Honeypot Project Adalah
Honeypot Project
Honeypot udah dikenal sejak dulu sebagai peralatan perang untuk melindungi mesin server dari serangan, setidaknya meredam sebuah serangan yang mungkin mengakibatkan loss data atau system crash. Nah, jadi pengertian sebenarnya apa seh?!Menurut pembuatnya, Lance Spitzner
Honeypot, IDS dan Firewall
Honeypot berbeda dengan firewall atau IDS yang melakukan reaksi ketika ada serangan, contohnya ketika ada penyerang yang melakukan penetrasi ke port 3389 (terminal service), firewall akan bertindak sesuai dengan rule yang kita buat untuk port 3389, apabila dalam rule yang kita buat untuk port tersebut tertutup dari external access, maka firewall akan membuang / men-drop paket ke port tersebut.
Berbeda lagi dengan IDS, yang akan mendeteksi adanya paket-paket yang tidak sesuai dengan rule-rule yang kita buat. Honeypot tidak begitu, honeypot hanya menyediakan security vulnerability terhadap suatu sistem, sehingga menyediakan ruang untuk diserang. Ketika ada serangan, honeypot akan mencatatnya dalam log sehingga kita bisa melakukan tindakan selanjutnya.
Log pada honeypot memang tidak terlalu besar dan banyak seperti halnya pada IDS dan firewall yang bisa memakan banyak space. Namun informasi yang dihasilkan bisa memiliki nilai yang sangat tinggi, tentunya berdasarkan hal apa yang kita teliti dengan honeypot.
Dengan honeypot, kita bisa menangkap aktifitas hacker mulai dari script kiddies sampai hacker berpengalaman. Tentunya kita bisa men-set honeypot dari bentuk kehadirannya, apakah dia terlihat sebagai honeypot secara langsung atau sebagai server biasa yang siap diserang.
Tujuan Pemasangan Honeypot
Honeypot bisa dipasang untuk tujuan sebagai berikut:
Honeypot sendiri bisa terdiri dari berbagai bentuk, dari hanya sebuah sistem dengan service-service yang disediakan untuk diserang, hingga sebuah jaringan yang di desain dengan rapi-nya untuk diserang dan menangkap aktifitas penyerang yang masuk perangkap
Honeypot bisa berjalan diatas sistem operasi Windows atau Linux/Unix, dan berbeda-beda programnya seperti pada Linux ada honeynet, honeyd, dan honeyweb
Sedangkan untuk di OS Windows ada Jackpot, PatriotBox, dan counter trojan seperti Back Officer Friendly dan Netbuster (keduanya merupakan counter dari trojan BackOrifice dan Netbus)
Setiap program memiliki keunggulan masing-masing dalam menyediakan service-service yang vulnerable untuk diserang. Kejelian kita dalam menyiasati sebuah service untuk diserang, dan untuk siapa honeypot tersebut kita bangun tentunya menjadi hal utama yang dipikirkan ketika membangun sebuah honeypot.
Macam-Macam Honeypot
Honeypot sendiri dibagi menjadi dua kategori yaitu Low Interaction Honeypot dan High Interaction Honeypot
High Interaction Honeypot
adalah sistem yang mengoperasikan Sistem Operasi penuh sehingga penyerang akan melihatnya sebagai sebuah sistem operasi/host yang siap untuk dieksploitasi (dan memang seperti itu lah keadaannya) Inti dari High Interaction adalah sistem ini nantinya akan diserang oleh penyerang.
Yang perlu dipahami dari High Interaction Honeypot adalah sistem ini bukan sebuah software ataupun daemon yang siap diinstall pada komputer Host namun lebih kepada sebuah paradigma, sebuah arsitektur jaringan, dengan kata lain High Interaction Honeypot adalah sekumpulan komputer yang dirancang sedemikian rupa dalam sebuah jaringan agar “terlihat” dari sisi penyerang dan tentunya sekumpulan komputer ini akan terus dimonitor dengan berbagai tools networking. Komputer-komputer ini bisa dikatakan adalah komputer secara fisik (komputer yang benar-benar ada) atau komputer secara virtual (Virtual Operating System seperti VMware dan XEN)
Low Interaction Honeypot
mensimulasikan sebuah sistem operasi dengan service-service tertentu (misalnya SSH,HTTP,FTP) atau dengan kata lain sistem yang bukan merupakan sistem operasi secara keseluruhan, service yang berjalan tidak bisa dieksploitasi untuk mendapatkan akses penuh terhadap honeypot. Low interaction akan melakukan analisa terhadap jaringan dan aktifitas worm.
Sayangnya perkembangan dari Honeypot (Honeyd — Low Interaction Honeypot) sendiri tidak terlalu cepat bahkan update terbaru terjadi pada tahun 2007
source here
Honeypot udah dikenal sejak dulu sebagai peralatan perang untuk melindungi mesin server dari serangan, setidaknya meredam sebuah serangan yang mungkin mengakibatkan loss data atau system crash. Nah, jadi pengertian sebenarnya apa seh?!Menurut pembuatnya, Lance Spitzner
A honeypot is and information system resources whose values lies in unauthorized or illicit use of that resource.Jadi, istilah gampangnya honeypot adalah sebuah sistem atau komputer yang sengaja ‘dikorbankan’ untuk diserang oleh attacker (hacker, kiddies, spammer, worm, dll) atau dengan kata lain server tipuan (dummy). Dengan begitu, kita bisa melihat aktifitas penyerang tersebut ketika menyerang honeypot bahkan bisa men-trace si pelaku.
- Honeypots Definitions and Value of Honeypots (Lance Spitzner)
Honeypot, IDS dan Firewall
Honeypot berbeda dengan firewall atau IDS yang melakukan reaksi ketika ada serangan, contohnya ketika ada penyerang yang melakukan penetrasi ke port 3389 (terminal service), firewall akan bertindak sesuai dengan rule yang kita buat untuk port 3389, apabila dalam rule yang kita buat untuk port tersebut tertutup dari external access, maka firewall akan membuang / men-drop paket ke port tersebut.
Berbeda lagi dengan IDS, yang akan mendeteksi adanya paket-paket yang tidak sesuai dengan rule-rule yang kita buat. Honeypot tidak begitu, honeypot hanya menyediakan security vulnerability terhadap suatu sistem, sehingga menyediakan ruang untuk diserang. Ketika ada serangan, honeypot akan mencatatnya dalam log sehingga kita bisa melakukan tindakan selanjutnya.
Log pada honeypot memang tidak terlalu besar dan banyak seperti halnya pada IDS dan firewall yang bisa memakan banyak space. Namun informasi yang dihasilkan bisa memiliki nilai yang sangat tinggi, tentunya berdasarkan hal apa yang kita teliti dengan honeypot.
Dengan honeypot, kita bisa menangkap aktifitas hacker mulai dari script kiddies sampai hacker berpengalaman. Tentunya kita bisa men-set honeypot dari bentuk kehadirannya, apakah dia terlihat sebagai honeypot secara langsung atau sebagai server biasa yang siap diserang.
Tujuan Pemasangan Honeypot
Honeypot bisa dipasang untuk tujuan sebagai berikut:
- Mengetahui aktifitas hacker, dengan begitu motif serangan akan dianalisa untuk mengetahui tujuan penyerang selanjutnya.
- Mengetahui tool/exploit/worm/hole yang baru, jika ada serangan yang lain dari biasanya, sudah dapat dipastikan adanya serangan baru.
- Survey tool/exploit apa yang sering digunakan.
- Mempersiapkan keamanan sistem jangka panjang.
Honeypot sendiri bisa terdiri dari berbagai bentuk, dari hanya sebuah sistem dengan service-service yang disediakan untuk diserang, hingga sebuah jaringan yang di desain dengan rapi-nya untuk diserang dan menangkap aktifitas penyerang yang masuk perangkap
Honeypot bisa berjalan diatas sistem operasi Windows atau Linux/Unix, dan berbeda-beda programnya seperti pada Linux ada honeynet, honeyd, dan honeyweb
Sedangkan untuk di OS Windows ada Jackpot, PatriotBox, dan counter trojan seperti Back Officer Friendly dan Netbuster (keduanya merupakan counter dari trojan BackOrifice dan Netbus)
Setiap program memiliki keunggulan masing-masing dalam menyediakan service-service yang vulnerable untuk diserang. Kejelian kita dalam menyiasati sebuah service untuk diserang, dan untuk siapa honeypot tersebut kita bangun tentunya menjadi hal utama yang dipikirkan ketika membangun sebuah honeypot.
Macam-Macam Honeypot
Honeypot sendiri dibagi menjadi dua kategori yaitu Low Interaction Honeypot dan High Interaction Honeypot
High Interaction Honeypot
adalah sistem yang mengoperasikan Sistem Operasi penuh sehingga penyerang akan melihatnya sebagai sebuah sistem operasi/host yang siap untuk dieksploitasi (dan memang seperti itu lah keadaannya) Inti dari High Interaction adalah sistem ini nantinya akan diserang oleh penyerang.
Yang perlu dipahami dari High Interaction Honeypot adalah sistem ini bukan sebuah software ataupun daemon yang siap diinstall pada komputer Host namun lebih kepada sebuah paradigma, sebuah arsitektur jaringan, dengan kata lain High Interaction Honeypot adalah sekumpulan komputer yang dirancang sedemikian rupa dalam sebuah jaringan agar “terlihat” dari sisi penyerang dan tentunya sekumpulan komputer ini akan terus dimonitor dengan berbagai tools networking. Komputer-komputer ini bisa dikatakan adalah komputer secara fisik (komputer yang benar-benar ada) atau komputer secara virtual (Virtual Operating System seperti VMware dan XEN)
Low Interaction Honeypot
mensimulasikan sebuah sistem operasi dengan service-service tertentu (misalnya SSH,HTTP,FTP) atau dengan kata lain sistem yang bukan merupakan sistem operasi secara keseluruhan, service yang berjalan tidak bisa dieksploitasi untuk mendapatkan akses penuh terhadap honeypot. Low interaction akan melakukan analisa terhadap jaringan dan aktifitas worm.
Sayangnya perkembangan dari Honeypot (Honeyd — Low Interaction Honeypot) sendiri tidak terlalu cepat bahkan update terbaru terjadi pada tahun 2007
source here
No comments: