Intrution Detection System (IDS)
IDS
(Intrution Detection System) adalah sebuah sistem yang melakukan pengawasan
terhadap traffic jaringan dan pengawasan terhadap kegiatan-kegiatan yang
mencurigakan didalam sebuah sistem jaringan. Jika ditemukan kegiatan kegiatan yang
mencurigakan berhubungan dengan traffic jaringan maka IDS akan memberikan peringatan kepada
sistem atau administrator jaringan. Dalam banyak kasus IDS juga merespon terhadap traffic yang tidak normal/
anomali melalui aksi pemblokiran seorang user
atau alamat IP (Internet Protocol)
sumber dari usaha pengaksesan jaringan[8].
IDS
sendiri muncul dengan beberapa jenis dan pendekatan yang berbeda yang intinya
berfungsi untuk mendeteksi traffic yang mencurigakan didalam sebuah jaringan.
Beberapa jenis IDS adalah : yang
berbasis jaringan (NIDS) dan berbasis
host (HIDS). Ada IDS yang
bekerja dengan cara mendeteksi berdasarkan pada pencarian ciri-ciri khusus dari
percobaan yang sering dilakukan. Cara ini hampir sama dengan cara kerja
perangkat lunak antivirus dalam mendeteksi dan melindungi sistem terhadap
ancaman. Kemudian ada juga IDS yang
bekerja dengan cara mendeteksi berdasarkan pada pembandingan pola traffic normal
yang ada dan kemudian mencari ketidaknormalan traffic yang ada.
jenis – jenis IDS
Adapun jenis-jenis IDS sebagai berikut:
1.
NIDS (Network Intrusion
Detection System).
IDS
jenis ini ditempatkan disebuah tempat/ titik yang strategis atau sebuah titik didalam
sebuah jaringan untuk melakukan pengawasan terhadap traffic yang menuju dan
berasal dari semua alat-alat (devices) dalam jaringan. Idealnya semua traffic
yang berasal dari luar dan dalam jaringan di lakukan di scan, namun
cara ini dapat menyebabkan bottleneck yang mengganggu kecepatan akses di
seluruh jaringan[9].
2.
HIDS (Host Intrution Detection System)
IDS
jenis ini berjalan pada host yang berdiri sendiri atau perlengkapan
dalam sebuah jaringan. Sebuah HIDS
melakukan pengawasan terhadap paket-paket yang berasal dari dalam maupun dari
luar hanya pada satu alat saja dan kemudian memberi peringatan kepada user atau administrator sistem jaringan
akan adanya kegiatan-kegiatan yang mencurigakan yang terdeteksi oleh HIDS[9].
3.
Signature Based
IDS
yang berbasis pada signature akan melakukan pengawasan terhadap paket-paket
dalam jaringan dan melakukan pembandingan terhadap paket-paket tersebut dengan
basis data signature yang dimiliki oleh sistem IDS ini atau atribut yang dimiliki oleh percobaan serangan yang
pernah diketahui. Cara ini hampir sama dengan cara kerja aplikasi antivirus
dalam melakukan deteksi terhadap malware. Intinya adalah akan terjadi
keterlambatan antara terdeteksinya sebuah serangan di internet dengan signature
yang digunakan untuk melakukan deteksi yang di implementasikan didalam basis
data IDS yang digunakan. Jadi bisa
saja basis data signature yang digunakan dalam sistem IDS ini tidak mampu mendeteksi adanya
sebuah percobaan serangan terhadap jaringan karena informasi jenis serangan ini
tidak terdapat dalam basisdata signature sistem IDS ini. Selama waktu keterlambatan tersebut sistem IDS tidak dapat mendeteksi adanya jenis
serangan baru[9].
4.
Anomaly Based
IDS
jenis ini akan mengawasi traffic dalam jaringan dan melakukan
perbandingan traffic yang terjadi dengan rata-rata traffic yang
ada (stabil). Sistem akan melakukan identifikasi apa yang dimaksud dengan
jaringan “normal” dalam jaringan tersebut, berapa banyak bandwidth yang
biasanya digunakan di jaringan tersebut, protokol apa yang digunakan, port-port
dan alat-alat apa saja yang biasanya saling berhubungan satu sama lain didalam
jaringan tersebut, dan memberi peringatan kepada administrator ketika dideteksi
ada yang tidak normal, atau secara signifikan berbeda dari kebiasaan yang ada.
5.
Passive IDS
IDS
jenis ini hanya berfungsi sebagai pendeteksi dan pemberi peringatan. Ketika traffic
yang mencurigakan atau membahayakan terdeteksi oleh IDS maka IDS akan membangkitkan
sistem pemberi peringatan yang dimiliki dan dikirimkan ke administrator atau user dan selanjutnya terserah kepada
administrator apa tindakan yang akan dilakukan terhadap hasil laporan IDS.
6.
Reactive IDS
IDS
jenis ini tidak hanya melakukan deteksi terhadap traffic yang
mencurigakan dan membahayakan kemudian memberi peringatan kepada administrator
tetapi juga mengambil tindakan pro aktif untuk merespon terhadap serangan yang
ada. Biasanya dengan melakukan pemblokiran terhadap traffic jaringan
selanjutnya dari alamat IP sumber
atau user jika alamat IP sumber atau user tersebut mencoba untuk melakukan serangan lagi terhadap sistem
jaringan di waktu selanjutnya.
1.1.2
Snort IDS
Snort IDS merupakan IDS open source yang secara defacto menjadi standar IDS
di industri. Snort dapat
diimplementasikan dalam jaringan yang multiplatform, salah satu kelebihannya
adalah mampu mengirimkan alert dari
mesin Unix atupun Linux ke platform Microsoft Windows dengan melalui SMB[10]. Snort dapat berkerja dalam 3 mode:
sniffer mode (penyadap), packet logger dan network intrusion detection mode.
Mode kerja yang akan digunakan dalam membangun sistem
pencegahan penyusupan dalam mode kerja network intrusion dection. Penyusupan (intrusion) didefinisikan sebagai kegiatan yang bersifat
anomaly, incorrect atau inappropriate yang terjadi di jaringan atau di host.
Komponen-komponen Snort IDS meliputi:
1.
Rule
Snort
Rule
Snort merupakan database yang berisi pola-pola serangan berupa signature
jenis-jenis serangan. Rule Snort IDS ini, harus diupdate
secara rutin agar ketika ada suatu teknik serangan yang baru, serangan tersebut
dapat terdeteksi[10].
2.
Snort
Engine
Snort
Engine merupakan program yang
berjalan sebagai daemon proses yang
selalu bekerja untuk membaca paket data dan kemudian membandingkannya dengan rule Snort.
Dalam sistem Linux, untuk mendeteksi
apakah snort engine dalam keadaan aktif atau tidak dengan melihat prosesnya[10].
3.
Alert
Alert
merupakan catatan serangan pada deteksi penyusupan. Jika snort engine menghukumi
paket data yang lewat sebagai serangan, maka snort engine akan
mengirimkan alert berupa log file.
Untuk kebutuhan analisa, alert dapat
disimpan di dalam database, sebagai
contoh ACID (Analysis Console for Intrusion
Databases) sebagai modul tambahan
pada Snort.
Tidak ada komentar:
Posting Komentar