هانی پات (HoneyPot) چیست؟ برقراری امنیت در شبكه توسط تکنیک هانی پات

به نظر شما امروزه امنیت شبکه های کامپیوتری تا چه اندازه اهمیت دارد؟ هر روز بر علم کامپیوتر و شبکه اطلاعات بیشتری اضافه می شود. هدف امروز نفوذگران، سرورها و شبکه های گسترده می باشد. با هک کردن یک سرور میزبان صدها یا شاید هزارن سایت هک می شوند. می دانیم که هکرها و نفوذگران افراد بسیار باهوشی هستند که نسبت به کاری که انجام می دهند اطلاع کافی دارند و به راحتی اثری از فعالیتهای خود بر جا نمی گذارند که قابل شناسائی باشند. بنابراین ما نیازمند حفاظت از سرور و شبکه خود با امکانات امنیتی هستیم.
یکی از این ابزارها هانی پات (HONEYPOT) است. هانی پات یکی از ابزارهائی است که متخصصین برای برخورد با هکرها و مدیران شبکه از آن برای شناسایی و به دام انداختن هکرها ونفوذگران استفاده می کنند . در این مقاله ضمن معرفی هانی پات و انواع آن، اهمیت تکنولوژی هانی پات در برقراری امنیت شبکه ها و نحوه گرفتار شدن هکرها در دام متخصصین شبکه را بررسی می کنیم و با توضیح تکنولوژی های آن، امنیت در شبکه های کامپیوتری را مورد بررسی قرار می دهیم.

مقدمه

امروزه وقتی یک شبکه مثل شبکه محلی دانشگاهی هک می شود، با استفاده از ابزارهای گوناگون می توان با استفاده از شبکه هک شده به هزاران کامپیوتر دیگر نیز نفوذ کرد. بنابراین ما نیازمند حفاظت ازسرور وشبکه خود با امکانات امنیتی هستیم. یکی از این ابزارها هانی پات است. هانی پات چنانچه از نام آن نیز بر می آید قرار است مانند ظرف عسل عمل کند و نفوذگران را به سوی خود جذب کند. در واقع این کار را با مهیا ساختن امکاناتی که یک نفوذگر به دنبال آن است، مانند FTP سرور و سیستم های آسیب پذیر دیگر، مثل آنچه در حملات معروف به زامبی که جهت آسیب رساندن به سایر سیستم ها از یک سیستم آسیب پذیر به عنوان ابزاری جهت انتشار کدهای مخرب در سرتاسر اینترنت استفاده می شود، انجام می دهد.
اگر یک پویشگر از سیستم های تشخیص نفوذ مربوط به شبکه یا سیستم میزبان و یا فایروال ها عبور کرد، متوجه نخواهد شد که گرفتار یک هانی پات شده است وخرابکاری های خود را روی آن سیستم انجام می دهد و می توان از این روش های نفوذ و حمله برای امن کردن شبکه استفاده کرد. این که چرا یک فایروال قالبا نمی تواند برای امنیت شبکه مفید باشد چندین دلیل عمده دارد. نخست اینکه تمامی دسترسی ها به اینترنت از طریق فایروال انجام نمی گیرد و دیگر آن که تمامی تهدیدات محدود به خارج فایروال نیست.
برخی تهدیدات در فضای درونی شبکه به وقوع می پیوندند. علاوه بر آن فایروال امنیت کمتری در برابر حملاتی که با نرم افزارهای مختلف اعم از جاوا و برنامه های ویروس نویسی به داده ها واطلاعات سازمان ها می شود ،ایجاد می کند. برای تامین امنیت شبکه فایروال اولین چیزی است که باید به کارگرفته شود ولی برای امنیت کامل هیچگاه به تنهایی کافی نیست. فایروال ها معمولا سیستم هایی هستند که با تعریف یک سری قوانین روی آن ها، ورود وخروج بسته ها را کنترل می کند.
به وسیله هانی پات بسته هایی که به وسیله فایروال اجازه ورود و خروج دارند، می توانند دوباره بازبینی شوند. به عنوان نمونه اگر فایروال اجازه ترافیک ورودی وخروجی روی پورت 80 را بدهد )که اغلب این پورت برای استفاده از سرویس HTTP باز است( ویروسی مانند Red code به راحتی می تواند روی این پورت باز اتصالات متوالی را برای اشغال مسیر ارتباطی و از کار انداختن سرویس وب ایجاد کند، که این از نظر فایروال مشکلی ندارد و اجازه برقراری چنین ارتباطی داده می شود.پس عملا فایروال ها ناکارآمد هستند.

 تعریف هانی پات

یک منبع سیستم اطلاعاتی می باشد که بر روی خود اطلاعات کاذب وغیر واقعی دارد وبا استفاده از ارزش واطلاعات کاذب خود سعی در کشف وجمع آوری اطلاعات و فعالیت های غیرمجاز و غیر قانونی بر روی شبکه می کند. به زبان ساده هانی پات یک سیستم یا سیستم های کامپیوتری متصل به شبکه و یا اینترنت است که دارای اطلاعات کاذب بر روی خود می باشد و از عمد در شبکه قرار می گیرد تا به عنوان یک تله عمل کرده و مورد تهاجم یک هکر یا نفوذگر قرار بگیرد و با استفاده از این اطلاعات آنها را فریب داده و اطلاعاتی از نحوه ی ورود آنها به شبکه و اهدافی که در شبکه دنبال می کنند جمع آوری کند.

نحوه کار هانی پات

هانی پات ها مشابه یک سیستم قربانی در برابر نفوذگر ظاهر می شوندو مانند یک چنین سیستمی بایستی رفتار کنند اما در عین حال بدون آگاه نمودن نفوذگر با انواع روش های کنترلی و ثبت و ضبط داده خود او را تحت نظردارند. این اطلاعات ثبت شده و بعدا جهت آنالیز می توانند مورد استفاده قرار گیرند و از آنها برای یادگیری روش های ناشناخته حملات و نفوذها بهره برد. فرق آن با سایر سیستم ها و فناوری های امنیتی مشابه در عملکرد سریعتر و بهینه آن است.قرار نیست تا دوباره سناریو های فایروال و سیستم های تشخیص نفود متداول را تکرار کنیم.
همگی این روش ها به دلیل حجم داده تولیدی بالا و غیر صحیح ناکارآمد به حساب می آیند.هانی پات مانند این سیستم ها تدافعی عمل نمی کنند یعنی منتظر پیشقدم شدن نفوذگر در شروع حمله نمی ماند.بلکه سعی در جمع آوری اطلاعات در مورد سبک ها و فنون آنها دارد.هانی پات مانند فایروال تنها به شناسایی حملات شناخته شده محدودنیست واین ویژگی یک هانی پات است که روشهای نفوذ جدیدرا کشف کند.
 بر خلاف Firewall یا IDS ،هانی پات قرار نیست تا یک مساله ی بخصوص و معین را حل کند بلکه ابزاری بسیار انعطاف پذیر بشمار میرود که قادر است از حملات IPv6 تا انواع روش های فریب و تقلب در کارت های اعتباری را شناسایی کند.  یک هانی پات را یک Information system resource (منبع سیستم اطلاعاتی) به شمار آورده اند که ارزش و مقادیر آن وابسته به منابع بدون مجوز(unauthorized) و غیر قانونی است. این تعریف تمامی جنبه های موجود در هانی پات را در بر می گیرد.در تعریف بالا ارزشها بوسیله نفوذگران که با هانی پات به نوعی محاوره برقرار میکنند تامین میشود.به این معنی که برقراری هر محاوره ای با هانی پات بسیار مستعد این است که یک فعالیت مشکوک و یا غیر مجاز باشد. این فعالیت میتواند شامل نفوذیا حمله و یا جمع آوری اطلاعات بوسیله نفوذگر باشد.

