Maksudnya disini adalah untuk para IT yang ingin tahu tentang Intrusion Detection System dalam enterprise networknya, tampa harus baca buku ratusan halaman, inilah yang disebut dengan “pack” atau istilah lainya di “rar” atau di “zip” he he he, coba untuk rangkumin penelitian ilmiah yang makan ratusan halaman yang pernah kutulis di kampus dulu…

Okay lets begin,Kalau kita memperhatikan tentang referensi dari intrusion detection, kita akan banyak menemukan core methodologies yang lahir pada tahun 1980 an, khususnya sebelum public Internet. Pada masa itu, mungkin para intrudernya adalah seorang Pelajar smu atau mahasiswa untuk mengetes kemampuan mentalnya. Mereka mungkin bisa meng crack network dan mengganti beberapa files. Biasanya, dan mereka juga tidak melakukan sesuatu yang serius seperti di film film hacker.

Namun hal ini berubah sangat cepat saat jaringan internet mulai go public dan menjadi komersial yang menjadi populer di tahun 1990 an. Hari ini, threats/intrusi sudah menjadi sesuatu yang sangat serius dan dapat mempengarushi finansial dan legalitas pada banyak perusahaan di seluruh dunia, dan hasilnya, development dan implementasi di akselerasi sedemikian rupa untuk membentuk sistem intrusion detection yang lama kelamaan menjadi sesuatu yang sangat penting.

Intrusion Detection (aka ID) adalah sebuah praktek untuk menemukan threats/hal yang membahayakan pada IT assets seperti computer, databases, network dan devices.

Kenapa hal ini terjadi ?

Hacker menyebutkan bahwa di dunia ini selalu terjadi Serangan dalam setiap 39 detik, Ada beberapa alasan kenapa hal ini perlu diperhatikan oleh perusahaan untuk menjaga IT assetnya agar tetap siaga (siap antar jaga hehe).

1. Informasi Finansial

   Jika Hacker dapat memasuki system anda, Mereka dapat melihat informasi finansial melalui electronic bank account, Mencuri customer credit card number (Indonesia jagonya), atau kalau mau aman, mereka menjual data anda. Hacker semacam ini biasanya mereka bekerja di bawah sebuah organisasi criminal.

2. Spionase Industrial

   Kadang kala competitors ingn mendapatkan access ke perusahaan lain untuk mengetahui rahasia, data, atau informasi customer.

3. Aktivitas Hacker

   Ada beberapa orang yang melakukan hack dengan tujuan untuk mendapatkan perhatian dan kebanggan sendiri dan sebagianya lagi bermotifasi untu menjadi pemenang, mempengaruhi situasi politik, teknologi, religius, dan lainya.

4. Solidaritas Kebersamaan

   Beberapa hackers melakukan protest karena ditangkapnya hacker lain, karena solidaritas.

5. Resentment

   Pegawai yang dendam / kecewa yang memiliki access dan dapat melakukan hack sebagai balas dendam untuk insiden yang pernah dirasakanya dan penderitaanya selama dia di perusahaan itu. “hackers” ini kadang bisa melakukan spionase pada internal internal perusahaan.

6. Bragging rights

   Beberapa individuals melakukanya for fun. Dan inilah bentuk Orisinal seorang hacker kebanyakan yang ada disaat ini, yang dari tahun ketahun semakin berkurang dan penampakanya tidak begitu terlihat, namun hacker ini pun, mempengaruhi sistem sekuriti dan informasi yang ada dalam perusahaan, tergantung faktor psikologis yang ada pada orang bersangkutan.

7. Security testing

   Sebuah Organisasi sekuriti yang ingin memprove keamanan sistem perusahaan lain (atau mendevelop bisnis baru) dengan melakukan serangkaian serangan untuk mencari kelemahan/vulnerabilities yang ada di sistem mereka.

Proteksi yang anda butuhkan

Jelas sekali, tidak ada software di dunia ini yang perfect mau platform apa saja, tetap saja ada celah keamanan, dan untuk yang satu ini hackers yang biasanya membuat exploit dari kelemahan/vulnerabilities yang ditemukan. Untungnya, banyak serangan terhadap IT assets memiliki ratusan variasi dan ribuan jenis hacking methods, dan sebagai konsekwensinya, dan ini mengharuskan kita untuk familiar terhadap beberapa tipe serangan:

1. Buffer overflows

   Dengan membuat overloading pada memory system akan menyebabkan buffer overflow, beberapa packet data dapat membypass sistem security seperti intrusion detection dan akhirnya paket ini membuat corrupt data. Buffer overflows banyak disebabkan oleh internal pada aplikasi server yang memiliki error namun dapat juga disebabkan oleh hal external secara artificial meningkatkan system dan network traffic rates.

2. CGI attacks

   Serangan ini biasanya berada pada aplikasi programming yang menggunakan CGI scripts pada web server. Serangan ini biasanya mengexploit standard install scripts atau scripts yang ditulis oleh web programmers yang kurang berpengalaman.

