Pengertian IDS Security
Pengertian IDS Security
IDS (Intrusion Detection System) adalah sebuah sistem yang melakukan pengawasan terhadap traffic jaringan dan pengawasan terhadap kegiatan-kegiatan yang mencurigakan di dalam sebuah sistem jaringan.
Jika ditemukan kegiatan-kegiatan yang mencurigakan berhubungan dengan traffic jaringan maka IDS akan memberikan peringatan kepada sistem atau administrator jaringan. Dalam banyak kasus IDS juga merespon terhadap traffic yang tidak normal/ anomali melalui aksi pemblokiran seorang user atau alamat IP (Internet Protocol) sumber dari usaha pengaksesan jaringan.
IDS muncul dengan beberapa jenis dan pendekatan yang berbeda yang intinya berfungsi untuk mendeteksi traffic yang mencurigakan di dalam sebuah jaringan. Beberapa jenis IDS adalah : yang berbasis jaringan (NIDS) dan berbasis host (HIDS). Ada IDS yang bekerja dengan cara mendeteksi berdasarkan pada pencarian ciri-ciri khusus dari percobaan yang sering dilakukan.
Cara ini hampir sama dengan cara kerja perangkat lunak antivirus dalam mendeteksi dan melindungi sistem terhadap ancaman, kemudian ada juga IDS yang bekerja dengan cara mendeteksi berdasarkan pada perbandingan pola traffic normal yang ada dan kemudian mencari ketidaknormalan traffic yang ada.
Ada IDS yang fungsinya hanya sebagai pengawas dan pemberi peringatan ketika terjadi serangan dan ada juga IDS yang bekerja tidak hanya sebagai pengawas dan pemberi peringatan melainkan juga dapat melakukan sebuah kegiatan yang merespon adanya percobaan serangan terhadap sistem jaringan dan komputer.
IDS akan mengidentifikasi ancaman, memberi peringatan dan laporan, dan membuat jaringan aman dari upaya jahat tersebut sehingga membuat peran IDS saat ini semakin penting.
Jenis-jenis IDS (Intrusion Detection System)
Jenis-jenis IDS
Memahami jenis-jenis IDS akan membuatmu lebih bijak dalam memilih jenis mana yang akan digunakan pada jaringan yang akan dibuat, karena beda tipe beda juga kelebihan dan kekurangannya.
1. NIDS (Network Intrusion Detection System)
IDS jenis ini ditempatkan di sebuah tempat/ titik yang strategis atau sebuah titik di dalam sebuah jaringan untuk melakukan pengawasan terhadap traffic yang menuju dan berasal dari semua alat-alat (devices) dalam jaringan.
Idealnya semua traffic yang berasal dari luar dan dalam jaringan akan di scan, namun cara ini dapat menyebabkan bottleneck yang mengganggu kecepatan akses di seluruh jaringan.
2. HIDS (Host Intrusion Detection System)
IDS jenis ini berjalan pada host yang berdiri sendiri atau perlengkapan dalam sebuah jaringan. Sebuah HIDS melakukan pengawasan terhadap paket-paket yang berasal dari dalam maupun dari luar hanya pada satu alat saja dan kemudian memberi peringatan kepada user atau administrator sistem jaringan akan adanya kegiatan-kegiatan yang mencurigakan yang terdeteksi oleh HIDS.
3. Signature Based
IDS yang berbasis pada signature akan melakukan pengawasan terhadap paket-paket dalam jaringan dan melakukan perbandingan terhadap paket-paket tersebut dengan basis data signature yang dimiliki oleh sistem IDS ini atau atribut yang dimiliki oleh percobaan serangan yang pernah diketahui.
Cara ini hampir sama dengan cara kerja aplikasi antivirus dalam melakukan deteksi terhadap malware, intinya adalah akan terjadi keterlambatan antara terdeteksinya sebuah serangan di internet dengan signature yang digunakan untuk melakukan deteksi yang diimplementasikan di dalam basis data IDS yang digunakan.
Jadi bisa saja basis data signature yang digunakan dalam sistem IDS ini tidak mampu mendeteksi adanya sebuah percobaan serangan terhadap jaringan karena informasi jenis serangan ini tidak terdapat dalam basis data signature sistem IDS ini. Selama waktu keterlambatan tersebut sistem IDS tidak dapat mendeteksi adanya jenis serangan baru.
