taman

taman

Minggu, 16 November 2014

NETWORK FORENSIK



BAB I
PENDAHULUAN

1.1 Latar Belakang
Seiring dengan kemajuan teknologi komputer, kemampuan komputer semakin meningkat. Sayangnya kelebihan ini juga digunakan untuk hal-hal yang bersifat merugikan, akibatnya kerugian yang diderita akibat penyalahgunaan atau kejahatan menggunakan komputer/jaringan komputer (cyber crime) mencapai milyaran dollar setiap tahunnya. Serangan terhadap komputer/jaringan di seluruh dunia seperti virus, worms, spam dan DoS semakin meningkat baik dari segi kuantitas maupun kualitas.

Penggunaan alat perlindungan seperti antivirus, firewall dan Intrusion Detection Systems (IDS) sudah banyak digunakan oleh pengguna pribadi ataupun perusahaan, akan tetapi para pelaku kejahatan juga semakin cerdas dan canggih dalam melakukan kegiatannya. Dilain pihak, ketidakmampuan untuk mengetahui dan menangani pelaku kejahatan secara cepat menjadi titik lemah lainnya. Kebanyakan para administrator jaringan baru sadar adanya serangan terhadap komputer/jaringannya lama setelah kejadian berlangsung. Pada saat itu, bukti yang dibutuhkan untuk melakukan percenggahan kerugian yang lebih banyak atau bahkan tuntutan hukum bisa saja sudah lenyap atau dirubah oleh pelaku, sehingga banyak serangan yang tidak diketahui oleh pengguna atau administrator jaringan.

Ketika suatu mekanisme keamanan gagal menangani dan mengidentifikasi adanya serangan secara cepat, diperlukan suatu pelengkap pada sistem keamanan yang dapat memonitor, menangkap dan menyimpan bukti digital sehingga dapat diketahui bagaimana, kenapa dan kapan serangan terjadi. Oleh karena itu diperlukan mekanisme forensik pada jaringan sehingga bukti-bukti yang dibutuhkan untuk analisa lebih lanjut tidak hilang atau berubah.


1.2 Pendekatan Keamanan Sistem
Dengan semakin meningkatnya konektifitas jaringan komputer, ancaman dan serangan pada komputer atau jaringan semakin meningkat. Oleh karena itu diperlukan suatu mekanisme keamanan yang menjamin tingkat keamanan informasi dan jaringan. Pada saat ini banyak organisasi melakukan tiga pendekatan terhadap keamanan suatu sistem/jaringan komputer. Tiga pendekatan tersebut adalah :
  1. Avoidance : pendekatan dilakukan dengan menggunakan mekanisme proteksi seperti firewall, VPN, enkripsi dan mekanisme autentikasi untuk membatasi dan mengurangi akses oleh orang yang tidak berhak.
  2. Intrusion Detection : pendekatan dilakukan dengan mendeteksi percobaan intrusi menggunakan audit file log dan IDS.
  3. Security Investigation : pendekatan dengan mengumpulkan informasi yang diperlukan untuk melakukan investigasi dari kerusakan ketika pelanggaran keamanan terjadi.

Keamanan jaringan dimulai dengan menggunakan sistem proteksi yang dapat menangkal ancaman keamanan dan terakhir dilengkapi dengan alat investigasi yang layak yang dapat membalikkan jaringan ke keadaan yang aman ketika ancaman terhadap keamanan terjadi.


     BAB II
FORENSIK JARINGAN

2.1 Definisi Forensik Jaringan
Forensik jaringan (network forensic) adalah suatu metode menangkap, menyimpan dan menganalisa data penggunaan jaringan untuk menemukan sumber dari pelanggaran keamanan sistem atau masalah keamanan informasi[Ranum 1997]. Fokus utama dari network forensic adalah mengidentifikasi semua kemungkinan yang dapat menyebabkan pelanggaran keamanan sistem dan membuat mekanisme pendeteksian dan pencegahan yang dapat meminimalisir kerugian yang lebih banyak.

