Scribd Logo
Upload

Welcome to Scribd!

  • Net Intrusion and Forensic

    Uploaded by

    Prawira Galih
    10 views22 pages
    sekuriti

    Copyright

    © © All Rights Reserved

    Available Formats

    PPT, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    sekuriti

    Copyright:

    © All Rights Reserved
    Download as PPT, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    10 views22 pages

    Net Intrusion and Forensic

    Uploaded by

    Prawira Galih
    sekuriti

    Copyright:

    © All Rights Reserved
    Download as PPT, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 22

    Investigating Network Intrusion and Computer Forensic

    Budi Rahardjo budi@insan.co.id http://budi.insan.co.id


    one day seminar on security solution organized by Telkom Professional Development Center 7 April 2008

    Pentingnya Jaringan
    Dahulu komputer (server, sistem) standalone, namun sekarang semua terhubung ke jaringan Jaringan (network) merupakan cara masuk ke sistem (server) Itulah sebabnya jaringan perlu diamankan dan dipantau

    April 2008

    BR - Net Intrusion & Computer Forensic

    Pengamanan Sistem
    Preventif
    Sebelum terjadinya serangan Contoh perangkat pengamanan: pagar, firewall

    Reaktif
    Setelah penyusup berhasil masuk Contoh perangkat pengamanan: CCTV, Intrusion Detection System (IDS), Intrusion Prevention System (IPS)
    April 2008 BR - Net Intrusion & Computer Forensic 3

    Pengamanan Berlapis
    IDS/IPS Customer
    (with authentication device) detect intrusions

    Internet

    core applications

    Firewal
    protect access to web server
    April 2008

    Web server(s)

    Firewall
    protect access to SQL

    application gateway

    BR - Net Intrusion & Computer Forensic

    Mendeteksi Penyusupan
    Dilakukan dengan menggunakan IDS Jenis IDS
    Network-based IDS Host-based IDS

    Sensor dipasang di titik tertentu Aturan (rules) dibuat sesuai dengan definisi dari penyusupan yang kita buat
    Misal, definisikan anomali di jaringan
    April 2008 BR - Net Intrusion & Computer Forensic 5

    Hasil IDS
    Menunjukkan penyusupan atau pelanggaran aturan (rules) Harus dipilah lagi untuk menghindari false positives Menjadi jejak untuk melakukan investigasi lebih lanjut

    April 2008

    BR - Net Intrusion & Computer Forensic

    Memahami Paket
    Perlu dikembangkan kemampuan untuk memahami paket
    root# tcpdump -n -i lo0
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on lo0, link-type NULL (BSD loopback), capture size 96 bytes 03:46:22.758381 IP 127.0.0.1 > 127.0.0.1: ICMP echo request, id 204, seq 0, length 64 03:46:22.758450 IP 127.0.0.1 > 127.0.0.1: ICMP echo reply, id 204, seq 0, length 64 03:46:23.758607 IP 127.0.0.1 > 127.0.0.1: ICMP echo request, id 204, seq 1, length 64 03:46:23.758674 IP 127.0.0.1 > 127.0.0.1: ICMP echo reply, id 204, seq 1, length 64

    Latihan lain: cari 3-way handshaking di TCP/IP

    April 2008

    BR - Net Intrusion & Computer Forensic

    Latihan, latihan, latihan


    Perlu banyak berlatih untuk memahami dan mendapatkan sense dari traffic yang ada Banyak (networking) tools dan data yang bisa digunakan

    April 2008

    BR - Net Intrusion & Computer Forensic

    Packet Capture / Dump


    tcpdump, wireshark, tshark
    Tangkap paket dan simpan dalam berkas Ada koleksi packet dump (dari berbagai kegiatan, seminar, kumpulan hacker)

    tcpreplay
    Memainkan ulang paket di jaringan

    Dan lain-lain
    April 2008 BR - Net Intrusion & Computer Forensic 9

    etherape

    April 2008

    BR - Net Intrusion & Computer Forensic

    10

    Sumber Data Lainnya


    Kadang data dari IDS belum cukup untuk menarik kesimpulan mengenai penyusupan Dibutuhkan sumber data lainnya
    Log dari perangkat jaringan lainnya (router) Log dari server yang ditargetkan, misal data syslog, log web server Catatan di komputer penyusup (bila bisa diperoleh) Catatan daftar hadir dan lain-lain
    April 2008 BR - Net Intrusion & Computer Forensic 11

