# IDS (Intrusion Detection System) Langsung ke konten utama

IDS (Intrusion Detection System)

IDS (Intrusion Detection System)
Intrusion Detection System adalah sebuah sistem yang dapat digunakan untuk mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan penyusupan.
Komponen IDS
IDS terbentuk dari beberapa komponen berikut :
  • Sensor atau Agent, berfungsi memantau kegiatan.
  • Management Server, perangkat yang berfungsi menerima dan mengelola informasi dari Sensor atau Agent.
  • Database Server, tempat menyimpan informasi yang di catat oleh Sensor, Agent, maupun hasil analisa Management Server.
  • Console, merupakan program yang menyediakan interface ke user dan administrator IDS. Beberapa Console digunakan untuk mengkonfigurasi Sensor atau Agent dan juga digunakan untuk memantau.
Jenis IDS
  • Network IDS, memeriksa setiap paket yang memasuki jaringan untuk mengetahui adanya anomali dan data yang bermasalah. NIDS pada dasarnya dirancang untuk mengidentifikasi anomali pada level perangkat jaringan berupa switch, router dan host. NIDS mengaudit informasi yang terkandung dalam paket data, mencatat informasi paket bermasalah (mailicious).

  • Host IDS, dapat diinstal pada sistem sebuah perangkat host berupa PC hingga server. Mekanisme ini biasanya mencakup audit untuk peristiwa yang terjadi pada host tertentu. IDS menganalisis perilaku masing-masing sistem.



  • Pemantauan File Log, memonitor file log yang dibuat oleh layanan jaringan. IDS mencari melalui log dan mengidentifikasi kejadian yang mencurigakan. Sistem mencari pola dalam file log untuk mengidentifikasi adanya gangguan . Mekanisme ini biasanya program yang mem-parsing file log setelah suatu peristiwa telah terjadi, seperti upaya login yang gagal
  • File integrity Checking (Pemeriksaan integritas file), Mekanisme yang dilakukan oleh IDS jenis  ini adalah dengan cara memeriksa file. Memantau file untuk menentukan apakah penyusup sudah memodifikasi file tersebut. IDS jenis ini contohnya Tripwire melalui sistem SIV (System Integrity Verifier). 
Cara Mendeteksi Adanya Aktivitas Penyusupan
Sebuah penyusupan dapat terdeteksi dengan 3 cara, yakni :
  • Mendeteksi berbasis Signature, pengenalan signature dikenal juga sebagai deteksi penyalahgunaan (misuse detection).  Metode ini mencoba mengidentifikasi suatu kejadian yang menunjukkan penyalahgunaan sistem dengan model penyusupan yang sebelumnya sudah tersedia dalam sebuah database yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang untuk membuat keputusan ada atau tidaknya penyusupan. Metode ini efektif bila IDS mendeteksi ancaman yang sudah dikenali, untuk jenis serangan baru metode ini kurang efektif.
  • Mendeteksi berbasis Anomali, jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi.
  • Mendeteksi Anomali Protokol, menyerupai anomaly-based, yaitu membandingkan profil yang sudah ada dengan kegiatan yang sedang berlangsung untuk mengidentifikasi penyimpangan. Namun, tidak seperti Anomaly-Based Detection yang menggunakan profil host, Stateful Protocol Analysis menggunakan profil yang lebih luas yang dapat merinci bagaimana sebuah protokol dapat digunakan atau tidak. 
Respon Terhadap adanya Insiden
  • Ketika insiden terjadi, IDS merespon insiden yang ada dengan memberikan peringatan kepada administrator lewat peringatan (alarm), sifat dari peringatan tersebut, terdiri dari  :
  • True Positive : Ketika terdapat upaya penyusupan terhadap target dan IDS berhasil mendeteksi aktivitas penyusupan tersebut dengan membangkitan peringatan (alarm).
  •  True Negative : Ketika tidak terdapat aktivitas penyusupan terhadap target dan IDS juga tidak membangkitan peringatan (alarm) .
  • False Positive : Ketika tidak terdapat aktivitas penyusupan terhadap target tapi IDS membangkitkan peringatan (alarm) yang menandai adanya penyusupan.
  • False Negative : Ketika tidak terdapat aktivitas penyusupan terhadap target tetapi IDS tidak dapat mendeteksi adanya aktivitas tersebut.

Intrusion Prevention System
Saat ini berkembang teknologi IPS (Intrusion Prevention System), teknologi yang mengkombinasikan kemampuan filtering dari Firewall dan kedalaman inspeksi paket data dari Intrusion Detection System (IDS).
Produk IDS/IPS
Contoh sistem IDS antara lain : Snort , Bro dan lain lain. Saat ini umumnya IDS sudah terdapat pula di perangkat UTM (Unified Threat Management) seperti produk dari Sonicwall, Astaro, dan sebagainya.

Contoh pemasangan IDS/IPS pada topologi Jaringan

Komentar

  1. Unknown10 April 2020 pukul 22.31

    assalamualaikum pak izin bertanya. untuk mendeteksi penyusupan kan ada 3 cara pak, diantara ketiga cara tersebut yang paling efeketif diaplikasikan didalam sebuah sistem yang mana pak ?

    BalasHapus
    Balasan
    1. Coretan CakZen10 April 2020 pukul 23.09

      ketiganya memiliki kelebihan dan kekurangan,
      mis: signature based kurang efektif utk menghadapi jenis ancaman baru yang belum dikenal. Utk ancaman jenis baru akan lebih efektif menggunakan anomali based atau protokol analysis based. Tetapi terkadang memperoleh hasil yang bersifat false positive. Untuk lebih efektif tool IDS umumnya mengkombinasi ketiga mekanisme tersebut.

      Hapus
  2. Unknown10 April 2020 pukul 22.32

    maaf sebelumnya, apakah ada cara untuk mengelabuhi ids. Dan di perangkat apa sebenarnya ids itu bekerja? apakah di host saja, atau harus ada di perangkat networknya juga?

    BalasHapus
    Balasan
    1. Coretan CakZen10 April 2020 pukul 23.24

      Beberapa teknik untuk mengelabui IDS : fragmentation attack , enkripsi atau teknik lainnya.
      IDS terpasang bisa di host (Host IDS ), akan tetapi kemampuannya hanya mendeteksi anomali trafik terhadap 1 host saja.
      untuk NIDS diinstall di sebuah host atau bisa juga di perangkat jaringan (router, switch) yang memiliki fitur IDS/IPS .
      Umumnya perangkat firewall / UTM (Unified Threat Management) sudah terpasang IDS/IPS.

      Hapus
    2. Unknown10 April 2020 pukul 23.31

      terimakasih banyak

      Hapus
  3. Yhudi Cornelius10 April 2020 pukul 23.37

    punten pak, untuk inbound dan outbound itu dalam saluran jaringan tuh apa ya maksudnya ?

    BalasHapus

Posting Komentar

Postingan populer dari blog ini

Standard Operational Procedure

SOP ( Standard Operational Procedure ) Pengertian SOP SOP ( Standard Operational Procedure ) menurut Akyar merupakan dokumen proses yang menjelaskan secara terperinci mengenai bagaimana cara melakukan sesuatu dalam sebuah kegiatan operasional. Pengertian standar operasional prosedur (SOP) menurut Istyadi Insani    adalah dokumen yang berisi serangkaian instruksi tertulis yang dibakukan mengenai berbagai proses penyelenggaraan administrasi perkantoran yang berisi cara melakukan pekerjaan, waktu pelaksanaan, tempat penyelenggaraan dan aktor yang berperan dalam kegiatan. Dapat disederhanakan SOP adalah kumpulan dari instruksi mengenai aktifitas yang didokumentasikan secara berulang pada sebuah organisasi. Tujuan SOP SOP digunakan untuk menjaga konsistensi kegiatan operasional serta sebagai tolak ukur keberhasilan suatu kegiatan operasional. Dengan SOP, organisasi dapat mendefinisikan tujuan dari kegiatan operasionalnya, dan seluruh komponen terkait seperti al...
Posting Komentar
Read more »

Mengenal Ancaman dan Serangan Terhadap Sistem Informasi

Pendahuluan Fenomena E-Bisnis tidak dapat disangkal telah menjadi trend yang mewarnai aktivitas bisnis baik di negara maju maupun berkembang. Konsep baru yg berkembang karena kemajuan teknologi informasi dan berbagai paradigma bisnis baru yg dianggap sebagai kunci sukses perusahaan di era informasi masa mendatang. Secara ringkas dapat dikatakan bahwa e-bisnis adalah : merupakan satu set dinamis teknologi, aplikasi & proses bisnis yang menghubungkan perusahaan, konsumen & komunitas tertentu secara elektronik. Salah satu sarana yang digunakan untuk melakukan transaksi diantara entitas e-bisnis adalah internet. Internet merupakan salah satu bentuk model jaringan yang menghubungkan antar komputer. Jaringan komputer merupakan media yang secara native bersifat kurang aman.   Melalui jaringan komputer tindakan kejahatan dapat dilakukan, mulai dari penyadapan/pengintipan hingga pencurian dan pengrusakan data/informasi. Berkaitan dengan hal tersebut, salah satu fa...
Posting Komentar
Read more »

Firewall

Firewall merupakan suatu sistem pengamanan jaringan yang berperan sebagai perimeter antar jaringan dengan melakukan mekanisme penyaringan terhadap trafik yang masuk maupun yang keluar. Firewall dapat berupa hardware ataupun software yang terinstall pada sebuah komputer. Fungsi firewall dalam jaringan adalah sebagai berikut: Menjadi pengontrol dan pengawas paket data yang masuk ke dalam/ ke luar   jaringan. Firewall harus dapat menjadi pengatur, penyaring dan juga pengontrol lalu lintas data. Melaksanakan otentikasi terhadap akses data. Melakukan pencatatan pada semua transaksi dari seluruh peristiwa yang terjadi didalam firewall. Melindungi akses terhadap suatu layanan Jenis firewall berdasarkan skalanya : Personal firewall, firewall yang terpasang di sebuah komputer, untuk melindungi komputer tersebut dari akses yang tidak diizinkan melalui jaringan. Network firewall, pelindung jaringan secara keseluruhan dari semua serangan yang berasala...
Posting Komentar
Read more »