Mitigation Strategy #35 – Selected network traffic capture

Network Monitoring

Penggunaan komputer dan media-media digital sebagai alat penyimpanan data semakin banyak digunakan. Penggunaan media-media digital tersebut dikarenakan kemudahan dalam penyimpanan dan penggunaannya. Namun secara tidak sadar dengan menyimpan berbagai data dalam bentuk digital ternyata akan memperbesar kemungkinan data tersebut dapat dibaca atau diambil oleh orang yang tidak bertanggung jawab. Dengan semakin majunya teknologi internet pada era yang semakin berkembang ini, maka kemungkinan data tersebut tersebar akan semakin besar. Dikarenakan ada kemungkinan data tersebut diambil atau disebarkan maka ada baiknya jika suatu jaringan komputer selalu dimonitor trafficnya.

Lalu apa sebenarnya network monitoring itu ?. salah satu sumber menyebutkan “the term network monitoring describes the use of a system that constantly monitor a computer network for slow or failing components and that notifies the network administrator”. Atau pada tautan lain disebutkan “monitoring an active communications network in order to diagnose problems and gather statistics for administration and fine tuning”. Berdasarkan dua penjelasan diatas dapat diambil sebuah kesimpulan bahwa network monitoring adalah suatu system yang memonitor traffic didalam suatu jaringan komputer untuk dicatat dan dilaporkan semua kejadian yang terjadi kepada admin untuk dikelola sehingga jaringan komputer tersebut tetap dalam keadaan baik.

Monitoring yang baik dibutuhkan pengawasan secara berkelanjutan, hal ini dikarenakan kita tidak dapat mengetahui kapan akan terjadinya masalah dalam suatu jaringan komputer. Ketika memonitor jaringan maka seorang admin jaringan harus mengetaui keadaan jaringan apakah ada hal yang tidak berjalan dengan benar atau perlu diperbaiki.  Hal ini diperlukan ketika terjadi error/troubleshoot pada jaringan sehingga admin dapat dengan cepat memperbaiki sehingga layanan pada jaringan tetap terjaga dengan baik.

Selain itu seorang admin juga memerlukan suatu tools untuk mengukur pernggunaan bandwidth, sehingga dapat diketahui berapa penggunaan rata-rata tiap harinya. Ketika terjadi kejanggalan pada data maka dapat aplikasi-aplikasi apa saja yang mengakibatkan bandwidth habis atau dapat disebabkan oleh malware. Ketika suatu aplikasi membutuhkan bandwidth besar maka ada kemungkinan bahwa aplikasi lain seperti web browser akan mengalami kesulitan dalam mengakses internet. Dengan memonitoring jaringan tersebut maka kita dapat mengembalikan bandwidth dengan mematikan aplikasi yang mengambil bandwidth besar tersebut. Pada beberapa aplikasi bahkan dapat menentukan besar pembagian besar kecilnya pembagian bandwidth supaya lebih seimbang seperti misallnya pada mikrotik.

1

Queue pada mikrotik

Monitoring juga dapat digunakan untuk memastikan bahwa tidak ada orang asing atau hacker yang mengakses jaringan komputer kita. Dengan mengenkripsi traffic pada jaringan maka kita dapat menjaga keamanan data yang dipertukarkan dalam lingkup internal. Pada umumnya suatu instansi menggunakan tunnel  atau VPN untuk melindungi pertukaran data yang terjadi dalam lingkup internal.

Selain ketiga hal diatas hal yang tidak kalah penting adalah mencatat semua kejadian pada suatu logs. Hal ini diperlukan ketika suatu kejadian terulang kembali maka hal tesebut dapat dengan mudah diperbaiki.selain itu log pun berfungsi untuk mengembalikan jaringan kekeadaan sebelumnya. Pengembalian ini berfungsi ketika jaringan diupgrade ´namun kualitas jaringam bertambah buruk,  maka dengan dikembalikan ke pengaturan sebelumnya, kualitas layanan jaringan akan menjadi lebih baik lagi.

Ada dua macam teknik yang umum digunakan dalam memonitor jaringan komputer yaitu :

  1. Synthetic / Active monitoring
  2. Passive monitoring

Synthetic atau Active monitoring digunakan untuk melihat performa kerja jaringan secara real time. active monitoring umumnya menggunakan  sebuah web browser. Active monitoring akan terus menerus memonitoring kinerja jaringan seperti  kecepatan akses, respon waktu, bandwidth pemakaian dll.  Karena sifatnya yang menggunakan web browser untuk memonitor kinerja jaringan, maka active monitoring sering digunakan untuk melihat  proses bisnis yang bersifat vital. Beberapa tools yang dapat digunakan untuk active monitoring adalah “ping”, “traceroute”, “MTR” (kombinasi antara ping dan traceroute), SNMP collectors, MRTG.

Passive monitoring adalah sebuah teknik monitoring jaringan yang digunakan untuk menangkap penggunaan jaringan dengan cara menyalin penggunaan sebenarnya. Passive monitoring membantu sebuah instansi untuk menganalisis keamanan jaringan, flow of traffic, dll dengan hasil akhir menghasilkan laporan berdasarkan traffic jaringan. Beberapa tool yang dapat digunakan untuk passive monitoring adalah log monitoring, SNMP trap receiver, NetFlow.

