170 likes | 356 Views
IDS ( Intrusion Detection System ). Kelompok Tony Wijaya Budi Agung Saifudin Yahya Sugeng Bagus Raharja Imam Baihaqi. Intrusion = penyusupan, gangguan, dsb Detection = deteksi. Principle. Komputer yang tidak berada dibawah serangan , menunjukkan beberapa karakteristik :
E N D
IDS( Intrusion Detection System ) Kelompok Tony Wijaya Budi Agung SaifudinYahya Sugeng BagusRaharja Imam Baihaqi
Intrusion = penyusupan, gangguan, dsb • Detection = deteksi
Principle • Komputer yang tidakberadadibawahserangan, menunjukkanbeberapakarakteristik : • Tindakan pengguna dan proses umumnya sesuai dengan pola statistik yang sudahdiprediksi. • Tindakan pengguna dan proses tidak termasuk kedalamurutan perintah untuk mengagalkan kebijakan keamanan sistem.Jadi, setiapurutanperintah yang mengandungperintahuntukmenggagalkankebijakankeamananakandianggapsebuahpotensiterjadinyaserangan. • Tindakan proses sesuai dengan aturan yang menjelaskan tindakan tersebut diizinkan untuk dilakukan atau tidak diperbolehkan untuk dilakukan.
Basic Intrusion Detection • Mendeteksi berbagai gangguan. • Mendeteksi intrusi secara tepat waktu. • Menampilkan hasil analisis dalam format sederhana yang mudah dimengerti. • Akurat.
Implementasi dan Cara Kerja • Rule Base (NIDS) • Adaptive System (NIDS) • Target Monitoring (HIDS)
Jenis-jenis IDS • Dua jenis IDS, yakni : • Networ-based IDS (NIDS) • Menganalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan. • NIDS terletak pada segment jaringan penting. • Host-based IDS (HIDS) • Memantau aktivitas sebuah HOST jaringan individual terhadap kemungkinan serangan. • HIDS terletak pada serve2 kritis di jaringan.
Produk IDS • RealSecuredari Internet Security Systems (ISS). • Cisco Secure Intrusion Detection System dari Cisco Systems (yang mengakuisisiWheelGroup yang memilikiprodukNetRanger). • eTrust Intrusion Detection dari Computer Associates (yang mengakusisi MEMCO yang memiliki SessionWall-3). • Symantec Client Security dari Symantec • Computer Misuse Detection System dari ODS Networks • Kane Security Monitor dari Security Dynamics • Cybersafe • Network Associates • Network Flight Recorder • Intellitactics • SecureWorks • Snort (open source)
Organization of IDS • Monitoring NetworkTraffic for Intrusion • Network Security Monitormemeriksa lalu lintas jaringan saja • NSM ini memantau sumber, tujuan, dan layanan lalu lintas jaringan. Ini memberikan ID koneksi yang unik untuk setiap koneksi.
Organization of IDS • Combining Host and Network Monitoring: DIDS • Menggabungkan jaringan dan host sumber • Intrusion Detection System Terdistribusi (DIDs) [940] menggabungkan kemampuan dari NSM dengan pemantauan intrusi deteksi host individual.
Organization of IDS • Autonomous Agent (AAFID) • Autonom Agents for Intrusion Detection bekerja dengan mendistribusikan agent-agent otonom ke dalam beberapa sistem di dalm jaringan.
Intrusion Respons • Incident Prevention Idealnya, upaya penyusupan akan terdeteksi dan berhenti sebelum mereka berhasil. Ini biasanya melibatkan proses monitoring sistem (biasanya dengan mekanisme deteksi intrusi) dan mengambil tindakan untuk mengalahkan serangan itu. Dalam konteks respon, pencegahan mensyaratkan bahwa serangan itu diidentifikasi sebelum selesai. Defender kemudian mengambil tindakan untuk mencegah serangan sebelum serangan itudiselesaikan. Hal ini dapat dilakukan secara manual atau secara otomatis.
Intrusion Respons • Intrusion Handling • Preparation for an attack. Langkah ini terjadi sebelum serangan yang terdeteksi. Ini menetapkan prosedur dan mekanisme untuk mendeteksi dan menanggapi serangan. • Identification of an attack. Hal ini memicu fase yang tersisa. • Containment (confinement) of the attack. Langkah ini membatasi kerusakan sebanyak mungkin. • Eradication of the attack. Langkah ini menghentikan serangan dan blok selanjutnya serangan serupa. • Recovery from the attack. Langkah ini mengembalikan sistem ke keadaan aman (terhadap kebijakan keamanan situs). • Follow-up to the attack. Langkah ini melibatkan mengambil tindakan terhadap penyerang, mengidentifikasi masalah dalam penanganan insiden tersebut, dan pelajaran rekaman belajar (atau tidak belajar pelajaran yang harus dipelajari).
Intrusion Respons • Containment Phase • Containing atau confining an attack berarti membatasi akses penyerang untuk sumber daya sistem. Domain perlindungan dari penyerang dikurangi sebanyak mungkin. Ada dua pendekatan: pasif pemantauan serangan, dan membatasi akses untuk mencegah kerusakan lebih lanjut ke sistem. Dalam konteks ini, "kerusakan" mengacu pada tindakan yang menyebabkan sistem untuk menyimpang dari keadaan "aman" seperti yang didefinisikan oleh kebijakan keamanan situs.
Intrusion Respons • Eradication Phase • Eradicating an attack berarti menghentikan serangan. Pendekatan yang umum adalah untuk menolak akses ke sistem sepenuhnya (seperti dengan mengakhiri koneksi jaringan) atau untuk mengakhiri proses yang terlibat dalam serangan itu. Sebuah aspek penting dari pemberantasan adalah untuk memastikan bahwa serangan tersebut tidak segera dilanjutkan. Ini mengharuskan serangan diblokir.
Intrusion Respons • Follow-Up Phase • Pada tahap lanjutan (follow up phase), sistem mengambil beberapa tindakan eksternal untuk sistem terhadap penyerang. Tindak lanjut yang paling umum adalah untuk mengejar beberapa bentuk tindakan hukum, baik pidana atau perdata. Persyaratan hukum bervariasi antara masyarakat, dan memang bervariasi dalam masyarakat dari waktu ke waktu. Jadi, untuk tujuan kita, kita membatasi diri pada masalah teknis untuk melacak serangan melalui jaringan. Dua teknik untuk tracing adalah thumbprinting dan menandai header IP.
KESIMPULAN • Intrusion detection system atau sistem pendeteksian penyusupan merupakan sebuah konsep canggih yang melibatkan beberapa teknologi yang berbeda. • Boleh dikatakan bahwa IDS sudah menjadi sepenting firewall untuk sekuriti network.
KESIMPULAN • Ada beberapa cara bagaimana IDS bekerja : • Pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. • Mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. • Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak biasa.