapat meespon secara aktif, antara lain: 1. Menambah level sensitifitas dari sensor IDS
III-6 Mampu memonitor data lebih banyak dan file log untuk mengurangi analisis selanjutnya dan memungkinkan untuk penyelidikan secara legal 2. Mengubah lingkungan yang ada Beberapa contoh aksi yang bisa diambil: mengulang paket TCP, dan menghentikan koneksi, mengkonfigurasi router dan firewall untuk memblokir alamat IP penyerang atau port khusus dan sebagai tindakan ekstrimnya memutus koneksi secara sementara 3. Mengarahkan penyerang ke honeypot 4. Menyerang balik penyerang, pada umumnya IDS dengan kemampuan ini hanya diaplikasikan pada lingkungan militer
3.1.3 Analisis Integrasi NBIDS dan HBIDS Dari beberapa kriteria IDS ideal yang telah disebutkan sebelumnya, maka akan dilakukan analisis dari IDS yang ingin diimplementasikan pada Tugas Akhir ini. Analisis didasarkan pada kebutuhan minimal dari penggunaan IDS yang dibutuhkan pada suatu jaringan sederhana dalam mendeteksi adanya penyusupan. Berdasarkan jenisnya, IDS terbagi menjadi NBIDS dan HBIDS, masingmasing kedua bentuk IDS tersebut memiliki kelebihan dan kelemahan yang dapat saling menutupi satu sama lain. Jika kedua jenis IDS ini diintegrasikan maka akan didapat informasi yang diambil dari sebuah single host (system) yang merupakan HBIDS, dan yang lain menggunakan penelitian informasi yang datang dari seluruh segmen dari sebuah local network yang merupakan networkbased IDS, kedua gabungan metode ini dapat juga sering disebut dengan konsep Hybrid IDS. Alasan utama untuk pengenalan Hybrid IDS adalah kebutuhan untuk kerja secara online dengan jaringan yang terenkripsi sementara datanya ditempatkan pada sebuah single host (hanya sumber dan tujuan yang dapat melihat lalu lintas jaringan yang didekripsi). Kebanyakan tawaran dari perangkat komersial yang besar pada sistem deteksi intrusi adalah sebuah shim-hybrid, yang menggabungkan keunggulan dari HBIDS dan NIDS dalam konsep yang unik. Host-based IDS hanya melihat lalu-lintas pada host yang mendeteksi serangan dari lokal ke lokal lainnya, atau serangan dari lokal ke root, dimulai dari informasi yang tersedia secara lokal, misalnya meneliti aktivitas pemakai. Di samping itu, fitur deteksi anomali memberikan jangkauan lebih baik dari permasalahan internal dan pendekatan berbasis Host memiliki kemampuan deteksi yang didasari pada pola-pola tingkah laku yang normal dari pemakai. IDS dapat beroperasi standalone, aplikasi terpusat, atau aplikasi terpadu yang membuatnya menjadi sistem terdistribusi. Pada perancangan Network Management System maka aplikasi IDS yang digunakan adalah integrasi IDS untuk jaringan client-server di mana aplikasi IDS yang harus diinstall di setiap host dapat dipantau menjadi satu antarmuka. Oleh karena itu, pemilihan hybrid
III-7 IDS yang akan digunakan haruslah minimal terdiri dari 2 produk IDS yang masing-masing bertipe NBIDS dan HBIDS. Dengan demikian IDS yang akan dihasilkan dari implementasi Tugas Akhir ini diharapkan memiliki kriteria sebagai berikut: 1.
Memiliki dampak negatif yang minimal yang mampu mendeteksi serangan dengan kriteria sebagai berikut: a.
Tidak salah menandai aktivitas yang legitimate (false positive)
b.
Tidak gagal mendeteksi serangan sesungguhnya (false negative)
c.
Segera melakukan pelaporan penyusupan yang terjadi.
d.
Cukup general untuk berbagai tipe serangan
Untuk mendapatkan IDS dengan kemampuan ini, maka IDS yang diimplementasikan harus merupakan integrasi beberapa IDS dengan mengambil kelebihan dan menutupi kekurangan masing-masing produk. 2.
