IDS/IPS¶
from tryhackme.com
Intrusion Detection System (IDS)¶
IDS adalah passive monitoring untuk mendeteksi kemungkinan aktivitas berbahaya, insiden abnormal, dan pelanggaran kebijakan. Bertanggung jawab untuk menghasilkan peringatan untuk setiap peristiwa yang mencurigakan.
Terdapat 2 tipe IDS:
-
Network Intrusion Detection System (NIDS)
NIDS memonitor alur lalu lintas dari berbagai area jaringan. Tujuannya adalah untuk menyelidiki lalu lintas di seluruh subnet. jika signature diidentifikasi, maka akan dibuat alert.
-
Host-based Intrusion Detection System (HIDS)
HIDS memonitor arus lalu lintas dari satu perangkat titik akhir. Tujuannya adalah untuk menyelidiki lalu lintas pada perangkat tertentu. Jika signature diidentifikasi, maka akan dibuat alert.
Intrusion Prevention System (IPS)¶
IPS adalah active protection untuk mencegah kemungkinan aktivitas berbahaya, insiden abnormal, dan pelanggaran kebijakan. Bertanggung jawab untuk menghentikan/mencegah/mengakhiri kejadian yang mencurigakan segera setelah deteksi dilakukan.
Terdapat 4 tipe IDS:
-
Network Intrusion Prevention System (NIPS)
NIPS memonitor arus lalu lintas dari berbagai area jaringan. Tujuannya adalah untuk melindungi lalu lintas di seluruh subnet. Jika signature diidentifikasi, koneksi dihentikan.
-
Network Behaviour Analysis (NBA)
Sistem-berbasis-perilaku memantau lalu lintas lintas dari berbagai area jaringan. Tujuannya adalah untuk melindungi lalu lintas di seluruh subnet. Jika signature diidentifikasi, koneksi dihentikan.
Sistem-Analisis-Perilaku Jaringan bekerja mirip dengan NIPS. Perbedaan antara NIPS dan Behavior-based adalah sistem-berbasis-perilaku memerlukan periode pelatihan (juga dikenal sebagai "baselining") untuk mempelajari lalu lintas normal dan membedakan lalu lintas dan ancaman berbahaya. Model ini memberikan hasil yang lebih efisien terhadap ancaman baru.
Sistem dilatih untuk mengetahui "normal" untuk mendeteksi "abnormal". Periode pelatihan sangat penting untuk menghindari false positive. Jika terjadi pelanggaran keamanan selama periode pelatihan, hasilnya akan sangat bermasalah. Poin penting lainnya adalah memastikan bahwa sistem terlatih dengan baik untuk mengenali aktivitas yang tidak berbahaya.
-
Sistem Pencegahan Intrusi Nirkabel (WIPS)
WIPS memantau arus lalu lintas dari jaringan nirkabel. Tujuannya adalah untuk melindungi lalu lintas nirkabel dan menghentikan kemungkinan serangan yang diluncurkan dari sana. Jika signature diidentifikasi, koneksi dihentikan.
-
Sistem Pencegahan Intrusi Berbasis Host (HIPS)
HIPS secara aktif melindungi arus lalu lintas dari satu perangkat titik akhir. Tujuannya adalah untuk menyelidiki lalu lintas pada perangkat tertentu. Jika signature diidentifikasi, koneksi dihentikan.
Mekanisme kerja HIPS mirip dengan HIDS. Perbedaannya adalah bahwa sementara HIDS membuat peringatan untuk ancaman, HIPS menghentikan ancaman dengan memutuskan koneksi.
Detection/Prevention Techniques¶
Ada tiga teknik deteksi dan pencegahan utama yang digunakan dalam IDS dan IPS;
| Teknik | Penjelasan |
|---|---|
| Signature-Based | Teknik ini bergantung pada aturan yang mengidentifikasi pola spesifik dari perilaku jahat yang diketahui. Model ini membantu mendeteksi ancaman yang diketahui. |
| Behaviour-Based | Teknik ini mengidentifikasi ancaman baru dengan pola baru yang melewati signature. Model membandingkan perilaku yang diketahui/normal dengan yang tidak diketahui/abnormal. Model ini membantu mendeteksi ancaman yang sebelumnya tidak diketahui atau baru. |
| Policy-Based | Teknik ini membandingkan aktivitas yang terdeteksi dengan konfigurasi sistem dan kebijakan keamanan. Model ini membantu mendeteksi pelanggaran kebijakan. |
Kesimpulan¶
- IDS dapat mengidentifikasi ancaman tetapi memerlukan bantuan pengguna untuk menghentikannya.
- IPS dapat mengidentifikasi dan memblokir ancaman dengan lebih sedikit bantuan pengguna pada waktu deteksi.