Borna66
03-14-2009, 07:58 PM
در جنگ بين نفوذگران و مديران امنيت شبکه، داشتن اطلاعات نشانة قدرت است. به عنوان يک مدير امنيت شبکه، هر چه بيشتر در مورد دشمنتان و روشهاي حمله او بدانيد بهتر ميتوانيد از خودتان در مقابل او دفاع کنيد.
استفاده از Honeypotها يکي از روشهايي است که ميتوانيم اطلاعاتي در مورد دنياي نفوذگران به دست آوريم.
Honeypot چيست؟
Honeypot يک ماشين ويژه در شبکه است که به عنوان طعمه براي نفوذگران استفاده ميشود. به طور عمدي بر روي آن سيستم عامل آلوده به يک اسب تروا، درپشتي يا سرويسدهندههاي ضعيف و داراي اشکال نصب ميشود تا به عنوان يک ماشين قرباني، نفوذگران را به خود جذب کرده و مشغول نگه دارد. همچنين ممکن است بر روي چنين ماشيني اطلاعات غلط و گمراهکنندهاي براي به اشتباه انداختن نفوذگر نيز گذاشته شود.
يک سيستم Honeypot عملاً هيچ فايدهاي براي مقاصد سرويس دهي ندارد بلکه ماشين فداکاري است که با جذب نفوذگران و گمراه کردن آنها با اطلاعات غلط، از دسترسي به سرويس دهندههاي حساس جلوگيري ميکند. اطلاعات غلط ممکن است ساعتها يک نفوذگر را معطل کند. در ضمن تشخيص اين نکته که سيستم موردنظر آيا واقعاً ضعف دارد يا آنکه يک Honeypot است براي نفوذگر چندان ساده نيست.
Honeynet شبکهاي از Honeypotهاست که به گونهاي تنظيم ميشوند که شبيه يک شبکة واقعي به نظر برسند.
دلايل استفاده از Honeypot
Honeypotها به دو دليل استفاده ميشوند :
اول اين که نقاط ضعف سيستم را بشناسيم. مدير سيستم ميتواند با مشاهدة تکنيکها و روشهاي استفاده شده توسط نفوذگر بفهمد سيستم چگونه شکسته ميشود و نقاط آسيبپذير سيستم را شناسايي و نسبت به ترميم آنها اقدام کند.
دليل دوم جمعآوري اطلاعات لازم براي تعقيب و ردگيري نفوذگران است. با توجه به آنکه نفوذگر يک سيستم ضعيف و آسيبپذير را در شبکه کشف ميکند بنابراين تمام تلاشهاي بعدي او پيرامون سيستم Honeypot (که يک هدف قلابي است) متمرکز ميشود. ميتوان يک سيستم تشخيص نفوذ(IDS) را در کنار اين سيستم نصب کرد تا تلاشهاي نفوذگران براي حمله به اين هدف قلابي را گزارش دهد و شما بتوانيد اين موضوع و مبدا آن را پيگيري کنيد.
اين در حالي است که Honeypot همزمان از شبکة واقعي در برابر حملات مراقبت ميکند.
هدف اصلي يک Honeypot شبيهسازي يک شبکه است که نفوذگران سعي ميکنند به آن وارد شوند. اطلاعاتي که بعد از حمله به يک Honeypot به دست ميآيد، ميتواند براي کشف آسيبپذيريهاي شبکة فعلي و رفع آنها استفاده شود.
Honeypot چه کارهايي ميتواند انجام دهد؟
با توجه به اين که از يک Honeypot چه ميخواهيم، Honeypot ميتواند کارهاي زير را انجام دهد :
فراهم کردن هشدارهايي در مورد حملات در حال انجام
معطل کردن نفوذگر و دور نگه داشتن او از شبکة واقعي(نفوذگران پس از شناسايي شبکه، به طور معمول از ضعيفترين و آسيبپذيرترين سيستم در شبکه شروع ميکنند. زماني که آنها صرف کلنجار رفتن با اين سيستم قلابي ميکنند ميتواند يک آسودگي خاطر براي بقية ماشينها ايجاد کند.)
فراهم کردن امکان مونيتورينگ بلادرنگ حملات صورت گرفته
فراهم کردن اطلاعاتي در مورد جزئيات حمله (اطلاعاتي از قبيل اين که نفوذگران چه کساني هستند، چه ميخواهند، سطح مهارتهايشان و ابزارهايي که استفاده ميکنند)
فراهم کردن امکان رديابي و پيگرد قانوني نفوذگر
همچنين Honeypot مانع انجام کارهاي زير توسط نفوذگر ميشود :
دسترسي به دادههاي واقعي
کنترلهاي مديريتي در سطح شبکه
دستيابي به ترافيک واقعي شبکه
کنترل بر ديگر ابزارهاي متصل به شبکه
با استفاده از مهندسي اجتماعي ميتوان Honeypot را جالبتر کرد. هرچه Honeynet شما به شبکة سازمان شما شبيهتر باشد، محيط واقعيتر است و باعث ميشود نفوذگران آن را بيشتر باور کنند و حتي نفوذگران حرفهاي هم به راحتي فريب بخورند. يک پيشنهاد خوب اين است که تعدادي حساب کاربري تعريف کرده و به آنها يک سري دايرکتوري و اسناد اختصاص بدهيد، برايشان پست الکترونيکي تعريف کنيد، آنها را به ليستهاي پستي اضافه کنيد، ...
همچنين ميتوان توسط اين سيستم نفوذگران را فريفت. به عنوان مثال وقتي نفوذگر يک ابزار استراق سمع روي هدف قلابي(سيستم Honeypot) نصب ميکند اطلاعات غلط و بيهوده براي او ارسال ميشود و او به خيال آن که نفوذش در شبکه واقعي است، ساعتها وقت تلف ميکند تا اين اطلاعات غلط را تحليل کند.
به ياد داشته باشيد که Honeypotاي که مورد حمله واقع نشود به هيچ دردي نميخورد. بنابراين بايد آن را تا حد امکان براي نفوذگر جذاب کنيد، البته تا حدي که شک نفوذگران حرفهاي را برنينگيزد..
هرچقدر يک نفوذگر دفعات بيشتري به Honeypot وصل شود، شما بيشتر به اهداف خود دست مييابيد.
محل قرار گرفتن Honeypot در شبکه
يک Honeypot ميتواند در هرجايي که يک سرويس دهنده قادر است قرار بگيرد، واقع شود ولي مطمئناً برخي جاها بهتر از بقيه است.
يک Honeypot با توجه به سرويسهاي مورد استفاده ميتواند در اينترنت يا اينترانت مورد استفاده قرار گيرد. اگر بخواهيم فعاليتهاي خرابکارانة اعضاي ناراضي را در شبکة خصوصي کشف کنيم قرار دادن Honeypot در اينترانت مفيد است. در اينترانت Honeypot پشت ديوارة آتش قرار ميگيرد.
در شبکة اينترنت يک Honeypot ميتواند در يکي از محلهاي زير قرار گيرد :
1-جلوي ديوارة آتش
2-درون- DMZ
http://www.pnu-club.com/imported/mising.jpg
شکل فوق قرار گرفتن Honeypot را در محلهاي گفته شده نشان ميدهد.
هر کدام از اين دو مزايا و معايبي دارد که به آن ميپردازيم.
با قرار گرفتن Honeypot در جلوي ديوارة آتش، خطر داشتن يک سيستم تحت سيطرة نفوذگر در پشت ديوارة آتش از بين ميرود و هيچ خطر اضافي (منتج از نصب Honeypot) متوجه شبکة داخلي نميشود.
يک Honeypot مقداري ترافيک ناخواسته مثل پويش درگاه يا الگوهاي حمله را ايجاد و جذب ميکند که با قرار دادن Honeypot در بيرون از ديوارة آتش چنين وقايعي توسط ديوارة آتش ثبت نميشود و سيستم تشخيص نفوذ داخلي (که در حالت عادي در مواجهه با چنين رخدادهايي هشدار توليد ميکند) پيغام هشدار توليد نميکند.
عيب قرار گرفتن Honeypot جلوي ديوارة آتش اين است که نفوذگران داخلي به راحتي فريب نميخورند، مخصوصاً اگر ديوارة آتش ترافيک خروجي و در نتيجه ترافيک دريافتي Honeypot را محدود کند.
قرار گرفتن Honeypot درون يک DMZ يک راهحل خوب به نظر ميرسد به شرطي که امنيت ديگر سيستمهاي درون DMZ در برابر Honeypot برقرار شود. از آنجايي که فقط سرويسهاي مورد نياز اجازة عبور از ديوارة آتش را دارند، دسترسي کامل به اغلب DMZها ممکن نيست. به اين دليل و با توجه به اينکه تنظيم قوانين مرتبط روي ديوارة آتش کاري زمانبر و مخاطرهآميز است، در چنين حالتي قرار دادن Honeypot جلوي ديوارة آتش مورد توجه قرار ميگيرد.
قرار دادن Honeypot پشت ديوارة آتش، ميتواند باعث بروز خطرات امنيتي جديدي در شبکة داخلي شود، مخصوصاً اگر شبکة داخلي توسط ديوارههاي آتش اضافي در برابر Honeypot ايمن نشده باشد. توجه داشته باشيد که اگر Honeypot را پشت يک ديوارة آتش قرار ميدهيد، بايد قوانين ديوارة آتش را طوري تنظيم کنيد که دسترسي از اينترنت مجاز باشد.
بزرگترين مشکل وقتي به وجود ميآيد که يک نفوذگر خارجي کنترل Honeypot داخلي را در اختيار ميگيرد. در اين صورت نفوذگر امکان دسترسي به شبکة داخلي را از طريق Honeypot به دست ميآورد. زيرا اين ترافيک، به عنوان ترافيک ورودي به Honeypot در نظر گرفته ميشود و از آنجايي که ترافيک ورودي به Honeypot مجاز است، ديوارة آتش جلوي عبور اين ترافيک را نميگيرد. بنابراين ايمن کردن Honeypot داخلي ضروري است. دليل اصلي قرار گرفتن Honeypot پشت ديوارة آتش شناسايي نفوذگران داخلي است.
بهترين راهحل قرار دادن يک Honeypot درون DMZ به همراه يک ديوارة آتش است. بسته به اينکه هدف شناسايي نفوذگران داخلي يا خارجي است، ديوارة آتش ميتواند به اينترنت يا اينترانت وصل شود.
در حقيقت شما ميخواهيد از طريق Honeypot يک مانور ترتيب بدهيد و به يک دشمن فرضي حمله کنيد يا در مقابل يک دشمن فرضي بايستيد. لذا شرايط را به صورت واقعي تنظيم کنيد.
تقسيمبندي Honeypotها از نظر کاربرد
از ديدگاه کاربرد و استفادهاي که قرار است از سيستم شود Honeypotها به دو دسته تقسيم ميشوند :
Production Honeypot : اين نوع سيستم وقتي که سازمان ميخواهد شبکه و سيستمهايش را با کشف و مسدود کردن نفوذگران حفاظت کند و نفوذگر را از طريق قانوني در دادگاه مورد پيگرد قرار دهد، مورد استفاده قرار ميگيرد.
Research Honeypot : اين نوع سيستم وقتي که سازمان ميخواهد فقط امنيت شبکه و سيستمهاي خود را با آموختن روشهاي نفوذ، منشا نفوذ، ابزارها و exploitهاي مورد استفادة نفوذگر مستحکمتر کند، استفاده ميشود.
بسته به هدف سازمان و اين که از يک Honeypot چه ميخواهيد، ميتوانيد يکي از دو نوع Honeypot ذکر شده را انتخاب کنيد.
تقسيمبندي Honeypotها از نظر ميزان تعامل با نفوذگر
Honeypotها از لحاظ ميزان تعامل و درگيري با نفوذگر به سه دسته تقسيم ميشوند :
دستة اول : Honeypot با تعامل کم[1]
دستة دوم : Honeypot با تعامل متوسط[2]
دستة سوم : Honeypot با تعامل زياد[3]
Honeypot با تعامل کم
در دستة اول، بر روي ماشين سرويسهاي جعلي و ابتدايي مشخصي مثل Telnet و Ftp نصب ميشود. اين سرويسها با استفاده از پروسهاي که روي درگاه مشخصي گوش ميکند، پيادهسازي ميشوند. نفوذگر فقط قادر است با اين سرويسها ارتباط برقرار کند. به عنوان مثال يک Honeypot با تعامل کم ميتواند شامل يک Windows 2000 Server به همراه سرويسهايي مثل Telnet و Ftp باشد. يک نفوذگر ميتواند ابتدا با استفاده از Telnet روي Honeypot نوع سيستم عامل آن را تشخيص دهد، سپس با يک صفحة ورود روبرو ميشود. نفوذگر دو راه براي دسترسي به Honeypot دارد يکي ورود به زور[4] و ديگري حدس زدن کلمة عبور[5]. Honeypot ميتواند تمام تلاشهاي نفوذگر را جمعآوري کند.
در اين حالت نفوذگر نميتواند هيچگونه ارتباطي با سيستم عامل برقرار کند و ارتباط نفوذگر فقط به تلاش براي ورود به سيستم محدود ميشود. اين مساله ميزان خطر را کاهش ميدهد چون پيچيدگيهاي سيستم عامل حذف ميشود. به عبارت ديگر اين يک عيب است چرا که نميتوانيم ارتباطات نفوذگر با سيستمعامل را که مورد علاقة ماست ببينيم.
Honeypotهاي دستة اول با کم کردن تعامل خود با نفوذگر ميزان خطر را به حداقل کاهش ميدهد و پايينترين ميزان خطرپذيري را داراست.
به کمک اين ماشينها اطلاعات محدودي مثل زمان نفوذ، پروتکل مورد استفاده، آدرس IP مبدا و مقصد، ... را ميتوان به دست آورد.
يک Honeypot با تعامل کم ميتواند با يک سيستم تشخيص نفوذ passive مقايسه شود. هيچ کدام نميتواند تغييري در ترافيک بدهد يا با نفوذگر يا جريان ترافيک ارتباط برقرار کند. فقط براي ايجاد گزارش[6] استفاده ميشوند و اگر ترافيک ورودي با الگوهاي از قبل تعيين شده مطابقت کند، هشدار ميدهند.
اين دسته از Honeypotها فقط براي شناسايي حملههاي شناخته شده خوب است ولي براي کشف حملههاي ناشناخته هيچ ارزشي ندارد.
Honeypot با تعامل متوسط
دستة دوم در مقايسه با دستة اول امکان بيشتري براي تعامل با نفوذگر فراهم ميکند ولي هنوز هم مثل دستة اول نفوذگر هيچ ارتباطي با سيستمعامل ندارد. دايمون[7]هاي جعلي فراهم شده پيشرفتهترند و دانش بيشتري راجع به سرويسهاي ارئه شده دارند.
در اين حالت ميزان خطر افزايش مييابد. احتمال اين که نفوذگر يک حفرة امنيتي يا يک آسيبپذيري پيدا کند بيشتر است زيرا پيچيدگي Honeypot افزايش مييابد.
نفوذگر امکان بيشتري براي ارتباط با سيستم و بررسي آن دارد و راحتتر فريب ميخورد.
همچنين با توجه به تعامل بيشتر، امکان انجام حملههاي پيچيدهتري وجود دارد که ميتوان با ثبت و آناليز کردن آنها به نتايج دلخواه دست يافت.
همان طور که گفته شد نفوذگر هيچ ارتباطي با سيستم عامل ندارد و در سطح برنامههاي کاربردي فعاليت ميکند.
توسعة يک Honeypot با تعامل متوسط کاري پيچيده و زمانبر است. بايد دقت شود که تمام دايمونهاي جعلي تا جايي که ممکن است ايمن شوند. نسخههاي توسعه يافته اين سرويسها نبايد داراي همان آسيبپذيريهاي همتاهاي (نسخههاي) واقعي باشند زيرا اين اصليترين دليل جايگزيني آنها با نسخههاي جعلي است.
کسي که ميخواهد چنين سيستمي را طراحي و پيادهسازي کند، بايد از دانش خوبي در مورد پروتکلها، سرويسها و برنامههاي کاربردي ارائه شده برخوردار باشد.
از اين Honeypotها ميتوان هم براي اهداف دستة research و هم براي اهداف دستة production استفاده کرد.
Honeypot با تعامل زياد
هرچه ميزان تعامل Honeypot با نفوذگر افزايش مييابد، ميزان پيچيدگي و خطر هم افزايش مييابد ولي به همان نسبت نتايجي که حاصل ميشود نيز بهتر است.
آخرين و پيشرفتهترين دسته از Honeypotها دستة سوم است. طراحي، مديريت و نگهداري اين Honeypotها کاري واقعاً زمانبر است. در ميان سه نوع Honeypot اين Honeypotها داراي خطر زيادي هستند ولي اطلاعات واسناد زيادي براي تحليل جمع ميشود.
در اين نوع Honeypot نفوذگر ارتباط کاملي با سيستمعامل دارد.
يکي از اهداف نفوذگر به دست آوردن دسترسي در بالاترين سطح (root يا superuser) ماشيني که به اينترنت وصل است ميباشد. اين Honeypot چنين امکاني را در اختيار نفوذگر قرار ميدهد. به محض اين که نفوذگر اين امکان را پيدا کند کار اصلي او شروع ميشود.
با استفاده از اين نوع Honeypot ميتوانيم به اطلاعاتي نظير اين که نفوذگران بيشتر از چه ابزارها و exploitهايي استفاده ميکنند، از چه کشورهايي هستند، به دنبال چه نقاط آسيبپذيري هستند، ميزان دانش آنها در مورد نفوذگري و .... دست پيدا کنيم.
نفوذگر پس از اين که دسترسي سطح root روي سيستم را به دست آورد، قادر است هرکاري که بخواهد روي سيستم تحت کنترل انجام دهد. اين سيستم فينفسه ايمن نيست بنابراين هيچ سيستمي روي شبکه را نميتوان امن در نظر گرفت.
بايد قبل از اين گونه Honeypotها يک ديوارة آتش نصب کنيم، زيرا در غير اين صورت نفوذگر پس از اين که کنترل کاملي بر ماشين به دست آورد ميتواند از آن براي طراحي حملاتي مثل [8]DDoS عليه ماشينهاي ديگر استفاده کند. براي جلوگيري از اين مساله بايد ديوارة آتش به گونهاي تنظيم شود که فقط ترافيک ورودي به سيستم مجاز باشد و ترافيک خروجي آن را مسدود کند.
همچنين ميبايست سطح دسترسي اين سيستم به شبکة داخلي محدود شود تا نفوذگر نتواند با استفاده از آن به ديگر سيستمهاي موجود در شبکة داخلي آسيبي برساند.
کنترل و نگهداشت چنين Honeypotاي کاري فوقالعاده زمانبر است. سيستم دائماً بايد تحت نظر باشد. Honeypotاي که تحت کنترل نباشد نه تنها هيچ کمکي نميکند بلکه خودش به عنوان يک نقطة خطر يا حفرة امنيتي مطرح میشود.
با فراهم کردن امکان ارتباط کامل نفوذگر با سيستمعامل، او ميتواند فايلهاي جديدي را روي سيستم نصب کند. اين جاست که اين نوع Honeypot با ثبت کردن و آناليز اين فعاليتها قدرت خود را نشان ميدهد. جمعآوري اطلاعات در مورد گروههاي نفوذگري هدف اصلي اين دسته از Honeypotها است و همين امر خطرپذيري بيشتر را توجيه ميکند.
از اين نوع Honeypot فقط براي اهداف دستة research استفاده ميشود.
جدول زير کاربرد هر کدام از Honeypotها را با توجه به ميزان تعامل آن با نفوذگر نشان ميدهد :
http://www.pnu-club.com/imported/mising.jpg
مزايا و معايب هر کدام از انواع Honeypot در جدول زير آمده است:
http://www.pnu-club.com/imported/mising.jpg
با توجه به عوامل ذکر شده و اين که در سازمان شما ميزان اهميت هر کدام از اين عوامل چه اندازه است و نتايجي که ميخواهيد از يک Honeypot به دست آوريد، ميتوانيد يکي از سه نوع Honeypot ذکر شده را براي سازمان خود انتخاب کنيد.
جايگاه Honeypot ها
حال كه آشنايي ابتدايي با هر دو نوع Honeypot داريم لازم است كه ارزش و جايگاه آنها را در دنياي امنيتي بيان كنيم ، به خصوص در ادامه بيان خواهيم كرد كه چگونه بايد از Honeypot استفاده كنيم.
همانطور كه قبلا اشاره كرديم دو دسته Honeypot داريم كه براي اهداف و تحقيقات ما مورد مطالعه قرار مي گيرند. وقتي از Honeypot ها به صورت محصولات توليد شده براي محافظت از سازمان ها استفاده مي كنيم مي توانند ما را در موارد مختلفي محافظت كنند از جمله مي توان محافظت ، كشف و پاسخ مناسب به يك حمله را بيان كرد. وقتي آنها را در جهت امور تحقيقاتي به كار مي بريم Honeypot ها اطلاعات لازم را براي ما جمع آوري مي كنند. البته اين اطلاعات براي سازمانهاي مختلف فرق مي كند. عده اي شايد بخواهند دشمنان بيروني خود را شناسايي كنند ، يا كارمندان و خريداران خرابكار خود را بشناسند اين سازمانها نيز مي توانند از اين دسته Honeypot ها استفاده كنند.
اگر بخواهيم به صورت كلي بيان كنيم Honeypot هاي كم واكنش به عنوان محصولات توليدي به كار مي روند در صورتيكه Honeypot هاي پرواكنش براي عملياتهاي تحقيقاتي روي شبكه به كار گرفته مي شوند. البته هر كدام از آنهامي توانند در اهداف ديگر نيز به كار روند .
Honeypot هاي توليداتي مي توانند ما را در سه رده زير كمك كنند:
1- پيشگيري (Prevention )
2- رديابي يا كشف( Detection )
3- پاسخ ( Response )
كه در ادامه به صورت عميق تري روي آنها بحث مي كنيم.
Honeypot ها از راههاي مختلفي مي توانند ما را از حملات حفظ كنند. ابتدا حملاتي كه به صورت اتوماتيكي انجام مي شود مثل كرمها و يا Auto-rooter ها . اين حملات به اين صورت كار مي كنند كه نفوذگران با استفاده از بعضي از ابزارها يك رنجي از شبكه ها را پويش كرده تا آسيب پذيري سرورهاي موجود در اين شبكه را پيدا كنند اين ابزارها پس از پيدا كردن آسيب پذيريهاي موجود ، به اين سيستم ها حمله مي كنند. (مانند كرم ساسر كه وقتي سيستمي را آلوده مي كرد به صورت اتوماتيك و به وسيله يك آدرس IP تصادفي ، سيستم ديگري را نيز آلوده مي كرد). روشي كه Honeypot ها براي محافظت شبكه ما از اين گونه حملات استفاده مي كنند اين است كه مي توانند سرعت اينگونه حملات را كند كنند و يا حتي آنها را متوقف كنند! به اين دسته از Honeypot ها Honeypot هاي چسبنده (Sticky ) مي گويند. در اين راه حل Honeypot ها ، آن دسته از آدرس هايي را كه در شبكه استفاده نمي شوند ، در نظر مي گيرند و به آنها واكنش نشان مي دهند. يعني هنگاميكه يك برنامه مخرب يا نفوذگر قصد پويش رنجي از آدرس ها را دارد ، Honypot به آن دسته از آدرس هايي كه در شبكه موجود نمي باشند واكنش نشان مي دهد براي مثال با استفاده از پيغامهاي TCP روند اين گونه حملات را آهسته تر مي كند. (براي نمونه، با دادن پيغام پنجره صفر ، نفوذگر را در يك گودال هل مي دهد تا نتواند بسته هاي ديگر را ارسال كند) اين امر براي آهسته كردن سرعت انتشار و يا محافظت در برابر كرمهايي كه شبكه داخلي ما را مورد هجوم قرار مي دهند بسيار مناسب است. LaBrea جزو اين دسته از Honeypot ها مي باشد.
Honeypot هاي چسبنده اغلب به عنوان يك Honeypot كم واكنش شناخته مي شوند. (البته شما مي توانيد آنها را Honeypot هاي بدون واكنش بناميد زيرا كه آنها فقط سرعت نفوذ يك نفوذگر را در شبكه كند مي كنند )
Honeypot همچنين مي توانند سازمان شما را از اشخاص نفوذگر محافظت كنند. البته اين كار فقط حيله اي مي باشد كه باعث تهديد و ارعاب نفوذگر مي شود. يعني نفوذگر را گيج و دست پاچه كنيم تا بتوانيم از اين طريق وقت او را به وسيله درگير شدنش با Honeypot بگيريم. در ضمن سازمان شما مي تواند با كشف فعاليتهاي نفوذگر و داشتن زمان لازم براي پاسخ ، اين گونه جملات را متوقف كند.
حتي مي توان يك مرحله بالاتر رفت . اگر نفوذگر بداند كه سازمان شما از Honeypot استفاده مي كند ولي نداند كه كدام سيستم Honeypot مي باشد هميشه يك نگراني در ذهن خود دارد كه « آيا اين يك سيستم حقيقي است يا در يك Honeypot گرفتار شده ام !! » و ممكن است همين نگراني باعث شود كه هيچگاه به فكر نفوذ در شبكه شما نيفتد. بنابراين Honeypot مي توانند نفوذگران را بترسانند. Deception Toolkit يكي از همين نوع Honeypot هاي كم واكنش مي باشد.
http://www.pnu-club.com/imported/mising.jpg
راه دومي كه Honeypot ها به محافظت سازمانها كمك مي كنند از طريق كشف يا رديابي است.عمل كشف خيلي بحراني مي باشد كه وظيفه اش شناسايي ناتواني ها و از كار افتادگي هاي بخش پيشگيري مي باشد. صرف نظر از اينكه امنيت يك سازمان به چه صورت مي باشد معمولا اتفاقي براي شبكه هاي آنها مي افتد كه باعث بعضي از شكست ها مي گردد. صرف نظر از مشكلات و درگيري هايي كه اشخاص براي كشف يك حمله انجام مي دهند، وقتي يك حمله شناسايي شود مي توان خيلي سريع به آن واكنش نشان داد و آن را متوقف كرد و يا حداقل اثر آن را كمتر كرد. متاسفانه كشف يك حمله بسيار كار مشكلي مي باشد. تكنولوژي هايي مانند IDS ها و فايلهاي ثبت وقايع(log) از جهاتي بدون اثر مي باشند. آنها داده هاي فراواني را توليد مي كنند كه خواندن تمامي آنها زمان فراواني را مي طلبد و بسياري از اين داده ها نيز بيهوده و به درد نخور مي باشند. همچنين آنها در كشف حملات جديد نيز ناتوان مي باشند. حتي نمي توانند با محيط هاي رمز شده و يا IPV6 كار كنند. Honeypot ها براي كشف و رديابي يك حمله نسبت به اين تكنولوژيهاي قديمي برتري دارند. Honeypot داده هاي كم و با قطع و يقين بيشتري جمع آوري مي كند كه ارزش بسيار فراواني دارد.آنها حتي مي تواند حملات جديد و يا كدهاي چند شكلي را به راحتي كشف كنند و مي توانند در محيطهاي رمز شده و IPv6 نيز استفاده شوند.
براي اينكه اطلاعات بيشتري راجع به اين دسته از Honeypot كسب كنيد مي توانيد مقاله Honeypot:Simple,Cost Effective Detection را مطالعه كنيد. به هر جهت Honeypot هاي كم واكنش بهترين راه حل براي كشف مي باشند. ساخت و نگهداري آنها آسان تر از Honeypot هاي پر واكنش مي باشد و همچنين ريسك كمتري نسبت به آنها دارد.
سومين و آخرين راهي كه honeypot ها سازمانهاي ما را محافظت مي كنند پاسخ( Response ) است. هر زماني كه يك سازمان يك خطا و مشكلي را در شبكه خود تشخيص داد حال چگونه بايد پاسخ دهد؟ همين موضوع مي تواند يكي از چالش هايي باشد كه يك سازمان با آن مواجه مي باشد. معمولا اطلاعات كمي درباره اينكه نفوذگر چه كسي است! و چه كاري مي خواهد انجام دهد!، وجود دارد. در اين وضعيت كوچكترين اطلاعات درباره فعاليت هاي نفوذگر، مهم و حيلاتي است.
معمولا در پاسخ مناسب به يك حمله دو تا مشكل وجود دارد؛ ابتدا اينكه ، بيشتر سيستم هايي كه مورد هجوم قرار گرفته اند را نمي توان براي يك تجزيه و تحليل مناسب ، از كار انداخت . سيستم هاي توليداتي ، مانند سرور پست الكترونيكي براي يك سازمان بسيار مهم و حياتي مي باشند و حتي اگر متوجه بشوند كه سرور آنها هك شده است باز هم حاضر نيستند اين سيستم ها را از كار بياندازند تا تجزيه و تحليل دقيقي روي آنها انجام شود و پاسخ مناسبي به آن داده شود. در عوض بايد در هنگامي كه اين سيستم ها در حال كار مي باشند آنها را بررسي كرد. همين امر باعث مي شود كه نتوان به درستي پي برد كه چه اتفاق افتاده است و چه مقدار خسارت توسط هكر به سيستم وارد شده است و آيا نفوذگر به سيستم هاي ديگر وارد شده است؟ و يا مي تواند وارد شود!؟
مشكل ديگر در اينجا مي باشد كه حتي اگر سيستم را نيز از كار بياندازيم آنقدر داده در سيستم وجود دارد كه نمي توان به درستي متوجه شد كه كداميك متعلق به نفوذگر است. در عوض Honeypot ها براي چنين كارهايي بسيار عالي مي باشند، زيرا كه آنها را مي توان به آساني از كار انداخت تا تجزيه و تحليل كاملي روي آنها انجام گيرد بدون اينكه به روند كاري سازمان صدمه اي وارد شود. همچنين Honeypot ها تنها فعاليت هاي غير قانوني و بد انديشانه را در خود ذخيره مي كنند و به همين دليل است كه تجزيه و تحليل يك Honeypot هك شده بسيار آسان تر از يك سيستم واقعي مي باشد. هر داده اي كه در Honeypot ذخيره شده است مربوط به فعاليت هاي فرد نفوذگر مي باشد و همين موضوع اين امكان را به يك سازمان مي دهد كه خيلي راحت به اطلاعات مفيدي درباره نوع حمله و هويت نفوذگر پي برده و پاسخ سريع و موثري را به آن دهد. به صورت كلي Honeypot پرواكنش براي پاسخ بهترين گزينه مي باشند. براي پاسخ به يك اخلال ابتدا بايد دانست كه اخلال گر قصد چه كاري را داشته است و چگونه توانسته است كه اخلال ايجاد كند، همچنين از چه ابزارهايي استفاده كرده است. پس براي اين مرحله نياز به Honeypot پرواكنش داريم.
آنچه كه مسلم است ، Honeypot ها يك تكنولوژي جديد مي باشند و هنوز راه فراواني را بايد بپيمايند تا به تكامل برسند. اما آنها براي بسياري از اهدافي كه يك سازمان براي مسايل امنيتي نياز دارد ، مناسب مي باشند و ما را براي براي پيشگيري از يك نفوذ ، كشف نفوذ و پاسخ به آن كمك مي كنند.
1- Low-Interaction
2- Medium-Interaction
3- High-Interaction
4-Brute Force
5-Password Guessing
۶-Log
۷-Daemon
۸-Distributed Denial Of Service
نويسنده : آقای حسن تكابي
ناشر : مهندسي شبكه همكاران سيستم
برگرفته از :
كد - لینک:
SGNEC ( System Group Network Engineering Co.) - طراحي و پياده سازي شبكه , امنيت شبكه , امنيت اطلاعات , ويروس ها و آنتي ويروس , اخبار و مقالات , مقابله با هك و هكر , Ne (http://www.sgnec.net)
:104:
گردآونده:طه-Borna66
استفاده از Honeypotها يکي از روشهايي است که ميتوانيم اطلاعاتي در مورد دنياي نفوذگران به دست آوريم.
Honeypot چيست؟
Honeypot يک ماشين ويژه در شبکه است که به عنوان طعمه براي نفوذگران استفاده ميشود. به طور عمدي بر روي آن سيستم عامل آلوده به يک اسب تروا، درپشتي يا سرويسدهندههاي ضعيف و داراي اشکال نصب ميشود تا به عنوان يک ماشين قرباني، نفوذگران را به خود جذب کرده و مشغول نگه دارد. همچنين ممکن است بر روي چنين ماشيني اطلاعات غلط و گمراهکنندهاي براي به اشتباه انداختن نفوذگر نيز گذاشته شود.
يک سيستم Honeypot عملاً هيچ فايدهاي براي مقاصد سرويس دهي ندارد بلکه ماشين فداکاري است که با جذب نفوذگران و گمراه کردن آنها با اطلاعات غلط، از دسترسي به سرويس دهندههاي حساس جلوگيري ميکند. اطلاعات غلط ممکن است ساعتها يک نفوذگر را معطل کند. در ضمن تشخيص اين نکته که سيستم موردنظر آيا واقعاً ضعف دارد يا آنکه يک Honeypot است براي نفوذگر چندان ساده نيست.
Honeynet شبکهاي از Honeypotهاست که به گونهاي تنظيم ميشوند که شبيه يک شبکة واقعي به نظر برسند.
دلايل استفاده از Honeypot
Honeypotها به دو دليل استفاده ميشوند :
اول اين که نقاط ضعف سيستم را بشناسيم. مدير سيستم ميتواند با مشاهدة تکنيکها و روشهاي استفاده شده توسط نفوذگر بفهمد سيستم چگونه شکسته ميشود و نقاط آسيبپذير سيستم را شناسايي و نسبت به ترميم آنها اقدام کند.
دليل دوم جمعآوري اطلاعات لازم براي تعقيب و ردگيري نفوذگران است. با توجه به آنکه نفوذگر يک سيستم ضعيف و آسيبپذير را در شبکه کشف ميکند بنابراين تمام تلاشهاي بعدي او پيرامون سيستم Honeypot (که يک هدف قلابي است) متمرکز ميشود. ميتوان يک سيستم تشخيص نفوذ(IDS) را در کنار اين سيستم نصب کرد تا تلاشهاي نفوذگران براي حمله به اين هدف قلابي را گزارش دهد و شما بتوانيد اين موضوع و مبدا آن را پيگيري کنيد.
اين در حالي است که Honeypot همزمان از شبکة واقعي در برابر حملات مراقبت ميکند.
هدف اصلي يک Honeypot شبيهسازي يک شبکه است که نفوذگران سعي ميکنند به آن وارد شوند. اطلاعاتي که بعد از حمله به يک Honeypot به دست ميآيد، ميتواند براي کشف آسيبپذيريهاي شبکة فعلي و رفع آنها استفاده شود.
Honeypot چه کارهايي ميتواند انجام دهد؟
با توجه به اين که از يک Honeypot چه ميخواهيم، Honeypot ميتواند کارهاي زير را انجام دهد :
فراهم کردن هشدارهايي در مورد حملات در حال انجام
معطل کردن نفوذگر و دور نگه داشتن او از شبکة واقعي(نفوذگران پس از شناسايي شبکه، به طور معمول از ضعيفترين و آسيبپذيرترين سيستم در شبکه شروع ميکنند. زماني که آنها صرف کلنجار رفتن با اين سيستم قلابي ميکنند ميتواند يک آسودگي خاطر براي بقية ماشينها ايجاد کند.)
فراهم کردن امکان مونيتورينگ بلادرنگ حملات صورت گرفته
فراهم کردن اطلاعاتي در مورد جزئيات حمله (اطلاعاتي از قبيل اين که نفوذگران چه کساني هستند، چه ميخواهند، سطح مهارتهايشان و ابزارهايي که استفاده ميکنند)
فراهم کردن امکان رديابي و پيگرد قانوني نفوذگر
همچنين Honeypot مانع انجام کارهاي زير توسط نفوذگر ميشود :
دسترسي به دادههاي واقعي
کنترلهاي مديريتي در سطح شبکه
دستيابي به ترافيک واقعي شبکه
کنترل بر ديگر ابزارهاي متصل به شبکه
با استفاده از مهندسي اجتماعي ميتوان Honeypot را جالبتر کرد. هرچه Honeynet شما به شبکة سازمان شما شبيهتر باشد، محيط واقعيتر است و باعث ميشود نفوذگران آن را بيشتر باور کنند و حتي نفوذگران حرفهاي هم به راحتي فريب بخورند. يک پيشنهاد خوب اين است که تعدادي حساب کاربري تعريف کرده و به آنها يک سري دايرکتوري و اسناد اختصاص بدهيد، برايشان پست الکترونيکي تعريف کنيد، آنها را به ليستهاي پستي اضافه کنيد، ...
همچنين ميتوان توسط اين سيستم نفوذگران را فريفت. به عنوان مثال وقتي نفوذگر يک ابزار استراق سمع روي هدف قلابي(سيستم Honeypot) نصب ميکند اطلاعات غلط و بيهوده براي او ارسال ميشود و او به خيال آن که نفوذش در شبکه واقعي است، ساعتها وقت تلف ميکند تا اين اطلاعات غلط را تحليل کند.
به ياد داشته باشيد که Honeypotاي که مورد حمله واقع نشود به هيچ دردي نميخورد. بنابراين بايد آن را تا حد امکان براي نفوذگر جذاب کنيد، البته تا حدي که شک نفوذگران حرفهاي را برنينگيزد..
هرچقدر يک نفوذگر دفعات بيشتري به Honeypot وصل شود، شما بيشتر به اهداف خود دست مييابيد.
محل قرار گرفتن Honeypot در شبکه
يک Honeypot ميتواند در هرجايي که يک سرويس دهنده قادر است قرار بگيرد، واقع شود ولي مطمئناً برخي جاها بهتر از بقيه است.
يک Honeypot با توجه به سرويسهاي مورد استفاده ميتواند در اينترنت يا اينترانت مورد استفاده قرار گيرد. اگر بخواهيم فعاليتهاي خرابکارانة اعضاي ناراضي را در شبکة خصوصي کشف کنيم قرار دادن Honeypot در اينترانت مفيد است. در اينترانت Honeypot پشت ديوارة آتش قرار ميگيرد.
در شبکة اينترنت يک Honeypot ميتواند در يکي از محلهاي زير قرار گيرد :
1-جلوي ديوارة آتش
2-درون- DMZ
http://www.pnu-club.com/imported/mising.jpg
شکل فوق قرار گرفتن Honeypot را در محلهاي گفته شده نشان ميدهد.
هر کدام از اين دو مزايا و معايبي دارد که به آن ميپردازيم.
با قرار گرفتن Honeypot در جلوي ديوارة آتش، خطر داشتن يک سيستم تحت سيطرة نفوذگر در پشت ديوارة آتش از بين ميرود و هيچ خطر اضافي (منتج از نصب Honeypot) متوجه شبکة داخلي نميشود.
يک Honeypot مقداري ترافيک ناخواسته مثل پويش درگاه يا الگوهاي حمله را ايجاد و جذب ميکند که با قرار دادن Honeypot در بيرون از ديوارة آتش چنين وقايعي توسط ديوارة آتش ثبت نميشود و سيستم تشخيص نفوذ داخلي (که در حالت عادي در مواجهه با چنين رخدادهايي هشدار توليد ميکند) پيغام هشدار توليد نميکند.
عيب قرار گرفتن Honeypot جلوي ديوارة آتش اين است که نفوذگران داخلي به راحتي فريب نميخورند، مخصوصاً اگر ديوارة آتش ترافيک خروجي و در نتيجه ترافيک دريافتي Honeypot را محدود کند.
قرار گرفتن Honeypot درون يک DMZ يک راهحل خوب به نظر ميرسد به شرطي که امنيت ديگر سيستمهاي درون DMZ در برابر Honeypot برقرار شود. از آنجايي که فقط سرويسهاي مورد نياز اجازة عبور از ديوارة آتش را دارند، دسترسي کامل به اغلب DMZها ممکن نيست. به اين دليل و با توجه به اينکه تنظيم قوانين مرتبط روي ديوارة آتش کاري زمانبر و مخاطرهآميز است، در چنين حالتي قرار دادن Honeypot جلوي ديوارة آتش مورد توجه قرار ميگيرد.
قرار دادن Honeypot پشت ديوارة آتش، ميتواند باعث بروز خطرات امنيتي جديدي در شبکة داخلي شود، مخصوصاً اگر شبکة داخلي توسط ديوارههاي آتش اضافي در برابر Honeypot ايمن نشده باشد. توجه داشته باشيد که اگر Honeypot را پشت يک ديوارة آتش قرار ميدهيد، بايد قوانين ديوارة آتش را طوري تنظيم کنيد که دسترسي از اينترنت مجاز باشد.
بزرگترين مشکل وقتي به وجود ميآيد که يک نفوذگر خارجي کنترل Honeypot داخلي را در اختيار ميگيرد. در اين صورت نفوذگر امکان دسترسي به شبکة داخلي را از طريق Honeypot به دست ميآورد. زيرا اين ترافيک، به عنوان ترافيک ورودي به Honeypot در نظر گرفته ميشود و از آنجايي که ترافيک ورودي به Honeypot مجاز است، ديوارة آتش جلوي عبور اين ترافيک را نميگيرد. بنابراين ايمن کردن Honeypot داخلي ضروري است. دليل اصلي قرار گرفتن Honeypot پشت ديوارة آتش شناسايي نفوذگران داخلي است.
بهترين راهحل قرار دادن يک Honeypot درون DMZ به همراه يک ديوارة آتش است. بسته به اينکه هدف شناسايي نفوذگران داخلي يا خارجي است، ديوارة آتش ميتواند به اينترنت يا اينترانت وصل شود.
در حقيقت شما ميخواهيد از طريق Honeypot يک مانور ترتيب بدهيد و به يک دشمن فرضي حمله کنيد يا در مقابل يک دشمن فرضي بايستيد. لذا شرايط را به صورت واقعي تنظيم کنيد.
تقسيمبندي Honeypotها از نظر کاربرد
از ديدگاه کاربرد و استفادهاي که قرار است از سيستم شود Honeypotها به دو دسته تقسيم ميشوند :
Production Honeypot : اين نوع سيستم وقتي که سازمان ميخواهد شبکه و سيستمهايش را با کشف و مسدود کردن نفوذگران حفاظت کند و نفوذگر را از طريق قانوني در دادگاه مورد پيگرد قرار دهد، مورد استفاده قرار ميگيرد.
Research Honeypot : اين نوع سيستم وقتي که سازمان ميخواهد فقط امنيت شبکه و سيستمهاي خود را با آموختن روشهاي نفوذ، منشا نفوذ، ابزارها و exploitهاي مورد استفادة نفوذگر مستحکمتر کند، استفاده ميشود.
بسته به هدف سازمان و اين که از يک Honeypot چه ميخواهيد، ميتوانيد يکي از دو نوع Honeypot ذکر شده را انتخاب کنيد.
تقسيمبندي Honeypotها از نظر ميزان تعامل با نفوذگر
Honeypotها از لحاظ ميزان تعامل و درگيري با نفوذگر به سه دسته تقسيم ميشوند :
دستة اول : Honeypot با تعامل کم[1]
دستة دوم : Honeypot با تعامل متوسط[2]
دستة سوم : Honeypot با تعامل زياد[3]
Honeypot با تعامل کم
در دستة اول، بر روي ماشين سرويسهاي جعلي و ابتدايي مشخصي مثل Telnet و Ftp نصب ميشود. اين سرويسها با استفاده از پروسهاي که روي درگاه مشخصي گوش ميکند، پيادهسازي ميشوند. نفوذگر فقط قادر است با اين سرويسها ارتباط برقرار کند. به عنوان مثال يک Honeypot با تعامل کم ميتواند شامل يک Windows 2000 Server به همراه سرويسهايي مثل Telnet و Ftp باشد. يک نفوذگر ميتواند ابتدا با استفاده از Telnet روي Honeypot نوع سيستم عامل آن را تشخيص دهد، سپس با يک صفحة ورود روبرو ميشود. نفوذگر دو راه براي دسترسي به Honeypot دارد يکي ورود به زور[4] و ديگري حدس زدن کلمة عبور[5]. Honeypot ميتواند تمام تلاشهاي نفوذگر را جمعآوري کند.
در اين حالت نفوذگر نميتواند هيچگونه ارتباطي با سيستم عامل برقرار کند و ارتباط نفوذگر فقط به تلاش براي ورود به سيستم محدود ميشود. اين مساله ميزان خطر را کاهش ميدهد چون پيچيدگيهاي سيستم عامل حذف ميشود. به عبارت ديگر اين يک عيب است چرا که نميتوانيم ارتباطات نفوذگر با سيستمعامل را که مورد علاقة ماست ببينيم.
Honeypotهاي دستة اول با کم کردن تعامل خود با نفوذگر ميزان خطر را به حداقل کاهش ميدهد و پايينترين ميزان خطرپذيري را داراست.
به کمک اين ماشينها اطلاعات محدودي مثل زمان نفوذ، پروتکل مورد استفاده، آدرس IP مبدا و مقصد، ... را ميتوان به دست آورد.
يک Honeypot با تعامل کم ميتواند با يک سيستم تشخيص نفوذ passive مقايسه شود. هيچ کدام نميتواند تغييري در ترافيک بدهد يا با نفوذگر يا جريان ترافيک ارتباط برقرار کند. فقط براي ايجاد گزارش[6] استفاده ميشوند و اگر ترافيک ورودي با الگوهاي از قبل تعيين شده مطابقت کند، هشدار ميدهند.
اين دسته از Honeypotها فقط براي شناسايي حملههاي شناخته شده خوب است ولي براي کشف حملههاي ناشناخته هيچ ارزشي ندارد.
Honeypot با تعامل متوسط
دستة دوم در مقايسه با دستة اول امکان بيشتري براي تعامل با نفوذگر فراهم ميکند ولي هنوز هم مثل دستة اول نفوذگر هيچ ارتباطي با سيستمعامل ندارد. دايمون[7]هاي جعلي فراهم شده پيشرفتهترند و دانش بيشتري راجع به سرويسهاي ارئه شده دارند.
در اين حالت ميزان خطر افزايش مييابد. احتمال اين که نفوذگر يک حفرة امنيتي يا يک آسيبپذيري پيدا کند بيشتر است زيرا پيچيدگي Honeypot افزايش مييابد.
نفوذگر امکان بيشتري براي ارتباط با سيستم و بررسي آن دارد و راحتتر فريب ميخورد.
همچنين با توجه به تعامل بيشتر، امکان انجام حملههاي پيچيدهتري وجود دارد که ميتوان با ثبت و آناليز کردن آنها به نتايج دلخواه دست يافت.
همان طور که گفته شد نفوذگر هيچ ارتباطي با سيستم عامل ندارد و در سطح برنامههاي کاربردي فعاليت ميکند.
توسعة يک Honeypot با تعامل متوسط کاري پيچيده و زمانبر است. بايد دقت شود که تمام دايمونهاي جعلي تا جايي که ممکن است ايمن شوند. نسخههاي توسعه يافته اين سرويسها نبايد داراي همان آسيبپذيريهاي همتاهاي (نسخههاي) واقعي باشند زيرا اين اصليترين دليل جايگزيني آنها با نسخههاي جعلي است.
کسي که ميخواهد چنين سيستمي را طراحي و پيادهسازي کند، بايد از دانش خوبي در مورد پروتکلها، سرويسها و برنامههاي کاربردي ارائه شده برخوردار باشد.
از اين Honeypotها ميتوان هم براي اهداف دستة research و هم براي اهداف دستة production استفاده کرد.
Honeypot با تعامل زياد
هرچه ميزان تعامل Honeypot با نفوذگر افزايش مييابد، ميزان پيچيدگي و خطر هم افزايش مييابد ولي به همان نسبت نتايجي که حاصل ميشود نيز بهتر است.
آخرين و پيشرفتهترين دسته از Honeypotها دستة سوم است. طراحي، مديريت و نگهداري اين Honeypotها کاري واقعاً زمانبر است. در ميان سه نوع Honeypot اين Honeypotها داراي خطر زيادي هستند ولي اطلاعات واسناد زيادي براي تحليل جمع ميشود.
در اين نوع Honeypot نفوذگر ارتباط کاملي با سيستمعامل دارد.
يکي از اهداف نفوذگر به دست آوردن دسترسي در بالاترين سطح (root يا superuser) ماشيني که به اينترنت وصل است ميباشد. اين Honeypot چنين امکاني را در اختيار نفوذگر قرار ميدهد. به محض اين که نفوذگر اين امکان را پيدا کند کار اصلي او شروع ميشود.
با استفاده از اين نوع Honeypot ميتوانيم به اطلاعاتي نظير اين که نفوذگران بيشتر از چه ابزارها و exploitهايي استفاده ميکنند، از چه کشورهايي هستند، به دنبال چه نقاط آسيبپذيري هستند، ميزان دانش آنها در مورد نفوذگري و .... دست پيدا کنيم.
نفوذگر پس از اين که دسترسي سطح root روي سيستم را به دست آورد، قادر است هرکاري که بخواهد روي سيستم تحت کنترل انجام دهد. اين سيستم فينفسه ايمن نيست بنابراين هيچ سيستمي روي شبکه را نميتوان امن در نظر گرفت.
بايد قبل از اين گونه Honeypotها يک ديوارة آتش نصب کنيم، زيرا در غير اين صورت نفوذگر پس از اين که کنترل کاملي بر ماشين به دست آورد ميتواند از آن براي طراحي حملاتي مثل [8]DDoS عليه ماشينهاي ديگر استفاده کند. براي جلوگيري از اين مساله بايد ديوارة آتش به گونهاي تنظيم شود که فقط ترافيک ورودي به سيستم مجاز باشد و ترافيک خروجي آن را مسدود کند.
همچنين ميبايست سطح دسترسي اين سيستم به شبکة داخلي محدود شود تا نفوذگر نتواند با استفاده از آن به ديگر سيستمهاي موجود در شبکة داخلي آسيبي برساند.
کنترل و نگهداشت چنين Honeypotاي کاري فوقالعاده زمانبر است. سيستم دائماً بايد تحت نظر باشد. Honeypotاي که تحت کنترل نباشد نه تنها هيچ کمکي نميکند بلکه خودش به عنوان يک نقطة خطر يا حفرة امنيتي مطرح میشود.
با فراهم کردن امکان ارتباط کامل نفوذگر با سيستمعامل، او ميتواند فايلهاي جديدي را روي سيستم نصب کند. اين جاست که اين نوع Honeypot با ثبت کردن و آناليز اين فعاليتها قدرت خود را نشان ميدهد. جمعآوري اطلاعات در مورد گروههاي نفوذگري هدف اصلي اين دسته از Honeypotها است و همين امر خطرپذيري بيشتر را توجيه ميکند.
از اين نوع Honeypot فقط براي اهداف دستة research استفاده ميشود.
جدول زير کاربرد هر کدام از Honeypotها را با توجه به ميزان تعامل آن با نفوذگر نشان ميدهد :
http://www.pnu-club.com/imported/mising.jpg
مزايا و معايب هر کدام از انواع Honeypot در جدول زير آمده است:
http://www.pnu-club.com/imported/mising.jpg
با توجه به عوامل ذکر شده و اين که در سازمان شما ميزان اهميت هر کدام از اين عوامل چه اندازه است و نتايجي که ميخواهيد از يک Honeypot به دست آوريد، ميتوانيد يکي از سه نوع Honeypot ذکر شده را براي سازمان خود انتخاب کنيد.
جايگاه Honeypot ها
حال كه آشنايي ابتدايي با هر دو نوع Honeypot داريم لازم است كه ارزش و جايگاه آنها را در دنياي امنيتي بيان كنيم ، به خصوص در ادامه بيان خواهيم كرد كه چگونه بايد از Honeypot استفاده كنيم.
همانطور كه قبلا اشاره كرديم دو دسته Honeypot داريم كه براي اهداف و تحقيقات ما مورد مطالعه قرار مي گيرند. وقتي از Honeypot ها به صورت محصولات توليد شده براي محافظت از سازمان ها استفاده مي كنيم مي توانند ما را در موارد مختلفي محافظت كنند از جمله مي توان محافظت ، كشف و پاسخ مناسب به يك حمله را بيان كرد. وقتي آنها را در جهت امور تحقيقاتي به كار مي بريم Honeypot ها اطلاعات لازم را براي ما جمع آوري مي كنند. البته اين اطلاعات براي سازمانهاي مختلف فرق مي كند. عده اي شايد بخواهند دشمنان بيروني خود را شناسايي كنند ، يا كارمندان و خريداران خرابكار خود را بشناسند اين سازمانها نيز مي توانند از اين دسته Honeypot ها استفاده كنند.
اگر بخواهيم به صورت كلي بيان كنيم Honeypot هاي كم واكنش به عنوان محصولات توليدي به كار مي روند در صورتيكه Honeypot هاي پرواكنش براي عملياتهاي تحقيقاتي روي شبكه به كار گرفته مي شوند. البته هر كدام از آنهامي توانند در اهداف ديگر نيز به كار روند .
Honeypot هاي توليداتي مي توانند ما را در سه رده زير كمك كنند:
1- پيشگيري (Prevention )
2- رديابي يا كشف( Detection )
3- پاسخ ( Response )
كه در ادامه به صورت عميق تري روي آنها بحث مي كنيم.
Honeypot ها از راههاي مختلفي مي توانند ما را از حملات حفظ كنند. ابتدا حملاتي كه به صورت اتوماتيكي انجام مي شود مثل كرمها و يا Auto-rooter ها . اين حملات به اين صورت كار مي كنند كه نفوذگران با استفاده از بعضي از ابزارها يك رنجي از شبكه ها را پويش كرده تا آسيب پذيري سرورهاي موجود در اين شبكه را پيدا كنند اين ابزارها پس از پيدا كردن آسيب پذيريهاي موجود ، به اين سيستم ها حمله مي كنند. (مانند كرم ساسر كه وقتي سيستمي را آلوده مي كرد به صورت اتوماتيك و به وسيله يك آدرس IP تصادفي ، سيستم ديگري را نيز آلوده مي كرد). روشي كه Honeypot ها براي محافظت شبكه ما از اين گونه حملات استفاده مي كنند اين است كه مي توانند سرعت اينگونه حملات را كند كنند و يا حتي آنها را متوقف كنند! به اين دسته از Honeypot ها Honeypot هاي چسبنده (Sticky ) مي گويند. در اين راه حل Honeypot ها ، آن دسته از آدرس هايي را كه در شبكه استفاده نمي شوند ، در نظر مي گيرند و به آنها واكنش نشان مي دهند. يعني هنگاميكه يك برنامه مخرب يا نفوذگر قصد پويش رنجي از آدرس ها را دارد ، Honypot به آن دسته از آدرس هايي كه در شبكه موجود نمي باشند واكنش نشان مي دهد براي مثال با استفاده از پيغامهاي TCP روند اين گونه حملات را آهسته تر مي كند. (براي نمونه، با دادن پيغام پنجره صفر ، نفوذگر را در يك گودال هل مي دهد تا نتواند بسته هاي ديگر را ارسال كند) اين امر براي آهسته كردن سرعت انتشار و يا محافظت در برابر كرمهايي كه شبكه داخلي ما را مورد هجوم قرار مي دهند بسيار مناسب است. LaBrea جزو اين دسته از Honeypot ها مي باشد.
Honeypot هاي چسبنده اغلب به عنوان يك Honeypot كم واكنش شناخته مي شوند. (البته شما مي توانيد آنها را Honeypot هاي بدون واكنش بناميد زيرا كه آنها فقط سرعت نفوذ يك نفوذگر را در شبكه كند مي كنند )
Honeypot همچنين مي توانند سازمان شما را از اشخاص نفوذگر محافظت كنند. البته اين كار فقط حيله اي مي باشد كه باعث تهديد و ارعاب نفوذگر مي شود. يعني نفوذگر را گيج و دست پاچه كنيم تا بتوانيم از اين طريق وقت او را به وسيله درگير شدنش با Honeypot بگيريم. در ضمن سازمان شما مي تواند با كشف فعاليتهاي نفوذگر و داشتن زمان لازم براي پاسخ ، اين گونه جملات را متوقف كند.
حتي مي توان يك مرحله بالاتر رفت . اگر نفوذگر بداند كه سازمان شما از Honeypot استفاده مي كند ولي نداند كه كدام سيستم Honeypot مي باشد هميشه يك نگراني در ذهن خود دارد كه « آيا اين يك سيستم حقيقي است يا در يك Honeypot گرفتار شده ام !! » و ممكن است همين نگراني باعث شود كه هيچگاه به فكر نفوذ در شبكه شما نيفتد. بنابراين Honeypot مي توانند نفوذگران را بترسانند. Deception Toolkit يكي از همين نوع Honeypot هاي كم واكنش مي باشد.
http://www.pnu-club.com/imported/mising.jpg
راه دومي كه Honeypot ها به محافظت سازمانها كمك مي كنند از طريق كشف يا رديابي است.عمل كشف خيلي بحراني مي باشد كه وظيفه اش شناسايي ناتواني ها و از كار افتادگي هاي بخش پيشگيري مي باشد. صرف نظر از اينكه امنيت يك سازمان به چه صورت مي باشد معمولا اتفاقي براي شبكه هاي آنها مي افتد كه باعث بعضي از شكست ها مي گردد. صرف نظر از مشكلات و درگيري هايي كه اشخاص براي كشف يك حمله انجام مي دهند، وقتي يك حمله شناسايي شود مي توان خيلي سريع به آن واكنش نشان داد و آن را متوقف كرد و يا حداقل اثر آن را كمتر كرد. متاسفانه كشف يك حمله بسيار كار مشكلي مي باشد. تكنولوژي هايي مانند IDS ها و فايلهاي ثبت وقايع(log) از جهاتي بدون اثر مي باشند. آنها داده هاي فراواني را توليد مي كنند كه خواندن تمامي آنها زمان فراواني را مي طلبد و بسياري از اين داده ها نيز بيهوده و به درد نخور مي باشند. همچنين آنها در كشف حملات جديد نيز ناتوان مي باشند. حتي نمي توانند با محيط هاي رمز شده و يا IPV6 كار كنند. Honeypot ها براي كشف و رديابي يك حمله نسبت به اين تكنولوژيهاي قديمي برتري دارند. Honeypot داده هاي كم و با قطع و يقين بيشتري جمع آوري مي كند كه ارزش بسيار فراواني دارد.آنها حتي مي تواند حملات جديد و يا كدهاي چند شكلي را به راحتي كشف كنند و مي توانند در محيطهاي رمز شده و IPv6 نيز استفاده شوند.
براي اينكه اطلاعات بيشتري راجع به اين دسته از Honeypot كسب كنيد مي توانيد مقاله Honeypot:Simple,Cost Effective Detection را مطالعه كنيد. به هر جهت Honeypot هاي كم واكنش بهترين راه حل براي كشف مي باشند. ساخت و نگهداري آنها آسان تر از Honeypot هاي پر واكنش مي باشد و همچنين ريسك كمتري نسبت به آنها دارد.
سومين و آخرين راهي كه honeypot ها سازمانهاي ما را محافظت مي كنند پاسخ( Response ) است. هر زماني كه يك سازمان يك خطا و مشكلي را در شبكه خود تشخيص داد حال چگونه بايد پاسخ دهد؟ همين موضوع مي تواند يكي از چالش هايي باشد كه يك سازمان با آن مواجه مي باشد. معمولا اطلاعات كمي درباره اينكه نفوذگر چه كسي است! و چه كاري مي خواهد انجام دهد!، وجود دارد. در اين وضعيت كوچكترين اطلاعات درباره فعاليت هاي نفوذگر، مهم و حيلاتي است.
معمولا در پاسخ مناسب به يك حمله دو تا مشكل وجود دارد؛ ابتدا اينكه ، بيشتر سيستم هايي كه مورد هجوم قرار گرفته اند را نمي توان براي يك تجزيه و تحليل مناسب ، از كار انداخت . سيستم هاي توليداتي ، مانند سرور پست الكترونيكي براي يك سازمان بسيار مهم و حياتي مي باشند و حتي اگر متوجه بشوند كه سرور آنها هك شده است باز هم حاضر نيستند اين سيستم ها را از كار بياندازند تا تجزيه و تحليل دقيقي روي آنها انجام شود و پاسخ مناسبي به آن داده شود. در عوض بايد در هنگامي كه اين سيستم ها در حال كار مي باشند آنها را بررسي كرد. همين امر باعث مي شود كه نتوان به درستي پي برد كه چه اتفاق افتاده است و چه مقدار خسارت توسط هكر به سيستم وارد شده است و آيا نفوذگر به سيستم هاي ديگر وارد شده است؟ و يا مي تواند وارد شود!؟
مشكل ديگر در اينجا مي باشد كه حتي اگر سيستم را نيز از كار بياندازيم آنقدر داده در سيستم وجود دارد كه نمي توان به درستي متوجه شد كه كداميك متعلق به نفوذگر است. در عوض Honeypot ها براي چنين كارهايي بسيار عالي مي باشند، زيرا كه آنها را مي توان به آساني از كار انداخت تا تجزيه و تحليل كاملي روي آنها انجام گيرد بدون اينكه به روند كاري سازمان صدمه اي وارد شود. همچنين Honeypot ها تنها فعاليت هاي غير قانوني و بد انديشانه را در خود ذخيره مي كنند و به همين دليل است كه تجزيه و تحليل يك Honeypot هك شده بسيار آسان تر از يك سيستم واقعي مي باشد. هر داده اي كه در Honeypot ذخيره شده است مربوط به فعاليت هاي فرد نفوذگر مي باشد و همين موضوع اين امكان را به يك سازمان مي دهد كه خيلي راحت به اطلاعات مفيدي درباره نوع حمله و هويت نفوذگر پي برده و پاسخ سريع و موثري را به آن دهد. به صورت كلي Honeypot پرواكنش براي پاسخ بهترين گزينه مي باشند. براي پاسخ به يك اخلال ابتدا بايد دانست كه اخلال گر قصد چه كاري را داشته است و چگونه توانسته است كه اخلال ايجاد كند، همچنين از چه ابزارهايي استفاده كرده است. پس براي اين مرحله نياز به Honeypot پرواكنش داريم.
آنچه كه مسلم است ، Honeypot ها يك تكنولوژي جديد مي باشند و هنوز راه فراواني را بايد بپيمايند تا به تكامل برسند. اما آنها براي بسياري از اهدافي كه يك سازمان براي مسايل امنيتي نياز دارد ، مناسب مي باشند و ما را براي براي پيشگيري از يك نفوذ ، كشف نفوذ و پاسخ به آن كمك مي كنند.
1- Low-Interaction
2- Medium-Interaction
3- High-Interaction
4-Brute Force
5-Password Guessing
۶-Log
۷-Daemon
۸-Distributed Denial Of Service
نويسنده : آقای حسن تكابي
ناشر : مهندسي شبكه همكاران سيستم
برگرفته از :
كد - لینک:
SGNEC ( System Group Network Engineering Co.) - طراحي و پياده سازي شبكه , امنيت شبكه , امنيت اطلاعات , ويروس ها و آنتي ويروس , اخبار و مقالات , مقابله با هك و هكر , Ne (http://www.sgnec.net)
:104:
گردآونده:طه-Borna66