honeypot keamanan jaringan komputer

5/24/2018 Honeypot Keamanan Jaringan Komputer

1/29

Honeypot

Universitas Budi Luhur JakartaMay 31, 2014

Menganalisis perilaku Malware berbasis Web melalui klien Honeypots


2/29

2

Presentation to Universitas Budi Luhur | Mkom XK

ABDUL ROJAK1311600058

ARRY PATRIA SURYA101160082

MOHAMMAD ICHLAS1311600215

Keamanan Sistem dan Jaringan Komputer

HAFIZAR1211600505


3/29

3


3 Apa itu Honeypot ?


4/29

4


Definisi

Honeypotadalah security resourceyang sengaja dibuat untuk

diselidiki, diserang, atau

dikompromikan. Pada

umumnya Honeypot berupa

komputer, data, atau situs

jaringan yang terlihat sepertibagian dari jaringan, tapi

sebenarnya terisolasi dan

dimonitor. Jika dilihat dari

kacamata hacker yang akan

menyerang, Honeypot

terlihat seperti layaknyasystem yang patut untuk

diserang.


5/29

5


Honeypot

Pada umumnya Honeypot berupa komputer, data, atau situs

jaringan yang terlihat seperti bagian dari jaringan, tapi sebenarnyaterisolasi dan dimonitor. Jika dilihat dari kacamata hacker yang

akan menyerang, Honeypot terlihat seperti layaknya system yang

patut untuk diserang.

Honeypot didesain dengan harapan bahwa ia akan diperiksa,

diserang , dan dieksploitasi. Tidak peduli apa resource-nya (apakahrouter, script, penjara, atau system production yang sebenarnya).

Apa yang menjadi perhatian adalah nilai dari resource yang

tersimpan pada sistem ketika diserang. Jika system tidak diserang,

maka ia hanya memiliki sedikit nilai atau bahkan tidak memiliki nilai

sedikitpun. Ini merupakan kebalikan dari kebanyakan systemproduction dimana ia tidak boleh diperiksa atau diserang.


6/29

6


Honeypot


7/29

7


7 Ada 2 Jenis Honeypot ?


8/29

8


Jenis Honeypot

Research Honeypot

adalah honeypot yang didesain untuk

mendapatkan informasi mengenai

aktivitas aktivitas dari komunitas

penyerang atau penyusup. Research

honeypot tidak memberikan suatu nilai

tambah secara langsung kepada suatu

organisasi, melainkan digunakan

sebagai alat untuk meneliti ancaman -

ancaman keamanan yang mungkin

dihadapi dan bagaimana cara untuk

melindungi diri dari ancaman tersebut.

seperti siapakah yang melakukan

penyerangan, bagaimana merekamengorganisasikan diri mereka, tool apa

yang mereka gunakan untuk menyerang

system, dan dimana mereka

mendapatkan tools tersebut.

Production Honeypot

adalah untuk membantu mengurangi

resiko keamanan jaringan pada sebuah

organisasi. Production honeypot

memberikan suatu nilai tambah bagi

keamanan jaringan dari suatu

organisasi atau untuk law enforcement

(pelaksana hukum) dari teknologi

honeypot. Tanggung jawabnya adalah

untuk berhadapan dengan orang jahat.

Organisasi komersial sering

menggunakan production honeypot

untuk mengurangi resiko serangan.

Production honeypot biasanya lebihmudah dibangun dan dideploy daripada

research honeypot karena

membutuhkan fungsionalitas yang lebih

sedikit.


9/29

9


Kesimpulan Jenis Honeypot

Jika production honeypot

bertindak seperti pelaksana

hukum, maka research

honeypot bertindak sebagai

counterintelligence yangmengumpulkan informasi

orang jahat.

Maka Berhati-hatilah dengan Si Honeypot


10/29

10


Kegunaan Honeypot

1. Oleh administrator jaringan, untuk mempelajari bagaimana

penyerang masuk ke jaringan komputer, dengan memantau

metode penyerang dan eksploitasi ketika mereka

membahayakan sistem Honeypot.

2. Untuk mengumpulkan kode berbahaya dikenal dan tidak

dikenal untuk analisis oleh para profesional keamanan danperusahaan untuk merilis patch atau mempelajari metode

serangan baru yang digunakan.

3. Sebagai sasaran empuk bagi para penyerang untuk

berkompromi. Oleh karena itu, akan menarik perhatian

penyerang sekaligus menjaga mata mereka jauh dari serverjaringan, yang merupakan target sulit, sedangkan

administrator jaringan diberitahu tentang serangan dan

mampu mempertahankannya.


11/29

11


Adapun penggunaan dari honeypot untukbeberapa kelompok / organisasi yaitu :

Organisasi Penggunaan

PerusahaanMelakukan pendeteksian /

pencegahan penyusupan

Militer

Menerapkannya dalam

perangteknologi/cyberwarfare

Universitas Melakukan riset

Lembaga Penelitian Melakukan riset

Dinas Intelijen Melakukan counter intelijen

Penegak HukumMemperoleh aktivitas

criminal


12/29

12


Menurut Internet Security Threat laporan 2011 olehSymantec [138], menunjukkan jumlah kerentanan

Tahun Jumlah total kerentanan

2008 5,562

2009 4,814

2010 6,253

2011 4,989

Total Serangan 4 Tahun 21,618


13/29

13


13Pada umumnya ada 2 serangan BerbasisWeb ?


14/29

14


Serangan berbasis WEB

Serangan dari sisi client

Berikut penyerang mengancamaplikasi klien dalam lingkunganpengguna. Contoh aplikasi clientadalah: browser web, pemutarmedia (WinZip atau RealPlayer) danMicrosoft office.

Penyerang lebih suka seranganclient-side dalam beberapa tahunterakhir karena serangan server-side telah dibuat sulit olehpeningkatan berbagai langkah-langkah keamanan, seperti Firewall

dan IDS. Oleh karena itu,penyerang (blackhats) tertarik padaserangan client-side karenakurangnya langkah-langkahkeamanan.

Serangan dari sisi server

Server menyediakan beberapalayanan, seperti server ApacheHTTP, yang berisi kerentanan yangmenyebabkan serangan padalayanan tersebut, termasukkemungkinan pengambilalihan

seluruh server. OWASP laporan[139] menyediakan 10 serangankeamanan web, 8 dari 10 seranganatas adalah serangan serverseperti injeksi SQL di mana iadikompromikan database SQL

untuk mengakses data yang tidaksah.


15/29

15


Keuntungan Menggunakan Honeypot

Mengumpulkan dan penebangan bernilai tinggi data untuk tim keamanan danpemilik jaringan karena mereka mengungkapkan lalu lintas dari penyerang.

Beberapa positif palsu dan negatif palsu dibandingkan dengan firewall atauIntrusion Detection System (IDS)

nilai tinggi dari data untuk menghindari upaya yang diperlukan untukmenganalisis file log dari keamanan lainnya techniques.

Dan disisi lain, kelemahan menggunakan Honeypots adalah:

Risiko mengorbankan sistem, yang menyebabkan serangan terhadap sistem lainpada jaringan atau di luar itu. The Honeypot adalah sasaran empuk bagi parapenyerang dan karena itu mereka dapat fokus pada mengorbankan sistem danini akan mengakibatkan serangan baru ke jaringan dan internet.

Kebutuhan orang yang sangat terampil dan banyak waktu untuk mengoperasikandan menganalisis pekerjaan data.Our beroperasi tanpa menggunakan orang-orang yang sangat terampil dan mampu menganalisis data yang dikumpulkandari Honeypot secara otomatis dengan menggunakan model tiga kami, mesinnegara, clustering dan prediksi.

Pendekatan Honeypot mencakup dua jenis utama: Honeypots pasif dan aktifHoneypots (Client Honeypots).


16/29

16


Active Honeypots (Client Honeypots)

Honeypot yang aktif adalah konsep baru dan

sangat berbeda dari Honeypot pasif. Alih-alihmembangun Honeypot dan pasif menunggupenyerang, aktif Honeypot akan pergi danmencari penyerang. Klien Honeypot bertindak

sebagai klien dan berinteraksi dengan serveruntuk mempelajarinya dan menentukan apakahserangan telah terjadi atau belum.


17/29

17


Arsitektur Client Honeypot

Arsitektur Client Honeypot dibagi menjadi tiga bagian utama:

1. Sistem Antrian

2. Klien

3. Mesin Analisis.


18/29

18


Sistem Antrian

Bertanggung jawab untuk menciptakan daftar server untuk klien untukberinteraksi dengan. Ada beberapa teknik yang digunakan untuk membuatdaftar server:

1. Mesin Pencari

2. Daftar Hitam

3. Mengumpulkan link dari pesan phishing dan spam

4. Typosquatting domain : yposquatting mengacu pada kesalahan dalamnama domain seperti goole.com bukan google.com, nama domainnyata

5. Pemantauan instant messaging : Pemantauan pesan instan: layananpesan paling instan seperti MSN Messenger menderita spam. Malwaremenginfeksi korban dan mengirimkan URL jahat ke daftar kontak

mereka. Oleh karena itu, kita dapat memantau layanan ini danmengumpulkan URL jahat untuk pemindaian dan menganalisis.


19/29

19


Klien

Klien adalah komponen yang mampu membuat

permintaan dan berinteraksi dengan server dikumpulkanoleh sistem antrian.


20/29

20


Klien

Klien adalah komponen yang mampu membuat

permintaan dan berinteraksi dengan server dikumpulkanoleh sistem antrian.


21/29

21


Mesin Analisis

Mesin analisis bertanggung jawab untuk memeriksa

keadaan sistem Honeypot klien untuk menentukanapakah serangan telah terjadi atau tidak. Gambar 2-3menunjukkan arsitektur client honeypot.


22/29

22


22 Klasifikasi Honeypotterdiri dari 3 level, yaitu :


23/29

23


Low Interaction Honeypot

Low-Interaction Honeypot merupakan yang paling

mudah diinstal dan dipelihara karena desainnya yangsederhana dan fungsionalitas dasar. Normalnyateknologi ini hanya meniru berbagai macam service.Contohnya, honeypot dapat meniru server Unix denganbeberapa service yang berjalan, seperti Telnet dan FTP.

Penyerang dapat melakukan Telnet ke honeypot,mendapatkan identitas system operasi, dan bahkanmendapatkan prompt login.


24/29

24


MediumInteraction Honeypot

Medium-interaction honeypot menyediakan kemampuan

interaksi yang lebih bila dibandingkan dengan low-interaction honeypot namun fungsionalitasnya masihdibawah high-interaction honeypot. Contohnya,honeypot dapat dibuat untuk meniru Microsoft IIS webserver termasuk fungsionalitas tambahan yang biasa

terdapat pada dirinya.IIS web server yang ditiru dapat dirubah sesuai dengankeiginan penyerang. Ketika koneksi HTTP dibuat olehhoneypot, ia akan merespon sebagai IIS web server

dan memberikan peluang kepada penyerang.


25/29

25


High Interaction Honeypot

High-Interaction Honeypot adalah teknologi

honeyspot yang paling ekstrim. Ia memberikaninformasi yang sangat banyak mengenaipenyerang tapi memerlukan waktu untukmendapatkannya. Tujuan dari high-interaction

honeyspot adalah memberikan akses systemoperasi yang nyata kepada penyerang dimanatidak ada batasan yang ditentukan.


26/29

26


Beberapa komponen sistem operasi perlu dipantausaat mengunjungi dan memindai setiap halaman web:

1. Proses akan dipantau selama proses baru yang

dijalankan atau proses standar dibunuh.2. Registry Windows akan dipantau untuk setiap

ditambahkan, dihapus, atau diubah nilai registri.

3. File system akan dipantau untuk setiap perubahan,

seperti menambah, menghapus atau memodifikasifile atau folder.

4. TCP dan UDP port akan dipantau untuk mendeteksijika ada port dibuka atau ditutup, karena port inidapat digunakan sebagai backdoor oleh penyerang.


27/29

27


Beberapa High-interaction client tools untukkomponen sistem operasi yang perlu dicoba :1. Capture HPC : open source client honeypot interaksi rendah

yang dikembangkan oleh Christian Seifert [89]. Alat ini ditulisdalam bahasa scripting Ruby. Alat ini menggunakan tigakomponen yang disebutkan di atas: pertama, menciptakan daftarwebsite dengan menggunakan mesin pencari Yahoo!; kedua,website ini diidentifikasi dan halaman download untuk diperiksa;akhirnya, kode halaman web dianalisis dengan Snort, alat IDS

yang berisi database tanda tangan dari string berbahaya.2. HoneyMonkey : Alat ini terlihat dangkal seperti HoneyC, tetapi,

alih-alih menggunakan database signature Snort untukmemeriksa halaman web, mesin anti-virus ClamAV digunakan.

3. UW Spycrawler :Alat ini tersedia di bawah lisensi GPL dan bebas

untuk digunakan. Pendekatan mereka mendeteksi halaman webyang berbahaya di internet, dengan merangkak danmengumpulkan halaman web dari berbagai sumber sepertimesin pencari atau email spam, dan kemudian memindai merekauntuk mendeteksi setiap perilaku berbahaya dalam kodehalaman web.

.


28/29

28


Kesimpulan

Keamanan computer sudah menjadi hal yang harus

menjadi perhatian. Untuk membuat suatu systemkeamanan yang baik, kita harus mampu mengenalpenyerang, jenis serangan yang dilakukan kemudianmempelajarinya. Dengan menggunakan honeypot, kitamampu mendapatkan data terkait serangan yang terjadi

pada system. Dari data yang dikumpulkan oleh honeypot,kita bisa mempelajari teknik dan pola yang digunakanoleh hacker yang menyerang system kita. Denganpengetahuan yang dikumpulkan dari data honeypot, kitapun dapat pula mempersiapkan diri untuk menghadapi

serangan hacker berikutnya.


29/29

29

TERIMA KASIH

honeypot keamanan jaringan komputer

Documents