Professional Documents
Culture Documents
oleh:
Sakri Agiyanto
23202059
2 Januari 2004
Beberapa tahun terakhir, sistem jaringan komputer dan internet telah berkembang
pesat pada skala ukuran, kompleksitas, dan kerentanan terhadap serangan (attack).
Pada saat yang sama, pengetahuan, peralatan, dan teknik yang tersedia bagi penyerang
(attacker) juga telah berkembang secara proporsional. Sayangnya teknik pertahanan
terhadap serangan tidak berkembang cukup cepat. Teknologi keamanan saat ini telah
mencapai batasnya, dan solusi inovatif selanjutnya diperlukan untuk memberikan
jawaban atas tantangan saat ini dan masa mendatang.
Paper ini akan membahas tentang sebuah teknologi keamanan sistem jaringan yang
seringkali disebut dengan deception mechanism atau honeypots. Tulisan ini juga akan
menjelaskan teknik honeypots untuk mendeteksi sebuah serangan pada sistem
komputer dan internet. Dengan honeypots seorang administrator jaringan akan dapat
menganalisis tools yang digunakan oleh penyerang, dan kemudian mengenali
penyerang. Pada tulisan ini juga akan dibahas mengenai perkembangan honeypots,
tools yang dapat dipergunakan, dan perbandingan dari beberapa teknik honeypots
yang ada.
2
DAFTAR ISI
1 PENDAHULUAN ................................................................................................5
2 HONEYPOTS ......................................................................................................6
2.1 DEFINISI ..........................................................................................................6
2.2 ISTILAH HONEYPOTS .......................................................................................6
2.3 KATEGORI HONEYPOTS...................................................................................7
2.4 LEVEL OF INVOLVEMENT6 ...............................................................................8
2.4.1 Low Involvement Honeypots ..................................................................8
2.4.2 Mid Involvement Honeypots ..................................................................9
2.4.3 High Involvement Honeypots.................................................................9
2.4.4 Perbandingan dari Karakteristik Level of Involvement.......................11
2.5 PEMBAGIAN HONEYPOTS BERDASARKAN FUNGSI7 .......................................11
2.5.1 Sacrificial Lambs .................................................................................11
2.5.2 Facades ................................................................................................12
2.5.3 Instrumented Systems...........................................................................12
2.5.4 Pertimbangan dalam Memilih Honeypots ...........................................13
2.6 PENEMPATAN HONEYPOTS PADA JARINGAN .................................................14
3 NILAI TAMBAH DARI HONEYPOTS..........................................................16
3.1 KELEBIHAN DARI HONEYPOTS ......................................................................16
3.1.1 Nilai Data.............................................................................................16
3.1.2 Resources .............................................................................................17
3.1.3 Simplicity..............................................................................................18
3.1.4 Return on Investment ...........................................................................18
3.2 KELEMAHAN DARI HONEYPOTS ....................................................................18
3.2.1 Keterbatasan Ruang Pandang .............................................................19
3.2.2 Fingerprinting......................................................................................19
4 HONEYNETS ....................................................................................................20
4.1 PERBEDAAN HONEYPOTS DENGAN HONEYNETS ...........................................20
4.2 HONEYNETS BUKAN SISTEM ENTRAPMENT ....................................................21
4.3 HASIL DARI HONEYNET PROJECT ..................................................................21
4.3.1 Tantangan ............................................................................................21
4.3.2 Taktik....................................................................................................22
4.3.3 Tools.....................................................................................................22
4.3.4 Motif.....................................................................................................22
5 BEBERAPA HONEYPOTS YANG TERSEDIA ...........................................23
5.1 MANTRAP .....................................................................................................23
5.2 SPECTER .......................................................................................................23
5.3 DECEPTION TOOLKIT .....................................................................................25
5.4 HOME GROWN HONEYPOTS ............................................................................25
5.5 PERBANDINGAN DARI BEBERAPA HONEYPOTS .............................................26
3
DAFTAR GAMBAR
4
Teknik Mengenali Penyerang Sistem
Komputer dan Internet
dengan Honeypots
1 PENDAHULUAN
Sejak ribuan tahun yang lalu seringkali suatu peperangan dapat dimenangkan dengan
taktik memperdaya musuh. Pada operasi Desert Storm, Amerika menggunakan
serdadu, camp, dan bahkan tank tiruan untuk membuat bingung tentara Irak.
