IDS



Intrusion Detection System (IDS) digunakan untuk mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. Intrusion adalah aktivitas tidak sah atau tidak diinginkan yang mengganggu konfidensialitas, integritas dan atau ketersediaan dari informasi yang terdapat di sebuah sistem. IDS akan memonitor lalu lintas data pada sebuah jaringan atau mengambil data dari berkas log. IDS akan menganalisa dan dengan algoritma tertentu akan memutuskan untuk memberi peringatan kepada seorang administrator jaringan atau tidak
Tipe dasar IDS

  • Rule-based systems : berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mencatat lalu lintas yang sesuai dengan database yang ada, maka langsung dikategorikan sebagai penyusupan.
  • Adaptive systems: mempergunakan metode yang lebih canggih. tidak hanya berdasarkan database yang ada, tetapi juga membuka kemungkinan untuk mendeteksi terhadap bentuk-bentuk penyusupan yang baru.

Bentuk yang sering digunakan untuk komputer secara umum adalah rule-based systems. pendekatan yang digunakan dalam rule-based systems ada 2, yaitu pendekatan pencegahan (preemptory) dan pendekatan reaksi (reactionary). Perbedaannya hanya masalah waktu saja. Pada pendekatan pencegahan, program pendeteksi penyusupan akan memperhatikan semua lalu lintaas jaringan. Jika ditemukan paket yang mencurigakan maka program akan melakukan tindakan yang perlu. Pada pendekatan reaksi, program pendeteksi penyusupan, hanya mengamati file log. Jika ditemukan paket yang mencurigakan program juga akan melakukan tindakan yang perlu.

Ada dua jenis IDS, yakni:

  • Network-based Intrusion Detection System (NIDS): Network intrusion detection systems adalah jenis IDS yang bertanggung jawab untuk mendeteksi serangan yang berkaitan dengan jaringan[4]. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada “pintu masuk” jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi.
  • Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet.
Kebanyakan produk IDS merupakan sistem yang bersifat pasif, mengingat tugasnya hanyalah mendeteksi intrusi yang terjadi dan memberikan peringatan kepada administrator jaringan bahwa mungkin ada serangan atau gangguan terhadap jaringan. Akhir-akhir ini, beberapa vendor juga mengembangkan IDS yang bersifat aktif yang dapat melakukan beberapa tugas untuk melindungi host atau jaringan dari serangan ketika terdeteksi, seperti halnya mentutp beberapa port atau memblokir beberapa alamat IP. Produk seperti ini umumnya disebut sebagai Intrusion Prevention System (IPS). Beberapa produk IDS juga menggabungkan kemampuan yang dimiliki oleh HIDS dan NIDS, yang kemudian disebut sebagai sistem hibrid (hybrid intrusion detection system).

Cara kerja IDS

Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan.

Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.

Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak biasa.

Kelebihan

  • dapat mendeteksi “external hackers” dan serangan jaringan internal
  • dapat disesuaikan dengan mudah dalam menyediakan perlindungan untuk keseluruhan jaringan.
  • dapat dikelola secara terpusat dalam menangani serangan yang tersebar dan bersama-sama
  • menyediakan pertahanan pada bagian dalam
  • menyediakan layer tambahan untuk perlindungan
  • ids memonitor Internet untuk mendeteksi serangan
  • ids membantu organisasi utnuk mengembangkan dan menerapkan kebijakan keamanan yang efektif
  • ids memungkinkan anggota non-technical untuk melakukan pengelolaan keamanan menyeluruh
  • adanya pemeriksaan integritas data dan laporan perubahan pada file data
  • ids melacak aktivitas pengguna dari saat masuk hingga saat keluar
  • ids menyederhanakan sistem sumber informasi yang kompleks
  • ids memberikan integritas yang besar bagi infrastruktur keamanan lainnya

Kekurangan
  • Lebih bereaksi pada serangan daripada mencegahnya
  • menghasilkan data yang besar untuk dianalisis
  • rentan terhadap serangan yang “rendah dan lambat”
  • tidak dapat menangani trafik jaringan yang terenkripsi
  • ids hanya melindungi dari karakteristik yang dikenal
  • ids tidak turut bagian dalam kebijakan keamanan yang efektif, karena dia harus diset terlebih dahulu
  • ids tidak menyediakan penanganan kecelakaan
  • ids tidak mengidentifikasikan asal serangan
  • ids hanya seakurat informasi yang menjadi dasarnya
  • Network-based IDS rentan terhadap “overload”
  • Network-based IDS dapat menyalahartikan hasil dari transaksi yang mencurigakan
  • Paket terfragmantasi dapat bersifat problematis

Contoh program IDS

  •   chkwtmp - Program yang melakukan pengecekan terhadap entry kosong. dalam arti wtmp mencatat sesuatu tapi isinya kosong.
  •   tcplogd - Program yang mendeteksi stealth scan. stealth scan adalah scanning yang dilakukan tanpa harus membuat sebuah sesi tcp. sebuah koneksi tcp dapat terbentuk jika klien mengirimkan paket dan server mengirimkan kembali paketnya dengan urutan tertentu, secara terus menerus sehingga sesi tcp dapat berjalan. stealth scan memutuskan koneksi tcp sebelum klien menrima kembali jawaban dari server. scanning model ini biasanya tidak terdeteksi oleh log umum di linux.
  •   hostsentry - Program yang mendeteksi login anomali. anomlai disini termasuk perilaku aneh (bizzare behaviour), anomali waktu (time anomalies), dan anomali lokal (local anomalies).





Referensi

[1] Paez, Rafael et.al, “Cooperative Itinerant Agents (CIA): Security Scheme for Intrusion Detection Systems”, International Conference on Internet Surveillance and Protection (ICISP’06), 2006.
[2] —, 2008. http://ipsec.pl/index.php?q=intrusion-detection/prevention-systems-classification-tree.html. Diakses tanggal 16 April 2008.
[3] R. Heady, G. Luger, A. Maccabe, and M. Servilla. The architecture of a network level intrusion detection system. Technical, Department of Computer Science, University of New Mexico, 1990.
[4] Bueno, Pedro. Understanding IDS for Linux. Linux Journal. 2002.