Tugas EC7010

Keamanan Sistem Lanjut

Teknik Mengenali Penyerang Sistem Komputer dan Internet dengan

Honeypots

Dosen: Ir. Budi Raharjo, M.Sc., Ph.D

oleh:
Sakri Agiyanto
23202059
2 Januari 2004

Program Pasca Sarjana Jurusan Teknik Elektro

Jalur Pilihan Teknologi Informasi
Institut Teknologi Bandung
2004
 Abstrak

Beberapa tahun terakhir, sistem jaringan komputer dan internet telah berkembang
pesat pada skala ukuran, kompleksitas, dan kerentanan terhadap serangan (attack).
Pada saat yang sama, pengetahuan, peralatan, dan teknik yang tersedia bagi penyerang
(attacker) juga telah berkembang secara proporsional. Sayangnya teknik pertahanan
terhadap serangan tidak berkembang cukup cepat. Teknologi keamanan saat ini telah
mencapai batasnya, dan solusi inovatif selanjutnya diperlukan untuk memberikan
jawaban atas tantangan saat ini dan masa mendatang.

Paper ini akan membahas tentang sebuah teknologi keamanan sistem jaringan yang
seringkali disebut dengan deception mechanism atau honeypots. Tulisan ini juga akan
menjelaskan teknik honeypots untuk mendeteksi sebuah serangan pada sistem
komputer dan internet. Dengan honeypots seorang administrator jaringan akan dapat
menganalisis tools yang digunakan oleh penyerang, dan kemudian mengenali
penyerang. Pada tulisan ini juga akan dibahas mengenai perkembangan honeypots,
tools yang dapat dipergunakan, dan perbandingan dari beberapa teknik honeypots
yang ada.

2
 DAFTAR ISI

1 PENDAHULUAN ................................................................................................5
2 HONEYPOTS ......................................................................................................6
2.1 DEFINISI ..........................................................................................................6
2.2 ISTILAH HONEYPOTS .......................................................................................6
2.3 KATEGORI HONEYPOTS...................................................................................7
2.4 LEVEL OF INVOLVEMENT6 ...............................................................................8
2.4.1 Low Involvement Honeypots ..................................................................8
2.4.2 Mid Involvement Honeypots ..................................................................9
2.4.3 High Involvement Honeypots.................................................................9
2.4.4 Perbandingan dari Karakteristik Level of Involvement.......................11
2.5 PEMBAGIAN HONEYPOTS BERDASARKAN FUNGSI7 .......................................11
2.5.1 Sacrificial Lambs .................................................................................11
2.5.2 Facades ................................................................................................12
2.5.3 Instrumented Systems...........................................................................12
2.5.4 Pertimbangan dalam Memilih Honeypots ...........................................13
2.6 PENEMPATAN HONEYPOTS PADA JARINGAN .................................................14
3 NILAI TAMBAH DARI HONEYPOTS..........................................................16
3.1 KELEBIHAN DARI HONEYPOTS ......................................................................16
3.1.1 Nilai Data.............................................................................................16
3.1.2 Resources .............................................................................................17
3.1.3 Simplicity..............................................................................................18
3.1.4 Return on Investment ...........................................................................18
3.2 KELEMAHAN DARI HONEYPOTS ....................................................................18
3.2.1 Keterbatasan Ruang Pandang .............................................................19
3.2.2 Fingerprinting......................................................................................19
4 HONEYNETS ....................................................................................................20
4.1 PERBEDAAN HONEYPOTS DENGAN HONEYNETS ...........................................20
4.2 HONEYNETS BUKAN SISTEM ENTRAPMENT ....................................................21
4.3 HASIL DARI HONEYNET PROJECT ..................................................................21
4.3.1 Tantangan ............................................................................................21
4.3.2 Taktik....................................................................................................22
4.3.3 Tools.....................................................................................................22
4.3.4 Motif.....................................................................................................22
5 BEBERAPA HONEYPOTS YANG TERSEDIA ...........................................23
5.1 MANTRAP .....................................................................................................23
5.2 SPECTER .......................................................................................................23
5.3 DECEPTION TOOLKIT .....................................................................................25
5.4 HOME GROWN HONEYPOTS ............................................................................25
5.5 PERBANDINGAN DARI BEBERAPA HONEYPOTS .............................................26

3
 DAFTAR GAMBAR

Gambar 1 Sistem Honeytpots Tunggal .........................................................................7

Gambar 2 Low Involvement Honeypots.......................................................................8
Gambar 3 Mid Involvement Honeypots .......................................................................9
Gambar 4 High Involvement Honeypots .....................................................................10
Gambar 5 Kelebihan dan Kekurangan dari setiap Level of Involvement ....................11
Gambar 6 Penempatan Honeypots..............................................................................14
Gambar 7 Network Sweep secara tersembunyi pada jaringan honeypots ..................17
Gambar 8 Honeynets...................................................................................................20
Gambar 9 Tampilan dari Specter Control (Specter) ...................................................24
Gambar 10 Tampilan dari Log Analyzer (Specter) ....................................................25
Gambar 11 Tabel Perbandingan Produk Honeypots...................................................26

4
 Teknik Mengenali Penyerang Sistem
Komputer dan Internet
dengan Honeypots

1 PENDAHULUAN

Sejak ribuan tahun yang lalu seringkali suatu peperangan dapat dimenangkan dengan
taktik memperdaya musuh. Pada operasi Desert Storm, Amerika menggunakan
serdadu, camp, dan bahkan tank tiruan untuk membuat bingung tentara Irak.
Kemudian serdadu yang sebenarnya akan memasuki Irak tanpa perlawanan. Taktik
yang sama dapat juga diaplikasikan untuk mempertahankan aset-aset jaringan
informasi di suatu instansi dari serangan (attack) para penyerang (attacker) yang
semakin pintar. Saat ini di internet sudah tersedia berbagai sumber lengkap yang akan
memudahkan para penyerang sistem jaringan komputer dan internet di suatu
perusahaan untuk melakukan perang jenis baru dalam jaringan informasi.