مزیت های یک هانی پات

⦁ مجموعه های کوچک ولی با ارزش از داده ها: هانی پات اطلاعات کمی را جمع آوری میکند ودر واقع به جای اینکه مانند خیلی از ابزارهای امنیتی 1یکگیگابایت داده را در روز جمع آوری کند به مقادیر بسیار کمتر یک مگابایت و به جای 10000 اخطار (Alert) روزانه به 10 عدد بسنده می کند. به خاطر بیاوریم که هانی پات تنها فعالیت های مشکوک را ضبط میکند بنابراین با جمع آوری داده ها در اندازه کمتر noiseرا کاهش داده ولی در عوض ارزش آن داده ها بالاست و درنتیجه اینکه این داده ها راحتر (کم هزینه تر) آنالیز و جمع آوری می شوند.
⦁ ابزار و تاکتیک های جدید: هانی پات طوری طراحی می گردند که میتواند هر چیزی را شامل ابزار ها و تاکتیک های جدیدی که نفوذگر بکار میبرد و هرگز قبلا دیده نشده اند به دام بیندازد.
⦁ رمزنگاری و   IPv6: برخلاف بسیاری از تکنولوژی ها مانند IDS ، هانی پات ها بخوبی با محیط های رمزنگاری شده یا IPv6کار میکند.
⦁ سادگی: هانی پات ها از لحاظ مفهومی بسیار ساده هستنددر آن ها از الگوریتم های پیچیده و نگهداری جداول حالت و یا آپدیت signatures ⦁ خبری نیست. هر چه تکنولوژی ساده تر و آسانتر باشد کمتر نیز دچار خطا و misconfigurations خواهد شد.

معایب یک هانی پات

⦁ دید محدود: هانی پات ها تنها می توانند تحرکاتی را دنبال و شناسایی کنند که مستقیما با خودشان درگیر شوند. بعبارتی قادر نیستند حملات به سایر سیستم ها را گیر بیندازند تا زمانی که نفوذگر با خود هانی پات وارد رویارویی شود.
⦁ ریسک: هر تکنولوژی امنیتی با ریسک همراه است.در مورد Firewalls چون ممکن است به داخل آن ها رخنه شود ،رمزگذاری ها ممکن است شکسته شوند ،IDS sensors  برای اینکه در شناسایی حمله ای ممکن است Fail شوند، هانی پات ها هم از این قاعده مستثناء نیستند علاوه بر اینکه این خطر هم وجود دارد که حتی بعنوان ابزاری توسط نفوذگر جهت خرابی به کار گرفته بشوند. البته انواع هانی پات ها درجات ریسک پذیری متفاوتی دارند.

