Audit Log Server

Article source : http://herw1n.wordpress.com/ || Audting Log Server Abstract / Introduction Artikel ini dibuat untuk para IT administrator / network administrator memenuhi persyaratan dari COBIT / SOX perihal LOG SERVER. Artikel ini juga membahas berbagai analisa dan informasi log dari berbagai alat network seperti firewall, vpn, routers. Di dalam artikel ini juga membahas ; bagaimana meng-identifikasi berbagai tools security log server, Pengenalan dan mendeskripsikan analisa risk [ resiko ] celah keamanan yang terjadi dari tools security, bagaimana melakukan auditing log server dan melakukan testing terhadap log server. Introduction Risk Sebelum melangkah lebih lanjut kepada Log Server, ada baiknya kita mengenal dan memahami istilah RISK.

RISK adalah suatu istilah dan mekanisme umum yang menjabarkan suatu kemungkinan resiko yang terjadi dan menganalisa segala kemungkinan dampak terjadinya resiko tersebut. Dalam ilmu “Risk Management” dikenal dan dijabarkan sebagai berikut : Risk

: Segala kemungkinan potensi ( positip ataupun negatif ) kepada asset. Contoh : Loss of Confidentiality

Threat

: Segala kemungkinan potensi yang akan terjadi tapi belum terjadi yang tidak diingikan, dan lebih bermuatan negatif Contoh : natural threat [ earthquake ]

Vulnerability : Kelemahan dan potensi yang terjadi yang bermuatan negatif Contoh : Unpatch operating system Impact

: Tindakan dan hasil terjadinya vulnerability Contoh : violation of reputation organization

Document by : Herwin Anggeriana || email : [email protected]

1

Article source : http://herw1n.wordpress.com/ || Audting Log Server Rumus dasarnya : Derived Risk = Threat likelihood * Threat Impact article ini tidak fokus kepada Risk-nya, tetapi hanya sekilas memperkenalkan Risk itu sendiri. Lalu apa hubungannya Risk dengan Auditing Log Server? Pada era IT, Log Server memegang banyak peranan dan fungsi yang dapat dimanfaatkan seperti troubleshooting dengan mengacu kepada log, investigasi terhadap code2x berbahaya, recording activity user terhadap system dan sebagainya.. Log server adalah suatu tools yang digunakan sebagai identifikasi dan monitoring activity sebelum terjadi impact yang tidak diinginkan. Jadi pertanyaan ; Hubungan Risk Management dengan Auditing Log server ? Adalah Log server salah satu tools yang digunakan bagi risk management. Performance and Benefits use Log Server Log Server / Log Management mencakup pada beberapa area : 1.

identifikasi kejadian-kejadian security baik dari client computer dan ataupun dari server computer

2. identifikasi kejadian-kejadian pencurian dan kemungkinan kecurangan prosedur khususnya IT prosedure 3. identifikasi kejadian-kejadian system gagal berjalan normal 4. pengukuran kinerja suatu system untuk loading 5. analisa pembedahan computer system Log Generation Setiap organisasi atau setiap perusahaan memiliki schema dan penerapan system yang berbeda – beda. Meskipun dalam 1 organisasi atau 1 perusahaan pun bisa terdapat berbagai system yang digunakan, dalam hal ini tidak terlepas beraneka ragam alat – alat IT security yang di-implementasikan Log generation yang umum digunakan adalah : 1.

LINUX

: menggunakan syslog

Document by : Herwin Anggeriana || email : [email protected]

2

Article source : http://herw1n.wordpress.com/ || Audting Log Server 2. Windows : menggunakan event viewer Setiap Log generation baik windows ataupun linux, memiliki format tersendiri dan berbeda-beda. Dengan terjadinya dualisme format tersebut, cukup menyulitkan dalam melakukan analisa log dan repotnya melakukan transfer log dari berbagai system yang ada. Dengan beragam-nya Log Generation ini, menyebabkan terjadinya un-consistent format. Log Protection Setelah mengenal dan memahami performance and benefits dari log server, maka log server ini memegang peranan yang penting dan perlu dilakukan tindakan perlindungan terhadap log server dari sasaran orangorang yang tidak berkepentingan baik untuk melihat dan ataupun mengakses log server. Asumsikan : ketika terjadi tindakan hacking system terhadap data – data confidential, maka hacker berusaha untuk menyembunyikan identitasnya dan segala tindakan hackingnya dari system. Dan salah satu cara untuk menyembunyikan adalah dengan mengakses log server tersebut dan memanipulasi data pada log server. Hacker memahami sepenuhnya kinerja log server yang bersifat prevented dan realtime. Log Analysis Melakukan analisa data log, adalah melakukan tindakan pembacaan dan analisa terhadap semua data / semua events dari berbagai sumber log [ baik dari device networking dan ataupun dari server ]. Langkah terpenting dari analisis data log terletak pada data terakhir dari log tersebut. Tentu saja ini sangat menguras dan membosankan bagi IT administrator / Network administrator. Akurasi dalam membaca data – data log, dan memahami semua data – data pada log server sangat membutuhkan berbagai pengetahuan dan skills IT, seperti ; networking [ TCP/IP ], OS [ windows / linux ], Document by : Herwin Anggeriana || email : [email protected]

3

Article source : http://herw1n.wordpress.com/ || Audting Log Server applications [ checkpoint / Apache ].

Audit Methodology Log Server Setelah kita memiliki skiils dan pengetahuan untuk dapat melakukan log analisis, maka sangat penting untuk melakukan tahapan audit log secara schedule sehingga protection IT dapat dilakukan secara maksimum. Methodology audit log server merupakan sekumpulan metode, sekumpulan prosedure, dan sekumpulan proses technical → ilustrasi : gambar 1.0

Penjelasan dari ilustrasi 1 : 1.

Planning : Pada tahap planning ini, kita melakukan identifikasi target [ dalam hal ini IT environment ],

identifikasi Risk business process, identifikasi dan pemahaman prosedure dan regulasi yang berlaku di organisasi, membuat report target dari tahapan audit methodolgy yang ingin diraih dan langkah terakhir meminta persetujuan report dari management. 2. Discovery : Tahap discovery ini, kita melakukan observasi terhadap metode planning yang telah kita buat dan disetujui oleh management organisasi. Tahapan ini merangkum semua informasi yang dapat diperoleh

Document by : Herwin Anggeriana || email : [email protected]

4

Article source : http://herw1n.wordpress.com/ || Audting Log Server dari hasil observasi tahapan planning, yang nantinya informasi tersebut berguna untuk tahapan berikutnya. 3. Vulnerability Analysis : Setelah melakukan observasi dan mendapatkan kecukupan informasi yang sesuai dengan tahapan planning, maka tahapan ini lebih berfokus kepada analisa, membandingkan dan melakukan opini kemudian memberikan action kepada tindakan seperlunya. Perbandingan pada tahapan ini dilakukan dengan mengacu kepada standar IT yang berlaku umum [ COBIT / CISA ]. 4. Reporting : Tahapan akhir dari methodology Audit. Report yang dihasilkan setelah melakukan perbaikan terhadap tahapan vulnerability analysis, dan melakukan testing. Hasil perbaikan dari tahapan vulnerability analysis dan hasil testing akan terangkum dalam suatu report. Planning → Identification Tahap awal dari methodology audit adalah Planning. Seperti yang tadi disebutkan pada halaman 4, Melakukan identification merupakan bagian proses dari suatu tahapan planning. Pada article ini, identification yang ingin difokuskan adalah log server organisasi / corporate dan log server dari infrastructure. •

Log Server Organisasi / Corporate Cangkupan / scope dari audit adalah memastikan bahwa server berjalan dengan baik dan bekerja secara optimal dan pengendalian yang sesuai diharapkan. Kejelasan cangkupan / scope dari audit menjadi begitu penting dan critical. Contoh : Log server dari suatu organisasi / corporate adalah OpenSuse Enterprise, maka server ini akan diaudit sebagai pengumpul data – data log server termasuk tools yang dipergunakan. Seperti ; •

syslog

•

scp [ secure file transfer over SSH ]

Document by : Herwin Anggeriana || email : [email protected]

5

Article source : http://herw1n.wordpress.com/ || Audting Log Server Ilustrasinya adalah sebagai berikut :

•

SCP [ Secure Copy ] adalah sebuah program yang merupakan bagian yang terintegrasi pada

paket OpenSSH, yang berfungsi untuk menyediakan secure line transmisi antara 2 system. SCP ini sendiri dikenal dengan Connection Copy files over network. Kelemahan dari SCP in adalah penyajian data log server yang tidak bersifat realtime. •

Syslog adalah sebuah program berbasis RFC 3164 yang berfungsi membangkitkan signal-signal

request dan data – data log dari 1 atau 2 mesin atau beberapa mesin secara realtime tetapi tidak terencrypted. Kelemahan dari syslog adalah mekanisme transfer files atau data menggunakan port UDP 514, dimana port tersebut tidak reliable dibandingkan port TCP. Atas dasar media port UDP ini, maka syslog tidak memungkinkan untuk memiliki mekanisme encrypted seperti yang terdapat pada SCP. Keunggulan dari syslog yang cukup menonjol adalah mekanisme transfer files tersebut bersifat realtime dan dynamic.

Document by : Herwin Anggeriana || email : [email protected]

6

Article source : http://herw1n.wordpress.com/ || Audting Log Server •

Processing Data Log Server Ketika data – data Log dari berbagai devices IT terkumpul ke 1 tempat yaitu Log Server, maka data tersebut harus diconvert ke dalam 1 format standar agar dapat diproses karena setiap devices IT memiliki standar format data log yang berbeda-beda. Hasil dari pemrosesan data – data log server tersebut adalah berupa report secara statistic, dimana statistic ini sangat membantu analis untuk menentukan keputusannya.

•

Menampilkan Data – Data Log Server secara Web Beberapa aplikasi Log Server menyediakan function penyajian data berbasis WEB. Tentu saja penyajian statistic berbasis web ini memiliki protection dengan menyediakan fasilitas username and password sebelum data tersaji, bahkan untuk aplikasi Log Server yang bersifat advance, memiliki priviledge user account masing-masing dan data-data yang tersaji pun akan berbeda-beda. Ilustrasi :

Document by : Herwin Anggeriana || email : [email protected]

7

Article source : http://herw1n.wordpress.com/ || Audting Log Server •

Server Operation Server lebih ditujukan sebagai tempat pengumpulan data – data log, apapun data – data log yang dihasilkan oleh setiap devices IT / Server yang tersedia. Terkadang data – data log server tersebut memiliki karakteristik yang beragam, mulai dari data yang bersifat sensitive / confidential hingga data – data tersebut hanya merepresentasikan informasi semata saja. Atas keaneka ragam data – data log dan dengan dasar security, maka biasanya data – data log tersebut hanya bisa diakses / ijin untuk mengolahnya terletak kepada team IT Security. – List port umum yang digunakan untuk mekanisme transmisi data – data log adalah : SSH [ port TCP 22 ] Apache [ port TCP 443 ] Syslog [ port UDP 514 ] NTP [ port TCP / UDP 123 ] Veritas NetBackup [ port TCP 13722, 13724, 13782, 13783 ]

•

Log Infrastructure Secara keseluruhan Log Management tersusun atas 3 bagian : •

Pembangkit Log

•

Consolidation data log yang terpusat dan penyimpanan terpusat secara secure

•

monitoring dan alerting data log

Secara ilustrasi sebagai berikut :

Document by : Herwin Anggeriana || email : [email protected]

8

Article source : http://herw1n.wordpress.com/ || Audting Log Server

To be continue → See next article at http://herw1n.wordpress.com/

Document by : Herwin Anggeriana || email : [email protected]

9