Computer Network Attack - Serangan Jaringan Komputer
Sekilas Info: ada kalanya jaringan komputer yang berada di beberapa tempat mengalami serangan yang bersifat tidak diharapkan. Beberapa metode serangan yang sering dikenali adalah: flood (pembanjiran), Denial-of-Service atau sering dikenal dengan DoS (penyangkalan pelayanan), Distributed Denial of Service atau dikenal dengan DDoS (penyangkalan pelayanan yang tersebar) dan lain sebagainya.
Artikel kecil berikut ini diharapkan dapat membantu para pembaca untuk mengerti logika dari serangan, kemungkinan bentuk serangan, apa yang diharapkan dari serangan tersebut dan beberapa pendekatan untuk pencegahan/ penghentian serangan.
Silahkan langsung ke bagian tanggapan/ masukan di akhir dari artikel ini untuk melihat tambahan informasi dari pembaca
Beberapa dasar hubungan komputer di dalam jaringan komputer adalah sebagai berikut:
Diantara semua jenis hubungan jaringan komputer tersebut, komponen dasar selalu berisi: gateway, penghubung dan komputer. Komputer pun bisa difungsikan sebagai gateway, terutama di rumah tanpa kita sadari. Selama satu komputer bisa terhubung ke satu atau lebih jaringan komputer, kecenderungan untuk mendapatkan serangan jaringan komputer selalu ada dan senantiasa menanti mangsa tanpa disadari oleh pengguna komputer.
Diagram berikut ini menggambarkan hubungan sederhana yang biasa digunakan di rumah maupun jaringan komputer kecil.
Baik disadari maupun tidak, modem tersebut adalah gateway dari komputer dalam menghubungi jaringan komputer, dalam hal ini Internet.
Sesudah ada evolusi produk jaringan komputer yang harganya terjangkau, mulailah tradisi pengembangan jaringan komputer di rumah juga ikut berevolusi. Diagram berikut ini mengilustrasikan salah satu bentuk jaringan komputer sederhana di rumah dengan menggunakan hubungan ADSL.
Pengembangan jaringan komputer juga merambah ke perusahaan yang memerlukan kemampuan jaringan komputer yang lebih rumit. Diagram tidak akan ditampilkan di sini. Sebagai ilustrasi, gambar diatas ini tinggal dikembangkan dengan gabungan beberapa hub/ switch dan jumlah komputer cukup banyak.
Seiring dengan evolusi jaringan komputer, evolusi virus komputer juga tidak kalah hebat. Salah satu aktivitas virus yang cukup diminati oleh para pembuat virus komputer adalah untuk membuat kemacetan jalur data secara signifikan. Beberapa metode yang paling dasar digunakan adalah dengan membanjiri jalur data (bandwidth) dengan data yang tidak diperlkukan oleh para pengguna komputer maupun server.
Bentuk serangan ini umumnya diatasi dengan pemasangan firewall (dinding api) yang bersifat mencegah/ mengurangi kemungkinan aktifitas jaringan komputer yang tidak perlu. Diagram firewall sederahana yang biasa digunakan adalah sebagai berikut:
Kebanyakan firewall yang biasa digunakan untuk jaringan komputer yang cukup sederhana adalah dengan menggunakan 2-interface firewall. Ini juga bisa menggunakan komputer yang memiliki 2 interface. Satu interface terhubung ke jaringan komputer ke luar (Wide Area Network - WAN) dan satu interface lainnya terhubung dengan jaringan komputer ke dalam (Local Area Network - LAN).
Firewall bekerja berdasarkan peraturan (rules) yang diterjemahkan secara berurut dan logis. Pada umumnya firewall menggunakan metode implicit deny diakhir dari semua peraturan tersebut jika tidak ditemukan logika yang dapat membuat data disampaikan keluar dari salah satu interface.
Kemampuan firewall untuk mengurangi traffic data yang tidak diinginkan sudah bisa megnatasi nyaris semua jenis serangan ke sebuah jaringan komputer. Tapi, salah satu tantangan dari serangan jaringan komputer yang muncul tidak berhenti sampai di situ. Secanggih apapun sebuah firewall menyaring data yang masuk ke sebuah jaringan komputer, serangan yang bersifat intrusif masih tidak dapat dikurangi secara drastis.
Apakah serangan yang bersifat intrusif tersebut? Serangan yang bersifat intrusif adalah jenis kiriman paket data di jaringan komputer yang memiliki ciri-ciri tertentu yang mengakibat efek samping kurang baik bagi sebuah jaringan komputer. Penyangkalan pelayanan (Denial of Service), Penyangkalan pelayanan tersebar (Distributed Denial of Service), kebanjiran data (data flooding) adalah salah satu indikasi terjadinya serangan intrusif.
