I.
SISTEM TRANSFORTASI AMERIKA
Sebagian besar jalan di Amerika Serikat dimiliki
dan dikelola oleh pemerintah negara bagian dan lokal. Interstate Highway System
(Sistem Transportasi antar negara bagian) didanai oleh pemerintah federal akan
tetapi tetap dikelola oleh pemerintah negara bagian. Sedangkan Departemen
Perhubungan Amerika Serikat dan divisinya menyediakan peraturan, pengawasan,
dan pendanaan untuk semua aspek transportasi, kecuali untuk bea cukai,
imigrasi, dan keamanan, yang menjadi tanggung jawab dari Departemen Keamanan
Dalam Negeri Amerika Serikat. Setiap negara bagian memiliki Departemen
Perhubungannya masing-masing, yang membangun dan memelihara jalan raya di
negara bagian, dan tergantung pada peraturan lokalnya, dapat secara langsung
mengoperasikan atau mengawasi model transportasi lainnya.
Intelligent Transportation Society of America (ITS Amerika) didirikan pada tahun 1991 sebagai
organisasi non-profit untuk mendorong penggunaan teknologi canggih dalam sistem
transportasi. Ini adalah penyokong utama pengembangan dan penyebaran
Intelligent Transportation Systems (ITS) di Amerika Serikat. Anggota ITS
Amerika termasuk perusahaan swasta, lembaga-lembaga publik, lembaga akademik
dan pusat-pusat penelitian yang terlibat dalam penelitian, pengembangan dan
desain teknologi Intelligent Transportation Systems yang meningkatkan
keamanan, meningkatkan mobilitas dan keberlanjutan lingkungan hidup. Intelligent
Transportation Systems bervariasi dalam teknologi terapannya, dari sistem
manajemen dasar seperti navigasi mobil, sistem kontrol sinyal lalu lintas,
kamera pengenal plat nomor atau kecepatan otomatis untuk memonitor aplikasi,
seperti sistem keamanan CCTV, dan aplikasi lain yang lebih canggih yang
mengintegrasikan data live dan umpan balik dari sejumlah sumber lain,
seperti panduan dan sistem informasi parkir, informasi cuaca, dan sejenisnya.
National Transportation Communications for
Intelligent Transportation System Protocol (NTCIP) adalah sekumpulan standar yang dirancang untuk mencapai
interoperabilitas dan pertukaran antara komputer dan peralatan kontrol lalu
lintas elektronik dari produsen yang berbeda. Proyek ini menerima dana di bawah
kontrak dengan Departemen Perhubungan Amerika Serikat (USDOT- United States
Department of Transportation) dan merupakan bagian dari upaya untuk mengembangkan
satu kesatuan lengkap dari Intelligent Transportation System (ITS) standar.
Standar
Komunikasi NTCIP
a.
Komunikasi
dari Pusat ke Perangkat Lapangan (Field Device)
TCIP telah memungkinkan komunikasi dari pusat ke lapangan
dan memberi perintah / mengontrol peralatan dari produsen yang berbeda. Standar
komunikasi NTCIP untuk perangkat lapangan adalah sebagai berikut:
·
Sinyal Lalu
Lintas (NTCIP 1202)
·
Tanda-tanda
pesan/ rambu-rambu dinamis (NTCIP 1203)
·
Stasiun sensor
Lingkungan (NTCIP 1204)
·
Kamera televisi
sirkuit tertutup/CCTV (NTCIP 1205)
·
Stasiun
penghitungan Kendaraan (NTCIP 1206)
·
Meteran jalan bebas hambatan (NTCIP 1207)
·
Switch video
(NTCIP 1208)
·
Sistem sensor
Transportasi (NTCIP 1209)
·
Stasiun
lapangan pusat untuk sinyal lalu lintas (NTCIP 1210)
·
Prioritas
Transit pada sinyal lalu lintas (NTCIP 1211)
·
Lampu Jalan (NTCIP 1213)
b.
