Network Intrusion Detection System

Sistem deteksi intrusi berbasis jaringan (NIDS) adalah perangkat yang ditempatkan dalam jaringan dan secara pasif memeriksa lalu lintas yang melintasi perangkat tersebut. NIDS dapat berupa sistem berbasis perangkat keras atau perangkat lunak dan, tergantung pada produsen sistem. Perangkat NIDS dapat diimplementasikan ke berbagai media jaringan seperti Ethernet, FDDI, dan lainnya. Seringkali, NIDS memiliki dua interface jaringan. Satu digunakan untuk mendengarkan percakapan jaringan dalam mode promiscuous dan yang lainnya digunakan untuk kontrol dan pelaporan.

Dengan munculnya switching, yang mengisolasi percakapan unicast ke port switch masuk dan keluar, vendor infrastruktur jaringan telah merancang teknikmirroring port untuk mereplikasi/menyalin semua lalu lintas jaringan ke NIDS. Ada cara lain untuk memasok lalu lintas ke IDS seperti network tapping. Cisco menggunakan fungsionalitas Switched Port Analyzer (SPAN) untuk memfasilitasi kemampuan penyalinan pada perangkat jaringan dan di beberapa peralatan jaringan menyertakan komponen NIDS langsung di dalam switch.

Tujuan NIDS

Firewall menjadi sangat efektif dalam memblokir upaya koneksi masuk. Perangkat lunak antivirus telah berhasil mengidentifikasi infeksi yang dibawa melalui penyimpanan data dan email. Ketika metode serangan yang digunakan telah mampu diblokir, peretas beralih ke strategi serangan seperti serangan Distributed Denial of Service (DDoS).Beberapa alasan untuk memperoleh dan menggunakan IDS (Intrusion Detection System) diantaranya adalah:

1. Mencegah resiko keamanan yang terus meningkat, karena banyak ditemukan kegiatan ilegal yang diperbuat oleh orang-orang yang tidak bertanggung jawab dan hukuman yang diberikan atas kegiatan tersebut.
2. Mendeteksi serangan dan pelanggaran keamanan sistem jaringan yang tidak bisa dicegah oleh sistem umum yang telah diterapkan seperti firewall, sehingga banyak menyebabkan adanya begitu banyak lubang keamanan, seperti:
1. Banyak dari legacy system, sistem operasi tidak patch maupun update.
2. Patch tidak diperhatikan dengan baik, sehingga menimbulkan masalah baru dalam hal keamanan.
3. Pengguna yang tidak memahami sistem, sehingga jaringan dan protokol yang mereka gunakan memiliki lubang keamanan.
4. Pengguna dan administrator membuat kesalahan dalam konfigurasi dan dalam menggunakan sistem.
3. Mendeteksi serangan awal, karakteristik penyerang akan menyerang suatu sistem biasanya melakukan langkah-langkah awal yang mudah diketahui yaitu dengan melakukan penyelidikan atau menguji sistem jaringan yang akan menjadi target untuk mendapatkan titik-titik dimana mereka akan masuk.
4. Mengamankan file yang keluar dari jaringan.
5. Sebagai pengendali untuk rancangan keamanan dan administrator, terutama bagi perusahaan yang pesat.
6. Menyediakan informasi yang akurat terhadap gangguan secara langsung, meningkatkan diagnosis, recovery, dan mengoreksi faktor faktor penyebab serangan.

Bagaimana Cara Kerja NIDS?

NIDS bekerja dengan memeriksa berbagai titik data dari berbagai sumber dalam jaringan. Header paket, statistik, dan aliran data protokol/aplikasi dianalisis untuk menentukan apakah aktivitas berbahaya atau anomali telah terjadi. Kemampuan NIDS dapat digunakan untuk mengidentifikasi kemungkinan pelanggaran keamanan pada sistem termasuk sniffer dan serangan pada layanan seperti HTTP/S, SMB, SSH, dan lain-lain.

Ada dua jenis NIDS yaitu :

1. Sensor jaringan

Sensor jaringan sering kali merupakan perangkat atau aplikasi khusus yang berjalan secara eksklusif sebagai NIDS. Sensor memantau dan menganalisis lalu lintas jaringan untuk mendeteksi perilaku berbahaya. Sensor dapat ditempatkan di berbagai titik di jaringan, tergantung di mana dibutuhkan. Misalnya, router mungkin memiliki sensor yang dipasang untuk memantau lalu lintas yang melewati router atau switch dapat memiliki sensor yang memantau lalu lintas saat melewati dari satu port ke port lainnya.

2. Sistem deteksi intrusi berbasis host

Sistem deteksi intrusi berbasis host merupakan perangkat lunak yang memantau lalu lintas jaringan dari dalam satu host di jaringan. Dalam kebanyakan kasus, IDS berbasis host hanya digunakan untuk memantau lalu lintas di dalam host lokal atau layanan atau aplikasi tertentu. Namun, dalam beberapa kasus, ia dapat memantau paket saat melewati firewall dari satu jaringan ke jaringan lain atau dapat memantau aktivitas di seluruh host yang menjalankan beberapa layanan dan aplikasi sekaligus.

Teknologi yang dapat dipantau oleh NIDS

Sistem Deteksi Intrusi Jaringan menggunakan satu atau lebih teknologi untuk menganalisis ancaman di jaringan Anda. Ini dapat mencakup:

• Packet Header

Packet header berisi informasi spesifik tentang paket yang dikirim melalui jaringan Anda. Informasi di header dapat mencakup alamat IP sumber dan tujuan, port, jenis protokol, dan lain lain. NIDS akan menganalisis informasi ini untuk aktivitas mencurigakan atau perilaku jahat.

