Postingan
Klasifikasi Honeypot
berdasarkan Level Interaksi
Low-Interaction Honeypot
Low-Interaction Honeypot merupakan
yang paling mudah diinstal dan dipelihara karena desainnya yang sederhana dan
fungsionalitas dasar. Normalnya teknologi ini hanya meniru berbagai macam
service. Contohnya, honeypot dapat meniru server Unix dengan beberapa service
yang berjalan, seperti Telnet dan FTP. Penyerang dapat melakukan Telnet ke
honeypot, mendapatkan identitas system operasi, dan bahkan mendapatkan prompt
login. Penyerang dapat melakukan login dengan metode brute force atau menebak
password. Honeypot akan merekam dan mengumpulkan percobaan login yang dilakukan
oleh penyerang. Selain itu klasifikasi Honeypot tipe ini juga difungsikan untuk
deteksi serangan, khususnya pada proses scanning atau percobaan. Karena
low-interaction honeypot mudah untuk dideploy dan dipelihara karena
keterbatasan kemampuan interaksi yang juga mengurangi resiko. Juga karena
keterbatasan itu pula, low-interaction honeypot hanya menyimpan data sebagai
berikut :
·
Tanggal dan waktu serangan
·
Sumber alamat IP dan port dari serangan
·
Tujuan alamat IP dan port serangan
Dengan keterbatasan fitur yang
dimiliki oleh low-interaction honeypot, terdapat beberapa kekurangan yang
dimiliknya, diantaranya layanan yang di berikan hanya berupa emulasi, sehingga
penyerang tidak dapat berinteraksi secara penuh dengan layanan yang diberikan
atau sistem operasinya secara langsung. Yang paling krusial yaitu apabila
penyerang merupakan orang asli dan tidak menggunakan tools otomatis seperti
trojan atau worm maka penyerang dapat segera menyadari bahwa yang dihadapi
olehnya adalah honeypot dan bukan system sebenarnya karena minimnya service
yang bisa diakses.
Medium-Interaction Honeypot
Medium-interaction honeypot menyediakan
kemampuan interaksi yang lebih bila dibandingkan dengan low-interaction
honeypot namun fungsionalitasnya masih dibawah high-interaction honeypot.
Contohnya, honeypot dapat dibuat untuk meniru Microsoft IIS web server termasuk
fungsionalitas tambahan yang biasa terdapat pada dirinya. IIS web server yang
ditiru dapat dirubah sesuai dengan keiginan penyerang. Ketika koneksi HTTP
dibuat oleh honeypot, ia akan merespon sebagai IIS web server dan memberikan
peluang kepada penyerang.
Dengan kemampuan yang dimiliki oleh
medium-interaction honeypot, perlu diperhatikan bahwa medium-interaction
honeypot cukup kompleks sehingga diperlukan usaha yang lebih untuk pemeliharaan
dan deploy system sehingga penyerang tidak akan mencurigai system yang
diserangnya adalah sebuah honeypot. Walaupun begitu, medium-interaction
honeypot menghasilkan informasi yang lebih banyak bila dibandingkan dengan
low-level interaction.
High-Interaction Honeypot
High-Interaction Honeypot adalah
teknologi honeypot yang paling ekstrim. Ia memberikan informasi yang sangat
banyak mengenai penyerang tapi memerlukan waktu untuk mendapatkannya. Tujuan
dari high-interaction honeyspot adalah memberikan akses system operasi yang
nyata kepada penyerang dimana tidak ada batasan yang ditentukan. Sistem
tersebut biasanya terdiri dari berbagai macam implementasi dari teknologi
keamanan yang banyak digunakan untuk melindungi suatu sistem, seperti firewall,
IDS/IPS, router, dll.
Karena mekanisme control yan luas,
high-interaction honeypot sangatlah sulit dan menghabiskan waktu untuk dinstal
dan dikonfigurasikan. Berbagai macam teknologi yang berbeda terllibat disini
seperti firewall atau Intrusion Detection System (IDS) haruslah disesuaikan
dengan seksama. Pemeliharaannya pun menghabiskan waktu, seperti mengupdate
rulebase firewall dan signature database IDS serta mengawasi honeyspot terus
menerus. High-interaction Honeypot akan menjadi solusi yang baik apabila
diimplementasikan dengan benar, dan begitu pula kebalikannya jika
high-interaction honeypot tidak diimplementasikan dengan benar maka penyerang
dapat mengambil alih dan ia akan menjadi bumerang yang berbahaya.
