-
January 23rd, 2015, 15:18
#1
عضو انجمن
Honeypot چیست؟
سیستمهای تشخیص نفوذ (IDS) متفاوت است، چرا كه این تكنولوژیها مسائل امنیتی خاصی را حل كرده و به همین دلیل راحتتر تعریف میشوند. فایروالها یك تكنولوژی پیشگیرانه به شمار می آیند، آنها از ورود مهاجمان به شبكه یا سیستم كامپیوتر جلوگیری میكنند. IDS ها یك تكنولوژی تشخیصی هستند. هدف آنها این است كه فعالیتهای غیر مجاز یا خرابكارانه را شناسایی كرده و درباره آنها به متخصصان امنیت هشدار دهند. تعریف Honeypot ها كار سخت تری است، چرا كه آنها ممكن است در پیشگیری، تشخیص، جمع آوری اطلاعات، و كارهای دیگری مورد استفاده قرار گیرند. شاید بتوان یك Honeypot را به این صورت تعریف كرد:
«Honeypot یك سیستم اطلاعاتی است كه ارزش آن به استفاده غیر مجاز و ممنوع دیگران از آن است.»
این تعریف به وسیله اعضای لیست ایمیل Honeypot انجام شده است. لیست ایمیل Honeypot یك فروم متشكل از بیش از 5000 متخصص امنیت است. از آنجاییكه Honeypot ها در اشكال و اندازه های مختلفی وجود دارند، ارائه تعریف جامعی از آن كار بسیار سختی است. تعریف یك Honeypot نشان دهنده نحوه كار آن و یا حتی هدف آن نیست. این تعریف صرفا ناظر به نحوه ارزش گذاری یك Honeypot است. به عبارت ساده تر، Honeypot ها یك تكنولوژی هستند كه ارزش آنها به تعامل مجرمان با آنها بستگی دارد. تمامی Honeypot ها بر اساس یك ایده كار میكنند: هیچكس نباید از آنها استفاده كند و یا با آنها تعامل برقرار نماید، هر تعاملی با Honeypot غیر مجاز شمرده شده و نشانه ای از یك حركت خرابكارانه به شمار میرود.
یك Honeypot سیستمی است كه در شبكه سازمان قرار میگیرد، اما برای كاربران آن شبكه هیچ كاربردی ندارد و در حقیقت هیچ یك از اعضای سازمان حق برقراری هیچگونه ارتباطی با این سیستم را ندارند. این سیستم دارای یك سری ضعفهای امنیتی است. از آنجاییكه مهاجمان برای نفوذ به یك شبكه همیشه به دنبال سیستمهای دارای ضعف میگردند، این سیستم توجه آنها را به خود جلب میكند. و با توجه به اینكه هیچكس حق ارتباط با این سیستم را ندارد، پس هر تلاشی برای برقراری ارتباط با این سیستم، یك تلاش خرابكارانه از سوی مهاجمان محسوب میشود. در حقیقت این سیستم نوعی دام است كه مهاجمان را فریب داده و به سوی خود جلب میكند و به این ترتیب علاوه بر امكان نظارت و كنترل كار مهاجمان، این فرصت را نیز به سازمان میدهد كه فرد مهاجم را از سیستمهای اصلی شبكه خود دور نگه دارند.
یك Honeypot هیچ سرویس واقعی ارائه نمیدهد. هر تعاملی كه انجام گیرد، هر تلاشی كه برای ورود به این سیستم صورت گیرد، یا هر فایل داده ای كه روی یك Honeypot مورد دسترسی قرار گیرد، با احتمال بسیار زیاد نشانه ای از یك فعالیت خرابكارانه و غیر مجاز است. برای مثال، یك سیستم Honeypot میتواند روی یك شبكه داخلی به كار گرفته شود. این Honeypot از هیچ ارزش خاصی برخوردار نیست و هیچكس در درون سازمان نیازی به استفاده از آن نداشته و نباید از آن استفاده كند. این سیستم میتواند به ظاهر یك فایل سرور، یك وب سرور، یا حتی یك ایستگاه كاری معمولی باشد. اگر كسی با این سیستم ارتباط برقرار نماید، با احتمال زیاد در حال انجام یك فعالیت غیر مجاز یا خرابكارانه است.