3. DoS/ DDoS

   DoS (Denial of Service) dan DDoS (Distributed Denial of Service) pada dasarnya adalah sama: adalah sebuah cara untuk meng overload network traffic service (seperti web server) yang dilakukan dalam rentang waktu tertentu, atau untuk mendapatkan informasi tertentu. DDoS menggunakan serangan secara terdistribusi dengan menyerang single point. DoS attacks teknisnya disebut dengan SYN flood.

4. Ancaman Internal

   Ancaman tercakup didalamnya akses ke database atau file tampering yang bisa di lakukan oleh employees atau ex-employees yang dendam. Serangan ini juga biasanya di motivasi dengan membayar (sogok) employee untuk melakukan spionase pada perusahaan itu.

5. OS fingerprinting

   Hanya dengan mengetahui tipe dari operating system (OS) pada network perusahaan anda, hackers dengan mudah mencari vulnerabilities(kelemahan) yang ada dalam sistem itu. Hal ini biasanya dilakukan dengan TCP/IP stack fingerprinting.

6. TCP/IP spoofing

   Ini biasanya dilakukan untuk Menyamarkan IP address Jadi si penyerang se olah olah berasal dari trusted site, servers atau computers. Ini juga bisa menjadi salah satu dari bagian SYN flooding (DoS/DDoS).

7. SMB probes

   Server Message Block (SMB) probe akan memeriksa system untuk mengidentifikasi shared files yang tersedia di network. digunakan secara internal, probes dapan mentriger alerts. Misalnya pada paket data dari outside, terkadang dalam bentuk form sebuah worm, sehingga probe dapat mencari kelemahan file system. Probes juga terdapat pada aktivitas OS fingerprinting.

8. Stealth port scans

   Stealth port scans untuk memeriksa sistem dari port yang sering digunakan (echo, ftp, ssh, telnet, domain, http) yang mungkin vulnerable. ini termasuk dalam security technique (misalnya dengan menggunakan tools Nmap) yang juga termasuk dalam hacking technique.

Kapan Intrusion Detection dibutuhkan?

Sekarang boleh dikatakan anda sudah aware dengan berbagai macam serangan yang bisa terjadi di perusahaan anda, mengenai motivasi dan hal yang bisa mereka lakukan, dan beberapa metode umum yang sering di lakukan untuk menyerang IT asset anda, hal ini sangat penting untuk dipelajari, karena masing masing IDs ini perlu di sesuaikan dengan kondisi network infrastruktur yang ada di perusahaan dan model bisnis dengan asset IT nya. Cara cepat untuk menentukan apakah anda membutuhkan – Intrusion Detection System – Adalah dengan mengisi sekuriti ceklist di bawah ini:

1. Apakah anda memiliki data, yang dapat berbahaya jika berada di tangan orang lain, yang dapat mengakibatkan mimpi buruk bagi citra perusahaan anda,atau data finansial mengenai keuntungan dan kerugian customer dan clients misalnya di ?
   1. Customer banking, credit card atau private information lainya, yang sebagianya di lindungi oleh Gramm-Leach-Bliley Act.
   2. Customer catatan kesehatan, yang mestinya dilindungi oleh HIPAA (Health Insurance Portability and Accountability Act).
   3. Recordings employee calls, dimana standarnya disimpan dan dilindungi oleh Sarbanes-Oxley Act.
2. Apakah anda memiliki data, jika data itu dicuri, dapat melumpuhkan operasi anda dan kredibilitas perusahaan anda?

Ini adalah checklist yang paling simpel, seperti yang kita ketahui masih banyak aktivitas yang mencurigakan lainya yang dapat mengakibatkan diserangnya sistem kita yang akhirnya membuat kita membutuhkan ID system untuk prevention. Sepertinya dari ceklist sederhana itu, ngga mungkin banget kalau perusahaan anda tidak membutuhkan sebuah Intrusion Detection system.

Gimana Intrusion Detection Bekerja?

Bicara secara umum, intrusion detection (ID) Berjalan dengan Mengambil system information dan menganalisanya untuk memeriksa sesuatu yang tidak biasa/lazim terhadap suatu event yang terjadi di sistem server/jaringan. Data historis ini nantinya akan digunakan untuk prevention, preemption, deterrence atau deflection pada network traffic dan computer access.

Untuk mengetahui basic understanding dari beberapa step intrusion detection akan memberikan kesempatan untuk sekuriti yang lebih menjanjikan, Berikut ini sample dari ID (Beberapa nya bersifat spesifik):

1. Activity monitoring

   dengan ini kita akan memonitor setiap user access dan system events yang terjadi. Pada bagian ini digunakan untuk track user dan membuat policy violations pada saat kita mendetect patterns aktivitas abnormal dan ini juga berlaku pada serangan yang sifatnya detectible. Variasi dari teknik analysis di rancang untuk intrusion detection agar dapat di aplikasikan untuk menangkap informasi jika intrusi telah terjadi.

2. Configuration check

   Apakah sistem dan network anda terconfigure dengan betul? Apakah ada vulnerabilities yang dapat di deteksi dalam files system configuration? apakah terdapat hosts yang di list di dalam network host yang seharusnya tidak ada? Masing masing mesin dalam network harus diperiksa secara periodik. Port scans adalah 1 tugas, lainya adalah memastikan konfigurasi tidak terbuka dan ter ekspos.

3. General machine check

   Setiap mesin dalam network harus di periksa secara periodik untuk melihat variasi dan mengetahui problem yang potensial akan muncul, Jika salah satu mesin telah terkena serangan dalam suatu network maka semua mesin harus di periksa.

4. File authorizations check

   File harus diperiksa untuk memastikan bahwa user dan group authorization settings sudah di set dengan benar. Salah satu cara untuk memeriksanya adalah dengan membuat map dari file access settings yang dicurigai dapat di akses dari luar system yang telah di protect dan membandingkanya secara periodik dengan setting yang ada sekarang.

5. Hidden files check

   Apakah terdapat unexpected/ hidden file di mana mana? karena ini bisa jadi viruses, keyloggers, password crackers, spyware, dan lainya. tergantung dari jenis OS yang digunakan, Hidden file sebaiknya memiliki karakteristik penamaan tertentu.

6. Log file examination

   Server, process, router dan segala security logs dapat memperlihatkan informasi dan memungkinkan seseorang untuk melakukan data mining pada events yang terekam. Log files dapat memperlihatkan clustering access dari lokasi yang specific pada pola frequency tertentu. Perlu di ingat, jenis ID tidak lah real-time.

7. Packet sniffer check

   Apakah sistem anda menjalankan software network monitoring programs, seperti packet sniffers? Ini mungkin mampu merecord user account data.

8. Password files check

   unauthorized/ backdoor accounts dapat ditemukan pada system’s password file. (Hanya dengan menghapus user account saja belum tentu cukup, seperti yang kita ketahui banyak jenis file yang tidak kita ketahui berubah maka. Rubah semua password account untuk semua system.)

9. Scheduled processes

   Periksa untuk semua unauthorized processes yang berjalan seperti yang terlihat pada authorized processes yang sedang menjalan unusual files. Sebagai contoh, jika sebuah keylogger telah terinstall dalam sistem dan dia merecord passwords dan user names, biasanya ini akan di upload ke tempat tertentu dalam waktu yang spesifik.

10. Services check

    Apakah ada unauthorized services yang running? kebanyakan OS’s memiliki service configuration files yang dapat di periksa dengan mudah dan cepat untuk mengtrace adanya intrusion.

11. System binaries check

    Adakah system binaries been ter overwrite? File tersebut seharusnya di periksa perubahanya pada time/date stamp dan checksums. dan System files seharusnya memiliki tingkat cryptographic checksum tools yang tinggi.

12. System and file integrity assessment

    Segala sesuatu yang belum terlist di bagian atas merupakan test yang belum dapat anda pastikan namun tetap harus anda perhatikan untuk menjaga sistem integrity dan file yang penting tetap di monitor sebagai “catch-all” untuk intrusion detection.

Dimana dari semua ID ini dapat kita jalankan secara manual seluruhnya (buset…gak capek tuh), tentu saja ini akan mempermudah dengan meng automatisasi semua proses ini dalam 1 sistem kan??. Automated IDS’s Lebih tangguh, karena mereka mampu melakukan dan memeriksa file integrity dan membuat statistical analysis. Analysis ini adalah bagian yang terpenting dalam intrusion detection, Kita bisa melihat pattern dari data statistik dari serangan yang belum / sudah terjadi dan membuat policy di sistem kita. Contoh dari intrusion detection analysis meliputi:

1. Pattern-matching/ perbandingan signature pada semua kontent untuk mendetect malware signatures.
2. Behavioral analysis dari traffic rates untuk memprediksi posibilitas terjadinya DoS/ DDoS attacks atau ancaman lainya.
3. IP clustering analysis untuk memeriksa serangan dari wilayah geografis geographic significance of attacks.
4. Protocol analysis untuk memeriksa network traffic secara general.

dengan payung automated IDS, terdapat 2 jenis umum mayoritas, Host-based, dan Network-based. Host-based IDS’s memonitor system calls, logs and network traffic, dan hanya memprotect single machine. Network-based IDS’s memonitor network packets dan rates dan melakukan statistical analyses dari traffic patterns.

Intrusion Detection Tools

Silakan check IT Security’s white paper Untuk membandingkan IDS’s ini.

1. AIDE
2. AirDefense – Guard Enterprise (wireless solution)
3. Arbor Networks – Peakflow X
4. Bro
5. CERIAS
6. CounterStorm – Counterstorm-1
7. Enterasys – Dragon 7
8. GFI Network Security – GFI LANguard S.E.L.M
9. ISS (Internet Security Systems) – Real Secure Network
10. Juniper Networks
11. Lancope – Stealthwatch
12. Netpoke
13. nmap
14. Prelude-IDS
15. SinFP
16. Snort
17. SonicWALL – Gateway Intrusion Prevention
18. StillSecure – Strata Guard