Soal Latihan FORSEC
1.Apa fungsi firewall.
Jawab:Sebelum menginjak tentang fungsi dari firewall saya menjelaskan apa si Firewall itu?
Tembok api atau dinding api(firewall) adalah sebuah sistem atau perangkat yang mengizinkan lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak aman. Umumnya, sebuah tembok-api diterapkan dalam sebuah mesin terdedikasi, yang berjalan pada pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya.
Adapun fungsi firewall menurut saya adalah;
Melakukan autentikasi terhadap akses Mencatat semua kejadian, dan melaporkan kepada administratorPenjelasannya : Fungsi pertama yang dapat dilakukan oleh firewall adalah firewall harus dapat mengatur dan mengontrol lalu lintas jaringan yang diizinkan untuk mengakses jaringan privat atau komputer yang dilindungi oleh firewall. Firewall melakukan hal yang demikian, dengan melakukan inspeksi terhadap paket-paket dan memantau koneksi yang sedang dibuat, lalu melakukan penapisan (filtering) terhadap koneksi berdasarkan hasil inspeksi paket dan koneksi tersebut
Proses inspeksi Paket :Inspeksi paket ('packet inspection) merupakan proses yang dilakukan oleh firewall untuk 'menghadang' dan memproses data dalam sebuah paket untuk menentukan bahwa paket tersebut diizinkan atau ditolak, berdasarkan kebijakan akses (access policy) yang diterapkan oleh seorang administrator. Firewall, sebelum menentukan keputusan apakah hendak menolak atau menerima komunikasi dari luar, ia harus melakukan inspeksi terhadap setiap paket (baik yang masuk ataupun yang keluar) di setiap antarmuka dan membandingkannya dengan daftar kebijakan akses. Inspeksi paket dapat dilakukan dengan melihat elemen-elemen berikut, ketika menentukan apakah hendak menolak atau menerima komunikasi:
Informasi header-header yang disimpan dalam paketKoneksi dan Keadaan Koneksi :Agar dua host TCP/IP dapat saling berkomunikasi, mereka harus saling membuat koneksi antara satu dengan lainnya. Koneksi ini memiliki dua tujuan:
- Komputer dapat menggunakan koneksi tersebut untuk mengidentifikasikan dirinya kepada komputer lain, yang meyakinkan bahwa sistem lain yang tidak membuat koneksi tidak dapat mengirimkan data ke komputer tersebut. Firewall juga dapat menggunakan informasi koneksi untuk menentukan koneksi apa yang diizinkan oleh kebijakan akses dan menggunakannya untuk menentukan apakah paket data tersebut akan diterima atau ditolak.
- Koneksi digunakan untuk menentukan bagaimana cara dua host tersebut akan berkomunikasi antara satu dengan yang lainnya (apakah dengan menggunakan koneksi connection-oriented, atau connectionless).
Ilustrasi mengenai percakapan antara dua buah host
Kedua tujuan tersebut dapat digunakan untuk menentukan keadaan koneksi antara dua host tersebut, seperti halnya cara manusia bercakap-cakap. Jika Amir bertanya kepada Aminah mengenai sesuatu, maka Aminah akan meresponsnya dengan jawaban yang sesuai dengan pertanyaan yang diajukan oleh Amir; Pada saat Amir melontarkan pertanyaannya kepada Aminah, keadaan percakapan tersebut adalah Amir menunggu respons dari Aminah. Komunikasi di jaringan juga mengikuti cara yang sama untuk memantau keadaan percakapan komunikasi yang terjadi.
Firewall dapat memantau informasi keadaan koneksi untuk menentukan apakah ia hendak mengizinkan lalu lintas jaringan. Umumnya hal ini dilakukan dengan memelihara sebuah tabel keadaan koneksi (dalam istilah firewall: state table) yang memantau keadaan semua komunikasi yang melewati firewall. Dengan memantau keadaan koneksi ini, firewall dapat menentukan apakah data yang melewati firewall sedang "ditunggu" oleh host yang dituju, dan jika ya, aka mengizinkannya. Jika data yang melewati firewall tidak cocok dengan keadaan koneksi yang didefinisikan oleh tabel keadaan koneksi, maka data tersebut akan ditolak. Hal ini umumnya disebut sebagai Stateful Inspection.
Stateful Packet Inspection :Ketika sebuah firewall menggabungkan stateful inspection dengan packet inspection, maka firewall tersebut dinamakan dengan Stateful Packet Inspection (SPI). SPI merupakan proses inspeksi paket yang tidak dilakukan dengan menggunakan struktur paket dan data yang terkandung dalam paket, tapi juga pada keadaan apa host-host yang saling berkomunikasi tersebut berada. SPI mengizinkan firewall untuk melakukan penapisan tidak hanya berdasarkan isi paket tersebut, tapi juga berdasarkan koneksi atau keadaan koneksi, sehingga dapat mengakibatkan firewall memiliki kemampuan yang lebih fleksibel, mudah diatur, dan memiliki skalabilitas dalam hal penapisan yang tinggi.
Salah satu keunggulan dari SPI dibandingkan dengan inspeksi paket biasa adalah bahwa ketika sebuah koneksi telah dikenali dan diizinkan (tentu saja setelah dilakukan inspeksi), umumnya sebuah kebijakan (policy) tidak dibutuhkan untuk mengizinkan komunikasi balasan karena firewall tahu respons apa yang diharapkan akan diterima. Hal ini memungkinkan inspeksi terhadap data dan perintah yang terkandung dalam sebuah paket data untuk menentukan apakah sebuah koneksi diizinkan atau tidak, lalu firewall akan secara otomatis memantau keadaan percakapan dan secara dinamis mengizinkan lalu lintas yang sesuai dengan keadaan. Ini merupakan peningkatan yang cukup signifikan jika dibandingkan dengan firewall dengan inspeksi paket biasa. Apalagi, proses ini diselesaikan tanpa adanya kebutuhan untuk mendefinisikan sebuah kebijakan untuk mengizinkan respons dan komunikasi selanjutnya. Kebanyakan firewall modern telah mendukung fungsi ini.
