در جنگ بين نفوذگران و مديران امنيت شبکه، داشتن اطلاعات نشانة قدرت است. به عنوان يک مدير امنيت شبکه، هر چه بيشتر در مورد دشمنتان و روش­هاي حمله او بدانيد بهتر مي­توانيد از خودتان در مقابل او دفاع کنيد.

استفاده از Honeypotها يکي از روش­هايي است که مي­توانيم اطلاعاتي در مورد دنياي نفوذگران به دست آوريم.

برای مشاهده این لینک/عکس می بایست عضو شوید ! برای عضویت اینجا کلیک کنید برای مشاهده این لینک/عکس می بایست عضو شوید ! برای عضویت اینجا کلیک کنید برای مشاهده این لینک/عکس می بایست عضو شوید ! برای عضویت اینجا کلیک کنید

Honeypot چيست؟

Honeypot يک ماشين ويژه در شبکه است که به عنوان طعمه براي نفوذگران استفاده مي­شود. به طور عمدي بر روي آن سيستم عامل آلوده به يک اسب تروا[1]، درپشتي[2] يا سرويس­دهنده­هاي ضعيف و داراي اشکال نصب مي­شود تا به عنوان يک ماشين قرباني، نفوذگران را به خود جذب کرده و مشغول نگه دارد. هم­چنين ممکن است بر روي چنين ماشيني اطلاعات غلط و گمراه­کننده­اي براي به اشتباه انداختن نفوذگر نيز گذاشته شود.

يک سيستم Honeypot عملاً هيچ فايده­اي براي مقاصد سرويس دهي ندارد بلکه ماشين فداکاري است که با جذب نفوذگران و گمراه کردن آن­ها با اطلاعات غلط، از دسترسي به سرويس دهنده­هاي حساس جلوگيري مي­کند. اطلاعات غلط ممکن است ساعت­ها يک نفوذگر را معطل کند. در ضمن تشخيص اين نکته که سيستم موردنظر آيا واقعاً ضعف دارد يا آن­که يک Honeypot است براي نفوذگر چندان ساده نيست.

Honeynet شبکه­اي از Honeypotهاست که به گونه­اي تنظيم مي­شوند که شبيه يک شبکة واقعي به نظر برسند.



دلايل استفاده از Honeypot

Honeypotها به دو دليل استفاده مي­شوند :

اول اين که نقاط ضعف سيستم را بشناسيم. مدير سيستم مي­تواند با مشاهدة تکنيک­ها و روش­هاي استفاده شده توسط نفوذگر بفهمد سيستم چگونه شکسته مي­شود و نقاط آسيب­پذير سيستم را شناسايي و نسبت به ترميم آن­ها اقدام کند.

دليل دوم جمع­آوري اطلاعات لازم براي تعقيب و ردگيري نفوذگران است. با توجه به آن­که نفوذگر يک سيستم ضعيف و آسيب­پذير را در شبکه کشف مي­کند بنابراين تمام تلاش­هاي بعدي او پيرامون سيستم Honeypot (که يک هدف قلابي است) متمرکز مي­شود. مي­توان يک سيستم تشخيص نفوذ[3] (IDS) را در کنار اين سيستم نصب کرد تا تلاش­هاي نفوذگران براي حمله به اين هدف قلابي را گزارش دهد و شما بتوانيد اين موضوع و مبدا آن را پيگيري کنيد.

اين در حالي است که Honeypot همزمان از شبکة واقعي در برابر حملات مراقبت مي­کند.

هدف اصلي يک Honeypot شبيه­سازي يک شبکه است که نفوذگران سعي مي­کنند به آن وارد شوند. اطلاعاتي که بعد از حمله به يک Honeypot به دست مي­آيد، مي­تواند براي کشف آسيب­پذيري­هاي شبکة فعلي و رفع آن­ها استفاده شود.



Honeypot چه کارهايي مي­تواند انجام دهد؟

با توجه به اين که از يک Honeypot چه مي­خواهيم، Honeypot مي­تواند کارهاي زير را انجام دهد :

فراهم کردن هشدارهايي در مورد حملات در حال انجام
معطل کردن نفوذگر و دور نگه داشتن او از شبکة واقعي(نفوذگران پس از شناسايي شبکه، به طور معمول از ضعيف­ترين و آسيب­پذيرترين سيستم در شبکه شروع مي­کنند. زماني که آن­ها صرف کلنجار رفتن با اين سيستم قلابي مي­کنند مي­تواند يک آسودگي خاطر براي بقية ماشين­ها ايجاد کند.)
فراهم کردن امکان مونيتورينگ بلادرنگ حملات صورت گرفته
فراهم کردن اطلاعاتي در مورد جزئيات حمله (اطلاعاتي از قبيل اين که نفوذگران چه کساني هستند، چه مي­خواهند، سطح مهارت­هايشان و ابزارهايي که استفاده مي­کنند)
فراهم کردن امکان رديابي و پيگرد قانوني نفوذگر




هم­چنين Honeypot مانع انجام کارهاي زير توسط نفوذگر مي­شود :

دسترسي به داده­هاي واقعي
کنترل­هاي مديريتي در سطح شبکه
دستيابي به ترافيک واقعي شبکه
کنترل بر ديگر ابزارهاي متصل به شبکه


با استفاده از مهندسي اجتماعي[4] مي­توان Honeypot را جالب­تر کرد. هرچه Honeynet شما به شبکة سازمان شما شبيه­تر باشد، محيط واقعي­تر است و باعث مي­شود نفوذگران آن را بيشتر باور کنند و حتي نفوذگران حرفه­اي هم به راحتي فريب بخورند. يک پيشنهاد خوب اين است که تعدادي حساب کاربري تعريف کرده و به آن­ها يک سري دايرکتوري و اسناد اختصاص بدهيد، برايشان پست الکترونيکي تعريف کنيد، آنها را به ليست­هاي پستي اضافه کنيد، ...

هم­چنين مي­توان توسط اين سيستم نفوذگران را فريفت. به عنوان مثال وقتي نفوذگر يک ابزار استراق سمع[5] روي هدف قلابي(سيستم Honeypot) نصب مي­کند اطلاعات غلط و بيهوده براي او ارسال مي­شود و او به خيال آن که نفوذش در شبکه واقعي است، ساعت­ها وقت تلف مي­کند تا اين اطلاعات غلط را تحليل کند.

به ياد داشته باشيد که Honeypotاي که مورد حمله واقع نشود به هيچ دردي نمي­خورد. بنابراين بايد آن­ را تا حد امکان براي نفوذگر جذاب کنيد، البته تا حدي که شک نفوذگران حرفه­اي را برنينگيزد..

هرچقدر يک نفوذگر دفعات بيشتري به Honeypot وصل شود، شما بيشتر به اهداف خود دست مي­يابيد.