bab i pendahuluan
advertisement
BAB I PENDAHULUAN 1.1. Latar Belakang Masalah Latar belakang penelitian ini dimulai dari banyaknya kejadian serangan yang sering terjadi di Internet. Serangan tersebut diantaranya adalah SYN Flood, IP Spoofing, serangan DoS (Denial of Service), serangan UDP Flood, serangan Ping Flood, serangan Teardrop, Land Attack, Smurf Attack, Fraggle Attack (Jingna, 2012). Serangan DoS merupakan salah satu jenis serangan pada jaringan komputer yang melakukan eksploitasi koneksi jaringan yang mengakibatkan sistem operasi pada server tersebut kehabisan sumber daya. Hal tersebut mengakibatkan server tidak mampu melayani permintan user yang sah bahkan menyebabkan jaringan menjadi down (Kak, 2013). Berdasarkan serangan yang sering terjadi dalam jaringan Internet tersebut, maka perlu penelitian forensik untuk membantu mengelompokkan log sehingga informasi penyerang dapat segera diketahui. Forensik digital merupakan ilmu yang berhubungan dengan proses recovery dan penyelidikan bahan yang ditemukan dalam data digital, hal ini sering dilakukan sebagai bagian dari investigasi kriminal (Anstee, 2012), (NISTa, 2012) (NISTb, 2012), dimana ruang lingkup dari data digital terdiri dari sistem komputer, media penyimpanan, dokumen elektronik, atau bahkan urutan paket data yang dikirimkan di seluruh jaringan komputer. Sedangkan forensik jaringan merupakan bagian dari forensik digital yang berfokus pada pemantauan dan analisis lalulintas data yang ada dalam jaringan. Jenis data yang ditangani pada forensik jaringan berupa data dinamis. Hal itu berbeda dengan yang ada pada forensik digital, di mana datanya bersifat statis (Hunt, 2012). 1 2 Penelitian tentang forensik berkaitan dengan data yang ditemukan di dalam lalulintas jaringan. Forensik jaringan menganalisis lalulintas data melalui firewall atau sistem deteksi penyusup pada perangkat jaringan seperti router. Tujuannya adalah untuk melakukan traceback ke sumber serangan sehingga identitas penyerang dapat diketahui (Pilli, 2010). Selain itu forensik jaringan mempunyai tujuan mengumpulkan, mengidentifikasi dan menganalisis dokumen dari beberapa proses dan pengiriman data digital. Aktifitas ini mempunyai tujuan untuk mendapatkan informasi atau fakta-fakta yang berhubungan dengan penyerang (Palmer, 2001). Forensik jaringan dapat didefinisikan sebagai proses merekam dan menganalisis peristiwa pada jaringan untuk menemukan sumber serangan. Selain itu peran pemantauan lalulintas data dalam jaringan adalah untuk mengidentifikasi adanya anomali paket data untuk ditindaklanjuti dengan cara direkam dan dianalisis (Ranum, 2013). Seringkali terjadi kasus penyerangan pada jaringan yang dilakukan dengan berbagai cara dan teknologi, tidak terkecuali penyerangan juga ditujukan pada Internet Service Provider (ISP). Oleh karena itu diperlukan adanya forensik jaringan (Perry, 2006). Forensik jaringan dapat dikembangkan menggunakan teknologi data mining yang bertujuan untuk menemukan pola serangan berdasarkan data dalam jumlah besar (Bhat, 2010). Data mining adalah proses menemukan beberapa pola tersembunyi dan informasi dari sejumlah data yang tersimpan pada basisdata (Phridviraj, 2014). Proses forensik jaringan khususnya yang dilakukan menggunakan Internet saat ini mengalami peningkatan yang pesat. Untuk membantu memudahkan proses forensik jaringan Internet maka perlu dikembangkan sebuah alternatif solusi dalam bentuk framework untuk mempermudah penemuan informasi penyerang. Framework yang dikembangkan dalam penelitian ini mencakup secara keseluruhan