نمایش نتایج: از شماره 1 تا 3 , از مجموع 3

موضوع: برقراری امنيت شبکه با Honeypot

  1. #1
    مدیر کل Vahid آواتار ها
    تاریخ عضویت
    Aug 2008
    نوشته ها
    2,724
    تشکر تشکر کرده 
    435
    تشکر تشکر شده 
    6,965
    تشکر شده در
    2,085 پست

    پیش فرض برقراری امنيت شبکه با Honeypot

    چکيده :
    همه ما بارها و بارها شنيده ايم که فلان هکری را دستگير کردند ويا فعاليتهای غير قانونی عده ای از خرابکاران اينترنتی را برملا ساختند و همچنين می دانيم که هکرها و نفوذگران افراد بسيار باهوش وشايد هم تيز هوشی هستند که نسبت به کاری که انجام می دهند اطلاع کافی دارند و به راحتی اثری از فعاليتهای خود بر جا نمی گذارند که قابل شناسائی باشند پس چگونه اين نوابغ روزگار در دام مأموران برقراری امنيت شبکه گرفتار می شوند ؟Honeypot يکی از ابزارهائی است که متخصصين برخورد با هکرها و مديران شبکه از آن برای شناسايی و به دام انداختن هکرها ونفوذگران استفاده می کنند . در اين مقاله ضمن معرفی Honeypot و انواع آن ،اهميت تکنولوژی Honeypot در برقراری امنيت شبکه ها و نحوه گرفتار شدن هکرها در دام متخصصين شبکه را بررسی می کنيم .
    كليدواژه ها : Honeypot - امنيت شبکه های کامپیوتری

    تعريفHoneypot :
    يک منبع سيستم اطلاعاتی می باشد که بر روی خود اطلاعات کاذب وغير واقعی دارد وبا استفاده از ارزش واطلاعات کاذب خود سعی در کشف وجمع آوری اطلاعات و فعاليت های غيرمجاز و غير قانونی بر روی شبکه
    می کند.به زبان ساده Honeypot يک سيستم يا سيستمهای کامپيوتری متصل به شبکه و يا اينترنت است که دارای اطلاعات کاذب بر روی خود می باشد و از عمد در شبکه قرار می گيرد تا به عنوان يک تله عمل کرده و مورد تهاجم يک هکر يا نفوذگر (Attacker) قرار بگيرد و با استفاده از اين اطلاعات آنها را فريب داده و اطلاعاتی از نحوه ی ورود آنها به شبکه و اهدافی که در شبکه دنبال می کنند جمع آوری کند.
    نحوه تشخيص حمله و شروع عملکرد Honeypot :
    در مسير منتهی به Honeypot نبايد هيچ ترافيکی ايجاد شود يعنی هر گونه ارتباطی با Honeypot فعاليت غيرمجاز و غير قانونی محسوب شده و می تواند يک ***ی ، حمله و يا سرقت محسوب شود.

    مزايای Honeypot :
    1- جمع آوری بسته های اطلاعاتی کم حجم ولی با ارزش :
    Honeypot ها حجم كوچکی از اطلاعات را جمع آوری می کنند .مثلاً به جای ثبت روزانه 1GB داده توسط ساير تکنولوژی های برقراری امنيت اطلاعات ، Honeypot مثلاً 1MB اطلاعات جمع آوری می کند ولی چون مطمئن هستيم که اطلاعاتی که يک Honeypot جمع آوری می کند مربوط به فعاليتی غير مجاز است در نتيجه اين اطلاعات بسيار مفيد بوده و تجزيه و تحليل حجم کوچکی ازاطلاعات آسان و ارزان است.
    2- ابزارها و تاکتيکها ی جديد :
    Honeypot ها طراحی شده اند تا هر چيزی که به سمتشان منتهی می شود ثبت کنند بنابراين Honeypot می تواند ابزارها و تاکتيکهايی جديد را که هکرها به کمک آنها به سيستم حمله می کنند را ثبت کند.
    3- نياز به کمترين سخت افزار برای پياده سازی :
    در يک کامپيوتر Pentium كه دارای 128MBRAM است قابل پياده سازی است.
    4- قابل پياده سازی در محيط های IPV6 و رمز شده :
    بر خلاف اغلب تکنولوژيهای امنيت (مثل سيستمهایIDS) که در محيط های رمز شده بخوبی کارنمی کنند Honeypot به راحتی قابل پياده سازی در اين محيط ها است و در اين محيط ها به خوبی کار می کند.
    5- سادگی :
    Honeypot ها بسيار ساده اند زيرا الگوريتم پيچيده ای ندارند که بخواهند توسعه يابند جداول حالت ندارند که نياز به پشتيبانی داشته باشند.
    6-شناسايی نقاط ضعف سيستم :
    مدير سيستم می تواند با مشاهده تکنيک ها و روشهای استفاده شده توسط نفوذگر بفهمد که سيستم چگونه شکسته می شود و نقاط آسيب پذير سيستم را شناسايی و نسبت به ترميم آنها اقدام کند.هدف اصلی يکHoneypot شبيه سازی يک شبکه است که نفوذگران سعی می کنند به آن وارد شوند اطلاعاتی که بعد از حمله به يکHoneypot به دست می آيد می تواند برای کشف آسيب پذيری های شبکه فعلی و رفع آنها استفاده شود.