Teknik pengamanan sistem jaringan lama adalah melakukan blokade serangan dengan
firewall, atau mendeteksi pada saat mulai terjadi dengan IDS (Intrusion Detection
Systems). Kedua teknik ini sangat baik tapi mempunyai keterbatasan. Dengan sedikit
waktu dan informasi tambahan, seorang penyerang akan dapat mempelajari untuk
mengelak dari sistem blokade firewall. Setelah berhasil dielakkan, firewall tidak dapat
memberikan sistem proteksi yang lebih jauh. Sementara IDS hanya akan
menyediakan informasi satu kali saat sebuah serangan dimulai. Seringkali ini tidak
memberikan waktu yang cukup bagi seorang administrator untuk mengamankan
semua sistem yang terserang. Selain itu IDS tidak dapat menentukan apakah sebuah
serangan baru telah berhasil atau akan berhasil dengan sistem yang lain. Dengan
hanya menggunakan firewall dan IDS dapat di analogikan dengan sebuah kota di abad
pertengahan yang mempertahankan diri dari serangan segerombolan barbar dengan
hanya menggunakan benteng yang tinggi dan pengawal-pengawal tanpa senjata. Pada
akhirnya kota tersebut akan kalah.

Sebuah tindakan balasan yang baik akan secara substansial menghambat penyerang
dengan memberikan informasi pada sistem pertahanan jaringan tentang musuh untuk
mencegah kerusakan lebih jauh akibat dari serangan. Penggunaan muslihat yang baik
akan menyelesaikan tujuan ini. Dengan memperdaya penyerang, sistem pertahanan
jaringan akan memberikan informasi yang salah dan memaksa penyerang untuk
membuang banyak waktunya di tempat yang salah sehingga menumpulkan serangan
berikutnya. Sebuah taktik muslihat yang baik akan memberi nilai tambah pada sistem
pertahanan jaringan yaitu informasi tentang maksud dari penyerang dan motifnya,
tanpa resiko serangan yang lolos. Informasi ini kemudian dapat dipergunakan untuk
meningkatkan tingkat keamanan yang sudah ada seperti firewall dan konfigurasi IDS.

5
 2 HONEYPOTS

Pada dunia keamanan jaringan informasi banyak profesional yang sangat tertarik pada
honeypots karena seorang pengamat serangan akan dapat melihat informasi secara
nyata tentang suatu serangan. Kita sering mendengar tentang perusakkan sebuah situs
web atau sebuah sistem keamanan jaringan pada bank yang di-hack, tetapi
kebanyakan dari kita tidak mengetahui bagaimana si penyerang masuk dan apa yang
sesungguhnya terjadi. Salahsatu hal yang bisa didapat dengan honeypots adalah
informasi bagaimana seorang penyerang dapat menerobos dan apa yang sudah
dilakukannya.

2.1 Definisi

Berikut adalah definisi dari Honeypots dari dua orang yang memiliki kompetensi pada
penelitian tentang honeypots.

Definisi dari L. Spitzner1 tentang istilah Honeypots adalah sebagai berikut:

“A honeypot is a resource whose value is being in attacked or compromised. This
means, that a honeypot is expected to get probed, attacked and potentially exploited.
Honeypots do not fix anything. They provide us with additional, valuable
information.”

Definisi lain dari Retto Baumann2 & Christian Plattner3:

“A honeypot is a resource which pretends to be a real target. A honeypot is expected
to be attacked or compromised. The main goals are the distraction of an attacker and
the gain of information about an attack and the attacker.”

Pada dasarnya honeypots adalah suatu alat untuk mendapatkan informasi tentang
penyerang. Selanjutnya administrator jaringan dapat mempelajari aktifitas-aktifitas
yang dapat merugikan dan melihat kecenderungan dari aktifitas tersebut. Honeypots
adalah sebuah sistem yang dirancang untuk diperiksa dan diserang.

2.2 Istilah Honeypots

Istilah honeypots pertama kali didiskusikan di sejumlah paper yang sangat bagus oleh
beberapa tokoh sistem keamanan jaringan komputer:
•
Cliff Stoll’s Cukoo’s Egg
•
Steve Bellovin & Bill Cheswick’s “An Evening with Berferd.”4

Keduanya memberikan contoh penggunaan teknologi jail-type untuk menangkap

session dari seorang penyerang sistem keamanan jaringan, dan memonitor secara
terperinci apa yang dilakukan oleh penyerang. Istilah honeypots kemudian muncul.

Sistem honeypots lama biasanya hanya berupa sebuah sistem yang dihubungkan
dengan jaringan produktif yang ada dengan tujuan untuk memikat penyerang. Gambar
berikut memperlihatkan sebuah sistem fisik honeypots tunggal yang diletakkan pada

1
Lance Spitzner adalah anggota dari riset honepots di USA (http:/project.honeynet.net)
2
Retto Baumman (http://www.rbaumann.net)
3
Christian Plattner (http://www.christianplattner.net)
4
AT&T Bell Laboratorie
6
jaringan internal. Sistem tersebut kemudian dapat mengemulasikan berbagai variasi
sistem atau lubang-lubang dari sistem yang mudah untuk diserang.

Gambar 1 Sistem Honeytpots Tunggal

2.3 Kategori Honeypots

Ada dua kategori honeypots5:

1. Production Honeypots
2. Research Honeypots

Production honeypots digunakan untuk mengurangi resiko serangan pada sistem

keamanan jaringan informasi dalam sebuah organisasi. Reasearch honeypots
digunakan untuk medapatkan informasi sebanyak mungkin tentang penyerang
sehingga seorang administrator dapat mempelajari informasi tersebut.

Beberapa kalangan memperdebatkan apakah benar honeypots menambah nilai pada

suatu sistem keamanan jaringan informasi. Salahsatu cara untuk mencobanya adalah
dengan cara melihat dari berapa lama honeypots memberikan waktu pada
administrator untuk bereaksi sejak saat serangan itu masuk, sehingga seorang
administrator dapat melindungi jaringan produktifnya. Jika dalam 15-20 menit, maka
honeypots tersebut akan mempunyai nilai tambah. Informasi penyerang yang sudah
dipelajari juga akan memberikan nilai tambah pada sistem kemanan jaringan, karena
sebuah serangan balasan yang tepat akan dapat dibuat untuk pertahanan terhadap
serangan baru tersebut.

5
Didefiniskan oleh Marty Roesch, pembuat Snort

7
 2.4 Level of Involvement6

Karakteristik lainnya dari honeypots adalah level of involvement (tingkat keterlibatan).

Level of involvement mengukur derajat interaksi seorang penyerang dengan sistem
operasi.

2.4.1 Low Involvement Honeypots

Low Involvement honeypots biasanya hanya menyediakan tiruan dari layanan

tertentu. Bentuk paling sederhana dari layanan ini dapat diimplementasikan dengan
memasang suatu listener pada sebuah port. Sebagai contoh, simple netcat –l –p 80 >
/log/honeypot/port 80.log dapat digunakan untuk mendengarkan port 80 (HTTP) dan
mencatat semua traffic yang ada pada log file.