Administrator jaringan tidak bisa seluruhnya bergantung pada IDS untuk menjaga jaringannya. Administrator juga memerlukan proses investigasi dan alat audit untuk melakukan investigasi kejadian secara lengkap dan memulihkan jaringan dari ancaman atau serangan yang terjadi. Forensik jaringan memiliki kemampuan untuk merekontruksi kejadian dengan menggunakan sistem yang menyimpan semua aktifitas lalu lintas data pada jaringan, sehingga investigasi dapat dilakukan dengan melihat kembali kejadian-kejadian yang telah terjadi dan melakukan analisa kejadian yang terjadi di masa lalu. Berdasarkan kebutuhan diatas, maka suatu sistem forensik jaringan setidaknya terdapat beberapa proses, yaitu :
  1. Monitoring dan koleksi data : forensik jaringan pada dasarnya adalah audit terhadap penggunaan jaringan, seperti traffik, bandwidth dan isi data. Oleh karena itu setiap sistem network forensic diperlukan sistem monitoring dan penyimpanan data yang bisa digunakan sebagai bukti digital.
  2. Analisa isi data : dari semua data yang disimpan, tidak semuanya merupakan ancaman bagi keamanan sistem, sehingga diperlukan analisa data yang dapat mendeteksi data mana saja yang menggangu keamanan sistem. Hal ini juga berhubungan dengan masalah privacy, dikarenakan data-data yang dianalisa bisa saja merupakan data pribadi, sehingga diperlukan kebijakan khusus mengenai masalah ini.
  3. Source traceback : untuk pencegahan dari kemungkinan akan adanya serangan terhadap sistem keamanan jaringan yang akan datang diperlukan metode untuk mengetahui sumber dari serangan, sehingga dapat meminimalisir kejadian serupa di masa yang akan datang.

2.2 Monitoring dan Koleksi data
Suatu sistem forensik jaringan selalu dilengkapi kemampuan untuk memonitoring, menangkap dan menyimpan semua data lalu lintas pada jaringan. Sistem yang terhubung ke jaringan internet sangat potensial untuk diserang. Oleh karena itu diperlukan suatu mekanisme untuk memonitoring dan mendeteksi serangan terhadap sistem/jaringan dengan menggunakan IDS. IDS adalah alat yang dapat mengumpulkan informasi, menganalisa informasi apakah ada aktifitas yang aneh pada jaringan dan melaporkan hasil analisa dari proses deteksi.

Teknik deteksi intrusi dapat dikategorikan menjadi dua. Pertama adalah berdasarkan signature-based detection. Signature-based detection menggunakan contoh pola serangan yang telah diketahui/disimpan sebelumnya untuk mengidentifikasi serangan. Yang kedua adalah deteksi anomali yaitu dengan cara menentukan apakah deviasi dari pola penggunaan normal dapat dikategorikan sebagai intrusi.

Sistem forensik jaringan juga dilengkapi dengan unit penyimpanan data sehingga memungkinkan dilakukannya proses analisa dan investigasi dari data yang dikoleksi sebelumnya apabila terjadi ancaman atau serangan terhadap suatu sistem keamanan. Untuk mengkoleksi data dari jaringan digunakan packet sniffer. Prinsip kerja dari packet sniffer adalah mengintersep setiap bagian dari data yang melewati jaringan dan membuat salinan untuk dianalisa. Hal ini tentu saja memerlukan unit penyimpanan yang tidak sedikit, seiring dengan semakin tingginya tingkat penggunaan jaringan dan makin besar lalu lintas data pada jaringan, makin besar pula penyimpanan yang dibutuhkan. Untungnya dengan semakin murahnya alat penyimpanan data, maka makin murah pula suatu sistem forensik jaringan.

