Intrusion Detection System
Content
Intrusion Detection System
Fransisca Julia K.D, Yosef Brian Yudhalaksana, Vinsensius P. Satya W
I.
PENDAHULUAN
Semakin pesatnya perkembangan teknologi internet telah menyebabkan arus informasi dari dalam atau keluar semakin padat. Akses internet yang tanpa batas tersebut telah menghadirkan banyak keuntungan bagi semua pihak. Tidak hanya mempermudah pencarian informasi yang diinginkan tanpa batas waktu dan lokasi, akan tetapi dunia luar dapat berinteraksi dengan local network yang ada. Hal ini memungkinkan meningkatnya tindak kejahatan dalam dunia maya. Salah satu masalah keamanan yang cukup signifikan pada jaringan adalah masuknya user dan program (misalnya : worm, trojan horse, virus ) yang tidak sah sehingga dapat merusak sistem. Untuk itu diperlukan cara untuk menjaga security system. Salah satunya dengan membangun peringatan dini yang disebut deteksi intrusi /penyusupan (intrusion detection). Salah satu sistem yang dapat mendeteksi intrusi adalah IDS (Intrusion Detection System). II. DEFINISI INTRUSION DETECTION SYSTEM IDS (Intrusion Detection System) merupakan sistem untuk mendeteksi adanya “intrusion” yang dilakukan oleh “intruder” atau “penyusup” di jaringan. IDS adalah sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. III. JENIS-JENIS INTRUSION DETECTION SYSTEM A. Network Instrusion Detection System (NIDS) NIDS memantau Anomali dalam jaringan dan mampu mendeteksi seluruh host yang berada pada satu jaringan dengan host implementasi IDS. NIDS pada umumnya bekerja dilayer 2 pada OSI layer, IDS menggunakan raw traffic dari proses sniffing kemudian mencocokannya dengan signature yang telah ada dalam policy. Jika terdapat kecocokan antara signature dengan raw traffic hasil sniffing paket, IDS akan memberikan alert atau peringgatan sebagai tanda adanya proses intrusi ke dalam sistem. NIDS yang cukup banyak dipakai adalah snort karena signature yang customizable, sehingga setiap vulnerability baru ditemukan dapat dengan mudah ditambahkan agar jika terjadi usaha punyusupan atau intrusion dari intruder akan segera terdeteksi. contoh : melihat adanya network scanning B. Host Instrusion Detection System (HIDS)
HIDS memantau anomali di host dan hanya mampu mendeteksi pada host tempat implementasi IDS tersebut. HIDS biasanya berupa tools yang mendeteksi anomali di sebuah host seperti perubahan file password dengan penambahan user ber-UID 0, perubahan loadable kernel, perubahan script, dan gangguan bersifat anomali lainnya. contoh : memonitor logfile, file ownership, dan mode. IV. ARSITEKTUR DAN STRUKTUR INTRUSION DETECTION SYSTEM
Sebuah IDS selalu mempunyai sebuah sensor ( mesin analis) yang bertanggung jawab untuk mendeteksi intrusi. Sensor ini terdiri dari mesin pembuat keputusan yang berhubungan dengan intrusi. Sensor-sensor menerima baris data dari 3 sumber informasi utama. IDS memiliki base, syslog and audit trails. Syslog diincludekan dalam sistem, misal konfigurasi pada sistem file, autorisasi user, dsb. Informasi ini menciptakan dasar bagi proses pembuatan keputusan. Sensor bertugas untuk memfilter informasi dan mendiscard data yang tidak relevan dari sekumpulan kejadian yang terhubung dengan sistem terproteksi, misalnya mendeteksi aktivitas-aktivitas yang mencurigakan. Analis menggunakan database yang berisi kebijakan dalam mendeteksi. Di dalamnya terdapat tandatangan penyerang, deskripsi perilaku normal, dan parameter yang penting (misal, nilai ambang batas). Database ini mengatur konfigurasi parameter IDS, termasuk mode komunikasi dengan modul tanggap. Sensor juga mempunyai database yang terdiri atas sejarah dinamis dari intrusi yang kpmplek. Hal ini dibuat dari multiple aksi.-aksi. Sensor diintegrasikan dengan sejumlah komponen yang bertanggungjawab untuk pengumpulan data Metode pengumpulan ini ditentukan oleh kebijakan dari event generator yang akan menjelaskan mode filtering dari suatu deskripsi informasi. Event generator (misalnya, sistem operasi, jaringan, dan aplikasi) akan membuat sebuah kebijakan yang konsisten dalam mengeset sekumpulan kejadian yang mungkin misal adanya sebuah log atau audit dari sistem atau packet jaringan. Hal ini diatur baik dengan kebijakan informasi yang disimpan juga didalam atau diluar sistem terproteksi.
email serta dapat memblokir address url secara spesifik. F. Event Management Konsep IDS yang mampu melakukan proses manajemen suatu jaringan serta proses pelaporan pada saat dilakukan setiap pelacakan, bahkan aplikasi ini mampu melakukan updating pada sistem basis data pola suatu gangguan. G. Active Response Pendeteksi gangguan ini mampu secara cepat untuk mengkonfigurasi saat munculnya suatu gangguan, biasanya aplikasi ini berintegrasi dengan aplikasi lainnya seperti aplikasi Firewall serta aplikasi IDS ini dapat mengkonfigurasi ulang spesifikasi router pada jaringannya. H. Support Lebih bersifat mendukung pada suatu jenis produk apabila diintegrasikan dengan aplikasi lain. VI. CARA KERJA INTRUSION DETECTION SYSTEM IDS melindungi sistem komputer dengan mendeteksi serangan dan menghentikannya. Awalnya, IDS melakukan pencegahan intrusi. Untuk itu, IDS mengidentifikasi penyebab intrusi dengan cara membandingkan antara event yang dicurigai sebagai intrusi dengan signature yang ada. Saat sebuah intrusi telah terdeteksi, maka IDS akan mengirim sejenis peringatan ke administrator. Langkah selanjutnya dimulai dengan melakukan policy terhadap administrator dan IDS itu sendiri Sewaktu-waktu, IDS dapat menghasilkan alarm yang salah. Hal ini biasanya terjadi pada saat kegagalan fungsi dari interface jaringan serta pengiriman deskripsi serangan atau tandatangan melalui email.
Gambar 1. Arsitektur IDS
Gambar 2. Komponen IDS V. KARAKTERISTIK INTRUSION DETECTION SYSTEM A. Suitability Aplikasi IDS yang cenderung memfokuskan berdasarkan skema manajemen dan arsitektur jaringan yang dihadapkannya. B. Flexibility Aplikasi IDS yang mampu beradaptasi dengan spesifikasi jaringan yang akan dideteksi oleh aplikasi tersebut. C. Protection Aplikasi IDS yang secara ketat memproteksi gangguan yang sifatnya utama dan berbahaya. D. Interoperability Aplikasi IDS yang secara umum mampu beroperasi secara baik dengan perangkat-perangkat keamanan jaringan serta manajemen jaringan lainnya. E. Comprehensiveness Kelengkapan yang dimiliki oleh aplikasi IDS ini mampu melakukan sistem pendeteksian secara menyeluruh seperti pemblokiran semua yang berbentuk Java Applet, memonitor isi dari suatu
IDS menyederhanakan sistem sumber informasi yang kompleks. IDS memberikan integritas yang besar bagi infrastruktur keamanan lainnya Kekurangan Lebih bereaksi pada serangan daripada mencegahnya. Menghasilkan data yang besar untuk dianalisis. Rentan terhadap serangan yang “rendah dan lambat”. Tidak dapat menangani trafik jaringan yang terenkripsi. IDS hanya melindungi dari karakteristik yang dikenal. IDS tidak turut bagian dalam kebijakan keamanan yang efektif, karena dia harus diset terlebih dahulu. IDS tidak menyediakan penanganan kecelakaan. IDS tidak mengidentifikasikan asal serangan. IDS hanya seakurat informasi yang menjadi dasarnya. Network-based IDS rentan terhadap “overload”. Network-based IDS dapat menyalahartikan hasil dari transaksi yang mencurigakan.
b)
Gambar 3. Aktifitas IDS VII. KELEBIHAN DAN KEKURANGAN INTRUSION DETECTION SYSTEM a) Kelebihan Dapat mendeteksi “external hackers” dan serangan jaringan internal. Dapat disesuaikan dengan mudah dalam menyediakan perlindungan untuk keseluruhan jaringan. Dapat dikelola secara terpusat dalam menangani serangan yang tersebar dan bersama-sama. Menyediakan pertahanan pada bagian dalam. Menyediakan layer tambahan untuk perlindungan. IDS memonitor Internet untuk mendeteksi serangan. IDS membantu organisasi utnuk mengembangkan dan menerapkan kebijakan keamanan yang efektif. IDS memungkinkan anggota non-technical untuk melakukan pengelolaan keamanan menyeluruh. Adanya pemeriksaan integritas data dan laporan perubahan pada file data. IDS melacak aktivitas pengguna dari saat masuk hingga saat keluar.
Paket terfragmantasi dapat bersifat problematis VIII. KESIMPULAN Dalam perkembangan teknologi, serangan terhadap file-file pribadi menjadi lebih berbahaya dan bervariasi. Untuk mencegah file-file pribadi kita dimanfaatkan oleh pihak yang tidak bertanggung jawab, kita memerlukan sebuah sarana pertahanan. IDS adalah salah satu sistem pertahanan dasar yang baik. Namun dalam pengunaannya, IDS juga masih memiliki celah-celah. Untuk menutupi celah-celah terebut, bias digunakan system pertahanan lain seperti firewall. IX. DAFTAR PUSTAKA 1. 2. http://id.wikipedia.org/wiki/Sistem_deteksi_intr usi unsri.ac.id/upload/arsip/Handry%20Fratama%2 0Diansyah.doc
Fransisca Julia K.D, Yosef Brian Yudhalaksana, Vinsensius P. Satya W
I.
PENDAHULUAN
Semakin pesatnya perkembangan teknologi internet telah menyebabkan arus informasi dari dalam atau keluar semakin padat. Akses internet yang tanpa batas tersebut telah menghadirkan banyak keuntungan bagi semua pihak. Tidak hanya mempermudah pencarian informasi yang diinginkan tanpa batas waktu dan lokasi, akan tetapi dunia luar dapat berinteraksi dengan local network yang ada. Hal ini memungkinkan meningkatnya tindak kejahatan dalam dunia maya. Salah satu masalah keamanan yang cukup signifikan pada jaringan adalah masuknya user dan program (misalnya : worm, trojan horse, virus ) yang tidak sah sehingga dapat merusak sistem. Untuk itu diperlukan cara untuk menjaga security system. Salah satunya dengan membangun peringatan dini yang disebut deteksi intrusi /penyusupan (intrusion detection). Salah satu sistem yang dapat mendeteksi intrusi adalah IDS (Intrusion Detection System). II. DEFINISI INTRUSION DETECTION SYSTEM IDS (Intrusion Detection System) merupakan sistem untuk mendeteksi adanya “intrusion” yang dilakukan oleh “intruder” atau “penyusup” di jaringan. IDS adalah sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. III. JENIS-JENIS INTRUSION DETECTION SYSTEM A. Network Instrusion Detection System (NIDS) NIDS memantau Anomali dalam jaringan dan mampu mendeteksi seluruh host yang berada pada satu jaringan dengan host implementasi IDS. NIDS pada umumnya bekerja dilayer 2 pada OSI layer, IDS menggunakan raw traffic dari proses sniffing kemudian mencocokannya dengan signature yang telah ada dalam policy. Jika terdapat kecocokan antara signature dengan raw traffic hasil sniffing paket, IDS akan memberikan alert atau peringgatan sebagai tanda adanya proses intrusi ke dalam sistem. NIDS yang cukup banyak dipakai adalah snort karena signature yang customizable, sehingga setiap vulnerability baru ditemukan dapat dengan mudah ditambahkan agar jika terjadi usaha punyusupan atau intrusion dari intruder akan segera terdeteksi. contoh : melihat adanya network scanning B. Host Instrusion Detection System (HIDS)
