Honeypot چیست؟

/ / شبکه و امنیت شبکه, فناوری اطلاعات

Honeypot یک ماشین ویژه در شبکه است که به عنوان طعمه برای نفوذگران استفاده می­شود. به طور عمدی بر روی آن سیستم عامل آلوده به یک اسب تروا، درپشتی یا سرویس دهنده های ضعیف و دارای اشکال نصب میشود تا به عنوان یک ماشین قربانی، نفوذگران را به خود جذب کرده و مشغول نگه دارد. همچنین ممکن است بر روی چنین ماشینی اطلاعات غلط و گمراه کننده ای برای به اشتباه انداختن نفوذگر نیز گذاشته شود.
یک سیستم Honeypot عملاً هیچ فایده­ای برای مقاصد سرویس دهی ندارد بلکه ماشین فداکاری است که با جذب نفوذگران و گمراه کردن آنها با اطلاعات غلط، از دسترسی به سرویس دهنده های حساس جلوگیری میکند. اطلاعات غلط ممکن است ساعت­ها یک نفوذگر را معطل کند. در ضمن تشخیص این نکته که سیستم موردنظر آیا واقعاً ضعف دارد یا آنکه یک Honeypot است برای نفوذگر چندان ساده نیست.
Honeynet شبکه ای از Honeypotهاست که به گونه ای تنظیم می­شوند که شبیه یک شبکه واقعی به نظر برسند.

Honeypotها به دو دلیل استفاده میشوند :
اول این که نقاط ضعف سیستم را بشناسیم. مدیر سیستم میتواند با مشاهده تکنیکها و روشهای استفاده شده توسط نفوذگر بفهمد سیستم چگونه شکسته میشود و نقاط آسیب پذیر سیستم را شناسایی و نسبت به ترمیم آنها اقدام کند.
دلیل دوم جمع آوری اطلاعات لازم برای تعقیب و ردگیری نفوذگران است. با توجه به آنکه نفوذگر یک سیستم ضعیف و آسیب پذیر را در شبکه کشف میکند بنابراین تمام تلاشهای بعدی او پیرامون سیستم Honeypot (که یک هدف قلابی است) متمرکز میشود. میتوان یک سیستم تشخیص نفوذ (IDS) را در کنار این سیستم نصب کرد تا تلاش­های نفوذگران برای حمله به این هدف قلابی را گزارش دهد و شما بتوانید این موضوع و مبدا آن را پیگیری کنید.
این در حالی است که Honeypot همزمان از شبکه واقعی در برابر حملات مراقبت میکند.
هدف اصلی یک Honeypot شبیه سازی یک شبکه است که نفوذگران سعی می­کنند به آن وارد شوند. اطلاعاتی که بعد از حمله به یک Honeypot به دست می آید، می تواند برای کشف آسیب پذیری های شبکه فعلی و رفع آنها استفاده شود.

fig2
Honeypot چه کارهایی میتواند انجام دهد؟
با توجه به این که از یک Honeypot چه میخواهیم، Honeypot میتواند کارهای زیر را انجام دهد :

  • فراهم کردن هشدارهایی در مورد حملات در حال انجام
  • معطل کردن نفوذگر و دور نگه داشتن او از شبکه واقعی(نفوذگران پس از شناسایی شبکه، به طور معمول از ضعیف ترین و آسیب پذیرترین سیستم در شبکه شروع می­کنند. زمانی که آنها صرف کلنجار رفتن با این سیستم قلابی میکنند میتواند یک آسودگی خاطر برای بقیه ماشین ها ایجاد کند.)
  • فراهم کردن امکان مونیتورینگ بلادرنگ حملات صورت گرفته
  • فراهم کردن اطلاعاتی در مورد جزئیات حمله (اطلاعاتی از قبیل این که نفوذگران چه کسانی هستند، چه میخواهند، سطح مهارت هایشان و ابزارهایی که استفاده میکنند)
  • فراهم کردن امکان ردیابی و پیگرد قانونی نفوذگر

همچنین Honeypot مانع انجام کارهای زیر توسط نفوذگر میشود :

  •   دسترسی به داده ­های واقعی
  • کنترل­های مدیریتی در سطح شبکه
  •  دستیابی به ترافیک واقعی شبکه
  •  کنترل بر دیگر ابزارهای متصل به شبکه

با استفاده از مهندسی اجتماعی میتوان Honeypot را جالب­تر کرد. هرچه Honeynet شما به شبکه سازمان شما شبیه تر باشد، محیط واقعی ­تر است و باعث میشود نفوذگران آن را بیشتر باور کنند و حتی نفوذگران حرفه­ای هم به راحتی فریب بخورند. یک پیشنهاد خوب این است که تعدادی حساب کاربری تعریف کرده و به آنها یک سری دایرکتوری و اسناد اختصاص بدهید، برایشان پست الکترونیکی تعریف کنید، آنها را به لیست های پستی اضافه کنید.
همچنین میتوان توسط این سیستم نفوذگران را فریفت. به عنوان مثال وقتی نفوذگر یک ابزار استراق سمع روی هدف قلابی(سیستم Honeypot) نصب میکند اطلاعات غلط و بیهوده برای او ارسال میشود و او به خیال آن که نفوذش در شبکه واقعی است، ساعتها وقت تلف میکند تا این اطلاعات غلط را تحلیل کند.
به یاد داشته باشید که Honeypotای که مورد حمله واقع نشود به هیچ دردی نمی­خورد. بنابراین باید آن را تا حد امکان برای نفوذگر جذاب کنید، البته تا حدی که شک نفوذگران حرفه ای را برنیانگیزد.
هرچقدر یک نفوذگر دفعات بیشتری به Honeypot وصل شود، شما بیشتر به اهداف خود دست می یابید.

برای راه اندازی سیستم های Honeypot راه های زیادی وجود دارد و هم می توان از راهکار های سخت افزاری استفاده کرد و هم راهکار های نرم افزاری که از نمونه های نرم افزاری می توان Spector , Honeyd و KFSensor را نام برد.

محل قرار گرفتن Honeypot در شبکه کجاست ؟
یک Honeypot میتواند در هرجایی که یک سرویس دهنده قادر است قرار بگیرد، واقع شود ولی مطمئناً برخی جاها بهتر از بقیه است.
یک Honeypot با توجه به سرویس­های مورد استفاده میتواند در اینترنت یا اینترانت مورد استفاده قرار گیرد. اگر بخواهیم فعالیتهای خرابکارانه اعضای ناراضی را در شبکه خصوصی کشف کنیم قرار دادن Honeypot در اینترانت مفید است. در اینترانت Honeypot پشت دیواره آتش قرار میگیرد.

roey-barnir-cybersecurity
در شبکه اینترنت یک Honeypot میتواند در یکی از محل­های زیر قرار گیرد :
۱-جلوی دیواره آتش
۲-درون ­DMZ

هر کدام از این دو مزایا و معایبی دارد که به آن می­پردازیم.
با قرار گرفتن Honeypot در جلوی دیواره آتش، خطر داشتن یک سیستم تحت سیطره نفوذگر در پشت دیواره آتش از بین میرود و هیچ خطر اضافی (منتج از نصب Honeypot) متوجه شبکه داخلی نمی­شود.
یک Honeypot مقداری ترافیک ناخواسته مثل پویش درگاه یا الگوهای حمله را ایجاد و جذب میکند که با قرار دادن Honeypot در بیرون از دیواره آتش چنین وقایعی توسط دیواره آتش ثبت نمیشود و سیستم تشخیص نفوذ داخلی (که در حالت عادی در مواجهه با چنین رخدادهایی هشدار تولید میکند) پیغام هشدار تولید نمی­کند.
عیب قرار گرفتن Honeypot جلوی دیواره آتش این است که نفوذگران داخلی به راحتی فریب نمی­خورند، مخصوصاً اگر دیواره آتش ترافیک خروجی و در نتیجه ترافیک دریافتی Honeypot را محدود کند.
قرار گرفتن Honeypot درون یک DMZ یک راه حل خوب به نظر میرسد به شرطی که امنیت دیگر سیستم های درون DMZ در برابر Honeypot برقرار شود. از آن­جایی که فقط سرویس های مورد نیاز اجازه عبور از دیواره آتش را دارند، دسترسی کامل به اغلب DMZها ممکن نیست. به این دلیل و با توجه به اینکه تنظیم قوانین مرتبط روی دیواره آتش کاری زمانبر و مخاطره­آمیز است، در چنین حالتی قرار دادن Honeypot جلوی دیواره آتش مورد توجه قرار می­گیرد.
قرار دادن Honeypot پشت دیواره آتش، می­تواند باعث بروز خطرات امنیتی جدیدی در شبکه داخلی شود، مخصوصاً اگر شبکه داخلی توسط دیواره های آتش اضافی در برابر Honeypot ایمن نشده باشد. توجه داشته باشید که اگر Honeypot را پشت یک دیواره آتش قرار می­دهید، باید قوانین دیواره آتش را طوری تنظیم کنید که دسترسی از اینترنت مجاز باشد.
بزرگترین مشکل وقتی به وجود می آید که یک نفوذگر خارجی کنترل Honeypot داخلی را در اختیار میگیرد. در این صورت نفوذگر امکان دسترسی به شبکه داخلی را از طریق Honeypot به دست می آورد. زیرا این ترافیک، به عنوان ترافیک ورودی به Honeypot در نظر گرفته می­شود و از آنجایی که ترافیک ورودی به Honeypot مجاز است، دیواره آتش جلوی عبور این ترافیک را نمی گیرد. بنابراین ایمن کردن Honeypot داخلی ضروری است. دلیل اصلی قرار گرفتن Honeypot پشت دیواره آتش شناسایی نفوذگران داخلی است.
بهترین راه حل قرار دادن یک Honeypot درون DMZ به همراه یک دیواره آتش است. بسته به این­که هدف شناسایی نفوذگران داخلی یا خارجی است، دیواره آتش میتواند به اینترنت یا اینترانت وصل شود.
در حقیقت شما میخواهید از طریق Honeypot یک مانور ترتیب بدهید و به یک دشمن فرضی حمله کنید یا در مقابل یک دشمن فرضی بایستید. لذا شرایط را به صورت واقعی تنظیم کنید.

حال با توجه اهمییت استفاده از هانی پات ها و دست یابی به امنیت بالاتر در شبکه ها ، دپارتمان شبکه و امنیت شبکه گروه فناوران رایان الکترونیک پس از نیازسنجی صورت گرفته اقدام به ارئه راهکار های تخصصی برای شبکه شما می نماید.

گروه فناوران رایان الکترونیک با بهره گیری از جدید ترین روش های امنیت شبکه، راهکار های لازم را متناسب با سازمان یا شرکت شما ارائه می نماید.