simulating honeyd without farpd

Duh sumpah aku ga enak ama godang lantaran udah lewat berapa minggu ini belum juga kukabari kiribannya *sabar ya *_* yg lain jg blom sempat reply so sorry guys these days are linux days .Sebelum hari sabtu insyaallah bakal kuselesaikan semuanya.

*back to linux thing

Beberapa hari yang lalu saya mencoba mensimulasikan jaringan virtual menggunakan honeypot. Sekedar  ingin memuaskan rasa penasaran saya yang belum terpenuhi beberapa tahun yang lalu (tepatnya tahun 2008). Meskipun sudah ada beberapa IDS-IPS yang beredar di pasaran utamanya berlabel opensource sebut saja snort yang sangat terkenal itu. Bagi penulis honeyd mempunyai tempat tersendiri meskipun dari tahun-ketahun sudah jarang digunakan oleh mimin jaringan (at most). Dengan mensimulasikan (jebakan model) jaringan virtual suatu mimin jaringan bisa mengetahui point of interest dari attacker itu sendiri entah yang dieskploit web servernya ,atau service2 yang jalan pada server itu sendiri sebut saja ssh,snmp dan lain2.

--hasil simple testing--

Langsung ke pokok bahasan

Disimulasikan honeyd dengan konfigurasi 3 router , masing2 router terdapat beberapa subnet dengan jumlah host 5-10 host masih belom dibenerin rentang jaringannya lol

Spesifikasi mesin yang dipakai untuk honeyd:
-intel pentium 4 2.6Ghz x2
-memory 8G
-hdd 40G
-fedora core 17 kernel 3.3.4 64bit

Spesifikasi mesin client :
dell inspiron 1440
-2.1Ghz x2
-memory 2G
-hdd 20G
-windo sefen 64bit

Additional setting:
-memanipulasi traffic ,meredirect traffic jaringan ke router honeyd
-menambahkan routing table untuk jaringan honeyd ke jaringan lokal agar host2 virtual bisa berinteraksi dengan physical machine kita.
-menkonfigurasi jaringan physical machine kita ke dalam jaringan virtual honeyd.
-honeyd terkonfigurasi semi hi-interaction (karena beberapa skrip jebakan belum ada)
-penulis tidak memberi mac address pada virtualhost lnataran masih bingun memberi pengalamatannya, dari sekian deret bits mac address itu kan sekian deret nama vendor lalu sisanya nomor seri *jik bingun aq gan *_*
-no farpd, sengaja tidak dipakai karena dari sisi gateway disetting dhcp

Tes ping,dan traceroute:

(dari sisi client) Ping berhasil :p, aga aneh melihat rute di traceroutenya windos utamanya nomor 1 kok langsung ke hostnya ya? (pasti routing tablenya blom bener). Untuk portscanning saya sengaja menjalankan backtrack linux di virtualmachine karena diwindo blom menginstall sopwer port scanning.

mengintip port yang kebuka memakai netcat

(dari sisi honeyd) log menunjukkan balasan untuk icmp dari client dan beberapa restriksi port.

jebakan webserver tidak berhasil dieksekusi lantaran skripnya durung ono cak Lol.

Kesimpulan:

-masih harus belajar subnetting network yang benar =p

-penulis belum berhasil mensimulasikan /menattach physical network ke dalam jaringan virtual host tadi ,rencananya dibelakang router2 virtual itu

-pengalamatan mac address juga bingung DX

next time:

-menancapkan physical network

-menjalankan honeyd dengan koneksi internet

-hi-interaction honeypot is a must!

-menjalankan honeyd berdampingan dengan IDS lainnya lets say its snort 

-chroot jailing pd honeyd

insyaallah saya sharing konfigurasinya setelah semuanya teruji klinis