Klasifikasi Honeypot
Honeypot
dapat diklasifikasikan berdasarkan kepada tingkat interaksi yang dimilikinya.
Tingkat interaksi dapat didefinisikan sebagai tingkat aktivitas penyerang /
intruder di dalam sistem yang diperbolehkan oleh honeypot.
•
Low
– Interaction Honeypot
Sebuah low –
interaction honeypot (honeypot dengan tingkat interaksi rendah) adalah sebuah
honeypot yang didesain untuk mengemulasikan service (layanan) seperti pada
server asli. Penyerang hanya mampu memeriksa dan terkoneksi ke satu atau
beberapa port.
Kelebihan Low –
Interaction Honeypot
- Mudah di install, dikonfigurasi, deployed, dan dimaintain
- Mampu mengemulasi suatu layanan seperti http, ftp, telnet, dsb
- Difungsikan untuk deteksi serangan, khususnya pada proses scanning atau percobaan pembukaan koneksi pada suatu layanan.
Kekurangan Low –
Interaction Honeypot
- Layanan yang di berikan hanya berupa emulasi, sehingga penyerang tidak dapat berinteraksi secara penuh dengan layanan yang diberikan atau sistem operasinya secara langsung
- Informasi yang bisa kita dapatkan dari penyerang sangat minim.
- Apabila serangan dilakukan oleh “real person” bukan “automated tools” mungkin akan segera menyadari bahwa yang sedang dihadapi merupakan mesin honeypot, karena keterbatasan layanan yang bisa diakses.
•
Medium
– Interaction Honeypot
Sebuah medium – interaction
honeypot memiliki kemampuan yang lebih banyak untuk berinteraksi dengan
penyerang dibandingkan low-interaction honeypot namun tidak sebanyak
high-interaction honeypot. Pada honeypot ini emulasi layanan dapat ditambahkan
berbagai macam fitur tambahan sehingga seakanakan penyerang benar-benar sedang
berinteraksi dengan layanan yang sebenarnya.
Kelebihan Medium
– Interaction Honeypot
- Memiliki kemampuan lebih baik dari low interaction honeypot.
- Memiliki fitur tambahan, sehingga penyerang merasa benar-benar berinteraksi dengan sistem.
Kekurangan
Medium – Interaction Honeypot
- Sistem tersebut cukup kompleks.
- Memerlukan usaha lebih untuk maintain dan deploy sistem tersebut sehingga akses yang diberikan kepada penyerang benar-benar terjamin tingkat keamanannya namun tetap dapat memberikan suasana sistem yang nyata bagi penyerang sehingga penyerang tersebut tidak curiga bahwa aktivitasnya sedang di monitor.
•
High
– Interaction Honeypot
Pada high –
interaction honeypot terdapat sistem operasi dimana penyerang dapat
berinteraksi secara langsung dan tidak ada suatu batasan (“chroot/jail”) yang
membatasi interaksi tersebut. Dengan dihilangkannya batasan – batasan tersebut,
maka tingkat risiko yang dihadapi semakin tinggi karena penyerang dapat
memiliki akses root. Pada saat yang sama, kemungkinan pengumpulan informasi
semakin meningkat dikarenakan kemungkinan serangan yang tinggi.
Kelebihan High –
Interaction Honeypot
- Penyerang berinteraksi langsung dengan sistem yang nyata termasuk diantaranya sistem operasi, network, hingga layanan yang diberikan ( web, ssh service, mail service, dll )
- Umumnya dibangun suatu sistem khusus dengan topologi yang telah dipersiapkan.
- Sistem tersebut biasanya terdiri dari berbagai macam implementasi dari teknologi keamanan yang banyak digunakan untuk melindungi suatu sistem, seperti firewall, IDS/IPS, router, dll.
- Target serangan berupa sistem operasi sebenarnya yang siap untuk berinteraksi secara langsung dengan penyerang.
Kekurangan High
– Interaction Honeypot
- Perencanaan dan implementasi sistem jauh lebih rumit dan dibutuhkan banyak pertimbangan.
- High-interaction honeypot bersifat tidak efisien karena membutuhkan pengawasan berkala.
- Apabila telah diambil alih oleh penyerang maka honeypot tersebut dapat menjadi ancaman bagi jaringan yang ada.
Malware Forensik part 1 Denih Suteja
Malware Forensik part 2 M. Reza F.
Malware Forensik part 3 Tri Sulistyo O.
Malware Forensik part 2 M. Reza F.
Malware Forensik part 3 Tri Sulistyo O.
0 comments
Post a Comment