انواع هانی پات

هانی پات ها در شکل ها و اندازه های گوناگونی بوجود آمده اند و گردآوری آن ها را جهت دسته بندی کمی مشکل ساخته است. به هر صورت دو دسته بندی عمومی در مورد آن ها موجود است.این دسته بندی به ما کمک میکند که دریابیم در هر مورد با چه نوعی از هانی پات ها با چه درجه ای از قدرت و ضعف ها سر وکار داریم. تعامل ها سطحی از تحرکات را برای نفوذگر تعریف میکند.
⦁ دسته اول
Low-Interaction  هانی پات ها تعامل محدودی را برقرار می کنند. آن ها معمولا با سرویس ها و سیتم عامل های شبیه سازی شده (emulated services & O.S) کار می کنند. فعالیت نفوذگر از طریق سطح Emulation  بوسیله هانی پات ها محدود می شود. بعنوان مثال یک سرویس FTP شبیه سازی شده که روی پورت 21 لیست میگردد(سرویس میدهد)ممکن است تنها FTP Loginرا ارائه دهد یا خط های فرمان خاصی از مجموع فرامین FTP commands .
مزیت هانی پات (Low Interaction)به همین سادگی و پیاده سازی آن هاست. بکارگرفتن و نگه داری آن ها به راحتی صورت می گیرد و حداقل ریسک ممکنه را سبب می شوند. تمامی چیزی که در مورد این دسته از هانی پات با آن مواجه ایم شامل نصب نرم افزار ، انتخاب سیستم عامل و سرویس،که قرار است emulate و مانیتورگردد، خواهد بود. این نگرش Plug&play بکارگیری این نوع از هانی پات را برای یک تشکیلات بسیار آسان نموده است.در واقع نفوذگر هیچگاه به یک سیستم عامل واقعی برای حمله به سایر سیستم ها دسترسی نخواهد یافت.
مشکل اساسی Low Interaction Honey pots ثبت اطلاعات محدود و بدام انداختن فعالیت هایی است که قبلا شناخته و شناسایی شده اند. علاوه بر آن نفوذگران خیلی راحت تر قادر به شناسایی این نوع Honey pots هستند و این موضوع که چه اندازه Emulationشما خوب صورت گرفته باشد اهمیتی ندارد چرا که یک نفوذگر ماهر سرانجام وجود آن را حس خواهد کرد.  از نمونه های موجود در این نوع هانی پات ها با سطح تعامل پایین  Low Interaction Honey pots میتوان Specter, Honeyed, KFSensor نام برد.
⦁ دسته دوم
High Interaction هانی پات ها تعامل بالایی را برقرار می کنند.  هانی پات های متفاوتی هستند چرا که به خاطر سروکار داشتن با سیستم عامل و برنامه های کاربردی واقعی راه حل های پیچیده تری بشمار می روند. هیچ چیزی Emulate  نمی شود و هر چیز واقعی در اختیار نفوذگر است. اگر به فرض یک هانی پات لینوکسی را همراه یک FTP     Server  بروی آن میخواهید، باید یک سیستم لینوکسی واقعی به اضافه FTP Server واقعی را سازماندهی کنید. دو مزیتی که در این حالت وجود دارد یکی این است که شما را قادر می سازد اطلاعاتی غنی بدست آورید.
چرا که یک سیستم واقعی را برای تعامل در اختیار نفوذگر گذاشته اید پس میتوانید اطلاعات کاملی از طرز عملکرد آن ها ،rootkits جدید تا International IRC sessions  را از آن ها فرا بگیرید.
مزیت دوم اینگونه Honey pots این است که در مورد رفتار نفوذگر دست به گمانه زنی نمیزنند بلکه یک محیط واقعی را برای فعالیت او در اختیارش می گذارند ورفتار هایی که تا کنون انتظار نمی رفته است را Honey pots یاد خواهند گرفت. High Interaction هانی پات ها نسبت به نوع قبلی هانی پات ها بکارگیری و نگه داری مشکلتری دارند که از نمونه های آن ها میتوان به Symantec Decoy Server وHoneynets  اشاره کرد.
⦁ دسته سوم
،حال به بررسی یک نوع  از هانی پات های سطح نعامل پایین  به نام Honeyd  می پردازیم و آنرا مورد ارزیابی قرار می دهیم:
همانطور که قبلا گفته شد Honeyd جزء دسته اول هانی پات ها با درجه ی تعامل کم بشمار می آیند که به وسیله Niels Provos  توسعه داده شد . open source بوده و در ابتدا تنها روی سیستم های Unix اجرامی شد(در حال حاضر تحت Windows آن هم موجود است) . بر اساس مفهوم مانیتورینگ فضای IP بدون استفاده(Unused IP space)  عمل می کند. هر زمان که تلاشی را برای برقراری ارتباط با یک IP بدون استفاده مشاهده کند ، اتصال را قطع کرده و با نفوذگر وارد تعامل می شود و وانمود می کند که یک قربانی است.
به طور پیش فرض Honeyd تمامی اتصالات روی پورت ها ی UDP و TCP را تشخیص داده و ثبت می کند.علاوه بر آن شما می توانید یک سرویس Emulate شده را هم برای مانیتور کردن پورت خاصی config کنید. مثلا Emulated FTP Server،TCP پورت 21 را مانیتور می کند. وقتی یک نفوذگر با سرویسی Emulateشده ارتباط برقرار می کند Honeyd نه تنها تشخیص می دهد و فعالیت اش را log می کند بلکه تمامی تعاملات اش را با آن سرویس هم ثبت و ضبط میکند.
در این نمونه Emulated FTP Server، قادریم تا شناسه و رمز ورود نفوذگر را هم ضبط کرده خطوط فرامینی که مد نظرش بوده و استفاده نموده وحتی به چیزهایی که نفوذگر بدنبال کسب اطلاعات از آن ها بوده نیز پی ببریم.البته تمامی این موارد به سطح Emulation که   Honeyd  ارائه می دهد وابسته است.
بیشتر Emulated Services به همین روش کار می کنند. آن ها رفتار مشخصی از نفوذگر را انتظار دارند و طوری برنامه ریزی شده اند که طبق روشی از پیش تعیین شده در برابرآن رفتار واکنش نشان دهند.”اگر حمله A رخ داد طبق الگوعمل کن”یا” اگر حمله B رخداد اینگونه پاسخ بده”.محدودیت جایی رخ میدهد که نفوذگر رفتاری را بروز دهد که Emulation شما توقع آن را ندارد پس    Honeyd  نیز نمی داند چطور پاسخ دهد.
در یک چنین مواقعی بیشتر Low- Interaction هانی پات ها مانند همین Honeyd ، بطور ساده یک پیغام خطا ایجاد و صادر می کنند.در هر حال شما می توانید با مشاهده ی  source code مثلا Emulated FTP Server برای Honeyd پی ببرید که چه خط فرمان هایی را پشتیبانی می کند. برخی هانی پات ها مانند Honeyd می توانند علاوه بر سرویس ها، سیستم های عاملEmulate  شده را نیز عرضه کنند. بعبارتی Honeyd میتواند بصورت یک Cisco Routerیا Windows Server یا Linux DNS Server در برابر نفوذگر ظاهر شود. در صورتی که هانی پات بتواند چندین سیستم عامل را جهت Emulating در اختیار بگذارد، اولا می تواند خود را بهتر با شبکه موجود تطبیق دهد چرا که ظاهر و رفتاری مشابه را بروز خواهد داد. ثانیا وقتی سیستم و سرویس هدفی را عرضه کند که نفوذگر بدنبال آن است می تواند نفوذگران خاصی را نیز هدف گیری کند.
وقتی نفوذگری به یک Emulated Service  اتصال یافت شما می توانید سرویس را طوری ارائه بدهید که گویی به یک سیستم عامل خاص اختصاص دارد. به عنوان مثال اگر شما سرویسی دارید که قرار است یک Webserver را Emulate کند و قصد دارید هانی پات شما به شکل Windows Server  برای نفوذگر ظاهر گردد پس باید رفتار IIS Server را Emulate کنید. یا برای Linux می بایست طرز عمل Apache Webserver را تقلید نمایید.
اکثر هانی پات ها سیستم عامل را به همین طریق Emulate می کنند. برخی هانی پات ها فراتر رفته و علاوه بر Emulate کردن سرویس در سطح IP Stack نیز عمل می کنند.اگر شخصی از مقیاس active fingerprinting برای تشخیص نوع سیستم عامل استفاده کند،اکثر هانی پات ها با IP stack پاسخ می دهند. هانی پات ها اصطلاحا بسته Reply را Spoof (دست کاری در آدرس مقصد بسته TCP/IP یا Packet header به منظور مخفی نگه داشتن هویت اصلی) می کنند.یعنی در این نوع از هانی پات ها نه تنها سرویس Emulate می گردد که رفتار IP stack نیز را طوری Emulate می کنند تا سیستم عامل را آنگونه که می خواهند به نفوذگر نشان دهند.درجه Emulation و خصوصیاتی مورد نیاز بستگی به تکنولوژی هانی پات دارد که شما انتخاب می کنید.
100%
Awesome
  • Design
4 دیدگاه
  1. Zahra says

    سلام
    خدا قوت
    مختصر و مفید مثل همیشه?

  2. سید علی says

    عالی

  3. سیاوش says

    بسیار شیوا و ساده و عمیق.
    سپاس

دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.