Definisi IDS dan IPS
IDS (Intrusion Detection System) adalah sistem yang dirancang untuk mendeteksi aktivitas mencurigakan atau penyusupan (intrusi) pada jaringan atau host. IDS mengamati lalu lintas jaringan, log sistem, atau perilaku aplikasi, kemudian mengirimkan peringatan kepada administrator bila terdeteksi sesuatu yang tidak normal.
IPS (Intrusion Prevention System) merupakan perkembangan dari IDS. Selain mendeteksi, IPS dapat mengambil tindakan otomatis untuk menghentikan atau memblokir serangan yang teridentifikasi. Dengan kata lain, IPS tidak hanya memberi peringatan, melainkan juga mencegah ancaman terjadi.
Cara Kerja IDS dan IPS
Kedua sistem bekerja dengan memanfaatkan tiga komponen utama:
- Sensor/Collector Mengumpulkan data dari jaringan, host, atau aplikasi.
- Engine Analisis Membandingkan data dengan basis pengetahuan (signature) atau pola perilaku (anomaly).
- Respons Untuk IDS hanya mengirim alert; untuk IPS dapat memblokir paket, menutup sesi, atau mengubah kebijakan firewall.
Metode deteksi yang umum dipakai meliputi:
| Metode | Penjelasan |
|---|---|
| Signature Based | Mencocokkan data dengan pola (signature) yang telah diketahui, mirip antivirus. |
| Anomaly Based | Mengidentifikasi aktivitas yang menyimpang dari baseline normal. |
| Stateful Protocol Analysis | Mengecek konsistensi protokol dan alur komunikasi. |
Perbedaan Antara IDS dan IPS
Walaupun keduanya berfokus pada keamanan jaringan, terdapat perbedaan kunci:
- Posisi dalam jaringan IDS biasanya ditempatkan dalam mode monitoring (mirrored port), sedangkan IPS berada di jalur lalu lintas utama (inline).
- Respons IDS hanya memberi peringatan; IPS dapat memblokir atau memodifikasi paket secara real time.
- Resiko false positive Karena IPS mengambil tindakan otomatis, toleransi terhadap false positive harus lebih ketat dibandingkan IDS.
- Kebutuhan sumber daya IPS memerlukan performa yang lebih tinggi karena harus memproses dan mengintervensi lalu lintas secara langsung.
Jenis Jenis IDS dan IPS
Network Based IDS/IPS (NIDS/NIPS)
Beroperasi pada lapisan jaringan, memantau seluruh traffic yang lewat melalui segmen tertentu.
Host Based IDS/IPS (HIDS/HIPS)
Terpasang pada perangkat akhir (server, workstation) dan memantau aktivitas sistem, file, dan log.
Wireless IDS/IPS
Khusus untuk jaringan nirkabel, mendeteksi serangan seperti rogue AP, deauthentication, atau sniffing.
Distributed IDS/IPS
Berbasis sensor yang tersebar di banyak titik, mengirimkan data ke pusat analisis untuk deteksi skala besar.
Implementasi Praktis
Berikut langkah langkah umum dalam mengimplementasikan IDS/IPS pada sebuah organisasi:
- Identifikasi kebutuhan Tentukan jenis aset yang ingin dilindungi (jaringan, server, aplikasi).
- Pilih tipe perangkat IDS/NIPS berbasis jaringan, host, atau kombinasi (hybrid).
- Rencanakan penempatan Sensor harus berada di titik titik kritis seperti gateway internet, DMZ, atau segmen internal.
- Konfigurasi signature dan baseline Impor database signature terbaru dan bangun baseline perilaku normal.
- Atur kebijakan respons Untuk IPS tentukan aksi: block, reset, atau quarantine, sekaligus set threshold false positive.
- Monitor dan tuning Lakukan review log secara rutin, sesuaikan aturan, dan update signature secara berkala.
- Integrasi dengan SIEM Mengirimkan alert ke Security Information and Event Management untuk korelasi lebih luas.
Contoh produk populer:
- Snort (open source IDS/IPS)
- Suricata
- Cisco Firepower
- Juniper IDP
- Microsoft Advanced Threat Analytics (HIPS)
Kesimpulan
IDS dan IPS merupakan komponen vital dalam arsitektur keamanan modern. IDS membantu organisasi melihat ancaman yang masuk, sementara IPS memberi kemampuan untuk menangani ancaman secara otomatis. Memilih kombinasi yang tepat, menempatkannya pada lokasi strategis, serta melakukan pemeliharaan berkelanjutan akan meningkatkan postur keamanan secara signifikan.