    تقسيم بندی Honeypot از نظر کاربرد :
    1)Production Honeypot
    2)Research Honeypot

    Production Honeypot :
    اين نوع سيستم وقتی که سازمان می خواهد شبکه و سيستم هايش را با کشف و مسدود کردن نفوذگران حفاظت کند و نفوذگر را از طريق قانون در دادگاه مورد پيگيرد قرار دهد مورد استفاده قرار می گيرد.
    Honeypot هايی که کاربرد Production دارند به سه طريق می توانند در برابر حملات از شبکه محافظت کنند .
    1)به روش Prevention ( پيشگيری )
    2)به روش Detection ( كشف يا شناسايي )
    3)به روش Response (پاسخ)

    Prevention :
    در بعضي از حملات نفوذگران با استفاده از ابزارهايی رنجی از شبکه ها را پويش می کنند تا آسيب پذيری سرورهای موجود در شبکه راشناسايی کنند اين ابزارها پس از پيدا کردن آسيب پذيريهای موجود در سيستم به اين سيستمها حمله می کنند در روش پيشگيریHoneypot سرعت اين گونه حملات را کند می کند و حتی بعضی اوقات آنها را متوقف نيز می کند به اين دسته از Honeypotها،Honeypotهاي چسبنده (Sticky) مي گويند در اين روش Honeypot هنگام پويش توسط نفوذگر نسبت به آدرسهايی که در شبکه موجودنيست واكنش نشان ميدهد Labrea Tarpit جزو اين دسته از Haneypot ها است . به طور کلی هدف پيشگيری (Prevention) كند کردن سرعت عمليات نفوذگر و توقف حمله است.
    Detection (كشف يا شناسايي) :
    وظيفه اش عمل کشف و شناسايی ناتوانی های بخش پيشگيری است کشف يک حمله کار بسيارمشکلی است. وقتی يک حمله شناسايی شود می توان خيلی سريع به آن واکنش نشان دادو آن را متوقف و يا حداقل اثرش را کم کرد می توان از تکنولوژيهای امنيتی مثل IDSو فايلهاي ثبت وقايع(Log) در مرحله شناسايی استفاده کرد ولی بدليل اينکه اين تکنولوژی ها داده های زيادی را ثبت می کنند تجزيه و تحليل آنها زمانبر است و بسياری از اين داده ها غير مفيد بوده و در شناسايی نفوذگر و اهدافش ما را کمک نمی کنند و در محيط های رمز شده نيز بخوبی کار
    نمی کنند.Honeypot ها در کشف و رديابی يک حمله نسبت به تکنولوژيهای مذکور برتری دارند.Honeypotها داده های کم و با درجه اطمينان درستی بالاتری جمع آوری می کنند که تجزيه و تحليل آنها آسان بوده و ارزش بيشتری دارند. همچنين Honeypotها در محيط های رمز شده نيز می توانند بخوبی کار کنند.