Komunikasi
Pusat ke Pusat
Komunikasi Pusat ke pusat (C2C) melibatkan komunikasi
peer-to-peer antara komputer yang terlibat dalam pertukaran informasi dalam
manajemen transportasi real-time dalam jaringan many-to-many. Jenis komunikasi
ini mirip dengan Internet, pusat manapun dapat meminta informasi dari, atau
memberikan informasi kepada, sejumlah pusat-pusat lainnya. Sebuah contoh dari
komunikasi pusat ke pusat adalah dua pusat manajemen lalu lintas yang bertukar
informasi real-time tentang persediaan dan status perangkat kontrol lalu
lintas. Hal ini memungkinkan setiap sistem pusat untuk mengetahui apa rencana
waktu, misalnya, sistem pusat lainnya yang berjalan untuk memungkinkan
koordinasi sinyal lalu lintas di batas-batas geografis pusat. Contoh lain dari
jenis komunikasi meliputi:
·
Dua atau lebih
sistem sinyal lalu lintas pertukaran informasi (termasuk perubahan statusnya
detik demi detik) untuk mencapai operasi terkoordinasi sinyal lalu lintas
dikelola oleh sistem yang berbeda dan untuk memungkinkan personil di satu pusat
untuk memantau status sinyal dioperasikan dari pusat lain;
·
Sebuah sistem
angkutan pelaporan pengecualian kepatuhan jadwal ke sistem informasi pelanggan
transit dan ke sistem informasi wisatawan regional, sementara juga meminta
sistem manajemen lalu lintas sinyal untuk menginstruksikan sinyal untuk
memberikan prioritas ke belakang jadwal transit kendaraan;
·
Sebuah sistem
manajemen darurat melaporkan insiden ke sistem manajemen jalan bebas hambatan,
dengan sistem manajemen sinyal lalu lintas, untuk dua sistem manajemen transit
dan ke sistem informasi wisatawan;
·
Sebuah sistem
manajemen bebas hambatan menginformasikan sistem manajemen darurat pesan
peringatan hanya diposting pada tanda pesan dinamis di jalan bebas hambatan
dalam menanggapi pemberitahuan atas kejadian, dan
·
Sebuah sistem
pemantauan cuaca (sensor lingkungan) menginformasikan sistem manajemen bebas
hambatan pembentukan es pada jalan sehingga sistem manajemen jalan bebas
hambatan dapat mengirim pesan peringatan pada dinamis tanda-tanda pesan yang
sesuai.
c.
Framework
NTCIP
NTCIP mengacu pada "level" di NTCIP, daripada
"layer" untuk membedakan dengan arsitektur hirarkis yang diterapkan
oleh Open System Interconnection Reference Model (OSI Model) dari ISO dan
Internet Engineering Task Force (IETF). Lima tingkat NTCIP adalah: tingkat
informasi, tingkat aplikasi, tingkat transportasi, tingkat subnetwork, dan
tingkat pabrik [3]. Gambar di bawah menunjukkan struktur dari Informasi NTCIP,
Aplikasi, Transportasi, Subnetwork, dan Tingkat Plant.
Untuk memastikan sistem kerja, deployers harus memilih dan
menentukan setidaknya satu protokol NTCIP atau profil pada setiap tingkat.
Penjelasan dari setiap level, dan standar NTCIP yang berlaku pada tingkat
tersebut yaitu sebagai berikut:
Gambar di bawah menunjukkan struktur dari Informasi NTCIP,
Aplikasi, Transportasi, Subnetwork, dan Tingkat Plant.
·
Level Informasi
NTCIP - standar Informasi mendefinisikan arti dari data dan pesan dan umumnya
berurusan dengan informasi ITS (ketimbang informasi tentang jaringan
komunikasi).
·
Level Aplikasi
NTCIP - Standar aplikasi menentukan aturan dan prosedur untuk pertukaran data
informasi. Aturan dapat mencakup definisi tata bahasa dan sintaks pernyataan
tunggal, serta urutan statemen yang diperbolehkan.
·
Level
Transport NTCIP - standar Transportasi menentukan aturan dan prosedur untuk
pertukaran data aplikasi antara titik 'A' dan titik 'X' pada jaringan, termasuk
routing yang diperlukan, pesan pembongkaran / perakitan ulang dan jaringan
fungsi manajemen.
·
Level
Subnetwork NTCIP - standar Subnetwork menentukan aturan dan prosedur untuk
pertukaran data antara dua perangkat 'berdekatan' melalui beberapa media
komunikasi.
