Intrusion Detection System - MAKALAH TUGAS AKHIR ADMINISTRASI JARINGAN RANGKUMAN MATERI SEMESTE

BAB 3 PEMBAHASAN

3.4 Intrusion Detection System

IDS (Intrusion Detection System) merupakan sistem untuk mendeteksi adanya “intrusion” yang dilakukan oleh “intruder” atau “pengganggu atau penyusup” di jaringan. IDS (Intrusion Detection System) sangat mirip seperti alarm, yaitu IDS (Instrusion Detection System) akan memperingati bila terjadinya atau adanya penyusupan pada jaringan. IDS (Intrusion Detection System) dapat didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect, inappropriate yang terjadi di jaringan atau host. IDS (Intrusion Detection System) adalah sistem keamanan yang bekerja bersama Firewall untuk mengatasi Intrusion.

3.4.2 Cara Kerja

IDS juga memiliki cara kerja dalam menganalisa apakah paket data yang dianggap sebagai intrusion oleh intruser. Cara kerja IDS dibagi menjadi dua, yaitu :

1. Knowledge Based (Misuse Detection )

Knowledge Based pada IDS (Intrusion Detection System) adalah cara kerja IDS (Intrusion Detection System) dengan mengenali adanya penyusupan dengan cara menyadap paket data kemudian membandingkannya dengan database rule pada IDS (Intrusion Detection System) tersebut. Database rule tersebut dapat berisi signature – signature paket serangan. Jika pattern atau pola paket data tersebut terdapat kesamaan dengan rule pada database rule pada IDS (Intrusion Detection System), maka paket data tersebut dianggap sebagai seranganm dan demikian juga sebaliknya, jika paket data tersebut tidak memiliki kesamaan dengan rule pada database rule pada IDS(Intrusion Detection System), maka paket data tersebut tidak akan dianggap serangan.

2. Behavior Based ( Anomaly Based )

Behavior Base adalah cara kerja IDS (Intrusion Detection System) dengan mendeteksi adanya penyusupan dengan mengamati adanya kejanggalan – kejanggalan pada sistem, aatu adanya keanehan dan kejanggalan dari kondiri pada saat sistem normal, sebagai contoh : adanya penggunaan memory yang melonjak secara terus menerus atau terdapatnya koneksi secara paralel dari satu IP dalam jumlah banyak dan dalam waktu yang bersamaan. Kondisi tersebut dianggap kejanggalan yang selanjutnya oleh IDS (Intrusion Detection System) Anomaly Based ini dianggap sebagai serangan.

Intrusion itu sendiri didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect, inappropite yang terjadi di jaringan atau di host tersebut. Intrusion tersebut kemudian akan diubah menjadi “rules” ke dalam IDS (Intrusion Detection System). Sebagai contoh, intrusion atau gangguan seperti port scanning yang dilakukan oleh intruder. Oleh karena itu IDS (Intrusion Detection System) ditujukan untuk meminimalkan kerugian yang dapat ditimbulkan dari intrusion.

62 3.4.3 Jenis - Jenis

1. Network Instrusion Detection System (NIDS)

Memantau Anomali di Jaringan dan mampu mendeteksi seluruh host yang berada satu jaringan dengan host implementasi IDS (Intrusion Detection System) tersebut. NIDS (Network Instrusion Detection System) pada umumnya bekerja dilayer 2 pada OSI layer, IDS (Intrusion Detection System) menggunakan “raw traffic” dari proses sniffing kemudian mencocokknannya dengan signature yang telah ada dalam policy. Jika terdapat kecocokan antara signature dengan raw traffinc hasil sniffing paket, IDS (Intrusion Detection System) memberikan allert atau peringgatan sebagai tanda adanya proses intrusi ke dalam sistem. NIDS (Network Instrusion Detection System) yang cukup banyak dipakai adalah snort karena signature yang customizable, sehingga setiap vulnerability baru ditemukan dapat dengan mudah ditambahkan agar jika terjadi usaha punyusupan atau intrusion dari intruder akan segera terdeteksi.

cotoh : melihat adanya network scanning 2. Host Instrusion Detection System (HIDS)

Mamantau Anomali di Host dan hanya mampu mendeteksi pada host tempat implementasi IDS (Intrusion Detection System) tersebut. HIDS (Host Instrusion Detection System) biasanya berupa tools yang mendeteksi anomali di sebuah host seperti perubahan file password dengan penambahan user ber UID 0, perubahan loadable kernel, perubahan ini script, dan gangguan bersifat anomali lainnya.

contoh : memonitor logfile, process, file ownership, dan mode. 3.4.4 Tipe – Tipe Penggunaan

Ada beberapa tipe penggunaan IDS (Intrusion Detection System) untuk menajemen keamanan informasi dan pengamanan jaringan, yaitu dengan menggunakan Snort IDS (Intrusion Detection

System) dan IDS (Intrusion Detection System) dengan menggunakan Box.

