aktifitas
berbahaya
ini
berbahaya,
mencoba
untuk
menyimpan
memblokir
informasi
dan
tentang
menghentikan
aktifitas
ini
dan
melaporkan, inilah yang membedakan IDS dengan IPS. IPS dapat medeteksi
paket yang mencurigkan tapi tidak bisa mencegah paket tersebut masuk ke
dalam jaringan.
konfigurasi
device
firewall,
router
atau
switch
untuk
pada
daftar
signature
yang
ditetapkan.
Karena
banyaknya
protocol
Analysis
Jenis
metode
deteksi
mengidentifikasi
dan menganalisis protokol. Snort dapat melindungi jaringan Anda dari buffer
overflows dan berbagai serangan dan probe.
Snort
merupakan
sistem
deteksi
intrusi
rule
based,
artinya
Snort
membandingkan trafik masuk (atau keluar) dengan signature. Jika trafik sama
dengan signature maka trafik akan diberikan flag dan operator konsol
disiagakan.
2. Wireless Intrusion Prevention System (WIPS)
Memonitor trafik jaringan wireless
Management
Server
menerima
informasi
dari
sensor
dan
menganalisanya
dan
stateful
protocol
analysis.
Kebanyakan
sistem
di setiap protokol.
masquerade
MAC
spoofing),
serangan
man-in-the-middle,
menjalankan aktif role dan merespon secara otomatis jika ada ancaman
wireless dengan cara menghentikan device sebelum melakukan kerusakan
dalam jaringan. Untuk AP rogue, sistem AirDefense dapat mengidentifikasi
port switch yang terkoneksi dan mematikannya, hal ini bisa mencegah rogue
device
mengakses
jaringan.
Selain
itu,
airDefense
juga
memebantu
Source dan destination port TCP atau UDP atau tipe ICMP
Pendeteksian di NBA
Teknologi NBA menggunakan metode deteksi primer Anomaly based
Detection : dalam metode ini menggunakan history dari trafik untuk
membentuk
model
karakteristik
dari
network
behaviour.
Memprediksi
pendekatan
seperti
multistage
collaborative,
trust
modelling,
Scanning.
aplikasi( grabbing), layer trasport (TCP dan UDP port scanning) dan
layer jaringan ( ICMP scanning)
Worm. Worm menyebar diantara host dapat dideteksi dengan lebih dari
satu cara.
Sebagian besar sensor NBA dapat mengetahui asal dari ancaman tersebut.
Misal , worm menginfeksi jaringan, sensor NBA dapat menganalisa aliran
worm dan menemukan host yang pertama kali mengirim worm ke host
lainnya.
Produk NBA secara otomatis memperbarui data dasar mereka secara rutin.
Akibatnya, biasanya tidak banyak tuning atau kustomisasi yang harus
dilakukan, selain mengupdate ruleset- policy (aturan aturan sistem) firewall.
Beberapa produk NBA menawarkan kemampuan kustomisasi signature
terbatas.Fitur ini paling membantu untuk sensor inline karena mereka dapat
menggunakan signature untuk menemukan dan memblokir serangan yang
mungkin tidak bisa dihalangi oleh firewall atau router. Selain memeriksa
keakuratan tuning dan kustomisasi secara berkala, administrator juga harus
memastikan perubahan pada host ( host baru atau service baru). Umumnya
tidak layak untuk secara otomatis menghubungkan sistem NBA dengan
sistem manajemen perubahan, tapi administrator bisa meninjau catatan
perubahan manajemen secara teratur dan mengatur informasi persediaan
tuan rumah di NBA untuk mencegah positif palsu.
Keterbatasan
Teknologi NBA memiliki beberapa keterbatasan yang signifikan. Teknologi ini
tertunda dalam mendeteksi serangan karena sumber data mereka, terutama
ketika mereka mengandalkan aliran data dari router dan perangkat jaringan
lainnya. Data ini sering dipindahkan ke NBA dalam batch dari setiap menit
sampai beberapa kali dalam satu jam. Serangan yang terjadi dengan cepat
mungkin tidak terdeteksi sampai sistem mengalami kerusakan. Penundaan ini
dapat dihindari dengan menggunakan sensor yang menangkap paket mereka
sendiri dan analisis; Namun, ini jauh lebih intensif mengabil data dari dari
menganalisis data aliran. Oleh karena itu, untuk melakukan pemantauan
jaringan
menggunakan
teknologi
agen
dan
visualisasi
traffic
sistem operasi
sebuah
workstation.
HIPS
dapat
mendeteksi
mengkonfirmasi
keabsahan
alert,
untuk
menyelidiki
dan
untuk
detail event : alamat IP dan informasi port, informasi aplikasi, nama file
dan path, dan ID pengguna
Kemampuan mendeteksi
Kebanyakan host-based IDPS mempunyai kemampuan mendeteksi aktifitas
berbahaya.
Sistem
ini
biasanya
menggunakan
kombinasi
dari
teknik
menganalisa
execute
code.
Semua
teknik
ini
membantu
semua
agent.
Productnya
dinamakan
Cisco
Secure
agent
DAFTAR PUSTAKA