هانی‌پات Honeypot

نوشته شده در تاریخ توسط

یکی از موثرترین ابزارهای محافطت از شبکه هانی‌پات است که متخصصین برای برخورد با هکرها و شناسایی و به دام انداختن آنها از آن استفاده می‌کنند. هانی‌پات چنانچه از نام آن نیز بر می‌آید مانند یک ظرف عسل و مثل یک طعمه عمل می‌کند و نفوذگر را با مهیا ساختن امکاناتی که به دنبال آن است، (مانند FTP سرور و سیستم‌های آسیب پذیر دیگر ) به سوی خود جذب می‌کند. نظیر به کنترل گرفتن یک سیستم در حملات معروف به زامبی که طی آنها نفوذگران از یک سیستم آسیب‌پذیر به عنوان ابزاری جهت انتشار کدهای مخرب و آسیب رساندن به سایر سیستم‌ها استفاده می‌کنند.

اگر یک نفوذگر از سیستم‌های تشخیص نفوذ مربوط به شبکه یا سیستم میزبان و یا فایروال‌ها عبور کرد، متوجه نخواهد شد که گرفتار یک هانی‌پات شده است وخرابکاری‌ خود را روی آن سیستم انجام می‌دهد.

این که چرا یک فایروال همواره نمی‌تواند برای امنیت شبکه مفید باشد چندین دلیل عمده دارد. نخست اینکه تمامی دسترسی‌ها به اینترنت از طریق فایروال انجام نمی‌گیرد و دیگر آن که تمامی تهدیدات محدود به خارج فایروال نیست، برخی تهدیدات در فضای درونی شبکه به وقوع می‌پیوندند. علاوه بر آن فایروال امنیت کمتری در برابر حملات با نرم‌افزارهای مختلف (Java Applet,Virus programm) به داده‌ها واطلاعات سازمان‌ها، دارد.

به زبان ساده هانی‌پات یک سیستم حاوی اطلاعات کاذب متصل به شبکه و یا اینترنت است که از روی عمد در شبکه قرار می‌گیرد تا به عنوان یک تله عمل کرده مورد تهاجم  هکر‌ها یا نفوذگر‌ها قرار بگیرد ودر این حین  اطلاعاتی از نحوه‌ی ورود آنها به شبکه و اهدافی که در شبکه دنبال می‌کنند جمع آوری کند.

 

honeypot

ناکارآمدی فایروالها

برای تامین امنیت شبکه فایروال اولین چیزی است که باید به کارگرفته شود ولی هرگز برای رسیدن به امنیت کامل به تنهایی کافی نمی‌باشد. فایروال‌ها معمولا سیستم هایی هستند که با تعریف یک سری قوانین، ورود وخروج بسته‌ها را کنترل می‌کنند. به وسیله هانی‌پات می‌توان بسته‌هایی که یک فایروال اجازه ورود و خروج را به آنها می‌دهد، دوباره مورد بازبینی قرار داد. به عنوان نمونه اگر فایروالی اجازه ترافیک ورودی وخروجی روی پورت ۸۰ را بدهد (که اغلب این پورت برای استفاده از سرویس HTTP باز است) ویروسی مانند Red Code به راحتی می‌تواند روی این پورت باز اتصالات متوالی را برای اشغال مسیر ارتباطی و از کار انداختن سرویس وب ایجاد کند،که این معمولا از نظر فایروالها مشکلی ندارد و اجازه برقراری چنین ارتباطی داده می‌شود. پس عملا فایروال‌ها ناکارآمد هستند.

 

نحوه‌ی کار هانی‌پات

هانی‌پات‌ها مشابه یک سیستم قربانی در برابر نفوذگر رفتار می‌کنند اما در عین حال بدون آگاه نمودن نفوذگر با انواع روش‌های کنترلی و ثبت و ضبط داده او را تحت نظردارند. این اطلاعات ثبت شده و بعدا جهت آنالیز می‌توانند مورد استفاده قرار گیرند و از آنها برای یادگیری روش‌های مختلف حملات و نفوذها بهره برد. فرق آن با سایر سیستم‌ها و فناوری‌های امنیتی مشابه در عملکرد سریعتر و بهینه آن است.قرار نیست تا دوباره سناریو‌های فایروال و سیستم‌های تشخیص نفود متداول تکرار شود. همگی این روش‌ها به دلیل حجم بالا و غیرصحیح داده تولیدی ناکارآمد به حساب می‌آیند. هانی‌پات مانند فایروال تنها به شناسایی حملات شناخته شده محدودنیست و این از ویژگی‌های منحصربفرد یک هانی‌پات است که روشهای جدید نفوذ را کشف کند.

هانی‌پات‌ تکنولوژی جدید است که به صورت یک نمود جدید در مباحث امنیت شبکه نخستین بار در کتابی از Cliff Stoll به نام The Cuckoo’s Egg ” و نیز در مقاله‌ای از Bill Cheswick با عنوان ” An Evening with Berferd “مطرح گردید. از آن زمان به بعد هانی‌پات‌ها به عنوان ابزاری قدرتمند در امنیت شروع به ارتقا یافتند.

بر خلاف Firewall یا IDS، هانی‌پات قرار نیست تا مشکلی بخصوص و معین را حل کند بلکه با انعطاف پذیری بسیار بالا قادر است از حملات IPv6 گرفته تا انواع روش‌های فریب و تقلب در کارت‌های اعتباری را شناسایی کند.

 

مزیت‌های یک هانی‌پات

هانی‌پات مجموعه‌هایی کوچک  ولی با ارزش از داده‌ها را جمع آوری می‌کند و در واقع به جای اینکه مانند خیلی از ابزارهای امنیتی ۱GB داده را در روز log کند به مقادیر بسیار کمتر ۱MB و به جای ۱۰۰۰۰اخطار (Alert) روزانه به ۱۰تا بسنده می‌کند. هانی‌پات تنها فعالیت‌های مشکوک را ضبط می‌کند بنابراین با جمع آوری داده‌ها در اندازه کمتر noise داده‌ها را کاهش داده در عوض ارزش آنها را  بالا می‌برد. نتیجه اینکه این داده‌ها راحتتر آنالیز و جمع آوری می‌شوند.

هانی‌پات طوری طراحی می‌گردد که می‌تواند هر چیزی از جمله ابزار‌ها و تاکتیک‌های جدیدی که نفوذگر به کار می‌برد و قبلا هرگز دیده نشده است را به دام بیندازد.

هانی‌پات‌ها برای فعالیت به حداقلی از منابع وابسته‌اند. یعنی با یک کامپیوتر Pentium پایین و حداقل RAM128 قادرند با شبکه‌ای از کلاسB با OC-12 به خوبی کار کنند. برخلاف بسیاری از تکنولوژی‌ها مانند IDS، هانی‌پات‌‌ها به خوبی با محیط‌های رمزنگاری شده یا IPv6 کار می‌کنند.

هانی‌پات‌ها از لحاظ مفهومی بسیار ساده هستند. در آن‌ها از الگوریتم‌های پیچیده و نگهداری جداول حالت و یا به روز رسانی امضا خبری نیست. هر چه تکنولوژی ساده‌تر و آسانتر باشد کمتر نیز دچار خطا و تنظیم اشتباه خواهد شد.

 

معایب یک هانی‌پات

هانی‌پات‌ها تنها می‌توانند تحرکاتی را دنبال و شناسایی کنند که مستقیما با سیستم خودشان درگیرند. به عبارتی قادر نیستند حملات به سایر سیستم‌ها را شناسایی کنند.

هر تکنولوژی امنیتی با ریسک همراه است. در Firewalls ممکن است به داخل آن‌ها رخنه شود و رمزگذاری‌ها شکسته شوند. حسگرهای تشخیص و جلوگیری از نفوذ در شناسایی حملات ممکن است شکست بخورند، هانی‌پات‌ها هم از این قاعده مستثناء نیستند.

این خطر وجود دارد که یک هانی‌پات به عنوان ابزاری توسط نفوذگر جهت خرابی به کار گرفته بشود. البته انواع هانی‌پات‌ها درجات ریسک پذیری متفاوتی دارند.

 

انواع هانی‌پات

هانی‌پات‌ها در شکل‌ها و اندازه‌های گوناگونی بوجود آمده اند. دو دسته بندی عمومی در مورد آن‌ها موجود است.این دسته بندی به ما کمک می‌کند که دریابیم در هر مورد با چه نوعی از هانی‌پات‌ها و با چه درجه‌ای از قدرت و ضعف‌ها سر وکار داریم. نوع تعامل‌ها سطحی از تحرکات را برای نفوذگر تعریف می‌کند.

  • هانی‌پاتهای کم ‌تعامل:

این نوع هانی‌پات‌ها تعامل محدودی را برقرار می‌کنند. آن‌ها معمولا با سرویس‌ها و سیستم عامل‌های شبیه سازی شده (emulated services and O.S) کار می‌کنند. فعالیت نفوذگر از طریق سطح Emulation به وسیله‌ی هانی‌پات‌ها محدود می‌شود. بعنوان مثال یک سرویس FTP شبیه سازی شده که روی پورت ۲۱ لیست می‌گردد (سرویس می‌دهد)، ممکن است تنها در سامانه‌ی ورود FTP یا خط‌های فرمان خاصی از مجموعه فرامین FTP را ارائه دهد.

مزیت هانی‌پات کم تعامل سادگی عملکرد آن‌ است. به کارگرفتن و نگهداری آن‌ها به راحتی صورت می‌گیرد و حداقل ریسک ممکنه را سبب می‌شوند. تمام چیزی که در مورد این دسته از هانی‌پات با آن مواجهیم شامل نصب نرم‌افزار هانی‌پات و انتخاب سیستم عامل و سرویسی که قرار است شبیه‌سازی و مدیریت گردد، خواهد بود. نگرش Plug&play به‌کارگیری این نوع از هانی‌پات را برای یک سازمان بسیار آسان نموده است. در واقع نفوذگر هیچگاه به یک سیستم عامل واقعی برای حمله به سایر سیستم‌ها دسترسی نخواهد یافت.

مشکل اساسی هانی‌پاتهای کم ‌تعامل ثبت اطلاعات محدود و به دام انداختن فعالیت‌هایی است که قبلا شناخته و شناسایی شده‌اند. علاوه بر آن نفوذگران خیلی راحتر قادر به شناسایی این نوع هانی‌پاتها هستند و این موضوع که چه اندازه شبیه‌سازی خوب صورت گرفته باشد اهمیتی ندارد چرا که یک نفوذگر ماهر سرانجام وجود آن را حس خواهد کرد. از نمونه‌های موجود هانی‌پاتهای کم ‌تعامل می‌توان از Specter، Honeyed و  KFSensor نام برد.

  • هانی‌پاتهای پرتعامل:

ساختار این نوع هانی‌پات‌ها متفاوت با نوع قبلی است چرا که به خاطر سروکار داشتنشان با سیستم عامل و برنامه‌های کاربردی واقعی، راه حل‌های پیچیده‌تری به شمار می‌روند. در اینجا دیگر چیزی شبیه‌سازی نمی‌شود و همه چیز به صورت واقعی در اختیار نفوذگر است. اگر به فرض یک هانی‌پات لینوکسی را همراه یک FTP Server بروی آن می‌خواهید، باید یک سیستم لینوکسی واقعی به اضافه‌ی یک FTP Server واقعی را سازماندهی کنید. دو مزیتی که در این حالت وجود دارد یکی این است که شما را قادر می‌سازد تا اطلاعاتی غنی به دست آورید. چرا که یک سیستم واقعی را برای تعامل در اختیار نفوذگر گذاشته اید پس می‌توانید اطلاعات کاملی از طرز عملکرد آنها، rootkits جدید تا International IRC sessions را از آنها یاد بگیرید. مزیت دوم این است که در مورد رفتار نفوذگر گمانه زنی نمی‌کنند، بلکه یک محیط واقعی را برای فعالیت او در اختیارش می‌گذارند و رفتار‌هایی که تا کنون انتظار نمی‌رفته است را هانی‌پات یاد خواهد گرفت.

البته این خطر که نفوذگر هانی‌پات را جهت نفوذ به سایر سیستم‌ها در اختیار خود درآورد هم وجود دارد که تکنولوژی‌های تکمیلی جدیدی به‌وجود آمده‌اند تا مانع این مشکل شوند.

 

قابلیت‌های هانی‌پات‌ها

با توجه به دسته بندی عمومی هانی‌پات‌ها به دو گونه نیز می‌توان از آنها بهره جست. یکی برای اهداف تولیدی و دیگری تحقیقاتی.

