3.
Analisa Data
Forensik jaringan memungkinkan
dilakukannya proses analisa dan investigasi data yang telah disimpan
sebelumnya. Ada beberapa sumber bukti potensial yang dapat digunakan untuk
forensik pada komputer dan jaringan. File adalah salah satu sumber bukti
potensial. Output dari aplikasi
seperti pengolah kata, spread sheets
dan lain-lain dapat menyimpan informasi
sejarah, chaces, backup ataupun log
aktifitas. Dilain pihak, log
aktifitas jaringan dapat menyimpan beberapa informasi yang sangat penting dalam
mengungkap terjadinya ancaman atau serangan terhadap jaringan. Aktifitas
jaringan yang tercatat dapat mengungkapkan tindakan kriminal dengan sangat
detail dibandingkan sumber lainnya. Oleh karena itu sistem log merupakan sumber vital dari bukti potensial.
Suatu perusahaan atau organisasi
sudah seharusnya menyimpan informasi tentang segala aktifitas jaringan seperti login computer dan layanan yang
menggunakan jaringan seperti remote
Telnet atau FTP. Hal ini sangat berguna dalam investigasi dikarenakan rekaman
tersebut dapat menyimpan berbagai informasi tentang aktifitas pengguna
tertentu, seperti tanggal dan waktu dari aktifitas tersebut. Informasi ini
sangat berhubungan dengan kejadian internal seperti email dan akses web ataupun
kejadian eksternal yang dapat menunjukan waktu terjadinya aktifitas tersebut(timeline)[2]. Timeline berfungsi sebagai acuan untuk menempatkan peristiwa yang
berbeda dalam suatu sistem dan menghubungkan ke suatu sangkaan, membuat suatu
alibi dan menentukan bukti-bukti yang tidak tersangkut dengan tindakan
kriminal. Dari analisa data paket-paket yang disimpan bisa didapatkan beberapa
informasi antara lain :
Ø Informasi tentang file yang
ditransfer ke dan dari target
Ø Perintah yang diberikan pada target
Ø Informasi tentang terjadinya waktu
aktifitas (timeline)
Ø Output yang dihasilkan dari perintah
yang diberikan
Ø Bukti dari paket program scanning
yang disembunyikan pada komputer jaringan lokal.
Tabel 2.1 Tipe peristiwa dan
informasi yang diperlukan[3]
|
Tipe Kejadian
|
Peristiwa
|
Informasi yang diperlukan
|
|
Penggunaan illegal dari sumber daya
|
Penggunaan illegal sumber daya
proses dan penyimpanan
|
Host : access log, status proses,
penggunaan CPU dan status dari file dan penyimpanan
|
|
Penggunaan illegal bandwidth
jaringan
|
Network : status jaringan, jumlah
paket yang dikirim dan diterima, alamat IP, protokol used dan status dari
port switch
|
|
|
Relay illegal dari layanan mail
dan proxy
|
Host : log aplikasi dan status proses
Network : alamat IP, protokol yang
digunakan dan isi data
|
|
|
DoS (Denial of Service)
|
Terhentinya layanan karena
penggunaan resource server
|
Host : status proses, penggunaan CPU dan paket log
yang tidak umum
Network : status jaringan, jumlah
paket yang tidak biasa, alamat IP dan isi paket yang tidak biasa
|
|
Terhentinya komunikasi karena
penggunaan resource bandwidth jaringan
|
Network : jumlah paket yang
dikirim dan diterima, alamat IP, protokol used dan isi data
|
|
|
Detruksi
data dan pemalsuan
|
Pemalsuan halaman web, file data
dan file program
|
Host : log akses, status file dan
penyimpanan dan isi konfigurasi file
Network : alamat IP, protokol
used, isi data dan status port switch
|
|
Pencurian informasi
|
Pencurian isi informasi yang
rahasia dan intersepsi komunikasi
|
Host : log akses dan status file
dan penyimpanan
Network : alamat IP, protokol
used, isi data dan status port switch
|
Tipe informasi yang disimpan pada log tergantung dari aplikasi yang
digunakan oleh user dan pada konfigurasi sistem. Tabel 2.1
memperlihatkan hubungan antara serangan atau ancaman yang terjadi dengan
informasi yang dibutuhkan untuk menganalisa peristiwa tersebut.
4. Monitoring
dan Koleksi data
Suatu sistem forensik jaringan
selalu dilengkapi kemampuan untuk memonitoring, menangkap dan menyimpan semua
data lalu lintas pada jaringan. Sistem yang terhubung ke jaringan internet
sangat potensial untuk diserang. Oleh karena itu diperlukan suatu mekanisme
untuk memonitoring dan mendeteksi serangan terhadap sistem/jaringan dengan
menggunakan IDS. IDS adalah alat yang dapat mengumpulkan informasi, menganalisa
informasi apakah ada aktifitas yang aneh pada jaringan dan melaporkan hasil
analisa dari proses deteksi[1].
Teknik deteksi intrusi dapat
dikategorikan menjadi dua. Pertama adalah berdasarkan signature-based detection. Signature-based
detection menggunakan contoh pola serangan yang telah diketahui/disimpan
sebelumnya untuk mengidentifikasi serangan. Yang kedua adalah deteksi anomali
yaitu dengan cara menentukan apakah deviasi dari pola penggunaan normal dapat
dikategorikan sebagai intrusi.
Sistem forensik jaringan juga
dilengkapi dengan unit penyimpanan data sehingga memungkinkan dilakukannya
proses analisa dan investigasi dari data yang dikoleksi sebelumnya apabila
terjadi ancaman atau serangan terhadap suatu sistem keamanan. Untuk mengkoleksi
data dari jaringan digunakan packet
sniffer. Prinsip kerja dari packet
sniffer adalah mengintersep setiap bagian dari data yang melewati jaringan
dan membuat salinan untuk dianalisa. Hal ini tentu saja memerlukan unit
penyimpanan yang tidak sedikit, seiring dengan semakin tingginya tingkat
penggunaan jaringan dan makin besar lalu lintas data pada jaringan, makin besar
pula penyimpanan yang dibutuhkan. Untungnya dengan semakin murahnya alat
penyimpanan data, maka makin murah pula suatu sistem forensik jaringan.
0 komentar:
Posting Komentar