معرفی سرویس Honeypot

Honeypot ها سیستم­ هایی هستند که با شبیه­ سازی سرویس­ها و سیستم ­عامل­ های جعلی، جهت فریفتن مهاجمین (attackers) مورد استفاده قرار میگیرند. به صورت کلی این سیستم ها جهت جمع آوری اطلاعات و افزایش لایه امنیتی در سازمان های مختلف مورد استفاده قرار میگیرند.Honeypot  سیستمی است که در شبکه سازمان قرار میگیرد، اما برای کاربران آن شبکه هیچ کاربردی ندارد و در حقیقت هیچ یک از اعضای سازمان حق برقراری هیچگونه ارتباطی با این سیستم را ندارند. این سیستم دارای یک سری ضعف­های امنیتی است. از آنجایی که مهاجمان برای نفوذ به یک شبکه همیشه به دنبال سیستم­هایی با این ویژگی میگردند، این سیستم­ ها توجه آنها را به خود جلب میکند. با توجه به اینکه هیچکس حق ارتباط با این سیستم­ها را ندارد، پس هر تلاشی برای برقراری ارتباط با این سیستم­ها، یک تلاش خرابکارانه از سوی مهاجمان محسوب میشود. در حقیقت این سیستم نوعی دام است که مهاجمان را فریب داده و به سوی خود جلب میکند و به این ترتیب علاوه بر امکان نظارت و کنترل کار مهاجمان، این فرصت را نیز به سازمان میدهد که فرد مهاجم را از سیستم­های اصلی شبکه خود دور نگه دارند. این سیستم ها به طور دائم مانیتور می­شوند و log های مهمی تولید میکنند که در بخش مرکز عملیات داده (SOC)به تحلیل و correlate آنها پرداخته میشود. به هنگام مانیتور این سیستم ها اطلاعات مفیدی در اختیار تیم امنیتی سازمان ها قرار میگیرد.  این اطلاعات می تواند تیم امنیتی را نسبت به روش­های مختلفی که مهاجم­ها برای نفوذ به سیستم شبیه سازی شده استفاده میکنند، هوشیار و آگاه سازد. همچنین امکان و فرصت افزایش تدابیر امنیتی در محیط واقعی را برای کارشناسان امنیت فراهم میکند.

 

به طور کلی honeypotها با دو هدف ارائه و پیاده سازی میشوند:

  • Research
  • Production

 

پیاده ­سازی honeypot ها با هدف research بسیار سخت و زمانبر است و همچنین این سیستم­ها میبایست تعامل زیادی با مهاجمین داشته باشند. در این مدل نیاز است که محیط گسترده­ای برای مهاجم شبیه سازی گردد. معمولا در مقیاس های بزرگ دولتی، حکومتی و ملی، جهت افزایش دانش امنیتی نسبت به مهاجمین در زمینه­های مختلف، از این مورد honeypot استفاده میگردد.

پیاده سازی honeypot ها با هدف production آسان تر است و تقریبا بیشتر شرکت ها برای بالا بردن لایه­های امنیتی خود از honeypot ها استفاده میکنند. بدین­وسیله از سرویس­های اصلی خود در مقابل حملات محافظت میکنند، یا حداقل با سرگرم کردن مهاجم­ها زمانی را برای خود در جهت امن کردن شبکه داخلی خود در برابر حملات ذخیره میکنند. همچنین مطلع شدن به موقع از حملات، جهت جلوگیری از هر حمله امنیتی به منابع با ارزش درون سازمانی از دیگر مزایای honeypot ها با هدف production میباشد.

ارزش honeypot ها به میزان تعامل آنها با مهاجمان سنجیده میشود که در این راستا میزان اطلاعات بدست آمده از honeypot ها متفاوت میباشد. این اطلاعات میتواند مربوط به IP مهاجم و موقعیت جغرافیایی او باشد. بعلاوه، این اطلاعات نیز میتواند مرتبط به نقاط آسیب­ پذیر سرویس ارائه شده باشد.

 

Honeypot از جهت تعامل با مهاجمین به دو دسته کلی تقسیم میشوند:

  • Low-Interaction (تعامل کم)
  • High-Interaction (تعامل زیاد)

 

Honeypot ها با تعامل کم، میتوانند سیستم عامل­ها و سرویس­های مختلفی را شبیه سازی نمایند، که مهاجمان میتوانند به این  honeypot ها وصل شوند و دستورات اولیه کمی را انجام دهند.

برای مثال شما یک سرور FTP شبیه سازی میکنید و مهاجم پس از احراز هویت به سرور مورد نظر دستیابی پیدا میکند، و حتی فایل­های جعلی در اختیار او جهت دانلود قرار میگیرد.

Honeypotها با تعامل کم، از تهدیدات بلقوه کمتری برخور دارند، چرا که سرویسهای شبیه سازی شده، کارها و دسترسی­هایی را که هکر میتواند انجام دهد را محدود میکنند. بعلاوه پیاده­ سازی این مدل از honeypot ها ساده تر میباشد. این سرویسها حجم محدودی از اطلاعات را میتوانند جمع آوری نمایند، چرا که هکرها در کار با آنها محدود هستند. همچنین این سرویس­ها در مواجهه با رفتارهای شناخته شده و حملات مورد انتظار، بهتر کار میکنند.