tahapan yang terjadi dalam proses forensik. Proses forensik secara keseluruhan diawali dari masukan yang 3 berupa log yang didapatkan dari hasil proses penangkapan dan perekaman yang terjadi dalam lalulintas jaringan. Setelah informasi log diperoleh dan disimpan dalam basisdata maka log tersebut akan diproses menggunakan teknik clustering untuk dapat menghasilkan informasi penyerang yang dibutuhkan oleh pengguna dalam hal ini penyidik. Proses analisis dan pengelolaan log membutuhkan aplikasi tambahan yang dapat membantu mengimplementasikan framework tersebut. Selanjutnya aplikasi bantu berbasis web tersebut selanjutnya disebut dengan NFAT (Network Forensic Analysis Tools). Aplikasi NFAT ini terintegrasi dalam framework yang diusulkan dalam penelitian ini. Aplikasi NFAT dalam membantu menemukan informasi penyerang membutuhkan proses analisis yang rumit. Untuk mengurangi kerumitan dalam mengolah data maka dalam penelitian ini memanfaatkan teknik clustering. Teknik clustering merupakan salah satu metode yang dapat digunakan untuk membantu mempermudah dalam mengidentifikasi serangan pada jaringan (Liao, 2012). Clustering akan membagi data ke dalam beberapa cluster dimana data dalam satu cluster mempunyai karakteristik yang sama (Berkhin, 2002) serta mempunyai persamaan yang esensial (Molina, 2002). Pemilihan teknik clustering dalam penelitian ini dikarenakan karakteristik log yang berisi informasi penyerang mempunyai ukuran yang besar, sehingga pengelompokan informasi log diperlukan untuk mempermudah mengetahui informasi penyerang yang terjadi dalam jaringan Internet. Teknik clustering dapat diimplementasikan menggunakan algoritma k-means. Algoritma k-means merupakan salah satu algoritma clustering yang paling populer dan banyak digunakan dalam dunia industri (Berkhin, 2002). Metode k-means mengelompokkan objek ke dalam suatu cluster, nilai keanggotaan cluster dihitung centroid dari setiap cluster dengan mencari jarak antara setiap data dengan masing-masing centroidnya. Jika suatu data memiliki jarak terdekat 4 suatu centroid dari suatu cluster maka data tersebut menjadi angggota dari cluster tersebut (Abbas, 2008). Serangan yang terjadi dalam jaringan Internet secara umum dapat disimpan dalam sebuah log yang memiliki format data tertentu. Informasi lalulintas data dalam jaringan disimpan dalam log, yang bertujuan untuk membantu administrator mengetahui apa yang terjadi di jaringan serta dapat membantu proses penelusuran serangan yang terjadi (Larsen, 2003). Log dari lalulintas data yang ada dalam jaringan tersebut nantinya berfungsi untuk membantu menemukan informasi penyerang. Log tersebut disimpan dalam format asli berbentuk file teks serta disimpan dalam basisdata. Log memiliki ukuran yang besar, oleh karena itu perlu dilakukan beberapa tindakan untuk mempermudah proses penyimpanan dan pencarian informasi dalam basisdata tersebut. Peningkatan hasil penyimpanan dan pencarian basisdata diperlukan untuk mempercepat penemuan informasi penyerang melalui proses forensik Internet. Log dalam penelitian ini dihasilkan oleh tools tcpdump. Hasil output tcpdump disimpan ke dalam file teks dan basisdata. File teks akan digunakan untuk melakukan proses verifikasi dalam tahapan akhir penelitian ini. Sedangkan log yang disimpan dalam basisdata akan dilakukan menggunakan teknik partisi basisdata. Teknik partisi memungkinkan proses distribusi secara merata di seluruh node dan masing-masing memiliki simpul terpisah dari yang lain (Moll, 2012). Mekanisme penyimpanan log yang diusulkan menggunakan pendekatan teknik partisi basisdata secara horisontal sehingga log yang sudah diekstrak, disimpan kemudian akan dipartisi menjadi beberapa bagian untuk mempermudah proses penyimpanan dan pencarian informasi yang diperlukan. Aplikasi berbasis web untuk mendeteksi serangan yang terjadi dalam Internet selanjutnya akan disebut dengan mesin NFAT (Network Forensic 5 Analysis Tools) dimana dalam penelitian ini akan digunakan sebagai proof of concept penerapan framework untuk forensik Internet yang diusulkan. 