reza-s
07-04-08, 16:34
در جنگ بين نفوذگران و مديران امنيت شبکه، داشتن اطلاعات نشانة قدرت است. به عنوان يک مدير امنيت شبکه، هر چه بيشتر در مورد دشمنتان و روشهاي حمله او بدانيد بهتر ميتوانيد از خودتان در مقابل او دفاع کنيد.
استفاده از Honeypotها يکي از روشهايي است که ميتوانيم اطلاعاتي در مورد دنياي نفوذگران به دست آوريم.
:1. (10)::1. (10)::1. (10):
Honeypot چيست؟
Honeypot يک ماشين ويژه در شبکه است که به عنوان طعمه براي نفوذگران استفاده ميشود. به طور عمدي بر روي آن سيستم عامل آلوده به يک اسب تروا[1]، درپشتي[2] يا سرويسدهندههاي ضعيف و داراي اشکال نصب ميشود تا به عنوان يک ماشين قرباني، نفوذگران را به خود جذب کرده و مشغول نگه دارد. همچنين ممکن است بر روي چنين ماشيني اطلاعات غلط و گمراهکنندهاي براي به اشتباه انداختن نفوذگر نيز گذاشته شود.
يک سيستم Honeypot عملاً هيچ فايدهاي براي مقاصد سرويس دهي ندارد بلکه ماشين فداکاري است که با جذب نفوذگران و گمراه کردن آنها با اطلاعات غلط، از دسترسي به سرويس دهندههاي حساس جلوگيري ميکند. اطلاعات غلط ممکن است ساعتها يک نفوذگر را معطل کند. در ضمن تشخيص اين نکته که سيستم موردنظر آيا واقعاً ضعف دارد يا آنکه يک Honeypot است براي نفوذگر چندان ساده نيست.
Honeynet شبکهاي از Honeypotهاست که به گونهاي تنظيم ميشوند که شبيه يک شبکة واقعي به نظر برسند.
دلايل استفاده از Honeypot
Honeypotها به دو دليل استفاده ميشوند :
اول اين که نقاط ضعف سيستم را بشناسيم. مدير سيستم ميتواند با مشاهدة تکنيکها و روشهاي استفاده شده توسط نفوذگر بفهمد سيستم چگونه شکسته ميشود و نقاط آسيبپذير سيستم را شناسايي و نسبت به ترميم آنها اقدام کند.
دليل دوم جمعآوري اطلاعات لازم براي تعقيب و ردگيري نفوذگران است. با توجه به آنکه نفوذگر يک سيستم ضعيف و آسيبپذير را در شبکه کشف ميکند بنابراين تمام تلاشهاي بعدي او پيرامون سيستم Honeypot (که يک هدف قلابي است) متمرکز ميشود. ميتوان يک سيستم تشخيص نفوذ[3] (IDS) را در کنار اين سيستم نصب کرد تا تلاشهاي نفوذگران براي حمله به اين هدف قلابي را گزارش دهد و شما بتوانيد اين موضوع و مبدا آن را پيگيري کنيد.
اين در حالي است که Honeypot همزمان از شبکة واقعي در برابر حملات مراقبت ميکند.
هدف اصلي يک Honeypot شبيهسازي يک شبکه است که نفوذگران سعي ميکنند به آن وارد شوند. اطلاعاتي که بعد از حمله به يک Honeypot به دست ميآيد، ميتواند براي کشف آسيبپذيريهاي شبکة فعلي و رفع آنها استفاده شود.
Honeypot چه کارهايي ميتواند انجام دهد؟
با توجه به اين که از يک Honeypot چه ميخواهيم، Honeypot ميتواند کارهاي زير را انجام دهد :
فراهم کردن هشدارهايي در مورد حملات در حال انجام
معطل کردن نفوذگر و دور نگه داشتن او از شبکة واقعي(نفوذگران پس از شناسايي شبکه، به طور معمول از ضعيفترين و آسيبپذيرترين سيستم در شبکه شروع ميکنند. زماني که آنها صرف کلنجار رفتن با اين سيستم قلابي ميکنند ميتواند يک آسودگي خاطر براي بقية ماشينها ايجاد کند.)
فراهم کردن امکان مونيتورينگ بلادرنگ حملات صورت گرفته
فراهم کردن اطلاعاتي در مورد جزئيات حمله (اطلاعاتي از قبيل اين که نفوذگران چه کساني هستند، چه ميخواهند، سطح مهارتهايشان و ابزارهايي که استفاده ميکنند)
فراهم کردن امکان رديابي و پيگرد قانوني نفوذگر
همچنين Honeypot مانع انجام کارهاي زير توسط نفوذگر ميشود :
دسترسي به دادههاي واقعي
کنترلهاي مديريتي در سطح شبکه
دستيابي به ترافيک واقعي شبکه
کنترل بر ديگر ابزارهاي متصل به شبکه
با استفاده از مهندسي اجتماعي[4] ميتوان Honeypot را جالبتر کرد. هرچه Honeynet شما به شبکة سازمان شما شبيهتر باشد، محيط واقعيتر است و باعث ميشود نفوذگران آن را بيشتر باور کنند و حتي نفوذگران حرفهاي هم به راحتي فريب بخورند. يک پيشنهاد خوب اين است که تعدادي حساب کاربري تعريف کرده و به آنها يک سري دايرکتوري و اسناد اختصاص بدهيد، برايشان پست الکترونيکي تعريف کنيد، آنها را به ليستهاي پستي اضافه کنيد، ...
همچنين ميتوان توسط اين سيستم نفوذگران را فريفت. به عنوان مثال وقتي نفوذگر يک ابزار استراق سمع[5] روي هدف قلابي(سيستم Honeypot) نصب ميکند اطلاعات غلط و بيهوده براي او ارسال ميشود و او به خيال آن که نفوذش در شبکه واقعي است، ساعتها وقت تلف ميکند تا اين اطلاعات غلط را تحليل کند.
به ياد داشته باشيد که Honeypotاي که مورد حمله واقع نشود به هيچ دردي نميخورد. بنابراين بايد آن را تا حد امکان براي نفوذگر جذاب کنيد، البته تا حدي که شک نفوذگران حرفهاي را برنينگيزد..
هرچقدر يک نفوذگر دفعات بيشتري به Honeypot وصل شود، شما بيشتر به اهداف خود دست مييابيد.
استفاده از Honeypotها يکي از روشهايي است که ميتوانيم اطلاعاتي در مورد دنياي نفوذگران به دست آوريم.
:1. (10)::1. (10)::1. (10):
Honeypot چيست؟
Honeypot يک ماشين ويژه در شبکه است که به عنوان طعمه براي نفوذگران استفاده ميشود. به طور عمدي بر روي آن سيستم عامل آلوده به يک اسب تروا[1]، درپشتي[2] يا سرويسدهندههاي ضعيف و داراي اشکال نصب ميشود تا به عنوان يک ماشين قرباني، نفوذگران را به خود جذب کرده و مشغول نگه دارد. همچنين ممکن است بر روي چنين ماشيني اطلاعات غلط و گمراهکنندهاي براي به اشتباه انداختن نفوذگر نيز گذاشته شود.
يک سيستم Honeypot عملاً هيچ فايدهاي براي مقاصد سرويس دهي ندارد بلکه ماشين فداکاري است که با جذب نفوذگران و گمراه کردن آنها با اطلاعات غلط، از دسترسي به سرويس دهندههاي حساس جلوگيري ميکند. اطلاعات غلط ممکن است ساعتها يک نفوذگر را معطل کند. در ضمن تشخيص اين نکته که سيستم موردنظر آيا واقعاً ضعف دارد يا آنکه يک Honeypot است براي نفوذگر چندان ساده نيست.
Honeynet شبکهاي از Honeypotهاست که به گونهاي تنظيم ميشوند که شبيه يک شبکة واقعي به نظر برسند.
دلايل استفاده از Honeypot
Honeypotها به دو دليل استفاده ميشوند :
اول اين که نقاط ضعف سيستم را بشناسيم. مدير سيستم ميتواند با مشاهدة تکنيکها و روشهاي استفاده شده توسط نفوذگر بفهمد سيستم چگونه شکسته ميشود و نقاط آسيبپذير سيستم را شناسايي و نسبت به ترميم آنها اقدام کند.