 

Honeypot ها با تعامل زیاد، سیستم عامل­ها و سرویس هایی را به طور حقیقی برای تعامل با مهاجمین پیاده سازی میکنند. در واقع آنها کامپیوترهایی با برنامه­ های واقعی هستند، که جهت نفوذ توسط مهاجمان طراحی شده­اند. آنها حجم زیادی از اطلاعات را به دست می­اورند. در نتیجه به هنگام مانیتور رفتار مهاجمین در تعامل با این سیستم ها، شما میتوانید اطلاعات جامعی از حرکات و عملکرد مهاجمان، میزان مهارت و غیره بدست آورید. آنها طوری طراحی شده­ اند که رفتارهای جدید، ناشناخته یا غیر منتظره را شناسایی کنند. Honeypotها با تعامل زیاد ریسک بالایی دارند. از آنجایی که مهاجمان با سیستم عاملهای واقعی روبرو می­شوند، این honeypot  ها می­توانند برای حمله کردن و ضربه زدن به سایر سیستمهایی که honeypot  نیستند مورد استفاده قرار گیرند. ثانیا honeypot ها با تعامل زیاد، بسیار پیچیده میباشند.

سازمانهای مختلف، اهداف متفاوتی دارند و به همین دلیل از honeypot های مختلفی استفاده می­کنند. یک روال معمول این است که سازمانهای تجاری مانند بانکها، خرده فروشان، و تولید کننده ها، honeypot های با تعامل کم را به علت ریسک پایین، به کارگیری آسان، و نگهداری ساده، ترجیح می­دهند. استفاده از honeypot ها با تعامل زیاد، نیز در میان سازمان­هایی با قابلیت­های منحصر به فرد، که به دنبال راه حل­هایی با تعامل زیاد و مدیریت ریسک هستند، معمول تر است.

از جمله این سازمان­ها می­توان به سازمان­های نظامی، دولتی، و آموزشی اشاره کرد.

 

Honeypot ها به سه شکل در شبکه ها پیاده سازی می شوند:

 

  • در محدوده DMZ
  • بیرون فایروال و سمت اینترنت
  • پشت فایروال و داخل شبکه داخلی

 

اگر honeypot در محدوده DMZ  پیاده­سازی شود، honeypot در کنار سایر سرویس­های موجود در DMZ  قرار میگیرد. پیاده سازی honeypot در این محدوده بسیار پیچیده میباشد. ولی یکی از مزاییای honeypot ها در این محدوده شبیه سازی دارایی­های واقعی سازمان مانند سرویس های عملیاتی میباشد.

در حالت دوم، honeypot به صورت مستقیم با اینترنت در تماس است. و معمولا honeypot هایی که با هدف research پیاده­ سازی میشوند در محیط external یا بیرون فایروال قرار میگیرند. در نتیجه honeypot شما با یک IP عمومی مورد استفاده قرار میگیرد.

اگر honeypot در interanet پیاده سازی گردد، گرفتن هشدار به هنگام مهمترین مزیت این محل پیاده­ سازی میباشد. این هشدار مرتبط به شروع یک خرابکاری میباشد. چراکه در این حالت honeypot به عنوان یک defense  در شبکه داخلی پیاده سازی شده است و خطرات و تهدیدات داخلی را در لحظه شناسایی میکند. برای مثال، به هنگام حمله Blaster worm همه­ سازمان ها برای محافظت از شبکه داخلی خود پورت ۱۳۵ را بر روی فایروال­های خود بستند. اما اگر این worm  به وسیله ی یک trusted vpn از فایروال شما عبور کند و وارد شبکه داخلی شود، میتواند روی کامپیوترها و سیستم­های موجود در شبکه تاثیر گذار باشد. به هنگام عبور worm  از فایروال، به راحتی و در ابتدا میتواند روی ماشینی که unpatch است، اولین تاثیر را بگذارد. بنابراین honeypot اولین سیستم  آسیب­ پذیر و unpatch است که توسط worm آلوده میشود. در همین زمان honeypot با صدور هشدار به موقع، admin شبکه را از وجود worm  مطلع میکند و تدابیر امنیتی به موقع اعمال میشود تا از آلوده شدن سایر سیستم ها جلوگیری شود.

honeypot

honeypot

نتیجه

Honeypot با ارائه خدمات غیر واقعی به مهاجمان، صرفا مجموعه های کوچکی از داده ها را جمع آوری میکنند. Honeypot ها فقط زمانی که کسی یا چیزی با آنها ارتباط برقرار کند داده ها را جمع آوری می نمایند، که البته این داده ها بسیار ارزشمندند به خصوص در حوزه­  مرکز عملیات داده. Honeypot ها در حالی یک رویداد را تهدید تشخیص می دهند با ارسال هشدار به موقع، مسئولین را مطلع میکنند. این اطلاع رسانی امکان محافظت از شبکه و سیستم­های واقعی را فراهم میکند. در این مقاله به انواع تعاملی که honeypot ها با مهاجمین دارند، اشاره شد و همچنین پیاده ­سازی honeypot ها در نقاط مختلف شبکه مورد بررسی قرار گرفت که هر سازمان بسته به نیاز خود، مکان مشخصی را برای پیاده ­سازی این سرویس امنیتی در نظر میگیرد.

 

مراجع

 

http://flylib.com/books/en/1.48.1.23/1

http://www.sans.org/security-resources/idfaq/honeypot3.php

http://www.certcc.ir

 

به اشتراک بگذارید... Tweet about this on TwitterShare on FacebookShare on LinkedInEmail this to someonePrint this page
نویسنده: مهندس صلصالی

ما را از نظرات خود آگاه سازید

لطفا در صورت تمایل، نظر خود را در مورد مطلب بالا، بنویسید.