1.2. Rumusan Permasalahan Berdasarkan hasil kajian literatur, diperlukan adanya framework untuk forensik Internet yang bertujuan membantu proses penyelidikan kejahatan yang dilakukan menggunakan jaringan Internet. Oleh karena itu fokus pada penelitian ini adalah membuat framework tersebut. Kamus oxford online (2013) menjelaskan framework sebagai : a basic structure underlying a system, concept, or text. Konsep framework digunakan pada penelitian untuk menggambarkan secara utuh ide yang diusulkan. Dalam penelitian ini framework didefinisikan sebagai desain tahapan untuk melakukan forensik Internet yang didasarkan pada log sebagai input, teknik clustering dan teknik partisi basisdata sebagai proses dan hasil validasi diharapkan sebagai output. Permasalahan penelitian ini dapat dirumuskan sebagai berikut : 1) Apakah framework untuk forensik Internet dalam penelitian ini memungkinkan pengguna dalam hal ini penyidik untuk mengetahui informasi terkait level serangan dan sumber penyerang yang terjadi dalam jaringan Internet. 2) Apakah teknik clustering yang diusulkan dalam framework untuk forensik Internet mampu mengelompokkan level serangan dan menunjukkan informasi penyerang yang terjadi dalam jaringan Internet sehingga dapat memudahkan proses pencarian informasi terkait penyerang tersebut. 3) Apakah teknik partisi basisdata yang diusulkan sebagai alternatif peningkatan kinerja penyimpanan dalam framework untuk forensik Internet dapat mempermudah proses penyimpanan dan pencarian log penyerang yang terjadi dalam jaringan Internet. 6 4) Apakah mesin NFAT sebagai implementasi framework untuk forensik Internet dapat menunjukkan dan menginformasikan level serangan serta informasi penyerang yang terjadi dalam jaringan Internet sehingga memudahkan proses verifikasi terhadap sumber serangan tersebut. 1.3. Tujuan Penelitian Berangkat dari banyaknya kejahatan yang terjadi dalam jaringan Internet, maka penelitian ini bertujuan untuk : 1) Menghasilkan framework untuk forensik Internet dalam bentuk tahapan- tahapan proses yang harus dilalui pengguna dalam hal ini penyidik supaya informasi terkait level serangan dan sumber penyerang dapat diketahui sehingga dapat digunakan untuk mengungkap kejahatan yang dilakukan menggunakan jaringan Internet. 2) Mengimplementasikan teknik clustering menggunakan algoritma k-means untuk mengelompokkan log menjadi tiga level serangan yaitu (berbahaya, agak berbahaya dan tidak berbahaya) dan menunjukkan informasi penyerang supaya dapat mempermudah proses pencarian informasi sehingga dapat membantu proses penyelidikan dalam mengungkap kejahatan yang dilakukan menggunakan jaringan Internet. 3) Mengimplementasikan teknik partisi basisdata secara horisontal untuk meningkatkan kinerja penyimpanan dan proses pencarian log penyerang yang terjadi dalam jaringan Internet supaya informasi terkait penyerang dapat segera diketahui. 4) Menunjukkan dan menginformasikan level serangan serta informasi penyerang yang terjadi dalam jaringan Internet melalui mesin NFAT (Network Forensic Analysis Tools) sehingga memudahkan proses verifikasi terhadap sumber serangan tersebut. 