Instrusion Detection System (IDS)

IDS dibagi dalam 2 jenis yaitu Network Instrusion Detection System (NIDS) dan Host Intrusion Detection System (HIDS). Fungsi dari IDS ini sendiri adalah untuk mendeteksi suatu kejanggalan dari suatu system atau network yang terjadi sesuai dengan jenis tipe yang ada berdasarkan rules. Signature-based Intrusion Detection System. Pada metode ini, telah tersedia daftar signature yang dapat digunakan untuk menilai apakah paket yang dikirimkan berbahaya atau tidak. Sebuah paket data akan dibandingkan dengan daftar yang sudah ada. Metode ini akan melindungi sistem dari jenis-jenis serangan yang sudah diketahui sebelumnya. Oleh karena itu, untuk tetap menjaga keamanan sistem jaringan komputer, data signature yang ada harus tetap ter-update.\\\ Salah satu jenis IDS yang populer adalah SNORT. Aplikasi ini banyak digunakan oleh para admin (termasuk di kampus kita/ masuk golongan mayoritas euy..)dan hacker di dunia. Bahkan di situsnya http://www.snort.org/(approve sites)(approve sites)(approve sites) mengklaim bahwa SNORT menjadi standar de facto berikut kutipannya.

".....With millions of downloads to date, Snort is the most widely deployed intrusion detection and prevention technology worldwide and has become the de facto standard for the industry."

Anomaly-based Intrusion Detection System. Pada metode ini, pengelola jaringan harus melakukan konfigurasi terhadap IDS dan IPS, sehingga IDS dan IPS dapat mengatahui pola paket seperti apa saja yang akan ada pada sebuah sistem jaringan komputer. Sebuah paket anomali adalah paket yang tidak sesuai dengan kebiasaan jaringan komputer tersebut. Apabila IDS dan IPS menemukan ada anomali pada paket yang diterima atau dikirimkan, maka IDS dan IPS akan memberikan peringatan pada pengelola jaringan (IDS) atau akan menolak paket tersebut untuk diteruskan (IPS). Untuk metode ini, pengelola jaringan harus terus-menerus memberi tahu IDS dan IPS bagaimana lalu lintas data yang normal pada sistem jaringan.

komputer tersebut, untuk menghindari adanya salah penilaian oleh IDS atau IPS. Penggunaan IDS dan IPS pada sistem jaringan komputer dapat mempergunakan sumber daya komputasi yang cukup besar, dan khusus untuk IPS, dengan adanya IPS maka waktu yang dibutuhkan sebuah paket untuk dapat mencapai host tujuannya menjadi semakin lama, tidak cocok untuk aplikasi-aplikasi yang membutuhkan pengiriman data secara real-time. Selain itu IDS dan IPS masih membuka kesempatan untuk terjadinya false-postive dimana sebuah paket yang aman dinyatakan berbahaya dan false-negative dimana paket yang berbahaya dinyatakan aman. Untuk mengurangi tingkat false-positive dan false-negative, perlu dilakukan pembaharuan secara rutin terhadap sebuah IDS dan IPS. Dalam implementasinya, IDS adalah sebuah unit host yang terhubung pada sebuah hub/switch dan akan menerima salinan dari paket-paket yang diproses oleh hub/switch tersebut. Sedangkan untuk IPS biasanya diletakkan pada unit yang sama dengan firewall dan akan memproses paket-paket yang lewat melalui firewall tersebut. Sedangkan pada IDS berbasiskan host, IDS akan memeriksa aktivitas system call, catatan kegiatan dan perubahan pada sistem berkas pada host tersebut untuk mencari anomali atau keanehan yang menandakan adanya usaha dari pihak luar untuk menyusup kedalam sistem. IDS berbasiskan host akan membantu pengelola sistem untuk melakukan audit trail terhadap sistem apabila terjadi penyusupan dalam sistem.