KELOMPOK 19 : BAYU TOMI DEWANTARA 118090055 VIALLI 118090056 IVO INTRUSION DETECTION KELOMPOK 19 : BAYU TOMI DEWANTARA 118090055 VIALLI 118090056 IVO
KEGUNAAN Untuk mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. Untuk mendeteksi segala macam percobaan penyusupan, akan tetapi bisa juga diberdayakan untuk mendeteksi kegagalan system atau tingkat performa secara keseluruhan dari infrastruktur jaringan kita
TIPE DASAR IDS(INTRUSION DETECTION) Rule-based systems = berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mencatat lalulintas yang sesuai dengan database yang ada, maka langsung dikategorikan sebagai penyusupan. Adaptive systems = mempergunakan metode yang lebih canggih. Tidak hanya berdasarkan database yang ada, tapi juga membuka kemungkinan untuk mendeteksi terhadap bentuk bentuk penyusupan yang baru. Tipe yang sering digunakan umum dalam komputer adalah rule based systems.
RULE BASED SYSTEMS Pendekatan yang digunakan adalah pendekatan pencegahan (preemptory) dan pendekatan reaksi (reactionary). Pendekatan pencegahan, program pendeteksi penyusupan akan memperhatikan semua lalu lintaas jaringan. Jika ditemukan paket yang mencurigakan maka program akan melakukan tindakan yang perlu. Pada pendekatan reaksi, program pendeteksi penyusupan, hanya mengamati file log. Jika ditemukan paket yang mencurigakan program juga akan melakukan tindakan yang perlu.
JENIS IDS Network-based Intrusion Detection System (NIDS): Network intrusion detection systems adalah jenis IDS yang bertanggung jawab untuk mendeteksi serangan yang berkaitan dengan jaringan[4]. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada "pintu masuk" jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi. Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet.
PENGAMATAN IDS Kerahasiaan (confidentiality), dimana object tidak di umbar atau dibocorkan kepada subject yang tidak seharusnya berhak terhadap object tersebut, atau lazim disebut tidak authorize. Integritas (Integrity), bahwa object tetap orisinil, tidak diragukan keasliannya, tidak dimodifikasi dalam perjalanan nya dari sumber menuju penerimanya. Ketersediaan (Availability), dimana user yang mempunyai hak akses atau authorized users diberi akses tepat waktu dan tidak terkendala apapun.
SERANGAN YANG DIKENALI Dapat berasal dari koneksi external seperti ancaman dari internet atau jaringan partner, virus, code berbahaya, subject internal yang mencoba untuk melakukan kegiatan yang tidak diauthorisasi, dan juga segala macam percobaan akses yang tidak diauthorisasi dari lokasi yang justru dipercaya.
KELEBIHAN Dapat mendeteksi "external hackers" dan serangan jaringan internal Dapat disesuaikan dengan mudah dalam menyediakan perlindungan untuk keseluruhan jaringan. Dapat dikelola secara terpusat dalam menangani serangan yang tersebar dan bersama-sama Menyediakan pertahanan pada bagian dalam Menyediakan layer tambahan untuk perlindungan Ids memonitor Internet untuk mendeteksi serangan Ids membantu organisasi utnuk mengembangkan dan menerapkan kebijakan keamanan yang efektif Ids memungkinkan anggota non-technical untuk melakukan pengelolaan keamanan menyeluruh Adanya pemeriksaan integritas data dan laporan perubahan pada file data Ids melacak aktivitas pengguna dari saat masuk hingga saat keluar Ids menyederhanakan sistem sumber informasi yang komplek Ids memberikan integritas yang besar bagi infrastruktur keamanan lainnya.
KEKURANGAN Lebih bereaksi pada serangan daripada mencegahnya Menghasilkan data yang besar untuk dianalisis Rentan terhadap serangan yang "rendah dan lambat“ Tidak dapat menangani trafik jaringan yang terenkripsi. Ids hanya melindungi dari karakteristik yang dikenal Ids tidak turut bagian dalam kebijakan keamanan yang efektif, karena dia harus diset terlebih dahulu Ids tidak menyediakan penanganan kecelakaan Ids tidak mengidentifikasikan asal serangan Ids hanya seakurat informasi yang menjadi dasarnya Network-based IDS rentan terhadap "overload Network-based IDS dapat menyalahartikan hasil dari transaksi yang mencurigakan Paket terfragmantasi dapat bersifat problematis.
MASALAH Serangan baru memiliki signature yang baru sehingga daftar signature harus selalu diupdate Network semakin cepat (giga) sehingga menyulitkan untuk menganalisa setiap paket Jumlah host makin banyak: distributed IDS Terlalu banyak laporan (false alarm).
PROGRAM IDS Chkwtmp adalah program yang melakukan pengecekan terhadap entry kosong. dalam arti wtmp mencatat sesuatu tapi isinya kosong. Tcplogd adalah program yang mendeteksi stealth scan. stealth scan adalah scanning yang dilakukan tanpa harus membuat sebuah sesi tcp. sebuah koneksi tcp dapat terbentuk jika klien mengirimkan paket dan server mengirimkan kembali paketnya dengan urutan tertentu, secara terus menerus sehingga sesi tcp dapat berjalan. stealth scan memutuskan koneksi tcp sebelum klien menrima kembali jawaban dari server. scanning model ini biasanya tidak terdeteksi oleh log umum di linux. Hostsentry adalah program yang mendeteksi login anomali. anomlai disini termasuk perilaku aneh (bizzare behaviour), anomali waktu (time anomalies), dan anomali lokal (local anomalies). Snort adalah program IDS yang bekerja pada umumnya pada sistem operasi Linux, namun banyak pula versi yang dapat digunakan di beragam platform [5]. Snort pada umumnya merujuk kepada intrusion detection system yang sifatnya lightweight atau ringan karena diperuntukkan bagi jaringan kecil. Snort sangat fleksibel karena arsitekturnya yang berbasis rule.
SALAH SATU CONTOH Cisco IDS 4200 Series Piranti sensor Seri 4200 dari Cisco IDS merupakan built-in system keamanan yang sangat handal dan ber-performa bagus yang bisa melindungi diri terhadap kegiatan yang tidak authorize, activitas yang mebahayakan jaringan, seperti serangan dari hacker. Sensor Cisco IDS ini menganalisa traffic secara real time, memberikan alert kepada user / admin untuk memberikan suatu action atas suatu usaha pembobolan system. Cisco Countermeasures Research Team (C- CRT) menggunakan suatu kombinasi teknik deteksi inovasi tingkat tinggi dan canggih termasuk pola stateful yang sudah diketahui, parsing protocol, heuristic detection, dan anomaly detection yang memberikan perlindungan comprehensive dari suatu cyber threats baik yang sudah dikenali maupun yang tidak dikenali. Technology Cisco Signature Micro-Engine (SME) yang hampir dipatenkan, memungkinkan customisasi dari sensor signature, menghasilkan sensor presisi yang meminimalkan terjadinya “false positive”, kesalahan deteksi dari pola yang positive sebagai intruder. Jika terdeteksinya kegiatan un-authorized, sensor akan mengirim alarm ke management console dengan detail aktivitas. Sebagai tambahan Cisco IDS Active Response System mengirim proteksi dengan cara mengendalikan system-2 yang lain, seperti router, firewall, switch, untuk menghentikan un- authorized session ini. Instalasi dan management dari piranti ini bisa lewat CLI – command line interface, atau lewat solusi management Cisco. Piranti ini, untuk Cisco IDS 4235 bisa di pasang pada jaringan 200 Mbps, untuk melindungi jaringan Switch, beberapa subnet T3, dan untuk interface 10/100/1000 yang didukungnya, IDS ini bisa dipasang pada jaringan yang menggunakan jaringan Gigabit.
Terima Kasih