Honeypot, Know Your Enemy

Oke oke saya akui Honeypot memang bukan sesuatu yang baru di dunia Network Security, namun bolehlah saya nulis daripada ga ada update sama sekali hehehe… lucunya dari 100 persen responden satpam jaringan yang saya tanyai hanya sedikit persen (bahasaku kacau) yang tau dan mengimplementasikan Honeypot didalam sistem jaringan, jangankan Honeypot, IDS (Intrusion Detection System) aja tidak semua Satpam mendeploy di jaringannya (kayaknya para satpam suka melototin log secara manual sambil makan, sambil update status, atau sambil sikat gigi hehehe). Disini saya akan coba bahas overview singkat tentang Honeypot

Apa itu Honeypot
Honeypot adalah suatu sistem yang akan menarik perhatian penyerang ataupun malware untuk melakukan serangan. Di sisi penyerang/malware honeypot akan terlihat seperti sistem jaringan biasa lengkap dengan Sistem Operasi dan service-service yang berjalan didalamnya, sehingga diharapkan penyerang/malware akan melakukan serangan atau menginfeksikan diri pada sistem Honeypot tersebut.
Bagi Satpam yang mengimplementasikan Honeypot serangan yang dilakukan pada sistem Honeypot akan menjadi masukkan untuk mempelajari pola serangan yang dilakukan karena memang inilah inti dari pengimplementasian Honeypot yaitu membiarkan penyerang/malware melakukan serangan terhadap sistem yang dibuat daripada mencegahnya dan selanjutnya mempelajari pola serangan yang dilakukan jadi selanjutnya bisa melakukan langkah preventif terhadap jaringan yang dilindungi.
Secara umum inti dari Honeypot adalah menciptakan sebuah sistem virtual dimana sistem ini merupakan fake environment yang akan melakukan penjebakan terhadap penyerang. Ketika penyerang melakukan tindakan ilegal maka Honeypot akan memberikan fake value terhadap penyerang sehingga penyerang merasa telah melakukan penetrasi sistem padahal yang dihadapi adalah fake environment yang dibentuk oleh Honeypot.

Macam-Macam Honeypot
Honeypot sendiri dibagi menjadi dua kategori yaitu Low Interaction Honeypot dan High Interaction Honeypot
High Interaction Honeypot adalah sistem yang mengoperasikan Sistem Operasi penuh sehingga penyerang akan melihatnya sebagai sebuah sistem operasi/host yang siap untuk dieksploitasi (dan memang seperti itu lah keadaannya) Inti dari High Interaction adalah sistem ini nantinya akan diserang oleh penyerang.
Yang perlu dipahami dari High Interaction Honeypot adalah sistem ini bukan sebuah software ataupun daemon yang siap diinstall pada komputer Host namun lebih kepada sebuah paradigma, sebuah arsitektur jaringan, dengan kata lain High Interaction Honeypot adalah sekumpulan komputer yang dirancang sedemikian rupa dalam sebuah jaringan agar “terlihat” dari sisi penyerang dan tentunya sekumpulan komputer ini akan terus dimonitor dengan berbagai tools networking. Komputer-komputer ini bisa dikatakan adalah komputer secara fisik (komputer yang benar-benar ada) atau komputer secara virtual (Virtual Operating System seperti VMware dan XEN)
Low Interaction Honeypot mensimulasikan sebuah sistem operasi dengan service-service tertentu (misalnya SSH,HTTP,FTP) atau dengan kata lain sistem yang bukan merupakan sistem operasi secara keseluruhan, service yang berjalan tidak bisa dieksploitasi untuk mendapatkan akses penuh terhadap honeypot. Low interaction akan melakukan analisa terhadap jaringan dan aktifitas worm.
Sayangnya perkembangan dari Honeypot (Honeyd — Low Interaction Honeypot) sendiri tidak terlalu cepat bahkan update terbaru terjadi pada tahun 2007

Kesimpulan (sementara) saya tentang Honeypot ini adalah bahwa sistem ini bukanlah sebuah sistem yang akan melakukan penjebakan terhadap penyerangan (walaupun sistem ini juga cukup capable) namun lebih kepada paradigma cara berpikir seorang Satpam terhadap keamanan jaringan komputer yang dikelolanya

Sementara itu dulu tentang Honeypot tulisan selanjutnya menyusul… udah waktunya masuk sekarang

Lebih lanjut tentang Honeypot :
www.honeypots.net
www.honeyd.org/
www.projecthoneypot.org/

picture is taken from http://voiphoney.sourceforge.net/img/honeypot.png