Suwito Pomalingo | Seize The Day
Mengenal Network Forensic
Pendahuluan
Network Forensic atau forensik jaringan komputer merupakan cabang dari keamanan siber yang terus berkembang di tengah meningkatnya ancaman keamanan digital, merupakan kunci untuk mengungkap aktivitas mencurigakan dan serangan siber. Sebagian besar serangan pasti akan melintasi jaringan sebelum mencapai tujuannya, meninggalkan bukti, sesuai dengan Locard’s exchange principle yang menyatakan bahwa “setiap kontak meninggalkan jejak”, berlaku bahkan di ruang siber.
Inti dari Network Forensik atau Forensik Jaringan adalah mengidentifikasi dan mengambil informasi detail yang berkaitan dengan kejahatan siber dalam konteks jaringan, meliputi penangkapan, pendokumentasian, dan analisis aktivitas jaringan. Sangat berguna dalam kasus kebocoran jaringan, pencurian data, atau lalu lintas jaringan yang mencurigakan, Network Forensik berfokus pada penyelidikan dan analisis lalu lintas dalam jaringan yang dicurigai telah ter-compromise oleh penjahat siber.
Investigasi menyeluruh pada jaringan internet sering kali menjadi tantangan, terutama jika jejak mengarah ke jaringan di negara lain. Untuk memahami Forensik Jaringan, perlu memahami dasar-dasar internet, termasuk perangkat lunak komunikasi dan pencarian umum, serta Penyedia Layanan Internet (ISP), alamat IP, dan alamat MAC. Selengkapnya, untuk mengidentifikasi pola serangan, investigator perlu memahami protokol aplikasi dan jaringan. Aplikasi dan protokol tersebut meliputi:
- Protokol web (contohnya, http dan https)
- Protokol transfer file (contohnya, Server Message Block/SMB dan Network File System/NFS)
- Protokol email (contohnya, Simple Mail Transfer Protocol/SMTP)
- Protokol jaringan (contohnya, Ethernet, Wi-Fi dan TCP/IP)
Investigator akan lebih mudah mengenali anomali lalu lintas ketika serangan siber dimulai karena aktivitas tersebut menyimpang dari kebiasaan.
Tulisan kali ini bertujuan memberikan pengantar komprehensif tentang Network Forensic, menguraikan konsep, metodologi, serta alat yang digunakan, dan akan menjelajahi berbagai aspeknya, dari dasar hingga aplikasi nyata, meningkatkan pemahaman tentang topik ini serta menunjukkan relevansinya dalam konteks keamanan siber yang lebih luas.
Konsep Dasar Network Forensic
Network Forensic adalah proses mengidentifikasi, mengumpulkan, memeriksa, dan menganalisis data dari jaringan komputer untuk tujuan investigasi dan keamanan siber. Ini melibatkan pemahaman tentang bagaimana data bergerak melalui jaringan dan bagaimana jejak digital dapat ditemukan dan dianalisis untuk menemukan bukti kegiatan ilegal atau tidak sah.
Meskipun Network Forensic adalah bagian dari Digital Forensic, ada beberapa perbedaan penting. Digital Forensic pada umumnya mencakup analisis perangkat keras dan perangkat lunak komputer untuk menemukan bukti digital. Sementara itu, Network Forensic lebih fokus pada lalu lintas jaringan dan komunikasi data. Ini berarti Network Forensic lebih banyak menangani data yang sedang bergerak atau tersimpan di jaringan, bukan hanya pada perangkat individu. Dibandingkan dengan Digital Forensik, Netowrk Forensik lebih sulit karena data yang bersifat volatile, yang hilang setelah ditransmisikan melintasi jaringan. Forensik jaringan fokus pada informasi yang dinamis, sementara forensik komputer/cakram keras bekerja dengan data yang statis.
Sama seperti rekaman Closed-Circuit Television (CCTV), sebuah salinan aliran jaringan diperlukan untuk menganalisis situasi secara tepat. Karena sifat data jaringan yang dinamis, pengaturan sebelumnya diperlukan untuk merekam dan menyimpan lalu lintas jaringan. Perekaman lalu lintas jaringan yang disengaja ini berbeda dari Digital Forensik konvensional di mana informasi berada pada media penyimpanan yang stabil. Selain itu, log sangat penting dalam konteks forensik jaringan dibandingkan dengan forensik komputer/cakram keras.
