HONEYPOTKonsep serupa honeypot (sebelumnya belum diberi istilah seperti itu) dipercaya sudah cukup lama ada, walaupuntidak...
arsitek sistem keamanan Sun Microsystems, ”A honeypot is security resource whose value liesin being probed, attacked, or c...
KLASIFIKASI HONEYPOTHoneypot dapat diklasifikasikan berdasarkan pada tingkat interaksi yang dimilikinya. Tingkatinteraksi ...
d. Contoh: menggunakan jail atau chroot, yaitu membangun sistem operasi virtual pada partisiyang terpisah didalam sistem o...
c. Apabila telah diambil alih oleh penyerang maka honeypot tersebut dapat menjadi ancamanbagi jaringan yang ada.SEJARAH WI...
ARSITEKTUR WIRELESS HONEYPOTSecara umum arsitektur wireless honeypot yang akan diimplementasikan adalah sebagai berikut.a....
Honeypot
Upcoming SlideShare
Loading in …5
×

Honeypot

2,190 views

Published on

Fitriansyah

Published in: Technology, Business
2 Comments
0 Likes
Statistics
Notes
  • Be the first to like this

No Downloads
Views
Total views
2,190
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
129
Comments
2
Likes
0
Embeds 0
No embeds

No notes for slide

Honeypot

  1. 1. HONEYPOTKonsep serupa honeypot (sebelumnya belum diberi istilah seperti itu) dipercaya sudah cukup lama ada, walaupuntidak ada literatur yang membahasnya sebelum tahun 1990. Tahun 1990 Clifford Stoll menerbitkan buku TheCuckoo’s Egg, yang lebih mirip cerita detektif. Penerbitnya Pocket Books, yang lebih dikenal dengan novel. Inilahpenerbitan pertama yang menguraikan konsephoneypot. Buku ini menceritakan kejadian sesungguhnya selamaperiode sepuluh bulan di tahun 1986-1987. Stoll adalah astronom pada Lawrence Berkeley Lab yang menjadi adminberbagai komputer untuk komunitas astronom. Selisih akuntansi senilai 75 sen membuatnya menyadari akanadanya hacker bernama ‘Hunter,’ yang telah menyusup ke dalam sistem.Bukannya menutup account penyusup ini, Stoll malah membiarkannya berada dalam sistem, agar dapatmempelajarinya lebih jauh dan memburunya. Tanpa disadari penyerang, Stoll menyiapkan direktori SDINET(Strategic Defence Initiave Network) dan mengisinya dengan file-file yang pura-pura berisi berbagai file keuangandan rahasia negara. Hacker ini ternyata tidak tertarik pada file-file keuangan. Makalah teknis pertamamengenai honeypot terbit pada tahun 1990 itu juga, tulisan Bill Cheswick berjudul ‘An Eve-ning with Berfeld inWhich a Cracker Is Lured, Endured and Studied’ . Berbeda dengan yang pertama, Cheswick memang menyiapkansuatu sistem yang memang untuk diserang, menjadikannya kasus pertama dari honeypot yang sesungguhnya. Padamakalah ini Cheswick bukan saja membahas cara membangun dan menggunakan honeypot, melainkan jugamenceritakan bagaimana seorang hacker Belanda dipelajari sewaktu dia menyerang dan menguasai sistem.Cheswick pertamatama membangun suatu sistem dengan beberapa kelemahan (termasuk Sendmail) untukmendapatkan ancaman apa saja yang ada dan bagaimana cara kerjanya. Tujuannya bukanlah untuk menangkaporang tertentu, melainkan untuk mempelajari kegiatan membahayakan apa saja yang bisa terjaditerhadap network dan sistemnya. Cheswick menciptakan suatu lingkungan terkontrol yang disebutnya sebagai ‘jail’(ia tidak menyebutnya sebagai honeypot), yang mengurung kegiatan sang penyerang. Hacker Belanda dengannickname Berfeld ini memasuki sistem dengan memanfaatkan kelemahan pada Sendmail sampai mendapatkankendali terhadap sistem. Secara umum,honeypot dapat didefinisikan sebagai sebua sumber daya sistem informasidimana nilai guna dari sumber daya tersebut justru berdasar kepada terdeteksinya kasus penggunaan yang tidakterotorisasi atau tidak diperbolehkan secara hukum dari sumber daya tersebut. Atau dengan katalain, honeypot adalah sebuah sumber daya yang bersifat seakan-akan target yang sebenarnya, yang dengan sengajadisediakan untuk diserang atau diambil alih. Oleh karena itu, honeypot akan diamati, diserang bahkan dieksploitasioleh penyerang atau penyusup. Tujuan utama dari honeypot ini adalah untuk mengumpulkan informasi dari suatuserangan dan penyerang yang melakukannya. Intruder atau penyerang merupakan istilah umum yang diberikanuntuk menggambarkan seseorang yang berusaha untuk masuk ke dalam sistem dalam arti berusaha menggunakansistem dimana mereka tidak memiliki autorisasi atau menggunakan sistem untuk maksud yang menyimpang di luarhak-hak yang mereka miliki.DEFINISI HONEYPOTAda beberapa definisi honeypot yang disampaikan oleh beberapa peneliti honeypot pada makalahsistem kemanan yang mereka buat maupun dari halaman web. Menurut Lance Spitzner, seorang
  2. 2. arsitek sistem keamanan Sun Microsystems, ”A honeypot is security resource whose value liesin being probed, attacked, or compromised.” Definisi ini menjadi acuan beberapa makalahlainnya. Dari definisi itu dapat diambil kesimpulan bahwa honeypot baru dikatakan suatu sistemkeamanan jika honeypot tersebut disusupi, diserang, atau dikendalikan oleh penyerang. Ada jugaseorang insinyur berkebangsaan Swiss bernama Reto Baumann menyikapi interpretasi yangdiberikan oleh Lance Spitzner. Menurut Baumann melalui tugas akhir diplomanya, ” A honeypotis a resource which pretends to be a real target. A honeypot is expected to be attacked orcompromised. The main goals are the distraction of an attacker and the gain of informationabout an attack and the attacker.” Jadi, menurut Baumann, honeypotadalah sebuah sumberdayasistem keamanan yang dibuat sebagai tujuan utama penyerang yang sebenarnya merupakansistem yang palsu untuk menjebak penyerang. Sistem honeypot biasanya hanya sebuah sistemyang dihubungkan dengan jaringan produktif, atau sistem yang asli, yang ada dengan tujuanuntuk menjebak penyerang. Gambar berikut memperlihatkan sebuah sistem fisik honeypotstunggal yang diletakkan pada jaringan internal. Sistem tersebut kemudian dapat mengemulasikanberbagai variasi sistem atau lubang-lubang dari sistem yang mudah untuk diserang.TIPE HONEYPOTHoneypot dibagi menjadi dua tipe dasar, yaitu production honeypot dan research honeypot.Tujuan utama dari production honeypot adalah untuk membantu mengurangi resiko keamananjaringan pada sebuah organisasi. Production honeypotmemberikan suatu nilai tambah bagikeamanan jaringan dari suatu organisasi. Tipe kedua, research honeypot, adalah honeypotyangdidesain untuk mendapatkan informasi mengenai aktivitas-aktivitas dari komunitas penyerangatau penyusup. Research honeypot tidak memberikan suatu nilai tambah secara langsung kepadasuatu organisasi, melainkan digunakan sebagai alat untuk meneliti ancaman-ancaman keamananyang mungkin dihadapi dan bagaimana cara untuk melindungi diri dari ancaman tersebut.
