Memahami IPS dan IDS
Intrusion Detection System (IDS) atau Sistem Pendeteksi Intrusi adalah sistem yang mengawasi lalu lintas jaringan terhadap tindakan yang mencurigakan pada suatu host atau jaringan. Jadi, setiap packet yang melalui jaringan akan dicek terlebih dahulu oleh IDS apakah packet tersebut termasuk kategori ancaman atau tidak. Jika ternyata ancaman, maka IDS akan membangkitkan alert untuk memberitahu administrator bahwa terdapat ancaman terhadap jaringan. Jika tidak, IDS menganggap sebagai packet normal/bukan ancaman.
IDS mempunyai dua metode dalam melakukan pendeteksian terhadap intrusi, yaitu signature based dan anomaly based. IDS berdasarkan signature mendeteksi adanya intrusi berdasarkan database yang sudah ada. Dengan kata lain, intrusi tersebut sudah dikenali sebelumnya. Metode ini mirip seperti antivirus yang kita gunakan di komputer. Jadi semakin baik database signature, pendeteksian akan semakin optimal. Kekurangan dari metode ini ialah jika terdapat pola serangan baru, maka intrusi tidak akan dikenali oleh IDS. Sedangkan anomaly based, mendeteksi intrusi berdasarkan kondisi traffic yang tidak biasanya. Contoh, apabila keadaan trafik normal jaringan 1mbps, tiba-tiba pemakaian bandwidth naik menjadi 4mbps, maka IDS berdasarkan anomaly based ini akan menganggap adanya intrusi terhadap jaringan. Kelemahan dari metode ini adalah banyaknya false positive, dimana terdapat kesalahan terhadap pendeteksian karena kondisi normal bisa saja dianggap sebagai intrusi.
Berdasarkan penempatannya, terdapat 2 jenis IDS, yaitu Host based IDS (HIDS) dan Network Based IDS (NIDS). HIDS adalah IDS yang diletakkan pada suatu host, misalnya diinstall pada server atau client. Sedangkan NIDS adalah IDS yang diletakkan pada pintu masuknya lalu lintas jaringan, misalnya pada switch, router, firewall.
IDS ini bersifat pasif, artinya hanya mendeteksi intrusi dan membangkitkan alert saja tanpa disertai tindakan preventif. Untuk tindakan selanjutnya diserahkan kepada administrator apakah koneksi yang masuk tersebut harus diblokir atau tidak. Hal ini tentunya saja merepotkan administrator karena harus mengecek alert satu persatu. Belum lagi jika jaringan skala besar, bisa jadi terdapat ribuan alert yang harus dipantau. Untuk mengantisipasi hal ini, dikembangkanlah IPS atau Intrusion Prevention System.
IPS atau sistem pencegah intrusi merupakan IDS yang dikombinasikan dengan firewall. Jadi, apabila terdeteksi adanya serangan, IPS akan memerintahkan firewall untuk segera memblokir koneksi tersebut sebelum masuk ke jaringan. Dengan kata lain, IPS adalah IDS yang dilengkapi kemampuan firewall.
0 Response to "Memahami IPS dan IDS"
Post a Comment