    Response (پاسخ) :
    يکی از چالشهايی که هر سازمانی می تواند با آن روبرو شود اين است که بعد از شناسايی و کشف حمله چگونه به آن پاسخ دهد معمولا در پاسخ مناسب به يک حمله دو مشکل وجود دارد. اول اينکه اکثر سيستمهايی که مورد حمله قرار گرفته اند را نمی توان بخاطر تجزيه و تحليل مناسب از کار انداخت زيرا online بودن آنها امری ضروری و حياتی است دوم اينکه حتی اگر سيستم را نيز از کار بياندازيم به دليل وجود کثرت داده ها در سيستم تشخيص داده های متعلق به نقوذگر آسان نيست. بنابراين استفاده از Honeypot در چنين سازمانی اين امکان را فراهم
    می کند که درمواقع لزوم برای تجزيه وتحليل کامل داده ها آنها را از شبکه خارج کنيم بدليل اينکه Honeypot هميشه فعاليتهاي غير قانوني و بد انديشانه را ذخيره می کند بنابراين مطمئن هستيم که اطلاعات موجود در آنها مربوط به يک هکر و يا يک نفوذگر است و به همين دليل است که تجزيه وتحليل يکHoneypot هك شده بسيار آسانتر از يک سيستم واقعی است ودر نتيجه می توان در برابر حمله پاسخ سريع ومؤثری داد.
    Research Honeypot :
    اين نوع سيستم وقتي كه سازمان مي خواهد فقط امنيت شبکه وسيستمهای خود را با آموختن روشهای نفوذ، منشأ نفوذ، ابزارها و Exploit هاي مورد استفاده نفوذگر مستحکم تر کند، استفاده می شود.

    تقسيم بندی Honeypot از نظر ميزان تعامل با نفوذگر :
    Honeypot ها از لحاظ ميزان تعامل ودرگيری با نفوذگر به سه دسته تقسيم می شود.
    1)Low Interaction Honeypots (Honeypot هاي با تعامل كم)
    2)Medium Interaction Honeypots (Honeypot هاي با تعامل متوسط)
    3)High Interaction Honeypots (Honeypot هاي با تعامل بالا)
    Interaction نوع ارتباطی که تفوذگر با Honeypot دارد را مشخص می کند.

    Low Interaction Honeypots :
    ارتباط وفعاليتی محدود با نفوذگر دارند ومعمولا ًبا سرويسها وسيستم عاملهای شبيه سازی شده کار می کنند وسطح فعاليت نفوذگر را محدود به سطوح شبيه سازی شده می کنند. به عنوان مثال Low Interaction honeypot مي تواند شامل يک WindowsServer2000 به همراه سرويسهاي مثل Telnet و FTP باشد. يک نفوذگر می تواند ابتدا با استفاده از Telnet روي Honeypot نوع سيستم عامل آن را تشخيص داده سپس با حدس زدن رمز عبور و يا با هر روش ديگری وارد شبکه شود بدون اينکه اطلاع داشته باشد که در يک Honeypot گرفتار شده است. بر اساس فعاليتی که نفوذگر در Honeypot انجام مي دهد.Honeypot مي تواند اطلاعات زير را جمع آوری کرده و در اختيار متخصص شبکه قرار دهد.
    1) زمان نفوذ نفوذگر و يا هکر به سيستم
    2) پروتکلی که از آن استفاده کرده
    3) آدرس FTP مبدا ومقصد
    در اين نوع Honeypot ، نفوذگر نمی تواند هيچ گونه ارتباطی با سيستم عامل برقرار کندو اين مسأله ميزان خطر را کاهش ميدهد چون پيچيدگيهای سيستم عامل حذف می شود وبه دليل اينکه ما سطح فعاليت نفوذگر را محدود کرده ايم بنابراين اعمالی که نفوذگرانجام می دهد محدود شده ودر نتيجه Honeypot اطلاعات محدودی را می تواند ثبت کند. اين نوع Honeypot فقط قادر به شناسايی حمله های شناخته شده است ونمی تواند حمله های ناشناخته را تشخيص دهد. سادگی نگهداری وتوسعه Honeypot کم واکنش همچنين پايين بودن ريسک خطر آن از نقاط قوت Honeypot کم واکنش محسوب می شود.
    ازاين Honeypotها ميتوان برای اهداف Production استفاده کرد.

