Deteksi penyusupan (Intrusion Detection) adalah aktivitas untuk mendeteksi penyusupan secara cepat dengan menggunakan progrtam khusus. Program yang digunakan untuk pendeteksian disebut sebagai IDS (Intrusion Detection System (IDS).
Tipe Dasar IDS adalah
- Rule-based systems, berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mendeteksi lalu lintas sesuai dengan data dari database, maka pendeteksian tersebut langsung dikategorikan sebagai penyusupan.
- Adaptive systems, sama seperti Rule-based tetapi ditambah dengan teknik lain yaitu membuka kemungkinan untuk mendeteksi metode penyusupan yang baru.
Yang sering digunakan secara umum adalah rule-based system.
Pendekatan yang digunakan dalam rule-based system ada dua, yaitu Preemptory (pencegahan) dan Reactionary (reaksi). Perbedaan dari kdua pendekatan tersebut adalah dalam waktu saja. Dalam Preemptory akan memperhatikan semua lalu-lintas jaringan. Apabila paket mencurigakan ditemukan maka program akan melakukan tindakan yang sesuai dengan paket mencurigakan tersebut. Reactionary, program hanya mengamati log. Jika ditemukan paket mencurigakan, program akan melakukan tindakan sesuai dengan paket tersebut.
Contoh program IDS:
- Snort
- PortSentry
- Tripwire
Intrusion Prevention System (IPS)
Intrusion Prevention System adalah pendekatan yang sering digunakan untuk membangun sistem keamanan komputer, IPS emngkombinasikan Firewall dan IDS. Teknik ini digunakan untuk mencegah serangan ke jaringan lokal dengan cara memeriksa dan mencatat semua log yang terdeteksi sebagai serangan. IPS bertindak seperti Firewall, sebagai portal yang dikombinasikan dengan sistem IDS. IPS menggunakan signatures untuk mendeteksi di aktivitas traffic di jaringan dan terminal, dimana pendeteksian paket yang masuk dan keluar (inbound-outbound) dapat di cegah sedini mungkin sebelum merusak atau mendapatkan akses ke dalam jaringan lokal. Jadi early detection dan prevention menjadi penekanan pada IPS ini.
Secara umum, ada dua pendekatan yang dapat digunakan untuk mendeteksi ancaman attack ini, Host-based approach, Network-based approach, dimana Host-based approach adalah teknologi terkini yang dipakai dan sangat popular, dapat melakukan mengecekan untuk aktiitas yang mencurigakan langsung dari host computer tersebut di level operating systemnya. Network-based approach sangat terfokus pada network-based, dengan gabungan komponen keamanan lainnya dapat menjadi solusi yang menyeluruh pada system keamanan.
 |
| Gambar 1. Contoh topology yang mengambarkan permasalahan isu utama dalam implementasi IPS, ilihat dari gambar tersebut dengan penomeran (1) akurasi signature, (2) volume traffic, (3) topology penempatan sensor, (4) penggunaan quota log, (5) proteksi mesin IPS, (6) sensor monitoring, (7) kolaborasi U.T.M |
Ada 2 Perbedaan mendasar antara IPS dan IDS:
IDS
|
IPS
|
|
OSI
|
Layer 3
|
Layer 2,3 dan 7
|
Kegunaan
|
IDS didesain hanya untuk mengidentifikasi dan memeriksa semua
paket yang lewat, jika ditemukan keganjilan maka akan memtrigger alarm
|
Mengkombinasikan Firewall, Policy, QoS dan IDS dengan baik.
IPS memang dibuat untuk dapat mentrigger alarm dan melakukan Allow, Block,
Log
|
Aktivitas
|
Mendeteksi serangan hanya disaat serangan tersebut telah masuk ke jaringan dan tidak akan melakukan sesuatu untuk menghentikannya
|
Early Detection, teknik yang proaktif, mencegah sedini
mungkin attack masuk ke jaringan, dan akan menghentikannya jika
teridentifikasi
|
Komponen
|
Tidak dapat mendeteksi semua aktivitas malicious dan malware
setiap saat yang akan mengakibatkan false negative sangat banyak
|
Memungkinkan dapat mendeteksi new signature dan behavior
attack, dan mengakibatkan rendahnya false negative
|
Intregated
|
Tidak dapat menggunakan ACL / script dari komponen system
keamanan yang lain
|
Dapat diintegrasikan dengan ACL dan perimeter DMZ lainnya
|
Tidak ada komentar:
Posting Komentar