PDA

مشاهده نسخه کامل : چگونه نفوذگران را فريب دهيم؟



reza-s
07-04-08, 16:34
در جنگ بين نفوذگران و مديران امنيت شبکه، داشتن اطلاعات نشانة قدرت است. به عنوان يک مدير امنيت شبکه، هر چه بيشتر در مورد دشمنتان و روش­هاي حمله او بدانيد بهتر مي­توانيد از خودتان در مقابل او دفاع کنيد.

استفاده از Honeypotها يکي از روش­هايي است که مي­توانيم اطلاعاتي در مورد دنياي نفوذگران به دست آوريم.

:1. (10)::1. (10)::1. (10):

Honeypot چيست؟

Honeypot يک ماشين ويژه در شبکه است که به عنوان طعمه براي نفوذگران استفاده مي­شود. به طور عمدي بر روي آن سيستم عامل آلوده به يک اسب تروا[1]، درپشتي[2] يا سرويس­دهنده­هاي ضعيف و داراي اشکال نصب مي­شود تا به عنوان يک ماشين قرباني، نفوذگران را به خود جذب کرده و مشغول نگه دارد. هم­چنين ممکن است بر روي چنين ماشيني اطلاعات غلط و گمراه­کننده­اي براي به اشتباه انداختن نفوذگر نيز گذاشته شود.

يک سيستم Honeypot عملاً هيچ فايده­اي براي مقاصد سرويس دهي ندارد بلکه ماشين فداکاري است که با جذب نفوذگران و گمراه کردن آن­ها با اطلاعات غلط، از دسترسي به سرويس دهنده­هاي حساس جلوگيري مي­کند. اطلاعات غلط ممکن است ساعت­ها يک نفوذگر را معطل کند. در ضمن تشخيص اين نکته که سيستم موردنظر آيا واقعاً ضعف دارد يا آن­که يک Honeypot است براي نفوذگر چندان ساده نيست.

Honeynet شبکه­اي از Honeypotهاست که به گونه­اي تنظيم مي­شوند که شبيه يک شبکة واقعي به نظر برسند.



دلايل استفاده از Honeypot

Honeypotها به دو دليل استفاده مي­شوند :

اول اين که نقاط ضعف سيستم را بشناسيم. مدير سيستم مي­تواند با مشاهدة تکنيک­ها و روش­هاي استفاده شده توسط نفوذگر بفهمد سيستم چگونه شکسته مي­شود و نقاط آسيب­پذير سيستم را شناسايي و نسبت به ترميم آن­ها اقدام کند.

دليل دوم جمع­آوري اطلاعات لازم براي تعقيب و ردگيري نفوذگران است. با توجه به آن­که نفوذگر يک سيستم ضعيف و آسيب­پذير را در شبکه کشف مي­کند بنابراين تمام تلاش­هاي بعدي او پيرامون سيستم Honeypot (که يک هدف قلابي است) متمرکز مي­شود. مي­توان يک سيستم تشخيص نفوذ[3] (IDS) را در کنار اين سيستم نصب کرد تا تلاش­هاي نفوذگران براي حمله به اين هدف قلابي را گزارش دهد و شما بتوانيد اين موضوع و مبدا آن را پيگيري کنيد.

اين در حالي است که Honeypot همزمان از شبکة واقعي در برابر حملات مراقبت مي­کند.

هدف اصلي يک Honeypot شبيه­سازي يک شبکه است که نفوذگران سعي مي­کنند به آن وارد شوند. اطلاعاتي که بعد از حمله به يک Honeypot به دست مي­آيد، مي­تواند براي کشف آسيب­پذيري­هاي شبکة فعلي و رفع آن­ها استفاده شود.



