Intrusion Prevention System
(IPS) adalah sebuah aplikasi yang bekerja untuk monitoring traffic jaringan,
mendeteksi aktivitas yang mencurigakan, dan melakukan pencegahan dini terhadap
intrusi atau kejadian yang dapat membuat jaringan menjadi berjalan tidak
seperti sebagaimana mestinya. Bisa jadi karena adanya serangan dari luar, dan
sebagainya.
Produk IPS sendiri dapat
berupa perangkat keras (hardware) atau perangkat lunak (software).Secara umum,
ada dua jenis IPS, yaitu Host-based Intrusion Prevention System (HIPS) dan
Network-based Intrusion Prevention System (NIPS).
Host-based Intrusion Prevention System (HIPS)
Host-based Intrusion
Prevention System (HIPS) adalah sama seperti halnya Host-based Intrusion
Detection System (HIDS). Program agent HIPS diinstall secara langsung di sistem
yang diproteksi untuk dimonitor aktifitas sistem internalnya. HIPS di binding
dengan kernel sistem operasi dan services sistem operasi. Sehingga HIPS bisa
memantau dan menghadang system call yang dicurigai dalam rangka mencegah
terjadinya intrusi terhadap host. HIPS juga bisa memantau aliran data dan
aktivitas pada applikasi tertentu. Sebagai contoh HIPS untuk mencegah intrusion
pada webserver misalnya. Dari sisi security mungkin solusi HIPS bisa mencegah
datangnya ancaman terhadap host. Tetapi dari sisi performance,
harus diperhatikan apakah HIPS memberikan dampak negatif terhadap performance
host. Karena menginstall dan binding HIPS pada sistem operasi mengakibatkan
penggunaan resource komputer host menjadi semakin besar.
Network-based Intrusion Prevention System (NIPS)
Network-based Intrusion
Prevention System (NIPS) tidak melakukan pantauan secara khusus di satu host
saja. Tetapi melakukan pantauan dan proteksi dalam satu jaringan secara global.
NIPS menggabungkan fitur IPS dengan firewall dan kadang disebut sebagai In-Line
IDS atau Gateway Intrusion Detection System (GIDS).
Sistem kerja IPS yang populer
yaitu pendeteksian berbasis signature, pendeteksian berbasis anomali, dan
monitoring berkas-berkas pada sistem operasi host.
Sistematika IPS yang berbasis signature adalah dengan cara
mencocokkan lalu lintas jaringan dengan signature database milik IPS yang
berisi attacking rule atau cara-cara serangan dan penyusupan yang sering
dilakukan oleh penyerang. Sama halnya dengan antivirus, IPS berbasis signature
membutuhkan update terhadap signature database untuk metode-metode penyerangan
terbaru. IPS berbasis signature juga melakukan pencegahan terhadap ancaman
intrusi sesuai dengan signature database yang bersangkutan.
Sistematika IPS yang berbasis anomali adalah dengan cara melibatkan
pola-pola lalu lintas jaringan yang pernah terjadi. Umumnya, dilakukan dengan
menggunakan teknik statistik. Statistik tersebut mencakup perbandingan antara
lalu lintas jaringan yang sedang di monitor dengan lalu lintas jaringan yang
biasa terjadi (state normal). Metode ini dapat dikatakan lebih kaya
dibandingkan signature-based IPS. Karena anomaly-based IPS dapat mendeteksi
gangguan terhadap jaringan yang terbaru yang belum terdapat di database IPS.
Tetapi kelemahannya adalah potensi timbulnya false positive, yaitu pesan/log
yang belum semestinya dilaporkan. Sehingga tugas Network Administrator menjadi
lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang
sebenarnya dari banyaknya laporan false positive yang muncul.
Teknik lain yang digunakan adalah dengan cara melakukan monitoring
berkas-berkas sistem operasi pada host. IPS akan melihat apakah ada percobaan
untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini
diimplementasikan dalam IPS jenis Host-based Intrusion Prevention System
(HIPS).
Teknik yang digunakan IPS
untuk mencegah serangan ada dua, yaitu sniping dan shunning.
Sniping : memungkinkan IPS untuk menterminasi serangan yang
dicurigai melalui penggunaan paket TCP RST atau pesan ICMP Unreachable.
Shunning : memungkinkan IPS mengkonfigurasi secara otomatis
firewall untuk drop traffic berdasar apa yang dideteksi oleh IPS. Untuk
kemudian melakukan prevention terhadap koneksi tertentu.
Perbedaan mendasar antara
Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS) dapat
dilihat pada gambar berikut:
Sampai saat ini IPS telah
menjadi “the new brand” bagi para vendor, mereka berlomba-lomba untuk membuat
solusi IPS, namun sangat disayangkan kebanyakan produk tersebut bersifat
“proprietary” dan sangat susah untuk di kombinasikan dengan perangkat yang
existing dipakai. Banyak peneliti yang terfokus pada signatures, baik disisi
algorithma yang digunakan, permodelan dan pemecahan lainnya.Sebut saja vendor
terkenal (cisco.com, bluecoat.com, juniper.net, astaro.com) yang memberikan
banyak sekali solusi untuk IPS ini dengan “brand” yang berbeda-beda. Sebagai
acuan dalam membeli produk IPS, kita dapat berpedoman pada Gatner Magic
Quadrant untuk IPS yang diperlihatkan gambar berikut:
*.. dari berbagai sumber....
No comments:
Post a Comment