Tugas EC7010 Keamanan Sistem Lanjut

Teknik Mengenali Penyerang Sistem Komputer dan Internet dengan Honeypots

Dosen: Ir. Budi Raharjo, M.Sc., Ph.D

oleh: Sakri Agiyanto 23202059 2 Januari 2004

Program Pasca Sarjana Jurusan Teknik Elektro Jalur Pilihan Teknologi Informasi Institut Teknologi Bandung 2004

Abstrak

Beberapa tahun terakhir, sistem jaringan komputer dan internet telah berkembang pesat pada skala ukuran, kompleksitas, dan kerentanan terhadap serangan (attack). Pada saat yang sama, pengetahuan, peralatan, dan teknik yang tersedia bagi penyerang (attacker) juga telah berkembang secara proporsional. Sayangnya teknik pertahanan terhadap serangan tidak berkembang cukup cepat. Teknologi keamanan saat ini telah mencapai batasnya, dan solusi inovatif selanjutnya diperlukan untuk memberikan jawaban atas tantangan saat ini dan masa mendatang. Paper ini akan membahas tentang sebuah teknologi keamanan sistem jaringan yang seringkali disebut dengan deception mechanism atau honeypots. Tulisan ini juga akan menjelaskan teknik honeypots untuk mendeteksi sebuah serangan pada sistem komputer dan internet. Dengan honeypots seorang administrator jaringan akan dapat menganalisis tools yang digunakan oleh penyerang, dan kemudian mengenali penyerang. Pada tulisan ini juga akan dibahas mengenai perkembangan honeypots, tools yang dapat dipergunakan, dan perbandingan dari beberapa teknik honeypots yang ada.

DAFTAR ISI
1 2 PENDAHULUAN ................................................................................................5 HONEYPOTS ......................................................................................................6 2.1 DEFINISI ..........................................................................................................6 2.2 ISTILAH HONEYPOTS .......................................................................................6 2.3 KATEGORI HONEYPOTS...................................................................................7 2.4 LEVEL OF INVOLVEMENT6 ...............................................................................8 2.4.1 Low Involvement Honeypots ..................................................................8 2.4.2 Mid Involvement Honeypots ..................................................................9 2.4.3 High Involvement Honeypots.................................................................9 2.4.4 Perbandingan dari Karakteristik Level of Involvement.......................11 2.5 PEMBAGIAN HONEYPOTS BERDASARKAN FUNGSI7 .......................................11 2.5.1 Sacrificial Lambs .................................................................................11 2.5.2 Facades ................................................................................................12 2.5.3 Instrumented Systems...........................................................................12 2.5.4 Pertimbangan dalam Memilih Honeypots ...........................................13 2.6 PENEMPATAN HONEYPOTS PADA JARINGAN .................................................14 3 NILAI TAMBAH DARI HONEYPOTS..........................................................16 3.1 KELEBIHAN DARI HONEYPOTS ......................................................................16 3.1.1 Nilai Data.............................................................................................16 3.1.2 Resources .............................................................................................17 3.1.3 Simplicity..............................................................................................18 3.1.4 Return on Investment ...........................................................................18 3.2 KELEMAHAN DARI HONEYPOTS ....................................................................18 3.2.1 Keterbatasan Ruang Pandang .............................................................19 3.2.2 Fingerprinting......................................................................................19 4 HONEYNETS ....................................................................................................20 4.1 PERBEDAAN HONEYPOTS DENGAN HONEYNETS ...........................................20 4.2 HONEYNETS BUKAN SISTEM ENTRAPMENT ....................................................21 4.3 HASIL DARI HONEYNET PROJECT ..................................................................21 4.3.1 Tantangan ............................................................................................21 4.3.2 Taktik....................................................................................................22 4.3.3 Tools.....................................................................................................22 4.3.4 Motif.....................................................................................................22 5 BEBERAPA HONEYPOTS YANG TERSEDIA ...........................................23 5.1 5.2 5.3 5.4 5.5 MANTRAP .....................................................................................................23 SPECTER .......................................................................................................23 DECEPTION TOOLKIT .....................................................................................25 HOME GROWN HONEYPOTS ............................................................................25 PERBANDINGAN DARI BEBERAPA HONEYPOTS .............................................26

DAFTAR GAMBAR

Gambar 1 Sistem Honeytpots Tunggal .........................................................................7 Gambar 2 Low Involvement Honeypots.......................................................................8 Gambar 3 Mid Involvement Honeypots .......................................................................9 Gambar 4 High Involvement Honeypots .....................................................................10 Gambar 5 Kelebihan dan Kekurangan dari setiap Level of Involvement ....................11 Gambar 6 Penempatan Honeypots..............................................................................14 Gambar 7 Network Sweep secara tersembunyi pada jaringan honeypots ..................17 Gambar 8 Honeynets...................................................................................................20 Gambar 9 Tampilan dari Specter Control (Specter) ...................................................24 Gambar 10 Tampilan dari Log Analyzer (Specter) ....................................................25 Gambar 11 Tabel Perbandingan Produk Honeypots...................................................26

