Apa itu Intrusion Detection System (IDS)?

23 Mar. 2017
Onno W. Purbo
Ikuti
Pengikut 1366

Intrution Detection System atau IDS adalah perangkat (atau aplikasi)
yang memonitor jaringan dan / atau sistem untuk kegiatan berbahaya
atau pelanggaran kebijakan dan memberikan laporan ke administrator
atau station manajemen jaringan. Pencegahan intrusi / pemyusupkan
adalah proses melakukan deteksi intrusi dan mencoba untuk
menghentikan insiden yang mungkin terdeteksi. Intrusion Detection and
Prevention System IDPS atau Sistem pendeteksi intrusi dan
pencegahanterutama difokuskan pada identifikasi kemungkinan insiden,
mencatat informasi tentang insiden tersebut, mencoba untuk
menghentikan mereka, dan melaporkan mereka ke administrator
keamanan. Selain itu, organisasi dapat menggunakan IDPS untuk
keperluan lain, seperti mengidentifikasi masalah dengan kebijakan
keamanan, mendokumentasikan ancaman yang ada, dan menghalangi
orang dari melanggar kebijakan keamanan. IDPS telah menjadi
tambahan yang diperlukan untuk infrastruktur keamanan hampir setiap
organisasi.

IDPS biasanya mencatat informasi yang berkaitan dengan peristiwa
yang diamati, memberitahu administrator keamanan penting peristiwa
yang diamati, dan menghasilkan laporan. Banyak IDPS juga dapat
menanggapi ancaman yang terdeteksi dengan mencoba untuk
mencegah berhasil. Mereka menggunakan beberapa teknik respon, yang
melibatkan IDPS menghentikan serangan itu sendiri, mengubah
lingkungan keamanan (misalnya, konfigurasi ulang firewall), atau
mengubah konten serangan ini.

Istilah Istilah di IDS
Ada beberapa istilah yang sering digunakan di IDS, antara lain adalah,

yaitu. Site policy awareness . False Negative .Nilai yang diberikan pada IDS berdasarkan pada kinerja dan kemampuan analisa sebelumnya dalam menolong mengidentifikasi sebuah serangan.Sebuah kode yang menandakan bahwa sistem sedang atau telah di serang.Kemampuan IDS untuk secara dinamik mengubah rules dan konfigurasinya sebagai responds terhadap aktifitas lingkungan yang berubah-ubah.Sebuah kejadian yang menyebabkan IDS memberikan alarm saat tidak ada serangan yang terjadi. True Positive . Alert/Alarm .Serangan sebenarnya yang mentrigger IDS untuk memberikan alarm. True Negative . Tipe Intrusion-Detection System Pada dasarnya ada dua tipe utama IDS. Noise . Confidence value . False Positive .Proses dalam mengkategorisasi attack alert yang dibuat oleh IDS untuk membedakan antara false positive dan attack yang sesungguhnya.Kegagalan IDS dalam mendeteksi sebuah serangan yang sesungguhnya. network-based IDS host-based IDS . Alarm filtering .Data atau interferensi yang menyebabkan terjadinya false positive.Kebijakan dalam sebuah organisassi yang mengatur rules dan konfigurasi dari sebuah IDS.Saat tidak ada serangan yang terjadi dan tidak ada alarm yang di aktifkan. Site policy .

Beberapa Istilah bagi Attacker Ada beberapa istilah yang sering digunakan untuk penyerang. Misfeasor: Biasanya pengguna internal. Pada sebuah host-basedintrusion-detection system (HIDS). tripwire. seperti. NIDS memperoleh akses ke traffic jaringan dengan menyambungkan diri ke hub. atau (2) user dengan ijin penuh tapi menyalahgunakan ijin-nya. Sensor akan menangkap semua traffic jaringan. atau network tap. seperti demilitarized zone (DMZ) atau pada perbatasan jaringan. Intruders: Penyerang yang berusaha mencari jalan untuk meng- hack informasi dengan cara membobol keamanan jaringan seperti LAN atau Internet. Reactive System . Contoh dari HIDS adalah OSSEC. sensor biasanya terdiri dari software agent. kernel. password. Contoh dari sebuah NIDS adalah Snort. log berbagai aplikasi. tergantung pola serangannya. NIDS. Masquerader: Pengguna yang tidak mempunyai authorotas ke system. yaitu (1) authorized user dengan ijin terbatas. Intrusion detection system dapat juga dibuat secara spesifik untuk system yang kita inginkan menggunakan custom tools dan honeypots.Pada sebuah network-based intrusion-detection system (NIDS). Clandstine user: Pengguna yang bertindak seperti supervisor dan berusaha menggunakan privilege-nya agar tidak tertangkap. ada dua (2) tipe. tapi berusaha untuk mengakses informasi sebagai authorized user. Mereka biasanya user dari luar. biasanya sebuah platform independent yang mengidentifitasi penyusupan dengan cara menganalisa traffic dan memonitor beberapa host sekaligus. yang akan memonitor semua aktifitas di host dimana dia terinstall biasanya dengan menganalisa system call. network switch yang di konfigurasi untuk port mirroring. modifikasi file system (mondifikasi file binary. capability / acl database. Passive System vs. menganalisa isi masing-masing paket akan adanya traffic yang tidak baik. sensor biasanya diletakan pada titik pintu gerbang jaringan.