4. Anomaly Based
IDS jenis ini akan mengawasi traffic dalam jaringan dan melakukan perbandingan traffic yang terjadi dengan rata-rata traffic yang ada (stabil). Sistem akan melakukan identifikasi apa yang dimaksud dengan jaringan “normal” dalam jaringan tersebut, berapa banyak bandwidth yang biasanya digunakan di jaringan tersebut, protokol apa yang digunakan, port-port dan alat-alat apa saja yang biasanya saling berhubungan satu sama lain didalam jaringan tersebut, dan memberi peringatan kepada administrator ketika dideteksi ada yang tidak normal, atau secara signifikan berbeda dari kebiasaan yang ada.
5. Passive IDS
IDS jenis ini hanya berfungsi sebagai pendeteksi dan pemberi peringatan. Ketika traffic yang mencurigakan atau membahayakan terdeteksi oleh IDS maka IDS akan membangkitkan sistem pemberi peringatan yang dimiliki dan dikirimkan ke administrator atau user dan selanjutnya terserah kepada administrator apa tindakan yang akan dilakukan terhadap hasil laporan IDS.
6. Reactive IDS
IDS jenis ini tidak hanya melakukan deteksi terhadap traffic yang mencurigakan dan membahayakan kemudian memberi peringatan kepada administrator tetapi juga mengambil tindakan proaktif untuk merespon terhadap serangan yang ada.
Biasanya dengan melakukan pemblokiran terhadap traffic jaringan selanjutnya dari alamat IP sumber atau user jika alamat IP sumber atau user tersebut mencoba melakukan serangan lagi terhadap sistem jaringan di waktu selanjutnya.
Komponen IDS
Sama seperti sistem lainnya pada jaringan, IDS juga memiliki komponen-komponen penyusun. IDS memiliki komponen-komponen dimana tanpa komponen tersebut, sistem ini tidak akan mampu bekerja semestinya. Komponen yang ada pada IDS tidak banyak dan tidak terlalu kompleks untuk dipelajari.
Berikut adalah komponen apa saja yang ada pada IDS dan fungsi dari masing-masing komponen tersebut.
1. Teknologi Deteksi
Teknologi deteksi yang ada pada IDS ini bergantung pada 3 komponen. Berikut ketiga komponen tersebut.
- Sensor. Sensor adalah teknologi yang bertugas melakukan pemantauan dan pengawasan lalu lintas. Tanpa sensor, IDS tidak akan mampu melakukan fungsi pengawasan. Sensor sering juga disebut dengan sebutan engine atau probe.
- Agen. Komponen ini adalah software yang diinstal pada komputer untuk mengawasi file, sekaligus bertugas melakukan pelaporan jika terjadi sesuatu yang tidak biasa.
- Kolektor. Kolektor memiliki peran yang mirip dengan agen. Bedanya, kolektor ini tidak mampu membuat keputusan. Kolektor hanya mampu membuat laporan saja.
2. Analisis Data
Aktivitas analisis data mayoritas data di sini dilakukan oleh lapisan yang kadang disimpan pada pusat data atau server, analisis ini dilakukan dengan menggunakan pusat data yang sudah diberikan kebijakan dalam mendeteksi. Di sana, identitas penyerang, deskripsi, dan hal penting lainya tersedia dan jadi parameter.
3. GUI atau Manajemen Konfigurasi
Dimana-mana selalu ada semacam konsol yang berfungsi sebagai alat kontrol dan komunikasi antara pengguna dengan mesin. Pada IDS pun tersedia dimana perangkat ini merupakan interface atau antarmuka operator IDS, di sini operator bisa mengeksekusi perintah maupun melakukan konfigurasi.
Masing-masing komponen bertugas sesuai dengan desain dan fungsinya masing-masing, selama beroperasi komponen-komponen ini saling terintegrasi dalam suatu sistem yang utuh. Memahami bagaimana komponen IDS bekerja akan memudahkanmu memahami cara kerja dari IDS itu sendiri.
