report arif
TRANSCRIPT
Tugas Kuliah
Keamanan Sistem LanjutHoneypot Sebagai Alat Bantu Pendeteksian Serangan pada Jaringan Komputer
Fazmah Arif Yulianto 23202043
Departemen Teknik Elektro Fakultas Teknologi Industri Institut Teknologi Bandung
DAFTAR ISI DAFTAR ISI................................................................................................................. I ABSTRAK ...................................................................................................................II I. PENDAHULUAN.....................................................................................................1 1.1 LATAR BELAKANG.......................................................................................1 1.2 TUJUAN ............................................................................................................1 1.3 SISTEMATIKA PENULISAN ........................................................................1 II. PENGERTIAN UMUM HONEYPOT..................................................................3 2.1 DEFINISI HONEYPOT...................................................................................3 2.2 TIPE HONEYPOT ...........................................................................................4 2.3 KLASIFIKASI HONEYPOT ..........................................................................4 2.3.1. Low Interaction Honeypot 4 2.3.2. High Interaction Honeypot 5 2.4 HONEYNET......................................................................................................6 2.4.1. Kebutuhan Sistem Honeynet 6 2.4.2. Perkembangan Sistem Honeynet 7 III. HONEYPOT PADA JARINGAN KOMPUTER .............................................11 3.1 LOKASI PENEMPATAN HONEYPOT......................................................11 3.1.1. Di Depan Gateway (dekat dengan jaringan publik [Internet]) 11 3.1.2. Di Dalam DMZ (Demilitarized Zone) 12 3.1.3. Di Belakang Gateway (dekat dengan jaringan privat [intranet]) 12 3.2 NILAI GUNA HONEYPOT ..........................................................................13 3.2.1. Prevention 13 3.2.2. Detection 14 3.2.3. Reaction 14 3.3 KELEMAHAN SISTEM DETEKSI YANG ADA ......................................15 3.4 SKEMA PENGUMPULAN INFORMASI ...................................................16 3.4.1 Host-based Information Gathering 16 3.4.2 Network-based Information Gathering 16 IV. PERANCANGAN HONEYPOT........................................................................18 4.1 KETERANGAN LAMBANG PERANCANGAN SISTEM .......................18 4.2 PERANCANGAN SISTEM HONEYPOT ...................................................19 V. IMPLEMENTASI DAN PENGUJIAN...............................................................23 5.1 5.2 5.3 5.4 5.5 LINGKUNGAN IMPLEMENTASI..............................................................23 SKENARIO PENGUJIAN.............................................................................25 PENILAIAN PENGUJIAN............................................................................25 PENGUJIAN ...................................................................................................26 ANALISA.........................................................................................................27
VI. KESIMPULAN ....................................................................................................30 DAFTAR PUSTAKA.................................................................................................31 LAMPIRAN : TAMPILAN DISPLAY DAN LOG ................................................32
i
ABSTRAK Untuk mendeteksi keberadaan penyerang atau penyusup, sebuah organisasi biasanya mengandalkan sebuah perangkat (sistem) yang disebut sebagai intrusion detection systems (IDS). Namun kadangkala IDS sulit mendeteksi suatu serangan di antara paket-paket data yang sah, dikarenakan tingginya tingkat trafik di dalam jaringan sehingga sulit bagi IDS untuk membedakannya. Honeypot adalah suatu sistem yang didesain untuk diserang / disusupi oleh cracker, dan bukan untuk menyediakan suatu suatu layanan produksi. Seharusnya hanya sedikit atau bahkan tidak ada sama sekali trafik jaringan yang berasal atau menuju honeypot. Oleh karena itu, semua trafik honeypot patut dicurigai sebagai aktivitas yang tidak sah atau tidak terautorisasi. Jika cukup informasi pada log file honeypot, maka aktivitas mereka dapat dimonitor dan diketahui pola serangannya tanpa menimbulkan resiko kepada production system asli atau data Pada tulisan ini, dibangun suatu sistem honeypot yang menyerupai production system yang sesungguhnya. Layanan yang diemulasikan pada honeypot adalah web server. Mekanisme pengawasan/monitoring pada sistem honeypot ini dilakukan dengan menggunakan log. Digunakannya log ini adalah untuk memudahkan pemeriksaan kembali data (analisis forensik) yang diterima oleh sistem honeypot. Kata Kunci : Honeypot, cracker, log.
ii
BAB I PENDAHULUAN 1.1 LATAR BELAKANG Perkembangan teknologi Internet telah menjadikannya salah satu media utama pertukaran informasi. Tidak semua informasi bersifat terbuka untuk umum. Karena Internet merupakan jaringan komputer yang bersifat publik, maka diperlukan suatu usaha untuk menjamin keamanan informasi tersebut. Di satu sisi, telah banyak usahausaha untuk menjamin keamanan suatu informasi. Di sisi lain, tetap saja ada pihakpihak dengan maksud tertentu yang berusaha untuk menembus sistem keamanan tersebut. Oleh karena itu, diperlukan suatu sistem yang mampu mendeteksi usahausaha dan pola penyusupan tersebut. Intrusion detection adalah usaha-usaha untuk memonitor dan sebisa mungkin mencegah usaha-usaha penyusupan atau pengambilalihan sistem dan sumber daya jaringan. Honeypot adalah suatu sistem yang didisain menyerupai production system asli dan dibuat dengan tujuan untuk diserang / disusupi. Karena honeypot bukan merupakan production system asli, maka hanya sedikit atau bahkan tidak ada sama sekali trafik jaringan yang berasal dari atau menuju honeypot. Oleh karena itu, semua trafik honeypot patut dicurigai sebagai aktivitas yang tidak sah atau tidak terautorisasi. Hal tersebut memungkinkan untuk dilakukan pendeteksian terhadap usaha-usaha tersebut dengan cara melakukan pengawasan (monitoring) terhadap sistem honeypot. 1.2 TUJUAN Pada tulisan ini akan dipaparkan pengertian umum honeypot berikut penerapannya dalam sistem pendeteksian serangan terhadap server (jaringan). Untuk lebih meyakinkan pemahaman, dibuat sebuah honeypot yang di dalamnya memuat program yang mengemulasikan layanan web server pada Linux Redhat 7.3 dengan kernel 2.4.18-3. Beberapa tools eksploit akan dicobakan untuk kemudian dilihat apa yang terdapat dalam log. Diharapkan log akan dapat merekam pola serangan dari masing-masing tools eksploit 1.3 SISTEMATIKA PENULISAN Bagian selanjutnya dari tulisan ini memuat berbagai teori dasar yang berhubungan dengan honeypot, antara lain meliputi pengertian (definisi) honeypot, 1
tipe honeypot, klasifikasi honeypot berdasarkan tingkat interaksinya, dan metode pengumpulan informasi intrusion melalui honeypot. Bab III memberikan gambaran tentang implementasi honeypot pada dunia nyata dan alasan akan kebutuhan penggunaan sistem honeypot, antara lain meliputi lokasi penempatan sistem honeypot, nilai guna honeypot, kelemahan sistem pendeteksian yang ada selama ini dan usulan perbaikan sistem pendeteksian. Bab IV berisikan perancangan sistem honeypot dengan menggunakan tools perancangan struktural yang terdiri dari diagram konteks, diagram aliran data (data flow diagram), kamus data dan spesifikasi proses. Bab V berisikan implementasi dan pengujian sistem yang dibangun, yang menunjukkan tingkat keberhasilan pendeteksian berdasarkan parameter yang dipilih. Bab terakhir berisikan kesimpulan utama yang dapat diambil dari seluruh rangkaian analisis.
2
BAB II PENGERTIAN UMUM HONEYPOT 2.1 DEFINISI HONEYPOT Pertumbuhan Internet berlangsung sangat pesat dan jumlah orang yang menggunakan Internet berlipat dua setiap tahunnya. Makin banyak perusahaan yang mengkoneksikan jaringan internalnya dengan Internet dan pada saat yang sama ecommerce menjadi salah satu sumber daya penting bagi beberapa perusahaan. Sementara itu, jumlah kriminalitas cyber semakin bertambah. Dari 503 responden (sebagian besar terdiri dari perusahaan dan badan badan pemerintah Amerika Serikat) yang disurvey oleh Computer Security Institute pada tahun 2002[1], sebanyak 90% responden mendeteksi pembobolan keamanan jaringan komputer mereka dalam dua belas bulan terakhir. Sebanyak 80% di antara responden dapat memperkirakan kerugian finansial yang mereka alami dimana pencurian data / informasi perusahaan menjadi salah satu penyebab utama kerugian tersebut. Lebih banyak responden ( 74%) yang menyatakan bahwa koneksi Internet mereka menjadi titik penyerangan, sementara sisanya (33%) yang menyatakan jaringan internal mereka sebagai titik penyerangan. Sebagai pencegahan dan agar masalah tersebut dapat ditanggulangi, responden menggunakan aplikasi firewall yang kemudian ditingkatkan lagi dengan menggunakan aplikasi intrusion detection system. Tetapi langkah langkah yang diambil tersebut selalu berdasarkan kepada mekanisme pertahanan (filtering) dan pendeteksian, sedangkan informasi mengenai penyerang sangat sedikit diperoleh. Informasi tersebut dapat berupa siapa yang melakukan penyerangan, metode apa saja yang digunakan, alat bantu (tools) apa saja yang dipakai, serta apa tujuan penyerangan tersebut. Pengumpulan informasi tersebut seharusnya dilakukan secara diam diam tanpa diketahui oleh penyerang. Informasi yang telah dikumpulkan dapat digunakan untuk memperbaiki dan memperkuat pertahanan serta mencegah terjadinya serangan kembali. Secara umum, honeypot dapat didefinisikan sebagai sebuah sumber daya sistem informasi dimana nilai guna dari sumber daya tersebut justru berdasar kepada terdeteksinya kasus penggunaan yang tidak terotorisasi atau tidak diperbolehkan secara hukum dari sumber daya tersebut[2]. Atau dengan kata lain, honeypot adalah sebuah sumber daya yang bersifat seakan akan target yang sebenarnya, yang dengan 3
sengaja disediakan untuk diserang atau diambil alih. Oleh karena itu, sebuah honeypot diharapkan akan diamati, diserang dan bahkan dieksploitasi oleh penyerang atau penyusup. Tujuan utama dari honeypot ini adalah untuk mengumpulkan informasi dari suatu serangan dan penyerang yang melakukannya. Intruder atau penyerang merupakan istilah umum yang diberikan untuk menggambarkan seseorang yang berusaha untuk masuk ke dalam sistem dalam arti berusaha menggunakan sistem dimana mereka tidak memiliki autorisasi atau menggunakan sistem untuk maksud yang menyimpang diluar hak-hak yang mereka miliki. 2.2 TIPE HONEYPOT Honeypot dapat dibagi menjadi dua tipe dasar[2], yaitu production honeypot dan research honeypot. Tujuan utama dari production honeypot adalah untuk membantu mengurangi resiko keamanan jaringan pada sebuah organisasi. Production honeypot memberikan suatu nilai tambah bagi keamanan jaringan dari suatu organisasi. Tipe kedua, research honeypot, adalah honeypot yang didesain untuk mendapatkan informasi mengenai aktivitas aktivitas dari komunitas penyerang atau penyusup. Research honeypot tidak memberikan suatu nilai tambah secara langsung kepada suatu organisasi, melainkan digunakan sebagai alat untuk meneliti ancaman ancaman keamanan yang mungkin dihadapi dan bagaimana cara untuk melindungi diri dari ancaman tersebut. 2.3 KLASIFIKASI HONEYPOT Honeypot dapat diklasifikasikan berdasarkan kepada tingkat interaksi yang dimilikinya. Tingkat interaksi dapat didefinisikan sebagai tingkat aktivitas penyerang / intruder di dalam sistem yang diperbolehkan oleh honeypot[2]. Semakin tinggi tingkat aktivitas yang diperbolehkan maka semakin tinggi pula tingkat interaksi honeypot. 2.3.1. Low Interaction Honeypot Sebuah low interaction honeypot (honeypot dengan tingkat interaksi rendah) adalah sebuah honeypot yang didesain untuk mengemulasikan service (layanan) seperti pada server asli. Penyerang hanya mampu memeriksa dan terkoneksi ke satu atau beberapa port. Contoh sederhana dari honeypot jenis ini adalah pembuatan 4
sebuah service yang mendengarkan dan mencatat setiap koneksi yang terjadi pada sebuah port. Salah satu implementasinya menggunakan perintah netcat sebagai berikut :netcat -l p > /usr/log/port80.log
Perintah diatas akan mencatat setiap koneksi yang terjadi pada port 80 pada sebuah logfile. Pada low interaction honeypot penyerang tidak berinteraksi dengan sistem operasi secara langsung. Hal ini akan mengurangi resiko karena tidak akan ada sistem yang akan diambil alih. Kerugian dari honeypot jenis ini adalah sedikitnya informasi yang dapat diperoleh dari serangan yang terjadi. Honeypot jenis ini bersifat koneksi satu arah karena dari satu sisi (sisi honeypot) hanya mendengarkan dan mencatat koneksi yang terjadi tanpa memberikan balasan kepada koneksi tersebut. Jika pada honeypot disediakan program yang dapat mengemulasikan suatu layanan, maka intruder akan menerima respon seperti halnya respon yang diberikan oleh layanan aslinya. 2.3.2. High Interaction Honeypot Pada high interaction honeypot terdapat sistem operasi dimana penyerang dapat berinteraksi secara langsung dan tidak ada suatu batasan (chroot/jail) yang membatasi interaksi tersebut. Dengan dihilangkannya batasan batasan tersebut, maka tingkat risiko yang dihadapi semakin tinggi karena penyerang dapat memiliki akses root. Pada saat yang sama, kemungkinan pengumpulan informasi semakin meningkat dikarenakan kemungkinan serangan yang tinggi. Dikarenakan penyerang dapat berinteraksi secara penuh dengan sistem operasi, maka apabila ia telah mendapat akses root ia dapat meng-upload dan meng-install file file baru. Apabila hal tersebut terjadi maka dimungkinkan untuk memperoleh informasi informasi baru mengenai komunitas blackhat. Informasi tersebut dapat berupa pola serangan, toolkit yang digunakan, motivasi dan lain lain. Disinilah letak kelebihan dari high interaction honeypot. Hanya saja high interaction honeypot menghabiskan banyak waktu karena harus diawasi secara kontinu. Pengawasan ini diperlukan karena apabila high interaction honeypot telah diambil alih dan dimanfaatkan oleh penyerang maka honeypot tersebut dapat menjadi ancaman bagi jaringan yang ada.
5
2.4 HONEYNET Honeynet merupakan salah satu jenis honeypot. Secara spesifik, Honeynet dapat didefinisikan sebagai high interaction honeypot yang didesain khusus untuk riset, digunakan untuk mengumpulkan informasi tentang penyerang. Umumnya honeypot yang ada, yang digolongkan sebagai production honeypot, digunakan dengan tujuan untuk mengelabui atau mendeteksi serangan yang terjadi. Hal ini berbeda dengan Honeynet. Honeynet dapat digolongkan kepada research honeypot karena Honeynet tidak digunakan untuk mengelabui ataupun mendeteksi serangan melainkan digunakan untuk mengumpulkan informasi tentang serangan yang terjadi pada sistem[3]. Secara umum ada dua perbedaan mendasar antara Honeynet dengan honeypot, yaitu : Honeynet merupakan sebuah jaringan yang terdiri dari beberapa sistem dan aplikasi yang dapat diserang oleh penyerang. Sebuah honeynet dapat menggunakan *BSD, Solaris, Linux, Windows Server series, Cisco router, dan lain lain. Dengan menggunakan berbagai macam sistem dan aplikasi maka Honeynet akan semakin menyerupai lingkungan produksi asli. Dan juga dengan demikian, Honeynet dapat digunakan untuk mempelajari berbagai macam tools dan taktik yang mungkin digunakan oleh penyerang. Setiap sistem yang ditempatkan dalam Honeynet merupakan sistem produksi standar dan merupakan sistem asli seperti yang terdapat pada jaringan Internet. Tidak ada sistem yang diemulasikan dan tidak ada langkah yang dilakukan untuk membuat sistem menjadi kurang aman. Hal ini dilakukan agar data data mengenai serangan yang didapat pada sistem Honeynet merupakan data terbaru. 2.4.1. Kebutuhan Sistem Honeynet Untuk membangun sebuah sistem Honeynet, ada dua hal penting yang menjadi prasyarat, yakni : Data Control dan Data Capture[3]. Sistem Honeynet dapat dibangun dan diterapkan dalam berbagai cara sesuai dengan kebutuhan, akan tetapi pada suatu sistem Honeynet harus terdapat Data Control dan Data Capture. Definisi dari Data Control adalah pembatasan aktivitas penyerang. Ketika sistem Honeynet digunakan dan berhasil dibobol oleh penyerang, terdapat kemungkinan sistem Honeynet digunakan sebagai batu loncatan untuk menyerang jaringan lain. Oleh karena itu, kemungkinan tersebut harus dapat dibatasi. Yang menjadi permasalahan pada Data Control adalah bagaimana cara membatasi aktivitas 6
tersebut tanpa mengakibatkan timbulnya kecurigaan penyerang. Pemecahannya adalah dengan mengatur sistem Honeynet agar memberikan fleksibilitas bagi penyerang untuk menjalankan program apapun yang mereka inginkan tetapi membatasi kemungkinan penggunaan sistem Honeynet untuk menyerang jaringan lain. Definisi dari Data Capture adalah pencatatan aktivitas penyerang. Catatan aktivitas yang didapat akan dianalisis dan digunakan untuk mempelajari tools yang digunakan, taktik, motif dari penyerang. Yang menjadi permasalahan pada Data Capture adalah bagaimana cara mendapatkan data serangan sebanyak mungkin tanpa diketahui oleh penyerang. Pada sistem Honeynet data serangan yang didapat disimpan secara remote, tidak secara lokal. Hal ini dilakukan untuk mengurangi risiko data hilang atau rusak dan kemungkinan terdeteksi oleh penyerang. Pemecahannya adalah dengan menggunakan beberapa sumber atau lapisan dalam melakukan pencatatan data. Hasil analisis terhadap data serangan yang dikumpulkan dari berbagai sumber ini akan memberikan hasil yang lebih baik jika dibandingkan dengan data yang berasal dari satu sumber saja. Kebutuhan sistem Honeynet yang ketiga adalah Data Collection[3]. Akan tetapi, kebutuhan ini hanya bersifat opsional saja. Data Collection hanya dibutuhkan bagi organisasi yang mempunyai beberapa sistem Honeynet. Organisasi yang mempunyai beberapa Honeynet yang tersebar di berbagai tempat perlu mengumpulkan data serangan yang didapat dan menyimpannya pada suatu tempat tertentu agar terjamin keamanan data tersebut dan memudahkan di dalam melakukan analisis data. 2.4.2. Perkembangan Sistem Honeynet A. 1st Generation (GenI) Honeynet GenI Honeynet mengimplementasikan Data Control dan Data Capture secara sederhana namun efektif. Pada GenI Honeynet yang menjadi gateway adalah firewall layer 3 (tiga). Firewall digunakan untuk memisahkan sistem Honeynet menjadi tiga jaringan yaitu Internet, Honeypots dan Administrative. Setiap paket yang menuju ataupun meninggalkan sistem Honeynet harus melewati firewall. Firewall tersebut yang juga berfungsi sebagai Data Control akan diset untuk mengatur koneksi inbound dan outbound. Dikarenakan firewall tersebut merupakan bagian dari sistem Honeynet, maka konfigurasi firewall tersebut sedikit berbeda dengan konfigurasi firewall pada
7
umumnya yaitu mengizinkan setiap koneksi inbound untuk masuk dan mengontrol / membatasi setiap koneksi outbound yang keluar dari sistem.
Internet
Hub
HoneypotsFirewall
AdministrativeHoneypot
Honeypot
Honeypot
IDS
Remote Log
Gambar 2.1 GenI Honeynet
Data Capture yang diterapkan pada GenI Honeynet terdiri dari beberapa layer / bagian. Layer pertama adalah log yang terdapat pada firewall itu sendiri. Firewall log akan mencatat setiap koneksi yang menuju atau meninggalkan Honeynet. Layer kedua adalah sistem IDS. Fungsi IDS adalah untuk menangkap setiap aktivitas yang terjadi pada jaringan dan juga karena pada umumnya IDS mempunyai signature database maka IDS dapat memberikan informasi yang lengkap dari suatu koneksi yang terjadi. Layer ketiga adalah pada honeypot honeypot itu sendiri. Ini dilakukan dengan cara mengaktifkan system log pada honeypot honeypot yang digunakan. System log kemudian diset agar tidak hanya melakukan pencatatan secara lokal, tetapi juga secara remote ke sebuah remote log server. Remote log server ini harus didisain lebih aman daripada honeypot honeypot yang ada agar data data yang didapat tidak hilang. B. 2nd Generation (GenII) Honeynet Tujuan dikembangkannya GenII Honeynet adalah untuk membuat suatu solusi yang lebih mudah untuk diterapkan tetapi lebih susah untuk dideteksi oleh penyerang. Pada GenII Honeynet semua kebutuhan Honeynet (Data Control dan Capture) diterapkan hanya pada satu sistem saja (gateway) dan yang menjadi gateway adalah bridge layer 2 (dua). Keuntungan menggunakan gateway berupa bridge layer 2 (dua) adalah layer 2 bridge tidak mempunyai IP stack sehingga ketika paket melewatinya 8
tidak terjadi routing ataupun pengurangan TTL yang mengakibatkan gateway akan semakin sulit untuk dideteksi.
Internet
Hub
Honeypots
Bridge
Honeypot
Honeypot
Honeypot
Gambar 2.2 GenII Honeynet
Pada GenII Honeynet, kemampuan Data Control untuk mendeteksi dan merespons aktivitas yang tidak terotorisasi lebih dikembangkan lagi. Apabila ada koneksi outbound menuju sistem lain yang bersifat merusak maka koneksi akan dikontrol dan dimodifikasi sehingga koneksi tersebut akan tidak efektif. Sedangkan pada bagian Data Capture pengembangan yang dilakukan adalah dengan mengumpulkan data dari kernel, berbeda dengan GenI Honeynet yang mengumpulkan data pada level network (melalui firewall dan IDS). C. Virtual Honeynet Virtual Honeynet adalah pola pengembangan Honeynet yang berbeda dengan pola yang ada sebelumnya. Jika pada GenI dan GenII yang berkembang adalah teknologi, maka pada Virtual Honeynet yang dikembangkan adalah implementasi Honeynet itu sendiri. Pada umumnya Honeynet diimplementasikan pada beberapa perangkat / komputer secara bersamaan, sedangkan pada Virtual Honeynet semua sistem yang digunakan diimplementasikan pada satu perangkat / komputer sedemikian sehingga seakan akan sistem sistem tersebut berada pada perangkat / komputer terpisah [4]. Hal tersebut dapat dilakukan dengan bantuan virtualization software. Virtual Honeynet dapat dibagi menjadi dua kategori, yaitu : Self Contained Virtual Honeynet 9
Adalah sebuah Virtual Honeynet dimana keseluruhan sistem Honeynet berada pada satu komputer. Suatu sistem Honeynet biasanya terdiri dari Data Control, Data Capture dan honeypot honeypot yang akan digunakan
Internet
Data Capture
Data Control
Honeypot
Honeypot
Honeypot
Host
Gambar 2.3 Self-Contained Virtual Honeynet
Hybrid Honeynet Adalah penggabungan dari penggunaan virtualization software dengan sistem Honeynet. Pada Hybrid Honeynet, Data Control dan Data Capture berdiri terpisah sedangkan honeypot honeypot yang digunakan berada pada satu komputer tersendiri.
