NETWORK FORENSIC
1. DEFINISI FORENSIK JARINGAN
Forensik jaringan (Network forensic)
merupakan proses menangkap, mencatat dan menganalisa aktivitas jaringan guna
menemukan bukti digital (digital evidence) dari suatu serangan atau kejahatan
yang dilakukan terhadap , atau dijalankan menggunakan, jaringan komputer
sehingga pelaku kejahatan dapat dituntut sesuai hukum yang berlaku.
Bukti digital dapat diidentifikasi
dari pola serangan yang dikenali, penyimpangan dari perilaku normal jaringan
ataupun penyimpangan dari kebijakan keamanan yang diterapkan pada jaringan.
2. PROSES FORENSIK JARINGAN
Proses forensik jaringan terdiri
dari beberapa tahap, yakni :
1) Akuisisi dan pengintaian
(reconnaissance)
Yaitu proses untuk
mendapatkan/mengumpulkan data volatil (jika bekerja pada sistem online) dan
data non-volatil (disk terkait) dengan menggunakan berbagai tool.
2) Analisa
Yaitu proses menganalisa data yang
diperoleh dari proses sebelumnya, meliputi analisa real-time dari data volatil,
analisa log-file, korelasi data dari berbagai divais pada jaringan yang dilalui
serangan dan pembuatan time-lining dari informasi yang diperoleh.
3) Recovery
Yaitu proses untuk
mendapatkan/memulihkan kembali data yang telah hilang akibat adanya intrusi,
khususnya informasi pada disk yang berupa file atau direktori.
2.1 Akuisisi dan Pengintaian
(Reconnaissance)
Tahap awal proses forensik merupakan
hal yang kritis karena menentukan keberhasilan proses forensik. Tahap ini
merupakan proses pengumpulan data dan pengintaian.
2.1.1 Pengumpulan Data Volatil
Data volatil dikumpulkan dari
berbagai sumber, yakni register proses, memori virtual dan fisik, proses-proses
yang sedang berjalan, maupun keadaan jaringan. Sumber informasi tersebut pada
umumnya mempunyai informasi dalam periode yang singkat, sehingga waktu
pengumpulan bersifat kritis dan harus sesegera mungkin diambil setelah terjadi
insiden. Misalnya alamat MAC (Media Access Control) dari computer yang
berkomunikasi dengan computer sasaran yang berada pada subnet yang sama , yang
tersimpan pada ARP (Address Resolution Protocol) cache, segera dibuang setelah
terjalin komunikasi dengan computer lainnya, sehingga data tersebut harus
segera diambil.
Sumber informasi volatil yang
penting beserta instruksi-instruksi yang digunakan untuk menangkap informasi
tersebut diantaranya:
•Proses-proses yang sedang berjalan
(ps atau /proc)
•Hubungan jaringan yang aktif
(nestat)
•ARP cache (arp)
•List of open file (lsop)
•Memori Fisik dan Virtual (/dev/mem,
/dev/kmem)
2.1.2 Melakukan Trap dan Trace
Trap dan trace merupakan proses
untuk memonitor header dari trafik internet tanpa memonitor isinya (tidaklah
legal untuk memonitor isi dari suatu komunikasi data). Proses ini merupakan
cara non intrusif untuk menentukan sumber serangan jaringan atau untuk
mendeteksi kelainan trafik karena hanya mengumpulkan header paket TCP/IP dan
bukan isinya.
Trap dan trace dapat digunakan oleh
analis forensik untuk menjawap beberapa pertanyaan kritis, yakni:
•Apakah alamat IP sumber
mencurigakan?
•Apakah alamat IP dan/ atau nomor
port tujuan mencurigakan? Misal beberapa port yang sangat dikenal digunakan
oleh Trojan adalah 31337 untuk Back Orifice dan 12345 untuk NetBus.
•Apakah terdapat fragmentasi yang
aneh? Fragmentasi sering digunakan untuk membingungkan IDS dan firewall.
•Apakah TCP flag mencurigakan?
Misal, beberapa flag tidak pernah terjadi bersama-sama, seperti R & F
(reset & fin), F alone, dll. Penyerang menggunakan teknik ini untuk
menentukan sistem operasi dari computer sasaran.
•Apakah ukuran paket mencurigakan?
Paket SYN awal seharusnya membawa data 0 byte.
•Apakah tujuan port merupakan
layanan yang valid? Layanan yang valid biasanya ditampilkan dalam dalam file
/etc/services pada mesin Linux.
•Apakah trafik mengikuti standar
RFC?
2.2 Analisa Data
2.2.1 Log File sebagai Sumber
Informasi
Keberhasilan proses forensik sangat
ditentukan oleh kualitas dan kuantitas informasi yang terkumpul. Log file dapat
merupakan sumber informasi yang penting bagi proses forensik. Log file
mengandung informasi tentang berbagai sumber daya sistem, proses-proses dan
aktivitas pengguna. Protocol analyzer, sniffer, server SMTP, DHCP, FTP dan WWW,
router, firewall dan hampir semua aktivitas sistem atau user dapat dikumpulkan
dalam log file. Tetapi jika administrator sistem tidak dapat mencatat, maka
fakta yang diperlukan untuk menghubungkan pelaku dengan insiden tidak ada.
Sayangnya penyerang dan penjahat yang pintar mengetahui hal ini dan tujuan
pertamanya adalah merusak atau mengubah log file untuk menyembunyikan aktivitas
mereka.
Hal kedua yang penting tetapi sering
dilupakan adalah sistem clock. Pencatatan suatu file berhubungan dengan time
stamp dan date stamp yang memungkinkan analis forensik untuk menentukan urutan
kejadian. Tetapi jika sistem clock tidak dikoreksi/dikalibrasi secara berkala
dapat dimatikan dari mana saja dari beberapa detik sampai beberapa jam. Hal ini
menyebabkan masalah karena korelasi antara log file dari computer yang berbeda
yang mempunyai sistem clock yang berbeda akan menyulitkan bahkan tidak mungkin
mengkorelasikan kejadian. Solusi yang sederhana untuk mensinkronisasi clock
adalah seluruh server dan sistem berjalan pada suatu daemon seperti UNIX ntpd
daemon, yang mensinkronisasi waktu dan tanggal sistem secara berkala dengan
suatu atomic clock yang disponsori pemerintah.
2.2.2 Interpretasi Trafik Jaringan
Untuk dapat mengidentifikasi trafik
jaringan yang tidak normal dan mencurigakan, harus dapat mengenali dengan baik
pola trafik jaringan yang normal. Jika pola traffic tidak normal indikasinya
biasanya alamat IP sumber terlihat tidak lazim (palsu) karena berupa satu set
alamat IP cadangan yang biasanya digunakan di dalam jaringan sebagai alamat
privat (misalnya dengan NAT) dan tidak pernah muncul di internet. Juga
time-stamp terlalu berdekatan, dan port sumber dan nomor urut yang naik secara
seragam merupakan petunjuk bahwa hal ini merupakan paket yang tidak normal.
Paket ini menjadi SYNflood, suatu jenis DoS (denial of service), suatu serangan
terhadap server ini menggunakan port 139 (NETbios).
2.2.3 Pembuatan Time Lining
MAC (Modified Access Creation) time
merupakan tool yang sangat berguna untuk menentukan perubahan file, yang dapat
digunakan untuk membuat time lining dari kejadian-kejadian.
M-times berisi informasi tentang
kapan file dimodifikasi terakhir kali, A-times mengandung informasi waktu akses
terakhir (membaca atau mengeksekusi) dan C-times berisi waktu terakhir status
file diubah.
Misalnya di mana waktu akses dan
waktu modifikasi yang sama serta waktu pengubahan 4 menit kemudian menunjukkan
perubahan kepemilikan atau izin setelah file dibuat. Juga ditunjukkan pemilik
file, ukuran, perijinan, jumlah blok yang digunakan,nomor inode dan jumlah link
ke file
Network Forensik part 2 : http://hidupbuta.blogspot.com/2012/11/network-forensic-part-2-server-forensic.html
Network forensik part 4 : http://nikyalexander.blogspot.com/2012/11/network-forensic-part-3-socket-apaitu.html
Network Forensik part 2 : http://hidupbuta.blogspot.com/2012/11/network-forensic-part-2-server-forensic.html
Network forensik part 4 : http://nikyalexander.blogspot.com/2012/11/network-forensic-part-3-socket-apaitu.html