·
Level Plant
NTCIP - plant level ditampilkan dalam Kerangka NTCIP hanya sebagai sarana untuk
memberikan titik acuan untuk mereka belajar tentang NTCIP. Tingkat Tanaman
termasuk infrastruktur komunikasi di mana standar komunikasi NTCIP yang akan
digunakan dan memiliki dampak langsung pada pemilihan Tingkat Subnetwork tepat
untuk digunakan di atas infrastruktur komunikasi yang dipilih. Standar NTCIP
tidak meresepkan satu jenis media yang di atas yang lain. Dalam kebanyakan
kasus, pilihan media komunikasi yang dibuat di awal tahap desain.
Framework NTCIP tidak menutup kemungkinan terdapat
kombinasi di luar dari yang ditunjukkan pada diagram.
II.
KASUS
Sekelompok orang yang masing-masing
memiliki keahlian, namun menggunakan keahliannya tersebut untuk aksi kejahatan
yaitu pencurian yang sangat terencana dan dilakukan dengan sangat profesional.
Ketika itu mereka telah merencanakan dan melaksanakan aksi pencurian di Italia
untuk mencuri emas Venesila senilai 3,7 juta dollar. Dalam setiap aksinya,
mereka dibantu oleh seorang hacker yang masih termasuk anggota mereka sendiri
untuk memantau koordinat target pencurian dan mengelabui sistem pertahanan
bahkan mengambil alih sistem tersebut.Setelah pencurian itu berhasil dilakukan,
ternyata salah satu anggota mereka berkhianat dan merampas emas tersebut,
ternyata hal itu telah ia rencanakan matang-matang sebelumnya.
III.
MOTIF
Motif pelaku adalah mendapatkan
kembali emas yang telah dicuri oleh salah satu rekan kelompoknya juga sekaligus
sebagai aksi balas dendam terhadap pengkhianatan mantan rekan kelompoknya
tersebut.
IV.
TEKNIK HACKING
1.
Teknik
Spoofing
IP
Spoofing
IP Spoofing juga dikenal sebagai Source Address
Spoofing, yaitu pemalsuan alamat IP attacker sehingga sasaran menganggap alamat
IP attacker adalah alamat IP dari host di dalam network bukan dari luar
network. Misalkan attacker mempunyai IP address type A 66.25.xx.xx ketika
attacker melakukan serangan jenis ini maka Network yang diserang akan
menganggap IP attacker adalah bagian dari Networknya misal 192.xx.xx.xx yaitu
IP type C.
IP Spoofing bisa terjadi ketika seorang attacker
"mengakali" packet routing untuk mengubah arah dari data atau
transmisi ke tujuan yang berbeda. Packet untuk routing biasanya di transmisikan
secara transparan dan jelas sehingga membuat attacker dengan mudah untuk
memodifikasi asal data ataupun tujuan dari data. Teknik ini bukan hanya dipakai
oleh attacker tetapi juga dipakai oleh para security profesional untuk men
tracing identitas dari para attacker
Contoh Kasus:
Host Komputer A mengirim suatu
pesan ke Host Komputer B. Disinilah aksi seorang spoofer, yaitu menyusup ke
jaringan dan membodohi Host A dengan mengalihkan pesannya kepada si Spoofer.
Dan spoofer mengirim pesan balasan supaya Host A tidak merasa curiga sehingga
data terus dikirim kepada si penyerang (Spoofer). Tetapi Host B
tidak tahu soal hal tersebut dan pastinya tidak akan menerima pesan apapun dari
Host A. Saat seorang penyerang tidak mendapatkan suatu paket balasan apapun
maka hal tersebut dinamakan serangan One-Way Attack atau Blind
Spoofing. Selain IP Spoofing
beberpa teknik spoofing sebagai berikut:
·
DNS
spoofing adalah mengambil
nama DNS dari sistem lain dengan membahayakan domain name server suatu domain
yang sah.
·
Identify
Spoofing adalah suatu
tindakan penyusupan dengan menggunakan identitas resmi secara ilegal. Dengan
menggunakan identitas tersebut, penyusup akan dapat mengakses segala sesuatu
dalam jaringan.
2.
