IDS adalah sebuah sistem yang melakukan pengawasan terhadap lalu lintas (traffic) jaringan dan pengawasan terhadap kegiatan-kegiatan yang mencurigakan didalam sebuah sistem jaringan. Jika ditemukan kegiatan-kegiatan mencurigakan yang berhubungan dengan lalulintas jaringan, maka IDS akan memberikan perintah kepada sistem atau administrator jaringan. Dalam banyak kasus IDS juga merespon terhadap lalulintas yang tidak normal/anomali melalui aksi pemblokiran user atau alamat IP yang melakukan usaha pengaksesan jaringan tersebut. Ada IDS yang bekerja dengan cara mendeteksi berdasarkan pada pencarian ciri-ciri khusus dari percobaan yang sering dilakukan. Kemudian ada juga IDS yang bekerja dengan cara mendeteksi berdasarkan pada pembandingan pola traffic normal yang ada dan kemudian mencari ketidaknormalan traffic yang ada. Ada IDS yang fungsinya hanya sebagai pengawas dan pemberi peringatan melainkan juga dapat melakukan sebuah kegiatan yang merespon adanya percobaan serangan terhadap sistem jaringan dan komputer.
Beberapa jenis dari IDS adalah:
NIDS (Network Intrusion Detection System)
IDS jenis ini ditempatkan disebuah tempat/titik yang strategis atau didalam sebuah jaringan untuk melakukan pengawasan terhadap traffic yang berasal dari semua alat-alat (devices) dalam jaringan. Semua lalulintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan.
HIDS (Host based IDS)
IDS jenis ini diletakkan pada host yang berdiri sendiri atau perlengkapan dalam sebuah jaringan. Sebuah HIDS melakukan pengawasan terhadap paket-paket yang berasal dari dalam maupun luar hanya pada satu alat saja dan kemudian memberi peringatan kepada user atau administrator sistem jaringa akan adanya kegiatan yang mencurigakan yang terdeteksi oleh HIDS.
IDS memiliki 4 metode untuk melakukan deteksi, yaitu:
Signatured Based Detection
Metode ini akan melakukan pengawasan terhadap paket-paket dalam jaringan dan melakukan pembandingan terhadap paket-paket tersebut dengan basis data signature yang dimiliki oleh sistem IDS ini atau atribut yang dimiliki oleh percobaan serangan yang pernah diketahui. Metode ini efektif bila IDS mendeteksi ancaman yang sudah dikenal tetapi tidak efektif bila ancamannya baru atau tidak dikenal oleh IDS.
Anomaly Based Detection
IDS jenis ini akan mengawasi traffic dalam jaringan dan melakukan perbandingan traffic yang terjadi dengan rata-rata traffic yang ada (stabil). Sistem akan melakukan identifikasi apa yang dimaksud dengan jaringan “normal” dalam jaringan tersebut, berapa banyak bandwidth yang biasanya digunakan di jaringan tersebut, protolkol apa yang digunakan, port-port dan alat-alat apa saja yang biasanya saling berhubungan satu sama lain didalam jaringan tersebut, dan memberi peringatan kepada administrator ketika dideteksi ada yang tidak normal, atau secara signifikan berbeda dari kebiasaan yang ada.
Passive IDS
IDS jenis ini hanya berfungsi sebagai pendeteksi dan pemberi peringatan. Ketika traffic yang mencurigakan atau membahayakan terdeteksi oleh IDS maka IDS akan membangkitkan sistem pemberi peringatan yang dimiliki dan dikirimkan ke administrator atau user dan selanjutnya terserah kepada administrator apa tindakan yang akan dilakukan terhadap hasil laporan IDS.
Reactive IDS
IDS jenis ini tidak hanya melakukan deteksi terhadap traffic yang mencurigakan dan membahayakan kemudian memberi peringatan kepada administrator tetapi juga mengambil tindakan proaktif untuk merespon terhadap serangan yang ada. Biasanya dengan melakukan pemblokiran terhadap traffic jaringan selanjutnya dari alamat IP sumber atau user jika alamat IP sumber atau user tersebut mencoba melakukan serangan lagi terhadap sistem jaringan di waktu selanjutnya.
Pada umumnya suatu Intrusion Detection System digunakan untuk mendeteksi segala macam kegiatan yang tidak di authorisasi ataupun kegiatan yang berbahaya lainnya. IDS memeriksa semua kegiatan traffic jaringan inbound dan outbound dan mengidentifikasi pola-pola yang mencurigakan yang menjurus suatu compromi system atau serangan ke system. Intrusion Detection System bisa membantu anda dalam hal-hal berikut ini:
Secara active mengamati segala macam kegiatan yang mencurigakan
Memeriksa audit logs dengan sangat cermat dan seksama
Mengirim alert kepada administrator saat event-2 khusus di deteksi
Mengunci file-2 penting atau mengunci kemampuannya agar kesaktiannya hilang saat dikuasai oleh musuh
Melacak segala bentuk penyusupan yang bersifat cepat maupun lambat
Memberi tanda segala macam kerentanan yang diketemukan
Mengindentifikasi titik asal penyusup
Melacak lokasi dari logical maupun physical si pembuat onar / penyusup
Terminasi atau interupsi segala macam percobaan penyusupan dan serangan
Dan melakukan konfigurasi ulang router dan firewall untuk mencegah pengulangan-2 dari serangan yang berhasil diketemukan / dideteksi.
Pencegahan terhadap usaha penyusupan memerlukan pemeliharaan yang mencukupi dari suatu system keamanan secara keseluruhan, seperti menerapkan patches dan setting control security. Termasuk juga perlunya merespon segala usaha penyusupan yang telah diketemukan oleh IDS dengan membangun suatu penghalang untuk mencegah terjadinya serangan serupa di masa mendatang. Hal ini bisa saja hanya sekedar mengupdate software atau re-configure access control, atau yang paling drastis adalah configurasi ulang firewall, menghapus atau menggantikan suatu aplikasi atau layanan, bahkan perlunya design ulang infrastruktur jaringan. Keamanan infrastruktur jaringan sangat vital sekali untuk dikedepankan terutama untuk keamanan entry point kearah internet-jaringan publik. Salah satu contoh IDS adalah Cisco IDS 4200 Series.
Referensi:
https://rahedy.wordpress.com/2010/06/10/apakah-itu-ids-intrution-detection-system/
https://keamanan-informasi.stei.itb.ac.id/2013/10/30/menangani-serangan-intrusi-menggunakan-ids-dan-ips/
Tidak ada komentar:
Posting Komentar