Honeynet Project tahun ini akan mengadakan workshop di Dubai.
Workshop akan diadakan pada tanggal 10 Pebruari sampai 12 Pebruari.
Lihat websitenya di:
http://www.honeynet.org/node/dubai2013
http://dubai2013.honeynet.org/
Tuesday, 29 January 2013
Saturday, 26 January 2013
Proactive Detection of Security Incidents - Honeypot
Dapat dari Internet, sebuah laporan tentang honeypot yang diterbitkan oleh ENISA (European Network and Information Security Agency). Laporan ini merupakan study tentang teknologi Honeypot yang cukup lengkap. Laporan ini diterbitkan pada tanggal 22 November 2012.
Silahkan baca di:
http://www.enisa.europa.eu/activities/cert/support/proactive-detection-of-security-incidents-II-honeypots
Selamat membaca!!
Silahkan baca di:
http://www.enisa.europa.eu/activities/cert/support/proactive-detection-of-security-incidents-II-honeypots
Selamat membaca!!
Pembagian jenis honeypot berdasarkan interaksi penyerang
Honeypot dapat dibagi menjadi tiga jenis berdasarkan tingkat interaksi peyerang terhadap sebuah honeypot, yaitu:
- High interaction
- Medium interaction
- Low interaction
High interaction honeypot adalah sebuah honeypots yang menyediakan sistem operasi nyata (real operating system) untuk diserang tanpa adanya batasan-batasan. Dengan menggunakan honeypot jenis ini diharapkan akan mendapatkan banyak data tentang aktivitas penyerang.
Medium interaction honeypot, berbeda dengan high interaction honeypots, honeypot jenis ini menyediakan lebih sedikit interaksi dibandingkan dengan high interaction honeypots. Honeypot jenis ini tidak memiliki sistem operasi nyata yang lengkap, beberapa layanan teknis disimulasikan.
Dalam low interaction honeypots, layanan-layanan disimulasikan sehingga penyerang tidak bisa mendapatkan akses penuh terhadap honeypot. Pada honeypot jenis ini, penyerang tidak berinteraksi dengan sistem operasi nyata.
- High interaction
- Medium interaction
- Low interaction
High interaction honeypot adalah sebuah honeypots yang menyediakan sistem operasi nyata (real operating system) untuk diserang tanpa adanya batasan-batasan. Dengan menggunakan honeypot jenis ini diharapkan akan mendapatkan banyak data tentang aktivitas penyerang.
Medium interaction honeypot, berbeda dengan high interaction honeypots, honeypot jenis ini menyediakan lebih sedikit interaksi dibandingkan dengan high interaction honeypots. Honeypot jenis ini tidak memiliki sistem operasi nyata yang lengkap, beberapa layanan teknis disimulasikan.
Dalam low interaction honeypots, layanan-layanan disimulasikan sehingga penyerang tidak bisa mendapatkan akses penuh terhadap honeypot. Pada honeypot jenis ini, penyerang tidak berinteraksi dengan sistem operasi nyata.
Script untuk setup honeypot secara otomatis
Monday, 24 December 2012
Komponen Dasar Honeypot
Selain honeypot sendiri, biasanya terdapat beberapa komponen lain sebagai pendukung, diantaranya:
- Perangkat keras jaringan seperti firewall, router, dan switch.
- Monitoring/logging tools, berfungsi sebagai alat yang menghasilkan log untuk memonitor dan mencatat aktivitas penyerang, log ini akan dikirim ke management workstation.
- Management workstation, berfungsi sebagai perangkat pengumpul log dan monitoring terpusat.
- Alerting mechanism, berfungsi sebagai pemberi peringatan ke administrator jika terjadi serangan.
- Keystroke logger, berfungsi untuk mencatat perintah-perintah yang diketik oleh penyerang.
- Packet analyzer, berfungsi untuk menganalisa paket yang lewat antara honeypot dan dunia luar seperti IDS (Intrusion Detection System).
- Data backup, berfungsi untuk membackup honeypot yang telah dimodifikasi oleh penyerang.
- Forensic tools, berfungsi untuk melakukan analisa forensik.
- Research resources, bisa berupa buku-buku, tulisan-tulisan, dan informasi dari website (contohnya informasi yang ada di website http://www.honeynet.org)
- Perangkat keras jaringan seperti firewall, router, dan switch.
- Monitoring/logging tools, berfungsi sebagai alat yang menghasilkan log untuk memonitor dan mencatat aktivitas penyerang, log ini akan dikirim ke management workstation.
- Management workstation, berfungsi sebagai perangkat pengumpul log dan monitoring terpusat.
- Alerting mechanism, berfungsi sebagai pemberi peringatan ke administrator jika terjadi serangan.
- Keystroke logger, berfungsi untuk mencatat perintah-perintah yang diketik oleh penyerang.
- Packet analyzer, berfungsi untuk menganalisa paket yang lewat antara honeypot dan dunia luar seperti IDS (Intrusion Detection System).
- Data backup, berfungsi untuk membackup honeypot yang telah dimodifikasi oleh penyerang.
- Forensic tools, berfungsi untuk melakukan analisa forensik.
- Research resources, bisa berupa buku-buku, tulisan-tulisan, dan informasi dari website (contohnya informasi yang ada di website http://www.honeynet.org)
Thursday, 20 December 2012
Kenapa menggunakan honeypot?
Apakah gunanya kita memasang honeypot?
1. Mengurangi false positive
Ketika sebuah security tool (misalnya IDS) mendeteksi adanya kegiatan nonmalicious (tidak baik) sebagai malicious (baik), itu dinamakan false positive sedangkan false negative adalah sebaliknya.
2. Sebagai Early Detection
Karena sedikitnya false positive maka honeypot sangat cocok digunakan sebagai Early Detection. Ancaman yang terdeteksi oleh honeypot adalah ancaman yang nyata. Beberapa administrator menggunakan honeytoken sebagai Early Detection. Sebuah honeytoken bisa berupa obyek apa saja yang tidak memiliki nilai produksi. Contohnya sebuah account administrator yang tidak memiliki hak apapun.
3. Pendeteksi ancaman baru.
Karena ancaman yang dideteksi oleh honeypot adalah ancaman yang nyata, maka ancaman yang sebelumnya tidak diketahui bisa segera diketahui.
4. Know your Enemy (mengenali musuh)
Know your Enemy merupakan judul buku karangan Lance Spitzner yang sangat cocok menggambarkan fungsi honeypot. Honeypot dapat digunakan untuk mempelajari serangan-serangan hacker atau cracker baik secara umum maupun khusus. Jenis honeypot seperti ini dinamakan research honeypot. Honeypot dapat bekerja dengan IP v4 atau IP v6.
5. Sebagai Forensic Tool
Honeypot dapat digunakan untuk mengumpulkan bukti-bukti penyerangan hacker atau cracker.
1. Mengurangi false positive
Ketika sebuah security tool (misalnya IDS) mendeteksi adanya kegiatan nonmalicious (tidak baik) sebagai malicious (baik), itu dinamakan false positive sedangkan false negative adalah sebaliknya.
2. Sebagai Early Detection
Karena sedikitnya false positive maka honeypot sangat cocok digunakan sebagai Early Detection. Ancaman yang terdeteksi oleh honeypot adalah ancaman yang nyata. Beberapa administrator menggunakan honeytoken sebagai Early Detection. Sebuah honeytoken bisa berupa obyek apa saja yang tidak memiliki nilai produksi. Contohnya sebuah account administrator yang tidak memiliki hak apapun.
3. Pendeteksi ancaman baru.
Karena ancaman yang dideteksi oleh honeypot adalah ancaman yang nyata, maka ancaman yang sebelumnya tidak diketahui bisa segera diketahui.
4. Know your Enemy (mengenali musuh)
Know your Enemy merupakan judul buku karangan Lance Spitzner yang sangat cocok menggambarkan fungsi honeypot. Honeypot dapat digunakan untuk mempelajari serangan-serangan hacker atau cracker baik secara umum maupun khusus. Jenis honeypot seperti ini dinamakan research honeypot. Honeypot dapat bekerja dengan IP v4 atau IP v6.
5. Sebagai Forensic Tool
Honeypot dapat digunakan untuk mengumpulkan bukti-bukti penyerangan hacker atau cracker.
Wednesday, 19 December 2012
Apa itu honeypot?
Sebuah honeypot menurut Lance Spitzner adalah sebuah sumber daya sistem informasi dimana nilainya justru berada pada penyalah gunaan sumber daya sistem informasi tersebut.
Dari definisi tersebut di atas tidak disebutkan secara khusus yang dimaksud dengan sumber daya sistem informasi jadi sumber daya informasi disini bisa berupa workstation, file server, mail server, printer, router, peralatan jaringan, dan bahkan sebuah jaringan.
Kumpulan dari honeypot yang dikendalikan oleh seseorang atau organisasi dinamakan honeynet. Sebuah honeynet bisa terdiri dari empat buah server yang jalan di sistem operasi yang berbeda, yaitu: Windows 2000, Windows NT, Windows Server 2003, dan Internet Information Server (IIS).
Sebuah honeypot sengaja dibuat untuk "diserang" dan tidak memiliki nilai produksi di luar dari tujuan dipasangnya honeypot tersebut.
Berdasarkan tujuan pemasangan, honeypot dapat dibagi dalam dua jenis, yaitu:
1. Production honeypot
2. Research honeypot
Tujuan utama dari production honeypot adalah untuk membantu mengurangi resiko keamanan jaringan pada sebuah organisasi. Production honeypot dapat memberikan suatu nilai tambah bagi keamanan jaringan pada sebuah organisasi. Jenis kedua, research honeypot, adalah honeypot yang didesain untuk mendapatkan informasi mengenai aktivitas-aktivitas dari penyerang atau penyusup. Research honeypot tidak memberikan suatu nilai tambah secara langsung kepada suatu organisasi, melainkan digunakan sebagai alat untuk mempelajari ancaman-ancaman keamanan yang mungkin dihadapi.
Subscribe to:
Posts (Atom)