Dengan alasan ini analisis yang dilakukan IDS atau IPS menjadi lebih mudah untuk mencapai tujuan keamanan yang lebih ideal. Gambar 2.2 Hubungan antara Aktivitas jaringan Baseline dan Anomalous

2.11 Prinsip Kerja IDS pada Jaringan Internal

Istilah intrusion detection system merupakan suatu visi dari alat yang diletakkan pada parameter jaringan untuk memberitahu adanya penyusup. IDS juga mempunyai peran penting untuk mendapatkan arsitektur defence-in- depth pertahanan yang mendalam dengan melindungi akses jaringan internal, sebagai tambahan dari parameter defence. Banyak dari fungsi jaringan internal yang bisa dimonitor demi keamanan yang maksimal. Hal- hal yang dilakukan oleh IDS pada jaringan internal adalah sebagai berikut :

2.11.1 Memonitor akses database : ketika mempertimbangkan pemilihan

kandidat untuk menyimpan data, suatu perusahaan akan memilih database sebagai solusi untuk menyimpan data-data yang berharga. Pentingnya data sama dengan penelitian suatu perusahaan dalam mengembangkan suatu produk unggulan. Jika data yang disimpan di Baseline activity Anomalous activity dalam database bisa diakses oleh orang-orang yang tidak berhak, maka akan terjadi bencana. Oleh karena itu database server selalu diletakkan pada posisi yang paling dalam dari suatu jaringan dan hanya bisa diakses oleh sumber daya internal. Bagaimanapun statistik dari FBI bahwa akses ke database untuk mencuri data banyak berasal dari jaringan internal, oleh karena itu penggunaan IDS memberikan solusi untuk melindungi database dari exploit seperti contoh : a. ORACLE drop table attempt b. ORACLE EXECUTE_SYSTEM attempt c. MYSQL root login attempt d. MYSQL show database attempt Memonitor fungsi dari DNS : Beranjak dari pertanyaan “Apa yang ada pada nama server?” Jawabannya konfigurasi jaringan. Memasukkan domain name server yang meliputi nama dari komponen jaringan internal, IP address, dan informasi private lain yang memberikan tentang jaringan. Dengan informasi ini penyusup bisa melakukan pemetaan jaringan dengan mengambil kesimpulan dari DNS zone transfer. Langkah pertama melakukan pengintaian terhadap versi dari DNS server, IDS bisa mendeteksi rule DNS name version attempt. Langkah kedua melakukan deteksi terhadap eksploitasi dengan menggunakan rule DNS zone transfer attempt. Penempatan IDS pada sistem jaringan bisa menjaga terjadinya eksploitasi DNS.

2.11.2 Melindungi e-mail server : Jika berbicara tentang melindungi e-mail

account, banyak user menggunakan software antivirus untuk melakukan scanning terhadap kemungkinan adanya virus. Program antivirus tidak sepenuhnya bisa mendeteksi malicious code. IDS dapat berfungsi untuk mendeteksi virus e-mail seperti QAZ, Worm, NAVIDAD worm, dan versi terbaru dari ExploreZip. IDS dapat dimodifikasi sedemikian rupa untuk mengatasi masalah malicious code. Software antivirus selalu diperbaharui update oleh vendornya sehingga akan ada biaya tambahan untuk hal tersebut. Perkembangan dari teknologi malicious code perlunya dipertimbangkan untuk masalah e-mail security dari serangan terhadap mail server. IDS mampu mendeteksi e-mail secara simultan untuk menghindari serangan ke mail server. IDS dapat di atur untuk mendeteksi dan menghalangi e-mail bomb yang bisa melumpuhkan mail server.

2.11.3 Memonitor policy security : Security policy merupakan suatu aturan