Melakukan autentikasi terhadap akses:Fungsi fundamental firewall yang kedua adalah firewall dapat melakukan autentikasi terhadap akses.Protokol TCP/IP dibangun dengan premis bahwa protokol tersebut mendukung komunikasi yang terbuka. Jika dua host saling mengetahui alamat IP satu sama lainnya, maka mereka diizinkan untuk saling berkomunikasi. Pada awal-awal perkembangan Internet, hal ini boleh dianggap sebagai suatu berkah. Tapi saat ini, di saat semakin banyak yang terhubung ke Internet, mungkin kita tidak mau siapa saja yang dapat berkomunikasi dengan sistem yang kita miliki. Karenanya, firewall dilengkapi dengan fungsi autentikasi dengan menggunakan beberapa mekanisme autentikasi.
Melindungi sumber daya dalam jaringan privat: Salah satu tugas firewall adalah melindungi sumber daya dari ancaman yang mungkin datang. Proteksi ini dapat diperoleh dengan menggunakan beberapa peraturan pengaturan akses (access control), penggunaan SPI, application proxy, atau kombinasi dari semuanya untuk mencegah host yang dilindungi dapat diakses oleh host-host yang mencurigakan atau dari lalu lintas jaringan yang mencurigakan. Meskipun demikian, firewall bukanlah satu-satunya metode proteksi terhadap sumber daya, dan mempercayakan proteksi terhadap sumber daya dari ancaman terhadap firewall secara eksklusif adalah salah satu kesalahan fatal.Jika sebuah host yang menjalankan sistem operasi tertentu yang memiliki lubang keamanan yang belum ditambal dikoneksikan ke Internet, firewall mungkin tidak dapat mencegah dieksploitasinya host tersebut oleh host-host lainnya, khususnya jika exploit tersebut menggunakan lalu lintas yang oleh firewall telah diizinkan (dalam konfigurasinya). Sebagai contoh, jika sebuah packet-inspection firewall mengizinkan lalu lintas
HTTP ke sebuah web server yang menjalankan sebuah layanan web yang memiliki lubang keamanan yang belum ditambal, maka seorang pengguna yang "iseng" dapat saja membuat exploit untuk meruntuhkan web server tersebut karena memang web server yang bersangkutan memiliki lubang keamanan yang belum ditambal. Dalam contoh ini, web server tersebut akhirnya mengakibatkan proteksi yang ditawarkan oleh firewall menjadi tidak berguna. Hal ini disebabkan oleh firewall yang tidak dapat membedakan antara request HTTP yang mencurigakan atau tidak. Apalagi, jika firewall yang digunakan bukan application proxy. Oleh karena itulah, sumber daya yang dilindungi haruslah dipelihara dengan melakukan penambalan terhadap lubang-lubang keamanan, selain tentunya dilindungi oleh firewall.
Mencatat semua kejadian, dan melaporkan kepada administrator:
Ini berarti salah satu tugas firewall pada saatk kita melakukan koneksi ke jaringan tugas dari firewall itu sendiri adalah mencatat semua kegiatan yang kita lakukan ,apakah ada unsur – unsure yang berbahaya dalam jaringan tersebut firewall akan membentengi dan melindungi komputer kita .
2.Apa kelebihan dan kelemahan firewall hardware & software .
Kelebihan firewall hardware
1. Lebih bagus dan terjamin dibanding yg firewall softhware
2. Lebih teliti dalam pemantauan atau spywarenya
3. Bisa dikontrol secara langsung
4. Kemampuan yang lebih dalam membatasi akses ke jaringan dibanding berupa perangkat lunak.
Kelebiihan firewall software
1. Harganya terjangkau
2. Bisa di download gratis lagi
3. Mudah menginstalnya
Kekuranngan Firewall hardware
1.Harganya mahal
2.Lumayan sulit untuk di install
3.Biaya perawatannya pun mahal
Kekurangan Firewall software
1.Akses terbatas
2.Kemampuan dalam membatasi akses masih kurang karena masih bisa kebobolan kareana harus sering di Update/Upgrade.contoh perangkat lunak atau software Firewall seperti Sygate Firewall, McAfee, BitDefender atau Zone Alarm. Biasanya
3. Jelaskan jenis-jenis firewall. Jawab:
A. Aplication gateway firewall : Firewall jenis lainnya adalah Application Level Gateway (atau Application-Level Firewall atau sering juga disebut sebagai Proxy Firewall), yang umumnya juga merupakan komponen dari sebuah proxy server. Firewall ini tidak mengizinkan paket yang datang untuk melewati firewall secara langsung. Tetapi, aplikasi proxy yang berjalan dalam komputer yang menjalankan firewall akan meneruskan permintaan tersebut kepada layanan yang tersedia dalam jaringan privat dan kemudian meneruskan respons dari permintaan tersebut kepada komputer yang membuat permintaan pertama kali yang terletak dalam jaringan publik yang tidak aman.
Umumnya, firewall jenis ini akan melakukan autentikasi terlebih dahulu terhadap pengguna sebelum mengizinkan pengguna tersebut untuk mengakses jaringan. Selain itu, firewall ini juga mengimplementasikan mekanisme auditing dan pencatatan (logging) sebagai bagian dari kebijakan keamanan yang diterapkannya. Application Level Firewall juga umumnya mengharuskan beberapa konfigurasi yang diberlakukan pada pengguna untuk mengizinkan mesin klien agar dapat berfungsi. Sebagai contoh, jika sebuah proxy FTPSMTP sehingga mereka dapat menerima surat elektronik dari luar (tanpa menampakkan alamat e-mail internal), lalu meneruskan e-mail tersebut kepada e-mail server dalam jaringan. Tetapi, karena adanya pemrosesan yang lebih rumit, firewall jenis ini mengharuskan komputer yang dikonfigurasikan sebagai application gateway memiliki spesifikasi yang tinggi, dan tentu saja jauh lebih lambat dibandingkan dengan packet-filter firewall. dikonfigurasikan di atas sebuah application layer gateway, proxy tersebut dapat dikonfigurasikan untuk mengizinlan beberapa perintah FTP, dan menolak beberapa perintah lainnya. Jenis ini paling sering diimplementasikan pada proxy
B.Packet filtring :Pada bentuknya yang paling sederhana, sebuah firewall adalah sebuah router atau komputer yang dilengkapi dengan dua buah NIC (Network Interface Card, kartu antarmuka jaringan) yang mampu melakukan penapisan atau penyaringan terhadap paket-paket yang masuk. Perangkat jenis ini umumnya disebut dengan packet-filtering router.