دليل دوم جمعآوري اطلاعات لازم براي تعقيب و ردگيري نفوذگران است. با توجه به آنکه نفوذگر يک سيستم ضعيف و آسيبپذير را در شبکه کشف ميکند بنابراين تمام تلاشهاي بعدي او پيرامون سيستم Honeypot (که يک هدف قلابي است) متمرکز ميشود. ميتوان يک سيستم تشخيص نفوذ[3] (IDS) را در کنار اين سيستم نصب کرد تا تلاشهاي نفوذگران براي حمله به اين هدف قلابي را گزارش دهد و شما بتوانيد اين موضوع و مبدا آن را پيگيري کنيد.
اين در حالي است که Honeypot همزمان از شبکة واقعي در برابر حملات مراقبت ميکند.
هدف اصلي يک Honeypot شبيهسازي يک شبکه است که نفوذگران سعي ميکنند به آن وارد شوند. اطلاعاتي که بعد از حمله به يک Honeypot به دست ميآيد، ميتواند براي کشف آسيبپذيريهاي شبکة فعلي و رفع آنها استفاده شود.
Honeypot چه کارهايي ميتواند انجام دهد؟
با توجه به اين که از يک Honeypot چه ميخواهيم، Honeypot ميتواند کارهاي زير را انجام دهد :
فراهم کردن هشدارهايي در مورد حملات در حال انجام
معطل کردن نفوذگر و دور نگه داشتن او از شبکة واقعي(نفوذگران پس از شناسايي شبکه، به طور معمول از ضعيفترين و آسيبپذيرترين سيستم در شبکه شروع ميکنند. زماني که آنها صرف کلنجار رفتن با اين سيستم قلابي ميکنند ميتواند يک آسودگي خاطر براي بقية ماشينها ايجاد کند.)
فراهم کردن امکان مونيتورينگ بلادرنگ حملات صورت گرفته
فراهم کردن اطلاعاتي در مورد جزئيات حمله (اطلاعاتي از قبيل اين که نفوذگران چه کساني هستند، چه ميخواهند، سطح مهارتهايشان و ابزارهايي که استفاده ميکنند)
فراهم کردن امکان رديابي و پيگرد قانوني نفوذگر
همچنين Honeypot مانع انجام کارهاي زير توسط نفوذگر ميشود :
دسترسي به دادههاي واقعي
کنترلهاي مديريتي در سطح شبکه
دستيابي به ترافيک واقعي شبکه
کنترل بر ديگر ابزارهاي متصل به شبکه
با استفاده از مهندسي اجتماعي[4] ميتوان Honeypot را جالبتر کرد. هرچه Honeynet شما به شبکة سازمان شما شبيهتر باشد، محيط واقعيتر است و باعث ميشود نفوذگران آن را بيشتر باور کنند و حتي نفوذگران حرفهاي هم به راحتي فريب بخورند. يک پيشنهاد خوب اين است که تعدادي حساب کاربري تعريف کرده و به آنها يک سري دايرکتوري و اسناد اختصاص بدهيد، برايشان پست الکترونيکي تعريف کنيد، آنها را به ليستهاي پستي اضافه کنيد، ...
همچنين ميتوان توسط اين سيستم نفوذگران را فريفت. به عنوان مثال وقتي نفوذگر يک ابزار استراق سمع[5] روي هدف قلابي(سيستم Honeypot) نصب ميکند اطلاعات غلط و بيهوده براي او ارسال ميشود و او به خيال آن که نفوذش در شبکه واقعي است، ساعتها وقت تلف ميکند تا اين اطلاعات غلط را تحليل کند.
به ياد داشته باشيد که Honeypotاي که مورد حمله واقع نشود به هيچ دردي نميخورد. بنابراين بايد آن را تا حد امکان براي نفوذگر جذاب کنيد، البته تا حدي که شک نفوذگران حرفهاي را برنينگيزد..
هرچقدر يک نفوذگر دفعات بيشتري به Honeypot وصل شود، شما بيشتر به اهداف خود دست مييابيد.