نویسنده : حسین ظفری | تعداد بازدید : 1995 | تاریخ : ۱۳۹۴/۴/۲۱

Honeypot

شناسایی تهدیدات و نحوه ارزیابی تفکر نفوذ گران در شبکه های Enterprise...

تهدیدات در سازمان های بزرگ چگونه شناسایی و ارزیابی می شوند؟

 

شاید فکر کنید تمامیت امنیت یک سازمان بزرگ و یا به اصطلاح Enterprise به دستگاه ها و سیستم های امنیتی آن سازمان است. دستگاه هایی مثل فایروال ها، یو تی ام ها، و ... که دیواره هایی بین دنیای بزرگ خارج از آن سازمان و شبکه داخلی سازمان می باشد. اگرچه این نوع سیستم ها و دستگاه ها اهمیت خاص و بسزایی در لایه های امنیتی یک سازمان دارند و هر کدام نقش مهمی را ایفا می کنند ولی شاید این راه حل که یک سازمان بتواند تهدیدات ورودی را دریافت و بدون آن که Attacker متوجه شود آن ها را آنالیز کند راه حل خوبی باشد. بلی آنالیز تهدیدات ورودی و بررسی آن ها برای تقویت لایه های امنیتی سازمان و همین طور پی بردن به نوع تفکر و روش Attacker ها بسیار موثر است.

حال این سوال پیش می آید که وظیفه این کار به عهده کیست؟ آیا شخص خاصی برای این کار لازم است یا گروهی ماهر برای این کار باید استخدام سازمان شوند؟ خیر، نیازی به این کار ها نیست و سیستم هانی پات می تواند این کار را انجام دهد. هانی پات یک سرور و یا سیستم به اصطلاح طعمه برای نفوذ گران به شبکه شما می باشد که می تواند رفتار آن ها را بررسی کند. این سیستم می تواند در داخل، خارج و حتی در محیط DMZ طرحی شده توسط فایروال ها پیاده سازی و استفاده گردد. ولی این موضوع مشکلی برای کاربران داخلی سازمان ایجاد نمی کند و هیچ کدام از کاربران داخلی حق و اجازه ارتباط با سیستم هانی پات را ندارند. لازم به ذکر است در یک شبکه می توانیم در هر نقطه ای از هانی پات استفاده کنیم. اما بیشتر در اکثر سازمان پیشنهاد می شود که هانی پات در داخل خود فایوال تنظیم و پیاده سازی شود که دروازه ورودی هر شبکه ای از سمت محیط اینترنت می باشد.

این سیستم دارای یك سری ضعفهای امنیتی است. از آنجاییكه مهاجمان برای نفوذ به یك شبكه همیشه به دنبال سیستمهای دارای ضعف میگردند، این سیستم توجه آنها را به خود جلب میكند. و با توجه به اینكه هیچكس حق ارتباط با این سیستم را ندارد، پس هر تلاشی برای برقراری ارتباط با این سیستم، یك تلاش خرابكارانه از سوی هکر ها محسوب میشود. در حقیقت این سیستم نوعی دام است كه مهاجمان را فریب داده و به سوی خود جلب میكند و به این ترتیب عالوه بر امكان نظارت و كنترل كار مهاجمان، این فرصت را نیز به سازمان میدهد كه فرد مهاجم را از سیستمهای اصلی شبكه خود دور نگه دارند.

 

 

هانی پات ها دو نوع هستند که عبارتند از هانی پات های Low Interaction و High Interaction که در باره آن ها صحبت خواهیم کرد.

 :Low Interaction*     

هانی پاتهای با تعامل کم، با شبیه سازی سیستمها و سرویسها کار می­کنند و فعالیتهای مهاجمان نیز صرفاً شامل همان چیزهایی می­شود که سرویسهای شبیه سازی شده اجازه می­دهند. برای مثال،Honeypot BackOfficer Friendly یک نمونه Honeypot بسیار ساده است که هفت سرویس مختلف را شبیه سازی می­کند. مهاجمان در مورد کارهایی که با هانی پات ها مبتنی بر سرویسهای شبیه سازی شده می­توانند انجام دهند بسیار محدود هستند. در بیشترین حالت، مهاجمان می­توانند به این هانی پات ها وصل شده و دستورات اولیه کمی را انجام دهند.

استفاده از هانی پاتهای با تعامل کم ساده تر است، چرا که آنها معمولاً از پیش با گزینه های مختلفی برای Administrator تنظیم شده اند. فقط کافی است شما انتخاب کرده و کلیک کنید و بلافاصله یک هانی پات را با سیستم عامل، سرویسها و رفتار مورد نظر خود در اختیار داشته باشید. از جمله این هانی پات ها می­توان به Specter اشاره کرد که برای اجرای تحت ویندوز طراحی شده است. این  Honeypot می­تواند تا ۱۳ سیستم عامل مختلف را شبیه سازی کرده و ۱۴ سرویس مختلف را نظارت نماید. واسط های کاربری باعث می­شوند که استفاده از این هانی پات ها بسیار ساده باشد، فقط کافی است روی سرویس هایی که می­خواهید تحت نظارت قرار گیرند کلیک کرده و نحوه رفتار هانی پات را تعیین نمایید.

هانی پاتهای با تعامل کم، همچنین از خطر کمتری برخوردارند، چرا که سرویس های شبیه سازی شده، کارهایی را که هکر می­تواند انجام دهد محدود می­کنند. هیچ  سیستم عامل حقیقی برای لود کردن toolkit ها توسط مهاجم وجود ندارد، و هیچ سرویسی که واقعاً بتوان به آن نفوذ کرد نیز موجود نیست، اما این سرویسها حجم محدودی از اطلاعات را می­توانند جمع آوری نمایند، چرا که هکرها در کار با آنها محدود هستند. همچنین این سرویسها در مواجهه با رفتارهای شناخته شده و حملات مورد انتظار بهتر کار می­کنند. زمانی که  هکرها کاری ناشناخته یا غیر منتظره را انجام می­دهند، این هانی پات ها در درک فعالیت  هکر، پاسخگویی مناسب، یا ثبت فعالیت با مشکل روبرو میشوند.

به عنوان مثالهایی از هانی پاتهای با تعامل کم می­توان بهHoneyD ،Specter و KFSensor اشاره کرد. برای درک بهتر نحوه کار هانی پاتهای با تعامل کم، نگاه کوتاهی به HoneyD می اندازیم. HoneyD یک هانی پات متن باز است که اولین بار در آوریل ۲۰۰۲ توسط نیلز پرووس عرضه شد. HoneyD به عنوان یک راه حل متن باز، رایگان بوده و اجازه دسترسی کامل کاربران به کد منبع خود را فراهم می آورد. این هانی پات که برای سیستمهای یونیکس طراحی شده است، می­تواند در سیستمهای ویندوز نیز مورد استفاده قرار گیرد. البته در این حالت بسیاری از ویژگیهای مورد استفاده در سیستمهای یونیکس را از دست می­دهد. HoneyD یک هانی پاتهای با تعامل کم است که نرم افزار آن را روی یک کامپیوتر نصب می­کنید. سپس این نرم افزار صدها  سیستم عامل و سرویس مختلف را شبیه سازی می­کند. با ویرایش فایل تنظیمات، شما تعیین می­کنید که کدام آدرسهای IP توسط HoneyD کنترل گردند، انواع سیستم عامل هایی که شبیه سازی می­شوند کدامها باشند و کدام سرویسها شبیه سازی گردند.

برای مثال می توانیم به HoneyD بگوییم که هسته یک سیستم Linux 2.4.10 را با یک سرور FTP که به پورت ۲۱ گوش می­دهد شبیه سازی نماید. اگر مهاجمان به این هانی پات مراجعه کنند، بر این باور خواهند بود که در حال تعامل با یک سیستم لینوکس هستند. اگر مهاجمان به سرویس FTP متصل شوند، تصور خواهند کرد که با یک سرویس واقعی FTP در تماس هستند.اسکریپت شبیه سازی شده از بسیاری نظرها کاملاً شبیه یک سرویس FTP واقعی رفتار کرده و در عین حال، تمامی فعالیتهای فرد مهاجم را ثبت می­کند. البته این اسکریپت چیزی بیش از یک برنامه نیست که منتظر یک ورودی مشخص از مهاجم می­ماند و خروجی از پیش تعیین شده ای را تولید می­کند. اگر فرد مهاجم کاری انجام دهد که  اسکریپت شبیه سازی شده برای آن برنامه ریزی نشده باشد، این اسکریپت صرفاً یک پیغام خطا باز می گرداند.

HoneyD دارای ویژگیهایی است که برای هانی پاتهای با تعامل کم معمول نیست. این Honeypot نه تنها شبیه سازی سیستم عامل را به وسیله تغییر رفتار سرویسها انجام می دهد، بلکه سیستم عامل ها را در سطح پشته IP نیز شبیه سازی می­کند. اگر یک فرد مهاجم از روشهای فعال fingerprinting مانند ابزارهای امنیتی اسکن Nmap و Xprobe استفاده کند، HoneyD در سطح پشته IP  بعنوان هر سیستم عاملی که بخواهید پاسخ می­دهد.

:High Interaction*    

هانی پاتهای با تعامل زیاد با هانی پاتهای با تعامل کم تفاوت بسیاری دارند، چرا که آنها کل سیستم عامل و برنامه ها را به طور حقیقی برای تعامل با مهاجمان فراهم می آورند. هانی پات های با تعامل زیاد چیزی را شبیه سازی نمی­کنند، بلکه کامپیوترها و  سیستم عامل هایی واقعی هستند که برنامه هایی واقعی دارند که آماده نفوذ توسط مهاجمان هستند. مزایای استفاده از این دسته از هانی پات ها بسیار قابل توجه است. آنها برای این طراحی شده اند که حجم زیادی از اطلاعات را به دست آورند. این هانی پات ها نه تنها می­توانند مهاجمانی را که به یک سیستم متصل می­شوند شناسایی نمایند، بلکه به مهاجمان اجازه می­دهند که به این سرویسها نفوذ کرده و به سیستم عامل دسترسی پیدا کنند. در نتیجه شما قادر خواهید بود rootkit های این مهاجمان را که به این سیستمها آپلود می­شوند به دست آورید و در حالی ­که مهاجمان با این سیستم در حال تعامل هستند، ضربات کلید آنها را تحلیل نموده و زمانیکه با سایر مهاجمان در حال ارتباط هستند آنها را کنترل کنید. در نتیجه می­توانید حرکات، میزان مهارت، سازمان و سایر اطلاعات ارزشمند را راجع به این مهاجمان به دست آورید.

همچنین از آنجایی که هانی پاتهای با تعامل زیاد شبیه سازی انجام نمی­دهند، طوری طراحی شده اند که رفتارهای جدید، ناشناخته یا غیر منتظره را شناسایی کنند. این دسته از هانی پات ها بارها و بارها ثابت کرده اند که قابلیت کشف فعالیتهای جدید، از پروتکلهایIP غیر استاندارد مورد استفاده برای کانالهای دستورات پنهانی گرفته تا تونل زدن IPv6 در محیط IPv4  برای پنهان کردن ارتباطات را دارا هستند. البته برای به دست آوردن این قابلیتها باید بهای آن را نیز پرداخت. اولاً هانی پاتهای با تعامل زیاد ریسک بالایی دارند. از آنجایی که مهاجمان با سیستم عامل های واقعی روبرو می­شوند، این Honeypotها می­توانند برای حمله کردن و ضربه زدن به سایر سیستمهایی که Honeypot نیستند مورد استفاده قرار گیرند. ثانیاً هانی پاتهای با تعامل زیاد پیچیده هستند. این بار به همین سادگی نیست که یک نرم افزار نصب کنید و پس از آن یک هانی پاتداشته باشید. بلکه شما باید سیستمهای واقعی را برای تعامل با مهاجمان ساخته و تنظیم نمایید. که البته این کار ریسک کار شما را بالا خواهد برد. همچنین با تلاش برای کم کردن خطر مهاجمانی که از هانی پات شما استفاده می­کنند، این پیچیدگی بیشتر نیز خواهد شد.

 

برای پیاده سازی و استفاده از هانی پات دو دلیل اصلی و به طور کلی دو نوع تفکر وجود دارد:

1-      دست یافتن به دلایل و روش های نفوذ گران برای اینکه بتوانیم این روش ها را آنالیز کنیم و لایه های امنیتی سازمان را برای مقابله با این روش ها مستحکم تر کنیم.

2-      جمع آوری اطلاعات و روش های نفوذ و لاگ های امنیتی موجود برای تحت تعقیب قرار دادن و دستگیری نفوذ گران غیر قانونی و ارائه این اطلاعات به مراجع قانونی برای تحقق این کار.

بسیاری از هکر ها سعی بر این دارند که هانی پات ها را در شبکه های هدف شناسایی کنند تا کار خود را بهتر انجام دهند. ولی سوال اینجاست که آیا این کار ساده است؟ جواب این سوال واقعا خیر است و یا امکان شناسایی هانی پات بسیار ضعیف است و این کار را میتوان در اکثر اوقات با حدس انجام داد. به طور مثال اگر نفوذ به یک شبکه که زیر نظر یک سازمان بزرگ و مشهور است ساده و بدون دردسر انجام شود قاعدتا یک جای کار می لنگد و آن هم احتمال وجود یک هانی پات در شبکه می باشد که به راحتی اجازه ورود تهدیدات را می دهد و سپس آن ها را به دام می اندازد. این به این دلیل که هر سیستمی و یا دستگاهی ممکن است هانی پات باشد.


0 دیدگاه در مورد Honeypot بیان شده است
دیدگاه خود را بیان نمایید
نام *  
ایمیل (منتشر نمی شود ) *
یادداشت *