honeypot چیست؟

HONEYPOT چیست؟

برنامه نویسان و متخصصان امنیت شبکه پس از مدتی سعی و تلاش موفق شده اند قطعه برنامه ای به نام ظرف عسل یا honeypot را تولید کنند که بهترین طعمه برای فریب دادن نفوذگران جهت ارایه اطلاعات نادرست و گمراه کننده به نفوذگران است.یک honeypot یک منبع سیستم اطلاعاتی می باشد که با استفاده از ارزش کاذب خود اطلاعاتی از فعالیتهای بی مجوز و نا مشروع را در خود جمع آوری می کند.

Honeypot ها قادر به انجام کارهای بسیاری می باشند.از کشف حملات پنهانی در شبکه های ipv6تا ضبط آخرین کارت اعتباری جعل شده و همین انعطاف پذیری باعث توجه مدیران شبکه به این ابزارها شده است.

مزایا:

1) داده های کوچک با ارزش فراوان:

honeypotها به جای اینکه در یک روز چندین گیگا بایت اطلاعات در فایل های ثبت رویدادها ذخیره کنند حجم کوچکی از داده ها را ذخیره می کنند.به جای تولید چندین هزار زنگ خطر در یک روز آنها تنها یک زنگ خطر تولید می کنند.honeypotها تنها فعالیت های مخرب و بدون مجوز را ثبت می کنند و به این دلیل تجزیه و تحلیل اطلاعات را بسیار ساده می کنند.

2) تاکتیک های جدید:

honeypotها از ابزارها و تاکتیک های جدیدی که در سایر محصولات دیگر استفاده نشده اند بهره میبرند و از این ابزارها برای ذخیره و ثبت رویدادها استفاده میکنند.

3) بهره گیری کم از منابع سیستم:

honeypotها به دلیل اینکه تنها فعایت های مخرب را ثبت میکنند از منابع سیستم به کمترین میزان استفاده میکنند و با یک سیستم قدیمی نیز به راحتی میتوان آنها را پیاده سازی کرد.

4) سازگاری با ipv6 و سیستمهای رمز گذاری:

برخلاف برخی تکنولوژیهای امنیتی مانند IDS ها,honeypotها با محیطهای رمز شده وipv6 سازگار هستند و به راحتی با این محیطها کار میکنند.

معایب:

1) محدودیت دید:

Honeypotها تنها فعالیتهایی را میتوانند پیگیری و ثبت کنند که به صورت مستقیم با آنها در ارتباط باشند لذا حملاتی را که بر علیه سیستمهای دیگر در حال انجام باشند را نمیتوانند ثبت کنند مگر آنکه نفوذگر فعل و انفعالی را با honeypoy داشته باشد.

2) خطرات امنیتی:

Honeypotها هم مانند تکنولوژیهای دیگر دارای خطرات امنیتی مختص به خود هستند. honeypotها ممکن است خطر به دست گرفتن کنترل سیستم توسط یک نفوذگر و صدمه زدن به سیستمهای دیگر را داشته باشند.البته این خطر برای انواع honeypotها متفاوت است.

انواع :honeypot

1)honeypotهای کم واکنش :

Honeypotهای کم واکنش دارای ارتباطات و فعالیتهای محدودی میباشند و معمولا با سرویسها و سیستم عاملهای شبیه سازی شده کار میکنند و سطح فعالیتهای یک نفوذگر را با سطحی از برنامه های شبیه سازی شده محدود میکنند.به عنوان مثال یک سرویس ftp شبیه سازی شده که با پورت 21 کار میکند ممکن است تنها یک صفحه login و یا حداکثر تعدادی از دستورات ftp را شبیه سازی کرده باشد.به این ترتیب نفوذگر هیچگاه نمیتواند به سیستم عامل دسترسی پیدا کند و به وسیله آن به سیستمهای دیگر آسیب برساند.به عنوان مثال دیگر هر ابزاری که قصد داشته باشد با یک ipغیر قابل استفادهبا شبکه ارتباط برقرار کند,ارتباطش را با شبکه اصلی قطع کرده وبا نفوذگر ارتباط برقرار میکند و خودش را جای قربانی جا میزند.به صورت پیش فرض honeypotها تمامی پورت های tcp,udpرا زیر نظر میگیرد و تمامی درخواستهای آنها را ثبت میکند.