Firewall jenis ini bekerja dengan cara membandingkan alamat sumber dari paket-paket tersebut dengan kebijakan pengontrolan akses yang terdaftar dalam Access Control List firewall, router tersebut akan mencoba memutuskan apakah hendak meneruskan paket yang masuk tersebut ke tujuannya atau menghentikannya. Pada bentuk yang lebih sederhana lagi, firewall hanya melakukan pengujian terhadap alamat IP atau nama domain yang menjadi sumber paket dan akan menentukan apakah hendak meneruskan atau menolak paket tersebut. Meskipun demikian, packet-filtering router tidak dapat digunakan untuk memberikan akses (atau menolaknya) dengan menggunakan basis hak-hak yang dimiliki oleh pengguna.
Cara kerja packet filter firewall
Packet-filtering router juga dapat dikonfigurasikan agar menghentikan beberapa jenis lalu lintas jaringan dan tentu saja mengizinkannya. Umumnya, hal ini dilakukan dengan mengaktifkan/menonaktifkan port TCP/IP dalam sistem firewall tersebut. Sebagai contoh, port 25 yang digunakan oleh Protokol SMTP (Simple Mail Transfer Protocol) umumnya dibiarkan terbuka oleh beberapa firewall untuk mengizinkan surat elektronik dari Internet masuk ke dalam jaringan privat, sementara port lainnya seperti port 23 yang digunakan oleh Protokol Telnet dapat dinonaktifkan untuk mencegah pengguna Internet untuk mengakses layanan yang terdapat dalam jaringan privat tersebut. Firewall juga dapat memberikan semacam pengecualian (exception) agar beberapa aplikasi dapat melewati firewall tersebut. Dengan menggunakan pendekatan ini, keamanan akan lebih kuat tapi memiliki kelemahan yang signifikan yakni kerumitan konfigurasi terhadap firewall: daftar Access Control List firewall akan membesar seiring dengan banyaknya alamat IP, nama domain, atau port yang dimasukkan ke dalamnya, selain tentunya juga exception yang diberlakukan.
4.apa yang di maksud dengan nat?.
Jawab:NAT (Network Address Translation) adalah suatu metode untuk menghubungkan lebih dari satu komputer ke jaringan internet dengan menggunakan satu alamat IP. secara otomatis menyediakan proteksi terhadap sistem yang berada di balik firewall karena NAT Firewall hanya mengizinkan koneksi yang datang dari komputer-komputer yang berada di balik firewall. Tujuan dari NAT adalah untuk melakukan multiplexing terhadap lalu lintas dari jaringan internal untuk kemudian menyampaikannya kepada jaringan yang lebih luas (MAN, WAN atau Internet) seolah-olah paket tersebut datang dari sebuah alamat IP atau beberapa alamat IP. NAT Firewall membuat tabel dalam memori yang mengandung informasi mengenai koneksi yang dilihat oleh firewall. Tabel ini akan memetakan alamat jaringan internal ke alamat eksternal. Kemampuan untuk menaruh keseluruhan jaringan di belakang sebuah alamat IP didasarkan terhadap pemetaan terhadap port-port dalam NAT firewall.
Jenis-jenis NAT
Full cone NAT Symmetric NAT
Restricted cone NAT Port restricted cone NAT
5. Apa yang di maksud dengan dmz ?
Jawab:DMZ atau Demilitarized Zone, adalah suatu lingkungan jaringan yang dapat diakses dari jaringan publik dan dapat mengakses lingkungan jaringan lokal. Pada DMZ ini, Layanan Globus Toolkit dan layanan pendukung lainnya akan disediakan.saya ambil contoh modem yang menggunakan DMZ pada saat login dia akan nongol ke modem itu ini berarti akses kita dapat dilihat oleh orang sedunia (Akses Point)
6. apa beda managble switch dengan switch biasa.
Jawab:Ada beberapa perbedaan mendasar yang membedakan antara manageable switch dengan yang non manageable. Perbedaan tersebut dominan bisa di lihat dari kelebihan dan keunggulan yang dimiliki oleh switch manageable itu sendiri. Adapun beberapa kelebihan manageable switch yang membedakan keduanya adalah :
Mendukung penyempitan broadcast jaringan dengan VLAN
Pengaturan access user dengan access list
Membuat keamanan network lebih terjamin
Bisa melakukan pengaturan port yang ada
Mudah dalam monitoring trafick dan maintenence network karena dapat diakses tanpa harus berada di dekat switch.
A.Manageable switch biasa disebut Switch Pintar, yaitu switch yang dapat dikonfigurasi dan dikonfigurasi setiap portnya. Memiliki fitur yang menarik dan dibutuhkan bagi jaringan WAN (Wide Area Network). Mampu untuk mengontrol lalu lintas (trafic jaringan). Semua fasilitas tersebut tergantung dari merk/vendor manageable switch tersebut. Semakin banyak fasilitas/fiturnya maka semakin mahal harga perangkat switch tersebut. Switch ini juga memiliki fungsi pada layer 3, yang sama halnya seperti router. Semua fitur ini tujuannya adalah untuk keamanan (security). Contohnya seperti seseorang yang iseng masuk jaringan LAN dengan menghubungkan ke salah satu port pada switch.Yang paling popular dari Manageable switch adalah VLAN (Virtual Local Area Network). Dengan metode ini, admin bisa mengatur broadcast domain pada port tertentu, sehingga lalu lintas pada broadcast tersebut tidak bisa melintasi atau masuk ke port lain.
Selain itu, admin juga bisa menspesifikasikan MAC address tertentu yang hanya dibolehkan terhubung, tujuannya mencegah user lain memindahkan host/node yang terdaftar.
Contoh vendornya : Cisco, 3com, D-Link dan lainnya.
Contoh merknya : Cisco Catalyst 2960-S
B.Sedangkan Unmanageable switch, ada yang bilang switch bodoh atau switch biasa. Switch ini hanya switch biasa tidak memiliki fitur tambahan seperti manageable switch, cara kerjanya hampir sama dengan HUB. Tetapi bedanya, semua data tidak dikirimkan ke semua port, tetapi bisa menuju port tertentu saja.
Selain itu, admin juga bisa menspesifikasikan MAC address tertentu yang hanya dibolehkan terhubung, tujuannya mencegah user lain memindahkan host/node yang terdaftar.
Contoh vendornya : Cisco, 3com, D-Link dan lainnya.
Contoh merknya : Cisco Catalyst 2960-S
B.Sedangkan Unmanageable switch, ada yang bilang switch bodoh atau switch biasa. Switch ini hanya switch biasa tidak memiliki fitur tambahan seperti manageable switch, cara kerjanya hampir sama dengan HUB. Tetapi bedanya, semua data tidak dikirimkan ke semua port, tetapi bisa menuju port tertentu saja.
Itulah beberapa hal yang membedakan antara manageable switch dengan yang non manageable
7. Apa keuntungan menggunakan vlan?
Jawab:Sebelumnya saya akan menjelaskan apa si VLAN itu
VLAN Merupakan suatu jaringan yang tidak terbatas pada lokasi fisik seperti LAN , hal inmengakibatkan suatu network dapat di konfigurasi secara virtual tanpa harus menuruti lokasfisik peralatan.penggunaan VLAN akan membuat pengaturan jaringan menjadi sangafleksibel dimana dapat di buat segmen yang bergantung pada organisasi atau departemen tanpa bergantung pada lokasi workstation
Beberapa keuntungan penggunaan VLAN antara lain:
1. Security – keamanan data dari setiap divisi dapat dibuat tersendiri, karena segmennya bisa dipisah secarfa logika. Lalu lintas data dibatasi segmennya.
2. Cost reduction – penghematan dari penggunaan bandwidth yang ada dan dari upgrade perluasan network yang bisa jadi mahal.
3. Higher performance – pembagian jaringan layer 2 ke dalam beberapa kelompok broadcast domain yang lebih kecil, yang tentunya akan mengurangi lalu lintas packet yang tidak dibutuhkan dalam jaringan.
4. Broadcast storm mitigation – pembagian jaringan ke dalam VLAN-VLAN akan mengurangi banyaknya device yang berpartisipasi dalam pembuatan broadcast storm. Hal ini terjadinya karena adanya pembatasan broadcast domain.
5. Improved IT staff efficiency – VLAN memudahkan manajemen jaringan karena pengguna yang membutuhkan sumber daya yang dibutuhkan berbagi dalam segmen yang sama.
6. Simpler project or application management – VLAN menggabungkan para pengguna jaringan dan peralatan jaringan untuk mendukung perusahaan dan menangani permasalahan kondisi geografis.
7. segmentasi, memudahkan maintain jaringan
8. menanggulangi masalah broadcast, mengurangi load jaringan (pembagian broadcast domain)
9. cost reduction, kita tidak perlu menggunakan router untuk membagi jaringan tersebut,
8. apa perbedaan ID statis & ip dinamis ?
Jawab: IP Public bisa static, bisa juga dynamic.
Demikian juga IP Private, bisa static, bisa juga dynamic.
Demikian juga IP Private, bisa static, bisa juga dynamic.
A.IP Public adalah IP yang bisa diakses langsung oleh internet. Analoginya IP Public itu seperti kamu punya nomer telepon rumah atau nomer HP yang bisa ditelepon langsung oleh semua orang. Sedangkan
B.IP Private(Static) biasanya digunakan dalam jaringan yang tidak terhubung ke internet atau bisa juga terhubung ke internet tapi melalui NAT. Analoginya IP private itu telepon lokal dalam kantor/hotel yang bisa buat telepon-teleponan gratis dalam satu gedung. Nah kalo ada orang yang mau telepon harus lewat operator dolo (NAT) karena nomer telepon publicnya cuma satu (hunting).
Nah kalo IP Dynamic itu berarti alokasi IPnya bisa berubah-ubah. Biasa menggunakan DHCP server. Di setting komputer kamu biasa pake setting automatic.
Kalo IP static ya sesuai namanya, dia tetap. Di komputer biasa di set manual.
B.IP Private(Static) biasanya digunakan dalam jaringan yang tidak terhubung ke internet atau bisa juga terhubung ke internet tapi melalui NAT. Analoginya IP private itu telepon lokal dalam kantor/hotel yang bisa buat telepon-teleponan gratis dalam satu gedung. Nah kalo ada orang yang mau telepon harus lewat operator dolo (NAT) karena nomer telepon publicnya cuma satu (hunting).
Nah kalo IP Dynamic itu berarti alokasi IPnya bisa berubah-ubah. Biasa menggunakan DHCP server. Di setting komputer kamu biasa pake setting automatic.
Kalo IP static ya sesuai namanya, dia tetap. Di komputer biasa di set manual.
9.Apa kegunaan ids?
Jawab :Intrusion Detection System (disingkat IDS) adalah sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi (penyusupan). IDS adalah software/hardware yang berguna untuk mendetect apapun yang ingin mencuri data yang di simpan secara rahasia,atau untuk memanipulasi atau disable system komputer dengan melewati jaringan internet.kebanyakan digunakan untuk menyerang/marusak pertahanan komputer,yang biasa dilakukan hacker/cracker/malware.
10.Apa beda host based ids & network base ids.
Jawab:Ada dua jenis IDS, yakni:
Network-based Intrusion Detection System (NIDS): Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada "pintu masuk" jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi. Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet.kemampuan yang dimiliki oleh HIDS dan NIDS, yang kemudian disebut sebagai sistem hibrid (hybrid intrusion detection system).11.Apa beda anomally based ids & signature base ids ? Jawab:
A.Signature base ids yaitu cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan.
B.Anomally based ids adalah metode untuk mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.
