kali ini saya akan mempostingakan sebuah tugas yang diberikan pada pertemuan ke-2 pada tanggal 13 oktober kemarin , tugasnya berupa postingan seputar IDS dan IPS.
IDS
apa itu IDS? IDS atau nama panjangnya Intruction Detection System adalah sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan.IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi (penyusupan).Jenis-jenis IDS
Ada dua jenis IDS, yakni:- Network-based Intrusion Detection System (NIDS): Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada "pintu masuk" jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi.
- Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet.
Implementasi dan Cara Kerja :
Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan.Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas
yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.
Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak biasa.
dirangkum dari http://id.wikipedia.org/wiki/Sistem_deteksi_intrusi
IPS
IPS (Ilmu Pengetahuan Sosial) disini merupakan singkatan dari Intrusion Prevention System merupakan kombinasi antara fasilitas blocking capabilities dari Firewall
dan kedalaman inspeksi paket data dari Intrusion Detection System
(IDS).IPS mampu mencegah serangan yang datang dengan bantuan administrator
secara minimal atau bahkan tidak sama sekali. Secara logic IPS akan
menghalangi suatu serangan sebelum terjadi eksekusi dalam memori, selain
itu IPS membandingkan file checksum yang tidak semestinya mendapatkan
izin untuk dieksekusi dan juga bisa menginterupsi sistem call.
Jenis-jenis IPS :
a. Host-based Intrusion Prevention System
Host Based IPS (HIPS) bekerja dengan memaksa sekelompok perangkat lunak fundamental untuk berkovensi secara konstan.HIPS merupakan sebuah system pecegahan yang terdiri dari banyak layer, menggunakan packet filtering, inspeksi status dan metode pencegahan intrusi yang bersifat real-time untuk menjaga host berada di bawah keadaan dari efisiensi performansi yang layak. Mekanisme kerjanya yaitu dengan mencegah kode-kode berbahaya yang memasuki host agar tidak dieksekusi tanpa perlu untuk mengecek threat signature.
a. Host-based Intrusion Prevention System
Host Based IPS (HIPS) bekerja dengan memaksa sekelompok perangkat lunak fundamental untuk berkovensi secara konstan.HIPS merupakan sebuah system pecegahan yang terdiri dari banyak layer, menggunakan packet filtering, inspeksi status dan metode pencegahan intrusi yang bersifat real-time untuk menjaga host berada di bawah keadaan dari efisiensi performansi yang layak. Mekanisme kerjanya yaitu dengan mencegah kode-kode berbahaya yang memasuki host agar tidak dieksekusi tanpa perlu untuk mengecek threat signature.
b. Network Intrusion Prevention System
Network Based IPS (NIPS), yang juga disebut sebagai “In-line proactive protection”, menahan semua trafik jaringan dan menginspeksi kelakuan dan kode yang mencurigakan.
Karena menggunakan in-line model, performansi tinggi merupakan sebuah elemen krusial dari perangkat IPS untuk mencegah terjadinya bottleneck pada jaringan. Oleh karena itu, NIPS biasanya didesain menggunakan tiga komponen untuk mengakselerasi performansi bandwidth, yaitu :
1. Network Chips (Network processor)
2. FPGA Chips
3. ASIC Chips
Network Based IPS (NIPS) biasanya dibangun dengan tujuan tertentu, sama halnya dengan switch dan router.Beberapa teknologi sudah diterapkan pada NIPS, seperti signature matching, analisa protocol dan kelainan pada protocol, identifikasi dari pola trafik, dan sebagainya. NIPS dibuat untuk menganalisa, mendeteksi, dan melaporkan seluruh arus data dan disetting dengan konfigurasi kebijakan keamanan NIPS, sehingga segala serangan yang datang dapat langsung terdeteksi. Kebijakan keamanan NIPS sendiri terdiri dari:
Content based Intrusion Prevention System, yang bertugas mengawasi isi dari paket-paket yang berlalu lalang dan mencari urutan yang unik dari paket-paket tersebut, berisi virus worm, trojan horse,dll.
Network Based IPS (NIPS), yang juga disebut sebagai “In-line proactive protection”, menahan semua trafik jaringan dan menginspeksi kelakuan dan kode yang mencurigakan.
Karena menggunakan in-line model, performansi tinggi merupakan sebuah elemen krusial dari perangkat IPS untuk mencegah terjadinya bottleneck pada jaringan. Oleh karena itu, NIPS biasanya didesain menggunakan tiga komponen untuk mengakselerasi performansi bandwidth, yaitu :
1. Network Chips (Network processor)
2. FPGA Chips
3. ASIC Chips
Network Based IPS (NIPS) biasanya dibangun dengan tujuan tertentu, sama halnya dengan switch dan router.Beberapa teknologi sudah diterapkan pada NIPS, seperti signature matching, analisa protocol dan kelainan pada protocol, identifikasi dari pola trafik, dan sebagainya. NIPS dibuat untuk menganalisa, mendeteksi, dan melaporkan seluruh arus data dan disetting dengan konfigurasi kebijakan keamanan NIPS, sehingga segala serangan yang datang dapat langsung terdeteksi. Kebijakan keamanan NIPS sendiri terdiri dari:
Content based Intrusion Prevention System, yang bertugas mengawasi isi dari paket-paket yang berlalu lalang dan mencari urutan yang unik dari paket-paket tersebut, berisi virus worm, trojan horse,dll.
Rate based Intrusion Prevention System, bertugas mencegah dengan cara memonitor melalui arus lalu lintas jaringan dan dibandingkan dengan data statistic yang tersimpan dalam database. Apabila RBIPS mengenali paket-paket yang tidak jelas, maka langsung mengkarantina paket tersebut.
Cara Kerja IPS :
Formula yang umum digunakan untuk mendefinisikan IPS adalah: IPS = IDS + Firewall.
Penjelasan :
Firewall merupakan sebuah system yang menerapkan sebuah kebijakan kontrol akses yang memeriksa trafik data yang lalu lalang dan memblok paket data yang tidak sesuai dengan kebijakan keamanan. Sebuah Intrusion Detection System (IDS) memonitor performansi system atau jaringan, mencari pola tingkah laku yang tidak sesuai dengan kebijakan keamanan atau tanda-tanda serangan yang dapat dikenali, dan kemudian jika ditemukan maka IDS akan memicu alarm. Di sini, firewall akan menolak serangan yang sudah pasti/jelas, sementara trafik yang mencurigakan akan dibiarkan lewat. Di sisi lain, IDS memonitor semua data di dalam jaringan, memberitahukan administrator jaringan akan adanya serangan pada saat serangan mulai ‘hidup’ dan berada di dalam jaringan. Dengan kata lain, baik IDS maupun firewall tidak mampu memblokir serangan ketika intrusi benar-benar telah terjadi.
Lebih jauh lagi, IPS sebenarnya lebih dari sekedar IDS + firewall. IPS didesain sebagai sebuah embedded system yang membuat banyak filter untuk mencegah bermacam-macam serangan seperti hacker, worm, virus, Denial of Service (DoS) dan trafik berbahaya lainnya, agar jaringan enterprise tidak menderita banyak kerugian bahkan ketika security patch terbaru belum diterapkan. Pembangunan IPS didasarkan pada sebuah modul “in-line”: data melewati perangkat IPS dari satu ujung dari kanal data tunggal, hanya data yang sudah dicek dan divalidasi oleh mesin IPS yang diperbolehkan untuk lewat menuju ujung lain dari kanal data. Pada scenario ini, paket yang mengandung tanda-tanda serangan pada paket asalnya akan dibersihkan dari jaringan.
Penggunaan multiple filter pada IPS membuatnya secara signifikan lebih efektif ketika menginspeksi, mengidentifikasi dan memblokir serangan berdasarkan urutan waktu. IPS membuat filter baru ketika sebuah metode serangan baru diidentifikasi. Mesin inspeksi paket data IPS normalnya terdiri dari integrated circuit yang didesain untuk inspeksi data mendalam. Setiap serangan yang mencoba mengeksploitasi kelemahan dari layer 2 sampai layer 7 OSI akan difilter oleh mesin IPS yang mana, secara tradisional, kemampuan firewall hanya terbatas sampai modul 3 atau 4 saja. Teknologi packet-filter dari firewall tradisional tidak menerapkan inspeksi untuk setiap byte dari segmen data yang bermakna tidak semua serangan dapat diidentifikasikan olehnya. Secara kontras, IPS mampu melakukan inspeksi tersebut dan semua paket data diklasifikasikan dan dikirim ke filter yang sesuai menurut informasi header yang ditemukan di segmen data, seperti alamat asal, alamat tujuan, port, data field dan sebagainya. Setiap filter bertanggung jawab untuk menganalisis paket-paket yang berkaitan, dan yang mengandung tanda-tanda membahayakan akan didrop dan jika dinyatakan tidak berbahaya akan dibiarkan lewat. Paket yang belum jelas akan diinspeksi lebih lanjut. Untuk setiap tipe serangan berbeda, IPS membutuhkan sebuah filter yang bersesuaian dengan aturan filtering yang sudah ditentukan sebelumnya. Aturan-aturan ini mempunyai definisi luas untuk tujuan akurasi, atau memastikan bahwa sebisa mungkin jangkauan aktifitas yang luas dapat terenkapsulasi di dalam sebuah definisi. Ketika mengklasifikasikan sebuah aliran data, mesin filter akan mengacu pada informasi segmen paket, menganalisa konteks dari field tertentu dengan tujuan untuk mengimprovisasi akurasi dari proses filtering.
