Senin, 07 Januari 2013

Honeypot

Sebuah honeypot sebagai "sumber daya keamanan nilai yang terletak diselidiki, diserang atau dikompromikan". Ini berarti bahwa apa pun yang kita tunjuk sebagai honeypot, dan tujuan untuk memiliki sistem diperiksa, menyerang, dan berpotensi dieksploitasi. Perlu diingat, honeypots bukan solusi. Mereka tidak 'memperbaiki' apa-apa. Sebaliknya, honeypots adalah alat. Bagaimana Anda menggunakan alat terserah Anda dan tergantung pada apa yang Anda mencoba untuk mencapai. Honeypot mungkin merupakan sistem yang hanya mengemulasi sistem lain atau aplikasi, menciptakan lingkungan yang dipenjara, atau mungkin sistem yang dibangun standar. Terlepas dari bagaimana Anda membangun dan menggunakan honeypot, nilai itu terletak pada kenyataan bahwa itu diserang.

Honeypots terbagi menjadi dua kategori besar, seperti yang didefinisikan oleh Snort pencipta Marty Roesch. Marty mengartikan bahwa dua jenis honeypots adalah "produksi" dan "penelitian". Tujuan dari honeypot produksi adalah untuk membantu mengurangi risiko dalam suatu organisasi. Honeypot itu menambahkan nilai pada langkah-langkah keamanan organisasi. Pikirkan mereka sebagai 'penegak hukum', tugas mereka adalah untuk mendeteksi dan menangani orang-orang jahat. Secara tradisional, organisasi komersial menggunakan honeypots produksi untuk membantu melindungi jaringan mereka. Kategori kedua, penelitian, adalah honeypots dirancang untuk mendapatkan informasi mengenai komunitas blackhat. Honeypots ini tidak menambah nilai langsung ke organisasi tertentu. Sebaliknya, mereka digunakan untuk penelitian wajah ancaman organisasi, dan bagaimana untuk melindungi terhadap ancaman tersebut. Pikirkan mereka sebagai 'intelijen kontra-', tugas mereka adalah untuk mendapatkan informasi tentang orang-orang jahat. Informasi ini kemudian digunakan untuk melindungi terhadap ancaman tersebut. Traditionaly, organisasi komersial TIDAK menggunakan honeypots penelitian. Sebaliknya, organisasi seperti Universitas, pemerintah, militer, atau organisasi riset keamanan menggunakannya.

Keamanan adalah pengurangan risiko. Satu tidak pernah bisa menghilangkan resiko, tapi keamanan membantu mengurangi risiko sampai pada organisasi dan sumber daya informasi yang terkait. Ketika mendiskusikan keamanan, perlu memecahnya menjadi tiga wilayah, seperti yang didefinisikan oleh Bruce Schneier terkenal di Rahasia dan Kebohongan. Bruce istirahat keamanan ke dalam tiga kategori sebagai berikut.

Pencegahan: Kami ingin menghentikan badguys.
Untuk mengamankan rumah Anda, pencegahan akan sama dengan menempatkan kunci baut mati di pintu Anda, mengunci jendela, dan mungkin memasang rantai pagar sekitar halaman Anda. Anda melakukan segala kemungkinan untuk menjaga ancaman keluar.

Deteksi: Kami ingin mendeteksi badguys ketika mereka melewati. Cepat atau lambat, pencegahan akan gagal. Anda ingin memastikan Anda mendeteksi ketika kegagalan tersebut terjadi. Sekali lagi dengan menggunakan analogi rumah, ini akan menjadi serupa dengan menempatkan alarm pencuri dan sensor gerak di rumah. Ini alarm pergi ketika seseorang melanggar masuk Jika pencegahan gagal, Anda ingin waspada terhadap yang sesegera mungkin.

Reaksi: Kami ingin bereaksi terhadap badguys setelah kami mendeteksi mereka. Mendeteksi kegagalan memiliki nilai yang kecil jika Anda tidak memiliki kemampuan untuk merespon. Apa gunanya untuk waspada terhadap pencuri jika tidak ada yang dilakukan? Jika seseorang masuk ke rumah Anda dan memicu alarm pencuri, satu harapan bahwa kepolisian setempat dapat dengan cepat merespon. Hal yang sama berlaku untuk keamanan informasi. Setelah Anda telah mendeteksi kegagalan, Anda harus mengeksekusi suatu respon yang efektif terhadap insiden tersebut.

Nilai Honeypots
Honeypots memiliki keunggulan tertentu (dan kekurangan) sebagai alat keamanan. Ini adalah keuntungan yang membantu menentukan nilai dari sebuah honeypot. Keindahan sebuah honeypot ini terletak pada kesederhanaannya. Ini adalah perangkat dimaksudkan untuk dikompromikan, bukan untuk memberikan jasa produksi. Ini berarti ada sedikit atau tidak ada lalu lintas produksi akan ke atau dari perangkat. Setiap kali koneksi dikirim ke honeypot, ini adalah kemungkinan besar probe, scan, atau bahkan menyerang. Setiap kali koneksi dimulai dari honeypot, ini kemungkinan besar berarti honeypot dikompromikan. Seperti ada produksi sedikit lalu lintas akan atau dari honeypot, semua lalu lintas honeypot adalah tersangka oleh alam. Sekarang, hal ini tidak selalu terjadi. Kesalahan bisa terjadi, seperti entri DNS yang salah atau seseorang dari akuntansi inputing alamat IP yang salah. Tapi secara umum, lalu lintas paling honeypot merupakan kegiatan yang tidak sah.

