HONEYPOT

Konsep serupa honeypot (sebelumnya belum diberi istilah seperti itu) dipercaya sudah cukup lama ada, walaupun tidak ada literatur yang membahasnya sebelum tahun 1990. Tahun 1990 Cli ord !toll menerbitkan buku The Cuckoos Egg, yang lebih mirip cerita detekti . "enerbitnya "ocket #ooks, yang lebih dikenal dengan no$el. %nilah penerbitan pertama yang menguraikan konsephoneypot. #uku ini menceritakan ke&adian sesungguhnya selama periode sepuluh bulan di tahun 19'()19'*. !toll adalah astronom pada +awrence #erkeley +ab yang men&adi admin berbagai komputer untuk komunitas astronom. !elisih akuntansi senilai *, sen membuatnya menyadari akan adanya hacker bernama -.unter,/ yang telah menyusup ke dalam sistem.

#ukannya menutup account penyusup ini, !toll malah membiarkannya berada dalam sistem, agar dapat mempela&arinya lebih &auh dan memburunya. Tanpa disadari penyerang, !toll menyiapkan direktori !0%12T (!trategic 0e ence %nitia$e 1etwork) dan mengisinya dengan ile) ile yang pura)pura berisi berbagai ile keuangan dan rahasia negara. .acker ini ternyata tidak tertarik pada ile) ile keuangan. 3akalah teknis pertama mengenai honeypot terbit pada tahun 1990 itu &uga, tulisan #ill Cheswick ber&udul An Eve-ning with Berfeld in Which a Cracker Is ured! Endured and "tudied . #erbeda dengan yang pertama, Cheswick memang menyiapkan suatu sistem yang memang untuk diserang, men&adikannya kasus pertama dari honeypot yang sesungguhnya. "ada makalah ini Cheswick bukan sa&a membahas cara membangun dan menggunakan honeypot, melainkan &uga menceritakan bagaimana seorang hacker #elanda dipela&ari sewaktu dia menyerang dan menguasai sistem. Cheswick pertamatama membangun suatu sistem dengan beberapa kelemahan (termasuk !endmail) untuk mendapatkan ancaman apa sa&a yang ada dan bagaimana cara ker&anya. Tu&uannya bukanlah untuk menangkap orang tertentu, melainkan untuk mempela&ari kegiatan membahayakan apa sa&a yang bisa ter&adi terhadap network dan sistemnya. Cheswick menciptakan suatu lingkungan terkontrol yang disebutnya sebagai - #ail/ (ia tidak menyebutnya sebagai honeypot), yang mengurung kegiatan sang penyerang. .acker #elanda dengan nickname #er eld ini memasuki sistem dengan meman aatkan kelemahan pada !endmail sampai mendapatkan kendali terhadap sistem. !ecara umum,honeypot dapat dide inisikan sebagai sebua sumber daya sistem in ormasi dimana nilai guna dari sumber daya tersebut &ustru berdasar kepada terdeteksinya kasus penggunaan yang tidak terotorisasi atau tidak diperbolehkan secara hukum dari sumber daya tersebut. 4tau dengan kata lain, honeypot adalah sebuah sumber daya yang bersi at seakan)akan target yang sebenarnya, yang dengan senga&a disediakan untuk diserang atau diambil alih. 5leh karena itu, honeypot akan diamati, diserang bahkan dieksploitasi oleh penyerang atau penyusup. Tu&uan utama dari honeypot ini adalah untuk mengumpulkan in ormasi dari suatu serangan dan penyerang yang melakukannya. Intruder atau penyerang merupakan istilah umum yang diberikan untuk menggambarkan seseorang yang berusaha untuk masuk ke dalam sistem dalam arti berusaha menggunakan sistem dimana mereka tidak memiliki autorisasi atau menggunakan sistem untuk maksud yang menyimpang di luar hak)hak yang mereka miliki.

DEFINISI HONEYPOT 4da beberapa de inisi honeypot yang disampaikan oleh beberapa peneliti honeypot pada makalah sistem kemanan yang mereka buat maupun dari halaman web. 3enurut +ance !pit6ner, seorang

arsitek sistem keamanan !un 3icrosystems, $A honeypot is security resource whose value lies in %eing pro%ed! attacked! or co&pro&ised'$ 0e inisi ini men&adi acuan beberapa makalah lainnya. 0ari de inisi itu dapat diambil kesimpulan bahwa honeypot baru dikatakan suatu sistem keamanan &ika honeypot tersebut disusupi, diserang, atau dikendalikan oleh penyerang. 4da &uga seorang insinyur berkebangsaan !wiss bernama 7eto #aumann menyikapi interpretasi yang diberikan oleh +ance !pit6ner. 3enurut #aumann melalui tugas akhir diplomanya, $ A honeypot is a resource which pretends to %e a real target' A honeypot is e(pected to %e attacked or co&pro&ised' The &ain goals are the distraction of an attacker and the gain of infor&ation a%out an attack and the attacker'$ 8adi, menurut #aumann, honeypotadalah sebuah sumberdaya sistem keamanan yang dibuat sebagai tu&uan utama penyerang yang sebenarnya merupakan sistem yang palsu untuk men&ebak penyerang. !istem honeypot biasanya hanya sebuah sistem yang dihubungkan dengan &aringan produkti , atau sistem yang asli, yang ada dengan tu&uan untuk men&ebak penyerang. 9ambar berikut memperlihatkan sebuah sistem isik honeypots tunggal yang diletakkan pada &aringan internal. !istem tersebut kemudian dapat mengemulasikan berbagai $ariasi sistem atau lubang)lubang dari sistem yang mudah untuk diserang.

TIPE HONEYPOT )oneypot dibagi men&adi dua tipe dasar, yaitu production honeypot dan research honeypot. Tu&uan utama dari production honeypot adalah untuk membantu mengurangi resiko keamanan &aringan pada sebuah organisasi. *roduction honeypotmemberikan suatu nilai tambah bagi keamanan &aringan dari suatu organisasi. Tipe kedua, research honeypot! adalah honeypotyang didesain untuk mendapatkan in ormasi mengenai akti$itas)akti$itas dari komunitas penyerang atau penyusup. +esearch honeypot tidak memberikan suatu nilai tambah secara langsung kepada suatu organisasi, melainkan digunakan sebagai alat untuk meneliti ancaman)ancaman keamanan yang mungkin dihadapi dan bagaimana cara untuk melindungi diri dari ancaman tersebut.

KLASIFIKASI HONEYPOT )oneypot dapat diklasi ikasikan berdasarkan pada tingkat interaksi yang dimilikinya. Tingkat interaksi dapat dide inisikan sebagai tingkat akti$itas penyerang: intruder di dalam sistem yang diperbolehkan maka semakin tinggi pula tingkat interaksi honeypot. LOW INTERACTION HONEYPOT ow)interaction honeypot merupakan honeypot dengan tingkat interaksi honeypot, yaitu honeypot yang didesain untuk mengemulasikan service (layanan) seperti pada server yang asli. "enyerang hanya mampu memeriksa dan terkoneksi ke satu atau beberapa port. Kelebihan low-interaction honeypot yaitu; a. 3udah di install, dikon igurasi, deployed, dan dimaintain b. 3ampu mengemulasi suatu layanan seperti http, ftp, telnet, dsb. c. 0i ungsikan untuk deteksi serangan, khususnya pada proses scanning atau percobaan

pembukaan koneksi pada suatu layanan. Kekurangan low-interaction honeypot ; a. +ayanan yang di berikan hanya berupa emulasi, sehingga penyerang tidak dapat berinteraksi secara penuh dengan layanan yang diberikan atau sistem operasinya secara langsung b. %n ormasi yang bisa kita dapatkan dari penyerang sangat minim. c. 4pabila serangan dilakukan oleh <real person< bukan <auto&ated tools< mungkin akan segera menyadari bahwa yang sedang dihadapi merupakan mesin honeypot, karena keterbatasan layanan yang bisa diakses.

MEDIUM INTERACTION HONEYPOT

Kelebihannya 3edium %nteraction .oneypot; a. 3emiliki kemampuan yang lebih banyak untuk berinteraksi dengan penyerang dibandingkan low-interaction honeypot namun tidak sebanyak high-interaction honeypot. b. 2mulasi layanan dapat ditambahkan berbagai macam itur tambahan sehingga seakanakan penyerang benar)benar sedang berinteraksi dengan layanan yang sebenarnya. c. Contoh; script untuk mengemulasikan %%! we% server dengan berbagai macam in ormasi tambahan yang menyertai we% servertersebut sehingga benar)benar terlihat seperti aslinya, atau pun &uga membuat emulasi %%! yang dapat berinteraksi dengan suatu &enis wor&, sehingga kita bisa mendapatkan payload dari worm tersebut untuk dianalisis selan&utnya.

d. Contoh; menggunakan #ail atau chroot, yaitu membangun sistem operasi $irtual pada partisi yang terpisah didalam sistem operasi yang sebenarnya dimana sistem operasi virtual tersebut sepenuhnya di kontrol oleh sistem operasi yang sebenarnya, cara ini dapat memberikan suasana sistem operasi yang sesungguhnya bagi penyerang. Kekurangan 3edium %nteraction .oneypot ;

a. !istem tersebut cukup kompleks. b. 3emerlukan usaha lebih untuk &aintain dan deploy sistem tersebut sehingga akses yang diberikan kepada penyerang benar)benar ter&amin tingkat keamanannya namun tetap dapat memberikan suasana sistem yang nyata bagi penyerang sehingga penyerang tersebut tidak curiga bahwa akti$itasnya sedang di monitor. HIGH INTERACTION HONEYPOT "ada high-interaction honeypot terdapat sistem operasi dimana penyerang dapat berinteraksi langsung dan tidak ada batasan yang membatasi interaksi tersebut. 3enghilangkan batasan) batasan tersebut menyebabkan tingkat risiko yang dihadapi semakin tinggi karena penyerang dapat memiliki akses root. "ada saat yang sama, kemungkinan pengumpulan in ormasi semakin meningkat dikarenakan kemungkinan serangan yang tinggi. 0ikarenakan penyerang dapat berinteraksi secara penuh dengan sistem operasi, maka apabila si penyerang telah mendapat akses root. Kelebihannya ; a. "enyerang berinteraksi langsung dengan sistem yang nyata termasuk diantaranya sistem operasi, network, hingga layanan yang diberikan ( we% service, ssh service, &ail service, dll ) b. =mumnya dibangun suatu sistem khusus dengan topologi yang telah dipersiapkan. c. !istem tersebut biasanya terdiri dari berbagai macam implementasi dari teknologi keamanan yang banyak digunakan untuk melindungi suatu sistem, seperti firewall, %0!:%"!, router, dll. d. Target serangan berupa sistem operasi sebenarnya yang siap untuk berinteraksi secara langsung dengan penyerang. Kekurangannya ; a. "erencanaan dan implementasi sistem &auh lebih rumit dan dibutuhkan banyak pertimbangan. b. )igh-interaction honeypot bersi at tidak e isien karena membutuhkan pengawasan berkala.

c. 4pabila telah diambil alih oleh penyerang maka honeypot tersebut dapat men&adi ancaman bagi &aringan yang ada. SEJARAH WIRELESS HONEYPOT Kema&uan teknologi honeypot mulai terlihat ketika Ke$in "oulsen pada tahun >00> mempublikasikan penelitiannya, Wi-,i )oneypots a -ew )acker Trap , penelitian "oulsen ini dianggap beberapa pihak sebagai teknologi wireless honeypot yang pertama. !uatu tim peneliti, ?%!2 ( ?ireless %n ormation !ecurity 2@periment ) pada tahun >00> didirikan oleh !4%C ( !cience 4pplications %nternational Corporation ) di ?ashington 0C, 4merika !erikat. Tim peneliti ini meneliti celah keamanan &aringanwireless pada waktu itu, tim tersebut mendapati bahwa kebanyakan &aringan wireless pada saat itu sangat mudah untuk disusupi dan sangat terbuka. 8enis ancaman yang ditemukan adalah akses yang tidak terotorisasi, penggunaan &aringan wireless yang ilegal, mendengarkan proses komunikasi pada wireless secara ilegal ( eavesdropping ). 4ncaman kemanan tersebut merupakan ancaman keamanan yang paling utama dan paling sering ter&adi saat ini. "ada akhir >00>, sebuah organisasi bernama Tenebris
mempublikasikan hasil penelitian mereka, yaitu pengumpulan data dari wireless honeypot yang mereka implementasikan di 5ttawa ( Canada ) dan menyimpulkan bahwa sangat banyak ter&adi akti$itas war driving saat itu dan apa sa&a yang sering men&adi target serangan para penyerang di &aringan wireless. !elan&utnya, Tenebris melan&utkan riset mereka di sekitar kota +ondon lalu menu&u 4delaide, !outh 4ustralia.

SKENARIO SERANGAN PADA JARINGAN WIRELESS 0ari beberapa penelitian sebelumnya, ada suatu bentuk pola skenario serangan yang umum ter&adi pada sistem keamanan wireless. !etidaknya ada tiga pola skenario serangan, yaitu; 4. !erangan yang sebenarnya ditu&ukan ke &aringan kabel ( +41 ) dengan memakai &aringan wireless sebagai media untuk menyusup ke +41. #. !erangan yang langsung ditu&ukan kepada pengguna &aringan wireless. 8enis serangan ini menyerang perangkat wireless user. C. !erangan yang ditu&ukan ke in rastruktur &aringan wireless secara keseluruhan. 8enis serangan ini biasanya bertu&uan mengambil alih akses penuh &aringan wireless.

ARSITEKTUR WIRELESS HONEYPOT !ecara umum arsitektur wireless honeypot yang akan diimplementasikan adalah sebagai berikut. a. ?ireless 4ccess "oint ( ?4" ) sebagai media prasarana &aringan wireless. b. ?ireless Client ( ?C ) merupakan pihak pengguna &aringan wireless ( user ). c. ?ireless 3onitor ( ?351 ) sebagai perangkat yang merekam tra ik &aringan. d. ?ireless 0ata 4nalysis ( ?04 ) ber ungsi menganalisis tra ik dari ?351 e. ?ired %nstructure ( ?% ) merupakan in rastruktur +41.