در حقیقت، یك Honeypot حتی لازم نیست كه حتما یك كامپیوتر باشد. این سیستم میتواند هر نوع نهاد دیجیتالی باشد (معمولا از آن به Honeytoken یاد میشود) كه هیچ ارزش واقعی ندارد. برای مثال، یك بیمارستان میتواند یك مجموعه نادرست از ركوردهای اطلاعاتی بیماران ایجاد نماید. از آنجاییكه این ركوردها Honeypot هستند، هیچكس نباید به آنها دسترسی پیدا كرده یا با آنها تعامل برقرار كند. این ركوردها میتوانند در داخل پایگاه داده بیماران این بیمارستان به عنوان یك جزء Honeypot قرار گیرند. اگر یك كارمند یا یك فرد مهاجم برای دسترسی به این ركوردها تلاش نماید، میتواند به عنوان نشانه ای از یك فعالیت غیر مجاز به شمار رود، چرا كه هیچكس نباید از این ركوردها استفاده كند. اگر شخصی یا چیزی به این ركوردها دسترسی پیدا كند، یك پیغام هشدار صادر میشود. این ایده ساده پشت Honeypot هاست كه آنها را ارزشمند میكند.
دو یا چند Honeypot كه در یك شبكه قرار گرفته باشند، یك Honeynet را تشكیل میدهند. نوعا در شبكه های بزرگتر و متنوعتر كه یك Honeypot به تنهایی برای نظارت بر شبكه كافی نیست، از Honeynet استفاده میكنند. Honeynet ها معمولا به عنوان بخشی از یك سیستم بزرگ تشخیص نفوذ پیاده سازی میشوند. در حقیقت Honeynet یك شبكه از Honeypot های با تعامل بالاست كه طوری تنظیم شده است كه تمامی فعالیتها و تعاملها با این شبكه، كنترل و ثبت میشود. مزایای استفاده از Honeypot Honeypot ها صرفا مجموعه های كوچكی از داده ها را جمع آوری میكنند. Honeypot ها فقط زمانی كه كسی یا چیزی با آنها ارتباط برقرار كند داده ها را جمع آوری مینمایند، در نتیجه صرفا مجموعه های بسیار كوچكی از داده ها را جمع میكنند، كه البته این داده ها بسیار ارزشمندند. سازمانهایی كه هزاران پیغام هشدار را در هر روز ثبت میكنند، با استفاده از Honeypot ها ممكن است فقط صد پیغام هشدار را ثبت نمایند. این موضوع باعث میشود كه مدیریت و تحلیل داده های جمع آوری شده توسط Honeypot ها بسیار ساده تر باشد. Honeypot ها موارد خطاهای تشخیص اشتباه را كاهش میدهند. یكی از مهمترین چالشهای اغلب سیستمهای تشخیصی این است كه پیغامهای هشدار دهنده خطای زیادی تولید كرده و در موارد زیادی، این پیغامهای هشدار دهنده واقعا نشان دهنده وقوع هیچ خطری نیستند. یعنی در حالی یك رویداد را تهدید تشخیص میدهند كه در حقیقت تهدیدی در كار نیست. هر چه احتمال این تشخیص اشتباه بیشتر باشد، تكنولوژی تشخیص دهنده بی فایده تر میشود. Honeypot ها به طور قابل توجهی درصد این تشخیصهای اشتباه را كاهش میدهند، چرا كه تقریبا هر فعالیت مرتبط با Honeypot ها به طور پیش فرض غیر مجاز تعریف شده است. به همین دلیل Honeypot ها در تشخیص حملات بسیار موثرند. Honeypot ها میتوانند حملات ناشناخته را تشخیص دهند. چالش دیگری كه در تكنولوژیهای تشخیصی معمول وجود دارد این است كه آنها معمولا حملات ناشناخته را تشخیص نمیدهند. این یك تفاوت بسیار حیاتی و مهم بین Honeypot ها و تكنولوژیهای امنیت كامپیوتری معمولی است كه بر اساس امضاهای شناخته شده یا داده های آماری تشخیص میدهند. تكنولوژیهای