Sebelumnya saya akan menjelaskan apa itu honeypot,
Honeypot merupakan sebuah aplikasi computer yang berfungsi untuk menciptakan suatu server tipuan yang bertujuan untuk mengumpulkan informasi suatu serangan dari intruder.
Berikut, mungkin bisa dikatakan gambaran jaringan-nya:
server
|
honeypot {fake server}
|
|
Attacker
Konsep Honeypot dipercaya sudah lama ada, walaupun tidak ada literatur yang membahasnya sebelum tahun 1990. Tahun 1990 Clifford Stoll menerbitkan buku The Cuckoo’s Egg, yang lebih mirip cerita detektif. Penerbitnya Pocket Books, yang lebih dikenal dengan novel. Inilah penerbitan pertama yang menguraikan konsep honeypot. Buku ini menceritakan kejadian sesungguhnya selama periode sepuluh bulan di tahun 1986-1987. Stoll adalah astronom pada Lawrence Berkeley Lab yang menjadi admin berbagai komputer untuk komunitas astronom. Selisih akuntansi senilai 75 sen membuatnya menyadari akan adanya hacker bernama ‘Hunter,’ yang telah menyusup ke dalam sistem.
Bukannya menutup account penyusup ini, Stoll malah membiarkannya berada dalam sistem, agar dapat mempelajarinya lebih jauh dan memburunya. Tanpa disadari penyerang, Stoll menyiapkan direktori SDINET (Strategic Defence Initiave Network) dan mengisinya dengan file-file yang pura-pura berisi berbagai file keuangan dan rahasia negara
Honeypot yang digunakan dalam tulisan ini adalah Kippo 0.4 : [url]http://www.code.google.com/p/kippo[/url]. Kippo adalah media interaksi honeypot SSH dirancang untuk log serangan intruder, seluruh interaksi shell yang dilakukan penyerang, setidaknya itu adalah penjelasan sitenya, diterjemahkan menggunakan google translate.
[Langkah-langkah tekhnis]
Adapun requipment yang dibutuhkan dalam menginstall kippo yaitu:
1. O.S (Debian, CentOS, FreeBSD, dan Windows 7)
2. Python 2.5+
3. Twisted 8.0+
4. PyCrypto
5. Zope Interface
Files of interest:
1. dl/ - files downloaded with wget are stored here
2. log/kippo.log - log/debug output
3. log/tty/ - session logs
4. utils/playlog.py - utility to replay session logs
5. utils/createfs.py - used to create fs.pickle
6. fs.pickle - fake filesystem
7. honeyfs/ - file contents for the fake filesystem - feel free to copy a real system here
Bagi pengguna Debian {tulisan ini ditulis berdasarkan Debian Ubuntu Lucid} jalankan perintah "aptitude install python-twisted" untuk memenuhi requipment yang ada, setelah selesai download kippo:[url]http://kippo.googlecode.com/files/kippo-0.4.tar.gz[/url]
Extract file kippo-0.4.tar.gz, dan rename foldernya menjadi kipo {optional, hanya untuk mempermudah saja}.
Kippo secara default berjalan pada port 2222 untuk mengubahnya silahkan ganti pada file confignya: kippo.cfg, jika tidak ada file kippo.cfg anda bisa mengcopynya dari file kippo.cfg.dist dan beri nama kippo.cfg
Kemudian jalankan 2 buah terminal, salah satu-nya mempunyai privilege root. Ikuti langkah-langkah berikut:
Pertama pada terminal biasa masuk ke directory kippo dan jalankan perintah berikut: ./start.sh untuk menjalankan kippo kemudian ketikan lagi perintah: tail -f ./log/kippo.log untuk memantau realtime file log yang dihasilkan kippo
Jalankan putty pada komputer lain dan lakukan koneksi SSH ke komputer kippo. secara default username kippo adalah root dengan password 123456. Kketika anda melakukan koneksi SSH melalui putty pada computer kippo akan mencatat segala aktifitas anda dan menulisnya ke file log, silahkan lihat terminal biasa yang memantau realtime file log yang dibuat oleh kippo.
Jika anda tidak bisa menjalankan Kippo pada port 22 anda bisa mengguankan fungsi iptables dengan terminal privilege root, dengan perintah: iptables -t nat -A PREROUTING -i IN_IFACE -p tcp --dport 22 -j REDIRECT --to-port HONEYPOT_PORT
contoh:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 22 -j REDIRECT --to-port 2222
Sekian dan terima kasih.