2.3 Analisa Data
Forensik jaringan memungkinkan dilakukannya proses analisa dan investigasi data yang telah disimpan sebelumnya. Ada beberapa sumber bukti potensial yang dapat digunakan untuk forensik pada komputer dan jaringan. File adalah salah satu sumber bukti potensial. Output dari aplikasi seperti pengolah kata, spread sheets dan lain-lain dapat menyimpan  informasi sejarah, chaces, backup ataupun log aktifitas. Dilain pihak, log aktifitas jaringan dapat menyimpan beberapa informasi yang sangat penting dalam mengungkap terjadinya ancaman atau serangan terhadap jaringan. Aktifitas jaringan yang tercatat dapat mengungkapkan tindakan kriminal dengan sangat detail dibandingkan sumber lainnya. Oleh karena itu sistem log merupakan sumber vital dari bukti potensial.

Suatu perusahaan atau organisasi sudah seharusnya menyimpan informasi tentang segala aktifitas jaringan seperti login computer dan layanan yang menggunakan jaringan seperti remote Telnet atau FTP. Hal ini sangat berguna dalam investigasi dikarenakan rekaman tersebut dapat menyimpan berbagai informasi tentang aktifitas pengguna tertentu, seperti tanggal dan waktu dari aktifitas tersebut. Informasi ini sangat berhubungan dengan kejadian internal seperti email dan akses web ataupun kejadian eksternal yang dapat menunjukan waktu terjadinya aktifitas tersebut(timeline). Timeline berfungsi sebagai acuan untuk menempatkan peristiwa yang berbeda dalam suatu sistem dan menghubungkan ke suatu sangkaan, membuat suatu alibi dan menentukan bukti-bukti yang tidak tersangkut dengan tindakan kriminal. Dari analisa data paket-paket yang disimpan bisa didapatkan beberapa informasi antara lain :
Ø  Informasi tentang file yang ditransfer ke dan dari target
Ø  Perintah yang diberikan pada target
Ø  Informasi tentang terjadinya waktu aktifitas (timeline)
Ø  Output yang dihasilkan dari perintah yang diberikan
Ø  Bukti dari paket program scanning yang disembunyikan pada komputer jaringan lokal.

Tabel 2.1 Tipe peristiwa dan informasi yang diperlukan
Tipe Kejadian
Peristiwa
Informasi yang diperlukan
Penggunaan illegal dari  sumber daya
Penggunaan illegal sumber daya proses dan penyimpanan

Host : access log, status proses, penggunaan CPU dan status dari file dan penyimpanan
Penggunaan illegal bandwidth jaringan
Network : status jaringan, jumlah paket yang dikirim dan diterima, alamat IP, protokol used dan status dari port switch
Relay illegal dari layanan mail dan proxy
Host :  log aplikasi dan status proses
Network : alamat IP, protokol yang digunakan dan isi data
DoS (Denial of Service)
Terhentinya layanan karena penggunaan resource server
Host :  status proses, penggunaan CPU dan paket log yang tidak umum
Network : status jaringan, jumlah paket yang tidak biasa, alamat IP dan isi paket yang tidak biasa
Terhentinya komunikasi karena penggunaan resource bandwidth jaringan
Network : jumlah paket yang dikirim dan diterima, alamat IP, protokol used dan isi data
Detruksi data dan pemalsuan
Pemalsuan halaman web, file data dan file program
Host : log akses, status file dan penyimpanan dan isi konfigurasi file
Network : alamat IP, protokol used, isi data dan status port switch
Pencurian  informasi
Pencurian isi informasi yang rahasia dan intersepsi komunikasi
Host : log akses dan status file dan penyimpanan
Network : alamat IP, protokol used, isi data dan status port switch
Tipe informasi yang disimpan pada log tergantung dari aplikasi yang digunakan oleh user dan pada konfigurasi sistem.  Tabel 2.1  memperlihatkan hubungan antara serangan atau ancaman yang terjadi dengan informasi yang dibutuhkan untuk menganalisa peristiwa tersebut.

2.4 Source Traceback
Proses analisa data dapat mengungkapkan kapan dan bagaimana terjadinya suatu peristiwa serangan atau ancaman terhadap jaringan, dengan begitu seorang administrator atau penyidik dapat mengambil langkah-langkah antisipasi dan perbaikan sistem keamanan jaringan agar proses pemulihan keamanan dapat berlangsung dengan benar dan cepat serta untuk langkah pencegahan dari ancaman atau serangan yang akan datang sehingga dapat meminimalisasi kerugian yang derita. Untuk itu diperlukan suatu solusi agar dapat diambil suatu langkah pencegahan terhadap peristiwa yang sama, salah satunya adalah dengan mengetahui sumber dari penyebab terjadinya penyalahgunaan atau gangguan sistem keamanan jaringan. Traceback digunakan sebagai solusi dari permasalahan ganggunan keamanan sistem seperti DoS. Ada dua macam pendekatan tracing pada jaringan. Pertama adalah IP traceback dan kedua adalah  traceback across stepping-stones (connection chain).

Untuk memahami metode tracing diperlukan pengetahuan dasar tentang teknologi routing. Routing adalah suatu proses memindahkan informasi antar jaringan dari sumber ke tujuan. Routing melibatkan dua aktifitas dasar yaitu menentukan jalur optimal routing dan melewatkan paket antar jaringan. Protokol seperti Border Gateway Protocol (BGP) dan Routing information Protocol (RIP) menggunakan metrik untuk mengevaluasi jalur terbaik untuk paket. Berikut ini beberapa metrik yang digunakan pada proses penentuan jalur oleh suatu protokol routing :
Ø  Panjang jalur : jumlah hop yang harus dilalui paket dari sumber ke tujuan.
Ø  Biaya komunikasi.
Ø  Delay : waktu yang diperlukan untuk memindahkan paket dari sumber ke tujuan.
Ø  Bandwidth : besarnya lalu lintas data yang dapat lewat melalui sebuah jalur.
Ø  Load : tingkat penggunaan sumber daya jaringan.
Ø  Reabilitas : tingkat keandalan suatu jaringan seperti berapa sering link putus atau berapa lama link yang putus tersebut dapat diperbaiki.

Dengan traceback diharapkan dapat ditentukan jalur dari intrusi atau  bahkan menemukan sumber awal dari serangan untuk digunakan sebagai langkah awal dari tindakan hukum. Ada beberapa metode traceback yang telah dikembangkan untuk melacak sumber dari serangan.

2.4.1 ICMP Traceback
Pada ICMP traceback (iTrace), pesan traceback dibawa pada paket ICMP, nilai dari bagian ini ditentukan oleh IANA (Internet Assigned Numbers Authority). Bagian CODE diset dengan nilai 0 dan tidak diproses oleh penerima

Type
Code
Checksum
Gambar 2.1 Pesan ICMP Traceback

Bagian tubuh dari pesan ICMP Traceback terdiri atas elemen individual menggunakan skema TAG-LENGTH-VALUE (TLV).

TAG
LENGTH
VALUE
Gambar 2.2 Bagian tubuh pesan ICMP Traceback

Bagian TAG adalah oktet tunggal, dengan nilai-nilai sebagai berikut: Back Link, Forward Link, Timestamp, Traced Packet Contents, Probability, RouterId, HMAC Authentication Data dan Key Disclosure List. Fungsi Forward dan Back Link adalah mempermudah pembentukan rantai dari pesan traceback. Padanya terdapat informasi identifikasi dan nilai dari bagian ini terdiri dari tiga TLV subelemen : Interface Identifier, IPv4 Address Pair dan MAC Address Pair atau Operator-Defined Link Identifier.  Agar pesan tidak dapat dipalsukan maka diperlukan HMAC Authentication Data. Pada Key Disclosure List terdapat kunci hash algorithms. Elemen ini harus terdiri setidaknya satu Key Disclosure subelemen dan satu Public Key Information subelemen. Isi utama dari Key Disclosure elemen adalah kunci untuk autentikasi pesan traceback sebelumnya dan waktu mulai dan berakhirnya ketika kunci tersebut digunakan. Pada Key Disclosure elemen juga terdapat digital signature. Gambar 2.3 berikut ini memperlihatkan skema ICMP Traceback.

Gambar 2.3 ICMP Traceback

2.4.2 Intention-Driven ICMP Traceback
Intention-Driven ICMP Traceback (I-D iTrace) menambahkan bit tambahan pada routing dan proses forwarding yang dapat meningkatkan performance iTrace sebelumnya. I-D iTrace memisahkah fungsi dari iTrace menjadi dua modul, yaitu decision module dan iTrace generation module.
Decision module akan menentukan tipe pesan iTrace yang harus dihasilkan. Berdasarkan keputusan ini, satu bit khusus pada tabel packet-forwarding akan diset menjadi 1 dan paket data berikutnya yang menggunakan masukan forwarding akan dipilih sebagai pesan iTrace. Pesan ini kemudian akan diproses oleh iTrace generation module dan pesan iTrace baru akan dikirim.

2.4.3 IP Traceback
IP traceback menggunakan pendekatan mekanisme berdasarkan probabilistic packet marking (PPM). Pada PPM setiap router secara probabilitas mendaftarkan informasi tentang jalur lokal ke paket yang melaluinya sehingga node tujuan dapat merekonstruksi jalur lengkap yang dilewati oleh paket dengan memeriksa tanda-tanda pada paket yang diterima.

Ketika suatu router memutuskan menandai sebuah paket dengan probabilitas p, router akan menuliskan informasi pada bagian penanda, akibatnya tanda yang dibuat oleh upstream router akan terhapus. Agar PPM dapat bekerja, maka nilai p<1 .="" algoritma="" bahkan="" bantuan="" berakhir.="" bisa="" dapat="" dari="" diimplementasikan="" dilakukan="" hal="" i="" jaringan="" korban="" lokasi="" luar.="" memerlukan="" menentukan="" menghasilkan="" mengijinkan="" operator="" penanda="" perkiraan="" ppm="" serangan="" setelah="" style="mso-bidi-font-style: normal;" sumber="" tanpa="" tersebut="" untuk="">overhead
yang signifikan pada router jaringan. Algoritma penanda memiliki dua komponen, yaitu prosedur penanda yang dilakukan oleh router pada network dan prosedur rekonstruksi jalur yang diimplementasikan oleh korban. Skema dari IP Traceback dapat dilihat pada gambar 2.4 berikut ini.


Gambar 2.4 IP Traceback

2.4.4 Center Track
Center Track adalah jaringan overlay terdiri atas IP tunnel yang digunakan secara selektif merouting kembali datagram langsung dari tepi router terluar ke routertracking khusus. IP tunnel dapat dibuat pada jaringan IP yang tersedia. Router tracking dapat menentukan tepi router ingress dengan meneliti pada tunnel mana datagram tiba. Router tepi, harus dapat melakukan input debugging. Input debugging adalah kelengkapan diagnosa yang akan memperlihatkan hop sebelumnya ketika serangan datang dari atau melalui hop tersebut. Routing dinamis yang dibuat menyebabkan hanya lalu lintas yang menuju korban saja yang di routing melalui jaringan overlay. Tracking dilakukan dimulai pada router terdekat dengan korban, lalu dilakukan dengan hop-by-hop.

Gambar 2.5 Contoh Center Track

2.4.5 Sleepy Watermark Tracing
Sleepy Watermark Tracing (SWT) dikembangkan untuk melakukan traceback menggunakan prinsip hubungan rantai. Metode ini dapat digunakan untuk melacak serangan ketika penyerang menggunakan komputer yang dikendalikan secara remote sebagai mesin budak. 

Arsitektur SWT terdiri dari dua bagian, yaitu SWT guarded host dan SWT guarded gateway. IDS dan aplikasi watermark-enable pada SWT guarded host digunakan sebagai komponen pendukung. IDS berfungsi sebagai inisiator dari SWT tracing. IDS berinteraksi dengan SWT subsistem melalui SWT guarded host dan mentriger watermark tracing ketika instrusi terdeteksi.