Dapat mendeteksi penyusupan dari luar sistem maupun penyalahgunaan account dari dalam sistem. Oleh karena itu, kriteria terpenting dari jenis IDS yang harus diintegrasikan adalah kriteria pemilihan berdasarkan tipe proteksi sistem yaitu HBIDS (Host Based Intrusion Detection System) dan NBIDS (Network Based Intrusion Intrusion Detection System). Dari tabel perbandingan HBIDS dan NBIDS seperti yang terdapat dalam Tabel II-2, maka dapat disimpulkan bahwa HBIDS dapat memantau penyalahgunaan account dari dalam sistem, sementara NBIDS dapat memantau penyusupan dari luar sistem. Oleh karena itu kedua jenis IDS ini akan diimplementasikan pada Tugas Akhir.
Tabel III-1 Perbandingan HBIDS, NBIDS dan HybridIDS dalam Mengatasi Serangan
Jenis Serangan
Kemungkinan Arah Serangan
Kemampuan mendeteksi HBIDS NBIDS HybridIDS
Probe/Scan
Dari dalam dan dari luar, Umumnya dari luar, Dari luar Dari dalam dan dari luar Dari luar Dari luar Dari dalam dan luar Dari dalam dan dari luar Dari dalam dan dari luar Dari dalam
√
√
√
√ √ X X √ √ √ X
X X √ √ X √ √ √
√ √ √ √ √ √ √ √
Account Compromise Root Compromise Packet Sniffer DoS (Denial of Service) Eksploitasi Perintah Malicious Code Penetration Privilege Escalation
Keterangan: Kemungkinan mendeteksi X : IDS jenis ini tidak mampu mendeteksi serangan √ : ada IDS jenis ini yang mampu mendeteksi serangan
3.
Memiliki manajemen pengelolaan sehingga didapat kelebihan sebagai berikut: a. Meminimalkan overhead sistem untuk tidak mengganggu operasi normal sehingga tidak mengganggu aktivitas jaringan. Manajemen pengelolaan diharapkan dapat memantau
III-8 lebih dari satu IDS dari satu lokasi sehingga tidak mengganggu operasi normal dan aktifitas jaringan karena mudah dikonfigurasi untuk disesuaikan dengan kebijakan keamanan sistem b. Mudah diinstalasi sehingga tidak membutuhkan pengetahuan teknik konfigurasi dari masing-masing produk IDS yang diintegrasikan c. Mampu memonitor sejumlah host dengan tetap memberikan hasil yang cepat dan tepat. Manajemen pengelolaan integrasi IDS diharapkan memberikan kemampuan pengelolaan beberapa host sekaligus, akan tetapi pada Tugas Akhir kali ini hanya diimplementasikan pada sedikit host, karena pada prinsipnya host yang akan ditambahkan dapat dengan mudah diperlakukan sebagai instances dari kelas HBIDS. Dengan demikian integrasi IDS akan memungkinkan konfigurasi dinamis, khususnya bila pemantauan dilakukan pada sejumlah besar host. 4.
Berjalan secara terus menerus dengan supervisi minimal dari manusia. Dengan penggunaan manajemen jaringan diharapkan IDS dapat melakukan pertahanan secara aktif dalam merespon serangan sehingga memudahkan administrator dalam mengamankan jaringan.
Pada penerapan HBIDS, perangkat lunak membutuhkan untuk dipasang langsung pada host yang akan dimonitor. Ketika diinstalasikan pada host, perangkat lunak akan memantau file sistem, memantau proses-proses, dan memantau log files untuk aktivitas yang mencurigakan. Host Based IDS diharapkan dapat memantau perubahan hak-hak istimewa pemakai, termasuk ketika pemakai memperoleh hak istimewa level lebih tinggi atau menyiapkan account pemakai baru pada jaringan internal. Akan tetapi pada jaringan yang cukup besar dan terdiri dari beberapa host, penggunaan HBIDS menjadi tidak efektif karena memerlukan pemasangan IDS pada setiap host. Karena itu integrasi IDS yang diusulkan pada Tugas Akhir ini lebih sesuai diaplikasikan para jaringan kecil hingga menengah atau jaringan besar yang memang memerlukan sistem keamanan yang sangat tinggi.
3.1.4 Analisis Penggunaan Produk-produk IDS Open Source Untuk mendapatkan solusi penggunaan IDS yang menekan biaya seminimal mungkin, maka IDS yang diusulkan adalah IDS open source. Penentuan IDS open source dilakukan dengan mensurvai beberapa produk IDS open source yang ada agar IDS yang dipilih tidak kalah kualitasnya dengan IDS komersial. Beberapa produk IDS yang berupa produk open source yang dianalisis pada Tugas Akhir kali ini antara lain Snort, Prelude, Shoki, Samhain, dan Ossec. Untuk selanjutnya masingmasing produk IDS ini akan dianalisis berdasarkan gambaran umum produk, komponen yang dimiliki dan arsitekturnya.
III-9 Dari pemaparan beberapa produk IDS open source yang memungkinkan untuk dapat diimplementasikan maka dibuat sebuah tabel pemetaan fungsi-fungsi dasar IDS terhadap masingmasing komponennya seperti yang tercantum dalam tabel 3-1. Untuk selanjutnya akan dipilih 2 produk IDS open source yang akan mewakili produk NBIDS dan HBIDS. Pemilihan kedua produk ini didasarkan pada: 1. Kelengkapan komponen yang dimiliki 2. Kelengkapan dokumentasi dan trouble shooting yang terdapat pada official website dari masing-masing produk. 3. Tipe IDS yang ada, yaitu HBIDS atau NBIDS 4. Banyaknya pengguna atau rating dari masing-masing produk
Tabel III-2 Perbandingan Beberapa Produk IDS Open Source
Produk Snort Prelude Shoki Samhain Ossec
Tipe Network Based IDS Hybrid IDS Network Based IDS Network Based IDS Host Based IDS
Metode Analisis Misuse detection Misuse detection Misuse detection Misuse detection Misuse detection
Respon Passive response Passive response Passive response Passive response Active response
Pemilihan produk IDS open source yang akan diimplementasikan pada akhirnya didasarkan pada survai yang terdapat pada [SCT06] di mana Snort terpilih sebagai NBIDS yang paling banyak disukai dan digunakan, sementara dari jenis HBIDS adalah Ossec. Oleh karena itu, produk IDS dari 2 jenis IDS yang dipilih untuk diimplementasikan adalah Snort dan Ossec. Akan tetapi kedua produk IDS tersebut, sama seperti semua produk IDS yang disurvai lainnya, belum memiliki provider yang dapat langsung digunakan pada sistem manajemen jaringan yang menggunakan WBEM.
3.1.5 Analisis Integrasi Ossec IDS dan Snort IDS Ossec IDS menggunakan analisis log untuk mendeteksi serangan pada sebuah jaringan khusus, sistem atau aplikasi dengan menggunakan log sebagai sumber informasi. Log yang digunakan sebagai sumber analisis dapat berupa webserver, log sistem atau IDS event. Analisis log juga digunakan untuk mendeteksi adanya penyalahgunaan perangkat lunak, penyalahgunakan kebijakan dan beberapa bentuk aktifitas ilegal. Snort IDS hanya melihat ke beberapa kasus pada paket IP sebelum menghasilkan alert untuk memperingatkan akan terjadi serangan. Akan tetapi dengan menggunakan analisis log yang dimiliki Ossec IDS kita dapat mengetahui apakah serangan benarbenar terjadi atau tidak. Dengan demikian kita dapat melihat log dari koneksi SSL yang Snort IDS tidak mampu untuk melihatnya. Dengan beberapa aturan (rule) maka administrator dapat mendeteksi adanya SQL injection yang berusaha untuk mengeksekusi perintah dan beberapa
III-10 serangan lainnya dengan memastikan bahwa serangan tersebut telah berhasil atau tidak. Oleh karena itu, untuk memastikan berhasil atau tidaknya serangan yang diperingankan oleh Snort IDS, maka log dari Snort IDS dapat diperlakukan sebagai salah satu log sumber yang akan dianalisis oleh Ossec IDS. Dengan demikian selain dapat memastikan berhasil atau tidaknya suatu serangan, analisis log Snort IDS oleh Ossec IDS akana mengurangi false positive dari alarm yang dihasilkan. Berdasarkan mekanisme tersebut, secara garis besar integrasi Ossec IDS dan Snort IDS yang akan diimplementasikan diharapkan mampu memiliki kelebihan sebagai berikut: 1. Ossec akan membantu untuk memantau Snort log sehingga dapat mengeliminasi false positive dengan mengunakan FTS cache (First Time Seen). 2. Ossec akan membantu untuk menghasilkan aktif respon dan memberikan alert berupa email berdasarkan kejadian yang dideteksi oleh Snort IDS. 3. Ossec membantu untuk mengabaikan SnortIDs atau alamat IP yang mungkin menyebabkan false positive atau secara otomatis mengabaikannya jika alert yang dihasilkan terlalu sering. 4. Ossec akan memberikan pilihan untuk menghasilkan alert hanya pada pelanggaran khusus atau mengkombinasikan kejadian pada IDS tunggal, kejadian pada multiple IDS dari IP sumber yang sama pada waktu yang spesifik, kejadian pada IDS kategori khusus atau dengan sebuah prioritas khusus, dan juga FTS untuk snortID dan alamat IP.