Honeypot merupakan sebuah aplikasi computer yang berfungsi untuk menciptakan suatu server tipuan yang bertujuan untuk mengumpulkan informasi suatu serangan dari intruder.
Berikut, mungkin bisa dikatakan gambaran jaringan-nya:
server
|
honeypot {fake server}
|
|
Attacker
Konsep Honeypot dipercaya sudah lama ada, walaupun tidak ada literatur yang membahasnya sebelum tahun 1990. Tahun 1990 Clifford Stoll menerbitkan buku The Cuckoo’s Egg, yang lebih mirip cerita detektif. Penerbitnya Pocket Books, yang lebih dikenal dengan novel. Inilah penerbitan pertama yang menguraikan konsep honeypot. Buku ini menceritakan kejadian sesungguhnya selama periode sepuluh bulan di tahun 1986-1987. Stoll adalah astronom pada Lawrence Berkeley Lab yang menjadi admin berbagai komputer untuk komunitas astronom. Selisih akuntansi senilai 75 sen membuatnya menyadari akan adanya hacker bernama ‘Hunter,’ yang telah menyusup ke dalam sistem.
Bukannya menutup account penyusup ini, Stoll malah membiarkannya berada dalam sistem, agar dapat mempelajarinya lebih jauh dan memburunya. Tanpa disadari penyerang, Stoll menyiapkan direktori SDINET (Strategic Defence Initiave Network) dan mengisinya dengan file-file yang pura-pura berisi berbagai file keuangan dan rahasia negara
Honeypot yang digunakan dalam tulisan ini adalah Kippo 0.4 : [url]http://www.code.google.com/p/kippo[/url]. Kippo adalah media interaksi honeypot SSH dirancang untuk log serangan intruder, seluruh interaksi shell yang dilakukan penyerang, setidaknya itu adalah penjelasan sitenya, diterjemahkan menggunakan google translate.
[Langkah-langkah tekhnis]
Adapun requipment yang dibutuhkan dalam menginstall kippo yaitu:
1. O.S (Debian, CentOS, FreeBSD, dan Windows 7)
2. Python 2.5+
3. Twisted 8.0+
4. PyCrypto
5. Zope Interface
Files of interest:
1. dl/ - files downloaded with wget are stored here
2. log/kippo.log - log/debug output
3. log/tty/ - session logs
4. utils/playlog.py - utility to replay session logs
5. utils/createfs.py - used to create fs.pickle
6. fs.pickle - fake filesystem
7. honeyfs/ - file contents for the fake filesystem - feel free to copy a real system here
Bagi pengguna Debian {tulisan ini ditulis berdasarkan Debian Ubuntu Lucid} jalankan perintah "aptitude install python-twisted" untuk memenuhi requipment yang ada, setelah selesai download kippo:[url]http://kippo.googlecode.com/files/kippo-0.4.tar.gz[/url]
Extract file kippo-0.4.tar.gz, dan rename foldernya menjadi kipo {optional, hanya untuk mempermudah saja}.
Kippo secara default berjalan pada port 2222 untuk mengubahnya silahkan ganti pada file confignya: kippo.cfg, jika tidak ada file kippo.cfg anda bisa mengcopynya dari file kippo.cfg.dist dan beri nama kippo.cfg
Kemudian jalankan 2 buah terminal, salah satu-nya mempunyai privilege root. Ikuti langkah-langkah berikut:
Pertama pada terminal biasa masuk ke directory kippo dan jalankan perintah berikut: ./start.sh untuk menjalankan kippo kemudian ketikan lagi perintah: tail -f ./log/kippo.log untuk memantau realtime file log yang dihasilkan kippo
Jalankan putty pada komputer lain dan lakukan koneksi SSH ke komputer kippo. secara default username kippo adalah root dengan password 123456. Kketika anda melakukan koneksi SSH melalui putty pada computer kippo akan mencatat segala aktifitas anda dan menulisnya ke file log, silahkan lihat terminal biasa yang memantau realtime file log yang dibuat oleh kippo.
Jika anda tidak bisa menjalankan Kippo pada port 22 anda bisa mengguankan fungsi iptables dengan terminal privilege root, dengan perintah: iptables -t nat -A PREROUTING -i IN_IFACE -p tcp --dport 22 -j REDIRECT --to-port HONEYPOT_PORT
contoh:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 22 -j REDIRECT --to-port 2222
Sekian dan terima kasih.
0 comments:
Post a Comment