Apa itu Intrusion Detection System (IDS)
Pernah mendengar kata kata IDS, yang sering berselancar di internet pasti tau apa itu IDS. Ya, IDS atau Intrution Detection System adalah perangkat (atau aplikasi) yang memonitor jaringan dan / atau sistem untuk kegiatan berbahaya atau pelanggaran kebijakan dan memberikan laporan ke administrator atau station manajemen jaringan.
Pencegahan intrusi / pemyusupkan adalah proses melakukan deteksi intrusi dan mencoba untuk menghentikan insiden yang mungkin terdeteksi. Intrusion Detection and Prevention System IDPS atau Sistem pendeteksi intrusi dan pencegahanterutama difokuskan pada identifikasi kemungkinan insiden, mencatat informasi tentang insiden tersebut, mencoba untuk menghentikan mereka, dan melaporkan mereka ke administrator keamanan. Selain itu, organisasi dapat menggunakan IDPS untuk keperluan lain, seperti mengidentifikasi masalah dengan kebijakan keamanan, mendokumentasikan ancaman yang ada, dan menghalangi orang dari melanggar kebijakan keamanan. IDPS telah menjadi tambahan yang diperlukan untuk infrastruktur keamanan hampir setiap organisasi.
IDPS biasanya mencatat informasi yang berkaitan dengan peristiwa yang diamati, memberitahu administrator keamanan penting peristiwa yang diamati, dan menghasilkan laporan. Banyak IDPS juga dapat menanggapi ancaman yang terdeteksi dengan mencoba untuk mencegah berhasil. Mereka menggunakan beberapa teknik respon, yang melibatkan IDPS menghentikan serangan itu sendiri, mengubah lingkungan keamanan (misalnya, konfigurasi ulang firewall), atau mengubah konten serangan ini.
Istilah Istilah di IDS
Ada beberapa istilah yang sering digunakan di IDS, antara lain adalah,
Alert/Alarm - Sebuah kode yang menandakan bahwa sistem sedang atau telah di serang.
True Positive - Serangan sebenarnya yang mentrigger IDS untuk memberikan alarm.
False Positive - Sebuah kejadian yang menyebabkan IDS memberikan alarm saat tidak ada serangan yang terjadi.
False Negative - Kegagalan IDS dalam mendeteksi sebuah serangan yang sesungguhnya.
True Negative - Saat tidak ada serangan yang terjadi dan tidak ada alarm yang di aktifkan.
Noise - Data atau interferensi yang menyebabkan terjadinya false positive.
Site policy - Kebijakan dalam sebuah organisassi yang mengatur rules dan konfigurasi dari sebuah IDS.
Site policy awareness - Kemampuan IDS untuk secara dinamik mengubah rules dan konfigurasinya sebagai responds terhadap aktifitas lingkungan yang berubah-ubah.
Confidence value - Nilai yang diberikan pada IDS berdasarkan pada kinerja dan kemampuan analisa sebelumnya dalam menolong mengidentifikasi sebuah serangan.
Alarm filtering - Proses dalam mengkategorisasi attack alert yang dibuat oleh IDS untuk membedakan antara false positive dan attack yang sesungguhnya.
Tipe Intrusion-Detection System
Pada dasarnya ada dua tipe utama IDS, yaitu,
network-based IDS
host-based IDS
Pada sebuah network-based intrusion-detection system (NIDS), sensor biasanya diletakan pada titik pintu gerbang jaringan, seperti demilitarized zone (DMZ) atau pada perbatasan jaringan. Sensor akan menangkap semua traffic jaringan, menganalisa isi masing-masing paket akan adanya traffic yang tidak baik. NIDS, biasanya sebuah platform independent yang mengidentifitasi penyusupan dengan cara menganalisa traffic dan memonitor beberapa host sekaligus. NIDS memperoleh akses ke traffic jaringan dengan menyambungkan diri ke hub, network switch yang di konfigurasi untuk port mirroring, atau network tap. Contoh dari sebuah NIDS adalah Snort.
Pada sebuah host-basedintrusion-detection system (HIDS), sensor biasanya terdiri dari software agent, yang akan memonitor semua aktifitas di host dimana dia terinstall biasanya dengan menganalisa system call, modifikasi file system (mondifikasi file binary, password, capability / acl database, log berbagai aplikasi, kernel. Contoh dari HIDS adalah OSSEC, tripwire.
Intrusion detection system dapat juga dibuat secara spesifik untuk system yang kita inginkan menggunakan custom tools dan honeypots.
Beberapa Istilah bagi Attacker
Ada beberapa istilah yang sering digunakan untuk penyerang, tergantung pola serangannya, seperti,
Intruders: Penyerang yang berusaha mencari jalan untuk meng-hack informasi dengan cara membobol keamanan jaringan seperti LAN atau Internet.
Masquerader: Pengguna yang tidak mempunyai authorotas ke system, tapi berusaha untuk mengakses informasi sebagai authorized user. Mereka biasanya user dari luar.
Misfeasor: Biasanya pengguna internal, ada dua (2) tipe, yaitu (1) authorized user dengan ijin terbatas, atau (2) user dengan ijin penuh tapi menyalahgunakan ijin-nya.
Clandstine user: Pengguna yang bertindak seperti supervisor dan berusaha menggunakan privilege-nya agar tidak tertangkap.
Passive System vs. Reactive System
Dalam sebuah passive system, sensor Intrusion Detection System (IDS) akan mendeteksi kemungkinan pembobolan security, mencatat informasinya dan memberikan alert ke console dan atau owner. Pada reactive system, juga di kenal sebagai intrusion prevention system (IPS), IPS kan me-responds pada aktifitas yang mencurigakan degnan cara mereset sambungan atau memprogram ulang firewall untuk mem-block traffik dari sumber yang di duga tidak baik. Semua ini bisa terjadi secara automatis atau berdasarkan perintah dari administrator. Pada Reactive Intrusion Detection System, pada saat penyusup atau penyerang terdeteksi, maka IDS tidak akan memberikan alert pada user tapi langsung me-responds pada aktifitas yang ilegal tersebut untuk membatasi aktifitas ilegal tersebut.
Walaupun ke dua-nya berhubungan dengan keamanan jaringan, sebuah Intrusion Detection System (IDS) berbeda dari firewall dimana firewall akan melihat keluar untuk penyusupan agar bisa menghentikannya sebelum terjadi. Firewall akan membatasi akses antar jaringan untuk mencegah terjadinya penyusupan dan tidak bisa memberikan sinyal akan adanya serangan dari dalam jaringan. Sebuah IDS akan mengevaluasi aktifitas yang mengcurigakan seperti penyusupan pada saat hal tersebutterjadi dan memberikan sinyal alarm. Sebuah IDS akan memperhatikan serangan yang berasal dari dalam sistem. IDS secara tradisional berhasil memenuhi tugasnya dengan cara mempelajari komunikasi di jaringan, mengidentifikasi secara menyeluruh akan pola yang ada (sering kali di sebut signature) dari serangan komputer yang sering terjadi, dan memberikan alert pada administrator. Sebuah sistem yang nantinya memutuskan hubungan biasanya di sebut Intrusion Prevention System, dan ini adalah bentuk lain dari application layer firewall.
Istilah IDPS biasanya digunakan untuk sistem keamanan hybrid yang mempunyai kemampuan sekalgus, yaitu, "detect" dan "prevent"
IDS berbasis Statistical Anomaly dan Signature
Sebuah Intrusion Detection Systems akan menggunakan salah satu dari dua teknik deteksi, yaitu, (1) berbasis statistical anomaly dan / atau berbasis signature.
Statistical anomaly based IDS - Sebuah IDS berbasis statistical anomaly menetapkan dasar kinerja berdasarkan evaluasi lalu lintas jaringan. Hal ini kemudian digunakan sebagai sampel untuk baseline untuk mendeteksi apakah traffic tersebut masuk atau tidak adalah dalam parameter baseline. Jika sampel lalu lintas berada diluart parameter baseline, alarm akan dipicu.
Signature-based IDS - Lalu lintas jaringan diperiksa terhadap pola serangan yang telah dikonfigurasikan dan ditentukan sebelumnya yang dikenal sebagai signatures. Banyak serangan saat ini memiliki signature yang berbeda. Dalam praktek keamanan yang baik, koleksi signature ini harus terus diperbarui untuk mengurangi ancaman yang muncul.
Keterbatasan
Ada beberapa keterbatasan yang bisa dialami oleh IDS, yaitu,
Noise - Noise akan sangat membatasi effektifitas Intrusion Detection System. Paket yang jelek yang di hasilkan oleh bug pada software, data DNS yang korup, atau paket lokal yang keluar jaringan bisa membuat tinggi-nya alarm yang salah.
Jumlah attack sedikit- Adalah sangat biasa untuk melihat bahwa jumlah attack yang sebenarnya jauh di bawah dari tingkat alarm yang salah. Akibatnya attack yang sebenarnya sering kali tidak terlihat bahkan di abaikan.
Signature updates - Banyak serangan yang ditujukan untuk versi tertentu dari software yang biasanya usang. Sebuah library dari signature yang dapat terus berubah dibutuhkan untuk mengurangi ancaman. Database signature usang dapat menyebabkan IDS rentan terhadap strategi baru.
Teknik Menghindari IDS
Teknik untuk menghindari Intrusion Detection System membypass deteksi dengan menciptakan kondisi yang berbeda pada IDS dan pada komputer target. Musuh bisa mencapai ini dengan memanipulasi baik serangan itu sendiri atau lalu lintas jaringan yang berisi serangan. Nah demikianlah ilmu yang dapat saya bagikan semoga bermanfaat, dan jika kalian berkenan, boleh kalian share artikel ini. ☺☺☺