7 1.4. Manfaat Penelitian Penelitian ini memberi manfaat bagi area penelitian maupun bagi para penyidik dan administrator jaringan terkait penemuan informasi penyerang melalui forensik Internet sebagai berikut : 1) Memberi kontribusi pada area penelitian keamanan jaringan, khususnya pada forensik Internet, melalui review beberapa penelitian terkini pada area tersebut kemudian dilanjutkan dengan melakukan pengembangan framework untuk forensik Internet. 2) Penelitian ini diharapkan mampu memudahkan pengguna dalam hal ini penyidik untuk melakukan proses forensik khususnya yang terjadi dalam jaringan Internet, dimana informasi terkait penyerang dapat segera diketahui untuk ditindaklanjuti sebagai bahan untuk membantu mengungkap serangan yang terjadi dalam jaringan Internet. 3) Penelitian ini diharapkan dapat meningkatkan kesadaran (awareness) akan pentingnya keamanan dalam jaringan Internet, khususnya terkait serangan yang sering terjadi dalam Internet sehingga diharapkan administrator jaringan dapat mengetahui anomali atau serangan yang terjadi dalam jaringan yang dikelolanya. 1.5. Batasan Penelitian Dalam rangka mencapai tujuan yang telah ditetapkan di atas, maka perlu ditetapkan batasan-batasan masalah dalam penelitian ini, yaitu : 1. Penelitian ini berfokus untuk menganalisis lalulintas data yang berada dalam jaringan Internet melalui log. Log yang dihasilkan merupakan hasil output dari tcpdump, dimana log akan disimpan menjadi file asli dalam bentuk file teks serta log yang disimpan dalam basisdata. Log tersebut dihasilkan oleh tools tcpdump yang secara realtime menangkap lalulintas data yang ada dalam jaringan melalui interface jaringan yang sudah ditentukan. 8 2. Penelitian ini tidak membahas penurunan kinerja yang di akibatkan oleh adanya proses capture lalulintas data yang berlangsung secara terus menerus. Proses penangkapan data dalam hal ini dilakukan mengunakan tools tcpdump. 3. Penelitian ini dalam mengolah log menggunakan teknik clustering dengan algoritma k-means untuk mengelompokkan level serangan. Berdasarkan level serangan maka tools ini mengelompokkan log menjadi tiga level serangan yaitu serangan berbahaya (dangerous attack), serangan agak berbahaya (rather dangerous attack) dan serangan tidak berbahaya (not dangerous attack) berdasarkan informasi nomor port dan tcpflag dari paket data yang ada dalam jaringan. 4. Penelitian ini mendeteksi serangan yang ada dalam jaringan Internet yang memanfaatkan protokol TCP, UDP dan ICMP. 5. Skenario serangan yang digunakan dalam penelitian ini menggunakan jenis serangan DoS (Denial of Service) menggunakan tools DoSHTTP dan LOIC (Low Orbit Ion Cannon). Tools tersebut dipilih karena menjadi tools standar yang digunakan dalam proses pembelajaran ethical hacking (CEH v.7) untuk membantu proses rekonstruksi jenis serangan DoS. 6. Penelitian ini memanfaatkan IP header untuk menentukan serangan yang terjadi dalam jaringan komputer. IP header akan dilakukan identifikasi berdasarkan panjang (length) dari paket data tersebut. Hasil identifikasi ini yang akan membedakan paket normal dan paket yang dicurigai melakukan serangan. Berdasarkan informasi IP header dalam paket data TCP/IP dapat diidentifikasi bahwa panjang (length) paket normal mempunyai ukuran antara 20 – 60 byte. 7. Mesin NFAT yang dikembangkan berbasis platform open source, dimana sistem operasi menggunakan Linux dengan distro Ubuntu, database server menggunakan MySQL, Framework CakePHP digunakan untuk melakukan pengembangan aplikasi. 