Anda di halaman 1dari 11

INTRUSION DETECTION SYSTEM

A. Pengertian IDS

Intrusion Detection System (IDS) adalah sebuah aplikasi perangkat lunak


atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan
dalam sebuah sistem atau jaringan. Intrusion adalah aktivitas tidak sah atau
tidak diinginkan yang mengganggu konfidensialitas, integritas dan/atau
ketersediaan dari informasi yang terdapat di sebuah sistem. IDS akan
memonitor lalu lintas data pada sebuah jaringan atau mengambil data dari
berkas log. IDS akan menganalisa dengan menggunakan algoritma tertentu,
sehingga IDS akan memutuskan untuk memberi peringatan kepada seorang
administrator jaringan atau tidak. Jika ditemukan kegiatan-kegiatan yang
mencurigakan berhubungan dengan traffic jaringan maka IDS akan
memberikan peringatan kepada sistem atau administrator jaringan.
Dalam banyak kasus, IDS juga merespon terhadap traffic yang tidak
normal/anomali melalui aksi pemblokiran seorang user atau alamat IP
(Internet Protocol) sumber dari usaha pengaksesan jaringan.

B. Sejarah IDS

Sebagian besar kemajuan awal IDS dibuat di dalam angkatan udara milik
Amerika Serikat (United States Air Force). Pada tahun 1980, James P.
Anderson, seorang pelopor keamanan informasi dan anggota Dewan Tugas
Ilmu Pengetahuan Pertahanan untuk Keamanan Komputer di angkatan udara
milik Amerika Serikat, membuat sebuah tulisan berjudul Computer
Security Threat: Monitoring and Surveillance, di mana tulisan tersebut
merupakan sebuah laporan mengenai berbagai macam ancaman yang
ditemukan.
Segera setelah laporan tersebut dirilis, model pertama dari IDS pun dibuat
yang konsep/metodenya hampir mirip dengan software antivirus, di mana
sistem tersebut akan terus-menerus mengamati dan membandingkan lalu
lintas jaringan dengan berbagai signature atau tanda ancaman yang
tersimpan di dalam basis data.
Selama akhir 1980-an, dengan semakin banyaknya penggunaan jaringan
komputer secara bersama-sama, maka administrator sistem pada setiap
perusahaan di seluruh dunia mulai mengadopi sistem IDS tersebut. Namun
seiring berjalannya waktu, IDS mulai dianggap memiliki masalah. Pertama,
sistem tersebut hanya bisa mengingatkan akan isu-isu yang dikategorikan
sebagai ancaman sesuai dengan basis data signature yang dimiliki. Serangan
seperti zero-day tidak akan mampu dideteksi selama vendor aplikasi yang
digunakan sebagai jalur masuk zero-day tidak diperbaharui. Kedua,
pemindaian secara konstan dan pemutakhiran basis data signature yang
harus terus dilakukan merupakan langkah yang tidak praktis dan signifikan.
Pada tahun 1990-an, teknologi IDS ditingkatkan untuk mengatasi jumlah
dan kecanggihan serangan jaringan yang sangat cepat berkembang. Metode
baru yang diimplementasikan pada IDS tersebut dinamai dengan deteksi
anomali, di mana dengan metode tersebut, IDS mampu mendeteksi adanya
suatu ancaman dalam jaringan dengan mengandalkan identifikasi pola
penggunaan jaringan yang tidak biasa dan tentunya memberikan peringatan
kepada administrator atau pengguna akan ancaman tersebut.
Namun selama keberjalanan sistem di tahun 1990-an, jaringan yang
semakin tidak konsisten menyebabkan IDS melaporkan perihal yang
seharusnya tidak dilaporkan, biasa dikenal dengan sebutan false positive, dan
dari berbagai kejadian tersebut, akhirnya banyak administrator yang
menganggap IDS tidak dapat diandalkan.
Munculnya komputasi awan sekitar tahun 1996, telah membawa relevansi
baru pada IDS, yang menyebabkan pasaran IDS semakin meningkat. Selain
itu, IDS sudah mampu mendeteksi serangan apa saja yang mungkin terjadi,
terlepas dari tindakan pencegahan. Faktanya, IDS sampai saat ini menjadi
salah satu teknologi keamanan yang terlaris dan diprediksi akan terus
dibutuhkan oleh pengguna jaringan komputer yang memerlukan keamanan
mutakhir, khususnya bagi pengguna komputasi awan yang sangat sulit untuk
dipantau lalu lintasnya secara manual.
Logika dan taktik yang digunakan IDS saat ini lebih relevan daripada
sebelumnya. Dengan komputasi awan, IDS telah menemukan lingkungan di
mana sistem tersebut dapat berkembang dan menjadi lebih efektif.
Sifat server yang konsisten di cloud cocok untuk teknologi IDS. Dengan
demikian, IDS mampu membangun garis dasar yang lebih kuat dan lebih
akurat daripada penggunaannya pada infrastruktur jaringan on-premise yang
tidak menentu di masa lalu.

