در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

هانی‌پات (Honeypot) چیست؟ - بخش اول

مقدمه ای کوتاه درباره هانی‌پات‌ها (Honeypots)


برای شروع و درک اولیه، یک هانی پات را میتوان یک حقه و کلک یا بهتر است بگویم یک طعمه در نظر گرفت که میتواند بسیاری از نفوذگران ( اتکرها) را بخود جذب کند. عموما این طعمه ها میتوانند بصورت سیستم های فیزیکی و یا مجازی پیاده سازی شوند که نقش یک دیوایس واقعی ( و حتی Critical) را در شبکه از خود به نمایش میگذارند (در حالی که اینطور نیست). بر روی هانی پات ها مانیتورینگ و لاگینگ سنگینی را به اجرا میگذاریم تا بتوان عملکردهای اتکر را بر روی آن بدقت مورد بررسی و تحلیل قرار داد. اگرچه جذب عمدی یک اتکر در دسترسی به سیستمی از شبکه ممکن است از نظر یک فرد حرفه ای در زمینه امنیت متناقض به نظر برسد اما نباید از فواید راه اندازی و استفاده از هانی پات در شبکه نیز چشم پوشی نمود.

هانی‌پات (Honeypot) چیست؟ - بخش اول

هانی پات ها به تحلیلگران امنیت این شانس را میدهد تا بتوانند بطور واقعی بر روی دشمن خود مطالعه کنند. با آنالیز این که حملات واقعی چگونه، چه موقع انجام میشوند و چه هکرهایی در پشت روت کیت‌ها، تروجان‌ها و اکسپلویت‌ها هستند، آنالیزو شبکه میتواند راه های بهتر و کاراتری را در برابر چنین حملاتی پیشنهاد و ارائه دهد. اجرای مانیتورینگ قوی بر روی هانی پات نه تنها برای آنالیزورها سودمند است، بلکه میتواند بخوبی دیگر اتک های احتمالی و بالقوه شبکه را نیز نشان دهد. در نهایت میتوان گفت که یک هانی پات هرچند طعمه ای بیش نیست اما اطلاعاتی در آن بصورت عمد گذاشته میشود که برای هر اتکر داخلی و یا خارجی وسوسه انگیز است ولی در واقع کاری که انجام میشود، انحراف نفوذگران از اهداف حساس و با ارزش شبکه است. به یاد داشته باشید که در برخی حوزه های قضایی، این کار بیشتر از آن که برای انحراف اتکر صورت پذیرد، به منظور به دام انداختن آن انجام میشود.

دو نوع رایج از هانی پات‌ها


محققان هانی پات‌ها را در دو دسته با ریسک بالا و با ریسک پایین کلاس‌بندی کرده‌اند. هانی پات با ریسک بالا عموما بر روی یک دیوایس، سیستم عامل و اپلیکیشن های واقعی و سرویس دهنده که اتکر قصد حمله و نفوذ بر روی آن‌ها را دارد، پیاده سازی می‌شود.به عنوان مثال، یک انالیزور که حملات محتمل بر روی ویندوز سرور 2003 (وب سرور) با IIS 6 را تحلیل میکند، باید برای نیل به هدف خود بر روی یک سیستم واقعی یا مجازی، سیستم عامل و نرم افزار گفته شده را اجرا کند. خوبی که هانی پات با ریسک بالا دارد، اینست که به اتکر این امکان داده میشود تا هر آنچه را که میخواهد بر روی دیوایس واقعی مورد نظر انجام دهد و علت هم اینست که اتکر دقیقا بر روی یک دیوایس واقعی و سرویس دهنده کار میکند. یعنی آنکه در این حالت، اکسپلویت ها بدرستی کار میکنند و قابل تحلیل هستند. در مقابل این نوع پیاده سازی هانی پات، میتواند ضررهای زیادی هم داشته باشد؛ چرا که وقتی که یک سیستم واقعی که هانی پات روی آن پیاده سازی شده، در معرض تهدید شدن قرار میگیرد، برای استفاده مجدد و قرارگیری در شبکه باید مجددا پیکربندی شود. اگرچه این مورد بسیار نادر است اما حملات مخرب بر علیه BIOS سیستم هانی پات، آن را ناایمن و غیر مطمئن میسازد. همین امر موجب میشود که از هانی پات به عنوان نقطه قوت اجرای حملات استفاده شود که این امر ممکن است سبب ایجاد مشکلاتی در ارائه سرویس واقعی شبکه شود. اما هانی پات با ریسک پایین بر روی یک سیستم عادی مثل یک سیستم لینوکس اجرا میشود و طوری وانمود خواهد شد که این سیستم یک سیستم سرویس دهنده در شبکه است و سرویس خاصی را اجرا میکند. در مثال بالا؛ در ویندوز سرور 2003 با IIS 6، ممکن است سرویس هایی مثل پورت های رایج SMB و IIS 6 بر روی پورت های 80 و 443 در حال اجرا باشند. هانی پات لاگِ کانکشن های ایجاد شده بر روی این پورت ها و هرگونه فرمانی که بسمت آن ها ارسال شده است را مانیتور میکند.

