IDS (INTRUSION DETECTION SYSTEM)

IDS (INTRUSION DETECTION SYSTEM)

Intrusion Detection System (IDS) hanyalah salah satu dari sekian banyak contoh penanganan terhadap intrusion. Intrusion sendiri didefinisikan sebagai segala aktivitas yang bersifat mengganggu integritas, konfidensialitas, dan ketersediaan dari sumber daya atau resource. IDS umumnya merupakan sebuah aplikasi yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas komunikasi data dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan penyusupan (termasuk kategori penyusupan atau tidak) dan terkadang memberikan penanganan terhadap susupan atau gangguan yang terjadi. Pendeteksian dilakukan IDS agar memblock gangguan jika segera dideteksi, bertindak sebagai deterrent (mencegah seseorang melakukan gangguan/intrusion), mengumpulkan informasi untuk meningkatkan keamanan.

Jenis-jenis IDS

• NIDS (Network Intrusion Detection System)

IDS jenis ini ditempatkan disebuah tempat/ titik yang strategis atau sebuah titik didalam sebuah jaringan untuk melakukan pengawasan terhadap traffic yang menuju dan berasal dari semua alat-alat (devices) dalam jaringan. Idealnya semua traffic yang berasal dari luar dan dalam jaringan di lakukan di scan, namun cara ini dapat menyebabkan bottleneck yang mengganggu kecepatan akses di seluruh jaringan.

• HIDS (Host Intrusion Detection System)

IDS jenis ini berjalan pada host yang berdiri sendiri atau perlengkapan dalam sebuah jaringan. Sebuah HIDS melakukan pengawasan terhadap paket-paket yang berasal dari dalam maupun dari luar hanya pada satu alat saja dan kemudian memberi peringatan kepada user atau administrator sistem jaringan akan adanya kegiatan-kegiatan yang mencurigakan yang terdeteksi oleh HIDS.

• Signature Based

IDS yang berbasis pada signature akan melakukan pengawasan terhadap paket-paket dalam jaringan dan melakukan pembandingan terhadap paket-paket tersebut dengan basis data signature yang dimiliki oleh sistem IDS ini atau atribut yang dimiliki oleh percobaan serangan yang pernah diketahui. Cara ini hampir sama dengan cara kerja aplikasi antivirus dalam melakukan deteksi terhadap malware. Intinya adalah akan terjadi keterlambatan antara terdeteksinya sebuah serangan di internet dengan signature yang digunakan untuk melakukan deteksi yang diimplementasikan didalam basis data IDS yang digunakan. Jadi bisa saja basis data signature yang digunakan dalam sistem IDS ini tidak mampu mendeteksi adanya sebuah percobaan serangan terhadap jaringan karena informasi jenis serangan ini tidak terdapat dalam basis data signature sistem IDS ini. Selama waktu keterlambatan tersebut sistem IDS tidak dapat mendeteksi adanya jenis serangan baru.

• Anomaly Based

IDS jenis ini akan mengawasi traffic dalam jaringan dan melakukan perbandingan traffic yang terjadi dengan rata-rata traffic yang ada (stabil). Sistem akan melakukan  identifikasi apa yang dimaksud dengan jaringan “normal” dalam jaringan tersebut, berapa banyak bandwidth yang biasanya digunakan di jaringan tersebut, protolkol apa yang digunakan, port-port dan alat-alat apa saja yang biasanya saling berhubungan satu sama lain didalam jaringan tersebut, dan memberi peringatan kepada administrator ketika dideteksi ada yang tidak normal, atau secara signifikan berbeda dari kebiasaan yang ada.

• Passive IDS

IDS jenis ini hanya berfungsi sebagai pendeteksi dan pemberi peringatan. Ketika traffic yang  mencurigakan atau membahayakan terdeteksi oleh IDS maka IDS akan membangkitkan sistem pemberi peringatan yang dimiliki dan dikirimkan ke administrator atau user dan selanjutnya terserah kepada administrator apa tindakan yang akan dilakukan terhadap hasil laporan IDS.

• Reactive IDS

IDS jenis ini tidak hanya melakukan deteksi terhadap traffic yang mencurigakan dan membahayakan kemudian memberi peringatan kepada administrator tetapi juga mengambil tindakan proaktif untuk  merespon terhadap serangan yang ada. Biasanya dengan melakukan pemblokiran terhadap traffic jaringan selanjutnya dari alamat IP sumber atau user jika alamat IP sumber atau user tersebut mencoba  melakukan serangan lagi terhadap sistem jaringan di waktu selanjutnya.