Formula yang umum digunakan untuk mendefinisikan IPS adalah: IPS = IDS + Firewall.
Penjelasan :
Firewall merupakan sebuah system yang menerapkan sebuah kebijakan kontrol akses yang memeriksa trafik data yang lalu lalang dan memblok paket data yang tidak sesuai dengan kebijakan keamanan. Sebuah Intrusion Detection System (IDS) memonitor performansi system atau jaringan, mencari pola tingkah laku yang tidak sesuai dengan kebijakan keamanan atau tanda-tanda serangan yang dapat dikenali, dan kemudian jika ditemukan maka IDS akan memicu alarm. Di sini, firewall akan menolak serangan yang sudah pasti/jelas, sementara trafik yang mencurigakan akan dibiarkan lewat. Di sisi lain, IDS memonitor semua data di dalam jaringan, memberitahukan administrator jaringan akan adanya serangan pada saat serangan mulai ‘hidup’ dan berada di dalam jaringan. Dengan kata lain, baik IDS maupun firewall tidak mampu memblokir serangan ketika intrusi benar-benar telah terjadi.
Lebih jauh lagi, IPS sebenarnya lebih dari sekedar IDS + firewall. IPS didesain sebagai sebuah embedded system yang membuat banyak filter untuk mencegah bermacam-macam serangan seperti hacker, worm, virus, Denial of Service (DoS) dan trafik berbahaya lainnya, agar jaringan enterprise tidak menderita banyak kerugian bahkan ketika security patch terbaru belum diterapkan. Pembangunan IPS didasarkan pada sebuah modul “in-line”: data melewati perangkat IPS dari satu ujung dari kanal data tunggal, hanya data yang sudah dicek dan divalidasi oleh mesin IPS yang diperbolehkan untuk lewat menuju ujung lain dari kanal data. Pada scenario ini, paket yang mengandung tanda-tanda serangan pada paket asalnya akan dibersihkan dari jaringan.
Penggunaan multiple filter pada IPS membuatnya secara signifikan lebih efektif ketika menginspeksi, mengidentifikasi dan memblokir serangan berdasarkan urutan waktu. IPS membuat filter baru ketika sebuah metode serangan baru diidentifikasi. Mesin inspeksi paket data IPS normalnya terdiri dari integrated circuit yang didesain untuk inspeksi data mendalam. Setiap serangan yang mencoba mengeksploitasi kelemahan dari layer 2 sampai layer 7 OSI akan difilter oleh mesin IPS yang mana, secara tradisional, kemampuan firewall hanya terbatas sampai modul 3 atau 4 saja. Teknologi packet-filter dari firewall tradisional tidak menerapkan inspeksi untuk setiap byte dari segmen data yang bermakna tidak semua serangan dapat diidentifikasikan olehnya. Secara kontras, IPS mampu melakukan inspeksi tersebut dan semua paket data diklasifikasikan dan dikirim ke filter yang sesuai menurut informasi header yang ditemukan di segmen data, seperti alamat asal, alamat tujuan, port, data field dan sebagainya. Setiap filter bertanggung jawab untuk menganalisis paket-paket yang berkaitan, dan yang mengandung tanda-tanda membahayakan akan didrop dan jika dinyatakan tidak berbahaya akan dibiarkan lewat. Paket yang belum jelas akan diinspeksi lebih lanjut. Untuk setiap tipe serangan berbeda, IPS membutuhkan sebuah filter yang bersesuaian dengan aturan filtering yang sudah ditentukan sebelumnya. Aturan-aturan ini mempunyai definisi luas untuk tujuan akurasi, atau memastikan bahwa sebisa mungkin jangkauan aktifitas yang luas dapat terenkapsulasi di dalam sebuah definisi. Ketika mengklasifikasikan sebuah aliran data, mesin filter akan mengacu pada informasi segmen paket, menganalisa konteks dari field tertentu dengan tujuan untuk mengimprovisasi akurasi dari proses filtering.
sumber IPS diambil dari : http://top-bing.blogspot.com/2010/06/apa-itu-ids-dan-ips-dalam-keamanan_07.html
Tambahan :
Perbedaan IDS dan IPS
0 komentar:
Posting Komentar