1.Apa fungsi firewall.
Jawab:Sebelum menginjak tentang fungsi dari firewall saya menjelaskan apa si Firewall itu?
Tembok api atau dinding api(firewall) adalah sebuah sistem atau perangkat yang mengizinkan lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak aman. Umumnya, sebuah tembok-api diterapkan dalam sebuah mesin terdedikasi, yang berjalan pada pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya.
Adapun fungsi firewall menurut saya adalah;
Melakukan autentikasi terhadap akses Mencatat semua kejadian, dan melaporkan kepada administratorPenjelasannya : Fungsi pertama yang dapat dilakukan oleh firewall adalah firewall harus dapat mengatur dan mengontrol lalu lintas jaringan yang diizinkan untuk mengakses jaringan privat atau komputer yang dilindungi oleh firewall. Firewall melakukan hal yang demikian, dengan melakukan inspeksi terhadap paket-paket dan memantau koneksi yang sedang dibuat, lalu melakukan penapisan (filtering) terhadap koneksi berdasarkan hasil inspeksi paket dan koneksi tersebut
Proses inspeksi Paket :Inspeksi paket ('packet inspection) merupakan proses yang dilakukan oleh firewall untuk 'menghadang' dan memproses data dalam sebuah paket untuk menentukan bahwa paket tersebut diizinkan atau ditolak, berdasarkan kebijakan akses (access policy) yang diterapkan oleh seorang administrator. Firewall, sebelum menentukan keputusan apakah hendak menolak atau menerima komunikasi dari luar, ia harus melakukan inspeksi terhadap setiap paket (baik yang masuk ataupun yang keluar) di setiap antarmuka dan membandingkannya dengan daftar kebijakan akses. Inspeksi paket dapat dilakukan dengan melihat elemen-elemen berikut, ketika menentukan apakah hendak menolak atau menerima komunikasi:
Informasi header-header yang disimpan dalam paketKoneksi dan Keadaan Koneksi :Agar dua host TCP/IP dapat saling berkomunikasi, mereka harus saling membuat koneksi antara satu dengan lainnya. Koneksi ini memiliki dua tujuan:
- Komputer dapat menggunakan koneksi tersebut untuk mengidentifikasikan dirinya kepada komputer lain, yang meyakinkan bahwa sistem lain yang tidak membuat koneksi tidak dapat mengirimkan data ke komputer tersebut. Firewall juga dapat menggunakan informasi koneksi untuk menentukan koneksi apa yang diizinkan oleh kebijakan akses dan menggunakannya untuk menentukan apakah paket data tersebut akan diterima atau ditolak.
- Koneksi digunakan untuk menentukan bagaimana cara dua host tersebut akan berkomunikasi antara satu dengan yang lainnya (apakah dengan menggunakan koneksi connection-oriented, atau connectionless).
Ilustrasi mengenai percakapan antara dua buah host
Kedua tujuan tersebut dapat digunakan untuk menentukan keadaan koneksi antara dua host tersebut, seperti halnya cara manusia bercakap-cakap. Jika Amir bertanya kepada Aminah mengenai sesuatu, maka Aminah akan meresponsnya dengan jawaban yang sesuai dengan pertanyaan yang diajukan oleh Amir; Pada saat Amir melontarkan pertanyaannya kepada Aminah, keadaan percakapan tersebut adalah Amir menunggu respons dari Aminah. Komunikasi di jaringan juga mengikuti cara yang sama untuk memantau keadaan percakapan komunikasi yang terjadi.
Firewall dapat memantau informasi keadaan koneksi untuk menentukan apakah ia hendak mengizinkan lalu lintas jaringan. Umumnya hal ini dilakukan dengan memelihara sebuah tabel keadaan koneksi (dalam istilah firewall: state table) yang memantau keadaan semua komunikasi yang melewati firewall. Dengan memantau keadaan koneksi ini, firewall dapat menentukan apakah data yang melewati firewall sedang "ditunggu" oleh host yang dituju, dan jika ya, aka mengizinkannya. Jika data yang melewati firewall tidak cocok dengan keadaan koneksi yang didefinisikan oleh tabel keadaan koneksi, maka data tersebut akan ditolak. Hal ini umumnya disebut sebagai Stateful Inspection.
Stateful Packet Inspection :Ketika sebuah firewall menggabungkan stateful inspection dengan packet inspection, maka firewall tersebut dinamakan dengan Stateful Packet Inspection (SPI). SPI merupakan proses inspeksi paket yang tidak dilakukan dengan menggunakan struktur paket dan data yang terkandung dalam paket, tapi juga pada keadaan apa host-host yang saling berkomunikasi tersebut berada. SPI mengizinkan firewall untuk melakukan penapisan tidak hanya berdasarkan isi paket tersebut, tapi juga berdasarkan koneksi atau keadaan koneksi, sehingga dapat mengakibatkan firewall memiliki kemampuan yang lebih fleksibel, mudah diatur, dan memiliki skalabilitas dalam hal penapisan yang tinggi.
Salah satu keunggulan dari SPI dibandingkan dengan inspeksi paket biasa adalah bahwa ketika sebuah koneksi telah dikenali dan diizinkan (tentu saja setelah dilakukan inspeksi), umumnya sebuah kebijakan (policy) tidak dibutuhkan untuk mengizinkan komunikasi balasan karena firewall tahu respons apa yang diharapkan akan diterima. Hal ini memungkinkan inspeksi terhadap data dan perintah yang terkandung dalam sebuah paket data untuk menentukan apakah sebuah koneksi diizinkan atau tidak, lalu firewall akan secara otomatis memantau keadaan percakapan dan secara dinamis mengizinkan lalu lintas yang sesuai dengan keadaan. Ini merupakan peningkatan yang cukup signifikan jika dibandingkan dengan firewall dengan inspeksi paket biasa. Apalagi, proses ini diselesaikan tanpa adanya kebutuhan untuk mendefinisikan sebuah kebijakan untuk mengizinkan respons dan komunikasi selanjutnya. Kebanyakan firewall modern telah mendukung fungsi ini.
Melakukan autentikasi terhadap akses:Fungsi fundamental firewall yang kedua adalah firewall dapat melakukan autentikasi terhadap akses.Protokol TCP/IP dibangun dengan premis bahwa protokol tersebut mendukung komunikasi yang terbuka. Jika dua host saling mengetahui alamat IP satu sama lainnya, maka mereka diizinkan untuk saling berkomunikasi. Pada awal-awal perkembangan Internet, hal ini boleh dianggap sebagai suatu berkah. Tapi saat ini, di saat semakin banyak yang terhubung ke Internet, mungkin kita tidak mau siapa saja yang dapat berkomunikasi dengan sistem yang kita miliki. Karenanya, firewall dilengkapi dengan fungsi autentikasi dengan menggunakan beberapa mekanisme autentikasi.
Melindungi sumber daya dalam jaringan privat: Salah satu tugas firewall adalah melindungi sumber daya dari ancaman yang mungkin datang. Proteksi ini dapat diperoleh dengan menggunakan beberapa peraturan pengaturan akses (access control), penggunaan SPI, application proxy, atau kombinasi dari semuanya untuk mencegah host yang dilindungi dapat diakses oleh host-host yang mencurigakan atau dari lalu lintas jaringan yang mencurigakan. Meskipun demikian, firewall bukanlah satu-satunya metode proteksi terhadap sumber daya, dan mempercayakan proteksi terhadap sumber daya dari ancaman terhadap firewall secara eksklusif adalah salah satu kesalahan fatal.Jika sebuah host yang menjalankan sistem operasi tertentu yang memiliki lubang keamanan yang belum ditambal dikoneksikan ke Internet, firewall mungkin tidak dapat mencegah dieksploitasinya host tersebut oleh host-host lainnya, khususnya jika exploit tersebut menggunakan lalu lintas yang oleh firewall telah diizinkan (dalam konfigurasinya). Sebagai contoh, jika sebuah packet-inspection firewall mengizinkan lalu lintas
HTTP ke sebuah web server yang menjalankan sebuah layanan web yang memiliki lubang keamanan yang belum ditambal, maka seorang pengguna yang "iseng" dapat saja membuat exploit untuk meruntuhkan web server tersebut karena memang web server yang bersangkutan memiliki lubang keamanan yang belum ditambal. Dalam contoh ini, web server tersebut akhirnya mengakibatkan proteksi yang ditawarkan oleh firewall menjadi tidak berguna. Hal ini disebabkan oleh firewall yang tidak dapat membedakan antara request HTTP yang mencurigakan atau tidak. Apalagi, jika firewall yang digunakan bukan application proxy. Oleh karena itulah, sumber daya yang dilindungi haruslah dipelihara dengan melakukan penambalan terhadap lubang-lubang keamanan, selain tentunya dilindungi oleh firewall.
Mencatat semua kejadian, dan melaporkan kepada administrator:
Ini berarti salah satu tugas firewall pada saatk kita melakukan koneksi ke jaringan tugas dari firewall itu sendiri adalah mencatat semua kegiatan yang kita lakukan ,apakah ada unsur – unsure yang berbahaya dalam jaringan tersebut firewall akan membentengi dan melindungi komputer kita .
2.Apa kelebihan dan kelemahan firewall hardware & software .
Kelebihan firewall hardware
1. Lebih bagus dan terjamin dibanding yg firewall softhware
2. Lebih teliti dalam pemantauan atau spywarenya
3. Bisa dikontrol secara langsung
4. Kemampuan yang lebih dalam membatasi akses ke jaringan dibanding berupa perangkat lunak.
Kelebiihan firewall software
1. Harganya terjangkau
2. Bisa di download gratis lagi
3. Mudah menginstalnya
Kekuranngan Firewall hardware
1.Harganya mahal
2.Lumayan sulit untuk di install
3.Biaya perawatannya pun mahal
Kekurangan Firewall software
1.Akses terbatas
2.Kemampuan dalam membatasi akses masih kurang karena masih bisa kebobolan kareana harus sering di Update/Upgrade.contoh perangkat lunak atau software Firewall seperti Sygate Firewall, McAfee, BitDefender atau Zone Alarm. Biasanya
3. Jelaskan jenis-jenis firewall. Jawab:
A. Aplication gateway firewall : Firewall jenis lainnya adalah Application Level Gateway (atau Application-Level Firewall atau sering juga disebut sebagai Proxy Firewall), yang umumnya juga merupakan komponen dari sebuah proxy server. Firewall ini tidak mengizinkan paket yang datang untuk melewati firewall secara langsung. Tetapi, aplikasi proxy yang berjalan dalam komputer yang menjalankan firewall akan meneruskan permintaan tersebut kepada layanan yang tersedia dalam jaringan privat dan kemudian meneruskan respons dari permintaan tersebut kepada komputer yang membuat permintaan pertama kali yang terletak dalam jaringan publik yang tidak aman.
Umumnya, firewall jenis ini akan melakukan autentikasi terlebih dahulu terhadap pengguna sebelum mengizinkan pengguna tersebut untuk mengakses jaringan. Selain itu, firewall ini juga mengimplementasikan mekanisme auditing dan pencatatan (logging) sebagai bagian dari kebijakan keamanan yang diterapkannya. Application Level Firewall juga umumnya mengharuskan beberapa konfigurasi yang diberlakukan pada pengguna untuk mengizinkan mesin klien agar dapat berfungsi. Sebagai contoh, jika sebuah proxy FTPSMTP sehingga mereka dapat menerima surat elektronik dari luar (tanpa menampakkan alamat e-mail internal), lalu meneruskan e-mail tersebut kepada e-mail server dalam jaringan. Tetapi, karena adanya pemrosesan yang lebih rumit, firewall jenis ini mengharuskan komputer yang dikonfigurasikan sebagai application gateway memiliki spesifikasi yang tinggi, dan tentu saja jauh lebih lambat dibandingkan dengan packet-filter firewall. dikonfigurasikan di atas sebuah application layer gateway, proxy tersebut dapat dikonfigurasikan untuk mengizinlan beberapa perintah FTP, dan menolak beberapa perintah lainnya. Jenis ini paling sering diimplementasikan pada proxy
B.Packet filtring :Pada bentuknya yang paling sederhana, sebuah firewall adalah sebuah router atau komputer yang dilengkapi dengan dua buah NIC (Network Interface Card, kartu antarmuka jaringan) yang mampu melakukan penapisan atau penyaringan terhadap paket-paket yang masuk. Perangkat jenis ini umumnya disebut dengan packet-filtering router.
Firewall jenis ini bekerja dengan cara membandingkan alamat sumber dari paket-paket tersebut dengan kebijakan pengontrolan akses yang terdaftar dalam Access Control List firewall, router tersebut akan mencoba memutuskan apakah hendak meneruskan paket yang masuk tersebut ke tujuannya atau menghentikannya. Pada bentuk yang lebih sederhana lagi, firewall hanya melakukan pengujian terhadap alamat IP atau nama domain yang menjadi sumber paket dan akan menentukan apakah hendak meneruskan atau menolak paket tersebut. Meskipun demikian, packet-filtering router tidak dapat digunakan untuk memberikan akses (atau menolaknya) dengan menggunakan basis hak-hak yang dimiliki oleh pengguna.
Cara kerja packet filter firewall
Packet-filtering router juga dapat dikonfigurasikan agar menghentikan beberapa jenis lalu lintas jaringan dan tentu saja mengizinkannya. Umumnya, hal ini dilakukan dengan mengaktifkan/menonaktifkan port TCP/IP dalam sistem firewall tersebut. Sebagai contoh, port 25 yang digunakan oleh Protokol SMTP (Simple Mail Transfer Protocol) umumnya dibiarkan terbuka oleh beberapa firewall untuk mengizinkan surat elektronik dari Internet masuk ke dalam jaringan privat, sementara port lainnya seperti port 23 yang digunakan oleh Protokol Telnet dapat dinonaktifkan untuk mencegah pengguna Internet untuk mengakses layanan yang terdapat dalam jaringan privat tersebut. Firewall juga dapat memberikan semacam pengecualian (exception) agar beberapa aplikasi dapat melewati firewall tersebut. Dengan menggunakan pendekatan ini, keamanan akan lebih kuat tapi memiliki kelemahan yang signifikan yakni kerumitan konfigurasi terhadap firewall: daftar Access Control List firewall akan membesar seiring dengan banyaknya alamat IP, nama domain, atau port yang dimasukkan ke dalamnya, selain tentunya juga exception yang diberlakukan.
4.apa yang di maksud dengan nat?.
Jawab:NAT (Network Address Translation) adalah suatu metode untuk menghubungkan lebih dari satu komputer ke jaringan internet dengan menggunakan satu alamat IP. secara otomatis menyediakan proteksi terhadap sistem yang berada di balik firewall karena NAT Firewall hanya mengizinkan koneksi yang datang dari komputer-komputer yang berada di balik firewall. Tujuan dari NAT adalah untuk melakukan multiplexing terhadap lalu lintas dari jaringan internal untuk kemudian menyampaikannya kepada jaringan yang lebih luas (MAN, WAN atau Internet) seolah-olah paket tersebut datang dari sebuah alamat IP atau beberapa alamat IP. NAT Firewall membuat tabel dalam memori yang mengandung informasi mengenai koneksi yang dilihat oleh firewall. Tabel ini akan memetakan alamat jaringan internal ke alamat eksternal. Kemampuan untuk menaruh keseluruhan jaringan di belakang sebuah alamat IP didasarkan terhadap pemetaan terhadap port-port dalam NAT firewall.
Jenis-jenis NAT
Full cone NAT Symmetric NAT
Restricted cone NAT Port restricted cone NAT
5. Apa yang di maksud dengan dmz ?
Jawab:DMZ atau Demilitarized Zone, adalah suatu lingkungan jaringan yang dapat diakses dari jaringan publik dan dapat mengakses lingkungan jaringan lokal. Pada DMZ ini, Layanan Globus Toolkit dan layanan pendukung lainnya akan disediakan.saya ambil contoh modem yang menggunakan DMZ pada saat login dia akan nongol ke modem itu ini berarti akses kita dapat dilihat oleh orang sedunia (Akses Point)
6. apa beda managble switch dengan switch biasa.
Jawab:Ada beberapa perbedaan mendasar yang membedakan antara manageable switch dengan yang non manageable. Perbedaan tersebut dominan bisa di lihat dari kelebihan dan keunggulan yang dimiliki oleh switch manageable itu sendiri. Adapun beberapa kelebihan manageable switch yang membedakan keduanya adalah :
Mendukung penyempitan broadcast jaringan dengan VLAN Pengaturan access user dengan access list Membuat keamanan network lebih terjamin Bisa melakukan pengaturan port yang ada Mudah dalam monitoring trafick dan maintenence network karena dapat diakses tanpa harus berada di dekat switch.A.Manageable switch biasa disebut Switch Pintar, yaitu switch yang dapat dikonfigurasi dan dikonfigurasi setiap portnya. Memiliki fitur yang menarik dan dibutuhkan bagi jaringan WAN (Wide Area Network). Mampu untuk mengontrol lalu lintas (trafic jaringan). Semua fasilitas tersebut tergantung dari merk/vendor manageable switch tersebut. Semakin banyak fasilitas/fiturnya maka semakin mahal harga perangkat switch tersebut. Switch ini juga memiliki fungsi pada layer 3, yang sama halnya seperti router. Semua fitur ini tujuannya adalah untuk keamanan (security). Contohnya seperti seseorang yang iseng masuk jaringan LAN dengan menghubungkan ke salah satu port pada switch.Yang paling popular dari Manageable switch adalah VLAN (Virtual Local Area Network). Dengan metode ini, admin bisa mengatur broadcast domain pada port tertentu, sehingga lalu lintas pada broadcast tersebut tidak bisa melintasi atau masuk ke port lain.
Selain itu, admin juga bisa menspesifikasikan MAC address tertentu yang hanya dibolehkan terhubung, tujuannya mencegah user lain memindahkan host/node yang terdaftar.
Contoh vendornya : Cisco, 3com, D-Link dan lainnya.
