Saat ini keamanan komputer tidak bisa dipisahkan dengan firewall dan IDS. Bisa dikatakan kedua komponen ini wajib untuk dijalankan di semua jaringan. Jika firewall lebih kepada benteng penjaga, maka IDS adalah petugas pengawas sistem kita.
IDS akan memantau sistem kita tanpa mengenal lelah dan kita bisa mendapatkan laporan lengkap setiap saat. IDS bertugas melakukan identifikasi akses oleh siapa saja yang menggunakan sistem komputer tanpa hak. Termasuk didalamnya adalah percobaan untuk masuk secara paksa (cracking).
IDS merupakan sistem yang lebih dinamis dari firewall, karena IDS mampu mendeteksi (mengetahui) adanya penyusup (baik yang dilakukan oleh seseorang yang ingin mendapatkan akses ilegal atau pengguna yang mempunyai akses, tetapi melampaui wewenangnya), dan dapat memberitahu administrator melalui e-mail maupun melalui mekanisme lain seperti melalui SMS.
Dengan demikian IDS merupakan komponen yang dapat melengkapi (membuat jadi sempurna) sistem pengamanan pada suatu jaringan. Sehingga keberadaan IDS pada sistem proteksi jaringan menjadi penting dan perlu untuk diperhatikan, hal ini didasari oleh beberapa pertimbangan sebagai berikut:
1. Jika suatu gangguan cepat terdeteksi, maka penyusup akan dapat diidentifikasi dan disingkirkan dari sistem sebelum kerusakan pada bagian tertentu terjadi, atau data tertentu di ganti atau di rusak. Dengan demikian semakin sedikit jumlah kerusakan dan pemulihan sistem yang jauh lebih cepat dapat dicapai.
2. IDS yang efektif dapat melayani seperti sebuah alat penangkis (sehingga dapat mencegah gangguan).
3. IDS mampu mengumpulkan informasi tentang teknik-teknik intrusion yang dapat digunakan untuk memperkuat fasilitas pencegahan gangguan (intrusion prevention).
A. Konsep IDS.
Dalam konsep keamanan jaringan kita mengenal istilah false positif dan false negatif.
1. False positif – adalah peringatan yang dihasilkan oleh IDS karena telah mendeteksi adanya serangan yang valid terhadap sistem yang kita monitor, tetapi serangan itu sendiri tidak valid. Atau dengan kata lain, kita mendapat laporan serangan, padahal itu bukan serangan. Ini adalah masalah bagi kita karena banyaknya peringatan yang dibuat oleh IDS padahal serangan yang sebenarnya tidak terjadi. False positif bisa saja terjadi karena adanya serangan pada sistem yang tidak di monitor.
2. False negatif – adalah serangan yang benar-benar terjadi tetapi tidak terdeteksi oleh IDS. IDS bisa melewatkan serangan karena menganggap serangan yang dilakukan tidak sesuai dengan aturan yang ada (rule), atau karena terlalu banyak serangan, atau bisa juga karena penyerang berhasil melumpuhkan IDS. Dampak dari false negatif ini artinya penyerang berhasil melewati IDS, sama artinya dengan ada yang menyerang kita, tapi kita tidak menyadarinya!
Bagaimana IDS bisa mendeteksi bahwa telah terjadi serangan? Setidaknya ada dua cara IDS bisa mendeteksi serangan:
1. Signature detection – IDS yang bekerja menggunakan signature (rule/peraturan) akan mendeteksi serangan jika ada traffic network yang masuk ke dalam daftar serangan. Signature – lah yang menentukan paket yang masuk ke network tersebut merupakan serangan atau biasa disebut “bad traffic”. Kekurangan dari metode ini adalah bahwa IDS hanya bisa mendeteksi suatu serangan yang telah terdaftar sebelumnya di dalam signature. Oleh karena itu, metode ini akan kesulitan menghadapi daftar serangan jenis baru. Bila kita menggunakan signature detection mungkin akan berdampak sedikitnya peringatan false positif tetapi banyak false negatif.
2. Anomaly detection – IDS yang menggunakan anomaly detection bekerja menggunakan cara yang berbeda. IDS akan mengenal traffic “normal” jaringan kita dan akan mulai mengingatkan kita bila ternyata ada traffic yang “abnormal”. Masalahnya adalah, sesuatu yang baru atau berbeda juga bisa dianggap abnormal. Jadi jika kita menggunakan metode ini IDS akan memberikan sedikit false negatif tetapi banyak false positif.
Beberapa IDS ada yang menggunakan signature detection, tapi ada juga yang menggunakan anomaly detection, dan ada juga yang menggunakan keduanya.
B. Network Based IDS (NIDS) dan Host Based IDS (HIDS).
Berdasarkan penggunaannya, ternyata IDS masih dapat dibagi menjadi dua jenis, yaitu: NIDS dan HIDS. Penjelasannya sebagai berikut:
1. NIDS – Merupakan jenis IDS yang bekerja dengan cara menganalisa paket data yang dianggap serangan yang melintas melewati network. NIDS sendiri melakukan beberapa tugas berikut:
• NIDS menganalisa serangan pada traffic network menggunakan signature atau anomaly detection (atau keduanya). Network interface card tidak memilih-milih paket yang ada, artinya ia akan meng-capture semua lalu lintas jaringan yang melewati NIC, tidak hanya traffic yang diperuntukan bagi sistem IDS saja.
• Membuat peringatan secara real time untuk memberitahukan kita akan datangnya serangan.
• Membuat log secara rinci saat terjadi serangan, ini berguna untuk menganalisa penyerang setelah terjadinya serangan.
• NIDS dapat didesain sesuai dengan infrastruktur jaringan kita.
2. HIDS – Jika NIDS memonitor lalu lintas di jaringan, maka HIDS hanya memonitor serangan di satu komputer (host) saja. Jika kita memasang HIDS, maka selanjutnya ia akan melakukan beberapa tugas sebagai berikut:
• HIDS mencari serangan dari paket network yang masuk, menggunakan signature atau anomaly detection. Biasanya, NIC di sistem xang menjalankan HIDS tidak berjalan di promiscuous mode.
• HIDS memeriksa log di sistem untuk mencari serangan yang terjadi.
• HIDS mengecek integritas file di sistem. Cara ini dilakukan dengan membandingkan file yang telah dimodifikasikan dalam sistem. Selain itu kita juga bisa mengetahui file-file yang telah dibuat atau dihapus. Ini berguna untuk mendeteksi apakah program backdoor atau trojan telah terinstall di dalam sistem.
Subscribe to:
Post Comments (Atom)
0 comments:
Post a Comment