APAKAH INTRUSION PREVENTION SYSTEM (IPS) ???

Intrusion Prevention System (IPS) adalah sebuah aplikasi yang bekerja untuk monitoring traffic jaringan, mendeteksi aktivitas yang mencurigakan, dan melakukan pencegahan dini terhadap intrusi atau kejadian yang dapat membuat jaringan menjadi berjalan tidak seperti sebagaimana mestinya. Bisa jadi karena adanya serangan dari luar, dan sebagainya.
Produk IPS sendiri dapat berupa perangkat keras (hardware) atau perangkat lunak (software).Secara umum, ada dua jenis IPS, yaitu Host-based Intrusion Prevention System (HIPS) dan Network-based Intrusion Prevention System (NIPS).
Host-based Intrusion Prevention System (HIPS)
Host-based Intrusion Prevention System (HIPS) adalah sama seperti halnya Host-based Intrusion Detection System (HIDS). Program agent HIPS diinstall secara langsung di sistem yang diproteksi untuk dimonitor aktifitas sistem internalnya. HIPS di binding dengan kernel sistem operasi dan services sistem operasi. Sehingga HIPS bisa memantau dan menghadang system call yang dicurigai dalam rangka mencegah terjadinya intrusi terhadap host. HIPS juga bisa memantau aliran data dan aktivitas pada applikasi tertentu. Sebagai contoh HIPS untuk mencegah intrusion pada webserver misalnya. Dari sisi security mungkin solusi HIPS bisa mencegah datangnya  ancaman  terhadap host. Tetapi dari sisi performance, harus diperhatikan apakah HIPS memberikan dampak negatif terhadap performance host. Karena menginstall dan binding HIPS pada sistem operasi mengakibatkan penggunaan resource komputer host menjadi semakin besar.
Network-based Intrusion Prevention System (NIPS)
Network-based Intrusion Prevention System (NIPS) tidak melakukan pantauan secara khusus di satu host saja. Tetapi melakukan pantauan dan proteksi dalam satu jaringan secara global. NIPS menggabungkan fitur IPS dengan firewall dan kadang disebut sebagai In-Line IDS atau Gateway Intrusion Detection System (GIDS).
Sistem kerja IPS yang populer yaitu pendeteksian berbasis signature, pendeteksian berbasis anomali, dan monitoring berkas-berkas pada sistem operasi host.
Sistematika IPS yang berbasis signature adalah dengan cara mencocokkan lalu lintas jaringan dengan signature database milik IPS yang berisi attacking rule atau cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama halnya dengan antivirus, IPS berbasis signature membutuhkan update terhadap signature database untuk metode-metode penyerangan terbaru. IPS berbasis signature juga melakukan pencegahan terhadap ancaman intrusi sesuai dengan signature database yang bersangkutan.
Sistematika IPS yang berbasis anomali adalah dengan cara melibatkan pola-pola lalu lintas jaringan yang pernah terjadi. Umumnya, dilakukan dengan menggunakan teknik statistik. Statistik tersebut mencakup perbandingan antara lalu lintas jaringan yang sedang di monitor dengan lalu lintas jaringan yang biasa terjadi (state normal). Metode ini dapat dikatakan lebih kaya dibandingkan signature-based IPS. Karena anomaly-based IPS dapat mendeteksi gangguan terhadap jaringan yang terbaru yang belum terdapat di database IPS. Tetapi kelemahannya adalah potensi timbulnya false positive, yaitu pesan/log yang belum semestinya dilaporkan. Sehingga tugas Network Administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.
Teknik lain yang digunakan adalah dengan cara melakukan monitoring berkas-berkas sistem operasi pada host. IPS akan melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini diimplementasikan dalam IPS jenis Host-based Intrusion Prevention System (HIPS).
Teknik yang digunakan IPS untuk mencegah serangan ada dua, yaitu sniping dan shunning.
Sniping: memungkinkan IPS untuk menterminasi serangan yang dicurigai melalui penggunaan paket TCP RST atau pesan ICMP Unreachable.
Shunning: memungkinkan IPS mengkonfigurasi secara otomatis firewall untuk drop traffic berdasar apa yang dideteksi oleh IPS. Untuk kemudian melakukan prevention terhadap koneksi tertentu.
Perbedaan mendasar antara Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS) dapat dilihat pada tabel berikut:
Sampai saat ini IPS telah menjadi “the new brand” bagi para vendor, mereka berlomba-lomba untuk membuat solusi IPS, namun sangat disayangkan kebanyakan produk tersebut bersifat “proprietary” dan sangat susah untuk di kombinasikan dengan perangkat yang existing dipakai. Banyak peneliti yang terfokus pada signatures, baik disisi algorithma yang digunakan, permodelan dan pemecahan lainnya.Sebut saja vendor terkenal (cisco.com, bluecoat.com, juniper.net, astaro.com) yang memberikan banyak sekali solusi untuk IPS ini dengan “brand” yang berbeda-beda. Sebagai acuan dalam membeli produk IPS, kita dapat berpedoman pada Gatner Magic Quadrant untuk IPS yang diperlihatkan gambar berikut:
dari berbagai sumber

About

Just nge Blog...

Tagged with: , , ,
Posted in Networking, Security
7 comments on “APAKAH INTRUSION PREVENTION SYSTEM (IPS) ???
  1. agus says:

    thx infonya…

  2. […] Sumber Referensi gambar Comment (0) You can to this discussion and this post to your friends! […]

  3. aisya says:

    sungguh sebuah catatan inspiratif,
    terutama utk perbedaan mendasar IPS dan IDS.
    yg saya tanyakan apakah dalam praktek IDS, kita bisa menggunakan deteksi berdasarkan anomali dan signature secara bersamaan?atau harus memilih salah satu saja?
    ditunggu share ilmunya lagi….

  4. […] Ada garis batas yang tegas antara firewall dan IDS. Juga ada teknologi yang disebut dengan IPS (Intrusion Prevention System). IPS pada dasarnya adalah sebuah firewall yang dikombinasikan dengan level jaringan dan level […]

  5. keren bos artikelnya , membantu tgas kuliah saya🙂

  6. Pitanto says:

    @rekan Aisya; kalau menurut saya, secara teknis seharus.nya bisa – tapi secara tujuan & kegunaan pada environment tertentu mungkin itu menjadi alasan dibuat berbasis anomali dan signature – pls correct me if any comment, tq.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: