IDS ( Intrusion Detection System)

17
IDS ( Intrusion Detection System ) Kelompok Rahmat Hermanto 125974202 Abdullah Umar G.W.S. 125974216

Transcript of IDS ( Intrusion Detection System)

Page 1: IDS ( Intrusion Detection System)

IDS( Intrusion Detection System )Kelompok

Rahmat Hermanto 125974202Abdullah Umar G.W.S. 125974216

Page 2: IDS ( Intrusion Detection System)

Intrusion = penyusupan, gangguan, dsb Detection = deteksi

Page 3: IDS ( Intrusion Detection System)

Principle Komputer yang tidak berada dibawah serangan,

menunjukkan beberapa karakteristik : Tindakan pengguna dan proses umumnya sesuai

dengan pola statistik yang sudah diprediksi. Tindakan pengguna dan proses tidak termasuk ke

dalam urutan perintah untuk mengagalkan kebijakan keamanan sistem. Jadi, setiap urutan perintah yang mengandung perintah untuk menggagalkan kebijakan keamanan akan dianggap sebuah potensi terjadinya serangan.

Tindakan proses sesuai dengan aturan yang menjelaskan tindakan tersebut diizinkan untuk dilakukan atau tidak diperbolehkan untuk dilakukan.

Page 4: IDS ( Intrusion Detection System)

Basic Intrusion Detection Mendeteksi berbagai gangguan. Mendeteksi intrusi secara tepat waktu. Menampilkan hasil analisis dalam

format sederhana yang mudah dimengerti.

Akurat.

Page 5: IDS ( Intrusion Detection System)

Implementasi dan Cara Kerja Rule Base (NIDS) Adaptive System (NIDS) Target Monitoring

(HIDS)

Page 6: IDS ( Intrusion Detection System)

Jenis-jenis IDS Dua jenis IDS, yakni :

Networ-based IDS (NIDS) Menganalisis untuk mencari apakah ada

percobaan serangan atau penyusupan ke dalam sistem jaringan.

NIDS terletak pada segment jaringan penting. Host-based IDS (HIDS)

Memantau aktivitas sebuah HOST jaringan individual terhadap kemungkinan serangan.

HIDS terletak pada serve2 kritis di jaringan.

Page 7: IDS ( Intrusion Detection System)

Produk IDS RealSecure dari Internet Security Systems (ISS). Cisco Secure Intrusion Detection System dari Cisco Systems (yang

mengakuisisi WheelGroup yang memiliki produk NetRanger). eTrust Intrusion Detection dari Computer Associates (yang mengakusisi

MEMCO yang memiliki SessionWall-3). Symantec Client Security dari Symantec Computer Misuse Detection System dari ODS Networks Kane Security Monitor dari Security Dynamics Cybersafe Network Associates Network Flight Recorder Intellitactics SecureWorks Snort (open source)

Page 8: IDS ( Intrusion Detection System)

Organization of IDS Monitoring NetworkTraffic for Intrusion

Network Security Monitor memeriksa lalu lintas jaringan saja

NSM ini memantau sumber, tujuan, dan layanan lalu lintas jaringan. Ini memberikan ID koneksi yang unik untuk setiap koneksi.

Page 9: IDS ( Intrusion Detection System)

Organization of IDS Combining Host and Network

Monitoring: DIDS Menggabungkan jaringan dan host

sumber Intrusion Detection System Terdistribusi

(DIDs) [940] menggabungkan kemampuan dari NSM dengan pemantauan intrusi deteksi host individual.

Page 10: IDS ( Intrusion Detection System)

Organization of IDS Autonomous Agent (AAFID)

Autonom Agents for Intrusion Detection bekerja dengan mendistribusikan agent-agent otonom ke dalam beberapa sistem di dalm jaringan.

Page 11: IDS ( Intrusion Detection System)

Intrusion Respons Incident Prevention

Idealnya, upaya penyusupan akan terdeteksi dan berhenti sebelum mereka berhasil. Ini biasanya melibatkan proses monitoring sistem (biasanya dengan mekanisme deteksi intrusi) dan mengambil tindakan untuk mengalahkan serangan itu.

Dalam konteks respon, pencegahan mensyaratkan bahwa serangan itu diidentifikasi sebelum selesai. Defender kemudian mengambil tindakan untuk mencegah serangan sebelum serangan itu diselesaikan. Hal ini dapat dilakukan secara manual atau secara otomatis.

Page 12: IDS ( Intrusion Detection System)

Intrusion Handling1. Preparation for an attack. Langkah ini terjadi sebelum

serangan yang terdeteksi. Ini menetapkan prosedur dan mekanisme untuk mendeteksi dan menanggapi serangan.

2. Identification of an attack. Hal ini memicu fase yang tersisa.

3. Containment (confinement) of the attack. Langkah ini membatasi kerusakan sebanyak mungkin.

4. Eradication of the attack. Langkah ini menghentikan serangan dan blok selanjutnya serangan serupa.

5. Recovery from the attack. Langkah ini mengembalikan sistem ke keadaan aman (terhadap kebijakan keamanan situs).

6. Follow-up to the attack. Langkah ini melibatkan mengambil tindakan terhadap penyerang, mengidentifikasi masalah dalam penanganan insiden tersebut, dan pelajaran rekaman belajar (atau tidak belajar pelajaran yang harus dipelajari).

Intrusion Respons

Page 13: IDS ( Intrusion Detection System)

Containment Phase Containing atau confining an attack berarti

membatasi akses penyerang untuk sumber daya sistem. Domain perlindungan dari penyerang dikurangi sebanyak mungkin. Ada dua pendekatan: pasif pemantauan serangan, dan membatasi akses untuk mencegah kerusakan lebih lanjut ke sistem. Dalam konteks ini, "kerusakan" mengacu pada tindakan yang menyebabkan sistem untuk menyimpang dari keadaan "aman" seperti yang didefinisikan oleh kebijakan keamanan situs.

Intrusion Respons

Page 14: IDS ( Intrusion Detection System)

Eradication Phase Eradicating an attack berarti

menghentikan serangan. Pendekatan yang umum adalah untuk menolak akses ke sistem sepenuhnya (seperti dengan mengakhiri koneksi jaringan) atau untuk mengakhiri proses yang terlibat dalam serangan itu. Sebuah aspek penting dari pemberantasan adalah untuk memastikan bahwa serangan tersebut tidak segera dilanjutkan. Ini mengharuskan serangan diblokir.

Intrusion Respons

Page 15: IDS ( Intrusion Detection System)

Follow-Up Phase Pada tahap lanjutan (follow up phase),

sistem mengambil beberapa tindakan eksternal untuk sistem terhadap penyerang. Tindak lanjut yang paling umum adalah untuk mengejar beberapa bentuk tindakan hukum, baik pidana atau perdata. Persyaratan hukum bervariasi antara masyarakat, dan memang bervariasi dalam masyarakat dari waktu ke waktu. Jadi, untuk tujuan kita, kita membatasi diri pada masalah teknis untuk melacak serangan melalui jaringan. Dua teknik untuk tracing adalah thumbprinting dan menandai header IP.

Intrusion Respons

Page 16: IDS ( Intrusion Detection System)

Ada beberapa cara bagaimana IDS bekerja : Pendeteksian berbasis signature (seperti halnya yang dilakukan

oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang.

Mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi.

Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak biasa.

Page 17: IDS ( Intrusion Detection System)

KESIMPULAN Intrusion detection system atau sistem

pendeteksian penyusupan merupakan sebuah konsep canggih yang melibatkan beberapa teknologi yang berbeda.

Boleh dikatakan bahwa IDS sudah menjadi sepenting firewall untuk sekuriti network.