• Paket / transmisi

Total paket per detik adalah teknologi umum yang digunakan oleh NIDS untuk memantau ancaman di jaringan Anda. Ini mungkin opsi konfigurasi yang Anda tentukan saat memasang sistem pemantauan lalu lintas di jaringan Anda. IDS dapat membandingkan tingkat lalu lintas normal, dengan yang ditransmisikan pada satu waktu di seluruh jaringan, untuk mendeteksi sesuatu yang tidak biasa. Misalnya, jika tidak ada lalu lintas yang padat di jaringan, tetapi paket masih ditransmisikan dengan kecepatan tinggi, ini dapat mengindikasikan aktivitas yang mencurigakan.

Jenis Umum Sistem Deteksi Intrusi Jaringan

Ada lima jenis NIDS umum yang dapat digunakan untuk memantau lalu lintas di jaringan. Masing-masing memiliki kelebihan dan kekurangannya sendiri tergantung pada kebutuhan. berikut merupakan jenis dari NIDS :

1. Signature-based system, Jenis NIDS ini menggunakan signature dari serangan yang dianalisis sebelumnya. Ia mempelajari pola mana yang menunjukkan aktivitas jahat sehingga kejadian di masa depan dengan karakteristik serupa akan segera terdeteksi.
2. Stateful protocol analysis system, Jenis NIDS ini mirip dengan signature-based system yang mempelajari pola mana yang menunjukkan aktivitas jahat.
3. Behavioral-based system, Jenis NIDS ini menggunakan analisis perilaku untuk menentukan apakah aktivitas mencurigakan telah terjadi.
4. Anomaly-based system, Jenis NIDS ini mirip dengan behavioral-based system, kecuali bahwa ia mempelajari seperti apa perilaku jaringan yang khas dengan menganalisis bagaimana real connections dibuat dan digunakan dari waktu ke waktu.
5. Heuristic-based system, Jenis NIDS ini menggunakan heuristik untuk melihat serangan serangan dengan signature yang diketahui dan menganalisisnya berdasarkan rules untuk menentukan apakah ada aktivitas yang mencurigakan telah terjadi.

Tools IDS Open Source

Ada beberapa alat deteksi intrusi (IDS) open source yang hebat yang tersedia diantaranya:

1. Snort, Snort adalah NIDS yang bekerja dengan menggunakan signature detection, berfungsi juga sebagai sniffer dan packet logger. Snort pertama kali dibuat dan dikembangkan oleh Marti Roesh, lalu menjadi sebuah open source project. Versi komersial dari snort dibuat oleh Sourcefire (www.sourcefire.com).
2. Suricata, Suricata merupakan Network IDS, IPS, dan Sebuah mesin monitor keamanan jaringan dengan performa tinggi. Suricata adalah IDS open source dan dimiliki oleh sebuah komunitas non-profit, yaitu Open Information Security Foundation (OISF). Suricata dikembangkan oleh OISF dan vendor pendukungnya.
3. Bro (Zeek), adalah penganalisis network traffic open source dan pasif. Banyak operator menggunakan Zeek sebagai monitor keamanan jaringan (NSM) untuk mendukung penyelidikan aktivitas yang mencurigakan atau berbahaya. Zeek juga mendukung berbagai tugas analisis lalu lintas di luar domain keamanan, termasuk pengukuran kinerja dan pemecahan masalah.

Tools IDS Berbayar

Adapun tools dari IDS yang berbayar adalah sebagai berikut:

1. SolarWinds Security Event Manager, paket HIDS dengan fitur NIDS. Alat keamanan komprehensif ini berjalan di Windows Server dan dapat memproses file pengambilan paket yang dihasilkan oleh Snort. Unduh uji coba gratis 30 hari.
2. CrowdStrike Falcon Intelligence, Layanan intelijen ancaman yang memantau lalu lintas jaringan untuk risiko keamanan saat melewati titik akhir.

Keuntungan dan Kerugian Dari NIDS

Berikut adalah beberapa keuntungan dari NIDS:

1. Mendeteksi malware yang tidak dikenal. NIDS dapat dikonfigurasi untuk mendeteksi jenis malware yang umum, serta ancaman baru atau tidak dikenal, sehingga kita akan segera mengetahui saat peretas telah menyusup ke sistem.
2. Mencegah serangan. NIDS terus memonitor traffic network untuk mengidentifikasi aktivitas mencurigakan dan memblokirnya sebelum peretas dapat memperoleh akses ke sistem.
3. Mendeteksi perangkat yang disusupi. NIDS dapat mendeteksi ketika komputer pengguna telah disusupi sehingga penyerang tidak dapat memperoleh akses ke mesin lain di jaringan atau menggunakan mesin yang disusupi

Berikut adalah beberapa kerugian dari NIDS:

1. Membutuhkan pembaruan yang sering. Penting untuk memperbarui NIDS secara teratur sehingga akan terus mengenali ancaman yang diketahui dan mengikuti yang baru.
2. Memerlukan konfigurasi yang ekstensif. Agar efektif, NIDS harus dikonfigurasikan dengan informasi tentang bagaimana network biasanya beroperasi.
3. Membutuhkan pemeliharaan. Beberapa sistem membutuhkan pembaruan manual dan konfigurasi. Oleh karena itu kita membutuhkan manajemen konstan oleh staf IT untuk lebih efektif.