INTRUSION DETECTION

1. INTRUSION DETECTION KELOMPOK 19 : BAYU TOMI DEWANTARA 118090055 VIALLI 118090056 IVO

2. KEGUNAAN • Untuk mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. • Untuk mendeteksi segala macam percobaan penyusupan, akan tetapi bisa juga diberdayakan untuk mendeteksi kegagalan system atau tingkat performa secara keseluruhan dari infrastruktur jaringan kita

3. TIPE DASAR IDS(INTRUSION DETECTION) • Rule-based systems = berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mencatat lalulintas yang sesuai dengan database yang ada, maka langsung dikategorikan sebagai penyusupan. • Adaptive systems = mempergunakan metode yang lebih canggih. Tidak hanya berdasarkan database yang ada, tapi juga membuka kemungkinan untuk mendeteksi terhadap bentuk bentuk penyusupan yang baru. • Tipe yang sering digunakan umum dalam komputer adalah rule based systems.

4. RULE BASED SYSTEMS • Pendekatan yang digunakan adalah pendekatan pencegahan (preemptory) dan pendekatan reaksi (reactionary). • Pendekatan pencegahan, program pendeteksi penyusupan akan memperhatikan semua lalu lintaas jaringan. Jika ditemukan paket yang mencurigakan maka program akan melakukan tindakan yang perlu. • Pada pendekatan reaksi, program pendeteksi penyusupan, hanya mengamati file log. Jika ditemukan paket yang mencurigakan program juga akan melakukan tindakan yang perlu.

5. JENIS IDS • Network-based Intrusion Detection System (NIDS): Network intrusion detection systems adalahjenis IDS yang bertanggungjawabuntukmendeteksiserangan yang berkaitandenganjaringan[4]. NIDS umumnyaterletakdidalamsegmenjaringanpentingdimana server beradaatauterdapatpada "pintumasuk" jaringan. Kelemahan NIDS adalahbahwa NIDS agakrumitdiimplementasikandalamsebuahjaringan yang menggunakan switch Ethernet, meskipunbeberapa vendor switch Ethernet sekarangtelahmenerapkanfungsi IDS didalam switch buatannyauntukmemonitor port ataukoneksi. • Host-based Intrusion Detection System (HIDS): Aktivitassebuah host jaringan individual akandipantauapakahterjadisebuahpercobaanseranganataupenyusupankedalamnyaatautidak. HIDS seringnyadiletakkanpada server-server kritisdijaringan, sepertihalnya firewall, web server, atau server yang terkoneksike Internet.

6. PENGAMATAN IDS • Kerahasiaan (confidentiality), dimana object tidak di umbar atau dibocorkan kepada subject yang tidak seharusnya berhak terhadap object tersebut, atau lazim disebut tidak authorize. • Integritas (Integrity), bahwa object tetap orisinil, tidak diragukan keasliannya, tidak dimodifikasi dalam perjalanan nya dari sumber menuju penerimanya. • Ketersediaan (Availability), dimana user yang mempunyai hak akses atau authorized users diberi akses tepat waktu dan tidak terkendala apapun.

7. SERANGAN YANG DIKENALI • Dapat berasal dari koneksi external seperti ancaman dari internet atau jaringan partner, virus, code berbahaya, subject internal yang mencoba untuk melakukan kegiatan yang tidak diauthorisasi, dan juga segala macam percobaan akses yang tidak diauthorisasi dari lokasi yang justru dipercaya.

8. KELEBIHAN • Dapatmendeteksi "external hackers" danseranganjaringan internal • Dapatdisesuaikandenganmudahdalammenyediakanperlindunganuntukkeseluruhanjaringan. • Dapatdikelolasecaraterpusatdalammenanganiserangan yang tersebardanbersama-sama • Menyediakanpertahananpadabagiandalam • Menyediakan layer tambahanuntukperlindungan • Idsmemonitor Internet untukmendeteksiserangan • Idsmembantuorganisasiutnukmengembangkandanmenerapkankebijakankeamanan yang efektif • Idsmemungkinkananggota non-technical untukmelakukanpengelolaankeamananmenyeluruh • Adanyapemeriksaanintegritas data danlaporanperubahanpada file data • Idsmelacakaktivitaspenggunadarisaatmasukhinggasaatkeluar • Idsmenyederhanakansistemsumberinformasi yang komplek • Idsmemberikanintegritas yang besarbagiinfrastrukturkeamananlainnya.

