Mengenal IDS ( Instrusion Detection System)
IDS (Intrusion
Detection System)
IDS (Intrusion Detection System) merupakan sistem untuk
mendeteksi adanya “intrusion” yang dilakukan oleh “intruder” atau “pengganggu
atau penyusup” di jaringan. IDS (Intrusion Detection System) sangat mirip
seperti alarm, yaitu IDS (Instrusion Detection System) akan memperingati bila
terjadinya atau adanya penyusupan pada jaringan. IDS (Intrusion Detection
System) dapat didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect,
inappropriate yang terjadi di jaringan atau host. IDS (Intrusion Detection
System) adalah sistem keamanan yang bekerja bersama Firewall untuk mengatasi
Intrusion.
Intrusion Detection System (IDS) atau Sistem Pendeteksi
Intrusi adalah sistem yang mengawasi lalu lintas jaringan terhadap tindakan
yang mencurigakan pada suatu host atau jaringan. Jadi, setiap packet yang
melalui jaringan akan dicek terlebih dahulu oleh IDS apakah packet tersebut
termasuk kategori ancaman atau tidak. Jika ternyata ancaman, maka IDS akan
membangkitkan alert untuk memberitahu administrator bahwa terdapat ancaman
terhadap jaringan. Jika tidak,
IDS menganggap sebagai packet normal/bukan ancaman.
IDS juga memiliki cara kerja dalam menganalisa apakah paket
data yang dianggap sebagai intrusion oleh intruser. Cara kerja IDS dibagi
menjadi dua, yaitu :
-
Knowledge Based (Misuse Detection )
Knowledge
Based pada IDS (Intrusion Detection System) adalah cara kerja IDS (Intrusion
Detection System) dengan mengenali adanya penyusupan dengan cara menyadap paket
data kemudian membandingkannya dengan database rule pada IDS (Intrusion
Detection System) tersebut. Database rule tersebut dapat berisi signature –
signature paket serangan. Jika pattern atau pola paket data tersebut terdapat
kesamaan dengan rule pada database rule pada IDS (Intrusion Detection System),
maka paket data tersebut dianggap sebagai serangan dan demikian juga
sebaliknya, jika paket data tersebut tidak memiliki kesamaan dengan rule pada
database rule pada IDS(Intrusion Detection System), maka paket data tersebut
tidak akan dianggap serangan.
-
Behavior Based ( Anomaly Based )
Behavior
Base adalah cara kerja IDS (Intrusion Detection System) dengan mendeteksi
adanya penyusupan dengan mengamati adanya kejanggalan – kejanggalan pada
sistem, atau adanya keanehan dan kejanggalan dari kondiri pada saat sistem
normal, sebagai contoh : adanya penggunaan memory yang melonjak secara terus
menerus atau terdapatnya koneksi secara paralel dari satu IP dalam jumlah
banyak dan dalam waktu yang bersamaan. Kondisi tersebut dianggap kejanggalan
yang selanjutnya oleh IDS (Intrusion Detection System) Anomaly Based ini
dianggap sebagai serangan. Contoh lain: apabila keadaan trafik normal jaringan
1mbps, tiba-tiba pemakaian bandwidth naik menjadi 4mbps, maka IDS berdasarkan
anomaly based ini akan menganggap adanya intrusi terhadap jaringan.
Intrusion itu
sendiri didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect, inappropite
yang terjadi di jaringan atau di host tersebut. Intrusion tersebut kemudian
akan diubah menjadi “rules” ke dalam IDS (Intrusion Detection System). Sebagai
contoh, intrusion atau gangguan seperti port scanning yang dilakukan oleh
intruder. Oleh karena itu IDS (Intrusion Detection System) ditujukan untuk
meminimalkan kerugian yang dapat ditimbulkan dari intrusion.
