CONTOH KASUS INSIDEN KEAMANAN
INFORMASI
(DOS)
IPS engine merupakan sistem yang akan membacaa alert kemudian memerintahkan firewall untuk menutup akses paket data dari penyerang.
IPS akan menutup akses bagi penyerang ketika aktivitas tersebut terdeteksi oleh IDS. Dalam eksperimen ini, proses pembacaan alert dan update rule pada firewall dilakukan secara periodik dengan meletakkan program IPS engine ( yang di tulis dalam bahasa PHP ) di crontab ( scheduling task ). Jadi, ketika terjadi usaha penyusupan dan terdeteksi oleh IDS, maka IPS akan memerintahkan firewall untuk menutup akses dari IP address penyerang, hal ini dapat dilakukan dengan menghapus isi alert pada serangan dari IP yang dimaksud pada database pengujian ACID.
Pengujian
Untuk menguji rancangan sistem pencegahan penyusupan dengan cara melancarkan paket serangan ke sistem yang dilindungi oleh IPS. Sebagai contoh disisni IPS diimplementasikan pada jaringan router yang menghubungkan jaringan intranet dan DMZ. Pada pengujian ini dikirimkan paket ICMP dalam ukuran besar sehingga di kategorikan oleh IDS sebagai DOS attack ( denial of service ).
Berikut contoh pengujian yang dilakukan melalui client di jaringan internal :
Ping 202.91.8.112 -1 10000 –t
Pinging 202.91.8.112 -1 10000 –t
Reply from 202..91.8.112 :bytes=10000 time=10ms TTL=63
Reply from 202..91.8.112 :bytes=10000 time=10ms TTL=63
Reply from 202..91.8.112 :bytes=10000 time=10ms TTL=63
Ping ststistics for 202.91.8.112:
Packet:Sent=3,Received=3,Lost=0(Approximate round trip times in milli-seconds:
Minimum=0ms, Maximum=10ms, Average=3ms
DOS attack ini akan segera terdeteksi oleh snort engine yang kemudian snort engine akan megirimkan alert ke alert log, MySQL ACID dan MySQL ACID history. IPS engine membaca alert pada ACID MySQL dan kemudian memerintahkan firewall untuk mengupdate rulenya dengan menambahkan rule untuk memblok akses dari IP penyerang yang terdeteksi. Pengamatan eksperimen ini dilakukan pada 2 tempat yaitu di tempat melancarkan serangan dan di sistem IPS.
Pengamatan di client penyerang
Pengamatan dilakukan dengan cara melakukan pengiriman paket ICMP dengan perintah ping ke koomputer terget seperti berikut ini :
Reply from 202.91.8.112:bytes=32 time<10ms ttl="63
Reply from 202.91.8.112:bytes=32 time<10ms ttl="63
Reply from 202.91.8.112:bytes=32 time<10ms ttl="63
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 202.91.8.112:
Packets: Sent=6, Received=3, Lost=35 (50Approximate round trip times in milli-seconds:
Minimum=0ms, Maximum=0ms, Average=0ms
Dari pengamatan di atas terlihat bahwasanya IPS telah bekerja dengan baik, hal ini ditunjukkan akses ke computer target serangan dengan munculnya pesan “ Request Time Out “ yang sebelumnya “ Repply “.
Pengamatan di system pencegahan
Adapun pengamatan di system pencegahan penyusupan di lakukan dengan mengamati rule firewall yang telah berubah, yaitu IPS engine memasukkan IP address penyerang sebagai sebuah rule dimana akses dari computer tersebut harus diblok (tidak diijinkan). Berikut pengamatan di system :
Dari pengamatan di dua sisi, sisi penyerang dan sisi sistem pencegahan penyusupan, dapat disimpulkan bahwa fungsional sistem ini telah berjalan dengan yang diharapkan. Serangan-serangan jenis yang lain juga akan bernasib sama yakni akan di blok. Hal ini tentunya tergantung dari ketelitian dan kelengkapan rule snort. Rule snort begitu lengkap sehingga mampu mendeteksi banyan jenis serangan.
Tidak ada komentar:
Posting Komentar