Internet
Data Control Data Capture
Gateway
Honeypot
Honeypot
Honeypot
Host
Gambar 2.4 Hybrid Virtual Honeynet
10
BAB III HONEYPOT PADA JARINGAN KOMPUTER 3.1 LOKASI PENEMPATAN HONEYPOT Sebuah honeypot tidak membutuhkan suatu lingkungan khusus, karena pada dasarnya sebuah honeypot tidak memberikan suatu layanan tertentu kepada pengguna. Sebuah honeypot dapat ditempatkan di setiap tempat di mana sebuah server dapat ditempatkan. Meski demikian, beberapa lokasi penempatan mempunyai nilai yang lebih baik dibandingkan dengan lokasi yang lain. Biasanya honeypot akan ditempatkan di lokasi lokasi berikut : Di depan gateway (dekat dengan jaringan publik (Internet)) Di dalam DMZ (Demilitarized Zone) Di belakang gateway (dekat dengan jaringan privat (intranet)) Setiap lokasi mempunyai kelebihan dan kekurangannya masing masing. Oleh karena itu, dibutuhkan suatu pertimbangan mendalam berdasarkan kebutuhan sebelum sebuah lokasi ditetapkan.
Internet
HoneypotDMZ
Honeypot
Firewall
intranet
Honeypot
Gambar 3.1 Kemungkinan lokasi penempatan Honeypot
3.1.1. Di Depan Gateway (dekat dengan jaringan publik [Internet]) Kelebihan dari penempatan honeypot pada lokasi ini adalah firewall, IDS atau sumber daya keamanan lainnya tidak perlu di-setting secara khusus karena honeypot terletak pada jaringan publik dan akan dianggap sama seperti dengan sistem eksternal. Selain itu, dengan ditempatkannya honeypot pada lokasi tersebut akan mengurangi risiko terhadap jaringan privat apabila honeypot telah berhasil disusupi / diambil alih. Dikarenakan honeypot didisain untuk disusupi maka honeypot akan menarik dan 11
mendapatkan banyak trafik tidak sah (tidak diinginkan) seperti misalnya portscan atau suatu pola serangan tertentu. Jika honeypot ditempatkan pada lokasi tersebut maka trafik trafik tersebut tidak akan tercatat atau membangkitkan alert pada firewall atau IDS. Sehingga informasi yang dikumpulkan akan sangat berkurang. Inilah kekurangan dari lokasi penempatan honeypot di depan gateway. 3.1.2. Di Dalam DMZ (Demilitarized Zone) Pada gateway biasanya juga terdapat sistem pengamanan yang minimal berupa firewall. Di lokasi ini, kelebihan yang didapatkan adalah karena honeypot berada di balik firewall, maka secara otomatis trafik tidak sah yang biasanya menuju kepada honeypot juga akan melewati firewall dan akan tercatat pada firewall log. Dengan demikian ada informasi yang terkumpulkan. Akan tetapi, kekurangan dari lokasi ini adalah sistem lain yang terdapat pada DMZ harus diamankan dari honeypot. Karena bila honeypot telah disusupi / diambil alih, maka tidak tertutup kemungkinan honeypot tersebut akan digunakan untuk menyerang sistem lain yang terdapat pada DMZ bahkan terdapat kemungkinan honeypot tersebut akan digunakan untuk menyerang firewall yang terdapat pada gateway. 3.1.3. Di Belakang Gateway (dekat dengan jaringan privat [intranet]) Ada beberapa alasan honeypot ditempatkan pada lokasi ini. Salah satunya adalah untuk mendeteksi penyerang yang berasal dari dalam. Alasan lain adalah untuk mendeteksi firewall yang tidak terkonfigurasi dengan baik sehingga menyebabkan adanya trafik yang tidak diinginkan mengalir menuju jaringan privat. Hanya saja pada penempatan honeypot seperti ini akan mengakibatkan bertambahnya risiko pada jaringan privat. Hal ini terjadi bila honeypot telah berhasil disusupi / diambil alih. Trafik dari penyerang menuju honeypot tidak akan diblokir oleh firewall yang ada dikarenakan firewall menganggap trafik tersebut ditujukan kepada honeypot. Maka penyerang akan mendapat akses menuju jaringan privat melalui honeypot. Setelah itu, honeypot akan digunakan sebagai batu loncatan untuk menyerang jaringan privat. Untuk menghindari resiko resiko seperti yang disebutkan di atas, salah satu kemungkinan solusinya adalah menempatkan honeypot di lokasi yang sesuai dengan kebutuhan. Pada lokasi tersebut honeypot diletakkan di dalam suatu segmen jaringan tersendiri dan dibatasi oleh sumber sumber daya keamanan. Solusi ini
12
memungkinkan adanya suatu kontrol pada lingkungan honeypot dan tetap mempertahankan fleksibilitasnya. 3.2 NILAI GUNA HONEYPOT Secara umum, keamanan jaringan dapat dibagi menjadi tiga area, sebagaimana yang didefinisikan oleh Bruce Schneier [2] sebagai berikut: a. Prevention (pencegahan) b. Detection (pendeteksian) c. Reaction (reaksi) Berikut ini, akan dijelaskan fungsi honeypot di dalam tiga area keamanan jaringan yaitu prevention, detection dan reaction. 3.2.1. Prevention Salah satu ide yang digunakan pada area prevention (pencegahan) adalah menggunakan honeypot sebagai pengalih perhatian untuk mencegah terjadinya serangan. Konsep utama yang terdapat pada area ini adalah bagaimana membuat penyerang menghabiskan waktu dan sumber daya yang dimiliki untuk menyerang honeypot dan bukannya menyerang sistem produksi (server). Penyerang dialihkan perhatiannya untuk menyerang honeypot sehingga mengurangi resiko sistem produksi (server) dari serangan. Bahkan jika penyerang mengetahui bahwa pada jaringan tersebut terdapat sebuah honeypot, tetapi tidak mengetahui di mana posisi honeypot tersebut maka hal ini akan membingungkan penyerang. Ide utama dari konsep ini adalah pencegahan dan pengelabuan. Pada saat ini, serangan yang sering terjadi adalah serangan yang terotomatisasi seperti worm dan auto-rooter. Serangan ini biasanya terjadi secara random yang akan memindai seluruh jaringan untuk mencari sistem yang dapat ditembus (vulnerable systems). Ada beberapa honeypot yang didisain khusus untuk menghadapi serangan semacam ini, honeypot tersebut biasa disebut sebagai sticky honeypot. Yang dilakukan sticky honeypot pada serangan seperti tersebut di atas adalah memperlambat proses pemindaian yang dilakukan oleh worm dan auto-rooter. Konsep yang digunakan adalah pengembangan proses yang terjadi setelah proses 3-way handshake pada TCP selesai dilakukan. Pengembangan yang pertama adalah mengabaikan setiap paket yang datang setelah koneksi terjalin (3-way handshake selesai) sampai koneksi tersebut mengalami time-out. Pengembangan kedua adalah setelah 3-way handshake selesai dan penyerang (worm) 13
