Keamanan informasi sangat dibutuhkan dalam suatu organisasi, terutama dalam menjaga informasi yang sensitif. Tugas dari seorang profesional keamanan informasi adalah melindungi informasi tersebut. Pencegahan tercurinya informasi memang sudah seharusnya dilakukan, tetapi lebih penting lagi apabila kita dapat mendeteksi dan memiliki kesiapan saat serangan terjadi. Serangan pada keamanan informasi memiliki berbagai bentuk dan cara, bergantung pada kreatifitas penyerang.
Honeypot merupakan salah satu solusi untuk mengetahui bagaimana seorang penyerang beraksi untuk mendapatkan informasi. Penyerang akan mengira bahwa honeypot merupakan server kita. Meskipun sebenarnya honeypot merupakan sistem yang digunakan sebagai pancingan untuk diserang, dicompromise, atau diselidiki. Honeypot dapat berupa sebagai dedicated server, simulasi sistem atau status perangkat, service dari salah satu host, virtual server, ataupun suatu file dengan special attributes yang biasa disebut dengan honeytoken.
Honeypot dapat digolongkan menjadi empat klasifikasi berdasarkan aturan dan fungsinya, yaitu:
1. Purpose
Tujuan dari adanya honeypot dapat dibedakan menjadi dua: production dan research. Production digunakan untuk mengukur peningkatan defense-in-depth pada jaringan. Honeypot dapat memberikan gambaran siapa yang menargetkan jaringan kita. Selain itu juga dapat mengambil beban serangan terhadap production systems, sehingga dapat mengurangi resiko keamanan jaringan. Sedangkan research digunakan untuk mempelajari bagaimana cara penyerang melakukan serangan dan bentuk serangannya beserta toolsnya. Research honeypot dapat mengumpulkan semua informasi serangan, termasuk motif penyerang, sehingga dapat membantu untuk prevention, detection dan response.
2. Location
Lokasi yang dimaksutkan adalah peletakan honeypot yang tepat. Honeypot dapat diletakkan secara internal dibelakang firewall maupun eksternal berhadapan dengan internet. Pemilihan tersebut didasarkan kepada tujuan peletakannya. Honeypot eksternal diletakkan didepan firewall untuk mengetahui cara penyerang via internet menjadikan server compromise. Informasi dikumpulkan dari traffic serangan, yang dimaksutkan untuk membuat keamanan yang lebih baik. Sebaliknya, honeypot internal diletakkan dibelakang firewall untuk mengetahui jika ada user di dalam organisasi yang melakukan serangan, akan lebih mudah untuk diawasi.
3. Scope
Ruang lingkup honeypot terbagi menjadi tiga: honeypot, honeytoken, dan honeynet. Seperti yang dijelaskan sebelumnya, honeypot merupakan sistem yang digunakan sebagai pancingan untuk diserang. Konfigurasi honeypot sendiri tergolong mudah dan dapat menggunakan virtualisasi. Tingkat diatasnya adalah honeytoken. Honeytoken memberikan analysis yang lebih detail dibanding honeypot, honeytoken berupa file atau directory pada system. Honeytoken tidak mencegah penyerang saat merusak data, tetapi melaporkan ukuran untuk integritas data. Sedangkan honeynet merupakan kumpulan dari honeypot yang dapat dikonfigurasi menggunakan mesin virtual.
4. Interaction
Level interaksi dari honeypot terbagi menjadi low, medium dan high. Low interaction hanya mengijinkan penyerang memanfaatkan beberapa layanan untuk diserang. Biasanya hanya untuk proses scanning atau percobaan. Low interaction mudah di maintenance oleh administration. Tetapi, informasi yang didapatkan dari penyerang akan minim, dan jika penyerang menggunakan suatu tools, penyerang akan mudah menyadarinya. Medium interaction lebih kompleks dari low interaction namun tidak sebanding dengan high interaction honeypot. Medium interaction menawarkan service yang lebih, seperti apabila penyerang menyisipkan worm, system akan memberi tanggapan pada serangan tersebut. Sehingga penyerang berpikir bahwa dia menyerang system yang sebenarnya. Worm tersebut akan meninggalkan payload dan berguna sebagai data analisis. Namun proses maintenance administration lebih sulit. High interaction menawarkan layanan tanpa batas untuk penyerang, hingga penyerang memiliki hak akses sebagai root. Hal ini akan memberikan informasi yang lebih kompleks, tetapi pembuatannya lebih rumit dan memerlukan banyak pertimbangan. Proses maintenance administration jauh lebih sulit.
Sebaiknya peletakan honeypot tidak dijadikan satu dengan system utama, dikarenakan jika penyerang berhasil masuk ke honeypot, akan di jadikan batu loncatan untuk menyerang system yang sebenarnya.
Honeypot berguna untuk mendapatkan informasi serangan dan caranya, tetapi honeypot bukanlah pengganti firewall.
Referensi:
flylib – Honeypot System Placement
wikipedia – Honeypot (computing)
Wikipedia – Honeytoken