    Medium Interaction Honeypots (Honeypot با تعامل متوسط) :
    Honeypot با تعامل متوسط در مقايسه با Honeypot نوع کم واکنش امکان بيشتری برای تعامل با نفوذگر فراهم
    می کند ولی هنوز هم نفوذگر هيچ ارتباطی با سيستم عامل نداردDaemonهاي جعلی فراهم شده پيشرفته ترند و دانش بيشتری راجع به سرويسهایارائه شده دارند. در اين حالت ميزان خطر افزايش می يابد. احتمال اينکه نفوذگر يک حفره امنيتی يا يک نقطه آسيب پذيری پيدا کند بيشتر است زيرا پيچيدگی Honeypot افزايش می يابد نفوذگر امکان بيشتری برای ارتباط با سيستم وبررسی آن دارد و راحتتر فريب می خورد. همچنين با توجه به تعامل بيشتر، امکان انجام حمله های پيچيده تری وجود دارد که می توان با ثبت و آناليز کردن آنها به نتايج دلخواه دست يافت. همانطوريکه گفته شد نفوذگر هيچ ارتباطی با سيستم عامل ندارد و در سطح برنامه های کاربردی فعاليت می کند. توسعه يک Honeypot با تعامل متوسط کاری پيچيده و زمانبر است. بايد دقت شود که تمام Daemonهای جعلی تا جايی که ممکن است ايمن شوند. نسخه های توسعه يافته اين سرويسها نبايد دارای همان آسيب پذيری های نسخه های واقعی باشند زيرا اين اصلي ترين دليل جايگزينی آنها با نسخه های جعلی است. کسی که می خواهد چنين سيستمی را طراحی و پياده سازی کند، بايد از دانش خوبی در مورد پروتکلها، سرويسها و برنامه های کاربردی ارائه شده برخوردار باشد ازاين Honeypotها ميتوان هم برای اهداف دسته Research و هم برای اهداف دسته Production استفاده کرد.

    High Interaction Honeypot :
    يکی از اهداف نفوذگرامکان دسترسی به اطلاعات در ماشينی که به اينترنت وصل است می باشد اين نوع Honeypot چنين امکانی را در اختيار نفوذگر قرار می دهد. به محض اينکه نفوذگر اين امکان را پيدا کند کار اصلی او شروع می شود در اين نوع Honeypot ما يک سيستم واقعی را در اختيار نفوذگر قرار می دهيم و هيچ چيزی شبيه سازی شده نيست و نفوذگر با سيستم عامل واقعی و شبکه واقعی سرو کار دارد و ميزان دسترسی وی به شبکه بيشتر است در نتيجه ميزان عملی که می تواند انجام دهد بيشتر شده و Honeypot می تواندفعاليت بيشتری از نفوذگر و اهداف مورد نظر وی جمع آوری کند.ازاين Honeypotها ميتوان برای اهداف دسته Research استفاده کرد.

    مزايای استفاده از High Interaction Honeypot :
    متخصص شبکه با تجزبه و تحليل اطلاعات Honeypot می تواند اطلاعات زير را در مورد نفوذگر بدست آورد.
    - نفوذگران بيشتر از چه ابزارها و Exploit هايی استفاده می کنند
    - از چه کشورهايی هستند
    - به دنبال چه نقاط آسيب پذيری هستند
    - ميزان دانش آنها درمورد نفوذگری
    - جمع آوری اطلاعات واسناد زياد برای تحليل
    - به دليل وسيع بودن سطح فعاليت نفوذگر اغلب اين نوع Honeypot ها رفتارهايی ازفردنفوذگررا به مانشان می دهند که ما انتظارنداشته ايم ويا نمی توانسته ايم حدس بزنيم.
    معايب استفاده از High Interaction Honeypot :
    - طراحی ، مديريت ونگهداری آن فوق العاده زمانبر است
    - سيستم بايد دائماً تحت نظرباشد درغير اين صورت نه تنها هيچ کمکی نمی کند بلکه خودش به
    عنوان يک نقطه خطريا حفره امنيتی مطرح می شود
    - دارای ريسک بالا
    زيرا نفوذگر يک سيستم واقعی رادراختيار دارد وممکن است به سيستم های اصلی شبکه صدمه بزند .بنابراين هيچ سيستمی بر روی شبکه را نمی توان امن در نظر گرفت .

