Deteksi penyusupan (Intrusion Detection) adalah aktivitas untuk
mendeteksi penyusupan secara cepat dengan menggunakan progrtam khusus.
Program yang digunakan untuk pendeteksian disebut sebagai IDS (Intrusion
Detection System (IDS).
Tipe Dasar IDS adalah
- Rule-based systems, berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mendeteksi lalu lintas sesuai dengan data dari database, maka pendeteksian tersebut langsung dikategorikan sebagai penyusupan.
- Adaptive systems, sama seperti Rule-based tetapi ditambah dengan teknik lain yaitu membuka kemungkinan untuk mendeteksi metode penyusupan yang baru.
Yang sering digunakan secara umum adalah rule-based system.
Pendekatan yang digunakan dalam rule-based system ada dua, yaitu
Preemptory (pencegahan) dan Reactionary (reaksi). Perbedaan dari kdua
pendekatan tersebut adalah dalam waktu saja. Dalam Preemptory akan
memperhatikan semua lalu-lintas jaringan. Apabila paket mencurigakan
ditemukan maka program akan melakukan tindakan yang sesuai dengan paket
mencurigakan tersebut. Reactionary, program hanya mengamati log. Jika
ditemukan paket mencurigakan, program akan melakukan tindakan sesuai
dengan paket tersebut.
Contoh program IDS:
- Snort
- PortSentry
- Tripwire
Intrusion Prevention System (IPS)
Intrusion
Prevention System adalah pendekatan yang sering digunakan untuk
membangun sistem keamanan komputer, IPS emngkombinasikan Firewall dan
IDS. Teknik ini digunakan untuk mencegah serangan ke jaringan lokal
dengan cara memeriksa dan mencatat semua log yang terdeteksi sebagai
serangan. IPS bertindak seperti Firewall, sebagai portal yang
dikombinasikan dengan sistem IDS. IPS menggunakan signatures untuk
mendeteksi di aktivitas traffic di jaringan dan terminal, dimana
pendeteksian paket yang masuk dan keluar (inbound-outbound) dapat di
cegah sedini mungkin sebelum merusak atau mendapatkan akses ke dalam
jaringan lokal. Jadi early detection dan prevention menjadi penekanan
pada IPS ini.
IPS
jgmerupakan kombinasi antara fasilitas blocking capabilities dari
Firewall dan kedalaman inspeksi paket data dari Intrusion Detection
System (IDS). IPS diciptakan pada awal tahun 1990-an untukmemecahkan
masalah serangan yang selalu melanda jaringan komputer. IPS membuat
akseskontrol dengan cara melihat konten aplikasi, dari pada melihat IP
address atau ports, yang biasanya dilakukan oleh firewall. IPS komersil
pertama dinamakan BlackIce diproduksi olehperusahaan NetworkIce, hingga
kemudian berubah namanya menjadi ISS(Internet Security System). Sistem
setup IPS sama dengan sistem setup IDS. IPS mampu mencegah serangan yang
datang dengan bantuan administrator secara minimal atau bahkan tidak
sama sekali. Secara logic IPS akan menghalangi suatu serangan sebelum
terjadi eksekusi dalam memori, selain itu IPSmembandingkan file checksum
yang tidak semestinya mendapatkan izin untuk dieksekusi dan juga bisa
menginterupsi sistem call.
Secara
umum, ada dua pendekatan yang dapat digunakan untuk mendeteksi ancaman
attack ini, Host-based approach, Network-based approach, dimana
Host-based approach adalah teknologi terkini yang dipakai dan sangat
popular, dapat melakukan mengecekan untuk aktiitas yang mencurigakan
langsung dari host computer tersebut di level operating systemnya.
Network-based approach sangat terfokus pada network-based, dengan
gabungan komponen keamanan lainnya dapat menjadi solusi yang menyeluruh
pada system keamanan.
 |
| Gambar 1. Contoh topology yang mengambarkan permasalahan isu utama dalam implementasi IPS, ilihat dari gambar tersebut dengan penomeran (1) akurasi signature, (2) volume traffic, (3) topology penempatan sensor, (4) penggunaan quota log, (5) proteksi mesin IPS, (6) sensor monitoring, (7) kolaborasi U.T.M |
Ada 2 Perbedaan mendasar antara IPS dan IDS:
IDS
|
IPS
|
|
OSI
|
Layer 3
|
Layer 2,3 dan 7
|
Kegunaan
|
IDS didesain hanya untuk mengidentifikasi dan memeriksa semua
paket yang lewat, jika ditemukan keganjilan maka akan memtrigger alarm
|
Mengkombinasikan Firewall, Policy, QoS dan IDS dengan baik.
IPS memang dibuat untuk dapat mentrigger alarm dan melakukan Allow, Block,
Log
|
Aktivitas
|
Mendeteksi serangan hanya disaat
serangan tersebut telah masuk ke jaringan dan tidak akan melakukan
sesuatu untuk menghentikannya
|
Early Detection, teknik yang proaktif, mencegah sedini
mungkin attack masuk ke jaringan, dan akan menghentikannya jika
teridentifikasi
|
Komponen
|
Tidak dapat mendeteksi semua aktivitas malicious dan malware
setiap saat yang akan mengakibatkan false negative sangat banyak
|
Memungkinkan dapat mendeteksi new signature dan behavior
attack, dan mengakibatkan rendahnya false negative
|
Intregated
|
Tidak dapat menggunakan ACL / script dari komponen system
keamanan yang lain
|
Dapat diintegrasikan dengan ACL dan perimeter DMZ lainnya
|
Tidak ada komentar:
Posting Komentar