تشخیصی مبتنی بر امضا، در تعریف به این معنا هستند كه ابتدا باید هر حمله ای حداقل یك بار انجام شده و امضای آن شناسایی گردد و سپس با استفاده از آن امضا، در موارد بعدی شناخته شود. تشخیص مبتنی بر داده های آماری نیز از خطاهای آماری رنج میبرد. Honeypot ها طوری طراحی شده اند كه حملات جدید را نیز شناسایی و كشف میكنند. چرا كه هر فعالیتی در ارتباط با Honeypot ها غیر معمول شناخته شده و در نتیجه حملات جدید را نیز معرفی میكند. Honeypot ها فعالیتهای رمز شده را نیز كشف میكنند. حتی اگر یك حمله رمز شده باشد، Honeypot ها میتوانند این فعالیت را كشف كنند. به تدریج كه تعداد بیشتری از سازمانها از پروتكلهای رمزگذاری مانند SSH، IPsec، و SSL استفاده میكنند، این مساله بیشتر خود را نشان میدهد. Honeypot ها میتوانند این كار را انجام دهند، چرا كه حملات رمز شده با Honeypot به عنوان یك نقطه انتهایی ارتباط، تعامل برقرار میكنند و این فعالیت توسط Honeypot رمز گشایی میشود. Honeypot با IPv6 كار میكند. اغلب Honeypot ها صرف نظر از پروتكل IP از جمله IPv6، در هر محیط IP كار میكنند. IPv6 یك استاندارد جدید پروتكل اینترنت (IP) است كه بسیاری از سازمانها در بسیاری از كشورها از آن استفاده میكنند. بسیاری از تكنولوژیهای فعلی مانند فایروالها و سنسورهای سیستم تشخیص نفوذ به خوبی با IPv6 سازگار نشده اند. Honeypot ها بسیار انعطاف پذیرند. Honeypot ها بسیار انعطاف پذیرند و میتوانند در محیطهای مختلفی مورد استفاده قرار گیرند. همین قابلیت انعطاف Honeypot هاست كه به آنها اجازه میدهد كاری را انجام دهند كه تعداد بسیار كمی از تكنولوژیها میتوانند انجام دهند: جمع آوری اطلاعات ارزشمند به خصوص بر علیه حملات داخلی. Honeypot ها به حداقل منابع نیاز دارند. حتی در بزرگترین شبكه ها، Honeypot ها به حداقل منابع احتیاج دارند. یك كامپیوتر پنتیوم قدیمی و ساده میتواند میلیونها آدرس IP یا یك شبكه OC-12 را نظارت نماید.
-
تعداد تشکر ها از ourweb به دلیل پست مفید
-
January 23rd, 2015 15:18
# ADS
-
January 23rd, 2015, 15:43
#2
پاسخ : Honeypot چیست؟
حداقل پست را مرتب می کردید و فی ما بین تصاویری قرار می دادید تا با سلیقه تر باشد.
هانی پات بین سویچ و فایروال و شبکه داخلی قرار داده می شود و همانند کلاینت ها را در خود ایجاد کرده و باعث فریب نفوذگر خواهد شد و بعد به فایروال دستور بلاک کردن آی پی نفوذگر را صادر خواهد کرد.
مانند تصویر زیر:
mixed.png
-
تعداد تشکر ها از farnood به دلیل پست مفید
-
January 23rd, 2015, 15:45
#3
عضو انجمن
پاسخ : Honeypot چیست؟
نوشته اصلی توسط
farnood
حداقل پست را مرتب می کردید و فی ما بین تصاویری قرار می دادید تا با سلیقه تر باشد.
هانی پات بین سویچ و فایروال و شبکه داخلی قرار داده می شود و همانند کلاینت ها را در خود ایجاد کرده و باعث فریب نفوذگر خواهد شد و بعد به فایروال دستور بلاک کردن آی پی نفوذگر را صادر خواهد کرد.
مانند تصویر زیر:
دقیقا همین هست که گفتید ممنون چشم حتما میگزاریم .
-
تعداد تشکر ها از ourweb به دلیل پست مفید
پاسخ با نقل قول