Inilah Macam dan Jenis IDS (Intrution Detection System)
NIDS (Network
Intrusion Detection System)
IDS jenis ini ditempatkan disebuah tempat/ titik yang
strategis atau sebuah titik didalam sebuah jaringan untuk melakukan pengawasan
terhadap traffic yang menuju dan berasal
dari semua alat-alat (devices) dalam jaringan. Idealnya semua traffic yang
berasal dari luar dan dalam jaringan di lakukan di scan, namun cara ini dapat
menyebabkan bottleneck yang mengganggu kecepatan akses di seluruh jaringan.
HIDS (Host Intrution
Detection System)
IDS jenis ini berjalan pada host yang berdiri sendiri atau
perlengkapan dalam sebuah jaringan. Sebuah HIDS melakukan pengawasan terhadap
paket-paket yang berasal dari dalam maupun dari luar hanya pada satu alat saja
dan kemudian memberi peringatan kepada user atau administrator sistem jaringan
akan adanya kegiatankegiatan yang mencurigakan yang terdeteksi oleh HIDS.
Signature Based
IDS yang berbasis pada signature akan melakukan pengawasan
terhadap paketpaket dalam jaringan dan melakukan pembandingan terhadap
paket-paket tersebut dengan basis data signature yang dimiliki oleh sistem IDS
ini atau atribut yang dimiliki oleh percobaan serangan yang pernah diketahui.
Cara ini hampir sama dengan cara kerja aplikasi antivirus dalam melakukan
deteksi terhadap malware. Intinya adalah akan terjadi keterlambatan antara
terdeteksinya sebuah serangan di internet dengan signature yang digunakan untuk
melakukan deteksi yang di implementasikan didalam basis data IDS yang
digunakan. Jadi bisa saja basis data signature yang digunakan dalam sistem IDS
ini tidak mampu mendeteksi adanya sebuah percobaan serangan terhadap jaringan
karena informasi jenis serangan ini tidak terdapat dalam basis dat signature
sistem IDS ini. Selama waktu keterlambatan tersebut sistem IDS tidak dapat
mendeteksi adanya jenis serangan baru.
Anomaly Based
IDS jenis ini akan mengawasi traffic dalam jaringan dan
melakukan perbandingan traffic yang terjadi dengan rata-rata traffic yang ada
(stabil). Sistem akan melakukan identifikasi apa yang dimaksud dengan jaringan
“normal” dalam jaringan tersebut, berapa banyak bandwidth yang biasanya
digunakan di jaringan tersebut, protolkol apa yang digunakan, port-port dan
alat-alat apa saja yang biasanya saling berhubungan satu sama lain didalam
jaringan tersebut, dan memberi peringatan kepada administrator ketika dideteksi
ada yang tidak normal, atau secara signifikan berbeda dari kebiasaan yang ada.
Passive IDS
IDS jenis ini hanya berfungsi sebagai pendeteksi dan pemberi
peringatan. Ketika traffic yang mencurigakan atau membahayakan terdeteksi oleh
IDS maka IDS akan membangkitkan sistem pemberi peringatan yang dimiliki dan
dikirimkan ke administrator atau user dan selanjutnya terserah kepada
administrator apa tindakan yang akan dilakukan terhadap hasil laporan IDS.
Reactive IDS
IDS jenis ini tidak hanya melakukan deteksi terhadap traffic
yang mencurigakan dan membahayakan kemudian memberi peringatan kepada
administrator tetapi juga mengambil tindakan pro aktif untuk merespon terhadap
serangan yang ada. Biasanya dengan melakukan pemblokiran terhadap traffic
jaringan selanjutnya dari alamat IP sumber atau user jika alamat IP sumber atau
user tersebut mencoba untuk melakukan serangan lagi terhadap sistem jaringan di
waktu selanjutnya.
Implementasi IDS di
dunia nyata/ real world
Salah satu contoh penerapan IDS di dunia nyata adalah dengan
menerapkan sistem IDS yang bersifat open source dan gratis. Contohnya SNORT.
Aplikasi Snort tersedia dalam beberapa macam platform dan sistem operasi
termasuk Linux dan Window$.
Snort memiliki banyak pemakai di jaringan karena selain gratis,
Snort juga dilengkapi dengan support system di internet sehingga dapat
dilakukan updating signature terhadap Snort yang ada sehingga dapat melakukan
deteksi terhadap jenis serangan terbaru di internet.
IDS tidak dapat bekerja sendiri jika digunakan untuk
mengamankan sebuah jaringan. IDS harus digunakan bersama-sama dengan firewall.
Ada garis batas yang tegas antara firewall dan IDS. Juga ada teknologi yang
disebut dengan IPS (Intrusion Prevention System). IPS pada dasarnya adalah
sebuah firewall yang dikombinasikan dengan level jaringan dan level aplikasi
dengan sebuah reactive IDS untuk melindungi jaringan secara pro aktif.
Pada dasarnya, firewall adalah titik pertama dalam garis
pertahanan sebuah sistem jaringan komputer. Seharusnya firewall diatur agar
melakukan penolakan (DENY) terhadap semua traffic yang masuk kedalam sistem dan
kemudian membuka lubanglubang yang perlu saja. Jadi tidak semua lubang dibuka
ketika sistem melakukan hubungan ke jaringan luar. Idealnya firewall diatur
dengan konfigurasi seperti diatas. Beberapa port yang harus dibuka untuk
melakukan hubungan keluar adalah port 80 untuk mengakses internet atau port 21
untuk FTP file server. Tiap-tiap port ini mungkin penting untuk tetap dibuka
tetapi lubang-lubang ini juga merupakan potensi kelemahan atas terjadinya
serangan yang akan masuk kedalam jaringan. Firewall tidak dapat melakukan
pemblokiran terhadap jenis serangan ini karena administrator sistem telah
melakukan konfigurasi terhadap firewall untuk membuka kedua port tersebut.
Untuk tetap dapat memantau traffic yang terjadi di kedua port yang terbuka
tersebut dibutuhkan sebuah sistem yang dapat melakukan deteksi terhadap traffic
yang membahayakan dan berpotensi menjadi sebuah serangan. Disinilah fungsi IDS
dibutuhkan. Dapat saja digunakan/ di implementasikan sebuah NIDS melalui
seluruh jaringan atau sebuah HIDS pada alat-alat tertentu yang dirasa
berpotensi terhadap serangan. IDS akan me-monitor traffic yang masuk dan keluar
jaringan dan mengidentifikasi trafic yang mencurigakan dan membahayakan yang
mungkin saja dapat melewati firewall atau dapat saja berasal dari dalam
jaringan. Jadi IDS tidak hanya mendeteksi serangan dari luar tetapi juga
potensi serangan dari dalam jaringan sendiri.
Penulis: Dr. Bambang Sugiantoro, M.T