Teknik Mengenali Penyerang Sistem Komputer dan Internet dengan Honeypots

PENDAHULUAN

Sejak ribuan tahun yang lalu seringkali suatu peperangan dapat dimenangkan dengan taktik memperdaya musuh. Pada operasi Desert Storm, Amerika menggunakan serdadu, camp, dan bahkan tank tiruan untuk membuat bingung tentara Irak. Kemudian serdadu yang sebenarnya akan memasuki Irak tanpa perlawanan. Taktik yang sama dapat juga diaplikasikan untuk mempertahankan aset-aset jaringan informasi di suatu instansi dari serangan (attack) para penyerang (attacker) yang semakin pintar. Saat ini di internet sudah tersedia berbagai sumber lengkap yang akan memudahkan para penyerang sistem jaringan komputer dan internet di suatu perusahaan untuk melakukan perang jenis baru dalam jaringan informasi. Teknik pengamanan sistem jaringan lama adalah melakukan blokade serangan dengan firewall, atau mendeteksi pada saat mulai terjadi dengan IDS (Intrusion Detection Systems). Kedua teknik ini sangat baik tapi mempunyai keterbatasan. Dengan sedikit waktu dan informasi tambahan, seorang penyerang akan dapat mempelajari untuk mengelak dari sistem blokade firewall. Setelah berhasil dielakkan, firewall tidak dapat memberikan sistem proteksi yang lebih jauh. Sementara IDS hanya akan menyediakan informasi satu kali saat sebuah serangan dimulai. Seringkali ini tidak memberikan waktu yang cukup bagi seorang administrator untuk mengamankan semua sistem yang terserang. Selain itu IDS tidak dapat menentukan apakah sebuah serangan baru telah berhasil atau akan berhasil dengan sistem yang lain. Dengan hanya menggunakan firewall dan IDS dapat di analogikan dengan sebuah kota di abad pertengahan yang mempertahankan diri dari serangan segerombolan barbar dengan hanya menggunakan benteng yang tinggi dan pengawal-pengawal tanpa senjata. Pada akhirnya kota tersebut akan kalah. Sebuah tindakan balasan yang baik akan secara substansial menghambat penyerang dengan memberikan informasi pada sistem pertahanan jaringan tentang musuh untuk mencegah kerusakan lebih jauh akibat dari serangan. Penggunaan muslihat yang baik akan menyelesaikan tujuan ini. Dengan memperdaya penyerang, sistem pertahanan jaringan akan memberikan informasi yang salah dan memaksa penyerang untuk membuang banyak waktunya di tempat yang salah sehingga menumpulkan serangan berikutnya. Sebuah taktik muslihat yang baik akan memberi nilai tambah pada sistem pertahanan jaringan yaitu informasi tentang maksud dari penyerang dan motifnya, tanpa resiko serangan yang lolos. Informasi ini kemudian dapat dipergunakan untuk meningkatkan tingkat keamanan yang sudah ada seperti firewall dan konfigurasi IDS.

HONEYPOTS

Pada dunia keamanan jaringan informasi banyak profesional yang sangat tertarik pada honeypots karena seorang pengamat serangan akan dapat melihat informasi secara nyata tentang suatu serangan. Kita sering mendengar tentang perusakkan sebuah situs web atau sebuah sistem keamanan jaringan pada bank yang di-hack, tetapi kebanyakan dari kita tidak mengetahui bagaimana si penyerang masuk dan apa yang sesungguhnya terjadi. Salahsatu hal yang bisa didapat dengan honeypots adalah informasi bagaimana seorang penyerang dapat menerobos dan apa yang sudah dilakukannya. 2.1 Definisi

Berikut adalah definisi dari Honeypots dari dua orang yang memiliki kompetensi pada penelitian tentang honeypots. Definisi dari L. Spitzner1 tentang istilah Honeypots adalah sebagai berikut: A honeypot is a resource whose value is being in attacked or compromised. This means, that a honeypot is expected to get probed, attacked and potentially exploited. Honeypots do not fix anything. They provide us with additional, valuable information. Definisi lain dari Retto Baumann2 & Christian Plattner3: A honeypot is a resource which pretends to be a real target. A honeypot is expected to be attacked or compromised. The main goals are the distraction of an attacker and the gain of information about an attack and the attacker. Pada dasarnya honeypots adalah suatu alat untuk mendapatkan informasi tentang penyerang. Selanjutnya administrator jaringan dapat mempelajari aktifitas-aktifitas yang dapat merugikan dan melihat kecenderungan dari aktifitas tersebut. Honeypots adalah sebuah sistem yang dirancang untuk diperiksa dan diserang. 2.2 Istilah Honeypots

Istilah honeypots pertama kali didiskusikan di sejumlah paper yang sangat bagus oleh beberapa tokoh sistem keamanan jaringan komputer: Cliff Stolls Cukoos Egg Steve Bellovin & Bill Cheswicks An Evening with Berferd.4 Keduanya memberikan contoh penggunaan teknologi jail-type untuk menangkap session dari seorang penyerang sistem keamanan jaringan, dan memonitor secara terperinci apa yang dilakukan oleh penyerang. Istilah honeypots kemudian muncul. Sistem honeypots lama biasanya hanya berupa sebuah sistem yang dihubungkan dengan jaringan produktif yang ada dengan tujuan untuk memikat penyerang. Gambar berikut memperlihatkan sebuah sistem fisik honeypots tunggal yang diletakkan pada
1 2

Lance Spitzner adalah anggota dari riset honepots di USA (http:/project.honeynet.net) Retto Baumman (http://www.rbaumann.net) 3 Christian Plattner (http://www.christianplattner.net) 4 AT&T Bell Laboratorie

jaringan internal. Sistem tersebut kemudian dapat mengemulasikan berbagai variasi sistem atau lubang-lubang dari sistem yang mudah untuk diserang. Gambar 1 Sistem Honeytpots Tunggal

2.3

Kategori Honeypots

Ada dua kategori honeypots5: 1. Production Honeypots 2. Research Honeypots Production honeypots digunakan untuk mengurangi resiko serangan pada sistem keamanan jaringan informasi dalam sebuah organisasi. Reasearch honeypots digunakan untuk medapatkan informasi sebanyak mungkin tentang penyerang sehingga seorang administrator dapat mempelajari informasi tersebut. Beberapa kalangan memperdebatkan apakah benar honeypots menambah nilai pada suatu sistem keamanan jaringan informasi. Salahsatu cara untuk mencobanya adalah dengan cara melihat dari berapa lama honeypots memberikan waktu pada administrator untuk bereaksi sejak saat serangan itu masuk, sehingga seorang administrator dapat melindungi jaringan produktifnya. Jika dalam 15-20 menit, maka honeypots tersebut akan mempunyai nilai tambah. Informasi penyerang yang sudah dipelajari juga akan memberikan nilai tambah pada sistem kemanan jaringan, karena sebuah serangan balasan yang tepat akan dapat dibuat untuk pertahanan terhadap serangan baru tersebut.