HIDS memantau anomali di host dan hanya mampu mendeteksi pada host tempat implementasi IDS tersebut. HIDS biasanya berupa tools yang mendeteksi anomali di sebuah host seperti perubahan file password dengan penambahan user ber-UID 0, perubahan loadable kernel, perubahan script, dan gangguan bersifat anomali lainnya. contoh : memonitor logfile, file ownership, dan mode. IV. ARSITEKTUR DAN STRUKTUR INTRUSION DETECTION SYSTEM
Sebuah IDS selalu mempunyai sebuah sensor ( mesin analis) yang bertanggung jawab untuk mendeteksi intrusi. Sensor ini terdiri dari mesin pembuat keputusan yang berhubungan dengan intrusi. Sensor-sensor menerima baris data dari 3 sumber informasi utama. IDS memiliki base, syslog and audit trails. Syslog diincludekan dalam sistem, misal konfigurasi pada sistem file, autorisasi user, dsb. Informasi ini menciptakan dasar bagi proses pembuatan keputusan. Sensor bertugas untuk memfilter informasi dan mendiscard data yang tidak relevan dari sekumpulan kejadian yang terhubung dengan sistem terproteksi, misalnya mendeteksi aktivitas-aktivitas yang mencurigakan. Analis menggunakan database yang berisi kebijakan dalam mendeteksi. Di dalamnya terdapat tandatangan penyerang, deskripsi perilaku normal, dan parameter yang penting (misal, nilai ambang batas). Database ini mengatur konfigurasi parameter IDS, termasuk mode komunikasi dengan modul tanggap. Sensor juga mempunyai database yang terdiri atas sejarah dinamis dari intrusi yang kpmplek. Hal ini dibuat dari multiple aksi.-aksi. Sensor diintegrasikan dengan sejumlah komponen yang bertanggungjawab untuk pengumpulan data Metode pengumpulan ini ditentukan oleh kebijakan dari event generator yang akan menjelaskan mode filtering dari suatu deskripsi informasi. Event generator (misalnya, sistem operasi, jaringan, dan aplikasi) akan membuat sebuah kebijakan yang konsisten dalam mengeset sekumpulan kejadian yang mungkin misal adanya sebuah log atau audit dari sistem atau packet jaringan. Hal ini diatur baik dengan kebijakan informasi yang disimpan juga didalam atau diluar sistem terproteksi.
email serta dapat memblokir address url secara spesifik. F. Event Management Konsep IDS yang mampu melakukan proses manajemen suatu jaringan serta proses pelaporan pada saat dilakukan setiap pelacakan, bahkan aplikasi ini mampu melakukan updating pada sistem basis data pola suatu gangguan. G. Active Response Pendeteksi gangguan ini mampu secara cepat untuk mengkonfigurasi saat munculnya suatu gangguan, biasanya aplikasi ini berintegrasi dengan aplikasi lainnya seperti aplikasi Firewall serta aplikasi IDS ini dapat mengkonfigurasi ulang spesifikasi router pada jaringannya. H. Support Lebih bersifat mendukung pada suatu jenis produk apabila diintegrasikan dengan aplikasi lain. VI. CARA KERJA INTRUSION DETECTION SYSTEM IDS melindungi sistem komputer dengan mendeteksi serangan dan menghentikannya. Awalnya, IDS melakukan pencegahan intrusi. Untuk itu, IDS mengidentifikasi penyebab intrusi dengan cara membandingkan antara event yang dicurigai sebagai intrusi dengan signature yang ada. Saat sebuah intrusi telah terdeteksi, maka IDS akan mengirim sejenis peringatan ke administrator. Langkah selanjutnya dimulai dengan melakukan policy terhadap administrator dan IDS itu sendiri Sewaktu-waktu, IDS dapat menghasilkan alarm yang salah. Hal ini biasanya terjadi pada saat kegagalan fungsi dari interface jaringan serta pengiriman deskripsi serangan atau tandatangan melalui email.
