1. Analisa Data
Forensik jaringan
memungkinkan dilakukannya proses analisa dan investigasi data yang telah
disimpan sebelumnya. Ada beberapa sumber bukti potensial yang dapat digunakan
untuk forensik pada komputer dan jaringan. File adalah salah satu sumber bukti
potensial. Output dari aplikasi
seperti pengolah kata, spread sheets
dan lain-lain dapat menyimpan informasi
sejarah, chaces, backup ataupun log
aktifitas. Dilain pihak, log
aktifitas jaringan dapat menyimpan beberapa informasi yang sangat penting dalam
mengungkap terjadinya ancaman atau serangan terhadap jaringan. Aktifitas
jaringan yang tercatat dapat mengungkapkan tindakan kriminal dengan sangat
detail dibandingkan sumber lainnya. Oleh karena itu sistem log merupakan sumber vital dari bukti potensial.
Suatu perusahaan atau
organisasi sudah seharusnya menyimpan informasi tentang segala aktifitas
jaringan seperti login computer dan
layanan yang menggunakan jaringan seperti remote
Telnet atau FTP. Hal ini sangat berguna dalam investigasi dikarenakan rekaman
tersebut dapat menyimpan berbagai informasi tentang aktifitas pengguna
tertentu, seperti tanggal dan waktu dari aktifitas tersebut. Informasi ini
sangat berhubungan dengan kejadian internal seperti email dan akses web ataupun
kejadian eksternal yang dapat menunjukan waktu terjadinya aktifitas tersebut(timeline)[2]. Timeline berfungsi sebagai acuan untuk menempatkan peristiwa yang
berbeda dalam suatu sistem dan menghubungkan ke suatu sangkaan, membuat suatu
alibi dan menentukan bukti-bukti yang tidak tersangkut dengan tindakan
kriminal. Dari analisa data paket-paket yang disimpan bisa didapatkan beberapa
informasi antara lain :
Ø Informasi tentang file
yang ditransfer ke dan dari target
Ø Perintah yang diberikan
pada target
Ø Informasi tentang
terjadinya waktu aktifitas (timeline)
Ø Output yang dihasilkan
dari perintah yang diberikan
Ø Bukti dari paket
program scanning yang disembunyikan pada komputer jaringan lokal.
Tabel 2.1 Tipe
peristiwa dan informasi yang diperlukan[3]
Tipe Kejadian
|
Peristiwa
|
Informasi yang diperlukan
|
Penggunaan illegal
dari sumber daya
|
Penggunaan illegal
sumber daya proses dan penyimpanan
|
Host : access log,
status proses, penggunaan CPU dan status dari file dan penyimpanan
|
Penggunaan illegal
bandwidth jaringan
|
Network : status
jaringan, jumlah paket yang dikirim dan diterima, alamat IP, protokol used
dan status dari port switch
|
|
Relay illegal dari
layanan mail dan proxy
|
Host : log aplikasi dan status proses
Network : alamat IP,
protokol yang digunakan dan isi data
|
|
DoS (Denial of
Service)
|
Terhentinya layanan
karena penggunaan resource server
|
Host : status proses, penggunaan CPU dan paket log
yang tidak umum
Network : status
jaringan, jumlah paket yang tidak biasa, alamat IP dan isi paket yang tidak
biasa
|
Terhentinya
komunikasi karena penggunaan resource bandwidth jaringan
|
Network : jumlah
paket yang dikirim dan diterima, alamat IP, protokol used dan isi data
|
|
Detruksi data dan pemalsuan
|
Pemalsuan halaman
web, file data dan file program
|
Host : log akses,
status file dan penyimpanan dan isi konfigurasi file
Network : alamat IP,
protokol used, isi data dan status port switch
|
Pencurian informasi
|
Pencurian isi
informasi yang rahasia dan intersepsi komunikasi
|
Host : log akses dan
status file dan penyimpanan
Network : alamat IP,
protokol used, isi data dan status port switch
|
Tipe informasi yang
disimpan pada log tergantung dari
aplikasi yang digunakan oleh user dan pada konfigurasi sistem. Tabel 2.1
memperlihatkan hubungan antara serangan atau ancaman yang terjadi dengan
informasi yang dibutuhkan untuk menganalisa peristiwa tersebut.
2. Monitoring dan Koleksi data
Suatu sistem forensik
jaringan selalu dilengkapi kemampuan untuk memonitoring, menangkap dan
menyimpan semua data lalu lintas pada jaringan. Sistem yang terhubung ke
jaringan internet sangat potensial untuk diserang. Oleh karena itu diperlukan
suatu mekanisme untuk memonitoring dan mendeteksi serangan terhadap
sistem/jaringan dengan menggunakan IDS. IDS adalah alat yang dapat mengumpulkan
informasi, menganalisa informasi apakah ada aktifitas yang aneh pada jaringan
dan melaporkan hasil analisa dari proses deteksi[1].
Teknik deteksi intrusi
dapat dikategorikan menjadi dua. Pertama adalah berdasarkan signature-based detection. Signature-based detection menggunakan
contoh pola serangan yang telah diketahui/disimpan sebelumnya untuk
mengidentifikasi serangan. Yang kedua adalah deteksi anomali yaitu dengan cara
menentukan apakah deviasi dari pola penggunaan normal dapat dikategorikan sebagai
intrusi.
Sistem forensik
jaringan juga dilengkapi dengan unit penyimpanan data sehingga memungkinkan
dilakukannya proses analisa dan investigasi dari data yang dikoleksi sebelumnya
apabila terjadi ancaman atau serangan terhadap suatu sistem keamanan. Untuk
mengkoleksi data dari jaringan digunakan packet
sniffer. Prinsip kerja dari packet
sniffer adalah mengintersep setiap bagian dari data yang melewati jaringan
dan membuat salinan untuk dianalisa. Hal ini tentu saja memerlukan unit
penyimpanan yang tidak sedikit, seiring dengan semakin tingginya tingkat
penggunaan jaringan dan makin besar lalu lintas data pada jaringan, makin besar
pula penyimpanan yang dibutuhkan. Untungnya dengan semakin murahnya alat
penyimpanan data, maka makin murah pula suatu sistem forensik jaringan.
0 komentar:
Posting Komentar