Teknik
Sniffing
Merupakan usaha untuk membaca dan menganalisa paket yang lewat di
jaringan menggunakan program packet sniffing. Sniffer biasanya akan membaca
data/pesan di Broadcast (Ethernet adalah broadcast) ke seseorang melalui dengan
cara mendapatkan username, password log-in maupun dengan IP address. Sehingga
seorang Sniffer mampu bertindak sebagai mata-mata.
Sniffing : “Sniffer
Paket (arti tekstual: pengendus paket - dapat pula diartikan ‘penyadap paket’)
yang juga dikenal sebagai Network Analyzers atau Ethernet Sniffer ialah sebuah
aplikasi yang dapat melihat lalu lintas data pada jaringan komputer.
Dikarenakan data mengalir secara bolak-balik pada jaringan, aplikasi ini
menangkap tiap-tiap paket dan terkadang menguraikan isi dari RFC (Request for
Comments) atau spesifikasi yang lain. Berdasarkan pada struktur jaringan
(seperti hub atau switch), salah satu pihak dapat menyadap keseluruhan atau
salah satu dari pembagian lalu lintas dari salah satu mesin di jaringan.
Perangkat pengendali jaringan dapat pula diatur oleh aplikasi penyadap untuk
bekerja dalam mode campur-aduk (promiscuous mode) untuk
"mendengarkan" semuanya (umumnya pada jaringan kabel).
Definisi singkatnya, SNIFFING, adalah penyadapan
terhadap lalu lintas data pada suatu jaringan komputer. Contohnya begini, Anda
adalah pemakai komputer yang terhubung dengan suatu jaringan dikantor. Saat
Anda mengirimkan email ke teman Anda yang berada diluar kota maka email
tersebut akan dikirimkan dari komputer Anda trus melewati jaringan komputer
kantor Anda (mungkin melewati server atau gateway internet), trus keluar dari
kantor melalui jaringan internet, lalu sampe di inbox email teman Anda. Pada
saat email tersebut melalui jaringan komputer kantor Anda itulah aktifitas
SNIFFING bisa dilakukan. Oleh siapa ? Bisa oleh administrtor jaringan yang
mengendalikan server atau oleh pemakai komputer lain yang terhubung pada
jaringan komputer kantor Anda, bisa jadi teman sebelah Anda. Dengan aktifitas
SNIFFING ini email Anda bisa di tangkap / dicapture sehingga isinya bisa dibaca
oleh orang yang melakukan SNIFFING tadi. Aktifitas menyadap atau sniffing
ini terbagi 2 jenis yaitu :
1.
Passive
Sniffing
Passive Sniffing adalah suatu kegiatan penyadapan
tanpa merubah data atau paket apapun di jaringan. Passive sniffing yang umum di
lakukan yaitu pada Hub, hal ini di sebabkan karena prinsip kerja hub yang hanya
bertugas meneruskan signal ke semua komputer (broadcast), berbeda dengan switch
yang mempunyai cara untuk menghindari collision atau bentrokan yang terjadi
pada hub dengan membaca MAC address komputer. Beberapa program yang umumnya di
gunakan untuk melakukan aktifitas ini yaitu wireshark, cain-abel, dsb.
2.
Active
sniffing
Active Sniffing adalah kegiatan sniffing yang dapat
melakukan perubahan paket data dalam jaringan agar bisa melakukan sniffing,
active sniffing dengan kata lain merupakan kebalikan dari passive sniffing.
Active sniffing umumnya di lakukan pada Switch, hal ini di dasar karena
perbedaan prinsip kerja antara Hub dan Switch, seperti yang di jelaskan di
atas. Active sniffing yang paling umum di lakukan adalah ARP Poisoning, Man in
the middle attack(MITM)
3.
Teknik
Hijacking
Hijacking adalah suatu kegiatan yang berusaha untuk
memasuki [menyusup] ke dalam sistem melalui sistem operasional lainnya yang
dijalankan oleh seseorang [pelaku: Hacker]. Sistem ini dapat berupa server, jaringan/networking
[LAN/WAN], situs web, software atau bahkan kombinasi dari beberapa sistem
tersebut. Namun perbedaanya adalah Hijacker menggunakan bantuan software atau
server robot untuk melakukan aksinya, tujuanya adalah sama dengan para cracker
namun para hijacker melakukan lebih dari para cracker, selain mengambil data
dan informasi pendukung lain, tidak jarang sistem yang dituju juga diambil
alih, atau bahkan dirusak. Dan yang paling sering dilakukan dalam hijacking
adalah Session Hijacking.
