برای مطالعه قسمت قبل آموزش رایگان دوره CEH اینجا کلیک کنید.
هانیپات
هانیپات (Honeypot) یک سامانه کامپیوتری یا ترکیبی از سامانههای کامپیوتری است که اطلاعات کاذبی درون آنها قرار دارد و برای مقابله با هکرها و کشف و جمعآوری فعالیتهای غیرمجاز در شبکههای کامپیوتری در شبکهها استفاده میشود. هانیپاتها با هدف به دام انداختن هکرها و بررسی رفتارهای آنها در شبکههای سازمانی پیادهسازی میشود. هانیپاتهای اولیه عمدتا با هدف شناسایی هکرها استفاده میشدند، اما امروزه هانیپاتها با هدف به دام انداختن بدافزارها استفاده میشوند.
روزانه اطلاعات با ارزشی از قبیل شمارههای حساب بانکی، حسابهای کاربری، گذرواژهها به سرقت میروند و خسارتهای مالی زیادی به شرکتهای بزرگ وارد میشود. در این زمینه شرکتها و توسعهدهندگان نرمافزارهای امنیتی تصمیم گرفتند جلوی این مدل حملات را بگیرند و هکرها را از دسترسی به شبکهها و اطلاعات سازمانی منحرف کنند. اطلاعات نادرست و گمراهکننده بهترین طعمه برای فریب هکرها است. برنامهنویسان برای انجام اینکار گونه خاصی از بنامهها را طراحی کردند تا نفوذگران را گمراه کرده و به دام اندازند. این برنامهها با دادن اطلاعات نادرست به هکرها، باعث میشوند هکر فکر کند که اطلاعات کامل و بی عیبی دست پیدا کرده است. این برنامههای اغواکننده هانیپات نام دارند.
هانیپات یک منبع سیستم اطلاعاتی است که میزبان اطلاعات کاذب و غیرواقعی است و با استفاده از اطلاعات کاذب سعی میکند فعالیتهای غیرمجاز و غیرقانونی روی شبکه را کشف و جمعآوری کند. به زبان ساده هانیپات یک سیستم یا سیستمهای کامپیوتری متصل به شبکه یا اینترنت است که دارای اطلاعات کاذب است. هانیپاتها به شیوه هوشمندانهای در شبکهها مستقر میشوند تا به عنوان یک تله عمل کرده و هکر را ترغیب کنند تا به هانیپات حمله کند. هانیپاتها با استفاده از اطلاعات غیر واقعی هکرها را فریب میدهند و اطلاعاتی از نحوه ورود آنها به شبکه و اهدافی که در شبکه دنبال میکنند، جمعآوری میکند.
دلایل بهکارگیری هانیپات
از مهمترین دلایل بهکارگیری هانیپاتها در شبکه یک سازمان به موارد زیر میتوان اشاره کرد:
پیشگیری: با منابع و اطلاعات غیر معتبری که در اختیار حملهکنندگان قرار میدهند، در واقع از در خطر قرار گرفتن سیستم واقعی جلوگیری میشود و این یک عمل پیشگیرانه است.
کشف: در اغلب شبکههای موجود در سازمانها، فعالیت محصولات دارای پیچیدگی فراوانی هستند که کشف حملات را مشکل میسازد. حال آنکه در هانیپات این پیچیدگی وجود ندارد و جریانهای ورود و خروج به آن کاملاً روشن است.
واکنش: فعالیتهای انجام شده توسط تجهیزات مختلف باعث میشود تیم پاسخگویی به حوادث نتواند به درستی تشخیص دهد که چه اتفاقی افتاده است. از طرف دیگر در اغلب مواقع تیم پاسخگویی به مشکلات قادر نیست اطلاعاتی از سیستم در معرض خطر قرار گرفته، جمعآوری کند ولی برای سیستم هانیپات چنین محدودیتی وجود ندارد.
پژوهش: یکی از مهمترین مباحث در مبحث امنیت، گردآوری اطلاعات در ارتباط با حملهکننده است. هانیپات به عنوان یک ابزار تحقیقاتی کمک فراوانی به سازمانهای پژوهشی و دانشگاهی میکند.
هانیپاتها چگونه کار میکنند؟
با توجه به اینکه منابع هانیپات فاقد ارزش هستند، بنابراین هرگونه فعالیت در آن، غیرمجاز، مشکوک و مخرب فرض میشود. یک هانیپات ممکن است یک کامپیوتر اضافی در یک شبکه باشد و طوری پیادهسازی شود که اغلب نقاط ضعف شبکه را شبیهسازی کند. وقتی یک هکر، شبکهها را برای یافتن نقاط ضعف پویش میکند با پیدا کردن نقاط آسیبپذیر به هانیپات حمله میکند. هانیپات با ارسال هشداری این موضوع را به مدیر امنیتی شبکه اطلاع میدهد تا اقدام لازم همچون جمعآوری اطلاعات را انجام دهد.
هانیپاتها به چند گروه تقسیم میشوند؟
هانیپاتها را میتوان بر اساس بهکارگیری و سطح تعامل طبقهبندی کرد. بر این اساس هانیپاتها به دو شکل تجاری و پژوهشی در دسترس هستند:
هانیپاتهای تجاری: این نوع سیستم وقتی که سازمان در نظر دارد شبکه و سامانههایش را با کشف و مسدود کردن نفوذگران حفاظت کند و نفوذگر را از طریق قانونی تحت پیگرد قرار دهد یا اثر مثبت و مستقیم ابزارهای امنیتی را بررسی کند از یک هانیپات تجاری استفاده میکند. این اثرات شامل جلوگیری، حفاظت و پاسخگویی به حملات هستند. از آنجایی که این نوع از هانیپاتها نقش عملیاتی کمی دارند، پیادهسازی آنها ساده است، در نتیجه اطلاعات زیادی در مورد حملهکنندهها و حملات، جمعآوری نمیکنند.
هانیپاتهای پژوهشی: این نوع سیستم وقتی که سازمان در نظر دارد تنها امنیت شبکه و سیستمهای خود را با آموختن روشهای نفوذ، منشأ نفوذ، ابزارها و اکسپلویتهای مورد استفاده هکرها مستحکمتر کند، استفاده میشوند. این نوع هانیپاتها برای جمعآوری اطلاعات درباره حملهکنندهها پیادهسازی میشود و با مطالعه الگوی رفتاری هکرها مکانیزمهای امنیتی را بررسی میکنند.
در تعامل با هانیپاتها یک توازن میان مقدار دادههای گردآوری شده و مقدار صدمات وارد شده توسط مهاجم وجود دارد. به بیان دقیقتر، هر چه وسعت خرابی و صدمات بیشتر باشد، اطلاعات بیشتر و مفیدتری میتواند گردآوری شود. هانیپاتها از لحاظ واکنشی(Interaction) به سه دسته کم واکنش، میان واکنش و پر واکنش تقسیمبندی میشوند:
یک هانیپات کم واکنش ویژگیهای زیر را دارد:
• نصب آسان
• پیکربندی ساده
• قابلیت توسعه
• نگهداری ساده
• خطرپذیری کم
این گروه از هانیپاتها اطلاعات زیر را جمعآوری میکنند:
• ساعت و تاریخ حمله
• آدرس آیپی مبدأ و پورت مبدأ حمله
• آدرس آیپی مبدأ و پورت مقصد حمله
هانیپات با تعامل کم، تعامل محدودی برقرار میکنند. آنها معمولاً با سرویسها و سیستمعاملهای شبیهسازی شده کار میکنند. فعالیت نفوذگر از طریق سطح نمونهسازی به وسیله هانیپاتها محدود میشود. یک هانیپات میان واکنش در واقع یک سیستم تکامل یافته و دارای ویژگیهای زیر است:
• نصب آسان
• پیکربندی مطابق نظر سازمان
• قابلیت توسعه
• نگهداری ساده
• خطرپذیری بیشتر از کم واکنش
• دارای واکنش بیشتر با حملهکننده
این دسته از هانیپاتها، علاوه بر قابلیتهای کم واکنش، قابلیتهای دیگری شبیه به ایجاد یک سیستمعامل مجازی در محیط یک سیستمعامل واقعی ارائه میکنند، بهطوریکه از دید هکر رفتار آن مانند یک سیستم حقیقی است. در چنین شرایطی زمانی که مهاجم کنترل سیستمعامل مجازی را به دست گرفت تمام اعمال او تحت نظر قرار میگیرد.
یک هانیپات پر واکنش، اغلب از نوع پژوهشی و دارای ویژگیهای زیر است:
• ایجاد سیستم واقعی
• هزینه بالا
• پیکر بندی و مدیریت پیچیده
• خطرپذیری بسیار بالا
• دادههای گرد آوری شده زیاد و با ارزش
این دسته از هانیپاتها، با هدف درگیر کردن مهاجم با یک محیط واقعی پیادهسازی میشوند و قابلیتهای زیر را ارائه میکنند:
• شناسایی و ثبت ابزار مهاجم
• مانیتور کردن فعالیتهای هکر
• دریافتن ارتباط هکر با سایرین
همانگونه که به مهاجم این اجازه داده میشود تا با محیط واقعی سیستمعامل در تعامل باشد، این خطر نیز وجود دارد که مهاجم از طریق هانیپات به کامپیوترهای دیگر در شبکه، آسیب برساند. برای جلوگیری از این امر لازم است هانیپات پر واکنش در محیطی کنترل شده پیادهسازی شود. با این حال، بهترین روش مطالعه بدافزارها و هکرها در جهت تجزیه و تحلیل هانیپاتهای پر واکنش هستند. هانیپات با تعامل زیاد به خاطر سر و کار داشتن با سیستمعامل و برنامههای کاربردی واقعی راهحلهای پیچیدهتری هستند. هیچ چیز نمونهسازی نمیشود و هر چیز واقعی در اختیار هکر است.
مزایای هانیپات
از مهمترین مزایای هانیپاتها به موارد زیر میتوان اشاره کرد:
سادگی: مزیت اولیه هانیپات سادگی آن است. کافی است آنرا به یک شبکه متصل کنیم، اساساً به دلیل بیارزش بودن منابع آن هر گونه نفوذ و فعالیت در فضای آن مخرب در نظر گرفته میشوند.
ارزش دادهها: در یک شبکه واقعی به دلیل فعالیت جاری سیستم، اطلاعات بهدست آمده در زمان حمله و تهدید، مخلوطی از دادههای عادی و تخاصمی و دارای حجم زیادی است، حال آنکه در هانیپات ضمن کم حجم بودن دادهها، اطلاعات مهم در معرض خطر قرار نمیگیرند.
ابزار، تکنیکها و بدافزارها: هانیپاتها ممکن است جهت ذخیرهسازی آنچه که مهاجمان دانلود میکنند طراحی شده باشند، در این حالت ابزاری که آنها در جهت بهدست گرفتن کنترل سیستم به کار میبرند کشف میشود.
معایب بهکارگیری هانیپاتها
همانند هر فناوری دیگر، هانیپات نیز دارای نقاط ضعفی است. با وجود مزایای شناخته شده، هانیپات جایگزین سایر فناوریها نمیشود و معایب زیر را دارد:
محدودیت رویت: هانیپاتها قادر به گزارش آن دسته از رویدادهایی هستند که به صورت مستقیم با آن روبرو میشوند. در نتیجه اگر شبکهای خارج از دید آن مورد حمله قرار گیرد، هانیپات از اتفاقات آن بیخبر است و قابل ردیابی نیست.
اثر انگشت: نقطه ضعف دیگر هانیپات قابلیت ردیابی شدن آن است. این ضعف به خصوص برای نوع پژوهشی بیشتر است. هکرهای حرفهای با ردیابی و شناخت هانیپات در یک شبکه، دادههای اشتباه و گمراهکننده را به آن میدهند که باعث اتخاذ تصمیمات غلط مدیران امنیتی در مقابله با رویداد میشود.
خطر پذیری: گاهی ممکن است مهاجم، از طریق یک هانیپات مورد حمله قرار گرفته بتواند به شبکه اصلی نفوذ کند. در نوع تجاری این امکان کمتر و در پژوهشی بیشتر است.
چند نمونه از هانیپاتهای معروف
BOF: یک هانیپات کم واکنش از شرکت NFR security است که روی سیستمهای ویندوزی نصب میشود و تعداد محدودی از سرویسها را تقلید میکند. به علت محدود بودن تعداد سرویسها، مهاجمان تحریک میشوند با آن تعامل برقرار کنند. این سیستم برای تشخیص حملات Back orifice طراحی شدهاست. Back orifice یک برنامه نفوذی است که سیستم را از راه دور کنترل میکند. مانند خیلی از بدافزارها، برنامه روی سیستم دانلود شده و بعد از باز شدن توسط کاربر، روی سیستم نصب میشود و سیستم را تحت کنترل مهاجم در میآورد. با وجود BOF در سیستم، هر گونه کنترل از راه دور را کشف و آدرس و عملیات مهاجم ثبت میشود.
Honeyd: یک هانیپات کم واکنش متن باز برای سیستمهای یونیکسی است که برای کشف حملات و فعالیتهای غیرمجاز طراحی شدهاست. به علت متن باز بودن قابلیت تنظیم و شبیهسازی زیادی برای کاربر فراهم میکند. ابزار فوق به جای کشف آدرس مهاجم، به آدرس سیستمهای نامعتبر توجه میکند یعنی با مانیتور کردن آدرسهای بلا استفاده، به محض آنکه درخواست ارتباطی از سوی این نوع آدرسها دریافت شد، آن را از سوی مهاجم فرض میکند.
Decoy server: یک هانیپات پر واکنش از شرکت سیمانتک است که در گذشته Man Trap نامیده میشد. یک محیط محصورمانند توسط این هانیپات ایجاد میشود و مهاجم در این محیط مجازی با امکانات یک سیستمعامل محدود مواجه شده و امکان گریز هم ندارد.
هانینت
هانینت (Honeynet) یک محصول یا راهحل نرمافزاری نیست که بتوان روی یک کامپیوتر نصب کرد. هانینتها در واقع یک معماری و یک شبکه بی عیب از کامپیوترهایی هستند که طراحی شدهاند تا حملاتی روی آنها انجام شود. برای پیادهسازی هانینتها به یک معماری نیاز داریم که کنترل بالایی روی شبکه ایجاد کند تا تمامی ارتباطات با شبکه را بتوان زیر نظر گرفت. از ویژگیهای شاخص هانینتها میتوان به قابلیت کشف و فریب مهاجمان، پیادهسازی یک شبکه واقعی استاندارد که سیستمها در پشت تعدادی از تجهیزات کنترل دسترسی و مانیتور فعالیتها قرار گرفتهاند، دیواره آتشی است که تمام ارتباطات ورودی/ خروجی را ثبت کرده و سرویسهای NAT و DOS را حفاظت میکنند، ارائه عملکردی شبیه به یک سامانه تشخیص نفوذ و یک کامپیوتر remote syslog اشاره کرد.
در شماره آینده مبحث فوق را ادامه میدهیم.
برای مطالعه رایگان تمام بخشهای دوره CEH روی لینک زیر کلیک کنید:
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