Pengertian IDS (Intrusion Detection System )
Pengaman Jaringan Komputer
Intrusion Detection System (disingkat IDS) adalah
sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi
aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat
melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah
sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan
intrusi (penyusupan).
Jenis-jenis IDS
Ada dua jenis IDS, yakni:
* Network-based Intrusion Detection System (NIDS): Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada “pintu masuk” jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi.
Jenis-jenis IDS
Ada dua jenis IDS, yakni:
* Network-based Intrusion Detection System (NIDS): Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada “pintu masuk” jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi.
* Host-based Intrusion Detection System (HIDS):
Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah
percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya
diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web
server, atau server yang terkoneksi ke Internet.
Kebanyakan produk IDS merupakan sistem yang bersifat pasif, mengingat tugasnya hanyalah mendeteksi intrusi yang terjadi dan memberikan peringatan kepada administrator jaringan bahwa mungkin ada serangan atau gangguan terhadap jaringan. Akhir-akhir ini, beberapa vendor juga mengembangkan IDS yang bersifat aktif yang dapat melakukan beberapa tugas untuk melindungi host atau jaringan dari serangan ketika terdeteksi, seperti halnya menutup beberapa port atau memblokir beberapa alamat IP. Produk seperti ini umumnya disebut sebagai Intrusion Prevention System (IPS). Beberapa produk IDS juga menggabungkan kemampuan yang dimiliki oleh HIDS dan NIDS, yang kemudian disebut sebagai sistem hibrid (hybrid intrusion detection system).
Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan.
Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.
Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak biasa.
Produk IDS
Beberapa NIDS dan HIDS yang beredar di pasaran antara lain:
Kebanyakan produk IDS merupakan sistem yang bersifat pasif, mengingat tugasnya hanyalah mendeteksi intrusi yang terjadi dan memberikan peringatan kepada administrator jaringan bahwa mungkin ada serangan atau gangguan terhadap jaringan. Akhir-akhir ini, beberapa vendor juga mengembangkan IDS yang bersifat aktif yang dapat melakukan beberapa tugas untuk melindungi host atau jaringan dari serangan ketika terdeteksi, seperti halnya menutup beberapa port atau memblokir beberapa alamat IP. Produk seperti ini umumnya disebut sebagai Intrusion Prevention System (IPS). Beberapa produk IDS juga menggabungkan kemampuan yang dimiliki oleh HIDS dan NIDS, yang kemudian disebut sebagai sistem hibrid (hybrid intrusion detection system).
Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan.
Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.
Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak biasa.
Produk IDS
Beberapa NIDS dan HIDS yang beredar di pasaran antara lain:
- RealSecure
dari Internet Security Systems (ISS).
- Cisco
Secure Intrusion Detection System dari Cisco Systems (yang mengakuisisi
WheelGroup yang memiliki produk NetRanger).
- eTrust
Intrusion Detection dari Computer Associates (yang mengakusisi MEMCO yang
memiliki SessionWall-3).
- Symantec
Client Security dari Symantec
- Computer
Misuse Detection System dari ODS Networks
- Kane
Security Monitor dari Security Dynamics
- Cybersafe
- Network
Associates
- Network
Flight Recorder
- Intellitactics
- SecureWorks
- Snort
(open source)
- Security
Wizards
- Enterasys
Networks
- Intrusion.com
- IntruVert
- ISS
- Lancope
- NFR
- OneSecure
- Recourse
Technologies
- Vsecure
** Updated **
* Satu jenis IDS yang terakhir dan pelengkap dari 2 jenis IDS sebelumnya adalah Honey Net Decoy-Based Intrusion Detection System.
Sistem
ini mendeteksi,memantau dan menyimpan data tentang akses tanpa izin dan
penyalahgunaan sistem yang sedang terjadi. Sistem ini menggunakan “honeypot”,
seperti sebuah sarang madu yang menggiurkan yang digunakan sebagai umpan untuk
mengelabui penyerang.* Satu jenis IDS yang terakhir dan pelengkap dari 2 jenis IDS sebelumnya adalah Honey Net Decoy-Based Intrusion Detection System.
Sementara sumber daya / server utama tetap aman tak tersentuh, semua serangan dialihkan ke honeypot, hingga kemungkinan serangan-serangan dari luar maupun dari dalam, bisa terdeteksi dan tercatat, hingga dapat dianalisa sebagai indikator awal adanya kemungkinan percobaan intrusion/penyerangan.
0 komentar:
Posting Komentar