Jenis – Jenis IDS
-
Network Instrusion Detection System
(NIDS)
Memantau
Anomali di Jaringan dan mampu mendeteksi seluruh host yang berada satu jaringan
dengan host implementasi IDS (Intrusion Detection System) tersebut. NIDS (Network
Instrusion Detection System) pada umumnya bekerja dilayer 2 pada OSI layer, IDS
(Intrusion Detection System) menggunakan “raw traffic” dari proses sniffing kemudian
mencocokknannya dengan signature yang telah ada dalam policy. Jika terdapat
kecocokan antara signature dengan raw traffinc hasil sniffing paket, IDS (Intrusion
Detection System) memberikan allert atau peringgatan sebagai tanda adanya
proses intrusi ke dalam sistem. NIDS (Network Instrusion Detection System) yang
cukup banyak dipakai adalah snort karena signature yang customizable, sehingga
setiap vulnerability baru ditemukan dapat dengan mudah ditambahkan agar jika
terjadi usaha punyusupan atau intrusion dari intruder akan segera terdeteksi.
cotoh
: malihat adanya network scanning
-
Host Instrusion Detection System (HIDS)
Mamantau
Anomali di Host dan hanya mampu mendeteksi pada host tempat implementasi IDS (Intrusion
Detection System) tersebut. HIDS (Host Instrusion Detection System) biasanya
berupa tools yang mendeteksi anomali di sebuah host seperti perubahan file
password dengan penambahan user ber UID 0, perubahan loadable kernel, perubahan
ini script, dan gangguan bersifat anomali lainnya.
contoh
: memonitor logfile, process, file ownership, dan mode.
Seperti
dijelaskan, IDS (Intrusion Detection System) melakukan deteksi gangguan
keamanan dengan melihat Anomali pada jaringan. Anomali dapat dijelaskan sebagai
traffic atau aktifitas yang tidak sesuai dengan kebijakan yang dibuat (policy).
Contoh
Anomali yang dijelaskan sebagai Traffic / aktivitas yang tidak sesuai dengan
policy :
-
Akses dari atau menuji ke host yang
terlarang
-
Memiliki Content atau Patern terlarang
(virus)
-
Menjalakan program terlarang.
IDS tidak hanya
bekerja secara sendiri, IDS (Intrusion Detection System) bekerja mendeteksi
gangguan bersama – sama dengan firewall. Mekanisme penggunaan IDS adalah IDS (Intrusion
Detection System) membantu firewall melakukan pengamanan dengan snort ( open
source ) ataupun dengan menggunakan Box IDS sedangkan firewall menggunakan
Packet Filtering Firewall. Paket Filtering Firewall dapat membatasi akses
koneksi berdasarkan pattern atau pola – pola koneksi yang dilakukan, seperti
protokol, IP source and IP destination, Port Source and Port Destination,
Aliran data dan code bit sehingga daat diatur hanya akses yang sesuai dengan
policy saja yang dapat mengakses sestem. Paket Filtering Firewall bersifat
statik sehingga fungsi untuk membatasi akses juga secara statik, sebagai contoh
: akses terhadap port 80 (webserver) diberikan izin (allow) oleh policy, maka
dari manapun dan apapun aktifitas terhadap port tersebut tetap di ijinakan
meskipun aktifitas tersebut merupakan gannguan (intrusion) ataupun usaha
penetrasi dari para intruder. Untuk itulah Paket Filtering Firewall tidak dapat
mengatasi gangguan yang bersifat dinamik sehingga harus dikombinasikan
penggunaannya dengan IDS (Intrusion Detection System) untuk membantu sistem
hardening atau pengamanan.
IDS (Intrusion Detection System) dan Firewall menggunakan
Engine Sistem Pencegahan Penyusupan untuk melakukan pengamanan secara maksimal,
Engine tersebut bertugas membaca alert dari IDS (Intrusion Detection System),
alert tersebut dapat berupa jenis serangan dan IP address intruder , kemudian
memerintahkan firewall untuk melakukan block ataupun drop akses intruder
tersebut ke koneksi dalam sistem.
Sistem pencegahan intrusion dari para intruder tersebut akan
lebih maksimal jika diletakkan pada router, sehingga daerah kerja sistem
tersebut dapat mencakup semua host yang berada dalam satu jaringan dengan
router sebagai tempat mengimplementasikan sistem pencegahan penyusupan
tersebut. Bila konsentrator menggunakan switch, akan terdapat masalah yang
timbul. Masalah tersebut adalah proses pendeteksian terhadap paket data yang
datang menjadi tidak berfungsi, salah satu cara yang mudah untuk mengatasi
masalah seperti ini, cara tersebut adalah dengan melakukan spoofing MAC address
terhadap host – host yang akan diamati.
