Intrusion Detection System (IDS) adalah aplikasi software atau hardware yang mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi (penyusupan).
Ada 2 jenis Intrusion Detection System (IDS)
Network-based Intrusion Detection System (NIDS): intrusion detection system pada sebuah jaringan yang mendeteksi percobaan serangan ke dalam sistem jaringan seperti memutuskan jaringan, scan port, atau sniffing jaringan.
NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada "pintu masuk" jaringan. Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet.
IDS bersifat pasif yaitu memberikan peringatan apabila terdeteksi serangan atau gangguan pada jaringan kepada administrator . Oleh karena itu IDS dikembangkan menjadi aktif yang memberi solusi ketika serangan terdeteksi seperti menutup port, block ipaddr. IDS aktif ini disebut Instrusion Prevention System (IPS), penggabungan dari IDS dan IPS disebut Intrusion Detection and Prevention Systems (IDPS)
Cara kerja IDS dengan melakukan pendeteksian berbasis signature yang banyak di pasaran contohnya snort, cara kerjanya mirip antivirus yaitu mencocokkan antara rule di database dengan paket yang lewat, makannya IDS yang bekerja dengan cara ini perlu update rule dari website pembuatnya. Metode yang selanjutnya dengan metode anomaly, metode ini membutuhkan kondisi jaringan yang dianggap normal, apabila mendeteksi sesuatu yang menyimpang dari kebiasaan dan dianggap sebagai serangan, kelemahannya sering mengeluarkan false positive. Metode lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak biasa.
Contoh program Intrusion Detection System (IDS).
Chkwtmp Program yang melakukan pengecekan terhadap entry kosong. dalam arti wtmp mencatat sesuatu tapi isinya kosong.
Tcplogd Program yang mendeteksi stealth scan. stealth scan adalah scanning yang dilakukan tanpa harus membuat sebuah sesi tcp. sebuah koneksi tcp dapat terbentuk jika klien mengirimkan paket dan server mengirimkan kembali paketnya dengan urutan tertentu, secara terus menerus sehingga sesi tcp dapat berjalan. stealth scan memutuskan koneksi tcp sebelum klien menrima kembali jawaban dari server. scanning model ini biasanya tidak terdeteksi oleh log umum di linux.
Hostsentry Program yang mendeteksi login anomali. anomali disini termasuk perilaku aneh (bizzare behaviour), anomali waktu (time anomalies), dan anomali lokal (local anomalies).
Snort adalah program IDS yang bekerja pada umumnya pada sistem operasi Linux, namun banyak pula versi yang dapat digunakan di beragam platform. Snort pada umumnya merujuk kepada intrusion detection system yang sifatnya lightweight atau ringan karena diperuntukkan bagi jaringan kecil. Snort sangat fleksibel karena arsitekturnya yang berbasis rule.
tampilannya masih kacau bi
ReplyDeleteudah di perbaiki
ReplyDelete