    Analisis
    Melakukan korelasi terhadap berbagai data Membuat time line beserta fakta
    Kadang sulit sinkronisasi waktu (itulah manfaatnya ntp)

    Membuat beberapa skenario Melakukan analisis Mengambil (beberapa) kesimpulan


    April 2008 BR - Net Intrusion & Computer Forensic 12

    Langkah Berikutnya
    Penyusup masuk ke/melalui jaringan untuk mentargetkan sebuah server (komputer) Penyusup menggunakan komputer untuk melakukan kegiatannya Ada banyak data dari komputer yang dapat dimanfaatkan untuk membangun kasus penyidikan
    April 2008 BR - Net Intrusion & Computer Forensic 13

    Computer Forensic
    ... is the art and science of applying computer science to aid the legal process. Although plenty of science is attributable to computer forensics, most successful investigators possess a nose for investigations and for solving puzzles, which is where the art comes in.
    Chris L.T. Brown, Computer Evidence Collection and Preservation, 2006
    April 2008 BR - Net Intrusion & Computer Forensic 14

    Penyidikan di Komputer
    Menggunakan data yang tersedia di komputer
    Harddisk Memory

    Masalah
    Data digital mudah berubah (volatile) dan hilang Penyidikan dapat mengubah data (misal time stamp, content)
    April 2008 BR - Net Intrusion & Computer Forensic 15

    Penyidikan di Komputer
    Keuntungan
    Data digital mudah diduplikasi Log bisa dicatat secara tersebar Adanya data tercecer (misal delete file sebetulnya masih ada berkasnya hanya daftar di direktori yang hilang)

    April 2008

    BR - Net Intrusion & Computer Forensic

    16

    Cloning Disk
    Salah satu kegiatan investigasi
    Membuat duplikasi disk (cloning) Investigasi dilakukan pada disk duplikat sehingga tidak merusak data aslinya Harus dapat dipastikan bahwa duplikat sama persis seperti aslinya
    Status hukum?

    April 2008

    BR - Net Intrusion & Computer Forensic

    17

    Software Forensic
    Secara teknis ada beberapa tools yang dapat digunakan:
    Encase Helix, http://www.e-fense.com/helix/

    April 2008

    BR - Net Intrusion & Computer Forensic

    18

    Data Yang Lazim Digunakan


    Catatan berkas log dari aplikasi Direktori sementara (temporary directory) Registry

    April 2008

    BR - Net Intrusion & Computer Forensic

    19

    Status Hukum
    Harus berhati-hati dalam melakukan penyidikan karena bisa jadi barang bukti menjadi tercemar Adanya berbagai sumber data dapat mendukung kesimpulan dari penyidikan Penegak hukum harus diberi wawasan (dan skill) teknologi agar lebih arif dalam menegakkan hukum
    April 2008 BR - Net Intrusion & Computer Forensic 20

    Lain-lain
    Kadang perlu dibuat jebakan (honeypot) untuk menangkap penyusup Adanya kesulitan kordinasi untuk mendapatkan data (beda pengelola, lintas negara, dll.)

    April 2008

    BR - Net Intrusion & Computer Forensic

    21

    Penutup
    Melakukan investigasi penyusupan (melalui jaringan) dan computer forensic merupakan sebuah bidang yang relatif baru Masih dibutuhkan waktu agar ilmunya menjadi lebih matang Masih dibutuhkan banyak SDM yang menguasai bidang ilmu ini
    April 2008 BR - Net Intrusion & Computer Forensic 22

    You might also like