-
Paket Decoder
Paket
yang disandikan.
-
Preprocessor (Plug-ins)
Modul
plug-in uang berfungsi untuk mengolah paket sebelum dianalisa.
-
Detection Engine
Rules
from signature.
-
Output Stage
Alert
dan Log.
Ada
beberapa tipe penggunaan IDS (Intrusion Detection System) untuk menajemen
keamanan informasi dan pengamanan jaringan, yaitu dengan menggunakan Snort IDS
(Intrusion Detection System) dan IDS (Intrusion Detection System) dengan
menggunakan Box.
-
Snort IDS
Snort
IDS merupakan IDS open source yang secara defacto menjadi standar IDS (Intrusion
Detection System) di industri. Snort merupakan salah satu software untuk
mendeteksi instruksi pada system, mampu menganalisa secara real-time traffic
dan logging IP, mampu menganalisa port dan mendeteksi segala macam intrusion
atau serangan dari luar seperti buffter overflows, stealth scan, CGI attacks,
SMP probes, OS fingerprinting.
Secara
default Snort memiliki 3 hal yang terpenting, yaitu :
1. Paket
Snifferm
Contoh : tcpdump,
iptraf, dll.
2. Paket
Logger
Berguna dalam Paket
Traffic.
3. NIDS
(Network Intrusion Detection System )
Deteksi Intrusion pada Network
Komponen – komponen Snort IDS (Intrusion
Detection System) meliputi :
-
Rule Snort
Rule Snort merupakan
database yang berisi pola – pola serangan berupa signature jenis – jenis
serangan. Rule snort IDS (Intrusion Detection System) harus selalu terupdate
secara rutin agar ketika ada suatu teknik serangan yang baru, serangan tersebut
dapat terdeteksi. Rule Snort dapat di download pada website www.snort.org.
-
Snort Engine
Snort Engine merupakan
program yang berjalan sebagai daemon proses yang selalu bekerja untuk membaca
paket data dan kemudian membadingkan dengan Rule Snort.
-
Alert
Alert merupakan catatan
serangan pada deteksi penyusupan. Jika Snort engine mendeteksi paket data yang
lewat sebagai sebuah serangan, maka snort engine akam mengirimkan alert berupa
log file. Kemudian alert tersebut akan tersimpan di dalam database.
Hubungan ketiga
komponen snort IDS (Intrusion Detection System) tersebut dapat digambarkan
dalam gambar berikut.
- IDS
(Intrusion Detection System) dengan menggunakan Box
IDS (Intrusion Detection System) dengan menggunakan BOX
adalah IDS (Intrusion Detection System) dengan yang merupakan product dari
suatu perusahaan pengembang keamanan jaringan komputer (Vendor). Sama seperti
IDS (Intrusion Detection System) Snort, IDS (Intrusion Detection System) dengan
menggunakan Box ini memiliki kemampuan yang sama untuk melakukan pendeteksian
terhadap intursion dalam sebuah jaringan. Pada IDS (Intrusion Detection System)
dengan menggunakan Box allert yang digunakan dapat berupa message, message
tersebut dapat berupa sms ataupun email ke administrator.
DS
ini bersifat pasif, artinya hanya mendeteksi intrusi dan
membangkitkan alert saja tanpa disertai tindakan preventif. Untuk
tindakan selanjutnya diserahkan kepada administrator apakah koneksi yang masuk
tersebut harus diblokir atau tidak. Hal ini tentunya saja merepotkan
administrator karena harus mengecek alert satu persatu. Belum lagi
jika jaringan skala besar, bisa jadi terdapat ribuan alert yang harus dipantau.
Untuk mengantisipasi hal ini, dikembangkanlah IPS atau Intrusion
Prevention System.
IPS atau sistem
pencegah intrusi merupakan IDS yang dikombinasikan dengan firewall. Jadi,
apabila terdeteksi adanya serangan, IPS akan
memerintahkan firewall untuk segera memblokir.
SUMBER:
ok sih ini min
BalasHapuslampu servis hp