Upload presentasi
Presentasi sedang didownload. Silahkan tunggu
Diterbitkan olehAndika Aquarius Telah diubah "10 tahun yang lalu
1
Investigating Network Intrusion and Computer Forensic
Budi Rahardjo one day seminar on security solution organized by Telkom Professional Development Center 7 April 2008
2
BR - Net Intrusion & Computer Forensic
Pentingnya Jaringan Dahulu komputer (server, sistem) standalone, namun sekarang semua terhubung ke jaringan Jaringan (network) merupakan cara masuk ke sistem (server) Itulah sebabnya jaringan perlu diamankan dan dipantau April 2008 BR - Net Intrusion & Computer Forensic
3
BR - Net Intrusion & Computer Forensic
Pengamanan Sistem Preventif Sebelum terjadinya serangan Contoh perangkat pengamanan: pagar, firewall Reaktif Setelah penyusup berhasil masuk Contoh perangkat pengamanan: CCTV, Intrusion Detection System (IDS), Intrusion Prevention System (IPS) April 2008 BR - Net Intrusion & Computer Forensic
4
Pengamanan Berlapis IDS/IPS detect intrusions
Customer (with authentication device) core applications Internet application gateway Firewal protect access to web server Web server(s) Firewall protect access to SQL April 2008 BR - Net Intrusion & Computer Forensic
5
Mendeteksi Penyusupan
Dilakukan dengan menggunakan IDS Jenis IDS Network-based IDS Host-based IDS Sensor dipasang di titik tertentu Aturan (rules) dibuat sesuai dengan definisi dari “penyusupan” yang kita buat Misal, definisikan anomali di jaringan April 2008 BR - Net Intrusion & Computer Forensic
6
BR - Net Intrusion & Computer Forensic
Hasil IDS Menunjukkan “penyusupan” atau pelanggaran aturan (rules) Harus dipilah lagi untuk menghindari false positives Menjadi jejak untuk melakukan investigasi lebih lanjut April 2008 BR - Net Intrusion & Computer Forensic
7
BR - Net Intrusion & Computer Forensic
Memahami Paket Perlu dikembangkan kemampuan untuk memahami paket root# tcpdump -n -i lo0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on lo0, link-type NULL (BSD loopback), capture size 96 bytes 03:46: IP > : ICMP echo request, id 204, seq 0, length 64 03:46: IP > : ICMP echo reply, id 204, seq 0, length 64 03:46: IP > : ICMP echo request, id 204, seq 1, length 64 03:46: IP > : ICMP echo reply, id 204, seq 1, length 64 Latihan lain: cari 3-way handshaking di TCP/IP April 2008 BR - Net Intrusion & Computer Forensic
8
Latihan, latihan, latihan
Perlu banyak berlatih untuk memahami dan mendapatkan sense dari traffic yang ada Banyak (networking) tools dan data yang bisa digunakan April 2008 BR - Net Intrusion & Computer Forensic
9
BR - Net Intrusion & Computer Forensic
Packet Capture / Dump tcpdump, wireshark, tshark Tangkap paket dan simpan dalam berkas Ada koleksi packet dump (dari berbagai kegiatan, seminar, kumpulan hacker) tcpreplay Memainkan ulang paket di jaringan Dan lain-lain April 2008 BR - Net Intrusion & Computer Forensic
10
BR - Net Intrusion & Computer Forensic
etherape April 2008 BR - Net Intrusion & Computer Forensic
11
BR - Net Intrusion & Computer Forensic
Sumber Data Lainnya Kadang data dari IDS belum cukup untuk menarik kesimpulan mengenai penyusupan Dibutuhkan sumber data lainnya Log dari perangkat jaringan lainnya (router) Log dari server yang ditargetkan, misal data syslog, log web server Catatan di komputer penyusup (bila bisa diperoleh) Catatan daftar hadir … dan lain-lain April 2008 BR - Net Intrusion & Computer Forensic
12
BR - Net Intrusion & Computer Forensic
Analisis Melakukan korelasi terhadap berbagai data Membuat time line beserta fakta Kadang sulit sinkronisasi waktu (itulah manfaatnya ntp) Membuat beberapa skenario Melakukan analisis Mengambil (beberapa) kesimpulan April 2008 BR - Net Intrusion & Computer Forensic
13
BR - Net Intrusion & Computer Forensic
Langkah Berikutnya Penyusup masuk ke/melalui jaringan untuk mentargetkan sebuah server (komputer) Penyusup menggunakan komputer untuk melakukan kegiatannya Ada banyak data dari komputer yang dapat dimanfaatkan untuk membangun kasus penyidikan April 2008 BR - Net Intrusion & Computer Forensic
14
BR - Net Intrusion & Computer Forensic
... is the art and science of applying computer science to aid the legal process. Although plenty of science is attributable to computer forensics, most successful investigators possess a nose for investigations and for solving puzzles, which is where the art comes in. Chris L.T. Brown, Computer Evidence Collection and Preservation, 2006 April 2008 BR - Net Intrusion & Computer Forensic
15
Penyidikan di Komputer
Menggunakan data yang tersedia di komputer Harddisk Memory Masalah Data digital mudah berubah (volatile) dan hilang Penyidikan dapat mengubah data (misal time stamp, content) April 2008 BR - Net Intrusion & Computer Forensic
16
Penyidikan di Komputer
Keuntungan Data digital mudah diduplikasi Log bisa dicatat secara tersebar Adanya data tercecer (misal delete file sebetulnya masih ada berkasnya hanya daftar di direktori yang hilang) April 2008 BR - Net Intrusion & Computer Forensic 16
17
BR - Net Intrusion & Computer Forensic
Cloning Disk Salah satu kegiatan investigasi Membuat duplikasi disk (cloning) Investigasi dilakukan pada disk duplikat sehingga tidak merusak data aslinya Harus dapat dipastikan bahwa duplikat sama persis seperti aslinya Status hukum? April 2008 BR - Net Intrusion & Computer Forensic
18
BR - Net Intrusion & Computer Forensic
Software Forensic Secara teknis ada beberapa tools yang dapat digunakan: Encase Helix, April 2008 BR - Net Intrusion & Computer Forensic
19
Data Yang Lazim Digunakan
Catatan berkas log dari aplikasi Direktori sementara (temporary directory) Registry April 2008 BR - Net Intrusion & Computer Forensic 19
20
BR - Net Intrusion & Computer Forensic
Status Hukum Harus berhati-hati dalam melakukan penyidikan karena bisa jadi barang bukti menjadi tercemar Adanya berbagai sumber data dapat mendukung kesimpulan dari penyidikan Penegak hukum harus diberi wawasan (dan skill) teknologi agar lebih arif dalam menegakkan hukum April 2008 BR - Net Intrusion & Computer Forensic
21
BR - Net Intrusion & Computer Forensic
Lain-lain Kadang perlu dibuat jebakan (honeypot) untuk menangkap penyusup Adanya kesulitan kordinasi untuk mendapatkan data (beda pengelola, lintas negara, dll.) April 2008 BR - Net Intrusion & Computer Forensic 21
22
BR - Net Intrusion & Computer Forensic
Penutup Melakukan investigasi penyusupan (melalui jaringan) dan computer forensic merupakan sebuah bidang yang relatif baru Masih dibutuhkan waktu agar ilmunya menjadi lebih matang Masih dibutuhkan banyak SDM yang menguasai bidang ilmu ini April 2008 BR - Net Intrusion & Computer Forensic
Presentasi serupa
© 2024 SlidePlayer.info Inc.
All rights reserved.