Penggunaan Data dar

6.4 Menguji data jalur lalu lintas jaringan

6.4.4 Identifikasi attacker

Ketika meneliti kebanyakan serangan, mengidentifikasi attacker bukan perhatian yang segera utama – memastikan bahwa serangan dihentikan dan fokus memulihkan sistem dan data. Jika suatu serangan berkelanjutan, seperti penolakan secara luas dari layanan serangan, organisasi mungkin ingin untuk mengidentifikasi alamat IP yang digunakan oleh attacker

maka serangan tersebut akan dapat dihentikan. Sayang sekali, hal ini seringkali tidak sesederhana seperti katanya. Materi berikut enjelaskan persoalan potensi melibatkan alam IP yang kelihatannya digunakan untuk melakukan suatu serangan :

1. Alamat IP Gurauan. Banyak serangan yang menggunakan alamat IP gurauan (spoofed). Jauh lebih sulit melakukan spoofing dengan sukses untuk serangan yang memerlukan koneksi untuk dapat dibangun, maka hal ini pada umumnya digunakan dalam kasus

tertarik dalam melihat respon. Hal ini tidak selalu benar—attacker dapat melakukan spoof

pada suatu alamat dari subnet yang mereka monitor, maka ketika tanggapan pergi ke sistem tersebut, mereka dapat men-sniff hal itu dari jaringan. Kadang – kadang spoofing

terjadi oleh suatu kejadian, seperti seorang attacker salah mengkonfigurasi tool dan secara tidak sengaja menggunakan alamat internal NAT. Kadang – kadang suatu gurauan

attacker yaitu alamat tertentu pada tujuannya, untuk contoh, alamat yang diguraukan mungkin target yang diharapkan diserang dan organisasi melihat kegiatan sederhana dari perantara.

2. Banyak sumber alamat IP. Beberapa serangan nampak untuk menggunakan ratusan atau ribuan dari sumber yang berbeda alamat IP. Kadang – kadang hal ini akurat—sebagai contoh, didtribusikannya penolakan dari serangan service secara khusus bersandar pada sejumlah besar yang disepakati mesin yang melakukan serangan terkoordinir. Kadang – kadang hal ini “bogus”-serangan yang mungkin tidak memerlukan penggunaan sumber asli dari alamat IP, maka attacker menghasilkan banyak IP yang “gadungan” untuk menambahkan kebingungan. Kadang – kadang attacker akan menggunakan satu alamat IP asli dan banyak yang palsu; pada kasus tersebut, hal itu memungkinkan untuk mengidentifikasi alamat IP yang sebenarnya dengan mencari aktifitas jaringan lainnya yang telah terjadi sebelum atau sesudah serangan yang menggunakan alamat IP apapun yang sama. Menemukan sesuatu yang sesuai tidak bisa mengkonfirmasikan bahwa alamat tersebut alamat dari attacker; attacker dapat tidak hati – hati atau dengan sengaja melakukan gurauan pada alamat IP yang sah yang kebetulan sedang berinteraksi dengan organisasi itu.

3. Validitas alamat IP. Karena alamat IP sering ditempatkan secara dinamis, sistem yang sekarang ini pada alamat IP tertentu tidak mungkin sistem yang sama yang ada disana ketika serangan terjadi, juga, banyak alamat IP yang tidak termasuk kepada pemakai akhir dari suatu sistem, tetapi sebagai gantinya untuk komponen infrastruktur jaringan yang menggantikan alamat IP mereka untuk alamat sumber yang aktual, seperti firewall

yang menyelenggarakan NAT. Beberapa attacker menggunakan anonymizers, yang mana antar server yang melaksanakan aktifitas atas nama user untuk memelihara keleluasaan pribadi user.

Berikut ini menguraikan beberapa cara yang mungkin mengusahakan untuk mengesahkan identitas dari suatu host yang mencurigakan:

1. Menghubungi pemilik alamat IP. Pendaftaran internet regional, seperti American Registry

for Internet Numbers (ARIN), menyediakan mekanisme query WHOIS pada Web site

mereka untuk mengidentifikasi organisasi atau orang yang memilikinya- hal ini bertanggung jawab untuk – alamat IP tertentu. Informasi ini mungkin dapat berguna dalam meneliti beberapa serangan, seperti mengingat tiga alamat IP berbeda yang membangkitkan aktifitas mencurigakan yang semua dicatat kepada pemilik yang sama. Bagaimanapun, dalam kebanyakan kasus, analis tidak harus menghubungi pemiliknya secara langsung; sebagai gantinya, analis harus menyediakan informasi pada pemilik untuk penasehat dan manajemen hukum untuk analis suatu organisasi, yang dapat memulai kontak dengan organisasi atau memberikan persetujuan analis untuk melakukannya jika dibutuhkan. Terutama hal ini seharusnya memperhatikan penyertaan informasi yang dipakai bersama dengan organisasi eksternal; juga, pemilik alamat IP dapat menjadi orang yang melakukan serangan terhadap organisasi tersebut.

2. Mengirimkan network traffic ke aamat IP. Organisasi mestinya tidak mengirim jalur

network traffic untuk menyerang alamat IP sebenarnya untuk memvalidasi identitasnya. Tanggapan apapun yang dihasilkan tidak dapat meyakinkan penegasan identitas dari menyerang host. Jika alamat IP tersebut untuk sistem attacker, attacker mungkin melihat jalur lalu lintas dan bereaksi dengan menghancurkan bukti atau menyerang host yang mengirim jalur lalu lintas. Jika alamat IP-nya sudah di “spoofed”, mengirimkan network traffic yang tak diminta ke sistem dapat diartikan sebagai penggunaan yang tidak sah atau suatu serangan. Biar bagaimanapun individu tidak perlu mencoba untuk memperoleh akses ke sistem lainnya tanpa izin.

3. Mencari bantuan ISP. Seperti yang disebutkan didalam bagian 6.3.1, biasanya ISP membutuhkan suatu court order sebelum menyediakan informasi apapun ke organisasi pada aktifitas jaringan yang mencurigakan. Maka, bantuan ISP biasanya hanya suatu pilihan selama serangan network-based yang paling serius, terutama sekali yang melibatkan gurauan alamat IP. Apakah alamat IP telah di-spoofe atau tidak, ISP memiliki kemampuan untuk melacak kembalinya serangan yang berkelanjutan ke sumbernya .

4. Riset dari sejarah alamat IP. Analis dapat mancari aktifitas yang mencurigakan sebelumnya yang dihubungkan dengan alamat IP atau blok alamat IP yang sama. Suatu

organisasi memiliki arsip network traffic data dan basis data penelusuran suatu kejadian yang dapat menunjukkan aktifitas sebelumnya. Sumber eksternal yang mungkin meliputi mesin pencari internet dan basis data kejadian online yang mengijinkan pencarian dengan alamat IP.

5. Mencari untuk petunjuk dalam isi aplikasi. paket data aplikasi berhubungan dengan suatu serangan yang mungkin berisi petunjuk untuk identitas attacker. Disamping alamat IP, informasi penting lainnya dapat meliputi alamat email atau nama julukan pada Internet relay chat (IRC).

Dalam banyak kasus, organisasi tidak harus secara positif mengidentifikasi alamat IP yang digunakan untuk suatu serangan.

6.5 Rekomendasi

Kunci dari rekomendasi dipersembahkan dalam bagian ini untuk menggunakan

network traffic sebagai berikut :

1. Organisasi perlu memiliki kebijakan mengenai privasi dan informasi yang sensitif. Penggunaan kemampuan tool dan teknik untuk analisis data secara tidak hati – hati dapat menyingkapkan informasi sensitif untuk analis dan hal lain yang dilibatkan dalam aktivitas amenganalisis data. Juga penyimpanan jangka panjang dari informasi sensitif yang diambil secara tidak hati – hati oleh tool untuk analisa data yang mungkin melanggar kebijakan penyimpanan data. Kebijakan perlu juga alamat yang memonitor jaringan, seperti halnya kebutuhan lambang peringatan pada sistem yang menunjuk aktifitas yang mungkin dimonitor.

2. Organisasi perlu menyediakan penyimpanan yang cukup untuk aktifitas jaringan yang terkait dengan log. Organisasi perlu menilai penggunaan puncak dan khusus log,

menentukan berapa banyak jam atau hari dari data berharga yang harus dipertahankan dan memastikan bahwa aplikasi dan sistem memiliki penyimpanan yang cukup tersedai.

Log dihubungkan dengan kemampuan peristiwa keamanan komputer yang perlu untuk dijaga untuk suatu periode waktu yang lebih panjang.

3. Organisasi perlu mengatur sumber data untuk meningkatkan kumpulan informasi. Dari waktu ke waktu, pengalaman operasional harus digunakan untuk meningkatkan kemampuan analisa data. Organisasi perlu secara periodik meninjau ulang dan melakukan

penyesuaian dalam menentukan konfigurasi sumber data untuk mengoptimalkan pengambilan informasi yang relevan.

4. Analis perlu mempunyai pengetahuan teknis yang kuat. Sebab tool yang sekarang sudah memiliki kemampuan analisa yang agak terbatas, analis perlu untuk dilatih dengan baik;terlatih, berpengalaman, dan banyak mengetahui prinsip networking, protokol aplikasi dan jaringan umum, produk keamanan aplikasi dan jaringan, dan ancaman

network-based dan metode serangan.

5. Analis perlu mempertimbangkan nilai dan ketepatan dari tiap sumber data. Analis perlu mempunyai kepercayaan yang lebih di dalam sumber data asli dibanding sumber data yang menerima data dinormalisir dari sumber lainnya . Analis perlu memvalidasi data manapun yang tak diduga atau tidak biasa berdasarkan pada penelitian atau menginterpretasikan data, seperti IDS dan tanda SEM.

6. Analis biasanya perlu memusatkan pada karakteristik dan dampak dari peristiwa. Menentukan identitas dari suatu attacker dan tindakan serupa lain secara khusus time-

intensive dan sukar untuk memenuhi, dan tidak menopang organisasi dalam mengoreksi

kelemahan keamanan atau isu operasional. Menetapkan tujuan dan identitas dari suatu attacker mungkin merupakan hal yang penting, tetapi tujuan lain haruslah dipertimbangkan.