Pada low involvement honeypots tidak ada sistem operasi nyata yang dapat dipakai
sebagai tempat operasi penyerang. Ini akan dapat mengurangi resiko secara signifikan
karena kompleksitas dari suatu sistem operasi telah ditiadakan. Di sisi lain ini adalah
juga suatu kelemahan yang berakibat tidak adanya kemungkinan untuk
memperhatikan interaksi penyerang dengan sistem operasi yang bisa jadi sangat
menarik. Low involvement honeypots adalah seperti sebuah koneksi satu arah. Kita
hanya akan dapat mendengarkan tanpa bisa menanyakan pertanyaan sendiri.
Pendekatan cara ini sangat pasif.

Gambar 2 Low Involvement Honeypots

Low involvement honeypots dapat dibandingkan dengan sebuah IDS dimana keduanya
adalah sistem pasif yang tidak mengubah traffic atau interaksi dengan penyerang.

6
Retto Baumann & Christian Plattner, Whitepaper, Honeypots

8
 2.4.2 Mid Involvement Honeypots

Mid involvement honeypots menyediakan lebih banyak layanan untuk berinteraksi,

tetapi juga belum menyediakan sebuah sistem operasi yang nyata. Tiruan dari layanan
daemons adalah layanan yang paling menarik dan memiliki akses yang lebih dalam
dari layanan yang disediakan. Pada saat yang sama resiko bertambah. Kemungkinan
seorang penyerang mendapatkan security hole menjadi lebih besar karena
kompleksitas dari honeypots juga bertambah.

Melalui tingkatan interaksi yang lebih tinggi, serangan yang lebih kompleks mungkin
terjadi dan dapat dicatat dan dianalisis. Penyerang mendapatkan ilusi yang lebih baik
dari sebuah sistem operasi yang nyata. Dia juga memiliki kemungkinan lebih banyak
untuk berinteraksi dan memeriksa sebuah sistem.

Gambar 3 Mid Involvement Honeypots

Membangun suatu mid involvement honeypots sangat kompleks dan membutuhkan

banyak waktu. Hal yang harus diperhatikan adalah pembuatan daemons tiruan yang
seaman mungkin. Pengetahuan yang cukup diperlukan untuk membangun sistem jenis
ini seperti pemahaman protokol dan layanan yang lebih detil.

2.4.3 High Involvement Honeypots

High involvement honeypots mempunyai sebuah sistem operasi nyata yang

mendasarinya. Hal ini menyebabkan resiko yang sangat tinggi karena kompleksitas
menjadi semakin bertambah. Pada saat yang sama, kemampuan untuk mengumpulkan

9
informasi, dan kemungkinan untuk serangan yang lebih atraktif juga semakin
bertambah banyak. Satu tujuan dari seorang hacker adalah menambah sumber dan
mendapatkan akses pada satu mesin yang terhubung ke internet selama 24 jam sehari.
High involvement honeypots menawarkan kemungkinan itu. Ketika seorang hacker
mendapatkan akses, bagian yang sangat menarik dimulai.

Sayangnya seorang penyerang akan berkompromi dengan sistem untuk mendapatkan

level kebebasan seperti ini. Dia akan mempunyai sumber yang sebenarnya pada
sistem dan dapat melakukan apa saja pada setiap saat dalam sistem yang
berkompromi tersebut. Oleh sebab itu sistem tidak lagi aman. Bahkan seluruh mesin
tidak lagi dapat dikatakan aman. Hal ini tidak akan menjadi masalah jika penyerang
berada pada sebuah jail, sandbox, atau VMWare box karena akan ada jalan untuk
keluar dari batas-batas software ini.

Gambar 4 High Involvement Honeypots

Untuk membangun sebuah sistem high involvement honeypots diperlukan sangat

banyak waktu. Sistem tersebut harus selalu diawasi. Sebuah honeypots yang tidak
terkontrol bisa berbahaya dan bahkan bisa menjadi security hole sendiri. Pembatasan
akses dari honeypots ke jaringan intranet menjadi sangat penting karena honeypots
dapat digunakan sebagai sistem nyata yang dapat berkompromi dengan penyerang.
Membatasi traffic yang keluar adalah suatu hal yang layak dipertimbangkan untuk
mengurangi bahaya pada sistem yang terlalu berkompromi. Dengan memberikan
sistem operasi secara penuh pada penyerang, poenyerang akan dapat melakukan
upload dan instal file-file baru. Ini merupakan keunggulan dari high involvement
honeypots dimana seluruh aktifitas dapat dicatat dan dianalisis. Mengumpulkan
informasi baru tentang komunitas blackhat adalah tujuan utama dari high involvement
honeypots dan menetapkan resiko yang lebih tinggi.

10
 2.4.4 Perbandingan dari Karakteristik Level of Involvement

Setiap level of involvement mempunyai kelebihan dan kekurangannya. Tabel berikut

memperlihatkan ringkasan dari hal-hal tersebut.

Gambar 5 Kelebihan dan Kekurangan dari setiap Level of Involvement

Memilih level of involvement yang paling rendah akan mengurangi bahaya dan resiko
lebih banyak. Keburuhan waktu perawatan juga harus dipertimbangkan saat memilih
honeypots pada setiap level of involvement.

2.5 Pembagian Honeypots berdasarkan Fungsi7

Symantec Research Labs, sebuah perusahaan yang bergerak dalam Internet Security
Technology, membagi honeypots manjadi 3 jenis, yaitu; Sacrificial Lambs, Facades,
dan Instrumented Systems.

2.5.1 Sacrificial Lambs

Sacrificial lambs adalah sebuah sistem “off the shelf” yang membiarkan sebuah
lubang untuk diserang. Sistem ini dapat dibangun dengan virtual device (Linux
Server, Cisco Router, dll). Implementasi sistem ini biasanya dengan melakukan
loading sistem operasi, melakukan konfigurasi pada beberapa aplikasi, dan
membiarkannya pada jaringan dan melihat apa yang terjadi. Administrator akan
menguji sistem secara periodik untuk menentukan apakah sistem telah berkompromi,
dan apa saja yang sudah dilakukannya.