  3. 3. KLASIFIKASI HONEYPOTHoneypot dapat diklasifikasikan berdasarkan pada tingkat interaksi yang dimilikinya. Tingkatinteraksi dapat didefinisikan sebagai tingkat aktivitas penyerang/ intruder di dalam sistem yangdiperbolehkan maka semakin tinggi pula tingkat interaksi honeypot.LOW INTERACTION HONEYPOTLow-interaction honeypot merupakan honeypot dengan tingkat interaksi honeypot,yaitu honeypot yang didesain untuk mengemulasikan service (layanan) seperti pada server yangasli. Penyerang hanya mampu memeriksa dan terkoneksi ke satu atau beberapa port.Kelebihan low-interaction honeypot yaitu:a. Mudah di install, dikonfigurasi, deployed, dan dimaintainb. Mampu mengemulasi suatu layanan seperti http, ftp, telnet, dsb.c. Difungsikan untuk deteksi serangan, khususnya pada proses scanning atau percobaanpembukaan koneksi pada suatu layanan. Kekurangan low-interaction honeypot :a. Layanan yang di berikan hanya berupa emulasi, sehingga penyerang tidak dapat berinteraksisecara penuh dengan layanan yang diberikan atau sistem operasinya secara langsungb. Informasi yang bisa kita dapatkan dari penyerang sangat minim.c. Apabila serangan dilakukan oleh "real person" bukan "automated tools" mungkin akan segeramenyadari bahwa yang sedang dihadapi merupakan mesin honeypot, karena keterbatasanlayanan yang bisa diakses.MEDIUM INTERACTION HONEYPOTKelebihannya Medium Interaction Honeypot:a. Memiliki kemampuan yang lebih banyak untuk berinteraksi dengan penyerangdibandingkan low-interaction honeypot namun tidak sebanyak high-interaction honeypot.b. Emulasi layanan dapat ditambahkan berbagai macam fitur tambahan sehingga seakanakanpenyerang benar-benar sedang berinteraksi dengan layanan yang sebenarnya.c. Contoh: script untuk mengemulasikan IIS web server dengan berbagai macam informasitambahan yang menyertai web servertersebut sehingga benar-benar terlihat seperti aslinya, ataupun juga membuat emulasi IIS yang dapat berinteraksi dengan suatu jenis worm, sehingga kitabisa mendapatkan payload dari worm tersebut untuk dianalisis selanjutnya.
  4. 4. d. Contoh: menggunakan jail atau chroot, yaitu membangun sistem operasi virtual pada partisiyang terpisah didalam sistem operasi yang sebenarnya dimana sistem operasi virtual tersebutsepenuhnya di kontrol oleh sistem operasi yang sebenarnya, cara ini dapat memberikan suasanasistem operasi yangsesungguhnya bagi penyerang. Kekurangan Medium Interaction Honeypot :a. Sistem tersebut cukup kompleks.b. Memerlukan usaha lebih untuk maintain dan deploy sistem tersebut sehingga akses yangdiberikan kepada penyerang benar-benar terjamin tingkat keamanannya namun tetap dapatmemberikan suasana sistem yang nyata bagi penyerang sehingga penyerang tersebut tidak curigabahwa aktivitasnya sedang di monitor.HIGH INTERACTION HONEYPOTPada high-interaction honeypot terdapat sistem operasi dimana penyerang dapat berinteraksilangsung dan tidak ada batasan yang membatasi interaksi tersebut. Menghilangkan batasan-batasan tersebut menyebabkan tingkat risiko yang dihadapi semakin tinggi karena penyerangdapat memiliki akses root. Pada saat yang sama, kemungkinan pengumpulan informasi semakinmeningkat dikarenakan kemungkinan serangan yang tinggi. Dikarenakan penyerang dapatberinteraksi secara penuh dengan sistem operasi, maka apabila si penyerang telah mendapat akses root.Kelebihannya :a. Penyerang berinteraksi langsung dengan sistem yang nyata termasuk diantaranya sistemoperasi, network, hingga layanan yang diberikan ( web service, ssh service, mail service, dll )b. Umumnya dibangun suatu sistem khusus dengan topologi yang telah dipersiapkan.c. Sistem tersebut biasanya terdiri dari berbagai macam implementasi dari teknologi keamananyang banyak digunakan untuk melindungi suatu sistem, seperti firewall,IDS/IPS, router, dll.d. Target serangan berupa sistem operasi sebenarnya yang siap untuk berinteraksi secaralangsung dengan penyerang.Kekurangannya :a. Perencanaan dan implementasi sistem jauh lebih rumit dan dibutuhkan banyak pertimbangan.b. High-interaction honeypot bersifat tidak efisien karena membutuhkan pengawasan berkala.
  5. 5. c. Apabila telah diambil alih oleh penyerang maka honeypot tersebut dapat menjadi ancamanbagi jaringan yang ada.SEJARAH WIRELESS HONEYPOTKemajuan teknologi honeypot mulai terlihat ketika Kevin Poulsen pada tahun 2002mempublikasikan penelitiannya, Wi-Fi Honeypots a New Hacker Trap , penelitian Poulsen inidianggap beberapa pihak sebagai teknologi wireless honeypot yang pertama. Suatu tim peneliti,WISE ( Wireless Information Security Experiment ) pada tahun 2002 didirikan oleh SAIC( Science Applications International Corporation ) di Washington DC, Amerika Serikat. Timpeneliti ini meneliti celah keamanan jaringanwireless pada waktu itu, tim tersebut mendapatibahwa kebanyakan jaringan wireless pada saat itu sangat mudah untuk disusupi dan sangatterbuka. Jenis ancaman yang ditemukan adalah akses yang tidak terotorisasi, penggunaanjaringan wireless yang ilegal, mendengarkan proses komunikasi pada wireless secara ilegal( eavesdropping ). Ancaman kemanan tersebut merupakan ancaman keamanan yang palingutama dan paling sering terjadi saat ini. Pada akhir 2002, sebuah organisasi bernama Tenebrismempublikasikan hasil penelitian mereka, yaitu pengumpulan data dari wireless honeypot yang merekaimplementasikan di Ottawa ( Canada ) dan menyimpulkan bahwa sangat banyak terjadi aktivitas war driving saat itudan apa saja yang sering menjadi target serangan para penyerang di jaringan wireless. Selanjutnya, Tenebrismelanjutkan riset mereka di sekitar kota London lalu menuju Adelaide, South Australia.SKENARIO SERANGAN PADA JARINGAN WIRELESSDari beberapa penelitian sebelumnya, ada suatu bentuk pola skenario serangan yang umumterjadi pada sistem keamanan wireless. Setidaknya ada tiga pola skenarioserangan, yaitu:A. Serangan yang sebenarnya ditujukan ke jaringan kabel ( LAN ) dengan memakaijaringan wireless sebagai media untuk menyusup ke LAN.B. Serangan yang langsung ditujukan kepada pengguna jaringan wireless. Jenis serangan inimenyerang perangkat wireless user.C. Serangan yang ditujukan ke infrastruktur jaringan wireless secara keseluruhan. Jenis seranganini biasanya bertujuan mengambil alih akses penuh jaringan wireless.
  6. 6. ARSITEKTUR WIRELESS HONEYPOTSecara umum arsitektur wireless honeypot yang akan diimplementasikan adalah sebagai berikut.a. Wireless Access Point ( WAP ) sebagai media prasarana jaringan wireless.b. Wireless Client ( WC ) merupakan pihak pengguna jaringan wireless ( user ).c. Wireless Monitor ( WMON ) sebagai perangkat yang merekam trafik jaringan.d. Wireless Data Analysis ( WDA ) berfungsi menganalisis trafik dari WMONe. Wired Instructure ( WI ) merupakan infrastruktur LAN.

×