Sekarang ini banyak ditemui produk IDS, baik itu berupa software maupun hardware. Cara kerja dan penempatan IDS tersebut juga berbeda-beda. Dari sekian banyak IDS yang ada, bisa dikelompokkan menjadi beberapa jenis.
Berdasarkan input data
Network Intrusion Detection System(NIDS)
NIDS adalah jenis IDS yang menganalisa lalulintas packet dalam jaringan. Oleh NIDS, paket-paket data yang dikirimkan melalui jaringan akan diperiksa apakah berbahaya untuk keseluruhan jaringan. Apabila ada paket data yang berbahaya atau mencurigakan, NIDS akan membuat log mengenai paket tersebut, yang disertai informasi-informasi tambahan.
Berdasarkan paket yang mencurigakan tadi, NIDS akan memeriksa database miliknya mengenai ciri-ciri paket yang merupakan serangan terhadap jaringan. Kemudian NIDS akan memberikan label mengenai tingkat bahaya dari setiap paket yang dicurigai. Apabila tingkat bahaya cukup tinggi, NIDS bisa mengirimkan email peringatan kepada administrator agar dilakukan analisa lebih lanjut.
NIDS mendapatkan input dari sensor-sensor yang berada di lokasi-lokasi yang strategis dalam sebuah jaringan. Beberapa lokasi strategis yang bisa dipakai untuk menempatkan sensor antara lain switch, router, firewall, atau berada di sebuah host.
NIDS mulai populer seiring dengan berkembangnya internet, baik dalam area cakupan maupun banyaknya traffic internet yang terjadi. Produk NIDS yang bagus harus mampu men-scan aktivitas jaringan dalam volume yang besar, dan berhasil mendeteksi paket-paket mencurigakan dalam jaringan. Karena sifat dari protokol TCP/IP yang kurang aman, sangatlah penting untuk menggunakan scanner, sniffer dan tool-tool lain yang mampu mendeteksi dan mengaudit jaringan. Dengan tool-tool tersebut, kita bisa terhindar dari penerobosan keamanan yang biasanya berasal dari aktivitas-aktivitas berbahaya dalam jaringan, antara lain:
- IP Spoofing
- DoS attack
- Arp cache poisoning
- DNS poisoning
- Man-in-the-middle attack
Salah satu contoh software NIDS yang bisa dianggap sebagai standar NIDS secara de facto adalah Snort.
Host-based Intrusion Detection System(HIDS)
HIDS menganalisa beberapa area dalam sebuah host untuk mengetahui adanya aktivitas merusak ataupun penyusupan (serangan) terhadap sebuah host. HIDS memanfaatkan beberapa jenis file log (misalnya log kernel, log sistem, log konfigurasi, dan lain-lain) dan kemudian membandingkannya dengan database (berisi ciri-ciri serangan yang diketahui) yang dimiliki oleh HIDS. Apabila HIDS menemukan event-event yang mencurigakan dalam file log, maka HIDS akan menganalisa event tersebut, kemudian menilai tingkat bahaya dari event tersebut. HIDS lalu mencatat event-event mencurigakan tersebut dengan format khusus dan melaporkannya ke administrator untuk dianalisa lebih lanjut.
Sebuah HIDS juga bisa digunakan untuk memverifikasi integritas file, sehingga bisa diketahui apabila file tersebut telah mengalami perubahan. Fungsi integritas file bisa diterapkan untuk file-file penting yang berperan vital, agar tidak dilakukan perubahan oleh pihak yang tidak berwenang.
Lebih lanjut mengenai integritas data, HIDS bisa digunakan untuk memonitor komponen khusus dalam sebuah host, yang tidak aman apabila dimonitor oleh NIDS. Komponen-komponen khusus dalam sebuah sistem operasi seperti file passwd (dalam sistem UNIX), Registry (dalam sistem Windows), atau file-file konfigurasi lainnya bisa dimonitor agar tidak disalahgunakan. File-file tersebut akan sangat beresiko apabila dimonitor menggunakan NIDS.
