FORENSIK JARINGAN

 1.       Definisi Forensik Jaringan

Forensik jaringan (network forensic) adalah suatu metode menangkap, menyimpan dan menganalisa data penggunaan jaringan untuk menemukan sumber dari pelanggaran keamanan sistem atau masalah keamanan informasi[Ranum 1997]. Fokus utama dari network forensic adalah mengidentifikasi semua kemungkinan yang dapat menyebabkan pelanggaran keamanan sistem dan membuat mekanisme pendeteksian dan pencegahan yang dapat meminimalisir kerugian yang lebih banyak.

Administrator jaringan tidak bisa seluruhnya bergantung pada IDS untuk menjaga jaringannya. Administrator juga memerlukan proses investigasi dan alat audit untuk melakukan investigasi kejadian secara lengkap dan memulihkan jaringan dari ancaman atau serangan yang terjadi. Forensik jaringan memiliki kemampuan untuk merekontruksi kejadian dengan menggunakan sistem yang menyimpan semua aktifitas lalu lintas data pada jaringan, sehingga investigasi dapat dilakukan dengan melihat kembali kejadian-kejadian yang telah terjadi dan melakukan analisa kejadian yang terjadi di masa lalu. Berdasarkan kebutuhan diatas, maka suatu sistem forensik jaringan setidaknya terdapat beberapa proses, yaitu :

    Monitoring dan koleksi data : forensik jaringan pada dasarnya adalah audit terhadap penggunaan jaringan, seperti traffik, bandwidth dan isi data. Oleh karena itu setiap sistem network forensic diperlukan sistem monitoring dan penyimpanan data yang bisa digunakan sebagai bukti digital.
    Analisa isi data : dari semua data yang disimpan, tidak semuanya merupakan ancaman bagi keamanan sistem, sehingga diperlukan analisa data yang dapat mendeteksi data mana saja yang menggangu keamanan sistem. Hal ini juga berhubungan dengan masalah privacy, dikarenakan data-data yang dianalisa bisa saja merupakan data pribadi, sehingga diperlukan kebijakan khusus mengenai masalah ini.
    Source traceback : untuk pencegahan dari kemungkinan akan adanya serangan terhadap sistem keamanan jaringan yang akan datang diperlukan metode untuk mengetahui sumber dari serangan, sehingga dapat meminimalisir kejadian serupa di masa yang akan datang.

2.      Proses Forensik

Ø  Akuisisi dan Pengintaian (Reconnaissance)

Tahap awal proses forensik merupakan hal yang kritis karena menentukan keberhasilan proses forensik. Tahap ini merupakan proses pengumpulan data dan pengintaian.

Ø   Pengumpulan Data Volatil

Data volatil dikumpulkan dari berbagai sumber, yakni register proses, memori virtual dan fisik, proses-proses yang sedang berjalan, maupun keadaan jaringan. Sumber informasi tersebut pada umumnya mempunyai informasi dalam periode yang singkat, sehingga waktu pengumpulan bersifat kritis dan harus sesegera mungkin diambil setelah terjadi insiden. Misalnya alamat MAC (Media Access Control) dari computer yang berkomunikasi dengan computer sasaran yang berada pada subnet yang sama , yang tersimpan pada ARP (Address Resolution Protocol) cache, segera dibuang setelah terjalin komunikasi dengan computer lainnya, sehingga data tersebut harus segera diambil.

Sumber informasi volatil yang penting beserta instruksi-instruksi yang digunakan untuk menangkap informasi tersebut diantaranya:

     Proses-proses yang sedang berjalan (ps atau /proc)
    Hubungan jaringan yang aktif (nestat)
    ARP cache (arp)
    List of open file (lsop)
    Memori Fisik dan Virtual (/dev/mem, /dev/kmem)

Ø   Melakukan Trap dan Trace

Trap dan trace merupakan proses untuk memonitor header dari trafik internet tanpa memonitor isinya (tidaklah legal untuk memonitor isi dari suatu komunikasi data). Proses ini merupakan cara non intrusif untuk menentukan sumber serangan jaringan atau untuk mendeteksi kelainan trafik karena hanya mengumpulkan header paket TCP/IP dan bukan isinya.

Contoh di atas menggunakan panjang default 68 byte. Trap dan trace dapat digunakan oleh analis forensik untuk menjawap beberapa pertanyaan kritis, yakni:

·         Apakah alamat IP sumber mencurigakan?

·         Apakah alamat IP dan/ atau nomor port tujuan mencurigakan? Misal beberapa port yang sangat dikenal digunakan oleh Trojan adalah 31337 untuk Back Orifice dan 12345 untuk NetBus.

·         Apakah terdapat fragmentasi yang aneh? Fragmentasi sering digunakan untuk membingungkan IDS dan firewall.

·         Apakah TCP flag mencurigakan? Misal, beberapa flag tidak pernah terjadi bersama-sama, seperti R & F (reset & fin), F alone, dll. Penyerang menggunakan teknik ini untuk menentukan sistem operasi dari computer sasaran.

·         Apakah ukuran paket mencurigakan? Paket SYN awal seharusnya membawa data 0 byte.

·         Apakah tujuan port merupakan layanan yang valid? Layanan yang valid biasanya ditampilkan dalam dalam file /etc/services pada mesin Linux.

·         Apakah trafik mengikuti standar RFC?

SELANJUTNYA