Karena model ini sederhana, honeypots memiliki keuntungan yang melekat tertentu dan kekurangan. Kami akan mencakup beberapa dari mereka.

Keuntungan - Pengumpulan Data
Honeypots mengumpulkan data sangat sedikit, dan apa yang mereka kumpulkan biasanya bernilai tinggi. Ini memotong tingkat kebisingan bawah, membuatnya lebih mudah untuk mengumpulkan data dan arsip. Salah satu masalah terbesar dalam keamanan mengarungi gigabyte data untuk menemukan data yang Anda butuhkan. Honeypots dapat memberikan persis informasi yang Anda butuhkan dalam format yang cepat dan mudah dimengerti. Sebagai contoh, Proyek Honeynet, sebuah kelompok riset honeypots, mengumpulkan rata-rata hanya 1-5MB data per hari. Informasi ini biasanya nilai tinggi juga, karena Anda tidak hanya dapat menunjukkan aktivitas jaringan, tapi apa penyerang tidak begitu dia mendapatkan pada sistem. Kami akan masuk ke kedalaman yang lebih besar dalam keuntungan ini ketika kita membahas bagaimana honeypots menambah nilai untuk deteksi.

Keuntungan - Sumber Daya
Banyak alat keamanan bisa kewalahan oleh bandwidth atau kegiatan. Perangkat Intrusion Detection jaringan mungkin tidak mampu bersaing dengan aktivitas jaringan, menjatuhkan paket, dan berpotensi menyerang. Sentralisasi logservers tidak mungkin dapat mengumpulkan semua aktivitas sistem, berpotensi menjatuhkan beberapa peristiwa. Honeypots tidak memiliki masalah ini, mereka hanya menangkap bahwa yang datang kepada mereka.
Kerugian - Single Data Titik
Honeypots semua berbagi satu kelemahan besar, mereka tidak berharga jika tidak ada serangan mereka. Ya, mereka dapat mencapai hal-hal yang indah, tetapi jika penyerang tidak mengirim paket ke honeypot, honeypot akan bahagia dilewati begitu saja oleh setiap aktivitas yang tidak sah.
Kekurangan - Risiko
Honeypots dapat memperkenalkan risiko terhadap lingkungan Anda. Seperti yang kita bahas nanti, honeypots yang berbeda memiliki tingkat risiko yang berbeda. Beberapa memperkenalkan resiko yang sangat kecil, sementara yang lain memberikan penyerang platform seluruh dari mana untuk memulai serangan baru. Risiko adalah variabel, tergantung pada bagaimana seseorang membangun dan menyebarkan honeypot.
Hal ini karena ini kerugian yang honeypots tidak mengganti mekanisme keamanan. Mereka hanya dapat menambah nilai dengan bekerja sama dengan mekanisme keamanan yang ada. Sekarang kita telah meninjau nilai keseluruhan honeypots, mari kita menerapkannya untuk keamanan.
Seperti yang kita bahas sebelumnya, ada dua jenis honeypots, produksi dan penelitian. Pertama-tama kita akan membahas apa honeypot produksi dan nilainya. Kemudian kita akan membahas honeypots penelitian dan nilai mereka.

Sebuah honeypot produksi yang digunakan dalam lingkungan organisasi untuk membantu mengurangi risiko. Ini menambah nilai keamanan sumber daya produksi. Mari kita membahas bagaimana honeypots produksi berlaku untuk tiga bidang keamanan, Pencegahan, Deteksi, dan Reaksi.

Pencegahan
Saya pribadi merasa honeypots menambah nilai sedikit untuk pencegahan, honeypots tidak akan membantu menjaga orang-orang jahat keluar. Apa yang akan menjaga orang-orang jahat keluar adalah praktik terbaik, seperti menonaktifkan layanan yang tidak diperlukan atau tidak aman, menambal apa yang Anda butuhkan, dan menggunakan mekanisme otentikasi yang kuat. Ini adalah praktik terbaik dan prosedur seperti ini yang akan membuat orang-orang jahat keluar. Sebuah honeypot, sebuah sistem untuk dikompromikan, tidak akan membantu menjaga orang-orang jahat keluar. Padahal, jika salah diterapkan, honeypot dapat memudahkan penyerang untuk masuk

Beberapa individu telah membahas nilai penipuan sebagai metode untuk mencegah penyerang. Konsepnya adalah memiliki penyerang menghabiskan waktu dan sumber daya menyerang honeypots, sebagai lawan menyerang sistem produksi. Penyerang yang tertipu dalam menyerang honeypot, melindungi sumber daya produksi dari serangan. Meskipun hal ini dapat mencegah serangan pada sistem produksi, saya merasa sebagian besar organisasi jauh lebih baik menghabiskan waktu mereka yang terbatas dan sumber daya untuk mengamankan sistem mereka, sebagai lawan penipuan. Penipuan dapat berkontribusi untuk pencegahan, tetapi Anda kemungkinan besar akan mendapatkan pencegahan lebih besar menempatkan waktu yang sama dan usaha dalam praktik keamanan terbaik.