3.2 Analisis Penggunaan Web Based Enterprise Management (WBEM) WBEM merupakan salah satu sistem manajemen jaringan yang diperkenalkan DMTF dengan menggunakan pendekatan berorientasi obyek. Tidak seperti sistem manajemen jaringan lainnya, WBEM memberikan kemudahan dalam mengelola relasi antar perangkat yang terdapat dalam suatu jaringan untuk bekerjasama. Dengan kelebihan ini maka WBEM dipandang sebagai sistem manajemen jaringan yang paling sesuai untuk mengintegrasikan beberapa IDS untuk melakukan sistem deteksi intrusi penyusupan secara bersama untuk mendapatkan performansi dan fungsionalitas yang lebih baik. Skenario integrasi IDS menggunakan WBEM adalah sebagai berikut: a. Setiap IDS diperlakukan sebagai elemen yang dikelola yang dipetakan dalam model berorientasi obyek CIM. Ketika administrator ingin mengubah method atau property dari masing-masing IDS, maka administrator cukup memanggil CIMOM untuk mengakses IDS CIM dari CIM repository. b. Pengubahan yang dilakukan pada IDS CIM kemudian akan membuat CIMOM untuk memerintahkan provider masing-masing IDS yang telah diubah method dan propertinya untuk melakukan perubahan secara nyata pada IDS. Dengan demikian WBEM bebas dari
III-11 perubahan dalam penulisan kode, sementara provider adalah satu-satunya yang menjembatani secara nyata perubahan pada IDS. Diharapkan pada masa mendatang masing-masing vendor IDS mampu menyediakan provider sehingga dapat diperlakukan sebagai elemen dalam WBEM. Di samping itu, pada umumnya WBEM melakukan pertukaran informasi berdasarkan protokol TCP/IP sehingga kebergantungan sistem operasi mampu dijembatani.
3.2.1 Analisis Integrasi IDS pada WBEM Adanya penggunaan lebih dari satu produk dan jenis IDS membutuhkan adanya pengelolaan agar memudahkan instalasi dan konfigurasi selama pemantauan. Denggan menggunakan WBEM, maka keuntungan pengelolaan yang didapatkan dalam integrasi IDS tersebut antara lain [TAM02]: 1.
Manajemen yang bersifat umum untuk variasi beberapa IDS Ada banyak variasi IDS yang berasal dari beberapa vendor yang mempunyai perbedaan arsitektur. Jika berbagai macam aplikasi IDS ini diimplementasikan pada sebuah enterprise, maka diperlukan pengetahuan yang banyak untuk menggunakannya, sehingga mengaburkan fungsi nyata dari seorang administrator. Untuk dapat mengelola fungsi dari enterprise administrator perlu untuk mencurahkan waktu untuk mencoba mengkonfigurasi berbagai macam elemen yang terdapat pada enterprise. Dengan menggunakan sistem manajemen jaringan yang bedasarkan pada CIM maka dapat dimungkinkan mengelola berbagai macam tipe IDS. Dengan satu antarmuka untuk mengelola semua elemen maka administrator hanya perlu mempelajari satu antarmuka. Dengan demikian administrator dapat menggunakan waktu secara efektif dalam menjalankan tugasnya.
