Sistem deteksi intrusi
Dari
Wikipedia bahasa Indonesia, ensiklopedia bebas
Intrusion Detection
System (disingkat IDS) adalah sebuah aplikasi
perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang
mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi
terhadap lalu lintas inbound dan outbound dalam
sebuah sistem atau jaringan,
melakukan analisis dan mencari bukti dari percobaan intrusi (penyusupan).
Jenis-jenis IDS
Ada dua jenis IDS,
yakni:
·
Network-based Intrusion
Detection System (NIDS): Semua lalu lintas yang
mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan
serangan atau penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di
dalam segmen jaringan penting di mana server berada atau terdapat pada
"pintu masuk" jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit
diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan
fungsi IDS di dalam switchbuatannya untuk memonitor port atau
koneksi.
·
Host-based Intrusion
Detection System (HIDS): Aktivitas sebuah host jaringan
individual akan dipantau apakah terjadi sebuah percobaan serangan atau
penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server
kritis di jaringan, seperti halnya firewall, web server, atau server
yang terkoneksi ke Internet.
Kebanyakan produk IDS
merupakan sistem yang bersifat pasif, mengingat tugasnya hanyalah mendeteksi
intrusi yang terjadi dan memberikan peringatan kepada administrator jaringan
bahwa mungkin ada serangan atau gangguan terhadap jaringan. Akhir-akhir ini,
beberapa vendor juga mengembangkan IDS yang bersifat aktif
yang dapat melakukan beberapa tugas untuk melindungi host atau jaringan dari serangan
ketika terdeteksi, seperti halnya menutup beberapa port atau memblokir
beberapa alamat IP. Produk seperti
ini umumnya disebut sebagai Intrusion Prevention System (IPS).
Beberapa produk IDS juga menggabungkan kemampuan yang dimiliki oleh HIDS dan
NIDS, yang kemudian disebut sebagai sistem hibrid (hybrid intrusion
detection system).
Implementasi & Cara Kerja
Cara
kerja IDS dan jenis serangan yang mampu ditangkalnya
Ada beberapa cara
bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan
pendeteksian berbasis signature (seperti halnya yang dilakukan
oleh beberapa antivirus),
yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi
cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama
seperti halnya antivirus,
jenis ini membutuhkan pembaruan terhadap basis data signature IDS
yang bersangkutan.
Metode selanjutnya
adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based
IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah
serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan
menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang
dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan
kelebihan dibandingkan signature-based IDS, yakni ia dapat
mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS.
Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive.
Sehingga tugas administrator menjadi lebih rumit,
dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari
banyaknya laporan false positive yang muncul.
Teknik lainnya yang
digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan
cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem
operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam
HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau
apakah terjadi kejadian yang tidak biasa.
Produk IDS
Beberapa NIDS dan HIDS
yang beredar di pasaran antara lain:
·
RealSecure dari Internet Security
Systems (ISS).
·
Cisco Secure Intrusion Detection
System dari Cisco Systems (yang mengakuisisi WheelGroup yang memiliki produk
NetRanger).
·
eTrust Intrusion Detection dari
Computer Associates (yang mengakusisi MEMCO yang memiliki SessionWall-3).
·
Symantec Client Security dari
Symantec
·
Computer Misuse Detection System
dari ODS Networks
·
Kane Security Monitor dari Security
Dynamics
·
Cybersafe
·
Network Associates
·
Network Flight Recorder
·
Intellitactics
·
SecureWorks
·
Snort (open source)
·
Security Wizards
·
Enterasys Networks
·
Intrusion.com
·
IntruVert
·
ISS
·
Lancope
·
NFR
·
OneSecure
·
Recourse Technologies
·
Vsecure
0 komentar:
Posting Komentar