mulai mengirimkan datanya maka sticky honeypot akan menjawab dengan mengirimkan TCP window 0 (wait). Proses ini akan dilakukan berulang ulang untuk menahan koneksi tersebut dan mencegah worm menyerang jaringan lain. 3.2.2. Detection Honeypot berguna pada proses pendeteksian karena dapat menyederhanakan proses pendeteksian. Besarnya trafik jaringan yang ada pada saat ini dapat menimbulkan beban yang berlebihan pada sumber daya keamanan yang ada. Trafik yang besar tersebut harus dipilah satu persatu oleh sumber daya keamanan. Dikarenakan honeypot tidak memiliki aktivitas produksi, maka setiap koneksi dari dan menuju honeypot langsung dapat dicurigai. Secara umum, setiap koneksi yang berhubungan dengan honeypot dapat dikategorikan sebagai aktivitas yang tidak terotorisasi. Hal ini memudahkan di dalam pencarian dan pengumpulan informasi yang diinginkan. 3.2.3. Reaction Walaupun secara umum jarang disebutkan, honeypot mempunyai kegunaan di dalam area reaction (reaksi). Kadangkala ketika sebuah sistem produksi pada sebuah organisasi telah disusupi / diambil alih, aktivitas jaringan tetap saja terjadi yang mengakibatkan bukti bukti mengenai penyusupan tersebut menjadi terkontaminasi. Seorang administrator tidak akan dapat menentukan apa yang sebenarnya terjadi pada sistem produksi ketika user dan aktivitas jaringan yang ada telah mengaburkan data insiden. Pengumpulan informasi akan sangat sulit dilakukan pada kasus seperti itu. Permasalahan yang mungkin terjadi berikutnya adalah sering kali sistem produksi yang telah disusupi / diambil alih tidak bisa dilepas dari jaringan (offline). Adakalanya suatu layanan (service) yang diberikan oleh sistem produksi harus dipulihkan secepat mungkin. Kasus ini biasanya terjadi pada server yang menangani transaksi e-commerce. Hal ini akan menyulitkan bagi administrator di dalam melakukan analisis penuh terhadap insiden yang terjadi. Honeypot memberikan solusi bagi kedua permasalahan tersebut di atas. Dikarenakan honeypot tidak memberikan suatu layanan tertentu kepada user maka data data yang terkumpul biasanya merupakan data data insiden dan kontaminasi dari aktivitas jaringan yang ada biasanya sangat sedikit. Selain itu keuntungan dari penggunaan honeypot adalah bila honeypot telah berhasil disusupi / diambil alih, 14
maka honeypot dapat dilepas dari jaringan (offline) karena honeypot tidak memberikan suatu layanan tertentu yang harus segera dipulihkan. 3.3 KELEMAHAN SISTEM DETEKSI YANG ADA Tingginya tingkat aktivitas jaringan yang terjadi kadangkala menyebabkan sulitnya untuk mendeteksi adanya sebuah serangan atau bahkan mendeteksi apabila sebuah sistem telah diambil alih. IDS (Intrusion Detection System) adalah sebuah sistem yang didisain untuk mendeteksi adanya kemungkinan serangan (akses yang tidak terotorisasi) yang terjadi. Hanya saja ada dua kelemahan mendasar yang terdapat pada IDS yaitu false positive dan false negative[5]. False positive terjadi ketika ada peringatan yang dibangkitkan oleh sensor IDS yang mengenali pola serangan yang terjadi berdasarkan suatu signature tertentu. Akan tetapi pada kenyataannya pola serangan tersebut hanyalah trafik yang sah atau serangan yang tidak mungkin terjadi pada sistem. Permasalahannya adalah ketika administrator menerima begitu banyak peringatan yang muncul sehingga administrator tidak mampu merespons setiap peringatan tersebut. Apabila hal ini terjadi secara terus menerus, ada kecenderungan pada akhirnya administrator akan mengabaikan peringatan yang muncul. Ini mengakibatkan sistem pendeteksian yang dilakukan oleh IDS menjadi tidak efektif kecuali apabila false positive berhasil dikurangi. Akan tetapi tidak berarti honeypot tidak akan menerima false positive, hanya saja kemungkinan honeypot menerima false positive lebih sedikit bila dibandingkan dengan IDS. False negative terjadi ketika IDS gagal untuk mendeteksi suatu serangan. Sering terjadi IDS gagal untuk mendeteksi suatu serangan baru atau serangan yang tidak dikenali. Hal ini dikarenakan serangan tersebut belum terdefinisikan di dalam intrusion signature database yang dimiliki oleh IDS. Selain itu, saat ini banyak dikembangkan metode metode untuk menghindari IDS. Honeypot dapat mengurangi kemungkinan false negative ini karena honeypot melakukan deteksi bukan berdasarkan kepada signature akan tetapi berdasarkan kepada aktivitas jaringan yang terjadi. Apabila terdapat trafik yang menuju kepada honeypot atau sebaliknya maka kemungkinan besar sebuah serangan sedang terjadi. Oleh karena sistem pendeteksian honeypot tidak menggunakan signature, maka administrator tidak perlu meng-update secara berkala.
15
3.4 SKEMA PENGUMPULAN INFORMASI Secara umum, metode pengumpulan informasi dapat dibagi menjadi 2 (dua) kategori dasar, yaitu : Host-based Information Gathering (pengumpulan informasi berbasis host) Network-based Information Gathering (pengumpulan informasi berbasis network/jaringan) 3.4.1 Host-based Information Gathering Yang dimaksud dengan host based information gathering adalah suatu metode untuk mengetahui apa yang sedang terjadi pada honeypot dengan memasang mekanisme pengumpulan informasi pada honeypot itu sendiri. Diantara yang termasuk ke dalam host based information gathering adalah : Keystroke logging Adalah suatu metode untuk mencatat setiap tombol yang ditekan oleh penyerang ketika sistem telah berhasil diambil alih. Syslog Adalah suatu utilitas internal yang terdapat pada sistem operasi turunan UNIX yang berfungsi untuk mencatat aktifitas sistem yang terjadi. 3.4.2 Network-based Information Gathering Yang dimaksud dengan network based information gathering adalah suatu metode pengumpulan informasi untuk mengetahui apa yang sedang terjadi pada honeypot dengan memasang mekanisme pengumpulan informasi pada jaringan dimana honeypot tersebut berada untuk mengamati trafik dari jaringan. Diantara yang termasuk ke dalam network based information gathering adalah : Firewall log Firewall adalah sistem yang didesain untuk mencegah akses yang tidak terotorisasi dari dan ke sebuah jaringan privat. Firewall dapat dikonfigurasi untuk merekam (log) sebagian atau seluruh paket yang melewati jaringan. Kegiatan perekaman tersebut berguna apabila paket paket yang telah melewati jaringan akan diperiksa secara seksama. Intrusion Detection System (IDS) log Intrusion Detection System (IDS) adalah sistem yang berfungsi untuk menginspeksi aktivitas jaringan (masuk dan keluar) dan mengidentifikasi pola 16
pola mencurigakan pada trafik jaringan yang ada yang mengindikasikan adanya serangan terhadap suatu sistem atau jaringan. Sebuah IDS bekerja berdasarkan pola (signature) yang telah didefinisikan sebelumnya. IDS melakukan kegiatan perekaman (log) untuk mencatat aktivitas aktivitas mencurigakan yang terjadi pada jaringan.
17
BAB IV PERANCANGAN HONEYPOT Pada bab ini akan digambarkan perancangan perangkat lunak yang akan dibangun dengan menggunakan acuan alat bantu perancangan perangkat lunak yang berorientasi pada aliran data. Dipilihnya alat bantu yang berorientasi pada aliran data ini adalah karena bahasa pemrograman yang dipergunakan untuk membangun perangkat lunak pada tugas akhir ini merupakan perangkat lunak yang paradigmanya adalah struktural. Untuk memperjelas penggambaran ini, akan disertakan pula algoritma umum dari perangkat lunak yang dibangun. Pada penggambaran perangkat lunak ini, level dan kedalaman penggambaran akan dibatasi tetapi tidak sampai menyembunyikan karakteristik perangkat lunak, dengan asumsi bahwa pembatasan ini akan memberikan keleluasaan pada tahap implementasi. 4.1 KETERANGAN LAMBANG PERANCANGAN SISTEM Untuk mempermudah pemahaman, sebelumnya diberikan keterangan mengenai lambang atau simbol yang nantinya akan dipergunakan dalam perancangan perangkat lunak ini. Lambang ini merupakan notasi Coad - Yourdon yang diambil dari buku Software Engineering karangan Roger S Pressman, 1997[6]. Tabel 4.1 Lambang dalam Perancangan Sistem Lambang Proses Subjek/objek yang berinteraksi dengan proses Aliran data / informasi File atau tempat penyimpanan data Arti
18
4.2 PERANCANGAN SISTEM HONEYPOT 4.2.1 Diagram Konteks
tampilan_report Administrator konfigurasi Honeypot
data_stream Intruder tampilan_emulasi
data_log
Log file
Gambar 4.1 Diagram Konteks 4.2.2. Diagram Alir Datatampilan_emulasi Configfile variabel_emulasi data_konf 2. emulation http_data_stream
Administrator
konfigurasi
1. parsing
4. redirector
data_stream
Intruder
variabel_logging
3. logging
http_data_stream
data_log
Logfile
Gambar 4.2 Diagram Alir Data level 1
19
4.2.3. Kamus Data Nama data Aliran Deskripsi Struktur data Nama data Aliran Deskripsi Struktur data Nama data Aliran Deskripsi Struktur data Nama data Aliran Deskripsi Struktur data Nama data Aliran Deskripsi Struktur data Nama data Aliran Deskripsi Struktur data : : : : : : : : : : : : : : : : : : : : : : : : konfigurasi Dari Administrator ke proses 1 (parsing) Konfigurasi dari sistem yang telah dibangun File teks {keyword + option} variabel_emulasi Dari proses 1 (parsing) ke proses 2 (emulation) Variabel yang akan digunakan dalam proses emulasi string variabel_logging Dari proses 1 (parsing) ke proses 3 (logging) Variabel yang akan digunakan dalam proses logging string http_data_stream Dari proses 4 (redirector) ke proses 2 (emulation) dan proses 3 (logging) Paket data yang khusus menuju ke port 80 (dapat berupa exploit) Paket data [TCP] data_stream Dari Intruder ke proses 4 (redirector) Semua paket data yang ditujukan kepada sistem Paket data [TCP|UDP|ICMP] tampilan_emulasi Dari proses 2 (emulation) ke Intruder Tampilan emulasi servis http string 20
Nama data Aliran Deskripsi Struktur data Nama data Aliran Deskripsi Struktur data
: : : : : : : :
data_log Dari proses 3 (logging) ke Logfile Data berupa waktu dan koneksi string data_konf Dari Configfile ke proses 1 (parsing) Data berupa variabel variabel yang akan digunakan string
4.2.4. Spesifikasi Proses Nomor Proses Nama Proses Aliran Data Input Aliran Data Output Deskripsi Logika Proses 1. Parsing Konfigurasi, data_konf variabel_emulasi, variabel_logging Proses pembacaan konfigurasi yang didapat dari administrator dan pemisahan antara keyword dan nilai_option Proses menerima konfigurasi dari adnministrator dan berdasar kepada data_konf yang telah diset sebelumnya maka proses akan menentukan variabel variabel yang akan digunakan dan variabel variabel tersebut akan diteruskan kepada proses yang menggunakan variabel tersebut 2. Emulation variabel_emulasi, http_data_stream tampilan_emulasi Proses emulasi service http yang akan digunakan untuk menjawab koneksi dari intruder Logika Proses http data stream yang diterima akan dipilah berdasarkan perintah yang dikirimkan. Pemilahan tersebut digunakan untuk menentukan response yang sesuai dengan perintah tersebut. Setelah response ditentukan dan berdasar kepada variabel 21
Nomor Proses Nama Proses Aliran Data Input Aliran Data Output Deskripsi
emulasi yang diterima, maka response akan dikirimkan kepada intruder untuk menjawab perintah yang dikirimkannya. Tampilan response tersebut akan disusun sedemikian rupa sehingga ketika dirender oleh browser akan menyerupai tampilan web server Apache pada umumnya. Nomor Proses Nama Proses Aliran Data Input Aliran Data Output Deskripsi Logika Proses 3. Logging variabel_logging, http_data_stream Data_log Proses pencatatan semua data yang diterima http_data_stream yang telah diterima akan di-log oleh sistem menggunakan variabel yang telah ditentukan sebelumnya sehingga perintah apapun yang dikirim oleh intruder akan tercatat Nomor Proses Nama Proses Aliran Data Input Aliran Data Output Deskripsi Logika Proses 4. Redirector data_stream http_data_stream Pemilahan paket data yang diterima oleh sistem Proses pembukaan port 80 pada sistem, dilanjutkan dengan pengidentifikasian tcp data stream. TCP data stream yang menuju ke port 80 akan diteruskan ke server yang bersangkutan sedangkan data stream lainnya akan diabaikan.
22
BAB V IMPLEMENTASI DAN PENGUJIAN Pada bab ini dibahas mengenai implementasi serta pengujian yang dilakukan terhadap program yang dikembangkan berdasarkan perancangan sistem pada bab sebelumnya. Implementasi sistem honeypot dibangun berdasar kepada kategori low interaction honeypot, yaitu honeypot yang mengemulasikan suatu service atau layanan tertentu. Pada implementasi ini dipilih untuk mengemulasikan servis atau layanan berupa layanan http (web service). Layanan ini dipilih karena berdasarkan data dari incidents.org (per tanggal 12 September 2002) merupakan layanan yang paling banyak diserang. 5.1 LINGKUNGAN IMPLEMENTASI 5.1.1 Perangkat Lunak Operating System Operating system yang digunakan adalah Windows 2000 Professional dengan Service Pack 4 sebagai hostOS dan guestOS serta Linux distribusi Red Hat 7.3 dengan kernel 2.4.18-3 sebagai guestOS. Virtualization software Virtualization software yang digunakan adalah VMWare Workstation 4.0.1 Redirection software Redirection software yang digunakan adalah xinetd 2.3.4-0.8 Programming Language Bahasa pemrograman yang dipergunakan adalah Perl dengan versi 5.6.134.99.6. 5.1.2 Perangkat Keras Sistem ini dikembangkan dengan perangkat keras sebagai berikut : 1. Processor AMD Athlon 1000 MHz 2. Memori DDR SDRAM 512 MB 3. Harddisk Drive 40 GB 4. CD-ROM drive, Floppy drive, Keyboard, Mouse dan NIC (Network Interface Card) 23
Perangkat keras di atas merupakan spesifikasi dari host machine yang digunakan pada saat implementasi sistem. Sebenarnya tidak ada spesifikasi khusus yang dibutuhkan untuk menerapkan sistem ini, sedangkan spesifikasi minimal untuk penerapan adalah seperti spesifikasi minimal yang diperlukan oleh Windows 2000 Professional, Red Hat Linux 7.3 dan VMWare Workstation 4.0.1. 5.1.3 Konfigurasi Lingkungan Implementasi Sebelum pengujian implementasi sistem dilakukan, maka pada lingkungan implementasi akan dilakukan konfigurasi sebagai berikut :
Honeypot (VM 1)
Switch (Vmnet 2)
Intruder (VM 2)
Browser (VM 3)Host Machine
Gambar 5.1 Konfigurasi sistem dalam VMWare Honeypot (Virtual Machine 1) : Processor AMD Athlon 1000 MHz (sama dengan host machine) Memori 64 MB Harddisk Drive 1 GB CD-ROM drive, Floppy drive dan NIC (Network Interface Card) OS : Red Hat 7.3 dengan IP : 10.10.10.5/24 Processor AMD Athlon 1000 MHz (sama dengan host machine) Memori 64 MB Harddisk Drive 1,2 GB 24
Intruder (Virtual Machine 2) :
CD-ROM drive, Floppy drive dan NIC (Network Interface Card) OS : Red Hat 7.3 dengan IP : 10.10.10.15/24 Processor AMD Athlon 1000 MHz (sama dengan host machine) Memori 128 MB Harddisk Drive 3 GB CD-ROM drive, Floppy drive dan NIC (Network Interface Card) OS : Windows 2000 Professional dengan IP 10.10.10.25/24
Browser (Virtual Machine 3) :
5.2 SKENARIO PENGUJIAN Pengujian akan dilakukan dengan skenario sebagai berikut : 1. Terdapat dua buah komputer (virtual machine) yang menjalankan operating system Linux RedHat dimana yang satu bertindak sebagai server (S) tempat sistem diuji-cobakan dan yang lainnya sebagai komputer intruder (I) yang digunakan untuk mengetes tampilan sistem dengan browser Lynx dan Mozilla dan digunakan untuk menyerang sistem serta satu buah komputer (virtual machine) yang bertindak sebagai browser (B) yang digunakan untuk mengetes tampilan sistem pada browser Internet Explorer. 2. Pada komputer S dijalankan perangkat lunak yang dibangun dan pada komputer I dijalankan program-program eksploit terhadap komputer S. 3. Selanjutnya diamati apakah komputer S mampu menjalankan fungsi emulasi dan logging terhadap serangan dari komputer I. 5.3 PENILAIAN PENGUJIAN Penilaian terhadap kinerja perangkat lunak yang dibangun dilakukan secara objektif, dengan arti bahwa kemampuan sistem yang dibangun dalam mengemulasikan service yang dinginkan dan melakukan logging serangan-serangan yang didefinisikan padanya merupakan tolak ukur keberhasilan sistem ini. Penilaian kriteria ini adalah sebagai berikut : 1. Berhasil Sistem yang dibangun mampu mengemulasikan servis yang diinginkan dan melakukan logging dari serangan terhadap sistem 2. Gagal 25
Sistem tidak mampu mengemulasikan servis yang diinginkan dan tidak mampu melakukan logging dari serangan yang terjadi . 5.4 PENGUJIAN Pengujian perangkat lunak dilakukan dengan cara meng-compile ulang eksploit yang ada dan kemudian dijalankan pada komputer I dengan target komputer S. 5.4.1 Mekanisme Pengujian Komputer I dan komputer B akan melakukan pengaksesan layanan http pada komputer S. Setelah itu, komputer I akan melancarkan serangan terhadap komputer S, maka dilakukan pengujian secara objektif atas kinerja perangkat lunak yang dibangun. Disini yang menjadi parameter keberhasilan adalah kemampuan perangkat lunak mengemulasikan servis yang diinginkan dan melakukan logging terhadap upaya serangan yang terjadi. 5.4.2 Pemilihan Exploit Exploit yang dipergunakan dipilih dengan kriteria mampu melakukan permintaan koneksi http terhadap servis yang diemulasikan serta bersifat remote exploit. Kemampuan exploit yang digunakan pada saat implementasi adalah : Mampu mengirimkan connection request ke port 80/TCP Mampu mengirimkan suatu eksploit tertentu kepada Apache web service. Beberapa exploit yang digunakan pada percobaan implementasi sistem adalah : apache-nosejob.c Exploit ini menyerang kelemahan Apache web server berupa Apache Chunked-Encoding Memory Corruption Vulnerability (BugTraq ID : 5033). Berikut merupakan deskripsi serangan yang dilakukan oleh exploit ini dikutip dari securityfocus.com : When processing requests coded with the 'Chunked Encoding' mechanism, Apache fails to properly calculate required buffer sizes. This is believed to be due to improper (signed) interpretation of an unsigned integer value. Consequently, several conditions may occur that have security implications. It has been reported that a buffer overrun and signal race condition occur. Exploitation of these conditions may result in the execution of arbitrary code.
26
apacheslash.c Exploit ini menyerang kelemahan Apache web server berupa Apache Artificially Long Slash Path Directory Listing Vulnerability (BugTraq ID : 2503). Berikut merupakan deskripsi serangan yang dilakukan oleh exploit ini dikutip dari securityfocus.com : A problem in the package could allow directory indexing, and path discovery. In a default configuration, Apache enables mod_dir, mod_autoindex, and mod_negotiation. However, by placing a custom crafted request to the Apache server consisting of a long path name created artificially by using numerous slashes, this can cause these modules to misbehave, making it possible to escape the error page, and gain a listing of the directory contents. This vulnerability makes it possible for a malicious remote user to launch an information gathering attack, which could potentially result in compromise of the system. Additionally, this vulnerability affects all releases of Apache previous to 1.3.19. Apache2-nuke.pl Exploit ini menyerang kelemahan Apache web server berupa Apache Web Server MS-DOS Device Name Denial Of Service Vulnerability (BugTraq ID : 6662). Berikut merupakan deskripsi serangan yang dilakukan oleh exploit ini dikutip dari securityfocus.com : A vulnerability has been reported in Apache Web server for Microsoft Windows. The vulnerability exists in the way some HTTP requests are handled by the Apache Web server. Specifically, HTTP GET requests that involve reserved MS-DOS device names may cause the Apache Web server to crash. 5.5 ANALISA 5.5.1 Keberhasilan Sistem Pada pelaksanaan pengujian sistem, perangkat lunak mampu melakukan fungsinya mengemulasikan servis yang diinginkan dan melakukan logging serangan eksploit yang dilancarkan. Hasil emulasi yang akan ditampilkan tergantung kepada koneksi yang dibangun oleh intruder. Pada komputer B, digunakan browser Internet Explorer 5.00 untuk melakukan pengaksesan layanan http berupa halaman index pada komputer S. Komputer S 27
menjawab permintaan akses tersebut dengan kode 200 OK dikarenakan permintaan akses tersebut ada pada komputer S. Pada komputer I, digunakan browser Lynx 2.8.4 dan Mozilla 0.9.9. Dengan browser Lynx, dicoba untuk melakukan pengaksesan halaman /manual/index.html. Permintaan akses tersebut dijawab dengan kode error 404 Not Found, karena halaman tersebut tidak ada pada komputer S. Dengan browser Mozilla, dicoba untuk melakukan pengaksesan dimana karakter yang dikirimkan melebihi batas maksimum karakter dari standardisasi HTTP 1.0/1.1. Permintaan akses tersebut dijawab dengan kode error 414 Request-URI Too Large, dimana kode error ini merupakan bagian dari standardisasi HTTP 1.0/1.1 untuk menjawab pengaksesan seperti tersebut di atas. Pencatatan koneksi dari browser browser tersebut dilakukan oleh sistem honeypot ke dalam log file, sebagai bukti telah terjadi upaya pengaksesan sistem honeypot. 5.5.2 Pemeriksaan Log File Untuk mengetahui adanya suatu usaha intrusi pada jaringan, dapat diketahui dengan dua cara. Pertama, dari konsep honeypot itu sendiri. Dikarenakan honeypot tidak memberikan suatu layanan tertentu maka hampir dapat dipastikan bahwa trafik yang menuju kepada honeypot merupakan suatu usaha intrusi. Kedua, dari pemeriksaan log file yang dihasilkan oleh sistem honeypot. Dari log file dapat diketahui adanya usaha intrusi tersebut dan dapat dilihat karakteristik dari suatu exploit. Berikut ini merupakan contoh log file dari koneksi menggunakan browser :GET /manual/index.html HTTP/1.0 Host: 10.10.10.5 Accept: text/html, text/plain, audio/mod, image/*, video/mpeg, video/*, application/pgp, application/pdf, application/postscript, message/partial, message/external-body, x-be2, application/andrewinset, text/richtext, text/enriched, x-sun-attachment Accept: audio-file, postscript-file, default, mail-file, sundeskset-message, application/x-metamail-patch, application/msword, text/sgml, */*;q=0.01 Accept-Encoding: gzip, compress Accept-Language: en User-Agent: Lynx/2.8.4rel.1 libwww-FM/2.14 SSL-MM/1.4.1 OpenSSL/0.9.6b Referer: http://10.10.10.5/
28
Sedangkan contoh berikut merupakan contoh log file dari koneksi yang dibangun oleh suatu exploit :GET ///////////////////////// HTTP/1.0 GET ////////////////////////// HTTP/1.0 GET /////////////////////////// HTTP/1.0
Dari kedua contoh di atas, dapat dilihat perbedaan dari keduanya. Jika ada seorang user biasa yang secara tidak sengaja terkoneksi pada honeypot, maka log file dari honeypot akan mencatat adanya suatu variabel berupa User-Agent yang merupakan web browser dari user tersebut. Variabel tersebut muncul karena pada umumnya user menggunakan sebuah web browser untuk terkoneksi dengan web server (pemberi layanan http). Sementara itu, exploit yang digunakan oleh intruder langsung terkoneksi dengan web server dan tidak menggunakan web browser. Untuk mengetahui karakteristik dari exploit yang digunakan bisa dilihat dari karakter karakter yang dikirimkan oleh exploit ketika terkoneksi dengan web server. Pada contoh di atas, exploit mengirimkan banyak sekali karakter slash pada web server dimana hal ini bukan merupakan sebuah permintaan yang umum dari sebuah web browser.
29
BAB VI KESIMPULAN Beberapa kesimpulan yang dapat diambil dari tulisan ini : Pengamanan sistem/jaringan komputer biasanya dilakukan dengan cara melakukan instalasi firewall dan intrusion detection system (IDS). Firewall digunakan untuk membatasi jumlah paket data yang masuk ke dalam jaringan sedangkan intrusion detection system (IDS) digunakan untuk mendeteksi usaha usaha intrusi yang dialami oleh sistem/jaringan komputer. Intrusion detection system (IDS) yang digunakan secara umum biasanya menggunakan suatu signature database untuk mendeteksi apakah suatu paket data berbahaya bagi keamanan sistem/jaringan komputer atau tidak. Signature database yang digunakan oleh intrusion detection system (IDS) tersebut harus diperbarui (update) secara berkala, agar exploit exploit terbaru (0-day exploit) dapat terdeteksi. Honeypot dapat digunakan untuk membantu intrusion detection system (IDS) mendeteksi usaha intrusi terhadap sistem/jaringan komputer.
30
DAFTAR PUSTAKA
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10]
Computer Security Institute. Computer Security Issues & Trends vol. III no. 1, 2002. Computer Security Institute. Spitzner, Lance. Honeypots : Definitions and Value of Honeypots, 2003. http://www.tracking-hackers.com Honeynet Project. Know Your Enemy : Honeynet, 2003. http://project.honeynet.org Honeynet Project. Know Your Enemy : Defining Virtual Honeynets, 2003. http://project.honeynet.org Spitzner, Lance. Honeypots : Simple Cost Effective Detection, 2003. http://www.securityfocus.com Pressman, Roger S. Software Engineering : A Practitioners Approach fourth edition, 1997. Mc-Graw Hill International Edition. Indrajit, Richardus Eko; Prastowo, B.N.; dan Yuliardi Rofiq. Memahami Security Linux, 2002. Elex Media Komputindo Rudianto, Dudy. Perl untuk Pemula, 2003. Elex Media Komputindo Purbo, Onno W. dan Wiharjito, Tony. Keamanan Jaringan Internet, 2000. Elex Media Komputindo Sulistyo, Eko, Tribroto Harsono, Fazmah Arif Yulianto. Studi Implementasi Honeypot Sebagai Salah Satu Alat Deteksi Pada Keamanan Jaringan, 2003. STTTelkom.
31
LAMPIRAN : TAMPILAN DISPLAY DAN LOG 1. Display koneksi lewat browser Internet Explorer 5.00 200 OK
Mozilla 0.9.9 414 Request-URI Too Large
32
Lynx 2.8.4 404 Not Found
2. Log koneksi browser Internet Explorer 5.00 :GET / HTTP/1.1 Accept: */* Accept-Language: en-us Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0) Host: 10.10.10.5 Connection: Keep-Alive GET /apache_pb.gif HTTP/1.1 Accept: */* Referer: http://10.10.10.5/ Accept-Language: en-us Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0) Host: 10.10.10.5 Connection: Keep-Alive
33
Mozilla 0.9.9GET /111111111111111111111111111111111111111111111111111111111111111111111 1111111111111111111111111111111111111111111111111111111111111111111111 1111111111111111111111111111111111111111111111111111111111111111111111 1111111111111111111111111111111111111111111111111111111111111111111111 1111111111111111111111111111111111111111111111111111111111111111111111 1111111111111111111111111111111111111111111111111111111111111111111111 1111111111111111111111111111111111111111111111111111111111111111111111 1111111111111111111111111111111111111111111111111111111111111111111111 1111111111111111111111111111111111111111111111111111111111111111111111 11111111111111111111111111111111111111111111111111111111111111 HTTP/1.1 Host: 10.10.10.5 User-Agent: Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/pl ain;q=0.8,video/xmng,image/png,image/jpeg,image/gif;q=0.2,text/css,*/*;q=0.1 Accept-Language: en-us, en;q=0.50 Accept-Encoding: gzip, deflate, compress;q=0.9 Accept-Charset: ISO-8859-1, utf-8;q=0.66, *;q=0.66 Keep-Alive: 300 Connection: keep-alive Mozilla/5.0 (X11; U; Linux i686; en-US; rv:0.9.9) Gecko/20020408
Lynx 2.8.4GET /manual/index.html HTTP/1.0 Host: 10.10.10.5 Accept: text/html, text/plain, audio/mod, image/*, video/mpeg, video/*, application/pgp, application/pdf, application/postscript, message/partial, message/external-body, x-be2, application/andrewinset, text/richtext, text/enriched, x-sun-attachment Accept: audio-file, postscript-file, default, mail-file, sun-desksetmessage, application/x-metamail-patch, application/msword, text/sgml, */*;q=0.01 Accept-Encoding: gzip, compress Accept-Language: en User-Agent: Lynx/2.8.4rel.1 libwww-FM/2.14 SSL-MM/1.4.1 OpenSSL/0.9.6b Referer: http://10.10.10.5/
34
3. Log koneksi exploit apache-nosejob.c
apacheslash.cGET ///////////////////////// HTTP/1.0 GET ////////////////////////// HTTP/1.0 GET /////////////////////////// HTTP/1.0
Apache2-nuke.pl GET /aux HTTP/1.0
35