Sebagai bagian dari seluruh investigasi forensik digital, Network Forensik membantu menyusun potongan-potongan yang hilang untuk menunjukkan gambaran keseluruhan kepada penyelidik. Ini dapat mendukung analisis penyebab utama dengan menunjukkan metode awal dan cara kompromi.
Dalam praktiknya, Network Forensic digunakan dalam berbagai situasi, seperti:
- Mendeteksi dan Menganalisis Serangan Siber. Misalnya, mengidentifikasi asal usul serangan DDoS (Distributed Denial of Service) dengan menganalisis pola lalu lintas jaringan.
- Penyelidikan Kebocoran Data. Menelusuri bagaimana dan kapan data rahasia perusahaan bocor melalui jaringan.
- Pengawasan Kegiatan Ilegal. Seperti mengidentifikasi transfer file ilegal atau aktivitas komunikasi terlarang dalam jaringan.
Setiap aktivitas dalam Network Forensik menunjukkan betapa penting dan beragamnya peran Network Forensic dalam menjaga keamanan informasi di era digital saat ini.
Metodologi dan Alat dalam Network Forensic
Dalam Network Forensic, metodologi yang diadopsi biasanya melibatkan langkah-langkah sistematis yang dimulai dari identifikasi, pengumpulan, pemeriksaan, analisis, hingga pelaporan bukti digital. Metodologi ini sering kali mencakup:
- Identifikasi. Menemukan dan menandai sumber data yang relevan dalam jaringan.
- Pengumpulan. Mengamankan data jaringan, termasuk lalu lintas jaringan, log server, dan komunikasi.
- Pemeriksaan. Mengisolasi dan memilah-milah data yang relevan dari data yang tidak relevan.
- Analisis. Menafsirkan data yang dikumpulkan untuk mengidentifikasi pola, keanehan, atau aktivitas yang mencurigakan.
- Pelaporan. Membuat laporan yang rinci dan dapat dimengerti mengenai temuan dan proses analisis.
Dalam Network Forensic juga dikenal ada dua metode utama, yaitu:
- Metode “Catch it as you can“. Dimana seluruh lalu lintas jaringan dicapture. Ini menjamin tidak ada pengabaian peristiwa jaringan penting. Proses ini memakan waktu dan mengurangi efisiensi penyimpanan karena volume penyimpanan yang bertambah.
- Metode “Stop, look and listen“. Administrator mengamati setiap paket data yang melewati jaringan tetapi hanya menangkap apa yang dianggap mencurigakan dan layak untuk analisis mendalam. Meskipun metode ini tidak memakan banyak ruang, mungkin memerlukan daya pemrosesan yang signifikan.
Adapun sumber utama dari data yang perlu di capture untuk dianalisa dari Jaringan yakni:
- Perekaman Data Paket Penuh (Full-packet data capture). Ini merupakan hasil dari metode “Catch it as you can“. Perusahaan besar biasanya memiliki jaringan yang luas dan mungkin tidak produktif bagi mereka untuk menyimpan perekaman paket penuh untuk periode waktu yang lama.
- Berkas Log (Log files). Berkas-berkas ini berada pada server web, server proxy, server Active Directory, firewall, Sistem Deteksi Intrusi (Intrusion Detection Systems – IDS), DNS dan Protokol Host Dinamis (Dynamic Host Configuration Protocols – DHCP). Tidak seperti perekaman paket penuh, berkas log tidak memakan banyak ruang.
Berkas log menyediakan informasi berguna tentang aktivitas yang terjadi pada jaringan, seperti alamat IP, port TCP dan Layanan Nama Domain (Domain Name Service – DNS). Berkas log juga menunjukkan nama situs yang dapat membantu ahli forensik melihat pasangan sumber dan tujuan yang mencurigakan, seperti jika server mengirim dan menerima data dari server yang tidak sah dari negara tertentu. Selain itu, aktivitas aplikasi yang mencurigakan — seperti browser yang menggunakan port selain port 80, 443, atau 8080 untuk komunikasi — juga ditemukan pada berkas log. Analisis log terkadang memerlukan proses ilmiah dan kreatif untuk menceritakan kejadian insiden.
Network Forensik bergantung pada log peristiwa yang menunjukkan urutan waktu. Penyelidik menentukan timeline menggunakan informasi dan komunikasi yang direkam oleh sistem kontrol jaringan. Analisis peristiwa jaringan sering kali mengungkap sumber serangan.
Jenis-jenis Alat dan Software yang Sering Digunakan dalam Network Forensic
Dalam praktiknya, berbagai alat dan perangkat lunak digunakan untuk memfasilitasi proses Network Forensic:
- Packet Sniffers. Seperti Wireshark, yang digunakan untuk merekam lalu lintas data pada jaringan.
- Log Analysis Tools. Alat ini membantu menganalisis log server dan perangkat jaringan.
- Network Scanners. Alat seperti Nmap, yang digunakan untuk memetakan jaringan dan mengidentifikasi perangkat yang terhubung.
- Forensic Databases. Basis data yang menyimpan informasi terkait investigasi untuk analisis lanjutan.
- Specialized Forensic Software. Perangkat lunak seperti NetDetector, NetIntercept, OmniPeek, PyFlag, Xplico, dan NetworkMiner yang dirancang khusus untuk analisis jaringan forensik.
Alat atau tools Network Forensic memainkan peran krusial dalam investigasi keamanan siber dengan berbagai cara:
- Deteksi dan Analisis Serangan. Tools dari Network Forensik memungkinkan penyelidik untuk mengidentifikasi pola serangan, seperti serangan DDoS atau penetrasi jaringan yang tidak sah.
- Pemulihan Data. Memfasilitasi pemulihan data yang mungkin telah dihapus atau dienkripsi oleh penyerang.
- Pemantauan Aktivitas Jaringan. Memungkinkan pemantauan real-time dan retrospektif terhadap lalu lintas jaringan untuk mendeteksi aktivitas mencurigakan.
- Penyediaan Bukti. Mengumpulkan bukti yang dapat digunakan dalam proses hukum untuk menunjukkan kejadian serangan siber.
- Analisis Lanjutan. Membantu dalam analisis mendalam terkait sumber, metode, dan dampak serangan terhadap jaringan.
Dengan menggunakan kombinasi metodologi yang terstruktur dan tools yang tepat, Network Forensic dapat menjadi lebih efektif mengungkap dan mengatasi ancaman keamanan siber.
Tantangan dan Isu dalam Network Forensic
- Tantangan dalam Mengumpulkan dan Menganalisis Data Jaringan
Mengumpulkan dan menganalisis data dalam Network Forensic menyimpan sejumlah tantangan. Pertama, volume data yang besar dalam jaringan modern dapat menyulitkan penyelidik untuk secara efisien mengidentifikasi dan menganalisis data yang relevan. Kedua, lalu lintas jaringan yang terenkripsi menambah kompleksitas dalam proses analisis. Ketiga, alat-alat forensik harus terus diperbarui untuk mengikuti perkembangan teknologi terbaru agar dapat mendeteksi dan menganalisis ancaman terkini. Keempat, menghadapi teknik penyerangan yang terus berkembang dan canggih, penyelidik harus memiliki pengetahuan yang mendalam dan terus menerus diperbarui. - Isu Privasi dan Hukum yang Berkaitan dengan Network Forensic
Network Forensic juga sering kali berhadapan dengan isu privasi dan hukum. Penyelidikan dalam jaringan dapat melibatkan akses ke data pribadi, yang memunculkan pertanyaan tentang batasan privasi dan persetujuan. Selain itu, perbedaan peraturan hukum antarnegara bisa menjadi tantangan dalam kasus serangan lintas negara. Penyelidik harus memastikan bahwa semua aktivitas forensik mereka mematuhi hukum dan regulasi yang berlaku untuk menghindari pelanggaran hukum yang mungkin terjadi selama proses penyelidikan. - Perkembangan Terbaru dan Masa Depan Network Forensic
Perkembangan terbaru dalam Network Forensic terus berfokus pada peningkatan efisiensi dan efektivitas dalam menghadapi ancaman siber yang berkembang. Hal ini termasuk pengembangan algoritma canggih untuk deteksi ancaman, penggunaan kecerdasan buatan dan pembelajaran mesin untuk analisis data secara otomatis, serta integrasi dengan teknologi cloud untuk penanganan data dalam skala besar. Ke depan, kita dapat mengharapkan peningkatan kemampuan adaptasi alat forensik dalam menghadapi ancaman siber yang semakin kompleks, serta peningkatan kolaborasi lintas batas dalam penyelidikan untuk mengatasi tantangan serangan siber yang bersifat global.