I. ABSTRAKSI. Gambar 1. Arsitektur Mesin Cluster IDS. EL 695 Keamanan Sistem Informasi

EL – 695 Keamanan Sistem Informasi

Mata Kuliah

(EL-695) Keamanan Sistem Informasi

Topik

IP Network-Packet Shared Media pada Mesin Cluster Intrusion Detection System

Jenis Tugas

Report Penelitian Pengamanan Sistem Informasi

Oleh

Ivan Suci Firmansyah

NIM

23202010

I. ABSTRAKSI Pengamanan sistem komputer yang berada di jaringan publik seperti internet terkadang sulit dilakukan. Sehingga perlu dilakukan pemecahan yang optimum antara ketersediaan, kerahasiaan, autentikasi, dan integritas data yang ada di server. Alternatif pengamanan pada sebuah server yang ada di internet dapat dilakukan dengan menggunakan Intrusion Detection system (IDS). Prinsip kerja IDS bermacam-macam baik dari segi mekanisme deteksi, data source hingga respon terhadap pelanggaran. Laju perkembangan data yang cukup besar pada busy-traffic menyebabkan lambannya kerja IDS dalam mengevaluasi setiap informasi yang melaluinya. Pada penelitian ini merumuskan bagaimana alternatif penggunaan mesin cluster secara optimal pada intrusion detection system. Sumber data yang akan digunakan adalah Raw Paket Network berbasis Internet Protocol (IP). Penggunaan mesin cluster memudah IDS dalam menangani masalah evaluasi data dalam busy traffic tersebut. Arsitektur mesin cluster untuk IDS itu sendiri seperti yang terlihat dibawah ini :

Gambar 1. Arsitektur Mesin Cluster IDS

Report Pengamanan Sistem Informasi Ivan Suci F / 23202010

Halaman 1 dari 24


Cluster IDS dikelompokkan dalam 5 buat fungsional services : 1. Cluster Coordinator Berfungsi sebagai koordinator dari seluruh komunikasi dan administrasi cluster yang ada serta melakukan Load-balancing dalam IDS Cluster. 2. Packet Collector & Storage Berfungsi untuk melakukan dump pada network Interface dan memasukkan kedalam sistem Penyimpanan Packet-Shared media storage. Packet collector melakukan pembacaan sesuai dengan pembagian IP watch-list yang diberikan oleh Cluster Coordinator. 3. Packet Evaluator Berbagai metode deteksi yang berbasis host-base, network-base, honey-pot dan neural network dapat digunakan dengan akses protocol yang diatur oleh Cluster Coordinator. 4. Report & Respon Sebagai pengatur security policy dan sistem report. 5. Packet Shared Media Storage Media penyimpan data-data paket jaringan dengan aturan tertentu berdasar Session, IP, dan lainnya. Aturan penyimpanan ini ditujuan untuk memudahkan evaluasi oleh packet evaluator. Dalam penelitian lebih banyak membahas mengenai Packet Shared Media Storage dan Cluster Coordinator dalam segi representasi, mekanisme akses dan manajemennya. Sehingga media storage ini menjadi lebih reliable dan optimal dalam penggunaannya di IDS.


Halaman 2 dari 24


II. Teknologi Intrusion Detection System (IDS) A. Konsep Dasar Intrusion Detection System Intrusion adalah usaha untuk masuk dan/atau menyalahgunakan sistem yang ada. Intrusion Detection adalah proses untuk monitoring event yang terjadi pada sistem komputer atau jaringan komputer dan melakukan analisis data tersebut untuk mengetahui adanya intrusion, terhadap confidentiality, integrity, availability ataupun melakukan by-pass mekanisme pengamanan yang ada. B. Arsitektur Intrusion Detection System IDS yang ada saat ini memiliki karakteristik dan metoda yang berbeda-beda dalam melakukan monitoring dan analisis terhadap deteksi penyusupan. Setiap metoda dan pendekatan memiliki keunggulan dan kelemahan, namun secara garis besar model proses yang terdapat pada sistemsistem tersebut dapat digambarkan sebagai berikut. C. Model Proses pada Intrusion Detection System IDS memiliki 3 (tiga) komponen fungsi fundamental yang merupakan proses utama dalam IDS. Komponen fungsi itu antara lain [BAC00] : 1. Pengambilan Data (Information Sources). Komponen ini merupakan fungsi untuk melakukan pengambilan data dari berbagai sumber yang ada pada sistem yang diamati. 2. Analisis. Bagian ini melakukan organisasi terhadap data yang diperoleh, mengambil kesimpulan terhadap pelanggaran / intrusion baik yang sedang terjadi maupun yang telah terjadi. 3. Respon. Komponen ini melakukan beberapa aksi pada sistem setelah pelanggaran yang terjadi telah terdeteksi. Respon ini dapat dikelompokkan menjadi 2 (dua), yaitu respon aktif dan respon pasif. Respon aktif dalam hal ini berarti melakukan beberapa aksi secara otomatis untuk mengintervensi sistem yang ada, sedangkan pasif adalah memberikan report pada administrator yang akan melakukan respon terhadap sistem. Pengambilan Data Sumber data yang diambil dapat berasal dari berbagai level dari sistem seperti network, host, dan application. IDS mengambil data dengan melakukan analisis dari paket-paket jaringan yang diambil dari jaringan backbones atau segmen dari LAN. Data juga dapat diperoleh dari data yang dihasilkan oleh sistem baik sistem operasi atau aplikasi yang ada.