Berikut adalah perbedaan antara Active monitoring dengan passive monitoring :

Active monitoring

Passive monitoring

Configuration

Multi-point

Single or multi-point

Data size

Small

Large

Network overhead

Additional traffic

– Device overhead

– No overhead if splitter is used

Purpose

Delay, packet loss, availability

Throughput, traffic pattern, trend, & detection

CPU Requirement

Low to Moderate

High

 

Salah satu cara untuk menangkap traffic data yang lewat pada jaringan adalah dengan menggunakan wireshark. Dengan menggunakan wireshark kita dapat mengetahui jenis suatu paket, paket tersebut berasal dari mana, menggunakan port berapa dll. Wireshark menyediakan list yang cukup lengkap untuk memonitor jaringan. Kali ini akan dicoba memonitor jaringan menggunakan wireshark. Pada jaringan akan dimonitor lalu lintas program “achat” antara dua buah komputer. achat merupakan sebuah program yang menggunakan port 9256 untuk melakukan proses pertukaran data. Untuk mengetahui sebuah program menggunakan port berapa pada komputer kita dapat dengan menggunakan program “currports”.

2Currports

Pertama untuk memonitor antara dua buah komputer diperlukan filter dalam wireshark sehingga hanya dua buah komputer yang diinginkan saja yang akan terlihat aktifitasnya.

Berikut adalah filter wireshark yang digunakan untuk menangkap pembicaraan antara dua buah komputer.

3Pada gambar diatas dapat dilihat bahwa kita hanya ingin menangkap pembicaraan dari ip 192.168.0.120 dengan komputer dengan ip 192.168.0.20 pada port 9256 yaitu port aplikasi achat. Pada awal percobaan, komputer A (ip 192.168.0.120) akan mengirim private message ke komputer B (ip 192.168.0.20).

4Seperti dapat dilihat pada gambar diatas bahwa komputer A mengirim private message ke komputer B dengan isi “bahan test kuliah keamanan os”. Traffic pertukaran data ini yang akan dicoba untuk dimonitor oleh wireshark.ketika pesan tersebut terkirim maka pada wireshark akan tercatat satu kejadian baru seperti pada gambar dibawah ini.

12

Isi dari paket yang berkotak merah adalah sebagi berikut.

13

Dapat dilihat pada gambar diatas bahwa komputer a mengirim privateMsg ke komputer b. isi dari privateMsg tersebut dapat dilihat pada paket dibawah ini.

14

Dimana isi dari paket tersebut adalah sebagi berikut.

15

Dapat dilihat pada gambar diatas bahwa isi paket tersebut adalah merupakan isi dari private message yang dikirimkan oleh komputer a ke komputer b. lalu bagai mana dengan mengirim suatu file melalui program tersebut. Sama halnya dengan mengirimkan private message diatas, karena masih menggunakan program yang sama maka port yang digunakan akan sama. Sehingga filter pada wireshark tidak perlu dirubah. Berikut adalah pengiriman file menggunakan achat

9

Ketika file tersebut dikirmkan maka pada wireshark kembali tercatat kejadian baru yang dapat dilihat sebagai berikut.

10

Dapat dilihat pada gambar diatas bahwa komputer a ingim mengirimkan suatu file kepada komputer b. ketika komputer b ingin menerima file tersebut maka pada wireshark akan tercatat lagi suatu kejadian baru dapat dilihat pada gambar dibawah ini.

11

Dapat dilihat pada gambar diatas bahwa  file yang dikirimkan berada pada folder E:Belajar DropboxDropboxDropboxFile DerryKeamanan OS.  Dan file yang akan dikirim adalah Top_ 35_Mitigations_Details_2012.pdf.

Jika kita ibaratkan hal ini terjadi pada suatu perusahaan  dan folder tersebut berisikan file-file penting maka kita, seorang admin jaringan harus dapat memblok pengiriman paket tersebut. Memblok pengiriman paket tersebut dapat dilakukan dengan beberapa cara yaitu dengan hanya meberikan user control kepada pengakses folder tersebut sehingga dapat diketahu siapa saja yang mengakses file yang berada pada folder tersebut. Selain itu dapa juga memblockir pengiriman paket tersebut.

Penulis :

Muhammad Abduh / 23213153

Retri Derry F / 23213057

Referensi :

http://en.wikipedia.org/wiki/Passive_monitoring

http://en.wikipedia.org/wiki/Synthetic_monitoring

http://nabellahendra.blogspot.com/2013/02/pengujian-dan-monitoring-jaringan.html

http://en.wikipedia.org/wiki/Network_monitoring

obiona.olatunde, Bandwidht monitoring & measurement (tools and services), Obafemi Awolowo University, Ilelfe, Nigeria.

Miao luo, Wei Jiang. Network Monitoring and measurement and its application in security field

-. Introduction to Networking monitoring and management.