Honeypot adalah sumber daya sistem informasi yang sengaja dibuat untuk terdeteksi oleh penyerang tanpa izin agar dapat mengumpulkan informasi mengenai serangan tersebut. Konsep honeypot pertama kali dijelaskan dalam buku The Cuckoo's Egg pada tahun 1990 dan makalah pertama mengenai honeypot diterbitkan pada tahun yang sama.
Sim, risky yoni septiana, prof. dr. ir. hapzi ali, m.m, cma, keamanan sistem ...
Honeypot
1. HONEYPOT
Konsep serupa honeypot (sebelumnya belum diberi istilah seperti itu) dipercaya sudah cukup lama ada, walaupun
tidak ada literatur yang membahasnya sebelum tahun 1990. Tahun 1990 Clifford Stoll menerbitkan buku The
Cuckoo’s Egg, yang lebih mirip cerita detektif. Penerbitnya Pocket Books, yang lebih dikenal dengan novel. Inilah
penerbitan pertama yang menguraikan konsephoneypot. Buku ini menceritakan kejadian sesungguhnya selama
periode sepuluh bulan di tahun 1986-1987. Stoll adalah astronom pada Lawrence Berkeley Lab yang menjadi admin
berbagai komputer untuk komunitas astronom. Selisih akuntansi senilai 75 sen membuatnya menyadari akan
adanya hacker bernama ‘Hunter,’ yang telah menyusup ke dalam sistem.
Bukannya menutup account penyusup ini, Stoll malah membiarkannya berada dalam sistem, agar dapat
mempelajarinya lebih jauh dan memburunya. Tanpa disadari penyerang, Stoll menyiapkan direktori SDINET
(Strategic Defence Initiave Network) dan mengisinya dengan file-file yang pura-pura berisi berbagai file keuangan
dan rahasia negara. Hacker ini ternyata tidak tertarik pada file-file keuangan. Makalah teknis pertama
mengenai honeypot terbit pada tahun 1990 itu juga, tulisan Bill Cheswick berjudul ‘An Eve-ning with Berfeld in
Which a Cracker Is Lured, Endured and Studied’ . Berbeda dengan yang pertama, Cheswick memang menyiapkan
suatu sistem yang memang untuk diserang, menjadikannya kasus pertama dari honeypot yang sesungguhnya. Pada
makalah ini Cheswick bukan saja membahas cara membangun dan menggunakan honeypot, melainkan juga
menceritakan bagaimana seorang hacker Belanda dipelajari sewaktu dia menyerang dan menguasai sistem.
Cheswick pertamatama membangun suatu sistem dengan beberapa kelemahan (termasuk Sendmail) untuk
mendapatkan ancaman apa saja yang ada dan bagaimana cara kerjanya. Tujuannya bukanlah untuk menangkap
orang tertentu, melainkan untuk mempelajari kegiatan membahayakan apa saja yang bisa terjadi
terhadap network dan sistemnya. Cheswick menciptakan suatu lingkungan terkontrol yang disebutnya sebagai ‘jail’
(ia tidak menyebutnya sebagai honeypot), yang mengurung kegiatan sang penyerang. Hacker Belanda dengan
nickname Berfeld ini memasuki sistem dengan memanfaatkan kelemahan pada Sendmail sampai mendapatkan
kendali terhadap sistem. Secara umum,honeypot dapat didefinisikan sebagai sebua sumber daya sistem informasi
dimana nilai guna dari sumber daya tersebut justru berdasar kepada terdeteksinya kasus penggunaan yang tidak
terotorisasi atau tidak diperbolehkan secara hukum dari sumber daya tersebut. Atau dengan kata
lain, honeypot adalah sebuah sumber daya yang bersifat seakan-akan target yang sebenarnya, yang dengan sengaja
disediakan untuk diserang atau diambil alih. Oleh karena itu, honeypot akan diamati, diserang bahkan dieksploitasi
oleh penyerang atau penyusup. Tujuan utama dari honeypot ini adalah untuk mengumpulkan informasi dari suatu
serangan dan penyerang yang melakukannya. Intruder atau penyerang merupakan istilah umum yang diberikan
untuk menggambarkan seseorang yang berusaha untuk masuk ke dalam sistem dalam arti berusaha menggunakan
sistem dimana mereka tidak memiliki autorisasi atau menggunakan sistem untuk maksud yang menyimpang di luar
hak-hak yang mereka miliki.
DEFINISI HONEYPOT
Ada beberapa definisi honeypot yang disampaikan oleh beberapa peneliti honeypot pada makalah
sistem kemanan yang mereka buat maupun dari halaman web. Menurut Lance Spitzner, seorang
2. arsitek sistem keamanan Sun Microsystems, ”A honeypot is security resource whose value lies
in being probed, attacked, or compromised.” Definisi ini menjadi acuan beberapa makalah
lainnya. Dari definisi itu dapat diambil kesimpulan bahwa honeypot baru dikatakan suatu sistem
keamanan jika honeypot tersebut disusupi, diserang, atau dikendalikan oleh penyerang. Ada juga
seorang insinyur berkebangsaan Swiss bernama Reto Baumann menyikapi interpretasi yang
diberikan oleh Lance Spitzner. Menurut Baumann melalui tugas akhir diplomanya, ” A honeypot
is a resource which pretends to be a real target. A honeypot is expected to be attacked or
compromised. The main goals are the distraction of an attacker and the gain of information
about an attack and the attacker.” Jadi, menurut Baumann, honeypotadalah sebuah sumberdaya
sistem keamanan yang dibuat sebagai tujuan utama penyerang yang sebenarnya merupakan
sistem yang palsu untuk menjebak penyerang. Sistem honeypot biasanya hanya sebuah sistem
yang dihubungkan dengan jaringan produktif, atau sistem yang asli, yang ada dengan tujuan
untuk menjebak penyerang. Gambar berikut memperlihatkan sebuah sistem fisik honeypots
tunggal yang diletakkan pada jaringan internal. Sistem tersebut kemudian dapat mengemulasikan
berbagai variasi sistem atau lubang-lubang dari sistem yang mudah untuk diserang.
TIPE HONEYPOT
Honeypot dibagi menjadi dua tipe dasar, yaitu production honeypot dan research honeypot.
Tujuan utama dari production honeypot adalah untuk membantu mengurangi resiko keamanan
jaringan pada sebuah organisasi. Production honeypotmemberikan suatu nilai tambah bagi
keamanan jaringan dari suatu organisasi. Tipe kedua, research honeypot, adalah honeypotyang
didesain untuk mendapatkan informasi mengenai aktivitas-aktivitas dari komunitas penyerang
atau penyusup. Research honeypot tidak memberikan suatu nilai tambah secara langsung kepada
suatu organisasi, melainkan digunakan sebagai alat untuk meneliti ancaman-ancaman keamanan
yang mungkin dihadapi dan bagaimana cara untuk melindungi diri dari ancaman tersebut.
3. KLASIFIKASI HONEYPOT
Honeypot dapat diklasifikasikan berdasarkan pada tingkat interaksi yang dimilikinya. Tingkat
interaksi dapat didefinisikan sebagai tingkat aktivitas penyerang/ intruder di dalam sistem yang
diperbolehkan maka semakin tinggi pula tingkat interaksi honeypot.
LOW INTERACTION HONEYPOT
Low-interaction honeypot merupakan honeypot dengan tingkat interaksi honeypot,
yaitu honeypot yang didesain untuk mengemulasikan service (layanan) seperti pada server yang
asli. Penyerang hanya mampu memeriksa dan terkoneksi ke satu atau beberapa port.
Kelebihan low-interaction honeypot yaitu:
a. Mudah di install, dikonfigurasi, deployed, dan dimaintain
b. Mampu mengemulasi suatu layanan seperti http, ftp, telnet, dsb.
c. Difungsikan untuk deteksi serangan, khususnya pada proses scanning atau percobaan
pembukaan koneksi pada suatu layanan. Kekurangan low-interaction honeypot :
a. Layanan yang di berikan hanya berupa emulasi, sehingga penyerang tidak dapat berinteraksi
secara penuh dengan layanan yang diberikan atau sistem operasinya secara langsung
b. Informasi yang bisa kita dapatkan dari penyerang sangat minim.
c. Apabila serangan dilakukan oleh "real person" bukan "automated tools" mungkin akan segera
menyadari bahwa yang sedang dihadapi merupakan mesin honeypot, karena keterbatasan
layanan yang bisa diakses.
MEDIUM INTERACTION HONEYPOT
Kelebihannya Medium Interaction Honeypot:
a. Memiliki kemampuan yang lebih banyak untuk berinteraksi dengan penyerang
dibandingkan low-interaction honeypot namun tidak sebanyak high-interaction honeypot.
b. Emulasi layanan dapat ditambahkan berbagai macam fitur tambahan sehingga seakanakan
penyerang benar-benar sedang berinteraksi dengan layanan yang sebenarnya.
c. Contoh: script untuk mengemulasikan IIS web server dengan berbagai macam informasi
tambahan yang menyertai web servertersebut sehingga benar-benar terlihat seperti aslinya, atau
pun juga membuat emulasi IIS yang dapat berinteraksi dengan suatu jenis worm, sehingga kita
bisa mendapatkan payload dari worm tersebut untuk dianalisis selanjutnya.
4. d. Contoh: menggunakan jail atau chroot, yaitu membangun sistem operasi virtual pada partisi
yang terpisah didalam sistem operasi yang sebenarnya dimana sistem operasi virtual tersebut
sepenuhnya di kontrol oleh sistem operasi yang sebenarnya, cara ini dapat memberikan suasana
sistem operasi yang
sesungguhnya bagi penyerang. Kekurangan Medium Interaction Honeypot :
a. Sistem tersebut cukup kompleks.
b. Memerlukan usaha lebih untuk maintain dan deploy sistem tersebut sehingga akses yang
diberikan kepada penyerang benar-benar terjamin tingkat keamanannya namun tetap dapat
memberikan suasana sistem yang nyata bagi penyerang sehingga penyerang tersebut tidak curiga
bahwa aktivitasnya sedang di monitor.
HIGH INTERACTION HONEYPOT
Pada high-interaction honeypot terdapat sistem operasi dimana penyerang dapat berinteraksi
langsung dan tidak ada batasan yang membatasi interaksi tersebut. Menghilangkan batasan-
batasan tersebut menyebabkan tingkat risiko yang dihadapi semakin tinggi karena penyerang
dapat memiliki akses root. Pada saat yang sama, kemungkinan pengumpulan informasi semakin
meningkat dikarenakan kemungkinan serangan yang tinggi. Dikarenakan penyerang dapat
berinteraksi secara penuh dengan sistem operasi, maka apabila si penyerang telah mendapat akses root.
Kelebihannya :
a. Penyerang berinteraksi langsung dengan sistem yang nyata termasuk diantaranya sistem
operasi, network, hingga layanan yang diberikan ( web service, ssh service, mail service, dll )
b. Umumnya dibangun suatu sistem khusus dengan topologi yang telah dipersiapkan.
c. Sistem tersebut biasanya terdiri dari berbagai macam implementasi dari teknologi keamanan
yang banyak digunakan untuk melindungi suatu sistem, seperti firewall,
IDS/IPS, router, dll.
d. Target serangan berupa sistem operasi sebenarnya yang siap untuk berinteraksi secara
langsung dengan penyerang.
Kekurangannya :
a. Perencanaan dan implementasi sistem jauh lebih rumit dan dibutuhkan banyak pertimbangan.
b. High-interaction honeypot bersifat tidak efisien karena membutuhkan pengawasan berkala.
5. c. Apabila telah diambil alih oleh penyerang maka honeypot tersebut dapat menjadi ancaman
bagi jaringan yang ada.
SEJARAH WIRELESS HONEYPOT
Kemajuan teknologi honeypot mulai terlihat ketika Kevin Poulsen pada tahun 2002
mempublikasikan penelitiannya, Wi-Fi Honeypots a New Hacker Trap , penelitian Poulsen ini
dianggap beberapa pihak sebagai teknologi wireless honeypot yang pertama. Suatu tim peneliti,
WISE ( Wireless Information Security Experiment ) pada tahun 2002 didirikan oleh SAIC
( Science Applications International Corporation ) di Washington DC, Amerika Serikat. Tim
peneliti ini meneliti celah keamanan jaringanwireless pada waktu itu, tim tersebut mendapati
bahwa kebanyakan jaringan wireless pada saat itu sangat mudah untuk disusupi dan sangat
terbuka. Jenis ancaman yang ditemukan adalah akses yang tidak terotorisasi, penggunaan
jaringan wireless yang ilegal, mendengarkan proses komunikasi pada wireless secara ilegal
( eavesdropping ). Ancaman kemanan tersebut merupakan ancaman keamanan yang paling
utama dan paling sering terjadi saat ini. Pada akhir 2002, sebuah organisasi bernama Tenebris
mempublikasikan hasil penelitian mereka, yaitu pengumpulan data dari wireless honeypot yang mereka
implementasikan di Ottawa ( Canada ) dan menyimpulkan bahwa sangat banyak terjadi aktivitas war driving saat itu
dan apa saja yang sering menjadi target serangan para penyerang di jaringan wireless. Selanjutnya, Tenebris
melanjutkan riset mereka di sekitar kota London lalu menuju Adelaide, South Australia.
SKENARIO SERANGAN PADA JARINGAN WIRELESS
Dari beberapa penelitian sebelumnya, ada suatu bentuk pola skenario serangan yang umum
terjadi pada sistem keamanan wireless. Setidaknya ada tiga pola skenario
serangan, yaitu:
A. Serangan yang sebenarnya ditujukan ke jaringan kabel ( LAN ) dengan memakai
jaringan wireless sebagai media untuk menyusup ke LAN.
B. Serangan yang langsung ditujukan kepada pengguna jaringan wireless. Jenis serangan ini
menyerang perangkat wireless user.
C. Serangan yang ditujukan ke infrastruktur jaringan wireless secara keseluruhan. Jenis serangan
ini biasanya bertujuan mengambil alih akses penuh jaringan wireless.
6. ARSITEKTUR WIRELESS HONEYPOT
Secara umum arsitektur wireless honeypot yang akan diimplementasikan adalah sebagai berikut.
a. Wireless Access Point ( WAP ) sebagai media prasarana jaringan wireless.
b. Wireless Client ( WC ) merupakan pihak pengguna jaringan wireless ( user ).
c. Wireless Monitor ( WMON ) sebagai perangkat yang merekam trafik jaringan.
d. Wireless Data Analysis ( WDA ) berfungsi menganalisis trafik dari WMON
e. Wired Instructure ( WI ) merupakan infrastruktur LAN.