Session
Hijacking
Session hijacking merupakan aksi pengambilan kendali
session milik user lain setelah sebelumnya "pembajak" berhasil
memperoleh autentifikasi ID session yang biasanya tersimpan dalam cookies.
Session hijacking menggunakan metode Capture, Brute Forced atau Reserve
Enggineered guna memperoleh ID Session, yang untuk selanjutanya pembajak
memegang kendali atas session yang dimiliki oleh user lain tersebut selama
session berlangsung.
V.
KERUGIAN
Arus transportasi menjadi tidak terstruktur dan
teratur sehingga menimbulkan kemacetan dan kecelakaan dimana-mana, banyak
korban berjatuhan akibat kecelakaan tersebut dan menimbulkan keresahan di
masyarakat.
VI.
SISTEM PERTAHANAN
Intrusion Prevention
System (IPS)
Intrusion Prevention System
(IPS) adalah sebuah aplikasi yang bekerja untuk monitoring traffic jaringan,
mendeteksi aktivitas yang mencurigakan, dan melakukan pencegahan dini terhadap
intrusi atau kejadian yang dapat membuat jaringan menjadi berjalan tidak
seperti sebagaimana mestinya. Bisa jadi karena adanya serangan dari luar, dan
sebagainya. Produk IPS sendiri dapat berupa perangkat keras (hardware) atau
perangkat lunak (software). Secara umum, ada dua jenis IPS, yaitu Host-based
Intrusion Prevention System (HIPS) dan Network-based Intrusion Prevention System
(NIPS).
1.
Host-based Intrusion Prevention System (HIPS)
Host-based Intrusion Prevention System
(HIPS) adalah sama seperti halnya Host-based Intrusion Detection System (HIDS).
Program agent HIPS diinstall secara langsung di sistem yang diproteksi untuk dimonitor
aktifitas sistem internalnya. HIPS di binding dengan kernel sistem operasi dan
services sistem operasi. Sehingga HIPS bisa memantau dan menghadang system call
yang dicurigai dalam rangka mencegah terjadinya intrusi terhadap host. HIPS
juga bisa memantau aliran data dan aktivitas pada applikasi tertentu. Sebagai
contoh HIPS untuk mencegah intrusion pada webserver misalnya. Dari sisi
security mungkin solusi HIPS bisa mencegah datangnya ancaman
terhadap host. Tetapi dari sisi performance, harus diperhatikan apakah HIPS
memberikan dampak negatif terhadap performance host. Karena menginstall dan
binding HIPS pada sistem operasi mengakibatkan penggunaan resource komputer
host menjadi semakin besar.
2.
Network-based Intrusion Prevention System (NIPS)
Network-based Intrusion Prevention
System (NIPS) tidak melakukan pantauan secara khusus di satu host saja. Tetapi
melakukan pantauan dan proteksi dalam satu jaringan secara global. NIPS
menggabungkan fitur IPS dengan firewall dan kadang disebut sebagai In-Line IDS
atau Gateway Intrusion Detection System (GIDS). Sistem kerja IPS yang populer
yaitu pendeteksian berbasis signature, pendeteksian berbasis anomali, dan
monitoring berkas-berkas pada sistem operasi host.
Sistematika IPS yang berbasis signature
Yaitu dengan cara mencocokkan lalu
lintas jaringan dengan signature database milik IPS yang berisi attacking rule
atau cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang.
Sama halnya dengan antivirus, IPS berbasis signature membutuhkan update terhadap
signature database untuk metode-metode penyerangan terbaru. IPS berbasis
signature juga melakukan pencegahan terhadap ancaman intrusi sesuai dengan
signature database yang bersangkutan.
Sistematika IPS yang berbasis anomali
Adalah dengan cara melibatkan
pola-pola lalu lintas jaringan yang pernah terjadi. Umumnya, dilakukan dengan
menggunakan teknik statistik. Statistik tersebut mencakup perbandingan antara
lalu lintas jaringan yang sedang di monitor dengan lalu lintas jaringan yang
biasa terjadi (state normal). Metode ini dapat dikatakan lebih kaya
dibandingkan signature-based IPS. Karena anomaly-based IPS dapat mendeteksi
gangguan terhadap jaringan yang terbaru yang belum terdapat di database IPS.
Tetapi kelemahannya adalah potensi timbulnya false positive, yaitu pesan/log
yang belum semestinya dilaporkan. Sehingga tugas Network Administrator menjadi
lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang
sebenarnya dari banyaknya laporan false positive yang muncul.
Teknik lain yang digunakan
Teknik lain
yang digunakan adalah
dengan cara melakukan monitoring berkas-berkas sistem operasi pada host. IPS
akan melihat apakah ada percobaan untuk mengubah beberapa berkas sistem
operasi, utamanya berkas log. Teknik ini diimplementasikan dalam IPS jenis
Host-based Intrusion Prevention System (HIPS).
Teknik yang digunakan IPS untuk
mencegah serangan ada dua, yaitu sniping dan shunning. Sniping memungkinkan
IPS untuk menterminasi serangan yang dicurigai melalui penggunaan paket TCP RST
atau pesan ICMP Unreachable.
Shunning memungkinkan IPS mengkonfigurasi secara otomatis firewall untuk drop traffic berdasar apa yang dideteksi oleh IPS. Untuk kemudian melakukan prevention terhadap koneksi tertentu.
Shunning memungkinkan IPS mengkonfigurasi secara otomatis firewall untuk drop traffic berdasar apa yang dideteksi oleh IPS. Untuk kemudian melakukan prevention terhadap koneksi tertentu.
Perbedaan mendasar antara Intrusion Detection
System (IDS) dan Intrusion Prevention System (IPS) dapat dilihat pada tabel
berikut:
Kesimpulan dari Intrusion Prevention
System (IPS), adalah pendekatan yang sering
digunakan untuk membangun system keamanan komputer, IPS mengkombinasikan teknik
firewall dan metode Intrusion Detection System (IDS) dengan sangat baik.
Teknologi ini dapat digunakan untuk mencegah serangan yang akan masuk ke
jaringan lokal dengan memeriksa dan mencatat semua paket data serta mengenali
paket dengan sensor, disaat attack telah teridentifikasi, IPS akan menolak
akses (block) dan mencatat (log) semua paket data yang
teridentifikasi tersebut. Jadi IPS bertindak sepeti layaknya Firewall yang akan
melakukan allow dan block yang dikombinasikan seperti IDS yang dapat mendeteksi
paket secara detail. IPS menggunakan signatures untuk mendeteksi
di aktivitas traffic di jaringan dan terminal, dimana pendeteksian paket yang
masuk dan keluar (inbound-outbound) dapat di cegah sedini mungkin sebelum
merusak atau mendapatkan akses ke dalam jaringan lokal. Jadi early detection
dan prevention menjadi penekanan pada IPS ini.
Kekurangan
implementasi IPS pada jaringan internetwork sangat dipengaruhi oleh
beberapa faktor lainnya. Faktor teknis menjadi kendala utama dalam implementasi
ini, karena IPS adalah salah satu bagian dalam system keamanan yang dibangun,
hendaknya memperhatikan isu-isu yang ada dalam jaringan computer.
Signature dan Sensor
Signature
adalah salah satu faktor yang mempengaruhi IPS, dalam penelitiannya yang
dikutip banyak peneliti lainnya, dikatakan signature dapat dibagi menjadi, (i) signature
types, (ii) signature trigger, and (iii) signature
actions. Signature telah menjadi perhatikan para peneliti di area IPS,
karena akan sangat mempengaruhi sensor yang akan bertugas untuk mengenali,
mengidentifikasi semua pola paket yang masuk dan keluar jaringan.
Ada tiga mekanisme trigger yang biasa digunakan, yaitu (i) pattern
prevention, (ii) anomalybased prevention, (iii) behavior-based
prevention. Model yang digunakan telah ada yang dikembangkan oleh peneliti
sebelumnya, seperti dengan menggunakan metode Wavelet,
menpersentasikan suatu teknik dengan Hidden Markov Model (HMM) untuk
model sensornya, dan menggunakan model algoritma Incremental-learning,
serta, menggunakan algorithma pattern-matching dan algoritma
Artificial Immune.
