6.3 Memperoleh data jalur lalu lintas jaringan

Sebagaimana yang diuraikan pada bagian 6.2, secara khusus organisasi memiliki data jaur jaringan yang dicatat dalam banyak tempat selama operasi normal. Organisasi juga menggunakan mekanisme rekaman data yang sama untuk memperoleh data tambahan pada Sebagaimana yang diuraikan pada bagian 6.2, secara khusus organisasi memiliki data jaur jaringan yang dicatat dalam banyak tempat selama operasi normal. Organisasi juga menggunakan mekanisme rekaman data yang sama untuk memperoleh data tambahan pada

Data jalur lalu lintas jaringan biasany dicatat ke log atau disimpan dalam paket file pengambil. Dalam kebanyakan kasus , memperoleh data itu simpel seperti memperoleh data salinan dari log dan paket file pengambil. Bagian 4 menguraikan bagaimana untuk mendapatkan file. Jika data tidak disimpan di file (misalnya peta alur jalur lalu lintas diperlihatkan secara grafik, data diperlihatkan hanya pada console screen), pengambilan layar atau gambar pada layar mungkin dibutuhkan. Meskipun memperoleh data jalur lalu lintas jaringan secara khususnya secara jujur, beberapa data penting tersebut legal dan persoalan secara teknik dapat membuat perolehan data tersebut lebih sulit.

6.3.1 Pertimbangan Legal

memperoleh jalur lalu lintas jaringan dapat merupakan banyak persoalan legal, seperti pengambilan (ketidaksengajaan atau kebetulan ) informasi dengan kebebasan atau implikasi keamanan, seperti password atau isi dari email. Hal ini harus membuka informasi ke anggota staf yang menganalisa data atau melaksanakn sistem perekaman (misalnya sensor IDS). Organisasi harus memiliki kebijaksanaan dalam penempatan berkenaan dengan penanganan penyingkapan informasi sensitif yang kurang hati - hati . masalah lainnya dengan mengambil data seperti email dan dokumen berupa teks yang merupakan penyimpanan jangka panjang dari hal seperti informasi yang mungkin melanggar kebijaksanaan hak tetap data organisasi. Hal tersebut juga penting untuk memiliki kebijaksanaan berkenaan dengan memonitor jaringan, seperti halnya sinyal pada sistem yang menunjukkan aktifitas yang mungkin dimonitor.

Meskipun kebanyakan perolehan data jalur lalu lintas jaringan terjadi sebagai bagian operasi reguler, hal itu mungkin juga diperoleh sebagai bagian dari menyelesaikan masalah atau menangani kejadian. Dalam kasus yang kemudian, hal itu penting untuk mengikuti proses yang konsisten dan dokumen semua aksi yang dilakukan. Untuk contoh, mencatat semua paket yang dikirim dan diterima oleh user tertentu seharusnya dilakukan hanya setelah permintaan formal dan proses persetujuan yang secara utuh berhasil. Organisasi harus memiliki kebijaksanaan yang jelas mengutarakan jenis memonitor yang seperti apa yang Meskipun kebanyakan perolehan data jalur lalu lintas jaringan terjadi sebagai bagian operasi reguler, hal itu mungkin juga diperoleh sebagai bagian dari menyelesaikan masalah atau menangani kejadian. Dalam kasus yang kemudian, hal itu penting untuk mengikuti proses yang konsisten dan dokumen semua aksi yang dilakukan. Untuk contoh, mencatat semua paket yang dikirim dan diterima oleh user tertentu seharusnya dilakukan hanya setelah permintaan formal dan proses persetujuan yang secara utuh berhasil. Organisasi harus memiliki kebijaksanaan yang jelas mengutarakan jenis memonitor yang seperti apa yang

Kebebasan pribadi dapat menjadi perhatian yang lebih besar ke organisai,banyak yang sudah menjadi kurang berkeinginan untuk berbagi informasi satu dengan lainnya, meliputi data jaringan. Sebagai contoh, kebanyak ISP sekarang memerlukan perintah dari luar sebelum menyediakan informasi apapun berhubungan degnan aktifitas jaringan yang mencurigakan yang mungkin telah melintas melalui infrastruktur mereka. Meskipun hal ini menjaga kebebasan pribadi dan mengurangi kewajiban dan beban dari ISP, hal itu juga melambatkan proses investigasi. Hal ini terutama sekali menantang ketika organisasi mengusahakan untuk melacak suatu serangan network-based yang berkelanjutan kesumbernya, terutama jika jalur lalu lintas lewat melalui beberapa ISP.

6.3.2 Persoalan secara teknis

Ada beberapa persoalan teknis berpotensi yang mungkin menghalangi perolehan data pada jalur lalu lintas jaringan. Bagian ini menguraikan beberapa persoalan utama dan menyediakan bimbingan terhadap apa, meskipun terdapat perbedaan, dapat dilakukan untuk mengurangi masing – masing persoalan.

1. Tempat penyimpanan data. Ketika volume yang besar pada aktifitas jaringan terjadi, terutama sekali selama kejadian yang kurang baik seperti serangan, log mungkin mencatat banyak kejadian dalam waktu yang singkat. Jika tempat penyimpanan yang tidak cukup tersedia, informasi tentang aktifitas terbaru mungkin dioverwrite dan hilang. Organisasi harus memperkirakan jenis dan penggunaan log maksimum, menentukan bagaimana banyak jam atau hari yang berharga dari data untuk dikuasai dan memastikan sistem dan aplikasi tersebut memiliki cukup tempat penyimpanan yang tersedia untuk menemukan tujuan itu.

2. Jalur lalu lintas yang dienkripsi. Ketika protokol seperti IPsec, SSH dan SSL digunakan untuk mengenkripsi jalur lalu lintas jaringan, alat yang memonitor jalur lalu lintas jaringan sepanjang alur yang dienkripsi dapat melihat hal – hal karakteristik mendasar pada jalur lalu lintas saja, seperti alamat IP dari sumber dan tujuan. Jika VPN atau teknik “tunneling” digunakan, alamat IP dapat dijadikan untuk “tunnel”nya sendiri dan bukan sumber dan tujuan sebenarnya dari aktifitas. Untuk perolehan data pada pendekripsian jalur lalu lintas, sumber data diperlukan untuk diposisikan ditempat mana aktifitas yang didekripsikan dapat dilihat.

Sebgai contoh, penempatan sensor IDS dengan segera dibelakang VPN gateway dapat menjadi efektif pada saat mengidentifikasi aktifitas ganjil dalam komunikasi yang didekripsikan. Jika komunikasi dienkripsi semua cara untuk ke host internal (misalnya SSL-encrypted sesi Web) maka alat – alat yang memonitor jalur lalu lintas jaringan tidak dapat melihat paket yang dideskripsikan

3. Menjalankan layanan pada port yang tak terduga Aplikasi seperti sistem pendeteksi gangguan dan penganalisa protokol seringkali bersandar pada nomor port untuk mengidentifikasi layanan mana yang digunakan untuk memberikan koneksi. Sayang sekali, seperti yang diuraikan dalam bagian 6.1.2, kebanyakan layanan dapat dijalankan pada nomor port manapun. Jalur lalu lintas menyertakan layanan yang dijalankan pada nomor port tak terduga yang tidak dapat diambil, dimonitor atau dianalisa dengan baik, menyebabkan penggunaan layanan yang tidak sah (misalnya menyediakan layananWeb pada port tidak lazim) tidak akan terdeteksi. Motivasi lainnya adalah mendahului jalur lalu lintas melalui alat perimeter yang menyaring berdasarkan nomor port. Ada beberapa cara untuk berusaha mengidentifikasi penggunaan port yang tidak sah, mencakup hal – hal berikut ini:

1. Mengkonfigurasi sensor IDS untuk siaga pada koneksi yang melibatkan port server yang tidak diketahui.

2. Mengkonfigurasi proxy aplikasi atau sensor IDS yang menyelenggarakan analisa

protokol untuk siaga pada koneksi yang menggunakan protokol yang tak diduga (misalnya jalur lalu lintas FTP menggunakan port HTTP standar)

3. Menyelenggarakan “monitoring” alur network traffic dan mengidentifikasi alur network traffic baru dan yang tidak biasa.

4. Mengkonfigurasi penganalisa protokol untuk menganalisa arus tertentu sebagai hal lain

4. Pengganti Tujuan akses Penyerang seringkali memasuki jaringan dari pengganti tujuan akses untuk menghindari pendeteksian oleh kontrol keamanan yang memonitor tujuan akses utama, seperti internet gateway organisasi. Sebuah contoh klasik dari pengganti tujuan akses adalah modem dalam workstation user. Jika penyerang dapat menyambungkan ke workstation dan mendapatkan akses, maka serangan dapat menjadi diluncurkan dari workstation melawan host lainnya. Dalam kasus yang demikian, sedikit atau tidak adanya informasi berkenaan 4. Pengganti Tujuan akses Penyerang seringkali memasuki jaringan dari pengganti tujuan akses untuk menghindari pendeteksian oleh kontrol keamanan yang memonitor tujuan akses utama, seperti internet gateway organisasi. Sebuah contoh klasik dari pengganti tujuan akses adalah modem dalam workstation user. Jika penyerang dapat menyambungkan ke workstation dan mendapatkan akses, maka serangan dapat menjadi diluncurkan dari workstation melawan host lainnya. Dalam kasus yang demikian, sedikit atau tidak adanya informasi berkenaan

5. Kegagalan memonitor. Hal yang tak bisa diacuhkan, sistem dan aplikasi dapat mengalami kegagalan atau kadangkalanya diluar jalur lalu lintas untuk berbagai pertimbangan (misalnya pemeliharaan sistem, kegagalan perangkat lunak, serangan). Dalam kasus yang dipersembahkan sistem yang memonitor, seperti sensor IDS, penggunaan peralatan yang berlebihan (misalnya dua sensor untuk sktifitas yang sama ) dapat mengurangi dampak dari kegagalan memonitor. Strategi lainnya akan dilakukan kegiatan memonitor dalam berbagai tingkatan, seperti mengkonfigurasi dasar jaringan dan hostbased firewalls untuk mencatatkan koneksi.