مشاهده نسخه کامل
: hatef_4541
21-02-2006, 00:28
تعريف
قدم اول در فهم اينكه Honeypot چه مي باشند بيان تعريفي جامع از آن است. تعريف Honeypot مي تواند سخت تر از آنچه كه به نظر مي رسد باشد. Honeypot ها از اين جهت كه هيچ مشكلي را براي ما حل نمي كنند شبيه ديواره هاي آتش و يا سيستمهاي تشخيص دخول سرزده نمي باشند. در عوض آنها يك ابزار قابل انعطافي مي باشند كه به شكلهاي مختلفي قابل استفاده هستند.آنها هر كاري را مي توانند انجام دهند از كشف حملات پنهاني در شبكه هاي IPv6 تا ضبط آخرين كارت اعتباري جعل شده! و همين انعطاف پذيريها باعث شده است كه Honeypot ها ابزارهایی قوي به نظر برسند و از جهتي نيز غير قابل تعريف و غير قابل فهم!!
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
البته من براي فهم Honeypot ها از تعريف زير استفاده مي كنم:
یک Honeypot يك منبع سيستم اطلاعاتي مي باشد كه با استفاده از ارزش کاذب خود اطلاعاتی از فعالیتهای بی مجوز و نا مشروع جمع آوری می کند.
البته اين يك تعريف كلي مي باشد كه تمامي گونه هاي مختلف Honeypot ها را در نظر گرفته است. ما در ادامه مثالهاي مختلفي براي Honeypot ها و ارزش امنيتي آنها خواهيم آورد. همه آنها در تعريفي كه ما در بالا آورده ايم مي گنجند ، ارزش دروغين آنها براي اشخاص بدي كه با آنها در تماسند. به صورت كلي تمامي Honeypot ها به همين صورت كار مي كنند. آنها يك منبعي از فعاليتها بدون مجوز مي باشند. به صورت تئوري يك Honeypot نبايد هيچ ترافيكي از شبكه ما را اشغال كند زيرا آنها هيچ فعاليت قانوني ندارند. اين بدان معني است كه تراكنش هاي با يك Honeypot تقريبا تراكنش هاي بي مجوز و يا فعاليتهاي بد انديشانه مي باشد. يعني هر ارتباط با يك Honeypot مي تواند يك دزدي ، حمله و يا يك تصفيه حساب مي باشد. حال آنكه مفهوم آن ساده به نظر مي رسد ( و همين طور هم است) و همين سادگي باعث اين هم موارد استفاده شگفت انگيز از Honeypot ها شده است كه من در اين مقاله قصد روشن كردن اين موارد را دارم.
فوايد Honeypot ها
Honeypot مفهوم بسيار ساده اي دارد ولي داراي توانايي هاي قدرتمندي مي باشد.
1. داده هاي كوچك داراي ارزش فراوان: Honeypot ها يك حجم كوچكي ار داده ها را جمع آوري مي كنند. به جاي اينكه ما در يك روز چندين گيگابايت اطلاعات را در فايلهاي ثبت رويدادها ذخيره كنيم توسط Honeypot فقط در حد چندين مگابايت بايد ذخيره كنيم. به جاي توليد 10000 زنگ خطر در يك روز آنها فقط 1 زنگ خطر را توليد مي كنند. يادتان باشد كه Honeypot ها فقط فعاليتهاي ناجور را ثبت مي كنند و هر ارتباطي با Honeypot مي تواند يك فعاليت بدون مجوز و يا بدانديشانه باشد. و به همين دليل مي باشد كه اطلاعات هر چند كوچك Honeypot ها داراي ارزش زيادي مي باشد زيرا كه آنها توسط افراد بد ذات توليد شده و توسط Honeypot ضبط شده است. اين بدان معنا مي باشد كه تجزيه و تحليل اطلاعات يك Honeypot آسانتر (و ارزانتر) از اطلاعات ثبت شده به صورت كلي مي باشد.
2. ابزار و تاكتيكي جديد : Honeypot براي اين طراحي شده اند كه هر چيزي كه به سمت آنها جذب مي شود را ذخيره كنند. با ابزارها و تاكتيكهاي جديدي كه قبلا ديده نشده اند.
