Beberapa kelemahan dari host-based di antaranya adalah :
a. Manajemen yang rumit, informasi harus dikonfigurasi untuk setiap host yang ada.
b. Sedikit sumber informasi dan kadang, bagian dari analisis engine, karena host-based berada
pada host yang menjadi target suatu serangan. Jika suatu IDS host-based dilumpuhkan oleh
penyerang maka penyerang bisa mendapatkan akses terhadap host tersebut.
c. Host-based tidak cocok untuk mendeteksi
jaringan atau melakukan monitoring terhadap suatu jaringan karena IDS hanya memonitor
paket yang diterima pada host tersebut. d. Host-based dapat dilumpuhkan oleh serangan
denial of service.
2.12.1.2 Network-based : IDS memperoleh informasi dari
paket-paket jaringan yang ada. Network-based IDS menggunkan raw packet yang ada di jaringan
sebagai sumber datanya. Network-based IDS
menggunakan network adapter sebagai alat untuk menangkap paket-paket
yang akan dipantau.
Network adapter berjalan pada mode prosmicuous untuk memonitor dan melakukan analisis paket-
paket yang ada yang berjalan di jaringan.
Gambar 2.4 Network-Based IDS Ariyus, 2007
Beberapa cara yang digunakan untuk mengenali serangan pada Network-based IDS ini antara lain :
a. Pola data, ekpresi atau pencocokan secara bytecode.
b. Frekuensi atau pelanggaran ambang batas. c. Korelasi yang dekat dengan sebuah event.
d. Deteksi anomaly secara statistic.
Network-based IDS memiliki kelebihan yang tidak dapat diberikan oleh IDS yang lain. Di bawah ini
beberapa kelebihan dari Network-based IDS : a. Biaya yang lebih rendah. Network-based IDS
memungkinkan pengawasan yang strategis pada titik akses yang kritis untuk menampilkan
network traffic untuk beragam sistem yang akan diamati sehingga sistem ini tidak memerlukan
perangkat lunak untuk digunakan dan diatur pada banyak host. Karena kebutuhan titik deteksi yang
lebih sedikit, maka biayanya lebih rendah. b. Deteksi serangan yang tidak terdeteksi oleh Host-
based IDS. Sistem ini memeriksa semua packet header
untuk mencari
aktivitas yang
mencurigakan. Beberapa serangan yang tidak dapat dideteksi oleh Host-based IDS adalah
IPbased DoS dan Fragmented Packet Tear Drop. Serangan tersebut dapat diidentifikasi
dengan membaca header dari paket yang ada. Kekurangan dari Network –based IDS adalah
sebagai berikut :
a. Network-based IDS sulit untuk memproses semua paket yang besar dan jaringan yang sibuk
sehingga akan gagal dalam mendeteksi serangan yang terjadi jika suatu jaringan sangat sibuk
aktivitas yang tinggi. Beberapa dari vendor IDS mencoba memecahkan masalah ini dengan
menerapkan IDS dalam perangkat keras, yang mana bisa mendeteksi serangan dalam lalu-lintas
yang sibuk sekali. b. Banyak keuntungan IDS tidak berlaku untuk
jaringan yang menggunakan metode switch- based yang lebih modern.
c. Network-based IDS tidak bisa menganalisis paket yang telah dienkripsi.
d. Kebanyakan network-based IDS tidak bisa
memberitahukan apakah suatu serangan telah berhasil mendapatkan sistem, hanya dapat
memberitahukan bahwa serangan sedang terjadi. Network-based IDS hanya memberitahukan ke
administrator bahwa serangan telah terjadi dan administrator akan melakukan pemeriksaan
secara manual untuk mencari kemungkinan host mana yang terserang.
e. Banyak dari network-based IDS mempunyai masalah bila berhadapan dengan serangan yang
menggunakan paket fragmentasi. Paket seperti ini menyebabkan suatu network-based IDS
menjadi tidak stabil dan crash. Salah satu contoh dari network-based adalah
snort. Snort merupakan suatu NIDS Network-base Intrusion Detection System. Snort merupakan suatu
program yang berfungsi untuk memeriksa data-data yang masuk dan melaporkan ke administrator
apabila ada “gerak-gerik” yang mecurigakan. Bekerja dengan prinsip program sniffer, yaitu
mengawasi paket-paket yang melewati jaringan. Snort merupakan suatu NIDS Network-based
Intrusion Detection System. Sebuah NIDS akan memperhatikan seluruh segmen jaringan tempat dia
berada, berbeda dengan host-based IDS yang hanya memperhatikan sebuah mesin software host based
IDS tersebut dipasang. Secara sederhana sebuah IDS akan mendeteksi semua serangan yang dapat
melalui jaringan komputer internet
maupun
intranet ke jaringan atau komputer yang kita miliki.
Sebuah NIDS
biasanya digunakan
bersamaan dengan firewall. Hal ini untuk menjaga supaya snort tidak terancam oleh serangan.
Respons serangan pada IDS network-based di antaranya adalah :
1. Notifikasi a. Alarm ke console
b. E-mail c. SNMP Trap
d. Melihat sesi yang aktif 2. Logging
a. Summary Report b. Raw Network Data
3. Respons aktif a. TCP reset
b. Konfigurasi ulang firewall c. User-defined.
Tabel 2.3 Perbedaan NIDS dan HIDS : NIDS
HIDS
Ruang lingkup yang luas mengamati semua aktivitas
jaringan Ruang
lingkup yang
terbatas mengamati hanya aktivitas pada
host tertentu. Lebih mudah melakukan setup
Setup yang kompleks Lebih baik untuk mendeteksi
serangan yang berasal dari luar jaringan.
Lebih baik
untuk mendeteksi
serangan yang berasal dari dalam jaringan.
Pendeteksian berdasarkan
pada apa yang direkam dari aktivitas jaringan.
Pendeteksian berdasarkan
pada single host yang diamati semua
aktivitasnya. Menguji packet header
Packet header tidak diperhatikan Respons yang real time
Selalu merespons setelah apa yang terjadi.
OS-independent OS-specific
Mendeteksi serangan terhadap jaringan serta payload untuk
di analisis Mendeteksi serangan local sebelum
mereka memasuki jaringan.
Mendeteksi usaha
dari serangan yang gagal
Menverifikasikan sukses
atau gagalnya suatu serangan.
Sumber Ariyus, 2007
2.12.1.3 Distrubusi Intrusion Detection System