Network Forensics

Salah satu jalan penyerang dapat melakukan security breach adalah mendapatkan akses yang tidak terotorisasi ke data rahasia atau sensitif melalui jaringan. Network forensics artinya investigasi dari setiap kejahatan siber yang terjadi pada level jaringan. Caranya dengan melakukan sniffing, capturing, dan analisis lalu lintas jaringan serta log event. Khusus pada network forensics ada 2 kategori, yaitu postmortem (investigasi dilakukan setelah terdeteksi insiden di jaringan) dan real-time analysis (investigasi dilakukan saat serangan sedang terjadi di jaringan). Perhatikan jenis serangan pada network:

  1. Most common attacks on networks
    • Eavesdropping : melakukan intersep pada koneksi yang tidak aman untuk mencuri informasi personal (penyadapan)
    • Data Modification : biasanya mengubah atau menghapus data
    • IP Address Spoofing : penyerang akan mengirimkan pesan ke komputer dengan alamat IP yang seolah-olah benar
    • Denial-of-Service Attack : membuat lalu lintas menjadi banjir
    • Man-in-the-Middle Attack : penyerang berada di antara perangkat yang saling berkomunikasi
    • Packet Sniffing : menangkap lalu lintas jaringan dengan tujuan menghasilkan informasi sensitif
    • Enumeration : mengumpulkan seluruh informasi tentang jaringan
    • Session Hijacking : eksploitasi pada token session
    • Buffer Overflow : memanfaatkan penyimpanan sementara atau buffer yang tersisa untuk menyisipkan kode berbahaya
    • Email Infection : menggunakan email untuk menyerang jaringan
    • Malware attack : menggunakan perangkat lunak yang dibuat
    • Password-based attack : melakukan duplikasi valid login
    • Router Attacks : melakukan kompromi dengan router
  2. Attacks specific to wireless networks
    • Rogue Access Point Attack : memasang wireless access point di wlan tanpa otorisasi
    • Client Misassociation : seorang client yang menempelkan access point dimana bukan jaringannya
    • Misconfigured Access Point Attack : adanya konfigurasi yang terlewat pada wireless access point
    • Unauthorized Association : eksploitasi pada perangkat lunak dari access point
    • Ad Hoc Connection Attack : menggunakan USB adapter atau kartu wireless
    • Honeypot Access Point Attack : terjadi ketika banyak WLANs dalam satu area yang sama
    • AP MAC Spoofing : mengubah MAC sehingga tidak mudah dikenal
    • Jamming Attack : menggunakan Denial of Service

Melalui IoC atau indicator of compromise dapat dilakukan pendeteksian insiden keamanan yang telah terjadi atau sedang terjadi di sebuah host system atau network. Artefak IoC tersebut termasuk logs yang berelasi dengan sistem, aplikasi, network, dan firewall. Contoh IoC yang biasa didiskusikan seperti lalu lintas jaringan keluar yang tidak biasa, URL, user-agent strings, login yang tidak biasa, penambahan angka request untuk file yang sama, dan lalu lintas jaringan pada port yang tidak biasa. Setelah mengetahui kemungkinan serangan yang dapat terjadi pada network serta indikator kompromi, lalu dari mana ditemukan evidence adanya serangan pada jaringan. Tidak lain caranya melalui analisis log atau aktivitas dari lalu lintas jaringan. Pada dasarnya jaringan dapat dibagi menjadi 2 layer, yaitu higher layer dan lower layer. Yang dimaksud higher layer adalah layer yang mengatur informasi terkirim dan diterima di dalam paket-paket data kemudian dikirim melalui internet dan dikombinasikan semua paket ke pesan utama. 

sumber: ec-council

Sedangkan pada lower layer paket data tersebut dikirim melalui lapisan yang lebih detail. Ada 2 model dalam lower layer, yaitu OSI model dan TCP/IP model. Biasanya cukup menganalisis dengan model TCP/IP:

  1. Network Access Layer : protokol seperti Frame Relay, SMDS, Fast Ethernet, SLIP, PPP, FDDI, ATM, Ethernet, dan ARP
  2. Internet Layer : protokol seperti IP, ICMP, ARP, dan IGMP
  3. Transport Layer : protokol seperti TCP dan UDP
  4. Application Layer : protokol seperti HTTP, Telnet, FTP, SMTP, NFS, TFTP, SNMP, dan DNS

Setelah mengetahui pemodelan dari layer yang mungkin diserang oleh hacker maka Evidence didapatkan melalui full content data, session data, alert data, dan statistical data. Jadi yang diperhatikan adalah tanda-tanda yang bersifat anomali. Walaupun terkadang ada juga serangan yang tidak bersifat anomali dan ini adalah penyusup yang cukup sulit diidentifikasi. Biasanya cara yang dilakukan untuk mengidentifikasi adanya serangan pada jaringan adalah dengan konsep korelasi. Salah satu tekniknya disebut event correlation yang merupakan teknik untuk menetapkan makna dari kejadian yang terjadi dalam rentang waktu tertentu. Misalnya telah terjadi 10 kali kegagalan login selama 5 menit, ini menandakan adanya serangan keamanan. Contoh lain jika terjadi temperatur dari perangkat melewati batas selama 5 detik maka ganti menjadi kejadian device down. Ada 4 langkah berbeda dalam event correlation:

  1. Event aggregation : menggabungkan acara yang berulang menjadi satu acara dan menghindari duplikasi dari acara yang sama
  2. Event masking : hilangnya acara yang berelasi dengan sistem pada area hilir dari sistem yang gagal
  3. Event filtering : melakukan filter dan menghilangkan acara yang tidak berelasi dengan sistem
  4. Root cause analysis : saat mencari akar penyebab, orang yang melakukan harus mengidentifikasi semua device yang tidak dapat diakses sehingga membuat jaringan menjadi gagal
Sebelum melakukan korelasi acara atau event correlation ada 3 syarat yang perlu dipenuhi, yaitu transmission of data (perpindahan data harus terenkripsi dan terotentikasi), normalization (setelah data dikumpulkan maka harus di format ulang dari log format yang berbeda ke single log sehingga lebih mudah dimasukkan ke dalam database), dan data reduction (setelah data terkoleksikan maka data yang berulang harus dihapus sehingga korelasi lebih efisien). Setelah syarat terpenuhi maka dapat mulai dilakukan pendekatan korelasi. Sayangnya banyak pendekatan yang dapat dilakukan untuk korelasi acara, yaitu
  1. Graph-Based Approach
  2. Neural Network-Based Approach
  3. Codebook-Based Approach
  4. Rule-Based Approach
  5. Field-Based Approach
  6. Automated Field Correlation
  7. Packet Parameter/Payload Correlation for Network Management
  8. Profile/Fingerprint-Based Approach
  9. Vulnerability-Based Approach
  10. Open-Port-Based Correlation
  11. Bayesian Correlation
  12. Time (Clock Time) or Role-based Approach
  13. Route Correlation
IoC atau indicator of compromise dari log Network harus dilakukan pemantauan dan pemeriksaan secara hati-hati. Tentu saja indikator tersebut didapatkan setelah melakukan pendekatan event correlation. Perlu diketahui pada awalnya hub  merupakan bandwidth sharing, artinya ketika satu paket (berisi source dan destination) datang maka hub tidak perduli kemana akan dikirim selama ada komputer yang terhubung maka paket akan dikirim secara broadcast. Kemudian ditambah dengan Mac table atau Cam table sehingga tercipta switch, yaitu akan dilihat paket itu tujuannya kemana dan kemudian dicocokkan dengan daftar port yang dimiliki oleh switch. Switch disebut dengan intelligent device karena melihat paket terlebih dahulu akan dikirim kemana (port mana) dan switch akan membuka port yang dibutuhkan saja sehingga hacker dapat terhindar jika berada di port yang tidak sesuai. Selanjutnya switch ditambah gateway atau interface baik menggunakan proxy maupun windows sehingga menjadi router. Lebih detail lagi router ditambah dengan access control list yang memungkinkan pertanyaan siapa yang bisa masuk ke port ini dan memeriksa apakah paket boleh masuk atau tidak, ini disebut firewall. Dengan menambahkan signature pada firewall maka akan tercipta IDS atau intrusion detection system, tujuannya adalah untuk melihat isi paket apakah berisi malicious software misalnya, lalu akan muncul alarm. Lalu IDS ditambah dengan fungsi blocking maka jadilah IPS atau intrusion prevention system yang memungkinkan pemblokiran alamat IP misalnya. Kemudian IPS dikombinasikan dengan SNMP atau simple network management protocol maka jadilah SIEM atau Security Information and Event Management. SIEM akan memunculkan dashboard yang berupa laporan-laporan. Jika SIEM dilengkapi kemampuan analisis maka akan muncul UEBA atau User and Entity Behavior Analytics, teknologi lain ada SOAR atau Security Orchestration, Automation, and Response. Demikian dalam network forensics perlu dianalisa log seperti:
  1. Firewall Logs
  2. Intrusion Detection System Logs
  3. Honeypot Logs
  4. Router Logs
  5. Dynamic Host Configuration Protocol Logs

Lalu lintas mengalir di atas jaringan yang sering menyediakan indikator terdekat dari sebuah serangan. Sekali adanya intrusi yang mencurigakan maka investigator butuh untuk melakukan analisis lalu lintas jaringan dengan cara memantau lalu lintas jaringan secara real-time. Dari pemantauan ini dimungkinkan untuk mendapatkan evidence melalui sniffing atau pengendusan. Ada beberapa alat yang dapat digunakan untuk melakukan sniffing, yaitu Tcpdump (https://www.tcpdump.org) untuk CLI dan Wireshark (https://www.wireshark.org) untuk GUI.




ref:
ec-council
coach Belly Rachdianto

Komentar

Posting Komentar