Sistem deteksi intrusi (IDS) memonitor lalu lintas jaringan dan monitor untuk aktivitas yang mencurigakan dan memperingatkan sistem atau administrator jaringan. Dalam beberapa kasus, IDS juga dapat menanggapi anomali atau lalu lintas jahat dengan mengambil tindakan seperti memblokir pengguna atau alamat IP sumber dari mengakses jaringan.
IDS datang dalam berbagai "rasa" dan mendekati tujuan mendeteksi lalu lintas yang mencurigakan dengan cara yang berbeda. Ada sistem deteksi intrusi berbasis jaringan (NIDS) dan berbasis host (HIDS). Ada IDS yang mendeteksi berdasarkan mencari tanda tangan tertentu dari ancaman yang dikenal - mirip dengan cara perangkat lunak antivirus biasanya mendeteksi dan melindungi terhadap malware- dan ada IDS yang mendeteksi berdasarkan perbandingan pola lalu lintas terhadap baseline dan mencari anomali. Ada IDS yang hanya memantau dan memperingatkan dan ada IDS yang melakukan tindakan atau tindakan sebagai tanggapan terhadap ancaman yang terdeteksi. Kami akan membahas masing-masing ini secara singkat.
NIDS
Network Intrusion Detection Systems ditempatkan pada titik atau titik strategis dalam jaringan untuk memonitor lalu lintas ke dan dari semua perangkat di jaringan. Idealnya, Anda akan memindai semua lalu lintas masuk dan keluar, namun hal itu dapat menciptakan hambatan yang akan merusak kecepatan jaringan secara keseluruhan.
HIDS
Host Intrusion Detection Systems dijalankan pada host atau perangkat individu di jaringan. HIDS memonitor paket masuk dan keluar hanya dari perangkat dan akan memperingatkan pengguna atau administrator dari aktivitas yang mencurigakan terdeteksi
Berbasis Tanda Tangan
IDS berbasis tanda tangan akan memonitor paket di jaringan dan membandingkannya dengan basis data tanda tangan atau atribut dari ancaman berbahaya yang diketahui. Ini mirip dengan cara sebagian besar perangkat lunak antivirus mendeteksi malware. Masalahnya adalah bahwa akan ada jeda antara ancaman baru yang ditemukan di alam liar dan tanda tangan untuk mendeteksi ancaman yang diterapkan ke IDS Anda. Selama jeda waktu itu, IDS Anda tidak akan dapat mendeteksi ancaman baru.
Anomali Berbasis
IDS yang berbasis anomali akan memonitor lalu lintas jaringan dan membandingkannya dengan baseline yang ditetapkan. Baseline akan mengidentifikasi apa yang "normal" untuk jaringan tersebut - jenis bandwidth apa yang umumnya digunakan, protokol apa yang digunakan, port dan perangkat apa yang umumnya terhubung satu sama lain- dan memperingatkan administrator atau pengguna saat lalu lintas terdeteksi yang anomali, atau berbeda secara signifikan dari baseline.
IDS Pasif
IDS pasif hanya mendeteksi dan memberi tahu. Ketika lalu lintas yang mencurigakan atau berbahaya terdeteksi, tanda dibuat dan dikirim ke administrator atau pengguna dan terserah mereka untuk mengambil tindakan untuk memblokir aktivitas atau merespons dengan cara tertentu.
IDS reaktif
IDS reaktif tidak hanya akan mendeteksi lalu lintas yang mencurigakan atau berbahaya dan memperingatkan administrator tetapi akan mengambil tindakan proaktif yang telah ditentukan untuk menanggapi ancaman tersebut. Biasanya ini berarti memblokir lalu lintas jaringan lebih lanjut dari alamat IP sumber atau pengguna.
Salah satu sistem deteksi intrusi yang paling terkenal dan banyak digunakan adalah open source, Snort yang tersedia secara gratis. Ini tersedia untuk sejumlah platform dan sistem operasi termasuk Linux dan Windows . Snort memiliki pengikut yang besar dan setia dan ada banyak sumber daya yang tersedia di Internet di mana Anda dapat memperoleh tanda tangan untuk diterapkan guna mendeteksi ancaman terbaru. Untuk aplikasi deteksi intrusi freeware lainnya, Anda dapat mengunjungi Free Intrusion Detection Software .
Ada garis tipis antara firewall dan IDS. Ada juga teknologi yang disebut IPS - Intrusion Prevention System . IPS pada dasarnya adalah firewall yang menggabungkan pemfilteran tingkat jaringan dan tingkat aplikasi dengan IDS reaktif untuk melindungi jaringan secara proaktif. Tampaknya seiring berjalannya waktu firewall, IDS dan IPS mengambil lebih banyak atribut dari satu sama lain dan mengaburkan garis bahkan lebih.
Pada dasarnya, firewall Anda adalah garis pertahanan perimeter pertama Anda. Praktik terbaik merekomendasikan bahwa firewall Anda secara eksplisit dikonfigurasi untuk MENYANGKAL semua lalu lintas masuk dan kemudian Anda membuka lubang jika diperlukan. Anda mungkin perlu membuka port 80 untuk meng-host situs web atau port 21 untuk meng-host file server FTP . Masing-masing lubang ini mungkin diperlukan dari satu sudut pandang, tetapi mereka juga mewakili kemungkinan vektor untuk lalu lintas jahat untuk memasuki jaringan Anda daripada diblokir oleh firewall.
Di situlah IDS Anda akan masuk. Apakah Anda menerapkan NIDS di seluruh jaringan atau HIDS pada perangkat khusus Anda, IDS akan memantau lalu lintas masuk dan keluar dan mengidentifikasi lalu lintas yang mencurigakan atau berbahaya yang mungkin telah melewati firewall Anda atau tidak mungkin berasal dari dalam jaringan Anda juga.
IDS dapat menjadi alat yang hebat untuk memantau dan melindungi jaringan Anda secara proaktif dari aktivitas berbahaya, namun IDS juga rentan terhadap alarm palsu. Dengan hampir semua solusi IDS yang Anda terapkan, Anda harus "menyetelnya" begitu dipasang pertama kali. Anda perlu IDS untuk dikonfigurasi dengan benar untuk mengenali lalu lintas normal apa di jaringan Anda vs apa yang mungkin lalu lintas jahat dan Anda, atau administrator yang bertanggung jawab untuk menanggapi peringatan IDS, perlu memahami apa arti peringatan dan bagaimana merespons secara efektif.