زمانی که به عنوان اهداف محصول محور در نظر گرفته شوند، قرار است که از یک تشکیلات یا سازمان حفاظت کنند. در این حالت وظیفه‌ی هانی‌پات‌ شامل جلوگیری از حمله و تشخیص و یاری رساندن به سازمان برای پاسخگویی به حمله است. زمانی که تحقیقاتی محور مورد استفاده قرار گیرند هانی‌پات‌ها بیشتر جهت جمع آوری اطلاعات به کار خواهند رفت. ارزش این اطلاعات برای سازمان‌های مختلف متفاوت است. برخی تمایل دارند روی انگیزه‌های فعالیت نفوذگران مطالعه کنند در حالی که عده‌ای ممکن است تمایل به دانستن چگونگی پیش‌بینی و یا اخطار زود هنگام یک حمله داشته باشند. معمولا Low- Interaction هانی‌پات‌ها برای مقاصد تولیدی و High -Interaction هانی‌پات‌ها بیشتر برای اهداف تحقیقاتی کاربرد دارند. در عین حال هر نوع هانی قابلیت به کارگیری برای هر یک از این اهداف را دارد.

زمانی که برای مقاصد تولیدی به کار روند به سه طریق می‌توانند از سازمان محافظت کنند: پیشگیری، تشخیص و پاسخگویی.

  • پیشگیری:

هانی‌پاتها به چندین روش می‌توانند جلوی حمله را بگیرند. در برابر حملات خودکار(Automated Attacks)، مانند کرم‌ها(worms) و یا auto-rooters. اینگونه حملات براساس اسکن کردن کل شبکه به وسیله‌ی ابزارهای خاصی به منظور یافتن سیستم آسیب پذیر بصورت random است. زمانی که سیستم آسیب پذیر یافت شد آن ابزار حمله کرده و سیستم قربانی را در اختیار خود می‌گیرد (در مورد کرم‌ها به وسیله self-replicating، نسخه‌هایی از خود را در ماشین قربانی کپی می‌کنند). یکی از طرقی که هانی‌پاتها می‌توانند جلوی چنین حملاتی را بگیرند از طریق آهسته کردن روند اسکن و یا حتی توقف این ابزارهاست. این راه حل، هانی‌پات‌ چسبان نام دارد. این روش هانی‌پات فضایIP بلااستفاده را مدام مانیتور می‌کند و هنگامی که یک چنین فعالیتی را جهت اسکن شبکه کشف کرد، وارد عمل شده وضمن برقراری تعامل با این نفوذ، سرعت آن را کم می‌کند. نمونه‌ای از هانی‌پات‌های چسبان، LaBrea Tarpit نام دارد و در کل نیز هانی‌پات‌های چسبان جزء دسته‌ی هانی‌پات‌های کم تعامل حساب می‌شوند.

هانی‌پات‌ها می‌توانند در برابر حملات انسانی هم سازمان شما را حفظ کنند. ایده‌ی اصلی در گمراه کردن و ترساندن است. یعنی نفوذگر به قدری گیج و سرگردان شود که تمامی وقت و منابع خود را در طی محاوره سرآیند دهد. در چنین حالتی  وقت می‌یابید تا فعالیت نفوذگر را تشخیص داده به آن‌ها پاسخ دهید یا حتی متوقف کنید.

از طرفی وقتی که نفوذگر بداند سازمان شما هانی‌پات به کار گرفته است دچار نگرانی است که کدام سیستم هانی‌پات و کدام سیستم واقعی است، پس از احتمال گیر افتادن بوسیله هانی‌پات ممکن است به یک چنین سازمانی حمله نکند. پس هانی‌پات توانسته به نوعی نفوذگر را بترساند. نمونه‌ای از این هانی‌پات، Deception Toolkit (جزء هانی‌پات‌های کم تعامل) است.

  • تشخیص:

دومین راهی که هانی‌پات می‌تواند به شما در راستای حفاظت سازمانی کمک کند از طریق تشخیص است.تشخیص همواره امری پیچیده به شمار می‌آید. هدف شناسایی خرابی یا به بن‌بست خوردن راه‌های پیشگیری است. صرفنظر از اینکه چه قدر سازمانی دارای امنیت باشد همواره احتمال موجود بودن خرابی است. به وسیله‌ی تشخیص به موقع شما می‌توانید سریعا به آن پاسخ داده یا آن را متوقف کرده وجلوی خرابی‌های بیشتر را بگیرید.

