1.
DEFINISI
HONEYPOT
Ada beberapa
definisi honeypot yang disampaikan oleh beberapa peneliti honeypot pada
makalah sistem kemanan yang mereka buat maupun dari halaman web. Menurut Lance
Spitzner, seorang arsitek sistem keamanan Sun Microsystems, ”A honeypot is
security resource whose value lies in being probed, attacked, or compromised.” Definisi
ini menjadi acuan beberapa makalah lainnya. Dari definisi itu dapat diambil
kesimpulan bahwa honeypot baru dikatakan suatu sistem keamanan jika honeypot
tersebut disusupi, diserang, atau dikendalikan oleh penyerang. Ada
juga seorang insinyur berkebangsaan Swiss bernama Reto Baumann menyikapi
interpretasi yang diberikan oleh Lance Spitzner. Menurut Baumann melalui tugas
akhir diplomanya, ” A honeypot is a resource which pretends to be a real
target. A honeypot is expected to be attacked or compromised. The main goals
are the distraction of an attacker and the gain
of information about an attack and the attacker.” Jadi, menurut Baumann, honeypot
adalah sebuah sumberdaya sistem keamanan yang dibuat sebagai tujuan utama
penyerang yang sebenarnya merupakan sistem yang palsu untuk menjebak penyerang.
Sistem honeypot biasanya hanya sebuah sistem yang dihubungkan dengan
jaringan produktif, atau sistem yang asli, yang ada dengan tujuan untuk
menjebak penyerang. Gambar berikut memperlihatkan sebuah sistem fisik honeypots
tunggal yang diletakkan pada jaringan internal. Sistem tersebut kemudian dapat
mengemulasikan berbagai variasi sistem atau lubang-lubang dari sistem yang
mudah untuk diserang.
TIPE HONEYPOT
Honeypot dibagi menjadi dua tipe dasar, yaitu production honeypot dan
research honeypot. Tujuan utama dari production honeypot adalah
untuk membantu mengurangi resiko keamanan jaringan pada sebuah organisasi. Production
honeypot memberikan suatu nilai tambah bagi keamanan jaringan dari suatu
organisasi. Tipe kedua, research honeypot, adalah honeypot yang
didesain untuk mendapatkan informasi mengenai aktivitas-aktivitas dari
komunitas penyerang atau penyusup. Research honeypot tidak memberikan
suatu nilai tambah secara langsung kepada suatu organisasi, melainkan digunakan
sebagai alat untuk meneliti ancaman-ancaman keamanan yang mungkin
dihadapi dan bagaimana cara untuk melindungi diri dari ancaman tersebut.
KLASIFIKASI HONEYPOT
Honeypot dapat
diklasifikasikan berdasarkan pada tingkat interaksi yang dimilikinya. Tingkat
interaksi dapat didefinisikan sebagai tingkat aktivitas penyerang/ intruder di
dalam sistem yang diperbolehkan maka semakin tinggi pula tingkat interaksi honeypot.
low interaction honeypot
Low-interaction honeypot merupakan
honeypot dengan tingkat interaksi honeypot, yaitu honeypot yang
didesain untuk mengemulasikan service (layanan) seperti pada server yang
asli. Penyerang hanya
mampu memeriksa dan terkoneksi ke satu atau beberapa port.
Kelebihan low-interaction
honeypot yaitu:
a.
Mudah di install, dikonfigurasi, deployed, dan dimaintain
b. Mampu mengemulasi suatu layanan seperti http, ftp,
telnet, dsb.
c. Difungsikan untuk deteksi serangan, khususnya pada
proses scanning atau percobaan
pembukaan koneksi pada suatu layanan. Kekurangan low-interaction
honeypot :
a.
Layanan yang di berikan hanya berupa emulasi, sehingga penyerang tidak dapat
berinteraksi secara penuh dengan layanan yang diberikan atau sistem operasinya
secara langsung
b. Informasi yang bisa kita dapatkan dari penyerang
sangat minim.
c. Apabila serangan dilakukan oleh "real person"
bukan "automated tools" mungkin akan segera menyadari bahwa
yang sedang dihadapi merupakan mesin honeypot, karena keterbatasan
layanan yang bisa diakses.
MEDIUM INTERACTION HONEYPOT
Kelebihannya Medium Interaction Honeypot:
a.
Memiliki kemampuan yang lebih banyak untuk berinteraksi dengan penyerang dibandingkan
low-interaction honeypot namun tidak sebanyak high-interaction
honeypot.
b. Emulasi layanan dapat ditambahkan berbagai macam fitur
tambahan sehingga seakanakan penyerang benar-benar sedang berinteraksi dengan
layanan yang sebenarnya.
c.
Contoh: script untuk mengemulasikan IIS web server dengan
berbagai macam informasi tambahan yang menyertai web server tersebut
sehingga benar-benar terlihat seperti aslinya, atau pun juga membuat emulasi
IIS yang dapat berinteraksi dengan suatu jenis worm, sehingga kita bisa
mendapatkan payload dari worm tersebut untuk dianalisis selanjutnya.
d.
Contoh: menggunakan jail atau chroot, yaitu membangun sistem
operasi virtual pada partisi yang terpisah didalam sistem operasi yang
sebenarnya dimana sistem operasi virtual tersebut sepenuhnya di kontrol
oleh sistem operasi yang sebenarnya, cara ini dapat memberikan suasana sistem
operasi yang
sesungguhnya
bagi penyerang. Kekurangan Medium Interaction Honeypot :
a.
Sistem tersebut cukup kompleks.
b.
Memerlukan usaha lebih untuk maintain dan deploy sistem tersebut
sehingga akses yang diberikan kepada penyerang benar-benar terjamin tingkat
keamanannya namun tetap dapat memberikan suasana sistem yang nyata bagi
penyerang sehingga penyerang tersebut tidak curiga bahwa aktivitasnya sedang di
monitor.
HIGH INTERACTION HONEYPOT
Pada high-interaction honeypot terdapat sistem
operasi dimana penyerang dapat berinteraksi langsung dan tidak ada batasan yang
membatasi interaksi tersebut. Menghilangkan batasan-batasan tersebut
menyebabkan tingkat risiko yang dihadapi semakin tinggi karena penyerang dapat
memiliki akses root. Pada saat yang sama, kemungkinan pengumpulan
informasi semakin meningkat dikarenakan kemungkinan serangan yang tinggi.
Dikarenakan penyerang dapat berinteraksi secara penuh dengan sistem
operasi, maka apabila si penyerang telah mendapat akses root.
Kelebihannya :
a.
Penyerang berinteraksi langsung dengan sistem yang nyata termasuk diantaranya
sistem operasi, network, hingga layanan yang diberikan ( web service,
ssh service, mail service, dll )
b.
Umumnya dibangun suatu sistem khusus dengan topologi yang telah dipersiapkan.
c.
Sistem tersebut biasanya terdiri dari berbagai macam implementasi dari
teknologi keamanan yang banyak digunakan untuk melindungi suatu sistem, seperti
firewall,
IDS/IPS,
router, dll.
d. Target
serangan berupa sistem operasi sebenarnya yang siap untuk berinteraksi secara
langsung dengan penyerang.
Kekurangannya :
a. Perencanaan dan implementasi sistem jauh lebih
rumit dan dibutuhkan banyak pertimbangan.
b. High-interaction
honeypot bersifat tidak efisien karena membutuhkan pengawasan berkala.
c.
Apabila telah diambil alih oleh penyerang maka honeypot tersebut dapat
menjadi ancaman bagi jaringan yang ada.
SEJARAH WIRELESS HONEYPOT
Kemajuan
teknologi honeypot mulai terlihat ketika Kevin Poulsen pada tahun 2002
mempublikasikan penelitiannya, Wi-Fi Honeypots a New Hacker Trap ,
penelitian Poulsen ini dianggap beberapa pihak sebagai teknologi wireless
honeypot yang pertama. Suatu tim peneliti, WISE ( Wireless Information
Security Experiment ) pada tahun 2002 didirikan oleh SAIC ( Science
Applications International Corporation ) di Washington DC, Amerika Serikat. Tim
peneliti ini meneliti celah keamanan jaringan wireless pada waktu itu,
tim tersebut mendapati bahwa kebanyakan jaringan wireless pada saat itu sangat
mudah untuk disusupi dan sangat terbuka. Jenis ancaman yang ditemukan adalah
akses yang tidak terotorisasi, penggunaan jaringan wireless yang ilegal,
mendengarkan proses komunikasi pada wireless secara ilegal ( eavesdropping
). Ancaman kemanan tersebut merupakan ancaman keamanan yang paling utama
dan paling sering terjadi saat ini. Pada akhir 2002, sebuah organisasi
bernama Tenebris mempublikasikan hasil penelitian mereka, yaitu pengumpulan
data dari wireless honeypot yang mereka implementasikan di Ottawa ( Canada )
dan menyimpulkan bahwa sangat banyak terjadi aktivitas war driving saat
itu dan apa saja yang sering menjadi target serangan para penyerang di
jaringan wireless. Selanjutnya, Tenebris melanjutkan riset mereka di
sekitar kota London lalu menuju Adelaide, South Australia.
SKENARIO SERANGAN PADA JARINGAN WIRELESS
Dari
beberapa penelitian sebelumnya, ada suatu bentuk pola skenario serangan yang
umum terjadi pada sistem keamanan wireless. Setidaknya ada tiga pola
skenario
serangan,
yaitu:
A. Serangan yang sebenarnya ditujukan ke jaringan kabel (
LAN ) dengan memakai jaringan wireless sebagai media untuk menyusup ke
LAN.
B. Serangan yang langsung ditujukan kepada pengguna
jaringan wireless. Jenis serangan ini menyerang perangkat wireless
user.
C. Serangan yang ditujukan ke infrastruktur
jaringan wireless secara keseluruhan. Jenis serangan ini biasanya bertujuan
mengambil alih akses penuh jaringan wireless.
ARSITEKTUR WIRELESS HONEYPOT
Secara umum arsitektur wireless honeypot yang akan
diimplementasikan adalah sebagai berikut.
a.
Wireless Access Point ( WAP ) sebagai media prasarana jaringan wireless.
b.
Wireless Client ( WC ) merupakan pihak pengguna jaringan wireless ( user
).
c.
Wireless Monitor ( WMON ) sebagai perangkat yang merekam trafik jaringan.
d.
Wireless Data Analysis ( WDA ) berfungsi menganalisis trafik dari WMON
e. Wired Instructure ( WI ) merupakan infrastruktur LAN.
Tidak ada komentar:
Posting Komentar