Beberapa vendor produk jaringan komputer juga tidak kalah dalam mengatasi masalah seranganintrusif ini. Salah satu solusi yang bisa digunakan adalah dengan menggunakan Intrusion Detection System atau sering dikenal dengan IDS. Karena IDS bekerja di layer jaringan komputer yang cukup luas (3-7), beberapa aplikasi komputer juga ikut meluncurkan solusi IDS. Untuk hardware IDS, lebih dikenal dengan IDS appliance.
Jenis-jenis IDS appliance cukup variatif, tapi biasanya hanya terbagi dua jenis: produk terpisah (independent IDS box) dan tambahan untuk produk network yang bersifat modular yang bisa disisipkan di perangkat jaringan komputer secara hardware.
Yang menjadi tumpuan utama dalam pemasangan IDS adalah bagaimana IDS tersebut dapat mendeteksi seluas mungkin ciri-ciri serangan (attack signature). Untuk beberapa alternatif pemasangan IDS dengan kelebihan dan kekurangannya dapat dilihat berdasarkan tabel berikut ini:
| IDS Appliance Box | IDS Appliance Module | IDS Software | |
| Kelebihan | |||
| Pengaruh terhadap performa jaringan komputer | Tidak mengurangi secara drastis | Tidak mengurangi secara keseluruhan | Tidak mengurangi sama sekali, tapi berpengaruh terhadap performa komputer yang menggunakan software IDS tersebut |
| Kecepatan deteksi | Paling Tinggi | Cukup Tinggi (dan bergantung kepada kemampuan dari induk switch) | Menengah |
| Kekurangan | |||
| Area penyimpanan (storage) data untuk | independen, tidak memerlukan area penyimpanan khusus maupun terpisah. Kebanyakan memiliki | independen, tidak memerlukan area penyimpanan khusus maupun terpisah | bergantung dengan kapasitas hard disk yang juga membagi dengan sistem operasi |
| Fungsi keseluruhan | Produk ini sebagian besar hanya sebagai sensor, pengumpulan data untuk analisa lebih lanjut bergantung kepada produk tambahan | Produk ini sebagian besar merangkap antara sensor dan beberapa fungsi untuk menyediakan informasi summary | Lebih kearah informasi untuk analisa, tapi untuk membuat kemudahan, fungsi sebagai sensor juga diaktifkan untuk mengumpulkan data |
Perbandingan diatas hanya sebagian kecil untuk ilustrasi pembaca dalam mengerti jenis-jenis IDS yang ada di pasaran.
Kalau memang IDS sudah dimiliki, biasanya muncul pertanyaan berikutnya: bagaimana seharusnya IDS itu digunakan?
Sebagian besar Network Administrator cukup sering salah mengerti bahwa kalau sudah ada IDS, harus digunakan setiap saat. Pernyataan tersebut bisa tepat, juga bisa kurang tepat. Kalau yang dibeli hanya IDS sensor, silahkan digunakan setiap saat. Tapi pastikan bahwa IDS sensor tersebut dapat memberikan informasi yang cukup akurat dalam analisa data. Kalau produk IDS tersebut dapat memberikan informasi yang bisa dibaca kemudian tanpa memenuhi area penyimpanan maupun performa jaringan komputer, maka tidak ada salahnya produk IDS tersebut diaktifkan setiap saat.
Data IDS dapat dianalisa untuk dua tujuan: pencegahan dan pelacakan.
Data yang digunakan untuk pencegahan biasanya dikumpulkan dengan mengaktifkan IDS sensor dan menganalisa secara langsung (real-time) maupun dianalisa kemudian. Sifat pengaktifan IDS untuk pencegahan biasanya mengikuti pola frekuensi tertentu. Contoh: dalam satu minggu kerja, setiap hari rabu dan kamis pasti terjadi degradasi performa jaringan komputer, IDS bisa saja diaktifkan dengan rentang waktu tersebut dan data dianalisa untuk diketahui apakah dalam masa rentang waktu tersebut ada aktifitas intrusif. Sesudah data dianalisa, pencegahan dapat dilakukan. Biasanya pencegahan ini bersifat agak terlambat, karena antisipasi serangan baru dikerjakan kemudian. Kalau ada regu respon yang selalu memonitor aktifitas jaringan komputer, biasanya pencegahan dapat dibuat lebih awal. Biasanya para Internet Service Provider memiliki fasilitas ini di Pusat Operasi Jaringan Komputer (NOC - Network Operation Center).
Data yang digunakan untuk pelacakan biasanya tidak mudah untuk diterapkan, karena data dari IDS sensor tersebut dilaporkan ke satu sistem yang menyimpan data log untuk dianalisa lebih lanjut. Yang menjadi tantangan terbesar dengan aktivasi metode ini adalah area penyimpanan data yang harus dibuat cukup memadai sebelum data dianalisa dan dirangkum. Solusi dari Open Source, Snort, dengan tambahan fungsinya dalam melakukan data summarisation sudah cukup untuk memastikan bahwa log sistem operasi tidak akan penuh dan mengakibatkan hang.
Untuk penempatan IDS itu sendiri, bisa diletakkan di beberapa area bergantung pada jenis analisa IDS yang akan digunakan.
Di era hub, IDS sangat mudah digunakan karena setiap transmisi jaringan komputer akan diterima oleh semua titik yang terhubung ke jaringan computer tersebut, terutama LAN. Dengan perkembangan teknologi jaringan komputer, penggunaan multi-layer switch lebih condong terjadi di jaringan komputer yang memiliki minimum 5-10 titik. Karena spesifikasi teknis dari OSI layer yang sudah baku, transmisi yang terjadi di layer 2 tidak secara langsung diterima oleh semua titik yang terhubung di satu switch. Dengan bertambahnya jumlah switch di satu LAN, lokasi pemasangan IDS bertambah rumit mengingat kebutuhan data yang akan di rekam dan dianalisa di dalam IDS itu sendiri.
Metode yang paling mudah digunakan adalah memasang IDS di kedua sisi dari LAN gateway. Sisi gateway yang terhubung ke WAN akan dianalisa oleh External IDS dan sisi gateway yang terhubung ke LAN akan dianalisa oleh Internal IDS. Metode ini lebih dipilih untuk penggunaan IDS Box seperti Cisco IDS Sensor, Enterasys Dragon Intrusion Defence dan lain sebagainya.
Sebagai kemudahan panduan, analogi sensor alarm di rumah dapat dijadikan acuan. Kebanyakan alarm rumah memasang sensor di pintu dan jendela, karena nyaris setiap kasus usaha pembobolan menggunakan dua akses tersebut. Yang menjadi tantangan adalah: pintu dan jendela mana yang harus dipasang sensor alarm tersebut? Semua pintu dan jendela yang mudah diakses dari luar lebih memiliki kecenderungan dipasang sensor alarm. Beberapa tambahan sensor alarm rumah yang canggih bahkan menggunakan sensor pergerakan, suhu maupun tekanan lantai ruangan. Memang seperti film holywood, tapi sensor tersebut benar-benar ada dan digunakan di perusahaan besar. (saya belum pernah menemukan rumah yang cukup paranoid menggunakan sensor yang canggih tersebut)
Analogi tersebut tinggal diterapkan di jaringan komputer. Gateway mirip seperti pintu maupun jendela rumah, semakin mudah akses dari luar, semakin tinggi resiko terjadi usaha pembobolan (intrusion). Keunggulan IDS sensor terletak pada kemungkinan produk tersebut dipasang sebagai modul dari sebuah switch. Cisco Catalyst seri 6500 cukup populer dengan perkembangan modular switch dari Cisco Systems.
Faktor lainnya yang perlu diingat adalah: untuk dapat memonitor dan mengolah data dari IDS sensor, harus ada satu perangkat yang bisa terhubung ke IDS sensor tersebut tanpa mengganggu aktivitas monitoring network. Jadi kalau penggunaan IDS seperti snort, sangat disarankan bahwa komputer yang digunakan memiliki dua NIC. NIC pertama dihubungkan sebagai IDS sensor sednagkan NIC lainnya digunakan sebagai monitoring port. Kalau menggunakan produk Cisco IDS Sensor Appliance seperti Cisco IDS seri 4200, pastikan bahwa interface yang terhubung ke switch yang akan dimonitor tidak digunakan sebagai monitor interface. Juga pastikan bahwa di switch yang terhubung ke IDS sensor appliance tersebut mendukung fungsi SPAN (Switch Port Analyser).
Untuk penggunaan IDS module seperti Cisco IDSM-2 untuk Cisco Catalyst seri 6500, pastikan bahwa funsgi SPAN dihubungkan ke modul dan slot IDSM-2.
Beberap diagram berikut ini dapat dijadikan acuan pemasangan IDS di beberapa titik kritis yang memerlukan pemantauan (sumber: http://www.cisco.com/en/US/products/sw/secursw/ps2113/products_installation_and_configuration_guide_book09186a0080362643.html - Cisco Intrusion Detection System Appliance and Module Installation and Configuration Guide Version 4.1)
Tanggapan dari pembaca - silahkan e-mail ke [email protected] untuk komentar maupun tambahan masukan dari rekan-rekan IndoCisco. Terima kasih atas masukan dan tanggapan yang diberikan oleh pembaca.
|
Join Traffic Pods for Surfing Fun! 
|
Sign Guestbook View Guestbook 4-jan-2005