ids ( intrusion detection system )
DESCRIPTION
IDS ( Intrusion Detection System ). Kelompok Tony Wijaya Budi Agung Saifudin Yahya Sugeng Bagus Raharja Imam Baihaqi. Intrusion = penyusupan, gangguan, dsb Detection = deteksi. Principle. Komputer yang tidak berada dibawah serangan , menunjukkan beberapa karakteristik : - PowerPoint PPT PresentationTRANSCRIPT
KELOMPOKTONY WIJAYABUDI AGUNG
SAIFUDIN YAHYASUGENG BAGUS RAHARJA
IMAM BAIHAQI
IDS( Intrusion Detection
System )
Intrusion = penyusupan, gangguan, dsbDetection = deteksi
Principle
Komputer yang tidak berada dibawah serangan, menunjukkan beberapa karakteristik : Tindakan pengguna dan proses umumnya sesuai dengan
pola statistik yang sudah diprediksi. Tindakan pengguna dan proses tidak termasuk ke dalam
urutan perintah untuk mengagalkan kebijakan keamanan sistem. Jadi, setiap urutan perintah yang mengandung perintah untuk menggagalkan kebijakan keamanan akan dianggap sebuah potensi terjadinya serangan.
Tindakan proses sesuai dengan aturan yang menjelaskan tindakan tersebut diizinkan untuk dilakukan atau tidak diperbolehkan untuk dilakukan.
Basic Intrusion Detection
Mendeteksi berbagai gangguan.
Mendeteksi intrusi secara tepat waktu.
Menampilkan hasil analisis dalam format sederhana yang mudah dimengerti.
Akurat.
Implementasi dan Cara Kerja
Rule Base (NIDS) Adaptive System
(NIDS) Target Monitoring
(HIDS)
Jenis-jenis IDS
Dua jenis IDS, yakni : Networ-based IDS (NIDS)
Menganalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan.
NIDS terletak pada segment jaringan penting. Host-based IDS (HIDS)
Memantau aktivitas sebuah HOST jaringan individual terhadap kemungkinan serangan.
HIDS terletak pada serve2 kritis di jaringan.
Produk IDS
RealSecure dari Internet Security Systems (ISS). Cisco Secure Intrusion Detection System dari Cisco Systems (yang
mengakuisisi WheelGroup yang memiliki produk NetRanger). eTrust Intrusion Detection dari Computer Associates (yang mengakusisi
MEMCO yang memiliki SessionWall-3). Symantec Client Security dari Symantec Computer Misuse Detection System dari ODS Networks Kane Security Monitor dari Security Dynamics Cybersafe Network Associates Network Flight Recorder Intellitactics SecureWorks Snort (open source)
Organization of IDS
Monitoring NetworkTraffic for Intrusion Network Security Monitor memeriksa lalu lintas
jaringan saja NSM ini memantau sumber, tujuan, dan layanan lalu
lintas jaringan. Ini memberikan ID koneksi yang unik untuk setiap koneksi.
Organization of IDS
Combining Host and Network Monitoring: DIDS Menggabungkan jaringan dan host sumber Intrusion Detection System Terdistribusi (DIDs) [940]
menggabungkan kemampuan dari NSM dengan pemantauan intrusi deteksi host individual.
Organization of IDS
Autonomous Agent (AAFID) Autonom Agents for Intrusion Detection bekerja
dengan mendistribusikan agent-agent otonom ke dalam beberapa sistem di dalm jaringan.
Intrusion Respons
Incident PreventionIdealnya, upaya penyusupan akan terdeteksi dan
berhenti sebelum mereka berhasil. Ini biasanya melibatkan proses monitoring sistem (biasanya dengan mekanisme deteksi intrusi) dan mengambil tindakan untuk mengalahkan serangan itu.
Dalam konteks respon, pencegahan mensyaratkan bahwa serangan itu diidentifikasi sebelum selesai. Defender kemudian mengambil tindakan untuk mencegah serangan sebelum serangan itu diselesaikan. Hal ini dapat dilakukan secara manual atau secara otomatis.
Intrusion Handling1. Preparation for an attack. Langkah ini terjadi sebelum
serangan yang terdeteksi. Ini menetapkan prosedur dan mekanisme untuk mendeteksi dan menanggapi serangan.
2. Identification of an attack. Hal ini memicu fase yang tersisa.3. Containment (confinement) of the attack. Langkah ini
membatasi kerusakan sebanyak mungkin.4. Eradication of the attack. Langkah ini menghentikan serangan
dan blok selanjutnya serangan serupa.5. Recovery from the attack. Langkah ini mengembalikan sistem
ke keadaan aman (terhadap kebijakan keamanan situs).6. Follow-up to the attack. Langkah ini melibatkan mengambil
tindakan terhadap penyerang, mengidentifikasi masalah dalam penanganan insiden tersebut, dan pelajaran rekaman belajar (atau tidak belajar pelajaran yang harus dipelajari).
Intrusion Respons
Containment Phase Containing atau confining an attack berarti
membatasi akses penyerang untuk sumber daya sistem. Domain perlindungan dari penyerang dikurangi sebanyak mungkin. Ada dua pendekatan: pasif pemantauan serangan, dan membatasi akses untuk mencegah kerusakan lebih lanjut ke sistem. Dalam konteks ini, "kerusakan" mengacu pada tindakan yang menyebabkan sistem untuk menyimpang dari keadaan "aman" seperti yang didefinisikan oleh kebijakan keamanan situs.
Intrusion Respons
Eradication Phase Eradicating an attack berarti menghentikan
serangan. Pendekatan yang umum adalah untuk menolak akses ke sistem sepenuhnya (seperti dengan mengakhiri koneksi jaringan) atau untuk mengakhiri proses yang terlibat dalam serangan itu. Sebuah aspek penting dari pemberantasan adalah untuk memastikan bahwa serangan tersebut tidak segera dilanjutkan. Ini mengharuskan serangan diblokir.
Intrusion Respons
Follow-Up Phase Pada tahap lanjutan (follow up phase), sistem
mengambil beberapa tindakan eksternal untuk sistem terhadap penyerang. Tindak lanjut yang paling umum adalah untuk mengejar beberapa bentuk tindakan hukum, baik pidana atau perdata. Persyaratan hukum bervariasi antara masyarakat, dan memang bervariasi dalam masyarakat dari waktu ke waktu. Jadi, untuk tujuan kita, kita membatasi diri pada masalah teknis untuk melacak serangan melalui jaringan. Dua teknik untuk tracing adalah thumbprinting dan menandai header IP.
Intrusion Respons
KESIMPULAN
Intrusion detection system atau sistem pendeteksian penyusupan merupakan sebuah konsep canggih yang melibatkan beberapa teknologi yang berbeda.
Boleh dikatakan bahwa IDS sudah menjadi sepenting firewall untuk sekuriti network.
KESIMPULAN
Ada beberapa cara bagaimana IDS bekerja : Pendeteksian berbasis signature (seperti halnya yang dilakukan
oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang.
Mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi.
Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak biasa.