blog untuk menyelami dalamnya dunia


1.  Akurasi Signature

Keakurasian signature sangat ditentukan oleh sensor dan update informasi yang ada, dimana sensor membuat alert, disuatu kondisi mentrigger alarm dari sensor (valid atau tidak), jika tidak valid terdeteksi bisa juga sangat memungkinkan sebagai serangan. Ada empat alert yang dibuat oleh sensor, seperti

(i) True Negative (TN) : dimana pada kondisi traffic normal dan tidak ada alarm
yang dibangkitkan,

(ii) True Positive (TP) akan mentrigger alarm jika ditemukan kecocokan yang
diidentifikasi sebagai serangan,

(iii) False Negative (FN) akan tetap diam dengan tidak memberikan alarm walaupun attack telah masuk dan menyerang, dan

(iv) False Positive (FP) membuat alert pada kondisi aktivitas traffic normal, fokus utama banyak peneliti adalah pada bagaimana untuk mengurangi alert FP ini. IPS seperti memiliki hidung dan mata untuk mengidentifikasi semua data paket inbound-outbound. Penempatan yang tepat perangkat Host-based dan Network-based akan sangat mempengaruhi keakuratan dari sensor. ada tiga macam pola pengenalan dari signature :

  • Pattern-based Prevention : untuk mengenali pattern secara spesifik, yang biasanya direpresentasikan dengan sebuah text atau binary string. Pola ini membuat mekanisme seperti:

(i) Pattern Detection regex, dan

(ii) Deobfuscation techniques, yang dijabarkan oleh [4],[5],[15].

  • Anomaly-based Prevention : kita harus membuat profile untuk mendefinisikan dengan jelas bagaimana digolongkan sebagai aktivitas normal dan sebaliknya, kelebihan model ini adalah dapat mengenali pola-pola baru walaupun belum dideklasikan di signature database [2],[12].
  • Behavior-based Prevention, model ini hampi sama dengan pattern prevention, namun behavior menjelaskan dengan tegas activity user dalam kelas-kelas untuk mengenali malicious threat. Pada model ini dibutuhkan penjabaran kebiasaan dari aktivitas user di jaringan tersebut [1],[6].

2.  Volume Traffic
Permasalah kedua di IPS adalah volume traffic. Dimana sangat dipengaruhi dari perangkat yang digunakan. Hal ini akan meningkat dengan tingginya traffic jaringan yang akan dipantau, yang akan mempengaruhi performance secara keseluruhan. Dibutuhkan klarifikasi jumlah paket traffic yang digunakan. Jumlah keseluruhan traffic didapat dari jumlah segment jaringan dan jumlah sensor yang ditempatkan. Penggunaan Fast Eth dan Gigabit Eth akan mempengaruhi dari faktor ini. Hubungannya adalah akan mempengaruhi kinerja jaringan secara keseluruhan. Hal ini penting karena setiap node jaringan dapat membuat permasalahan, termasuk kesalahan hardware, laporan
kesalahan sistem operasi, perangkat jaringan akan menghasilkan broadcast yang memerlukan bandwidth.

3. Topology Penempatan Sensor
Dalam sesi ini, harus diidentifikasi akses yang akan dibuat, misalnya akses juga akan diberikan ke mitra bisnis, dan koneksi dapat di lakukan telecommutes secara mobile. Tujuannya adalah untuk menentukan model aksesnya. Pada gambar 4 dibawah ini, terdapat dua akses, yaitu akses outside dan inside. Akses outside langsung terhubung ke Internet, sedangkan inside adalah sisi jaringan yang terpecaya. Sedangkan DMZ adalah dari sisi perimeter demiliterisasi zone, untuk mengidentifikasi dan memonitoring server farm. Terdapat dua faktor yang akan mempengaruhi dalam isu ini,

(i) penempatan sensor, dan

(ii) jumlah sensor yang akan digunakan.

Kejelian dalam menentukan dua faktor ini akan meningkatkan akurasi dalam pengenalan pola serangan yang akan
dilakukan. Penempatan disisi outside akan memonitor dan mengidentifikasi paket yang akan masuk dan keluar, sedangkan penempatan di sisi inside misalnya di core, distribution atau access akan mempengaruhi keakuratan yang dimonitor, karena sifar sensor ini hanya akan mengidentifikasi paket yang lewat di interfacenya.

4.   Penggunaan Quota Log
Pada penelitian sebelumnya [15], semua system logs disimpan pada peralatan yang aman, model dengan menggunakan redundancy ditawarkan dengan jaminan high reliability yang tinggi. Namun tidak menjelaskan secara detail secara teknis bagaiman konfigurasi secara teknis dan peralatan yang digunakan. Hal ini berkaitan dengan berapa besar penggunaan media storages yang akan digunakan, dalam pantauan yang dilakukan dalam jaringan sesungguhnya yang dilakukan, pada percobaan yang dilakukan, didapat log sebesar 150 MBps di traffic jaringan dengan bandwidth ke
internasional 135 Mbps. Sedankan pengambilan data hanya data transaction (IP Add dan Mac Add) bukan dataset secara utuh. Pada isu permasalahan ini, ada banyak sekali log file yang didapat dari logging system, seperti transaksi data log, log data attack, log data traffic, log record insiden, log notofikasi insden, log laporan kegagalan, dan sebagainya yang memerlukan media storage yang besar.

5.   Proteksi Mesin IPS

Terdapat beberapa statement dan kesimpulan peneliti sebelumnya, dimana [7] membuat intrusion prevention dengan berbasis SNMP untuk mengintegrasikan dnegan system pertahanan yang lain, sedangkan [12] mengatakan implementasi load balancing dengan menggunakan libcap library dengan teknik clustering. Namun sangat disayangkan, tidak ada yang membahas tentang bagaimana menjaga mesin IPS dari serangan yang mungkin akan dilakukan penyerang. Dalam pengamatan sangat dimungkinkan penyerang akan menyerang IPS. Dari sisi penyerang hacker akan melakukan serangan pada mesin target dengan berbagai cara dan mekanisme, dimana serangan akan direncanakan dengan baik. Ada beberapa tahapan secara umum seperti : probe, scan, intrusion dan goal[16]. Menurut pengamatan yang dilakukan terdapat banyak cara penyerang untuk mencari kelemahan, langkah scanning yang sering dilakukan untuk mencari titik kelemahan tersebut, baik yang hanya sekedar mengumpulkan informasi seperti IP Address, skema diagram, aplikasi yang dijalankan, model firewall yang diintegrasikan sampai dengan mencari celah user dan password.

6.   Sensor Monitoring
Sensor merupakan bagian kritikal di IPS, namun sangat disayangkan, capacity sensor ini sangat dibatasi oleh jumlah dari trafik jaringan, penempatan sensor, dan penggunaan system (apakah hardware atau berbasis module), karenanya solusi SPAN (Switched Port Analyzer) dapat digunakan untuk mengidentifikasi dan mengenali paket-paket tersebut
Dalam penelitian sebelumnya [17], dikatakan untuk mengintegrasikan dan mencakup infrastruktur keamanan yang tersebar agar bisa berinteraksi secara dinamis dan otomatis dengan perangkat keamanan yang berbeda. Berarti disini dibutuhkan suatu mekanisme system monitoring yang terpadu, pada gambar 8, diilustrasikan bagaimana sensor dengan traffic analysis dapat dimonitoring dengan satu tampilan yang terpusat, hal ini akan mempermudah pekerjaan dalam mengatur infrastruktur.

7.  Kolaborasi U.T.M
Pada sesi ini, kolaborasi system keamanan akan menjadi fokus utama. Unified Threat Management (UTM) coba ditawarkan untuk disesi ini. Ada beberapa model dalam system keamanan ini, namun sangat disayangkan, model-model ini biasanya mempunyai standar sendiri-sendiri yang tidak dapat diintegrasikan satu dengan yang lain. Dalam pengamatan yang dilakukan terdapat tiga bagian utama pada system keamanan computer,

(i) web security,

(ii) network protection, and

(iii) mail filtering.

Comments on: "IPS (Intrusion Prevention System) Problem" (1)

  1. […] IPS (Intrusion Prevention System) Problem […]

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: