intrusion detection

13
KELOMPOK 19 : BAYU TOMI DEWANTARA 118090055 VIALLI 118090056 IVO

Upload: jabir

Post on 16-Jan-2016

107 views

Category:

Documents


8 download

DESCRIPTION

INTRUSION DETECTION. KELOMPOK 19 : BAYU TOMI DEWANTARA 118090055 VIALLI 118090056 IVO. KEGUNAAN. U ntuk mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan . - PowerPoint PPT Presentation

TRANSCRIPT

Page 1: INTRUSION DETECTION

KELOMPOK 19 :BAYU TOMI DEWANTARA 118090055

VIALLI 118090056 IVO

Page 2: INTRUSION DETECTION

KEGUNAANKEGUNAANUntuk mendeteksi aktivitas yang

mencurigakan dalam sebuah sistem atau jaringan.

Untuk mendeteksi segala macam percobaan penyusupan, akan tetapi bisa juga diberdayakan untuk mendeteksi kegagalan system atau tingkat performa secara keseluruhan dari infrastruktur jaringan kita

Page 3: INTRUSION DETECTION

TIPE DASAR IDSTIPE DASAR IDS((INTRUSION INTRUSION DETECTIONDETECTION))

Rule-based systems = berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mencatat lalulintas yang sesuai dengan database yang ada, maka langsung dikategorikan sebagai penyusupan.

Adaptive systems = mempergunakan metode yang lebih canggih. Tidak hanya berdasarkan database yang ada, tapi juga membuka kemungkinan untuk mendeteksi terhadap bentuk bentuk penyusupan yang baru.

Tipe yang sering digunakan umum dalam komputer adalah rule based systems.

Page 4: INTRUSION DETECTION

RULE BASED SYSTEMSRULE BASED SYSTEMSPendekatan yang digunakan adalah

pendekatan pencegahan (preemptory) dan pendekatan reaksi (reactionary).

Pendekatan pencegahan, program pendeteksi penyusupan akan memperhatikan semua lalu lintaas jaringan. Jika ditemukan paket yang mencurigakan maka program akan melakukan tindakan yang perlu.

Pada pendekatan reaksi, program pendeteksi penyusupan, hanya mengamati file log. Jika ditemukan paket yang mencurigakan program juga akan melakukan tindakan yang perlu.

Page 5: INTRUSION DETECTION

JENIS IDSJENIS IDS Network-based Intrusion Detection System (NIDS): Network

intrusion detection systems adalah jenis IDS yang bertanggung jawab untuk mendeteksi serangan yang berkaitan dengan jaringan[4]. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada "pintu masuk" jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi.

Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet.

Page 6: INTRUSION DETECTION

PENGAMATAN IDSPENGAMATAN IDSKerahasiaan (confidentiality), dimana object

tidak di umbar atau dibocorkan kepada subject yang tidak seharusnya berhak terhadap object tersebut, atau lazim disebut tidak authorize.

Integritas (Integrity), bahwa object tetap orisinil, tidak diragukan keasliannya, tidak dimodifikasi dalam perjalanan nya dari sumber menuju penerimanya.

Ketersediaan (Availability), dimana user yang mempunyai hak akses atau authorized users diberi akses tepat waktu dan tidak terkendala apapun.

Page 7: INTRUSION DETECTION

SERANGAN YANG DIKENALISERANGAN YANG DIKENALI

Dapat berasal dari koneksi external seperti ancaman dari internet atau jaringan partner, virus, code berbahaya, subject internal yang mencoba untuk melakukan kegiatan yang tidak diauthorisasi, dan juga segala macam percobaan akses yang tidak diauthorisasi dari lokasi yang justru dipercaya.

Page 8: INTRUSION DETECTION

KELEBIHANKELEBIHAN Dapat mendeteksi "external hackers" dan serangan jaringan

internal Dapat disesuaikan dengan mudah dalam menyediakan

perlindungan untuk keseluruhan jaringan. Dapat dikelola secara terpusat dalam menangani serangan yang

tersebar dan bersama-sama Menyediakan pertahanan pada bagian dalam Menyediakan layer tambahan untuk perlindungan Ids memonitor Internet untuk mendeteksi serangan Ids membantu organisasi utnuk mengembangkan dan

menerapkan kebijakan keamanan yang efektif Ids memungkinkan anggota non-technical untuk melakukan

pengelolaan keamanan menyeluruh Adanya pemeriksaan integritas data dan laporan perubahan

pada file data Ids melacak aktivitas pengguna dari saat masuk hingga saat

keluar Ids menyederhanakan sistem sumber informasi yang komplek Ids memberikan integritas yang besar bagi infrastruktur

keamanan lainnya.

Page 9: INTRUSION DETECTION

KEKURANGANKEKURANGAN Lebih bereaksi pada serangan daripada mencegahnya Menghasilkan data yang besar untuk dianalisis Rentan terhadap serangan yang "rendah dan lambat“ Tidak dapat menangani trafik jaringan yang terenkripsi. Ids hanya melindungi dari karakteristik yang dikenal Ids tidak turut bagian dalam kebijakan keamanan yang

efektif, karena dia harus diset terlebih dahulu Ids tidak menyediakan penanganan kecelakaan Ids tidak mengidentifikasikan asal serangan Ids hanya seakurat informasi yang menjadi dasarnya Network-based IDS rentan terhadap "overload Network-based IDS dapat menyalahartikan hasil dari

transaksi yang mencurigakan Paket terfragmantasi dapat bersifat problematis.

Page 10: INTRUSION DETECTION

MASALAHMASALAHSerangan baru memiliki signature yang

baru sehingga daftar signature harus selalu diupdate

Network semakin cepat (giga) sehingga menyulitkan untuk menganalisa setiap paket

Jumlah host makin banyak: distributed IDS

Terlalu banyak laporan (false alarm).

Page 11: INTRUSION DETECTION

PROGRAM IDSPROGRAM IDS Chkwtmp adalah program yang melakukan pengecekan terhadap

entry kosong. dalam arti wtmp mencatat sesuatu tapi isinya kosong.

Tcplogd adalah program yang mendeteksi stealth scan. stealth scan adalah scanning yang dilakukan tanpa harus membuat sebuah sesi tcp. sebuah koneksi tcp dapat terbentuk jika klien mengirimkan paket dan server mengirimkan kembali paketnya dengan urutan tertentu, secara terus menerus sehingga sesi tcp dapat berjalan. stealth scan memutuskan koneksi tcp sebelum klien menrima kembali jawaban dari server. scanning model ini biasanya tidak terdeteksi oleh log umum di linux.

Hostsentry adalah program yang mendeteksi login anomali. anomlai disini termasuk perilaku aneh (bizzare behaviour), anomali waktu (time anomalies), dan anomali lokal (local anomalies).

Snort adalah program IDS yang bekerja pada umumnya pada sistem operasi Linux, namun banyak pula versi yang dapat digunakan di beragam platform [5]. Snort pada umumnya merujuk kepada intrusion detection system yang sifatnya lightweight atau ringan karena diperuntukkan bagi jaringan kecil. Snort sangat fleksibel karena arsitekturnya yang berbasis rule.

Page 12: INTRUSION DETECTION

SALAH SATU CONTOHSALAH SATU CONTOHCisco IDS 4200 Series

Piranti sensor Seri 4200 dari Cisco IDS merupakan built-in system keamanan yang sangat handal dan ber-performa bagus yang bisa melindungi diri terhadap kegiatan yang tidak authorize, activitas yang mebahayakan jaringan, seperti serangan dari hacker. Sensor Cisco IDS ini menganalisa traffic secara real time, memberikan alert kepada user / admin untuk memberikan suatu action atas suatu usaha pembobolan system. Cisco Countermeasures Research Team (C-CRT) menggunakan suatu kombinasi teknik deteksi inovasi tingkat tinggi dan canggih termasuk pola stateful yang sudah diketahui, parsing protocol, heuristic detection, dan anomaly detection yang memberikan perlindungan comprehensive dari suatu cyber threats baik yang sudah dikenali maupun yang tidak dikenali.

Technology Cisco Signature Micro-Engine (SME) yang hampir dipatenkan, memungkinkan customisasi dari sensor signature, menghasilkan sensor presisi yang meminimalkan terjadinya “false positive”, kesalahan deteksi dari pola yang positive sebagai intruder. Jika terdeteksinya kegiatan un-authorized, sensor akan mengirim alarm ke management console dengan detail aktivitas. Sebagai tambahan Cisco IDS Active Response System mengirim proteksi dengan cara mengendalikan system-2 yang lain, seperti router, firewall, switch, untuk menghentikan un-authorized session ini. Instalasi dan management dari piranti ini bisa lewat CLI – command line interface, atau lewat solusi management Cisco. Piranti ini, untuk Cisco IDS 4235 bisa di pasang pada jaringan 200 Mbps, untuk melindungi jaringan Switch, beberapa subnet T3, dan untuk interface 10/100/1000 yang didukungnya, IDS ini bisa dipasang pada jaringan yang menggunakan jaringan Gigabit.

Page 13: INTRUSION DETECTION

Terima KasihTerima Kasih