هانی‌پات‌ها

از آنجايي كه هانی‌پات‌ها[1] انواع مختلفي دارند، ارائه تعريف جامعي از آن كار بسيار دشواری است. تعريف يك هانی­پات نشان دهنده نحوه كار آن و يا حتي هدف آن نيست. اين تعريف صرفا ناظر به نحوه ارزش گذاري يك هانی پات است. به عبارت ساده تر، هانی‌پات‌ها يك تكنولوژي هستند كه ارزش آنها به تعامل نفوذگران با آن‌ها بستگي دارد. تمامي هانی‌پات‌ها بر اساس يك ايده كار مي­كنند: هيچكس نبايد از آن‌ها استفاده كند و يا با آن‌ها تعامل برقرار نمايد، هر تعاملي با هانی­پات غير­مجاز شمرده شده و نشانه­ا­­ی از يك حركت خرابكارانه به شمار مي­رود. هانی­پات یک ماشین ویژه در شبکه است که به عنوان طعمه برای نفوذگران استفاده می­شود. به طور عمدی بر روی آن سیستم عامل آلوده به یک اسب تروا[2]، درپشتی[3] یا سرویس­دهنده­های ضعیف و دارای اشکال نصب می‌شود تا به عنوان یک ماشین قربانی، نفوذگران را به خود جذب کرده و مشغول نگه دارد. همچنین ممکن است بر روی چنین ماشینی اطلاعات غلط و گمراه­کننده­ای برای به اشتباه انداختن نفوذگر نیز گذاشته شود. هانی پات يك سيستم اطلاعاتي است كه ارزش آن به استفاده غير مجاز و ممنوع ديگران از آن است.

 هدف هانی پات

هدف آن‌ها اين است كه فعاليتهاي غير مجاز يا خرابكارانه را شناسايي كرده و درباره آنها به متخصصان امنيت هشدار دهند. در حقيقت اين سيستم نوعي دام است كه مهاجمان را فريب داده و به سوي خود جلب مي­كند و به اين ترتيب علاوه بر امكان نظارت و كنترل كار مهاجمان، اين فرصت را نيز به سازمان مي­دهد كه فرد مهاجم را از سيستمهاي اصلي شبكه خود دور نگه دارند. در­واقع هدف شبیه­سازی یک شبکه است که نفوذگران سعی می­کنند به آن وارد شوند. اطلاعاتی که بعد از حمله به یک هانی پات به دست می‌آید، می‌تواند برای کشف آسیب‌پذیری‌های شبکه­ی فعلی و رفع آن‌ها استفاده شود.

 نحوه عملکرد هانی‌پات‌ها

يك هانی­پات سيستمي است كه در شبكه سازمان قرار مي­گيرد، اما براي كاربران آن شبكه هيچ كاربردي ندارد و در حقيقت هيچ يك از اعضاي سازمان حق برقراري هيچگونه ارتباطي با اين سيستم را ندارند. اين سيستم داراي يك سري ضعف‌های امنيتي است. از آنجاييكه مهاجمان براي نفوذ به يك شبكه هميشه به دنبال سيستمهاي داراي ضعف مي‌گردند، اين سيستم توجه آن‌ها را به خود جلب مي­كند. به عنوان مثال: هنگامی که مهاجم شروع به اسکن پورت‌ها می‌کند (از آنجایی که هانی­پات به طور مجازی پورتهای خطرناک را باز می‌کند) متوجه باز بودن پورتها می‌شود و شروع به نفوذ می‌کند، در حالی که در تله هانی­پات گرفتار شده است. با توجه به اينكه هيچكس حق ارتباط با اين سيستم را ندارد، پس هر تلاشي براي برقراري ارتباط با اين سيستم، يك تلاش خرابكارانه از سوي مهاجمان محسوب مي­شود.

دلایل استفاده از هانی پاتها

این که نقاط ضعف سیستم را بشناسیم. مدیر سیستم می‌تواند با مشاهدة تکنیکها و روش‌های استفاده شده توسط نفوذگر بفهمد سیستم چگونه شکسته می‌شود و نقاط آسیب­پذیر سیستم را شناسایی و نسبت به ترمیم آن‌ها اقدام کند.

جمع­آوری اطلاعات لازم برای تعقیب و ردگیری نفوذگران است. با توجه به آنکه نفوذگر یک سیستم ضعیف و آسیب­پذیر را در شبکه کشف می‌کند، بنابراین تمام تلاش‌های بعدی او پیرامون سیستم هانی پات (که یک هدف قلابی است) متمرکز می‌شود. می‌توان یک سیستم تشخیص نفوذ[4] را در کنار این سیستم نصب کرد تا تلاش­های نفوذگران برای حمله به این هدف قلابی را گزارش دهد و شما بتوانید این موضوع و مبدا آن را پیگیری کنید.