Firewall akan membatasi akses antar jaringan untuk mencegah terjadinya penyusupan dan tidak bisa memberikan sinyal akan adanya serangan dari dalam jaringan. sensor Intrusion Detection System (IDS) akan mendeteksi kemungkinan pembobolan security. "detect" dan "prevent" IDS berbasis Statistical Anomaly dan Signature Sebuah Intrusion Detection Systems akan menggunakan salah satu dari dua teknik deteksi. mencatat informasinya dan memberikan alert ke console dan atau owner. . dan memberikan alert pada administrator. sebuah Intrusion Detection System (IDS) berbeda dari firewall dimana firewall akan melihat keluar untuk penyusupan agar bisa menghentikannya sebelum terjadi. IDS secara tradisional berhasil memenuhi tugasnya dengan cara mempelajari komunikasi di jaringan. (1) berbasis statistical anomaly dan / atau berbasis signature. Sebuah sistem yang nantinya memutuskan hubungan biasanya di sebut Intrusion Prevention System. IPS kan me-responds pada aktifitas yang mencurigakan degnan cara mereset sambungan atau memprogram ulang firewall untuk mem-block traffik dari sumber yang di duga tidak baik.Dalam sebuah passive system. Sebuah IDS akan memperhatikan serangan yang berasal dari dalam sistem. Walaupun ke dua-nya berhubungan dengan keamanan jaringan. dan ini adalah bentuk lain dari application layer firewall. Sebuah IDS akan mengevaluasi aktifitas yang mengcurigakan seperti penyusupan pada saat hal tersebutterjadi dan memberikan sinyal alarm. yaitu. pada saat penyusup atau penyerang terdeteksi. Pada reactive system. juga di kenal sebagai intrusion prevention system (IPS). Semua ini bisa terjadi secara automatis atau berdasarkan perintah dari administrator. yaitu. mengidentifikasi secara menyeluruh akan pola yang ada (sering kali di sebut signature) dari serangan komputer yang sering terjadi. Istilah IDPS biasanya digunakan untuk sistem keamanan hybrid yang mempunyai kemampuan sekalgus. Pada Reactive Intrusion Detection System. maka IDS tidak akan memberikan alert pada user tapi langsung me-responds pada aktifitas yang ilegal tersebut untuk membatasi aktifitas ilegal tersebut.

Teknik Menghindari IDS Teknik untuk menghindari Intrusion Detection System membypass deteksi dengan menciptakan kondisi yang berbeda pada IDS dan pada komputer target. Hal ini kemudian digunakan sebagai sampel untuk baseline untuk mendeteksi apakah traffic tersebut masuk atau tidak adalah dalam parameter baseline. Database signature usang dapat menyebabkan IDS rentan terhadap strategi baru. koleksi signature ini harus terus diperbarui untuk mengurangi ancaman yang muncul. Noise . . Signature updates . Jumlah attack sedikit. Keterbatasan Ada beberapa keterbatasan yang bisa dialami oleh IDS. Banyak serangan saat ini memiliki signature yang berbeda.Lalu lintas jaringan diperiksa terhadap pola serangan yang telah dikonfigurasikan dan ditentukan sebelumnya yang dikenal sebagai signatures. yaitu. Jika sampel lalu lintas berada diluart parameter baseline. alarm akan dipicu. Sebuah library dari signature yang dapat terus berubah dibutuhkan untuk mengurangi ancaman. atau paket lokal yang keluar jaringan bisa membuat tinggi-nya alarm yang salah.Sebuah IDS berbasis statistical anomaly menetapkan dasar kinerja berdasarkan evaluasi lalu lintas jaringan. data DNS yang korup. Signature-based IDS .Statistical anomaly based IDS . Dalam praktek keamanan yang baik. Paket yang jelek yang di hasilkan oleh bug pada software.Banyak serangan yang ditujukan untuk versi tertentu dari software yang biasanya usang.Adalah sangat biasa untuk melihat bahwa jumlah attack yang sebenarnya jauh di bawah dari tingkat alarm yang salah.Noise akan sangat membatasi effektifitas Intrusion Detection System. Akibatnya attack yang sebenarnya sering kali tidak terlihat bahkan di abaikan. Musuh bisa mencapai ini dengan memanipulasi baik serangan itu sendiri atau lalu lintas jaringan yang berisi serangan.

Ikuti . Rakyat Indonesia biasa saja. Mantan Dosen. Penulis. Onno W. Purbo Pengikut 1366 Bekerja di XECUREIT.