یکی از موثرترین ابزارهای محافطت از شبکه هانیپات است که متخصصین برای برخورد با هکرها و شناسایی و به دام انداختن آنها از آن استفاده میکنند. هانیپات چنانچه از نام آن نیز بر میآید مانند یک ظرف عسل و مثل یک طعمه عمل میکند و نفوذگر را با مهیا ساختن امکاناتی که به دنبال آن است، (مانند FTP سرور و سیستمهای آسیب پذیر دیگر ) به سوی خود جذب میکند. نظیر به کنترل گرفتن یک سیستم در حملات معروف به زامبی که طی آنها نفوذگران از یک سیستم آسیبپذیر به عنوان ابزاری جهت انتشار کدهای مخرب و آسیب رساندن به سایر سیستمها استفاده میکنند.
اگر یک نفوذگر از سیستمهای تشخیص نفوذ مربوط به شبکه یا سیستم میزبان و یا فایروالها عبور کرد، متوجه نخواهد شد که گرفتار یک هانیپات شده است وخرابکاری خود را روی آن سیستم انجام میدهد.
این که چرا یک فایروال همواره نمیتواند برای امنیت شبکه مفید باشد چندین دلیل عمده دارد. نخست اینکه تمامی دسترسیها به اینترنت از طریق فایروال انجام نمیگیرد و دیگر آن که تمامی تهدیدات محدود به خارج فایروال نیست، برخی تهدیدات در فضای درونی شبکه به وقوع میپیوندند. علاوه بر آن فایروال امنیت کمتری در برابر حملات با نرمافزارهای مختلف (Java Applet,Virus programm) به دادهها واطلاعات سازمانها، دارد.
به زبان ساده هانیپات یک سیستم حاوی اطلاعات کاذب متصل به شبکه و یا اینترنت است که از روی عمد در شبکه قرار میگیرد تا به عنوان یک تله عمل کرده مورد تهاجم هکرها یا نفوذگرها قرار بگیرد ودر این حین اطلاعاتی از نحوهی ورود آنها به شبکه و اهدافی که در شبکه دنبال میکنند جمع آوری کند.
ناکارآمدی فایروالها
برای تامین امنیت شبکه فایروال اولین چیزی است که باید به کارگرفته شود ولی هرگز برای رسیدن به امنیت کامل به تنهایی کافی نمیباشد. فایروالها معمولا سیستم هایی هستند که با تعریف یک سری قوانین، ورود وخروج بستهها را کنترل میکنند. به وسیله هانیپات میتوان بستههایی که یک فایروال اجازه ورود و خروج را به آنها میدهد، دوباره مورد بازبینی قرار داد. به عنوان نمونه اگر فایروالی اجازه ترافیک ورودی وخروجی روی پورت ۸۰ را بدهد (که اغلب این پورت برای استفاده از سرویس HTTP باز است) ویروسی مانند Red Code به راحتی میتواند روی این پورت باز اتصالات متوالی را برای اشغال مسیر ارتباطی و از کار انداختن سرویس وب ایجاد کند،که این معمولا از نظر فایروالها مشکلی ندارد و اجازه برقراری چنین ارتباطی داده میشود. پس عملا فایروالها ناکارآمد هستند.
نحوهی کار هانیپات
هانیپاتها مشابه یک سیستم قربانی در برابر نفوذگر رفتار میکنند اما در عین حال بدون آگاه نمودن نفوذگر با انواع روشهای کنترلی و ثبت و ضبط داده او را تحت نظردارند. این اطلاعات ثبت شده و بعدا جهت آنالیز میتوانند مورد استفاده قرار گیرند و از آنها برای یادگیری روشهای مختلف حملات و نفوذها بهره برد. فرق آن با سایر سیستمها و فناوریهای امنیتی مشابه در عملکرد سریعتر و بهینه آن است.قرار نیست تا دوباره سناریوهای فایروال و سیستمهای تشخیص نفود متداول تکرار شود. همگی این روشها به دلیل حجم بالا و غیرصحیح داده تولیدی ناکارآمد به حساب میآیند. هانیپات مانند فایروال تنها به شناسایی حملات شناخته شده محدودنیست و این از ویژگیهای منحصربفرد یک هانیپات است که روشهای جدید نفوذ را کشف کند.
هانیپات تکنولوژی جدید است که به صورت یک نمود جدید در مباحث امنیت شبکه نخستین بار در کتابی از Cliff Stoll به نام “ The Cuckoo’s Egg ” و نیز در مقالهای از Bill Cheswick با عنوان ” An Evening with Berferd “مطرح گردید. از آن زمان به بعد هانیپاتها به عنوان ابزاری قدرتمند در امنیت شروع به ارتقا یافتند.
بر خلاف Firewall یا IDS، هانیپات قرار نیست تا مشکلی بخصوص و معین را حل کند بلکه با انعطاف پذیری بسیار بالا قادر است از حملات IPv6 گرفته تا انواع روشهای فریب و تقلب در کارتهای اعتباری را شناسایی کند.
مزیتهای یک هانیپات
هانیپات مجموعههایی کوچک ولی با ارزش از دادهها را جمع آوری میکند و در واقع به جای اینکه مانند خیلی از ابزارهای امنیتی ۱GB داده را در روز log کند به مقادیر بسیار کمتر ۱MB و به جای ۱۰۰۰۰اخطار (Alert) روزانه به ۱۰تا بسنده میکند. هانیپات تنها فعالیتهای مشکوک را ضبط میکند بنابراین با جمع آوری دادهها در اندازه کمتر noise دادهها را کاهش داده در عوض ارزش آنها را بالا میبرد. نتیجه اینکه این دادهها راحتتر آنالیز و جمع آوری میشوند.
هانیپات طوری طراحی میگردد که میتواند هر چیزی از جمله ابزارها و تاکتیکهای جدیدی که نفوذگر به کار میبرد و قبلا هرگز دیده نشده است را به دام بیندازد.
هانیپاتها برای فعالیت به حداقلی از منابع وابستهاند. یعنی با یک کامپیوتر Pentium پایین و حداقل RAM128 قادرند با شبکهای از کلاسB با OC-12 به خوبی کار کنند. برخلاف بسیاری از تکنولوژیها مانند IDS، هانیپاتها به خوبی با محیطهای رمزنگاری شده یا IPv6 کار میکنند.
هانیپاتها از لحاظ مفهومی بسیار ساده هستند. در آنها از الگوریتمهای پیچیده و نگهداری جداول حالت و یا به روز رسانی امضا خبری نیست. هر چه تکنولوژی سادهتر و آسانتر باشد کمتر نیز دچار خطا و تنظیم اشتباه خواهد شد.
معایب یک هانیپات
هانیپاتها تنها میتوانند تحرکاتی را دنبال و شناسایی کنند که مستقیما با سیستم خودشان درگیرند. به عبارتی قادر نیستند حملات به سایر سیستمها را شناسایی کنند.
هر تکنولوژی امنیتی با ریسک همراه است. در Firewalls ممکن است به داخل آنها رخنه شود و رمزگذاریها شکسته شوند. حسگرهای تشخیص و جلوگیری از نفوذ در شناسایی حملات ممکن است شکست بخورند، هانیپاتها هم از این قاعده مستثناء نیستند.
این خطر وجود دارد که یک هانیپات به عنوان ابزاری توسط نفوذگر جهت خرابی به کار گرفته بشود. البته انواع هانیپاتها درجات ریسک پذیری متفاوتی دارند.
انواع هانیپات
هانیپاتها در شکلها و اندازههای گوناگونی بوجود آمده اند. دو دسته بندی عمومی در مورد آنها موجود است.این دسته بندی به ما کمک میکند که دریابیم در هر مورد با چه نوعی از هانیپاتها و با چه درجهای از قدرت و ضعفها سر وکار داریم. نوع تعاملها سطحی از تحرکات را برای نفوذگر تعریف میکند.
- هانیپاتهای کم تعامل:
این نوع هانیپاتها تعامل محدودی را برقرار میکنند. آنها معمولا با سرویسها و سیستم عاملهای شبیه سازی شده (emulated services and O.S) کار میکنند. فعالیت نفوذگر از طریق سطح Emulation به وسیلهی هانیپاتها محدود میشود. بعنوان مثال یک سرویس FTP شبیه سازی شده که روی پورت ۲۱ لیست میگردد (سرویس میدهد)، ممکن است تنها در سامانهی ورود FTP یا خطهای فرمان خاصی از مجموعه فرامین FTP را ارائه دهد.
مزیت هانیپات کم تعامل سادگی عملکرد آن است. به کارگرفتن و نگهداری آنها به راحتی صورت میگیرد و حداقل ریسک ممکنه را سبب میشوند. تمام چیزی که در مورد این دسته از هانیپات با آن مواجهیم شامل نصب نرمافزار هانیپات و انتخاب سیستم عامل و سرویسی که قرار است شبیهسازی و مدیریت گردد، خواهد بود. نگرش Plug&play بهکارگیری این نوع از هانیپات را برای یک سازمان بسیار آسان نموده است. در واقع نفوذگر هیچگاه به یک سیستم عامل واقعی برای حمله به سایر سیستمها دسترسی نخواهد یافت.
مشکل اساسی هانیپاتهای کم تعامل ثبت اطلاعات محدود و به دام انداختن فعالیتهایی است که قبلا شناخته و شناسایی شدهاند. علاوه بر آن نفوذگران خیلی راحتر قادر به شناسایی این نوع هانیپاتها هستند و این موضوع که چه اندازه شبیهسازی خوب صورت گرفته باشد اهمیتی ندارد چرا که یک نفوذگر ماهر سرانجام وجود آن را حس خواهد کرد. از نمونههای موجود هانیپاتهای کم تعامل میتوان از Specter، Honeyed و KFSensor نام برد.
- هانیپاتهای پرتعامل:
ساختار این نوع هانیپاتها متفاوت با نوع قبلی است چرا که به خاطر سروکار داشتنشان با سیستم عامل و برنامههای کاربردی واقعی، راه حلهای پیچیدهتری به شمار میروند. در اینجا دیگر چیزی شبیهسازی نمیشود و همه چیز به صورت واقعی در اختیار نفوذگر است. اگر به فرض یک هانیپات لینوکسی را همراه یک FTP Server بروی آن میخواهید، باید یک سیستم لینوکسی واقعی به اضافهی یک FTP Server واقعی را سازماندهی کنید. دو مزیتی که در این حالت وجود دارد یکی این است که شما را قادر میسازد تا اطلاعاتی غنی به دست آورید. چرا که یک سیستم واقعی را برای تعامل در اختیار نفوذگر گذاشته اید پس میتوانید اطلاعات کاملی از طرز عملکرد آنها، rootkits جدید تا International IRC sessions را از آنها یاد بگیرید. مزیت دوم این است که در مورد رفتار نفوذگر گمانه زنی نمیکنند، بلکه یک محیط واقعی را برای فعالیت او در اختیارش میگذارند و رفتارهایی که تا کنون انتظار نمیرفته است را هانیپات یاد خواهد گرفت.
البته این خطر که نفوذگر هانیپات را جهت نفوذ به سایر سیستمها در اختیار خود درآورد هم وجود دارد که تکنولوژیهای تکمیلی جدیدی بهوجود آمدهاند تا مانع این مشکل شوند.
قابلیتهای هانیپاتها
با توجه به دسته بندی عمومی هانیپاتها به دو گونه نیز میتوان از آنها بهره جست. یکی برای اهداف تولیدی و دیگری تحقیقاتی.
زمانی که به عنوان اهداف محصول محور در نظر گرفته شوند، قرار است که از یک تشکیلات یا سازمان حفاظت کنند. در این حالت وظیفهی هانیپات شامل جلوگیری از حمله و تشخیص و یاری رساندن به سازمان برای پاسخگویی به حمله است. زمانی که تحقیقاتی محور مورد استفاده قرار گیرند هانیپاتها بیشتر جهت جمع آوری اطلاعات به کار خواهند رفت. ارزش این اطلاعات برای سازمانهای مختلف متفاوت است. برخی تمایل دارند روی انگیزههای فعالیت نفوذگران مطالعه کنند در حالی که عدهای ممکن است تمایل به دانستن چگونگی پیشبینی و یا اخطار زود هنگام یک حمله داشته باشند. معمولا Low- Interaction هانیپاتها برای مقاصد تولیدی و High -Interaction هانیپاتها بیشتر برای اهداف تحقیقاتی کاربرد دارند. در عین حال هر نوع هانی قابلیت به کارگیری برای هر یک از این اهداف را دارد.
زمانی که برای مقاصد تولیدی به کار روند به سه طریق میتوانند از سازمان محافظت کنند: پیشگیری، تشخیص و پاسخگویی.
- پیشگیری:
هانیپاتها به چندین روش میتوانند جلوی حمله را بگیرند. در برابر حملات خودکار(Automated Attacks)، مانند کرمها(worms) و یا auto-rooters. اینگونه حملات براساس اسکن کردن کل شبکه به وسیلهی ابزارهای خاصی به منظور یافتن سیستم آسیب پذیر بصورت random است. زمانی که سیستم آسیب پذیر یافت شد آن ابزار حمله کرده و سیستم قربانی را در اختیار خود میگیرد (در مورد کرمها به وسیله self-replicating، نسخههایی از خود را در ماشین قربانی کپی میکنند). یکی از طرقی که هانیپاتها میتوانند جلوی چنین حملاتی را بگیرند از طریق آهسته کردن روند اسکن و یا حتی توقف این ابزارهاست. این راه حل، هانیپات چسبان نام دارد. این روش هانیپات فضایIP بلااستفاده را مدام مانیتور میکند و هنگامی که یک چنین فعالیتی را جهت اسکن شبکه کشف کرد، وارد عمل شده وضمن برقراری تعامل با این نفوذ، سرعت آن را کم میکند. نمونهای از هانیپاتهای چسبان، LaBrea Tarpit نام دارد و در کل نیز هانیپاتهای چسبان جزء دستهی هانیپاتهای کم تعامل حساب میشوند.
هانیپاتها میتوانند در برابر حملات انسانی هم سازمان شما را حفظ کنند. ایدهی اصلی در گمراه کردن و ترساندن است. یعنی نفوذگر به قدری گیج و سرگردان شود که تمامی وقت و منابع خود را در طی محاوره سرآیند دهد. در چنین حالتی وقت مییابید تا فعالیت نفوذگر را تشخیص داده به آنها پاسخ دهید یا حتی متوقف کنید.
از طرفی وقتی که نفوذگر بداند سازمان شما هانیپات به کار گرفته است دچار نگرانی است که کدام سیستم هانیپات و کدام سیستم واقعی است، پس از احتمال گیر افتادن بوسیله هانیپات ممکن است به یک چنین سازمانی حمله نکند. پس هانیپات توانسته به نوعی نفوذگر را بترساند. نمونهای از این هانیپات، Deception Toolkit (جزء هانیپاتهای کم تعامل) است.
- تشخیص:
دومین راهی که هانیپات میتواند به شما در راستای حفاظت سازمانی کمک کند از طریق تشخیص است.تشخیص همواره امری پیچیده به شمار میآید. هدف شناسایی خرابی یا به بنبست خوردن راههای پیشگیری است. صرفنظر از اینکه چه قدر سازمانی دارای امنیت باشد همواره احتمال موجود بودن خرابی است. به وسیلهی تشخیص به موقع شما میتوانید سریعا به آن پاسخ داده یا آن را متوقف کرده وجلوی خرابیهای بیشتر را بگیرید.
ثابت شده است که تکنولوژی هایی مانند تشخیص نفوذ و لاگینگ جهت پیشگیری موثر نیستند. آنها مجموعههای حجیمی از دادهها را تولید کرده و درصد بالایی از خطاهای مثبت نادرست را تولید میکنند. توانایی تشخیص حملات جدید را ندارند و در محیطهای رمزگذاری شده و IPv6 قادر به کار نیستند. هانیپاتها به وسیلهی جمعآوری مجموعههای کوچک اما با ارزشی از دادهها تعداد خطاهای مثبت را کاهش میدهند و علاوه بر آن انواع حملات جدید را قادرند ثبت کنند.
- پاسخگویی:
آخرین روش کمک که یک هانیپات به شما در حفاظت سازمانتان به وسیلهی پاسخگویی است. موقعی که خرابی تشخیص داده شد چگونه میتوان در برابر آن واکنش داد؟ این حالت میتواند بزرگترین چالش برای سازمانی به حساب آید. معمولا در این موقعیتها اطلاعات کمی در مورد هویت و چگونگی ورود نفوذگر و میزان خرابی به بار آمده، موجود است. و نیز در یک چنین شرایطی به دست آوردن جزئیات تحرکات نفوذگر نیز بسیار مشکل میشود. دو مساله در هنگام بروز پاسخ به چنین حملاتی رخ میدهد. اگر سیستمهای تولیدی مانند mail servers سازمان به وسیلهی نفوذگر هک شد، خبرگان امنیت نیز قادرنیستند سیستم را از سرویس خارج ساخته و آنالیز درستی در مورد آن انجام دهند در عوض مجبور میشوند در حالی که درحال سرویس دهی است به طور برخط آنالیز انجام دهند. این وضعیت توانایی ما را برای اینکه بدانیم چه اتفاقی رخ داده است و چه مقدار صدمه بوسیله نفوذگر بوجود آمده است را بسیارمحدود میکند. مسالهی دیگر اینکه حتی اگر قادر باشیم سیستم را آفلاین کنیم، مقادیر داده هایی که باید بررسی شود به قدری حجیم است که عملا از اینکه نفوذگر چه عملی انجام داده است غافل میمانیم. به عبارت دیگر بررسی تمامی فعالیتها (شناسه ورود کاربر، خواندن حساب ایمیلها و فایل هایی که در پایگاه داده نوشته و ثبت شده اند و غیره…) برای پی بردن به فعالیت روزانه و هویت نفوذگر، بسیار مشکل خواهد بود. هانیپات میتواند در برخورد با هر دو مساله به ما کمک کند.
هانیپات ابزار بسیار خوبی است به طوریکه براحتی و به سرعت برای آنالیز قرار گرفتن، آفلاین شده و در عین حال روی عملیات کاری روزانهی سایر سیسستمها نیز تاثیری نخواهد گذاشت. همچنین توجه داریم که هانیپات تنها فعالیتهای بدون مجوز و مشکوک را ثبت میکند. به نسبت آنالیز یک سیستم تولیدی که هک شده است، هانیپاتها خیلی راحتر آنالیز میشوند چرا که بسیار محتمل است هر دادهای که از هانیپات بازیابی شده باشد مربوط به یک نفوذگر باشد. قابلیتهای هانیپات با در اختیار گذاشتن اطلاعاتی همراه جزئیات کامل به سازمان و تشکیلات شما امکان برخورد سریع و موثرتر در برابر نفوذگر را خواهد داد. عموما هانیپاتهای پر تعامل بهترین راه حل درمورد مسالهی پاسخگویی به حملات است. برای برخورد با یک نفوذگر شما نیاز به دانش با جزئیات کامل خواهید داشت تا دقیقا بدانید که او چه کرده است، چگونه وارد شده است و چه ابزاری را به کار برده است. برای چنین داده هایی نیازمند استفاده از قابلیت هایی هستید که هانیپاتهای پر تعامل عرضه کردهاند. هانیپاتهای تحقیقاتی بسیار قدرتمندند نه فقط به خاطر اینکه از سازمان شما محافظت کنند بلکه به خاطر در اختیار گذاشتن اطلاعات وسیعی پیرامون تهدیدات احتمالی که تکنولوژیهای کمی قادر به انجام آن هستند.