Tri Widodo, M.Kom

Sebuah program yang menjaga dan melindungi komputer kita agar tidak terinfeksi virus.

Virus scanner bekerja dengan melakukan pencarian terhadap tanda-tanda atau ciri-ciri yang diketahui dari virus.

Selain itu, virus secanner juga mengenali dan mencari lingkungan tempat virus, seperti boot sector, system file, registry, penggandaan diri, dll

Email and attachment scanning

Download scanning

File scanning

Heuristic scanning->scanning berdasarkan ciri-ciri, tanda, atau lingkungan virus

Sandbosx->melindungi area tertentu, seperti OS, atau system32

Beberapa anti virus komersial selain menggunakan teknik-teknik diatas, juga menggunakan teknik-teknik lain, yaitu:

1. Active code scanning->website modern, biasanya menyertakan kode seperti java script dll, yang bisa saja disisipi oleh virus/malware, sehingga kode2 tersebut harus discan sebelum kita gunakan/download

2. False positives dan false negatives

Terkadang anti virus mengalami kesalahan, adakala itu positif adakala negatif. Jika antivirus mendeteksi program sebagai virus, itu berarti kesalahan positif, dansebaliknya.

Banyak sekali anti virus komersial, seperti AVG, McAfee, Norton, Kapersky,

Firewall adalah tembok barikade yang membatasi jaringan kita dengan jaringan luar.

Minimal, firewall dapat memfilter paket yang masuk, berdasarkan besar file, jenis protokol, jenis port tujuan, dll

Ada 3 tipe firewall

1. Screening Firewall

2. Application gateway

3. Circuit level gateway

Firewall ini tipe yang paling sering digunakan, terutama untuk packet filtering.

Firewall ini bekerja pada OSI layer dan biasanya sudah terintegrasi dengan berbagai alat, baik router atau AP sehingga mudah dikonfigurasi.

Biasa disebut juga application proxy

Setiap program client seperti web browser, ketika web browser akan menjalin koneksi dengan web server, maka secara tidak langsung web browser tadi harus terkoneksi dan melewati application gateway atau proxy.

Circuit level gateway mirip application gateway, tetapi lebih aman dan lebih banyak digunakan pada peralatan-peralatan jaringan.

Dengan circuit level gateway, sebelum user terkoneksi dengan router, user terlebih dahulu dicek dan dilakukan autentikasi

Ada dua cara firewall menganalisa paket, yaitu:

1. Stateful packet inspection

2. Stateless packet inspection

Firewall menganalisa paket satu persatu.

Ijin atau penolakan koneksi tidak hanya berdasar paket yang sekarang dibawa, tetapi juga jenis-jenis paket sebelumnya.

Firewall tipe aman dari ping flood, SYN Flood, atau jenis serangan DOS lainya.

Firewall tipe ini tidak menganalisa paket yang sedang dikirimkan atau paket2 sebelumnya.

Firewall tipe ini mudah diserang dengan ping floods atau SYN flood

Network host based->software yang diinstall dalam SO workstation

Dual homed host->firewall yang berjalan pada server dengan network card lebih dari dua

Router based firewall->firewall yang terinstall pd router

Screened host->kombinasi firewall antara screening/filtering router dan bastion host(komputer yang didesain melindungi jaringan)

Komersial->zone alarm, agnitum zone labs

Free->comodo

Setiap aktivitas firewall akan tercatat dalam log.

Log ini dapat menjadi sumber informasi penting seputar sumber serangan, tujuan serangan, port penyerangan, metode yang digunakan, dll

Suatu aplikasi yang melakukan scanning dan pencegahan terhadap spyware

Pada era modern, biasanya antispyware sudah terintegrasi pada antivirus

IDS adalah suatu aplikasi yang selalu mengawasi dan memeriksa setiap port dan lalu lintas data yang melewati port-port pada firewall/komputer/server dan mencari tanda atau ciri-ciri suatu serangan.

Contoh IDS mendeteksi paket ICMP pada port, hal itu mengindikasikan ada orang yang sedang melakukan port scanning pada komputer kita.

Misuse detection Vs Anomaly detection

Passive system Vs Reactive system

Network-based system Vs host-based system

Miseuse detection->menganalisa data/paket berdasarkan database serangan(IDS SIgnature)

Anomaly detection->admin akan melakukan konfigurasi/pengaturan, jika ada aktivitas yang tidak sesuai dengan aturan, maka IDS akan melaporkan pada admin

Passive system-> IDS hanya mendeteksi potensi serangan, mencatat dalam log, memberi sinyal dan peringatan.

Reactive system->IDS merespon setiap aktivitas mencurigakan dengan mengeluarkan user dari sistem atau melakukan blocking setiap aktivitasnya.

Network-based system-> IDS yang menganalisa paket yang melewati jaringan, dapat mendeteksi paket jahat dan mengabaikan aturan filtering firewall.

Host-based system-> IDS yang menganalisa paket tiap host/komputer

Preemtive blocking->mencari dan memeriksa aktivitas yang mengindikasikan serangan, kemudian melakukan blocking

Snort->IDS freeware yang handal dan sering diimplementasikan

Honeypot->sebuah aplikasi yang akan membuat tiruan sebuah server, yang dapat mengecoh hacker yang mengira menyerang server, padahal hanya server palsu.

Easttom, Chuck., Computer Security Fundamentals, 2nd Edition, Indianapolis-Pearson