BAB I
PENDAHULUAN
1.1 Latar Belakang
Seiring
dengan kemajuan teknologi komputer, kemampuan komputer semakin meningkat.
Sayangnya kelebihan ini juga digunakan untuk hal-hal yang bersifat merugikan,
akibatnya kerugian yang diderita akibat penyalahgunaan atau kejahatan
menggunakan komputer/jaringan komputer (cyber
crime) mencapai milyaran dollar setiap tahunnya. Serangan terhadap
komputer/jaringan di seluruh dunia seperti virus,
worms, spam dan DoS semakin meningkat baik dari segi kuantitas maupun
kualitas.
Penggunaan
alat perlindungan seperti antivirus, firewall dan Intrusion Detection Systems (IDS) sudah banyak digunakan oleh
pengguna pribadi ataupun perusahaan, akan tetapi para pelaku kejahatan juga
semakin cerdas dan canggih dalam melakukan kegiatannya. Dilain pihak,
ketidakmampuan untuk mengetahui dan menangani pelaku kejahatan secara cepat
menjadi titik lemah lainnya. Kebanyakan para administrator jaringan baru sadar
adanya serangan terhadap komputer/jaringannya
lama setelah kejadian berlangsung. Pada saat itu, bukti yang dibutuhkan untuk
melakukan percenggahan kerugian yang lebih banyak atau bahkan tuntutan hukum
bisa saja sudah lenyap atau dirubah oleh pelaku, sehingga banyak serangan yang
tidak diketahui oleh pengguna atau administrator jaringan.
Ketika suatu mekanisme keamanan
gagal menangani dan mengidentifikasi adanya serangan secara cepat, diperlukan suatu
pelengkap pada sistem keamanan yang dapat memonitor, menangkap dan menyimpan
bukti digital sehingga dapat diketahui bagaimana, kenapa dan kapan serangan
terjadi. Oleh karena itu diperlukan mekanisme forensik pada jaringan sehingga
bukti-bukti yang dibutuhkan untuk analisa lebih lanjut tidak hilang atau
berubah.
1.2
Pendekatan Keamanan Sistem
Dengan semakin meningkatnya
konektifitas jaringan komputer, ancaman dan serangan pada komputer atau
jaringan semakin meningkat. Oleh karena itu diperlukan suatu mekanisme keamanan
yang menjamin tingkat keamanan informasi dan jaringan. Pada saat ini banyak
organisasi melakukan tiga pendekatan terhadap keamanan suatu sistem/jaringan
komputer. Tiga pendekatan tersebut adalah :
- Avoidance : pendekatan dilakukan
dengan menggunakan mekanisme proteksi seperti firewall, VPN, enkripsi dan mekanisme autentikasi untuk
membatasi dan mengurangi akses oleh orang yang tidak berhak.
- Intrusion Detection : pendekatan dilakukan
dengan mendeteksi percobaan intrusi menggunakan audit file log dan IDS.
- Security Investigation : pendekatan dengan
mengumpulkan informasi yang diperlukan untuk melakukan investigasi dari
kerusakan ketika pelanggaran keamanan terjadi.
Keamanan jaringan dimulai dengan
menggunakan sistem proteksi yang dapat menangkal ancaman keamanan dan terakhir
dilengkapi dengan alat investigasi yang layak yang dapat membalikkan jaringan
ke keadaan yang aman ketika ancaman terhadap keamanan terjadi.
BAB II
FORENSIK JARINGAN
2.1
Definisi Forensik Jaringan
Forensik jaringan (network forensic) adalah suatu metode
menangkap, menyimpan dan menganalisa data penggunaan jaringan untuk menemukan
sumber dari pelanggaran keamanan sistem atau masalah keamanan informasi[Ranum
1997]. Fokus utama dari network forensic
adalah mengidentifikasi semua kemungkinan yang dapat menyebabkan pelanggaran
keamanan sistem dan membuat mekanisme pendeteksian dan pencegahan yang dapat
meminimalisir kerugian yang lebih banyak.
Administrator
jaringan tidak bisa seluruhnya bergantung pada IDS untuk menjaga jaringannya.
Administrator juga memerlukan proses investigasi dan alat audit untuk melakukan
investigasi kejadian secara lengkap dan memulihkan jaringan dari ancaman atau
serangan yang terjadi. Forensik jaringan memiliki kemampuan untuk merekontruksi
kejadian dengan menggunakan sistem yang menyimpan semua aktifitas lalu lintas
data pada jaringan, sehingga investigasi dapat dilakukan dengan melihat kembali
kejadian-kejadian yang telah terjadi dan melakukan analisa kejadian yang
terjadi di masa lalu. Berdasarkan kebutuhan diatas, maka suatu sistem forensik
jaringan setidaknya terdapat beberapa proses, yaitu :
- Monitoring dan koleksi data
: forensik jaringan pada dasarnya adalah audit terhadap penggunaan
jaringan, seperti traffik, bandwidth
dan isi data. Oleh karena itu setiap sistem network forensic diperlukan sistem monitoring dan penyimpanan
data yang bisa digunakan sebagai bukti digital.
- Analisa isi data : dari
semua data yang disimpan, tidak semuanya merupakan ancaman bagi keamanan
sistem, sehingga diperlukan analisa data yang dapat mendeteksi data mana
saja yang menggangu keamanan sistem. Hal ini juga berhubungan dengan
masalah privacy, dikarenakan data-data yang dianalisa bisa saja merupakan
data pribadi, sehingga diperlukan kebijakan khusus mengenai masalah ini.
- Source
traceback :
untuk pencegahan dari kemungkinan akan adanya serangan terhadap sistem
keamanan jaringan yang akan datang diperlukan metode untuk mengetahui
sumber dari serangan, sehingga dapat meminimalisir kejadian serupa di masa
yang akan datang.
2.2 Monitoring dan Koleksi data
Suatu sistem forensik jaringan
selalu dilengkapi kemampuan untuk memonitoring, menangkap dan menyimpan semua
data lalu lintas pada jaringan. Sistem yang terhubung ke jaringan internet
sangat potensial untuk diserang. Oleh karena itu diperlukan suatu mekanisme
untuk memonitoring dan mendeteksi serangan terhadap sistem/jaringan dengan
menggunakan IDS. IDS adalah alat yang dapat mengumpulkan informasi, menganalisa
informasi apakah ada aktifitas yang aneh pada jaringan dan melaporkan hasil
analisa dari proses deteksi.
Teknik deteksi intrusi dapat
dikategorikan menjadi dua. Pertama adalah berdasarkan signature-based detection. Signature-based
detection menggunakan contoh pola serangan yang telah diketahui/disimpan
sebelumnya untuk mengidentifikasi serangan. Yang kedua adalah deteksi anomali
yaitu dengan cara menentukan apakah deviasi dari pola penggunaan normal dapat
dikategorikan sebagai intrusi.
Sistem forensik jaringan juga
dilengkapi dengan unit penyimpanan data sehingga memungkinkan dilakukannya
proses analisa dan investigasi dari data yang dikoleksi sebelumnya apabila
terjadi ancaman atau serangan terhadap suatu sistem keamanan. Untuk mengkoleksi
data dari jaringan digunakan packet
sniffer. Prinsip kerja dari packet
sniffer adalah mengintersep setiap bagian dari data yang melewati jaringan
dan membuat salinan untuk dianalisa. Hal ini tentu saja memerlukan unit
penyimpanan yang tidak sedikit, seiring dengan semakin tingginya tingkat
penggunaan jaringan dan makin besar lalu lintas data pada jaringan, makin besar
pula penyimpanan yang dibutuhkan. Untungnya dengan semakin murahnya alat
penyimpanan data, maka makin murah pula suatu sistem forensik jaringan.
2.3
Analisa Data
Forensik jaringan memungkinkan
dilakukannya proses analisa dan investigasi data yang telah disimpan
sebelumnya. Ada beberapa sumber bukti potensial yang dapat digunakan untuk
forensik pada komputer dan jaringan. File adalah salah satu sumber bukti
potensial. Output dari aplikasi
seperti pengolah kata, spread sheets
dan lain-lain dapat menyimpan informasi
sejarah, chaces, backup ataupun log
aktifitas. Dilain pihak, log
aktifitas jaringan dapat menyimpan beberapa informasi yang sangat penting dalam
mengungkap terjadinya ancaman atau serangan terhadap jaringan. Aktifitas
jaringan yang tercatat dapat mengungkapkan tindakan kriminal dengan sangat
detail dibandingkan sumber lainnya. Oleh karena itu sistem log merupakan sumber vital dari bukti potensial.
Suatu perusahaan atau organisasi
sudah seharusnya menyimpan informasi tentang segala aktifitas jaringan seperti login computer dan layanan yang
menggunakan jaringan seperti remote
Telnet atau FTP. Hal ini sangat berguna dalam investigasi dikarenakan rekaman
tersebut dapat menyimpan berbagai informasi tentang aktifitas pengguna
tertentu, seperti tanggal dan waktu dari aktifitas tersebut. Informasi ini
sangat berhubungan dengan kejadian internal seperti email dan akses web ataupun
kejadian eksternal yang dapat menunjukan waktu terjadinya aktifitas tersebut(timeline). Timeline berfungsi sebagai acuan untuk menempatkan peristiwa yang
berbeda dalam suatu sistem dan menghubungkan ke suatu sangkaan, membuat suatu
alibi dan menentukan bukti-bukti yang tidak tersangkut dengan tindakan
kriminal. Dari analisa data paket-paket yang disimpan bisa didapatkan beberapa
informasi antara lain :
Ø
Informasi
tentang file yang ditransfer ke dan dari target
Ø
Perintah
yang diberikan pada target
Ø
Informasi
tentang terjadinya waktu aktifitas (timeline)
Ø
Output
yang dihasilkan dari perintah yang diberikan
Ø
Bukti
dari paket program scanning yang disembunyikan pada komputer jaringan lokal.
Tabel 2.1 Tipe peristiwa dan
informasi yang diperlukan
Tipe Kejadian
|
Peristiwa
|
Informasi yang diperlukan
|
Penggunaan
illegal dari sumber daya
|
Penggunaan illegal
sumber daya proses dan penyimpanan
|
Host : access
log, status proses, penggunaan CPU dan status dari file dan penyimpanan
|
Penggunaan
illegal bandwidth jaringan
|
Network : status
jaringan, jumlah paket yang dikirim dan diterima, alamat IP, protokol used
dan status dari port switch
|
Relay illegal
dari layanan mail dan proxy
|
Host : log aplikasi dan status proses
Network : alamat
IP, protokol yang digunakan dan isi data
|
DoS (Denial of
Service)
|
Terhentinya
layanan karena penggunaan resource server
|
Host : status proses, penggunaan CPU dan paket log
yang tidak umum
Network : status
jaringan, jumlah paket yang tidak biasa, alamat IP dan isi paket yang tidak
biasa
|
Terhentinya
komunikasi karena penggunaan resource bandwidth jaringan
|
Network : jumlah
paket yang dikirim dan diterima, alamat IP, protokol used dan isi data
|
Detruksi
data dan pemalsuan
|
Pemalsuan
halaman web, file data dan file program
|
Host : log
akses, status file dan penyimpanan dan isi konfigurasi file
Network : alamat
IP, protokol used, isi data dan status port switch
|
Pencurian informasi
|
Pencurian isi
informasi yang rahasia dan intersepsi komunikasi
|
Host : log akses
dan status file dan penyimpanan
Network : alamat
IP, protokol used, isi data dan status port switch
|
Tipe informasi yang disimpan pada
log tergantung dari aplikasi yang
digunakan oleh user dan pada konfigurasi sistem. Tabel 2.1
memperlihatkan hubungan antara serangan atau ancaman yang terjadi dengan
informasi yang dibutuhkan untuk menganalisa peristiwa tersebut.
2.4
Source Traceback
Proses analisa data dapat
mengungkapkan kapan dan bagaimana terjadinya suatu peristiwa serangan atau
ancaman terhadap jaringan, dengan begitu seorang administrator atau penyidik
dapat mengambil langkah-langkah antisipasi dan perbaikan sistem keamanan
jaringan agar proses pemulihan keamanan dapat berlangsung dengan benar dan
cepat serta untuk langkah pencegahan dari ancaman atau serangan yang akan
datang sehingga dapat meminimalisasi kerugian yang derita. Untuk itu diperlukan
suatu solusi agar dapat diambil suatu langkah pencegahan terhadap peristiwa
yang sama, salah satunya adalah dengan mengetahui sumber dari penyebab
terjadinya penyalahgunaan atau gangguan sistem keamanan jaringan. Traceback digunakan sebagai solusi dari
permasalahan ganggunan keamanan sistem seperti DoS. Ada dua macam pendekatan tracing pada jaringan. Pertama adalah IP traceback dan kedua adalah traceback
across stepping-stones (connection
chain).
Untuk memahami metode tracing diperlukan pengetahuan dasar
tentang teknologi routing. Routing adalah suatu proses memindahkan
informasi antar jaringan dari sumber ke tujuan. Routing melibatkan dua aktifitas dasar yaitu menentukan jalur
optimal routing dan melewatkan paket
antar jaringan. Protokol seperti Border Gateway
Protocol (BGP) dan Routing
information Protocol (RIP) menggunakan metrik untuk mengevaluasi jalur
terbaik untuk paket. Berikut ini beberapa metrik yang digunakan pada proses
penentuan jalur oleh suatu protokol routing
:
Ø
Panjang
jalur : jumlah hop yang harus dilalui
paket dari sumber ke tujuan.
Ø
Biaya
komunikasi.
Ø
Delay : waktu yang diperlukan untuk
memindahkan paket dari sumber ke tujuan.
Ø
Bandwidth : besarnya lalu lintas data yang
dapat lewat melalui sebuah jalur.
Ø
Load : tingkat penggunaan sumber daya
jaringan.
Ø
Reabilitas
: tingkat keandalan suatu jaringan seperti berapa sering link putus atau berapa lama link
yang putus tersebut dapat diperbaiki.
Dengan traceback diharapkan dapat ditentukan jalur dari intrusi atau bahkan menemukan sumber awal dari serangan
untuk digunakan sebagai langkah awal dari tindakan hukum. Ada beberapa metode traceback yang telah dikembangkan untuk
melacak sumber dari serangan.
2.4.1
ICMP Traceback
Pada ICMP traceback (iTrace), pesan traceback
dibawa pada paket ICMP, nilai dari bagian ini ditentukan oleh IANA (Internet
Assigned Numbers Authority). Bagian CODE diset dengan nilai 0 dan tidak
diproses oleh penerima
Gambar 2.1 Pesan ICMP Traceback
Bagian tubuh dari pesan ICMP
Traceback terdiri atas elemen individual menggunakan skema TAG-LENGTH-VALUE
(TLV).
Gambar 2.2 Bagian tubuh pesan
ICMP Traceback
Bagian TAG adalah oktet tunggal,
dengan nilai-nilai sebagai berikut: Back
Link, Forward Link, Timestamp, Traced Packet Contents, Probability, RouterId,
HMAC Authentication Data dan Key
Disclosure List. Fungsi Forward
dan Back Link adalah mempermudah
pembentukan rantai dari pesan traceback.
Padanya terdapat informasi identifikasi dan nilai dari bagian ini terdiri dari
tiga TLV subelemen : Interface Identifier,
IPv4 Address Pair dan MAC Address Pair atau Operator-Defined Link Identifier. Agar pesan tidak dapat dipalsukan maka
diperlukan HMAC Authentication Data.
Pada Key Disclosure List terdapat
kunci hash algorithms. Elemen ini harus terdiri setidaknya satu Key Disclosure subelemen dan satu Public Key Information subelemen. Isi
utama dari Key Disclosure elemen
adalah kunci untuk autentikasi pesan traceback
sebelumnya dan waktu mulai dan berakhirnya ketika kunci tersebut digunakan.
Pada Key Disclosure elemen juga
terdapat digital signature. Gambar
2.3 berikut ini memperlihatkan skema ICMP Traceback.
Gambar 2.3 ICMP Traceback
2.4.2
Intention-Driven ICMP Traceback
Intention-Driven
ICMP Traceback
(I-D iTrace) menambahkan bit tambahan pada routing
dan proses forwarding yang dapat
meningkatkan performance iTrace sebelumnya. I-D iTrace memisahkah fungsi dari
iTrace menjadi dua modul, yaitu decision
module dan iTrace generation module.
Decision
module akan
menentukan tipe pesan iTrace yang harus dihasilkan. Berdasarkan keputusan ini,
satu bit khusus pada tabel packet-forwarding akan diset menjadi 1 dan paket
data berikutnya yang menggunakan masukan forwarding
akan dipilih sebagai pesan iTrace. Pesan ini kemudian akan diproses oleh iTrace
generation module dan pesan iTrace baru akan dikirim.
2.4.3
IP Traceback
IP traceback menggunakan pendekatan mekanisme berdasarkan probabilistic packet marking (PPM). Pada
PPM setiap router secara probabilitas mendaftarkan informasi tentang jalur
lokal ke paket yang melaluinya sehingga node tujuan dapat merekonstruksi jalur
lengkap yang dilewati oleh paket dengan memeriksa tanda-tanda pada paket yang
diterima.
Ketika suatu router memutuskan
menandai sebuah paket dengan probabilitas p,
router akan menuliskan informasi pada bagian penanda, akibatnya tanda yang
dibuat oleh upstream router akan
terhapus. Agar PPM dapat bekerja, maka nilai p<1 .="" algoritma="" bahkan="" bantuan="" berakhir.="" bisa="" dapat="" dari="" diimplementasikan="" dilakukan="" hal="" i="" jaringan="" korban="" lokasi="" luar.="" memerlukan="" menentukan="" menghasilkan="" mengijinkan="" operator="" penanda="" perkiraan="" ppm="" serangan="" setelah="" style="mso-bidi-font-style: normal;" sumber="" tanpa="" tersebut="" untuk="">overhead
yang signifikan pada router jaringan. Algoritma penanda memiliki dua komponen,
yaitu prosedur penanda yang dilakukan oleh router pada network dan prosedur
rekonstruksi jalur yang diimplementasikan oleh korban. Skema dari IP Traceback
dapat dilihat pada gambar 2.4 berikut ini.
Gambar 2.4 IP Traceback
2.4.4
Center Track
Center
Track adalah
jaringan overlay terdiri atas IP tunnel yang digunakan secara selektif
merouting kembali datagram langsung dari tepi router terluar ke routertracking
khusus. IP tunnel dapat dibuat pada
jaringan IP yang tersedia. Router tracking dapat menentukan tepi router ingress dengan meneliti pada tunnel mana datagram tiba. Router tepi,
harus dapat melakukan input debugging.
Input debugging adalah kelengkapan
diagnosa yang akan memperlihatkan hop
sebelumnya ketika serangan datang dari atau melalui hop tersebut. Routing
dinamis yang dibuat menyebabkan hanya lalu lintas yang menuju korban saja yang
di routing melalui jaringan overlay. Tracking dilakukan dimulai pada router
terdekat dengan korban, lalu dilakukan dengan hop-by-hop.
Gambar 2.5 Contoh Center Track
2.4.5
Sleepy Watermark Tracing
Sleepy
Watermark Tracing
(SWT) dikembangkan untuk melakukan traceback
menggunakan prinsip hubungan rantai. Metode ini dapat digunakan untuk melacak
serangan ketika penyerang menggunakan komputer yang dikendalikan secara remote sebagai mesin budak.
Arsitektur SWT terdiri dari dua
bagian, yaitu SWT guarded host dan SWT guarded gateway. IDS dan aplikasi watermark-enable pada SWT guarded host digunakan sebagai
komponen pendukung. IDS berfungsi sebagai inisiator dari SWT tracing. IDS berinteraksi dengan SWT subsistem melalui SWT guarded host dan mentriger watermark tracing ketika instrusi
terdeteksi.
Gambar 2.6 Guadian gateway dan
Guardian host
Inti dari SWT terdiri dari tiga
komponen interaktif, yaitu Sleepy
Instrusion Response (SIR), Watermark
Correlation (WMC) dan Active Tracing
(AT). SIR menerima permintaan dari IDS, kemudian mengkoordinasikan active tracing dan menyimpan track informasi tracing dari instrusi. WMC menghubungkan incoming dan outgoing
koneksi melalui watermark. AT
mengkoordinasi beberapa bagian dalam jaringan untuk kolaborasi trace dari jalur
incoming dan sumber dari
instrusi. Gambar 2.7 memperlihatkan
hubungan antara ketiga komponen tersebut.
Gambar 2.7 Arsitektur SWT
Secara default, sistem SWT tidak
aktif. Ketika IDS mendeteksi intrusi, IDS akan mentriger SWT tracing dengan cara menotifikasi SIR memakai informasi koneksi.
Berdasarkan permintaan dari IDS, SIR pertama kali akan mengaktifkan koneksi
intrusi untuk periode waktu tertentu. Kemudian SIR akan mentriger active tracing pada guardian gateway dengan mengirimkan notifikasi trace. Akhirnya, SIR
menotifkasi aplikasi WM enabled untuk
menginjeksi watermark yang diminta.
SIR juga menyimpan jejak dari informasi tracing
intrusi dengan mengembalikannya ke SWT
guardian gateway, dan apabila IDS meminta informasi tersebut, SIR akan
menyediakan informasi yang dibutuhkan.
Jika pada periode waktu tertentu
tidak ada informasi trace yang
dikembalikan ke SWT guardian gateway
atau tidak ada notifikasi lanjutan dari IDS, maka komponen respon intrusi akan
kembali tidak aktif. Injeksi watermark
hanya akan terjadi apabila ada intrusi yang terdeteksi dan hanya aplikasi
jaringan intruder yang akan menerima respon watermark.
2.5
Tantangan Forensik Jaringan
Walaupun dalam teori suatu sistem
forensik jaringan mudah diimplementasikan, pada prakteknya banyak
hambatan-hambatan dalam membangun sebuah sistem forensik jaringan. Setidaknya
ada dua macam hambatan dalam membangun sistem forensik jaringan yaitu teknis
dan sosial-ekonomi.
2.5.1
Tantangan Teknis Forensik Jaringan
- Data Collection : Suatu sistem forensik
jaringan selain memiliki fungsi untuk memonitor aktifitas jaringan juga
harus dapat mengumpulkan semua data yang melewati jaringan. Data yang
dikumpulkan dan disimpan bisa saja digunakan untuk melakukan investigasi
apabila ada serangan atau ancaman, dan hasil investigasi tersebut dapat
juga dijadikan sebagai bukti digital apabila nantinya akan dilakukan
langkah-langkah hukum akibat dari implikasi serangan atau ancaman terhadap
jaringan. Selain itu akan juga timbul masalah dengan semakin meningkatnya
lalu lintas data pada jaringan, akibatnya diperlukan suatu sistem
penyimpanan data yang dapat menampung data apabila hal tersebut terjadi.
- Data Retention : Data yang dikumpulkan
kemungkinan harus dapat dipelihara atau disimpan dalam jangka waktu yang cukup
lama. Hal ini tentu saja berpengaruh pada besarnya data yang dapat
ditampung oleh sistem forensik jaringan. Oleh karena itu diperlukan suatu
manajemen data yang dapat mengurangi jumlah data yang disimpan tanpa harus
kehilangan informasi forensik yang berharga.
- Data Retrieval : Selama perlakuan
investigasi atau analisa sistem harus dapat menentukan lokasi dari data
yang dibutuhkan dalam wide area network. Seperti disebutkan sebelumnya
data yang disimpan dalam sistem forensik bisa sangat besar jumlahnya. Oleh
karena itu diperlukan protokol yang dapat menentukan lokasi data yang
diperlukan dengan cepat.