Halaman 3 dari 24


Analisis Pendeteksian Serangan Dalam mengenali sebuah serangan yang dilakukan oleh hacker atau cracker digunakan data yang telah diperoleh. Pendekatan yang sering digunakan untuk mengenali serangan antara lain : 1. Anomaly detection (deteksi penyimpangan) Anomaly detector mengidentifikasi perilaku tak lazim yang terjadi (anomaly) dalam host atau network. Detektor berfungsi dengan asumsi bahwa serangan itu berbeda dengan aktifitas normal dan karena itu dapat dideteksi dengan sistem yang mampu mengidentifikasikan perbedaan tersebut. Anomaly detector menyusun profil-profil yang merepresentasikan kebiasaan user yang normal, host, atau koneksi jaringan. Profil-profil ini di bangun dari datadata historis yang dikumpulkan dalam periode operasi normal. Kemudian detektor mengumpulkan data-data peristiwa dan menggunakan langkah-langkah yang beragam ketika aktivitas yang diamati menyimpang dari normal. Langkah dan teknik yang digunakan dalam mendeteksi anomali terdiri atas: a. Threshold Detection, dimana beberapa atribut dari user dan perilaku sistem dinyatakan dalam jumlah atau angka, dengan beberapa tingkatan toleransi yang diperbolehkan. Beberapa kebiasaan atribut dapat termasuk jumlah file yang diakses oleh user dalam periode waktu tertentu, jumlah kegagalan akses saat login ke sistem, jumlah CPU yang dipakai dalam proses, dll. Tingkatan ini bisa statis maupun heuristic (antara lain didesain untuk merubah dengan nilai aktual yang di amati keseluruhan waktu) b. Statistical measures, baik parameterik di mana distribusi atribut profil di asumsikan cocok dengan pola tertentu, dan non-parameterik, dimana distribusi profil atribut di pelajari dari kumpulan ukuran historis yang diamati sepanjang waktu. c.

Rule-Based Measures, serupa dengan pengukuran statistikal non-parametrik yang mana dalam pengukuran yang teramati tersebut menjelaskan penggunaan pola yang dapat diterima, namun perbedaanya adalah pola tersebut dispesifikasikan dalam aturan dan bukan dalam angka.

d. Other measure,

termasuk jaringan syaraf, algoritma genetik, dan model kekebalan

sistem. Deteksi anomali sering menimbulkan kesalahan-kesalahan pelanggaran, yang disebabkan karena perilaku pengguna yang sulit untuk diprediksi. Untuk itu perlu dilakukan perencanaan agar pendeteksian perilaku dapat disesuaikan dengan perilaku tak pasti oleh pengguna. 2. Misuse Detection Detektor melakukan analisis terhadap aktifitas sistem, mencari event atau set event yang cocok dengan pola perilaku yang dikenali sebagai serangan. Pola perilaku serangan tersebut disebut sebagai signatures, sehingga misuse detection banyak dikenal sebagai signaturesbased detection. a. Kelebihan


Halaman 4 dari 24


•

Misuse detector sangat efektif dalam mendeteksi serangan tanpa menimbulkan banyak kesalahan alarm.

•

Misuse detector mampu dengan cepat dan handal mendiagnosa penggunaan piranti atau teknik serangan tertentu . Hal ini berguna untuk membantu manajer kemanan untuk memprioritaskan pengukuran-pengukuran yang bersifat korektif .

•

Misuse detector dapat mengijinkan manager sistem, mengabaikan tingkat keahlian keamanan mereka, untuk menelusuri problem keamanan dalam sistem mereka, menginisiasi prosedur penanganan kerusakan sistem.

b. Kelemahan •

Misuse detector hanya dapat mendeteksi serangan yang telah diketahui saja, sehingga harus selalu di update dengan signature–signature

dari serangan-

serangan yang baru. •

Misuse detector didesain untuk menggunakan signature yang benar-benar telah diketahui atau didefinisikan sehingga menghalangi mereka dari pendeteksian dari variasi-variasi serangan yang lazim. Misuse detector yang berbasis status dapat mengatasi pembatasan ini.

Respon terhadap Serangan Setelah IDS memperoleh informasi dan melakukan analisis terhadap informasi untuk mencari gejala penyerangan, IDS menyusun beberapa respon yang akan dilakukan untuk mencegah perusakan lebih jauh pada sistem. Respon ini dapat berupa penambahan log pada sistem dan beberapa IDS melakukan respon aktif secara otomatis. 1. Respon Aktif a. Pengambilan

Informasi

Tambahan.