Juga, penipuan gagal melawan dua serangan yang paling umum hari ini, toolkit otomatis dan cacing. Saat ini, serangan semakin banyak otomatis. Alat-alat otomatis akan mendeteksi, menyerang, dan mengeksploitasi apa saja yang mereka dapat menemukan rentan. Ya, alat ini akan menyerang honeypot, tetapi mereka juga akan dengan cepat menyerang setiap sistem lain dalam organisasi Anda. Jika Anda memiliki teko kopi dengan IP stack, maka akan diserang. Penipuan tidak akan mencegah serangan ini, karena tidak ada individu yang sadar bertindak untuk menipu. Karena itu, saya merasa bahwa honeypots menambah nilai sedikit untuk pencegahan. Organisasi yang lebih baik memfokuskan sumber daya mereka pada praktik keamanan terbaik.

Deteksi
Sementara honeypots menambah nilai sedikit untuk pencegahan, saya merasa mereka menambahkan nilai yang luas untuk deteksi. Bagi banyak organisasi, hal ini sangat sulit untuk mendeteksi serangan. Seringkali organisasi begitu kewalahan dengan kegiatan produksi, seperti gigabyte logging sistem, bahwa hal itu bisa sangat sulit untuk mendeteksi bila sistem yang diserang, atau bahkan ketika berhasil dikompromikan. Sistem Intrusion Detection (IDS) adalah salah satu solusi yang dirancang untuk mendeteksi serangan. Namun, administrator IDS dapat kewalahan dengan positif palsu. Positif palsu alert yang dihasilkan ketika sensor mengakui tanda tangan dikonfigurasi dari sebuah "serangan", tetapi dalam kenyataannya itu hanya lalu lintas yang berlaku. Masalahnya di sini adalah bahwa administrator sistem dapat menerima pemberitahuan begitu banyak setiap hari bahwa mereka tidak bisa menanggapi semua dari mereka. Juga, mereka sering menjadi dikondisikan untuk mengabaikan peringatan positif palsu ketika mereka datang hari demi hari, mirip dengan kisah "anak yang menangis serigala". IDS sangat sensor yang mereka tergantung pada untuk mengingatkan mereka untuk serangan dapat menjadi tidak efektif kecuali ini positif palsu berkurang. Ini tidak berarti bahwa honeypots tidak akan pernah memiliki positif palsu, hanya bahwa mereka akan secara dramatis lebih sedikit dibandingkan dengan implementasi IDS kebanyakan.

Risiko lain adalah negatif palsu, ketika IDS sistem gagal untuk mendeteksi serangan yang sah. Banyak sistem IDS, wheter mereka tanda tangan berbasis, protokol verifikasi, dll, berpotensi dapat melewatkan serangan baru atau tidak dikenal. Ada kemungkinan bahwa serangan baru akan pergi undectected oleh metodologi saat ini IDS. Juga, baru IDS metode penghindaran yang terus dikembangkan dan didistribusikan. Hal ini dimungkinkan untuk meluncurkan serangan yang diketahui yang mungkin tidak terdeteksi, seperti dengan K2 ADM bermutasi. Honeypots mengatasi negatif palsu karena mereka tidak mudah dihindari atau dikalahkan oleh eksploitasi baru. Bahkan, salah satu manfaat utama mereka adalah bahwa mereka dapat mendeteksi kemungkinan besar ketika kompromi terjadi melalui serangan baru atau tidak diketahui berdasarkan aktivitas sistem, bukan tanda tangan. Administrator juga tidak perlu khawatir tentang memperbarui database tanda tangan atau mesin anamoly patch deteksi. Honeypots gembira menangkap serangan dilemparkan jalan mereka. Sebagaimana dibahas sebelumnya meskipun, ini bekerja hanya jika honeypot itu sendiri diserang.

Honeypots dapat menyederhanakan proses deteksi. Sejak honeypots tidak memiliki kegiatan produksi, semua koneksi ke dan dari honeypot adalah tersangka oleh alam. Menurut definisi, kapan sambungan dibuat untuk honeypot Anda, hal ini kemungkinan besar penyelidikan yang tidak sah, scan, atau serangan. Anytime honeypot memulai sambungan, ini kemungkinan besar berarti sistem ini berhasil dikompromikan. Hal ini membantu mengurangi baik positif palsu dan negatif palsu sangat menyederhanakan proses deteksi. Dengan tidak berarti harus Anda honeypots menggantikan sistem IDS atau menjadi metode satu-satunya Anda deteksi. Namun, mereka dapat menjadi alat yang ampuh untuk melengkapi kemampuan deteksi Anda.

Reaksi
Meskipun tidak umum dianggap, honeypots juga menambah nilai reaksi. Seringkali ketika sebuah sistem dalam sebuah organisasi terganggu, aktivitas produksi sehingga banyak yang terjadi setelah fakta bahwa data telah menjadi tercemar. Insiden tim respon tidak dapat menentukan apa yang terjadi ketika pengguna dan aktivitas sistem mencemari data yang dikumpulkan. Sebagai contoh, saya sering datang ke situs untuk membantu dalam penanganan insiden, hanya untuk menemukan bahwa ratusan pengguna telah terus menggunakan sistem dikompromikan. Bukti jauh lebih sulit untuk berkumpul di lingkungan seperti itu.

Tantangan kedua banyak organisasi menghadapi setelah insiden adalah bahwa sistem dikompromikan sering tidak dapat diambil secara off-line. Jasa produksi yang mereka tawarkan tidak bisa dihilangkan. Dengan demikian, insiden tim tanggap tidak dapat melakukan analisis forensik yang tepat atau penuh.

Honeypots dapat menambah nilai dengan mengurangi atau menghilangkan kedua masalah. Mereka menawarkan sistem dengan polusi data yang telah direduksi, dan sistem dibuang yang dapat diambil off-line. Sebagai contoh, katakanlah sebuah organisasi memiliki server web tiga, semua yang telah dikompromikan oleh penyerang. Namun manajemen hanya memungkinkan kita untuk masuk dan membersihkan lubang tertentu. Dengan demikian, kita tidak pernah bisa belajar secara rinci apa yang gagal, apa kerusakan yang dilakukan, apakah ada penyerang masih memiliki akses internal, dan jika kita benar-benar berhasil dalam pembersihan.

Namun, jika salah satu dari tiga sistem adalah honeypot, sekarang kita akan memiliki sistem kita bisa mengambil off-line dan melakukan analisis forensik penuh. Berdasarkan analisis tersebut, kita bisa belajar tidak hanya bagaimana orang jahat masuk, tapi apa yang dia lakukan begitu tiba di sana. Pelajaran ini kemudian dapat diterapkan pada webservers tersisa, memungkinkan kita untuk lebih mengenali dan pulih dari serangan.

Penelitian
Seperti dibahas di awal, ada dua kategori untuk honeypots, produksi dan penelitian. Kita telah membahas bagaimana honeypots produksi dapat menambah nilai organisasi. Sekarang kita akan membahas bagaimana honeypots penelitian nilai tambah.

Salah satu tantangan terbesar komunitas keamanan menghadapi adalah kurangnya informasi tentang musuh. Pertanyaan seperti siapa ancaman, mengapa mereka menyerang, bagaimana mereka menyerang, apa alat-alat mereka, dan mungkin kapan mereka akan menyerang? Ini adalah pertanyaan-pertanyaan seperti ini komunitas keamanan sering tidak bisa menjawab. Selama berabad-abad organisasi militer telah berfokus pada pengumpulan informasi untuk memahami dan melindungi terhadap musuh. Untuk mempertahankan melawan ancaman, Anda harus terlebih dahulu tahu tentang hal itu. Namun, dalam dunia keamanan informasi kita memiliki informasi tersebut sedikit.

Honeypots dapat menambah nilai dalam penelitian dengan memberikan kami sebuah platform untuk mempelajari ancaman. Apa cara yang lebih baik untuk belajar tentang orang-orang jahat itu untuk menonton mereka dalam tindakan, untuk merekam langkah-demi-langkah saat mereka menyerang dan mengganggu sebuah sistem. Nilai lebih yang menonton apa yang mereka lakukan setelah mereka kompromi sistem, seperti berkomunikasi dengan blackhats lain atau meng-upload kit alat baru. Ini adalah potensi penelitian yang merupakan salah satu karakteristik yang paling unik dari honeypots. Juga, honeypots penelitian ini adalah alat yang sangat baik untuk menangkap serangan otomatis, seperti auto-rooters atau Worms. Karena serangan menargetkan blok seluruh jaringan, honeypots penelitian dapat dengan cepat menangkap serangan ini untuk analisis.

Secara umum, honeypots penelitian tidak mengurangi risiko organisasi. Pelajaran yang didapat dari sebuah honeypot penelitian dapat diterapkan, seperti bagaimana meningkatkan pencegahan, deteksi atau reaksi. Namun, honeypots penelitian berkontribusi sedikit terhadap keamanan langsung dari sebuah organisasi. Jika sebuah organisasi ingin meningkatkan keamanan lingkungan produksi mereka, mereka mungkin ingin mempertimbangkan honeypots produksi, karena mereka mudah untuk menerapkan dan memelihara. Jika organisasi, seperti perguruan tinggi, pemerintah, atau perusahaan sangat besar tertarik untuk belajar lebih banyak tentang ancaman, maka ini adalah di mana honeypots penelitian akan berlaku. Proyek Honeynet adalah salah satu contoh seperti organisasi menggunakan honeypots penelitian untuk menangkap informasi mengenai komunitas blackhat.

Honeypot Solusi
Sekarang kita telah membahas berbagai jenis honeypots dan dan nilai mereka, mari kita membahas beberapa contoh. Semakin banyak saya bekerja dengan honeypots, semakin saya menyadari bahwa tidak ada dua honeypots adalah sama. Karena itu, saya telah mengidentifikasi apa yang saya sebut tingkat interaksi. Sederhananya, banyak penyerang dapat berinteraksi dengan honeypot, semakin banyak informasi yang kita berpotensi dapat memperoleh dari itu, namun risiko yang lebih itu kemungkinan besar memiliki.

Semakin honeypot dapat melakukan dan semakin penyerang bisa lakukan untuk honeypot, semakin banyak informasi yang dapat diturunkan dari itu. Namun, dengan cara yang sama, semakin penyerang bisa lakukan untuk honeypot, kerusakan lebih potensial penyerang bisa lakukan. Sebagai contoh, sebuah honeypot interaksi rendah akan menjadi salah satu yang mudah untuk menginstal dan hanya mengemulasi beberapa layanan. Penyerang hanya dapat memindai, dan berpotensi terhubung ke beberapa pelabuhan. Berikut informasi yang terbatas (terutama yang terhubung ke port apa ketika) namun ada sedikit yang penyerang dapat mengeksploitasi. Pada ekstrem yang lain akan honeypots interaksi yang tinggi. Ini akan menjadi sistem aktual. Kita dapat belajar jauh lebih banyak, karena ada sistem operasi yang sebenarnya untuk penyerang untuk berkompromi dan berinteraksi dengan, namun ada juga tingkat yang jauh lebih besar dari resiko, sebagai penyerang memiliki sistem operasi yang sebenarnya untuk bekerja dengan. Baik solusi adalah honeypot yang lebih baik. Itu semua tergantung pada apa yang Anda mencoba untuk mencapai. Ingat, honeypots adalah bukan solusi. Sebaliknya, mereka adalah alat. Nilai mereka tergantung pada apa tujuan Anda adalah, dari peringatan dini dan deteksi untuk penelitian. Berdasarkan 'tingkat interaksi', mari kita bandingkan beberapa solusi honeypot mungkin.

Untuk tulisan ini, kita akan membahas enam honeypots. Ada berbagai kemungkinan honeypots lainnya, namun pemilihan ini mencakup berbagai pilihan. Kami akan mencakup BackOfficer ramah, Specter, Honeyd, honeypots buatan sendiri, Mantrap, dan Honeynets. Tulisan ini tidak dimaksudkan untuk menjadi kajian komprehensif dari produk ini. Saya hanya menyoroti beberapa fitur mereka. Sebaliknya, saya berharap untuk menutupi berbagai jenis honeypots, bagaimana mereka bekerja, dan menunjukkan nilai mereka menambah dan mengurangi risiko. Jika Anda ingin mempelajari lebih lanjut tentang kemampuan dari solusi, saya sangat menyarankan Anda mencobanya sendiri dalam lingkungan, laboratorium terkendali.

BackOfficer Ramah
BOF (seperti yang biasa disebut) adalah honeypot yang sangat sederhana namun sangat berguna dikembangkan oleh Marcus Ranum dan kru di NFR. Ini adalah contoh yang sangat baik dari honeypot interaksi rendah.

Alasan saya adalah penggemar besar dari hal ini adalah karena kesederhanaan BOF itu. Ini adalah cara yang bagus untuk memperkenalkan pemula untuk konsep dan nilai honeypots. BOF adalah program yang berjalan pada sistem operasi berbasis Jendela kebanyakan. Semua itu bisa lakukan adalah meniru beberapa layanan dasar, seperti http, ftp, telnet, email, atau BackOrrifice. Setiap kali beberapa upaya untuk terhubung ke salah satu port BOF adalah mendengarkan, maka akan mencatat usaha. BOF juga memiliki pilihan untuk "balasan berpura-pura", yang memberikan sesuatu penyerang untuk menyambung ke. Dengan cara ini Anda dapat log serangan http, login brute telnet kekuatan, atau berbagai kegiatan lain (Screenshot). Saya ingin menjalankan BOF di laptop saya, karena memberi saya merasakan apa jenis kegiatan dapat terjadi. Nilai dalam BOF adalah dalam deteksi, mirip dengan alarm pencuri. Hal ini dapat memantau hanya sejumlah port, tapi port ini sering mewakili layanan yang paling sering scan dan ditargetkan.

Momok
Specter adalah produk komersial dan apa yang saya sebut honeypot produksi lain 'interaksi rendah'. Hal ini mirip dengan BOF dalam hal itu mengemulasi layanan, tetapi dapat meniru berbagai layanan yang jauh lebih besar dan fungsionalitas. Selain itu, tidak hanya itu dapat meniru layanan, tetapi meniru berbagai sistem operasi. Mirip dengan BOF, mudah untuk menerapkan dan risiko rendah. Specter bekerja dengan menginstal pada sistem Windows. Risiko berkurang karena tidak ada sistem operasi yang nyata bagi penyerang untuk berinteraksi dengan. Misalnya, Specter dapat meniru webserver atau server Telent dari sistem operasi pilihan Anda. Ketika seorang penyerang menghubungkan, itu kemudian diminta dengan header http atau banner login. Penyerang kemudian dapat mencoba untuk mengumpulkan halaman web atau login ke sistem. Kegiatan ini ditangkap dan direkam oleh Specter, namun ada sedikit lain penyerang dapat lakukan. Tidak ada aplikasi nyata bagi penyerang untuk berinteraksi dengan, bukan hanya beberapa yang terbatas, fungsi ditiru. Spectre nilainya terletak dalam deteksi. Hal ini dapat dengan cepat dan mudah menentukan siapa yang mencari apa. Sebagai sebuah honeypot, mengurangi baik positif palsu dan negatif palsu, menyederhanakan proses deteksi. Specter juga mendukung berbagai peringatan dan penebangan mekanisme. Anda dapat melihat contoh dari fungsi ini di screen shot dari Specter.

Salah satu fitur unik dari Spectre adalah bahwa hal itu juga memungkinkan untuk mengumpulkan informasi, atau kemampuan otomatis untuk mengumpulkan informasi lebih lanjut tentang penyerang. Beberapa dari ini pengumpulan informasi relatif pasif, seperti Whois atau pencarian DNS. Namun, beberapa penelitian ini adalah aktif, seperti port scanning penyerang. Sementara ini fungsi intelijen mungkin nilai, banyak kali Anda tidak ingin penyerang tahu ia sedang diawasi. Hati-hati ketika menerapkan apapun, respon aktif otomatis untuk penyerang.

Homemade Honeypots
Lain honeypot umum adalah buatan sendiri. Honeypots ini cenderung interaksi rendah. Tujuan mereka biasanya untuk menangkap aktivitas tertentu, seperti Worms atau kegiatan pemindaian. Ini dapat digunakan sebagai honeypots produksi atau penelitian, tergantung pada tujuan mereka. Sekali lagi, tidak ada banyak untuk penyerang untuk berinteraksi dengan, namun risiko berkurang karena ada sedikit kerusakan penyerang dapat lakukan. Salah satu contoh umum adalah menciptakan layanan yang mendengarkan pada port 80 (http) menangkap semua lalu lintas ke dan dari pelabuhan. Hal ini biasanya dilakukan untuk menangkap serangan Worm. Salah satu penerapan tersebut akan menggunakan netcat, sebagai berikut:

netcat-l-p 80> c: \ honeypot \ cacing

Pada perintah di atas, Worm bisa terhubung ke netcat mendengarkan pada port 80. The Worm menyerang akan membuat koneksi TCP yang sukses dan berpotensi mentransfer muatan. Payload ini kemudian akan disimpan secara lokal pada honeypot, yang dapat dianalisa lebih lanjut oleh administrator, yang dapat menilai ancaman Worm. Organisasi seperti SANS dan SecurityFocus.com telah telah sukses menggunakan honeypots buatan sendiri untuk menangkap dan menganalisa Worms dan aktivitas otomatis.

Honeypots Homemade dapat dimodifikasi untuk melakukan (dan meniru) lebih, membutuhkan tingkat yang lebih tinggi invovlement, dan menimbulkan tingkat yang lebih tinggi risiko. Sebagai contoh, FreeBSD memiliki fungsi penjara, memungkinkan administrator untuk menciptakan lingkungan yang terkendali dalam sistem operasi. Penyerang kemudian dapat berinteraksi dengan lingkungan yang terkendali. Nilai di sini adalah lebih penyerang dapat lakukan, semakin dapat berpotensi dipelajari. Namun, perawatan harus diambil, karena lebih banyak fungsi penyerang dapat berinteraksi dengan, semakin bisa salah, dengan honeypot berpotensi dikompromikan.

Beberapa contoh tambahan honeypots buatan sendiri:

Port pendengar dikodekan dalam PERL oleh Johannes B. Ullrich, digunakan untuk menangkap Worm W32/Leaves.
Jendela inetd emulator untuk Windows NT dan Win2000.
Sendmail Honeypots, digunakan untuk mengidentifikasi spammer sendmail.
LaBrea tarpit adalah pendekatan yang unik untuk honeypots, memungkinkan Anda tidak hanya untuk menangkap aktivitas cacing, tetapi berpotensi memperlambat atau menonaktifkan serangan worm.
 
Honeyd
Dibuat oleh Niels Provos, Honeyd adalah honeypot, sangat kuat OpenSource. Dirancang untuk berjalan pada sistem Unix, dapat meniru lebih dari 400 sistem operasi yang berbeda dan ribuan komputer yang berbeda, semua pada waktu yang sama. Honeyd memperkenalkan beberapa fitur baru exicting. Pertama, tak hanya meniru sistem beroperasi pada tingkat aplikasi, seperti Specter, tetapi juga mengemulasi sistem operasi pada tingkat IP stack. Ini berarti ketika seseorang Nmaps honeypot Anda, baik layanan dan IP stack berperilaku sebagai sistem operasi ditiru. Saat ini tidak ada honeypot lain memiliki kemampuan ini (polisi komputer Sting memang memiliki kemampuan ini, tetapi tidak lagi tersedia). Kedua, Honeyd dapat meniru ratusan jika tidak ribuan komputer yang berbeda semua pada waktu yang sama. Sementara honeypots paling hanya bisa meniru satu komputer pada setiap titik waktu, Honeyd dapat menganggap mengidentifikasi ribuan alamat IP yang berbeda. Ketiga, sebagai solusi OpenSource, tidak hanya itu bebas untuk digunakan, tetapi expotentially akan tumbuh sebagai anggota komunitas keamanan mengembangkan dan berkontribusi kode.

Honeyd terutama digunakan untuk mendeteksi serangan. Ia bekerja dengan memonitor alamat IP yang tidak terpakai, yang tidak memiliki sistem yang ditugaskan kepada mereka. Setiap kali seorang penyerang mencoba untuk menyelidiki atau menyerang sistem tidak punah, Honeyd, melalui spoofing Arp, mengasumsikan alamat IP korban dan kemudian berinteraksi dengan penyerang melalui layanan ditiru. Ini mengemulasi layanan tidak lebih maka skrip yang bereaksi terhadap tindakan yang telah ditentukan. Misalnya, naskah dapat devloped untuk berperilaku seperti layanan Telnet untuk router Cisco, dengan antarmuka login IOS Cisco. Layanan emuilated Honeyd ini juga OpenSource, sehingga siapapun dapat mengembangkan dan menggunakan mereka sendiri. Script dapat ditulis dalam hampir semua bahasa, seperti shell atau Perl. Setelah terhubung, penyerang berkeyakinan mereka berinteraksi dengan sistem nyata. Tidak hanya dapat Honeyd dinamis berinteraksi dengan penyerang, tetapi dapat mendeteksi aktivitas pada semua port. Honeypots interaksi yang paling rendah terbatas untuk mendeteksi serangan hanya pada port yang telah ditiru layanan mendengarkan pada. Honeyd berbeda, mendeteksi dan log koneksi yang dibuat ke semua port, terlepas jika ada mendengarkan layanan. Kemampuan gabungan dari asumsi mengidentifikasi non-punah sistem, dan kemampuan untuk mendeteksi aktivitas pada semua port, memberikan nilai yang luar biasa Honeyd sebagai alat untuk mendeteksi aktivitas unauthorzied. Saya sangat mendorong orang untuk check it out, dan jika mungkin untuk berkontribusi layanan ditiru baru.

Sekarang kita mulai pindah ke honeypots lebih dengan tingkat yang lebih besar dari interaksi. Solusi ini memberikan kita informasi yang jauh lebih besar, tetapi berpotensi memiliki risiko yang jauh lebih besar. Kami akan membahas untuk honeypots tersebut, Mantrap dan Honeynets. Kami akan mulai dengan Mantrap.

Jerat
Diproduksi oleh Mantrap Recourse adalah honeypot komersial. Alih-alih meniru layanan, Mantrap menciptakan hingga empat sub-sistem, sering disebut 'penjara'. 'Penjara' Ini adalah sistem operasi logis diskrit terpisah dari sistem operasi utama (lihat Diagram.) Keamanan administrator dapat memodifikasi penjara seperti mereka biasanya lakukan dengan sistem operasi, untuk menyertakan aplikasi menginstal pilihan mereka, seperti database Oracle atau apache webserver. Hal ini membuat honeypot jauh lebih fleksibel, karena dapat melakukan lebih banyak lagi. Penyerang memiliki sistem operasi penuh untuk berinteraksi dengan, dan berbagai aplikasi untuk menyerang. Semua kegiatan ini kemudian ditangkap dan direkam. Tidak hanya dapat kita mendeteksi scan port dan login telnet, tapi kita bisa menangkap rootkit, serangan tingkat aplikasi, IRC sesi chatting, dan berbagai ancaman lainnya. Namun, seperti halnya jauh lebih bisa dipelajari, sehingga bisa lebih salah. Setelah dikompromikan, penyerang dapat menggunakan sistem operasi yang berfungsi penuh untuk menyerang orang lain. Perawatan harus diambil untuk mengurangi risiko ini. Karena itu, saya akan mengkategorikan ini sebagai tingkat menengah-tinggi interaksi. Juga, honeypots dapat digunakan baik sebagai honeypot produksi (digunakan baik dalam deteksi dan reaksi) atau honeypot penelitian untuk mempelajari lebih lanjut tentang ancaman. Ada keterbatasan untuk solusi ini. Yang terbesar adalah Anda terbatas pada apa yang vendor persediaan Anda. Saat ini, Mantrap hanya ada pada sistem operasi Solaris.

Honeynets
Honeynets mewakili ekstrem dari honeypots penelitian. Mereka adalah honeypots interaksi yang tinggi, Anda dapat belajar banyak, namun mereka juga memiliki tingkat tertinggi risiko. Nilai utama mereka terletak pada penelitian, memperoleh informasi tentang ancaman yang ada dalam komunitas internet hari ini. Sebuah Honeynet adalah jaringan sistem produksi. Tidak seperti banyak honeypots telah kita bahas sejauh ini, tidak ada yang dicontoh. Modifikasi sedikit atau tidak ada yang dibuat untuk honeypots. Hal ini memberikan penyerang berbagai macam sistem, aplikasi, dan fungsi untuk menyerang. Dari sini kita bisa belajar banyak, bukan hanya alat dan taktik, namun, metode komunikasi mereka organisasi kelompok, dan motif. Namun, dengan kemampuan ini datang banyak risiko. Berbagai tindakan harus diambil untuk memastikan bahwa sekali dikompromikan, yang Honeynet tidak dapat digunakan untuk menyerang orang lain. Honeynets terutama honeypots penelitian. Mereka dapat digunakan sebagai honeypots produksi, khususnya untuk deteksi atau reaksi, namun kemungkinan besar tidak sebanding dengan waktu dan usaha. Sebagian besar honeypots interaksi rendah yang telah kita bahas sejauh ini memberikan nilai yang sama untuk deteksi dan reaksi, tetapi membutuhkan kerja lebih sedikit dan memiliki risiko lebih kecil. Jika Anda tertarik untuk belajar lebih banyak tentang Honeynets, Anda mungkin ingin meninjau buku Mengenal Musuh Anda.

Kami telah meninjau enam jenis honeypots. Tidak ada honeypot yang lebih baik kemudian yang lain, masing-masing memiliki kelebihan dan kekurangan, itu semua tergantung pada apa yang Anda coba capai. Untuk lebih mudah menentukan kemampuan honeypots, kami telah dikategorikan mendasarkan pada tingkat interaksi. Interaksi yang lebih besar penyerang memiliki, semakin kita dapat belajar, tetapi semakin besar risikonya. Misalnya, BOF dan Specter merupakan honeypots interaksi rendah. Mereka mudah untuk menyebarkan dan memiliki risiko minimal. Namun, mereka dibatasi untuk meniru layanan tertentu dan sistem operatings, digunakan terutama untuk deteksi. Mantrap dan Honeynets merupakan mid-to-tinggi honeypots interaksi. Mereka dapat memberikan kedalaman yang jauh lebih besar dari informasi, pekerjaan namun lebih banyak dan risiko yang lebih besar yang terlibat.

Hukum Masalah
Tidak ada diskusi tentang honeypots akan lengkap tanpa menutupi masalah-masalah hukum. Honeypots hanya terlalu dingin untuk tidak memiliki beberapa masalah hukum. Saya bukan seorang laywer. Saya tidak memiliki pelatihan hukum yang nyata atau latar belakang. Bahkan, saya adalah seorang Sejarah besar di perguruan tinggi, dan tidak sangat baik pada saat itu. Jadi apa yang saya akan mendiskusikan pendapat saya sendiri, dan tidak didasarkan pada preseden hukum. Ketika mendiskusikan honeypots, sering ada dua masalah hukum, jebakan dan privasi.

 Pengertian Switch 

      Switch adalah komponen jaringan yang di gunakan untuk menghubungkan beberapa HUB untuk membentuk jaringan yang lebih besar atau menghubungkan komputer - komputer yang mempunyai kebutuhan bandwidth yang besar. Switch memberikan unjuk kerja yang jauh lebih baik dari pada HUB dengan harga yang sama atau sedikit lebih mahal.

Pada saat sinyal memasuki suatu port di switch, switch melihat alamat tujuan dari frame dan secara internal membangun sebuah koneksi logika dengan port yang terkoneksi ke node tujuan. Port-port lain di switch tidak mengambil bagian di dalam koneksi. Hasilnya adalah setiap port di switch berkores-pondensi ke suatu collision domain tersendiri sehingga kemacetan jaringan terhindari. Jadi, jika suatu Ethernet switch 10-Mbps mempunyai 10 port,maka setiap port secara efektif mendapatkan total bandwidth 10Mbps sehingga port switch memberikan suatu koneksi yang dedicated ke node tujuan.

Switch terbagi dalam 2 tipe utama: switch layer-2 dan layer-3. Switch layer-2 beroperasi pada layer data-link model OSI dan berdasarkan terknologi bridging. Switch tipe ini membangun koneksi logika antar port berdasarkan pada alamat MAC. Switch layer-2 dapat digunakan untuk memecah jaringan yang sedang berjalan ke dalam collision domain yang lebih kecil untuk meningkatkan unjuk kerja.

Switch layer-3 beroperasi pada layer-3 dari model OSI dasar teknologi routing. Switch tipe ini membangun koneksi logika antar port berdasarkan alamat jaringan. Switch-switch ini dapat digunakan untuk menghubungkan jaringan-jaringan yang berbeda di dalam suatu internetwork. switch layer-3 kadang-kadang di sebut Switch routing atau switch multilayer.

Snort

 Pengertian Snort 


Snort adalah Network IDS dengan 3 mode: sniffer, packet logger, and network intrusion detection. Snort dapat juga dijalankan di background sebagai sebuah daemon.
 
 Snort
Cepat, flexible, dan open-source. Dikembangkan oleh : Marty Roesch, awalnya dikembangkan di akhir 1998-an sebagai sniffer dengan konsistensi output. SNORT di letakan dalam Firewall Dalam Firewall Luar Firewall.