LAPORAN PRAKTIKUM MATA KULIAH : NETWORK SERVER JUDUL : INTRUSION DETECTION SYSTEM (HONEYPOT) DISUSUN OLEH : : SINTA AGUSTIEN KOLOAY

Transkripsi

1 LAPORAN PRAKTIKUM MATA KULIAH : NETWORK SERVER JUDUL : INTRUSION DETECTION SYSTEM (HONEYPOT) DISUSUN OLEH : NAMA : SINTA AGUSTIEN KOLOAY NIM : KELAS : 5 TEKNIK KOMPUTER 1 KEMENTERIAN RISET TEKNOLOGI DAN PENDIDIKAN TINGGI POLITEKNIK NEGERI MANADO JURUSAN TEKNIK ELEKTRO 2015

2 A. TUJUAN 1. Mengenalkan pada mahasiswa tentang konsep honeypot di linux 2. Mahasiswa memahami system pendeteksiserangandengan honeypot 3. Mahasiswa mampu melakukan analisa terhadap honeypot yang ada di linux B. ALAT DAN BAHAN 1. Laptop 1 buah 2. WMWare 3. Debian 5 (Server dan Client) 4. Honeypot 5. Nmap 6. Telnet 7. FTP 8. Web Server 9. farpd C. TEORI DASAR Honeypot merupakan sumber sistem informasi yang bersifat terbuka (opensif) yang memfocuskan pada proses pemgumpulan informasi tentang aktifitas ilegal si Attacker yang mencoba menyusup dan mengeksplorasi authorisasi system komputer (server). Dengan Honeypot kita bisa mengetahui tingkah laku si Attacker diantaranya : port yang diserang, perintah-perintah yang dipergunakan, dan jenis aktifitas lainnya yang bisa direkam. Honeypot akan melindungi server asli yang kita miliki karena kita mendirikan server palsu yang tanpa disadari sebenarnya si Attacker sedang menyerang sistem yang bukan sebenarnya sehingga terperangkap.

3 Macam-Macam Honeypot Honeypot sendiri dibagi menjadi dua kategori yaitu : High Interaction Honeypot adalah sistem yang mengoperasikan Sistem Operasi penuh sehingga penyerang akan melihatnya sebagai sebuah sistem operasi/host yang siap untuk dieksploitasi (dan memang seperti itu lah keadaannya). Inti dari High Interaction adalah sistem ini nantinya akandiserang oleh penyerang. Yang perlu dipahami dari High Interaction Honeypot adalah sistem ini bukan sebuah software ataupun daemon yang siap diinstall pada komputer Host namun lebih kepada sebuah paradigma,sebuah arsitektur jaringan, dengan kata lain High Interaction Honeypot adalah sekumpulan komputer yang dirancang sedemikian rupa dalam sebuah jaringan agar terlihat dari sisi penyerang dan tentunya sekumpulan computer ini akan terus dimonitor dengan berbagai tools networking. Komputerkomputer ini bisa dikatakan adalah komputer secara fisik (komputer yang benar benar ada) atau komputer secara virtual (Virtual Operating System seperti VMware dan XEN). Low Interaction Honeypot mensimulasikan sebuah sistem operasi dengan service-service tertentu(misalnya SSH,HTTP,FTP) atau dengan kata lain sistem yang bukan merupakan sistem operasi secara keseluruhan, service yang berjalan tidak bisa dieksploitasi untuk mendapatkan akses penuh terhadap honeypot. Low interaction akan melakukan analisa terhadap jaringan dan aktifitas worm. Sayangnya perkembangan dari Honeypot (Honeyd Low Interaction Honeypot) sendiri tidak terlalu cepat bahkan update terbaru terjadi pada tahun 2007.

4 D. HASIL PRAKTIKUM 1. Kemudian setting IP Address ke dalam Server (IP asli), dengan perintah nano /etc/network/interfaces 2. Setting IP Address ke dalam PC Client (IP asli), dengan perintah nano /etc/network/interfaces

5 3. Uninstall aplikasi portsentry yang ada di Server, agar tidak bertabrakan dengan aplikasi honeypot. Untuk uninstall aplikasi portsentry dengan perintah apt-get remove purge portsentry 4. Kemudian untuk menginstall honeypot pastikan Laptop Server terhubung dengan internet, jika sudah terhubung install honeypot dengan perintah apt-get install honeyd

6 5. Lalu matikan proses ip fordward dengan perintah ech0 0 > /proc/sys/net/ipv4/ip_forward 6. Kemudian buat file untuk menentukan virtual honeypot dengan perintah nano /etc/home/tes.conf, didalam virtual honeypot tersebut isi IP palsu / bayangan. IP palsu / bayangan ada didalam kotak warna merah. Catatan : Pada setting diatas, IP diberi aplikasi berupa telnet (23). Sedangkan IP diberi aplikasi Web Server (80), FTP (21), 139 dan137.

7 7. Setting konfigurasi untuk honyed. Dengan perintah nano /etc/default/honeyd 8. Pada server juga diinstall farpd. Dengan perintah apt-get install farpd 9. Setelah farpd sudah berhasil diinstall lakukan peracunan arp terhadap ip honeypot, agar dikenali oleh attacker. farpd i eth farpd i eth

8 10. Jalankan honeyd, dengan perintah honeyd d i eth0 f /home/tes.conf / Kemudian jalankan perintah honey d i eth0 f /home/tes.conf pada Laptop Server, kemudian lakukan tes ping, nmap. Dalam melakukan nmap lihat port mana yang terbuka. 12. Kemudian lakukan tes ping dari Laptop Client, jika ping dari Client ke IP bayangan berhasil berarti perintah yang dibuat sudah berhasil. Jika sudah berhasil melakukan ping cek honey d i eth0 f /home/tes.conf pada Laptop Server. ping Cek honey d i eth0 f /home/tes.conf pada Laptop Server Pada gambar diatas terlihat bahwa IP berhasil melakukan ping ke IP bayangan

9 nmap st P pada gambar diatas terlihat hanya port 23 (telnet) yang terbuka. Cek honey d i eth0 f /home/tes.conf pada Laptop Server Pada gambar diatas terlihat bahwa IP berhasil melakukan nmap ke IP bayangan

10 telnet Pada gambar diatas terlihat bahwa IP berhasil masuk melakukan telnet pada IP bayangan , telnet pada IP bayangan ini akan tetap masuk dan meminta username dan password seakan akan sudak masuk pada Laptop Server. Tetapi ketika memasukkan username dan password tidak akan masuk karena username dan password salah (kita tidak mengetahui username dan password dari IP bayangan). Maka username dan password yang muncul kembali atau berulang ulang. telnet (IP Asli) Pada gambar diatas membuktikan bahwa jika IP melakukan telnet pada IP asli akan berhasil masuk.

11 Cek honey d i eth0 f /home/tes.conf pada Laptop Server Pada gambar diatas terlihat bahwa IP berhasil melakukan telnet pada IP bayangan , tetapi tidak bisa masuk dengan username shinta dan password shinta. 13. Kemudian lakukan tes ping dari Laptop Client, jika ping dari Client ke IP bayangan berhasil berarti perintah yang dibuat sudah berhasil. Jika sudah berhasil melakukan ping cek honey d i eth0 f /home/tes.conf pada Laptop Server. ping Cek honey d i eth0 f /home/tes.conf pada Laptop Server Pada gambar diatas terlihat bahwa IP berhasil melakukan ping ke IP bayangan

12 nmap st P pada gambar diatas terlihat port 21 (ftp), port 80 (Web Server), 137 dan 139 yang terbuka. Cek honey d i eth0 f /home/tes.conf pada Laptop Server Pada gambar diatas terlihat bahwa IP berhasil melakukan nmap ke IP bayangan ftp

13 Pada gambar diatas terlihat bahwa IP berhasil melakukan ftp pada IP bayangan , tetapi hal ini sama seperti melakukan telnet di IP bayangan , hanya bedanya ini tidak berulang meminta user dan pass. ftp (IP Asli) Pada gambar diatas membuktikan bahwa jika IP melakukan ftp pada IP asli akan berhasil masuk. Cek honey d i eth0 f /home/tes.conf pada Laptop Server

14 Pada gambar diatas membuktikan bahwa jika IP melakukan web browser pada IP asli akan berhasil masuk. Tetapi jika IP melakukan web browser pada IP bayangan tidak akan masuk. Cek honey d i eth0 f /home/tes.conf pada Laptop Server Pada gambar diatas terlihat bahwa ketika kita melakukan tes untuk mengakses web browser Laptop Server menggunakan IP bayangangan maka web browsernya tidak akan bisa terakses tapi port http nya akan terdeteksi pada perintah honeyd -d -i eth0 f /home/tes.conf dengan port 80. E. KESIMPULAN Pada praktikum kali ini dapat diambil kesimpulan bahwa kita dapat melakukan pemantauan ke IP bayangan Laptop Server yang telah dibuat. Pada saat kita melakukan pemantauan kita akan berhasil masuk ke dalamnya, tetapi pada saat meminta username dan password tidak akan masuk karena kita tidak mengetahui username dan password dari IP bayangan.