Gambar 1. Contoh
topology yang mengambarkan permasalahan isu utama dalam implementasi IPS.
gambar
tersebut dengan penomeran (1) akurasi signature, (2) volume traffic, (3)
topology penempatan sensor, (4) penggunaan quota log, (5) proteksi mesin IPS,
(6) sensor monitoring, (7) kolaborasi U.T.M
1.
Akurasi
Signature
Keakurasian signature sangat ditentukan oleh sensor dan update
informasi yang ada, dimana sensor membuat alert, disuatu kondisi mentrigger
alarm dari sensor (valid atau tidak), jika tidak valid terdeteksi bisa juga
sangat memungkinkan sebagai serangan. Ada empat alert yang dibuat oleh sensor,
seperti (i) True Negative (TN) : dimana pada kondisi traffic normal dan tidak
ada alarm yang dibangkitkan, (ii) True Positive (TP) akan mentrigger alarm jika
ditemukan kecocokan yang diidentifikasi sebagai serangan, (iii) False Negative
(FN) akan tetap diam dengan tidak memberikan alarm walaupun attack telah masuk
dan menyerang, dan (iv) False Positive (FP) membuat alert pada kondisi
aktivitas traffic normal, fokus utama banyak peneliti adalah pada bagaimana
untuk mengurangi alert FP ini. IPS seperti memiliki hidung dan mata untuk
mengidentifikasi semua data paket inbound-outbound. Penempatan yang tepat
perangkat Host-based dan Network-based akan sangat mempengaruhi keakuratan dari
sensor. ada tiga macam pola pengenalan dari signature :
1)
Pattern-based
Prevention : untuk mengenali pattern
secara spesifik, yang biasanya direpresentasikan dengan sebuah text atau binary
string. Pola ini membuat mekanisme seperti: (i) Pattern Detection regex, dan
(ii) Deobfuscation techniques,
2)
Anomaly-based
Prevention : kita harus membuat profile
untuk mendefinisikan dengan jelas bagaiaman digolongka sebagai aktivitas normal
dan sebaliknya, kelebihan model ini adalah dapat mengenali pola-pola baru
walaupun belum dideklasikan di signature database
3)
Behavior-based
Prevention, model ini hampi sama
dengan pattern prevention, namun behavior menjelaskan dengan tegas activity
user dalam kelas-kelas untuk mengenali malicious threat. Pada model ini
dibutuhkan penjabaran kebiasaan dari aktivitas user di jaringan tersebut.
2.
Volume
Traffic
Permasalah kedua di IPS adalah volume traffic. Dimana sangat
dipengaruhi dari perangkat yang digunakan. Hal ini akan meningkat dengan
tingginya traffic jaringan yang akan dipantau, yang akan mempengaruhi
performance secara keseluruhan. Dibutuhkan klarifikasi jumlah paket traffic
yang digunakan. Jumlah keseluruhan traffic didapat dari jumlah segment jaringan
dan jumlah sensor yang ditempatkan. Penggunaan Fast Eth dan Gigabit Eth akan
mempengaruhi dari faktor ini. Hubungannya adalah akan mempengaruhi kinerja
jaringan secara keseluruhan. Hal ini penting karena setiap node jaringan dapat
membuat permasalahan, termasuk kesalahan hardware, laporan kesalahan sistem
operasi, perangkat jaringan akan menghasilkan broadcast yang memerlukan
bandwidth.
3. Topology Penempatan Sensor
Dalam
sesi ini, harus diidentifikasi akses yang akan dibuat, misalnya akses juga akan
diberikan ke mitra bisnis, dan koneksi dapat di lakukan telecommutes secara
mobile. Tujuannya adalah untuk menentukan model aksesnya. Pada gambar 4 dibawah
ini, terdapat dua akses, yaitu akses outside dan inside. Akses outside langsung
terhubung ke Internet, sedangkan inside adalah sisi jaringan yang terpecaya.
Sedangkan DMZ adalah dari sisi perimeter demiliterisasi zone, untuk
mengidentifikasi dan memonitoring server farm. Terdapat dua faktor yang akan
mempengaruhi dalam isu ini, (i) penempatan sensor, dan (ii) jumlah sensor yang
akan digunakan. Kejelian dalam menentukan dua faktor ini akan meningkatkan
akurasi dalam pengenalan pola serangan yang akan dilakukan. Penempatan disisi
outside akan memonitor dan mengidentifikasi paket yang akan masuk dan keluar,
sedangkan penempatan di sisi inside misalnya di core, distribution atau access
akan mempengaruhi keakuratan yang dimonitor, karena sifar sensor ini hanya akan
mengidentifikasi paket yang lewat di interfacenya.