یکی از فواید این دسته از honeypotها سادگی آنهاست و منظور از واکنش در اصل نوع ارتباطی است که نفوذگر با honeypot دارد.نگهداری honeypotهای کم واکنش بسیار آسان است و به راحتی میتوان آنها را گسترش داد.ساختار آنها بیشتر به این موضوع می پردازد که چه نرم افزارهایی باید روی چه سیستم عاملی نصب شود و همچنین می خواهید چه سرویسهایی را برای آن شبیه سازی و دیده بانی کنید.از honeypotهای کم واکنش میتوان honey,spector,kfsensor را نام برد.

معایب :

1) تنها میتوانند اطلاعات محدودی را ثبت نمایند و تنها میتوانند اطلاعات مربوط به حملات شتاخته شده را ثبت نمایند.

2) شناسایی یک honeypot کم واکنش و تشخیص کاذب بودن آن برای یک نفوذگر حرفه ای آسان است.

3) اگر نفوذگر دستوراتی را وارد کند که هیچ پاسخی برای آنها شبیه سازی نشده باشد,honeypot نمیداند که چه پاسخی باید برای نفوذگر ارسال کند و تنها یک پیغام خطا را نشان میدهد.

2)honeypotهای پر واکنش:

این نوع honeypotها از راه حل های پیچیده تری استفاده میکنند و از سیستم عامل و سرویسهای واقعی استفاده میکنند.هیچ چیز شبیه سازی شده نیست و یک سیستم واقعی در اختیار نفوذگر قرار داده میشود.به طور کلی یک honeypot پر واکنش علاوه بر کارهایی که یک honeypot کم واکنش انجام میدهد اقدامات بیشتری را در جهت به دام انداختن نفوذگر انجام میدهد وhoneynet ها یک مثال از اینگونه honeypot ها میباشند.البته honeynetها نرم افزار نیستند بلکه نوعی معماری میباشند که یک شبکه بی عیب را معماری میکنند تا تمامی ارتباطات شبکه را از این طریق بتوان کنترل کرد و زیر نظر گرفت.درون این معماری چندین قربانی خیالی در نظر میگیریم سپس نفوذگر این سیستمها را می یابد و مورد حمله قرار میدهد.اما طبق ابتکار و راهکارهای ارایه شده همه چیز در کنترل مدیر شبکه است.honeynet ها این کار را توسط دروازه ای به نام honeywall انجام میدهند.این دروازه به تمام ترافیکهای ورودی اجازه حرکت به سیستمهای قربانی را میدهد اما ترافیک خروجی باید از سیستمهای مجهز به IDS هاعبور کند و اجازه نمیدهد نفوذگر به سیستمهای اصلی صدمه وارد کند.

مزایا:

1) با در اختیار قرار دادن یک سیستم واقعی به نفوذگر, مدیر شبکه میتواند تمامی رفتار نفوذگر را از rootkit های جدید گرفته تا یک نشستirc زیر نظر بگیرد.

2) با ارایه دادن یک محیط باز به نفوذگر, دیگر جای هیچ فرضیه ای روی رفتار نفوذگر باقی نمیگذارد و تمامی فعالیتهای او را زیر نظر میگیرد و از این طریق میتواند رفتارهایی از نفوذگر را ذخیره سازی کند که مدیران شبکه انتظار آنها را نداشته و یا نمیتوانستند آنها را حدس بزنند.

جمع بندی:

اگر سازمانی ازhoneypot استفاده کند, نفوذگر همیشه نگران این موضوع هست که آیا با سیستمی که در ارتباط است یک سیستم حقیقی است و یا در یک honeypot گرفتار شده است.ممکن است همین موضوع منجر به منصرف شدن او از حمله شود و همچنین از طریق گزارشهای honeypotها مدیران شبکه میتوانند از ضعف های امنیتی موجود در شبکه شان آگاهی یابند.

honeypot چیست؟

مطالب مشابه :

از PSAچه میدانید؟

معرفی برخی از پزشکان و برجستگان علمی شهر: (اسامی)

کمر درد و رابطه جنسی

اورژانس‌های اورولوژی چیست؟

honeypot چیست؟

درس طراحی الگوریتم ها- دانشگاه نقش جهان - دقاق زاده

برنامه ویرایش و ساخت فایل های آرشیو شده ۸ Zip

ویندوز ۸ : Toolbox forجعبه ابزاری برای دسترسی سریع به برنام ها

دانلود آنتی ویروس avast! Internet Security