از آنجايي كه هانیپاتها[1] انواع مختلفي دارند، ارائه تعريف جامعي از آن كار بسيار دشواری است. تعريف يك هانیپات نشان دهنده نحوه كار آن و يا حتي هدف آن نيست. اين تعريف صرفا ناظر به نحوه ارزش گذاري يك هانی پات است. به عبارت ساده تر، هانیپاتها يك تكنولوژي هستند كه ارزش آنها به تعامل نفوذگران با آنها بستگي دارد. تمامي هانیپاتها بر اساس يك ايده كار ميكنند: هيچكس نبايد از آنها استفاده كند و يا با آنها تعامل برقرار نمايد، هر تعاملي با هانیپات غيرمجاز شمرده شده و نشانهای از يك حركت خرابكارانه به شمار ميرود. هانیپات یک ماشین ویژه در شبکه است که به عنوان طعمه برای نفوذگران استفاده میشود. به طور عمدی بر روی آن سیستم عامل آلوده به یک اسب تروا[2]، درپشتی[3] یا سرویسدهندههای ضعیف و دارای اشکال نصب میشود تا به عنوان یک ماشین قربانی، نفوذگران را به خود جذب کرده و مشغول نگه دارد. همچنین ممکن است بر روی چنین ماشینی اطلاعات غلط و گمراهکنندهای برای به اشتباه انداختن نفوذگر نیز گذاشته شود. هانی پات يك سيستم اطلاعاتي است كه ارزش آن به استفاده غير مجاز و ممنوع ديگران از آن است.
هدف آنها اين است كه فعاليتهاي غير مجاز يا خرابكارانه را شناسايي كرده و درباره آنها به متخصصان امنيت هشدار دهند. در حقيقت اين سيستم نوعي دام است كه مهاجمان را فريب داده و به سوي خود جلب ميكند و به اين ترتيب علاوه بر امكان نظارت و كنترل كار مهاجمان، اين فرصت را نيز به سازمان ميدهد كه فرد مهاجم را از سيستمهاي اصلي شبكه خود دور نگه دارند. درواقع هدف شبیهسازی یک شبکه است که نفوذگران سعی میکنند به آن وارد شوند. اطلاعاتی که بعد از حمله به یک هانی پات به دست میآید، میتواند برای کشف آسیبپذیریهای شبکهی فعلی و رفع آنها استفاده شود.
يك هانیپات سيستمي است كه در شبكه سازمان قرار ميگيرد، اما براي كاربران آن شبكه هيچ كاربردي ندارد و در حقيقت هيچ يك از اعضاي سازمان حق برقراري هيچگونه ارتباطي با اين سيستم را ندارند. اين سيستم داراي يك سري ضعفهای امنيتي است. از آنجاييكه مهاجمان براي نفوذ به يك شبكه هميشه به دنبال سيستمهاي داراي ضعف ميگردند، اين سيستم توجه آنها را به خود جلب ميكند. به عنوان مثال: هنگامی که مهاجم شروع به اسکن پورتها میکند (از آنجایی که هانیپات به طور مجازی پورتهای خطرناک را باز میکند) متوجه باز بودن پورتها میشود و شروع به نفوذ میکند، در حالی که در تله هانیپات گرفتار شده است. با توجه به اينكه هيچكس حق ارتباط با اين سيستم را ندارد، پس هر تلاشي براي برقراري ارتباط با اين سيستم، يك تلاش خرابكارانه از سوي مهاجمان محسوب ميشود.
این که نقاط ضعف سیستم را بشناسیم. مدیر سیستم میتواند با مشاهدة تکنیکها و روشهای استفاده شده توسط نفوذگر بفهمد سیستم چگونه شکسته میشود و نقاط آسیبپذیر سیستم را شناسایی و نسبت به ترمیم آنها اقدام کند.
جمعآوری اطلاعات لازم برای تعقیب و ردگیری نفوذگران است. با توجه به آنکه نفوذگر یک سیستم ضعیف و آسیبپذیر را در شبکه کشف میکند، بنابراین تمام تلاشهای بعدی او پیرامون سیستم هانی پات (که یک هدف قلابی است) متمرکز میشود. میتوان یک سیستم تشخیص نفوذ[4] را در کنار این سیستم نصب کرد تا تلاشهای نفوذگران برای حمله به این هدف قلابی را گزارش دهد و شما بتوانید این موضوع و مبدا آن را پیگیری کنید.
هانیپاتها تکنولوژی و عملکردهای متفاوتی دارند و دسته بندی آنها کمی مشکل است. به هر صورت دو دسته بندی عمومی در مورد آنها موجود است. این دسته بندی به ما کمک میکند که در یابیم در هر مورد با چه نوعی از هانیپاتها و با چه درجه ای از قدرت و ضعفها سر و کار داریم.
دو دسته عمومی هانیپاتها را در ادامه شرح داده میشود
هانیپاتهای کمواکنش: هانیپاتهای کمواکنش[5] دارای ارتباط و فعالیتی محدود میباشند. سطح فعالیت یک نفوذگر با سطحی از برنامههای شبیه سازی شده روی سیستم عاملها محدود شده است. به عنوان مثال یک سرویس FTP شبیه سازی شده که به پورت 21 گوش میکند. نگهداری هانیپاتهای کم واکنش بسیار راحت و آسان است و خیلی راحت میتوان آنها را گسترش داد و ریسک بسیار کمی دارند. آنها بیشتر درگیر این هستند که چه نرم افزارهایی باید روی چه سیستم عاملی نصب شود و همچنین میخواهید چه سرویسهایی را برای آن شبیه سازی و مانیتور کنید. همین رهیافت خودکار و سادهی آنها است که توسعه آن را برای بسیاری از شرکتها راحت میکند. البته لازم به ذکراست که همین سرویسهای شبیه سازی شده باعث میشود که فعالیتهای فرد نفوذگر محدود شود و همین امر باعث کاهش ریسک میگردد. به این معنی که نفوذگر نمیتواند هیچگاه به سیستم عامل دسترسی پیدا کند و به وسیله آن به سیستم های دیگر آسیبب رساند. یکی از اصلیترین مضرات هانیپاتهای کمواکنش این است که آنها فقط اطلاعات محدودی را میتوانند ثبت کنند و آنها طراحی میشوند که فقط اطلاعاتی راجع به حملات شناخته شده را به ثبت برسانند. همچنین شناختن یک هانیپات کمواکنش برای یک نفوذگر بسیار راحت میباشد. از هانیپاتهای کمواکنش میتوان به Spector[6]، KFSensor، Honeyd اشاره کرد. حال به توضیح یکی از هانیپاتهای کمواکنش (Honeyd) میپردازیم:
Honeyd یک هانیپات کمواکنش است که توسط NielsProvos ساخته شده است.Honeyd، به صورت کد باز میباشد و برای مجموعه سیستمعاملهای یونیکس ساخته شده است. (در حال حاضر مناسب برای استفاده در سیستمعاملهای ویندوز آن نیز موجود است) Honeyd، بر اساس زیر نظر گرفتن IP های غیر قابل استفاده بنا شده است. هر کسی که قصد داشته باشد با یک IP غیر قابل استفاده با شبکه ارتباط برقرار کند ارتباطش را با شبکه اصلی قطع کرده و با نفوذگر ارتباط برقرار میکند و خودش را جای قربانی جا میزند. به صورت پیش فرض، Honeyd، تمامی پورتهای TCP و UDP را زیر نظر گرفته و تمامی درخواستهای آنها را ثبت میکند. همچنین برای زیر نظر گرفتن یک پورت خاص شما میتوانید سرویس شبیهسازی شده مورد نظر را پیکربندی کنید مانند شبیهسازی یک سرور FTP که روی پروتکل TCP پورت 21 کار میکند. وقتی که نفوذگر با یک سرویس شبیه سازی شده ارتباط برقرار میکند تمامی فعالیتهای او را با سرویسهای شبیه سازی شدهی دیگر ثبت کرده و زیر نظر میگیرد. مثلا در سرویس FTP شبیهسازی شده ما میتوانیم نامکاربری و کلمههای رمزی که نفوذگر برای شکستن سرور FTP استفاده میکند و یا دستوراتی که صادر میکند را به دست آوریم و شاید حتی به اینکه که او به دنبال چه هدفی میگردد و هویت او چیست پی ببریم. انواع پیکربندی این هانیپاتها به سطحی از شبیهسازی برمیگردد که هانیپات در اختیار ما گذاشته است. بیشتر سرویسهای شبیهسازی شده به یک صورت کار میکنند. آنها منتظر نوع خاصی از رفتارها هستند و طبق راههایی که قبلا تعیین کردهاند به این رفتارها واکنش نشان میدهند. محدودیت این برنامهها در این است که اگر نفوذگر دستوراتی را وارد کند که هیچ پاسخی برای آنها شبیه سازی نشده باشد. بنابراین آنها نمیدانند که چه پاسخی را باید برای نفوذگر ارسال کنند. بیشتر هانیپاتهای کم واکنش مانند Honeyd یک پیغام خطا نشان میدهند. میتوان از کد برنامهی Honeyd، کل دستوراتی که برای سرویس FTP شبیهسازی کرده است را مشاهده کرد.