 انواع هانی ­پات

هانی‌پات‌ها تکنولوژی و عملکرد‌های متفاوتی دارند و دسته بندی آن‌ها کمی مشکل است. به هر صورت دو دسته بندی عمومی در مورد آن‌ها موجود است. این دسته بندی به ما کمک می‌کند که در یابیم در هر مورد با چه نوعی از هانی‌پات‌ها و با چه درجه ای از قدرت و ضعف‌ها سر و کار داریم.

دو دسته عمومی هانی‌پات‌ها را در ادامه شرح داده می‌شود

هانی‌پات‌های کم­واکنش: هانی‌پات‌های کم­واکنش[5] دارای ارتباط و فعالیتی محدود می‌باشند. سطح فعالیت یک نفوذگر با سطحی از برنامه‌های شبیه سازی شده روی سیستم عامل‌ها محدود شده است. به عنوان مثال یک سرویس FTP شبیه سازی شده که به پورت 21 گوش می‌کند. نگهداری هانی‌پات‌های کم واکنش بسیار راحت و آسان است و خیلی راحت می‌توان آن‌ها را گسترش داد و ریسک بسیار کمی دارند. آن‌ها بیشتر درگیر این هستند که چه نرم افزارهایی باید روی چه سیستم عاملی نصب شود و همچنین می‌خواهید چه سرویسهایی را برای آن شبیه سازی و مانیتور کنید. همین رهیافت خودکار و ساده­ی آن‌ها است که توسعه آن را برای بسیاری از شرکت‌ها راحت می‌کند. البته لازم به ذکراست که همین سرویسهای شبیه سازی شده باعث می­شود که فعالیت‌های فرد نفوذگر محدود شود و همین امر باعث کاهش ریسک می‌گردد. به این معنی که نفوذگر نمی‌تواند هیچگاه به سیستم عامل دسترسی پیدا کند و به وسیله آن به سیستم های دیگر آسیبب رساند. یکی از اصلی­ترین مضرات هانی‌پات‌های کم­واکنش این است که آن‌ها فقط اطلاعات محدودی را می‌توانند ثبت کنند و آن‌ها طراحی می‌شوند که فقط اطلاعاتی راجع به حملات شناخته شده را به ثبت برسانند. همچنین شناختن یک هانی­پات کم­واکنش برای یک نفوذگر بسیار راحت می­باشد. از هانی‌پات‌های کم­واکنش می­توان به Spector[6]، KFSensor، Honeyd اشاره کرد. حال به توضیح یکی از هانی‌پات‌های کم­واکنش (Honeyd) می­پردازیم:

Honeyd یک هانی­پات کم­واکنش است که توسط NielsProvos ساخته شده است.Honeyd، به صورت کد باز می‌باشد و برای مجموعه سیستم‌عامل‌های یونیکس ساخته شده است. (در حال حاضر مناسب برای استفاده در سیستم‌عامل‌های ویندوز آن نیز موجود است) Honeyd، بر اساس زیر نظر گرفتن IP های غیر قابل استفاده بنا شده است. هر کسی که قصد داشته باشد با یک IP غیر قابل استفاده با شبکه ارتباط برقرار کند ارتباطش را با شبکه اصلی قطع کرده و با نفوذگر ارتباط برقرار می‌کند و خودش را جای قربانی جا می‌زند. به صورت پیش فرض، Honeyd، تمامی پورتها­ی TCP و UDP را زیر نظر گرفته و تمامی درخواستهای آن‌ها را ثبت می‌کند. همچنین برای زیر نظر گرفتن یک پورت خاص شما می‌توانید سرویس شبیه­سازی شده مورد نظر را پیکربندی کنید مانند شبیه­سازی یک سرور FTP که روی پروتکل TCP پورت 21 کار می‌کند. وقتی که نفوذگر با یک سرویس شبیه سازی شده ارتباط برقرار می‌کند تمامی فعالیت‌های او را با سرویسهای شبیه سازی شده­ی دیگر ثبت کرده و زیر نظر می‌گیرد. مثلا در سرویس FTP شبیه­سازی شده ما می­توانیم نام­کاربری و کلمه­های رمزی که نفوذگر برای شکستن سرور FTP استفاده می‌کند و یا دستوراتی که صادر می‌کند را به دست آوریم و شاید حتی به اینکه که او به دنبال چه هدفی می‌گردد و هویت او چیست پی ببریم. انواع پیکربندی این هانی‌پات‌ها به سطحی از شبیه­سازی برمیگردد که هانی­پات در اختیار ما گذاشته است. بیشتر سرویسهای شبیه­سازی شده به یک صورت کار می‌کنند. آن‌ها منتظر نوع خاصی از رفتارها هستند و طبق راه‌هایی که قبلا تعیین کرده‌اند به این رفتارها واکنش نشان می‌دهند. محدودیت این برنامه‌ها در این است که اگر نفوذگر دستوراتی را وارد کند که هیچ پاسخی برای آن‌ها شبیه سازی نشده باشد. بنابراین آنها نمی‌دانند که چه پاسخی را باید برای نفوذگر ارسال کنند. بیشتر هانی‌پات‌های کم واکنش مانند Honeyd یک پیغام خطا نشان می‌دهند. می­توان از کد برنامه­ی Honeyd، کل دستوراتی که برای سرویس FTP شبیه­سازی کرده است را مشاهده کرد.

هانی‌پات‌های پر­واکنش: هانی‌پات‌های پر­واکنش[7] معمولا از راه­حل­های پیچیده­تری استفاده می­کنند زیرا که آن‌ها از سیستم عامل‌ها و سرویسهای واقعی استفاده می­کنند. هیچ سرویسی شبیه­سازی شده نیست و ما یک سیستم واقعی را در اختیار نفوذگر می‌گذاریم. به عنوان مثال: اگر شما می‌خواهید که یک هانی­پات لینوکس سرور FTP داشته باشید شما باید یک لینوکس واقعی به همراه یک سرویس FTP نصب کنید. هانی‌پات‌های پر­واکنش دیگر جای هیچ فرضیه­ای روی رفتار نفوذگر باقی نمی­گذارد و یک محیط باز به او می‌دهد و تمامی فعالیت‌های او را زیر نظر می‌گیرد. همین امر باعث می‌شود که هانی‌پات‌های پر­واکنش رفتارهایی از فرد نفوذگر را به ما نشان دهند که ما انتظار نداشتیم و یا نمی­توانستیم حدس بزنیم. به هر حال همین امور است که ریسک اینگونه هانی‌پات‌ها را افزایش می‌دهد زیرا که نفوذگر یک سیستم عامل واقعی را در اختیار دارد و ممکن است به سیستم­های اصلی شبکه صدمه بزند. به طور کلی یک هانی­پات پرواکنش می­تواند علاوه بر کارهای یک هانی­پات کم­واکنش کارهای خیلی بیشتری را انجام دهد. از هانی‌پات‌های پر­واکنش می‌توان به Honeynet و [8]Symantec Decoy Server اشاره کرد. حال به توضیح یکی از هانی‌پات‌های پر­واکنش (Honeynet) می­پردازیم:

هانی­نت: دو يا چند هانی­پات كه در يك شبكه قرار گرفته باشند، يك هانی­نت را تشكيل مي­دهند. نوعا در شبكه­هاي بزرگ‌تر و متنوع‌تر كه يك هانی­پات به تنهايي براي نظارت بر شبكه كافي نيست، از هانی­نت استفاده مي­كنند. هانی­نتها معمولا به عنوان بخشي از يك سيستم بزرگ تشخيص نفوذ پياده سازي مي­شوند. در حقيقت هانی­نت يك شبكه از هانی‌پات‌هاي با تعامل بالا است كه طوري تنظيم شده است كه تقریبا تمامي فعالیت‌ها و تعاملها با اين شبكه، كنترل و ثبت مي­شود. مدیریت وکنترل یک مهاجم در شبکه هانی­نت توسط بخشی به نام هانی­وال[9] صورت می‌گیرد که در ادامه به توضیح آن می‌پردازیم: در هانی­نتها تمامی فعالیت­های فرد نفوذگر از نشست­های رمز شده­ی SSH گرفته تا ایمیل‌ها و فایلهایی که درسیستم­ها قرار می­دهند همه و همه بدون آنکه آن‌ها متوجه شوند زیر نظر گرفته و ثبت می‌شود. در همان زمان نیز هانی­نت تمامی کارهای نفوذگر را کنترل می‌کند. هانی­نتها این کارها را توسط دروازه­ای[10] بهنام هانی­وال انجام می‌دهند. این دروازه به تمامی ترافیک ورودی اجازه می‌دهد که به سمت سیستم­های قربانی هدایت شوند ولی ترافیک خروجی باید از سیستم­های مجهز به تشخیص نفوذ عبور کند. این کار به نفوذگر این امکان را می‌دهد که بتواند ارتباط قابل انعطاف­تری با سیستم های قربانی داشته باشد اما در کنار آن اجازه داده نمی‌شود که نفوذگر با استفاده از این سیستم ها به سیستمهای اصلی صدمه وارد کند. در واقع هانی­وال نقطه­ی اصلی شبکه­های هانی­نت است. هانی­وال بین هانی‌پات‌ها در شبکه هانی­نت و شبکه­ی اصلی در یک سازمان پل میزند و دروازه ای جهت ثبت و کنترل داده‌ها و مدیریت و پیگرد مهاجم خواهد بود.

 محل قرارگیری هانی وال در شبکه

Honeypot

Trojan

Backdoor

Intrusion Detection System(IDS)

Low Interaction

یک سیستم تشخیص نفوذ مبنی بر هانی­پات هوشمند که یک کامپیوتر آسیب­پذیر را شبیه سازی میکند.اکثر سیستم عاملها و سرویسها را حمایت میکند. www.specter.com

High Interaction

از محصولات شرکت سیمانتک اطلاعات بیشتر در مورد این محصول : www.symantec.com/press/2003/n030623b.html

Honeywall

Gateway