9. KEKURANGAN • Lebihbereaksipadaserangandaripadamencegahnya • Menghasilkan data yang besaruntukdianalisis • Rentanterhadapserangan yang "rendahdanlambat“ • Tidakdapatmenanganitrafikjaringan yang terenkripsi. • Idshanyamelindungidarikarakteristik yang dikenal • Idstidakturutbagiandalamkebijakankeamanan yang efektif, karenadiaharusdisetterlebihdahulu • Idstidakmenyediakanpenanganankecelakaan • Idstidakmengidentifikasikanasalserangan • Idshanyaseakuratinformasi yang menjadidasarnya • Network-based IDS rentanterhadap "overload • Network-based IDS dapatmenyalahartikanhasildaritransaksi yang mencurigakan • Paketterfragmantasidapatbersifatproblematis.

10. MASALAH Serangan baru memiliki signature yang baru sehingga daftar signature harus selalu diupdate Network semakin cepat (giga) sehingga menyulitkan untuk menganalisa setiap paket Jumlah host makin banyak: distributed IDS Terlalu banyak laporan (false alarm).

11. PROGRAM IDS • Chkwtmpadalahprogram yang melakukanpengecekanterhadap entry kosong. dalamartiwtmpmencatatsesuatutapiisinyakosong. • Tcplogdadalahprogram yang mendeteksi stealth scan. stealth scan adalah scanning yang dilakukantanpaharusmembuatsebuahsesitcp. sebuahkoneksitcpdapatterbentukjikaklienmengirimkanpaketdan server mengirimkankembalipaketnyadenganurutantertentu, secaraterusmenerussehinggasesitcpdapatberjalan. stealth scan memutuskankoneksitcpsebelumklienmenrimakembalijawabandari server. scanning model inibiasanyatidakterdeteksioleh log umumdilinux. • Hostsentry adalahprogram yang mendeteksi login anomali. anomlaidisinitermasukperilakuaneh (bizzarebehaviour), anomaliwaktu (time anomalies), dananomalilokal (local anomalies). • Snortadalah program IDS yang bekerjapadaumumnyapadasistemoperasi Linux, namunbanyak pula versi yang dapatdigunakandiberagam platform [5]. Snort padaumumnyamerujukkepada intrusion detection system yang sifatnya lightweight atauringankarenadiperuntukkanbagijaringankecil. Snort sangatfleksibelkarenaarsitekturnya yang berbasis rule.

12. SALAH SATU CONTOH Cisco IDS 4200 Series • Piranti sensor Seri 4200 dari Cisco IDS merupakan built-in system keamanan yang sangathandaldanber-performabagus yang bisamelindungidiriterhadapkegiatan yang tidak authorize, activitas yang mebahayakanjaringan, sepertiserangandari hacker. Sensor Cisco IDS inimenganalisa traffic secara real time, memberikan alert kepada user / admin untukmemberikansuatu action atassuatuusahapembobolan system. Cisco Countermeasures Research Team (C-CRT) menggunakansuatukombinasiteknikdeteksiinovasitingkattinggidancanggihtermasukpolastateful yang sudahdiketahui, parsing protocol, heuristic detection, dan anomaly detection yang memberikanperlindungan comprehensive darisuatu cyber threats baik yang sudahdikenalimaupun yang tidakdikenali. • Technology Cisco Signature Micro-Engine (SME) yang hampirdipatenkan, memungkinkancustomisasidari sensor signature, menghasilkan sensor presisi yang meminimalkanterjadinya “false positive”, kesalahandeteksidaripola yang positive sebagai intruder. Jikaterdeteksinyakegiatan un-authorized, sensor akanmengirim alarm ke management console dengan detail aktivitas. Sebagaitambahan Cisco IDS Active Response System mengirimproteksidengancaramengendalikan system-2 yang lain, seperti router, firewall, switch, untukmenghentikan un-authorized session ini. Instalasidan management daripirantiinibisalewat CLI – command line interface, ataulewatsolusi management Cisco. Pirantiini, untuk Cisco IDS 4235 bisadipasangpadajaringan 200 Mbps, untukmelindungijaringan Switch, beberapa subnet T3, danuntuk interface 10/100/1000 yang didukungnya, IDS inibisadipasangpadajaringan yang menggunakanjaringan Gigabit.

13. Terima Kasih