4. Penggunaan Quota Log
Pada
penelitian sebelumnya [15], semua system logs disimpan pada peralatan yang
aman, model dengan menggunakan redundancy ditawarkan dengan jaminan high
reliability yang tinggi. Namun tidak menjelaskan secara detail secara teknis
bagaiman konfigurasi secara teknis dan peralatan yang digunakan. Hal ini
berkaitan dengan berapa besar penggunaan media storages yang akan digunakan,
dalam pantauan yang dilakukan dalam jaringan sesungguhnya yang dilakukan, pada
percobaan yang dilakukan, didapat log sebesar 150 MBps di traffic jaringan
dengan bandwidth ke internasional 135 Mbps. Sedankan pengambilan data hanya
data transaction (IP Add dan Mac Add) bukan dataset secara utuh. Pada isu
permasalahan ini, ada banyak sekali log file yang didapat dari logging system,
seperti transaksi data log, log data attack, log data traffic, log record
insiden, log notofikasi insden, log laporan kegagalan, dan sebagainya yang
memerlukan media storage yang besar.
5. Proteksi Mesin IPS
Terdapat
beberapa statement dan kesimpulan peneliti sebelumnya, dimana [7] membuat
intrusion prevention dengan berbasis SNMP untuk mengintegrasikan dnegan system
pertahanan yang lain, sedangkan [12] mengatakan implementasi load balancing
dengan menggunakan libcap library dengan teknik clustering. Namun sangat
disayangkan, tidak ada yang membahas tentang bagaimana menjaga mesin IPS dari
serangan yang mungkin akan dilakukan penyerang. Dalam pengamatan sangat
dimungkinkan penyerang akan menyerang IPS. Dari sisi penyerang hacker akan
melakukan serangan pada mesin target dengan berbagai cara dan mekanisme, dimana
serangan akan direncanakan dengan baik. Ada beberapa tahapan secara umum
seperti : probe, scan, intrusion dan goal[16]. Menurut pengamatan yang dilakukan
terdapat banyak cara penyerang untuk mencari kelemahan, langkah scanning yang
sering dilakukan untuk mencari titik kelemahan tersebut, baik yang hanya
sekedar mengumpulkan informasi seperti IP Address, skema diagram, aplikasi yang
dijalankan, model firewall yang diintegrasikan sampai dengan mencari celah user
dan password.
6. Sensor Monitoring
Sensor
merupakan bagian kritikal di IPS, namun sangat disayangkan, capacity sensor ini
sangat dibatasi oleh jumlah dari trafik jaringan, penempatan sensor, dan
penggunaan system (apakah hardware atau berbasis module), karenanya solusi SPAN
(Switched Port Analyzer) dapat digunakan untuk mengidentifikasi dan mengenali
paket-paket tersebut Dalam penelitian sebelumnya [17], dikatakan untuk
mengintegrasikan dan mencakup infrastruktur keamanan yang tersebar agar bisa
berinteraksi secara dinamis dan otomatis dengan perangkat keamanan yang
berbeda. Berarti disini dibutuhkan suatu mekanisme system monitoring yang
terpadu, pada gambar 8, diilustrasikan bagaimana sensor dengan traffic analysis
dapat dimonitoring dengan satu tampilan yang terpusat, hal ini akan mempermudah
pekerjaan dalam mengatur infrastruktur.
7. Kolaborasi U.T.M
Pada
sesi ini, kolaborasi system keamanan akan menjadi fokus utama. Unified Threat
Management (UTM) coba ditawarkan untuk disesi ini. Ada beberapa model dalam
system keamanan ini, namun sangat disayangkan, model-model ini biasanya
mempunyai standar sendiri-sendiri yang tidak dapat diintegrasikan satu dengan
yang lain. Dalam pengamatan yang dilakukan terdapat tiga bagian utama pada
system keamanan computer, (i) web security, (ii) network protection, and (iii)
mail filtering.
