Instalasi dan Penggunaan Intrusion Detection System

Sebuah network intrusion detection system (NIDS) adalah sebuah intrusion detection system yang akan berusaha mendeteksi berbagai aktifitas yang tidak baik seperti serangan denial of service, port scans atau bahkan usaha untuk mengcrack ke dalam komputer dengan cara memonitor traffic jaringan.

Sebaiknya dilakukan mengecekan integritas software sebelum system online dan masuk ke lingkungan produksi / operasional. Jika di mungkinkan ada baiknya di install software AIDE sebelum system tersambung ke jaringan apapun. AIDE adalah sebuah host-based intrusion detection system (HIDS) dia akan memonitor dan analisa internal dari system.

Snort is a software for intrusion detection which is capable of performing packet logging and real-time traffic analysis on IP networks.

Konfigurasi Routing Untuk Jaringan Dengan Screened Host Gateway

Tabel routing untuk screening router harus dikonfigurasi sehingga trafik jaringan eksternal akan diforward ke bastion host. Tabel routing pada screening router harus diproteksi dari penyusupan dan perubahan autorisaasi. Bila entri-entri tabel routing diubah sehingga trafik tidak diforward ke bastion host namun dikirim secara langsung menuju ke jaringan yang terhubung secara lokal, maka bastion host di-by pass.

Jaringan internal mempunya alamat jaringan 199.245.180.0, dan bastion host mmpunyai alamat IP 199.245.180.10. Screening router akan memiliki entri berikut dalam tabel routingnya :

    Destination = 199.245.180.0
    Forward to =199.245.180.10

Semua trafik menuju ke jaringan 199.245.180.0 akan di-forward menuju ke bastion host yang mempunyai alamat IP 199.245.180.10.
 

Trafik jaringan eksternal yang diterima oleh screening router akan dikirim secara langsung melalui interface local pada jaringan internal, bastion host akan di-by pass. Bila sistem keamanan  pada screening router berhasil dibobol, maka zona resiko akan meluas hingga ke jaringan internal.

Bila screening router menggunakan sistem operasi berbasis Unix, maka kernel harus dikonfigurasi untuk men-disable directed broadcast sehingga paket-paket broadcast dari jaeingan internal tidak di-forward ke jaringan eksternal. Bila hal ini tidak dilakukan, maka informasi pada jaringan internal mempunyai kemungkinan untuk bocor ke jaringan eksternal. Kernel dapat dikonfigurasi untuk men-disable 

Directed broadcast dengan melakukan setting sebagai berikut  pada file konfigurasi :

    Options DIRECTED_BROADCAST=0

Kemudian, jalankan config pada file konfigurasi. Setelah itu, jalankan perintah make seperti berikut :
    #config nama_file
    #make depend
    #make
 

Servis-servis jaringan yang tidak diperlukan juga harus dihapus dan gunakan routing statis. Pastikan daemon untuk routed atau gated  tidak dijalankan, bila routed atau gated dijalankan, maka route akan dapat diketahui dari jaringan eksternal.

Pada tabel cache ARP, buat entri-entri yang permanen untuk menunjuk ke bastion host. Gunakan perintah berikut untuk membuat entri-entri permanen pada cache ARP :

    #arp –s alamat_IP alamat_hardware

Sebagai contoh, bila bastion host mempunyai alamat IP 199.245.180.10 dan alamat hardware 0000C005564A maka gunakan perintah berikut :

    #arp –s 199.245.180.10 0000C004564A

Screening router sebaiknya dikonfigurasi dengan menggunakan routing statis. Routing statis tidak mengalami expired dan tidak berubah oleh protokol routing, sehingga sifatnya lebih kokoh. Yang sebaiknya juga di-disable pada router adalah : akses melalui telnet, ARP, ICMP redirects, proxy ARP, dan ICMP unreahcable  messages.

Pada operasi ARP yang normal, entri-entri pada tabel ARP dimasukkan secara dinamis dan akan mengalami expired setelah interval waktu yang sudah ditentukan. Sebaiknya tabel cache ARP diinisialisasi secara manual pada router maupun bastion host. Dengan mematikan proses ARP pada router, maka router tidak akan memberikan akses hardware.

Pengetahuan Teknis Penyusup

Penyusup-penyusup mengalami peningkatan pemahaman mengenai topologi jaringan, sistem operasi, dan protokol, yang menyebabkan serangan terhadap infrastruktur internet, seperti yang sudah dijelaskan sebelumnya. Akhir-akhir ini penyusup lebih sering melakukan analisa terhadap source code suatu program untuk menemukan kelemahan di dalam  di dalam program tersebut (seperti misalnya yang digunakan untuk e-mail), daripada melakukan eksploitasi terhadap kelemahan-kelemahan yang sudah umum diketahui. Banyak source code program-program yang mudah didapatkan dari pemrogram-permrogramnya , yang sering disebut dengan open-source program. Program –program yang ditulis untuk keperluan penelitian (biasanya kurang memperhatikan faktor keamanan) atau program-program yang ditulis oleh pemrogram yang naif banyak beredar dan digunakan di seluruh dunia, dengan source code yang bisa didapatkan oleh siapa saja. Lebih jauh lagi, yang menjadi target dari kebanyakan penyusupan komputer adalah organisasi yang mempunyai dan mengelola salinan dari suatu source code (seringkali source code sistem operasi komputer atau perangkat lunak yang merupakan utility yang sangat penting). Sekali penyusup berhasil mendapatkan akses, mereka dapat menganalisis code ini untuk kemudian mendapatkan kelemahan.

Penyusup selalu mengikuti perkembangan teknologi. Sebagai contoh, penyusup akhir-akhir ini sering melakukan eksploitasi kelemahan yang berhubungan dengan World Wide Web untuk mendapatkan akses ke dalam suatu sistem.  Aspek lain dari kecenderungan penyusupan adalah penyusup menjadikan infrasturktur jaringan (seperti misalnya router dan firewall) sebagai target mereka, serta penyusup semakin pandai menutupi jejak aktivitas penyusupannya. Penysup menggunakan trojan horse untuk menyembunyikan aktivitas mereka dari administrator jaringan, sebagai contoh penyusup mengubah program-program untuk authentikasi dan logging sehingga mereka dapat melakukan log in sedemikian rupa sehingga administrator jaringan tidak dapat mengetahui aktivitas log in penyusup tersebut melalui system log. Penyusup juga melakukan enkripsi terhadap output aktivitas mereka, seperti misalnya informasi yang dapat disadap oleh packet sniffer. Meskipun administrator jaringan yang menjadi sasaran dapat menemukan packet snifer, namun sulit atau bahkan tidak mungkin untuk menentukan informasi apa yang berhasil disadap.

Malicious Code

Malicious code adalah suatu program yang bila dieksekusi akan menyebabkan sesuatu yang tidak diinginkan di dalam sistem. User sistem biasanya tidak memperhatikan program ini hingga ditemukannya kerusakan. Yang termasuk malicious code adalah trojan horse, virus dan worm. Trojan horse dan virus biasanya disusupkan ke dalam suatu file atau program. Worm adalah program yang dapat menduplikasikan diri dan menyebar tanpa intervensi manusia setelah program tersebut dijalankan. Virus juga mempunyai kemungkinan untuk menduplikasikan diri, namun biasanya memerlukan intervensi dari user komputer untuk menyebar ke program atau sistem yang lain. Malicious code ini dapat menyebabkan kerusakan atau kehilangan data yang serius, penolakan terhadap servis dan jenis-jenis insiden yang lain.