Honeypot یک ماشین ویژه در شبکه است که به عنوان طعمه برای نفوذگران استفاده میشود. به طور عمدی بر روی آن سیستم عامل آلوده به یک اسب تروا، درپشتی یا سرویس دهنده های ضعیف و دارای اشکال نصب میشود تا به عنوان یک ماشین قربانی، نفوذگران را به خود جذب کرده و مشغول نگه دارد. همچنین ممکن است بر روی چنین ماشینی اطلاعات غلط و گمراه کننده ای برای به اشتباه انداختن نفوذگر نیز گذاشته شود.
یک سیستم Honeypot عملاً هیچ فایدهای برای مقاصد سرویس دهی ندارد بلکه ماشین فداکاری است که با جذب نفوذگران و گمراه کردن آنها با اطلاعات غلط، از دسترسی به سرویس دهنده های حساس جلوگیری میکند. اطلاعات غلط ممکن است ساعتها یک نفوذگر را معطل کند. در ضمن تشخیص این نکته که سیستم موردنظر آیا واقعاً ضعف دارد یا آنکه یک Honeypot است برای نفوذگر چندان ساده نیست.
Honeynet شبکه ای از Honeypotهاست که به گونه ای تنظیم میشوند که شبیه یک شبکة واقعی به نظر برسند.
Honeypotها به دو دلیل استفاده میشوند :
اول این که نقاط ضعف سیستم را بشناسیم. مدیر سیستم میتواند با مشاهدة تکنیکها و روشهای استفاده شده توسط نفوذگر بفهمد سیستم چگونه شکسته میشود و نقاط آسیب پذیر سیستم را شناسایی و نسبت به ترمیم آنها اقدام کند.
دلیل دوم جمع آوری اطلاعات لازم برای تعقیب و ردگیری نفوذگران است. با توجه به آنکه نفوذگر یک سیستم ضعیف و آسیب پذیر را در شبکه کشف میکند بنابراین تمام تلاشهای بعدی او پیرامون سیستم Honeypot (که یک هدف قلابی است) متمرکز میشود. میتوان یک سیستم تشخیص نفوذ (IDS) را در کنار این سیستم نصب کرد تا تلاشهای نفوذگران برای حمله به این هدف قلابی را گزارش دهد و شما بتوانید این موضوع و مبدا آن را پیگیری کنید.
این در حالی است که Honeypot همزمان از شبکة واقعی در برابر حملات مراقبت میکند.
هدف اصلی یک Honeypot شبیه سازی یک شبکه است که نفوذگران سعی میکنند به آن وارد شوند. اطلاعاتی که بعد از حمله به یک Honeypot به دست می آید، می تواند برای کشف آسیب پذیری های شبکة فعلی و رفع آنها استفاده شود.
Honeypot چه کارهایی میتواند انجام دهد؟
با توجه به این که از یک Honeypot چه میخواهیم، Honeypot میتواند کارهای زیر را انجام دهد :
- فراهم کردن هشدارهایی در مورد حملات در حال انجام
- معطل کردن نفوذگر و دور نگه داشتن او از شبکة واقعی(نفوذگران پس از شناسایی شبکه، به طور معمول از ضعیف ترین و آسیب پذیرترین سیستم در شبکه شروع میکنند. زمانی که آنها صرف کلنجار رفتن با این سیستم قلابی میکنند میتواند یک آسودگی خاطر برای بقیة ماشین ها ایجاد کند.)
- فراهم کردن امکان مونیتورینگ بلادرنگ حملات صورت گرفته
- فراهم کردن اطلاعاتی در مورد جزئیات حمله (اطلاعاتی از قبیل این که نفوذگران چه کسانی هستند، چه میخواهند، سطح مهارت هایشان و ابزارهایی که استفاده میکنند)
- فراهم کردن امکان ردیابی و پیگرد قانونی نفوذگر
همچنین Honeypot مانع انجام کارهای زیر توسط نفوذگر میشود :
- دسترسی به داده های واقعی
- کنترلهای مدیریتی در سطح شبکه
- دستیابی به ترافیک واقعی شبکه
- کنترل بر دیگر ابزارهای متصل به شبکه
با استفاده از مهندسی اجتماعی میتوان Honeypot را جالبتر کرد. هرچه Honeynet شما به شبکة سازمان شما شبیه تر باشد، محیط واقعی تر است و باعث میشود نفوذگران آن را بیشتر باور کنند و حتی نفوذگران حرفهای هم به راحتی فریب بخورند. یک پیشنهاد خوب این است که تعدادی حساب کاربری تعریف کرده و به آنها یک سری دایرکتوری و اسناد اختصاص بدهید، برایشان پست الکترونیکی تعریف کنید، آنها را به لیست های پستی اضافه کنید.
همچنین میتوان توسط این سیستم نفوذگران را فریفت. به عنوان مثال وقتی نفوذگر یک ابزار استراق سمع روی هدف قلابی(سیستم Honeypot) نصب میکند اطلاعات غلط و بیهوده برای او ارسال میشود و او به خیال آن که نفوذش در شبکه واقعی است، ساعتها وقت تلف میکند تا این اطلاعات غلط را تحلیل کند.
به یاد داشته باشید که Honeypotای که مورد حمله واقع نشود به هیچ دردی نمیخورد. بنابراین باید آن را تا حد امکان برای نفوذگر جذاب کنید، البته تا حدی که شک نفوذگران حرفه ای را برنیانگیزد.
