هانی پات (HoneyPot) چیست؟ برقراری امنیت در شبکه توسط تکنیک هانی پات – بخش دوم

Honeynets را برای بررسی هانی پات های با تعامل بالا مورد بررسی قرار می دهیم :

Honeynets جزء نمونه های اولیه High-Interaction هانی پات ها هستند.یعنی درجه ی تعامل بیشتری را با نفوذگر ممکن می سازند. Honeynets محصول(Product) یا یک راه حل نرم افزاری که روی کامپیوتری نصب گردد، نیستند. در عوض آن ها یک معماری از شبکه ای از کامپیوتر ها هستندکه برای مورد حمله قرار گرفتن ،طراحی شده اند. ایده در واقع این است که یک معماری از شبکه ای شدیدا کنترل شده، داشته باشیم.جایی که تمامی فعالیت ها کنترل و ثبت و ضبط می شوند.در یک چنین شبکه ای نامزد هایی برای قربانی شدن که کامپیوتر های واقعی اند و برنامه های واقعی روی آنها اجرا می شود، خواهیم داشت.

نفوذگران طبق ابتکار خود این سیستم ها را یافته و به آنها نفوذ کرده در حالی که متوجه نیستند به یک هانی پات راه یافته اند.تمامی فعالیتهای آن ها از SSH sessions رمزنگاری شده تا Emails و فایل هایی که بارگذاری می کنند ثبت و ضبط می شوند بدون اینکه نفوذگر بویی ببرد.این عمل از طریق جایگذاری ماژول Kernel در سیستم هایی که قرار است قربانی باشند، صورت می گردد وتمامی اعمال نفوذگر را ثبت می کنند. در عین حال هانی پات عمل نفوذگر را هم به نوعی کنترل می کند. این کار بوسیله ابزاری به نام Honeywall gateway صورت می گیرد.

این دروازه به تمامی ترافیک ورودی (Inbound) اجازه ورود داده اما روی ترافیک خروجی (Outbound) کنترل اعمال می کند و این عمل را نیز به مدد تکنولوژی های جلوگیری از نفوذ Intrusion Prevention Technology انجام می دهد.این خاصیت Honeynet به نفوذگر اجازه ی هر گونه محاوره با ماشین قربانی را داده و در عین حال از ضربه زدن او به سایر سیستم های غیر هانی پات ها جلوگیری میکند.

Honey pot detection (تکنیک ظرف عسل)

سیستمهای ظرف عسل از یک سرور ساختگی برای جذب حملات استفاده مینمایند. هدف روش ظرف عسل پرت کردن حواس حملات از ابزارهای واقعی شبکه میباشد. با نمایش انواع مختلف آسیب پذیریها در سرور ظرف عسل، میتوانید انواع حملات وارده و الگوهای ترافیک مشکوک را آنالیز نمایید. شما میتوانید از این آنالیز برای میزان سازی امضاهای حسگرتان جهت شناسایی انواع جدید ترافیک مشکوک شبکه، استفاده نمایید.

سیستمهای ظرف عسل از محیطها حفاظت مینمایند، به خصوص توسط سازمانهای بزرگی که اهداف جالبی برای هکرها به حساب میآیند، مانند تشکیلات مالی، آژانسهای دولتی، و غیره. همچنین، فروشندگان آنتی ویروسها و سایر ابزارهای امنیتی تمایل به استفاده از این سیستمها در تحقیقات خود دارند. بسیاری از کارشناسان استفاده از ظروف عسل را به عنوان یک سیستم پیش هشدار دهنده برای به کارگیری به همراه سیستم IDS&IPS توصیه میکنند نه بجای آن.

اصول اساسی هر نوع توسعه ظرف عسل، دستیابی به مزیت به وسیله تکنیکهای اکتشاف میباشد که امکان فریب دادن یا به دام انداختن موفق نهادهای مهاجم چه انسانی و چه دیجیتالی، فراهم میآورد. این حیله به وسیله HPT (ظرف عسل) به خطر افتاده یا آسیب پذیر به نظر رسیده نائل میگردد، به گونهای که اطلاعات قانونی میتوانند به صورت نتیجه بهره برداری یا نفوذ نا تمام آن سیستم توسط حمله کنندهها، جمع آوری گردند. اطلاعات جمع آوری شده از HPT میتوانند دارای تنوعی از کاربردها و اهداف با مزیت فراهم آوردن برتری باشند. برتری میتواند به واسطه تعدیل حملات کوتاه مدت باشد یا به واسطه حل یا غلبه بر بهره برداری به عنوان نتیجه آنالیز دادههای جمع آوری شده، بلند مدت باشد.

  • اغلب HPT موجود با این فرض ساخته میشوند که حمله از خارج از شبکه توسط نهادهایی که سعی در کشف یا نفوذ به یک سیستم را دارند، رخ خواهد داد. علاوه بر این، مشخص شده است که ساخت ظرف عسل داخلی، به کارگیری و توسعه آن، به شدت نادیده گرفته میشود.

این پدیده تمرکز بر حملات خارجی در تناقض مستقیم با مدارکی است که از گزارشات متعدد امنیت کامپیوتر و شبکه توسط صنایع و آکادمیها همانند امنیت پیشرفته به عنوان یک مسئله حائز اهمیت، منتشر شدهاند. این گزارشات سعی در نشان دادن تصویری از وضعیت فعلی چشم انداز تهدید امنیت کامپیوتر داشته، و مرتباً در مییابند یا نتیجه میگیرند که تهدیدهای داخلی بیشترین آسیب را به واسطه اثر مالی و تعداد حوادث، محقق مینمایند. فایروالها و سیستمهای اکتشاف ورود غیر مجاز (IDS) برای کنترل و نظارت بر داراییهای داخلی در سازمانها، به کار گرفته میشوند، با این حال HPT باز هم به صورت داخلی به کار گرفته نمیشود حتی اگر شواهد کافی برای نشان دادن کاربرد آن در کشف رفتار سوء قصد وجود داشته باشد.

مواردی که IDSها در داخل شبکه ناموفق عمل مینمایند، شامل زمانی است که در جستجوی یک توالی باینری خاص یا به خطر افتادن مجموعهای از قوانین برای یک مورد منفرد رفتاری میباشد، که سپس با یک رفتار منفرد مانند قطع اتصال واکنش نشان میدهد که ممکن است موفق یا ناموفق باشد. IDS معمولاً مکانیسم ضعیفی برای امکانپذیر ساختن باز سازی قانونی یک حادثه ورای فعالیت انجام شده توسط IDS دارد، زیرا وظیفه اولیه آنها حفاظت از سیستم میباشد نه جمع آوری دادهها. با این وجود، HPT برای پیگیری و نظارت بر همه رفتارها بدون تبعیض طراحی شده است، حتی اگر اثر متاقبلی مثلاً با یک IDS در یک سیستم ظرف عسل داشته باشد. HPT باید به روشی طراحی شود که حملات و اثرات یک حمله کننده را بر یک سیستم نه تنها در لایه شبکه بلکه در لایههای سیستمها و برنامههای کاربردی ثبت نماید.

این روش متخصصان امنیت را قادر به ایجاد توالی حوادث یا فعالیتهایی میسازد که باعث به وقوع پیوستن یک حادثه میگردد، زیرا همه دادهها باید بطور کافی برای همه بازسازیهای قانونی یک حادثه، ارائه شوند. سپس این مسئله باید پرسنل بخش امنیت داخلی را به اتخاذ یک الگوی یادگیری در احیای امنیت حوادث از طریق آنالیز این دادهها قادر سازد.

نتیجه گیری

با توجه به گسترش کاربرد کامپیوتر در جوامع امروزی ،مکانیزه کردن اطلاعات وتبادل آن امری اجتناب ناپذیر است. بنابراین حفظ امنیت سیستم واطلاعات ضروری می باشد.استفاده از تکنولوژی های برقراری امنیت شبکه تا حدی می تواند این ریسک را کاهش دهد. هانی پات یکی از این تکنولوژی هایی است که با شناسایی اهداف واعمال نفوذگر ونقاط ضعف سیستم ، در کنار سایر تکنولوژی های امنیتی ما را در حفظ امنیت سیستم مان یاری می نماید.هدف این مقاله تعریف Honeypot و ارزش آن برای جامعه ی امنیتی بود. دو نوع مختلف از آن را معرفی کردیم Low-interaction و.High- interaction بر این اساس Interaction تعیین می کند که نفوذگر تا چه اندازه اجازه فعالیت دارد.

قابلیت های این راه حل ها در ابعاد تحقیقاتی و تولیدی بررسی شد. هانی پات به عنوان یک محصول می تواند برای پیشگیری و تشخیص و یا واکنش به یک حمله عمل کند. هانی پات همچنین بوسیله جمع آوری اطلاعات در مورد تهدیدات به عنوان ابزار تحقیقاتی می توانند به درک و مقابله بهتر ما در برابر آن ها کمک کند. در ضمن روش های مقابله این تکنولوژی با مخاطرات موجود نیز بررسی شد و راه کارهای آن نیز ارائه گردید.

90%
Awesome
  • Design

دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.