9 1.6. Metodologi Penelitian Metodologi dalam penelitian ini dibagi dalam enam tahapan utama, yaitu (1) studi literatur, (2) identifikasi kebutuhan, (3) pengembangan framework untuk forensik Internet, (4) analisis (5) implementasi dan (6) pengujian. Penjelasan tiap tahapan adalah sebagai berikut : 1) Studi literatur. Tahapan ini dilakukan untuk mengumpulkan informasi dari penelitian-penelitian yang telah ada dan terkini dalam bidang keamanan komputer dan forensik jaringan. Literatur didapatkan dari berbagai jurnal ilmiah dan prosiding International, buku teks dan dokumen. Penelitian ini difokuskan pada area forensik Internet untuk menunjukkan dan menginformasikan level serangan serta informasi penyerang sehingga dapat membantu mengungkap kejahatan digital yang dilakukan menggunakan jaringan Internet. 2) Identifikasi kebutuhan. Tahapan ini mengidentifikasi kebutuhan apa saja yang mempengaruhi forensik Internet. Tahapan ini penting dipahami karena merupakan langkah awal perumusan framework untuk forensik Internet dalam penelitian ini. Dalam forensik Internet log merupakan salah satu faktor penting untuk mengetahui dan menganalisis lalulintas data dalam jaringan komputer. Pada tahap ini juga dilakukan pengumpulan data dengan cara (1) memahami literatur, regulasi pemerintah dan dokumen terkait; (2) melakukan wawancara dengan penyidik selaku pihak yang berwenang yang menangani kasus kejahatan khususnya cybercrime (3) melakukan observasi dengan penyidik sehingga proses bisnis forensik dapat lebih mudah dipahami. 3) Pengembangan framework untuk forensik Internet. Berdasarkan studi literatur dan identifikasi kebutuhan, penelitian ini mengimplementasikan konsep clustering dan konsep partisi basisdata untuk diintegrasikan dalam framework untuk forensik Internet. Konsep-konsep yang digunakan dalam penelitian ini adalah : 10 a) Konsep clustering. Konsep ini digunakan untuk mempermudah proses pengelompokan data. Data dalam hal ini merupakan log yang berisi informasi lalulintas data dalam jaringan. Teknik clustering yang diterapkan menggunakan algoritma k-means untuk mengelompokkan level serangan. Level serangan dikelompokkan menjadi tiga yaitu serangan berbahaya, serangan agak berbahaya dan serangan tidak berbahaya. b) Konsep partisi basisdata. Konsep ini digunakan untuk meningkatkan kinerja penyimpanan dan pencarian informasi yang disimpan dalam basisdata. Basisdata yang berisi log akan dipartisi menjadi beberapa bagian sesuai dengan jumlah bulan dalam satu tahun. Teknik partisi yang diterapkan menggunakan teknik partisi secara horisontal. 4) Analisis. Analisis dilakukan terhadap kebutuhan forensik Internet, sehingga dapat dirumuskan kebutuhan sistem untuk mencapai tujuan penelitian. Selain itu analisis juga dilakukan terhadap proses bisnis yang berlaku secara umum dalam forensik Internet. 5) Implementasi. Dalam tahapan ini dilakukan perancangan dan pengembangan mesin NFAT. Prototipe ini dikembangkan berbasis web menggunakan platform open source dengan alamat http://nfat.uad.ac.id. dengan IP Address : 203.190.115.149. Prototipe ini berfungsi sebagai tools untuk proof of concept framework untuk forensik Internet yang diusulkan. 