Saturday, April 6, 2013

IDS (Intrusion Detection System)

Sebuah sistem deteksi intrusi (IDS) adalah perangkat lunak dan / atau sistem berbasis hardware yang memantau lalu lintas jaringan dan memantau aktivitas mencurigakan dan memberitahu sistem atau administrator jaringan. Dalam beberapa kasus IDS juga dapat menanggapi anomali lalu lintas atau berbahaya dengan mengambil tindakan seperti pemblokiran pengguna atau alamat IP sumber dari mengakses jaringan.

Lokasi khas untuk sistem deteksi intrusi seperti yang ditunjukkan pada gambar berikut -
id


Berikut ini adalah jenis-jenis sistem deteksi intrusi: -



1) Host-Based Intrusion Detection System (HIDS): - sistem deteksi intrusi berbasis host atau HIDS diinstal sebagai agen atas tuan rumah. Sistem deteksi intrusi ini dapat melihat ke dalam sistem dan file log aplikasi untuk mendeteksi adanya aktivitas penyusup.

2) Jaringan Intrusion Detection System Berbasis (NIDS): - ini IDSS mendeteksi serangan dengan menangkap dan menganalisa paket jaringan. Mendengarkan pada segmen jaringan atau switch, satu IDS berbasis jaringan dapat memonitor lalu lintas jaringan yang mempengaruhi beberapa host yang terhubung ke segmen jaringan, sehingga melindungi orang-host. IDSS berbasis jaringan sering terdiri dari satu set sensor tujuan tunggal atau host ditempatkan di berbagai titik dalam jaringan. Unit ini memonitor lalu lintas jaringan, melakukan analisis lokal lalu lintas dan pelaporan serangan ke konsol manajemen pusat.

Beberapa topik penting datang di bawah deteksi intrusi adalah sebagai berikut: -

1) Signatures - Signature adalah pola yang Anda cari di dalam paket data. Tanda tangan digunakan untuk mendeteksi satu atau beberapa jenis serangan. Sebagai contoh, kehadiran "script / iisadmin" dalam paket akan ke server web Anda mungkin menunjukkan aktivitas penyusup. Signatures mungkin ada di bagian-bagian berbeda dari sebuah paket data tergantung pada sifat serangan.

2) Tanda - Tanda adalah segala macam pemberitahuan pengguna dari suatu kegiatan penyusup. Ketika sebuah IDS mendeteksi penyusup, ia harus menginformasikan administrator keamanan tentang ini menggunakan alert. Alarm mungkin dalam bentuk jendela pop-up, penebangan ke konsol, mengirim e-mail dan sebagainya. Alarm juga disimpan dalam file log atau database di mana mereka dapat dilihat di kemudian hari oleh para ahli keamanan.

3) Log - Pesan log biasanya disimpan dalam file.Log pesan dapat disimpan baik dalam teks atau format biner.

4) Alarm Palsu - alarm palsu adalah peringatan dihasilkan karena merupakan indikasi bahwa bukanlah aktivitas penyusup. Misalnya, host internal terkonfigurasi terkadang menyiarkan pesan yang memicu aturan sehingga generasi peringatan palsu. Beberapa router, seperti router Linksys rumah, menghasilkan banyak peringatan terkait UPnP. Untuk menghindari alarm palsu, Anda harus memodifikasi dan menyempurnakan aturan default yang berbeda. Dalam beberapa kasus, Anda mungkin perlu menonaktifkan beberapa aturan untuk menghindari alarm palsu.

5) Sensor - Mesin yang sistem deteksi intrusi berjalan juga disebut sensor dalam literatur karena digunakan untuk "pengertian" jaringan.

Snort: - Snort adalah sistem deteksi intrusi jaringan yang sangat fleksibel yang memiliki seperangkat besar aturan pra-konfigurasi. Snort juga memungkinkan Anda untuk menulis set aturan Anda sendiri. Ada beberapa milis di internet di mana orang-orang berbagi aturan mendengus baru yang dapat melawan serangan terbaru.

Snort adalah aplikasi keamanan modern yang dapat melakukan tiga fungsi berikut:

* Hal ini dapat berfungsi sebagai packet sniffer.
* Hal ini dapat bekerja sebagai logger paket.
* Hal ini dapat bekerja sebagai Intrusion Detection System (NIDS) Jaringan Berbasis.

Thanks To : http://www.snort.org 

No comments:

Post a Comment