1. Kelebihan
dan kekurangan IDS
a) Kelebihan
a) Kelebihan
§ Dapat
mendeteksi “external hackers” dan serangan jaringan internal.
§ Dapat
disesuaikan dengan mudah dalam menyediakan perlindungan untuk keseluruhan
jaringan.
§ Dapat
dikelola secara terpusat dalam menangani serangan yang tersebar dan
bersama-sama.
§ Menyediakan
pertahanan pada bagian dalam.
§ Menyediakan
layer tambahan untuk perlindungan.
§ IDS
memonitor Internet untuk mendeteksi serangan.
§ IDS membantu
organisasi utnuk mengembangkan dan menerapkan kebijakan keamanan yang efektif.
§ IDS
memungkinkan anggota non-technical untuk melakukan pengelolaan keamanan
menyeluruh.
§ Adanya
pemeriksaan integritas data dan laporan perubahan pada file data.
§ IDS
melacak aktivitas pengguna dari saat masuk hingga saat keluar.
§ IDS
menyederhanakan sistem sumber informasi yang kompleks.
§ IDS
memberikan integritas yang besar bagi infrastruktur keamanan lainnya
b) Kekurangan
§ Lebih
bereaksi pada serangan daripada mencegahnya.
§ Menghasilkan
data yang besar untuk dianalisis.
§ Rentan
terhadap serangan yang “rendah dan lambat”.
§ Tidak dapat
menangani trafik jaringan yang terenkripsi.
§ IDS hanya
melindungi dari karakteristik yang dikenal.
§ IDS tidak
turut bagian dalam kebijakan keamanan yang efektif, karena dia harus diset
terlebih dahulu.
§ IDS tidak
menyediakan penanganan kecelakaaN.
§ IDS tidak
mengidentifikasikan asal serangan.
§ IDS hanya
seakurat informasi yang menjadi dasarnya.
§ Network-based
IDS rentan terhadap “overload”.
§ Network-based
IDS dapat menyalahartikan hasil dari transaksi yang mencurigakaN.
§ Paket
terfragmantasi dapat bersifat problematis
2. Contoh program IDSa) chkwtmp Program yang melakukan pengecekan terhadap entry kosong. dalam arti wtmp mencatat sesuatu tapi isinya kosong.
b) tcplogd Program yang mendeteksi stealth scan. stealth scan adalah scanning yang dilakukan tanpa harus membuat sebuah sesi tcp. sebuah koneksi tcp dapat terbentuk jika klien mengirimkan paket dan server mengirimkan kembali paketnya dengan urutan tertentu, secara terus menerus sehingga sesi tcp dapat berjalan. stealth scan memutuskan koneksi tcp sebelum klien menrima kembali jawaban dari server. scanning model ini biasanya tidak terdeteksi oleh log umum di linux.
c) hostsentry Program yang mendeteksi login anomali. anomlai disini termasuk perilaku aneh (bizzare behaviour), anomali waktu (time anomalies), dan anomali lokal (local anomalies).
d) snort
Snort adalah program IDS yang bekerja pada umumnya pada sistem operasi Linux, namun banyak pula versi yang dapat digunakan di beragam platform [5]. Snort pada umumnya merujuk kepada intrusion detection system yang sifatnya lightweight atau ringan karena diperuntukkan bagi jaringan kecil. Snort sangat fleksibel karena arsitekturnya yang berbasis rule [6].
OKE SEKIAN CUMA ITU YG SAYA TAU SEMOGA BERMANFAAT