6) Pengujian. Tahapan ini merupakan pengujian dan proses verifikasi terhadap konsep yang diusulkan. Pengujian dilakukan menggunakan skenario penyerangan yang dilakukan menggunakan simulasi serangan ke dalam jaringan. Kemudian akan dilakukan verifikasi dengan file log asli dalam bentuk file teks. Skenario serangan dalam hal ini dilakukan menggunakan software DosHTTP (HTTP Flood Denial of Service (DoS) Testing Tools dan LOIC (Low Orbit Ion Cannon). Pengujian dilakukan dalam bentuk eksperimen menggunakan beberapa komputer yang bertindak sebagai 11 penyerang serta sebuah mesin NFAT (Network Forensic Analysis Tools) yang berfungsi merekam dan menganalisis simulasi serangan DoS (Denial of Service) sehingga proses rekonstruksi dan verifikasi dapat mudah diimplementasikan. 1.7. Sistematika Penelitian Penulisan disertasi ini dibagi dalam tujuh bab, dengan rincian sebagai berikut : 1) Bab satu merupakan pembahasan terhadap latar belakang, perumusan masalah, tujuan, manfaat, batasan penelitian, metodologi penelitian, sistematika penulisan dan publikasi yang dihasilkan dalam penelitian. 2) Bab dua merupakan tinjauan pustaka mengenai forensik jaringan, teknik clustering dan teknik partisi basisdata. Bab ini juga merupakan survey literatur tentang serangan dan tools forensik jaringan yang sudah ada. 3) Bab tiga merupakan landasan teori. Bab ini membahas tentang teori-teori tentang keamanan komputer, konsep clustering, konsep partisi basisdata serta konsep pengembangan framework untuk forensik Internet. 4) Bab empat merupakan tahapan pembuatan rancangan framework untuk forensik Internet yang diusulkan dalam penelitian ini. Pada bab ini dilakukan identifikasi kebutuhan dan proses bisnis forensik Internet yang akan dikembangkan. 5) Bab lima merupakan tahapan implementasi. Pada bab ini akan dibahas proses deteksi serangan dalam jaringan komputer, struktur mesin NFAT dan arsitektur implementasi mesin NFAT. 6) Bab enam merupakan hasil penelitian dan pengujian terhadap framework untuk forensik Internet yang diusulkan, tahapan ini berisi proses analisis hasil proses mesin NFAT dan skenario pengujian mesin NFAT ini. 12 7) Bab tujuh merupakan bagian akhir disertasi yang berisi kesimpulan dan saran untuk penelitian lebih lanjut. 1.8. Publikasi yang dihasilkan Penelitian ini telah menghasilkan beberapa publikasi, yaitu : 1) Riadi, I., Istiyanto,J.E., 2009, The Application of Intrusion Detection Systems to Network Forensics, Seminar International ISSTEC 2009. Paper ini membahas tentang fungsi IDS terkait yang digunakan dalam forensik jaringan. 2) Riadi, I., Subanar., 2009, Framework On Crime Datamining, Seminar Internasional IIS 2009. Paper ini membahas tentang teknik data mining yang dapat digunakan untuk membantu mengidentifikasi kejahatan digital. 3) Riadi, I., Ashari, A., 2009, Rule Based Network Management Using SNMP, Seminar International IIS 2009. Paper ini membahas tentang pengelolaan manajemen jaringan berbasis protokol SNMP. 4) Riadi, I., Istiyanto, J.E., Ashari, A., Subanar, 2012, Log Analysis Techniques using Clustering in Network Forensics, International Journal of Computer Science and Information Security (IJCSIS), Vol. 10 No. 7 July 2012. Paper ini membahas tentang teknik clustering menggunakan algoritma k-means untuk mengelompokkan jenis serangan menjadi tiga kategori (berbahaya, agak berbahaya, dan tidak berbahaya) sehingga dapat digunakan membantu menemukan informasi penyerang yang dilakukan menggunakan Internet. 5) Riadi, I., Istiyanto, J.E., Ashari, A., Subanar, 2013, Internet Forensics Framework Based-on Clustering, International Journal of Advanced Computer Science and Applications (IJACSA), Vol 4. No.12. 2013. Paper ini membahas tentang pemanfaatan framework untuk forensik Internet dengan tujuan mendeteksi serangan Denial of Service menggunakan algoritma k-means. (DoS) menggunakan teknik clustering