Gambar 2.6 Guadian gateway dan Guardian host

Inti dari SWT terdiri dari tiga komponen interaktif, yaitu Sleepy Instrusion Response (SIR), Watermark Correlation (WMC) dan Active Tracing (AT). SIR menerima permintaan dari IDS, kemudian mengkoordinasikan active tracing dan menyimpan track informasi tracing dari instrusi. WMC menghubungkan incoming dan outgoing koneksi melalui watermark. AT mengkoordinasi beberapa bagian dalam jaringan untuk kolaborasi trace dari jalur incoming dan sumber dari instrusi.  Gambar 2.7 memperlihatkan hubungan antara ketiga komponen tersebut.

Gambar 2.7 Arsitektur SWT

Secara default, sistem SWT tidak aktif. Ketika IDS mendeteksi intrusi, IDS akan mentriger SWT tracing dengan cara menotifikasi SIR memakai informasi koneksi. Berdasarkan permintaan dari IDS, SIR pertama kali akan mengaktifkan koneksi intrusi untuk periode waktu tertentu. Kemudian SIR akan mentriger active tracing pada guardian gateway dengan mengirimkan notifikasi trace.  Akhirnya, SIR menotifkasi aplikasi WM enabled untuk menginjeksi watermark yang diminta. SIR juga menyimpan jejak dari informasi tracing intrusi dengan mengembalikannya ke SWT guardian gateway, dan apabila IDS meminta informasi tersebut, SIR akan menyediakan informasi yang dibutuhkan.

Jika pada periode waktu tertentu tidak ada informasi trace yang dikembalikan ke SWT guardian gateway atau tidak ada notifikasi lanjutan dari IDS, maka komponen respon intrusi akan kembali tidak aktif. Injeksi watermark hanya akan terjadi apabila ada intrusi yang terdeteksi dan hanya aplikasi jaringan intruder yang akan menerima respon watermark.
2.5 Tantangan Forensik Jaringan
Walaupun dalam teori suatu sistem forensik jaringan mudah diimplementasikan, pada prakteknya banyak hambatan-hambatan dalam membangun sebuah sistem forensik jaringan. Setidaknya ada dua macam hambatan dalam membangun sistem forensik jaringan yaitu teknis dan sosial-ekonomi.

2.5.1 Tantangan Teknis Forensik Jaringan
  1. Data Collection : Suatu sistem forensik jaringan selain memiliki fungsi untuk memonitor aktifitas jaringan juga harus dapat mengumpulkan semua data yang melewati jaringan. Data yang dikumpulkan dan disimpan bisa saja digunakan untuk melakukan investigasi apabila ada serangan atau ancaman, dan hasil investigasi tersebut dapat juga dijadikan sebagai bukti digital apabila nantinya akan dilakukan langkah-langkah hukum akibat dari implikasi serangan atau ancaman terhadap jaringan. Selain itu akan juga timbul masalah dengan semakin meningkatnya lalu lintas data pada jaringan, akibatnya diperlukan suatu sistem penyimpanan data yang dapat menampung data apabila hal tersebut terjadi.
  2. Data Retention : Data yang dikumpulkan kemungkinan harus dapat dipelihara atau disimpan dalam jangka waktu yang cukup lama. Hal ini tentu saja berpengaruh pada besarnya data yang dapat ditampung oleh sistem forensik jaringan. Oleh karena itu diperlukan suatu manajemen data yang dapat mengurangi jumlah data yang disimpan tanpa harus kehilangan informasi forensik yang berharga.
  3. Data Retrieval : Selama perlakuan investigasi atau analisa sistem harus dapat menentukan lokasi dari data yang dibutuhkan dalam wide area network. Seperti disebutkan sebelumnya data yang disimpan dalam sistem forensik bisa sangat besar jumlahnya. Oleh karena itu diperlukan protokol yang dapat menentukan lokasi data yang diperlukan dengan cepat.



2.5.2 Tantangan Sosial-Ekonomi Forensik Jaringan
1.      Privacy : Pengawasan jaringan dengan user privacy akan selalu bertolak belakang. Hal ini disebabkan pada sistem forensik diperlukan pemeriksaan secara keseluruhan dari sebuah sistem yang dapat membuat user tidak nyaman. Simon Garfinkel memperkenalkan pendekatan “stop, look and listen” sebagai salah satu solusi data kolektif agar privacyuser tetap dapat terjaga. Pendekatan ini pertama kali dikemukakan oleh Ranum pada awal tahun 90-an. Solusi lainnya adalah dengan menyelidiki semua lalu lintas data, tetapi hanya menyimpan informasi yang diperlukan untuk forensik saja. Hal ini dimungkinkan karena kecepatan proses komputer saat ini lebih cepat dibandingkan kecepatan menyimpan data. Dengan begitu, penyimpanan informasi yang bersifat sangat pribadi dan kurang berharga bagi sistem forensik dapat dikurangi.
  1. Ekonomi : Pengembangan dari sistem forensik juga tergantung pada keuntungan dari penyedia jasa. Hal ini akan sangat mempengaruhi harga dari sebuah sistem forensik. Sistem forensik juga sangat berguna dalam mengurangi tingkat ancaman dan serangan kepada jaringan organisasi atau perusahaan, sehingga dapat mengurangi kerugian yang diderita akibat dari ancaman tersebut.

2.6 Perkembangan Sistem Forensik Jaringan
Saat ini ada beberapa sistem forensik jaringan yang dikembangkan baik untuk tujuan komersial maupun akademis. NIKSUN’s NetVCR dan NetIntercept adalah beberapa sistem komersial yang dijual dipasaran dan cukup banyak dipakai diperusahaan-perusahaan saat ini. Sedangkan untuk tujuan penelitian, sistem forensik seperti Honeytraps dan ForNet dikembangkan dengan metodelogi-metodelogi masing-masing. Dengan kata lain saat ini belum ada standart bagi suatu sistem forensik jaringan. Oleh karena itu juga diperlukan suatu usaha untuk membuat standarisasi sistem forensik jaringan.


2.7 Tools untuk Network Forensik
Tools network forensik adalah aplikasi yang digunakan untuk oleh ahli forensik yang digunakan untuk melakukan hal-hal yang berhubungan dengan forensik seperti melakukan pemantauan dan audit pada jaringan. Tool kit untuk pengujian forensik memungkinkan untuk mengumpulkan dan analisis data seperti E-Detective, NetFlow v5/9, NetCat, NetDetector, TCPdump, Wireshark/Ethereal, Argus, NFR, tcpwrapper, sniffer, nstat, dan tripwire. 

Dibawah ini beberapa penjelasan tools network forensik yang berbasis GUI :
1.    Wireshark/ethereal
Merupakan penganalisis dan monitoring network yang populer. Fitur-fitur pada wireshark yaitu:
·      Dapat memerika ratusan protokol secara mendalam
·      Dapat menangkap langsung dan dianalisis secara offline
·      Multi platform, dapat dijalankan pada windows, linux, Mac OS X, Solaris,     FreeBSD, NetBSD, dan lain-lain.
·      Data jaringan yang telah ditangkap dapat ditampilkan melalui GUI atau melalui       TTY-mode pada utilitas Tshark.
·      Dapat memfilter tampilan dengan banyak pilihan filter.
·      Dapat membaca dan menyimpan format yang berbeda.

2.    NetCat
Merupakan sebuah utiliti tool yang digunakan untuk berbagai hal yang berkaitan dengan protokol TCP atau UDP. Yang dapat membuka koneksi TCP, mengirimkan paket­paket UDP, listen pada port ­port TCP dan UDP, melakukan scanning port, dan sesuai dengan IPV4 dan IPV6. Biasanya netcat ini digunakan oleh para hacker atau peretas untuk melakukan connect back pada sistem target agar hacker mendapatkan akses root melalui port yg telah di tentukan oleh hacker tersebut.



3.      E-Detective
Adalah sebuah sistem yang melakukan proses intersepsi internet secara real-time, monitoring, dan sistem forensik yang menangkap, membaca kode ( dengan menguraikan isi sandi / kode ), dan memulihkan kembali beberapa tipe-tipe lalu lintas internet. Sistem ini biasanya digunakan pada perusahan internet dan memantau tingkah laku, audit, penyimpanan record, analisis forensik, dan investigasi yang sama baiknya dengan hukum, serta intersepsi yang sah menurut hukum untuk penyenggaraan badan usaha yang sah menurut hukum seperti Kepolisian Intelijen, Kemiliteran Intelijen, Departemen Cyber Security, Agen Keamanan Nasional, Departemen Investigasi Kriminal, Agen Pembasmian Terorisme, dan lainnya. E-Detective mampu untuk membaca kode ( dengan menguraikan isi sandi / kode ), reassembly, dan memulihkan kembali berbagai jenis Aplikasi-Aplikasi Internet dan servis-servis misalnya Email (POP3, IMAP dan SMTP), Webmail (Yahoo Mail, Windows Live Hotmail, Gmail), Instant Messaging (Yahoo, MSN, ICQ, QQ, Google Talk, IRC, UT Chat Room, Skype), File Transfer (FTP, P2P), Online Games, Telnet, HTTP (Link, Content, Reconstruct, Upload dan Download, Video Streaming), VOIP (modul opsional), dan lain-lainnya.
 
   
BAB III
KESIMPULAN

1.      Sistem keamanan komputer menggunakan firewall dan IDS saat ini sudah tidak memadai lagi, sehingga diperlukan kemampuan forensik pada implementasi sistem keamanan jaringan.
2.      Akan ada tradeoff antara sistem forensik dengan privacy oleh karena itu diperlukan suatu kebijakan mengenai sistem forensik yang akan dipakai oleh suatu perusahaan atau organisasi.
3.      Sistem forensik yang ada saat ini memakai metodelogi pendekatan dan pembangunan sistem yang berbeda-beda sehingga perlu adanya usaha standarisasi dalam sistem forensik jaringan.

 

DAFTAR PUSTAKA

1.      H. Debar, M. Dacier, and A. Wepsi. A revised taxonomy for intrusion-detection systems. IBM Research Report, 1999.
  1. Chet Hosmer, "Time_Lining Computer Evidence," 1998 IEEE Information Technology Conference, Information Environment For The Future, 1998.
  2. Takemi Nisase,and Mitsutaka. Network Forensic Technologies Utilizing Communication Information, Vol. 2 No. 8 Aug. 2004
  3. CISCO, Routing Basics
  1. ICMP Traceback Messages, Internet Draft, October 2001
( November 2001)
  1. Katarina Jozig. Tracing Back DDoS Attack. Master Thesis, University of Stockholm-Royal Institute of Technology. April 2002.
  2. On Design and Evaluation of “Intention-Driven” ICMP Traceback, by Mankin, Massey, Wu, Zhang.
  1. CenterTrack: An IP Overlay Network for Tracking DoS Floods, By Robert Stone, UUNET, 1999
  1. Sleepy Watermark Tracing: An Active Network-Based Intrusion Response Framework, by Wang, Reeves, Wu, North CarolinaStateUniversity, March 2001
  1. K. Shanmugasundaram, N. Memon, A. Savant, and H. Bronnimann. Fornet: A distributed forensics system. The Second International Workshop on Mathematical Methods, Models and Architectures for Computer Networks Security, May 2003.
  2. Simson Garfinkel, Web Security, Privacy & Commerce, 2nd Edition.
  1. Marcus Ranum, Network Flight Recorder. http://www.ranum.com/
  2. Alec Yasinsac and Yanet Manzano. Honeytraps, A Network Forensic Tool. Proceedings of The 6th World Multiconference on Systemics, Cybernetics and Informatics (SCI 2002), Orlando, Fl, July 2002
  3. Suryani Alifah. Ekstrasi Ciri Signifikan Pada Analisa Forensik Jaringan Menggunakan Teknik Intellegensia Buatan. Tugas Mata Kuliah Keamanan Sistem Lanjut. Institut Teknologi Bandung, 2004



Tidak ada komentar:

Posting Komentar