Kemudian serdadu yang sebenarnya akan memasuki Irak tanpa perlawanan. Taktik
yang sama dapat juga diaplikasikan untuk mempertahankan aset-aset jaringan
informasi di suatu instansi dari serangan (attack) para penyerang (attacker) yang
semakin pintar. Saat ini di internet sudah tersedia berbagai sumber lengkap yang akan
memudahkan para penyerang sistem jaringan komputer dan internet di suatu
perusahaan untuk melakukan perang jenis baru dalam jaringan informasi.
Teknik pengamanan sistem jaringan lama adalah melakukan blokade serangan dengan
firewall, atau mendeteksi pada saat mulai terjadi dengan IDS (Intrusion Detection
Systems). Kedua teknik ini sangat baik tapi mempunyai keterbatasan. Dengan sedikit
waktu dan informasi tambahan, seorang penyerang akan dapat mempelajari untuk
mengelak dari sistem blokade firewall. Setelah berhasil dielakkan, firewall tidak dapat
memberikan sistem proteksi yang lebih jauh. Sementara IDS hanya akan
menyediakan informasi satu kali saat sebuah serangan dimulai. Seringkali ini tidak
memberikan waktu yang cukup bagi seorang administrator untuk mengamankan
semua sistem yang terserang. Selain itu IDS tidak dapat menentukan apakah sebuah
serangan baru telah berhasil atau akan berhasil dengan sistem yang lain. Dengan
hanya menggunakan firewall dan IDS dapat di analogikan dengan sebuah kota di abad
pertengahan yang mempertahankan diri dari serangan segerombolan barbar dengan
hanya menggunakan benteng yang tinggi dan pengawal-pengawal tanpa senjata. Pada
akhirnya kota tersebut akan kalah.
Sebuah tindakan balasan yang baik akan secara substansial menghambat penyerang
dengan memberikan informasi pada sistem pertahanan jaringan tentang musuh untuk
mencegah kerusakan lebih jauh akibat dari serangan. Penggunaan muslihat yang baik
akan menyelesaikan tujuan ini. Dengan memperdaya penyerang, sistem pertahanan
jaringan akan memberikan informasi yang salah dan memaksa penyerang untuk
membuang banyak waktunya di tempat yang salah sehingga menumpulkan serangan
berikutnya. Sebuah taktik muslihat yang baik akan memberi nilai tambah pada sistem
pertahanan jaringan yaitu informasi tentang maksud dari penyerang dan motifnya,
tanpa resiko serangan yang lolos. Informasi ini kemudian dapat dipergunakan untuk
meningkatkan tingkat keamanan yang sudah ada seperti firewall dan konfigurasi IDS.
5
2 HONEYPOTS
Pada dunia keamanan jaringan informasi banyak profesional yang sangat tertarik pada
honeypots karena seorang pengamat serangan akan dapat melihat informasi secara
nyata tentang suatu serangan. Kita sering mendengar tentang perusakkan sebuah situs
web atau sebuah sistem keamanan jaringan pada bank yang di-hack, tetapi
kebanyakan dari kita tidak mengetahui bagaimana si penyerang masuk dan apa yang
sesungguhnya terjadi. Salahsatu hal yang bisa didapat dengan honeypots adalah
informasi bagaimana seorang penyerang dapat menerobos dan apa yang sudah
dilakukannya.
2.1 Definisi
Berikut adalah definisi dari Honeypots dari dua orang yang memiliki kompetensi pada
penelitian tentang honeypots.
Pada dasarnya honeypots adalah suatu alat untuk mendapatkan informasi tentang
penyerang. Selanjutnya administrator jaringan dapat mempelajari aktifitas-aktifitas
yang dapat merugikan dan melihat kecenderungan dari aktifitas tersebut. Honeypots
adalah sebuah sistem yang dirancang untuk diperiksa dan diserang.
Istilah honeypots pertama kali didiskusikan di sejumlah paper yang sangat bagus oleh
beberapa tokoh sistem keamanan jaringan komputer:
•
Cliff Stoll’s Cukoo’s Egg
•
Steve Bellovin & Bill Cheswick’s “An Evening with Berferd.”4
Sistem honeypots lama biasanya hanya berupa sebuah sistem yang dihubungkan
dengan jaringan produktif yang ada dengan tujuan untuk memikat penyerang. Gambar
berikut memperlihatkan sebuah sistem fisik honeypots tunggal yang diletakkan pada
1
Lance Spitzner adalah anggota dari riset honepots di USA (http:/project.honeynet.net)
2
Retto Baumman (http://www.rbaumann.net)
3
Christian Plattner (http://www.christianplattner.net)
4
AT&T Bell Laboratorie
6
jaringan internal. Sistem tersebut kemudian dapat mengemulasikan berbagai variasi
sistem atau lubang-lubang dari sistem yang mudah untuk diserang.
5
Didefiniskan oleh Marty Roesch, pembuat Snort
7
2.4 Level of Involvement6
Pada low involvement honeypots tidak ada sistem operasi nyata yang dapat dipakai
sebagai tempat operasi penyerang. Ini akan dapat mengurangi resiko secara signifikan
karena kompleksitas dari suatu sistem operasi telah ditiadakan. Di sisi lain ini adalah
juga suatu kelemahan yang berakibat tidak adanya kemungkinan untuk
memperhatikan interaksi penyerang dengan sistem operasi yang bisa jadi sangat
menarik. Low involvement honeypots adalah seperti sebuah koneksi satu arah. Kita
hanya akan dapat mendengarkan tanpa bisa menanyakan pertanyaan sendiri.
Pendekatan cara ini sangat pasif.
Low involvement honeypots dapat dibandingkan dengan sebuah IDS dimana keduanya
adalah sistem pasif yang tidak mengubah traffic atau interaksi dengan penyerang.
6
Retto Baumann & Christian Plattner, Whitepaper, Honeypots
8
2.4.2 Mid Involvement Honeypots
Melalui tingkatan interaksi yang lebih tinggi, serangan yang lebih kompleks mungkin
terjadi dan dapat dicatat dan dianalisis. Penyerang mendapatkan ilusi yang lebih baik
dari sebuah sistem operasi yang nyata. Dia juga memiliki kemungkinan lebih banyak
untuk berinteraksi dan memeriksa sebuah sistem.
9
informasi, dan kemungkinan untuk serangan yang lebih atraktif juga semakin
bertambah banyak. Satu tujuan dari seorang hacker adalah menambah sumber dan
mendapatkan akses pada satu mesin yang terhubung ke internet selama 24 jam sehari.
High involvement honeypots menawarkan kemungkinan itu. Ketika seorang hacker
mendapatkan akses, bagian yang sangat menarik dimulai.
10
2.4.4 Perbandingan dari Karakteristik Level of Involvement
Memilih level of involvement yang paling rendah akan mengurangi bahaya dan resiko
lebih banyak. Keburuhan waktu perawatan juga harus dipertimbangkan saat memilih
honeypots pada setiap level of involvement.
Symantec Research Labs, sebuah perusahaan yang bergerak dalam Internet Security
Technology, membagi honeypots manjadi 3 jenis, yaitu; Sacrificial Lambs, Facades,
dan Instrumented Systems.
Sacrificial lambs adalah sebuah sistem “off the shelf” yang membiarkan sebuah
lubang untuk diserang. Sistem ini dapat dibangun dengan virtual device (Linux
Server, Cisco Router, dll). Implementasi sistem ini biasanya dengan melakukan
loading sistem operasi, melakukan konfigurasi pada beberapa aplikasi, dan
membiarkannya pada jaringan dan melihat apa yang terjadi. Administrator akan
menguji sistem secara periodik untuk menentukan apakah sistem telah berkompromi,
dan apa saja yang sudah dilakukannya.
7
Symantec Research Lab, (http://www.symantec.com
11
administrator melakukan loading sistem operasi dan secara manual memainkan
beberapa konfigurasi aplikasi atau meningkatkan daya tahan sistem. Analisis
dilakukan secara manual dan seringkali dibutuhkan sejumlah tools tambahan dari
third-party. Selain itu honeypots jenis ini tidak menyediakan sistem pengurungan atau
pun fasilitas kontrol. Kebanyakan organisasi komersial mempertimbangkan sacrificial
lambs terlalu beresiko dan memerlukan sumber daya yang terlalu besar.
2.5.2 Facades
Jairngan facade adalah sebuah sistem yang menyediakan sebuah image yang tidak
benar dari host target. Implementasinya kebanyakan adalah sebagai software emulasi
dari layanan atau aplikasi target. Ketika facade diperiksa dan diserang, dia akan
mengumpulkan inforamsi tentang penyerang. Ini dapat diumpamakan seperti sebuah
pintu yang terkunci tanpa sesuatu apapun di belakangnya, dan memperhatikan siapa
yang berusaha untuk membukanya. Kedalaman dari simulasi bergantung pada
imlementasinya.
Instrumented Systems menyediakan solusi yang ideal antara facade yang berbiaya
rendah dengan informasi yang rinci dari sacrificial lambs. Dibuat oleh para developer
profesional yang fokus pada sistem keamanan. Instrumented Systems komersial yang
tersedia sangat mudah untuk dipergunakan sampai pada tingkatan end-user. Dengan
sistem operasi yang ekstensif, modifikasi pada level kernel, dan pengembangan
aplikasi sampai pada sistem stok, perusahaan komersial telah mengembangkan konsep
dari honeypots sebagai cara yang efektif untuk mempertahankan jaringan
informasinya termasuk sistem pengumpulan data advance, pertahanan terhadap
serangan, sistem alert yang berdasarkan policy, dan fungsionalitas dari enterprise
administration.
Honeypots dengan deep-deception adalah suatu langkah yang evolusioner dari bentuk
deception sebelumnya. Sistem ini dapat menyediakan sebuah detil serangan pada
level pengecualian, ketika dia menyediakan lingkungan yang interaktif dan masuk
akal untuk menahan seorang penyerang sehingga tertarik untuk berinteraksi dalam
jangka waktu yang cukup lama. Waktu interaksi dari penyerang yang cukup lama
akan menolong seorang administrator untuk menentukan motif dari penyerang dan
membangun sistem penangkalan untuk menjamin tidak ada lagi serangan pada
12
jaringan mereka di masa mendatang. Honeypots jenis ini biasanya dipergunakan oleh
medium-to-large enterprise.
Ada beberapa fungsi dan fitur tambahan yang harus dipertimbangkan oleh perusahaan
sebelum implementasi honeypots. Pertama adalah pertimbangan sifat serta biaya
containment dan kontrol. Setiap sistem yang diterapkan oada jaringan akan
mengandung resiko. Harus dilakukan perhitungan untuk mengurangi resiko tersebut.
Jika sebuah produk tidak mendukugn suatu sifat containment dan kontrol, biaya dan
kompleksitas dari implementasi harus benar-benar diuji.
Perawatan content dan perbaikan honeypots juga harus dievaluasi. Kedua hal tersebut
akan memberikan kontribusi pada biaya proses administrasi dan perawatan sistem
deception ini. Content dari peralatan deception ini memerlukan proses update secara
periodik untuk tetap bekerja dengan benar. Sistem deception yang telah diserang juga
memerlukan pemulihan kembali pada keadaan semula secara periodik. Pada kasus ini,
solusi yang memungkinkan prosedur ini dilakukan secara otomatis akan sangat
mengurangi biaya proses administrasi.
Software integrity mmonitoring memiliki banyak kekurangan seperti pada HIDS jika
dibandingkan dengan honeypots. Sistem tersebut dirancang untuk melakukan
monitoring terhadap perubahan yang terjadi pada sistem jaringan produktif, tidak
untuk aktifitas user atau pun security. Sistem ini tidak menyediakan fungsi tambahan
yang diperlukan oleh honeypots. Dan seperti yang terjadi pada HIDS. Sistem ini juga
membuat signature yang sangat besar yang tidak akan terjadi pada honeypots.
13
2.6 Penempatan Honeypots pada Jaringan
Honeypots tidak memerlukan suatu penempatan tertentu pada jaringan karena dia
adalah sebuah server standar tanpa kebutuhan khusus. Honeypots dapat ditempatkan
dimana saja seperti sebuah server akan ditempatkan. Tetapi akan lebih baik jika
diletakkan pada tempat yang mudah dijangkau oleh orang-orang tertentu. Honeypots
dapat digunakan pada internet maupun intranet tergantung pada layanan yang
diperlukan. Penempatan honeypots pada intranet dapat berguna untuk mendeteksi
seorang penyreang yang berada di jaringan internal. Jika fokus utama pada internet,
honeypots dapat diletakkan pada dua lokasi:
o di depan firewall (internet)
o DMZ8
o di belakang firewall (internet)
8
Demiliterized Zone, sebuah segmen jaringan yang hanya dapat diakses sebagain dari internet
14
Kelemahan dari penempatan honeypots di depan firewall adalah penyerang dari dalam
tidak dapat dengan mudah ditangkap, khususnya jika firewall membatasi traffic keluar
yang artinya juga membatasi traffic ke honeypots.
Solusi yang paling baik adalah menempatkan honeypots pada DMZ dengan
preliminary firewall. Firewall dapat dihubungkan secara langsung ke internet maupun
intranet tergantung dari kebutuhan. Usaha ini memudahkan pengontrolan yang ketat
pada lingkungan yang fleksibel dengan tingkat keamanan yang maksimum.
15
3 NILAI TAMBAH DARI HONEYPOTS
Seperti telah dijabarkan sebelumnya, bahwa honeypots tidak tidak ditujukan pada
suatu permasalahan yang spesifik seperti pada mekanisme firewall dan IDS.
Honeypots adalah tools yang dapat memberikan kontribusi padaarsitektur sistem
keamanan jaringan secara keseluruhan. Nilai dari suatu honeypots dan bantuan
penyelesaian permasalahan yang dapat dilakukannya tergantung pada bagaimana kita
membangun, menerapkan, dan menggunakan honeypots tersebut. Honeypots
mempunyai kelebihan dan kekurangan yang mempengaruhi nilai dari honeypots itu
sendiri.
Salahsatu tantangan yang dihadapi oleh komunitas sistem keamanan jairngan adalah
menambah nilai dari suatu data. Sebuah organisasi mengumpulkan data dalam jumlah
yang sangat banyak termasuk firewall log, system log, dan IDS alert. Jumlah data
yang sangat banyak ini mengakibatkan kesulitan dalam memperoleh nilai dari data-
data tersebut. Di sisi lain, honeypots mengumpulkan sedikit data tetapi data yang
dikumpulkan tersebut umumnya memiliki nilai yang tinggi. Konsep honeypot tanpa
aktifitas produksi, secara dramatis mengurangi noise level. Dibandingkan dengan log
data yang berukuran gigabyte per hari, honeypots mengumpulkan beberapa megabyte
per hari. Setiap data pada log honeypots kebanyakan adalah data dari aktifitas scan,
probe, atau pun penyerangan (informasi bernilai tinggi).
Honeypots dapat memberikan informasi yang akurat dalam format yang cepat dan
mudah dimengerti. Hal ini akan membuat analisis menjadi lebih mudah dan lebih
cepat. Sebagai contoh, Honeynet Project, sebuah grup yang meneliti honeypots,
mengumpulkan data rata-rata lebih kecil dari 1 megabyte per hari. Meskipun ini
adalah jumlah data yang sangat kecil, data-data tersebut mengandung aktifitas utama
yang kurang bersahabat. Data ini selanjutnya dapat digunakan untuk membuat suatu
model statistik, analisis kecenderunganm, pendeteksian serangan, atau bahkan
meneliti penyerang.
Sebagai contoh, pada gambar 6, kita dapat melihat usaha scanning yang dilakukan
pada jaringan honeypots. Karena honeypots tidak memiliki nilai produksi, setiap
koneksi yang terjadi pada honeypots kebanyakan adalah probe atau pun serangan.
Juga karena sedikitnya informasi yang dikumpulkan, menjadi lebih mudah untuk
menyusun dan mengidentifikasi kecenderungan yang terjadi pada serangan terhadap
suatu organisasi. Pada gambar tersebut bisa dilihat berbagai variasi koneksi UDP yang
16
dibuat oleh beberapa sistem dari Jerman. Secara sekilas koneksi-koneksi ini tidak
kelihatan saling berhubungan karena perbedaan pada asal IP address, asal port, dan
target port yang digunakan.Bagaimanapun dengan melihat lebih teliti akan tampak
bahwa setiap honeypots hannya sekali dijadikan target oleh sistem-sistem yang
berbeda-beda tersebut. Analisis mengungkapkan bahwa penyerang melakukan
network sweep secara tersembunyi.
Penyerang berusaha untuk menentukan sistem mana yang dapat dijangkau melalui
internet dengan mengirimkan paket-paket UDP ke sebuah high port, sama dengan
traceroute bekerja pada Unix. Kebanyakan sistem tidak mempunyai port untuk
mendengarkan dari high port UDP ini, oleh karena itu ketika paket-paket dikirimkan,
sistem target mengirimkan pesan kesalahan “ICMP port unreachable”. Pesan
kesalahan ini memberi petunjuk pada penyerang bahwa sistem dapat dijangkau.
Penyerang yang melakukan network sweep seperti ini sangat sulit untuk dideteksi
karena dia mengacak port asal dan menggunakan beberaoa IP address asal. Pada
kenyataanya, penyerang kebanyakan hanya menggunakan sebuah kompputer untuk
melakukan scanning tetapi dengan alias beberapa IP address pada sistem atau sniffing
jaringan untuk return packets pada sistem yang berbeda.
Organisasi yang mengumpulkan sangat banyak data kebanyakan tidak akan dapat
mengetahui jenis sweep seperti ini, karena beberapa IP address asal dan port asal akan
mempersulit untuk dideteksi. Bagaimanapun karena honeypots mengumpulkan data
yang hanya sedikit, tapi bernilai tinggi, penyerangan sejenis ini akan dengan mudah
teridentifikasi. Ini adalah salahsatu contoh kelebihan dari honeypots.
3.1.2 Resources
Tantangan lain yang dihadapi oleh komunitas sistem keamanan jairngan adalah
keterbatasan resource, atau bahkan kehabisan resource. Kehabisan resource adalah
ketika security resource tidak dapat lagi berfungsi karena resource nya sudah
kelebihan data. Sebagai contoh, sebuah firewall akan tidak berfungsi karena tabel
koneksinya sudah penuh, ini bisa disebut dengan kehabisan resource, sehingga tidak
dapat lagi memonitor koenski yang terjadi. Hal ini akan memaksa firewall untuk
melakukan blokade pada seluruh koneksi.
17
IDS akan mendeteksi terlalu banyak aktifitas jaringan yang harus dimonitor, mungkin
ratusan megabyte data per detik. Ketika ini terjadi, buffer sensor IDS menjadi penuh
dan akan mulai melakukan dropping packets.
Honeypots yang diterapkan pada jaringan yang sama tidak akan mengalami masalah
seperti diatas. Honeypots hanya akan menangkap aktifitas secara langsung pada
dirinya sendiri, sehingga sistem tidak akan kebanjiran traffic. Keuntungan dari
penggunaan resource yang terbatas dari honeypots adalah tidak diperlukannya
investasi yang besar pada hardware untuk honeypots. Honeypots tidak memerlukan
RAM berukuran besar, chip berkecepatan tinggi, atau pun ukuran storage yang besar.
3.1.3 Simplicity
Ketika firewall berhasil menghalau penyerang keluar, firewall menjadi korban dari
keberhasilan mereka sendiri. Pihak manajemen akan mulai bertanya ROI (return on
investment) dari investasi yang telah merka keluarkan setelah merasa tidak adanya
lagi tantangan. Tidak adalagi serangan yang dapat dirasakan pada organisasi karena
firewall telah mengurangi resiko tersebut. Investasi pada teknologi keamanan lainnya
seperti sistem authentication, encryption, dan host-based armoring menghadapi
problem yang sama. Itu semua adalah investasi yang mahal, menghabiskan waktu,
uang, dan resource organisasi, tetapi mereka akan menjadi korban dari kesuksesan
mereka sendiri.
Pada sisi lain honeypots dengan cepat dan terus berulang mendemonstrasikan
nilainya. Setiap kali terkena serangan, orang akan mengetahui bahwa orang jahat ada
di luar sana. Dengan menangkap aktifitas yang tidak bersahabat, honeypots dapat
digunakan untuk mempertegas bukan hanya nilainya sendiri tetapi juga pada investasi
resource keamanan. Ketiak pihak manajemen merasa tidak ada lagi tantangan,
honeypots secara efektif membuktikan bahwa ada resiko yang besar di luar sana.
Terdapat bebeapa kelemahan dari honeypots yang menyebabkan honeypots tidak dapat
menggantikan mekanisme sistem keamanan yang lain. Honeypots hanya dipakai untuk
bekerjasama dan melengkapi arsitektur sistem keamanan secara keseluruhan.
18
3.2.1 Keterbatasan Ruang Pandang
Kelemahan terbesar dari honeypots adalah keterbatasan ruang pandang (narrow field
of view). Jika seorang penyerang menembus jaringan informasi dan menyerang
beberapa sistem, honeypots tidak akan dapat melakukan pencatatan kecuali pada
serangan yang dilakukan secara langsung. Jika seorang penyerang telah berhasil
mengidentifikasi sistem yang telah terpasang honeypots, mereka akan menghindari
sistem tersebut dan menerobos masuk ke dalam jaringan informasi duatu organisasi
sementara honeypots tidak akan mendeteksi masuknya penyerang tersebut.
3.2.2 Fingerprinting
Kelemahan lain dari honeypots, khususnya pada versi komersil, adalah fingerprinting.
Fingerprinting adalah ketika seorang penyerang dapat mengidentifikasi identitas yang
sebenarnya dari honeypots karena memiliki karakteristik atau perilaku tertentu.
Sebagai contoh, honeypots dapat mengemulasikan webserver. Kapan saja seorang
penyerang terhubung dengan honeypot inim webserver akan memberikan respon
dengan mengirimkan pesan kesalahan menggunakan format HTML standar. Pesan
kesalahan ini adalah respon yang pasti dari setiap webserver. Bagaimanapun honeypot
akan melakukan kesalahan oada salahsatu HTML command seperti mengeja kata
length menjadi legnht. Kesalahan tersebut saat ini telah menjadi fingerprint pada
honeypot karena penyerang dapat dengan cepat mengidentifikasi hal itu sebagai
kesalahan pada emulasi webserver.
19
4 HONEYNETS
o Honeynet bukan suatu sistem yang berdiri sendiri tapi sebuah jaringan.
Jaringan ini diletakkan di belakang firewall diman seluruh data masuk dan
keluar ditahan, ditangkap, dan dikontrol. Informasi yang tertangkap kemudian
dianalisis untuk menambah kecerdasan dalam mempelajari musuh. Dalam
sistem honeynet ini dapat ditempatkan berbagai tipe sistem yang digunakan
sebagai honeypot, seperti Solaris, Linux, Windows NT, Cisco Switch, dan
lain-lainnya. Hal ini akan menjadi suatu jaringan informasi yang lebih realistik
bagi para penyerang.
Gambar 8 Honeynets
20
seperti organisasi yang sesungguhnya. Penggunaan sistem produktif pada
honeynet mambuatnya menjadi unik. Tidak ada yang diemulasikan sehingga
dapat dibuat sama persis dengan sistem dan aplikasi yang ada pada suatu
organisasi.
9 Maksud dari honeynet adalah tidak untuk menangkap orang jahat tapi hanya
untuk mempelajari mereka. Aktifitas yang terjadi dalam honeynet diambil dan
dianalisis dan tidak digunakan untuk menuntut. Pada saat tertentu seorang
petugas hukum akan diberi informasi tentang temuan data pada honeynet.
Informasi ini tidak akan digunakan untuk menuntut seseorang.
9 Sistem yang ada pada honeynet tidak berbeda dengan lingkungan sistem
produktif yang lain. Perbedaannya hanya pada perlakuan terhadap data yang
terdapat pada honeynet, yaitu untuk dipelajari lebih lanjut. Jika honeynet
dianggap sebagai suatu perangkap, maka begitu juga dengan banyak sistem
produktif yang dapt ditemukan di internet.
Selama beberapa tahun terakhir project honeynet telah mengidentifikasi tools, taktik,
dan motif yang didapat dari komunitas blackhat dan menggunakan informasi tersebut
untuk membuat suatu metodologi umum.
4.3.1 Tantangan
Tantangan yang dihadapi adalah apa yang sudah umum diketahui sebagai metodologi
script kiddie. Metodologi ini merepresentasikan seseorang yang mencari path yang
mudah ditembus. Motif dari setiap orang mungkin berbeda tapi tujuannya sama: untuk
mendapatkan kontrol semudah mungkin dan biasanya pada sebanyak mungkin sistem.
Seorang penyerang melakukan ini dengan fokus pada sejumlah kecil tempat untun
mengeksploitasi dan kemudian mencari di internet untuk kelemahan dari sistem yang
ada sehingga cepat atau lambat akan segera ditemukan targetnya.
21
4.3.2 Taktik
Selama beberapa tahun terakhir, honeynet project telah secara konsisten melihat taktik yang
sama yang digunakan untuk menyerang honeynet. Walaupun taktik ini tidak dipergunakan
oleh seluruh komunitas blackhat, ini adalah salahsatu yang paling umum digunakan. Taktik
yang teridentifikasi adalah sangat sederhana. Sejumlah blackhat secara acak melakukan
scanning di internet untuk kelemahan yang spesifik. Ketika itu telah ditemukan, merkea akan
mengeksploitasinya. Mereka akan fokus pada kelemahan dari sistem tersebut, mungkin satu-
satunya yang mereka ketahui.Kadang-kadang mereka menggunakan tools untuk melakukan
scanning besar-besaran pada jutaan sistem sampai mereka menemukan target potensial.
Kebanyakandari tools yang digunakan sangat sederhana dan mudah digunakan secara
otomatis dengan sedikit interaksi. Sekali tools tersebut dijalankan, mereka akan
kembali beberapa hari kemudian untuk mendapatkan hasilnya. Komunitas blackhat
bahkan menyebut jenis tools ini autorooter.
4.3.3 Tools
Tools yang digunakan sangat kompleks untuk dikembangkan tetapi sangat mudah
untuk dipergunakan. Kebanyakan dari tools tersebut terbatas untuk satu tujuan
tertentu dengan bebeapa pilihan karena fungsi yang terbatas akan mempercepat
pengembangan dan penggunaan.
Salahsatu tools tersebut adalah untuk membangun IP database. Tools ini bekerja
secara acak seperti pada saat melakukan scanning di internet. Sebagai contoh, banyak
tools yang memiliki pilihan: A, B, atau C. Huruf yang dipilih akan menentukan
ukuran jaringan yang akan di-scan. Tools ini kemudian secara acak akan memilih
jaringan IP untuk di-scan.
4.3.4 Motif
Motif dari penyerang bervariasi secara acak pada sistem yang akan diserang. Setiap
kali salahsatu honeypot berkompromi, dapat dipelajari tools dan taktik yang
digunakan, juga dipelajari kenapa honeypot tersebut diserang. Informasi ini seringkali
menjadi informasi yang menarik dan sangat membantu.
22
5 BEBERAPA HONEYPOTS YANG TERSEDIA
Ada sejumlah honeypots yang tersedia, baik yang gratis maupun yang komersil di
pasaran saat ini. Fungsionalitas dibedakan dari kemudahan penggunaannya.
5.1 ManTrap
5.2 Specter
Specter juga dapat melakukan track down tempat berasalnya sebuah serangan pada
saat serangan terjadi dengan menggunakan fasilitas WHOIS dan traceroutes. Network
interface pada specter dibuat pada mode yang dapat dipilih, sehingga data yang masuk
ke dalam sistem akan didapatkan dengan benar. Specter dapat mengemulasikan
banyak variasi dari sistem operasi seperti Window 9x, Windows NT, Windows 2000,
Linux, Solaris, dan jenis lainnya dari Unix. Specter software berjalan pada Windows
NT, dan Windows 2000.
Sistem Specter versi 7 dapat mensimulasikan satu dari sembilan sistem operasi yang
berbeda, termasuk Windows NT, Windows 95/98, MacOS, Linux, SunOS/Solaris,
Digitasl Unix, NeXTStep, Irix, dan Unisys Unix. Sistem ini juga dapat
mensimulasikan lima layanan jaringan yang berbeda dan tujuh trap. Kebutuhan
sistem untuk dapat menjalankan specter versi 7 ini adalah:
Minimum:
23
• Display resolution of 1024x768
Rekomendasi:
Specter tampil dengan sebuah GUI (graphical user interface) yang disebut dengan
Specter Control yang digunakan untuk melakukan konfigurasi dan juga untuk
mengecek status dari sistem saat itu. Specter dapat dikonfigurasi dari jarak
jauhdengan menggunakan workstation yang berjalan pada platform Windows
98/ME/NT/2000/XP.
24
Gambar 10 Tampilan dari Log Analyzer (Specter)
Deception Toolkig (DTK) adalah satu set freeware tools yang memungkinkan
seseorang untuk membuat honeypots sendiri pada sistem Linux. Cara kerja DTK
adalah membuat suatu tampilan dengan sistem yang sangat mudah diserang dan
menyediakan respon-respon yang dikenal untuk membuatnya menjadi seakan-akan
mereka menyerang sistem yang sebenarnya.
Tipe honeypots ini dibuat menggunakan standar hardware dan software. Konfigurasi
khusus diperlukan untuk mengimplementasikan remote logging dan keystroke
capturing. Contoh dari Home Grown Honeypots adalah sebuah PC pada sistem
operasi RedHat Linux dengan Apache dan Sendmail terinstalasi pada konfigurasi
standar. Seluruh logging pada sistem dapat dikirimkan dari jarak jauh ke syslog server
dan shell akan dimodifikasi untuk menangkap semua keystroke.
25
5.5 Perbandingan dari Beberapa Honeypots
Berikut ini adalah perbandingan dari beberapa faktor penting pada produk honeypots yang
ada di pasaran.
Pada setiap produk honeypots yang tersedia terdapat perbedaan dari kekuatan masing-
masing produk. Specter memberikan kemudahan pada proses instalasi dan bahkan
mudah digunakan dengan GUI yang bagus. Sayangnya karena tidak menggunakan
sistem operasi yang sebenarnya makan nilainya tidak terlalu tinggi. ManTrap, DTK
dan honeypots yang dibangun sendiri memiliki kemudahan untuk mengkustomisasi
sendiri. Nilainya akan menjadi tinggi setinggi resikonya.
26
Daftar Pustaka
Honeypots, http://www.honeypots.net
27