Cara Kerja IDS
Setelah memahami pengertian IDS Security beserta komponen-komponen yang ada di dalamnya, saatnya Kamu memahami cara kerja IDS. Pada umumnya, cara kerja Intrusion Detection System tidak berbeda jauh dengan cara kerja antivirus. Sistem akan mendeteksi, menemukan, dan memberi ancaman.
IDS sendiri memiliki beberapa metode cara kerja yang bisa Kamu pelajari di sini.
1. Seperti Antivirus
IDS bekerja layaknya program antivirus dimana di sini, sistem akan mendeteksi ancaman dan sesuatu yang bermasalah. IDS bekerja dengan mengawasi lalu lintas dan mencocokkan apa yang ada di sana dengan pusat data ancaman, pusat data tersebut menyimpan data jenis serangan dan penyusupan.
Jika terdapat kecocokan, maka IDS akan mengidentifikasi bahwa terdapat ancaman di sana. Pendeteksian seperti ini memang bisa bergantung pada pusat data ancaman itu sendiri. Agar selalu tajam dalam mendeteksi ancaman, pusat data tersebut harus mendapatkan pembaharuan secara berkala.
2. Mendeteksi Anomali
Sistem mungkin kedatangan sesuatu yang tidak biasa tetapi tidak terdeteksi secara langsung, IDS bisa melakukan pemantauan anomali pada lalu lintas yang sedang berlangsung. Sistem kemudian menggunakan statistik dan analisis pola untuk membaca ketidaknormalan aktivitas lalu lintas yang terjadi.
IDS akhirnya bisa mendeteksi serangan yang sama sekali belum terbaca dan tersedia di pusat data. Meskipun tampak fleksibel, metode ini memiliki kekurangan. Kekurangannya adalah kejadian false positive yang sering merepotkan operator. Jadi repot jika jumlah pesan false positive muncul dalam jumlah banyak.
3. Pemantauan Berkas Sistem
Metode lain cara kerja IDS adalah pemantauan berkas sistem operasi. Di sini, sistem akan melihat dan mendeteksi apakah terdapat upaya untuk mengubah berkas pada OS, terutama pada log. Adanya upaya tersebut tentu sesuatu yang mencurigakan dan sangat layak untuk dilaporkan dan ditindaklanjuti lebih jauh.
Metode-metode cara kerja IDS di atas umumnya dilakukan tergantung jenis IDS yang digunakan, masing-masing metode memiliki kelebihan dan kekurangan. Setiap metode sebenarnya menutupi kekurangan yang ada, kombinasi kerja dari metode-metode yang ada akan menciptakan sistem pertahanan yang solid.
Contoh IDS
- Snort. Snort adalah program IDS yang biasanya ada pada OS Linux, snort merujuk pada deteksi akses ilegal yang sifatnya ringan. Snort sendiri biasanya diperuntukkan untuk jaringan yang kecil.
- Hostsentry. Program IDS satu ini mampu mendeteksi anomali dan perilaku-perilaku tidak bisa. Selain soal perilaku, Hostsentry juga mampu mendeteksi anomali waktu dan anomali lokal.
- Tcplogd. Program IDS ini mampu mendeteksi pemindaian senyap, pemindaian ini dilakukan tanpa harus membuat sesi khusus. Pemindaian ini memutuskan koneksi tcp sebelum klien menerima balasan dari server, pemindaian senyap umumnya tidak terdeteksi oleh log umum.
Implementasi IDS
Salah satu contoh penerapan IDS di dunia nyata adalah dengan menerapkan sistem IDS yang bersifat open source dan gratis, contohnya SNORT. Aplikasi Snort tersedia dalam beberapa macam platform dan sistem operasi termasuk Linux dan Window$.
Snort memiliki banyak pemakai di jaringan karena selain gratis, Snort juga dilengkapi dengan support system di internet sehingga dapat dilakukan updating signature terhadap Snort yang ada sehingga dapat melakukan deteksi terhadap jenis serangan terbaru di internet.
IDS tidak dapat bekerja sendiri jika digunakan untuk mengamankan sebuah jaringan, IDS harus digunakan bersama-sama dengan firewall. Ada garis batas yang tegas antara firewall dan IDS, juga ada teknologi yang disebut dengan IPS (Intrusion Prevention System).
IPS pada dasarnya adalah sebuah firewall yang dikombinasikan dengan level jaringan dan level aplikasi dengan sebuah reactive IDS untuk melindungi jaringan secara proaktif. Pada dasarnya, firewall adalah titik pertama dalam garis pertahanan sebuah sistem jaringan komputer. Seharusnya firewall diatur agar melakukan penolakan (DENY) terhadap semua traffic yang masuk kedalam sistem dan kemudian membuka lubang-lubang yang perlu saja, jadi tidak semua lubang dibuka ketika sistem melakukan hubungan ke jaringan luar.
Idealnya firewall diatur dengan konfigurasi seperti diatas. Beberapa port yang harus dibuka untuk melakukan hubungan keluar adalah port 80 untuk mengakses internet atau port 21 untuk FTP file server. Tiap-tiap port ini mungkin penting untuk tetap dibuka tetapi lubang-lubang ini juga merupakan potensi kelemahan atas terjadinya serangan yang akan masuk ke dalam jaringan.
Firewall tidak dapat melakukan pemblokiran terhadap jenis serangan ini karena administrator sistem telah melakukan konfigurasi terhadap firewall untuk membuka kedua port tersebut. Untuk tetap dapat memantau traffic yang terjadi di kedua port yang terbuka tersebut dibutuhkan sebuah sistem yang dapat melakukan deteksi terhadap traffic yang membahayakan dan berpotensi menjadi sebuah serangan. Disinilah fungsi IDS dibutuhkan.
Dapat saja digunakan/ di implementasikan sebuah NIDS melalui seluruh jaringan atau sebuah HIDS pada alat-alat tertentu yang dirasa berpotensi terhadap serangan, IDS akan me-monitor traffic yang masuk dan keluar jaringan dan mengidentifikasi traffic yang mencurigakan dan membahayakan yang mungkin saja dapat melewati firewall atau dapat saja berasal dari dalam jaringan. Jadi IDS tidak hanya mendeteksi serangan dari luar tetapi juga potensi serangan dari dalam jaringan sendiri.
IDS dapat saja menjadi sebuah alat yang hebat untuk melakukan pengawasan secara proaktif dan melakukan perlindungan jaringan dari kegiatan-kegiatan yang membahayakan, bagaimanapun juga IDS cenderung dapat memberikan peringatan yang salah. Intinya tidak ada sistem yang sempurna untuk mengamankan sebuah jaringan komputer.
Ketika menggunakan IDS maka sistem administrasi harus sering melakukan tune-up terhadap sistem IDS yang diimplementasikan. IDS juga harus di konfigurasi secara tepat untuk mampu mendeteksi apa itu traffic yang normal dalam jaringan dan apa itu traffic yang membahayakan, untuk mendefinisikan hal tersebut diatas diperlukan seorang administrator sistem yang mampu memberikan respon terhadap sistem pemberi peringatan IDS. Dibutuhkan pengertian apa arti peringatan tersebut dan bagaimana mengefektifkan respon tersebut.
Idealnya IDS ditempatkan bersama-sama dengan firewall dan di tiap titik yang berpotensi untuk mendapat serangan. Seperti diletakkan di server utama dari sebuah sistem jaringan yang berhubungan langsung dengan jaringan luar. Selain di server utama IDS dapat juga diletakkan di Gateway yang merupakan penghubung antara jaringan internal dengan internet.
IDS sendiri berbeda dengan firewall, jika IDS bekerja hanya sebagai pendeteksi dan pemberi peringatan dini terhadap kondisi jaringan yang berpotensi merusak sistem jaringan maka firewall bekerja untuk mencari tahu ada tidaknya gangguan kemudian menghentikan gangguan tersebut sebelum benar-benar masuk kedalam sistem jaringan.
Firewall juga membatasi akses antara jaringan dengan tujuan untuk mencegah terjadinya gangguan tetapi tidak memberi tanda akan adanya serangan yang berasal dari dalam jaringan itu sendiri, IDS mengevaluasi gangguan yang mencurigakan ketika kegiatan tersebut terjadi dan langsung memberikan peringatan.
IDS juga mengawasi serangan yang berasal dari dalam sistem jaringan tersebut, sehingga dalam implementasinya IDS dan Firewall selalu digunakan bersama-sama sebagai sistem pengamanan jaringan dan komputer.
0 Komentar