I.P.S Oleh Furqon Al Basyar ( 0613 3070 1271 ) INTRUSION PREVENTION SYSTEM Oleh Furqon Al Basyar ( 0613 3070 1271 ) Heni Puspita Sari ( 0613 3070 1273 ) Jamian Abdillah ( 0613 3070 1274 ) Lilian Sari ( 0613 3070 1275 )

Intrusion Prevention System (IPS) adalah sebuah aplikasi yang bekerja untuk monitoring traffic jaringan, mendeteksi aktivitas yang mencurigakan, dan melakukan pencegahan dini terhadap intrusi atau kejadian yang dapat membuat jaringan menjadi berjalan tidak seperti sebagaimana mestinya. Bisa jadi karena adanya serangan dari luar, dan sebagainya. Jadi Intrusion Prevention System (IPS) adalah host yang berbasis aplikasi yang melindungi sistem dari serangan luar dengan menganalisa pesan yang melewatinya.

IPS merupakan kombinasi antara fasilitas blocking capabilities dari Firewall dan kedalaman inspeksi paket data dari Intrusion Detection System (IDS). IPS diciptakan pada awal tahun 1990-an untuk memecahkan masalah serangan yang selalu melanda jaringan komputer. IPS membuat akses kontrol dengan cara melihat konten aplikasi, dari pada melihat IP address atau ports, yang biasanya dilakukan oleh firewall. IPS komersil pertama dinamakan BlackIce diproduksi oleh perusahaan NetworkIce, hingga kemudian berubah namanya menjadi ISS (Internet Security System). Sistem setup IPS sama dengan sistem setup IDS. IPS mampu mencegah serangan yang datang dengan bantuan administrator secara minimal atau bahkan tidak sama sekali. Secara logic IPS akan menghalangi suatu serangan sebelum terjadi eksekusi dalam memori, selain itu IPS membandingkan file checksum yang tidak semestinya mendapatkan izin untuk dieksekusi dan juga bisa menginterupsi sistem call.

KOMPONEN UTAMA IPS 1. Normalisasi traffic Normalisasi Traffic akan menginterpretasikan lalu lintas jaringan dan melakukan analisis terhadap paket yang disusun kembali, seperti halnya fungsi blok sederhana. Lalu-lintas paket bisa dideteksi dengan detection engine dan Service scanner. 2. Services scanner Service scanner membangun suatu tabel acuan untuk mengelompokkan informasi dan membantu pembentukan lalu-lintas serta mengatur lalu-lintas informasi. 3. Detection engine Detection engine melakukan pattern matching terhadap tabel acuan dan respons yang sesuai. 4. Traffic shaper Mengontrol traffic jaringan sehingga bandwidth lebih optimal dan performa network lebih terjamin.

Intrusion Prevention System (IPS) bekerja dengan beberapa cara : Analisis pesan yang masuk. Mencocokan pesan masuk dengan signature. Mencocokan data yang melanggar aturan domestik / internasional. Menscan perangkat jaringan. Penolakan layanan serangan Pengintaian aktivitas komputer dan jaringan.

Secara umum, ada dua jenis IPS, yaitu : Host-based Intrusion Prevention System (HIPS) Network-based Intrusion Prevention System (NIPS).

Host-based Intrusion Prevention System (HIPS) HIPS merupakan sebuah system pecegahan yang terdiri dari banyak layer, menggunakan packet filtering, inspeksi status dan metode pencegahan intrusi yang bersifat real-time untuk menjaga host berada di bawah keadaan dari efisiensi performansi yang layak. Mekanisme kerjanya yaitu dengan mencegah kode-kode berbahaya yang memasuki host agar tidak dieksekusi tanpa perlu untuk mengecek threat signature.

Network-based Intrusion Prevention System (NIPS) NIPS atau In-line proactive protection dapat menahan semua trafik jaringan dan menginspeksi kelakuan dan kode yang mencurigakan. Karena menggunakan in-line model, performansi tinggi merupakan sebuah elemen krusial dari perangkat IPS untuk mencegah terjadinya bottleneck pada jaringan. Oleh karena itu, NIPS biasanya didesain menggunakan tiga komponen untuk mengakselerasi performansi bandwidth. NIPS tidak melakukan pantauan secara khusus di satu host saja. Tetapi melakukan pantauan dan proteksi dalam satu jaringan secara global. NIPS menggabungkan fitur IPS dengan firewall dan kadang disebut sebagai In-Line IDS atau Gateway Intrusion Detection System (GIDS).

Sistem . Kerja Sistem kerja IPS yaitu : Pendeteksian berbasis signature, Pendeteksian berbasis anomali, dan Monitoring berkas-berkas pada sistem operasi host.

Sistem . Kerja Sistematika IPS yang berbasis signature adalah dengan cara mencocokkan lalu lintas jaringan dengan signature database milik IPS yang berisi attacking rule atau cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama halnya dengan antivirus, IPS berbasis signature membutuhkan update terhadap signature database untuk metode-metode penyerangan terbaru. IPS berbasis signature juga melakukan pencegahan terhadap ancaman intrusi sesuai dengan signature database yang bersangkutan.

Sistem . Kerja Sistematika IPS yang berbasis anomali adalah dengan cara melibatkan pola-pola lalu lintas jaringan yang pernah terjadi. Umumnya, dilakukan dengan menggunakan teknik statistik. Statistik tersebut mencakup perbandingan antara lalu lintas jaringan yang sedang di monitor dengan lalu lintas jaringan yang biasa terjadi (state normal). Metode ini dapat dikatakan lebih kaya dibandingkan signature-based IPS. Karena anomaly-based IPS dapat mendeteksi gangguan terhadap jaringan yang terbaru yang belum terdapat di database IPS. Tetapi kelemahannya adalah potensi timbulnya false positive, yaitu pesan/log yang belum semestinya dilaporkan. Sehingga tugas Network Administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.

Sistem . Kerja Teknik lain yang digunakan adalah dengan cara melakukan monitoring berkas-berkas sistem operasi pada host. IPS akan melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini diimplementasikan dalam IPS jenis Host-based Intrusion Prevention System (HIPS). Teknik yang digunakan IPS untuk mencegah serangan ada dua, yaitu Sniping dan Shunning Sniping: Memungkinkan IPS untuk menterminasi serangan yang dicurigai melalui penggunaan paket TCP RST atau pesan ICMP Unreachable. Shunning: Memungkinkan IPS mengkonfigurasi secara otomatis firewall untuk drop traffic berdasar apa yang dideteksi oleh IPS. Untuk kemudian melakukan prevention terhadap koneksi tertentu.