3. كمترين احتياجات: Honeypot ها به كمترين احتياجات نياز دارند زيرا كه آنها فقط فعاليتهاي ناجور را به ثبت مي رسانند. بنابراين با يك پنتيوم قديمي و با 128 مگابايت RAM و يك شبكه با رنج B به راحتي مي توان آن را پياده سازي كرد.
4. رمز كردن يا IPv6 : بر خلاف برخي تكنولوژيهاي امنيتي (مانند IDS ها ) Honeypot خيلي خوب با محيطهاي رمز شده و يا IPv6 كار مي كنند. اين مساله مهم نيست كه يك فرد ناجور چگونه در يك Honeypot گرفتار مي شود زيرا Honeypot ها خود مي توانند آنها را شناخته و فعاليتهاي آنان را ثبت كنند.
مضرات Honeypot ها
شبيه تمامي تكنولوژيها ، Honeypot ها نيز داراي نقاط ضعفي مي باشند. اين بدان علت مي باشد كه Honeypot ها جايگزين تكنولوژي ديگري نمي شوند بلكه در كنار تكنولوژيهاي ديگر كار مي كنند.
1- محدوديت ديد : Honeypot ها فقط فعايتهايي را مي توانند پيگيري و ثبت كنند كه به صورت مستقيم با آنها در ارتباط باشند. Honeypot حملاتي كه بر عليه سيستمهاي ديگر در حال انجام است را نمي توانند ثبت كنند به جز اينكه نفوذگر و يا آن تهديد فعل و انفعالي را با Honeypot داشته باشد.
2- ريسك : همه تكنولوژيهاي امنیتی داراي ريسك مي باشند. ديوارهاي آتش ريسك نفوذ و يا رخنه كردن در آن را دارند. رمزنگاري ريسك شكستن رمز را دارد، IDS ها ممكن است نتوانند يك حمله را تشخيص دهند. Honeypot ها مجزاي از اينها نيستند. آنها نيز داراي ريسك مي باشند. به خصوص اينكه Honeypot ها ممكن است كه ريسك به دست گرفتن كنترل سيستم توسط يك فرد هكر و صدمه زدن به سيستمهاي ديگر را داشته باشند. البته اين ريسكها براي انواع مختلف Honeypot ها فرق مي كند و بسته به اينكه چه نوعي از Honeypot را استفاده مي كنيد نوع و اندازه ريسك شما نيز متفاوت مي باشد.ممكن است استفاده از يك نوع آن ، ريسكي كمتر از IDS ها داشته باشد و استفاده از نوعي ديگر ريسك بسيار زيادي را در پي داشته باشد.ما در ادامه مشخص خواهيم كرد كه چه نوعي از Honeypot ها داراي چه سطحي از ريسك مي باشند.
چگونگي و شيوه به كار بردن Honeypot ها مي باشد كه ارزش و فوايد و مضرات آنها را مشخص مي كند. در ادامه بيشتر روي آن بحث خواهد شد.
در بخش اول اين مقاله ، تعريفي از Honeypot ها ارائه داديم و فوايد و مضرات آنها را بيان كرديم. در اين بخش درباره انواع آنها بحث خواهيم كرد
انوع Honeypot ها
Honeypot ها در اندازه و شکلهای مختلفی هستند و همین امر باعث شده است که فهم آنها کمی مشکل شود. برای اینکه بتوان بهتر آنها را فهمید همه انواع مختلف آنها را در دو زیر مجموعه آورده ایم:
1- Honeypot های کم واکنش
2- Honeypot های پرواکنش
این تقسیم بندی به ما کمک می کند که چگونگی رفتار آنها را بهتر درک کنیم. و بتوانیم به راحتی نقاط ضعف و قدرت آنها و توانایی ها یشان را روشن تر کنیم. واکنش در اصل نوع ارتباطی که یک نفوذگر با Honeypot دارد را مشخص می کند.
Honeypot های کم واکنش دارای ارتباط و فعالیتی محدود می باشند.آنها معمولا با سرویسها و سیستم های عامل را شبیه سازی شده کار می کنند. سطح فعالیت یک نفوذگر با سطحی از برنامه های شبیه سازی شده محدود شده است. به عنوان مثال یک سرویس FTP شبیه سازی شده که به پورت 21 گوش می کند ممکن است فقط یک صفحه login و یا حداکثر تعدادی از دستورات FTP را شبیه سازی کرده باشد . یکی از فواید این دسته از Honeypot های کم واکنش سادگی آنها می باشد.
نگهداری Honeypot های کم واکنش بسیار راحت و آسان است و خیلی راحت می توان آنها را گسترش داد و ریسک بسیار کمی دارند. آنها بیشتر درگیر این هستند که چه نرم افزارهایی باید روی چه سیستم عاملی نصب شود و همچنین می خواهید چه سرویسهایی را برای آن شبیه سازی و دیده بانی (Monitor ) کنید.
همین رهیافت خودکار و ساده آنها است که توسعه آن را برای بسیاری از شرکت ها راحت می کند. البته لازم به ذکر است که همین سرویسهای شبیه سازی شده باعث می شود که فعالیت های فرد نفوذگر محدود شود و همین امر باعث کاهش ریسک می گردد. به این معنی که نفوذگر نمی تواند هیچگاه به سیستم عامل دسترسی پیدا کند و به وسیله آن به سیستم های دیگر آسیب برساند.
یکی از اصلی ترین مضرات Honeypot های کم واکنش این است که آنها فقط اطلاعات محدودی را می توانند ثبت کنند و آنها طراحی می شوند که فقط اطلاعاتی راجع به حملات شناخته شده را به ثبت برسانند.همچنین شناختن یک Honeypot کم واکنش برای یک نفوذگر بسیار راحت می باشد. نگران این نباشید که شبیه سازی شما چه اندازه خوب بوده است زیرا که نفوذگران حرفه ای به سرعت یک Honeypot کم واکنش را از یک سیستم واقعی تشخیص می دهند. از Honeypot های کم واکنش می توان Spector , Honeyd و KFSensor را نام برد.
Honeypot های پر واکنش متفاتند. آنها معمولا از راه حل های پیچیده تری استفاده می کنند زیرا که آنها از سیستم عاملها و سرویسهای واقعی استفاده می کنند. هیچ چیزی شبیه سازی شده نیست و ما یک سیستم واقعی را در اختیار نفوذگر می گذاریم.
اگر شما می خواهید که یک Honeypot لینوکس سرور FTP داشته باشید شما باید یک لینوکس واقعی به همراه یک سرویس FTP نصب کنید. فایده این نوع Honeypot دو چیز است. شما می توانید یک حجم زیادی از اطلاعات را به دست آورید. با دادن یک سیستم واقعی به فرد نفوذگر شما می توانید تمامی رفتار او از rootkit های جدید گرفته تا یک نشست IRC را زیر نظر بگیرید. دومین فایده Honeypot های پرواکنش این است که دیگر جای هیچ فرضیه ای روی رفتار نفوذگر باقی نمی گذارد و یک محیط باز به او می دهد و تمامی فعالیتهای او را زیر نظر می گیرد. همین امر باعث می شود که Honeypot های پرواکنش رفتارهایی از فرد نفوذگر را به ما نشان دهند که ما انتظار نداشته ایم و یا نمی توانسته ایم حدس بزنیم!!
بهترین جا برای استفاده از این نوع Honeypot ها زمانی است که قصد داریم دستورات رمز شده یک در پشتی را روی یک شبکه غیر استاندارد IP به دست بیاریم. به هر حال همین امور است که ریسک اینگونه Honeypot ها را افزایش می دهد زیرا که نفوذگر یک سیستم عامل واقعی را در اختیار دارد و ممکن است به سیستم های اصلی شبکه صدمه بزند. به طور کلی یک Honeypot پرواکنش می تواند علاوه بر کارهای یک Honeypot کم واکنش کارهای خیلی بیشتری را انجام دهد.
برای فهم بهتر اینکه Honeypot کم واکنش و پرواکنش چگونه کار می کنند بهتر است دو مثال واقعی در این زمینه بیاوریم. با Honeypot های کم واکنش شروع می کنیم.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Honeyd : یک Honeypot کم واکنش
Honeyd یک Honeypot کم واکنش است که توسط Niels Provos ساخته شده است. Honeyd به صورت کد باز می باشد و برای مجموعه سیستم عاملهای یونیکس ساخته شده است.(فکر کنم روی ویندوز هم برده شده است ) . Honeyd بر اساس زیر نظر گرفتن IP های غیر قابل استفاده بنا شده است. هر چیزی که قصد داشته باشد با یک IP غیر قابل استفاده با شبکه ارتباط برقرار کند ارتباطش را با شبکه اصلی قطع کرده و با نفوذگر ارتباط برقرار می کند و خودش را جای قربانی جا می زند.
به صورت پیش فرض Honeyd تمامی پورتها TCP و یا UDP را زیر نظر گرفته و تمامی درخواستهای آنها را ثبت می کند. همچنین برای زیر نظر گرفتن یک پورت خاص شما می توانید سرویس شبیه سازی شده مورد نظر را پیکربندی کنید مانند شبیه سازی یک سرور FTP که روی پروتکل TCP پورت 21 کار می کند.وقتی که نفوذگر با یک سرویس شبیه سازی شده ارتباط برقرار می کند تمامی فعالیتهای او را با سرویسهای شبیه سازی شده دیگر ثبت کرده و زیر نظر می گیرد. مثلا در سرویس FTP شبیه سازی شده ما می توانیم نام کاربری و کلمه های رمزی که نفوذگر برای شکستن FTP سرور استفاده می کند و یا دستوراتی که صادر می کند را به دست آوریم و شاید حتی پی ببریم که او به دنبال چه چیزی می گردد و هویت او چیست !
همه اینها به سطحی از شبیه سازی بر می گردد که Honeypot در اختیار ما گذاشته است. بیشتر سرویسهای شبیه سازی شده به یک صورت کار می کنند. آنها منتظر نوع خاصی از رفتارهای هستند و طبق راههایی که قبلا تعیین کرده اند به این رفتارهای واکنش نشان می دهند.
اگر حمله A این را انجام داد از این طریق واکنش نشان بده و اگر حمله B این کار را کرد از این راه واکنش نشان بده!
محدودیت این برنامه ها در این است که اگر نفوذگر دستوراتی را وارد کند که هیچ پاسخی برای آنها شبیه سازی نشده باشد. بنابراین آنها نمی دانند که چه پاسخی را باید برای نفوذگر ارسال کنند. بیشتر Honeypot های کم واکنش - مانند Honeyd - یک پیغام خطا نشان می دهند. شما می توانید از کد برنامه Honeyd کل دستوراتی که برای FTP شبیه سازی کرده است را مشاهده کنید.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Honeynet ها : یک Honeypot پر واکنش
Honeynet یک مثال بدیهی برای Honeypot های پرواکنش می باشد. Honeynet ها یک محصول نمی باشند. آنها یک راه حل نرم افزاری که بتوان روی یک کامپیوتر نصب شوند نمی باشد. Honeynet ها یک معماری می باشند . یک شبکه بی عیب از کامپیوترهایی که طراحی شده اند برای حملاتی که روی آنها انجام می گیرد. طبق این نظریه ما باید یک معماری داشته باشیم که یک کنترل بالایی را روی شبکه ایجاد کند تا تمامی ارتباطات با شبکه را بتوان کنترل کرد و زیر نظر گرفت.
درون این شبکه ما چندین قربانی خیالی در نظر می گیریم البته با کامپیوترهایی که برنامه های واقعی را اجرا می کنند. فرد هکر این سیستم ها را پیدا کرده و به آنها حمله می کند و در آنها نفوذ می کند اما طبق ابتکار و راهکارهای ما ! یعنی همه چیز در کنترل ما می باشد. البته وقتی آنها این کارها را انجام می دهند نمی دانند که در یک Honeynet گرفتار شده اند. تمامی فعالیت های فرد نفوذگر از نشست های رمز شده SSH گرفته تا ایمیل ها و فایلهایی که در سیستم ها قرار می دهند همه و همه بدون آنکه آنها متوجه شوند زیر نظر گرفته و ثبت می شود. در همان زمان نیز Honeynet تمامی کارهای نفوذگر را کنترل می کند. Honeynet ها این کارها را توسط دروازه ای به نام Honeywall انجام می دهند. این دروازه به تمامی ترافیک ورودی اجازه می دهد که به سمت سیستم های قربانی ما هدایت شوند ولی ترافیک خروجی باید از سیستم های مجهز به IDS عبور کند. این کار به نفوذگر این امکان را می دهد که بتواند ارتباط قابل انعطاف تری با سیستم های قربانی داشته باشد اما در کنار آن اجازه داده نمی شود که نفوذگر با استفاده از این سیستم ها به سیستم های اصلی صدمه وارد کند.
قدم اول در فهم اينكه Honeypot چه مي باشند بيان تعريفي جامع از آن است. تعريف Honeypot مي تواند سخت تر از آنچه كه به نظر مي رسد باشد. Honeypot ها از اين جهت كه هيچ مشكلي را براي ما حل نمي كنند شبيه ديواره هاي آتش و يا سيستمهاي تشخيص دخول سرزده نمي باشند. در عوض آنها يك ابزار قابل انعطافي مي باشند كه به شكلهاي مختلفي قابل استفاده هستند.آنها هر كاري را مي توانند انجام دهند از كشف حملات پنهاني در شبكه هاي IPv6 تا ضبط آخرين كارت اعتباري جعل شده! و همين انعطاف پذيريها باعث شده است كه Honeypot ها ابزارهایی قوي به نظر برسند و از جهتي نيز غير قابل تعريف و غير قابل فهم!!
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
البته من براي فهم Honeypot ها از تعريف زير استفاده مي كنم:
یک Honeypot يك منبع سيستم اطلاعاتي مي باشد كه با استفاده از ارزش کاذب خود اطلاعاتی از فعالیتهای بی مجوز و نا مشروع جمع آوری می کند.
البته اين يك تعريف كلي مي باشد كه تمامي گونه هاي مختلف Honeypot ها را در نظر گرفته است. ما در ادامه مثالهاي مختلفي براي Honeypot ها و ارزش امنيتي آنها خواهيم آورد. همه آنها در تعريفي كه ما در بالا آورده ايم مي گنجند ، ارزش دروغين آنها براي اشخاص بدي كه با آنها در تماسند. به صورت كلي تمامي Honeypot ها به همين صورت كار مي كنند. آنها يك منبعي از فعاليتها بدون مجوز مي باشند. به صورت تئوري يك Honeypot نبايد هيچ ترافيكي از شبكه ما را اشغال كند زيرا آنها هيچ فعاليت قانوني ندارند. اين بدان معني است كه تراكنش هاي با يك Honeypot تقريبا تراكنش هاي بي مجوز و يا فعاليتهاي بد انديشانه مي باشد. يعني هر ارتباط با يك Honeypot مي تواند يك دزدي ، حمله و يا يك تصفيه حساب مي باشد. حال آنكه مفهوم آن ساده به نظر مي رسد ( و همين طور هم است) و همين سادگي باعث اين هم موارد استفاده شگفت انگيز از Honeypot ها شده است كه من در اين مقاله قصد روشن كردن اين موارد را دارم.
فوايد Honeypot ها
Honeypot مفهوم بسيار ساده اي دارد ولي داراي توانايي هاي قدرتمندي مي باشد.
1. داده هاي كوچك داراي ارزش فراوان: Honeypot ها يك حجم كوچكي ار داده ها را جمع آوري مي كنند. به جاي اينكه ما در يك روز چندين گيگابايت اطلاعات را در فايلهاي ثبت رويدادها ذخيره كنيم توسط Honeypot فقط در حد چندين مگابايت بايد ذخيره كنيم. به جاي توليد 10000 زنگ خطر در يك روز آنها فقط 1 زنگ خطر را توليد مي كنند. يادتان باشد كه Honeypot ها فقط فعاليتهاي ناجور را ثبت مي كنند و هر ارتباطي با Honeypot مي تواند يك فعاليت بدون مجوز و يا بدانديشانه باشد. و به همين دليل مي باشد كه اطلاعات هر چند كوچك Honeypot ها داراي ارزش زيادي مي باشد زيرا كه آنها توسط افراد بد ذات توليد شده و توسط Honeypot ضبط شده است. اين بدان معنا مي باشد كه تجزيه و تحليل اطلاعات يك Honeypot آسانتر (و ارزانتر) از اطلاعات ثبت شده به صورت كلي مي باشد.
2. ابزار و تاكتيكي جديد : Honeypot براي اين طراحي شده اند كه هر چيزي كه به سمت آنها جذب مي شود را ذخيره كنند. با ابزارها و تاكتيكهاي جديدي كه قبلا ديده نشده اند.
3. كمترين احتياجات: Honeypot ها به كمترين احتياجات نياز دارند زيرا كه آنها فقط فعاليتهاي ناجور را به ثبت مي رسانند. بنابراين با يك پنتيوم قديمي و با 128 مگابايت RAM و يك شبكه با رنج B به راحتي مي توان آن را پياده سازي كرد.
4. رمز كردن يا IPv6 : بر خلاف برخي تكنولوژيهاي امنيتي (مانند IDS ها ) Honeypot خيلي خوب با محيطهاي رمز شده و يا IPv6 كار مي كنند. اين مساله مهم نيست كه يك فرد ناجور چگونه در يك Honeypot گرفتار مي شود زيرا Honeypot ها خود مي توانند آنها را شناخته و فعاليتهاي آنان را ثبت كنند.
مضرات Honeypot ها
شبيه تمامي تكنولوژيها ، Honeypot ها نيز داراي نقاط ضعفي مي باشند. اين بدان علت مي باشد كه Honeypot ها جايگزين تكنولوژي ديگري نمي شوند بلكه در كنار تكنولوژيهاي ديگر كار مي كنند.
1- محدوديت ديد : Honeypot ها فقط فعايتهايي را مي توانند پيگيري و ثبت كنند كه به صورت مستقيم با آنها در ارتباط باشند. Honeypot حملاتي كه بر عليه سيستمهاي ديگر در حال انجام است را نمي توانند ثبت كنند به جز اينكه نفوذگر و يا آن تهديد فعل و انفعالي را با Honeypot داشته باشد.
2- ريسك : همه تكنولوژيهاي امنیتی داراي ريسك مي باشند. ديوارهاي آتش ريسك نفوذ و يا رخنه كردن در آن را دارند. رمزنگاري ريسك شكستن رمز را دارد، IDS ها ممكن است نتوانند يك حمله را تشخيص دهند. Honeypot ها مجزاي از اينها نيستند. آنها نيز داراي ريسك مي باشند. به خصوص اينكه Honeypot ها ممكن است كه ريسك به دست گرفتن كنترل سيستم توسط يك فرد هكر و صدمه زدن به سيستمهاي ديگر را داشته باشند. البته اين ريسكها براي انواع مختلف Honeypot ها فرق مي كند و بسته به اينكه چه نوعي از Honeypot را استفاده مي كنيد نوع و اندازه ريسك شما نيز متفاوت مي باشد.ممكن است استفاده از يك نوع آن ، ريسكي كمتر از IDS ها داشته باشد و استفاده از نوعي ديگر ريسك بسيار زيادي را در پي داشته باشد.ما در ادامه مشخص خواهيم كرد كه چه نوعي از Honeypot ها داراي چه سطحي از ريسك مي باشند.
چگونگي و شيوه به كار بردن Honeypot ها مي باشد كه ارزش و فوايد و مضرات آنها را مشخص مي كند. در ادامه بيشتر روي آن بحث خواهد شد.
در بخش اول اين مقاله ، تعريفي از Honeypot ها ارائه داديم و فوايد و مضرات آنها را بيان كرديم. در اين بخش درباره انواع آنها بحث خواهيم كرد
انوع Honeypot ها
Honeypot ها در اندازه و شکلهای مختلفی هستند و همین امر باعث شده است که فهم آنها کمی مشکل شود. برای اینکه بتوان بهتر آنها را فهمید همه انواع مختلف آنها را در دو زیر مجموعه آورده ایم:
1- Honeypot های کم واکنش
2- Honeypot های پرواکنش
این تقسیم بندی به ما کمک می کند که چگونگی رفتار آنها را بهتر درک کنیم. و بتوانیم به راحتی نقاط ضعف و قدرت آنها و توانایی ها یشان را روشن تر کنیم. واکنش در اصل نوع ارتباطی که یک نفوذگر با Honeypot دارد را مشخص می کند.
Honeypot های کم واکنش دارای ارتباط و فعالیتی محدود می باشند.آنها معمولا با سرویسها و سیستم های عامل را شبیه سازی شده کار می کنند. سطح فعالیت یک نفوذگر با سطحی از برنامه های شبیه سازی شده محدود شده است. به عنوان مثال یک سرویس FTP شبیه سازی شده که به پورت 21 گوش می کند ممکن است فقط یک صفحه login و یا حداکثر تعدادی از دستورات FTP را شبیه سازی کرده باشد . یکی از فواید این دسته از Honeypot های کم واکنش سادگی آنها می باشد.
نگهداری Honeypot های کم واکنش بسیار راحت و آسان است و خیلی راحت می توان آنها را گسترش داد و ریسک بسیار کمی دارند. آنها بیشتر درگیر این هستند که چه نرم افزارهایی باید روی چه سیستم عاملی نصب شود و همچنین می خواهید چه سرویسهایی را برای آن شبیه سازی و دیده بانی (Monitor ) کنید.
همین رهیافت خودکار و ساده آنها است که توسعه آن را برای بسیاری از شرکت ها راحت می کند. البته لازم به ذکر است که همین سرویسهای شبیه سازی شده باعث می شود که فعالیت های فرد نفوذگر محدود شود و همین امر باعث کاهش ریسک می گردد. به این معنی که نفوذگر نمی تواند هیچگاه به سیستم عامل دسترسی پیدا کند و به وسیله آن به سیستم های دیگر آسیب برساند.
یکی از اصلی ترین مضرات Honeypot های کم واکنش این است که آنها فقط اطلاعات محدودی را می توانند ثبت کنند و آنها طراحی می شوند که فقط اطلاعاتی راجع به حملات شناخته شده را به ثبت برسانند.همچنین شناختن یک Honeypot کم واکنش برای یک نفوذگر بسیار راحت می باشد. نگران این نباشید که شبیه سازی شما چه اندازه خوب بوده است زیرا که نفوذگران حرفه ای به سرعت یک Honeypot کم واکنش را از یک سیستم واقعی تشخیص می دهند. از Honeypot های کم واکنش می توان Spector , Honeyd و KFSensor را نام برد.
Honeypot های پر واکنش متفاتند. آنها معمولا از راه حل های پیچیده تری استفاده می کنند زیرا که آنها از سیستم عاملها و سرویسهای واقعی استفاده می کنند. هیچ چیزی شبیه سازی شده نیست و ما یک سیستم واقعی را در اختیار نفوذگر می گذاریم.
اگر شما می خواهید که یک Honeypot لینوکس سرور FTP داشته باشید شما باید یک لینوکس واقعی به همراه یک سرویس FTP نصب کنید. فایده این نوع Honeypot دو چیز است. شما می توانید یک حجم زیادی از اطلاعات را به دست آورید. با دادن یک سیستم واقعی به فرد نفوذگر شما می توانید تمامی رفتار او از rootkit های جدید گرفته تا یک نشست IRC را زیر نظر بگیرید. دومین فایده Honeypot های پرواکنش این است که دیگر جای هیچ فرضیه ای روی رفتار نفوذگر باقی نمی گذارد و یک محیط باز به او می دهد و تمامی فعالیتهای او را زیر نظر می گیرد. همین امر باعث می شود که Honeypot های پرواکنش رفتارهایی از فرد نفوذگر را به ما نشان دهند که ما انتظار نداشته ایم و یا نمی توانسته ایم حدس بزنیم!!
بهترین جا برای استفاده از این نوع Honeypot ها زمانی است که قصد داریم دستورات رمز شده یک در پشتی را روی یک شبکه غیر استاندارد IP به دست بیاریم. به هر حال همین امور است که ریسک اینگونه Honeypot ها را افزایش می دهد زیرا که نفوذگر یک سیستم عامل واقعی را در اختیار دارد و ممکن است به سیستم های اصلی شبکه صدمه بزند. به طور کلی یک Honeypot پرواکنش می تواند علاوه بر کارهای یک Honeypot کم واکنش کارهای خیلی بیشتری را انجام دهد.
برای فهم بهتر اینکه Honeypot کم واکنش و پرواکنش چگونه کار می کنند بهتر است دو مثال واقعی در این زمینه بیاوریم. با Honeypot های کم واکنش شروع می کنیم.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Honeyd : یک Honeypot کم واکنش
Honeyd یک Honeypot کم واکنش است که توسط Niels Provos ساخته شده است. Honeyd به صورت کد باز می باشد و برای مجموعه سیستم عاملهای یونیکس ساخته شده است.(فکر کنم روی ویندوز هم برده شده است ) . Honeyd بر اساس زیر نظر گرفتن IP های غیر قابل استفاده بنا شده است. هر چیزی که قصد داشته باشد با یک IP غیر قابل استفاده با شبکه ارتباط برقرار کند ارتباطش را با شبکه اصلی قطع کرده و با نفوذگر ارتباط برقرار می کند و خودش را جای قربانی جا می زند.