2.
Basis pengetahuan yang umum Adanya beberapa vendor berbeda mengakibatkan pendefinisian basis pengetahuan untuk masing-masing IDS juga berbeda. Administrator perlu untuk mengupdate pengetahuannya secara berkala, dan mendefinisikan beberapa pengetahuan khusus untuk kebijakan peruhasaan atau organisasi. Hal ini menyulitkan adiministrator dalam melakukan semuanya tanpa ada sebuah pengetahuan umum yang didefinisikan, sehingga mensyaratkan admin untuk mengetahui bagaimana mendefinisikan berbagai macam basis pengetahuan IDS. Dengan adanya WBEM maka admin tidak disyaratkan untuk mengetahui secara spesifik bagaimana mendefinisikan suatu pengetahuan, tetapi cukup mengetahui apa yang terdapat pada pengetahuan. Hal ini dikarenakan isi dari berbagai macam pengetahuan pada dasarnya sama hanya berbeda dari sisi bagaimana mendefinisikannya.
3.
Alert yang umum Berbagai macam IDS memproduksi berbagai macam alert, dan tidak satupun yang memberikan gambaran bagaimana mengkorelasikan semua alert tersebut. Mengkorelasikan alert sangatlah penting, hal ini akan menggambarkan serangan yang terjadi yang tidak
III-12 mungkin dapat dilihat dari satu alert dari satu elemen saja. Alert akhir yang dihasilkan dari korelasi juga memproduksi alert yang lebih handal yang dapat dengan akurat menyarankan administrator untuk memberikan respon yang tepat pada serangan. Berbagai macam variasi alert dari berbagai macam IDS dapat dipetakan ke dalam model abstrak yang dapat dikenali oleh berbagai kolektor. Pendekatan ini memungkinkan produk yang lama dan tidak terpeliharapun dapat tetap diambil keuntungannya oleh kolektor. 4.
Koordinasi sistem pertahanan secara aktif Sistem pertahanan aktif adalah sebuah koonsep yang secara aktif merespon intrusi yang terjadi pada suatu enterprise. Sistem pertahanan yang ada selama ini adalah sistem pertahanan pasif yang hanya berfungsi untuk menghasilkan alert. Bahkan jikapun alert disampaikan pada administrator, bisa jadi administrator tidak mampu merespon secara cepat menggunakan sumberdaya sistem untuk berbagai alasan seperti halnya kesulitan konfigurasi dan lainnya. Sistem pertahanan secara aktif untuk intrusi menggunakan koordinasi dari beberapa elemen yang terdapat pada enterprise. Beberapa respon bahkan dapat dilakukan tanpa campur tangan dari administrator. Sebagai contoh ketika IDS mendeteksi adanya penyusupan yang telah terjadi atau sedang terjadi, maka IDS secara aktif akan terhubung pada firewall yang terdapat pada sistem untuk memblokir alamat penyusup dan juga menghasilkan alert untuk administrator sehingga administrator dapat dengan mudah memodifikasi konfigurasi firewall yang dapat dikelola dalam satu antarmuka.
5.
Manajemen IDS terdistribusi IDS yang berbeda dapat bekerjasama untuk menghasilkan IDS terdistribusi. IDS terdistribusi dapat menghasilkan keuntungan dengan sistem manajemen jairngan menggunakan CIM untuk mengelola IDS agen dan IDS manajer. Pengimplementasian sistem distribusi IDS tergantung pada masing-masing arsitektur jaringan dan dengan demikian membuat sistem distribusi IDS menjadi ekslusif. Menggunakan NMS dapat dimungkinkan penggunakan beberapa IDS untuk menghasilkan sistem distribusi IDS karena dapat bertindak sebagai klien yang mengakses WBEM server untuk berkomunikasi dengan lainnya. Tugas Akhir kali ini hanya akan menunjukkan bahwa kemampuan manajemen integasi IDS ini mungkin untuk diimplementasikan dengan memperlakukan masing-masing host sebagai instance dari kelas HBIDS yang dipilih.
6.
Penambahan pengetahuan dari manajemen jaringan Sistem manajemen jaringan pada seluruh enterprise mempunyai akses ke informasi statistik dalam semua elemen pada enterprise. Informasi ini dapat menghasilkan data yang berguna bagi IDS untuk melakukan deteksi anomali dalam sistem enterprise. IDS dapat berupa profil dari enterprise dan memeriksa penyerangan yang abnormal. Sebagai contohnya, WBEM mempunyai informasi tentang adanya traffic flow dalam jaringan untuk masing-masing router yang dapat dimuat pada profil statistik. IDS kemudian dapat mendeteksi jika terdapat
III-13 penyimpagan pada traffic flow yang terdapat pada profil statistik dan jika positif maka hal itu merupakan alert bagi administrator akan adanya kemungkinan serangan DoS (Denial of Service). Pada Tugas Akhir kali ini penambahan pengetahuan dari manajemen jaringan tidak akan diimplementasikan karena implementasi hanya terbatas pada integrasi IDS.
3.3 Arsitektur Integrasi IDS Menggunakan WBEM Sistem manajemen jaringan seperti yang telah diketahui berfungsi untuk mengelola elemen yang terdapat pada sistem. Dengan meletakkan IDS sebagai salah satu elemen yang dikelola dalam sistem manajemen jaringan maka administrator akan mendapatkan alat yang memudahkan dalam mengelola sistem. Arsitektur solusi IDS yang diusulkan berdasarkan arsitektur WBEM pada Gambar 3-1 di mana setiap IDS yang telah dipilih yaitu dari jenis HBIDS dan NBIDS diberlakukan sebagai elemen yang dikelola pada WBEM. Dengan demikian diperlukan CIM Client, CIM Provider dan CIM Server (CIMOM).
Gambar III-1 Arsitektur Integrasi IDS pada WBEM
3.3.1 CIM Client CIM client dalam WBEM berfungsi untuk menyediakan antarmuka pada pengguna untuk melakukan operasi manajemen. CIM client akan berinteraksi dengan CIM server dengan menggunakan CIM Message Request dan akan diproses dengan menggunakan CIM Message Responses. Pada Tugas Akhir kali ini antarmuka CIM client akan diaplikasikan menggunakan CLI (Command Line Interface).
3.3.2 Provider Provider berfungsi sebagai penerjemah antara model abstrak dengan elemen riil. Dalam hal ini WBEM tidak memerlukan komunikasi langsung dengan elemen yang dikelola (dalam hal ini IDS),
III-14 oleh karena itu setiap IDS perlu dibuatkan provider-nya masing-masing. Tugas Akhir ini akan mengimplementasikan provider dari IDS Snort dari jenis NBIDS dan Ossec IDS dari jenis HBIDS. Kriteria masing-masing provider IDS yang akan dibuat adalah sebagai berikut: 1. Provider harus mampu menerjemahkan secara tepat dari model abstrak menjadi komponen yang sebenarnya 2. Provider sedapat mungkin menghindari kesalahan pemetaan komponen sehingga apabila ada komponen yang tidak dapat dipetakan menjadi model abstrak maka provider yang akan dibuat diputuskan untuk tidak memetakan komponen tersebut. Dengan demikian fokus dari integrasi IDS ini adalah mengelola apa yang dimungkinkan untuk dikelola namun bukan memetakan semua komponen dan kemampuan yang dimiliki masing-masing IDS. 3. Provider yang dibuat diharapkan mampu menjembatani perbedaan platform dengan memiliki pustaka (library) yang umum.
3.3.3 CIM Server (CIMOM) CIM Server berfungsi untuk memproses CIM Message Request dan mengembalikannya dengan CIM Message Responses. CIM Server mengandung CIM Object Manager (CIMOM) untuk menjalankan fungsinya. CIM Server dalam Tugas Akhir kali ini tidak akan diimplementasikan karena akan menggunakan CIM Server open source yang telah ada, yaitu WBEM Services. Pemilihan WBEM Services tidak didasarkan pada alasan apapun, melainkan WBEM Services ditulis menggunakan bahasa Java yang bagi penyusun Tugas Akhir ini lebih mudah untuk digunakan. Selain itu WBEM Services memiliki dokumentasi yang lebih lengkap dibandingkan dengan CIM server yang lain.