هرچقدر یک نفوذگر دفعات بیشتری به Honeypot وصل شود، شما بیشتر به اهداف خود دست می یابید.
برای راه اندازی سیستم های Honeypot راه های زیادی وجود دارد و هم می توان از راهکار های سخت افزاری استفاده کرد و هم راهکار های نرم افزاری که از نمونه های نرم افزاری می توان Spector , Honeyd و KFSensor را نام برد.
محل قرار گرفتن Honeypot در شبکه کجاست ؟
یک Honeypot میتواند در هرجایی که یک سرویس دهنده قادر است قرار بگیرد، واقع شود ولی مطمئناً برخی جاها بهتر از بقیه است.
یک Honeypot با توجه به سرویسهای مورد استفاده میتواند در اینترنت یا اینترانت مورد استفاده قرار گیرد. اگر بخواهیم فعالیتهای خرابکارانة اعضای ناراضی را در شبکة خصوصی کشف کنیم قرار دادن Honeypot در اینترانت مفید است. در اینترانت Honeypot پشت دیوارة آتش قرار میگیرد.
در شبکة اینترنت یک Honeypot میتواند در یکی از محلهای زیر قرار گیرد :
1-جلوی دیواره آتش
2-درون DMZ
هر کدام از این دو مزایا و معایبی دارد که به آن میپردازیم.
با قرار گرفتن Honeypot در جلوی دیوارة آتش، خطر داشتن یک سیستم تحت سیطرة نفوذگر در پشت دیوارة آتش از بین میرود و هیچ خطر اضافی (منتج از نصب Honeypot) متوجه شبکة داخلی نمیشود.
یک Honeypot مقداری ترافیک ناخواسته مثل پویش درگاه یا الگوهای حمله را ایجاد و جذب میکند که با قرار دادن Honeypot در بیرون از دیوارة آتش چنین وقایعی توسط دیوارة آتش ثبت نمیشود و سیستم تشخیص نفوذ داخلی (که در حالت عادی در مواجهه با چنین رخدادهایی هشدار تولید میکند) پیغام هشدار تولید نمیکند.
عیب قرار گرفتن Honeypot جلوی دیوارة آتش این است که نفوذگران داخلی به راحتی فریب نمیخورند، مخصوصاً اگر دیوارة آتش ترافیک خروجی و در نتیجه ترافیک دریافتی Honeypot را محدود کند.
قرار گرفتن Honeypot درون یک DMZ یک راه حل خوب به نظر میرسد به شرطی که امنیت دیگر سیستم های درون DMZ در برابر Honeypot برقرار شود. از آنجایی که فقط سرویس های مورد نیاز اجازة عبور از دیوارة آتش را دارند، دسترسی کامل به اغلب DMZها ممکن نیست. به این دلیل و با توجه به اینکه تنظیم قوانین مرتبط روی دیوارة آتش کاری زمانبر و مخاطرهآمیز است، در چنین حالتی قرار دادن Honeypot جلوی دیوارة آتش مورد توجه قرار میگیرد.
قرار دادن Honeypot پشت دیوارة آتش، میتواند باعث بروز خطرات امنیتی جدیدی در شبکة داخلی شود، مخصوصاً اگر شبکة داخلی توسط دیواره های آتش اضافی در برابر Honeypot ایمن نشده باشد. توجه داشته باشید که اگر Honeypot را پشت یک دیوارة آتش قرار میدهید، باید قوانین دیوارة آتش را طوری تنظیم کنید که دسترسی از اینترنت مجاز باشد.
بزرگترین مشکل وقتی به وجود می آید که یک نفوذگر خارجی کنترل Honeypot داخلی را در اختیار میگیرد. در این صورت نفوذگر امکان دسترسی به شبکة داخلی را از طریق Honeypot به دست می آورد. زیرا این ترافیک، به عنوان ترافیک ورودی به Honeypot در نظر گرفته میشود و از آنجایی که ترافیک ورودی به Honeypot مجاز است، دیوارة آتش جلوی عبور این ترافیک را نمی گیرد. بنابراین ایمن کردن Honeypot داخلی ضروری است. دلیل اصلی قرار گرفتن Honeypot پشت دیوارة آتش شناسایی نفوذگران داخلی است.
بهترین راه حل قرار دادن یک Honeypot درون DMZ به همراه یک دیوارة آتش است. بسته به اینکه هدف شناسایی نفوذگران داخلی یا خارجی است، دیوارة آتش میتواند به اینترنت یا اینترانت وصل شود.
در حقیقت شما میخواهید از طریق Honeypot یک مانور ترتیب بدهید و به یک دشمن فرضی حمله کنید یا در مقابل یک دشمن فرضی بایستید. لذا شرایط را به صورت واقعی تنظیم کنید.
حال با توجه اهمییت استفاده از هانی پات ها و دست یابی به امنیت بالاتر در شبکه ها ، دپارتمان شبکه و امنیت شبکه گروه فناوران رایان الکترونیک پس از نیازسنجی صورت گرفته اقدام به ارئه راهکار های تخصصی برای شبکه شما می نماید.
گروه فناوران رایان الکترونیک با بهره گیری از جدید ترین روش های امنیت شبکه، راهکار های لازم را متناسب با سازمان یا شرکت شما ارائه می نماید.
دیدگاه خود را بنویسید