به صورت پیش فرض Honeyd تمامی پورتها TCP و یا UDP را زیر نظر گرفته و تمامی درخواستهای آنها را ثبت می کند. همچنین برای زیر نظر گرفتن یک پورت خاص شما می توانید سرویس شبیه سازی شده مورد نظر را پیکربندی کنید مانند شبیه سازی یک سرور FTP که روی پروتکل TCP پورت 21 کار می کند.وقتی که نفوذگر با یک سرویس شبیه سازی شده ارتباط برقرار می کند تمامی فعالیتهای او را با سرویسهای شبیه سازی شده دیگر ثبت کرده و زیر نظر می گیرد. مثلا در سرویس FTP شبیه سازی شده ما می توانیم نام کاربری و کلمه های رمزی که نفوذگر برای شکستن FTP سرور استفاده می کند و یا دستوراتی که صادر می کند را به دست آوریم و شاید حتی پی ببریم که او به دنبال چه چیزی می گردد و هویت او چیست !
همه اینها به سطحی از شبیه سازی بر می گردد که Honeypot در اختیار ما گذاشته است. بیشتر سرویسهای شبیه سازی شده به یک صورت کار می کنند. آنها منتظر نوع خاصی از رفتارهای هستند و طبق راههایی که قبلا تعیین کرده اند به این رفتارهای واکنش نشان می دهند.
اگر حمله A این را انجام داد از این طریق واکنش نشان بده و اگر حمله B این کار را کرد از این راه واکنش نشان بده!
محدودیت این برنامه ها در این است که اگر نفوذگر دستوراتی را وارد کند که هیچ پاسخی برای آنها شبیه سازی نشده باشد. بنابراین آنها نمی دانند که چه پاسخی را باید برای نفوذگر ارسال کنند. بیشتر Honeypot های کم واکنش - مانند Honeyd - یک پیغام خطا نشان می دهند. شما می توانید از کد برنامه Honeyd کل دستوراتی که برای FTP شبیه سازی کرده است را مشاهده کنید.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Honeynet ها : یک Honeypot پر واکنش
Honeynet یک مثال بدیهی برای Honeypot های پرواکنش می باشد. Honeynet ها یک محصول نمی باشند. آنها یک راه حل نرم افزاری که بتوان روی یک کامپیوتر نصب شوند نمی باشد. Honeynet ها یک معماری می باشند . یک شبکه بی عیب از کامپیوترهایی که طراحی شده اند برای حملاتی که روی آنها انجام می گیرد. طبق این نظریه ما باید یک معماری داشته باشیم که یک کنترل بالایی را روی شبکه ایجاد کند تا تمامی ارتباطات با شبکه را بتوان کنترل کرد و زیر نظر گرفت.
درون این شبکه ما چندین قربانی خیالی در نظر می گیریم البته با کامپیوترهایی که برنامه های واقعی را اجرا می کنند. فرد هکر این سیستم ها را پیدا کرده و به آنها حمله می کند و در آنها نفوذ می کند اما طبق ابتکار و راهکارهای ما ! یعنی همه چیز در کنترل ما می باشد. البته وقتی آنها این کارها را انجام می دهند نمی دانند که در یک Honeynet گرفتار شده اند. تمامی فعالیت های فرد نفوذگر از نشست های رمز شده SSH گرفته تا ایمیل ها و فایلهایی که در سیستم ها قرار می دهند همه و همه بدون آنکه آنها متوجه شوند زیر نظر گرفته و ثبت می شود. در همان زمان نیز Honeynet تمامی کارهای نفوذگر را کنترل می کند. Honeynet ها این کارها را توسط دروازه ای به نام Honeywall انجام می دهند. این دروازه به تمامی ترافیک ورودی اجازه می دهد که به سمت سیستم های قربانی ما هدایت شوند ولی ترافیک خروجی باید از سیستم های مجهز به IDS عبور کند. این کار به نفوذگر این امکان را می دهد که بتواند ارتباط قابل انعطاف تری با سیستم های قربانی داشته باشد اما در کنار آن اجازه داده نمی شود که نفوذگر با استفاده از این سیستم ها به سیستم های اصلی صدمه وارد کند.