LAPORAN PRAKTIKUM MATA KULIAH : NETWORK SERVER JUDUL : INTRUSION DETECTION SYSTEM (HONEYPOT) DISUSUN OLEH : NAMA : SINTA AGUSTIEN KOLOAY NIM : 13022001 KELAS : 5 TEKNIK KOMPUTER 1 KEMENTERIAN RISET TEKNOLOGI DAN PENDIDIKAN TINGGI POLITEKNIK NEGERI MANADO JURUSAN TEKNIK ELEKTRO 2015
A. TUJUAN 1. Mengenalkan pada mahasiswa tentang konsep honeypot di linux 2. Mahasiswa memahami system pendeteksiserangandengan honeypot 3. Mahasiswa mampu melakukan analisa terhadap honeypot yang ada di linux B. ALAT DAN BAHAN 1. Laptop 1 buah 2. WMWare 3. Debian 5 (Server dan Client) 4. Honeypot 5. Nmap 6. Telnet 7. FTP 8. Web Server 9. farpd C. TEORI DASAR Honeypot merupakan sumber sistem informasi yang bersifat terbuka (opensif) yang memfocuskan pada proses pemgumpulan informasi tentang aktifitas ilegal si Attacker yang mencoba menyusup dan mengeksplorasi authorisasi system komputer (server). Dengan Honeypot kita bisa mengetahui tingkah laku si Attacker diantaranya : port yang diserang, perintah-perintah yang dipergunakan, dan jenis aktifitas lainnya yang bisa direkam. Honeypot akan melindungi server asli yang kita miliki karena kita mendirikan server palsu yang tanpa disadari sebenarnya si Attacker sedang menyerang sistem yang bukan sebenarnya sehingga terperangkap.
Macam-Macam Honeypot Honeypot sendiri dibagi menjadi dua kategori yaitu : High Interaction Honeypot adalah sistem yang mengoperasikan Sistem Operasi penuh sehingga penyerang akan melihatnya sebagai sebuah sistem operasi/host yang siap untuk dieksploitasi (dan memang seperti itu lah keadaannya). Inti dari High Interaction adalah sistem ini nantinya akandiserang oleh penyerang. Yang perlu dipahami dari High Interaction Honeypot adalah sistem ini bukan sebuah software ataupun daemon yang siap diinstall pada komputer Host namun lebih kepada sebuah paradigma,sebuah arsitektur jaringan, dengan kata lain High Interaction Honeypot adalah sekumpulan komputer yang dirancang sedemikian rupa dalam sebuah jaringan agar terlihat dari sisi penyerang dan tentunya sekumpulan computer ini akan terus dimonitor dengan berbagai tools networking. Komputerkomputer ini bisa dikatakan adalah komputer secara fisik (komputer yang benar benar ada) atau komputer secara virtual (Virtual Operating System seperti VMware dan XEN). Low Interaction Honeypot mensimulasikan sebuah sistem operasi dengan service-service tertentu(misalnya SSH,HTTP,FTP) atau dengan kata lain sistem yang bukan merupakan sistem operasi secara keseluruhan, service yang berjalan tidak bisa dieksploitasi untuk mendapatkan akses penuh terhadap honeypot. Low interaction akan melakukan analisa terhadap jaringan dan aktifitas worm. Sayangnya perkembangan dari Honeypot (Honeyd Low Interaction Honeypot) sendiri tidak terlalu cepat bahkan update terbaru terjadi pada tahun 2007.
D. HASIL PRAKTIKUM 1. Kemudian setting IP Address ke dalam Server (IP asli), dengan perintah nano /etc/network/interfaces 2. Setting IP Address ke dalam PC Client (IP asli), dengan perintah nano /etc/network/interfaces
3. Uninstall aplikasi portsentry yang ada di Server, agar tidak bertabrakan dengan aplikasi honeypot. Untuk uninstall aplikasi portsentry dengan perintah apt-get remove purge portsentry 4. Kemudian untuk menginstall honeypot pastikan Laptop Server terhubung dengan internet, jika sudah terhubung install honeypot dengan perintah apt-get install honeyd
5. Lalu matikan proses ip fordward dengan perintah ech0 0 > /proc/sys/net/ipv4/ip_forward 6. Kemudian buat file untuk menentukan virtual honeypot dengan perintah nano /etc/home/tes.conf, didalam virtual honeypot tersebut isi IP palsu / bayangan. IP palsu / bayangan ada didalam kotak warna merah. Catatan : Pada setting diatas, IP 192.168.1.120 diberi aplikasi berupa telnet (23). Sedangkan IP 192.168.1.122 diberi aplikasi Web Server (80), FTP (21), 139 dan137.
7. Setting konfigurasi untuk honyed. Dengan perintah nano /etc/default/honeyd 8. Pada server juga diinstall farpd. Dengan perintah apt-get install farpd 9. Setelah farpd sudah berhasil diinstall lakukan peracunan arp terhadap ip honeypot, agar dikenali oleh attacker. farpd i eth0 192.168.1.120 farpd i eth0 192.168.1.122
10. Jalankan honeyd, dengan perintah honeyd d i eth0 f /home/tes.conf 192.168.1.10/24 11. Kemudian jalankan perintah honey d i eth0 f /home/tes.conf 192.168.1.120 pada Laptop Server, kemudian lakukan tes ping, nmap. Dalam melakukan nmap lihat port mana yang terbuka. 12. Kemudian lakukan tes ping dari Laptop Client, jika ping dari Client ke IP bayangan berhasil berarti perintah yang dibuat sudah berhasil. Jika sudah berhasil melakukan ping cek honey d i eth0 f /home/tes.conf 192.168.1.120 pada Laptop Server. ping 192.168.1.120 Cek honey d i eth0 f /home/tes.conf 192.168.1.120 pada Laptop Server Pada gambar diatas terlihat bahwa IP 192.168.1.20 berhasil melakukan ping ke IP bayangan 192.168.1.120
nmap st P0 192.168.1.120 pada gambar diatas terlihat hanya port 23 (telnet) yang terbuka. Cek honey d i eth0 f /home/tes.conf 192.168.1.120 pada Laptop Server Pada gambar diatas terlihat bahwa IP 192.168.1.20 berhasil melakukan nmap ke IP bayangan 192.168.1.120
telnet 192.168.1.120 Pada gambar diatas terlihat bahwa IP 192.168.1.20 berhasil masuk melakukan telnet pada IP bayangan 192.168.1.120, telnet pada IP bayangan ini akan tetap masuk dan meminta username dan password seakan akan sudak masuk pada Laptop Server. Tetapi ketika memasukkan username dan password tidak akan masuk karena username dan password salah (kita tidak mengetahui username dan password dari IP bayangan). Maka username dan password yang muncul kembali atau berulang ulang. telnet 192.168.1.10 (IP Asli) Pada gambar diatas membuktikan bahwa jika IP 192.168.1.20 melakukan telnet pada IP asli 192.168.1.10 akan berhasil masuk.
Cek honey d i eth0 f /home/tes.conf 192.168.1.120 pada Laptop Server Pada gambar diatas terlihat bahwa IP 192.168.1.20 berhasil melakukan telnet pada IP bayangan 192.168.1.120, tetapi tidak bisa masuk dengan username shinta dan password shinta. 13. Kemudian lakukan tes ping dari Laptop Client, jika ping dari Client ke IP bayangan berhasil berarti perintah yang dibuat sudah berhasil. Jika sudah berhasil melakukan ping cek honey d i eth0 f /home/tes.conf 192.168.1.122 pada Laptop Server. ping 192.168.1.122 Cek honey d i eth0 f /home/tes.conf 192.168.1.122 pada Laptop Server Pada gambar diatas terlihat bahwa IP 192.168.1.20 berhasil melakukan ping ke IP bayangan 192.168.1.122
nmap st P0 192.168.1.122 pada gambar diatas terlihat port 21 (ftp), port 80 (Web Server), 137 dan 139 yang terbuka. Cek honey d i eth0 f /home/tes.conf 192.168.1.122 pada Laptop Server Pada gambar diatas terlihat bahwa IP 192.168.1.20 berhasil melakukan nmap ke IP bayangan 192.168.1.122 ftp 192.168.1.122
Pada gambar diatas terlihat bahwa IP 192.168.1.20 berhasil melakukan ftp pada IP bayangan 192.168.122, tetapi hal ini sama seperti melakukan telnet di IP bayangan 192.168.1.120, hanya bedanya ini tidak berulang meminta user dan pass. ftp 192.168.1.10 (IP Asli) Pada gambar diatas membuktikan bahwa jika IP 192.168.1.20 melakukan ftp pada IP asli 192.168.1.10 akan berhasil masuk. Cek honey d i eth0 f /home/tes.conf 192.168.1.122 pada Laptop Server http://192.168.1.122
http://192.168.1.10 Pada gambar diatas membuktikan bahwa jika IP 192.168.1.20 melakukan web browser pada IP asli 192.168.1.10 akan berhasil masuk. Tetapi jika IP 192.168.1.20 melakukan web browser pada IP bayangan 192.168.1.122 tidak akan masuk. Cek honey d i eth0 f /home/tes.conf 192.168.1.122 pada Laptop Server Pada gambar diatas terlihat bahwa ketika kita melakukan tes untuk mengakses web browser Laptop Server menggunakan IP bayangangan maka web browsernya tidak akan bisa terakses tapi port http nya akan terdeteksi pada perintah honeyd -d -i eth0 f /home/tes.conf dengan port 80. E. KESIMPULAN Pada praktikum kali ini dapat diambil kesimpulan bahwa kita dapat melakukan pemantauan ke IP bayangan Laptop Server yang telah dibuat. Pada saat kita melakukan pemantauan kita akan berhasil masuk ke dalamnya, tetapi pada saat meminta username dan password tidak akan masuk karena kita tidak mengetahui username dan password dari IP bayangan.