Konsep serupa honeypot (sebelumnya belum
diberi istilah seperti itu) dipercaya sudah cukup lama ada, walaupun
tidak ada literatur yang membahasnya sebelum tahun 1990. Tahun 1990
Clifford Stoll menerbitkan buku The Cuckoo’s Egg, yang lebih mirip
cerita detektif. Penerbitnya Pocket Books, yang lebih dikenal dengan
novel. Inilah penerbitan pertama yang menguraikan konsep honeypot. Buku
ini menceritakan kejadian sesungguhnya selama periode sepuluh bulan di
tahun 1986-1987. Stoll adalah astronom pada Lawrence Berkeley Lab yang
menjadi admin berbagai komputer
untuk komunitas astronom. Selisih akuntansi senilai 75 sen membuatnya
menyadari akan adanya hacker bernama Hunter, yang telah menyusup ke
dalam sistem.
Bukannya menutup account penyusup ini, Stoll malah membiarkannya berada dalam sistem,
agar dapat mempelajarinya lebih jauh dan memburunya. Tanpa disadari
penyerang, Stoll menyiapkan direktori SDINET (Strategic Defence Initiave
Network) dan mengisinya dengan file-file yang pura-pura berisi berbagai
file keuangan dan rahasia negara. Hacker ini ternyata tidak tertarik
pada file-file keuangan. Makalah teknis pertama mengenai honeypot terbit
pada tahun 1990 itu juga, tulisan Bill Cheswick berjudul ‘An Eve-ning
with Berfeld in Which a Cracker Is Lured, Endured and Studied’ . Berbeda
dengan yang pertama, Cheswick memang menyiapkan suatu sistem
yang memang untuk diserang, menjadikannya kasus pertama dari honeypot
yang sesungguhnya. Pada makalah ini Cheswick bukan saja membahas cara
membangun dan menggunakan honeypot, melainkan juga menceritakan
bagaimana seorang hacker Belanda dipelajari sewaktu dia menyerang dan
menguasai sistem. Cheswick pertamatama membangun suatu sistem dengan
beberapa kelemahan (termasuk Sendmail) untuk mendapatkan ancaman apa
saja yang ada dan bagaimana cara kerjanya. Tujuannya bukanlah untuk
menangkap orang tertentu, melainkan untuk mempelajari kegiatan
membahayakan apa saja yang bisa terjadi terhadap network
dan sistemnya. Cheswick menciptakan suatu lingkungan terkontrol yang
disebutnya sebagai jail (ia tidak menyebutnya sebagai honeypot), yang
mengurung kegiatan sang penyerang. Hacker Belanda dengan nickname
Berfeld ini memasuki sistem dengan memanfaatkan kelemahan pada Sendmail
sampai mendapatkan kendali terhadap sistem. Secara umum, honeypot dapat
didefinisikan sebagai sebua sumber daya sistem informasi dimana nilai
guna dari sumber daya tersebut justru berdasar kepada terdeteksinya
kasus penggunaan yang tidak terotorisasi atau tidak diperbolehkan secara
hukum dari sumber daya tersebut. Atau dengan kata lain, honeypot adalah
sebuah sumber daya yang bersifat seakan-akan target yang sebenarnya,
yang dengan sengaja disediakan untuk diserang atau diambil alih. Oleh
karena itu, honeypot akan diamati, diserang bahkan dieksploitasi oleh
penyerang atau penyusup. Tujuan utama dari honeypot ini adalah untuk
mengumpulkan informasi dari suatu serangan dan penyerang yang
melakukannya. Intruder atau penyerang merupakan istilah
umum yang diberikan untuk menggambarkan seseorang yang berusaha untuk
masuk ke dalam sistem dalam arti berusaha menggunakan sistem dimana
mereka tidak memiliki autorisasi atau menggunakan sistem untuk maksud yang menyimpang di luar hak-hak yang mereka miliki.
Tipe Honeypot
Honeypot dibagi menjadi dua tipe dasar, yaitu production honeypot dan research honeypot. Tujuan utama dari production honeypot adalah untuk membantu mengurangi resiko keamanan jaringan pada sebuah organisasi. Production honeypot memberikan suatu nilai tambah bagi keamanan jaringan
dari suatu organisasi. Tipe kedua, research honeypot, adalah honeypot
yang didesain untuk mendapatkan informasi mengenai aktivitas-aktivitas
dari komunitas penyerang atau penyusup. Research honeypot tidak
memberikan suatu nilai tambah secara langsung kepada suatu organisasi,
melainkan digunakan sebagai alat untuk meneliti ancaman-ancaman keamanan
yang mungkin dihadapi dan bagaimana cara untuk melindungi diri dari
ancaman tersebut.
KLASIFIKASI HONEYPOT
Honeypot dapat diklasifikasikan
berdasarkan pada tingkat interaksi yang dimilikinya. Tingkat interaksi
dapat didefinisikan sebagai tingkat aktivitas penyerang atau intruder di
dalam sistem yang diperbolehkan maka semakin tinggi pula tingkat
interaksi honeypot.
LOW INTERACTION HONEYPOT
Low-interaction honeypot merupakan
honeypot dengan tingkat interaksi honeypot, yaitu honeypot yang didesain
untuk mengemulasikan service (layanan) seperti pada server yang asli. Penyerang hanya mampu memeriksa dan terkoneksi ke satu atau beberapa port.
Kelebihan low-interaction honeypot yaitu:
- Mudah di install, dikonfigurasi, deployed, dan dimaintain
- Mampu mengemulasi suatu layanan seperti http, ftp, telnet, dsb.
- Difungsikan untuk deteksi serangan, khususnya pada proses scanning atau percobaan
pembukaan koneksi pada suatu layanan. Kekurangan low-interaction honeypot :
- Layanan yang di berikan hanya berupa emulasi, sehingga penyerang tidak dapat berinteraksi secara penuh dengan layanan yang diberikan atau sistem operasinya secara langsung
- Informasi yang bisa kita dapatkan dari penyerang sangat minim.
- Apabila serangan dilakukan oleh “real person” bukan “automated tools” mungkin akan segera menyadari bahwa yang sedang dihadapi merupakan mesin honeypot, karena keterbatasan layanan yang bisa diakses.
MEDIUM INTERACTION HONEYPOT
Kelebihannya Medium Interaction Honeypot:
- Memiliki kemampuan yang lebih banyak untuk berinteraksi dengan penyerang dibandingkan low-interaction honeypot namun tidak sebanyak high-interaction honeypot.
- Emulasi layanan dapat ditambahkan berbagai macam fitur tambahan sehingga seakanakan penyerang benar-benar sedang berinteraksi dengan layanan yang sebenarnya.
- Contoh: script untuk mengemulasikan IIS web server dengan berbagai macam informasi tambahan yang menyertai web server tersebut sehingga benar-benar terlihat seperti aslinya, atau pun juga membuat emulasi IIS yang dapat berinteraksi dengan suatu jenis worm, sehingga kita bisa mendapatkan payload dari worm tersebut untuk dianalisis selanjutnya.
- Contoh: menggunakan jail atau chroot, yaitu membangun sistem operasi virtual pada partisi yang terpisah didalam sistem operasi yang sebenarnya dimana sistem operasi virtual tersebut sepenuhnya di kontrol oleh sistem operasi yang sebenarnya, cara ini dapat memberikan suasana sistem operasi yang sesungguhnya bagi penyerang.
Kekurangan Medium Interaction Honeypot :
- Sistem tersebut cukup kompleks.
- Memerlukan usaha lebih untuk maintain dan deploy sistem tersebut sehingga akses yang diberikan kepada penyerang benar-benar terjamin tingkat keamanannya namun tetap dapat memberikan suasana sistem yang nyata bagi penyerang sehingga penyerang tersebut tidak curiga bahwa aktivitasnya sedang di monitor.
HIGH INTERACTION HONEYPOT
Pada high-interaction honeypot terdapat
sistem operasi dimana penyerang dapat berinteraksi langsung dan tidak
ada batasan yang membatasi interaksi tersebut. Menghilangkan
batasan-batasan tersebut menyebabkan tingkat risiko yang dihadapi
semakin tinggi karena penyerang dapat memiliki akses root. Pada saat
yang sama, kemungkinan pengumpulan informasi semakin meningkat
dikarenakan kemungkinan serangan yang tinggi. Dikarenakan penyerang
dapat berinteraksi secara penuh dengan sistem operasi, maka apabila si
penyerang telah mendapat akses root.
Kelebihannya :
- Penyerang berinteraksi langsung dengan sistem yang nyata termasuk diantaranya sistem operasi, network, hingga layanan yang diberikan ( web, ssh service, mail service, dll )
- Umumnya dibangun suatu sistem khusus dengan topologi yang telah dipersiapkan.
- Sistem tersebut biasanya terdiri dari berbagai macam implementasi dari teknologi keamanan yang banyak digunakan untuk melindungi suatu sistem, seperti firewall, IDS/IPS, router, dll.
- Target serangan berupa sistem operasi sebenarnya yang siap untuk berinteraksi secara langsung dengan penyerang.
Kekurangannya :
- Perencanaan dan implementasi sistem jauh lebih rumit dan dibutuhkan banyak pertimbangan.
- High-interaction honeypot bersifat tidak efisien karena membutuhkan pengawasan berkala.
- Apabila telah diambil alih oleh penyerang maka honeypot tersebut dapat menjadi ancaman bagi jaringan yang ada.
SEJARAH WIRELESS HONEYPOT
Kemajuan teknologi honeypot mulai
terlihat ketika Kevin Poulsen pada tahun 2002 mempublikasikan
penelitiannya, Wi-Fi Honeypots a New Hacker Trap , penelitian Poulsen
ini dianggap beberapa pihak sebagai teknologi wireless honeypot yang pertama. Suatu tim peneliti, WISE ( Wireless
Information Security Experiment ) pada tahun 2002 didirikan oleh SAIC (
Science Applications International Corporation ) di Washington DC,
Amerika Serikat. Tim peneliti ini meneliti celah keamanan jaringan wireless pada waktu itu, tim tersebut mendapati bahwa kebanyakan jaringan wireless
pada saat itu sangat mudah untuk disusupi dan sangat terbuka. Jenis
ancaman yang ditemukan adalah akses yang tidak terotorisasi, penggunaan jaringan wireless yang ilegal, mendengarkan proses komunikasi pada wireless
secara ilegal ( eavesdropping ). Ancaman kemanan tersebut merupakan
ancaman keamanan yang paling utama dan paling sering terjadi saat ini.
Pada akhir 2002, sebuah organisasi bernama Tenebris mempublikasikan
hasil penelitian mereka, yaitu pengumpulan data dari wireless honeypot
yang mereka implementasikan di Ottawa ( Canada ) dan menyimpulkan bahwa
sangat banyak terjadi aktivitas war driving saat itu dan apa saja yang
sering menjadi target serangan para penyerang di jaringan wireless.
Selanjutnya, Tenebris melanjutkan riset mereka di sekitar kota London
lalu menuju Adelaide, South Australia.
SKENARIO SERANGAN PADA JARINGAN WIRELESS
Dari beberapa penelitian sebelumnya, ada suatu bentuk pola skenario serangan yang umum terjadi pada sistem keamanan wireless. Setidaknya ada tiga pola skenario serangan, yaitu:
- Serangan yang sebenarnya ditujukan ke jaringan kabel ( LAN ) dengan memakai jaringan wireless sebagai media untuk menyusup ke LAN.
- Serangan yang langsung ditujukan kepada pengguna jaringan wireless. Jenis serangan ini menyerang perangkat wireless user.
- Serangan yang ditujukan ke infrastruktur jaringan wireless secara keseluruhan. Jenis serangan ini biasanya bertujuan mengambil alih akses penuh jaringan wireless.
ARSITEKTUR WIRELESS HONEYPOT
Secara umum arsitektur wireless honeypot yang akan diimplementasikan adalah sebagai berikut.
- Wireless Access Point ( WAP ) sebagai media prasarana jaringan wireless.
- Wireless Client ( WC ) merupakan pihak pengguna jaringan wireless ( user ).
- Wireless Monitor ( WMON ) sebagai perangkat yang merekam trafik jaringan.
- Wireless Data Analysis ( WDA ) berfungsi menganalisis trafik dari WMON
- Wired Instructure ( WI ) merupakan infrastruktur LAN.
Saya informasikan kepada pembaca, jika anda membeli perangkat telekomunikasi, sebaiknya yang sudah di sertifikasi atau yang sudah bersertifikat resmi dari postel, untuk menjaga agar anda tidak berurusan dengan pihak yang berwajib. Dan perangkat yang sudah di sertifikasi tentunya sudah lulus pengujian di balai uji, sehingga mutu dan kualitasnya terjamin.
sumber :
http://bisnistypeapproval.wordpress.com/2009/05/01/jaringan-honeypot/
