Pengertian Intrusion Detetion System (IDS) - Keamanan Jaringan

Intrusion Detetion System (IDS) adalah suatu perangkat (hardware/software) yang dapat mendeteksi aktivitas yang mencurigakan (tidak normal) yang terjadi pada jaringan komputer, melakukan inspeksi terhadap lalu lintas jaringan (in/out), melakukan analisis dan mencari bukti atas terjadinya penyusupan.

Jenis-Jenis IDS

Network-based Intrusion Detection System (NIDS): Network intrusion detection systems adalah jenis IDS yang bertanggung jawab untuk mendeteksi serangan yang berkaitan dengan jaringan. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada “pintu masuk” jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi.

Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet.

Kelebihan :

• Dapat mendeteksi “external hackers” dan serangan jaringan internal.
• Dapat disesuaikan dengan mudah dalam menyediakan perlindungan untuk keseluruhan jaringan.
• Dapat dikelola secara terpusat dalam menangani serangan yang tersebar dan bersama-sama.
• Menyediakan pertahanan pada bagian dalam.
• Menyediakan layer tambahan untuk perlindungan.
• IDS memonitor Internet untuk mendeteksi serangan.
• IDS membantu organisasi utnuk mengembangkan dan menerapkan kebijakan keamanan yang efektif.
• IDS  memungkinkan anggota non-technical untuk melakukan pengelolaan keamanan menyeluruh.
• Adanya pemeriksaan integritas data dan laporan perubahan pada file data.
• IDS  melacak aktivitas pengguna dari saat masuk hingga saat keluar.
• IDS menyederhanakan sistem sumber informasi yang kompleks.
• IDS memberikan integritas yang besar bagi infrastruktur keamanan lainnya.

Kekurangan :

• Lebih bereaksi pada serangan daripada mencegahnya.
• Menghasilkan data yang besar untuk dianalisis.
• Rentan terhadap serangan yang “rendah dan lambat”.
• Tidak dapat menangani trafik jaringan yang terenkripsi.
• IDS hanya melindungi dari karakteristik yang dikenal.
• IDS tidak turut bagian dalam kebijakan keamanan yang efektif, karena dia harus diset terlebih dahulu.
• IDS tidak menyediakan penanganan kecelakaaN.
• IDS tidak mengidentifikasikan asal serangan.
• IDS hanya seakurat informasi yang menjadi dasarnya.
• Network-based IDS rentan terhadap “overload”.
• Network-based IDS dapat menyalahartikan hasil dari transaksi yang mencurigakaN.
• Paket terfragmantasi dapat bersifat problematis.

Cara kerja IDS

Cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan.

Perangkat Lunak yang  Digunakan untuk IDS

Signature Detection : SNORT, STAT, BRO

Anomaly Detection : MADAM ID, ADAM

Contoh Program IDS

• chkwtmp - Program yang melakukan pengecekan terhadap entry kosong. dalam arti wtmp mencatat sesuatu tapi isinya kosong.
• tcplogd - Program yang mendeteksi stealth scan. stealth scan adalah scanning yang dilakukan tanpa harus membuat sebuah sesi tcp.
• hostsentry - Program yang mendeteksi login anomali. anomlai disini termasuk perilaku aneh (bizzare behaviour), anomali waktu (time anomalies), dan anomali lokal (local anomalies).
• snort - adalah program IDS yang bekerja pada umumnya pada sistem operasi Linux, namun banyak pula versi yang dapat digunakan di beragam platform.