هانیپاتهای پرواکنش: هانیپاتهای پرواکنش[7] معمولا از راهحلهای پیچیدهتری استفاده میکنند زیرا که آنها از سیستم عاملها و سرویسهای واقعی استفاده میکنند. هیچ سرویسی شبیهسازی شده نیست و ما یک سیستم واقعی را در اختیار نفوذگر میگذاریم. به عنوان مثال: اگر شما میخواهید که یک هانیپات لینوکس سرور FTP داشته باشید شما باید یک لینوکس واقعی به همراه یک سرویس FTP نصب کنید. هانیپاتهای پرواکنش دیگر جای هیچ فرضیهای روی رفتار نفوذگر باقی نمیگذارد و یک محیط باز به او میدهد و تمامی فعالیتهای او را زیر نظر میگیرد. همین امر باعث میشود که هانیپاتهای پرواکنش رفتارهایی از فرد نفوذگر را به ما نشان دهند که ما انتظار نداشتیم و یا نمیتوانستیم حدس بزنیم. به هر حال همین امور است که ریسک اینگونه هانیپاتها را افزایش میدهد زیرا که نفوذگر یک سیستم عامل واقعی را در اختیار دارد و ممکن است به سیستمهای اصلی شبکه صدمه بزند. به طور کلی یک هانیپات پرواکنش میتواند علاوه بر کارهای یک هانیپات کمواکنش کارهای خیلی بیشتری را انجام دهد. از هانیپاتهای پرواکنش میتوان به Honeynet و [8]Symantec Decoy Server اشاره کرد. حال به توضیح یکی از هانیپاتهای پرواکنش (Honeynet) میپردازیم:
هانینت: دو يا چند هانیپات كه در يك شبكه قرار گرفته باشند، يك هانینت را تشكيل ميدهند. نوعا در شبكههاي بزرگتر و متنوعتر كه يك هانیپات به تنهايي براي نظارت بر شبكه كافي نيست، از هانینت استفاده ميكنند. هانینتها معمولا به عنوان بخشي از يك سيستم بزرگ تشخيص نفوذ پياده سازي ميشوند. در حقيقت هانینت يك شبكه از هانیپاتهاي با تعامل بالا است كه طوري تنظيم شده است كه تقریبا تمامي فعالیتها و تعاملها با اين شبكه، كنترل و ثبت ميشود. مدیریت وکنترل یک مهاجم در شبکه هانینت توسط بخشی به نام هانیوال[9] صورت میگیرد که در ادامه به توضیح آن میپردازیم: در هانینتها تمامی فعالیتهای فرد نفوذگر از نشستهای رمز شدهی SSH گرفته تا ایمیلها و فایلهایی که درسیستمها قرار میدهند همه و همه بدون آنکه آنها متوجه شوند زیر نظر گرفته و ثبت میشود. در همان زمان نیز هانینت تمامی کارهای نفوذگر را کنترل میکند. هانینتها این کارها را توسط دروازهای[10] بهنام هانیوال انجام میدهند. این دروازه به تمامی ترافیک ورودی اجازه میدهد که به سمت سیستمهای قربانی هدایت شوند ولی ترافیک خروجی باید از سیستمهای مجهز به تشخیص نفوذ عبور کند. این کار به نفوذگر این امکان را میدهد که بتواند ارتباط قابل انعطافتری با سیستم های قربانی داشته باشد اما در کنار آن اجازه داده نمیشود که نفوذگر با استفاده از این سیستم ها به سیستمهای اصلی صدمه وارد کند. در واقع هانیوال نقطهی اصلی شبکههای هانینت است. هانیوال بین هانیپاتها در شبکه هانینت و شبکهی اصلی در یک سازمان پل میزند و دروازه ای جهت ثبت و کنترل دادهها و مدیریت و پیگرد مهاجم خواهد بود.
Honeypot
Trojan
Backdoor
Intrusion Detection System(IDS)
Low Interaction
یک سیستم تشخیص نفوذ مبنی بر هانیپات هوشمند که یک کامپیوتر آسیبپذیر را شبیه سازی میکند.اکثر سیستم عاملها و سرویسها را حمایت میکند. www.specter.com
High Interaction
از محصولات شرکت سیمانتک اطلاعات بیشتر در مورد این محصول : www.symantec.com/press/2003/n030623b.html
Honeywall
Gateway
کد: 50012662
زمان انتشار: یکشنبه 16 مهر 1396 08:30 ب.ظ
تعداد نمایش: 567
ما را در شبکه های اجتماعی دنبال کنید