Topic: IDS (Intrusion Detection System )

hanya sekedar berbagi

Intrusion Detection System (disingkat IDS) adalah sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound  dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi (penyusupan).

Jenis-jenis IDS

Ada dua jenis IDS, yakni:

* Network-based Intrusion Detection System (NIDS): Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada "pintu masuk" jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi.

* Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet.

Kebanyakan produk IDS merupakan sistem yang bersifat pasif, mengingat tugasnya hanyalah mendeteksi intrusi yang terjadi dan memberikan peringatan kepada administrator jaringan bahwa mungkin ada serangan atau gangguan terhadap jaringan. Akhir-akhir ini, beberapa vendor juga mengembangkan IDS yang bersifat aktif yang dapat melakukan beberapa tugas untuk melindungi host atau jaringan dari serangan ketika terdeteksi, seperti halnya menutup beberapa port atau memblokir beberapa alamat IP. Produk seperti ini umumnya disebut sebagai Intrusion Prevention System (IPS). Beberapa produk IDS juga menggabungkan kemampuan yang dimiliki oleh HIDS dan NIDS, yang kemudian disebut sebagai sistem hibrid (hybrid intrusion detection system).

Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan.

Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.

Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak biasa.

Produk IDS

Beberapa NIDS dan HIDS yang beredar di pasaran antara lain:

    * RealSecure dari Internet Security Systems (ISS).
    * Cisco Secure Intrusion Detection System dari Cisco Systems (yang mengakuisisi WheelGroup yang memiliki produk NetRanger).
    * eTrust Intrusion Detection dari Computer Associates (yang mengakusisi MEMCO yang memiliki SessionWall-3).
    * Symantec Client Security dari Symantec
    * Computer Misuse Detection System dari ODS Networks
    * Kane Security Monitor dari Security Dynamics
    * Cybersafe
    * Network Associates
    * Network Flight Recorder
    * Intellitactics
    * SecureWorks
    * Snort (open source)
    * Security Wizards
    * Enterasys Networks
    * Intrusion.com
    * IntruVert
    * ISS
    * Lancope
    * NFR
    * OneSecure
    * Recourse Technologies
    * Vsecure

kalo emang di Anggap Junk..didelet aja Om admin/moderator..

....Lagi Nyari Jablay Gratisan Di Jabodetabex, tapi belum dapet-dapet... Pusing...pusing..pusing..

Re: IDS (Intrusion Detection System )

@ alfin smile

wah, terima kasih untuk artikelnya - sangat menarik smile

ada tambahan sedikit boleh ya? smile
bgmn dengan SELinux, AppArmor dan TripWire? apakah bisa dimasukkan kedalam kategori HIDS?

dan :
kalo tidak salah Intruvert saat ini adalah bagian dari McAfee Intrushield? bukankah?

btw, sharing yg bagus, diberi sticky ya smile

Re: IDS (Intrusion Detection System )

[=quote]bgmn dengan SELinux, AppArmor dan TripWire? apakah bisa dimasukkan kedalam kategori HIDS[=/quote]

mmmmmmm......
kayaknya begitu...kan kebanyakan produk2 IDS karakternya adalah sebagai tools pertahanan yang mana menganalisis keluar masuk data dalam jaringan, jika tidak sesuai dengan parameter instruksi yang telah ditetapkan admin , maka dia akan melaporkany (record) bahwa ada aktivitas yang tidak sesuai instruksi parameter keluar masuk data dalam sebuah jaringan.

kl yang McAfee.......... gak tau Om..... maklum masi gaptek ( dalam maslah pertahanan networking)..

cccmmmiiwwwww.....

....Lagi Nyari Jablay Gratisan Di Jabodetabex, tapi belum dapet-dapet... Pusing...pusing..pusing..

4 (edited by scubyx 09-02-2011 14:47:47)

Re: IDS (Intrusion Detection System )

pas bgt ada thred ini...
aku kebetulan lagi ambil topik skripsi tentang IDS..
kalo boleh mw tanya...
- bedanya IDS sama firewall apa.???
- terus kenapa NIDS rumit di implementasikan pada suatu jaringan yang memakai switch ethernet?,padahal jaringan ethernet sering memakai switch..
- terus kalo buat topik skripsi S1 yang bisa/mudah d bahas tu yg ttg apa(NIDS,HIDS, IDS aktif or pasif)??
- lalu IDS ini apa ada hardwareNya??(kalo ada kan susah bwt penelitianya, maklum mahasiswa, budget terbatas.hehehe)

Nice thread , big_smile big_smile

Re: IDS (Intrusion Detection System )

halooooo...
om moderator...
kok sepi....

Re: IDS (Intrusion Detection System )

halo scubyx smile

wah, cukup banyak juga ya pertanyaannya smile

pas bgt ada thred ini...
aku kebetulan lagi ambil topik skripsi tentang IDS..
kalo boleh mw tanya...
- bedanya IDS sama firewall apa.???

punteun, bukan maksud hati untuk sombong/takabur tidak mau jawab smile
wah, kalo menjelaskan bagian ini - takutnya nanti rekan @scubyx ggak belajar malah (keasyikan lompat anak tangga) , nanti pak dosennya malah yang bingung smile

ada baiknya @scubyx mencoba cari dan membaca referensi dulu lapisan OSI, TCP/IP kemudiian dibandingkan dengan penjelasan dari setiap istilah yang rekan @scubyx tanyakan smile

insyaAlloh, HTH.

Re: IDS (Intrusion Detection System )

Mohon bimbingannya.. 

Yang ingin saya tanyakan dari IDS ini yang paling sering digunakan IDS dengan tipe yang mana? Hybrid kah, HIDS kah, atau NIDS? 

dan satu lagi dimana saya bisa mengetahui dari perkembangan IDS yang sudah ada dan Update, NIST website ? atau  ada website reference yang lain ?

Maaf bila pertanyaan saya agak kurang sopan, mohon bimbingannya..








(Z_N)

Re: IDS (Intrusion Detection System )

halo udaradingin smile

hehehe... weleh2... nick-nya lucu juga ya smile
btw, selamat datang di KIOS smile

Yang ingin saya tanyakan dari IDS ini yang paling sering digunakan IDS dengan tipe yang mana? Hybrid kah, HIDS kah, atau NIDS?

cukup relatif pertanyaannya smile sepertinya - jawabannya = tergantung dari desain jaringan dan kebutuhan manajemen/pengelola jaringan.

untuk jaringan yang kecil/sederhana - misal jaringan dengan 1 kaki (1 router kecil : internet dan LAN - tanpa DMZ, tanpa server farm) - kemungkinan besar pilihannya ke HIDS per-end node -> bisa menggunakan layanan terintegrasi dari antivirus yang sudah built-in HIDS, atau membuat sendiri dgn tool terpisah seperti selinux, tripwire dst...

dan satu lagi dimana saya bisa mengetahui dari perkembangan IDS yang sudah ada dan Update, NIST website ? atau  ada website reference yang lain ?

hmm, insyaAlloh, sepertinya tidak ada yg spesifik dgn update perkembangan aplikasi IDS/IPS - cukup simak saja dari vendor/pembuatnya. sedangkan untuk update/referensi bug bisa disimak dari berbagai sumber/knowledge base di internet seperti NIST, ISC, atau vendor2 pembuat OS atau aplikasi dsb.

insyaAlloh, HTH.

Re: IDS (Intrusion Detection System )

abdi_wae wrote:

halo udaradingin smile

hehehe... weleh2... nick-nya lucu juga ya smile
btw, selamat datang di KIOS smile

halo juga untuk abdi_wae selaku momod... big_smile
hahaha...

Terima kasih atas penjelasannya... big_smile

Re: IDS (Intrusion Detection System )

KK, klw IDS di Mikrotik ada gak yah???

Re: IDS (Intrusion Detection System )

oh ya, kalo boleh tanya lagi, sory banyak tanya, ane msh blajar
snort di kompi ane kq gag mw ngedetect network interfaceNya ya..
uda di restart padahal, ane pake os windows xp,

Re: IDS (Intrusion Detection System )

mau tanya nih... kalo parameter pengujian system IDS apa aja ya???
mohon bantuan informasinya ya..

13 (edited by mulyanasaya 14-05-2011 04:29:20)

Re: IDS (Intrusion Detection System )

k3111pot wrote:

mau tanya nih... kalo parameter pengujian system IDS apa aja ya???
mohon bantuan informasinya ya..

menurut sy, IDS itu bekerja pada lapis network(OSI layer 3)
jadi pengujian yg bisa dilakukan adalah intrusion seperti ddos atau port scanning

-----------


untuk para sesepuh disini saya mau tanya..
pernah ngoprek snort? BASE? sm snort rules?

sama mau bertanya, bagaimana cara kerja snort agar bisa tercipta sebuah sistem IPS (intrusion prevention system) ?
apa perlu ada snmp trap?
atau dengan psad?
atau dengan fail2ban?

mohon pencerahanya.. sy dapat beberapa referensi tetapi masih bingung..
terima kasih

Re: IDS (Intrusion Detection System )

gan ane newbie,,,,saya kebetulan lagi magang di perusaahan nah dimintain mesti seting ids,,,, mohon referensi nya gan,,,minta nya pake ubuntu server , snort , ama based,,,,,kebetulan di kampus saya gak dijarin di kuliah nya,,,,,kalo ada yang tau harap reply ya gan,,kalo ngak pm jg gpp gan,,, big_smile

mohon bantuan nya dari agan2 yang udah pada mahir,, big_smile

http://www.idr-clickit.com/b.php?u=101623
http://www.sentraclix.com/images/468x60.gif

Re: IDS (Intrusion Detection System )

garut1302 wrote:

gan ane newbie,,,,saya kebetulan lagi magang di perusaahan nah dimintain mesti seting ids,,,, mohon referensi nya gan,,,minta nya pake ubuntu server , snort , ama based,,,,,kebetulan di kampus saya gak dijarin di kuliah nya,,,,,kalo ada yang tau harap reply ya gan,,kalo ngak pm jg gpp gan,,, big_smile

mohon bantuan nya dari agan2 yang udah pada mahir,, big_smile

bantu sundul gan big_smile

http://www.idr-clickit.com/b.php?u=101623
http://www.sentraclix.com/images/468x60.gif

Re: IDS (Intrusion Detection System )

Assalamu'alaikum semuanya,

wah, punteun sdh lama absen disini smile

@3ono smile

insyaAlloh sudah ada, silahkan disimak L7 filter pada wiki MikroTik. smile

@scubyx smile

apakah driver pcap sudah dipasang? smile

@keiiipot smile

parameter pengujian ids sederhana *mungkin* bisa dicoba dengan mengaktifkan aplikasi SELinux dan mencoba memasang aplikasi2 sederhana seperti apache web server dsb, nanti dari sana @keiiipot dapat melihat apa yang dilakukan oleh ids smile

@mulyana smile

sama mau bertanya, bagaimana cara kerja snort agar bisa tercipta sebuah sistem IPS (intrusion prevention system) ?
apa perlu ada snmp trap?
atau dengan psad?
atau dengan fail2ban?

insyaAlloh yang membedakan antara sebuah IDS dan IPS dari snort adalah kata kunci ALERT atau DROP pada attack signaturenya berikut penempatan posisi sensor smile

@garut smile

sila disimak tulisannya kang onno pada speedywiki - insyaAlloh cukup lengkap smile
http://opensource.telkomspeedy.com/wiki/index.php/IDS
http://opensource.telkomspeedy.com/wiki/index.php/Snort

insyaAlloh, HTH.

Re: IDS (Intrusion Detection System )

maksih banyak link nya,,,tapi kalo bisa ada yang bahsa indo nya aja gak?? hehe maklum saya mah dari kampung,,,,hihihi big_smile

http://www.idr-clickit.com/b.php?u=101623
http://www.sentraclix.com/images/468x60.gif

Re: IDS (Intrusion Detection System )

mulyanasaya wrote:
k3111pot wrote:

mau tanya nih... kalo parameter pengujian system IDS apa aja ya???
mohon bantuan informasinya ya..

menurut sy, IDS itu bekerja pada lapis network(OSI layer 3)
jadi pengujian yg bisa dilakukan adalah intrusion seperti ddos atau port scanning

-----------


untuk para sesepuh disini saya mau tanya..
pernah ngoprek snort? BASE? sm snort rules?

sama mau bertanya, bagaimana cara kerja snort agar bisa tercipta sebuah sistem IPS (intrusion prevention system) ?
apa perlu ada snmp trap?
atau dengan psad?
atau dengan fail2ban?

mohon pencerahanya.. sy dapat beberapa referensi tetapi masih bingung..
terima kasih

thanks infonya bos..

Re: IDS (Intrusion Detection System )

abdi_wae wrote:

Assalamu'alaikum semuanya,

wah, punteun sdh lama absen disini smile


@keiiipot smile

parameter pengujian ids sederhana *mungkin* bisa dicoba dengan mengaktifkan aplikasi SELinux dan mencoba memasang aplikasi2 sederhana seperti apache web server dsb, nanti dari sana @keiiipot dapat melihat apa yang dilakukan oleh ids smile

.

oke deh ane coba gan... tapi ane mnta bantuan lg ni masbro...

untuk install dan configurasi BASEnya gmn ya... ane sudah dpt file base-1.4.5.tar ... ane sudah googling tp nggak ktmu... mohon bantuannya masbro...
owh iya,,, ane menggunakan ubuntu 10.4lts untukOSnya...
sebelumnya terima kasih banyak masbro..
smile

Re: IDS (Intrusion Detection System )

permisi, sy mau nanya tentang snort.
kebetulan saya sedang ambil kerja praktek di bidang snort ini.
nah sy sudah punya referensi dalam instalasi dan test sederhana menggunakan snort.

yang ingin sy tanyakan begini,

-sy ingin menggunakan snort untuk mendeteksi serangan pada wifi. jadi, baiknya di mana sy tempatkan snort ini ? karena jujur sy masih bingung sama konfigurasi ip address si snort ini.
terus,
-kalo pada jaringan nirkabel, apa perlu package data yang diinstal lagi ? sebagai tambahan sy pake snort install guide yang ada di website resmi snort.
-terakhir ada website snort-wireless.org, apa sih airsnort itu ?

terakhir sy coba, snort nya uda bisa jalan kak, tapi sy ga ngerti cara dia menddeteksi serangan nya.

thanks.

Re: IDS (Intrusion Detection System )

maaf nih agan2 master numpang tanya kalo software IDPS (Intrusion Detection Prevention System) yg open source apaan yah???

22 (edited by m3551 14-11-2011 15:08:21)

Re: IDS (Intrusion Detection System )

maaf nih agan-agan master numpang tanya ni kalo software IDS itu selain menggunkan snort dan base ada gak yg lain gak, slain snort dan ids?t api yang bersifat opensource.

kalau bisa sekalian sama link-linknya.

mohon bantuannya,agan-agan semuanya



terima kasih.