Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Network Forensic

No description
by

Mardian Mardian

on 15 November 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Network Forensic

Network Forensic
Kelompok 1
Annas Primadiarso
Arfinisa Pratidina
Deny Santoso
Gilang Satria
Mardian
Nadhofa Walannae
Razib Kani Maulidan
Rifki Fernanda

PROSES FORENSIK JARINGAN
Proses forensik jaringan terdiri dari beberapa tahap, yakni :

1. Akuisisi dan pengintaian (reconnaissance)
2. Analisa
3. Recovery
Pengumpulan Data Volatil
Data volatil dikumpulkan dari berbagai sumber, yakni register proses, memori virtual dan fisik, proses-proses yang sedang berjalan, maupun keadaan jaringan.
Trap dan Trace
Proses untuk memonitor header dari trafik internet tanpa memonitor isinya (tidaklah legal untuk memonitor isi dari suatu komunikasi data). Proses ini merupakan cara non intrusif untuk menentukan sumber serangan jaringan atau untuk mendeteksi kelainan trafik karena hanya mengumpulkan header paket TCP/IP dan bukan isinya.Contoh di atas menggunakan panjang default 68 byte.
Pengertian Network Forensic
Proses menangkap, mencatat dan menganalisa aktivitas jaringan guna menemukan bukti digital (digital evidence) dari suatu serangan atau kejahatan yang dilakukan terhadap, atau dijalankan menggunakan jaringan komputer sehingga pelaku kejahatan dapat dituntut sesuai hukum yang berlaku.
Network Forensic
Forensik Jaringan ini dapat digunakan untuk menemukan kejahatan di dunia maya seperti cyber crime.
Pengumpulan Data Volatil
Sumber informasi tersebut pada umumnya mempunyai informasi dalam periode yang singkat, sehingga waktu pengumpulan bersifat kritis dan harus sesegera mungkin diambil setelah terjadi insiden.
Misalnya alamat MAC (Media Access Control) dari computer yang berkomunikasi dengan computer sasaran yang berada pada subnet yang sama , yang tersimpan pada ARP (Address Resolution Protocol) cache, segera dibuang setelah terjalin komunikasi dengan computer lainnya, sehingga data tersebut harus segera diambil.
Internet yang berisi Jaringan Forensik dan proses intersepsi yang sah menurut hukum adalah tugas-tugas yang penting untuk banyak organisasi termasuk small medium business, enterprises, industri banking dan finance, tubuh Pemerintahan, forensik, dan agen intelijen untuk tujuan-tujuan yang berbeda-beda seperti penarsipan, intersepsi, dan mengaudit lalu lintas internet untuk referensi masa depan dan kebutuhan forensik. Penarsipan ini dan pemulihan kembali data internet dapat digunakan untuk barang bukti hukum dalam beberapa kasus perselisihan. Pemerintah dan agen-agen intelijen mengunakan beberapa teknologi untuk melindungi dan mempertahankan keamanan nasional.
Network Forensic
Akuisisi dan pengintaian (reconnaissance)
Yaitu proses menganalisa data yang diperoleh dari proses sebelumnya, meliputi analisa real-time dari data volatil, analisa log-file, korelasi data dari berbagai divais pada jaringan yang dilalui serangan dan pembuatan time-lining dari informasi yang diperoleh.
Yaitu proses untuk mendapatkan atau mengumpulkan data volatil (jika bekerja pada sistem online) dan data non-volatil (terkait disk) dengan menggunakan berbagai tool. Tahap awal proses forensik merupakan hal yang kritis karena menentukan keberhasilan proses forensik. Tahap ini merupakan proses pengumpulan data dan pengintaian.
Analisa
Recovery
Yaitu proses untuk mendapatkan/memulihkan kembali data yang telah hilang akibat adanya intrusi, khususnya informasi pada disk yang berupa file atau direktori.
Gambar
Proses Forensik
Sumber informasi volatil yang penting beserta instruksi-instruksi yang digunakan untuk menangkap informasi tersebut diantaranya :
Pengumpulan Data Volatil
Proses-proses yang sedang berjalan (ps atau /proc)
Hubungan jaringan yang aktif (nestat)
ARP cache (arp)
List of open file (lsop)
Memori Fisik dan Virtual (/dev/mem, /dev/kmem)

Sumber Informasi Volatil
Trap dan trace dapat digunakan oleh analis forensik untuk menjawab beberapa pertanyaan kritis, yakni :
Apakah alamat IP sumber mencurigakan?
Apakah alamat IP dan/ atau nomor port tujuan mencurigakan?

Misal beberapa port yang sangat dikenal digunakan oleh Trojan adalah 31337.
Log File
Keberhasilan proses forensik sangat ditentukan oleh kualitas dan kuantitas informasi yang terkumpul. Log file mengandung informasi tentang berbagai sumber daya sistem, proses-proses dan aktivitas pengguna.

Pencatatan suatu file berhubungan dengan time stamp dan date stamp yang memungkinkan analis forensik untuk menentukan urutan kejadian. Tetapi jika sistem clock tidak dikoreksi/dikalibrasi secara berkala dapat dimatikan dari mana saja dari beberapa detik sampai beberapa jam. Hal ini menyebabkan masalah karena korelasi antara log file dari computer yang berbeda yang mempunyai sistem clock yang berbeda akan menyulitkan bahkan tidak mungkin mengkorelasikan kejadian.
Interpretasi Trafik Jaringan
Untuk dapat mengidentifikasi trafik jaringan yang tidak normal dan mencurigakan, harus dapat mengenali dengan baik pola trafik jaringan yang normal. Jika pola traffic tidak normal indikasinya biasanya alamat IP sumber terlihat tidak lazim (palsu) karena berupa satu set alamat IP cadangan yang biasanya digunakan di dalam jaringan sebagai alamat privat (misalnya dengan NAT) dan tidak pernah muncul di internet. Juga time-stamp terlalu berdekatan, dan port sumber dan nomor urut yang naik secara seragam merupakan petunjuk bahwa hal ini merupakan paket yang tidak normal.
Pembuatan Time Lining
MAC (Modified Access Creation) time merupakan tool yang sangat berguna untuk menentukan perubahan file, yang dapat digunakan untuk membuat time lining dari kejadian-kejadian. M-times berisi informasi tentang kapan file dimodifikasi terakhir kali, A-times mengandung informasi waktu akses terakhir (membaca atau mengeksekusi) dan C-times berisi waktu terakhir status file diubah.
Misalnya di mana waktu akses dan waktu modifikasi yang sama serta waktu pengubahan 4 menit kemudian menunjukkan perubahan kepemilikan atau izin setelah file dibuat. Juga ditunjukkan pemilik file, ukuran, perijinan, jumlah blok yang digunakan, dan jumlah link ke file.
TOOLS NETWORK FORENSIK
Aplikasi yang digunakan untuk oleh ahli forensik yang digunakan untuk melakukan hal-hal yang berhubungan dengan forensik seperti melakukan pemantauan dan audit pada jaringan.
Tool kit untuk pengujian forensik memungkinkan untuk mengumpulkan dan analisis data seperti :
NetCat
Wireshark/Ethereal
netstat
ifconfig
Dalam pengelompokannya untuk tools itu dibagi menjadi 2 yaitu GUI dan Command Line.
Tools Network Forensik
Berbasis GUI
Wireshark/ethereal merupakan penganalisis dan monitoring network yang populer.
NetCat merupakan sebuah utiliti tool yang digunakan untuk berbagai hal yang berkaitan dengan protokol TCP atau UDP. Yang dapat membuka koneksi TCP, mengirimkan paket­paket UDP, listen pada port ­port TCP dan UDP, melakukan scanning port, dan sesuai dengan IPV4 dan IPV6. Biasanya netcat ini digunakan oleh para hacker atau peretas untuk melakukan connect back pada sistem target agar hacker mendapatkan akses root melalui port yg telah di tentukan oleh hacker tersebut.
Tools
Berbasis Command Line
Address Resolution Protocol disingkat ARP adalah sebuah protokol dalam TCP/IP Protocol Suite yang bertanggungjawab dalam melakukan resolusi alamat IP ke dalam alamat Media Access Control (MAC Address).
Ifconfig atau Interface Configurator adalah sebuah perintah pada linux yang digunakan untuk mengkonfigurasi interface jaringan. Ifconfig banyak dipakai untuk initialize antarmuka jaringan dan untuk mengaktifkan atau menonaktifkan antarmuka. Digunakan untuk melihat alamat IP dan MAC anda.
PENCEGAHAN
Upgrade Sistem Operasi
Gunakan Firewall
Install Antivirus
Selalu Update
Mencegah Spyware
Membatasi Resiko Email Spam
Backup
Keamanan Fisik
Ping adalah sebuah utilitas yang digunakan untuk memeriksa konektivitas antar jaringan melalui sebuah protokol Transmission Control Protocol/Internet Protocol (TCP/IP) dengan cara mengirim sebuah paket Internet Control Message Protocol (ICMP) kepada alamat IP yang hendak diuji coba konektivitasnya. Ping digunakan untuk mengirim paket untuk menyelidiki mesin remote.
Snoop digunakan untuk menangkap paket dari jaringan dan menampilkan isinya (Solaris).
KESIMPULAN
Forensik Jaringan ini dapat digunakan untuk menemukan kejahatan di dunia maya seperti cyber crime. Dengan banyaknya tools network forensic, kita harus memahami konsep dan cara kerja dari tools tersebut agar memudahkan dalam proses pencarian bukti digital.
Full transcript