Pada

percobaan

perusakan

yang

tidak

membahayakan dan sering terjadi, dilakukan pencarian informasi lebih lanjut mengenai data penyerang. b. Merubah Lingkungan Sistem. Respon aktif ini dilakukan untuk menghentikan serangan yang sedang terjadi dan melakukan blocking lebih lanjut akses oleh penyerang. Kebanyakan IDS tidak memiliki kemampuan untuk melakukan blocking terhadap user tertentu, namun dilakukan blocking terhadap IP address dimana penyerang berada. Beberapa cara yang dapat dilakukan untuk mengurangi akses yang besar pada penyerang antara lain : -

Memutuskan koneksi TCP penyerang, dengan melakukan reset pada paket penyerang.

-

Konfigurasi ulang router dan firewall untuk melakukan blocking pada port, protocol, service.


Halaman 5 dari 24


c.

Aksi terhadap Penyusup. Bentuk agresif dari respon IDS adalah melakukan serangan terhadap penyerang. Respon jarang digunakan karena kebanyakan penyerang menggunakan sebuah host palsu dalam melakukan serangan.

2. Respon Pasif a. Alarm dan Notifikasi. Alarm dan notifikasi merupakan respon yang sering digunakan oleh IDS untuk melaporkan adanya serangan yang berhasil dideteksi. b. SNMP Trap. Mengirimkan sebuah SNMP Trap datagram pada management console seperti HP OpenView, Tivoli, Cabletron Spectrum, dan lain-lain. c.

Reporting. Setiap IDS memiliki kemampuan untuk menghasilkan laporan secara periodik mengenai statistik dan event yang telah terjadi.

D. Jenis Intrusion Detection System Banyak sekali terminologi untuk mengelompokkan jenis-jenis IDS yang ada sekarang ini. Pembagian jenis-jenis IDS didasarkan atas beberapa terminologi, antara lain : a. Arsitektur Sistem Dibedakan menurut bagaimana komponen fungsional IDS diatur satu sama lain. Jenis IDS menurut terminologi ini adalah[BAC00] : 1. Host-Target Co-Location IDS dijalankan pada sistem yang dilindungi. Kelemahan dari sistem ini adalah jika penyerang berhasil memperoleh akses pada sistem, penyerang dapat dengan mudah mematikan IDS. 2. Host-Target Separation. IDS diletakkan pada komputer yang berbeda dengan komputer yang dilindungi. b. Strategi Pengendalian IDS dibedakan menurut bagaimana kendali atas IDS-IDS yang ada dikendalikan baik input maupun output. Jenis-jenis IDS menurut terminologi ini adalah[BAC00] : 1. Terpusat Seluruh kendali baik monitoring, deteksi dan pelaporan dikendalikan secara terpusat seperti yang terlihat pada Gambar 2.


Halaman 6 dari 24


Gambar 2. IDS dengan kendali terpusat

2. Terdistribusi parsial Monitoring dan deteksi dikendalikan dari node lokal dengan hirarki pelaporan pada satu atau beberapa pusat lokasi seperti yang terlihat pada Gambar 3.


Halaman 7 dari 24


Gambar 3. IDS dengan kendali terdistribusi parsial[BAC00]

3. Terdistribusi total Monitoring dan deteksi menggunakan pendekatan berbasis agent, dimana keputusan respon dibuat pada node analisis seperti yang terlihat pada Gambar 4.


Halaman 8 dari 24


Legend : Network-based Monitor

PC

Screening Router

Host-based Monitor

Database Server

Firewall

Application Monitor

Web Server

Network Hub

Monitoring Links

IDS Response Links

Network Links

Gambar 4. IDS dengan kendali terdistribusi total[BAC00] c.

Waktu Waktu dalam hal ini berarti waktu antara kejadian baik monitoring ataupun analisis. Jenis IDS menurut terminologi ini adalah : 1. Interval-Based (Batch mode) Informasi dikumpulkan terlebih dahulu kemudian dilakukan evaluasi menurut interval waktu yang telah ditentukan. 2. Realtime (Continues) IDS memperoleh data secara terus-menerus dan dapat mengetahui bahwa penyerangan sedang terjadi. Sehingga secara cepat dapat melakukan repson terhadap penyerangan.

d. Sumber Data IDS ini dibedakan menurut sumber data yang diperoleh. Terminologi ini sering digunakan untuk membagi jenis-jenis IDS. Jenis IDS menurut terminologi ini antara lain : 1. Host-Based IDS memperoleh informasi dari sebuah sistem komputer. Report Pengamanan Sistem Informasi Ivan Suci F / 23202010

