Honeypot adalah perangkap diatur untuk mendeteksi, membelokkan, atau dalam beberapa cara melawan upaya penggunaan yang tidak sah dari sistem informasi. Umumnya terdiri dari komputer, data, atau situs jaringan yang muncul untuk menjadi bagian dari jaringan, tetapi sebenarnya terisolasi dan dimonitor, dan yang tampaknya mengandung informasi atau sumber daya yang berharga kepada penyerang.
Honeypots dapat
diklasifikasikan berdasarkan penyebaran dan berdasarkan tingkat keterlibatan. Berdasarkan
penyebaran, honeypots dapat diklasifikasikan sebagai:
1. Produksi honeypot
1. Produksi honeypot
2. Penelitian honeypots
Honeypots produksi mudah digunakan, hanya menangkap informasi terbatas, dan digunakan terutama oleh perusahaan atau korporasi; honeypots Produksi ditempatkan di dalam jaringan produksi dengan server produksi lainnya oleh organisasi untuk meningkatkan kondisi mereka secara keseluruhan keamanan. Biasanya, honeypots produksi honeypots interaksi rendah, yang lebih mudah untuk menyebarkan. Mereka memberikan sedikit informasi tentang serangan atau penyerang dari honeypots penelitian lakukan.
Penelitian honeypots dijalankan untuk mengumpulkan informasi tentang motif dan taktik masyarakat Blackhat menargetkan jaringan yang berbeda. Honeypots ini tidak menambah nilai langsung ke organisasi tertentu,. Sebagai gantinya, mereka digunakan untuk penelitian wajah ancaman organisasi dan belajar bagaimana untuk melindungi terhadap ancaman tersebut honeypots Penelitian yang kompleks untuk menyebarkan dan mempertahankan, menangkap informasi yang luas, dan digunakan terutama oleh penelitian, militer, atau organisasi pemerintah.
Berdasarkan kriteria desain, honeypots dapat diklasifikasikan sebagai
1. Murni honeypots
2. Tinggi interaksi honeypots
3. Honeypots interaksi rendah
Honeypots murni penuh sistem produksi. Kegiatan penyerang dimonitor menggunakan keran kasual yang telah diinstal pada link honeypot untuk jaringan. Tidak ada perangkat lunak lain harus diinstal. Meskipun honeypot murni berguna, stealthiness dari mekanisme pertahanan dapat dipastikan dengan mekanisme yang lebih terkontrol.
Tinggi-interaksi honeypots meniru kegiatan dari sistem nyata yang menjadi tuan rumah berbagai layanan dan, karena itu, penyerang dapat memungkinkan banyak layanan membuang-buang waktu. Menurut penelitian terbaru dalam teknologi honeypot interaksi yang tinggi, dengan menggunakan mesin virtual, honeypots beberapa dapat host pada mesin fisik tunggal. Oleh karena itu, bahkan jika honeypot tersebut terganggu, maka dapat dikembalikan lebih cepat. Secara umum, honeypots interaksi yang tinggi memberikan keamanan lebih dengan menjadi sulit untuk mendeteksi, tetapi mereka sangat mahal untuk menjaga. Jika mesin virtual tidak tersedia, satu honeypot harus dipertahankan untuk setiap komputer fisik, yang dapat exorbitantly mahal. Contoh: Honeynet.
Honeypots interaksi rendah mensimulasikan hanya layanan sering diminta oleh penyerang. Karena mereka mengkonsumsi sumber daya yang relatif sedikit, mesin virtual dapat dengan mudah host pada satu sistem fisik, sistem virtual memiliki waktu respon yang singkat, dan kode kurang diperlukan, mengurangi kompleksitas keamanan sistem virtual. Contoh: Honeyd.
Honeypots produksi mudah digunakan, hanya menangkap informasi terbatas, dan digunakan terutama oleh perusahaan atau korporasi; honeypots Produksi ditempatkan di dalam jaringan produksi dengan server produksi lainnya oleh organisasi untuk meningkatkan kondisi mereka secara keseluruhan keamanan. Biasanya, honeypots produksi honeypots interaksi rendah, yang lebih mudah untuk menyebarkan. Mereka memberikan sedikit informasi tentang serangan atau penyerang dari honeypots penelitian lakukan.
Penelitian honeypots dijalankan untuk mengumpulkan informasi tentang motif dan taktik masyarakat Blackhat menargetkan jaringan yang berbeda. Honeypots ini tidak menambah nilai langsung ke organisasi tertentu,. Sebagai gantinya, mereka digunakan untuk penelitian wajah ancaman organisasi dan belajar bagaimana untuk melindungi terhadap ancaman tersebut honeypots Penelitian yang kompleks untuk menyebarkan dan mempertahankan, menangkap informasi yang luas, dan digunakan terutama oleh penelitian, militer, atau organisasi pemerintah.
Berdasarkan kriteria desain, honeypots dapat diklasifikasikan sebagai
1. Murni honeypots
2. Tinggi interaksi honeypots
3. Honeypots interaksi rendah
Honeypots murni penuh sistem produksi. Kegiatan penyerang dimonitor menggunakan keran kasual yang telah diinstal pada link honeypot untuk jaringan. Tidak ada perangkat lunak lain harus diinstal. Meskipun honeypot murni berguna, stealthiness dari mekanisme pertahanan dapat dipastikan dengan mekanisme yang lebih terkontrol.
Tinggi-interaksi honeypots meniru kegiatan dari sistem nyata yang menjadi tuan rumah berbagai layanan dan, karena itu, penyerang dapat memungkinkan banyak layanan membuang-buang waktu. Menurut penelitian terbaru dalam teknologi honeypot interaksi yang tinggi, dengan menggunakan mesin virtual, honeypots beberapa dapat host pada mesin fisik tunggal. Oleh karena itu, bahkan jika honeypot tersebut terganggu, maka dapat dikembalikan lebih cepat. Secara umum, honeypots interaksi yang tinggi memberikan keamanan lebih dengan menjadi sulit untuk mendeteksi, tetapi mereka sangat mahal untuk menjaga. Jika mesin virtual tidak tersedia, satu honeypot harus dipertahankan untuk setiap komputer fisik, yang dapat exorbitantly mahal. Contoh: Honeynet.
Honeypots interaksi rendah mensimulasikan hanya layanan sering diminta oleh penyerang. Karena mereka mengkonsumsi sumber daya yang relatif sedikit, mesin virtual dapat dengan mudah host pada satu sistem fisik, sistem virtual memiliki waktu respon yang singkat, dan kode kurang diperlukan, mengurangi kompleksitas keamanan sistem virtual. Contoh: Honeyd.
Honeyd:
Rendah-interaksi honeypot
Honeyd adalah honeypot interaksi rendah. Dikembangkan oleh Niels Provos, Honeyd adalah OpenSource dan dirancang untuk berjalan terutama pada sistem Unix (meskipun telah porting ke Windows). Honeyd bekerja pada konsep memantau ruang IP yang tidak terpakai. Setiap kali ia melihat upaya koneksi ke IP yang tidak terpakai, maka penyadapan sambungan dan kemudian berinteraksi dengan penyerang, berpura-pura menjadi korban. Secara default, Honeyd mendeteksi dan log koneksi apapun kepada UDP atau TCP port. Selain itu, Anda dapat mengkonfigurasi layanan ditiru untuk memonitor port tertentu, seperti server FTP ditiru pemantauan TCP port 21. Ketika seorang penyerang terhubung ke layanan ditiru, tidak hanya honeypot mendeteksi dan log aktivitas, tetapi menangkap semua interaksi penyerang dengan layanan ditiru. Dalam kasus server FTP ditiru, kita berpotensi dapat menangkap login penyerang dan password, perintah mereka masalah, dan bahkan mungkin mempelajari apa yang mereka cari atau identitas mereka. Itu semua tergantung pada tingkat persaingan oleh honeypot. Kebanyakan layanan ditiru bekerja dengan cara yang sama. Mereka mengharapkan jenis tertentu perilaku, dan kemudian diprogram untuk bereaksi dengan cara yang telah ditentukan. Jika serangan Sebuah hal ini, kemudian bereaksi dengan cara ini. Jika serangan B melakukan hal ini, kemudian merespon dengan cara ini. Keterbatasan adalah jika penyerang melakukan sesuatu yang emulasi tidak mengharapkan, maka tidak tahu bagaimana merespon. Honeypots paling rendah-interaksi, termasuk Honeyd, hanya menghasilkan pesan kesalahan. Anda dapat melihat apa perintah server FTP ditiru untuk mendukung Honeyd oleh review source code.
Honeyd adalah honeypot interaksi rendah. Dikembangkan oleh Niels Provos, Honeyd adalah OpenSource dan dirancang untuk berjalan terutama pada sistem Unix (meskipun telah porting ke Windows). Honeyd bekerja pada konsep memantau ruang IP yang tidak terpakai. Setiap kali ia melihat upaya koneksi ke IP yang tidak terpakai, maka penyadapan sambungan dan kemudian berinteraksi dengan penyerang, berpura-pura menjadi korban. Secara default, Honeyd mendeteksi dan log koneksi apapun kepada UDP atau TCP port. Selain itu, Anda dapat mengkonfigurasi layanan ditiru untuk memonitor port tertentu, seperti server FTP ditiru pemantauan TCP port 21. Ketika seorang penyerang terhubung ke layanan ditiru, tidak hanya honeypot mendeteksi dan log aktivitas, tetapi menangkap semua interaksi penyerang dengan layanan ditiru. Dalam kasus server FTP ditiru, kita berpotensi dapat menangkap login penyerang dan password, perintah mereka masalah, dan bahkan mungkin mempelajari apa yang mereka cari atau identitas mereka. Itu semua tergantung pada tingkat persaingan oleh honeypot. Kebanyakan layanan ditiru bekerja dengan cara yang sama. Mereka mengharapkan jenis tertentu perilaku, dan kemudian diprogram untuk bereaksi dengan cara yang telah ditentukan. Jika serangan Sebuah hal ini, kemudian bereaksi dengan cara ini. Jika serangan B melakukan hal ini, kemudian merespon dengan cara ini. Keterbatasan adalah jika penyerang melakukan sesuatu yang emulasi tidak mengharapkan, maka tidak tahu bagaimana merespon. Honeypots paling rendah-interaksi, termasuk Honeyd, hanya menghasilkan pesan kesalahan. Anda dapat melihat apa perintah server FTP ditiru untuk mendukung Honeyd oleh review source code.
Spam
versi
Spammer penyalahgunaan sumber daya rentan seperti open mail relay dan proxy terbuka. Beberapa administrator sistem telah menciptakan program honeypot yang menyamar sebagai sumber daya abusable untuk menemukan aktivitas spammer. Ada beberapa kemampuan honeypots tersebut memberikan kepada para administrator dan keberadaan seperti sistem abusable palsu membuat pelecehan lebih sulit atau berisiko. Honeypots dapat menjadi kuat untuk penanggulangan penyalahgunaan dari mereka yang bergantung pada penyalahgunaan volume yang sangat tinggi (misalnya, spammer).
Honeypots ini dapat mengungkapkan alamat IP nyata dari pelecehan dan memberikan menangkap spam yang massal (yang memungkinkan operator untuk menentukan URL spammer 'dan mekanisme respon). Untuk honeypots relay terbuka, adalah mungkin untuk menentukan alamat e-mail ("dropboxes") spammer digunakan sebagai target untuk pesan uji mereka, yang merupakan alat yang mereka gunakan untuk mendeteksi relay terbuka. Hal ini kemudian mudah untuk menipu spammer: mengirimkan segala estafet terlarang e-mail yang diterima ditujukan ke alamat e-mail dropbox. Yang memberitahu spammer honeypot adalah relay terbuka asli abusable, dan mereka sering merespon dengan mengirimkan sejumlah besar relay spam dengan honeypot, yang berhenti itu. Sumber jelas mungkin sistem lain-spammer disalahgunakan dan pelaku lain mungkin menggunakan rantai sistem disalahgunakan untuk membuat deteksi titik awal asli dari lalu lintas pelecehan sulit.
Hal ini sendiri merupakan indikasi dari kekuatan honeypots sebagai alat anti-spam. Pada hari-hari awal honeypots anti-spam, spammer, dengan sedikit perhatian untuk menyembunyikan lokasi mereka, merasa aman pengujian untuk kerentanan dan mengirimkan spam langsung dari sistem mereka sendiri. Honeypots membuat pelecehan berisiko dan lebih sulit.
Spam masih mengalir melalui relay terbuka, tapi volume jauh lebih kecil dari tahun 2001 sampai 2002. Sementara spam yang paling berasal di Amerika Serikat, spammer hop melalui relai terbuka melintasi batas-batas politik untuk menutupi asal-usul mereka. Operator honeypot dapat menggunakan tes estafet dicegat untuk mengenali dan menggagalkan upaya untuk relay spam melalui honeypots mereka. "Menggagalkan" bisa berarti "menerima relay spam namun penurunan untuk menyampaikan hal itu." Operator honeypot dapat menemukan rincian lain mengenai spam dan spammer dengan memeriksa pesan spam ditangkap.
Honeypots relay terbuka meliputi Jackpot, ditulis di Jawa, smtpot.py, ditulis dengan Python, dan spamhole, ditulis dalam C. Proxypot Bubblegum adalah honeypot proxy terbuka (atau proxypot).
Spammer penyalahgunaan sumber daya rentan seperti open mail relay dan proxy terbuka. Beberapa administrator sistem telah menciptakan program honeypot yang menyamar sebagai sumber daya abusable untuk menemukan aktivitas spammer. Ada beberapa kemampuan honeypots tersebut memberikan kepada para administrator dan keberadaan seperti sistem abusable palsu membuat pelecehan lebih sulit atau berisiko. Honeypots dapat menjadi kuat untuk penanggulangan penyalahgunaan dari mereka yang bergantung pada penyalahgunaan volume yang sangat tinggi (misalnya, spammer).
Honeypots ini dapat mengungkapkan alamat IP nyata dari pelecehan dan memberikan menangkap spam yang massal (yang memungkinkan operator untuk menentukan URL spammer 'dan mekanisme respon). Untuk honeypots relay terbuka, adalah mungkin untuk menentukan alamat e-mail ("dropboxes") spammer digunakan sebagai target untuk pesan uji mereka, yang merupakan alat yang mereka gunakan untuk mendeteksi relay terbuka. Hal ini kemudian mudah untuk menipu spammer: mengirimkan segala estafet terlarang e-mail yang diterima ditujukan ke alamat e-mail dropbox. Yang memberitahu spammer honeypot adalah relay terbuka asli abusable, dan mereka sering merespon dengan mengirimkan sejumlah besar relay spam dengan honeypot, yang berhenti itu. Sumber jelas mungkin sistem lain-spammer disalahgunakan dan pelaku lain mungkin menggunakan rantai sistem disalahgunakan untuk membuat deteksi titik awal asli dari lalu lintas pelecehan sulit.
Hal ini sendiri merupakan indikasi dari kekuatan honeypots sebagai alat anti-spam. Pada hari-hari awal honeypots anti-spam, spammer, dengan sedikit perhatian untuk menyembunyikan lokasi mereka, merasa aman pengujian untuk kerentanan dan mengirimkan spam langsung dari sistem mereka sendiri. Honeypots membuat pelecehan berisiko dan lebih sulit.
Spam masih mengalir melalui relay terbuka, tapi volume jauh lebih kecil dari tahun 2001 sampai 2002. Sementara spam yang paling berasal di Amerika Serikat, spammer hop melalui relai terbuka melintasi batas-batas politik untuk menutupi asal-usul mereka. Operator honeypot dapat menggunakan tes estafet dicegat untuk mengenali dan menggagalkan upaya untuk relay spam melalui honeypots mereka. "Menggagalkan" bisa berarti "menerima relay spam namun penurunan untuk menyampaikan hal itu." Operator honeypot dapat menemukan rincian lain mengenai spam dan spammer dengan memeriksa pesan spam ditangkap.
Honeypots relay terbuka meliputi Jackpot, ditulis di Jawa, smtpot.py, ditulis dengan Python, dan spamhole, ditulis dalam C. Proxypot Bubblegum adalah honeypot proxy terbuka (atau proxypot).
E-mail
perangkap
Alamat e-mail yang tidak digunakan untuk tujuan lain selain untuk menerima spam juga dapat dianggap sebagai honeypot spam. Dibandingkan dengan spamtrap panjang, "honeypot" istilah yang lebih baik mungkin disediakan untuk sistem dan teknik yang digunakan untuk mendeteksi atau counter serangan dan probe. Spam tiba di tempat tujuan "sah"-persis sebagai non-spam e-mail akan tiba.
Campuran dari teknik ini adalah Project Honey Pot. The, didistribusikan open-source Proyek honeypot menggunakan diinstal pada halaman website di seluruh dunia. Ini tangan halaman honeypot keluar unik tagged spamtrap e-mail. Spammer dan kemudian dapat dilacak karena mereka mengumpulkan dan kemudian mengirim ke alamat ini spamtrap e-mail.
Database honeypot
Database sering mendapatkan diserang oleh penyusup menggunakan SQL Injection. Karena kegiatan tersebut tidak diakui oleh firewall dasar, perusahaan sering menggunakan firewall database. Beberapa firewall database SQL yang tersedia menyediakan / mendukung arsitektur honeypot untuk membiarkan penyusup dijalankan terhadap database perangkap sedangkan aplikasi web masih berjalan seperti biasa.
Alamat e-mail yang tidak digunakan untuk tujuan lain selain untuk menerima spam juga dapat dianggap sebagai honeypot spam. Dibandingkan dengan spamtrap panjang, "honeypot" istilah yang lebih baik mungkin disediakan untuk sistem dan teknik yang digunakan untuk mendeteksi atau counter serangan dan probe. Spam tiba di tempat tujuan "sah"-persis sebagai non-spam e-mail akan tiba.
Campuran dari teknik ini adalah Project Honey Pot. The, didistribusikan open-source Proyek honeypot menggunakan diinstal pada halaman website di seluruh dunia. Ini tangan halaman honeypot keluar unik tagged spamtrap e-mail. Spammer dan kemudian dapat dilacak karena mereka mengumpulkan dan kemudian mengirim ke alamat ini spamtrap e-mail.
Database honeypot
Database sering mendapatkan diserang oleh penyusup menggunakan SQL Injection. Karena kegiatan tersebut tidak diakui oleh firewall dasar, perusahaan sering menggunakan firewall database. Beberapa firewall database SQL yang tersedia menyediakan / mendukung arsitektur honeypot untuk membiarkan penyusup dijalankan terhadap database perangkap sedangkan aplikasi web masih berjalan seperti biasa.
Deteksi
Sama seperti honeypots adalah senjata melawan spammer, sistem deteksi honeypot adalah spammer-kontra-senjata digunakan. Sebagai sistem deteksi kemungkinan akan menggunakan karakteristik unik honeypots khusus untuk mengidentifikasi mereka, banyak honeypots digunakan membuat himpunan karakteristik yang unik yang lebih besar dan lebih menakutkan bagi mereka yang mencari untuk mendeteksi dan dengan demikian mengidentifikasi mereka. Ini adalah keadaan yang tidak biasa dalam software: situasi di mana "versionitis" (sejumlah besar versi dari perangkat lunak yang sama, semua berbeda sedikit dari satu sama lain) dapat bermanfaat. Ada juga keuntungan dalam memiliki beberapa mudah mendeteksi honeypots dikerahkan. Fred Cohen, penemu Deception Toolkit, bahkan berpendapat bahwa setiap sistem menjalankan honeypot-nya harus memiliki port penipuan yang lawan dapat digunakan untuk mendeteksi honeypot. Cohen percaya bahwa hal ini mungkin menghalangi musuh.
Sama seperti honeypots adalah senjata melawan spammer, sistem deteksi honeypot adalah spammer-kontra-senjata digunakan. Sebagai sistem deteksi kemungkinan akan menggunakan karakteristik unik honeypots khusus untuk mengidentifikasi mereka, banyak honeypots digunakan membuat himpunan karakteristik yang unik yang lebih besar dan lebih menakutkan bagi mereka yang mencari untuk mendeteksi dan dengan demikian mengidentifikasi mereka. Ini adalah keadaan yang tidak biasa dalam software: situasi di mana "versionitis" (sejumlah besar versi dari perangkat lunak yang sama, semua berbeda sedikit dari satu sama lain) dapat bermanfaat. Ada juga keuntungan dalam memiliki beberapa mudah mendeteksi honeypots dikerahkan. Fred Cohen, penemu Deception Toolkit, bahkan berpendapat bahwa setiap sistem menjalankan honeypot-nya harus memiliki port penipuan yang lawan dapat digunakan untuk mendeteksi honeypot. Cohen percaya bahwa hal ini mungkin menghalangi musuh.
Honeynets
Dua atau lebih honeypots pada jaringan membentuk Honeynet. Biasanya, Honeynet yang digunakan untuk memantau jaringan yang lebih besar dan / atau lebih beragam di mana satu honeypot mungkin tidak cukup. Honeynets dan honeypots biasanya diimplementasikan sebagai bagian dari sistem deteksi intrusi jaringan yang lebih besar. Honeyfarm adalah koleksi terpusat honeypots dan alat analisis.
Konsep yang pertama Honeynet dimulai pada 1999 ketika Lance Spitzner, pendiri Honeynet Project, menerbitkan makalah "Membangun Honeypot a":
Sebuah Honeynet adalah jaringan honeypots interaksi yang tinggi yang mensimulasikan jaringan produksi dan dikonfigurasi sedemikian rupa sehingga semua aktivitas yang dipantau, direkam dan di gelar, diam-diam diatur.
Dua atau lebih honeypots pada jaringan membentuk Honeynet. Biasanya, Honeynet yang digunakan untuk memantau jaringan yang lebih besar dan / atau lebih beragam di mana satu honeypot mungkin tidak cukup. Honeynets dan honeypots biasanya diimplementasikan sebagai bagian dari sistem deteksi intrusi jaringan yang lebih besar. Honeyfarm adalah koleksi terpusat honeypots dan alat analisis.
Konsep yang pertama Honeynet dimulai pada 1999 ketika Lance Spitzner, pendiri Honeynet Project, menerbitkan makalah "Membangun Honeypot a":
Sebuah Honeynet adalah jaringan honeypots interaksi yang tinggi yang mensimulasikan jaringan produksi dan dikonfigurasi sedemikian rupa sehingga semua aktivitas yang dipantau, direkam dan di gelar, diam-diam diatur.
Mengidentifikasi dua jenis honeypots, interaksi rendah dan tinggi-interaksi honeypots. Interaksi mendefinisikan berapa banyak aktivitas honeypot memungkinkan penyerang. Nilai dari solusi ini adalah baik untuk tujuan produksi atau penelitian. Honeypots dapat digunakan untuk tujuan produksi dengan mencegah, mendeteksi, atau menanggapi serangan. Honeypots juga dapat digunakan untuk penelitian, mengumpulkan informasi mengenai ancaman sehingga kami dapat lebih memahami dan membela terhadap mereka. Jika Anda tertarik untuk belajar lebih banyak tentang honeypots, Anda mungkin ingin mempertimbangkan Honeypots buku: Pelacakan Hacker, buku pertama dan satu-satunya yang didedikasikan untuk teknologi honeypot.
Source : http://lellymidnite.blogspot.com/2012/12/honeypot.html
http://lailasagita.blogspot.com/2012/12/honeypot.html