Contoh merknya : Cisco Catalyst 2960-S
B.Sedangkan Unmanageable switch, ada yang bilang switch bodoh atau switch biasa. Switch ini hanya switch biasa tidak memiliki fitur tambahan seperti manageable switch, cara kerjanya hampir sama dengan HUB. Tetapi bedanya, semua data tidak dikirimkan ke semua port, tetapi bisa menuju port tertentu saja.
Selain itu, admin juga bisa menspesifikasikan MAC address tertentu yang hanya dibolehkan terhubung, tujuannya mencegah user lain memindahkan host/node yang terdaftar.
Contoh vendornya : Cisco, 3com, D-Link dan lainnya.
Contoh merknya : Cisco Catalyst 2960-S
B.Sedangkan Unmanageable switch, ada yang bilang switch bodoh atau switch biasa. Switch ini hanya switch biasa tidak memiliki fitur tambahan seperti manageable switch, cara kerjanya hampir sama dengan HUB. Tetapi bedanya, semua data tidak dikirimkan ke semua port, tetapi bisa menuju port tertentu saja.
Itulah beberapa hal yang membedakan antara manageable switch dengan yang non manageable
7. Apa keuntungan menggunakan vlan?
Jawab:Sebelumnya saya akan menjelaskan apa si VLAN itu
VLAN Merupakan suatu jaringan yang tidak terbatas pada lokasi fisik seperti LAN , hal inmengakibatkan suatu network dapat di konfigurasi secara virtual tanpa harus menuruti lokasfisik peralatan.penggunaan VLAN akan membuat pengaturan jaringan menjadi sangafleksibel dimana dapat di buat segmen yang bergantung pada organisasi atau departemen tanpa bergantung pada lokasi workstation
Beberapa keuntungan penggunaan VLAN antara lain:
1. Security – keamanan data dari setiap divisi dapat dibuat tersendiri, karena segmennya bisa dipisah secarfa logika. Lalu lintas data dibatasi segmennya.
2. Cost reduction – penghematan dari penggunaan bandwidth yang ada dan dari upgrade perluasan network yang bisa jadi mahal.
3. Higher performance – pembagian jaringan layer 2 ke dalam beberapa kelompok broadcast domain yang lebih kecil, yang tentunya akan mengurangi lalu lintas packet yang tidak dibutuhkan dalam jaringan.
4. Broadcast storm mitigation – pembagian jaringan ke dalam VLAN-VLAN akan mengurangi banyaknya device yang berpartisipasi dalam pembuatan broadcast storm. Hal ini terjadinya karena adanya pembatasan broadcast domain.
5. Improved IT staff efficiency – VLAN memudahkan manajemen jaringan karena pengguna yang membutuhkan sumber daya yang dibutuhkan berbagi dalam segmen yang sama.
6. Simpler project or application management – VLAN menggabungkan para pengguna jaringan dan peralatan jaringan untuk mendukung perusahaan dan menangani permasalahan kondisi geografis.
7. segmentasi, memudahkan maintain jaringan
8. menanggulangi masalah broadcast, mengurangi load jaringan (pembagian broadcast domain)
9. cost reduction, kita tidak perlu menggunakan router untuk membagi jaringan tersebut,
8. apa perbedaan ID statis & ip dinamis ?
Jawab: IP Public bisa static, bisa juga dynamic.
Demikian juga IP Private, bisa static, bisa juga dynamic.
Demikian juga IP Private, bisa static, bisa juga dynamic.
A.IP Public adalah IP yang bisa diakses langsung oleh internet. Analoginya IP Public itu seperti kamu punya nomer telepon rumah atau nomer HP yang bisa ditelepon langsung oleh semua orang. Sedangkan
B.IP Private(Static) biasanya digunakan dalam jaringan yang tidak terhubung ke internet atau bisa juga terhubung ke internet tapi melalui NAT. Analoginya IP private itu telepon lokal dalam kantor/hotel yang bisa buat telepon-teleponan gratis dalam satu gedung. Nah kalo ada orang yang mau telepon harus lewat operator dolo (NAT) karena nomer telepon publicnya cuma satu (hunting).
Nah kalo IP Dynamic itu berarti alokasi IPnya bisa berubah-ubah. Biasa menggunakan DHCP server. Di setting komputer kamu biasa pake setting automatic.
Kalo IP static ya sesuai namanya, dia tetap. Di komputer biasa di set manual.
B.IP Private(Static) biasanya digunakan dalam jaringan yang tidak terhubung ke internet atau bisa juga terhubung ke internet tapi melalui NAT. Analoginya IP private itu telepon lokal dalam kantor/hotel yang bisa buat telepon-teleponan gratis dalam satu gedung. Nah kalo ada orang yang mau telepon harus lewat operator dolo (NAT) karena nomer telepon publicnya cuma satu (hunting).
Nah kalo IP Dynamic itu berarti alokasi IPnya bisa berubah-ubah. Biasa menggunakan DHCP server. Di setting komputer kamu biasa pake setting automatic.
Kalo IP static ya sesuai namanya, dia tetap. Di komputer biasa di set manual.
9.Apa kegunaan ids?
Jawab :Intrusion Detection System (disingkat IDS) adalah sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi (penyusupan). IDS adalah software/hardware yang berguna untuk mendetect apapun yang ingin mencuri data yang di simpan secara rahasia,atau untuk memanipulasi atau disable system komputer dengan melewati jaringan internet.kebanyakan digunakan untuk menyerang/marusak pertahanan komputer,yang biasa dilakukan hacker/cracker/malware.
10.Apa beda host based ids & network base ids.
Jawab:Ada dua jenis IDS, yakni:
Network-based Intrusion Detection System (NIDS): Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada "pintu masuk" jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi. Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet.kemampuan yang dimiliki oleh HIDS dan NIDS, yang kemudian disebut sebagai sistem hibrid (hybrid intrusion detection system).11.Apa beda anomally based ids & signature base ids ? Jawab:
A.Signature base ids yaitu cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan.
B.Anomally based ids adalah metode untuk mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.
Tidak ada komentar:
Posting Komentar