Gambar 1. Arsitektur IDS
Gambar 2. Komponen IDS V. KARAKTERISTIK INTRUSION DETECTION SYSTEM A. Suitability Aplikasi IDS yang cenderung memfokuskan berdasarkan skema manajemen dan arsitektur jaringan yang dihadapkannya. B. Flexibility Aplikasi IDS yang mampu beradaptasi dengan spesifikasi jaringan yang akan dideteksi oleh aplikasi tersebut. C. Protection Aplikasi IDS yang secara ketat memproteksi gangguan yang sifatnya utama dan berbahaya. D. Interoperability Aplikasi IDS yang secara umum mampu beroperasi secara baik dengan perangkat-perangkat keamanan jaringan serta manajemen jaringan lainnya. E. Comprehensiveness Kelengkapan yang dimiliki oleh aplikasi IDS ini mampu melakukan sistem pendeteksian secara menyeluruh seperti pemblokiran semua yang berbentuk Java Applet, memonitor isi dari suatu
IDS menyederhanakan sistem sumber informasi yang kompleks. IDS memberikan integritas yang besar bagi infrastruktur keamanan lainnya Kekurangan Lebih bereaksi pada serangan daripada mencegahnya. Menghasilkan data yang besar untuk dianalisis. Rentan terhadap serangan yang “rendah dan lambat”. Tidak dapat menangani trafik jaringan yang terenkripsi. IDS hanya melindungi dari karakteristik yang dikenal. IDS tidak turut bagian dalam kebijakan keamanan yang efektif, karena dia harus diset terlebih dahulu. IDS tidak menyediakan penanganan kecelakaan. IDS tidak mengidentifikasikan asal serangan. IDS hanya seakurat informasi yang menjadi dasarnya. Network-based IDS rentan terhadap “overload”. Network-based IDS dapat menyalahartikan hasil dari transaksi yang mencurigakan.
b)
Gambar 3. Aktifitas IDS VII. KELEBIHAN DAN KEKURANGAN INTRUSION DETECTION SYSTEM a) Kelebihan Dapat mendeteksi “external hackers” dan serangan jaringan internal. Dapat disesuaikan dengan mudah dalam menyediakan perlindungan untuk keseluruhan jaringan. Dapat dikelola secara terpusat dalam menangani serangan yang tersebar dan bersama-sama. Menyediakan pertahanan pada bagian dalam. Menyediakan layer tambahan untuk perlindungan. IDS memonitor Internet untuk mendeteksi serangan. IDS membantu organisasi utnuk mengembangkan dan menerapkan kebijakan keamanan yang efektif. IDS memungkinkan anggota non-technical untuk melakukan pengelolaan keamanan menyeluruh. Adanya pemeriksaan integritas data dan laporan perubahan pada file data. IDS melacak aktivitas pengguna dari saat masuk hingga saat keluar.
Paket terfragmantasi dapat bersifat problematis VIII. KESIMPULAN Dalam perkembangan teknologi, serangan terhadap file-file pribadi menjadi lebih berbahaya dan bervariasi. Untuk mencegah file-file pribadi kita dimanfaatkan oleh pihak yang tidak bertanggung jawab, kita memerlukan sebuah sarana pertahanan. IDS adalah salah satu sistem pertahanan dasar yang baik. Namun dalam pengunaannya, IDS juga masih memiliki celah-celah. Untuk menutupi celah-celah terebut, bias digunakan system pertahanan lain seperti firewall. IX. DAFTAR PUSTAKA 1. 2. http://id.wikipedia.org/wiki/Sistem_deteksi_intr usi unsri.ac.id/upload/arsip/Handry%20Fratama%2 0Diansyah.doc