Meskipun HIDS lebih baik dibanding NIDS dalam mendeteksi serangan dan aktivitas merusak dalam sebuah host, HIDS memiliki keterbatasan dalam memonitor jaringan. HIDS tidak mampu mendeteksi serangan yang ditujukan untuk host yang tidak terinstall HIDS.
Salah satu aplikasi HIDS yang cukup populer dalam Linux adalah Tripwire.
Stack-based Intrusion Detection System (SIDS)
SIDS merupakan pengembangan lebih lanjut dari HIDS. Paket-paket data akan dievaluasi ketika melewati layer-layer TCP/IP. Dengan metode ini, SIDS mampu memeriksa paket sebelum aplikasi menggunakan atau mengeksekusi paket tersebut. Implementasi dari SIDS sangat bergantung pada tiap-tiap sistem operasi.
Berdasarkan pengolahan data
Signature-based Intrusion Detection System
IDS tipe ini bekerja berdasarkan ciri khas (signature / tanda tangan) dari sebuah pola serangan. Signauer-based IDS akan membandingkan pola pada tiap event dengan pola serangan yang telah diketahui yang tersimpan dalam database.
Signature-based IDS dianggap hanya mampu mendeteksi serangan jika pola serangan tersebut sudah diketahui sebelumnya. Dengan demikian, jika database penyimpanan pola serangan tidak diupdate secara teratur, serangan jenis baru bisa lolos dari pengawasan. Meskipun demikian, signatured-based IDS mampu mendeteksi serangan baru yang memiliki karakteristik sama dengan pola serangan lama, misalnya mengakses 'cmd.exe' via request HTTP GET. Tetapi untuk serangan yang benar-benar baru, teknik ini memiliki banyak celah, sehingga penting untuk tetap update database.
Hal lain yang perlu diperhatikan adalah signature-based IDS akan mengalami penurunan performa ketika ada sebuah serangan yang cocok dengan beberapa pola serangan yang ada dalam database. Jika hal ini terjadi, maka performa akan turun cukup signifikan. Definisi dari tiap signature (ciri khas) serangan yang tersimpan dalam database haruslah se-spesifik mungkin, sehingga variasi dari serangan yang diketahui tidak luput dari deteksi. Dengan metode penyimpanan seperti ini, database yang dibutuhkan bisa sangat besar.
Anomaly-based Intrusion Detection System
Anomaly-based IDS memeriksa traffic keluar, aktivitas, transaksi dan perilaku sebuah jaringan, untuk memeriksa adanya penyusup atau penyerang dengan mendeteksi adanya anomali. Prinsip utamanya adalah, "Perilaku penyerang akan berbeda dengan perilaku pengguna normal." Dengan demikian, administrator sistem yang bersangkutan harus mendefinisikan perilaku dan keadaan normal kepada sistem IDS. Point-point yang perlu didefinisikan antara lain, protokol jaringan, banyaknya traffic, ukuran paket data normal, dan lain-lain.
Detektor dari anomali memonitor segment jaringan, kemudian membandingkannya dengan definisi keadaan normal yang telah ditetapkan. Secara teori, dengan kemampuan ini anomaly-based IDS bisa mendeteksi serangan yang belum diketahui sebelumnya.
Kelemahan dari anomaly-based IDS adalah, seringnya terjadi false-positive. Hal ini bisa terjadi karena definisi keadaan normal yang kurang spesifik dan kurang detail. Bisa juga adanya perubahan / pergantian hardware yang diinstall, sehingga menyebabkan perubahan keadaan normal, yang mungkin tidak didefinisikan ulang.
referensi:
- http://www.centos.org/docs/4/4.5/Security_Guide/s1-ids-net.html
- http://www.centos.org/docs/4/4.5/Security_Guide/s1-ids-host.html
- http://en.wikipedia.org/wiki/Intrusion_detection_system
- http://advanced-network-security.blogspot.com/2008/04/three-major-types-of-ids.html
Tweet
Tidak ada komentar:
Posting Komentar