Didefiniskan oleh Marty Roesch, pembuat Snort

2.4

Level of Involvement6

Karakteristik lainnya dari honeypots adalah level of involvement (tingkat keterlibatan). Level of involvement mengukur derajat interaksi seorang penyerang dengan sistem operasi. 2.4.1 Low Involvement Honeypots

Low Involvement honeypots biasanya hanya menyediakan tiruan dari layanan tertentu. Bentuk paling sederhana dari layanan ini dapat diimplementasikan dengan memasang suatu listener pada sebuah port. Sebagai contoh, simple netcat l p 80 > /log/honeypot/port 80.log dapat digunakan untuk mendengarkan port 80 (HTTP) dan mencatat semua traffic yang ada pada log file. Pada low involvement honeypots tidak ada sistem operasi nyata yang dapat dipakai sebagai tempat operasi penyerang. Ini akan dapat mengurangi resiko secara signifikan karena kompleksitas dari suatu sistem operasi telah ditiadakan. Di sisi lain ini adalah juga suatu kelemahan yang berakibat tidak adanya kemungkinan untuk memperhatikan interaksi penyerang dengan sistem operasi yang bisa jadi sangat menarik. Low involvement honeypots adalah seperti sebuah koneksi satu arah. Kita hanya akan dapat mendengarkan tanpa bisa menanyakan pertanyaan sendiri. Pendekatan cara ini sangat pasif. Gambar 2 Low Involvement Honeypots

Low involvement honeypots dapat dibandingkan dengan sebuah IDS dimana keduanya adalah sistem pasif yang tidak mengubah traffic atau interaksi dengan penyerang.

Retto Baumann & Christian Plattner, Whitepaper, Honeypots

2.4.2 Mid Involvement Honeypots Mid involvement honeypots menyediakan lebih banyak layanan untuk berinteraksi, tetapi juga belum menyediakan sebuah sistem operasi yang nyata. Tiruan dari layanan daemons adalah layanan yang paling menarik dan memiliki akses yang lebih dalam dari layanan yang disediakan. Pada saat yang sama resiko bertambah. Kemungkinan seorang penyerang mendapatkan security hole menjadi lebih besar karena kompleksitas dari honeypots juga bertambah. Melalui tingkatan interaksi yang lebih tinggi, serangan yang lebih kompleks mungkin terjadi dan dapat dicatat dan dianalisis. Penyerang mendapatkan ilusi yang lebih baik dari sebuah sistem operasi yang nyata. Dia juga memiliki kemungkinan lebih banyak untuk berinteraksi dan memeriksa sebuah sistem. Gambar 3 Mid Involvement Honeypots

Membangun suatu mid involvement honeypots sangat kompleks dan membutuhkan banyak waktu. Hal yang harus diperhatikan adalah pembuatan daemons tiruan yang seaman mungkin. Pengetahuan yang cukup diperlukan untuk membangun sistem jenis ini seperti pemahaman protokol dan layanan yang lebih detil. 2.4.3 High Involvement Honeypots High involvement honeypots mempunyai sebuah sistem operasi nyata yang mendasarinya. Hal ini menyebabkan resiko yang sangat tinggi karena kompleksitas menjadi semakin bertambah. Pada saat yang sama, kemampuan untuk mengumpulkan

informasi, dan kemungkinan untuk serangan yang lebih atraktif juga semakin bertambah banyak. Satu tujuan dari seorang hacker adalah menambah sumber dan mendapatkan akses pada satu mesin yang terhubung ke internet selama 24 jam sehari. High involvement honeypots menawarkan kemungkinan itu. Ketika seorang hacker mendapatkan akses, bagian yang sangat menarik dimulai. Sayangnya seorang penyerang akan berkompromi dengan sistem untuk mendapatkan level kebebasan seperti ini. Dia akan mempunyai sumber yang sebenarnya pada sistem dan dapat melakukan apa saja pada setiap saat dalam sistem yang berkompromi tersebut. Oleh sebab itu sistem tidak lagi aman. Bahkan seluruh mesin tidak lagi dapat dikatakan aman. Hal ini tidak akan menjadi masalah jika penyerang berada pada sebuah jail, sandbox, atau VMWare box karena akan ada jalan untuk keluar dari batas-batas software ini.

Gambar 4 High Involvement Honeypots

Untuk membangun sebuah sistem high involvement honeypots diperlukan sangat banyak waktu. Sistem tersebut harus selalu diawasi. Sebuah honeypots yang tidak terkontrol bisa berbahaya dan bahkan bisa menjadi security hole sendiri. Pembatasan akses dari honeypots ke jaringan intranet menjadi sangat penting karena honeypots dapat digunakan sebagai sistem nyata yang dapat berkompromi dengan penyerang. Membatasi traffic yang keluar adalah suatu hal yang layak dipertimbangkan untuk mengurangi bahaya pada sistem yang terlalu berkompromi. Dengan memberikan sistem operasi secara penuh pada penyerang, poenyerang akan dapat melakukan upload dan instal file-file baru. Ini merupakan keunggulan dari high involvement honeypots dimana seluruh aktifitas dapat dicatat dan dianalisis. Mengumpulkan informasi baru tentang komunitas blackhat adalah tujuan utama dari high involvement honeypots dan menetapkan resiko yang lebih tinggi.

10

2.4.4 Perbandingan dari Karakteristik Level of Involvement Setiap level of involvement mempunyai kelebihan dan kekurangannya. Tabel berikut memperlihatkan ringkasan dari hal-hal tersebut. Gambar 5 Kelebihan dan Kekurangan dari setiap Level of Involvement

Memilih level of involvement yang paling rendah akan mengurangi bahaya dan resiko lebih banyak. Keburuhan waktu perawatan juga harus dipertimbangkan saat memilih honeypots pada setiap level of involvement. 2.5 Pembagian Honeypots berdasarkan Fungsi7

Symantec Research Labs, sebuah perusahaan yang bergerak dalam Internet Security Technology, membagi honeypots manjadi 3 jenis, yaitu; Sacrificial Lambs, Facades, dan Instrumented Systems. 2.5.1 Sacrificial Lambs Sacrificial lambs adalah sebuah sistem off the shelf yang membiarkan sebuah lubang untuk diserang. Sistem ini dapat dibangun dengan virtual device (Linux Server, Cisco Router, dll). Implementasi sistem ini biasanya dengan melakukan loading sistem operasi, melakukan konfigurasi pada beberapa aplikasi, dan membiarkannya pada jaringan dan melihat apa yang terjadi. Administrator akan menguji sistem secara periodik untuk menentukan apakah sistem telah berkompromi, dan apa saja yang sudah dilakukannya. Sacrificial lambs menyediakan target yang sebenarnya. Seluruh informasi yang dicatat adalah persis seperti pada sistem yang sebenarnya, tidak ada kemungkinan profiling karena tidak ada yang dapat membedakan sistem ini dengan yang lainnya. Jenis honeypots ini mudah untuk dibangun secara lokal karena hanya dibutuhkan penggunaan komponen off the self. Sacrificial lambs menyediakan informasi untuk menganalisis sistem yang berkompromi sampai dengan byte terakhir tanpa kemungkinan adanya variasi. Jenis honeypots ini juga memerlukan penanganan administratif yang agak berlebih. Proses instalasi dan setup mengharuskan seorang
7

Symantec Research Lab, (http://www.symantec.com

11

administrator melakukan loading sistem operasi dan secara manual memainkan beberapa konfigurasi aplikasi atau meningkatkan daya tahan sistem. Analisis dilakukan secara manual dan seringkali dibutuhkan sejumlah tools tambahan dari third-party. Selain itu honeypots jenis ini tidak menyediakan sistem pengurungan atau pun fasilitas kontrol. Kebanyakan organisasi komersial mempertimbangkan sacrificial lambs terlalu beresiko dan memerlukan sumber daya yang terlalu besar. 2.5.2 Facades Jairngan facade adalah sebuah sistem yang menyediakan sebuah image yang tidak benar dari host target. Implementasinya kebanyakan adalah sebagai software emulasi dari layanan atau aplikasi target. Ketika facade diperiksa dan diserang, dia akan mengumpulkan inforamsi tentang penyerang. Ini dapat diumpamakan seperti sebuah pintu yang terkunci tanpa sesuatu apapun di belakangnya, dan memperhatikan siapa yang berusaha untuk membukanya. Kedalaman dari simulasi bergantung pada imlementasinya. Facade menawarkan solusi yang sederhana, mudah dibangun karena hanya memerlukan proses instalasi dan peralatan yang lebih sedikit, dan dapat menyediakan banyak target dengan variasi yang dapat dipertimbangkan. Karena honeypots jenis ini bukan sistem yang sebenarnya, sehingga tidak diperlukan lubang untuk diserang dari sistem yang sebenarnya. Keterbatasan yang cukup signifikan adalah facade hanya menyediakan informasi dasar tentang tantangan yang potensial dan oleh karena itu biasanya digunakan pada small-to-medium-sized enterprise atau oleh large enterprise untuk digabungkan dengan teknologi yang lain. 2.5.3 Instrumented Systems Instrumented Systems menyediakan solusi yang ideal antara facade yang berbiaya rendah dengan informasi yang rinci dari sacrificial lambs. Dibuat oleh para developer profesional yang fokus pada sistem keamanan. Instrumented Systems komersial yang tersedia sangat mudah untuk dipergunakan sampai pada tingkatan end-user. Dengan sistem operasi yang ekstensif, modifikasi pada level kernel, dan pengembangan aplikasi sampai pada sistem stok, perusahaan komersial telah mengembangkan konsep dari honeypots sebagai cara yang efektif untuk mempertahankan jaringan informasinya termasuk sistem pengumpulan data advance, pertahanan terhadap serangan, sistem alert yang berdasarkan policy, dan fungsionalitas dari enterprise administration. Honeypots dengan deep-deception adalah suatu langkah yang evolusioner dari bentuk deception sebelumnya. Sistem ini dapat menyediakan sebuah detil serangan pada level pengecualian, ketika dia menyediakan lingkungan yang interaktif dan masuk akal untuk menahan seorang penyerang sehingga tertarik untuk berinteraksi dalam jangka waktu yang cukup lama. Waktu interaksi dari penyerang yang cukup lama akan menolong seorang administrator untuk menentukan motif dari penyerang dan membangun sistem penangkalan untuk menjamin tidak ada lagi serangan pada

12

jaringan mereka di masa mendatang. Honeypots jenis ini biasanya dipergunakan oleh medium-to-large enterprise.

2.5.4 Pertimbangan dalam Memilih Honeypots Ada beberapa fungsi dan fitur tambahan yang harus dipertimbangkan oleh perusahaan sebelum implementasi honeypots. Pertama adalah pertimbangan sifat serta biaya containment dan kontrol. Setiap sistem yang diterapkan oada jaringan akan mengandung resiko. Harus dilakukan perhitungan untuk mengurangi resiko tersebut. Jika sebuah produk tidak mendukugn suatu sifat containment dan kontrol, biaya dan kompleksitas dari implementasi harus benar-benar diuji. Pertimbangan berikutnya adalah apakah honeypots dapat menyediakan sumber data yang sangat baik. Perlu jadi perhatian bahwa data intu sendiri tidak berarti apa-apa sebelum dianalisis. Beberapa produk menyediakan tools yang terintegrasi untuk melakukan analisis, reporting, dan alerting. Beberapa produk lainnya memerlukan keterlibatan administrator untuk melakukan tinjauan dan security expertise. Berapa banyak analisis yang ditawarkan dan bagaimana cara administrator melakukannya adalah pertimbangan yang penting dan akan memberikan dampak yang cukup signifikan pada pembiayaan dalam penggunaan sistem tersebut. Perawatan content dan perbaikan honeypots juga harus dievaluasi. Kedua hal tersebut akan memberikan kontribusi pada biaya proses administrasi dan perawatan sistem deception ini. Content dari peralatan deception ini memerlukan proses update secara periodik untuk tetap bekerja dengan benar. Sistem deception yang telah diserang juga memerlukan pemulihan kembali pada keadaan semula secara periodik. Pada kasus ini, solusi yang memungkinkan prosedur ini dilakukan secara otomatis akan sangat mengurangi biaya proses administrasi. Pada akhirnya akan muncul pembandingan antara honeypots dengan host-based intrusion detection systems (HIDS) dan sistem integrity monitoring. HIDS biasanya diterapkan pada sistem jaringan produktif dan dirancang sebagai alarm tanda bahaya. Menerapkan HIDS pada sistem jaringan produktif tidak akan menghasilkan nilai yang sama seperti pada penerapan honeypots. HIDS akan dengan mudah menangkap false positives, kemudian memaksa admisitrator untuk melakukan deal dengan sulitnya memonitor aktifitas normal dari user, tidak menyediakan containment atau pun fungsionil administrasi yang baik seperti pada pendekatan honeypots. HIDS dapat digunakan untuk membuat honeypots, tetapi sering hanya akan menghasilkan signature yang sangat besar karena HIDS tidak dirancang untuk melakukan itu. Software integrity mmonitoring memiliki banyak kekurangan seperti pada HIDS jika dibandingkan dengan honeypots. Sistem tersebut dirancang untuk melakukan monitoring terhadap perubahan yang terjadi pada sistem jaringan produktif, tidak untuk aktifitas user atau pun security. Sistem ini tidak menyediakan fungsi tambahan yang diperlukan oleh honeypots. Dan seperti yang terjadi pada HIDS. Sistem ini juga membuat signature yang sangat besar yang tidak akan terjadi pada honeypots.

13

2.6

Penempatan Honeypots pada Jaringan

Honeypots tidak memerlukan suatu penempatan tertentu pada jaringan karena dia adalah sebuah server standar tanpa kebutuhan khusus. Honeypots dapat ditempatkan dimana saja seperti sebuah server akan ditempatkan. Tetapi akan lebih baik jika diletakkan pada tempat yang mudah dijangkau oleh orang-orang tertentu. Honeypots dapat digunakan pada internet maupun intranet tergantung pada layanan yang diperlukan. Penempatan honeypots pada intranet dapat berguna untuk mendeteksi seorang penyreang yang berada di jaringan internal. Jika fokus utama pada internet, honeypots dapat diletakkan pada dua lokasi: o di depan firewall (internet) o DMZ8 o di belakang firewall (internet) Setiap penempatan mempunyai kelebihan dan kekurangnnya. Kadang tidak mungkin untuk sebuah server di depan firewall. Gambar 6 Penempatan Honeypots

Dengan menempatkan honeypots di depan firewall, lihat gambar Honeypot(1), resiko untuk jaringa internal tidak bertambah. Bahaya dari sistem yang berkompromi di belakang firewall dapat dikurangi. Honeypots akan menghasilkan banyak traffic yang tidak dikehendaki seperi portscan atau pola-pola penyerangan. Dengan menempatkan honeypots di luar firewall, event-event seperti itu tidak akan dapat menerobos firewall dan sistem IDS internal tidak akan memunculkan alert.
8

Demiliterized Zone, sebuah segmen jaringan yang hanya dapat diakses sebagain dari internet

14

Kelemahan dari penempatan honeypots di depan firewall adalah penyerang dari dalam tidak dapat dengan mudah ditangkap, khususnya jika firewall membatasi traffic keluar yang artinya juga membatasi traffic ke honeypots. Solusi yang paling baik adalah menempatkan honeypots pada DMZ dengan preliminary firewall. Firewall dapat dihubungkan secara langsung ke internet maupun intranet tergantung dari kebutuhan. Usaha ini memudahkan pengontrolan yang ketat pada lingkungan yang fleksibel dengan tingkat keamanan yang maksimum.

15

NILAI TAMBAH DARI HONEYPOTS

Seperti telah dijabarkan sebelumnya, bahwa honeypots tidak tidak ditujukan pada suatu permasalahan yang spesifik seperti pada mekanisme firewall dan IDS. Honeypots adalah tools yang dapat memberikan kontribusi padaarsitektur sistem keamanan jaringan secara keseluruhan. Nilai dari suatu honeypots dan bantuan penyelesaian permasalahan yang dapat dilakukannya tergantung pada bagaimana kita membangun, menerapkan, dan menggunakan honeypots tersebut. Honeypots mempunyai kelebihan dan kekurangan yang mempengaruhi nilai dari honeypots itu sendiri. 3.1 Kelebihan dari Honeypots

Honeypots memiliki beberapa kelebihan, empat diantaranya: o Nilai Data o Resources o Simplicity o Return on Investment 3.1.1 Nilai Data Salahsatu tantangan yang dihadapi oleh komunitas sistem keamanan jairngan adalah menambah nilai dari suatu data. Sebuah organisasi mengumpulkan data dalam jumlah yang sangat banyak termasuk firewall log, system log, dan IDS alert. Jumlah data yang sangat banyak ini mengakibatkan kesulitan dalam memperoleh nilai dari datadata tersebut. Di sisi lain, honeypots mengumpulkan sedikit data tetapi data yang dikumpulkan tersebut umumnya memiliki nilai yang tinggi. Konsep honeypot tanpa aktifitas produksi, secara dramatis mengurangi noise level. Dibandingkan dengan log data yang berukuran gigabyte per hari, honeypots mengumpulkan beberapa megabyte per hari. Setiap data pada log honeypots kebanyakan adalah data dari aktifitas scan, probe, atau pun penyerangan (informasi bernilai tinggi). Honeypots dapat memberikan informasi yang akurat dalam format yang cepat dan mudah dimengerti. Hal ini akan membuat analisis menjadi lebih mudah dan lebih cepat. Sebagai contoh, Honeynet Project, sebuah grup yang meneliti honeypots, mengumpulkan data rata-rata lebih kecil dari 1 megabyte per hari. Meskipun ini adalah jumlah data yang sangat kecil, data-data tersebut mengandung aktifitas utama yang kurang bersahabat. Data ini selanjutnya dapat digunakan untuk membuat suatu model statistik, analisis kecenderunganm, pendeteksian serangan, atau bahkan meneliti penyerang. Sebagai contoh, pada gambar 6, kita dapat melihat usaha scanning yang dilakukan pada jaringan honeypots. Karena honeypots tidak memiliki nilai produksi, setiap koneksi yang terjadi pada honeypots kebanyakan adalah probe atau pun serangan. Juga karena sedikitnya informasi yang dikumpulkan, menjadi lebih mudah untuk menyusun dan mengidentifikasi kecenderungan yang terjadi pada serangan terhadap suatu organisasi. Pada gambar tersebut bisa dilihat berbagai variasi koneksi UDP yang

16

dibuat oleh beberapa sistem dari Jerman. Secara sekilas koneksi-koneksi ini tidak kelihatan saling berhubungan karena perbedaan pada asal IP address, asal port, dan target port yang digunakan.Bagaimanapun dengan melihat lebih teliti akan tampak bahwa setiap honeypots hannya sekali dijadikan target oleh sistem-sistem yang berbeda-beda tersebut. Analisis mengungkapkan bahwa penyerang melakukan network sweep secara tersembunyi. Gambar 7 Network Sweep secara tersembunyi pada jaringan honeypots

Penyerang berusaha untuk menentukan sistem mana yang dapat dijangkau melalui internet dengan mengirimkan paket-paket UDP ke sebuah high port, sama dengan traceroute bekerja pada Unix. Kebanyakan sistem tidak mempunyai port untuk mendengarkan dari high port UDP ini, oleh karena itu ketika paket-paket dikirimkan, sistem target mengirimkan pesan kesalahan ICMP port unreachable. Pesan kesalahan ini memberi petunjuk pada penyerang bahwa sistem dapat dijangkau. Penyerang yang melakukan network sweep seperti ini sangat sulit untuk dideteksi karena dia mengacak port asal dan menggunakan beberaoa IP address asal. Pada kenyataanya, penyerang kebanyakan hanya menggunakan sebuah kompputer untuk melakukan scanning tetapi dengan alias beberapa IP address pada sistem atau sniffing jaringan untuk return packets pada sistem yang berbeda. Organisasi yang mengumpulkan sangat banyak data kebanyakan tidak akan dapat mengetahui jenis sweep seperti ini, karena beberapa IP address asal dan port asal akan mempersulit untuk dideteksi. Bagaimanapun karena honeypots mengumpulkan data yang hanya sedikit, tapi bernilai tinggi, penyerangan sejenis ini akan dengan mudah teridentifikasi. Ini adalah salahsatu contoh kelebihan dari honeypots. 3.1.2 Resources Tantangan lain yang dihadapi oleh komunitas sistem keamanan jairngan adalah keterbatasan resource, atau bahkan kehabisan resource. Kehabisan resource adalah ketika security resource tidak dapat lagi berfungsi karena resource nya sudah kelebihan data. Sebagai contoh, sebuah firewall akan tidak berfungsi karena tabel koneksinya sudah penuh, ini bisa disebut dengan kehabisan resource, sehingga tidak dapat lagi memonitor koenski yang terjadi. Hal ini akan memaksa firewall untuk melakukan blokade pada seluruh koneksi.

17

IDS akan mendeteksi terlalu banyak aktifitas jaringan yang harus dimonitor, mungkin ratusan megabyte data per detik. Ketika ini terjadi, buffer sensor IDS menjadi penuh dan akan mulai melakukan dropping packets. Honeypots yang diterapkan pada jaringan yang sama tidak akan mengalami masalah seperti diatas. Honeypots hanya akan menangkap aktifitas secara langsung pada dirinya sendiri, sehingga sistem tidak akan kebanjiran traffic. Keuntungan dari penggunaan resource yang terbatas dari honeypots adalah tidak diperlukannya investasi yang besar pada hardware untuk honeypots. Honeypots tidak memerlukan RAM berukuran besar, chip berkecepatan tinggi, atau pun ukuran storage yang besar. 3.1.3 Simplicity Perhatikan kesederhanaan (simplicity) dibandingkan dengan keuntungan yang terbesar suatu honeypots. Tidak diperlukan algoritma yang rumit untuk mengembangkannya, tidak ada signature database yang perlu dirawat, tidak ada rule yang tidak terkonfigurasi. Terapkan honeypots, letakkan di suatu tempat di perusahaan, kemudian kembali duduk sambil menunggu. 3.1.4 Return on Investment Ketika firewall berhasil menghalau penyerang keluar, firewall menjadi korban dari keberhasilan mereka sendiri. Pihak manajemen akan mulai bertanya ROI (return on investment) dari investasi yang telah merka keluarkan setelah merasa tidak adanya lagi tantangan. Tidak adalagi serangan yang dapat dirasakan pada organisasi karena firewall telah mengurangi resiko tersebut. Investasi pada teknologi keamanan lainnya seperti sistem authentication, encryption, dan host-based armoring menghadapi problem yang sama. Itu semua adalah investasi yang mahal, menghabiskan waktu, uang, dan resource organisasi, tetapi mereka akan menjadi korban dari kesuksesan mereka sendiri. Pada sisi lain honeypots dengan cepat dan terus berulang mendemonstrasikan nilainya. Setiap kali terkena serangan, orang akan mengetahui bahwa orang jahat ada di luar sana. Dengan menangkap aktifitas yang tidak bersahabat, honeypots dapat digunakan untuk mempertegas bukan hanya nilainya sendiri tetapi juga pada investasi resource keamanan. Ketiak pihak manajemen merasa tidak ada lagi tantangan, honeypots secara efektif membuktikan bahwa ada resiko yang besar di luar sana. 3.2 Kelemahan dari Honeypots

Terdapat bebeapa kelemahan dari honeypots yang menyebabkan honeypots tidak dapat menggantikan mekanisme sistem keamanan yang lain. Honeypots hanya dipakai untuk bekerjasama dan melengkapi arsitektur sistem keamanan secara keseluruhan.

18

3.2.1 Keterbatasan Ruang Pandang Kelemahan terbesar dari honeypots adalah keterbatasan ruang pandang (narrow field of view). Jika seorang penyerang menembus jaringan informasi dan menyerang beberapa sistem, honeypots tidak akan dapat melakukan pencatatan kecuali pada serangan yang dilakukan secara langsung. Jika seorang penyerang telah berhasil mengidentifikasi sistem yang telah terpasang honeypots, mereka akan menghindari sistem tersebut dan menerobos masuk ke dalam jaringan informasi duatu organisasi sementara honeypots tidak akan mendeteksi masuknya penyerang tersebut. 3.2.2 Fingerprinting Kelemahan lain dari honeypots, khususnya pada versi komersil, adalah fingerprinting. Fingerprinting adalah ketika seorang penyerang dapat mengidentifikasi identitas yang sebenarnya dari honeypots karena memiliki karakteristik atau perilaku tertentu. Sebagai contoh, honeypots dapat mengemulasikan webserver. Kapan saja seorang penyerang terhubung dengan honeypot inim webserver akan memberikan respon dengan mengirimkan pesan kesalahan menggunakan format HTML standar. Pesan kesalahan ini adalah respon yang pasti dari setiap webserver. Bagaimanapun honeypot akan melakukan kesalahan oada salahsatu HTML command seperti mengeja kata length menjadi legnht. Kesalahan tersebut saat ini telah menjadi fingerprint pada honeypot karena penyerang dapat dengan cepat mengidentifikasi hal itu sebagai kesalahan pada emulasi webserver. Jika komunitas blackhat telah dapat mengidentifikasi penggunaan honeypot dalam jaringan informasi di suatu organisasi, mereka akan melakukan spoof identitas dari sistem produktif yang lain dan dapat dipergunakan untuk menyerang honeypots itu sendiri. Honeypot akan mendeteksi serangan spoof, dan secara tidak benar memperingatkan administrator bahwa ada serangan pada sistem produktif. Pada waktu yang sama di tengah kebingungan tersebut, penyerang dapat fokus pada serangan yang sebenarnya.

19

HONEYNETS

Honeynets berbeda dengan solusi honeypots yang telah dibahas sebelumnya. Honeynet adalah tool untuk melakukan riset; adalah sebuah jaringan yang secara spesifik dirancang untuk berkompromi dengan komunitas blackhat. Dalam satu kali kompromi, honeynet dapat digunakan untuk mempelajari tools, taktik, dan motif dari komunitas blackhat. 4.1 Perbedaan Honeypots dengan Honeynets

Berikut adalah dua perbedaan besar dari honeypots dengan honeynet. o Honeynet bukan suatu sistem yang berdiri sendiri tapi sebuah jaringan. Jaringan ini diletakkan di belakang firewall diman seluruh data masuk dan keluar ditahan, ditangkap, dan dikontrol. Informasi yang tertangkap kemudian dianalisis untuk menambah kecerdasan dalam mempelajari musuh. Dalam sistem honeynet ini dapat ditempatkan berbagai tipe sistem yang digunakan sebagai honeypot, seperti Solaris, Linux, Windows NT, Cisco Switch, dan lain-lainnya. Hal ini akan menjadi suatu jaringan informasi yang lebih realistik bagi para penyerang. Gambar 8 Honeynets

o Seluruh sistem yang ditempatkan dalam honeynet adalah sistem produktif standar yang merupakan sistem dan aplikasi yang nyata seperti yang biasa kita dapatkan di internet. Tidak ada yang diemulasikan untuk menciptakan suatu sistem yang tidak aman. Kita dapat mempelajari hal-hal yang luar biasa dengan menggunakan sistem seperti ini. Resiko dan celah keamanan akan dapat ditemukan pada honeynet seperti yang banyak terjadi pada sistem di berbagai organisasi saat ini. Honeynet dapat dibuat dinamis dan fleksibel

20

seperti organisasi yang sesungguhnya. Penggunaan sistem produktif pada honeynet mambuatnya menjadi unik. Tidak ada yang diemulasikan sehingga dapat dibuat sama persis dengan sistem dan aplikasi yang ada pada suatu organisasi. 4.2 Honeynets bukan Sistem Entrapment

Beberapa kalangan mempertanyakan apakah teknik ini merupakan sebuah perangkap. Sistem dengan tujuan yang dimaksudkan untuk berkompromi dapat dipertimbangkan sebagai suatu usaha untuk menjebak komunitas blackhat. Bagaimanapun honeynet bukan bentuk dari sebuah perngakap karena beberapa alasan berikut ini. 9 Maksud dari honeynet adalah tidak untuk menangkap orang jahat tapi hanya untuk mempelajari mereka. Aktifitas yang terjadi dalam honeynet diambil dan dianalisis dan tidak digunakan untuk menuntut. Pada saat tertentu seorang petugas hukum akan diberi informasi tentang temuan data pada honeynet. Informasi ini tidak akan digunakan untuk menuntut seseorang. 9 Sistem yang ada pada honeynet tidak berbeda dengan lingkungan sistem produktif yang lain. Perbedaannya hanya pada perlakuan terhadap data yang terdapat pada honeynet, yaitu untuk dipelajari lebih lanjut. Jika honeynet dianggap sebagai suatu perangkap, maka begitu juga dengan banyak sistem produktif yang dapt ditemukan di internet. 9 Honeynet project tidak melakukan apapun untuk menarik perhatian komunitas blackhat ke mesin-mesinnya. Blackhat secara aktif akan menemukan dan berkompromi dengan sistem-sistem ini atas inisiatif mereka sendiri. 4.3 Hasil dari Honeynet Project

Selama beberapa tahun terakhir project honeynet telah mengidentifikasi tools, taktik, dan motif yang didapat dari komunitas blackhat dan menggunakan informasi tersebut untuk membuat suatu metodologi umum. 4.3.1 Tantangan Tantangan yang dihadapi adalah apa yang sudah umum diketahui sebagai metodologi script kiddie. Metodologi ini merepresentasikan seseorang yang mencari path yang mudah ditembus. Motif dari setiap orang mungkin berbeda tapi tujuannya sama: untuk mendapatkan kontrol semudah mungkin dan biasanya pada sebanyak mungkin sistem. Seorang penyerang melakukan ini dengan fokus pada sejumlah kecil tempat untun mengeksploitasi dan kemudian mencari di internet untuk kelemahan dari sistem yang ada sehingga cepat atau lambat akan segera ditemukan targetnya.

21

4.3.2 Taktik
Selama beberapa tahun terakhir, honeynet project telah secara konsisten melihat taktik yang sama yang digunakan untuk menyerang honeynet. Walaupun taktik ini tidak dipergunakan oleh seluruh komunitas blackhat, ini adalah salahsatu yang paling umum digunakan. Taktik yang teridentifikasi adalah sangat sederhana. Sejumlah blackhat secara acak melakukan scanning di internet untuk kelemahan yang spesifik. Ketika itu telah ditemukan, merkea akan mengeksploitasinya. Mereka akan fokus pada kelemahan dari sistem tersebut, mungkin satusatunya yang mereka ketahui.Kadang-kadang mereka menggunakan tools untuk melakukan scanning besar-besaran pada jutaan sistem sampai mereka menemukan target potensial. Kebanyakandari tools yang digunakan sangat sederhana dan mudah digunakan secara

otomatis dengan sedikit interaksi. Sekali tools tersebut dijalankan, mereka akan kembali beberapa hari kemudian untuk mendapatkan hasilnya. Komunitas blackhat bahkan menyebut jenis tools ini autorooter.

4.3.3 Tools Tools yang digunakan sangat kompleks untuk dikembangkan tetapi sangat mudah untuk dipergunakan. Kebanyakan dari tools tersebut terbatas untuk satu tujuan tertentu dengan bebeapa pilihan karena fungsi yang terbatas akan mempercepat pengembangan dan penggunaan. Salahsatu tools tersebut adalah untuk membangun IP database. Tools ini bekerja secara acak seperti pada saat melakukan scanning di internet. Sebagai contoh, banyak tools yang memiliki pilihan: A, B, atau C. Huruf yang dipilih akan menentukan ukuran jaringan yang akan di-scan. Tools ini kemudian secara acak akan memilih jaringan IP untuk di-scan.

4.3.4 Motif Motif dari penyerang bervariasi secara acak pada sistem yang akan diserang. Setiap kali salahsatu honeypot berkompromi, dapat dipelajari tools dan taktik yang digunakan, juga dipelajari kenapa honeypot tersebut diserang. Informasi ini seringkali menjadi informasi yang menarik dan sangat membantu. Salahsatu motif serangan adalah denial-of-service. Saat ini serangan denial-of-service jenis baru telah dilaporkan: DdoS (distributed denial-of-service). Jenis serangan ini akan memungkin seorang user mengontrol ratusan sistem yang berkompromi si seluruh dunia. Sistem-sistem yang berkompromi ini kemudian akan dikordinasikan untuk mengeksekusi serangan denial-of-service kepada lebih banyak lagi korban.

22

BEBERAPA HONEYPOTS YANG TERSEDIA

Ada sejumlah honeypots yang tersedia, baik yang gratis maupun yang komersil di pasaran saat ini. Fungsionalitas dibedakan dari kemudahan penggunaannya. 5.1 ManTrap

ManTrap adalah produk honeypots komersil dari Recourse Technologies, di California, USA. Software ini bekerja pada sistem operasi Solaris 2.x, 7, dan 8. Konsep utama dari ManTrap adalah cages. Cage adalah salinan dari sistem operasi host yang dihubungkan dengan network interface card. Dalam sebuah mesin, ManTrap dapat men-support sampai dengan empat buah interface card. Setiap sistem operasi berjalan dalam suatu cage untuk menyediakan sistem yang nyata. ManTrap berjalan dalam sebuah sistem. Karena setiap sistem operasi dibatasi untuk setiap network card dan mempunyai IP address yang unik, dia akan disajikan pada jaringan sebagai empat sistem yang berbeda, seperti pada honeynets. 5.2 Specter

Specter adalah jenis honeypots komersil dari NeoWorx. Specter mensimulasikan suatu mesin yang lengkap dan mengijinkan penyerang untuk berinteraksi dengan mesin seperti pada sistem produksi yang sebenarnya. Specter mensimulasikan layanan-layanan seperti HTTP, SMTP, dan FTP memberikan respon pada calon hacker dimana pada saat yang sama menelusuri dan mencatat setiap pergerakan yang dilakukan. Log dari specter disimpan secara lokal dan pada saat tidak ada lagi interaksi pada sistem operasi, yang sebenarnya adalah software specter, log tersebut akan tetap tersimpan seperti saat sistem operasi tidak berkompromi. Specter juga dapat melakukan track down tempat berasalnya sebuah serangan pada saat serangan terjadi dengan menggunakan fasilitas WHOIS dan traceroutes. Network interface pada specter dibuat pada mode yang dapat dipilih, sehingga data yang masuk ke dalam sistem akan didapatkan dengan benar. Specter dapat mengemulasikan banyak variasi dari sistem operasi seperti Window 9x, Windows NT, Windows 2000, Linux, Solaris, dan jenis lainnya dari Unix. Specter software berjalan pada Windows NT, dan Windows 2000. Sistem Specter versi 7 dapat mensimulasikan satu dari sembilan sistem operasi yang berbeda, termasuk Windows NT, Windows 95/98, MacOS, Linux, SunOS/Solaris, Digitasl Unix, NeXTStep, Irix, dan Unisys Unix. Sistem ini juga dapat mensimulasikan lima layanan jaringan yang berbeda dan tujuh trap. Kebutuhan sistem untuk dapat menjalankan specter versi 7 ini adalah: Minimum:

Pentium III 800 MHz processor 256 MB of RAM Windows 2000 SP2 or Windows XP SP1

23

Display resolution of 1024x768

Rekomendasi:

Pentium 4 1700 MHz processor or better 512 MB of RAM or more Windows 2000 SP2 or Windows XP SP1 Display resolution of 1024x768

Specter tampil dengan sebuah GUI (graphical user interface) yang disebut dengan Specter Control yang digunakan untuk melakukan konfigurasi dan juga untuk mengecek status dari sistem saat itu. Specter dapat dikonfigurasi dari jarak jauhdengan menggunakan workstation yang berjalan pada platform Windows 98/ME/NT/2000/XP. Gambar 9 Tampilan dari Specter Control (Specter)

24

Gambar 10 Tampilan dari Log Analyzer (Specter)

5.3

Deception Toolkit

Deception Toolkig (DTK) adalah satu set freeware tools yang memungkinkan seseorang untuk membuat honeypots sendiri pada sistem Linux. Cara kerja DTK adalah membuat suatu tampilan dengan sistem yang sangat mudah diserang dan menyediakan respon-respon yang dikenal untuk membuatnya menjadi seakan-akan mereka menyerang sistem yang sebenarnya. 5.4 Home Grown Honeypots

Tipe honeypots ini dibuat menggunakan standar hardware dan software. Konfigurasi khusus diperlukan untuk mengimplementasikan remote logging dan keystroke capturing. Contoh dari Home Grown Honeypots adalah sebuah PC pada sistem operasi RedHat Linux dengan Apache dan Sendmail terinstalasi pada konfigurasi standar. Seluruh logging pada sistem dapat dikirimkan dari jarak jauh ke syslog server dan shell akan dimodifikasi untuk menangkap semua keystroke.

25

5.5

Perbandingan dari Beberapa Honeypots

Berikut ini adalah perbandingan dari beberapa faktor penting pada produk honeypots yang ada di pasaran.

Gambar 11 Tabel Perbandingan Produk Honeypots

Pada setiap produk honeypots yang tersedia terdapat perbedaan dari kekuatan masingmasing produk. Specter memberikan kemudahan pada proses instalasi dan bahkan mudah digunakan dengan GUI yang bagus. Sayangnya karena tidak menggunakan sistem operasi yang sebenarnya makan nilainya tidak terlalu tinggi. ManTrap, DTK dan honeypots yang dibangun sendiri memiliki kemudahan untuk mengkustomisasi sendiri. Nilainya akan menjadi tinggi setinggi resikonya.

26

Daftar Pustaka

Retto Baumann, Christian Plattner, Honeypots, Diploma Thesis in Computer Science, February 2002 Security Focus: Honeypots, http://www.securityfocus.com Honeypots: Tracking Hackers, http://www.tracking-hackers.com R. Baumann, Honeypot: An instrument for attracting and detecting attackers, http://security.rbaumann.net, April 2002 Honeypots, http://www.honeypots.net Honeynet Project, http://project.honeynet.org Symantec Enterprise Security, http://www.symantec.com Cyber Guard, http://www.cyberguard.com

27