    نتيجه گيری:
    با توجه به گسترش کاربرد کامپيوتر در جوامع بشری ،مکانيزه کردن اطلاعات وتبادل آن امری اجتناب ناپذير است.هر سيستم مکانيزه ای آسيب پذيری خاص خود را دارد. تبادل اطلاعات از طريق شبکه های کامپيوتری و مخصوصاً اينترنت آسيب پذيری وريسک تغييرمحتويات آن توسط نفوذگر ،هکرو حتی صدمه ديدن سيستم را دارد.بنابراين حفظ امنيت سيستم واطلاعات ضروری می باشد. استفاده از تکنولوژی های برقراری امنيت شبکه تا حدی می تواند اين ريسک را کاهش دهد.Honeypot يکی از اين تکنولوژی هايی است که با شناسايی اهداف واعمال نفوذگر ونقاط ضعف سيستم ، در کنار ساير تکنولوژی های امنيتی مارادر حفظ امنيت سيستم مان ياری می نمايد.
    برای پیش رفت در علم آسانسوری وجود ندارد پله ها را باید پیاده رفت /./ همیشه این یادتان باشد که دست بالای دست بسیار است.
    يادمان باشد براي يك بار ايستادن صد ها بار افتاده ايم /./ بک آپ مهمترین رمز موفقیت هاستینگ /./ امنیت مطلق نیست.
    ارتباط مستقیم با من :
    Admin -{(@)}- WebHostingTalk . ir

  2. تعداد تشکر ها ازVahid به دلیل پست مفید


  3. # ADS




     

  4. #2
    عضو جدید
    تاریخ عضویت
    Apr 2013
    نوشته ها
    1
    تشکر تشکر کرده 
    2
    تشکر تشکر شده 
    4
    تشکر شده در
    2 پست

    پیش فرض پاسخ : برقراری امنيت شبکه با Honeypot

    سلام
    مطلب جالبی بود.
    اولا میخواستم منابعی که این مقاله رو ازش نوشتین بدونم.
    بعدش هم در مورد پیاده سازی عملیش هم میتونید یه توضیحی بدید؟
    ممنون و موفق باشید

  5. تعداد تشکر ها از samad_sohrab به دلیل پست مفید


  6. #3
    عدم تائید ایمیل
    تاریخ عضویت
    Mar 2013
    محل سکونت
    localhost
    نوشته ها
    231
    تشکر تشکر کرده 
    251
    تشکر تشکر شده 
    791
    تشکر شده در
    599 پست

    پیش فرض پاسخ : برقراری امنيت شبکه با Honeypot

    نقل قول نوشته اصلی توسط samad_sohrab نمایش پست ها
    سلام
    مطلب جالبی بود.
    اولا میخواستم منابعی که این مقاله رو ازش نوشتین بدونم.
    بعدش هم در مورد پیاده سازی عملیش هم میتونید یه توضیحی بدید؟
    ممنون و موفق باشید
    دوست عزیز به تاریخ تاپیک توجه کردید ؟
    March 5th, 2009

  7. تعداد تشکر ها از Mihan-Server به دلیل پست مفید


اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

موضوعات مشابه

  1. Honeypot
    توسط 007007 در انجمن Proxy / Cache / Firewall
    پاسخ ها: 2
    آخرين نوشته: October 26th, 2015, 12:22
  2. Honeypot چیست؟
    توسط ourweb در انجمن مباحث دیگر
    پاسخ ها: 2
    آخرين نوشته: January 23rd, 2015, 16:45
  3. فارسي سازي مديريت و قالب هاي پيش فرض و امنيت سايت (whmcs)
    توسط daneshvar2020 در انجمن مباحث و منابع آموزشی
    پاسخ ها: 6
    آخرين نوشته: December 14th, 2012, 14:18
  4. پاسخ ها: 11
    آخرين نوشته: April 14th, 2011, 17:58
  5. پاسخ ها: 0
    آخرين نوشته: March 8th, 2010, 19:19

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •