Honeypot merupakan sebuah sistem atau komputer yang sengaja dijadikan umpan untuk menjadi target serangan dari penyerang (attacker). Komputer tersebut melayani serangan yang dilakukan oleh attacker dalam melakukan penetrasi terhadap server tersebut. Honeypot akan memberikan data palsu apabila ada hal aneh yang yang akan masuk ke dalam sistem atau server. Secara teori Honeypot tidak akan mencatat trafik yang legal. Sehingga dapat dilihat bahwa yang berinteraksi dengan Honeypot adalah user yang menggunakan sumber daya sistem yang digunakan secara ilegal. Jadi Honeypot seolah-olah menjadi sistem yang berhasil disusupi oleh attacker, padahal penyerang tidak masuk ke sistem sebenarnya, tetapi masuk ke sistem yang palsu.
Salah satu software Honeypot yang terkenal dan banyak dipakai adalah Honeyd. Ia akan menjebak attacker dengan membuat server-server palsu dengan bermacam-macam jenis sistem operasi seperti Windows, Linux, Unix, Mac Os dan bahkan cisco router dengan berbagi layanan seperti FTP, Web, Server dan sebagainya. Salah satu kelebihan Honeyd adalah mengemulasikan banyak server dan layanan servis palsu hanya pada satu unit komputer atau server sehingga akan menghemat resource.
Sistem keamanan firewall tidaklah cukup untuk meminimalkan terjadinya serangan terhadap suatu jaringan komputer. Banyak serangan yang terjadi pada jaringan komputer dapat diketahui setelah adanya kejadian-kejadian yang aneh pada jaringan. Para administrator tidak bisa mengetahui dengan pasti apa yang terjadi, sehingga dibutuhkan waktu yang cukup lama untuk mengaudit sistem guna mencari permasalahan yang telah terjadi.
Untuk mengatasi masalah tersebut dibutuhkan suatu tool yang mampu mendeteksi lebih awal terjadinya intruder atau kegiatan yang merugikan suatu jaringan. Intrussion Detection System merupakan suatu solusi yang sangat tepat untuk keperluan tersebut.
Salah satu IDS (Intrusion Detection System) yang sangat populer dalam keamanan IT adalah Snort. Snort dibuat dan dikembangkan pertama kali oleh Martin Roesh pada bulan November 1998, lalu menjadi sebuah Open Source project. Bahkan di situs resminya www.snort.org mereka berani mengklaim sebagai standar "intrussion detection/prevention". Snort merupakan IDS yang sangat populer dan cukup ampuh.
Sistem keamanan firewall tidaklah cukup untuk meminimalkan terjadinya serangan terhadap suatu jaringan komputer. Banyak serangan yang terjadi pada jaringan komputer dapat diketahui setelah adanya kejadian-kejadian yang aneh pada jaringan. Para administrator tidak bisa mengetahui dengan pasti apa yang terjadi, sehingga dibutuhkan waktu yang cukup lama untuk mengaudit sistem guna mencari permasalahan yang telah terjadi.
Untuk mengatasi masalah tersebut dibutuhkan suatu tool yang mampu mendeteksi lebih awal terjadinya intruder atau kegiatan yang merugikan suatu jaringan. Intrussion Detection System merupakan suatu solusi yang sangat tepat untuk keperluan tersebut.
Salah satu IDS (Intrusion Detection System) yang sangat populer dalam keamanan IT adalah Snort. Snort dibuat dan dikembangkan pertama kali oleh Martin Roesh pada bulan November 1998, lalu menjadi sebuah Open Source project. Bahkan di situs resminya www.snort.org mereka berani mengklaim sebagai standar "intrussion detection/prevention". Snort merupakan IDS yang sangat populer dan cukup ampuh.
Definisi dari L. Spitzner tentang istilah Honeypot adalaha sebagai berikut:
“A Honeypot is a resource whose value is being in attacked or compromised. This means, that a Honeypot is expected to get probed, attacked and potentially exploited. Honeypots do not fix anything. They provide us with additional, valuable information.”
Definisi lain menurut Retto Baumann dan Cristian Plattner :
“A Honeypot is a resource which pretends to be a real target. A Honeypot is expected to be attacked or compromised. The main goals are the distraction of an attacker and the gain of information about an attack and the attacker.”
“A Honeypot is a resource whose value is being in attacked or compromised. This means, that a Honeypot is expected to get probed, attacked and potentially exploited. Honeypots do not fix anything. They provide us with additional, valuable information.”
Definisi lain menurut Retto Baumann dan Cristian Plattner :
“A Honeypot is a resource which pretends to be a real target. A Honeypot is expected to be attacked or compromised. The main goals are the distraction of an attacker and the gain of information about an attack and the attacker.”
A. Kategori Honeypot
Menurut kategorinya Honeypot terdiri atas :
1). Production Honeypot
2). Research Honeypot
Production Honeypot digunakan untuk mengurangi resiko serangan pada sistem keamanan jaringan informasi dalam sebuah organisasi. Research Honeypot digunakan untuk mendapatkan infrmasi sebanyak mungkin tentang penyerang sehingga seorang adimnistrator dapat mempelajari sebanyak mungkin informasi tersebut
B. Jenis Honeypot
Jenis Honeypot adalah berdasarkan level of involvement (tingkat keterlibatan). Level of involvement mengukur derajat interaksi seorang penyerang dengan sistem informasi. Terdiri dari dua jenis yakni low involvement Honeypot dan high involvement Honeypot.
1). Low Involvement Honeypot
Low Involvement Honeypot biasanya hanya menyediakan tiruan dari layanan tertentu. Bentuk paling sederhana dari layanan ini dapat diimplementasikan dengan memasang suatu listener pada sebuah port. Sebagai contoh, simple netcat –l –p 80 > /log/Honeypot/port 80.log dapat digunakan untuk mendengarkan port 80 (HTTP) dan mencatat semua traffic yang ada pada log file. Pada Low Involvement Honeypot tidak ada sistem operasi nyata yang dapat dipakai sebagai tempat operasi penyerang. Ini akan dapat mengurangi resiko secara signifikan karena kompleksitas dari suatu sistem operasi telah ditiadakan. Di sisi lain ini adalah juga suatu kelemahan yang berakibat tidak adanya kemungkinan untuk memperhatikan interaksi penyerang dengan sistem operasi yang bisa jadi sangat menarik. Low Involvement Honeypot adalah seperti sebuah koneksi satu arah. Kita hanya akan dapat mendengarkan tanpa bisa menanyakan pertanyaan sendiri. Pendekatan cara ini sangat pasif.
2). High Involvement Honeypot
High involvement Honeypot mempunyai sebuah sistem operasi nyata yang mendasarinya. Hal ini menyebabkan resiko yang sangat tinggi karena kompleksitas menjadi semakin bertambah. Pada saat yang sama, kemampuan untuk mengumpulkan 10 informasi, dan kemungkinan untuk serangan yang lebih atraktif juga semakin bertambah banyak. Satu tujuan dari seorang hacker adalah menambah sumber dan mendapatkan akses pada satu mesin yang terhubung ke internet selama 24 jam sehari. High involvement Honeypots menawarkan kemungkinan itu. Ketika seorang hacker mendapatkan akses, bagian yang sangat menarik dimulai. Sayangnya seorang penyerang akan berkompromi dengan sistem untuk mendapatkan level kebebasan seperti ini. Dia akan mempunyai sumber yang sebenarnya pada sistem dan dapat melakukan apa saja pada setiap saat dalam sistem yang berkompromi tersebut. Oleh sebab itu sistem tidak lagi aman. Bahkan seluruh mesin tidak lagi dapat dikatakan aman. Hal ini tidak akan menjadi masalah jika penyerang berada pada sebuah jail, sandbox, atau VMWare box karena akan ada jalan untuk keluar dari batas-batas software ini.
Menurut kategorinya Honeypot terdiri atas :
1). Production Honeypot
2). Research Honeypot
Production Honeypot digunakan untuk mengurangi resiko serangan pada sistem keamanan jaringan informasi dalam sebuah organisasi. Research Honeypot digunakan untuk mendapatkan infrmasi sebanyak mungkin tentang penyerang sehingga seorang adimnistrator dapat mempelajari sebanyak mungkin informasi tersebut
B. Jenis Honeypot
Jenis Honeypot adalah berdasarkan level of involvement (tingkat keterlibatan). Level of involvement mengukur derajat interaksi seorang penyerang dengan sistem informasi. Terdiri dari dua jenis yakni low involvement Honeypot dan high involvement Honeypot.
1). Low Involvement Honeypot
Low Involvement Honeypot biasanya hanya menyediakan tiruan dari layanan tertentu. Bentuk paling sederhana dari layanan ini dapat diimplementasikan dengan memasang suatu listener pada sebuah port. Sebagai contoh, simple netcat –l –p 80 > /log/Honeypot/port 80.log dapat digunakan untuk mendengarkan port 80 (HTTP) dan mencatat semua traffic yang ada pada log file. Pada Low Involvement Honeypot tidak ada sistem operasi nyata yang dapat dipakai sebagai tempat operasi penyerang. Ini akan dapat mengurangi resiko secara signifikan karena kompleksitas dari suatu sistem operasi telah ditiadakan. Di sisi lain ini adalah juga suatu kelemahan yang berakibat tidak adanya kemungkinan untuk memperhatikan interaksi penyerang dengan sistem operasi yang bisa jadi sangat menarik. Low Involvement Honeypot adalah seperti sebuah koneksi satu arah. Kita hanya akan dapat mendengarkan tanpa bisa menanyakan pertanyaan sendiri. Pendekatan cara ini sangat pasif.
2). High Involvement Honeypot
High involvement Honeypot mempunyai sebuah sistem operasi nyata yang mendasarinya. Hal ini menyebabkan resiko yang sangat tinggi karena kompleksitas menjadi semakin bertambah. Pada saat yang sama, kemampuan untuk mengumpulkan 10 informasi, dan kemungkinan untuk serangan yang lebih atraktif juga semakin bertambah banyak. Satu tujuan dari seorang hacker adalah menambah sumber dan mendapatkan akses pada satu mesin yang terhubung ke internet selama 24 jam sehari. High involvement Honeypots menawarkan kemungkinan itu. Ketika seorang hacker mendapatkan akses, bagian yang sangat menarik dimulai. Sayangnya seorang penyerang akan berkompromi dengan sistem untuk mendapatkan level kebebasan seperti ini. Dia akan mempunyai sumber yang sebenarnya pada sistem dan dapat melakukan apa saja pada setiap saat dalam sistem yang berkompromi tersebut. Oleh sebab itu sistem tidak lagi aman. Bahkan seluruh mesin tidak lagi dapat dikatakan aman. Hal ini tidak akan menjadi masalah jika penyerang berada pada sebuah jail, sandbox, atau VMWare box karena akan ada jalan untuk keluar dari batas-batas software ini.
0 comments: