Abstrak
Sebuah honeypot adalah perangkap penipuan, dirancang untuk
menarik penyerang dalam berusaha untuk berkompromi
sistem informasi dalam
suatu organisasi. Jika digunakan
dengan benar, honeypot dapat berfungsi sebagai peringatan dini
dan alat pengawasan keamanan yang canggih, meminimalkan risiko
dari serangan pada sistem TI dan jaringan. Honeypot juga
dapat menganalisis cara di mana
penyerang mencoba untuk kompromi sistem informasi, memberikan pemahaman yang berharga tentang celah sistem potensial. Artikel ini memberikan
penjelasan singkat tentang honeypot , dan bagaimana mereka dapat digunakan untuk meningkatkan keamanan organisasi dan
perusahaan di seluruh sistem kritis
dan jaringan.
A. Pengertian Honeypot
Honeypot adalah umpan, yang dikeluarkan pada jaringan sebagai
umpan untuk memikat penyerang. Honeypot biasanya mesin virtual, yang dirancang
untuk meniru mesin nyata, pura-pura atau menciptakan penampilan menjalankan
layanan penuh dan aplikasi, dengan port terbuka yang mungkin ditemukan pada
sistem yang khas atau server pada jaringan.
B.
Cara kerja
Honeypot
Honeypot bekerja dengan menipu penyerang menjadi percaya itu
adalah sistem yang sah mereka menyerang sistem tanpa mengetahui bahwa mereka
sedang diamati secara terselubung. Ketika seorang penyerang mencoba untuk kompromi honeypot,
serangan yang berhubungan dengan informasi, seperti alamat IP penyerang, akan
dikumpulkan.Hal ini dilakukan oleh penyerang memberikan informasi berharga dan
analisis tentang teknik menyerang, memungkinkan administrator sistem untuk
melacak kembali ke sumber serangan jika
diperlukan. Honeypot dapat digunakan untuk tujuan produksi atau
penelitian,.
Beberapa
honeypot produksi bahkan dapat mematikan
serangan sama sekali, misalnya, mengirim penyerang paket pengakuan dengan
ukuran jendela dari nol. Ini menempatkan serangan menjadi "menunggu"
status di mana ia hanya bisa mengirim data ketika ukuran window increases. Dengan cara ini, honeypot
produksi sering digunakan sebagai pengintai atau alat pencegahan. Honeypot penelitian adalah sistem operasi dan layanan nyata yang penyerang dapat berinteraksi dengan, dan karena itu melibatkan risiko yang lebih tinggi. Mereka mengumpulkan informasi yang luas dan intelijen tentang teknik serangan baru dan metode, dan karenanya memberikan gambaran yang lebih akurat dari jenis serangan yang dilakukan. Mereka juga memberikan peningkatan pencegahan serangan, deteksi dan informasi reaksi, yang diambil dari
file log dan informasi lainnya ditangkap dalam proses.
C.
Klasifikasi
Honeypot
Honeypot dapat diklasifikasikan ke dalam dua kategori umum:
1.
Honeypot interaksi
rendah.
Honeypot
ini
sering digunakan untuk keperluan produksi.
Honeypot interaksi
rendah bekerja dengan meniru layanan tertentu dan sistem operasi serta memiliki
interaksi terbatas. Kegiatan penyerang terbatas pada tingkat persaingan yang disediakan
oleh honeypot tersebut, sebagai contoh, layanan FTP ditiru mendengarkan pada
port tertentu hanya dapat meniru login FTP, atau dapat mendukung berbagai
perintah FTP tambahan. Keuntungan dari honeypot interaksi rendah adalah bahwa
mereka sederhana dan mudah untuk menyebarkan dan mempertahankan. Selain itu,
persaingan terbatas yang tersedia dan diperbolehkan di honeypot interaksi
rendah untuk mengurangi potensi risiko yang ditimbulkan di lapangan. Namun,
dengan honeypot interaksi rendah, hanya informasi yang terbatas dapat diperoleh,
dan ada kemungkinan bahwa penyerang berpengalaman akan mudah mengenali honeypot
ketika mereka menemukan satu.
2.
Honeypot interaksi yang tinggi.
Honeypot
ini digunakan untuk tujuan penelitian.Honeypots
interaksi yang tinggi lebih kompleks , karena melibatkan sistem operasi yang
nyata dan aplikasi,sebagai contoh,
server FTP nyata akan dibangun jika tujuannya adalah untuk mengumpulkan
informasi tentang serangan terhadap server FTP atau jasa tertentu . Dengan
memberikan penyerang sistem nyata untuk berinteraksi dengan pembatasan yang dikenakan pada perilaku
menyerang, dan ini memungkinkan administrator untuk menangkap rincian luas
tentang tingkat penuh metode penyerang . Namun, bukan tidak mungkin bahwa
penyerang mungkin mengambil alih sistem honeypot interaksi tinggi dan
menggunakannya sebagai batu loncatan untuk menyerang sistem lain dalam
organisasi . Oleh karena itu , langkah-langkah perlindungan yang memadai harus
dilaksanakan sesuai. Dalam kasus terburuk , koneksi jaringan ke honeypot
mungkin perlu diputus untuk mencegah penyerang melakukan penetrasi jaringan dan
mesin di luar sistem honeypot itu sendiri.
D.
Strategi Penyebaran Honeypot
Rangkaian strategi
penyebaran honeypot umum :
a. Instal honeypot
bersama server produksi reguler . Honeypot mungkin akan perlu cermin beberapa
data nyata dan layanan dari server produksi untuk menarik penyerang . Keamanan
honeypot dapat melonggarkan sedikit sehingga dapat meningkatkan kesempatan
perusahaan berkompromi . Honeypot kemudian dapat mengumpulkan informasi
serangan terkait . Namun, jika serangan berhasil terjadi pada honeypot dalam
jaringan , bahwa mesin honeypot dikompromikan dapat digunakan untuk memindai
target potensial lainnya dalam jaringan . Ini adalah kelemahan utama menginstal
honeypots dalam sistem produksi . Dalam metode penyebaran honeypot lainnya , (
beberapa di antaranya adalah sebagai berikut ) ini tidak akan terjadi , karena
seluruh Honeynet dapat sendiri menjadi jaringan fiktif .
b. Memasangkan setiap
server dengan honeypot , dan lalu lintas yang mencurigakan langsung
diperuntukkan bagi server untuk honeypot tersebut . Misalnya , lalu lintas di
TCP port 80 dapat diarahkan ke alamat IP server web seperti biasa , sementara
semua lalu lintas lainnya ke server web akan diarahkan honeypot tersebut .
Untuk menyamarkan honeypot , sejumlah data, seperti isi website server web ,
mungkin perlu direplikasi pada honeypot tersebut .
c. Membangun Honeynet , yang merupakan jaringan
honeypot yang meniru dan meniru jaringan aktual atau fiktif . Ini akan muncul
untuk penyerang seolah-olah berbagai jenis aplikasi yang tersedia pada beberapa
platform yang berbeda . Sebuah Honeynet menawarkan sistem peringatan dini
terhadap serangan dan menyediakan cara terbaik untuk menganalisis dan memahami
niat penyerang , dengan melihat apa jenis mesin dan jasa telah diserang , dan
apa jenis serangan yang telah ada.
E.
Contoh Sistem
Honeypot
Contoh honeypot freeware meliputi:
a. Deception Toolkit :
DTK adalah pertama Open Source honeypot dirilis pada tahun 1997 ini adalah
kumpulan skrip Perl dan kode sumber C yang mengemulasi berbagai layanan
mendengarkan . Tujuan utamanya adalah untuk menipu penyerang manusia.
b. LaBrea : ini
dirancang untuk memperlambat atau menghentikan serangan dengan bertindak
sebagai honeypot lengket untuk mendeteksi dan menjebak cacing dan kode
berbahaya lainnya . Hal ini dapat berjalan di Windows atau Unix .
c. Honeywall CDROM : . The Honeywall CDROM adalah
CD bootable dengan koleksi perangkat lunak open source . Itu membuat penyebaran
Honeynet sederhana dan efektif dengan mengotomatisasi proses penggelaran
gateway Honeynet dikenal sebagai Honeywall . Hal ini dapat menangkap ,
mengendalikan dan menganalisa semua aktivitas Honeynet inbound dan outbound .
d. Honeyd : Ini adalah
kuat , interaksi rendah Open Source honeypot , dan dapat berjalan di kedua UNIX
-like dan Windows platform . Hal ini dapat memonitor IP yang tidak terpakai ,
mensimulasikan sistem operasi di tingkat TCP / IP stack , mensimulasikan ribuan
virtual host pada saat yang sama , dan memantau semua port berbasis UDP dan TCP
.
e. Honeytrap : Ini
adalah honeypot rendah interaktif dikembangkan untuk mengamati serangan
terhadap layanan jaringan . Ini membantu administrator untuk mengumpulkan
informasi mengenai serangan berbasis jaringan dikenal atau tidak dikenal .
f. HoneyC : Ini adalah
contoh dari sebuah honeypot client yang memulai koneksi ke server , yang
bertujuan untuk menemukan server jahat pada jaringan . Hal ini bertujuan untuk
mengidentifikasi server web berbahaya dengan menggunakan klien ditiru yang
mampu menjaring jenis respon dari server yang diperlukan untuk analisis konten
berbahaya .
g. HoneyMole : Ini
adalah alat untuk penyebaran peternakan honeypot , atau honeypot
didistribusikan , dan lalu lintas jaringan transportasi ke titik honeypot pusat
di mana pengumpulan data dan analisis dapat dilakukan .
Dalam
lingkungan perusahaan , produk komersial yang tersedia:
a. Symantec Decoy
Server : Ini adalah " honeypot " sistem
deteksi intrusi ( IDS ) yang dapat mendeteksi , mengandung dan monitor akses
tidak sah dan penyalahgunaan sistem time nyata .
b. Specter : Ini
adalah intrusi sistem deteksi berbasis honeypot pintar . Hal ini dapat meniru
14 sistem operasi yang berbeda , memonitor hingga 14 layanan jaringan yang
berbeda dan perangkap , dan memiliki berbagai fitur konfigurasi dan
pemberitahuan .
F.
Kesimpulan
dari Honeypot
Honeypot memiliki
kelebihan dan kekurangan mereka . Mereka jelas alat yang berguna untuk memikat
dan menjebak penyerang , menangkap informasi dan menghasilkan peringatan ketika
seseorang berinteraksi dengan mereka . Kegiatan penyerang memberikan informasi
berharga untuk menganalisis menyerang teknik dan metode mereka . Karena honeypot
hanya menangkap dan arsip data dan permintaan yang datang kepada mereka ,
mereka tidak menambah beban ekstra untuk bandwidth jaringan yang ada . Namun,
honeypot tidak memiliki kelemahan mereka . Karena mereka hanya melacak dan
menangkap aktivitas yang secara langsung berinteraksi dengan mereka , mereka
tidak dapat mendeteksi serangan terhadap sistem lain dalam jaringan.
Selanjutnya, menyebarkan honeypot tanpa perencanaan dan pertimbangan yang cukup
dapat memperkenalkan lebih banyak risiko ke jaringan yang ada , karena honeypot
dirancang untuk dieksploitasi , dan selalu ada risiko mereka diambil alih oleh
penyerang , menggunakan mereka sebagai batu loncatan untuk
dapat
masuk ke sistem lain dalam jaringan . Ini mungkin kelemahan paling
kontroversial dari honeypot .
G.
Refrensi
1. http://www.infosec.gov.hk/english/technical/files/honeypots.pdf (Diakses pada tanggal 24 Mei 2014)
Tidak ada komentar:
Posting Komentar