INTRUSION DETECTION SYSTEM {IDS} ( BAB 19)
Intrusion
Detection System (disingkat IDS) adalah sebuah aplikasi
perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang
mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi
terhadap lalu lintas inbound danoutbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari
percobaan intrusi (penyusupan).
JENIS IDS
Ada dua jenis IDS, yakni:
·
Network-based
Intrusion Detection System (NIDS):
Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk
mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan.
NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada
atau terdapat pada "pintu masuk" jaringan. Kelemahan NIDS adalah
bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang
menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di
dalam switch buatannya untuk memonitor port atau koneksi.
·
Host-based
Intrusion Detection System (HIDS):
Aktivitas sebuah host jaringan individual akan dipantau apakah
terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS
seringnya diletakkan pada server-server kritis di jaringan, seperti
halnya firewall, web server, atau server yang terkoneksi ke Internet.
Kebanyakan produk IDS merupakan sistem yang bersifat pasif,
mengingat tugasnya hanyalah mendeteksi intrusi yang terjadi dan memberikan
peringatan kepada administrator jaringan bahwa mungkin ada serangan atau
gangguan terhadap jaringan. Akhir-akhir ini, beberapa vendor juga
mengembangkan IDS yang bersifat aktif yang dapat melakukan beberapa tugas untuk
melindungi host atau jaringan dari serangan ketika terdeteksi, seperti halnya
menutup beberapa port atau
memblokir beberapa alamat IP. Produk seperti ini umumnya disebut sebagai Intrusion
Prevention System (IPS). Beberapa
produk IDS juga menggabungkan kemampuan yang dimiliki oleh HIDS dan NIDS, yang
kemudian disebut sebagai sistem hibrid (hybrid intrusion detection system).
IMPLEMENTASI DAN CARA KERJA
Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer
adalah dengan menggunakan pendeteksian berbasis signature (seperti
halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas
jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering
dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis
data signature IDS yang bersangkutan.
Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang
disebut sebagaiAnomaly-based IDS. Jenis ini melibatkan pola lalu lintas
yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang.
Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu
lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi.
Metode ini menawarkan kelebihan dibandingkan signature-based IDS,
yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis
data signature IDS.
Kelemahannya, adalah jenis ini sering mengeluarkan pesan false
positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus
memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya
laporan false positive yang muncul.
Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas
sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah
beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya
diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap
log sistem untuk memantau apakah terjadi kejadian yang tidak biasa.
PRODUK IDS
Beberapa NIDS dan HIDS yang beredar di pasaran antara lain:
·
RealSecure dari Internet
Security Systems (ISS).
·
Cisco Secure Intrusion
Detection System dari Cisco Systems (yang mengakuisisi WheelGroup yang memiliki
produk NetRanger).
·
eTrust Intrusion
Detection dari Computer Associates (yang mengakusisi MEMCO yang memiliki SessionWall-3).
·
Symantec Client Security
dari Symantec
·
Computer Misuse
Detection System dari ODS Networks
·
Kane Security Monitor
dari Security Dynamics
·
Cybersafe
·
Network Associates
·
Network Flight Recorder
·
Intellitactics
·
SecureWorks
·
Snort (open
source)
·
Security Wizards
·
Enterasys Networks
·
Intrusion.com
·
IntruVert
·
ISS
·
Lancope
·
NFR
·
OneSecure
·
Recourse Technologies
·
Vsecure
Comments
Post a Comment