IDS ( Intrusion Detection System)
Transcript of IDS ( Intrusion Detection System)
IDS( Intrusion Detection System )Kelompok
Rahmat Hermanto 125974202Abdullah Umar G.W.S. 125974216
Intrusion = penyusupan, gangguan, dsb Detection = deteksi
Principle Komputer yang tidak berada dibawah serangan,
menunjukkan beberapa karakteristik : Tindakan pengguna dan proses umumnya sesuai
dengan pola statistik yang sudah diprediksi. Tindakan pengguna dan proses tidak termasuk ke
dalam urutan perintah untuk mengagalkan kebijakan keamanan sistem. Jadi, setiap urutan perintah yang mengandung perintah untuk menggagalkan kebijakan keamanan akan dianggap sebuah potensi terjadinya serangan.
Tindakan proses sesuai dengan aturan yang menjelaskan tindakan tersebut diizinkan untuk dilakukan atau tidak diperbolehkan untuk dilakukan.
Basic Intrusion Detection Mendeteksi berbagai gangguan. Mendeteksi intrusi secara tepat waktu. Menampilkan hasil analisis dalam
format sederhana yang mudah dimengerti.
Akurat.
Implementasi dan Cara Kerja Rule Base (NIDS) Adaptive System (NIDS) Target Monitoring
(HIDS)
Jenis-jenis IDS Dua jenis IDS, yakni :
Networ-based IDS (NIDS) Menganalisis untuk mencari apakah ada
percobaan serangan atau penyusupan ke dalam sistem jaringan.
NIDS terletak pada segment jaringan penting. Host-based IDS (HIDS)
Memantau aktivitas sebuah HOST jaringan individual terhadap kemungkinan serangan.
HIDS terletak pada serve2 kritis di jaringan.
Produk IDS RealSecure dari Internet Security Systems (ISS). Cisco Secure Intrusion Detection System dari Cisco Systems (yang
mengakuisisi WheelGroup yang memiliki produk NetRanger). eTrust Intrusion Detection dari Computer Associates (yang mengakusisi
MEMCO yang memiliki SessionWall-3). Symantec Client Security dari Symantec Computer Misuse Detection System dari ODS Networks Kane Security Monitor dari Security Dynamics Cybersafe Network Associates Network Flight Recorder Intellitactics SecureWorks Snort (open source)
Organization of IDS Monitoring NetworkTraffic for Intrusion
Network Security Monitor memeriksa lalu lintas jaringan saja
NSM ini memantau sumber, tujuan, dan layanan lalu lintas jaringan. Ini memberikan ID koneksi yang unik untuk setiap koneksi.
Organization of IDS Combining Host and Network
Monitoring: DIDS Menggabungkan jaringan dan host
sumber Intrusion Detection System Terdistribusi
(DIDs) [940] menggabungkan kemampuan dari NSM dengan pemantauan intrusi deteksi host individual.
Organization of IDS Autonomous Agent (AAFID)
Autonom Agents for Intrusion Detection bekerja dengan mendistribusikan agent-agent otonom ke dalam beberapa sistem di dalm jaringan.
Intrusion Respons Incident Prevention
Idealnya, upaya penyusupan akan terdeteksi dan berhenti sebelum mereka berhasil. Ini biasanya melibatkan proses monitoring sistem (biasanya dengan mekanisme deteksi intrusi) dan mengambil tindakan untuk mengalahkan serangan itu.
Dalam konteks respon, pencegahan mensyaratkan bahwa serangan itu diidentifikasi sebelum selesai. Defender kemudian mengambil tindakan untuk mencegah serangan sebelum serangan itu diselesaikan. Hal ini dapat dilakukan secara manual atau secara otomatis.
Intrusion Handling1. Preparation for an attack. Langkah ini terjadi sebelum
serangan yang terdeteksi. Ini menetapkan prosedur dan mekanisme untuk mendeteksi dan menanggapi serangan.
2. Identification of an attack. Hal ini memicu fase yang tersisa.
3. Containment (confinement) of the attack. Langkah ini membatasi kerusakan sebanyak mungkin.
4. Eradication of the attack. Langkah ini menghentikan serangan dan blok selanjutnya serangan serupa.
5. Recovery from the attack. Langkah ini mengembalikan sistem ke keadaan aman (terhadap kebijakan keamanan situs).
6. Follow-up to the attack. Langkah ini melibatkan mengambil tindakan terhadap penyerang, mengidentifikasi masalah dalam penanganan insiden tersebut, dan pelajaran rekaman belajar (atau tidak belajar pelajaran yang harus dipelajari).
Intrusion Respons
Containment Phase Containing atau confining an attack berarti
membatasi akses penyerang untuk sumber daya sistem. Domain perlindungan dari penyerang dikurangi sebanyak mungkin. Ada dua pendekatan: pasif pemantauan serangan, dan membatasi akses untuk mencegah kerusakan lebih lanjut ke sistem. Dalam konteks ini, "kerusakan" mengacu pada tindakan yang menyebabkan sistem untuk menyimpang dari keadaan "aman" seperti yang didefinisikan oleh kebijakan keamanan situs.
Intrusion Respons
Eradication Phase Eradicating an attack berarti
menghentikan serangan. Pendekatan yang umum adalah untuk menolak akses ke sistem sepenuhnya (seperti dengan mengakhiri koneksi jaringan) atau untuk mengakhiri proses yang terlibat dalam serangan itu. Sebuah aspek penting dari pemberantasan adalah untuk memastikan bahwa serangan tersebut tidak segera dilanjutkan. Ini mengharuskan serangan diblokir.
Intrusion Respons
Follow-Up Phase Pada tahap lanjutan (follow up phase),
sistem mengambil beberapa tindakan eksternal untuk sistem terhadap penyerang. Tindak lanjut yang paling umum adalah untuk mengejar beberapa bentuk tindakan hukum, baik pidana atau perdata. Persyaratan hukum bervariasi antara masyarakat, dan memang bervariasi dalam masyarakat dari waktu ke waktu. Jadi, untuk tujuan kita, kita membatasi diri pada masalah teknis untuk melacak serangan melalui jaringan. Dua teknik untuk tracing adalah thumbprinting dan menandai header IP.
Intrusion Respons
Ada beberapa cara bagaimana IDS bekerja : Pendeteksian berbasis signature (seperti halnya yang dilakukan
oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang.
Mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi.
Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak biasa.
KESIMPULAN Intrusion detection system atau sistem
pendeteksian penyusupan merupakan sebuah konsep canggih yang melibatkan beberapa teknologi yang berbeda.
Boleh dikatakan bahwa IDS sudah menjadi sepenting firewall untuk sekuriti network.