Network Forensic

Network Forensik/ FORENSIK JARINGAN

 

Definisi Forensik Jaringan

Forensik jaringan (network forensic) adalah suatu metode menangkap, menyimpan dan menganalisa data penggunaan jaringan untuk menemukan sumber dari pelanggaran keamanan sistem atau masalah keamanan informasi[Ranum 1997]. Fokus utama dari network forensic adalah mengidentifikasi semua kemungkinan yang dapat menyebabkan pelanggaran keamanan sistem dan membuat mekanisme pendeteksian dan pencegahan yang dapat meminimalisir kerugian yang lebih banyak.

 

Administrator jaringan tidak bisa seluruhnya bergantung pada IDS untuk menjaga jaringannya. Administrator juga memerlukan proses investigasi dan alat audit untuk melakukan investigasi kejadian secara lengkap dan memulihkan jaringan dari ancaman atau serangan yang terjadi. Forensik jaringan memiliki kemampuan untuk merekontruksi kejadian dengan menggunakan sistem yang menyimpan semua aktifitas lalu lintas data pada jaringan, sehingga investigasi dapat dilakukan dengan melihat kembali kejadian-kejadian yang telah terjadi dan melakukan analisa kejadian yang terjadi di masa lalu. Berdasarkan kebutuhan diatas, maka suatu sistem forensik jaringan setidaknya terdapat beberapa proses, yaitu :
Monitoring dan koleksi data : forensik jaringan pada dasarnya adalah audit terhadap penggunaan jaringan, seperti traffik, bandwidth dan isi data. Oleh karena itu setiap sistem network forensic diperlukan sistem monitoring dan penyimpanan data yang bisa digunakan sebagai bukti digital.
Analisa isi data : dari semua data yang disimpan, tidak semuanya merupakan ancaman bagi keamanan sistem, sehingga diperlukan analisa data yang dapat mendeteksi data mana saja yang menggangu keamanan sistem. Hal ini juga berhubungan dengan masalah privacy, dikarenakan data-data yang dianalisa bisa saja merupakan data pribadi, sehingga diperlukan kebijakan khusus mengenai masalah ini.
Source traceback : untuk pencegahan dari kemungkinan akan adanya serangan terhadap sistem keamanan jaringan yang akan datang diperlukan metode untuk mengetahui sumber dari serangan, sehingga dapat meminimalisir kejadian serupa di masa yang akan datang.

Monitoring dan Koleksi data
Suatu sistem forensik jaringan selalu dilengkapi kemampuan untuk memonitoring, menangkap dan menyimpan semua data lalu lintas pada jaringan. Sistem yang terhubung ke jaringan internet sangat potensial untuk diserang. Oleh karena itu diperlukan suatu mekanisme untuk memonitoring dan mendeteksi serangan terhadap sistem/jaringan dengan menggunakan IDS. IDS adalah alat yang dapat mengumpulkan informasi, menganalisa informasi apakah ada aktifitas yang aneh pada jaringan dan melaporkan hasil analisa dari proses deteksi[1].
Teknik deteksi intrusi dapat dikategorikan menjadi dua. Pertama adalah berdasarkan signature-based detection. Signature-based detection menggunakan contoh pola serangan yang telah diketahui/disimpan sebelumnya untuk mengidentifikasi serangan. Yang kedua adalah deteksi anomali yaitu dengan cara menentukan apakah deviasi dari pola penggunaan normal dapat dikategorikan sebagai intrusi.

Sistem forensik jaringan juga dilengkapi dengan unit penyimpanan data sehingga memungkinkan dilakukannya proses analisa dan investigasi dari data yang dikoleksi sebelumnya apabila terjadi ancaman atau serangan terhadap suatu sistem keamanan. Untuk mengkoleksi data dari jaringan digunakan packet sniffer. Prinsip kerja dari packet sniffer adalah mengintersep setiap bagian dari data yang melewati jaringan dan membuat salinan untuk dianalisa. Hal ini tentu saja memerlukan unit penyimpanan yang tidak sedikit, seiring dengan semakin tingginya tingkat penggunaan jaringan dan makin besar lalu lintas data pada jaringan, makin besar pula penyimpanan yang dibutuhkan. Untungnya dengan semakin murahnya alat penyimpanan data, maka makin murah pula suatu sistem forensik jaringan.

Analisa Data
Forensik jaringan memungkinkan dilakukannya proses analisa dan investigasi data yang telah disimpan sebelumnya. Ada beberapa sumber bukti potensial yang dapat digunakan untuk forensik pada komputer dan jaringan. File adalah salah satu sumber bukti potensial. Output dari aplikasi seperti pengolah kata, spread sheets dan lain-lain dapat menyimpan  informasi sejarah, chaces, backup ataupun log aktifitas. Dilain pihak, log aktifitas jaringan dapat menyimpan beberapa informasi yang sangat penting dalam mengungkap terjadinya ancaman atau serangan terhadap jaringan. Aktifitas jaringan yang tercatat dapat mengungkapkan tindakan kriminal dengan sangat detail dibandingkan sumber lainnya. Oleh karena itu sistem log merupakan sumber vital dari bukti potensial.
Suatu perusahaan atau organisasi sudah seharusnya menyimpan informasi tentang segala aktifitas jaringan seperti login computer dan layanan yang menggunakan jaringan seperti remote Telnet atau FTP. Hal ini sangat berguna dalam investigasi dikarenakan rekaman tersebut dapat menyimpan berbagai informasi tentang aktifitas pengguna tertentu, seperti tanggal dan waktu dari aktifitas tersebut. Informasi ini sangat berhubungan dengan kejadian internal seperti email dan akses web ataupun kejadian eksternal yang dapat menunjukan waktu terjadinya aktifitas tersebut(timeline)[2]. Timeline berfungsi sebagai acuan untuk menempatkan peristiwa yang berbeda dalam suatu sistem dan menghubungkan ke suatu sangkaan, membuat suatu alibi dan menentukan bukti-bukti yang tidak tersangkut dengan tindakan kriminal. Dari analisa data paket-paket yang disimpan bisa didapatkan beberapa informasi antara lain :

Ø      Informasi tentang file yang ditransfer ke dan dari target

Ø      Perintah yang diberikan pada target

Ø      Informasi tentang terjadinya waktu aktifitas (timeline)

Ø      Output yang dihasilkan dari perintah yang diberikan

Ø      Bukti dari paket program scanning yang disembunyikan pada komputer jaringan lokal.

http://kumpulanartikel-nunutjoe.blogspot.com/2010/01/network-forensik.html