Honeypot adalah suatu cara untuk menjebak atau menangkal usaha-usaha penggunaan tak terotorisasi dalam sebuah sistem informasi. Honeypot merupakan pengalih perhatian hacker, agar ia seolah-olah berhasil menjebol dan mengambil data dari sebuah jaringan, padahal sesungguhnya data tersebut tidak penting dan lokasi tersebut sudah terisolir.
Secara singkat honeypot merupakan sebuah sistem yang di bangun menyerupai / persis dengan sistem yang sesungguhnya, dengan tujuan agar para attacker teralih perhatiannya dari sistem utama yang akan di serang, dan beralih menyerang ke sistem palsu tersebut. Saat ini honeypot tidak hanya berfungsi atau bertujuan untuk bertujuan menjebak attacker untuk melakukan serangan ke server asli, namun honeypot juga bermanfaat untuk para system administrator atau security analyst, untuk menganalisa aktifitas apa saja yang dilakukan oleh atacker / malware yang terdapat di dalam sistem honeypot tersebut.
Dengan pengamatan tersebut kita dapat mengetahui jenis-jenis serangan yang biasa di terapkan / malicious activity yang di lakukan oleh malware, misalnya seperti metode penginfeksiannya, seberapa banyak file yang di infeksi, dan juga metode penyebarannya. Dengan tindakan ini system administrator atau security analyst dapat meminimalisir / melakukan counter apabila terjadi jenis serangan / infeksi yang sama dengan yang di lakukan attacker / malware dalam sistem honeypot yang kita buat. Honeypot ini juga membantu kita untuk melakukan pendeteksian jenis-jenis ancaman yang masuk dalam kategori jenis baru (new threat detection).
Dalam sebuah lingkungan server yang aman, biasanya terdapat IDS (Intrusion Detection System) atau IPS (Intrusion Prevention System) yang bertugas untuk menjaga sistem dari serangan-serangan yang ada. Namun IDS dan IPS sendiri tidak serta merta dapat menahan serangan para attacker. Honeypot ini sangat penting untuk menjadi suatu perangkat tambahan demi meminimalisir serangan yang terjadi ke dalam sistem kita. Ada beberapa unsur yang terdapat pada honeypot secara umum, yaitu :
- Monitoring / logging tools
- Alerting mechanism
- Keystroke logger
- Packet analyzer
- Forensic Tools
Honeypot dapat di klasifikasikan menjadi beberapa bagian, di antaranya adalah :
- Low Intercation Honeypot Low interaction honeypot adalah tipe honeypot dimana hanya mengemulasikan sebagian service saja. Misalnya hanya service FTP, Telnet, HTTP, dan servie lainnya. Contoh dari jenis honeypot ini misalnya Honeyd, Mantrap, Specter.
- High interaction honeypot High interaction honeypot adalah tipe honeypot dimana menggunakan keseluruhan resource sistem, dimana honeypot ini benar-benar persis seperti sistem yang real. HOneypot jenis ini bisa berupa satu keseluruhan operating system. Contoh dari high interaction honeypot ini adalah Honeynet.
SEJARAH HONEYPOT
Honeypot adalah sebuah sistem pura-pura yang mempunyai service-service yang tidak nyata, dengan vulnerability-vulnerability yang sudah diketahui untuk menarik perhatian para cracker atau mengalihkan mereka dari sistem yang sebenarnya. Deception Toolkit adalah sebuah contoh dari Honeypot.
Salah satu kisah honeypot yang asli berasal dari The Cuckoo’s Egg, sebuah buku yang ditulis oleh Clifford Stoll (Pocket Books, 2000). Pada tahun 1980-an, seorang cracker telah berhasil dilacak sampai ke Jerman, tetapi semua upaya untuk mencari lokasinya lebih lanjut mendapat halangan dari sistem telepon Jerman yang menggunakan rangkaian analog. Usaha pelacakan terhadap sebuah koneksi seperti itu memerlukan waktu. Untuk membuat cracker tersebut terus terkoneksi, Cliff dan team nya membuat serangkaian file komputer palsu yang dibuat seakan-akan menyimpan informasi detail mengenai sebuah pesawat rahasia baru yang sedang dikembangkan oleh militer Amerika Serikat. Usaha mereka ternyata membuahkan hasil, si cracker tersebut tertarik dan begitu terpesona dengan gambar-gambar serta informasi palsu tersebut sehingga membuatnya terkoneksi cukup lama untuk dilacak sambungan teleponnya.
Dari contoh di atas, kita bisa melihat bahwa Honeypot adalah tidak lebih dari sebuah rangkaian sumber daya yang bertujuan untuk ditemukan, diserang, atau dikuasai dimana semuanya bertujuan untuk menyesatkan seorang cracker atau untuk memahami metode-metode yang digunakan oleh seorang cracker. Nilai dari sebuah honeypot terletak dari kesederhanannya. Setip kali sebuah koneksi dikirimkan ke sebuah honeypot, maka kemungkinan besar itu adalah sebuah upaya pencarian informasi atau sebuah serangan.
Beberapa keuntungan digunakannya honeypot antara lain:
- Honeypot mengumpulkan data tentang bagaimana penyerang-penyerang menembus dan apa yang dilakukannya selama berada dalam sistem.
- Honeypot membantu mengoptimalkan sumber daya. Cracker menyerang honeypot anda, bukan firewall ataupun NIDS anda.
Tetapi diamping itu, ada beberapa kelemahan antara lain:
- Honeypot tidak akan berguna apabila si penyerang tidak terpancing oleh umpan tersebut.
- Jika tidak dikonfigurasi dengan baik, cracker bisa menyerang sumber daya lain yg ada di network Anda
Karena konfigurasi honeypot sangat rumit dan beresiko, jangan mengimplementasikan sebuah honeypot kecuali jika Anda merasa yakin dengan kemampuan Anda dalam menginstall, memantau, dan me-maintain honeypot tersebut.
Biasanya, honeypot-honeypot produksi diimplementasikan sebagai bagian dari sebuah upaya sekuriti yang lebih besar, dengan parameter-parameter yang didefinisikan dengan jelas mengenai service-service apa yang akan ditawarkan dan aksi-aksi apa yang akan diambil setelah sistem tersebut berhasil dimasuki. Semua keputusan ini memaksimalkan nilai dari sebuah honeypot dan mengurangi resiko serangan ke sistem Anda ataupun ke sistem lain.