Halaman 9 dari 24


2. Network-Based IDS memperoleh informasi dari paket-paket jaringan yang ada. Pembahasan mengenai jenis IDS menurut terminologi ini akan diterangkan lebih lanjut pada bahasan berikutnya. e. Respon Serangan Pembagian ini telah dijelaskan pada bahasan berikutnya sesuai dengan jenis IDS yang digunakan. Network - Based IDS Network-based IDS menggunakan raw packet yang ada di jaringan sebagai sumber datanya. Network-based IDS menggunakan network adapter sebagai alat untuk menangkap paket-paket yang akan dipantau. Network adapter berjalan pada mode prosmicuous untuk memonitor dan melakukan analisis paket-paket yang ada yang berjalan di jaringan. Beberapa cara yang digunakan untuk mengenali serangan pada Network-based IDS ini antara lain : 1. Pola data, ekspresi atau pencocokan secara bytecode. 2. Frekuensi atau pelanggaran ambang batas. 3. Korelasi yang dekat dengan sebuah event. 4. Deteksi anomali secara statistik. Network-based IDS memiliki kelebihan yang tidak dapat diberikan oleh IDS yang lainnya. Di bawah ini beberapa kelebihan dari Network-based IDS : 1. Biaya yang lebih rendah. Network based IDS memungkinkan pengawasan yang strategis pada titik akses yang kritis untuk menampilkan network traffic untuk beragam sistem yang akan diamati. Sehingga sistem ini tidak memerlukan perangkat lunak untuk digunakan dan diatur pada banyak host. Karena kebutuhan titik deteksi yang lebih sedikit, maka biayanya lebih rendah. 2. Deteksi serangan yang tidak terdeteksi oleh Host-Based IDS, Sistem ini memeriksa semua packet header untuk mencari aktivitas-aktivitas yang mencurigakan. Beberapa serangan yang tidak dapat dideteksi oleh Host-based IDS adalah IPbased DoS dan Fragmented Packet (Tear Drop), serangan tersebut dapat diidentifikasi dengan membaca header dari packet yang ada. 3. Kesulitan

bagi

penyerang

untuk

menghapus

jejak.

Network-based

IDS

menggunakan data live network traffic untuk mendeteksi serangan secara real-time. Karena hal tersebut seorang penyerang sulit untuk menghapus bukti-bukti hasil rekaman data jaringan baik berupa tipe serangan, maupun informasi yang menunjukkan identifikasi dan respon terhadap serangan.


Halaman 10 dari 24


4. Deteksi dan Respon secara real-time. Sistem ini mampu mendeteksi serangan yang sedang terjadi, sehingga notifikasi dan respon juga dapat dilakukan dengan cepat. 5. Deteksi serangan yang gagal dan kecenderungan serangan. Network-based IDS yang ditempatkan di luar firewall dapat mendeteksi serangan yang sebenarnya telah dicegah oleh firewall. Data serangan tersebut dapat menjadi bahan evaluasi bagi pengembangan kebijakan selanjutnya. 6. Tidak tergantung pada sistem operasi. Network-based IDS tidak tergantung sistem operasi yang digunakan pada host yang dilindungi, karena evaluasi yang dilakukan tidak harus berada pada host tersebut. Respon yang dapat dilakukan oleh network-based IDS beraneka ragam, diantaranya adalah : 1. Notifikasi •

Alarm ke konsole

•

E-mail

•

SNMP Trap

•

Melihat sesi yang aktif

2. Logging •

Summary Report

•

Raw Network Data

3. Respon aktif •

TCP reset

•

Konfigurasi ulang firewall

•

User-defined

Host - Based IDS Host-based IDS memperoleh informasi dari data yang dihasilkan oleh sistem pada sebuah komputer yang diamati. Data host-based IDS biasanya berupa log yang dihasilkan dengan memonitor pada sistem file, event, dan keamanan pada windows NT dan syslog pada lingkungan sistem operasi UNIX. Saat terjadi perubahan pada log tersebut, dilakukan analisis apakah sama dengan pola serangan yang ada pada basis data IDS. Teknik yang sering digunakan pada host-based IDS adalah melakukan pengecekan pada kunci file sistem dan file eksekusi dengan cheksum pada interval waktu tertentu untuk mendapatkan perubahan yang tidak diharapkan (unexpected changes). Pewaktuan atas respon berkorelasi dengan interval waktu yang didefinisikan untuk melakukan polling pengumpulan data.


Halaman 11 dari 24


Host-based IDS tidak secepat network-based IDS dalam mendeteksi adanya serangan. Hostbased IDS memiliki beberapa kelebihan yang tidak dapat dilakukan oleh network-based IDS, kelebihan tersebut termasuk analisis forensik yang lebih kuat, fokus terhadap sebuah host dan lainnya. Beberapa kelebihan host-based IDS itu sendiri antara lain : 1. Menguji keberhasilan atau kegagalan serangan. Karena sistem ini menggunakan logs berisi event yang telah terjadi, sehingga dapat diukur apakah serangan telah berhasil atau tidak dengan akurasi yang lebih dibandingkan dengan network-based IDS. Metode ini menjadi sebuah komplemen yang baik untuk network-based IDS. 2. Memonitor aktifitas sistem tertentu. Sistem ini memonitor aktivitas pengguna dan kases terhadap file, termasuk pengaksesan file, penggantian atribut file, percobaan untuk instalasi file eksekusi baru dan/atau percobaan untuk mengakses service privileged. 3. Mendeteksi serangan yang lolos pada network-based IDS. Host-based IDS mendeteksi serangan yang tidak dapat dikenali oleh networkbased IDS. Sebagai contoh adalah serangan melalui sistem lokal yang tidak melalui jaringan. 4. Cocok untuk lingkungan encrypt dan switch. Pada sebuah perusahaan yang besar biasanya digunakan enkripsi dalam komunikasi datanya dan untuk mempercepat komunikasi digunakan hub dengan tipe switch. Sehingga sulit bagi network-based IDS untuk mengenali serangan dan memerlukan overhead untuk membaca packet yang ada. 5. Deteksi dan respon secara near real-time. Host-based IDS menggunakan log sebagai input pendeteksian serangan. Beberapa saat setelah log bertambah, pendeteksian langsung dapat dilakukan. 6. Tidak memerlukan tambahan perangkat keras. Host-based IDS berada di dalam infrastruktur jaringan yang ada termasuk server file, server web, dan sumber daya lainnya. Efisiensi dilakukan dengan tanpa menambahkan sumber daya lain pada jaringan seperti yang dilakukan pada network-based IDS. Respon yang dapat dilakukan oleh network-based IDS beraneka ragam, diantaranya adalah : 1. Notifikasi •