Honeypot چه کارهايي مي­تواند انجام دهد؟

با توجه به اين که از يک Honeypot چه مي­خواهيم، Honeypot مي­تواند کارهاي زير را انجام دهد :

فراهم کردن هشدارهايي در مورد حملات در حال انجام
معطل کردن نفوذگر و دور نگه داشتن او از شبکة واقعي(نفوذگران پس از شناسايي شبکه، به طور معمول از ضعيف­ترين و آسيب­پذيرترين سيستم در شبکه شروع مي­کنند. زماني که آن­ها صرف کلنجار رفتن با اين سيستم قلابي مي­کنند مي­تواند يک آسودگي خاطر براي بقية ماشين­ها ايجاد کند.)
فراهم کردن امکان مونيتورينگ بلادرنگ حملات صورت گرفته
فراهم کردن اطلاعاتي در مورد جزئيات حمله (اطلاعاتي از قبيل اين که نفوذگران چه کساني هستند، چه مي­خواهند، سطح مهارت­هايشان و ابزارهايي که استفاده مي­کنند)
فراهم کردن امکان رديابي و پيگرد قانوني نفوذگر




هم­چنين Honeypot مانع انجام کارهاي زير توسط نفوذگر مي­شود :

دسترسي به داده­هاي واقعي
کنترل­هاي مديريتي در سطح شبکه
دستيابي به ترافيک واقعي شبکه
کنترل بر ديگر ابزارهاي متصل به شبکه


با استفاده از مهندسي اجتماعي[4] مي­توان Honeypot را جالب­تر کرد. هرچه Honeynet شما به شبکة سازمان شما شبيه­تر باشد، محيط واقعي­تر است و باعث مي­شود نفوذگران آن را بيشتر باور کنند و حتي نفوذگران حرفه­اي هم به راحتي فريب بخورند. يک پيشنهاد خوب اين است که تعدادي حساب کاربري تعريف کرده و به آن­ها يک سري دايرکتوري و اسناد اختصاص بدهيد، برايشان پست الکترونيکي تعريف کنيد، آنها را به ليست­هاي پستي اضافه کنيد، ...

هم­چنين مي­توان توسط اين سيستم نفوذگران را فريفت. به عنوان مثال وقتي نفوذگر يک ابزار استراق سمع[5] روي هدف قلابي(سيستم Honeypot) نصب مي­کند اطلاعات غلط و بيهوده براي او ارسال مي­شود و او به خيال آن که نفوذش در شبکه واقعي است، ساعت­ها وقت تلف مي­کند تا اين اطلاعات غلط را تحليل کند.

به ياد داشته باشيد که Honeypotاي که مورد حمله واقع نشود به هيچ دردي نمي­خورد. بنابراين بايد آن­ را تا حد امکان براي نفوذگر جذاب کنيد، البته تا حدي که شک نفوذگران حرفه­اي را برنينگيزد..

هرچقدر يک نفوذگر دفعات بيشتري به Honeypot وصل شود، شما بيشتر به اهداف خود دست مي­يابيد.

reza-s
07-04-08, 16:34
محل قرار گرفتن Honeypot در شبکه
:1. (10)::1. (10):
يک Honeypot مي­تواند در هرجايي که يک سرويس دهنده قادر است قرار بگيرد، واقع شود ولي مطمئناً برخي جاها بهتر از بقيه است.

يک Honeypot با توجه به سرويس­هاي مورد استفاده مي­تواند در اينترنت يا اينترانت مورد استفاده قرار گيرد. اگر بخواهيم فعاليت­هاي خرابکارانة اعضاي ناراضي را در شبکة خصوصي کشف کنيم قرار دادن Honeypot در اينترانت مفيد است. در اينترانت Honeypot پشت ديوارة آتش قرار مي­گيرد.

در شبکة اينترنت يک Honeypot مي­تواند در يکي از محل­هاي زير قرار گيرد :

1-جلوي ديوارة آتش

2-درون ­[6]DMZ


شکل فوق قرار گرفتن Honeypot را در محل­هاي گفته شده نشان مي­دهد.

هر کدام از اين دو مزايا و معايبي دارد که به آن مي­پردازيم.

