Meningkatkan Keamanan Server dengan SmartIPS, “Customized” Intrusion Prevention System

This entry was posted in Internet, Linux, Networking, Open Source, Security, Teknologi, Teknologi Informasi and tagged , , , , , , , . Bookmark the permalink. Follow any comments here with the RSS feed for this post. Post a comment or leave a trackback: Trackback URL.

Sebelum kita mulai, sepertinya lebih baik saya ngedongeng dulu ala 1001 malam… ;)

Alkisah terdapat sebuah pedang emas di suatu kerajaan ABC. Pedang emas ini sangat berharga bagi kerajaan ABC ini. Cerita tentang pedang emas sudah tersebar sampe ke kerajaan di negeri-negeri seberang. Karena pedang ini "berharga" bagi kerajaan ABC membuat raja-raja di negeri lain ingin sekali memilikinya. Mereka menyuruh prajurit-prajurit dan ksatria kerajaan untuk mencuri pedang emas kerajaan ABC, apapun dan bagaimanapun caranya. Karena suatu kebanggan jika bisa memiliki pedang emas yang berharga itu...

Dalam jaringan komputer, server berperan penting dalam menyediakan layanan yang bisa diakses oleh kliennya. Selayaknya, semakin penting layanan yang diakses maka semakin tinggi value server tersebut bagi pemilik jaringannya. Dalam prakteknya, maksud dari penting atau tidaknya sebuah layanan adalah dilihat dari sisi bisnisnya. Hmm.. kalo masih bingung juga, konkritnya begini deh: suatu perusahaan menyediakan layanan konten SMS yang mengirimkan pesan-pesan singkat ke nomor HP pelanggan-pelanggannya melalui sebuah server. Maka, server tersebut dapat dipastikan menjadi aset terpenting pada perusahaan itu.

Tapi menurut teori karya saya sendiri (hehe) biasanya semakin tinggi value pada sebuah aset, maka usaha penetrasi terhadap aset tersebut juga akan semakin tinggi. Coba anda pikirkan, oh betapa bangganya jika kita bisa mengontrol server yang merupakan aset terpenting perusahaan “XYZ”… dann.. yah.. pemikiran-pemikiran yang mirip semacam itu pasti ada. Akibat dari penetrasi yang semakin tinggi juga, potensi ancaman terhadap aset tersebut otomatis akan semakin tinggi pula. Akhirnya sebagai solusi adalah dengan cara mengamankan aset berharga tersebut dari segala bentuk ancaman.

Cara yang paling populer adalah dengan menginstall aplikasi deteksi intrusi (Intrusion Detection System/IDS). IDS merupakan sistem yang akan mendeteksi intrusi/gangguan yang terjadi pada host/jaringan tertentu dan melaporkan kejadian tersebut kepada Administrator -dan sebenarnya- tanpa melakukan tindakan apa-apa pada server yang diserang. Tugasnya murni hanya mendeteksi dan melapor. Yang melakukan tindak lanjut intrusi adalah Administrator… Nah, jadi IDS masih dianggap kurang efisien dalam hal pengamanan valuable server tersebut.

Teknologi semakin canggih dengan diciptakannya Intrusion Prevention System/IPS. Singkatnya, IPS mendeteksi dan melakukan tindakan pencegahan secara otomatis tanpa bantuan Administrator lagi. Tetapi terkadang Administrator juga ingin melihat aktifitas-aktifitas yang dilakukan oleh para hacker. Tetapi mau bagaimana lagi, hackernye sudah terlanjur di blokir oleh IPS di pintu gerbang depan… (hehe)

Gimana dong ya? Gimana buat sistem yang bisa mencegah serangan pada server secara otomatis, tapi juga tidak membuat sang penyerang tidak bisa masuk sama sekali ke dalam sistem (maksudnya mah: idihh.. jangan pelit-pelit amattt…). Administratornya ingin bermain dengan hacker dan mempelajari tingkah laku hacker di server nih… Jadi pengennya hacker bole-bole aja masuk ke dalam server ini. Tapi segala aktifitasnya harus di rekam, dan semua “brankas uang asli” diamankan, diganti dengan “brankas uang palsu”. Sehingga Administrator bisa mempelajari gerak-gerik mereka membobol brankas.. walaupun itu palsu hahaha *si Admin ketawa geli tuh!*

