Sistem deteksi intrusi
Intrusion
Detection System (disingkat IDS)
merupaka aplikasi perangkat lunak yang berfungsi untuk mendeteksi apabila ada
suatu g]kegiatan yang mencurigakan dikomputer yang digunakan. IDS akan
memberitahukan bagian mana yang terinfeksi oleh virus baik yang ada dalam
komputer ataupun virus yang bergerak dalam lalu lintas jaringan.
Jenis-jenis IDS
Ada dua
jenis IDS, yakni:
- Network-based Intrusion Detection System (NIDS): Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada "pintu masuk" jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi.
- Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet.
Kebanyakan
produk IDS merupakan sistem yang bersifat pasif, mengingat tugasnya hanyalah
mendeteksi intrusi yang terjadi dan memberikan peringatan kepada administrator
jaringan bahwa mungkin ada serangan atau gangguan terhadap jaringan. Akhir-akhir
ini, beberapa vendor juga mengembangkan IDS yang bersifat aktif yang
dapat melakukan beberapa tugas untuk melindungi host atau jaringan dari
serangan ketika terdeteksi, seperti halnya menutup beberapa port atau memblokir beberapa alamat IP. Produk seperti ini umumnya disebut sebagai Intrusion Prevention System (IPS). Beberapa produk IDS juga
menggabungkan kemampuan yang dimiliki oleh HIDS dan NIDS, yang kemudian disebut
sebagai sistem hibrid (hybrid intrusion detection system).
Produk IDS
Beberapa
NIDS dan HIDS yang beredar di pasaran antara lain:
- RealSecure dari Internet Security Systems (ISS).
- Cisco Secure Intrusion Detection System dari Cisco Systems (yang mengakuisisi WheelGroup yang memiliki produk NetRanger).
- eTrust Intrusion Detection dari Computer Associates (yang mengakusisi MEMCO yang memiliki SessionWall-3).
- Symantec Client Security dari Symantec
- Computer Misuse Detection System dari ODS Networks
- Kane Security Monitor dari Security Dynamics
- Cybersafe
- Network Associates
- Network Flight Recorder
- Intellitactics
- SecureWorks
- Snort (open source)
- Security Wizards
- Enterasys Networks
- Intrusion.com
- IntruVert
- ISS
- Lancope
- NFR
- OneSecure
- Recourse Technologies
- Vsecure
Implementasi
& Cara Kerja
Cara kerja
IDS dan jenis serangan yang mampu ditangkalnya
Ada beberapa
cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan
pendeteksian berbasis signature (seperti halnya yang dilakukan oleh
beberapa antivirus), yang melibatkan pencocokan lalu
lintas jaringan dengan basis data yang berisi cara-cara serangan dan
penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature
IDS yang bersangkutan.
Metode
selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based
IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah
serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan
menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang
dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan
kelebihan dibandingkan signature-based IDS, yakni ia dapat mendeteksi
bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini
sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi
lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang
sebenarnya dari banyaknya laporan false positive yang muncul.
Teknik
lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi,
yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas
sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di
dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk
memantau apakah terjadi kejadian yang tidak biasa.
Intrusion prevention systems (IPS)
Intrusion prevention systems (IPS), juga dikenal sebagai deteksi intrusi dan sistem pencegahan (IDPS), merupakan peralatan keamanan jaringan yang memantau jaringan dan / atau sistem kegiatan untuk aktivitas berbahaya. Fungsi utama dari sistem pencegahan intrusi untuk mengidentifikasi aktivitas berbahaya, log informasi tentang kegiatan tersebut, upaya untuk memblokir / menghentikan aktivitas, dan aktivitas laporan.
Intrusion sistem pencegahan dianggap perpanjangan sistem deteksi intrusi karena mereka berdua monitor jaringan lalu lintas dan / atau sistem kegiatan untuk aktivitas berbahaya. Perbedaan utama adalah, tidak seperti sistem deteksi intrusi, intrusi sistem pencegahan ditempatkan di-line dan mampu secara aktif mencegah / memblokir gangguan yang terdeteksi. Lebih khusus, IPS dapat mengambil tindakan seperti mengirim alarm, menjatuhkan paket berbahaya, reset koneksi dan / atau memblokir lalu lintas dari alamat IP menyinggung. Sebuah IPS juga dapat memperbaiki Cyclic Redundancy Check (CRC) kesalahan, unfragment aliran paket, TCP mencegah masalah sequencing, dan membersihkan transportasi yang tidak diinginkan dan pilihan jaringan lapisan.
Intrusion sistem pencegahan dianggap perpanjangan sistem deteksi intrusi karena mereka berdua monitor jaringan lalu lintas dan / atau sistem kegiatan untuk aktivitas berbahaya. Perbedaan utama adalah, tidak seperti sistem deteksi intrusi, intrusi sistem pencegahan ditempatkan di-line dan mampu secara aktif mencegah / memblokir gangguan yang terdeteksi. Lebih khusus, IPS dapat mengambil tindakan seperti mengirim alarm, menjatuhkan paket berbahaya, reset koneksi dan / atau memblokir lalu lintas dari alamat IP menyinggung. Sebuah IPS juga dapat memperbaiki Cyclic Redundancy Check (CRC) kesalahan, unfragment aliran paket, TCP mencegah masalah sequencing, dan membersihkan transportasi yang tidak diinginkan dan pilihan jaringan lapisan.