Tipe dasar IDS

• Rule-based systems : berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mencatat lalu lintas yang sesuai dengan database yang ada, maka langsung dikategorikan sebagai penyusupan.

• Adaptive systems: mempergunakan metode yang lebih canggih. tidak hanya berdasarkan database yang ada, tetapi juga membuka kemungkinan untuk mendeteksi terhadap bentuk-bentuk penyusupan yang baru.

Contoh program IDS

• chkwtmp  : Program yang melakukan pengecekan terhadap entry kosong. Dalam arti wtmp mencatat sesuatu tapi isinya kosong.

• tcplogd : Program yang mendeteksi stealth scan. Stealth scan adalah scanning yang dilakukan tanpa harus membuat sebuah sesi tcp. Sebuah koneksi tcp dapat terbentuk jika klien mengirimkan paket dan server mengirimkan kembali paketnya dengan urutan tertentu, secara terus menerus sehingga sesi tcp dapat berjalan. Stealth scan memutuskan koneksi tcp sebelum klien menrima kembali jawaban dari server. Scanning model ini biasanya tidak terdeteksi oleh log umum di linux.

•  hostsentry : Program yang mendeteksi login anomali. anomlai disini termasuk perilaku aneh (bizzare behaviour), anomali waktu (time anomalies), dan anomali lokal (local anomalies).

• snort : Snort adalah program IDS yang bekerja pada umumnya pada sistem operasi Linux, namun banyak pula versi yang dapat digunakan di beragam platform. Snort pada umumnya merujuk kepada intrusion detection system yang sifatnya lightweight atau ringan karena diperuntukkan bagi jaringan kecil. Snort sangat fleksibel karena arsitekturnya yang berbasis rule.

 Implementasi IDS

Salah satu contoh penerapan IDS di dunia nyata adalah dengan menerapkan sistem IDS yang bersifat open source dan gratis. Contohnya SNORT. Aplikasi Snort tersedia dalam beberapa macam platform dan sistem operasi termasuk Linux dan Windows. Snort memiliki banyak pemakai di jaringan karena selain gratis, Snort juga dilengkapi dengan support system di internet sehingga dapat dilakukan updating signature terhadap Snort yang ada sehingga dapat melakukan deteksi terhadap jenis serangan terbaru di internet. IDS tidak dapat bekerja sendiri jika digunakan untuk mengamankan sebuah jaringan. IDS harus digunakan bersama-sama dengan firewall. Ada garis batas yang tegas antara firewall dan IDS. Juga ada teknologi yang disebut dengan IPS (Intrusion Prevention System). IPS pada dasarnya adalah sebuah firewall yang dikombinasikan dengan level jaringan dan level aplikasi dengan sebuah reactive IDS untuk melindungi jaringan secara pro aktif. Pada dasarnya, firewall adalah titik pertama dalam garis pertahanan sebuah sistem jaringan komputer. Seharusnya firewall diatur agar melakukan penolakan (DENY) terhadap semua traffic yang masuk kedalam sistem dan kemudian membuka lubanglubang yang perlu saja. Jadi tidak semua lubang dibuka ketika sistem melakukan hubungan ke jaringan luar. Idealnya firewall diatur dengan konfigurasi seperti diatas. Beberapa port yang harus dibuka untuk melakukan hubungan keluar adalah port 80 untuk mengakses internet atau port 21 untuk FTP file server. Tiap-tiap port ini mungkin penting untuk tetap dibuka tetapi lubang-lubang ini juga merupakan potensi kelemahan atas terjadinya serangan yang akan masuk kedalam jaringan. Firewall tidak dapat melakukan pemblokiran terhadap jenis serangan ini karena administrator sistem telah melakukan konfigurasi terhadap firewall untuk membuka kedua port tersebut. Untuk tetap dapat memantau traffic yang terjadi di kedua port yang terbuka tersebut dibutuhkan sebuah sistem yang dapat melakukan deteksi terhadap traffic yang membahayakan dan berpotensi menjadi sebuah serangan. Disinilah fungsi IDS dibutuhkan. Dapat saja digunakan/diimplementasikan sebuah NIDS melalui seluruh jaringan atau sebuah HIDS pada alat-alat tertentu yang dirasa berpotensi terhadap serangan. IDS akan memonitor traffic yang masuk dan keluar jaringan dan mengidentifikasi trafic yang mencurigakan dan membahayakan yang mungkin saja dapat melewati firewall atau dapat saja berasal dari dalam jaringan. Jadi IDS tidak hanya mendeteksi serangan dari luar tetapi juga potensi serangan dari dalam jaringan sendiri. IDS dapat saja menjadi sebuah alat yang hebat untuk melakukan pengawasan secara pro aktif dan melakukan perlindungan jaringan dari kegiatan-kegiatan yang membahayakan, bagaimanapun juga IDS cenderung dapat memberikan peringatan yang salah. Intinya tidak ada sistem yang sempurna untuk mengamankan sebuah jaringan komputer. Ketika menggunakan IDS maka sistem administrasi harus sering melakukan tune-up terhadap sistem IDS yang di implementasikan. IDS juga harus di konfigurasi secara tepat untuk mampu mendeteksi apa itu trafic yang normal dalam jaringan dan apa itu traffic yang membahayakan. Untuk mendefinisikan hal tersebut diatas diperlukan seorang administrator sistem yang mampu memberikan respon terhadap sistem pemberi peringatan IDS. Dibutuhkan pengertian apa arti peringatan tersebut dan bagaimana mengefektifkan respon tersebut. Idealnya IDS ditempatkan bersama-sama dengan firewall dan di tiap titik yang berpotensi untuk mendapat serangan. Seperti diletakkan di server utama dari sebuah sistem jaringan yang berhubungan langsung dengan jaringan luar. Selain di server utama IDS dapat juga diletakkan di Gateway yang merupakan penghubung antara jaringan internal dengan internet. IDS sendiri berbeda dengan firewall. Jika IDS bekerja hanya sebagai pendeteksi dan pemberi peringatan dini terhadap kondisi jaringan yang berpotensi merusak sistem jaringan maka firewall bekerja untuk mencari tahu ada tidaknya gangguan kemudian menghentikan gangguan tersebut sebelum benar-benar masuk kedalam sistem jaringan. Firewall juga membatasi akses antara jaringan dengan tujuan untuk  mencegah terjadinya gangguan tetapi tidak memberi tanda akan adanya serangan yang berasal dari dalam jaringan itu sendiri. IDS mengevaluasi gangguan yang mencurigakan ketika kegiatan tersebut terjadi dan langsung memberikan peringatan. IDS juga mengawasi serangan yang berasal dari dalam sistem jaringan tersebut. Sehingga dalam implementasinya IDS dan Firewall selalu digunakan bersama-sama sebagai sistem pengamanan jaringan dan komputer.

 Cara kerja IDS

Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan.
Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.
Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak biasa.
Kelebihan

• Dapat mendeteksi “external hackers” dan serangan jaringan internal
• Dapat disesuaikan dengan mudah dalam menyediakan perlindungan untuk keseluruhan jaringan.
• Dapat dikelola secara terpusat dalam menangani serangan yang tersebar dan bersama-sama
• Menyediakan pertahanan pada bagian dalam
• Menyediakan layer tambahan untuk perlindungan
• Ids memonitor Internet untuk mendeteksi serangan
• Ids membantu organisasi utnuk mengembangkan dan menerapkan kebijakan keamanan yang efektif
• Ids memungkinkan anggota non-technical untuk melakukan pengelolaan keamanan menyeluruh
• Adanya pemeriksaan integritas data dan laporan perubahan pada file data
• Ids melacak aktivitas pengguna dari saat masuk hingga saat keluar
• Ids menyederhanakan sistem sumber informasi yang kompleks
• Ids memberikan integritas yang besar bagi infrastruktur keamanan lainnya

Kekurangan

• Lebih bereaksi pada serangan daripada mencegahnya
• Menghasilkan data yang besar untuk dianalisis
• Rentan terhadap serangan yang “rendah dan lambat”
• Tidak dapat menangani trafik jaringan yang terenkripsi
• Ids hanya melindungi dari karakteristik yang dikenal
• Ids tidak turut bagian dalam kebijakan keamanan yang efektif, karena dia harus diset terlebih dahulu
• Ids tidak menyediakan penanganan kecelakaan
• Ids tidak mengidentifikasikan asal serangan
• Ids hanya seakurat informasi yang menjadi dasarnya
• Network-based IDS rentan terhadap “overload”
• Network-based IDS dapat menyalahartikan hasil dari transaksi yang mencurigakan
• Paket terfragmantasi dapat bersifat problematis

REFERENSI

https://rahedy.wordpress.com

ecgalery.blogspot.co.id

https://keamanan-informasi.stei.itb.ac.id
Geovedi, Jim. Snort – Intrusion Detection System. http://corebsd.or.id. 2004.
Gaur, Nalneesh. Snort: Planning IDS for Your Enterprise. Linux Journal. 2001.