Nah, sekarang ada cerita dongeng yang cocok buat masalah ini.. tapi sekarang versi hollywood ah.. ;)

Seorang pencuri profesional akan mencuri lukisan Monalisa dari museum. Hal ini sudah terdeteksi oleh pasukan pengamanan museum. Kemudian mereka memasang replika lukisan Monalisa serta tak lupa mengamankan yang aslinya. Oh, iya.. selain itu juga CCTV di tiap-tiap sudut museum langsung dijalankan... Para pasukan pengamanan membiarkan pencuri masuk ke dalam museum tetapi tetap memperhatikan gerak-geriknya. Terlihat dalam rekaman kamera, sang pencuri berusaha mencongkel jendela barat museum, mengendap-endap di koridor, memasang radar pengintai di sudut museum, membuat galian pintu keluar dari celah bawah pagar, dsb. Hingga akhirnya dia berhasil membawa pulang lukisan Monalisa, tetapi itu lukisan palsu hehey. Dengan cara seperti ini, para pasukan pengaman bukan hanya mendapatkan hiburan tengah malem (hahah) tetapi juga pelajaran tentang cara-cara pencuri berusaha mencuri lukisan. Coba bayangkan kalo semua jendela dan pintunya di konci dan penjagaan diperketat. "Pelajaran" ini gak bakal ada 'kan?

Secara prakteknya, pasukan pengaman yang mendeteksi adalah sebuah sistem IDS. Lukisan palsu Monalisa dan CCTV pada setiap ruangan adalah sebuah sistem yang bernama Honeypot. Yap! Kita melakukan penggabungan antara sistem IDS dan Honeypot. Saya telah melakukan penelitian untuk masalah ini, dan inilah hasil yang bisa saya jelaskan secara garis besar:

  • IDS dikonfigurasi selain untuk mendeteksi intrusi pada server juga untuk mengkonfigurasi firewall untuk pencegahan dini intrusi pada server. Selain itu, firewall juga sebagai pengalih/redirect/Destination Network Address Translation (DNAT) bagi sang hacker agar menuju ke server palsu (Honeypot).
  • Sesaat setelah seorang hacker dideteksi melakukan intrusi, dia tidak akan terkoneksi ke server asli lagi, tetapi teralihkan ke server palsu untuk direkam segala aktifitasnya. Hmm.. prinsip keamanan servernya terletak disini, yaitu pemanfaatan “tumbal” server palsu untuk melindungi server asli hehe. Tetapi perlu dicatat bahwa client-client lain yang tidak terdeteksi intrusi, tetap bisa terkoneksi ke server asli!
  • Interaksi hacker dan server palsu akan dicatat.
  • Respon dari server palsu dibuat seakan-akan berasal dari server asli dengan melakukan Source NAT (SNAT) “atas nama” server asli ;)
  • Segala macam serangan yang pernah terdeteksi ditampilkan dalam suatu sistem informasi sederhana yang bisa diakses oleh Administrator. Sistem informasi ini meliputi: terjadi kejadian apa, jam berapa, tanggal berapa, oleh siapa (IP addressnya), yang berasal dari kota dan negara mana (menggunakan GeoIP), trace balik menuju komputer si penyerang, dan rekaman apa saja yang si penyerang lakukan di server palsu (hihi ketipuu..)

Silahkan download file PDF presentasi riset saya disini.

Bentuk: PDF
Terkompresi: ZIP
Nama File: RESEARCH
Ukuran: 714.2 KB




Share

One Comment

  1. martebs
    Posted May 24, 2012 at 11:35 pm | Permalink

    waah, menarik sekali bahasannya mas…..

    keren…. thx infonya :D

Post a Comment

Your email is never published nor shared. Required fields are marked *

*
*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>