C. Tipe Dasar IDS


Ada dua tipe dasar yang dipakai sebagai metode dalam Intrusion
Detection System, yaitu sebagai berikut:
Rule-based system di mana metode ini digunakan berdasarkan atas basis
data dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS
mencatat lalu lintas yang sesuai dengan basis data yang ada, maka
langsung dikategorikan sebagai penyusupan
Adaptive system merupakan metode yang lebih canggih lagi, tidak hanya
berdasarkan basis data yang ada, tetapi juga membuka kemungkinan
untuk mendeteksi terhadap bentuk-bentuk penyusupan yang baru
Bentuk yang sering digunakan untuk komputer secara umum adalah
rule-based system. Pendekatan yang digunakan dalam tipe ini ada 2, yaitu
pendekatan pencegahan (preemptory) dan pendekatan reaksi (reactionary).
Perbedaan dari dua pendekatan tersebut hanya masalah waktu saja. Pada
pendekatan pencegahan, IDS akan memperhatikan semua lalu lintas
jaringan. Jika ditemukan paket yang mencurigakan maka program akan
melakukan tindakan yang perlu. Pada pendekatan reaksi, program
pendeteksi penyusupan hanya mengamati log file. Jika ditemukan paket
yang mencurigakan IDS juga akan melakukan tindakan yang perlu.

D. Jenis-jenis IDS

Terdapat 6 jenis Intrusion Detection System yang dapat


diimplementasikan pada jaringan komputer, yaitu:
NIDS (Network Intrusion Detection System)
IDS jenis ini ditempatkan di sebuah tempat/titik yang strategis atau
sebuah titik di dalam sebuah jaringan untuk melakukan pengawasan
terhadap traffic yang menuju dan berasal dari semua alat-alat (devices)
dalam jaringan. Idealnya, semua traffic yang berasal dari luar dan dalam
jaringan dilakukan scan, namun cara ini dapat menyebabkan bottleneck
yang mengganggu kecepatan akses di seluruh jaringan. Posisi dari NIDS
dalam suatu jaringan dapat dilihat pada Gambar 1.
HIDS (Host Intrusion Detection System)
IDS jenis ini berjalan pada host yang berdiri sendiri atau
perlengkapan dalam sebuah jaringan. Sebuah HIDS melakukan
pengawasan terhadap paket-paket yang berasal dari dalam maupun dari
luar hanya pada satu alat saja dan kemudian memberi peringatan kepada
user atau administrator sistem jaringan akan adanya kegiatankegiatan
yang mencurigakan yang terdeteksi oleh HIDS. Posisi dari HIDS dalam
suatu jaringan dapat dilihat pada Gambar 1.

Gambar 1.
Posisi NIDS dan HIDS

Signature Based
IDS yang berbasis pada signature akan melakukan pengawasan
terhadap paketpaket dalam jaringan dan melakukan pembandingan
terhadap paket-paket tersebut dengan basis data signature yang dimiliki
oleh sistem IDS ini atau atribut yang dimiliki oleh percobaan serangan
yang pernah diketahui.
Cara ini hampir sama dengan cara kerja aplikasi antivirus dalam
melakukan deteksi terhadap malware. Intinya adalah akan terjadi
keterlambatan antara terdeteksinya sebuah serangan di internet dengan
signature yang digunakan untuk melakukan deteksi yang di
implementasikan didalam basis data IDS yang digunakan. Jadi bisa saja
basis data signature yang digunakan dalam sistem IDS ini tidak mampu
mendeteksi adanya sebuah percobaan serangan terhadap jaringan karena
informasi jenis serangan ini tidak terdapat dalam basis dat signature
sistem IDS ini. Selama waktu keterlambatan tersebut sistem IDS tidak
dapat mendeteksi adanya jenis serangan baru.
Anomaly Based
IDS jenis ini akan mengawasi traffic dalam jaringan dan melakukan
perbandingan traffic yang terjadi dengan rata-rata traffic yang ada
(stabil). Sistem akan melakukan identifikasi apa yang dimaksud dengan
jaringan normal dalam jaringan tersebut, berapa banyak bandwidth
yang biasanya digunakan di jaringan tersebut, protolkol apa yang
digunakan, port-port dan alat-alat apa saja yang biasanya saling
berhubungan satu sama lain didalam jaringan tersebut, dan memberi
peringatan kepada administrator ketika dideteksi ada yang tidak normal,
atau secara signifikan berbeda dari kebiasaan yang ada.
Passive IDS
IDS jenis ini hanya berfungsi sebagai pendeteksi dan pemberi
peringatan. Ketika traffic yang mencurigakan atau membahayakan
terdeteksi oleh IDS maka IDS akan membangkitkan sistem pemberi
peringatan yang dimiliki dan dikirimkan ke administrator atau user dan
selanjutnya terserah kepada administrator apa tindakan yang akan
dilakukan terhadap hasil laporan IDS.
Reactive IDS
IDS jenis ini tidak hanya melakukan deteksi terhadap traffic yang
mencurigakan dan membahayakan kemudian memberi peringatan
kepada administrator tetapi juga mengambil tindakan pro aktif untuk
merespon terhadap serangan yang ada. Biasanya dengan melakukan
pemblokiran terhadap traffic jaringan selanjutnya dari alamat IP sumber
atau user jika alamat IP sumber atau user tersebut mencoba untuk
melakukan serangan lagi terhadap sistem jaringan di waktu selanjutnya.

E. Kelebihan dan Kekurangan IDS

Sama seperti produk-produk yang bergerak di bidang IT maupun bidang


lainnya, setiap produk pasti memiliki kelebihan dan kekurangan tersendiri.
Berikut ini kami jabarkan apa saja kelebihan dan kekurangan yang dimiliki
oleh IDS, yaitu sebagai berikut:
Kelebihan
Dapat mendeteksi external hackers dan serangan jaringan internal
Dapat disesuaikan dengan mudah dalam menyediakan perlindungan
untuk keseluruhan jaringan.
Dapat dikelola secara terpusat dalam menangani serangan
Menyediakan pertahanan pada bagian dalam sistem jaringan
Menyediakan layer/lapisan tambahan untuk perlindungan
IDS memonitor internet untuk mendeteksi serangan
IDS membantu suatu organisasi utnuk mengembangkan dan
menerapkan kebijakan keamanan yang efektif
IDS memungkinkan anggota non-technical untuk melakukan
pengelolaan keamanan secara menyeluruh
Adanya pemeriksaan integritas data dan laporan perubahan pada file
data
IDS melacak aktivitas pengguna dari saat masuk hingga saat keluar ke
dalam sistem komputer
IDS menyederhanakan sistem sumber informasi yang kompleks
IDS memberikan integritas yang besar bagi infrastruktur keamanan
lainnya

Kekurangan
Lebih bereaksi pada serangan daripada mencegahnya
Menghasilkan data yang besar untuk dianalisis
Rentan terhadap serangan yang rendah dan lambat
Tidak dapat menangani trafik jaringan yang terenkripsi
IDS hanya melindungi dari karakteristik/signature yang dikenal
IDS tidak turut bagian dalam kebijakan keamanan yang efektif,
karena sistem tersebut harus diatur terlebih dahulu
IDS tidak menyediakan penanganan hal buruk seperti hilangnya data
IDS tidak mengidentifikasikan asal serangan terjadi
IDS hanya seakurat informasi yang menjadi dasarnya
Network-based IDS rentan terhadap overload
Network-based IDS dapat menyalahartikan hasil dari transaksi yang
mencurigakan

F. Contoh Program IDS

Berikut ini adalah beberapa contoh program Intrusion Detection System


yang mungkin sering digunakan dalam beberapa perusahaan dengan sistem
jaringan yang besar, yaitu:
chkwtmp - Program yang melakukan pengecekan terhadap entry yang
tidak berisi informasi apapun, dalam arti wtmp mencatat sesuatu tetapi
isinya kosong.
tcplogd - Program yang mendeteksi stealth scan. Stealth scan adalah
scanning yang dilakukan tanpa harus membuat sebuah sesi TCP. Sebuah
koneksi TCP dapat terbentuk jika klien mengirimkan paket dan server
mengirimkan kembali paketnya dengan urutan tertentu, secara terus
menerus sehingga sesi TCP dapat berjalan. Stealth scan memutuskan
koneksi TCP sebelum klien menrima kembali jawaban dari server.
Scanning dengan model seperti ini biasanya tidak terdeteksi oleh log
umum di Linux.
hostsentry - Program yang mendeteksi login yang anomali. Anomali di
sini termasuk perilaku aneh (bizzare behaviour), anomali waktu (time
anomalies), dan anomali lokal (local anomalies).
Snort - Program IDS yang umumnya bekerja pada sistem operasi Linux,
namun banyak pula versi yang dapat digunakan di beragam platform.
Snort pada umumnya merujuk kepada intrusion detection system yang
sifatnya lightweight atau ringan, karena diperuntukkan bagi sistem
jaringan yang kecil. Snort sangat fleksibel karena arsitekturnya yang
berbasis rule/signature.

Gambar 2
Sistem Kerja Snort

G. Implementasi IDS dalam Masalah di Dunia Nyata

Salah satu contoh penerapan IDS di dunia nyata adalah dengan


menerapkan sistem IDS yang bersifat open source dan gratis. Contohnya adalah
program Snort. Aplikasi Snort tersedia dalam beberapa macam platform dan
sistem operasi termasuk Linux dan Windows. Snort memiliki banyak pemakai,
karena selain gratis, Snort juga dilengkapi dengan support system di internet
sehingga dapat dilakukan pembaharuan basis data signature, sehingga Snort
dapat melakukan deteksi terhadap jenis serangan baru di internet.
IDS tidak dapat bekerja sendiri jika digunakan untuk mengamankan
sebuah jaringan. IDS harus digunakan bersamaan dengan firewall. Ada garis
batas yang tegas antara firewall dan IDS. Juga ada teknologi yang disebut
dengan IPS (Intrusion Prevention System). IPS pada dasarnya adalah sebuah
firewall yang dikombinasikan dengan tingkat jaringan dan tingkat aplikasi
dengan sebuah reactive IDS untuk melindungi jaringan secara pro aktif.
Pada dasarnya, firewall adalah titik pertama dalam garis pertahanan
sebuah sistem jaringan komputer. Seharusnya firewall diatur agar melakukan
penolakan (DENY) terhadap semua traffic yang masuk ke dalam sistem dan
kemudian membuka lubang-lubang yang perlu saja. Jadi, tidak semua lubang
dibuka ketika sistem melakukan hubungan ke jaringan luar. Idealnya firewall
diatur dengan konfigurasi seperti di atas. Beberapa port yang harus dibuka
untuk melakukan hubungan keluar adalah port 80 untuk mengakses internet
atau port 21 untuk FTP file server. Tiap-tiap port ini mungkin penting untuk
tetap dibuka tetapi lubang-lubang ini juga merupakan potensi kelemahan atas
terjadinya serangan yang akan masuk ke dalam jaringan. Firewall tidak dapat
melakukan pemblokiran terhadap jenis serangan ini karena administrator sistem
telah melakukan konfigurasi terhadap firewall untuk membuka kedua port
tersebut. Untuk tetap dapat memantau traffic yang terjadi di kedua port yang
terbuka tersebut dibutuhkan sebuah sistem yang dapat melakukan deteksi
terhadap traffic yang membahayakan dan berpotensi menjadi sebuah serangan.
Di sinilah fungsi IDS dibutuhkan di mana sebuah NIDS dapat di
implementasikan melalui seluruh jaringan atau sebuah HIDS pada alat-alat
tertentu yang dirasa berpotensi terhadap serangan. IDS akan me-monitor traffic
yang masuk dan keluar jaringan, serta mengidentifikasi traffic yang
mencurigakan dan membahayakan yang mungkin saja dapat melewati firewall
atau dapat saja berasal dari dalam jaringan. Jadi IDS tidak hanya mendeteksi
serangan dari luar tetapi juga potensi serangan dari dalam jaringan sendiri.
IDS dapat saja menjadi sebuah alat yang hebat untuk melakukan
pengawasan secara pro aktif dan melakukan perlindungan jaringan dari
kegiatan-kegiatan yang membahayakan. Bagaimanapun juga IDS cenderung
dapat memberikan peringatan yang salah. Intinya tidak ada sistem yang
sempurna untuk mengamankan sebuah jaringan komputer. Ketika menggunakan
IDS maka sistem administrasi harus sering melakukan tune-up terhadap sistem
IDS yang di implementasikan. IDS juga harus di konfigurasi secara tepat untuk
mampu mendeteksi apa itu traffic yang normal dalam jaringan dan apa itu
traffic yang membahayakan. Untuk mendefinisikan hal tersebut di atas
diperlukan seorang administrator sistem yang mampu memberikan respon
terhadap sistem pemberi peringatan IDS. Dibutuhkan pengertian apa arti
peringatan tersebut dan bagaimana mengefektifkan respon tersebut.
Idealnya IDS ditempatkan bersamaan dengan firewall dan di tiap titik yang
berpotensi untuk mendapat serangan, misal diletakkan di server utama dari
sebuah sistem jaringan yang berhubungan langsung dengan jaringan luar. Selain
di server utama IDS dapat juga diletakkan di gateway yang merupakan
penghubung antara jaringan internal dengan internet. IDS sendiri berbeda
dengan firewall. Jika IDS bekerja hanya sebagai pendeteksi dan pemberi
peringatan dini terhadap kondisi jaringan yang berpotensi merusak sistem
jaringan maka firewall bekerja untuk mencari tahu ada tidaknya gangguan
kemudian menghentikan gangguan tersebut sebelum benar-benar masuk
kedalam sistem jaringan. Firewall juga membatasi akses antara jaringan dengan
tujuan untuk mencegah terjadinya gangguan tetapi tidak memberi tanda akan
adanya serangan yang berasal dari dalam jaringan itu sendiri. IDS mengevaluasi
gangguan yang mencurigakan ketika kegiatan tersebut terjadi dan langsung
memberikan peringatan. IDS juga mengawasi serangan yang berasal dari dalam
sistem jaringan tersebut. Sehingga dalam implementasinya IDS dan Firewall
selalu digunakan bersama-sama sebagai sistem pengamanan jaringan dan
komputer.

DAFTAR PUSTAKA

Penggunaan sistem IDS (Intrution Detection System) untuk pengamanan


jaringan dan komputer. Muhammad Rudyanto Arief.
(http://p3m.amikom.ac.id/p3m/dasi/maret05/07%20-%20STMIK
%20AMIKOM%20Yogyakarta%20Makalah%20RUDI%20_penggunaan
%20sistem_.pdf)
http://ecgalery.blogspot.co.id/2010/06/ids-intrusion-detection-system.html
http://netsecurity.about.com/cs/hackertools/a/aa030504p.htm (From Tony
Bradley, CISSP, MCSE2k, MCSA, A+)
http://www.webopedia.com/TERM/I/intrusion_detection_system.html
http://css.its.psu.edu/netpeople/May2002/sos501.html
https://keamanan-informasi.stei.itb.ac.id/2013/10/30/menangani-serangan-
intrusi-menggunakan-ids-dan-ips/
Paez, Rafael et.al, Cooperative Itinerant Agents (CIA): Security Scheme
for Intrusion Detection Systems, International Conference on Internet
Surveillance and Protection (ICISP06), 2006.
, 2008. http://ipsec.pl/index.php?q=intrusion-detection/prevention-
systems-classification-tree.html Diakses tanggal 16 April 2008.
R. Heady, G. Luger, A. Maccabe, and M. Servilla. The architecture of a
network level intrusion detection system. Technical, Department of
Computer Science, University of New Mexico, 1990.
Bueno, Pedro. Understanding IDS for Linux. Linux Journal. 2002.
Geovedi, Jim. Snort Intrusion Detection System. http://corebsd.or.id.
2004.
Gaur, Nalneesh. Snort: Planning IDS for Your Enterprise. Linux Journal.
2001.

TUGAS SKK
INTRUSION DETECTION SYSTEM
Disusun oleh:
Diokta Redho Lastin (51415973)
Ifan Faizal Adnan (53415234)
Rahmanda (55415562)
Ravi Dharmawan (55415696)
Wiranda Aditiya Fidin (57415182)

TEKNIK INFORMATIKA
FAKULTAS TEKNOLOGI INDUSTRI
UNIVERSITAS GUNADARMA
JAKARTA - 2017