هانی‌پات (Honeypot) چیست؟ - بخش اول

هانی پات مرز آنچه که میتواند عبور کند و یا عبور نکند را مشخص می‌کند. بطور مثال یک هانی پات با ریسک پایین، وضعیتی شبیه یک روتر سیسکو را شبیه سازی میکند. ممکن است خود را شبیه به یک دیوایس سیسکو با قابلیت تلنت نشان دهد اما هرگز به اتکر این اجازه را نخواهد داد تا واقعا بر روی آن لاگین کند. در مقابل یوزرنیم ها و پسوردهایی که اتکر با ان ها سعی در لاگین داشته است را درخود ثبت میکند. یا آن که سیستم هانی پات ما ممکن است خود را شبیه به یک FTP سرور جا بزند. در این صورت ممکن است که به لاگین های ناشناس هم اجازه عبور دهد اما هرگز اجازه استفاده کامل از تمامی دستورات FTP را به آن ها نخواهد داد. در تمامی این حالات سیستم هانی پات ما خود را شبیه به یک سرور و ارائه دهنده سرویس جا زده است ولی از آنجایی که فقط نقش بازی میکند و در دل آن هیچ سرویس واقعی در حال اجرا نیست، اتکر حتی اگر در آن هم نفوذ کند، راه بجایی نخواهد برد و در واقع سرکار رفته است! در عوض تحلیلگر از لاگ هایی که ثبت شده است میتواند استفاده کافی را ببرد و اتکر را رفتار شناسی کند. بزرگترین مزیت استفاده از هانی پات با ریسک پایین، اینست که به سادگی قابل نگهداری است چرا که در کنار سایر دلایل، این سیستم هیچگاه کاملا مورد تهدید قرار نخواهد گرفت. هرچند که با این وضعیت نیز تحلیلگر هم نخواهد توانست درک درستی از آن چه را اتکر قصد انجام آن را داشته است، بدست اورد. هانی پات رایجی که در حالت "ریسک پایین" مورد استفاده قرار میگیرد، Honeyd نام دارد که در طی اجرای پروژه Honeynet، توسط شخصی به نام Niels Provos ایجاد شده است.

پایان بخش اول

سربلند و مانا باشید.

نویسنده: احسان امجدی

منبع: جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#آموزش_تست_نفوذ #پروژه_honeynet #هانی_پات_چیست؟ #آموزش_امنیت_اطلاعات #honeyd_چیست؟ #ترفند_ظرف_عسل_چیست؟ #آموزش_امنیت_شبکه #honeypot_چیست؟
عنوان
1 هانی‌پات (Honeypot) چیست؟ - بخش اول رایگان
2 هانی‌نت (Honeynet) چیست؟ - بخش دوم رایگان
زمان و قیمت کل 0″ 0
5 نظر
مصطفی خواجوندی

ممنون بابت مقاله خوبتون

marjan

سلام. ممنون مطلب جالبی بود . فقط یه چیزی رو متوجه نشدم . زمانی که رسما خطری شبکه رو تهدید نمی کنه چه نیازی به این کار هست ؟ اگه منظور تست شبکه هست که هکرهای کلاه سفید مورد اطمینان به نظرم بهتر می تونن اینکارو انجام بدن.

وقتی از عبارت دشمن استفاده میشه یعنی اتکر از قبل شبکه رو زیر نظر داشته ، اما این که خودمون عمدا مهاجم متوجه شبکه کنیم مثل این می مونه که یه سری از وسایل خونمون رو بذاریم تو حیاط و در خونمون رو باز بذاریم تا دزد بیاد و وسایل توی حیاط رو ببره و به وسایل توی خونه کاری نداشته باشه !

شایدم من اشتباه متوجه شدم. ولی در کل مطلب جالبی بود . مرسی

احسان امجدی

دوست عزیز استفاده از هانی پات ها یک استراتژی در شبکه محسوب میشه و اجرای هر استراتژی هم مستلزم نیاز به اون هستش. حرف شما صحیحه.. در صورتی که نیاز به این کار نباشه، هانی پات رو اجرا نخواهیم کرد چون همونطور که میتونه هکر رو بازی بده، ریسک هم داره. (البته در صورتی که درست کانفیگ و اجرا بشه، این ریسک به حداقل میرسه)

استفاده از هانی پات ها در شبکه های اینترپرایز و اونهم در صورت لزوم مورد استفاده قرار میگیره و کانفیگ و اجرای اون، تخصص خودشو میخواد

مصطفی خواجوندی

به نظر من همیشه باید از قبل همه چیرو پیش بینی کرد هکر که از قبل خبر نمیده بسته به اطلاعات و داراییهای سازمان داره که تا چه حد اهمیت داره وآیا برای این اطلاعات ارزش داره که هزینه بشه .

هیچ سازمانی نمیتونه بگه که من امنیت صد در صدی دارم هر سازمانی بسته به دنیاز خودش امنیت رو طبق isms رعایت میکنه .

میثم رضوان دوست

با سلام خدمت آقای مهندس امجدی عزیز

خیلی خوب بود مثل همیشه

متشکر و سربلند باشید

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....