2.5.2
Tantangan Sosial-Ekonomi Forensik Jaringan
1. Privacy : Pengawasan jaringan dengan user privacy akan selalu bertolak
belakang. Hal ini disebabkan pada sistem forensik diperlukan pemeriksaan secara
keseluruhan dari sebuah sistem yang dapat membuat user tidak nyaman. Simon Garfinkel memperkenalkan pendekatan “stop, look and listen” sebagai salah
satu solusi data kolektif agar
privacyuser tetap dapat terjaga. Pendekatan ini pertama kali dikemukakan
oleh Ranum pada awal tahun 90-an. Solusi lainnya adalah dengan menyelidiki
semua lalu lintas data, tetapi hanya menyimpan informasi yang diperlukan untuk
forensik saja. Hal ini dimungkinkan karena kecepatan proses komputer saat ini
lebih cepat dibandingkan kecepatan menyimpan data. Dengan begitu, penyimpanan
informasi yang bersifat sangat pribadi dan kurang berharga bagi sistem forensik
dapat dikurangi.
- Ekonomi
: Pengembangan dari sistem forensik juga tergantung pada keuntungan dari
penyedia jasa. Hal ini akan sangat mempengaruhi harga dari sebuah sistem
forensik. Sistem forensik juga sangat berguna dalam mengurangi tingkat
ancaman dan serangan kepada jaringan organisasi atau perusahaan, sehingga
dapat mengurangi kerugian yang diderita akibat dari ancaman tersebut.
2.6
Perkembangan Sistem Forensik Jaringan
Saat ini ada beberapa sistem
forensik jaringan yang dikembangkan baik untuk tujuan komersial maupun
akademis. NIKSUN’s NetVCR dan NetIntercept adalah beberapa sistem komersial
yang dijual dipasaran dan cukup banyak dipakai diperusahaan-perusahaan saat
ini. Sedangkan untuk tujuan penelitian, sistem forensik seperti Honeytraps dan
ForNet dikembangkan dengan metodelogi-metodelogi masing-masing. Dengan kata
lain saat ini belum ada standart bagi suatu sistem forensik jaringan. Oleh
karena itu juga diperlukan suatu usaha untuk membuat standarisasi sistem
forensik jaringan.
2.7
Tools untuk Network Forensik
Tools network forensik adalah
aplikasi yang digunakan untuk oleh ahli forensik yang digunakan untuk melakukan
hal-hal yang berhubungan dengan forensik seperti melakukan pemantauan dan audit
pada jaringan. Tool kit untuk pengujian forensik memungkinkan untuk
mengumpulkan dan analisis data seperti E-Detective, NetFlow v5/9, NetCat,
NetDetector, TCPdump, Wireshark/Ethereal, Argus, NFR, tcpwrapper, sniffer,
nstat, dan tripwire.
Dibawah ini beberapa penjelasan
tools network forensik yang berbasis GUI :
1. Wireshark/ethereal
Merupakan penganalisis dan
monitoring network yang populer. Fitur-fitur pada wireshark yaitu:
·
Dapat
memerika ratusan protokol secara mendalam
·
Dapat
menangkap langsung dan dianalisis secara offline
·
Multi
platform, dapat dijalankan pada windows, linux, Mac OS X, Solaris, FreeBSD,
NetBSD, dan lain-lain.
·
Data
jaringan yang telah ditangkap dapat ditampilkan melalui GUI atau melalui TTY-mode pada utilitas Tshark.
·
Dapat
memfilter tampilan dengan banyak pilihan filter.
·
Dapat
membaca dan menyimpan format yang berbeda.
2. NetCat
Merupakan sebuah utiliti tool
yang digunakan untuk berbagai hal yang berkaitan dengan protokol TCP atau UDP.
Yang dapat membuka koneksi TCP, mengirimkan paketpaket UDP, listen pada port port
TCP dan UDP, melakukan scanning port, dan sesuai dengan IPV4 dan IPV6. Biasanya
netcat ini digunakan oleh para hacker atau peretas untuk melakukan connect back
pada sistem target agar hacker mendapatkan akses root melalui port yg telah di
tentukan oleh hacker tersebut.