ثابت شده است که تکنولوژی هایی مانند تشخیص نفوذ و لاگینگ جهت پیشگیری موثر نیستند. آنها مجموعه‌های حجیمی از داده‌ها را تولید کرده و درصد بالایی از خطاهای مثبت نادرست را تولید می‌کنند. توانایی تشخیص حملات جدید را ندارند و در محیط‌های رمزگذاری شده و IPv6 قادر به کار نیستند. هانی‌پات‌ها به وسیله‌ی جمع‌آوری مجموعه‌های کوچک اما با ارزشی از داده‌ها تعداد خطاهای مثبت را کاهش می‌دهند و علاوه بر آن انواع حملات جدید را قادرند ثبت کنند.

  • پاسخگویی:

آخرین روش کمک که یک هانی‌پات‌ به شما در حفاظت سازمانتان به وسیله‌ی پاسخگویی است. موقعی که خرابی تشخیص داده شد چگونه می‌توان در برابر آن واکنش داد؟ این حالت می‌تواند بزرگترین چالش برای سازمانی به حساب آید. معمولا در این موقعیت‌ها اطلاعات کمی در مورد هویت و چگونگی ورود نفوذگر و میزان خرابی به بار آمده، موجود است. و نیز در یک چنین شرایطی به دست آوردن جزئیات تحرکات نفوذگر نیز بسیار مشکل می‌شود. دو مساله در هنگام بروز پاسخ به چنین حملاتی رخ می‌دهد. اگر سیستم‌های تولیدی مانند mail servers سازمان به وسیله‌ی نفوذگر هک شد، خبرگان امنیت نیز قادرنیستند سیستم را از سرویس خارج ساخته و آنالیز درستی در مورد آن انجام دهند در عوض مجبور می‌شوند در حالی که درحال سرویس دهی است به طور برخط آنالیز انجام دهند. این وضعیت توانایی ما را برای اینکه بدانیم چه اتفاقی رخ داده است و چه مقدار صدمه بوسیله نفوذگر بوجود آمده است را بسیارمحدود می‌کند. مساله‌ی دیگر اینکه حتی اگر قادر باشیم سیستم را آفلاین کنیم، مقادیر داده هایی که باید بررسی شود به قدری حجیم است که عملا از اینکه نفوذگر چه عملی انجام داده است غافل می‌مانیم. به عبارت دیگر بررسی تمامی فعالیت‌ها (شناسه ورود کاربر، خواندن حساب ایمیل‌ها و فایل هایی که در پایگاه داده نوشته و ثبت شده اند و غیره…) برای پی بردن به فعالیت روزانه و هویت نفوذگر، بسیار مشکل خواهد بود. هانی‌پات می‌تواند در برخورد با هر دو مساله به ما کمک کند.

هانی‌پات ابزار بسیار خوبی است به طوریکه براحتی و به سرعت برای آنالیز قرار گرفتن، آفلاین شده و در عین حال روی عملیات کاری روزانه‌ی سایر سیسستم‌ها نیز تاثیری نخواهد گذاشت. همچنین توجه داریم که هانی‌پات تنها فعالیت‌های بدون مجوز و مشکوک را ثبت می‌کند. به نسبت آنالیز یک سیستم تولیدی که هک شده است، هانی‌پاتها خیلی راحتر آنالیز می‌شوند چرا که بسیار محتمل است هر داده‌ای که از هانی‌پات بازیابی شده باشد مربوط به یک نفوذگر باشد. قابلیت‌های هانی‌پات با در اختیار گذاشتن اطلاعاتی همراه جزئیات کامل به سازمان و تشکیلات شما امکان برخورد سریع و موثرتر در برابر نفوذگر را خواهد داد. عموما هانی‌پات‌های پر تعامل بهترین راه حل درمورد مساله‌ی پاسخگویی به حملات است. برای برخورد با یک نفوذگر شما نیاز به دانش با جزئیات کامل خواهید داشت تا دقیقا بدانید که او چه کرده است، چگونه وارد شده است و چه ابزاری را به کار برده است. برای چنین داده هایی نیازمند استفاده از قابلیت هایی هستید که هانی‌پات‌های پر تعامل عرضه کرده‌اند. هانی‌پات‌های تحقیقاتی بسیار قدرتمندند نه فقط به خاطر اینکه از سازمان شما محافظت کنند بلکه به خاطر در اختیار گذاشتن اطلاعات وسیعی پیرامون تهدیدات احتمالی که تکنولوژی‌های کمی قادر به انجام آن هستند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *