Intrusion Detection System _IDS_ - PowerPoint by cuiliqing

VIEWS: 53 PAGES: 9

									Intrusion Detection
   System (IDS)
Definisi
• Intrusion Detection System (disingkat IDS)
  adalah sebuah aplikasi/perangkat lunak atau
  perangkat keras yang dapat mendeteksi
  aktivitas yang mencurigakan dalam sebuah
  sistem atau jaringan.
• IDS dapat melakukan inspeksi terhadap lalu
  lintas inbound dan outbound dalam sebuah sistem
  atau jaringan, melakukan analisis dan mencari
  bukti dari percobaan intrusi (penyusupan).
Pentingnya IDS

• Jika suatu gangguan cepat terdeteksi, maka penyusup akan
  dapat diidentifikasi dan disingkirkan dari sistem sebelum
  kerusakan pada bagian tertentu terjadi, atau data tertentu di
  ganti atau di rusak. Dengan demikian semakin sedikit jumlah
  kerusakan dan pemulihan sistem yang jauh lebih cepat dapat
  dicapai.
• IDS yang efektif dapat melayani seperti sebuah alat penangkis
  (sehingga dapat mencegah gangguan).
• IDS mampu mengumpulkan informasi tentang teknik-teknik
  intrusion yang dapat digunakan untuk memperkuat fasilitas
  pencegahan gangguan (intrusion prevention).
Jenis-jenis IDS
-   Network-based Intrusion Detection System (NIDS)

    Merupakan jenis IDS yang bekerja dengan cara menganalisa paket data
    yang dianggap serangan yang melintas melewati network.

    • NIDS menganalisa serangan pada traffic network menggunakan
    signature atau anomaly detection (atau keduanya). Network interface card
    tidak memilih-milih paket yang ada, artinya ia akan meng-capture semua
    lalu lintas jaringan yang melewati NIC, tidak hanya traffic yang
    diperuntukan bagi sistem IDS saja.

    • Membuat peringatan secara real time untuk memberitahukan kita akan
    datangnya serangan.

    • Membuat log secara rinci saat terjadi serangan, ini berguna untuk
    menganalisa penyerang setelah terjadinya serangan.

    • NIDS dapat didesain sesuai dengan infrastruktur jaringan kita.
-   Host-based Intrusion Detection System (HIDS)
    HIDS hanya memonitor serangan di satu komputer (host) saja.

    • HIDS mencari serangan dari paket network yang masuk, menggunakan
    signature atau anomaly detection. Biasanya, NIC di sistem yang
    menjalankan HIDS tidak berjalan di promiscuous mode.

    • HIDS memeriksa log di sistem untuk mencari serangan yang terjadi.

    • HIDS mengecek integritas file di sistem. Cara ini dilakukan dengan
    membandingkan file yang telah dimodifikasikan dalam sistem. Selain itu
    kita juga bisa mengetahui file-file yang telah dibuat atau dihapus. Ini
    berguna untuk mendeteksi apakah program backdoor atau trojan telah
    terinstall di dalam sistem.
Konsep IDS
1. False positif
   - Mendapat laporan serangan, padahal itu bukan serangan.
   - False positif bisa saja terjadi karena adanya serangan pada sistem
   yang tidak di monitor.
2. False negatif
   - Serangan yang benar-benar terjadi tetapi tidak terdeteksi oleh IDS.
   IDS bisa melewatkan serangan karena menganggap serangan yang
   dilakukan tidak sesuai dengan aturan yang ada (rule), atau karena
   terlalu banyak serangan, atau bisa juga karena penyerang berhasil
   melumpuhkan IDS.
   - Dampak dari false negatif ini artinya penyerang berhasil melewati
   IDS, sama artinya dengan ada yang menyerang kita, tapi kita tidak
   menyadarinya!
                   Metode Pendeteksian

• Signature detection
  Melibatkan pencocokan trafic jaringan dengan basis data yang berisi cara-
   cara serangan dan penyusupan yang sering dilakukan oleh penyerang.
   Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap
   basis data signature IDS yang bersangkutan.
• Anomaly-based IDS
  -  Dilakukan dengan menggunakan teknik statistik untuk
   membandingkan trafic yang sedang dipantau dengan trafic normal
   yang biasa terjadi.
   -    Kelebihan : dapat mendeteksi bentuk serangan yang baru dan
   belum terdapat di dalam basis data signature IDS.
   -    Kelemahan : adalah jenis ini sering mengeluarkan pesan false
   positive. Sehingga tugas administrator menjadi lebih rumit, dengan
   harus memilah-milah mana yang merupakan serangan yang
   sebenarnya dari banyaknya laporan false positive yang muncul.
                                        Produk IDS
•   RealSecure dari Internet Security Systems (ISS).
•   Cisco Secure Intrusion Detection System dari Cisco Systems
•   eTrust Intrusion Detection dari Computer Associates (yang mengakusisi MEMCO yang memiliki SessionWall-3).
•   Symantec Client Security dari Symantec
•   Computer Misuse Detection System dari ODS Networks
•   Kane Security Monitor dari Security Dynamics
•   Cybersafe
•   Network Associates
•   Network Flight Recorder
•   Intellitactics
•   SecureWorks
•   Snort (open source)
•   Security Wizards
•   Enterasys Networks
•   Intrusion.com
•   IntruVert
•   ISS
•   Lancope
•   NFR
•   OneSecure
•   Recourse Technologies
•   Vsecure

								
To top