Sacrificial lambs menyediakan target yang sebenarnya. Seluruh informasi yang

dicatat adalah persis seperti pada sistem yang sebenarnya, tidak ada kemungkinan
profiling karena tidak ada yang dapat membedakan sistem ini dengan yang lainnya.
Jenis honeypots ini mudah untuk dibangun secara lokal karena hanya dibutuhkan
penggunaan komponen off the self. Sacrificial lambs menyediakan informasi untuk
menganalisis sistem yang berkompromi sampai dengan byte terakhir tanpa
kemungkinan adanya variasi. Jenis honeypots ini juga memerlukan penanganan
administratif yang agak berlebih. Proses instalasi dan setup mengharuskan seorang

7
Symantec Research Lab, (http://www.symantec.com

11
administrator melakukan loading sistem operasi dan secara manual memainkan
beberapa konfigurasi aplikasi atau meningkatkan daya tahan sistem. Analisis
dilakukan secara manual dan seringkali dibutuhkan sejumlah tools tambahan dari
third-party. Selain itu honeypots jenis ini tidak menyediakan sistem pengurungan atau
pun fasilitas kontrol. Kebanyakan organisasi komersial mempertimbangkan sacrificial
lambs terlalu beresiko dan memerlukan sumber daya yang terlalu besar.

2.5.2 Facades

Jairngan facade adalah sebuah sistem yang menyediakan sebuah image yang tidak
benar dari host target. Implementasinya kebanyakan adalah sebagai software emulasi
dari layanan atau aplikasi target. Ketika facade diperiksa dan diserang, dia akan
mengumpulkan inforamsi tentang penyerang. Ini dapat diumpamakan seperti sebuah
pintu yang terkunci tanpa sesuatu apapun di belakangnya, dan memperhatikan siapa
yang berusaha untuk membukanya. Kedalaman dari simulasi bergantung pada
imlementasinya.

Facade menawarkan solusi yang sederhana, mudah dibangun karena hanya

memerlukan proses instalasi dan peralatan yang lebih sedikit, dan dapat menyediakan
banyak target dengan variasi yang dapat dipertimbangkan. Karena honeypots jenis ini
bukan sistem yang sebenarnya, sehingga tidak diperlukan lubang untuk diserang dari
sistem yang sebenarnya. Keterbatasan yang cukup signifikan adalah facade hanya
menyediakan informasi dasar tentang tantangan yang potensial dan oleh karena itu
biasanya digunakan pada small-to-medium-sized enterprise atau oleh large enterprise
untuk digabungkan dengan teknologi yang lain.

2.5.3 Instrumented Systems

Instrumented Systems menyediakan solusi yang ideal antara facade yang berbiaya
rendah dengan informasi yang rinci dari sacrificial lambs. Dibuat oleh para developer
profesional yang fokus pada sistem keamanan. Instrumented Systems komersial yang
tersedia sangat mudah untuk dipergunakan sampai pada tingkatan end-user. Dengan
sistem operasi yang ekstensif, modifikasi pada level kernel, dan pengembangan
aplikasi sampai pada sistem stok, perusahaan komersial telah mengembangkan konsep
dari honeypots sebagai cara yang efektif untuk mempertahankan jaringan
informasinya termasuk sistem pengumpulan data advance, pertahanan terhadap
serangan, sistem alert yang berdasarkan policy, dan fungsionalitas dari enterprise
administration.

Honeypots dengan deep-deception adalah suatu langkah yang evolusioner dari bentuk
deception sebelumnya. Sistem ini dapat menyediakan sebuah detil serangan pada
level pengecualian, ketika dia menyediakan lingkungan yang interaktif dan masuk
akal untuk menahan seorang penyerang sehingga tertarik untuk berinteraksi dalam
jangka waktu yang cukup lama. Waktu interaksi dari penyerang yang cukup lama
akan menolong seorang administrator untuk menentukan motif dari penyerang dan
membangun sistem penangkalan untuk menjamin tidak ada lagi serangan pada

12
jaringan mereka di masa mendatang. Honeypots jenis ini biasanya dipergunakan oleh
medium-to-large enterprise.

2.5.4 Pertimbangan dalam Memilih Honeypots

Ada beberapa fungsi dan fitur tambahan yang harus dipertimbangkan oleh perusahaan
sebelum implementasi honeypots. Pertama adalah pertimbangan sifat serta biaya
containment dan kontrol. Setiap sistem yang diterapkan oada jaringan akan
mengandung resiko. Harus dilakukan perhitungan untuk mengurangi resiko tersebut.
Jika sebuah produk tidak mendukugn suatu sifat containment dan kontrol, biaya dan
kompleksitas dari implementasi harus benar-benar diuji.

Pertimbangan berikutnya adalah apakah honeypots dapat menyediakan sumber data

yang sangat baik. Perlu jadi perhatian bahwa data intu sendiri tidak berarti apa-apa
sebelum dianalisis. Beberapa produk menyediakan tools yang terintegrasi untuk
melakukan analisis, reporting, dan alerting. Beberapa produk lainnya memerlukan
keterlibatan administrator untuk melakukan tinjauan dan security expertise. Berapa
banyak analisis yang ditawarkan dan bagaimana cara administrator melakukannya
adalah pertimbangan yang penting dan akan memberikan dampak yang cukup
signifikan pada pembiayaan dalam penggunaan sistem tersebut.

Perawatan content dan perbaikan honeypots juga harus dievaluasi. Kedua hal tersebut
akan memberikan kontribusi pada biaya proses administrasi dan perawatan sistem
deception ini. Content dari peralatan deception ini memerlukan proses update secara
periodik untuk tetap bekerja dengan benar. Sistem deception yang telah diserang juga
memerlukan pemulihan kembali pada keadaan semula secara periodik. Pada kasus ini,
solusi yang memungkinkan prosedur ini dilakukan secara otomatis akan sangat
mengurangi biaya proses administrasi.

Pada akhirnya akan muncul pembandingan antara honeypots dengan host-based

intrusion detection systems (HIDS) dan sistem integrity monitoring. HIDS biasanya
diterapkan pada sistem jaringan produktif dan dirancang sebagai alarm tanda bahaya.
Menerapkan HIDS pada sistem jaringan produktif tidak akan menghasilkan nilai yang
sama seperti pada penerapan honeypots. HIDS akan dengan mudah menangkap false
positives, kemudian memaksa admisitrator untuk melakukan deal dengan sulitnya
memonitor aktifitas normal dari user, tidak menyediakan containment atau pun
fungsionil administrasi yang baik seperti pada pendekatan honeypots. HIDS dapat
digunakan untuk membuat honeypots, tetapi sering hanya akan menghasilkan
signature yang sangat besar karena HIDS tidak dirancang untuk melakukan itu.

Software integrity mmonitoring memiliki banyak kekurangan seperti pada HIDS jika
dibandingkan dengan honeypots. Sistem tersebut dirancang untuk melakukan
monitoring terhadap perubahan yang terjadi pada sistem jaringan produktif, tidak
untuk aktifitas user atau pun security. Sistem ini tidak menyediakan fungsi tambahan
yang diperlukan oleh honeypots. Dan seperti yang terjadi pada HIDS. Sistem ini juga
membuat signature yang sangat besar yang tidak akan terjadi pada honeypots.

13
 2.6 Penempatan Honeypots pada Jaringan

Honeypots tidak memerlukan suatu penempatan tertentu pada jaringan karena dia
adalah sebuah server standar tanpa kebutuhan khusus. Honeypots dapat ditempatkan
dimana saja seperti sebuah server akan ditempatkan. Tetapi akan lebih baik jika
diletakkan pada tempat yang mudah dijangkau oleh orang-orang tertentu. Honeypots
dapat digunakan pada internet maupun intranet tergantung pada layanan yang
diperlukan. Penempatan honeypots pada intranet dapat berguna untuk mendeteksi
seorang penyreang yang berada di jaringan internal. Jika fokus utama pada internet,
honeypots dapat diletakkan pada dua lokasi:
o di depan firewall (internet)
o DMZ8
o di belakang firewall (internet)

Setiap penempatan mempunyai kelebihan dan kekurangnnya. Kadang tidak mungkin

untuk sebuah server di depan firewall.

Gambar 6 Penempatan Honeypots

Dengan menempatkan honeypots di depan firewall, lihat gambar Honeypot(1), resiko

untuk jaringa internal tidak bertambah. Bahaya dari sistem yang berkompromi di
belakang firewall dapat dikurangi. Honeypots akan menghasilkan banyak traffic yang
tidak dikehendaki seperi portscan atau pola-pola penyerangan. Dengan menempatkan
honeypots di luar firewall, event-event seperti itu tidak akan dapat menerobos firewall
dan sistem IDS internal tidak akan memunculkan alert.

8
Demiliterized Zone, sebuah segmen jaringan yang hanya dapat diakses sebagain dari internet

14
Kelemahan dari penempatan honeypots di depan firewall adalah penyerang dari dalam
tidak dapat dengan mudah ditangkap, khususnya jika firewall membatasi traffic keluar
yang artinya juga membatasi traffic ke honeypots.

Solusi yang paling baik adalah menempatkan honeypots pada DMZ dengan
preliminary firewall. Firewall dapat dihubungkan secara langsung ke internet maupun
intranet tergantung dari kebutuhan. Usaha ini memudahkan pengontrolan yang ketat
pada lingkungan yang fleksibel dengan tingkat keamanan yang maksimum.

15
 3 NILAI TAMBAH DARI HONEYPOTS

Seperti telah dijabarkan sebelumnya, bahwa honeypots tidak tidak ditujukan pada
suatu permasalahan yang spesifik seperti pada mekanisme firewall dan IDS.
Honeypots adalah tools yang dapat memberikan kontribusi padaarsitektur sistem
keamanan jaringan secara keseluruhan. Nilai dari suatu honeypots dan bantuan
penyelesaian permasalahan yang dapat dilakukannya tergantung pada bagaimana kita
membangun, menerapkan, dan menggunakan honeypots tersebut. Honeypots
mempunyai kelebihan dan kekurangan yang mempengaruhi nilai dari honeypots itu
sendiri.

3.1 Kelebihan dari Honeypots

Honeypots memiliki beberapa kelebihan, empat diantaranya:

o Nilai Data
o Resources
o Simplicity
o Return on Investment

3.1.1 Nilai Data

Salahsatu tantangan yang dihadapi oleh komunitas sistem keamanan jairngan adalah
menambah nilai dari suatu data. Sebuah organisasi mengumpulkan data dalam jumlah
yang sangat banyak termasuk firewall log, system log, dan IDS alert. Jumlah data
yang sangat banyak ini mengakibatkan kesulitan dalam memperoleh nilai dari data-
data tersebut. Di sisi lain, honeypots mengumpulkan sedikit data tetapi data yang
dikumpulkan tersebut umumnya memiliki nilai yang tinggi. Konsep honeypot tanpa
aktifitas produksi, secara dramatis mengurangi noise level. Dibandingkan dengan log
data yang berukuran gigabyte per hari, honeypots mengumpulkan beberapa megabyte
per hari. Setiap data pada log honeypots kebanyakan adalah data dari aktifitas scan,
probe, atau pun penyerangan (informasi bernilai tinggi).

Honeypots dapat memberikan informasi yang akurat dalam format yang cepat dan
mudah dimengerti. Hal ini akan membuat analisis menjadi lebih mudah dan lebih
cepat. Sebagai contoh, Honeynet Project, sebuah grup yang meneliti honeypots,
mengumpulkan data rata-rata lebih kecil dari 1 megabyte per hari. Meskipun ini
adalah jumlah data yang sangat kecil, data-data tersebut mengandung aktifitas utama
yang kurang bersahabat. Data ini selanjutnya dapat digunakan untuk membuat suatu
model statistik, analisis kecenderunganm, pendeteksian serangan, atau bahkan
meneliti penyerang.

Sebagai contoh, pada gambar 6, kita dapat melihat usaha scanning yang dilakukan
pada jaringan honeypots. Karena honeypots tidak memiliki nilai produksi, setiap
koneksi yang terjadi pada honeypots kebanyakan adalah probe atau pun serangan.
Juga karena sedikitnya informasi yang dikumpulkan, menjadi lebih mudah untuk
menyusun dan mengidentifikasi kecenderungan yang terjadi pada serangan terhadap
suatu organisasi. Pada gambar tersebut bisa dilihat berbagai variasi koneksi UDP yang

16
dibuat oleh beberapa sistem dari Jerman. Secara sekilas koneksi-koneksi ini tidak
kelihatan saling berhubungan karena perbedaan pada asal IP address, asal port, dan
target port yang digunakan.Bagaimanapun dengan melihat lebih teliti akan tampak
bahwa setiap honeypots hannya sekali dijadikan target oleh sistem-sistem yang
berbeda-beda tersebut. Analisis mengungkapkan bahwa penyerang melakukan
network sweep secara tersembunyi.

Gambar 7 Network Sweep secara tersembunyi pada jaringan honeypots

Penyerang berusaha untuk menentukan sistem mana yang dapat dijangkau melalui
internet dengan mengirimkan paket-paket UDP ke sebuah high port, sama dengan
traceroute bekerja pada Unix. Kebanyakan sistem tidak mempunyai port untuk
mendengarkan dari high port UDP ini, oleh karena itu ketika paket-paket dikirimkan,
sistem target mengirimkan pesan kesalahan “ICMP port unreachable”. Pesan
kesalahan ini memberi petunjuk pada penyerang bahwa sistem dapat dijangkau.

Penyerang yang melakukan network sweep seperti ini sangat sulit untuk dideteksi
karena dia mengacak port asal dan menggunakan beberaoa IP address asal. Pada
kenyataanya, penyerang kebanyakan hanya menggunakan sebuah kompputer untuk
melakukan scanning tetapi dengan alias beberapa IP address pada sistem atau sniffing
jaringan untuk return packets pada sistem yang berbeda.

Organisasi yang mengumpulkan sangat banyak data kebanyakan tidak akan dapat
mengetahui jenis sweep seperti ini, karena beberapa IP address asal dan port asal akan
mempersulit untuk dideteksi. Bagaimanapun karena honeypots mengumpulkan data
yang hanya sedikit, tapi bernilai tinggi, penyerangan sejenis ini akan dengan mudah
teridentifikasi. Ini adalah salahsatu contoh kelebihan dari honeypots.

3.1.2 Resources

Tantangan lain yang dihadapi oleh komunitas sistem keamanan jairngan adalah
keterbatasan resource, atau bahkan kehabisan resource. Kehabisan resource adalah
ketika security resource tidak dapat lagi berfungsi karena resource nya sudah
kelebihan data. Sebagai contoh, sebuah firewall akan tidak berfungsi karena tabel
koneksinya sudah penuh, ini bisa disebut dengan kehabisan resource, sehingga tidak
dapat lagi memonitor koenski yang terjadi. Hal ini akan memaksa firewall untuk
melakukan blokade pada seluruh koneksi.

17
IDS akan mendeteksi terlalu banyak aktifitas jaringan yang harus dimonitor, mungkin
ratusan megabyte data per detik. Ketika ini terjadi, buffer sensor IDS menjadi penuh
dan akan mulai melakukan dropping packets.

Honeypots yang diterapkan pada jaringan yang sama tidak akan mengalami masalah
seperti diatas. Honeypots hanya akan menangkap aktifitas secara langsung pada
dirinya sendiri, sehingga sistem tidak akan kebanjiran traffic. Keuntungan dari
penggunaan resource yang terbatas dari honeypots adalah tidak diperlukannya
investasi yang besar pada hardware untuk honeypots. Honeypots tidak memerlukan
RAM berukuran besar, chip berkecepatan tinggi, atau pun ukuran storage yang besar.

3.1.3 Simplicity

Perhatikan kesederhanaan (simplicity) dibandingkan dengan keuntungan yang terbesar

suatu honeypots. Tidak diperlukan algoritma yang rumit untuk mengembangkannya,
tidak ada signature database yang perlu dirawat, tidak ada rule yang tidak
terkonfigurasi. Terapkan honeypots, letakkan di suatu tempat di perusahaan,
kemudian kembali duduk sambil menunggu.

3.1.4 Return on Investment

Ketika firewall berhasil menghalau penyerang keluar, firewall menjadi korban dari
keberhasilan mereka sendiri. Pihak manajemen akan mulai bertanya ROI (return on
investment) dari investasi yang telah merka keluarkan setelah merasa tidak adanya
lagi tantangan. Tidak adalagi serangan yang dapat dirasakan pada organisasi karena
firewall telah mengurangi resiko tersebut. Investasi pada teknologi keamanan lainnya
seperti sistem authentication, encryption, dan host-based armoring menghadapi
problem yang sama. Itu semua adalah investasi yang mahal, menghabiskan waktu,
uang, dan resource organisasi, tetapi mereka akan menjadi korban dari kesuksesan
mereka sendiri.

Pada sisi lain honeypots dengan cepat dan terus berulang mendemonstrasikan
nilainya. Setiap kali terkena serangan, orang akan mengetahui bahwa orang jahat ada
di luar sana. Dengan menangkap aktifitas yang tidak bersahabat, honeypots dapat
digunakan untuk mempertegas bukan hanya nilainya sendiri tetapi juga pada investasi
resource keamanan. Ketiak pihak manajemen merasa tidak ada lagi tantangan,
honeypots secara efektif membuktikan bahwa ada resiko yang besar di luar sana.

3.2 Kelemahan dari Honeypots

Terdapat bebeapa kelemahan dari honeypots yang menyebabkan honeypots tidak dapat
menggantikan mekanisme sistem keamanan yang lain. Honeypots hanya dipakai untuk
bekerjasama dan melengkapi arsitektur sistem keamanan secara keseluruhan.

18
 3.2.1 Keterbatasan Ruang Pandang

Kelemahan terbesar dari honeypots adalah keterbatasan ruang pandang (narrow field
of view). Jika seorang penyerang menembus jaringan informasi dan menyerang
beberapa sistem, honeypots tidak akan dapat melakukan pencatatan kecuali pada
serangan yang dilakukan secara langsung. Jika seorang penyerang telah berhasil
mengidentifikasi sistem yang telah terpasang honeypots, mereka akan menghindari
sistem tersebut dan menerobos masuk ke dalam jaringan informasi duatu organisasi
sementara honeypots tidak akan mendeteksi masuknya penyerang tersebut.

3.2.2 Fingerprinting

Kelemahan lain dari honeypots, khususnya pada versi komersil, adalah fingerprinting.
Fingerprinting adalah ketika seorang penyerang dapat mengidentifikasi identitas yang
sebenarnya dari honeypots karena memiliki karakteristik atau perilaku tertentu.
Sebagai contoh, honeypots dapat mengemulasikan webserver. Kapan saja seorang
penyerang terhubung dengan honeypot inim webserver akan memberikan respon
dengan mengirimkan pesan kesalahan menggunakan format HTML standar. Pesan
kesalahan ini adalah respon yang pasti dari setiap webserver. Bagaimanapun honeypot
akan melakukan kesalahan oada salahsatu HTML command seperti mengeja kata
length menjadi legnht. Kesalahan tersebut saat ini telah menjadi fingerprint pada
honeypot karena penyerang dapat dengan cepat mengidentifikasi hal itu sebagai
kesalahan pada emulasi webserver.

Jika komunitas blackhat telah dapat mengidentifikasi penggunaan honeypot dalam

jaringan informasi di suatu organisasi, mereka akan melakukan spoof identitas dari
sistem produktif yang lain dan dapat dipergunakan untuk menyerang honeypots itu
sendiri. Honeypot akan mendeteksi serangan spoof, dan secara tidak benar
memperingatkan administrator bahwa ada serangan pada sistem produktif. Pada
waktu yang sama di tengah kebingungan tersebut, penyerang dapat fokus pada
serangan yang sebenarnya.

19
 4 HONEYNETS

Honeynets berbeda dengan solusi honeypots yang telah dibahas sebelumnya.

Honeynet adalah tool untuk melakukan riset; adalah sebuah jaringan yang secara
spesifik dirancang untuk berkompromi dengan komunitas blackhat. Dalam satu kali
kompromi, honeynet dapat digunakan untuk mempelajari tools, taktik, dan motif dari
komunitas blackhat.

4.1 Perbedaan Honeypots dengan Honeynets

Berikut adalah dua perbedaan besar dari honeypots dengan honeynet.

o Honeynet bukan suatu sistem yang berdiri sendiri tapi sebuah jaringan.
Jaringan ini diletakkan di belakang firewall diman seluruh data masuk dan
keluar ditahan, ditangkap, dan dikontrol. Informasi yang tertangkap kemudian
dianalisis untuk menambah kecerdasan dalam mempelajari musuh. Dalam
sistem honeynet ini dapat ditempatkan berbagai tipe sistem yang digunakan
sebagai honeypot, seperti Solaris, Linux, Windows NT, Cisco Switch, dan
lain-lainnya. Hal ini akan menjadi suatu jaringan informasi yang lebih realistik
bagi para penyerang.

Gambar 8 Honeynets

o Seluruh sistem yang ditempatkan dalam honeynet adalah sistem produktif

standar yang merupakan sistem dan aplikasi yang nyata seperti yang biasa kita
dapatkan di internet. Tidak ada yang diemulasikan untuk menciptakan suatu
sistem yang tidak aman. Kita dapat mempelajari hal-hal yang luar biasa
dengan menggunakan sistem seperti ini. Resiko dan celah keamanan akan
dapat ditemukan pada honeynet seperti yang banyak terjadi pada sistem di
berbagai organisasi saat ini. Honeynet dapat dibuat dinamis dan fleksibel

20
 seperti organisasi yang sesungguhnya. Penggunaan sistem produktif pada
honeynet mambuatnya menjadi unik. Tidak ada yang diemulasikan sehingga
dapat dibuat sama persis dengan sistem dan aplikasi yang ada pada suatu
organisasi.

4.2 Honeynets bukan Sistem Entrapment

Beberapa kalangan mempertanyakan apakah teknik ini merupakan sebuah perangkap.

Sistem dengan tujuan yang dimaksudkan untuk berkompromi dapat dipertimbangkan
sebagai suatu usaha untuk menjebak komunitas blackhat. Bagaimanapun honeynet
bukan bentuk dari sebuah perngakap karena beberapa alasan berikut ini.

9 Maksud dari honeynet adalah tidak untuk menangkap orang jahat tapi hanya
untuk mempelajari mereka. Aktifitas yang terjadi dalam honeynet diambil dan
dianalisis dan tidak digunakan untuk menuntut. Pada saat tertentu seorang
petugas hukum akan diberi informasi tentang temuan data pada honeynet.
Informasi ini tidak akan digunakan untuk menuntut seseorang.

9 Sistem yang ada pada honeynet tidak berbeda dengan lingkungan sistem
produktif yang lain. Perbedaannya hanya pada perlakuan terhadap data yang
terdapat pada honeynet, yaitu untuk dipelajari lebih lanjut. Jika honeynet
dianggap sebagai suatu perangkap, maka begitu juga dengan banyak sistem
produktif yang dapt ditemukan di internet.

9 Honeynet project tidak melakukan apapun untuk menarik perhatian komunitas

blackhat ke mesin-mesinnya. Blackhat secara aktif akan menemukan dan
berkompromi dengan sistem-sistem ini atas inisiatif mereka sendiri.

4.3 Hasil dari Honeynet Project

Selama beberapa tahun terakhir project honeynet telah mengidentifikasi tools, taktik,
dan motif yang didapat dari komunitas blackhat dan menggunakan informasi tersebut
untuk membuat suatu metodologi umum.

4.3.1 Tantangan

Tantangan yang dihadapi adalah apa yang sudah umum diketahui sebagai metodologi
script kiddie. Metodologi ini merepresentasikan seseorang yang mencari path yang
mudah ditembus. Motif dari setiap orang mungkin berbeda tapi tujuannya sama: untuk
mendapatkan kontrol semudah mungkin dan biasanya pada sebanyak mungkin sistem.
Seorang penyerang melakukan ini dengan fokus pada sejumlah kecil tempat untun
mengeksploitasi dan kemudian mencari di internet untuk kelemahan dari sistem yang
ada sehingga cepat atau lambat akan segera ditemukan targetnya.

21
 4.3.2 Taktik

Selama beberapa tahun terakhir, honeynet project telah secara konsisten melihat taktik yang
sama yang digunakan untuk menyerang honeynet. Walaupun taktik ini tidak dipergunakan
oleh seluruh komunitas blackhat, ini adalah salahsatu yang paling umum digunakan. Taktik
yang teridentifikasi adalah sangat sederhana. Sejumlah blackhat secara acak melakukan
scanning di internet untuk kelemahan yang spesifik. Ketika itu telah ditemukan, merkea akan
mengeksploitasinya. Mereka akan fokus pada kelemahan dari sistem tersebut, mungkin satu-
satunya yang mereka ketahui.Kadang-kadang mereka menggunakan tools untuk melakukan
scanning besar-besaran pada jutaan sistem sampai mereka menemukan target potensial.
Kebanyakandari tools yang digunakan sangat sederhana dan mudah digunakan secara
otomatis dengan sedikit interaksi. Sekali tools tersebut dijalankan, mereka akan
kembali beberapa hari kemudian untuk mendapatkan hasilnya. Komunitas blackhat
bahkan menyebut jenis tools ini autorooter.

4.3.3 Tools

Tools yang digunakan sangat kompleks untuk dikembangkan tetapi sangat mudah
untuk dipergunakan. Kebanyakan dari tools tersebut terbatas untuk satu tujuan
tertentu dengan bebeapa pilihan karena fungsi yang terbatas akan mempercepat
pengembangan dan penggunaan.

Salahsatu tools tersebut adalah untuk membangun IP database. Tools ini bekerja
secara acak seperti pada saat melakukan scanning di internet. Sebagai contoh, banyak
tools yang memiliki pilihan: A, B, atau C. Huruf yang dipilih akan menentukan
ukuran jaringan yang akan di-scan. Tools ini kemudian secara acak akan memilih
jaringan IP untuk di-scan.

4.3.4 Motif

Motif dari penyerang bervariasi secara acak pada sistem yang akan diserang. Setiap
kali salahsatu honeypot berkompromi, dapat dipelajari tools dan taktik yang
digunakan, juga dipelajari kenapa honeypot tersebut diserang. Informasi ini seringkali
menjadi informasi yang menarik dan sangat membantu.

Salahsatu motif serangan adalah denial-of-service. Saat ini serangan denial-of-service

jenis baru telah dilaporkan: DdoS (distributed denial-of-service). Jenis serangan ini
akan memungkin seorang user mengontrol ratusan sistem yang berkompromi si
seluruh dunia. Sistem-sistem yang berkompromi ini kemudian akan dikordinasikan
untuk mengeksekusi serangan denial-of-service kepada lebih banyak lagi korban.

22
 5 BEBERAPA HONEYPOTS YANG TERSEDIA

Ada sejumlah honeypots yang tersedia, baik yang gratis maupun yang komersil di
pasaran saat ini. Fungsionalitas dibedakan dari kemudahan penggunaannya.

5.1 ManTrap

ManTrap adalah produk honeypots komersil dari Recourse Technologies, di

California, USA. Software ini bekerja pada sistem operasi Solaris 2.x, 7, dan 8.
Konsep utama dari ManTrap adalah cages. Cage adalah salinan dari sistem operasi
host yang dihubungkan dengan network interface card. Dalam sebuah mesin,
ManTrap dapat men-support sampai dengan empat buah interface card. Setiap sistem
operasi berjalan dalam suatu cage untuk menyediakan sistem yang nyata. ManTrap
berjalan dalam sebuah sistem. Karena setiap sistem operasi dibatasi untuk setiap
network card dan mempunyai IP address yang unik, dia akan disajikan pada jaringan
sebagai empat sistem yang berbeda, seperti pada honeynets.

5.2 Specter

Specter adalah jenis honeypots komersil dari NeoWorx. Specter mensimulasikan

suatu mesin yang lengkap dan mengijinkan penyerang untuk berinteraksi dengan
mesin seperti pada sistem produksi yang sebenarnya. Specter mensimulasikan
layanan-layanan seperti HTTP, SMTP, dan FTP memberikan respon pada calon
hacker dimana pada saat yang sama menelusuri dan mencatat setiap pergerakan yang
dilakukan. Log dari specter disimpan secara lokal dan pada saat tidak ada lagi
interaksi pada sistem operasi, yang sebenarnya adalah software specter, log tersebut
akan tetap tersimpan seperti saat sistem operasi tidak berkompromi.

Specter juga dapat melakukan track down tempat berasalnya sebuah serangan pada
saat serangan terjadi dengan menggunakan fasilitas WHOIS dan traceroutes. Network
interface pada specter dibuat pada mode yang dapat dipilih, sehingga data yang masuk
ke dalam sistem akan didapatkan dengan benar. Specter dapat mengemulasikan
banyak variasi dari sistem operasi seperti Window 9x, Windows NT, Windows 2000,
Linux, Solaris, dan jenis lainnya dari Unix. Specter software berjalan pada Windows
NT, dan Windows 2000.

Sistem Specter versi 7 dapat mensimulasikan satu dari sembilan sistem operasi yang
berbeda, termasuk Windows NT, Windows 95/98, MacOS, Linux, SunOS/Solaris,
Digitasl Unix, NeXTStep, Irix, dan Unisys Unix. Sistem ini juga dapat
mensimulasikan lima layanan jaringan yang berbeda dan tujuh trap. Kebutuhan
sistem untuk dapat menjalankan specter versi 7 ini adalah:

Minimum:

• Pentium III 800 MHz processor

• 256 MB of RAM
• Windows 2000 SP2 or Windows XP SP1

23
 • Display resolution of 1024x768

Rekomendasi:

• Pentium 4 1700 MHz processor or better

• 512 MB of RAM or more
• Windows 2000 SP2 or Windows XP SP1
• Display resolution of 1024x768

Specter tampil dengan sebuah GUI (graphical user interface) yang disebut dengan
Specter Control yang digunakan untuk melakukan konfigurasi dan juga untuk
mengecek status dari sistem saat itu. Specter dapat dikonfigurasi dari jarak
jauhdengan menggunakan workstation yang berjalan pada platform Windows
98/ME/NT/2000/XP.

Gambar 9 Tampilan dari Specter Control (Specter)

24
 Gambar 10 Tampilan dari Log Analyzer (Specter)

5.3 Deception Toolkit

Deception Toolkig (DTK) adalah satu set freeware tools yang memungkinkan
seseorang untuk membuat honeypots sendiri pada sistem Linux. Cara kerja DTK
adalah membuat suatu tampilan dengan sistem yang sangat mudah diserang dan
menyediakan respon-respon yang dikenal untuk membuatnya menjadi seakan-akan
mereka menyerang sistem yang sebenarnya.

5.4 Home Grown Honeypots

Tipe honeypots ini dibuat menggunakan standar hardware dan software. Konfigurasi
khusus diperlukan untuk mengimplementasikan remote logging dan keystroke
capturing. Contoh dari Home Grown Honeypots adalah sebuah PC pada sistem
operasi RedHat Linux dengan Apache dan Sendmail terinstalasi pada konfigurasi
standar. Seluruh logging pada sistem dapat dikirimkan dari jarak jauh ke syslog server
dan shell akan dimodifikasi untuk menangkap semua keystroke.

25
 5.5 Perbandingan dari Beberapa Honeypots

Berikut ini adalah perbandingan dari beberapa faktor penting pada produk honeypots yang
ada di pasaran.

Gambar 11 Tabel Perbandingan Produk Honeypots

Pada setiap produk honeypots yang tersedia terdapat perbedaan dari kekuatan masing-
masing produk. Specter memberikan kemudahan pada proses instalasi dan bahkan
mudah digunakan dengan GUI yang bagus. Sayangnya karena tidak menggunakan
sistem operasi yang sebenarnya makan nilainya tidak terlalu tinggi. ManTrap, DTK
dan honeypots yang dibangun sendiri memiliki kemudahan untuk mengkustomisasi
sendiri. Nilainya akan menjadi tinggi setinggi resikonya.

26
 Daftar Pustaka

Retto Baumann, Christian Plattner, Honeypots, Diploma Thesis in Computer Science,

February 2002

Security Focus: Honeypots, http://www.securityfocus.com

Honeypots: Tracking Hackers, http://www.tracking-hackers.com

R. Baumann, Honeypot: An instrument for attracting and detecting attackers,

http://security.rbaumann.net, April 2002

Honeypots, http://www.honeypots.net

Honeynet Project, http://project.honeynet.org

Symantec Enterprise Security, http://www.symantec.com

Cyber Guard, http://www.cyberguard.com

27