Alarm ke konsole

•

E-mail

•

SNMP Trap

2. Logging •

Summary Report


Halaman 12 dari 24


3. Respon aktif •

Terminasi login pengguna

•

Disable User Account

•

User defined

Hibrid IDS Solusi network-based dan host-based IDS memiliki keunggulan dan manfaat yang saling berkomplemen. Generasi lanjut IDS merupakan gabungan dari kedua komponen solusi tersebut. Gabungan dari kedua teknologi tersebut meningkatkan resistansi jaringan terhadap serangan dan penyalahgunaan, meningkatkan pelaksanaan kebijakan keamanan, dan kelebihan dalam fleksibilitas ketersebaran sistem. Gambar di bawah ini menggambarkan bagaimana gabungan dari kedua teknologi IDS dapat menjadi pertahanan sistem yang handal. Intruder

Victim Network-based • SYN Flood • Lan, smurf, tear drop • WinNuke Host-based • Encrypted Network • Overwrite login executables • Walk up to the keyboard attack Network-based dan Host-based 1) Telnet - Network IDS 2) Intruder SU’s to root - Host IDS 3) Turns Off Logging - Host IDS 1) Port Scan 2) HTTP cgi-bin attack 3) Changes a web page

- Network IDS - Network IDS - Host IDS

1) Port Scan 2) Sendmail WIZ attack 3) Root Shell Accessed

- Network IDS - Network IDS - Host IDS

Gambar 5. Pengenalan serangan dengan hibrid IDS[ISS98] Beberapa fitur yang diharapkan pada generasi lanjut IDS antara lain[ISS98] : 1. Integrasi antara network-based IDS dan host-based IDS. 2. manajemen konsole yang generik untuk semua produk. 3. Integrasi basisdata event. 4. Integrasi sistem report. 5. Kemampuan menghubungkan event denganserangan. 6. Integrasi dengan on-line help untuk respon insiden. 7. Prosedur instalasi yang ringkas dan terintegrasi seluruh produk yang ada.


Halaman 13 dari 24


E. Kelebihan dan Keterbatasan Intrusion Detection System Intrusion detection system merupakan sistem pengamanan yang digunakan sebagai secondary sistem yang telah ada atau sistem yang dibuat untuk membackup sistem keamanan yang utama. Sistem pengamanan utama seperti firewall, enkripsi dan autentikasi sangat handal untuk digunakan. Kelebihan dari IDS antara lain [BAC00] : 1. Monitoring dan analisis sistem dan perilaku pengguna. 2. Pengujian terhadap konfigurasi keamanan sistem. 3. Memberikan titik acuan untuk pelaksanaan keamanan sistem dan penelusuran pada perubahan pada titik acuan. 4. Pengenalan serangan menurut pola yang telah diketahui. 5. Pengenalan pola aktifitas yang tidak normal. 6. Manajemen audit sistem operasi dan mekanisme logging pada data yang dihasilkan. 7. Memberikan peringatan pada administrator jika terjadi serangan. 8. Mengukur kemampuan kebijakan keamanan yang terdapat pada mesin analisis IDS. 9. Menyediakan informasi konfigurasi default untuk pengamanan sistem. 10. Memudahkan pengawasan pada sistem karena dapat dilakukan oleh staf yang belum mahir dalam masalah pengamanan sistem. IDS memiliki beberapa keterbatasan dalam aktifitasnya, antara lain : 1. IDS kurang cepat dalam mengenali serangan pada segmen yang memiliki traffic yang besar dan load prosessor yang besar. 2. IDS tidak dapat mengenali teknik baru yang belum terdapat basisdata pola serangan yang dimiliki. 3. IDS tidak dapat bekerja secara efektif pada jaringan menggunakan switch-hub. Konsep yang digunakan IDS tidak benar-benar akurat, karena sistem tersebut dapat dilumpuhkan oleh hacker. Namun bukan berarti IDS tidak valid untuk digunakan, sebuah IDS yang baik dapat meningkatkan keamanan suatu sistem yang berada pada jaringan. hal yang sangat penting untuk diperhatikan adalah bahwa IDS digunakan sebagai pelengkap sistem pengamanan yang utama.


Halaman 14 dari 24


III. Application Cluster pada Intrusion Detection System A. Overview Application Cluster Perkembangan Jaringan dan aplikasi online yang digunakan oleh perusahaan, sudah menjadi prioritas utama untuk melindungi sistem yang ada dan menjamin ketersediaan dari data. Pendekatan lama yang digunakan untuk hal tersebut adalah dengan mengupgrade hardware yang lebih reliable, yang kebanyakan berarsitektur RISC seperti Sun Microsystem dan Hewlettpackard. Peningkatan hardware tersebut masih dapat digunakan dalam scope sub sistem dari perusahaan, jika dalam scope yang lebih besar (enterprise) optimasi harus dilakukan pada level aplikasi untuk peningkatan performansi, skalabilitas, reliabilitas dan ketersediaan dari aplikasi. Biaya downtime menjadi signifikan bagi pengguna, pelanggan dan partner untuk dapat melakukan akses ke web dan intranet perusahaan. Sehingga downtime bukan merupakan pilihan bagi enterprise dalam menangani transaksi yang ada. Availability dari sistem 24 jam sehari, 265 hari setahun perlu dijaga dan diperlukan security policy yang strict terhadap gangguan yang ada. Dalam arsitektur application cluster, database merupakan jantung dari solusi yang digunakan. Database merupakan titik paling kritis pada web dan corporate system serta menyimpan informasi dari yang penting hingga yang top secret perusahaan dimana aktifitas teknologi informasi dapat dilakukan. Standar fitur yang digunakan dalam application clustering untuk menjamin zero downtime dan back-up [EAC02] : •

Transaction ACID properties (Atomicity, Consistency, Isolation and Durability) harus dimaintain pada setiap case kegagalan (failure) dan operasi normal.

•

Status Database harus dijaga dalam situasi failover, dengan menggunakan node standby atau aktif sebagai backup.

•

Failure recovery harus

singkat, mudah diprediksi dan transparan baik pada aplikasi

maupun pengguna aplikasi. Solusi tradisional high-avaiability memakai teknologi basic clustering dengan shared disk – dengan memakai konfigurasi yang memerlukan perangkat keras khusus dan extensive setup, serta hanya memberikan kemudahan yang terbatas. Sistem yang berdasarkan pada shared disk mempunyai kelemahan yaitu downtime yang tak terduga yang bisa menyebabkan kerusakan, tidak terdapat perlindungan dari kecelakaan (cluster terletak pada situs tunggal) dan shared disk sendiri merupakan salah satu sumber kerusakan. Banyak solusi komersial saat ini yang menggunakan teknologi replikasi yang berbeda untuk membuat data yang available pada server yang terpisah. Semua solusi replikasi tidak dapat menjamin ketahanan dan konsistensi data (asynchromous / lazy replication) terhadap kerusakan,


Halaman 15 dari 24


sama seperti sebaliknya jika solusi tersebut mempunyai performance yang tidak bisa diterima (synchronous / eager replication). Yang diperlukan adalah pendekatan yang terintegrasi : memastikan availabilitas data, memelihara data dan konsistensi transaksi, integritas dan ketahanan. Solusi teknologi clustering menekankan pada availabilitas, performance dan skalabilitas. Aspekaspek yang dijadikan parameter dari complete solution pada teknologi clustering aplikasi antara lain : kehandalan dan availabilitas yang tinggi o

perangkat lunak : application cluster mengkombinasikan banyak basis data, berjalan sebagai satu basis data available lojik.

o

Perangkat keras : RISC telah dikenal sebagai platform handal untuk sistem mission-critical. Tetapi dua atau lebih Intel / Linux yang ter-cluster bisa menyediakan kehandalan perangkat keras dengan memindah sebuah sumber kerusakan dengan server-server duplikat dan dengan mengganti kebutuhan untuk shared storage, yang menciptakan sumber kesalahan baru.

Performance o

Perangkat lunak : application cluster menggunakan semua kelebihan dari resource yang tersedia dan keseimbangan workload antara basis data yang terclustered.

o

Perangkat keras : RISC telah dikenal sebagai platform dengan performance untuk aplikasi basis data. Tapi dua buah Intel/Linux ter-cluster bisa menyediakan performance yang sama atau bahkan lebih baik daripada sistem RISC dengan harga yang sama atau lebih rendah.

Skalabilitas o

Perangkat lunak : application cluster memberikan skalabilitas linear seperti node ditambahkan ke dalam cluster.

o

Perangkat lunak : Walaupun solusi Clustering dapat tersedia pada RISC, pendekatan yang lebih disukai untuk menfasilitasi kebutuhan penambahan performance adalah dengan mengganti server lama dengan server baru, server lebih handal, karena cluster lebih sulit untuk di setup dan dipelihara dan juga tidak perlu menyediakan performance yang lebih baik seperti cluster overhead.


Halaman 16 dari 24


B. Arsitektur Application Cluster pada Intrusion Detection System

Gambar 6. Arsitektur Mesin Cluster IDS

Cluster IDS dikelompokkan dalam 5 buat fungsional services : 1. Cluster Coordinator Berfungsi sebagai koordinator dari seluruh komunikasi dan administrasi cluster yang ada serta melakukan Load-balancing dalam IDS Cluster. 2. Packet Collector & Storage Berfungsi untuk melakukan dump pada network Interface dan memasukkan kedalam sistem Penyimpanan Packet-Shared media storage. Packet collector melakukan pembacaan sesuai dengan pembagian IP watch-list yang diberikan oleh Cluster Coordinator. Report Pengamanan Sistem Informasi Ivan Suci F / 23202010

Halaman 17 dari 24


3. Packet Evaluator Berbagai metode deteksi yang berbasis host-base, network-base, honey-pot dan neural network dapat digunakan dengan akses protocol yang diatur oleh Cluster Coordinator. 4. Report & Respon Sebagai pengatur security policy dan sistem report. 5. Packet Shared Media Storage Media penyimpan data-data paket jaringan dengan aturan tertentu berdasar Session, IP, dan lainnya. Aturan penyimpanan ini ditujuan untuk memudahkan evaluasi oleh packet evaluator. Cluster Coordinator Sebagai pusat pengendali cluster IDS yang ada, cluster coordinator memiliki fungsional service dengan kemampuan untuk : 1. Synchronous Replication Cluster coordinator memelihara kondisi sistem dan informasi penggunaan masing-masing node dan secara synchronous melakukan replikasi terhadap Packet Shared Media Storage agar tetap konsisten secara real time. Dalam kasus terjadi kegagalan pada satu node, cluster coordinator melakukan re-route semua koneksi pada node tersebut ke node yang ada. 2. Dynamic Load Balancing Dengan kemampuan ini dapat meningkatkan performansi fault tolerant dari Packet Shared Media Storage sebagai pusat database clusternya. Pada kondisi traffic jaringan yang sibuk, cluster coordinator dapat melakukan balancing pada pembacaan Packet Shared Media Storage dengan packet evaluator dari node yang memiliki kapasitas pemrosesan rendah.

Gambar 7. Informasi untuk melakukan Dynamic Load Balancing


Halaman 18 dari 24


3. Complete Transparency Semua node yang terdaftar pada cluster coordinator akan memiliki konfigurasi yang sama sebagai satu sistem image. Setiap koneksi pada cluster IDS adalah client-server dengan shared address, dan node klien hanya melihat sebuah 1 IP Address yang digunakan. Kemampuan ini menghilangkan kerumitan saat menambahkan atau mengurangi node pada cluster. 4. Kemudahan Maintenance Desain dari application cluster IDS ini mendukung untuk kemudahan dalam maintenance walaupun maintenance dilakukan pada normal business hours. Melakukan upgrade software atau hardware pada satu node tidak akan merusak koneksi klien yang sedang terjadi. 5. Transparent Scalability Skalabilitas konfigurasi cluster IDS adalah ekonomis dan mudah. Menambahkan node baru berarti menambah performansi dan kapasitas sistem. Menambahkan atau mengurangi node pada cluster tidak mengganggu koneksi yang ada. Setiap node mengirimkan join atau leave report pada node yang lain dan melakukan commit sehingga role pada cluster coordinator berubah. 6. Centralized Management Untuk memudahkan manajemen cluster, disediakan friendly GUI yang menunjukkan informasi node dan cluster status, konfigurasi dan administrasi. Semua sistem administrasi dilakukan secara terpusat, diatur pada cluster coordinator. Akses pada sistem administrasi dapat dilakukan secara remote. Packet Collector & Storage Sebagai node pengambilan informasi IDS, node ini melakukan dump terhadap network interface dengan mode sniffing sesuai role yang diberikan oleh cluster coordinator. Node ini memiliki kemampuan untuk melakukan filter terhadap dump data yang ada dan memiliki physical database dari Packet Shared Media Storage.


Halaman 19 dari 24


Gambar 8. IP Sharing dan Dynamic Load Balancing Pada gambar 8 setiap node pada packet collector dan storage memiliki physical database yang merupakan kesatuan dari satu logical database dari Packet Shared Media Storage. Dengan IPsharing dan dynamic load balancing cluster coodinator akan membagi kerja node collector untuk bekerja dalam scope IP address tertentu. Packet Evaluator Node evaluator menjalankan fungsi IDS sebagai melakukan analisis dari data yang didapat oleh node collector. Dari teori IDS yang ada, berbagai macam metode dan mekanisme untuk melakukan evaluasi data pada IDS. Pada cluster IDS ini setiap node evaluator dapat memiliki metode dan mekanisme sendiri-sendiri. Misalkan : Node Evaluator 1 : Metode : Neural Network IDS Time : Real Time IP Range : 202.155.22.1/255.255.255.0 Type : Network Based Node Evaluator 2 : Metode : Algorithms #1 Time : Batch IP Range : 167.205.48.100/255.255.255.248 Type : Network Based Node Evaluator 3 : Metode : DoS Anomaly Detection Report Pengamanan Sistem Informasi Ivan Suci F / 23202010

Halaman 20 dari 24


Time : Real Time IP Range : 167.205.48.100/255.255.255.255 Type : Host-Based Dengan konsep clustering seperti diatas, cluster IDS ini masuk dalam kategori Hybrid IDS. Pemutakhiran algoritma yang ada disediakan API untuk memberikan standar pengembangan akses terhadap Packet Shared Media Storage sebagai pusat data. Report & Respon Node ini merupakan pusat pengendali security policy dari sistem yang dilindungi oleh cluster IDS. Node ini melakukan report setiap aktifitas security yang terjadi, baik yang diterima oleh cluster IDS dari hasil evaluasi node evaluator maupun aktifitas respon terhadap security breaking yang ada. Respon yang dilakukan dapat berbagai macam, mengacu pada standart operation procedure (SOP) pada enterprise tersebut pada setiap jenis aktifitas security breaking. Sebagai contoh : •

TCP reset untuk aktifitas hacking.

•

Konfigurasi ulang firewall untuk Aktifitas DoS.

IP Network-Packet Shared Media Database merupakan jantung dari aplikasi cluster IDS ini, database yang digunakan adalah menggunakan database yang telah ada (open database) dengan kriteria dibawah ini : 1. Mendukung untuk database cluster. 2. Mendukung operasi dengan IP Address. Seperti netmask, network address, broadcast address, dll. 3. Mendukung multi physical data file. 4. Mampu menampung data hingga 1 Terrabytes data atau lebih. 5. Mendukung banyak sistem operasi (Multiplatform). Database pada cluster IDS ini terdiri dari dua jenis yaitu : 1. IDS Database Dalam database ini menyimpan informasi mengenai konfigurasi node dan cluster, properti IDS, report aktifitas IDS. Database ini memiliki 1 logical database view yang mendukung multi physical data file. Database ini secara fisik berada pada mesin yang sama dengan cluster coordinator.


Halaman 21 dari 24


2. Packet Shared Media Storage Database ini hanya menyimpan informasi paket-paket jaringan baik yang difilter oleh node collector sesuai filter yang berlaku pada node. Seperti yang terlihat pada gambar di bawah ini setiap node memiliki physical database hanya menyimpan satu range IP address data paket jaringan.

Gambar 9. Packet Shared Media Storage Informasi yang disimpan dalam Packet Shared Media Storage mengacu pada format header paket pada IP, seperti yang terlihat dibawah ini : (IP, TCP/IP, UDP/IP, ICMP) [FEI93] 0

1 2 3 4 5 6 7 8 9 10 11 12 13 Version & header length type of service total length Identification flag & fragment size time to live protocol Checksum

14

15

14

15

source address destination address Gambar 10. Struktur header paket IP 0

1

2

3

4

5

6

7 8 9 10 11 source port destination port

12

13

sequence number acknowledgement number data offset & bit field Window Checksum urgent pointer


Halaman 22 dari 24


Gambar 11. Struktur header paket TCP/IP

0

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

14

15

source port destination port Length Checksum Gambar 12. Struktur header paket UDP/IP 0

1

2

3

4

5

6

7

8

9

10

11

Type

12

13

code Checksum

Gambar 13. Struktur header paket ICMP Selain informasi yang di simpan oleh header paket juga disimpan beberapa data lainnya, antara lain : 1. Content Data yang ada pada paket tersebut. 2. session koneksi paket data yang sedang terjadi. 3. timestamp. 4. incoming / outgoing paket. Data-data paket disimpan pada masing-masing node collector dengan session, timestamp, source ip-address, dest IP address sebagai index untuk mempercepat pemrosesan oleh node evaluator. Database Packet Shared Media Storage memiliki 1 logical view database yang tersimpan pada cluster coordinator dan beberapa physical data yang tersimpan pada masingmasing node collector. Dengan konfigurasi tersebut, node evaluator akan menganggap 1 shared media database yang diakses melalui cluster coordinator. Untuk mekanisme Load balancing, replication, dan failure recovery Packet Shared Media Storage diserahkan pada database engine.


Halaman 23 dari 24


IV. Daftar Pustaka [ANO00]

Anonymous, Maximum Linux Security, SAMS Publishing, 2000.

[BAC99]

Rebecca Bace, An Introduction to Intrusion Detection and Assesment, ICSA, Maret 1999.

[BAC00]

Rebecca Bace & Peter Mell, NIST Special Publication on Intrusion System, ICSA, 2000.

[BRE95]

D. Brent Chapman & Elizabeth D. Zwicky, Building Internet Firewalls, O’Reilly & Associate, USA, 1995.

[BUD98]

Budi Rahardjo, Keamanan Sistem Informasi Berbasis Internet, PT Insan Infonesia – Bandung, 1998.

[GAR95]

Simson Garfinkel, PGP: Pretty Good Privacy, O’Reilly & Associates, Inc., 1995.

[GRA99]

Robert

Graham,

FAQ:

Network

Intrusion

Detection

Systems,

http://www.ticm.com/kb/faq/idsfaq.html, Maret 2000. [HAR96]

Christ Hare, Internet Firewalls and Network Security, Second edition, New Riders, 1996.

[ICS99]

ICSA inc. , An Introduction to Intrusion Detection for System and Network Security Management, ICSA inc. Maret 1999.

[ISS98]

ISS inc. , Network-based Vs Host-based Intrusion Detection System, ISS inc. Oktober 1998.

[MOR85]

Robert T. Morris, A Weakness in the 4.2BSD Unix† TCP/IP Software, AT&T Bell Laboratories , 1985.

[EAC02]

Emic Networks Technology, Emic Application Cluster Concept: SQL Database Performance, Reliability and Scalability Solution. September 2002.


Halaman 24 dari 24

I. ABSTRAKSI. Gambar 1. Arsitektur Mesin Cluster IDS. EL 695 Keamanan Sistem Informasi

Recommend Documents