3. E-Detective
Adalah sebuah sistem yang
melakukan proses intersepsi internet secara real-time, monitoring, dan sistem
forensik yang menangkap, membaca kode ( dengan menguraikan isi sandi / kode ),
dan memulihkan kembali beberapa tipe-tipe lalu lintas internet. Sistem ini
biasanya digunakan pada perusahan internet dan memantau tingkah laku, audit,
penyimpanan record, analisis forensik, dan investigasi yang sama baiknya dengan
hukum, serta intersepsi yang sah menurut hukum untuk penyenggaraan badan usaha
yang sah menurut hukum seperti Kepolisian Intelijen, Kemiliteran Intelijen,
Departemen Cyber Security, Agen Keamanan Nasional, Departemen Investigasi
Kriminal, Agen Pembasmian Terorisme, dan lainnya. E-Detective mampu untuk
membaca kode ( dengan menguraikan isi sandi / kode ), reassembly, dan memulihkan
kembali berbagai jenis Aplikasi-Aplikasi Internet dan servis-servis misalnya
Email (POP3, IMAP dan SMTP), Webmail (Yahoo Mail, Windows Live Hotmail, Gmail),
Instant Messaging (Yahoo, MSN, ICQ, QQ, Google Talk, IRC, UT Chat Room, Skype),
File Transfer (FTP, P2P), Online Games, Telnet, HTTP (Link, Content,
Reconstruct, Upload dan Download, Video Streaming), VOIP (modul opsional), dan
lain-lainnya.
BAB III
KESIMPULAN
1. Sistem keamanan komputer menggunakan
firewall dan IDS saat ini sudah tidak memadai lagi, sehingga diperlukan
kemampuan forensik pada implementasi sistem keamanan jaringan.
2. Akan ada tradeoff antara sistem
forensik dengan privacy oleh karena itu diperlukan suatu kebijakan mengenai sistem
forensik yang akan dipakai oleh suatu perusahaan atau organisasi.
3. Sistem forensik yang ada saat ini
memakai metodelogi pendekatan dan pembangunan sistem yang berbeda-beda sehingga
perlu adanya usaha standarisasi dalam sistem forensik jaringan.
DAFTAR PUSTAKA
1. H. Debar, M. Dacier, and A.
Wepsi. A revised taxonomy for intrusion-detection systems. IBM Research Report,
1999.
- Chet
Hosmer, "Time_Lining Computer Evidence," 1998 IEEE Information
Technology Conference, Information Environment For The Future, 1998.
- Takemi Nisase,and
Mitsutaka. Network Forensic Technologies Utilizing Communication
Information, Vol. 2 No. 8 Aug. 2004
- CISCO, Routing
Basics
- ICMP Traceback
Messages, Internet Draft, October 2001
( November 2001)
- Katarina Jozig. Tracing
Back DDoS Attack. Master Thesis, University of Stockholm-Royal
Institute of Technology. April 2002.
- On
Design and Evaluation of “Intention-Driven” ICMP Traceback, by Mankin,
Massey, Wu, Zhang.
- CenterTrack:
An IP Overlay Network for Tracking DoS Floods, By Robert Stone, UUNET,
1999
- Sleepy
Watermark Tracing: An Active Network-Based Intrusion Response Framework,
by Wang, Reeves, Wu, North CarolinaStateUniversity, March 2001
- K. Shanmugasundaram, N. Memon, A. Savant, and
H. Bronnimann. Fornet: A distributed forensics system. The Second
International Workshop on Mathematical Methods, Models and Architectures
for Computer Networks Security, May 2003.
- Simson Garfinkel, Web Security, Privacy &
Commerce, 2nd Edition.
- Marcus Ranum, Network Flight Recorder.
http://www.ranum.com/
- Alec
Yasinsac and Yanet Manzano. Honeytraps,
A Network Forensic Tool. Proceedings
of The 6th World Multiconference on Systemics, Cybernetics and Informatics
(SCI 2002), Orlando, Fl, July 2002
- Suryani Alifah. Ekstrasi Ciri Signifikan Pada
Analisa Forensik Jaringan Menggunakan Teknik Intellegensia Buatan. Tugas
Mata Kuliah Keamanan Sistem Lanjut. Institut Teknologi Bandung, 2004
Baca selengkapnya Random title
