Diterjemah dari http://hlbr.sourceforge.net/ips-en.html oleh Adli Abd Wahid (adli.wahid a gmail com).
Kemaskini terakhir: 20 Jan 06.
Definisi Sistem Pencegah PencerohohanSistem pencegahan pencerobohan (IPS*)
adalah hampir serupa dengan sistem pengesan pencerobohan (IDS*).
Perbezannya adalah IPS akan bertindak secara lebih aktif dalam mencegah
sesuatu pencerobohan dan bukan setakat melakukan pengesanan. Oleh yang
demikian, apabila serangan dapat dihalang tahap keselamatan rangkaian
yang lebih tinggi mampu dicapai. Sistem pencegahan pencerobohan juga
adalah salah satu komponen dalam sistem dinding api (firewall).
Ramai antara pengguna dan pentadbir sistem tidak mengetahui erti sebenar dinding api (firewall dalam bahasa Inggeris). Dinding api sebenarnya adalah sebuah sistem perlindungan menyeluruh untuk rangkaian komputer. Sistem ini terdiri daripada penyaring paket, penyaring sedia-ada, sistem pencegah pencerobohan, sistem pengesan pencerobohan, proksi, antivirus rangkaian, dan sebagainya. Oleh yang demikian, adalah tidak tepat dengan hanya menggunakan perisian Iptables sebagai dinding api untuk sesebuah rangkaian. Ini adalah kerana Iptables hanya mampu bertindak berdasarkan maklumat dalam kepala paket protokol IP (seperti sumber atau destinasi IP dan 'port', protokol pengangkutan dan sebagainnya) serta keadaan-ada paket. Malah ia tidak mampu membuat analisa terhadap muatbeban paket. Dalam situasi ini, jika mesin dari Internet dibenarkan untuk mencapai pelayan web melalui port 80 atau pelayan emel melalui port 25, serangan atau virus yang dihantar melalui port tersebut akan masuk kedalam rangkaian kita oleh kerana IPtables hanya memeriksa sumber dan destinasi paketnen dalam sistem dinding api (firewall).
Gambarajah yang berkenaan menunjukkan sebuah sistem "dinding api". Kawasan yang bewarna kelabu mewakili sistem tersebut.
Dalam hal ini, sistem pencegah pencerobohan yang digunakan, HLBR, diletak sebelum penyaring paket Iptables. Cara ini membenarkan kita untuk melindungi mesin iptables tersebut. Gambarajah di atas juga menujukkan bahawa tahap keselamatan rangkaian yang optima tidak akan dicapai dengan hanya menggunakan sistem perlindungan berasaskan penyaringan paket dan keadaan-ada paket (yang biasanya dilaksakankan oleh pentadbir sistem).
Cuba lihat gambarajah berikut pula:
Sebuah lagi HLBR diletakkan diantara rangkaian dalaman dan rangkaian pelayan untuk meningkatkan tahap keselamatan terhadap pelayan-pelayan tersebut. Komputer atau sistem umpan juga diletakkan dipinggir rangkaian dimana serangan yang dikesan oleh HLBR akan diarahkan kesana.
Kesimpulannya, sebuah sistem dinding api terdiri dari pelbagai elemen. Setiap elemen menguatkuasakan polisi keselamatan dengan cara masing dan tidak mengambilalih fungsi elemen lain.
Sistem Dinding Api
Ramai antara pengguna dan pentadbir sistem tidak mengetahui erti sebenar dinding api (firewall dalam bahasa Inggeris). Dinding api sebenarnya adalah sebuah sistem perlindungan menyeluruh untuk rangkaian komputer. Sistem ini terdiri daripada penyaring paket, penyaring sedia-ada, sistem pencegah pencerobohan, sistem pengesan pencerobohan, proksi, antivirus rangkaian, dan sebagainya. Oleh yang demikian, adalah tidak tepat dengan hanya menggunakan perisian Iptables sebagai dinding api untuk sesebuah rangkaian. Ini adalah kerana Iptables hanya mampu bertindak berdasarkan maklumat dalam kepala paket protokol IP (seperti sumber atau destinasi IP dan 'port', protokol pengangkutan dan sebagainnya) serta keadaan-ada paket. Malah ia tidak mampu membuat analisa terhadap muatbeban paket. Dalam situasi ini, jika mesin dari Internet dibenarkan untuk mencapai pelayan web melalui port 80 atau pelayan emel melalui port 25, serangan atau virus yang dihantar melalui port tersebut akan masuk kedalam rangkaian kita oleh kerana IPtables hanya memeriksa sumber dan destinasi paketnen dalam sistem dinding api (firewall).
Gambarajah yang berkenaan menunjukkan sebuah sistem "dinding api". Kawasan yang bewarna kelabu mewakili sistem tersebut.
Dalam hal ini, sistem pencegah pencerobohan yang digunakan, HLBR, diletak sebelum penyaring paket Iptables. Cara ini membenarkan kita untuk melindungi mesin iptables tersebut. Gambarajah di atas juga menujukkan bahawa tahap keselamatan rangkaian yang optima tidak akan dicapai dengan hanya menggunakan sistem perlindungan berasaskan penyaringan paket dan keadaan-ada paket (yang biasanya dilaksakankan oleh pentadbir sistem).
Cuba lihat gambarajah berikut pula:
Sebuah lagi HLBR diletakkan diantara rangkaian dalaman dan rangkaian pelayan untuk meningkatkan tahap keselamatan terhadap pelayan-pelayan tersebut. Komputer atau sistem umpan juga diletakkan dipinggir rangkaian dimana serangan yang dikesan oleh HLBR akan diarahkan kesana.
Kesimpulannya, sebuah sistem dinding api terdiri dari pelbagai elemen. Setiap elemen menguatkuasakan polisi keselamatan dengan cara masing dan tidak mengambilalih fungsi elemen lain.