1. Snort IDS

Snort IDS merupakan IDS open source yang secara defacto menjadi standar IDS (Intrusion Detection System) di industri. Snort merupakan salah satu software untuk mendeteksi instruksi pada system, mampu menganalisa secara real-time traffic dan logging IP, mampu menganalisa port dan mendeteksi segala macam intrusion atau serangan dari luar seperti buffter overflows, stealth scan, CGI attacks, SMP probes, OS fingerprinting.

Secara default Snort memiliki 3 hal yang terpenting, yaitu : 1) Paket Snifferm

Contoh : tcpdump, iptraf, dll. 2) Paket Logger

Berguna dalam Paket Traffic.

3) NIDS (Network Intrusion Detection System ) Deteksi Intrusion pada Network

Komponen – komponen Snort IDS (Intrusion Detection System) meliputi :

a. Rule Snort

Rule Snort merupakan database yang berisi pola – pola serangan berupa signature jenis – jenis serangan. Rule snort IDS (Intrusion Detection System) harus selalu terupdate secara rutin agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat terdeteksi. Rule Snort dapat di download pada website www.snort.org.

64 b. Snort Engine

Snort Engine merupakan program yang berjalan sebagai daemon proses yang selalu bekerja untuk membaca paket data dan kemudian membadingkan dengan Rule Snort. c. Alert

Alert merupakan catatan serangan pada deteksi penyusupan. Jika Snort engine mendeteksi paket data yang lewat sebagai sebuah serangan, maka snort engine akam mengirimkan alert berupa log file. Kemudian alert tersebut akan tersimpan di dalam database.

Hubungan ketiga komponen snort IDS (Intrusion Detection System) tersebut dapat digambarkan dalam gambar berikut.

Gambar 3.4-1 Hubungan ketiga Komponen Snort IDS

2. IDS (Intrusion Detection System) dengan menggunakan Box IDS (Intrusion Detection System) dengan menggunakan BOX adalah IDS (Intrusion Detection System) dengan yang merupakan product dari suatu perusahaan pengembang keamanan jaringan komputer (Vendor). Sama seperti IDS (Intrusion Detection System) Snort, IDS (Intrusion Detection System) dengan menggunakan Box ini memiliki kemampuan yang sama untuk melakukan pendeteksian terhadap intursion

dalam sebuah jaringan. Pada IDS (Intrusion Detection System) dengan menggunakan Box allert yang digunakan dapat berupa message, message tersebut dapat berupa sms ataupun email ke administrator.

3.4.5 Karakteristik

Karateristik atau sifat yang dimiliki Oleh IDS pada umumnya : 1. Suitability

Aplikasi IDS yang cenderung memfokuskan berdasarkan skema manajemen dan arsitektur jaringan yang dihadapkannya.

2. Flexibility

Aplikasi IDS yang mampu beradaptasi dengan spesifikasi jaringan yang akan dideteksi oleh aplikasi tersebut.

3. Protection

Aplikasi IDS yang secara ketat memproteksi gangguan yang sifatnya utama dan berbahaya.

4. Interoperability

Aplikasi IDS yang secara umum mampu beroperasi secara baik dengan perangkat-perangkat keamanan jaringan serta manajemen jaringan lainnya.

5. Comprehensiveness

Kelengkapan yang dimiliki oleh aplikasi IDS ini mampu melakukan sistem pendeteksian secara menyeluruh seperti pemblokiran semua yang berbentuk Java Applet, memonitor isi dari suatu email serta dapat memblokir address url secara spesifik.

6. Event Management

Konsep IDS yang mampu melakukan proses manajemen suatu jaringan serta proses pelaporan pada saat dilakukan setiap pelacakan, bahkan aplikasi ini mampu melakukan updating pada sistem basis data pola suatu gangguan.

Pendeteksi gangguan ini mampu secara cepat untuk mengkonfigurasi saat munculnya suatu gangguan, biasanya aplikasi ini berintegrasi dengan aplikasi lainnya seperti aplikasi

Firewall serta aplikasi IDS ini dapat mengkonfigurasi ulang

spesifikasi router pada jaringannya. 8. Support

Lebih bersifat mendukung pada suatu jenis produk apabila diintegrasikan dengan aplikasi lain.

3.5 Network Monitoring

Dalam dokumen MAKALAH TUGAS AKHIR ADMINISTRASI JARINGAN RANGKUMAN MATERI SEMESTER GENAP (Halaman 66-72)