Honeypot چیست؟

Honeypot یک ماشین ویژه در شبکه است که به عنوان طعمه برای نفوذگران استفاده می­شود. به طور عمدی بر روی آن سیستم عامل آلوده به یک اسب تروا، درپشتی یا سرویس دهنده های ضعیف و دارای اشکال نصب میشود تا به عنوان یک ماشین قربانی، نفوذگران را به خود جذب کرده و مشغول نگه دارد. همچنین ممکن است بر روی چنین ماشینی اطلاعات غلط و گمراه کننده ای برای به اشتباه انداختن نفوذگر نیز گذاشته شود.
یک سیستم Honeypot عملاً هیچ فایده­ای برای مقاصد سرویس دهی ندارد بلکه ماشین فداکاری است که با جذب نفوذگران و گمراه کردن آنها با اطلاعات غلط، از دسترسی به سرویس دهنده های حساس جلوگیری میکند. اطلاعات غلط ممکن است ساعت­ها یک نفوذگر را معطل کند. در ضمن تشخیص این نکته که سیستم موردنظر آیا واقعاً ضعف دارد یا آنکه یک Honeypot است برای نفوذگر چندان ساده نیست.
Honeynet شبکه ای از Honeypotهاست که به گونه ای تنظیم می­شوند که شبیه یک شبکة واقعی به نظر برسند.

Honeypotها به دو دلیل استفاده میشوند :
اول این که نقاط ضعف سیستم را بشناسیم. مدیر سیستم میتواند با مشاهدة تکنیکها و روشهای استفاده شده توسط نفوذگر بفهمد سیستم چگونه شکسته میشود و نقاط آسیب پذیر سیستم را شناسایی و نسبت به ترمیم آنها اقدام کند.
دلیل دوم جمع آوری اطلاعات لازم برای تعقیب و ردگیری نفوذگران است. با توجه به آنکه نفوذگر یک سیستم ضعیف و آسیب پذیر را در شبکه کشف میکند بنابراین تمام تلاشهای بعدی او پیرامون سیستم Honeypot (که یک هدف قلابی است) متمرکز میشود. میتوان یک سیستم تشخیص نفوذ (IDS) را در کنار این سیستم نصب کرد تا تلاش­های نفوذگران برای حمله به این هدف قلابی را گزارش دهد و شما بتوانید این موضوع و مبدا آن را پیگیری کنید.
این در حالی است که Honeypot همزمان از شبکة واقعی در برابر حملات مراقبت میکند.
هدف اصلی یک Honeypot شبیه سازی یک شبکه است که نفوذگران سعی می­کنند به آن وارد شوند. اطلاعاتی که بعد از حمله به یک Honeypot به دست می آید، می تواند برای کشف آسیب پذیری های شبکة فعلی و رفع آنها استفاده شود.

fig2
Honeypot چه کارهایی میتواند انجام دهد؟
با توجه به این که از یک Honeypot چه میخواهیم، Honeypot میتواند کارهای زیر را انجام دهد :

  • فراهم کردن هشدارهایی در مورد حملات در حال انجام
  • معطل کردن نفوذگر و دور نگه داشتن او از شبکة واقعی(نفوذگران پس از شناسایی شبکه، به طور معمول از ضعیف ترین و آسیب پذیرترین سیستم در شبکه شروع می­کنند. زمانی که آنها صرف کلنجار رفتن با این سیستم قلابی میکنند میتواند یک آسودگی خاطر برای بقیة ماشین ها ایجاد کند.)
  • فراهم کردن امکان مونیتورینگ بلادرنگ حملات صورت گرفته
  • فراهم کردن اطلاعاتی در مورد جزئیات حمله (اطلاعاتی از قبیل این که نفوذگران چه کسانی هستند، چه میخواهند، سطح مهارت هایشان و ابزارهایی که استفاده میکنند)
  • فراهم کردن امکان ردیابی و پیگرد قانونی نفوذگر

همچنین Honeypot مانع انجام کارهای زیر توسط نفوذگر میشود :

  •   دسترسی به داده ­های واقعی
  • کنترل­های مدیریتی در سطح شبکه
  •  دستیابی به ترافیک واقعی شبکه
  •  کنترل بر دیگر ابزارهای متصل به شبکه

با استفاده از مهندسی اجتماعی میتوان Honeypot را جالب­تر کرد. هرچه Honeynet شما به شبکة سازمان شما شبیه تر باشد، محیط واقعی ­تر است و باعث میشود نفوذگران آن را بیشتر باور کنند و حتی نفوذگران حرفه­ای هم به راحتی فریب بخورند. یک پیشنهاد خوب این است که تعدادی حساب کاربری تعریف کرده و به آنها یک سری دایرکتوری و اسناد اختصاص بدهید، برایشان پست الکترونیکی تعریف کنید، آنها را به لیست های پستی اضافه کنید.
همچنین میتوان توسط این سیستم نفوذگران را فریفت. به عنوان مثال وقتی نفوذگر یک ابزار استراق سمع روی هدف قلابی(سیستم Honeypot) نصب میکند اطلاعات غلط و بیهوده برای او ارسال میشود و او به خیال آن که نفوذش در شبکه واقعی است، ساعتها وقت تلف میکند تا این اطلاعات غلط را تحلیل کند.
به یاد داشته باشید که Honeypotای که مورد حمله واقع نشود به هیچ دردی نمی­خورد. بنابراین باید آن را تا حد امکان برای نفوذگر جذاب کنید، البته تا حدی که شک نفوذگران حرفه ای را برنیانگیزد.
هرچقدر یک نفوذگر دفعات بیشتری به Honeypot وصل شود، شما بیشتر به اهداف خود دست می یابید.

برای راه اندازی سیستم های Honeypot راه های زیادی وجود دارد و هم می توان از راهکار های سخت افزاری استفاده کرد و هم راهکار های نرم افزاری که از نمونه های نرم افزاری می توان Spector , Honeyd و KFSensor را نام برد.

محل قرار گرفتن Honeypot در شبکه کجاست ؟
یک Honeypot میتواند در هرجایی که یک سرویس دهنده قادر است قرار بگیرد، واقع شود ولی مطمئناً برخی جاها بهتر از بقیه است.
یک Honeypot با توجه به سرویس­های مورد استفاده میتواند در اینترنت یا اینترانت مورد استفاده قرار گیرد. اگر بخواهیم فعالیتهای خرابکارانة اعضای ناراضی را در شبکة خصوصی کشف کنیم قرار دادن Honeypot در اینترانت مفید است. در اینترانت Honeypot پشت دیوارة آتش قرار میگیرد.

roey-barnir-cybersecurity
در شبکة اینترنت یک Honeypot میتواند در یکی از محل­های زیر قرار گیرد :
1-جلوی دیواره آتش
2-درون ­DMZ

هر کدام از این دو مزایا و معایبی دارد که به آن می­پردازیم.
با قرار گرفتن Honeypot در جلوی دیوارة آتش، خطر داشتن یک سیستم تحت سیطرة نفوذگر در پشت دیوارة آتش از بین میرود و هیچ خطر اضافی (منتج از نصب Honeypot) متوجه شبکة داخلی نمی­شود.
یک Honeypot مقداری ترافیک ناخواسته مثل پویش درگاه یا الگوهای حمله را ایجاد و جذب میکند که با قرار دادن Honeypot در بیرون از دیوارة آتش چنین وقایعی توسط دیوارة آتش ثبت نمیشود و سیستم تشخیص نفوذ داخلی (که در حالت عادی در مواجهه با چنین رخدادهایی هشدار تولید میکند) پیغام هشدار تولید نمی­کند.
عیب قرار گرفتن Honeypot جلوی دیوارة آتش این است که نفوذگران داخلی به راحتی فریب نمی­خورند، مخصوصاً اگر دیوارة آتش ترافیک خروجی و در نتیجه ترافیک دریافتی Honeypot را محدود کند.
قرار گرفتن Honeypot درون یک DMZ یک راه حل خوب به نظر میرسد به شرطی که امنیت دیگر سیستم های درون DMZ در برابر Honeypot برقرار شود. از آن­جایی که فقط سرویس های مورد نیاز اجازة عبور از دیوارة آتش را دارند، دسترسی کامل به اغلب DMZها ممکن نیست. به این دلیل و با توجه به اینکه تنظیم قوانین مرتبط روی دیوارة آتش کاری زمانبر و مخاطره­آمیز است، در چنین حالتی قرار دادن Honeypot جلوی دیوارة آتش مورد توجه قرار می­گیرد.
قرار دادن Honeypot پشت دیوارة آتش، می­تواند باعث بروز خطرات امنیتی جدیدی در شبکة داخلی شود، مخصوصاً اگر شبکة داخلی توسط دیواره های آتش اضافی در برابر Honeypot ایمن نشده باشد. توجه داشته باشید که اگر Honeypot را پشت یک دیوارة آتش قرار می­دهید، باید قوانین دیوارة آتش را طوری تنظیم کنید که دسترسی از اینترنت مجاز باشد.
بزرگترین مشکل وقتی به وجود می آید که یک نفوذگر خارجی کنترل Honeypot داخلی را در اختیار میگیرد. در این صورت نفوذگر امکان دسترسی به شبکة داخلی را از طریق Honeypot به دست می آورد. زیرا این ترافیک، به عنوان ترافیک ورودی به Honeypot در نظر گرفته می­شود و از آنجایی که ترافیک ورودی به Honeypot مجاز است، دیوارة آتش جلوی عبور این ترافیک را نمی گیرد. بنابراین ایمن کردن Honeypot داخلی ضروری است. دلیل اصلی قرار گرفتن Honeypot پشت دیوارة آتش شناسایی نفوذگران داخلی است.
بهترین راه حل قرار دادن یک Honeypot درون DMZ به همراه یک دیوارة آتش است. بسته به این­که هدف شناسایی نفوذگران داخلی یا خارجی است، دیوارة آتش میتواند به اینترنت یا اینترانت وصل شود.
در حقیقت شما میخواهید از طریق Honeypot یک مانور ترتیب بدهید و به یک دشمن فرضی حمله کنید یا در مقابل یک دشمن فرضی بایستید. لذا شرایط را به صورت واقعی تنظیم کنید.

حال با توجه اهمییت استفاده از هانی پات ها و دست یابی به امنیت بالاتر در شبکه ها ، دپارتمان شبکه و امنیت شبکه گروه فناوران رایان الکترونیک پس از نیازسنجی صورت گرفته اقدام به ارئه راهکار های تخصصی برای شبکه شما می نماید.

گروه فناوران رایان الکترونیک با بهره گیری از جدید ترین روش های امنیت شبکه، راهکار های لازم را متناسب با سازمان یا شرکت شما ارائه می نماید.

از صفحه اینستگرام ما دیدن کنید
از مطالب دیگر ما دیدن کنید
برچسب‌ها:
اشتراک گذاری مقاله
کپی شد

همچنین ممکن است دوست داشته باشید

شبکه چیست؟
آوریل 28, 2022
نصب تاسیسات الکتریکی
آوریل 18, 2022
امنیت پیج اینستاگرام
آوریل 13, 2022

دیدگاه خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

بالا
اینتر را برای جستجو و یا ESC برای بستن بفشارید