با قرار گرفتن Honeypot در جلوي ديوارة آتش، خطر داشتن يک سيستم تحت سيطرة نفوذگر در پشت ديوارة آتش از بين مي­رود و هيچ خطر اضافي (منتج از نصب Honeypot) متوجه شبکة داخلي نمي­شود.

يک Honeypot مقداري ترافيک ناخواسته مثل پويش درگاه يا الگوهاي حمله را ايجاد و جذب مي­کند که با قرار دادن Honeypot در بيرون از ديوارة آتش چنين وقايعي توسط ديوارة آتش ثبت نمي­شود و سيستم تشخيص نفوذ داخلي (که در حالت عادي در مواجهه با چنين رخدادهايي هشدار توليد مي­کند) پيغام هشدار توليد نمي­کند.

عيب قرار گرفتن Honeypot جلوي ديوارة آتش اين است که نفوذگران داخلي به راحتي فريب نمي­خورند، مخصوصاً اگر ديوارة آتش ترافيک خروجي و در نتيجه ترافيک دريافتي Honeypot را محدود کند.

قرار گرفتن Honeypot درون يک DMZ يک راه­حل خوب به نظر مي­رسد به شرطي که امنيت ديگر سيستم­هاي درون DMZ در برابر Honeypot برقرار شود. از آن­جايي که فقط سرويس­هاي مورد نياز اجازة عبور از ديوارة آتش را دارند، دسترسي کامل به اغلب DMZها ممکن نيست. به اين دليل و با توجه به اين­که تنظيم قوانين مرتبط روي ديوارة آتش کاري زمانبر و مخاطره­آميز است، در چنين حالتي قرار دادن Honeypot جلوي ديوارة آتش مورد توجه قرار مي­گيرد.

قرار دادن Honeypot پشت ديوارة آتش، مي­تواند باعث بروز خطرات امنيتي جديدي در شبکة داخلي شود، مخصوصاً اگر شبکة داخلي توسط ديواره­هاي آتش اضافي در برابر Honeypot ايمن نشده باشد. توجه داشته باشيد که اگر Honeypot را پشت يک ديوارة آتش قرار مي­دهيد، بايد قوانين ديوارة آتش را طوري تنظيم کنيد که دسترسي از اينترنت مجاز باشد.

بزرگ­ترين مشکل وقتي به وجود مي­آيد که يک نفوذگر خارجي کنترل Honeypot داخلي را در اختيار مي­گيرد. در اين صورت نفوذگر امکان دسترسي به شبکة داخلي را از طريق Honeypot به دست مي­آورد. زيرا اين ترافيک، به عنوان ترافيک ورودي به Honeypot در نظر گرفته مي­شود و از آن­جايي که ترافيک ورودي به Honeypot مجاز است، ديوارة آتش جلوي عبور اين ترافيک را نمي­گيرد. بنابراين ايمن کردن Honeypot داخلي ضروري است. دليل اصلي قرار گرفتن Honeypot پشت ديوارة آتش شناسايي نفوذگران داخلي است.

بهترين راه­حل قرار دادن يک Honeypot درون DMZ به همراه يک ديوارة آتش است. بسته به اين­که هدف شناسايي نفوذگران داخلي يا خارجي است، ديوارة آتش مي­تواند به اينترنت يا اينترانت وصل شود.



در حقيقت شما مي­خواهيد از طريق Honeypot يک مانور ترتيب بدهيد و به يک دشمن فرضي حمله کنيد يا در مقابل يک دشمن فرضي بايستيد. لذا شرايط را به صورت واقعي تنظيم کنيد.

1-Trojan Horse
2-Backdoor
3-Intrusion Detection System
4-Social Engineering
5-Sniffer
6-DeMilitarized Zone ، بخش عمومي شبکه شامل سرويس­دهنده­هاي وب، پست الکترونيکي، FTP و ... که به عموم کاربران اينترنت سرويس مي­دهد.